ไฟร์วอล (Firewall FAQ)

1. ไฟร์วอลคืออะไร ?
ไฟร์วอลคือระบบหรือกลุ่มของระบบที่บังคับใช้ นโยบายควบคุมการเข้าถึง (access control policy) ระหว่างเน็ตเวิร์คสองเน็ตเวิร์ค ไฟร์วอลมีหน้าที่กว้าง แต่โดยหลัก ๆ แล้วอาจแบ่งกลไกการทำงานได้เป็นสองส่วนคือ ส่วนที่ทำหน้าที่ ขวางกั้นnetwork traffic และส่วนที่อนุญาตให้ network traffic ผ่านไปได้ ไฟร์วอลบางชนิดจะเน้นที่การขวางกั้น traffic แต่ไฟล์วอลแบบอื่น ๆ จะเน้นการให้ traffic ผ่านไปได้ แต่สิ่งที่ควรจำไว้คือไฟล์วอลจะนำ access control policy ไปดำเนินการ ถ้าคุณไม่ทราบจริง ๆ
ว่าการเข้าถึงชนิดไหนที่ควรอนุญาตหรือปฏิเสธ ก็ควรให้บุคคลที่หน้าที่ดูแลไฟร์วอลเซ็ตทำการเซ็ตไฟร์วอล แล้วมันจะทำการสร้างนโยบาย (policy) สำหรับองค์การของ คุณทั้งหมด

2. ทำไมผมต้องใช้ไฟร์วอลล์ด้วย ?
อินเทอร์เน็ตเหมือนกับสังคมประเภทอื่น ๆ ที่มักจะมีพวกที่ทำตัวเช่นเดียวกับคนเกเรที่ชอบพ่นสเปรย์บนกำแพง เช่น
ทำลายข้อมูลที่อยู่ใน mailbox ของผู้อื่นเป็นต้น บางคนต้องทำงานผ่านอินเทอร์เน็ต มีข้อมูลสำคัญที่ต้องเก็บไว้เป็นความลับ พวกเขาต้องป้องกันข้อมูลของพวกเขา โดยทั่วไปจุดประสงค์ของ ไฟร์วอลก็เพื่อป้องกันคนเกเรพวกนี้ไม่เข้ามาในเน็ตเวิร์คได้จนกระทั่งคุณทำงานของคุณเสร็จ บริษัทและศูนย์ข้อมูลหลาย ๆ แห่งมีนโยบายเกี่ยวกับความปลอดภัยของคอมพิวเตอร์และกิจวัตรที่ต้องปฏิบัติด้วย ในกรณีที่นโยบายของบริษัทนั้นสั่งให้ปกป้องข้อมูลอย่างไรแล้ว ไฟร์วอลจะเป็นสิ่งสำคัญมาก เนื่องจากมันทำให้นโยบายของบริษัทนั้นเป็นรูปเป็นร่างขึ้นมา ส่วนที่ยากที่สุดในการต่อกับอินเทอร์เน็ตสำหรับบริษัทใหญ่ ๆ ก็คือ ไม่ใช่เพียงแต่ใช้ค่าใช้จ่ายหรือความพยายามให้เหมาะสม แต่ต้องทำให้แน่ใจว่าการจัดการนั้นปลอดภัยจริง ๆ ไฟร์วอลไม่เพียงแต่ให้ความปลอดภัยที่แท้จริง แต่มักจะมีบทบาทสำคัญในฐานะตัวปกป้องความปลอดภัยสำหรับการจัดการอีกด้วย ท้ายสุด ไฟร์วอลสามารถทำตัวเหมือนผู้ส่งสารไปยังอินเทอร์เน็ต บริษัทหลาย ๆ แห่งใช้ระบบไฟร์วอลสำหรับเก็บข้อมูลสำหรับเผยแพร่สู่สาธารณชน อย่างเช่น ผลิตภัณฑ์และบริการของบริษัท ไฟล์สำหรับดาวน์โหลด ตัวแก้ไขข้อผิตพลาดของโปรแกรม และข้อมูลอื่น ๆ หลาย ๆ ส่วนของระบบเหล่านี้กลาย เป็นส่วนสำคัญของโครงสร้างการให้บริการอินเทอร์เน็ต (เช่น UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com) ซึ่งสะท้อนให้เห็นถึงสปอนเซอร์ที่เป็นองค์กรของพวกเขา

3.ไฟร์วอลใช้ป้องกันอะไรได้บ้าง ?
ไฟร์วอลบางชนิดจะยอมให้การติดต่อแบบอีเมลล์เท่านั้นที่ผ่านไปมาได้ ดังนั้นมันจึงป้องกันเน็ตเวิร์คจากการโจมตีใด ๆ ที่ไม่ใช่การโจมตีระบบอีเมลล์ ส่วนไฟร์วอลแบบอื่น ๆ จะให้การป้องกันที่เข้มงวดน้อยกว่า และจะขวางกั้นเฉพาะเซอร์วิสที่รู้กันดีว่ามีปัญหาโดยทั่วไปไฟล์วอลจะถูกเซ็ตให้ป้องกันการล๊อกอินโดยไม่ได้รับอนุญาตจากภายนอกเน็ตเวิร์ค จึงช่วยป้องกัน ไม่ให้ผู้ที่มุ่งร้ายสามารถล๊อกอินเข้าสู่เครื่องในเน็ตเวิร์คได้ ไฟล์วอลจะขวางกั้นการติดต่อจากภายนอกที่จะเข้าสู่ภายในอย่างรัดกุม
แต่ผู้ใช้ที่อยู่ภายในเน็ตเวิร์คที่ได้รับการอนุญาตสามารถที่จะติดต่อกับภายนอกเน็ตเวิร์คได้อย่างอิสระ ไฟล์วอลสามารถป้องกันคุณการโจมตีทางเน็ตเวิร์คได้ทุกชนิดคุณเพียงแต่ไม่ติดต่อกับมัน
    ไฟร์วอลสำคัญมากเนื่องจากมันสามารถทำหน้าที่เหมือนลิ้นปิดเปิด(choke point) ที่ซึ่งความปลอดภัยและระบบการตรวจสอบที่สามารถกำหนดทำงานได้ สถานการณ์ที่ระบบคอมพิวเตอร์ถูกโจมตีโดยผู้ที่โทรเข้ามาโดยใช้โมเด็ม ไฟร์วอลทำตัวเหมือนตัวดักฟังโทรศัพท์(phone tap) และเครื่องมือในการแกะรอย(tracing tool) ไฟร์วอลสามารถทำหน้าที่บัททึกการติดต่อ(logging) และการตรวจสอบ(audit) ได้ ซึ่งจะให้ข้อมูลสรุป เกี่ยวกับการติดต่อสื่อสารที่ผ่านไปมา(traffic) และความพยายามที่จะเจาะระบบเข้ามาแก่ผู้บริหารระบบ

