Information system security wk6-2

Faculty of Information Technology Page

IT346 Information System Security Week 6-2: Firewall (2) –

Firewall Rulesอ.พงษ์�ศั�กดิ์� ไผ่�แดิ์ง

1


นโยบายการร�กษ์าความปลอดิ์ภั�ย สิ่�งที่ �สิ่!าค�ญที่ �สิ่#ดิ์สิ่!าหร�บการใช้' firewall ค(อ การ

ก!าหนดิ์นโยบายการร�กษ์าความปลอดิ์ภั�ย (Network Security Policy) ถึ*งแม'ว�า firewall จะม ประสิ่ที่ธิภัาพแค�ไหน แต่�ถึ'าม นโยบายการร�กษ์าความปลอดิ์ภั�ยที่ �หละหลวมก/ไม�ม ประโยช้น�มากน�ก

กฎที่ �บ�งค�บใช้'นโยบายการร�กษ์าความปลอดิ์ภั�ยใน firewall น�1นเร ยกว�า ACL (Access Control List) หร(อ Firewall Rule

การต่รวจสิ่อบกฎใน ACL น�1น สิ่�วนใหญ�เป3นแบบ First Match โดิ์ย firewall จะต่รวจสิ่อบกฎที่ ละข้'อต่ามล!าดิ์�บจนกระที่��งพบก�บกฎที่ �ต่รงก�บเง(�อนไข้

2


ความสิ่ามารถึข้อง Firewall

บ�งค�บใช้'นโยบายดิ์'านความปลอดิ์ภั�ยโดิ์ยการก!าหนดิ์กฎให'ก�บไฟร�วอลล� ว�าจะอน#ญาต่หร(อไม�ให'ใช้'เซอร�วสิ่ช้นดิ์ใดิ์

ป7องก�นการ login ที่ �ไม�ไดิ์'ร�บอน#ญาต่ที่ �มาจากภัายนอกเคร(อข้�าย

ป8ดิ์ก�1นไม�ให' traffic จากนอกเคร(อข้�ายเข้'ามาภัายในเคร(อข้�ายแต่�ก/ยอมให'ผ่9'ที่ �อย9�ภัายในเคร(อข้�ายสิ่ามารถึต่ดิ์ต่�อก�บโลกภัายนอกไดิ์'

เล(อกป7องก�นเน/ต่เวร�กบางสิ่�วนจากการเข้'าถึ*งข้องเน/ต่เวร�กภัายนอก‣ เช้�น ถึ'าหากเราม บางสิ่�วนที่ �ต่'องการให'ภัายนอกเข้'ามา

ใช้'เซอร�วสิ่ (เช้�น ถึ'าม Web Server) แต่�สิ่�วนที่ �เหล(อไม�ต่'องการให'ภัายนอกเข้'ามากรณี เช้�นน 1เราสิ่ามารถึใช้'ไฟร�วอลล�ช้�วยไดิ์'

3


ความสิ่ามารถึข้อง Firewall

ที่!าให'การพจารณีาดิ์9แลและการต่�ดิ์สิ่นใจดิ์'านความปลอดิ์ภั�ยข้องระบบเป3นไปไดิ์'ง�ายข้*1น‣ เน(�องจากการต่ดิ์ต่�อที่#กช้นดิ์ก�บเน/ต่เวร�กภัายนอกจะ

ต่'องผ่�านไฟร�วอลล�‣ การดิ์9แลที่ �จ#ดิ์น 1เป3นการดิ์9แลความปลอดิ์ภั�ยในระดิ์�บ

ข้องเน/ต่เวร�ก (Network-based Security) บ�นที่*กข้'อม9ลกจกรรมต่�างๆ (audit) ที่ �ผ่�านเข้'า

ออกเน/ต่เวร�กไดิ์'อย�างม ประสิ่ที่ธิภัาพ‣ Firewall เป3นจ#ดิ์รวมสิ่!าหร�บการร�กษ์าความ

ปลอดิ์ภั�ยและการที่!า audit (เปร ยบเสิ่ม(อนจ#ดิ์ร�บแรงกระแที่กข้องเคร(อข้�าย)

