Information system security wk6-1

IT346 Information System Security

Faculty of Information Technology Page

IT346 Information System Security Week 6-1: Firewall (1)

ผศ.ดร.มชฌกา อองแตง

1

Pongsak

Stamp

Application Layer

OSI v.s. TCP/IP Model

Application Layer

Presentation Layer

Session Layer

Transport Layer Transport Layer


Host-to-Network Layer

(Network Access)

Transport Layer

Network Layer

Data Link Layer

Physical Layer

OSI Model

Transport Layer

Internet Layer

TCP/IP Model

2

ความรพนฐานเกยวกบ โปรโตคอล TCP/IP

� TCP/IP (Transmission Control Protocol/ Internet Protocol) เปนชดของโปรโตคอลทถกใชในการสอสารผานเครอขายอนเทอรเนต ‣ โปรโตคอลมาตรฐานทใชสอสารจากตนทางขามเครอขายไปยงปลายทาง‣ สามารถหาเสนทางทจะสงขอมลไปไดเองโดยอตโนมต ถงแมวาในระหวางทาง

อาจจะผานเครอขายทมปญหา โปรโตคอลกยงคงหาเสนทางอนในการสงผานขอมลไปใหถงปลายทางได


อาจจะผานเครอขายทมปญหา โปรโตคอลกยงคงหาเสนทางอนในการสงผานขอมลไปใหถงปลายทางได

3

TCP/IP Protocol� TCP/IP มจดประสงคของการสอสารตามมาตรฐาน สามประการคอ ‣ เพอใชตดตอสอสารระหวางระบบทมความแตกตางกน ‣ ความสามารถในการแกไขปญหาทเกดขนในระบบเครอขาย เชนในกรณทผสง

และผรบยงคงมการตดตอกนอย แตโหนดกลางทใชเปนผชวยรบ-สงเกดเสยหายใชการไมได หรอสายสอสารบางชวงถกตดขาด กฎการสอสารนจะตองสามารถจดหาทางเลอกอนเพอทาใหการสอสารดาเนนตอไปไดโดยอตโนมต


จดหาทางเลอกอนเพอทาใหการสอสารดาเนนตอไปไดโดยอตโนมต‣ มความคลองตวตอการสอสารขอมลไดหลายชนดทงแบบทไมมความเรงดวน เชน

การจดสงแฟมขอมล และแบบทตองการรบประกนความเรงดวนของขอมล เชน การสอสารแบบ real-time และทงการสอสารแบบเสยง (Voice) และขอมล (data)

4

TCP/IP Model

Layer Protocol Example

Faculty of Information Technology

Encapsulation


Encapsulation� ขอมลทผานการ Encapsulate ในแตละ Layer มชอเรยกแตกตางกน ดงน‣ ขอมลทมาจาก User หรอกคอขอมลท User เปนผปอนใหกบ Application

เรยกวา User Data ‣ เมอแอพพลเคชนไดรบขอมลจาก user กจะนามาประกอบกบสวนหวของ

แอพพลเคชน เรยกวา Application Data และสงตอไปยงโปรโตคอล TCP ‣ เมอโปรโตคอล TCP ไดรบ Application Data กจะนามารวมกบ Header ของ


‣ เมอโปรโตคอล TCP ไดรบ Application Data กจะนามารวมกบ Header ของ โปรโตคอล TCP เรยกวา TCP Segment และสงตอไปยงโปรโตคอล IP ‣ เมอโปรโตคอล IP ไดรบ TCP Segment กจะนามารวมกบ Header ของ

โปรโตคอล IP เรยกวา IP Datagram และสงตอไปยง Host-to-Network Layer‣ ในระดบ Host-to-Network จะนา IP Datagram มาเพมสวน Error

Correction และ flag เรยกวา Ethernet Frame กอนจะแปลงขอมลเปนสญญาณไฟฟา สงผานสายสญญาณทเชอมโยงอยตอไป

7

Host-to-Network Layer� Host-to-Network Layer: โฮสต �� เครอขาย‣ โพรโตคอลสาหรบการควบคมการสอสารใน layer นไมมการกาหนดรายละเอยด

