If you have question Message me!

1. IT346 Information System Security
Week 6-2: Firewall (2) – Firewall Rules
ผศ.ดร.มัชฌิกา อ่องแตง
Faculty of Information Technology
Page
1

2. นโยบายการรักษาความปลอดภัย
สิ่งที่สําคัญที่สุดสําหรับการใช้ firewall คือ การกําหนดนโยบายการรักษา
ความปลอดภัย (Network Security Policy) ถึงแม้ว่า firewall จะมี
ประสิทธิภาพแค่ไหน แต่ถ้ามีนโยบายการรักษาความปลอดภัยที่หละหลวมก็
ไม่มีประโยชน์มากนัก
กฎที่บังคับใช้นโยบายการรักษาความปลอดภัยใน firewall นั้นเรียกว่า ACL
(Access Control List) หรือ Firewall Rule
การตรวจสอบกฎใน ACL นั้น ส่วนใหญ่เป็นแบบ First Match โดย
firewall จะตรวจสอบกฎทีละข้อตามลําดับจนกระทั่งพบกับกฎที่ตรงกับ
เงื่อนไข
Faculty of Information Technology
Page
2

3. ความสามารถของ Firewall
บังคับใช้นโยบายด้านความปลอดภัยโดยการกําหนดกฎให้กับ
ไฟร์วอลล์ ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด
ป้องกันการ login ที่ไม่ได้รับอนุญาตที่มาจากภายนอกเครือข่าย
ปิดกั้นไม่ให้ traffic จากนอกเครือข่ายเข้ามาภายในเครือข่ายแต่ก็ยอมให้ผู้ที่
อยู่ภายในเครือข่ายสามารถติดต่อกับโลกภายนอกได้
เลือกป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก
‣ เช่น ถ้าหากเรามีบางส่วนที่ตองการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่น ถ้ามี Web
้
Server) แต่สวนที่เหลือไม่ตองการให้ภายนอกเข้ามากรณีเช่นนี้เราสามารถใช้ไฟร์
่
้
วอลล์ช่วยได้
Faculty of Information Technology
Page
3

4. ความสามารถของ Firewall
ทําให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไป
ได้ง่ายขึ้น
‣ เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์
‣ การดูแลที่จุดนีเป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก (Network้
based Security)
บันทึกข้อมูลกิจกรรมต่างๆ (audit) ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมี
ประสิทธิภาพ
‣ Firewall เป็นจุดรวมสําหรับการรักษาความปลอดภัยและการทํา audit
(เปรียบเสมือนจุดรับแรงกระแทกของเครือข่าย)
ไฟร์วอลล์บางชนิดสามารถป้องกันไวรัสได้โดยจะทําการตรวจไฟล์ที่โอนย้าย
ผ่านทางโปรโตคอล HTTP, FTP และ SMTP
Faculty of Information Technology
Page
4

5. ข้อจํากัดของ firewall
Firewall ไม่สามารถป้องกันการโจมตีที่ไม่ได้กระทําผ่าน Firewall
‣ อันตรายที่เกิดจากเน็ตเวิร์กภายในไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ต
เวิร์กเองไม่ได้ผ่านไฟร์วอลล์เข้ามา
‣ อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์เช่นการ Dial-up เข้า
มายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์
ไม่สามารถป้องกันการโจมตีที่เข้ามากับ application protocols ต่างๆ
(เรียกว่าการ tunneling) หรือ
กับโปรแกรม client ที่มีความล่อแหลม
และถูกดัดแปลงให้กระทําการโจมตีได้
(โปรแกรมที่ถูกทําให้เป็น Trojan horse)
Faculty of Information Technology
Page
5

6. ข้อจํากัดของ firewall
ไม่สามารถป้องกัน virus ได้อย่างมีประสิทธิภาพ
‣ ถึงแม้จะมีไฟร์วอลล์บางชนิดทีสามารถป้องกันไวรัสได้แต่ก็ยังไม่มไฟร์วอลล์ชนิด
่
ี
ใดทีสามารถตรวจสอบไวรัสได้ในทุกๆโปรโตคอล
่
‣ จํานวน virus มีอยูมากมาย จึงจะเป็นการยากมากที่ firewall จะสามารถ
่
ตรวจจับ pattern ของ virus ทั้งหมดได้
Faculty of Information Technology
Page
6

