1 00:00:26,957 --> 00:00:27,025 (ดร.เกวลี) โอเค 2 00:00:27,025 --> 00:00:31,025 ล่ามได้ยินไหมคะ โอเคค่ะ 3 00:00:36,936 --> 00:00:37,608 สวัสดีค่ะ ก็วันนี้นะคะ เนื้อหาก็จะเป็น 4 00:00:37,608 --> 00:00:41,608 ในส่วนของบทที่ 7 จะต่อเนื่องกับครั้งที่แล้ว 5 00:00:42,429 --> 00:00:46,429 นะคะ เป็นเนื้อหาของ IDS IPS เหมือนเดิม 6 00:00:47,519 --> 00:00:51,519 นะคะ แต่ว่ารายละเอียดก็จะมีการเพิ่มขึ้น 7 00:00:53,401 --> 00:00:54,852 ช่องโหว่ของระบบคอมพิวเตอร์ด้วยนะคะ รายงานการแจ้งเตือน 8 00:00:54,852 --> 00:00:56,595 ต่าง ๆ การออกแบบ และการติดตั้ง 9 00:00:56,595 --> 00:00:58,089 รวมถึงผลิตภัณฑ์ต่าง ๆ ของ IDS IPS นะคะ 10 00:00:58,089 --> 00:01:02,089 ช่องโหว่ของคอมพิวเตอร์นี่นะคะ ก็ 11 00:01:08,601 --> 00:01:12,166 สำหรับการเรียกชื่อต่าง ๆ แล้วก็การ 12 00:01:12,166 --> 00:01:16,166 โจมตีนะคะ มารฐาน 13 00:01:16,434 --> 00:01:20,434 ในการเรียกชื่อนะคะ เราจะเรียกว่า "CVE" 14 00:01:22,988 --> 00:01:26,937 นะคะ ก็เป็นการรวบรวมข้อมูลจากผู้เชี่ยวชาญ 15 00:01:26,937 --> 00:01:29,894 รวบรวบข้อมูลจากทางผู้เชี่ยวชาญจาก 16 00:01:29,894 --> 00:01:30,340 ทางบก ทางคอมพิวเตอร์นะคะ ทั่วโลก ซึ่ง 17 00:01:30,340 --> 00:01:34,340 ส่วนใหญ่จะใช้ตัว IDS นะคะ เป็นตัว 18 00:01:36,570 --> 00:01:39,689 ที่จะมอนิเตอร์ หรือติดตามต่าง ๆ 19 00:01:39,689 --> 00:01:40,753 ของระบบ แล้วก็ตัว IDS นี่ มันก็จะมีการ 20 00:01:40,753 --> 00:01:44,753 ทำ Report หรือว่ารายงาน การทำ 21 00:01:45,668 --> 00:01:49,668 ของการโจมตีที่เกิดขึ้นนะคะ อาจจะโจมตีสำเร็จหรือไม่ 22 00:01:54,418 --> 00:01:54,696 ก็ต้องเก็บรายละเอียดทั้งหมด 23 00:01:54,696 --> 00:01:56,943 รวมถึงช่องโหว่ หรือว่าจุดอ่อนของระบบนะคะ ว่า 24 00:01:56,943 --> 00:02:00,943 เขาโจมตีตรงส่วนไหน ของการทำงาน 25 00:02:02,260 --> 00:02:06,260 ของเรา ซึ่งประโยชน์ที่ได้รับจากการเก็บ 26 00:02:08,481 --> 00:02:12,481 ข้อมูลต่าง ๆ พวกนี้นี่ จะทำให้ admin 27 00:02:12,696 --> 00:02:14,773 หรือผู้ดูแลระบบนี่ เขาสามารถวิเคราะห์แล้วก็วางแผน 28 00:02:14,773 --> 00:02:18,773 ปิดช่องโหว่ของระบบ 29 00:02:21,588 --> 00:02:24,346 นะคะ ถ้าเราไม่มีการรายงานเลย เราก็จะไม่รู้ว่าาระบบคอมพิวเตอร์ 30 00:02:24,346 --> 00:02:24,503 มีปัญหาหรือเปล่า 31 00:02:24,503 --> 00:02:28,503 โดยช่องโหว่ของระบบคอมพิวเตอร์ที่มักจะพบเห็นได้บ่อย 32 00:02:30,974 --> 00:02:34,974 นะคะ ก็คืออันแรก การในข้อมูล 33 00:02:36,854 --> 00:02:40,090 ผิดพลาดนะคะ หรือการนำเข้าข้อมูลผิดพลาด หรือรวมถึง 34 00:02:40,090 --> 00:02:44,090 อาจจะเป็นการที่ระบบนี่ การโจมตีข้อมูล 35 00:02:45,416 --> 00:02:49,416 โดยการที่ทำให้ข้อมูลเข้าสู่ระบบมากเกินไปนะคะ อาจจะ จริง ๆ แล้ว ระบบอาจจะใช้งาน 36 00:02:52,339 --> 00:02:56,339 แค่วันละ 100 คน แต่บางทีเราโดนโจมตี โดยที่ 37 00:02:57,391 --> 00:03:00,601 การที่ทำให้เหมือนกับการที่มีคนเข้าระบบ 38 00:03:00,601 --> 00:03:02,798 เป็นแสน เป็นล้านคนนะคะ กับอีกอันหนึ่ง คือ 39 00:03:02,798 --> 00:03:06,798 ขอบเขตของข้อมูลผิดพลาด อย่างเช่น 40 00:03:07,762 --> 00:03:11,762 บัตรประชาชนเรานี่ มี 13 หลัก แต่เขาพยายามทำให้มัน 41 00:03:13,607 --> 00:03:17,607 เกินขึ้นไป เช่น เรากรอกบัตรประชาชนเกินขึ้นไป 42 00:03:18,056 --> 00:03:19,039 13 หลักขึ้นไป เพราะว่ามันโจมตีให้กลายเป็น 15 ตัว 16 ตัว 43 00:03:19,039 --> 00:03:23,039 ทำให้เราไม่สามารถใช้งานระบบได้ มันมาแก้ไข 44 00:03:23,155 --> 00:03:24,263 ตรงนี้นะคะ รวมถึงการเข้าถึงระบบ 45 00:03:24,263 --> 00:03:28,263 ผิดพลาด มันจะโจมตี 46 00:03:30,023 --> 