วันเสาร์ที่ 31 สิงหาคม พ.ศ. 2556

ความรู้เบื้องต้นเกี่ยวกับ Firewall และชนิดของ Firewall (อ้างอิงจาก ThaiCERT)


Firewall คืออะไร

Firewall นั้นหากจะแปลตรงตัวจะแปลว่ากำแพงไฟ แต่ที่จริงแล้ว firewall นั้นเป็นกำแพงที่มีไว้เพื่อป้องกันไฟโดยที่ตัวมันเองนั้นไม่ใช่ไฟตามดังคำ แปล firewall ในสิ่งปลูกสร้างต่างๆนั้นจะทำด้วยอิฐเพื่อแยกส่วนต่างๆของสิ่งปลูกสร้างออก จากกันเพื่อที่ว่าในเวลาไฟไหม้ไฟจะได้ไม่ลามไปทั่วสิ่งปลูกสร้างนั้นๆ หรือ Firewall ในรถยนต์ก็จะเป็นแผ่นโลหะใช้แยกส่วนของเครื่องยนต์และส่วนของที่นั่งของผู้ โดยสารออกจากกัน

ในเครือข่าย Internet นั้น firewall อาจถูกใช้สำหรับป้องกันไม่ให้ "ไฟ" จากเครือข่าย Internet ภายนอกลามเข้ามาภายในเครือข่าย LAN ส่วนตัวของท่านได้ หรืออาจถูกใช้เพื่อป้องกันไม่ให้ผู้ใช้ใน LAN ของท่านออกไปโดน "ไฟ" ในเครือข่าย Internet ภายนอกได้

ตามคำจำกัดความแล้ว firewall หมายความถึง ระบบหนึ่งหรือกลุ่มของระบบที่บังคับใช้นโยบายการควบคุมการเข้าถึงของระหว่าง เครือข่ายสองเครือข่าย โดยที่วิธีการกระทำนั้นก็จะแตกต่างกันไปแล้วแต่ระบบ แต่โดยหลักการแล้วเราสามารถมอง firewall ได้ว่าประกอบด้วยกลไกสองส่วนโดยส่วนแรกมีหน้าที่ในการกั้น traffic และส่วนที่สองมีหน้าที่ในการปล่อย traffic ให้ผ่านไปได้

 

ประเภทของ Firewall

Firewall โดยทั่วไปจะถูกแบ่งออกเป็น 2 ประเภทคือ firewall ระดับ network (network level firewall) และ firewall ระดับ application (application level firewall)ก่อนที่ Firewall ระดับ network จะตัดสินใจยอมให้ traffic ใดผ่านนั้นจะดูที่ address ผู้ส่งและผู้รับ และ port ในแต่ละ IP packet เมื่อพิจารณาแล้วเห็นว่า traffic สามารถผ่านไปได้ก็จะ route traffic ผ่านตัวมันไปโดยตรง router โดยทั่วไปแล้วก็จะถือว่าเป็น firewall ระดับ network ชนิดหนึ่ง firewall ประเภทนี้จะมีความเร็วสูงและจะ transparent ต่อผู้ใช้ (คือผู้ใช้มองไม่เห็นความแตกต่างระหว่างระบบที่ไม่มี firewall กับระบบที่มี firewall ระดับ network อยู่) การที่จะใช้ firewall ประเภทนี้โดยมากผู้ใช้จะต้องมี IP block (ของจริง) ของตนเอง

Firewall ระดับ application นั้นโดยทั่วไปก็คือ host ที่ run proxy server อยู่ firewall ประเภทนี้สามารถให้รายงานการ audit ได้อย่างละเอียดและสามารถบังคับใช้นโยบายความปลอดภัยได้มากกว่า firewall ระดับ network แต่ firewall ประเภทนี้ก็จะมีความ transparent น้อยกว่า firewall ระดับ network โดยที่ผู้ใช้จะต้องตั้งเครื่องของตนให้ใช้กับ firewall ประเภทนี้ได้ นอกจากนี้ firewall ประเภทนี้จะมีความเร็วน้อยกว่า firewall ระดับ network บางแหล่งจะกล่าวถึง firewall ประเภทที่สามคือประเภท stateful inspection filtering ซึ่งใช้การพิจารณาเนื้อหาของ packets ก่อนๆในการที่จะตัดสินใจให้ packet ที่กำลังพิจารณาอยู่เข้ามา

