หน่วยที่ 5 การบริหารจัดการระบบเครือข่าย

บทนำ

                การนำคอมพิวเตอร์แต่ละเครื่องมาทำการเชื่อมต่อกันเป็นระบบเครือข่ายคอมพิวเตอร์นั้น จะต้องเกี่ยวข้องกับส่วนประกอบต่างๆ มากมาย และส่วนประกอบเหล่านั้นจะต้องทำงานประสานกันเป็นระบบ และเพื่อการใช้งานระบบเครือข่ายคอมพิวเตอร์เกิดประโยชน์และมีประสิทธิภาพในการใช้งานสูงสุด จำเป็นจะต้องมีการบริหารจัดการระบบเครือข่ายที่ดีด้วย

 แบบอ้างอิงการบริหารจัดการระบบเครือข่าย
                แบบอ้างอิงในการบริหารจัดการระบบเครือข่าย ถูกกำหนดขึ้นโดยองค์การมาตรฐานนานาชาติ (ISO) เพื่อเป็นแนวทางในการบริหารจัดการระบบเครือข่ายแบบมีโครงสร้าง ประกอบไปด้วย 5 ข้อดังนี้ คือ

                1.การบริหารจัดการบัญชีผู้ใช้งาน (Accounting Management)
                2.การบริหารจัดการด้านความผิดพลาด (Fault Management)
                3.การบริหารจัดการประสิทธิภาพ (Performance Management)
                4.การบริหารจัดการในการกำหนดค่าต่างๆ (Configuration Management)           
                5.การบริหารจัดการเกี่ยวกับการรักษาความปลอดภัย (Security Management) 

การบริหารจัดการเกี่ยวกับบัญชีผู้ใช้งาน (Accounting Management)       
     การบริหารจัดการบัญชีผู้ใช้งาน หมายถึง การเก็บรายระเอียด การสร้าง และการควบคุมผู้ใช้งานและอุปกรณ์ต่างๆ เกี่ยวกับการเข้าถึงทรัพยากรในระบบเครือข่าย เช่น ข้อมูลของผู้ใช้งาน โควตา สิทธิ์ของผู้ใช้งาน หรือกลุ่มของผู้ใช้งาน เป็นต้น

การบริหารจัดการความผิดพลาด (Fault Management)
     การบริหารจัดการความผิดพลาด หมายถึงการตรวจสอบ การเก็บรายระเอียดของความผิดพลาดที่เกิดขึ้น และการแก้ไขความผิดพลาดที่เกิดขึ้นในระบบเครือข่าย โดยมีจุดมุ่งหมายเพื่อการแก้ไขความผิดพลาดที่เกิดขึ้นได้ทันเวลา 

การบริหารจัดการประสิทธิภาพ (Performance Management)
      การบริหารจัดการประสิทธิภาพ หมายถึงการจัดตรวจวัด การทำรายงาน การวิเคราะห์และการควบคุมประสิทธิภาพในการทำงานของระบบเครือข่าย เช่น อัตราความเร็วในการส่งข้อมูลปริมาณการใช้งาน รวมทั้งการดูแลอุปกรณ์ต่างๆ ในเครือข่ายให้ใช้งานได้ตลอดเวลา 

การบริหารจัดการในการกำหนดค่าต่างๆ (Configuration Management)
         การบริหารจัดการในการกำหนดค่าต่างๆ หมายถึงการจัดการตั้งค่าต่างๆ ของอุปกรณ์ในระบบเครือข่าย เช่น การตั้งค่าอ IP Address เป็นต้น 

การบริหารจัดการเกี่ยวกับการรักษาความปลอดภัย (Security Management)
         การบริหารจัดการระบบการรักษาความปลอดภัย หมายถึงการควบคุมการใช้งานทรัพยากรต่างๆ ในระบบเครือข่ายให้เป็นไปตามนโยบายที่ได้กำหนดไว้ เช่น การใช้งานไฟล์วอร์ การเข้ารหัสข้อมูล เป็นต้น

 

การบริหารจัดการบัญชีผู้ใช้งานในระบบเครือข่าย
            บัญชีผู้ใช้งานระบบเครือข่ายที่สามารถบริหารจัดการได้แบ่งออกเป็น 2 ประเภท คือ บัญชีผู้ใช้งาน (User Account) และบัญชีกลุ่มผู้ใช้งาน (Group Account) ซึ่งก่อนการใช้งานระบบเครือข่ายจะต้องจัดการเกี่ยวกับการเข้าใช้งานระบบเครือข่าย ซึ่งผู้ดูแลระบบเครือข่ายจะต้องจัดการเกี่ยวกับการเข้าใช้งานระบบเครือข่าย ซึ่งผู้ดูแลระบบเครือข่ายจะต้องกำหนดวิธีเข้าไปใช้งานระบบเครือข่ายที่เป็นรูปแบบเดียวกัน เช่น การล็อคอินเข้าสู่ระบบเครือข่าย การเข้าถึงทรัพยากรต่างๆ ที่มีอยู่ในระเบบเครือข่าย

