1
00:00:26,836 --> 00:00:26,965
(อาจารย์) โอเค

2
00:00:26,965 --> 00:00:29,873
ล่ามได้ยินไหมคะ โอเค

3
00:00:29,873 --> 00:00:33,873
สวัสดีค่ะ ก็วันนี้นะคะ

4
00:00:34,507 --> 00:00:38,507
เนื้อหาก็ยังจะเป้นในส่วนของบทที่ 7 จะต่อจากสัปดาห์ที่แล้ว

5
00:00:46,074 --> 00:00:50,074
นะคะ เป็นเนื้อหาของ IDS/IPS เหมือนเดิมนะคะ แต่รายละเอียดก็จะเพิ่มขึ้น

6
00:00:50,112 --> 00:00:54,112
ก็จะมีเกี่ยวกับช่องโหว่ของระบบคอมพิวเตอร์ด้วย

7
00:00:57,249 --> 00:00:59,027
รายงานการแจ้งเตือนต่าง ๆ การติดตั้ง

8
00:00:59,027 --> 00:01:03,027
ผลิตภัณฑ์ต่าง ๆ ของ IDS/IPS นะคะ ช่องโหว่ของระบบคอมพิวเตอร์นี่นะคะ

9
00:01:04,150 --> 00:01:08,150
ในมาตรฐานสำหรับการเรียกชื่อต่าง ๆ  แล้วก็

10
00:01:08,584 --> 00:01:12,584
การโจมตีนะคะ มาตรฐาน

11
00:01:13,019 --> 00:01:15,231
ที่ใช้ในการเรียกชื่อนะคะ เราจะเรียกว่า "

12
00:01:15,231 --> 00:01:18,198
CVE" นะคะ ก็

13
00:01:18,198 --> 00:01:22,198
เป็นการรวบรวมข้อมูลจากผู้เชี่ยวชาญ

14
00:01:26,264 --> 00:01:30,264
ทางด้านการรักษาระบบความปลอดภัยทางคอมพิวเตอร์ทั่วโลก

15
00:01:33,653 --> 00:01:36,736
ซึ่งส่วนใหญ่จะใช้ตัว IDS นะคะ เป็นตัวที่จะ Monitor หรือจะติดตามต่าง ๆ

16
00:01:36,736 --> 00:01:40,224
ของระบบ แล้วก็ตัว IDS  นี่

17
00:01:40,224 --> 00:01:44,224
มันก็จะมีการทำ Report หรือว่ารายงาน โดยบอกรายละเอียด

18
00:01:49,788 --> 00:01:49,920
ต่าง ๆ ของการโจมตีที่เกิดขึ้นนะคะ อาจจะ

19
00:01:49,920 --> 00:01:53,577
โจมตีสำเร็จ หรือไม่สำเร็จก็ต้องเก็บรายละเอียดทั้งหมด

20
00:01:53,577 --> 00:01:56,985
รวมถึงช่องโหว่หรือว่าจุดอ่อนของระบบ

21
00:01:56,985 --> 00:01:58,827
นะคะ ว่าเขาโจมตีตรงส่วนไหน

22
00:01:58,827 --> 00:02:01,913
ของการทำงานของเรา ซึ่งประโยชน์

23
00:02:01,913 --> 00:02:05,913
ที่ได้รับจากการเก็บข้อมูลต่าง ๆ พวกนี้นี่ จะทำให้

24
00:02:08,283 --> 00:02:12,283
Admin หรือว่าผู้ดูแลระบบนี่ เขาสามารถวิเคราะห์

25
00:02:16,092 --> 00:02:20,092
แล้วก็วางแผนในการปิดช่องโหว่ของระบบ

26
00:02:21,525 --> 00:02:23,384
อยู่ได้นะคะ ถ้าเราไม่มีการรายงานเลยเราจะไม่รู้ ว่าตอนนี้ระบบคอมพิวเตอร์ของเรามีปัญหาหรือเปล่า

27
00:02:23,384 --> 00:02:27,384
โดยช่องโหว่ของระบบคอมพิวเตอร์ที่มักจะพบเห็น

28
00:02:29,962 --> 00:02:30,347
ได้บ่อยนะคะ ก็คืออันแรก

29
00:02:30,347 --> 00:02:34,347
การใส่ข้อมูลผิดพลาดนะคะ หรือการนำเข้าข้อมูลผิดพลาด

30
00:02:39,022 --> 00:02:43,022
รวมถึงอาจจะเป็นการที่ระบบนี่ ถูกโจมตี โดยการที่ทำให้ข้อมูลเข้าสู่ระบบมาเกินไป

31
00:02:47,588 --> 00:02:51,588
นะคะ อาจจะจริง ๆ แล้วระบบอาจจะ

32
00:02:51,876 --> 00:02:55,876
ใช้งานแค่วันละ 100 คน แต่บางทีเราโดนโจมตีโดยที่มีการ

33
00:02:58,849 --> 00:02:59,259
เข้าใช้งานระบบเป็นแสนเป็นล้านคนนะคะ

34
00:02:59,259 --> 00:03:03,259
กับอีกอันหนึ่งคืิอขอบเขตของข้อมูลผิดพลาด

35
00:03:07,019 --> 00:03:07,249
อย่างเช่น บัตรประชาชนเรานี่มี 13 หลัก

36
00:03:07,249 --> 00:03:11,249
แต่เขาพยายามทำให้มันเกินขึ้นไป เช่น เรากรอกบัตรประชาชน

37
00:03:18,910 --> 00:03:20,307
มันบอกว่าผิด เพราะว่ามันโจมตีให้กลายเป็น 15 ตัว ตัว 16 ตัว ทำให้เราไม่สามารถใช้งานระบบได้

38
00:03:20,307 --> 00:03:23,567
มันมาแก้ไขตรงนี้นะคะ รวมถึงการ

39
00:03:23,567 --> 00:03:25,842
เข้าถึงระบบผิดพลาด

40
00:03:25,842 --> 00:03:29,842
มันจะโจมตีทำให้เรามันจะปิดกั้นทำให้เราไม่สามารถใช้งานระบบได้

