Embed Size (px)
Citation preview
กรณศกษาการเปรยบเทยบไฟรวอลล Compare Firewalls Case Study
ภควศว ทองสาล Pakawit Thongsalee
สารนพนธฉบบน6เปนสวนหน:งของการศกษา ตามหลกสตรวทยาศาสตรมหาบณฑต
สาขาวชาเทคโนโลยสารสนเทศ บณฑตวทยาลย มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2554
I
หวขอโครงงาน กรณศกษา การเปรยบเทยบไฟรวอลล นกศกษา ภควศว ทองสาล รหสนกศกษา 5317670003
ปรญญา วทยาศาสตรมหาบณฑต สาขาวชา เทคโนโลยสารสนเทศ
พ.ศ. 2554 อาจารยผควบคมโครงงาน ดร. วรพล ลลาเกยรตสกล
บทคดยอ
ไฟรวอลลมความสาคญตอการรกษาความปลอดภยของระบบเครอขายภายในองคกรอยางมาก ในโลกปจจบนเทคโนโลยของแฮกเกอร, ไวรส, Mal เคร<องและขโมยขอมลสวนตว,บรษท ท ?งขนาดใหญและขนาดเลกไดพบวาการรกษาความปลอดภยเครอขายไดอยางถกตองของพวกเขาคอไมมท<ส?นสดความทาทายองคประกอบสาคญของการบรรลการรกษาความปลอดภยท<มประสทธภาพคอไฟรวอลลเครอขาย มหลายประเภทของไฟรวอลลท<มอยท ?งหมดแตกตางกนอยางมากในการกาหนดคาความสามารถและความซบซอน แตประเภทของไฟรวอลลท<แตกตางกน แตยงมขอเสนอแนะปฏบตท<ดท<สดบางอยางสาหรบการกาหนดคาและการบรหารงานดวยไฟรวอลลมฟงกชนการทางานคอตรวจสอบ ทกแพคเกตท<ว<งผานเขาออกไฟรวอลล ฟงกชนดงกลาวเรยกวา กฎของไฟรวอลลหรอนโยบายความปลอดภย บางคร ?งเม<อผดแลระบบไฟรวอลลมความจาเปนตองปรบปรงกฎของไฟรวอลลแตกผดพลาดในการเพ<มกฎในไฟรวอลล
วตถประสงคของโครงงานเทคโนโลยสารสนเทศธรกจฉบบน? เพ<อเปนการจดการ บรหารออกแบบและประยกตใชระบบไฟรวอลล ซ<งเก<ยวของกบการดแลรกษาความปลอดภย และจากดการเขาถงขอมลของผใชงานภายในระบบ ซ<งจะสามารถปองกนผไมหวงด ลกลอบเขามาขโมยขอมลสาคญตางๆ หรอโจมตระบบเครอขายของผใชงานระบบเครอขายอนเตอรเนตไดระบบท<ศกษาน?สามารถนามาประยกตใชงานกบเครอขายขององคกรโดยใหปองกนระบบเซอรฟเวอรตางๆ และทาการเปรยบเทยบการใชงานไฟรวอลล 3 ประเภทคอ ฮารดแวร ซอฟตแวร และ โอเพนซอรส รวมท ?งเพ<อนาเสนอแนวทางการนาเอาระบบไฟรวอลล มาใชงานกบองคกรตางๆ เพ<อความเหมาะสมและมประสทธภาพสงสด และแนวทางการลงทนเลอกระบบไฟรวอลลใหเหมาะสมกบขนาดขององคกรตางๆ
II
กตตกรรมประกาศ
ในการดาเนนโครงงานในคร ?งน?ประสบความสาเรจได ขาพเจาไดรบความชวยเหลอและ
คาแนะนาจากหลายๆ ทาน ขาพเจาขอขอบคณ บรษท พ.ซ. คอมพวเตอร จากด ท<อานวยความสะดวก
ในการปฏบตงานและทดลองโครงงาน ของบรษท ต ?งแตเร<มทาโครงงานน?เปนตนมา และทานอาจารยท<
ปรกษา ดร.วรพล ลลาเกยรตสกล ท<ใหคาแนะนา คาปรกษา ขอคด แนวคด และความรตางๆ ท<ม
ประโยชนมากมาย ขอกราบขอบพระคณ คณพอ คณแม และครอบครวของขาพเจาท<ชวยสงเสรมและ
สนบสนนในดานการเรยนและการทางานของขาพเจามาโดยตลอด และขอบคณเพ<อน ๆ รวมรนทก ๆ
ทาน ท<ชวยกนใหกาลงใจกนและกนอยเสมอ
ภควศว ทองสาล
III
สารบญ
หนา
บทคดยอภาษาไทย I กตตกรรมประกาศ II สารบญ III สารบญตาราง V สารบญรป VI บทท< 1 บทนา 1 1.1 ปญหา และแรงจงใจ 1
1.2 จดประสงค 2
1.3 ขอบเขต 3
1.4 ประโยชนท<ไดรบ 3
1.5 โครงสรางของโครงงาน 4
บทท< 2 ทฤษฎท<ใชในการพฒนาระบบ 5
2.1 ทฤษฎท<เก<ยวของกบโครงงาน 5
2.2 Network Intrusion Prevention and Detection Systems 5
2.3 พ?นฐานเก<ยวกบ (Intrusion Detection System) 10
2.4 ทฤษฎพ?นฐานเก<ยวไฟลวอลล 24
2.5 NAT : Network Address Translation 32
2.6 ประเภทของ Firewall 35
บทท< 3 วธการดาเนนงาน 38
3.1 ความตองการพ?นฐานของโครงงาน 38
3.2 วธการดาเนนงานโครงงาน 39
3.3 วธการประเมนความตองการ 39
3.4 วธการทดสอบ 39
3.5 เคร<องมอท<ใชทดสอบ 40
3.6 การตรวจสอบไฟรวอลล (Firewall Auditing) 40
3.7 ความแตกตางระหวาง Hardware Firewall กบ Software Firewall 41
IV
สารบญ (ตอ)
หนา
บทท< 4 การทดลองและผลการทดลอง 43 4.1 สวนการรกษาความปลอดภยขอมลสาหรบองคกร 43 4.2 การทดสอบ ฮารดแวรไฟรวอลล 44 4.3 การทดสอบซอฟรแวรและโอเพนซอรสไฟรวอลล 45 4.4 ทดสอบ ฮารดแวรไฟรวอลล 46 4.5 ทดสอบซอฟรแวรไฟรวอลล 53 4.6 ทดสอบ โอเพนซอรสไฟรวอลล 56 4.7 กรณศกษาองคกรท<ตดต ?งระบบไฟรวอลล 82 4.8 การลงทนไฟรวอลลสาหรบเครอขายขนาดเลก 85 4.9 การลงทนไฟรวอลลสาหรบเครอขายขนาดกลาง 86 4.10 การลงทนไฟรวอลลสาหรบเครอขายขนาดใหญ 87 บทท< 5 สรปผลการทดลองและขอเสนอแนะ 89 5.1 สรปผลการศกษา 89 5.2 ปญหาและอปสรรค 92 5.3 ขอเสนอแนะ 93 เอกสารอางอง 94
V
สารบญตาราง
ตารางท� หนา 2.1 ลกษณะของการบกรก 22 2.2 เปรยบเทยบขอดขอเสยในการเลอกอปกรณมาทาหนาท< Packet Filtering 27 4.1 ตารางเปรยบเทยบขององคกรท<ใชระบบไฟรวอลล กบองคกรท<ไมใชระบบไฟรวอลล 82 5.1 แสดงการเปรยบเทยบไฟรวอลล 89 5.2 สรปเปรยบเทยบคณสมบตและความสมารถตางๆ ของไฟรวอลล 91
VI
สารบญรป
รปท< หนา
2.1 แสดงการเปรยบเทยบการทางานระหวาง ไอดเอส กบ ไอพเอส 6 2.2 แนวคดโครงสรางการทางานของ ไอดเอส 15 2.3 ไฟรวอลลก ?นระหวางอนเตอรเนตกบเนตเวรกภายใน 24
2.4 ใช Screening Router ทาหนาท< Packet Filtering 26
2.5 ใช Dual-homed Host เปน Proxy Server 28
2.6 Firewall Architecture แบบช ?นเดยว 29
2.7 Screened Host Architecture 30
2.8 Screened Subnet Architecture 31
2.9 Network Address Translation 32
2.10 Zoning แบงออกได 3 ประเภท 34 2.11 Hardware Firewall 35
2.12 Software Firewall 35
3.1 ระบบเครอขายขององคกรท<ตดต ?งไฟรวอลล 38
4.1 แสดงการจาลองการทดสอบ ฮารดแวรไฟรวอลล 45
4.2 แสดงการจาลองการทดสอบ ซอฟรแวรและโอเพนซอรสไฟรวอลล 45
4.3 การลอกอนเขาสโปรแกรม 46 4.4 หนาจอโปรแกรม 46 4.5 การกาหนด DHCP 47
4.6 การสรางช<อเคร<องและหมายเลขไอพ 47
4.7 ช<อและหมายเลขไอพ 47
4.8 ช<อกลมและสมาชกในกลม 48
4.9 สามารถใชงานไดเฉพาะชวงเวลาท<กาหนด 48
4.10 Client ใชงานอนเตอรเนตไดเฉพาะเวลา 08.00-12.00 น. 48
4.11 วธการบลอกเวบ 49
4.12 รายช<อเวบท<ไมตองการใหใชงาน 49
4.13 การสราง User Authentication 49
4.14 รายช<อ User สาหรบ Authentication 50
4.15 การสราง Policy 50
VII
สารบญรป (ตอ)
รปท< หนา
4.16 แสดงการสราง Policy ของ admin 50
4.17 กาหนดใหใชงาน อนเตอรเนตไดเปนชวงเวลา 51
4.18 แสดงการบลอกเวบไซต 51
4.19 ไมสามารถใชงานเวบไซตท<บลอกได 52
4.20 การ Authentication ช<อ User ในการใชงาน อนเตอรเนต 52
4.21 แสดงหนาตาของโปรแกรม 53
4.22 การสรางช<อผใชงาน 53
4.23 แสดงรายช<อของผใชงาน 54
4.24 การแบงกลมตามลกษณะงาน 54
4.25 แสดงรายช<อ และ กลมของ User 54
4.26 แสดงรายช<อเวบตางๆ ท<ไมตองการใหใช 55
4.27 เวบตางๆ ท<ไมตองการใหใช ไมสามารถใชงานได 55
4.28 การบลอก HTTP พอรต 80 โดย Proxy 56
4.29 การบลอก FTP พอรต 21 โดย Proxy 57
4.30 การบลอก HTTPS พอรต 443 โดย Proxy 57
4.31 การเปด HTTP Proxy ในหนาตาง Configuration ของ Proxy 58
4.32 การ Create Profile ในหนาตาง Contentfilter 58
4.33 การต ?งช<อ Profile Name เพ<อใสช<อ Website ท<ตองการจะ Block 58
4.34 การเลอก Policy ของ Firewall ในหนาตาง Access Policy เพ<อผานอนเทอรเนต 59
4.35 การเลอก Source Type และ Destination Type และ Access policy เพ<อเปนการ
กาหนดตนทางปลายทางและเปนการยอมรบใหกบ Filter 59
4.36 แสดงการต4งกฎเกณฑของไฟรวอลล 60
4.37 แสดงการใสหมายเลข IP ชนดของพอรต และการระบชองทางท<จะ Block 60
4.38 แสดงการต ?งกฎเกณฑของไฟรวอลล 61
4.39 แสดงการใสหมายเลข MAC Address ชนดของพอรต และการระบชองทางท<จะ Block 61
4.40 เขาไปท< Proxy > Authentication 62
VIII
สารบญรป (ตอ)
รปท< หนา
4.41 เลอก Choose Authentication Method เปน Local Authentication (NCSA) และกด
ปม manage users 62
4.42 กด Add NCSA User 62
4.43 ใส Username และ Password แลวกด Create user 63
4.44 ไปท< Access Policy เพ<อกาหนดใหใช Authentication โดยทาการ Add Access Policy แลว
กาหนดคาตางๆตรง Authentication เลอกเปน user based และชอง Allowed Users ใหทาการเลอก
Username ท<ตองการอนญาตใหเขาใช และกาหนดคาตางๆตามตองการแลวคลก Create Policy 63
4.45 ไปท< Proxy > Access Policy แลวกด Add access policy 63
4.46 ตรงสวนของ Useragents? ใหทาการเลอก Browser ท<ตองการใหเคร<อง Client ใชงานได แลวทา
การกาหนดคาตางๆตามตองการ และกดปม Create Policy 63
4.47 ไปท< Proxy > Access Policy แลวกด Add access policy 64
4.48 คลก Enable time restrictions แลวเลอกวนท<ตองการท<ชอง Active days กาหนดเวลาท<ตองการ
ให ใชงานไดท< Start hour และ Start minute กาหนดเวลาท<ส?นสดใหใชงานท< Stop hour และ Stop
minute แลว กาหนดคาตางๆ ตามท<ตองการ แลวกด Create Policy 64
4.49 การเขาไปยง Gateway เพ<อทาการต ?งคา Web Proxy 65
4.50 การ Run และ On Boot เพ<อทาใหใช Web Proxy 65
4.51 การเปด Content Filter ของ Web Proxy 66
4.52 แสดงหนาตาง Content Filter ตรง Menu Gateway 66
4.53 การ Run และ On Boot ใหเปน Automatic เพ<อทาใหใช Content Filter สามารถ Run
อตโนมต 66
4.54 การ Edit เพ<อกาหนดคาของ Site Lists 67
4.55 ตองการ Block Website โดยการใส IP Address หรอ Host Name ของเวบไซต 68
4.56 การต ?งคา Web Proxy 68
4.57 การ Run และ On Boot เพ<อทาใหใช Web Proxy 69
4.58 การ Update หลงจากการเปด Content Filter 69
4.59 แสดงหนาตางของ Gateway 69
IX
สารบญรป (ตอ)
รปท< หนา
4.60 การ Run และ On Boot เพ<อทาใหใช Web Proxy 70
4.61 กด Edit เพ<อเขาไปต ?งคา Banned User 70
4.62 วธการ add user 70
4.63 วธการต ?งคา user และ password 71
4.64 วธการ Add Web Proxy 71
4.65 วธการต ?งคาใชงาน User Authentication 72
4.66 วธการเขาไปต ?งคา Block/Allow Destination Port ดวย Outgoing Firewall 72
4.67 แสดงรายละเอยดตางในการใชงาน 73
4.68 แสดงการต ?งคาตางๆ ของ Captive Portal 75
4.69 การสราง ช<อและรหสผใชงาน 75
4.70 แสดงช<อผใชงานในระบบ 76
4.71 วธการบลอก MAC Address ของเคร<องผใชงาน 76
4.72 แสดงหมายเลข MAC Address และรายละเอยดของผใชงาน 76
4.73 วธการกาหนดให IP Address บางเคร<องคอมพวเตอรไมตอง Authentication 77
4.74 แสดงช<อและรายละเอยดของ หมายเลข IP Address ท<ไมตอง Authentication 77
4.75 หารบลอกเวบท<ไมตองการใชงาน 78
4.76 แสดงวธการบลอกเวบไซต 79
4.77 เขาหนา Schedules โดยเมน Firewall เลอกSchedules 80
4.78 การสรางชวงเวลาในการใชงาน 80
4.79 วธการสราง Time Schedules 81
4.80 แสดงรายละเอยดของ Schedules 81
4.81 แสดงรายละเอยดของ ระบบเครอขายขนาดเลก 85
4.82 แสดงรายละเอยดของ ระบบเครอขายขนาดเลกแบบ NAT 86
4.83 แสดงรายละเอยดของ ระบบเครอขายขนาดกลาง 87
4.84 แสดงรายละเอยดของ ระบบเครอขายขนาดใหญ 88
1
บทท� 1
บทนา
ปจจบนเครอขายอนเตอรเนตเตบโตอยางรวดเรว แทบจะทกองคกรจาเปนตองเช อมตอเครอขายของตนเองเขากบเครอขายอนเตอรเนต เพ อใชประโยชนจากแหลงขอมลท ใหญท สดในโลก ระบบอนเตอรเนตน *นมท *งในแงดน *นมมากมายเกนกวาจะกลาวแตในแงท ไมดกมมากมายเชนกน เหตผลกเน องจากวาอนเตอรเนตน *นเปนหองสมดเปนแหลงการเรยนรสบคนท ใหญท สดในโลก เราตองการทราบขอมลอะไรกสามารถคนหาไดจากอนเตอรเนต แตในแงของผประสงครายกใชชองทางน*เชนกนในการสบคนขอมล เคร องมอ หรอวธการในการเจาะระบบน *น ซ งสามารถคนหาและดาวนโหลดจากอนเตอรเนตได โดยท เคร องมอน *นกใชงานไดไมยาก ผท ไมมความรทางดานคอมพวเตอรมากนกกสามารถใชเคร องมอโจมตเครอขายเหลาน*ได ดงน *น แตละองคกรจงจาเปนตองมระบบรกษาความปลอดภย เพ อใหสามารถใชงานระบบสารสนเทศไดอยางมประสทธภาพและปลอดภย
ปจจบนภยคกคามดานไอทสวนใหญจะเกดมาจากไวรสคอมพวเตอร เวรม หรอโทรจนฮอรส โปรแกรมอ นๆท เปนภยคกคาม อยางเชน สปายแวร ( Spyware ) ซ งเปนโปรแกรมหน งท ทางานบางอยางบนเคร องคอมพวเตอรของเราโดยท ไมไดรบอนญาตจากผใช หรอกระท งโปรแกรม แอดแวร ( Adware) ซ งเปนโปรแกรมท ใชสาหรบโฆษณา แตถกตดต *งไมรตวโดยผใชเองซ งกอใหเกดความราคาญและยงใชทรพยากรในเคร องไปโดยเปลาประโยชน
1.1 ปญหา และแรงจงใจ ดวยปจจบนเปนยคของขอมลสารสนเทศ การใชงานคอมพวเตอรเครอขายผานระบบ
อนเทอรเนตในองคกรตางๆ ไดมการใชงานเพ มมากข*นเปนลาดบเพ อเปนชองทาง ในการตดตอส อสารแลกเปล ยนขอมลกนไดอยางรวดเรว รวมไปถงการทาธรกจออนไลนและการพาณชยในดานตางๆ โดยเฉพาะทางดานธรกจ ซ งปจจบนมการแขงขนกนสงมาก องคกรตางๆจงพยายามแสวงหาเทคโนโลยสารสนเทศเขามาใชเพ อชวยการบรหารจดการงานตางๆ ภายในองคกร และสนบสนนการแขงขนในธรกจ ใหประสบความสาเรจ เพ อใหเกดขอไดเปรยบทางดานการแขงขน กบธรกจในประเภทเดยวกนแตถาองคกรใด พจารณาเฉพาะเร องการจดทาระบบเทคโนโลยสารสนเทศใหสาเรจเพยงอยางเดยว โดยอาจมองขามเร องระบบรกษาความปลอดภยบนระบบเครอขายสารสนเทศภายในองคกรท ด อาจจะทาใหผท ไมหวงดจากภายนอกหรอบคคลภายในองคกรเขามากอกวนการทางาน พยายามหาวธการหรอหาชองโหวและจดออนของระบบ เพ อแอบลกลอบเขาสระบบหรอแอบดขอมลขาวสาร เพ อใหระบบเครอขายหยดชะงกไมสามารถใหบรการได ในบางคร *งอาจมการทาลายขอมล ซ งทาใหเกดความเสยหายใหกบองคกรได เน องจากระบบเครอขายอนเทอรเนตไดเช อมโยงถงกนท วโลก ทาใหเกดปญหาในเร องอาชญากรรมทางดานเทคโนโลยตลอดเวลา โดยเฉพาะในเร องของการโจมตผานระบบเครอขายอนเทอรเนตกมใหเหนมากย งข*น โดยผท แอบลกลอบเขาสระบบของผอ นสามารถมาไดจากท วโลก สวนใหญจะทาการเจาะระบบผานชองโหวของระบบปฏบตการ Windows ,Unix , Linux เปนตน หรอจาก
2
ชองโหวของโปรแกรมท เปดใหบรการเชน WWW, DNS, Mail และ FTP เปนตน และจากระบบฐานขอมล ขององคกร
ปจจบน บรษท พ.ซ. คอมพวเตอร มการบรการจะมหลายลกษณะครอบคลมต *งแตการศกษาระบบ (System Analysis), Infrastructure, H/W, S/W ตลอดจนการเปนท ปรกษาในการพฒนาโครงการท *งหมด หรอเพยงบางสวน เชน การใหคาปรกษาดานระบบโครงสรางพ*นฐาน - Network Consulting , การใหคาปรกษาดานระบบแอพพลเคช น - Application Consulting, การใหคาปรกษาดานระบบการปองกนสรางความปลอดภย - IT Security System และการพฒนาระบบเพ อประสทธการบรหารจดการภายในองคกรตางๆ ซ งมการแบงการใหบรการในรปแบบตางๆ จงไดหนมาประกอบธรกจแบบ system integrator ท บรการวางระบบโซลช นดานเทคโนโลยสารสนเทศและการส อสารโทรคมนาคมครบวงจรเลงเหนวา ยงมอกหลายธรกจหลายองคกรท มความจาเปนตองพ งพาระบบคอมพวเตอรและระบบสารสนเทศ การตดต *งระบบไฟรวอลล เพ อใหผใชคอมพวเตอรสามารถใชบรการระบบเครอขายภายในไดอยางเตมท และจะชวยใหองคกรสามารถตดสนใจเลอกลงทนท จะนาเอาระบบไหรวอลลท เหมาะสมมาชวยปองกนขอมลสาหรบองคกรและธรกจได
1.2 จดประสงค ระบบเครอขายภายในองคกรไดถกพฒนาเพ อใชในการส อสาร บางคร *งอาจจาเปนตองตดตอ
ส อสารไปยงภายนอก ทาใหโอกาสท บคคลผไมประสงคด จะสามารถลวงละเมดเขาสระบบภายในองคกรได การปองกนรกษาความปลอดภยของขอมลบนระบบเคร อขายของแตละองคกรจะตองแขงแกรงเพยงพอ ผศกษาไดกาหนดวตถประสงคของการศกษาไวดงตอไปน* คอ
• เพ อนาเสนอแนวทางการนาเอาระบบไฟรวอลล มาใชงานกบองคกรตางๆ เพ อความเหมาะ
สมและมประสทธภาพสงสด
• เพ อนาเสนอแนวทางการลงทนเลอกระบบไฟรวอลลใหเหมาะสมกบขนาดขององคกรตางๆ
กรณศกษาเลอกระบบไฟรวอลล การตดสนใจเลอกตดต *งและเลอกลงทนระบบไฟรวอลลสาหรบ
องคกรณน *น สามารถกระทาการศกษาภายใตสมมตฐานดงน* • ศกษาและวเคราะหการนาเอาระบบไฟรวอลลมาใชสาหรบองคกรทมระบบเครอขายขนาด
เลก และองคกรท มระบบเครอขายขนาดใหญอาจจะมความแตกตางกน
• ศกษาและวเคราะหแนวคดการเลอกลงทนในการนะเอาระบบไฟรวอลลมาใชสาหรบองคกร
ท มเครอขายขนาดเลกและองคกรท มระบบเครอขายขนาดใหญ
• ศกษาการเลอกใชเทคโนโลยฮารดแวร ซอฟตแวร โอเพนซอรส และอปกรณเช อมตอ
สาหรบการปองกนผบกรก ท เหมาะสมสาหรบองคกรจะมความแตกตางกน
3
1.3 ขอบเขต เพ อศกษาถงการลงทนเพ อนาเอาระบบไฟรวอลลมาใชกบเครอขนาดเลก เครอขายขนาดใหญ โดยทาอยางไรเราจะสามารถตดสนใจในการนาเอาระบบไฟรวอลล รวมถงฮารดแวร ซอฟตแวร โอเพนซอรส อปกรณเช อมตอปองกนผบกรกมาใชใหเหมาะสมกบองคกร ไดกาหนดขอบเขตของการศกษาไวดงน*
1.3.1 ศกษาการรกษาความปลอดภยของระบบเครอขายโดยใช ฮารดแวรไฟรวอลล
ซอฟตแวรไฟรวอลล โอเพนซอรสไฟรวอลล
1.3.2 ศกษาแนวคดในการนาเอาระบบไฟรวอลลมาใชใหเหมาะสมสาหรบองคกร
1.3.3 ทดสอบประสทธภาพการทาางานระบบรกษาความปลอดภยของเครอขาย แตละ
ประเภท
1.3.4 ศกษาการวเคาะหแนวความคดการลงทนเพ อตดสนใจเลอกระบบไฟรวอลลสาหรบ
องคกร
1.3.5 ใชควบคมระบบรกษาความปลอดภยผานระบบเวบเบสอนเทอรเฟส
1.3.6 ปองกนการเขาถงเวบไซตท ไมตองการ
1.3.7 ปองกนการบกรกระบบและตรวจสอบผบกรก
