สวัสดีครับ กลับมาพบกับผมอีกครั้งหลังจากห่างหาย update ข้อมูลข่าวสารเกี่ยวกับ PaloAlto Networks firewall ไปนาน มาครั้งนี้ผมขอนำเสนอบทความที่เกี่ยวข้องกับสถิติการใช้งานของระบบเครือข่ายมหาวิทยาลัยกว่า 35 แห่งทั่วโลก สถิติเป็นอย่างไรติดตามอ่านกันได้เลยครับ ……
สิ่งที่น่าสนใจจากสถิติการใช้งานภายในมหาวิทยาลัย
เป็นเวลานานกว่า 18 เดือน นับตั้งแต่เดือนเมษายน ปี 2008 ,ทาง PaloAlto Networks ได้รวบรวสถิติต่างๆจากมหาวิทยาลัยที่ติดตั้ง PaloAlto Networks firewall และตรวจสอบ traffic ซึ่งผลลัพธ์ที่ออกมานั้น ถูกสร้างเป็น Application Visibility and Risk report เพื่อแจกจ่ายไปยังฝ่ายระบบเครือข่ายของมหาวิทยาลัยและฝ่าย security โดยภาพรวมนั้นพบว่า มีสถิติการใช้งาน application ถึง 589 ตัวและใช้ bandwidth รวมไปถึง 64 terabytes ซึ่งทาง PaloAlto Networks ได้สรุปหัวข้อที่น่าสนใจของรายงานไว้ดังนี้
นักศึกษามีการใช้งาน application ที่หลบหลีกการตรวจจับของระบบ security
- จำนวนการใช้งาน external proxies, encrypted tunnel และ remote access มีค่อนข้างมาก เป็นสิ่งที่แสดงให้เห็นว่านักศึกษามีขั้นตอนวิธีการซับซ้อนมากขึ้น เพื่อปกปิดการใช้งานของตัวเอง และเราจะไม่พบการใช้งานพวกนี้เลยถ้าหากว่าเครือข่ายในมหาวิทยาลัยนั้นไม่ได้มีระบบเฝ้าระวังที่มีประสิทธิภาพ
การใช้งาน Peer-to-peer file sharing ยังคงเป็นการใช้งานหลักๆ ที่พบในมหาวิทยาลัย
- 97% ของมหาวิทยาลัยที่สำรวจมา (34 ที่จากทั้งหมด 35 ที่) พบว่า มีการใช้งาน P2P file sharing อย่างมาก มีจำนวน application 24 ตัว ใช้ bandwidth ไป 13.0 terabytes หรือคิดเป็น 21.7% ของ bandwidth ที่ใช้ทั้งหมด แสดงให้เห็นว่า P2P ยังคงเป็นปัญหาที่สำคัญในเครือข่ายมหาวิทยาลัย
- ทางมหาวิทยาลัยในอเมริกาต้องจัดการกับคำขอร้องจากRIAA เพื่อควบคุมการใช้งาน P2P และยังพบภัยคุกคามตัวใหม่ก็คือ Mariposa ซึ่งมีกระจายตัวอย่างรวดเร็วในเครือข่ายที่การใช้งาน P2P
Logo ของหน่วยงาน RIAA
การใช้งาน application ประเภท file sharing ผ่านทาง web browser มีแนวโน้มมากขึ้น
- โดยเฉลี่ยมีการใช้งาน file sharing ผ่านทาง web browser ถึง 11 applications ในมหาวิทยาลัย 33 แห่งจาก 35 แห่งที่สำรวจ (คิดเป็น 94%) โดย application ประเภทนี้ต่างจาก P2P คือง่ายต่อการถ่ายโอน file ขนาดใหญ่ เช่น เพลง หรือ ภาพยนตร์ และอาจเปิดเผยช่องทางให้โจมตีเครือข่ายของมหาวิทยาลัยได้
พฤติกรรมของนักศึกษาที่ใช้เวลาเล่น application บันเทิงมากขึ้น
- พบว่ามีการใช้งาน application ถึง 203 ตัวที่เป็น เกมส์, social networking, media, file sharing และท่องเวบต่างๆ โดย bandwidth ที่ใช้ไปกับ application เหล่านี้มากกว่า 48 terabytes หรือ 78% ของการใช้ bandwidth ทั้งหมด
คุณสมบัติของ application ที่ทำให้มองเห็นและควบคุมได้ยากลำบากขึ้น
- เนื่องจาก application ทั้งหมด 589 ตัวที่พบ,มีจำนวน 356 ตัว (คิดเป็น 60%) สามารถใช้งานผ่าน port 80 หรือ 443 หรือเป็นแบบ hop port และเนื่องด้วยคุณสมบัติของ application ที่วิ่งบน port มาตรฐานเหล่านี้เอง ทำให้นำความเสี่ยงมาสู่ระบบได้ เพราะ firewall ที่เป็น port-based นั้นไม่สามารถที่มองเห็นและควบคุมการใช้งาน application นั้นได้
รายงานนี้สร้างจากข้อมูลที่เก็บรวมรวบจาก PaloAlto Networks firewall ที่ติดตั้งในมหาวิทยลัยต่างๆ ใน mode ของ tap mode หรือว่า virtual wire mode โดยตรวจสอบ traffic ขาเข้าและออกจาก internet gateway หลังจากสิ้นสุดระยะเวลาเก็บข้อมูลแล้ว ได้สร้างตัวรายงาน Application Visibility and Risk Report (AVR Report) เพื่อแสดงผลของความเสี่ยงในการใช้งาน application และแสดงให้เห็นภาพที่ชัดเจนของการใช้งานภายในเครือข่าย ซึ่งข้อมูลจากแต่ละมหาวิทยาลัยจาก AVR Report ได้ถูกรวบรวม, วิเคราะห์และสรุปได้ดังนี้….