4.ไฟร์วอลป้องกันอะไรไม่ได้บ้าง ?
ไฟร์วอลไม่สามารถป้องกันการโจมตีที่ไม่ผ่านไฟร์วอล หลาย ๆ
บริษัทที่ต่อกับอินเทอร์เน็ตมีความกังวลเกี่ยว กับข้อมูลทางการค้าที่อาจรั่วไหลออกจากบริษัทโดยทางอินเทอร์เน็ต
โชคไม่ดีเกี่ยวกับความกังวลนั้น คือ เทปแม่เหล็ก(magnetic tape)
สามารถใช้เพื่อส่งข้อมูลออกไปได้เช่นกัน หลายองค์การที่หวาดกลัว (ในระดับการจัดการ) เกี่ยวกับการติดต่อทางอินเทอร์เน็ตไม่มีนโยบายที่ปะติดปะต่อเกี่ยวกับการติดต่อโดยการใช้โมเด็มว่าควรได้รับการป้องกันอย่างไร ไม่มีประโยชน์ที่จะใช้ประตูเหล็กกล้าหนา 6 ฟุตเมื่อคุณอาศัยอยู่ในบ้านไม้ แต่หลาย ๆ องค์กรที่ซื้อไฟร์วอลราคาแพง ๆ แต่กลับละเลยที่จะตรวจสอบ backdoor ที่อยู่ในเน็ตเวิร์ค ของพวกเขา ถ้าต้องการให้ไฟร์วอลทำงาน มันจะต้องเป็หนึ่งในส่วนประกอบทั้งหมดของระบบรักษาความปลอดภัยทั้งหมดขององค์กร นโยบายเกี่ยวกับไฟร์วอลจะต้องเป็นตามสภาพความความจริงและสะท้อนถึงระดับความปลอดภัยของเน็ตเวิร์คทั้งหมด ตัวอย่างเช่น
ไซต์ที่ต้องรักษาความลับสุดยอดหรือเป็นความลับขององค์กรไม่จำเป็นต้องใช้ไฟร์วอลใด ๆ ทั้งสิ้นแต่จะต้องไม่ต่อกับอินเทอร์เน็ตโดยสิ้นเชิง หรือระบบที่มีข้อมูลที่เป็นความลับจริง ๆ ควรแยกออกจากเน็ตเวิร์คของบริษัท อีกสิ่งหนึ่งที่ไฟร์วอลป้องกันไม่ได้ก็คือสายลับหรือคนไม่มีความคิดที่ในเน็ตเวิร์คของคุณเอง ในขณะที่ ผู้ที่เป็นสายลับให้กับบริษัทอื่นอาจส่งข้อมูลผ่านไฟร์วอลเหมือนกับส่งข้อมูลทางโทรศัพท์ แฟกซ์ หรือฟลอปปี้ดิสก์ ฟลอปปี้ดิสก์ดูเหมือนจะเป็นแหล่งรั่วไหลของข้อมูลได้มากกว่าไฟร์วอลเสียอีก นอกจากนี้แล้วไฟร์วอลยัง ป้องกันความโง่เขลาไร้ความคิดไม่ได้อีกด้วย ผู้ใช้ซึ่งเปิดเผยข้อมูลที่สำคัญผ่านสายโทรศัพท์เป็นเป้าหมายที่ดีสำหรับ social engineering อันหมายถึงการที่ผู้โจมตีอาจเจาะเข้าสู่เน็ตเวิร์คของคุณโดยผ่านไฟร์วอลได้ ถ้าเขาสามารถค้นพบลูกจ้างภายในที่มีประโยชน์แก่เขา เพื่อที่จะสามารถหลอกเพื่อให้บอกถึงวิธีเข้าถึงศูนย์โมเด็มได้

5.ไวรัสล่ะ ?
ไฟร์วอลไม่สามารถป้องกันโปรแกรมอย่างไวรัสได้ มีหลายหลายวิธีที่จะเข้ารหัสไบนารีไฟล์สำหรับการส่งผ่านเน็ตเวิร์ค
มีหลากหลายสถาปัตยกรรมและไวรัสมากมายที่เกินกว่าจะค้นหาได้หมด อีกนัยหนึ่งไฟร์วอลไม่สามารถมาแทนที่ จิตสำนึกในการรักษาความปลอดภัยในส่วนของผู้ใช้งานได้ โดยทั่วไปไฟร์วอลไม่สามารถป้องกันการโจมตี แบบ data-driven หรือการโจมตีโดยการเมลล์ไฟล์หรือการก๊อปปี้ไฟล์ไปยังโฮสต์ภายในที่ซึ่งไฟล์นั้นจะถูกเอ็กซีคิวต์ รูปแบบการโจมตีชนิดนี้เคยเกิดขึ้นในอดีตกับ sendmail และ ghostscript โปรแกรมสำหรับดูไฟล์ postscript องค์กรซึ่งเป็นห่วงเกี่ยวกับไวรัสคอมพิวเตอร์ควรจะนำมาตรการควบคุมไวรัสสำหรับทั้งองค์กรไปดำเนินการ มากกว่าที่จะพยายามหาไวรัสที่ไฟร์วอล ควรมีซอฟแวร์สำหรับสแกนหาไวรัสที่รันทุก ๆ ครั้งที่บูตเครื่องสำหรับ เดสทอปคอมพิวเตอร์ที่มีความเสี่ยง ป้องกันเน็ตเวิร์คด้วยโปรแกรมสแกนหาไวรัสจะป้องกันไวรัสที่มากับ ฟลอปปี้ดิสก์ โมเด็ม และอินเตอร์เน็ต การพยายามป้องกันไวรัสที่ไฟร์วอลสามารถป้องกันไวรัสจากอินเทอร์เน็ต เท่านั้น แต่ไวรัสส่วนมากที่ค้นพบจะมากับฟลอปปี้ดิสก์ อย่างไรก็ตาม มีจำนวนที่เพิ่มขึ้นของผู้ขายที่เสนอไฟร์วอลที่สามารถตรวจจับไวรัสได้ บางทีอาจจะมี ประโยชน์สำหรับผู้ใช้วินโดวส์(Windows-on-Intel)ที่มีการแลกเปลี่ยนโปรแกรมและเอกสารที่สามารถรันมาโคร ที่มุ่งร้ายได้(malicious-macro-capable application documents)เท่านั้น ดังนั้นจึงไม่ควรหวังอะไร กับการป้องกันจากผู้โจมตีโดยอาศัยลักษณะเด่นนี้

6.มีแหล่งข้อมูลที่ตีพิมพ์อะไรที่เกี่ยวกับไฟร์วอลบ้าง ?
มีหนังสือหลายเล่มที่เกี่ยวกับเรื่องไฟล์วอล ที่รู้จักกันดีมีดังนี้:
Firewalls and Internet Security: Repelling the Wily Hacker
Authors: Bill Cheswick and Steve Bellovin
Publisher: Addison Wesley
Edition: 1994 ISBN: 0-201-63357-4

Building Internet Firewalls
Authors: D. Brent Chapman and Elizabeth Zwicky
Publisher: O'Reilly
Edition: 1995 ISBN: 1-56592-124-0

Practical Internet & Unix Security
Authors: Simson Garfinkel and Gene Spafford
Publisher: O'Reilly
Edition: 1996 ISBN: 1-56592-148-8 (เขียนถึงเรื่อง host security
เป็นหลัก)

หนังสือที่อ้างอิงถึงเรื่องที่เกี่ยวข้อง
Internetworking with TCP/IP Vols I, II and III
Authors: Douglas Comer and David Stevens
Publisher: Prentice-Hall
Edition: 1991
ISBN: 0-13-468505-9 (I), 0-13-472242-6 (II), 0-13-474222-2 (III)
Comment: A detailed discussion on the architecture and implementation
of the Internet and its protocols. Vol I (on principles, protocols and
architecture) is readable by everyone, Vol 2 (on design,
implementation and internals) is more technical, and Vol 3 (on
client-server computing) is recently out.
(คำวิจารณ์:รายละเอียดเกี่ยวกับสถาปัตยกรรมและการนำไปดำเนินการของอินเตอร์เน็ต
และโปรโตคอล vol 1(หลักการ โปรโตคอล และสถาปัตยกรรม) ทุกคนสามารถอ่านได้
เข้าใจง่าย vol 2 (การออกแบบ การนำไปดำเนินการและระบบภายใน)
เป็นรายละเอียดทาง ด้านเทคนิค vol 3 (เกี่ยวกับ client-server
computing)เพิ่งออกใหม่)
Unix System Security--A Guide for Users and System Administrators
Author: David Curry
Publisher: Addison Wesley
Edition: 1992
ISBN: 0-201-56327-4

