Embed Size (px)
Citation preview
บทท 4ไฟรวอลล
ในบทนเปนการอธบายเกยวกบความหมายของไฟรวอลล ประโยชน และประเภท ขอควรระวงในการใชงาน คณลกษณะของไฟรวอลล ตลอดจนถงสงตาง ๆ ซงเกยวของกบไฟรวอลล ซงเมอเราพดถงความปลอดภยในเครอขาย ไฟรวอลลจะถกกลาวถงเปนอนดบแรก ปจจบนไฟรวอลล กลายเปนเครองมอทจำาเปนและขาดไมได โดยเฉพาะกบเครอขายทมการตอกนเปนอนเทอรเนต ความนาสนใจของชอผนวกกบความคลมเครอของหนาทการทำางานของไฟรวอลล ทำาใหมกเขาใจผดวาเปนเครองมอสำาหรบปราบผบกรกเครอขาย (Hacker) ทมากบอนเทอรเนตไดอยางสนเชงแตความเปนจรงหาเปนเชนนนไม
มผใชหลายทานไดคาดหวงความสามารถของไฟรวอลลมากกวาความเปนจรง เปนเหตใหนำาไฟรวอลลมาใชอยางผดวธ หรอใชงานอยางไมเหมาะสม การบำารงรกษาและการปรบปรงกฎตาง ๆ ของไฟรวอลลถกละเลย ซงไฟรวอลลนนกคออปกรณคอมพวเตอรตวหนงททำางานตามกฎทมนษยกำาหนดขนนนเอง
4.1 ความหมายของไฟรวอลล
ไฟรวอลล (Firewall) คออะไรนน ไดมผนยามความหมายของไฟรวอลลไวหลายทานดงตอไปนคอ
ราชบณฑตยสถาน (2543 , 24) ไดกลาววา ไฟรวอลล คอ ดานกนบกรก
เรองไกร รงสพล (2545, 11) ไดกลาววา ไฟรวอลล คอ เครองมอทใชปองกนเครอขายจากการสอสารทวไปทไมไดรบอนญาต
FAQS (2008) ไดใหนยามไววา ไฟรวอลล คอ ระบบหรอกลมของระบบคอมพวเตอร ซงทำาหนาทบงคบใชนโยบายการควบคมการเขาถงระบบระหวางเครอขาย 2 เครอขายใด ๆ
โดยสรปแลวไฟรวอลลกคอเครองมอหรอระบบหรอกลมของระบบคอมพวเตอรททำาหนาทปองกนเครอขายจากผทไมไดรบอนญาต ไมใหสามารถมาใชหรอมองเหนขอมลหรอเครอขายคอมพวเตอรไดและบงคบใชนโยบายการควบคมการเขาถงเครอขายระหวางสองเครอขายใด ๆ
4.2 ประเภทของไฟรวอลล
ไฟรวอลลแบงออกไดเปนหลายประเภทขนอยกบเกณฑทใชตดสน เชน ตามรปแบบการไหลของขอมลผานไฟรวอลล ตามเลเยอรการทำางานของไฟรวอลล ถาแบงตามรปแบบการไหลของขอมลผานไฟรวอลลจะสามารถแบงไดเปน 2 ประเภท คอ เนตเวรคไฟรวอลล (Network Firewall) และ โฮสตเบสไฟรวอลล (Host based Firewall) เนตเวรคไฟรวอลลยงสามารถแบงยอยลงไปอกเปนซอฟตแวรเบสไฟรวอลล และ ฮารดแวรเบสไฟรวอลล เนตเวรคไฟรวอลล ทำาหนาทปองกนเครอขายภายในจากภยคกคามจากภายนอกโดยการเฝาระวงทราฟกทวงเขาและออกจากเครอขาย สวนโฮสตเบสไฟรวอลลทำาหนาทในการปองกนคอมพวเตอรแตละเครองจากภยคกคามทางเครอขายทเครองนนเชอมตอดวยอย นอกจากนการแบงประเภทของไฟรวอลลยงแบงตามการใชเลเยอรของไฟรวอลลไดเปน
86
4 ประเภท คอ 1. เราเตอร 2. แพคเกทฟลเตอรรง 3.Application Layer Firewall และ4. Stateful Inspection Firewall
4.2.1 เราเตอรรปแบบของไฟรวอลลพนฐานตวแรก ๆ เลยกคอ เราเตอร
(Router) โดยเราเตอรจะทำาหนาทตรวจสอบแอดเดรสปลายทางของแพกเกตขอมลทไดรบมา แลวสงตอไปยงเสนทางของเครอขาย เพอไปสปลายทางทระบไวในสวนหวของแพกเกตแตละตว เราเตอรท ำาไดมากกวาการสงตอแพกเกตธรรมดาเทานน เนองจากเราเตอรสามารถกรองแพกเกตไดดวย โดยเมอมการนำาขอกำาหนดหรอกฎในการกรองแพกเกตมาใช สวนหวของแตละแพกเกตจะถกคดลอกเขามายงหนวยความจำาของเราเตอร ซงตว CPU ของเราเตอรสามารถตรวจสอบไดวาแพกเกตนนตรงตามขอกำาหนดหรอไม เพอตดสนใจวาจะใหผานเครอขายหรอทงไป ถาเราเตอรตดสนใจทงแพกเกตนน กจะสงขอความแบบ ICMP (Internet Control Message Protocal) ไปยงแหลงทสงแพกเกตนนมาเพอยบยง หรอขดขวางมใหสงแพตเกตเขามาอก การใชเราเตอรกรองแพกเกตนนจะกอใหเกดปญหาคอ การทเราเตอรใช CPU ของมนเองในการกรองแพกเกต แทนทจะใชฮารดแวรเฉพาะอน ๆ จงทำาใหประสทธภาพโดยรวมลดลง เพยงแคเราใสขอกำาหนดในการกรองแพกเกตเขาไปในเราเตอรหนงขอเทานน กจะทำาใหประสทธภาพของเราเตอรทออกมาในรนแรก ๆ นนตกลงถง 75 เปอรเซนตของประสทธภาพสงสดเลยทเดยว นอกจากนยงมปญหาอกขอหนง ซงเกดจากการออกแบบเราเตอรเอง เนองจากขอมลการทำางานในเราเตอรสวนมากมกจะเกบอยในรปของเราตงเทเบล (Routing Table) โดยเราตงเทเบลจะทำาหนาทหาเสนทางตดตอระหวางระบบเครอขาย ทำาใหตองคอยตรวจสอบเสน
87
ทางจงทำางานชา เราเตอรถกออกแบบมาใหพจารณาแพกเกตแตละอนทผานเขามาอยางอสระตอกนโดยไมสนใจวาแพกเกตนนอยในชดขอมลทมสวนหวเหมอนกนหรอไม คอมแอดเดรสของตนทางและปลายทางเหมอนกน หรอมแอพพลเคชนโพรโทคอลเหมอนกนเปนตน ดงแสดงในภาพท 4.1 ซงการออกแบบในลกษณะน มปญหาเกยวกบประสทธภาพในการทำางานอยางแนนอนเนองจากเราเตอรตองตดสนใจซำา ๆ ในการกรองแพกเกตทมสวนหวซำากนซำาแลวซำาอกทงทจรง ๆ แลวควรจะพจารณาตดสนใจเพยงครงเดยว แตทเปนเชนนกเนองจากขอมลทบนทกไว (Logging Information) ของเราเตอรมรายละเอยดนอยเกนไป โดยขอมลจะถกบนทกในลกษณะของจำานวนแพกเกตทมการรบสงระหวางตนทางและปลายทาง แทนทจะบนทกขอมลจำาพวกลกษณะของการตดตอกน เชน การใชแอพพลเคชนเทลเนต (Telnet) หรอการโหลดไฟลจากอนเทอรเนตเปนตน ซงการตองพจารณาสวนหวของทกแพกเกตซำา ๆ กนนนตองใชการทำางานของเราเตอรถง 30 เปอรเซนต และยงทำาใหไมเหลอหนวยความจำาสำาหรบบนทกสถานะทผานมา เชน ขอมลบางอยางทสามารถใชในการคาดเดาเหตการณในอนาคตอนใกล หรอขอมลของแพกเกตทมลกษณะคลายกบทเคยผานเขามายงเราเตอร
88
ภาพท 4.1 แสดงลกษณะการทำางานแบบเราตงเทเบล ทมา : Knowledge Systems Institute, 2006, December
4.2.2 แพคเกทฟลเตอรรงแพคเกทฟลเตอรรง (packet Filtering Firewall)
เปนไฟรวอลรทใชหลกการพจารณาแพกเกต เชน TCP , UDP, ICMP เปนตน เพอตรวจสอบวา แพกเกตนนมแอดเดรสทถกตองหรอไม ถกสงมาจากเครอขายภายนอกหรอไม โพรโทคอลหรอเซอรวสนนผานการตรวจสอบแลวหรอไม และออปชนหรอแฟลกทสงมานนถกตองตามขอกำาหนดหรอไม แพกเกตถกสรางมาจากภายในหรอภายนอก และถาแพกเกตถกสงมาจากภายนอกแตมแอดเดรสเปนภายใน กแสดงวาแพกเกตนน ถกสปฟ (Spoof Address) มา และแพกเกตนนตองถกทงไป
89
ในสวนเฮดเดอรของแพกเกต TCP บรรจขอมล 3 สวน ทสำาคญในทรานสปอรตเลเยอรไวคอ Source Port Destination Port และ Flag โดยในสวนของ Flag นน อาจประกอบไปดวย URG (Urgent), ACK (Acknowledgment) , PSH (Push), RST (Reset) , SYN (Synchronize) และ FIN (Finish) และยงมสวนทสทบรรจ Sequence Number ซงผผลตไฟรวอลลบางบรษทนำามาใชพจารณาดวย
ในสวนของเฮดเดอรของ UDP บรรจขอมลเพยงแค Source Port และ Destination Port เทานน ไมมสวนของ Flag และ Sequence Number แตอยางใด เนองจาก UDP เปนโพรโทคอลแบบ Connectionless ในสวนเฮดเดอรของโพรโทคอล ICMP นน ไมไดมขอมลเกยวกบพอรตแตบรรจชนดของ ICMP แทนซงอาจเ ป น “ Echo Request”, “Destination Unreachable” เปนตน
ขนตอนการกรองแพกเกตของไฟรวอลลชนดนจะทำากอนทจะสงผานแพกเกตน แพกเกตจะถกกรองตามรายการควบคมการเขาถง (Access Control List หรอ ACL) แตละรายการของ ACL จะประกอบดวยฟลดของเฮดเดอรของไอพแพกเกตและการอนญาตหรอไมอนญาตใหผาน หากแพกเกตทเขามาไมตรงกบกฎขอใดเลยจะถอวาหามขอมลทใชสำาหรบการพจารณาวาจะใหแพกเกตผานหรอไมนนมาจากขอมลในสวนหวของแพกเกต IP ซงประกอบดวย
4.2.2.1 หมายเลขไอพตนทาง (Source IP Address)4.2.2.2. หมายเลขไอพปลายทาง (Destination IP Address)
90
4.2.2.3. ประเภทของโพรโทคอล เชน TCP, UDP, ICMP เปนตน4.2.2.4. หมายเลขพอรตตนทาง (Source Port)4.2.2.5. หมายเลขพอรตปลายทาง (Destination Port)นโยบายของไฟรวอลลสวนใหญมกจะตรวจสอบความถก
ตองของหมายเลขไอพ ทงหมายเลขไอพตนทาง และหมายเลขไอพปลายทาง ขอมลในสวนของเพยโหลด (pay load) จะบอกวาสวนของเพยโหลดนนบรรจโพรโทคอลชนดใดอย ซงอาจเปน TCP, UDP ,ICMP, IPSEC, ESP, ISAKMP กได กระบวนการในการตรวจสอบรปแบบของเฮดเดอรนนจะอยทเลเยอรชนบนถดไป และขอมลในสวนของออปชนนนจะไมมคาอะไร อาจจะมแฟลก (Flag) ทแสดงถงซอรสเราทตงได ซงซอรสเราทตงใชในกรณทผสงตองการใหผรบ-สงขอมลผานเสนทางทผสงไดกำาหนดไว โดยปกตผบกรกมกจะใชเสนทางนเชนกน ดงนนการกรองแพกเกตสวนใหญจะละทงแพกเกตทถกสงมาพรอมกบแฟลกดงกลาว
หลกการของแพคเกทฟลเตอรรงคอ ตวไฟรวอลลชนดนจะพจารณาแพกเกต TCP เพอตรวจสอบวาแพกเกตนนมแอดเดรสทถกตองหรอไม แพกเกตนนถกสงมาจากเครอขายภายนอกหรอไมโพรโทคอลหรอเซอรวสนนผานการตรวจสอบแลวหรอไม และออปชนหรอแฟลกทสงมานนถกตองตามขอกำาหนดหรอไมซ งเราทเตอรเองกสามารถทำาหนาทตรวจสอบความถกตองของแอดเดรสอยแลวเพราะมนเปนอปกรณทสามารถบอกไดวาแพกเกตถกสรางมาจากภายในหรอภายนอก ซงหากเปนแพกเกตทมาจากภายนอกแตมแอดเดรสเปนภายในกจะแสดงวาแพกเกตถกนำามาใชอยางไมถกตองอาจมโอกาสถก
91
โจรกรรมสง ในบางกรณการสง ACK แพกเกตถกสงมาโดยเจตนาราย เมอเครองปลายทางไดรบ ACK มนมกจะสงสญญาณ RST กลบไป แสดงใหเหนวาเครองปลายทางนนยงเปดอย รวมถงสามารถตรวจสอบพอรตทเปดอยนนไดอกดวย ดงแสดงในภาพท 4.2
ภาพท 4.2 แสดงหลกการของ แพคเกทฟลเตอรรง
4.2.3 แอพพลเคชนเกตเวย (Application Gateway)ผผลตไฟรวอลลบางรายใชวธทตางออกไปในการรกษา
ความปลอดภยของการใชงานในโพรโทคอล TCP/IP เชน ไอบเอม และดจตอลอควปเมนต เปนตวอยางของบรษททออกแบบผลตภณฑทเรยกวา แอพพลเคชนเกตเวย (Application Gateway) ซงใชควบคมการสงรบขอมลเขา หรอออกจากระบบเครอขาย โดยแอพลเคชนเกตเวยแตละตวเรยกวา พรอกซเซรฟเวอร (Proxy Server) ซงทเราเรยกอยางนกเนองจากลกษณะการทำางานของมนทแทรกตวอยตรงกลางระหวางระบบเครอ
92
ขายภายในองคกรและอนเทอรเนตภายนอกองคกร ไมวาคำารองขอ (Request) จะมาจากภายนอก หรอจากภายในองคกรกตาม แอพพลเคชนเกตเวยกจะรนโปรแกรมพรอกซเซรฟเวอรขนมาเพอตอบสนองคำารองขอตาง ๆ แทนทจะใหเครองจากภายนอกมาตดตอกบภายในโดยตรง จากลกษณะดงกลาว ดเหมอนวา แอพลเคชนเกตเวยจะทำาตวเหมอนเปนเซรฟเวอรทตอบสนองตอคำารองขอของไคลเอนต และ ทำาตวเปนไคลเอนตสงคำารองขอไปยงเซรฟเวอรทอยหางออกไปภายนอกอกตอหนง ซงทำาใหไคลเอนตทสงคำารองขอไมไดตดตอกบเซรฟเวอรภายนอกโดยตรง แตการทจะทำาเชนนได แอพพลเคชนเกตเวยจะตองมความเขาใจการทำางาน และมสวนการตอบสนองตอคำารองขอและการตอบสนองในแอพพลเคชนโพรโทคอลทมนรองรบอยดวย เชนการใชโพรโทคอล FTP ตวไคลเอนตจะตดตอกบเซรฟเวอรโดยใชคำาสงงาย ๆ ไมซบซอนเปนภาษาองกฤษ เชน USER หรอ PASS แลวเซรฟเวอรจะตอบสนองตอคำาสงเหลานดวยการสงตวเลข 3 หลก คอ 200 เพอบอกวาการทำางานเรยบรอย โปรแกรมเมอรของแอพพลเคชนเกตเวย ตองเขยนโปรแกรมเพอใหแอพพลเคชนเกตเวยเขาใจความหมายของคำาสงจากไคลเอนต และการตอบสนองจากเซรฟเวอรทจะทำาใหแอพพลเคชนเกตเวยทำาหนาทไดถกตองเหมาะสม และแนนอน แตวธนกมทงจดเดนและดอย
4.2.3.1 จดเดนของแอพพลเคชนเกตเวยสามารถควบคมการใชงานไดอยางละเอยดโดยกำาหนด
ไดเลยวา อนญาตใหยสเซอรทำาสงไหนไดบาง และสงไหนไมอนญาตเชนตวอยางการใชไฟรวอลลภายในองคกรของดจตอลอควบเมนตนนในระยะเร มแรกจะอนญาตใหดงไฟลขอมลจากภายนอกอยางอสระ แตการสง
93
ขอมลนน จะถกกำาหนดใหทำาไดทความเรว 9,600 บตตอวนาท ซงเปนความเรวระดบเดยวกบการสงขอมลผานโมเดม นอกจากนเรายงสามารถก ำาหนดสทธ ลง ไป ได เลยว าย ส เซอรคนใดสามารถใช แอพพลเคชนใดไดและควรจะใชเมอไร เนองจากไฟลทเกบคาตาง ๆ (Configuration File) นนถกออกแบบมาใหควบคมการใชงานและกำาหนดสทธไดอยางละเอยด ประโยชนของแอพพลเคชนเกตเวยอกขอห น ง ก ค อ มการบนทกขอมลการตดตอ (Logging Information) ทยอดเยยมม า ก ซ ง เ ป น ผ ล จ า ก ก า ร ท ม น เ ข า ใ จการใชงานถงระดบแอพพลเคชนโพรโทคอลนนเอง จงสามารถบนทกไดละเอยดกระทงใชคำาสงอะไรหรอขนาดไฟลเปนเทาไร ไมเหมอนกบการใชเราเตอร ซงจะเขาใจเพยงสวนหวของแพกเกตเทานน และเนองจากแอพลเคชนเกตเวยนนทำางานอยภายนอกระบบปฏบตการ (Operating System) โดยระบบปฏบตการจะเปนสวนทจดการเกยวกบระบบรกษาความปลอดภย และทสำาคญกคอปองกนการรบกวนจากโปรแกรมอน ๆ ททำางานอยดวย จดเดนอกขอกคอจะไมสามารถเหนแอดเดรสภายในได เนองจากแอพลเคชนเกตเวยเปนผสงแพกเกตหรอคำารองขอไปยงภายนอกไมใชเครองภายใน
4.2.3.2 ขอดอยของแอพพลเคชนเกตเวยแอพพลเคชนเกตเวยมขอดอยคอ แอพพลเคชน
เกตเวยเปนโปรแกรมจงจำาเปนตองมการใชทรพยากรบางอยางในการรน และขอดอยอกประการหนงกคอ ขณะทแอพพลเคชนเกตเวยทำางานอย จำาเปนตองมการคดลอกขอมลทตองสงผานระบบเครอขายจากหนวยความจำาของระบบปฏบตการ (Operating System) เขามายงหนวยความจำาของโปรแกรม และเมอทำางานเสรจแลวกตองคดลอกกลบ ซงตองเสยเวลาพอสมควร สวนขอดอยขอสดทายทจะพดถงกคอใน
94
ปจจบน แอพพลเคชนเกตเวยสามารถรองรบแอพพลเคชนโพรโทคอลไดเพยงบางตวเทานน การตอแอพพลเคชนไฟรวอลลแสดงดงภาพท 4.3
ภาพท 4.3 แสดงการเชอมตอแอพพลเคชนเกตเวยไฟรวอลล 4.2.3 สเตทฟลอนสเปคชน สเตทฟลอนสเปคชน (Stateful Inspection)
พฒนาขนโดยบรษท Checkpoint Software Technologies ซง ไฟรวอลลตวนพฒนาโดยโปรแกรมเมอรชาวอสราเอล 2 คน ดวยวธการทเรยกวา Stateful Inspection ซงมเทคนคพนฐานคอ การกรองแพกเกต โดยกำาจดขอเสยทมเมอใชกบเราเตอรซงหลกการทำางานของมนนนกคอ สวนของโปรแกรม Stateful Inspection จะถกโหลดไปยงระบบปฏบตการในสวน IP Stack เพอทจะสามารถพจารณาแพกเกตกอนทแพกเกตจะถกสงไปถงชน IP ซงในสวนนนมนจะทำางานคลาย ๆ กบการกรองแพกเกตดงไดกลาวมาแลวขางตน ดงภาพ 4.4
95
Packet filter with enhanced features Historical
connection data (dynamic state tables)
Examines packets up to the application layer (vendor dependent)
Application
Presentation
Session
Transport
Network
Data Link
Physical
Application
Presentation
Session
Transport
Network
Data Link
Physical
INSPECTIONENGINE
Application
Presentation
Session
Transport
Network
Data Link
Physical
Dynamicstate tables
ภาพท 4.4 แสดงหลกการทำางานของไฟรวอลลแบบ Stateful inspectionทมา : Jupitermedia Corporation, 2007, April
แทนทจะพจารณาแพกเกตแตละตวอยางเปนอสระตอกน คอไมสนใจขอมลของแพกเกตทสงมากอนหนาแต Stateful Inspection จะเกบขอมลของแพกเกตในอดตในชวยพจารณาดวย สมมตวาเครอง A ตองการตดตอกบเครอง B เครอง A จะสงแพกเกตมายงเครอง B เมอแพกเกตแรกจาก A มาถงไฟรวอลลแบบ Stateful Inspection ไฟรวอลลจะพจารณาดจากคาทตงไววา จะอนญาตใหผานหรอไม แลวเกบผลการพจารณาไว เมอแพกเกตจากเครอง A แพกเกตตอไปมาถงไฟรวอลลจะไปดคาสถานะทมนบนทกไวชวยในการตดสนใจแทนทจะตดสนใจซำาอก ทำาใหทำางานรวดเรวและมประสทธภาพมากขน ผผลตอปกรณดงกลาวไดเพมสวนของโปรแกรมทพจารณาขอมลภายในแพกเกตอกดวย ซงเปนการมองระดบแอพพลเคชนโพรโทคอลลกษณะคลาย ๆ กบ
96
Stateful Inspection
