(ดร.เกวลี) โอเค ล่ามได้ยินไหมคะ โอเคค่ะ สวัสดีค่ะ ก็วันนี้นะคะ เนื้อหาก็จะเป็นในส่วนของบทที่ 7 จะต่อเนื่องกับครั้งที่แล้วนะคะ เป็นเนื้อหาของ IDS IPS เหมือนเดิมนะคะ แต่ว่ารายละเอียดก็จะมีการเพิ่มขึ้นช่องโหว่ของระบบคอมพิวเตอร์ด้วยนะคะ รายงานการแจ้งเตือนต่าง ๆ การออกแบบ และการติดตั้ง รวมถึงผลิตภัณฑ์ต่าง ๆ ของ IDS IPS นะคะ ช่องโหว่ของคอมพิวเตอร์นี่นะคะ ก็สำหรับการเรียกชื่อต่าง ๆ แล้วก็การโจมตีนะคะ มารฐานในการเรียกชื่อนะคะ เราจะเรียกว่า "CVE" นะคะ ก็เป็นการรวบรวมข้อมูลจากผู้เชี่ยวชาญรวบรวบข้อมูลจากทางผู้เชี่ยวชาญจากทางบก ทางคอมพิวเตอร์นะคะ ทั่วโลก ซึ่งส่วนใหญ่จะใช้ตัว IDS นะคะ เป็นตัวที่จะมอนิเตอร์ หรือติดตามต่าง ๆ ของระบบ แล้วก็ตัว IDS นี่ มันก็จะมีการทำ Report หรือว่ารายงาน การทำของการโจมตีที่เกิดขึ้นนะคะ อาจจะโจมตีสำเร็จหรือไม่ ก็ต้องเก็บรายละเอียดทั้งหมด รวมถึงช่องโหว่ หรือว่าจุดอ่อนของระบบนะคะ ว่าเขาโจมตีตรงส่วนไหน ของการทำงานของเรา ซึ่งประโยชน์ที่ได้รับจากการเก็บข้อมูลต่าง ๆ พวกนี้นี่ จะทำให้ admin หรือผู้ดูแลระบบนี่ เขาสามารถวิเคราะห์แล้วก็วางแผนปิดช่องโหว่ของระบบนะคะ ถ้าเราไม่มีการรายงานเลย เราก็จะไม่รู้ว่าาระบบคอมพิวเตอร์ มีปัญหาหรือเปล่า โดยช่องโหว่ของระบบคอมพิวเตอร์ที่มักจะพบเห็นได้บ่อยนะคะ ก็คืออันแรก การในข้อมูลผิดพลาดนะคะ หรือการนำเข้าข้อมูลผิดพลาด หรือรวมถึงอาจจะเป็นการที่ระบบนี่ การโจมตีข้อมูล โดยการที่ทำให้ข้อมูลเข้าสู่ระบบมากเกินไปนะคะ อาจจะ จริง ๆ แล้ว ระบบอาจจะใช้งานแค่วันละ 100 คน แต่บางทีเราโดนโจมตี โดยที่การที่ทำให้เหมือนกับการที่มีคนเข้าระบบเป็นแสน เป็นล้านคนนะคะ กับอีกอันหนึ่ง คือ ขอบเขตของข้อมูลผิดพลาด อย่างเช่น บัตรประชาชนเรานี่ มี 13 หลัก แต่เขาพยายามทำให้มันเกินขึ้นไป เช่น เรากรอกบัตรประชาชนเกินขึ้นไป 13 หลักขึ้นไป เพราะว่ามันโจมตีให้กลายเป็น 15 ตัว 16 ตัว ทำให้เราไม่สามารถใช้งานระบบได้ มันมาแก้ไขตรงนี้นะคะ รวมถึงการเข้าถึงระบบผิดพลาด มันจะโจมตี ทำให้เราไม่... มันจะปิดกั้น ไม่สามารถให้เราใช้ระบบได้นะคะ รวมถึงมาการแจ้งให้เกิด Error  ต่าง ๆ หรือการทำงานที่ทำให้ผิดเงื่อนไข จนระบบมันรวนไปทั้งหมด เช่น พยายามที่จะเข้าสู่ระบบ เข้า ๆ อยู่นั้นแหละ เข้าไม่ได้ก็ยังพยายามเข้า หรือการกด Refresh หน้าจอบ่อย ๆ นะคะ ทุก ๆ วินาที จนทำให้ระบบ Error นะคะ อาจจะเป็นเกี่ยวกับสิ่งแวดล้อมต่าง ๆ ทำให้ระบบ Error เช่น อาจจะพยายามที่จะทำให้ระบบไฟฟ้าขัดข้องนะคะ อาจจะเป็นการที่เอาน้ำไปฉีดในสายไฟ ที่เราจำเป็นต้องไปใช้งาน หรือตั้งใจทำให้น้ำรั่วใส่สายไฟ หรือพยายามที่จะจุดไฟเผา สิ่งเหล่านี้ก็สามารถเกิดขึ้นได้ ทางธรรมชาติ ภัยธรรมชาติก็นับเป็นสิ่งที่สามารถทำให้ระบบมีช่องโห่วได้นะคะ รวมถึงการติดตั้ง ที่จงใจหรืออาจจะไม่ตั้งใจ หรืออาจจะมีข้อผิดพลาด รวมถึงเงื่อนไขต่าง ๆ ที่สามารถทำให้เกิดช่องโหว่ได้ อาจจะตั้งใจ หรือไม่ตั้งใจก็อาจจะมีเกิดขึ้นได้นะคะ โดยรายงานการแจ้งเตือนนี่ โดย จะต้องตั้งค่าให้กับตัว IDS ลักษณะที่สำคัญของการบุกรุก มันก็จะเป็นลักษณะของที่เขาพบเจอได้บ่อย หรือความผิดปกติที่สามารถเกิดขึ้นได้นะคะ แล้วก็อาจจะเป็นการคาดเดาเหตุการณ์นะคะ ที่ผู้ดูแลระบบนี่เขาให้ความสำคัญ แล้วก็คาดว่าจะเป็นสิ่งที่จะทำให้เกิดการบุกรุกได้ในอนาคต อันนี้ก็คือตัวผู้ดูแลระบบนี่ เขาก็จะวิเคราะห์จากรายงานที่ได้มานะคะ ซึ่งเหตุการณ์ที่ระบบ IDS นี่ มันจะรายงานให้ทราบนี่ มีถึง 3 ประเภทหลัก ๆ เช่น มีคนเข้ามาสำรวจเครือข่ายเรา โดยที่เราไม่รู้จัก ว่าเขาเป็นใคร แล้วก็ไม่จำเป็นนะคะ มีการพยายามโจมตีเกิดขึ้นจริง ๆ  นะคะ อาจจะเป็นพยายามโจมตีที่ อาจจะพยายามเข้าระบบการเข้าใช้ระบบนะคะ แล้วก็อาจจะเหตุการณ์น่าสงสัย หรือผิดปกติ เช่น บาง User ใช้ปริมาณของเครือข่ายจำนวนมากผิดปกติ หรือ User นั้น ใช้อินเทอร์เน็ตแบบที่น่าสงสัยนะคะ เช่น คนปกติเขาจะใช้ประมาณ 100-200 แต่มีผู้ใช้งานคนหนึ่ง ใช้ไป 20,000 - 30,000 แบบนี้นะคะ ก็จะมีการรายงานความผิดปกติได้ การสำรวจเครือข่าย มันเป็นอย่างไรนะคะ มันจะเป็นการสำรวจที่พยายามรวบรวมข้อมูลเพื่อที่จะโจมตีระบบเครือข่ายเรา เช่น ตัว IP Scan นะคะ IP Scan โปรแกรมสามารถดูได้ว่า