ปัญหาความปลอดภัยในระบบเครือข่าย

งานนำเสนอเรื่อง: "ปัญหาความปลอดภัยในระบบเครือข่าย"— ใบสำเนางานนำเสนอ:

1 ปัญหาความปลอดภัยในระบบเครือข่าย
อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

2 Outline ระบบสารสนเทศ Basic Network Setting โพรโตคอลต่างๆ
การตั้งค่า IP Address , Subnet Mask , Default Gateway , DNS โพรโตคอลต่างๆ TCP , IP , UDP , ICMP ภัยคุกคามระบบสารสนเทศ แนวทางการป้องกัน

3 ระบบสารสนเทศ Hardware Software Network Database

4 Basic Network Setting IP Address Subnet Mask Default Gateway DNS

5 Transmission Control Protocol

6 การทำงานของ TCP เป็น Connection-oriented protocol
มีการทำงานเพื่อเพิ่ม reliable ในระบบ มีการเชื่อมต่อแบบ unicast เชื่อมต่อแบบ end-to-end การส่งข้อมูลส่งในลักษณะ byte stream มักใช้กับการส่งข้อมูลที่ต้องการ reliable ในช่องทางที่ unreliable

7 TCP Format

8 User Datagram Protocol

9 UDP - User Datagram Protocol
เป็นการให้บริการเน้นความรวดเร็ว unreliable service เป็นโพรโตคอลเพื่อเพิ่มเติมการเชื่อมต่อแบบ host-to-host ของ IP ให้กลายเป็น application-to-application ทำงานเพียง multiplexing and demultiplexing เท่านั้น

10 UDP Header

11 UDP Format Port numbers มีขนาด 16 บิตจะสามารถอ้างอิงได้ 65,535 พอร์ต
Message Length มีขนาด ไบต์ Checksum สำหรับตรวจสอบความผิดพลาดใน UDP header

12 สรุปเกี่ยวกับ Transport Layer Protocol
UDP - User Datagram Protocol datagram oriented unreliable, connectionless simple unicast and multicast useful only for few applications, e.g., multimedia applications used a lot for services network management (SNMP), routing (RIP), naming (DNS), etc. TCP - Transmission Control Protocol stream oriented reliable, connection-oriented complex only unicast used for most Internet applications: web (http), (smtp), file transfer (ftp), terminal (telnet), etc.

13 IP - Internet Protocol

14 IP Protocol IP เป็นโพรโตคอลที่อยู่ตรงกลางใน OSI Layer

15 IP Datagram Format 20 bytes ≤ Header Size < 24 x 4 bytes = 60 bytes
20 bytes ≤ Total Length < 216 bytes = bytes

16 IP Service Unreliable ไม่มีการทำงานใดๆ หากมีปัญหาการรับส่งข้อมูล
Connectionless ไม่มีการสร้างการเชื่อมต่อก่อนการส่งข้อมูล Best effort ไม่มีการการันตีบริการใดๆ โพรโตคอลในชั้นที่สูงกว่าทำหน้าที่จัดการปัญหาต่างๆ ในการเชื่อมต่อเอง เครื่องปลายทางอาจได้รับข้อมูลโดยไม่เป็นลำดับ

17 Internet Control Message Protocol (ICMP)

18 Overview Internet Control Message Protocol (ICMP) เป็นโพรโตคอลที่ใช้ในการสนับสนุนการทำงานในเครือข่ายดังนี้ การรายงานความผิดพลาดต่างๆ การร้องขอข้อมูลระบบเบื้องต้น ICMP messages = IP Payload

19 ICMP message format เฮดเดอร์ ICMP มีขนาด 4 byte ได้แก่:
Type (1 byte): บอกชนิดของ ICMP message Code (1 byte): บอกชนิดย่อยหรือโค้ดการทำงานของ ICMP message Checksum (2 bytes): ตรวจสอบความผิดพลาดในการส่งข้อมูล ICMP message ในกรณีที่ไม่มีข้อมูลใดๆ ค่า Checksum จะมีค่าเท่ากับ 0 โดยปกติ ICMP Message จะมีขนาด 8 ไบต์

