บทท 3 Firewall

1Panida Panichkul

Outline1.Firewall คออะไร2 .ประเภทของ Firewall3.สถาปตยกรรมของ Firewall4.Load Balancing Firewall5.การรกษาความปลอดภยการเชอมตอระยะไกล

2

1. Firewall คออะไร คอ องคประกอบสวนหนงของระบบเครอขาย ทำา

หนาทตรวจสอบขอมลทผานเขาออกระหวางระบบเครอขายภายในองคกรกบเครอขายภายนอกทไมนาไววางใจ [E. Whitman and J. Mattord, 2005] เพอปองกนภยคกคามทางเครอขาย โดยไมใหผทไมไดรบอนญาตเขามาใชงานระบบ รวมทงปองกนการโจมตระบบในรปแบบตางๆ

3

2. ประเภทของ Firewall Packet Filtering Firewall Application Firewall Circuit Gateway MAC Layer Hybrid Firewall NAT Firewall Personal Firewall

4

2.1 Packet Filtering Firewall เปน Firewall ทตรวจสอบและกลนกรอง Packet

ขอมล (Data Packet) ทเขามาในเครอขาย โดยการพจารณาความ นาเชอถอของขอมลจากสวน Header ของ Packet หากพบวาไมนาเชอถอจะปฏเสธ Packet นน แตหากพบวานาเชอถอจะ สงตอ Packet นนไปยงปลายทางในเครอขายตอไป

ตรวจสอบ◦IP Address ตนทางและปลายทาง◦หมายเลข Port ตนทางและปลายทาง◦ประเภทของโปรโตคอล (TCP, UDP)◦อนๆ ตามความสามารถของ Firewall แตละ

ผลตภณฑ5

Packet Filtering Firewall (cont.)

6

Packet Filtering Firewall (cont.) การตรวจสอบ Packet ของ Firewall ชนดนจะ

กระทำาท Network Layer เนองจาก Firewall ชนดนนยมตดตงทตว

อปกรณเครอขาย เชน Router ดงนน จงมกเรยกวา “Filtering Router”

Packet Filtering Firewall แบงเปน 3 ชนดยอย◦Static Filtering◦Dynamic Filtering◦Stateful Inspection

7

1. Static Filtering หรอ Unchanging Filtering กลไกการกรอง Packet ตายตว ทำาไดเพยงตรวจสอบและตดสนใจวาจะ อน“ญาต หรอ ปฏเสธ พรอมกบเลอกวาจะเปด” “ ”หรอปดพอรตทงหมดทถกรองขอจากการเชอมตอภายนอกเทานน ไมสามารถเลอกเปดหรอปดเฉพาะบางพอรตได◦ไมมประสทธภาพ, ปองกนภยคกคามไดในเบอง

ตนเทานน

8

Port 21รองขอเปด

External

Port เปดทก แตมเพยงPort 21 เทานนทตองการ

Internal

2. Dynamic Filtering สามารถเลอกเปดเฉพาะ Port ทตองการได โดยปด Port ทเหลอไว โดยทนทททราบวา Packet ทเขามาเชอถอได Dynamic Filtering กจะตรวจจบวา Request ทมาพรอมกบ Packet นนตองการใหเปด Port ใด กจะทำาการเปดเฉพาะ Port นนจนกวาจะจบ Session ของการทำางาน

9

Port 21รองขอเปด

External

Port 21เปดเฉพาะ

Internal

3. Stateful Inspection ทำางานทกอยางไดเหมอนกบ Static และ Dynamic Filtering และ ยงสามารถคงสถานะการเชอมตอกบภายนอกไวภายในระยะเวลาทกำาหนดไดอกดวย โดย Firewall ชนดนจะมการทำางานทซบซอนขนเนองจากตอง Implement ตาราง “State Table Entry” ซงมระยะเวลาทงหมดของการเชอมตอตลอดจนระยะเวลาทเหลอของการเชอมตอระบไวดวย ดงนน หาก Packet ใดทไมมการตอบรบภายในระยะเวลาทกำาหนด Firewall กจะตดการเชอมตอ เพอสรางการเชอมตอกบ Request ใหมทนท

10

Source Add. Source Port Destination Add.

