Date post: | 26-Dec-2014 |
Category: |
Education |
Upload: | bee-lalita |
View: | 201 times |
Download: | 3 times |
Faculty of Information Technology Page
IT346 Information System Security Week 6-1: Firewall (1)
อ.พงษ์�ศั�กดิ์� ไผ่�แดิ์ง
1
Faculty of Information Technology Page
Application Layer
Host-to-Network Layer
(Network Access)
OSI v.s. TCP/IP Model
Application Layer
Presentation Layer
Session Layer
Transport Layer
Network Layer
Data Link Layer
Physical Layer
OSI Model
Transport Layer
Internet Layer
TCP/IP Model
2
Faculty of Information Technology Page
ความรู้��พ��นฐานเก��ยวก�บ โปรู้โตคอล TCP/IP
TCP/IP (Transmission Control Protocol/ Internet Protocol) เป%นชุ'ดิ์ของโปรู้โตคอลที่��ถู�กใชุ�ในการู้สื่��อสื่ารู้ผ่�านเครู้�อข�ายอนเที่อรู้�เน-ต ‣ โปรู้โตคอลมาตรู้ฐานที่��ใชุ�สื่��อสื่ารู้จากต�นที่างข�ามเครู้�อ
ข�ายไปย�งปลายที่าง‣ สื่ามารู้ถูหาเสื่�นที่างที่��จะสื่�งข�อม�ลไปไดิ์�เองโดิ์ยอ�ตโนม�ต
ถู1งแม�ว�าในรู้ะหว�างที่างอาจจะผ่�านเครู้�อข�ายที่��ม�ป2ญหา โปรู้โตคอลก-ย�งคงหาเสื่�นที่างอ��นในการู้สื่�งผ่�านข�อม�ลไปให�ถู1งปลายที่างไดิ์�
3
Faculty of Information Technology Page
TCP/IP Protocol TCP/IP ม�จ'ดิ์ปรู้ะสื่งค�ของการู้สื่��อสื่ารู้ตาม
มาตรู้ฐาน สื่ามปรู้ะการู้ค�อ ‣ เพ��อใชุ�ตดิ์ต�อสื่��อสื่ารู้รู้ะหว�างรู้ะบบที่��ม�ความแตกต�างก�น ‣ ความสื่ามารู้ถูในการู้แก�ไขป2ญหาที่��เกดิ์ข1�นในรู้ะบบเครู้�อ
ข�าย เชุ�นในกรู้ณี�ที่��ผ่��สื่�งและผ่��รู้�บย�งคงม�การู้ตดิ์ต�อก�นอย�� แต�โหนดิ์กลางที่�ใชุ�เป%นผ่��ชุ�วยรู้�บ-สื่�งเกดิ์เสื่�ยหายใชุ�การู้ไม�ไดิ์� หรู้�อสื่ายสื่��อสื่ารู้บางชุ�วงถู�กต�ดิ์ขาดิ์ กฎการู้สื่��อสื่ารู้น��จะต�องสื่ามารู้ถูจ�ดิ์หาที่างเล�อกอ��นเพ��อที่6าให�การู้สื่��อสื่ารู้ดิ์6าเนนต�อไปไดิ์�โดิ์ยอ�ตโนม�ต
‣ ม�ความคล�องต�วต�อการู้สื่��อสื่ารู้ข�อม�ลไดิ์�หลายชุนดิ์ที่��งแบบที่��ไม�ม�ความเรู้�งดิ์�วน เชุ�น การู้จ�ดิ์สื่�งแฟ้8มข�อม�ล และแบบที่��ต�องการู้รู้�บปรู้ะก�นความเรู้�งดิ์�วนของข�อม�ล เชุ�น การู้สื่��อสื่ารู้แบบ real-time และที่��งการู้สื่��อสื่ารู้แบบเสื่�ยง (Voice) และข�อม�ล (data)
4
Faculty of Information Technology Page
TCP/IP Model
Layer Protocol Example
5
Faculty of Information Technology Page
Encapsulation
6
Faculty of Information Technology Page
Encapsulation ข�อม�ลที่��ผ่�านการู้ Encapsulate ในแต�ละ Layer ม�ชุ��อเรู้�ยกแตก
ต�างก�น ดิ์�งน��‣ ข�อม�ลที่��มาจาก User หรู้�อก-ค�อข�อม�ลที่�� User เป%นผ่��ป8อนให�ก�บ
Application เรู้�ยกว�า User Data ‣ เม��อแอพพลเคชุ��นไดิ์�รู้�บข�อม�ลจาก user ก-จะน6ามาปรู้ะกอบก�บสื่�วนห�ว