           1. บัญชีผู้ใช้งาน (User Account)
              บัญชีผู้ใช้งาน หมายถึง ชื่อและรหัสที่ผู้ใช้งานแต่ละคนใช้ ชื่อและรหัสนั้นอาจมีความสัมพันธ์กับชื่อจริง หรือตำแหน่งหน้าที่การงานที่ทำ ดังนั้นจะเห็นว่าตั้งชื่อและรหัสใช้กับผู้ใช้งานนั้นผลต่อการบริหารจัดการระบบเช่น กรณีที่มีการกำหนดว่าผู้ใช้งานใส่รหั้สผ่านผิดเกิน 5 ครั้ง ชื่อนั้นจะถูกระงับไว้ชั่วคราว

              ความปลอดภัยอย่างหนึ่งของระบบเครือข่าย คือการกำหนดรหัสผ่าน(Password) ยิ่งมีการกำหนดรหัสผ่านยาก ก็ยิ่งทำให้ระบบเครือข่ายมีความปลอดภัยมากขึ้นเท่านั้น ซึ่งการกำหนดรหัสผ่านของผู้ใช้งาน ควรมีหลักการดังนี้ คือ

     1.ไม่ควรใช้วันเดือนปีเกิด ชื่อคนสนิท หรือข้อมูลอื่นๆ ที่เกี่ยวกับตนเอง

     2.ไม่ควรใช้คำที่มีอยู่ในพจนานุกรม

     3.มีการกำหนดความยาวขั้นต่ำ

     4.การกำหนดรหัสผ่าน ควรมีทั้งตัวอักษร ตัวเลข และสัญลักษณ์พิเศษ

     5.ควรมีการเปลี่ยนรหัสผ่านบ่อยๆ                   

      6.เก็บรายชื่อรหัสผ่านที่ใช้แล้ว

             การกำหนดรหัสผ่านควรเป็นสิ่งที่ผู้ใช้งานสามารถจำได้ง่ายโดยไม่ต้องเขียนไว้เพื่อเตือนความจำ แต่ก็ต้องยากต่อการเดาของผู้อื่น เพราะการบุกรุกเข้าระบบเครือข่ายส่วนมากจะใช้คำในพจนานุกรมแทนรหัสผ่าน
            การใช้ทรัพยากรในระบบเครือข่ายนั้นขึ้นอยู่กับสิทธิที่ผู้ดูแลระบบเป็นผู้กำหนดให้ ดังนั้นก่อนที่จะเริ่มใช้ระบบเครือข่ายจะต้องมีการกำหนดบัญชีผู้ใช้งานและสิทธิของผู้ใช้งานแต่ละคน

             การที่ให้ผู้ใช้งานแต่ละคนสามารถกำหนดชื่อผู้ใช้งานขึ้นมาเอง ซึ่งอาจเป็นชื่อไม่สมเหตุสมผล ยิ่งเป็นการยากในการบริหารจัดการระบบในการจำแนกหรือบ่งบอกว่าผู้ใช้งานใดใช้ชื่อว่าอะไรและอาจทำให้เกิดความสับสนในกรณีที่มีการส่งข้อความถึงกัน เพราะผู้อื่นไม่ทราบว่าชื่อนั้นเป็นของใคร วิธีที่นิยมที่สุดในการกำหนดชื่อของผู้ใช้งาน คือการใช้ตัวอักษรตัวแรกของชื่อจริงและนามสกุลหรือชื่อจริงแล้วตามด้วยตัวอักษรตัวแรกของนามสกุล
             เมื่อกำหนดข้อตกลงต่างๆ เพิ่อกำหนดชื่อผู้ใช้งานแล้ว จากนั้นก็เริ่มสร้างบัญชีผู้ใช้งานซึ่งส่วนใหญ่จะมีโปรแกรมสำหรับช่วยในการสร้างบัญชีผู้ใช้งาน

           2. บัญชีกลุ่มผู้ใช้งาน (Group Account) 
                 การแบ่งผู้ใช้งานออกเป็นกลุ่มๆ นั้น เพื่อความสะดวกในการบริหารจัดการระบบเครือข่ายผู้ใช้งานจะถูกกำหนดสิทธิต่างๆ ในการเข้าถึงทรัพยากรด้วยบัญชีกลุ่มแทนที่จะกำหนดให้กับผู้ใช้งานเป็นรายบุคคล ผู้ใช้งานที่อยู่ในกลุ่มเดียวกันจะมีสิทธิเท่าเทียมกัน โดยประโยชน์ของการบริหารจัดการกลุ่มผู้ใช้งานไม่ใช่เพื่อความสะดวกเท่านั้น แต่ยังเป็นการป้องกันการลืมที่จะกำหนดสิทธิให้กับผู้ใช้งานคนใดคนหนึ่ง โดยเฉพาะผู้ใช้งานที่มีความสำคัญต่อองค์กร

                 ระบบปฏิบัติการเครือข่ายส่วนใหญ่จะมีการสร้างบัญชีกลุ่มผู้ใช้งานไว้แล้ว รวมทั้งการกำหนดสิทธิให้แต่ละกลุ่มด้วย ซึ่งกลุ่มผู้ใช้งานบางกลุ่มมีสิทธิในการทำหน้าที่แทนผู้ดูแลระบบได้บางอย่างเช่น การสำรองข้อมูล การสร้างบัญชีใหม่ เป็นต้น ซึ่งการทำเช่นนี้เป็นการแบ่งเบาภาระหน้าที่ความรับผิดชอบของผู้ดูแลระบบ

