MS1 Thanin MuangpoolMS1 Thanin Muangpool

Firewall คอ ระบบทใชในการเพมประสทธภาพในการรกษาความFirewall คอ ระบบทใชในการเพมประสทธภาพในการรกษาความ

มนคงปลอดภยของระบบคอมพวเตอร และใชในการปองกนการบกรกใน

ไ ไ ใ ใ ระบบเครอขายคอมพวเตอรจากผทไมได รบอนญาตใหใชงานระบบ

ดงกลาว โดย Firewall จะถกใชเปนตวกาหนดกฎเกณฑในการควบคม

การเขา-ออก หรอการควบคมการรบ-สงขอมล ระหวางระบบเครอขาย

ภายใน (Internal Private Network) กบเครอขายภายนอก (External

Public Network) ใหเปนไปตามนโยบายขององคกร

Firewall จาแนกไดเปน 2 กลม ดงนFirewall จาแนกไดเปน 2 กลม ดงน

1. Processing Mode

2. Development Generation

Processing Mode แบงออกเปน 5 ประเภท ดงนProcessing Mode แบงออกเปน 5 ประเภท ดงน

1. Packet Filtering

2. Application Firewall

3. Circuit Gatewaysy

4. MAC Layer

b id i ll5. Hybrid Firewall

Packet Filter ทางานโดยทาการหาเสนทางและสงตออยางมเงอนไข Packet Filter ทางานโดยทาการหาเสนทางและสงตออยางมเงอนไข

(Screening Router) โดยจะพจารณาจากขอมลสวนทอยใน header

P k (R l ) ไ ของ Packet ทผานเขามา เทยบกบกฎ (Rules) ทกาหนดไว และตดสนวา

ควรจะทง (Drop) หรอวาจะยอม (Accept) Packet

Packet Filter จะทางานท Internet Layer and Transport Layer Packet Filter จะทางานท Internet Layer and Transport Layer

ใน Internet Model

ใ ใน Internet Layer จะม Attribute ทสาคญตอ Packet Filtering

ดงน

- Source Port

Destination Port- Destination Port

- Type of Protocol (TCP UDP และ ICMP)

ใน Transport Layer จะม Attribute ทสาคญตอ Packet ใน Transport Layer จะม Attribute ทสาคญตอ Packet

Filtering ดงน

- Source Port

- Destination Port

- Flag (TCP)

ICMP M (ICMP)- ICMP Massage (ICMP)

Port ของ Transport Layer ทง TCP และ UDP นน

จะเปนสงทบอกถง Application ท Packet ตองการตดตอ

เชน Port 80 หมายถง HTTP

Port 21 หมายถง FTP เปนตน

Address Restriction Rule เปนกฎการตรวจสอบ Data Packet Address Restriction Rule เปนกฎการตรวจสอบ Data Packet

ซงจะทาการตดตงไวทอปกรณเครอขาย เชน Router โดยจะกาหนด

R l ไ ใ A C l AC ไ ป Rule ไวในตาราง Access Control List : ACL เพอเกบไวเปรยบเทยบ

กบ Data Packet ทเขามาวาจะยอมรบหรอปฏเสธ ตวอยางเชน

Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ

1. Static Filtering or Constant or Unchanging Filtering

เปนการตรวจสอบวาอนญาตหรอปฏเสธ Data Packet พรอมกบเลอกวา

จะเปดหรอปด Port ทถกรองขอจากการเชอมตอภายนอก ถาเปดกเปด

ทงหมด ถาปดกปดทงหมด จงเปนชองโหวใหถกโจมตไดงายจากผไมหวงด

Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ

2. Dynamic Filtering เปนกลไกทยดหยนกวาแบบ Static

ไ Filtering เพราะสามารถทจะเลอกเปด Port ทตองการได ซงจะทาการ

ตรวจสอบจาก Request ทมาพรอมกบ Packet ทตองการใหเปด Port

และจะเปดจนกวาจะจบ Session ของการทางาน

Packet Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอPacket Filtering Firewall แบงชนดยอยออกเปน 3 ชนด คอ

