---
title: วิชาการจัดการความมั่นคงและปลอดภัย (บ่าย) 300167
subtitle: 
date: วันอังคารที่ 30 มกราคม 2567  เวลา 13.00 น.
---

								(ข้อความสดจากระบบถอดความเสียงพูดทางไกล)


(อาจารย์) โอเค ล่ามได้ยินไหมคะ โอเค สวัสดีค่ะ ก็วันนี้นะคะ เนื้อหาก็ยังจะเป้นในส่วนของบทที่ 7 จะต่อจากสัปดาห์ที่แล้วนะคะ เป็นเนื้อหาของ IDS/IPS เหมือนเดิมนะคะ แต่รายละเอียดก็จะเพิ่มขึ้นก็จะมีเกี่ยวกับช่องโหว่ของระบบคอมพิวเตอร์ด้วย รายงานการแจ้งเตือนต่าง ๆ การติดตั้งผลิตภัณฑ์ต่าง ๆ ของ IDS/IPS นะคะ ช่องโหว่ของระบบคอมพิวเตอร์นี่นะคะ ในมาตรฐานสำหรับการเรียกชื่อต่าง ๆ  แล้วก็การโจมตีนะคะ มาตรฐานที่ใช้ในการเรียกชื่อนะคะ เราจะเรียกว่า "CVE" นะคะ ก็เป็นการรวบรวมข้อมูลจากผู้เชี่ยวชาญทางด้านการรักษาระบบความปลอดภัยทางคอมพิวเตอร์ทั่วโลกซึ่งส่วนใหญ่จะใช้ตัว IDS นะคะ เป็นตัวที่จะ Monitor หรือจะติดตามต่าง ๆ ของระบบ แล้วก็ตัว IDS  นี่ มันก็จะมีการทำ Report หรือว่ารายงาน โดยบอกรายละเอียดต่าง ๆ ของการโจมตีที่เกิดขึ้นนะคะ อาจจะโจมตีสำเร็จ หรือไม่สำเร็จก็ต้องเก็บรายละเอียดทั้งหมด รวมถึงช่องโหว่หรือว่าจุดอ่อนของระบบนะคะ ว่าเขาโจมตีตรงส่วนไหน ของการทำงานของเรา ซึ่งประโยชน์ที่ได้รับจากการเก็บข้อมูลต่าง ๆ พวกนี้นี่ จะทำให้ Admin หรือว่าผู้ดูแลระบบนี่ เขาสามารถวิเคราะห์ แล้วก็วางแผนในการปิดช่องโหว่ของระบบอยู่ได้นะคะ ถ้าเราไม่มีการรายงานเลยเราจะไม่รู้ ว่าตอนนี้ระบบคอมพิวเตอร์ของเรามีปัญหาหรือเปล่า โดยช่องโหว่ของระบบคอมพิวเตอร์ที่มักจะพบเห็นได้บ่อยนะคะ ก็คืออันแรกการใส่ข้อมูลผิดพลาดนะคะ หรือการนำเข้าข้อมูลผิดพลาด รวมถึงอาจจะเป็นการที่ระบบนี่ ถูกโจมตี โดยการที่ทำให้ข้อมูลเข้าสู่ระบบมาเกินไปนะคะ อาจจะจริง ๆ แล้วระบบอาจจะใช้งานแค่วันละ 100 คน แต่บางทีเราโดนโจมตีโดยที่มีการเข้าใช้งานระบบเป็นแสนเป็นล้านคนนะคะ กับอีกอันหนึ่งคืิอขอบเขตของข้อมูลผิดพลาด อย่างเช่น บัตรประชาชนเรานี่มี 13 หลัก แต่เขาพยายามทำให้มันเกินขึ้นไป เช่น เรากรอกบัตรประชาชนมันบอกว่าผิด เพราะว่ามันโจมตีให้กลายเป็น 15 ตัว ตัว 16 ตัว ทำให้เราไม่สามารถใช้งานระบบได้ มันมาแก้ไขตรงนี้นะคะ รวมถึงการเข้าถึงระบบผิดพลาด มันจะโจมตีทำให้เรามันจะปิดกั้นทำให้เราไม่สามารถใช้งานระบบได้นะคะ รวมถึงมีการแจ้งให้เกิด Error ต่าง ๆ หรือการทำงานที่ทำให้ผิดเงื่อนไขจนระบบมันรวนไปทั้งหมดนะคะ เช่น พยายามที่จะเข้าสู่ระบบ เข้า ๆ อยู่นั่นแหละ เข้าไม่ได้ ก็ยังพยายามเข้า หรือการกด Refresh หน้าจอบ่อย ๆ นะคะ ทุก ๆ วินาทีจนทำให้ระบบมัน Error นะคะ อาจจะเป็นเกี่ยวกับสิ่งแวดล้อมต่าง ๆ ทำให้ระบบ Error นะคะ เช่น อาจจะพยายามที่จะทำให้ระบบไฟฟ้าขัดข้องนะคะ อาจจะเป็นการที่เอาน้ำไปฉีดในสายไฟที่เราจำเป็นจะต้องใช้งาน หรือตั้งใจทำให้น้ำรั่วใส่สายไฟ หรือพยายามที่จุดไฟเผาสิ่งเหล่านี้ก็สามารถเกิดขึ้นได้ ทางธรรมชาติก็มี ภัยธรรมชาติก็นับเป็นสิ่งแวดล้อมที่ทำให้ระบบมีช่องโหว่ได้นะคะ รวมถึงการติดตั้งที่จงใจหรืออาจจะไม่ตั้งใจทำให้มันผิดพลาดนะคะ รวมถึงเงื่อนไขต่าง ๆ ที่สามารถทำให้เกิดช่องโหว่ได้ อาจจะตั้งใจหรือไม่ตั้งใจก็อาจจะมีเกิดขึ้นได้นะคะ โดยรายงานการแจ้งเตือนนี่ สิ่งที่ Admin หรือว่าผู้ดูแลระบบจะต้องตั้งค่าให้กับตัว IDS  นะคะ ก็คือลักษณะของการบุกรุก เช่น มันก็จะเป็นลักษณะของที่เขาพบเจอได้บ่อย หรือความผิดปกติที่สามารถเกิดขึ้นได้นะคะ แล้วก็อาจจะเป็นการคาดเดาเหตุการณ์นะคะ ที่ผู้ดูแลระบบนี่เขาให้ความสำคัญ เราก็คาดว่าจะเป็นสิ่งที่ทำให้เกิดการบุกรุกได้ในอนาคต อันนี้ก็คือตัวผู้ดูแลระบบนี่ เขาก็จะวิเคราะห์จากรายงานที่ได้มานะคะ ซึ่งเหตุการณ์ที่ระบบ IDS นี่ มันจะรายงานให้ทราบนี่ มีถึง 3 ประเภทหลัก ๆ เช่น มีคนเข้ามาสำรวจเครือข่ายเราโดยที่เราไม่รู้จักว่าเขาเป็นใคร แล้วก็ไม่มีความจำเป็นนะคะ มีการพยายามโจมตีเกิดขึ้นจริง ๆ  อาจจะพยายามโจมตีที่ระบบฐานข้อมูล หรือระบบการใช้ระบบนะคะ แล้วก็อาจจะมีเหตุการนร่าสงสัยหรือว่าผิดปกติมี User บาง User ใช้ปริมาณของเครือข่ายจำนวนมากผิดปกติ หรือ User นั้น ใช้อินเทอร์เน็ตแบบที่น่าสงสัยนะคะ เช่น คนปกติเขาจะใช้ประมาณ 100-200 แต่มีผู้ใช้งานคนหนึ่งใช้ไป 20,000-30,000 แบบนี้นะคะ ก็จะมีการรายงานความผิดปกติได้ การสำรวจเครือข่ายมันเป็นอย่างไรนะคะ มันจะเป็นการสำรวจเพื่อพยายามรวบรวมข้อมูลก่อนที่เขาโจมตีระบบเครือข่ายเรา