(ดร.เกวลี) โอเค ล่ามได้ยินไหมคะ โอเค สวัสดีค่ะ ก็วันนี้นะคะ เนื้อหาก็ยังจะเป้นในส่วนของบทที่ 7 จะต่อจากสัปดาห์ที่แล้วนะคะ เป็นเนื้อหาของ IDS/IPS เหมือนเดิมนะคะ แต่รายละเอียดก็จะเพิ่มขึ้นก็จะมีเกี่ยวกับช่องโหว่ของระบบคอมพิวเตอร์ด้วย รายงานการแจ้งเตือนต่าง ๆ การติดตั้งผลิตภัณฑ์ต่าง ๆ ของ IDS/IPS นะคะ ช่องโหว่ของระบบคอมพิวเตอร์นี่นะคะ ในมาตรฐานสำหรับการเรียกชื่อต่าง ๆ  แล้วก็การโจมตีนะคะ มาตรฐานที่ใช้ในการเรียกชื่อนะคะ เราจะเรียกว่า "CVE" นะคะ ก็เป็นการรวบรวมข้อมูลจากผู้เชี่ยวชาญทางด้านการรักษาระบบความปลอดภัยทางคอมพิวเตอร์ทั่วโลกซึ่งส่วนใหญ่จะใช้ตัว IDS นะคะ เป็นตัวที่จะ Monitor หรือว่าติดตามต่าง ๆ ของระบบ แล้วก็ตัว IDS นี่ มันก็จะมีการทำ Report หรือว่ารายงาน โดยบอกรายละเอียดต่าง ๆ ของการโจมตีที่เกิดขึ้นนะคะ อาจจะโจมตีสำเร็จ หรือไม่สำเร็จ ก็ต้องเก็บรายละเอียดทั้งหมด รวมถึงช่องโหว่หรือว่าจุดอ่อนของระบบนะคะ ว่าเขาโจมตีตรงส่วนไหน ของการทำงานของเรา ซึ่งประโยชน์ที่ได้รับจากการเก็บข้อมูลต่าง ๆ พวกนี้นี่ จะทำให้ Admin หรือว่าผู้ดูแลระบบนี่ เขาสามารถวิเคราะห์ แล้วก็วางแผนในการปิดช่องโหว่ของระบบที่เราใช้งานอยู่ได้นะคะ ถ้าเราไม่มีการรายงานเลย เราก็จะไม่รู้ ว่าตอนนี้ระบบคอมพิวเตอร์ของเรามีปัญหาหรือเปล่า โดยช่องโหว่ของระบบคอมพิวเตอร์ที่มักจะพบเห็นได้บ่อยนะคะ ก็คือ อันแรกการใส่ข้อมูลผิดพลาดนะคะ หรือการนำเข้าข้อมูลผิดพลาด รวมถึงอาจจะเป็นการที่ระบบนี่ ถูกโจมตี โดยการที่ทำให้ข้อมูลเข้าสู่ระบบมากเกินไปนะคะ อาจจะจริง ๆ แล้วระบบนี่ปกติใช้งานแค่วันละ 100 คน แต่บางทีเราโดนโจมตีโดยที่ทำให้เหมือนกับมีการเข้าใช้งานระบบเป็นแสนเป็นล้านคนนะคะ กับอีกอันหนึ่งคือ ขอบเขตของข้อมูลผิดพลาด อย่างเช่น บัตรประชาชนเรานี่มี 13 หลัก แต่เขาพยายามทำให้มันเกินขึ้นไป เช่น เรากรอกบัตรประชาชน 13 หลักไป มันบอกว่าผิด เพราะว่ามันโจมตีให้กลายเป็น 15 ตัว 16 ตัว ทำให้เราไม่สามารถใช้งานระบบได้ มันมาแก้ไขตรงนี้นะคะ รวมถึงการเข้าถึงระบบผิดพลาด มันจะโจมตีทำให้เรามันจะปิดกั้น ไม่ให้เราสามารถใช้งานระบบได้นะคะ รวมถึงมีการแจ้งให้เกิด Error ต่าง ๆ หรือการทำงานที่ทำให้ผิดเงื่อนไข จนระบบมันรวนไปทั้งหมดนะคะ เช่น พยายามที่จะเข้าสู่ระบบ เข้า ๆ อยู่นั่นแหละ เข้าไม่ได้ ก็ยังพยายามเข้า หรือการกด Refresh หน้าจอบ่อย ๆ นะคะ ทุก ๆ วินาที จนทำให้ระบบมัน Error นะคะ อาจจะเป็นเกี่ยวกับสิ่งแวดล้อมต่าง ๆ ทำให้ระบบ Error นะคะ เช่น อาจจะพยายามที่จะทำให้ระบบไฟฟ้าขัดข้องนะคะ อาจจะเป็นการที่เอาน้ำไปฉีดในสายไฟที่เราจำเป็นจะต้องใช้งาน หรือตั้งใจทำให้น้ำรั่วใส่สายไฟ หรือพยายามที่จุดไฟเผา สิ่งเหล่านี้ก็สามารถเกิดขึ้นได้ ทางธรรมชาติก็มี ภัยธรรมชาติก็ถือว่านับเป็นสิ่งแวดล้อมที่ทำให้ระบบมีช่องโหว่ได้นะคะ รวมถึงการติดตั้งที่จงใจหรืออาจจะไม่ตั้งใจทำให้มันผิดพลาดนะคะ รวมถึงเงื่อนไขต่าง ๆ ที่สามารถทำให้เกิดช่องโหว่ได้ อาจจะตั้งใจหรือไม่ตั้งใจก็อาจจะมีเกิดขึ้นได้นะคะ โดยรายงานการแจ้งเตือนนี่ สิ่งที่ Admin หรือว่าผู้ดูแลระบบจะต้องตั้งค่าให้กับตัว IDS  นะคะ ก็คือลักษณะที่สำคัญของการบุกรุก เช่น มันก็จะเป็นลักษณะของที่เขาพบเจอได้บ่อย หรือความผิดปกติที่สามารถเกิดขึ้นได้นะคะ แล้วก็อาจจะเป็นการคาดเดาเหตุการณ์นะคะ ที่ผู้ดูแลระบบนี่ เขาให้ความสำคัญ เราก็คาดว่าจะเป็นสิ่งที่ทำให้เกิดการบุกรุกได้ในอนาคต อันนี้ก็คือตัวผู้ดูแลระบบนี่ เขาก็จะวิเคราะห์จากรายงานที่ได้มานะคะ ซึ่งเหตุการณ์ที่ระบบ IDS นี่ มันจะรายงานให้ทราบนี่ มีอยู่ 3 ประเภทหลัก ๆ เช่น มีคนเข้ามาสำรวจเครือข่ายเรา โดยที่เราไม่รู้จักว่าเขาเป็นใคร แล้วก็ไม่มีความจำเป็นนะคะ มีการพยายามโจมตีเกิดขึ้นจริง ๆ อาจจะพยายามโจมตีที่ระบบฐานข้อมูล หรือระบบการเข้าใช้ระบบนะคะ แล้วก็อาจจะมีเหตุการณ์น่าสงสัยหรือว่าผิดปกติ เช่น มี User บาง User ใช้ปริมาณของเครือข่ายจำนวนมากผิดปกติ หรือ User นั้น ใช้อินเทอร์เน็ตแบบที่น่าสงสัยนะคะ เช่น คนปกติเขาจะใช้ประมาณ 100-200 แต่มีผู้ใช้งานคนหนึ่ง ใช้ไป 20,000-30,000 แบบนี้นะคะ ก็จะมีการรายงานความผิดปกติได้ การสำรวจเครือข่ายมันเป็นอย่างไรนะคะ มันจะเป็นการสำรวจเพื่อพยายามรวบรวมข้อมูลก่อนที่เขาโจมตีระบบเครือข่ายเรา เช่นตัว IP Scans นะคะ IP Scans นี้ทำอะไร อย่างเช่นห้องนี้ มันก็จะมีโปรแกรมสามารถดูได้ว่า IP Address ของคอมพิวเตอร์แต่ละเครื่อง ทั้ง 20 กว่าเครื่องนี่ IP อะไร เขาสามารถปลอมแปลงเป็น