3. Stateful Inspection or Stateful Firewall เปนกลไกท

รวมทง Static and Dynamic Filtering เขาดวยกน แตจะมเพมการ

กาหนดระยะเวลา เมอ Packet ใดไมมการตอบรบภายในระยะเวลาท

กาหนด Firewall จะตดการเชอมตอ เพอสรางการเชอมตอกบ Request

ใหมทนท

Application Firewall or Application-Level Firewall or Application Application Firewall or Application Level Firewall or Application

Gateway ทาหนาทเพมความปลอดภยของ Network System โดยการควบคมการ

เชอมตอระหวาง Network ภายในและภายนอก Proxy จะชวยเพมความปลอดภยเชอมตอระหวาง Network ภายในและภายนอก Proxy จะชวยเพมความปลอดภย

ไดมากเนองจากมการตรวจสอบขอมลถงในระดบของ Application Layer

เมอ Client ตองการใชเซอรวสภายนอก Client จะทาการตดตอไปยง Proxy เมอ Client ตองการใชเซอรวสภายนอก Client จะทาการตดตอไปยง Proxy

กอน Client จะเจรจา กบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางให เมอ

Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ 2 การเชอมตอ คอ Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ 2 การเชอมตอ คอ

Client กบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะทาหนาทรบ

ขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะ

ใหมการเชอมตอกนหรอไม จะสงตอแพกเกตใหหรอไม

เปน Firewall ททางานบน Transport Layer ของ OSI Model ซงจะไมเปน Firewall ททางานบน Transport Layer ของ OSI Model ซงจะไม

ตรวจสอบขอมลใน Packet แตจะตรวจสอบ Connection ระหวาง User กบ

Network ภายนอก และปองกนการเชอมตอโดยตรงระหวาง User กบเครองอนๆ Network ภายนอก และปองกนการเชอมตอโดยตรงระหวาง User กบเครองอนๆ

ภายนอกเครอขาย

Circuit Gateway Firewall จะสราง Virtual Circuit ขนมาจาก Library เพอCircuit Gateway Firewall จะสราง Virtual Circuit ขนมาจาก Library เพอ

จดการการเชอมตอโดยท User ไมทราบ ถาเสนทางใดไมตรงตามกฎ กจะปฏเสธการ

เชอมตอ ซงการสราง Virtual Circuit สามารถทจะใหบรการ User ไดหลายคนเชอมตอ ซงการสราง Virtual Circuit สามารถทจะใหบรการ User ไดหลายคน

สามารถตดตอกบ Network ภายนอกไดหลาย Network

เปน Firewall ททางานบน Data Link Layer ของ OSI Model ซงเปน Firewall ททางานบน Data Link Layer ของ OSI Model ซง

สามารถระบ Host Computer ไดในขณะการกลนกรอง Packet โดยด

AC Add โ AC จาก MAC Address ทเชอมโยงกบตาราง ACL เพอการตรวจสอบ

Packet ทมาพรอมกบ Host Computer

เปน Firewall ทรวมเอาความสามารถของ Firewall ชนดอน ๆ เขาเปน Firewall ทรวมเอาความสามารถของ Firewall ชนดอน ๆ เขา

ดวยกน ซงจะทาใหองคกรสามารถเพมประสทธภาพในการรกษาความ

ป ไ มนคงปลอดภยของระบบไดมากยงขน

First Generation Firewall สวนใหญจะเปนแบบ Static Packet

Filtering Firewall

Second Generation Firewall จะเปนแบบ Application Firewallpp

Third Generation Firewall จะเปนแบบ Stateful Inspection

FirewallFirewall

Fourth Generation Firewall จะเปนแบบ Dynamic Packet

Filtering Firewall

Fifth Generation Firewall จะเปนแบบ Kernel Firewall ซงเปน

Firewall ททางานกบระบบปฎบตการทเปน Kernel สามารถตรวจสอบ

ไดหลาย Layerไดหลาย Layer

เปน Firewall ทปองกนการลกลอบนา IP Address ไปใชงาน โดยเปน Firewall ทปองกนการลกลอบนา IP Address ไปใชงาน โดย

จะซอน IP ทแทจรงไว และแสดงใหภายนอกเหนเฉพาะ IP NAT เทานน

เปน Firewall ทเหมาะกบ Small Office/Home Office : SOHO เปน Firewall ทเหมาะกบ Small Office/Home Office : SOHO

