บทที่ 3 firewall
DESCRIPTION
บทที่ 3 Firewall. Outline. Firewall คืออะไร ประเภทของ Firewall สถาปัตยกรรมของ Firewall Load Balancing Firewall การรักษาความปลอดภัยการเชื่อมต่อระยะไกล. 1. Firewall คืออะไร. - PowerPoint PPT PresentationTRANSCRIPT
บทท 3 Firewall
1Panida Panichkul
Outline1.Firewall คออะไร2 .ประเภทของ Firewall3.สถาปตยกรรมของ Firewall4.Load Balancing Firewall5.การรกษาความปลอดภยการเชอมตอระยะไกล
2
1. Firewall คออะไร คอ องคประกอบสวนหนงของระบบเครอขาย ทำา
หนาทตรวจสอบขอมลทผานเขาออกระหวางระบบเครอขายภายในองคกรกบเครอขายภายนอกทไมนาไววางใจ [E. Whitman and J. Mattord, 2005] เพอปองกนภยคกคามทางเครอขาย โดยไมใหผทไมไดรบอนญาตเขามาใชงานระบบ รวมทงปองกนการโจมตระบบในรปแบบตางๆ
3
2. ประเภทของ Firewall Packet Filtering Firewall Application Firewall Circuit Gateway MAC Layer Hybrid Firewall NAT Firewall Personal Firewall
4
2.1 Packet Filtering Firewall เปน Firewall ทตรวจสอบและกลนกรอง Packet
ขอมล (Data Packet) ทเขามาในเครอขาย โดยการพจารณาความ นาเชอถอของขอมลจากสวน Header ของ Packet หากพบวาไมนาเชอถอจะปฏเสธ Packet นน แตหากพบวานาเชอถอจะ สงตอ Packet นนไปยงปลายทางในเครอขายตอไป
ตรวจสอบ◦IP Address ตนทางและปลายทาง◦หมายเลข Port ตนทางและปลายทาง◦ประเภทของโปรโตคอล (TCP, UDP)◦อนๆ ตามความสามารถของ Firewall แตละ
ผลตภณฑ5
Packet Filtering Firewall (cont.)
6
Packet Filtering Firewall (cont.) การตรวจสอบ Packet ของ Firewall ชนดนจะ
กระทำาท Network Layer เนองจาก Firewall ชนดนนยมตดตงทตว
อปกรณเครอขาย เชน Router ดงนน จงมกเรยกวา “Filtering Router”
Packet Filtering Firewall แบงเปน 3 ชนดยอย◦Static Filtering◦Dynamic Filtering◦Stateful Inspection
7
1. Static Filtering หรอ Unchanging Filtering กลไกการกรอง Packet ตายตว ทำาไดเพยงตรวจสอบและตดสนใจวาจะ อน“ญาต หรอ ปฏเสธ พรอมกบเลอกวาจะเปด” “ ”หรอปดพอรตทงหมดทถกรองขอจากการเชอมตอภายนอกเทานน ไมสามารถเลอกเปดหรอปดเฉพาะบางพอรตได◦ไมมประสทธภาพ, ปองกนภยคกคามไดในเบอง
ตนเทานน
8
Port 21รองขอเปด
External
Port เปดทก แตมเพยงPort 21 เทานนทตองการ
Internal
2. Dynamic Filtering สามารถเลอกเปดเฉพาะ Port ทตองการได โดยปด Port ทเหลอไว โดยทนทททราบวา Packet ทเขามาเชอถอได Dynamic Filtering กจะตรวจจบวา Request ทมาพรอมกบ Packet นนตองการใหเปด Port ใด กจะทำาการเปดเฉพาะ Port นนจนกวาจะจบ Session ของการทำางาน
9
Port 21รองขอเปด
External
Port 21เปดเฉพาะ
Internal
3. Stateful Inspection ทำางานทกอยางไดเหมอนกบ Static และ Dynamic Filtering และ ยงสามารถคงสถานะการเชอมตอกบภายนอกไวภายในระยะเวลาทกำาหนดไดอกดวย โดย Firewall ชนดนจะมการทำางานทซบซอนขนเนองจากตอง Implement ตาราง “State Table Entry” ซงมระยะเวลาทงหมดของการเชอมตอตลอดจนระยะเวลาทเหลอของการเชอมตอระบไวดวย ดงนน หาก Packet ใดทไมมการตอบรบภายในระยะเวลาทกำาหนด Firewall กจะตดการเชอมตอ เพอสรางการเชอมตอกบ Request ใหมทนท
10
Source Add. Source Port Destination Add.