เช่นตัว IP Scan นะคะ IP Scans นี้ทำอะไร อย่างเช่นห้องนี้มันก็จะมีโปรแกรมสามารถดูได้ว่า IP Address ของคอมพิวเตอร์แต่ละเครื่อง มี IP อะไร เขาสามารถปลอมแปลงเป็น IP นักศึกษาได้ Port Scans ก็คือคอมพิวเตอร์ห้องนี้มีช่องทางในการเชื่อมต่ออินเทอร์เน็ตใช้ Port อะไร 88 หรือ 89, 90 ถ้าเขารู้แล้วว่าห้องนี้ใช้ 88 ถ้าต่อไปเขาจะโจมตีครั้งหน้า ให้ Port 88 ใช้งานไม่ได้ ห้องทั้งห้องนี้ก็ใช้อินเทอร์เน็ตไม่ได้ หรืออาจจะใช้ตัวโทรจันไวรัสนะคะ เข้ามาฝังไว้ รอวันที่เขาจะสั่งให้มันทำงานนะคะ รวมถึงการส่งไฟล์แปลกปลอมมาฝังไว้ หรือให้ดาวน์โหลดไฟล์แปลกปลอมไว้ในเครือข่าย ถ้ามีใครดาวน์โหลดไป อาจจะไม่มีผลทันทีนะคะ ในการโจมตีเขาอาจจะรอเวลาที่เขาจะสั่งโจมตีวันไหนก็ได้ มากับไฟล์ที่เราดาวน์โหลดมาจากไฟล์โดยที่เราไม่รู้มาจากไหนนะคะ การโจมตีนี่ การโจมตีเครือข่ายคอมพิวเตอร์นี่  มันก็จะแบ่งระดับตามความรุนแรงของการโจมตีนั้น ๆ ถ้าตัว IDS นี่ มันรายงานการโจมตีที่มีความรุนแรงสูงนะคะ ผู้ดูแลระบบนี่ จะต้องตอบสนองต่อการรายงานนั้นทันที เพราะว่าถ้าคุณไม่ป้องกันตอนนั้นหรือตัดระบบเดี๋ยวนั้น การสูญเสียจะมีมากกว่านี้นะคะ โดยปกติแล้วนี่ ผู้ดูแลระบบจะต้องทำการวิเคราะห์เพิ่มเติมว่า อันนี้เป็นการโจมตีจริง ๆ หรือแค่เข้ามา Scan ดูเครือข่ายเราเฉย ๆ อย่างเช่น การโจมตีล่าสุดที่เป็นข่าว ไม่เกิน 1 เดือนที่ผ่านมาคือโรงพยาบาลอุดรฯ โจมตีระบบคอมพิวเตอร์ ทำให้คอมพิวเตอร์ทั้งโรงพยาบาลใช้งานไม่ได้ เข้าเรียกว่าเป็นการเรียกค่าไถ่นะคะ พอทุกคน สมัยปัจจุบันนี่ใช้คอมพิวเตอร์หมด คุณหมอก็ใช้ พยาบาลก็ใช้ คนไข้ก็ใช้ การจะดูฟิล์ม X-ray การจะส่งผลตรวจเราใช้คอมพิวเตอร์ทั้งหมด แต่พอโรงพยาบาลขนาดใหญ่เรียกค่าไถ่ ให้ไม่สามารถใช้ข้อมูลได้ ทุกอย่างกลับไปเป็นกระดาษนะคะ จะดูฟิล์ม X-ray ก็ไม่ได้ ฟิล์ม X-ray อยู่ในคอมพิวเตอร์ การโจมตีนี้ไม่ใช่ว่าเขาเพิ่งจะโจมตี เขาฝังตัวอยู่ในระบบคอมพิวเตอร์โรงพยาบาลมานานมาก แล้วเขาก็ติดตั้งตัวที่สามารถตัดระบบการทำงานคอมพิวเตอร์ได้ สิ่งที่จะแก้ไขได้คือการจ่ายเงินตามที่มันเรียกค่าไถ่น่ะค่ะ การโจมตีตัวนี้ ถามว่าเราป้องกันได้ไหม