If you have question Message me!

1. IT346 Information System Security
Week 6-2: Firewall (2) – Firewall Rules
อ.พงษ์ศกดิ์ ไผ่แดง
ั
Faculty of Information Technology
Page
1

2. นโยบายการรักษาความปลอดภัย
 สิ่ งที่สาคัญที่สุดสาหรับการใช้ firewall คือ การกาหนดนโยบายการรักษา
ความปลอดภัย (Network Security Policy) ถึงแม้ว่า firewall จะมี
ประสิ ทธิภาพแค่ไหน แต่ถามีนโยบายการรักษาความปลอดภัยที่
้
หละหลวมก็ไม่มีประโยชน์มากนัก
 กฎที่บงคับใช้นโยบายการรักษาความปลอดภัยใน firewall นันเรียกว่า
ั
้
ACL (Access Control List) หรือ Firewall Rule
 การตรวจสอบกฎใน ACL นัน ส่วนใหญ่เป็ นแบบ First Match โดย
้
่
firewall จะตรวจสอบกฎทีละข้อตามลาดับจนกระทังพบกับกฎที่ตรงกับ
เงื่อนไข
Faculty of Information Technology
Page
2

3. ความสามารถของ Firewall
 บังคับใช้นโยบายด้านความปลอดภัยโดยการกาหนดกฎให้กบ
ั
ไฟร์วอลล์ ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิ ดใด
 ปองกันการ login ที่ไม่ได้รบอนุ ญาตที่มาจากภายนอกเครือข่าย
้
ั
 ปิ ดกันไม่ให้ traffic จากนอกเครือข่ายเข้ามาภายในเครือข่ายแต่ก็ยอมให้
้
ผูที่อยู่ภายในเครือข่ายสามารถติดต่อกับโลกภายนอกได้
้
 เลื อกปองกันเน็ ตเวิรกบางส่วนจากการเข้าถึงของเน็ ตเวิรกภายนอก
้
์
์
‣ เช่น ถ้าหากเรามีบางส่วนที่ตองการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่น ถ้ามี
้
Web Server) แต่ส่วนที่เหลือไม่ตองการให้ภายนอกเข้ามากรณี เช่นนี้ เรา
้
สามารถใช้ไฟร์วอลล์ช่วยได้
Faculty of Information Technology
Page
3

4. ความสามารถของ Firewall
 ทาให้การพิจารณาดูแลและการตัดสิ นใจด้านความปลอดภัยของระบบ
เป็ นไปได้ง่ายขึ้น
‣ เนื่ องจากการติดต่อทุกชนิ ดกับเน็ ตเวิรกภายนอกจะต้องผ่านไฟร์วอลล์
์
‣ การดูแลที่จุดนี้ เป็ นการดูแลความปลอดภัยในระดับของเน็ ตเวิรก (Network์
based Security)
 บันทึกข้อมูลกิจกรรมต่างๆ (audit) ที่ผ่านเข้าออกเน็ ตเวิรกได้อย่างมี
์
ประสิทธิภาพ
‣ Firewall เป็ นจุดรวมสาหรับการรักษาความปลอดภัยและการทา audit
(เปรียบเสมือนจุดรับแรงกระแทกของเครือข่าย)
 ไฟร์วอลล์บางชนิ ดสามารถปองกันไวรัสได้โดยจะทาการตรวจไฟล์ที่
้
โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP
Faculty of Information Technology
Page
4

5. ข้อจากัดของ firewall
 Firewall ไม่สามารถปองกันการโจมตี ท่ีไม่ได้กระทาผ่าน Firewall
้
‣ อันตรายที่เกิดจากเน็ ตเวิรกภายในไม่สามารถปองกันได้เนื่ องจากอยู่
์
้
ภายในเน็ ตเวิรกเองไม่ได้ผ่านไฟร์วอลล์เข้ามา
์
‣ อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์เช่นการ Dial-up เข้า
มายังเน็ ตเวิรกภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์
์
 ไม่สามารถปองกันการโจมตี ที่เข้ามากับ application protocols ต่างๆ
้
(เรียกว่าการ tunneling) หรือ
กับโปรแกรม client ที่มีความล่อแหลม
และถูกดัดแปลงให้กระทาการโจมตีได้
(โปรแกรมที่ถกทาให้เป็ น Trojan horse)
ู
Faculty of Information Technology
Page
5

