บทที่4: กําแพงไฟและเคร ือข ายเสมือนส...

1

บทท 4: กาแพงไฟและเครอขายเสมอนสวนบคคคล

FIREWALL

อปกรณสาหรบควบคมการเขาถงระบบเครอขายทถก ป ออกแบบเพอปฏเสธ traffic ทงหมด หรอยกเวน traffic ท

ไดรบอนญาตทตรงตามเงอนไขทไดกาหนดไว

2

2

พนฐานการทางานระบบไฟรวอลล

3

ประเภทของไฟรวอลล

แบงตามระดบชน

Network Level

Application Level

แบงตามการใชงาน

Packet filtering firewall

Circuit level gateway

Application level gateway

Stateful inspection firewall

4

3

1.PACKET FILTERING FIREWALL

เปนการนาอปกรณเราเตอรหรอเครองคอมพวเตอรทรนซอฟตแวรทสามารถกาหนดการสกรนแพคเกต incoming หรอ outgoing ไดในทสามารถกาหนดการสกรนแพคเกต incoming หรอ outgoing ไดในระดบชนเครอขายหรอชนอนเทอรเนตทาหนาทเปนไฟรวอลล

5

1.PACKET FILTERING FIREWALL

ไฟรวอลลจะอนญาตหรอปฏเสธแพคเกตจากขอมลทอยภายในสวนหวของแพคเกตสวนหวของแพคเกต

หมายเลขทอยตนทาง (Source IP address)

หมายเลขทอยปลายทาง (Destination IP address)

ชนดแอพพลเคชน หรอโปรโตคอล (Application or protocol)

หมายเลขพอรตตนทาง (Source port number)

หมายเลขพอรตปลายทาง (Destination port number)

6

4

1.PACKET FILTERING FIREWALL

อปกรณ ขอด ขอเสย

เราเตอรมจานวนอนเตอรเฟสมากทาใหมประสทธภาพสง

เพมเตมฟงกชนการทางานไดยาก,

ใชหนวยความจามาก

คอมพวเตอรททาหนาทเปนเราเตอร

สามารถเพมฟงกชนการทางานไดไมจากด

จานวนอนเตอรเฟสนอยทาใหมประสทธภาพปานกลาง

7

2.CIRCUIT LEVEL GATEWAY

เปนไฟรวอลลททาการมอนเตอร TCP handshaking ระหวางแพคเกตจากเครองไคเอนตหรอเซรฟเวอรทเชอถอไดกบเครอง host เกตจากเครองไคเอนตหรอเซรฟเวอรทเชอถอไดกบเครอง host ใดๆ (untrusted) หรอในลกษณะการรองขอการตดตอสอสารอยางถกตอง

8

5

2.CIRCUIT LEVEL GATEWAY

9

3.APPLICATION LEVEL GATEWAY

เปนไฟรวอลลทมคณสมบตเชนเดยวกบไฟรวอลลประเภท circuit level gateway level gateway

เพมคณสมบตดานตรวจสอบแพคเกตแบบ incoming และ outgoing ทาใหทาหนาทเหมอนกบ proxy server

10

6

4.STATEFUL INSPECTION FIREWALL

เปนไฟรวอลลททางานในชนอนเทอรเนตและไดรวบรวมเอาลกษณะการทางานของ packet filtering firewall circuit level ลกษณะการทางานของ packet filtering firewall, circuit level gateway และ application level gateway ไวรวมกน

11

การใหบรการการกรอง

บรการทไฟรวอลลสามารถตรวจสอบได

Network scanning

Host scanning

Inbound access

Outbound access

Network Denial of Service

Trojan horse attack

12

7

การใหบรการการกรอง

บรการทไฟรวอลลไมสามารถตรวจสอบได

ไ บรการทไดรบอนญาต

Application vulnerability

OS vulnerability

Virus attack

Hacker

Spammed mail

13

วศวกรรมไฟรวอลลการกาหนดนโยบายความปลอดภย

กาหนดแนวทางในการปฏบตงานของผใชททาใหผใชปลอดภยจากการใชงานระบบเครอขายใชงานระบบเครอขาย