Destination Port
Time Remaining (seconds)
Total Time (seconds)
Protocol
192.168.2.5 1028 10.10.10.7 80 2725 3600 TCP
2.2 Application Firewall หรอทรจกกน ในชอวา proxy นน จะทำาหนาท
คลายกบ เจาหนาท ศลกากร ทจะตรวจสอบ ขอมล ทกๆ อยาง กอนทจะถกสงออก หรอนำาเขามา ภายในระบบของคณ ดวยตวกรอง packet ททำางานขนกบ IP Address และ ขอมลของคณ ทมลกษณะ และรปแบบ ทแตกตางกนไป อยางเชน หากคณ ทำางานโดยใช FTP Program ( โปรแกรม ถายโอนขอมล บนอนเตอรเนต ) proxy จะสามารถ ตรวจสอบ และเลอกวา สามารถ ทำาอยางไรไดบาง เชน ให upload ขอมลได แตไมให บคคลอน สงขอมล แทรกเขามา ในระหวางทคณทำางานอย ในขณะเดยวกน คณยงสามารถ กำาหนดให firewall มระดบ ความเขมงวด ของการทำางานเพยงใด เพอกำาหนดไดวา จะสามารถ ใชงานไดในระดบ ทยดหยนมากเพยงใด [http://www.dld.go.th]
นอกจากนยงทำาหนาทคลายกบ Proxy Server ดวย
11
2.3 Circuit Gateway Firewall เปน Firewall ทไมตรวจสอบขอมลใน Packet
แตจะตรวจสอบเสนทางการเชอมตอ (Connection) ระหวางผใชกบเครองอนภายนอกเครอขาย และปองกนการเชอมตอโดยตรงระหวางผใชกบเครองอนๆ ภายนอกเครอขายดวย
ขอเสย คอ ไมสามารถตรวจสอบเนอหาภายใน Packet ทจะสงไปในเสนทางการเชอมตอนนได
Circuit Gateway Firewall ทำางานบน Transport Layer ใน OSI Model
12
2.4 MAC Layer Firewall เปน Firewall ทสามารถระบ Host Computer
ไดในขณะการกลนกรอง Packet โดยดจากหมายเลข MAC (MAC Address) ทถกเชอมโยงเขากบตาราง ACL เพอการตรวจสอบ Packet ทมาพรอมกบ Host Computer ใดๆ
MAC Layer Firewall ทำางานบน Data Link Layer ใน OSI Model
13
2.5 Hybrid Firewall เปน Firewall ทรวมเอาความสามารถของ Firewall ชนดอนๆ เขาดวยกน เชน การรวม Packet Filtering Firewall เขากบ Application Firewall หรอรวมระหวาง Packet Filtering Firewall กบ Circuit Firewall เปนตน
MAC Layer Firewall ทำางานบน Data Link Layer ใน OSI Model
14
Firewall แตละประเภทบน OSI Model
15
2.6 NAT Firewall NAT (Network Address Translation) Firewall เปน Firewall ทปองกนการลกลอบนำาหมายเลข IP ไปใช โดยจะซอนหมายเลข IP ทแทจรงไว แตแสดงใหภายนอกเหนดวยหมายเลข IP จำาแลง (Network Address Translation) ทถกกำาหนดขนใหทราบเฉพาะภายในเครอขาย
16
1ขนท 2ขนท 3ขนท 4ขนท
Source IP Address = APort Number = B
Source IP Address = XPort Number = Y
Destination IP Address = XPort Number = Y
Destination IP Address = APort Number = B NAT FirewallClient
IP Address = A Server
NAT Firewall เปน Firewall อกชนดหนงทเหมาะกบการใชงานในสำานกงานขนาดเลกหรอใชใน Home Office (Small Office/Home Office: SOHO)
