Submit Search
Upload
Information system security wk6-2
•
Download as PPTX, PDF
•
2 likes
•
829 views
Bee Lalita
Follow
If you have question Message me!
Read less
Read more
Education
Slideshow view
Report
Share
Slideshow view
Report
Share
1 of 20
Download now
Recommended
Information system security wk6-2
Information system security wk6-2
Bee Lalita
Firewall
Firewall
Pongdee Chaijunda
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Bee Lalita
Information system security wk6-1
Information system security wk6-1
Bee Lalita
Information system security wk4-2
Information system security wk4-2
Bee Lalita
Information system security wk3-2
Information system security wk3-2
Bee Lalita
Information system security wk5-1-pki
Information system security wk5-1-pki
Bee Lalita
Information system security wk6-1
Information system security wk6-1
Bee Lalita
Recommended
Information system security wk6-2
Information system security wk6-2
Bee Lalita
Firewall
Firewall
Pongdee Chaijunda
Information system security wk5-2-authentication
Information system security wk5-2-authentication
Bee Lalita
Information system security wk6-1
Information system security wk6-1
Bee Lalita
Information system security wk4-2
Information system security wk4-2
Bee Lalita
Information system security wk3-2
Information system security wk3-2
Bee Lalita
Information system security wk5-1-pki
Information system security wk5-1-pki
Bee Lalita
Information system security wk6-1
Information system security wk6-1
Bee Lalita
Information system security wk7-1-ids-ips
Information system security wk7-1-ids-ips
Bee Lalita
Information system security wk5-1-pki
Information system security wk5-1-pki
Bee Lalita
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Bee Lalita
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Bee Lalita
Information system security it346 wk4-1
Information system security it346 wk4-1
Bee Lalita
Information system security wk4-1
Information system security wk4-1
Bee Lalita
Information system security wk3-2
Information system security wk3-2
Bee Lalita
Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2
Bee Lalita
Information system security wk1-1
Information system security wk1-1
Bee Lalita
Information system security wk3-1
Information system security wk3-1
Bee Lalita
More Related Content
More from Bee Lalita
Information system security wk7-1-ids-ips
Information system security wk7-1-ids-ips
Bee Lalita
Information system security wk5-1-pki
Information system security wk5-1-pki
Bee Lalita
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Bee Lalita
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Bee Lalita
Information system security it346 wk4-1
Information system security it346 wk4-1
Bee Lalita
Information system security wk4-1
Information system security wk4-1
Bee Lalita
Information system security wk3-2
Information system security wk3-2
Bee Lalita
Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2
Bee Lalita
Information system security wk1-1
Information system security wk1-1
Bee Lalita
Information system security wk3-1
Information system security wk3-1
Bee Lalita
More from Bee Lalita
(10)
Information system security wk7-1-ids-ips
Information system security wk7-1-ids-ips
Information system security wk5-1-pki
Information system security wk5-1-pki
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Information system security wk4-cryptography-2
Information system security it346 wk4-1
Information system security it346 wk4-1
Information system security wk4-1
Information system security wk4-1
Information system security wk3-2
Information system security wk3-2
Information system security wk7-2-ids-ips_2
Information system security wk7-2-ids-ips_2
Information system security wk1-1
Information system security wk1-1
Information system security wk3-1
Information system security wk3-1
Information system security wk6-2
1.
IT346 Information System
Security Week 6-2: Firewall (2) – Firewall Rules อ.พงษ์ศกดิ์ ไผ่แดง ั Faculty of Information Technology Page 1
2.
นโยบายการรักษาความปลอดภัย สิ่ งที่สาคัญที่สุดสาหรับการใช้
firewall คือ การกาหนดนโยบายการรักษา ความปลอดภัย (Network Security Policy) ถึงแม้ว่า firewall จะมี ประสิ ทธิภาพแค่ไหน แต่ถามีนโยบายการรักษาความปลอดภัยที่ ้ หละหลวมก็ไม่มีประโยชน์มากนัก กฎที่บงคับใช้นโยบายการรักษาความปลอดภัยใน firewall นันเรียกว่า ั ้ ACL (Access Control List) หรือ Firewall Rule การตรวจสอบกฎใน ACL นัน ส่วนใหญ่เป็ นแบบ First Match โดย ้ ่ firewall จะตรวจสอบกฎทีละข้อตามลาดับจนกระทังพบกับกฎที่ตรงกับ เงื่อนไข Faculty of Information Technology Page 2
3.
