Securing the Network Infrastructure Chapter 8 Security+ Guide to Network Security Fundamentals Second Edition Instructor By Sukchatri P.

Objectives Work with the network cable plant Secure removable media Harden network devices Design network topologies

Working with the Network Cable Plant Cable plant : โครงสร้างพื้นฐานทางกายภาพของเครือข่าย (wire, connectors, and cables) ที่ใช้ในการดำเนินการส่ง สัญญาณการสื่อสารข้อมูลระหว่างอุปกรณ์ ประเภทของสื่อการส่งผ่าน มี 3 ชนิดหลัก คือ : Coaxial cables Twisted-pair cables Fiber-optic cables

Coaxial Cables

Coaxial Cables (continued)

Twisted-Pair Cables

Twisted-Pair Cables

Fiber-Optic Cables

Fiber-Optic Cables (continued) จำแนกตามขนาดเส้นผ่านศูนย์กลางของแกนกลางและขนาด เส้นผ่านศูนย์กลางของ cladding ขนาดเส้นผ่าศูนย์กลางมีหน่วยวัดเป็นไมครอน หรือ 1 / 25, 000 นิ้ว หรือ หนึ่งส่วนล้านเมตร มี 2 ชนิด: Single-mode fiber cables: ใช้เมื่อต้องมีการส่งข้อมูลใน ระยะทางไกล Multimode cable: สนับสนุนการส่งแสงจำนวนมากพร้อม กันซึ่งสร้างขึ้นโดยไดโอดเปล่งแสง ส่งได้ในระยะใกล้ มี ราคาถูก

Securing the Cable Plant การรักษาความปลอดภัยสายภายนอกเครือข่ายไม่ได้ป้องกันเรื่อง ความปลอดภัยเป็นหลักสำหรับองค์กรส่วนใหญ่ เน้นเกี่ยวกับการป้องกันการเข้าถึงสายเคเบิลในเครือข่ายภายใน ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในได้โดยตรงโดยผ่านสาย เคเบิลได้ โดยข้ามการรักษาความปลอดภัยเครือข่ายและสามารถ เปิดการโจมตีได้

Securing the Cable Plant (continued) ผู้โจมตีสามารถดักจับแพ็คเก็ตได้โดยผ่านเครือข่ายด้วยการ sniffing ฮาร์ดแวร์หรือซอฟต์แวร์ที่ทำหน้าที่ดังกล่าวเรียกว่าการ sniffer การรักษาความปลอดภัยทางกายภาพ (Physical security ) เป็นการป้องกันอันดับแรก ปกป้องอุปกรณ์และโครงสร้างพื้นฐานของตัวเอง หนึ่งในเป้าหมายหลักคือการป้องกันผู้ที่ไม่ได้รับอนุญาตให้ เข้าถึงอุปกรณ์หรือสายเคเบิลได้, การขโมยหรือทำลาย ทรัพย์สิน :

Securing Removable Media การรักษาความปลอดภัยข้อมูลที่สำคัญที่เก็บไว้ในไฟล์ เซิร์ฟเวอร์สามารถทำได้โดยผ่านรหัสผ่านที่แข็งแกร่ง, อุปกรณ์รักษาความปลอดภัยเครือข่าย, ซอฟต์แวร์ป้องกัน ไวรัสและการล็อคประตู พนักงานคัดลอกข้อมูลไปยังฟล็อปปี้ดิสก์หรือซีดีและพากลับ บ้านมีสองความเสี่ยง : สื่อข้อมูลอาจจะสูญหายหรือถูกขโมยข้อมูลอย่างไม่คาดถึง worm or virus อาจจะติดมากับสื่อ ซึ่งอาจทำลายข้อมูลที่ เก็บไว้และติดกันในระบบเครือข่ายได้

