เว็บบอร์ด ศูนย์พิสูจน์หลักฐาน 5

หมวดพิสูจน์หลักฐานตำรวจ => กิจกรรมหน่วยงานและข้อมูลข่าวสาร => หัวข้อที่ตั้งโดย: chusit เมื่อ 14 ตุลาคม 2014 14:27

ชื่อ: ความเสี่ยงด้านระบบเครือข่าย
โดย: chusit เมื่อ 14 ตุลาคม 2014 14:27
(http://upic.me/i/nk/it-contingency-plan.jpg) (http://upic.me/show/53123177)


ความเสี่ยงด้านระบบเครือข่าย

หมายถึง ความเสี่ยงหรือภัยต่างๆที่เกิดขึ้นกับระบบเครือข่ายของ องค์กร ทั้งระบบอินทราเน็ต (Intranet) และอินเทอร์เน็ต (Internet) ซึ่งรวมถึงภัยที่มีสาเหตุมาจากปัญหาพื้นฐานของโพรโตคอล (Protocol) TCP/IP ด้วย เช่น ความเสี่ยงด้านกายภาพ ความเสี่ยงด้านระบบปฏิบัติการความเสี่ยงระบบแม่ข่าย ความเสี่ยงจากการบุกรุกระบบเครือข่าย และความเสี่ยงจากภัยคุกคามต่างๆ

การบริหารจัดการความเสี่ยงด้านระบบเครือข่าย มีประเด็นหลัก ดังนี้

1. ความเสียหายที่เกิดจากระบบเครือข่าย การเฝ้าระวังและตรวจสอบระบบเครือข่าย และการจัดทาระบบการกำหนดสิทธิในการเข้าถึงระบบเครือข่ายได้
การดาเนินการ ควรจัดให้มีระบบการติดตามและเฝ้าดูการใช้เครือข่ายภายในและการเข้าออก Internet ทุกวัน รวมทั้งการสร้าง Firewall เพื่อป้องกันการเข้าถึงและการโจมตีจากภายนอกให้ทุกเครื่องคอมพิวเตอร์ลูกข่าย (Client) ในเครือข่ายระบบฐานข้อมูล ,ระบบ Web Server เป็นต้น

2. พัฒนาระบบงานด้านเครือข่าย โดยการพัฒนา บริหาร ควบคุม กากับดูแล และบำรุงรักษาระบบคอมพิวเตอร์ และเครือข่ายสารสนเทศพื้นฐาน พัฒนาระบบการให้บริการเครือข่ายร่วมกับหน่วยงานอื่นๆ ที่เกี่ยวข้อง การเพิ่มการรักษาและคุ้มครองความปลอดภัยข้อมูลผ่านระบบเครือข่าย

3. เพิ่มประสิทธิภาพในการให้บริการระบบเครือข่ายคอมพิวเตอร์ ให้มีความเสถียรและมีประสิทธิภาพรองรับกับปริมาณฐานข้อมูล และการเคลื่อนไหวของฐานข้อมูล

4. หน่วยงานภายในสานักงานพิสูจน์หลักฐานตำรวจ และผู้มีความรู้ต้องร่วมวิเคราะห์ ออกแบบ วางแผน การจัดการระบบโครงข่ายร่วมกันอย่างบูรณาการ และมีการให้คาปรึกษา แนะนาและแก้ไขปัญหาในการพัฒนาเครือข่าย

5. มีแผนการรักษาความปลอดภัยของระบบเครือข่าย (Network Security ) มีวัตถุประสงค์เพื่อควบคุมบุคคลที่ไม่เกี่ยวข้องไม่ให้เข้าถึง ล่วงรู้ (access risk) หรือแก้ไขเปลี่ยนแปลง (integrity risk) ข้อมูล หรือ การทางานของระบบเครือข่ายที่จะมีผลถึงระบบคอมพิวเตอร์ในส่วนที่มิได้มีอำนาจหน้าที่เกี่ยวข้อง การป้องกันการบุกรุกผ่านระบบเครือข่าย มีวัตถุประสงค์เพื่อป้องกันบุคคล ไวรัส มิให้เข้าถึงหรือสร้างความเสียหาย (availability risk) แก่ข้อมูลหรือการทางานของระบบคอมพิวเตอร์ โดยมีเนื้อหารายละเอียดเกี่ยวกับแนวทางในการรักษาความปลอดภัยข้อมูล ระบบคอมพิวเตอร์ เครื่องแม่ข่ายและระบบเครือข่าย