Destination Port

Time Remaining (seconds)

Total Time (seconds)

Protocol

192.168.2.5 1028 10.10.10.7 80 2725 3600 TCP

2.2 Application Firewall หรอทรจกกน ในชอวา proxy นน จะทำาหนาท

คลายกบ เจาหนาท ศลกากร ทจะตรวจสอบ ขอมล ทกๆ อยาง กอนทจะถกสงออก หรอนำาเขามา ภายในระบบของคณ ดวยตวกรอง packet ททำางานขนกบ IP Address และ ขอมลของคณ ทมลกษณะ และรปแบบ ทแตกตางกนไป อยางเชน หากคณ ทำางานโดยใช FTP Program ( โปรแกรม ถายโอนขอมล บนอนเตอรเนต ) proxy จะสามารถ ตรวจสอบ และเลอกวา สามารถ ทำาอยางไรไดบาง เชน ให upload ขอมลได แตไมให บคคลอน สงขอมล แทรกเขามา ในระหวางทคณทำางานอย ในขณะเดยวกน คณยงสามารถ กำาหนดให firewall มระดบ ความเขมงวด ของการทำางานเพยงใด เพอกำาหนดไดวา จะสามารถ ใชงานไดในระดบ ทยดหยนมากเพยงใด [http://www.dld.go.th]

นอกจากนยงทำาหนาทคลายกบ Proxy Server ดวย

11

2.3 Circuit Gateway Firewall เปน Firewall ทไมตรวจสอบขอมลใน Packet

แตจะตรวจสอบเสนทางการเชอมตอ (Connection) ระหวางผใชกบเครองอนภายนอกเครอขาย และปองกนการเชอมตอโดยตรงระหวางผใชกบเครองอนๆ ภายนอกเครอขายดวย

ขอเสย คอ ไมสามารถตรวจสอบเนอหาภายใน Packet ทจะสงไปในเสนทางการเชอมตอนนได

Circuit Gateway Firewall ทำางานบน Transport Layer ใน OSI Model

12

2.4 MAC Layer Firewall เปน Firewall ทสามารถระบ Host Computer

ไดในขณะการกลนกรอง Packet โดยดจากหมายเลข MAC (MAC Address) ทถกเชอมโยงเขากบตาราง ACL เพอการตรวจสอบ Packet ทมาพรอมกบ Host Computer ใดๆ

MAC Layer Firewall ทำางานบน Data Link Layer ใน OSI Model

13

2.5 Hybrid Firewall เปน Firewall ทรวมเอาความสามารถของ Firewall ชนดอนๆ เขาดวยกน เชน การรวม Packet Filtering Firewall เขากบ Application Firewall หรอรวมระหวาง Packet Filtering Firewall กบ Circuit Firewall เปนตน

MAC Layer Firewall ทำางานบน Data Link Layer ใน OSI Model

14

Firewall แตละประเภทบน OSI Model

15

2.6 NAT Firewall NAT (Network Address Translation) Firewall เปน Firewall ทปองกนการลกลอบนำาหมายเลข IP ไปใช โดยจะซอนหมายเลข IP ทแทจรงไว แตแสดงใหภายนอกเหนดวยหมายเลข IP จำาแลง (Network Address Translation) ทถกกำาหนดขนใหทราบเฉพาะภายในเครอขาย

16

1ขนท 2ขนท 3ขนท 4ขนท

Source IP Address = APort Number = B

Source IP Address = XPort Number = Y

Destination IP Address = XPort Number = Y

Destination IP Address = APort Number = B NAT FirewallClient

IP Address = A Server

NAT Firewall เปน Firewall อกชนดหนงทเหมาะกบการใชงานในสำานกงานขนาดเลกหรอใชใน Home Office (Small Office/Home Office: SOHO)

ในยคแรกๆ ของการใชอนเทอรเนตความเรวสง SOHO Firewall จะมกลไกการกรอง Packet เปนแบบ Stateful Inspection Firewall ไดอยางเดยว แตปจจบน SOHO Firewall ไดมการพฒนาความสามารถมากขน โดยมการรวมฟงกชน Packet Filtering เขากบการเชอมตอแบบไรสาย (WAP) และมบรการ NAT Firewall และตรวจสอบ MAC Address ใหดวย