00:03:34,023 ทำให้เราไม่... มันจะปิดกั้น ไม่สามารถให้เราใช้ระบบได้นะ 47 00:03:36,728 --> 00:03:39,250 คะ รวมถึงมาการ 48 00:03:39,250 --> 00:03:43,250 แจ้งให้เกิด Error ต่าง ๆ หรือการทำงานที่ทำให้ผิดเงื่อนไข 49 00:03:47,055 --> 00:03:50,952 จนระบบมันรวนไปทั้งหมด เช่น พยายามที่จะเข้าสู่ 50 00:03:50,952 --> 00:03:54,433 ระบบ 51 00:03:54,433 --> 00:03:58,272 เข้า ๆ อยู่นั้นแหละ เข้าไม่ได้ก็ยังพยายามเข้า หรือการกด Refresh หน้าจอบ่อย ๆ 52 00:03:58,272 --> 00:04:02,272 นะคะ ทุก ๆ วินาที จนทำให้ระบบ Error 53 00:04:05,102 --> 00:04:09,102 นะคะ อาจจะเป็นเกี่ยวกับสิ่งแวดล้อมต่าง ๆ ทำให้ระบบ Error 54 00:04:12,149 --> 00:04:15,136 เช่น อาจจะพยายามที่จะทำให้ระบบไฟฟ้า 55 00:04:15,136 --> 00:04:19,136 ขัดข้องนะคะ อาจจะเป็น 56 00:04:21,865 --> 00:04:25,865 การที่เอาน้ำไปฉีดในสายไฟ ที่เราจำเป็นต้องไป 57 00:04:26,137 --> 00:04:30,137 ใช้งาน หรือตั้งใจทำให้น้ำรั่วใส่สายไฟ หรือพยายามที่จะจุดไฟเผา 58 00:04:32,039 --> 00:04:36,039 สิ่งเหล่านี้ก็สามารถ 59 00:04:38,570 --> 00:04:40,239 เกิดขึ้นได้ ทางธรรมชาติ ภัยธรรมชาติก็นับเป็นสิ่ง 60 00:04:40,239 --> 00:04:41,154 ที่สามารถทำให้ระบบมีช่องโห่วได้ 61 00:04:41,154 --> 00:04:45,154 นะคะ รวมถึงการติดตั้ง ที่จงใจ 62 00:04:45,799 --> 00:04:49,799 หรืออาจจะไม่ตั้งใจ หรืออาจจะมีข้อผิดพลาด 63 00:04:53,882 --> 00:04:57,882 รวมถึงเงื่อนไขต่าง ๆ ที่สามารถทำให้เกิดช่องโหว่ได้ อาจจะตั้งใจ หรือไม่ตั้งใจ 64 00:05:03,084 --> 00:05:07,084 ก็อาจจะมีเกิดขึ้นได้นะคะ โดยรายงานการแจ้งเตือนนี่ โดย 65 00:05:10,488 --> 00:05:14,488 จะต้องตั้งค่าให้กับตัว IDS 66 00:05:14,634 --> 00:05:18,634 ลักษณะที่สำคัญของการบ 67 00:05:19,087 --> 00:05:23,087 ุกรุก มันก็จะเป็นลักษณะของที่เขาพบเจอได้บ่อย หรือความผิดปกติที่สามารถเกิดขึ้นได้ 68 00:05:26,887 --> 00:05:30,887 นะคะ แล้วก็อาจจะเป็นการคาดเดาเหตุการณ์นะคะ ที่ผู้ดูแลระบบนี่เขาให้ความสำคัญ 69 00:05:32,083 --> 00:05:36,083 แล้วก็คาดว่าจะเป็นสิ่งที่จะ 70 00:05:38,279 --> 00:05:41,608 ทำให้เกิดการบุกรุกได้ในอนาคต 71 00:05:41,608 --> 00:05:45,608 อันนี้ก็คือตัวผู้ดูแลระบบนี่ เขาก็จะวิเคราะห์จากรายงานที่ได้มานะคะ ซึ่งเหตุการณ์ 72 00:05:46,564 --> 00:05:49,813 ที่ระบบ IDS นี่ มันจะรายงานให้ทราบนี่ 73 00:05:49,813 --> 00:05:53,702 มีถึง 3 ประเภทหลัก ๆ เช่น 74 00:05:53,702 --> 00:05:57,702 มีคนเข้ามาสำรวจเครือข่าย 75 00:05:59,129 --> 00:06:02,964 เรา โดยที่เราไม่รู้จัก ว่าเขาเป็นใคร 76 00:06:02,964 --> 00:06:06,964 แล้วก็ไม่จำเป็นนะคะ มีการพยายามโจมตีเกิดขึ้นจริง ๆ นะคะ 77 00:06:09,120 --> 00:06:13,120 อาจจะเป็นพยายามโจมตีที่ อาจจะพยายามเข้า 78 00:06:14,920 --> 00:06:18,920 ระบบการเข้าใช้ระบบนะคะ แล้วก็อาจจะเหตุการณ์น่าสงสัย หรือผิดปกติ เช่น 79 00:06:19,859 --> 00:06:23,718 บาง User ใช้ปริมาณของเครือข่าย 80 00:06:23,718 --> 00:06:27,718 จำนวนมากผิดปกติ 81 00:06:28,375 --> 00:06:32,375 หรือ User นั้น ใช้อินเทอร์เน็ต 82 00:06:32,383 --> 00:06:32,643 แบบที่น่าสงสัยนะคะ 83 00:06:32,643 --> 00:06:36,643 เช่น คนปกติเขาจะใช้ประมาณ 100-200 แต่มี 84 00:06:39,712 --> 00:06:43,712 ผู้ใช้งานคนหนึ่ง ใช้ไป 20,000 - 30,000 85 00:06:47,119 --> 00:06:48,784 แบบนี้นะคะ ก็จะมีการรายงานความผิดปกติได้ การสำรวจเครือข่าย 86 00:06:48,784 --> 00:06:52,784 มันเป็นอย่างไรนะคะ มันจะเป็นการสำรวจที่ 87 00:06:56,031 --> 00:07:00,031 พยายามรวบรวมข้อมูลเพื่อที่จะโจมตีระบบ 88 00:07:01,686 --> 00:07:05,686 เครือข่ายเรา เช่น ตัว IP Scan นะคะ IP Sc 89 00:07:11,129 --> 