(1) การบริหารจัดการข้อมูลบนเครือข่าย
- กำหนดชั้นความสำคัญในการเข้าถึงข้อมูลแต่ละประเภท ทั้งการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน รวมถึงการเข้าถึงข้อมูลผ่านระบบเครือข่าย
- ในการรับส่งข้อมูลผ่านเครือข่ายสาธารณะต้องได้รับการเข้ารหัสที่เป็นมาตรฐานสากล
- กำหนดมาตรการรักษาความปลอดภัยข้อมูล เช่น กรณีนาเครื่องคอมพิวเตอร์ส่งซ่อม

(2) การควบคุมการกำหนดสิทธิให้แก่ผู้ใช้งาน (user privilege)
- กำหนดสิทธิการเข้าถึงข้อมูลและระบบคอมพิวเตอร์ เช่น สิทธิการใช้โปรแกรมระบบงานคอมพิวเตอร์ (application system )ให้แก่ผู้ใช้งานให้เหมาะสมกับหน้าที่และความรับผิดชอบ
- กำหนดระยะเวลาการใช้งานของ user พร้อม password และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว
- กำหนดให้มีการเปลี่ยนรหัสผ่านอย่างรอบคอบ และมีชั้นความลับ
- ในกรณีที่มีความจาเป็นต้องให้สิทธิบุคคลอื่นให้มีสิทธิใช้งานระบบคอมพิวเตอร์ เช่น การทดสอบระบบของเจ้าหน้าที่ภายนอกต่างๆ ต้องมีการขออนุมัติจากผู้มีอำนาจ หน้าที่ทุกครั้ง โดยบันทึกเหตุผลและความจาเป็นรวมถึงกำหนดระยะเวลาในการใช้งาน

(3) ควบคุมการใช้งานบัญชีรายชื่อผู้ใช้งาน (user account) และรหัสผ่าน (password)
- กำหนดให้รหัสผ่านมีความยาวตามมาตรฐานสากลโดยทั่วไปไม่ต่ำกว่า ๖ ตัวอักษร
- ควรใช้อักขระพิเศษประกอบ เช่น @ ; < > เป็นต้น
- สาหรับผู้ใช้งานทั่วไปจะมีการเปลี่ยนรหัสผ่านอย่างน้อยทุกๆ ๖ เดือน ส่วนผู้ดูแลระบบควรเปลี่ยนรหัสผ่านอย่างน้อยทุกๆ ๓ เดือน
- ในการเปลี่ยนรหัสผ่านแต่ละครั้งไม่ควรกาหนดรหัสผ่านใหม่ให้ซ้ำของเดิมครั้งสุดท้าย
- กำหนดจานวนครั้งที่ยอมให้ผู้ใช้งานใส่รหัสผ่านผิดได้ไม่เกิน ๓ ครั้ง
- ผู้ใช้งานจะต้องเก็บรหัสผ่านไว้เป็นความลับ ทั้งนี้ในกรณีที่มีการล่วงรู้รหัสผ่าน โดยบุคคลอื่นผู้ใช้งานจะต้องเปลี่ยนรหัสผ่านใหม่โดยทันที

6. การบริหารจัดการและการตรวจสอบระบบเครือข่าย (Network)

(1) กำหนดแบ่งแยกระบบเครือข่ายให้เป็นสัดส่วนตามการใช้งาน เช่น ส่วนเครือข่ายภายในสานักงานพิสูจน์หลักฐานตำรวจและ หน่วยขึ้นตรงสานักงานพิสูจน์หลักฐานตำรวจ
(2) ติดตั้งระบบป้องกันการบุกรุก เช่น Firewall ระหว่างเครือข่ายภายในกับเครือข่ายภายนอกโดยการติดตั้งผ่านอุปกรณ์คอมพิวเตอร์ ติดตั้งระบบป้องกันการบุกรุกในระบบเครือข่ายด้วยซอฟต์แวร์และฮาร์ดแวร์ให้แก่ ระบบ Firewall ซึ่งเป็นซอฟต์แวร์ทาหน้าที่เสมือนกับกาแพงกันไฟไม่ให้ลุกลามขยายตัวหากมีไฟไหม้เกิดขึ้น Firewall จะอาศัยคอมพิวเตอร์เครื่องหนึ่งเป็นด่านเข้าออกเครือข่ายและเป็นเสมือนกาแพงกันไฟ และมีซอฟต์แวร์ที่ผู้ดูแลระบบจะติดตั้งและกำหนดรูปแบบการอนุญาตให้เข้าใช้เครือข่ายอินเทอร์เน็ต
(3) จัดทาแผนผังระบบเครือข่าย / แผนผังการเชื่อมโยงระบบเครือข่าย (network diagram) ซึ่งมีรายละเอียดเกี่ยวกับขอบเขตของเครือข่ายทั้งภายในและภายนอกรวมทั้ง อุปกรณ์เครือข่ายอื่น ๆ ให้เป็นปัจจุบันอยู่เสมอ
(4) ตรวจสอบความปลอดภัยของอุปกรณ์คอมพิวเตอร์ก่อนเชื่อมต่อกับระบบเครือข่าย เช่นตรวจสอบไวรัส เป็นต้น
(5) กำหนดบุคคลผู้รับผิดชอบในการกำหนดแก้ไขหรือเปลี่ยนแปลงค่า parameter ต่างๆของอุปกรณ์เครือข่าย
(6) ข้อควรปฏิบัติในการใช้ระบบ LAN ไร้สายให้ปลอดภัยจากแฮกเกอร์