7. ข้อดี-ข้อเสียของการใช้ไฟร์วอลล์
ข้อดี
‣
‣
‣
‣
‣
ทําให้การจัดการด้านความมันคงง่ายขึ้น
่
สามารถที่จะสร้างการเก็บข้อมูลและการมอนิเตอร์แบบขั้นซับซ้อนได้
สามารถ VPN โดยการใช้ IPSec ไปหาเครื่องอื่นได้
สามารถแบ่งแยก หรือ แยกปัญหาได้
ซ่อน IP address ของเครื่องภายใน จากภายนอกได้
ข้อเสีย
‣ เป็นคอขวดของระบบ
‣ เป็นจุดผิดพลาดเพียงจุดเดียว
‣ อาจความมั่นใจที่ผิดในสิงที่ทาทีคิดว่าถูก
่ ํ ่
Faculty of Information Technology
Page
7

8. Rules of Packet Filtering
การทํางานของ Packet Filtering อาศัยเงื่อนไขในการตัดสินใจว่าจะ
อนุญาตให้ packet ใดๆผ่านไปหรือไม่ จากกฏใน Access Control List
(ACL)
ACL กําหนดเงื่อนไขของข้อมูลสื่อสาร หรือ ทราฟฟิก (traffic) ที่ได้รับ
อนุญาต (permit) ให้เข้าถึง หรือ ถูกปฏิเสธ (deny) ไม่ให้เข้าถึงเครือข่าย
Faculty of Information Technology
Page
8

9. พฤติกรรมของ ACL โดยทั่วไป
ลําดับบรรทัดของ Access Control Entry (ACE) แต่ละบรรทัดที่ถูกสร้าง
ลงไปใน ACL จะมีความสําคัญมาก
ทุกๆ ACL ที่สร้างขึ้นมาจะมีเงื่อนไขสุดท้ายที่ถูกซ่อนไว้เสมอ เรานิยม
เรียกว่า implicit deny all ซึ่งคือ ทราฟิกใดๆ ที่ไม่สอดคล้องกับเงื่อนไขใน
บรรทัดต่างๆ ก่อนหน้านี้ ทราฟิกนั้นจะถือว่า ถูกปฏิเสธ (deny/block) ไป
โดยปริยายและถูกโยนทิ้งไปโดยอัตโนมัติ
Faculty of Information Technology
Page
9

10. พฤติกรรมของ ACL โดยทั่วไป
ACL จะถูกไล่เปรียบเทียบจากบรรทัดบนลงล่าง ทีละบรรทัด จนกว่าจะพบ
บรรทัดที่มีเงื่อนไขสอดคล้องกับแพ็กเก็ตที่วิ่งเข้ามาให้ตรวจเช็กในขณะนั้น
เมื่อเงื่อนไขที่สอดคล้อง Firewall (ซึ่งส่วนมากจะติดตั้งที่เราเตอร์) จะดูว่า
action ที่ตั้งไว้เป็น allow (permit) หรือ block (deny)
‣ หากเป็น allow เราเตอร์จะอนุญาตให้ทราฟิก (traffic) นั้นวิ่งผ่านไปได้
‣ แต่ถ้าเป็น block ทราฟิก (traffic) นั้นจะถูกโยนทิง (drop) ไป
้
Faculty of Information Technology
Page
10

11. ตัวอย่าง Firewall Rules
Source
Destination
Protocol
Action
Address
Port
Address
Port
*
*
119.46.85.5
*
*
Block
*
*
192.168.10.1
22
TCP
Allow
192.168.*.*
*
*
22
TCP
Allow
*
*
*
80
TCP
Allow
*
*
*
80
UDP
Allow
*
*
*
*
*
Block
Faculty of Information Technology
Page
11