41
00:03:37,856 --> 00:03:41,856
นะคะ รวมถึงมีการแจ้งให้เกิด Error ต่าง ๆ หรือการทำงานที่

42
00:03:42,151 --> 00:03:42,671
ทำให้ผิดเงื่อนไขจนระบบมัน

43
00:03:42,671 --> 00:03:46,671
รวนไปทั้งหมดนะคะ เช่น พยายาม

44
00:03:49,648 --> 00:03:53,648
ที่จะเข้าสู่ระบบ เข้า ๆ อยู่นั่นแหละ เข้าไม่ได้

45
00:03:55,764 --> 00:03:59,764
ก็ยังพยายามเข้า หรือการกด Refresh

46
00:04:01,259 --> 00:04:03,964
หน้าจอบ่อย ๆ นะคะ ทุก ๆ วินาทีจนทำให้ระบบมัน Error นะคะ อาจจะเป็นเกี่ยวกับ

47
00:04:03,964 --> 00:04:07,964
สิ่งแวดล้อมต่าง ๆ ทำให้ระบบ Error นะคะ

48
00:04:12,709 --> 00:04:13,938
เช่น อาจจะพยายามที่จะทำให้ระบบไฟฟ้าขัดข้องนะคะ

49
00:04:13,938 --> 00:04:17,938
อาจจะเป็นการที่เอาน้ำไปฉีด

50
00:04:23,623 --> 00:04:27,623
ในสายไฟที่เราจำเป็นจะต้องใช้งาน หรือตั้งใจทำให้น้ำรั่ว

51
00:04:28,453 --> 00:04:30,032
ใส่สายไฟ หรือพยายาม

52
00:04:30,032 --> 00:04:30,053
ที่จุดไฟเผาสิ่งเหล่านี้ก็

53
00:04:30,053 --> 00:04:34,053
สามารถเกิดขึ้นได้ ทางธรรมชาติก็มี ภัยธรรมชาติก็

54
00:04:38,119 --> 00:04:42,119
นับเป็นสิ่งแวดล้อมที่ทำให้ระบบมีช่องโหว่ได้

55
00:04:43,987 --> 00:04:47,987
นะคะ รวมถึงการติดตั้งที่จงใจหรืออาจจะไม่ตั้งใจทำให้มันผิดพลาด

56
00:04:49,387 --> 00:04:49,692
นะคะ รวมถึงเงื่อนไขต่าง ๆ

57
00:04:49,692 --> 00:04:53,692
ที่สามารถทำให้เกิดช่องโหว่ได้ อาจจะตั้งใจหรือไม่ตั้งใจ

58
00:05:02,093 --> 00:05:06,093
ก็อาจจะมีเกิดขึ้นได้นะคะ โดยรายงานการแจ้งเตือนนี่ สิ่งที่ Admin

59
00:05:07,242 --> 00:05:11,242
หรือว่าผู้ดูแลระบบจะต้องตั้งค่าให้กับตัว IDS

60
00:05:12,295 --> 00:05:16,295
นะคะ ก็คือลักษณะของการบุกรุก

61
00:05:17,963 --> 00:05:19,162
เช่น มันก็จะเป็นลักษณะของที่เขาพบเจอได้บ่อย หรือความผิดปกติที่

62
00:05:19,162 --> 00:05:23,162
สามารถเกิดขึ้นได้นะคะ แล้วก็อาจจะเป็นการคาดเดา

63
00:05:28,564 --> 00:05:31,036
เหตุการณ์นะคะ ที่ผู้ดูแลระบบนี่เขาให้ความสำคัญ เราก็คาดว่าจะเป็น

64
00:05:31,036 --> 00:05:35,036
สิ่งที่ทำให้เกิดการบุกรุกได้ในอนาคต

65
00:05:36,122 --> 00:05:40,122
อันนี้ก็คือตัวผู้ดูแลระบบนี่ เขาก็จะวิเคราะห์

66
00:05:41,536 --> 00:05:45,099
จากรายงานที่ได้มานะคะ

67
00:05:45,099 --> 00:05:48,303
ซึ่งเหตุการณ์ที่ระบบ IDS นี่ มันจะ

68
00:05:48,303 --> 00:05:51,371
รายงานให้ทราบนี่ มีถึง 3 ประเภทหลัก ๆ เช่น

69
00:05:51,371 --> 00:05:55,371
มีคนเข้ามา

70
00:05:55,768 --> 00:05:59,768
สำรวจเครือข่ายเราโดยที่เราไม่รู้จักว่าเขาเป็นใคร

71
00:06:05,173 --> 00:06:06,300
แล้วก็ไม่มีความจำเป็นนะคะ มีการพยายามโจมตี

72
00:06:06,300 --> 00:06:08,122
เกิดขึ้นจริง ๆ  อาจจะพยายามโจมตีที่

73
00:06:08,122 --> 00:06:12,040
ระบบฐานข้อมูล หรือระบบการใช้ระบบนะคะ

74
00:06:12,040 --> 00:06:16,040
แล้วก็อาจจะมีเหตุการนร่าสงสัยหรือว่าผิดปกติ

75
00:06:22,984 --> 00:06:26,984
มี User บาง User ใช้ปริมาณของเครือข่ายจำนวนมากผิดปกติ หรือ User นั้น ใช้อินเทอร์เน็ต

76
00:06:30,913 --> 00:06:32,874
แบบที่น่าสงสัย

77
00:06:32,874 --> 00:06:33,290
นะคะ เช่น คนปกติเขาจะใช้ประมาณ 100-200

78
00:06:33,290 --> 00:06:37,290
แต่มีผู้ใช้งานคนหนึ่งใช้ไป 20,000-

79
00:06:41,770 --> 00:06:45,770
30,000 แบบนี้นะคะ ก็จะมีการรายงานความผิดปกติ

80
00:06:47,474 --> 00:06:50,585
ได้ การสำรวจเครือข่าย

81
00:06:50,585 --> 00:06:54,585
มันเป็นอย่างไรนะคะ มันจะเป็นการสำรวจเพื่อพยายามรวบรวมข้อมูลก่อนที่เขา