1. วาง Access Point (AP) ในตำแหน่งที่เหมาะสมไม่ควรวาง AP ไว้ในระบบ LAN ภายในควรวาง AP บริเวณหน้า Firewall จะปลอดภัยกว่า แต่ถ้าจาเป็นจริงๆ ต้องวางภายใน LAN ที่เป็น Internal Network ก็ควรจะมีการเพิ่มการ Authentication, Encryption เข้าไปช่วยในการควบคุมด้วย

2. กำหนดรายการ MAC Address ที่สามารถเข้าใช้ AP ได้เฉพาะที่เราอนุญาตเท่านั้น การ Lock ด้วยวิธีกำหนดค่า MAC Address นั้น แม้ว่าจะไม่ใช้วิธีที่กัน Hacker ได้ ๑๐๐% ก็ตาม เพราะ Hacker สามารถ Spoof ปลอม MAC Address ได้ แต่ก็ยังดีกว่าไม่มีการกำหนดเสียเลย เหมือนกับว่าเราควรมีการป้องกันหลายๆ วิธี การกำหนด MAC Address ให้เฉพาะเครื่องที่เราอนุญาตก็เป็นการกันในชั้นหนึ่ง เพื่อให้ Hacker เกิดความยากลาบากในการ Hack เข้าสู่ระบบ Wireless LAN ของเรา

3. จัดการกับ SSID (Service Set Identifier) ที่ถูกกำหนดเป็นค่า Default มาจากโรงงานผลิตค่า SSID จะถูกกำหนดเป็นค่า Default มาจาก Vendor เช่น Cisco Aironet กำหนดเป็นชื่อ tsunami เป็นต้น เราควรทาการเปลี่ยนค่า SSID ที่เป็นค่า Default ทันทีที่เรานา AP มาใช้งาน และ ควรปิดคุณสมบัติการ Auto Broadcast SSID ของตัว AP ด้วย

4. ใช้ WEP (Wired Equivalent Privacy) security protocol ในการเข้ารหัสข้อมูลระหว่าง IEEE ๘๐๒.๑๑b Wireless LAN Client และ Access Point (AP) มาตรฐาน WEP เป็นมาตรฐานหลักที่มีใน AP ทุกตัว แต่โดยปกติแล้วจะไม่ได้เปิดใช้ ทาให้แฮกเกอร์สามารถใช้โปรแกรม Packet Sniffer เช่น Ethereal (www.ethereal.com) ดักจับ Packet และสามารถอ่านข้อมูลที่เป็น Plain text ได้เพราะ AP มีลักษณะการทางานแบบ HUB ไม่ใช่ Switching เหมือนที่เราใช้กันใน LAN ทุกวันนี้ เราจึงควรมีการเข้ารหัส Packet ของเราในระดับ Layer ๒ เพื่อให้ยากต่อการจับด้วยโปรแกรมประเภทนี้ ถ้าเราเพิ่มการ generate WEP Key เป็นแบบ Dynamic จะช่วยให้ปลอดภัยมากยิ่งขึ้น รวมถึงการใช้งานแบบ Session-Based และ User-Based WEP Key ก็ช่วยได้เช่นกัน


5. อย่าหวังพึ่ง WEP อย่างเดียว เพราะ WEP สามารถที่จะถูก Crack ได้ การเพิ่ม WEP เข้ามาในการใช้งาน Wireless LAN เป็นสิ่งที่ควรทา แต่ WEP ก็ไม่สามารถกันพวกแฮกเกอร์ได้ ๑๐๐% เพราะมีโปรแกรมที่สามารถถอดรหัส WEP ได้ ถ้าได้ IP Packet จานวนมากพอ เช่น โปรแกรม AirSnort จากhttp://www.shmoo.com เป็นต้น เพราะ ฉะนั้นเราควรเพิ่มการป้องกันใน Layer อื่นๆ เข้าไปด้วย