00:07:13,518 an โปรแกรมสามารถดูได้ว่า IP Address ของแต่ละ 90 00:07:13,518 --> 00:07:17,518 เครื่อง ทั้ง 20 กว่าเครื่องนี่ IP อะไร 91 00:07:17,689 --> 00:07:17,961 เขาสามารถปลอมแปลงเป็น IP นักศึกษาได้ 92 00:07:17,961 --> 00:07:21,169 Port Scans ก็คือ คอมพิวเตอร์ห้องนี้การ 93 00:07:21,169 --> 00:07:25,169 มีช่องทางในการเชื่อมต่ออินเทอร์เน็ต โดย Port อะไร 94 00:07:30,520 --> 00:07:30,791 88 หรือ 89, 90 95 00:07:30,791 --> 00:07:34,791 ถ้าเขารู้แล้วว่าห้องนี้ใช้ 88 ถ้าเขาจะโจมตี 96 00:07:35,515 --> 00:07:39,515 ครั้งหน้า เขาก็โจมตีว่า Port 88 ใช้งานไม่ได้ 97 00:07:41,025 --> 00:07:45,025 ห้องทั้งห้องนี้ก็ใช้อินเทอร์เน็ตไมได้ 98 00:07:46,550 --> 00:07:50,550 โทรจัน ที่เป็นการเข้าทำงาน 99 00:07:51,138 --> 00:07:52,417 นะคะ เข้ามาฝังไว้ รอวันที่เขาจะสั่งให้มันทำงานนะคะ รวมถึง 100 00:07:52,417 --> 00:07:56,417 การส่งไฟล์แปลกปลอมมาฝังไว้ หรือให้ 101 00:07:59,830 --> 00:08:03,830 ดาว์นโหลดไฟล์แปล 102 00:08:06,277 --> 00:08:09,952 กปลอมไว้ในเครือข่าย ถ้ามีใครดาวน์โหลดได้ อาจจะไม่มีผลทันทีนะคะ ในการโจมตี 103 00:08:09,952 --> 00:08:13,952 รอเวลาที่เขาจะส่งโจมตีวันไหนก็ได้ มาจากไฟ 104 00:08:19,147 --> 00:08:20,584 ล์มา โดยที่เราไม่รู้ว่ามาจากไหนนะคะ 105 00:08:20,584 --> 00:08:22,380 การโจมตีนี่ การโจมตีเครือข่ายคอมพิวเตอร์นี่ 106 00:08:22,380 --> 00:08:26,380 มันก็จะมีการแบ่งลำดับความสำคัญ ของ 107 00:08:26,867 --> 00:08:29,565 การโจมตีนั้น ๆ ถ้าตัว IDS นี่ 108 00:08:29,565 --> 00:08:33,565 มันรายงานการโจมตี ที่มีรายงาน 109 00:08:38,070 --> 00:08:42,070 ที่มีความรุนแรงสูงนะคะ ผู้ดูแลระบบนี่ จะต้องตอบสนองต่อการรายงานนั้นทันที 110 00:08:42,242 --> 00:08:46,242 เพราะว่าถ้าคุณไม่ป้องกันตอนนั้น หรือตัดระบบเดี๋ยวนั้น 111 00:08:50,256 --> 00:08:51,768 การสูญเสียจะมีมากกว่านี้นะคะ 112 00:08:51,768 --> 00:08:55,768 โดยปกติแล้วนี่ ผู้ดูแลระบบจะต้องทำการ 113 00:08:57,681 --> 00:09:01,681 วิเคราะห์เพิ่มเติม ว่าเป็นการโจมตีนั้น 114 00:09:02,117 --> 00:09:05,278 จริง ๆ หรือแค่เข้ามา 115 00:09:05,278 --> 00:09:09,278 สแกนดูเครือข่ายเราเฉย ๆ อย่างเช่นการโจมตี 116 00:09:10,438 --> 00:09:14,438 ล่าสุด ที่เป็นข่าวไม่เกิน 1 เดือนที่ผ่านมา ก็คือโรงพยาบาลอุดรฯ 117 00:09:19,162 --> 00:09:23,001 ทำให้คอมพิวเตอร์ทั้งโรงพยาบาลใช้งานไม่ได้ เขาเรียกว่าเป็น 118 00:09:23,001 --> 00:09:27,001 การเรียกค่าไถ่นะคะ พอทุกคนสมัยปัจจุบันนี่ ใช้คอมพิวเตอร์หมด คุณหมอก็ใช้ 119 00:09:29,118 --> 00:09:33,118 พยาบาลก็ใช้ คนป่วยก็ใช้ การจะส่งผลตรวจทุกอย่างเราใช้คอมพิวเตอร์หมด แต่พอ 120 00:09:35,974 --> 00:09:39,974 โรงพยาบาลขนาดใหญ่โดนเรียกค่าไถ่ 121 00:09:42,503 --> 00:09:43,391 ให้ไม่สามารถใช้ข้อมูลได้ ทุกอย่างกลับไปเป็นกระดาษ 122 00:09:43,391 --> 00:09:47,391 นะคะ จะดูฟิล์มX-ray 123 00:09:51,172 --> 00:09:53,700 นะคะ การโจมตีนี้ ไม่ใช่ว่า เขาเพิ่งจะ 124 00:09:53,700 --> 00:09:57,700 โจมตี เขาฝั่งตัวอยู่ในระบบคอมพิวเตอร์มานานมาก 125 00:09:58,503 --> 00:10:02,503 โรงพยาบาลมานานมาก แล้วเขาก็ติดตั้งตัวที่สามารถตัด 126 00:10:04,915 --> 00:10:08,439 การทำงานของระบบคอมพิวเตอร์ได้ สิ่งที่จะแก้ไขได้ คือ 127 00:10:08,439 --> 00:10:12,421 จ่ายเงินตามที่มันเรียกค่าไถ่น่ะค่ะ 128 00:10:12,421 --> 00:10:16,421 การโจมตีตัวนี้ ถามว่าเราป้องกันได้ไหม เราป้องกันได้ แต่บางที 129 00:10:18,705 --> 00:10:22,705 ช่องโหว่มันเยอะกว่าที่เราสำรวมไว้นะคะ การโจมตีสามารถเกิดขึ้นได้ตลอด ในห้องนี้ก็อาจจะมี 130 00:10:25,160 --> 00:10:27,990 โปรแกรมที่ฝั่งไว้แล้ว