                   ในระบบเครือข่ายขนาดเล็ก การบริหารจัดการบัญชีผู้ใช้งานอาจไม่ยุ่งยากมากนัก แต่ถ้าเป็นระบบเครือข่ายขนาดใหญ่มีผู้ใช้งานจำนวนมาก จึงเป็นงานที่หนักสำหรับผู้ดูแลระบบ ปัจจุบันระบบเครือข่ายขนาดใหญ่นิยมใช้ Directory Service เข้ามาช่วยในการบริหารจัดการ

 

การบริหารจัดการทรัพยากรในระบบเครือข่าย
           จุดประสงค์หลักในการใช้งานระบบเครือข่าย คือเพื่อการใช้ทรัพยากรอย่างมีประสิทธิภาพ ไม่ว่าทรัพยากรนั้นจะเป็นฐานข้อมูล หรืออุปกรณ์ต่างๆ การจัดการทรัพยากรเหล่านี้เป็นการเสียเวลาอย่างมากสำหรับผู้ดูแลระบบ ซึ่งหลักในการบริหารจัดการทรัพยากรในระบบเครือข่าย มีดังนี้ คือ

        ดิสก์โควตา (Disk Quota)    
        เป็นส่วนที่กำหนดข้อตกลงเกี่ยวกับพื้นที่ที่ผู้ใช้งานแต่ละคนจะสามารถใช้ฮาร์ดดิสก์ที่ติดตั้งใมนเครื่องเซิร์ฟเวอร์การที่ต้องการกำหนดดิสก์โควตา เพราะว่าโดยธรรมชาติของผู้ใช้งาน จะมีการเก็บข้อมูลต่างๆ ไว้ในฮาร์ดดิสก์ และขนาดของข้อมูลเหล่านี้จะเพิ่มปริมาณขึ้นเรื่อยๆ ทำให้พื้นที่ในฮาร์ดดิสก์มีปริมาณที่เหลือน้อยลง 

        การพิมพ์
         การร่วมกันใช้งานเครื่องพิมพ์ถือเป็นจุดประสงค์ที่สำคัญอย่างหนึ่งของการใช้งานระบบเครือข่าย โดยเฉพาะในองค์กรขนาดเล็ก เพราะเครื่องพิมพ์ที่มีคุณภาพสูงจะมีราคาแพง ถ้าเครื่องพิมพ์เสียผู้ใช้งานก็ไม่สามารถทำงานได้อย่างเต็มที่ และเมื่อระบบเครือข่ายขยายมากขึ้นความหลากหลายของเครื่องพิมพ์ก็จะสามารถเพิ่มมากขึ้นตามไปด้วย ดังนั้นจึงควรมีระบบการบริหารจัดการเกี่ยวกับเครื่องพิมพ์ที่ดี

         ไฟล์และไดเร็กทอรี่
           ไฟล์และไดรเร็กทอรี่จะไม่ถือว่าเป็นทรัพยากรของระบบเครือข่าย แต่อย่างไรก็ตามผู้ใช้งานจะต้องเข้าถึงไฟล์เหล่านี้เป็นประจำ ซึ่งระบบปฏิบัติการเครือข่ายจะมีฟังก์ชันที่ใช้ในการบริหารจัดการเกี่ยวกับไฟล์ด้วยการกำหนดสิทธิของกลุ่มผู้ใช้งานที่สามารถเข้าถึงไฟล์เหล่านี้ได้

 

การบริหารจัดการประสิทธิภาพของระบบเครือข่าย
        เนื่องจากระบบเครือข่ายเป็นสิ่งที่มีความซับซ้อน โดยประกอบขึ้นมาจากส่วนประกอบต่างๆ ที่ผลิตโดยหลายผู้ผลิต แล้วนำมาประกอบเป็นระเบบเครือข่าย ซึ่งอาจเกิดความสับสนในการทำงานของอุปกรณ์ต่างๆ ได้ และมีผลกระทบต่อการทำงานโดยรวมของระบบ ดังนั้นการออกแบบระบบเครือข่ายที่ดี มีการวางแผนอย่างรอบคอบ และติดตั้งอุปกรณ์ต่างๆ อย่างถูกวิธี จะสามารถช่วยลดเวลาในการซ่อมบำรุงได้เป็นอย่างมาก แต่อย่างไรก็ตามก็จะต้องมีปัญหาเกิดขึ้นบ้างในบางครั้ง โดยเฉพาะอย่างยิ่งปัญหาเกี่ยวกับประสิทธิภาพการทำงานของระบบเครือข่าย ดังนั้นผู้ดูแลระบบจำเป็นอย่างยิ่งที่จะต้องเข้าใจปัญหาที่เกิดขึ้น ต้องเรียนรู้และสามารถใช้เครื่องมือต่างๆ ช่วยในการแก้ปัญหาเหล่านั้นซึ่งปัญหาที่อาจเกิดขึ้นในระบบเครือข่าย มีดังนี้ คือ

       ฮาร์ดแวร์ของระบบเครือข่าย
       ฮาร์ดแวร์ของระบบเครือข่ายมักจะได้รับความสนใจจากผู้ดูแลระบบเป็นอย่างมากในช่วงแรกๆ หรือช่วงที่ทำการติดตั้งระบบเครือข่ายใหม่ๆ แต่หลังจากนั้นจะได้รับความสนใจน้อยลง เพราะส่วนใหญ่ฮาร์ดแวร์ที่ติดตั้งจะไม่ค่อยเกิดปัญหามากนัก 
      ถึงแม้ฮาร์ดแวร์ต่างๆ ไม่ค่อยมีปัญหาเกิดขึ้นบ่อยนัก แต่ก็อาจเกิดขึ้นได้เช่นกัน โดย มีสาเหตุต่างๆ กัน ดังนี้คือ