ไฟร�วอลล�บางช้นดิ์สิ่ามารถึป7องก�นไวร�สิ่ไดิ์'โดิ์ยจะที่!าการต่รวจไฟล�ที่ �โอนย'ายผ่�านที่างโปรโต่คอล HTTP, FTP และ SMTP

4


ข้'อจ!าก�ดิ์ข้อง firewall Firewall ไม�สิ่ามารถึป7องก�นการโจมต่ ที่ �ไม�ไดิ์'กระที่!าผ่�าน

Firewall‣ อ�นต่รายที่ �เกดิ์จากเน/ต่เวร�กภัายในไม�สิ่ามารถึป7องก�นไดิ์'

เน(�องจากอย9�ภัายในเน/ต่เวร�กเองไม�ไดิ์'ผ่�านไฟร�วอลล�เข้'ามา‣ อ�นต่รายจากภัายนอกที่ �ไม�ไดิ์'ผ่�านเข้'ามาที่างไฟร�วอลล�เช้�นการ

Dial-up เข้'ามาย�งเน/ต่เวร�กภัายในโดิ์ยต่รงโดิ์ยไม�ไดิ์'ผ่�านไฟร�วอลล�

ไม�สิ่ามารถึป7องก�นการโจมต่ ที่ �เข้'ามาก�บ application protocols ต่�างๆ (เร ยกว�าการ tunneling) หร(อก�บโปรแกรม client ที่ �ม ความล�อแหลมและถึ9กดิ์�ดิ์แปลงให'กระที่!าการโจมต่ ไดิ์' (โปรแกรมที่ �ถึ9กที่!าให'เป3น Trojan horse)

5


ข้'อจ!าก�ดิ์ข้อง firewall ไม�สิ่ามารถึป7องก�น virus ไดิ์'อย�างม ประสิ่ที่ธิภัาพ

‣ ถึ*งแม'จะม ไฟร�วอลล�บางช้นดิ์ที่ �สิ่ามารถึป7องก�นไวร�สิ่ไดิ์'แต่�ก/ย�งไม�ม ไฟร�วอลล�ช้นดิ์ใดิ์ที่ �สิ่ามารถึต่รวจสิ่อบไวร�สิ่ไดิ์'ในที่#กๆโปรโต่คอล

‣ จ!านวน virus ม อย9�มากมาย จ*งจะเป3นการยากมากที่ � firewall จะสิ่ามารถึต่รวจจ�บ pattern ข้อง virus ที่�1งหมดิ์ไดิ์'

6


ข้'อดิ์ -ข้'อเสิ่ ยข้องการใช้'ไฟร�วอลล�

ข้'อดิ์ ‣ ที่!าให'การจ�ดิ์การดิ์'านความม��นคงง�ายข้*1น‣ สิ่ามารถึที่ �จะสิ่ร'างการเก/บข้'อม9ลและการมอนเต่อร�แบบ

ข้�1นซ�บซ'อนไดิ์'‣ สิ่ามารถึ VPN โดิ์ยการใช้' IPSec ไปหาเคร(�องอ(�นไดิ์'‣ สิ่ามารถึแบ�งแยก หร(อ แยกป<ญหาไดิ์'‣ ซ�อน IP address ข้องเคร(�องภัายใน จากภัายนอกไดิ์'

ข้'อเสิ่ ย‣ เป3นคอข้วดิ์ข้องระบบ‣ เป3นจ#ดิ์ผ่ดิ์พลาดิ์เพ ยงจ#ดิ์เดิ์ ยว‣ อาจความม��นใจที่ �ผ่ดิ์ในสิ่�งที่ �ที่!าที่ �คดิ์ว�าถึ9ก

7


Rules of Packet Filtering

การที่!างานข้อง Packet Filtering อาศั�ยเง(�อนไข้ในการต่�ดิ์สิ่นใจว�าจะอน#ญาต่ให' packet ใดิ์ๆผ่�านไปหร(อไม� จากกฏใน Access Control List (ACL)