82
00:07:01,999 --> 00:07:04,274
โจมตีระบบเครือข่ายเรา เช่นตัว IP Scan

83
00:07:04,274 --> 00:07:08,274
นะคะ IP Scans นี้ทำอะไร อย่างเช่นห้องนี้

84
00:07:08,443 --> 00:07:12,443
มันก็จะมีโปรแกรมสามารถดูได้ว่า IP Address ของคอมพิวเตอร์แต่ละเครื่อง มี

85
00:07:17,739 --> 00:07:20,185
IP อะไร เขาสามารถปลอมแปลงเป็น IP

86
00:07:20,185 --> 00:07:24,185
นักศึกษาได้ Port Scans ก็คือคอมพิวเตอร์

87
00:07:24,793 --> 00:07:27,734
ห้องนี้มีช่องทางในการเชื่อมต่ออินเทอร์เน็ตใช้ Port อะไร

88
00:07:27,734 --> 00:07:30,729
88 หรือ 89, 90 ถ้าเขารู้แล้วว่าห้องนี้ใช้ 88 ถ้า

89
00:07:30,729 --> 00:07:34,729
ต่อไปเขาจะโจมตีครั้งหน้า ให้ Port 88

90
00:07:41,187 --> 00:07:42,090
ใช้งานไม่ได้ ห้องทั้งห้องนี้ก็ใช้อินเทอร์เน็ตไม่ได้

91
00:07:42,090 --> 00:07:46,090
หรืออาจจะใช้ตัวโทรจัน

92
00:07:49,102 --> 00:07:50,283
ไวรัสนะคะ เข้ามาฝังไว้

93
00:07:50,283 --> 00:07:50,754
รอวันที่เขาจะสั่งให้มันทำงานนะคะ

94
00:07:50,754 --> 00:07:54,419
รวมถึงการส่งไฟล์แปลกปลอมมาฝังไว้

95
00:07:54,419 --> 00:07:58,419
หรือให้ดาวน์โหลดไฟล์แปลกปลอม

96
00:07:59,005 --> 00:08:03,005
ไว้ในเครือข่าย ถ้ามีใครดาวน์โหลดไป

97
00:08:04,691 --> 00:08:08,691
อาจจะไม่มีผลทันทีนะคะ ในการโจมตีเขาอาจจะ

98
00:08:11,483 --> 00:08:15,483
รอเวลาที่เขาจะสั่งโจมตีวันไหนก็ได้ มากับไฟล์ที่เราดาวน์โหลดมาจากไฟล์โดยที่เราไม่รู้มาจากไหน

99
00:08:23,024 --> 00:08:27,024
นะคะ การโจมตีนี่ การโจมตีเครือข่ายคอมพิวเตอร์นี่  มันก็จะแบ่งระดับ

100
00:08:29,049 --> 00:08:30,340
ตามความรุนแรงของการโจมตีนั้น ๆ ถ้าตัว IDS นี่ มันรายงานการโจมตี

101
00:08:30,340 --> 00:08:34,340
ที่มีความรุนแรงสูงนะคะ ผู้ดูแลระบบนี่

102
00:08:35,485 --> 00:08:39,485
จะต้องตอบสนองต่อการรายงานนั้นทันที

103
00:08:40,506 --> 00:08:43,503
เพราะว่าถ้าคุณไม่ป้องกันตอนนั้นหรือตัดระบบ

104
00:08:43,503 --> 00:08:47,333
เดี๋ยวนั้น การสูญเสียจะมี

105
00:08:47,333 --> 00:08:51,333
มากกว่านี้นะคะ โดยปกติแล้วนี่ ผู้ดูแลระบบ

106
00:08:53,909 --> 00:08:57,909
จะต้องทำการวิเคราะห์เพิ่มเติมว่า อันนี้

107
00:09:03,036 --> 00:09:06,009
เป็นการโจมตีจริง ๆ หรือแค่เข้ามา Scan ดูเครือข่ายเราเฉย ๆ

108
00:09:06,009 --> 00:09:10,009
อย่างเช่น การโจมตีล่าสุดที่เป็นข่าว

109
00:09:11,287 --> 00:09:15,287
ไม่เกิน 1 เดือนที่ผ่านมาคือโรงพยาบาลอุดรฯ

110
00:09:17,938 --> 00:09:21,026
โจมตีระบบคอมพิวเตอร์ ทำให้คอมพิวเตอร์ทั้งโรงพยาบาลใช้งานไม่ได้

111
00:09:21,026 --> 00:09:25,026
เข้าเรียกว่าเป็นการเรียกค่าไถ่นะคะ พอทุกคน สมัยปัจจุบันนี่ใช้คอมพิวเตอร์

112
00:09:27,574 --> 00:09:31,574
หมด คุณหมอก็ใช้ พยาบาลก็ใช้ คนไข้ก็ใช้

113
00:09:34,489 --> 00:09:36,139
การจะดูฟิล์ม X-ray การจะส่งผลตรวจเราใช้คอมพิวเตอร์ทั้งหมด

114
00:09:36,139 --> 00:09:36,205
แต่พอโรงพยาบาลขนาดใหญ่เรียกค่าไถ่

115
00:09:36,205 --> 00:09:40,205
ให้ไม่สามารถใช้ข้อมูลได้ ทุกอย่างกลับไปเป็น

116
00:09:44,562 --> 00:09:48,562
กระดาษนะคะ จะดูฟิล์ม X-ray ก็ไม่ได้

117
00:09:50,433 --> 00:09:54,433
ฟิล์ม X-ray อยู่ในคอมพิวเตอร์ การโจมตีนี้ไม่ใช่ว่าเขาเพิ่งจะโจมตี เขาฝังตัวอยู่ในระบบคอมพิวเตอร์

118
00:09:55,337 --> 00:09:55,845
โรงพยาบาลมานานมาก

119
00:09:55,845 --> 00:09:59,845
แล้วเขาก็ติดตั้งตัวที่

120
00:10:03,043 --> 00:10:04,873
สามารถตัดระบบการทำงานคอมพิวเตอร์ได้ สิ่งที่จะแก้ไข

121
00:10:04,873 --> 00:10:08,873
ได้คือการจ่ายเงินตามที่มันเรียกค่าไถ่น่ะค่ะ

122
00:10:08,912 --> 00:10:12,912
การโจมตีตัวนี้ ถามว่าเราป้องกันได้ไหม เราป้องกันได้

