ขีดความสามารถของ IDS (กล้องวงจรปิด)

ขีดความสามารถของ IDS

IDS     เป็นเครื่องมือหนึ่งที่ต้องมีในระบบการรักษาความปลอดภัยของเครือข่ายแต่ก็มีขีดความสามารถที่จำกัด   และต้องมีการวางแผนความปลอดดภัยให้กับเครือข่าย   ต้องรู้จักและเข้าใจว่ามีหน้าที่อะไรและสามารถทำอะไร บางสถานการณ์อาจต้องใช้เครื่องมือช่วยให้เป็นไปตามหลักการป้องกันเชิงลึก   IDS สามารถทำหน้าที่ได้ดีดังนี้

-   มอนิเตอร์และวิเคราะห์เหตุการณ์ที่เกิดขึ้นในระบบและพฤติกรรมของผู้ใช้

-   ทดสอบระดับความปลอดภัยของระบบ

-   บอกถึงระดับมาตรฐานความปลอดภัยของระบบ  และเฝ้าติดตามการเปลี่ยนแปลงจากระดับดังกล่าว

-    เรียนรู้ลำดับเหตุการณ์ของระบบที่เกิดจากการโจมตีที่รู้ล่วงหน้า

-    เรียนรู้ลำดับเหตุการณ์ของระบบที่แตกต่างจากเหตุการณ์ปกติ

-   จัดการข้อมูลเกี่ยวกับอีเวนต์ล็อกและออดิทล็อก ของระบบปฏิบัติการ

-   รายงานข้อมูลเกี่ยวกับนโยบายการรักษาความปลอดภัยพื้นฐาน

-   อนุญาตให้ผู้ที่ยังไม่มีความชำนาญทางด้านการรักษาความปลอดภัย  สามารถมอนิเตอร์ความปลอดภัยได้

สินค้าแนะนำ :    รั้วไฟฟ้า   กล้องวงจรปิด   สัญญาณกันขโมยไร้สาย

IDS ไม่สามารถทำหน้าที่ต่อไปนี้ได้

- ไม่สามารถปิดช่องโหว่ หรือจุดอ่อนของระบบที่ไม่ได้ป้องกันโดยระบบการรักษาความปลอดภัยอื่น เช่น ไฟร์วอลล์ การพิสูจน์ทราบตัวตน  การเข้ารหัสข้อมูล การควบคุมการเข้าถึง และการป้องกันไวรัส เป็นต้น

-  ไม่สามารถตรวจจับ  รายงาน  และตอบโต้การโจมตีได้ในช่วงเวลาที่มีการใช้เครือข่ายอย่างหนาแน่น หรือโหลดของเครือข่ายมากเกินไป

-   ไม่สามารถตรวจจับการโจมตีแบบใหม่  หรือการโจมตีเก่าที่ได้ปรับเปลี่ยนรูปแบบการโจมตี

-   ไม่สามารถตอบโต้การโจมตีได้อย่างมีประสิทธิภาพต่อผู้บุกรุกที่มีความชำนาญสูง

-   ไม่สามารถสืบหาผู้บุกรุกได้โดยอัตโนมัติ  การสืบหาผู้บุกรุกนั้นต้องอาศัยคนช่วยในการวิเคราะห์เพื่อสืบสวนเรื่องราว

-   ไม่สามารถขัดขวางไม่ให้โจมตี IDS เอง

-  ไม่สามารถป้องกันปัญหาเกี่ยวกับความถูกต้องของแหล่งข้อมูล

-  ไม่สามารถทำงานได้ดีในระบบเครือข่ายที่ใช้สวิตช์

ประเภทของ  IDS

IDS  แบ่งออกเป็น2  ประเภท โฮสต์เบสไอดีเอส     คือ ระบบที่ติดตั้งที่โฮสต์และเฝ้าระวังและตรวจจับความพยายามที่จะบุกรุกโฮสต์  

ส่วนเน็ตเวิร์คเบสไอดีเอส  คือ ระบบที่ตรวจดูแพ็กเก็ตที่วิ่งอยู่ในเครือข่าย  และแจ้งเตือนถ้าพบหลักฐานที่คาดว่าจะเป็นการบุกรุกเครือข่าย

Host-Based IDS

ซอฟต์แวร์ที่รันบนโฮสต์ โดยปกติจะวิเคราะห์ล็อกเพื่อค้นหาข้อมูลเกี่ยวกับการบุกรุก  ในระบบยูนิกซ์นั้นล็อกที่ IDS จะตรวจสอบ  

ส่วนในวินโดวส์นั้นก็จะตรวจสอบอีเวนต์ล็อกต่าง ๆ  IDS จะอ่านเหตุการณ์ใหม่ที่เกิดขึ้นในล็อกและเปรียบเทียบกับกฎที่ตั้งไว้ก่อนหน้า  

ถ้าตรงก็จะแจ้งเตือนทันที  จะตรวจจับการบุกรุกได้ระบบจะต้องบันทึกเหตุการณ์ต่าง ๆ ที่สำคัญเกิดขึ้นกับระบบในล็อกไฟล์  ถ้า IDS

ไม่มีข้อมูลที่จะใช้วิเคราะห์ว่ามีการบุกรุกหรือไม่ และยังสามารถตรวจสอบการแก้ไขไฟล์ในระบบได้ด้วย  อาจทำได้โดยการตรวจสอบวันที่ที่แก้ไขครั้งสุดท้ายและขนาดของไฟล์

 ข้อดีของโฮสต์เบสไอดีเอส  มีดังนี้

-   โฮสต์เบสไอดีเอสสามารถตรวจพบทุกการบุกรุกกับโฮสต์นั้น ๆ ได้เสมอถ้าระบบสามารถบันทึกเหตุการณ์ในล็อกได้ หรือการบุกรุกมีการเรียกหรือใช้ซิสเต็มคอล

-   โฮสต์เบสไอดีเอสสามารถบอกได้ว่าการบุกรุกนั้นสำเร็จหรือไม่ โดยการวิเคราะห์ข้อความในล็อกหรือจากหลักฐานอื่น ๆ เมื่อมีการแก้ไขไฟล์ที่สำคัญของระบบ  เป็นต้น

-   โฮสต์เบสไอดีเอสสามารถระบุได้ว่ามีการเข้าใช้งานระบบอย่างผิดปกติโดยผู้ใช้ของระบบเอง

ข้อเสียของโฮสต์เบสไอดีเอส

-   โพรเซสของไอดีเอสอาจถูกโจมตีเองจนอาจไม่สามารถแจ้งเตือนได้

-   โฮสต์เบสไอดีเอสจะแจ้งเตือน ก็ต่อเมื่อเหตุการณ์ที่เกิดขึ้นนั้นตรงกับที่กำหนดไว้ก่อนหน้า  ถ้าแฮคเกอร์มีเทคนิคใหม่ ๆ ไอดีเอสอาจไม่แจ้งเตือนการบุกรุกก็ได้

-   การทำงานของโฮสต์เบสไอดีเอสมีผลกระทบต่อประสิทธิภาพของโฮสต์เอง เนื่องจากต้องตรวจสอบล็อคไฟล์และซิสเต็มคอล

      สนใจติดตั้งกล้องวงจรปิด >>> บริษัท มีเดีย เสิร์ซ จำกัด โทร.  02-8883507-8, 081-700-4715

Intrusion Detection System (กล้องวงจรปิด)

Intrusion Detection System

วัตถุประสงค์

- รู้และเข้าใจฟังก์ชันและข้อจำกัดของ IDS/IPS

- รู้และเข้าใจประเภทต่าง ๆ ของ IDS

- รู้และเข้าใจหลักในการวิเคราะห์ตรวจจับการบุกรุกของ IDS

- รู้และเข้าใจรูปแบบการโจมตีแบบต่าง ๆ ที่มักถูกจับได้โดย IDS

- รู้และเข้าใจหลักในการออกแบบ และตำแหน่งการวาง IDS

- รู้และเข้าใจฟังก์ชันของ NAC

                     อินเทอร์เน็ตในปัจจุบันได้เปลี่ยนรูปแบบการใช้งานไปอย่างมาก  คอมพิวเตอร์ใช้งานส่วนใหญ่จำเป็นต้องเชื่อมต่อเข้ากับอินเทอร์เน็ต

เพื่อใช้ประโยชน์จากเครือข่ายนี้เกือบทุกองค์กรที่มีเครือข่ายภายในของตนเอง  มักต้องการเชื่อมต่อกับอินเทอร์เน็ตเสมอ  

อินเทอร์เน็ตมีทั้งข้อดีและข้อเสียผู้ใช้งานมีทั้งคนดีและคนไม่ดี  กลุ่มคนที่ไม่ดีก็พยายามสร้างความเสียหายให้กับระบบ  

อาจมีแรงจูงใจหลายอย่างไม่ว่าจะเป็นการทดลองหรือการจารกรรมข้อมูล การโจมตีเครือข่าย เป็นต้น

การเชื่อมต่อเครือข่ายเข้ากับอินเทอร์เน็ตควรมีระบบการรักษาความปลอดภัยที่ดีไม่เช่นนั้นอาจเกิดผลเสียมากกว่าผลดีได้  

สิ่งแรกที่ระบบการรักษาความปลอดภัยกล้องวงจรปิดในเครือข่ายคือการติดตั้งไฟร์วอลล์เป็นสิ่งจำเป็นเมื่อต้องเชื่อมต่อเข้ากับเครือข่ายอินเทอร์เน็ต  

แต่ไฟร์วอลล์มีข้อจำกัดในตัวเอง  การติดตั้งไฟร์วอลล์อย่างเดียวนั้นไม่สามารถป้องกันอันตรายจากอินเทอร์เน็ตได้ทุกอย่าง  

จึงมีความจำเป็นที่ต้องมีระบบการรักษาความปลอดภัยอื่นเข้ามาช่วย  ระบบตรวจจับการบุกรุก หรือ IDS  เป็นอีกหนึ่งเครื่องมือการรักษาความปลอดภัยที่ทุกองค์กรควรมี

สินค้าแนะนำระบบรักษาความปลอดภัย :  รั้วไฟฟ้า   สัญญาณกันขโมย  กล้องวงจรปิด

IDS/IPS คืออะไร

IDS เครื่องมืออีกประเภทหนึ่งที่ใช้สำหรับการรักษาความปลอดภัยใช้ตรวจจับความพยายามที่จะบุกรุกเครือข่าย ระบบจะแจ้งเตือนผู้ดูแล IDS 

ไม่ใช่ระบบที่ใช้ป้องกันการบุกรุกแต่เป็นระบบที่คอยแจ้งเตือนเหมือนกับสัญญาณกันขโมย  หน้าที่หลักของ IDS คือ การแจ้งเตือนการเข้าถึงเครือข่ายที่ผิดปกติ  

สิ่งที่สำคัญในการออกแบบระบบ IDS คือเหตุการณ์ใดคือสิ่งที่ถือว่าผิดปกติ  การใช้ IDS ขึ้นอยู่กับว่าอะไรที่จะแจ้งเตือนให้ทราบคำตอบนั้นไม่ใช่ว่าถูกหรือผิด  ขาวหรือดำ

แต่จะขึ้นอยู่กับสภาวะของระบบในขณะนั้น  ปัญหาอีกอย่างหนึ่งคือบางครั้งไม่สามารถตรวจจับการบุกรุกได้เนื่องจากการทำงานของ IDS 

ทำงานกับเครือข่ายที่ใช้ระบบสวิตช์ชิง   และปัญหาที่สำคัญอีกอย่างหนึ่งก็คือไม่สามารถป้องกันการบุกรุกได้โดยทันทีหรือแบบเรียลไทม์

 จึงมีการคิดค้นเทคโนโลยีใหม่เรียกว่า IPS สามารถตรวจจับการบุกรุกและหยุดการบุกรุกได้แบบอัตโนมัติหรือมรุทันที

หลักการทำงาน IPSโดยการใช้หลักการที่เรียว่า “Inline”  มีการนำ IPS ไปกั้นกลางบนเส้นทางการส่งข้อมูล  

โดยไม่ต้องมีการกำหนดหมายเลขไอพีให้กับ IPS แต่ปัญหาที่เกิดก็คือถ้าตัว IPS เกิดเสียและไม่สามารถพาสตัวเองได้ทำให้เกิดปัญหา

ในการรับส่งข้อมูลระหว่างต้นทางกับปลายทาง ถ้าตัดสินใจผิดการบล็อกแพ่คเก็ตที่คิดว่าเป็นการบุกรุกแต่จริง ๆ แล้วเป็นการใช้งานธรรมดาก็จะเกิดปัญหากับผู้ใช้งานทั่วไปได้เช่นกัน

ทำไมต้องมี IDS/IPS

IDS คือระบบใช้สำหรับการเฝ้าระวังหรือมอนิเตอร์เหตุการณ์ต่าง ๆ ที่เกิดขึ้นในระบบคอมพิวเตอร์หรือเครือข่ายและวิเคราะห์

เพื่อหาร่องรอยของการบุกรุก การพยายามที่จะทำลายความลับ ความถูกต้อง และความพร้อมใช้งาน การหลีกเลี่ยงระบบการรักษาความปลอดภัย