แอพพลเคชนเกตเวยตวอยางทดของการทำางานในสวนนกคอ การใชงานแอพพลเคชนโพรโทคอล FTP ในโหมดทตองมการตดตอระหวางไคลเอนต และเซรฟเวอรโดยการใชคำาสง PORT FTP ไคลเอนตจะบอกกบเซรฟเวอรวา มนกำาลงรอการเชอมตอขอมลทางพอรตแอดเดรสเทาไร ไฟรวอลลแบบ Stateful Inspection สามารถมองเหนการควบคมผานคำาสงพอรตได แลวมนจะตงคาสถานะเปนอนญาตใหมการเชอมตอระหวางเซรฟเวอรมายงไคลเอนตตามพอรตทไดกำาหนดไว ซงเปนการกรองแพกเกตในระดบทไมสามารถทำาโดยเราเตอรไดโดยภาพรวมแลวไฟรวอลลแบบ Stateful Inspection ไดเพมสวนของโปรแกรมในการทำา Stateful Inspection เพอเพมประสทธภาพในการทำางานใหสงขน มการรกษาความปลอดภยและมความยดหยนในการกรองแพกเกตมากขน นอกจากนนไฟรวอลลแบบนยงรองรบการใชงานแอพพลเคชนไดมากกวาแอพพลเคชนเกตเวยอกดวย
4.2.4 ไฮบรดเทคโนโลยไฮบรดเทคโนโลย(Hybrid Technology) เปน
ไฟรวอลลทรวมเอาความสามารถทดทสดของ ไฟรวอลล Technology ทงสามยครวมกน หลกการทำางานดงแสดงในภาพท 4.5
97
ภาพท 4.5 แสดง Fire wall แบบ Hybrid Technologyทมา : Cisco Systems , 2007, April จากภาพท 4.5 แสดงขอดของไฟรวอลลชนด Hybrid โดยสามารถเลอกทำางานเปน Packet filtering, Application proxy หรอ Stateful inspection กได แมวาจะมความสามารถในการตรวจสอบ packet จนถง OSI layer 7 กตาม แตในปจจบนรปแบบการโจมตทางระบบเครอขายไดพฒนาไปอยางมาก มการซอน Malicious code มาพรอมกบ packet ซงเมอขอมลถกเปดดวย Application เชน Internet explorer กจะทำาให malicious code ทำางานขนมา ดงนนไฟรวอลลชนดนจงมการพฒนา Protocol Agent ชวยในการตรวจสอบสงซอนเรนทซอนมากบขอมลดวย ซงจะทำาใหระบบมความปลอดภยมากขน นอกจากการพจารณาเลอกไฟรวอลลดวย ไฟรวอลลTechnology ดงทกลาวมาแลวนน ยงมความสามารถอน ๆ อกทไฟรวอลลควรมเพอประโยชนในการใชงานอยางสงสด คอ
4.2.4.1 Sub-rules basedโดยทวไปแลวการออกแบบกฎการใชงาน (Rules
based) ไฟรวอลล โดยทวไปจะใชหลกการ Top-down design โดยอาจจะใชหลกการ Open to close (เปดบรการทกชนดกอน แลวดวาบรการใดไมใชงานกคอย ๆ ปด) หรอ Close to open (ปดบรการทกชนดกอน แลวดวาบรการใดมผใชตองการใชงานกคอยเปดบรการ) แตยงไงเสยกยงคงใชหลกการ Top-down design ซงจะพบปญหาวาหากกฎมจำานวนมากแพกเกตจะตองถกตรวจสอบกบกฎจำานวนมากเชนกน อาจจะทำาใหการทำางานชาลงหรอการสงผานแพกเกตทำาไดชาลง ดงแสดงในภาพท 4.6 ซงผเขยนไดนำามาจากเครองทใชจรง
98
ภาพท 4.6 แสดงตวอยางการใช Rules Based บนไฟรวอลล
ดงนน ไฟรวอลลแบบ Hybrid จงไดออกแบบกฎ ใหทำางานแบบ sub-rules based ซงคลายกบการเขยนโปรแกรมแบบ procedure ซงจะทำาใหการทำางานเรวขน ดงภาพท 4.7 ผเขยนแสดงการใชงาน sub-rules based จากเคร องทใชงานจรง ในบรรทดหมายเลข 132 หากมการใชงาน service http (World Wide Web HTTP) ใหทำาการขามไปทำางาน sub-rules based ในตารางยอยของ HTTP rules
99
ภาพท 4.7 แสดงการใชงาน sub-rules ใน ไฟรวอลลทมา : Cisco Systems, 2007, April
4.2.4.2 จยไอแมนเนจเมนทเน องจากไฟรวอลลบางชนดยงคงใชการบรหาร
จดการผาน CLI (Command Line Interface) หรอ Telnet ซงจะทำาใหผดแลระบบตองจดจำาคำาสงจำานวนมาก และในการกรอกคำาสงดวยการพมพนน อาจจะทำาใหเกดขอผดพลาดได ดงนนไฟรวอลลท สามารถบรหารจดการดวยการใชกราฟกหรอเรยกวา จยไอแมนเนจเมนท (GUI management) จงเปนสงทจะชวยอำานวยความสะดวกในการบรหารจดการไดอยางรวดเรว ดงแสดงในภาพท 4.8 ซงผเขยนไดน ำา ม า จ า ก เ ค ร อ ง ท ใ ช ง า น จ ร งณ ปจจบน
100
ภาพท 4.8 แสดงการบรหารจดการดวยการใชกราฟกทมา : Cisco Systems, 2007, April
4.2.4.3 คลสเตอรงและโหลดบาลานซไอเอสพไฟรวอลลโดยทวไปบางชนดทไดรบการออกแบบมา
สำาหรบ Small-medium network มกจะมความสามารถในการทำา Redundant คอการมไฟรวอลล จำานวน 2 ชด แตจะมเพยง 1 ชดเทานนทท ำางานอกตวหนงจะท ำาหนาท Stand by และทำางานเมอไ ฟ ร ว อ ล ล ช ด แ ร ก เ ก ด ป ญ ห า แ ต ไฟรวอลลประเภทนกแกไขปญหาดงกลาวและทำาใหทำางานแบบ load balance ไดเชนกน คอการตดตง 3rd party hardware รวมดวยซงมราคาสง สวนใหญกมกจะจดซอเพยงชดเดยวกทำาใหเกด single point of failure ท 3rd party hardware แทน
ไฟรวอลลทไดรบการออกแบบมาสำาหรบระบบเครอขายขนาดใหญ (large and enterprise network) สวนใหญจะคำานงถงเสถยรภาพการทำางานของระบบโดยรวมดวยจงไดรบการออกแบบมาใหสามารถทำางานแบบ Active/Active Clustering ไดซงการทำา Clustering สวนใหญจะอาศยการกระจายภาระงานทงแบบ Uni-cast, Multi-cast และ Dispatcher ซงกขนอยกบผใชงานจะเลอกใช ดงภาพท 4.9 ซงผเขยนไดแสดงหลกการของการทำา clustering ไวดงน
101
ภาพท 4.9 ตวอยางการใชหลาย node ตอ 1 Cluster
โดยสามารถรองรบการเพมจ ำานวน Node ตอ 1 Cluster ไ ด ม า ก ถ ง 16 nodes แ ล ะ ไ ม ข น อ ย ก บ Hardware specification ซงจะเปนประโยชนในการเพมขยายขดความสามารถของ ไฟรวอลลในภายหลง และนอกจากนยงมไฟรวอลลบางตวสามารถทำา Load Balance ไดดวยดงภาพท 4.10 แสดงหลกการทำางานของไฟรวอลลทม Load Balance
102
Localnetwork
Internet
NetLink 1
NetLink 3
NetLink 2Firewallcluste
r
Source host
Destinationhost
Step 2:
FW sends SYNpackets through all
availableISP and measures RTT
Step 3:
FW selects fastestroute and
connection isopened between hosts
Step 1:
Connecti
onrequest to
destination hoston the Internet
ภาพท 4.10 แสดงไฟรวอลลทสามารถทำา Load Balance ไดทมา : Netdigix Systems, 2006, May
4.2.4.4 การรายงานและบอกสถานภาพเครอขายไฟรวอลลโดยทวไปจะมการทำารายงานในลกษณะของ
log browser เ ป นสวนใหญ ซงจะเปนลกษณะของการแสดงรายละเอยดทบนทกอยใน log file ยงไมใชขอมลเชงวเคราะห ดงภาพท 4.11 ซงผเขยนไดนำาตวอยางมาจากเครองไฟรวอลลทใชงานในปจจบน
103
ภาพท 4.11 แสดงขอมล log file ในตวไฟรวอลล
แตเพ อประโยชนในการน ำาขอมลการใชงานไปใช ประโยชนในการวเคราะห (Analyze) หรอคาดการณ (predict) เพอการปรบปรงกฎ ปรบปรงนโยบายการใหบรการหรอแมกระทงการปรบปรงอปกรณเอง ไฟรวอลลควรจะสามารถทำารายงานในลกษณะของกราฟเพอการทำาความเขาใจกบขอมลไดงาย ดงแสดงในภาพท 4.12 ผเขยนไดนำาภาพกราฟทไดจากเครองไฟรวอลลเครองหนง
104
ภาพท 4.12 แสดงการรายงานผลของไฟรวอลลเปนกราฟ เพอใหสามารถวเคราะหไดงายขน
ในการเฝาดการทำางาน (Monitor) ของระบบแบบประจำาวน โดยมากแลวผดแลระบบจะตองอาศยการ Monitor จาก log browser เป นสวนใหญ ซ งมรายการขอมลจ ำานวนมาก และเป นการเฝาด การทำางานของ packet ทวงผานไฟรวอลลชดทกำาลงเฝาดเทานน ไมสามารถมองภาพรวมของระบบได ดงนน ไฟรวอลลทดควรจะมเครองมอชวยในการเฝาดแลระบบทงระบบจากจดเดยว ดงภาพท 4.13
105
ภาพท 4.13 แสดงไฟรวอลลทมการตรวจดการแพรกระจายของไวรสทงระบบโดยแสดงเปนกราฟ
4.3 ประโยชนของไฟรวอลล
ไฟรวอลลเปนอปกรณรกษาความปลอดภยซงทำาหนาทปองกนรวมถงควบคมการเขาถงเครอขายโดยอาศยกฎเปนพนฐานสำาหรบประโยชนของไฟรวอลลมดงตอไปน
4.3.1 ปองกน ไฟรวอลลจะปองกนโดยแพคเกต ทสามารถผานเขา –
ออกเครอขายไดนน จะตองเปนแพคเกตทไฟรวอลลตรวจสอบแลววามความปลอดภย หากแพคเกตใดไมปลอดภยไฟรวอลลจะทงแพคเกตนนไปโดยไมสงตอ การตดสนใจวาแพคเกตใดปลอดภยหรอไมจะพจารณา
106
จากกฎทผดแลไฟรวอลลเปนผกำาหนด ซงไฟรวอลลสามารถปองกนสงตาง ๆ ไดดงน
4.3.1.1 เนตเวรกสแกนนง เนตเวรกสแกนนง (Network Scanning) เปนการ
สอใหเหนถงความไมปลอดภย เนองจากการกระทำาดงกลาวเปรยบเสมอนเปนการตรวจสอบทกมมของบานจากผทไมไดรบเชญหรอผทไมรจก แตดวยความสามารถของไฟรวอลลในการควบคมการเขาออกของแพคเกตได ทำาใหผใชมโอกาสทจะจำากดปลายทางของแพคเกตทจะผานเขามาเฉพาะโฮสตทอนญาตใหเขามาตดตอภายในไดเทานน สวนแพคเกตทสงเขามาเพอสำารวจเครอขายโดยการสงไปยงโฮสตอน ๆ ในเครอขายจะไมสามารถเลดลอดไปถงเปาหมายและนำาขอมลออกไปได
4.3.1.2 โฮสตสแกนนงโฮสตสแกนนง (Host Scanning) เปนองค
ประกอบเรมตนทสำาคญของการเจาะระบบ ถงแมจะมไฟรวอลลตดตงอยแตจะตองมโฮสตอยางนอยหนงตวทตดตอกบโลกภายนอกได การทผบกรกระบบสามารถสแกนโฮสตนนจะทำาใหมโอกาสคนหาขอบกพรองตาง ๆ ของโฮสตและนำาไปเปนขอมลเพอการเจาะเขาไปยงโฮสตในภายหลงได
4.3.1.3 Inbound AccessInbound Access คอ การรบขอมลเขามาทโฮสต
ของตนเองทง ๆ ทไมอยากรบ เนองจากกลไกของโพรโทคอล TCP/IP ทำาใหไมสามารถปองกนโฮสตตนเองจากขอมลทเขามาได ปกตแลวโพรโทคอล TCP/IP นสามารถปฏเสธขอมลทโฮสตไมตองการได แตขอมลกยงตองสงมาทโฮสตกอน จงจะสามารถตรวจสอบขอมลเหลานนได ไฟรวอลลจะทำาหนาทจ ำากดเสนทางการเขาถงโฮสตภายในได โดย
107
สามารถกนโฮสตภายในองคกรจากโฮสตตวทเสยงทมการตดตอกบภายนอกองคกรได ทำาใหผบกรกมชองทางทจะเขาถงโฮสตภายในนอยลง ทำาใหผดแลระบบสามารถตรวจตราทางเขา-ออกไดงายขน
4.3.2 การเขาถงขอมล การเขาถงขอมล (Access Control) คอการทโฮสตใด
โฮสตหนงสามารถสอสารขอมลทตองการไปยงโฮสตปลายทางไดสำาเรจ การเขาถงในแตละระดบจะมวธการแตกตางกน การควบคมจงแตกตางกนออกไปดวย
4.3.3 การใชกฎในการควบคมการเขาถงขอมลการใชกฎในการควบคมการเขาถงขอมล (Rule Base) คอ
การอาศยกฎในการเปรยบเทยบเพอควบคมใหผานหรอไมใหผานเขาออก โดยจะเปรยบเทยบคณสมบตของแพคเกตทจะผานไฟรวอลลกบกฎของการเขาถง (Access) ทกำาหนดไวดงนนการทแพคเกตใด ๆ สามารถผานเขาออกไฟรวอลลไดหรอไมจงอยกบกฎเปนสำาคญ สำาหรบไฟรวอลลโดยตวเองแลว จะไมมทางทราบไดวาแพคเกตใดเปนแพคเกตทปลอดภยหรอแพคเกตใดเปนแพคเกตทไมปลอดภย
4.4 ขดจำากดของไฟรวอลล
ถงแมวาไฟรวอลลจะเปนเครองมอปองกนรกษาความปลอดภยทางเครอขายทสำาคญแตความสามารถกมขดจำากดเชนกนไมมสงใดทดทสดในการแกปญหาเกยวกบความปลอดภยบนคอมพวเตอรและเครอขาย ทกอยางยอมมทงจดแขงและจดออนคกน ผใชงานระบบมกจะเขาใจวา ไฟรวอลลเปนคำาตอบทดทสดเพยงคำาตอบเดยวทชวยแกปญหาความปลอดภยบนระบบคอมพวเตอรและเครอขายไดแทจรงแลวภยตาง ๆ
108
บนระบบเครอขายมอยมากมายหลายชนดและสงผลกระทบตอผใชแตกตางกนออกไป ยงใชงานคอมพวเตอรมากขนเทาไร ความหลากหลายของความไมปลอดภยกมากขนเทานน เชน หากใชเพยงเพอสงจดหมายอเลกทรอนกส (E-mail) เพยงอยางเดยว ความเสยงกกระทบเพยงการถกแอบอานจดหมายหรอแอบอางชอตนในการสงจดหมายใหผอนเทานน หรอหากใชงานเพยงเพอเปนพรนทเซฟเวอร (Print Server) ความเสยงกจะมเพยงโดนไวรสสงพมพงานขยะ เปนตน ซงตอไปนคอสงทเปนอนตรายกบระบบซงไฟรวอลลยงไมสามารถปองกนได 100 เปอรเซนต
4.4.1 ภยจากผบกรกเครอขายแฮคเกอร (Hacker) หมายถงคนหรอกลมคนทพยายาม
เจาะเขาไปยงระบบคอมพวเตอรตาง ๆ โดยอาศยทกษะทางคอมพวเตอรและขอบกพรองของระบบทเปาหมายทำางานอย โดยทวตถประสงคหลกของแฮคเกอรกคอผานระบบรกษาความปลอดภยเขาไปใหไดไมวาดวยวธใด ๆ (เรองไกร รงสพล, 2545, หนา 23) จากนยามขางตนแสดงใหเหนถงความสามารถในดานการเจาะระบบรกษาความปลอดภยของผบกรกเครอขาย ซงผเขยนจะใชคำาวา แฮคเกอร“ (Hacker)” ซงแฮคเกอรดงกลาวจะไมมวธการแนนอนในการเจาะระบบ อาจใชวธการแบบฮารดแวรโดยขโมยขอมลจากเครอขายเชนดกขอมลจากสายสญญาณ หรอซอฟแวรโดยใชโปรแกรมซงสามารถดาวนโหลดไดทวไปตามเวบไซดตาง ๆ หรอแมแตระดบพเพลแวรหรอคนททำางานเกยวกบคอมพวเตอรซงอาจทำาความลบในการเขาใชงานระบบรวไหลโดยไมเจตนา กได
4.4.2 การบรการทไดรบอนญาต
109
ไฟรวอลลจะควบคมการสอสารขอมลโดยใชกฎเปนสำาคญ ไมมกฎทผดและถกตองรอยเปอรเซนต ปจจยทส ำาคญในการกำาหนดกฎคอนโยบายความปลอดภยและลกษณะการบรการทมอยภายในเครอขายนน การพจารณากฎทมอยบนไฟรวอลลจงมเพยงความเหมาะสมของกฎเทานนวาสอดคลองกบนโยบายหรอไม การบรการทไดรบอ น ญ า ต จ า ก ไ ฟ ร ว อ ล ล จ ะ ท ำา ต ว เ ส ม อ น ว า ไ ม ม การปองกน เชน หากอนญาตใหใชบรการของเวบเซรฟเวอรทอยภายในเนตเวรกได การสอสารขอมลใด ๆทกระทำาอยภายใตบรการของเวบเซรฟเวอรกจะไดรบอนญาตอยางทวถง
4.4.3 Application VulnerabilityApplication Vulnerability ค อ ข อ บ ก พ ร อ ง ท
เปรยบเหมอนชองโหวของระบบ ขอบกพรองทมอยภายในแอพพลเคชนนน เปนชองทางใหแฮคเกอรสามารถผานเขามาไดโดยงาย เชนการตงเวบเซรฟเวอรเพอใหหนวยงานตาง ๆ มาดทเวบไซต ซ งเวบเซรฟเวอรอยหลงไฟรวอลลและอยในโซนทปลอดภย โดยทราฟฟกหรอการสอสารขอมลจากภายนอกทจะเขาถงเซรฟเวอรนนใหบรการเพยงพอรต 80 เทานน เมอแอพพลเคชนทใหบรการอยบนพอรตดงกลาวมปญหาไฟรวอลลจะไมสามารถปองกนขอบกพรองทมอยบนแอพพลเคชนแตละตวได
4.4.4 OS Vulnerabilitiesระบบปฏบตการเปนซอฟตแวรชนดหนง มหนาทควบคม
ระบบคอมพวเตอรใหทำางานอยางมประสทธภาพ แตกสามารถมจดโหวเกดขนไดเชนกน เชน Windows NT หรอ 2000 ไดเปดพอรตหมายเลข 135 และ 136 ทำาใหเกดปญหาเรองความไมปลอดภยตามมาเนองจากพอรตหมายเลขดงกลาวมปญหาเรองความไมปลอดภยซงเปนชองทางใหโปรแกรมหรอผทตองการบกรกเครอขายใช
110
เปนชองทางเขาสระบบคอมพวเตอรได ถงแมวาวธการแกไขทำาไดโดยการวางเซรฟเวอรไวหลงไฟรวอลล ผใชจากภายนอกจะไมสามารถเขาถงพอรต 135 และ 136 ได เนองจากไฟรวอลลจะเปนอปกรณทมหนาทปองกนไมใหผใชจากภายนอกเขาสคอมพวเตอรทพอรตอน ๆ ไดยกเวนพอรตทไฟรวอลลยนยอมใหใชซงถอวาเปนพอรตปลอดภยเทานน เชน พอรต 80 เปนตน แลวกตาม
บางกรณทการทำางานนนมสวนคาบเกยวกนระหวางระบบปฏบตการและแอพพลเคชน ไฟรวอลลจะไมสามารถปองกนไดเนองจากเปนไปตามกฎทไฟรวอลลตงไว ไมไดผดกฎทตงใหกบไฟรวอลลแตอยางใดดงตวอยางเชนทกลาวมาเบองตน ถงแมวาไฟรวอลลจะปดไมใหแฮคเกอรสามารถตดตอผานไฟรวอลลได โดยเปดเฉพาะพอรต 80 ของเวบเซรฟเวอร แตการทเวบเซรฟเวอรจะสามารถสอสารกบผใชไดนน ระบบปฏบตการจะตองรบแพคเกตมากอนแลวทำาการจดรปแบบของขอมลแลวจงสงไปใหแอพพลเคชนจดการตอ ดงนนระบบปฏบตการจงมสวนเกยวของกบการใหบรการของเวบเซรฟเวอรโดยทางออม ขอบกพรองบางประเภทจะสงผลกระทบโดยตรงกบวธจดการสอสารขอมลของระบบปฏบตการ ซงสวนใหญจะเปนความเปราะบางตอการถกโจมตแบบ Denial of Services (DOS) ซงระบบปฏบตการแตละคายจะมความสามารถในการจดการกบแพคเกตและขอบกพรองทเกดจากแพคเกตตาง ๆ กน ดงนนแฮกเกอรจงสามารถสงแพคเกตทไมมกำาหนดอยในโพรโทคอลแลวทำาใหกระบวนการสอสารของขอมลของระบบปฏบตการทำางานผดปกตและหยดทำางานไปในทสด การ DOS ในลกษณะนทพบไดทวไป เชน Teardrop, UDP Bomb, Winnuke, Jolt เปนตน ดงนนไมวาแพคเกตจะสามารถเขาถงระบบปฏบตการดวยพอรตใดกตามกมสทธทจะทำาใหระบบปฏบตการ
111
หยดทำางานไดทงสน ซงถงแมวาไฟรวอลลจะปองกนไวอยางสดความสามารถแลวกตาม หากมพอรตใดทเปดอนญาตใหแพคเกตเขามาไดกยอมมความเสยงเกดขนแนนอน ถงแมวาจะตดตงไฟรวอลลแลวกตาม
4.4.5 ไวรสไวรส (Virus) เปนโปรแกรมทสรางความเสยหายแกระบบ
