Friday, August 19

Network Security Identity # 2

Submitted by classicx. on Oct 24, 2005 12:00 pm.

การระบุตัวตน ที่แท้จริงบนโลกอินเตอร์เน็ทเป็นเรื่องที่ยาก ระบบอินเตอร์เน็ทได้เติบโต จนทุกครั้งที่จะใช้งานคอมพิวเตอร์ต้องเชื่อมต่อโลกอินเตอร์เน็ทไปด้วยกันเสี ยแล้ว ภัยคุกคามที่เกิดจาก hackers ก็ดี Spam,Virus computer,worm, trojan horse อื่นๆอีกมากมาย เราผู้ใช้งานก็อาจจะตกเป็นเหยื่อได้หากประมาท และรู้ไม่เท่าทัน ดังนั้นการที่นำการระบุตัวตนบนระบบเครือข่ายจึงเป็นการแสดงความคิด เพียงเพื่อว่าทุกปัญหาที่เกิดขึ้นจะได้มีทางออกที่ถูกต้องและปลอดภัยได้ในที ่สุด



ผู้เขียนได้มีประสบการณ์ได้การตรวจจับหาผู้กระทำความผิดที่เกิดขึ้นบนโลกอิน เตอร์เน็ท มาหลายๆกรณี หลายครั้งเป็นที่เป็นการกระทำของบุคคล และการกระทำที่ไม่ใช่บุคคล ครั้งนี้คงไม่ได้ถ่ายทอดประสบการณ์ที่ผ่านมาในกรณีสำคัญแต่เป็นการแสดงแนวความคิด การป้องกันในเชิงรู้ทันเหตุการณ์ และระบุที่มาที่ไปได้ เป็นหลัก
>การกระทำที่เกิดจากบุคคล => มองได้ว่าเป็นการโจมตีของผู้บุกรุกระบบ (Hackers) โดยอาจใช้เทคนิคต่างๆ ไม่ว่าจะเป็นการโจมตีด้วยฝีมือ และใช้โปรแกรมช่วยก็ตาม หากเป็นการบุกรุก โดยหวังผลให้ระบบเครือข่ายมีความเสียหายและใช้งานไม่ได้เรียกว่า DoS (Denial of Services) การโจมตีผ่าน Web application ที่มีหลากหลายเทคนิค ไม่ว่าเป็น Sql injection , Cross-Site Scripting (XSS) Flaws และอื่นๆ สามารถอ่านรูปแบบโจมตีได้ที่ โครงการ OWASP ในส่วน 10 TOP การโจมตีผ่าน Web application
หรือเป็นเพียงการต้องการศึกษาระบบเครือข่ายเพื่อทำการประเมินความเสี่ยงในเช ิงลึก ที่เรียกว่าการทำ Penetration test หรือในเชิงพื้นฐานเพื่อค้นหาความเสี่ยงจากสิ่งที่มีอยู่เดิม เรียกว่า Vulnerability Assessment ทำเพื่อวิเคราะห์ก่อนที่จะทำการปิดความเสี่ยงที่เรียกว่าการ Hardening ต่อไปไม่ว่าเป็นระบบเครือข่าย ,เครื่องแม่ข่าย รวมถึงเครืองลูกข่ายตามลำดับ ซึ่งในการทำการศึกษาเพื่อประเมินความเสี่ยงนั้น มักใช้กับงานที่ปรึกษาระบบความปลอดภัยเครือข่าย หรือแม้กระทั้งกลุ่ม Security officer ที่ประจำ ตามบทบาทและหน้าที่ในองค์กร
ซึ่งทั้งหมดที่กล่าวมาอาจจะบุคคลที่จงใจทำทั้งหมดโดยเขียนโปรแกรมขึ้นเฉพาะก ิจ แบบอัตโนมัติที่เรียกว่า Script rooter
ก็เป็นได้ หรือเกิดจากความประมาทของคนที่เรียกว่า Human error ก็เป็นได้ ล้วนทำให้เกิดความเสียหายได้ทั้งสิ้น


>การกระทำที่เกิดจากไม่ใช่บุคคล => ซอฟแวร์ต่างๆที่ไม่พึ่งประสงค์ ที่เขียนขึ้นจากบุุคคลเพื่อหวังผลอย่างใดอย่างหนึ่งซึ่งสามารถทำความเสียหาย ให้แก่ระบบและล่วงละเมิดความเป็นส่วนตัวของข้้อมูลนั้น ตัวอย่างเช่น Malware ส่วนใหญ่คนทั่วไปจะรู้จักชื่อ Spyware แต่ในความหมายแล้วคำว่า Spyware เป็นเพียง sub set ของ Malware , Virus Computer / worm , Backdoor รวมถึง Spam ที่เป็นแหล่งที่มาของการกระทำที่ไม่เหมาะสมอื่นๆตามกับ Spam หรือ อีเมล์ขยะ เช่น เทคนิคที่เรียกว่า phishing และ worm ชนิดต่างๆที่แอบฝั่งมากับ file e-mail เป็นต้น
สามารถอ่านได้ในบทความก่อนที่ชื่อว่า The Dark site of Internet