1.4 ประโยชนท�ไดรบ 1.4.1 สามารถบรหารการใชงานอนเตอรเนตขององคกรใหเปนไปอยางมประสทธภาพมากข*นทา
ใหองคกรสามารถรลดและปองกนความเส ยงของระบบเทคโนโลยสารสนเทศท อาจกอใหเกดผลกระทบ
กบการดาเนนงานในองคกร
1.4.2 ทาใหมเทคโนโลยรกษาความปลอดภยท มความปลอดภยสง มาใชงานบนระบบและชวยให
การรกษาความปลอดภยของขอมลมประสทธภาพมากย งข*น
1.4.3 เพ อเปนทางเลอกหน งสาหรบผดแลระบบในการปองกนภยคกคามท จะเกดข*น
1.4.4 ทาใหไดนโยบายการรกษาความปลอดภยเทคโนโลยสารสนเทศตนแบบ
4
(.) โครงสรางของโครงงาน โครงงานน*จะแบงเน*อหาออกเปน 5 บท โดยสรปไดดงน* บทท 1 เปนการกลาวถงปญหาปจจบนของเครองขายอนเตอรเนตภยคกคามตางๆ บนโลก
ออนไลน และแรงจงใจของการทาโครงงาน วตถประสงคของการทาโครงงานเพ อเลอกระบบไฟรวอลลสาหรบองคกรณขนาดเลกและขนาดใหญ รวมถงประโยชนท จะไดรบเพ อความปลอดภยของขอมลและระบบเครอขาย
บทท 2 เปนการกลาวถงทฤษฎพ*นฐานตางๆท เก ยวกบความปลอดภยของขอมล ทฤษฎของไฟรวอลล ชนดของไฟลวอลล ท เปน ฮารแวรไฟรวอลลและซอฟตแวรไฟรวอลล และNAT หลกการทางานรปแบบการแบงโซน
บทท 3 เปนการกลาวถงการศกษา ทดสอบ อปกรณไฟรวอลล ท *งฮารดแวรไฟรวอลล ซอฟตแวรไฟรวอลล และโอเพนซอรสไฟรวอลล การออกแบบระบบไฟรวอลลใหเหมาะสมสาหรบเครอขาย การลงทนเลอกระบบไฟรวอลลสาหรบเครอขาย
บทท 4 เปนการกลาวถงการทดสอบอปกรณฮารดแวรไฟรวอลลโดยใช FortiGate 50B มาทดสอบ ซอฟตแวรไฟรวอลล และโอเพนซอรสไฟรวอลล จะใชโปรแกรม วเอมแวรเวรคสเตช น 7จาลองโปรแกรมข*นมา และลงโปรแกรม ซอฟตแวรไฟรวอลล Astaro Security Gatewat Systems 8 ทดสอบ และโอเพนซอรสไฟรวอลล ใชโปรแกรม Endian Firewall . ClearOS Firewall และ PFSenes Firewall ทดสอบ และการเปรยบเทยบขององคกรท ใชระบบไฟรวอลลและไมใชระบบไฟรวอลล วามความปลอดภยหรอไม การลงทนตดต *งระบบไฟรวอลลสาหรบเครอขายขนาดเลก ขนาดกลางและขนาดใหญ
บทท 5 เปนการสรปผลการทดลองการเปรยบเทยบไฟรวอลลแตละประเภท คณสมบตท
เหมาะสมสาหรบองคกรขนาดเลก ขนาดกลางและขนาดใหญ ปญหา อปสรรคและขอเสนอแนะแนวทาง
ในโครงงาน
5
บทท� 2 พ,นฐานและทฤษฎท�เก�ยวของ
2.1 ทฤษฎท�เก�ยวของกบโครงงาน
ในสวนของทฤษฎท เก ยวของกบโครงงานโดยหลกๆ แลว ผศกษาจะอธบายถงระบบ ปฏบตการลนกซ เร องเก ยวกบการเครอขายคอมพวเตอร รวมถงโปรแกรมสาเรจรปตางๆ ท จาเปนตองใชในโครงงานน*
2.2 Network Intrusion Prevention and Detection Systems [1]
ระบบตรวจจบการบกรก หรอ ไอดเอส เปนเคร องมอท ใชสาหรบตรวจจบความพยายามบกรกเครอขาย โดยระบบจะแจงเตอนผดแลระบบเม อมการบกรกหรอมการพยายามท จะบกรกเครอขาย หนาท หลก คอ แจงเตอนการเขาใชเครอขายท ผดปกตโดยข*นอยกบสภาวะของระบบขณะน *น และบางคร *งไมสามารถตรวจจบการบกรกได เน องจากมปญหาเร องการทางานกบสภาวะแวดลอมสวตชชง (switching) เน องจากทราฟฟกท ว งบนเครอขายไมไดกระจายท วไปทาใหยากตอการตรวจจบ หรอในกรณใชแบบ signature based IDS รปแบบตาง ๆ ท บกรกไมไดทาการอพเดตอยเสมอ ทาใหไมสามารถตรวจจบการบกรกแบบใหม ๆ ได และยงเจอกบเทคนคใหม ๆ หรอ ซบซอนของ hacker ท เรยกวา “IDS Evasion” โดยจะยงแพกเกตแปลก ๆ ท มการดดแปลงสวนหวเพ อทาการหลบเล ยงการทางานของ ไอดเอส แตโดยสวนใหญแลว ไอดเอส ไมไดทาการปองกนการบกรกแบบทนทหรอ real time จงมการคดคนเทคโนโลยใหม ๆ ท เรยกวา IPS (Intrusion Prevention System) ซ งสามารถตรวจจบและหยดการบกรกไดทนท ซ งทาโดยการสงสญญาณ TCP Reset เพ อจดการกบเซสชนท คาดวาจะเปนการบกรก หรอทาการเขาไปแกไขโพลซในไฟรวอลลแบบอตโนมต ซ งบางคร *งอาจเกดการผดพลาดได แตกไดมการปรบปรงใหสามารถเรยนรเทคนคการเจาะระบบรปแบบตางๆ มการเทคโนโลยข *นสงในการวเคราะห ขอมล ทาใหลดปญหาการแจงเตอนท ผดพลาด เน องจากใชหลกเปรยบเทยบขอมลท แปลกปลอมจากการปรบแตงแพกเกต โดยใชมาตรฐาน RFC และ IETF ในการตดสนใจ ซ งการทางานจะใชหลกการท เรยกวา “Inline” หรอ “Gateway IDS” คอ นา ไอพเอส ไปก *นกลางบนเสนทางการสงขอมล โดยไมตองกาหนดหมายเลข IP แตหาก ไอพเอส เสยหรอ By pass ตวเองไมได จะทาใหเกดปญหาในการรบสงขอมลระหวางตนทางและปลายทาง หรอ ถาไปลอกแพกเกตท ไมไดเปนการบกรกจรง ๆ กอาจกอใหเกดปญหาท วไปได 2.2.1 IDS / IPS
เน องจากภยคกคามจากอนเทอรเนตและเครอขายคอมพวเตอรในปจจบนอยในระดบท สงมาก การตดต *งไฟรวอลลเพยงอยางเดยวไมอาจปองกนไดท *งหมด จงทาการพฒนา ไอดเอสไอพเอส ข*นมาเพ อ เปนเคร องมอในการสบหาบคคลท ทาการโจมด บกรก หรอใชระบบไปในทางท ผด ซ งอาจนาไปสการลงโทษบคคลเหลาน*ได เหตผลท ควรจะมระบบท เปนท *ง ไอดเอส และ ไอพเอส คอ
6
- สามารถตรวจจบการโจมตหรอการฝาฝนขอบงคบของระบบการรกษาความปลอดภยท ไมสามารถปองกนไดจากระบบการกษาความปลอดภยอ น
- สามารถตรวจจบความพยายามท จะบกรกเครอขายและปองกนกอนท จะเกดการโจมตจรง ๆ - สามารถเกบรวบรวมสถตเก ยวกบความพยายามหรอการโจมตและนาขอมลไปวเคราะหภย
คกคามท อาจเกดข*นกบองคกรได - สามารถเปนเคร องมอในการวดประสทธภาพในการปองกนภยของระบบการรกษาความ
ปลอดภยอ น - เปนขอมลท เปนประโยชน เม อมการบกรกเกดข*นจรง ๆ ซ งจะชวยในการคนหาสวนท ถกโจมต
การกคนระบบ หรอขอมล และแกไขผลเสยท เกดจากการบกรก และการปองกนในอนาคตได
รปท 2.1 แสดงการเปรยบเทยบการทางานระหวาง ไอดเอส กบ ไอพเอส เปนท รกนวาการโจมตเครอขายน *นจะมข *นตอนท คลาย ๆ กน คอ ข *นแรกจะทาการสแกนเพ อ
เรยนรระบบหรอเครอขาย พรอมท *งคนหาชองโหวท สามารถโจมตได ถาเครอขายใดไมม ไอดเอส ผบกรกกมอสระในการสแกนโดยไมตองกงวลวาจะถกตรวจเจอ แตหากมการตดต *ง ไอดเอส ปองกนไว เม อม
7
การสแกนระบบเพ อคนหาชองโหว ไอดเอส กจะตรวจพบและทาการแจงเตอนใหผดแลระบบทราบและทาการปองกนหรอปดชองโหวไดทนเวลา หรอหากผบกรกตรวจพบวามระบบ ไอดเอส ตดต *งอย อาจจะกลวท จะถกจบได และเลกลมความคดท จะทาการเจาะระบบ ซ งเปนการปองปรามไมใหทาการโจมตจรง ๆ ได นอกจากน* ไอดเอส ยงไดทาการเกบสถตขอมลเก ยวกบการโจมตท เกดข*นได ซ งจะนาไปสการปรบปรงการรกษาความปลอดภยของระบบหรอเครอขาย และชวยในการคนหาแหลงท มา หรอสบหาตวผกระทาจรง ๆ ได รวมท *งอาจใชเปนหลกฐานในการดาเนนคดกบผกระทาความผดไดอกดวย
ขดความสามารถ ไอดเอส สามารถทาหนาท ตอไปน*ได 1. มอนเตอรและวเคราะหเหตการณท เกดข*นในระบบและพฤตกรรมของผใช
2. ทดสอบระดบความปลอดภยของระบบ
3. บอกถงระดบมาตรฐานความปลอดภยของระบบ และเฝาตดตามการเปล ยนแปลงจาก
ระบบดงกลาว
4. เรยนรลาดบเหตการณของระบบท เกดจากการโจมตท รลวงหนา
5. เรยนรลาดบเหตการณของระบบท แตกตางจากเหตการณปกต
6. จดการขอมลเก ยวกบ Event Log และ Audit Log ของระบบปฏบตการ
7. รายงานขอมลเก ยวกบนโยบายการรกษาความปลอดภยพ*นฐาน
8. อนญาตใหผท ไมมความชานาญทางดานการรกษาความปลอดภยสามารถมอนเตอร
ความปลอดภยได
ไอดเอส ไมสามารถทาหนาท�ตอไปน,ได
1. .ไมสามารถปดชองโหวหรอจดออนของระบบท ไมไดปองกนโดยระบบการรกษาความ
ปลอดภยอ น เชน ไฟรวอลลการเขารหสขอมล เปนตน
2. ไมสามารถตรวจจบ รายงาน และตอบโตการโจมตไดในชวงเวลาท มการใชเครอขาย
อยางหนาแนน หรอการโหลดของเครอขายมากเกนไป
3. ไมสามารถตรวจจบการโจมตแบบใหม หรอการโจมตเกาแตไดปรบเปล ยนรปแบบการ
โจมต
4. ไมสามารถโตตอบการโจมตไดอยางมประสทธภาพตอผบกรกท มความชานาญสง
5. ไมสามารถสบหาผบกรกไดโดยอตโนมต การสบหาน *นตองอาศยคนชวยในการ
วเคราะหเพ อสบสวนเร องราว
6. ไมสามารถขดขวางไมใหโจมต ไอดเอส เอง
7. ไมสามารถปองกนปญหาเก ยวกบความถกตองของแหลงขอมล
8. ไมสามารถทางานไดดในระบบเครอขายท ใชสวตช
8
2.2.2 IDS / IPS กบระบบรกษาความปลอดภย เพ อปองกนเครอขายคอมพวเตอรภายในจากอนตรายท มาจากเครอขายคอมพวเตอรภายนอก
เชน ผบกรก หรอ Hacker รวมท *งไวรสประเภทตาง ๆ ระบบ ไฟรวอลลจะอนญาตใหเฉพาะขอมลท มคณ ลกษณะตรงกบเง อนไขท กาหนดไวผานเขาออก ระบบเครอขายภายในเทาน *น แตอยางไรกด ระบบ ไฟรวอลลน *นกไมสามารถปองกนอนตรายท มาจากอนเทอรเนตไดทกรปแบบ ดงน *น จงไม สามารถรบรองความปลอดภยและความลบของขอมลได ถงแมจะมการใชระบบ ไฟรวอลลแลวกตาม เพ อแกไขปญหา ดงกลาวน*จงจาเปนตองมอปกรณ หรอเคร องมอท ใชในการ ตรวจจบพฤตกรรมตาง ๆ ท มอยในเครอขาย ซ งระบบ ท ใชจดการกบปญหาเชนน* ไดแกระบบตรวจจบผบกรก Detection System) Intrusion Detection System (IDS) คอ ระบบท คอยตรวจจบการบกรกของผท ไมประสงคด รวมไปถงขอมลจาพวกไวรสดวย โดยสามารถทาการ วเคราะหขอมลท *งหมดท ผานเขาออกภายในเครอขายวา มลกษณะการทางานท เปนความเส ยงท กอใหเกดความ เสยหายตอระบบเครอขายหรอไม โดยระบบ ไอดเอส น* จะทาการแจงเตอนใหผดแลระบบทราบ Intrusion Prevention System (IPS) คอ ระบบท มลกษณะเชนเดยวกบระบบ ไอดเอส แตมความ สามารถพเศษมากกวาระบบ ไอดเอส กลาวคอ เม อตรวจพบ ขอมลท มลกษณะการทางานท เปนความเส ยงตอระบบเครอขายกจะทาการปองกนขอมลดงกลาวน *น ไมใหเขามาภายในเครอขายได
2.2.3 ภาพรวมระบบแจงเตอนและปองกนความปลอดภยบนเครอขาย ในโลกของระบบรกษาความปลอดภยของระบบสารสนเทศ เราคงจะคนเคยกบคาวา IDS (Intrusion
Detection System) หรอระบบตรวจจบการบกรก และ IPS (Intrusion Prevention System) หรอระบบปองกนการบกรก ผใชระบบสวนใหญอาจยงคงไมทราบเก ยวกบการท จะเลอกใชระบบไหนด ระหวาง ไอดเอส หรอ ไอพเอส ซ งระหวางท ใชเวลาพจารณาเปรยบเทยบและตดสนใจอยน *น อาจจะมผไมประสงคดหรอโปรแกรมประสงครายตางๆ เขาจโจมระบบเครอขายเรยบรอยแลว ซ งจะกอความเสยหายใหกบระบบคอมพวเตอรและตองสญเสยคาใชจายเพ อมาแกไขระบบท เราไมมการปกปองภยคกคามท ดพอ ทกวนน*หลายองคกรมกตองเสยคาใชจาย หรอลงทนไปกบอปกรณในการปองกนความปลอดภยใหกบเครอขายในองคกร อาท ไฟลวอล, เนตเวรคแอกเซสคอนโทรล หรอ แอนต*ไวรสเกตเวย เปนเงนจานวนมาก แตกยงพบกบปญหากบองคกรหรอธรกจ สาเหตอาจเปนเพราะวาบางคร *งโปรแกรมประเภทmalicious code สามารถท จะฝาดานปราการของไฟลวอล เขามาทาลายความเสยหายใหกบองคกรได ในขณะเดยวกนท มพนกงานท ตองเดนทางบอย ๆ Mobile Employee) กเปนสาเหตของการนาพาไวรสมากบโนตบค แลวโจมตองคกรเสยเอง โดยผานแลบทอปของตนเอง ในชวงระยะเวลา 20 ปท ผานมา เทคโนโลยดานการรกษาความปลอดภยระบบเครอขายถกแยกออกเปนสวน ๆ ต *งแต ไอดเอส, ไฟรวอลล, เราเตอร, สวตซ และอปกรณอ น ๆ โดยแตละสวนกกระจายแยกกนตางหากเปนคนละเซกเมนตอยในจดตาง ๆ ของในเครอขาย โดยทางานรวมกนในการปองกนความเส ยงและลดภยคกคามโดยการสรางกาหนดกฎเกณฑ เพ อเปนนโยบายการบารงรกษาและการต *งคาคอนฟกเรชนตางๆของอปกรณ ในการปองกนขอมลสารสนเทศในองคกรใหมความปลอดภยน *นควรมการปองกนหลายช *น ตลอดท วท *ง
9
องคกร เพ อใหครอบคลมความเส ยงท อาจเกดข*นได เชนเดยวกบใหความสาคญกบการลดจานวนการโจมตลงดวย การพฒนาของเทคโนโลยระบบ ไอพเอส จงเปนการสรางระบบการปองกนภยอกข *นหน ง แตถาเปนองคกรขนาดเลกกจะมปญหาในการจดหา ไอพเอส ท มราคาแพง ๆ มาใชได ในการศกษาวจยคร *งน*ผจดทาจงไดมแนวคดท จะนาซอฟตแวรโปรแกรมโอเพนซอส Open sourceมาใชงานเพ อเปนทางเลอกหน งสาหรบผใชงาน
2.2.4 แนวคดการนา IDS (Intrusion Detection System) (Intrusion Prevention System) และ IPS ทางานรวมกน
ประโยชนของ ไอดเอส และ ไอพเอส น *นตางมขอดแตกตางกนในคนละบทบาทหนาท แตกลยทธท ดท สดในการรกษาความปลอดภยกคอรวมเอาเทคโนโลยท *งสองเขามาทางานดวยกนเพ อชวยปองกนความปลอดภยใหกบเครอขายไดอยางครอบคลมท สดโดยขอดของการผสมผสานท *งสองสถาปตยกรรมเขาไวดวยกนกคอ
1. ปองกนกอนท จะเกดปญหา การปองกนการแพรของเมลแวร (บนโลกอนเตอรเนตของ ไอ
พเอส น *นสามารถทาไดแบบเรยลไทม แมจะไมไดผลแบบ รอยเปอรเซนตกตาม แตวาการกรองการ
โจมตต *งแตตนกชวยรกษาสนทรพยทางขอมล ปองกนความเสยหาย และรกษาความปลอดภยใหกบ
ขอมลในองคกรไดเปนอยางด
2. สามารถใชประโยชนจากทรพยากรท มอยไดอยางมประสทธภาพ ไอพเอส สามารถปองกน
ไมใหการปองราย malicious codeเขามาในระบบ ชวยลดโหลดอปกรณอ นๆ เชน ไฟรวอลลและ เอนต*
ไวรส ใหทางานนอยลง ซ งชวยเพ มประสทธภาพโดยรวมของระบบเครอขายไดด อกท *งยงชวยใหองคกร
ไมตองกงวลเร องคาใชจายท เพ มข*นในการจดหา อพเกรดอปกรณและเพ มแบนดวธใหมากข*นอกดวย
3. เพ มความสามารถในการตรวจสอบปญหาดานความปลอดภยท อาจจะไมเคยพบมากอน
หลายคร *งท ประเดนดานความปลอดภยมกเกดข*นจากความผดพลาดของคอนฟก และความผดพลาด
ของบคลากรในองคกรเอง ท ทาใหระบบมชองโหว ทาใหมการบกรกจากภายนอกไดโดยงานไมใชเพยง
เพราะไวรสหรอหนอนอนเทอรเนตเพยงอยางเดยว ซ งการทางานรวมกนของ ไอดเอส และ ไอพเอสสา
มารถชวยลดขอผดพลาดดงกลาวได
4. แกะรอยขอมลในขณะท ไอพเอส น *นทาการกรองแพกเกตท ผดปกตปองกนการบกรก ไอด
เอส ยงทางานตอดวยการคดกรองและเกบขอมลสาหรบการวเคราะหความปลอดภยของเครอขาย ซ ง
การทาเชนน*จะชวยใหพนกงานไอท หรอผดแลระบบไมตองวนวาย กบการเฝาระวงระบบอยตลอดเวลา
เพ อไมใหเกดความเสยหายในระบบจากการบกรกของผไมประสงคดเหลาน *น
10
2.3 พ,นฐานเก�ยวกบ (Intrusion Detection System) 2.3.1 ภยคกคามและการบกรกระบบคอมพวเตอร ภยคกคาม (Threat) คอบคคล ส งของหรอเหตการณตางๆ ท มงรายหรอเปนสาเหตของ ภยอนตราย ท จะเกดข*นกบระบบคอมพวเตอรในรปแบบของการทาลาย การเปดเผย แกไขขอมลและรวมไปถงการทาใหระบบไมสามารถใหบรการแกผใชได โดยภยคกคามอาจจะเกดข*นจากอบตเหต เชน ไฟไหม น*าทวม ฯลฯ หรอเกดข*นจากเจตนาของบคคลท ประสงครายตอระบบ เชน การพยายามท จะขามผานกระบวนการรกษาความปลอดภยของระบบคอมพวเตอร การบกรก (Intrusion) คอพฤตกรรมท พยายามกระทาการใดๆ ท สงผลตอการรกษาความลบ ความสมบรณ และความพรอมใช ของทรพยากรในระบบหรอพยายามขามผานมาตรการรกษาความปลอดภยของระบบคอมพวเตอร เชน ผใชท มสทธ ~ในระบบพยายามใชสทธ ~นอกเหนอจากท ไดรบหรอพยายามใชสทธ ~น *นในทางท ผด
จากนยามความหมายของการบกรกขางตนไดกลาวถงคณสมบต 3 ประการของการรกษาความปลอดภยซ งไดแก การรกษาความลบ การรกษาความสมบรณ และการรกษาความพรอมใชของขอมล โดยคณสมบตแตละขอมรายละเอยดดงน*
การรกษาความลบ (Confidentiality) เปนการรบรองวาจะมการเกบขอมลไวเปนความลบ และมเพยงผมสทธ ~เทาน *นจงจะเขาถงขอมลน *นได
การรกษาความสมบรณ (Integrity) เปนการรบรองวาขอมลไมถกเปล ยนแปลงหรอถกทาลายโดยผท ไมมสทธ ~ ไมวาจะเปนโดยอบตเหตหรอโดยเจตนา
การรกษาความพรอมใช (Availability) เปนการรบรองวาขอมลและบรการตางๆ มความพรอมท จะเรยกใชไดตามสทธ ~ทกคร *งท รองขอ ผบกรกจะกระทาการใดๆ เพ อใหระบบสญเสยคณสมบต 3 ประการขางตนโดยเลอกวธการใดวธการหน งข*นอยกบวตถประสงคของการบกรก 2.3.2 ระบบตรวจจบกาบกรก (Intrusion Detection System)
ระบบตรวจจบการบกรกคอระบบท ใชในการตรวจจบ การใชงานและความพยายามในการใชงาน คอมพวเตอรหรอเครอขายคอมพวเตอรซ งขดกบขอบงคบและเจตจานงการใชงานสงผลตอความปลอดภยของระบบคอมพวเตอรหรอเครอขายคอมพวเตอร 3 ประการคอ Integrity, Confidentiality, Availability เม อมคาถามวา ทาไมถงจาเปนตองใชระบบตรวจจบการบกรก เม อคานงถงเร องความปลอดภยของคอมพวเตอรมกเปนการยากในการมองภาพท ชดเจนวา อะไรท จะบงบอกไดวาการใชงานคอมพวเตอรมความปลอดภย เน องจากความปลอดภยของคอมพวเตอรเปนส งท จบตองไมไดและยากตอการวด แตอยางไรกตามเราสามารถเปรยบเทยบความปลอดภยของคอมพวเตอรกบการรกษาความปลอดภยสถานท ในการรกษาความปลอดภย รปภสถานท น *นนอกจากการ จดบรเวณท ต *ง รปภใหมร *วรอบขอบชด มกญแจท ใชลอกประตหรอทางเขาออก ส งหน งท จะขาดไมไดคอการจดใหมบคคลหรออปกรณท คอยตรวจสอบ การละเมดตออปกรณหรอเคร องกดขวางท จดต *งเพ อความปลอดภย ท *งน*เน องจากอาจมผไมหวงดพยายามบกรกโดยทาลายอปกรณหรอเคร องกดขวางดงกลาวดงน *นเราจงตอง
11
อาศยระบบท ใชตรวจสอบเม อมการทาลายหรอลวงล*าตออปกรณหรอเคร องกดขวางท ไดตดต *งไวอกช *นหน ง ตวอยางอปกรณท ใชตรวจสอบเชน ระบบสญญาณเตอนขโมยท ใชควบคกบร *วท แขงแรง
ระบบตรวจจบการบกรก หรอ ไอดเอส คอเคร องมอสาหรบการรกษาความปลอดภยอกประเภทหน งท ใชสาหรบตรวจจบความพยายามท จะบกรกเครอขาย โดยระบบจะเฝาระวงหรอมอนเตอรเหตการณตางๆท เกดข*นในระบบคอมพวเตอรหรอเครอขาย และจะแจงเตอนผดแลระบบเม อมการบกรกหรอความพยายามท จะบกรก ระบบ ไอดเอส น *นไมใชระบบท ใชปองกนผบกรกแตเปนระบบท คอยแจงเตอนภยเทาน *น วธการตรวจจบการบกรกมมากมายหลายวธการโดยแตละวธการมความแตกตางกนแตระบบตรวจจบการบกรกแตละระบบมองคประกอบพ*นฐานท เหมอนกนไดแก Information Source, Analysis และ Response โดยแตละองคประกอบมรายละเอยดดงน*
Information source คอขอมลท จะนามาใชเพ อการวเคราะหกจกรรมตางๆ ท เกดข*นวาเปนการบกรกระบบหรอเหตการณปกต ขอมลเหลาน*อาจนามาจากลอกไฟลของระบบปฏบตการ ขอมลในหนวยความจาในขณะท เกดเหตการณท ตองตรวจสอบ หรอขอมลในเครอขายในกรณท ตองการตดตามการทางานของการส อสารขอมลท นาสงสย เปนตน