     -  การใช้สายสื่อสารเกินข้อจำกัดที่กำหนดไว้ มีคลื่นรบกวน หรือสายสื่อสารเกิดการชำรุดเสียหาย ซึ่งสายสื่อสารที่ใช้ในระบบเครือข่ายทุกประเภทมีขีดจำกัดในการใช้งาน ถ้ามีการใช้งานเกินขีดจำกัด เช่น ขีดจำกัดเกี่ยวกับความยาวของสายสื่อสาร อาจทำให้เกิดปัญหาต่อประสิทธิภาพของระบบเครือข่ายได้ ทำให้ข้อมูลที่ส่งออกไปกลายเป็นขยะเมื่อเดินทางไปถึงปลายทาง หรือาจส่งไปไม่ถึงปลายทาง ปัญหาต่างๆ เหล่านี้เป็นการยากที่จะวินิจฉัย

       -ปัญหาการใช้ฮับสวิตชิ่งเกินจำนวนที่จำกัด

        -การ Terminate สายโคแอกเชียลไม่ถูกต้อง

       ปัญหาเหล่านี้อาจไม่ทำให้เกิดการขัดข้องทั้งระบบเครือข่าย แต่มีผลต่ออัตราความเร็วในการส่งข้อมูลและสเถียรภาพของระบบ ซึ่งปัญหาดังกล่าวยากในการค้นหาสาเหตุ ดังนั้นในขั้นตอนการวางแผนและออกแบบเพื่อติดตั้งระบบเครือข่าย ควรจะทำความเข้าใจเกี่ยวกับข้อจำกัดของอุปกรณ์ต่างๆ ด้วย

       สายสื่อสารชนิดที่เป็นโลหะ เช่น สาย UTP จะถูกรบกวนจากคลื่นแม่เหล็กไฟฟ้าได้ง่ายโดยที่คลื่นเหล่านี้จะเกิดขึ้นเองตามธรรมชาติ เช่น ฟ้าผ่า หรืออาจเกิดขึ้นจากสิ่งที่มนุษย์สร้างขึ้นเช่น เครื่องจักร เป็นต้น ซึ่งมีวิธีการแก้ไขปัญหาประเภทนี้คือก่อนที่จะทำการติดตั้งสายสื่อสาร ควรทดสอบก่อนว่าบริเวณนั้นมีคลื่นแม่เหล็กไฟฟ้ารบกวนหรือไม่

     สายสื่อสารเมื่อใช้งานไปเป็นเวลานานทำให้เกิดการชำรุดหรือเสื่อมสภาพได้ ซึ่งมีผลทำให้ระบบเครือข่ายไม่สามารถใช้งานได้ หรือมีผลทำให้ระบบเครือข่ายมีประสิทธิภาพในการส่งข้อมูลลดลง 

        เน็ตเวิร์ทราฟฟิก (Network Traffic)
         เน็ตเวิร์คทราฟฟิก  หมายถึงการไหลเวียนของข้อมูลในระบบเครือข่าย ซึ่งเมื่อมีผู้ใช้งานระบบเครือข่ายมากขึ้น เน็คเวิร์คทราฟฟิกก็มีมากขึ้นตามไปด้วย ซึ่งระบบเครือข่ายที่ดีควรออกแบบเผื่อไว้รองรับเน็ตเวิร์คทราฟฟิกที่เพิ่มขึ้น เพราะเมื่อเน็ตเวิร์คทราฟฟิกเพิ่มขึ้นปัญหาที่ไม่คาดคิดอาจเกิดขึ้นตามมาด้วย

ปัญหาต่างๆ ที่อาจเกิดขึ้นเนื่องจากเน็ตเวิร์คทราฟฟิกที่เพิ่มมากขึ้น สามารถแบ่งออกได้ดังนี้  คือ

       การชนกันของข้อมูล
      การชนกันของข้อมูลในระบบเครือข่าย ตัวอย่างเช่นในระบบเครือข่ายท้องถิ่นแบบอีเทอร์เน็ตซึ่งเป็นเทคโนโลยีที่ได้รับความนิยมนำมาใช้งานมากที่สุดในปัจจุบัน ใช้การควบคุมการส่งข้อมูลโดยวิธี CSMA/CD ที่มีหลกการทำงาน คือ จะแพร่สัญญาณรบกวนที่เรียกว่า Collision ออกไปในระบบเมื่อมีการชนกันของข้อมูล ทำให้ระบบต้องหยุดการทำงานชั่วขณะ และเมื่อมีจำนวนอุปกรณ์ในระบบเครือข่ายเพิ่มมากขึ้น การเกิดการชนกันของข้อมูลก็เพิ่มมากขึ้นด้วย ทำให้การหยุดการทำงานชั่วขณะเกิดขึ้นบ่อย มีผลทำให้การทำงานในระบบเครือข่ายนั้นช้าลงไปด้วย

