Information system security wk6-1

Faculty of Information Technology Page

IT346 Information System Security Week 6-1: Firewall (1)

อ.พงษ์�ศั�กดิ์� ไผ่�แดิ์ง

1


Application Layer

Host-to-Network Layer

(Network Access)

OSI v.s. TCP/IP Model

Application Layer

Presentation Layer

Session Layer

Transport Layer

Network Layer

Data Link Layer

Physical Layer

OSI Model

Transport Layer

Internet Layer

TCP/IP Model

2


ความรู้��พ��นฐานเก��ยวก�บ โปรู้โตคอล TCP/IP

TCP/IP (Transmission Control Protocol/ Internet Protocol) เป%นชุ'ดิ์ของโปรู้โตคอลที่��ถู�กใชุ�ในการู้สื่��อสื่ารู้ผ่�านเครู้�อข�ายอนเที่อรู้�เน-ต ‣ โปรู้โตคอลมาตรู้ฐานที่��ใชุ�สื่��อสื่ารู้จากต�นที่างข�ามเครู้�อ

ข�ายไปย�งปลายที่าง‣ สื่ามารู้ถูหาเสื่�นที่างที่��จะสื่�งข�อม�ลไปไดิ์�เองโดิ์ยอ�ตโนม�ต

ถู1งแม�ว�าในรู้ะหว�างที่างอาจจะผ่�านเครู้�อข�ายที่��ม�ป2ญหา โปรู้โตคอลก-ย�งคงหาเสื่�นที่างอ��นในการู้สื่�งผ่�านข�อม�ลไปให�ถู1งปลายที่างไดิ์�

3


TCP/IP Protocol TCP/IP ม�จ'ดิ์ปรู้ะสื่งค�ของการู้สื่��อสื่ารู้ตาม

มาตรู้ฐาน สื่ามปรู้ะการู้ค�อ ‣ เพ��อใชุ�ตดิ์ต�อสื่��อสื่ารู้รู้ะหว�างรู้ะบบที่��ม�ความแตกต�างก�น ‣ ความสื่ามารู้ถูในการู้แก�ไขป2ญหาที่��เกดิ์ข1�นในรู้ะบบเครู้�อ

ข�าย เชุ�นในกรู้ณี�ที่��ผ่��สื่�งและผ่��รู้�บย�งคงม�การู้ตดิ์ต�อก�นอย�� แต�โหนดิ์กลางที่�ใชุ�เป%นผ่��ชุ�วยรู้�บ-สื่�งเกดิ์เสื่�ยหายใชุ�การู้ไม�ไดิ์� หรู้�อสื่ายสื่��อสื่ารู้บางชุ�วงถู�กต�ดิ์ขาดิ์ กฎการู้สื่��อสื่ารู้น��จะต�องสื่ามารู้ถูจ�ดิ์หาที่างเล�อกอ��นเพ��อที่6าให�การู้สื่��อสื่ารู้ดิ์6าเนนต�อไปไดิ์�โดิ์ยอ�ตโนม�ต

‣ ม�ความคล�องต�วต�อการู้สื่��อสื่ารู้ข�อม�ลไดิ์�หลายชุนดิ์ที่��งแบบที่��ไม�ม�ความเรู้�งดิ์�วน เชุ�น การู้จ�ดิ์สื่�งแฟ้8มข�อม�ล และแบบที่��ต�องการู้รู้�บปรู้ะก�นความเรู้�งดิ์�วนของข�อม�ล เชุ�น การู้สื่��อสื่ารู้แบบ real-time และที่��งการู้สื่��อสื่ารู้แบบเสื่�ยง (Voice) และข�อม�ล (data)

4


TCP/IP Model

Layer Protocol Example

5


Encapsulation

6


Encapsulation ข�อม�ลที่��ผ่�านการู้ Encapsulate ในแต�ละ Layer ม�ชุ��อเรู้�ยกแตก

ต�างก�น ดิ์�งน��‣ ข�อม�ลที่��มาจาก User หรู้�อก-ค�อข�อม�ลที่�� User เป%นผ่��ป8อนให�ก�บ

Application เรู้�ยกว�า User Data ‣ เม��อแอพพลเคชุ��นไดิ์�รู้�บข�อม�ลจาก user ก-จะน6ามาปรู้ะกอบก�บสื่�วนห�ว

ของแอพพลเคชุ��น เรู้�ยกว�า Application Data และสื่�งต�อไปย�งโปรู้โตคอล TCP

‣ เม��อโปรู้โตคอล TCP ไดิ์�รู้�บ Application Data ก-จะน6ามารู้วมก�บ Header ของ โปรู้โตคอล TCP เรู้�ยกว�า TCP Segment และสื่�งต�อไปย�งโปรู้โตคอล IP