Analysis คอสวนของการวเคราะหตดสนกจกรรมของระบบโดยพจารณาจากขอมลท ไดมาจาก ตนทาง Sourceเพ อท จะสรปวาเหตการณหรอการกระทาใดท ช*บงวาเปนการบกรกหรอเกดการบกรกแลวในระบบ แนวทางของการวเคราะหเหตการณน *นมสองรปแบบคอ Misuse detection และ Anomaly detection ซ งจะกลาวในลาดบถดไป
Response คอสวนของการตอบสนองตอเหตการณบกรกท เกดข*นซ งแบงรปแบบของการตอบสนองออกเปนสองแบบคอ การตอบสนองแบบ Active และการตอบสนองแบบ Passive โดยการตอบสนองแบบ active น *นเปนการตอบสนองตอเหตการณแบบทนททนใด เชน ทาลายโปรเซสท ทาการบกรก ตดการเช อมตอเครอขายท เปนท มาของการบกรก หรอปดพอรตหรอโพรโตคอลท ไดรบผลกระทบ เปนตน สาหรบการตอบสนองแบบ Passive น *นเปนการรายงานหรอแจงเตอนการบกรกไปยงผรบผดชอบเพ อแกไขปญหา
ระบบเครอขายคอมพวเตอรกเชนเดยวกน บคคลท วไปมกคดวาการตดต *ง ไฟรวอลลตามลาพงกสามารถทาใหเครอขายคอมพวเตอรมความปลอดภย แตอยางไรกตาม การตดต *ง ไฟรวอลลใหกบระบบเครอขายคอมพวเตอรกเปรยบเสมอน การสรางร *วหรอกาแพงเพ อตรวจสอบบคคลท จะเขามาในสถานท ท จะม รปภแตหากมบคคลไมหวงดสามารถปนร *วเขามาได การรกษาความปลอดภยโดยใชร *วกหมดความหมาย ดงน *นในการเพ มความปลอดภยอกประการหน งคอการใชระบบตรวจจบการบกรกซ งมคณลกษณะท กลาวมาในตอนตน สาเหตท ตองมไอดเอสเน องจากภยคกคามจากอนเทอรเนตและเครอขายคอมพวเตอรในปจจบนอยในระดบท สงมาก การตดต *งไฟรวอลลอยางเดยวคงไมเพยงพออกตอไป ไอดเอสจงเปนส งจาเปนท จะตองมในระบบการรกษาความปลอดภยในเครอขายขององคกร ตอไปน*เปนเหตผลหลกท วา ทาไมตองมระบบ ไอดเอส
1. เพ อเปนเคร องมอสาหรบการสบสวนหาบคคลท โจมต บกรก หรอใชระบบในทางท ผด ซ ง
อาจจะนาไปสการจบกมและลงโทษบคคลเหลาน*
12
2. เพ อตรวจจบการโจมตหรอการฝาฝนขอบงคบของระบบการรกษาความปลอดภยท ไม
สามารถปองกนไดจากระบบการรกษาความปลอดภยอ น
3. เพ อตรวจจบความพยายามท จะบกรกเครอขายและปองกนกอนท จะเกดการโจมตจรงๆ
4. เพ อเกบรวบรวมสถตเก ยวกบความพยายามหรอการโจมต และนาขอมลไปวเคราะหภย
คกคามท อาจจะเกดข*นกบองคกรได
5. เพ อเปนเคร องมอในการวดประสทธภาพในการปองกนภยของระบบการรกษาความปลอด
ภยอ น เชน ไฟรวอลลเพ อเปนขอมลท เปนประโยชนเม อมการบกรกเกดข*นจรงๆ ซ งจะชวยในการคนหา
สวนท ถกโจมต การกคนระบบหรอขอมล และการแกไขผลเสยท เกดจากการบกรก และการปองกนใน
อนาคต
2.1.3 สวนประกอบ (Intrusion Detection System)
โดยท วไป ไอดเอส จะประกอบไปดวยสวนตาง ๆ ดงตอไปน*
- Host system Network sniffer ทาหนาท เปนตวตรวจจบเหตการณตางๆ ท เกดข*น
ใน หรอเครอขายขอมลจากสวนน*เปนเหมอนอนพต inputท เขาไปประมวลผลในระบบไอดเอส
- Preprocessing จดรปแบบของอนพต inputท รบเขามาเพ อใหนาไปประมวลผลได
สะดวกตอไป
- Statistical analysis สวนวเคราะหผลทางสถต
- Signature matching สวนวเคราะหจากพฤตกรรมท มแบบแผน แนวความคดตรงน*
นามาจากท วา การบกรกมกจะมรปแบบท คอนขางแนนอน สวนน*จะทางานไดกตอเม อมขอมลมากพอท
จะวเคราะหไดวาพฤตกรรมท ปรากฏในระบบเปนรปแบบของการบกรกหรอไม
- Knowledge Base เปนตวเกบขอมลเก ยวกบพฤตกรรมของการบกรก ขอมลน*
ถกใชโดยสวนของ signature matching ขอมลสวนน*มความสาคญมากกบระบบ เปนตวตดสนวาระบบ
ฉลาดพอท จะตรวจจบการบกรกไดหรอไม
- Alert Manager ทาหนาท เปนตวตดสนใจวาจะเหตการณท เกดข*นในระบบควร
จะตองเตอนหรอไม ระบบจะมความ sensitive มากนอยเพยงใดอยท ตวน*ดวย
- User Interface เปนสวนท โตตอบกบผใช อาจจะเปนการแสดงผลท หนาจอ สง
เสยงเตอนถงการบกรก ส งพมพเปน hardcopy หรอแมแตเช อมกบ pager โทรศพท นอกจากน* user
interface ยงเปนสวนโตตอบระหวางผใชกบระบบเพ อเปล ยนแปลงหรอ update ขอมลใน knowledge
base
- Response Manager รบขอมลจาก alert manager เพ อนามาตดสนใจวาจะโตตอบ
กบการบกรกอยางไร
13
2.3.4 กลไกระบบตรวจจบการบกรก ระบบตรวจจบการบกรกจะทาการวเคราะหกจกรรมตางท เกดข*นบนระบบคอมพวเตอรและ
เครอขายคอมพวเตอรวาเปนการบกรกหรอความพยายามในการบกรกหรอไมโดยอาศยคาตางๆ อาท
เชน Network traffic, CPU utilization, I/O utilization, user location, หรอ file activities ตางๆ โดยใช
แบงวธวเคราะหหลกๆ ออกเปน 2 วธคอ การตรวจสอบกบขอกาหนดการใชงาน และ การตรวจสอบจาก
สถตการใชงาน
ระบบตรวจจบการบกรกโดยท วไปจะใชวธตรวจสอบกบขอกาหนดการใชงาน ท *งน*เน องจากม
ความงาย มากกวาการตรวจสอบจากสถตซ งมกมกรณใหมเกดข*นตลอดเวลาทาใหการระบวาการกระทา
น *นเปนการบกรกมความยากและอาจเกดการระบท ผดพลาด(Fault Alarm)
2.3.5 รปแบบการทางานของ ไอดเอส เราอาจจะแบงรปแบบการทางานของ ไอดเอส ออกไดเปน 5 ประเภทตามลกษณะของวธการตรวจ
จบ ดงน* 1. Anomaly Detection เปนการตรวจหาส งผดปกต กลไกกคอตองวเคราะหระบบ หรอ เครอ
ขายโดยข*นกบแหลงขอมล ใหไดคาตอบกอนวาอะไรคอการทางาน ปกต" การตรวจจบจะวดตามคาทาง
สถต หรอ heuristic เพ อดวาเหตการณท เกดอยในขอบเขตของคาวา ปกต" หรอไม ถาไมแสดงวาเหต
การณท เกดเปนส งท ไมปกตและหมายถงการบกรก ปกตจะใชการวเคราะหโดย neural nets, statistical
analysis หรอ changed analysis ขอดของ anomaly detection คอ สามารถปรบใหตรวจจบการบกรก
ไดทกประเภท รวมท *งการบกรกท ไมเคยเกดข*นมากอนดวย ขอเสย คอ ระบบน*ยงทางานไดไมดพอใน
ปจจบน การตรวจจบยงพลาดบอย ปจจบนเปนเร องท กาลงทาวจยกนอย ตวอยางของระบบน*คอ
IDES/NIDES (Statistical + based detection), GrIDS (Graphbased IDS), และ Emerald (Multilayer
IDS)
2. Misuse Detection หลกการคอหาวาอะไรคอองคประกอบของการบกรกแลวพยายาม
ตรวจจบจดน *น วธการอาจจะใช Network grep" หา strings ใน network connection ท แสดงถงการบก
รก หรอ pattern matching ตรวจการเปล ยนแปลงของ state เชน ของ etc/passwd ถกเปล ยน ตามดวย
etc/passwd ถกเปด แกไข และบนทกลงไปใหม ขอดของ misuse detection คอ งาย เรว โอกาสพลาด
มนอย แตกมขอเสยท ตองรจกวธการบกรกถงจะตรวจจบเจอ และมโอกาสท ระบบจะถกลวงไดงาย
ตวอยางของระบบน*คอ ISS RealSecure, Cisco NetRanger, NAI CyberCop, NFR Network Flight
Recorder
14
3. Burglar Alarm คอ misuse detection ท เจาะจงเปาหมายท แนนอน การทางานจะข*นอยกบ
การต *ง policy ของ site น *นๆ ดงน *นกจะตรวจจบการฝาฝน policy ท กาหนดไวเปนหลก burglar alarm
อยางงายอาจจะทาไดจาก tcpdump + perl หรอท เปน software กม NetLog และ Network Flight
Recorder ขอดคอ ความนาเช อถอ งาย และอาจจะตรวจจบการบกรกท ไมรจกมากอนได ขอเสยกคอมน
เปน policybased ซ งตองอาศยความรและประสบการณในการต *ง policy
4. Honey pots โหลน*าผ*ง ระบบลวง ต *งเพ อลอใหถกบกรก ระบบตองออนพอท จะบกรกได
และแขงพอท จะถวงเวลานานพอ สวนการตรวจจบสามารถใช tools งายๆ เชน tcpwrapper, burglar
alarm, หรอ system logs ขอดของวธน* คองาย และไมลดประสทธภาพของระบบจรง ขอเสยคอวธน*
ไดผลกบผบกรกท มความสามารถนอยเทาน *น
5. Hybrid ไอดเอส ระบบรวมเอาหลายๆ อยางมาผสมกน ระบบท มขายกนในปจจบนสวน
ใหญจะเปน hybrid IDS อยางเชนใช misuse detection + expert system + statistical anomaly
analysis Hybrid IDS ดเหมอนจะเปนรปแบบท ดท สด เพราะใชการทางานหลายๆ อยางเพ อตรวจจบ
และกาจดขอเสย แตกยงมขอเสย คอ Hybrid IDS ปจจบนมกเกด false positive มากเกนไป เตอน
ตลอด กระท งในบางท ตองยกเลกการใชกลไกบางสวนของระบบ
2.3.6 ประเภทของระบบตรวจจบการบกรก หรอ IDS แนวคดการสราง IDS มหลายแบบ ดงรป
Detection method แสดงลกษณะของตววเคราะห ม 2 แบบ คอ behaviorbased จะใช
พฤตกรรมปกตของระบบและ based ใชขอมลเก ยวกบการบกรก
Behavior on detection อธบายการตอบการบกรก ถา Corrective (ตอบโตโดยปดชองโหว
และ proactive (เชน ให logout และ ตดการเช อมตอ) โดยทนท กเปนแบบแอคทฟ ถาแสดงเพยงการ
เตอน รวมถง paging และอ นๆ) กเปนแบบพาสซฟ
Audit source location แบงตามแหลงขอมลเขา ของขอมลท จะวเคราะห อาจเปน audit trail,
system log หรอ แพกเกตในเครอขาย
Usage frequency ประเภทแรกจะทางานแบบเวลาจรง อกประเภทหน งจะทางาน เปนชวงๆ 3
หวขอแรกจะเก ยวกบลกษณะการทางาน เพราะกลาวถงการทางานภายใน คอ ขอมลอนพท กลไกการ
ใชเหตผล และการตอบโต) หวขอสดทายจะแยกระหวาง RTID(RealTime Intrusion Detection) กบ
สแกนเนอร ท ใชตรวจความปลอดภยระบบ แตท แทจรงแลวไมใช ไอดเอส
15
รปท �.� แนวคดโครงสรางการทางานของ ไอดเอส
ระบบตรวจจบการบกรกแบบ knowledge-based และ bahavior-based - based IDS, misuse detection หรอ detection by appearance จะหาหลกฐานการบกรก
โดยมพ*นฐานอยบนความรเก ยวกบการบกรกท รจก - Behaviorbased IDS, anomaly detection หรอ detection by
behavior จะหาการเบ ยงเบนในโมเดลเก ยวกบพฤตกรรมท ผดปกต เปรยบเทยบกบการสงเกตการทางานโดยปกตของระบบ
ระบบตรวจจบการบกรกแบบ Knowledge-based ประยกตฐานความร เก ยวกบการโจมตเฉพาะอยาง และความออนแอของระบบ คอยสงเกตความพยายามท จะจโจมจดออนน *น เม อพบกดาเนนการตอไป เม อไมพบวาเปนการโจมตกถอวายอมรบ ประสทธภาพในดานความแมนยาด แตในดานความสมบรณตองการการอพเดตความรเก ยวกบการบกรกเสมอๆ
ขอด คอ ม False alarm rate ต ามาก
16
ขอเสย คอ มความยงยาก ในการรวบรวมขอมลเก ยวกบการบกรก การอพเดตกตองทาดวยความระมดระวงและกนเวลามาก ความรเก ยวกบการบกรกน*ข*นกบระบบปฏบตการ เวอรชน แพลตฟอรมและแอพพลเคชน เคร องมอตรวจจบการบกรกจงเก ยวกบสภาพแวดลอมอยางมาก อยางไรกตาม การตรวจจบการโจมตจากภายใน (insider attacker) ถอวาทาไดยากกวา เพราะถอวาไมมชองโหวท ถกโจมตโดยผบกรก
Expert systems Expert systems ประกอบดวย ชดของกฎท อธบายการบกรก Expert systems จะแปลง
เหตการณอนพทเปนขอเทจจรงท บรรจ semantic signification , inference engine จะใชกฎแปลง fact ดงกลาวเปนผลสรปอกท วธน*จะเพ ม abstraction level โดยเพ มความหมายใหมน
Rule-based language เปนภาษาท ใชแสดงความรเก ยวกบการบกรก ทาใหสามารถปรยเทยบหาหลกฐานการบกรกในสายอนพทไดอยางเปนระบบ และยงใชหาแอพลเคชนท เหมาะสมกบนโยบายความปลอดภยในองคกรไดดวย
Rule-based language มขอจากดบางประการ คอ - Knowledge engineering (เก ยวกบ completeness) การเอาความรจากการบกรก และการ
แปลงความรดงกลาวเปนกฎ ทาไดไมงายนก บางคร *งขอมลสวนท ตองการกไมมอยในอนพทน *น เพราะวาชองโหวหน งๆ น *นสามารถถกโจมตไดหลายทาง ทาใหตองมหลายกฎ
- Processing speed (เก ยวกบ performance) เน องจากเชลลของ expert system ตองการอนพททกอยาง เพ อใหกฎทางานตอไป แมวาบาง expert system อนญาตใหคอมไพลกฎได แตสวนใหญประสทธภาพกต าจาก processing speed ท ไมด ทาให shell ของ expert system ถกใชเปนเพยงโปรโตไทปเทาน *น
Signature analysis กตองใชความรท ไดมา เชนเดยวกบ expert system แตใชตางกน Semantic description ของ
การบกรกจะถกแปลงเปนขอมล ท อาจถกพบในสายอนพตอยางตรงไปตรงมาตวอยางเชน ลาดบการโจมตถกแปลงเปนลาดบเหตการณอนพท แบบท มนสรางข*น) หรอแปลงเปนขอมลในรปแบบท ใชคนหาในสายอนพทได วธน*จะลด semantic level ของลกษณะการบกรกเทคนคน*เปนเทคนคท มประสทธภาพมาก จงถกใชอยางแพรหลาย แตกมขอเสยเชนเดยวกบ based ท วไปคอ ตองการการอพเกรดบอยๆ และ signature กมมากมาย และตองใชอยางนอย 1 signature
State-transition analysis เทคนคน*เสนอโดย Porras และ Kemmerer ถกใชคร *งแรกบนระบบปฏบตการยนกซโดย
แนวความคดแลวเทคนคน*เหมอนกบการอางเหตผลแบบ modelbased อธบายการโจมต ดวยชดของ goal และ transition แตแสดงดวย transition diagram ตอ 1 ระบบปฏบตการท ตองการตดต *ง
ระบบตรวจจบการบกรกแบบ Bahavior-based โดยสนนษฐานวา การบกรกถกพบได โดยการสงเกตพฤตกรรมท เบ ยงเบนออกจากปกตหรอท คาดไวของระบบหรอยสเซอร รปแบบพฤตกรรมท เหมาะสมจะถกเกบจากแหลง ขอมลอางองท มาจากหลายวธ ถาพฤตกรรมในปจจบนมการเบ ยงเบนออก
17
จะดาเนนการตอไป กลาวอกนยหน ง พฤตกรรมอ นท ไมไดเรยนรไวกถอวาเปนการบกรก Behaviorbased น*อาจทาใหสมบรณได แตการทาใหมความแมนยายงทาไดยาก
ขอด คอ มนสามารถตรวจจบความพยายามบกรกแบบใหมได แมแตคนหาการบกแบบใหม บางสวน) โดยอตโนมต แทบไมข*นกบระบบปฏบตการ และสามารถใชชวยตรวจการใช privilege ในทางท ผด ซ งไมเก ยวกบชองโหวของระบบ) ไดดวย
ขอเสยหลก คอ false alarm rate สง เพราะวาขณะเรยนรอาจไมครอบคลมพฤตกรรมของระบบท *งหมด พฤตกรรมของระบบยงเปล ยนไปตามกาลเวลาจงตองอพเดตเปนระยะๆ ทาใหไมสามารถทางานได หรอ อาจทาให false alarm มากข*นอก โดยเฉพาะอยางย งหากอพเดตขณะมการบกรกจรง กจะยอมรบการบกรกน *นเปนพฤตกรรมปกตดวย
Statistics เปนแบบท นยมใชกนอยางแพรหลาย พฤตกรรมของผใชหรอของระบบ จะถกวดโดย สมหา
คาตวแปรชดหน งในชวงระยะเวลาหน ง เชน เวลาลอคอน ลอคเอาท การใชทรพยากรตางๆ และ ปรมาณการใชโปรเซสเซอร หนวยความจาดสกของเซสชน ชวงเวลาระหวางการสมหาคาอาจส *น 3 นาท) หรอยาวได เดอนรปแบบอยางงายใชการตรวจสอบกบคาเฉล ย หาคาท เกนเม อคานวณเทยบกบสวนเบ ยงเบนมาตรฐาน หรอแมแตเปรยบเทยบตวแปรของยสเซอร กบกลมของยสเซอรน *น ดงน *น จงมการพฒนาจนซบซอนข*น มการเปรยบเทยบพฤตกรรมระยะส *นกบพฤตกรรมระยะยาวของยสเซอร โดยปกตแลว จะอพเดตเม อพฤตกรรมของยสเซอรเปล ยนแปลง
Expert systems เกบขอมลเก ยวกบพฤตกรรมท เหมาะสมของยสเซอรในชวงเวลาหน ง นามาสราง เปนกฎของพฤตกรรมปกต เปรยบเทยบกจกรรมของยสซอรกบกฎดงกลาว ท *งน*กฎกตองถก สรางข*นใหมเสมอๆ เพ อใหทนสมยตอรปแบบการใช Expert system น*เหมาะกบขอมลการใชท มพ*นอยบนนโยบาย แตมประสทธภาพดอยกวาแบบ statistic เม อทางานกบขอมลขนาดใหญ
Neural netwerks เปนอลกอรทมท เรยนรความสมพนธระหวางเวกเตอรอนพท เอาทพท และ generalize เพ อใหไดอนพท เอาทพทเวกเตอรใหม Neural network ถกใชในแบบ based เพ อเรยนรรองรอยการโจมต แลวคนหาในสายอนพท อยางไรกตาม กไมสามารถใชระบเหตผลหรออธบายการบกรกไดดงน *น ประโยชนหลกของ neural network สาหรบการตรวจจบการบกรก คอ ใชเรยนรพฤตกรรม ของยสเซอร, เดมอน) ขอไดเปรยบ เม อเทยบกบแบบสถต คอ สามารถแสดงความสมพนธท ไมใชเสนตรงของตวแปร และเรยนรปรบปรงตวมนเองไดอยางอตโนมต จากการทดลองพบวา พฤตกรรมของผดแลระบบสามารถทานายได เชน การทาแบบอตโนมตของระบบ เดมอน และอ นๆพฤตกรรมของยสเซอรสวนใหญทานายได และ มเพยงยสเซอรสวนนอยเทาน *นท ทานายไมได Neural network เปนเทคนคท เก ยวของกบการคานวณมาก จงไมคอยมผนยมใชกนมากนก User Intention Identification ถกพฒนาในโปรเจค SECURENET สรางพฤตกรรมปกตของยสเซอร โดยใชเซตของงานระดบสง ท ยสเซอรน *นใชกบระบบ แปลงงานเหลาน *นใหกลายเปน action ซ งเก ยวของกบ audit event ของระบบ ตววเคราะหจะเกบชดของ task ของแตละยสเซอร เม อพบ action ท ไมเขากบรปแบบน*กจะแสดงการเตอน พบเฉพาะในโปเจค SECURENET)
18
Computer immunology เปนโครงสรางโมเดลพฤตกรรมปกตของบรการในยนกซ ประกอบดวยลาดบ system call ส *นๆของโปรเซส โดยมสมมตฐานวา การบกรกท มการเปล ยนแปลงโคดโปรแกรมดเหมอนวาจะมลาดบท ไมปกต เร มตนดวยการเกบชดพฤตกรรมท เหมาะสมของบรการตางๆ แลวสรางตารางของลาดบ system call ท ดเพ อใชอางองกบลาดบของ system call ในปจจบน ขอด ถาเกบขอมลไดมากพอ เทคนคน*จะม false alarm rate ต ามาก ขอเสย เทคนคน*ไมครอบคลมการต *งคาผด เก ยวกบบรการ เม อการโจมตการใหบรการของระบบอยางถกตอง เพ อการเขาถงส งท ไมไดรบอนญาต
ระบบตรวจจบการบกรกแบบ Passive และ Active สวนใหญเคร องมอตรวจจบการบกรกเปนแบบพาสซพ หมายความวา เม อพบการโจมตกจะแสดงการเตอน แตไมมการตอบโตเพ อขดขวางการโจมตน *น และเคร องมอชนดน*มกจะสราง false alarm จานวนมาก ซ งอาจสรางผลกบสภาพของระบบไดเคร องมอจบการบกรกสวนใหญ มการวเคราะหเปนชวงๆ และมการแกไขบางเม อพบการต *งคาท ผดพลาด เพ อความปลอดภยย งข*นกสามารถกลบไปสคาเดมไดอยางรวดเรวตวอยางไดแก Ballista ของ Secure Network ในเวลาตอมามการเพ มมาตรการตอบโตมากข*น เชน Real sesure , NetRanger, Webstalker กเพ มความสามารถในการตดการเช อมตอ ปองกนขอมลท เขามา ต *งคาอปกรณพวกเราเตอรไฟรวอลลทาใหเคร องมอเหลาน*มความนาเช อถอมากข*น
IDS แบงเปน 2 ประเภท คอ Host-Based IDS และ Network IDS
Host-Based IDS เปนซอฟตแวรท รนบนโฮสต วเคราะห Log เพ อคนหาขอมลเก ยวกบการบกรก ในระบบปฏบต