7.หาข้อมูลเพิ่มเติมทางอินเทอร์เน็ตเกี่ยวกับไฟร์วอลได้ที่ไหนบ้าง ?
ftp://ftp.greatcircle.com/pub/firewalls/index.html Firewalls mailing
list archives. The internet firewalls mailing list is a forum for
firewall administrators and implementors. To subscribe to Firewalls,
send subscribe firewalls in the body of a message (not on the
"Subject:" line) to Majordomo@GreatCircle.COM.
http://sunsite.unc.edu/LDP/HOWTO/Firewall-HOWTO.html Firewall HOWTO --
A how-to-build firewalls document.
ftp://ftp.tis.com/pub/firewalls/ Internet firewall toolkit and papers.

http://www.clark.net/pub/mjr/pubs/index.shtml Marcus Ranum's firewall
related publications
ftp://ftp.research.att.com/dist/internet_security/ Papers on firewalls
and breakins.
ftp://net.tamu.edu/pub/security/TAMU/ Texas A&M University security
tools.
http://www.cs.purdue.edu/coast/firewalls/ COAST Project Internet
Firewalls page

การออกแบบและการนำไปดำเนินการ (Design and Implementation Issues)
1.ตัดสินใจในการออกแบบขั้นพื้นฐานของไฟร์วอลมีอะไรบ้าง ? ?
มีประเด็นเกี่ยวกับการออกแบบขั้นพื้นฐานซึ่งควรใส่ใจโดยบุคคลที่โชคดีที่ได้งานการรับผิดชอบเกี่ยวกับออกแบบ กำหนด และการนำไปดำเนินการหรือดูแลควบคุบการติดตั้งไฟร์วอล
ขั้นแรกที่มีความสำคัญมากคือการไตร่ตรองนโยบายของบริษัทหรือองค์กรว่าต้องการให้ระบบทำงานอย่างไร ต้องการใช้ไฟร์วอลปฏิเสธทุกเซอร์วิสอย่างชัดแจ้งยกเว้นเซอร์วิสที่มีความจำเป็นต่อเป้าหมายในการติดต่อกับอินเทอร์เน็ต หรือต้องการให้ไฟร์วอลวัดและตรวจสอบด้วยวิธีการเข้าถึงแบบการเข้าเป็นลำดับ(queuing) โดยไม่มีการเตือนการมีความวิตกกังวลเกี่ยวกับวิธีสองอย่างนี้ ซึ่งอาจส่งผลให้ไฟร์วอลในขั้นสุดท้ายเป็นผลมา จากเหตุผลส่วนตัวมากกว่าการตัดสินใจจากเหตุผลในทางวิศวกรรม
ขั้นที่สอง ระดับของการเฝ้าติดตาม(monitoring)
การมีมากจนเกินความจำเป็น(redundancy) และการควบ คุมระดับไหนที่คุณต้องการ
ระดับความเสี่ยงยอมรับได้ (เช่น คุณมีความกลัวแค่ไหน) การแก้ไขประเด็นแรก คุณ สามารถสร้างรายการตรวจสอบขึ้นมาว่าอะไรควรเฝ้าติดตาม อนุญาตและไม่อนุญาต อีกนัยหนึ่งให้คุณเริ่มคิด เกี่ยวกับเป้าหมายโดยรวม
แล้วจึงรวมการวิเคราะห์ที่จำเป็นเกี่ยวกับความเสี่ยง และแยกเอาความต้องการที่ขัดแย้ง มากที่สุดออกจากรายการที่คุณกำหนดไว้ว่าจะนำไปดำเนินการ ประเด็นที่สามคือเรื่องการเงิน เราไม่สามารถเน้นเรื่องนี้ได้อย่างชัดเจน แต่เป็นสิ่งสำคัญที่จะต้องระบุค่าใช้จ่าย ของข้อเสนอทางด้านการใช้เงินเท่าใดในเรื่องการซื้อหรือไม่ก็เรื่องการนำไปปฏิบัติ ยกตัวอย่างเช่น ผลิตภัณฑ์ไฟร์วอลที่สมบูรณ์อาจมีราคาในช่วง 100,000 เหรียญในระดับไฮเอนด์ และไม่ต้องเสียค่าใช้จ่ายในระดับต่ำ ในทางเลือกที่ไม่ต้องเสียค่าใช้จ่ายนั้นก็เพียงเซ็ต Cisco หรือเราเตอร์(router)ที่คล้ายคลึงกัน ถึงจะไม่ต้องเสียค่าใช้จ่ายแต่ต้องใช้แรงงานของเจ้าหน้าที่ ส่วนการนำไฟร์วอลในระดับไฮเอ็นด์ไปใช้ตั้งแต่เริ่มต้นนั้น ต้องเสียค่าใช้จ่ายเป็นเวลาหลายเดือน ซึ่งอาจเป็นจำนวนถึง 30,000 เหรียญเพื่อจ่ายค่าจ้างและผลประโยชน์ตอบแทน รายจ่ายประจำของการจัดการระบบเป็นสิ่งที่ควรพิจารณาด้วย การประเมินผลไฟร์วอลไม่เพียงแต่ในด้านราคาในขณะนี้เท่านั้น แต่จะต้องคำนึงถึงราคาที่จะต้องจ่ายอย่างต่อเนื่องด้วยเช่นค่าใช้จ่ายด้านการซัพพอร์ตเป็นต้น

ส่วนในด้านของเทคนิค มีสองอย่างที่จะให้ตัดสินใจ
ขึ้นอยู่กับพื้นฐานของข้อเท็จจริงเกี่ยวกับข้อเสนอในทางปฏิบัติที่เรากำลังพูดถึงคือบริการเส้นทางที่ติดกันต่อตลอดเวลา(static
traffic routing
service)ระหว่างเราเตอร์ของผู้ให้บริการเน็ตเวิร์คกับเน็ตเวิร์คภายในของคุณ
บริการเส้นทาง(traffic routing service)อาจถูกใช้ในระดับ IP
โดยใช้วิธีการอย่างเช่น screening rule ในเราเตอร์ หรือระดับ application
โดยใช้ proxy gateway และบริการ(service)
การตัดสินใจว่าจะควรใช้คอมพิวเตอร์ไว้นอกเน็ตเวิร์คเพื่อรัน proxy service
สำหรับ telnet, ftp, new และบริการอื่น ๆ หรือไม่ หรือควรเซ็ตอัพ screening
router
เพื่อใช้กลั่นกรองการติดต่อสื่อสารภายในเน็ตเวิร์คสำหรับคอมพิวเตอร์หนึ่งเครื่องหรือมากกว่า
มีทั้งข้อดีและข้อเสียของทั้งสองวิธีการ สำหรับเครื่องที่ใช้ proxy
จะมีระดับการตรวจสอบที่ดีกว่าและการรักษาความปลอดภัยที่มีศักยภาพสำหรับผลที่ได้
จากค่าใช้จ่ายที่
เพิ่มขึ้นสำหรับการเซ็ตระบบและการลดระดับของเซอร์วิสที่ให้บริการลง
(เนื่องจาก proxy ต้องการการพัฒนา สำหรับแต่ละเซอร์วิสที่ต้องการ
2.ไฟร์วอลโดยทั่วไปมีชนิดใดบ้าง ?
โดยหลักการแล้ว มีอยู่สองชนิดคือ:
1.Network level
2.Application level
สองระดับนี้ไม่แตกต่างกันมากอย่างที่คุณคิด
และเทคโนโลยีล่าสุดทำให้ความแตกต่างน้อยลงไป ทำให้ยากที่จะ
บอกชนิดไหนดีหรือไม่ดีกว่าชนิดไหน
ดังนั้นจึงควรเลือกชนิดที่ตรงกับความต้องการของคุณ
ไฟร์วอลระดับเน็ตเวิร์ค(Network level firewall)
โดยทั่วไปจะตัดสินใจโดยอาศัย source/destination address และ port ในแต่ละ
IP packet เราเตอร์ธรรมดาเครื่องหนึ่งถือว่าเป็นไฟร์วอลระดับเน็ตเวิร์คแบบ
ดั้งเดิมเนื่องจากมันไม่สามารถทำการตัดสินใจอันซับซ้อนโดยเฉพาะเกี่ยวกับ
packet ที่จะติดต่อด้วยหรือที่ ๆ packet มา
ไฟร์วอลระดับเน็ตเวิร์คสมัยใหม่มีความซับซ้อนมากยิ่งขึ้นและรักษาข้อมูลภายในเกี่ยวกับสถานะของการติดต่อที่ผ่านมัน,
เนื้อหาของกระแสข้อมูลบางอย่างและอื่น ๆ ความแตกต่างที่สำคัญของไฟร์วอล
ระดับเน็ตเวิร์คอย่างหนึ่งคือมันจะนำทางการติดต่อที่ผ่านมันโดยตรง
ดังนั้นจึงควรใช้ไฟร์วอลแบบนี้ถ้าคุณต้องการ การขวางกั้น IP address
ที่กำหนดได้อย่างถูกต้อง
ไฟร์วอลระดับเน็ตเวิร์คมีแนวโน้มที่จะทำงานได้เร็วมากและเข้าใจง่ายสำหรับผู้ใช้

