วันอาทิตย์ที่ 1 กันยายน พ.ศ. 2556

บทที่ 10 การจัดการความปลอดภัยระบบเครือข่าย




บทที่ 10 การจัดการความปลอดภัยระบบเครือข่าย

   ความปลอดภัยเป็นอีกเรื่องหนึ่งที่มีความสำคัญของระบบเครือข่ายเพราะเป็นงานที่ผู้ดูแลระบบ (Network Administrator) ต้องดูแลในทุกวัน ทั้งอุปกรณ์ โปรแกรม และข้อมูลภายในระบบให้อยู่ในสภาพพร้อมใช้งาน ไม่ให้เกิดความเสียหาย หรือมีการเข้าถึงทรัพยากรเหล่านั้นโดยไม่ได้รับสิทธิ์การใช้งาน
       จุดมุ่งหมายหลักของการดูแลความปลอดภัยของระบบเครือข่ายนั้น ก็เพื่อช่วยให้ผู้ใช้งานเครือข่ายที่มีสิทธิ์เข้าถึงทรัพยากร สามารถใช้งานทรัพยากรที่ต้องการได้ และแยกทรัพยากรเหล่านั้นจากผู้ที่ไม่ต้องการใช้งานได้ แต่การที่จะดูแลระบบเครือข่ายได้ตามวัตถุประสงค์นี้จำเป็นต้องใช้อุปกรณ์หรือโปรแกรมที่จะช่วยในการดูแลจัดการเครือข่าย เพราะลำพังผู้ดูแลระบบไม่สามารถจัดการดูแลทุกอย่างภายในเครือข่ายได้

10.1 การรักษาความปลอดภัย
          ในระบบเครือข่ายนั้นจะมีผู้ร่วมใช้เป็นจำนวนมาก ดังนั้นจึงมีทั้งผู้ที่ประสงค์ดีและประสงค์ร้ายควบคู่กันไปสิ่งที่พบเห็นกันบ่อยๆในระบบเครือข่ายก็คืออาชญากรรมทางด้านเครือข่ายคอมพิวเตอร์หลายประเภทด้วยกันเช่นพวกที่คอยดักจับสัญญาณผู้อื่นโดยการใช้เครื่องมือพิเศษจั๊มสายเคเบิลแล้วแอบบันทึกสัญญาณพวกแคร๊กเกอร์(Crackers)ซึ่งได้แก่ ผู้ที่มีความรู้ความชำนาญด้านคอมพิวเตอร์แต่มีนิสัยชอบเข้าไปเจาะระบบคอมพิวเตอร์ผ่าน
เครือข่าย หรือไวรัสคอมพิวเตอร์ (Virus Computer) ซึ่งเป็นโปรแกรมคอมพิวเตอร์ที่เขียนขึ้นมาโดยมุ่งหวังในการก่อกวน หรือทำลายข้อมูลในระบบ
            การรักษาความปลอดภัยในระบบเครือข่ายมีวิธีการกระทำได้หลายวิธี คือ
1. ควรระมัดระวังในการใช้งาน การติดไวรัสมักเกิดจากผู้ใช้ไปใช้แผ่นดิสก์ร่วมกับผู้อื่น แล้วแผ่นนั้นติดไวรัสมา หรืออาจติดไวรัสจากการดาวน์โหลดไฟล์มาจากอินเทอร์เน็ต
2. หมั่นสำเนาข้อมูลอยู่เสมอ การป้องกันการสูญหายและถูกทำลายของข้อมูลที่ดีก็คือ การหมั่นสำเนา ข้อมูลอย่างสม่ำเสมอ
3. ติดตั้งโปรแกรมตรวจสอบและกำจัดไวรัส  วิธีการนี้ สามารตรวจสอบ และป้องกันไวรัสคอมพิวเตอร์ได้ระดับหนึ่ง แต่ไม่ใช่เป็นการป้องกันได้ทั้งหมด เพราะว่าไวรัสคอมพิวเตอร์ได้มีการพัฒนาอยู่ตลอดเวลา
4. การติดตั้งไฟร์วอลล์ (Firewall) ไฟร์วอลล์จะทำหน้าที่ป้องกันบุคคลอื่นบุกรุกเข้ามาเจาะเครือข่ายในองค์กรเพื่อขโมยหรือทำลายข้อมูล เป็นระยะที่ทำหน้าที่ป้องกันข้อมูลของเครือข่าย โดยการควบคุมและตรวจสอบการรับส่งข้อมูลระหว่างเครือข่ายภายในกับเครือข่ายอินเทอร์เน็ต
5. การใช้รหัสผ่าน (Username & Password) การใช้รหัสผ่านเป็นระบบรักษาความปลอดภัยขั้นแรกที่ใช้กันมากที่สุด เมื่อมีการติดตั้งระบบเครือข่ายจะต้องมีการกำหนดบัญชีผู้ใช้และรหัสผ่าน หากเป็นผู้อื่นที่ไม่ทราบรหัสผ่านก็ไม่สามารถเข้าไปใช้เครือข่ายได้ หากเป็นระบบที่ต้องการความปลอดภัยสูงก็ควรมีการเปลี่ยนรหัสผ่านบ่อย ๆ เป็นระยะ ๆ อย่างต่อเนื่อง
http://www.thaigoodview.com/node/94896