กาหนดแนวทางการปฏบตงานของผทมหนาทรบผดชอบดแลทางดานเทคนค เพอสรางความเชอมนในการไววางใจไดวาระบบมความปลอดภย

กาหนดขอหามสาหรบกจกรรมตางๆ ทไมพงปรารถนาสาหรบองคกร

ใ ใ กาหนดขอจากดในการใชงานเกยวกบระบบสารสนเทศ

กาหนดการปองกนทางเทคนคขนตาเพอใหสามารถมนใจไดวาสามารถควบคม ปองกนและตรวจจบเหตการณผดปกตตอระบบได

กาหนดหนาทความรบผดชอบดานความปลอดภยของผเกยวของกบระบบ 14

8

วศวกรรมไฟรวอลล

ปญหาทอาจเกดขนกรณไมมการกาหนดนโยบายความปลอดภยปลอดภย

องคกรอาจไมสามารถควบคมผใชได

เกดผลกระทบในดานธรกจตอองคกร

ขาดการรบผดชอบเรองความปลอดภย

ขาดทศทางของการรกษาความปลอดภยขาดทศทางของการรกษาความปลอดภย

องคกรไมสามารถแกไขสถานการณไดทนทวงทเมอเกดปญหาขน

15

วศวกรรมไฟรวอลล

การจดโซน

โ การจดแบงโฮสตทตองอาศยไฟรวอลลเปนทางผานของการรบสงขอมล ออกเปนสวนๆ ตามลกษณะการใชงาน

Internal network

External network

Demilitarized Zone (DMZ)16

9

1.INTERNAL NETWORK

(HIGH TRUST ZONE)

เปนโซนของเครอขายภายในทมเฉพาะโฮสตทไวใจไดหรอเรยกวา trusted host trusted host

เครอขายแบบนเปนลกษณะของการใชงานภายในองคกร และโฮสตทงหมดลวนแตเปนโฮสตทอยภายในทงสน

โฮสตทอยภายในโซนแบบนจะมความนาเชอถอสง ทาใหการควบคมและปองกนรกษาความปลอดภยมระดบทตา

ดงนนหากมใครละเมดกฎยอมมผลกระทบตอองคกรอยางมาก แตอยางไรกตามการสบสวนกสามารถกระทาไดจนถงผกระทาผด

17

2.EXTERNAL NETWORK (NO TRUST ZONE)

เปนโซนเครอขายภายนอกใดๆ ทอยบนอนเทอรเนตหรออกนยหนงหมายถงโฮสตทไมไดอยในเครอขายภายใน หมายถงโฮสตทไมไดอยในเครอขายภายใน

เปนโฮสตทไมนาไววางใจ หรอเรยกวา untrusted host เนองจากไมสามารถไววางใจในการเชอมตอของโฮสตและควบคมผใชได

18

10

3.DEMILITARIZED ZONE (DMZ)

เปนโซนทไมใชทงโซนของเครอขายภายในและโซนของเครอขายภายนอก แตเปนโซนทอยกลางๆ ของทงสองเครอขาย ภายนอก แตเปนโซนทอยกลางๆ ของทงสองเครอขาย

โซน DMZ เปนโซนทกาหนดไวสาหรบการแกปญหาการแบงแยกโซนของโฮสตทไมชดเจน

โซนแบบ DMZ เปนโซนสาหรบรองรบโฮสตทตองการตดตอสอสารโดยตรงกบทงเครอขายภายในและเครอขายภายนอก

