สำหรับบทความนี้จะกล่าวถึง ความปลอดภัยทางด้าน Network และ จะมีการออกแบบอย่างไร ให้มีความปลอดภัย ในระบบเครือข่าย ในบทความนี้ จะมองมุมมองการออกแบบระบบเครือข่ายให้มีความปลอดภัย โดยแบ่งออกเป็น แบบ Small และEnterprise ต่างๆ
Phase I Secure Network Design small office
1. outside segment
ในส่วนนี้ จะมีเพียง Router และ Firewall ที่ติดต่ออยู่กับภายนอก ในที่นี้คือ Internet ซึ่งอุปกรณ์ ในส่วนของ Routerนั้นปริมาณ Traffic ของข้อมูล ที่จะวิ่งเข้ามาหาจะมีเป็นจำนวนมาก แต่ โดยคุณสมบัติของอุปกรณ์ สามารถ กำหนด ควบคุมปริมาณTraffic ข้อมูล ที่จะวิ่งเข้าภายในองค์กร ได้
1.1 Securing Edge Router
โดยปกติและทั่วไปแล้ว อุปกรณ์ Router เป็นอุปกรณ์ขั้นพื้นฐานที่จะต้องมีในแต่ละองค์กร ซึ่งจะเป็นการให้บริการขั้นพื้นฐานในการ ส่งข้อมูล หรือ รับเข้าข้อมูลจากภายนอก ซึ่งโดยปกติจะมีหน้าที่การให้บริการดังต่อไปนี้
Egress Filtering: คือการเขียน Filter (rules) เพื่อป้องกันไม่ให้ packet ที่ออกจาก Internal network ไปทำอันตรายเครื่องที่อยู่ใน Internet ได้
3. Internal segment Segment
Phase II Secure Network Design Enterprise office
· หน้าที่การเชื่อมต่อ Wan Link ออกสู่โลกภายนอก (Internet) โดยการเชื่อมโยงจะถูก จัดหาโดย ISP ซึ่งการเชื่อมต่อสู่ภายนอกอาจจะมีรูปแบบการเชื่อมต่อหลายลักษณะที่ แตกต่างกันออกไป แล้วแต่ ความต้องการขององค์กรนั้นๆ เช่น ADSL, ISDN, Frame Relay หรือ ATM
· ความสามารถในการจัดหาเส้นทาง ที่จะส่งข้อมูลไปยังปลายทาง (Routing) ไม่ว่าจะเป็น Protocol อะไรก็ตามที่ใช้งาน
· การคัดกรอง ปริมาณการเข้าใช้งานข้อมูล ทั้งจากต้นทาง ปลายทาง Port Service
สิ่งที่ต้องคำนึงถึงอันดับแรก สำหรับ Router คือ เรื่องของ IP spoofing การปฏิเสธ IP แปลกปลอม โดยทุก Interfaceที่รับ Package เข้ามาจะต้องถูกยอมรับตามกำหนดที่เรากำหนดไว้ใน Access List หมายความว่าเราจะกำหนดให้เฉพาะ IP ที่ได้รับอนุญาติได้เข้ามาเท่านั้น
Ingress กับ Egress filtering มีจุดประสงค์หลักคือช่วยลดปัญหาเรื่อง IP Spoofing การทำ Ingress กับ Egress filtering จะทำที่อุปกรณ์ Layer 3 เพราะว่าดู IP address Router สามารถเขียน ACL ได้ด้วย
Ingress Filtering: คือการเขียน Filter (rules) เพื่อป้องกันไม่ให้ packet ที่เข้ามาจาก Internet ปลอมว่าเป็น packetที่มาจากภายใน
 |
Protect Your Router
Router สามารถทำการเข้าถึงผ่านทาง Physical โดยผ่านทาง Port Console หรือการ Remote โดย Telnet หรือ SSHถ้าคุณต้องการให้เกิดความปลอดภัยสูงสุดในตัว Router เพื่อให้มันไม่ง่ายต่อการเข้าถึง ควรกำหนดนโยบายในการป้องกันดังต่อไปนี้
