นโยบายการรักษาความปลอดภัย
การใช้งานไฟร์วอลล์สิ่งที่สำคัญที่สุด การกำหนดนโยบายการรักษาความปลอดภัยกล้องวงจรปิด แม้ว่าไฟร์วอลล์มีประสิทธิภาพและความปลอดภัยมาก
แต่ถ้ามีนโยบายการรักษาความที่หละหลวมไฟร์วอลล์ก็ไม่มีประโยชน์มากนัก การติดตั้งไฟร์วอลล์ควรำหนดนโยบายการรักษาความปลอดภัย
ที่สามารถควบคุมหรือป้องกันทราฟฟิก อาจมีผลกระทบต่อการใช้งานเครือข่ายให้มากที่สุด การนำนโยบายไปบังคับใช้ในไฟร์วอลล์
กฏที่บังคับใช้นโยบายการรักษาความปลอดภัยในโฟร์วอลล์นั้นเรียกว่า ACL หรือไฟร์วอลล์รูล
ส่วนใหญ่ไฟร์วอลล์มีฟังก์ชัน NAT อยู่เป็นเทคโนโลยีที่ใช้สำหรับการแก้ปัญหาหมายเลขไอพีที่ใช้งานบนอินเทอร์เน็ต
สินค้าแนะนำ : รั้วไฟฟ้ากันขโมย กล้องวงจรปิด สัญญาณกันขโมยไร้สาย
NAT (Network Address Translation)
ส่วนใหญ่ไฟร์วอลล์มีฟังก์ชัน NAT อยู่เป็นเทคโนโลยีที่ใช้สำหรับการแก้ปัญหาหมายเลขไอพีที่ใช้งานบนอินเทอร์เน็ต
เมื่อเชื่อมต่อเข้ากับอินเทอร์เน็ตคอมพิวเตอร์ต้องมีหมายเลขไอพีจริงเพื่อคอมพิวเตอร์เครื่องอื่นบนอินเตอร์เน็ตจะได้ส่งแพ็กเก็ตกลับมาหาได้
ซึ่งองค์กรกลางทำหน้าที่บริหารจัดการเกี่ยวกับการแจกหมายเลขไอพีเป็นลำดับชั้น โดยแจกเป็นบล็อคของหมายเลขลงไปให้ผู้ให้บริการอินเทอร์เน็ต
ก็จะแจกจ่ายให้กับลูกค้าอีกทีหนึ่ง สำหรับลูกค้าระดับองค์กร ที่ต้องการเชื่อมต่อเครือข่ายขององค์กรกับอินเทอร์เน็ตผู้ดูแลระบบจะต้องมีการวางแผนเกี่ยวกับการใช้หมายเลขไอพีให้เพียงพอต่อความต้องการ
- ต้องวางแผนเกี่ยวกับการใช้หมายเลขไอพี ให้เพียงพอสำหรับคอมพิวเตอร์ในเครือข่าย
สิ่งที่ควรพิจารณา คือ
- ต้องวางแผนเกี่ยวกับการใช้หมายเลขไอพี ให้เพียงพอสำหรับคอมพิวเตอร์ในเครือข่าย
- โดยทั่วไปแล้วจะมีกลุ่มของไอพีบางส่วนที่อาจไม่ได้ใช้งาน
หลักการทำงานของ NAT
หลักการทำงานคล้ายกับสเตทฟูลอินสเปคชันไฟร์วอลล์แต่มีส่วนที่เพิ่มเติม คือ ไฟร์วอลล์จะเปลี่ยนแอดเดรสของทุกแพ็กเก็ตที่ต้องส่งออกไปข้างนอก
NAT เกตเวย์เมื่อได้รับแพ็กเก็ตจากคอมพิวเตอร์ภายในที่ใช้ไพรเวทไอพีจะต้องส่งต่อไปยังอินเทอร์เน็ต จะบันทึกหมายเลขไอพี