ของระบบคอมพิวเตอร์หรือเครือข่าย การบุกรุกเกิดจากผู้ที่บุกรุกเข้าถึงระบบอินเทอร์เน็ตIDS/IPS ทำหน้าที่ในการตรวจจับสิ่งผิดปกติเหล่านี้ รายงานให้ทราบพร้อมทั้งหยุดการบุกรุกได้ทันท่วงที

ปัจจุบันภัยคุกคามจากอินเทอร์เน็ต และเครือข่ายคอมพิวเตอร์อยู่ในระดับที่สูงมาก การติดตั้งไฟร์วอลล์อย่างเดียวคงไม่เพียงพอ IDS/IPS 

สิ่งที่จำเป็นที่ต้องมีในระบบการรักษาความปลอดภัยกล้องวงจรปิดในเครือข่ายของทุกองค์กร เหตุผลหลักว่าทำไมต้องมีระบบ IDS/IPS ในเครือข่ายมีดังนี้

- เพื่อเป็นเครื่องมือสำหรับการสืบสวนหาบุคคลที่กระทำการโจมตี บุกรุก หรือใช้ระบบในทางที่ผิด อาจนำไปสู่การดำเนินคดีและลงโทษตามกฎหมายต่อบุคคลเหล่านี้

- เพื่อตรวจจับการโจมตี การฝ่าฝืนข้อบังคับ หรือนโยบายของระบบการรักษาความปลอดภัยที่ไม่สามารถป้องกันได้จากระบบการรักษาความปลอดภัย

- เพื่อตรวจจับความพยายามที่จะบุกรุกเครือข่ายและป้องกันก่อนที่จะเกิดการโจมตีจริง ๆ

- เพื่อเก็บรวบรวมสถิติเกี่ยวกับความพยายามหรือการโจมตี และนำข้อมูลไปวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้นกับองค์กรได้

- เพื่อเป็นเครื่องมือในการวัดประสิทธิภาพในการป้องกันภัยของระบบการรักษาความปลอดภัยอื่น เช่น ไฟร์วอลล์ เป็นต้น

- เพื่อเป็นข้อมูลที่เป็นประโยชน์เมื่อมีการบุกรุกจริง ๆ เกิดขึ้น จะช่วยในการค้นหาส่วนที่โจมตี การกู้คือระบบหรือข้อมูล และการแก้ไขผลเสียที่เกิดจากการบะรุกและการป้องกันในอนาคตได้

อินเทอร์เน็ตในปัจจุบันมีเครื่องมือสำหรับแฮคเกอร์และสามารถหาดาวน์โหลดได้ง่าย  แฮคเกอร์ใช้เครื่องมือเหล่านี้ก็สามารถเจาะเข้าระบบได้ง่าย  

โดยส่วนใหญ่จะไม่มีระบบป้องกันที่ดีหรือรัดกุมเพียงพอ  เครือข่ายที่มีการเชื่อมต่อเข้ากับอินเทอร์เน็ต แม้จะมีการประกาศให้ทราบ

ต่อสาธารณะว่าระบบอะไรมีช่องโหว่อะไรบ้าง เพื่อให้เจ้าของหาทางป้องกันหรือปิดช่องโหว่  จุดอ่อนหรือช่องโหว่ของระบบนี้อาจไม่ได้รับแก้ไขจากเหตุผลดังนี้

- ระบบปฏิบัติการที่เก่าหรือล้าสมัยไปแล้วไม่สามารถแก้ไขช่องโหว่หรือจุดอ่อนที่ค้นพบได้

- แม้ว่าระบบปฏิบัติการจะมีแพตช์สำหรับแก้ไขช่องโหว่  ผู้ดูแลอาจไม่มีเวลาหรือไม่มีเครื่องมือที่จะคอยติดตามว่าเครื่องไหน

ที่ได้ติดตั้งแพตช์หรืออัพเดทเรียบร้อยแล้ว นี่เป็นปัญหาที่เกิดขึ้นเป็นประจำ  โดยเฉพาะกับเครือข่ายที่มีขนาดใหญ่หรือมีโฮสต์จำนวนมาก

- ผู้ใช้อาจมีความจำเป็นที่ต้องใช้ช่องโหว่หรือจุดอ่อนในการปฏิบัติงาน  ซึ่งอาจเป็นช่องโหว่ที่ผู้ไม่หวังดีอาจใช้ช่องโหว่เดียวกันในการทำลายระบบ

- ข้อผิดพลาดอาจเกิดจากผู้ใช้หรือผู้ดูแลระบบ  อาจเกิดขึ้นจากความไม่ได้ตั้งใจหรือเข้าใจผิด  หรือผู้ดูแลระบบอาจคอนฟิกระบบไม่ถูกต้อง

- ในการคอนฟิกระบบควบคุมการเข้าถึงระบบเพื่อให้เป็นไปตามนโยบายการรักษาความปลอดภัยหรือระเบียบการใช้งานคอมพิวเตอร์นั้น  

มีข้อขัดแย้งเกิดขึ้นเสมอ ซึ่งความขัดแย้งกันนี้อาจทำให้ผู้ใช้บางคนสามารถใช้งานระบบมากกว่าสิทธิ์ที่ได้รับอนุญาตก็ได้

นโยบายการรักษาความปลอดภัย (กล้องวงจรปิด)

นโยบายการรักษาความปลอดภัย

การใช้งานไฟร์วอลล์สิ่งที่สำคัญที่สุด การกำหนดนโยบายการรักษาความปลอดภัยกล้องวงจรปิด  แม้ว่าไฟร์วอลล์มีประสิทธิภาพและความปลอดภัยมาก

แต่ถ้ามีนโยบายการรักษาความที่หละหลวมไฟร์วอลล์ก็ไม่มีประโยชน์มากนัก การติดตั้งไฟร์วอลล์ควรำหนดนโยบายการรักษาความปลอดภัย

ที่สามารถควบคุมหรือป้องกันทราฟฟิก  อาจมีผลกระทบต่อการใช้งานเครือข่ายให้มากที่สุด  การนำนโยบายไปบังคับใช้ในไฟร์วอลล์

 กฏที่บังคับใช้นโยบายการรักษาความปลอดภัยในโฟร์วอลล์นั้นเรียกว่า ACL หรือไฟร์วอลล์รูล

สินค้าแนะนำ :    รั้วไฟฟ้ากันขโมย   กล้องวงจรปิด  สัญญาณกันขโมยไร้สาย

NAT (Network Address Translation)

ส่วนใหญ่ไฟร์วอลล์มีฟังก์ชัน NAT อยู่เป็นเทคโนโลยีที่ใช้สำหรับการแก้ปัญหาหมายเลขไอพีที่ใช้งานบนอินเทอร์เน็ต  

เมื่อเชื่อมต่อเข้ากับอินเทอร์เน็ตคอมพิวเตอร์ต้องมีหมายเลขไอพีจริงเพื่อคอมพิวเตอร์เครื่องอื่นบนอินเตอร์เน็ตจะได้ส่งแพ็กเก็ตกลับมาหาได้ 

 ซึ่งองค์กรกลางทำหน้าที่บริหารจัดการเกี่ยวกับการแจกหมายเลขไอพีเป็นลำดับชั้น  โดยแจกเป็นบล็อคของหมายเลขลงไปให้ผู้ให้บริการอินเทอร์เน็ต

ก็จะแจกจ่ายให้กับลูกค้าอีกทีหนึ่ง  สำหรับลูกค้าระดับองค์กร  ที่ต้องการเชื่อมต่อเครือข่ายขององค์กรกับอินเทอร์เน็ตผู้ดูแลระบบจะต้องมีการวางแผนเกี่ยวกับการใช้หมายเลขไอพีให้เพียงพอต่อความต้องการ

สิ่งที่ควรพิจารณา คือ

- ต้องวางแผนเกี่ยวกับการใช้หมายเลขไอพี ให้เพียงพอสำหรับคอมพิวเตอร์ในเครือข่าย

- โดยทั่วไปแล้วจะมีกลุ่มของไอพีบางส่วนที่อาจไม่ได้ใช้งาน

หลักการทำงานของ NAT

หลักการทำงานคล้ายกับสเตทฟูลอินสเปคชันไฟร์วอลล์แต่มีส่วนที่เพิ่มเติม คือ ไฟร์วอลล์จะเปลี่ยนแอดเดรสของทุกแพ็กเก็ตที่ต้องส่งออกไปข้างนอก   

NAT  เกตเวย์เมื่อได้รับแพ็กเก็ตจากคอมพิวเตอร์ภายในที่ใช้ไพรเวทไอพีจะต้องส่งต่อไปยังอินเทอร์เน็ต  จะบันทึกหมายเลขไอพี

ที่เป็นซอร์สแอดเดรส ซอร์สพอร์ต เดสติเนชันแอดเดรส  และเดสติเนชันพอร์ต  และจะเปลี่ยนซอร์สแอดเดรสเป็นหมายเลขไอพีจริงของไฟร์วอลล์แล้วค่อยส่งต่อไป

เซิร์ฟเวอร์ที่อยู่บนอินเทอร์เน็ตได้รับแพ็กเก็ตที่มาจากแอดเดรสของไฟร์วอลล์ก็จะตอบกลับมายังแอดเดรสนี้   เมื่อแพ็กเก็ตตอบกลับมาก็จะค้นหา

แอดเดรสและหมายเลขพอร์ตที่เก็บไว้ในเทเบิล เพื่อค้นหาว่าหมายเลขไอพีของคอมพิวเตอร์ที่ส่งการร้องขอไปในตอนแรกนั้นจะเปลี่ยนเดสติเตชันแอดเดรส

เป็นหมายเลขไอพีที่ค้นพบ  แล้วค่อยส่งต่อไปให้เครื่องอีกครั้ง

ข้อจำกัดของ  NAT 

NAT จะมีประโยชน์มากแต่เทคนิคที่ใช้แก้ไขปัญหาทำให้เกิดข้อจำกัดหลายอย่าง NAT เกตเวย์ส่วนใหญ่สามารถแทนค่าแอดเดรส

ที่เป็นข้อมูลที่อยู่ในเฮดเดอร์เท่านั้น อาจทำให้บางแอพพลิเคชันทำงานผ่าน NAT ไม่ได้เพราะแอพพลิเคชันอาจเก็บข้อมูลลางอย่างไว้ส่วนด้าต้าแพ็กเก็ต 

ส่วนใหญ่ผู้ใช้เชื่อมั่นใน NAT และไพรทอินเทอร์เน็ตแอดเดรส เครือข่ายภายในจะปลอดภัยจากการถูกโจมตี

หลักการพื้นฐานของการทำ NAT เฉพาะทราฟฟิกที่ออกไปข้างนอกเท่านั้น ทำให้ผู้โจมตีจากภายนอกไม่สามารถเชื่อมต่อโดยตรงกับคอมพิวเตอร์

ที่อยู่ในเครือข่าย แม้ว่าจะมีการอนุญาตให้ผ่านที่ไฟร์วอลล์ก็ตาม  การติดตอระหว่างภายในและภายนอกก็จะขาดกันโดยสิ้นเชิง  

การโจมตีของแฮคเกอร์นั้นจะทำในระดับแอพพลิเคชันไม่ใช่ในระดับแพ็กเก็ต  ผู้โจมตีอาจมีวิธีที่จะทำให้ผู้ใช้ภายใน

เริ่มการเชื่อมต่อไปหาเครื่องของแฮคเกอร์ก่อน  การเชื่อมต่อก็จะเกิดขึ้นทำให้ผู้โจมตีสามารถเจาะเข้ามาในระบบได้

Reverse NAT

ส่วนใหญ่ไฟร์วอลล์จะฟังก์ชันที่นอกเหนือจากการทำ NATReverse NAT เป็นบริการทำให้ผู้ใช้บนอินเทอร์เน็ตสามารถเข้าใช้บริการเซิร์ฟเวอร์ที่ภายในได้  

โดยการรีไดเร็คทราฟฟิกไปยังเครื่องใดเครื่องหนึ่งที่อยู่ในเครือข่าย  ประโยชน์ของการทำรีเวิร์ส NAT  เช่นเว็บเซิร์ฟเวอร์ที่อยู่ข้างนอก

ต้องการที่จะเข้าถึงดาตาเบสที่อยู่ข้างใน  การทำรีเวิร์ส NAT  เป็นการเปิดช่องโหว่ในเครือข่ายภายใน  ก่อนที่จะทำรีเวิร์ส NAT  ควรมีการศึกษาและควรดูแลความปลอดภัยสำหรับเซิร์ฟเวอร์เป็นพิเศษ

ไฟร์วอลล์จะทำหน้าที่ให้บริการแทนเซิร์ฟเวอร์ที่อยู่ภายใน  ไฟร์วอลล์ต้องมีหมายเลขไอพีจริงสำหรับทุก ๆ เซิร์ฟเวอร์ที่อยู่ภายในที่ต้องการทำรีเวิร์ส NAT  

ไฟร์วอลล์จะเก็บเทเบิลของหมายเลขไอพีจริงและหมายเลขไอพีภายในและจะค้นหาจากเทเบิลว่าจะส่งต่อแพ็กเก็ตไปให้เครื่องใด  

โดยเปลี่ยนเดสติเนชันแอดเดรสเป็นของเซิร์ฟเวอร์ภายในและซอร์สแอดเดรสเป็นของไฟร์วอลล์เอง  เมื่อได้รับการตอบกลับจากเซิร์ฟเวอร์ก็จะส่งต่อไป

