Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
MS1 Thanin MuangpoolMS1 Thanin Muangpool
Firewall คอ ระบบทใชในการเพมประสทธภาพในการรกษาความFirewall คอ ระบบทใชในการเพมประสทธภาพในการรกษาความ
มนคงปลอดภยของระบบคอมพวเตอร และใชในการปองกนการบกรกใน
ไ ไ ใ ใ ระบบเครอขายคอมพวเตอรจากผทไมได รบอนญาตใหใชงานระบบ
ดงกลาว โดย Firewall จะถกใชเปนตวกาหนดกฎเกณฑในการควบคม
การเขา-ออก หรอการควบคมการรบ-สงขอมล ระหวางระบบเครอขาย
ภายใน (Internal Private Network) กบเครอขายภายนอก (External
Public Network) ใหเปนไปตามนโยบายขององคกร
Firewall จาแนกไดเปน 2 กลม ดงนFirewall จาแนกไดเปน 2 กลม ดงน
1. Processing Mode
2. Development Generation
Processing Mode แบงออกเปน 5 ประเภท ดงนProcessing Mode แบงออกเปน 5 ประเภท ดงน
1. Packet Filtering
2. Application Firewall
3. Circuit Gatewaysy
4. MAC Layer
b id i ll5. Hybrid Firewall
Packet Filter ทางานโดยทาการหาเสนทางและสงตออยางมเงอนไข Packet Filter ทางานโดยทาการหาเสนทางและสงตออยางมเงอนไข
(Screening Router) โดยจะพจารณาจากขอมลสวนทอยใน header
P k (R l ) ไ ของ Packet ทผานเขามา เทยบกบกฎ (Rules) ทกาหนดไว และตดสนวา
ควรจะทง (Drop) หรอวาจะยอม (Accept) Packet
Packet Filter จะทางานท Internet Layer and Transport Layer Packet Filter จะทางานท Internet Layer and Transport Layer
ใน Internet Model
ใ ใน Internet Layer จะม Attribute ทสาคญตอ Packet Filtering
ดงน
- Source Port
Destination Port- Destination Port
- Type of Protocol (TCP UDP และ ICMP)
ใน Transport Layer จะม Attribute ทสาคญตอ Packet ใน Transport Layer จะม Attribute ทสาคญตอ Packet
Filtering ดงน
- Source Port
- Destination Port
- Flag (TCP)
ICMP M (ICMP)- ICMP Massage (ICMP)
Port ของ Transport Layer ทง TCP และ UDP นน
จะเปนสงทบอกถง Application ท Packet ตองการตดตอ
เชน Port 80 หมายถง HTTP
Port 21 หมายถง FTP เปนตน
Address Restriction Rule เปนกฎการตรวจสอบ Data Packet Address Restriction Rule เปนกฎการตรวจสอบ Data Packet
ซงจะทาการตดตงไวทอปกรณเครอขาย เชน Router โดยจะกาหนด
R l ไ ใ A C l AC ไ ป Rule ไวในตาราง Access Control List : ACL เพอเกบไวเปรยบเทยบ
กบ Data Packet ทเขามาวาจะยอมรบหรอปฏเสธ ตวอยางเชน
Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ
1. Static Filtering or Constant or Unchanging Filtering
เปนการตรวจสอบวาอนญาตหรอปฏเสธ Data Packet พรอมกบเลอกวา
จะเปดหรอปด Port ทถกรองขอจากการเชอมตอภายนอก ถาเปดกเปด
ทงหมด ถาปดกปดทงหมด จงเปนชองโหวใหถกโจมตไดงายจากผไมหวงด
Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ
2. Dynamic Filtering เปนกลไกทยดหยนกวาแบบ Static
ไ Filtering เพราะสามารถทจะเลอกเปด Port ทตองการได ซงจะทาการ
ตรวจสอบจาก Request ทมาพรอมกบ Packet ทตองการใหเปด Port
และจะเปดจนกวาจะจบ Session ของการทางาน
Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ
3. Stateful Inspection or Stateful Firewall เปนกลไกท
รวมทง Static and Dynamic Filtering เขาดวยกน แตจะมเพมการ
กาหนดระยะเวลา เมอ Packet ใดไมมการตอบรบภายในระยะเวลาท
กาหนด Firewall จะตดการเชอมตอ เพอสรางการเชอมตอกบ Request
ใหมทนท
