Introduction To Kerberos

What is Kerberos?

Kerberos is a network authentication protocol. It is designed to provide strong authentication for client/server applications by using secret-key cryptography. A free implementation of this protocol is available from the Massachusetts Institute of Technology. Kerberos is available in many commercial products as well.

The Internet is an insecure place. Many of the protocols used in the Internet do not provide any security. Tools to "sniff" passwords off of the network are in common use by malicious hackers. Thus, applications which send an unencrypted password over the network are extremely vulnerable. Worse yet, other client/server applications rely on the client program to be "honest" about the identity of the user who is using it. Other applications rely on the client to restrict its activities to those which it is allowed to do, with no other enforcement by the server.

Some sites attempt to use firewalls to solve their network security problems. Unfortunately, firewalls assume that "the bad guys" are on the outside, which is often a very bad assumption. Most of the really damaging incidents of computer crime are carried out by insiders. Firewalls also have a significant disadvantage in that they restrict how your users can use the Internet. (After all, firewalls are simply a less extreme example of the dictum that there is nothing more secure then a computer which is not connected to the network --- and powered off!) In many places, these restrictions are simply unrealistic and unacceptable.

Kerberos was created by MIT as a solution to these network security problems. The Kerberos protocol uses strong cryptography so that a client can prove its identity to a server (and vice versa) across an insecure network connection. After a client and server has used Kerberos to prove their identity, they can also encrypt all of their communications to assure privacy and data integrity as they go about their business.

Kerberos is freely available from MIT, under copyright permissions very similar those used for the BSD operating system and the X Window System. MIT provides Kerberos in source form so that anyone who wishes to use it may look over the code for themselves and assure themselves that the code is trustworthy. In addition, for those who prefer to rely on a professionally supported product, Kerberos is available as a product from many different vendors.

In summary, Kerberos is a solution to your network security problems. It provides the tools of authentication and strong cryptography over the network to help you secure your information systems across your entire enterprise. We hope you find Kerberos as useful as it has been to us. At MIT, Kerberos has been invaluable to our Information/Technology architecture.

Thanks: web.mit.edu/Kerberos

How to Disable SELinux ?

How to Disable SELinux

SELinux หรือ Security Enhanced Linux ซึ่งเป็นระบบรักษาความปลอดภัยแบบเข้มข้น
ออกแบบและพัฒนาโดยสำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA)

SELinux ทำให้เรื่องที่คอนฟิกง่าย ๆ กลายเป็นยุ่งยากขึ้นถนัดตา เนื่องจากมีการเช็คความถูกแบบละเอียดมาก

จะแก้ไขผ่าน Cmd หรือ Gui ก็แล้วแต่ถนัดครับ
nano /etc/sysconfig/selinux หรือ vi /etc/sysconfig/selinux แล้วแต่ถนัด

เสร็จแล้วแก้ค่าจาก
SELINUX=enforcing
เป็น
SELINUX=disabled

แล้วก็ reboot server 1 ครั้ง

Thanks : thaiadmin.org

Basic Cmd of Linux's firewall with Iptables

คำสั่งที่มีการใช้งานบ่อย ๆ ใน iptables

1. การเรียกดู List ของ chains
# iptables -L

หากว่าเราสั่งคำสั่งแบบนี้จะเป็นการดู chains ใน tables filter หากต้องการดู List ใน tables อื่นให้สั่งตามนี้
# iptables -L -t nat
จะเป็นการดู chains ใน tables nat

2. การยกเลิก chains ทั้งหมด
# iptables -F
เป็นการสั่งลบ chains ทั้งหมดใน tables filter

# iptables -F -t nat
เป็นการสั่งลบ chains ทั้งหมดใน tables nat

3. การเพิ่ม chains ต่าง ๆ
# iptables -A INPUT -p tcp --dport ftp -j DROP
ตามตัวอย่าง จะเป็นการสั่งให้ เพิ่ม chains INPUT เข้าไปใน tables filter โดย
-p หมายถึง protocol tcp
--dport หมายถึง destination port หรือ port ที่เข้ามา
-j หมายถึง targets ที่จะระบุว่าจะให้ ทำอย่างไรหากตรวจสอบพบ
และในตัวอย่างนี้เป็นการตรวจสอบ chains INPUT ที่เข้ามาใน tables INPUT
โดยการเข้ามานั้นตรวจสอบที่ protocal tcp/ip ที่ ports ftp (21) หากตรวจสอบพบให้ ปิด (DROP)

4. การแทรก chain ต่าง ๆ
# iptables -I INPUT --dport ftp -j ACCEPT

5. การลบ chain ที่ไม่ต้องการ
# iptables -D INPUT --dport ftp -j ACCEPT

และ iptables จะทำการตรวจสอบคำสั่งจาก chains ก่อนหน้าที่สั่งไปหา chains สุดท้าย หรือเรียกง่าย ๆ ว่าทำงานแบบ top - down

การ config firewall แบบง่าย ๆ
ต่อไปนี้จะแนะนำการทำ Server Firewall ของระบบอย่างง่าย ๆ ครับ พิมพ์คำสั่งตามนี้เลยครับ

# echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -F
#iptalbes -F -t nat
#iptables -t nat -A POSTROUTING -j MASQUERADE
#iptables -A INPUT -p tcp --dport http -j ACCEPT
#iptables -A INPUT -p udp --dprot domain -j ACCEPT
#iptables -A INPUT -j DROP
*จากคำสั่งด้านบนจะเป็นการเปิดให้บริการ http และ dns เท่านั้น หากต้องการเพิ่มอะไรอีกก็ใส่แทรกเข้าไปได้เลย

แต่ถ้าเราทำการ Reboot เครื่องใหม่ config ต่าง ๆ ก็จะหายไปครับ วิธีการไม่ให้มันหายไปให้เราไปเพิ่ม config ต่อท้ายไฟล์ rc.local อยู่ที่ห้อง /etc/rc.d เพี่ยงเท่านี้เราก็มี Firewall ใช้แล้ว

Thanks : งานสารสนเทศทางวิศวกรรมศาสตร์

Detail of Service of Fedora for security

รายละเอียดของแต่ละ service ที่มาจากการติดตั้ง Fedora 9 แบบไม่เลือก Package Group ใดๆ เลย พร้อมคำแนะนำว่าจะปิดหรือเปิด service สำหรับการใช้งาน

NetworkManager
เป็น service ที่สามารถปรับเปลี่ยนคอนฟิกของ network เพื่อให้ต่อเชื่อมกับ network เช่น WiFi ได้อย่างอัตโนมัติ
คำแนะนำ

* ปิด – สำหรับ server
* เปิด – สำหรับ notebook ที่มีการเปลี่ยนที่ใช้งานเป็นประจำ

acpid
เป็น service สำหรับตรวจสอบสถานะของเครื่อง โดยจะใช้ได้สำหรับ BIOS บางรุ่น วิธีทดสอบง่ายๆ คือเข้าไปดูใน /proc/acpi/ แล้วใช้คำสั่ง cat ดูไฟล์ต่างๆ ว่าสามารถตรวจสอบสถานะของอุปกรณ์ได้หรือไม่
คำแนะนำ