ความสามารถของ Firewall บังคับใช้นโยบายด้านความปลอดภัยโดยการกาหนดกฎให้กบ ั ไฟร์วอลล์
ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิ ดใด ปองกันการ login ที่ไม่ได้รบอนุ ญาตที่มาจากภายนอกเครือข่าย ้ ั ปิ ดกันไม่ให้ traffic จากนอกเครือข่ายเข้ามาภายในเครือข่ายแต่ก็ยอมให้ ้ ผูที่อยู่ภายในเครือข่ายสามารถติดต่อกับโลกภายนอกได้ ้ เลื อกปองกันเน็ ตเวิรกบางส่วนจากการเข้าถึงของเน็ ตเวิรกภายนอก ้ ์ ์ ‣ เช่น ถ้าหากเรามีบางส่วนที่ตองการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่น ถ้ามี ้ Web Server) แต่ส่วนที่เหลือไม่ตองการให้ภายนอกเข้ามากรณี เช่นนี้ เรา ้ สามารถใช้ไฟร์วอลล์ช่วยได้ Faculty of Information Technology Page 3
4.
ความสามารถของ Firewall ทาให้การพิจารณาดูแลและการตัดสิ
นใจด้านความปลอดภัยของระบบ เป็ นไปได้ง่ายขึ้น ‣ เนื่ องจากการติดต่อทุกชนิ ดกับเน็ ตเวิรกภายนอกจะต้องผ่านไฟร์วอลล์ ์ ‣ การดูแลที่จุดนี้ เป็ นการดูแลความปลอดภัยในระดับของเน็ ตเวิรก (Network์ based Security) บันทึกข้อมูลกิจกรรมต่างๆ (audit) ที่ผ่านเข้าออกเน็ ตเวิรกได้อย่างมี ์ ประสิทธิภาพ ‣ Firewall เป็ นจุดรวมสาหรับการรักษาความปลอดภัยและการทา audit (เปรียบเสมือนจุดรับแรงกระแทกของเครือข่าย) ไฟร์วอลล์บางชนิ ดสามารถปองกันไวรัสได้โดยจะทาการตรวจไฟล์ที่ ้ โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP Faculty of Information Technology Page 4
5.
ข้อจากัดของ firewall Firewall
ไม่สามารถปองกันการโจมตี ท่ีไม่ได้กระทาผ่าน Firewall ้ ‣ อันตรายที่เกิดจากเน็ ตเวิรกภายในไม่สามารถปองกันได้เนื่ องจากอยู่ ์ ้ ภายในเน็ ตเวิรกเองไม่ได้ผ่านไฟร์วอลล์เข้ามา ์ ‣ อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์เช่นการ Dial-up เข้า มายังเน็ ตเวิรกภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์ ์ ไม่สามารถปองกันการโจมตี ที่เข้ามากับ application protocols ต่างๆ ้ (เรียกว่าการ tunneling) หรือ กับโปรแกรม client ที่มีความล่อแหลม และถูกดัดแปลงให้กระทาการโจมตีได้ (โปรแกรมที่ถกทาให้เป็ น Trojan horse) ู Faculty of Information Technology Page 5
6.
ข้อจากัดของ firewall ไม่สามารถปองกัน
virus ได้อย่างมีประสิ ทธิภาพ ้ ‣ ถึงแม้จะมีไฟร์วอลล์บางชนิ ดที่สามารถปองกันไวรัสได้แต่ก็ยงไม่มีไฟร์วอลล์ ้ ั ชนิ ดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆโปรโตคอล ‣ จานวน virus มีอยู่มากมาย จึงจะเป็ นการยากมากที่ firewall จะสามารถ ตรวจจับ pattern ของ virus ทังหมดได้ ้ Faculty of Information Technology Page 6
7.