อยางเปนทางการ ‣ ดานผสง Layer นจะรบ IP Packet มาจาก IP Layer แลวสงไปยงโหนดทระบไว

ในเสนทางเดนขอมล‣ ดานผรบกจะทางานในทางกลบกน คอรบขอมลจากสายสอสารแลวนาสงใหกบ


‣ ดานผรบกจะทางานในทางกลบกน คอรบขอมลจากสายสอสารแลวนาสงใหกบ IP Layer

8

Internet Layer� Internet Layer: ‣ ใชประเภทของระบบการสอสารทเรยกวา ระบบ packet-switching network

ซงเปนการตดตอแบบ Connectionless (ไมจองการเชอมตอ)‣ หลกการทางานคอการปลอยใหขอมลขนาดเลกทเรยกวา แพกเกต (Packet)

สามารถไหลจากโหนดผสงไปตามโหนดตางๆ ในระบบจนถงจดหมายปลายทางไดโดยอสระ


ไดโดยอสระ ‣ หากวามการสงแพกเกตออกมาเปนชดโดยมจดหมายปลายทางเดยวกนใน

ระหวาง การเดนทางในเครอขาย แพกเกตแตละตวในชดนกจะเปนอสระแกกนและกน ดงนน แพกเกตทสงไปถงปลายทางอาจจะไมเปนไปตามลาดบกได

9

Internet Layer: IP� IP (Internet Protocol)‣ IP เปนโปรโตคอลในระดบNetwork Layer ทาหนาทจดการเกยวกบแอดเดรส

(Address) และขอมล และควบคมการสงขอมลทใชในการหาเสนทางของแพกเกต‣ กลไกในการหาเสนทางของ IP จะมความสามารถในการหาเสนทางทดทสด และ

สามารถเปลยนแปลงเสนทางไดในระหวางการสงขอมล และมระบบการแยกและ


สามารถเปลยนแปลงเสนทางไดในระหวางการสงขอมล และมระบบการแยกและประกอบดาตาแกรม (datagram) เพอรองรบการสงขอมลระดบ data link ทมขนาด MTU (Maximum Transmission Unit) ทแตกตางกน ทาใหสามารถนา IP ไปใชบนโปรโตคอลอนไดหลากหลาย เชน Ethernet ,Token Ring หรอ Apple Talk

10

Internet Layer: IP� IP (Internet Protocol)‣ การเชอมตอของ IP เพอทาการสงขอมล จะเปนแบบ connectionless หรอเกด

เสนทางการเชอมตอในทกๆครงของการสงขอมล 1 datagram โดยจะไมทราบถง datagram ทสงกอนหนาหรอสงตามมา ‣ การสงขอมลใน 1 datagram อาจจะเกดการสงไดหลายครงในกรณทมการแบง

ขอมลออกเปนสวนยอยๆ (fragmentation) และถกนาไปรวมเปน datagram


ขอมลออกเปนสวนยอยๆ (fragmentation) และถกนาไปรวมเปน datagram เดมเมอถงปลายทาง

11

Internet Layer: ICMP� ICMP (Internet Control Message Protocol)‣ ICMP เปนโปรโตคอลทใชในการตรวจสอบและรายงานสถานภาพของดาตาแกรม

(Datagram) ในกรณทเกดปญหากบ datagram เชน Router ไมสามารถสงdatagram ไปถงปลายทางได ‣ ICMP จะถกสงออกไปยง Host ตนทางเพอรายงานขอผดพลาด ทเกดขน ‣ ไมมอะไรรบประกนไดวา ICMP Message ทสงไปจะถงผรบจรงหรอไม หากมการ


‣ ไมมอะไรรบประกนไดวา ICMP Message ทสงไปจะถงผรบจรงหรอไม หากมการสง datagram ออกไปแลวไมม ICMP Message ฟอง Error กลบมา กแปลความหมายไดสองกรณคอ ขอมลถกสงไปถงปลายทางอยางเรยบรอย หรออาจจะมปญหา ในการสอสารทงการสง datagram และ ICMP Message ทสงกลบมากมปญหาระวางทางกได ‣ ICMP จงเปนโปรโตคอลทไมมความนาเชอถอ (unreliable) แตเปนหนาทของ