10.2 ความเสี่ยงด้านความปลอดภัยคอมพิวเตอร์ต่อผู้ใช้เครือข่าย
          ดังที่ได้กล่าวแล้วว่าระบบเครือข่ายคอมพิวเตอร์มีความเสี่ยงต่อผู้ใช้งาน เนื่องจากเครื่องคอมพิวเตอร์ในปัจจุบันถูกนำไปใช้งานหลายๆด้าน เช่น ด้านธุรกรรม การวางแผนการลงทุนต่างๆ การเก็บรักษาข้อมูลที่เป็นความลับส่วนตัว หรือความลับขององค์กร ซึ่งหากข้อมูลเหล่านี้ถูกนำไปเผยแพร่อาจสร้างความเสียหายให้กับบุคคลหรือองค์กรนั้นๆ ได้

10.2.1 รูปแบบของความเสี่ยง
ความเสี่ยงที่อาจเกิดขึ้นกับเครื่องคอมพิวเตอร์นั้นจะมีดังนี้
ผู้บุกรุก (Hacker หรือ Attacker) นำเครื่องไปใช้งานเพื่อวัตถุประสงค์ร้าย ความเสี่ยงนี้มักจะเกิดขึ้นเมื่อผู้ใช้เชื่อมต่อเครื่องคอมพิวเตอร์กับเครือข่าย เนื่องจากปัจจุบันโปรแกรมต่างๆ ไม่ว่าระบบปฏิบัติการ (Operating System) หรือซอฟต์แวร์คอมพิวเตอร์เพื่อการใช้งานอื่นๆ (Computer Software) ต่างมีช่วงโหว่ (Security Hole) ที่สามารถตรวจพบได้ทุกวัน แม้ว่าทางผู้ผลิตจะออกตัวอัปเดตเพื่ออุดช่วงโหว่หรือแพทช์ (Patch) เพื่ออุดช่วงโหว่เหล่านั้น แต่ยังมีผู้ใช้คอมพิวเตอร์เป็นจำนวนมาก ยังไม่ได้ตระหนักถึงอันตรายของช่วงโหว่ หรืออาจไม่รู้วิธีการอุดช่วงโหว่ ซึ่งช่วงโหว่เหล่านี้จะเป็นช่องทางให้กับผู้บุกรุกที่มีเป้าหมายในการยึดเครือข่ายคอมพิวเตอร์
วิธีที่ผู้บุกรุกใช้เพื่อเข้ายึดเครื่องคอมพิวเตอร์เป้าหมายนั้นก็มีหลานวิธี เช่น
-      การใช้โปรแกรมโทรจัน (Trojan Horse)
-      การส่งอีเมล์พร้อมไวรัส
-      โปรแกรมสนทนาหรือแชต (Chat)
อุบัติเหตุและความเสี่ยงจากผู้ใช้ นอกจากความเสี่ยงการผู้บุกรุกที่อาจจะเข้ามาสร้ความเสียหายแล้ว ความเสี่ยงที่อาจเกิดขึ้นกับเครื่องคอมพิวเตอร์ไม่จำเป็นต้องเกี่ยวขัองกับเชื่อต่อเครือข่ายคอมพิวเตอร์เสมอ เช่น
-      ฮาร์ดดิสก์ขัดข้อง
-      กระแสไฟฟ้าขัดข้อง
-      ถูกโจรกรรม
10.3 การใช้งานไฟร์วอลล์ (Firewall)
ใน ความหมายทางด้านการก่อสร้างแล้ว ไฟร์วอลล์ จะหมายถึง กำแพงที่เอาไว้ป้องกันไฟไม่ให้ลุกลามไปยังส่วนอื่นๆ ส่วนทางด้านคอมพิวเตอร์นั้นก็จะมีความหมายคล้ายๆ กันก็คือ เป็นระบบที่เอาไว้ป้องกันอันตรายจากอินเตอร์เน็ตหรือเน็ตเวิร์กภายนอกนั่น เอง
ไฟร์วอลล์ เป็นคอมโพเน็นต์หรือกลุ่มของคอมโพเน็นต์ที่ทำหน้าที่ในการควบคุมการเข้าถึง ระหว่างเน็ตเวิร์กภายนอกหรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายในหรือเน็ตเวิร์กที่เราต้องการจะป้องกัน โดยที่คอมโพเน็นต์นั้นอาจจะเป็นเราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์ก ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการหรือ Firewall Architecture ที่ใช้