6. ข้อจากัดของ firewall
 ไม่สามารถปองกัน virus ได้อย่างมีประสิ ทธิภาพ
้
‣ ถึงแม้จะมีไฟร์วอลล์บางชนิ ดที่สามารถปองกันไวรัสได้แต่ก็ยงไม่มีไฟร์วอลล์
้
ั
ชนิ ดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆโปรโตคอล
‣ จานวน virus มีอยู่มากมาย จึงจะเป็ นการยากมากที่ firewall จะสามารถ
ตรวจจับ pattern ของ virus ทังหมดได้
้
Faculty of Information Technology
Page
6

7. ข้อดี-ข้อเสียของการใช้ไฟร์วอลล์
 ข้อดี
่
‣ ทาให้การจัดการด้านความมันคงง่ายขึ้ น
‣ สามารถที่จะสร้างการเก็บข้อมูลและการมอนิ เตอร์แบบขันซับซ้อนได้
้
‣ สามารถ VPN โดยการใช้ IPSec ไปหาเครื่องอื่นได้
‣ สามารถแบ่งแยก หรือ แยกปั ญหาได้
‣ ซ่อน IP address ของเครื่องภายใน จากภายนอกได้
 ข้อเสี ย
‣ เป็ นคอขวดของระบบ
‣ เป็ นจุดผิ ดพลาดเพียงจุดเดียว
่
‣ อาจความมันใจที่ผิดในสิ่งที่ทาที่คิดว่าถูก
Faculty of Information Technology
Page
7

8. Rules of Packet Filtering
 การทางานของ Packet Filtering อาศัยเงื่อนไขในการตัดสิ นใจว่าจะ
อนุญาตให้ packet ใดๆผ่านไปหรือไม่ จากกฏใน Access Control List
(ACL)
 ACL กาหนดเงื่อนไขของข้อมูลสื่ อสาร หรือ ทราฟฟิ ก (traffic) ที่ได้รบ
ั
อนุญาต (permit) ให้เข้าถึง หรือ ถูกปฏิเสธ (deny) ไม่ให้เข้าถึง
เครือข่าย
Faculty of Information Technology
Page
8

9. ่
พฤติกรรมของ ACL โดยทัวไป
 ลาดับบรรทัดของ Access Control Entry (ACE) แต่ละบรรทัดที่ถกสร้างลง
ู
ไปใน ACL จะมีความสาคัญมาก
 ทุกๆ ACL ที่สร้างขึ้ นมาจะมีเงื่อนไขสุดท้ายที่ถกซ่อนไว้เสมอ เรานิ ยม
ู
เรียกว่า implicit deny all ซึ่งคือ ทราฟิ กใดๆ ที่ไม่สอดคล้องกับเงื่อนไข
ในบรรทัดต่างๆ ก่อนหน้านี้ ทราฟิ กนันจะถือว่า ถูกปฏิเสธ (deny/block)
้
ไปโดยปริยายและถูกโยนทิ้งไปโดยอัตโนมัติ
Faculty of Information Technology
Page
9

10. ่
พฤติกรรมของ ACL โดยทัวไป
 ACL จะถูกไล่เปรียบเทียบจากบรรทัดบนลงล่าง ทีละบรรทัด จนกว่าจะพบ
บรรทัดที่มีเงื่อนไขสอดคล้องกับแพ็กเก็ตที่วิ่งเข้ามาให้ตรวจเช็ กใน
ขณะนัน
้
 เมื่อเงื่อนไขที่สอดคล้อง Firewall (ซึ่งส่วนมากจะติ ดตังที่เราเตอร์) จะดู
้
ว่า action ที่ตงไว้เป็ น allow (permit) หรือ block (deny)
ั้
‣ หากเป็ น allow เราเตอร์จะอนุ ญาตให้ทราฟิ ก (traffic) นันวิ่งผ่านไปได้
้
‣ แต่ถาเป็ น block ทราฟิ ก (traffic) นันจะถูกโยนทิ้ง (drop) ไป
้
้
Faculty of Information Technology
Page
10

11. ตัวอย่าง Firewall Rules
Source
Destination
Protocol
Action
Address
Port
Address
Port
*
*
119.46.85.5
*
*
Block
*
*
192.168.10.1
22
TCP
Allow
192.168.*.*
*
*
22
TCP
Allow
*
*
*
80
TCP
Allow
*
*
*
80
UDP
Allow
*
*
*
*
*
Block
Faculty of Information Technology
Page
11