 

ขีดความสามารถของ Firewall

ขีดความสามารถของ firewall ทั่วๆไปนั้นมีดังต่อไปนี้

ป้องกันการ login ที่ไม่ได้รับอนุญาตที่มาจากภายนอกเครือข่าย

ปิดกั้นไม่ให้ traffic จากนอกเครือข่ายเข้ามาภายในเครือข่ายแต่ก็ยอมให้ผู้ที่อยู่ภายในเครือข่ายสามารถติดต่อกับโลกภายนอกได้

เป็นจุดรวมสำหรับการรักษาความปลอดภัยและการทำ audit (เปรียบเสมือนจุดรับแรงกระแทกหรือ \"choke\" ของเครือข่าย)

 

ข้อมูลจำกัดของ Firewall

ข้อจำกัดของ firewall มีดังต่อไปนี้

• firewall ไม่สามารถป้องกันการโจมตีที่ไม่ได้กระทำผ่าน firewall (เช่น การโจมตีจากภายในเครือข่ายเอง)

ไม่สามารถป้องกันการโจมตีที่เข้ามากับ application protocols ต่างๆ (เรียกว่าการ tunneling) หรือกับโปรแกรม client ที่มีความล่อแหลมและถูกดัดแปลงให้กระทำการโจมตีได้ (โปรแกรมที่ถูกทำให้เป็น Trojan horse)

ไม่สามารถป้องกัน virus ได้อย่างมีประสิทธิภาพเนื่องจากจำนวน virus มีอยู่มากมาย จึงจะเป็นการยากมากที่ firewall จะสามารถตรวจจับ pattern ของ virus ทั้งหมดได้

ถึงแม้ว่า firewall จะเป็นเครื่องมือที่สามารถนำมาใช้ป้องกันการโจมตีจากภายนอกเครือข่ายได้ อย่างมีประสิทธิภาพ การที่จะใช้ firewall ให้ได้ประโยชน์สูงสุดนั้นจะขึ้นอยู่กับนโยบายความปลอดภัยโดยรวมขององค์กร ด้วย นอกจากนี้ แม้แต่ firewall ที่ดีที่สุดก็ไม่สามารถนำมาใช้แทนการมีจิตสำนึกในการที่จะรักษาความปลอดภัย ภายในเครือข่ายของผู้ที่อยู่ในเครือข่ายนั้นเอง

 

ที่มา

http://www.tnetsecurity.com/content_attack/firewall_basicknowledge.php

 

 
เขียนโดย ที่ ไม่มีความคิดเห็น:

VPN คืออะไร

VPN หรือ Virtual Private Network หมายถึง เครือข่ายเสมือนส่วนตัว ที่ทำงานโดยใช้ โครงสร้างของ เครือข่ายสาธารณะ หรืออาจจะวิ่งบน เครือข่ายไอพีก็ได้ แต่ยังสามารถ คงความเป็นเครือข่ายเฉพาะ ขององค์กรได้ ด้วยการ เข้ารหัสแพ็กเก็ตก่อนส่ง เพื่อให้ข้อมูล มีความปลอดภัยมากขึ้น
        อย่างไรก็ดี คำว่า VPN จะครอบคลุมทั้งอุปกรณ์ฮาร์ดแวร์ (เช่น Gateway และ Router), ซอฟต์แวร์ และส่วนที่เป็นไฟร์วอลล์