IP นักศึกษาได้ Port Scans ก็คือคอมพิวเตอร์ห้องนี้มีช่องทางในการเชื่อมต่ออินเทอร์เน็ตด้วยใช้ Port อะไร 88 หรือ 89, 90 ถ้าเขารู้แล้วว่าห้องนี้ใช้ Port 88 ถ้าต่อไปเขาจะโจมตีครั้งหน้า เขาก็โจมตีว่าให้ Port 88 ใช้งานไม่ได้ ห้องทั้งห้องนี้ก็ใช้อินเทอร์เน็ตไม่ได้ หรืออาจจะใช้ตัวโทรจันที่เป็นตัวทำการทำงานคล้าย ๆ กับไวรัสนะคะ เข้ามาฝังไว้ รอวันที่เขาจะสั่งให้มันทำงานนะคะ รวมถึงการส่งไฟล์แปลกปลอมมาฝังไว้ หรือให้ดาวน์โหลดไฟล์แปลกปลอมไว้ในเครือข่าย ถ้ามีใครดาวน์โหลดไป อาจจะไม่มีผลทันทีนะคะ ในการโจมตีเขาอาจจะรอเวลาที่เขาจะสั่งโจมตีวันไหนก็ได้ มากับไฟล์ที่เราดาวน์โหลดมาโดยที่เราไม่รู้มาจากไหนนะคะ การโจมตีนี่ การโจมตีเครือข่ายคอมพิวเตอร์นี่  มันก็มีการแบ่งระดับความสำคัญไว้ตามความรุนแรงของการโจมตีนั้น ๆ ถ้าตัว IDS นี่ มันรายงานการโจมตีที่มีความรุนแรงสูงนะคะ ผู้ดูแลระบบนี่ จะต้องตอบสนองต่อการรายงานนั้นทันที เพราะว่าถ้าคุณไม่ป้องกันตอนนั้นหรือตัดระบบเดี๋ยวนั้น การสูญเสียอาจจะมีมากกว่านี้นะคะ โดยปกติแล้วนี่ ผู้ดูแลระบบจะต้องทำการวิเคราะห์เพิ่มเติมว่า อันนี้เป็นการโจมตีจริง ๆ หรือแค่เข้ามา Scan ดูเครือข่ายเราเฉย ๆ อย่างเช่น การโจมตีล่าสุดที่เป็นข่าว ไม่เกิน 1 เดือนที่ผ่านมาก็คือโรงพยาบาลอุดรฯ โดนโจมตีระบบคอมพิวเตอร์ ทำให้คอมพิวเตอร์ทั้งโรงพยาบาลใช้งานไม่ได้ เข้าเรียกว่าเป็นการเรียกค่าไถ่นะคะ พอทุกคน สมัยปัจจุบันนี่ ใช้คอมพิวเตอร์หมด คุณหมอก็ใช้ พยาบาลก็ใช้ คนป่วยก็ต้องใช้ การจะดูฟิล์ม X-ray การจะส่งผลตรวจ ทุกอย่างตอนนี้เราใช้คอมพิวเตอร์ทั้งหมด แต่พอโรงพยาบาลขนาดใหญ่โดนเรียกค่าไถ่ ให้ไม่สามารถใช้ข้อมูลได้ ทุกอย่างกลับไปเป็นกระดาษนะคะ จะดูฟิล์ม X-ray ก็ไม่ได้ เพราะว่าฟิล์ม X-ray อยู่ในคอมพิวเตอร์นะคะ การโจมตีนี้ไม่ใช่ว่าเขาเพิ่งจะโจมตี เขาฝังตัวอยู่ในระบบคอมพิวเตอร์โรงพยาบาลมานานมาก แล้วเขาก็ติดตั้งตัวที่สามารถตัดระบบการทำงานคอมพิวเตอร์ได้ สิ่งที่จะแก้ไขได้คือการจ่ายเงินตามที่มันเรียกค่าไถ่น่ะค่ะ การโจมตีตัวนี้ ถามว่าเราป้องกันได้ไหม ป้องกันได้ แต่บางทีช่องโหว่มันเยอะกว่าที่เราสำรวจไว้นะคะ การโจมตีสามารถเกิดขึ้นได้ตลอด ในห้องนี้ก็อาจจะมีโปรแกรมที่ฝังไว้แล้วสำหรับการโจมตีก็ได้ เราก็ไม่รู้ ถ้าเราไม่ได้สำรวจ แล้วก็คนดูแลระบบ ถ้าไม่ตรวจสอบความปลอดภัยดีเท่าทีควร ก็สามารถโดนโจมตีได้ วันไหนก็ได้ อาจจะตอนนี้ก็ได้ หรืออีก 2 ชั่วโมงก็ได้นะคะ เหตุการณ์ที่น่าสงสัย นอกจากสิ่งที่อาจารย์เคยพูดมาแล้ว คือเอ๊ะ ทำไมคอมพิวเตอร์ฉันดูช้าลง ทำไมห้องนี้รู้สึกใช้อินเทอร์เน็ตเยอะขึ้นนะคะ ถ้าข้อมูลไม่เพียงพอ ตัว IDS นี่ มันก็อาจจะยังรู้ไม่มากพอว่ามันเป็นเหตุการณ์อะไร แต่จะแจ้งเตือนไว้ก่อน ให้ว่ารู้ว่า เอ๊ะ มันน่าสงสัยนะ แล้วก็ให้ผู้ดูแลระบบนี่ ลองมาดูสิว่า มันมีความผิดปกติจากในตัวระบบเอง หรือว่ามีคนพยายามโจมตีนะคะ อาจจะเป็นเกี่ยวกับการใส่หัวของข้อมูลผิดไปจากมาตรฐาน ตัว Header อาจารย์เคยเอาสไลด์ให้ดูแล้วนะคะ สำหรับ Header ในการทำแพ็กเกจเหมือนกัน ส่งข้อมูลเป็นกล่องพัสดุ แล้วคุณจ่าที่อยู่ผิด หรือคุณใส่ที่อยู่เยอะเกินไป จนเกิดสิ่งที่เป็นมาตรฐานนะคะ มันอาจจะเป็นการโจมตีแบบใหม่ก็ได้ หรือว่าตัวที่สร้างที่อยู่ ของเครื่องมันอาจจะเสียนะคะ ก็ต้องให้ผู้ดูแลระบบไปเช็ก ว่าความผิดปกตินี้ มันอันตรายหรือไม่ หรือว่ามันเป็นที่ตัวระบบเองนะคะ การออกแบบแล้วก็การติดตั้ง IDS นี่ ก่อนที่เราจะติดตั้งนะคะ ก็ต้องมีการสำรวจก่อน มีการวางแผนก่อนนะคะ ก็ต้องสำรวจความต้องการ การตรวจจับการบุกรุก แล้วก็เลือกหาวิธีการที่เหมาะสมนะคะ แล้วก็รวมถึงเราต้องคำนึงถึงนโยบายการรักษาความปลอดภัยด้วย ซึ่งองค์กรส่วนใหญ่ เขาก็จะเลือกใช้แบบที่เป็น Host นะคะ แล้วก็ตัว IDS ควบคู่กันไป เพื่อให้ทำงานอย่างมีประสิทธิภาพ เขาจะไม่เลือกอย่างใดอย่างหนึ่ง เขาจะเลือกทั้ง 2 อันเลยนะคะ โดยที่เขาจะติดตั้ง Network Base ก่อน เพื่อป้องกัน Server ที่สำคัญนะคะ ก็การติดตั้งนี่ควรจะเลือกใช้เครื่องมือที่วิเคราะห์ช่องโหว่ แล้วก็ตรวจสอบการทำงานของ IDS ได้ รวมถึงใช้สิ่งที่เราทำรายงานส่ง เอ้ย ทำการบ้านส่งอาจารย์ครั้งที่แล้ว ก็คือ Honeypot ร่วมด้วย ก็คือการล่อตัวผู้โจมตีเข้ามารวมกัน แล้ววิเคราะห์พฤติกรรมของเขานะคะ การติดตั้งนะคะ ถ้าติดตั้งโดยใช้ Hub มันก็จะสามารถติดตั้งได้ง่าย เพราะว่า Hub นี่เป็นตัวแจกจ่าย Package ของระบบอยู่แล้วนะคะ สามารถปรับตัวอุปกรณ์ของเราให้รับกับทุก ๆ Package