235034 Security in Computer Systems and Networks Firewall Lec. Sanchai Yeewiyom School of Information and Communication Technology University of Phayao

Topic หลักการทำงานของ Firewall ประเภทของ Firewall Network Address Translation (NAT) ข้อจำกัดของ NAT

Firewall

What is a Firewall? Firewall เป็น Component หรือกลุ่มของ Component ที่ทำหน้าที่ในการควบคุมการเข้าถึงระหว่าง Network ภายนอก (Network ที่เราคิดว่าไม่ปลอดภัย) กับ Network ภายใน (Network ที่เราต้องการจะป้องกัน) โดยที่ Component นั้นอาจจะเป็น Router, Computer (Hardware or Software) หรือ Network ประกอบกันก็ได้ ขึ้นอยู่กับวิธีการ หรือ Firewall Architecture ที่ใช้

หลักการทำงานของ Firewall

หลักการทำงานของ Firewall 2 แนวทาง ข้อมูล, โปรแกรม หรือผู้ใช้ ที่ไม่ได้รับการห้ามไว้ (Forbidden) จะผ่าน Firewall ได้ ข้อมูล, โปรแกรม หรือผู้ใช้ ที่ไม่ได้รับอนุญาตไว้ (Permitted) จะไม่สามารถผ่าน Firewall ได้

How does a firewall work? Inspects each individual “packet” of data as it arrives at either side of the firewall Inbound to or outbound from your computer Determines whether it should be allowed to pass through or if it should be blocked

Firewall Rules Allow – traffic that flows automatically because it has been deemed as “safe” Block – traffic that is blocked because it has been deemed dangerous to your computer Ask – asks the user whether or not the traffic is allowed to pass through

สิ่งที่ Firewall ช่วยได้ บังคับใช้นโยบายด้านความปลอดภัย โดยการกำหนดกฎให้กับ Firewall ว่าจะอนุญาต หรือไม่ให้ใช้ Service ชนิดใด ทำให้การพิจารณาดูแล และการตัดสินใจด้านความปลอดภัยของระบบเป็นไปได้ง่ายขึ้น เนื่องจากการติดต่อทุกชนิดกับ Network ภายนอกจะต้องผ่าน Firewall การดูแลที่จุดนี้เป็นการดูแลความปลอดภัยในระดับของ Network (Network-Based Security) บันทึกข้อมูล กิจกรรมต่างๆ ที่ผ่านเข้าออก Network ได้อย่างมีประสิทธิภาพ

สิ่งที่ Firewall ช่วยได้ ป้องกัน Network บางส่วนจากการเข้าถึงของ Network ภายนอก เช่น ถ้าหากเรามีบางส่วนที่ต้องการให้ภายนอกเข้ามาใช้ Service (เช่น ถ้ามี Web Server) แต่ส่วนที่เหลือไม่ต้องการให้ภายนอกเข้ามา กรณีเช่นนี้เราสามารถใช้ Firewall ช่วยได้ Firewall บางชนิด สามารถป้องกันไวรัสได้ โดยจะทำการตรวจไฟล์ที่โอนย้ายผ่านทางโปรโตคอล HTTP, FTP และ SMTP

อะไรที่ Firewall ช่วยไม่ได้ อันตรายที่เกิดจาก Network ภายใน ไม่สามารถป้องกันได้เนื่องจากอยู่ภายใน Network เอง ไม่ได้ผ่าน Firewall เข้ามา อันตรายจากภายนอกที่ไม่ได้ผ่านเข้ามาทาง Firewall เช่น การ Dial-up เข้ามายัง Network ภายในโดยตรงโดยไม่ได้ผ่าน Firewall

อะไรที่ Firewall ช่วยไม่ได้ ไวรัส ถึงแม้จะมี Firewall บางชนิดที่สามารถป้องกันไวรัสได้ แต่ก็ยังไม่มี Firewall ชนิดใดที่สามารถตรวจสอบไวรัสได้ในทุกๆ Protocol

Personal firewall A personal firewall differs from a conventional firewall in terms of scale. Personal firewalls are typically designed for use by end-users. As a result, a personal firewall will usually protect only the computer on which it is installed. Many personal firewalls are able to control network traffic by prompting the user each time a connection is attempted and adapting security policy accordingly. Personal firewalls may also provide some level of intrusion detection, allowing the software to terminate or block connectivity where it suspects an intrusion is being attempted.