                         รูปที่ 10.2 ไฟร์วอลล์กั้นระหว่างอินเตอร์เน็ตกับเน็ตเวิร์กภายใน

การควบคุม การเข้าถึงของไฟร์วอลล์นั้น สามารถทำได้ในหลายระดับและหลายรูปแบบขึ้นอยู่ชนิดหรือเทคโนโลยีของไฟร์วอลล์ ที่นำมาใช้ เช่น เราสามารถกำหนดได้ว่าจะให้มีการเข้ามาใช้เซอร์วิสอะไรได้บ้าง จากที่ไหน เป็นต้น
สิ่งที่ไฟร์วอลล์ช่วยได้        
          ไฟร์วอลล์สามารถช่วยเพิ่มความปลอดภัยให้กับระบบได้โดย 
-  บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับไฟร์วอลล์ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด
-  ทำ ให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ การดูแลที่จุดนี้เป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก (Network-based Security)
-  บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ
ป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก เช่นถ้าหากเรามีบางส่วนที่ต้องการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่นถ้ามีเว็บเซิร์ฟเวอร์) แต่ส่วนที่เหลือไม่ต้องการให้ภายนอกเข้ามากรณีเช่นนี้เราสามารถใช้ไฟร์วอลล์ช่วยได้
-  ไฟร์วอลล์บางชนิด [1] สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP
อะไรที่ไฟร์วอลล์ช่วยไม่ได้
ถึง แม้ว่าไฟร์วอลล์จะสามารถช่วยเพิ่มความปลอดภัยให้กับเน็ตเวิร์กได้มากโดยการ ตรวจดูข้อมูลที่ผ่านเข้าออก แต่อย่าลืมว่าสิ่งเหล่านี้ไม่สามารถป้องกันได้จากการใช้ไฟร์วอลล์
-  อันตรายที่เกิดจากเน็ตเวิร์กภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา
-  อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์
-  อันตราย จากวิธีใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ใจไฟร์วอลล์โดยการติดตั้งเพียงครั้งเดียวแล้วก็หวังให้มัน ปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่องสม่ำเสมอ
-  ไวรัส ถึงแม้จะมีไฟร์วอลล์บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มีไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ โปรโตคอล

ชนิดของไฟร์วอลล์
ชนิดของไฟร์วอลล์แบ่งตามเทคโนโลยีที่ใช้ในการตรวจสอบและควบคุม แบ่งได้เป็น
-  Packet Filtering
-  Proxy Service
-  Stateful Inspection

