Firewall อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์

Slides:

Advertisements

งานนำเสนอที่คล้ายกัน

IT Central Library KMITL

Advertisements

บทที่ 15 Cisco IOS Firewall

Network Security.

TCP/IP Protocols IP Addressing

:-> ติดตั้ง Dial-up Networking

ภัยคุกคามด้านความปลอดภัย

วิธีปิดทางHacker วิธีปิดทางHacker.

การจัด Zone.

Firewall IPTABLES.

Transport Layer.

File Transfer (FTP), WWW, HTTP, DHCP.

Network programming Asst. Prof. Dr. Choopan Rattanapoka

วิวัฒนาการของ Remote Access

การจัดทำ VPN เพื่อการใช้งาน ThaiLIS กรณีศึกษามหาวิทยาลัยบูรพา

Chapter 31: NW Management

iWall โดย 1. นายวีกิจ สัจจะมโนรมย์

Network Address Translation (NAT)

บทที่ 4 ระบบตรวจจับการบุกรุก

NETWORK SERVICE NTP + SQUID

Firewall Presented by Suthee Sirisutthidecha Instructor, IT Faculty 13 July 2013suthee sirisutthidecha1.

Network Security.

Bandwidth Management Network Management and Design.

Application Layer.

BY KIADTIPONG YORD. CHANDRA 2004 :: COMPUTER NETWORK ระบบเครือข่ายคอมพิวเตอร์ และการกระจาย Computer Network and Distributed เทคโนโลยี Internet Internet.

© 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6 1 CCNA Cisco Certified Network Associate.

OSI Network Layer TCP/IP Internet Layer วิชาการสื่อสารข้อมูลและเครือข่าย นายวุฒิชัย คำมีสว่าง.

Mail Server IPV6.

การสื่อสารข้อมูล.

2.1 Spanning Tree Protocol

Security in Computer Systems and Networks

บทที่ 9 ความปลอดภัยระบบเครือข่าย

Security in Computer Systems and Networks

เครือข่ายคอมพิวเตอร์

โรงเรียนห้วยเม็กวิทยาคม

อยู่ระหว่างดำเนินการ

เครือข่ายสารสนเทศ Application Layer Network Application

U C S m a r t Smart Organizing Solution by Unified Communication

การสื่อสารข้อมูลและเครือข่ายคอมพิวเตอร์

บทที่ 3 โพรโตคอล ทีซีพีและไอพี TCP / IP

บทที่ 8 เครือข่ายการสื่อสารทางไกลระหว่างประเทศ

Wireless Network เครือข่ายไร้สาย

บทที่ 6 โลกของเครือข่าย.

Security in Computer Systems and Networks

แบบจำลองเครือข่าย (Network Models)

Intrusion Detection / Intrusion Prevention System

Cryptography Application

การติดตั้งระบบเครือข่ายภายในสถานีตำรวจ

Computer Network.

ระบบเครือข่ายไร้สาย (Wireless LAN)

บทที่ 6 : Firewall Part3 สธ412 ความมั่นคงของระบบสารสนเทศ

ปัญหาความปลอดภัยในระบบเครือข่าย

TCP/IP Protocol นำเสนอโดย นส.จารุณี จีนชาวนา

เครือข่ายคอมพิวเตอร์

การออกแบบสถาปัตยกรรมแอปพลิเคชั่น

อินเทอร์เน็ตเบื้องต้น

การบริหารความปลอดภัยสารสนเทศ

ระบบเครือข่ายคอมพิวเตอร์

Network Security Chapter 7 Firewalls

ระบบเครือข่าย คอมพิวเตอร์ เบื้องต้น

การออกแบบระบบ System Design.

The Need for a Protocol Architecture (for example, see circuit / packet switching) ผู้รับต้องจัดเตรียมที่เก็บข้อมูล (memory) ยืนยันสิทธิใช้ hard disk.

บทที่ 9 การออกแบบระบบ และการออกแบบยูสเซอร์อินเตอร์เฟช

ระบบรักษาความปลอดภัย FIREWALL กำแพงไฟ

อาจารย์อภิพงศ์ ปิงยศ บทที่ 5 : การประยุกต์ใช้คริพโตกราฟี Part2 สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ

TOT e-Conference Bridge to Talk : Simple & Clear.