‣ เม��อโปรู้โตคอล IP ไดิ์�รู้�บ TCP Segment ก-จะน6ามารู้วมก�บ Header ของ โปรู้โตคอล IP เรู้�ยกว�า IP Datagram และสื่�งต�อไปย�ง Host-to-Network Layer

‣ ในรู้ะดิ์�บ Host-to-Network จะน6า IP Datagram มาเพ�มสื่�วน Error Correction และ flag เรู้�ยกว�า Ethernet Frame ก�อนจะแปลงข�อม�ลเป%นสื่�ญญาณีไฟ้ฟ้8า สื่�งผ่�านสื่ายสื่�ญญาณีที่��เชุ��อมโยงอย��ต�อไป

7


Host-to-Network Layer

Host-to-Network Layer: โฮสื่ต� เครู้�อข�าย‣ โพรู้โตคอลสื่6าหรู้�บการู้ควบค'มการู้สื่��อสื่ารู้ใน layer น��

ไม�ม�การู้ก6าหนดิ์รู้ายละเอ�ยดิ์อย�างเป%นที่างการู้ ‣ ดิ์�านผ่��สื่�ง Layer น��จะรู้�บ IP Packet มาจาก IP

Layer แล�วสื่�งไปย�งโหนดิ์ที่��รู้ะบ'ไว�ในเสื่�นที่างเดิ์นข�อม�ล

‣ ดิ์�านผ่��รู้�บก-จะที่6างานในที่างกล�บก�น ค�อรู้�บข�อม�ลจากสื่ายสื่��อสื่ารู้แล�วน6าสื่�งให�ก�บ IP Layer

8


Internet Layer Internet Layer:

‣ ใชุ�ปรู้ะเภที่ของรู้ะบบการู้สื่��อสื่ารู้ที่��เรู้�ยกว�า รู้ะบบ packet-switching network ซึ่1�งเป%นการู้ตดิ์ต�อแบบ Connectionless (ไม�จองการู้เชุ��อมต�อ)

‣ หล�กการู้ที่6างานค�อการู้ปล�อยให�ข�อม�ลขนาดิ์เล-กที่��เรู้�ยกว�า แพ-กเก-ต (Packet) สื่ามารู้ถูไหลจากโหนดิ์ผ่��สื่�งไปตามโหนดิ์ต�างๆ ในรู้ะบบจนถู1งจ'ดิ์หมายปลายที่างไดิ์�โดิ์ยอสื่รู้ะ

‣ หากว�าม�การู้สื่�งแพ-กเก-ตออกมาเป%นชุ'ดิ์โดิ์ยม�จ'ดิ์หมายปลายที่างเดิ์�ยวก�นในรู้ะหว�าง การู้เดิ์นที่างในเครู้�อข�าย แพ-กเก-ตแต�ละต�วในชุ'ดิ์น��ก-จะเป%นอสื่รู้ะแก�ก�นและก�น ดิ์�งน��น แพ-กเก-ตที่��สื่�งไปถู1งปลายที่างอาจจะไม�เป%นไปตามล6าดิ์�บก-ไดิ์�

9


Internet Layer: IP IP (Internet Protocol)

‣ IP เป%นโปรู้โตคอลในรู้ะดิ์�บNetwork Layer ที่6าหน�าที่��จ�ดิ์การู้เก��ยวก�บแอดิ์เดิ์รู้สื่ (Address) และข�อม�ล และควบค'มการู้สื่�งข�อม�ลที่��ใชุ�ในการู้หาเสื่�นที่างของแพ-กเก-ต

‣ กลไกในการู้หาเสื่�นที่างของ IP จะม�ความสื่ามารู้ถูในการู้หาเสื่�นที่างที่��ดิ์�ที่��สื่'ดิ์ และสื่ามารู้ถูเปล��ยนแปลงเสื่�นที่างไดิ์�ในรู้ะหว�างการู้สื่�งข�อม�ล และม�รู้ะบบการู้แยกและปรู้ะกอบดิ์าต�าแกรู้ม (datagram) เพ��อรู้องรู้�บการู้สื่�งข�อม�ลรู้ะดิ์�บ data link ที่��ม�ขนาดิ์ MTU (Maximum Transmission Unit) ที่��แตกต�างก�น ที่6าให�สื่ามารู้ถูน6า IP ไปใชุ�บนโปรู้โตคอลอ��นไดิ์�หลากหลาย เชุ�น Ethernet ,Token Ring หรู้�อ Apple Talk

10


Internet Layer: IP IP (Internet Protocol)