IP Address ของแต่ละเครื่อง ทั้ง 20 กว่าเครื่องนี่ IP อะไร เขาสามารถปลอมแปลงเป็น IP นักศึกษาได้ Port Scans ก็คือ คอมพิวเตอร์ห้องนี้การมีช่องทางในการเชื่อมต่ออินเทอร์เน็ต โดย Port อะไร 88 หรือ 89, 90 ถ้าเขารู้แล้วว่าห้องนี้ใช้ 88 ถ้าเขาจะโจมตีครั้งหน้า เขาก็โจมตีว่า Port 88 ใช้งานไม่ได้ ห้องทั้งห้องนี้ก็ใช้อินเทอร์เน็ตไมได้ โทรจัน ที่เป็นการเข้าทำงานนะคะ เข้ามาฝังไว้ รอวันที่เขาจะสั่งให้มันทำงานนะคะ รวมถึงการส่งไฟล์แปลกปลอมมาฝังไว้ หรือให้ดาว์นโหลดไฟล์แปลกปลอมไว้ในเครือข่าย ถ้ามีใครดาวน์โหลดได้ อาจจะไม่มีผลทันทีนะคะ ในการโจมตี รอเวลาที่เขาจะส่งโจมตีวันไหนก็ได้ มาจากไฟล์มา โดยที่เราไม่รู้ว่ามาจากไหนนะคะ การโจมตีนี่ การโจมตีเครือข่ายคอมพิวเตอร์นี่ มันก็จะมีการแบ่งลำดับความสำคัญ ของการโจมตีนั้น ๆ ถ้าตัว IDS นี่ มันรายงานการโจมตี ที่มีรายงานที่มีความรุนแรงสูงนะคะ ผู้ดูแลระบบนี่ จะต้องตอบสนองต่อการรายงานนั้นทันที เพราะว่าถ้าคุณไม่ป้องกันตอนนั้น หรือตัดระบบเดี๋ยวนั้น การสูญเสียจะมีมากกว่านี้นะคะ โดยปกติแล้วนี่ ผู้ดูแลระบบจะต้องทำการวิเคราะห์เพิ่มเติม ว่าเป็นการโจมตีนั้นจริง ๆ  หรือแค่เข้ามาสแกนดูเครือข่ายเราเฉย ๆ อย่างเช่นการโจมตีล่าสุด ที่เป็นข่าวไม่เกิน 1 เดือนที่ผ่านมา ก็คือโรงพยาบาลอุดรฯ ทำให้คอมพิวเตอร์ทั้งโรงพยาบาลใช้งานไม่ได้ เขาเรียกว่าเป็นการเรียกค่าไถ่นะคะ พอทุกคนสมัยปัจจุบันนี่ ใช้คอมพิวเตอร์หมด คุณหมอก็ใช้ พยาบาลก็ใช้ คนป่วยก็ใช้ การจะส่งผลตรวจทุกอย่างเราใช้คอมพิวเตอร์หมด แต่พอโรงพยาบาลขนาดใหญ่โดนเรียกค่าไถ่ ให้ไม่สามารถใช้ข้อมูลได้ ทุกอย่างกลับไปเป็นกระดาษนะคะ จะดูฟิล์มX-ray นะคะ การโจมตีนี้ ไม่ใช่ว่า เขาเพิ่งจะโจมตี เขาฝั่งตัวอยู่ในระบบคอมพิวเตอร์มานานมาก โรงพยาบาลมานานมาก แล้วเขาก็ติดตั้งตัวที่สามารถตัดการทำงานของระบบคอมพิวเตอร์ได้ สิ่งที่จะแก้ไขได้ คือ จ่ายเงินตามที่มันเรียกค่าไถ่น่ะค่ะ การโจมตีตัวนี้ ถามว่าเราป้องกันได้ไหม เราป้องกันได้ แต่บางทีช่องโหว่มันเยอะกว่าที่เราสำรวมไว้นะคะ การโจมตีสามารถเกิดขึ้นได้ตลอด