12. ตัวอย่าง Firewall Rules
ไม่อนุญาตให้ host ใดๆ เชื่อมต่อไปยัง IP Address 119.46.85.5 ไม่ว่าจะเป็น
port ใดๆ หรือ protocol ใดๆ
‣ เช่น เมื่อ 119.46.85.5 เป็น host อันตราย
อนุญาตให้ host ใดๆ เชื่อมต่อมายัง IP Address 192.168.10.1 ผ่าน port
22 ด้วย TCP protocol ได้
‣ เช่น เมื่อ 192.168.10.1 เป็น Server ของเรา และให้บริการ SSH (port 22)
อนุญาตให้ host ภายในใดๆ เชื่อมต่อไปยัง IP Address ใดๆ ผ่าน port 22
ด้วย TCP protocol ได้
‣ อนุญาตให้เชื่อมต่อไปยัง Server ใดก็ได้ที่ให้บริการ SSH
อนุญาตการเชื่อมต่อผ่าน port 80 (HTTP) ได้ทั้ง TCP และ UDP protocol
ไม่อนุญาตการเชื่อมต่อแบบอื่น ที่ไม่ระบุใน ACL
Faculty of Information Technology
Page
12

13. ตัวอย่าง Packet Filtering Rules
Source
Src
Port
Destination
Dest
Port
Action
Comment
75.13.126.11
*
75.13.126.11
*
Block
ไม่เชือถือ server นี้
่
*
*
192.168.1.1
25
Allow
Connection มายัง SMTP ของเรา
Packets มาจากหรือส่งไปยัง 75.13.126.11 ถูก blocked เนื่องจากโฮสต์ดังกล่าวไม่น่าไว้วางใจ
อนุญาตให้รับ inbound email (port 25 = SMTP incoming) จากภายนอกเข้ามาได้ แต่เข้ามายัง
gateway 192.168.1.1 ได้เท่านั้น
Source
Src
Port
Destination
Dest
Port
Flag
Action
Comment
*
*
*
*
*
Block
Default
มีการระบุ default policy มักใส่กฏข้อนี้ไว้เป็นข้อสุดท้ายเสมอ กล่าวคือ ให้ Block การเชื่อมต่อที่
นอกเหนือจากกฏที่ระบุไว้แล้ว
Faculty of Information Technology
Page
13

14. ตัวอย่าง Packet Filtering Rules
Source
Src
Port
Destination
Dest
Port
192.168.*.*
*
*
*
*
*
*
*
*
*
*
>1024
Flag
Comment
Allow
ACK
Actio
n
การเชื่อมต่อขาออก
Allow
ตอบกลับการเชื่อมต่อขาออก
Allow
Traffic ไปยังเครื่องที่ไม่เป็น Server
หลังจากที่ TCP connection ถูกเชื่อมต่อแล้ว จะมีการเซ็ต Flag ACK เพื่อตอบรับกลับ
ตัวอย่างกฏที่จัดการกับ FTP connections
FTP ประกอบด้วยการเชื่อมต่อแบบ TCP 2 การเชื่อมต่อทํางานประสานกัน:
‣ control connection ใช้ในการ setup ก่อนการส่งข้อมูล
‣ data connection ใช้ในการส่งข้อมูล
Data connection ใช้ port หมายเลขที่กําหนดโดย Server โดยมักจะใช้ port หมายเลขสูงๆ
กฏชุดนี้อนุญาต
‣ Traffic จากเครือง client ภายใน สามารถเชื่อมต่ออกไปออกไปภายนอกได้
่
‣ Traffic จากภายนอก สามารถตอบกลับการเชื่อมต่อ (ACK) เข้ามาหาเครื่องภายในใดๆได้
‣ Traffic จากภายนอก สามารถเชื่อมต่อมายังเครื่อง client เฉพาะที่เข้ามายัง port หมายเลขสูงๆ
Faculty of Information Technology
Page
14

15. กิจกรรม 1: วิเคราะห์ Firewall Rules
จับกลุ่ม 2 – 3 คน
พิจารณา Firewall Rules ที่กําหนดให้ เพื่อวิเคราะห์ข้อดี – ข้อจํากัด ของ
Firewall Rules แต่ละชุด
Faculty of Information Technology
Page
15