What a personal firewall can do? Stop hackers from accessing your computer Protects your personal information Blocks “pop-up” ads and certain cookies Determines which programs can access the Internet

What a personal firewall can not do? Cannot prevent e-mail viruses Only an antivirus product with updated definitions can prevent e-mail viruses After setting it initially, you can forget about it The firewall will require periodic updates to the rulesets and the software itself

Hardware vs. Software Firewall Hardware Firewall Protect an entire network Implemented on the router level Usually more expensive, harder to configure Software Firewall (Personal firewall) Protect a single computer Usually less expensive, easier to configure

ประเภทของ Firewall แบ่งตามรูปแบบการไหลของข้อมูลผ่าน Firewall Network Firewall Software based Firewall ISA Checkpoint Firewall-1 Hardware based Firewall CISCO PIX Nortel Alteon Switched Firewall System Host-based Firewall (Personal Firewall)

ประเภทของ Firewall ชนิดของ Firewall แบ่งตามเทคโนโลยีที่ใช้ในการตรวจสอบและควบคุม แบ่งได้เป็น Packet Filtering Firewall Stateful Inspection Firewall Application Layer Firewall

Packet Filtering Firewall Packet Filter คือ Router ที่ทำการหาเส้นทาง (route) และส่งต่อ อย่างมีเงื่อนไข (Screening Router) โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ใน Header ของ Packet ที่ผ่านเข้ามา เทียบกับกฎ (rules) ที่กำหนดไว้ในรายการควบคุมการเข้าถึง (Access Control List : ACL) และตัดสินว่าควรจะทิ้ง (drop) Packet นั้นไปหรือว่าจะยอม (accept) ให้ Packet นั้นผ่านไปได้ กรณีไม่ตรงกับกฎข้อใด : ถ้าไม่มีกฎข้อใดเขียนว่าอนุญาตให้ถือว่าห้าม หรือ ถ้าไม่มีกฎข้อใดเขียนว่าห้ามให้ถือว่าอนุญาต

Packet Filtering Firewall

Packet Filtering Firewall ในการพิจารณา Packet Filter จะตรวจสอบ Packet ในระดับของ Internet Layer และ Transport Layer ใน Internet Model Internet Layer : IP ต้นทาง, IP ปลายทาง, ชนิดของ Protocol (TCP, UDP และ ICMP) Transport Layer : Port ต้นทาง, Port ปลายทาง, Flag (ซึ่งจะมีเฉพาะใน Packet ของ TCP Packet เช่น SYN, ACK, FIN), ชนิดของ ICMP message (แจ้งปัญหาที่เกิดขึ้นในการสื่อสาร)

Packet Filtering Firewall Port ทั้ง TCP และ UDP นั้นจะบ่งบอกถึง Application ที่ Packet นั้นต้องการติดต่อด้วยเช่น พอร์ต 80 หมายถึง HTTP, พอร์ต 21 หมายถึง FTP เป็นต้น ดังนั้นเมื่อ Packet Filtering พิจารณา Header จึงทำให้สามารถควบคุม Packet ที่มาจากที่ต่างๆ และมีลักษณะต่างๆ (ดูได้จาก Flag ของ Packet หรือ ชนิดของ ICMP ใน ICMP Packet ) ได้ เช่น ห้าม Packet ทุกชนิดจาก crack.com เข้ามายัง Network 203.154.207.0/24 , ห้าม Packet ที่มี IP Address ต้นทางอยู่ใน Network 202.187.115.0/24 ผ่าน Router เข้ามา เป็นต้น

Packet Filtering Firewall ข้อดี ไม่ขึ้นกับ Application มีความเร็วสูง รองรับการขยายตัวได้ดี ข้อเสีย บาง Protocol ไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP, ICQ (อาจทำให้เกิดปัญหา DoS ได้)