Magnetic Media บันทึกข้อมูลโดยการเปลี่ยนสนามแม่เหล็กเป็นอนุภาคลงบน แผ่นหรือเทปได้ Floppy disks คือสื่อ magnetic media ในยุคแรกๆ ความจุในทุกวันนี้ที่แผ่นขนาด 3 1/2-inch คือ 14 MB Hard drives เป็นสื่อในการเก็บข้อมูลที่มีความจุสูง มีหัวอ่าน และเขียนสำหรับแต่ละแผ่นที่บรรจุถภายในตัวมันหลายหัว ด้วยกัน และการเข้าถึงข้อมูลเป็นแบบ random Magnetic tape drives บันทึกข้อมูลเป็นลักษณะแบบ ต่อเนื่องกันไป ซึ่งในปัจจุบันมีความจุที่สูง

Optical Media Optical media ใช้หลักการในการบันทึกข้อมูลที่แตกต่างกัน จากสื่อแม่เหล็ก เลเซอร์ความเข้มสูงทำให้เกิดอาการไหม้หลุมเล็ก ๆ ใน พื้นผิวของแผ่นดิสก์ออปติคอลเพื่อบันทึกหนึ่ง แต่จะไม่มีการ บันทึกเป็นศูนย์ ความจุของแผ่นออปติคอลแตกต่างกันไปตามประเภท Compact Disc - Recordable (CD - R) แผ่นดิสก์สามารถ บันทึกได้ถึง 650 MB ของข้อมูล ข้อมูลไม่สามารถเปลี่ยนแปลงได้ที่ในการบันทึกครั้งเดียว

Optical Media (continued) Compact Disc - rewriteable (CD - RW) แผ่นดิสก์สามารถ ใช้ในการบันทึกข้อมูลการลบมันและบันทึกอีกครั้ง A Digital Versatile Disc (DVD) สามารถจัดเก็บข้อมูลขนาด ใหญ่ได้มากขึ้นกว่า CD รูปแบบการบันทึก DVD เช่น Digital Versatile Disc - Recordable (DVD - R) ซึ่งสามารถบันทึกพร้อมกันได้ถึง 395 GB บนแผ่นด้านเดียวและ 79 GB บนแผ่นดิสก์แบบ สองด้าน

Electronic Media Electronic media ใช้ flash memory ในการเก็บข้อมูล SmartMedia cards มีความจุอยู่ที่ระหว่าง 2 MB ถึง 128 MB ขนาดการ์ด ยาง 45 mm, กว้าง 37 mm, and ความหนาน้อย กว่า 1 mm

Electronic Media (continued) CompactFlash card (CF) ประกอบไปด้วยแผ่นวงจรเล็กๆ กับ flash memory chips มีความจุอยู่ที่ 1 GB หรือมากกว่า USB memory stick : ในปัจจุบันมีความจุอยู่ที่ 32 GB หรือ มากกว่า

Keeping Removable Media Secure การปกป้องสื่อที่ถอดได้เกี่ยวข้องกับการตรวจสอบให้แน่ใจว่า ซอฟต์แวร์ป้องกันไวรัสและการรักษาความปลอดภัยอื่น ๆ จะถูก ติดตั้งในระบบทั้งหมดที่อาจจะได้รับอุปกรณ์สื่อที่ถอดได้รวมทั้ง เครื่องคอมพิวเตอร์ที่บ้านของพนักงานเอง

Hardening Network Devices แต่ละอุปกรณ์ที่เชื่อมต่อกับเครือข่ายเป็นเป้าหมายที่สำคัญของ การโจมตีและมันต้องได้รับการปกป้องคุ้มครองอย่างเหมาะสม ถูกต้อง อุปกรณ์เครือข่ายที่ถูกจัดอยู่ในหมวดหมู่ : Standard network devices Communication devices Network security devices

Hardening Standard Network Devices standard network device เป็นอุปกรณ์ที่พบในเกือบทุก เครือข่ายเช่น workstation, server, switch, or router อุปกรณ์การรักษาความปลอดภัยขั้นพื้นฐานที่คุณสามารถใช้เพื่อ ทำให้เป็นอุปกรณ์หลักได้