การวนโดวส จะตรวจสอบ Event Log ตาง ๆ เชน System, Application, Security โดยปกตจะอานเหตการณใหมท เกดข*นเปรยบเทยบกบกฎท ต *งไวกอนลวงหนา ถาตรงกนจะทาการแจงเตอนทนท ระบบจะตรวจจบการบกรกไดตองมการบนทกเหตการณตาง ๆ ท สาคญท เกดข*นกบระบบในการลอคไฟล ถาไมเชนน *น กจะไมมขอมลในการวเคราะหเปรยบเทยบวามการบกรกหรอไม
ขอดของ Host-Based IDS 1. สามารถตรวจพบทกการบกรกกบโฮสตน *น ๆ ไดเสมอ ถาระบบสามารถบนทกเหตการณ
ดงกลาวใน Log ได หรอการบกรกมการเรยกใช System Call 2. สามารถบอกไดวาการบกรกน *นสาเรจหรอไม โดยการวเคราะหขอความใน หรอจาก
หลกฐานอ น ๆ 3. สามารถระบไดวามการเขาใชงานระบบอยางผดปกตโดยผใชของระบบเอง ขอเสยของ Host-Based IDS 1. โพรเซสของ ไอดเอส อาจถกโจมตเองจนไมสามารถแจงเตอนได 2. จะแจงเตอนกตอเม อเหตการณท เกดข*นน *นตรงกบท กาหนดไวกอนหนา ถาเปนเทคนคใหม
ๆ อาจไมแจงเตอนกได
3. การทางานของ ไอดเอส อาจมผลกระทบตอประสทธภาพของโฮสต เน องจากตองตรวจสอบ
File และ System Call
19
Network Base IDS
เปนซอฟตแวรพเศษท รนบนคอมพวเตอรหน งเคร องตางหาก โดยจะม Network Card ท ทางานในโหมด Promiscuous ซ งในโหมดน* เนตเวรคการดจะรบ packet ท *งหมดท ว งอยบนเครอขายสงตอไปใหแอพพลเคช นทาการโพรเซสตอไป ในขณะท เนตเวรคการดท รนในโหมดธรรมดาจะรบเอาเฉพาะแพกเกตท มท อยปลายทางตรงกบเคร องเทาน *น เม อทก ๆ แพกเกตสงผานไปใหแอพพลเคช นทาการวเคราะหขอมลท อยภายในวาตรงกบรปแบบการบกรกท เกบไวในฐานขอมลกอนหนาหรอไม ซ งหากตรงกจะทาการแจงเตอนทนท โดยในแตละ ไอดเอส จะมฐานขอมลท ใชสาหรบเปรยบเทยบเพ อบอกวาเปนการพยายามท จะบกรกเครอขายหรอไม ซ งเรยกวา Signature โดยจะใชเพ อเปรยบเทยบกบขอมลท ไดจากการวเคราะหแพกเกตท ว งในเครอขาย ซ งหาก Hacker มเทคนคใหม ๆ และ IDS ไมม Signature น* กจะไมสามารถตรวจจบการบกรกประเภทน*ได โดยสวนใหญ IDS ประเภทน*จะมเนตเวรคการดอย 2 ตว โดยตวแรกจะทาการเช อมตอกบเครอขายท ตองการเฝาระวงหรอตรวจจบการบกรก ซ งตวน*จะไมมการกาหนดหมายเลขไอพ สวนเนตเวรคการดอกหน งตวจะทาการเช อมตอกบอกเครอขายหน งเพ อใชสาหรบสงการแจงเตอนภยไปยงเซรฟเวอร โดยเครอขายตวหลงน*จะตองไมถกเช อมตอกบเครอขายหลกท ไอดเอส ท การเฝาระวงหรอตรวจจบอย เพ อเปนการปองกนไมใหถกโจมตเสยเอง
ขอดของ Network-Based IDS 1. จะถกซอนอยในเครอขาย ทาใหผบกรกไมรวาถกเฝามองอย 2. Based IDS หน งเคร องสามารถตรวจจบการบกรกไดหลายระบบหรอหลายโฮสต
3. สามารถตรวจจบทก ๆ แพกเกตท ว งไปยงระบบท ถกเฝาระวงอย
ขอเสยของ Network-Based IDS 1. จะแจงเตอนภยกตอเม อตรวจพบแพกเกตท ตรงกบ Signature ท กาหนดไวกอนหนาเทาน *น 2. อาจจะไมสามารถตรวจจบแพกเกตไดท *งหมด ในกรณท มการใชเครอขายอยางหนาแนน จน
ทาใหไอดเอส วเคราะหแพกเกตท ว งอยบนเครอขายไมทนหรอมเสนทางขอมลอ นท ไมตองผาน ไอดเอส
3. ไมสามารถสรปไดวาการบกรกน *นสาเรจหรอไม
4. ไมสามารถตรวจสอบวเคราะหแพกเกตท ถกเขารหสไวได
5. เครอขายท ใชสวตชตองคอนฟกเพ อใหพอรตท เช อมตอกบ ไอดเอส น *น สามารถมองเหนทก
แพกเกตท ว งผานสวตช หรอทาการ Port Mirror
20
2.3.7 การโจมตท�จะถกรายงานโดย ไอดเอส สวนใหญท ตรวจพบ คอ สแกนระบบ System Scanning) การปฏเสธการใหบรการ Deny of
Service) และการเจาะเขาระบบ System Penetration) ซ งอาจเร มจากภายนอกผานทางเครอขายหรอใน
องคกรกได
1. System Scanning หมายถง การทดสอบวาระบบใชงานอะไรไดบางซ งอาจทาไดโดยสงผาน
แพกเกตประเภทตาง ๆ ไปยงระบบ ซ งคลายกบการสแกนตรวจสอบหาชองโหวหรอจดออนของระบบ
แตแตกตางท ความต *งใจเทาน *น เปนการสแกนระบบหรอเครอขาย ไมใชการเจาะเขาระบบหรอทาให
ระบบใชการไมได โดยอาจใหขอมล เชน โทโปโลยของเครอขายท โจมต ประเภททราฟฟกท อนญาตให
ผานไฟรวอลลโฮสตท เปดใชงานอย ประเภทและเวอรช นของระบบปฏบตการท โฮสตใชอย ซอฟตแวรท
รนอยในแตละเซรฟเวอร และเวอรช นของซอฟตแวรน *น ๆ เน องจากการสแกนระบบหรอเครอขายไมใช
การโจมตจรง ๆ บางคร *งอาจไมผดกฎหมาย แตกเปนข *นตอนแรกของความพยายามท จะทาการโจมต
เครอขาย จงอาจมการแจงเตอนใหผดแลระบบทราบเพ อทาการเฝาระวงการโจมตท อาจเกดตามมากได
แตการสแกนระบบหรอเครอขายน *นเกดเปนประจาบนอนเทอรเนต ฉะน *น ไอดเอส ท ดสวนใหญจะ
สามารถแยกแยะไดวาการสแกนแบบไหนเปนการกระทาประสงคดหรอประสงคราย
2. Denial of Service Attacks การโจมตแบบปฏเสธการใหบรการ Denial of Service
: DoS) เปนการพยายามท จะทาใหระบบท เปนเปาหมายทางานชาลง หรอถงกบใหบรการไมไดเลย บน
อนเทอรเนตน *น DoS เปนส งท เกดเปนประจา แตอาจไมสงผลเสยมากนก DoS สามารถใชโจมตองคกร
ใหญ ๆ ได มการโจมต 2 แบบ คอ การโจมตชองโหว Flaw Exploitation DoS) จะเปนการโจมตระบบ
เพ อใหเกดขอผดพลาด หรอ การทาใหรเซอรสของระบบถกใชงานจนหมด ทาใหระบบท ถกโจมตไม
สามารถจดการกบแพกเกตท ผดปกตน*ไดและระบบลมในท สด โดยรซอรสเหลาน* ไดแก CPU, memory,
Hard disk, Buffer หรอ Band width ของเครอขาย ซ งการปองกนการโจมตแบบน*ทาไดโดยการปดชอง
โหวหรอการอพเกรดซอฟตแวร และ การผลดดง Flooding) เปนการโจมตโดยการสงขอมลเกนกวาท
ระบบสามารถรบได หรออาจใช Band Width ของระบบไปจนหมด ทาใหผอ นไมสามารถเขามาใชงาน
ระบบได การโจมตแบบน*ไมใชการโจมตชองโหวของระบบทาใหการอพเกรดซอฟตแวรไมชวยปองกน
การโจมตได และยงมการโจมตแบบแยกกระจาย คอ การใชคอมพวเตอรมากกวาหน งเคร องทาการโจมต
เปาหมาย โดยทาการควบคมจากศนยกลาง โดยมเคร องของผบกรกเปนผควบคม เพ อทาการโจมต
ระบบใหญ ๆ ผดแลระบบจงจาเปนจะตองเขาใจขอแตกตางระหวาง 2 แบบน*เพ อทาการปฏบตตอบโตได
อยางถกตอง
21
3. Penetration Attacks คอ การโจมตแบบเจาะเขาระบบ เปนการเขามาในระบบโดยไมไดรบ
อนญาต และทาการเปล ยนแปลงสทธ ~ รซอรส และขอมลท อยในระบบ การโจมตแบบน*จะทาการหลบ
เล ยงหรอฝาฝนระบบควบคมการเขาถง และเปนการทาลายความคงสภาพของระบบ ซ งตางจาก DoS
เพราะ ทาการเขาถงและควบคมระบบโดยการเจาะเขามาทางชองโหวของซอฟตแวรน *นๆซ งมเทคนค
มากมายจาแนกออกเปนดงน*
- User to Root : ยสเซอรของระบบสามารถเล อนสทธ ~ใหตวเองเปนผดแลระบบ หรอ สาหรบ
ยนกสและAdministratorของวนโดวส
- Remote to User ผบกรกจากเครอขายสามารถเล อนสทธ ~ใหตวเองเปนผใชของโฮสต
เปาหมาย
- Remote to Root ผบกรกจากเครอขายสามารถเล อนสทธ ~ใหตวเองเปนผดแลระบบและคม
ระบบไดท *งหมด - Remote Disk Read ผบกรกจากเครอขายสามารถทาใหตวเองมสทธ ~ในการอานไฟลขอมล
ในระบบโดยท ไมตองไดรบอนญาตจากเจาของไฟล
- Remote Disk Write ผบกรกจากเครอขายสามารถทาใหตวเองมสทธ ~ในการเขยนหรอแกไข
ไฟลขอมลท อยในระบบโดยท ไมตองไดรบอนญาตจากเจาของไฟล
- Remote Vs. Local Attacks เปนการโจมตแบบ DoS และแบบเจาะเขาระบบ มแหลงท มา
ของการโจมต 2 แหลง คอ Authorized User Attacks เกดจากบคคลภายใน คอ ผใชระบบท พยายาม
เปล ยนแปลงสทธ ~ตนเองใหสามารถเขาใชระบบไดมากข*น และ Public User Attacks เกดจาก
บคคลภายนอกหรอผใชท วไป ท ไมมสทธ ~ใด ๆ ท จะเขาใชระบบ ซ งจะเร มจากเคร องรโมทโดยใชชองทาง
ท ระบบเปดไวให หรอเปนชองโหวของระบบเอง
2.3.8 การทดสอบความสามารถในการวเคราะหของระบบตรวจจบการบกรก
โดยท วไปการบกรกเครอขายประกอบดวย 4 ลกษณะคอ
1. การรวบรวมขอมลของเหย อ มกเปนข *นตอนตนของการบกรกซ งผบกรกจะรวบรวมขอมล
ตางๆ ของเหย อเพ อหาจดออนในการโจมตตวอยางขอมลท เปนประโยชนเชน host name, IP address,
OS, network configuration, และ services เปนตน ซ งปจจบนม ซอฟตแวรท ชวยอานวยความสะดวก
ในการหาขอมลโดยผานทางอนเทอรเนตมากมายอาทเชน ซอฟตแวรจาพวก PING sweep, port scan,
account scans, และ DNS zone transfer ซ งซอฟตแวรจาพวกน*มจาหนายหรอจายแจกอยท วไป กลาว
พอสงเขปดงน* storbe, netscan,satan, nmap
22
2. การพยายามเขาสระบบ เม อไดขอมลท เพยงพอ ผบกรกกจะพยายามเขาสระบบโดยอาศย
ชองโหวตางๆ ท ตรวจพบ ไมวาจะเปนชองโหวท เกดจากฮารดแวรหรอซอฟตแวรกด แตชองโหวท มก
ตรวจพบบอยๆเกดข*นจาก ซอฟตแวร ไมวาจะเปน การเขยนโปรแกรมท ผดพลาด การตดต *งท ไมถกตอง
หรออาศยโปรแกรมประเภท มาโทรจน (trojan horse) ในการเขาสระบบเปนตน
3. การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย เปนอกลกษณะ
หน งของการบกรกท กระทาไดคอนขางงายโดยมงเนนในการรบกวนขดขวางตอการทางานของคอม
พวเตอรหรอเครอขายคอมพวเตอรทาใหเคร องคอมพวเตอรหรอเครอขายคอมพวเตอรไมสามารถให
บรการไดตวอยางการโจมตชนดน*เชน Syn flood, a PING of Death, a Land Attack, A teardrop
attack, ICMP Flood หรอแมแตโปรแกรมประเภท ไวรสหรอเวอรมท มอยและแพรหลากหลายบน
อนเทอรเนต
4. การลอลวงใหเกดความสบสน ในบางคร *ง ผบกรกอาจอาศยหลายๆวธในการโจมตตอเหย อ
เพ อใหเกดความสบสนและลอใหเหย อเปดชองวางสาหรบผบกรกท จะสามารถในการลกลอบเขาสระบบ
ได
ในการทดสอบความสามารถในการวเคราะหของระบบตรวจจบผบกรกควรใหมการทดสอบตอ
ลกษณะการโจมตตางๆขางตน ท *ง 4 ลกษณะ ซ งระบบตรวจจบท ดควรมความสามารถในการตรวจจบ
ตอลกษณะการโจมตท *ง 4 ลกษณะดงตารางดานลางน*
ตารางท� 2.1 ลกษณะของการบกรก
ช อของการโจมต ลกษณะของการบกรก 1. PING Sweep การรวบรวมขอมลของเหย อ 2. SATAN การรวบรวมขอมลของเหย อ 3. Port Scan การรวบรวมขอมลของเหย อ 4. Port Scan2 การรวบรวมขอมลของเหย อ 5. ISS การรวบรวมขอมลของเหย อ 6. Dig การรวบรวมขอมลของเหย อ 7. Sam Spade การรวบรวมขอมลของเหย อ 8. Send Mail การพยายามเขาสระบบ 9. Phf 80 การรบกวนขดขวางการทางานของเคร องคอมพวเตอร
หรออปกรณเครอขาย 10. Phf 8080 การรบกวนขดขวางการทางานของเคร องคอมพวเตอร
หรออปกรณเครอขาย
23
11. Internet Mail Access Ptotocol การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
12. ftp cwd~root การพยายามเขาสระบบ 13. Syn Flood การรบกวนขดขวางการทางานของเคร องคอมพวเตอร
หรออปกรณเครอขาย 14. PING of Death การรบกวนขดขวางการทางานของเคร องคอมพวเตอร
หรออปกรณเครอขาย 15. Yaping การรบกวนขดขวางการทางานของเคร องคอมพวเตอร
หรออปกรณเครอขาย 16.Land
การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
17.Latierra
การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
18.Teardrop การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
19.Bank การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
0.ICMP Flood การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
21.UDP Storm การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
22. Suppernuke การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
23.B*slap การรบกวนขดขวางการทางานของเคร องคอมพวเตอรหรออปกรณเครอขาย
24.3 attacks at once การลอลวงใหเกดความสบสน 25. 4 attacks at once การลอลวงใหเกดความสบสน
ความสามารถอ นของระบบตรวจจบการบกรกนอกจากความสามารถในการตรวจจบการบกรก ในการประเมนระบบตรวจจบการบกรกควรมการประเมนตอคณลกษณะตอไปน*
24
1. การตดต *ง - มการจดระบบกอนการตดต *งหรอไม Preconfiguration Requirement) - ทาการตดต *งตามข *นตอนท ผผลตแนะนา - มระบบอตโนมตชวยในการตดต *งหรอไม Wizard) - เวลาท ตองใชในการตดต *ง - ระดบความชานาญท ตองใช - ความตองการทางดานฮารดแวร
�. ในแงของการใชงาน มการรองรบการใชระบบแบบ Remote โดยผาน ไฟรวอลลหรอไม �.การรายงานและการแจงเตอน
- ผานวทยตดตามตว - ผานอเลกทรอนกสเมล - ผานจอแสดงผล
�. เอกสารประกอบการใชงาน �. การบรการทางดานปญหาเทคนค
2.4 ทฤษฎพ,นฐานเก�ยวไฟลวอลล
รจกกบไฟรวอลล [2] ในความหมายทางดานการกอสรางแลว ไฟรวอลล จะหมายถง กาแพงท เอาไวปองกนไฟไมให
ลกลามไปยงสวนอ นๆ สวนทางดานคอมพวเตอรน *นกจะมความหมายคลายๆ กนกคอ เปนระบบท เอาไวปองกนอนตรายจากอนเตอรเนตหรอเนตเวรกภายนอกน นเอง
ไฟรวอลล เปนคอมโพเนนตหรอกลมของคอมโพเนนตท ทาหนาท ในการควบคมการเขาถงระหวาง เนตเวรกภายนอกหรอเนตเวรกท เราคดวาไมปลอดภย กบเนตเวรกภายในหรอเนตเวรกท เราตองการจะปองกน โดยท คอมโพเนนตน *นอาจจะเปนเราเตอร คอมพวเตอร หรอเนตเวรก ประกอบกนกได ข*นอยกบวธการหรอ Firewall Architecture ท ใช
รปท 2.3 ไฟรวอลลก *นระหวางอนเตอรเนตกบเนตเวรกภายใน
25
การควบคมการเขาถงของไฟรวอลลน *น สามารถทาไดในหลายระดบและหลายรปแบบข*นอยชนดหรอเทคโนโลยของไฟรวอลลท นามาใช เชน เราสามารถกาหนดไดวาจะใหมการเขามาใชเซอรวสอะไรไดบาง จากท ไหน เปนตน
ไฟรวอลลสามารถชวยเพ มความปลอดภยใหกบระบบไดโดย - บงคบใชนโยบายดานความปลอดภย โดยการกาหนดกฎใหกบไฟรวอลลวาจะอนญาต
หรอไมใหใชเซอรวสชนดใด - ทาใหการพจารณาดแลและการตดสนใจดานความปลอดภยของระบบเปนไปไดงายข*น
เน องจากการตดตอทกชนดกบเนตเวรกภายนอกจะตองผานไฟรวอลล การดแลท จดน*เปนการดแลความปลอดภยในระดบของเนตเวรก (Network-based Security)
- บนทกขอมล กจกรรมตางๆ ท ผานเขาออกเนตเวรกไดอยางมประสทธภาพ - ปองกนเนตเวรกบางสวนจากการเขาถงของเนตเวรกภายนอก เชนถาหากเรามบางสวน
ท ตองการใหภายนอกเขามาใชเซอรวส (เชนถามเวบเซรฟเวอร) แตสวนท เหลอไมตองการใหภายนอกเขามากรณเชนน*เราสามารถใชไฟรวอลลชวยได
- ไฟรวอลลบางชนด สามารถปองกนไวรสได โดยจะทาการตรวจไฟลท โอนยายผานทางโปรโตคอล HTTP, FTP และ SMTP
ถงแมวาไฟรวอลลจะสามารถชวยเพ มความปลอดภยใหกบเนตเวรกไดมากโดยการตรวจดขอมลท ผานเขาออก แตอยาลมวาส งเหลาน*ไมสามารถปองกนไดจากการใชไฟรวอลล
- อนตรายท เกดจากเนตเวรกภายใน ไมสามารถปองกนไดเน องจากอยภายในเนตเวรก เอง ไมไดผานไฟรวอลลเขามา
- อนตรายจากภายนอกท ไมไดผานเขามาทางไฟรวอลล เชนการ Dial-up เขามายงเนต เวรกภายในโดยตรงโดยไมไดผานไฟรวอลล
- อนตรายจากวธใหมๆ ท เกดข*น ทกวนน*มการพบชองโหวใหมๆ เกดข*นทกวน เราไม สามารถไวใจไฟรวอลลโดยการตดต *งเพยงคร *งเดยวแลวกหวงใหมนปลอดภยตลอดไป เราตองมการดแลรกษาอยางตอเน องสม าเสมอ
- ไวรส ถงแมจะมไฟรวอลลบางชนดท สามารถปองกนไวรสได แตกยงไมมไฟรวอลลชนด ใดท สามารถตรวจสอบไวรสไดในทกๆ โปรโตคอล 2.4.1 ชนดของไฟรวอลล ชนดของไฟรวอลลแบงตามเทคโนโลยท ใชในการตรวจสอบและควบคม แบงไดเปน
- Packet Filtering - Proxy Service - Stateful Inspection
26
Packet Filtering Packet Filter คอเราเตอรท ทาการหาเสนทางและสงตอ (route) อยางมเง อนไข โดยจะพจารณาจากขอมลสวนท อยในเฮดเดอร (header) ของแพกเกตท ผานเขามา เทยบกบกฎ (rules) ท กาหนดไวและตดสนวาควรจะท*ง (drop) แพกเกตน *นไปหรอวาจะยอม (accept) ใหแพกเกตน *นผานไปได
รปท 2.4 ใช Screening Router ทาหนาท Packet Filtering
ในการพจารณาเฮดเดอร Packet Filter จะตรวจสอบในระดบของอนเตอรเนตเลเยอร (Internet Layer) และทรานสปอรตเลเยอร Transport Layer) ในอนเตอรเนตโมเดล ซ งในอนเตอรเนตเลเยอรจะมแอตทรบวตท สาคญตอ Packet Filtering ดงน* ไอพตนทาง ไอพปลายทาง และชนดของโปรโตคอล TCP UDP และ ICMP) ในระดบของทรานสปอรตเลเยอร มแอตทรบวตท สาคญคอ พอรตตนทาง พอรตปลายทาง แฟลก Flag ซ งจะมเฉพาะในเฮดเดอรของแพกเกต TCP) และชนดของ ICMP message (ในแพกเกต ICMP) ซ งพอรตของทรานสปอรตเลเยอร คอท *ง TCP และ UDP น *นจะเปนส งท บอกถงแอพพลเคชนท แพกเกตน *นตองการตดตอดวยเชน พอรต 80 หมายถง HTTP, พอรต 21 หมายถง FTP เปนตน ดงน *นเม อ Packet Filter พจารณาเฮดเดอร จงทาใหสามารถควบคมแพกเกตท มาจากท ตางๆ และมลกษณะตางๆ ดไดจากแฟลกของแพกเกต หรอ ชนดของ ICMP ในแพกเกต ICMP) ได เชน หามแพกเกตทกชนดจาก crack.cracker.net เขามายงเนตเวรก 203.154.207.0/24 , หามแพกเกตท มไอพตนทางอยในเนตเวรก 203.154.207.0/24 ผานเราเตอรเขามา ในกรณน*เพ อเปนการปองกน ip spoofing) เปนตน
Packet Filtering สามารถอมพลเมนตไดจาก 2 แพลตฟอรม คอ
1. เราเตอรท มความสามารถในการทา Packet Filtering (ซ งมในเราเตอรสวนใหญอยแลว
2. คอมพวเตอรท ทาหนาท เปนเราเตอร ซ งจะมขอไดเปรยบเสยเปรยบกนดงน*
27
ตารางท 2.2 เปรยบเทยบขอดขอเสยในการเลอกอปกรณมาทาหนาท Packet Filtering
ขอด ขอเสย
เราเตอร ประสทธภาพสงมจานวนอนเตอรเฟสมาก
เพ มเตมฟงกชนการทางานไดยาก, อาจตองการหนวยความจามาก
คอมพวเตอรท�ทาหนาท�เปนเราเตอร
เพ มฟงกชนการทางานไดไมจากด
ประสทธภาพปานกลาง,จานวนอนเตอรเฟสนอย,อาจมความเส ยงจากระบบปฏบตการท ใช
ขอดขอเสยของ Packet Filtering คอ ไมข*นกบแอพพลเคชน มความเรวสงและรองรบการขยายตวไดด สวนขอเสย คอบางโปรโตคอลไมเหมาะสมกบการใช Packet Filtering เชน FTP, ICQ
Proxy Proxy หรอ Application Gateway เปนแอพพลเคชนโปรแกรมท ทางานอยบนไฟรวอลลท ต *งอย