Introduction
ปัจจุบันนักศึกษาของมหาวิทยาลัยมีความรู้และความเข้าใจด้านคอมพิวเตอร์มากกว่าแต่ก่อน เห็นได้จากการใช้งาน application ที่หลากหลาย ไม่ว่าจะเป็นด้านสังคม, บันเทิงและใช้ค้นคว้าด้านการศึกษา ด้วยความหลากหลายของการใช้งาน application เพราะเนื่องจากว่า network ของมหาวิทยลัยนั้นเปิดให้ใช้งานอย่างอิสระ ทำให้ทีม security ของมหาวิทยาลัยนั้นรับมือได้ลำบากมาก โดยด้านหนึ่งทีม security ก็ถูกถามถึงความอิสระในการใช้งานภายมหาวิทยาลัย และในด้านหนึ่งก็ต้องการที่จะป้องกัน network จากภัยคุกคามต่างๆและข้อมูลที่สำคัญในเครือข่าย
ในการวิเคราะห์ระบบเครือข่ายของมหาวิทยาลัย 35 แห่งทั่วโลก PaloAlto Networks พบว่ามีการใช้งาน application ที่หลากหลาย มีทั้งบันเทิง สังคม และด้านการศึกษา โดย Peer-to-peer file sharing ยังคงมีการใช้งานอย่างมาก ในขณะที่ browser-based file sharing ก็ใช้งานมากขึ้นเช่นกัน จึงไม่เป็นที่น่าแปลกใจว่า application ที่นักศึกษาใช้นั้นจะเน้นที่ด้านบันเทิงมากกว่าด้านการศึกษาอย่างเห็นได้ชัด
และยังมีอีก application ที่ไม่คาดคิดว่าจะใช้งานกันมากก็คือประเภท proxies, encrypted tunneling และ remote desktop access ทำให้เกิดคำถามว่า :
1.) ถ้า network ให้อิสระในการใช้งานแล้ว ทำไมถึงใช้ application เหล่านี้เพื่อปกปิดการใช้งานของตัวเอง ??
2.) หรือเป็นเพราะความพยายามควบคุมการใช้ application บางตัว จึงทำให้นักศึกษาหันมาใช้การปกปิดตัวเองเพื่อใช้งาน application ที่ตัวเองต้องการ ??
แต่ไม่ว่าจะด้วยเหตุผลใดก็ตามแต่ สถิติได้ชี้ชัดแล้วว่า นักศึกษานั้นใช้งาน application ใดๆก็ตามที่เค้าต้องการใช้ และ security administrator ต้องควบคุมการใช้งานของนักศึกษาไม่ว่าในรูปแบบใดๆก็ตามต่อไป
การใช้งาน application ที่หลบหลีกการตรวจจับของระบบ security
หนึ่งในสิ่งที่น่าสนใจมากของสถิติการใช้งานระหว่างการวิเคราะห์ก็คือ ความถี่ในการใช้งาน external proxies, encrypted tunnels and remote access ซึ่งสิ่งที่พบเหล่านี้ค่อนข้างจะขัดแย้งกับรูปแบบการให้บริการของเครือข่ายมหาวิทยาลัย เพราะว่าในเครือข่ายของมหาวิทยาลัยนั้นเปิดให้ใช้งานอย่างอิสระ แต่ทำไมต้องใช้ application ที่สามารถ bypass ระบบ security
- หรือเป็นเพราะว่านักศึกษามีความหวั่นเกรงไปเอง มากเกินไป ?