Screened host firewall
เป็นตัวอย่างของไฟร์วอลระดับเน็ตเวิร์ค
จากตัวอย่างนี้ไฟร์วอลระดับเน็ตเวิร์คเรียกว่า "screened host firewall"
screened host firewall นี้การเข้าถึงและการส่งข้อมูลจากโฮสต์เดี่ยว(single
host)จะถูกควบคุมโดยตัวกลาง(mean)
ของการทำงานของเราเตอร์ที่ระดับเน็ตเวิร์ค โฮสต์เดี่ยวนี้จะเป็นป้อมปราการ
(bastion host)ที่มีการป้องกันอย่างดีที่สามารถป้องกันการโจมตีได้
Screened subnet firewall
ตัวอย่างของไฟร์วอลระดับเน็ตเวิร์ค เรียกว่า "screen subnet firewall"
การเข้าถึงและข้อมูลจากเน็ตเวิร์ค
ทั้งหมดจะถูกควบคุมโดยตัวกลางของการทำงานของเราเตอร์ที่ระดับเน็ตเวิร์ค
คล้ายกับแบบ screened host แต่ต่างกันตรงที่เป็นเน็ตเวิร์คของ screened
host ซึ่งมีประสิทธิภาพ
ไฟร์วอลระดับ application โดยทั่วไปจะเป็นโฮสต์ที่รัน proxy server
ที่ไม่ให้อนุญาตให้มีการติดต่อผ่าน ระหว่างเน็ตเวิร์คโดยตรง
และทำการบันทึกการติดต่อที่รัดกุมและตรวจสอบการติดต่อสื่อสารที่ผ่านมัน
เนื่องจาก proxy application
เป็นส่วนประกอบที่เป็นซอฟท์แวร์ที่รันบนไฟร์วอล
มันจึงเป็นที่สำหรับบันทึกการติดต่อและควบคุมการเข้าถึง ไฟร์วอลระดับ
application สามารถใช้เป็นตัวแปล address ทางเน็ตเวิร์ค (network address
tranlator) เนื่องจากการติดต่อเข้ามาทางเดียวและออกไปทางอื่น ๆ
หลังจากที่ผ่าน application
ที่ทำการป้องกันการเริ่มต้นการติดต่ออย่างมีประสิทธิภาพ การใช้ application
นี้ในบางกรณี จะมีผลกระทบต่อประสิทธิภาพการทำงานและอาจทำให้ยากต่อการเข้าใจ
ไฟร์วอลระดับ application รุ่นแรก ๆ อย่างไฟร์วอลที่ใช้ TIS firewall
toolkit ผู้ใช้ปลายทาง(end user)จะใช้งานยากและต้องอาศัยการฝึกสอน
ส่วนไฟร์วอลระดับ application สมัยใหม่จะใช้งานได้ง่ายมาก
ไฟร์วอลประเภทนี้จะให้รายงานการตรวจสอบ
ที่ให้รายละเอียดมากกว่าและบังคับใช้การรักษาความปลอดภัยที่เข้มงวดกว่าไฟร์วอลระดับเน็ตเวิร์ค

Dual-Homed Gateway
ตัวอย่างของไฟร์วอลระดับ application ที่เรียกว่า "dual homed gateway"
เป็นโฮสต์ที่รัน proxy ซอฟท์แวร์ที่มีการรักษาความปลอดภัยที่สูงมาก มีสอง
network interface ซึ่งแต่ละอันก็จะอยู่อีกเน็ตเวิร์ค
หนึ่งและขวางกั้นการติดต่อสื่อสารที่ผ่านมันทั้งหมด
อนาคตของไฟร์วอลจะอยู่ระหว่างไฟร์วอลระดับเน็ตเวิร์คและไฟร์วอลระดับ
application ดูเหมือนว่า
ไฟร์วอลระดับเน็ตเวิร์คจะเพิ่มความระวังเกี่ยวกับข้อมูลที่ผ่านมันมากขึ้น
และไฟร์วอลระดับ application จะเพิ่มการทำงานในระดับต่ำ(low
level)และความง่ายในการใช้มากขึ้น ผลก็คือจะทำให้เกิดระบบ packet-screening
ที่มีความเร็วที่บันทึกและตรวจสอบข้อมูลที่ผ่านมัน
ไฟล์วอล(ทั้งระดับเน็ตเวิร์คและapplication)
ผนวกการเข้ารหัสไว้ด้วยเพื่อที่มันจะสามารถป้องกันข้อมูลที่ผ่านมันทางอินเทอร์เน็ตได้
ไฟล์วอลที่มีการเข้ารหัสแบบ end-to-end
สามารถใช้โดยองค์กรที่มีจุดติดต่อกับอินเทอร์เน็ตหลายจุดโดยการใช้อินเทอร์เน็ต
เป็น "private backbone"
โดยไม่ต้องวิตกกังวลว่าข้อมูลหรือรหัสผ่านจะถูกดักข้อมูลแต่อย่างใด
3.proxy server คืออะไรและมันทำงานอย่างไร ?
proxy server (บางครั้งจะอ้างไปถึง application gateway หรือ forwarder)
คือ application ที่จัดการ
การสื่อสารระหว่างเน็ตเวิร์คที่ได้รับการป้องกันและอินเทอร์เน็ต proxy
มักจะใช้แทนที่การควบคุมโดยใช้
เราเตอร์เพื่อป้องกันการสื่อสารไม่ให้ผ่านระหว่างเน็ตเวิร์คโดยตรง หลาย ๆ
proxy จะประกอบด้วยการบันทึก แบบพิเศษหรือสนับสนุนการพิสูจน์ผู้ใช้ (user
authentication) เนื่องจาก proxy จะต้องเข้าใจโปรโตคอล ที่ application
จะต้องใช้ มันจึงสามารถรักษาความปลอดภัยที่เกี่ยวกับโปรโตคอลนั้นโดยตรง
(เช่น FTP proxy จะต้องได้รับการเซ็ตให้ยอมรับการติดต่อ FTP
ที่เข้ามาและขวางกั้นการติดต่อ FTP ที่ออกไป)
proxy server ได้รับออกแบบสำหรับ application นั้นโดยเฉพาะ
เพื่อที่จะให้สนับสนุนโปรโตคอลใหม่ผ่าน proxy ได้ proxy
จะต้องได้รับการพัฒนาเพื่อมันโดยเฉพาะ ชุดของ proxy server
ที่ได้รับความนิยมชุด หนึ่งคือ TIS Internet Firewall Toolkit ("FWTK")
ที่รวม proxy server สำหรับ Telnet, rlogin,FTP, X-Window,Http/Web และ
NNTP/Usenet news ส่วน SOCKS เป็นระบบ proxy ทั่ว ๆไปที่สามารถ
คอมไพล์เป็นแบบ client-side application
เพื่อให้มันสามารถทำงานผ่านไฟร์วอลได้ ประโยชน์ของมันคือ
มันใช้ง่ายแต่มันไม่สนับสนุน authentication
หรือการบันทึกสำหรับโปรโตคอลที่เฉพาะเจาะจง สำหรับข้อมูล เกี่ยวกับ SOCKS
ดูที่ http://www.socks.nec.com/
4.มีซอฟท์แวร์ packet screening tool ที่มีราคาถูกอะไรบ้าง ?
โปรแกรม Texas AMD security tools ได้รวมซอฟท์แวร์สำหรับการทำ screening
router, Karlbridge เป็น screening router kit สำหรับ PC หาได้จาก
ftp://ftp.net.ohio-state.edu/pub/kbridge/ โปรแกรม "screend"
ซอฟท์แวร์สำหรับ screen kernel ของ Digital Equipment Corporation หาได้
จากระบบปฏิบัติการตระกูล BSD
มีซอฟท์แวร์สำหรับ screen packet ระดับ kernel หลายตัวเช่น ipf, ipfw, และ
ipfwadm โปรแกรมเหล่า นี้จะรวมอยู่กับระบบปฏิบัติการยูนิกซ์ที่แจกฟรี เช่น
FreeBSD, OpenBSD, NetBSD และ Linux คุณ
อาจต้องหาเครื่องมือเหล่านี้จากยูนิกซ์ที่ขายเชิงพาณิชย์(ถ้าคุณใช้ยูนิกซ์ที่ขายเชิงพาณิชย์)