โปรโตคอลในระดบสงกวา Network Layer ในการสรางความนาเชอถอใหการสอสารนนๆ

12

Transport Layer

� Transport Layer : ชนสอสารนาสงขอมลแบงเปน Protocol 2 ชนด Transmission Control Protocol (TCP)‣ เปนแบบทมการจองชวงการเชอมตอตลอดระยะเวลาการสอสาร (connection-

oriented) ซงจะยอมใหมการสงขอมลเปนแบบ Byte stream ทไวใจไดโดยไมมขอผดพลาด


ขอผดพลาด ‣ ขอมลทมปรมาณมากจะถกแบงออกเปนสวนเลกๆ เรยกวา message ซงจะถก

สงไปยงผรบผาน Internet Layer ทางฝายผรบจะนา message มาเรยงตอกนตามลาดบเปนขอมลตวเดม ‣ TCP ยงมความสามารถในการควบคมการไหลของขอมล (Flow Control) เพอ

ปองกนไมใหผสง สงขอมลเรวเกนกวาทผรบจะทางานไดทนอกดวย

13

Transport LayerUDP (User Datagram Protocol) ‣ เปนการตดตอแบบไมการจองชวงการเชอมตอ (connectionless) ‣ มการตรวจสอบความถกตองของขอมลแตจะไมมการแจงกลบไปยงผสง จงถอได

วาไมมการตรวจสอบความถกตองของขอมล ‣ มขอดในดานความรวดเรวในการสงขอมล จงนยมใชในระบบผใหและผใชบรการ

(client/server system) ซงมการสอสารแบบ ถาม/ตอบ (request/reply)


(client/server system) ซงมการสอสารแบบ ถาม/ตอบ (request/reply) นอกจากนนยงใชในการสงขอมลประเภทภาพเคลอนไหวหรอการสงเสยง (voice) ทางอนเทอรเนต

14

Application Layer� Application Layer: โพรโตคอลททางานรวมกบแอพพลเคชน เชน

Telnet: โพรโตคอลสาหรบสรางจอเทอรมนลเสมอน‣ ชวยใหผใชสามารถตดตอกบ เครอง Host ทอยไกลออกไปโดยผานอนเทอรเนต

และสามารถทางานไดเสมอนกบวากาลงนงทางานอยทเครอง Host นน

FTP: โพรโตคอลสาหรบการจดการแฟมขอมล


FTP: โพรโตคอลสาหรบการจดการแฟมขอมล‣ FTP ชวยในการคดลอกแฟมขอมลมาจากเครอง อนทอยในระบบเครอขายหรอ

สงสาเนาแฟมขอมลไปยงเครองใดๆกได

SMTP: โพรโตคอลสาหรบการใหบรการจดหมายอเลกทรอนกส‣ SMTP ชวยในการจดสงขอความไปยง ผใชในระบบ หรอรบขอความทมผสงเขา

มา

15

ทาไมตองม Firewall?

� ปจจบนเครอขายอนเทอรเนตเตบโตอยางรวดเรว เครอขายขององคกรจาเปนทจะตองตอเขากบอนเทอรเนตเพอทจะใชในการตดตอสอสารและแลกเปลยนขอมล แตอนเทอรเนตนนเปนเครอขายสาธารณะ ดงนน จะมทงคนดและไมด และการรกษาความปลอดภยนนมความจาเปนมากสาหรบองคกร

� การใช Firewall นนกเพอใหผใชทอยภายในสามารถใชบรการเครอขายภายในได


� การใช Firewall นนกเพอใหผใชทอยภายในสามารถใชบรการเครอขายภายในไดเตมท และใชบรการเครอขายภายนอกได ในขณะท Firewall จะปองกนไมใหผใชภายนอกเขามาใชบรการเครอขายทอยขางในได แพกเกตทวงระหวางเครอขาย จะตองผาน Firewall กอน

� Firewall ทาหนาทควบคมการใชเครอขายไดโดยอนญาตหรอไมอนญาตใหแพกเกตผานได ซงแพกเกตทอนญาตใหผานหรอไมนน ขนอยกบนโยบายการรกษาความปลอดภยของเครอขาย

16

หลกการทางานของ Firewall� Firewall เปนคอมโพเนนต (Component) หรอกลมของคอมโพเนนต โดย