20 ภัยคุกคามระบบสารสนเทศ

21 Example Network

22 การดักจับข้อมูลในเครือข่ายโดย Sniffers
ข้อมูลส่งผ่านตามสายและกระจายตามพอร์ตต่างๆ ของ HUB หรือ Switch การ์ดเครือข่ายได้รับข้อมูลที่ส่งผ่านทุก Packet สามารถใช้โปรแกรมเฉพาะดึงข้อมูลจากการ์ดเครือข่ายเพื่อแสดงผลได้ โปรแกรม Ethereal / Wireshark

23

24 การหาข้อมูลเครื่องเซิร์ฟเวอร์โดยใช้ Port Scanner
เซิร์ฟเวอร์ที่ให้บริการทางเครือข่ายเปิดพอร์ต พอร์ตที่เปิดตอบสนองต่อการร้องขอแตกต่างจากพอร์ตที่ปิด ส่งการร้องขอไปยังทุกๆ พอร์ตเพื่อดูการตอบสนอง เก็บข้อมูลรายการพอร์ตที่เปิด พร้อมรายละเอียด ทำการเจาะระบบผ่านพอร์ตที่เปิดบริการที่มีช่องโหว่

25 ตัวอย่างผลลัพธ์ของ NMAP

26 การสแกนหาช่องโหว่โดย Vulnerability Scanner
ช่องโหว่ต่างๆ ถูกค้นพบเสมอ รูปแบบการตอบสนองของซอฟต์แวร์ที่มีช่องโหว่ถูกรวบรวม ซอฟต์แวร์ Vulnerability Scanner ใช้การ Scan Port และเทียบกับฐานข้อมูล และรายงานผล เจ้าของผลิตภัณฑ์ปรับปรุงซอฟต์แวร์แก้ไขช่องโหว่แต่ผู้ดูแลระบบยังไม่ทำการปิด โปรแกรม NESSUS ใช้ในการค้นหาช่องโหว่ในระบบ สามารถใช้ทั้งการตรวจสอบของ Admin และตรวจหาช่องโหว่ของ Hacker

27

28

29

30 Denial of Service Attacks
เป็นการโจมตีระบบคอมพิวเตอร์และเครือข่ายเพื่อไม่ให้ผู้ใช้งานสามารถร้องขอทรัพยากร ข้อมูล หรือบริการใดๆ ได้ เช่น Sync Flood, UDP Flood, ICMP Flood, Land Attack, Smurf Attack, Fragmentation Attack. ผลกระทบจาก DoS: Software Systems Network Routers/Equipment/Servers Servers and End-User PCs Distributed Denial of Service Attack โครงสร้างแบบกระจายในการจัดตั้งระบบสำหรับโจมตีระบบอื่นๆ

31 DDoS Architecture Client Handler Agents

32 ตัวอย่างโปรแกรม DDoS Trinoo Tribe Flood Network TFN2K
stacheldraht (barbed wire)

33 Trinoo First DDoS Tool widely available
Uses UDP flooding attack strategy TCP connectivity between master and hosts UDP connectivity between master and agents

34 TFN (Tribe Flood Network)
Written in 1999 by “Mixter”. Allows for UDP flooding, TCP SYN, ICMP flood, and smurf attacks. Communication between handlers and agents is accomplished with ICMP_Echo_Reply packets which are harder to detect than UDP packets and can pass through firewalls[2].

35 TFN2K The successor to TFN, also written by “Mixter”.
Allows for encrypted messaging between components. Handlers and agents can communicate using ICMP, UDP, or TCP. Random protocol selection is possible. Adds an additional attack form called TARGA (sends malformed IP packets known to slow down or “hang up” the network stacks). Also adds a MIX attack which uses UDP, SYN, and ICMP_Echo_Reply Flooding.

36 stacheldraht German for “barbed wire” Based on early TFN versions.
Provides ICMP, UDP, and TCP SYN attack options. Has the ability to perform daemon updates automatically.