Application Firewall or Application-Level Firewall or Application Application Firewall or Application Level Firewall or Application
Gateway ทาหนาทเพมความปลอดภยของ Network System โดยการควบคมการ
เชอมตอระหวาง Network ภายในและภายนอก Proxy จะชวยเพมความปลอดภยเชอมตอระหวาง Network ภายในและภายนอก Proxy จะชวยเพมความปลอดภย
ไดมากเนองจากมการตรวจสอบขอมลถงในระดบของ Application Layer
เมอ Client ตองการใชเซอรวสภายนอก Client จะทาการตดตอไปยง Proxy เมอ Client ตองการใชเซอรวสภายนอก Client จะทาการตดตอไปยง Proxy
กอน Client จะเจรจา กบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางให เมอ
Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ 2 การเชอมตอ คอ Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ 2 การเชอมตอ คอ
Client กบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะทาหนาทรบ
ขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะ
ใหมการเชอมตอกนหรอไม จะสงตอแพกเกตใหหรอไม
เปน Firewall ททางานบน Transport Layer ของ OSI Model ซงจะไมเปน Firewall ททางานบน Transport Layer ของ OSI Model ซงจะไม
ตรวจสอบขอมลใน Packet แตจะตรวจสอบ Connection ระหวาง User กบ
Network ภายนอก และปองกนการเชอมตอโดยตรงระหวาง User กบเครองอนๆ Network ภายนอก และปองกนการเชอมตอโดยตรงระหวาง User กบเครองอนๆ
ภายนอกเครอขาย
Circuit Gateway Firewall จะสราง Virtual Circuit ขนมาจาก Library เพอCircuit Gateway Firewall จะสราง Virtual Circuit ขนมาจาก Library เพอ
จดการการเชอมตอโดยท User ไมทราบ ถาเสนทางใดไมตรงตามกฎ กจะปฏเสธการ
เชอมตอ ซงการสราง Virtual Circuit สามารถทจะใหบรการ User ไดหลายคนเชอมตอ ซงการสราง Virtual Circuit สามารถทจะใหบรการ User ไดหลายคน
สามารถตดตอกบ Network ภายนอกไดหลาย Network
เปน Firewall ททางานบน Data Link Layer ของ OSI Model ซงเปน Firewall ททางานบน Data Link Layer ของ OSI Model ซง
สามารถระบ Host Computer ไดในขณะการกลนกรอง Packet โดยด
AC Add โ AC จาก MAC Address ทเชอมโยงกบตาราง ACL เพอการตรวจสอบ
Packet ทมาพรอมกบ Host Computer
เปน Firewall ทรวมเอาความสามารถของ Firewall ชนดอน ๆ เขาเปน Firewall ทรวมเอาความสามารถของ Firewall ชนดอน ๆ เขา
ดวยกน ซงจะทาใหองคกรสามารถเพมประสทธภาพในการรกษาความ
ป ไ มนคงปลอดภยของระบบไดมากยงขน
First Generation Firewall สวนใหญจะเปนแบบ Static Packet
Filtering Firewall
Second Generation Firewall จะเปนแบบ Application Firewallpp
Third Generation Firewall จะเปนแบบ Stateful Inspection
FirewallFirewall
Fourth Generation Firewall จะเปนแบบ Dynamic Packet
Filtering Firewall
Fifth Generation Firewall จะเปนแบบ Kernel Firewall ซงเปน
Firewall ททางานกบระบบปฎบตการทเปน Kernel สามารถตรวจสอบ
ไดหลาย Layerไดหลาย Layer
เปน Firewall ทปองกนการลกลอบนา IP Address ไปใชงาน โดยเปน Firewall ทปองกนการลกลอบนา IP Address ไปใชงาน โดย
จะซอน IP ทแทจรงไว และแสดงใหภายนอกเหนเฉพาะ IP NAT เทานน
เปน Firewall ทเหมาะกบ Small Office/Home Office : SOHO เปน Firewall ทเหมาะกบ Small Office/Home Office : SOHO
ปจจบนไดนามาใชกบ DSL/ADSL จะทาการตดตงไวกบอปกรณ
DS /ADS R SO O ll ป DSL/ADSL Router เรยกวา SOHO Firewall เรมแรกจะเปนแบบ