ที่เป็นซอร์สแอดเดรส ซอร์สพอร์ต เดสติเนชันแอดเดรส และเดสติเนชันพอร์ต และจะเปลี่ยนซอร์สแอดเดรสเป็นหมายเลขไอพีจริงของไฟร์วอลล์แล้วค่อยส่งต่อไป
เซิร์ฟเวอร์ที่อยู่บนอินเทอร์เน็ตได้รับแพ็กเก็ตที่มาจากแอดเดรสของไฟร์วอลล์ก็จะตอบกลับมายังแอดเดรสนี้ เมื่อแพ็กเก็ตตอบกลับมาก็จะค้นหา
เซิร์ฟเวอร์ที่อยู่บนอินเทอร์เน็ตได้รับแพ็กเก็ตที่มาจากแอดเดรสของไฟร์วอลล์ก็จะตอบกลับมายังแอดเดรสนี้ เมื่อแพ็กเก็ตตอบกลับมาก็จะค้นหา
แอดเดรสและหมายเลขพอร์ตที่เก็บไว้ในเทเบิล เพื่อค้นหาว่าหมายเลขไอพีของคอมพิวเตอร์ที่ส่งการร้องขอไปในตอนแรกนั้นจะเปลี่ยนเดสติเตชันแอดเดรส
เป็นหมายเลขไอพีที่ค้นพบ แล้วค่อยส่งต่อไปให้เครื่องอีกครั้ง
ข้อจำกัดของ NAT
NAT จะมีประโยชน์มากแต่เทคนิคที่ใช้แก้ไขปัญหาทำให้เกิดข้อจำกัดหลายอย่าง NAT เกตเวย์ส่วนใหญ่สามารถแทนค่าแอดเดรส
ที่เป็นข้อมูลที่อยู่ในเฮดเดอร์เท่านั้น อาจทำให้บางแอพพลิเคชันทำงานผ่าน NAT ไม่ได้เพราะแอพพลิเคชันอาจเก็บข้อมูลลางอย่างไว้ส่วนด้าต้าแพ็กเก็ต
ส่วนใหญ่ผู้ใช้เชื่อมั่นใน NAT และไพรทอินเทอร์เน็ตแอดเดรส เครือข่ายภายในจะปลอดภัยจากการถูกโจมตี
หลักการพื้นฐานของการทำ NAT เฉพาะทราฟฟิกที่ออกไปข้างนอกเท่านั้น ทำให้ผู้โจมตีจากภายนอกไม่สามารถเชื่อมต่อโดยตรงกับคอมพิวเตอร์
หลักการพื้นฐานของการทำ NAT เฉพาะทราฟฟิกที่ออกไปข้างนอกเท่านั้น ทำให้ผู้โจมตีจากภายนอกไม่สามารถเชื่อมต่อโดยตรงกับคอมพิวเตอร์
ที่อยู่ในเครือข่าย แม้ว่าจะมีการอนุญาตให้ผ่านที่ไฟร์วอลล์ก็ตาม การติดตอระหว่างภายในและภายนอกก็จะขาดกันโดยสิ้นเชิง
การโจมตีของแฮคเกอร์นั้นจะทำในระดับแอพพลิเคชันไม่ใช่ในระดับแพ็กเก็ต ผู้โจมตีอาจมีวิธีที่จะทำให้ผู้ใช้ภายใน
เริ่มการเชื่อมต่อไปหาเครื่องของแฮคเกอร์ก่อน การเชื่อมต่อก็จะเกิดขึ้นทำให้ผู้โจมตีสามารถเจาะเข้ามาในระบบได้
ส่วนใหญ่ไฟร์วอลล์จะฟังก์ชันที่นอกเหนือจากการทำ NATReverse NAT เป็นบริการทำให้ผู้ใช้บนอินเทอร์เน็ตสามารถเข้าใช้บริการเซิร์ฟเวอร์ที่ภายในได้
Reverse NAT
ส่วนใหญ่ไฟร์วอลล์จะฟังก์ชันที่นอกเหนือจากการทำ NATReverse NAT เป็นบริการทำให้ผู้ใช้บนอินเทอร์เน็ตสามารถเข้าใช้บริการเซิร์ฟเวอร์ที่ภายในได้
