ปัญหาความปลอดภัยในระบบเครือข่าย อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

Outline ระบบสารสนเทศ Basic Network Setting โพรโตคอลต่างๆ การตั้งค่า IP Address , Subnet Mask , Default Gateway , DNS โพรโตคอลต่างๆ TCP , IP , UDP , ICMP ภัยคุกคามระบบสารสนเทศ แนวทางการป้องกัน

ระบบสารสนเทศ Hardware Software Network Database

Basic Network Setting IP Address Subnet Mask Default Gateway DNS

Transmission Control Protocol

การทำงานของ TCP เป็น Connection-oriented protocol มีการทำงานเพื่อเพิ่ม reliable ในระบบ มีการเชื่อมต่อแบบ unicast เชื่อมต่อแบบ end-to-end การส่งข้อมูลส่งในลักษณะ byte stream มักใช้กับการส่งข้อมูลที่ต้องการ reliable ในช่องทางที่ unreliable

TCP Format

User Datagram Protocol

UDP - User Datagram Protocol เป็นการให้บริการเน้นความรวดเร็ว unreliable service เป็นโพรโตคอลเพื่อเพิ่มเติมการเชื่อมต่อแบบ host-to-host ของ IP ให้กลายเป็น application-to-application ทำงานเพียง multiplexing and demultiplexing เท่านั้น

UDP Header

UDP Format Port numbers มีขนาด 16 บิตจะสามารถอ้างอิงได้ 65,535 พอร์ต Message Length มีขนาด 8-65535 ไบต์ Checksum สำหรับตรวจสอบความผิดพลาดใน UDP header

สรุปเกี่ยวกับ Transport Layer Protocol UDP - User Datagram Protocol datagram oriented unreliable, connectionless simple unicast and multicast useful only for few applications, e.g., multimedia applications used a lot for services network management (SNMP), routing (RIP), naming (DNS), etc. TCP - Transmission Control Protocol stream oriented reliable, connection-oriented complex only unicast used for most Internet applications: web (http), email (smtp), file transfer (ftp), terminal (telnet), etc.

IP - Internet Protocol

IP Protocol IP เป็นโพรโตคอลที่อยู่ตรงกลางใน OSI Layer

IP Datagram Format 20 bytes ≤ Header Size < 24 x 4 bytes = 60 bytes 20 bytes ≤ Total Length < 216 bytes = 65536 bytes

IP Service Unreliable ไม่มีการทำงานใดๆ หากมีปัญหาการรับส่งข้อมูล Connectionless ไม่มีการสร้างการเชื่อมต่อก่อนการส่งข้อมูล Best effort ไม่มีการการันตีบริการใดๆ โพรโตคอลในชั้นที่สูงกว่าทำหน้าที่จัดการปัญหาต่างๆ ในการเชื่อมต่อเอง เครื่องปลายทางอาจได้รับข้อมูลโดยไม่เป็นลำดับ

Internet Control Message Protocol (ICMP)

Overview Internet Control Message Protocol (ICMP) เป็นโพรโตคอลที่ใช้ในการสนับสนุนการทำงานในเครือข่ายดังนี้ การรายงานความผิดพลาดต่างๆ การร้องขอข้อมูลระบบเบื้องต้น ICMP messages = IP Payload

ICMP message format เฮดเดอร์ ICMP มีขนาด 4 byte ได้แก่: Type (1 byte): บอกชนิดของ ICMP message Code (1 byte): บอกชนิดย่อยหรือโค้ดการทำงานของ ICMP message Checksum (2 bytes): ตรวจสอบความผิดพลาดในการส่งข้อมูล ICMP message ในกรณีที่ไม่มีข้อมูลใดๆ ค่า Checksum จะมีค่าเท่ากับ 0 โดยปกติ ICMP Message จะมีขนาด 8 ไบต์