* เปิด – สำหรับเครื่องที่ตรวจสอบสถานะได้
* ปิด – ถ้าเราไม่สนใจตรวจสอบ

anacron
การปิด/เปิด บ่อยๆ อาจทำให้ crontab ที่ตั้งไว้ไม่สามารถทำงานได้เลย เช่นโดยดีฟอลต์แล้วจะมี crontab รันอยู่ทุกวันเวลา 4:02 AM แต่ถ้าเราไม่ได้เปิดเครื่องเวลานี้ crontab นี้ ก็จะไม่ถูกรันเลย
คำแนะนำ

* เปิด – สำหรับ notebook, desktop ที่มีการปิด/เปิด อยู่เรื่อยๆ
* ปิด – สำหรับ server ที่เปิดเครื่องตลอดเวลา

atd
เป็น service สำหรับการตั้งเวลาในการรันโปรแกรมได้ ซึ่งตามประสบการณ์ส่วนตัวของผมแล้ว แทบไม่เคยใช้เลย
คำแนะนำ

* ปิด – ยกเว้นมีคนต้องการใช้จริงๆ

avahi-daemon
ใช้สำหรับหาอุปกรณ์เช่น printer, scanner ที่เชื่อมอยู่โดยอัตโนมัติ
คำแนะนำ

* ปิด – เวลาจะใช้อุปกรณ์ แล้วค่อยคอนฟิกเองดีกว่า

bluetooth
สำหรับเชื่อมต่อกับ bluetooth
คำแนะนำ

* ปิด – ยกเว้นต้องการใช้งาน

capi
สำหรับต่อเชื่อมอุปกรณ์ประเภท ISDN
คำแนะนำ

* ปิด

cpuspeed
เป็นการปรับความเร็วของ CPU ตามการใช้งาน
คำแนะนำ

* ปิด – สำหรับ server
* เปิด – สำหรับ notebook เพื่อการประหยัดไฟ

crond
เป็น service สำหรับการตั้งเวลาในการรันโปรแกรมต่างๆ จำเป็นต้องรันทุกเครื่อง
คำแนะนำ

* เปิดเท่านั้น

cups
สำหรับต่อเชื่อมกับ printer ไม่ว่าจะเป็นแบบต่อโดยตรง หรือสั่งผ่าน network
คำแนะนำ

* ปิด – ยกเว้นต้องการใช้งาน printer เช่น สั่งพิมพ์งานจากโปรแกรมที่รันอยู่ใน Linux

dund
เป็นโปรแกรมที่ทำให้สามารถสั่ง dial-up ได้ผ่านอุปกรณ์ Bluetooth
คำแนะนำ

* ปิด

gpm
ทำให้เราสามารถใช้ mouse ผ่านหน้าจอ console โดยตรงของเครื่องได้ เช่น copy, paste ไม่เกี่ยวกับใช้งาน mouse ผ่าน X Window หรือใช้งานผ่านโปรแกรมที่เรา Secure Shell เข้าไป
คำแนะนำ

* ปิด

haldaemon
ตรวจสอบสถานะของอุปกรณ์
คำแนะนำ

* เปิด

ip6tables
เป็น iptables firewall ที่รองรับ IPv6
คำแนะนำ

* ปิด – ไว้ IPv6 ใช้งานอย่างแพร่หลายแล้ว ค่อยมาว่ากันใหม่

iptables
ทำหน้าที่เป็น firewall
คำแนะนำ

* เปิด – โดยดีฟอลต์แล้ว จะอนุญาต เฉพาะ ping หรือ Secure Shell เข้ามายังเครื่องเราเท่านั้น แต่จากเครื่องเราสามารถออกไปข้างนอกได้หมด

irda
รองรับพอร์ต Infrared
คำแนะนำ

* ปิด

irqbalance
เพิ่มประสิทธิภาพในการทำงานสำหรับเครื่องที่มี multiprocessor ซึ่งรวมทั้ง multi-core ด้วย
คำแนะนำ

* เปิด – ยกเว้นเครื่องจะเก่ามากเป็นแบบ CPU เดียว

isdn
รองรับอุปกรณ์ ISDN
คำแนะนำ

* ปิด

mdmonitor
ตรวจสอบสถานะของ Software RAID ซึ่งไม่รวมถึง Hardware RAID
คำแนะนำ

* ปิด – ยกเว้นในเครื่องมีคอนฟิกฮาร์ดดิสก์เป็นแบบ Software RAID

messagebus
สำหรับส่งข้อมูลระหว่างโปรแกรม
คำแนะนำ

* เปิด

microcode_ctl
สำหรับปรับปรุงค่าใน CPU Intel เท่านั้น
คำแนะนำ

* เปิด – สำหรับ CPU Intel

multipathd
รองรับการเชื่อมต่อกับ Multi-path Storage Device พร้อมๆ กันหลายเครื่องได้
คำแนะนำ

* ปิด – ยกเว้นมีการเชื่อมต่อกับอุปกรณ์ประเภทนี้

netconsole
สำหรับส่ง console logging ผ่าน network
คำแนะนำ

* ปิด

netfs
เป็น service สำหรับใช้งานดิสก์ (mount) ผ่านทาง network ไม่ว่าจะเป็น NFS, Samba
คำแนะนำ

* ปิด

netplugd
ตรวจสอบและเปลี่ยนค่าคอนฟิกของ network interface เมื่อมีการเปลี่ยนแปลงสถานะ
คำแนะนำ

* ปิด

network
คอนฟิกค่า IP Address, Subnet mask และอื่นๆ สำหรับการเชื่อมต่อกับ network
คำแนะนำ

* เปิดเท่านั้น – ยกเว้นคุณต้องการให้เครื่องอยู่อย่างโดดเดี่ยว (standalone) ไม่คุยกับใคร

nfs
nfslock
เป็น service เพื่อให้สามารถใช้งานดิสก์ผ่านทาง network แบบ NFS ได้
คำแนะนำ

* ปิด – ยกเว้นเมื่อต้องการใช้งาน

nscd
เก็บค่าสำรอง (cache) สำหรับข้อมูลเช่น password ในการใช้งาน NIS, LDAP
คำแนะนำ

* ปิด

pand
รองรับอุปกรณ์ bluetooth
คำแนะนำ

* ปิด

pcscd
มีไว้สำหรับรองรับอุปกรณ์ประเภท Smart Card ที่ต่อเชื่อมกับเครื่องโดยตรง
คำแนะนำ

* ปิด

psacct
เก็บข้อมูลการใช้งาน process ว่าผู้ใช้งาน ใช้คำสั่ง อะไรบ้าง เมื่อเวลาเท่าไร โดยถ้ารัน service นี้แล้ว เราสามารถใช้คำสั่ง lastcomm เพื่อดูข้อมูลย้อนหลังได้
คำแนะนำ