ACL ก!าหนดิ์เง(�อนไข้ข้องข้'อม9ลสิ่(�อสิ่าร หร(อ ที่ราฟฟ8ก (traffic) ที่ �ไดิ์'ร�บอน#ญาต่ (permit) ให'เข้'าถึ*ง หร(อ ถึ9กปฏเสิ่ธิ (deny) ไม�ให'เข้'าถึ*งเคร(อข้�าย

8


พฤต่กรรมข้อง ACL โดิ์ยที่��วไป

ล!าดิ์�บบรรที่�ดิ์ข้อง Access Control Entry (ACE) แต่�ละบรรที่�ดิ์ที่ �ถึ9กสิ่ร'างลงไปใน ACL จะม ความสิ่!าค�ญมาก

ที่#กๆ ACL ที่ �สิ่ร'างข้*1นมาจะม เง(�อนไข้สิ่#ดิ์ที่'ายที่ �ถึ9กซ�อนไว'เสิ่มอ เรานยมเร ยกว�า implicit deny all ซ*�งค(อ ที่ราฟ8กใดิ์ๆ ที่ �ไม�สิ่อดิ์คล'องก�บเง(�อนไข้ในบรรที่�ดิ์ต่�างๆ ก�อนหน'าน 1 ที่ราฟ8กน�1นจะถึ(อว�า ถึ9กปฏเสิ่ธิ (deny/block) ไปโดิ์ยปรยายและถึ9กโยนที่1งไปโดิ์ยอ�ต่โนม�ต่

9


พฤต่กรรมข้อง ACL โดิ์ยที่��วไป

ACL จะถึ9กไล�เปร ยบเที่ ยบจากบรรที่�ดิ์บนลงล�าง ที่ ละบรรที่�ดิ์ จนกว�าจะพบบรรที่�ดิ์ที่ �ม เง(�อนไข้สิ่อดิ์คล'องก�บแพ/กเก/ต่ที่ �ว�งเข้'ามาให'ต่รวจเช้/กในข้ณีะน�1น

เม(�อเง(�อนไข้ที่ �สิ่อดิ์คล'อง Firewall (ซ*�งสิ่�วนมากจะต่ดิ์ต่�1งที่ �เราเต่อร�) จะดิ์9ว�า action ที่ �ต่�1งไว'เป3น allow (permit) หร(อ block (deny) ‣ หากเป3น allow เราเต่อร�จะอน#ญาต่ให'ที่ราฟ8ก

(traffic) น�1นว�งผ่�านไปไดิ์' ‣ แต่�ถึ'าเป3น block ที่ราฟ8ก (traffic) น�1นจะถึ9กโยนที่1ง

(drop) ไป

10


ต่�วอย�าง Firewall Rules

11

Source DestinationProtocol Action

Address Port Address Port

* * 119.46.85.5 * * Block

* * 192.168.10.1 22 TCP Allow

192.168.*.* * * 22 TCP Allow

* * * 80 TCP Allow

* * * 80 UDP Allow

* * * * * Block


ต่�วอย�าง Firewall Rules ไม�อน#ญาต่ให' host ใดิ์ๆ เช้(�อมต่�อไปย�ง IP

Address 119.46.85.5 ไม�ว�าจะเป3น port ใดิ์ๆ หร(อ protocol ใดิ์ๆ ‣ เช้�น เม(�อ 119.46.85.5 เป3น host อ�นต่ราย

อน#ญาต่ให' host ใดิ์ๆ เช้(�อมต่�อมาย�ง IP Address 192.168.10.1 ผ่�าน port 22 ดิ์'วย TCP protocol ไดิ์'‣ เช้�น เม(�อ 192.168.10.1 เป3น Server ข้องเรา และ

ให'บรการ SSH (port 22) อน#ญาต่ให' host ภัายในใดิ์ๆ เช้(�อมต่�อไปย�ง IP

Address ใดิ์ๆ ผ่�าน port 22 ดิ์'วย TCP protocol ไดิ์'‣ อน#ญาต่ให'เช้(�อมต่�อไปย�ง Server ใดิ์ก/ไดิ์'ที่ �ให'บรการ