ปจจบนไดนามาใชกบ DSL/ADSL จะทาการตดตงไวกบอปกรณ

DS /ADS R SO O ll ป DSL/ADSL Router เรยกวา SOHO Firewall เรมแรกจะเปนแบบ

Statefule Inspection Firewall ไดอยางเดยว ปจจบนมการพฒนา

ความสามารถ Packet Filtering รวมกบ WAP และใหบรการ NAT

Firewall และตรวจสอบ MAC Address ใหดวย

มทงหมด 4 รปแบบ คอมทงหมด 4 รปแบบ คอ

1. Packet Filtering Router

2. Screened Host Firewall

3. Dual-homed Host Firewall

4. Screened Subnet Firewall

จะใช Router ทาหนาทเปน Firewall กนระหวางเครอขายในองคกรกบ

ภายนอกองคกร ซงจะกรอง Packet ทตรงกนกบตาราง ACL เทานนทจะ

สามารถเขามาในเครอขายภายในองคกรได

ขอด

Implement งาย- Implement งาย

- มความเรวสง

- ประหยดคาใชจาย

ขอเสย ขอเสย

- ไมมระบบการตรวจสอบและตรวจจบทเขมงวด

ใ ใ - ยงเพมกฎเกณฑในตาราง ACL มาก จะทาใหระบบชาลง

ใช Router เปน Packet Filtering Firewall ทาการกรอง Packet

และใช Server เปน Proxy Server เรยกวา Bastion Host ตรวจสอบ

การบรการ Application ทเขามา เพอทาการบนทกกอนสงให User ท

รองขอ ในการสงคารองขอขอมลภายนอกเครอขายจะตองผาน Bastion

Host กอนเสมอ Client Internal Network จะไมไดรบอนญาตเชอมตอHost กอนเสมอ Client Internal Network จะไมไดรบอนญาตเชอมตอ

กบเครอขายภายนอกโดยตรง

ขอด

- ประหยดคาใชจาย

ขอเสย

ถามการโจมต Bastion Host สาเรจ กจะไดขอมล Client ทงหมด- ถามการโจมต Bastion Host สาเรจ กจะไดขอมล Client ทงหมด

Bastion Host ม NIC 2 Card เพอเชอมตอกบ Private Network and

bl k ll Public Network ทกเสนทางเขาออกของขอมลจะผาน Firewall

การ Implement Firewall สวนใหญจะใช NAT Firewall จะเรยกวา NAT

Server

ขอด

- ปองกนการโจมตได 2 ระดบ

- ปองกนการสแกน IP Address Private Network

- ประหยดคาใชจาย

ขอเสย ขอเสย

- ซบซอน ทางานชา

รองรบ T ffi ไดนอยกวา P k t Filt i Fi ll- รองรบ Traffic ไดนอยกวา Packet Filtering Firewall

- ตองการทรพยากรมากกวารปแบบอน

จะใช Packet Filtering Router 2 ตววางไวทง Internal and External

Network โดยม Bastion Host ตงแต 1 เครองขนไป ทาหนาทปองกน

Private Network โดยแยกมาอยในเขตทเรยกวา Demilitarized Zone

: DMZ อยระหวาง Internal and External Network

ขอดขอด

- มความปลอดภยสง

ขอเสย

- คาใชจายสง

- ระบบมความซบซอน จดการยาก

เพอใหสอดคลองกบ Security and Business Policy จาเปนตองม

การกาหนดกฎเกณฑ เพอใชเปนขอบงคบให User ปฏบตเหมอนกน

ตวอยางเชน

1. Traffic จะอนญาตเฉพาะ Trusted Network

2 Device ไมสามารถเขาถงไดโดยตรงจาก Public Network2. Device ไมสามารถเขาถงไดโดยตรงจาก Public Network

3. SMTP จะตองผานการตรวจสอบจาก Gateway เพอกรอง

Message

4. ICMP or Ping Service จะตองปฏเสธg ฏ

5. Block Telnet ถาตองการเขาถงใหผาน VPN

เพอเพมขดความสามารถใหกบ Firewall รองรบระบบเครอขายทมความเรว

ใ โ ll ป k ในการรบ-สงขอมลสง โดยกลม Firewall Array ทาหนาทประมวล Data Packet

แบบ Parallel

ขอด

- มประสทธภาพสงสดกบระบบทตองการผลผลตจากการประมวลผลมาก

- ถา Firewall ตวใดตวหนงไมทางาน จะไมสงผลกระทบตอระบบโดยรวม

- บรหารจดการกฎเกณฑของ Firewall ไดงายฎ

ขอเสย

- ตองรกษาสถานการณเชอมตอไวจนกวา Firewall จะประมวลผล Data ตองรกษาสถานการณเชอมตอไวจนกวา Firewall จะประมวลผล Data