ภัยคุกคามระบบสารสนเทศ

Example Network

การดักจับข้อมูลในเครือข่ายโดย Sniffers ข้อมูลส่งผ่านตามสายและกระจายตามพอร์ตต่างๆ ของ HUB หรือ Switch การ์ดเครือข่ายได้รับข้อมูลที่ส่งผ่านทุก Packet สามารถใช้โปรแกรมเฉพาะดึงข้อมูลจากการ์ดเครือข่ายเพื่อแสดงผลได้ โปรแกรม Ethereal / Wireshark

การหาข้อมูลเครื่องเซิร์ฟเวอร์โดยใช้ Port Scanner เซิร์ฟเวอร์ที่ให้บริการทางเครือข่ายเปิดพอร์ต พอร์ตที่เปิดตอบสนองต่อการร้องขอแตกต่างจากพอร์ตที่ปิด ส่งการร้องขอไปยังทุกๆ พอร์ตเพื่อดูการตอบสนอง เก็บข้อมูลรายการพอร์ตที่เปิด พร้อมรายละเอียด ทำการเจาะระบบผ่านพอร์ตที่เปิดบริการที่มีช่องโหว่

ตัวอย่างผลลัพธ์ของ NMAP

การสแกนหาช่องโหว่โดย Vulnerability Scanner ช่องโหว่ต่างๆ ถูกค้นพบเสมอ รูปแบบการตอบสนองของซอฟต์แวร์ที่มีช่องโหว่ถูกรวบรวม ซอฟต์แวร์ Vulnerability Scanner ใช้การ Scan Port และเทียบกับฐานข้อมูล และรายงานผล เจ้าของผลิตภัณฑ์ปรับปรุงซอฟต์แวร์แก้ไขช่องโหว่แต่ผู้ดูแลระบบยังไม่ทำการปิด โปรแกรม NESSUS ใช้ในการค้นหาช่องโหว่ในระบบ สามารถใช้ทั้งการตรวจสอบของ Admin และตรวจหาช่องโหว่ของ Hacker

Denial of Service Attacks เป็นการโจมตีระบบคอมพิวเตอร์และเครือข่ายเพื่อไม่ให้ผู้ใช้งานสามารถร้องขอทรัพยากร ข้อมูล หรือบริการใดๆ ได้ เช่น Sync Flood, UDP Flood, ICMP Flood, Land Attack, Smurf Attack, Fragmentation Attack. ผลกระทบจาก DoS: Software Systems Network Routers/Equipment/Servers Servers and End-User PCs Distributed Denial of Service Attack โครงสร้างแบบกระจายในการจัดตั้งระบบสำหรับโจมตีระบบอื่นๆ

DDoS Architecture Client Handler Agents

ตัวอย่างโปรแกรม DDoS Trinoo Tribe Flood Network TFN2K stacheldraht (barbed wire)

Trinoo First DDoS Tool widely available Uses UDP flooding attack strategy TCP connectivity between master and hosts UDP connectivity between master and agents

TFN (Tribe Flood Network) Written in 1999 by “Mixter”. Allows for UDP flooding, TCP SYN, ICMP flood, and smurf attacks. Communication between handlers and agents is accomplished with ICMP_Echo_Reply packets which are harder to detect than UDP packets and can pass through firewalls[2].

TFN2K The successor to TFN, also written by “Mixter”. Allows for encrypted messaging between components. Handlers and agents can communicate using ICMP, UDP, or TCP. Random protocol selection is possible. Adds an additional attack form called TARGA (sends malformed IP packets known to slow down or “hang up” the network stacks). Also adds a MIX attack which uses UDP, SYN, and ICMP_Echo_Reply Flooding.

stacheldraht German for “barbed wire” Based on early TFN versions. Provides ICMP, UDP, and TCP SYN attack options. Has the ability to perform daemon updates automatically.