12. ตัวอย่าง Firewall Rules
 ไม่อนุญาตให้ host ใดๆ เชื่ อมต่อไปยัง IP Address 119.46.85.5 ไม่ว่าจะ
เป็ น port ใดๆ หรือ protocol ใดๆ
‣ เช่น เมื่อ 119.46.85.5 เป็ น host อันตราย
 อนุญาตให้ host ใดๆ เชื่ อมต่อมายัง IP Address 192.168.10.1 ผ่าน
port 22 ด้วย TCP protocol ได้
‣ เช่น เมื่อ 192.168.10.1 เป็ น Server ของเรา และให้บริการ SSH (port 22)
 อนุญาตให้ host ภายในใดๆ เชื่ อมต่อไปยัง IP Address ใดๆ ผ่าน port 22
ด้วย TCP protocol ได้
‣ อนุ ญาตให้เชื่ อมต่อไปยัง Server ใดก็ได้ที่ให้บริการ SSH
 อนุ ญาตการเชื่ อมต่อผ่าน port 80 (HTTP) ได้ทง TCP และ UDP protocol
ั้
 ไม่อนุ ญาตการเชื่ อมต่อแบบอื่ น ที่ไม่ระบุใน ACL
Faculty of Information Technology
Page
12

13. ตัวอย่าง Packet Filtering Rules
Source
Src
Port
Destination
Dest
Port
Action
Comment
75.13.126.11
*
75.13.126.11
*
Block
ไม่เชื่ อถือ server นี้
*
*
192.168.1.1
25
Allow
Connection มายัง SMTP ของเรา
 Packets มาจากหรือส่งไปยัง 75.13.126.11 ถูก blocked เนื่ องจากโฮสต์ดงกล่าวไม่น่าไว้วางใจ
ั
 อนุ ญาตให้รบ inbound email (port 25 = SMTP incoming) จากภายนอกเข้ามาได้ แต่เข้ามายัง
ั
gateway 192.168.1.1 ได้เท่านัน
้
Source
Src
Port
Destination
Dest
Port
Flag
Action
Comment
*
*
*
*
*
Block
Default
 มีการระบุ default policy มักใส่กฏข้อนี้ ไว้เป็ นข้อสุดท้ายเสมอ กล่าวคือ ให้ Block การเชื่ อมต่อที่
นอกเหนื อจากกฏที่ระบุไว้แล้ว
Faculty of Information Technology
Page
13

14. ตัวอย่าง Packet Filtering Rules
Source
Src
Port
Destination
Dest
Port
192.168.*.*
*
*
*
*
*
*
*
*
*
*
>1024
Flag
Comment
Allow
ACK
Actio
n
Allow
การเชื่ อมต่อขาออก
ตอบกลับการเชื่ อมต่อขาออก
Allow
Traffic ไปยังเครื่องที่ไม่เป็ น Server
 หลังจากที่ TCP connection ถูกเชื่ อมต่อแล้ว จะมีการเซ็ต Flag ACK เพื่อตอบรับกลับ
ตัวอย่างกฏที่จดการกับ FTP connections
ั
 FTP ประกอบด้วยการเชื่ อมต่อแบบ TCP 2 การเชื่ อมต่อทางานประสานกัน:
‣ control connection ใช้ในการ setup ก่อนการส่งข้อมูล
‣ data connection ใช้ในการส่งข้อมูล
 Data connection ใช้ port หมายเลขที่กาหนดโดย Server โดยมักจะใช้ port หมายเลขสูงๆ
 กฏชุดนี้ อนุ ญาต
‣ Traffic จากเครื่อง client ภายใน สามารถเชื่ อมต่ออกไปออกไปภายนอกได้
‣ Traffic จากภายนอก สามารถตอบกลับการเชื่ อมต่อ (ACK) เข้ามาหาเครื่องภายในใดๆได้
‣ Traffic จากภายนอก สามารถเชื่ อมต่อมายังเครื่อง client เฉพาะที่เข้ามายัง port หมายเลขสูงๆ
Faculty of Information Technology
Page
14

15. กิจกรรม 1: วิเคราะห์ Firewall Rules
 จับกลุ่ม 2 – 3 คน
 พิจารณา Firewall Rules ที่กาหนดให้ เพื่อวิเคราะห์ขอดี – ข้อจากัด ของ
้
Firewall Rules แต่ละชุด
Faculty of Information Technology
Page
15