123
00:10:16,097 --> 00:10:19,283
แต่บางทีช่องโหว่มันเยอะกว่าที่เรา

124
00:10:19,283 --> 00:10:20,560
สำรวจไว้นะคะ การโจมตีสามารถเกิดขึ้นได้ตลอด

125
00:10:20,560 --> 00:10:24,560
ในห้องนี้ก็อาจจะมีโปรแกรมที่ฝังไว้แล้ว

126
00:10:28,089 --> 00:10:32,089
สำหรับการโจมตีก็ได้ เราก็ไม่รู้ ถ้าเราไม่ได้สำรวจ

127
00:10:32,249 --> 00:10:34,111
แล้วก็คนดูแลระบบถ้าไม่ตรวจสอบความ

128
00:10:34,111 --> 00:10:38,111
ปลอดภัยดีเท่าทีควรก็โดนโจมตีตอนไหนก็ได้

129
00:10:41,342 --> 00:10:45,342
อาจจะตอนนี้ก็ได้ หรืออีก 2 ชั่วโมงก็ได้นะคะ เหตุการณ์ที่น่าสงสัย นอกจาก

130
00:10:48,348 --> 00:10:52,209
สิ่งที่อาจารย์เคยพูดมาแล้ว เอ๊ะ ทำไมคอมพิวเตอร์

131
00:10:52,209 --> 00:10:52,263
ห้องนี้รู้สึกใช้อินเทอร์เน็ตเยอะขึ้นนะคะ ถ้า

132
00:10:52,263 --> 00:10:56,263
ข้อมูลมันไม่เพียงพอ ตัว IDS นี่

133
00:10:56,287 --> 00:11:00,287
มันก็อาจจะยังรู้ไม่มากพอว่ามันเป็นเหตุการณ์

134
00:11:01,112 --> 00:11:04,320
อะไร แต่จะแจ้งเตือนไว้ก่อน

135
00:11:04,320 --> 00:11:07,301
ให้ว่ารู้ว่า เอ๊ะ มันน่าสงสัยนะ แล้วก็

136
00:11:07,301 --> 00:11:11,301
ให้ผู้ดูแลระบบนี่มาดูสิว่า

137
00:11:14,191 --> 00:11:18,191
มันมีความผิดปกติจากในตัวระบบเอง หรือว่ามันมีการ

138
00:11:20,722 --> 00:11:24,722
พยายามโจมตีนะคะ อาจจะเป็น

139
00:11:25,632 --> 00:11:27,471
การใส่หัวของข้อมูลผิดไปจากมาตรฐาน ตัว Header อาจารย์เคย

140
00:11:27,471 --> 00:11:31,471
เอาสไลด์ให้ดูแล้วนะคะ สำหรับ Header ในการทำแพ็กเกจ

141
00:11:39,093 --> 00:11:39,865
เหมือนกัน ส่งข้อมูลเป็นกล่องพัสดุ

142
00:11:39,865 --> 00:11:41,703
แล้วคุณจ่าที่อยู่ผิดหรือคุณใส่ที่อยู่เยอะเกินไป

143
00:11:41,703 --> 00:11:45,703
จนเกิดสิ่งที่เป็นมาตรฐานนะคะ มันอาจจะเป็นการโจมตีแบบใหม่ก็ได้ หรือว่า

144
00:11:50,299 --> 00:11:53,974
ตัวที่สร้างที่อยู่ ของเครื่องมันอาจจะเสียนะคะ ก็ต้อง

145
00:11:53,974 --> 00:11:57,974
ให้ผู้ดูแลระบบไปเช็กว่าความผิดปกตินี้

146
00:11:59,722 --> 00:12:03,722
มันอันตรายหรือไม่ หรือว่ามันเป็นที่ตัวระบบเอง

147
00:12:06,635 --> 00:12:10,535
นะคะ การออกแบบแล้วก็การ

148
00:12:10,535 --> 00:12:11,301
ติดตั้ง IDS นี่ ก่อนที่เราจะติดตั้งนะคะ

149
00:12:11,301 --> 00:12:15,301
ก็ต้องมีการสำรวจก่อน มีการวางแผนก่อนนะคะ

150
00:12:16,946 --> 00:12:20,946
ก็ต้องสำรวจความต้องการ

151
00:12:22,221 --> 00:12:26,221
การตรวจจับการบุกรุก แล้วก็หาวิธีการที่เหมาะสม

152
00:12:29,096 --> 00:12:33,096
นะคะ แล้วก็เราต้องคำนึงถึงการรักษาโนบายความปลอดภัยด้วย

153
00:12:33,609 --> 00:12:37,609
ซึ่งองค์กรส่วนใหญ่ก็จะเลือกใช้แบบที่เป็น Host นะคะ แล้วก็ตัว IDS  ควบคู่

154
00:12:40,022 --> 00:12:44,022
กันไป เพื่อให้ทำงานอย่างมีประสิทธิภาพ เขาจะไม่เลือกอย่างใดอย่างหนึ่ง

155
00:12:47,113 --> 00:12:51,113
เขาจะเลือกทั้ง 2 อันเลยนะคะ โดยที่เขาจะติดตั้ง Network Base ก่อน

156
00:12:53,079 --> 00:12:57,079
เพื่อป้องกัน Server ที่สำคัญนะคะ ก็

157
00:13:00,416 --> 00:13:02,307
การติดตั้งนี่ควรจะเลือกใช้เครื่องมือที่วิเคราะห์ช่องโหว่

158
00:13:02,307 --> 00:13:03,801
แล้วก็ตรวจสอบการทำงานของ IDS ได้

159
00:13:03,801 --> 00:13:07,801
รวมถึงใช้สิ่งที่เราทำการบ้านส่งอาจารย์ครั้งที่แล้ว

160
00:13:09,317 --> 00:13:13,317
ก็คือ Honeypot ร่วมด้วย ก็คือการล่อ

161
00:13:17,096 --> 00:13:17,815
ตัวผู้โจมตีเข้ามารวมกัน แล้ววิเคราะห์พฤติกรรมของเขานะคะ

