บทท 6 : Firewall Part2สธ412 ความมนคงของระบบสารสนเทศ

อาจารยอภพงศ ปงยศ

apipong.ping@gmail.com

Outline

ประเภทของไฟรวอลล

นโยบายการรกษาความปลอดภย

Network Address Translation (NAT)

2

ประเภทของไฟรวอลล

หากแบงตามรปแบบการไหลของขอมลผานไฟรวอลล จะแบงไดเปน 2 ประเภท คอ

Network Firewall แบงเปน Software-based และ Hardware-based

Host-based Firewall หรอ Personal Firewall

3

การแบงประเภทไฟรวอลลตามการไหลของขอมล

Firewall

Network-based

Software-based

Hardware-based

Host-based

4

ประเภทของไฟรวอลล [2]

หากแบงประเภทไฟรวอลลโดยการใชเลเยอรการท างานของไฟรวอลล จะแบงออกไดเปน 3 ประเภท คอ

Packet Filtering Firewall

Application Layer Firewall

Stateful Inspection Firewall

5

ประเภทของไฟรวอลล: Packet Filtering Firewall

การกรองแพคเกตของไฟรวอลลจะท ากอนทจะมการสงผานแพคเกต

แพคเกตจะถกกรองตามรายการควบคมการเขาถง (Access Control List : ACL) ทประกอบไปดวยเฮดเดอรของไอพแพคเกต และการอนญาตหรอไมอนญาตใหผาน

โดยทวไปแลวหากมแพคเกตทไมตรงกบกฎการอนญาตจะถอวาหามผาน

6

ประเภทของไฟรวอลล: Packet Filtering Firewall [2]

ขอมลทใชพจารณาวาจะใหแพคเกตผานหรอไม มาจากเฮดเดอรของไอพแพคเกต ทประกอบไปดวยSource IP Address

Destination IP Address

ประเภทของโปรโตคอล เชน TCP, UDP เปนตน

Source Port

Destination Port

7

ประเภทของไฟรวอลล: Packet Filtering Firewall [3]

หลกการท างานงายๆของ Packet Filtering Firewall จะท าการพจารณาแพคเกตเพอตรวจสอบวาแพคเกตนนถกสงมาจากนอกเครอขายหรอไม

ถาแพคเกตถกสงมาจากนอกเครอขาย แตมแอดเดรสเปนภายใน แสดงวาแพคเกตนนถกสปฟ (Spoof Address) และจะดรอปแพคเกตนทงไป

8

Packet Filtering Firewall9

Application

Presentation

Session

Transport

Network

Data link

Physical

Application

Presentation

Session

Transport

Network

Data link

Physical

Network

Data link

Physical

ประเภทของไฟรวอลล: Stateful Inspection Firewall

มหลกการท างานทกอยางเชนเดยวกบ Packet Filtering Firewall

แตสวนทเพมขนมาคอมนจะบนทกขอมลเกยวกบคอนเนคชนทเกดขนลงใน State Table กอนทจะสงแพคเกตนตอใหเลเยอรอน

State Table จะเกบขอมลเกยวกบแอดเดรสของตนทางและปลายทาง ประเภทโปรโตคอล หมายเลขพอรต

10

ประเภทของไฟรวอลล: Stateful Inspection Firewall [2]

เมอไฟรวอลลไดรบแพคเกตกจะตรวจสอบขอมลกบสเตทเทเบลวาเปนสวนหนงของคอนเนคชนทสรางไวแลวหรอไม

ถาเปนสวนหนงของคอนเนคชนจรงกไมมความจ าเปนใดๆทจะตองตรวจสอบซ าอก

วธการปองกนการโจมตแบบ DOS ทจะสงแพคเกตจ านวนมากเขามาจนท าใหสเตทเทเบลเตม คอการตง timeout ของแตละคอนเนคชนเอาไว

11

Stateful Inspection Firewall12

Application

Presentation

Session

Transport

Network

Data link

Physical

Application

Presentation

Session

Transport

Network

Data link

Physical

Application

Presentation

Session

Network

ประเภทของไฟรวอลล: Application Layer Firewall

บางครงเรยกวา “พรอกซ” (Proxy Firewall) ซงเปนเครองมอบงคบใชนโยบายวาจะอนญาตใหทราฟกใดสามารถสงผานระหวางเครอขายไดบาง

โปรโตคอลทอนญาตใหผานไดจะตองมพรอกซส าหรบโปรโตคอลนนโดยเฉพาะ

พรอกซเปนสเตทฟลไฟรวอลล แตมความแตกตางกนคอ พรอกซเซรฟเวอรจะสรางไอพแพคเกตใหม เพอสงตอไปยงเปาหมาย เมอแพคเกตนนผานการตรวจสอบแลว

