จากข้อกำหนดข้างต้นจะเห็นว่า unauthorized access เป็นสิ่งที่สำคัญที่สุดในการรักษาความปลอดภัย |
ในเครือข่าย เนื่องจากเมื่อสามารถเข้าสู่เครือข่ายได้แล้ว ผู้บุกรุกย่อมสามารถกระทำการอื่นๆได้ เช่น แก้ใข |
หรือทำลายข้อมูลที่สำคัญ |
โดยทั่วไปแล้วบุคคลที่ต้องการบุกรุกเข้าไปในเครือข่ายจะต้องมีข้อมูลเกี่ยวกับเครือข่ายนั้น เช่น ประเภท |
ของระบบปฏิบัติการ, ชื่อผู้ใช้งาน(user name), ชื่อของคอมพิวเตอร์นั้น เป็นต้น นอกจากนี้แล้ว e-mail |
ยังสามารถใช้เป็นเครื่องมือในการเข้าสู่เครือข่าย โดยส่ง e-mail ซึ่งเป็น execute file ให้แก่ผู้บริหารระบบ |
เมื่อมีการเปิดอ่าน e-mail จะ execute เพื่อทำการสร้างรหัสผ่านสำหรับผู้บริหารระบบขึ้นมาใหม่ เป็นต้น |
นอกจากนี้แล้ว CGI สามารถใช้ในการบุกรุกเข้าสู่เครือข่ายได้โดย download โปรแกรม CGI |
(ผ่านทาง anonymouse FTP) และให้โปรแกรม CGI นี้ทำงาน (โดยการกำหนด URL) ดังนั้น HTTP server |
ไม่ควรทำงานโดยมีสิทธิ์การใช้งานเทียบเท่า SYSTEM หรือ Adminstrator |
Application ซึ่งสามารถใช้ในการบุกรุกเข้าสู่เครือข่ายได้ โดยทั่วไปมีดังนี้คือ |
FTP |
เนื่องจากใน FTP protocol กำหนด port สำหรับการรับส่งข้อมูลเป็นสอง port คือ control |
connection port และ data connection port ปัญหาที่เกิดขึ้นคือที่ FTP client port ทั้งสอง port |
นี้เป็น port ที่กำหนดโดย FTP server ดังนั้นในกรณีที่ผู้บุกรุกกำหนดให้เป็นการติดต่อจาก port 21 |
จะทำให้สามารถเข้าสู่เครือข่ายได้ นอกจากนี้แล้ว password สำหรับ FTP protocol นั้นไม่ได้ผ่านการ |
เข้ารหัส ซึ่งเป็นการง่ายที่จะลักลอบทำสำเนา password เมื่อผ่านเข้าสู่เครือข่าย Internet |
การรักษาความปลอดภัยในเครือข่าย โดยปกติจะใช้ screening router เพื่อตรวจสอบ packet ที่เข้ามา |
และออกจาก router โดย screening router จะทำงานที่ network layer สำหรับ OSI reference mode |
ข้อเสียของ screening router คือ เมื่อผู้บุกรุกสามารถเข้าสู่ screening router table ได้แล้วจะ |
สามารถเข้าสู่เครือข่ายได้ โดยตรง |
Firewall ( คือ ผนังกันไฟซึ่งในการก่อสร้างอาคาร) เป็นการรักษาความปลอดภัยในเครือข่ายอีกประเภท |
หนึ่งซึ่งระบบประกอบไปด้วย screening router และ host ซึ่งทำการตรวจสอบการรับ/ส่งข้อมูลที่ |
Application layer วิธีนี้จะมีประสิทธิภาพมากกว่าใช้ screening router เพียงอย่างเดียว เนื่องจาก |
เป็นการรักษาความปลอดภัยถึงสองชั้นโดยผู้บุกรุกจะต้องผ่าน screening router และ host ก่อนที่จะ |
เข้าสู่เครือข่ายได้ host ที่ใช้ใน Firewall นี้ปกติจะเรียกว่า bastion host และจะแบ่งเครือข่ายออกเป็น |
สองส่วนคือส่วนที่ติดต่อระหว่าง screening router กับ bastion host และส่วนติดต่อระหว่าง bastion |
host และเครือข่ายภายใน |
การทำงานของ screening router และ Firewall จะได้กล่าวถึงโดยละเอียดดังต่อไปนี้ |
FTP protocol แบ่งการเชื่อมต่อออกเป็น 2 port สำหรับ FTP Server คือ connection port ซึ่งใช้ |
ในการรับและส่งคำสั่ง ตามมาตรฐานคือ port 21 และ data connection ซึ่งใช้ในการรับและส่งข้อมูล |
โดยจะกำหนดให้เป็นport ที่ 20 ซึ่งจะใช้เมื่อมีการส่งข้อมูลและยกเลิกในทันทีที่ข้อมูลชุดนั้นได้รับโดย |
FTP client |
สำหรับ FTP client นั้นต้องแจ้ง port สำหรับ data connection แก่ FTP server โดยใช้คำสั่ง |
PORT i1,i2,i3,i4,p1p2 โดยที่ i1,i2,i3 และ i4 คือ IP address ของ FPT client ส่วน p1 คือ |
