มาทำความเข้าใจกับ HIPS ก่อนใช้ Firewall กัน

posted on 29 May 2008 18:01 by warbandit  in Basic-Security
ก่อนอื่นต้องขอแจ้งข่าวก่อนว่า Entry เกี่ยวกับการ์ตูน ย้ายไปรวมกันที่หน้า Page หมดแล้วครับ เพราะปัก Recommended เยอะๆ มันดูรกๆ อยากไปดู คลิกที่นี่
 
เรื่องมันมีอยู่ว่า หลังจากที่ผมเห็นนินคุงเขียนเรื่อง มาเข้าใจ Defense+ ใน Comodo Firewall กันเถอะ!

 

ผมเลยนึกขึ้นมาได้ ว่า Firewall หรือโปรแกรมรักษาความปลอดภัยที่ดีๆ จะต้องมีระบบ HIPS มาให้ ว่าแต่เจ้า HIPS คืออะไรล่ะเนี่ย

 

ก่อนอื่นเราก็ต้องมาทบทวนเรื่อง Firewall แบบเบื้องต้นกันก่อนครับ

Firewall เป็นปราการด่านแรกของการใช้อินเทอร์เน็ต ใช้ป้องกันข้อมูลที่ผ่านเข้าออกอินเทอร์เน็ต

สมัยแรกๆ Firewall จะเล่นง่ายๆ ด้วยการเด้งขึ้นมาถามในกรณีที่มีโปรแกรมอะไรกำลังต่ออินเทอร์เน็ต แต่บางครั้งมันก็ทำให้ผู้ใช้สับสน ว่าไอ้ที่ขึ้นมานี่เป็นส่วนนึงของ Windows Service รึเปล่า หรือเป็นสปายแวร์ หรือโปรแกรมที่ต้องใช้ เลยพอเกิดอาการมั่วขึ้นมา อาจส่งผลร้ายแรงได้

 

ต่อมา ก็เริ่มมีระบบ Black/WhiteList เพื่อที่จะได้ไม่ต้องถาม ในกรณีที่ Firewall รู้จักโปรแกรมที่อยู่ใน White List ก็จะปล่อยผ่านอัตโนมัติ หรือบางทีตอนติดตั้งจะคอยมี Wizard มาคอยสอนให้เลย

ส่วนโปรแกรมที่อยู่ใน BlackList ก็จะถูกบล๊อคการทำงานไปแบบเงียบๆ หรือมีข้อความสั้นๆ มาเตือน (ประมาณว่าไม่ขอความเห็นจากผู้ใช้ แค่มาบอกเฉยๆ)

ส่วนโปรแกรมที่ไม่อยู่ใน List ก็จะเด้งขึ้นมาถามครับ แต่ก็อย่างว่า Firewall บางตัวไม่ฉลาดพอที่จะรู้จักโปรแกรม เลยยังขึ้นมาถามบ่อยๆ

 

แต่ในปัจจุบัน Firewall บางตัว(ส่วนมากจะเสียเงิน) จะใช้ระบบที่เรียกว่า Auto Learn หรือ Smart Defense กล่าวคือมีระบบ Black/White List เหมือนเดิม

 

แต่การทำงานในกรณีที่ Firewall เจอโปรแกรมที่ไม่รู้จัก จะไม่ถาม คือปล่อยผ่านไปก่อน แล้วจับตาดูว่าโปรแกรมนั้นเล่นตุกติกอะไรกับเรารึเปล่า เมื่อมีอะไรไม่ชอบมาพากล จะขึ้นมาถาม

 

แต่ส่วนมาก ผมไม่ค่อยเห็นมันขึ้นมาถามหรอก ส่วนมากจะบล๊อคอัตโนมัติ

 

ส่วน Firewall ฟรีๆ ที่ทำงานแบบ Auto Learn หรือ Smart Defense ก็เห็นจะมี Webroot Desktop Firewall น่ะครับที่ทำได้ แต่ก็ยังเอ๋อๆ กับบางโปรแกรม ส่วนที่เหลือเท่าที่ได้ยินมาจะเป็นพวกเสียเงินอย่างพี่ Zonealarm Pro หรือน้องใหม่ Norton360

ปล.ไม่แนะนำ Firewall แบบ Auto Learn หรือ Smart Defense กับเกมเมอร์ทั้งหลาย เพราะตัวเจ้าปัญหาที่เข้ากับใครไม่ได้จำพวก Game Guard จะมีปัญหามาก (ปัญหาที่ตัวมันเองน่ะแหล่ะ)

 

-------------------------------------------------------------

ทบทวนเรื่อง Firewall กันไปแล้ว จะได้บอกเล่าเรื่อง HIPS กันต่อล่ะนะครับ

มีศัพท์เทคนิคพอควร อาจเข้าใจยากซักนิด สำหรับคนที่ไม่เข้าใจ ไม่ต้องมาเม้นว่า "ง่ะ..ไม่รู้เรื่องเลย " (เลียนแบบคำพูดของนินคุง หุๆ )

คำว่า HIPS นั้นย่อมาจากคำว่า Host-based Intrusion Prevention System แปลเป็นภาษาชาวบ้านว่า "Firewall สำหรับ Application"

Application Firewall ก็เปรียบเสมือนเลเยอร์บางๆ ระหว่าง Application Level กับ Kernel Level

ปล. Application Level นอกจากหมายถึงโปรแกรมแล้ว ยังหมายถึง Registry ด้วยนะ

ซึ่ง Kernel Level จะเป็นส่วนที่เอาไว้เรียกใช้ Application ที่ถูกใช้งานโดยระบบปฏิบัติการ (OS)