เราป้องกันได้ แต่บางทีช่องโหว่มันเยอะกว่าที่เราสำรวจไว้นะคะ การโจมตีสามารถเกิดขึ้นได้ตลอด ในห้องนี้ก็อาจจะมีโปรแกรมที่ฝังไว้แล้วสำหรับการโจมตีก็ได้ เราก็ไม่รู้ ถ้าเราไม่ได้สำรวจ แล้วก็คนดูแลระบบถ้าไม่ตรวจสอบความปลอดภัยดีเท่าทีควรก็โดนโจมตีตอนไหนก็ได้ อาจจะตอนนี้ก็ได้ หรืออีก 2 ชั่วโมงก็ได้นะคะ เหตุการณ์ที่น่าสงสัย นอกจากสิ่งที่อาจารย์เคยพูดมาแล้ว เอ๊ะ ทำไมคอมพิวเตอร์ห้องนี้รู้สึกใช้อินเทอร์เน็ตเยอะขึ้นนะคะ ถ้าข้อมูลมันไม่เพียงพอ ตัว IDS นี่ มันก็อาจจะยังรู้ไม่มากพอว่ามันเป็นเหตุการณ์อะไร แต่จะแจ้งเตือนไว้ก่อน ให้ว่ารู้ว่า เอ๊ะ มันน่าสงสัยนะ แล้วก็ให้ผู้ดูแลระบบนี่มาดูสิว่ามันมีความผิดปกติจากในตัวระบบเอง หรือว่ามันมีการพยายามโจมตีนะคะ อาจจะเป็นการใส่หัวของข้อมูลผิดไปจากมาตรฐาน ตัว Header อาจารย์เคยเอาสไลด์ให้ดูแล้วนะคะ สำหรับ Header ในการทำแพ็กเกจเหมือนกัน ส่งข้อมูลเป็นกล่องพัสดุ แล้วคุณจ่าที่อยู่ผิดหรือคุณใส่ที่อยู่เยอะเกินไป จนเกิดสิ่งที่เป็นมาตรฐานนะคะ มันอาจจะเป็นการโจมตีแบบใหม่ก็ได้ หรือว่าตัวที่สร้างที่อยู่ ของเครื่องมันอาจจะเสียนะคะ ก็ต้องให้ผู้ดูแลระบบไปเช็กว่าความผิดปกตินี้ มันอันตรายหรือไม่ หรือว่ามันเป็นที่ตัวระบบเองนะคะ การออกแบบแล้วก็การติดตั้ง IDS นี่ ก่อนที่เราจะติดตั้งนะคะ ก็ต้องมีการสำรวจก่อน มีการวางแผนก่อนนะคะ ก็ต้องสำรวจความต้องการ การตรวจจับการบุกรุก แล้วก็หาวิธีการที่เหมาะสมนะคะ แล้วก็เราต้องคำนึงถึงการรักษาโนบายความปลอดภัยด้วย ซึ่งองค์กรส่วนใหญ่ก็จะเลือกใช้แบบที่เป็น Host นะคะ แล้วก็ตัว IDS  ควบคู่กันไป เพื่อให้ทำงานอย่างมีประสิทธิภาพ เขาจะไม่เลือกอย่างใดอย่างหนึ่งเขาจะเลือกทั้ง 2 อันเลยนะคะ โดยที่เขาจะติดตั้ง Network Base ก่อน เพื่อป้องกัน Server ที่สำคัญนะคะ ก็การติดตั้งนี่ควรจะเลือกใช้เครื่องมือที่วิเคราะห์ช่องโหว่ แล้วก็ตรวจสอบการทำงานของ IDS ได้ รวมถึงใช้สิ่งที่เราทำการบ้านส่งอาจารย์ครั้งที่แล้ว ก็คือ Honeypot ร่วมด้วย ก็คือการล่อตัวผู้โจมตีเข้ามารวมกัน แล้ววิเคราะห์พฤติกรรมของเขานะคะ กาาติดตั้งนะคะ ถ้าติดตั้งโดยใช้ Hub มันก็จะติดตั้งได้ง่าย เพราะว่า