Stateful Inspection Firewall Stateful Inspection เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้ Packet ผ่านไปนั้น แทนที่จะดูข้อมูลจาก Header เพียงอย่างเดียว Stateful Inspection จะนำเอาส่วนข้อมูลของ Packet (Message Content) และข้อมูลที่ได้จาก Packet ก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่า Packet ใดเป็น Packet ที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว

Stateful Inspection Firewall มีการเก็บประวัติไว้ใน State Table กรณีที่ Packet ที่ส่งมาเป็นส่วนหนึ่งของ Connection ที่ได้สร้างไว้ก็จะส่งผ่านไปเลย ไม่ต้องเสียเวลามาตรวจสอบใหม่อีกรอบ สามารถ Drop ทิ้ง Packet ที่ผิดปกติได้จากการตรวจสอบเนื้อหาของ Packet เช่น มี Flag แปลกๆ (SYN/FIN) ที่บอกว่ามีการทำ Port Scanning

Stateful Inspection Firewall

Stateful Inspection Firewall ข้อดี ข้อมูลทั้งหมดถูกตรวจสอบในระหว่างการสื่อสาร สามารถปรับปรุง เปลี่ยนแปลง การทำงานได้โดยง่าย ข้อเสีย มีกลไกการทำงานที่ยุ่งยาก ซับซ้อน

Application Layer Firewall บางครั้งเรียก Proxy Firewall เป็น Application Program ที่ทำงานอยู่บน Firewall ที่ตั้งอยู่ระหว่าง Network 2 Network ทำหน้าที่เพิ่มความปลอดภัยของระบบ Network โดยการควบคุมการเชื่อมต่อระหว่าง Network ภายในและภายนอก ว่า Traffic ใดสามารถโอนถ่ายระหว่าง Network ใดได้บ้าง ในแต่ละ Protocol ที่อนุญาตให้ผ่านได้จะต้องมี Proxy เฉพาะของ Protocol นั้นจัดการ

Application Layer Firewall คำสั่ง Protocol ความยาวของ Packet สิทธิ์ในการใช้งาน เนื้อหาข้อความ ความถูกต้องของ Header

Application Layer Firewall เมื่อ Client ต้องการใช้ Service ภายนอก Client จะทำการติดต่อไปยัง Proxy ก่อน Client จะเจรจา (Negotiate) กับ Proxy เพื่อให้ Proxy ติดต่อไปยังเครื่องปลายทางให้ เมื่อ Proxy ติดต่อไปยังเครื่องปลายทางให้แล้วจะมีการเชื่อมต่อ (Connection) 2 การเชื่อมต่อ คือ Client กับ Proxy และ Proxy กับเครื่องปลายทาง โดยที่ Proxy จะทำหน้าที่รับข้อมูลและส่งต่อข้อมูลให้ใน 2 ทิศทาง ทั้งนี้ Proxy จะทำหน้าที่ในการตัดสินใจว่าจะให้มีการเชื่อมต่อกันหรือไม่ จะส่งต่อ Packet ให้หรือไม่

Application Layer Firewall ข้อดี มีความปลอดภัยสูง รู้จักข้อมูลในระดับ Application ข้อเสีย ประสิทธิภาพต่ำ แต่ละบริการมักจะต้องการ Process ของตนเอง ขยายตัวได้ยาก

Application Layer Firewall

นโยบายการรักษาความปลอดภัย กฎที่บังคับใช้นโยบายการรักษาความปลอดภัยใน Firewall จะเรียกว่า Firewall Rule หรือ Access Control List (ACL) Exp. ACL

การตรวจสอบ ACL ACL ที่ถูกคอนฟิกที่ Router นั้น จะทำการพิจารณา Packetข้อมูลทุกๆ Packet ที่วิ่งผ่านมัน และนำไปเปรียบเทียบกับ “กฎ” ที่ได้ตั้งไว้ใน ACL ซึ่งการเปรียบเทียบ จะเป็นไปตามลำดับขั้น (Sequences) กล่าวคือ กฎแรกสุดใน Rules ที่เราเรียกอย่างเป็นทางการว่า Access Control Entry: ACE จะถูกนำมาใช้งาน และหากว่า Packet ที่วิ่งเข้ามานั้น ตรงตาม ACE มันจะยอมปล่อยผ่าน (หรือห้าม) ทันที และกฎข้อต่อๆมา จะไม่นำมาพิจารณาอีกเลย