หากเรามองการโจมตีเกิดจาก 2 สาเหตุใหญ่ดังที่กล่าวมา จะมีสักกี่ครั้งที่เราทราบว่า เกิดจากอะไร และเกิดขึ้นได้อย่างไร ใครเป็นผู้ทำ ดังนั้นด้วยความอยากรู้และอยากหาคำตอบสิ่งเหล่านั้น จึงเกิดบทความนี้ขึ้น โดยแบ่งเป็น 2 ตอน ตอนแรกได้กล่าวไปบ้างแล้วถึง การระบุตัวตนบน Local Area Network Security Identity ไปแล้ว มาตอนนี้เราจะมาพูดถึง Global Area Network Security Identity กันบ้าง
ณ ปัจจุบัน ขณะที่เขียนบทความนี้อยู่ ยังไม่มีที่ใดในโลก ที่สามารถ identify ตัวตนได้จริง ดังนั้นการบรรยายว่า Global Area Network Security Identity จึงเป็นเพียงการเสนอความคิดทำนั้น
ได้แบ่งเนื้อหาไว้ 4 ส่วน
ส่วนที่ 1 จะกล่าวถึงวิธีที่จะจัดระเบีียบผู้ให้บริการอินเตอร์เน็ทเพื่อจะสามารถจัดหา ได้ถูกต้องว่า IP นั้นมีที่มาที่ไปอย่างไร
ส่วนที่ 2 การฝังซอฟแวร์พิเศษเพื่อช่วยในการระบุตัวตน ผ่านทางระบบเครือข่าย
ส่วนที่ 3 การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท
ส่วนที่ 4 จริยธรรมในการใช้สื่ออินเตอร์เน็ท

ขยายความในส่วนที่ 1 ในบางประเทศได้จัดทำเรียบร้อยแล้ว โดยเฉพาะประเทศสหรัฐอเมริกา โดยแผนการปฏิบัติคือ ISP ที่เป็นผู้ให้บริการทางอินเตอร์เน็ทจะต้องทำดังนี้
1.1 กำหนดโซน IP ที่ให้บริการ เช่น เขตภาคเหนือ ช่วง IP ถึง IP นี้ เขตภาคตะวันออก ช่วง IP ถึง IP นี้เป็นต้น โดยทุกช่วง IP จะสามารถระบุตัวตนได้ระดับหนึ่งว่ามาจากสถานที่ใด ให้ระบุเจาะจงไปอีก ว่าเขตภาคเหนือ ใน ย่าน A IP ต้องเป็นจำนวนนี้ และค่าเริ่มต้นและค่าสุดท้ายเป็นเท่าไหร่ ยกตัวอย่าง ภาคเหนือที่ได้เป็น IP 202.155.3.x - 202.165.3.x ในย่าน A จะเริ่มที่ 202.156.1.x - 202.156.5.x เป็นต้น โดยคำนวณตาม sub net ที่ยังคงอยู่
ตัวอย่างภาพการตรวจจับ IP ที่ส่ง Spam ในภูมิภาคหนึ่ง
เมื่อขยายส่วนลงไปสู่ย่านการให้บริการ ก็จะทราบว่าเครื่องที่ส่ง Spam mail มาจากถนนสายไหน เป็นต้น
ภาพได้จาก Mailinator ที่อาศัยเทคโนโลยี google map กับการหาเส้นทาง IP ผู้ส่ง Spam mail
1.2 ทำการเก็บ log file ในแต่ละ IP ที่เกิดจากการ Authentication กับตัว Radius server มึการเก็บ log จาก Radius server จะทำให้ทราบถึง เบอร์โทรศัพท์ที่กำลังใช้ อินเตอร์เน็ท และใช้ในช่วงเวลาใด เท่านั้น
1.3 log จากระบบตรวจจับผู้บุกรุก ISP ที่ติดตั้งระบบตรวจจับผู้บุกรุก ตามโหนดต่างๆ ตามภูมิภาค และตามย่าน ที่เกิดจากการผ่านจาก gateway ไปยังที่หนึ่ง ซึ่งตรงนี้จะนำไปกล่าวในส่วนที่ 3 คือการสร้่างศูนย์เตือนภัยทางอินเตอร์เน็ทต่อไป
ข้อเสียที่พบได้ ในส่วนที่ 1 คือ
- ยังไม่สามารถป้องกันการปลอมแปลง IP หรือที่เรียกว่า Spoofing ได้ เนื่องจากผู้บุกรุกสามารถที่จะปลอม IP จากการใช้บริการ Anonymous proxy และการยึดเครื่องเพื่อไปอีกเครื่องและทำการโจมตีอีกเครื่องได้ หรือที่เรียกว่า proxy chain
- ทำการสืบค้นหาผู้กระทำผิดได้ยาก ต้องอาศัยความครบถ้วนของข้อมูลจาก ISP เพื่อทำการ Forensics ต่อไป