Hub นี่เป็นตัวแจกจ่าย Package ของระบบอยู่แล้วนะคะ สามารถปรับตัวอุปกรณ์ของเราให้รับกับทุก ๆ Package หรือทุก ๆ ข้อมูลมาได้เลย แต่ถ้าเครือข่ายของใครที่เป็นเครือข่ายที่ใช้ Switch อยู่แล้ว Swicth ก็จะเหมือนตัวที่ติดตั้งอยู่หน้าห้องเรา ความสามารถมันเยอะการติดตั้งเลยมีความยุ่งยากมากขึ้นนะคะ เพราะว่า Switch นี่จะเป็นตัวส่งเชื่อมต่ออยู่เท่านั้นนะคะ ทำให้ตัว IDS มันไม่สามารถตรวจจับทุก ๆ Package ที่วิ่งได้ ตัว Hub  นี่ ทุก ๆ ข้อมูลจะมารวมกันก่อน แล้ว Hub ค่อยกระจายออกไป ก็จะเห็นทุก Package นั่นแหละนะคะ แต่ตัว Switch นี่มันจะต่างกัน ก็คือมันจะไม่ได้ผ่านตัว IDS  ทั้งหมด มันจะทำให้การตรวจจับค่อนข้างยากกว่าการใช้ Hub นะคะ การเชื่อมต่อตัว IDS กับเครือข่ายนะคะ มีอยู่ 3 วิธี วิธีแรกจะใช้เป็น Port Mirroring นะคะ การสะท้อน ก็จะทำให้ Switch ทุกตัวนี่มีคุณสมบัติ เช่นเดียวกันทั้งหมดนะคะ Switch ทุกตัวจะส่งต่อข้อมูลนะคะ หรือว่าตัว Package จาก Port หนึ่ง ไปอีก Port หนึ่ง ก็คือเหมือนการสะท้อน สะท้อนไปเลยทันที เช่น การสะท้อนจาก Port ที่เชื่อมจาก Router ไป Firewall สะท้อนไปเลยนะคะ ข้อดีของมัน คือ สะท้อนไปเลยนะคะ ข้อดีของมัน คือ ติดตั้งง่าย ไม่ต้องปรับเปลี่ยนโครงสร้างอะไรบนเครือข่ายเลยนะคะ ไม่กระทบต่อการติดตั้ง Firewall ที่เรามีอยู่แล้วนะคะ ข้อเสีย เป็นการสะท้อนนะคะ มันก็จะเป็นการที่จะทำระหว่างเครื่องต่อเครื่อง หรือ Port ต่อ Port เท่านั้น มันจะทำให้ตัวประสิทธิภาพของตัว Switch ที่มีการเชื่อมต่อนี่ ลดลงนะคะ การส่งต่อ package นะคะ บางครั้งนี่ มันเลยทำให้การตรวจจับ Package บางอย่าง ไม่สามารถตรวจสอบได้ มันจะเห็นแต่เฉพาะตัวที่สมบูรณ์ ตัวที่มีข้อผิดพลาด หรือมีข้อมูลที่ไม่สมบูรณ์นี่ มันจะมองไม่เห็น อาจจะทำให้การตรวจสอบความปลอดภัย มันแย่ลงนะคะ แล้วถ้าการใช้ Hub ล่ะนะคะ มันจะเป็นการใช้งานโดยการวาง Hub  อยู่ตรงกลาง ระหว่างตัว Switch  กับ Router ที่ใช้หาเส้นทางในการใช้งานอินเทอร์เน็ตนั่นล่ะ แล้วก็เอาตัว IDS ไปเชื่อมต่อกับ Hub Port ใด Port หนึ่งนะคะ ข้อมูลมันก็ยังจะสามารถไหลระหว่าง Router กับ Switch  ได้ ตัว IDS ก็ยังสามารถตรวจจับ Package ต่าง ๆ ข้อมูลทุกอันจะต้องผ่าน Hub ตัว IDS ก็จะรู้ด้วยนะคะ ข้อดี คือ ก็ติดตั้งง่ายนะคะ ไม่มีผลต่อการติดตั้ง Firewall เช่นกัน รวมถึงราคาถูกกว่า แต่ข้อเสียก็ค่อนข้างเยอะนะคะ เพราะว่ามันไม่สามารถเชื่อมต่อโดยตรงระหว่าง Router กับ switch แบบ Full Duplex ได้ ก็คือเป็นการเชื่อมต่อแบบสมบูรณ์นะคะ การจัดการตัว IDS ผ่าน Hub ตัวเดียว มันอาจจะทำให้มีโอกาสการชนกันของข้อมูล ก็คือปัญหาคอขวดนะคะ เช่น ถ้าทุกอย่างต้องผ่าน Hub แล้ว Hub มีความสามารถที่แจกงานได้น้อย ข้อมูลก็จะช้า รวมถึงข้อมูลอย่างเช่น ถ้าเราส่งพรินต์พรินต์พร้อมกันนี่ บางทีข้อมูลชนกัน สั่งพรินต์พร้อมกัน Printer ไม่ทำงาน รวมถึงพอมันทำงานหนักมาก ๆ Hub ก็จะเกิดการชำรุดได้ง่ายเพราะว่าทำงานหนัก จริง  ๆ มันมีข้อดี ก็คือราคาถูก แต่ก็ไม่เป็นที่นิยม เพราะว่ามันมีปัญหามากกว่าการเชื่อมต่อแบบอื่น ๆ นะคะ กับการใช้  Tap ก็จะเป็นอีกวิธีการหนึ่งที่เอามาแก้ปัญหาการเชื่อมต่อโดย Hub รวมถึงการสะท้อนด้วยนะคะ ตัว Tap นี่หน้าตามันจะคล้าย ๆ กับ Hub Tap นี่ สามารถทนต่อข้อผิดพลาดได้เยอะกว่า Hub นะคะ อุปกรณ์แข็งแรงทนทานกว่า มีการเชื่อมต่อที่เป็นแบบถาวร โดยใช้ 2 Port หลัก ลักษณะหน้าตา Tap จะเป็นแบบนี้นะคะ ข้อดีนะคะ ทนต่อความผิดพลาด เช่น ถ้าว่าไฟตก ไฟกระชาก ในชั่วขณะหนึ่ง Port หลัก 2 อันยังทำงานได้ มีไฟฟ้าค้างอยู่นิดหน่อยก็ยังทำงานได้ ไม่มีผลต่อการติดตั้ง โครงสร้างของเครือข่ายไม่มีการเปลี่ยน ประสิทธิภาพของเครือข่ายยังทำงานได้ดีเหมือนเดิม ตัว IDS สามารถติดตาม Package หรือข้อมูลที่มีความผิดปกติได้ จะคล้าย ๆ กับ Hub เลยค่ะ IDS เหมือนเดิม IDS ก็ยังมองเห็น ประสิทธิภาพก็ยังเหมือนเดิมข้อเสียหลัก ๆ เลย คือ อุปกรณ์ยิ่งดีอย่างไร ราคาก็จะแพงตามนั้นนะคะ แต่ถ้าเรามีการติดตั้ง อาจจะเช่น ปีต่อปี พอหมด 1 ปี คุณจะต้องมาติดตั้งใหม่ หรือว่าแก้ไข ปรับข้อมูลเพิ่มใหม่ แล้วตัว IDS จะต้องทำงานในโหมดหายตัวเท่านั้น จะแสดงตัวไม่ได้ ถ้าแสดงตัวปึ๊บระบบจะช้านะคะ จะต้องทำในโหมดล่องหน หรือว่าในโหมดปิดตาเท่านั้นนะคะ ตัว IDS ที่จะมาติดตั้งกับ Tab ได้ก็ต้องมีคุณสมบัติที่มากพอสมควร