Statefule Inspection Firewall ไดอยางเดยว ปจจบนมการพฒนา
ความสามารถ Packet Filtering รวมกบ WAP และใหบรการ NAT
Firewall และตรวจสอบ MAC Address ใหดวย
มทงหมด 4 รปแบบ คอมทงหมด 4 รปแบบ คอ
1. Packet Filtering Router
2. Screened Host Firewall
3. Dual-homed Host Firewall
4. Screened Subnet Firewall
จะใช Router ทาหนาทเปน Firewall กนระหวางเครอขายในองคกรกบ
ภายนอกองคกร ซงจะกรอง Packet ทตรงกนกบตาราง ACL เทานนทจะ
สามารถเขามาในเครอขายภายในองคกรได
ขอด
Implement งาย- Implement งาย
- มความเรวสง
- ประหยดคาใชจาย
ขอเสย ขอเสย
- ไมมระบบการตรวจสอบและตรวจจบทเขมงวด
ใ ใ - ยงเพมกฎเกณฑในตาราง ACL มาก จะทาใหระบบชาลง
ใช Router เปน Packet Filtering Firewall ทาการกรอง Packet
และใช Server เปน Proxy Server เรยกวา Bastion Host ตรวจสอบ
การบรการ Application ทเขามา เพอทาการบนทกกอนสงให User ท
รองขอ ในการสงคารองขอขอมลภายนอกเครอขายจะตองผาน Bastion
Host กอนเสมอ Client Internal Network จะไมไดรบอนญาตเชอมตอHost กอนเสมอ Client Internal Network จะไมไดรบอนญาตเชอมตอ
กบเครอขายภายนอกโดยตรง
ขอด
- ประหยดคาใชจาย
ขอเสย
ถามการโจมต Bastion Host สาเรจ กจะไดขอมล Client ทงหมด- ถามการโจมต Bastion Host สาเรจ กจะไดขอมล Client ทงหมด
Bastion Host ม NIC 2 Card เพอเชอมตอกบ Private Network and
bl k ll Public Network ทกเสนทางเขาออกของขอมลจะผาน Firewall
การ Implement Firewall สวนใหญจะใช NAT Firewall จะเรยกวา NAT
Server
ขอด
- ปองกนการโจมตได 2 ระดบ
- ปองกนการสแกน IP Address Private Network
- ประหยดคาใชจาย
ขอเสย ขอเสย
- ซบซอน ทางานชา
รองรบ T ffi ไดนอยกวา P k t Filt i Fi ll- รองรบ Traffic ไดนอยกวา Packet Filtering Firewall
- ตองการทรพยากรมากกวารปแบบอน
จะใช Packet Filtering Router 2 ตววางไวทง Internal and External
Network โดยม Bastion Host ตงแต 1 เครองขนไป ทาหนาทปองกน
Private Network โดยแยกมาอยในเขตทเรยกวา Demilitarized Zone
: DMZ อยระหวาง Internal and External Network
ขอดขอด
- มความปลอดภยสง
ขอเสย
- คาใชจายสง
- ระบบมความซบซอน จดการยาก
เพอใหสอดคลองกบ Security and Business Policy จาเปนตองม
การกาหนดกฎเกณฑ เพอใชเปนขอบงคบให User ปฏบตเหมอนกน
ตวอยางเชน
1. Traffic จะอนญาตเฉพาะ Trusted Network
2 Device ไมสามารถเขาถงไดโดยตรงจาก Public Network2. Device ไมสามารถเขาถงไดโดยตรงจาก Public Network
3. SMTP จะตองผานการตรวจสอบจาก Gateway เพอกรอง
Message
4. ICMP or Ping Service จะตองปฏเสธg ฏ
5. Block Telnet ถาตองการเขาถงใหผาน VPN
เพอเพมขดความสามารถใหกบ Firewall รองรบระบบเครอขายทมความเรว
ใ โ ll ป k ในการรบ-สงขอมลสง โดยกลม Firewall Array ทาหนาทประมวล Data Packet
แบบ Parallel
ขอด
- มประสทธภาพสงสดกบระบบทตองการผลผลตจากการประมวลผลมาก
- ถา Firewall ตวใดตวหนงไมทางาน จะไมสงผลกระทบตอระบบโดยรวม
- บรหารจดการกฎเกณฑของ Firewall ไดงายฎ
ขอเสย
- ตองรกษาสถานการณเชอมตอไวจนกวา Firewall จะประมวลผล Data ตองรกษาสถานการณเชอมตอไวจนกวา Firewall จะประมวลผล Data
Packet แลวเสรจ
ขดความสามารถของ firewall ทวๆ ไปนนมดงตอไปน
- ปองกนการ Login ทไมไดรบอนญาตทมาจากภายนอกเครอขาย
- ปดกนไมให Traffic จากนอกเครอขายเขามาภายในเครอขายแตกยอมใหผ ปดกนไมให Traffic จากนอกเครอขายเขามาภายในเครอขายแตกยอมใหผ