ขยายความในส่วน 2 การฝังซอฟแวร์พิเศษเพื่อช่วยในการระบุตัวตน เปลี่ยนเสมือนใช้ RFID ฝังไปยังทุกเครื่องที่ผ่านทางระบบเครือข่าย เป็นวิธีที่เคยทำมานานมากแล้ว แต่ไม่มีการเปิดเผยแก่สาธารณะมากเนื่องจากใช้กับวงการตำรวจ โดยเฉพาะ FBI เพื่อค้นหาผู้กระทำความผิดทางอินเตอร์เน็ท
แนวทางปฏิบัติ ทำได้ 2 แบบ
2.1 ทางออกอินเตอร์เน็ท ที่ฝังสคิป นั้นคือ เมื่อทำการติดต่ออินเตอร์เน็ท เข้าสู่ website หนึ่งจะมีการส่ง script ที่เป็นcookie ฝังไปกับเครื่อง เมื่อต่ออินเตอร์เน็ท จะโดนบังคับให้เปิด ที่ website แห่งหนึ่ง นี้จะเรียกว่า web gateway เและเชื่อมโยงฐานข้อมูลกับ ตัวระบบ Radius เพื่อบังคับให้กรอก user /password ก่อนถึงจะใช้ อินเตอร์เน็ทในการ connect ตาม protocol ต่างๆได้ หลังจาก cookie ที่เขียนไว้ใน web gateway จะส่งค่า ชื่อเครื่องคอมพิวเตอร์ , IP ที่ใช้ , ค่า MAC address เครื่อง และส่งไปที่ศูนย์ ISP นั้น เพื่อทำการเก็บประวัติการใช้งาน

2.2 สร้าง robot ที่เป็นชนิด spiderbot ที่คอยเก็บข้อมูล ช่วง IP แล้วส่งค่าไปที่ศูนย์ ISP เป็นระยะๆ ต่างกับวิธีแรก ตรงที่ไม่บังคับให้เข้า web gateway เสียก่อน แต่ผู้ใช้ ใช้งานได้ปกติ หากเล่นอินเตอร์เน็ทสักพัก จะมี spiderbot ดังกล่าวเข้ามาในเครื่องเมื่อเปิด website ที่ให้ความร่วมมือ อาจจะเป็น website หลักๆท่ีได้รับความนิยมหรือเป็นบริการอื่นๆ ที่ไม่ใช่วิ่งบน protocol html เป็นบริการ IRC (Internet Relay Chat) บน port 6666 - 7000 ที่พอจะเป็นแหล่งที่ผู้ใช้งานอินเตอร์เน็ทนิยมใช้งาน ในกรณีอาจจะหลุดในการติดตามได้ เนื่องจากผู้ใช้งานอาจไม่ได้เข้าไปใน ส่วนบริการดังกล่าว และต้องอาศัยความร่วมมือกับผู้ให้บริการ หลักที่เป็นที่นิยม ซึ่งเป็นการยากที่จะปฏิบัติได้ในส่วนนี้

3. การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เป็นสิ่งจำเป็นและสามารถหาที่มาที่ไปของการกระทำต่างๆ ที่เกิดขึ้นบนโลกอินเตอร์เน็ทได้ดีและเหมาะสมที่สุด โดยใช้การตรวจจับที่เกิดแบบ Real-time หรือจาก log ก็ดี ทั้งนี้เป็นการกระทำที่บนพื้นฐานของระบบ IDS (Intrusion Detection System) หลายคนเข้าใจว่า IDS กำลังจะตายและจะเปลี่ยนเป็น IPS (Intrusion Prevention System) แทน ความเข้าใจดังกล่าวไม่ผิดและไม่ถูกเสียที่เดียว สิ่งที่เป็นอยู่ปัจจุบันก็ดีเรามองว่าเราต้องการระบบป้องกันระบบเครือข่าย จึงสรรค์หาเพียง IPS เป็นที่ตั้ง เนื่องจากเทคโนโลยีได้เปลี่ยนแปลงไป ทำให้ IDS และ IPS อยู่รวมกัน หากขึ้นอยู่กับการวางและการนำไปใช้งาน เช่นเมื่อไหร่ วางแบบ passive mode คือการวางโดย mirror traffic จากอุปกรณ์ที่เป็นสวิตซ์ ก็ดีหรือจากอุปกรณ์พิเศษก็ดี การวางเช่นนี้จะทำให้เป็นระบบ IDS ทันทีเนื่องจากไม่มีการปิดการเชื่อมติดต่อของข้อมูลได้ (ยกเว้นบางเทคนิคที่ใช้ ควบคู่กับ Firewall โดยส่งค่าสั่งตัว Firewall ให้เป็นตัวปิดการติดต่อแทน) แต่เมื่อวางแบบ Inline หรือการวางขวางทาง เพื่อให้ทุก packet ได้วิ่งผ่านตัวมันและสามารถกำหนดนโยบาย ให้อะไรผ่านและไม่ให้อะไรผ่านโดยจับตาม content เป็นหลัก การตรวจจับจะเริ่มตรวจจับจาก layer 2 - layer 7 บน OSI และการตรวจจับอาจอิงตาม signature สิ่งที่มีในฐานข้อมูล หรือจะเป็นการตรวจจับแบบเรียนรู้วิธีการหรือพฤติกรรมของข้อมูล ก็สุดจะเทคโนโลยีจะทำได้การวางระบบแบบนี้จะเรียกว่า IPS
ดังนั้น การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท ให้เหมาะสมและเกิดประโยชน์มากที่สุดจำเป็นต้องวาง IDS และ IPS ในแต่ละแบบ ตามจำนวนโหนดทาง ติดตั้งไป เพื่อจะมองเห็นการกระทำ ที่ผิดปกติที่เกิดขึ้นในระบบเครือข่ายได้มากที่สุด ดังนั้นเมื่ออ่านตั้งแต่ต้นแล้ว ผู้เขียนจะเน้นการนำ log มาวิเคราะห์ และส่วนที่เติมเต็มสำหรับการวิเคราะห์ที่มาที่ไปของ การกระทำผิดบนอินเตอร์เน็ทได้อย่างเห็นผลที่สุด ยิ่งมี IDS ติดตามโซนต่างๆบนระบบเครือข่ายมากเท่าไหร่ยิ่งทำให้รู้ความคลื่นไหวของผู้บุ กรุกบนระบบเครือข่ายได้มากเท่านั้น จึงเป็นสิ่งสำคัญที่สุดสำหรับการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