ให้เคลเอนต์ที่อยู่บนอินเทอร์เน็ต และจะเปลี่ยนซอร์สแอดเดรสเป็นของไอพีจริงของไฟร์วอลล์เอง

Linux Firewall : iptables

ระบบปฏิบัติการโอเพ่นซอร์สที่ได้รับความนิยมมาก  ไม่ต้องเสียค่าลิขสิทธิ์เหมือนวินโดวส์หรือแมคอินทอช  การพัฒนาเคอร์เนลของลีนุกซ์มีส่วนที่เกี่ยวกับฟิลเตอร์แพ็กเก็ต  

ซอฟต์แวร์ส่วนนี้เรียกว่า iptables  เป็นไฟร์วอลล์ที่มีมากับลีนุกซ์นั่นเองสามารถทำแพ็กเก็ตฟิลเตอร์ริง และ NAT ได้  

และพัฒนาต่อจากเวอร์ชันเริ่มแรกที่เรียกว่า ipfwadm  ไฟร์วอลล์ของลีนุกซ์ได้พัฒนาภายใต้ชื่อเน็ตฟิลเตอร์

ซึ่งเป็นส่วนหนึ่งของเคอร์เนลของลีนุกซ์  มีฟังก์ชันเกี่ยวกับการจัดการเน็คเวิร์คสแต็ค iptables เป็นเทเบิลของรูลเซตหรือชุดของข้อกำหนด 

 แต่ละข้อกำหนดที่ผูกกับไอพีประกอบด้วยคลาสซิฟายเออร์และเป้าหมายที่ผูกติดกัน  ฟีเจอร์ที่สำคัญของเน็ตฟิลเตอร์

- แพ็กเก็ตฟิลเตอริง

- สเตทฟูลแพ็กเก็ตฟิลเตอริง

- รองรับ NAT และ NAPT

โปรโตคอล TCP/IP (กล้องวงจรปิด)

โปรโตคอล  TCP/IP

หลักการทำงานของไฟร์วอลล์การกรองแพ็กเก็ตที่วิ่งผ่านเข้าออกและจะบล็อกหรือทิ้งแพ็กเก็ตที่ไม่ได้อนุญาตและจะปล่อยให้แพ็กเก็ตที่อนุญาตผ่าน  

แต่ละระบบไฟร์วอลล์จะมีกฎหรือนโยบายเกี่ยวกับเรื่องนี้  ก่อนที่จะเขียนกฏจำเป็นต้องเข้าใจหลักการทำงานของโปรโตคอลที่ใช้ในระบบเครือข่ายก่อน  

แพ็กเก็ตคือชุดข้อมูลที่ส่งผ่านเครือข่าย  ส่วนจะมีข้อมูลที่จะระบุที่มาและที่ไปรวมถึงข้อมูลอื่น  ๆ  ที่ระบุถึงข้อมูลที่ส่งมาด้วย

กฎของโฟร์วอลล์จะใช้ข้อมูลเหล่านี้ในการระบุว่า  แพ็กเก็ตใดที่จะให้ผ่านหรือไม่ให้ผ่าน   การเข้าใจในหลักการทำงานของโปรโตคอล

เป็นความรู้พื้นฐานที่สำคัญในการเขียนนโยบายการรักษาความปลอดภัย  การทบทวนหลักการทำงานของโปรโตคอล TCP/IP 

เพราะไฟร์วอลล์จะใช้ข้อมูลจากแพ็กเก็ตพิจารณาว่าจะให้ผ่านหรือไม่ผ่าน   กระบวนการสื่อสารผ่านเครือข่ายเป็นสิ่งที่สำคัญก่อนที่จะเข้าใจแล้ว

หลักการทำงานของไฟร์วอลล์ต้องเข้าถึงและวิเคราะห์ข้อมูลในส่วนของเฮดเดอร์ในแต่ละเลเยอร์ซึ่งบรรจุข้อมูลแตกต่างกันไป   

การที่จะเป็นผู้ดูแลระบบไฟร์วอลล์จำเป็นต้องทำความเข้าใจหลักการทำงานของชุดโปรโตคอล  TCP/IP

สินค้าแนะนำระบบรักษาควาปลอดภัย :   รั้วไฟฟ้ากันขโมย   สัญญาณกันขโมยไร้สาย   กล้องวงจรปิด

ประเภทของไฟร์วอลล์

เกณฑ์ที่ใช้ในการแบ่งไฟร์วอลล์นั้นสามารถแบ่งออกได้หลายประเภทขึ้นอยู่กับเกณฑ์ที่ใช้โดยปกติแบ่งออกเป็น 2 ประเภท คือ 

โฮสต์เบสไฟร์วอลล์ และ เน็ตเวิร์ตไฟร์วอลล์  ชื่อแต่ละประเภทจะบอกความหมายของไฟร์วอลล์นั้น ๆ  โฮสต์เบสโฟร์วอลล์เป็นซอฟต์แวร์ที่ติดตั้งบนโฮสต์หรือคอมพิวเตอร์  

เพื่อปกป้องระบบคอมพิวเตอร์นั้น ๆ ส่วนเน็ตเวิร์คไฟร์วอลล์จะหมายถึงไฟร์วอลล์ที่ติดตั้งบนเครือข่าย  เพื่อควบคุมทราฟฟิกที่วิ่งระหว่างเครือข่ายที่ไฟร์วอลล์นั้นกั้นอยู่

                    โฮสต์เบสไฟร์วอลล์       มีหลักการทำงานที่งง่ายและราคาถูก  ทำหน้าที่ปกป้องคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง  

เช่น  วินโดวส์ไฟร์วอลล์ที่มีมาพร้อมกับระบบวินโดวส์  ส่วนเน็ตเวิร์คไฟร์วอลล์สามารถปกป้องคอมพิวเตอร์ได้หลายเครื่อง  

ซึ่งเน็ตเวิร์คไฟร์วอลล์แต่ละยี่ห้อก็มีความแตกต่างกัน  บางยี่ห้อก็เป็นไฟร์วอลล์ธรรมดา  ที่อาจจะแพงกว่าเพอร์ซันนอลไฟร์วอลล์ เช่น  DSL  

เราท์เตอร์ส่วนใหญ่จะมีเทคโนโลยีนี้  เน็ตเวิร์คไฟร์วอลล์ส่วนใหญ่จะทำได้แต่แพ็กเก็ตฟิลเตอริง  และมีน้อยมากที่สามารถกรองแพ็กเก็ตในระดับแอพพลิเคชัน

                     เน็ตเวิร์คโฟร์วอลล์        ออกแบบมาสำหรับเน็ตเวิร์คขนาดใหญ่และซับซ้อน  เพราะสามารถรองรับการใช้งานได้หลายยูสเยอร์ในเวลาเดียวกัน  มีทรูพุตที่มากกว่า  และมีฟีเจอร์ชั้นสูงอื่น ๆ  เช่น

- ทำหน้าที่เป็น VPN เกตเวย์

- ความสามารถในการบริหารไฟร์วอลล์หลาย  ๆ  เครื่องจากที่เดียว

- สามารถมอนิเตอร์ทราฟฟิกและสร้างรายงานเกี่ยวกับการใช้งานได้

- สามารถทำหนดนโยบายการรักษาความปลอดภัยที่ประยุกต์ใช้กับแต่ละยูสเซอร์ได้

- รองรับการพิสูจน์ทราบตัวตนได้หลายรูปแบบ

- มีความเชื่อถือได้สูง  ซึ่งอาจทำเป็นโหลดบาลานซิ่งและเฟลโอเวอร์ได้

                      เน็ตเวิร์คไฟร์วอลล์ทำหน้าที่ป้องกันเครือข่ายภายในจากภัยคุกคามจากภายนอก  และการเฝ้าระวังทราฟฟิกที่วิ่งเข้าและออกจาเครือข่าย  

ส่วนฮสต์เบสไฟร์วอลล์ที่มีอยู่ในระบบวินโดวส์ทำหน้าที่ในการป้องกันคอมพิวเตอร์แต่ละเครื่องจากภัยคุกคามทางเครือขายที่เครื่องนั้นเชื่อมอยู่  

การใช้การไหลของข้อมูลเป็นเกณฑ์ในการแบ่งประเภทของไฟร์วอลล์  การใช้เลเยอร์การทำงานของไฟร์วอลล์สามารถแบ่งออกได้เป็น  4  ประเภทคือ

- Packet Filtering Firewall

- Stateful Inspection Firewall

- Application Layer Firewall

- Next Generation Firewall

Packer Filtering Firewall     ไฟร์วอลล์ที่ทำงานในระดับเน็ตเวิร์คเลเยอร์ทำหน้าที่เป็นเราท์เตอร์และไฟร์วอลล์ในตัวเดียวกันและจะถอดแพ็กเก็ต

เพื่ออ่านข้อมูลในส่วนเฮดเดอร์ และนำมาเปรียบเทียบกับกฏที่กำหนดการรักษาความปลอดภัย ถ้าผ่านแพ็กเก็ตก็จะอนุญาตให้ส่งต่อไปปลายทางและถ้าไม่ผ่านก็จะถูกทิ้งไป

Stateful Inspection Firewall    ทำงานในทรานสปอร์ตเลเยอร์โดยจะถอดแพ็กเก็ตไปจนถึงโปรโตคอลที่อยู่ในชั้นนั้น   

และใช้ข้อมูลที่อยู่ในเฮดเดอร์ของแพ็กเก็ตนำมาเป็นกฎหรือนโยบายการรักษาความปลอดภัย  โปรโตคอลในระดับทรานสปอร์ตเช่น TCP 

มีการสร้างคอนเน็กชันซึ่งไฟร์วอลล์จำเป็นต้องทราบเกี่ยวกับการสร้างคอนเน็กชันด้วยการเก็บข้อมูลเป็นการสร้างสถานะหรือสเตท

ของการเชื่อมต่อและเป็นที่มาของ “สเตทฟูลอินสเปคชันไฟร์วอลล์” ถึงไฟร์วอลล์ประเภทนี้ทำงานในเลเยอร์ที่สี่แต่ยังคงฟังก์ชันการทำงานในเลเยอร์ที่สามเหมือนเดิม

Application Layer Firewall   ไฟร์วอลล์ทำงานในระดับแอพพลิเคชัน โปรแกรมที่รันบนระบบทั่ว ๆ ไป จะมีเน็ตเวิร์คการ์ดหลายใบเพื่อเชื่อมต่อเครือข่ายต่าง ๆ 

การรักษาความปลอดภัยจะเป็นสิ่งที่กำหนดว่า ทราฟฟิกใดสามารถถ่ายโอนระหว่างเครือข่ายได้ ถ้าไม่ได้ระบุว่าทราฟฟิกไหนที่อนุญาต

ให้ผ่านได้ก็จะไม่ส่งผ่านหรือทิ้งแพ็กเก็ตนั้นทันที นโยบายจะถูกบังคับใช้โดยพร็อกชี่ในไฟร์วอลล์ระดับแอพพลิเคชันทุก ๆ โปรโตคอลที่อนุญาต

ให้ผ่านได้จะต้องมีพร็อกชี่สำหรับโปรโตคอลนั้น ๆ พร็อกชี่ที่ดีที่สุดเป็นพร็อกชี่ที่ออกแบบมาสำหรับจัดการเก็บโปรโตคอลนั้นโดยเฉพาะ 

ปัจจุบันไฟร์วอลล์ส่วนใหญ่ที่ทำงานในระดับแอพพลิเคชันจะมีพร็อกชี่สำหรับโปรโตคอลที่นิยมใช้และถ้าโปรโตคอลไหนไม่มีพร็อกชี่ก็สามารถผ่านไฟร์วอลล์ได้  

การเชื่อมต่อทั้งหมดจะสิ้นสุดที่ไฟร์วอลล์เครื่องที่อยู่ภายนอกจะมองเห็นเฉพาะหมายเลขไอพีของไฟร์วอลล์เท่านั้น  ผู้บุกรุกไม่รู้โครงสร้างภายในโอกาสเจาะระบบได้ก็น้อยลง

Next Generation Firewall   ส่วนใหญ่ในปัจจุบันไฟร์วอลล์จะทำงานในระดับแอพพลิชันเลเยอร์สามารถตรวจสอบแพ็กเก็ตในระดับแอพพลิเคชันได้

และทำงานจนถึงแอพพลิเคชันเลเยอร์  และที่สำคัญการควบคุมแอพพลิเคชันที่ใช้ผ่านเครือข่าย การตรวจสอบเนื้อหาของข้อมูลที่รับส่ง 

หรือการตรวจสอบแพ็กเก็ตเชิงลึก  เน็กซ์เจนเนอร์เรชันไฟร์วอลล์รู้เกี่ยวกับพฤติกรรมแอพพลิเคชันนั้น ๆ

วิธีการแก้ไขโดยการตรวจสอบแพ็กเก็ตข้อมูลในส่วนหัวแพ็กเก็ตรวมถึงข้อมูลที่อยู่ในแพ็กเก็ตนั้น  ข้อมูลบางอย่างจะบอกว่าเป็นแพ็กเก็ตที่ส่งมาจากแอพพลิชันใด  