อันนี้ 131 00:10:27,990 --> 00:10:31,709 เราก็ไม่รู้ ถ้าเราไม่ได้สำรวจ แล้วก็คนดูแลระบบ 132 00:10:31,709 --> 00:10:35,709 ถ้าไม่ตรวจสอบความปลอดภัยดีเท่าที่ควร 133 00:10:39,188 --> 00:10:40,212 ก็สามารถโดนโจมตีได้ วันไหนก็ได้ 134 00:10:40,212 --> 00:10:41,332 หรืออีก 2 ชั่วโมงก็ได้นะคะ 135 00:10:41,332 --> 00:10:45,332 เหตุการณ์ที่น่าสงสัย นอกจากสิ่งที่อาจารย์เคยพูดมาแล้ว เอ๊ะ 136 00:10:51,189 --> 00:10:54,083 ทำไมคอมพิวเตอร์ฉันดูช้าลง ทำไมรู้สึกว่าอินเทอร์เน็ต 137 00:10:54,083 --> 00:10:55,853 เยอะขึ้นนะคะ ถ้าข้อมูลมันไม่เพียงพอ 138 00:10:55,853 --> 00:10:59,853 ตัว IDS นี่ มันก็อาจจะยังรู้ไม่มากพอ 139 00:11:03,192 --> 00:11:04,089 มันก็อาจจะยังรู้ไม่มากพอว่ามันเป็นเหุตการณ์อะไร 140 00:11:04,089 --> 00:11:04,128 จะแจ้งเตือนไว้ก่อน ให้ว่า 141 00:11:04,128 --> 00:11:08,128 รู้ว่า เอ๊ะ มันน่าสงสัยนะ แล้วให้ผู้ดูแลระบบนี่ 142 00:11:12,605 --> 00:11:16,605 ลองมาดูสิ ว่ามันมีความผิดปกติ 143 00:11:17,318 --> 00:11:21,318 จากในตัวระบบเอง หรือการมีคนพยายามโจมตี 144 00:11:21,815 --> 00:11:22,770 นะคะ อาจจะเป็นเกี่ยวกับการใส่ 145 00:11:22,770 --> 00:11:26,770 หัวของข้อมูลผิดไปจากมาตรฐาน 146 00:11:27,669 --> 00:11:31,669 ตัว Header นะคะ อาจารย์เคย 147 00:11:34,870 --> 00:11:38,870 เอาสไลด์ให้ดูแล้วนะคะ สำหรับ Header ครูเอาให้นักเรียนดูแล้ 148 00:11:39,205 --> 00:11:41,154 วส่งข้อมูลเป็นกล่องพัสดุ แล้วคุณใส่จ 149 00:11:41,154 --> 00:11:45,154 ่าที่อยู่ผิด หรือคุณใส่ที่อยู่เยอะเกินไป จนเกิน 150 00:11:46,457 --> 00:11:50,457 มาตรฐานนะคะ มันอาจจะเป็นการโจมตีแบบใหม่ 151 00:11:51,209 --> 00:11:54,013 มันอาจจะเป็นการโจมตีแบบใหม่ก็ได้ หรือว่าการ 152 00:11:54,013 --> 00:11:56,843 สร้างที่อยู่ของเครื่องมันอาจจะเสียนะคะ ก็ต้องให้ผู้ดูแลระบบ 153 00:11:56,843 --> 00:12:00,843 ไปเช็ก ว่าความผิดปกตินี้ 154 00:12:04,949 --> 00:12:06,294 มันอันตรายหรือไม่ หรือว่ามันเป็นที่ระบบเองนะคะ 155 00:12:06,294 --> 00:12:10,294 การออกแบบแล้วก็การติดตั้ง IDS 156 00:12:14,450 --> 00:12:18,450 นี่ ก่อนที่เราจัติดตั้งนะคะ ก็ต้องมีการ 157 00:12:18,766 --> 00:12:20,548 ต้องมีการสำรวจก่อน มีการวางแผนก่อนนะคะ 158 00:12:20,548 --> 00:12:24,155 ก็ต้องสำรวจความต้องการ การตรวจจับการบุกรุก 159 00:12:24,155 --> 00:12:26,850 แล้วก็เลือกหาวิธีการที่เหมาะสมนะคะ 160 00:12:26,850 --> 00:12:30,850 แล้วก็เราต้องคำนึงถึงนโยบายรักษาความปลอดภัยด้วย 161 00:12:33,413 --> 00:12:36,805 ซึ่งองค์กรส่วนใหญ่ เขาก็จะเลือกใช้ 162 00:12:36,805 --> 00:12:40,805 แบบที่เป็น Host นะคะ แล้วก็ตัว IDS ควบคู่กันได้ 163 00:12:43,229 --> 00:12:44,032 เพื่อให้ทำงานอย่างมีประสิทธิภาพ 164 00:12:44,032 --> 00:12:44,971 เขาจะไม่เลือกอย่างใดอย่างหนึ่ง เขาจะเลือกทั้ง 2 อันเลยนะคะ โดยที่ 165 00:12:44,971 --> 00:12:48,971 เขาจะติดตั้ง Network-Based ก่อน 166 00:12:54,888 --> 00:12:58,888 เพื่อป้องกัน Server ที่สำคัญนะคะ ก็การติดตั้งนี่ ควรจะเลือกใช้เครื่องมือที่ใช้วิเคราะห์ช่องโหว่ แล้วก็ 167 00:13:04,429 --> 00:13:08,429 ตรวจสอบการทำงานของ IDS ได้นะคะ รวมถึง 168 00:13:10,883 --> 00:13:14,883 ใช้สิ่งที่เราทำการบ้านอาจารย์ครั้งที่แล้ว ก็คือ Honey Port 169 00:13:14,989 --> 00:13:15,328 รวมด้วยนะคะ ก็คือการล่อ 170 00:13:15,328 --> 00:13:19,328 ตัวผู้โจมตีเข้ามารวมกัน แล้ววิเคราะห์ 171 00:13:19,709 --> 00:13:20,245 พฤติกรรมของเขานะคะ 172 00:13:20,245 --> 00:13:24,245 การติดตั้งนะคะ ถ้าติดตั้งโดยใช้ Hub 173 00:13:25,572 --> 00:13:29,572 มันก็จะสามารถติดตั้งได้ง่าย