- เริ่มแรกเรามาทำความรู้จัก Firewall กันก่อนว่า Firewall คือ อะไร ทำงานอย่างไร
- เป็นลักษณะของตัวตรวจจับข้อมูลเข้าออก ที่มีกฏเกณท์กำหนดไว้เพื่อป้องกันการบุกรุกจากภายนอก ซึ้งมีทั้งเป็นซอฟต์แวร์และ ฮาร์ดแวร์ ซึ้งการทำงานของ Firewall จะมี 2 ชนิด คือ
- แพ็กเก็ตฟิลเตอร์ (Pacet Filter) จะเป็นลักษณะการทำงานในชั้นสือสารเน็ตเวิร์ก จัดเป็นวิธีที่ง่ายและรวดเร็ว แต่มีข้อเสียที่บางทีอาจมีผู้ลักลอบเข้ามาด้วยการ ปลอมแปลงหมายเลขไอพี (Spoofing) ทำให้ระบบอนุญาติให้ผ่านเข้าไปได้
- พร็อกซีเซิฟเวอร์หรือแอปพลิเคชั่นเกตเวย์ (Proxy Server/Appication Gateway) จะเป็นการทำงานของ Proxy Server มีความซับซ้อนกว่าแบบ Packet Filer ทำหน้าที่ เสมือนกับนายประตูของเครือข่ายภายใน โดยทุกๆทรานเซกชั่นของเครือข่ายภายนอกที่ได้มีการร้องขอเข้ามา จะต้องผ่าน Proxy Server เสมอๆ
- เมื่อเรารู้จัก Firewall กันแล้ว เรามารู้จัก IPS กันต่อดีกว่า ว่ามันคือ ระบบอะไร แล้วทำไมมันถึงเพิ่มประสิทธิภาพระบบ ?
- IPS หรือ ชื่อเต็ม Intrusion Prevention System คล้ายคนคงคุ้นๆ ใช่ระบบ IDS หรือ Intrusion Detected System ใช่ไหม? จริงๆแล้ว อยู่ในตระกูลเดียวกันเลย ในตระกูล NIDS(Network-Based IDS) พูดได้ว่า IDS และ IPS แทบจะเหมือนกันเลย หรือเป็นฟังก์ชั้นการทำงานเดียวกันเลย แต่ IPS มีประสิทธิ์ภาพที่สูงกว่า คือ ตัวระบบไม่เพียงแต่ตรวจตรา เฝ้ามอง Monitor Traffic เพียงเท่านั้น แต่มีฟังก์ชั้นที่ตรวจจับสิ่งผิดปกติ และ จัดการกับสิ่งปกตินั้นโดยทันทีโดยไม่ต้องพึ่งฮาร์ดแวร์หรืออุปกรณ์อื่นๆอีก ซึ้งถ้าเปรียบเทียบ IDS ก็เหมือนกล้องหน้าประตูค่อยดูคนที่มาติดต่อ แต่ไม่ได้สามารถกระทำการใดๆ หรือตรวจจับผู้ประสงค์ร้ายได้ แต่ IPS ก็เหมือนกับ ยาม สามารถตรวจเช็คคนที่มาติดต่อได้ สามารถปฏิบัติการลากตัวผู้ประสงค์ร้ายออกจากพื้นที่ได้อีกด้วย
- รูปแบบการทำงานของระบบ IPS
- จับตา/เฝ้ามอง Packet ที่วิ่งบน Traffic พร้อมวิเคาระห์ Protocol และ อ้างอิงSignatures เพื่อทำการตรวจสอบการจราจรที่ผิดปกติ
- เนื่องจากระบบ IPS นั้นต้องวางอยู่บน In-line ทำให้สามารถ Block Traffic หรือตัดPacket ที่ต้องสังสัยได้ โดยมี 2 หลักการทำงาน คือ
- 1) ส่งสัญญาณ TCP Reset โต้ตอบกลับไป
- 2) ระบบจะทำการสั้ง Policy Firewall เพื่อปรับเปลี่ยนกฏบางข้อ เพื่อป้องกัน Packet อันตรายไม่ให้เข้ามาในเครือข่ายได้
- แล้วทำไมถึงเพิ่มประสิทธิภาพการป้องกันระบบ ?
- อย่างแรกเลย โดยปกติแล้ว ระบบ IPS มักจะวางอยู่ต่อจาก Firewall จึงเสมือนกำแพงชั้นที่ 2 ที่มีแข็งแรงคงทนกว่าชั้นแรก และจากที่ผมกล่าวมาเลย ... เมื่อระบบ IPS มีความสามารถในการตรวจจับได้แล้ว ยังสามารถ Analysis ได้ จึงทำให้ระบบมีความ Intelligence มากกว่า Firewall ที่ทำงานเพียงตามรายการอนุญาติ ไม่อนุญาติ อีกทั้งระบบ IPS นั้น เมื่อมีการตรวจจับการบุกรุกที่ผิดปกติได้แล้ว ระบบยังสามารถติดต่อกับ Firewall เพื่อปรับเปลี่ยนกฏได้อีกด้วย ถือเป็นอดรอยรั่วของระบบที่เกิดขึ้นและยังถือเป็นการเสริมกำแพงชั้นแรกให้แข็งแรงขึ้นอีกด้วย
จากทั้งหมดที่กล่าวมา ในหัวข้อระบบการป้องกันการบุกรุก จะเห็นได้ว่า ระบบความปลอดภัยของระบบนั้นก็มีการพัฒนาขึ้น ให้มีแข็งแรงและ มีประสิทธิภาพการป้องกันที่ดีขึ้น ซึ้งแตกต่างจากเดิม จะมีเพียงนวัตกรรม IDS ที่ใช้ในการMonitor Traffic แบบ Real time ค่อยตรวจจับPacketต่างๆทั่วไป ก็พัฒนาให้สามารถตรวจจับพร้อมทำการวิเคาระห์พฤษติกรรม(Behavior)+กระทำการโต้ตอบโดยทันท่วงที ซึ้งจะเห็นได้ว่า ระบบงาน Security นั้นเป็นระบบงานที่ไม่ตายตัว และจำเป็นต้องมีการพัฒนาตลอดเวลาควบคู่ตามไปกับเทคโนโลยีในทุกๆก้าว เนื่องจากจำเป็นต้องทำคู่ไปกับนักเจาะระบบหรือโจนราวกับมวยคู่เอก หรือไม่ก็Tom&Jerry ที่พยายามสืบเสาะหาเทคโนโลยีใหม่ๆมาใช้ในการปฏิบัติการก่อการร้าย หรือเข้ามาทำลาย ระบบความปลอดภัยที่มีอยู่นั้นเองครับ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น