1
บทท 4: กาแพงไฟและเครอขายเสมอนสวนบคคคล
FIREWALL
อปกรณสาหรบควบคมการเขาถงระบบเครอขายทถก ป ออกแบบเพอปฏเสธ traffic ทงหมด หรอยกเวน traffic ท
ไดรบอนญาตทตรงตามเงอนไขทไดกาหนดไว
2
2
พนฐานการทางานระบบไฟรวอลล
3
ประเภทของไฟรวอลล
แบงตามระดบชน
Network Level
Application Level
แบงตามการใชงาน
Packet filtering firewall
Circuit level gateway
Application level gateway
Stateful inspection firewall
4
3
1.PACKET FILTERING FIREWALL
เปนการนาอปกรณเราเตอรหรอเครองคอมพวเตอรทรนซอฟตแวรทสามารถกาหนดการสกรนแพคเกต incoming หรอ outgoing ไดในทสามารถกาหนดการสกรนแพคเกต incoming หรอ outgoing ไดในระดบชนเครอขายหรอชนอนเทอรเนตทาหนาทเปนไฟรวอลล
5
1.PACKET FILTERING FIREWALL
ไฟรวอลลจะอนญาตหรอปฏเสธแพคเกตจากขอมลทอยภายในสวนหวของแพคเกตสวนหวของแพคเกต
หมายเลขทอยตนทาง (Source IP address)
หมายเลขทอยปลายทาง (Destination IP address)
ชนดแอพพลเคชน หรอโปรโตคอล (Application or protocol)
หมายเลขพอรตตนทาง (Source port number)
หมายเลขพอรตปลายทาง (Destination port number)
6
4
1.PACKET FILTERING FIREWALL
อปกรณ ขอด ขอเสย
เราเตอรมจานวนอนเตอรเฟสมากทาใหมประสทธภาพสง
เพมเตมฟงกชนการทางานไดยาก,
ใชหนวยความจามาก
คอมพวเตอรททาหนาทเปนเราเตอร
สามารถเพมฟงกชนการทางานไดไมจากด
จานวนอนเตอรเฟสนอยทาใหมประสทธภาพปานกลาง
7
2.CIRCUIT LEVEL GATEWAY
เปนไฟรวอลลททาการมอนเตอร TCP handshaking ระหวางแพคเกตจากเครองไคเอนตหรอเซรฟเวอรทเชอถอไดกบเครอง host เกตจากเครองไคเอนตหรอเซรฟเวอรทเชอถอไดกบเครอง host ใดๆ (untrusted) หรอในลกษณะการรองขอการตดตอสอสารอยางถกตอง
8
5
2.CIRCUIT LEVEL GATEWAY
9
3.APPLICATION LEVEL GATEWAY
เปนไฟรวอลลทมคณสมบตเชนเดยวกบไฟรวอลลประเภท circuit level gateway level gateway
เพมคณสมบตดานตรวจสอบแพคเกตแบบ incoming และ outgoing ทาใหทาหนาทเหมอนกบ proxy server
10
6
4.STATEFUL INSPECTION FIREWALL
เปนไฟรวอลลททางานในชนอนเทอรเนตและไดรวบรวมเอาลกษณะการทางานของ packet filtering firewall circuit level ลกษณะการทางานของ packet filtering firewall, circuit level gateway และ application level gateway ไวรวมกน
11
การใหบรการการกรอง
บรการทไฟรวอลลสามารถตรวจสอบได
Network scanning
Host scanning
Inbound access
Outbound access
Network Denial of Service
Trojan horse attack
12
7
การใหบรการการกรอง
บรการทไฟรวอลลไมสามารถตรวจสอบได
ไ บรการทไดรบอนญาต
Application vulnerability
OS vulnerability
Virus attack
Hacker
Spammed mail
13
วศวกรรมไฟรวอลลการกาหนดนโยบายความปลอดภย
กาหนดแนวทางในการปฏบตงานของผใชททาใหผใชปลอดภยจากการใชงานระบบเครอขายใชงานระบบเครอขาย
กาหนดแนวทางการปฏบตงานของผทมหนาทรบผดชอบดแลทางดานเทคนค เพอสรางความเชอมนในการไววางใจไดวาระบบมความปลอดภย
กาหนดขอหามสาหรบกจกรรมตางๆ ทไมพงปรารถนาสาหรบองคกร
ใ ใ กาหนดขอจากดในการใชงานเกยวกบระบบสารสนเทศ