การเข้ารหัสแพ็กเก็ต เพื่อทำให้ข้อมูล มีความปลอดภัยนั้น ก็มีอยู่หลายกลไกด้วยกัน ซึ่งวิธีเข้ารหัสข้อมูล (encryption) จะทำกันที่เลเยอร์ 2 คือ Data Link Layer แต่ปัจจุบัน มีการเข้ารหัสใน IP Layer โดยมักใช้เทคโนโลยี IP Sec (IP Security)
ปกติแล้ว VPN ถูกนำมาใช้กับองค์กรขนาดใหญ่ ที่มีสาขาอยู่ตามที่ต่างๆ และต้องการ ต่อเชื่อมเข้าหากัน โดยยังคงสามารถ รักษาเครือข่ายให้ใช้ได้เฉพาะ คนภายในองค์กร หรือคนที่เกี่ยวข้องด้วย เช่น ลูกค้า, ซัพพลายเออร์ เป็นต้น
นอกจากนี้แล้ว กลไกในการสร้างโครงข่าย VPN อีกประเภทหนึ่ง คือ MPLS (Multiprotocal Label Switch) เป็นวิธีในการส่งแพ็กเก็ต โดยการใส่ label ที่ส่วนหัว ของข้อความ และค่อยเข้ารหัสข้อมูล จากนั้น จึงส่งไปยังจุดหมายปลายทาง เมื่อถึงปลายทาง ก็จะถอดรหัสที่ส่วนหัวออก วิธีการนี้ ช่วยให้ผู้วางระบบเครือข่าย สามารถแบ่ง Virtual LAN เป็นวงย่อย ให้เป็น เครือข่ายเดียวกันได้
ตัวอย่างเช่น บริษัท A ก็จะได้ VPN label A ที่หัวข้อความ ของทุกแพ็กเก็ต บริษัท B ได้รหัสที่หัวข้อความเป็น B เพื่อส่งข้อมูล ข้อมูลที่ส่งออกไป ก็จะวิ่งไปหาปลายทางตาม Label ของตน ซึ่งผู้วางระบบ สามารถเพิ่มกลุ่มในวง VLAN ได้อย่างไม่จำกัด
       
รูปแบบบริการ VPN
           บริการ VPN แบ่งออกเป็น 3 รูปแบบ
1. Access VPN : เป็นรูปแบบในการเข้าถึงเครือข่าย VPN จากอุปกรณ์เคลื่อนที่ต่างๆ ซึ่งสามารถเข้าถึงเครือข่ายได้ใน 2 ลักษณะ โดยลักษณะแรก เป็นการเข้าถึงจากไคลเอ็นต์ใดๆ ก็ได้ โดยอาศัย ผู้ให้บริการอินเทอร์เน็ต เป็นตัวกลาง ในการติดต่อ ซึ่งจะมีการเข้ารหัสในการ ส่งสัญญาณ จากเครื่องไคลเอ็นต์ ไปยังไอเอสพี และลักษณะที่สอง เป็นการเข้าถึง จากเครื่องแอ็กเซสเซิร์ฟเวอร์ (Network Access Server-NAS) โดยเริ่มต้นจาก ผู้ใช้หมุนโมเด็ม ติดต่อมายังไอเอสพี และจากนั้น จะมีการเข้ารหัสข้อมูล และส่งต่อไปยังปลายทาง
2. Intranet VPN : เป็นรูปแบบในการเข้าถึงเครือข่าย VPN ที่ใช้เฉพาะภายในองค์กรเท่านั้น อาทิ การต่อเชื่อมเครือข่าย ระหว่างสำนักงานใหญ่ในกรุงเทพฯ และสาขาย่อย ในต่างจังหวัด เสมือนกับ การทดแทน การเช่าวงจรลีสไลน์ ระหว่าง กรุงเทพกับต่างจังหวัด โดยที่แต่ละสาขา สามารถ ต่อเชื่อมเข้ากับ ผู้ให้บริการอินเทอร์เน็ต ในท้องถิ่นของตน เพื่อเชื่อมเข้า โครงข่าย VPN ขององค์กรอีกทีหนึ่ง
3. Extranet VPN : เป็นรูปแบบในการเข้าถึงเครือข่าย ที่คล้ายกับ Intranet VPN แต่มีการขยายวงออกไป ยังกลุ่มลูกค้า ซัพพลายเออร์ และพาร์ตเนอร์ เพื่อให้ใช้เครือข่ายได้ จุดสำคัญอย่างหนึ่ง ในการเลือกติดตั้ง VPN คือ การเลือกผู้ให้บริการอินเทอร์เน็ต ที่วางระบบรักษาความปลอดภัย เป็นอย่างดี มีส่วนอย่างมาก ในการส่งข้อมูลบน VPN ให้ปลอดภัยมากยิ่งขึ้น เพราะถ้า ไอเอสพี มีระบบรักษาความปลอดภัย ที่รัดกุม ก็จะช่วยให้ ข้อมูลที่ส่งมา มีความปลอดภัยมากขึ้น