* ปิด – ยกเว้นมีนโยบายในการตรวจสอบจริงๆ

rdisc
ไว้สำหรับค้นหา router ที่ต่อเชื่อมกับ network โดยอัตโนมัติ
คำแนะนำ

* ปิด – แล้วคอนฟิกเองดีกว่า

restorecond
เป็น service สำหรับตรวจสอบสถานะและปรับปรุงคอนฟิกของ SELinux
คำแนะนำ

* เปิด – ถ้าคุณตัดสินใจใช้ SELinux

rpcbind
ทำหน้าที่จัดการโปรแกรม NFS, NIS เหมือนกับ portmap
คำแนะนำ

* ปิด

rpcgssd
rpcidmapd
rpcsvcgssd
เป็น service สำหรับ NFSv4
คำแนะนำ

* ปิด

rsyslog
เป็นโปรแกรมที่ใช้แทนที่ syslog สำหรับเก็บ log ของเครื่อง
คำแนะนำ

* เปิดเท่านั้น

saslauthd
รองรับโปรแกรมที่ใช้แบบ SASL เช่นโปรแกรมประเภท Mail Server
คำแนะนำ

* ปิด – แนะนำให้ปิดไว้ก่อน ถ้าจะคอนฟิก Mail Server แล้วค่อยมาเปิดกันอีกที

sendmail
โดยคอนฟิกที่มาตอนติดตั้ง จะทำหน้าที่เป็น Mail Server แต่ใช้งานเฉพาะในเครื่องเท่านั้น (localhost, 127.0.0.1) ไม่รองรับการเชื่อมต่อจากเครื่องอื่นๆ บางคนก็แนะนำให้เปิดไว้ เพราะจะมี log บางอย่างเช่น จาก crontab ส่งไปยัง root แต่ถ้าคุณไม่สนใจ log พวกนี้ ก็ปิดไปได้เลย
คำแนะนำ

* ปิด

smartd
มีไว้สำหรับตรวจสอบสถานะเช่นอุณหภูมิของฮาร์ดดิสก์ได้ แต่ดิสก์บางรุ่นก็ไม่รองรับ หรืออาจมีปัญหาในการรัน service นี้ได้
คำแนะนำ

* เปิด – สำหรับเครื่องที่ตรวจสอบสถานะได้ แล้วไม่มีปัญหาในการรัน

sshd
เป็น service ที่ทำให้เราสามารถที่จะ remote login แบบ Secure Shell เข้าไปในเครื่องได้ โดยใช้โปรแกรมเช่น PuTTY
คำแนะนำ

* เปิด – สำหรับ server
* ปิด – สำหรับ notebook, desktop ที่ใช้งานส่วนตัว และไม่ต้องการให้เครื่องอื่น remote เข้ามาได้

udev-post
ใช้ตรวจสอบ แก้ไข คอนฟิกของอุปกรณ์ที่มีการเปลี่ยนแปลงได้
คำแนะนำ

* เปิด

winbind
ทำงานร่วมกับ Samba File Sharing
คำแนะนำ

* ปิด

wpa_supplicant
เป็น service เพื่อรองรับการเชื่อมต่อกับ Wireless แล้วมีการใช้งานแบบ WPA
คำแนะนำ

* ปิด – สำหรับเครื่องที่ไม่ได้ใช้ Wireless ในการเชื่อมต่อ network

ypbind
ทำให้เครื่องเป็น NIS Client
คำแนะนำ

* ปิด


Thanks : spalinux.com

Zimbra on https Server

One day I want to use zimbra on https (by default its use on http)
you can do with this instruction

1. log in to zimbra

su – zimbra

2. change to https

zmtlsctl https

3. restart zimbra

zmcontrol stop
zmcontrol start

4. You can access zimbra web mail by https://youurl.com

Firewall configuration for Zimbra server

Example Configuration Files

RedHat Advanced Server

The following iptables configuration file will block all ports on a clustered zimbra server except those used by zimbra, the cluster suite, ssh, and snmp. This assumes that your local network is 10.10.3.0/255.255.255.0.

/etc/sysconfig/iptables

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# enable ssh and snmp
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 161 -j ACCEPT -s 10.10.3.0/24
# enable zimbra ports
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 465 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 993 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 7071 -j ACCEPT -s 10.10.3.0/24
# enable cluster communications
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 41966 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 41967 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 41968 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 41969 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50006 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 50007 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50008 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 50009 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21064 -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 6809  -j ACCEPT -s 10.10.3.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 14567 -j ACCEPT -s 10.10.3.0/24
# reject everything else
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


Thanks : wiki.zimbra.com

Security of VoIP is ............. ?

IP Telephone แท้จริงแล้วเป็นเพียงแอพพลิเคชันตัวหนึ่งในเน็ตเวิร์กเท่านั้น ความเป็นไปได้ที่จะถูกโจมตีจึงไม่ได้เป็นสิ่งที่อยู่เหนือความคาดหมายแต่ อย่างใด แต่ยังโชคดีอยู่บ้างที่ประเด็นเรื่องการรักษาความปลอดภัยบน VoIP นั้นได้ถูกหยิบยกขึ้นมาพูดถึงกันบ้างแล้ว

หากจะถามว่าระบบรักษาความปลอดภัยของ VoIP (Voice over IP) นั้นพร้อมรับมือกับการถูกโจมตีในรูปแบบต่างๆ แล้วหรือยัง ตรงนี้คงขึ้นอยู่กับว่าใครเป็นผู้ตอบ ตัวอย่างเช่น Irwin Lazar นักวิเคราะห์อาวุโสจาก Burton Group กล่าวว่า “เรื่องการรักษาความปลอดภัยของ VoIP ในระดับองค์กรนั้นพูดกันจนเลยเถิดไป กลายเป็นว่าผู้คนต่างกังวลกับการถูกโจมตีจนลืมมองว่าจริงๆ แล้วความเป็นไปได้มีแค่ไหน” อีกความเห็นจาก Roger Farnsworth ผู้จัดการฝ่ายการตลาดด้านความปลอดภัยในการสื่อสารด้วยเทคโนโลยีไอพีจาก Cisco กล่าวว่า “ความปลอดภัยของ VoIP นั้น มีไม่น้อยไปกว่าความปลอดภัยที่ได้รับจากการใช้โทรศัพท์ธรรมดา อีกทั้งการพัฒนาเทคโนโลยีด้านไอพีและแอพพลิเคชันทางด้านเสียง จะยิ่งทำให้ความปลอดภัยเพิ่มสูงขึ้นไปอีก”