Packet แลวเสรจ

ขดความสามารถของ firewall ทวๆ ไปนนมดงตอไปน

- ปองกนการ Login ทไมไดรบอนญาตทมาจากภายนอกเครอขาย

- ปดกนไมให Traffic จากนอกเครอขายเขามาภายในเครอขายแตกยอมใหผ ปดกนไมให Traffic จากนอกเครอขายเขามาภายในเครอขายแตกยอมใหผ

ทอยภายในเครอขายสามารถตดตอกบโลกภายนอกได

ป ป A dit- เปนจดรวมสาหรบการรกษาความปลอดภยและการทา Audit

- Firewall จะตรวจสอบดแคการ Block IP หรอ Port ไดแค layer 3,4

- Firewall ไมสามารถปองกนการโจมตทไมไดกระทาผาน Firewall เชน การโจมตจาก

ใ ภายในเครอขายเอง

- ไมสามารถปองกนการโจมตทเขามากบ Application Protocols ตางๆ ทเรยกวาการ

โ ใ Tunneling หรอกบโปรแกรม Client ทมความลอแหลมและถกดดแปลงใหกระทา

การโจมตได หรอโปรแกรมทถกทาใหเปน Trojan horse

- ไมสามารถปองกน Virus ไดอยางมประสทธภาพเนองจากจานวน Virus มอยมากมาย

จงจะเปนการยากมากท Firewall จะสามารถตรวจจบ Pattern ของ Virus ทงหมด

ไดถงแมวา Firewall จะเปนเครองมอทสามารถนามาใชปองกนการโจมตจาก

ภายนอกเครอขายไดอยางมประสทธภาพ การทจะใช Firewall ใหไดประโยชนสงสด

นนจะขนอยกบนโยบายความปลอดภยโดยรวมขององคกรดวย นอกจากน แมแต

Firewall ทดทสดกไมสามารถนามาใชแทนการมจตสานกในการทจะรกษาความ

ปลอดภยภายในเครอขายของผทอยในเครอขายนนเอง

คอ Software กรองเนอหาทชวยให Admin สามารถจากดการ

เขาถง Website ตาง ๆ ของ User ภายในเครอขายได หรอสามารถจากด

การรบเนอหาทไมเหมาะสมจาก Website ใดๆ ได นอกจากนนยง

สามารถจากดชนดของ Protocol ซงบางครงเรยกวา Content Filter or

Reverse Firewall กลม User ทจาเปนตองใช Content Filter ดงนReverse Firewall กลม User ทจาเปนตองใช Content Filter ดงน

1. School 2. General business organization

3. Financial institution 4. Institutes of Health

5. ISP 6. Government

7. Library 8. Parent

1. Banned Word List เปนวธทบลอกเฉพาะคาหรอวลทไม

ตองการ อาจจะสรางเปน Blacklist Dictionary

2. URL เปนวธการกาหนดชอ Website ไวใน Blacklist แทนคา

หรอวล

3 Category Block วธนอาศยบรการจดหมวดหม Website จาก 3. Category Block วธนอาศยบรการจดหมวดหม Website จาก

Server ของ ISP และตดตงอปกรณบลอกตามกลม และจะบนทกการ

ใ ไ เปลยนแปลงทกครง ทาให Admin ไมจาเปนตองเพมดวยตวเอง

4. Bayesian Filter เปนการกรองเนอหาตามคาทเปนไปไดของคา

ตองหามทนยมใชในการเขาถง Web ตองหาม เชน คาวา XXX

5. Content-based Image Filtering เปนการกรองภาพ ม

ขนตอนการทางาน 3 ขนตอน ดงน

1. Skin Tone Filter เปนขนตอนแยกสผวของคนออกจาก

วตถอน โดยใชทฤษฎสจาก สแดง เหลอง และนาตาล

2 Analyze เปนการวเคราะหหาพนทผวของคน เพอ2. Analyze เปนการวเคราะหหาพนทผวของคน เพอ

คานวณหาพนทผว ถาเปน Low Skin Content จะบนทกลงในฐานขอมล

ไ ถาเปน High Skin Content จะนาไปแบงสวนรปพรรณสณฐาน และ

สรางเปน Visual Signature

4. Compare ระบบจะนา Visual Signature มาเปรยบเทยบ

แลวจดระดบความนาเชอถอเขาขายเปนภาพลามกหรอไมแลวจดระดบความนาเชอถอเขาขายเปนภาพลามกหรอไม