162
00:13:17,815 --> 00:13:21,815
กาาติดตั้งนะคะ

163
00:13:22,427 --> 00:13:26,427
ถ้าติดตั้งโดยใช้ Hub มันก็จะติดตั้งได้ง่าย

164
00:13:32,992 --> 00:13:35,028
เพราะว่า Hub นี่เป็นตัวแจกจ่าย Package

165
00:13:35,028 --> 00:13:36,752
ของระบบอยู่แล้วนะคะ สามารถปรับตัวอุปกรณ์ของเรา

166
00:13:36,752 --> 00:13:40,752
ให้รับกับทุก ๆ Package หรือทุก ๆ

167
00:13:40,836 --> 00:13:44,836
ข้อมูลมาได้เลย แต่ถ้าเครือข่ายของใคร

168
00:13:46,918 --> 00:13:48,625
ที่เป็นเครือข่ายที่ใช้ Switch อยู่แล้ว

169
00:13:48,625 --> 00:13:52,625
Swicth ก็จะเหมือนตัวที่ติดตั้งอยู่หน้าห้องเรา ความสามารถมันเยอะ

170
00:13:59,136 --> 00:14:03,136
การติดตั้งเลยมีความยุ่งยากมากขึ้นนะคะ เพราะว่า Switch นี่จะเป็นตัวส่ง

171
00:14:06,496 --> 00:14:10,496
เชื่อมต่ออยู่เท่านั้นนะคะ ทำให้ตัว IDS มันไม่สามารถตรวจจับทุก ๆ Package

172
00:14:11,163 --> 00:14:13,022
ที่วิ่งได้ ตัว Hub  นี่ ทุก ๆ ข้อมูลจะมา

173
00:14:13,022 --> 00:14:17,022
รวมกันก่อน แล้ว Hub ค่อยกระจายออกไป

174
00:14:21,480 --> 00:14:21,517
ก็จะเห็นทุก Package นั่นแหละนะคะ แต่ตัว Switch นี่

175
00:14:21,517 --> 00:14:25,517
มันจะต่างกัน ก็คือ

176
00:14:28,602 --> 00:14:29,870
มันจะไม่ได้ผ่านตัว IDS  ทั้งหมด มันจะทำ

177
00:14:29,870 --> 00:14:33,870
ให้การตรวจจับค่อนข้างยากกว่าการใช้ Hub นะคะ

178
00:14:36,577 --> 00:14:37,517
การเชื่อมต่อตัว IDS กับเครือข่าย

179
00:14:37,517 --> 00:14:38,409
นะคะ มีอยู่ 3 วิธี วิธีแรก

180
00:14:38,409 --> 00:14:42,409
จะใช้เป็น Port Mirroring นะคะ การสะท้อน

181
00:14:46,183 --> 00:14:50,183
ก็จะทำให้ Switch ทุกตัวนี่มีคุณสมบัติ

182
00:14:52,784 --> 00:14:56,784
เช่นเดียวกันทั้งหมดนะคะ Switch ทุกตัวจะส่งต่อข้อมูลนะคะ หรือว่าตัว Package

183
00:15:03,157 --> 00:15:05,906
จาก Port หนึ่ง ไปอีก Port หนึ่ง

184
00:15:05,906 --> 00:15:09,906
ก็คือเหมือนการสะท้อน สะท้อนไปเลยทันที

185
00:15:10,447 --> 00:15:13,711
เช่น การสะท้อนจาก Port ที่เชื่อมจาก Router ไป Firewall

186
00:15:13,711 --> 00:15:13,914
สะท้อนไปเลยนะคะ ข้อดีของมัน คือ สะท้อนไปเลยนะคะ ข้อดีของมัน คือ

187
00:15:13,914 --> 00:15:17,914
ติดตั้งง่าย ไม่ต้องปรับเปลี่ยนโครงสร้างอะไรบนเครือข่าย

188
00:15:23,166 --> 00:15:25,534
เลยนะคะ ไม่กระทบต่อการติดตั้ง Firewall

189
00:15:25,534 --> 00:15:28,441
ที่เรามีอยู่แล้วนะคะ ข้อเสีย เป็นการสะท้อนนะคะ มันก็จะเป็นการที่จะทำระหว่าง

190
00:15:28,441 --> 00:15:32,441
เครื่องต่อเครื่อง หรือ Port ต่อ Port เท่านั้น

191
00:15:33,706 --> 00:15:37,706
มันจะทำให้ตัวประสิทธิภาพของตัว Switch ที่มีการเชื่อมต่อนี่

192
00:15:42,641 --> 00:15:46,641
ลดลงนะคะ การส่งต่อ package

193
00:15:50,835 --> 00:15:54,835
นะคะ บางครั้งนี่ มันเลยทำให้การตรวจจับ Package บางอย่าง

194
00:15:56,310 --> 00:16:00,310
ไม่สามารถตรวจสอบได้ มันจะเห็นแต่เฉพาะตัวที่สมบูรณ์ ตัวที่มีข้อผิดพลาด หรือมีข้อมูลที่ไม่สมบูรณ์นี่

195
00:16:03,236 --> 00:16:07,236
มันจะมองไม่เห็น อาจจะทำให้การตรวจสอบความปลอดภัย มันแย่ลง

196
00:16:12,223 --> 00:16:15,682
นะคะ แล้วถ้าการใช้ Hub ล่ะนะคะ มันจะเป็นการใช้งานโดย

197
00:16:15,682 --> 00:16:19,682
การวาง Hub  อยู่ตรงกลาง ระหว่างตัว Switch  กับ Router

198
00:16:27,183 --> 00:16:30,014
ที่ใช้หาเส้นทางในการใช้งานอินเทอร์เน็ตนั่นล่ะ

199
00:16:30,014 --> 00:16:32,510
แล้วก็เอาตัว IDS ไปเชื่อมต่อกับ Hub Port ใด Port หนึ่ง

200
00:16:32,510 --> 00:16:36,510
นะคะ ข้อมูลมันก็ยังจะสามารถไหลระหว่าง Router กับ Switch  ได้ ตัว IDS