ในยคแรกๆ ของการใชอนเทอรเนตความเรวสง SOHO Firewall จะมกลไกการกรอง Packet เปนแบบ Stateful Inspection Firewall ไดอยางเดยว แตปจจบน SOHO Firewall ไดมการพฒนาความสามารถมากขน โดยมการรวมฟงกชน Packet Filtering เขากบการเชอมตอแบบไรสาย (WAP) และมบรการ NAT Firewall และตรวจสอบ MAC Address ใหดวย
17
18
2.7 Personal Firewall เปน Firewall ทใชงานกบเครองคอมพวเตอร
สวนบคคล โดยทวไปอยในรปของซอฟตแวรทอาจมาพรอมกบระบบปฏบตการ ซงผใชเครองคอมพวเตอรสวนบคคลสามารถกำาหนดคาตวเลอกการปองกนเองได เชน ในระบบปฏบตการ Windows สามารถเรยก Firewall ขนมากำาหนดเอง โดยพมพคำาสง ‘mmc’ ทเมน Run เปนตน
ปจจบน มซอฟตแวร Firewall จำาหนายผานเวบไซตจำานวนมาก แตควรระวงซอฟตแวร Firewall ทเปน Freeware เนองจากอาจมซอฟตแวรไมพงประสงคแนบตดมาดวย ยกตวอยางซอฟตแวรหรอผลตภณฑ Firewall เชน Zone Labs ZoneAlarm, Norton Personal Firewall และ BlackICE Defender เปนตน
19
3. สถาปตยกรรม Firewall Firewall แตละประเภท สามารถนำามาจด
โครงสรางการทำางานใหเปนระบบ Firewall ตามสถาปตยกรรมของ Firewall ไดหลายรปแบบ
ในทนจะกลาวถงสถาปตยกรรมของ Firewall ทงหมด 4 รปแบบ ไดแก◦Packet Filtering Router◦Screened Host Firewall◦Dual-homed Host Firewall◦Screened Subnet Firewall
20
3.1 Packet Filtering Router เปนรปแบบทจดใหม Router ทำาหนาทเปน Firewall กนระหวางเครอขายภายในองคกรกบภายนอกองคกร Firewall ท Router จะทำาการกลนกรอง Packet โดยจะอนญาตให Packet ทตรงกบตาราง ACL เทานนทจะสามารถเขามาในเครอขาย ภายในองคกรได
21
ขอด◦Implement งาย◦มความเรวสง◦ประหยดคาใชจาย
ขอเสย◦ไมมระบบการตรวจสอบและตรวจจบทเขมงวด◦ยงเพมกฎเกณฑในตาราง ACL มาก ยงจะทำาให
การทำางานของระบบชาลง
22
3.2 Screened Host Firewall เปนรปแบบทประกอบไปดวยความสามารถของ Packet Filtering Router และ Application Firewall (Proxy Server) โดยนอกจากจะม Router ทำาหนาทเปน Packet Filtering Firewall แลว ยงมการเพมเครอง Server อก 1 เครองเพอทำา หนาทเปน Proxy Server เรยกวา “Bastion Host”
การทำางานจะเรมจาก Packet Filtering Router ทำาการกลนกรอง Packet กอน จากนนจะสงตอ Packet ทไดรบอนญาตไปยง Bastion Host เพอตรวจสอบบรการ Application ทเขามา แลวทำาการเกบบนทกไวกอนสงไปยงผใชทรองขอขอมลใน Packet นนๆ โดยทผใชไมทราบวาการกระทำาดงกลาวเกดจาก Bastion Host เปนผดำาเนนการแทน นอกจากน การสงคำารองขอขอมลเวบเพจจากเวบไซตตางๆ ภายนอกเครอขาย กจะตองผาน Bastion Host กอนเสมอเชนกน
23
ขอด ประหยดคาใชจาย– ขอเสย -- หากการโจมตท Bastion Host
สำาเรจ ผโจมตจะไดขอมลของ Client ทกเครอง
24
3.3 Dual-homed Host Firewall เปนรปแบบทจดให Bastion Host ม NIC (Network Interface Card) อยางนอย 2 การด การดแรกใชตดตอกบ เครอขายภายนอกโดยตรง สวนการดทสองใชตดตอกบเครอขายภายใน เปนการสราง Firewall ปองกนมากกวา 1 Layer ในสถาปตยกรรมชนดน ทกเสนทางการจราจรของขอมลจะตองผาน Firewall ทงขาเขาและออกจากเครอขายภายใน