กาหนดการปองกนทางเทคนคขนตาเพอใหสามารถมนใจไดวาสามารถควบคม ปองกนและตรวจจบเหตการณผดปกตตอระบบได
กาหนดหนาทความรบผดชอบดานความปลอดภยของผเกยวของกบระบบ 14
8
วศวกรรมไฟรวอลล
ปญหาทอาจเกดขนกรณไมมการกาหนดนโยบายความปลอดภยปลอดภย
องคกรอาจไมสามารถควบคมผใชได
เกดผลกระทบในดานธรกจตอองคกร
ขาดการรบผดชอบเรองความปลอดภย
ขาดทศทางของการรกษาความปลอดภยขาดทศทางของการรกษาความปลอดภย
องคกรไมสามารถแกไขสถานการณไดทนทวงทเมอเกดปญหาขน
15
วศวกรรมไฟรวอลล
การจดโซน
โ การจดแบงโฮสตทตองอาศยไฟรวอลลเปนทางผานของการรบสงขอมล ออกเปนสวนๆ ตามลกษณะการใชงาน
Internal network
External network
Demilitarized Zone (DMZ)16
9
1.INTERNAL NETWORK
(HIGH TRUST ZONE)
เปนโซนของเครอขายภายในทมเฉพาะโฮสตทไวใจไดหรอเรยกวา trusted host trusted host
เครอขายแบบนเปนลกษณะของการใชงานภายในองคกร และโฮสตทงหมดลวนแตเปนโฮสตทอยภายในทงสน
โฮสตทอยภายในโซนแบบนจะมความนาเชอถอสง ทาใหการควบคมและปองกนรกษาความปลอดภยมระดบทตา
ดงนนหากมใครละเมดกฎยอมมผลกระทบตอองคกรอยางมาก แตอยางไรกตามการสบสวนกสามารถกระทาไดจนถงผกระทาผด
17
2.EXTERNAL NETWORK (NO TRUST ZONE)
เปนโซนเครอขายภายนอกใดๆ ทอยบนอนเทอรเนตหรออกนยหนงหมายถงโฮสตทไมไดอยในเครอขายภายใน หมายถงโฮสตทไมไดอยในเครอขายภายใน
เปนโฮสตทไมนาไววางใจ หรอเรยกวา untrusted host เนองจากไมสามารถไววางใจในการเชอมตอของโฮสตและควบคมผใชได
18
10
3.DEMILITARIZED ZONE (DMZ)
เปนโซนทไมใชทงโซนของเครอขายภายในและโซนของเครอขายภายนอก แตเปนโซนทอยกลางๆ ของทงสองเครอขาย ภายนอก แตเปนโซนทอยกลางๆ ของทงสองเครอขาย
โซน DMZ เปนโซนทกาหนดไวสาหรบการแกปญหาการแบงแยกโซนของโฮสตทไมชดเจน
โซนแบบ DMZ เปนโซนสาหรบรองรบโฮสตทตองการตดตอสอสารโดยตรงกบทงเครอขายภายในและเครอขายภายนอก
19
ขอสงเกตการจดโซน
เครอขายภายในไมควรม Inbound access โดยตรงจากเครอขายภายนอก ควรหลกเลยงกรณเชนนใหมากทสดเพราะเปนชองทางภายนอก ควรหลกเลยงกรณเชนนใหมากทสดเพราะเปนชองทางเดยวทภยคกคามจากเครอขายภายนอกสามารถเขามายงเครอขายภายในได
โฮสตทตองการตดตอโดยตรงกบโฮสตในเครอขายภายในและในเครอขายภายนอกตองอยใน DMZ โซนเทานน
ทกๆ แพคเกตของ traffic ทผานไฟรวอลล ควรออกแบบให server อยในโซนเดยวกนเพอทาใหลดภาระของไฟรวอลล
20
11
NETWORK ADDRESS TRANSLATION
(NAT)
NAT เปนขนตอนการแปลงหมายเลข private IP ทใชงานอยภายในเครอขายองคกรใหสามารถสอสารใชงานไดดวยหมายเลขไอพทไดเครอขายองคกรใหสามารถสอสารใชงานไดดวยหมายเลขไอพทไดลงทะเบยนไวทใชบนอนเทอรเนต (public IP)
เนองจากหมายเลขไอพทงสองแบบแยกจากกนอยางอสระ ดงนนการทา NAT จงเปนขนตอนทสามารถชวยเปดโอกาสในการเชอมตอเครอขายขององคกรเขาสระบบอนเทอรเนตไดโดยผลกระทบกบแอพพลเคชนทใชงานอยเดมนอยทสด
21
การทางานของ NAT
22
12
STATIC NAT
23
DYNAMIC NAT
24
13
NAPT
การทา NAT ทเพมกระบวนการแปลงหมายเลขพอรตนอกเหนอจากทาการแปลง IP Address แลวจะชวยทาใหเกดประโยชนไดมากกวาทาการแปลง IP Address แลวจะชวยทาใหเกดประโยชนไดมากกวาการทา NAT เพยงอยางเดยว
