หน่วยที่ 1 ความรู้เบื้องต้นเกี่ยวกับความปลอดภัยของข้อมูล

วิชาเครื่องคอมพิวเตอร์และความปลดภัยธุรกิจดิจิทัล
คำอธิบายรายวิชา
ศึกษาและปฏิบัติเกี่ยวกับหลักการเครือข่ายคอมพิวเตอร์ ความสาคัญ ประเภทและรูปแบบของระบบเครือข่าย อุปกรณ์ระบบเครือข่าย มาตรฐานด้านเครือข่ายคอมพิวเตอร์ การรับ-ส่งข้อมูลบนเครือข่ายโปรโตคอล การใช้บริการบนอินเทอร์เน็ต การบารุงรักษาระบบเครือข่าย ระเบียบข้อบังคับด้านความปลอดภัยสาหรับธุรกิจดิจิทัล



แนวคิดในการรักษาความปลอดภัยของระบบสารสนเทศ
เพื่อป้องกันไม่ให้เกิดความเสียหายต่อระบบ ซึ่งสามารถจัดประเภทของความเสียหายกับระบบสารสนเทศได้ดังนี้
     1. ความเสียหายที่เกิดจากการกระทำโดยเจตนาของมนุษย์ – การก่ออาชญากรรมทางคอมพิวเตอร์ การขโมยข้อมูล
     2. ความเสียหายเนื่องจากภัยธรรมชาติ – ไม่ว่าจะเป็นไฟไหม้ ฟ้าผ่า พายุ เป็นต้น
     3. ความเสียหายเนื่องจากขาดระบบป้องกันทางกายภาพ (Physical Security) – การขาดระบบการป้องกันที่ดี ในทางการวางระบบคอมพิวเตอร์
     4. ความเสียหายเนื่องจากความบกพร่องของระบบสภาพแวดล้อม ของสารสนเทศ – ความเหมาะสมของอุปกรณ์ต่าง ๆ ที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์
     5. ความเสียหายเนื่องจากความล้มเหลวของการทำงานของอุปกรณ์ต่าง  ในระบบสารสนเทศ – ขาดการบำรุงรักษา
     6. ความเสียหายเนื่องจากความล้มเหลวของระบบเครือข่าย หรือระบบสื่อสารข้อมูล
     7. ความเสียหายเนื่องจากความผิดพลาดจากการทำงานภายในระบบสารสนเทศเอง – เนื่องจากซอฟต์แวร์ โปรแกรม

การรักษาความปลอดภัยให้กับระบบสารสนเทศ
สามารถแบ่งออกเป็น 3 แนวทาง คือ
    1.การวางแผนรักษาความปลอดภัยในเชิงกายภาย (Physical Planning Security)
    2.การวางแผนรักษาความปลอดภัยในเชิงตรรกะ (Logical Planning Security)
    3.การวางแผนป้องกันความเสียหาย (Disaster Planning Security)

การวางแผนรักษาความปลอดภัยในเชิงกายภาย (Physical Planning Security)  เกี่ยวกับสภาพต่าง ที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์ มีดังนี้
    1. การจัดการดูแลและป้องกันในส่วนของอาคารสถานที่ ทำเลที่ตั้งศูนย์คอมพิวเตอร์ หรือห้องคอมพิวเตอร์การจัดการดูแลและป้องกันภายในศูนย์คอมพิวเตอร์
   2. การจัดการดูแลและป้องกันเกี่ยวกับระบบสภาพแวดล้อม
   3. การจัดการดูแลและป้องกันในส่วนของฮาร์ดแวร์

การวางแผนรักษาความปลอดภัยในเชิงตรรกะ (Logical Planning Security)
เกี่ยวข้องกับการรักษาความปลอดภัยในเรื่อง ดังนี้
   1. การรักษาความปลอดภัยก่อนผ่านข้อมูลเข้าสู่ระบบสารสนเทศเป็นการกำหนดสิทธิผู้ใช้ มีรหัสผ่าน
   2. การรักษาความปลอดภัยในการใช้ข้อมูลในระบบสารสนเทศกำหนดสิทธิของตัวข้อมูลในระดับต่าง
   3. การรักษาความปลอดภัยในการรับส่งข้อมูลหรือการเข้ารหัสข้อมูล

การวางแผนป้องกันความเสียหาย (Disaster Planning Security)
มีวิธีการป้องกันดังนี้
   1. การจัดเตรียมศูนย์คอมพิวเตอร์สำรอง
   2. การจัดเตรียมข้อมูลสำรอง
   3. การจัดเตรียมเรื่องการกู้ระบบหลังจากเกิดการเสียหายขึ้น
   4. การวางแผนป้องกันไวรัสคอมพิวเตอร์
 

มาตรฐานความปลอดภัยขั้นพื้นฐาน
เนื่องจากเครือข่ายอินเทอร์เน็ตเป็นระบบเครือข่ายสาธารณะ ทุกๆ คนสามารถเข้าถึงและใช้งานได้อย่างไม่จากัด ทาให้มีกลุ่มผู้ใช้บางคนที่มีเป้าหมายแตกต่างจากบุคคลทั่วไป เช่น ต้องการขัดขวาง หรือทาลายระบบไม่ให้ใช้งานได้ ลักลอบขโมยข้อมูล หรือล้วงความลับทางราชการ เรียกบุคคลเหล่านี้ว่า แฮกเกอร์

ดังนั้นระบบคอมพิวเตอร์ทุกระบบ จาเป็นต้องมีมาตรการความปลอดภัยขั้นพื้นฐาน เช่น โปรแกรมป้องกันไวรัส การล็อกเครื่องคอมพิวเตอร์เพื่อป้องกันไม่ให้ผู้อื่นมาใช้เครื่อง สิ่งเหล่านี้จัดเป็นการป้องกันความปลอดภัย ซึ่งมีหลากหลายวิธีให้เลือกใช้ได้ตามความเหมาะสม

ความปลอดภัยบนสภาพแวดล้อมภายนอก
เป็นลักษณะทางกายภาพที่มองเห็นด้วยตา ความปลอดภัยชนิดนี้จะเกี่ยวข้องกับสภาพแวดล้อม และภาพรวมของอุปกรณ์เป็นสาคัญ ประกอบด้วย

-ห้องศูนย์บริการคอมพิวเตอร์ จะต้องปิดประตู และใส่กลอนเสมอ เพื่อป้องกันบุคคลภายนอกหรือขโมยเข้าไปขโมยอุปกรณ์

-การจัดวางสายเคเบิล จะต้องมิดชิด เรียบร้อย เนื่องจากอาจทาให้ผู้อื่นสะดุดล้ม ทาให้เกิดบาดเจ็บ หรือสายเคเบิลขาดได้

-การยึดอุปกรณ์ให้อยู่กับที่ เพื่อป้องกันการเคลื่อนย้าย และป้องกันผู้ไม่หวังดีขโมยอุปกรณ์

-เครื่องปรับอากาศ ควรปรับให้มีอุณหภูมิเย็นในระดับพอเหมาะ เพราะความร้อนเป็นปัจจัยที่ส่งผลต่ออายุการใช้งานของอุปกรณ์อิเล็กทรอนิกส์

-ควรมีระบบป้องกันทางไฟฟ้า เพราะกระแสไฟฟ้าที่ไม่คงที่ จะส่งผลต่ออุปกรณ์อิเล็กทรอนิกส์โดยตรง ดังนั้นควรมีอุปกรณ์กรองสัญญาณไฟฟ้าที่ช่วยปรับกระแสไฟฟ้าที่จ่ายไปให้มีแรงดันคงที่ และอยู่ในระดับที่เหมาะสม และยังป้องกันไฟตก ไฟกระชาก

-การป้องกันภัยธรรมชาติ แผ่นดินไหว อุทกภัยหรืออัคคีภัย สามารถป้องกันได้ด้วยการออกแบบเครือข่าย โดยติดตั้งเครื่องเซิร์ฟเวอร์ให้มีระบบสาเนาข้อมูลแบบสมบูรณ์ และเครื่องสาเนาระบบนี้อาจจะติดตั้งในที่ที่ปลอดภัย



