ตั�วอย่�างการตั�ดตั� งใช้�งาน Endian Firewall Community 2.1.2

เพื่��อเก�บร�กษาข้�อมู�ลจราจรคอมูพื่�วเตัอร ไว�ไมู�น�อย่กว�าเก�าสิ�บว�น ตัามู พื่รบ.2550 (บางสิ�วน)

โดย อด�ศร ขาวสั งข�จั ดทำ�าเมื่��อ 05/07/2008

Endian Firewall Community ค�ออะไรEndian Firewall Community เป็�นด�สัตร�บิ�วชั นความื่ป็ลอดภั ยของระบิบิป็ฏิ�บิ ต�การล�น#กซ์�แบิบิ "turn-key" ทำ&� turn ทำ#กระบิบิให้)เป็�น full featured security appliance ด)วยฟั+งก�ชั นของ Unified Threat Management (UTM) ซ์อฟัต�แวร�ต วน&,มื่&การลงนามื่เป็�น "usability in mind" และสัามื่ารถต�ดต ,ง ใชั)งาน และจั ดการได)ง/ายมื่าก และมื่&ความื่ย�ดห้ย#/น  ค#ณล กษณะป็ระกอบิด)วย stateful packet inspection firewall, application-level

proxies สั�าห้ร บิโป็รโตคอลต/าง ๆ (HTTP, FTP, POP3, SMTP) ทำ&�สัน บิสัน#นแอนต&,ไวร สั, มื่&การป็4องก นไวร สัและการกรองสัแป็มื่สั�าห้ร บิทำราฟัฟั5กทำ&�เป็�นอ&เมื่ล� (POP และ SMTP), มื่&การกรองเน�,อห้าของทำราฟัฟั5กเว6บิ, และ "hassel free" VPN solution (based on

OpenVPN) ข)อด&ห้ล กของ Endian Firewall ค�อเป็�น pure "Open Source" solution

ทำ&�สัน บิสัน#นโดย Edian

ความูเก$�ย่วพื่�นก�บ พื่รบ.ว�าด�วย่การกระทำ&าผิ�ดเก$�ย่วก�บคอมูพื่�วเตัอร พื่.ศ.

2550ใน ห้มื่วด 2 (พน กงานเจั)าห้น)าทำ&�) มื่าตรา 26 ได)กล/าวไว)ด งน&,

     มูาตัรา ๒๖ ผิ��ให้�บร�การตั�องเก�บร�กษาข้�อมู�ลจราจรทำางคอมูพื่�วเตัอร ไว�ไมู�น�อย่กว�าเก�าสิ�บว�น น�บแตั�ว�นทำ$�ข้�อมู�ลน� นเข้�าสิ��ระบบคอมูพื่�วเตัอร แตั�ในกรณี$จ&าเป็/นพื่น�กงานเจ�าห้น�าทำ$�จะสิ��งให้�ผิ��ให้�บร�การ ผิ��ใดเก�บร�กษาข้�อมู�ลจราจรทำางคอมูพื่�วเตัอร ไว�เก�นเก�าสิ�บว�นแตั�ไมู�เก�นห้น0�งป็1เป็/นกรณี$พื่�เศษเฉพื่าะราย่  และเฉพื่าะคราวก�ได�     ผิ��ให้�บร�การจะตั�องเก�บร�กษาข้�อมู�ลข้องผิ��ใช้�บร�การเทำ�าทำ$�จ&าเป็/นเพื่��อให้�สิามูารถระบ5ตั�วผิ��ใช้�บร�การ  น�บตั� งแตั�เร��มูใช้�บร�การและตั�องเก�บร�กษาไว�เป็/นเวลาไมู�น�อย่กว�าเก�าสิ�บว�นน�บตั� งแตั�การใช้�บร�การสิ� นสิ5ดลง ความูในวรรคห้น0�งจะใช้�ก�บผิ��ให้�บร�การป็ระเภทำใด อย่�างไร และเมู��อใด ให้�เป็/นไป็ตัามูทำ$�ร�ฐมูนตัร$ ป็ระกาศในราช้ก�จจาน5เบกษา     ผิ��ให้�บร�การผิ��ใดไมู�ป็ฏิ�บ�ตั�ตัามูมูาตัราน$ ตั�องระวางโทำษป็ร�บไมู�เก�นห้�าแสินบาทำ