13

ประเภทของไฟรวอลล: Application Layer Firewall [2]

กระบวนการสรางการเชอมตอของพรอกซไฟรวอลล

1) เรมจากไคลเอนตสงการรองขอไปยงไฟรวอลล

2) ไฟรวอลลจะตรวจสอบกบนโยบายรกษาความปลอดภยวาอนญาตใหผานหรอไม

3) ถาอนญาต ไฟรวอลลจะสรางการเชอมตอกบเซรฟเวอรแทนไคลเอนตเอง

14

ประเภทของไฟรวอลล: Application Layer Firewall [3]

พรอกซไฟรวอลลสามารถควบคมกนเชอมตอจากภายนอกไดเชนกน โดยเครองทอยภายนอกจะมองเหนเฉพาะหมายเลขไอพของไฟรวอลลเทานน ไมสามารถเหนเครองทอยภายในได

15

Application Layer Firewall16

Application

Presentation

Session

Transport

Network

Data link

Physical

Application

Presentation

Session

Transport

Network

Data link

PhysicalApplication

นโยบายการรกษาความปลอดภย

สงทส าคญทสดในการใชงานไฟรวอลลคอการก าหนดนโยบายการรกษาความปลอดภย (Network Security Policy)

เมอก าหนดนโยบายแลวจงน านโยบายไปบงคบใชใน ไฟรวอลล

กฎทบงคบใชในไฟรวอลลจะเรยกวา “ACL” (Access Control List) หรอไฟรวอลลรล (Firewall Rule)

ถาแพคเกตทพจารณาไมตรงกบกฎใดใน ACL เลย ไฟรวอลลกจะท าการดรอปแพคเกตนนทงไป

17

Network Address Translation (NAT)

NAT ไมใชเทคโนโลยของไฟรวอลล แตไฟรวอลลสวนใหญจะมฟงกชน NAT อย

NAT เปนเทคโนโลยทใชในการแกปญหาหมายเลขไอพทใชงานบนอนเทอรเนตไมเพยงพอ เพราะเมอเชอมตอกบอนเทอรเนตคอมพวเตอรจะตองมหมายเลขไอพจรง

จะมองคกรกลางท าหนาทจดการเกยวกบการแจกจายไอพ โดยจะจายเปนบลอคไปใหผบรการอนเทอรเนต

18

Network Address Translation (NAT) [2]

องคกรสวนใหญจะแกปญหาโดยการก าหนดใหคอมพวเตอรทกเครองในเครอขายใชหมายเลขไอพจรงเพยงไอพเดยว โดยการใช NAT สวนคอมพวเตอรภายในจะใช Private IP เชน 10.0.0.0/8 172.16.0.0/12 192.168.0.0.16

19

Network Address Translation (NAT) [3]

หลกการท างานคลายกบ Stateful Inspection Firewall แตมสวนเพมเตมคอ เมอ NAT ไดรบแพคเกตจากคอมพวเตอรภายในทตองการสงตอไปยงอนเทอรเนต มนจะเปลยนไอพแอดเดรสของตนทางใหเปนไอพจรงของไฟรวอลลแลวคอยสงไป

เมอเซรฟเวอรทอยบนอนเทอรเนตตอบกลบมา กจะตอบกลบมายงแอดเดรสของไฟรวอลลน

20

Network Address Translation (NAT)21

Network Address Translation (NAT) [4]

ขอจ ากดของ NAT

NAT จะสามารถแทนคาไดเฉพาะสวนแพคเกตเฮดเดอรเทานน ท าใหมบางแอพพลเคชนทท างานผาน NAT ไมได เชน FTP และแอพพลเคชนประเภท Audio/Video

หากผโจมตมวธท าใหผใชภายในเรมสรางการเชอมตอไปหาผโจมตกอน กจะท าใหผโจมตสามารถเจาะเขามาในระบบได

22

Network Address Translation (NAT) [5]

Reverse NAT

เปนบรการทท าใหผใชทอยบนอนเทอรเนตสามารถเขามาใชงานเซรฟเวอรทอยภายในได

หลกการท างานคอ ไฟรวอลลจะท าหนาทบรการแทนเซรฟเวอรทอยภายใน โดยเมอไดรบการรองขอมายงหมายเลขไอพจรงของเซรฟเวอร ไฟรวอลลจะท าการรองขอขอมลไปยงเซรฟเวอรนน แลวจงสงตอขอมลกลบไปยงไคลเอนตทอยบนอนเทอรเนต โดยจะเปลยนไอพตนทางเปนไอพของไฟรวอลล

23