ch3-Network Problem
Download
Report
Transcript ch3-Network Problem
ปัญหาความปลอดภัยในระบบ
เครือข่าย
Outline
ระบบสารสนเทศ
Basic Network Setting
โพรโตคอลต่างๆ
การตัง้ ค่า IP Address , Subnet Mask , Default Gateway , DNS
TCP , IP , UDP , ICMP
ภัยคุกคามระบบสารสนเทศ
แนวทางการป้องกัน
ระบบสารสนเทศ
Basic Network Setting
IP Address
Subnet Mask
Default Gateway
DNS
Transmission Control Protocol
การทางานของ TCP
เป็ น Connection-oriented protocol
มีการทางานเพือ่ เพิม่ reliable ในระบบ
มีการเชือ่ มต่อแบบ unicast
เชือ่ มต่อแบบ end-to-end
การส่งข้อมูลส่งในลักษณะbyte stream
มักใช้กบั การส่งข้อมูลทีต่ อ้ งการ reliable ในช่องทางที่ unreliable
TCP Format
IP header TCP header
20 bytes
TCP data
20 bytes
0
15 16
Source Port Number
31
Destination Port Number
Sequence number (32 bits)
header
length
0
Flags
TCP checksum
window size
urgent pointer
Options (if any)
DATA
20 bytes
Acknowledgement number (32 bits)
User Datagram Protocol
UDP - User Datagram Protocol
ให้บริการแบบ Datagram
เป็ นการให้บริการเน้นความรวดเร็ว
unreliable service
เป็ นโพรโตคอลเพือ่ เพิม่ เติมการเชือ่ มต่อแบบ host-to-host ของ IP ให้
กลายเป็ น application-to-application
ทางานเพียง multiplexing and demultiplexing เท่านัน้
UDP Header
IP header UDP header
20 bytes
UDP data
8 bytes
Source Port Number
Destination Port Number
UDP message length
Checksum
DATA
0
15 16
31
UDP Format
Port numbers มีขนาด 16 บิตจะสามารถอ้างอิงได้ 65,535 พอร์ต
Message Length มีขนาด 8-65535 ไบต์
Checksum สาหรับตรวจสอบความผิดพลาดใน UDP header
สรุปเกี่ยวกับ Transport Layer Protocol
UDP - User Datagram Protocol
datagram oriented
unreliable, connectionless
simple
unicast and multicast
useful only for few applications, e.g.,
multimedia applications
used a lot for services
network management (SNMP),
routing (RIP), naming (DNS), etc.
TCP - Transmission Control
Protocol
stream oriented
reliable, connection-oriented
complex
only unicast
used for most Internet applications:
web (http), email (smtp), file
transfer (ftp), terminal (telnet), etc.
IP - Internet Protocol
IP Protocol
Applications
IP เป็ นโพรโตคอลที่อยู่ตรงกลางใน OSI
Layer
HTTP FTP SMTP
TCP UDP
IP
Data link layer
protocols
Physical layer
protocols
IP Datagram Format
bit # 0
7 8
version
header
length
15 16
ECN
DS
Identification
time-to-live (TTL)
23
total length (in bytes)
0
D M
F F
protocol
Fragment offset
header checksum
source IP address
destination IP address
options (0 to 40 bytes)
payload
4 bytes
24
20 bytes ≤ Header Size < 24 x 4 bytes = 60 bytes
20 bytes ≤ Total Length < 216 bytes = 65536 bytes
31
IP Service
Unreliable ไม่มกี ารทางานใดๆ หากมีปญั หาการรับส่งข้อมูล
Connectionless ไม่มกี ารสร้างการเชื่อมต่อก่อนการส่งข้อมูล
Best effort ไม่มกี ารการันตีบริการใดๆ
โพรโตคอลในชัน้ ทีส่ งู กว่าทาหน้าทีจ่ ดั การปญั หาต่างๆ ในการเชือ่ มต่อเอง
เครือ่ งปลายทางอาจได้รบั ข้อมูลโดยไม่เป็ นลาดับ
Internet Control Message Protocol
(ICMP)
