Information system security wk6-2
1 like1,554 views
If you have question Message me!
Information system security wk6-2
- 1. IT346 Information System Security Week 6-2: Firewall (2) – Firewall Rules ผศ.ดร.มัชฌิกา อ่องแตง Faculty of Information Technology Page 1
- 2. นโยบายการรักษาความปลอดภัย สิ่งที่สําคัญที่สุดสําหรับการใช้ firewall คือ การกําหนดนโยบายการรักษา ความปลอดภัย (Network Security Policy) ถึงแม้ว่า firewall จะมี ประสิทธิภาพแค่ไหน แต่ถ้ามีนโยบายการรักษาความปลอดภัยที่หละหลวมก็ ไม่มีประโยชน์มากนัก กฎที่บังคับใช้นโยบายการรักษาความปลอดภัยใน firewall นั้นเรียกว่า ACL (Access Control List) หรือ Firewall Rule การตรวจสอบกฎใน ACL นั้น ส่วนใหญ่เป็นแบบ First Match โดย firewall จะตรวจสอบกฎทีละข้อตามลําดับจนกระทั่งพบกับกฎที่ตรงกับ เงื่อนไข Faculty of Information Technology Page 2
- 3. ความสามารถของ Firewall บังคับใช้นโยบายด้านความปลอดภัยโดยการกําหนดกฎให้กับ ไฟร์วอลล์ ว่าจะอนุญาตหรือไม่ให้ใช้เซอร์วิสชนิดใด ป้องกันการ login ที่ไม่ได้รับอนุญาตที่มาจากภายนอกเครือข่าย ปิดกั้นไม่ให้ traffic จากนอกเครือข่ายเข้ามาภายในเครือข่ายแต่ก็ยอมให้ผู้ที่ อยู่ภายในเครือข่ายสามารถติดต่อกับโลกภายนอกได้ เลือกป้องกันเน็ตเวิร์กบางส่วนจากการเข้าถึงของเน็ตเวิร์กภายนอก ‣ เช่น ถ้าหากเรามีบางส่วนที่ตองการให้ภายนอกเข้ามาใช้เซอร์วิส (เช่น ถ้ามี Web ้ Server) แต่สวนที่เหลือไม่ตองการให้ภายนอกเข้ามากรณีเช่นนี้เราสามารถใช้ไฟร์ ่ ้ วอลล์ช่วยได้ Faculty of Information Technology Page 3
- 4. ความสามารถของ Firewall ทําให้การพิจารณาดูแลและการตัดสินใจด้านความปลอดภัยของระบบเป็นไป ได้ง่ายขึ้น ‣ เนื่องจากการติดต่อทุกชนิดกับเน็ตเวิร์กภายนอกจะต้องผ่านไฟร์วอลล์ ‣ การดูแลที่จุดนีเป็นการดูแลความปลอดภัยในระดับของเน็ตเวิร์ก (Network้ based Security) บันทึกข้อมูลกิจกรรมต่างๆ (audit) ที่ผ่านเข้าออกเน็ตเวิร์กได้อย่างมี ประสิทธิภาพ ‣ Firewall เป็นจุดรวมสําหรับการรักษาความปลอดภัยและการทํา audit (เปรียบเสมือนจุดรับแรงกระแทกของเครือข่าย) ไฟร์วอลล์บางชนิดสามารถป้องกันไวรัสได้โดยจะทําการตรวจไฟล์ที่โอนย้าย ผ่านทางโปรโตคอล HTTP, FTP และ SMTP Faculty of Information Technology Page 4
- 5. ข้อจํากัดของ firewall Firewall ไม่สามารถป้องกันการโจมตีที่ไม่ได้กระทําผ่าน Firewall ‣ อันตรายที่เกิดจากเน็ตเวิร์กภายในไม่สามารถป้องกันได้เนื่องจากอยู่ภายในเน็ต เวิร์กเองไม่ได้ผ่านไฟร์วอลล์เข้ามา ‣ อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทางไฟร์วอลล์เช่นการ Dial-up เข้า มายังเน็ตเวิร์กภายในโดยตรงโดยไม่ได้ผ่านไฟร์วอลล์ ไม่สามารถป้องกันการโจมตีที่เข้ามากับ application protocols ต่างๆ (เรียกว่าการ tunneling) หรือ กับโปรแกรม client ที่มีความล่อแหลม และถูกดัดแปลงให้กระทําการโจมตีได้ (โปรแกรมที่ถูกทําให้เป็น Trojan horse) Faculty of Information Technology Page 5