ทำให้สามารถเลือกบล็อกแต่ละแอพพลิเคชันได้  ข้อมูลที่บ่งบอกลักษณะเฉพาะของแต่ละแอพพลิเคชัน  เรียกว่า ซิกเนเจอร์ 

ซึ่งข้อมูลนี้เน็กซ์เจนไฟร์วอลล์จะใช้สำหรับบล็อคแอพพลิเคชันนั้น ๆ   เน็กซ์เจนเนอร์เรชันไฟร์วอลล์


เป็นไฟร์วอลล์ที่มีความสามารถในการมองเห็นแอพพลิเคชันและมีความสามารถอื่น ๆ ในการตรวจจับการโจมตีแบบต่าง ๆ 

ทั้งแบบระบบการตรวจสอบการใช้ซิกเนเจอร์  การตรวจสอบพฤติกรรมที่ผิดปกติ  ความสามรถพื้นฐานที่อุปกรณ์เน็กซ์เจนเนอเรชันไฟร์วอลล์ต้องทำได้มีดังนี้

- ต้องสามารถระบุและกรองแอพพลิเคชันได้

- ต้องทำงานตามมาตรฐานของอุปกรณ์ไฟร์วอลล์มาตรฐานได้

- สามารถป้องกันการโจมตี

- สามารถทำ SSL inspection ได้เพื่อป้องกันแอพพลิเคชันที่อาศัยช่องโหว่ได้

- สามารถทำ Malware filtering โดยสามารถตรวจสอบและป้องกันโปรแกรมต่างๆ

สนใจติดตั้งกล้องวงจรปิด >>> บริษัท มีเดีย เสิร์ซ จำกัด โทร. 02-8883507-8, 081-700-4715

การเจาะไวร์เลสแลน (กล้องวงจรปิด)

การเจาะไวร์เลสแลน

เครือข่ายไวร์เลสแลนสามารถทำได้ถ้าเครือข่ายนั้นไม่มีการป้องกันหรือไม่มีการพิสูจน์ทราบตัวตนรวมทั้งไม่มีการเข้ารหัสใด  ๆ  แต่เลือกเครือข่ายหรือ SSID  

ถ้ามีการพิสูจน์ทราบตัวตนหรือมีการเข้ารหัสซึ่งมีอยู่  3  แบบคือ  WEP, WPA, WPA2   การเข้ารหัสก็สามารถถอดรหัสได้ง่ายกว่าแบบอื่น  ๆ  

ขั้นตอนการเจาะระบบไวร์เลสแลนก็ง่าย คือ ขั้นแรกโดยการใช้เครื่องมือในการสแกนเครือข่าย   โดยเครื่องมือเหล่านี้จะมีการดักจับแพ็กเก็ต

ที่ส่งผ่านเครือข่ายไวร์เลสแลน  และเก็บบันทึกไว้จำนวนหนึ่งขึ้นอยู่กับความยากง่ายของรหัสผ่านแล้วนำที่จัดเก็บแพ็กเก็ตนี้ไปถอดรหัส  โดยใช้ซอฟต์แวร์ในการแคร็ทรหัสผ่าน

Firewall

- รู้และเข้าใจหลักการทำงานของไฟร์วอลล์

- รุ้และเข้าใจหลักการทำงานของโปรโตรคอล  TCP/IP

- รู้และเข้าใจ  Port Number ของ โปรโตรคอล TCP และ UDP  และการนำไปใช้ในกฎของไฟร์วอลล์

- รู้และเข้าใจประเภทของไฟร์วอลล์

- รู้และเข้าใจหลักการทำงานของระบบ NAT

                       อินเทอร์เน็ตในปัจจุบันมีผู้ใช้เกินครึ่งของคนทั่วโลกและเกือบทุกองค์กรได้มีการเชื่อมต่อเครือข่ายของตนเองกับอินเทอร์เน็ตเพื่อให้บริการต่าง ๆ  

และให้พนักงานได้ใช้ประโยชน์จาแหล่งที่มีข้อมูลมหาศาล  ประโยชน์ที่ได้รับจากการเชื่อมต่อนี้มีมากมาย  แต่ในทางที่ทำให้เกิดโทษนั้นอาจมีอย่างมหาศาลเช่นกัน

                        ไฟร์วอลล์      เป็นกำแพงที่สร้างมาเพื่อป้องกันไม่ให้ไฟไหม้ลามผ่านกำแพงทำให้พื้นที่ที่อยู่ข้างกำแพงไหม้  ไฟร์วอลล์นั้นจะปลอดภัยจากการถูกไฟไหม้    

ส่วนไฟร์วอลล์ในสังคมไอทีนั้นคืออุปกรณ์รักษาความปลอดภัยที่ถูกใช้สำหรับการป้องกันไม่ให้ “ไฟ”  จากเครือข่ายอินเทอร์เน็ตลามเข้ามาภายในเครือข่าย LAN  

ส่วนบุคคล หรืออาจถูกใช้เพื่อป้องกันไม่ให้ผู้ใช้อยู่ใน LAN ออกไปโดน “ไฟ”  ในเครือข่ายอินเทอร์เน็ตภายนอกได้ 

การที่เครือข่ายองค์กรเชื่อมต่อโดยตรงกับอินเทอร์เน็ต  ที่ไม่มีไหร์วอลล์เป็นการเปิดช่องโหว่ให้เครือข่ายถูกโจมตีหรือบุกรุกได้อย่างง่ายดาย  

การติดตั้งไฟร์วอลล์จะเป็นด่านแรกของการป้องกันการโจมตีจากมัลแวร์หรือแฮคเกอร์จากภายนอก

สินค้าแนะนำ  :    รั้วไฟฟ้า   สัญญาณกันขโมยไร้สาย  กล้องวงจรปิด

หลักการทำงานของไฟร์วอลล์

ภัยคุกคามที่เกิดขึ้นทางไซเบอร์ที่สำคัญมี  2  ประเภทคือ  มัลแวร์และแฮคเกอร์  ข้อแตกต่างของมัลแวร์เป็นโปรแกรมที่ทำงานแบบอัตโนมัติ  

ส่วนแฮคเกอร์นั้นผู้ที่ใช้โปรแกรมรวมถึงมัลแวร์ในการโจมตีระบบอีกที   แต่ไม่ว่าจะเป็นมัลแวร์และแฮคเกอร์ขั้นตอนที่ทำจะเหมือนกัน  

ขั้นแรกจะค้นหาช่องโหว่เมื่อพบแล้วก็เจาะระบบผ่านช่องโหว่ที่พบนั้น  หลักการทำงานของไฟร์วอลล์อย่างง่าย  ๆ  ก็คือปิดช่องโหว่เหล่านั้น  ถ้าไม่มีช่องโหว่มัลแวร์และแฮคเกอร์ก็ไม่สามารถโจมตีได้ 

ไฟร์วอลล์เป็นการป้องกันอีกชั้นหนึ่งแม้ว่าไฟร์วอลล์จะไม่สามารถป้องกันการบุกรุกได้สมบูรณ์ร้อบเปอร์เซ็นต์ 

 แต่ก็สามารถหน่วงเวลาให้กับผู้ที่พยายามบุกรุกเข้ามาทำอะไรไม่ดีได้  การลงทุนกับไฟร์วอลล์นั้นควรสัมพันธ์และสอดคล้องกับความเสียหายที่อาจเกิดขึ้นถ้าการโจมตีสำเร็จ  

ความสัมพันธ์และสอดคล้องจะได้จากกระบวนการประเมินความเสี่ยงนั่นเอง 

อุปกรณ์ด้านการรักษาความปลอดภัยกล้องวงจรปิด  จำเป็นต้องมีการเชื่อมต่อเข้ากับอินเทอร์เน็ต  เหตุผลหลักที่มีการใช้ไฟร์วอลล์ก็เพื่อให้ผู้ใช้ที่อยู่ภายใน

สามารถใช้บริการภายในและอินเทอร์เน็ตได้เต็มที่  ขณะที่ไฟร์วอลล์จะป้องกันไม่ให้ผู้ใช้ภายนอกเข้ามาใช้บริการเครือข่ายที่อยู่ภายในได้ 

 ไฟร์วอลล์สามารถควบคุมการใช้เครือข่ายได้  โดยอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่านได้

ซึ่งแพ็กเก็ตที่อนุญาตให้ผ่านหรือไม่นี้  จะขึ้นอยุ่กับนโยบายการรักษาความปลอดภัยของเครือข่าย  ไฟร์วอลล์เป็นระบบที่บังคับใช้นโยบายการรักษาความปลอดภัยระหว่างเครือข่าย  

โดยหลักการแล้วไฟร์วอลล์ทำงานอยู่สองกลไกคือ การอนุญาตหรือไม่อนุญาตให้แพ็กเก็ตผ่าน

มาตรฐาน IEEE802.11i (กล้องวงจรปิด)

มาตรฐาน IEEE802.11i

เมื่อมีการพิสูจน์ว่าระบบพิสูจน์ทราบตัวตน และการเข้ารหัสข้อมูลที่กำหนดในมาตรฐาน IEEE802.11 ไม่ปลอดภัยแล้ว IEEE ได้มีการพัฒนาระบบการรักษาความปลอดภัยกล้องวงจรปิดให้ไวร์เลสแลน  

ซึ่งก็ได้มาตรฐาน IEEE 802.11i การเข้ารหัสข้อมูลของ WEP เป็นส่วนหนึ่งของกลไกของการรักษาความปลอดภัย  ซึ่งถ้ามีแค่ WEP 

จะไม่เพียงพอแน่นอน WEP เป็นการเข้ารหัสข้อมูลที่รับส่งระหว่างสองโหนดเท่านั้น  แต่ถ้ากลไกการรักษาความปลอดภัยที่สมบูรณ์นั้นจะประกอบดังนี้

- โครงสร้างในการพิสูจน์ทราบตัวตน

- ขั้นตอนในการพิสูจน์ทราบตัวตน

- การรักษาความลับของข้อมูลและอัลกอริทึมที่ใช้ในการเข้ารหัส

สามส่วนนี้มีการกำหนดไว้ในมาตรฐาน IEEE 802.11i  มีข้อกำหนดดังนี้

- ใช้โครงสร้างการพิสูจน์ทราบตัวตนตามมาตรฐาน IEEE 802.1X  มาตรฐานนี้เป็นกลไกที่ทำงานใน MAC เลเยอร์  มาตรฐานนี้จะใช้ในการพิสูจน์ทราบตัวตนทั้งในเครือข่าย LAN และ WLAN  ให้มีความปลอดภัยสูงขึ้น

- โปรโตคอล EAP เป็นโปรโตคอลที่ใช้สำหรับการพิสูจน์ทราบตัวตนของผู้ใช้  โดยสามารถรองรับการพิสูจน์จากส่วนกลาง

สินค้าแนะนำระบบรักษาความปลอดภัย :  รั้วไฟฟ้า  สัญญาณกันขโมย  กล้องวงจรปิด

มาตรฐาน IEEE 802.1X

เฟรมเวิร์คสำหรับการพิสูจน์ทราบตัวตนของอุปกรณ์ต่าง  ๆ  ที่เชื่อมต่อเข้ากับเครือข่ายโดยไม่จำกัดเฉพาะไวร์เลสแลนเท่านั้น  

กลไกการทำงานจะไม่อนุญาตให้เข้าถึงเครือข่ายจนกว่าจะผ่านการพิสูจน์ทราบว่าอุปกรณ์นั้นมีสิทธิ์จริง  การพิสูจน์ทราบตัวตนแล้ว IEEE 802.1X 

ยังเป็นเฟรมเวิร์คสำหรับการแลกเปลี่ยนคีย์ที่ใช้สำหรับการเข้ารหัสข้อมูลด้วย  และเป็นมาตรฐานสำหรับการควบคุมการเข้าถึงเครือข่ายในระดับพอร์ต

โดยใช้โปรโตคอล EAP ในการแลกเปลี่ยนข้อมูล อุปกรณ์เครือข่ายที่รองรับมาตรฐานนี้  สามารถป้องกันการเข้าถึงเครือข่ายสำหรับอุปกรณ์หรือไคลเอนต์ที่ไม่ได้รับอนุญาต

องค์ประกอบของการพิสูจน์ทราบตัวตนแบบ IEEE 802.1X

การพิสูจน์ทราบตัวตนตามมาตรฐาน IEEE 802.1X  ต้องมีองค์ประกอบ 3 ส่วนดังนี้

- Supplicant       คือไคลเอนต์ที่เชื่อมต่อเข้ากับไวร์เลสแลน

- Authenticator    คือแอ็กเซสพอยต์ที่ทำหน้าที่เป็นตัวกลางในการพิสูจน์ทราบตัวตน

- Authentication Server    คือเซิร์ฟเวอร์ที่ทำหน้าที่ในการพิสูจน์ทราบตัวตน  โดยส่วนใหญ่จะใช้
RADIUS เซิร์ฟเวอร์

                     การติดตั้งระบบเครือข่าย WLAN มีความปลอดภัยสูงโดยใช้ IEEE 802.1X  จะต้องมีองค์ประกอบ 3 อย่างคือ 

อุปกรณ์เครือข่ายที่สามรถส่งผ่านข้อมูลไปยัง RADIUS ด้วย IEEE 802.1X ได้  เซิร์ฟเวอร์ RADIUS ที่สามารถทำงานร่วมกับ EAP ที่ต้องการได้ 