Overview
Internet Control Message Protocol (ICMP) เป็ นโพรโตคอลทีใ่ ช้ในการ
สนับสนุ นการทางานในเครือข่ายดังนี้
การรายงานความผิดพลาดต่างๆ
การร้องขอข้อมูลระบบเบือ้ งต้น
ICMP messages = IP Payload
ICMP message format
bit # 0
7 8
type
15 16
code
23
24
31
checksum
additional information
or
0x00000000
เฮดเดอร์ ICMP มีขนาด 4 byte ได้แก่:
Type (1 byte): บอกชนิดของ ICMP message
Code (1 byte): บอกชนิดย่อยหรือโค้ดการทางานของ ICMP message
Checksum (2 bytes): ตรวจสอบความผิดพลาดในการส่งข้อมูล ICMP message ในกรณีทไ่ี ม่ม ี
ข้อมูลใดๆ ค่า Checksum จะมีคา่ เท่ากับ 0
โดยปกติ ICMP Message จะมีขนาด 8 ไบต์
ภัยคุกคามระบบสารสนเทศ
Example Network
การดักจับข้อมูลในเครือข่ายโดย Sniffers
ข้อมูลส่งผ่านตามสายและกระจายตามพอร์ตต่างๆ ของ HUB หรือ Switch
การ์ดเครือข่ายได้รบั ข้อมูลทีส่ ง่ ผ่านทุก Packet
สามารถใช้โปรแกรมเฉพาะดึงข้อมูลจากการ์ดเครือข่ายเพือ่ แสดงผลได้
โปรแกรม Ethereal / Wireshark
การหาข้อมูลเครื่องเซิรฟ์ เวอร์โดยใช้ Port
Scanner
เซิรฟ์ เวอร์ทใ่ี ห้บริการทางเครือข่ายเปิดพอร์ต
พอร์ตทีเ่ ปิดตอบสนองต่อการร้องขอแตกต่างจากพอร์ตทีป่ ิด
ส่งการร้องขอไปยังทุกๆ พอร์ตเพือ่ ดูการตอบสนอง
เก็บข้อมูลรายการพอร์ตทีเ่ ปิด พร้อมรายละเอียด
ทาการเจาะระบบผ่านพอร์ตทีเ่ ปิดบริการทีม่ ชี อ่ งโหว่
ตัวอย่างผลลัพธ์ของ NMAP
การสแกนหาช่องโหว่โดย Vulnerability Scanner
ช่องโหว่ต่างๆ ถูกค้นพบเสมอ
รูปแบบการตอบสนองของซอฟต์แวร์ทม่ี ชี อ่ งโหว่ถูกรวบรวม
ซอฟต์แวร์ Vulnerability Scanner ใช้การ Scan Port และเทียบกับ
ฐานข้อมูล และรายงานผล
เจ้าของผลิตภัณฑ์ปรับปรุงซอฟต์แวร์แก้ไขช่องโหว่แต่ผดู้ แู ลระบบยังไม่ทา
การปิด
โปรแกรม NESSUS ใช้ในการค้นหาช่องโหว่ในระบบ สามารถใช้ทงั ้ การ
ตรวจสอบของ Admin และตรวจหาช่องโหว่ของ Hacker
Denial of Service Attacks
เป็ นการโจมตีระบบคอมพิวเตอร์และเครือข่ายเพือ่ ไม่ให้ผใู้ ช้งานสามารถ
ร้องขอทรัพยากร ข้อมูล หรือบริการใดๆ ได้
ผลกระทบจาก DoS:
Software Systems
Network Routers/Equipment/Servers
Servers and End-User PCs
Distributed Denial of Service Attack
โครงสร้างแบบกระจายในการจัดตัง้ ระบบสาหรับโจมตีระบบอื่นๆ
DDoS Architecture
Client
Handler
Client
Handler
Handler
Agents
Handler
ตัวอย่างโปรแกรม DDoS
Trinoo
Tribe Flood Network
TFN2K
stacheldraht (barbed wire)
Trinoo
First DDoS Tool widely available
Uses UDP flooding attack strategy
TCP connectivity between master and hosts
UDP connectivity between master and agents
TFN (Tribe Flood Network)
Written in 1999 by “Mixter”.
Allows for UDP flooding, TCP SYN, ICMP flood, and smurf
attacks.
Communication between handlers and agents is accomplished
with ICMP_Echo_Reply packets which are harder to detect than
UDP packets and can pass through firewalls[2].
TFN2K
The successor to TFN, also written by “Mixter”.
Allows for encrypted messaging between components.
Handlers and agents can communicate using ICMP, UDP, or TCP.
Random protocol selection is possible.
Adds an additional attack form called TARGA (sends malformed IP
packets known to slow down or “hang up” the network stacks).