17

18

2.7 Personal Firewall เปน Firewall ทใชงานกบเครองคอมพวเตอร

สวนบคคล โดยทวไปอยในรปของซอฟตแวรทอาจมาพรอมกบระบบปฏบตการ ซงผใชเครองคอมพวเตอรสวนบคคลสามารถกำาหนดคาตวเลอกการปองกนเองได เชน ในระบบปฏบตการ Windows สามารถเรยก Firewall ขนมากำาหนดเอง โดยพมพคำาสง ‘mmc’ ทเมน Run เปนตน

ปจจบน มซอฟตแวร Firewall จำาหนายผานเวบไซตจำานวนมาก แตควรระวงซอฟตแวร Firewall ทเปน Freeware เนองจากอาจมซอฟตแวรไมพงประสงคแนบตดมาดวย ยกตวอยางซอฟตแวรหรอผลตภณฑ Firewall เชน Zone Labs ZoneAlarm, Norton Personal Firewall และ BlackICE Defender เปนตน

19

3. สถาปตยกรรม Firewall Firewall แตละประเภท สามารถนำามาจด

โครงสรางการทำางานใหเปนระบบ Firewall ตามสถาปตยกรรมของ Firewall ไดหลายรปแบบ

ในทนจะกลาวถงสถาปตยกรรมของ Firewall ทงหมด 4 รปแบบ ไดแก◦Packet Filtering Router◦Screened Host Firewall◦Dual-homed Host Firewall◦Screened Subnet Firewall

20

3.1 Packet Filtering Router เปนรปแบบทจดใหม Router ทำาหนาทเปน Firewall กนระหวางเครอขายภายในองคกรกบภายนอกองคกร Firewall ท Router จะทำาการกลนกรอง Packet โดยจะอนญาตให Packet ทตรงกบตาราง ACL เทานนทจะสามารถเขามาในเครอขาย ภายในองคกรได

21

ขอด◦Implement งาย◦มความเรวสง◦ประหยดคาใชจาย

ขอเสย◦ไมมระบบการตรวจสอบและตรวจจบทเขมงวด◦ยงเพมกฎเกณฑในตาราง ACL มาก ยงจะทำาให

การทำางานของระบบชาลง

22

3.2 Screened Host Firewall เปนรปแบบทประกอบไปดวยความสามารถของ Packet Filtering Router และ Application Firewall (Proxy Server) โดยนอกจากจะม Router ทำาหนาทเปน Packet Filtering Firewall แลว ยงมการเพมเครอง Server อก 1 เครองเพอทำา หนาทเปน Proxy Server เรยกวา “Bastion Host”

การทำางานจะเรมจาก Packet Filtering Router ทำาการกลนกรอง Packet กอน จากนนจะสงตอ Packet ทไดรบอนญาตไปยง Bastion Host เพอตรวจสอบบรการ Application ทเขามา แลวทำาการเกบบนทกไวกอนสงไปยงผใชทรองขอขอมลใน Packet นนๆ โดยทผใชไมทราบวาการกระทำาดงกลาวเกดจาก Bastion Host เปนผดำาเนนการแทน นอกจากน การสงคำารองขอขอมลเวบเพจจากเวบไซตตางๆ ภายนอกเครอขาย กจะตองผาน Bastion Host กอนเสมอเชนกน

23

ขอด ประหยดคาใชจาย– ขอเสย -- หากการโจมตท Bastion Host

สำาเรจ ผโจมตจะไดขอมลของ Client ทกเครอง

24

3.3 Dual-homed Host Firewall เปนรปแบบทจดให Bastion Host ม NIC (Network Interface Card) อยางนอย 2 การด การดแรกใชตดตอกบ เครอขายภายนอกโดยตรง สวนการดทสองใชตดตอกบเครอขายภายใน เปนการสราง Firewall ปองกนมากกวา 1 Layer ในสถาปตยกรรมชนดน ทกเสนทางการจราจรของขอมลจะตองผาน Firewall ทงขาเขาและออกจากเครอขายภายใน