แต่ความเห็นที่ต่างออกไป คงเป็นของ Mark Collier CEO ของ Secure Logix ซึ่งเป็นบริษัทที่จำหน่ายอุปกรณ์ด้าน Voice Management และ Security Platform สำหรับระบบโทรศัพท์ธรรมดาและระบบ VoIP โดยกล่าวว่า “VoIP นั้นทำงานอยู่บนพื้นฐานของเทคโนโลยีไอพีทำให้ยากที่จะเชื่อว่า VoIP นั้นมีปลอดภัยสูงกว่า e-mail, web, หรือ DNS” แน่นอนว่าหากเป็นเช่นนั้นจริงๆ แล้วคงไม่มีองค์กรหรือบริษัทใดเลยที่ต้องการหันมาใช้งาน VoIP แทนระบบโทรศัพท์แบบเดิมที่มั่นใจได้ในเรื่องความปลอดภัย

ก็แค่แอพพลิเคชันตัวหนึ่งเท่านั้น

VoIP นั้นแท้จริงแล้วอาจถือได้ว่าเป็นแอพพลิเคชันตัวหนึ่งที่ทำงานบนไอพีเน็ต เวิร์ก ซึ่งหัวใจหลักของเทคโนโลยี IP Telephony ในปัจจุบันประกอบด้วยส่วนต่างๆ คือ
Control Server ที่ทำงานอยู่บนระบบปฏิบัติการเช่น Linux, Windows, หรือ VxWorks
VoIP Client ซึ่งอาจเป็นได้ทั้งตัวเครื่องโทรศัพท์แบบไอพีหรือซอฟต์แวร์ก็ได้
VoIP Gateway ทำหน้าที่ให้การเชื่อมต่อระหว่าง VoIP และ PSTN เน็ตเวิร์ก

มาตรฐาน ที่ IP Telephony ใช้อยู่ในปัจจุบันคือชุดโพรโตคอล H.323 ของ ITU หรือโพรโตคอล SIP ของ IETF สำหรับเซิร์ฟเวอร์กับไคลเอ็นต์ และโพรโตคอล MGCP (Media Gateway Control Protocol) หรือ Megaco/H.248 สำหรับ Gateway โดยทั้งหมดนี้ทำงานอยู่บนเน็ตเวิร์กสื่อสารข้อมูลร่วมกับข้อมูลอื่นๆ ซึ่งหมายถึงต้องใช้อุปกรณ์ต่างๆร่วมกันไม่ว่าจะเป็น Router, Switch หรือแม้กระทั้งต้องมีการอินเทอร์เฟซกับแอพพลิเคชันอื่นๆ รวมไปถึงการส่ง Message ไปมาระหว่างกัน

ดังนั้นจึงมีความเป็นไปได้อย่างแน่นอนที่ ระบบ VoIP อาจมีจุดอ่อนที่ทำให้ถูกโจมตีได้เช่นเดียวกับแอพพลิเคชันอื่นๆ ซึ่งประเภทของการถูกโจมตีนั้นมีได้หลากหลายประเภทรวมไปถึงการโจมตีแบบ DoS, ไวรัส, หนอน, โทรจัน, การดักจับแพ็กเก็จ (Packet Sniffing), สแปม, และ Phishing เป็นต้น อาจสงสัยว่า VoIP จะถูก Spam กับ Phishingได้ด้วยหรือ แน่นอนว่าไม่มีอะไรเป็นไปไม่ได้ ยกตัวอย่างเช่น ในการ Spam บน VoIP นั้นเราเรียกว่า SPIT (Spam over Internet Telephony) สมมุติว่าหากเราต้องการโทรศัพท์หาลูกค้าซัก 100 คน เราก็ต้องทำการหมุนโทรศัพท์ทั้งหมด 100 ครั้ง แต่หากเราอัดเสียงที่ต้องการโฆษณาไว้เป็น WAV ไฟล์แล้วอัพโหลดไปไว้ที่เครื่องเป้าหมาย จากนั้นสั่งให้เครื่องเป้าหมายทำการโทรออกโดยใช้ IP Telephony ไปยังลูกค้าหรือเครื่องปลายทางที่ใดก็ได้จำนวน 2,000 เครื่องพร้อมๆ กันก็เป็นการทำ Spam โดยใช้ VoIP แล้ว ส่วนการทำ Phishing นั้นโดยปกติจะใช้วิธีซ่อน ID ของ ผู้โทรต้นทางเอาไว้แล้วแกล้งทำทีเป็นหน่วยงานที่น่าเชื่อถือซักหน่วยงาน หนึ่ง ติดต่อไปยังผู้รับปลายทางแล้วหลอกเอาข้อมูลที่ต้องการไปอย่างไม่ยากเย็น

ถึง กระนั้นก็ตาม Vendor และผู้เชี่ยวชาญทั้งหลายต่างให้ความเห็นว่า IP PBX นั้นทำงานด้วยระบบปฏิบัติการที่หลากหลาย (ซึ่งปกติแล้วระบบปฏิบัติการเหล่านั้นจะถูกทำให้ปลอดภัยยิ่งขึ้นด้วยการอัพ เดต Patch อยู่ อย่างสม่ำเสมอ) และมาตรฐานที่ใช้ก็ยังหลากหลายอีก ทั้งยังอยู่ในช่วงที่ต้องได้รับการพัฒนาอย่างต่อเนื่อง รวมไปถึงในบางกรณีอาจจะเป็นมาตรฐานที่ออกแบบมาเฉพาะตัวผลิตภัณฑ์ด้วยซ้ำไป เช่น Skinny Call Control โพรโตคอลของ Cisco เป็นต้น เมื่อรวมกันจะทำให้การเป็นเป้าหมายที่จะถูกโจมตีนั้นเป็นไปได้ยากกว่า แอพพลิเคชันอื่นๆ

ภัยอีกรูปแบบที่ VoIP อาจเจอได้คือการโจมตีแบบ man-in-the-middle (แฮกเกอร์จำลองตัวเองเป็น SIP Proxy แล้วทำการ Log รายละเอียดของ Call แต่ละ Call เก็บไว้) และ Trust Exploitation (แฮกเกอร์ทำการแฮกเข้าไปยังเซิร์ฟเวอร์ข้อมูลโดยอาศัย Trust Relationship ที่เซิร์ฟเวอร์ข้อมูลมีกับ VoIP เซิร์ฟเวอร์) อีกรูปแบบคือการแอบเข้ามาใช้ VoIP เพื่อโทรทางไกล (ส่วนใหญ่จะใช้โทรไปต่างประเทศ) (Toll Fraud) ซึ่งทำโดยการแฮกเข้ามายัง Voice Gateway แล้วทำการโทรออก โดยที่ค่าโทรทั้งหมดจะตกอยู่กับบริษัทที่ถูกแฮก นอกจากนี้การดักฟังก็ถือเป็นภัยของ VoIP เช่นกัน โดยอาศัยเครื่องมือพิเศษ 2 ตัวที่หาได้ฟรีๆ คือ tcpdump และ VOMIT (Voice over Mis-configuration Internet Telephony) ทำการรวบรวมข้อมูลการพูดคุยผ่านระบบ IP ทั้งหมดเอาไว้แล้วแปลงการสนทนานั้นทั้งหมดกลับเป็นไฟล์ WAV เพื่อเปิดฟังในภายหลังได้