ระหวางเนตเวรก 2 เนตเวรก ทาหนาท เพ มความปลอดภยของระบบเนตเวรกโดยการควบคมการเช อมตอระหวางเนตเวรกภายในและภายนอก Proxy จะชวยเพ มความปลอดภยไดมากเน องจากมการตรวจสอบขอมลถงในระดบของแอพพลเคชนเลเยอร (Application Layer) เม อไคลเอนตตองการใชเซอรวสภายนอก ไคลเอนตจะทาการตดตอไปยง Proxy กอน ไคลเอนตจะเจรจา negotiate) กบ Proxy เพ อให Proxy ตดตอไปยงเคร องปลายทางให เม อ Proxy ตดตอไปยงเคร องปลายทางใหแลวจะมการเช อมตอ connection) 2 การเช อมตอ คอ ไคลเอนตกบ Proxy และ Proxy กบเคร องปลายทาง โดยท Proxy จะทาหนาท รบขอมลและสงตอขอมลใหใน 2 ทศทาง ท *งน* Proxy จะทาหนาท ในการตดสนใจวาจะใหมการเช อมตอกนหรอไม จะสงตอแพกเกตใหหรอไม
ขอดขอเสยของ Proxy ขอด คอ มความปลอดภยสง และรจกขอมลในระดบแอพพลเคชน ขอเสย คอ ประสทธภาพต า แตละบรการมกจะตองการโปรเซสของตนเอง และ สามารถ
ขยายตวไดยาก
28
รปท 2.5 ใช Dual-homed Host เปน Proxy Server
Stateful Inspection Technology โดยปกตแลว Packet Filtering แบบธรรมดา (ท เปน Stateless แบบท มอยในเราเตอรท วไป) จะ
ควบคมการเขาออกของแพกเกตโดยพจารณาขอมลจากเฮดเดอรของแตละแพกเกต นามาเทยบกบกฎท มอย ซ งกฎท มอยกจะเปนกฎท สรางจากขอมลสวนท อยในเฮดเดอรเทาน *น ดงน *น Packet Filtering แบบธรรมดาจงไมสามารถทราบไดวา แพกเกตน*อยสวนใดของการเช อมตอ เปนแพกเกตท เขามาตดตอใหมหรอเปลา หรอวาเปนแพกเกตท เปนสวนของการเช อมตอท เกดข*นแลว เปนตน
Stateful Inspection เปนเทคโนโลยท เพ มเขาไปใน Packet Filtering โดยในการพจารณาวาจะยอมใหแพกเกตผานไปน *น แทนท จะดขอมลจากเฮดเดอรเพยงอยางเดยว Stateful Inspection จะนาเอาสวนขอมลของแพกเกต message content) และขอมลท ไดจากแพกเกตกอนหนาน*ท ไดทาการบนทกเอาไว นามาพจารณาดวย จงทาใหสามารถระบไดวาแพกเกตใดเปนแพกเกตท ตดตอเขามาใหม หรอวาเปนสวนหน งของการเช อมตอท มอยแลว ตวอยางผลตภณฑทางการคาท ใช Stateful Inspection Technology ไดแก Check Point ไฟรวอลล1 , Cisco Secure Pix Firewall SunScreen Secure Net และสวนท เปน open source แจกฟร ไดแก NetFilter ใน Linux ( iptables ในลนกซเคอรเนล 2.3 เปนตนไป
Firewall Architecture ในสวนของ Firewall Architecture น *น จะพดถงการจดวางไฟรวอลลคอมโพเนนตในแบบตางๆ
เพ อทาใหเกดเปนระบบไฟรวอลลข*น Single Box Architecture Single Box Architecture เปน Architecture แบบงายๆ ท มคอมโพเนนตทาหนาท เปนไฟรวอลล
เพยงอนเดยวต *งอยระหวางเนตเวรกภายในกบเนตเวรกภายนอก ขอดของวธน*กคอการท มเพยงจดเดยวท หนาท ไฟรวอลลท *งหมด ควบคมการเขาออกของขอมล ทาใหดแลไดงาย เปนจดสนใจในการดแลความ
29
ปลอดภยเนตเวรก ในทางกลบกนขอเสยของวธน*กคอ การท มเพยงจดเดยวน* ทาใหมความเส ยงสง หากมการคอนฟกเรชนผดพลาดหรอมชองโหวเพยงเลกนอย การผดพลาดเพยงจดเดยวอาจทาใหระบบถกเจาะได
รปท 2.6 Firewall Architecture แบบช *นเดยว
คอมโพเนนตท ใชใน Architecture น*อาจเปน Screening Router , Dual-Homed Host หรอ Multi-purposed Firewall Box กได
1) Screening Router เราสามารถใชเราเตอรทา Packet Filtering ได วธน*จะทาใหประหยดคาใชจายเน องจากสวนใหญจะใชเราเตอรตอกบเนตเวรกภายนอกอยแลว แตวธน*อาจไมยดหยนมากนกในการคอนฟกกเรชน Architecture แบบน*เหมาะสาหรบ
- เนตเวรกท มการปองกนความปลอดภยในระดบของโฮสต (Host security) เปนอยางดแลว
- มการใชโปรโตคอลไมมาก และโปรโตคอลท ใชกเปนโปรโตคอลท ไมซบซอน - ตองการไฟรวอลลท มความเรวสง
2) Dual-Homed Host เราสามารถใช Dual-Homed Host ( คอมพวเตอรท มเนตเวรกอนเตอรเฟสอยางนอย 2 อน) ใช
การบรการเปน Proxy ใหกบเคร องภายในเนตเวรก Architecture แบบน*เหมาะสาหรบ
- เนตเวรกท มการใชงานอนเตอรเนตคอนคางนอย
- เนตเวรกท ไมไดมขอมลสาคญๆ
30
3) Multi-purposed Firewall Box มผลตภณฑหลายชนดท ผลตออกมาเปนกลองๆ เดยว ซ งทาหนาท ไดหลายอยาง ท *ง Packet
Filtering, Proxy แตกอยาลมวาน คอ Architecture แบบช *นเดยว ซ งถาพลาดแลวกจะเสยหายท *งเนตเวรกได Screened Host Architecture
Screened Host Architecture จะมโฮสตซ งใหบรการ Proxy เหมอนกบใน Single Box Architecture ท เปน Dual-homed Host แตจะตางกนตรงท วา โฮสตน *นจะอยภายในเนตเวรก ไมตออยกบเนตเวรกภายนอกอ นๆ (ดงน *นกไมจาเปนท จะตองใช Dual Homed Host) และจะม เราเตอรท ทาหนาท Packet Filtering ชวยบงคบใหเคร องภายในเนตเวรกตองตดตอเซอรวสผาน Proxy โดยไมยอมใหตดตอใชเซอรวสจากภายนอกโดยตรง และกใหภายนอกเขาถงไดเฉพาะ Bastion host ( คอโฮสตท มความเส ยงสงตอการถกโจมต มกจะเปนโฮสตท เปดใหบรการกบอนเตอรเนต ดงน *นโฮสตน*ตองมการดแลเปนพเศษ) เทาน *นใน Architecture แบบน*จะประกอบไปดวยเราเตอรทาหนาท Packet Filtering และภายในเนตเวรกจะม Bastion Host ใหบรการ Proxy อย โดยท เราเตอรน *นอาจจะถกเซตดงน*
- อาจจะอนญาตใหเคร องภายในใชเซอรวสบางอยางไดโดยตรง - สวนเซอรวสอ นๆ จะไมยอมใหเคร องภายในตดตอผานออกไปโดยตรง ยกเวน Bastion
Host เทาน *นท สามารถตดตอกบเนตเวรกภายนอกไดท *งน*เพ อเปนการบงคบใหใชบรการ Proxy ผานทาง Bastion Host เทาน *นหรออาจจะเซตใหเซอรวสสวนใหญผานเราเตอรออกไปไดโดยตรงแลว ใหบางสวนตองใชเซอรวสผาน Proxy กแลวแตนโยบายและความเหมาะสมขององคกร
รปท 2.7 Screened Host Architecture
31
วธน*ถงแมวาจะมท *ง Proxy และเราเตอรทาหนาท Packet Filtering แตกยงคงอนตรายอยเพราะ วาเราเตอรตองยอมใหภายนอกสามารถตดตอกบ Bastion Host ไดอยแลว หากแฮกเกอรสามารถเจาะเขามายง Bastion Host ไดกเสรจ Architecture น*เหมาะสาหรบ
- เนตเวรกท มการตดตอกบเนตเวรกภายนอกนอย - เนตเวรกท มการปองกนความปลอดภยในระดบของโฮสตเปนอยางดแลว
Multi Layer Architecture ในสถาปตยกรรมแบบหลายช *น ไฟรวอลลจะเกดข*นจากคอมโพเนนตหลายๆสวนทาหนาท
ประกอบกนข*นเปนระบบ วธการน*สามารถเพ มความปลอดภยไดมาก เน องจากเปนการลดความเส ยงตอความผดพลาดท อาจเกดข*น ถาหากมไฟรวอลลเพยงจดเดยวแลวมเกดความผดพลาดเกดข*น ระบบท *งหมดกจะเปนอนตราย แตถามการปองกนหลายช *น หากในช *นแรกถกเจาะ กอาจจะมความเสยหายเพยงบางสวน สวนท เหลอระบบกยงคงมช *นอ นๆ ในการปองกนอนตราย และยงลดความเส ยงไดโดยการท แตละช *นน *นมการใชเทคโนโลยท แตกตางกน เพ อใหเกดความหลากหลาย เปนการหลกเล ยงการโจมตหรอชองโหวท อาจมในเทคโนโลยชนดใดชนดหน ง โดยท วไปแลวสถาปตยกรรมแบบหลายช *นจะเปนการตอกนเปนซร โดยม Perimeter Network (หรอบางทเรยกวา DMZ Network) อยตรงกลาง เรยกวา Screened Subnet Architecture
รปท 2.8 Screened Subnet Architecture
Screened Subnet Architecture Screened Subnet Architecture เปนสถาปตยกรรมท มการเพ ม Perimeter Network เขาไปก *น
ระหวางอนเตอรเนตกบเนตเวรกภายในไมใหเช อมตอกนโดยตรง ทาใหเนตเวรกภายในมความปลอดภยมากข*นในรปดานบน แสดง Screened Subnet Architecture อยางงาย ประกอบไปดวย เราเตอร 2 ตว
32
ตวนงอยระหวางอนเตอรเนตกบ Perimeter Network สวนอกตวหน งอยระหวาง Perimeter Network กบเนตเวรกภายใน ถาหากแฮกเกอรจะเจาะเนตเวรกภายในตองผานเราเตอรเขามาถง 2 ตวดวยกน ถงแมวาจะเจาะช *นแรกเขามายง Bastion host ได แตกยงตองผานเราเตอรตวในอก ถงจะเขามายงเนตเวรกภายในไดคอมโพเนนตของ Screened Subnet Architecture ในรปท 2.8
- Perimeter Network เปนเนตเวรกท เพ มเขามาเพ อความปลอดภย อยระหวางเนตเวรก ภายนอกกบเนตเวรกภายใน ประโยชนของ Perimeter Network ท เหนไดชดกคอ การแบงเนตเวรกออก เปนสวนๆ ทาใหการไหลของขอมลถกแบงออกเปนสวนๆตามเนตเวรกดวย เน องจากโดยท วไปแลวเนต เวรกท เปนแลนน *น จะเปนแบบ Ethernet ซ งจะมการสงขอมลแบบ Broadcast ดงน *นถามใครคอบดกจบขอมลอยในเนตเวรกน *น กจะไดพาสเวรด ขอมลตางๆ ไปหมด ดงน *นหากไฟรวอลลเรามช *นเดยวและแฮกเกอรสามารถเขามาได โดนดกจบขอมลกเสรจหมด แตถาเราม Perimeter Network ถงจะดกจบขอมลไดแตกจะไดเพยงท อยบน Perimeter Network เทาน *น
- Bastion Host ต *งอยบน Perimeter Network ทาหนาท ใหบรการ Proxy กบเนตเวรก ภายใน และใหบรการตางๆ กบผใชบนอนเตอรเนต Bastion Host น *นจะมความเส ยงตอการโจมตสง จงตองมการดแลความปลอดภยเปนพเศษ
- Interior Router ต *งอยระหวาง Perimeter Network กบเนตเวรกภายใน ทาหนาท Packet Filtering ปองกนเนตเวรกภายในจาก Perimeter Network ในการเซต configuration ระหวาง เนตเวรกภายในกบ Perimeter Network ควรกาหนดอยางรอบคอบ อนญาตเฉพาะเซอรวสท จาเปนเทาน *นอยางเชน DNS, SMTP
- Exterior Router ต *งอยระหวางเนตเวรกภายนอกกบ Perimeter Network เน องจาก Exterior Router น*เปนจดท ตออยกบเนตเวรกภายนอก จงมหนาท ท สาคญอยางหน งคอ การปองกนแพกเกตท มการ Forged IP Address เขามา โดยอางวามาจากเนตเวรกภายในท *งๆ ท จรงๆ แลวมาจากเนตเวรกภายนอก
2.5 NAT : Network Address Translation [3] , [4]
รปท 2.9 Network Address Translation
33
การส อสารในระบบเครอขายอนเตอรเนต จะมการกาหนด IP Address ซ งเปนหมายเลขท ใชสาหรบระบตวตนของผใชงาน (หมายเลข IP จะเปนกลมเลข 4 ชด เชน 202.153.148.21 เปนตน) ซ งแตละคนจะมหมายเลข IP Address ไมซ*ากน อยางไรกตามโดยปกต IP Address ของคณท ไดรบเวลาเลน internet ผานทาง ISP จะไดรบเปนหมายเลขแบบสม
ปจจบนมผใชงาน Internet มากมาย ทาให IP Address ท แจกจายใหน *น ไมเพยงพอ อยางไรกตาม การแกไขปญหา IP ไมเพยงพอ สามารถทาไดโดยใชวธการทา Network Addrsss Translation (NAT) หรอการสรางตารางการจบคของ IP แบบสม (ตวอยาง : สมมตวาองคกรมคอมพวเตอร 50 เคร องท ตองการเลน internet และม Registered IP จาก ISP 2 หมายเลข การทา NAT แบบสม จะมการตรวจสอบวา IP ใดวางกจะมการใช IP น *นๆ) สาหรบอปกรณสาหรบทา NAT สามารถทาไดจากอปกรณท เรยกวา Router หรอ Firewall
2.5.1 หลกการทางานของ NAT โดยท วไปในระบบเครอขายภายในองคกร โดยเฉพาะองคกรท ม Server เปน Windows NT,
2000 server จะมการกาหนด IP ภายในองคกรท เรยกวา private IP เชน 192.168.0.1 หรอ 10.0.0.1 เปนตน IP เหลาน*จะเปน IP จะไมสามารถนาไปใชงานในระบบอนเตอรเนตได การทา NAT จะเปนการแปลง private IP ใหเปน IP ท สามารถใชงานบนระบบอนเตอรเนตได หรอท เราเรยกวา Registered IPจากรายละเอยดขางตน ยงไมสามารถอธบายความสามารถของการทา NAT ได ดงน *นขออธบายเพ มเตมเก ยวกบ NAPT : Network Address Port Translation โดยรายละเอยดแลว การส อสารผานระบบเครอขายอนเตอรเนต โดยใชชองทางส อสาร TCP/IP จะประกอบดวย
2.5.1.1 Source IP Address 2.5.1.2 Source Port 2.5.1.3 Destination IP Addrss 2.5.1.4 Destination Port
ซ งท *งหมดน* รวมเรยกวา Socket และตว Socket น*เองจะเปนตวกาหนดวาการส อสารน *นยงคงดาเนนการตออยหรอไม และเน องจากจานวน port ใน Firewall จะมจานวน ports ถง 65,535 (สาหรบ server 1024 ports) ดงน *นจะม ports คงเหลอ 64,511 ทาใหเราสามารถตออนเตอรเนตภายในองคกร โดยใช Registred IP เพยงไมก หมายเลข และน คอความสามารถพเศษในการใชงานในสวนของ NAPT น นเอง
2.5.2 การแบง Zoning ของ Network การจดโซน คอ การจดแบงโฮสตท จะตองอาศยไฟรวอลลเปนทางผานของทราฟฟคอ
อกเปนสวนตางๆ ตามลกษณะของการใชงานปกตของโฮสตในกลมน *น โฮสตท อยในโซนเดยวกนสามารถตดตอกนไดโดยไมตองผานไฟรวอลล แตถาโฮสตอยตางโซนกนการส อสารใดๆ ทเกดข*น
34
จะตองผานไฟรวอลลเสมอ การส อสารระหวางโซนจะตองไมสามารถตดตอกนโดยไมวาดวยทางใด การจดโซนท ไมเหมาะสมนอกจากจะทาใหการกาหนดแอคเซสรลทาไดยากแลวอาจจะทาใหความสามารถในการปองกนของไฟรวอลลลดต าลงไปโดยไมจาเปนอกดวย
ในองคกรไมวาจะเปนขนาดเลก ขนาดกลาง หรอขนาดใหญ ถามการเช อมตอกบระบบอนเทอรเนต อนทราเนต ท *งภายในและภายนอก ผลพวงท ไดรบอาจเกดปญหาในเร องการไวรส และท สาคญอกสวนหน งการถกเจาะระบบโดยผไมประสงคด อยางไรกตามการตดตอส อสารกยงจาเปนจะตองเกดข*น ดงน *นเราจงจาเปนตองมการปองกน และมการจดแบงระบบเครอขายของเราเปนโซน เพ อใหเกดความสะดวกในการควบคมและจดการ โดยเฉพาะการตดต *งระบบ Firewall ท *งน*เพ อใหเกดความปลอดภยในขอมล และปลอดภยในระบบเครอขายของเรา
รปท 2.10 Zoning แบงออกได 3 ประเภท
2.5.2.1 Internal Zone
หมายถง ระบบเครอขายภายในองคกรของเรา ซ งถอวาเปน zone ท มความปลอดภยและนาเช อถอสงสด
2.5.2.2 External Zone
หมายถง ระบบเครอขายภายนอก ซ งถอวาเปน zone ท มความปลอดภยต ามาก (ท *งน*ไมได หมายความวา เครอขายนอกองคของเราน *น จะเปนเครอขายท ไมนาเชอถอ) อยางไรกตามเน องเราอาจจาเปนตองมการตดตอกบเครอขายภายนอก ดงน *นเราจาเปนจะตองมการควบคมในเร องของการส อสาร
35
ตวอยาง External Zone เชน คอมพวเตอรตางๆ ภายนอกองคกร รวมท *งระบบเครอขาย internet ท เราตดตออยดวย เปนตน
2.5.2.3 Demilitarized Zone (DMZ)
เปน Zone พเศษท ไมใชท *ง Internal Zone และ External Zone การทางานของ DMZ น *น จะ ตดตอโดยตรงท *ง Internal และ External Zone ตวอยางของ DMZ เชน Mail server, Web server เปนตน
2.6 ประเภทของ Firewall
เราสามารถแบงประเภทของ Firewall ได 2 ประเภทคอ
รปท 2.11 Hardware Firewall
Hardware Firewall เปน Firewall ท มลกษณะเปนกลอง คลายเคสคอมพวเตอร ปจจบน มการสราง Firewall และรวมเอาความสามารถในการปองกนไวรสไวในตวเดยวกน เชน Symantec Gateway Security ซ งเปนของบรษท Symantec ผผลตซอฟตแวร Norton Anti-virus ท มช อเสยงมากท สดบรษทหน ง เปนตน
รปท 2.12 Software Firewall
36
Software Firewall หมายถง Firewall ท มการตดต *งซอฟตแวร Firewall ในคอมพวเตอรท เปน Server ปจจบนมซอฟตแวร Firewall หลายคาย รวมท *งของคายไมโครซอรฟกม เชน Microsoft Internet Security and Acceleration Server หรอ เรยกส *นๆวา ISA สวนคายอ นๆ ท เปนท นยมเชน Firewall-1 ของบรษท Firewall - ระบบรกษาความปลอดภย
ถาแปลเปนภาษาไทย จะหมายถง กาแพงไฟ ซ งนาจะหมายถงการปองกนการบกรก โดยการสรางกาแพง อยางไรกตาม ความหมายของ Firewall สามารถอธบายไดดงน* คอ Firewall เปนเคร องมอท ใชสาหรบปองกนระบบ Network (เครอขาย) จากการส อสารท วไปท ถกบกรก จากผท ไมไดรบอนญาต เปนเร องเก ยวกบการรกษาความปลอดภยในระบบ Network หรอระบบเครอขาย การปองกนโดยใชระบบ Firewall น*จะเปนการกาหนดกฏเกณฑในการควบคมการเขา-ออก หรอการควบคมการรบ-สงขอมล ในระบบเครอขาย น นเอง
การปองกนการเขาถงระบบ สามารถแบงออกไดเปน 2 ประเภท
1. Logical Access หมายถง การเขาถงผานระบบ Network เชน ผานระบบ เครอขาย อนเทอรเนต เปนตน
2. Physical Access หมายถง การเขาถงในลกษณะถงตวเคร องจรงๆ พดงายๆ คอ การเขาถง ในลกษณะเดนเขามาใชงาน หรอลกลอบเขามาใชงานถงตวเคร องคอมฯ ในระบบ Network น *นๆ คณสมบตของ Firewall • Protect
Firewall เปนเคร องมอท ใชในการปองกน โดยขอมลท มการรบหรอสงผานระบบเครอขาย โดยจะถกกาหนดเปนกฏเกณฑ หรอ Rule เพ อใชบงคบในการส อสารภายในเครอขาย (ขอมลท มการรบสงภายใน หรอภายนอกระบบเครอขาย เราเรยกวา Package)
• Rule Base ขอกาหนดในการควบคมการรบ-สงขอมลภายในระบบเครอขาย ดงน *น การตดต *ง Firewall จะตองมการกาหนดกฏเกณฑ ในการควบคมการทางานในระบบเครอขาย
• Access Control หมายถง การควบคมระดบการเขาถง การรบ-สงขอมล การตดต ,ง Firewall Check Point Software Technologies Ltd. Software ท เปน Firewall สามารถตดต *งอยในเคร อง
คอมพวเตอรสวนบคคลของเราได ท เราเหนกนอยบอยๆ จะตดต *งอยในระบบปฏบตการ Windows XP service pack 2 ข*นไป เราเรยกวา Windows Firewall
เดมการใชงานคอมพวเตอรสวนใหญ จะเปนการใชงานสวนบคคล ดงน *น ปญหาตางๆ ท เกดข*นในระหวางการใชงานจงมไมมากนก ตอมาเม อระบบเครอขายอนเตอรเนตเปนท แพรหลายมาก ทกองคกร ทกธรกจมการใชงานอนเตอรเนต อยางนอยกใชงาน อเมลในการรบสงจดหมายอเลคทรอนกส ดงน *น
37
ผลพวงท ตามมาคอ เกดผไมประสงคด หาวธการในการลกลอบเขาดในเคร องคอมพวเตอรของคณ เพ อคนหาขอมล หรอตองการทดสอบความสามารถของตนเอง ตลอดจน ไวรสคอมพวเตอร กไดอาศยชองทางของเครอขายอนเตอรเนต เปนชองทางในการแพรกระจายไวรส
38
บทท� 3 วธการดาเนนงาน
ในปจจบนแนวโนมดานระบบรกษาความปลอดภยเครอขาย ไดมการลงทนเพ มสงข*นอยาง