 ซอฟต์แวร์สำหรับไคลเอนต์ซึ่งสามารถทำงานร่วมกับ RADIUS และ IEEE 802.1X ได้

Supplicant

ซอฟต์แวร์ไคลเอนต์ที่สามารถทำงานร่วมกับ RASIUS และ IEEE 802.1X  ซอฟต์แวร์ ACU สำหรับอุปกรณ์ IEEE 802.11 WLAN ของ Cisco  

ซึ่งสามารถใช้งานกับ LEAP บนระบบปฏิบัติการวินโดวส์  สำหรับวินโดวส์ XP มีซอฟต์แวร์ที่มากับระบบเพื่อทำให้อุปกรณ์ IEEE 802.11 WLAN 

สามารถใช้งานกับ EAP-TLS และ EAP-MD5  แต่ต้องมีการใช้เซอร์ติฟิเกตที่ออกโดยไมโครซอฟท์อย่างถูกต้อง

Authenticator

อุปกรณ์แม่ข่าย IEEE 802.11 WLAN ที่ผลิตมาสำหรับขายในตลาดสำนักงานมีความสามารถในการส่งผ่านงข้อมูลไปยัง RADIUS ด้วย IEEE 802.1X  ได้อยู่แล้ว  

หรือไม่ก็สามารถปรับปรุงเฟิร์มแวร์เพื่อให้ใช้กับ IEEE 802.1X ได้  ส่วนอุปกรณ์ IEEE 802.11 WLAN  ที่มีราคาต่ำส่วนใหญ่จะไม่รองรับ IEEE 802.1X ได้

การรักษาความปลอดภัยในระดับเน็ตเวิร์ค (กล้องวงจรปิด)

การรักษาความปลอดภัยในระดับเน็ตเวิร์คเลเยอร์

                     การเข้ารหัสข้อมูลในเลเยอร์ที่เหนือกว่าระดับเน็ตเวิร์ค  ซึ่งแอพพลิเคชันกล้องวงจรปิดที่ใช้งานโปรโตคอล  

ส่วนใหญ่จะเป็นแอพพลิเคชันที่พัฒนาขึ้นมาพิเศษเพื่อรองรับโปรโตคอลเหล่านั้นด้วย  จึงจะสามารถปกป้องข้อมูลที่รับส่งผ่านเครือข่ายได้  

ถ้ามีการเข้ารหัสข้อมูลในระดับที่ต่ำลงมาแอพพลิเคชันต่าง  ๆ  ก็ไม่จำเป็นต้องออกแบบพิเศษเพื่อรองรับโปรโตคอลที่ให้บริการการรักษาความปลอดภัยข้อมูล  

โปรโตคอลที่มีการรักษาความปลอดภัยในระดับเครือข่าย เช่น VPN  ซึ่งเป็นโปรโตคอลย่อยที่นิยมนั่นเอง

Wireless LAN Security

วัตถุประสงค์

- รู้และข้าใจมาตรฐาน Wireless LAN

- รู้และเข้าใจการพิสูจน์ทราบตัวตนของ Wireless LAN

- รู้และเข้าใจมาตรฐาน IEEE 802.11i และ IEEE 802.1X

- รู้และเข้าใจการเข้ารหัสข้อมูลแบบ WEP, WPA, WPA2

- รู้และเข้าใจเครื่องมือต่าง  ๆ  ที่ใช้กับ Wireless LAN

สินค้าแนะนำ  :    รั้วไฟฟ้ากันขโมย     สัญญาณกันขโมยไร้สาย    กล้องวงจรปิด

มาตารฐานไวร์เลสแลน

มาตรฐานนี้จะรองรับแบนด์วิธแต่ข้อจำกัดของมาตรฐานนี้คือ  ความถี่  เนื่องจากมาตรฐานนี้ใช้ความถี่ที่ 5 GHz   ซึ่งบางประเภทนั้นต้องขออนุญาตก่อนถึงจะใช้งานได้  IEEE  

จึงได้ตั้งทีมงานขึ้นมาอีกหนึ่งกลุ่มเพื่อพัฒนามาตรฐานอีกมาตรฐานหนึ่งคือ IEEE 802.11g  ซึ่งใช้ความถี่ 2.4 GHz  และสามารถรองรับแบด์วิธได้ถึง 54 Mbps

การพิสูจน์ทราบตัวตนของไวร์เลสแลน

                      มาตรฐานการพิสูจน์ทราบตัวตน  IEEE 802.11   คือ การพิสูจน์ทราบตัวตนของเครื่องไคลเอนต์หรืออุปกรณ์เครือข่ายไร้สาย  

ไม่ใช่การพิสูจน์ทราบตัวตนของผู้ใช้   มาตรฐานแล้วมีการพิสูจน์ทราบตัวตนอยู่  2  วิธีคือ  การพิสูจน์ทราบตัวตนแบบเปิด  

และการพิสูจน์ทราบตัวตนแบบใช้แชร์คีย์  การพิสูจน์ทราบตัวตนของไคลเอนต์  มีขั้นตอนดังนี้

- ไคลเอนต์ทำการบรอดคาสต์การร้องขอเพื่อขอเชื่อมต่อไปทุกช่องสัญญาณ

- แอ็กเซสพอยต์ที่อยู่ในพื้นที่ตอบกลับการร้องขอของไคลเอนต์

- ไคลเอนต์พิจารณาว่าแอ็กเซสพอยต์ไหนดีที่สุด  และส่งการร้องขอเพื่อพิสูจน์ทราบตัวตน

- ถ้าการพิสูจน์ทราบตัวตนสำเร็จ  ไคลเอนต์ก็จะส่งข้อมูลที่เหลือกลับให้แอ็กเซสพอยต์

- แอ็กเซสพอยต์ตอบกลับการได้รับข้อมูลที่เหลือ

- หลังจากนี้ไคลเอนต์ก็พร้อมที่จะรับส่งข้อมูลผ่านเครือข่าย

การพิสูจน์ทราบตัวตนแบบเปิด

ขั้นตอนนั้นค่อนข้างง่ายเพราะแอ็กเซสพอยต์จะอนุญาตให้เชื่อมต่อกับทุก ๆ การร้องขอ  อาจดูเหมือนว่าไม่มีประโยชน์เลยแต่ก็ได้กำหนดไว้ในมาตรฐาน 802.11  ซึ่งกำหนดให้เป็นแบบคอนเน็กซันโอเรียนเต็ล

การออกแบบนี้ก็เพื่อให้ใช้งานง่ายและสามารถเชื่อมต่อเข้ากับเครือข่ายได้อย่างรวดเร็ว  อุปกรณ์ที่รองรับมาตรฐาน 802.11  

ส่วนใหญ่เป็นอุปกรณ์ประเภทมือถือ  ซึ่งอุปกรณ์เหล่านี้มีซีพียูที่มีประสิทธิภาพต่ำ  และไม่สามารถรองรับอัลกอริทึมสำหรับการพิสูจน์ทราบตัวตนที่ซับซ้อนได้  

การพิสูจน์ทราบตัวตนแบบเปิดนั้น  จะมีการรับส่งเฟรมข้อมูลอยู่สองประเภทคือ

- เฟรมการร้องขอการเชื่อมต่อ

- เฟรมการตอบกลับการร้องขอ

                     การพิสูจน์ทราบตัวตนแบบเปิดนั้นอนุญาตให้ทุก  ๆ  ไคลเอนต์เชื่อมต่อเครือข่ายได้  ถ้าไม่มีการใช้การเข้ารหัสข้อมูล  

ทุก ๆ เครื่องไคลเอนต์ที่ทราบหมายเลข SSID ก็สามารถเข้าถึงเครือข่ายได้  ถ้าใช้ WEP  ในการเข้ารหัสข้อมูลคีย์ที่ใช้กับ WEP 

ก็ใช้สำหรับการพิสูจน์ทราบตัวตน  แม้ว่าการพิสูจน์ทราบตัวตนของเครื่องไคลเอนต์ในตอนต้นจะผ่าน

แต่ถ้าเครื่องไคลเอนต์ไม่มี WEP คีย์ก็จะไม่สามารถรับส่งข้อมูลกับแอ็กเซสพอยต์ได้  เนื่องจากไคลเอนต์ไม่สามารถถอดรหัสข้อมูลที่ได้รับจากตัวแอ็กเซสพอยต์ได้  

การพิสูจน์ทราบตัวตนแบบเปิดนี้  จะไม่สามารถพิสูจน์ได้ว่าไคลเอนต์เป็นใคร  และถ้าไม่มีการใช้ WEP แล้ววิธีนี้เป็นช่องโหว่ที่อันตรายของไวร์เลสแลน  

ถ้าเลือกที่จะใช้วิธีนี้ก็ควรใช้ WEP ควบคู่ไปด้วย  แต่ถ้าไม่สามารถใช้ WEP ได้ เช่น เครือข่ายสาธารณะ  ก็ควรใช้ระบบการรักษาความปลอดภัยในเลเยอร์ที่สูงว่า

การพิสูจน์ทราบตัวตนแบบแชร์คีย์

วิธีที่กำหนดในมาตรฐาน IEEE 802.11  วิธีนี้ไคลเอนต์จะต้องกำหนดคีย์ WEP แบบตายตัวในทุก ๆ เครื่อง  มีขั้นตอนการพิสูจน์ทราบตัวตนดังนี้

- ไคลเอนต์ส่งการร้องขอไปยังแอ็กเซสพอยต์  และระบว่าต้องการใช้การพิสูจน์ทราบตัวตนแบบแชร์คีย์

- แอ็กเซสพอยต์ตอบกลับการร้องขอพร้อมกับชาลเลนจ์เท็กซ์ซึ่งเป็นข้อความแบบสุ่ม

- ไคลเอนต์ได้ชาลเลนจ์เท็กซ์แล้วเข้ารหัสด้วย WEP  คีย์ที่กำหนดไว้ก่อนหน้าแล้วส่งข้อความนี้กลับไปให้กับแอ็กเซสพอยต์

- ถ้าแอ็กเซสพอยต์สามารถถอดรหัสข้อความ  และเปรียบเทียบกับชาลเลนจ์เท็กซ์เดิมแล้วตรงกัน  แอ็กเซสพอยต์ก็จะส่งการอนุญาตให้เชื่อมต่อเครือข่ายได้กลับไปยังไคลเอนต์



                    การพิสูจน์ทราบตัวตนแบบแชร์คีย์จะใช้ WEP คีย์ในการเข้ารหัสชาลเลนจ์เท็กซ์ที่ส่งจากแอ็กเซสพอยต์ไปให้ไคลเอนต์  

คีย์นี้จะกำหนดให้แต่ละไคลเอนต์ก่อนหน้าที่จะมีการเชื่อมต่อเข้ากับเครือข่ายแอ็กเซสพอยต์จะพิสูจน์ทราบตัวตนของไคลเอนต์ 

 การถอดรหัสชาลเลนจ์เท็กซ์ที่ส่งกับมาจากไคลเอนต์และเปรียบเทียบกับชาลเลนจ์เท็กซ์ที่ส่งให้ไคลเอนต์ในตอนแรก

กระบวนการแลกเปลี่ยนชาลเลนจ์เท็กซ์นั้นมีการส่งงผ่านอากาศเป็นจุดอ่อนที่อาจถูกโจมตีแบบแมนอินเดอะมิดเดิล  

จากผู้แอบดักอ่านสามารถดักจับชาลเลนจ์เท็กซ์ทั้งที่ยังไม่เข้ารหัสและที่เข้ารหัสแล้ว  ข้อมูลนี้สามารถนำไปใช้ในการวิเคราะห์หา WEP 

คีย์ได้ไม่ยากนัก  การเข้ารหัสโดย WEP นั้นทำโดยการทำ XOR ระหว่างเพลนเท็กซ์และคีย์  จะได้เป็นไซเฟอร์เท็กซ์  การคำนวณหา WEP คีย์นั้นทำได้โดยการ XOR ระหว่างเพลนเท็กซ์และไซเฟอร์เท็กซ์

ถ้าผู้บุกรุกต้องการที่จะทราบ WEP คีย์ก็ใช้โปรโตคอลอะนาไลเซอร์ในการแอบดักฟังการสื่อสารในช่วงการพิสูจน์ทราบตัวตนนี้ก็ได้

การเข้ารหัสข้อมูล (กล้องวงจรปิด)

การเข้ารหัสข้อมูล

เมื่อรวมอัลกอริทึมสำหรับการแลกเปลี่ยนคีย์   การเข้ารหัสข้อมูลและแฮชฟังก์ชัน  รวมเรียกว่า  ไซเฟอร์สูท  โดยชื่อสูทนั้นจะขึ้นต้นด้วย SSL 

ตามด้วยชื่ออัลกอริทึมในการแลกเปลี่ยนคีย์  แล้วตามด้วยคำว่า WITH และอัลกอริทึมในการเข้ารหัสข้อมูลและแฮชฟังก์ชันตามลำดับ