นอกจากการถูกโจมตีโดยทางตรงแล้ว ยังอาจถูกโจมตีโดยทางอ้อมได้อีกด้วยเพราะการทำงานของ VoIP นั้นต้องอาศัยแอพพลิเคชันอื่นๆ ร่วมด้วย ซึ่งแอพพลิเคชันเหล่านั้นอาจตกเป็นเป้าหมายในการโจมตีได้เช่นกัน เช่น SQL Slammer นั้นแม้จะพุ่งเป้าการโจมตีไปยัง MS SQL Server เป็นหลัก แต่เนื่องจากระบบ VoIP ที่ใช้ Call Manager Telephony Server ของ Cisco นั้นต้องทำงานร่วมกับ MS SQL Server เมื่อ SQL Server ถูกโจมตี ระบบ VoIP นั้นๆ ก็จะใช้งานไม่ได้ไปด้วย

อุปสรรคของการแก้ปัญหา

คุณภาพ เสียงของ VoIP เป็น สิ่งหนึ่งที่จะต้องรักษาให้อยู่ในระดับที่รับได้ โดยหากต้องการให้คุณภาพเสียงใกล้เคียงกับคุณภาพเสียงที่ได้จากการใช้ โทรศัพท์ธรรมดานั้น จะต้องควบคุมการหน่วงเวลาที่เกิดขึ้นในกระบวนการของ VoIP ทั้งหมดให้มีค่าไม่เกิน 150 mSec ซึ่งกระบวนการที่ว่านั้นประกอบด้วยการแปลงสัญญาณสียงซึ่งกินเวลาประมาณ 30 mSec และระยะเวลาที่ข้อมูลเสียงใช้ในการเดินทางไปยังปลายทางจะอยู่ในช่วงประมาณ 100-125 mSec สำหรับการโทรทางไกลโดยใช้ Public IP Network กระบวนการทั้งหมดนี้ยังไม่รวมเวลาที่ใช้ไปในส่วนของระบบการรักษาความปลอดภัย เช่น Firewall, encryption, และ Intrusion Prevention

นอกจากนี้ Firewall ที่ถูกใช้งานอยู่ในปัจจุบันส่วนใหญ่ไม่รองรับการทำงานของ VoIP หรือแม้กระทั่งไม่สนับสนุนการทำงานของมาตรฐานโพรโตคอล SIP และ H.323 เลย เช่น การทำงานของ SIP จะต้องใช้ Port ทั้งหมด 3 Port โดยมีเพียง Port เดียวที่เป็น Static Port ส่วน H.323 นั้นมีเพียง Port 7 และ 11 เท่านั้นที่เป็น Static นอกนั้นเป็นแบบ Dynamic อีกทั้งโพรโตคอลทั้งสองนั้นใช้ทั้ง TCP และ UDP ที่มีจุดกำเนิดจากทั้งภายในและภายนอกเน็ตเวิร์ก สรุปว่าหากใช้ Firewall ทั่วไปจะต้องทำการตั้งค่าเพื่อเปิด Port จำนวนมากทิ้งเอาไว้ ซึ่งในทางการรักษาความปลอดภัยแล้วเป็นสิ่งที่รับไม่ได้อย่างมาก นอกจากเรื่อง Port แล้ว SIP และ H.323 ยังใช้วิธี Embed IP Address ในส่วนของ Header ด้วย ทำให้อาจเกิดปัญหากับการทำงานของ NAT ที่อยู่ใน Firewall หรือ Router ได้อีกเช่นกัน

หากเป็นบริษัทหรือผู้ให้บริการ สื่อสารขนาดใหญ่แล้ว อาจสามารถลงทุนในการนำอุปกรณ์ราคาแพงเช่น SBC (Session Border Controllers) มาใช้ในการจัดการเกี่ยวกับ NAT และการเปิด Port ได้ อย่างไรก็ตาม Firewall รุ่นใหม่ๆ จากผู้ผลิตอุปกรณ์ที่มีชื่อเสียงเช่น Check Point, Juniper, และ WatchGuard ได้เริ่มที่จะสนับสนุนการทำงานของ VoIP กันบ้างแล้วโดยใช้เทคโนโลยี NAT Traversal ซึ่งจะทำการเปิดและปิด Port อัตโนมัติ (Dynamic) โดยอาศัยการมอนิเตอร์ VoIP Session และยังสามารถปรับปรุงคุณภาพ (QoS) ของ VoIP ใน บางเรื่องได้อีกด้วย แต่ทั้งหมดนี้อาจทำให้ต้องมีการอัพเกรดอุปกรณ์ทั้งในส่วนฮาร์ดแวร์และ ซอฟต์แวร์ รวมถึงการเลือกซื้อที่ต้องทำอย่างระมัดระวังอีกด้วย

ทางออกที่เหมาะสม

แม้ VoIP อาจถูกโจมตีได้ในหลากหลายรูปแบบ แต่ในปัจจุบันยังไม่มีรายงานใดเกี่ยวกับการโจมตีหรือความเสียหายที่เกิดขึ้น กับระบบ VoIP ขององค์กรเลย สาเหตุอาจเนื่องมาจากวิธีการป้องกันที่ทั้ง Vendor และผู้ชำนาญการทั้งหลายคิดค้นขึ้น แต่ประเด็นจริงๆ กลับอยู่ที่การใช้งาน VoIP ในระดับองค์กรส่วนใหญ่จะเป็นระบบปิด หมายความว่า Packet ข้อมูลจะวิ่งอยู่แต่เฉพาะ LAN ภายในขององค์กรเท่านั้น หรือหากเป็นทราฟิกจากภายนอกก็จะต้องผ่าน PSTN Gateway เสียก่อน การใช้งาน VoIP อยู่ภายใน LAN นั้นทำให้ง่ายต่อการจัดการทั้งในเรื่องคุณภาพเสียงและความปลอดภัย หากเป็นทราฟิกระหว่างสาขาโดยปกติก็จะเชื่อมต่อกันด้วย Link ที่มีความปลอดภัยสูงอยู่แล้ว ดังนั้นโดยส่วนใหญ่การรักษาความปลอดภัยให้กับ VoIP ที่ใช้เฉพาะภายในองค์กรจะหมายถึงการรักษาความปลอดภัยให้กับ Server, Switch, และ Gateway รวมไปถึงการปรับตั้งค่า Firewall และ IPS ให้เหมาะสมเพียงเท่านั้น