ประโยชน์ที่ได้รับจาก VPN
ประโยชน์ของ การติดตั้งเครือข่ายแบบ VPN จะช่วยองค์กร ประหยัดค่าใช้จ่าย เพราะไม่ว่าผู้ใช้องค์กร จะอยู่ที่ใดในโลก ก็สามารถเข้าถึง เครือข่าย VPN ของตนได้ โดยการต่อเชื่อม เข้ากับ ผู้ให้บริการท้องถิ่นนั้นๆ ทำให้ช่วยลด ค่าใช้จ่าย ในการติดต่อสื่อสาร และสามารถ ลดค่าใช้จ่ายในส่วนของ การดูแลรักษาระบบอีกด้วย นอกจากนี้ ระบบเครือข่าย VPN ยังสามารถ ให้ความคล่องตัว ในการเปลี่ยนแปลง เช่น การขยายเครือข่าย ในอนาคต
ที่มา
http://www.school.net.th/library/create-web/10000/generality/10000-8534.html
เขียนโดย ที่ ไม่มีความคิดเห็น:

Firewall, IDS, IPS


Firewall

ไฟร์วอลล์ คือระบบหรือกลุ่มของระบบที่ใช้สำหรับควบคุมการเข้าออกของข้อมูลที่สื่อสาร ระหว่างเครือข่ายคอมพิวเตอร์สอง เครือข่ายโดยการพิจารณากฎ (Rules) หรือตัวกรอง (Filter) ที่กำหนดไว้

Trusted Network คือเครือข่ายภายในที่ต้องการป้องกัน ส่วน Untrusted Network เป็นเครือข่ายภายนอกซึ่งอาจหมายความถึงอินเทอร์เน็ตหรือเครือข่ายอื่นซึ่ง ไม่ใช่เครือข่ายขององค์กร ไฟร์วอลล์อาจจะประกอบด้วยเราเตอร์ (router) เครื่องคอมพิวเตอร์ที่มีซอฟต์แวร์ไฟร์วอลล์ทำงานอยู่ ไฟร์วอลล์ที่เป็นฮาร์ดแวร์ หรืออุปกรณ์เชื่อมต่ออย่างอื่นซึ่งทำงานร่วมกัน

หน้าที่ของไฟร์วอลล์

หน้าที่สำคัญของไฟร์วอลล์คือการควบคุมการเข้าออกของข้อมูลระหว่างเครือข่าย คอมพิวเตอร์เพื่อให้เครือข่ายภายใน  องค์กรมีความปลอดภัยจากการบุกรุกของผู้ไม่ประสงค์ดีจากภายนอก ซึ่งหากพิจารณาหน้าที่ของไฟร์วอลล์แล้วจะเห็นว่าการทำงานจะทำให้เกิดผลทั้ง ด้านดีและด้านไม่ดี ผลกระทบด้านที่ดีได้แก่ มีกระบวนการพิสูจน์ตัวจริงของผู้ใช้ (User Authentication) มีการบันทึกสถิติและกิจกรรมที่เกิดขึ้นระหว่างเครือข่าย และเครือข่ายมีความปลอดภัยมากขึ้นเนื่องจากไฟร์วอลล์บางชนิดมีคุณสมบัติใน การซ่อนไม่ให้เครือข่ายภายนอก  สามารถติดต่อกับเครือข่ายภายในได้โดยตรง หากพิจารณาถึงผลเสียที่อาจเกิดขึ้นจากการติดตั้งไฟร์วอลล์ก็จะพบว่ามีบาง ประการ เช่น การเกิดความหนาแน่นของการสื่อสารเพราะข้อมูลทั้งหมดจะต้องผ่านไฟร์วอลล์จุด เดียว หรือหากไฟร์วอลล์ไม่สามารถทำงานได้ตามปกติจะทำให้การสื่อสารระหว่างเครือ ข่ายหยุดชะงักไ