และ

     "ข้�อมู�ลจราจรทำางคอมูพื่�วเตัอร ” ห้มูาย่ความูว�า ข้�อมู�ลเก$�ย่วก�บการตั�ดตั�อสิ��อสิารข้องระบบคอมูพื่�วเตัอร ซึ่0�งแสิดงถ0งแห้ล�งก&าเน�ด ตั�นทำาง ป็ลาย่ทำาง เสิ�นทำาง เวลา ว�นทำ$� ป็ร�มูาณี ระย่ะเวลาช้น�ดข้องบร�การ ห้ร�ออ��น ๆ ทำ$�เก$�ย่วข้�องก�บการตั�ดตั�อสิ��อสิารข้องระบบคอมูพื่�วเตัอร น� น

ซ์8�ง พรบิ. ด งกล/าวจัะบิ งค บิใชั)ในว นทำ&� 1 สั�งห้าคมื่ 2551 ก6จัะสั/งผลกระทำบิต/อทำ#กองค�กรทำ&�จัะต)องจั ดห้าระบิบิเก6บิร กษาข)อมื่:ลจัรจัรคอมื่พ�วเตอร�ไว)ไมื่/น)อยกว/า 90 ว น  ในป็+จัจั#บิ นมื่&ผล�ตภั ณฑ์�ป็ระเภัทำน&,ออกมื่าขายก นจั�านวนมื่ากแต/ก6มื่&ราคาแพง สั�าห้ร บิองค�กรทำ&�มื่&ทำ#นน)อยคงจัะไมื่/ง/ายน กทำ&�จัะต)องจั ดสัรรงบิป็ระมื่าณในเร��องน&,

ผมื่เองได)ทำดลองใชั) Endian Firewall Community มื่าบิ)างและเห้6นว/ามื่&ฟั+งก�ชั นการเก6บิ log ของการจัราจัรคอมื่พ�วเตอร�อย:/บิ)าง  ก6ค�ดว/าน/าจัะสัามื่ารถน�ามื่าป็ระย#กต�ใชั)งานเพ��อแก)ป็+ญห้าด งกล/าวได) แมื่)ว/าฟั+งก�ชั นการใชั)งานอาจัจัะไมื่/สัะดวกเทำ/าก บิผล�ตภั ณฑ์�ทำ&�มื่&ขายก นทำ �วไป็ (เชั/นการทำ�า Report ของ Log) แต/คงจัะเป็�นทำางออกได)สั�าห้ร บิบิางองค�กรเชั/นองค�กรขนาดเล6กเป็�นต)น

ร�ป็แบบการใช้�งานโดย่ทำ��วไป็ข้อง Endian Firewall Communityล กษณะการใชั)งานทำางเคร�อข/ายของ Endian Firewall ถ)าใชั)เต6มื่ระบิบิแล)วจัะเป็�นด งร:ป็ทำ&� 1

น �นค�อจัะป็ระกอบิด)วยเคร�อข/าย 4 เคร�อข/ายค�อ :

1. RED : ซ์8�งใชั)สั�าห้ร บิเชั��อมื่ต/อก บิเคร�อข/ายภัายนอก (untrusted network ห้ร�อ Internet)

2. GREEN : ซ์8�งใชั)เชั��อมื่ต/อก บิเคร�อข/ายภัายใน (trusted network ห้ร�อ Internal)

3. ORANGE : ซ์8�งใชั)เชั��อมื่ต/อก บิเคร�อข/ายทำ&�เป็�นพ�,นทำ&�ของ Server (DMZ)

4. BLUE : ซ์8�งใชั)เชั��อมื่ต/อก บิเคร�อข/ายทำ&�เป็�นระบิบิไร)สัาย (Access Point)

 ร:ป็ทำ&� 1 ร:ป็แบิบิเคร�อข/ายการใชั)งานแบิบิเต6มื่ระบิบิของ Endian Firewall

แต/ในการใชั)งานโดยทำ �วไป็อาจัจัะไมื่/เชั��อมื่ต/อเคร�อข/ายทำ ,ง 4 เคร�อข/ายตามื่ร:ป็น&,ก6ได)คร บิ  อาจัจัะมื่&แค/ 2 เคร�อข/ายค�อ External ก บิ Internel ห้ร�อ 3 เคร�อข/ายค�อ External, Internal และ