สำหรับตัว IDS เองนะคะ ถ้าอุปกรณที่ราคาถูกหน่อยจะไม่มีโหมดล่องหนนะคะ ทุกอย่างแทบจะทุกอย่างของระบบคอมพิวเตอร์ ถ้านักศึกษาอยากจะได้ของที่มีคุณภาพนะคะ ก็ต้องแลกกับราคาที่ต้องจ่ายเช่นเดียวกันนะคะ การติดตั้งนะคะ การติดตั้ง คำถามแรกเลยเราจะติดตั้งตรงจุดไหนของเครือข่ายนะคะ ไอ้ตัว IDS นี่ จะเอาติดไว้ข้างหน้า Firewall หรือหรือข้างหลัง Firewall ดีนะคะ ถ้านักศึกษาเป็นผู้ดูแลระบบเครือข่ายนี่ บางทีจะต้องวางแผนให้เขาด้วยนะคะ ข้อดี อย่างแรก ถ้าสมมตินักศึกษาเลือกแบบติดตั้งข้างหลัง Firewall จะสามารถตรวจจับได้ทันที ถ้ามีใครบุกรุกเข้ามา สามารถตรวจสอบการตั้งค่าและก็ประสิทธิภาพของ Firewall ได้ สามารถตรวจจับการโจมตี แม้ว่าจะอยู่ในโซน DMZ ได้ อันนี้ก็เป็นหัวข้อที่นักศึกษาต้องทำวันนี้ DMZ ต้องระวังให้ดี มันจะหมายถึงเครือข่ายนะคะ ไม่ได้หมายถึงชายแดนประเทศบางประเทศนะ รวมถึงอาจตรวจสอบเจอ Package ที่ผิดปกติที่ส่งไปยังภายนอก อันนี้ถ้าเป็นข้อดีของการติดตั้งหลัง Firewall ถ้าเราติดตั้งหน้า Firewall มันก็จะยิ่งเก็บสถิติการโจมตีจากภายนอกได้นะคะ ถ้าติดตั้ง บน Backbone หลักของเครือข่าย โครงสร้างหลักของเครือข่ายเลย ก็คือเราสามารถติดตามการจราจรที่ไหลเวียนในเครือข่ายได้ แล้วก็มาวิเคราะห์นะคะ ว่าตอนนี้นี่ เหมือนบางทีเราขับรถนี่ ถ้าในเส้นทางปกติที่เรามาเรียนนี่เราขับรถได้ปกติกับบางวัน ทำไมรถมันเยอะจัง ทำไมรถเขาจอดแบบนี้ เหมือนกันเลยค่ะ เหมือนกับระบบเครือข่าย ปกติเราขับรถมานี่ มันคล่องตัวมาก ทำไมวันนี้รถมันเยอะ ทำไมมีรถจอดขวางทาง แล้วทำไมเขากั้นไม่ให้เราไป มันมีความผิดปกติอะไร เช่นเดียวกันกับระบบเครือข่ายเลยค่ะ ถ้ามันมีการจราจรที่ผิดปกติไป อาจจะเกิดจากการโจมตีของเครือข่ายก็ได้นะคะ แล้วก็ถ้าเราติดตั้งบนโครงสร้างหลักของเครือข่ายนี่ มันสามารถตรวจจับกิจกรรมที่ไม่ได้รับอนุญาตของผู้ใช้ทั่วไปก็ได้ แต่ถ้าเราติดตั้งไปในโครงสร้างย่อยของเครือข่ายที่มีความเสี่ยงสูงข้อดีของมัน คือ มันสามารถตรวจจับการโจมตีที่สำคัญได้ เพราะมันเจาะลึกลงไปในระบบเครือข่ายอีก แล้วก็ลดจำนวนอุปกรณ์ IDS ที่ต้องใช้นะคะ เพราะว่ามันจะไปตรวจจับเฉพาะจุดที่สำคัญเท่านั้น