Packet Filtering
Packet Filter คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ (route) อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ (header) ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ (rules) ที่กำหนดไว้และตัดสินว่าควรจะทิ้ง (drop) แพ็กเก็ตนั้นไปหรือว่าจะยอม (accept) ให้แพ็กเก็ตนั้นผ่านไปได้
 
 

                                 ที่ 10.2 ใช้ Screening Router ทำหน้าที่ Packet Filterin

ในการพิจารณาเฮดเดอร์ Packet Filter จะตรวจสอบในระดับของอินเตอร์เน็ตเลเยอร์ (Internet Layer) และทรานสปอร์ตเลเยอร์ (Transport Layer) ในอินเตอร์เน็ตโมเดล ซึ่งในอินเตอร์เน็ตเลเยอร์จะมีแอตทริบิวต์ที่สำคัญต่อ Packet Filtering ดังนี้
-  ไอพีต้นทาง
-  ไอพีปลายทาง
-  ชนิดของโปรโตคอล (TCP UDP และ ICMP)
และในระดับของทรานสปอร์ตเลเยอร์ มีแอตทริบิวต์ที่สำคัญคือ
-  พอร์ตต้นทาง
-  พอร์ตปลายทาง
-  แฟล็ก (Flag ซึ่งจะมีเฉพาะในเฮดเดอร์ของแพ็กเก็ต TCP)
-  ชนิดของ ICMP message (ในแพ็กเก็ต ICMP)
ซึ่งพอร์ตของทรานสปอร์ตเลเยอร์ คือทั้ง TCP และ UDP นั้นจะเป็นสิ่งที่บอกถึงแอพพลิเคชันที่แพ็กเก็ตนั้นต้องการติดต่อด้วยเช่น พอร์ต 80 หมายถึง HTTP, พอร์ต 21 หมายถึง FTP เป็นต้น ดังนั้นเมื่อ Packet Filter พิจารณาเฮดเดอร์ จึงทำให้สามารถควบคุมแพ็กเก็ตที่มาจากที่ต่างๆ และมีลักษณะต่างๆ (ดูได้จากแฟล็กของแพ็กเก็ต หรือ ชนิดของ ICMP ในแพ็กเก็ต ICMP) ได้ เช่น ห้ามแพ็กเก็ตทุกชนิดจาก crack.cracker.net เข้ามายังเน็ตเวิร์ก 203.154.207.0/24 , ห้ามแพ็กเก็ตที่มีไอพีต้นทางอยู่ในเน็ตเวิร์ก 203.154.207.0/24 ผ่านเราเตอร์เข้ามา (ในกรณีนี้เพื่อเป็นการป้องกัน ip spoofing) เป็นต้น

Packet Filtering สามารถอิมพลีเมนต์ได้จาก 2 แพล็ตฟอร์ม คือ
-  เราเตอร์ที่มีความสามารถในการทำ Packet Filtering (ซึ่งมีในเราเตอร์ส่วนใหญ่อยู่แล้ว)
-  คอมพิวเตอร์ที่ทำหน้าที่เป็นเราเตอร์
มีข้อได้เปรียบเสียเปรียบกันดังนี้

เราเตอร์
ข้อดี
ข้อเสีย
ประสิทธิภาพสูงมีจำนวนอินเตอร์เฟสมาก
เพิ่มเติมฟังก์ชันการทำงานได้ยาก, อาจต้องการหน่วยความจำมาก
คอมพิวเตอร์ที่ทำหน้าที่เป็นเราเตอร์
เพิ่มฟังก์ชันการทำงานได้ไม่จำกัด
ประสิทธิภาพปานกลาง,จำนวนอินเตอร์เฟสน้อย,อาจมีความเสี่ยงจากระบบปฏิบัติการที่ใช้
 