SSH อน#ญาต่การเช้(�อมต่�อผ่�าน port 80 (HTTP) ไดิ์'ที่�1ง

TCP และ UDP protocol ไม�อน#ญาต่การเช้(�อมต่�อแบบอ(�น ที่ �ไม�ระบ#ใน ACL

12


ต่�วอย�าง Packet Filtering Rules

Packets มาจากหร(อสิ่�งไปย�ง 75.13.126.11 ถึ9ก blocked เน(�องจากโฮสิ่ต่�ดิ์�งกล�าวไม�น�าไว'วางใจ

อน#ญาต่ให'ร�บ inbound email (port 25 = SMTP incoming) จากภัายนอกเข้'ามาไดิ์' แต่�เข้'ามาย�ง gateway 192.168.1.1 ไดิ์'เที่�าน�1น

13

Source SrcPort

Destination Dest Port

Action

Comment

75.13.126.11

* 75.13.126.11

* Block ไม�เช้(�อถึ(อ server น 1* * 192.168.1.1 25 Allow Connection มาย�ง

SMTP ข้องเรา

ม การระบ# default policy ม�กใสิ่�กฏข้'อน 1ไว'เป3นข้'อสิ่#ดิ์ที่'ายเสิ่มอ กล�าวค(อ ให' Block การเช้(�อมต่�อที่ �นอกเหน(อจากกฏที่ �ระบ#ไว'แล'ว

Source SrcPort

Destination

Dest Port

Flag Action

Comment

* * * * * Block Default


ต่�วอย�าง Packet Filtering Rules

หล�งจากที่ � TCP connection ถึ9กเช้(�อมต่�อแล'ว จะม การเซ/ต่ Flag ACK เพ(�อต่อบร�บกล�บต่�วอย�างกฏที่ �จ�ดิ์การก�บ FTP connections FTP ประกอบดิ์'วยการเช้(�อมต่�อแบบ TCP 2 การเช้(�อมต่�อที่!างาน

ประสิ่านก�น: ‣ control connection ใช้'ในการ setup ก�อนการสิ่�งข้'อม9ล‣ data connection ใช้'ในการสิ่�งข้'อม9ล

Data connection ใช้' port หมายเลข้ที่ �ก!าหนดิ์โดิ์ย Server โดิ์ยม�กจะใช้' port หมายเลข้สิ่9งๆ

กฏช้#ดิ์น 1อน#ญาต่ ‣ Traffic จากเคร(�อง client ภัายใน สิ่ามารถึเช้(�อมต่�ออกไปออกไป

ภัายนอกไดิ์' ‣ Traffic จากภัายนอก สิ่ามารถึต่อบกล�บการเช้(�อมต่�อ (ACK) เข้'า

มาหาเคร(�องภัายในใดิ์ๆไดิ์'‣ Traffic จากภัายนอก สิ่ามารถึเช้(�อมต่�อมาย�งเคร(�อง client

เฉพาะที่ �เข้'ามาย�ง port หมายเลข้สิ่9งๆ

14

Source SrcPor

t

Destination

Dest Port

Flag Action

Comment

192.168.*.*

* * * Allow การเช้(�อมต่�อข้าออก* * * * ACK Allow ต่อบกล�บการเช้(�อมต่�อข้า

ออก* * * >102

4Allow Traffic ไปย�งเคร(�องที่ �

ไม�เป3น Server


กจกรรม 1: วเคราะห� Firewall Rules

จ�บกล#�ม 2 – 3 คน พจารณีา Firewall Rules ที่ �ก!าหนดิ์ให' เพ(�อ

วเคราะห�ข้'อดิ์ ข้'อจ!าก�ดิ์ ข้อง – Firewall Rules แต่�ละช้#ดิ์

15


กจกรรม 1: วเคราะห� Firewall Rules

16

Source SrcPort

Destination

Dest Port

Flag

Action Comment

* * * 25 Allow Connection ไปย�ง SMTP ภัายนอก SMTP (Simple Mail Transfer

Protocol) ใช้' Port 25 เป3น port default ที่ �ร�บการเช้(�อมต่�อสิ่!าหร�บ SMTP

จ#ดิ์ประสิ่งค�ข้องกฏข้'อน 1ค(อ เพ(�อที่ �จะอน#ญาต่ให'เป8ดิ์การเช้(�อมต่�อไปย�งบรการ SMTP ภัายนอกไดิ์'