- 6. ข้อจํากัดของ firewall ไม่สามารถป้องกัน virus ได้อย่างมีประสิทธิภาพ ‣ ถึงแม้จะมีไฟร์วอลล์บางชนิดทีสามารถป้องกันไวรัสได้แต่ก็ยังไม่มไฟร์วอลล์ชนิด ่ ี ใดทีสามารถตรวจสอบไวรัสได้ในทุกๆโปรโตคอล ่ ‣ จํานวน virus มีอยูมากมาย จึงจะเป็นการยากมากที่ firewall จะสามารถ ่ ตรวจจับ pattern ของ virus ทั้งหมดได้ Faculty of Information Technology Page 6
- 7. ข้อดี-ข้อเสียของการใช้ไฟร์วอลล์ ข้อดี ‣ ‣ ‣ ‣ ‣ ทําให้การจัดการด้านความมันคงง่ายขึ้น ่ สามารถที่จะสร้างการเก็บข้อมูลและการมอนิเตอร์แบบขั้นซับซ้อนได้ สามารถ VPN โดยการใช้ IPSec ไปหาเครื่องอื่นได้ สามารถแบ่งแยก หรือ แยกปัญหาได้ ซ่อน IP address ของเครื่องภายใน จากภายนอกได้ ข้อเสีย ‣ เป็นคอขวดของระบบ ‣ เป็นจุดผิดพลาดเพียงจุดเดียว ‣ อาจความมั่นใจที่ผิดในสิงที่ทาทีคิดว่าถูก ่ ํ ่ Faculty of Information Technology Page 7
- 8. Rules of Packet Filtering การทํางานของ Packet Filtering อาศัยเงื่อนไขในการตัดสินใจว่าจะ อนุญาตให้ packet ใดๆผ่านไปหรือไม่ จากกฏใน Access Control List (ACL) ACL กําหนดเงื่อนไขของข้อมูลสื่อสาร หรือ ทราฟฟิก (traffic) ที่ได้รับ อนุญาต (permit) ให้เข้าถึง หรือ ถูกปฏิเสธ (deny) ไม่ให้เข้าถึงเครือข่าย Faculty of Information Technology Page 8
- 9. พฤติกรรมของ ACL โดยทั่วไป ลําดับบรรทัดของ Access Control Entry (ACE) แต่ละบรรทัดที่ถูกสร้าง ลงไปใน ACL จะมีความสําคัญมาก ทุกๆ ACL ที่สร้างขึ้นมาจะมีเงื่อนไขสุดท้ายที่ถูกซ่อนไว้เสมอ เรานิยม เรียกว่า implicit deny all ซึ่งคือ ทราฟิกใดๆ ที่ไม่สอดคล้องกับเงื่อนไขใน บรรทัดต่างๆ ก่อนหน้านี้ ทราฟิกนั้นจะถือว่า ถูกปฏิเสธ (deny/block) ไป โดยปริยายและถูกโยนทิ้งไปโดยอัตโนมัติ Faculty of Information Technology Page 9
- 10. พฤติกรรมของ ACL โดยทั่วไป ACL จะถูกไล่เปรียบเทียบจากบรรทัดบนลงล่าง ทีละบรรทัด จนกว่าจะพบ บรรทัดที่มีเงื่อนไขสอดคล้องกับแพ็กเก็ตที่วิ่งเข้ามาให้ตรวจเช็กในขณะนั้น เมื่อเงื่อนไขที่สอดคล้อง Firewall (ซึ่งส่วนมากจะติดตั้งที่เราเตอร์) จะดูว่า action ที่ตั้งไว้เป็น allow (permit) หรือ block (deny) ‣ หากเป็น allow เราเตอร์จะอนุญาตให้ทราฟิก (traffic) นั้นวิ่งผ่านไปได้ ‣ แต่ถ้าเป็น block ทราฟิก (traffic) นั้นจะถูกโยนทิง (drop) ไป ้ Faculty of Information Technology Page 10
- 11. ตัวอย่าง Firewall Rules Source Destination Protocol Action Address Port Address Port * * 119.46.85.5 * * Block * * 192.168.10.1 22 TCP Allow 192.168.*.* * * 22 TCP Allow * * * 80 TCP Allow * * * 80 UDP Allow * * * * * Block Faculty of Information Technology Page 11