ตัวอย่าง web dshield ที่เตือนภัยการบุกรุกโดยจับข้อมูลตาม protocol และระบุ top attacker ได้ว่ามาจาก IP อะไร


log การเก็บรวบรวม log ที่เกิดขึ้น log เป็นผลการกระทำที่เกิดจากการเก็บค่าบนระบบเครือข่ายเช่น log จาก router gateway , log จาก firewall , log จาก IDS พวกนี้เป็น log ที่เกิดขึ้นบนระบบเครือข่าย ยังไม่เพียงพอที่จะสามารถระบุภัยคุกคามได้ทั้งหมดทุกด้าน ต้องมีการเก็บ log ในส่วนของ localhost ในแต่ละอุปกรณ์ตลอดจนเครื่อง PC ไม่ว่าเป็น log ของ web server , log ของ data base server รวมถึง log ที่เกิดขึ้นบนเครื่อง PC ต่างๆ ที่ใช้งานอยู่

log พวกนี้เป็นการกระทำที่เกิดขึ้นแล้ว มักเรียกว่าเป็น re-active ซึ่งอาจจะสายเกินไปหากเกิดปัญหา ดังนั้นจึงมีแนวความคิดที่ทำพวก HIDS (Host Base Intrusion Detection System) ขึ้นเพื่อทำ pro-active คือรู้ทันเหตุการณ์เมื่อเกิดปัญหา HIDS ที่กล่าวถึงในปัจจุบันมักจะรวมการตรวจค่า integrity เพื่อตรวจค่าสำคัญบนตัวเครื่องเหล่านั้นหากมีการเปลี่ยนแปลงจะมีการฟ้องหรือเตือนผู้ดูแลระบบได้ link โปรแกรมที่เกี่ยวกับ HIDS และ Host Base Integrity

ฉะนั้นการสัมพันธ์กันอย่างเป็นระบบ ในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท อุปกรณ์หลักคือต้องมี ระบบตรวจจับผู้บุกรุกบนเครือข่ายที่เรียกว่า NIDS/NIPS รวมถึงการเก็บ log ที่เกิดขึ้นบนระบบเครือข่ายและในตัวเครื่องคอมพิวเตอร์เอง ตลอดจนมีการตรวจสอบการเปลี่ยนแปลงค่าสำคัญที่เกิดขึ้นบนตัวเครื่องที่เรียกว่า Host Base Integrity ทั้งหมด เมื่อมีการนำไปใช้งานได้ถูก จะทำให้เกิดความสะดวกในการระบุที่มาที่ไปของการโจมตีที่เกิดขึ้นบนโลกอินเตอร์เน็ทได้อย่างดี

4. จริยธรรมในการใช้สื่ออินเตอร์เน็ท คำอธิบายข้อนี้คงเป็นเพียง สิ่งสุดท้ายที่กล่าวตักเตือน แต่เป็นส่ิงแรกที่พึ่งกระทำ เพราะทุกอย่างที่กล่าวมานั้นมีทางหลบเลี่ยงได้ หากผู้ใช้ เป็นผู้มีจิตสำนึกที่ดี เป็นคนดี และมีจริยธรรม ก็คงไม่เกิดเห็นการณ์ที่เสียหาย และถึงมือตำรวจในการหาผู้กระทำความผิดได้ ดังนั้นการสร้างจิตสำนึกที่ดีในการใช้สื่อ ไม่ว่าเป็นสื่อใดๆ ควรปลูกฝังตั้งแต่เด็ก สร้างธรรมะในจิตใจ และให้ตะหนักถึงผลการกระทำที่เกิดขึ้นในอนาคตหากประพฤติผิด นั้นคือกฏแห่งกรรม ที่ตามเป็นเงาของเราตลอดเวลา จนกว่าความจริงจะถูกเปิดเผย