ในห้องนี้ก็อาจจะมีโปรแกรมที่ฝั่งไว้แล้ว อันนี้เราก็ไม่รู้ ถ้าเราไม่ได้สำรวจ แล้วก็คนดูแลระบบ ถ้าไม่ตรวจสอบความปลอดภัยดีเท่าที่ควร ก็สามารถโดนโจมตีได้ วันไหนก็ได้ หรืออีก 2 ชั่วโมงก็ได้นะคะ เหตุการณ์ที่น่าสงสัย นอกจากสิ่งที่อาจารย์เคยพูดมาแล้ว เอ๊ะ ทำไมคอมพิวเตอร์ฉันดูช้าลง ทำไมรู้สึกว่าอินเทอร์เน็ตเยอะขึ้นนะคะ ถ้าข้อมูลมันไม่เพียงพอ ตัว IDS นี่ มันก็อาจจะยังรู้ไม่มากพอ มันก็อาจจะยังรู้ไม่มากพอว่ามันเป็นเหุตการณ์อะไร จะแจ้งเตือนไว้ก่อน ให้ว่ารู้ว่า เอ๊ะ มันน่าสงสัยนะ แล้วให้ผู้ดูแลระบบนี่ ลองมาดูสิ ว่ามันมีความผิดปกติจากในตัวระบบเอง หรือการมีคนพยายามโจมตีนะคะ อาจจะเป็นเกี่ยวกับการใส่หัวของข้อมูลผิดไปจากมาตรฐาน ตัว Header นะคะ อาจารย์เคยเอาสไลด์ให้ดูแล้วนะคะ สำหรับ Header ครูเอาให้นักเรียนดูแล้วส่งข้อมูลเป็นกล่องพัสดุ แล้วคุณใส่จ่าที่อยู่ผิด หรือคุณใส่ที่อยู่เยอะเกินไป จนเกินมาตรฐานนะคะ มันอาจจะเป็นการโจมตีแบบใหม่ มันอาจจะเป็นการโจมตีแบบใหม่ก็ได้ หรือว่าการสร้างที่อยู่ของเครื่องมันอาจจะเสียนะคะ ก็ต้องให้ผู้ดูแลระบบไปเช็ก ว่าความผิดปกตินี้มันอันตรายหรือไม่ หรือว่ามันเป็นที่ระบบเองนะคะ การออกแบบแล้วก็การติดตั้ง IDS นี่ ก่อนที่เราจัติดตั้งนะคะ ก็ต้องมีการต้องมีการสำรวจก่อน มีการวางแผนก่อนนะคะ ก็ต้องสำรวจความต้องการ การตรวจจับการบุกรุก แล้วก็เลือกหาวิธีการที่เหมาะสมนะคะ แล้วก็เราต้องคำนึงถึงนโยบายรักษาความปลอดภัยด้วย ซึ่งองค์กรส่วนใหญ่ เขาก็จะเลือกใช้แบบที่เป็น Host นะคะ แล้วก็ตัว IDS ควบคู่กันได้ เพื่อให้ทำงานอย่างมีประสิทธิภาพ เขาจะไม่เลือกอย่างใดอย่างหนึ่ง เขาจะเลือกทั้ง 2 อันเลยนะคะ โดยที่เขาจะติดตั้ง Network-Based ก่อน  เพื่อป้องกัน Server ที่สำคัญนะคะ ก็การติดตั้งนี่ ควรจะเลือกใช้เครื่องมือที่ใช้วิเคราะห์ช่องโหว่ แล้วก็ตรวจสอบการทำงานของ IDS ได้นะคะ รวมถึงใช้สิ่งที่เราทำการบ้านอาจารย์ครั้งที่แล้ว ก็คือ Honey Port รวมด้วยนะคะ ก็คือการล่อตัวผู้โจมตีเข้ามารวมกัน แล้ววิเคราะห์พฤติกรรมของเขานะคะ การติดตั้งนะคะ ถ้าติดตั้งโดยใช้ Hub