จ#ดิ์อ�อนข้องการต่�1ง Firewall Rules ในข้'อน 1ค(ออะไร จงอธิบาย

จงแนะน!าการต่�1ง Firewall Rules ที่ �เหมาะสิ่มสิ่!าหร�บกรณี น 1


สิ่ร#ป ถึ*งแม'ว�า firewall จะเป3นเคร(�องม(อที่ �สิ่ามารถึน!า

มาใช้'ป7องก�นการโจมต่ จากภัายนอกเคร(อข้�ายไดิ์' อย�างม ประสิ่ที่ธิภัาพ การที่ �จะใช้' firewall ให'ไดิ์'ประโยช้น�สิ่9งสิ่#ดิ์น�1นจะข้*1นอย9�ก�บนโยบายความปลอดิ์ภั�ยโดิ์ยรวมข้ององค�กร ดิ์'วย

แม'แต่� firewall ที่ �ดิ์ ที่ �สิ่#ดิ์ก/ไม�สิ่ามารถึน!ามาใช้'แที่นการม จต่สิ่!าน*กในการที่ �จะร�กษ์าความปลอดิ์ภั�ย ภัายในเคร(อข้�ายข้องผ่9'ที่ �อย9�ในเคร(อข้�ายน�1นเอง

17


Network Address Translation (NAT)

NAT ไม�ใช้�เที่คโนโลย ข้อง firewall แต่� firewall สิ่�วนใหญ�รวมฟ<งก�ช้�นการที่!างานน 1เข้'าไว'ดิ์'วย

NAT เป3นเที่คโนโลย ที่ �ใช้'สิ่!าหร�บการแก'ป<ญหาหมายเลข้ไอพ บนอนเที่อร�เน/ต่ที่ �ไม�เพ ยงพอ

18



หล�กการที่!างานข้อง NAT น�1นจะคล'ายก�บหล�กการที่!างานข้อง Stateful Inspection Firewall แต่�ม สิ่�วนเพ�มเต่มค(อ ‣ Firewall จะเปล �ยนแอดิ์เดิ์รสิ่ข้องที่#กแพ/กเก/ต่ที่ �ต่'อง

สิ่�งออกไปข้'างนอก ‣ เม(�อ NAT gateway ไดิ์'ร�บแพ/กเก/ต่จาก

คอมพวเต่อร�ภัายในที่ �ใช้' Private IP (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/24) ที่ �จะต่'องสิ่�งต่�อไปย�งอนเที่อร�เน/ต่ NAT จะบ�นที่*กหมายเลข้ไอพ ที่ �เป3น source address, source port, destination address, destination port หล�งจากน�1น NAT จะเปล �ยน source address ให'เป3นหมายเลข้ IP address จรงข้อง firewall แล'วสิ่�งต่�อไป

19



20

10.0.0.1

10.0.0.2

10.0.0.3

S: 10.0.0.1, 3345D: 128.119.40.186, 80

110.0.0.4

138.76.29.7

1: host 10.0.0.1 สิ่�ง datagram ไปย�ง128.119.40.186, 80

NAT translation tableWAN side address LAN side address

138.76.29.7, 5001 10.0.0.1, 3345…… ……

S: 128.119.40.186, 80 D: 10.0.0.1, 3345

4

S: 138.76.29.7, 5001D: 128.119.40.186, 80

2

2: NAT routerเปล �ยน source address ข้อง datagram จาก10.0.0.1, 3345 เป3น138.76.29.7 พอร�ต่ 5001, พร'อมอ�ปเดิ์ต่ NAT table

S: 128.119.40.186, 80 D: 138.76.29.7, 5001

33: Reply กล�บมาย�ง destination address: 138.76.29.7 พอร�ต่ 5001

4: NAT routerเปล �ยน destination address ข้อง datagram จาก138.76.29.7 พอร�ต่ 5001 เป3น 10.0.0.1 พอร�ต่ 3345

Information system security wk6-2

Education

firewall rules host

acl acl firewall action

information technologypage11

host ip address port

port protocol

source port

nat table

host host ip address