Workstations and Servers Workstation: เป็น personal computer ที่ใช้ร่วมกับ เครือข่าย และบางครั้งเรียกว่า client ก็ได้ เชื่อมต่อกับ LAN และ shares resources กับเครื่องอื่นๆ และอุปกรณ์เครือข่าย สามารถใช้เป็นอิสระได้ในเครือข่าย และ สามารถติดตั้ง โปรแกรมเพื่อใช้เองส่วนตัวได้ Server: คอมพิวเตอร์ทีใช้ในเครือข่ายเฉพาะในการจัดการ และการควบคุมเครือข่าย

Switches and Routers Switch ส่วนใหญ่จะถูกใช้ใน Ethernet LANs รับแพ็กเก็ตจากอุปกรณ์เครือข่ายหนึ่งและส่งไปยังอุปกรณ์ ปลายทางเท่านั้น จำกัดการชนกันในโดเมนเดียวกัน (เป็นส่วนหนึ่งของ เครือข่ายที่อุปกรณ์หลายๆ ตัว อาจพยายามที่จะส่งแพ็ค เก็ตพร้อมกัน) สวิทช์จะใช้ภายในเครือข่ายเดียว เราเตอร์เชื่อมต่ออย่างน้อยสองเครือข่าย เช่นเดียวกับรูปแบบ เครือข่ายขนาดใหญ่

Switches and Routers (continued) สวิตช์และเราเตอร์จะต้องได้รับการป้องกันจากการโจมตี Switches และ routers สามารถจัดการด้วยการใช้ Simple Network Management Protocol (SNMP), ส่วนของ TCP/IP protocol suite Software หลักจะถูกโหลดเข้าไปในแต่ละเครื่องเพื่อการจัดการ ระบบ

Switches and Routers (continued) แต่ละเครื่องแต่ละเครือข่ายจะตรวจสอบการจราจรและการเก็บข้อมูลในฐานข้อมูลของการ จัดการ (MIB) เครื่องคอมพิวเตอร์ที่มีซอฟแวร์การจัดการ SNMP (สถานีการจัดการ SNMP) ติดต่อสื่อสารกับซอฟต์แวร์บนอุปกรณ์ของแต่ละเครือข่ายและการเก็บรวบรวมข้อมูลที่ จัดเก็บใน MIBs

Hardening Communication Devices ประเภทที่สองของอุปกรณ์เครือข่ายคือการติดต่อสื่อสารระยะทางไกล เช่น : Modems Remote access servers Telecom/PBX Systems Mobile devices

Modems อุปกรณ์สื่อสารที่พบมากที่สุด บรอดแบนด์เพิ่มมากขึ้นในความนิยมและสามารถสร้างความเร็ว ในการเชื่อมต่อเครือข่ายของ 15 Mbps และสูงกว่า สองเทคโนโลยีบรอดแบนด์ที่นิยม : Digital Subscriber Line (DSL) ส่งข้อมูลที่ความเร็ว 15 Mbps ผ่านสายโทรศัพท์ปกติ อีกเทคโนโลยีบรอดแบนด์ถูกใช้กับระบบเคเบิลทีวีท้องถิ่น

Modems (continued) คอมพิวเตอร์เชื่อมต่อกับโมเด็มสายเคเบิลที่เชื่อมต่อกับคู่สายที่ นำสัญญาณเคเบิลทีวีสู่ที่บ้าน เนื่องจากการเชื่อมต่อด้วยสายเคเบิลที่ใช้ร่วมกันในพื้นที่ที่ ใกล้เคียงกับผู้ใช้อื่น ๆ สามารถใช้ sniffer เพื่อดู traffic ได้ Another risk with DSL and cable modem connections is that broadband connections are charged at a set monthly rate, not by the minute of connect time ความเสี่ยงกับการ เชื่อมต่อแบบ DSL เคเบิลโมเด็มก็คือการเชื่อมต่ออินเทอร์เน็ต ความเร็วสูงจะมีค่าบริการเหมาเป็นรายเดือนในอัตราที่กำหนดไว้ โดยไม่ได้คิดเป็นนาทีในการเชื่อมต่อ