Malware / Malicious Code โปรแกรมหรือส่วนของโปรแกรม ที่ให้ผลลัพธ์การทำงานที่ผิดจากความต้องการของผู้ใช้งานปกติ มักสร้างจากความต้องการก่อกวน ทำลาย จารกรรม มีการฝังตัวในระบบ และเริ่มทำงานเมื่อมีเหตุการณ์ที่ตรงตามเงื่อนไข สามารถหยุดการทำงานของโปรแกรมอื่นๆ สร้างเสียง ลบข้อมูลในเครื่อง ฯลฯ ยกตัวอย่างเช่น Viruses, Worms, Trojan Horses, Trapdoor/Backdoor

คุณสมบัติของ Virus สร้างง่าย ตรวจจับ ทำลาย หยุดการทำงานได้ยาก กระจายตัวได้อย่างกว้างขวาง สามารถกระจายตัวภายในโปรแกรมเดิม หรือโปรแกรมอื่นๆ ได้ ไวรัสแต่ละตัวจะทำงานได้ใน เครื่อง โปรแกรม หรือในระบบปฏิบัติการเฉพาะเท่านั้น

TCP Session Hijacking แฮกเกอร์อยู่ระหว่างการเชื่อมต่อที่ต้องการขโมยเซสชั่น ดักจับแพ็กเก็ต โดยเฝ้าดู sequence numbers และ acknowledge numbers ของการเชื่อมต่อ ใช้การคำนวณหมายเลข Sequence number ของ TCP session และสร้างเพื่อสร้าง Session ใหม่แทรกเข้าไปใน Session เดิม มักเรียกว่า Man-in-the-middle การดักจับแพ็กเก็ต (Sniffer) มี 2 ชนิด Passive sniffers. ใน Broadcast Domain เดียวกัน Active sniffers ใช้ ARP Spoof เพื่อให้มีการส่งแพ็กเก็ตมายังเครื่องที่ดักจับ

ภัยคุกคามระบบสารสนเทศ ข้อผิดพลาดจากการกระทำของมนุษย์ การบุกรุก การก่อวินาศกรรมหรือการทำลาย การโจรกรรม การโจมตีซอฟต์แวร์ คุณภาพของบริการ ข้อผิดพลาดทางเทคนิคของฮาร์ดแวร์ ข้อผิดพลาดทางเทคนิคของซอฟต์แวร์ เทคโนโลยีล้าสมัย ภัยธรรมชาติ Social Engineering

แนวทางการป้องกันระบบสารสนเทศ

Defenses ไม่มีการป้องกันที่สามารถป้องกันภัยคุกคามได้ทั้งหมด !!!!!!!

ยุทธศาสตร์ที่ใช้ในการป้องกัน CIA : Confidentiality, Integrity, Availability AAA : Authentication, Authorization, Accounting PDR : Prevent , Detect , Response

Confidentiality การรักษาข้อมูลสารสนเทศให้เป็นความลับ เน้นการประยุกต์เทคโนโลยีการเข้ารหัสลับกับเทคโนโลยีอื่นๆ ป้องกันการดักจับข้อมูลไปใช้ประโยชน์ เช่น อัลกอริทึมในการเข้ารหัส DES,3DES,RSA,AES ฯลฯ IP Security , IPv6 SSH SSL/TLS VPN

Integrity การตรวจสอบและคงความถูกต้อง หรือบูรณภาพของข้อมูลสารสนเทศ เน้นการนำทฤษฏีทางคณิตศาสตร์มาสร้างกระบวนการตรวจสอบ ป้องกันการเปลี่ยนแปลงข้อมูลระหว่างการส่ง หรือการปลอมแปลงไฟล์ข้อมูลต่างๆ เช่น Checksum Hashing Message Authentication Code Digital Signature

Availability การออกแบบและบริหารระบบให้มีความพร้อมในการให้บริการ มุ่งเน้นการออกแบบ และสร้างระบบที่สามารถทนทานต่อความเสียหาย หรือรองรับความเสียหายได้ การวางแผนเพื่อรับมือภัยพิบัติ หรือการขยายตัวของภาระงานต่างๆ เช่น Load Balancer การทำแผนภัยพิบัติ (Contingency Plan) Disaster Recover Center Security Awareness Training