ระบบรักษาความปลอดภัย FIREWALL กำแพงไฟ

วัตถุประสงค์การเรียนรู้

บทที่ 2 ระบบเครือข่ายและอินเทอร์เน็ต

ใบสำเนางานนำเสนอ:

Firewall อาจารย์ ธนัญชัย ตรีภาค ภาควิชาวิศวกรรมคอมพิวเตอร์ คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

Firewall ชนิดของ Firewall การทำงานของ Firewall

ชนิดของ Firewall Network Based Firewall เป็นอุปกรณ์ติดตั้งในระบบเครือข่ายเพื่อคัดกรอง Traffic ในเครือข่าย Host Based Firewall เป็นซอฟต์แวร์ติดตั้งที่เครื่องคอมพิวเตอร์เพื่อคัดกรอง Traffic ที่เข้าสู่เครื่องก่อนที่จะนำข้อมูลไปประมวลผล

Firewall Operation Packet Filtering Firewall Stateful Inspection Firewall Application Proxy Firewall

Packet Filtering Firewall คัดกรองแพ็กเก็ตที่วิ่งผ่านโดยใช้กฎต่างๆ ที่ตั้งค่าไว้แล้ว โดยจะพิจารณาจากข้อมูลส่วนที่อยู่ในเฮดเดอร์ของแพ็กเก็ตที่ผ่านเข้ามา เทียบกับกฎที่กำหนดไว้ ทำงานแบบ Pattern Matching ตัดสินว่าควรจะทิ้งแพ็กเก็ตนั้นไปหรือว่าจะยอมให้แพ็กเก็ตนั้นผ่าน การทำงานไม่ซับซ้อนจึงเป็นการทำงานหนึ่งใน Router ในปัจจุบัน

Packet Filtering Firewall

Stateful Inspection Firewall ทำงานเหมือนกับ Packet Filtering Firewall และเพิ่มความสามารถในการบันทึกข้อมูลเกี่ยวกับคอนเน็กชั่นที่เกิดขึ้นลงใน State Table ก่อนที่จะส่งแพ็กเก็ตนี้ต่อให้กับ เลเยอร์อื่น กำหนด “สถานะ” ต่างๆ ในกฎได้เช่น IP Port TCP State TCP Sequence Number

Stateful Inspection Firewall

Application Proxy Firewall Client ส่งการร้องขอไปยังไฟร์วอล ไฟร์วอลจะตรวจสอบจากนโยบายการรักษาความปลอดภัยว่าทราฟิกนี้สามารถผ่านไปได้หรือไม่ ถ้าอนุญาตไฟร์วอลจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์แทน ไคลเอนท์เอง ไฟร์วอลที่ทำงานในระดับ Application Layer บางทีก็เรียกว่า Proxy Firewall ซึ่งหมายถึงโปรแกรมที่รันบนระบบปฏิบัติการทั่วๆไป ทำงานช้า ปลอดภัยสูง

Application Proxy Firewall

Hybrid Firewall Packet Filtering + Application Proxy Third Generation Firewall Technology ตัวอย่าง Raptor Firewall by Symantec Firewall 1 by Checkpoint Sidewinder Firewall by Secure Computing Lucent Brick by Lucent

Firewall Architecture

Firewall Architectures Screening Router Simple Firewall Multi-Legged firewall Firewall Sandwich Layered Security Architecture

Screening Router

Simple Firewall

Multi-Legged Firewall

Firewall Sandwich

Layered Firewall

High Availability Network

Network Security Policy ควรกำหนดนโยบายที่สามารถควบคุมหรือป้องกันทราฟิกที่อาจมีผลกระทบต่อการใช้งานเครือข่ายให้มากที่สุด แล้วนำไปบังคับใช้กับไฟร์วอล กฎที่บังคับใช้นโยบายการรักษาความปลอดภัยในไฟร์วอลนั้นจะเรียกว่า ACL (Access Control List) หรือ Firewall Rule