นนทวรรธนะ สาระมาน
Nontawattana Saraman
19 กันยายน 2548

Sunday, August 14

Network Security Identity # 1


การระบุตัวตนบนระบบเครือข่ายความปลอดภัย

ทุกวันนี้มีอัตราการเจริญเติบโตทางอินเตอร์เน็ทจำนวนมาก ทุกวันนี้มีอัตราการเจริญเติบโตทางอินเตอร์เน็ทจำนวนมาก จากผลวิจัยสถิติในการใช้งานอินเตอร์เน็ทในประเทศไทย จัดทำโดย ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (Nectec)

นับแต่ปี 2534 มีการใช้งานอยู่อินเตอร์เน็ทเพียง 30 เครื่องในประเทศไทยจนถึงปี 2547 จำนวนเกือบ 7 ล้านคนที่ใช้อินเตอร์และมีที่ท่าว่าจะมากขึ้นตามจำนวนประชากร

เมื่อมีการใช้งานทางอินเตอร์เน็ท และทุกองค์กรมุ่งสู่การทำ E-commerce จึงทำให้มีการเจริญเติบโตทางระบบเครือข่าย จนสู่การใช้งานที่บ้าน เป็นผลให้ระบบความปลอดภัยข้อมูลจึงเป็นสิ่งที่สำคัญ เนื่องจากมีการบุกรุกและโจมตีระบบเครือข่าย ต่อเนื่อง และผลกระทบสร้างความเสียหายในเชิงธุรกิจและชื่อเสียง เป็นมูลค่าที่ไม่สามารถประเมินได้

ภัยคุกคามต่างๆ ไม่ว่าเป็นการแพร่ระบาดของไวรัสคอมพิวเตอร์ หรือการส่งจดหมายอิเล็คทรอนิคขยะ ที่เรียกว่า Spam เป็นภัยคุกคามอันดับต้นๆ ที่แสดงความน่ารำคาญและมีผลกระทบกับการใช้งานอินเตอร์ในชีวิตปัจจุบัน

จากผลสำรวจของศูนย์ปฏิบัติการตรวจจับการแพร่ระบาดไวรัสจดหมายอิเล็คทรอนิคส์ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สบทร) พบว่า ตั้งแต่ปี 2002 ถึง 2005 อัตราการแพร่ระบาดไวรัสที่แนบมากับจดหมายอิเล็คทรอนิคส์เพิ่มสูงขึ้นจำนวนมาก

จำนวนหนอนอินเตอร์เน็ท หรือที่เรียกว่า worm ที่แพร่ระบบในอินเตอร์มีอัตราการแพร่ระบาดอยู่ที่ 8,000 ครั้งต่อวัน

ส่วนโปรแกรมที่ไม่พึ่งประสงค์ หรือที่เรียกว่า Malware , โปรแกรมที่แอบแฝงในการบุกรุกข้อมูล ที่เรียกว่า Spyware มีจำนวนเพิ่มมากกว่าอัตราของไวรัสคอมพิวเตอร์ชนิดหนอนคอมพิวเตอร์ โดยตกอยู่ที่ 300,000 – 400000 ครั้งต่อวัน โดยที่นี้ ได้นำข้อมูลมาจาก secunia ซึ่งเป็นบริษัทข่าวสารด้านความปลอดภัยข้อมูลสารสนเทศ

ภัยจากการบุกรุกจากผู้ไม่พึ่งประสงค์หรือเรียกว่า Hacker ซึ่งเพิ่มอันตราจำนวน Hacker จำนวนมากทั่วโลกเนื่องจากการเข้าถึงโลกอินเตอร์เน็ทเป็นเรื่องที่ง่าย และค้นหาข้อมูล รวมถึงหา Tools ในการโจมตีมีให้ กันทั่วไปในโลกอินเตอร์เน็ท

ในภาพบ่งบอกถึงการโจมตี Web ในประเทศไทย พบว่า domain .co.th มีสถิติการโดยบุกรุกมากที่สุด รองลงมาคือ .go.th

จากการจัดอันดับของ web SRAN community โดยนำข้อมูลจาก Zone-h พบว่าบุกรุกและเปลี่ยนหน้า web ทั้งหน่วยงานราชการไทย และบริษัท ห้างร้าน สถาบันการศึกษา ทุกหน่วยงาน และทุกวันมีการเปลี่ยนหน้า web ซึ่งเป็นการบ่งบอกได้ว่า มีผู้บุกรุกในระบบอินเตอร์จำนวนมาก ทั้งที่เป็นคนและไม่ใช่คน ที่ไม่ใช่คน อาจจะเป็นสคิป(ส่วนหนึ่งของ botnet)หรือโปรแกรมของนักพัฒนาระบบเพื่อค้นหาช่องโหว่ที่เกิดขึ้นในระบบปฏิบัติการหรือ Application ที่เขียนมีความเสี่ยง โดยสคิป เมื่อมีการดัดแปลงและประยุกต์เข้ากับข่าวสารช่องโหว่ใหม่ที่พบใน web ข่าวสารด้านความปลอดภัยก็จะมีผู้ผลิตเพื่อค้นหาว่าเครื่องใดที่ยังไม่ถูกทำการป้องกัน (Security Patch) หากเครื่องดังกล่าวยังอ่อนแอ หรือยังไม่ได้ทำการหนึ่งการใดเพื่อป้องกันตัวเอง ก็จะถูกบุกรุกและเข้าถึงข้อมูลได้อย่างง่ายดาย