มันก็จะสามารถติดตั้งได้ง่าย เพราะว่า Hub เป็นตัวแจกจ่าย Package  ของระบบอยู่แล้วนะคะ สามารถปรับตัวอุปกรณ์ของเราให้รับกับทุก ๆ Package  หรือทุก ๆ ข้อมูลมาได้เลย แต่ถ้าเครือข่ายของใครที่เป็นเครือข่ายที่ใช้ Switch อยู่แล้ว Switch  ก็จะหน้าห้องเรียนเรา ความสามารถมันเยอะนะคะ เพราะว่าการติดตั้งเลยมีความยุ่งยากมากยิ่งขึ้น เพราะตัว Switch มันจะเป็นตัวส่ง Package อยู่เท่านั้นนะคะ ทำให้ตัว IDS นี่ มันไม่สามารถตรวจจับตัวที่วิ่งได้ ตัว Hub นี่ ทุก ๆ ข้อมูลจะมารวมกันก่อน แล้ว Hub  ค่อยกระจายออกไป ทุก Package  นั่นแหละนะคะ แต่ตัว Switch นี่ มันจะมาเฉพาะส่วนที่เราเชื่อมต่อไว้แล้ว มันจะไม่ได้ผ่านตัว IDS ทั้งหมด มันจะยากกว่า ตัวการใช้ Hub นะคะ การเชื่อมต่อตัว IDS กับเครือข่ายนะคะ มีอยู่ 3 วิธี วิธีแรกจะใช้เป็น Port Mirroring เป็นตัวสะท้อน ก็ทำให้ Swicth ทุกตัวมีคุณสมบัติเช่นเดียวกันทั้งหมดนะคะ Switch ทุกตัวจะส่งต่อข้อมูลนะคะ หรือว่าตัว Package นี่ จาก Port หนึ่ง ไปอีก Port หนึ่งนะคะ สะท้อนไปเลยทันที เช่น การสะท้อนจาก Port ที่เชื่อมกัย Router  ไปที่ Firewall นะคะ ข้อดีของมันคือ ติดตั้งง่าย ไม่ต้องปรับเปลี่ยนโครงสร้างอะไรบนเครือข่าย มันไม่กระทบต่อการติดตั้ง Firewall ที่เรามีอยู่แล้วนะคะ ข้อเสียเป็นการสะท้อนนะคะ มันจะเป็นการที่มันจะทำเครื่องต่อเครื่องหรือ Port ต่อ Port เท่านั้น มันจะทำให้ประสิของตัว Swicth ที่เป็นการเชื่อมต่อนี่ลดลงนะคะ การส่งต่อ Package  จะต้องเป็น Package ที่สมบูรณ์เท่านั้นนะคะ บางครั้งนี่ มันทำให้การตรวจจับแพ็กเกจบางอย่าง ไม่สามารถตรวจสอบได้ มันจะเห็นเฉพาะตัวที่สมบูรณ์ ตัวที่มีข้อผิดพลาด หรือมีข้อที่มันสมบูรณ์มันจะมองไม่เห็น อาจจะทำให้การตรวจสอบความปลอดภัยนี่ มันแย่ลงนะคะ แล้วถ้าการใช้ Hub ล่ะนะคะ มันจะเป็นการใช้งาน โดยการวาง Hub	อยู่ตรงการ ระหว่าง Switch กับตัว Router ใช้งานอินเทอร์เน็ตนั้นแหละนะคะ แล้วก็เอาตัว IDS ไปเชื่อมต่อกับ Hub Port ใด Port หนึ่งนะคะ ข้อมูลมันก็ยังจะสามารถไหล IDS ได้กับ Switch ได้ ตัว IDS ก็สามารถตรวจจับ  