201
00:16:42,339 --> 00:16:46,339
ก็ยังสามารถตรวจจับ Package ต่าง ๆ

202
00:16:47,190 --> 00:16:51,190
ข้อมูลทุกอันจะต้องผ่าน Hub ตัว IDS ก็จะรู้ด้วยนะคะ ข้อดี คือ ก็ติดตั้งง่ายนะคะ ไม่มีผล

203
00:16:51,353 --> 00:16:55,353
ต่อการติดตั้ง Firewall เช่นกัน รวมถึงราคาถูกกว่า

204
00:17:01,871 --> 00:17:05,871
แต่ข้อเสียก็ค่อนข้างเยอะนะคะ เพราะว่ามันไม่สามารถเชื่อมต่อโดยตรงระหว่าง Router กับ switch

205
00:17:10,341 --> 00:17:12,891
แบบ Full Duplex ได้ ก็คือเป็นการเชื่อมต่อแบบสมบูรณ์นะคะ

206
00:17:12,891 --> 00:17:14,885
การจัดการตัว IDS ผ่าน Hub ตัวเดียว

207
00:17:14,885 --> 00:17:17,272
มันอาจจะทำให้มีโอกาสการชนกันของข้อมูล ก็คือ

208
00:17:17,272 --> 00:17:21,272
ปัญหาคอขวดนะคะ เช่น ถ้าทุกอย่างต้องผ่าน Hub

209
00:17:22,228 --> 00:17:26,228
แล้ว Hub มีความสามารถที่แจกงานได้น้อย ข้อมูล

210
00:17:27,549 --> 00:17:31,549
ก็จะช้า รวมถึงข้อมูลอย่างเช่น ถ้าเราส่งพ

211
00:17:35,204 --> 00:17:37,917
รินต์พรินต์พร้อมกันนี่ บางทีข้อมูลชนกัน สั่งพรินต์พร้อมกัน Printer ไม่ทำงาน รวมถึงพอมันทำงานหนัก

212
00:17:37,917 --> 00:17:41,587
มาก ๆ Hub ก็จะเกิดการชำรุด

213
00:17:41,587 --> 00:17:45,587
ได้ง่ายเพราะว่าทำงานหนัก จริง

214
00:17:51,205 --> 00:17:53,491
ๆ มันมีข้อดี ก็คือราคาถูก แต่ก็ไม่เป็นที่นิยม เพราะว่ามันมีปัญหามากกว่าการเชื่อมต่อแบบอื่น ๆ

215
00:17:53,491 --> 00:17:55,308
นะคะ กับการใช้  Tap

216
00:17:55,308 --> 00:17:59,308
ก็จะเป็นอีกวิธีการหนึ่งที่เอามาแก้ปัญหา

217
00:18:05,054 --> 00:18:09,054
การเชื่อมต่อโดย Hub รวมถึงการสะท้อนด้วยนะคะ ตัว Tap นี่หน้าตามันจะคล้าย ๆ กับ Hub

218
00:18:11,612 --> 00:18:15,612
Tap นี่ สามารถทนต่อข้อผิดพลาด

219
00:18:18,022 --> 00:18:18,974
ได้เยอะกว่า Hub นะคะ

220
00:18:18,974 --> 00:18:22,974
อุปกรณ์แข็งแรงทนทานกว่า มีการเชื่อมต่อที่

221
00:18:23,521 --> 00:18:27,521
เป็นแบบถาวร โดยใช้ 2 Port หลัก ลักษณะหน้าตา Tap

222
00:18:31,220 --> 00:18:35,220
จะเป็นแบบนี้นะคะ ข้อดีนะคะ ทนต่อความผิดพลาด เช่น ถ้าว่าไฟตก ไฟกระชาก

223
00:18:39,056 --> 00:18:39,467
ในชั่วขณะหนึ่ง

224
00:18:39,467 --> 00:18:43,467
Port หลัก 2 อันยังทำงานได้ มีไฟฟ้าค้าง

225
00:18:47,967 --> 00:18:51,967
อยู่นิดหน่อยก็ยังทำงานได้ ไม่มีผลต่อการ

226
00:18:54,326 --> 00:18:55,709
ติดตั้ง โครงสร้างของเครือข่ายไม่มีการเปลี่ยน ประสิทธิภาพของเครือข่ายยังทำงานได้ดีเหมือนเดิม

227
00:18:55,709 --> 00:18:59,709
ตัว IDS สามารถติดตาม

228
00:19:00,877 --> 00:19:04,877
Package หรือข้อมูลที่มีความผิดปกติได้

229
00:19:10,757 --> 00:19:12,725
จะคล้าย ๆ กับ Hub เลยค่ะ IDS

230
00:19:12,725 --> 00:19:16,725
เหมือนเดิม IDS ก็ยังมองเห็น ประสิทธิภาพก็ยังเหมือนเดิม

231
00:19:19,127 --> 00:19:22,737
ข้อเสียหลัก ๆ เลย คือ อุปกรณ์ยิ่งดีอย่างไร ราคาก็จะแพงตามนั้นนะคะ แต่ถ้าเรามีการติดตั้ง อาจจะเช่น

232
00:19:22,737 --> 00:19:26,737
ปีต่อปี พอหมด 1 ปี คุณจะต้องมาติดตั้งใหม่

233
00:19:30,422 --> 00:19:32,937
หรือว่าแก้ไข ปรับข้อมูลเพิ่มใหม่ แล้ว

234
00:19:32,937 --> 00:19:36,937
ตัว IDS จะต้องทำงานในโหมดหายตัวเท่านั้น

235
00:19:38,989 --> 00:19:39,240
จะแสดงตัวไม่ได้ ถ้าแสดงตัวปึ๊บ

236
00:19:39,240 --> 00:19:43,240
ระบบจะช้านะคะ จะต้องทำในโหมดล่องหน หรือว่าในโหมดปิดตา

237
00:19:49,159 --> 00:19:52,817
เท่านั้นนะคะ ตัว IDS ที่จะมาติดตั้ง

238
00:19:52,817 --> 00:19:56,817
กับ Tab ได้ก็ต้องมีคุณสมบัติที่มากพอสมควร

239
00:19:57,980 --> 00:20:01,980
สำหรับตัว IDS เองนะคะ ถ้าอุปกรณที่ราคาถูกหน่อยจะไม่มีโหมดล่องหน