-  บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับไฟร์วอลล์ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด
-  ทำ ให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ การดูแลที่จุดนี้เป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก (Network-based Security)
-  บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ
ป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก เช่นถ้าหากเรามีบางส่วนที่ต้องการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่นถ้ามีเว็บเซิร์ฟเวอร์) แต่ส่วนที่เหลือไม่ต้องการให้ภายนอกเข้ามากรณีเช่นนี้เราสามารถใช้ไฟร์วอลล์ช่วยได้
-  ไฟร์วอลล์บางชนิด [1] สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP
อะไรที่ไฟร์วอลล์ช่วยไม่ได้
ถึง แม้ว่าไฟร์วอลล์จะสามารถช่วยเพิ่มความปลอดภัยให้กับเน็ตเวิร์กได้มากโดยการ ตรวจดูข้อมูลที่ผ่านเข้าออก แต่อย่าลืมว่าสิ่งเหล่านี้ไม่สามารถป้องกันได้จากการใช้ไฟร์วอลล์
-  อันตรายที่เกิดจากเน็ตเวิร์กภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา
-  อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์
-  อันตราย จากวิธีใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ใจไฟร์วอลล์โดยการติดตั้งเพียงครั้งเดียวแล้วก็หวังให้มัน ปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่องสม่ำเสมอ
-  ไวรัส ถึงแม้จะมีไฟร์วอลล์บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มีไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ โปรโตคอล

ชนิดของไฟร์วอลล์
ชนิดของไฟร์วอลล์แบ่งตามเทคโนโลยีที่ใช้ในการตรวจสอบและควบคุม แบ่งได้เป็น
-  Packet Filtering
-  Proxy Service
-  Stateful Inspection

Packet Filtering
Packet Filter คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ (route) อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ (header) ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ (rules) ที่กำหนดไว้และตัดสินว่าควรจะทิ้ง (drop) แพ็กเก็ตนั้นไปหรือว่าจะยอม (accept) ให้แพ็กเก็ตนั้นผ่านไปได้


http://www.dol.go.th/it/images/medias/it/iCon/IT/friewall2.gif
รูปที่ 10.2 ใช้ Screening Router ทำหน้าที่ Packet Filtering

ในการพิจารณาเฮดเดอร์ Packet Filter จะตรวจสอบในระดับของอินเตอร์เน็ตเลเยอร์ (Internet Layer) และทรานสปอร์ตเลเยอร์ (Transport Layer) ในอินเตอร์เน็ตโมเดล ซึ่งในอินเตอร์เน็ตเลเยอร์จะมีแอตทริบิวต์ที่สำคัญต่อ Packet Filtering ดังนี้
-  ไอพีต้นทาง
-  ไอพีปลายทาง
-  ชนิดของโปรโตคอล (TCP UDP และ ICMP)
และในระดับของทรานสปอร์ตเลเยอร์ มีแอตทริบิวต์ที่สำคัญคือ
-  พอร์ตต้นทาง
-  พอร์ตปลายทาง
-  แฟล็ก (Flag ซึ่งจะมีเฉพาะในเฮดเดอร์ของแพ็กเก็ต TCP)
-  ชนิดของ ICMP message (ในแพ็กเก็ต ICMP)
ซึ่งพอร์ตของทรานสปอร์ตเลเยอร์ คือทั้ง TCP และ UDP นั้นจะเป็นสิ่งที่บอกถึงแอพพลิเคชันที่แพ็กเก็ตนั้นต้องการติดต่อด้วยเช่น พอร์ต 80 หมายถึง HTTP, พอร์ต 21 หมายถึง FTP เป็นต้น ดังนั้นเมื่อ Packet Filter พิจารณาเฮดเดอร์ จึงทำให้สามารถควบคุมแพ็กเก็ตที่มาจากที่ต่างๆ และมีลักษณะต่างๆ (ดูได้จากแฟล็กของแพ็กเก็ต หรือ ชนิดของ ICMP ในแพ็กเก็ต ICMP) ได้ เช่น ห้ามแพ็กเก็ตทุกชนิดจาก crack.cracker.net เข้ามายังเน็ตเวิร์ก 203.154.207.0/24 , ห้ามแพ็กเก็ตที่มีไอพีต้นทางอยู่ในเน็ตเวิร์ก 203.154.207.0/24 ผ่านเราเตอร์เข้ามา (ในกรณีนี้เพื่อเป็นการป้องกัน ip spoofing) เป็นต้น