คอมพวเตอรมานานรวมถงสรางความเสยหายกบการใชงานระบบเครอขายและอนเทอรเนตดวยในระยะหลงไวรสเร มกอกวนและสรางความเสยหายใหกบระบบเครอขายและอนเทอรเนตมากขน ไฟรวอลลเปนอปกรณทไมสามารถปองกนไวรสไดเนองจากทำางานในคนละสวนถงแมวาไวรสจะมการเดนทางผานไฟรวอลลทงนเนองจากไฟรวอลลเปนเครองมอการปองกนในระดบเนตเวรกเลเยอร (Network Layer) ทควบคมทราฟฟคเปนหลก ซงอยในเลเยอรทตำากวาการทำางานของไวรส รายละเอยดของโอเอสไอ (OSI) โมเดล 7 ชน (Layer) สามารถดไดจากบทท 1 ซงไฟรวอลลจะไมรจกวาอะไรคอไวรส อะไรคอจดหมายทใชงานจรง อะไรคอรปภาพ แตไฟรวอลลจะรจกเฉพาะ TCP, UDP, ICMP พอรตเทานน การทำางานของไวรสจะอยในระดบแอพพลเคชน (Application Layer) อาศยการสงงาน (Execute) ของผใช และระบบปฏบตการเปนหลก ไวรสจะอาศยอนเทอรเนตและไฟรวอลลเพอเปนทางผาน ซงไฟรวอลลจะไมสามารถจบไดเลยวาอะไรเปนแพคเกตของไวรสหรอเปนแพคเกตใชงานปกต เนองจากไวรสจะฝงตวตดกบเนอความในจดหมายอเลกทรอนคสซงในปจจบนไวรสสวนใหญจะใชวธนในการเขามาทำาลายระบบ การทมเมลเซรฟเวอรและกำาหนดใหไฟรวอลลซงอยกอนเมลเซรฟเวอรดงกลาว อนญาตใหสงผานแพคเกตเพอการรบสงจดหมายอเลกทรอนคสไดแลว ไวรสกอาศยเสนทางดงกลาวปะปนมากบอเมลดงกลาวได
112
4.4.6 การดกอานขอมลโดยสนฟเฟอร สนฟเฟอร (Sniffer) เปนเครองมอชนดหนงทเมอนำาไป
ตอในเนตเวรกรวมกบ โฮสตอน แลว ทำาใหสามารถดกอานขอมลของโฮสตอน ๆ ทใชงานอยบนสวตซหรอฮบเดยวกนได ซงไฟรวอลลจะไมสามารถปองกนการกระทำาดงกลาวได
4.4.7 สแปมเมลสแปมเมล (Spammed Mail) คออเมล ขยะท ผ ใช ไม
ตองการ เชน โฆษณาชวนเชอ จดหมายลกโซตาง ๆ อนตรายของอเมลขยะคอสรางความร ำาคาญ ทำาใหเคร องเซรฟเวอรท บรการอเมลม ประสทธภาพลดลงหากมการโหลดเมลเหลานพรอมกนหลายผใชงาน นอกจากนยงเปนการสนเปลองทรพยากรของระบบ
4.4.8 Administration Mistake Administration Mistake คอความหละหลวมท
เกดจากผบรหารระบบ (System Administrator) ไดปฏบตงานผดพลาดเองและเปนชองทางทกอใหเกดความไมปลอดภยขนในระบบได เชน กำาหนดสทธในการใชงานผดพลาด โดยอพโหลดไฟลขนไปยงเซรฟเวอรไดโดยไมตองทำาการลอกอน การไมมการปองกนไฟลทมความสำาคญใหด เปดโอกาสใหผใชสามารถนำาไฟล password มาทำาการแครค (Crack) เพอเชครหสผานได เปนตน
4.5 สถาปตยกรรมของไฟรวอลล
ลกษณะของไฟรวอลลทใชกนในปจจบนแบงไดเปนไฟรวอลลทใหดาวนโหลดฟรบนอนเทอรเนตซงประกอบดวยหลาย
113
ผลตภณฑและไฟรวอลลทจำาหนายในเชงพาณชย ตวอยางของผลตภณฑไฟรวอลลทสามารถใชไดฟรคอ iptables ซงใชบนระบบปฏบตการประเภท Unix เชน Linux หรอ FreeBSD เปนตน สวนไฟรวอลลทจำาหนายในเชงพาณชยนนกมขอดขอเสยแตกตางกนไป ในบทนผเขยนจะขอกลาวถงบางผลตภณฑทนยมและคนเคยกนด เชน iptables, Check Point Firwall-1, Microsoft ISA เปนตน
4.5.1 Linux Firewall: iptablesลนกซซงเปนระบบปฎบตการโอเพนซอรสทไดรบความนยม
อยางมาก เน องจากไมต องจายคาล ขสทธ เหมอนวนโดวสหรอแมคอนทอช การพฒนาเคอรนอล (Kernel) ของลนกซนนกมสวนทเกยวกบฟลเตอรแพกเกตซงซอฟตแวรสวนนจะเรยกวา iptables หรออาจเรยกวาเปนไฟรวอลลทมากบลนกซน นเอง iptables นนสามารถทำาแพคเกทฟลเตอรลงและ NAT ได iptables นนพฒนาตอจากเวอรชนกอน เร มแรกนนจะเรยกวา ipfwadm ซงรนบน Linux 2.0 และเวอรชนตอมาคอ ipchains ซงรนบน Linux 2.2 สวนเวอรชนปจจบนนนจะรนบน Linux2.4 และ 2.6 โดยไฟรวอลลของล น ก ซ น ไ ด พ ฒ น า ภ า ย ใ ต ช อ เ น ต ฟ ล เ ต อ ร (Netfillter:www.netfillter.org)
เนตฟลเตอรเปนสวนหนงของเคอเนลของลนกซทมฟงกชนเกยวกบการจดการเนตเวรคสแตก iptables เปนเทเบลของรลเซต (ruleset) หรอชดของขอกำาหนด โดยแตละขอกำาหนดหรอรลทผกกบไอพประกอบดวยคลาสซไฟเออรและเปาหมายทผกตดกบมนฟเจอรทสำาคญของ เนตฟลเตอรไดแก
4.5.1.1 แพกเกตฟวเตอรรง (IPV4 และ PV6)4.5.1.2 สเตทฟลแพกเกตฟวเตอรรง(IPV4 )
114
4.5.1.3 NAT แ ล ะ NAPT (Network Addrees and Port Transltion)iptables ใชวธการแยกฟงกชนในการกรองแพกเกตออก
เปน 3 ขนตอน หรอเทเบลคอ filter,nat, และ mangle โดยแตละเทเบลกจะมเซน (Chain) หรอขนตอนยอยในการแกไขแพกเกต ดงแสดงในตารางขางลาง
ตารางท 4.1 เทเบลและเซนของ iptablesTable Chains Description
Mangle PREROUTING
เปนทๆสามารถแกไขขอมลในสวนหวของแพกเกต เชน TOS เปนตน และเปนจดเร มตนในการเกบขอมลเกยวกบคอนเนกชน
INPUT เปนจดทสามารถแกไขแพกเกตหลงจากมการราวตแพกเกตแลวแตกอนทจะสงไปใหโลคอลโพรเชส
OUTPUT หลงจากผานโลคอลโพรเซสแลวกจะเราทอกครงเพอคนหาวาจะสงแพกเกตตอไปทใดหรอผานอนเตอรเฟสใดและเปนจดเร มตนของการตดตามแพกเกตทสงออกจากเครองโลคอลเอง
FORWARD เปนจดทสามารถแกไขแพกเกตหลงจากมการทำาราวทในเบองตนและเปนแพกเกตทไมตองสงตอใหกบโลคอล โพรเซส
POSTROUTING
จดทสามารถแกไขขอมลในแพกเกตไดห ล ง จ า ก ก า ร ท ำา
115
เราทตง (Routing) แลวและกอนทจะสงออกไปผานอนเตอรเฟสจรงๆ
Nat PREROUTING
เปนจดสำาหรบทำา DNAT และเปนการเลยงเทเบลฟลเตอรในบางกรณ
ตารางท 4.1 เทเบลและเซนของ iptables (ตอ)Table Chains Description
OUTPUT เปนจดสำาหรบการทำา NAT สำาหรบแพกเกตทสงออกจากเครองโลคอลเอง
POSTROUTING
เปนจดสำาหรบการทำา SNAT
Filter INPUT เปนจดทสามารถกรองแพกเกตทสงมายงเคร องโลคอลตโฮสตไมว าจะผ านอนเตอรเฟสใดกตาม
OUTPUT เปนทสำาหรบการกรองแพกเกตทสงออกจ า ก เ ค ร อ งโลคอลตโฮสต
FORWARD เปนทสำาหรบทำาฟวเตอรแพกเกตทมการสงตอโดยไมผานโลคอลโพรเซส
สำาหรบหลกการกรองแพคเกตของ iptables ไดแสดงดงภาพท 4.14
116
117
ภาพท 4.14 แสดงข นตอนการว เครา ะห แพค เก ตของ iptables
จากภาพท 4.14 สำาหรบ filter เทเบลม 3 เชนคอ INPUT และ FORWARD และเชนทผใชสามารถกำาหนดขนเอง ในการการกรองนนเมอเงอนไขตรงกมคำาสงในการอนญาตใหผานหรอทงแพกเกตนนไป (ACCEPT หรอ DROP) ในการกรองแพกเกตนนจะใชขอมลสวนหวของแพกเกต IP ซงประกอบดวย โพรโทคอล, ซอรส และเดสตเนชนแอดเดรส อนพตหรอเอาตพตอนเตอรเฟส และการจดการเกยวกบแฟรกเมนต (Fragment Handling) นอกจากนยงสามารถกรองแพกเกตโดยใชขอมลจากสวนหวของแพกเกต TCP, UDP และ ICMP ไดดวย นอกจากน iptables สามารถตรวจสอบทก ๆ สเตทแฟลกของ TCP เซกเมนต และสามารถกรองแพกเกตโดยใชแฟลกเหลานเปนเกณฑไดทำาใหสามารถจบสเตลธสแกน (Stealth scan) ได
สวนเทเบล nat นนทำาหนาทในการทำา NAT ทงแบบ SNAT (Source NAT), DNAT (Destination NAT), MASQUERADE ซ ง เป นกรณ ศ กษา ข อ ง SNAT ท ก ำา ห นดหมายเลขไอพชวคราวใหสำาหรบคอนเนกชนและ REDIRECT เปนก ร ณ พ เ ศ ษ ข อ ง DNAT ท ส า ม า ร ถ เ ป ล ย นเดสตเนชนใหกบแพกเกตได
สำาหรบการทำา SNAT และ DNAT ซงเปนการเปลยนซอรสแอดเดรส เดสตเนชนแอดเดรสและหมายเลขพอรต ประกอบดวย 3 เชนคอ
118
PREROUTING เปนเชนทสามารถแปลงแพกเกตทรบเขามาจากอนเตอรเฟส กอนทจะราวตหรอสงตอใหแอพพลเคชนในโฮสตนนโพรเซสตอ
OUTPUT เปนเชนทสามารถแกไขเดสตเนชนกบแพกเกตทเรมตนจากภายในเครองนนเอง กอนทจะราวต
POSTROUTING เปนเชนสำาหรบการทำา SNAT กอนทจะสงแพกเกตออกไปยงเนตเวรคอนเตอรเฟส