   วิธีการป้องกันไม่ให้เกิดปัญหานี้ ทำได้โดย

      1.การใช้อุปกรณ์สวิตช์

      2.การเปลี่ยนไปใช้สายสัญญาณที่มีประสิทธิภาพสูงกว่าเดิม

      3.การแยกระบบเครือข่ายเป็นหลายๆเชกเมนต์ (Segment)

      4.การแบ่งระบบเครือข่ายออกเป็นระบบเครือข่ายย่อยๆ 

 

    การใช้งานโพรโตคอลที่มีประสิทธิภาพต่ำ
   ในระบบเครือข่ายมีการใช้งานโพรโตคอลหลายประเภท แต่ละประเภทมีลักษณะการส่งข้อมูลที่ต่างกัน ซึ่งโพรโตคอลบางประเภทมีการกำหนดค่าและการบริหารจัดการที่ง่ายด้วยการใช้วิธี Dynamic Naming Solution เช่น โพรโตคอล NetBRUI ในระบบปฏิบัติการ Windows เป็นโพรตคอลที่มีการส่งข้อมูลแบบแพร่กระจาย ทำให้เกิดเน็คเวิร์คทราฟฟิกเพิ่มมากขึ้น                         

                                 ข้อจำกัดด้านฮาร์ดแวร์
                                    การเพิ่มมากขึ้นของเน็ตเวิร์คทราฟฟิก ทำให้ฮาร์ดแวร์ต่างๆ ในระบบเครือข่ายต้องทำงานหนักมากยิ่งขึ้น ตัวอย่างเช่น อุปกรณ์เราเตอร์ซึ่งถือว่าเป็นอุปกรณ์สำหรับระบบเครือข่ายที่มีประสิทธิภาพในการทำงานสูง มีการตรวจสอบ Header ของทุกๆ แพ็กเก็ตข้อมูล เพื่อใช้ในการบริหารจัดการเกี่ยวกับการกำหนดเส้นทางของข้อมูล ถ้าแพ็กเก็ตข้อมูลมีจำนวนมากเกินไปอุปกรณ์เราเตอร์ไม่สามารถทำงานได้ทันเวลา ทำให้บางครั้งอุปกรณ์เราเตอร์นี้ส่งแพ็กเก็ตข้อมูลที่เป็นขยะได้

 

วิธีการป้องกันไม่ให้เกิดปัญหานี้ ทำได้โดย

                1.   การใช้อุปกรณ์เราเตอร์ทำหน้าที่เป็นเราเตอร์อย่างเดียว ไม่ควรใช้อุปกรณ์อื่น เช่น เครื่องคอมพิวเตอร์เพื่อทำหน้าที่เป็นเราเตอร์และทำหน้าที่อื่นๆ ด้วย
                2.  การแบ่งระบบเครือข่ายออกเป็นระบบเครือข่ายย่อย หลายๆ เครือข่ายโดยใช้อุปกรณ์เราเตอร์ในการเชื่อมต่อระบบเครือข่ายย่อยๆ เหล่านั้น แต่วิธีนี้มีข้อเสีย คือ ทำให้การบริหารจัดการเกี่ยวกับการกำหนดเส้นทางของข้อมูลมีความซับซ้อนมากยิ่งขึ้น


      แพ็กเก็ตข้อมูลที่เป็นขยะ
      แพ็กเก็ตของข้อมูลที่เป็นขยะส่วนใหญ่เกิดขึ้นจากฮาร์ดแวร์ที่ชำรุดซึ่งเป็นเรื่องธรรมดาหรือาจเกิดขึ้นจากการที่มีเน็ตเวิร์คทราฟฟิกมากเกินความสามารถของอุปกรณ์ต่างๆ ที่จะรองรับได้

        การลักลอบเข้าเครือข่ายแบบ Denial-of-Service
       การลักลอบเข้าเครือข่ายแบบ Denial-of-Service หมายถึงการลักลอบเข้าระบบเครือข่ายผ่านระบบเครือข่ายอินเทอร์เน็ โดยส่งแพ็กเก็ตข้อมูลจำนวนมากไปยังระบบเครือยข่ายเป็นเหตุให้เครื่องเซิร์ฟเวอร์ของระบบเครือข่ายนั้นไม่สามาถทำงานได้ เพราะไม่สามารถรองรับแพ็กเก็ตข้อมูลจำนวนมากเกินขีดจำกัดได้ ส่งผลให้ระบบเครือข่ายล้มเหลวได้

วิธีการป้องกันไม่ให้เกิดปัญหานี้ ทำได้โดย

       1.การลักลอบเข้าเครือข่ายแบบ Denial-of-Service นี้เกิดขึ้นจากจุดอ่อนของโพรโตคอล TCP/IP ซึ่งมีวิธีการป้องกันโดยการติดตั้งแพตช์ (Patch)  หรือเซอร์วิสแพ็ค (Service Pack) ของระบบปฏิบัติการเครือข่ายนั้นๆ 

        2. ใช้เครื่องมือในการวิเคราะห์ตรวจสอบปัญหาที่เกิดขึ้น เพื่อหาแนวทางในการแก้ไขปัญหานั้นๆ 


ปัญหาที่เกิดขึ้นจากการตั้งค่าต่างๆ
           ปัญหาที่เกิดขึ้นจากการตั้งค่าตำแหน่งของอุปกรณ์ต่างๆ ไม่ถูกต้อง มีผลทำให้การส่งแพ็กเก็ตข้อมูลไปไม่ถึงปลายทาง ดังนั้นในขั้นตอนการออกแบบและติดตั้งระบบเครือข่ายจึงควรมีระบบจัดการเกี่ยวกับการตั้งค่าอุปกรณ์ต่างๆ ที่ดีด้วย ตัวอย่างเช่น

