ความรู้พื้นฐานเกี่ยวกับไฟร์วอลล์ (Firewall)
ปัจจุบันอินเตอร์เน้ตมีบทบาทสำคัญต่อการดำเนินกิจกรรมต่างๆเป็นอย่างมาก ไม่ว่าจะเป็นด้านการติดต่อสื่อสาร ธุรกิจ การศึกษา หรือว่าเพื่อความบันเทิง องค์กรต่างๆทั้งภาครัฐและเอกชน ต่างก็นำเน็ตเวิร์กของตนเชื่อมต่อเข้ากับอินเตอร์เน็ตเพื่อที่จะได้รับประโยชน์เหล่านี้ แต่เราต้องไม่ลืมว่าการนำเอาเน็ตเวิร์กไปเชื่อมต่อกับอินเตอร์เน็ตนั้น ทำให้ใครก็ได้บนอินเตอร์เน็ตสามารถเข้ามายังเน็ตเวิร์กนั้นๆได้ ปัญหาที่ตามมาก็คือความปลอดภัยของระบบเน็ตเวิร์ก เช่น ทำให้เกิดความเสี่ยงต่อการถูกเจาะระบบ และ ขโมยข้อมูลเป็นต้น
มารู้จักกับไฟร์วอลล์
ไฟร์วอลล์ จะหมายถึงกำแพงที่เอาไว้ป้องกันไฟไม่ให้ลุกลามไปยังส่วนอื่นๆส่วนทางด้านคอมพิวเตอร์นั้นก็จะมีความหมายคล้ายๆกันก็คือเป็นระบบที่เอาไว้ป้องกันอันตรายจากอินเตอร์เน็ ตหรือเน็ตเวิร์กภายนอกนั่นเอง
ไฟร์วอลล์ เป็นคอมโพเน็นต์หรือกลุ่มของคอมโพเน็นต์ที่ทำหน้าที่ในการควบคุมการเข้าถึงระหว่างเน็ตเวิร์กภายนอกหรือเน็ตเวิร์กที่เราคิดว่าไม่ปลอดภัย กับเน็ตเวิร์กภายในหรือเน็ตเวิร์กที่เราต้องการจะป้องกัน โดยที่คอมโพเน็นต์นั้นอาจจะเป็นเราเตอร์ คอมพิวเตอร์ หรือเน็ตเวิร์กประกอบกันก็ได้
รูปที่ 1 ไฟร์วอลล์กั้นระหว่างอินเตอร์เน็ตกับเน็ตเวิร์กภายใน
การควบคุมการเข้าถึงของไฟร์วอลล์นั้น สามารถทำได้หลายระดับและหลายรูปแบบขึ้นอยู่กับชนิดหรือเทคโนโลยีของไฟร์วอลล์ที่นะมาใช้ เช่น เราสามารถกำหนดได้ว่าจะมีการเข้ามาใช้เซอร์วิสอะไรได้บ้างจากที่ไหน เป็นต้น
ชนิดของไฟร์วอลล์
ชนิดของไฟร์วอลล์แบ่งตามเทคโนโลยีที่ใช้ในการตรวจสอบและควบคุม แบ่งได้เป็น
-Packet Filtering
-Proxy Service
-Stateful Inspection
Packet Filtering
Packet Filtering คือเราเตอร์ที่ทำการหาเส้นทางและส่งต่ออย่างมีเงื่อนไข โดยพิจารณาจากข้อมูลในส่วนของเฮดเดอร์ของแพ็กเก็ตที่ผ่านเข้ามา เทีบยกับกฏที่กำหนดไว้และตัดสินว่าควรจะทิ้งแพ็กเก็ตนั้นไปหรือว่าจะยอมให้แพ็กเก็ตนั้นผ่านไปได้
รูปที่ 2 ใช้ Screening Router ทำหน้าที่ Packet Filtering
ในการพิจารณาเฮดเดอร์ Packet Filter จะตรวจสอบในระดับของอินเตอร์เน็ตเลเยอร์และทรานสปอร์ตเลเยอร์ในอินเตอร์เน็ตโมเดล ซึ่งในอินเตอร์เน็ตเลเยอร์จะมีแอตทริบิวต์ที่สำคัญต่อ Packet Filtering ดังนี้
-ไอพีต้นทาง
-ไอพีปลายทาง
-ชนิดโปรโตคอล (TCP UDP และICMP)
และในระดับของทรานสปอร์ตเลเยอร์ มีแอตทริบิวต์ที่สำคัญคือ
-พอร์ตต้นทาง
-พอร์ตปลายทาง
-แฟล็ก
-ชนิดของ ICMP message
ซึ่งพอร์ตของทรานสปอร์ตเลเยอร์ คือทั้ง TCP และ UDP นั่นจะเป็นสิ่งทีบอกถึงแอพพลิเคชั่นที่แพ็กเก็ตนั้นต้องการติดต่อด้วยกันเช่น พอร์ต 80 หมายถึง HTTP, พอร์ต 21 หมายถึง FTP เป็นต้น
ข้อดี-ข้อเสียของ Packet Filtering
ข้อดี