สำาหรบเทเบล mangle เปนจดสำาหรบการแกไขแพกเกตในสวนของ TOS (Type Of Service), TTL (Time To Live) และ MARK สำาหรบ TOS นนสามารถแกไขไดแตเราเตอรโดยสวนใหญจะไมสนใจขอมลทอยในฟลดน นอกจากจะใช iproute2 สวน TTL เปนสวนทสามารถแกไขคา TTL สวน MARK นนเปนการใสขอมลบางอยางใหเราทเตอรทราบวาควรจะเราทแพกเกตอยางไร อยางไรกตามคาทวาดงกลาวนนมการใชงานนอยมากในเราทเตอร ยกเวนโปรแกรม iproute2 ทยงใชคานอย โดยปกตการตดตงลนกซไฟรวอลลโดยใช iptables นนสามารถทำาได 2 กรณคอ การเซตอพโดยใชคำาสง iptables หรอผานการเซตไฟลคอนฟกทจะโหลดโดยอตโนมตคอไฟล /etc/sysconfig/iptables ในกรณทใชคำาสง iptables โดยรปแบบคำาสงคอ
>>iptables –A INPUT –s O/O –I eth0 –d 192.168.1.1 -p TCP –j ACCEPT
>>iptables –A FORWARD –s 192.168.1.0/24 –I eth0 –d 0/0 -0 eth1 –p TCP - - dport 80 –j ACCEPT
>>iptables –t nat –A POSTROUTING –s 192.168.1.0/24 –j SNAT -0 eth0 - - to – source 97.158.253.29
119
จากคำาสงดงกลาวนนเปนการอนญาตใหแพกเกตทเดสตเนชนไปยงโฮสต 192.168.1.1 โดยเปนโพรโทคอล TCP จากอนเตอรเฟส eth0 สำาหรบซอรสนนจะมาจากหมายไอพอะไรกได (0/0) สวนคำาสงทสองนนเปนการอนญาตใหแพกเกตทมปลายทางไปยงเครอง 192.168.1.58 พอรต 80 ซงกคอเปนทราฟกของเวบ (HTTP) นนเอง สวนคำาสงสดทายเปนการทำา SNAT โดยแพกเกตทสงออกจากโฮสตภายในเครองซงจะใชไพรเวทไอพ (192.168.1.0/24) จะถกแกไขซอรสแอดเดรสใหเปนไอพจรงของขานอกของไฟรวอลลทำาใหโฮสตภายในสามารถสอสารอนเทอรเนตได เมอคอนฟกไฟรวอลลตามโพลซ (Policy) ทตองการเสรจแลวกสามารถใชคำาสง iptables-save เปนบนทกคอนฟกทงหมดลงในไฟล /etc/sysconfig/iptables ซงจะถกโหลดขนอตโนมตเมอมการรบตเครอง ตวอยางของไฟลดงตอไปน
*filter:INPUT DROP [1:229]:FORWARD DROP[0:0]:OUTPUT DROP [0:0]-A INPUT –m state- –state
RELATED,ESTABLISHED-j ACCEPT-A FORWARD –i eth0 –m state -- -state
RELATED,ESTABLISHED –j ACCEPT-A FORWARD –i eth1 –m state -- -
stateNEWATED,ESTABLISHED –j ACCEPT-A OUTPUT –m state- –state
NEW,ESTABLISHED-j ACCEPTCOMMIT#Completed on Wed Apr 24 10:19:55 2002#Generated by iptables-save*mangle
120
:PREROUTING ACCEPT [658:32445] :INPUT ACCEPT [32445]
:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [891:68234]:POSTROUTINGACCEPT [891:68234]COMMIT# Generted by iptables – save v1.2.6a*nat:PREROUTING ACCEPT [1:229]:POSTROUTING ACCEPT [3:450]:OUTPUT ACCEPT [3:450]-A POSTROUTING –o eth0-j SNAT - - to –source
97.158.253.29COMMIT# Completed
โปรแกรมแบบ GUI ทจะชวยใหการเซตอพคาของไฟรวอลลโดยใช iptables ใหสามารถแกไขคาไดงายขนนนกมอยหลายโปรแกรม ยกต ว อ ย า ง เ ช น fwbuilder ( www.fwbuilder.org ) ซ ง เ ป น
121
โปรแกรมทชวยใหการดแลไฟรวอลลบนลนกซเหนเปนภาพทชดเจนขน ดงแสดงในภาพท 4.15 ภาพท 4.15 แสดงหนาจอโปรแกรม fwbuilderนอกจากสามารถใชงานบนระบบปฏบตการลนกซไดแลวยงสามารถใชกบ ระบบปฏบตการของแมคอนทอช (MAC OS) ไดอก ดงภาพท 4.16 เปนรนทใชในระบบปฏบตการแมคอนทอช
ภาพท 4.16 โปรแกรม fwbuilder บนระบบปฏบตการ แมคอนทอช
4.5.2 ไฟรวอลลของระบบปฏบตการ FreeBSDไฟรวอลลในระบบปฏบตการ FreeBSD มตดตงมาพรอม
กบระบบปฏบต การ ซ งผ ดแลระบบสามารถเรยกใชงานได ท นท ไฟรวอลลนนชวยใหเราสามารถจดการกบความปลอดภยของเครอขายไดเปนอยางด ไมวาจะเปนการปองกนการโจมตผานทางพอรท (Ports)
122
ต า ง ๆ ห ร อ ก า ร ใ ช โพรโทคอลบางโพรโทคอล ตลอดจนปองกนกลมของ IP Class ตาง ๆ ทเลนงานเซรฟเวอร การทำางานของไฟรวอลลจะตองเรยกใชโปรแกรม ipfw โดย การทำางานของ ipfw นนจะทำาหนาทเปนฟลเตอรงไฟรวอลล คอจะทำาการกรอง Packet ตาง ๆ ทเขามายงเครอขาย โดยจะทำาการตรวจสอบทก ๆ Packet ทเขามาในเครอขาย เปรยบเหมอนยามตรวจสอบผเขาออกองคกรเรา หากทำาการตรวจพบ Packet ทนาสงสยซงตรงกบ Policy หรอ Rules ทไดกำาหนดไวกจะทำาการปฏเสธ Packet เหลานนทนท จากภาพท 4.17 แสดงการตดตงระบบปฏบตการ FreeBSD ใหบรการ Firewall
123
ภาพท 4.17 แสดงการท ำางานของ Firewall ipfw ของ FreeBSD
4.5.2.1 ขนตอนการใชงานโปรแกรม ipfw สำาหรบขนตอนการใชงานโปรแกรม ipfw โดยสรป
ทำาไดตามขนตอนตอไปน1) ใหตรวจสอบดวามการตดตง Firewall ดงกลาวมา
กบระบบปฏบตการ FreeBSD อยแลวหรอไม โดยใหทำาตามขนตอนตอไปนท Command Line ยกเวนกรณทผ อ านไดท ำาการตดตงเซรฟเวอรเปน NAT (Network Address Translation) แลวใหผานขนตอนนไปได
www # cd /usr/src/sys/i386/confwww # cp GENERIC TESTFIREWALLwww # pico TESTFIREWALL
ident GENERICoptions IPFIREWALL options IPFIREWALL_FORWARDoptions
IPFIREWALL_DEFAULT_TO_ACCEPToptions IPFIREWALL_VERBOSEoptions
IPFIREWALL_VERBOSE_LIMIT=120options IPDIVERT
2) ทำาการคอมไพล (Compile kernel) ใหมตามปกต แล วตรวจสอบด ไฟล /etc/rc.local เพ อหาค ำาส ง firewall_enable=”YES” firewall_type=”OPEN”
124
และ firewall_quite=”YES” หรอไม หากยงไมพบ ใหพมพคำาสงตอไปนเพมได
Firewall_enable=”YES’Firewall_type=”OPEN”Firewall_quite=”YES”
3) แกไขไฟล /etc/rc.conf ดงน
Sshd_enable=”YES”Firewall_enable=”YES”Firewall-scripts=” /etc/rc.firewall”Firewall_type=”OPEN”Firewall_quite=”YES”Natd_enable=”YES”Natd_interface=”sk0”Natd_flags=”-dynamic”Inetd_enable=”YES”
4) ใชคำาสงตอไปนเพอแสดงการทำางานของ ipfwwww # ipfw show
เมอสงคำาสงดงกลาวจะแสดงสถานการณทำางานและ
กฎตาง ๆ ดงภาพท 6.8ภาพท 4.18 แสดงสถานการณทำางาน และกฎตางๆ เมอสง ipfw show
125
ซงหมายเลขดานหนาของกฎ เชน 50000 50001 50002 เปนหมายเลขขอของกฎ มไดสงสด 65535 ขอ มกฎบางขอ เชน กฎท 65535 เปนกฏมาตรฐานท FreeBSD สรางขนมาเอง ไมควรลบทง ซ งอธบายไดคอ เปนการอนญาต Packet ทไมมในกฎกอนหนานน สามารถใชงานเครอขายไดปกต ไมมการบลอคใด ๆทงสน การทำางานจะทำางานตามลำาดบจากหมายเลขกฏทนอยทสด ไปยงหมายเลขกฏมากทสด
ผดแลระบบสามารถกำาหนดกฎขนมาใหม สมมตใหเปนขอท 50010 ใหทำาการปฏเสธ ip จาก 192.168.0.1 ทจะไปยงทไหนกได ใหทำาการปฏเสธ Packet ดงน
www # ipfw add 50010 deny ip from 192.168.0.1 to any
4.5.2.2 การบลอก Blaster Worm Virusการบลอกจะต องทราบหมายเลขพอรทส อสารท
Blaster Worm ทำางานโดยพอรทเหลานเปนพอรทท Blaster ใชสรางความเสยหายกบระบบ ผดแลระบบสามารถเพมคำาสงตอไปนลงบนไฟรวอลลทเปดใชงานอยไดดงน
www# ipfw add 1001 deny tcp from any to any 135
www# ipfw add 1100 deny udp from any to any 135-138
www# ipfw add 1200 deny tcp from any to any 139
www# ipfw add 1300 deny tcp from any to any 445
www# ipfw add 1400 deny udp from any to any 445
126
www# ipfw add 1500 deny tcp from any to any 593
4.5.2.3 การบลอก MSN Messenger การปดบรการ MSN Messenger ทำาไดโดยการปด
พอรทสอสารหมายเลข 1863 ทง tcp และ Udp โดยใชโปรแกรม ipfw ดงน
www # ipfw add 2001 deny tcp from any to any 1863
www # ipfw add 2002 deny udp from any to any 1863
4.5.2.4 การบลอกโพรโทคอล icmp Icmp หรอ ping คอการสอสารงาย ๆ ระหวาง