ซ้ำร้ายไปกว่านั้นได้มีการโจมตีชนิดใหม่ๆ ที่แอบแฝงมากับจดหมายอิเลคทรอนิคส์ หรือที่เรียกว่า e-mail และโปรแกรมที่นำมาเป็นเครื่องบันเทิงในการใช้งาน ที่เรียกว่า Phishing โดยมีอัตราเพิ่มขึ้นจำนวนมากและทำให้ผู้สูญเสียความลับ และการทำธุรกรรมผ่านระบบอินเตอร์เป็นเรื่องที่ไม่ปลอดภัย

เมื่อเปรียบเทียบภัยคุกคามต่างๆ จาก Zdnet หรือ ITfacts พบว่าภัยอันดับ 1 ที่คุกคามชีวิตการใช้งานของเรามากที่สุดคือ Spam รองลงมาคือ Phishing และไวรัสคอมพิวเตอร์ ตามลำดับ เพื่อการอ่านเนื้อที่ครบลองกลับไปอ่านบทความ Dark Side of The Internet ที่ผู้เขียนได้เขียนไว้ช่วงต้นปี

หากองค์ที่ต้องการเชื่อมต่อระบบอินเตอร์เน็ท และละเลยเรื่องความปลอดภัยแล้ว ย่อมส่งผลเสียอย่างแน่นอน ทุกวันนี้ได้มีธุรกิจด้าน IT security ที่เปิดเป็นเชิงการค้า เป็นจำนวนมาก มีทั้งผลิตภัณฑ์เพื่อป้องกันข้อมูล ป้องกันระบบเครือข่ายทั้ง Hardwareหรือเรียกอย่างหนึ่งว่าเป็น Applianceและ Software รวมถึงการให้บริการด้านความปลอดภัยข้อมูล แบบมืออาชีพ ให้คำปรึกษาในการสร้างความปลอดภัยให้เกิดขึ้นในองค์กร การอบรมความรู้ด้านการรักษาความปลอดภัยข้อมูล เป็นจุดไฟในการศึกษาและค้นหา จนเกิดบุคคลากรผู้สนใจระบบความปลอดภัยจำนวนมาก ทั้งหมดคือความตื่นตัวของจำนวนผู้ใช้งานระบบเครือข่ายผ่านเข้าสู่โลกไร้พรมแดน ด้วยเหตุนี้เอง หากเราจึงควรมีความเข้าใจและศึกษาระบบความปลอดภัยข้อมูล เพื่อเตรียมความพร้อมในการป้องกันภัยเบื้องต้นให้กับตนเองและองค์กรที่ตนทำอยู่

การสร้างระบบความปลอดภัยข้อมูล อย่างยั้งยืนนั้นประกอบด้วย 3 เรื่องเป็นหัวใจสำคัญ

  1. เทคโนโลยี
  2. คน
  3. กระบวนการ

เทคโนโลยี ต้องมีความทันสมัยและสามารถป้องกันภัยต่างๆที่เกิดขึ้นในการใช้ข้อมูลได้ ได้แก่ ระบบ Firewall , IDS/IPS , Vulnerability Management , SIM ,Anit-virus/Anti-Spam/Anti-Spyware software, Network Management, ระบบ สำรองข้อมูล และอื่นๆจะพบว่าการลงทุนด้านความปลอดภัยให้ครบวงจรนั้นต้องใช้เงินทุนจำนวนมาก และเมื่อเปรียบเทียบการย้อนคืนถึงผลลัพธ์ที่ได้กับการลงทุนหรือที่ เรียก Return Of Investment (ROI) บางอย่างย่อมไม่คุ้มทุนที่เสียไป เนื่องจากอุปกรณ์ดังกล่าวจะมีค่าสึกหร่อ ,ค่าบำรุงรักษา ค่าลิขสิทธิหรือที่เรียกว่า license ที่เพิ่มตามประมาณ และเกินกำลังทรัพย์ของบางองค์กร