Also adds a MIX attack which uses UDP, SYN, and ICMP_Echo_Reply
Flooding.
stacheldraht
German for “barbed wire”
Based on early TFN versions.
Provides ICMP, UDP, and TCP SYN attack options.
Has the ability to perform daemon updates automatically.
Malware / Malicious Code
โปรแกรมหรือส่วนของโปรแกรม ทีใ่ ห้ผลลัพธ์การทางานทีผ่ ดิ จากความ
ต้องการของผูใ้ ช้งานปกติ มักสร้างจากความต้องการก่อกวน ทาลาย จาร
กรรม
มีการฝงั ตัวในระบบ และเริม่ ทางานเมือ่ มีเหตุการณ์ทต่ี รงตามเงือ่ นไข
สามารถหยุดการทางานของโปรแกรมอื่นๆ สร้างเสียง ลบข้อมูลในเครือ่ ง
ฯลฯ
ยกตัวอย่างเช่น Viruses, Worms, Trojan Horses, Trapdoor/Backdoor
คุณสมบัติของ Virus
สร้างง่าย
ตรวจจับ ทาลาย หยุดการทางานได้ยาก
กระจายตัวได้อย่างกว้างขวาง
สามารถกระจายตัวภายในโปรแกรมเดิม หรือโปรแกรมอื่นๆ ได้
ไวรัสแต่ละตัวจะทางานได้ใน เครือ่ ง โปรแกรม หรือในระบบปฏิบตั กิ าร
เฉพาะเท่านัน้
TCP Session Hijacking
แฮกเกอร์อยูร่ ะหว่างการเชือ่ มต่อทีต่ อ้ งการขโมยเซสชัน่
ดักจับแพ็กเก็ต โดยเฝ้าดู sequence numbers และ acknowledge
numbers ของการเชือ่ มต่อ
ใช้การคานวณหมายเลข Sequence number ของ TCP session และสร้าง
เพือ่ สร้าง Session ใหม่แทรกเข้าไปใน Session เดิม
มักเรียกว่า Man-in-the-middle
การดักจับแพ็กเก็ต (Sniffer) มี 2 ชนิด
Passive sniffers. ใน Broadcast Domain เดียวกัน
Active sniffers ใช้ ARP Spoof เพือ่ ให้มกี ารส่งแพ็กเก็ตมายังเครือ่ งทีด่ กั จับ
39
ภัยคุกคามระบบสารสนเทศ
ข้อผิดพลาดจากการกระทาของ
มนุ ษย์
การบุกรุก
การก่อวินาศกรรมหรือการทาลาย
การโจรกรรม
การโจมตีซอฟต์แวร์
คุณภาพของบริการ
ข้อผิดพลาดทางเทคนิคของ
ฮาร์ดแวร์
ข้อผิดพลาดทางเทคนิคของ
ซอฟต์แวร์
เทคโนโลยีลา้ สมัย
ภัยธรรมชาติ
Social Engineering
แนวทางการป้ องกันระบบสารสนเทศ
Defenses
ไม่มกี ารป้องกันทีส่ ามารถป้องกันภัยคุกคามได้ทงั ้ หมด !!!!!!!