อย่างกรณีที่เราจะเปิดโปรแกรมใดๆ ขึ้นมา OS จะเรียก Application สำหรับเปิดโปรแกรมนั้น ขึ้นมา ซึ่งเจ้าตัวโปรแกรมนั้น จะอยู่ในส่วน Application Level

การเรียกใช้งานของ OS จะอยู่ในส่วนของ Kernel Level ครับ

หมายเหตุ : การเรียกใช้งานของ OS อาจจะเป็น User เรียกใช้เอง หรือโปรแกรม,โปรเซสใดๆเรียกใช้ขึ้นมาก็ได้

ดังนั้น ถ้ามีโปรแกรมที่ไม่ประสงค์ดี เช่น Backdoor, Keylogger, Spyware หรือไวรัสที่โปรแกรมแอนตี้ไวรัสไม่รู้จัก มาเรียกใช้ไวรัส หรือโปแกรมที่ไม่ประสงค์ดีต่อเครื่องเราก็ เตรียมลงวินโดวส์ใหม่ได้เลย

ดังนั้น HIPS จึงถูกนำมาแก้ปัญหาส่วนนี้ครับ ซึ่งอย่างที่บอกไปว่า HIPS เปรียบเสมือนเลเยอร์บางๆ ระหว่าง Application Level กับ Kernel Level นั่นเอง

HIPS จะเข้าไปจับตาดูโปรแกรม หรือโปรเซสที่เรียกใช้ Application ใดๆ ตลอดเวลา

ซึ่ง ก็เหมือนเดิม คือ HIPS ก็ยังมีระบบ Black/WhiteList อยู่ ช่วยให้ไม่ต้องถามบ่อยๆ ซึ่งก็เหมือนเดิมที่ HIPS บางตัวก็ไม่ฉลาดอีกน่ะแหล่ะ

อธิบายยาวๆ เดี๋ยวจะงง เดี๋ยวผมเอาภามตัวอย่างมาให้ดูครับ

ก่อนที่จะมี HIPS สังเกตว่าจะไม่มีอะไรระหว่าง Kernel Level กับ Application Level เลย
ดังนั้น OS จะเรียกใช้ Application ได้แบบอิสระ ไม่ว่าจะเป็นตัวแสบๆอย่าง Backdoor, Keylogger หรือ Spyware


เมื่อมี HIPS แล้ว HIPS จะมาขวางกั้นระหว่าง Kernel Level กับ Application Level ทำให้ไม่สามารถเรียกใช้
Application ได้ ถ้าไม่ได้รับการยืนยันจาก HIPS ก่อน
และ HIPS สามารถยับยั้งการเรียก Application ที่น่าสงสัยจาก OS ได้ครับ
-------------------------------------------------------------
ส่งท้าย
ก่อนจะตัดสินใจใช้ HIPS โปรดแน่ใจไว้ก่อนว่า "คุณรู้เรื่องโปรแกรมในเครื่องมากแค่ไหน" และคุณต้องสามารถตอบคำถามที่โปรแกรมขึ้นมาถามได้อย่างถูกต้อง ไม่งั้นอาจทำวินโดวส์เดี้ยงได้ เพราะไม่สามารถเรียก Service มาทำงานได้ เนื่องจากสั่ง Block มันไว้
สำหรับโปรแกรมที่มีระบบ HIPS (และเป็น Freeware) ได้แก่
อ้อ HIPS ไม่จำเป็นจะต้องอยู่กับ Firewall เสมอไปนะครับ อาจจะเป็น Anti Spyware ก็ได้
ดูๆไป ของฟรีแล้วดีมันมีน้อยครับ ต้องทำใจ
Tags: firewall, freeware, hips, malware, operating system, os, protection, security, windows7 Comments

Comment



smilebig smileopen-mounthed smileconfused smilesad smileangry smiletonguequestionembarrassedsurprised smilewinkdouble winkcry

Tweet

เอ่อ.. ไ่ม่เกี่ยวกับเอนทรีย์..ขอเข้ามาขำรูปเฮดครับ 555

ผมไม่ได้ใช้ Firewall เหะ คิดวาไม่ได้ใช้คอมไปตะลุยอะไรเสี่ยงๆ เท่าไหร่



#1 By So Gallagher on 2008-05-30 21:03

ต้องอ่านอีกหลายๆรอบ เพราะมี firewallsad smile

#2 By V@R on 2008-05-30 22:38

ตอนนี้พึ่ง firewall ของ eset อยู่ครับ sad smile

#3 By boro on 2008-05-31 18:12

ตอนเขียนเอ็นทรี่นั่น ก็พยายามอธิบายเรื่อง HIPS เหมือนกัน แต่หาคำแปลไม่ถูก เลยข้าม ๆ ไปละกัน (กลัวคนอ่านจะงงกว่านี้ sad smile )

ผมว่า HIPS ใน Defense+ เข้าใจง่ายสุดแล้วเท่าที่เคยใช้โปรแกรมประเภทนี้มา

#4 By NinkungZ on 2008-06-01 04:09

555+ดีมกเลยครับเอาสาระมาใส่อย่างนี้อะนะ
แหม่ ชอบจังเลย Comodo เนี่ย เจ๋งสุดๆ

#5 By oatsmart on 2009-03-04 15:02

ขอบคุณครับ

#6 By knows (114.128.81.250) on 2009-07-06 00:22

ขอบคุณมากกกกค่ะ สำหรับเวลาที่มาให้ความรู้

#7 By (202.93.48.50) on 2009-10-06 14:10

Creative Commons License
ผลงานนี้ ใช้สัญญาอนุญาตของครีเอทีฟคอมมอนส์แบบ แสดงที่มา-ไม่ใช้เพื่อการค้า 3.0 ประเทศไทย.

Ratcicle View my profile

Recommend

Favourites