สินค้าแนะนำ :   รั้วไฟฟ้า     สัญญาณกันขโมย    กล้องวงจรปิด

อัลกอริทึมสำหรับการแลกเปลี่ยนคีย์

                    ก่อนจะมีการรับส่งข้อมูลอย่างปลอดภัย  ข้อมูลจำเป็นต้องมีการเข้ารหัส  ก่อนที่จะเข้ารหัสข้อมูลได้ก็ต้องมีคีย์ที่ใช้ร่วมกันทั้งการเข้าและถอดรหัส  

อัลกอริทึมที่ใช้สำหรับการแลกเปลี่ยนของ SSL มี  6  ประเภทดังนี้

- NULL     ไม่มีการเข้ารหัสข้อมูลที่รับส่งถึงกันจึงไม่จำเป็นต้องแลกเปลี่ยนคีย์

- RSA        การเเลกเปลี่ยนคีย์แบบนี้ฝั่งเซิร์ฟเวอร์จะต้องส่งเซอร์ติฟิเกต  ซึ่งจะมีพับลิกคีย์ตัวเองอยู่ในข้อความแรก  

สำหรับข้อความถัดมานั้นจะไม่มีการส่ง  เนื่องจากซีเคร็ทคีย์ที่จะใช้ในการเข้ารหัสข้อมูลนั้นไคลเอนต์จะส่งมาให้ในขั้นตอนที่ 3  

โดยการเข้ารหัสด้วยพับลิกคีย์ของเซิร์ฟเวอร์นั้นเอง ซึ่งเป็นการพิสูจน์ทราบตัวจริงของฝั่งเซิร์ฟเวอร์

- Anonymous DH       การแลกเปลี่ยนคีย์แบบนี้จะไม่มีการส่งใบเซอร์ติฟิเกต  แต่จะส่งพารามิเตอร์และคีย์ที่จะใช้ในการแลกเปลี่ยนถ้าเลือกวิธีนร้ทั้วเซิร์ฟเวอร์และไคลเอนต์จะไม่ได้พิสูจน์ทราบตัวจริงของกันและกันได้

- Ephemeral DH       วิธีนี้เซิร์ฟเวอร์จะส่งใบเซอร์ติฟิเกตที่มีลายเซ็นดิจิตอลแบบRSA โดยเซิร์ฟเวอร์ไพรเวทคีย์ของตัวเอง  

ส่วนฝั่งไคลเอนต์ก็จะใช้พับลิกคีย์ของเซิร์ฟเวอร์ในการพิสูจน์ทราบลายเซ็นของเซิร์ฟเวอร์  ข้อความถัดมานั้นเซิร์ฟเวอร์ก็จะส่งพารามิเตอร์

ของอัลกอริทึมทีจะใช้ในการคำนวณซีเคร็ทคีย์  การเลือกวิธีนี้จะทำให้ไคลเอนต์สามารถพิสูจน์ทราบตัวตนของเซิร์ฟเวอร์ได้

- Fixed  DH วิธีนี้เซิร์ฟเวอร์จะส่งใบเซอร์ติฟิเกตที่มีลายเซ็นดิจิตอลแบบ RSA และในข้อความแรกนี้ก็จะส่งฮาล์ฟคีย์ที่จะใช้ใน DH ด้วย 

 ส่วนข้อความที่สองนั้นไม่ต้องส่ง  วิธีนี้ไคลเอนต์สามารถพิสูจน์ทราบตัวจริงของ CA และ CA ก็รับรองว่าฮาล์ฟคีย์ที่ใช้นั้นเป็นของเซิร์ฟเวอร์  ซึ่งทำให้ไคลเอนต์เชื่อได้ว่าเซิร์ฟเวอร์นั้นเป็นตัวจริงเช่นกัน

- Fortezza       เป็นชื่อ  NSA  ซึ่งเป็นโปรโตคอลที่พัฒนาสำหรับใช้ทางด้านการทหาร  และเป็นโปรโตคอลที่ซับซ้อนมาก

อัลกอริทึมสำหรับการเข้ารหัสข้อมูล

               อัลกอริทึมสำหรับการเข้ารหัสข้อมูลที่ใช้ใน  SSL  มีหลากหลายให้เลือก  ซึ่งสามารถแบ่งเป็นประเภทต่าง  ๆ  ได้ดังนี้

- NULL    เป็นกลุ่มที่ไม่มีการเข้ารหัสข้อมูลนั่นเอง

- Stream Cipher   การเข้ารหัสข้อมูลแบบสตรีมไซเฟอร์ที่ใช้ใน SSL มีอยู่แบบเดียวคือ RC4  แต่มีขนาดคีย์ให้เลือก 2 ขนาด คือ 40 บิต และ 128 บิต

- Block Cipher   สำหรับการเข้ารหัสข้อมูลแบบล็อคนั้น มีหลายแบบให้เลือกคือ RC2  CBC 40, DES40 CBC,DES CBC, 3DES EDE CBC, IDEA CBC, FORTEZZA CBC

แฮชฟังก์ชัน

SSL ใช้แฮชฟังก์ชันสำหรับการตรวจสอบความถูกต้องของข้อมูลและการพิสูจน์ทราบตัวจริงรูปแบบแฮชฟังก์ชันที่เลือกใช้ได้มี 3 แบบคือ

- NULL     ทั้งสองฝ่ายตกลงว่าจะไม่ใช้แฮชฟังก์ชัน  ซึ่งก็จะไม่สามารถพิสูจน์ทราบตัวจริงได้

- MDS      เป็นแฮชฟังก์ชันที่ให้ค่าเมสเสจไดเจสต์ขนาด  128บิต

- SHA-1    เป็นแฮชฟังก์ชันที่เลือกใช้ได้  โดยจะให้เสมเสจไดเจสต์ขนาด 160 บิต

TLS

              เป็นมาตรฐานของ IETF  ที่ลอกเลียนแบบ SSL  ทำให้ทั้งสองโปรโตคอลมีความคล้ายกันมาก  แต่จะแตกต่างกันเล็กน้อย  ส่วนที่แตกต่างกันดังนี้

- Version      ส่วนแรกที่แตกต่างหมายเลขเวอร์ชัน  ปัจจุบันของ SSL คือ 3.0  ส่วนปัจจุบันของTLS คือ 1.0

- Cipher Suite     ส่วนที่แตกต่างกันคือ TLS จะไม่รองรับการเข้ารหัสและการแลกเปลี่ยนคีย์แบบ Fortezza

- การสร้างคีย์    TLS จะมีขั้นตอนในการสร้างคีย์ที่ยุ่งยากซับซ้อนมากกว่าของ SSL

- Handshake Protocol     ในส่วนของแฮนด์เชคโปรโตคอลนั้น TLS ได้เปลี่ยนแปลงบางอย่างโดยเฉพาะในขั้นตอน CertificateVerifyและ Finished

- Record Protocol     ในส่วนของเร็คคอร์ดโปรโตคอลนั้นจะเปลี่ยนมาใช้ HMAC  สำหรับการเซ็นชื่อในข้อความที่ส่ง

ต้องการติดตั้งกล้องวงจรปิด >>>บริษัท มีเดีย เสิร์ซ จำกัด โทร.02-8883507-8, 081-700-4715

IMAP (Internet Message Access Protocol) กล้องวงจรปิด

IMAP (Internet Message Access Protocol)

POP3 มีปัญหาคือผู้ใช้ไม่สามารถจัดการเมลบ็อกซ์ของตัวเองได้ ทำได้เพียงดาวน์โหลดเมลและลบเมลที่ไม่ต้องการเท่านั้น 

ผู้ใช้บางคนที่ต้องการเก็บเมลไว้ที่เซิร์ฟเวอร์เพื่อที่เขาจะได้อ่านเมลจากเครื่องใดก็ได้นั้น  เมลที่เก็บไว้ในเมลบ็อกซ์เพิ่มจำนวนมากขึ้นอาจทำให้ผู้ใช้ยากที่จะจัดการเมลได้

ผู้ใช้ไม่สามารถบอกได้ว่าเมลไหนที่ได้อ่านแล้วหรือผู้ใช้ไม่สามารถสร้างโฟลเดอร์ใหม่ที่เซิร์ฟเวอร์ได้  ทำให้ยากต่อการค้นหาเมลหรือ

ถ้าต้องการอ่านเฉพาะเมลใหม่ก็ทำยากIMAP เป็นโปรโตคอบสำหรับเข้าจัดการเมลบ็อกซ์และถูกคิดค้นขึ้นมาเพื่อแก้ปัญหาของ POP3IMAP 

เป็นโปรโตคอลที่อนุญาตให้ผู้ใช้สามารถจัดการเมลบ็อกซ์ที่เซิร์ฟเวอร์และยังอนุญาตให้ผู้ใช้สามารถดาวน์โหลดเฉพาะบางส่วนของเมลเท่านั้น  

สินค้าแนะนำ :    รั้วไฟฟ้ากันขโมย    กล้องวงจรปิด   สัญญาณกันขโมยไร้สาย

ในการเชื่อมต่อแต่ละครั้งของ IMAP เซิร์ฟเวอร์จะอยู่ใน 4 สถานะคือ

- Non-Authenticated State   :     

สถานะเริ่มเมื่อมีการสร้างการเชื่อมต่อในตอนแรก  โดยในชั้นนี้ไคลเอนต์ต้องส่ง  ชื่อล็อกอินและรหัสผ่าน  เพื่อตรวจสอบสิทธิ์การใช้งานได้เท่านั้น

- Authenticated State   :      

เมื่อเซิร์ฟเวอร์ตรวจสอบผู้ใช้ผ่านแล้ว  ขั้นตอนต่อไปผู้ใช้ต้องส่งข้อมูลเกี่ยวกับว่าต้องการอ่านหรือจัดการเมลที่อยู่ในโฟล์เดอร์ใด

- Selected State   :    

เมื่อเลือกโฟลเดอร์แล้วผู้ใช้ถึงมีสิทธิ์จัดการเมลได้    เช่น  ดาวน์โหลด  ย้ายโฟลเดอร์ ลบเมล เป็นต้น

- Logout State   :     

สถานะนี้เริ่มเมื่อผู้ใช้สิ้นสุดการเชื่อมต่อ  หรือเซิร์ฟเวอร์ยกเลิกก็ได้

                       การรับส่งอีเมลไม่มีการเข้ารหัสข้อมูลไม่ว่าจะใช้โปรโตคอล SMTP, POP  โปรโตคอลเหล่านี้ถูกออกแบบมา

เพื่อให้การสื่อสารอีมลเป็นมาตรฐานเดียวกันเท่านั้น  ไม่ได้เน้นเรื่องการรักษาความปลอดภัยข้อมูล  ผู้ใช้ต้องการปกปิดข้อความในจดหมายนั้น  

ก็เป็นหน้าที่ของผู้ใช้ที่ต้องหาทางในการเข้ารหัสข้อมูลก่อนที่จะส่งผ่านระบบเมล  ต่อมาก็ได้มีการพัฒนาโปรโตคอลเพื่อสำหรับการเข้าอีเมล  

พร้อมทั้งมีลายเซ็นอิเล็กทรอนิกส์เพื่อสำหรับการตรวจสอบแหล่งที่มาหรือเจ้าของอีเมลได้  โปรโตคอลที่นิยมใช้ในการเข้ารหัสอีเมล

การรักษาความปลอดภัยในระดับทรานสปอร์ตเลเยอร์

ในระดับทรานสปอร์ตเลเยอร์นั้นการรักษาความปลอดภัยจะให้บริการแบบแอนด์ทูแอนด์  หรือ โฮสต์ทูโฮสต์   สำหรับแอพพิลเคชันโปรโตคอล

ที่นิยมมากที่สุดในปัจจุบันคือ SSL   จุดมุ่งหมายหลักของโปรโตคอลเหล่านี้เพื่อให้บริการแก่ไคลเอนต์และเซิร์ฟเวอร์สำหรับการพิสูจน์ทราบตัวจริง   

การรักษาความลับข้อมูลและการรักษาความถูกต้องของข้อมูล  เป็นโปรโตคอลของเว็บนั่นเองโดยปรกติโปรโตคอลนี้ก็จะให้บริการของโปรโตคอล TOP 

ในชั้นทรานสปอร์ตในการรับส่งข้อมูลระหว่างไคลเอนต์และเซิร์ฟเวอร์    ถ้าต้องการรักษาความปลอดภัยข้อมูลทั้งบราวเซอร์และเว็บเซิร์ฟเวอร์

ต้องรองรับ  SSL หรือ TLS จะทำหน้าที่ให้ข้อมูลของ HTTP  ถูกเข้ารหัสด้วย SSL  หรือ  TLS  ก่อนแล้วค่อยส่งต่อไปให้โปรโตคอล TOP อีกทีหนึ่ง

SSL

                  โปรดตคอลที่ใช้สำหรับเข้ารหัสข้อมูลและการพิสูจน์ตัวตน ระหว่างเว็บเซิร์ฟเวอร์และไคลเอนต์   การทำงานจะเริ่มจากเจรจา

เพื่อตกลงเกี่ยวกับอับกอริทึมและคีย์ที่ใช้สำหรับการเข้ารหัสข้อมูล  ขั้นตอนการพิสูจน์ทราบตัวจริงเมื่อตกลงเกี่ยวกับอัลกอริทึมที่คีย์