37 Malware / Malicious Code
โปรแกรมหรือส่วนของโปรแกรม ที่ให้ผลลัพธ์การทำงานที่ผิดจากความต้องการของผู้ใช้งานปกติ มักสร้างจากความต้องการก่อกวน ทำลาย จารกรรม มีการฝังตัวในระบบ และเริ่มทำงานเมื่อมีเหตุการณ์ที่ตรงตามเงื่อนไข สามารถหยุดการทำงานของโปรแกรมอื่นๆ สร้างเสียง ลบข้อมูลในเครื่อง ฯลฯ ยกตัวอย่างเช่น Viruses, Worms, Trojan Horses, Trapdoor/Backdoor

38 คุณสมบัติของ Virus สร้างง่าย ตรวจจับ ทำลาย หยุดการทำงานได้ยาก
กระจายตัวได้อย่างกว้างขวาง สามารถกระจายตัวภายในโปรแกรมเดิม หรือโปรแกรมอื่นๆ ได้ ไวรัสแต่ละตัวจะทำงานได้ใน เครื่อง โปรแกรม หรือในระบบปฏิบัติการเฉพาะเท่านั้น

39 TCP Session Hijacking แฮกเกอร์อยู่ระหว่างการเชื่อมต่อที่ต้องการขโมยเซสชั่น ดักจับแพ็กเก็ต โดยเฝ้าดู sequence numbers และ acknowledge numbers ของการเชื่อมต่อ ใช้การคำนวณหมายเลข Sequence number ของ TCP session และสร้างเพื่อสร้าง Session ใหม่แทรกเข้าไปใน Session เดิม มักเรียกว่า Man-in-the-middle การดักจับแพ็กเก็ต (Sniffer) มี 2 ชนิด Passive sniffers. ใน Broadcast Domain เดียวกัน Active sniffers ใช้ ARP Spoof เพื่อให้มีการส่งแพ็กเก็ตมายังเครื่องที่ดักจับ

40 ภัยคุกคามระบบสารสนเทศ
ข้อผิดพลาดจากการกระทำของมนุษย์ การบุกรุก การก่อวินาศกรรมหรือการทำลาย การโจรกรรม การโจมตีซอฟต์แวร์ คุณภาพของบริการ ข้อผิดพลาดทางเทคนิคของฮาร์ดแวร์ ข้อผิดพลาดทางเทคนิคของซอฟต์แวร์ เทคโนโลยีล้าสมัย ภัยธรรมชาติ Social Engineering

41 แนวทางการป้องกันระบบสารสนเทศ

42 Defenses ไม่มีการป้องกันที่สามารถป้องกันภัยคุกคามได้ทั้งหมด !!!!!!!

43 ยุทธศาสตร์ที่ใช้ในการป้องกัน
CIA : Confidentiality, Integrity, Availability AAA : Authentication, Authorization, Accounting PDR : Prevent , Detect , Response

44 Confidentiality การรักษาข้อมูลสารสนเทศให้เป็นความลับ
เน้นการประยุกต์เทคโนโลยีการเข้ารหัสลับกับเทคโนโลยีอื่นๆ ป้องกันการดักจับข้อมูลไปใช้ประโยชน์ เช่น อัลกอริทึมในการเข้ารหัส DES,3DES,RSA,AES ฯลฯ IP Security , IPv6 SSH SSL/TLS VPN

45 Integrity การตรวจสอบและคงความถูกต้อง หรือบูรณภาพของข้อมูลสารสนเทศ
เน้นการนำทฤษฏีทางคณิตศาสตร์มาสร้างกระบวนการตรวจสอบ ป้องกันการเปลี่ยนแปลงข้อมูลระหว่างการส่ง หรือการปลอมแปลงไฟล์ข้อมูลต่างๆ เช่น Checksum Hashing Message Authentication Code Digital Signature

46 Availability การออกแบบและบริหารระบบให้มีความพร้อมในการให้บริการ
มุ่งเน้นการออกแบบ และสร้างระบบที่สามารถทนทานต่อความเสียหาย หรือรองรับความเสียหายได้ การวางแผนเพื่อรับมือภัยพิบัติ หรือการขยายตัวของภาระงานต่างๆ เช่น Load Balancer การทำแผนภัยพิบัติ (Contingency Plan) Disaster Recover Center Security Awareness Training