5. filtering rule ที่สมเหตุสมผลสำหรับ Cisco ?
ตัวอย่างต่อไปนี้แสดงให้เห็นถึง configuration สำหรับการใช้ Cisco เป็น
filtering router ตัวอย่างนี้
จะแสดงให้เห็นถึงการนำนโยบายเฉพาะที่นำไปใช้กับ router
Packet filtering access router
ในตัวอย่างนี้ บริษัทหนึ่งมี class C network address 195.55.55.0
บริษัทนี้ต่อกับอินเทอร์เน็ตโดยใช้ IP service provider
นโยบายของบริษัทนี้อนุญาตให้ทุกคนสามารถเข้าถึงการให้บริการอินเทอร์เน็ต
ดังนั้นจึงอนุญาตการติดต่อสู่ภายนอก ส่วนการติดต่อที่เข้ามาจะต้องผ่าน
"mailhost" Mail และ DNS เป็นบริการที่อนุญาตให้ติดต่อได้จากภายนอก
การนำไปดำเนินการ
* อนุญาตการติดต่อไปสู่ภายนอกแบบ TCP ทั้งหมด
* อนุญาตการติดต่อแบบ SMTP และ DNS จากภายนอกไปสู่ mailhost
* อนุญาตการติดต่อแบบ FTP จากภายนอกสู่พอร์ตหมายเลขสูง (มากกว่า 1024)
* พยายามป้องกันเซอร์วิสซึ่งอยู่บนหมายเลขพอร์ตสูง
packet ที่เข้ามาจากอินเทอร์เน็ตเท่านั้นที่จะถูกตรวจสอบจาก configuration
นี้ หลักปฏิบัติ(rules)จะถูกทดสอบ ตามลำดับและจะหยุดทันทีเมื่อถูกค้นพบ
เป็นหลักปฏิบัติที่มีการปฏิเสธที่ชัดเจนในส่วนท้ายของ IP access list
ที่จะปฏิเสธ ทุกการติดต่อ IP access list นี้ตั้งสมมุติฐานว่าคุณใช้ Cisco
IOS v 10.3 หรือใหม่กว่า
no ip source-route
!
interface ethernet 0
ip address 195.55.55.1
!
interface serial 0
ip access-group 101 in
!
access-list 101 deny ip 195.55.55.0 0.0.0.255
access-list 101 permit tcp any any established
!
access-list 101 permit tcp any host 195.55.55.10 eq smtp
access-list 101 permit tcp any host 195.55.55.10 eq dns
access-list 101 permit udp any host 192.55.55.10 eq dns
!
access-list 101 deny tcp any any range 6000 6003
access-list 101 deny tcp any any range 2000 2003
access-list 101 deny tcp any any eq 2049
access-list 101 deny udp any any eq 2049
!
access-list 101 permit tcp any 20 any gt 1024
!
access-list 101 permit icmp any any
!
snmp-server community FOOBAR RO 2
line vty 0 4
access-class 2 in
access-list 2 permit 195.55.55.0 255.255.255.0

คำอธิบาย
* ตัดการติดต่อของ packet แบบ source-routed packet เพราะ source routing
สามารถใช้เพื่อการทำ address spoofing
* ถ้า packet ที่เข้ามาอ้างว่ามาจากเน็ตเวิร์คที่เดียวกัน
ให้ตัดการติดต่อ
* packet ทั้งหมดที่ติดต่อกันแบบ TCP
ได้สำเร็จแล้วสามารถผ่านไปโดยไม่ต้องตรวจสอบอีกต่อไป
* การติดต่อที่ไปสู่หมายเลขพอร์ตต่ำให้ขวางกั้นไว้ทั้งหมดยกเว้น SMTP และ
DNS
* ขวางกั้นทุกเซอร์วิสที่รอการติดต่อแบบ TCP ที่พอร์ตหมายเลขสูง
X-windows(พอร์ต 6000+) OpenWindows(พอร์ต 2000+), NFS(พอร์ต
2049)ที่มักจะรันแบบ UDP แต่สามารถรันแบบ TCP ได้
ดังนั้นคุณจึงควรขวางกั้นไว้
* การติดต่อเข้ามาตั้งแต่พอร์ต 20
จนถึงหมายเลขพอร์ตสูงให้รู้ว่าเป็นการติดต่อแบบ FTP
* access list จำกัดการเข้าถึง router (telnet และ SNMP)
* การติดต่อแบบ UDP ทุกชนิดจะถูกขวางกั้นไว้เพื่อป้องกันไม่ให้ใช้ RPC
service

ข้อจำกัด
* คุณไม่สามารถบังคับใช้นโยบายการเข้าถึงแบบรัดกุมกับ router access list
ได้ ยูสเซอร์สามารถติดตั้ง backdoor
ลงไปในระบบเพื่อให้ระบบเข้าใจว่าไม่มีการติดต่อแบบ telnet เข้ามา
หรือไม่มีการติดต่อการใช้ X-Windows ได้("no X" rules)
นอกจากนี้แครกเกอร์สามารถติดตั้ง telnet backdoor
ในระบบที่เขาสามารถเจาะเข้ามาได้
*
คุณไม่สามารถมั่นใจได้ว่าเซอร์วิสไหนที่รอการติดต่ออยู่บนหมายเลขพอร์ตสูง