1. ระบบ DNS (Domain Name Service)

2.  ระบบ WINS (Windows Internet Name Service)


การบริหารจัดการเกี่ยวกับการรักษาความปลอดภัย

    เทคนีคและเทคโนโลยีที่ใช้สำหรับบริหารจัดการเกี่ยวกับการรักษาความปลอดภัยของระบบเครือข่าย แบ่งออกเป็นหลายประเภท ดังนี้ คือ

1.ไฟร์วอลล์ (Firewall)

2.ระบบตรวจจับการบุกรุก (Instusion Detection System)

3.คริพโตกราฟี (Crytography)

 

         ไฟร์วอลล์ (Firewall)
          ไฟล์วอลล์ เป็นระบบที่บังคับให้ใช้นโยบายการรักษาความปลอดภัยระหว่างเครือข่ายโดยมีหลักการทำงานอยู่ 2 รูปแบบ คือ การอนุญาตและไม่อนุญาตให้แพ็กเก็ตข้อมูลผ่านไปได้ขึ้นอยู่กับนโยบายการรักษาความปลอดภัยระหว่างเครือข่ายนั้น

           ประเภทของไฟร์วอลล์แบ่งออกเป็น 2 ประเภท คือ

  1. Application Layer Firewall

            2. Packet Filtering Firewall 

                เป็นไฟร์วอลล์ที่ทำงานในระดับชั้นแอพพลิเคชัน เรียกอีกอย่างว่า พร็อกซี่ (Proxy Firewall) หมายถึงโปรแกรมที่รันบนระบบปฏิบัติการทั่วๆไป หรืออาจเป็นฮาร์ดแวร์ที่ติดตั้งซอฟต์แวร์ที่พร้อมใช้งานก็ได้ซึ่งนโยบายการรักษาความปลอดภัยของไฟร์วอลล์ประเภทนี้จะถูกบังคับใช้โดยพร็อกซี่ในไฟร์วอลล์นั้นๆ

                ไฟร์วอลล์ที่ทำงานในระดับชั้นแอพพลิเคชัน ทุกๆ การเชื่อมต่อของอุปกรณ์จะสิ้นสุดที่ไฟร์วอลล์และส่วนใหญ่จะมีพร็อคซี่สำหรับโพรโตคอล ตัวอย่างเช่น HTTP,SMTP,FTP, และ Telnet เป็นต้น ถ้าโพรโตคอลใดไม่มีพร็อกซี่จะไม่สามารถผ่านไฟร์วอลล์ไปได้ ไฟร์วอลล์ประเภทนี้ยังสามารถซ่อนแอดเดรสหรือหมายเลขไอพีของระบบเครือข่ายภายในองค์กรได้ เนื่องจากการเชื่อมต่อทั้งหมดจะสิ้นสุดที่ไฟร์วอลล์ 

 ดังนั้นเครื่องคอมพิวเตอร์ที่อยู่ภายนอกระบบเครือข่ายจะมองเห็นเฉพาะหมายเลขไอพีของไฟร์วอลล์เท่านั้นจึงเป็นการยากสำหรับผู้บุกรุกที่ไม่รู้โครงสร้างของสร้างของระบบเครือข่ายภายในองค์กรนั้นๆ

  - เมื่อเครื่องคอมพิวเตอร์ไคลเอนท์ต้องการส่งแพ็กเก็ตข้อมูลไปยังเครื่องเซิร์ฟเวอร์ จะต้องทำการร้องขอไปยังไฟร์วอลล์

      - ไฟร์วอลล์จะทำการตรวจสอบกับนโยบายรักษาความปลอดภัยว่าอนุญาตให้แพ็คเก็ตข้อมูลนั้นผ่านหรือไม่

       - ถ้าอนุญาตให้ผ่าน ไฟร์วอลล์จะสร้างการเชื่อมต่อกับเครื่องเซิร์ฟเวอร์

             ไฟร์วอลล์ประเภทนี้อาจเป็นได้ทั้งซอฟต์แวร์และฮาร์ดแวร์ที่ทำหน้าที่กรองแพ็กเก็ตข้อมูลที่ผ่านไฟร์วอลล์โดยใช้นโยบายการรักษาความปลอดภัยที่กำหนดไว้ โดยอนุญาตให้มีการเชื่อมต่อโดยตรงระหว่างเครื่องไคลเอนท์และเครื่องเซิร์ฟเวอร์ จึงสามารถทำงานได้เร็วกว่าแอพพลิเคชันไฟร์วอลล์ เพราะไม่ต้องสร้างการเชื่อมต่อใหม่

 