- 12. ตัวอย่าง Firewall Rules ไม่อนุญาตให้ host ใดๆ เชื่อมต่อไปยัง IP Address 119.46.85.5 ไม่ว่าจะเป็น port ใดๆ หรือ protocol ใดๆ ‣ เช่น เมื่อ 119.46.85.5 เป็น host อันตราย อนุญาตให้ host ใดๆ เชื่อมต่อมายัง IP Address 192.168.10.1 ผ่าน port 22 ด้วย TCP protocol ได้ ‣ เช่น เมื่อ 192.168.10.1 เป็น Server ของเรา และให้บริการ SSH (port 22) อนุญาตให้ host ภายในใดๆ เชื่อมต่อไปยัง IP Address ใดๆ ผ่าน port 22 ด้วย TCP protocol ได้ ‣ อนุญาตให้เชื่อมต่อไปยัง Server ใดก็ได้ที่ให้บริการ SSH อนุญาตการเชื่อมต่อผ่าน port 80 (HTTP) ได้ทั้ง TCP และ UDP protocol ไม่อนุญาตการเชื่อมต่อแบบอื่น ที่ไม่ระบุใน ACL Faculty of Information Technology Page 12
- 13. ตัวอย่าง Packet Filtering Rules Source Src Port Destination Dest Port Action Comment 75.13.126.11 * 75.13.126.11 * Block ไม่เชือถือ server นี้ ่ * * 192.168.1.1 25 Allow Connection มายัง SMTP ของเรา Packets มาจากหรือส่งไปยัง 75.13.126.11 ถูก blocked เนื่องจากโฮสต์ดังกล่าวไม่น่าไว้วางใจ อนุญาตให้รับ inbound email (port 25 = SMTP incoming) จากภายนอกเข้ามาได้ แต่เข้ามายัง gateway 192.168.1.1 ได้เท่านั้น Source Src Port Destination Dest Port Flag Action Comment * * * * * Block Default มีการระบุ default policy มักใส่กฏข้อนี้ไว้เป็นข้อสุดท้ายเสมอ กล่าวคือ ให้ Block การเชื่อมต่อที่ นอกเหนือจากกฏที่ระบุไว้แล้ว Faculty of Information Technology Page 13
- 14. ตัวอย่าง Packet Filtering Rules Source Src Port Destination Dest Port 192.168.*.* * * * * * * * * * * >1024 Flag Comment Allow ACK Actio n การเชื่อมต่อขาออก Allow ตอบกลับการเชื่อมต่อขาออก Allow Traffic ไปยังเครื่องที่ไม่เป็น Server หลังจากที่ TCP connection ถูกเชื่อมต่อแล้ว จะมีการเซ็ต Flag ACK เพื่อตอบรับกลับ ตัวอย่างกฏที่จัดการกับ FTP connections FTP ประกอบด้วยการเชื่อมต่อแบบ TCP 2 การเชื่อมต่อทํางานประสานกัน: ‣ control connection ใช้ในการ setup ก่อนการส่งข้อมูล ‣ data connection ใช้ในการส่งข้อมูล Data connection ใช้ port หมายเลขที่กําหนดโดย Server โดยมักจะใช้ port หมายเลขสูงๆ กฏชุดนี้อนุญาต ‣ Traffic จากเครือง client ภายใน สามารถเชื่อมต่ออกไปออกไปภายนอกได้ ่ ‣ Traffic จากภายนอก สามารถตอบกลับการเชื่อมต่อ (ACK) เข้ามาหาเครื่องภายในใดๆได้ ‣ Traffic จากภายนอก สามารถเชื่อมต่อมายังเครื่อง client เฉพาะที่เข้ามายัง port หมายเลขสูงๆ Faculty of Information Technology Page 14
- 15. กิจกรรม 1: วิเคราะห์ Firewall Rules จับกลุ่ม 2 – 3 คน พิจารณา Firewall Rules ที่กําหนดให้ เพื่อวิเคราะห์ข้อดี – ข้อจํากัด ของ Firewall Rules แต่ละชุด Faculty of Information Technology Page 15