Remote Access Servers ชุดของเทคโนโลยีที่ช่วยให้ผู้ใช้ระยะไกลเพื่อเชื่อมต่อกับ เครือข่ายผ่านอินเทอร์เน็ตหรือเครือข่ายพื้นที่กว้าง (WAN) ผู้ใช้เรียกใช้ซอฟต์แวร์การเข้าถึงระยะไกลของลูกค้าและเริ่มต้น การเชื่อมต่อกับ Remote Access Server (RAS) ซึ่งจะตรวจสอบ ผู้ใช้และส่งผ่านการร้องขอบริการในเครือข่าย เครื่องลูกข่ายสามารถเข้าถึงได้ในระยะไกลและจะทำงานเกือบจะ ทุกโปรแกรมบนเครือข่ายโดยไม่มีการดัดแปลง อาจเป็นไปได้เพราะเทคโนโลยีการเข้าถึงระยะไกลรองรับ ตัวอักษรไดรฟ์ทั้งสองและแบบแผนการตั้งรายชื่อสากล (UNC)

Remote Access Servers (continued)

Telecom/PBX Systems ความหมายของ PBX มาจากคำให้ขึ้นชื่อของมัน Branch Private Branch eXchange

Mobile Devices โทรศัพท์มือถือและ PDA (personal digital assistants) ได้ กลายเป็นที่นิยมมากขึ้นและได้กลายเป็นเป้าหมายของการโจมตี การป้องกันบางชนิดต่อต้านการโจมตีด้วยอุปกรณ์เหล่านี้ คือโดย การใช้การเข้ารหัสแบบเรียลไทม์และรหัสผ่านเพื่อปกป้องระบบ จากผู้บุกรุก ไวรัส หรือ การเชื่อมต่อแบบไร้สาย โดยการ beam หา

Hardening Network Security Devices ประเภทสุดท้ายของอุปกรณ์เครือข่ายรวมถึงผู้ที่ออกแบบและการ ใช้อย่างเคร่งครัดเพื่อป้องกันเครือข่าย รวมเช่น Firewalls Intrusion-detection systems Network monitoring and diagnostic devices

Firewalls โดยทั่วไปจะใช้ในการกรองแพ็คเก็ต ออกแบบมาเพื่อป้องกันไม่ให้แพ็คเก็ตที่เป็นอันตรายจากการ ป้อนเครือข่ายหรือเครื่องคอมพิวเตอร์ของตน (บางครั้ง เรียกว่า packet filter) โดยปกติตั้งอยู่นอกระบบหลักเพื่อรักษาความปลอดภัย เครือข่ายเป็นด่านแรกของการป้องกัน สามารถกำหนดค่าของซอฟต์แวร์หรือฮาร์ดแวร์ (configulation) ซอฟต์แวร์ไฟร์วอลล์จะทำงานบนเครื่องคอมพิวเตอร์ส่วน บุคคลได้ (บางครั้งเรียกว่า personal firewall ) Enterprise firewalls เป็นซอฟต์แวร์ที่ออกแบบมาให้ทำงาน บนอุปกรณ์เฉพาะและการปกป้องเครือข่ายแทนการใช้เพียง หนึ่งคอมพิวเตอร์

Firewalls (continued) Filter packets : Stateless packet filtering: อนุญาตหรือปฏิเสธแพ็คเก็ตอย่างเคร่งครัด ตามกฎที่กำหนด Stateful packet filtering: ระเบียนของการเชื่อมต่อระหว่างเครื่อง คอมพิวเตอร์ภายในและภายนอกเซิร์ฟเวอร์; ทำให้การตัดสินใจขึ้นอยู่กับ ฐานข้อมูลการเชื่อมต่อและนโยบายที่กำหนด สามารถทำการกรองเนื้อหาเพื่อป้องกันการเข้าถึงเว็บไซต์ที่ไม่ พึงประสงค์ An application layer firewall สามารถป้องกัน worms ได้ดีกว่า ไฟล์วอลชนิดอื่นๆ การ Reassembles และวิเคราะห์กระแสแพ็คเก็ต แทนการ ตรวจสอบแต่ละแพ็คเก็ต