เพื่อความคุ้มค่า คุ้มราคา ประหยัดค่าใช้จ่ายนะคะ การติดตั้งแบบ Host เมื่อกี้เป็น Network แล้ว คราวนี้เป็น Host ก็จะติดตั้งเฉพาะกับ Server ที่มีความสำคัญนะคะ เพราะว่าถ้าเราติดตั้งเยอะ ค่าใช้จ่ายมันก็เยอะ ถ้าเราติดตั้งเฉพาะตัวที่สำคัญนี่ ค่าใช้จ่ายก็จะลดลงนะคะ แล้วก็ทำให้ผู้ดูแลระบบนี่ สามารถเห็นรายงานการแจ้งเตือนจาก Server ที่มีความสำคัญ ๆ ก็พอนะคะ แล้วส่วนใหญ่นี่ เขาก็จะติดตั้งตรงส่วนกลางเท่านั้นเพื่อให้บริหารจัดการง่าย แล้วก็ประสิทธิภาพถ้าจะทำงานได้ดีก็ต้องอยู่กับความชำนาญของคนที่ดูแลระบบ แล้วก็คนติดตั้งด้วย เพราะว่าคนที่ดูแลระบบ ในการที่จะตรวจสอบ รวมถึงการติดตั้งตัว IDS ได้นี่ ก็ต้องใช้เวลา แล้วก็ใช้ความรู้พอสมควรเลยนะคะ ผลิตภัณฑ์ IDS/IPS ที่แพร่หลายในปัจจุบัน เขาเรียกว่า Snort นะคะ S-n-o-r-t อันนี้เป็นแบบ Open Source ใช้งานได้ในระบบปฏิบัติการทั้ง Windows  ทั้ง LINUX ทั้ง Unix  นะคะ มีโหมดการใช้งานอยู่ 4 โหมดหลัก ๆ นะคะ วันนี้งานที่จะให้ทำในห้องนะคะ อันแรกเลย ที่อาจารย์บอกว่าให้ระวังในการค้นหาตัว DMZ จะต้องเป็นตัว DMZ ที่เกี่ยวข้องกับโครงข่าย Network เท่านั้น เป็นพื้นที่อะไรสักอย่าง ให้นักศึกษาลองค้นหาข้อมูลเพิ่มเติม ระวังด้วยว่า DMZ มันจะหมายถึงว่าเป็นพื้นที่ปลอดอาวุธของบางประเทศ อันนี้เราก็ไม่เอานะ เอาเฉพาะในเรื่องเครือข่ายนะคะ แล้วก็ถ้าปีหน้า นักศึกษาจะต้องไปฝึกงาน เราอาจจะได้ฝึกงานเกี่ยวกับการติดตั้งระบบเครือข่าย ถ้าฝึกงานหรือไปทำงานก็ได้ ถ้าจะต้องวางแผนกานติดตั้ง IDS แบบ Network-Based  ในสไลด์อาจารย์ก็มีนะคะ นักศึกษาจะเลือกการติดตั้ง Firewall แบบติดตั้งแบบด้านหน้า หรือด้านหลัง เพราะอะไร ให้หาเหตุผลเพิ่มเติมในสไลด์อาจารย์ด้วย มันมีเหตุผลอื่นอีกหรือเปล่าที่นักศึกษาเลือกติดตั้งด้านหน้าหรือติดตั้งด้านหลังนะคะ แล้วอุปกรณ์ที่เรียกว่า "Hub" กับ Network Tap มันต่างกันอย่างไรนะคะ อธิบายเพิ่มเติมมาโดยเฉพาะข้อ 2 เหตุผลของข้อ 2 นี่ อาจารย์มีให้เลือกแล้ว แต่ให้หาเหตุผลเพิ่มเติมด้วยนะคะ ทำใน Classroom นะคะ ส่งใน Classroom เหมือนเดิม ก็เริ่มทำได้เลยค่ะ เดี๋ยวอาจารย์เดินดู 

[สิ้นสุดการถอดความ]