- หรือมหาวิทยาลัยควบคุมการใช้งานมากเกินไป ?
ถ้าเราไม่คำนึงถึงเหตุผลข้างต้นแล้ว ถือได้ว่าเป็นเรื่องแปลกการใช้งานของ application เหล่านี้ที่มีระดับการใช้งานพอสมควร
EXTERNAL PROXIES
มี proxy 2 ประเภทที่สามารถใช้เพื่อวัตถุประสงค์ในการ bypass ระบบ security ประเภทแรกคือ private proxy ซึ่งเป็น software application ที่ติดตั้งบน server และใช้โดยผู้ใช้เพียงคนเดียว ในกรณีนี้ นักศึกษาจะติดตั้ง software ใน computer ที่บ้านหรือเครื่องอื่นนอกเครือข่ายมหาวิทยาลัย จากนั้นนักศึกษาคนนี้จะ browse ไปยัง proxy ที่ตัวเองตั้งไว้ ซึ่งจะพบใน log ของ PaloAlto Networks firewall ว่าเป็นการใช้งาน web browsing ทั่วๆไป
จากการวิเคราะห์พบว่ามี proxies ทั้งสิ้น 21 ตัวซึ่งรวมไปถึง HTTP proxy ที่อาจจะใช้งานภายในมหาวิทยาลัยเอง หากไม่รวม HTTP proxy แล้ว จะพบว่าเป็น external proxies ทั้งหมด 100% ของการใช้งาน proxy ในมหาวิทยาลัย ซึ่งมีจำนวน 12 ตัว และจำนวนเฉลี่ยที่พบในแต่ละมหาวิทยาลัยคือ 4 ตัว โดยส่วนใหญ่ proxy ที่ตรวจพบ คือ CGIProxy จำนวน 63% และ PHProxy 60% ตามลำดับ
proxy ประเภทที่สองคือ public proxy หรือ proxy service โดยการ implement ก็คล้ายๆ กับ proxy ประเภทแรก แต่ให้บริการแก่ประชาชนทั่วไป อย่างเช่น นักศึกษาต้องเรียกดูเว็บโดยไม่ต้องการให้ใครรู้ว่าเข้าไปยังเวบใด สามารถเข้าไปที่เวบ www.proxy.org และเลือก proxy จาก 1 ใน 7700 ตัว จากนั้นก็ระบุเวบไซต์ที่ต้องการเข้า โดยเราสามารถลงทะเบียนกับ proxy.org เพื่อขอรับ update e-mail ที่่แจ้งข้อมูล proxy site ใหม่ในแต่ละวันได้
proxy ทั้งสองประเภทนี้ traffic ของการใช้งานภายใน PaloAlto Networks firewall ดูเหมือนกับว่าเป็นการท่องเวบตามปกติและ polices ส่วนใหญ่ปล่อยผ่าน traffic เหล่านี้ เป็นผลให้นักศึกษาสามารถ bypass การควบคุมการใช้งาน รวมถึงการตรวจสอบภัยคุมคาม และอาจทำให้ข้อมูลสำคัญของมหาวิทยาลัยถูกเปิดเผยได้ ซึ่งเป็นความเสี่ยงที่ไม่ควรจะเกิดขึ้นเลย
ENCRYPTED TUNNEL APPLICATIONS
ในขณะที่ proxy เป็น application หลักที่ใช้เพื่อ bypass การควบคุมการใช้งาน web, application ประเภท encrypted tunnel นั้นเป็นกระบวนการปกปิดการใช้งานที่ซับซ้อนขึ้น ทำให้นักศึกษาซ่อนการใช้งาน application ใน encrypted tunnel ซึ่งมีสองเหตุผลที่สามารถคิดได้คือ
1.) นักศึกษาใช้โปรแกรมเหล่านี้เพื่อ bypass ระบบ security และ policies ที่มีในมหาวิทยาลัย เช่น ห้ามการใช้งาน P2P
2.) นักศึกษามีความกังวลเกี่ยวกับความเป็นส่วนตัวของเขา
application ประเภทนี้มี 2 ประเภทคือ
1.) application ที่มีการรับรองโดยองค์กรและเป็นมาตรฐาน (IPSec, IKE, ESP, Secure Access)
2.) applicatoin ที่ไม่ได้มีการรับรองและไม่ได้เป็นมาตรฐาน (Hamachi, TOR, UltraSurf, Gpass)
หากเราไม่รวม application ที่มหาวิทยาลัยรองรับให้ใช้งานเช่น IPSec VPN จะพบว่ามี application 10 ตัวและไม่น่าแปลกที่ SSL, SSH จะพบถึง 100%, 94% ตามลำดับ แต่อย่างไรก็ตามเราก็ยังพบว่ามีการใช้งาน TOR, GPasss และ UltraSurf เป็นจำนวนมากเหมือนกัน