การ Implement Firewall ตามสถาปตยกรรมชนดน สวนใหญนยมใช NAT Firewall โดยจะเรยก Bastion Server ทจะใชทำาระบบ NAT Firewall วา “NAT Server”

25

26

Packet จากผใช Packet ทไมไดรบอนญาต

Dual-homed Host(NAT Firewall)

External FilteringRouter

Internal FilteringRouter

Packet ทไมไดรบอนญาต

Proxy Access

Packet ทไดรบอนญาต

ขอด◦ปองกนการโจมตไดถง 2 ระดบ◦ปองกนการสแกนหมายเลข IP ภายในได◦Dual-homed Host สามารถแปลง

โปรโตคอลท Data Link Layer ไดหลายโปรโตคอล เชน Ethernet, Token Ring, FDDI เปนตน

◦เสยคาใชจายนอยเมอเทยบกบระดบความปลอดภยทไดรบมา

ขอเสย◦ซบซอน ทำางานชา◦รองรบจำานวนเสนทางการเชอมตอ (Traffic)

ไดนอยกวาแบบ Packet Filtering Firewall◦ตองการทรพยากรมากกวารปแบบอน

27

3.4 Screened Subnet Firewall

เปนรปแบบทประกอบไปดวย Packet Filtering Router 2 ฝง (External Filtering Router และ Internal Filtering Router) และ Bastion Host ตงแต 1 Host ขนไป แตละ Host ทำาหนาทปองกนเครอขายภายใน โดยจดใหกลม Bastion Host แยกมาอยรวมกนเปนเครอขายพเศษในเขตทเรยกวา “DMZ (Demilitarized Zone)” ซงเปนเขตทอยระหวางเครอขายภายในและภายนอก สวน External Filtering Router จะอยระหวางเครอขายภายนอกกบเขต DMZ และ Internal Filtering Router จะอยระหวางเครอขายภายในกบเขต DMZ

28

29

เสนทางการเชอมตอ (Connection Routed) ของ Screened Subnet Firewall มดงน

การเชอมตอจากเครอขายภายนอก จะวงผานเสนทางของ External Filtering Router

การเชอมตอจากเครอขายภายนอก เมอวงเขามายง External Filtering Router แลว จะวงออกไปยงเครอขายพเศษในเขต DMZ

การเชอมตอทจะวงเขาสเครอขายภายใน จะตองไดรบอนญาตจาก Host Server ในเขต DMZ เทานน

30

หนาทหลกของ Screened Subnet Firewall

ปองกนเครอขายพเศษและสารสนเทศในเขต DMZ จากภยคกคามภายนอก ดวยการมระบบรกษาความมนคงปลอดภยทเครอขายพเศษในเขต DMZ

ปองกนเครอขายภายใน ดวยการจำากดการเขาถงจากภายนอก

ขอด-- มความปลอดภยสง เนองจากมการแบงเครอขายออกเปนสวนๆ (เครอขายภายใน ภายนอก เครอขาย

ขอเสย คาใชจายสง– , ระบบมความซบซอน จดการยาก 3

1

32

SOCKS Protocol นยมนำามาใชสนบสนน Firewall ประเภท Circuit-

level Proxy Server “โปรโตคอล SOCKS” ซงเปนโปรโตคอลทใชในการ

ตดตอสอสารของ TCP ผาน Proxy Server (Circuit Gateway) โดยใน Circuit-level Proxy กำาหนดใหม SOCKS Agent ทเครองของ Client ทกเครอง เพอทำาหนาทกลนกรอง Packet เองในแตละเครอง

Circuit Gateway Firewall แบบเดมทเคยอธบายไวในหวขอกอนหนา ม Router เพยงจดเดยวททำาหนาทตรวจสอบ เสนทางการเชอมตอ โดยไมมกลไกการตรวจสอบ Packet ขอมล ดงนน นอกจาก Circuit Gateway Firewall จะไมสามารถตรวจสอบความผดปกตในเนอหาของ Packet ไดแลว ยงกอใหเกดปญหาทเรยกวา “Single Point of Death” คอ เปนจดทกอใหเกดความเสยหายทงระบบ เนองจากหาก Router ถกโจมตไดสำาเรจ กสามารถเขาโจมตเครอง Client ทอยในเครอขายได การเพมโปรโตคอล SOCKS เขาไปในระบบ Firewall จงชวยแกปญหา Single Point of Death ได