ดงนนลกษณะของวธการ NAT ทแปลงทงหมายเลขไอพและหมายเลขพอรตจะเรยกวา Network Address Port Translation (NAPT)
25
NAPT
26
14
การกาหนด ACCESS RULES
Access rules หมายถงกฎทไฟรวอลลใชในการพจารณา traffic ทจะผานแนวปองกนของไฟรวอลลไปยงโซนตางๆ และการพจารณณา ผานแนวปองกนของไฟรวอลลไปยงโซนตางๆ และการพจารณณา access rules โดยทวไปจะตองประกอบดวย
Source หมายถงตนทางของการสอสารขอมล ทขอมลกาลงจะผานไฟรวอลลวามตนทางมาจากทใด
Destination หมายถงปลายทางทเปนเปาหมายของการสอสารขอมล
Service หมายถงรปแบบการใหบรการในขณะทกาลงใชงานอย
27
การกาหนด ACCESS RULESAction แสดงถงผลการตดสนใจเมอนาไปเปรยบเทยบกบกฏของไฟรวอลลไดแก
ผลการยอมรบหรออนญาต (accept) เปนผลทอนญาตใหผานไฟรวอลลไปผลการยอมรบหรออนญาต (accept) เปนผลทอนญาตใหผานไฟรวอลลไปยงปลายทางได ผลการปฏเสธหรอไมยอมรบ (reject) เปนผลการปฏเสธไมใหแพคเกตผานไฟรวอลลไปถงปลายทางเปาหมายได พรอมกบการกลบการปฏเสธไปใหตนทางทราบผลการไมอนญาต (drop) เปนผลการปฏเสธแบบเดยวกนกบผลการ reject แตจะไมสงขอมลอะไรใดๆ เพอตอบกลบใหตนทางทราบ
28
แตจะไมสงขอมลอะไรใดๆ เพอตอบกลบใหตนทางทราบTrack หมายถงการเกบบนทกขนตอนการทางานการผานเขาออกของขอมลลงใน logTime หมายถงเวลาทบงบอกเงอนไขใหมผลการกระทาเมอใด ใน access rule จะกาหนดใหเปน “Any” ซงหมายถงมผลตลอดเวลา
15
การกาหนด ACCESS RULES
RuleNumber Source Destination Service Action Track Time
1 Internal Any HTTP, POP, SMTP Accept None Any
2 Internal Any Any Reject None Any
3 A I t l A D N A3 Any Internal Any Drop None Any
29
การพจารณาการกาหนด ACCESS RULESการจดลาดบของ access rules กอนหลง
หลกเลยงการขดแยงกนของ access rules ทมเงอนไขการตรวจสอบขอมล i แพคเกตเหมอนกนแตมการกาหนด action แตกตางกน
หลกเลยงการซาซอนกนของ access rules
กาหนด access rule ใหมจานวนนอยทสด เพอทาใหงายตอการตรวจสอบ
กาหนด access rule โดยปดกนเฉพาะ traffic ทไมตองการและอนญาต traffic อนๆ ใหผาน หรออนญาตเฉพาะ traffic ทตองการ และปฏเสธ traffic
30
อนๆ
กฎพนฐานควรครอบคลมทกเงอนไข เพอใหทกแพคเกตตองถกตรวจสอบ
Access rules ตองปองกนตวไฟรวอลลดวย
สรางเปนกฎพนฐานรวมกนได
16
สถาปตยกรรมไฟรวอลล1.Single Box Architecture
ขอด: สามารถดแลไดงาย
ขอเสย: เกดความเสยงสง หากมการตดตงคาคอนฟกเรชนผดพลาดซงทาใหเกดชองโหวและระบบถกเจาะได
31
1.1 SCREENING ROUTERใชอปกรณเราเตอรมาทาหนาทแบบ Packet filtering
ขอด: ประหยดคาใชจาย
ขอเสย: ไมยดหยนสาหรบการตดตงคาคอนฟกกเรชน
เหมาะสมกบเครอขายทตองการความเรวในการทางานและมการปองกนความปลอดภยในระดบของโฮสต
32
17
1.2 DUAL-HOMED HOSTเปนการนาเครอง Dual-Homed Host (หมายถงคอมพวเตอรทมเครอขายเชอมตออยางนอย 2 เครอขาย) ใหบรการเปนแบบ Proxy ใหกบเครองภายในเครอขาย
ระบบไฟรวอลลนเหมาะกบเครอขายทมการใชงานอนเทอรเนตไมมาก
33
1.3 MULTI-PURPOSED FIREWALL BOX
เปนการรวมอปกรณททาหนาททง Packet filtering และ Proxy รวมไวเปนกลองเดยวกน โดยมขอเสยคอถามขอผดพลาดเกดขนจะทาไวเปนกลองเดยวกน โดยมขอเสยคอถามขอผดพลาดเกดขนจะทาใหเสยหายทงระบบ