คน ต้องมีความตะหนักในการใช้ข้อมูลสารสนเทศ หรือที่เรียกว่า Security Awareness ในสมาคมInformation Systems Security Association (ISSA) ได้จัดตั้งโครงการที่ชื่อว่า Humman Firewall เพื่อสร้างความตะหนักในการใช้ข้อมูลสารสนเทศให้ปลอดภัยดังคำขวัญที่ว่า " Be Aware Be Secure" จุดอ่อนความปลอดภัยไม่ว่าจะเป็นเรื่องข้อมูลหรือเรื่องการใช้ชีวิตประจำวัน ก็จะเกิดจากการผิดพลาดของคนเป็นหลัก หากคนพึ่งปฏิบัติตนเองด้วยสติ และมีประสบการณ์ความรู้ในสายงานที่ทำ ความผิดพลาดย่อมน้อยลง

กระบวนการ ด้านความปลอดภัยข้อมูล หลายองค์กรเริ่มสนใจเรื่องกระบวนการมากขึ้น เพราะเข้าใจกันดีว่า "Security not Product but Security is Process" การจัดทำนโยบายด้านความปลอดภัย(Information Security Policy)ก็ดี การสร้างมาตราฐานตาม ISO17799 หรือ มาตราฐานอื่นๆ แล้วแต่ลักษณะงาน เป็นผลให้การสร้างกระบวนการด้านความปลอดภัยมีรูปธรรมขึ้น อย่างมีกรอบ ที่สามารถนำไปใช้งานกับองค์กรได้เป็นอย่างดี

การสร้างระบบความปลอดภัยข้อมูล เป็นเรื่อง "ใกล้ แต่ ไกล" ที่กล่าวเช่นนั้นเพราะว่าเป็นเรื่องใกล้ตัว แต่ไกลในการปฏิบัติ ผมเองเคยกล่าวในงานสัมนาอยู่หลายครั้งกับประโยคนี้ และยังคงยืนยันว่าหากองค์กรใดทำได้ 3 เรื่องนี้ จะพาองค์กรนั้นสู่ความปลอดภัยข้อมูลที่ยันยืน

ในหัวข้อ Network Security Identity เราจะขอกล่าวเพียงเฉพาะด้านเทคโนโลยี

เมื่อเป็นดังนี้ สิ่งหนึ่งที่จะทำได้ก็คือการสามารถล่วงรู้ได้ว่า สิ่งนั้นคือพฤติกรรมที่ไม่พึ่งประสงค์ในการเชื่อมต่ออินเตอร์เน็ท และสามารถระบุผู้บุกรุกทางระบบเครือข่ายได้ว่า เป็นการบุกรุกชนิดใด ดังนั้น หลักการทำ Network Security Identity จึงเป็นการเปิดเผยตัวตนที่แท้จริงของการบุกรุกในเชิงเทคโนโลยี

โดยมีจุดหลักคือ

  1. ในเชิง Local Area Network Security Identity
  2. ในเชิง Global Area Network Security Identity

1. Local Area Network Security Identity คือสามารถรู้ได้สิ่งผิดปรกติได้ภายในเครือข่ายของตนเอง เช่น ในองค์กรของเราเอง ในเครื่องคอมพิวเตอร์ของเราเอง รู้และป้องกัน ป้องกันและทราบสาเหตุ และแก้ไขสาเหตุที่เกิดขึ้น รวมไปถึงระบุผู้บุกรุกที่เกิดขึ้นใน Local Area เราได้

หลักการออกแบบ Network Security Identity ส่วน Local Area นั้น แบ่งได้ดังนี้

1.1 การแสดงตัวตน และสิทธิในการเข้าถึงระบบเครือข่าย (Security Remote Access Control)

- การแสดงตัวเข้าระบบ (Identification)

- การยืนยันว่าเป็นตัวจริง (Authentication)

- การแสดงสิทธิในการเข้าระบบ (Authorization)

ในการ identification และ Authentication แบ่งได้ 3 ชนิดคือ

สิ่งที่คุณรู้ (Something you know) เช่น Pin , password เป็นต้น

สิ่งที่คุณมี (Something you have) เช่น บัตร ATM , Smart card เป็นต้น

สิ่งที่คุณเป็น (Something you are) เช่น Finger print , retina scan เป็นต้น พวกนี้มักเป็นการแสดงตัวแบบ Biometric

เพื่อให้ระดับความปลอดภัยในการพิสูจน์ตัวตนเพื่อเข้าถึงระบบมีความยากขึ้น มักใช้ศัพท์ที่เรียกว่า 2 factor Authentication คือใช้ 2 อย่างใดอย่างหนึ่งจาก 3 factor ที่กล่าว ซึ่งหลายหน่วยงานที่เป็นระบบเครือข่ายขนาดใหญ่และมีความสำคัญของข้อมูลนิยมใช้กัน

ขึ้นกับการนำไปใช้งานเมื่อระบบเครือข่ายในองค์กร ประกอบไปด้วยเครื่อง PC ที่ไม่สามารถระบุได้ว่าเป็นเครื่องของพนักงานคนไหน ก็จะไม่สามารถที่จะติดตามซ่อมหรือ เก็บข้อมูลต่างๆได้ ดังนั้นในการแสดงตัวตน และสิทธิในการเข้าถึงระบบเชิงเทคนิค ในเครื่อง PC ที่เป็น client จำเป็นต้องทำการ login ผ่าน Domain Controller และรับ DHCP จาก Server หรือจะตั้งเป็น Statistics IP เพื่อง่ายในการค้นหาและจัดการ แต่ยากในการจัดทำเพราะ admin ต้องไป set ค่า IP ให้กับเครื่องใหม่ๆ ที่เกิดขึ้น