‣ การู้เชุ��อมต�อของ IP เพ��อที่6าการู้สื่�งข�อม�ล จะเป%นแบบ connectionless หรู้�อเกดิ์เสื่�นที่างการู้เชุ��อมต�อในที่'กๆครู้��งของการู้สื่�งข�อม�ล 1 datagram โดิ์ยจะไม�ที่รู้าบถู1ง datagram ที่��สื่�งก�อนหน�าหรู้�อสื่�งตามมา

‣ การู้สื่�งข�อม�ลใน 1 datagram อาจจะเกดิ์การู้สื่�งไดิ์�หลายครู้��งในกรู้ณี�ที่��ม�การู้แบ�งข�อม�ลออกเป%นสื่�วนย�อยๆ (fragmentation) และถู�กน6าไปรู้วมเป%น datagram เดิ์มเม��อถู1งปลายที่าง

11


Internet Layer: ICMP ICMP (Internet Control Message

Protocol)‣ ICMP เป%นโปรู้โตคอลที่��ใชุ�ในการู้ตรู้วจสื่อบและ

รู้ายงานสื่ถูานภาพของดิ์าต�าแกรู้ม (Datagram) ในกรู้ณี�ที่��เกดิ์ป2ญหาก�บ datagram เชุ�น Router ไม�สื่ามารู้ถูสื่�ง datagram ไปถู1งปลายที่างไดิ์�

‣ ICMP จะถู�กสื่�งออกไปย�ง Host ต�นที่างเพ��อรู้ายงานข�อผ่ดิ์พลาดิ์ ที่��เกดิ์ข1�น

‣ ไม�ม�อะไรู้รู้�บปรู้ะก�นไดิ์�ว�า ICMP Message ที่��สื่�งไปจะถู1งผ่��รู้�บจรู้งหรู้�อไม� หากม�การู้สื่�ง datagram ออกไปแล�วไม�ม� ICMP Message ฟ้8อง Error กล�บมา ก-แปลความหมายไดิ์�สื่องกรู้ณี�ค�อ ข�อม�ลถู�กสื่�งไปถู1งปลายที่างอย�างเรู้�ยบรู้�อย หรู้�ออาจจะม�ป2ญหา ในการู้สื่��อสื่ารู้ที่��งการู้สื่�ง datagram และ ICMP Message ที่��สื่�งกล�บมาก-ม�ป2ญหารู้ะว�างที่างก-ไดิ์�

‣ ICMP จ1งเป%นโปรู้โตคอลที่��ไม�ม�ความน�าเชุ��อถู�อ (unreliable) แต�เป%นหน�าที่��ของ โปรู้โตคอลในรู้ะดิ์�บสื่�งกว�า Network Layer ในการู้สื่รู้�างความน�าเชุ��อถู�อให�การู้สื่��อสื่ารู้น��นๆ

12


Transport Layer Transport Layer : ชุ��นสื่��อสื่ารู้น6าสื่�งข�อม�ล

แบ�งเป%น Protocol 2 ชุนดิ์ Transmission Control Protocol (TCP) ‣ เป%นแบบที่��ม�การู้จองชุ�วงการู้เชุ��อมต�อตลอดิ์รู้ะยะเวลาการู้

สื่��อสื่ารู้ (connection-oriented) ซึ่1�งจะยอมให�ม�การู้สื่�งข�อม�ลเป%นแบบ Byte stream ที่��ไว�ใจไดิ์�โดิ์ยไม�ม�ข�อผ่ดิ์พลาดิ์

‣ ข�อม�ลที่��ม�ปรู้มาณีมากจะถู�กแบ�งออกเป%นสื่�วนเล-กๆ เรู้�ยกว�า message ซึ่1�งจะถู�กสื่�งไปย�งผ่��รู้�บผ่�าน Internet Layer ที่างฝ่?ายผ่��รู้�บจะน6า message มาเรู้�ยงต�อก�นตามล6าดิ์�บเป%นข�อม�ลต�วเดิ์ม

‣ TCP ย�งม�ความสื่ามารู้ถูในการู้ควบค'มการู้ไหลของข�อม�ล (Flow Control) เพ��อป8องก�นไม�ให�ผ่��สื่�ง สื่�งข�อม�ลเรู้-วเกนกว�าที่��ผ่��รู้�บจะที่6างานไดิ์�ที่�นอ�กดิ์�วย

13


Transport LayerUDP (User Datagram Protocol) ‣ เป%นการู้ตดิ์ต�อแบบไม�การู้จองชุ�วงการู้เชุ��อมต�อ