หรือทุก ๆ ข้อมูลมาได้เลย แต่ถ้าเครือข่ายของใครที่เป็นเครือข่ายที่ใช้ Switch อยู่แล้ว Swicth ก็จะเหมือนกับที่ติดตั้งอยู่หน้าห้องเรียนเรา ความสามารถมันเยอะ การติดตั้งเลยมีความยุ่งยากมากขึ้นนะคะ เพราะว่า Switch นี่ มันจะเป็นตัวส่ง Package ไปยังปลายทางที่เชื่อมต่ออยู่เท่านั้นนะคะ ทำให้ตัว IDS นี่ มันไม่สามารถตรวจจับทุก ๆ Package ที่วิ่งได้ ตัว Hub  นี่ ทุก ๆ ข้อมูลจะมารวมกันก่อน แล้ว Hub ค่อยกระจายออกไป ตัว IDS ก็จะเห็นทุก Package นั่นแหละนะคะ แต่ตัว Switch นี่มันจะต่างกัน ก็คือ มันจะมาเฉพาะส่วนที่เราเชื่อมต่อไว้แล้ว มันจะไม่ได้ผ่านตัว IDS  ทั้งหมด มันเลยทำให้การตรวจจับค่อนข้างยากกว่า ตัวการใช้ Hub นะคะ การเชื่อมต่อตัว IDS กับเครือข่ายนะคะ มีอยู่ 3 วิธี วิธีแรกจะใช้เป็น Port Mirroring นะคะ การสะท้อน ก็จะทำให้ Switch ทุกตัวนี่มีคุณสมบัติเช่นเดียวกันทั้งหมดนะคะ Switch ทุกตัวจะส่งต่อข้อมูลนะคะ หรือว่าตัว Package นี่ จาก Port หนึ่ง ไปอีก Port หนึ่งนะคะ ก็คือเหมือนการสะท้อน สะท้อนไปเลยทันที เช่น การสะท้อนจาก Port ที่เชื่อมกับ Router ไป Firewall สะท้อนไปเลยนะคะ ข้อดีของมัน คือ ติดตั้งง่ายไม่ต้องปรับเปลี่ยนโครงสร้างอะไรบนเครือข่ายเลยนะคะ ไม่กระทบต่อการติดตั้ง Firewall ที่เรามีอยู่แล้วนะคะ ข้อเสีย เป็นการสะท้อนนะคะ มันก็จะเป็นการที่จะทำระหว่างเครื่องต่อเครื่อง หรือ Port ต่อ Port เท่านั้น มันจะทำให้ตัวประสิทธิภาพของตัว Switch ที่เป็นการเชื่อมต่อนี่ ลดลงนะคะ การส่งต่อ Package จะต้องเป็น Package ที่สมบูรณ์เท่านั้นนะคะ บางครั้งนี่ มันเลยทำให้การตรวจจับ Package บางอย่าง ไม่สามารถตรวจสอบได้ มันจะเห็นแต่เฉพาะตัวที่สมบูรณ์ ตัวที่มีข้อผิดพลาด หรือมีข้อมูลที่ไม่สมบูรณ์นี่ มันจะมองไม่เห็น อาจจะทำให้การตรวจสอบความปลอดภัยนี่ มันแย่ลงนะคะ แล้วถ้าการใช้ Hub ล่ะนะคะ มันจะเป็นการใช้งานโดยการวาง Hub อยู่ตรงกลาง ระหว่าง Switch กับตัว Router ที่ใช้หาเส้นทางในการใช้งานอินเทอร์เน็ตนั่นแหละนะคะ แล้วก็เอาตัว IDS ไปเชื่อมต่อกับ Hub Port ใด Port หนึ่งนะคะ ข้อมูลมันก็ยังจะสามารถไหลระหว่าง Router กับ Switch ได้ ตัว IDS ก็ยังสามารถตรวจจับ Package ต่าง ๆ เพราะว่าข้อมูลผ่าน