เพราะว่า Hub 174 00:13:35,240 --> 00:13:35,651 เป็นตัวแจกจ่าย Package ของระบบอยู่แล้ว 175 00:13:35,651 --> 00:13:39,651 นะคะ สามารถปรับตัวอุปกรณ์ของเรา 176 00:13:39,716 --> 00:13:42,615 ให้รับกับทุก ๆ Package หรือทุก ๆ ข้อมูลมาได้เลย 177 00:13:42,615 --> 00:13:45,601 แต่ถ้าเครือข่ายของใครที่ 178 00:13:45,601 --> 00:13:49,601 เป็นเครือข่ายที่ใช้ Switch อยู่แล้ว Switch ก็จะ 179 00:13:54,870 --> 00:13:58,166 หน้าห้องเรียนเรา ความสามารถมันเยอะนะคะ เพราะว่า 180 00:13:58,166 --> 00:14:02,166 การติดตั้งเลยมีความยุ่งยากมากยิ่งขึ้น เพราะตัว Swit 181 00:14:03,254 --> 00:14:04,048 ch มันจะเป็นตัวส่ง Package 182 00:14:04,048 --> 00:14:08,048 อยู่เท่านั้นนะคะ ทำให้ตัว IDS นี่ 183 00:14:09,911 --> 00:14:13,700 มันไม่สามารถตรวจจับตัว 184 00:14:13,700 --> 00:14:17,700 ที่วิ่งได้ ตัว Hub นี่ ทุก ๆ ข้อมูลจะมารวมกันก่อน 185 00:14:18,090 --> 00:14:22,090 แล้ว Hub ค่อยกระจายออกไป ทุก Package นั่นแหละนะคะ แต่ตัว Switch นี่ 186 00:14:23,930 --> 00:14:27,930 มันจะมาเฉพาะส่วนที่เราเชื่อมต่อไว้แล้ว 187 00:14:30,327 --> 00:14:30,634 มันจะไม่ได้ผ่านตัว IDS ทั้งหมด มันจะ 188 00:14:30,634 --> 00:14:34,634 ยากกว่า ตัวการใช้ Hub นะคะ 189 00:14:36,223 --> 00:14:40,223 การเชื่อมต่อตัว IDS กับเครือข่ายนะคะ มีอยู่ 190 00:14:41,252 --> 00:14:45,252 3 วิธี วิธีแรก 191 00:14:46,311 --> 00:14:47,538 จะใช้เป็น Port Mirroring เป็นตัวสะท้อน ก็ 192 00:14:47,538 --> 00:14:51,538 ทำให้ Swicth ทุก 193 00:14:55,275 --> 00:14:55,660 ตัวมีคุณสมบัติเช่นเดียวกันทั้งหมดนะคะ Switch ทุกตัวจะส่งต่อ 194 00:14:55,660 --> 00:14:59,660 ข้อมูลนะคะ หรือว่าตัว Package นี่ 195 00:15:02,100 --> 00:15:04,486 จาก Port หนึ่ง ไปอีก Port หนึ่งนะคะ 196 00:15:04,486 --> 00:15:08,486 สะท้อนไปเลยทันที เช่น การสะท้อนจาก Port ที่เชื่อมกัย Router ไปที่ Firewall 197 00:15:14,412 --> 00:15:18,412 นะคะ ข้อดีของมันคือ ติดตั้งง่าย ไม่ต้องปรับเปลี่ยนโครงสร้างอะไรบนเครือข่าย 198 00:15:23,285 --> 00:15:27,283 มันไม่กระทบต่อการติดตั้ง Firewall 199 00:15:27,283 --> 00:15:31,283 ที่เรามีอยู่แล้วนะคะ ข้อเสียเป็นการสะท้อนนะคะ มันจะเป็นการที่มันจะทำเครื่องต่อเครื่อง 200 00:15:35,287 --> 00:15:39,287 หรือ Port ต่อ Port เท่านั้น มันจะทำให้ประสิ 201 00:15:39,291 --> 00:15:41,025 ของตัว Swicth ที่เป็นการเชื่อมต่อนี่ 202 00:15:41,025 --> 00:15:42,194 ลดลงนะคะ การส่งต่อ Package 203 00:15:42,194 --> 00:15:46,194 จะต้องเป็น Package ที่สมบูรณ์เท่านั้น 204 00:15:51,292 --> 00:15:55,292 นะคะ บางครั้งนี่ มันทำให้การตรวจจับแพ็กเกจบางอย่าง ไม่สามารถตรวจสอบได้ 205 00:15:58,739 --> 00:16:02,739 มันจะเห็นเฉพาะตัวที่สมบูรณ์ ตัวที่ 206 00:16:03,297 --> 00:16:06,130 มีข้อผิดพลาด หรือมีข้อที่มันสมบูรณ์ 207 00:16:06,130 --> 00:16:07,477 มันจะมองไม่เห็น อาจจะทำให้การตรวจสอบความปลอดภัยนี่ 208 00:16:07,477 --> 00:16:07,901 มันแย่ลงนะคะ 209 00:16:07,901 --> 00:16:11,901 แล้วถ้าการใช้ Hub ล่ะนะคะ 210 00:16:14,296 --> 00:16:18,296 มันจะเป็นการใช้งาน โดยการวาง Hub 211 00:16:23,300 --> 00:16:24,697 อยู่ตรงการ ระหว่าง Switch กับตัว Router 212 00:16:24,697 --> 00:16:28,144 ใช้งานอินเทอร์เน็ตนั้นแหละนะคะ แล้วก็เอาตัว 213 00:16:28,144 --> 00:16:32,144 IDS ไปเชื่อมต่อกับ Hub Port ใด Port 214 00:16:35,202 --> 00:16:39,202 หนึ่งนะคะ ข้อมูลมันก็ยังจะสามารถไหล IDS ได้ 215 00:16:39,304 --> 00:16:43,304 กับ Switch ได้ ตัว IDS ก็สามารถตรวจจับ Package ต่าง ๆ ซึ่ง 216 00:16:43,326 --> 