(connectionless) ‣ ม�การู้ตรู้วจสื่อบความถู�กต�องของข�อม�ลแต�จะไม�ม�การู้

แจ�งกล�บไปย�งผ่��สื่�ง จ1งถู�อไดิ์�ว�าไม�ม�การู้ตรู้วจสื่อบความถู�กต�องของข�อม�ล

‣ ม�ข�อดิ์�ในดิ์�านความรู้วดิ์เรู้-วในการู้สื่�งข�อม�ล จ1งนยมใชุ�ในรู้ะบบผ่��ให�และผ่��ใชุ�บรู้การู้ (client/server system) ซึ่1�งม�การู้สื่��อสื่ารู้แบบ ถูาม/ตอบ (request/reply) นอกจากน��นย�งใชุ�ในการู้สื่�งข�อม�ลปรู้ะเภที่ภาพเคล��อนไหวหรู้�อการู้สื่�งเสื่�ยง (voice) ที่างอนเที่อรู้�เน-ต

14


Application Layer Application Layer: โพรู้โตคอลที่��ที่6างานรู้�วม

ก�บแอพพลเคชุ��น เชุ�นTelnet: โพรู้โตคอลสื่6าหรู้�บสื่รู้�างจอเที่อรู้�มน�ลเสื่ม�อน‣ ชุ�วยให�ผ่��ใชุ�สื่ามารู้ถูตดิ์ต�อก�บ เครู้��อง Host ที่��อย��ไกล

ออกไปโดิ์ยผ่�านอนเที่อรู้�เน-ต และสื่ามารู้ถูที่6างานไดิ์�เสื่ม�อนก�บว�าก6าล�งน��งที่6างานอย��ที่��เครู้��อง Host น��น

FTP: โพรู้โตคอลสื่6าหรู้�บการู้จ�ดิ์การู้แฟ้8มข�อม�ล‣ FTP ชุ�วยในการู้ค�ดิ์ลอกแฟ้8มข�อม�ลมาจากเครู้��อง อ��น

ที่��อย��ในรู้ะบบเครู้�อข�ายหรู้�อสื่�งสื่6าเนาแฟ้8มข�อม�ลไปย�งเครู้��องใดิ์ๆก-ไดิ์�

SMTP: โพรู้โตคอลสื่6าหรู้�บการู้ให�บรู้การู้จดิ์หมายอเล-กที่รู้อนกสื่�

‣ SMTP ชุ�วยในการู้จ�ดิ์สื่�งข�อความไปย�ง ผ่��ใชุ�ในรู้ะบบ หรู้�อรู้�บข�อความที่��ม�ผ่��สื่�งเข�ามา

15


ที่6าไมต�องม� Firewall? ป2จจ'บ�นเครู้�อข�ายอนเที่อรู้�เน-ตเตบโตอย�างรู้วดิ์เรู้-ว เครู้�อข�ายของ

องค�กรู้จ6าเป%นที่��จะต�องต�อเข�าก�บอนเที่อรู้�เน-ตเพ��อที่��จะใชุ�ในการู้ตดิ์ต�อสื่��อสื่ารู้และแลกเปล��ยนข�อม�ล แต�อนเที่อรู้�เน-ตน��นเป%นเครู้�อข�ายสื่าธารู้ณีะ ดิ์�งน��น จะม�ที่��งคนดิ์�และไม�ดิ์� และการู้รู้�กษ์าความปลอดิ์ภ�ยน��นม�ความจ6าเป%นมากสื่6าหรู้�บองค�กรู้

การู้ใชุ� Firewall น��นก-เพ��อให�ผ่��ใชุ�ที่��อย��ภายในสื่ามารู้ถูใชุ�บรู้การู้เครู้�อข�ายภายในไดิ์�เต-มที่�� และใชุ�บรู้การู้เครู้�อข�ายภายนอกไดิ์� ในขณีะที่�� Firewall จะป8องก�นไม�ให�ผ่��ใชุ�ภายนอกเข�ามาใชุ�บรู้การู้เครู้�อข�ายที่��อย��ข�างในไดิ์� แพ-กเก-ตที่��ว�งรู้ะหว�างเครู้�อข�าย จะต�องผ่�าน Firewall ก�อน

Firewall ที่6าหน�าที่��ควบค'มการู้ใชุ�เครู้�อข�ายไดิ์�โดิ์ยอน'ญาตหรู้�อไม�อน'ญาตให�แพ-กเก-ตผ่�านไดิ์� ซึ่1�งแพ-กเก-ตที่��อน'ญาตให�ผ่�านหรู้�อไม�น��น ข1�นอย��ก�บนโยบายการู้รู้�กษ์าความปลอดิ์ภ�ยของเครู้�อข�าย

16


หล�กการู้ที่6างานของ Firewall Firewall เป%นคอมโพเนนต� (Component)

หรู้�อกล'�มของคอมโพเนนต� โดิ์ยที่��คอมโพเนนต�น��นอาจจะเป%น เรู้าเตอรู้� คอมพวเตอรู้� หรู้�อเน-ตเวรู้�ก ปรู้ะกอบก�นก-ไดิ์�

Firewall บ�งค�บใชุ�นโยบายการู้รู้�กษ์าความปลอดิ์ภ�ยรู้ะหว�างเครู้�อข�าย เพ��อควบค'มการู้เข�าถู1งรู้ะหว�าง‣ เน-ตเวรู้�กภายนอกหรู้�อเน-ตเวรู้�กที่��คดิ์ว�าไม�ปลอดิ์ภ�ย

ก�บ‣ เน-ตเวรู้�กภายในหรู้�อเน-ตเวรู้�กที่��ต�องการู้จะป8องก�น

17


หล�กการู้ที่6างานของ Firewall การู้ที่6างานของ Firewall ปรู้ะกอบดิ์�วย 2 กลไก

‣ อน'ญาตให�แพ-กเก-ต (packet) ผ่�าน‣ ไม�อน'ญาตให�แพ-กเก-ตผ่�าน

การู้ควบค'มการู้เข�าถู1งของ Firewall น��น สื่ามารู้ถูที่6าไดิ์�ในหลายรู้ะดิ์�บและหลายรู้�ปแบบข1�นอย��ชุนดิ์หรู้�อเที่คโนโลย�ของ Firewall ที่��น6ามาใชุ� ‣ เชุ�น เรู้าสื่ามารู้ถูก6าหนดิ์ไดิ์�ว�าจะให�ม�การู้เข�ามาใชุ�

เซึ่อรู้�วสื่อะไรู้ไดิ์�บ�าง จากที่��ไหน เป%นต�น

18


ปรู้ะเภที่ของ FirewallFirewall สื่ามารู้ถูแบ�งไดิ์�เป%นหลายปรู้ะเภที่ ข1�นอย��

ก�บเกณีฑ์�ที่��ใชุ�แบ�ง

แบ�งตามรู้�ปแบบการู้ไหลของข�อม�ลผ่�าน Firewall Network-based firewall ‣ ป8องก�นเครู้�อข�ายภายในจากภ�ยค'กคามจากภายนอก

โดิ์ยการู้เฝ่8ารู้ะว�งข�อม�ลสื่��อสื่ารู้ (traffic) ที่��ว�งเข�ามาและออกจากเครู้�อข�าย• Software-based firewall• Hardware-based firewall

Host-based firewall หรู้�อ Personal firewall

‣ ป8องก�นคอมพวเตอรู้�แต�ละเครู้��องจากภ�ยค'กคามที่างเครู้�อข�ายที่��เครู้��องน��นเชุ��อมต�ออย��เที่�าน��น

19


ปรู้ะเภที่ของ Firewall แบ�งโดิ์ยใชุ� Layer การู้ที่6างานของ Firewall

1.) Packet filtering firewall‣ เรู้าเตอรู้� (Router) ที่��ที่6าการู้หาเสื่�นที่างและสื่�งต�อ

(route) อย�างม�เง��อนไข โดิ์ยพจารู้ณีาจากข�อม�ลสื่�วนที่��อย��ใน header ของแพ-กเก-ตที่��ผ่�านเข�ามา เที่�ยบก�บกฎ (rules) ที่��ก6าหนดิ์ไว�และต�ดิ์สื่นว�าควรู้จะที่�ง (drop) แพ-กเก-ตน��นไปหรู้�อว�าจะยอม (accept) ให�แพ-กเก-ตน��นผ่�านไปไดิ์�

2.) Stateful inspection firewall‣ เป%นเที่คโนโลย�ที่��เพ�มเข�าไปใน Packet Filtering

โดิ์ยในการู้พจารู้ณีาว�าจะยอมให�แพ-กเก-ตผ่�านไปน��น นอกจากจะดิ์�ข�อม�ลจาก Header แล�ว ย�งน6าเอาสื่�วนข�อม�ลของแพ-กเก-ต (message content) และข�อม�ลที่��ไดิ์�จากแพ-กเก-ตก�อนหน�าน��ที่��ไดิ์�ที่6าการู้บ�นที่1กเอาไว� น6ามาพจารู้ณีาดิ์�วย ที่6าให�สื่ามารู้ถูรู้ะบ'ไดิ์�ว�าแพ-กเก-ตใดิ์เป%นแพ-กเก-ตที่��ตดิ์ต�อเข�ามาใหม� หรู้�อว�าเป%นสื่�วนหน1�งของการู้เชุ��อมต�อที่��ม�อย��แล�ว