19

ขอสงเกตการจดโซน

เครอขายภายในไมควรม Inbound access โดยตรงจากเครอขายภายนอก ควรหลกเลยงกรณเชนนใหมากทสดเพราะเปนชองทางภายนอก ควรหลกเลยงกรณเชนนใหมากทสดเพราะเปนชองทางเดยวทภยคกคามจากเครอขายภายนอกสามารถเขามายงเครอขายภายในได

โฮสตทตองการตดตอโดยตรงกบโฮสตในเครอขายภายในและในเครอขายภายนอกตองอยใน DMZ โซนเทานน

ทกๆ แพคเกตของ traffic ทผานไฟรวอลล ควรออกแบบให server อยในโซนเดยวกนเพอทาใหลดภาระของไฟรวอลล

20

11

NETWORK ADDRESS TRANSLATION

(NAT)

NAT เปนขนตอนการแปลงหมายเลข private IP ทใชงานอยภายในเครอขายองคกรใหสามารถสอสารใชงานไดดวยหมายเลขไอพทไดเครอขายองคกรใหสามารถสอสารใชงานไดดวยหมายเลขไอพทไดลงทะเบยนไวทใชบนอนเทอรเนต (public IP)

เนองจากหมายเลขไอพทงสองแบบแยกจากกนอยางอสระ ดงนนการทา NAT จงเปนขนตอนทสามารถชวยเปดโอกาสในการเชอมตอเครอขายขององคกรเขาสระบบอนเทอรเนตไดโดยผลกระทบกบแอพพลเคชนทใชงานอยเดมนอยทสด

21

การทางานของ NAT

22

12

STATIC NAT

23

DYNAMIC NAT

24

13

NAPT

การทา NAT ทเพมกระบวนการแปลงหมายเลขพอรตนอกเหนอจากทาการแปลง IP Address แลวจะชวยทาใหเกดประโยชนไดมากกวาทาการแปลง IP Address แลวจะชวยทาใหเกดประโยชนไดมากกวาการทา NAT เพยงอยางเดยว

ดงนนลกษณะของวธการ NAT ทแปลงทงหมายเลขไอพและหมายเลขพอรตจะเรยกวา Network Address Port Translation (NAPT)

25

NAPT

26

14

การกาหนด ACCESS RULES

Access rules หมายถงกฎทไฟรวอลลใชในการพจารณา traffic ทจะผานแนวปองกนของไฟรวอลลไปยงโซนตางๆ และการพจารณณา ผานแนวปองกนของไฟรวอลลไปยงโซนตางๆ และการพจารณณา access rules โดยทวไปจะตองประกอบดวย

Source หมายถงตนทางของการสอสารขอมล ทขอมลกาลงจะผานไฟรวอลลวามตนทางมาจากทใด

Destination หมายถงปลายทางทเปนเปาหมายของการสอสารขอมล

Service หมายถงรปแบบการใหบรการในขณะทกาลงใชงานอย

27

การกาหนด ACCESS RULESAction แสดงถงผลการตดสนใจเมอนาไปเปรยบเทยบกบกฏของไฟรวอลลไดแก

ผลการยอมรบหรออนญาต (accept) เปนผลทอนญาตใหผานไฟรวอลลไปผลการยอมรบหรออนญาต (accept) เปนผลทอนญาตใหผานไฟรวอลลไปยงปลายทางได ผลการปฏเสธหรอไมยอมรบ (reject) เปนผลการปฏเสธไมใหแพคเกตผานไฟรวอลลไปถงปลายทางเปาหมายได พรอมกบการกลบการปฏเสธไปใหตนทางทราบผลการไมอนญาต (drop) เปนผลการปฏเสธแบบเดยวกนกบผลการ reject แตจะไมสงขอมลอะไรใดๆ เพอตอบกลบใหตนทางทราบ

28

แตจะไมสงขอมลอะไรใดๆ เพอตอบกลบใหตนทางทราบTrack หมายถงการเกบบนทกขนตอนการทางานการผานเขาออกของขอมลลงใน logTime หมายถงเวลาทบงบอกเงอนไขใหมผลการกระทาเมอใด ใน access rule จะกาหนดใหเปน “Any” ซงหมายถงมผลตลอดเวลา