การ Implement Firewall ตามสถาปตยกรรมชนดน สวนใหญนยมใช NAT Firewall โดยจะเรยก Bastion Server ทจะใชทำาระบบ NAT Firewall วา “NAT Server”
25
26
Packet จากผใช Packet ทไมไดรบอนญาต
Dual-homed Host(NAT Firewall)
External FilteringRouter
Internal FilteringRouter
Packet ทไมไดรบอนญาต
Proxy Access
Packet ทไดรบอนญาต
ขอด◦ปองกนการโจมตไดถง 2 ระดบ◦ปองกนการสแกนหมายเลข IP ภายในได◦Dual-homed Host สามารถแปลง
โปรโตคอลท Data Link Layer ไดหลายโปรโตคอล เชน Ethernet, Token Ring, FDDI เปนตน
◦เสยคาใชจายนอยเมอเทยบกบระดบความปลอดภยทไดรบมา
ขอเสย◦ซบซอน ทำางานชา◦รองรบจำานวนเสนทางการเชอมตอ (Traffic)
ไดนอยกวาแบบ Packet Filtering Firewall◦ตองการทรพยากรมากกวารปแบบอน
27
3.4 Screened Subnet Firewall
เปนรปแบบทประกอบไปดวย Packet Filtering Router 2 ฝง (External Filtering Router และ Internal Filtering Router) และ Bastion Host ตงแต 1 Host ขนไป แตละ Host ทำาหนาทปองกนเครอขายภายใน โดยจดใหกลม Bastion Host แยกมาอยรวมกนเปนเครอขายพเศษในเขตทเรยกวา “DMZ (Demilitarized Zone)” ซงเปนเขตทอยระหวางเครอขายภายในและภายนอก สวน External Filtering Router จะอยระหวางเครอขายภายนอกกบเขต DMZ และ Internal Filtering Router จะอยระหวางเครอขายภายในกบเขต DMZ
28
29
เสนทางการเชอมตอ (Connection Routed) ของ Screened Subnet Firewall มดงน
การเชอมตอจากเครอขายภายนอก จะวงผานเสนทางของ External Filtering Router
การเชอมตอจากเครอขายภายนอก เมอวงเขามายง External Filtering Router แลว จะวงออกไปยงเครอขายพเศษในเขต DMZ
การเชอมตอทจะวงเขาสเครอขายภายใน จะตองไดรบอนญาตจาก Host Server ในเขต DMZ เทานน
30
หนาทหลกของ Screened Subnet Firewall
ปองกนเครอขายพเศษและสารสนเทศในเขต DMZ จากภยคกคามภายนอก ดวยการมระบบรกษาความมนคงปลอดภยทเครอขายพเศษในเขต DMZ
ปองกนเครอขายภายใน ดวยการจำากดการเขาถงจากภายนอก
ขอด-- มความปลอดภยสง เนองจากมการแบงเครอขายออกเปนสวนๆ (เครอขายภายใน ภายนอก เครอขาย
ขอเสย คาใชจายสง– , ระบบมความซบซอน จดการยาก 3
1
32
SOCKS Protocol นยมนำามาใชสนบสนน Firewall ประเภท Circuit-
level Proxy Server “โปรโตคอล SOCKS” ซงเปนโปรโตคอลทใชในการ
ตดตอสอสารของ TCP ผาน Proxy Server (Circuit Gateway) โดยใน Circuit-level Proxy กำาหนดใหม SOCKS Agent ทเครองของ Client ทกเครอง เพอทำาหนาทกลนกรอง Packet เองในแตละเครอง
Circuit Gateway Firewall แบบเดมทเคยอธบายไวในหวขอกอนหนา ม Router เพยงจดเดยวททำาหนาทตรวจสอบ เสนทางการเชอมตอ โดยไมมกลไกการตรวจสอบ Packet ขอมล ดงนน นอกจาก Circuit Gateway Firewall จะไมสามารถตรวจสอบความผดปกตในเนอหาของ Packet ไดแลว ยงกอใหเกดปญหาทเรยกวา “Single Point of Death” คอ เปนจดทกอใหเกดความเสยหายทงระบบ เนองจากหาก Router ถกโจมตไดสำาเรจ กสามารถเขาโจมตเครอง Client ทอยในเครอขายได การเพมโปรโตคอล SOCKS เขาไปในระบบ Firewall จงชวยแกปญหา Single Point of Death ได