เครอง เพอตรวจสอบสถานะการทำางานของเครอง การ ping กมความสำาคญไมนอย เนองจากม Worm บางตวทำาการระบาดหรอโจมตผานทางโพรโทคอล icmp การปองกนหรอปฏเสธการ ping ทำาไดโดยใช ipfw ดงน
www # ipfw add 2003 deny icmp from any to any
4.5.3 Microsoft ISAไ ม โ ค ร ซ อ ฟ ต ISA (Internet Security เ ป น
แอพพลเคชนเลเยอรไฟรวอลลซงสามารถฟลเตอรแพกเกตไดตงแตเลเยอร 3 ไป จนถงเลเยอร 7 และเปนสเตทฟลอนสเปคชนไฟรวอลลทสามารถกรองแพกเกตแบบสเตทฟลอนสเปคชนทงในระดบเนตเวรค และแอพพลเคชนซงสามารถปองกนเวรม ไวรส และผบกรกไดเปนอยางด นอกจากน ISA ยงถกแบบเฉพาะเพอปกปองเซรฟเวอรท
127
พบลชชงท ไฟรวอลล เชน เวบเซรฟเวอร อ เมล เซรฟเวอร และอคอมเมรซแอพพลเคชนเซรฟเวอร จากการโจมตจากภายนอก
ISA มโมดลทสามารถตรวจจบการบกรกเครอขายรปแบบตาง ๆ ไมวาจะเปนการสแกนโฮสตในเครอขายการสแกนพอรต การสปฟไอพ เปนตน ซงเมอตรวจเจอกจะแจงเตอนใหผดแลระบบทราบ และสามารถคอนฟกใหระบบทำาอยางใดอยางหนงเพอหยดการบกรกนนได
ISA รองรบการทำา NAT ไดโดย SecureNAT เปนบรการทอนญาตใหไคลเอนทภายในเครอขายซงอาจใชไพรเวทไอพ สามารถเขาไปใชบรการอนเทอรเนตไดโดยไมตองคอนฟกใดๆเพมเตมทฝงไคลเอนทเน องจากไฟรวอลลจะ NAT ให เป นหมายเลขไอพจรงของไฟรวอลลโดยอตโนมต ISA รองรบการพสจนทราบตวตนหลายแบบ เ ช น LAN Manager , Kerberos , Active Directory , RADIUS เปนตน และดวยฟงกชน SSL – to – SSL bridging ซงทำาให ISA สามารถตรวจสอบแพกเกตของ SSL ไดโดยการถอดรหส ตรวจสอบเนอหา เขารหส แลวสงตอไปใหเวบเชรฟเวอรทพบลชกบ ISA เซรฟเวอร นอกจากน ISA เซรฟเวอรยงท ำางานวนโดวส NLB (Network Load Balancing) เ พ อ เ ป นการเพมความเสถยรและประสทธภาพใหกบระบบ โดยเมอเซรฟเวอร เคร องใดเคร องหนงเสยเซรฟเวอรทเหลอกจะท ำาหนาทแทน หรอถาเซรฟเวอรทำางานปกตกจะชวยแบงโหลดกนทำางาน
128
ISA ไดสรางเทมเพลตสำาหรบแตละเนตเวอรคโทโปโลย ซงเปนรปแบบในการเชอมตอ DMZ อนเทอรนอลเอกซเทอรนอล VPN เขาดวยกนโดย
ISA จะเซตเราตงเทเบลโดยอตโนมต ดงภาพท 4.19
ภาพท 4.19 แสดง Templates ของ ISA Firewallสำาหรบการบรการ ISA เซรฟเวอรนน สามารถทำาไดหลาย ๆ
เ ค ร อ ง จ า ก ท เ ด ย ว และสามารถกำาหนดนโยบายการรกษาความปลอดภยโดยขนอยกบผใช ก ล ม ผ ใ ช แ อ พ พ ล เ ค ช น ซอรสเดสตเนชน คอนเทนต และตารางเวลา นอกจากนยงมวซารดทช ว ย ใ น ก า ร ก ำา ห น ด โ พ ล ซ ไ ด
129
อยางงาย โดยจะมคำาถามชวย เชน ไซตและเนอหาอะไรทอนญาตใหผานได โพรโทคอลนนอนญาตทงแบบอนบาวด (Inbound) และเอาตบาวด (Outboud) ห ร อ ไ ม ก า ร ส อ ส า ร ร ะ ห ว า ง ห ม า ย เ ล ข ไ อ พ โพรโทคอล และหมายเลขพอรต นนควรอนญาตหรอไม เปนตน
ISA เกบแอกเซสลอคในรปแบบมาตรฐาน เชน เทกซไฟล , SQL ดาตาเบส หรอ MSDE เปนตน ซงสามารถสรางรายงานตามเวลาทกำาหนด โดยรายงานนนจะประกอบดวย สถตเกยวกบการเยยมชมเวบไซตตาง ๆ แอพพลเคชน เนตเวรคทราฟก และซเคยวรต ไฟลรายงานนซงจะอยในรปแบบเวบเพจนนอาจเกบไวในเครองเองหรอเกบไวทรโมทไฟลแชร และอาจกำาหนดใหสงอเมลโดยอตโนมตเพอแจงผดแลระบบทราบเมอรายงานเสรจ
สำาหรบ ISA เวบพรอกซและไฟลวอลลไคลเอนท สามารถค ว บ ค ม ก า ร เ ข า ถ ง ผ า นไฟรวอลลไดโดยใชหมายเลขไอพและ การควบคมหลายโพรโทคอล เชน HTTP/SSL , FTP , RDP , Telnet , RealAudio , RealVideo , IRC ,H.323, Windows Media Streaming , email , news และอ กหลายโพรโทคอลท งอ น เทอร เน ตและอนทราเนต 4.6 ขอควรพจารณาในการเลอกซอไฟรวอลล
โดยสวนใหญไฟรวอลลแตละยหอมฟเจอรคลายกน แตเราจะเปรยบเทยบขอดขอเสยไดอยางไร ราคาทเราซอไฟรวอลลในตอนแรกนนเพยงแคจดเรมตนเทานน ทกองคกรทตองเชอมตอเครอขายตวเองเขากบอนเทอรเนตนนจำาปนทตองมไฟรวอลลเพอปกปองเครอขายภายในจากการโจมตจากภายนอก แตเลอกใชไฟรวอลลทถกตองอาจชวยประหยดงบประมาณและความเสยงได ปจจบนมไฟรวอลลหลายยหอทสามารถหาซอไดตามทองตลาด ราคากตงแตในระดบพนไปจนถง
130
เป นแสนหรอล านบาท ซ งไฟรวอลลด งกลาวอาจเป นซอฟตแวร ไฟรวอลล ฮารดแวรไฟรวอลล (Hardware Firewall) เพอรซนนอลไฟรวอลล (Personal Firewall) เอ น เทอร ไพรส ไฟร วอลล (Enterprise Firewall) กได เราจะเร มต นอยางไรกอนดในการพจารณาฟเจอรของแตละไฟรวอลลเพอจะไดตดสนวาอะไรทไมตองการ
ความตองการดานคอมพวเตอรและเครอขายนนมการเปลยนแปลงรวดเรวมากในหลายปทผานมาและไฟรวอลลกไดพฒนาเพอใหเหมาะสมกบความตองการใหมๆ น โดยปกตแลวไฟรวอลลจะมโครงสรางงายๆ กลาวคอ ไฟรวอลลนนจะตงขวางระหวางเครอขายภายในและเครอขายภายนอกหรออนเทอรเนตและทำาหนาทกลนกรองแพกเกตนจะใชขอมลในสวนหวของแพกเกตในเลเยอร 3 และเลเยอร 4 เชน โพรโทคอล IP , TCP , UDP ,ICMP เปนตน การตดสนใจวาจะใหแพกเกตผานไปไดหรอไมนนกขนอยกบซอรสและเดสตเนชนแอดเดรส และรวมถงหมายเลขพอรตดวย
ในขณะทการโจมตเครอขายและระบบคอมพวเตอรนนมการเปลยนแปลงและซบซอนเพมมากขนเและมการใชประโยชนจากจดออนโพรโทคอลในระด บสงข น อย าง เช น DNS , SMTP , POP3 เปนตน ดงนน ไฟรวอลลกควรจะฉลาดเพมขนดวย ไฟรวอลลระดบสงนนสวนใหญจะสามารถกรองแพกเกตในระดบแอพพลเคชนไดหรอทเรยกวาแอพพลเคชนไฟรวอลล ซงไฟรวอลลประเภทนจำาเปนสำาหรบการโจมตในระดบแอพพลเคชน และสามารถกรองสแปมเมล ไวรส และสามารถกรองเนอหาขอมลทไมเหมาะสมหรอผดกฎหมายจากเวบไซตตาง ๆ แทนทจะพจารณาเฉพาะหมายเลขไอพนน
4.6.1 Host base Firewall แ ล ะ Network Base Firewall
131
โฮสตเบสไฟรวอลล (Host Base Firewall) หรอ บางทกเรยกวาเพอรชนนอลไฟรวอลล มหลกการทำางานงาย ๆ และราคาถก ซงทำาหนาทปกปองคอมพวเตอรเครองใดเครองหนง ยกตวอยางเชน ZoneAlarm, Norton Personal Firewall และ Connection Firewall (ICF) ท ม มาพรอมก บวน โดส xp สวนเน ตเว ร คไ ฟ ร ว อ ล ล (Network Base Firewall) ส า ม า ร ถ ป ก ป อ งคอมพวเตอรไดหลายเคร อง อยางไรกตามเนตเวรคไฟรวอลลแตละยหอนนกมความแตกตางกน บางยหอกเปนไฟรวอลลธรรมดาทอาจจะแพงกวาเพอรชนนอลไฟรวอลลหนอยหนง อยางเชน DSL เราทเตอรสวนใหญจะมเทคโนโลยนอย เนตเวรคไฟรวอลลสวนใหญจะทำาไดแ ค แ พ ก เ ก ต ฟ ล เ ต อ ร ร ง แ ล ะ ม น อ ย ม า ก ท ส า ม า ร ถ ก ร อ งแพกเกตในระดบแอพพลเคชน
เอนเทอรไพรไฟรวอลลเปนไฟรวอลลทออกแบบสำาหรบเนตเวรคขนาดใหญและซบซอน แตกมราคาแพงกวาสองประเภทแรก เพราะมนสามารถรองรบการใชงานไดหลายยสเซอรในเวลาเดยวกน มทรพตทเรวกวา และมฟเจอรชนสงอนๆ เชน
- ทำาหนาทเปน VPN เกตเวย- ความสามารถในการบรหารไฟรวอลลหลาย ๆ เครองจากท
เดยว- สามารถมอนเตอรทราฟกและสรางรายงานเกยวกบการใช
งานได- สามารถกำาหนดนโยบายการรกษาความปลอดภยทประยกต
ใชกบแตละยสเซอรได- มการรองรบการพสจนทราบตวตนไดหลายรปแบบ- มความสามารถเชอถอไดสงซงอาจทำาเปนโหลดบาลานซง
(Load Balancing) แ ล ะเฟลโอเวอร (Fail over) ได
132
4.6.2 ฮารดแวรและซอฟตแวรไฟรวอลลไฟรวอลลทกประเภทนนจะประกอบดวยสวนทเปนฮารดแวร
และซอฟตแวร แตคำาวาฮารดแวรไฟรวอลลและซอฟตแวรไฟรวอลลนนเปนคำาตลาดทใชแบงแยกระหวางไฟรวอลลทไดตดตงมากอนบนฮารดแวรเฉพาะกบซอฟตแวรไฟรวอลลทสามารถตดตอไดกบระบบปฏบตการทวไป อยางเชน วนโดวสหรอยนกซ ฮารดแวรไฟรวอลลนนยงสามารถแยกยอยลงไปอกได ซงอาจเปนไฟรวอลลทใชเครอง PC ทมฮารดดสกทวไปหรอเปนฮารดแวรทสรางมาจาก ASIC (Application Specific Integrated Circuit) ซงไฟรวอลลประเภทนโดยสวนใหญจะทำางานไดเรวกวาและสวนใหญจะไมมฮารดดสกซงอาจเปนจดททำาใหไฟรวอลลเสยได