20


ปรู้ะเภที่ของ Firewall3.) Application layer firewall‣ บางที่�เรู้�ยกว�า Application Gateway เป%น

แอพพลเคชุ�นที่��ที่6างานอย��บนFirewall ที่��ต��งอย��รู้ะหว�างเน-ตเวรู้�ก 2 เน-ตเวรู้�ก

‣ เพ�มความปลอดิ์ภ�ยของรู้ะบบเน-ตเวรู้�กโดิ์ยการู้ควบค'มการู้เชุ��อมต�อรู้ะหว�างเน-ตเวรู้�กภายในและภายนอก

‣ Application Gateway จะชุ�วยเพ�มความปลอดิ์ภ�ยไดิ์�มากเน��องจากม�การู้ตรู้วจสื่อบข�อม�ลถู1งในรู้ะดิ์�บของแอพพลเคชุ�นเลเยอรู้� (Application Layer)

21


Packet Filtering Firewall

โดิ์ยปกตแล�ว Router ไดิ์�รู้�บแพ-กเก-ตมา ก-จะตรู้วจสื่อบ IP address ของเครู้��องปลายที่าง จากน��นก-จะดิ์� Routing Table เพ��อค�นหาเสื่�นที่างที่��จะสื่�ง

การู้กรู้องแพ-กเก-ต (Packet Filtering) ของ firewall จะที่6าก�อนที่��จะสื่�งผ่�านแพ-กเก-ตน�� แพ-กเก-ตจะถู�กกรู้องตามรู้ายการู้ควบค'มการู้เข�าถู1ง (Access Control List – ACL)

แต�ละรู้ายการู้ของ ACL จะปรู้ะกอบดิ์�วย Field ของ Header ของ IP แพ-กเก-ต และเง��อนไขการู้อน'ญาต ว�าอน'ญาตหรู้�อไม�อน'ญาตให�ผ่�าน

22



ถู�าแพ-กเก-ตที่��เข�ามาไม�ตรู้งก�บกฎข�อใดิ์เลย Firewall จะที่6าอย�างไรู้‣ ถู�าไม�ม�กฎข�อใดิ์ที่��ไม�ไดิ์�เข�ยนว�าอน'ญาตให�ผ่�าน ถู�อว�าห�าม‣ ถู�าไม�ม�กฎข�อใดิ์ที่��ไม�ไดิ์�เข�ยนว�าห�ามผ่�าน ให�ถู�อว�าอน'ญาต

ข�อม�ลที่��ใชุ�ในการู้พจารู้ณีาว�าจะให�แพ-กเก-ตผ่�านหรู้�อไม�น��น ปรู้ะกอบดิ์�วย‣ Source IP address (ไอพ�ต�นที่าง)‣ Destination IP Address (ไอพ�ปลายที่าง)‣ Protocol Type (ชุนดิ์ของโปรู้โตคอล)‣ Source port (พอรู้�ตต�นที่าง)‣ Destination port (พอรู้�ตปลายที่าง)

23



หล�กการู้ที่6างานของ Packet Filtering จะพจารู้ณีาแพ-กเก-ต TCP เพ��อตรู้วจสื่อบว�า ‣ แพ-กเก-ตน��นม� Address ที่��ถู�กต�องหรู้�อไม� ‣ แพ-กเก-ตน��นถู�กสื่�งมาจากเครู้�อข�ายภายนอกหรู้�อไม� ‣ โปรู้โตคอลหรู้�อเซึ่อรู้�วสื่น��นผ่�านการู้ตรู้วจสื่อบแล�วหรู้�อ

ไม�‣ ออปชุ�นที่��สื่�งมาน��นถู�กต�องตามข�อก6าหนดิ์หรู้�อไม�

24



ข�อดิ์�‣ น6ามาใชุ�งานง�าย ม�การู้ที่6างานที่��ไม�ซึ่�บซึ่�อน‣ ที่6างานไดิ์�อย�างรู้วดิ์เรู้-ว ไม�กรู้ะที่บต�อผ่��ใชุ�งาน

(transparent) ข�อจ6าก�ดิ์

‣ ไม�สื่ามารู้ถูป8องก�นการู้โจมต�ที่��ม'�งใชุ�ปรู้ะโยชุน�จากชุ�องโหว�ของ function หรู้�อ application ไดิ์�• Packet filter firewalls ไม�พจารู้ณีาข�อม�ลบนชุ��น