15

การกาหนด ACCESS RULES

RuleNumber Source Destination Service Action Track Time

1 Internal Any HTTP, POP, SMTP Accept None Any

2 Internal Any Any Reject None Any

3 A I t l A D N A3 Any Internal Any Drop None Any

29

การพจารณาการกาหนด ACCESS RULESการจดลาดบของ access rules กอนหลง

หลกเลยงการขดแยงกนของ access rules ทมเงอนไขการตรวจสอบขอมล i แพคเกตเหมอนกนแตมการกาหนด action แตกตางกน

หลกเลยงการซาซอนกนของ access rules

กาหนด access rule ใหมจานวนนอยทสด เพอทาใหงายตอการตรวจสอบ

กาหนด access rule โดยปดกนเฉพาะ traffic ทไมตองการและอนญาต traffic อนๆ ใหผาน หรออนญาตเฉพาะ traffic ทตองการ และปฏเสธ traffic

30

อนๆ

กฎพนฐานควรครอบคลมทกเงอนไข เพอใหทกแพคเกตตองถกตรวจสอบ

Access rules ตองปองกนตวไฟรวอลลดวย

สรางเปนกฎพนฐานรวมกนได

16

สถาปตยกรรมไฟรวอลล1.Single Box Architecture

ขอด: สามารถดแลไดงาย

ขอเสย: เกดความเสยงสง หากมการตดตงคาคอนฟกเรชนผดพลาดซงทาใหเกดชองโหวและระบบถกเจาะได

31

1.1 SCREENING ROUTERใชอปกรณเราเตอรมาทาหนาทแบบ Packet filtering

ขอด: ประหยดคาใชจาย

ขอเสย: ไมยดหยนสาหรบการตดตงคาคอนฟกกเรชน

เหมาะสมกบเครอขายทตองการความเรวในการทางานและมการปองกนความปลอดภยในระดบของโฮสต

32

17

1.2 DUAL-HOMED HOSTเปนการนาเครอง Dual-Homed Host (หมายถงคอมพวเตอรทมเครอขายเชอมตออยางนอย 2 เครอขาย) ใหบรการเปนแบบ Proxy ใหกบเครองภายในเครอขาย

ระบบไฟรวอลลนเหมาะกบเครอขายทมการใชงานอนเทอรเนตไมมาก

33

1.3 MULTI-PURPOSED FIREWALL BOX

เปนการรวมอปกรณททาหนาททง Packet filtering และ Proxy รวมไวเปนกลองเดยวกน โดยมขอเสยคอถามขอผดพลาดเกดขนจะทาไวเปนกลองเดยวกน โดยมขอเสยคอถามขอผดพลาดเกดขนจะทาใหเสยหายทงระบบ

34

18

สถาปตยกรรมไฟรวอลล

2.Screened Host Architecture

โ ใ ใ ไฟ วางโฮสตใหทาหนาทใหบรการ proxy เหมอนกบระบบไฟรวอลลแบบ Dual-Homed Host

ตาแหนงการวางโฮสตจะอยภายในเครอขายและจะมอปกรณเราเตอรททาหนาท Packet filtering เพอชวยบงคบใหเครองภายในเครอขายตองตดตอบรการผาน proxy โดยไมยอมใหตดตอใชp yบรการจากภายนอกโดยตรง

กาหนดใหภายนอกเขาถงไดเฉพาะ Bastion host เทานน

35

สถาปตยกรรมไฟรวอลล

2.Screened Host Architecture

36

19

สถาปตยกรรมไฟรวอลล3.Multi Layer Architecture

เปนลกษณะของสถาปตยกรรมแบบหลายชนทเกดขนจากอปกรณไฟรวอลลหลายๆ สวนประกอบกนขนเปนระบบไฟรวอลล