33
4. Load Balancing Firewall
การจดสมดลภาระงานใหกบ Firewall (Load Balancing Firewall) เปนการจดเตรยมระบบ Firewall ทสามารถเพมขดความสามารถ เพอรองรบระบบเครอขายทมความเรวในการรบ-สงขอมลสง และ/หรอมการประมวลผล Application ตำา [John R. Vacca, 2009] โดยการทำา Load Balancing ใหกบ Firewall นจะตองประกอบไปดวยกลมของ Firewall (เรยกวา “Firewall Array”) ทำาหนาทประมวลผล Packet ขอมลทกำาลงเขามาในเครอขายแบบคขนาน (Parallel) และม กลไกการทำาสมดลภาระ“งาน (Load Balancer)” อยางนอย 2 ตวเชอมตอเขากบกลมของ Firewall
34
35
ขอด ◦มประสทธภาพสงสด กบระบบทตองการผลผลต
จากการประมวลผลจำานวนมาก ดงนน ยงเพมจำานวน Firewall ใหมากเทาใด จะยงชวยเพมผลลพธการประมวลผลไดมากเทานน อกทงยงประหยดตนทนไดมากกวาดวย
◦หาก Firewall ตวใดตวหนงในกลมไมสามารถทำางานได จะไมสงผลกระทบตอระบบโดยรวม นนคอ ระบบยงคงทำางานตอได แตผลผลตจากการทำางานของระบบมปรมาณลดลงตามสดสวนทเหมาะสม
◦บรหารจดการกฎเกณฑของ Firewall ไดงาย โดยหากมการเปลยนกฎเกณฑ กทำาการเปลยนแปลงท Firewall แตละตวไดโดยตรง
ขอเสย -- ตองรกษาสถานะการเชอมตอไวจนกวา Firewall จะประมวลผล Packet ขอมลแลวเสรจ
36
5. การรกษาความปลอดภยการเชอมตอระยะไกล VPN (Virtual Private Network) เปน
เทคโนโลยการเชอมตอเครอขายนอกอาคาร (WAN - Wide Area Network) ทกำาลงเปนทนาสนใจและเรมนำาไปใชในหนวยงานทมหลายสาขา หรอ มสำานกงานกระจดกระจายอยในหลายภมภาค ในระบบ VPN การเชอมตอระหวางสำานกงานโดยใชเครอขาย อนเตอรเนต แทนการตอเชอมดวย Leased line หรอ Frame Relay ในสมยกอน [http://www.dld.go.th]
37
PN : Private network คอเครอขายภายในของแตละบรษท (Public Network คอเครอขาย สาธารณะเชน Internet) Private network เกดจากการทบรษทตองการเชอมเครขายของแตละสาขา สำานกงาน เขาดวยกน (กรณพวกทเชอมตอดวย TCP / IP เลขท IP กจะกำาหนดเปน 10.xxx.xxx.xxx หรอ 192.168.xxx.xxx หรอ 172.16.xxx.xxx) ในสมยกอนจะทำาการเชอมตอดวย leased line หลงจากทเกดการเตบโตของการใชงาน Internet และการพฒนาเทคโนโลยทเกยวของ การปรบปรงในเรอง ความเรวของการเชอมตอ ทำาใหเกดแนวคดในการแทนท leased line หรอ Frame Relay ซงมราคาแพงดวย Internet ทมราคาถกกวา แลวตงชอ Virtual Private Network
38
39
รปแบบของ VPN1. Remote Access VPN เปนการใหผใชสามารถ