Network Security Policy ตัวอย่างโยบายรักษาความปลอดภัย โดยสมมติว่าโครงสร้างของเครือข่ายเป็นดังรูปต่อไปนี้

Network Security Policy โดย DMZ (Demilitarized Zone) ประกอบด้วย เว็บเซิร์ฟเวอร์ เมลเซิร์ฟเวอร์ และ DNS เซิร์ฟเวอร์ ผู้ใช้ภายในเครือข่ายสามารถใช้บริการคือ HTTP, HTTPS, FTP, Telnet, SSH, DNS, SMTP, POP3 ผู้ใช้จากอินเทอร์เน็ตนั้นสามรถใช้บริการจาก DMZ ได้คือ DNS, HTTP, HTTPS, SMTP จากนโยบายนี้เราสามารถเขียน ACL ได้ดังนี้

Network Security Policy Rule Source Destination Service (Port) Action Description 1 Any Web Server HTTP (80) HTTPS (443) Allow อนุญาตให้ผู้ใช้จากทั้งภายในและอินเทอร์เน็ตเข้ามาใช้บริการเว็บเซอร์เวอร์ 2 Mail Server SMTP (25) POP3 (110) IMAP (143) อนุญาตให้ผู้ใช้จากทั้ง ภายในและอินเทอร์เน็ตเข้ามาใช้บริการเมล์เซิร์ฟเวอร์

Network Security Policy Rule Source Destination Service (Port) Action Description 3 Any DNS Server DNS (53) Allow อนุญาตให้ผู้ใช้จากทั้งภายในและอินเทอร์เน็ตเข้ามาใช้บริการ DNS Server 4 Mail Server SMTP (25) อนุญาตให้เมลเซิร์ฟเวอร์รับ - ส่งกับเมลเซิร์ฟเวอร์อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน 5 อนุญาตให้ DNS Server คิวรี DNS Server อื่นที่อยู่บนอินเทอร์เน็ตหรือภายใน

Network Security Policy Rule Source Destination Service (Port) Action Description 6 Internal Network Any HTTP (80) , HTTPS (443) , FTP (20-21) ,Telnet (23), SSH (22) , SMTP (25) , POP3 (110) , IMAP4 (143) Allow อนุญาตให้ผู้ใช้ภายในเครือข่ายใช้บริการดังกล่าวจากอินเทอร์เน็ตและ DMZ 7 Deny ถ้าไม่ตรงกับกฎที่กำหนดข้างบนให้ละทิ้งแพ็กเก็ตนั้น

โจทย์ : การทำงานของ Firewall แต่ละชนิด การโจมตี Packet Filtering Stateful Inspection Application Proxy Syn Flood Port Scan UDP Flood Land Attack Fragmentation Packet Session Hijack Web Hacking : Parameter Tempering Sniffer การคาดเดารหัสผ่านเพื่อเข้าระบบ …

โจทย์ : Firewall Policy NetSec Questions ข้อ 15

ข้อจำกัดของ Firewall Firewall ไม่สามารถป้องกันการโจมตีที่ไม่ได้กระทำผ่าน Firewall เช่น การโจมตีจากภายในเครือข่าย ไม่สามารถป้องกันการโจมตีที่มากับ Application protocols, การทำ Tunneling หรือโปรแกรม Trojan horse ต่างๆ

Firewall product Juniper Cisco Catalyst Firewall Fortigate

Firewall Features Firewall Throughput : Mbps/Gbps VPN Throughput : Mbps Concurrent Sessions : number IPsec VPN Peers : number Interfaces : number of Gigabit Ethernet ports, SFP fiber ports, and Fast Ethernet port Virtual Interfaces (VLANs) : number

Firewall Features Scalability : VPN clustering and load balancing High Availability : Active/Active, Active/Standby Redundant Power : Supported, second power supply optional

ไฟร์วอลล์สำหรับ Host ไฟล์วอลล์สำหรับ Host หรือ Personal Firewall ตัวอย่าง Windows 7 Firewall Zone Alarm Tiny Personal Firewall Norton Personal Firewall Sygate Personal Firewall Conseal PC Firewall VPN-1 Secure Client