240
00:20:03,388 --> 00:20:04,953
นะคะ ทุกอย่างแทบจะทุกอย่าง

241
00:20:04,953 --> 00:20:08,953
ของระบบคอมพิวเตอร์ ถ้านักศึกษาอยากจะได้

242
00:20:11,477 --> 00:20:11,603
ของที่มีคุณภาพนะคะ ก็ต้องแลกกับราคาที่ต้องจ่าย

243
00:20:11,603 --> 00:20:13,765
เช่นเดียวกันนะคะ

244
00:20:13,765 --> 00:20:17,765
การติดตั้งนะคะ การติดตั้ง

245
00:20:18,207 --> 00:20:22,207
คำถามแรกเลยเราจะติดตั้งตรงจุดไหน

246
00:20:24,731 --> 00:20:26,573
ของเครือข่ายนะคะ ไอ้ตัว IDS นี่

247
00:20:26,573 --> 00:20:30,573
จะเอาติดไว้ข้างหน้า Firewall หรือ

248
00:20:34,911 --> 00:20:38,911
หรือข้างหลัง Firewall ดีนะคะ ถ้านักศึกษาเป็นผู้ดูแลระบบ

249
00:20:41,612 --> 00:20:43,662
เครือข่ายนี่ บางทีจะต้องวางแผนให้เขาด้วยนะคะ

250
00:20:43,662 --> 00:20:44,853
ข้อดี อย่างแรก ถ้าสมมตินักศึกษาเลือก

251
00:20:44,853 --> 00:20:45,793
แบบติดตั้งข้างหลัง Firewall

252
00:20:45,793 --> 00:20:49,793
จะสามารถตรวจจับได้ทันที ถ้ามีใครบุกรุกเข้ามา

253
00:20:52,820 --> 00:20:56,820
สามารถตรวจสอบการตั้งค่าและก็ประสิทธิภาพ

254
00:21:01,477 --> 00:21:05,477
ของ Firewall ได้ สามารถตรวจจับการโจมตี แม้ว่าจะอยู่ในโซน DMZ ได้

255
00:21:07,062 --> 00:21:11,062
อันนี้ก็เป็นหัวข้อที่นักศึกษาต้องทำวันนี้

256
00:21:11,726 --> 00:21:15,726
DMZ ต้องระวังให้ดี มันจะหมายถึง

257
00:21:18,836 --> 00:21:22,239
เครือข่ายนะคะ ไม่ได้หมายถึงชายแดนประเทศบางประเทศนะ รวมถึงอาจตรวจสอบเจอ Package ที่ผิดปกติ

258
00:21:22,239 --> 00:21:25,515
ที่ส่งไปยังภายนอก อันนี้ถ้าเป็นข้อดีของการติดตั้ง

259
00:21:25,515 --> 00:21:29,515
หลัง Firewall ถ้าเราติดตั้งหน้า Firewall

260
00:21:34,277 --> 00:21:38,277
มันก็จะยิ่งเก็บสถิติการโจมตีจากภายนอกได้นะคะ ถ้าติดตั้ง

261
00:21:38,761 --> 00:21:42,761
บน Backbone หลักของเครือข่าย

262
00:21:48,260 --> 00:21:52,260
โครงสร้างหลักของเครือข่ายเลย ก็คือเราสามารถติดตามการจราจรที่ไหลเวียนในเครือข่ายได้

263
00:21:53,503 --> 00:21:53,978
แล้วก็มาวิเคราะห์นะคะ

264
00:21:53,978 --> 00:21:57,978
ว่าตอนนี้นี่ เหมือนบางทีเราขับรถนี่

265
00:22:01,259 --> 00:22:05,048
ถ้าในเส้นทางปกติที่เรามาเรียนนี่เราขับรถได้ปกติ

266
00:22:05,048 --> 00:22:09,048
กับบางวัน ทำไมรถมันเยอะจัง ทำไมรถเขาจอดแบบนี้

267
00:22:09,488 --> 00:22:13,488
เหมือนกันเลยค่ะ เหมือนกับระบบเครือข่าย ปกติ

268
00:22:14,198 --> 00:22:18,198
เราขับรถมานี่ มันคล่องตัวมาก ทำไมวันนี้

269
00:22:20,739 --> 00:22:23,677
รถมันเยอะ ทำไมมีรถจอดขวางทาง แล้วทำไมเขากั้น

270
00:22:23,677 --> 00:22:23,735
ไม่ให้เราไป มันมีความผิดปกติอะไร เช่นเดียวกันกับ

271
00:22:23,735 --> 00:22:27,735
ระบบเครือข่ายเลยค่ะ ถ้ามันมีการจราจร

272
00:22:28,869 --> 00:22:32,869
ที่ผิดปกติไป อาจจะเกิดจากการโจมตี

273
00:22:33,771 --> 00:22:34,626
ของเครือข่ายก็ได้นะคะ แล้วก็ถ้าเราติดตั้ง

274
00:22:34,626 --> 00:22:38,626
บนโครงสร้างหลักของเครือข่ายนี่ มันสามารถ

275
00:22:41,579 --> 00:22:44,412
ตรวจจับกิจกรรมที่ไม่ได้รับอนุญาตของผู้ใช้

276
00:22:44,412 --> 00:22:47,139
ทั่วไปก็ได้ แต่ถ้าเราติดตั้ง

277
00:22:47,139 --> 00:22:50,727
ไปในโครงสร้างย่อย

278
00:22:50,727 --> 00:22:54,727
ของเครือข่ายที่มีความเสี่ยงสูงข้อดีของมัน คือ

279
00:22:55,898 --> 00:22:59,898
มันสามารถตรวจจับการโจมตีที่สำคัญได้ เพราะมันเจาะลึกลงไป

280
00:23:05,687 --> 00:23:07,740
ในระบบเครือข่ายอีก แล้วก็ลดจำนวน

281
00:23:07,740 --> 00:23:09,723
อุปกรณ์ IDS ที่ต้องใช้นะคะ เพราะว่ามันจะ

282
00:23:09,723 --> 00:23:13,723
ไปตรวจจับเฉพาะจุดที่สำคัญเท่านั้น เพื่อความคุ้มค่า