· Set password ที่ยากต่อการเข้าถึง เช่นใช้ Alphanumeric และ ตัวอักษรพิเศษ และคุณจะต้องเปลี่ยนทุกครั้ง ประมาณ 2 ถึง 3 เดือน หรืออาจจะบ่อยกว่านั้น ถ้าคุณกังวลเกี่ยวกับความปลอดภัย
· อาจจะใช้ SSH เพื่อความปลอดภัย ในการ Remote
· กำหนดให้เครื่องบางเครื่องเท่านั้นที่สามารถเข้ามาจัดการเครื่อง Router ได้
1.2 Firewall
ไฟร์วอลล์มีความจำเป็นอย่างยิ่งสำหรับการรักษาความปลอดภัยในเครือข่ายคอมพิวเตอร์ทั้งจากเครือข่ายภายนอกหรืออินเทอร์เน็ต และจากภายในเครือข่ายเองโดยไฟร์วอลล์จะทำหน้าที่ควบคุมการผ่านเข้าออกของข้อมูลระหว่างเครือข่ายภายในกับอินเทอร์เน็ต ซึ่งไฟร์วอลล์สามารถที่จะแบ่งตามเทคโนโลยีในการตรวจสอบและควบคุมได้ 3 ประเภท คือ Packet Filtering, Proxy Service, Stateful Inspectionในแต่ละประเภทมีการทำงานต่างกันดังนี้ Packet Filter เป็นเราเตอร์ที่ทำหน้าที่ในการหาเส้นทางและส่งต่ออย่างมีเงื่อนไขโดยจะพิจารณาจากข้อมูลที่อยู่ในส่วนเฮดเดอร์ ของแพ็คเก็ตที่ผ่านเข้ามา Proxy Service ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก จะมีการเชื่อมต่อ 2 การเชื่อมต่อ คือ ไคลเอนต์กับ Proxy และ Proxy กับ เครื่องปลายทาง Stateful Inspection เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้แพ็คเก็ตผ่านไปนั้น จะนำเอาส่วนข้อมูลของแพ็คเก็ตและข้อมูลที่ได้จากแพ็คเก็ตก่อนหน้าที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย
โดยปกติแล้ว Packet Filtering แบบธรรมดา (ที่เป็น Stateless แบบที่มีอยู่ในเราเตอร์ทั่วไป) จะควบคุมการเข้าออกของแพ็กเก็ตโดยพิจารณาข้อมูลจากเฮดเดอร์ของแต่ละแพ็กเก็ต นำมาเทียบกับกฎที่มีอยู่ ซึ่งกฎที่มีอยู่ก็จะเป็นกฎที่สร้างจากข้อมูลส่วนที่อยู่ในเฮดเดอร์เท่านั้น ดังนั้น Packet Filtering แบบธรรมดาจึงไม่สามารถทราบได้ว่า แพ็กเก็ตนี้อยู่ส่วนใดของการเชื่อมต่อ เป็นแพ็กเก็ตที่เข้ามาติดต่อใหม่หรือเปล่า หรือว่าเป็นแพ็กเก็ตที่เป็นส่วนของการเชื่อมต่อที่เกิดขึ้นแล้ว
Stateful Inspection เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั้น แทนที่จะดูข้อมูลจากเฮดเดอร์เพียงอย่างเดียว Stateful Inspection จะนำเอาส่วนข้อมูลของแพ็กเก็ต (message content)และข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่าแพ็กเก็ตใดเป็นแพ็กเก็ตที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว
2. Securing Services Segment
มีการให้บริการหลักสำหรับบุคคลที่อยู่ภายนอกองค์กร หรือที่เราเรียกในส่วนนี้ว่า DMZ Zone ซึ่งใน Zone นี้ จะมีการอนุญาติการให้บริการต่างๆ จากภายนอก เข้ามายัง Network ภายใน
2.1 One service per server
· เพื่อช่วยลดความซับซ้อนของ Service บน Server และกระจายความเสี่ยงใน การถูกโจมตีจาก Attacker