จากนั้นเมื่อทำการ สร้าง Proxy Server ที่เก็บค่า LDAP ( Lightweight Directory Access Protocol ) จาก Domain Controller แล้วกำหนดให้ user ทุกคนที่ต้องการออกใช้ อินเตอร์เน็ทต้องผ่านเครื่อง proxy gateway นี้

จากนั้นทำการเก็บข้อมูลเครื่องคอมพิวเตอร์ ที่เป็นเครื่องลูกข่ายและแม่ข่าย ไว้ PC management เพื่อทำเรื่อง change control หากมีการแก้ไขและปรับปรุงเครื่องในอนาคต

1.2 การเก็บข้อมูลเครื่องที่บนระบบเครือข่าย (Network Inventory)

กำหนดการเก็บค่า IP , MAC address , Software ที่ใช้ลงเครื่อง , Hardware ในแต่ละเครื่อง รวมถึง Network การ์ด โดยสามารถออกรายงาน และเก็บบันทึกเพื่อเก็บสถิติได้

เมื่อมีระบบที่ค่อยเก็บข้อมูลด้าน Inventory เครื่อง PC ที่อยู่ในระบบแล้ว จะทำให้ผู้ดูแลระบบ ง่ายในการจัดการ และแก้ไขปัญหาได้ถูกจุด

1.3 การเฝ้าระวังภัยและป้องกันภัยระบบเครือข่าย (Network Intrusion Detection/Prevention system)

การติดตั้งระบบตรวจจับสิ่งผิดปกตินี้เป็นสิ่งจำเป็นอย่างมาก เนื่องจากทุกเครื่องบนระบบเครือข่ายมีการเคลื่อนไหวข้อมูล ย่อมมีทั้งการบุกรุกและการติดเชื้อไวรัสในระบบเครือข่าย โดยที่เราสามารถรู้และเห็นเหตุการณ์เหล่านี้ได้จากระบบ NIDS/IPS

การที่เรามีเทคโนโลยีในการตรวจจับผู้บุกรุก และประกอบกับเครื่องที่เก็บข้อมูลของเครื่องคอมพิวเตอร์ในระบบเครือข่ายจะทำให้เราทราบถึงตำแหน่งและที่มาว่ามีการบุกรุกจากแหล่งไหนและสามารถแก้ไขเหตุการณ์ได้อย่างทันที

ยกตัวอย่างเหตุการณ์

พบสิ่งผิดปกติในหน้าจอตัวตรวจจับสิ่งผิดปกติที่เกิดขึ้นในระบบเครือข่าย

พบว่าเครื่อง IP 192.168.1.246 ชื่อเครื่องว่า big กำลังทำการติดต่อที่มีความเสี่ยงสูงคือสีแดง ไปยังเครื่องอื่นๆอีกหลายเครื่องในระบบเครือข่าย

เราทราบว่าชื่อเครื่องคือ big และ IP 192.168.1.246

ดังนั้นทีมงานที่ดูแลระบบ จึงใช้ระบบจัดการ Inventory และ Desktop Management คอมพิวเตอร์เครือข่าย ในการควบคุม เครื่องที่ติดไวรัส เพื่อสกัดไม่ให้แพร่กระจายในระบบเครือข่าย หรือจะส่ง messages เตือนไปที่เครื่องก็ได้ หรือทำการ ปิดระบบเครื่องที่ติดไวรัสดังกล่าวเพื่อให้ทำการแพร่กระจายไวรัสอีกต่อไป

วิธีการดังกล่าวเป็นการ ระบุ ที่มาที่ไป และตัวตนการใช้งานบนระบบเครือข่ายหรือที่เรียกว่า Network Security Identity ในระดับหนึ่ง โดยส่วนมากเรามักพบคำถามอยู่เสมอว่าเครื่องที่ติดไวรัสมักทำการแพร่กระจายแบบเงียบๆ และไม่รู้ว่าเกิดจากที่ไหน ทั้ง 3 วิธี จะเป็นตัวช่วยให้ระบบเครือข่ายในองค์กรท่านมีความสงบขึ้น

2. Global Area Network Identity

คือการระบุตัวตน ข้ามผ่าน WAN link ระหว่าง ISP และ Network ระดับประเทศ เป็นเรื่องที่น่าสนใจ และปัญหาส่วนใหญ่ก็เพราะระบบเครือข่ายชายแดนของประเทศ ไม่มีความแข็งแกร่งเพียงพอทำให้ การบุกรุกและการโจมตีต่างๆเข้าสู่ระบบเครือข่าย ในประเทศได้ง่าย จะได้กล่าวต่อไปในครั้งหน้า

14/08/48

นนทวรรธนะ สาระมาน
Nontawattana Saraman