ระบบรักษาความปลอดภัย FIREWALL กำแพงไฟ คเณศ โพธิ์ทองนาค FCNSA&FCNSP

วัตถุประสงค์บทเรียน ให้เข้าใจว่า firewall คืออะไร ระบบรักษาความปลอดภัยใน network มีความสำคัญอย่างไร Firewall มีความเกี่ยวข้องกับโครงการศูนย์ข้อมูลกลางอย่างไร Firewall ของจังหวัด คือรุ่นไหน มี feature และความสามารถอย่างไร ในฐานะ Admin ของจังหวัดต้องทราบอะไรบ้าง เพื่อการดูแลบำรุงรักษา เมื่อเกิดปัญหากับ firewall ทางจังหวัดจะทราบได้อย่างไร สังเกตุอย่างไรและควรแจ้งข้อมูลอะไรบ้างให้ฝ่าย helpdesk ของ PCC ทราบ

(PROTECT , RULE BASE , ACCESS CONTROL) Firewall เป็นเครื่องมือที่ใช้สำหรับป้องกันระบบ Network (เครือข่าย) จากการสื่อสารทั่วไปที่ถูกบุกรุก จากผู้ที่ไม่ได้รับอนุญาต เป็นเรื่องเกี่ยวกับการรักษาความปลอดภัยในระบบ Network หรือระบบเครือข่าย การป้องกันโดยใช้ระบบ Firewall นี้จะเป็นการกำหนดกฏเกณฑ์ในการควบคุมการเข้า-ออก หรือการควบคุมการรับ-ส่งข้อมูล ในระบบเครือข่าย นั่นเอง คุณสมบัติ (PROTECT , RULE BASE , ACCESS CONTROL)

คุณสมบัติของ Firewall Protect Firewall เป็นเครื่องมือที่ใช้ในการป้องกัน โดยข้อมูลที่มีการรับหรือส่งผ่านระบบเครือข่าย โดยจะถูกกำหนดเป็นกฏเกณฑ์ หรือ Rule เพื่อใช้บังคับในการสื่อสารภายในเครือข่าย (ข้อมูลที่มีการรับส่งภายใน หรือภายนอกระบบเครือข่าย เราเรียกว่า Package) Rule Base ข้อกำหนดในการควบคุมการรับ-ส่งข้อมูลภายในระบบเครือข่าย ดังนั้น การติดตั้ง Firewall จะต้องมีการกำหนดกฏเกณฑ์ ในการควบคุมการทำงานในระบบเครือข่าย Access Control หมายถึง การควบคุมระดับการเข้าถึง การรับ-ส่งข้อมูล

ทำไมต้องติดตั้ง Firewall เดิมเป็นการใช้งานส่วนบุคคล ปัญหาต่างๆ ที่เกิดขึ้นในระหว่างการใช้งานจึงมีไม่มากนัก ปัจจุบัน เป็นการใช้งานด้านเครือข่าย (โดยเฉพาะระบบเครือข่ายอินเตอร์เน็ต) เป็นที่แพร่หลายมาก ทุกองค์กร ทุกธุรกิจมีการใช้งานอินเตอร์เน็ตอย่างน้อยก็ใช้งาน อีเมล์ ดังนั้น ผลพวงที่ตามมาคือ เกิดผู้ไม่ประสงค์ดี หาวิธีการในการลักลอบเข้าดูในเครื่องคอมพิวเตอร์เพื่อค้นหาข้อมูลหรือต้องการทดสอบความสามารถของตนเอง ตลอดจน ไวรัสคอมพิวเตอร์ ก็ได้อาศัยช่องทางของเครือข่ายอินเตอร์เน็ต เป็นช่องทางในการแพร่กระจายไวรัส

Firewall ที่ใช้ในส่วนกลาง ยี่ห้อ Fortinet รุ่น Fortigate-300

Firewall ที่ใช้ในส่วนกลาง แสดง Port การเชื่อมต่อของ Fortigate-300

แสดงหน้าจอ Status ของ Fortigate-300

แสดงหน้าจอ Session(ช่องสัญญาณที่Accessเข้ามา) ของ Fortigate-300

POLICY ที่ Setup ไว้บน Firewall จะขึ้นอยู่กับ Application ที่ต้องการใช้งาน จะอนุญาต (Permit) เฉพาะ Port  ที่ใช้งานเท่านั้น ส่วน Port อื่นๆ ที่ไม่จำเป็นจะ Deny  ทั้งหมด

หมายเลข Port ของ Server แต่ละตัวที่ต้องการเปิดใช้งาน Management Server         Ping, SNMP, HTTP, DNS, Port 22294-6, 30000-6               DB Server           Ping, Port 5500,8888,SSH, Telnet             App. Server          Port 7777-8, DNS ระบบงาน แผนที่ GIS           Port  HTTP, 5151