ความปลอดภัยด้านการปฏิบัติงาน
เป็นเรื่องที่เกี่ยวข้องกับการกาหนดระดับความสามารถในการเข้าถึงข้อมูลของบุคคลต่างๆ ภายในองค์กรตามนโยบายที่ผู้บริหารระดับสูงกาหนด เช่น องค์กรขนาดใหญ่ที่มีพนักงานจานวนมาก จะต้องมีการกาหนดระดับการเข้าใช้งานของผู้ใช้แต่ละฝ่าย ตัวอย่างเช่น

-ฝ่ายขาย จะไม่มีสิทธิในการเข้าถึงข้อมูลเงินเดือนของฝ่ายการเงิน

-พนักงานที่ทางานด้านเงินเดือน จะสามารถเข้าถึงข้อมูลเงินเดือนได้ แต่ไม่มีสิทธิในการแก้ไขเปลี่ยนแปลงข้อมูลเงินเดือนได้

-ผู้จัดการฝ่ายการเงิน สามารถเข้าถึงข้อมูลของฝ่ายอื่นๆ ได้ แต่อาจมีข้อจากัด คือ สามารถเรียกดูข้อมูลได้เพียงอย่างเดียว แต่ไม่สามารถแก้ไขได้

การตรวจตราเฝ้าระวัง
ผู้บริหารเครือข่ายจาเป็นต้องมีมาตรการหรือการตรวจตราเฝ้าระวัง เพื่อมิให้ระบบคอมพิวเตอร์ถูกทาลาย หรือถูกขโมย ดังนั้นศูนย์คอมพิวเตอร์บางที่จึงมีการติดตั้งกล้องโทรทัศน์วงจรปิดตามจุดสาคัญต่างๆ

ซึ่งเทคนิคนี้สามารถใช้งานได้ดี ซึ่งจะป้องกันบุคคลภายในที่ต้องการลักลอบขโมยข้อมูล ก็จะทาให้ดาเนินการได้ยากขึ้น เนื่องจากมีกล้องคอยดูอยู่ตลอดเวลา แต่วิธีนี้ก็ไม่ดี ในกรณีด้านการละเมิดสิทธิ์ส่วนบุคคล ซึ่งต้องขึ้นอยู่กับความเหมาะสมและกฎหมายของแต่ละประเทศ

นอกจากการใช้กล้องวงจรปิดแล้ว ยังมีวิธีอื่นๆ เช่น การส่งสัญญาณไปยังมือถือ หรือเพจเจอร์ เพื่อรายงานเหตุการณ์ฉุกเฉินไปยังเจ้าหน้าที่ทันที

การใช้รหัสผ่าน และระบบแสดงตัวตน
การใช้รหัสผ่าน เป็นมาตรการหนึ่งของความปลอดภัยขั้นพื้นฐานที่นิยมใช้มานานแล้ว อย่างไรก็ตาม รหัสผ่านที่เป็นความลับ อาจจะไม่เป็นความลับหากรหัสผ่านดังกล่าวถูกผู้อื่นล่วงรู้ และนาไปใช้ในทางมิชอบ

ในการกาหนดรหัสผ่านยังมีกระบวนการที่สามารถนามาควบคุมและสร้างข้อจากัดเพื่อความปลอดภัยยิ่งขึ้น เช่น การกาหนดอายุการใช้งานของรหัสผ่าน การบังคับให้ตั้งรหัสผ่านใหม่เมื่อครบระยะเวลา การกำหนดให้ตั้งรหัสผ่านที่ยากต่อการคาดเดาในบางหน่วยงานที่มีความต้องการความปลอดภัยในระดับที่สูงขึ้น จึงมีระบบแสดงตัวตนด้วยการใช้หลักการของคุณสมบัติทางกายภาพของแต่ละบุคคลที่มีความแตกต่างกัน และไม่สามารถซ้าหรือลอกเลียนกันได้ ที่เรียกว่า ไบโอเมตริก (Biometric) เช่น เครื่องอ่านลายนิ้วมือ และเครื่องอ่านเลนส์ม่านตา

การตรวจสอบ
การตรวจสอบระบบคอมพิวเตอร์ เป็นแนวทางหนึ่งในการป้องกันผู้ไม่หวังดีที่พยายามเข้ามาในระบบ โดยระบบตรวจสอบส่วนใหญ่มักใช้ซอฟต์แวร์ในการบันทึกข้อมูล และตรวจสอบเฝ้าระวังทุกๆ ทรานแซกชั่นที่เข้ามายังระบบ โดยแต่ละทรานแซกชั่นจะมีการบันทึกข้อมูลต่างๆ ไว้เป็นหลักฐาน และจัดเก็บไว้ในรูปแบบของไฟล์ หรือเรียกว่า Log File

Log File จะเก็บรายละเอียดเกี่ยวกับวันที่ และเจ้าของทรานแซกชั่น หรือบุคคลที่เข้ามาใช้งาน ซึ่งสิ่งเหล่านี้สามารถตรวจสอบย้อนหลังได้ว่า แต่ละวันมีทรานแซกชั่นจากที่ไหนบ้างเข้ามาใช้งานระบบ ทาให้ผู้ดูแลระบบเครือข่ายสามารถสังเกตพฤติกรรมของเจ้าของทรานแซกชั่นได้

การกำหนดสิทธิ์การใช้งาน
เนื่องจากระบบคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ อนุญาตให้ผู้ใช้มากกว่าหนึ่งคน สามารถเข้าถึงทรัพยากรที่มีอยู่ในระบบ เช่น ไฟล์ เครื่องพิมพ์ ซึ่งทาให้ต้องมีการกาหนดสิทธิ์การใช้งานทรัพยากรบนเครือข่าย

โดยการกาหนดสิทธิ์การใช้งานนั้น จะกาหนดโดยผู้บริหารเครือข่าย และจะพิจารณาปัจจัย 2 ปัจจัยคือ ใคร และอย่างไร โดยที่ใคร (Who) หมายถึง ควรกาหนดสิทธิ์การใช้งานให้ใครบ้าง

อย่างไร (How) หมายถึง เมื่อได้รับสิทธิ์ในการใช้งานแล้ว จะกาหนดให้บุคคลนั้นๆ สามารถเข้าถึงข้อมูลได้อย่างไร เช่น สามารถอ่านได้อย่างเดียว สามารถเขียนหรือบันทึกได้ สามารถพิมพ์งานผ่านระบบเครือข่ายได้

การป้องกันไวรัส
ไวรัสคอมพิวเตอร์ เป็นโปรแกรมขนาดเล็กที่จะเข้าไปแก้ไขเปลี่ยนแปลงการทางานของเครื่องคอมพิวเตอร์ ทาให้คอมพิวเตอร์เกิดปัญหาต่างๆ ซึ่งปัญหาจะร้ายแรงมากน้อยเพียงใดนั้น ขึ้นอยู่กับไวรัสคอมพิวเตอร์แต่ละชนิด

ไวรัสบางชนิดก็ไม่ได้มุ่งร้ายต่อข้อมูล แต่เพียงแค่สร้างความยุ่งยากและความราคาญให้กับผู้ใช้

ในขณะที่ไวรัสบางตัวจะมุ่งร้ายต่อข้อมูลโดยเฉพาะ ซึ่งผลลัพธ์อาจส่งผลต่อความเสียหายใน

ระบบคอมพิวเตอร์ได้จากการที่ในปัจจุบันมีไวรัสจานวนมากมาย และเกิดสายพันธ์ใหม่ๆ ทุกวัน ดังนั้นคอมพิวเตอร์ทุกเครื่องจึงจาเป็นต้องมีการติดตั้งโปรแกรมป้องกันไวรัส เพื่อตรวจจับไวรัสจากไฟล์ข้อมูล และโปรแกรมต่างๆ และที่สาคัญโปรแกรมป้องกันไวรัสจาเป็นที่จะต้องมีการอัพเดทผ่านทางอินเทอร์เน็ตเสมอ เพื่อให้โปรแกรมสามารถตรวจจับไวรัสสายพันธ์ใหม่ๆ ได้