ทคอมโพเนนตนนอาจจะเปน เราเตอร คอมพวเตอร หรอเนตเวรก ประกอบกนกได

� Firewall บงคบใชนโยบายการรกษาความปลอดภยระหวางเครอขาย เพอควบคมการเขาถงระหวาง‣ เนตเวรกภายนอกหรอเนตเวรกทคดวาไมปลอดภย กบ


‣ เนตเวรกภายนอกหรอเนตเวรกทคดวาไมปลอดภย กบ‣ เนตเวรกภายในหรอเนตเวรกทตองการจะปองกน

17

หลกการทางานของ Firewall� การทางานของ Firewall ประกอบดวย 2 กลไก‣ อนญาตใหแพกเกต (packet) ผาน‣ ไมอนญาตใหแพกเกตผาน

� การควบคมการเขาถงของ Firewall นน สามารถทาไดในหลายระดบและหลายรปแบบขนอยชนดหรอเทคโนโลยของ Firewall ทนามาใช


หลายรปแบบขนอยชนดหรอเทคโนโลยของ Firewall ทนามาใช ‣ เชน เราสามารถกาหนดไดวาจะใหมการเขามาใชเซอรวสอะไรไดบาง จากทไหน

เปนตน

18

ประเภทของ Firewall

Firewall สามารถแบงไดเปนหลายประเภท ขนอยกบเกณฑทใชแบง

� แบงตามรปแบบการไหลของขอมลผาน Firewall Network-based firewall ‣ ปองกนเครอขายภายในจากภยคกคามจากภายนอก โดยการเฝาระวงขอมล


ปองกนเครอขายภายในจากภยคกคามจากภายนอก โดยการเฝาระวงขอมลสอสาร (traffic) ทวงเขามาและออกจากเครอขาย• Software-based firewall• Hardware-based firewall

Host-based firewall หรอ Personal firewall ‣ ปองกนคอมพวเตอรแตละเครองจากภยคกคามทางเครอขายทเครองนนเชอมตอ

อยเทานน

19

ประเภทของ Firewall� แบงโดยใช Layer การทางานของ Firewall

1.) Packet filtering firewall‣ เราเตอร (Router) ททาการหาเสนทางและสงตอ (route) อยางมเงอนไข โดย

พจารณาจากขอมลสวนทอยใน header ของแพกเกตทผานเขามา เทยบกบกฎ (rules) ทกาหนดไวและตดสนวาควรจะทง (drop) แพกเกตนนไปหรอวาจะยอม (accept) ใหแพกเกตนนผานไปได


(accept) ใหแพกเกตนนผานไปได 2.) Stateful inspection firewall‣ เปนเทคโนโลยทเพมเขาไปใน Packet Filtering โดยในการพจารณาวาจะยอมให

แพกเกตผานไปนน นอกจากจะดขอมลจาก Header แลว ยงนาเอาสวนขอมลของแพกเกต (message content) และขอมลทไดจากแพกเกตกอนหนานทไดทาการบนทกเอาไว นามาพจารณาดวย ทาใหสามารถระบไดวาแพกเกตใดเปนแพกเกตทตดตอเขามาใหม หรอวาเปนสวนหนงของการเชอมตอทมอยแลว

20

ประเภทของ Firewall3.) Application layer firewall‣ บางทเรยกวา Application Gateway เปนแอพพลเคชนททางานอยบน

Firewall ทตงอยระหวางเนตเวรก 2 เนตเวรก ‣ เพมความปลอดภยของระบบเนตเวรกโดยการควบคมการเชอมตอระหวางเนต

เวรกภายในและภายนอก ‣ Application Gateway จะชวยเพมความปลอดภยไดมากเนองจากมการ


‣ Application Gateway จะชวยเพมความปลอดภยไดมากเนองจากมการตรวจสอบขอมลถงในระดบของแอพพลเคชนเลเยอร (Application Layer)

21

Packet Filtering Firewall


� โดยปกตแลว Router ไดรบแพกเกตมา กจะตรวจสอบ IP address ของเครองปลายทาง จากนนกจะด Routing Table เพอคนหาเสนทางทจะสง

� การกรองแพกเกต (Packet Filtering) ของ firewall จะทากอนทจะสงผานแพกเกตน แพกเกตจะถกกรองตามรายการควบคมการเขาถง (Access Control List –ACL)