Package ต่าง ๆ  ซึ่งข้อมูลทุกอันจะต้องผ่าน Hub ตัว IDS ต้องรู้ด้วย ข้อดี คือ ก็ติดตั้งง่ายนะคะ ไม่มีผลต่อการติดตั้ง Firewall เช่นเดียวกัน รวมถึงราคาถูกกว่า แต่ข้อเสียก็ค่อนข้างเยอะนะคะ เพราะว่ามันไม่มสามารถเชื่อมต่อโดยตรงระหว่าง Router กับ Swicth ก็คือเป็นการเชื่อมต่อแบบสมบูรณ์นะคะ การจัดการ IDS ผ่าน Hub ตัวเดียว ให้มีโอกาสกรชนกันของข้อมูล ก็คือเป็นปัญหาคอขวดนะคะ เช่น ถ้าทุกอย่างต้องผ่าน Hub ก็มีความสามารถที่แจกงานได้น้อย ข้อมูลก็จะช้า เหมือน พรินต์เตอร์ รวมถึงข้อมูล อย่างเช่น เราสั่งพริตพร้อมกันบางทีถ้าข้อมูลชนกัน สั่งพรินต์พร้อมกัน ไม่ทำงาน รวมถึงพอมันใช้งานหนักมาก ๆ Hub ก็จะเกิดการชำรุดได้ง่าย เพราะมันทำงานหนัก จริง ๆ แล้ว Hub มันมีข้อดี ก็คือราคาถูก แต่ก็ไม่เป็นที่นิยม เพราะว่ามันมีปัญหามากกว่าการเชื่อมต่อแบบอื่น ๆ นะคะ กับการใช้ Tab ก็จะเป็นอีกวิธีหนึ่ง รวมถึงการสะท้อนด้วยนะคะ ตัว Tab นี่ หน้าตาจะคล้าย ๆ กับ Hub	แต่ Tab นี่ สามารถทนต่อข้อผิดพลาดได้เยอะกว่า Hub นะคะ อุปกรณ์แข็งแรงทนทานกว่า มีการเชื่อมต่อที่เป็นแบบถาวร โดยใช้ 2 Port หลัก ลักษณะหน้าตา Tab จะเป็นแบบนี้นะคะ ข้อดีนะคะ ทนต่อความผิดพลาด ถ้าสมมติว่าไฟตก ไฟกระชาก ในชั่วขณะหนึ่ง Port หลัก 2  อันยังทำงานได้ มีไฟฟ้าค้างอยู่นิดหน่อย ยังทำงานได้ ไม่มีผลกระทบต่อการติดตั้ง โครงสร้างของเครือข่ายไม่มีการเปลี่ยน ประสิทธิภาพของเครือข่ายยังทำงานได้ดีเหมือนเดิม ตัว IDS สามารถติดตาม Package ที่ผิดปกติหรือข้อมูลที่มีความผิดปกติได้ จำทำงานคล้าย ๆ กับ Hub เลยค่ะ จะทำงานผ่าน IDS เหมือนเดิม แต่ประสิทธิภาพไม่ได้ลดลง ข้อเสียหลัก ๆ เลย คือ อุปกรณ์ยิ่งดีอย่างไร ราคาก็แพงตามนั้นนะคะ แต่ถ้าเรามีการติดตั้ง อาจจะปีต่อปี พอหมด 1 ปี คุณอาจจะต้องมีการติดตั้งใหม่ หรือมาแก้ไขปรับข้อมูลเพิ่มใหม่ แล้ว IDS จะต้องทำงานในโหมดหายตัวเท่านั้น จะแสดงตัวไม่ได้ ถ้าแสดงตัวปุ๊บ ระบบจะช้านะคะ จะต้องทำในโหมดล่องหน หรือโหมดหายตัวเท่านั้นนะคะ ตัว IDS ที่จะมาติดตั้งกับ Tab ได้ จะต้องมีคุณสมบัติที่มากพอสมควร