ของแอพพลเคชุ��น เรู้�ยกว�า Application Data และสื่�งต�อไปย�งโปรู้โตคอล TCP
‣ เม��อโปรู้โตคอล TCP ไดิ์�รู้�บ Application Data ก-จะน6ามารู้วมก�บ Header ของ โปรู้โตคอล TCP เรู้�ยกว�า TCP Segment และสื่�งต�อไปย�งโปรู้โตคอล IP
‣ เม��อโปรู้โตคอล IP ไดิ์�รู้�บ TCP Segment ก-จะน6ามารู้วมก�บ Header ของ โปรู้โตคอล IP เรู้�ยกว�า IP Datagram และสื่�งต�อไปย�ง Host-to-Network Layer
‣ ในรู้ะดิ์�บ Host-to-Network จะน6า IP Datagram มาเพ�มสื่�วน Error Correction และ flag เรู้�ยกว�า Ethernet Frame ก�อนจะแปลงข�อม�ลเป%นสื่�ญญาณีไฟ้ฟ้8า สื่�งผ่�านสื่ายสื่�ญญาณีที่��เชุ��อมโยงอย��ต�อไป
7
Faculty of Information Technology Page
Host-to-Network Layer
Host-to-Network Layer: โฮสื่ต� เครู้�อข�าย‣ โพรู้โตคอลสื่6าหรู้�บการู้ควบค'มการู้สื่��อสื่ารู้ใน layer น��
ไม�ม�การู้ก6าหนดิ์รู้ายละเอ�ยดิ์อย�างเป%นที่างการู้ ‣ ดิ์�านผ่��สื่�ง Layer น��จะรู้�บ IP Packet มาจาก IP
Layer แล�วสื่�งไปย�งโหนดิ์ที่��รู้ะบ'ไว�ในเสื่�นที่างเดิ์นข�อม�ล
‣ ดิ์�านผ่��รู้�บก-จะที่6างานในที่างกล�บก�น ค�อรู้�บข�อม�ลจากสื่ายสื่��อสื่ารู้แล�วน6าสื่�งให�ก�บ IP Layer
8
Faculty of Information Technology Page
Internet Layer Internet Layer:
‣ ใชุ�ปรู้ะเภที่ของรู้ะบบการู้สื่��อสื่ารู้ที่��เรู้�ยกว�า รู้ะบบ packet-switching network ซึ่1�งเป%นการู้ตดิ์ต�อแบบ Connectionless (ไม�จองการู้เชุ��อมต�อ)
‣ หล�กการู้ที่6างานค�อการู้ปล�อยให�ข�อม�ลขนาดิ์เล-กที่��เรู้�ยกว�า แพ-กเก-ต (Packet) สื่ามารู้ถูไหลจากโหนดิ์ผ่��สื่�งไปตามโหนดิ์ต�างๆ ในรู้ะบบจนถู1งจ'ดิ์หมายปลายที่างไดิ์�โดิ์ยอสื่รู้ะ
‣ หากว�าม�การู้สื่�งแพ-กเก-ตออกมาเป%นชุ'ดิ์โดิ์ยม�จ'ดิ์หมายปลายที่างเดิ์�ยวก�นในรู้ะหว�าง การู้เดิ์นที่างในเครู้�อข�าย แพ-กเก-ตแต�ละต�วในชุ'ดิ์น��ก-จะเป%นอสื่รู้ะแก�ก�นและก�น ดิ์�งน��น แพ-กเก-ตที่��สื่�งไปถู1งปลายที่างอาจจะไม�เป%นไปตามล6าดิ์�บก-ไดิ์�
9
Faculty of Information Technology Page
Internet Layer: IP IP (Internet Protocol)
‣ IP เป%นโปรู้โตคอลในรู้ะดิ์�บNetwork Layer ที่6าหน�าที่��จ�ดิ์การู้เก��ยวก�บแอดิ์เดิ์รู้สื่ (Address) และข�อม�ล และควบค'มการู้สื่�งข�อม�ลที่��ใชุ�ในการู้หาเสื่�นที่างของแพ-กเก-ต
‣ กลไกในการู้หาเสื่�นที่างของ IP จะม�ความสื่ามารู้ถูในการู้หาเสื่�นที่างที่��ดิ์�ที่��สื่'ดิ์ และสื่ามารู้ถูเปล��ยนแปลงเสื่�นที่างไดิ์�ในรู้ะหว�างการู้สื่�งข�อม�ล และม�รู้ะบบการู้แยกและปรู้ะกอบดิ์าต�าแกรู้ม (datagram) เพ��อรู้องรู้�บการู้สื่�งข�อม�ลรู้ะดิ์�บ data link ที่��ม�ขนาดิ์ MTU (Maximum Transmission Unit) ที่��แตกต�างก�น ที่6าให�สื่ามารู้ถูน6า IP ไปใชุ�บนโปรู้โตคอลอ��นไดิ์�หลากหลาย เชุ�น Ethernet ,Token Ring หรู้�อ Apple Talk