ข้อดี-ข้อเสียของการใช้ไฟร์วอลล์ ข้อดี ่ ‣ ทาให้การจัดการด้านความมันคงง่ายขึ้
น ‣ สามารถที่จะสร้างการเก็บข้อมูลและการมอนิ เตอร์แบบขันซับซ้อนได้ ้ ‣ สามารถ VPN โดยการใช้ IPSec ไปหาเครื่องอื่นได้ ‣ สามารถแบ่งแยก หรือ แยกปั ญหาได้ ‣ ซ่อน IP address ของเครื่องภายใน จากภายนอกได้ ข้อเสี ย ‣ เป็ นคอขวดของระบบ ‣ เป็ นจุดผิ ดพลาดเพียงจุดเดียว ่ ‣ อาจความมันใจที่ผิดในสิ่งที่ทาที่คิดว่าถูก Faculty of Information Technology Page 7
8.
Rules of Packet
Filtering การทางานของ Packet Filtering อาศัยเงื่อนไขในการตัดสิ นใจว่าจะ อนุญาตให้ packet ใดๆผ่านไปหรือไม่ จากกฏใน Access Control List (ACL) ACL กาหนดเงื่อนไขของข้อมูลสื่ อสาร หรือ ทราฟฟิ ก (traffic) ที่ได้รบ ั อนุญาต (permit) ให้เข้าถึง หรือ ถูกปฏิเสธ (deny) ไม่ให้เข้าถึง เครือข่าย Faculty of Information Technology Page 8
9.
่ พฤติกรรมของ ACL โดยทัวไป
ลาดับบรรทัดของ Access Control Entry (ACE) แต่ละบรรทัดที่ถกสร้างลง ู ไปใน ACL จะมีความสาคัญมาก ทุกๆ ACL ที่สร้างขึ้ นมาจะมีเงื่อนไขสุดท้ายที่ถกซ่อนไว้เสมอ เรานิ ยม ู เรียกว่า implicit deny all ซึ่งคือ ทราฟิ กใดๆ ที่ไม่สอดคล้องกับเงื่อนไข ในบรรทัดต่างๆ ก่อนหน้านี้ ทราฟิ กนันจะถือว่า ถูกปฏิเสธ (deny/block) ้ ไปโดยปริยายและถูกโยนทิ้งไปโดยอัตโนมัติ Faculty of Information Technology Page 9
10.
่ พฤติกรรมของ ACL โดยทัวไป
ACL จะถูกไล่เปรียบเทียบจากบรรทัดบนลงล่าง ทีละบรรทัด จนกว่าจะพบ บรรทัดที่มีเงื่อนไขสอดคล้องกับแพ็กเก็ตที่วิ่งเข้ามาให้ตรวจเช็ กใน ขณะนัน ้ เมื่อเงื่อนไขที่สอดคล้อง Firewall (ซึ่งส่วนมากจะติ ดตังที่เราเตอร์) จะดู ้ ว่า action ที่ตงไว้เป็ น allow (permit) หรือ block (deny) ั้ ‣ หากเป็ น allow เราเตอร์จะอนุ ญาตให้ทราฟิ ก (traffic) นันวิ่งผ่านไปได้ ้ ‣ แต่ถาเป็ น block ทราฟิ ก (traffic) นันจะถูกโยนทิ้ง (drop) ไป ้ ้ Faculty of Information Technology Page 10
11.
ตัวอย่าง Firewall Rules Source Destination Protocol Action Address Port Address Port * * 119.46.85.5 * * Block * * 192.168.10.1 22 TCP Allow 192.168.*.* * * 22 TCP Allow * * * 80 TCP Allow * * * 80 UDP Allow * * * * * Block Faculty
of Information Technology Page 11
12.