ตอเน อง ซ งเกดจากภยคกคามทางเครอขายไดมความรนแรงเพ มมากข*น ในอดตการสรางระบบเพ อปองกนความปลอดภยน *น การตดต *งอปกรณไฟลวอลลเปนส งท ทกคนมกจะคดถงเปนอนดบแรก และเปนอปกรณท จะชวยใหระบบเครอขายมความปลอดภย แตปจจบนการเพ มระบบการรกษาความปลอดภยน *น นบไดวาเปนภารกจอนดบแรก ของผจดการฝายเทคโนโลยสารสนเทศท วโลก เพ อท จะทาใหเพ มประสทธภพดานการรกษาความปลอดภย ซ งมหลายตอหลายบรษท ไดมการจดต *งแผนกใหม ท ทางานดานระบบรกษาความปลอดภยเครอขายข*นมาโดยเฉพาะเลยทเดยว ซ งความยากในการบรหารจดการน *นกคอ ขณะท บรษทหรอองคกรตาง ๆ มการใชงานเช อมตออนเตอรเนตเพ มมากข*น ไดเปดชองทางการเช อมตอสโลกภายนอก อาจเปนเหตท เพ มชองทางใหกบผไมประสงคดในการบกรกเขาสเครอขายขององคกร ดงน *นการวางแผนดานระบบรกษาความปลอดภยเครอขาย จงเปนจาเปนอยางย ง แตบางองคกรท มงบประมาณจากด เปนการยากท จะหาซ*ออปกรณท มขายในเชงพาณชย (Commercial)
โครงงานน*มวตถประสงคท จะศกษาและทดลอง อปการณไฟรวอลลท *ง ฮารดแวรไฟรวอลล ซอฟตแวรไฟรวอลล โอเพนซอรสไฟรวอลล ท เหมาะสมแตละสาหรบองคกรท มงบประมาณแตกตางกน
รปท 3.1 ระบบเครอขายขององคกรท ตดต *งไฟรวอลล
3.1 ความตองการพ,นฐานของโครงงาน ในการทาการทดลองในระบบแลวอยางนอยๆ ผอานจะตองมคอมพวเตอรมากวาสองเคร องข*น
ไป โดยทาาการเช อมตอระบบเครอขายโดยอาจจะใชสายไขว (Cross Cable) หรอไมวาจะเปนการใชฮบ เพ อทาการเช อมตอระบบเครอขาย เปนตน
อปกรณอกอยางท จะขาดไมไดเลยกคอ การดเครอขาย ซ งจะตองมท *ง ในเคร องลกและเคร องแมขาย โดยท เคร องลกขายจาาเปนท จะตองมอยางนอยหน งใบเพ อเอาไวใชตดตอกบเคร องแมขายสาหรบเคร องแมขายน *นถาระบบการเช อมตออนเทอรเนตนน ทาาผานทางการดเครอขายกจาาเปนท จะตองม
39
มากกวาสองใบข*นไปเพ อจะไดตดตอกบเครอขายอนเทอรเนตหน งใบและอกหน งใบสาาหรบเช อมตอกบเครอขายภายใน แตหากวาระบบการเช อมตอกบเครอขายอนเทอรเนตน *นใชระบบท ไมตองใชการดเครอขายในการเช อมตอ อาทเชน การเช อมตอระบบ ADSL โดยโมเดมท มการเช อมตอกบคอมพวเตอรผานทางพอรต USB เปนตน กไมจาาเปนท จะตองมการดเครอขายถงสองใบ 3.2 วธการดาเนนงานโครงงาน 1. ศกษาขอมลเก ยวกบเทคโนโลยระบบไฟรวอลล ท *งฮารดแวร ซอฟตแวร และโอเพนซอรส �. ศกษาแนวคดการออกแบบระบบไฟรวอลลใหเหมาะสมสาหรบระบบเครอขายภายในองคกร �. ศกษาแนวคดเก ยวกบทางดานการลงทนเลอกระบบไฟรวอลลท เหมาะสมสาหรบระบบเครอขายภายในองคกร 3.3 วธการประเมนความตองการ การจะเร มออกแบบระบบไฟรวอลล ผจะตองมจดประสงคท ชดเจน ส งท สาคญกอนการออกแบบระบบไฟรวอลล คอ
1. การวเคราะหระบบเครอขาย ตองวางแผนการใชงานระบบเครอขายภายในองคกรวา ตองการความปลอดภยของเครอขายแบบใด ในระดบ
2. ศกษาการทางานขององคกร ศกษาและวเคราะหงานทางธรกจท จาเปนจะตองใชระบบ รกษาความปลอดภย ตองใหลาดบความสาคญของแตละงาน
3.4 วธการทดสอบ 3.4.1 คอนฟกไฟรวอลล ฮารดแวร ซอฟตแวร และโอเพนซอรส
3.4.2 กาหนด policy firewall ท ชดเจน 3.4.3 แบงกลมผใชงานอนเตอรเนต 3.4.2.1 สามารถใชงานไดตลอดเวลา
3.4.2.2 สามารถใชงานไดเปนชวงเวลา 3.4.2.3 ไมสามารถใชงานอนเตอรเนตไดเลย 3.4.3 บลอกเวบไซด ท ไมตองการใหงาน 3.4.4 มการพสจนการมตวตนของผใชคอมพวเตอร 3.5 เคร�องมอท�ใชทดสอบ การทดสอบระบบ ไฟรวอลล เพ อสามารถนามาใชงานในองคกรตางๆ น *น เปนเคร องมอท นา มาใชสาหรบโครงการศกษาคนควาดวยตวเอง โดยการทดสอบ เปรยบเทยบอปกรณไฟรวอลล แบบ ตาง ๆ คอ ฮารดแวรไฟรวอลล ซอฟตแวรไฟรวอลล และโอเพนซอรสไฟรวอลล
40
3.6 การตรวจสอบไฟรวอลล (Firewall Auditing) ภายหลงจากท นาไฟรวอลลไปใชงาน ผดแลระบบจะตองตรวจสอบเสมอวาไฟรวอลลสามารถ
ทางานไดตรงตามท กาหนดไวหรอไม สาหรบโครงงานสารฉบบน*จะแนะนาวธในการตรวจสอบเคร องไฟรวอลลและตรวจสอบ rule ของไฟรวอลล เพ อทา การทดสอบเพ อใหม นใจวาไฟรวอลลไดถกตดต *งและใชงานไดตรงตามท ตองการ โดยไมไดมงเนนไปท วธการเจาะระบบแตอยางใด
3.6.1 การคาดหวง ส งแรกท ตองทาในการตรวจสอบไฟรวอลลคอ ถามตวเองวาคาดหวงอะไรจากไฟรวอลลตองการ ใหไฟรวอลลทาอะไรใหบาง ซ งคาตอบท *งหมดน*มอยใน security policy ผดแลไฟรวอลลตองมความเขาใจใน security policy เปนอยางด เพราะในระหวางกระบวนการตรวจสอบน *น จะตองทาการเปรยบเทยบผลลพธท ไดกบ policy หรอความคาดหวงท ต *งไวกอนแลว �.�.� การตรวจสอบ การตรวจสอบจะแบงเปน 2 สวนดวยกนคอ การตรวจสอบเคร องไฟรวอลล และสวนของ
การตรวจสอบ rule ของไฟรวอลล
3.6.2.1 การตรวจสอบเคร องไฟรวอลล เพ อตรวจสอบใหม นใจไดวาเคร องไฟรวอลลมความปลอดภยจรง สามารถตานทานการ
บกรกไดจากท *งภายนอกและภายใน
- ตรวจสอบการเขาถงทางกายภาพ เพราะถาหากผบกรกสามารถเขาถงเคร องไฟรวอลล
ไดแลวกเปนการงายท จะเจาะเขาระบบตอไป - ตรวจสอบระบบปฏบตการของเคร องไฟรวอลลวามความปลอดภยเพยงพอหรอไม โดย
แนะนาใหตรวจสอบจาก checklist ของแตละระบบปฏบตการ ในบางคร *งอาจจะไดผลลพธท แปลกไป เชน อาจจะพบวามการเปด port 256 - 258 ใน Firewall
ซ งใชสาหรบควบคมเคร องไฟรวอลล หรออาจจะมการตอบรบตอ ICMP message โดยดฟอลต ดงน *นผดแลไฟรวอลลควรยกเลกการใชงานในท *งสองสวน แตถาในกรณท จาเปนตองเปด port หรอบรการไวท เคร องไฟรวอลล กใหจากดการใชงานเฉพาะผดแลระบบเทาน *น เชน ใหใชงานเฉพาะไอพแอดเดรสท กาหนดไวเทาน *น
จดสาคญของการทาใหไฟรวอลลมความปลอดภยคอ ใหปดก *นการเขาถงไฟรวอลลใหมากท สด
เทาท จะทาได โดยใน rule ของไฟรวอลลน *นจะตองม lockdown rule เพ อปดก *นไฟรวอลลจากทกส ง ใน
กรณท จาเปนตองเปดใหเขาถงไฟรวอลล กใหนา rule น *นวางไวบน lockdown rule อกท
41
3.6.2.2 การตรวจสอบ rule ของไฟรวอลล มจดประสงคเพ อตรวจสอบวาไฟรวอลลทางานไดตรงตามท คาดไวหรอไม ซ งสามารถทาไดโดย
การสแกนทกๆ สวนของเครอขาย เพ อตรวจสอบวา packet สามารถผานไฟรวอลลไปไดหรอไม ซ งสามารถทาไดโดยการนาระบบตรวจสอบ (อาจจะเปนโนตบก) ซ งสามารถเคล อนยายไดงาย ทาการสแกนเครอขายสวนอ นๆ
ไฟรวอลลโดยสวนใหญมกจะประกอบไปดวยเครอขาย เชน DMZ ซ งในกรณน*ขอแนะนาใหนาโนตบคไปวางไวใน DMZ จากน *นจงใหสแกนเครอขายภายใน ซ งถอเปนการจาลองสถานการณในกรณท เคร องภายใน DMZ ถกบกรกไดสาเรจ
Authentication / Encryption : ไฟรวอลลสวนใหญสนบสนนการทางานในสวนน* ซ งจาเปน ตองไดรบการตรวจสอบเชนเดยวกน เชน ในกรณท ต *งไววา ยสเซอรจะตองผานการทา authen จากไฟรวอลลกอนท จะใชงานเวบไซตได กสามารถทดสอบไดดวยการทดลองดวยตวเอง และลองพยายามเขาใชงานโดยไมตองผานการทา authen เชน ใชคาส ง telnet ผาน port 80 แทนการใชงานเวบผาน browser เปนตน และทานองเดยวกนกบการตรวจสอบการเขารหส ซ งสามารถตรวจสอบไดโดยการใช sniffer เชน tcpdump หรอ snort ตรวจสอบจาก packet วามการเขารหสจรงหรอไม
Service อ น : ไฟรวอลลบางย หอน *นสามารถทางานรวมกบผผลตรายอ นได เชน การเพ มเตมความสามารถในการตรวจจบและกาจดไวรสท *งจากอ-เมลหรอจากเวบ ซ งกสามารถตรวจสอบไดโดยการทดลองสงอ-เมลท มไวรสเขามาในระบบ หากไฟรวอลลทางานผดปกตกจาเปนตองปรบปรงตอไป
3.7 ความแตกตางระหวาง Hardware Firewall กบ Software Firewall
Hardware Firewall รกษาความปลอดภยไดด แตเร องการพฒนาใหทนความกาวหนาทาง
เทคโนโลย Software Firewall ทาไดดกวา และแมวาตว Software Firewall เองจะทางานรวมกบ Third
Party Solution ไดดแตเร องความเรวในการทางานส Hardware Firewall ไมได เม อตางมขอดแบบน*
สถานการณใดควรเลอก ไฟรวอลลชนดใดมาปกปองระบบเนตเวรค เปนเร องท จะใหคาตอบไดยาก
ระหวาง Hardware Firewall กบ Software Firewall อยางไหนจะ ด” กวากน เพราะปจจบน เทคโนโลย
ไมไดเปนตวแปรเดยวท จะทาใหเกดการพฒนา ไฟรวอลลข*นมา ไมวาจะเปน Hardware Firewall ท มให
เลอกสาหรบองคกรทกขนาด ไมวาจะใหญ หรอเลกขนาดเพยง 30 User กมใหเลอกใชงาน ดานฝาย
Software Firewall กมนกพฒนานาไปโหลดบน Appliance Server จนไดความเรวและความนาเช อถอ
ในการทางานไมแพ Hardware Firewall
42
Hardware Firewall เปนอปกรณท มความเรวในการทางานสง และมความปลอดภยสง เน องจากการออกแบบ
ฮารดแวรท เฉพาะเจาะจง ยากและไมคมคาท แฮกเกอรจะเจาะ เพราะการเจาะฮารดแวร ไฟรวอลลน *น มกจะตองพฒนาวธการเฉพาะสาหรบฮารดแวรน *น ๆ ข*นมากอน มความรความเขาใจในกระบวนการของฮารดแวรในระดบต าสด Hardware Firewall จงเหมาะอยางย งท จะใชสาหรบ
- เปนจดผานทางของ Zone Server Farm คอใชประโยชนในเร องของความเรวเปนหลก
- เปนจดผานทางของ Packet ท ตองมการเขารหส Encryption) ท ว งผาน Local Area
Connection เชน IPSec ซ งเปนการใชประโยชนจากการออกแบบในลกษณะ ASIC หรอ Application
Specific Integrated Circuit
- เปนตวปองกน Zone ท มลกษณะของการถกโจมตแบบไมหลากหลาย เน องจากเปน Zone
ของการใหบรการหรอขอรบบรการกบโลกภายนอกแบบคาดเดาได ซ งกคอ Server Farm น นเองซ งกคอ
การเล ยงขอดอยในเร องของความสามารถในการปรบเปล ยนตวเองของ Hardware Firewall ใหเปนไป
ตามความหลากหลายในการจโจม อาจจะกลาวงายๆ ไดวา ความแขงแกรงและความรวดเรวของ
Hardware Firewall เหมาะสมเปนอยางย งกบการปกปองพ*นท สาคญท มการใหบรการในลกษณะของ
การโดนรมลอม ความเรวสงและมรปแบบการใหบรการซ*าๆ อยาง Server Farm มากท สด รปแบบ
จากด
Software Firewall
ขอดของ Software Firewall คอความหลากหลาย และจดน*คอจดแขงของ ไฟรวอลลชนดน* ทาให Software Firewall น *นเหมาะสาหรบการใชงานเพ อ
- เปนประตก *นระหวางผใชงานภายในองคกร กบระบบเครอขายภายนอก เชน อนเตอรเนต
ซ งมวธการจโจมระบบในรปแบบใหม ๆ รายวน ไฟรวอลลท จะมารบมอกบ Thread ตาง ๆ เหลาน*จง
แทบจะตองปรบเปล ยนกนแบบรายวน
- เปนประตก *นระหวา User กบ User ดวยกนเอง เชนก *นระหวาง Wireless LAN User กบ
Wired LAN User เปนตน ซ งจะเนนไปท การทางานรวมกบ User database หรอ Authentication
mechanism อ น ๆ ท จาเปนจะตองอาศย API เขามาเก ยว (Application Program Interface)
43
บทท� 4 การทดลองและผลการทดลอง
ไฟรวอลลจะอาศยอปกรณคอมพวเตอรเคร องหน งเปนดานเขาออกเครอขายและเสมอนกาแพงกนไฟ มซอฟตแวรท ผดแลระบบเครอขายจะตดต *ง และกาหนดรปแบบการอนญาตใหเขาใชระบบเครอขายหนาท ของไฟรวอลลคอเปนตวกรองขอมลส อสารระหวางเขตท เช อถอตางกน เชน อนเทอรเนต (อาจนบเปนเขตท เช อถอไมได) และ อนทราเนต (เขตท เช อถอได) โดยปองกนผใชท ไมพ งปรารถนาเขาถงขอมล บน PC หรอระบบเครอขาย การปดหรอปรบแตง Firewall อาจนาความผดพลาดซ งสงผลทาใหไฟลวอลมชองโหว อาจนาไปสสาเหตของการโจรกรรมขอมลคอมพวเตอรไดซ งสาเหตหลกๆ กจะมาจากโปรแกรมจาพวก Trojan ท อาจฝงเขามาเพ อลวงขอมล
การปองกนการเขาถงระบบ สามารถแบงออกไดเปน 2 ประเภท - Logical Access หมายถง การเขาถงผานระบบ Network เชน ผานระบบ เครอขาย
อนเทอรเนต เปนตน - Physical Access หมายถง การเขาถงในลกษณะถงตวเคร องจรงๆ พดงายๆ คอ การเขาถง
ในลกษณะเดนเขามาใชงาน หรอลกลอบเขามาใชงานถงตวเคร องคอมพวเตอรในระบบ Network น *นๆ 4.1 การรกษาความปลอดภยขอมลสาหรบองคกร
ระบบเครอขายใหบรการขอมลผานระบบโครงขาย และการขยายตวของปรมาณใชงาน อนเตอรเนตเพ อเพ มประสทธภาพการทาธรกจ เปดชวงใหองคกรตางๆ ตองเผชญกบ “ความเส ยง” และปญหาดานความปลอดภยของระบบคอมพวเตอรเพ มข*น ความเสยหายจะเกดข*นกบท *งในสวนท เปนสายโทรศพท และเครอขายส อสารขอมลสงผลกระทบกบประสทธภาพการทางาน และการดแลลกคา ระบบเครอขายขอมลจงเผชญกบภยคกคามใหมๆ มากข*น ทาใหตองเตรยมพรอมรบมอสถานการณไมคอดฝนตางๆ ดวยเพ อรกษาประสทธภาพดานธรกจ การรกษาความปลอดภยระบบคอมพวเตอร สวนใหญองคกรระบวาประสบปญหาการบกรกระบบคอมพวเตอรขององคกร และการเช อโยงเขาสระบบอนเตอรเนต มกเปนชองทางท ถกโจมตมากท สด การโจมตอยางรนแรงเพ มข*น พบวาความพยายามเจาะเขาสระบบจากบคคลภายนอก เน องจากธรกจตางๆ ไดตดต *งระบบอนเตอรเนตไวในองคกร เพ อพฒนากระบวนการส อสารระหวางพนกงาน ลกคา การประสานงานกบคคาใหมประสทธภาพมากข*น ดงน *นหากระบบเคร อขาย ไดรบผลกระทบจากภยคกคามตางๆ ท *งจากภยธรรมชาต การกอวนาศกรรมภายในเครอขาย การขโมยขอมลจากภายนอกองคกร กจะทาใหกระบาวนการการทาธรกจมโอกาศหยดชะงกลง หากการหยดชะงกของธรกจ จะสงผลใหตนทนเพ ม จงจาเปนตองมแผนงานท มประสทธภาพ เพ อชวยแกไขปญหาคาใชจายท เพ มข*น โดยหากบรษทเหนถงโอกาสทางการตลาด ในการนาเสอนระบบงานท สามารถเขาไปจดการปญหาระบบเครอขาย ใหกลบคนสสภาพปกตไดอยางรวดเรว และทางานได
44
ราบร นอยางตอเน อง โดยเฉพาะในกรณท เกดภาวะฉกเฉน ซ งโดยเฉพาะในกลมองคกรใหญ มแนวโนมสนใจการลงทนตดต *งระบบงานท จะสนบสนนการทาธรกจอยางตอเน อง เพ อปองกนความเสยหายของระบบจากความเส ยงตางๆ ยงครอบคลมถงระบบรกษาความปลอดภย และความสามารถในการแกไขระบบเครอขาย และโปรแกรมทางานตางๆ ท ไดรบความเสยหายใหกลบมาทางานตามปกตไดอยางรวดเรว และมประสทธภาพ การใชงานระบบเครอขายคอมพวเตอรขององคกรท วไป คงไมตองการใหผอ นอานเอกสารสาคญ ตองการท จะใหงานท *งหมดท เกบไวในเคร องคอมพวเตอรเปนความลบ ไมวาจะเปนขอมลสวนท เก ยวกบการลงทนหรอขอความในอเมลล ควรจะสามารถม นใจไดวาขอมลเกบไวในเคร องคอมพวเตอร จะยงคงไมเปล ยนแปลงและพรอมใหเรยกใชงานไดตลอดเวลา บางคร *งความเส ยงดานความปลอดภยคอมพวเตอรท เพ มข*นเปนผลมาจากการท ผบกรกตองการนาเอาเคร องคอมพวเตอรไปใชงานเพ อจดประสงคราย แตกมความเส ยงอ นๆ ท เกดข*นแมวาจะไมไดเช อมตอเคร องคอมพวเตอรกบอนเตอรเนตกตาม เชน ความผดพลาดของฮารดดสก การถกลกขโมย กระแสไฟฟาท ใชงานไมเพยงพอ ซ งไมสามารถนาไปใชเพ อลดโอกาสท จะเกดเหตการณเหลาน*ไดท *งหมด มข *นตอนงายๆ ท สามารถนาไปใชเพ อลดโอกาสท จะเกดเหตกาณเหลาน*ได นอกจากน *น บางข *นตอนยงชวยปองกนความเส ยงท อาจจะเกดข*นท *งโดยเจตนาหรอไมเจตนากตามท อาจจะประสบไดอกดวย การปองกนขอมลทางธรกจใหปลอดภยจากการถกโจมตหากไมปองกนระบบคอมพวเตอรและระบบเคร อขายท เช มโยงทกอยางเขาศนยกลางขอมลธรกจ รวมท *งขอมลบรษทท สาคญแลว บคคลใดๆ ท เขาใชคอมพวเตอรไดกจะสามารถทาใหธรกจเสหายได บางคนอาจทาใหไฟลเสยหาย ขโมยขอมลลบ แพรไวรส หรอฝงโปรแกรมขโมยขอมล ระบบท สามารถทางานเองและทาความเสยหายได หากไมมระบบไฟรวอลลสาหรบไวปองกนแลวจะไมทราบเลยวามส งใดเกดข*นบาง และจะทราบกตอเม อเกดข*นทาใหเสยหายแลว 4.2 การทดสอบ ฮารดแวรไฟรวอลล
ในการทดสอบการทางานของ Fortinet Firewall น *นทางผศกษาได ใชอปกรณฮารดแวร ไฟรวอลล เปนรน FortiGate-50B ในการทดสอบ โดยเคร องคอมพวเตอรโนตบค � ตว ในการทดสอบ สาหรบ ลงโปรแกรม Windows 7 ทางผศกษาไดทาการจาลองสถานการณการเช อมตอระบบเครอขายจาลอง ข*นมาเพ อใชจดการกบหมายเลข IP ของเคร องคอมพวเตอรลกขาย ในการควบคม เปด-ปด พอรตตางๆ โดยการเช อมตอน *นจะใช FortiGate-50B ทาหนาท เปนไฟรวอลล (Firewall) และใหคอมพวเตอร 1 เคร องเปนตวควบคมการทางานของ ไฟรวอลล (Firewall) และจะใชคอมพวเตอร ท ลงโปรแกรมวนโดว (Windows) เคร องเดยวกนน*จาลองเปนเคร องคอมพวเตอรลกขายไปในตวดวย
45
รปท 4.1 แสดงการจาลองการทดสอบ ฮารดแวรไฟรวอลล
4.3 การทดสอบซอฟตแวรและโอเพนซอรสไฟรวอลล ในการทดสอบการทางานของโปรแกรมไฟรวอลล น *นทางผศกษาไดใช โปรแกรมวเอมแวร
เวรคสเตช น 7 (Vmware Workstation 7) เพ อจาลองคอมพวเตอร ข*นมาแทนการใช คอมพวเตอรจรงในการทดสอบ โดยม 2 สวน คอ มการจาลองเคร องคอมพวเตอรสาหรบ ลงโปรแกรมไฟรวอลล และมการจาลองเคร องคอมพวเตอรสาหรบลง Windows XP ทางผศกษาไดทาการจาลองสถานการณการเช อมตอระบบเครอขายจาลอง ข*นมาเพ อใชจดการกบหมายเลข IP ของเคร องคอมพวเตอรลกขาย ในการควบคม เปด-ปด พอรตตางๆ โดยการเช อมตอน *นจะใชคอมพวเตอร 1 เคร องทาหนาท เปน ไฟรวอลล (Firewall) และใหคอมพวเตอร 1 เคร องเปนตวควบคมการทางานของ ไฟรวอลล (Firewall) และจะใชคอมพวเตอร ท ลงโปรแกรมวนโดว(Windows) เคร องเดยวกนน*จาลองเปนเคร องคอมพวเตอรลกขายไปในตวดวย
รปท 4.2 แสดงการจาลองการทดสอบ ซอฟตแวรและโอเพนซอรสไฟรวอลล
46
4.4 ทดสอบ ฮารดแวรไฟรวอลล 4.4.1 หนาตางแสดงผลการทางานของ FortiGate-50
ระบตวตนของระบบจะ admin ใหใส Username และ Password เพ อเขาสหนาของ FortiGate Firewall
รปท 4.3 การลอกอนเขาสโปรแกรม
4.4.2 หนาจอของระบบ จะเปนหนาหลกท เขามาจดการทกอยาง ของไฟรวอลล
รปท 4.4 หนาจอโปรแกรม
47
4.4.3 ให FortiGate ทาหนาท แจกเบอรไอพเอง (DHCP) สามารถกาหนดเบอรเร มตนและเบอร ส*นสดท จะแจกได
4.4.3.1 ไปท เมน System DHCP Server สามารถใสเลขไอพ ไดตามตองการ
รปท 4.5 การกาหนด DHCP
4.4.4 การสรางช อเคร อง ตามกลม และหมายเลขไอพ ของเคร อง Client ภายในระบบ 4.4.4.1 ช อเคร องและหมายเลขไอพเคร อง
รปท 4.6 การสรางช อเคร องและหมายเลขไอพ
รปท 4.7 ช อและหมายเลขไอพ
48
4.4.4.2 สรางกลมภายในองคกร
รปท 4.8 ช อกลมและสมาชกในกลม
4.4.5 การกาหนดสทธเวลาใชงานอนเตอรเนตของ Client
4.4.5.1 การสรางใหใชงานไดเฉพาะชวงเวลา
รปท 4.9 สามารถใชงานไดเฉพาะชวงเวลาท กาหนด
รปท 4.10 Client ใชงานอนเตอรเนตไดเฉพาะเวลา 08.00-12.00 น.