37

ตวอยางการกาหนดคา CONFIGURATION ของไฟรวอลล

Web server ใหบรการผานพอรต 80

ใ ใ Mail server ใหบรการผานพอรต 25 และยอมอนญาตใหม inbound mail และ outbound mail

องคกรกาหนดนโยบายดานการใชงานระบบอนเทอรเนตของผใชงานภายในเครอขายโดยมบรการตางๆ ไดแก HTTP, HTTPs, FTP, Telnet และ SSH,

38

20

SINGLE FIREWALL

39

SINGLE FIREWALL

Rule Number Source IP Destination IP Service Action

1 Any Web server HTTP Accept2 Any Mail server SMTP Accept3 Mail server Any SMTP Accept4 Internal network Any HTTP, HTTPs, FTP, telnet, SSH Accept5 Internal DNS Any DNS Accept

40

6 Any Any Any Drop

21

DUAL FIREWALL

41

DUAL FIREWALL

Rule Number Source IP Destination IP Service Action

1 Any Web server HTTP Accept

Firewall #1

1 Any Web server HTTP Accept2 Any Mail server SMTP Accept3 Mail server Any SMTP Accept4 Internal network Any HTTP, HTTPs, FTP, telnet, SSH Accept5 Internal DNS Any DNS Accept6 Any Any Any Drop

Rule DestinationFirewall #2

Rule Number Source IP Destination

IP Service Action

1 Internal mail server Mail server SMTP Accept2 Internal network Any HTTP, HTTPs, FTP, telnet, SSH Accept3 Internal DNS Any DNS Accept4 Any Any Any Drop

42

22

VIRTUAL PRIVATE NETWORK (VPN)• เครอขายเสมอนสวนบคคลหรอ VPN เปนเทคโนโลยรปแบบหนงของการเชอมตอเครอขายแบบวงกวางหรอ WAN (Wide Area Network) ทนยมนาไปใชในองคกรทมหลายๆ หนวยงานหรอมการกระจายหนวยงานตางๆ ๆ ๆตามภมภาค • การเชอมตอเครอขายสวนบคคล (Private Network) ทมลกษณะคณสมบตการปองกนไมใหบคคลภายนอกใชงานเครอขายภายในได เชอมตอผานเครอขายอนเทอรเนตหรอเครอขายสาธารณะแทนการเชอมตอผานระบบ leased line

43

รปแบบการใชงาน VPN: REMOTE-ACCESS VPN

44

23

รปแบบการใชงาน VPN: SITE-TO-SITE VPN

45

ชนดของ VPN: FIREWALL BASED VPN

46

24

ชนดของ VPN: HARDWARE BASED VPN

47

ชนดของ VPN: SOFTWARE BASED VPN

48

25

TUNNELINGเปนวธการปองกนความลบของขอมลรวไหลเมอทาการเชอมตอระบบเขากบระบบอนเตอรเนต

เทคนควธการของ tunneling จะทาการสรางชองทางพเศษสาหรบการตดตอสอสารขอมลจากจดหนงไปยงอกจดหนงคลายกบการสรางอโมงคใตดนเพอขนสงขอมล

49

เทคนคการสราง TUNNELINGเทคนค Voluntary tunneling

เปนเทคนคการสราง tunneling ทผใชตองทาการตอเชอมกบผให โป ใ บรการ ISP กอนแลวหลงจากนนโปรแกรม VPN ของผใชบรการหรอ

VPN Client จะทาการตอเชอมกบเครอขาย VPN ให

เทคนค Compulsory tunneling

เปนเทคนคทผใหบรการ ISP เปนผดาเนนการและใหผใชเพยงทาการเชอมตอเขา ISP เทานน และเมอกระบวนการการตรวจสอบผใชงานเสรจสน ระบบของ ISP จะทาการเชอมตอเครองของผใชงานเขากบเครอขาย VPN ให โดยการเชอมตอดวยเทคนคแบบน ทางผใหบรการ ISP ตองทาการตดตงอปกรณเสรมทชอวา front-end processor (FEP) หรอ POP Server (Point of Present Server)