10
Faculty of Information Technology Page
Internet Layer: IP IP (Internet Protocol)
‣ การู้เชุ��อมต�อของ IP เพ��อที่6าการู้สื่�งข�อม�ล จะเป%นแบบ connectionless หรู้�อเกดิ์เสื่�นที่างการู้เชุ��อมต�อในที่'กๆครู้��งของการู้สื่�งข�อม�ล 1 datagram โดิ์ยจะไม�ที่รู้าบถู1ง datagram ที่��สื่�งก�อนหน�าหรู้�อสื่�งตามมา
‣ การู้สื่�งข�อม�ลใน 1 datagram อาจจะเกดิ์การู้สื่�งไดิ์�หลายครู้��งในกรู้ณี�ที่��ม�การู้แบ�งข�อม�ลออกเป%นสื่�วนย�อยๆ (fragmentation) และถู�กน6าไปรู้วมเป%น datagram เดิ์มเม��อถู1งปลายที่าง
11
Faculty of Information Technology Page
Internet Layer: ICMP ICMP (Internet Control Message
Protocol)‣ ICMP เป%นโปรู้โตคอลที่��ใชุ�ในการู้ตรู้วจสื่อบและ
รู้ายงานสื่ถูานภาพของดิ์าต�าแกรู้ม (Datagram) ในกรู้ณี�ที่��เกดิ์ป2ญหาก�บ datagram เชุ�น Router ไม�สื่ามารู้ถูสื่�ง datagram ไปถู1งปลายที่างไดิ์�
‣ ICMP จะถู�กสื่�งออกไปย�ง Host ต�นที่างเพ��อรู้ายงานข�อผ่ดิ์พลาดิ์ ที่��เกดิ์ข1�น
‣ ไม�ม�อะไรู้รู้�บปรู้ะก�นไดิ์�ว�า ICMP Message ที่��สื่�งไปจะถู1งผ่��รู้�บจรู้งหรู้�อไม� หากม�การู้สื่�ง datagram ออกไปแล�วไม�ม� ICMP Message ฟ้8อง Error กล�บมา ก-แปลความหมายไดิ์�สื่องกรู้ณี�ค�อ ข�อม�ลถู�กสื่�งไปถู1งปลายที่างอย�างเรู้�ยบรู้�อย หรู้�ออาจจะม�ป2ญหา ในการู้สื่��อสื่ารู้ที่��งการู้สื่�ง datagram และ ICMP Message ที่��สื่�งกล�บมาก-ม�ป2ญหารู้ะว�างที่างก-ไดิ์�
‣ ICMP จ1งเป%นโปรู้โตคอลที่��ไม�ม�ความน�าเชุ��อถู�อ (unreliable) แต�เป%นหน�าที่��ของ โปรู้โตคอลในรู้ะดิ์�บสื่�งกว�า Network Layer ในการู้สื่รู้�างความน�าเชุ��อถู�อให�การู้สื่��อสื่ารู้น��นๆ
12
Faculty of Information Technology Page
Transport Layer Transport Layer : ชุ��นสื่��อสื่ารู้น6าสื่�งข�อม�ล
แบ�งเป%น Protocol 2 ชุนดิ์ Transmission Control Protocol (TCP) ‣ เป%นแบบที่��ม�การู้จองชุ�วงการู้เชุ��อมต�อตลอดิ์รู้ะยะเวลาการู้
สื่��อสื่ารู้ (connection-oriented) ซึ่1�งจะยอมให�ม�การู้สื่�งข�อม�ลเป%นแบบ Byte stream ที่��ไว�ใจไดิ์�โดิ์ยไม�ม�ข�อผ่ดิ์พลาดิ์
‣ ข�อม�ลที่��ม�ปรู้มาณีมากจะถู�กแบ�งออกเป%นสื่�วนเล-กๆ เรู้�ยกว�า message ซึ่1�งจะถู�กสื่�งไปย�งผ่��รู้�บผ่�าน Internet Layer ที่างฝ่?ายผ่��รู้�บจะน6า message มาเรู้�ยงต�อก�นตามล6าดิ์�บเป%นข�อม�ลต�วเดิ์ม
‣ TCP ย�งม�ความสื่ามารู้ถูในการู้ควบค'มการู้ไหลของข�อม�ล (Flow Control) เพ��อป8องก�นไม�ให�ผ่��สื่�ง สื่�งข�อม�ลเรู้-วเกนกว�าที่��ผ่��รู้�บจะที่6างานไดิ์�ที่�นอ�กดิ์�วย
13
Faculty of Information Technology Page
Transport LayerUDP (User Datagram Protocol) ‣ เป%นการู้ตดิ์ต�อแบบไม�การู้จองชุ�วงการู้เชุ��อมต�อ
(connectionless) ‣ ม�การู้ตรู้วจสื่อบความถู�กต�องของข�อม�ลแต�จะไม�ม�การู้