วิธีการโจมตีระบบ
การโจมตีระบบเครือข่ายมีความเป็นไปได้เสมอ โดยเฉพาะเครือข่ายที่มีการเชื่อมต่อเข้ากับเครือข่ายภายนอก หรืออินเทอร์เน็ต ซึ่งการโจมตีมีอยู่หลายวิธี ดังนี้

•การโจมตีเพื่อเจาะระบบ (Hacking Attacks)

•การโจมตีเพื่อปฏิเสธการให้บริการ (Denial of Service Attacks : DOS)

•การโจมตีแบบไม่ระบุเป้าหมาย (MulwareAttacks)

•การโจมตีเพื่อเจาะระบบ (Hacking Attacks)

เป็นการมุ่งโจมตีเป้าหมายที่มีการระบุไว้อย่างชัดเจน เช่น การเจาะระบบเพื่อเข้าสู่ระบบเครือข่ายภายใน ให้ได้มาซึ่งข้อมูลความลับ ซึ่งเมื่อเจาะระบบได้แล้ว จะทาการคัดลอกข้อมูล เปลี่ยนแปลงข้อมูล และทาลายข้อมูล รวมถึงติดตั้งโปรแกรมไม่พึงประสงค์ เพื่อให้เข้าไปทาลายข้อมูลภายในให้เสียหาย

การโจมตีเพื่อปฏิเสธการให้บริการ (DoS)
เป็นการมุ่งโจมตีเพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดการตอบสนองงานบริการใดๆ เช่น หากเซิร์ฟเวอร์ถูกโจมตีด้วย DoSแล้ว จะอยู่ในสภาวะที่ไม่สามารถให้บริการทรัพยากรใดๆ ได้ และเมื่อไคลเอนต์พยายาม

ติดต่อ ก็จะถูกขัดขวาง และปฏิเสธการให้บริการ เช่น การส่งเมล์บอมบ์ การส่งแพ็กเก็ตจานวนมาก หรือการแพร่ระบาดของหนอนไวรัสบนเครือข่าย

การโจมตีแบบไม่ระบุเป้าหมาย (Malware Attacks)
คาว่า Malware เป็นคาที่ใช้เรียกกลุ่มโปรแกรมจาพวกไวรัสคอมพิวเตอร์ เช่น หนอนไวรัส (Worm), โทรจัน (Trojan), สปายแวร์ (Spyware) และแอดแวร์ (Adware) ที่สามารถแพร่กระจายแบบอัตโนมัติไปทั่วเครือข่าย โดยมีจุดประสงค์ร้ายโดยการแพร่โจมตีแบบหว่านไปทั่ว ไม่เจาะจง เช่น การส่งอีเมล์ที่แนบไวรัสคอมพิวเตอร์ กระจายไปทั่วเมลบ็อกซ์ หากมีการเปิดอีเมล์ขึ้น และไม่มีการป้องกันระบบเครือข่ายที่ดีพอ จะทาให้ไวรัสสามารถแพร่กระจายไปยังเครือข่ายภายในขององค์กรทันที

ไฟร์วอลล์ (Firewall)
ไฟร์วอลล์ ใช้สาหรับป้องกันผู้บุกรุกบนอินเทอร์เน็ต ซึ่งเป็นบุคคลที่ไม่มีสิทธิ์ในการเข้าถึงระบบเครือข่ายส่วนบุคคล แต่ต้องการมุ่งโจมตีหรือประสงค์ร่ายต่อระบบอุปกรณ์ไฟร์วอลล์ อาจเป็นเร้าเตอร์ เกตเวย์ หรือคอมพิวเตอร์ที่ติดตั้งซอฟต์แวร์ไฟร์วอลล์ ซึ่งทาหน้าที่ตรวจสอบ ติดตามแพ็กเก็ตที่เข้าออกระบบ เพื่อป้องกันการเข้าถึงเครือข่ายหน้าที่ของไฟร์วอลล์ จะอนุญาตให้ผู้มีสิทธิ์ หรือมีบัตรผ่านเท่านั้นที่จะเข้าถึงเครือข่ายทั้งสองฝั่ง โดยจะมีการป้องกันบุคคลภายนอกที่ไม่ต้องการให้เข้าถึงระบบ รวมถึงการป้องกันบุคคลภายในไม่ให้เข้าไปยังบางเว็บไซต์ที่ไม่ต้องการอีกด้วย

• แพ็กเก็ตฟิลเตอร์ (Packet Filter)

จะทางานในระบบชั้นสื่อสารเน็ตเวิร์ก ปกติหมายถึง เร้าเตอร์ ที่สามารถทาการโปรแกรม เพื่อ

กลั่นกรองหมายเลขไอพี หรือหมายเลขพอร์ต TCP ที่ได้รับอนุญาตเท่านั้น ซึ่งเป็นวิธีการที่

ง่ายและรวดเร็ว แต่ข้อเสียคือ อาจมีผู้บุกรุกทาการปลอมแปลงหมายเลขไอพีแอดเดรส (Spoofing) ทาให้ระบบอนุญาตให้เข้ามาภายในระบบได้ ซึ่งปัจจุบันนอกจากความสามารถในการตรวจจับผู้ปลอมแปลงแล้ว ยังสามารถสแกนไวรัสคอมพิวเตอร์ได้อีกด้วย

พร็อกซีเซิร์ฟเวอร์ (Proxy Server)
จะทางานในระบบชั้นสื่อสารแอปพลิเคชั่น ซึ่งการทางานมีความซับซ้อนกว่าแบบแพ็กเก็ตฟิลเตอร์มาก โดยพร็อกซีเซิร์ฟเวอร์ คือ คอมพิวเตอร์ที่ติดตั้งซอฟต์แวร์พร็อกซีเซิร์ฟเวอร์ ทาหน้าที่เสมือนนายประตูของเครือข่ายภายใน โดยทุกๆ ทรานแซกชั่นของเครือข่ายภายนอกที่มีการร้องขอเข้ามายังเครือข่ายภายในจะต้องผ่านพร็อกซีเซิร์ฟเวอร์เสมอ และจะมีการเก็บรายละเอียดของข้อมูลลง Log File เพื่อให้ผู้ดูแลระบบสามารถนาไปใช้ตรวจสอบในภายหลังแต่การทางานของพร็อกซีเซิร์ฟเวอร์มีความล่าช้า เนื่องจากจะต้องมีการจัดเก็บข้อมูลของแต่ละแอปพลิเคชั่นที่ได้มีการร้องขอข้อมูลจากภายในเครือข่าย

รูปแบบการโจมตีทางเครือข่าย

      นอกเหนือไปจากการหาช่องโหว่หรือข้อบกพร่องของซอฟต์แวร์ที่ให้บริการในเซิร์ฟเวอร์และเจาะเข้าสู่ระบบโดยได้สิทะผู้ใช้ระดับสูงสุดแล้ว แครกเกอร์มักใช้วิธีโจมตีเพื่อสร้างปัญหากับระบบในรูปแบบต่าง ๆ ที่จัดออกได้เป็นกลุ่มดังนี้

4.1 ทำลายระบบ (destructive method) วิธีนี้คือการใช้ซอฟต์แวร์เข้ามาก่อกวนหรือสร้างภาระงานหนักให้ระบบ เช่น ใช้โปรแกรมสร้างภาระให้เราเตอร์หรือเมล์เซิร์ฟเวอร์หยุดการทำงานจนกระทั่งผู้ใช้ไม่สามารถเข้าใช้บริการได้ วิธีนี้ถึงแม้ไม่ได้บุกรุกเข้ามาเพื่อให้ได้สิทธิ์การใช้ระบบ แต่ก็สร้างปัญหาให้ระบบไม่สามารถดำเนินการต่อไปได้

4.2 การโจมตีแบบรูทฟอร์ซ (brute-force attack) ผู้บุกรุกจะใช้โปรแกรมเชื่อมต่อด้วยเทลเน็ตไปยังเซิร์ฟเวอร์ปลายทาง โปรแกรมจะคาดเดาชื่อบัญชีจากชื่อมาตรฐานทั่วไปที่มีอยู่และสร้างรหัสผ่านขึ้นมาเพื่อเข้าใช้บัญชีนั้นโดยอัตโนมัติ