บางกรณี Vendor อาจแนะนำให้แยกทราฟิกของ Voice และ Data ออกจากกัน เพื่อให้ง่ายในการป้องกันการตกเป็นเป้าหมายของ Malware, การดักฟัง, และการโจมตีแบบ DoS แต่การแยกทราฟิกของ Voice ออกมาวิ่งในเน็ตเวิร์กเฉพาะจะทำให้จุดเด่นในเรื่องค่าใช้จ่ายในการลงทุนระบบ VoIP ด้อยลงไป แต่ยังดีที่มาตรฐาน 802.1Q ที่มีอยู่ใน Switch อาจช่วยได้บ้างเพราะ 802.1Q นั้นเป็นมาตรฐานในการทำ VLAN เพื่อแยก Voice ออกจาก Data เพียงแค่ใส่การป้องกันลงไปในจุดที่ Voice และ Data มาพบกันก็เพียงพอแล้ว แต่ต้องไม่ลืมที่จะปรับตั้งค่าต่างๆของ VLAN ให้เหมาะสมเพื่อการป้องกันที่ดี

อีกประเด็นที่ Vendor หรือผู้เชี่ยวชาญด้านความปลอดภัยแนะนำคือหลีกเลี่ยงการใช้งาน Softphone (โทรศัพท์แบบซอฟต์แวร์) เพราะ Softphone นั้นทำให้ไม่สามารถแยกแยะทราฟิกของ voice และ Data ออกจากกันได้ การใช้เครื่องโทรศัพท์แบบไอพีนั้นสามารถระบุ MAC address ให้กับหมายเลขไอพีได้ ทำให้ความปลอดภัยสูงขึ้น นอกจากนี้การใช้ Digital Certificate เพื่อตรวจสอบสิทธิการเชื่อมต่อระหว่างตัวอุปกรณ์และเซิร์ฟเวอร์ก็เป็นอีก วิธีในการรักษาความปลอดภัย รวมไปถึงการใส่รหัส PIN ด้วย โดยสรุปแล้วการป้องกันต่างๆเท่าที่จะทำได้ก็มีเช่น การเข้ารหัสข้อมูลเสียง, การเข้ารหัสการจัดการ VoIP แบบอินเตอร์เอ็กทีฟ และการเข้ารหัสสัญญาณเสียงทั้งชุด(Voice Stream) เป็นต้น

อนาคตที่ท้าทาย

แม้ การใช้งาน VoIP ส่วน ใหญ่ในปัจจุบันจะเป็นการใช้ภายในองค์กรซึ่งทำให้การจัดการด้านความปลอดภัย อยู่ภายใต้การควบคุมได้ แต่แนวโน้มในอนาคตนั้นองค์กรต้องการใช้งาน VoIP ใน ลักษณะที่เปิดกว้างมากขึ้น ส่วนใหญ่เพื่อการโทรระหว่างประเทศเนื่องจากมีค่าใช้จ่ายที่ต่ำ นั่นหมายความว่าต้องมีการเปลี่ยนการใช้งานจากวงจรโทรศัพท์แบบเดิมมาเป็นวงจร โทรศัพท์ VoIP ซึ่งในปัจจุบันมีผู้ให้บริการอยู่หลายรายเช่น Broadwing, Global Crossing, Level 3 Communication, และ MCI แน่นอนว่าในทันทีที่องค์กรเปิดการใช้งาน VoIP ให้ เชื่อมกับภายนอก ก็สามารถตกเป็นเป้าในการถูกโจมตีได้ในเวลาเดียวกัน ยิ่งมีผู้ใช้บริการเพิ่มขึ้นเท่าใดการควบคุมในเรื่องความปลอดภัยยิ่งทำได้ ยากขึ้นตามไปด้วย

ปัจจุบันมีองค์กรหลายแห่งได้ปรับเปลี่ยนเน็ตเวิร์ กภายในของตนเองจากการใช้สายทองแดงแบบเดิมที่เป็น PSTN มาเป็นการใช้ IP ผ่านเคเบิลใยแก้วเพื่อลดค่าใช้จ่ายในระยะยาว และทำการเชื่อมต่อกันเองในกลุ่มคู่ค้าทำธุรกิจ (Peer-to-Peer) โดยไม่ผ่านผู้ให้บริการโทรคมนาคมแต่อย่างใด แสดงให้เห็นถึงแนวโน้มการเปลี่ยนแปลงที่เกิดขึ้นอย่างเงียบๆ

นอกจาก นี้เมื่อการใช้งาน VoIP เป็นไปในลักษณะเปิดมากขึ้น การแยกทราฟิกของ Voice ออกจาก Data จะทำได้ยากขึ้นหรืออาจทำไม่ได้เลย รวมไปถึงการหลีกเลี่ยงการใช้งาน SoftPhone จะทำได้ยากขึ้นด้วย เนื่องจากจะเป็นการสวนทางกับกระแสการพัฒนาของ VoIP และแอพพลิเคชันที่ใช้งานร่วมกัน เพราะในปัจจุบันการพัฒนาต่างๆ จะมุ่งไปในทิศทางที่มองทราฟิกของ Voice ว่าเป็นประเภทหนึ่งของ Data ในองค์กร ซึ่งการพัฒนาเหล่านั้นก็อยู่ภายใต้กรอบมาตรฐานของ IP และโพรโตคอล SIP อยู่แล้ว

ตัวอย่างหนึ่งของการมอง Voice เป็นส่วนหนึ่งของ Data คือการเติบโตของผู้ให้บริการโทรศัพท์ที่โด่งดังอย่าง Skype และอีกหลายรายที่มีลักษณะเดียวกัน ซึ่งมองได้ว่าเป็นการพัฒนาของ VoIP ที่เกิดขึ้นโดยมีเป้าหมายในการโทรศัพท์เป็นหลัก ไม่ได้สนใจทิศทางที่เป็นมาตรฐานมากนัก

นอกจากนี้ระบบการป้องกันและ รักษาความปลอดภัยที่ Vendor ต่างๆ พากันแนะนำให้ใช้นั้น ยังไม่สามารถนำมาใช้งานจริงได้อย่างมีประสิทธิภาพและแพร่หลาย เพราะแม้ว่าเราสามารถเข้ารหัสและทำ Authentication ให้กับข้อมูลเสียงและ Signaling ต่างๆ ได้ตามคำแนะนำ แต่การลงมือทำจริงๆนั้นไม่ง่ายเอาเสียเลย หรือการป้องกันโดยการใช้ Key แม้ในทางทฤษฎีแล้วเป็นสิ่งที่ดี แต่ในทางปฏิบัติแล้วยังไม่สามารถหาวิธีการแลกเปลี่ยน Key เหล่านั้นได้อย่างมีประสิทธิภาพเลย