47 Authentication การพิสูจน์ตัวตน ซึ่งจะให้ความมั่นใจว่าบุคคล services หรือ object ใดๆ ที่เกี่ยวข้องนั้น คิดสิ่งที่หมายความถึงจริงๆ หรือไม่ ป้องกันการลักลอบใช้งาน เช่น การใช้ Username Password Credential Biometric Authentication Two Factors Certification

48 Authorization การพิสูจน์สิทธิ หรือการให้สิทธิใน บุคคล, System, Service, โพรเซส หรือ object ใดๆ ให้สามารถเข้าถึงทรัพยากรได้ตรงตามสิทธิของตนเอง เพื่อลดความเสี่ยงจากการใช้งานทรัพยากรเกินสิทธิ หรือความเสียหายอันเกิดจากการให้สิทธิเกินภาระงาน ป้องกันการใช้งานเกินกว่าหน้าที่รับผิดชอบ เช่น การให้สิทธิการเข้าถึงเครือข่าย สิทธิการใช้งานข้อมูลสารสนเทศ เป็นต้น มักเป็นขั้นตอนที่เกิดขึ้นภายหลังจาก Authentication

49 Accounting เป็นขั้นตอนการบันทึกเหตุการณ์ วิเคราะห์ ประเมินและการตรวจสอบ โดยเหตุการณ์หรือความเสียหายต่างๆ ที่เกิดขึ้นในระบบ จะต้องสามารถตรวจสอบได้ว่ามีที่มาที่ไปอย่างไร มุ่งเน้นการเก็บข้อมูลรายละเอียดเหตุการณ์ที่เกิดขึ้นตามเวลา การเกี่ยวเนื่องสอดคล้องกันของเหตุการณ์ต่างๆ เพื่อตรวจสอบการทำงานว่ายังอยู่ในภาวะปกติหรือไม่ หรือตรวจสอบย้อนหลัง เช่น ระบบมอนิเตอร์ระบบงานต่างๆ ระบบติดตามผลการทำงาน

50 Prevent เป็นหลักการในการป้องกันภัยคุกคามที่จะเกิดขึ้น โดยภัยคุกคามดังกล่าวจะเป็นภัยคุกคามที่ผู้ดูแลมักจะทราบว่าจะมีการเกิดขึ้นแน่นอนหากไม่ดำเนินการป้องกัน มุ่งเน้นการใช้นโยบาย และใช้เครื่องมือในการบังคับใช้นโยบาย เครื่องมือที่ใช้คือ นโยบายควบคุมการทำงานของผู้ใช้งาน การใช้ Firewall เพื่อกำหนดนโยบายทางเครือข่าย การใช้ Active Directory ในการกำหนดทรัพยากรต่างๆในระบบสารสนเทศ

51 Detect เป็นการตรวจจับเหตุการณ์ต่างๆ ที่เฝ้าระวัง โดยเหตุการณ์ที่เฝ้าระวังมักเป็นเหตุการณ์ฉุกเฉิน หรือสัญญาณของภัยคุกคามต่างๆ เพื่อให้ผู้ดูแลระบบรู้ปัญหา และสามารถตอบสนองต่อปัญหาได้อย่างรวดเร็ว ไม่ทำให้เกิดความเสียหายรุนแรง เครื่องมือที่ใช้ Network Monitoring System IDS/IPS การดำเนินการตามแผนรับมือเหตุฉุกเฉิน (Incident Response Plan)

52 Response เป็นกระบวนการตอบโต้เหตุการณ์ฉุกเฉินต่างๆ อันจะทำให้ระบบสารสนเทศเกิดปัญหาไม่สามารถให้บริการได้ ควรมีการเตรียมตัวเพื่อรับมือเหตุการฉุกเฉินตามแผนรับมือเหตุฉุกเฉิน เครื่องมือที่ใช้ ใช้ Firewall ในการปิดกั้นภัยคุกคามทางเครือข่าย ใช้ระบบ Anti-Virus เพื่อจัดการกับ Malware ต่างๆ การปรับแต่งค่า configuration ของระบบงานให้รับมือกับภัยคุกคามในระบบ