นโยบายการรักษาความปลอดภัย
                สิ่งสำคัญที่สุดสำหรับไฟร์วอลล์ คือ การกำหนดนโยบายการรักษาความปลอดภัย(Network Security Policy) ถึงแม้ไฟร์วอลล์จะมีประสิทธิภาพมากแค่ไหนก็ตาม แต่ถ้านโยบายการรักษาความปลอดภัยไม่มีประสิทธิภาพ ไฟร์วอลล์นั้นก็จะไม่มีประโยชน์มากนัก ดังนั้นก่อนการตัดสินใจใช้งานไฟร์วอลล์ ควรกำหนดนโยบายการรักษาความปลอดภัย ที่สามารถควบคุมระบบได้มากที่สุด เมื่อกำหนดนโยบายแล้วขั้นตอนต่อไป คือการนำนโยบายนั้นไปบังคับใช้ในไฟร์วอลล์ ซึ่งกฏที่บังคับใช้นโยบายการรักาษาความปลอดภัยในไฟร์วอลล์ เรียกว่า ACL (Access Control List)

ระบบตรวจสอบจับการบุกรุก (Instustion Detection System)
                ระบบตรวจจับการบุกรุก (Instustion Detection System:IDS) เป็นเครื่องมือสำหรับการรักษาความปลอดภัยของระบบเครือข่าย ใช้สำหรับการตรวจจับความพยายามที่จะบุกรุกเครือข่าย โดยระบบจพทำการแจ้งเตือนผู้ดูแลระบบ ดังนั้นจึงกล่าวได้ว่า IDS ไม่ใช้ระบบป้องกันการบุกรุก แต่เป็นระบบที่คอยตรวจจับและแจ้งเตือนภัยเท่านั้น

                หน้าที่หลักของ IDS คือแจ้งเตือนการเข้าใช้ระบบเครือข่ายที่ผิดปกติ ดังนั้นสิ่งที่สำคัญในการออกแบบระบบ IDS คือการระบุว่าเหตุการณ์ใดถือว่าเป็นสิ่งผิดปกติ และประสิทธิภาพของการใช้งานระบบ IDS จะมีมากหรือน้อยขึ้นอยู่กับสภาวะของระบบเครือข่ายในขณะนั้น

 

คริพโตกราฟี (Crytography)
                คริพโตกราฟี หมายถึงเทคนิคการเข้ารหัส (Data Encryption) และการถอดรหัสข้อมูล(De Encryption) เพื่อรักษาความปลอดภัยของข้อมูลที่ส่งผ่านระบบเครือข่าย

                ข้อมูลก่อนเข้ารหัส เรียกว่าเครียร์แท็กซ์ (Clear Text) ส่วนข้อมูลที่เข้ารหัสเรียกว่าไซเฟอร์เท็กซ์(Cipher Text)

                เครืองมือที่ใช้ในการบริหารจัดการระบบเครือข่าย

                เมื่อทราบถึงปัญหาที่อาจจะเกิดขึ้นในระบบเครือข่ายแล้ว ขั้นตอนต่อไปที่ผู้ดูแลระบบต้องทำ คือ การจัดหาเครื่องมือหรือเทคนิคต่าง ๆ เพื่อช่วยในการค้นหาสาเหตุของปัญหาที่เกิดขึ้น เพื่อให้ทราบปัญหาและสามารถแก้ไขปัญหาได้ทันเวลา ซึ่งเครื่องมือที่ช่วยในการค้นหาสาเหตุของปัญหาที่เกิดขึ้น มีดังนี้คือ

                คำสั่ง Ping เป็นคำสั่งที่ใช้งานในโพรโตคอล TCP/IP และเป็นเครื่องมือที่ใช้ในการทดสอบว่าโฮสต์ในระบบเครือข่ายนั้นยังมีการเชื่อมต่อกับระบบเครือข่ายหรือไม่ 

 

หลักการทำงานของคำสั่ง Ping
  1. ส่งแพ็กเก็ตข้อมูลไปยังโฮสต์เพื่อถามว่ายังอยู่หรือไม่
  2. ถ้าโฮสต์นั้นยังเชื่อมต่อกับเครือข่าย ก็จะส่งแพ็กเก็ตข้อมูลกลับมาเพื่อบอกว่า ยังอยู่
  3. คำสั่ง ping จะทำการบันทึกระยะเวาตั้งแต่เริ่มส่งแพ็กเก็ตข้อมูลไปยังโฮสต์ ดังนั้นคำสั่ง Ping

นี้ยังสามารถคำนวณเวลาการติดต่อสื่อสารระหว่างอุปกรณ์สองเครื่องได้ด้วย เพื่อใช้เป็นข้อมูลในการตรวจสอบประสิทธิภาพการทำงานของระบบเครือข่าย

การทดสอบการเชื่อมต่อระบบเครือข่ายในองค์กรกับระบบเครือข่ายอินเทอร์เน็ต

1.การใช้คำสั่ง Ping เพื่อหาโฮสต์ที่อยู่ใน Subnet เดียวกันโดยใช้ชื่อของโฮสต์ ถ้าไม่มีการตอบรับ ให้ใช้คำสั่ง Ping โดยใช้หมายเลขไอพี ถ้ายังไม่มีการตอบรับอีก แสดงว่าการเชื่อมต่อนั้นเกิดขัดข้อง แต่ถ้าใช้คำสั่ง Ping โดยใช้ชื่อของโฮสต์ แล้วไม่มีการตอบรับ และใช้คำสั่ง Ping โดยใช้หมายเลขไอพี แล้วมีการตอบรับ แสดงว่าระบบมีปัญหาเรื่อง DNS