ที่��เหน�อข1�นไป หาก application ใดิ์ไดิ์�รู้�บอน'ญาตให�เชุ��อมต�อผ่�าน firewall ที่'ก function ใน application น��นๆก-สื่ามรู้ถูใชุ�งานการู้เชุ��อมต�อดิ์�งกล�าวไดิ์�

‣ ม�การู้เก-บข�อม�ลที่��จ6าก�ดิ์• Logs ที่��ไดิ์�เก-บเฉพาะข�อม�ลที่��ใชุ�ในการู้ต�ดิ์สื่นใจสื่6าหรู้�บ

access control (source address, destination address, and traffic type)

25



ข�อจ6าก�ดิ์ (ต�อ)‣ ไม�รู้องรู้�บการู้จ�ดิ์การู้สื่ที่ธ�การู้ใชุ�งานของผ่��ใชุ�ข��น‣ ไม�ป8องก�นการู้โจมต�ที่��ม�สื่าเหต'จากจ'ดิ์อ�อนของ

TCP/IP• ไม�สื่ามารู้ถูตรู้วจจ�บ packet ที่��ม�การู้ปลอม/เปล��ยน

address ในรู้ะดิ์�บ Layer 3 ไดิ์�‣ การู้ก6าหนดิ์ค�าที่��ผ่ดิ์พลาดิ์จะน6าไปสื่��ชุ�องโหว�ที่��อ�นตรู้าย

ไดิ์�

26


Stateful Inspection Firewall Packet filter กรู้อง packet ดิ์�วยการู้ต�ดิ์สื่น

ใจโดิ์ยใชุ�ข�อม�ลจาก packet เดิ์��ยวๆ ไม�ม�การู้ใชุ�ข�อม�ลจากสื่�งแวดิ์ล�อมในการู้ที่6างานในรู้ะดิ์�บบนเข�ามาพจารู้ณีา‣ โดิ์ยปกตแล�ว เครู้��อง clients ใชุ�พอรู้�ตหมายเลขสื่�งๆ

(1024 to 65535) ในการู้เชุ��อมต�อผ่�าน TCP ไปย�งเครู้��อง server ดิ์�งน��น packet filtering firewall จ1งต�องอน'ญาตการู้เชุ��อมต�อขาเข�า (inbound traffic) เข�ามาย�งพอรู้�ตหมายเลขสื่�งๆเหล�าน��ไดิ์� เพ��อรู้องรู้�บ TCP traffic

ม�หล�กการู้ที่6างานที่'กอย�างเหม�อนก�บแพ-กเก-ต Packet Filtering Firewall แต�ม�สื่�วนที่��เพ�มข1�นมาค�อ จะบ�นที่1กข�อม�ลเก��ยวก�บ Connection ที่��เกดิ์ข1�นใน State Table ก�อนที่��จะสื่�งแพ-กเก-ตน��ต�อ

27


Stateful Inspection Firewall

Stateful Inspection Firewall ม�กฏการู้ควบค'มการู้เชุ��อมต�อที่��เข�มงวดิ์มากข1�นสื่6าหรู้�บ TCP traffic โดิ์ยสื่รู้�าง directory ที่��เก-บการู้เชุ��อมต�อขาออก (Outbound) ของ TCP connection เอาไว�

State Table จะใชุ�สื่6าหรู้�บการู้บ�นที่1กข�อม�ลของแต�ละ Connection ที่��เกดิ์ข1�น โดิ์ยปกตจะเก-บ Source Address, Destination addresses, Protocol type, Port number และ Flag ‣ ม�การู้บ�นที่1กการู้เชุ��อมต�อที่��ก6าล�งเกดิ์ข1�นไว� (1 การู้

เชุ��อมต�อ เก-บ 1 รู้ายการู้)‣ อน'ญาตการู้เชุ��อมต�อขาเข�า (incoming traffic)

มาย�งพอรู้�ตหมายเลขสื่�งๆ เฉพาะเม��อ packet เหล�าน��นสื่อดิ์คล�องก�บ profile ของรู้ายการู้ใดิ์รู้ายการู้หน1�งใน state table

‣ แต�ม� Firewall บางย��ห�อจะเก-บ Sequence Number เพ�มดิ์�วย เพ��อใชุ�ในการู้ตรู้วจสื่อบ แพ-กเก-ตที่��ก6าล�งเข�ามาและป8องก�นการู้ที่6า Session Hijacking

28


Stateful Inspection Firewall Firewall ตรู้วจสื่อบข�อม�ลของ packet เชุ�น

เดิ์�ยวก�บ packet filtering firewall แต�เพ�มการู้เก-บข�อม�ลเก��ยวก�บ TCP connection ดิ์�วย‣ บ�นที่1ก TCP sequence

numbers เพ��อป8องก�นการู้โจมต�ที่��อาศั�ย sequence number เชุ�น session hijacking