แจ�งกล�บไปย�งผ่��สื่�ง จ1งถู�อไดิ์�ว�าไม�ม�การู้ตรู้วจสื่อบความถู�กต�องของข�อม�ล
‣ ม�ข�อดิ์�ในดิ์�านความรู้วดิ์เรู้-วในการู้สื่�งข�อม�ล จ1งนยมใชุ�ในรู้ะบบผ่��ให�และผ่��ใชุ�บรู้การู้ (client/server system) ซึ่1�งม�การู้สื่��อสื่ารู้แบบ ถูาม/ตอบ (request/reply) นอกจากน��นย�งใชุ�ในการู้สื่�งข�อม�ลปรู้ะเภที่ภาพเคล��อนไหวหรู้�อการู้สื่�งเสื่�ยง (voice) ที่างอนเที่อรู้�เน-ต
14
Faculty of Information Technology Page
Application Layer Application Layer: โพรู้โตคอลที่��ที่6างานรู้�วม
ก�บแอพพลเคชุ��น เชุ�นTelnet: โพรู้โตคอลสื่6าหรู้�บสื่รู้�างจอเที่อรู้�มน�ลเสื่ม�อน‣ ชุ�วยให�ผ่��ใชุ�สื่ามารู้ถูตดิ์ต�อก�บ เครู้��อง Host ที่��อย��ไกล
ออกไปโดิ์ยผ่�านอนเที่อรู้�เน-ต และสื่ามารู้ถูที่6างานไดิ์�เสื่ม�อนก�บว�าก6าล�งน��งที่6างานอย��ที่��เครู้��อง Host น��น
FTP: โพรู้โตคอลสื่6าหรู้�บการู้จ�ดิ์การู้แฟ้8มข�อม�ล‣ FTP ชุ�วยในการู้ค�ดิ์ลอกแฟ้8มข�อม�ลมาจากเครู้��อง อ��น
ที่��อย��ในรู้ะบบเครู้�อข�ายหรู้�อสื่�งสื่6าเนาแฟ้8มข�อม�ลไปย�งเครู้��องใดิ์ๆก-ไดิ์�
SMTP: โพรู้โตคอลสื่6าหรู้�บการู้ให�บรู้การู้จดิ์หมายอเล-กที่รู้อนกสื่�
‣ SMTP ชุ�วยในการู้จ�ดิ์สื่�งข�อความไปย�ง ผ่��ใชุ�ในรู้ะบบ หรู้�อรู้�บข�อความที่��ม�ผ่��สื่�งเข�ามา
15
Faculty of Information Technology Page
ที่6าไมต�องม� Firewall? ป2จจ'บ�นเครู้�อข�ายอนเที่อรู้�เน-ตเตบโตอย�างรู้วดิ์เรู้-ว เครู้�อข�ายของ
องค�กรู้จ6าเป%นที่��จะต�องต�อเข�าก�บอนเที่อรู้�เน-ตเพ��อที่��จะใชุ�ในการู้ตดิ์ต�อสื่��อสื่ารู้และแลกเปล��ยนข�อม�ล แต�อนเที่อรู้�เน-ตน��นเป%นเครู้�อข�ายสื่าธารู้ณีะ ดิ์�งน��น จะม�ที่��งคนดิ์�และไม�ดิ์� และการู้รู้�กษ์าความปลอดิ์ภ�ยน��นม�ความจ6าเป%นมากสื่6าหรู้�บองค�กรู้
การู้ใชุ� Firewall น��นก-เพ��อให�ผ่��ใชุ�ที่��อย��ภายในสื่ามารู้ถูใชุ�บรู้การู้เครู้�อข�ายภายในไดิ์�เต-มที่�� และใชุ�บรู้การู้เครู้�อข�ายภายนอกไดิ์� ในขณีะที่�� Firewall จะป8องก�นไม�ให�ผ่��ใชุ�ภายนอกเข�ามาใชุ�บรู้การู้เครู้�อข�ายที่��อย��ข�างในไดิ์� แพ-กเก-ตที่��ว�งรู้ะหว�างเครู้�อข�าย จะต�องผ่�าน Firewall ก�อน
Firewall ที่6าหน�าที่��ควบค'มการู้ใชุ�เครู้�อข�ายไดิ์�โดิ์ยอน'ญาตหรู้�อไม�อน'ญาตให�แพ-กเก-ตผ่�านไดิ์� ซึ่1�งแพ-กเก-ตที่��อน'ญาตให�ผ่�านหรู้�อไม�น��น ข1�นอย��ก�บนโยบายการู้รู้�กษ์าความปลอดิ์ภ�ยของเครู้�อข�าย
16
Faculty of Information Technology Page
หล�กการู้ที่6างานของ Firewall Firewall เป%นคอมโพเนนต� (Component)
หรู้�อกล'�มของคอมโพเนนต� โดิ์ยที่��คอมโพเนนต�น��นอาจจะเป%น เรู้าเตอรู้� คอมพวเตอรู้� หรู้�อเน-ตเวรู้�ก ปรู้ะกอบก�นก-ไดิ์�
Firewall บ�งค�บใชุ�นโยบายการู้รู้�กษ์าความปลอดิ์ภ�ยรู้ะหว�างเครู้�อข�าย เพ��อควบค'มการู้เข�าถู1งรู้ะหว�าง‣ เน-ตเวรู้�กภายนอกหรู้�อเน-ตเวรู้�กที่��คดิ์ว�าไม�ปลอดิ์ภ�ย
ก�บ‣ เน-ตเวรู้�กภายในหรู้�อเน-ตเวรู้�กที่��ต�องการู้จะป8องก�น
17
Faculty of Information Technology Page
หล�กการู้ที่6างานของ Firewall การู้ที่6างานของ Firewall ปรู้ะกอบดิ์�วย 2 กลไก
‣ อน'ญาตให�แพ-กเก-ต (packet) ผ่�าน‣ ไม�อน'ญาตให�แพ-กเก-ตผ่�าน
การู้ควบค'มการู้เข�าถู1งของ Firewall น��น สื่ามารู้ถูที่6าไดิ์�ในหลายรู้ะดิ์�บและหลายรู้�ปแบบข1�นอย��ชุนดิ์หรู้�อเที่คโนโลย�ของ Firewall ที่��น6ามาใชุ� ‣ เชุ�น เรู้าสื่ามารู้ถูก6าหนดิ์ไดิ์�ว�าจะให�ม�การู้เข�ามาใชุ�
เซึ่อรู้�วสื่อะไรู้ไดิ์�บ�าง จากที่��ไหน เป%นต�น
18
Faculty of Information Technology Page
ปรู้ะเภที่ของ FirewallFirewall สื่ามารู้ถูแบ�งไดิ์�เป%นหลายปรู้ะเภที่ ข1�นอย��
ก�บเกณีฑ์�ที่��ใชุ�แบ�ง
แบ�งตามรู้�ปแบบการู้ไหลของข�อม�ลผ่�าน Firewall Network-based firewall ‣ ป8องก�นเครู้�อข�ายภายในจากภ�ยค'กคามจากภายนอก
โดิ์ยการู้เฝ่8ารู้ะว�งข�อม�ลสื่��อสื่ารู้ (traffic) ที่��ว�งเข�ามาและออกจากเครู้�อข�าย• Software-based firewall• Hardware-based firewall
Host-based firewall หรู้�อ Personal firewall
‣ ป8องก�นคอมพวเตอรู้�แต�ละเครู้��องจากภ�ยค'กคามที่างเครู้�อข�ายที่��เครู้��องน��นเชุ��อมต�ออย��เที่�าน��น
19
Faculty of Information Technology Page
ปรู้ะเภที่ของ Firewall แบ�งโดิ์ยใชุ� Layer การู้ที่6างานของ Firewall
1.) Packet filtering firewall‣ เรู้าเตอรู้� (Router) ที่��ที่6าการู้หาเสื่�นที่างและสื่�งต�อ
(route) อย�างม�เง��อนไข โดิ์ยพจารู้ณีาจากข�อม�ลสื่�วนที่��อย��ใน header ของแพ-กเก-ตที่��ผ่�านเข�ามา เที่�ยบก�บกฎ (rules) ที่��ก6าหนดิ์ไว�และต�ดิ์สื่นว�าควรู้จะที่�ง (drop) แพ-กเก-ตน��นไปหรู้�อว�าจะยอม (accept) ให�แพ-กเก-ตน��นผ่�านไปไดิ์�
2.) Stateful inspection firewall‣ เป%นเที่คโนโลย�ที่��เพ�มเข�าไปใน Packet Filtering
โดิ์ยในการู้พจารู้ณีาว�าจะยอมให�แพ-กเก-ตผ่�านไปน��น นอกจากจะดิ์�ข�อม�ลจาก Header แล�ว ย�งน6าเอาสื่�วนข�อม�ลของแพ-กเก-ต (message content) และข�อม�ลที่��ไดิ์�จากแพ-กเก-ตก�อนหน�าน��ที่��ไดิ์�ที่6าการู้บ�นที่1กเอาไว� น6ามาพจารู้ณีาดิ์�วย ที่6าให�สื่ามารู้ถูรู้ะบ'ไดิ์�ว�าแพ-กเก-ตใดิ์เป%นแพ-กเก-ตที่��ตดิ์ต�อเข�ามาใหม� หรู้�อว�าเป%นสื่�วนหน1�งของการู้เชุ��อมต�อที่��ม�อย��แล�ว
20
Faculty of Information Technology Page
ปรู้ะเภที่ของ Firewall3.) Application layer firewall‣ บางที่�เรู้�ยกว�า Application Gateway เป%น
แอพพลเคชุ�นที่��ที่6างานอย��บนFirewall ที่��ต��งอย��รู้ะหว�างเน-ตเวรู้�ก 2 เน-ตเวรู้�ก
‣ เพ�มความปลอดิ์ภ�ยของรู้ะบบเน-ตเวรู้�กโดิ์ยการู้ควบค'มการู้เชุ��อมต�อรู้ะหว�างเน-ตเวรู้�กภายในและภายนอก