ตัวอย่าง Firewall Rules
ไม่อนุญาตให้ host ใดๆ เชื่ อมต่อไปยัง IP Address 119.46.85.5 ไม่ว่าจะ เป็ น port ใดๆ หรือ protocol ใดๆ ‣ เช่น เมื่อ 119.46.85.5 เป็ น host อันตราย อนุญาตให้ host ใดๆ เชื่ อมต่อมายัง IP Address 192.168.10.1 ผ่าน port 22 ด้วย TCP protocol ได้ ‣ เช่น เมื่อ 192.168.10.1 เป็ น Server ของเรา และให้บริการ SSH (port 22) อนุญาตให้ host ภายในใดๆ เชื่ อมต่อไปยัง IP Address ใดๆ ผ่าน port 22 ด้วย TCP protocol ได้ ‣ อนุ ญาตให้เชื่ อมต่อไปยัง Server ใดก็ได้ที่ให้บริการ SSH อนุ ญาตการเชื่ อมต่อผ่าน port 80 (HTTP) ได้ทง TCP และ UDP protocol ั้ ไม่อนุ ญาตการเชื่ อมต่อแบบอื่ น ที่ไม่ระบุใน ACL Faculty of Information Technology Page 12
13.
ตัวอย่าง Packet Filtering
Rules Source Src Port Destination Dest Port Action Comment 75.13.126.11 * 75.13.126.11 * Block ไม่เชื่ อถือ server นี้ * * 192.168.1.1 25 Allow Connection มายัง SMTP ของเรา Packets มาจากหรือส่งไปยัง 75.13.126.11 ถูก blocked เนื่ องจากโฮสต์ดงกล่าวไม่น่าไว้วางใจ ั อนุ ญาตให้รบ inbound email (port 25 = SMTP incoming) จากภายนอกเข้ามาได้ แต่เข้ามายัง ั gateway 192.168.1.1 ได้เท่านัน ้ Source Src Port Destination Dest Port Flag Action Comment * * * * * Block Default มีการระบุ default policy มักใส่กฏข้อนี้ ไว้เป็ นข้อสุดท้ายเสมอ กล่าวคือ ให้ Block การเชื่ อมต่อที่ นอกเหนื อจากกฏที่ระบุไว้แล้ว Faculty of Information Technology Page 13
14.
ตัวอย่าง Packet Filtering
Rules Source Src Port Destination Dest Port 192.168.*.* * * * * * * * * * * >1024 Flag Comment Allow ACK Actio n Allow การเชื่ อมต่อขาออก ตอบกลับการเชื่ อมต่อขาออก Allow Traffic ไปยังเครื่องที่ไม่เป็ น Server หลังจากที่ TCP connection ถูกเชื่ อมต่อแล้ว จะมีการเซ็ต Flag ACK เพื่อตอบรับกลับ ตัวอย่างกฏที่จดการกับ FTP connections ั FTP ประกอบด้วยการเชื่ อมต่อแบบ TCP 2 การเชื่ อมต่อทางานประสานกัน: ‣ control connection ใช้ในการ setup ก่อนการส่งข้อมูล ‣ data connection ใช้ในการส่งข้อมูล Data connection ใช้ port หมายเลขที่กาหนดโดย Server โดยมักจะใช้ port หมายเลขสูงๆ กฏชุดนี้ อนุ ญาต ‣ Traffic จากเครื่อง client ภายใน สามารถเชื่ อมต่ออกไปออกไปภายนอกได้ ‣ Traffic จากภายนอก สามารถตอบกลับการเชื่ อมต่อ (ACK) เข้ามาหาเครื่องภายในใดๆได้ ‣ Traffic จากภายนอก สามารถเชื่ อมต่อมายังเครื่อง client เฉพาะที่เข้ามายัง port หมายเลขสูงๆ Faculty of Information Technology Page 14
15.
กิจกรรม 1: วิเคราะห์
Firewall Rules จับกลุ่ม 2 – 3 คน พิจารณา Firewall Rules ที่กาหนดให้ เพื่อวิเคราะห์ขอดี – ข้อจากัด ของ ้ Firewall Rules แต่ละชุด Faculty of Information Technology Page 15
16.