สำหรับตัว IDS เองนะคะ ถ้าอุปกรณ์ราคาถูกหน่อย อาจจะไม่มีโหมดในการล่องหนนะคะ ทุกอย่าง ถ้า แทบจะทุกอย่างของระบบคอมพิวเตอร์ ถ้านักศึกษาอยากได้ของที่มีคุณภาพนะคะ ก็ต้องแลกกับราคาที่ต้องจ่ายเช่นเดียวกันนะคะ การติดตั้งนะคะ การติดตั้ง คำถามแรกเลย เราจะติดตั้งตรงจุดไหนของเครือข่ายนะคะ ไอ้ตัว IDS นี่ จะเอาติดไว้ข้างหน้า Firewall	หรือ ข้างหลังนะคะ ถ้านักศึกษาไปเป็นผู้ดูแลระบบเครือข่ายนี่ บางทีจะต้องวางแผนให้เขาด้วยนะคะ ข้อดีอย่างแรก ถ้าสมมตินักศึกษาเลือกแบบติดตั้งข้างหลัง Firewall จะสามารถตรวจจับได้ทันทีถ้ามีใครบุกรุกเข้ามา สามารถตรวจสอบการตั้งค่า และประสิทธิภาพของตัว Firewall ได้ สามารถตรวจจับการโจมตี แม้ว่าจะอยู่ในโซน DMZ ได้นะอันนี้ก็เป็นหัวข้อที่นักศึกษาต้องทำในวันนี้ DMZ ให้ดี มันจะเป็น หมายถึงด้านเครือข่ายนะคะ ไม่ได้หมายถึงชายแดนประเทศบางประเทศนะ รวมถึงเจอ Package ที่ผิดปกติ อันนี้ถ้าเป็นข้อดีของการติดตั้งหลัง Firewall ถ้าเราติดตั้งหน้า Firewall นะคะ มันก็จะยิ่งเก็บสถิติของการโจมตีจากภายนอกได้นะคะ  ถ้าติดตั้งบน Backbone หลักของเครือข่าย โครงสร้างหลักของเครือข่ายนะคะ หลักของเครือข่ายเลย ก็คือเราสามารถติดตามการจราจรที่ไหลเวียนตามเครือข่ายได้ แล้วก็มาวิเคราะห์นะคะ ว่าตอนนี้นี่ เหมือนบางทีเราขับรถนี่ ถ้าในเส้นทางปกติที่เรามาเรียนนี่ เราขับได้ปกติ กับบางวัน ทำไมรถมันเยอะจัง  ทำไมรถเขาจอดแบบนี้ เหมือนกันเลยค่ะ เหมือนกับระบบเครือข่าย ปกติเราขับรถมานี่ มันคล่องตัวมาก ทำไมวันนี้รถมันเยอะ ทำไมมีรถจอดขวางทาง แล้วทำไมเขากั้นไม่ให้เราไป มันมีความผิดปกติอะไร เช่นเดียวกันกับระบบเครือข่าวเลยค่ะ ถ้ามันมีการจราจรที่ผิดปกติไป  อาจจะเกิดจากการโจมตีของเครือข่ายก็ได้นะคะ แล้วก็ถ้าเราติดตั้งบนโครงสร้างหลักของเครือข่ายนี่ มันสามารถจับกิจกรรมที่ไม่ได้รับอนุญาตของผู้ใช้งานทั่วไปก็ได้ แต่ถ้าเราติดตั้งไปในโครงสร้างย่อยของเครือข่ายที่มีความเสี่ยงสูง ข้อดีของมัน คือ มันสามารถตรวจจับการโจมตีที่สำคัญได้ เพราะมันเจาะลึกลงไปอีก แล้วก็ลดจำนวนอุปกรณ์ IDS ที่ต้องใช้นะคะ เพราะว่ามันจะไปตรวจจับเฉพาะจุดที่สำคัญเท่านั้น เพื่อความคุ้มค่า คุ้มราคา ประหยัดค่าใช้จ่ายนะคะ การติดตั้งแต่ Host เมื่อกี้เป็น Network แล้ว คราวนี้เป็น Host ก็จะติดตั้งเฉพาะกับ Server ที่มันสำคัญ ถ้าเราติดตั้งเยอะ ค่าใช้จ่ายมันก็เยอะ ถ้าเราติดตั้ง... ค่าใช้จ่ายเราก็จะลดลงนะคะ  แล้วก็จะทำให้ผู้ดูแลระบบนี่ สามารถเห็นรายงานที่แจ้งเตือนจาก Server ที่สำคัญ ๆ ก็พอนะคะ แล้วส่วนใหญ่นี่ เขาก็จะติดตั้งตรงส่วนกลางเท่านั้น เพื่อให้จัดการง่าย แล้วก็ประสิทธิภาพ ถ้าจะทำงานได้ดี ก็ต้องอยู่กับความชำนาญของผู้ดูแลระบบ แล้วก็คนติดตั้งด้วย เพราะว่าการจะเป็นผู้ดูแลระบบในการที่จะตรวจสอบ รวมถึงการที่จะติดตั้งตัว IDS ได้นี่ ก็ต้องใช้เวลา แล้วก็ใช้ความรู้พอสมควรเลยนะคะ ผลิตภัณฑ์ IDS/IPS ที่แพร่หลายในปัจจุบัน คือ Snort นะคะ S-n-o-r-t อันนี้ระบบ Windows ทั้ง Linux ทั้ง Unix ใช้งานได้ในระบบปฏิบัติการ นะคะ มีโหมดการใช้งาน 4 โหมด หลัก ๆ นะคะ วันนี้งานที่จะให้ทำในห้องนะคะ อันแรกเลย ที่อาจารย์บอกว่าให้ระวังในการค้นหาตัว DMZ จะต้องเป็นตัว DMZ ที่เกี่ยวข้องกับโครงข่าย Network  เท่านั้น เป็นเครือข่ายอะไรสักอย่าง ให้นักศึกษาลองค้นหาข้อมูลเพิ่มเติม ระวังด้วย DMZ มันจะเป็นพื้นที่ปลอดอาวุธของบางประเทศ อันนี้เราก็ไม่เอานะ เอาเฉพาะในเรื่องเครือข่ายนะคะ แล้วก็ถ้าปีหน้า นักศึกษาจะต้องไปฝึกงาน เราอาจจะได้ฝึกงานเกี่ยวกับการติดตั้งระบบเครือข่าย ถ้าฝึกงานหรือไปทำงานก็ได้ ถ้าจะต้องวางแผนการติดตั้ง IDS แบบ Network-Based ในสไลด์อาจารย์ก็มีนะคะ นักศึกษาจะเลือกการติดตั้ง Firewall จะเลือกใช้แบบติดตั้งด้านหน้าหรือด้านหลัง เพราะอะไร ให้หาเหตุผลเพิ่มเติมจากสไดล์อาจารย์ด้วย อีกหรือเปล่าที่นักศึกษาเลือกติดตั้งด้านหน้านะคะ แล้วอุปกรณ์ที่เรียกว่า "Hub" กับ "Network Tab" มันเหมือนหรือมันต่างกันอย่างไรนะคะ อธิบายเพิ่มเติมมา โดยเฉพาะข้อ 2 เหตุผลของข้อ 2 นี่ อาจารย์มีให้เลือกแล้ว แต่ให้หาเพิ่มเติมด้วยนะคะ ทำใน Classroom นะคะ ส่งใน Cassroom เหมือนเดิม ก็เริ่มทำได้เลยค่ะ เดี๋ยวอาจารย์เดินดู