พร้อมทั้งได้พิสูจน์ตัวจริงซึ่งกันและกัน  ไคลเอนต์และเซิร์ฟเวอร์เริ่มการสื่อสารโดยข้อมูลที่รับส่งกันจะถูกเข้ารหัสด้วยเซสซันคีย์ที่ตกลงกัน  SSL

เป็นโปรโตคอลที่นิยมใช้ในอีคอเมิร์ซเป็นอย่างมาก  และยังเป็นพื้นฐานสำหรับการออกแบบ TLS  ซึ่งเป็นมาตรฐานการสื่อสารอย่างปลอดภัยที่พัฒนา

โดย IETF  นั่นเองSSL และ TLS  เป็นโปรโตคอลในระดับทรายนปอร์ตเลเยอร์   การใช้งานไม่จำกัดเฉพาะเว็บแอพพลิเคชันเท่านั้นโปรโตคอลอื่น ๆ 

สามารถใช้ทั้งสองโปรโตคอลนี้ในการสื่อสารอย่างปลอดภัยกล้องวงจรปิดได้เช่นกัน

 

SSL มีขั้นตอนการทำงานที่สำคัญดังนี้

                      การพิสูจน์ทรายตัวจริงของเซิร์ฟเวอร์   :  SSL    จะอนุญาตให้เว็บบราวเซอร์เก็บรายชื่อของ CA(Certificate Authority)  ที่เชื่อถือได้  

เมื่อเว็บบราวเซวอร์ต้องการสื่อสารกับเว็บเซิร์ฟเวอร์ที่รองรับSSL เว็บบราวเซอร์จะติดต่อกับเซิร์ฟเวอร์เพื่อขอรับใบรับรองอิเล็กทรอนิกส์  

ซึ่งภายในจะมีพับลิกคีย์ของเซิร์ฟเวอร์ไคลเอนต์  สามารถพิสูจน์ทราบตัวจริงของเว็บเซิร์ฟเวอร์ได้   โดยการตรวจสอบใบรับรองอิเล็กทรอนิกส์นี้กับ CA ที่ไคลเอนต์มีรายชื่ออยู่

- การพิสูจน์ทราบตัวจริงของไคลเอนต์     ในบางครั้งไคลเอนต์ก็อาจต้องการพิสูจน์ทราบตัวจริงของไคลเอนต์เช่นกัน  

จะได้มั่นใจว่ากำลังสื่อสารกับคนที่ต้องการได้จริง ๆ ขั้นตอนการพิสูจน์ก็จะคล้ายกับการพิสูจน์ทราบตัวตนของเซิร์ฟเวอร์  

ไคลเอนต์จะส่งใบรับรองอิเล็กทรอนิกส์ของตัวเองไปให้เซิร์ฟเวอร์ ๆ ก็จะสามารถตรวจสอบใบรับรองอิเล็กทรอนิกส์กับ CA ที่เซิร์ฟเวอร์ได้ให้ความเชื่อถือ

- การเข้ารหัสข้อมูล      ข้อมูลที่รับส่งระหว่างไคลเอนต์และเซิร์ฟเวอร์นั้น  จะถูกเข้ารหัสแบบซิมเมตริกคีย์เอ็นคริพชัน  โดยใช้คีย์ที่ตกลงกันในตอนต้น  

และการบริการนี้ทำให้คู่สนทนามั่นใจได้ว่าข้อมูลนี้จะไม่ถูกแอบดักอ่าน  หรือแก้ไขจากบุคคลที่สามารถในระหว่างการรับส่งข้อมูลผ่านอินเทอร์เน็ต

Network Security (กล้องวงจรปิด)

Network Security

วัตถุประสงค์

- รู้และเข้าใจการรักษาความปลอดภัยในแต่ละเลเยอร์ของโปรโตคอล TCP/IP

- รู้และเข้าใจการรักษาความปลอดภัยของอีเมลด้วย  PGP และ S/MIME

- รู้และเข้าใจการรักษาความปลอดภัยของเว็บด้วย  SSL และ HTTPS

- รู้และเข้าใจการรักษาความปลอดภัยในระดับเครือข่ายด้วย VPN และ IPSec

การรักษาความปลอดภัยกล้องวงจรปิดในระดับแอพพลิเคชันเลเยอร์

                      เทคนิคของแต่ละแอพพลิเคชันในการรักษาความปลอดภัยจะมีแตกต่างกันแต่แบบที่นิยมใช้ คือ PGP และ S/MIME  เป็นการเข้ารหัสข้อมูล  

การพิสูจน์ทราบตัวตนของผู้รับและผู้ส่งในโปรโตคอลที่ทำงานในเลเยอร์แอพพลิเคชัน  ขั้นตอนการเข้ารหัสข้อมูลหรือการพิสูจน์ทราบตัวตน

จะทำโดยโปรโตคอล SSL/TLS  เป็นโปรโตคอลที่ทำงานในทรานสปอร์ตเลเยอร์นั่นเอง  แต่ละแอพพลิเคชันหรือโปรโตคอลมีเทคนิคในการรักษาความปลอดภัยข้อมูล

Mail Security

                     อีเมลเป็นอีกแอพพลิเคชันที่นิยมมากรองจากเวิลด์ไวต์เว็บบนอินเทอร์เน็ตในปัจจุบัน   หลักการทำงานของอีเมลนั้นคล้าย  ๆ  

กับการรับส่งจดหมายทั่ว  ๆ  ไป  ผู้ใช้สามารถรับส่งข้อความถึงกัน  แต่ข้อได้เปรียบของอีเมลก็คือ  ง่าย  รวดเร็ว  และถูกกว่า  

นอกจากข้อความธรรมดาเรายังสามารถส่งข้อความในรูปแบบของเอกสารหรือเว็บเพจได้ด้วย  เรายังสามารถส่งไฟล์รูปแบบอื่น  ๆ  เช่น  ไฟล์รูปภาพ  เสียง  แม้กระทั่งวิดีโอแนบไปกับอีเมลก็ได้ด้วย   

ระบบอีเมลเป็นแอพพลิเคชันที่ได้รับความนิยมมากบนอินเทอร์เน็ต  ระบบอีเมลใช้หลายโปรโตคอลย่อยที่ทำงานร่วมกัน  เพื่อให้ผู้ใช้สามารถรับส่งอีเมลถึงกันได้

สินค้าแนะนำ :   รั้วไฟฟ้ากันขโมย    กล้องวงจรปิด    สัญญาณกันขโมย

 

SMTP (Simple Transfer Protocol)

                 โปรโตคอลมาตรฐานสำหรับรับส่งเมลผ่านเครือข่ายอินเทอร์เน็ตและมีการปรับปรุงเรื่อย  ๆ    SMTP เป็นมาตรฐานที่นิยมใช้มากที่สุด

ในปัจจุบันทำหน้าที่ส่งอีเมลจากเมลเซิร์ฟเวอร์ของผู้ส่งไปยังเมลเซิร์ฟเวอร์ของผู้รับ  เป็นโปรโตคอลสำหรับการส่งเมลเท่านั้นไม่สามารถ

ใช้สำหรับการอ่านหรือดึงเมลมาจากเซิร์ฟเวอร์ได้    ระหว่างการส่งอีเมลนั้นเซิร์ฟเวอร์ก็จะส่งข้อความเพื่อทำความรู้จักซึ่งกันและกันก่อนที่จะมีการส่งเมลจริง ๆ ก่อน

POP (Post Office Protocol)

กระบวนการส่งเมลจะสิ้นสุดเมื่ออีเมลส่งถึงเมลเซิร์ฟเวอร์ของผู้รับ  และจะถูกเก็บไว้ในเมลบ๊อกซ์ของผู้รับบนเมลเซิร์ฟเวอร์   

การใช้อีเมลเมื่อผู้ใช้ต้องการอ่านอีเมลจะล๊อกอินมายังเมลเซิร์ฟเวอร์แล้วค่อยใช้โปรแกรมเมลอ่านข้อความในจดหมาย   

ปัจจุบันผู้ใช้จะใช้เมลไคล์เอนต์   การเช็คเมลในเมลบ๊อกที่เก็บไว้ที่เซิร์ฟเวอร์ซึ่งเมลไคลเอนต์ก็จะใช้โปรโตคอล POP เพื่อสำหรับดึงอีเมลจากเซิร์ฟเวอร์มาเก็บไว้ที่เครื่องไคลเอนต์ของผู้ใช้

เพื่ออ่านอีเมลที่ส่งมาถึงผู้ใช้คนนั้นอีกทีหนึ่ง   โปรโตคอลที่ใช้ดึงเมลบ๊อกที่เก็บไว้ในเมลเซิร์ฟเวอร์  การทำงานจะเริ่มจากไคลเอนต์

สร้างการเชื่อมต่อแบบ  TOP  กับเมลเซิร์ฟเวอร์ผ่านพอร์ตมาตรฐาน  ในระหว่างการเชื่อมต่อนั้นจะมีขั้นตอนการเชื่อมต่ออยู่  3  ขั้นตอนคือ

- ขั้นตอนที่ 1       เมื่อไคลเอนต์สร้างการเชื่อมต่อกับเซิร์ฟเวอร์  แล้วก็จะส่งข้อมูลการล็อกอิน คือ ชื่อผู้ใช้และรหัสผ่านเพื่อตรวจสอบสิทธิ์การใช้งาน

- ขั้นตอนที่  2      จะเป็นการดาวน์โหลดอีเมลจากเซิร์ฟเวอร์  ในขั้นตอนนี้ไคลเอนต์สามารถกำหนดว่าเมลไหนที่ผู้ใช้ต้องการลบออกจากเมลบ็อกซ์

- ขั้นตอนที่  3      การสิ้นสุดการเชื่อมต่อ  โดยเมลเซิร์ฟเวอร์จะลบอีเมลที่ผู้ใช้ต้องการ  และสิ้นสุดการเชื่อมต่อ

แฮชฟังก์ชั่น (กล้องวงจรปิด)

แฮชฟังก์ชั่น

บางทีเรียกว่าวันเวย์เอ็นคริพชัน   เป็นการเข้ารหัสข้อมูลโดยไม่ต้องใช้คีย์  และผลลัพธ์ที่ได้จากการเข้ารหัสนั้นจะมีความยาวคงที่เสมอ  

แฮชฟังก์ชันจะใช้สำหรับการคำนวณหาสิ่งที่เรียกว่า  ดิจิตอลฟิงเกอร์พรินต์ หรือเมสเสจไดเจสต์

ประโยชน์ของแฮชฟังก์ชันใช้สำหรับตรวจสอบดูว่าข้อมูลเดิมนั้นได้ถูกแก้ไขเปลี่ยนแปลงหรือไม่  และยังนิยมใช้โดยระบบปฏิบัติการเพื่อเข้ารหัสพาสเวิร์ค

ในการล็อกอินเข้าระบบ  แฮชฟังก์ชันนั้นสามารถใช้สำหรับการรักษาความถูกต้องของข้อมูลหรือไฟล์กล้องวงจรปิดได้เป็นอย่างดี  โดยเฉพาะการใช้ในระบบลายเซ็นอิเล็กทรอนิกส์

                       ไฟล์สองไฟล์มีเนื้อหาที่แตกต่างกันเมื่อส่งเข้าแฮชฟังก์ชันแล้วจะได้เมสเสจไดเจสต์ที่แตกต่างกันและยังมีโอกาสเป็นไปได้ที่มีสองไฟล์ใด  ๆ  

อาจมีค่าเมสเสจไดเจสต์ที่เหมือนกันก็ได้  การหาสองไฟล์ใด  ๆ ที่ให้ค่าแฮชเดียวกันนั้นเป็นสิ่งที่หายากมาก ๆ  ซึ่งอาจสรุปได้ว่าเป็นไปไม่ได้เลยก็ได้  

และสิ่งที่ยากยิ่งกว่าคือ  การหาไฟล์ที่ได้ค่าแฮชที่กำหนด  เพราะเหตุนี้แฮชฟังก์ชันจึงนิยมมากในระบบการรักษาความปลอดภัยและนิติเวชศาสตร์คอมพิวเตอร์

อุปกรณ์แนะนำ :   รั้วไฟฟ้ากันขโมย    กล้องวงจรปิด    สัญญาณกันขโมยไร้สาย

ความยาวของคีย์

                      งานวิจัยหลายฉบับในปปัจจุบันรายงานว่าคีย์ที่มีความยาว 56 บิตไม่ปลอดภัยเพียงพอเราต้องใช้คีย์ที่มีความยาวเพิ่ม  

การเพิ่มบิตหนึ่งบิตให้กับคีย์เท่ากับเป็นการเพิ่มจำนวนคีย์ได้เป็นสองเท่า   ในการเข้ารหัสข้อมูลของคีย์มีความสำคัญมาก   

เหตุผลที่คีย์ยิ่งยาวเท่าไรยิ่งมีความปลอดภัยมากขึ้น  ในการถอดรหัสคอมพิวเตอร์อาจจะต้องลองใช้คีย์ที่เป็นไปได้ทั้งหมดเพื่อถอดรหัส  

หรือที่เรียกว่าการโจมตีแบบรูทฟอร์ส  การโจมตีแบบนี้นิยมมากกว่าแบบอื่น  คอมพิวเตอร์ในปัจจุบันได้มีการพัฒนามากขึ้น  และมีราคาถูกลง  

คอมพิวเตอร์พีซีทั่วไปก็สามารถนำมาใช้ในการโจมตีได้  องค์กรที่มีงบประมาณมากก็สามารถใช้ฮาร์ดแวร์ที่อนุญาตให้สามารถสร้างคอมพิวเตอร์ชิป

ที่สามารถทำงานเฉพาะได้เร็วกว่าคอมพิวเตอร์ทั่วไป  ปัจจุบันได้มีแนวโน้มและเริ่มมีการนำการ์ดจอมาใช้เพราะมีหน่วยประมวลผลสูงมากต่อหนึ่งการ์ดจอ

หากนำมาต่อขนานกันหลาย  ๆ  ตัวก็จะให้ประสิทธิภาพที่สูงขึ้นตามลำดับ  นั่นเป็นวิธีหนึ่งที่ใช้กันมากกว่าการใช้พีซีที่มีหน่วยประมวลผล 4-8 ตัวต่อซีพียู

                       ความยาวของคีย์ที่เพียงพอสำหรับการปกป้องข้อมูลจากการโจมตีนั้นแตกต่างกันขึ้นอยู่กับเวลาที่อนุญาตให้ถอดรหัสและกำลังเงินสนับสนุน    

หลักพื้นฐานสำหรับระบบการรักษาความปลอดภัยใด  ๆ  การที่รู้ว่าเราต้องการที่จะปกป้องอะไรจากใคร  แล้วคีย์ขนาดเท่าไรถึงจะเพียงพอและเหมาะสม

ดังนั้นคีย์ที่ใช้กันอยู่ในปัจจุบันจึงควรมีความยาวอย่างน้อย  76 บิต  และควรที่จะมีความยาวเพิ่มขึ้นอีก  แต่บางครั้งคีย์ที่มีขนาดความยาวมาก ๆ 

ไม่ใช่ว่าจะดีเสมอไป เพราะอาจจะไม่ได้เพิ่มความปลอดภัยมากนัก  แต่มีข้อเสียคือจะต้องใช้เวลาในการเข้าและถอดรหัสข้อมูลเพิ่มมากขึ้นอย่างมาก

 

เทคนิคการซ่อนพรางข้อมูล

                     การซ่อนพรางข้อความด้วยการใช้บิตที่มีความสำคัญน้อยที่สุดของไฟล์รูปภาพหรือไฟล์เสียง  ยิ่งไฟล์ที่ใช้ซ่อนพรางข้อความที่มีขนาดใหญ่เท่าใด  

ก็ยิ่งทำให้ง่ายต่อการซ่อนพราง    จุดประสงค์ของเทคนิคในการซ่อนพรางข้อมูล  ก็คือการทำให้ไฟล์ที่ใช้สำหรับส่งข้อมูลนั้นดูเหมือนไม่แตกต่างจากไฟล์ดังเดิม    

ปัจจุบันมีหลายโปรแกรมที่ใช้สำหรับการซ่อนพรางข้อมูล

การตรวจจับการซ่อนพรางข้อมูล

                    หลักการของการซ่อนพรางข้อมูล   การทำไม่ให้จับได้ว่ามีการซ่อนพรางข้อมูล และเป็นสิ่งที่ยากมากที่จะซ่อนข้อมูลโดยไม่ทิ้งร่องรอยใด  ๆ   

ขณะที่โปรแกรมนั้นไม่ได้พยายามที่จะแทรกข้อมูลลงไปในไฟล์แต่เป็นเพียงการเพิ่มข้อมูลพ่วงต่อท้ายข้อมูลเดิมที่มีอยู่ 

 แต่บางโปรแกรมที่ใช้วิธีที่ฉลาดกว่าในการสุ่มเลือกบิตที่จะแทรกข้อมูลลงไปในไฟล์

มาตรฐานการเข้ารหัสข้อมูลแบบพับลิกคีย์ (กล้องวงจรปิด)

มาตรฐานการเข้ารหัสข้อมูลแบบพับลิกคีย์

                         โดยทั่วไปอัลกอรึทึ่มแบบพับลิกคีย์ที่เป็นที่รู้จัก  เช่น RSA, Digital Signature, Cramer - Shoup และอื่น  ๆ เป็นต้น  ซึ่งจะได้ยกตัวอย่างในรายละเอียดดังนี้

RSA

การเข้ารหัสแบบพับลิกคีย์มาจากตัวแรกของผู้คิดค้นอัลกอริทึ่ม  ประกอบด้วย รอน รีเวลท์ อดิ ชาเมอร์  และลีโอนาร์ด แอ็ดเดิลเมน  

วิธีนี้สามารถใช้ได้ทั้งกับการเข้ารหัสข้อมูลและประยุกต์ใช้กับลายเซ็นอิเล็กทรอนิกส์  ข้อมูลที่เข้ารหัสด้วยไพรเวทคีย์จะถูกถอดรหัสได้ด้วยการใช้พับลิกคีย์ที่เป็นคู่กันเท่านั้นหรือสางคลับคีย์กันได้

การสื่อสารแบบนี้สามารถสร้างความเชื่อถือให้กับข้อมูลได้แบบทางเดียว  RSA  สามารถใช้ประโยชน์ได้หลายด้าน    RSA  

มีขั้นตอนสำคัญ  3  ขั้นตอนคือ  การสร้างคีย์  การเข้ารหัส  และการถอดรหัส  มีรายละเอียดขั้นตอนในการสร้างพับลิกคีย์และไพรเวทคีย์มีดังนี้

- เลือกเลขจำนวนเฉพาะ P  และ  Q หลักการในการเลือกตัวเลขทั้งสองนี้คือ  ยิ่งเลขจำนวนมากยิ่งทำให้ยากต่อการเดารหัสลับหรือคีย์  แต่จะทำให้การเข้าและถอดรหัสช้า

- คำนวณจำนวน n และ z โดยn=qp และ z=(p-1)(q-1)

- เลือกจำนวน  e  ซึ่งมีค่าน้อยกว่า n และ  e  ไม่มีตัวหารร่วมกับ z นอกจาก 1  ดังนั้น e และ z  จึงเป็นจำนวนเฉพาะซึ่งกันและกัน

- คำนวณหาจำนววน d โดยedmod z= 1  (mod  เป็นโอเปอเรเตอร์ที่เป็นการหารเอาเฉพาะเศษ)

- พับลิกคีย์ คือ จำนวนคู่ (n, e) ส่วนไพรเวทคีย์ คือ  จำนวนคู่ (n,d)และสูตรการเข้ารหัส

       การเข้าและถอดรหัสทำได้โดยทฤษฏีทางคณิตศาสตร์  เลขยกกำลัง  และการหารเอาเฉพาะเศษ  ในขั้นต้นต้องแปลงตัวอักษรเป็นตัวเลข  

เราจะเลือกคีย์ที่มีจำนวนน้อย  แต่จำนวนที่ได้จากการยกกำลังนั้นมีค่าสูงมาก  และการเลือกคีย์นั้นควรจะมีความยาวมาก  ๆ  เพื่อให้ยากต่อการเดาคีย์ที่ใช้ได้  

โดยทั่วไปคีย์ที่ใช้บนอินเทอร์เน็ตจะมีขนาด 1,024 บิต จึงทำให้ขั้นตอนการเข้าและถอดรหัสนั้นช้ามากเมื่อเทียบกับการเข้ารหัสแบบซิมเมตริกคีย์  

แต่ในทางปฏิบัติ RSA จะใช้คู่กับ DES  ในครั้งแรกจะใช้  RSA  สำหรับแจกจ่ายซีเคร็ทคีย์ของ DES  เพื่อเข้ารหัส  ซึ่งคีย์นี้จะเรียกว่า  เซสซันคีย์

Digital Signature algorithm (DSA)

การตรวจสอบความถูกต้องของข้อมูลในโลกดิจิตอลมีความสำคัญอย่างมาก   ข้อมูลที่ส่งมานั้นมาจากใครและมีความคงสภาพดังเดิมหรือไม่  

ความเชื่อมั่นในระบบสื่อสารนั้นก็จะไม่มี  โดยเฉพาะอย่างยิ่งในระบบที่คู่สนทนาเป็นคนที่ไม่เคยรู้จักกันมาก่อน  ด้วยเทคโนโลยีนี้บุคคลธรรมดาทั้วไป

ก็สามารถลงนามในเอกสารอิเล็กทรอนิกส์ได้  แทนการลงชื่อในเอกสารที่เป็นกระดาษ  หรือใช้โดยนิติบุคคลแทนการใช้ตราประทับแบบเดิมได้ 

ลายเซ็นดิจิตอลใช้เทคนิคการเข้ารหัสแบบพับลิกคีย์   ผู้เซ็นชื่อนั้นจะใช้ไพรเวทคีย์ในกระบวนการลงชื่อส่วนผู้รับนั้นจะใช้พับลิกคีย์ของผู้ลงชื่อนั้น

ในการตรวจสอบ  หรือพิสูจน์ทราบตัวตนของผู้เซ็น  และยังมีคุณสมบัติพิเศษในการตรวจสอบความถูกต้องสมบูรณ์ของข้อมูลได้ด้วย  การเข้ารหัสแบบพับลิกคีย์สามารถประยุกต์ใช้เป็นลายเซ็นอิเล็กทรอนิกส์ได้

เทคนิคดังกล่าวสามารถตรวจสอบผู้เซ็นได้ด้วยการตรวจสอบคีย์ที่ใช้ และข้อมูลนั้นจะไม่ถูกเปลี่ยนแปลงอย่างแน่นอน  เจ้าของเท่านั้นที่ทราบไพรเวทย์คีย์ 

 ปัญหาของการเข้ารหัสแบบพับลิกคีย์ขั้นตอนการเข้าและถอดรหัสนั้นอาจใช้เวลานานเกินไปโดยเฉพาะกับเอกสารที่มีขนาดใหญ่  ขั้นตอนในการเข้าและถอดรหัสจะมีการคำนวณเลขยกกำลังจำนวนมาก  ๆ

จุดมุ่งหมายของลายเซ็นอิเล็กทรอนิกส์นั้นแตกต่างจากการเข้ารหัสแบบพับลิกคีย์ตรงที่ว่าการเข้ารหัสแบบพับลิกคีย์ผู้ส่งต้องการที่จะปกปิดข้อความที่ส่ง  

แต่จุดประสงค์ของลายเซ็นอิเล็กทรอนิกส์เพื่อเป็นการรับรองว่า  ผู้ส่งนั้นเห็นด้วยกับเนื้อหาของข้อความที่ส่ง  และข้อความส่งถึงผู้รับ

โดยที่ไม่มีการเปลี่ยนแปลงโดยบุคคลที่สาม  เนื้อหาของข้อความอาจเปิดเผยได้  ลายเซ็นดิจิตอลมีขั้นตอนการทำงานที่สำคัญ  3  ขั้นตอนคือ

- การสร้างคีย์

- การลงชื่อ

- การพิสูจน์ลายเซ็น

สินค้าแนะนำระบบรักษาความปลอดภัย :   รั้วไฟฟ้ากันขโมย  กล้องวงจรปิด  สัญญาณกันขโมย

 

        ลายเซ็นอิเล็กทรอนิกส์ถูกพัฒนาเพื่อจุดมุ่งหมายข้างต้นและมีขั้นตอนสรุปได้ดังนี้

- ข้อมูลที่ต้องการจะส่งจะถูกคำนวณให้ได้ข้อความที่สั้นลงโดยใช้แฮชฟังก์ชัน  ผลที่ได้จะเป็นข้อมูลสั้น  ๆ  และความยาวคงที่เรียกว่า  เมสเสจไดเจสต์

- ผู้ส่งจะเซ็นชื่อในข้อความโดยการเข้ารหัสเมสเสจไดเจสต์  โดยใช้ไพรเวทคีย์ของตัวเอง  ซึ่งข้อมูลที่ได้จะเรียกว่า ลายเซ็นดิจิตอลของเอกสารนั้น

- ข้อความเดิมจะถูกส่งไปพร้อมกับลายเซ็นดิจิตอลนี้ไปให้ผู้รับ

- ผู้รับจะตรวจสอบข้อมูลที่ได้รับโดย  คำนวณเมสเสจไดเจสต์โดยใช้แฮชฟังก์ชันเดียวกัน   ใช้พับลิกคีย์ของผู้ส่งถอดรหัสลายเซ็นดิจิตอลที่ส่งมากับข้อความ  

ซึ่งจะได้เมสเสจไดเจสต์อีกชุดหนึ่ง  เปรียบเทียบเมสเสจไดเจสต์ที่คำนวณได้กับที่ถอดรหัสได้  ถ้าเหมือนกันแสดงว่าข้อความไม่ได้ถูกเปลี่ยนแปลงนับตั้งแต่มีการเซ็นเอกสารนั้น

                        ประโยชน์ของการใช้ลายเซ็นดิจิตอลมีอยู่สองข้อหลัก  ๆ  คือ  พิสูจน์ได้ว่าข้อมูลที่ได้รับนั้นมาจากผู้ส่งตัวจริงและไม่ได้ถูกปลอมแปลง  

ซึ่งคุณสมบัตินี้เรียกว่า  การพิสูจน์ทราบตัวตน  และการพิสูจน์ได้ว่าข้อมูลได้ถูกเปลี่ยนแปลงหรือไม่

>>>ติดตั้งกล้องวงจรปิด<<<