00:16:47,326 ข้อมูลทุกอันจะต้องผ่าน Hub ตัว IDS ต้องรู้ด้วย 217 00:16:49,386 --> 00:16:53,386 ข้อดี คือ ก็ติดตั้งง่ายนะคะ ไม่มีผลต่อการติดตั้ง Firewall 218 00:16:54,893 --> 00:16:58,893 เช่นเดียวกัน รวมถึงราคาถูกกว่า แต่ข้อเสีย 219 00:16:59,966 --> 00:17:03,966 ก็ค่อนข้างเยอะนะคะ เพราะว่ามันไม่มสามารถเชื่อมต่อโดยตรง 220 00:17:07,315 --> 00:17:11,312 ระหว่าง Router กับ Swicth 221 00:17:11,312 --> 00:17:15,312 ก็คือเป็นการเชื่อมต่อแบบสมบูรณ์นะคะ การจัดการ IDS ผ่าน Hub ตัวเดียว 222 00:17:17,647 --> 00:17:21,647 ให้มีโอกาสกรชนกันของข้อมูล ก็คือเป็นปัญหาคอขวด 223 00:17:22,529 --> 00:17:26,529 นะคะ เช่น ถ้าทุกอย่างต้องผ่าน Hub ก็ 224 00:17:26,882 --> 00:17:30,882 มีความสามารถที่แจกงานได้น้อย ข้อมูลก็จะช้า เหมือน พรินต์เตอร์ 225 00:17:31,322 --> 00:17:31,757 รวมถึงข้อมูล อย่างเช่น เราสั่งพริตพร้อมกัน 226 00:17:31,757 --> 00:17:35,757 บางทีถ้าข้อมูลชนกัน สั่งพรินต์พร้อมกัน 227 00:17:38,241 --> 00:17:40,448 ไม่ทำงาน รวมถึงพอมันใช้งานหนักมาก ๆ 228 00:17:40,448 --> 00:17:44,448 Hub ก็จะเกิดการชำรุดได้ง่าย เพราะมันทำงานหนัก 229 00:17:44,789 --> 00:17:48,789 จริง ๆ แล้ว Hub มันมีข้อ 230 00:17:51,326 --> 00:17:52,249 ดี ก็คือราคาถูก แต่ก็ไม่เป็นที่นิยม เพราะว่ามันมี 231 00:17:52,249 --> 00:17:55,457 ปัญหามากกว่าการเชื่อมต่อแบบอื่น ๆ นะคะ 232 00:17:55,457 --> 00:17:59,457 กับการใช้ Tab 233 00:18:00,404 --> 00:18:04,404 ก็จะเป็นอีกวิธีหนึ่ง 234 00:18:05,551 --> 00:18:09,551 รวมถึงการสะท้อนด้วยนะคะ ตัว Tab นี่ 235 00:18:10,739 --> 00:18:12,495 หน้าตาจะคล้าย ๆ กับ Hub แต่ 236 00:18:12,495 --> 00:18:16,495 Tab นี่ สามารถทนต่อข้อผิดพลาดได้เยอะกว่า Hub 237 00:18:19,094 --> 00:18:20,397 นะคะ อุปกรณ์แข็งแรงทนทาน 238 00:18:20,397 --> 00:18:23,712 กว่า มีการเชื่อมต่อที่เป็นแบบถาวร 239 00:18:23,712 --> 00:18:27,712 โดยใช้ 2 Port หลัก ลักษณะหน้าตา Tab 240 00:18:31,119 --> 00:18:35,119 จะเป็นแบบนี้นะคะ ข้อดีนะคะ ทนต่อความผิดพลาด ถ้าสมมติว่าไฟตก ไฟกระชาก 241 00:18:40,729 --> 00:18:44,729 ในชั่วขณะหนึ่ง Port หลัก 2 242 00:18:46,415 --> 00:18:50,246 อันยังทำงานได้ มีไฟฟ้าค้างอยู่นิดหน่อย ยังทำงานได้ 243 00:18:50,246 --> 00:18:54,246 ไม่มีผลกระทบต่อการติดตั้ง โครงสร้างของเครือข่ายไม่มีการเปลี่ยน ประสิทธิภาพของ 244 00:18:56,720 --> 00:19:00,113 เครือข่ายยังทำงานได้ดีเหมือนเดิม 245 00:19:00,113 --> 00:19:04,113 ตัว IDS สามารถติดตาม Package ที่ผิดปกติ 246 00:19:06,474 --> 00:19:06,622 หรือข้อมูลที่มีความผิดปกติได้ จำ 247 00:19:06,622 --> 00:19:10,622 ทำงานคล้าย ๆ กับ Hub เลยค่ะ จะทำงานผ่าน IDS เหมือนเดิม 248 00:19:14,273 --> 00:19:18,273 แต่ประสิทธิภาพไม่ได้ลดลง ข้อเสียหลัก ๆ เลย คือ อุปกรณ์ยิ่งดีอย่างไร ราคาก็แพง 249 00:19:20,491 --> 00:19:24,491 ตามนั้นนะคะ แต่ถ้าเรามีการติดตั้ง อาจจะปีต่อปี 250 00:19:26,192 --> 00:19:30,192 พอหมด 1 ปี คุณอาจจะต้องมีการติดตั้งใหม่ 251 00:19:35,311 --> 00:19:39,311 หรือมาแก้ไขปรับข้อมูลเพิ่มใหม่ แล้ว IDS จะต้องทำงานในโหมดหายตัวเท่านั้น จะแสดง 252 00:19:40,766 --> 00:19:41,726 ตัวไม่ได้ ถ้าแสดงตัวปุ๊บ ระบบจะช้า 253 00:19:41,726 --> 00:19:45,726 นะคะ จะต้องทำในโหมดล่องหน หรือโหมดหายตัวเท่ 254 00:19:49,999 --> 00:19:53,393 านั้นนะคะ ตัว IDS ที่จะมาติดตั้งกับ Tab ได้ จะต้องมี 255 00:19:53,393 --> 00:19:57,393 คุณสมบัติที่มากพอสมควร สำหรับ 256 00:19:57,404 --> 00:20:01,404 ตัว IDS เองนะคะ ถ้าอุปกรณ์ราคา 257 00:20:02,967 --> 00:20:05,904 ถูกหน่อย อาจจะไม่มีโหมดในการล่องหนนะคะ 