16. กิจกรรม 1: วิเคราะห์ Firewall Rules
Source
Src
Port
Destination
Dest
Port
*
*
*
25
Flag
Action
Comment
Allow
Connection ไปยัง SMTP ภายนอก
SMTP (Simple Mail Transfer Protocol) ใช้ Port 25 เป็น port
default ที่รับการเชื่อมต่อสําหรับ SMTP
จุดประสงค์ของกฏข้อนี้คือ เพื่อที่จะอนุญาตให้เปิดการเชื่อมต่อไปยังบริการ
SMTP ภายนอกได้
จุดอ่อนของการตั้ง Firewall Rules ในข้อนี้คืออะไร จงอธิบาย
จงแนะนําการตั้ง Firewall Rules ที่เหมาะสมสําหรับกรณีนี้
Faculty of Information Technology
Page
16

17. สรุป
ถึงแม้ว่า firewall จะเป็นเครื่องมือที่สามารถนํามาใช้ป้องกันการโจมตีจาก
ภายนอกเครือข่ายได้ อย่างมีประสิทธิภาพ การที่จะใช้ firewall ให้ได้
ประโยชน์สูงสุดนั้นจะขึนอยู่กับนโยบายความปลอดภัยโดยรวมขององค์กร
้
ด้วย
แม้แต่ firewall ที่ดีที่สุดก็ไม่สามารถนํามาใช้แทนการมีจิตสํานึกในการที่จะ
รักษาความปลอดภัย ภายในเครือข่ายของผู้ที่อยู่ในเครือข่ายนั้นเอง
Faculty of Information Technology
Page
17

18. Network Address Translation (NAT)
NAT ไม่ใช่เทคโนโลยีของ firewall แต่ firewall ส่วนใหญ่รวมฟังก์ชันการ
ทํางานนี้เข้าไว้ด้วย
NAT เป็นเทคโนโลยีที่ใช้สําหรับการแก้ปัญหาหมายเลขไอพีบนอินเทอร์เน็ต
ที่ไม่เพียงพอ
Faculty of Information Technology
Page
18

19. Network Address Translation (NAT)
หลักการทํางานของ NAT นั้นจะคล้ายกับหลักการทํางานของ Stateful
Inspection Firewall แต่มีส่วนเพิ่มเติมคือ
‣ Firewall จะเปลี่ยนแอดเดรสของทุกแพ็กเก็ตที่ต้องส่งออกไปข้างนอก
‣ เมื่อ NAT gateway ได้รับแพ็กเก็ตจากคอมพิวเตอร์ภายในที่ใช้ Private IP
(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24) ที่จะต้องส่งต่อไปยัง
อินเทอร์เน็ต NAT จะบันทึกหมายเลขไอพีที่เป็น source address, source
port, destination address, destination port หลังจากนั้น NAT จะเปลี่ยน
source address ให้เป็นหมายเลข IP address จริงของ firewall แล้วส่งต่อไป
Faculty of Information Technology
Page
19

20. Network Address Translation (NAT)
2: NAT router
เปลี่ยน source address
ของ datagram จาก
10.0.0.1, 3345 เป็น
138.76.29.7 พอร์ต
5001, พร้อมอัปเดต
NAT table
2
WAN side address
LAN side address
138.76.29.7, 5001 10.0.0.1, 3345
……
……
S: 10.0.0.1, 3345
D: 128.119.40.186, 80
10.0.0.1
S: 138.76.29.7, 5001
D: 128.119.40.186, 80
138.76.29.7
S: 128.119.40.186, 80
D: 138.76.29.7, 5001
3
3: Reply กลับมายัง
destination address:
138.76.29.7 พอร์ต 5001
Faculty of Information Technology
1: host 10.0.0.1
ส่ง datagram ไปยัง
128.119.40.186, 80
NAT translation table
1
10.0.0.4
S: 128.119.40.186, 80
D: 10.0.0.1, 3345
10.0.0.2
4
4: NAT router
เปลี่ยน destination address
ของ datagram จาก
138.76.29.7 พอร์ต 5001
เป็น 10.0.0.1 พอร์ต 3345
10.0.0.3
Page
20