DMZ ซ์8�งก6ข8,นอย:/ก บิร:ป็แบิบิการเชั��อมื่ต/อของแต/ละองค�กรนะคร บิ

การตั�ดตั� ง Endian Firewall Community 2

สั��งทำ&�ค#ณต)องมื่&ด งน&, :

แผ/น CD ทำ&�ใชั)สั�าห้ร บิ burn ISO ของ Endian Firewall Community 2

PC ห้ร�อ Server ทำ&�จัะใชั)ต�ดต ,ง Endian Firewall Community 2

PC อ&กเคร��องทำ&�ใชั)สั�าห้ร บิคอนฟั5ก Endian Firewall Community 2 Common sense

ข้� นตัอนการตั�ดตั� งด�งน$ คร�บ :

1. ดาวน�โห้ลด ISO Image จัาก http://www.endian.it/en/community/download/iso/

2. เบิ�ร�น ISO Image ด งกล/าวลงแผ/น CD ว/าง ด)วย CD burnning software อย/าง Nero

3. น�าแผ/น CD ใสั/เคร��อง PC ทำ&�ต)องการจัะต�ดต ,ง โดยต)องเซ์6ตให้)เคร��อง PC บิ:=ตจัาก CD-

ROM Drive เป็�นอ นด บิแรก 4. ตอบิค�าถามื่ทำ#กค�าถามื่ และต)องแน/ใจัว/าค#ณมื่&การระบิ#และจัด IP Address ของ

Green Interface และรห้ สัผ/าน   การต�ดต ,งจัะต/างจัาก IPCop (Linux secure

distribution อ&กต วทำ&�คล)ายก น) ทำ&�ทำ#กอย/างไมื่/ถ:กก�าห้นดในระห้ว/างการต�ดต ,ง แต/ไมื่/ต)องก งวลนะ  ค#ณสัามื่ารถเป็ล&�ยนแป็ลงทำ#กสั��งทำ#กอย/างใน web-base

management ห้ล งจัากค#ณตอบิค�าถามื่ทำ#กค�าถามื่แล)วเคร��อง PC ก6จัะ reboot และค#ณจัะพบิก บิ linux login ตรงน&,เองทำ&�ค#ณจัะต)องใชั) PC เคร��องทำ&�สัอง

5. เชั��อมื่ต/อ PC เคร��องทำ&�สัองก บิ EFW PC ด)วยการใชั)สัาย cross-over cable และเป็5ด Browser ข8,นมื่า  ห้ร�ออาจัจัะใชั) ethernet switch ด)วยการต/อสัายตรง (straight

ethernet cable) ก6ได) 6. เป็5ด command prompt และ ping ไป็ย ง IP Address ของ GREEN

Interface ทำ&�ได)ก�าห้นดไว)ตอนต�ดต ,ง ถ)าไมื่/สัามื่ารถ ping ได)แสัดงว/ามื่&การก�าห้นด IP

Address ให้)ก บิอ&ก Interface card  สั�าห้ร บิผ:)ทำ&�ค#)นเคยก บิ Linux ให้)ล�มื่เก&�ยวก บิการใชั)งาน ifconfig ในการก�าห้นดว/าเป็�นการ�ดไห้น เพราะ EFW จัะใชั) br0 (bridge)

สั�าห้ร บิ Green interface แต/ค#ณไมื่/สัามื่ารถเห้6นได)ด)วยการใชั) command line ว/าเชั��อมื่ต/อก บิการ�ดไห้น  ด งน ,นจัะต)องพยายามื่ทำดสัอบิด:ว/าเป็�นการ�ดไห้นด)วยการ ping