การตรวจสอบ ACL ดังนั้น “ควรเซตกฎที่ชัดเจนที่สุดในการที่จะยอมปล่อยผ่าน Traffic หรือ สกัดกั้น Traffic ไว้ในกฎข้อแรกๆ” ส่วนในข้อต่อๆ มา อาจจะมีความคลุมเครือ หรืออนุญาต Packet ใดๆ ก็ได้ ซึ่งหาก Packet นั้นๆ ตรวจสอบแล้วว่าไม่ตรงกับกฎใน ACE ข้อแรก มันจะวิ่งมาหากฎข้อต่อๆไป เรียงตามลำดับไปเรื่อยๆ หาก Packet นั้นๆ ไม่ตรง (Match) กับกฎข้อใดๆ ใน Rules แล้วนั้น จะถูก “Explicit Deny All” Drop Packet นั้นทิ้งทันที (กรณี อนุญาต)

การตรวจสอบ ACL

Network Address Translation (NAT) เป็นเทคโนโลยีที่ใช้แก้ปัญหา IP Address (Real IP : Public IP) ที่ใช้งานบน Internet ไม่เพียงพอ การเชื่อมต่อกับ Internet นั้น จำเป็นต้องมี Public IP Address เป็นการเฉพาะจึงจะสามารถเชื่อมต่อและใช้งานได้ แต่เนื่องจากการเติบโตอย่างรวดเร็วของ Internet ทำให้ IP ไม่เพียงพอต่อการใช้งาน ดังนั้น NAT จึงเป็นทางออกหนึ่งสำหรับการแก้ไขปัญหานี้ โดยการทำ NAT นั้นทำให้สามารถใช้ Private IP เชื่อมต่อและใช้งาน Internet ได้ และยังเพิ่มความปลอดภัยทางเครือข่าย (Network Security) อีกด้วย

Network Address Translation (NAT) การ Shared Internet กับเครื่องหลายๆ เครื่องนั้น ในเครื่องแต่ละเครื่องจะไม่มี Public IP (Real IP) เนื่องจาก Public IP จะมีได้แค่ 1 IP ต่อ 1 Connection เท่านั้น ฉะนั้น Real IP จะต้องอยู่กับอุปกรณ์ Router หรือ อยู่กับเครื่องคอมพิวเตอร์เครื่องใดเครื่องหนึ่งที่เชื่อมต่อไปภายนอก

Network Address Translation (NAT) NAT จะทำหน้าที่ในการจดจำตำแหน่งของเครื่องที่ส่งข้อมูลและทำการแปลง IP Address จาก Intranet IP ไปเป็น Real IP แล้วทำการส่งออกไปยัง Internet แทนคอมพิวเตอร์เครื่องอื่นๆ เมื่อข้อมูลถูกส่งกลับมา NAT จะทำการตรวจสอบว่า Packet นี้ส่งออกโดยคอมพิวเตอร์เครื่องใด แล้วจะทำการแปลง IP ปลายทางให้เป็น Private IP ของเครื่องคอมพิวเตอร์เครื่องนั้นๆ เพื่อที่จะส่งข้อมูลกลับไปยังเครื่องผู้เรียกออก Internet ได้

Network Address Translation (NAT)

ข้อจำกัดของ NAT NAT Gateway ส่วนใหญ่แทนค่า Address ที่เป็นข้อมูลที่อยู่ในส่วนของ Header ทำให้ Application บางตัวที่เก็บข้อมูล Address ไว้ในส่วนของ Data ไม่สามารถทำงานผ่าน NAT ได้ เช่น FTP, H.323 ที่ใช้กับ Microsoft NetMeeting

Software ที่ใช้ทำ Firewall Linux IPTABLES SMOOTHWALL Windows ISA (Internet Security and Acceleration) Check Point Firewall-1

Examples of Personal Firewall Software ZoneAlarm Free Firewall <http://www.zonealarm.com/> BlackICE Defender <http://blackice.iss.net> Tiny Personal Firewall <www.tinysoftware.com> Norton Personal Firewall <www.symantec.com> Comodo Firewall Free <http://personalfirewall.comodo.com/>