49
4.4.6 การบลอกเวบท ไมใหเขาใชงาน
รปท 4.11 วธการบลอกเวบ
รปท 4.12 รายช อเวบท ไมตองการใหใชงาน
4.4.7 การทา User Authentication สาหรบเคร องโนตบค เพราะไมสามารถ ลอกหมายเลขไอพได
รปท 4.13 การสราง User Authentication
50
รปท 4.14 รายช อ User สาหรบ Authentication
4.4.8 การกาหนด Policy ตาง ๆ ตามท ตองการจากหวขอท ผานมา
4.4.8.1 เขาไปท หวขอ Firewall เลอก Policy กด Create New เพ อกาหนด Policy
รปท 4.15 การสราง Policy
4.4.8.2 การกาหนดให Policy Admin สามารถทาอะไรกไดโดยไมไดบลอกอะไร 4.4.8.2.1 Source Interface/Zone เลอก internal 4.4.8.2.2 Source Address เลอก admin 4.4.8.2.3 Destination Interface / Zone เลอก wan1 4.4.8.2.4 Destination Address เลอก all 4.4.8.2.5 Schedule เลอก always 4.4.8.2.6 Service เลอก ANY 4.4.8.2.7 Action เลอก ACCEPT
รปท 4.16 แสดงการสราง Policy ของ admin
51
4.4.8.3 กาหนดให Policy Admin สามารถเขาอนเตอรไดไดเปนชวงเวลา 4.4.8.3.1 เลอกท Schedule จะมใหเลอก 3 คอ morning afternoon always
ดงรปท 4.17
รปท 4.17 กาหนดใหใชงาน อนเตอรเนตไดเปนชวงเวลา
4.4.8.4 กาหนดให PolicyAdmin ไมสามารถเขาเวบไซดท ไมตองการได 4.4.8.4.1 ต�กท UTM ต�กท Enable Web Filter เลอก [Create New..] 4.4.8.4.2 ใสช อชอง Name เปน Block 4.4.8.4.3 Web URL Filter ต�กถก ท *ง 3 ชอง ตรง Option เลอก BlockWeb
รปท 4.18 แสดงการบลอกเวบไซต
52
4.4.8.4.4 ช อเวบไซตตางๆ ท บลอกไมสามารถใชงานได
รปท 4.19 ไมสามารถใชงานเวบไซตท บลอกได
4.4.8.4.5 การ Authentication ช อ User ในการใชงาน อนเตอรเนต
รปท 4.20 การ Authentication ช อ User ในการใชงาน อนเตอรเนต
53
4.5 ทดสอบซอฟตแวรไฟรวอลล 4.5.1 ทดสอบการทางานของ Astaro Security Gateway Systems
4.5.1.1 หนาจอโปรแกรม
รปท 4.21 แสดงหนาตาของโปรแกรม
4.5.1.2 การสราง User and Groups 4.5.1.2.1 สรางช อผใชงาน (User) เขาไปท เมน Definitions&Users
เลอก Users&Groups แลวกกรอกขอมลลงไป
รปท 4.22 การสรางช อผใชงาน
54
รปท 4.23 แสดงรายช อของผใชงาน
4.5.1.2.2 การสรางกลมตามลกษณะการทางาน เลอกแทบ Groups ใน หวขอ Users&Groups
รปท 4.24 การแบงกลมตามลกษณะงาน
รปท 4.25 แสดงรายช อ และ กลมของ User
55
4.5.1.3 การบลอก เวบไซตตางๆ ท ไมตองการใหพนกงานเขาใช
รปท 4.26 แสดงรายช อเวบตางๆ ท ไมตองการใหใช
รปท 4.27 เวบตางๆ ท ไมตองการใหใช ไมสามารถใชงานได
56
4.6 ทดสอบ โอเพนซอรสไฟรวอลล 4.6.1 การทางานของเอนเดรยนไฟรวอลล (Endian Firewall)
4.6.1.1 การบลอก HTTP พอรต 80 โดยผานทาง Proxy
o เขาไปต *งคาท ไฟรวอลล(Firewall) และเขาไปกาหนดคาท เอาท โกอ*ง ทราฟฟค(Outgoing Traffic)
o ทาการเอาเคร องหมายถกตรง Action ของ Rule ออกเพ อทาใหเคร องลกขายท ไมไดทาการต *งคา Proxy ไมสามารถออกอนเตอรเนตได
o เขาไปท) Proxy และเขาไปกาหนดคาท HTTP โดยการกด Enable Proxy o กาหนดคาตรง Allowed ports (from client) นาเอาพอรต 80 ออกไป กจะทาให
เคร องลกขายไมสามารถเขาใชงาน HTTP ท พอรต 80 ไดอกตอไป
รปท 4.28 การบลอก HTTP พอรต 80 โดย Proxy
4.6.1.2 การบลอก FTP พอรต 21 โดยผานทาง Proxy
o เขาไปต *งคาท Firewall และเขาไปกาหนดคาท Outgoing Traffic
o ทาการเอาเคร องหมายถกตรง Action ของ Rule ออกเพ อทาใหเคร องลกขายท ไมได
o ทาการต *งคา Proxy ไมสามารถเขาใช FTP พอรตไดโดยตรง
o เขาไปท Proxy และเขาไปกาหนดคาท HTTP โดยการกด Enable Proxy
o กาหนดคาตรง Allowed ports (from client) นาเอาพอรต 21 ออกไป กจะทาให
เคร องลกขายไมสามารถเขาใชงาน FTP ท พอรต 21 ไดอกตอไป
57
รปท 4.29 การบลอก FTP พอรต 21 โดย Proxy
4.6.1.3 การบลอก HTTPS พอรต 443 โดยผานทาง Proxy
o เขาไปต4งคาท Firewall และเขาไปกาหนดคาท Outgoing Traffic
o ทาการเอาเคร องหมายถกตรง Action ของ Rule ออกเพ อทาใหเคร องลกขายท ไมไดทาการต *งคา Proxy ไมสามารถเขาใช HTTPS พอรตไดโดยตรง
o เขาไปท Proxy และเขาไปกาหนดคาท HTTPS โดยการกด Enable Proxy
o กาหนดคาตรง Allowed SSL ports (from client) นาเอาพอรต 443 ออกไป กจะทาใหเคร องลกขายไมสามารถเขาใชงาน HTTPS ท พอรต 443 ไดอกตอไป
รปท 4.30 การบลอก HTTPS พอรต 443 โดย Proxy
58
4.6.1.4 วธการ Block URL โดย HTTP Proxy : Content Filter o เขาไป Proxy > Configuration แลวกด Enable HTTP Proxy
รปท 4.31 การเปด HTTP Proxy ในหนาตาง Configuration ของ Proxy
o ไปท Contentfilter แลวกด Create a Profile
รปท 4.32 การ Create Profile ในหนาตาง Contentfilter
o ต *งช อ Profile Name แลวใสช อ Web Site ท ตองการจะ Block ลงในชอง Block the
following sites เสรจแลวกดปม Create Profile
รปท 4.33 การต *งช อ Profile Name เพ อใสช อ Website ท ตองการจะ Block
59
o ไปท Access Policy เพ อนทาการเลอก Policy ของ Firewall กด Add access policy
รปท 4.34 การเลอก Policy ของ Firewall ในหนาตาง Access Policy เพ อผานอนเทอรเนต
o เลอก Source Type และ Destination Type เพ อกาหนดตนทางและปลายทางใหกบ
Interface ของ Network และเลอก Access policy เปน Allow access เพ อเปนการยอมรบใหกบ Filter profile ในการทางาน และเลอก Filter profile เปนช อ Profile ท สรางไวแลว ตiกถกตรง Enable policy rule และกด Create policy
Jkhjkl
4.1.1.1 Jhkjhk 4.1.1.2 4.1.1.3 4.1.1.4 Oipi 4.1.1.5
รปท 4.35 การเลอก Source Type และ Destination Type และ Access policy เพ อเปนการกาหนดตนทางปลายทางและเปนการยอมรบใหกบ Filter
60
4.6.1.5 การ Block IP Address โดย Outgoing firewall o เขาไปท Firewall > Outgoing traffic แลวคลก Add a new firewall rule
รปท 4.36 แสดงการต4งกฎเกณฑของไฟรวอลล
o เลอก Source Type เปน Network/IP และใสหมายเลข IP Address ท ตองการ Block ลงไปท ชองดานลาง เลอก Destination Type เปน RED เพ อระบชองทางท จะ Block และเลอก Service/Port ท ตองการจะ Block เชน Service HTTP แลวทาการเลอก Policy Action เปน Deny หรอ Reject เพ อทาให IP Address ท ระบไมสามารถใชบรการ Service/Port ตามท ตองการได แลวกดต�กถก Enabled และกด Create Rule
รปท 4.37 แสดงการใสหมายเลข IP ชนดของพอรต และการระบชองทางท จะ Block
61
4.6.1.6 การ Block MAC Address โดย Outgoing firewall o เขาไปท Firewall > Outgoing traffic แลวคลก Add a new firewall rule
รปท 4.38 แสดงการต *งกฎเกณฑของไฟรวอลล
o เลอก Source Type เปน MAC และใสหมายเลข MAC Address ท ตองการ Block ลงไปท ชองดานลาง เลอก Destination Type เปน RED เพ อระบชองทางท)จะ Block และเลอกService/Port ท ตองการจะ Block เชน Service HTTP แลวทาการเลอก Policy Action เปน Denyหรอ Reject เพ อทาให MAC Address ท ระบไมสามารถใชบรการ Service/Port ตามท ตองการไดแลวกดต�กถก Enabled และกด Create Rule
รปท 4.39 แสดงการใสหมายเลข MAC Address ชนดของพอรต และการระบชองทางท จะ Block
62
4.6.1.7 การทา User Authenticationโดย HTTP Proxy : Authentication
รปท 4.40 เขาไปท Proxy > Authentication
รปท 4.41 เลอก Choose Authentication Method เปน Local Authentication (NCSA) และกด ปม manage users
รปท 4.42 กด Add NCSA User
63
รปท 4.43 ใส Username และ Password แลวกด Create user รปท 4.44 ไปท Access Policy เพ อกาหนดใหใช Authentication โดยทาการ Add Access Policy แลว กาหนดคาตางๆตรง Authentication เลอกเปน user based และชอง Allowed Users ใหทาการเลอก Username ท ตองการอนญาตใหเขาใช และกาหนดคาตางๆตามตองการแลวคลก Create Policy
4.6.1.8 กาหนดใหเคร อง Client ใช Browser เฉพราะตามท กาหนด
รปท 4.45 ไปท Proxy > Access Policy แลวกด Add access policy
รปท 4.46 ตรงสวนของ Useragents? ใหทาการเลอก Browser ท ตองการใหเคร อง Client ใชงานได แลวทาการกาหนดคาตางๆตามตองการ และกดปม Create Policy
64
4.6.1.9 กาหนดใหเคร อง Client สามารถใชงานไดตามเวลาท ตองการ
รปท 4.47 ไปท Proxy > Access Policy แลวกด Add access policy
4.2 ดกเ 4.3 กเหกเhjghj 4.4 4.4.1 Klkj
รปท 4.48 คลก Enable time restrictions แลวเลอกวนท ตองการท ชอง Active days กาหนดเวลาท
ตองการให ใชงานไดท Start hour และ Start minute กาหนดเวลาท ส*นสดใหใชงานท Stop hour
และ Stop minute แลว กาหนดคาตางๆ ตามท ตองการ แลวกด Create Policy
65
4.6.2 ทดสอบการทางานของ ClearOS 4.6.2.1 การ Block URL โดย Content Filter ของ ClearOS
o เขาไปท Gateway > Web Proxy เพ อทาการต *งคา
รปท 4.49 การเขาไปยง Gateway เพ อทาการต *งคา Web Proxy
2.) กดท Status เปน Run และ On Boot เปน Automatic เพ อทาใหใช Web Proxy สามารถ Run อตโนมตเม อเปดเคร องข*นมา
รปท 4.50 การ Run และ On Boot เพ อทาใหใช Web Proxy
66
3.) เล อนลงมาท Web Proxy Mode เลอก Content Filter เปน Enabled แลวกด Update
รปท 4.51 การเปด Content Filter ของ Web Proxy 4.) หลงจากน *นไปท Menu Gateway > Content Filter
รปท 4.52 แสดงหนาตาง Content Filter ตรง Menu Gateway
67
5.) กดท Status เปน Run และ On Boot เปน Automatic เพ อทาใหใช Content Filter สามารถ Run อตโนมตเม อเป ดเคร องข*นมา รปท 4.53 การ Run และ On Boot ใหเปน Automatic เพ อทาใหใช Content Filter สามารถ Run อตโนมต 6.) เล อนลงมาท Site Lists กดท ปม Edit เพ อกาหนดคา
รปท 4.54 การ Edit เพ อกาหนดคาของ Site Lists
68
7.) ท ชอง Banned Site List ใส IP Address หรอ Host Name ของเวบไซตท ตองการ Block ลงไป แลวกด Add
รปท 4.55 ตองการ Block Website โดยการใส IP Address หรอ Host Name ของเวบไซต
4.6.2.2 วธการ Block IP Address โดย Web Proxy 1.) เขาไปท Gateway > Web Proxy เพ อทาการต *งคา
รปท 4.56 การต *งคา Web Proxy
69
2.) กดท Status เปน Run และ On Boot เปน Automatic เพ อทาใหใช Web Proxy สามารถ Run อตโนมตเม อเปดเคร องข*นมา
รปท 4.57 การ Run และ On Boot เพ อทาใหใช Web Proxy 3.) เล อนลงมาท Web Proxy Mode เลอก Content Filter เปน Enabled แลวกด Update
รปท 4.58 การ Update หลงจากการเปด Content Filter
4.) หลงจากน *นไปท Menu Gateway > Content Filter
รปท 4.59 แสดงหนาตางของ Gateway
70
5.) กดท Status เปน Run และ On Boot เปน Automatic เพ อทาใหใช Content Filter สามารถ Run อตโนมตเม อเปดเคร องข*นมา
รปท 4.60 การ Run และ On Boot เพ อทาใหใช Web Proxy
6.) ตรงชอง Configure Global Filter Options กด Edit Banned User / Exempt IP List
รปท 4.61 กด Edit เพ อเขาไปต *งคา Banned User
4.6.2.2 การทา User Authentication โดย Web Proxy
1.) เขาไปท Directory > Users
รปท 4.62 วธการ add user
71
2.) ตรงสวนน*ใสคา user และ password และบอกขอมลตางๆใหเรยบรอย
รปท 4.63 วธการต *งคา user และ password
1.) คลกท ปม Add 2.) เขาไปท Gateway > Web Proxy
รปท 4.64 วธการ Add Web Proxy
72
3.) ตรงสวนน*เลอก User Authentication เปน คา Enabled
รปท 4.65 วธการต *งคาใชงาน User Authentication
4.6.2.3 การ Block หรอ Allow Destination Port ดวย Outgoing Firewall 1.) เขาไปท Firewall > Outgoing
รปท 4.66 วธการเขาไปต *งคา Block/Allow Destination Port ดวย Outgoing Firewall 2.) ทาการเพ ม Destination Port ท ตองการจะ Block หรอ Allow โดยสามารถเพ มไดทละ Port หรอ จะทาการเพ มแบบเปน Port Rang กได จากน *นกดปม Add
1.) ทาการกด Enabled เพ อเปนการส งใชงาน หรอ Disabled เพ อเปนการยกเลกใชงาน และปม Delete เพ อลบ
2.) เลอก Block Mode เพ อใชงานโดย Block all outgoing traffic – specify allowed destinations คอการ Block Port ท ไมได add เพ มเขามาทก Port แต Allow Port ท Add เขามา และ Allowed alloutgoing traffic – specify block destinations คอการ Allow Port ทก Port ท ไมได Add เพ มเขามา แต Block เฉพาะ Port ท ไดทาการ Add เขามาเทาน *น หลงจากน *น กด Update
73
รปท 4.67 แสดงรายละเอยดตางในการใชงาน
74
4.6.3 การทางานของ PFSense Firewall 4.6.3.1 การกาหนด User Authentication
pfSense มคณสมบตเพ อใชสาหรบกาหนด User Authentication กอนการใชงานเวบไซตเรยกวาCaptive Portal สามารถอนญาตระบ MAC Address และ IP Address ใดๆ โดยไมตองทาการ Authen ไดอกดวย หรอจะปรบปรงหนา Authen ใหเปนรปแบบท ตองการกยอมไดเชนเดยวกน
4.6.3.2 ข *นตอนการตดต *งและใชงาน Captive Portal 1. เปดใชบรการ โดยไปท Service > Captive Portsl และทาการกาหนดคาตางๆ ตามขอมลตอไปน*
- Interface: เลอก LAN เพ อเปดใชงาน Captive portal - Maximum concurrent connections: จานวนการโหลดหนา login ไปยง Captive Portal
Server, ไมใชจานวนการ login ของ User ถากาหนดเปน 0 = no limit ถาปลอยวางไวจะโหลดหนา Login ได 4 connect ตอ 1 Client IP Address
- Idle timeout: ถา Client ไมมการใชงาน Internet เปนเวลา xx นาท จะทาการ Disconnect - Hard timeout: บงคบให Dicconnect เม อครบ xx นาท - Logout popup window: Enable logout popup windows กาหนดใหแสดงหนาตางสาหรบ
login / logout - Redirection URL: กาหนดให redirect ไปยงเวบไซตใดๆ เม อ login สาเรจ - Concurrent user logins: Disable concurrent logins ถาเลอกคณสมบตน* จะสงผลให user
ปจจบนถก Disconnect เม อมการ login ดวย user เดยวกนจากเคร องอ นๆ (เก ยวของกบ Maximum concurrent connections)
- Per-user bandwidth restriction: จากดการ download / upload ตอเคร อง - Authentication: เลอก Local user manager
75
รปท 4.68 แสดงการต *งคาตางๆ ของ Captive Portal
2. สรางบญชผใช โดยไปท แถบ User และทาการกาหนด Username & password
รปท 4.69 การสราง ช อและรหสผใชงาน
76
รปท 4.70 แสดงช อผใชงานในระบบ
3. Pass-through MAC ใชในกรณท ตองการกาหนดให MAC Address ใดๆ สามารถใช Internet โดยไมตองผานการ Authentication
รปท 4.71 วธการบลอก MAC Address ของเคร องผใชงาน
รปท 4.72 แสดงหมายเลข MAC Address และรายละเอยดของผใชงาน
77
4. Allowed IP Address ใชในกรณท ตองการกาหนดให IP Address rang ใดๆ ไมตองผานการ Authentication
รปท 4.73 วธการกาหนดให IP Address บางเคร องคอมพวเตอรไมตอง Authentication
รปท 4.74 แสดงช อและรายละเอยดของ หมายเลข IP Address ท ไมตอง Authentication
4.6.3.3 การ Block WebSite ท ไมตองการใชงาน
การปดก *นเวบไซตท ไมพงประสงคตามสานกงานหรอท บาน ถาคณใช pfSense อยแลว สามารถทาไดงาย ๆ ดวยคณสมบต DNS forwarder (Firewall อ นๆ ท มคณสมบตน*กสามารถใชไดเชนเดยวกน)ในทางเทคนคแลวเราสามารถแทนท DNS ภายนอกโดยการเปล ยนเสนทางไปยงเวบไซตหรอ IP Address ตามท เราตองการได ยกตวอยางเชน เวบไซต hotmail.com, hi5.com, และ facebook.com เราจะทาการเปล ยนเสนทางไปยง IP Address 127.0.0.1 (loop back)
78
จากน *นกทาการสราง LAN Rule เพ อ Block Destination คอ 127.0.0.1 เพยงเทาน*กสามารถ Block เวบไซตดงกลาวไดแลวครบ
4.6.3.3.1 สราง DNS forwarder โดยไปท Service > DNS Forwarder
รปท 4.75 หารบลอกเวบท ไมตองการใชงาน
79
4.6.3.3.2 สราง LAN Rule ตามภาพตวอยางครบ เม อสรางเสรจแลวใหเล อนไวอย ตาแหนงบนสด
รปท 4.76 แสดงวธการบลอกเวบไซต
80
4.6.3.3.3 การกาหนด Schedules Schedules เปนหนาสาหรบสรางขอบเขตเวลา โดยส งท อยในหนาน*มนไมไช "กฎ" แตเปนสราง"ตวกากบขอบเขตเวลา" โดยมนจะถกใชรวมกบ Rule ตวตางๆ (ท อยในหนา Rule) เพ อกา หนดใหRuleตวน *น ทางาน(Active)เฉพาะในชวงเวลาน* – ถงเวลาน*
รปท 4.77 เขาหนา Schedules โดยเมน Firewall เลอกSchedules
รปท 4.78 การสรางชวงเวลาในการใชงาน
81
รปท 4.79 วธการสราง Time Schedules
การสราง Time Schedules ท เปนชวงของเวลาท มผใชงานหนาแนน - จะใชช อวา "PrimeTime" - มชวงเวลาต *งแต 5โมงเยน-ถง-ต2 หรอในท น*คอ 17:00น-1:59น - ใหมผลกบทกวน จนทร-อาทตย (Mon-Sun)
รปท 4.80 แสดงรายละเอยดของ Schedules
- Schedule Name = ใหกรอกช อของรายการท ตองการ "PrimeTime" - Description = คาอธบาย - Month = ทกวน จนทร-อาทตย - Time = ใหเราเลอกชวงเวลา แลวกด Add Time
82
4.7 กรณศกษาองคกรท ตดต *งระบบไฟรวอลล
ระบบรกษาความปลอดภยไฟรวอลล เพ มประสทธภาพการใชระบบส อสารขอมลอยางปลอดภย เน องจากเปนองคกรท จาเปนตองใชประโยชนจากขอมลจานวนมากและมสวนงานท กระจายกนอยในหลายพ*นท นอกจากน*ภาคธรกจขนาดเลกและขนาดกลางท เร มนาเทคโนโลยไฟรวอลลเขาไปชวยงานมากข*น เพ อสนบสนนการดาเนนธรกจ
แฮกเกอรสามารถทาอะไรไดบาง ผลท เกดข*นอยกบลกษณะของการโจมต ในขณะท แฮกเกอรบางคนอาจกระทาการ บางอยางเพยงเพ อกอกวนใหเกดความราคาญ เทาน *น แตบางรายอาจต *งใจทาใหเกดความเสยหาย ซ งในกรณน* อาจเปนความพยายามท จะลบขอมลจากเคร องคอมพวเตอรของคณ ทาใหระบบการทางานเสยหาย หรอขโมยขอมลสวนบคคล เชน รหสผาน หรอหมายเลขบตรเครดต แฮกเกอรบางรายไมมเจตนาอ น นอกจากการเจาะเขาไปในเคร องคอมพวเตอรท ไมมการรกษาความปลอดภยท เพยงพอ ไวรส เวรม และมาโทรจนอาจสรางความตกใจใหกบคณ แตคณสามารถลดความเส ยงในการตดไวรสดงกลาวไดดวยการใชไฟรวอลล