4.3 การโจมตีแบบพาสซีพ (passive attack) แครกเกอร์อาจไม่จำเป็นต้องใช้วิธีเจาะเข้าไปยังเครื่องปลายทางโดยตรง หากแต่ติดตั้งโปรแกรมตรวจจับแพ็กเกต (packet sniffing) ไว้ในที่ใดที่หนึ่ง

4.4 กล่องเครื่องมือแครกเกอร์ แครกเกอร์มักจะมีเครื่องมือที่ใช้ในการโจมตีระบบเครือข่ายเสมอโดยจะมีเทคนิคการเจาะเข้าสู่ระบบยูนิกซ์มีตั้งแต่วิธีพื้น ๆ ที่ไม่ได้ใช้เทคนิคหรือเครื่องใด เรื่อยไปจนกระทั่งเทคนิคที่ซับซ้อน แต่เป็นที่น่าสังเกตว่าพวกแครกเกอร์เพียงแต่ใช้วิธีพื้นฐานง่าย ๆ ก็สามารถเจาะเข้าสู่ระบบได้

4.5 เดาสุ่มทุกทาง การเดาสุ่มคือ การที่แครกเกอร์ได้ลองเอาหรัสกผ่านระบบตัวใดตัวหนึ่งขึ้นมาเพื่อเข้าไปในระบบได้ ด้านสำคัญในการเข้าสู่ยูนิกซ์คือรหัสผ่านซึ่งเก็บอยู่ในแฟ้ม /etc/passwd รหัสผ่านในแฟ้มนี้จะผ่านการเข้ารหัสลับทำให้ไม่ทราบถึงรหัสต้นฉบับได้ แต่แฟ้ม /etc/passwd ไม่ได้เป็นแฟ้มลับ ในทางตรงข้ามกลับเปิดโอกาสให้ผู้ใช้ทุกคนเปิดอ่านได้ แครกเกอร์ซึ่งได้แฟ้มรหัสผ่านจะนำแฟ้มไปผ่านโปรแกรมวิเคราะห์หารหัส โดยตัวโปรแกรมจะสร้างรหัสต้นฉบับขึ้นมาจากดิคชันนารีที่มีอยู่ในระบบ

4.6 สนิฟเฟอร์ สนิฟเฟอร์เป็นชื่อเครื่องหมายทางการค้าของระบบตรวจจับแพ็กเกตเพื่อนำมาวิเคราะห์และตรวจหาปัญหาในเครือข่าย ตัวระบบจะประกอบด้วยคอมพิวเตอร์ที่มีการ์ดเครือข่ายสมรรถนะสูงและซอฟต์แวร์ตรวจวิเคราะห์แพ็กเกต แต่ในปัจจุบันมีซอฟต์แวร์จำนวนมากที่มีขีดความสามารถระดับเดียวกับสนิฟเฟอร์ และทำงานได้โดยไม่ต้องพึ่งฮาร์ดแวร์เฉพาะ อีกทั้งมีแพร่หลายในแทบทุกระบบปฎิบัติการ ชื่อสนิฟเฟอร์ในปัจจุบันจึงนิยมใช้เป็นชื่อเรียกของโปรแกรมใด ๆ ที่สามารถตรวจจับและวิเคราะห์แพ็กเกตไปโดยปริยาย

4.7 จารชนอินเทอร์เน็ต  ผู้ใช้อินเทอร์เน็ตแรกเริ่มนั้นจำกัดอยู่เพียงกลุ่มนักวิชาการ ตราบกระทั่งเครือข่ายขยายออกไปทั่วโลกเปิดโอกาสให้บุคคลทุกระดับทุกอาชีพมีสิทธิ์เป็นสมาชิกคนหนึ่งในสังคมอินเทอร์เน็ตได้ ความปลอดภัยของข้อมูลเริ่มเป็นสิ่งที่ต้องระมัดระวังมากยิ่งขึ้น ในระยะเวลาที่ผ่านมามีการลักลอบเข้าไปใช้เครื่องในศูนย์คอมพิวเตอร์ใหญ่ ๆ หลายต่อหลายครั้ง ถึงแม้ว่าบางครั้งจะจับได้แต่ก็ต้องอาศัยความพยายามและเทคนิคในการสะกดรอยด้วยความยากลำบากกว่าจะทราบได้ว่าจารชนเหล่านี้แฝงกายอยู่ที่มุมใดในโลก

4.8 ซอฟต์แวร์ตรวจช่วงโหว่ระบบ ในอินเทอร์เน็ตมีซอฟต์แวร์เป็นจำนวนมากที่ใช้ในการตรวจวิเคราะห์หารูโหว่ของระบบรักษาความปลอดภัยซอฟต์แวร์เหล่านี้เผยแพร่โดยไม่คิดมูลค่าและเป็นเสมือนดาบสองคมที่ทั้งแฮกเกอร์และแครกเกอร์นำไปใช้ด้วยจุดประสงค์ที่ต่างกัน ซอฟต์แวร์ในกลุ่มนี้ซึ่งเป็นที่รู้จักแพร่หลายได้แก่ Internet Security Scanner,SATAN COPS และ Tiger เป็นต้น

ไฟร์วอลล์ (Firewall)​

ปัจจุบันอินเตอร์เน็ตมีบทบาทสำคัญต่อการดำเนินกิจกรรมต่างๆ เป็นอย่างมาก ไม่ว่าจะเป็นด้านการติดต่อสื่อสาร ธุรกิจ การศึกษา หรือว่าเพื่อความบันเทิง องค์กรต่างๆ ทั้งภาครัฐและเอกชน ต่างก็นำเอาเน็ตเวิร์กของตนเชื่อมต่อเข้ากับอินเตอร์เน็ตเพื่อที่จะได้รับประโยชน์เหล่านี้ แต่เราต้องไม่ลืมว่าการนำเอาเน็ตเวิร์กไปเชื่อมต่อกับอินเตอร์เน็ตนั้น ทำให้ใครก็ได้บนอินเตอร์เน็ตสามารถเข้ามายังเน็ตเวิร์กนั้นๆ ได้ ปัญหาที่ตามมาก็คือความปลอดภัยของระบบเน็ตเวิร์ก เช่น ทำให้เกิดความเสี่ยงต่อการถูกเจาะระบบ และ ขโมยข้อมูล เป็นต้น

จากปัญหาดังกล่าวทำให้เราต้องมีวิธีการในการรักษาความปลอดภัย สิ่งที่สามารถช่วยลดความเสี่ยงนี้ได้ก็คือ ไฟร์วอลล์ โดยไฟร์วอลล์นั้นจะทำหน้าที่ป้องกันอันตรายต่างๆ จากภายนอกที่จะเข้ามายังเน็ตเวิร์กของเรา

รู้จักกับไฟร์วอลล์

ในความหมายทางด้านการก่อสร้างแล้ว ไฟร์วอลล์ จะหมายถึง กำแพงที่เอาไว้ป้องกันไฟไม่ให้ลุกลามไปยังส่วนอื่นๆ ส่วนทางด้านคอมพิวเตอร์นั้นก็จะมีความหมายคล้ายๆ กันก็คือ เป็นระบบที่เอาไว้ป้องกันอันตรายจากอินเตอร์เน็ตหรือเน็ตเวิร์กภายนอกนั่นเอง

ไฟร์วอลล์ เป็นคอมโพเน็นต์หรือกลุ่มของคอมโพเน็นต์ที่ทำหน้าที่ในการควบคุมการเข้าถึง ระหว่างเน็ตเวิร์กภายนอกหรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายในหรือเน็ตเวิร์กที่เราต้องการจะป้องกัน โดยที่คอมโพเน็นต์นั้นอาจจะเป็นเราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์ก ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการหรือFirewall Architecture ที่ใช้



การควบคุมการเข้าถึงของไฟร์วอลล์นั้น สามารถทำได้ในหลายระดับและหลายรูปแบบขึ้นอยู่ชนิดหรือเทคโนโลยีของไฟร์วอลล์ที่นำมาใช้ เช่น เราสามารถกำหนดได้ว่าจะให้มีการเข้ามาใช้เซอร์วิสอะไรได้บ้าง จากที่ไหน เป็นต้น