most significant byte และ p2 คือ least significant byte ของเลขที่ port เช่น p1 เท่ากับ 218 |
และ p2 เท่ากับ 6 ดังนั้นเลขที่ port คือ 218*256 + 6 = 55814 |
กำหนดให้ FTP client อยู่ในเครือข่ายภายในและ FTP server เป็นเครือข่ายภายนอก โดยมี screening router |
เชื่อมระหว่างเครือข่ายภายในและเครือข่ายภายนอก ปัญหาที่เกิดขึ้นคือ port สำหรับ data connection นั้น |
ถูกกำหนดโดย FTP protocal ทำให้ไม่สามารถกำหนด destination port ที่แน่นอนเพื่อที่ screening router |
สามารถตรวจสอบ packet ได้ ดังนั้นเมื่อมีการใช้ FTP protocol host จากภายนอกเครือข่ายสามารถ |
เข้าสู่เครือข่ายภายในได้ โดยกำหนดให้เป็นการเรียกจาก port 20 |
วิธีการแก้ปัญหาคือใช้ TCP ACK flag เมื่อมีการติดต่อจากภายนอกและยกเลิก packet ที่มีการติดต่อ |
host ภายในโดยใช้ port มาตรฐาน(เลขที่ port ต่ำกว่า 1024) เนื่องจาก data connection port ต้อง |
มีค่าสูงกว่า 1024 |
RFC 1579 (Firewall-Friendly FTP) ได้กำหนดคำสั่ง PASV(passive open) โดย FTP client ส่ง |
คำสั่ง PASV ไปยัง FTP server แล้ว FTP server จะสุ่ม port เพื่อใช้สำหรับ data connection |
โดยยกเลิกการใช้ port 20 และ FTP client ใช้ port ที่ส่งกลับโดย FTP server สำหรับ data connection |
UDP เป็น connectionless protocol จึงไม่มี ACK Flag เช่น TCP ดังนั้นใน UPD protocol นั้น |
screening router จึงสามารถตรวจสอบได้เฉพาะเลขที่ port เท่านั้น |
ตัวอย่างเช่น ใน SNMP นั้นใช้ UDP protocol และ port เลขที่ 161 โดย destination port จะกำหนด |
จาก SNMP client |
ดังนั้นผู้บุกรุกสามารถเข้าสู่ระบบเครือข่ายที่ต่ออยู่กับ SNMP Manager ได้โดยกำหนด source port |
ให้เป็นเลขที่161 และ destination port เป็น port ซึ่งให้บริการอื่นๆ ในเครือข่าย เช่น port เลขที่ |
1352 ซึ่งเป็นของ Lotus notes |
การแก้ปัญหาคือให้ screening router ยกเลิก packet ซึ่งมี source port เป็น 161 และ destination |
port เป็น port ซึ่งให้บริการอื่นๆในเครือข่าย |
Firewall คือ อุปกรณ์ที่ใช้ในการป้องกันเครือข่ายจากการบุกรุกจากบุคคลซึ่งไม่มีสิทธิ์ในการใช้งาน |
Firewall ในที่นี้ได้รวมถึงอุปกรณ์การเข้ารหัส, screening router และ application-level gateway |
Firewall จะถูกกำหนดไว้ระหว่างเครือข่ายภายในและเครือข่ายภายนอก ซึ่งในที่นี้คือ Internet โดยปกติ |
Firewall จะทำงานที่ application layer อย่างไรก็ตาม Firewall สามารถทำงานที่ network และ |
transport layer ได้ โดย Firewall จะตรวจสอบ soure IP address, destination IP address |
และ TCP flags เช่นเดียวกับ screening router |
การแยกเครือข่ายภายในออกจากเครือข่ายภายนอกสามารถทำได้โดยให้ host ซึ่งกำหนดให้มีหน้าที่เป็น |
Firewall มี network interface card 2 ชุดสำหรับเครือข่ายภายนอกและเครือข่ายภายในดังแสดงในรูปที่ 6 |
Firewall จะเชื่อมต่อเครือข่ายภายในและภายนอกโดยโปรแกรม ซึ่งโปรแกรมนี้จะตรวจสอบ packet |
ซึ่งเข้าสู่ Firewall เช่นเดียวกับใน screening router อย่างไรก็ตามเนื่องจากโปรแกรมทำงานที่ |
application level ดังนั้นการตรวจสอบ packet จะทำได้ดีกว่า screening router |
ข้อเสียของระบบดังรูปที่ 6 คือ ในกรณีที่ผู้ใช้สามารถ log in เข้าสู่ Firewall ผู้ใช้นั้นสามารถเปลี่ยนแปลง |