‣ ตรู้วจสื่อบข�อม�ลสื่6าหรู้�บ protocols เชุ�น FTP, IM และค6าสื่��งของโปรู้โตคอล SIPS เพ��อรู้ะบ'การู้เชุ��อมต�อและ track การู้เชุ��อมต�อที่��เก��ยวข�องก�น

29


Source

Address Source Port Destination

Address Destination

Port Connection

State

192.168.1.100 1030 210.9.88.29 80 Established

192.168.1.102 1031 216.32.42.123 80 Established

192.168.1.101 1033 173.66.32.122 25 Established

192.168.1.106 1035 177.231.32.12 79 Established

223.43.21.231 1990 192.168.1.6 80 Established

219.22.123.32 2112 192.168.1.6 80 Established

210.99.212.18 3321 192.168.1.6 80 Established

24.102.32.23 1025 192.168.1.6 80 Established

223.21.22.12 1046 192.168.1.6 80 Established

Stateful Firewall Connection State

Directory ของการู้เชุ��อมต�อแบบ TCP ขาออก (outbound)

30


Application Layer Firewall

บางที่�เรู้�ยกว�า Proxy Firewall หรู้�อ Application Gateway

เป%น โปรู้แกรู้มที่��รู้�นบนรู้ะบบปฏบ�ตการู้ที่��วไป หรู้�อ อาจเป%นฮารู้�ดิ์แวรู้�ที่��ตดิ์ต��งซึ่อฟ้ต�แวรู้�พรู้�อมใชุ�งานแล�วก-ไดิ์�

Firewall จะม�รู้ะบบป8องก�นเครู้�อข�าย (Network Guard) หลายอ�นเพ��อสื่6าหรู้�บเชุ��อมต�อก�บเครู้�อข�ายต�างๆ

นโยบายรู้�กษ์าความปลอดิ์ภ�ยจะเป%นสื่�งก6าหนดิ์ว�า Traffic (ข�อม�ลสื่��อสื่ารู้) ใดิ์สื่ามารู้ถูถู�ายโอนรู้ะหว�างเครู้�อข�ายใดิ์ไดิ์�บ�าง

ใน Application Layer Firewall น��น ที่'กๆ โปรู้โตคอลที่��อน'ญาตให�ผ่�านไดิ์�จะต�องม� Proxy สื่6าหรู้�บโปรู้โตคอลน��นๆ

31



เม��อ Client ต�องการู้ใชุ� Service ภายนอก Client จะที่6าการู้ตดิ์ต�อไปย�ง Proxy ก�อน Client จะเจรู้จาก�บ Proxy เพ��อให� Proxy ตดิ์ต�อไปย�งเครู้��องปลายที่างให�

เม��อ Proxy ตดิ์ต�อไปย�งเครู้��องปลายที่างให�แล�วจะม� connection 2 อ�น ค�อ Client ก�บ Proxy และ Proxy ก�บเครู้��องปลายที่าง โดิ์ยที่�� Proxy จะที่6าหน�าที่��รู้�บข�อม�ลและสื่�งต�อข�อม�ลให�ใน 2 ที่ศัที่าง ที่��งน�� Proxy จะที่6าหน�าที่��ในการู้ต�ดิ์สื่นใจว�าจะให�ม�การู้เชุ��อมต�อก�นหรู้�อไม� จะสื่�งต�อแพ-กเก-ตให�หรู้�อไม�

32



สื่6าหรู้�บ Application Layer Firewall น�� ที่'กๆ การู้เชุ��อมต�อจะสื่�นสื่'ดิ์ที่��Firewall โดิ์ย Firewall จะตรู้วจสื่อบก�บนโยบายรู้�กษ์าความปลอดิ์ภ�ยว�าจะอน'ญาตให� Traffic น��ผ่�านหรู้�อไม� ‣ ถู�าอน'ญาต firewall จะสื่รู้�างการู้เชุ��อมต�อก�บ

server แที่น client เอง

Application Layer Firewall ย�งสื่ามารู้ถูควบค'มการู้เชุ��อมต�อจากภายนอกเข�ามาภายในไดิ์�เชุ�นก�น ดิ์�งน��น firewall จ1งสื่ามารู้ถูป8องก�นการู้โจมต�เครู้�อข�ายในรู้ะดิ์�บ application ไดิ์� แต�ต�ว firewall เอง จะต�องม�ความปลอดิ์ภ�ยจากการู้โจมต�ดิ์�วย

33

Date post:	26-Dec-2014
Category:	Education
Upload:	bee-lalita
View:	201 times
Download:	3 times

Information system security wk6-1

Education