- 16. กิจกรรม 1: วิเคราะห์ Firewall Rules Source Src Port Destination Dest Port * * * 25 Flag Action Comment Allow Connection ไปยัง SMTP ภายนอก SMTP (Simple Mail Transfer Protocol) ใช้ Port 25 เป็น port default ที่รับการเชื่อมต่อสําหรับ SMTP จุดประสงค์ของกฏข้อนี้คือ เพื่อที่จะอนุญาตให้เปิดการเชื่อมต่อไปยังบริการ SMTP ภายนอกได้ จุดอ่อนของการตั้ง Firewall Rules ในข้อนี้คืออะไร จงอธิบาย จงแนะนําการตั้ง Firewall Rules ที่เหมาะสมสําหรับกรณีนี้ Faculty of Information Technology Page 16
- 17. สรุป ถึงแม้ว่า firewall จะเป็นเครื่องมือที่สามารถนํามาใช้ป้องกันการโจมตีจาก ภายนอกเครือข่ายได้ อย่างมีประสิทธิภาพ การที่จะใช้ firewall ให้ได้ ประโยชน์สูงสุดนั้นจะขึนอยู่กับนโยบายความปลอดภัยโดยรวมขององค์กร ้ ด้วย แม้แต่ firewall ที่ดีที่สุดก็ไม่สามารถนํามาใช้แทนการมีจิตสํานึกในการที่จะ รักษาความปลอดภัย ภายในเครือข่ายของผู้ที่อยู่ในเครือข่ายนั้นเอง Faculty of Information Technology Page 17
- 18. Network Address Translation (NAT) NAT ไม่ใช่เทคโนโลยีของ firewall แต่ firewall ส่วนใหญ่รวมฟังก์ชันการ ทํางานนี้เข้าไว้ด้วย NAT เป็นเทคโนโลยีที่ใช้สําหรับการแก้ปัญหาหมายเลขไอพีบนอินเทอร์เน็ต ที่ไม่เพียงพอ Faculty of Information Technology Page 18
- 19. Network Address Translation (NAT) หลักการทํางานของ NAT นั้นจะคล้ายกับหลักการทํางานของ Stateful Inspection Firewall แต่มีส่วนเพิ่มเติมคือ ‣ Firewall จะเปลี่ยนแอดเดรสของทุกแพ็กเก็ตที่ต้องส่งออกไปข้างนอก ‣ เมื่อ NAT gateway ได้รับแพ็กเก็ตจากคอมพิวเตอร์ภายในที่ใช้ Private IP (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24) ที่จะต้องส่งต่อไปยัง อินเทอร์เน็ต NAT จะบันทึกหมายเลขไอพีที่เป็น source address, source port, destination address, destination port หลังจากนั้น NAT จะเปลี่ยน source address ให้เป็นหมายเลข IP address จริงของ firewall แล้วส่งต่อไป Faculty of Information Technology Page 19
- 20. Network Address Translation (NAT) 2: NAT router เปลี่ยน source address ของ datagram จาก 10.0.0.1, 3345 เป็น 138.76.29.7 พอร์ต 5001, พร้อมอัปเดต NAT table 2 WAN side address LAN side address 138.76.29.7, 5001 10.0.0.1, 3345 …… …… S: 10.0.0.1, 3345 D: 128.119.40.186, 80 10.0.0.1 S: 138.76.29.7, 5001 D: 128.119.40.186, 80 138.76.29.7 S: 128.119.40.186, 80 D: 138.76.29.7, 5001 3 3: Reply กลับมายัง destination address: 138.76.29.7 พอร์ต 5001 Faculty of Information Technology 1: host 10.0.0.1 ส่ง datagram ไปยัง 128.119.40.186, 80 NAT translation table 1 10.0.0.4 S: 128.119.40.186, 80 D: 10.0.0.1, 3345 10.0.0.2 4 4: NAT router เปลี่ยน destination address ของ datagram จาก 138.76.29.7 พอร์ต 5001 เป็น 10.0.0.1 พอร์ต 3345 10.0.0.3 Page 20