แม้ว่าในปัจจุบันจะยังไม่มี รายงานเกี่ยวกับการถูกโจมตีของ VoIP ก็ไม่ได้หมายความว่ามันยังไม่เกิดขึ้น เพราะมีความเป็นไปได้ว่าหลายๆหน่วยงานโดยเฉพาะที่ทำธุรกรรมด้านการเงินหรือ Call Center อาจเคยถูกโจมตีมาบ้างแล้ว แต่ไม่ทราบว่าเป็นการโจมตีทาง VoIP หรือ แม้จะทราบก็ไม่รู้ว่าจะเรียกมันว่าอะไรจึงเหมาะสม ซึ่งตามปกติแล้วเหตุการณ์หรือความบ่อยครั้งที่จะถูกโจมตีหรือตกเป็นเป้าหมาย นั้น จะเกิดขึ้นจนเห็นได้ชัดเมื่อเทคโนโลยีนั้นได้รับการพัฒนาอย่างเต็มที่และมี การใช้งานอย่างแพร่หลาย จนเป็นที่ยั่วยวนใจบรรดาผู้ไม่ประสงค์ดีที่จะเข้ามาโจมตี ซึ่งตอนนั้นเราคงได้ยินได้ฟังหรืออาจเจอการโจมตีเข้ากับตัวเองก็เป็นได้ อย่างไรก็ตามความพยายามในการรับมือกับเหตุการณ์เหล่านั้นก็มีอยู่อย่างต่อ เนื่อง บรรดา Vendor ทั้งหลายไม่ว่าจะเป็น BorderWare, Secure Logix, และ TrippingPoint ได้ปรับปรุง Firewall และ IPSec ที่ใช้สำหรับ VoIP ขึ้นมา โดยเน้นไปที่การป้องกันในระดับแอพพลิเคชันเลเยอร์โดยเฉพาะ

ท้ายสุด แล้วเราจะเห็นว่า VoIP จะต้องเจอกับการโจมตีในรูปแบบที่ไม่ต่างจาก e-mail, IM และแอพพลิเคชันอื่นๆ ในเครื่อง PC ต้อง เจอ แต่ด้วยความพร้อมและการเตรียมการในเรื่องความปลอดภัยที่ดี ปัญหาต่างๆก็อาจเบาบางลงได้ เมื่อรวมกับประโยชน์ที่จะได้รับจากการนำ VoIP มาใช้งานเข้าด้วยแล้ว ปัญหาต่างๆยิ่งมองดูเล็กลงไปอีก

ป้องกันก่อนโดนโจมตี

ทุก วันนี้ e-mail ซักฉบับกว่าจะผ่านเข้าออกเน็ตเวิร์กในหน่วยงานได้นั้นต้องถูก Scan ซ้ำแล้วซ้ำเล่าจนแน่ใจว่าปลอดภัยจึงผ่านไปมาได้ เหตุการณ์แบบเดียวกันนี้จะต้องเกิดกับทราฟิกของ VoIP อย่างหลีกเลี่ยงไม่ได้ แต่จะต้องใช้วิธีการหรืออุปกรณ์เช่น Firewall ที่แตกต่างออกไปและซับซ้อนมากขึ้นเพื่อคอยมอนิเตอร์ทราฟิกของ VoIP ในระดับแอพพลิเคชัน level

VoIP ที่มีใช้อยู่ในปัจจุบันส่วนใหญ่จะเป็นการใช้ภายในองค์กรแทบทั้งสิ้น ส่วนการเชื่อมต่อกับโลกภายนอกนั้นจะต้องผ่าน VoIP Gateway และวงจร PSTN Trunk ซึ่งในอนาคตอันใกล้ก็คงจะเปลี่ยนไปเป็น VoIP Trunk ที่ในปัจจุบันมีผู้ให้บริการโทรคมนาคมหลายรายให้บริการอยู่ เมื่อถึงเวลานั้นองค์กรที่ต้องการใช้งานจำเป็นจะต้องเปลี่ยนหรือปรับปรุง Firewall ที่มีใช้อยู่ให้สามารถรองรับการทำงานร่วมกับ VoIP ได้

ทั้ง ยังต้องทำใจรับการโจมตีในรูปแบบต่างๆ เช่น man-in-the-middle, spam, หรือการดักฟัง ซึ่งจะต้องพบเจอแน่นอน และการรับมือนั้นต้องอาศัยความรู้ความเข้าใจถึงตัวทราฟิกของ Voice อยู่พอสมควร

Vendor ที่พัฒนา Solution เพื่อรับมือกับการโจมตี VoIP มีหลายรายเช่น SecureLogix, BorderWare เป็นต้น โดย BorderWare ได้ออกอุปกรณ์ชื่อ SIPassure ออกมา ซึ่งเป็น Proxy Firewall ที่รองรับมาตรฐาน SIP ในการทำ Authenticate เพื่อเข้ามาใช้งานของ User และทำ Deep Packet Inspection รวมถึงกำหนด Policy การใช้งานให้กับ User แต่ละรายได้ เพื่อให้สามารถรับมือกับการโจมตีในระดับแอพพลิเคชันได้ในหลายรูปแบบเช่น malformed message, buffer overflow, DoS, RTP (Real-Time Transport Protocol) session hijacking, รวมทั้งการ Injection RTP Packet ที่ไม่ได้รับการตรวจสอบสิทธิแทรกเข้ามาใน RTP flow ที่มีอยู่ นอกจากนี้ SIPassure ยังสามารถที่จะป้องกันการลักลอบเข้ามาขโมยข้อมูลส่วนตัว (Identity Theft), การปลอมแปลงในการแสดงตน (Impersonation), และการดักฟังได้ด้วย แถมด้วยมีการป้องกันการ Spam อีก เนื่องจาก SIPassure สามารถวิเคราะห์ได้ว่าเป็นไปไม่ได้ที่จะมี Call จำนวนมากเกิดขึ้นพร้อมๆกันโดยมี IP address เดียวกันหมด

ทาง SecureLogix นั้นได้พัฒนาวิธีการป้องกันที่สามารถใช้ได้ทั้งการโทรศัพท์ในแบบเดิมและแบบ ใช้ VoIP โดยใช้ชื่อว่า ETM (Enterprise Telephony Management) Suite ซึ่งเป็นการควบคุมในส่วน Firewall และ IPS ในระดับ Voice-application-level โดยภาพรวมแล้วทำงานไม่ต่างจาก SIPassure มากนัก

การ ทำงานของ Voice Firewall จะทำหน้าที่ป้องกันการโจมตีแบบ DoS และแบบอื่นๆ ได้ไม่ว่าจะผ่านมาทาง VoIP หรือ PSTN ส่วน IPS จะใช้การตรวจสอบ Signature เป็นหลักในการตรวจสอบ นอกจากนี้ยังสามารถบันทึกเสียงและตรวจสอบประสิทธิภาพในการทำงานได้หากได้มี การกำหนดไว้ใน Policy ของ User รายนั้นๆ นอกจากนี้ทั้งสองรายต่างสนับสนุนการทำ QOS ของ VoIP ทราฟิกได้อีกด้วย

ด้าน IPS Vendor ก็ไม่ยอมน้อยหน้า ซึ่งรวมถึง TippingPoint (ตอนนี้ถูก 3com ซื้อไปแล้ว) ได้ออกผลิตภัณฑ์ที่สนับสนุนมาตรฐาน SIP และ H.323 รวมถึงมีความสามารถในการตั้งค่า SIP session แบบ Real-Time ได้ และสนับสนุนการตรวจสอบ Packet ที่มีความผิดปกติ (Tear-Down Tracking) ได้ด้วย และที่ขาดไม่ได้คือการทำ QOS ให้กับ VoIP และ NFR Security ก็มีผลิตภัณฑ์ชื่อ Sentivist IPS ซึ่งให้การป้องกัน Packet ของ VoIP ได้อยู่แล้ว

Thanks : dnsthailand.net

IDS and IPS ..... ?