· ยังช่วยลดความยุ่งยากในการกู้คืนระบบในกรณีที่ถูกโจมตี
· ง่ายสำหรับการกำหนดค่าความปลอดภัย หรือนโยบายในแต่ละ Server ให้ง่ายขึ้น
· เป็นการเพิ่มความน่าเชื่อถือให้กับระบบ เมื่อ Server หนึ่ง Down ไป มันจะไม่ส่งผลกระทบกับการให้บริการอันอื่นๆ
· โดยทั้งนี้ทั้งนั้น One Service per Server สุดท้ายก็ขึ้นอยู่กับการตัดสินใจ เพราะบาง Service อาจจะกิน Performanceในละเครื่องบน Server ไม่เท่ากัน จึงอาจจะเสียค่าใช้จ่ายในการลงทุนโดยใช่เหตุ
2.2 One Platform for All Server
เป็นส่วนหนึ่งของการลดความซับซ้อนของติดตั้งบนระบบเครือข่าย ซึ่งจะช่วยให้คุณง่ายต่อการดูแล และรักษาความปลอดภัยได้เป็นอย่างดี ถ้าเป็นไปได้ควรจะใช้ Platform เดียวบนเครื่อง Server ของคุณ เช่น คุณ อาจจะเลือกใช้ Windows, Linux, หรือ UNIX), มันจะง่ายสำหรับการรักษาความปลอดภัยบนระบบ Server ของคุณ
· การ Update Patch บนระบบปฏิบัติการของคุณ เป็นขั้นตอนที่สำคัญ ในการแก้ไขปัญหาในกลุ่ม Server ของคุณ โดยมันจะง่ายในการดูแลรักษา ในกลุ่ม OS ที่เป็น Platform แบบเดียวกัน
· ในกรณีที่ระบบของคุณล้มเหลวมันจะเป็นเรื่องง่ายในการกู้คืนระบบคืนมา
· เป็นการบริหารที่ชาญฉลาด เพื่อจะช่วยให้ Admin จัดการกับระบบ ได้อย่างรวดเร็ว และต้นทุนในการพัฒนาบุคลากรในการดูแล
2.3 Secure Your Servers – Operating System Side
· ไม่อนุญาติให้ทำการเข้าถึง Server ของคุณโดยผ่านการ Telnet เพราะว่า Telnet มันไม่มีการ Encrypt ข้อมูล ทุกคนสามารถเข้ามาอ่านข้อมูลได้ถ้ามีการ Capture ขึ้นมาเพราะฉะนั้นถ้าหลีกเลี่ยงไม่ได้ให้ใช้ Secure Shell ในการ Encryptข้อมูลจะดีกว่า
· Set a strong password
· จะต้องมี user account ของตนเอง
· เก็บบันทึกข้อมูลทุกครั้งเมื่อมีคน Access เข้า server ของคุณ
· ไม่อนุญาติให้ใช้ caching user logon
· สร้างกลุ่มในแต่ละ Department แยกจากกัน ซึ่งให้มีความสามารถในการ Share ข้อมูลได้เฉพาะในกลุ่ม
นี้จะต้องมีความปลอดภัยค่อนข้างสูง ซึ่งภายในจะมีข้อมูลสำคัญที่เก็บข่าวสารข้อมูลขององค์กรที่อาจเป็นความลับ เช่น Business Plan, Marketing Plan และ Financial Details
3.1 Security Policy
· Set a strong password for users account. All Passwords must have the following conditions: At least (8) characters contain Upper/Lower Characters, numeric values and two Special Characters. No dictionary words are allowed
· Disable Guest account if enabled.
· Set Logout Timer to logout when no body works on PC
· Disable caching of user logons and passwords
· Install Antivirus Software and update it regularly
· Install a personal Firewall in each PC.