� แตละรายการของ ACL จะประกอบดวย Field ของ Header ของ IP แพกเกต และเงอนไขการอนญาต วาอนญาตหรอไมอนญาตใหผาน

22

Packet Filtering Firewall� ถาแพกเกตทเขามาไมตรงกบกฎขอใดเลย Firewall จะทาอยางไร‣ ถาไมมกฎขอใดทไมไดเขยนวาอนญาตใหผาน �� ถอวาหาม‣ ถาไมมกฎขอใดทไมไดเขยนวาหามผาน �� ใหถอวาอนญาต

� ขอมลทใชในการพจารณาวาจะใหแพกเกตผานหรอไมนน ประกอบดวย


ขอมลทใชในการพจารณาวาจะใหแพกเกตผานหรอไมนน ประกอบดวย‣ Source IP address (ไอพตนทาง)‣ Destination IP Address (ไอพปลายทาง)‣ Protocol Type (ชนดของโปรโตคอล)‣ Source port (พอรตตนทาง)‣ Destination port (พอรตปลายทาง)

23

Packet Filtering Firewall� หลกการทางานของ Packet Filtering จะพจารณาแพกเกต TCP เพอ

ตรวจสอบวา ‣ แพกเกตนนม Address ทถกตองหรอไม ‣ แพกเกตนนถกสงมาจากเครอขายภายนอกหรอไม ‣ โปรโตคอลหรอเซอรวสนนผานการตรวจสอบแลวหรอไม

ออปชนทสงมานนถกตองตามขอกาหนดหรอไม


โปรโตคอลหรอเซอรวสนนผานการตรวจสอบแลวหรอไม‣ ออปชนทสงมานนถกตองตามขอกาหนดหรอไม

24

Packet Filtering Firewall� ขอด‣ นามาใชงานงาย มการทางานทไมซบซอน‣ ทางานไดอยางรวดเรว ไมกระทบตอผใชงาน (transparent)

� ขอจากด‣ ไมสามารถปองกนการโจมตทมงใชประโยชนจากชองโหวของ function หรอ

application ได


ไมสามารถปองกนการโจมตทมงใชประโยชนจากชองโหวของ function หรอ application ได• Packet filter firewalls ไมพจารณาขอมลบนชนทเหนอขนไป หาก application

ใดไดรบอนญาตใหเชอมตอผาน firewall ทก function ใน application นนๆกสามรถใชงานการเชอมตอดงกลาวได

‣ มการเกบขอมลทจากด• Logs ทไดเกบเฉพาะขอมลทใชในการตดสนใจสาหรบ access control (source

address, destination address, and traffic type)

25

Packet Filtering Firewall� ขอจากด (ตอ)‣ ไมรองรบการจดการสทธการใชงานของผใชขน‣ ไมปองกนการโจมตทมสาเหตจากจดออนของ TCP/IP

• ไมสามารถตรวจจบ packet ทมการปลอม/เปลยน address ในระดบ Layer 3 ได‣ การกาหนดคาทผดพลาดจะนาไปสชองโหวทอนตรายได


Stateful Inspection Firewall� Packet filter กรอง packet ดวยการตดสนใจโดยใชขอมลจาก packet

เดยวๆ ไมมการใชขอมลจากสงแวดลอมในการทางานในระดบบนเขามาพจารณา‣ โดยปกตแลว เครอง clients ใชพอรตหมายเลขสงๆ (1024 to 65535) ในการ

เชอมตอผาน TCP ไปยงเครอง server ดงนน packet filtering firewall จง


เชอมตอผาน TCP ไปยงเครอง server ดงนน packet filtering firewall จงตองอนญาตการเชอมตอขาเขา (inbound traffic) เขามายงพอรตหมายเลขสงๆเหลานได เพอรองรบ TCP traffic

� มหลกการทางานทกอยางเหมอนกบแพกเกต Packet Filtering Firewall แตมสวนทเพมขนมาคอ จะบนทกขอมลเกยวกบ Connection ทเกดขนใน State Table กอนทจะสงแพกเกตนตอ

27

Stateful Inspection Firewall

� Stateful Inspection Firewall มกฏการควบคมการเชอมตอทเขมงวดมากขนสาหรบ TCP traffic โดยสราง directory ทเกบการเชอมตอขาออก(Outbound) ของ TCP connection เอาไว