แสดงหน้าจอ Service เพื่อกำหนด Port ของ Fortigate-300

แสดงหน้าจอ Policy ของ Fortigate-300

ตัวอย่าง Policy Firewall

Firewall ที่ใช้ใน ต่างจังหวัด ยี่ห้อ Fortinet รุ่น Fortigate-60

Firewall ที่ใช้ใน ต่างจังหวัด แสดง Port การเชื่อมต่อของ Fortigate-60

Firewall ที่ใช้ใน ต่างจังหวัด แสดงหน้าจอ Status ของ Fortigate-60

Firewall ที่ใช้ใน ต่างจังหวัด แสดงหน้าจอ Session ของ Fortigate-60

Firewall ที่ใช้ใน ต่างจังหวัด แสดงหน้าจอ Service เพื่อกำหนด Port ของ Fortigate-60

Firewall ที่ใช้ใน ต่างจังหวัด แสดงหน้าจอ Policy ของ Fortigate-60

คำศัพท์ที่เกี่ยวข้อง concurrent connection Authentication RADIUS Port blocking DoS Tunneling VPN Packet Policy Active x Java Applet Encryption Triple DES Active-Passive stateful Failover

Firewall ยี่ห้อ Fortinet รุ่น Fortigate-60

Concurrent Sesssion Authentication Raduis Port Blocking แสดงการเชื่อมระหว่างเครือข่ายที่สามารถตรวจสอบบนตัวไฟร์วอล์ในขณะที่ได้ทำการตรวจสอบสอบสถานะ session Authentication การตรวจสอบเรื่องชื่อของผู้ใช้และรหัสผ่านว่าถูกต้องหรือไม่ก่อนที่จะดำเนินการในขั้นตอนถัดไป Raduis เป็นซอฟต์แวร์ที่ช่วยสนุบสนุนการทำ Authentication โดยการเก็บข้อมูลที่ต้องการไว้ นั้นก็คือชื่อของผู้ใช้และรหัสผ่าน Port Blocking คือการไม่อนุญาตให้ไอพีสื่อสารกันได้ระหว่างเครือข่ายด้วย port ที่เราไม่ต้องการ

DoS (Daniel of Service) Tunneling เป็นรูปแบบการโจมตีเครือข่ายอย่างหนึ่ง ซึ่งก็จะมีผลกระทบในเรื่องของการสื่อสารที่ทำให้ช้าลงหรือติดต่อกันไม่ได้เลย Tunneling ช่องทางที่ถูกสร้างขึ้นเมื่อมีการใช้งาน VPN ซึ่งเป็นผลให้ข้อมูลนั้นมีความปลอดภัยมากยิ่งขึ้น VPN (Virtual Private Network) เป็นการอาศัยเครือข่ายอินเตอร์เน็ต เพื่อสร้างช่องทางพิเศษสำหรับการสื่อสารเฉพาะเครือข่ายที่ได้มีการกำหนดไว้เท่านั้น Packet ชุดของข้อมูลที่แลกเปลี่ยนกันบนเครือข่ายจากคอมพิวเตอร์เครื่องหนึ่งสู่คอมพิวเตอร์อีกเครื่องหนึ่ง Policy นโยบายที่กำหนดขึ้นในไฟร์วอล์เพื่อการกำหนดสิทธิในการสื่อสารกันระหว่างเครือข่าย

เป็นภาษาคอมพิวเตอร์ที่ได้รับการออกแบบ สำหรับการใช้บนอินเตอร์เน็ตและ ActiveX เป็นชื่อที่ Microsoft ตั้งให้กับกลุ่มของเทคโนโลยี object - oriented programming โปรแกรมจะใช้สภาพแวดล้อมของ ActiveX คือ component ซึ่งโปรแกรมจะเพียงพอในตัวเอง ซึ่งสามารถเรียกใช้ในทุก ๆที่ ของเครือข่าย ActiveX Java Applet เป็นภาษาคอมพิวเตอร์ที่ได้รับการออกแบบ สำหรับการใช้บนอินเตอร์เน็ตและ สามารถสร้างโมดูลการประยุกต์ขนาดเล็กหรือ applet สำหรับเป็นส่วนของเว็บ เพจ applet ทำให้มีความเป็นได้ในด้านการตอบสนองของผู้ใช้กับเว็บเพ็จ Encryption ข้อมูลที่มีการเข้ารหัสก่อนสื่อสารกันเพื่อให้ข้อมูลนั้นมีความปลอดภัย

Triple DES เป็นอัลกอริทึมที่ช่วยในการเข้ารหัสของข้อมูล ให้มีความแข็งแกร่งมากขึ้นโดยใช้อัลกอริทึม DES เป็นจำนวนสามครั้งเพื่อทำการเข้ารหัสของข้อมูล Active-Passive stateful Failover คือ การที่อุปกรณ์ fortigate อย่างน้อย 2 ตัวต่อใช้งานร่วมกันโดยที่มีตัวใดตัวหนึ่งทำงานอีกตัวหนึ่งเป็นตัวสำรอง กรณีที่ตัวหลักไม่ทำงานตัวสำรองจะทำงานแทนทันที

VPN Network

การทำ Encryption แบบ 3DES

ตัวอย่างการตรวจสอบแบบ DoS

ตัวอย่างการทำ Port Blocking

ตัวอย่างการทำ Authentication แบบ Radius

ตัวอย่างการตรวจสอบ ActiveX & Java Applet

การทำ Active-Passive Statefull Failover

ตัวอย่างการทดสอบว่าอุปกรณ์ยังทำงานอยู่ในเครือข่าย Ping router Ping firewall

Q&A

THANK YOU