‣ Application Gateway จะชุ�วยเพ�มความปลอดิ์ภ�ยไดิ์�มากเน��องจากม�การู้ตรู้วจสื่อบข�อม�ลถู1งในรู้ะดิ์�บของแอพพลเคชุ�นเลเยอรู้� (Application Layer)
21
Faculty of Information Technology Page
Packet Filtering Firewall
โดิ์ยปกตแล�ว Router ไดิ์�รู้�บแพ-กเก-ตมา ก-จะตรู้วจสื่อบ IP address ของเครู้��องปลายที่าง จากน��นก-จะดิ์� Routing Table เพ��อค�นหาเสื่�นที่างที่��จะสื่�ง
การู้กรู้องแพ-กเก-ต (Packet Filtering) ของ firewall จะที่6าก�อนที่��จะสื่�งผ่�านแพ-กเก-ตน�� แพ-กเก-ตจะถู�กกรู้องตามรู้ายการู้ควบค'มการู้เข�าถู1ง (Access Control List – ACL)
แต�ละรู้ายการู้ของ ACL จะปรู้ะกอบดิ์�วย Field ของ Header ของ IP แพ-กเก-ต และเง��อนไขการู้อน'ญาต ว�าอน'ญาตหรู้�อไม�อน'ญาตให�ผ่�าน
22
Faculty of Information Technology Page
Packet Filtering Firewall
ถู�าแพ-กเก-ตที่��เข�ามาไม�ตรู้งก�บกฎข�อใดิ์เลย Firewall จะที่6าอย�างไรู้‣ ถู�าไม�ม�กฎข�อใดิ์ที่��ไม�ไดิ์�เข�ยนว�าอน'ญาตให�ผ่�าน ถู�อว�าห�าม‣ ถู�าไม�ม�กฎข�อใดิ์ที่��ไม�ไดิ์�เข�ยนว�าห�ามผ่�าน ให�ถู�อว�าอน'ญาต
ข�อม�ลที่��ใชุ�ในการู้พจารู้ณีาว�าจะให�แพ-กเก-ตผ่�านหรู้�อไม�น��น ปรู้ะกอบดิ์�วย‣ Source IP address (ไอพ�ต�นที่าง)‣ Destination IP Address (ไอพ�ปลายที่าง)‣ Protocol Type (ชุนดิ์ของโปรู้โตคอล)‣ Source port (พอรู้�ตต�นที่าง)‣ Destination port (พอรู้�ตปลายที่าง)
23
Faculty of Information Technology Page
Packet Filtering Firewall
หล�กการู้ที่6างานของ Packet Filtering จะพจารู้ณีาแพ-กเก-ต TCP เพ��อตรู้วจสื่อบว�า ‣ แพ-กเก-ตน��นม� Address ที่��ถู�กต�องหรู้�อไม� ‣ แพ-กเก-ตน��นถู�กสื่�งมาจากเครู้�อข�ายภายนอกหรู้�อไม� ‣ โปรู้โตคอลหรู้�อเซึ่อรู้�วสื่น��นผ่�านการู้ตรู้วจสื่อบแล�วหรู้�อ
ไม�‣ ออปชุ�นที่��สื่�งมาน��นถู�กต�องตามข�อก6าหนดิ์หรู้�อไม�
24
Faculty of Information Technology Page
Packet Filtering Firewall
ข�อดิ์�‣ น6ามาใชุ�งานง�าย ม�การู้ที่6างานที่��ไม�ซึ่�บซึ่�อน‣ ที่6างานไดิ์�อย�างรู้วดิ์เรู้-ว ไม�กรู้ะที่บต�อผ่��ใชุ�งาน
(transparent) ข�อจ6าก�ดิ์
‣ ไม�สื่ามารู้ถูป8องก�นการู้โจมต�ที่��ม'�งใชุ�ปรู้ะโยชุน�จากชุ�องโหว�ของ function หรู้�อ application ไดิ์�• Packet filter firewalls ไม�พจารู้ณีาข�อม�ลบนชุ��น
ที่��เหน�อข1�นไป หาก application ใดิ์ไดิ์�รู้�บอน'ญาตให�เชุ��อมต�อผ่�าน firewall ที่'ก function ใน application น��นๆก-สื่ามรู้ถูใชุ�งานการู้เชุ��อมต�อดิ์�งกล�าวไดิ์�
‣ ม�การู้เก-บข�อม�ลที่��จ6าก�ดิ์• Logs ที่��ไดิ์�เก-บเฉพาะข�อม�ลที่��ใชุ�ในการู้ต�ดิ์สื่นใจสื่6าหรู้�บ
access control (source address, destination address, and traffic type)
25
Faculty of Information Technology Page
Packet Filtering Firewall