ตดตอเขาใชงานเครอขายของบรษทได เชน พวกผบรหาร หรอ ฝายขาย ทออกไปทำางานนอกสถานทสามารถเชอมตอเขาเครอขายของบราทเพอเชคขาว อานเมล หรอ ใชงานโปรแกรม เพอเรยกดขอมล เปนตน อนนถาเปนสมยกอน กตองไปทสำานกงานทมอยในตางประเทศ ถาไมมกอาจจะตอง ใชการโทรทางไกลเขามาเชอมตอกบศนยคอมพวเตอรซงคาใชจายกสงดวยการใช VPN สามารถ login เขาส ระบบงานของบรษทโดยใชโปรแกรมจำาพวก VPN Client เชน Secureremote ของบรษท Checkpoint เปนตน วธการอยางนทำาใหเกดความคลองตวในการทำางานเปนอยางมาก
40
วธการทำางานของ Remote Access VPN ทสำานกงานจะตองมการเชอมตออนเตอรเนตตลอด
เวลาและลงโปรแกรม VPN Server / Gateway ไวเพอรบคอนเนคชน โปรแกรมทนยมไดแก Checkpoint firewall - 1 หรอ VPN - 1 ทำาหนาทรบ และตรวจสอบ การเชอมตอจากเครองลกขาย สำาหรบเครองลกขายกจะลงโปรแกรม VPN Client ซงจะตดตอกบเครองแมขาย เพอเขาใชงาน เครอขาย และตองสามารถตอเชอมอนเตอรเนต
41
รปแบบของ VPN2. LAN-to-LAN Connectivity กรณน จะเปน
เชอมตอระหวางเครอขาย 2 เครอขาย เชน เครอขายของสำานกงานสาขา เขากบเครอขาย ของสำานกงานงานใหญ กรณนทงสองสำานกงานจะทำาการเชอมตอ Internet ตลอดเวลา และทงสองฝงจะลง โปรแกรม VPN Server / gateway หรอสำาหรบสำานกงานสาขาอาจตดตงเพยงแคโปรแกรม VPN geteway อยางไรกตามปจจบนไดมผผลตเราเตอรทมความสามารถดาน VPN ออกมาขายไมวาจะเปนจาก CISO Checkpoint Sonicwall 42
หวใจสำาคญของ VPN คอ Tunnel ม 2 รปแบบ voluntary tunneling : เปนการทำา tunnel โดย ผใชทำาการตอเชอมกบ ISP หลงจากนน VPN Client โปรแกรมจะทำาการเชอมกบเครอขาย VPN
compulsory tunneling : วธนจะจดการโดย ISP โดยผใชเพยงแตเชอมตอเขา ISP เทานน หลงจากท กระบวนการตรวจสอบผใชเสรจสนระบบของ ISP จะทำาการเชอมตอเครองของผใชเขากบเครอขาย VPN ของผใช ซงการเชอมตอแบบนทาง ISP จะตองตดตงอปกรณเสรมทเรยกวา Front End Processor (FEP) หรอบางทเรยกวา POP Server (Point of Present Server)
43
VPN Protocol
Point - to - Point Tunneling Protocol (PPTP) : เปนเสปกทพฒนาขนโดยไมโครซอฟท โดยเปนโปรโตคอลทมาพรอมกบระบบปฏบตการของไมโครซอฟท
Layer Two Tunneling Protocol (L2TP) : พฒนาขนโดย CISCO ผผลตอปกรณเนตเวอรครายใหญInternet Protocol Security (IPsec) เปนกลมของโปรโตคอลหลายโปรโตคอล
IPsec สามารถใชเปน VPN protocol เองได หรอสามารถทำางานเปนสวนหนงของโปรโตคอลอน เชน PPTP, L2TP ในเรองการเขารหสขอมล
44
ขอด◦ลดคาใชจายจากการศกษาของ IDC พบวา VPN
สามารถลดคาใชจายในการเชอมตอแบบ WAN ไดราว 40 %
◦ความยดหยนสงขน โดยเฉพาะอยางยงในกรณการทำา Remote Access ใหผใชตดตอเขามาใชงานเครอขาย จากนอกสถานท
ขอเสย◦VPN ทำางานอยบน Internet ซงความเรว และ
การเขาถง และคณภาพ (speed and access) เปนเรองเหนอการควบคมของผดแลเครอขาย
◦VPN technologies ตางกนตามผขายแตละรายยงไมมมาตรฐานทใชรวมกนอยางแพรหลายมากนก
45
Reference http://www.dld.go.th: [Available: 5 December 2012]
Intrusion Detection, Firewall, James Joshi, 2008
พนดา พานชกล, ความมนคงปลอดภยของสารสนเทศ, 2553.
46