TOR (The Onion Router) เป็นตัวอย่างของ application ประเภท encrypted tunnel ที่พัฒนาโดยกระทรวงกลาโหม ของประเทศสหรัฐอเมริกา เป็นวิธีการสื่อสารที่ปลอดภัยกว่า version เก่าของมันก็คือ DARPA.NET ซึ่ง TOR นั้นเป็น application แบบ client-server โดยส่วนของ client จะติดตั้งที่เครื่อง end-user เมื่อมีการเชื่อมต่อไปยังเวบไซต์ ข้อมูลที่ส่งนั้นจะถูกกระจายไปยัง TOR node และไม่มี node ใดที่ได้รับข้อมูลทั้งหมด ทำให้มั่นใจได้ว่าจะไม่ถูกลุกล้ำความเป็นส่วนตัวเนื่องจากใช้ proprietary encryption สุดท้ายแล้ว ข้อมูลก็จะกลับมารวมเมื่อถึงผู้รับปลายทาง
Hamachi และ UltraSurf มีลักษณะเช่นเดียวกันกับ TOR ทั้งหมดนี้จะต้องให้ client ติดตั้ง software เพื่อเชื่อมต่อไปยังเครือข่ายของ server บน internet จากจุดนี้เอง traffic จะไปตามจุดหมายต่างๆ ตามแต่ละที่ ที่ application เขียนขึ้น จุดประสงค์ก็เพื่อ เพื่อ bypass security นั่นเอง
การใช้งาน application ประเภทนี้แสดงให้เห็นว่า application อื่นที่อยู่ใน tunnel จะสามารถ bypass การควบคุมและระบบ security ทำให้ระบบเครือข่ายของมหาวิทยาลัยเกิดความเสี่ยงด้านความปลอดภัย เช่นการ transfer file ที่มีลิขสิทธิ์หรือ malware ที่อาจะเข้ามาในระบบ
REMOTE DESKTOP CONTROL APPLICATIONS
application ที่เป็น remote desktop มีลักษณะคล้ายกับ SSH ในแง่ที่ว่าฝ่าย IT ใช้งานเพื่อแก้ไขคอมพิวเตอร์หรือ server ระยะไกล ถ้าหากไม่ต้องทำงานเหล่านี้ application นี้ก็คงไม่มีความหมาย แต่นักศึกษาสามารถใช้เพื่อ remote ไปยังเครื่องอื่นและกระทำสิ่งใดๆ เพื่ออำพรางตัวเองได้ โดยพบทั้งสิ้น 21 application โดยเฉลี่ยแล้วในแต่ละมหาวิทยาลัยมี 6 ตัว
บาง application เช่น pcAnywhere และ GoToMyPc เป็นโปรแกรมเชิงพาณิชย์ ขณะที่ application อื่นๆ เช่น RDP และ telnet เป็นส่วนหนึ่งของระบบปฏิบัติการที่มีอยู่แล้ว , RDP เป็น application ในลักษณะ client-sever โดยปกติใช้ port 3389 และสามารถย้ายไปยัง port อื่นได้ RDP เป็น feature มาตรฐานใน Window XP Professional ทำให้ผู้ใช้งานสามารถเข้าถึง computer ที่ต้องการผ่านทาง internet จากคอมพิวเตอร์, Pocket PC หรือ smart phone ในที่ใดก็ตามได้ เมื่อเชื่อมต่อกันแล้ว Remote Desktop สามารถให้เราใช้งาน mouse, keyboard เพื่อควบคุม computer ปลายทางได้เหมือนกับเราอยู่ที่หน้าจอ และด้วย Remote Desktop ทำให้ผู้ใช้สามารถที่วาง computer ไว้ที่ออฟฟิศได้ โดยที่ยังสามารถเข้าไปจัดการกับไฟล์ , application และ e-mail ต่างๆ ได้ด้วย RDP ทำให้นักศึกษาสามารถกำหนดค่าใน PC ตัวเองสามารถเชื่อมต่อไปยัง PC ข้างนอกได้และทำให้สามารถเรียกใช้โปรแกรมใดๆ ก็ตามที่ต้องการ, แลกเปลี่ยนไฟล์, เรียกใช้ P2P application, ฟังเพลง, ท่องเวบต่างๆ ซึ่ง traffic ทั้งหมดนี้จะอยู่ใน tunnel ที่มีการ encrypte ด้วย RC4 แม้ว่าจะเป็นที่รู้กันว่าอาจจะเป็นช่องโหว่ที่ทำให้เกิด man-in-the middle attack