สิ่งที่ไฟร์วอลล์ช่วยได้         

            ไฟร์วอลล์สามารถช่วยเพิ่มความปลอดภัยให้กับระบบได้โดย

-  บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับไฟร์วอลล์ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด

-  ทำให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ การดูแลที่จุดนี้เป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก (Network-based Security)

-  บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมีประสิทธิภาพ

ป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก เช่นถ้าหากเรามีบางส่วนที่ต้องการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่นถ้ามีเว็บเซิร์ฟเวอร์) แต่ส่วนที่เหลือไม่ต้องการให้ภายนอกเข้ามากรณีเช่นนี้เราสามารถใช้ไฟร์วอลล์ช่วยได้

-  ไฟร์วอลล์บางชนิด [1] สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอลHTTP, FTP และ SMTP

อะไรที่ไฟร์วอลล์ช่วยไม่ได้

ถึงแม้ว่าไฟร์วอลล์จะสามารถช่วยเพิ่มความปลอดภัยให้กับเน็ตเวิร์กได้มากโดยการตรวจดูข้อมูลที่ผ่านเข้าออก แต่อย่าลืมว่าสิ่งเหล่านี้ไม่สามารถป้องกันได้จากการใช้ไฟร์วอลล์

-  อันตรายที่เกิดจากเน็ตเวิร์กภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ตเวิร์กเอง ไม่ได้ผ่านไฟร์วอลล์เข้ามา

-  อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์ เช่นการ Dial-up เข้ามายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์

-  อันตรายจากวิธีใหม่ๆ ที่เกิดขึ้น ทุกวันนี้มีการพบช่องโหว่ใหม่ๆ เกิดขึ้นทุกวัน เราไม่สามารถไว้ใจไฟร์วอลล์โดยการติดตั้งเพียงครั้งเดียวแล้วก็หวังให้มันปลอดภัยตลอดไป เราต้องมีการดูแลรักษาอย่างต่อเนื่องสม่ำเสมอ

-  ไวรัส ถึงแม้จะมีไฟร์วอลล์บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มีไฟร์วอลล์ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ โปรโตคอล

ชนิดของไฟร์วอลล์

ชนิดของไฟร์วอลล์แบ่งตามเทคโนโลยีที่ใช้ในการตรวจสอบและควบคุม แบ่งได้เป็น

-  Packet Filtering

-  Proxy Service

-  Stateful Inspection


Packet Filtering

Packet Filter คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่อ (route) อย่างมีเงื่อนไข โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ (header) ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎ (rules) ที่กำหนดไว้และตัดสินว่าควรจะทิ้ง (drop) แพ็กเก็ตนั้นไปหรือว่าจะยอม (accept) ให้แพ็กเก็ตนั้นผ่านไปได้


ในการพิจารณาเฮดเดอร์ Packet Filter จะตรวจสอบในระดับของอินเตอร์เน็ตเลเยอร์ (Internet Layer)และทรานสปอร์ตเลเยอร์ (Transport Layer) ในอินเตอร์เน็ตโมเดล ซึ่งในอินเตอร์เน็ตเลเยอร์จะมีแอตทริบิวต์ที่สำคัญต่อ Packet Filtering ดังนี้

-  ไอพีต้นทาง

-  ไอพีปลายทาง

-  ชนิดของโปรโตคอล (TCP UDP และ ICMP)

และในระดับของทรานสปอร์ตเลเยอร์ มีแอตทริบิวต์ที่สำคัญคือ

-  พอร์ตต้นทาง

-  พอร์ตปลายทาง

-  แฟล็ก (Flag ซึ่งจะมีเฉพาะในเฮดเดอร์ของแพ็กเก็ต TCP)

-  ชนิดของ ICMP message (ในแพ็กเก็ต ICMP)

ซึ่งพอร์ตของทรานสปอร์ตเลเยอร์ คือทั้ง TCP และ UDP นั้นจะเป็นสิ่งที่บอกถึงแอพพลิเคชันที่แพ็กเก็ตนั้นต้องการติดต่อด้วยเช่น พอร์ต 80 หมายถึง HTTP, พอร์ต 21 หมายถึง FTP เป็นต้น ดังนั้นเมื่อ Packet Filterพิจารณาเฮดเดอร์ จึงทำให้สามารถควบคุมแพ็กเก็ตที่มาจากที่ต่างๆ และมีลักษณะต่างๆ (ดูได้จากแฟล็กของแพ็กเก็ต หรือ ชนิดของ ICMP ในแพ็กเก็ต ICMP) ได้ เช่น ห้ามแพ็กเก็ตทุกชนิดจาก crack.cracker.net เข้ามายังเน็ตเวิร์ก 203.154.207.0/24 , ห้ามแพ็กเก็ตที่มีไอพีต้นทางอยู่ในเน็ตเวิร์ก 203.154.207.0/24 ผ่านเราเตอร์เข้ามา (ในกรณีนี้เพื่อเป็นการป้องกัน ip spoofing) เป็นต้น

Packet Filtering สามารถอิมพลีเมนต์ได้จาก 2 แพล็ตฟอร์ม คือ

-  เราเตอร์ที่มีความสามารถในการทำ Packet Filtering (ซึ่งมีในเราเตอร์ส่วนใหญ่อยู่แล้ว)

-  คอมพิวเตอร์ที่ทำหน้าที่เป็นเราเตอร์

ซึ่งจะมีข้อได้เปรียบเสียเปรียบกันดังนี้


ข้อดี-ข้อเสียของ Packet Filtering

ข้อดี

-  ไม่ขึ้นกับแอพพลิเคชัน

-  มีความเร็วสูง

-  รองรับการขยายตัวได้ดี

ข้อเสีย

-  บางโปรโตคอลไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP, ICQ


Proxy

Proxy หรือ Application Gateway เป็นแอพพลิเคชันโปรแกรมที่ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความปลอดภัยของระบบเน็ตเวิร์กโดยการควบคุมการเชื่อมต่อระหว่างเน็ตเวิร์กภายในและภายนอก Proxy จะช่วยเพิ่มความปลอดภัยได้มากเนื่องจากมีการตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชันเลเยอร์ (Application Layer)

เมื่อไคลเอนต์ต้องการใช้เซอร์วิสภายนอก ไคลเอนต์จะทำการติดต่อไปยัง Proxy ก่อน ไคลเอนต์จะเจรจา (negotiate) กับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครื่องปลายทางให้ เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมีการเชื่อมต่อ (connection) 2 การเชื่อมต่อ คือ ไคลเอนต์กับ Proxy และ Proxy กับเครื่องปลายทาง โดยที่Proxy จะทำหน้าที่รับข้อมูลและส่งต่อข้อมูลให้ใน 2 ทิศทาง ทั้งนี้ Proxy จะทำหน้าที่ในการตัดสินใจว่าจะให้มีการเชื่อมต่อกันหรือไม่ จะส่งต่อแพ็กเก็ตให้หรือไม่



ข้อดี-ข้อเสียของ Proxy
ข้อดี
-  มีความปลอดภัยสูง
-  รู้จักข้อมูลในระดับแอพพลิเคชัน
ข้อเสีย
-  ประสิทธิภาพต่ำ
-  แต่ละบริการมักจะต้องการโปรเซสของตนเอง
-  สามารถขยายตัวได้ยาก


Stateful Inspection Technology
โดยปกติแล้ว Packet Filtering แบบธรรมดา (ที่เป็น Stateless แบบที่มีอยู่ในเราเตอร์ทั่วไป) จะควบคุมการเข้าออกของแพ็กเก็ตโดยพิจารณาข้อมูลจากเฮดเดอร์ของแต่ละแพ็กเก็ต นำมาเทียบกับกฎที่มีอยู่ ซึ่งกฎที่มีอยู่ก็จะเป็นกฎที่สร้างจากข้อมูลส่วนที่อยู่ในเฮดเดอร์เท่านั้น ดังนั้น Packet Filtering แบบธรรมดาจึงไม่สามารถทราบได้ว่า แพ็กเก็ตนี้อยู่ส่วนใดของการเชื่อมต่อ เป็นแพ็กเก็ตที่เข้ามาติดต่อใหม่หรือเปล่า หรือว่าเป็นแพ็กเก็ตที่เป็นส่วนของการเชื่อมต่อที่เกิดขึ้นแล้ว เป็นต้น
Stateful Inspection เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั้น แทนที่จะดูข้อมูลจากเฮดเดอร์เพียงอย่างเดียว Stateful Inspection จะนำเอาส่วนข้อมูลของแพ็กเก็ต (message content) และข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่าแพ็กเก็ตใดเป็นแพ็กเก็ตที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว
ตัวอย่างผลิตภัณฑ์ทางการค้าที่ใช้ Stateful Inspection Technology ได้แก่
-  Check Point Firewall-1
-  Cisco Secure Pix Firewall
-  SunScreen Secure Net
และส่วนที่เป็น open source แจกฟรี ได้แก่
-  NetFilter ใน Linux (iptables ในลีนุกซ์เคอร์เนล 2.3 เป็นต้นไป)