283
00:23:17,203 --> 00:23:21,203
คุ้มราคา ประหยัดค่าใช้จ่ายนะคะ การติดตั้งแบบ Host

284
00:23:24,514 --> 00:23:26,259
เมื่อกี้เป็น Network แล้ว คราวนี้เป็น Host ก

285
00:23:26,259 --> 00:23:29,384
็จะติดตั้งเฉพาะกับ Server ที่มีความสำคัญนะคะ

286
00:23:29,384 --> 00:23:33,384
เพราะว่าถ้าเราติดตั้งเยอะ ค่าใช้จ่ายมันก็เยอะ ถ้าเรา

287
00:23:34,753 --> 00:23:38,753
ติดตั้งเฉพาะตัวที่สำคัญนี่ ค่าใช้จ่ายก็จะลดลงนะคะ

288
00:23:43,319 --> 00:23:47,319
แล้วก็ทำให้ผู้ดูแลระบบนี่ สามารถเห็นรายงานการแจ้งเตือนจาก Server ที่มีความสำคัญ ๆ

289
00:23:49,946 --> 00:23:53,946
ก็พอนะคะ แล้วส่วนใหญ่นี่ เขาก็จะติดตั้งตรงส่วนกลางเท่านั้น

290
00:23:59,327 --> 00:24:03,327
เพื่อให้บริหารจัดการง่าย แล้วก็ประสิทธิภาพถ้าจะทำงานได้ดีก็ต้องอยู่กับความชำนาญของ

291
00:24:05,894 --> 00:24:09,874
คนที่ดูแลระบบ แล้วก็คนติดตั้งด้วย เพราะว่าคนที่ดูแล

292
00:24:09,874 --> 00:24:10,386
ระบบ ในการที่จะตรวจสอบ รวมถึงการติดตั้ง

293
00:24:10,386 --> 00:24:12,491
ตัว IDS ได้นี่ ก็ต้องใช้เวลา

294
00:24:12,491 --> 00:24:14,063
แล้วก็ใช้ความรู้พอสมควรเลยนะคะ

295
00:24:14,063 --> 00:24:18,063
ผลิตภัณฑ์ IDS/

296
00:24:21,422 --> 00:24:25,422
IPS ที่แพร่หลายในปัจจุบัน เขาเรียกว่า S

297
00:24:31,333 --> 00:24:35,333
nort นะคะ S-n-o-r-t อันนี้เป็นแบบ Open Source ใช้งานได้ในระบบปฏิบัติการ

298
00:24:35,602 --> 00:24:38,959
ทั้ง Windows  ทั้ง LINUX ทั้ง Unix

299
00:24:38,959 --> 00:24:42,959
นะคะ มีโหมดการใช้งานอยู่ 4 โหมดหลัก ๆ นะคะ

300
00:24:45,390 --> 00:24:46,472
วันนี้งานที่จะให้ทำในห้องนะคะ

301
00:24:46,472 --> 00:24:50,472
อันแรกเลย ที่อาจารย์บอกว่าให้ระวัง

302
00:24:50,881 --> 00:24:54,881
ในการค้นหาตัว DMZ จะต้องเป็นตัว

303
00:24:58,682 --> 00:25:02,682
DMZ ที่เกี่ยวข้องกับโครงข่าย Network เท่านั้น

304
00:25:03,759 --> 00:25:07,759
เป็นพื้นที่อะไรสักอย่าง ให้นักศึกษาลองค้นหาข้อมูลเพิ่มเติม ระวังด้วยว่า DMZ

305
00:25:12,371 --> 00:25:16,371
มันจะหมายถึงว่าเป็นพื้นที่ปลอดอาวุธ

306
00:25:18,282 --> 00:25:22,282
ของบางประเทศ อันนี้เราก็ไม่เอานะ เอาเฉพาะในเรื่องเครือข่ายนะคะ แล้วก็ถ้าปีหน้า นักศึกษาจะต้องไป

307
00:25:22,760 --> 00:25:26,760
ฝึกงาน เราอาจจะได้ฝึกงานเกี่ยวกับการติดตั้งระบบ

308
00:25:33,091 --> 00:25:33,319
เครือข่าย ถ้าฝึกงานหรือไปทำงานก็ได้

309
00:25:33,319 --> 00:25:37,319
ถ้าจะต้องวางแผนกานติดตั้ง IDS

310
00:25:40,331 --> 00:25:43,184
แบบ Network-Based

311
00:25:43,184 --> 00:25:47,184
ในสไลด์อาจารย์ก็มีนะคะ นักศึกษาจะเลือกการ

312
00:25:48,765 --> 00:25:50,177
ติดตั้ง Firewall

313
00:25:50,177 --> 00:25:54,177
แบบติดตั้งแบบด้านหน้า หรือด้านหลัง เพราะอะไร

314
00:25:56,036 --> 00:26:00,036
ให้หาเหตุผลเพิ่มเติมในสไลด์อาจารย์ด้วย

315
00:26:07,081 --> 00:26:11,081
มันมีเหตุผลอื่นอีกหรือเปล่าที่นักศึกษาเลือกติดตั้งด้านหน้าหรือติดตั้งด้านหลังนะคะ แล้วอุปกรณ์ที่เรียกว่า "Hub"

316
00:26:13,316 --> 00:26:17,316
กับ Network Tap มัน

317
00:26:22,657 --> 00:26:26,657
ต่างกันอย่างไรนะคะ อธิบายเพิ่มเติมมาโดยเฉพาะข้อ 2 เหตุผลของข้อ 2 นี่ อาจารย์มีให้เลือกแล้ว แต่ให้หาเหตุผล

318
00:26:30,021 --> 00:26:34,021
เพิ่มเติมด้วยนะคะ ทำใน Classroom

319
00:26:39,042 --> 00:26:43,042
นะคะ ส่งใน Classroom เหมือนเดิม ก็เริ่มทำได้เลยค่ะ เดี๋ยวอาจารย์เดินดู

320
00:50:20,099 --> 00:50:24,099
[สิ้นสุดการถอดความ]