ไฟรวอลล ท เป นซอฟต แวร เช น Microsoft ISA, CheckPoint FW-1 และ Symantec Enterprise Firewall ซงเปนไฟรวอลลในระดบเอนเทอรไพรส ISA ตองตดตงบนวนโดวส 2000/2003 สวน FW-1 รนบนวนโดวส NT/2000, Solaris, Linux และ Symantec EF รนบนวนโดวส และ Solaris สวนฮารดแวรไฟรวอลลจะรวมถง Cisco PIX, Nokia Sonicwall (FW-1 รนบนระบบปฏบตการ IPSO), Netscrean, Watchguard และ Symantec’s 5400 series appliance
ฮารดแวรไฟรวอลลบางทจะเรยกเปน “ turn key ” เนองจากเราไมตองตดตงซอฟตแวรหรอกงวลเกยวกบการคอนฟกฮารดแวรทอาจมคอนฟลกตและไฟรวอลลทตดตงบนระบบปฏบตการเฉพาะอาจอางวายงมความปลอดภยสง เนองจาก OS ทตดตงนนไดฮารดเดน ( Hardened ) หรอปดชองโหวเรยบรอยแลว อยางไรกตามกมขาว
133
วาระบบเฉพาะนนกมชองโหวและถกเจาะเขาไปไดเชนกน ขอเสยของฮารดแวรไฟรวอลลกคอ เราจะผกตดกบผลตภณฑของบรษทนนบรษทเดยว ยกตวอยางเชน ฮารดแวรไฟรวอลลบางยหออาจมเนตเวรคการดจำานวนหนงซงเราไมสามารถเพมได แตถาเปนซอฟตแวรไฟรวอลลแลวเราสามารถหาซอเนตเวรคการดตามทองตลาดทวไป และสามารถเพม RAM ไดถาหากไมเพยงพอหรอแมกระทงเพม CPU เพอประสทธภาพทดกวา
4.6.3 ฟเจอรทสำาคญของไฟรวอลลความตองการใชงานไฟรวอลลขององคกรสวนใหญนนจะ
มากกวาเพอรชนนอลหรอแพกเกตฟวเตอรรงไฟรวอลล แตกไมจำาเปนตองเปนไฟรวอลลทดทสดถาองคกรนนไมใช ISP หรอดาตาเซนเตอร ผใชงานอาจจะพจารณาถงสงตอไปนในการเลอกซอไฟรวอลล
4.6.3.1 เราตองการซอฟตแวรไฟรวอลลทสามารถตดตงบนคอมพวเตอรทมอยหรอเปนฮารดแวรสำาเรจรปทสามารถใชงานไดเลย
4.6.3.2 ม ค ว า ม ต อ ง ก า ร ใ ช ง า น พ ร อ ม ก น ( Concurrent Sessions ) กคน
4.6.3.3 มความตองการเชอมตอแบบ VPN พรอมกนกคน
4.6.3.4 ตองการใช VPN โพรโทคอลประเภทใดบาง (IPSec, PPTP, L2TP)
4.6.3.5 ต องการท จ ะรวมก น เข าก บแอ ก เสจ เมลเซรฟเวอร (Access mail Server) หรอ SharePoint เซรฟเวอรหรอไม
134
4.6.3.6 ตองการทใชระบบบรหารจดการแบบใด (User Interface) เปน CLI (Cormmand Line Interface) หรอเปนกราฟกคอนโซล หรอเวบเบสอนเตอรเฟส ตองการจะบรหารจดการผาน SSH, Telnet หรอ SNMP หรอไม และในกรณทมไฟรวอลลหลายเครองตองการระบบบรหารจดการจากศนยกลางหรอไม
4.6.3.7 ตองการไฟรวอลลทมความเชอถอไดสงหรอไม (Load Balancing, Failover)
ไมมไฟรวอลลใดทจะสนองความตองการไดทงหมด แตละยหอกมจดออนและจดแขงทแตกตางกนและเมอวเคราะหเปรยบเทยบแลวกจะตองตดสนใจวาฟเจอรอะไรสำาคญทสดสำาหรบองคกรกอนซอควรพจารณาเปรยบเทยบฟเจอรตาง ๆ ของไฟรวอลล และเลอกทตรงกบความตองการมากทสดยกตวอยางเชน Cisco PIX กเปนไฟรวอลลทมความเชอถอไดสง แตผดแลระบบหลายคนไมชอบเวบเบสอนเตอรเฟสแตชอบทจะใช CLI แทน สำาหรบ StoneGate ซงเปนไฟรวอลลทเชอถอไดตวหนง ซงกใช GUI (Graphics User interface) เปนหลกในการบรหารจดการระบบ เนองดวยใชงานงายและการสงการสวนใหญจะอยในโหมด GUI น สวน SonicWall mid-range Pro เปนไฟรวอลลทไดเปรยบในเรองราคาแตรองรบ VPN ไดแค 500 เมอเปรยบเทยบกบ Nokia 350 และ Watchguard V80 ทรองรบ VPN ไดถง 12,500 คอนเนกชน เปนตน
สำาหรบฟเจอรอน ๆ ทสำาคญแตบางทอาจจะไมจำาเปนสำาหรบบ า ง อ ง ค ก ร เ พ ร า ะการเพมบางฟเจอรนนอาจตองเสยเงนเพม เชน เราอาจตองเสยคาลขสทธเพมถาตองการใชการเขารหสแบบ 3DES สำาหรบฟเจอรตอไปนเปนฟเจอรทอาจตองจายเงนเพม อยางเชน
135
1) เวบแคชชง (Web caching)2) ระบบบรหารจดการจากศนยกลางและรายงาน
ตางๆ3) สแปมฟวเตอร (Spam Filter)4) การทำาโหลดบาลานซงหรอเฟลโอเวอร5) การกรอง URL6) การสแกนไวรส
ประการหนงซงเปนสงสำาคญทจะขาดไมไดคอ ทรพต (throughput) ซงหมายถงอตราในการถายโอนขอมลประสทธภาพนนเปนสงทสำาคญสำาหรบเครอขายทคบคง ซงผใชนนตองการเขาถง ทรพยากร (รซอรส : Resource) ไดอยางรวดเรวทรพตของไฟรวอลลนนอาจอยระหวาง 150 Mbps – 1 Gbps เมอพจารณาเปรยบเทยบทรพตนนกควรดใหดเพราะบางทตวเลขทบอกโดยเจาของผลตภณฑนนอาจมความหมายแตกตางกน ทรพตของ VPN พรอมกบการเขารหสทแขงแกรงนนจะชากวาทรพตของไฟรวอลลอยางมากอยางไรกตามโดยสวนใหญแลวทรพตนนจะจำากดโดยลงคทเชอมตอกบอนเทอรเนต การซอไลเซนซหรอลขสทธนนอาจแตกตางกนในหลายผลตภณฑ ยกตวอยางเชนบางบรษทอาจคดคาไลเซนซสำาหรบ VPN ไคลเอนททตองการเพม แตบางบรษทอยางเชน ไมโครซอฟตกไมคดคาไลเซนซ สำาหรบ VPN เพราะซอฟตแวร VPN ไคลเลนท (PPTP และ L2TP) นนมมากบระบบปฏบตการวนโดวสของไมโครซอฟตอยแลว นอกจากนบางบรษทกจะคดคาไลเซนซตามจำานวนยสเซอรทใชงานและถาถ งจ ำานวนทก ำาหนดไวก คงตองซ อไลเซนซเพ มอ ก ด งน นไฟรวอลลทมราคาตามทโฆษณาถกกตาม แตสดทายอาจตองจายเพมมากขนเพอซอไลเซนซทตองการและโมดลหรอเซอรวสทจำาเปนกได
136
4.7 สรป
จากทกลาวมาทงหมดในบทนจะเหนวาไฟรวอลลมประโยชนเปนอยางมาก และเปนสงทระบบเครอขายขาดไมได แตทงนจะอาศยไฟรวอลลเพยงอยางเดยวยงไมเพยงพอ เนองจากไฟรวอลลเปนเพยงฮารดแวรทอาศยกฎเปนหลกและกรองไดเพยงระดบหนงเทานน หากมสงใดทนอกเหนอจากกฎทตงไวไฟรวอลลจะไมสามารถปองกนโปรแกรมทไมประสงคดเหลานนไดเพราะการตรวจเชคในระดบแอพพลเคชนนนทำาไดยากกวาการกรองโดยกฏ การตรวจเชคในระดบแอพพลเคชนนนจำาเปนตองอาศยซอฟตแวรมาชวยซงไฟรวอลลซอฟแวรนอกจากจะทำางานตามกฎแลวยงตรวจสอบในระดบแอพพลเคชนไดดวย แตมขอจำากดคอจะตองอาศยฮารดแวรในการทำางานของซอฟตแวร ทำาใหมผลดานความเรวและประสทธภาพในการทำางานพอสมควร ซงจะตองอาศยทงฮารดแวรไฟรวอลลและซอฟแวรทเปนโปรแกรมประเภทตรวจสอบกำาจดไวรส (Anti Virus) คกนไปดวย การเลอกซอไฟรวอลลสำาหรบองคกรนนอาจเปนสงททาทาย แตกสามารถทำาไดหากทราบขอมลทวไปขององคกร ซงหมายถง การรวาตองรองรบผใชงานกคนทงในปจจบนและในอนาคต จำานวนผใช VPN ทตองการ ตองการทจะบรหารจดการหลาย ๆ เซรฟเวอรจากทเดยวหรอไม และตองการฟเจอรอนๆ อยางเชน เวบแคชชงหรอไม เราตองพจารณาวาฟเจอรทตองการเพมนนตองการจะใหแยกเปนอกเซรฟเวอรหนงหรอไม ซงนนหมายความวาเราตองจายเพมสำาหรบฮารดแวรและซอฟตแวร แตกมขอดคอเปนการลดภาระงานของไฟรวอลล ดงนนในบทนกเปนขอแนะนำาแคสวนหนงเทานน นอกจากนยงตองตระหนกถงความปลอดภยในการทำางานของบคลากรดวย เพราะบคลากรเองโดยเฉพาะผทมความรด
137
แตไมปฏบตตามกฎกเปนสาเหตหนงของความเสยหายจากการถกบกรกได เรองทเกยวของกบความปลอดภยอกมากทไฟรวอลลไมสามารถปองกนและแกไขได การนำาเครองมอใด ๆ มาใชปองกนนนกจะตองเลอกใชเครองมอทเหมาะสม
138
แบบฝกหดทายบทท 4
1. ไฟรวอลล คออะไร จงอธบาย2. ไฟรวอลลมกประเภทอะไรบาง จงอธบายโดยสรป3. ความสามารถของไฟรวอลลแบบไฮบรดเทคโนโลย ควรเปน
อยางไร4. จงบอกประโยชนของไฟรวอลล 5. ขดจำากดของไฟรวอลล คออยางไรจงอธบาย
139
6. ไฟลวอลลสามารถปองกนในสวนใดไดบาง จงอธบาย7. จงอธบายสถาปตยกรรมของ Linux Firewall 8. ไฟรวอลลในระบบปฏบตการ FreeBSD ชวยจดการความ
ปลอดภยไดอยางไร9. Host base Firewall และ Network Base Firewall แตก
ตางกนอยางไร10. ฟเจอรทสำาคญของไฟรวอลลควรเปนอยางไร
140