· Restrict access to hard drive. By another word, don’t allow your staff to install any software. Any software needed must install under your permission. This to avoid install software has backdoors
· Configure web browser to enhance privacy, and restrict access to web browser settings
Phase II Secure Network Design Enterprise office
1. Out Side Segment สิ่งที่เพิ่มเติมจากเดิมในส่วนของ Out Side
1.1 Intrusion Prevention System (IPS)
คือระบบที่คอยตรวจจับการบุกรุกของผู้ที่ไม่ประสงค์ดี รวมไปถึงข้อมูลจำพวกไวรัสด้วย โดยสามารถทำการ วิเคราะห์ข้อมูลทั้งหมดที่ผ่านเข้าออกภายในเครือข่ายว่า มีลักษณะการทำงานที่เป็นความเสี่ยงที่ก่อให้เกิดความ เสียหายต่อระบบเครือข่ายหรือไม่ เมื่อตรวจพบข้อมูลที่มีลักษณะการทำงานที่เป็นความเสี่ยงต่อระบบเครือข่ายก็ จะทำการป้องกันข้อมูลดังกล่าวนั้น ไม่ให้เข้ามาภายในเครือข่ายได้ เมื่อมีการติดตั้งระบบ IDS/IPS ภายในองค์กรแล้วสิ่งที่ได้รับมีดังต่อไปนี้
· สามารถป้องกันการบุกรุกจาก Hacker ที่เข้ามาทางเครือข่ายภายนอก ซึ่งเมื่อ IDS/IPS ป้องกันการบุกรุกแล้ว ยังสามารถเสนอแนวทางการแก้ไขได้ว่า องค์กรควรที่จะปรับปรุงอะไรบ้าง เช่น Security Patch ของOperating System (OS) หรือทำการแก้ไข Configure File ต่าง ๆ เพื่อไม่ให้ Hacker ใช้วิธีการเดิมเข้ามาทำลายระบบได้
· สามารถเฝ้าตรวจสอบลักษณะของข้อมูลที่จะเป็นความเสี่ยงหรือส่งผลกระทบต่อ ระบบงานที่มีอยู่ โดยจะทำการแจ้งเตือนให้ผู้ดูแลระบบทราบและหยุดการทำงานของบุคลากรนั้น ๆ
· สามารถทำการจับรูปแบบของข้อมูลมาทำการวิเคราะห์ เพื่อดูพฤติกรรม การทำงานว่าเป็นความเสี่ยงที่ส่งผลกระทบต่อระบบงานหรือไม่ เช่น Packet ที่ทำงานแบบเดิม ๆ และบ่อยมาก ๆ และมีผลต่อเครือข่ายหรือระบบงาน เมื่อมีการติดตั้งระบบ IDS/IPS ในองค์กร จะมีผลให้ระบบงานมีความปลอดภัยจากการ บุกรุกทั้งบุคคลภายในและจากเครือข่ายภายนอกได้มากขึ้น และส่งผลให้เครือข่ายภายในองค์กร มีประสิทธิภาพทางด้านความปลอดภัยมากยิ่งขึ้น
1.2 Load Balance
Load Balance Load Internet Network network
1.3 Bandwidth Management
Bandwidth Management คือ บริการที่ช่วยในการบริหารจัดการ bandwidth ของแต่ละ application เช่น Internet, mail, web, และ application ประเภทอื่นๆ เป็นต้น ให้เป็นไปตามนโยบายของแต่ละหน่วยงานซึ่งสามารถกำหนดหรือเปลี่ยนแปลงได้ตาม ความเหมาะสม และช่วยให้ application ที่มีความสำคัญต่อการปฏิบัติงานขององค์กรสามารถใช้งานได้อย่างรวดเร็วและ เต็มประสิทธิภาพ รวมทั้งเป็นการจำกัดการใช้งานใน application ที่ไม่เป็นประโยชน์อีกด้วย
2. Securing Services Segment สิ่งที่เพิ่มเติม จากเดิมในส่วนของ Service Segment
Mail Security Gateway
· เพื่อป้องกันเรื่องของสแปมและฟิชชิ่งที่มาพร้อมกับอีเมลย์ และ ช่วยกรองไวรัสที่มาจากอีเมลย์ได้อย่างมีประสิทธิภาพ ช่วยตรวจจับใน POP3 และ SMTP และทราฟฟิกของเว็บเมลย์ได้
Web Security Gateway