16. กิจกรรม 1: วิเคราะห์ Firewall Rules
Source
Src
Port
Destination
Dest
Port
*
*
*
25
Flag
Action
Comment
Allow
Connection ไปยัง SMTP ภายนอก
 SMTP (Simple Mail Transfer Protocol) ใช้ Port 25 เป็ น port default ที่
รับการเชื่อมต่อสาหรับ SMTP
 จุดประสงค์ของกฏข้อนี้ คือ เพื่อที่จะอนุ ญาตให้เปิ ดการเชื่ อมต่อไปยัง
บริการ SMTP ภายนอกได้
 จุดอ่อนของการตัง Firewall Rules ในข้อนี้ คืออะไร จงอธิบาย
้
 จงแนะนาการตัง Firewall Rules ที่เหมาะสมสาหรับกรณี น้ ี
้
Faculty of Information Technology
Page
16

17. สรุป
 ถึงแม้ว่า firewall จะเป็ นเครื่องมือที่สามารถนามาใช้ปองกันการโจมตีจาก
้
ภายนอกเครือข่ายได้ อย่างมีประสิ ทธิภาพ การที่จะใช้ firewall ให้ได้
ประโยชน์สงสุดนันจะขึ้ นอยู่กบนโยบายความปลอดภัยโดยรวมของ
ู
้
ั
องค์กร ด้วย
 แม้แต่ firewall ที่ดีที่สุดก็ไม่สามารถนามาใช้แทนการมีจิตสานึ กในการที่
จะรักษาความปลอดภัย ภายในเครือข่ายของผูที่อยู่ในเครือข่ายนันเอง
้
้
Faculty of Information Technology
Page
17

18. Network Address Translation (NAT)
 NAT ไม่ใช่เทคโนโลยี ของ firewall แต่ firewall ส่วนใหญ่รวมฟั งก์ชนการ
ั
ทางานนี้ เข้าไว้ดวย
้
 NAT เป็ นเทคโนโลยี ที่ใช้สาหรับการแก้ปัญหาหมายเลขไอพีบน
อินเทอร์เน็ ตที่ไม่เพียงพอ
Faculty of Information Technology
Page
18

19. Network Address Translation (NAT)
 หลักการทางานของ NAT นันจะคล้ายกับหลักการทางานของ Stateful
้
Inspection Firewall แต่มีส่วนเพิ่มเติมคือ
‣ Firewall จะเปลี่ยนแอดเดรสของทุกแพ็กเก็ตที่ตองส่งออกไปข้างนอก
้
‣ เมื่อ NAT gateway ได้รบแพ็กเก็ตจากคอมพิวเตอร์ภายในที่ใช้ Private IP
ั
(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24) ที่จะต้องส่งต่อไปยัง
อินเทอร์เน็ ต NAT จะบันทึกหมายเลขไอพีที่เป็ น source address, source port,
destination address, destination port หลังจากนัน NAT จะเปลี่ยน source
้
address ให้เป็ นหมายเลข IP address จริงของ firewall แล้วส่งต่อไป
Faculty of Information Technology
Page
19

20. Network Address Translation (NAT)
2: NAT router
เปลี่ยน source address
ของ datagram จาก
10.0.0.1, 3345 เป็ น
138.76.29.7 พอร์ต
5001, พร้อมอัปเดต
NAT table
2
NAT translation table
WAN side address
138.76.29.7, 5001 10.0.0.1, 3345
……
……
S: 10.0.0.1, 3345
D: 128.119.40.186, 80
10.0.0.1
S: 138.76.29.7, 5001
D: 128.119.40.186, 80
138.76.29.7
S: 128.119.40.186, 80
D: 138.76.29.7, 5001
3
3: Reply กลับมายัง
destination address:
138.76.29.7 พอร์ต 5001
Faculty of Information Technology
1: host 10.0.0.1
ส่ง datagram ไปยัง
128.119.40.186, 80
LAN side address
1
10.0.0.4
S: 128.119.40.186, 80
D: 10.0.0.1, 3345
10.0.0.2
4
4: NAT router
เปลี่ยน destination address
ของ datagram จาก
138.76.29.7 พอร์ต 5001
เป็ น 10.0.0.1 พอร์ต 3345
10.0.0.3
Page
20