34
18
สถาปตยกรรมไฟรวอลล
2.Screened Host Architecture
โ ใ ใ ไฟ วางโฮสตใหทาหนาทใหบรการ proxy เหมอนกบระบบไฟรวอลลแบบ Dual-Homed Host
ตาแหนงการวางโฮสตจะอยภายในเครอขายและจะมอปกรณเราเตอรททาหนาท Packet filtering เพอชวยบงคบใหเครองภายในเครอขายตองตดตอบรการผาน proxy โดยไมยอมใหตดตอใชp yบรการจากภายนอกโดยตรง
กาหนดใหภายนอกเขาถงไดเฉพาะ Bastion host เทานน
35
สถาปตยกรรมไฟรวอลล
2.Screened Host Architecture
36
19
สถาปตยกรรมไฟรวอลล3.Multi Layer Architecture
เปนลกษณะของสถาปตยกรรมแบบหลายชนทเกดขนจากอปกรณไฟรวอลลหลายๆ สวนประกอบกนขนเปนระบบไฟรวอลล
37
ตวอยางการกาหนดคา CONFIGURATION ของไฟรวอลล
Web server ใหบรการผานพอรต 80
ใ ใ Mail server ใหบรการผานพอรต 25 และยอมอนญาตใหม inbound mail และ outbound mail
องคกรกาหนดนโยบายดานการใชงานระบบอนเทอรเนตของผใชงานภายในเครอขายโดยมบรการตางๆ ไดแก HTTP, HTTPs, FTP, Telnet และ SSH,
38
20
SINGLE FIREWALL
39
SINGLE FIREWALL
Rule Number Source IP Destination IP Service Action
1 Any Web server HTTP Accept2 Any Mail server SMTP Accept3 Mail server Any SMTP Accept4 Internal network Any HTTP, HTTPs, FTP, telnet, SSH Accept5 Internal DNS Any DNS Accept
40
6 Any Any Any Drop
21
DUAL FIREWALL
41
DUAL FIREWALL
Rule Number Source IP Destination IP Service Action
1 Any Web server HTTP Accept
Firewall #1
1 Any Web server HTTP Accept2 Any Mail server SMTP Accept3 Mail server Any SMTP Accept4 Internal network Any HTTP, HTTPs, FTP, telnet, SSH Accept5 Internal DNS Any DNS Accept6 Any Any Any Drop
Rule DestinationFirewall #2
Rule Number Source IP Destination
IP Service Action
1 Internal mail server Mail server SMTP Accept2 Internal network Any HTTP, HTTPs, FTP, telnet, SSH Accept3 Internal DNS Any DNS Accept4 Any Any Any Drop
42
22
VIRTUAL PRIVATE NETWORK (VPN)• เครอขายเสมอนสวนบคคลหรอ VPN เปนเทคโนโลยรปแบบหนงของการเชอมตอเครอขายแบบวงกวางหรอ WAN (Wide Area Network) ทนยมนาไปใชในองคกรทมหลายๆ หนวยงานหรอมการกระจายหนวยงานตางๆ ๆ ๆตามภมภาค • การเชอมตอเครอขายสวนบคคล (Private Network) ทมลกษณะคณสมบตการปองกนไมใหบคคลภายนอกใชงานเครอขายภายในได เชอมตอผานเครอขายอนเทอรเนตหรอเครอขายสาธารณะแทนการเชอมตอผานระบบ leased line
43
รปแบบการใชงาน VPN: REMOTE-ACCESS VPN
44
23
รปแบบการใชงาน VPN: SITE-TO-SITE VPN
45
ชนดของ VPN: FIREWALL BASED VPN
46
24
ชนดของ VPN: HARDWARE BASED VPN
47
ชนดของ VPN: SOFTWARE BASED VPN
48
25
TUNNELINGเปนวธการปองกนความลบของขอมลรวไหลเมอทาการเชอมตอระบบเขากบระบบอนเตอรเนต
เทคนควธการของ tunneling จะทาการสรางชองทางพเศษสาหรบการตดตอสอสารขอมลจากจดหนงไปยงอกจดหนงคลายกบการสรางอโมงคใตดนเพอขนสงขอมล
49