· เป็นตัวกรอง Traffic ที่หลุดมาจากfirewall และยังช่วยป้องกันไม่ไห้ client เข้าไปยังเว็บที่ไม่พึงประสงค์
· ควบคุมสิทธิการใช้งานเว็บไซต์ (Authentication)
· กรองไวรัสและสปายแวร์ จะทำหน้าที่ป้องกันเครื่องลูกข่ายไม่ไห้ติดไวรััสและสปายแวร์จากการท่องเว็บไซต์และดาวโหลดข้อมูล
Web Application Security
Web Application Firewall เป็นโซลูชั่นป้องกันการควบคุม Web application ขององค์กรได้เป็นอย่างดี สามารถป้องกันการเช่น
- URL Hardening engine
- Deep-linking control
- Directory traversal prevention
- SQL Injection protection
- Cross-Site Scripting protection
- Dual Antivirus engines
- HTTPS (SSL) encryption offloading
- Cookie Signing with digital signatures
- URL Hardening engine
- Deep-linking control
- Directory traversal prevention
- SQL Injection protection
- Cross-Site Scripting protection
- Dual Antivirus engines
- HTTPS (SSL) encryption offloading
- Cookie Signing with digital signatures
ควรพิจารณาเป็นหลัก ในการรักษาความปลอดภัยให้กับศูนย์คอมพิวเตอร์ที่จะสร้างขึ้นใหม่ให้มีความปลอดภัยเพียงพอ รวมถึงแนวทางการออกแบบ และต้นทุนที่ไม่ต้องสูงจนเกินไป
3. Remote Site
VPN (Virtual Private Network) หมายถึงเครือข่ายเสมือนส่วนตัว (Private) ที่ติดต่อสื่อสารระหว่างกัน ผ่านเครือข่ายสาธารณะอย่างอินเทอร์เน็ต ซึ่งประหยัดกว่าการเชื่อมต่อแบบ Leased Line หรือ Frame Relay เป็นอย่างมาก โดยมีระบบรักษาความปลอดภัยเพิ่มมากขึ้นด้วยการเข้ารหัสข้อมูล (Encryption Data) บนเน็ตเวิร์ค และเมื่อส่งข้อมูลไปยังจุดหมายปลายทางก็จะมีการถอดรหัส (Decryption Data) ออกมา ผ่านการเชื่อมต่อ VPN ที่เรียกว่า Tunneling เหมือนเป็นอุโมงค์ส่งข้อมูลซึ่งกันและกัน
4. Secure Internal Segment
4.1 Port Security ปกติ switch 1 port จะสามารถต่ออุปกรณ์ได้เรื่อยๆ เช่นนำ computer มาเสียบก็ได้ หรือนำ switch มาต่อพ่วงก็ได้ ปัญหาที่เกิดขึ้นคือกรณีที่นำ switch มาต่อพ่วงจะทำให้ network เกิด broadcast มากขึ้น และมีโอกาสที่จะเกิดความไม่ปลอดภัย ดังนั้นเราจะทำการ configure switch ด้วยคำสั่ง switchport port- security โดยในที่นี้จะเน้นเรื่องของการห้ามไม่ให้มีการต่อพ่วง switch บน port นั่นคือ port ของ switch จะ สามารถรับ mac address ได้เพียง 1 เท่านั้น โดยเป็น mac address ใดก็ได้
4.2 VLAN
· เพิ่มประสิทธิภาพของเครือข่าย ในระบบเครือข่ายทั่วไปจะมีการส่งข้อมูล Broadcast จำนวนมาก ทำให้เกิดความคับคั่ง ( Congestion ) และ VLAN มีความสามารถช่วยเพิ่มประสิทธิภาพของเครือข่ายได้เนื่องจาก VLANจะจำกัดให้ส่งข้อมูล Broadcast ไปยังผู้ที่อยู่ใน VLAN เดียวกันเท่านั้น
· ง่ายต่อการบริหารการใช้งาน VLAN อำนวยความสะดวกในการบริหารจัดการโครงสร้างของระบบเครือข่ายให้ง่าย มีความยืดหยุ่น และเสียค่าใช้จ่ายน้อย
· เพิ่มการรักษาความปลอดภัยมากขึ้น VLAN Trunk Security
อ้างอิง online url : http://www.msit.mut.ac.th/newweb/phpfile/show.php?Qid=6583