6. ใช้ VPN ร่วมกับการใช้งาน Wireless LAN การใช้ VPN ระหว่าง Wireless LAN Client กับ AP ต่อเชื่อมไปยัง VPN Server เป็นวิธีที่ปลอดภัยมากกว่าการใช้ WEP และ การ Lock MAC Address การใช้ VPN ถือได้ว่าเป็นการป้องกันที่ลึกอีกขั้นหนึ่ง และ เป็นการรักษาความปลอดภัยในลักษณะ end to end อีกด้วย
7. เพิ่มการ Authentication โดยใช้ RADIUS หรือ TACACS Server ถ้าองค์กรมี RADIUS Server หรือ CISCO Secure ACS (TACACS) Server อยู่แล้ว สามารถนามาใช้ร่วมกับ AP ที่มีความสามารถในการตรวจสอบ Username และ Password ก่อนที่ผู้ใช้จะเข้าสู่ระบบ (Authentication Process) และ ทาให้ผู้ใช้ไม่ต้องจาหลาย Username หลาย Password ผู้ใช้สามารถใช้ Username และ Password เดียวกับที่ใช้ในระบบ Internal LAN ได้เลย ทาให้สะดวกในการบริหารจัดการ Account ภายใน และ IT Auditor ควร
ตรวจสอบการเข้าระบบ Wired และ Wireless LAN จาก Log ของระบบด้วย


8. การใช้ Single Sign On (SSO) ดังที่กล่าวมาแล้วในข้อ 7 ควรกำหนดเป็น Security Policy ให้กับองค์กรสาหรับระบบ Wired และ Wireless LAN เพื่อที่เราสามารถที่จะกาหนดคุณสมบัติ AAA ได้แก่ Authentication, Authorization และ Accounting ได้ การใช้งานควรกำหนด Security Policy ทั้งระบบ Wired และ Wireless LAN ไปพร้อมๆ กัน และ แจ้งให้ผู้ใช้ได้ทราบปฏิบัติตาม Security Policy และสามารถตรวจสอบได้


9. อุปกรณ์ Wireless LAN จากแต่ละผู้ผลิตอาจมีคุณสมบัติแตกต่างจากมาตรฐานและมีปัญหาในการทางานร่วมกันแม้ว่าผู้ผลิตอุปกรณ์จะผลิตตามมาตรฐาน IEEE 802.11b ผู้ผลิตบางรายมักจะเพิ่มคุณสมบัติบางอย่างเฉพาะผู้ผลิตรายนั้นๆ เช่น เพิ่มคุณสมบัติทางด้าน security ของอุปกรณ์เป็นต้น เราควรตรวจสอบให้ดีก่อนที่จะติดสินใจซื้อมาใช้งานจริงว่าอุปกรณ์ไม่มีปัญหาในการทางานร่วมกัน


10. ระวัง Rouge AP แม้ว่าจะไม่ได้ใช้ระบบ Wireless LAN เลยก็ตาม การ Hack จากภายในองค์กรในสมัยนี้ทาได้ง่าย แม้องค์กรจะไม่ได้ใช้ระบบ Wireless LAN เลย วิธีการก็คือ มีผู้ไม่หวังดีทาการแอบติดตั้ง AP ที่ไม่ได้รับอนุญาตเข้ากับระบบ Internal LAN เรียกว่า Rouge AP จากนั้นผู้ไม่หวังดีก็สามารถ Access Internal LAN ผ่านทาง Rouge AP ที่ทาการแอบติดตั้งไว้ ซึ่งเขาสามารถเข้าถึงระบบภายในได้ จากภายนอกอาคาร หรือ จากที่จอดรถของหน่วยงานก็ได้ ถ้าระยะห่างไม่เกิน 100 เมตร จาก AP ที่แอบติดตั้งไว้ เราควรมีการตรวจสอบ Rouge AP เป็นระยะๆ โดยใช้โปรแกรม Networkstumbler (http://www.netstumbler.com) เพื่อหาตาแหน่งของ Rouge AP หรือ เราควรติดตั้ง IDS (Intrusion Detection System) เช่น SNORT (http://www.snort.org) เพื่อคอยตรวจสอบพฤติกรรมแปลกๆ ในระบบ Internal LAN ภายในของเราเป็นระยะๆ จะทาให้ระบบของเรามีความปลอดภัยมากขึ้น และ มีการเตือนภัยในลักษณะ Proactive ด้วย