เทคนคการสราง TUNNELINGเทคนค Voluntary tunneling
เปนเทคนคการสราง tunneling ทผใชตองทาการตอเชอมกบผให โป ใ บรการ ISP กอนแลวหลงจากนนโปรแกรม VPN ของผใชบรการหรอ
VPN Client จะทาการตอเชอมกบเครอขาย VPN ให
เทคนค Compulsory tunneling
เปนเทคนคทผใหบรการ ISP เปนผดาเนนการและใหผใชเพยงทาการเชอมตอเขา ISP เทานน และเมอกระบวนการการตรวจสอบผใชงานเสรจสน ระบบของ ISP จะทาการเชอมตอเครองของผใชงานเขากบเครอขาย VPN ให โดยการเชอมตอดวยเทคนคแบบน ทางผใหบรการ ISP ตองทาการตดตงอปกรณเสรมทชอวา front-end processor (FEP) หรอ POP Server (Point of Present Server)
50
26
โปรโตคอล PPTP (POINT TO POINT TUNNELING PROTOCOL)
PPTP จะทาการ encapsulate เฟรมขอมลของ PPP ทบรรจ IP datagram ไวภายในกอนการนาสงขอมลผานระบบอนเทอรเนต โดยdatagram ไวภายในกอนการนาสงขอมลผานระบบอนเทอรเนต โดยเฟรม PPP จะถกเขารหสหรอถกบบดวยโปรโตคอล Generic Routing Encapsulation (GRE) กอนการสงขอมลผานชองทางพเศษ
51
โปรโตคอล PPTP (POINT TO POINT TUNNELING PROTOCOL)
ขอดของโปรโตคอล PPTP
มการใชโอเวอรเฮดในการทางานนอย และปรบแตงการใชงานไดงายมการใชโอเวอรเฮดในการทางานนอย และปรบแตงการใชงานไดงาย
ใชงานไดกบหลายๆ ระบบปฏบตการทม VPN Client
ใชงานผานระบบ NAT ไดโดยไมมผลกระทบ
ขอเสยของโปรโตคอล PPTPมความเสยงสงทจะถกดกจบอานแพกเกตในระหวางการทา
52
Authenticationมความปลอดภยตาเนองจากโปรโตคอล PPTP ทา Authentication ระดบผใชเทานน
มปญหาการทางานรวมกนกบระบบไฟรวอลล
27
โปรโตคอล L2TP (LAYER TWO TUNNELING PROTOCOL)
โปรโตคอล L2TP เปนโปรโตคอลทใชทาการ tunneling โดยไดรบการพฒนามาจากโปรโตคอล PPTP และ Layer 2 Forwarding (L2F) การพฒนามาจากโปรโตคอล PPTP และ Layer 2 Forwarding (L2F) Protocol ซงเปนโปรโตคอลทใชสาหรบการสอสารระหวางเราเตอร
โปรโตคอล L2TP เปนเทคโนโลยทถกพฒนาและนาเสนอโดยบรษท Cisco system ทมความสามารถในการ encapsulate เฟรม PPP ผานเครอขายตางๆ เชน IP, X.25, frame relay หรอเครอขาย ATM
53
L2TP/IPSEC
การใช IPSec เพอทาการเขารหส traffic ของ L2TP ดวย IPSec Encapsulating Security Payload (ESP) และทาใหIPSec Encapsulating Security Payload (ESP) และทาใหเปนทรจกในชอใหมวา L2TP/IPSec
54
28
L2TP/IPSECขอดของ L2TP/IPSec
สามารถตรวจสอบ Certificate ของโฮสตทมการทา Authentication ของ L2TP/IPSec ทงในระดบผใชและระดบโฮสต
สามารถปองกน Replay attack จากการดกจบขอมลทกๆ แพกเกต
ขอเสยของ L2TP
การสอสารระหวาง VPN server และ client ตองม Certificate InfrastructureInfrastructure
ไมสามารถใชงานไดกบระบบปฎบตการรนเกาตงแต Windows 98 ลงไปได
ไมสามารถใชงานผาน NAT ได55
การประยกตใชงาน VPN
ความตองการของเครอขายองคกรทตองการทางานผานระบบอนเทอรเนตอนเทอรเนต
ความตองการทา remote administrator ไปยงเครอง server
ตองการใชโปรแกรมแอพพลเคชนทสอสารดวย plain text
ตองการปองกนการดกอานขอมลภายในเครอขายเดยวกน
โป โ
56
ตองการขยายการสอสารของโปรโตคอลอน
29
จบ บทท 4จบ บทท 4