แก้ไขโปรแกรมที่ใช้ในการตรวจสอบ packet ได้ ดังนั้น password สำหรับ log in เข้าสู่ Firewall |
ควรเก็บรักษาด้วยความระมัดระวังและควรมีการบันทึกการ log in เข้าสู่ Firewall ด้วย |
นอกจากการต่อ Firewall ตามรูปที่ 6 แล้วยังสามารถใช้ screening router เชื่อมต่อกับ host โดย |
host ซึ่งทำหน้าที่เป็น Firewall จะเรียกว่า Bastion Host และ screening router จะ |
เชื่อมต่อระหว่างเครือข่ายภายในและเครือข่ายภายนอก โดยการรับข้อมูลทั้งหมดจาก |
เครือข่ายภายนอกต้องผ่าน screening router ก่อนจึงจะถูกส่งไปยัง bastion host |
ดังแสดงในรูปที่ 7 |
จากรูปข้างต้นนั้น เครือข่ายภายในแบ่งออกเป็นสองส่วนคือ outside network ใช้ในการเชื่อมต่อ |
screening router กับ baston host และ Inside network เพื่อเชื่อมต่อ bastion host เข้ากับ |
เครือข่ายภายใน |
ในกรณีนี้จะเป็นระบบป้องกันสองชั้น คือ ผู้บุกรุกต้องผ่านการตรวจสอบจาก screening router ก่อน |
หลังจากนั้นจะต้องผ่าน bastion host จึงจะสามารถเข้าสู่เครือข่ายภายในได้ เนื่องจาก outside network |
มีเฉพาะ screening router และ bastion host ดังนั้นจึงเรียก outside network ว่า Demilitarized Zone |
หรือ DMZ
|
DMZ สามารถใช้การเชื่อมต่อแบบ point-to-point ได้เนื่องจากเป็นการเชื่อมต่อสองเครือข่ายเข้าด้วยกัน |
ซึ่งจะทำให้ผู้บุกรุกไม่สามารถ tab สายได้ ข้อดีของการต่อตามรูปที่ 9 คือ ผู้บุกรุกต้องผ่าน bastion host |
ก่อนจึงจะสามารถผ่านเข้าสู่ inside network ได้ ถึงแม้ว่าผู้บุกรุกสามารถเข้าสู่ screening router table ได้ |
ในกรณีที่เครือข่ายยอมให้มีการเชื่อมต่อแบบ FTP โดยใช้ anonymouse เป็น password นั้นบุคคล |
ภายนอกเครือข่ายยังสามารถเข้าสู่เครือข่ายภายในได้ ดังนั้นจึงต้องเพิ่ม bastion host เป็นสองตัว |
ซึ่งจะได้ DMZ เป็นสองส่วนคือ outside DMZ และ inside DMZ ดังรูปที่ 10 |
โดยปกติภายใน screened subnet ประกอบด้วย bastion host ต่อกับเครือข่ายดังแสดงในรูปที่ 15
Application-level gateways ใช้สำหรับเครือข่าย interactive เช่น Telnet ดังแสดงในรูปที่ 16
ในการรักษาความปลอดภัยในเครือข่ายนั้น เบื้องต้นจะใช้ screening router เพื่อที่จะรับหรือ |
ยกเลิก packet ที่เข้ามาสู่เครือข่ายภายใน เช่น สามารถกำหนดให้ router รับจดหมายอิเลคทรอนิคส์ |
เฉพาะจาก host ที่กำหนดเท่านั้น |
อย่างไรก็ตามการใช้ screening router เพียงอย่างเดียวยังมีข้อบกพร่อง ในกรณีที่มีการอนุญาติ |
ให้ host จากเครือข่ายภายนอกสามารถกำหนด port ที่ต้องการติดต่อเข้าสู่เครือข่ายภายในได้ เช่น |
FTP ซึ่ง FTP client อยู่ในเครือข่ายภายใน ดังนั้น FTP server จากเครือข่ายภายนอกสามารถกำหนด |
destination port ได้โดยกำหนดให้ source port คือ port เลขที่ 20 |
Firewall เป็นการรักษาความปลอดภัยที่ทำงานที่ application layer เมื่อใช้ Firewall และ screening |
router ร่วมกัน จะสามารถแก้ไขข้อบกพร่องที่กล่าวมาแล้วข้างต้น โดยการติดต่อใดๆ จากเครือข่ายภายนอก |
จะต้องเข้าสู่ Firewall เท่านั้น ดังนั้นเครือข่ายภายนอกจะไม่สามารถติดต่อกับเครือข่ายภายในได้โดยตรง |
Firewall โดยทั่วไปจะเป็นเครื่องคอมพิวเตอร์ซึ่งทำการตรวจสอบ packet ที่เข้ามาจากเครือข่ายภายนอก |
การรักษาความปลอดภัยในเครือข่ายนั้นส่วนที่สำคัญที่สุด คือผู้ใช้งานภายในเครือข่ายนั้นเองที่จะต้องรักษา |
ความลับของรหัสผ่านในระบบและหลีกเลี่ยงการติดต่อกับ host ซึ่งไม่สามารถเชื่อถือได้ |