ตารางท 4.1 ตารางเปรยบเทยบขององคกรท ใชระบบไฟรวอลล กบองคกรท ไมใชระบบไฟรวอลล
ปญหา มระบบไฟรวอลล ไมมระบบไฟรวอลล
ขอมล กาหนดผใชงาน มการเขารหส กาหนดสทธการแกไขขอมล
ไมมการกาหนดสทธ ใครจะเขากได สามารถเปล นแปลงแกไขขอมลได
ไวรส สามารถปองกนการโจมตของไวรสในระบบลดลง
สามารถเขามาไดทกทาง ทาลายไฟลสาคญของระบบได
Web Site , Web Server
แฮคเกอรไมสามารถเขามาแกไขเปล ยนแปลงหนา Web ได
มการแกไขเปล ยนแปลงจนทาใหไมสามารถใชงาน Web ได
การพฒนาระบบ มความคลองตวในการพฒนาระบบงานใหม มประสทธภาพในการตดตอกบระบบเครอขาย
ระบบเดมไมเช อตอกบระบบภายนอก ถาจะพฒนาใหเช อตอกบระบบภายนอก ตองลาชา
ผใชงาน ใชงานไดเตมท มความเช อม นในระบบงาน
ใชงานไดไมเตมท ไมม นใจกบระบบงานท ใชอย
ธรกจ มความคลองตวทางธรกจ มความเช อม น องคกรมประสทธภาพ
ธรกจมความจาเปนตองพ งพาคอมพวเตอรและระบบสารสนเทศ
กรณศกษาเก ยวกบทางดานการลงทนเลอกระบบไฟรวอลลท เหมาะสมสาหรบระบบเครอขายภายในองคกร
ววฒนาการของเคร องมอรกษาความปลอดภยในเครอขายท พฒนาอยางรวดเรวและตอเน อง จนการลงทนทางดานการรกษาความปลอดภยในเครอขายมความคมคาข*นเร อยๆ
83
จากการท บรษทขนาดใหญตางๆ ไดปองกนเครอขายของตนเองดวยสรรพวธตราบเทาท เทคโนโลยตางๆ จะอานวย ทาใหเหลาแฮกเกอรเหลาน *นเปล ยนเปาหมายจากบรษทใหญขนาดใหญ ไปเปนบรษทหรอสานกงานขนาดเลกกวาแทน ซ งในอดตยงไมมหนวยงานหรอผผลตอปกรณรกษาความปลอดภยเจาใด ท ใสใจตอความเสยหายท จะเกดข*นกบบรษทเลกๆ เหลาน*เลย ไมมการถกเถยง หรอแมแตสรางผลตภณฑท เหมาะสมกบสานกงานขนาดเลก
แตในปจจบนอะไรหลายๆ อยางไดเปล ยนไปแลว ผลตภณฑดานการรกษาความปลอดภยในเครอขาย ตางกเร มออกแบบและสรางอปกรณรกษาความปลอดภยในเครอขายท เหมาะสมสาหรบสานกงานขนาดเลกมากข*น ซ งการปองกนเครอขายในสานกงานขนาดเลกน *น ตองการไฟรวอลลท มความสามารถหลายๆ ดาน และตองมความเหมาะสมกบงานในองคกรน *นๆ ดวย การรกษาความปลอดภยในโลกยคน* ไฟรวอลลดจะเปนตวเลอกท เหมาะสมท สด จนมผเปรยบเทยบไฟรวอลลวาเปน "กาแพงเมองจนสาหรบสงครามสมยใหม" ไฟรวอลลน *นถอไดวาเปนปราการดานแรกสาหรบการปองกนเครอขายท หลายๆ บรษทตองการ แตกยงลงเลอยวามนคมคาท จะลงทนหรอไม ซ งเม อเราวเคราะหชวงเวลาดแลว จะเหนไดวาไมมโอกาสใดๆ ดกวาชวงเวลาน*อกแลว ท ราคาของอปกรณถกลง และความสามารถของมนกลบพฒนามากข*นจนนาประหลาดใจ ในบางคร *งเราอาจจะเจออปกรณท มราคาประมาณ 20,000 - 50,000 หม นบาท ทางานเปนอปกรณชวยรกษาความปลอดภยในเครอขายได โดยสามารถทา VPN และการทางานเพ อรกษาความปลอดภยอ นๆ ไดอกดวย
ความสามารถหน งของไฟรวอลลคอ การทา Network Address Translation (NAT) โดยไฟรวอลลจะเปล ยนหมายเลขไอดแอดเดรส 1 แอดเดรสใหกลายเปนหมายเลขไอพสวนตวหลายๆ ไอพได แตสวนสาคญของไฟรวอลลท ใชในการปองกนระบบกยงเปน Stateful Packet Inspection (SPI) ซ งใชในการต *งกฎ ตางๆ ข*นมาเพ อเปนเง อนไขในการตรวจสอบแพกเกตท ว งผานไปมาในเครอขาย และตดสนใจวาจะใหแพกเกตเหลาน *นผานหรอไมผาน นอกจากน*ไฟรวอลลหลายๆ ตวยงมความสามารถในการตรวจจบผบกรกไดดวย (Intrusion Detection) โดยอาจจะตรวจสอบสญญาณการบกรกจากเฮดเดอร หรอขอมลในแพกเกต และเพ อใหผดแลระบบสามารถทางานไดอยางงายดาย จงควรมหนาจอสาหรบการจดการท ดเรยบงาย แตใชงานไดด โดยอาจสรางอนเทอรเฟชอยในรปของเวบเพจ เปนตน
สาหรบองคกรท มงบประมาณมากหนอย และมความตองการใชงานไฟรวอลลท มประสทธภาพสงกวา กสามารถเลอกซ*อไดในราคา 70,000 - 150,000 หม นบาท โดยความสามารถท ไดเพ มข*นกคอ troughput ท สงกวา ความสามารถในการทาแอพพลเคชนพรอกซ ได ซ งความสามารถน*จะทางานไดเหนอกวา rule-based SPI มากโดยจะสามารถวเคราะหขอมลในเครอขายโดยดจากขอมลพารามเตอรตางๆ ในแอพพลเคชนไดเลย
กอนท จะเลอกซ*อไฟรวอลล ควรพจารณาปจจยตางๆ ใหเรยบรอยกอน เชน ความตองการขององคกรท *งในปจจบนและอนาคต ขนาดขององคกร งานท องคกรทา และการเตบโตของระบบเครอขายในองคกร แลวเลอกซ*อใหเหมาะสม คณลกษณะอนหน งท ควรพจารณาเปนอนดบตนๆ ในการเลอกใชงานไฟรวอลลคอ การใชงานงาย ท *งน*จะข*นอยกบความสามารถของผดแลระบบ วามความรความสามารถ
84
และความเช ยวชาญในอปกรณน *นๆ มากนอยเพยงไร และผดแลระบบมความสามารถทางดานการรกษาความปลอดภยในระบบคอมพวเตอรและระบบเครอขายเปนอยางไร เน องจากอปกรณเหลาน*มหลายๆ สวนท เขาใจยากและจะเปนปญหากบผดแลระบบไดงายๆ
สาหรบผดแลระบบท ไมมประสบการณในการดแลไฟรวอลลเลย ควรเลอกใชไฟรวอลลท มระบบอธบายการทางานและใหความชวยเหลออยางละเอยด เขาใจงาย สวนผดแลระบบท ผานรอนผานหนาวมามาก กอาจไมตองการการต *งคาผานเวบอนเทอรเฟซแตตองการใชงานอนเทอรเฟซแบบ command line ผานโพรโตคอล secure shell แทน ซ งความสามารถน*กมอยใน เม อมองความสามารถหลกของไฟรวอลแลว ส งท ควรนามาพจารณาอกอยางหน งกคอ อปกรณเหลาน *นมการทางานเสรมพเศษอ นๆ อะไรบาง เชน สามารถทางานเปน DHCP server ไดดวยหรอไม สามารถเกบขอมลจาก DNS provider สาหรบการทา Dynamic DNS ไดหรอไม ย งถาองคกรไหนท ตองการความแนนอนในการใชงานซ งตองไมมชวงเวลาท ขาดการตดตอเลย และถาตองการความสามารถในการทา fail-over ดวยแลวละก อปกรณท ม WAN พอรต 2 พอรตและมพอรตอนกรมสาหรบตอโมเดมกเปนทางเลอกท นาสนใจ สวนไฟรวอลลอ นๆ
การทางานของแอพพลเคชนใดๆ ท ตองทางานผานเครอขาย ตองสามารถทางานรวมกบอปกรณไฟรวอลลไดอยางไมมปญหา โดยไฟรวอลลท ใชงานอยตองสามารถเลอกพอรต TCP และ UDP ไดอตโนมต และตองสามารถแบงแยกทราฟฟกในเครอขายได ถาตองการใชงานพเศษอ นๆ ยกตวอยางเชน การทา video conference ซ งจาเปนตองใชไฟรวอลล ท สามารถทา dynamic port opening ได เปนตน
จากผลตภณฑตางๆ ท ไดสรปมาใหเปนแบบอยางผลตภณฑท เหมาะสมสาหรบสานกงานขนาดเลกต *งแต 20 - 50 คน โดยราคาจะอยในชวง 20,000 - 50,000 หม นบาท มความสามารถในการทา NAT และ SPI ได และบางชนดสามารถทา VPN ไดดวย ซ งสาหรบกรณของ VPN น *นเราจะไมเนนในบทความน*เน องจาก VPN เปนความสามารถท อยนอกเหนอจากหนาท หลกของไฟรวอลล สาหรบองคกรท มพนกงานต *งแต 50-500 คนควรเลอกไฟรวอลลท มขนาดและความสามารถเพ มมากข*นอก ควรเลอกไฟรวอลลท มขนาด 1U ถง 2U โดยจะมราคาอยในชวง 70,000 - 300,000 หม นบาท แตสาหรบสานกงานขนาดเลก กควรเลอกอปกรณท มราคาถกลงมากอก แตมความสามารถเหมาะสม ซ งอาจเปน Broad-Band router ท ม SPI Firewall ในตว ซ งราคาจะอยท ประมาณ 20,000 - 50,000 หม นบาท ไฟรวอลลจะกลายเปนสวนหน งในระบบเครอขายของสานกงานขนาดเลกซ งผเช ยวชาญไดใหคาแนะนาวา เพ อใหระบบปลอดภยย งข*น ไฟรวอลลควรจะมระบบพสจนตน (Authentication) ท ด มความสามารถในการตรวจจบสญญาณการบกรกและสามารถปองกนการบกรกได รวมถงมระบบปองกนไวรส และมความสามารถในการกรองขอมลตางๆ (content filtering) ไดดวย
85
4.8 การลงทนไฟรวอลลสาหรบเครอขายขนาดเลก
ระบบเครอขายขนาดเลก เปนระบบท ใชในองคกรขนาดเลก ท มจานวนเคร องคอมพวเตอรไมมาก
รปท 4.81 แสดงรายละเอยดของ ระบบเครอขายขนาดเลก
4.8.1 การเช อมตอแบบน* จะตดต *งงายและถกท สด โดยในการสรางระบบเครอขายน *น เรา
เพยงแคกาหนดอยแคสองสวนคอ คา IP Address เคร องคอมพวเตอรทกเคร องใหอยในกลมเดยวกน และเช อมตอมายง Hub/Switch โดยมเคร อง 1 เคร อง(ท ตอโมเดมอย) เปนเคร องท เช อมตอไปยงเครอขายอนเทอรเนต แลวทาการเปดบรการ Internet Connection Sharing (ICS) เพ อทาการแชรอนเทอรเนตใหเคร องลกขายภายในเวรกกรป (Workgroup) เดยวกน การเช อมตอลกษณะน*เหมาะสมสาหรบองคการท มแผนกเดยว
4.8.2 เปนรปแบบเครอขายตามบานท อยอาศยตามปกต ซ งม isp เปนผใหบรการ
อนเทอรเนต โดยผใชท จะใชบรการตองมอปกรณ รบสญญาณเครอขาย กคอ เราเตอร [Router] เปนตวเราใหเรา สามารถใชอนเทอรเนตไดในเครอขายภายในบาน ในกรณท มเคร องหลายๆเคร องในเครอขายจาเปนจะตองม Switch เพ อขยายชองและสญญาณของอนเทอรเนตใหกบเครอง Client ไดใชงานกนทกเคร อง ในตวอยางจะแสดงใหเหนถงเครอขายท ม การใชงานไอพแอดแดรส สองวงดวยกน วงแรกจะ Config ใหกบเคร อง PC วงท สองจะเปนในสวนของ การใชอนเทอรเนตสญญาณ wireless ผาน Access point
86
รปท 4.82 แสดงรายละเอยดของ ระบบเครอขายขนาดเลกแบบ NAT
4.8.3 NAT ยอมาจากNetwork Address Translation เปนวธการเปล ยนแปลงไอพจรงมา
เปนไอพปลอม หรอเปล ยนจากไอพปลอมวงหน งไปเปนไอพปลอมอกวงหน งโดยในการทา NAT น *น เราตดต *งระบบ Windows Server 2000/2003 แลวเปดบรการ NATสวนมการตดต *ง LAN CARD สองใบ โดยใบแรกตออยกบ ADSL(ขานอก-eth0) สวนใบท สองตอเขากบ Hub/Switch (ขาใน-eth1)เพ อจายไอพใหเคร องลกเคร องอ นๆ วธน*จะเปนไอพเครอขายAntiVirus หรอ Firewall ปองกนอนตรายตางๆ กอนเขาสเคร องลกขายได จะวาไปแลว กเปนการลงทน ท ไมมมากมายอะไร เพราะเคร องซพในปจจบนราคาถกลงมาก 4.9 การลงทนไฟรวอลลสาหรบเครอขายขนาดกลาง
4.9.1 เปนระบบเครอขายท มจานวนเคร องลกขายท มากข*น และตองการความงายในการ ควบคม ดแล ระบบเครอขายขนาดกลางจะเร มมการตดต *งเคร องเซรฟเวอรใชงานเองภายในองคกรเปนรปแบบเครอขายขนาดกลาง ยกตวอยางเชน บรษทหรอออฟฟศ ท มการใชงานเครอขายเปนแผนก หรอกลมการใชงาน โดยจะมการใชบรการจาก ผใหบรการอนเทอรเนต isp โดยม server คอยใหบรการจาพวก service ท เก ยวกบการ ควบคมการจดสรร ไอพแอดแดรสใหกบเคร องในเครอขาย มการเกบ Log File รวมถง Security เชน antivirus , firewall เปนตน รปแบบการจดสรร ไอพแอดแดรส กแบงไปตามกลมการใชงาน เพ อท จะไดสะดวกในการ ดแล ควบคม Maintanance บรหารจดการเคร องหรอระบบไดงาย
87
รปท 4.83 แสดงรายละเอยดของ ระบบเครอขายขนาดกลาง
4.10 การลงทนไฟรวอลลสาหรบเครอขายขนาดใหญ
เปนระบบเครอขายท มเคร องลกขายจานวนมาก และอาจมการแบงเครอขายเปนสวนยอย ๆ 4.10.1 เปนรปแบบของเครอขายขนาดใหญ ยกตวอยางเชน องคกรขนาดใหญท มการ แชร
ขอมลผานอนเทอรเนตหรอเช อมตอระบบงานจากบรษทแมไปยงบรษทลก โดยเครอขายถกจดการบรหารโดยกลม server จะคอยบรการใหแตละแผนก ไดใชและแชรขอมลกนอยางเปนระบบ และลดความผดพลาดในการซ*าซอนของขอมล ซ ง server จะคอยควบคมในทกๆข *นตอนการตดตอ ระหวาง องคกรเปนอยางด ท *งน*เพ อประหยดเวลาในการ รบสงขอมลและลดปญหาเร องความผดพลาดและบคลากรในการทางาน สวนเร องการดแลไมมปญหาอะไรมากนะ เพราะ เคร องสวนใหญจะอยเปนท จะมระบบบรการของ server เทาน *น ท ตองคอยตรวจสอบอยเสมอๆ หากเกดความผดพลาด จะไดแกไขเปนจดๆไป
88
รปท 4.84 แสดงรายละเอยดของ ระบบเครอขายขนาดใหญ
89
บทท� 5 สรปผลการทดลองและขอเสนอแนะ
การศกษาโปรแกรมไฟรวอลล ฮารดแวรไฟรวอลล ซอฟตแวรไฟรวอลล และโอเพนซอรสไฟร
วอลล ในการประยกตใชงาน เพ อรกษาความปลอดภยของขอมลและตรวจสอบผบกรกทางเครอขายนอกจากน *นยงจากดการใชงานของผใชเพ อใหมประสทธภาพมากย ง ข*น กลมผศกษาสามารถสรปผลการทางานไดดงน* 5.1 สรปผลการศกษา
หลงจากท ไดศกษาการศกษาโปรแกรมไฟรวอลล ฮารดแวรไฟรวอลล ซอฟตแวรไฟรวอลล และโอเพนซอรสไฟรวอลล เพ อนาเสนอแนวทางการนาเอาระบบไฟรวอลล มาใชงานกบองคกรตางๆ เพ อความเหมาะสมและมประสทธภาพสงสดและ เพ อนาเสนอแนวทางการลงทนเลอกระบบไฟรวอลลใหเหมาะสมกบขนาดขององคกรตางๆ สามารถสรปผลการใชงานของระบบไดดงน*
ตารางท 5.1 แสดงการเปรยบเทยบไฟรวอลล
รายละเอยด ฮารดแวร ซอฟตแวร โอเพนซอรส เครอขายขนาดเลก เหมาะสม ไมเหมาะสม เหมาะสม เครอขายขนาดกลาง เหมาะสม เหมาะสม เหมาะสม เครอขายขนาดใหญ เหมาะสม เหมาะสม ไมเหมาะสม คาใชจาย ฮารดแวร + ประกน ซอฟตแวร + ประกน เปนโอเพนซอรส คณภาพ มมาตราฐาน มมาตราฐาน อปกรณ ท 2 การรบสงขอมล แลวแตอปกรณ ข*นอยกบฮารดแวร ข*นอยกบฮารดแวร
1) ฮารดแวรไฟรวอลล เหมาะสมและสามารถรองรบต *งแต องคกรขนาดเลก จนถงองคกร
ขนาดใหญ เพราะสามารถเลอกรนและอปกรณได และความสามารถใหรองรบไดคลอบคลม ท *งในเร องราคาสามารถเลอกได และคา Throughput (การรบสงขอมลจากปลายหน งไปยงอกปลายหน งไดดวยอตราเทาไรในจานวนบต ชองสญญาณของผสงตอกบผรบมลกษณะการสงรวมกบผอ น)
2) ซอฟตแวรไฟรวอลล เหมาะสมและสามารถรองรบต *งแต องคกรขนาดกลาง จนถงองคกรขนาดใหญ ท *งในเร องราคาสามารถเลอกได และคา Throughput (การรบสงขอมลจากปลายหน งไปยงอกปลายหน งไดดวยอตราเทาไรในจานวนบต ชองสญญาณของผสงตอกบผรบมลกษณะการสงรวมกบผอ น)
90
3) โอเพนซอรสไฟรวอลล มความเหมาะสมสาหรบ องคกรขนาดเลกมากกวา เพราะดวยระบบท เปนโอเพนซอรสความเปนมาตราฐานและความปลอดภย สาหรบการรองรบคา Throughput (การรบสงขอมลจากปลายหน งไปยงอกปลายหน งไดดวยอตราเทาไรในจานวนบต ชองสญญาณของผสงตอกบผรบมลกษณะการสงรวมกบผอ น) จานวนปรมาณท มากยงไม เหมาะสม
4) การเลอกลงทนตดต *งระบบไฟรวอลลสาหรบองคกรน *น จะตองเสยคาใชจายมาก หรอนอย น *น ข*นอยกบความสาคญขอมลท ตองการเกบเปนความลบและมความสาคญตอองคกรมากนอยเพยงใด รวมถงประเภทของธรกจท ดาเนนการดวย 4.1 หากขอมลน *นมความสาคญและเปนเปนความลบตอองคกรมาก กจาเปนท จะตองมการลงทนในการตดต *งระบบไฟรวอลลท มราคาสงและปองกนระบบหลายช *น เพ อความปลอดภยของขอมลและระบบเครอขายภายในองคกร เชนธนาคารตองเกบขอมลท เปนความลบและมความสาคญมาก อาจเปนขอมลความลบของลกคาท มความสาคญมากหรอขอมลของธนาคารเองท มความสาคญมาก ถาถกขโมยขอมลหรอถกทาลายขอมลจะทาใหเกดความเสยหายแกธนาคารและระบบเครอขายของธนาคารอยางมาก ดงน *นการตดต *งระบบไฟรวอลลจงจาเปนตองมความปลอดภยสงสดและมประสทธภาพมากท สด ทาใหตองเสยคาใชจายในการตดต *งระบบไฟรวอลลสง 4.2 หากขอมลน *นมความสาคญไมมากนก กไมจาเปนตองมการลงทนในการตดต *งระบบไฟรวอลลในราคาท สง ควรจะเลอกระบบไฟรวอลลท พอเหมาะสมกบระบบเครอขายขององคกร อาจใชพวกโอเพนซอรสไฟรวอลล หรอฮารดแวร – ซอฟตแวรไฟรวอลล รนต าๆ ไดเชนกน เชน บรษทอาจจะเกบขอมลของสนคา หรอขอมลลกคา ถาเกดมการขโมยขอมลหรอถกทาลายขอมล ไมคอยมผลกระทบกบบรษทหรอระบบเครอขายของบรษทมากนก อาจจะไมจาเปนตองตดต *งระบบไฟรวอลลท มราคาสงเพราะอาจจะไมคมกบการลงทนมผล
ตารางท 5.2 สรปเปรยบเทยบคณสมบตและความสมารถตางๆ ของไฟรวอลล ไฟรวอลล
คณสมบต FortiGate 50B Astaro Security Endian ClearOS PFSense
DHCP Server � � � � � Time Schedule � � � � � Block Web � � � � � Block Port � � � � � Block IP Address � � � � � Block Mac Address � � � � � User Authentication � � � � �
91
5) คาอธบายตารางสรปเปรยบเทยบคณสมบตและความสมารถตางๆ ของไฟรวอลล 5.1 DHCP Server – คอการเปรยบเทยบความสามารถในการใหบรการแจกจายหมายเลข IP
Address ใหกบเคร องลกขาย 5.2 Time Schedule - คอการเปรยบเทยบประสทธภาพในการจากดการใชงานในเครอขายโดยระบเวลา การเขาใชงาน 5.3 Block Web - คอการเปรยบเทยบประสทธภาพในการจากดการใชงานเวบไซต ตางๆ (HTTP) รวมถงการจากดการใชงานเวบไซตท ถกเขารหส (HTTPS) และสามารถระบบเปนช อ Web Site ไดดวย 5.4 Block Port - คอการเปรยบเทยบประสทธภาพในการจากดการใชงาน พอรตท ไมตองการใหใชงาน เชน FTP,SMTP,POP3,RDP เปนตน 5.5 Block IP Address - คอการเปรยบเทยบประสทธภาพในการจากดการใชงานเครอขายโดยระบ IP Address 5.6 Block Mac Address - คอการเปรยบเทยบประสทธภาพในการจากดการใชงานเครอขายโดย ระบ MAC Address 5.7 User Authentication - คอการเปรยบเทยบประสทธภาพในการจากดการใชงานเครอขายโดยระบ User 5.2 ปญหาและอปสรรค
หลงจากท ไดศกษาการศกษาโปรแกรมไฟรวอลล ในคร *งน*ผศกษาไดพบวามการปญหา แบงปญหาออกไดดงน*
1.) เน องจากระบบไฟรวอลลแตละตวอยางท นามาศกษาน *นคอนขางท จะมปญหาอยบอยคร *ง ท *งเร องการรวนของระบบฮารดแวรและความไมสมบรณของอปกรณท ใชทดสอบระบบ
2.) ผศกษาไมคอยมความรเก ยวกบโปรแกรม Firewall ในบางตวอยาง จงทาใหไมสามารถไชงานไดทกฟงช น
3.) ในการศกษาไมคอยมคมอหรอหนงสอในการบอกวธใชงานและการต *งคา ผศกษาจงจาเปนตองลองผดลองถก และการหาตวชวยจากผรหลายๆวธ
4.) ปญหาในการใชงานของโปรแกรม โปรแกรมวเอมแวร เวรคสเตช น � ในสวนของการเซตคา การดแลน ใหสามารถมองเหนและการสงของมล ระหวางโปรแกรมไฟรวอลล บางคร *งอาจตอง รเซตหรอรสตารท โปรแกรมไฟรวอลลหรออาจจะตองตดต *งใหมต *งแตแรกดวย
92
5.3 ขอเสนอแนะ หลงจากท ไดศกษาการโปรแกรมไฟรวอลล ในคร *งน*ผศกษาไดมการเพ มเตม สวนท คดวาควร
จะมการเพ มเตมน *น เพ อใหเกดความสมบรณและนาเช อน *นไดมขอเสนอแนะดงตอไปน* 1.) โปรแกรมไฟรวอลลท เปนโอเพนซอรสไฟรวอลล แตละตวสามารถดาวนโหลดฟร โดยไมเสย
คาใชจาย ดงน *นผศกษาระบบจะตองมความรและเขาใจระบบของไฟรวอลลข *นพ*นฐานมาเปนอยางด เพ อท จะไดใชงานและพฒนา โปรแกรมอยางคลองแคลวและรวดเรว
2.) ในการศกษาโปรแกรมไฟรวอลลของผจดทาเปนเพยงแคสวนหน งเทาน *นเอง สามารถนาไปตอยอดไดหลากหลายวธ อยางเชนการเปรยบเทยบในสวน VPN เปนตน หรออาจจะเปรยบเทยบ ไฟรวอลลรนใหมกวา รนท มคณภาพ ระดบ Enterprise เปนตน
3.) การลงทนเลอกระบบไฟรวอลลสาหรบองคกร ควรจะดความสาคญของขอมลและเหมาะสมของระบบเครอขายภายในองคกร ตองดวาจะใชงานคมคาท ลงทนหรอเปลา
4.) มการจดทานโยบายเก ยวกบการรกษาความปลอดภยบนระบบเครอขาย มแนวทางในการปฏบตท ชดเจน และมความเขมงวดในการปฏบตตามขอกาหนด
93
เอกสารอางอง [1] จตชย แพงจนทร,อนโชต วฒพรพงษ “เจาะระบบ network ฉบบสมบรณ” , ไอดซ อนโฟ ดสทร
บวเตอร จากด , พ.ศ. ���� [2] เรองไกร รงสพล , “เปดโลก Firewall และ Internet Security“ ,บรษท โปรวช น จากด ,
พ.ศ.2544 [3] ภวดล ดานระหาญ ,http://www.itcomza.com/dekcom/forum.php?mod=viewthread&tid=1 290&extra=page%3D6,
2 ตลาคม 2544 [4] http://www.it-guides.com/index.php/training-a-tutorial/network-system/110-type-of-firewall