ได)สั�าเร6จั 7. ตอนน&,ให้)เป็5ด Internet Browser ของค#ณไป็ทำ&� URL : http://xxx.xxx.xxx.xxx

ห้ร�ออ&กอ นห้น8�งก6ได)ค�อ https://xxx.xxx.xxx.xxx:10443 โดยทำ&� x ห้มื่ายถ8ง IP

Address ของ Green Interface ทำ&�ค#ณสัามื่ารถ ping ได) 8. default username ค�อ admin สั/วนรห้ สัผ/านเป็�นค/าทำ&�ค#ณได)ก�าห้นดในชั/วงการต�ด

ต ,ง (สั�าห้ร บิผ:)ทำ&�จัะเข)าไป็ย ง command prompt ของเคร��อง ให้)ใชั) username เป็�น root และรห้ สัผ/านเป็�น endian)

9. ไป็ทำ&� Network Configuration ของเมื่น:ด)านซ์)ายมื่�อ และทำ�าตามื่โป็รเซ์สัตามื่ทำ&�ค#ณได)เล�อก adapter อ นไห้นทำ&�ต)องการจัะก�าห้นดค/า

เราจะเก�บร�กษาข้�อมู�ลจราจรคอมูเตัอร สิ�วนไห้นการใชั)งานในองค�กรสั/วนให้ญ/จัะเป็�นการเร&ยกใชั)งานเว6บิไซ์ต� (http ห้ร�อ https) แมื่)แต/การใชั)งานอ&เมื่ล�ห้ร�อการใชั)งานโป็รแกรมื่ป็ระเภัทำ Instant Message (IM) สั/วนให้ญ/แล)วก6จัะร นบิน http ฉะน ,นในทำ&�น&,เราก6จัะเน)นการเก6บิร กษาข)อมื่:ลจัราจัรคอมื่พ�วเตอร�ทำ&�เป็�น http เป็�นห้ล ก สั/วนการจัราจัรอ��น

ข ,นตอนการด�าเน�นการด งน&, :

1. เป็5ด Browser ไป็ทำ&� https://xxx.xxx.xxx.xxx:10443 แล)วป็4อน usernam

และรห้ สัผ/านของ Admin

2. ทำ&�เมื่น: Proxy เล�อกเมื่น:ย/อยเป็�น HTTP โดยให้)คล�?ก Enabled on Green

(แต/ห้)ามื่เล�อก Transparent on Green เพราะในกรณ&ทำ&�เราจัะใชั)การ Authentication ระบิบิจัะไมื่/ยอมื่ร บิ) ด งร:ป็ทำ&� 2

ร:ป็ทำ&� 23. ป็4อนค/าต/าง ๆ คล)ายก บิร:ป็ทำ&� 2

4. เล��อนห้น)าจัอลงล/างคล�?กทำ&�ค�าว/า Log setting ให้) active ทำ&� Log enabled สั/วนค/าอ��น ๆ เล�อกตามื่ความื่ต)องการ

ร:ป็ทำ&� 3

5. คล�?กทำ&� Cache management เล�อกค/าต/าง ๆ ให้)เห้มื่าะสัมื่เชั/นMemory cache size : ไมื่/ควรมื่ากกว/า 50% ของ RAM ทำ&�ต�ดต ,งในเคร��องHarddisk cache size : ถ)าค#ณต)องการให้) Squid ใชั)ทำ ,งห้มื่ดของ harddisk ให้)เอาขนาด harddisk จัร�งลบิด)วย 20% ของขนาด harddisk จัร�ง

ร:ป็ทำ&� 4

6. ก�าห้นดว/าต)องการจัะให้)เคร��องทำ&�มื่& IP Address ของ Network ไห้นบิ)างมื่าใชั) Proxy

ด)วยการคล�?กป็#@มื่ Network based access control และป็4อนค/าทำ&�ต)องการ สั/วนค/าอ��น ๆ ก6ป็4อนตามื่ต)องการนะคร บิ

ร:ป็ทำ&� 5

7. ก�าห้นดให้)ผ:)ใชั)งาน Proxy ต)องมื่&การป็4อน username ก/อนการใชั)งานด)วยการคล�?กทำ&�สั/วนของ Authentication method และเล�อกชัน�ดของการ Authentication