258 00:20:05,904 --> 00:20:09,166 ทุกอย่าง ถ้า แทบจะทุกอย่างของระบบคอมพิวเตอร์ ถ้านักศึกษาอยากได้ของ 259 00:20:09,166 --> 00:20:13,166 ที่มีคุณภาพนะคะ ก็ต้องแลกกับราคาที่ต้องจ่ายเช่นเดียวกัน 260 00:20:16,656 --> 00:20:17,326 นะคะ 261 00:20:17,326 --> 00:20:19,103 การติดตั้งนะคะ การติดตั้ง คำถามแรกเลย 262 00:20:19,103 --> 00:20:23,103 เราจะติดตั้งตรงจุดไหนของเครือข่าย 263 00:20:30,336 --> 00:20:34,336 นะคะ ไอ้ตัว IDS นี่ จะเอาติดไว้ข้างหน้า Firewall หรือ ข้างหลัง 264 00:20:39,381 --> 00:20:39,457 นะคะ ถ้านักศึกษาไปเป็นผู้ดูแลระบบเครือข่ายนี่ 265 00:20:39,457 --> 00:20:39,740 บางทีจะต้องวางแผนให้เขาด้วยนะคะ 266 00:20:39,740 --> 00:20:43,740 ข้อดีอย่างแรก ถ้าสมมตินักศึกษาเลือกแบบติดตั้ง 267 00:20:50,921 --> 00:20:54,896 ข้างหลัง Firewall จะสามารถตรวจจับได้ทันที 268 00:20:54,896 --> 00:20:58,896 ถ้ามีใครบุกรุกเข้ามา สามารถตรวจสอบการตั้งค่า และประสิทธิภาพของตัว Firewall ได้ 269 00:21:03,389 --> 00:21:07,389 สามารถตรวจจับการโจมตี แม้ว่าจะอยู่ในโซน DMZ ได้นะ 270 00:21:11,393 --> 00:21:15,012 อันนี้ก็เป็นหัวข้อที่นักศึกษาต้องทำในวันนี้ DMZ 271 00:21:15,012 --> 00:21:16,571 ให้ดี มันจะเป็น หมายถึงด้านเครือข่ายนะคะ 272 00:21:16,571 --> 00:21:20,571 ไม่ได้หมายถึงชายแดนประเทศบางประเทศนะ รวมถึง 273 00:21:21,863 --> 00:21:25,863 เจอ Package ที่ผิดปกติ 274 00:21:27,102 --> 00:21:27,276 อันนี้ถ้าเป็นข้อดีของการติดตั้งหลัง Firewall 275 00:21:27,276 --> 00:21:27,915 ถ้าเราติดตั้งหน้า Firewall 276 00:21:27,915 --> 00:21:31,915 นะคะ มันก็จะยิ่งเก็บสถิติของการโจมตีจากภายนอกได้ 277 00:21:37,967 --> 00:21:41,967 นะคะ ถ้าติดตั้งบน Backbone หลักของเครือข่าย โครงสร้าง 278 00:21:45,350 --> 00:21:48,203 หลักของเครือข่ายนะคะ หลัก 279 00:21:48,203 --> 00:21:50,438 ของเครือข่ายเลย ก็คือเราสามารถติดตาม 280 00:21:50,438 --> 00:21:54,438 การจราจรที่ไหลเวียนตามเครือข่ายได้ 281 00:21:55,903 --> 00:21:59,903 แล้วก็มาวิเคราะห์นะคะ ว่าตอนนี้นี่ เหมือนบางทีเราขับรถนี่ ถ้าใน 282 00:22:02,893 --> 00:22:06,893 เส้นทางปกติที่เรามาเรียนนี่ เราขับได้ปกติ กับบางวัน 283 00:22:09,933 --> 00:22:12,670 ทำไมรถมันเยอะจัง ทำไมรถเขาจอดแบบนี้ 284 00:22:12,670 --> 00:22:15,148 เหมือนกันเลยค่ะ เหมือนกับระบบเครือข่าย ปกติเราขับรถมานี่ 285 00:22:15,148 --> 00:22:19,148 มันคล่องตัวมาก ทำไมวันนี้รถมันเยอะ 286 00:22:19,726 --> 00:22:23,726 ทำไมมีรถจอดขวางทาง แล้วทำไมเขากั้นไม่ให้เราไป 287 00:22:26,759 --> 00:22:30,094 มันมีความผิดปกติอะไร เช่นเดียวกันกับร 288 00:22:30,094 --> 00:22:31,079 ะบบเครือข่าวเลยค่ะ ถ้ามันมีการจราจรที่ 289 00:22:31,079 --> 00:22:35,079 ผิดปกติไป อาจจะเกิดจากการโจมตี 290 00:22:35,437 --> 00:22:39,437 ของเครือข่ายก็ได้นะคะ แล้วก็ถ้าเราติดตั้งบน 291 00:22:40,734 --> 00:22:44,734 โครงสร้างหลักของเครือข่ายนี่ 292 00:22:45,742 --> 00:22:46,497 มันสามารถจับกิจกรรมที่ไม่ได้รับอนุญาตของผู้ใช้งานทั่วไป 293 00:22:46,497 --> 00:22:46,681 ก็ได้ แต่ถ้าเราติดตั้ง 294 00:22:46,681 --> 00:22:50,681 ไปในโครงสร้างย่อยของเครือข่าย 295 00:22:58,607 --> 00:22:58,749 ที่มีความเสี่ยงสูง ข้อดีของมัน คือ 296 00:22:58,749 --> 00:23:02,749 มันสามารถตรวจจับการโจมตีที่สำคัญได้ เพราะมันเจาะลึกลงไปอีก 297 00:23:07,435 --> 00:23:11,435 แล้วก็ลดจำนวนอุปกรณ์ IDS ที่ต้องใช้นะคะ เพราะว่ามันจะไปตรวจจับเฉพาะ 298 00:23:11,879 --> 00:23:13,500 จุดที่สำคัญเท่านั้น เพื่อความ 299 00:23:13,500 --> 00:23:16,774 คุ้มค่า คุ้มราคา ประหยัดค่าใช้จ่ายนะคะ 