Packet Filtering สามารถอิมพลีเมนต์ได้จาก 2 แพล็ตฟอร์ม คือ
-  เราเตอร์ที่มีความสามารถในการทำ Packet Filtering (ซึ่งมีในเราเตอร์ส่วนใหญ่อยู่แล้ว)
-  คอมพิวเตอร์ที่ทำหน้าที่เป็นเราเตอร์

เราเตอร์
ข้อดี
ข้อเสีย
ประสิทธิภาพสูงมีจำนวนอินเตอร์เฟสมาก
เพิ่มเติมฟังก์ชันการทำงานได้ยาก, อาจต้องการหน่วยความจำมาก
คอมพิวเตอร์ที่ทำหน้าที่เป็นเราเตอร์
เพิ่มฟังก์ชันการทำงานได้ไม่จำกัด
ประสิทธิภาพปานกลาง,จำนวนอินเตอร์เฟสน้อย,อาจมีความเสี่ยงจากระบบปฏิบัติการที่ใช้
ตารางที่ 1 เปรียบเทียบข้อดีข้อเสียในการเลือกอุปกรณ์มาทำหน้าที่ Packet Filtering

ข้อดี-ข้อเสียของ Packet Filtering
ข้อดี
-  ไม่ขึ้นกับแอพพลิเคชัน
-  มีความเร็วสูง
-  รองรับการขยายตัวได้ดี
ข้อเสีย
-  บางโปรโตคอลไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP, ICQ

10.3.2 พร๊อกซีเซิร์ฟเวอร์ (Proxy server)
Proxy หรือ Application Gateway เป็นแอพพลิเคชันโปรแกรมที่ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความปลอดภัยของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหว่างเน็ตเวิร์กภายในและภายนอก Proxy จะช่วยเพิ่มความปลอดภัยได้มากเนื่องจากมีการตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชันเลเยอร์ (Application Layer)
เมื่อไคลเอนต์ต้องการใช้เซอร์วิสภายนอก ไคลเอนต์จะทำการติดต่อไปยัง Proxy ก่อน ไคลเอนต์จะเจรจา (negotiate) กับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครื่องปลายทางให้ เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมีการเชื่อมต่อ (connection) 2 การเชื่อมต่อ คือ ไคลเอนต์กับ Proxy และ Proxy กับเครื่องปลายทาง โดยที่ Proxy จะทำหน้าที่รับข้อมูลและส่งต่อข้อมูลให้ใน 2 ทิศทาง ทั้งนี้ Proxy จะทำหน้าที่ในการตัดสินใจว่าจะให้มีการเชื่อมต่อกันหรือไม่ จะส่งต่อแพ็กเก็ตให้หรือไม่


                               รูปที่ 10.3 ใช้ Dual-homed Host เป็น Proxy Server

ข้อดี-ข้อเสียของ Proxy
ข้อดี
-  มีความปลอดภัยสูง
-  รู้จักข้อมูลในระดับแอพพลิเคชัน
ข้อเสีย
-  ประสิทธิภาพต่ำ
-  แต่ละบริการมักจะต้องการโปรเซสของตนเอง
-  สามารถขยายตัวได้ยาก
 