Intrusion-Detection Systems (IDSs) อุปกรณ์ที่สร้างขึ้นเพื่อการรักษาความปลอดภัยเครือข่ายเป็น หลัก Active IDS (or reactive IDS) มีหน้าที่หลักในการคัดแพ็ค เก็ตหรือติดตามแหล่งผู้บุกรุก ติดตั้งบนเซิร์ฟเวอร์หรือในบางกรณีในคอมพิวเตอร์ทุก เครื่องในเครือข่าย Passive IDS จะส่งแจ้งข้อมูลที่เกิดขึ้นมาให้ทราบแต่จะไม่ ทำการใดๆ กับผู้บุรุก

Intrusion-Detection Systems (IDSs) (continued) Host - based IDS จะตรวจสอบแฟ้มระบบปฏิบัติการที่ สำคัญและกิจกรรมการประมวลผลของเครื่องคอมพิวเตอร์ และหน่วยความจำบันทึกเหตุการณ์สแกนหาสัญญาณของ กิจกรรมที่น่าสงสัย Network - based IDS จะตรวจสอบการจราจรทุกเครือข่าย แทนกิจกรรมเฉพาะในคอมพิวเตอร์ โดยปกติตั้งอยู่เพียงหลังไฟร์วอลล์ ระบบ IDS อื่น ๆ จะขึ้นอยู่กับหน้าที่ : เฝ้าดูการทำงานของเครือข่ายและรายงานพฤติกรรมที่ ผิดปกติ

Network Monitoring and Diagnostic Devices SNMP สำหรับผู้ดูแลระบบเพื่อ : Monitor network performance Find and solve network problems Plan for network growth Managed device: เครือข่ายที่ใช้ SNMP มีการจัดการรวบรวมและเก็บข้อมูลให้กับ SNMP

Designing Network Topologies Topology: เป็นผังทางกายภาพของอุปกรณ์เครือข่ายว่า ถูก เชื่อมต่อกัน และมีวิธีการสื่อสารอย่างไร เป็นพื้นฐานของการสร้างการรักษาความปลอดภัย แม้ว่ารูปแบบเครือข่ายสามารถแก้ไขได้ด้วยเหตุผลด้านความ ปลอดภัยเครือข่ายแต่ยังคงต้องสะท้อนให้เห็นถึงความต้องการ ขององค์กรและผู้ใช้

Security Zones วิธีการหนึ่งเพื่อการทำแผนผังโครงสร้างเครือข่าย คือการแยก ผู้ใช้ให้มีความปลอดภัยจากบุคคลภายนอก โดยการกำหนดหรือ ตั้ง : Demilitarized Zones (DMZs) Intranets Extranets

Demilitarized Zones (DMZs) เครือข่ายที่แยกต่างหากซึ่งอยู่ข้างนอกระบบเครือข่ายความ ปลอดภัย ผู้ใช้ภายนอกสามารถเข้าถึง DMZ แต่ไม่สามารถเข้าสู่เครือข่าย ความปลอดภัยข้างในได้ สำหรับการรักษาความปลอดภัยพิเศษบางเครือข่ายใช้ DMZ กับ สองไฟร์วอลล์ ประเภทของเซิร์ฟเวอร์ที่ควรจะตั้งอยู่ใน DMZ มี : Web servers E-mail servers Remote access servers FTP servers

Demilitarized Zones (DMZs) (continued)

Intranets เครือข่ายที่ใช้โปรโตคอลเดียวกับอินเทอร์เน็ตสาธารณะ แต่จะ เข้าถึงได้เฉพาะผู้ใช้ที่เชื่อถือได้ภายใน ข้อด้อยคือมันไม่อนุญาตให้ผู้ใช้สามารถเข้าถึงข้อมูลได้จาก ระยะไกล