* การตรวจสอบ port สำหรับข้อมูลแบบ FTP ที่เข้ามา
เป็นวิธีการตรวจสอบที่บกพร่อง ยังอาจมีการละเมิดการเข้าถึงสำหรับบาง FTP
ไซต์ มันทำให้ยูสเซอร์ยากที่จะใช้ backdoor
แต่ไม่ได้ป้องกันผู้ที่มุ่งร้ายจากการสแกนพอร์ตของระบบคุณ
ให้ใช้อย่างน้อย Cisco เวอร์ชัน 9.21 เพื่อที่คุณสามารถจะกรอง packet
ที่เข้ามาและตรวจสอบ address spoofing ได้ แต่เวอร์ชัน 10.3
ทำงานได้ดีกว่าเพราะมีฟีเจอร์พิเศษ(เช่นการ filtering on sorce port)
และการพัฒนาเกี่ยวกับคำสั่งในการ filter
คุณยังมีอีกสองสามวิธีที่จะทำให้การเซ็ตอัพรัดกุมยิ่งขึ้น ให้¢ÇÒ§¡Ñé¹ทุก ๆ
การติดต่อแบบ TCP ที่เข้ามาและ บอกยูสเซอร์ให้ใช้ passive-FTP client
คุณสามารถขวางกั้น ICMP echo-reply ที่ส่งออกไปและ destination-unreachable
message เพื่อที่จะป้องกันเน็ตเวิร์คจากการใช้เน็ตเวิร์คสแกนเนอร์
cisco.com เคยมีตัวอย่างเกี่ยวกับตัวอย่างการสร้างไฟร์วอลโดยใช้ Cisco
router ดูเหมือนว่าจะไม่มีอีกต่อไป แต่ยังมีข้อมูลเกี่ยวกับ Cisco access
control list ที่ ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists
6.อะไรเป็นแหล่งทรัพยากรที่สำคัญ(critical resource)ของไฟร์วอล
มีความจำเป็นที่จะต้องเข้าใจถึงแหล่งทรัพยากรที่สำคัญของสถาปัตยกรรมไฟร์วอลของคุณ
เพื่อที่คุณจะได้ สามารถวางแผนเรื่องความสามารถ(capacity planning)
การเพิ่มประสิทธิภาพการทำงาน (performance optimizations) และสิ่งอื่น ๆ
คุณต้องรู้จริง ๆ ว่าคุณจำเป็นที่จะต้องทำอะไร
และต้องทำมากเท่าไหร่เพื่อจะให้ได้ผลที่ต้องการ
critical resource
ของไฟร์วอลแต่ละไซต์แตกต่างกันขึ้นอยู่กับประเภทของการติดต่อสื่อสารซึ่งเป็นภาระแก่ระบบ
บางคนคิดว่าพวกเขาสามารถเพิ่ม data throughput
ของไฟร์วอลได้ด้วยการเปลี่ยนเป็น CPU ที่เร็วกว่าเดิมหรือเปลี่ยนเป็น CPU
แบบอื่น ซึ่งไม่จำเป็นต้องทำอย่างนั้นเลย
ทำให้เปลืองค่าใช้จ่ายโดยไม่ได้แก้ ปัญหาใด ๆ
หรือความสามารถในการขยายได้อย่างที่คาดหวังไว้ (the expected scalability)
ในระบบที่การทำงานอยู่ตลอดเวลา หน่วยความจำ(memory) เป็นสิ่งที่สำคัญมาก
คุณต้องมีแรม (RAM) อย่างเพียงพอเพื่อให้สนับสนุนทุก ๆ
โปรแกรมที่จำเป็นต้องให้บริการในเครื่องนั้น มิฉะนั้นแล้วการ swap
จะเริ่มขึ้นและความสามารถในการทำงาน(productivity)จะหยุดลง การ swap
แบบไม่มากนัก(Light swapping) จะไม่เป็นปัญหาอะไรมากนัก
แต่ถ้ามีการเนื้อที่สำหรับการ swap เริ่มที่จะไม่มีเนื้อที่ว่าง(busy)
แล้วควรที่จะเพิ่มแรมให้มากขึ้น ระบบที่มีการ swap
อย่างหนักมักจะทำให้ถูกโจมตีแบบ denial-of-service ได้ง่ายมาก
หรืออาจจะทำให้ระบบนั้นทำงานหนักมากจนเกินไป
จะทำให้การรับส่งอีเมลล์เริ่มทำงานได้ช้าลงไป
นอกจากความต้องการของระบบสำหรับหน่วยความจำแล้ว
ควรที่จะเข้าใจด้วยว่าเซอร์วิสที่แตกต่างกันใช้
ทรัพยากรของระบบที่แตกต่างกันด้วย ดังนั้น configuration
สำหรับระบบของคุณเซ็ตให้เหมาะกับเซอร์วิส ที่จะให้บริการด้วย
ไร้ประโยชน์ที่จะใช้โปรเซสเซอร์ 700 MHz สำหรับการให้บริการ news
และเมลล์เท่านั้น และ ความพยายามที่จะใช้ IDE disk กับ ISA controller
หัวข้อ :ทรัพยากรที่สำคัญมากสำหรับไฟร์วอลเซอร์วิส
Service Critical Resource
Email Disk I/O
NetNews Disk I/O
Web Host OS Socket Performance
IP Routing Host OS Socket Performance
Web Cache Host OS Socket Performance, Disk I/O
7.DMZ คืออะไร และทำไมผมต้องการมัน ?
"DMZ" ย่อมาจาก "demilitarized zone"
ในกรอบเรื่องที่เกี่ยวกับไฟร์วอลจะหมายถึงส่วนของเน็ตเวิร์ค
ที่ไม่ได้เป็นส่วนหนึ่งของเน็ตเวิร์คภายในหรือส่วนที่ต่อกับอินเทอร์เน็ตโดยตรง
โดยทั่วไปจะเป็นส่วนของเราเตอร์ที่ต่อกับอินเทอร์เน็ต (Internet access
router)
เราสามารถสร้าง DMZ ด้วยการใส่ access control list ลงไปใน access router
ซึ่งจะทำให้โอกาสในการ เปิดเผยโฮสที่อยู่ในระบบ LAN
ให้น้อยที่สุดโดยการอนุญาตเฉพาะเซอร์วิสที่ได้รับการยอมรับและดูแลอยู่
เท่านั้นที่สามารถเข้าถึงจากอินเทอร์เน็ตได้
ยกตัวอย่างเช่น web server ที่รันบน NT อาจจะมีจุดอ่อนจากการโจมตีแบบ
denial-of-service โดย อาศัยจุดอ่อนของเซอร์วิสอย่าง NetBIOS และ SMB
เซอร์วิสเหล่านี้ไม่จำเป็นสำหรับการทำงานของ web server
ดังนั้นจึงควรขวางกั้นการติดต่อแบบ TCP ที่ไปยังพอร์ต 135 และ 139
บนโฮสต์นั้น จะลดโอกาสที่จะทำให้ถูกโจมตีแบบ denial-of-service
ที่จริงแล้วถ้าคุณขวางกั้นการติดต่อทุกอย่างยกเว้น HTTP
ผู้โจมตีก็จะสามารถโจมตีได้เพียง HTTP เท่านั้น
8.ผมจะเพิ่มความปลอดภัยและความสามารถในการขยายของ DMZ ได้อย่างไร ?
วิธีการโดยทั่วไปของผู้โจมตีก็คือการเจาะเข้าไปสู่โฮสต์ที่มีจุดอ่อนให้โจมตี
แล้วจึงใช้จุดอ่อนของระบบ trust
เพื่อเจาะเข้าไปในระบบที่น่าสนใจกว่าที่อยู่ในเน็ตเวิร์คเดียวกัน
ถ้าคุณรันเซอร์วิสที่ต้องมีการรักษาการรักษาความปลอดภัยหลายระดับ
คุณอาจต้องพิจารณาแบ่ง DMZ ออกเป็นส่วนของการรักษาความปลอดภัยหลาย ๆ ส่วน
(security zones) ทำได้โดยให้การมีหลายเน็ตเวิร์คภายใน DMZ เช่น access
router ให้ต่อกับ ethernet สองส่วน ethernet
ทั้งสองส่วนนี้ได้รับการป้องกันโดย ACL
ใน ethernet ส่วนหนึ่ง
อาจให้มีโฮสต์สำหรับให้บริการที่จำเป็นสำหรับการเชื่อมโยงกับอินเทอร์เน็ต
อาจเป็น บริการเมลล์ นิวส์และ DNS สำหรับ ethernet อีกส่วนหนึ่งอาจเป็น web
server และโฮสต์ที่ให้บริการที่เป็นประโยชน์สำหรับผู้ใช้อินเทอร์เน็ต
องค์กรหลายแห่ง
เซอร์วิสสำหรับผู้ใช้อินเทอร์เน็ตไม่ค่อยจะรับการดูแลและดูเหมือนจะไม่ค่อยจะปลอดภัยด้วย
(ยกตัวอย่างเช่น ในกรณีของ web server
ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวและไว้ใจได้ อาจรัน CGI หรือ โปรแกรมอื่น ๆ
ที่เอ็กซีคิวท์ได้ ถึงแม้จะมีเหตุผลสำหรับการอนุญาตโปรแกรมพวกนี้
แต่มันก็ความเสี่ยงที่จะต้องได้รับการดูแลเช่นกัน
ดูเหมือนว่าเซอร์วิสเหล่านี้จะเสี่ยงเกินไปสำหรับองค์กรที่ต้องการรันมันบนโฮสต์ที่
เป็นป้อมปราการ(bastion
host)ซึ่งอาจเป็นผลทำให้การรักษาความปลอดภัยทั้งหมดล้มเหลว)
การใส่โฮสต์ที่มีระดับความเสี่ยงที่คล้ายคลึงกันในเน็ตเวิร์คเข้าด้วยกันใน
DMZ สามารถช่วยลดผลกระทบจาก การเจาะระบบให้น้อยที่สุด ถ้ามีผู้เจาะเข้ามาใน
web server โดยการช่องโหว่ของ web server ของคุณ พวกเขาจะไม่สามารถใช้ web
server ของคุณเป็นที่สำหรับเจาะเข้าไปในเน็ตเวิร์คส่วนตัว(private network)
ได้ถ้า web server อยู่บน LAN
ที่แยกออกมาจากโฮสต์ที่เป็นป้อมปราการและไม่ได้มี trust relationship
ระหว่าง web server และโฮสต์ที่เป็นป้อมปราการ
ตอนนี้จำด้วยไว้ว่า เราเรารัน ethernet ที่ใด
ถ้ามีผู้ที่สามารถเจาะเข้ามาใน web server ได้
และถ้าโฮสต์ที่เป็นป้อมปราการอยู่บน ethernet เดียวกัน
ผู้โจมตีนั้นก็จะสามารถติดตั้ง sniffer บน web server ของคุณและคอย
ดูการติดต่อที่ไปมาระหว่างโฮสต์ที่เป็นป้อมปราการและสามารถเข้าถึงเน็ตเวิร์คภายในได้