ข�อจ6าก�ดิ์ (ต�อ)‣ ไม�รู้องรู้�บการู้จ�ดิ์การู้สื่ที่ธ�การู้ใชุ�งานของผ่��ใชุ�ข��น‣ ไม�ป8องก�นการู้โจมต�ที่��ม�สื่าเหต'จากจ'ดิ์อ�อนของ
TCP/IP• ไม�สื่ามารู้ถูตรู้วจจ�บ packet ที่��ม�การู้ปลอม/เปล��ยน
address ในรู้ะดิ์�บ Layer 3 ไดิ์�‣ การู้ก6าหนดิ์ค�าที่��ผ่ดิ์พลาดิ์จะน6าไปสื่��ชุ�องโหว�ที่��อ�นตรู้าย
ไดิ์�
26
Faculty of Information Technology Page
Stateful Inspection Firewall Packet filter กรู้อง packet ดิ์�วยการู้ต�ดิ์สื่น
ใจโดิ์ยใชุ�ข�อม�ลจาก packet เดิ์��ยวๆ ไม�ม�การู้ใชุ�ข�อม�ลจากสื่�งแวดิ์ล�อมในการู้ที่6างานในรู้ะดิ์�บบนเข�ามาพจารู้ณีา‣ โดิ์ยปกตแล�ว เครู้��อง clients ใชุ�พอรู้�ตหมายเลขสื่�งๆ
(1024 to 65535) ในการู้เชุ��อมต�อผ่�าน TCP ไปย�งเครู้��อง server ดิ์�งน��น packet filtering firewall จ1งต�องอน'ญาตการู้เชุ��อมต�อขาเข�า (inbound traffic) เข�ามาย�งพอรู้�ตหมายเลขสื่�งๆเหล�าน��ไดิ์� เพ��อรู้องรู้�บ TCP traffic
ม�หล�กการู้ที่6างานที่'กอย�างเหม�อนก�บแพ-กเก-ต Packet Filtering Firewall แต�ม�สื่�วนที่��เพ�มข1�นมาค�อ จะบ�นที่1กข�อม�ลเก��ยวก�บ Connection ที่��เกดิ์ข1�นใน State Table ก�อนที่��จะสื่�งแพ-กเก-ตน��ต�อ
27
Faculty of Information Technology Page
Stateful Inspection Firewall
Stateful Inspection Firewall ม�กฏการู้ควบค'มการู้เชุ��อมต�อที่��เข�มงวดิ์มากข1�นสื่6าหรู้�บ TCP traffic โดิ์ยสื่รู้�าง directory ที่��เก-บการู้เชุ��อมต�อขาออก (Outbound) ของ TCP connection เอาไว�
State Table จะใชุ�สื่6าหรู้�บการู้บ�นที่1กข�อม�ลของแต�ละ Connection ที่��เกดิ์ข1�น โดิ์ยปกตจะเก-บ Source Address, Destination addresses, Protocol type, Port number และ Flag ‣ ม�การู้บ�นที่1กการู้เชุ��อมต�อที่��ก6าล�งเกดิ์ข1�นไว� (1 การู้
เชุ��อมต�อ เก-บ 1 รู้ายการู้)‣ อน'ญาตการู้เชุ��อมต�อขาเข�า (incoming traffic)
มาย�งพอรู้�ตหมายเลขสื่�งๆ เฉพาะเม��อ packet เหล�าน��นสื่อดิ์คล�องก�บ profile ของรู้ายการู้ใดิ์รู้ายการู้หน1�งใน state table
‣ แต�ม� Firewall บางย��ห�อจะเก-บ Sequence Number เพ�มดิ์�วย เพ��อใชุ�ในการู้ตรู้วจสื่อบ แพ-กเก-ตที่��ก6าล�งเข�ามาและป8องก�นการู้ที่6า Session Hijacking
28
Faculty of Information Technology Page
Stateful Inspection Firewall Firewall ตรู้วจสื่อบข�อม�ลของ packet เชุ�น
เดิ์�ยวก�บ packet filtering firewall แต�เพ�มการู้เก-บข�อม�ลเก��ยวก�บ TCP connection ดิ์�วย‣ บ�นที่1ก TCP sequence
numbers เพ��อป8องก�นการู้โจมต�ที่��อาศั�ย sequence number เชุ�น session hijacking
‣ ตรู้วจสื่อบข�อม�ลสื่6าหรู้�บ protocols เชุ�น FTP, IM และค6าสื่��งของโปรู้โตคอล SIPS เพ��อรู้ะบ'การู้เชุ��อมต�อและ track การู้เชุ��อมต�อที่��เก��ยวข�องก�น
29