ตามื่ทำ&�มื่&ใชั)งานจัร�ง สั�าห้ร บิของผ:)เข&ยนใชั)เป็�น Local น �นค�อจัะต)องป็4อน username ให้)

ก บิผ:)ใชั)งานทำ#กคนบินเคร��อง EFW เคร��องน&,

ร:ป็ทำ&� 6

8. ป็4อน username ด)วยการคล�?กป็#@มื่ User management ของสั/วน Local user

authentication แล)วป็4อน username ตามื่ต)องการด งร:ป็

ร:ป็ทำ&� 7

9. ป็ร บิค/าการเก6บิ Log ให้)เป็�น 90 ว นตามื่ พรบิ. ด)วยการเล�อกเมื่น: Logs (ด)านบิน) และเล�อกเมื่น:ย/อยด)านซ์)ายมื่�อเป็�น Log settings แล)วป็ร บิค/าของ keep summaries

for เป็�น 90 ว นด งร:ป็  สั/วนค/าอ��น ๆ ก6ป็ร บิตามื่ความื่ต)องการ พร)อมื่บิ นทำ8กค/า

ร:ป็ทำ&� 8

10. ห้)ามื่ไมื่/ได)ผ:)ใชั)งานเร&ยก http และ https ได)โดยตรง แต/ให้)ใชั)ผ/าน Proxy

Server เทำ/าน ,น ด)วยการเล�อกเมื่น: Firewall (ด)านบิน) แล)วเล�อกเมื่น:ย/อยด)านซ์)ายมื่�อ

เป็�น Outgoing firewall ด งร:ป็ แล)ว disable ในสั/วนของ http และ https ด งร:ป็

ร:ป็ทำ&� 9

11. การใชั)งานให้)แจั)งผ:) ใชั)งานทำ#กคนเซ์6ต Browser

ให้)ใชั) งานผ/าน P roxy

ทำ ,งห้มื่ดด)วยการค ล�?กเมื่น:

Tools --> Internet options --> connections --> LAN settings แล)วเล�อก User a proxy server for your LAN ด งร:ป็ (ป็4อนเป็�น IP Address ก6ได))

ร:ป็ทำ&� 10

12. เมื่��อมื่&การเร&ยกใชั)งาน Internet ก6จัะมื่&การถามื่ username และรห้ สัผ/าน ด งร:ป็ทำ&� 11

ร:ป็ทำ&� 11

13. และต/อจัากน&,ไป็  เมื่��อผ:)ใชั)เร&ยกใชั)งาน http ห้ร�อ https ก6จัะมื่&การบิ นทำ8กเป็�น Logs ลงบิน Firewall ทำ#กคร ,ง ซ์8�งสัามื่ารถด:ได)จัากเมื่น: Log (ด)านบิน) และเล�อกเมื่น:ย/อยด)านซ์)ายมื่�อเป็�น Proxy logs แล)วจัะได)ผลด งร:ป็ ซ์8�งจัะเห้6นว/ามื่&การบิ นทำ8กชั��อของผ:)

ใชั)งานเป็�น username, ว นเวลาใชั)งาน, Source IP และเว6บิไซ์ต�ทำ&�เร &ยกใชั)งานเอาไว)

ร:ป็ทำ&� 12

14. ในกรณ&ทำ&�ต)องการจัะให้)ผ:)ใชั)งานทำ�าการเป็ล&�ยนรห้ สัผ/านของแต/ละคนก6ทำ�าได)ด)วยการเร&ยกไป็ทำ&� http://hotsname/cgi-bin/chpasswd.cgi ห้ร�อ http://host_ip/cgi-bin/chpasswd.cgiซ์8�งจัะแสัดงห้น)าต/างของการเป็ล&�ยนรห้ สัผ/านด งร:ป็ทำ&� 13

ร:ป็ทำ&� 13 ห้น)าต/างการเป็ล&�ยนรห้ สัผ/านของผ:)ใชั)งาน

จบคร�บ