http://www.dol.go.th/it/index.php?option=com_content&task=view&id=202 

10.3.3 ไฟร์วอลล์แบบผสม
ไฟร์ววอลล์ทั้งสองแบบสามารถนำมาใช้ผสมผสานร่วมกันได้ เพื่อให้เหมาะสมกับการใช้งานเครือ เช่น เครือข่ายที่เฉพาะเครื่องลูกข่ายเท่านั้นที่จะเชื่อมต่ออินเทอรืเน็ต การใช้แพ็กเก็ตฟิลเตอร์ผสมกับพร๊อกซี่เซิร์ฟก็เพียงพอสำหรับการรักษาความปลอดภัยของเครือข่าย พร้อมผู้บุกรุกต้องเจาะผ่านการป้องกันถึงสองชั้น
แต่ถ้าหากเครือข่ายนั้นมีเครื่องเซิร์ฟเวอร์ที่ใช้บริการ เช่น ให้บริการเว็บบนอินเทอร์เน็ต การป้องกันจะใช้เราท์เตอร์สองตัวที่เป็นแพ็กเก็ตฟิลเตอร์ เข้ามาช่วยทำงานร่วมกับพร๊อกซี่เซิร์ฟเวอร์อีกที การใช้เราท์เตอร์สองตัว เพื่อป้องกันไม่ให้ผู้ใช้จากอินเทอร์เน็ตเข้าถึงเครือข่ายภายในองค์กรได้โดยตรง เพราะต้องผ่านการป้องกันสองชั้น คือ เราท์เตอร์ พร๊อกซี่เซิร์ฟเวอร์ และเราท์เตอร์
อย่างไรก็ตาม การที่เครือข่ายมีไฟร์วอลล์ที่ซับซ้อน ผู้ดูแลระบบจะต้องมีความชำนาญสูง เพราะ การติดตั้งแต่ละส่วนต้องมีการตั้งค่าเฉพาะ และต้องใช้เวลา และความชำนาญ นอกจากค่าใช้จ่ายของอุปกรณ์แล้วยังมีค่าใช้จ่ายของโปรแกรมที่ใช้เพื่อจัดการดูแลเครือข่ายที่มีราคาสูงอีกด้วย

10.4 การจัดการกับปัญหาที่อาจเกิดขึ้นกับเครื่องคอมพิวเตอร์
 
นอกจากความเสี่ยงที่อาจเกิดขึ้นกับเครื่องคอมพิวเตอร์แล้ว การใช้งานระบบปฏิบัติการนั้น อาจเกิดปัญหาขึ้นเมื่องานไปได้สักระยะ ซึ่งอาการที่แสดงนั้นก็จะมีความแตกต่างกันออกไป ซึ่งในหนังสือเล่มนี้ จะเน้นในส่วนของการแก้ไขปัญหาเบื้องต้นของระบบปฏิบัติการ Windows XP เท่านั้น ปัญหาที่มักพบหลังจากการใช้งานมีดังนี้ คือ มีการแสดงข้อความเกี่ยวกับการทำงานที่ผิดพลาดของโปรแกรมต่างๆ วินโดวส์เกิดอาการแฮงค์ หรือเครื่องคอมพิวเตอร์ทำงานได้ช้ากว่าปกติ
การแก้ปัญหา Windows ที่น่าจะเป็นวิธีที่ดีที่สุดคือ เราต้องทำความเข้าใจประเด็นสำคัญที่ทำให้ Windows XP มีปัญหา พยายามป้องกันไม่ให้เกิดปัญหาเหล่านั้น แต่ในกรณีที่เกิดขึ้นแล้วก็ต้องรู้จักวิธีการแก้ไขปัญหาอย่างถูกต้อง ซึ่งเราพอสรุปสาเหตูสำคัญที่ทำให้เกิดปัญหาใน Windows XP ได้ ดังนี้
-      ใช้โปรแกรมที่ชำรุดหรือไฟล์ระบบมีปัญหา
-      ใช้โปรแกรมรุ่นเก่าที่ไม่ได้ออกแบบมาให้ทำงานกับ Windows XP ได้อย่างสมบูรณ์
-      โดนไวรัสสร้างความเสียหาย
-      ติดตั้งอุปกรณ์ฮาร์ดแวร์ที่มีปัญหา
-      ปัญหาที่เกิดขึ้นจากข้อผิดพลาดและช่องโหว่ทางเทคนิคของ Windows XP เอง

สำหรับวิธีจัดการกับปัญหาที่เกิดขึ้นนั้น จะมีวิธีการดังนี้
-      ขอคำแนะนำจากผู้ให้บริการหรือผู้ดูแล
-      ติดตั้งโปรแกรมป้องกันไวรัส
-      ไม่ใช้งานโปรแกรมที่ไม่ทราบที่มา
-      ไม่เปิดไฟล์ที่ไม่รู้จักที่แนบมากับอีเมล์
-      ติดตั้งแพทย์ให้กับระบบปฏิบัติการและโปรแกรมที่ต้องการใช้
-      ปิดเครื่องคอมพิวเตอร์หรือหยุดการเชื่อมต่อเครือข่ายทันทีหลังการใช้งาน
 
เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)