Extranets บางครั้งเรียกว่าการเชื่อมต่อข้ามระหว่างอินเทอร์เน็ตและ อินทราเน็ต ผู้ใช้ภายนอกที่มีสิทธิสามารถเข้าถึงภายในได้ แต่ผู้ใช้ที่อยู่ ภายในที่ไม่มีสิทธิก็ไม่สามารถเข้าถึงได้เช่นกัน ผู้ขายไม่สามารถเข้าถึงประชาชนทั่วไป แต่ช่วยให้และคู่ค้าทาง ธุรกิจในการเข้าถึงเว็บไซต์ของ บริษัท ไม่อนุญาตให้สำหรับ สาธารณะทั้วไป แต่อนุญาตให้ผู้ซื้อขายและผู้ที่มีธุระกิจทำ ธุรกรรมผ่านเวปไซต์

Network Address Translation (NAT) “You cannot attack what you do not see” "คุณไม่สามารถโจมตีสิ่งที่คุณไม่เห็น"ปรัชญาที่อยู่เบื้องหลัง (NAT) ซ่อน IP ที่อยู่ของอุปกรณ์เครือข่ายจากการโจมตี คอมพิวเตอร์จะถูกกำหนดที่อยู่ IP พิเศษ (ที่รู้จักกันเป็นที่อยู่ ส่วนตัว) IPเหล่านี้ไม่ได้กำหนดให้แก่ผู้ใช้เฉพาะหรือองค์ใดอันหนึ่ง ทุก คนสามารถใช้ได้เหมือนเป็นเครือข่ายภายในของพวกเขาเอง Port address translation (PAT) คือตัวแปลของ NAT แต่ละแพ็กเก็ตจะได้รับ IP เดียวกัน แต่แตกต่างกันที่เลขพอร์ต ของ TCP

Honeypots คอมพิวเตอร์อยู่ใน DMZ เต็มไปด้วยไฟล์ซอฟแวร์และข้อมูลที่ ปรากฏเป็นจริง มีจุดประสงค์เพื่อโจมตีหรือเคล็ดลับกับดัก วัตถุประสงค์สองส่วน : เป็นเส้นทางที่ตั้งใจให้พวกบุกรุกไปใช้ server ที่ไม่ได้อยู่บน เครือข่ายจริง เป็นเทคนิคที่ใช้ในการตรวจสอบพวก attacker

Honeypots (continued)

Virtual LANs (VLANs) เป็นส่วนที่แบ่งเครือข่ายออกเป็นส่วนๆ Core สวิทช์อยู่ที่ด้านบนสุดของลำดับชั้นและดำเนินการ จราจรระหว่างสวิทช์ Workgroup switches ถูกเชื่อมต่อโดยตรงเข้ากับอุปกรณ์บน เครือข่าย Core switches ต้องทำงานเร็วกว่า must work faster than workgroup switches เพราะว่า core switches จะต้อง รองรับ traffic หลายๆ workgroup switches

Virtual LANs (VLANs) (continued)

Virtual LANs (VLANs) (continued) ส่วนของเครือข่ายโดยการจัดกลุ่มผู้ใช้ที่คล้ายกัน การแบ่งกลุ่มโดยผู้ใช้ซึ่งคุณสามารถแบ่งส่วนของเครือข่ายด้วย การแยกอุปกรณ์ออกเป็นกลุ่มๆ (ที่เรียกว่าการสร้าง VLAN)

Summary Cable plant: โครงสร้างพื้นฐานทางกายภาพ (ลวดเชื่อมต่อ และสายสัญญาณที่ดำเนินการสื่อสารข้อมูลระหว่างอุปกรณ์) Removable media used to store information include: Magnetic storage (removable disks, hard drives) Optical storage (CD and DVD) Electronic storage (USB memory sticks, FlashCards) Network devices (workstations, servers, switches, and routers) ความเป็นอุปกรณ์ที่ยากต่อการจู่โจมของผู้บุกรุก A network’s topology เป็นบทบาทสำคัญในการต่อต้านผู้ โจมตี การซ่อนที่อยู่ IP ของอุปกรณ์เครือข่ายสามารถช่วยในการ พลางตัวเพื่อให้ผู้บุกรุกไม่สามารถหาได้