Hub ข้อมูลทุกอันต้องผ่าน Hub ตัว IDS ก็จะรู้ด้วยนะคะ ข้อดี คือ ก็ติดตั้งง่ายนะคะ ไม่มีผลต่อการติดตั้ง Firewall เช่นเดียวกัน รวมถึงราคาถูกกว่า แต่ข้อเสียก็ค่อนข้างเยอะนะคะ เพราะว่ามันไม่สามารถเชื่อมต่อโดยตรงระหว่าง Router กับ Switch ที่เป็นการเชื่อมต่อแบบ Full Duplex ได้ ก็คือเป็นการเชื่อมต่อแบบสมบูรณ์นะคะ การจัดการตัว IDS ผ่าน Hub ตัวเดียว มันอาจจะทำให้มีโอกาสการชนกันของข้อมูล ก็คือปัญหาคอขวดนะคะ เช่น ถ้าทุกอย่างต้องผ่าน Hub แล้ว Hub มีความสามารถที่แจกงานได้น้อย ข้อมูลก็จะช้า รวมถึงข้อมูล อย่างเช่น ถ้าเราสั่งพรินต์เตอร์พร้อมกัน พรินต์พร้อมกันนี่ บางทีถ้าข้อมูลชนกัน สั่งพรินต์พร้อมกัน พรินต์เตอร์ไม่ทำงาน รวมถึงพอมันทำงานหนักมาก ๆ Hub ก็จะเกิดการชำรุดได้ง่ายเพราะว่าทำงานหนัก จริง ๆ แล้ว Hub นี่ มันมีข้อดี ก็คือราคาถูก แต่ก็ไม่เป็นที่นิยม เพราะว่ามันมีปัญหามากกว่าการเชื่อมต่อแบบอื่น ๆ นะคะ กับการใช้ Tap ก็จะเป็นอีกวิธีการหนึ่งที่เอามาแก้ปัญหาการเชื่อมต่อโดย Hub รวมถึงการสะท้อนด้วยนะคะ ตัว Tap นี่ หน้าตามันจะคล้าย ๆ กับ Hub แต่ Tap นี่ สามารถทนต่อข้อผิดพลาดได้เยอะกว่า Hub นะคะ อุปกรณ์แข็งแรงทนทานกว่า มีการเชื่อมต่อที่เป็นแบบถาวร โดยใช้ 2 Port หลัก ลักษณะหน้าตาของ Tap จะเป็นแบบนี้นะคะ ข้อดีนะคะ ทนต่อความผิดพลาด เช่น ถ้าสมมติว่าไฟตก ไฟกระชาก ในชั่วขณะหนึ่ง Port หลัก 2 อันยังทำงานได้ มีไฟฟ้าค้างอยู่นิดหน่อยก็ยังทำงานได้ ไม่มีผลต่อการติดตั้ง โครงสร้างของเครือข่ายไม่มีการเปลี่ยน ประสิทธิภาพของเครือข่ายยังทำงานได้ดีเหมือนเดิม ตัว IDS สามารถติดตาม Package หรือข้อมูลที่มีความผิดปกติได้ จะทำงานคล้าย ๆ กับ Hub เลยค่ะ ก็คือทุกอย่างจะต้องผ่าน IDS เหมือนเดิม IDS ก็ยังมองเห็น แต่ประสิทธิภาพไม่ลดลง ข้อเสียหลัก ๆ เลย คือ อุปกรณ์ยิ่งดีอย่างไร ราคามันก็จะแพงตามนั้นนะคะ แต่ถ้าเรามีการติดตั้ง อาจจะเช่น ปีต่อปี พอหมด 1 ปี คุณจะต้องมาติดตั้งใหม่ หรือมาแก้ไข ปรับข้อมูลเพิ่มใหม่ แล้วตัว IDS จะต้องทำงานในโหมดหายตัวเท่านั้น จะแสดงตัวไม่ได้ ถ้าแสดงตัวปึ๊บ ระบบจะช้านะคะ จะต้องทำในโหมดล่องหน หรือโหมดหายตัวเท่านั้นนะคะ ตัว IDS ที่จะมาติดตั้งกับ Tab ได้ ก็ต้องมีคุณสมบัติที่มากพอสมควร สำหรับตัว IDS เองนะคะ ถ้าอุปกรณที่ราคาถูกหน่อย อาจจะไม่มีโหมดในการล่องหนนะคะ ทุกอย่างถ้า… แทบจะทุกอย่างของระบบคอมพิวเตอร์ ถ้านักศึกษาอยากจะได้ของที่มีคุณภาพนะคะ ก็ต้องแลกกับราคาที่ต้องจ่ายเช่นเดียวกันนะคะ การติดตั้งนะคะ การติดตั้ง คำถามแรกเลย เราจะติดตั้งตรงจุดไหนของเครือข่ายนะคะ ไอ้ตัว IDS นี่ จะเอาติดไว้ข้างหน้า Firewall หรือข้างหลัง Firewall ดีนะคะ ถ้านักศึกษาไปเป็นผู้ดูแลระบบเครือข่ายนี่ บางทีจะต้องวางแผนให้เขาด้วยนะคะ ข้อดี อย่างแรก ถ้าสมมติว่านักศึกษาเลือกแบบติดตั้งข้างหลัง Firewall จะสามารถตรวจจับได้ทันที ถ้ามีใครบุกรุกเข้ามา สามารถตรวจสอบการตั้งค่าและก็ประสิทธิภาพของ Firewall ได้ สามารถตรวจจับการโจมตี แม้ว่าจะอยู่ในโซน DMZ ได้ อันนี้ก็เป็นหัวข้อที่นักศึกษาต้องทำวันนี้นะคะ DMZ ต้องระวังให้ดี มันจะหมายถึง ด้านเครือข่ายนะคะ ไม่ได้หมายถึงชายแดนประเทศบางประเทศนะ รวมถึงอาจตรวจสอบเจอ Package ที่ผิดปกติที่ส่งไปยังภายนอก อันนี้ถ้าเป็นข้อดีของการติดตั้งหลัง Firewall ถ้าเราติดตั้งหน้า Firewall นะคะ มันก็จะยิ่งเก็บสถิติของการโจมตีจากภายนอกได้นะคะ ถ้าติดตั้งบน Backbone หลักของเครือข่ายนะคะ ก็คือ โครงสร้างหลักของเครือข่ายเลย ก็คือเราสามารถติดตามการจราจรที่ไหลเวียนในเครือข่ายได้ แล้วก็มาวิเคราะห์นะคะ ว่าตอนนี้นี่ เหมือนบางทีเราขับรถนี่ ถ้าในเส้นทางปกติที่เรามาเรียนนี่ เราขับรถได้ปกติกับบางวัน ทำไมรถมันเยอะจัง ทำไมรถเขาจอดแบบนี้ เหมือนกันเลยค่ะ เหมือนกับระบบเครือข่าย ปกติเราขับรถมานี่ มันคล่องตัวมาก ทำไมวันนี้รถมันเยอะ ทำไมมีรถจอดขวางทาง แล้วทำไมเขากั้นไม่ให้เราไป มันมีความผิดปกติอะไร เช่นเดียวกับระบบเครือข่ายเลยค่ะ ถ้ามันมีการจราจรที่ผิดปกติไป อาจจะเกิดจากการโจมตีของเครือข่ายก็ได้นะคะ แล้วก็ถ้าเราติดตั้งบนโครงสร้างหลักของเครือข่ายนี่ มันสามารถตรวจจับกิจกรรมที่ไม่ได้รับอนุญาตของผู้ใช้งานทั่วไปก็ได้ แต่ถ้าเราติดตั้งไปในโครงสร้างย่อยของเครือข่ายที่มีความเสี่ยงสูง ข้อดีของมัน คือ มันสามารถตรวจจับการโจมตีที่สำคัญได้ เพราะว่ามันลงลึกเข้าไปในระบบเครือข่ายอีก แล้วก็ลดจำนวนอุปกรณ์ IDS ที่ต้องใช้นะคะ เพราะว่ามันจะไปตรวจจับเฉพาะจุดที่สำคัญเท่านั้น