Firewall Architecture
ในส่วนของ Firewall Architecture นั้น จะพูดถึงการจัดวางไฟร์วอลล์คอมโพเน็นต์ในแบบต่างๆ เพื่อทำให้เกิดเป็นระบบไฟร์วอลล์ขึ้น

Single Box Architecture
Single Box Architecture เป็น Architecture แบบง่ายๆ ที่มีคอมโพเน็นต์ทำหน้าที่เป็นไฟร์วอลล์เพียงอันเดียวตั้งอยู่ระหว่างเน็ตเวิร์กภายในกับเน็ตเวิร์กภายนอก ข้อดีของวิธีนี้ก็คือการที่มีเพียงจุดเดียวที่หน้าที่ไฟร์วอลล์ทั้งหมด ควบคุมการเข้าออกของข้อมูล ทำให้ดูแลได้ง่าย เป็นจุดสนใจในการดูแลความปลอดภัยเน็ตเวิร์ก ในทางกลับกันข้อเสียของวิธีนี้ก็คือ การที่มีเพียงจุดเดียวนี้ ทำให้มีความเสี่ยงสูง หากมีการคอนฟิกูเรชันผิดพลาดหรือมีช่องโหว่เพียงเล็กน้อย การผิดพลาดเพียงจุดเดียวอาจทำให้ระบบถูกเจาะได้


คอมโพเน็นต์ที่ใช้ใน Architecture นี้อาจเป็น Screening Router , Dual-Homed Host หรือ Multi-purposed Firewall Box ก็ได้
1) Screening Router
เราสามารถใช้เราเตอร์ทำ Packet Filtering ได้ วิธีนี้จะทำให้ประหยัดค่าใช้จ่ายเนื่องจากส่วนใหญ่จะใช้เราเตอร์ต่อกับเน็ตเวิร์กภายนอกอยู่แล้ว แต่วิธีนี้อาจไม่ยืดหยุ่นมากนักในการคอนฟิกกูเรชัน
Architecture แบบนี้เหมาะสำหรับ
-  เน็ตเวิร์กที่มีการป้องกันความปลอดภัยในระดับของโฮสต์ (Host security) เป็นอย่างดีแล้ว
-  มีการใช้โปรโตคอลไม่มาก และโปรโตคอลที่ใช้ก็เป็นโปรโตคอลที่ไม่ซับซ้อน
-  ต้องการไฟร์วอลล์ที่มีความเร็วสูง

2) Dual-Homed Host
เราสามารถใช้ Dual-Homed Host ( คอมพิวเตอร์ที่มีเน็ตเวิร์กอินเตอร์เฟสอย่างน้อย 2 อัน) ใช้การบริการเป็น Proxy ให้กับเครื่องภายในเน็ตเวิร์ก
Architecture แบบนี้เหมาะสำหรับ
-  เน็ตเวิร์กที่มีการใช้งานอินเตอร์เน็ตค่อนค่างน้อย
-  เน็ตเวิร์กที่ไม่ได้มีข้อมูลสำคัญๆ

3) Multi-purposed Firewall Box
มีผลิตภัณฑ์หลายชนิดที่ผลิตออกมาเป็นกล่องๆ เดียว ซึ่งทำหน้าที่ได้หลายอย่าง ทั้ง Packet Filtering, Proxy แต่ก็อย่าลืมว่านี่คือ Architecture แบบชั้นเดียว ซึ่งถ้าพลาดแล้วก็จะเสียหายทั้งเน็ตเวิร์กได้

Screened Host Architecture
Screened Host Architecture จะมีโฮสต์ซึ่งให้บริการ Proxy เหมือนกับใน Single Box Architecture ที่เป็น Dual-homed Host แต่จะต่างกันตรงที่ว่า โฮสต์นั้นจะอยู่ภายในเน็ตเวิร์ก ไม่ต่ออยู่กับเน็ตเวิร์กภายนอกอื่นๆ(ดังนั้นก็ไม่จำเป็นที่จะต้องใช้ Dual Homed Host) และจะมี เราเตอร์ที่ทำหน้าที่ Packet Filtering ช่วยบังคับให้เครื่องภายในเน็ตเวิร์กต้องติดต่อเซอร์วิสผ่าน Proxy โดยไม่ยอมให้ติดต่อใช้เซอร์วิสจากภายนอกโดยตรง และก็ให้ภายนอกเข้าถึงได้เฉพาะ Bastion host ( คือโฮสต์ที่มีความเสี่ยงสูงต่อการถูกโจมตี มักจะเป็นโฮสต์ที่เปิดให้บริการกับอินเตอร์เน็ต ดังนั้นโฮสต์นี้ต้องมีการดูแลเป็นพิเศษ) เท่านั้น
จากรูปที่ 5 ใน Architecture แบบนี้จะประกอบไปด้วยเราเตอร์ทำหน้าที่ Packet Filtering และภายในเน็ตเวิร์กจะมี Bastion Host ให้บริการ Proxy อยู่ โดยที่เราเตอร์นั้นอาจจะถูกเซ็ตดังนี้
-  อาจจะอนุญาตให้เครื่องภายในใช้เซอร์วิสบางอย่างได้โดยตรง
-  ส่วนเซอร์วิสอื่นๆ จะไม่ยอมให้เครื่องภายในติดต่อผ่านออกไปโดยตรง ยกเว้น Bastion Host เท่านั้นที่สามารถติดต่อกับเน็ตเวิร์กภายนอกได้ทั้งนี้เพื่อเป็นการบังคับให้ใช้บริการ Proxy ผ่านทาง Bastion Host เท่านั้น หรืออาจจะเซ็ตให้เซอร์วิสส่วนใหญ่ผ่านเราเตอร์ออกไปได้โดยตรงแล้ว ให้บางส่วนต้องใช้เซอร์วิสผ่าน Proxy ก็แล้วแต่นโยบายและความเหมาะสมขององค์กร


วิธีนี้ถึงแม้ว่าจะมีทั้ง Proxy และเราเตอร์ทำหน้าที่ Packet Filtering แต่ก็ยังคงอันตรายอยู่ เพราะว่าเราเตอร์ต้องยอมให้ภายนอกสามารถติดต่อกับ Bastion Host ได้อยู่แล้ว หากแฮกเกอร์สามารถเจาะเข้ามายัง Bastion Host ได้ก็เสร็จ
Architecture นี้เหมาะสำหรับ
-  เน็ตเวิร์กที่มีการติดต่อกับเน็ตเวิร์กภายนอกน้อย
-  เน็ตเวิร์กที่มีการป้องกันความปลอดภัยในระดับของโฮสต์เป็นอย่างดีแล้ว