2. เมื่อใช้คำสั่ง Ping โดยใช้ชื่อของโฮสต์ แล้วมีการตอบรับ ให้ใช้คำสั่ง Ping โดยใช้หมายเลขไอพีของเกตเวย์ ถ้ามีการตอบรับ แสดงว่าอุปกรณ์เกตเวย์นั้นยังคงทำงานอยู่ ให้ใช้คำสั่ง Ping โดยใช้หมายเลขไอพีของเกตเวย์ ถ้าไม่มีการตอบรับ แสดงว่าเกิดการขัดข้องเกี่ยวกับการสื่อสารกับเกตเวย์นั้น ซึ่งอาจเกิดสาเหตุดังนี้ คือ

        - มีข้อผิดพลาดเกี่ยวกับ ARP (Address Resolution Protocol)

        -การตั้งค่า SubnetMask ไม่ถูกต้อง  

        -เครื่องเกตเวย์ไม่ทำงาน

3. ถ้าใช้คำสั่ง Ping โดยใช้หมายเลขไอพีของเกตเวย์ และมีการตอบรับ ให้ใช้คำสั่ง Ping โดยใช้ชื่อของโฮสต์ ที่อยู่ต่าง Subnet กัน ถ้ามีการตอบรับแสดงว่าเครือข่ายอินทราเน็ตทำงานปกติ ถ้าไม่ได้รับการตอบรับแสดงว่าเครื่องเกตเวย์ขัดข้อง

4. ใช้คำสั่ง Ping โดยใช้ชื่อของโฮสต์ต่างๆ ที่อยู่ในระบบเครือข่ายอินเทอร์เน็ต เพื่อทดสอบประสิทธิภาพการเชื่อมต่อระบบเครือข่ายในองค์กรกับระบบเครือข่ายอินเทอร์เน็ต

        คำสั่ง Traceroute   เป็นคำสั่งที่ช่วยในการค้นหาสาเหตุที่ทำให้ระบบเครือข่ายทำงานช้าเช่นเดียวกับคำสั่ง Pingแต่มีวิธีการใช้งานง่าย และเป็นเครื่องมือที่มีประโยชน์มากเพื่อใช้ในการค้นหาเกตเวย์หรือเราเตอร์ที่มีปัญหา เพราะคำสั่ง Traceroute จะแสดงสถิติเกี่ยวกับช่วงเวลาการตอบรับจากเกตเวย์หรือเราเตอร์ต่างๆ ที่อยู่ระหว่างโฮสต์นี้ สามารถทำให้ทราบการเชื่อมต่อส่วนใดที่เกิดปัญหา

        หลักการทำงานของคำสั่ง Traceroute

        1.ใช้คำสั่ง Traceroute ตามด้วยชื่อโฮสต์ที่ต้องการทดสอบ

        2.คำสั่ง Traceroute จะส่งแพ็กเก็ตข้อมูล ICMP (Internet Control Message Protocol) ด้วยTTL (Time of live) เพิ่มขึ้นทุกๆ ครั้งที่ส่ง โดยเริ่มต้นที่ TTL=1  และเครื่องนั้นจะส่งแพ็กเก็ตไปเรื่อยๆจนกระทั่ง TTL มีค่าเท่ากับค่าที่กำหนด หรือจนกระทั่งโฮสต์ปลายทางตอบรับกลับมา

      คำสั่ง Netstat   เป็นเครื่องมือที่ใช้เพื่อเฝ้าดูการทำงานของระบบเครือข่าย โดยแสดงสถิติเกี่ยวกับ โพรโตคอล TCP/IP ตัวอย่างเช่น

                        1. แสดงสถิติเกี่ยวกับการเชื่อมต่อระหว่างเครื่องคอมพิวเตอร์สองเครื่อง

                        2. ปริมาณแพ็กเก็ตข้อมูลที่รับส่งโดยโพรโตคอลอื่นๆ เช่น โพรโตคอล IP,ICMP TCP และ UPD ซึ่งข้อมูลเหล่านี้ใช้เป็นหลักฐานในการวิเคราะห์หาสาเหตุของปัญหาต่างๆ 

        Protocol Analyzer  เครื่องมือวิเคราะห์โพรโตคอล (Protocol Analyzer) หรือเรียกอีกอย่างว่า แพ็กเก็ตสนิฟเฟอร์ (Packet Sniffer) เป็นเครื่องมือที่ใช้สำหรับวิเคราะห์การไหลเวียนข้อมูลในเครือข่าย

หลักการทำงานของ Protocol Analyzer

  1. ตรวจจับเฟรมข้อมูลที่วิ่งในเครือข่าย
  2. แสดงข้อมูลที่อยู่ในแต่ละเฟรมที่ตรวจจับได้
  3. สามารถแก้ไขข้อมูลในแต่ละเฟรมแล้วทำการส่งต่อไป
  4. แสดงสถิติของอุปกรณ์สำหรับเครือข่ายหรือโพรโตคอลที่มีการส่งข้อมูลมากที่สุด
  5. รายงานผลวิเคราะห์ในรูปแบบที่เข้าใจง่าย

      Cable Analyzer      เป็นเครื่องมือที่ใช้สำหรับวิเคราะห์ประสิทธิภาพการใช้งานของสายสื่อสาร ซึ่งเครื่องมือที่กลาวมาแล้วทั้งหมดไม่สามารถทำได้ ซึ่ง Cable Analyzer นี้ส่วนใหญ่จะใช้เมื่อมีการติดตั้งสายสื่อสารครั้งแรก