เพื่อความคุ้มค่า คุ้มราคา ประหยัดค่าใช้จ่ายนะคะ การติดตั้งแบบ Host นะคะ เมื่อกี้เป็น Network แล้ว คราวนี้เป็น Host ก็จะติดตั้งเฉพาะกับ Server ที่มีความสำคัญนะคะ เพราะว่าถ้าเราติดตั้งเยอะ ค่าใช้จ่ายมันก็เยอะนะคะ ถ้าเราติดตั้งเฉพาะตัวที่สำคัญนี่ ค่าใช้จ่ายก็จะลดลงนะคะ แล้วก็ทำให้ผู้ดูแลระบบนี่ สามารถเห็นรายงานการแจ้งเตือนจาก Server ที่มีความสำคัญ ๆ ก็พอนะคะ แล้วส่วนใหญ่นี่ เขาก็จะติดตั้งตรงส่วนกลางเท่านั้นเพื่อให้บริหารจัดการง่าย แล้วก็ประสิทธิภาพถ้าจะทำงานได้ดีก็ต้องอยู่กับความชำนาญของคนที่ดูแลระบบ แล้วก็คนติดตั้งด้วย เพราะว่าการที่จะเป็นผู้ดูแลระบบ ในการที่จะตรวจสอบ รวมถึงการติดตั้งตัว IDS ได้นี่ ก็ต้องใช้เวลา แล้วก็ใช้ความรู้พอสมควรเลยนะคะ ผลิตภัณฑ์ IDS/IPS ที่แพร่หลายในปัจจุบัน เขาเรียกว่า Snort นะคะ S-n-o-r-t อันนี้เป็นแบบ Open Source ใช้งานได้ในระบบปฏิบัติการทั้ง Windows  ทั้ง Linux ทั้ง Unix นะคะ มีโหมดการใช้งานอยู่ 4 โหมดหลัก ๆ นะคะ วันนี้งานที่จะให้ทำในห้องนะคะ อันแรกเลย ที่อาจารย์บอกว่าให้ระวังในการค้นหาตัว DMZ จะต้องเป็นตัว DMZ ที่เกี่ยวข้องกับโครงข่าย Network เท่านั้น เป็นพื้นที่อะไรสักอย่าง ให้นักศึกษาลองค้นหาข้อมูลเพิ่มเติม ระวังด้วยว่า DMZ มันจะหมายถึงว่าเป็นพื้นที่ปลอดอาวุธของบางประเทศ อันนี้เราก็ไม่เอานะ เอาเฉพาะในเรื่องเครือข่ายนะคะ แล้วก็ถ้าปีหน้า นักศึกษาจะต้องไปฝึกงาน เราอาจจะได้ฝึกงานเกี่ยวกับการติดตั้งระบบเครือข่าย ถ้าฝึกงานหรือไปทำงานก็ได้ ถ้าจะต้องวางแผนการติดตั้ง IDS แบบ Network-Based  ในสไลด์อาจารย์ก็มีนะคะ นักศึกษาจะเลือกการติดตั้ง Firewall แบบติดตั้งด้านหน้า หรือด้านหลัง เพราะอะไร ให้หาเหตุผลเพิ่มเติมจากในสไลด์อาจารย์ด้วย มันมีเหตุผลอื่นอีกหรือเปล่าที่นักศึกษาเลือกติดตั้งด้านหน้าหรือติดตั้งด้านหลังนะคะ แล้วอุปกรณ์ที่เรียกว่า "Hub" กับ “Network Tap” มันเหมือนหรือต่างกันอย่างไรนะคะ อธิบายเพิ่มเติมมา โดยเฉพาะข้อ 2 เหตุผลของข้อ 2 นี่ อาจารย์มีให้เลือกแล้ว แต่ให้หาเหตุผลเพิ่มเติมด้วยนะคะ ทำใน Classroom นะคะ ส่งใน Classroom เหมือนเดิม ก็เริ่มทำได้เลยค่ะ เดี๋ยวอาจารย์เดินดู [สิ้นสุดการถอดความ]