Multi Layer Architecture
ในสถาปัตยกรรมแบบหลายชั้น ไฟร์วอลล์จะเกิดขึ้นจากคอมโพเน็นต์หลายๆส่วนทำหน้าที่ประกอบกันขึ้นเป็นระบบ วิธีการนี้สามารถเพิ่มความปลอดภัยได้มาก เนื่องจากเป็นการลดความเสี่ยงต่อความผิดพลาดที่อาจเกิดขึ้น ถ้าหากมีไฟร์วอลล์เพียงจุดเดียวแล้วมีเกิดความผิดพลาดเกิดขึ้น ระบบทั้งหมดก็จะเป็นอันตราย แต่ถ้ามีการป้องกันหลายชั้น หากในชั้นแรกถูกเจาะ ก็อาจจะมีความเสียหายเพียงบางส่วน ส่วนที่เหลือระบบก็ยังคงมีชั้นอื่นๆ ในการป้องกันอันตราย และยังลดความเสี่ยงได้โดยการที่แต่ละชั้นนั้นมีการใช้เทคโนโลยีที่แตกต่างกัน เพื่อให้เกิดความหลากหลาย เป็นการหลีกเลี่ยงการโจมตีหรือช่องโหว่ที่อาจมีในเทคโนโลยีชนิดใดชนิดหนึ่ง โดยทั่วไปแล้วสถาปัตยกรรมแบบหลายชั้นจะเป็นการต่อกันเป็นซีรี่โดยมี Perimeter Network (หรือบางทีเรียกว่า DMZ Network) อยู่ตรงกลาง เรียกว่า Screened Subnet Architecture


Screened Subnet Architecture
Screened Subnet Architecture เป็นสถาปัตยกรรมที่มีการเพิ่ม Perimeter Network เข้าไปกั้นระหว่างอินเตอร์เน็ตกับเน็ตเวิร์กภายในไม่ให้เชื่อมต่อกันโดยตรง ทำให้เน็ตเวิร์กภายในมีความปลอดภัยมากขึ้น
ในรูปที่ 6 แสดง Screened Subnet Architecture อย่างง่าย ประกอบไปด้วย เราเตอร์ 2 ตัว ตัวนึงอยู่ระหว่างอินเตอร์เน็ตกับ Perimeter Network ส่วนอีกตัวหนึ่งอยู่ระหว่าง Perimeter Network กับเน็ตเวิร์กภายใน ถ้าหากแฮกเกอร์จะเจาะเน็ตเวิร์กภายในต้องผ่านเราเตอร์เข้ามาถึง 2 ตัวด้วยกัน ถึงแม้ว่าจะเจาะชั้นแรกเข้ามายังBastion host ได้ แต่ก็ยังต้องผ่านเราเตอร์ตัวในอีก ถึงจะเข้ามายังเน็ตเวิร์กภายในได้

คอมโพเน็นต์ของ Screened Subnet Architecture 
-  Perimeter Network เป็นเน็ตเวิร์กที่เพิ่มเข้ามาเพื่อความปลอดภัย อยู่ระหว่างเน็ตเวิร์กภายนอกกับเน็ตเวิร์กภายใน ประโยชน์ของ Perimeter Network ที่เห็นได้ชัดก็คือ การแบ่งเน็ตเวิร์กออกเป็นส่วนๆ ทำให้การไหลของข้อมูลถูกแบ่งออกเป็นส่วนๆตามเน็ตเวิร์กด้วย เนื่องจากโดยทั่วไปแล้ว เน็ตเวิร์กที่เป็นแลนนั้น จะเป็นแบบEthernet ซึ่งจะมีการส่งข้อมูลแบบ Broadcast ดังนั้นถ้ามีใครคอบดักจับข้อมูลอยู่ในเน็ตเวิร์กนั้น ก็จะได้พาสเวิร์ด ข้อมูลต่างๆ ไปหมด ดังนั้นหากไฟร์วอลล์เรามีชั้นเดียวและแฮกเกอร์สามารถเข้ามาได้ โดนดักจับข้อมูลก็เสร็จหมด แต่ถ้าเรามี Perimeter Network ถึงจะดักจับข้อมูลได้แต่ก็จะได้เพียงที่อยู่บน Perimeter Network เท่านั้น
-  Bastion Host ตั้งอยู่บน Perimeter Network ทำหน้าที่ให้บริการ Proxy กับเน็ตเวิร์กภายใน และให้บริการต่างๆ กับผู้ใช้บนอินเตอร์เน็ต Bastion Host นั้นจะมีความเสี่ยงต่อการโจมตีสูง จึงต้องมีการดูแลความปลอดภัยเป็นพิเศษ
-  Interior Router ตั้งอยู่ระหว่าง Perimeter Network กับเน็ตเวิร์กภายใน ทำหน้าที่ Packet Filteringป้องกันเน็ตเวิร์กภายในจาก Perimeter Network ในการเซ็ต configuration ระหว่าง เน็ตเวิร์กภายในกับPerimeter Network ควรกำหนดอย่างรอบคอบ อนุญาตเฉพาะเซอร์วิสที่จำเป็นเท่านั้นอย่างเช่น DNS, SMTP
-  Exterior Router ตั้งอยู่ระหว่างเน็ตเวิร์กภายนอกกับ Perimeter Network เนื่องจาก Exterior Router นี้เป็นจุดที่ต่ออยู่กับเน็ตเวิร์กภายนอก จึงมีหน้าที่ที่สำคัญอย่างหนึ่งคือ การป้องกันแพ็กเก็ตที่มีการ Forged IP Address เข้ามา โดยอ้างว่ามาจากเน็ตเวิร์กภายในทั้งๆ ที่จริงๆ แล้วมาจากเน็ตเวิร์กภายนอก


อันตรายจากไวรัสหนอน
       หนอนอินเตอร์เน็ต  (Worm) เป็นโปรแกรมคอมพิวเตอร์ เช่นเดียวกับโปรแกรมไวรัส แต่แพร่กระจายผ่านเครือข่ายไปยังคอมพิวเตอร์และอุปกรณ์เครื่องอื่น ๆ ที่ต่ออยู่บนเครือข่ายด้วยกัน ลักษณะการแพร่กระจายคล้ายตัวหนอนที่เจาะไชไปยังเครื่องคอมพิวเตอร์ต่าง ๆ แพร่พันธุ์ด้วยการคัดลอกตัวเองออกเป็นหลาย ๆ โปรแกรม และส่งต่อผ่านเครือข่ายออกไป และสามารถแพร่กระจายผ่านทางอีเมล์ได้ ไม่ว่าจะเป็น Outlook Express หรือ Microsoft Outlook




ตัวอย่างหนอนอินเตอร์เน็ต  (Worm)
1.W32 VB.UT.worm
             W32VB.UT.worm ขนาดไฟล์ 88.0 K ความร้ายแรงระดับสูง มันจะเปลี่ยนไฟล์CMD.EXE, Taskmgr.exe, regedit.exe, msconfig.exe ให้เป็นไฟล์ของมันแทนคือ ขนาด 88.0 K เมื่อเราดับเบิ้ลคลิกใช้ไฟล์พวกนี้ก็เท่ากับคลิกตัวมันให้ทำงานนั่นเอง เมื่อใช้โปรแกรมแอนตี้ไวรัสฆ่ามันได้แล้ว แต่โปรแกรมพวกนี้ก็ยังใช้งานไม่ได้อยู่ดี ต้องไปหาไฟล์พวกนี้CMD.EXE, Taskmgr.exe, regedit.exe, msconfig.exe จากเครื่องอื่น ๆมาใส่แทนจึงจะใช้งานได้ อาการแสดงออกเมื่อติดเชื้อ W32 VB.UT.worm
1. Folder Option จะหายไป
2. ใช้ Task Manger ไม่ได้
3. ใช้ Regedit ไม่ได้
4. ใช้ Msconfig ไม่ได้
5. ใช้ CMD ไม่ได้ (จากข้อ 2 - 5 เพราะมันเปลี่ยนเอาไฟล์ของมันมาใส่แทนไว้)
6. เมื่อเปิด IE Browser... บนไตเติ้ลบาร์จะมีชื่อ Hacked by 1BYTE
7. ทุกไดร์ฟจะเป็น Auto หมด จะดับเบิ้ลคลิกเปิดไดร์ฟตามปกติไม่ได้ (ดับเบิ้ลคลิกเท่ากับทำให้มันทำงานต่อไป)
8. จะดับเบิ้ลคลิกไฟล์ .BAT บนเดสท๊อบไม่ได้
9. บางครั้งถ้าเราพยายามจะฆ่ามัน อาจจะมีรูปหัวกระโหลกไขว้ขึ้นมาหน้าจอจะเป็นสีดำกระพริบ ต้องรีบปิดเครื่องทันทีไม่เช่นนั้นมันจะฟอร์แมตไดร์ฟต่าง ๆ ทิ้งทั้งหมด 