ชนิดของไฟร์วอลล์

หากแบ่งชนิดของไฟร์วอลล์โดย พิจารณาจากรูปแบบการทำงานว่ามีความสอดคล้องกับระดับชั้นใดในแบบจำลองโอเอสไอ (OSI 7 Layers) จะสามารถจัดแบ่งได้เป็น 3 ชนิดคือ แบบกรองแพคเก็ต (Packet Filtering) แบบตรวจเต็มสถานะ (Stateful Packet Inspection) และแบบพร็อกซี่ (Application Gateways/Proxies)

ไฟร์วอลล์แบบกรองแพคเก็ต

ไฟร์วอลล์ชนิดนี้เป็นรูปแบบพื้นฐานที่ใช้กันอย่างแพร่หลาย มีลักษณะการทำงานที่เรียบง่ายโดยการเปรียบเทียบค่าที่อยู่ในเฮดเดอร์ (Header) ของแต่ละแพคเก็ตกับกฎที่ได้กำหนดไว้ ค่าที่อยู่ในเฮดเดอร์ที่นำมาเปรียบเทียบได้แก่ ไอพีแอดเดรสต้นทาง ไอพีแอดเดรสปลายทาง ชนิดของโปรโตคอล พอร์ตต้นทาง และพอร์ตปลายทาง

ไฟร์วอลล์แบบตรวจเต็มสถานะ

ไฟร์วอลล์แบบตรวจเต็มสถานะมีการทำงานเหมือนกับแบบกรองแพคเก็ตแต่มีการเปรียบ เทียบค่าอื่นที่เพิ่มเติมขึ้นคือ สถานะการเชื่อมต่อ (Connection State) โดยความสัมพันธ์ระหว่างแพคเก็ตก่อนหน้ากับแพคเก็ตปัจจุบันจะนำมาใช้ในการ พิจารณาว่าจะอนุญาตให้ชุดของแพคเก็ต ผ่านเข้า/ออกเครือข่ายได้หรือไม่

ไฟร์วอลล์พร็อกซี่

พร็อกซี่ทำงานในระดับชั้นแอพพลิเคชั่นโดยการเปรียบเทียบค่าข้อมูล (Data Payload) กับกฎ ซึ่งไฟร์วอลล์สองแบบที่ผ่านมาไม่สามารถทำได้ ตัวอย่างการบุกรุกของไวรัสบางชนิดมีการระบุค่าข้อมูลในแพคเก็ตเป็นรหัสที่ทำ ให้ระบบปฏิบัติการเกิดความสับสน เพราะฉะนั้นหากเลือกใช้ไฟร์วอลล์สองชนิดแรกจะไม่สามารถป้องกันการบุกรุกแบบ นี้ได้ หากแต่ไฟร์วอลล์พร็อกซี่สามารถจัดการได้