การแบ่งเซอร์วิสไม่ควรแบ่งแต่เฉพาะโดยโฮสต์เท่านั้น
แต่ควรแบ่งโดยเน็ตเวิร์คและการจำกัดระดับของ trust
ระหว่างโฮสต์ในเน็ตเวิร์คเหล่านั้นด้วย
สามารถลดการบุกรุกเข้าอีกโฮสต์เพื่อบุกรุกเข้าไปอีกโฮสต์หนึ่งได้อย่างมาก
พูดโดยรวบรัดก็คือ การบุกรุกเข้าไปใน web server
ในกรณีนี้ไม่ได้ทำให้การบุกรุกเข้าไปในโฮสต์ที่เป็นป้อมปราการง่ายขึ้นแต่อย่างใด

คุณสามารถเพิ่มความสามารถในการขยาย(scalability)ของสถาปัตยกรรมของระบบของคุณด้วยการวางโฮสต์ในเน็ตเวิร์ตต่าง
ๆ กัน ยิ่งมีจำนวนเครื่องที่ใช้แบนด์วิดธ์(bandwidth)ร่วมกันน้อยเท่าใด
แต่ละเครื่องก็จะได้รับแบนด์วิดธ์มากขึ้นเท่านั้น
9.อะไรคือ 'single point of failure' และจะหลีกเลี่ยงมันได้อย่างไร ?
สถาปัตยกรรมซึ่งการรักษาความปลอดภัยขึ้นอยู่กลไกการทำงานเพียงอย่างเดียวจะมีสิ่งที่เรียกว่า
'single point of failure'
ซอฟท์แวร์ที่รันบนโฮสต์ที่เป็นป้อมปราการมีข้อผิดพลาด (bugs), application
มีข้อผิดพลาด หรือซอฟท์แวร์ที่รันบนเราเตอร์มีข้อผิดพลาด
ดังนั้นจึงควรใช้ส่วนประกอบเหล่านี้ทั้งหมดเพื่อสร้าง
เน็ตเวิร์คที่ได้รับการออกแบบอย่างปลอดภัย และใช้มันให้มากที่สุด
ถ้าสถาปัตยกรรมไฟร์วอลของคุณเป็นแบบ screened subnet ซึ่งจะมี packet
filtering router 2 ตัว และโฮสต์ที่เป็นป้อมปราการ(bastion host) 1 ตัว,
Internet access router จะไม่อนุญาตให้การติดต่อ
จากอินเทอร์เน็ตสามารถผ่านเข้าไปในเน็ตเวิร์คส่วนตัวได้
อย่างไรก็ตามถ้าคุณไม่ได้บังคับใช้หลักปฏิบัติ(rule)นั้นกับ
กลไกการทำงาน(mechanisms)อื่น
ๆที่อยู่บนโฮสต์ที่เป็นป้อมปราการหรือเราเตอร์ที่คอยควบคุมการสื่อสาร
(choke router)
มีเพียงส่วนประกอบเพียงอย่างเดียวเท่านั้นที่ล้มเหลวในการทำงานหรือมีช่องโหว่ที่สามารถใช้เพื่อเข้าใปสู่เน็ตเวิร์คภายในได้
อีกนัยหนึ่งถ้าเน็ตเวิร์คของคุณมีหลักปฏิบัติ(rule)ที่มากพอในโฮสต์ที่เป็นป้อมปราการ
และเราเตอร์ทีควบคุมการสื่อสาร
ผู้โจมตีจำเป็นจะต้องผ่านกลไกการทำงานถึงสามส่วนด้วยกันจึงจะบุกรุกเข้าไปในเน็ตเวิร์คได้

นอกจากนี้ถ้าโฮสต์ที่เป็นป้อมปราการหรือเราเตอร์ที่ควบคุมการติดต่อสื่อสารจำเป็นต้องร้องขอหลักปฏิบัติ(rule)เพื่อ
ขวางกั้นการเข้าถึงเน็ตเวิร์คภายในจากภายนอก
คุณอาจต้องการให้มันมีการเตือนภัยในบางประเภทเพื่อให้คุณ
รู้ตัวเมื่อมีผู้สามารถบุกรุกโดยผ่าน access router ได้
10.ผมสามารถขวางกั้นสิ่งเลวร้ายทุกอย่างจากเน็ตเวิร์คได้อย่างไร
สำหรับไฟร์วอลที่เน้นในเรื่องความปลอดภัยมากกว่าการติดต่อ
คุณควรพิจารณาขวางกั้นทุก ๆ อย่างโดยเริ่มต้น
และอนุญาตเซอร์วิสที่ต้องการเป็นอย่าง ๆ ไป
ถ้าคุณขวางกั้นทุกอย่างยกเว้นเซอร์วิสที่ต้องการโดยเฉพาะ
คุณจะทำให้งานของคุณง่ายขึ้นมากเพราะว่าแทนที่จะ
ต้องระวังปัญหาทุกอย่างเกี่ยวกับทุกผลิตภัณฑ์และเซอร์วิส
คุณเพียงแต่ดูแลปัญหาที่เกี่ยวข้องกับเซอร์วิส
และผลิตภัณฑ์ที่คุณใช้โดยเฉพาะก็พอ
ก่อนที่จะเปิดบริการเซอร์วิสใด ๆ ควรที่จะพิจารณาถึงคำถามเหล่านี้ก่อน:
* โปรโตคอลสำหรับผลิตภัณฑ์นี้เป็นที่รู้จักกันดีหรือไม่
ได้รับการตีพิมพ์ในหนังสือหรือไม่ ?
*
โปรแกรมสำหรับให้บริการโปรโตคอลนี้ได้รับการตรวจสอบจากสาธารณชนในเรื่องการทำงานของมันหรือไม่