http://www.evisionglobal.com/business/cf.html

เปน Private Network แตใชใชโครงสรางพนฐานของ Public เปน Private Network แตใชใชโครงสรางพนฐานของ Public

Network และ มความเปน Private โดยใช Protocol Tunnel and

S P d P ใ ใ Security Procedure องคกรตาง ๆ จงนยมนา VPN มาใชในการเขาถง

ระยะไกลจาก Public Network

http://www.siamict.com/it_trainning.php

Virtual Private Network Consortium : VPNC define type of Virtual Private Network Consortium : VPNC define type of

VPN Technology 3 type.

1. Trusted VPN or Legacy VPN Use Least line Circuit

form ISP and Packet Switching Network.

2. Secure VPN Use Security Protocol and Data Encryption

when sent through Public Networkwhen sent through Public Network.

3. Hybrid VPN Use both VPN Network in other words use

Data Encryption when sent through Least line Circuit.

VPN Network to maintain the privacy of the information VPN Network to maintain the privacy of the information

in Public Network requires the third section.

1. Encapsulation เปนกาหอหมขอมลทเขาและออกจากเครอขาย

2. Encryption เปนการเขารหสขอมลทเขาและออกเครอขาย

เพอเกบขอมลไวเปนสวนตวในขณะทสงผาน Public Network

3 Authentication เปนการพสจนตวตนของ User and VPN3. Authentication เปนการพสจนตวตนของ User and VPN

Implementation VPN divided into two working modes Implementation VPN divided into two working modes.

1. Transport Mode data in IP Packet be Encrypted ยกเวน

ใ โ สวน Header of Packet จะทาให User สามารถเชอมตอโดยตรงกบ

Remote Host ไดอยางปลอดภย

ขอเสย คอ ถาดกจบ Packet ไดจะทราบตาแหนงทอยปลายทาง และ

สามารถดงขอมลมาไดสามารถดงขอมลมาได

ขอด คอ ไมจาเปนตองม Server and Software และอนญาตให

ไ User เขาถงระบบไดทกแหง

http://www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html

Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน

1. End-to-End การทางานในลกษณะน End User ทงผายรบและ

ไ โ ฝายสง สามารถตดตอสอสารขอมลไดโดยตรงและสามารถเขาและถอดรหส

ไดตามตองการ ในกรณน เครองคอมพวเตอรของแตละ End User จะทา

หนาทเปนทง Client and End Node VPN Server

Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน Transport Mode VPN แบงการทางานได 2 ลกษณะ ดงน

2. VPN Server Working in this manner Remote Host form

User connect to VPN Server in DMZ before into Private Network

VPN Server acts as an intermediary between users to encrypt

and decrypt both.

Implementation VPN divided into two working modes Implementation VPN divided into two working modes.

2. Tunnel Mode จะม VPN Server 2 เครองเรยกวา Tunnel

ไ Server ทาหนาทเปนศนยกลางการเขารหสขอมลทจะไปยงทกเสนทางของ

เครอขายทไมนาเชอถอ

IP Packet ของ User ตนทางจะถกเขารหสไวทงหมด และนาไปเกบ

ไวใน Packet อกชนหนงเพอสงไปให Source Tunnel Server into ไวใน Packet อกชนหนงเพอสงไปให Source Tunnel Server into

Destination Tunnel Server เพอถอดรหสและสงไปให User ปลายทาง

ไ ป ป ขอด คอ ไมแสดงตาแหนงทแทจรงของระบบปลายทาง เปรยบเสมอน

วามอโมงคซอนขอมลไวระหวางเคลอนยายอยใน Public Network

http://www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html

MS1 Thanin MuangpoolMS1 Thanin Muangpool

Th k Th k Thank youThank you