บทสรุป

ไฟร์วอลล์จัดเป็นเทคโนโลยีที่ตอบสนอง ความต้องการการจัดการด้านความปลอดภัยของเครือข่ายที่เหมาะสมและ สามารถแก้ปัญหาบางส่วนได้ หากแต่ยังมีข้อจำกัดหลายด้านที่ไฟร์วอลล์ไม ่สามารถทำได้ เช่นการบุกรุกที่เกิดขึ้นจากเครือข่ายภายใน การจัดการกับการบุกรุกแบบใหม่และซับซ้อน เป็นต้น เงื่อนไขอีกประการที่มีความสำคัญต่อการติดตั้งไฟร์วอลล์ให้ทำงานได้อย่างมี ประสิทธิภาพคือ การกำหนดนโยบายการรักษาความปลอดภัยที่ถูกต้องและเหมาะสมเพื่อให้ผู้ดูแลระบบ ตั้งกฎไฟร์วอลล์ได้สอดคล้องและ ไม่มีข้อผิดพลาด กล่าวโดยสรุปคือจะเป็นผลทำให้เครือข่ายได้รับการปกป้องอย่างเต็มที่นั่นเอง

IDS (Intrusion Detection Systems), IPS (Intrusion Prevention Systems)

Intrusion Detection System (IDS) คือ ระบบที่คอยตรวจจับการบุกรุกของผู้ที่ไม่ประสงค์ดี รวมไปถึงข้อมูลจำพวกไวรัสด้วย โดยสามารถทำการ วิเคราะห์ข้อมูลทั้งหมดที่ผ่านเข้าออกภายในเครือข่ายว่า มีลักษณะการทำงานที่เป็นความเสี่ยงที่ก่อให้เกิดความ เสียหายต่อระบบเครือข่ายหรือไม่ โดยระบบ IDS นี้ จะทำการแจ้งเตือนให้ผู้ดูแลระบบทราบ

Intrusion Prevention System (IPS) คือ ระบบที่มีลักษณะเช่นเดียวกับระบบ IDS แต่มีความ สามารถพิเศษมากกว่าระบบ IDS กล่าวคือ เมื่อตรวจพบ ข้อมูลที่มีลักษณะการทำงานที่เป็นความเสี่ยงต่อระบบเครือข่ายก็จะทำการ ป้องกันข้อมูลดังกล่าวนั้น ไม่ให้เข้ามาภายในเครือข่ายได้

ประโยชน์จากการติดตั้งระบบ IDS/IPS

เมื่อมีการติดตั้งระบบ IDS/IPS ภายในองค์กรแล้วสิ่งที่ได้รับมีดังต่อไปนี้

1. IDS/IPS สามารถป้องกันการบุกรุกจาก Hacker ที่เข้ามาทางเครือข่ายภายนอก ซึ่งเมื่อ IDS/IPS ป้องกันการบุกรุกแล้ว ยังสามารถเสนอแนวทางการแก้ไขได้ว่า องค์กรควรที่จะปรับปรุงอะไรบ้าง เช่น Security Patch ของ Operating System (OS) หรือทำการแก้ไข Configure File ต่าง ๆ เพื่อไม่ให้ Hacker ใช้วิธีการเดิมเข้ามาทำลายระบบได้

2. IDS/IPS สามารถเฝ้าตรวจสอบลักษณะของข้อมูลที่จะเป็นความเสี่ยงหรือส่งผลกระทบต่อ ระบบงานที่มีอยู่ โดยจะทำการแจ้งเตือนให้ผู้ดูแลระบบทราบและหยุดการทำงานของบุคลากรนั้น ๆ

3. ระบบ IDS/IPS สามารถทำการจับรูปแบบของข้อมูลมาทำการวิเคราะห์ เพื่อดูพฤติกรรม การทำงานว่าเป็นความเสี่ยงที่ส่งผลกระทบต่อระบบงานหรือไม่ เช่น Packet ที่ทำงานแบบเดิม ๆ และบ่อยมาก ๆ และมีผลต่อเครือข่ายหรือระบบงาน
เมื่อมีการติดตั้งระบบ IDS/IPS ในองค์กร จะมีผลให้ระบบงานมีความปลอดภัยจากการ บุกรุกทั้งบุคคลภายในและจากเครือข่ายภายนอกได้มากขึ้น และส่งผลให้เครือข่ายภายในองค์กร มีประสิทธิภาพทางด้านความปลอดภัยมากยิ่งขึ้น

ที่มา

http://www.yusystem.co.th/firewall-ids-ips-detail.html
เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)