Faculty of Information Technology Page
Source
Address Source Port Destination
Address Destination
Port Connection
State
192.168.1.100 1030 210.9.88.29 80 Established
192.168.1.102 1031 216.32.42.123 80 Established
192.168.1.101 1033 173.66.32.122 25 Established
192.168.1.106 1035 177.231.32.12 79 Established
223.43.21.231 1990 192.168.1.6 80 Established
219.22.123.32 2112 192.168.1.6 80 Established
210.99.212.18 3321 192.168.1.6 80 Established
24.102.32.23 1025 192.168.1.6 80 Established
223.21.22.12 1046 192.168.1.6 80 Established
Stateful Firewall Connection State
Directory ของการู้เชุ��อมต�อแบบ TCP ขาออก (outbound)
30
Faculty of Information Technology Page
Application Layer Firewall
บางที่�เรู้�ยกว�า Proxy Firewall หรู้�อ Application Gateway
เป%น โปรู้แกรู้มที่��รู้�นบนรู้ะบบปฏบ�ตการู้ที่��วไป หรู้�อ อาจเป%นฮารู้�ดิ์แวรู้�ที่��ตดิ์ต��งซึ่อฟ้ต�แวรู้�พรู้�อมใชุ�งานแล�วก-ไดิ์�
Firewall จะม�รู้ะบบป8องก�นเครู้�อข�าย (Network Guard) หลายอ�นเพ��อสื่6าหรู้�บเชุ��อมต�อก�บเครู้�อข�ายต�างๆ
นโยบายรู้�กษ์าความปลอดิ์ภ�ยจะเป%นสื่�งก6าหนดิ์ว�า Traffic (ข�อม�ลสื่��อสื่ารู้) ใดิ์สื่ามารู้ถูถู�ายโอนรู้ะหว�างเครู้�อข�ายใดิ์ไดิ์�บ�าง
ใน Application Layer Firewall น��น ที่'กๆ โปรู้โตคอลที่��อน'ญาตให�ผ่�านไดิ์�จะต�องม� Proxy สื่6าหรู้�บโปรู้โตคอลน��นๆ
31
Faculty of Information Technology Page
Application Layer Firewall
เม��อ Client ต�องการู้ใชุ� Service ภายนอก Client จะที่6าการู้ตดิ์ต�อไปย�ง Proxy ก�อน Client จะเจรู้จาก�บ Proxy เพ��อให� Proxy ตดิ์ต�อไปย�งเครู้��องปลายที่างให�
เม��อ Proxy ตดิ์ต�อไปย�งเครู้��องปลายที่างให�แล�วจะม� connection 2 อ�น ค�อ Client ก�บ Proxy และ Proxy ก�บเครู้��องปลายที่าง โดิ์ยที่�� Proxy จะที่6าหน�าที่��รู้�บข�อม�ลและสื่�งต�อข�อม�ลให�ใน 2 ที่ศัที่าง ที่��งน�� Proxy จะที่6าหน�าที่��ในการู้ต�ดิ์สื่นใจว�าจะให�ม�การู้เชุ��อมต�อก�นหรู้�อไม� จะสื่�งต�อแพ-กเก-ตให�หรู้�อไม�
32
Faculty of Information Technology Page
Application Layer Firewall
สื่6าหรู้�บ Application Layer Firewall น�� ที่'กๆ การู้เชุ��อมต�อจะสื่�นสื่'ดิ์ที่��Firewall โดิ์ย Firewall จะตรู้วจสื่อบก�บนโยบายรู้�กษ์าความปลอดิ์ภ�ยว�าจะอน'ญาตให� Traffic น��ผ่�านหรู้�อไม� ‣ ถู�าอน'ญาต firewall จะสื่รู้�างการู้เชุ��อมต�อก�บ
server แที่น client เอง
Application Layer Firewall ย�งสื่ามารู้ถูควบค'มการู้เชุ��อมต�อจากภายนอกเข�ามาภายในไดิ์�เชุ�นก�น ดิ์�งน��น firewall จ1งสื่ามารู้ถูป8องก�นการู้โจมต�เครู้�อข�ายในรู้ะดิ์�บ application ไดิ์� แต�ต�ว firewall เอง จะต�องม�ความปลอดิ์ภ�ยจากการู้โจมต�ดิ์�วย
33