-ไม่ขึ้นกับแอพพลิเคชั่น
-มีความเร็วสูง
-รองรับการขยายตัวได้ดี
-รองรับการขยายตัวได้ดี
ข้อเสีย
-บางโปรโตคอลไม่เหมาะสมกับการใช้ Packet Filtering เช่น FTP,ICQ
Proxy
Proxy หรือ Application Geteway เป็นแอพพลิเคชั่นโปรแกรมที่ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก ทำหน้าที่เพิ่มความปลอดภัยโดยการควบคุมการเชื่อมต่อระหว่างเน้ตเวิณกภายในและภายนอก Proxy จะเพิ่มความปลอดภัวได้มากเนื่องจากมีการตรวจสอบข้อมูลถึงในระดับของแอพพลิเคชั่นเลเยอร์
รูปที่ 3 ใช้ Dualhomed Host เป็น Proxy Server
ข้อดี-ข้อเสียของ Proxy
ข้อดี
-มีความปลอดภัยสูง
-รู้จักข้อมูลในระดับแอพพลิเคชั่น
ข้อเสีย
-ประสิทธิภาพต่ำ
-สามารถขยายตัวได้ยาก
Stateful Inspection Technology
Stateful Inspection เป็นเทคโนโลยีทีเพิ่มเข้าไปใน Packet Filtering โดยการพิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั้น แทนที่จะดูข้อมูลจากเฮดเดอร์เพียงอย่างเดียวแต่จะนำเอาส่วนข้อมูลของแพ็กเก็ตและข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่าเป็นแพ็กเก็ตที่ติดต่อเข้ามาใหม่หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยุู่แล้ว
Firewall Architecture
จะพูดถึงการจัดวางไฟร์วอลล์คอมโพเน็นต์ในแบบต่างๆเพื่อทำให้เกิดระบบไฟร์วอลล์ขึ้น
รูปที่ 4 Firewall Architecture
Screened Host Architecture
Screened Host Architecture จะมีโฮสต์ซึ่งให้บริการ Proxy เหมือนกกับใน Single Box Architecture ที่เป็น Dual-homed Host แต่จะต่างกันที่ว่า โฮสต์นั้นอยู่ภายในเน้ตเวิร์ก ไม่ต่ออยู่กับเน็ตเวิร์กภายนอกอื่นๆ
รูปที่ 5 Screened Host Architecture
Architecture นี้เหมาะสำหรับ
-เน็ตเวิร์กที่มีการติดต่อกับเน้ตเวิร์กภายนอกน้อย
-เน้ตเวิร์กที่มีการป้องกันความปลอดภัยในระดับของโฮสต์เป็นอย่างดี
Multi Layer Architecture
ในสถาปัตยกรรมแบบหลายชั้น ไฟร์วอลล์จะเกิดขึ้นจากคอมโพเน็นต์หลายๆส่วนทำหน้าที่ประกอบกันขึ้นเป็นระบบ วิธีการนี้สามารถเพิ่มความปลอดภัยได้มาก เนื่องจากจะเป็นการลดความเสี่ยงต่อความผิดพลาดที่อาจเกิดขึ้น ถ้าหากไฟร์วอลล์มีเพียงจุกเดียวแล้วเกิดความผิดพลาดขึ้น ระบบจะเป็นอันตรายแต่ถ้ามีการป้องกกันหลายชั้น หากในชั้นแรกถูกเจาะก็อาจเสียหายเพียงบางส่วน ส่วนที่เหลือระบบยังคงมีชั้นอื่นๆในการป้องกันอันตรายและยังคงลดความเสี่ยงได้โดยการที่แต่ละชั้นมีเทคโนโลยีที่แตกต่างกัน เพื่อให้เกิดความหลากหลาย เป็นการหลีกเลี่ยงการโจมตีหรือช่องโหว่ที่อาจมีในเทคโนโลยีชนิดใดชนิดหนึ่ง โดยทั่วไปแล้วสถาปัตยกรรมแบบหลายชั้นจะเป็นการต่อกันโดยมี Perimeter Network อยู่ตรงกลาง เรียกว่า Screened Subnet Architecture
รูปที่ 6 Screened Subnet Architecture
ไม่มีความคิดเห็น:
แสดงความคิดเห็น