33

4. Load Balancing Firewall

การจดสมดลภาระงานใหกบ Firewall (Load Balancing Firewall) เปนการจดเตรยมระบบ Firewall ทสามารถเพมขดความสามารถ เพอรองรบระบบเครอขายทมความเรวในการรบ-สงขอมลสง และ/หรอมการประมวลผล Application ตำา [John R. Vacca, 2009] โดยการทำา Load Balancing ใหกบ Firewall นจะตองประกอบไปดวยกลมของ Firewall (เรยกวา “Firewall Array”) ทำาหนาทประมวลผล Packet ขอมลทกำาลงเขามาในเครอขายแบบคขนาน (Parallel) และม กลไกการทำาสมดลภาระ“งาน (Load Balancer)” อยางนอย 2 ตวเชอมตอเขากบกลมของ Firewall

34

35

ขอด ◦มประสทธภาพสงสด กบระบบทตองการผลผลต

จากการประมวลผลจำานวนมาก ดงนน ยงเพมจำานวน Firewall ใหมากเทาใด จะยงชวยเพมผลลพธการประมวลผลไดมากเทานน อกทงยงประหยดตนทนไดมากกวาดวย

◦หาก Firewall ตวใดตวหนงในกลมไมสามารถทำางานได จะไมสงผลกระทบตอระบบโดยรวม นนคอ ระบบยงคงทำางานตอได แตผลผลตจากการทำางานของระบบมปรมาณลดลงตามสดสวนทเหมาะสม

◦บรหารจดการกฎเกณฑของ Firewall ไดงาย โดยหากมการเปลยนกฎเกณฑ กทำาการเปลยนแปลงท Firewall แตละตวไดโดยตรง

ขอเสย -- ตองรกษาสถานะการเชอมตอไวจนกวา Firewall จะประมวลผล Packet ขอมลแลวเสรจ

36

5. การรกษาความปลอดภยการเชอมตอระยะไกล VPN (Virtual Private Network) เปน

เทคโนโลยการเชอมตอเครอขายนอกอาคาร (WAN - Wide Area Network) ทกำาลงเปนทนาสนใจและเรมนำาไปใชในหนวยงานทมหลายสาขา หรอ มสำานกงานกระจดกระจายอยในหลายภมภาค ในระบบ VPN การเชอมตอระหวางสำานกงานโดยใชเครอขาย อนเตอรเนต แทนการตอเชอมดวย Leased line หรอ Frame Relay ในสมยกอน [http://www.dld.go.th]

37

PN : Private network คอเครอขายภายในของแตละบรษท (Public Network คอเครอขาย สาธารณะเชน Internet) Private network เกดจากการทบรษทตองการเชอมเครขายของแตละสาขา สำานกงาน เขาดวยกน (กรณพวกทเชอมตอดวย TCP / IP เลขท IP กจะกำาหนดเปน 10.xxx.xxx.xxx หรอ 192.168.xxx.xxx หรอ 172.16.xxx.xxx) ในสมยกอนจะทำาการเชอมตอดวย leased line หลงจากทเกดการเตบโตของการใชงาน Internet และการพฒนาเทคโนโลยทเกยวของ การปรบปรงในเรอง ความเรวของการเชอมตอ ทำาใหเกดแนวคดในการแทนท leased line หรอ Frame Relay ซงมราคาแพงดวย Internet ทมราคาถกกวา แลวตงชอ Virtual Private Network

38

39

รปแบบของ VPN1. Remote Access VPN เปนการใหผใชสามารถ

ตดตอเขาใชงานเครอขายของบรษทได เชน พวกผบรหาร หรอ ฝายขาย ทออกไปทำางานนอกสถานทสามารถเชอมตอเขาเครอขายของบราทเพอเชคขาว อานเมล หรอ ใชงานโปรแกรม เพอเรยกดขอมล เปนตน อนนถาเปนสมยกอน กตองไปทสำานกงานทมอยในตางประเทศ ถาไมมกอาจจะตอง ใชการโทรทางไกลเขามาเชอมตอกบศนยคอมพวเตอรซงคาใชจายกสงดวยการใช VPN สามารถ login เขาส ระบบงานของบรษทโดยใชโปรแกรมจำาพวก VPN Client เชน Secureremote ของบรษท Checkpoint เปนตน วธการอยางนทำาใหเกดความคลองตวในการทำางานเปนอยางมาก