ยุทธศาสตร์ที่ใช้ในการป้ องกัน
CIA : Confidentiality, Integrity, Availability
AAA : Authentication, Authorization, Accounting
PDR : Prevent , Detect , Response
Confidentiality
การรักษาข้อมูลสารสนเทศให้เป็ นความลับ
เน้นการประยุกต์เทคโนโลยีการเข้ารหัสลับกับเทคโนโลยีอ่นื ๆ
เช่น
อัลกอริทมึ ในการเข้ารหัส DES,3DES,RSA,AES ฯลฯ
IP Security , IPv6
SSH
SSL/TLS
VPN
Integrity
การตรวจสอบและคงความถูกต้อง หรือบูรณภาพของข้อมูลสารสนเทศ
เน้นการนาทฤษฏีทางคณิตศาสตร์มาสร้างกระบวนการตรวจสอบ
เช่น
Checksum
Hashing
Message Authentication Code
Digital Signature
Availability
การออกแบบและบริหารระบบให้มคี วามพร้อมในการให้บริการ
มุง่ เน้นการออกแบบ และสร้างระบบทีส่ ามารถทนทานต่อความเสียหาย
หรือรองรับความเสียหายได้
การวางแผนเพือ่ รับมือภัยพิบตั ิ หรือการขยายตัวของภาระงานต่างๆ
เช่น
Load Balancer
การทาแผนภัยพิบตั ิ (Contingency Plan)
Disaster Recover Center
Security Awareness Training
Authentication
การพิสจู น์ตวั ตน ซึง่ จะให้ความมันใจว่
่ าบุคคล services หรือ object ใดๆ
ทีเ่ กีย่ วข้องนัน้ คิดสิง่ ทีห่ มายความถึงจริงๆ หรือไม่
เช่น
การใช้ Username Password
Credential
Biometric Authentication
Two Factors
Certification
Authorization
การพิสจู น์สทิ ธิ หรือการให้สทิ ธิใน บุคคล, System, Service, โพรเซส หรือ
object ใดๆ ให้สามารถเข้าถึงทรัพยากรได้ตรงตามสิทธิของตนเอง
เพือ่ ลดความเสีย่ งจากการใช้งานทรัพยากรเกินสิทธิ หรือความเสียหายอัน
เกิดจากการให้สทิ ธิเกินภาระงาน
เช่น การให้สทิ ธิการเข้าถึงเครือข่าย สิทธิการใช้งานข้อมูลสารสนเทศ เป็ น
ต้น
มักเป็ นขัน้ ตอนทีเ่ กิดขึน้ ภายหลังจาก Authentication
Accounting
เป็ นขัน้ ตอนการบันทึกเหตุการณ์ วิเคราะห์ ประเมินและการตรวจสอบ
โดยเหตุการณ์หรือความเสียหายต่างๆ ทีเ่ กิดขึน้ ในระบบ จะต้องสามารถ
ตรวจสอบได้วา่ มีทม่ี าทีไ่ ปอย่างไร
มุง่ เน้นการเก็บข้อมูลรายละเอียดเหตุการณ์ทเ่ี กิดขึน้ ตามเวลา การ
เกีย่ วเนื่องสอดคล้องกันของเหตุการณ์ต่างๆ
เช่น
ระบบมอนิเตอร์ระบบงานต่างๆ
ระบบติดตามผลการทางาน
Prevent
เป็ นหลักการในการป้องกันภัยคุกคามทีจ่ ะเกิดขึน้ โดยภัยคุกคามดังกล่าว
จะเป็ นภัยคุกคามทีผ่ ดู้ แู ลมักจะทราบว่าจะมีการเกิดขึน้ แน่นอนหากไม่
ดาเนินการป้องกัน
มุง่ เน้นการใช้นโยบาย และใช้เครือ่ งมือในการบังคับใช้นโยบาย
เครือ่ งมือทีใ่ ช้คอื
นโยบายควบคุมการทางานของผูใ้ ช้งาน
การใช้ Firewall เพือ่ กาหนดนโยบายทางเครือข่าย
การใช้ Active Directory ในการกาหนดทรัพยากรต่างๆในระบบสารสนเทศ
Detect
เป็ นการตรวจจับเหตุการณ์ต่างๆ ทีเ่ ฝ้าระวัง โดยเหตุการณ์ทเ่ี ฝ้าระวังมัก
เป็ นเหตุการณ์ฉุกเฉิน หรือสัญญาณของภัยคุกคามต่างๆ เพือ่ ให้ผดู้ แู ล
ระบบรูป้ ญั หา และสามารถตอบสนองต่อปญั หาได้อย่างรวดเร็ว ไม่ทาให้
เกิดความเสียหายรุนแรง
เครือ่ งมือทีใ่ ช้
Network Monitoring System
IDS/IPS
การดาเนินการตามแผนรับมือเหตุฉุกเฉิน (Incident Response Plan)
Response
เป็ นกระบวนการตอบโต้เหตุการณ์ฉุกเฉินต่างๆ อันจะทาให้ระบบ
สารสนเทศเกิดปญั หาไม่สามารถให้บริการได้
ควรมีการเตรียมตัวเพือ่ รับมือเหตุการฉุกเฉินตามแผนรับมือเหตุฉุกเฉิน
เครือ่ งมือทีใ่ ช้
ใช้ Firewall ในการปิดกัน้ ภัยคุกคามทางเครือข่าย
ใช้ระบบ Anti-Virus เพือ่ จัดการกับ Malware ต่างๆ
การปรับแต่งค่า configuration ของระบบงานให้รบั มือกับภัยคุกคามในระบบ