โดยการรีไดเร็คทราฟฟิกไปยังเครื่องใดเครื่องหนึ่งที่อยู่ในเครือข่าย ประโยชน์ของการทำรีเวิร์ส NAT เช่นเว็บเซิร์ฟเวอร์ที่อยู่ข้างนอก
ต้องการที่จะเข้าถึงดาตาเบสที่อยู่ข้างใน การทำรีเวิร์ส NAT เป็นการเปิดช่องโหว่ในเครือข่ายภายใน ก่อนที่จะทำรีเวิร์ส NAT ควรมีการศึกษาและควรดูแลความปลอดภัยสำหรับเซิร์ฟเวอร์เป็นพิเศษ
ไฟร์วอลล์จะทำหน้าที่ให้บริการแทนเซิร์ฟเวอร์ที่อยู่ภายใน ไฟร์วอลล์ต้องมีหมายเลขไอพีจริงสำหรับทุก ๆ เซิร์ฟเวอร์ที่อยู่ภายในที่ต้องการทำรีเวิร์ส NAT
ไฟร์วอลล์จะทำหน้าที่ให้บริการแทนเซิร์ฟเวอร์ที่อยู่ภายใน ไฟร์วอลล์ต้องมีหมายเลขไอพีจริงสำหรับทุก ๆ เซิร์ฟเวอร์ที่อยู่ภายในที่ต้องการทำรีเวิร์ส NAT
ไฟร์วอลล์จะเก็บเทเบิลของหมายเลขไอพีจริงและหมายเลขไอพีภายในและจะค้นหาจากเทเบิลว่าจะส่งต่อแพ็กเก็ตไปให้เครื่องใด
โดยเปลี่ยนเดสติเนชันแอดเดรสเป็นของเซิร์ฟเวอร์ภายในและซอร์สแอดเดรสเป็นของไฟร์วอลล์เอง เมื่อได้รับการตอบกลับจากเซิร์ฟเวอร์ก็จะส่งต่อไป
ให้เคลเอนต์ที่อยู่บนอินเทอร์เน็ต และจะเปลี่ยนซอร์สแอดเดรสเป็นของไอพีจริงของไฟร์วอลล์เอง
Linux Firewall : iptables
ระบบปฏิบัติการโอเพ่นซอร์สที่ได้รับความนิยมมาก ไม่ต้องเสียค่าลิขสิทธิ์เหมือนวินโดวส์หรือแมคอินทอช การพัฒนาเคอร์เนลของลีนุกซ์มีส่วนที่เกี่ยวกับฟิลเตอร์แพ็กเก็ต
ซอฟต์แวร์ส่วนนี้เรียกว่า iptables เป็นไฟร์วอลล์ที่มีมากับลีนุกซ์นั่นเองสามารถทำแพ็กเก็ตฟิลเตอร์ริง และ NAT ได้
และพัฒนาต่อจากเวอร์ชันเริ่มแรกที่เรียกว่า ipfwadm ไฟร์วอลล์ของลีนุกซ์ได้พัฒนาภายใต้ชื่อเน็ตฟิลเตอร์
ซึ่งเป็นส่วนหนึ่งของเคอร์เนลของลีนุกซ์ มีฟังก์ชันเกี่ยวกับการจัดการเน็คเวิร์คสแต็ค iptables เป็นเทเบิลของรูลเซตหรือชุดของข้อกำหนด
ซึ่งเป็นส่วนหนึ่งของเคอร์เนลของลีนุกซ์ มีฟังก์ชันเกี่ยวกับการจัดการเน็คเวิร์คสแต็ค iptables เป็นเทเบิลของรูลเซตหรือชุดของข้อกำหนด
แต่ละข้อกำหนดที่ผูกกับไอพีประกอบด้วยคลาสซิฟายเออร์และเป้าหมายที่ผูกติดกัน ฟีเจอร์ที่สำคัญของเน็ตฟิลเตอร์
- แพ็กเก็ตฟิลเตอริง
- แพ็กเก็ตฟิลเตอริง
- สเตทฟูลแพ็กเก็ตฟิลเตอริง
- รองรับ NAT และ NAPT
ไม่มีความคิดเห็น:
แสดงความคิดเห็น