300 00:23:16,774 --> 00:23:20,774 การติดตั้งแต่ Ho 301 00:23:27,437 --> 00:23:28,613 st เมื่อกี้เป็น Network แล้ว คราวนี้เป็น Host ก็จะติดตั้ง 302 00:23:28,613 --> 00:23:32,613 เฉพาะกับ Server ที่มันสำคัญ 303 00:23:35,084 --> 00:23:36,933 ถ้าเราติดตั้งเยอะ ค่าใช้จ่ายมันก็เยอะ ถ้าเราติดตั้ง... 304 00:23:36,933 --> 00:23:39,434 ค่าใช้จ่ายเราก็จะลดลงนะคะ แล้วก็จะ 305 00:23:39,434 --> 00:23:40,178 ทำให้ผู้ดูแลระบบนี่ สามารถ 306 00:23:40,178 --> 00:23:44,178 เห็นรายงานที่แจ้งเตือนจาก Server ที่สำคัญ ๆ 307 00:23:50,783 --> 00:23:54,783 ก็พอนะคะ แล้วส่วนใหญ่นี่ เขาก็จะติดตั้งตรงส่วนกลางเท่านั้น เพื่อให้จัดการง่าย 308 00:23:55,930 --> 00:23:59,930 แล้วก็ประสิทธิภาพ ถ้าจะทำงานได้ดี 309 00:24:00,813 --> 00:24:04,813 ก็ต้องอยู่กับความชำนาญของผู้ดูแลระบบ 310 00:24:07,230 --> 00:24:10,154 แล้วก็คนติดตั้งด้วย เพราะว่าการจะเป็นผู้ดูแลระบบในการที่จะตรวจสอบ รวมถึงการที่จะติดตั้ง 311 00:24:10,154 --> 00:24:14,154 ตัว IDS ได้นี่ ก็ต้องใช้เวลา แล้วก็ใช้ความรู้ 312 00:24:16,908 --> 00:24:20,867 พอสมควรเลยนะคะ ผลิตภัณฑ์ IDS/IPS 313 00:24:20,867 --> 00:24:24,867 ที่แพร่หลายในปัจจุบัน คือ Snort 314 00:24:31,463 --> 00:24:35,462 นะคะ S-n-o-r-t อันนี้ระบบ W 315 00:24:35,462 --> 00:24:38,220 indows ทั้ง Linux ทั้ง Unix ใช้งานได้ในระบบปฏิบัติการ 316 00:24:38,220 --> 00:24:42,220 นะคะ มีโหมดการใช้งาน 317 00:24:43,430 --> 00:24:47,430 4 โหมด หลัก ๆ นะคะ วันนี้งานที่จะให้ทำ 318 00:24:47,852 --> 00:24:48,171 ในห้องนะคะ อันแรกเลย 319 00:24:48,171 --> 00:24:52,171 ที่อาจารย์บอกว่าให้ระวังในการค้นหา 320 00:24:53,013 --> 00:24:57,013 ตัว DMZ จะต้องเป็นตัว DMZ ที่เกี 321 00:25:03,474 --> 00:25:06,235 ่ยวข้องกับโครงข่าย Network เท่านั้น เป็นเครือข่าย 322 00:25:06,235 --> 00:25:09,645 อะไรสักอย่าง ให้นักศึกษาลองค้นหาข้อมูล 323 00:25:09,645 --> 00:25:12,850 เพิ่มเติม ระวังด้วย DMZ มันจะเป็น 324 00:25:12,850 --> 00:25:16,850 พื้นที่ปลอดอาวุธของบางประเทศ 325 00:25:17,134 --> 00:25:21,134 อันนี้เราก็ไม่เอานะ เอาเฉพาะในเรื่องเครือข่ายนะคะ 326 00:25:21,888 --> 00:25:23,051 แล้วก็ถ้า 327 00:25:23,051 --> 00:25:23,278 ปีหน้า นักศึกษาจะต้องไปฝึกงาน 328 00:25:23,278 --> 00:25:27,278 เราอาจจะได้ฝึกงานเกี่ยวกับการติดตั้งระบบเครือข่าย 329 00:25:32,348 --> 00:25:33,738 ถ้าฝึกงาน 330 00:25:33,738 --> 00:25:37,738 หรือไปทำงานก็ได้ ถ้าจะต้องวางแผน 331 00:25:42,764 --> 00:25:46,764 การติดตั้ง IDS แบบ Network-Based ในส 332 00:25:47,493 --> 00:25:51,490 ไลด์อาจารย์ก็มี 333 00:25:51,490 --> 00:25:54,509 นะคะ นักศึกษาจะเลือกการติดตั้ง 334 00:25:54,509 --> 00:25:58,509 Firewall จะเลือกใช้แบบติดตั้งด้านหน้า 335 00:25:59,492 --> 00:26:03,492 หรือด้านหลัง เพราะอะไร ให้หาเหตุผลเพิ่มเติมจากสไดล์อาจารย์ด้วย 336 00:26:05,820 --> 00:26:09,820 อีกหรือเปล่าที่นักศึกษาเลือกติดตั้งด้านหน้า 337 00:26:10,615 --> 00:26:13,019 นะคะ แล้ว 338 00:26:13,019 --> 00:26:17,019 อุปกรณ์ที่เรียกว่า "Hub" กับ "Network Tab 339 00:26:18,721 --> 00:26:22,338 " มันเหมือนหรือมันต่างกันอย่างไรนะคะ อธิบายเพิ่มเติมมา 340 00:26:22,338 --> 00:26:26,338 โดยเฉพาะข้อ 2 เหตุผล 341 00:26:27,418 --> 00:26:31,418 ของข้อ 2 นี่ อาจารย์มีให้เลือกแล้ว แต่ให้หาเพิ่มเติมด้วย 342 00:26:32,231 --> 00:26:34,120 นะคะ ทำใน Classroom 343 00:26:34,120 --> 00:26:38,120 นะคะ ส่งใน Cassroom เหมือนเดิม ก็ 344 00:26:39,996 --> 00:26:43,996 เริ่มทำได้เลยค่ะ เดี๋ยวอาจารย์เดินดู