ทอยภายในเครอขายสามารถตดตอกบโลกภายนอกได
ป ป A dit- เปนจดรวมสาหรบการรกษาความปลอดภยและการทา Audit
- Firewall จะตรวจสอบดแคการ Block IP หรอ Port ไดแค layer 3,4
- Firewall ไมสามารถปองกนการโจมตทไมไดกระทาผาน Firewall เชน การโจมตจาก
ใ ภายในเครอขายเอง
- ไมสามารถปองกนการโจมตทเขามากบ Application Protocols ตางๆ ทเรยกวาการ
โ ใ Tunneling หรอกบโปรแกรม Client ทมความลอแหลมและถกดดแปลงใหกระทา
การโจมตได หรอโปรแกรมทถกทาใหเปน Trojan horse
- ไมสามารถปองกน Virus ไดอยางมประสทธภาพเนองจากจานวน Virus มอยมากมาย
จงจะเปนการยากมากท Firewall จะสามารถตรวจจบ Pattern ของ Virus ทงหมด
ไดถงแมวา Firewall จะเปนเครองมอทสามารถนามาใชปองกนการโจมตจาก
ภายนอกเครอขายไดอยางมประสทธภาพ การทจะใช Firewall ใหไดประโยชนสงสด
นนจะขนอยกบนโยบายความปลอดภยโดยรวมขององคกรดวย นอกจากน แมแต
Firewall ทดทสดกไมสามารถนามาใชแทนการมจตสานกในการทจะรกษาความ
ปลอดภยภายในเครอขายของผทอยในเครอขายนนเอง
คอ Software กรองเนอหาทชวยให Admin สามารถจากดการ
เขาถง Website ตาง ๆ ของ User ภายในเครอขายได หรอสามารถจากด
การรบเนอหาทไมเหมาะสมจาก Website ใดๆ ได นอกจากนนยง
สามารถจากดชนดของ Protocol ซงบางครงเรยกวา Content Filter or
Reverse Firewall กลม User ทจาเปนตองใช Content Filter ดงนReverse Firewall กลม User ทจาเปนตองใช Content Filter ดงน
1. School 2. General business organization
3. Financial institution 4. Institutes of Health
5. ISP 6. Government
7. Library 8. Parent
1. Banned Word List เปนวธทบลอกเฉพาะคาหรอวลทไม
ตองการ อาจจะสรางเปน Blacklist Dictionary
2. URL เปนวธการกาหนดชอ Website ไวใน Blacklist แทนคา
หรอวล
3 Category Block วธนอาศยบรการจดหมวดหม Website จาก 3. Category Block วธนอาศยบรการจดหมวดหม Website จาก
Server ของ ISP และตดตงอปกรณบลอกตามกลม และจะบนทกการ
ใ ไ เปลยนแปลงทกครง ทาให Admin ไมจาเปนตองเพมดวยตวเอง
4. Bayesian Filter เปนการกรองเนอหาตามคาทเปนไปไดของคา
ตองหามทนยมใชในการเขาถง Web ตองหาม เชน คาวา XXX
5. Content-based Image Filtering เปนการกรองภาพ ม
ขนตอนการทางาน 3 ขนตอน ดงน
1. Skin Tone Filter เปนขนตอนแยกสผวของคนออกจาก
วตถอน โดยใชทฤษฎสจาก สแดง เหลอง และนาตาล
2 Analyze เปนการวเคราะหหาพนทผวของคน เพอ2. Analyze เปนการวเคราะหหาพนทผวของคน เพอ
คานวณหาพนทผว ถาเปน Low Skin Content จะบนทกลงในฐานขอมล
ไ ถาเปน High Skin Content จะนาไปแบงสวนรปพรรณสณฐาน และ
สรางเปน Visual Signature
4. Compare ระบบจะนา Visual Signature มาเปรยบเทยบ
แลวจดระดบความนาเชอถอเขาขายเปนภาพลามกหรอไมแลวจดระดบความนาเชอถอเขาขายเปนภาพลามกหรอไม
http://www.evisionglobal.com/business/cf.html
เปน Private Network แตใชใชโครงสรางพนฐานของ Public เปน Private Network แตใชใชโครงสรางพนฐานของ Public
Network และ มความเปน Private โดยใช Protocol Tunnel and
S P d P ใ ใ Security Procedure องคกรตาง ๆ จงนยมนา VPN มาใชในการเขาถง
ระยะไกลจาก Public Network
http://www.siamict.com/it_trainning.php
Virtual Private Network Consortium : VPNC define type of Virtual Private Network Consortium : VPNC define type of
VPN Technology 3 type.