กิจกรรม 1: วิเคราะห์
Firewall Rules Source Src Port Destination Dest Port * * * 25 Flag Action Comment Allow Connection ไปยัง SMTP ภายนอก SMTP (Simple Mail Transfer Protocol) ใช้ Port 25 เป็ น port default ที่ รับการเชื่อมต่อสาหรับ SMTP จุดประสงค์ของกฏข้อนี้ คือ เพื่อที่จะอนุ ญาตให้เปิ ดการเชื่ อมต่อไปยัง บริการ SMTP ภายนอกได้ จุดอ่อนของการตัง Firewall Rules ในข้อนี้ คืออะไร จงอธิบาย ้ จงแนะนาการตัง Firewall Rules ที่เหมาะสมสาหรับกรณี น้ ี ้ Faculty of Information Technology Page 16
17.
สรุป ถึงแม้ว่า firewall
จะเป็ นเครื่องมือที่สามารถนามาใช้ปองกันการโจมตีจาก ้ ภายนอกเครือข่ายได้ อย่างมีประสิ ทธิภาพ การที่จะใช้ firewall ให้ได้ ประโยชน์สงสุดนันจะขึ้ นอยู่กบนโยบายความปลอดภัยโดยรวมของ ู ้ ั องค์กร ด้วย แม้แต่ firewall ที่ดีที่สุดก็ไม่สามารถนามาใช้แทนการมีจิตสานึ กในการที่ จะรักษาความปลอดภัย ภายในเครือข่ายของผูที่อยู่ในเครือข่ายนันเอง ้ ้ Faculty of Information Technology Page 17
18.
Network Address Translation
(NAT) NAT ไม่ใช่เทคโนโลยี ของ firewall แต่ firewall ส่วนใหญ่รวมฟั งก์ชนการ ั ทางานนี้ เข้าไว้ดวย ้ NAT เป็ นเทคโนโลยี ที่ใช้สาหรับการแก้ปัญหาหมายเลขไอพีบน อินเทอร์เน็ ตที่ไม่เพียงพอ Faculty of Information Technology Page 18
19.
Network Address Translation
(NAT) หลักการทางานของ NAT นันจะคล้ายกับหลักการทางานของ Stateful ้ Inspection Firewall แต่มีส่วนเพิ่มเติมคือ ‣ Firewall จะเปลี่ยนแอดเดรสของทุกแพ็กเก็ตที่ตองส่งออกไปข้างนอก ้ ‣ เมื่อ NAT gateway ได้รบแพ็กเก็ตจากคอมพิวเตอร์ภายในที่ใช้ Private IP ั (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24) ที่จะต้องส่งต่อไปยัง อินเทอร์เน็ ต NAT จะบันทึกหมายเลขไอพีที่เป็ น source address, source port, destination address, destination port หลังจากนัน NAT จะเปลี่ยน source ้ address ให้เป็ นหมายเลข IP address จริงของ firewall แล้วส่งต่อไป Faculty of Information Technology Page 19
20.
Network Address Translation
(NAT) 2: NAT router เปลี่ยน source address ของ datagram จาก 10.0.0.1, 3345 เป็ น 138.76.29.7 พอร์ต 5001, พร้อมอัปเดต NAT table 2 NAT translation table WAN side address 138.76.29.7, 5001 10.0.0.1, 3345 …… …… S: 10.0.0.1, 3345 D: 128.119.40.186, 80 10.0.0.1 S: 138.76.29.7, 5001 D: 128.119.40.186, 80 138.76.29.7 S: 128.119.40.186, 80 D: 138.76.29.7, 5001 3 3: Reply กลับมายัง destination address: 138.76.29.7 พอร์ต 5001 Faculty of Information Technology 1: host 10.0.0.1 ส่ง datagram ไปยัง 128.119.40.186, 80 LAN side address 1 10.0.0.4 S: 128.119.40.186, 80 D: 10.0.0.1, 3345 10.0.0.2 4 4: NAT router เปลี่ยน destination address ของ datagram จาก 138.76.29.7 พอร์ต 5001 เป็ น 10.0.0.1 พอร์ต 3345 10.0.0.3 Page 20
Download now