� State Table จะใชสาหรบการบนทกขอมลของแตละ Connection ทเกดขน โดยปกตจะเกบ Source Address, Destination addresses,


เกดขน โดยปกตจะเกบ Source Address, Destination addresses, Protocol type, Port number และ Flag ‣ มการบนทกการเชอมตอทกาลงเกดขนไว (1 การเชอมตอ เกบ 1 รายการ)‣ อนญาตการเชอมตอขาเขา (incoming traffic) มายงพอรตหมายเลขสงๆ

เฉพาะเมอ packet เหลานนสอดคลองกบ profile ของรายการใดรายการหนงใน state table‣ แตม Firewall บางยหอจะเกบ Sequence Number เพมดวย เพอใชในการ

ตรวจสอบ แพกเกตทกาลงเขามาและปองกนการทา Session Hijacking28

Stateful Inspection Firewall� Firewall ตรวจสอบขอมลของ packet เชนเดยวกบ packet filtering

firewall แตเพมการเกบขอมลเกยวกบ TCP connection ดวย

‣ บนทก TCP sequence numbers เพอปองกนการโจมตทอาศย sequence


ปองกนการโจมตทอาศย sequence number เชน session hijacking‣ ตรวจสอบขอมลสาหรบ protocols เชน

FTP, IM และคาสงของโปรโตคอล SIPS เพอระบการเชอมตอและ track การเชอมตอทเกยวของกน

29

Source

Address Source Port

Destination

Address

Destination

Port

Connection

State

192.168.1.100 1030 210.9.88.29 80 Established

192.168.1.102 1031 216.32.42.123 80 Established

Stateful Firewall Connection State� Directory ของการเชอมตอแบบ TCP ขาออก (outbound)


192.168.1.101 1033 173.66.32.122 25 Established

192.168.1.106 1035 177.231.32.12 79 Established

223.43.21.231 1990 192.168.1.6 80 Established

219.22.123.32 2112 192.168.1.6 80 Established

210.99.212.18 3321 192.168.1.6 80 Established

24.102.32.23 1025 192.168.1.6 80 Established

223.21.22.12 1046 192.168.1.6 80 Established

30

Application Layer Firewall

� บางทเรยกวา Proxy Firewall หรอ Application Gateway � เปน โปรแกรมทรนบนระบบปฏบตการทวไป หรอ อาจเปนฮารดแวรทตดตง

ซอฟตแวรพรอมใชงานแลวกได � Firewall จะมระบบปองกนเครอขาย (Network Guard) หลายอนเพอ

สาหรบเชอมตอกบเครอขายตางๆ


สาหรบเชอมตอกบเครอขายตางๆ � นโยบายรกษาความปลอดภยจะเปนสงกาหนด

วา Traffic (ขอมลสอสาร) ใดสามารถถายโอนระหวางเครอขายใดไดบาง

� ใน Application Layer Firewall นน ทกๆ โปรโตคอลทอนญาตใหผานไดจะตองม Proxy สาหรบโปรโตคอลนนๆ

31

Application Layer Firewall


� เมอ Client ตองการใช Service ภายนอก Client จะทาการตดตอไปยง Proxy กอน Client จะเจรจากบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางให

� เมอ Proxy ตดตอไปยงเครองปลายทางใหแลวจะม connection 2 อน คอ Client กบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะทาหนาทรบขอมลและสงตอขอมลใหใน 2 ทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะใหมการเชอมตอกนหรอไม จะสงตอแพกเกตใหหรอไม

32

Application Layer Firewall� สาหรบ Application Layer Firewall น ทกๆ การเชอมตอจะสนสดท

Firewall โดย Firewall จะตรวจสอบกบนโยบายรกษาความปลอดภยวาจะอนญาตให Traffic นผานหรอไม ‣ ถาอนญาต firewall จะสรางการเชอมตอกบ server แทน client เอง


� Application Layer Firewall ยงสามารถควบคมการเชอมตอจากภายนอกเขามาภายในไดเชนกน ดงนน firewall จงสามารถปองกนการโจมตเครอขายในระดบ application ได แตตว firewall เอง จะตองมความปลอดภยจากการโจมตดวย

33

Information system security wk6-1

Education

Transcript of Information system security wk6-1