2.INF/Autorun.genภัยคุกคามประเภทหนอน (Worm) หนึ่งในตระกูล Autorun พบการระบาดที่ 2.51% มีการแพร่กระจายทั้งภายในเครือข่ายและอุปกรณ์ต่อพ่วง ซึ่งหลังจากที่มันก็ปปี้ตัวเองไปยังไดรฟ์แล้ว หนอนนี้ก็จะสร้างไฟล์ขึ้นมาใหม่ชื่อว่า ‘autorun.inf’ ใน root ของไดร์ฟเป้าหมาย โดยภายในไฟล์ autorun.inf นี้จะถูกเขียนคำสั่งให้ทำงานหลังจากผู้ใช้เปิดไดร์ฟต่าง ๆ ขึ้นมา ซึ่งทำให้หนอนตัวนี้ก็จะถูกก็อปปี้ตามไปด้วย สามารถป้องกันได้โดยพยายามอัพเดทฐานข้อมูลไวรัส และ Windows อย่างสม่ำเสมอสแกนอุปกรณ์ต่อพ่วงก่อนทุกครั้งที่จะใช้งาน และปิดการใช้งาน Windows autorun 

3.Win32/Sality.NBAเป็นภัยคุกคามประเภทหนอนเช่นกัน และมีชื่อเสียงในความร้ายกาจยาวนานข้ามปี ทั้งยังมีมากมายหลายสายพันธุ์อีกด้วย โดยพบอยู่ที่ 2.22% พฤติกรรมของหนอนตัวนี้การเข้าไปค้นหาไฟล์นามสกุล .exe ทั้งจาก local และ network drive สามารถแพร่กระจายได้โดยการแตกไฟล์ .exe นั้นและแฝงตัวเพิ่มเข้าไปบางส่วนในไฟล์ .exe นั้น เมื่อมีการทำงานของไฟล์ .exe ตัวใดหนอนตัวนี้ก็จะถูกเปิดขึ้นมาด้วย นอกจากนั้นยังเข้าไปปิดการทำงานต่าง ๆ ของระบบปิดการทำงานของระบบความปลอดภัย และ System Restore ของ Windows 

4.INF/Autorun : ภัยคุกคามประเภทหนอน (Worm) พบการระบาดที่ 1.73% มีการแพร่กระจายทั้งภายในเครือข่ายและอุปกรณ์ต่อพ่วง ซึ่งหลังจากที่มันก็ปปี้ตัวเองไปยังไดรฟ์แล้ว หนอนนี้ก็จะสร้างไฟล์ขึ้นมาใหม่ชื่อว่า ‘autorun.inf’ ซึ่งจะถูกเขียนคำสั่งให้ทำงานหลังจากผู้ใช้เปิดไดร์ฟต่าง ๆ ขึ้นมาเองโดนอัตโนมัติ สามารถป้องกันได้โดยพยายามอัพเดทฐานข้อมูลไวรัส และ Windows อย่างสม่ำเสมอสแกนอุปกรณ์ต่อพ่วงก่อนทุกครั้งที่จะใช้งาน และปิดการใช้งาน Windows autorun 

5.INF/Autorun.Szหนอนตระกูล Autorun พบการระบาดที่ 1.32% โดยหลังจากที่มันก็ปปี้ตัวเองไปยังไดรฟ์แล้ว หนอนนี้ก็จะสร้างไฟล์ขึ้นมาใหม่ชื่อว่า ‘autorun.inf’ ซึ่งจะถูกเขียนคำสั่งให้ทำงานหลังจากผู้ใช้เปิดไดร์ฟต่าง ๆ ขึ้นมาเองโดนอัตโนมัติ สามารถป้องกันได้โดยพยายามอัพเดทฐานข้อมูลไวรัส และ Windows อย่างสม่ำเสมอสแกนอุปกรณ์ต่อพ่วงก่อนทุกครั้งที่จะใช้งาน และปิดการใช้งาน




ม้าโทรจัน หรือ Trojan horse เป็นซอฟแวร์ หรือ โปรแกรมคอมพิวเตอร์ชนิดหนึ่ง ที่สร้างขึ้นเพื่อ ต้องการเข้าถึง รหัสผ่าน,ข้อมูลผู้ใช้ , หมายเลขบัญชีต่างๆ , เก็บข้อมูลตามที่ แฮกเกอร์ ต้องการ โดย แฮกเกอร์ จะแอบปล่อยโปรแกรม ม้าโทรจัน (Trojan horse) เข้าไปยังเครื่องเป้าหมาย เพื่อหวังข้อมูลบางอย่างจากเครื่องเป้าหมาย เพื่อขโมยข้อมูล

เหตุใด ม้าโทรจัน (Trojan horse) จึงไม่ใช้ไวรัส จริงๆแล้ว ม้าโทรจัน (Trojan horse) เป็นเพียงระบบเก็บข้อมูล ตามที่ต้องการเพียงอย่างเดียว ไม่มีคำสั่งที่เป็นอันตรายต่อเครื่อง จึงถือว่า ม้าโทรจัน (Trojan horse) ไม่ใช้ไวรัส ฉนั้น ม้าโทรจัน จึงมีความแตกต่างจากไวรัส โดยชิ้นเชิง แต่ถึงอย่างไร ก็อันตรายต่อผู้ที่ถูกโจมตีด้วย ม้าโทรจัน (Trojan horse) อยู่ดี เพราะข้อมูลที่สำคัญๆ ของถูกขโมยโดยผ่าน ม้าโทรจัน (Trojan horse) นั้นเอง

สำหรับชื่อของ ม้าโทรจัน (Trojan horse)  เกิดขึ้นจากประวัติ สงครามเมืองทรอย โดยมีรายละเอียดดังต่อไปนี้



ม้าโทรจัน หรือ ม้าไม้เมืองทรอย (อังกฤษ: Trojan horse) เป็นม้าขนาดใหญ่ที่ทำจากไม้ จากมหากาพย์อีเลียดเรื่องสงครามเมืองทรอย

ม้าไม้นี้เกิดขึ้นจากอุบายของโอดิสเซียส ในการบุกเข้าเมืองทรอย ที่มีป้อมปราการแข็งแรง หลังจากที่รบยืดเยื้อมานานถึง 10 ปีแล้ว ด้วยการให้ทหารสร้างม้าไม้นี้ขึ้นมา แล้วลากไปวางไว้หน้ากำแพงเมืองทรอย แล้วให้ทหารกรีกแสร้งทำเป็นล่าถอยออกไป เมื่อชาวทรอยเห็นแล้วเข้าใจว่าเป็นบรรณาการที่ทางฝ่ายกรีกสร้าง ขึ้นมาเพื่อบูชาเทพเจ้าและล่าถอยไปแล้ว จึงลากเข้าไปไว้ในเมืองและฉลองชัยชนะ เมื่อตกดึก ทหารกรีกที่ซ่อนตัวอยู่ในม้าไม้ ก็ไต่ลงมาเผาเมืองและปล้นเมืองทรอยได้เป็นที่สำเร็จ

ปัจจุบัน ม้าโทรจัน ได้กลายมาเป็นสำนวนในภาษาอังกฤษ และเป็นชื่อของโปรแกรมคอมพิวเตอร์ ที่เมืองชานักกาเล ประเทศตุรกี ซึ่งเคยเป็นที่ตั้งของเมืองทรอยจริงตามประวัติศาสตร์ ทางผู้สร้างภาพยนตร์เรื่อง Troy เมื่อปี ค.ศ. 2004 ก็ได้มอบม้าไม้ตัวที่ใช้ในเรื่องให้แก่เมือง ซึ่งกลายเป็นจุดสนใจและเป็นสถานที่ท่องเที่ยวสำคัญของเมืองด้วย

 อุบัติเหตุ และความเสี่ยงอื่นๆ

–  ดิสก์ขัดข้อง –  กระแสไฟฟ้าขัดข้องหรือไม่สม่ำเสมอ  –  การถูกโจรกรรม  –  ความล้มเหลวของระบบรักษาความปลอดภัยที่เกิดขึ้นจากคน