40

วธการทำางานของ Remote Access VPN ทสำานกงานจะตองมการเชอมตออนเตอรเนตตลอด

เวลาและลงโปรแกรม VPN Server / Gateway ไวเพอรบคอนเนคชน โปรแกรมทนยมไดแก Checkpoint firewall - 1 หรอ VPN - 1 ทำาหนาทรบ และตรวจสอบ การเชอมตอจากเครองลกขาย สำาหรบเครองลกขายกจะลงโปรแกรม VPN Client ซงจะตดตอกบเครองแมขาย เพอเขาใชงาน เครอขาย และตองสามารถตอเชอมอนเตอรเนต

41

รปแบบของ VPN2. LAN-to-LAN Connectivity กรณน จะเปน

เชอมตอระหวางเครอขาย 2 เครอขาย เชน เครอขายของสำานกงานสาขา เขากบเครอขาย ของสำานกงานงานใหญ กรณนทงสองสำานกงานจะทำาการเชอมตอ Internet ตลอดเวลา และทงสองฝงจะลง โปรแกรม VPN Server / gateway หรอสำาหรบสำานกงานสาขาอาจตดตงเพยงแคโปรแกรม VPN geteway อยางไรกตามปจจบนไดมผผลตเราเตอรทมความสามารถดาน VPN ออกมาขายไมวาจะเปนจาก CISO Checkpoint Sonicwall 42

หวใจสำาคญของ VPN คอ Tunnel ม 2 รปแบบ voluntary tunneling : เปนการทำา tunnel โดย ผใชทำาการตอเชอมกบ ISP หลงจากนน VPN Client โปรแกรมจะทำาการเชอมกบเครอขาย VPN

compulsory tunneling : วธนจะจดการโดย ISP โดยผใชเพยงแตเชอมตอเขา ISP เทานน หลงจากท กระบวนการตรวจสอบผใชเสรจสนระบบของ ISP จะทำาการเชอมตอเครองของผใชเขากบเครอขาย VPN ของผใช ซงการเชอมตอแบบนทาง ISP จะตองตดตงอปกรณเสรมทเรยกวา Front End Processor (FEP) หรอบางทเรยกวา POP Server (Point of Present Server)

43

VPN Protocol

Point - to - Point Tunneling Protocol (PPTP) : เปนเสปกทพฒนาขนโดยไมโครซอฟท โดยเปนโปรโตคอลทมาพรอมกบระบบปฏบตการของไมโครซอฟท

Layer Two Tunneling Protocol (L2TP) : พฒนาขนโดย CISCO ผผลตอปกรณเนตเวอรครายใหญInternet Protocol Security (IPsec) เปนกลมของโปรโตคอลหลายโปรโตคอล

IPsec สามารถใชเปน VPN protocol เองได หรอสามารถทำางานเปนสวนหนงของโปรโตคอลอน เชน PPTP, L2TP ในเรองการเขารหสขอมล

44

ขอด◦ลดคาใชจายจากการศกษาของ IDC พบวา VPN

สามารถลดคาใชจายในการเชอมตอแบบ WAN ไดราว 40 %

◦ความยดหยนสงขน โดยเฉพาะอยางยงในกรณการทำา Remote Access ใหผใชตดตอเขามาใชงานเครอขาย จากนอกสถานท

ขอเสย◦VPN ทำางานอยบน Internet ซงความเรว และ

การเขาถง และคณภาพ (speed and access) เปนเรองเหนอการควบคมของผดแลเครอขาย

◦VPN technologies ตางกนตามผขายแตละรายยงไมมมาตรฐานทใชรวมกนอยางแพรหลายมากนก

45

Reference http://www.dld.go.th: [Available: 5 December 2012]

Intrusion Detection, Firewall, James Joshi, 2008

พนดา พานชกล, ความมนคงปลอดภยของสารสนเทศ, 2553.

46