Authentication การพิสูจน์ตัวตน ซึ่งจะให้ความมั่นใจว่าบุคคล services หรือ object ใดๆ ที่เกี่ยวข้องนั้น คิดสิ่งที่หมายความถึงจริงๆ หรือไม่ ป้องกันการลักลอบใช้งาน เช่น การใช้ Username Password Credential Biometric Authentication Two Factors Certification

Authorization การพิสูจน์สิทธิ หรือการให้สิทธิใน บุคคล, System, Service, โพรเซส หรือ object ใดๆ ให้สามารถเข้าถึงทรัพยากรได้ตรงตามสิทธิของตนเอง เพื่อลดความเสี่ยงจากการใช้งานทรัพยากรเกินสิทธิ หรือความเสียหายอันเกิดจากการให้สิทธิเกินภาระงาน ป้องกันการใช้งานเกินกว่าหน้าที่รับผิดชอบ เช่น การให้สิทธิการเข้าถึงเครือข่าย สิทธิการใช้งานข้อมูลสารสนเทศ เป็นต้น มักเป็นขั้นตอนที่เกิดขึ้นภายหลังจาก Authentication

Accounting เป็นขั้นตอนการบันทึกเหตุการณ์ วิเคราะห์ ประเมินและการตรวจสอบ โดยเหตุการณ์หรือความเสียหายต่างๆ ที่เกิดขึ้นในระบบ จะต้องสามารถตรวจสอบได้ว่ามีที่มาที่ไปอย่างไร มุ่งเน้นการเก็บข้อมูลรายละเอียดเหตุการณ์ที่เกิดขึ้นตามเวลา การเกี่ยวเนื่องสอดคล้องกันของเหตุการณ์ต่างๆ เพื่อตรวจสอบการทำงานว่ายังอยู่ในภาวะปกติหรือไม่ หรือตรวจสอบย้อนหลัง เช่น ระบบมอนิเตอร์ระบบงานต่างๆ ระบบติดตามผลการทำงาน

Prevent เป็นหลักการในการป้องกันภัยคุกคามที่จะเกิดขึ้น โดยภัยคุกคามดังกล่าวจะเป็นภัยคุกคามที่ผู้ดูแลมักจะทราบว่าจะมีการเกิดขึ้นแน่นอนหากไม่ดำเนินการป้องกัน มุ่งเน้นการใช้นโยบาย และใช้เครื่องมือในการบังคับใช้นโยบาย เครื่องมือที่ใช้คือ นโยบายควบคุมการทำงานของผู้ใช้งาน การใช้ Firewall เพื่อกำหนดนโยบายทางเครือข่าย การใช้ Active Directory ในการกำหนดทรัพยากรต่างๆในระบบสารสนเทศ

Detect เป็นการตรวจจับเหตุการณ์ต่างๆ ที่เฝ้าระวัง โดยเหตุการณ์ที่เฝ้าระวังมักเป็นเหตุการณ์ฉุกเฉิน หรือสัญญาณของภัยคุกคามต่างๆ เพื่อให้ผู้ดูแลระบบรู้ปัญหา และสามารถตอบสนองต่อปัญหาได้อย่างรวดเร็ว ไม่ทำให้เกิดความเสียหายรุนแรง เครื่องมือที่ใช้ Network Monitoring System IDS/IPS การดำเนินการตามแผนรับมือเหตุฉุกเฉิน (Incident Response Plan)

Response เป็นกระบวนการตอบโต้เหตุการณ์ฉุกเฉินต่างๆ อันจะทำให้ระบบสารสนเทศเกิดปัญหาไม่สามารถให้บริการได้ ควรมีการเตรียมตัวเพื่อรับมือเหตุการฉุกเฉินตามแผนรับมือเหตุฉุกเฉิน เครื่องมือที่ใช้ ใช้ Firewall ในการปิดกั้นภัยคุกคามทางเครือข่าย ใช้ระบบ Anti-Virus เพื่อจัดการกับ Malware ต่างๆ การปรับแต่งค่า configuration ของระบบงานให้รับมือกับภัยคุกคามในระบบ