1. Trusted VPN or Legacy VPN Use Least line Circuit
form ISP and Packet Switching Network.
2. Secure VPN Use Security Protocol and Data Encryption
when sent through Public Networkwhen sent through Public Network.
3. Hybrid VPN Use both VPN Network in other words use
Data Encryption when sent through Least line Circuit.
VPN Network to maintain the privacy of the information VPN Network to maintain the privacy of the information
in Public Network requires the third section.
1. Encapsulation เปนกาหอหมขอมลทเขาและออกจากเครอขาย
2. Encryption เปนการเขารหสขอมลทเขาและออกเครอขาย
เพอเกบขอมลไวเปนสวนตวในขณะทสงผาน Public Network
3 Authentication เปนการพสจนตวตนของ User and VPN3. Authentication เปนการพสจนตวตนของ User and VPN
Implementation VPN divided into two working modes Implementation VPN divided into two working modes.
1. Transport Mode data in IP Packet be Encrypted ยกเวน
ใ โ สวน Header of Packet จะทาให User สามารถเชอมตอโดยตรงกบ
Remote Host ไดอยางปลอดภย
ขอเสย คอ ถาดกจบ Packet ไดจะทราบตาแหนงทอยปลายทาง และ
สามารถดงขอมลมาไดสามารถดงขอมลมาได
ขอด คอ ไมจาเปนตองม Server and Software และอนญาตให
ไ User เขาถงระบบไดทกแหง
http://www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html
Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน
1. End-to-End การทางานในลกษณะน End User ทงผายรบและ
ไ โ ฝายสง สามารถตดตอสอสารขอมลไดโดยตรงและสามารถเขาและถอดรหส
ไดตามตองการ ในกรณน เครองคอมพวเตอรของแตละ End User จะทา
หนาทเปนทง Client and End Node VPN Server
Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน
2. VPN Server Working in this manner Remote Host form
User connect to VPN Server in DMZ before into Private Network
VPN Server acts as an intermediary between users to encrypt
and decrypt both.
Implementation VPN divided into two working modes Implementation VPN divided into two working modes.
2. Tunnel Mode จะม VPN Server 2 เครองเรยกวา Tunnel
ไ Server ทาหนาทเปนศนยกลางการเขารหสขอมลทจะไปยงทกเสนทางของ
เครอขายทไมนาเชอถอ
IP Packet ของ User ตนทางจะถกเขารหสไวทงหมด และนาไปเกบ
ไวใน Packet อกชนหนงเพอสงไปให Source Tunnel Server into ไวใน Packet อกชนหนงเพอสงไปให Source Tunnel Server into
Destination Tunnel Server เพอถอดรหสและสงไปให User ปลายทาง
ไ ป ป ขอด คอ ไมแสดงตาแหนงทแทจรงของระบบปลายทาง เปรยบเสมอน
วามอโมงคซอนขอมลไวระหวางเคลอนยายอยใน Public Network
http://www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html
MS1 Thanin MuangpoolMS1 Thanin Muangpool
Th k Th k Thank youThank you