50

26

โปรโตคอล PPTP (POINT TO POINT TUNNELING PROTOCOL)

PPTP จะทาการ encapsulate เฟรมขอมลของ PPP ทบรรจ IP datagram ไวภายในกอนการนาสงขอมลผานระบบอนเทอรเนต โดยdatagram ไวภายในกอนการนาสงขอมลผานระบบอนเทอรเนต โดยเฟรม PPP จะถกเขารหสหรอถกบบดวยโปรโตคอล Generic Routing Encapsulation (GRE) กอนการสงขอมลผานชองทางพเศษ

51

โปรโตคอล PPTP (POINT TO POINT TUNNELING PROTOCOL)

ขอดของโปรโตคอล PPTP

มการใชโอเวอรเฮดในการทางานนอย และปรบแตงการใชงานไดงายมการใชโอเวอรเฮดในการทางานนอย และปรบแตงการใชงานไดงาย

ใชงานไดกบหลายๆ ระบบปฏบตการทม VPN Client

ใชงานผานระบบ NAT ไดโดยไมมผลกระทบ

ขอเสยของโปรโตคอล PPTPมความเสยงสงทจะถกดกจบอานแพกเกตในระหวางการทา

52

Authenticationมความปลอดภยตาเนองจากโปรโตคอล PPTP ทา Authentication ระดบผใชเทานน

มปญหาการทางานรวมกนกบระบบไฟรวอลล

27

โปรโตคอล L2TP (LAYER TWO TUNNELING PROTOCOL)

โปรโตคอล L2TP เปนโปรโตคอลทใชทาการ tunneling โดยไดรบการพฒนามาจากโปรโตคอล PPTP และ Layer 2 Forwarding (L2F) การพฒนามาจากโปรโตคอล PPTP และ Layer 2 Forwarding (L2F) Protocol ซงเปนโปรโตคอลทใชสาหรบการสอสารระหวางเราเตอร

โปรโตคอล L2TP เปนเทคโนโลยทถกพฒนาและนาเสนอโดยบรษท Cisco system ทมความสามารถในการ encapsulate เฟรม PPP ผานเครอขายตางๆ เชน IP, X.25, frame relay หรอเครอขาย ATM

53

L2TP/IPSEC

การใช IPSec เพอทาการเขารหส traffic ของ L2TP ดวย IPSec Encapsulating Security Payload (ESP) และทาใหIPSec Encapsulating Security Payload (ESP) และทาใหเปนทรจกในชอใหมวา L2TP/IPSec

54

28

L2TP/IPSECขอดของ L2TP/IPSec

สามารถตรวจสอบ Certificate ของโฮสตทมการทา Authentication ของ L2TP/IPSec ทงในระดบผใชและระดบโฮสต

สามารถปองกน Replay attack จากการดกจบขอมลทกๆ แพกเกต

ขอเสยของ L2TP

การสอสารระหวาง VPN server และ client ตองม Certificate InfrastructureInfrastructure

ไมสามารถใชงานไดกบระบบปฎบตการรนเกาตงแต Windows 98 ลงไปได

ไมสามารถใชงานผาน NAT ได55

การประยกตใชงาน VPN

ความตองการของเครอขายองคกรทตองการทางานผานระบบอนเทอรเนตอนเทอรเนต

ความตองการทา remote administrator ไปยงเครอง server

ตองการใชโปรแกรมแอพพลเคชนทสอสารดวย plain text

ตองการปองกนการดกอานขอมลภายในเครอขายเดยวกน

โป โ

56

ตองการขยายการสอสารของโปรโตคอลอน

29

จบ บทท 4จบ บทท 4