IDS และ IPS คืออะไร

คิดว่าหลายๆ คนคงจะเคยได้ยินคำๆ นี้กันใช่ไหมครับ Intrusion Detection System (IDS) และ Intrusion Prevention System (IPS) หรือจะเรียกว่าระบบการตรวจสอบและป้องกันการบุกรุกก็ว่าได้นะครับซึ่งโดยปกติ แล้วจะแบ่งออกเป็น 2 แบบด้วยกันครับคือ Host-Based และ Network Based System?

• Host-Based:?ก็คือระบบการ ตรวจสอบการบุกรุกที่อยู่ในเครื่องคอมพิวเตอร์แต่ละเครื่องยังไงหละครับ โดยหลักการแล้วก็จะมี program เล็กๆ หรือที่เค้าเรียกว่า agent เป็นตัวที่คอยตรวจสอบและเฝ้ามองข้อมูลต่างๆ ที่วิ่งเข้าวิ่งออกบนตัวคอมพิวเตอร์ที่ติดตั้ง agent ตัวดังกล่าวนี้
• Network-Based System:? ก็จะเป็นอีกระบบที่ใหญ่ขึ้นมาจากระบบ Host-Based นั่นเอง เพราะจะมีการวางอุปกรณ์เซ็นเซอร์ที่ใช้คอยตรวจสอบ package ที่วิ่งอยู่บนระบบเครือข่ายและประมวลผล package ต่อ package กันไปเลยก็ว่าได้ โดยเซ็นเซอร์ดังกล่าวจะถูกวางไว้ในจุดที่ต้องการทำการตรวจสอบโดยอาจจะเชื่อม ต่อเข้าไปยัง hub หรือ switch ซึ่งอาจจำเป็นที่จะต้องเปิดฟังก์ชั่น Port mirroring หรือ Network tap

วิธีการในการตรวจสอบการบุกรุกอาจสามารถที่จะแบ่งได้ออกเป็น 2 วิธีการได้แก่ Misuse Based Detection และ Anomaly Based Detection

1. Misuse Based Detection
   • เป็นระบบการตรวจสอบโดยการใช้?signature ของข้อมูลจึงเป็นที่มาของอีกชือหนึ่งนั่นคือ signature based หรือ knowledge based detection
   • โดย ปกติแล้ว การตรวจสอบด้วยระบบนี้จะสามารถตรวจสอบได้เฉพาะการโจมตีที่ทราบอยู่แล้วใน ระบบฐานข้อมูล โดยการเซ็ตกฎหรือตัวกรองในระบบตรวจสอบ หากเป็นการโจมตีหรือสิ่งแปลกปลอมใหม่ๆ ที่นอกเหนือจากระบบฐานข้อมูลการโจมตีแล้ว ระบบ misuse นี้จะตรวจจับไม่ได้
   • ระบบ Misuse Based นี้โดยทั่วไปแล้วจะทำงานคล้ายกับระบบของโปรแกรมป้องกันไวรัสซึ่งทำการเปรียบ เทียบ signature ของข้อมูลที่วิ่งไปมาในระบบกับฐานข้อมูลขนาดใหญ่ที่มีอยู่แล้วซึ่งหากว่า เหมือนกับในฐานข้อมูลก็แสดงว่าข้อมูลดังกล่าวอาจจะเป็นการบุกรุกหรือประสงค์ ร้ายนั่นเอง ซึ่งอาจจะมีจุดอ่อนตรงที่ไม่สามารถตรวจสอบได้หากวิธีในการบุกรุกนั้นเป็น วิธีใหม่ๆ
2. Anomaly Based Detection
   • การ ทำงานของระบบนี้จะเป็นการตรวจสอบ pattern ของข้อมูลหรือจะเรียกว่าพฤติกรรมต่างของข้อมูลที่วิ่งอยู่ในระบบเพื่อเรียน รู้ว่าอะไรคือสิ่งปกติและผิดปกติภายในระบบโดยที่ระบบจะมีกระบวนการเรียนรู้ ด้วยตัวเอง เหมือนดังเช่นกับระบบ spam filter
   • โดยปกติ แล้วระบบนี้จะถูกตั้งค่าโดยผู้ดูแลระบบเครือข่ายโดยที่ผู้ดูแลอาจจะกำหนด เส้นแบ่งว่าพฤติกรรมไหนถือว่าเป็นพฤติกรรมที่ปกติโดยอาจจะพิจรณาจาก traffic, พฤติกรรม, protocol หรือขนาดของข้อมูลเป็นต้น ดังนั้นจะทราบได้ทันทีว่าพฤติกรรมไหนเป็นพฤติกรรมที่เข้าข่ายการโจมตีระบบ นั่นเอง
   • เนื่องจากระบบ Anomaly Based นั้นสามารถที่จะเรียนรู้ได้ด้วยตนเอง ดังนั้นระบบดังกล่าวนี้ก็จะสามารถเรียนรู้วิธีหรือพฤติกรรมใหม่ๆ ที่ใช้ในการโจมตีระบบได้นั่นเองแต่ก็อาจจะทำงานผิดผลาดได้นั่นหมายถึงไม่มี การส่งสัญญาณเตือนเมื่อมีการโจมตีเพราะเข้าใจว่าเป็นพฤติกรรมที่ปกติในระบบ เครือข่าย

ดังนั้นในปัจจุบันนี้ ระบบ IDS ที่ขายตามท้องตลาดจึงได้ผนวกวิธีการทั้งสองเข้าด้วยกันเพื่อเสริมความแข็งแกร่งนั่นเอง

ส่วนไอ้เจ้า IPS ก็ไม่มีอะไรมากไปกว่า IDS ซักเท่าไหร่หรอกครับ ให้คิดง่ายๆ นะครับว่า IDS คือระบบตรวจสอบส่วน IPS คือระบบตรวจสอบและป้องกันนั่นเองครับ ก็คือเมื่อรู้แล้วว่านี้คือการโจมตีหรือการมุ่งร้ายก็จะตัดการทำงานหรือการ เชื่อมต่อโดยทันทีนั่นเองครับ ซึ่งโดยส่วนใหญ่แล้ว IPS ก็คือ Firewall + IDS System นั่นแหละครับ ไม่ต้องคิดมาก

Thanks : EasyZone