* เซอร์วิสและผลิตภัณฑ์นี้เป็นที่รู้จักกันดีแค่ไหน
* การใช้เซอร์วิสที่จะไปเปลี่ยนแปลงสถาปัตยกรรมของไฟร์วอลหรือไม่
ผู้โจมตีจะเห็นแตกต่างจากนี้หรือไม่
มันมีช่องโหว่ให้ถูกบุกรุกเข้าสู่เน็ตเวิร์คภายในได้หรือไม่
หรือมันจะไปเปลี่ยนแปลง DMZ ในโฮสต์หรือไม่ ?
เมื่อจะพิจารณาถึงคำถามข้างต้น ควรจำไว้ว่า:
* ระบบรักษาความปลอดภัยที่ไม่มีชื่อเสียง ("Security through obscurity")
ไม่ปลอดภัยโดยสิ้นเชิง
โปรโตคอลที่ไม่ได้รับการตีพิมพ์มักจะถูกใช้โดยผู้ที่มุ่งร้าย
* ถึงแม้ว่าตัวแทนฝ่ายการตลาดจะโฆษณาผลิตภัณฑ์ว่าดีอย่างไร
แต่ความจริงแล้วไม่ใช่ทุกโปรโตคอลหรือ
เซอร์วิสที่ได้รับออกแบบโดยการคำนึงถึงความปลอดภัย
แต่มีเพียงจำนวนน้อยนิดเท่านั้น
* ถึงแม้ในกรณีที่การรักษาความปลอดภัยได้รับการใส่ใจ
แต่ไม่ใช่ทุกองค์กรที่มีเจ้าหน้าที่ที่มีความสามารถ
ในเรื่องการรักษาความปลอดภัย ในหมู่เจ้าหน้าที่ที่ไม่มีความสามารถ
ไม่ทุกคนที่จะเต็มใจนำที่ปรึกษาที่มีความ สามารถเข้ามาสู่โครงการ
ผลสุดท้ายจะทำให้เจ้าที่ที่อาจมีความตั้งใจดีแต่ไม่มีความสามารถจริงออกแบบระบบ
ที่ไม่มีความปลอดภัย
*
ยิ่งผู้จำหน่ายผลิตภัณฑ์มีความเต็มใจที่จะเปิดเผยการทำงานของระบบความปลอดภัยนั้น
ๆ น้อยเท่าใด
ยิ่งแสดงให้เห็นว่ามีปัญหาเกี่ยวกับความปลอดภัย(หรือปัญหาอื่น ๆ)
มากขึ้นเท่านั้น. ควรพิจาณาผู้ขายที่ปกปิด
การออกแบบและการทำงานด้วยเหตุผลอันสมควรเท่านั้น
การโจมตีหลากหลายชนิด
1.อะไรคือ การติดต่อแบบ source routed และทำไมมันจึงเป็นการโจมตี
โดยทั่วไป packet
ถูกส่งจากแหล่งกำเนิด(source)ไปสู่ที่หมายโดยการกำหนดจากเราเตอร์ระหว่างแหล่งกำเนิดและที่หมาย
ตัว packet เองเพียงแต่บอกว่ามันต้องการเดินทางไปที่ไหน
(โดยที่อยู่ของที่หมาย) โดยไม่ได้บอกว่ามันจะไปถึงที่หมายได้อย่างไร
มีทางเลือกสำหรับผู้ส่ง packet ที่จะให้รวมเอาข้อมูลที่บอกถึงเส้นทางการส่ง
packet ให้ไปถึงที่หมายไปกับ packet ด้วย ดังนั้นจึงเรียกว่า "source
routing" ซึ่งไฟร์วอลจะให้ความสนใจกับ source routing
เนื่องจากผู้โจมตีสามารถที่จะสร้างการติดต่อที่อ้างว่ามาจากระบบภายในไฟร์วอลได้
โดยทั่วไป การติดต่อเช่นนั้นไม่ควรจะเดินทางไปสู่ไฟร์วอลได้อย่างปกติ
แต่ด้วยตัวเลือก source routing ทำให้
เราเตอร์ที่อยู่ระหว่างเครื่องของผู้โจมตีและเครื่องเป้าหมายจะกลับ(reverse)การเดินทางตามทางของต้นกำเนิด
การนำการโจมตีแบบนี้ไปใช้ง่ายมาก
ดังนั้นผู้สร้างไฟร์วอลจึงไม่ควรปล่อยให้มันเกิดขึ้นได้
ในทางปฏิบัติจริง ๆ แล้ว source routing ใช้น้อยมาก
ที่จริงแล้วเหตุผลหลักของการใช้ก็เพื่อการค้นหา(debug)
ปัญหาทางเน็ตเวิร์คหรือการติดต่อผ่านเส้นทางเฉพาะเพื่อการควบคุมความแออัดของการติดต่อ
ในบางสถานการณ์ ตอนที่กำลังสร้างไฟร์วอล ควรจะเซ็ตให้ขวางกั้น source
routing ด้วย ไฟร์วอลเชิงพาณิชย์ ส่วนมากจะรวมเอาความสามารถในการขวางกั้น
source routing ไว้ด้วย นอกจากนี้มีระบบยูนิกซ์หลายเวอร์ชัน
ที่ใช้สำหรับสร้างโฮสต์ที่เป็นป้อมปราการไฟร์วอลมีความสามารถที่จะตัดการให้บริการหรือเมินเฉยต่อการติดต่อ
แบบ source routing ได้
2. อะไรคือ ICMP redirects และ redirect bombs ?
ICMP Redirect จะบอกระบบที่รับให้ทำการเพิ่มเติมข้อมูลบางอย่างใน routing
table เป็นการกระทำที่
มีเหตุผลสำหรับเราเตอร์ที่บอกโฮสต์ว่าโฮสต์นั้นกำลังใช้เส้นทางที่ไม่ใช่เส้นทางที่ดีที่สุดหรือเป็นเส้นทางที่ใช้ไปสู่ที่หมายไม่ได้
ตัวอย่างเช่น โฮสต์ส่ง packet ไปยังเราเตอร์ผิดตัว เราเตอร์นั้นก็จะส่ง
ICMP Redirect กลับมายังโฮสต์ที่ส่งมานั้นเพื่อบอกถึงเส้นที่ถูกต้อง
ถ้าคุณสามารถปลอม ICMP Redirect packet และโฮสต์ เป้าหมายให้ความสนใจกับ
packet นั้น คุณสามารถที่จะเปลี่ยนแปลง routing table ในโฮสต์นั้นและอาจ
สามารถทำลายความปลอดภัยของโฮสต์นั้นโดยทำให้การติดต่อไปมาโดยอาศัยเส้นทางที่
network manager ไม่ได้ให้ความสนใจ ICMP Redirect
นี้อาจใช้เพื่อการโจมตีแบบ denial of service ได้อีกด้วย
ซึ่งโฮสต์นั้นจะถูกแจ้งเส้นทางที่ทำให้โฮสต์นั้นไม่สามารถติดต่อไปได้
หรือถูกส่ง ICMP Network Unreachable packet
ที่จะบอกโฮสต์นั้นว่ามันไม่สามารถเข้าถึงเน็ตเวิร์คที่ต้องการได้
ผู้สร้างไฟร์วอลหลาย ๆ คนจะกลั่นกรองการติดต่อแบบ ICMP
ที่ส่งจากเน็ตเวิร์คของพวกเขา เนื่องจากข้อจำกัด
ของความสามารถผู้ใช้ภายนอกเน็ตเวิร์คที่ไม่สามารถ ping โฮสต์หรือแก้ไข
routing table ได้
3. denial of service คืออะไร
denial of service
จะเกิดขึ้นเมื่อมีบางคนที่ตัดสินใจทำให้เน็ตเวิร์คหรือไฟร์วอลของคุณไร้ประโยชน์ด้วยการ
ทำลาย(disrupt) ทำให้หยุดการทำงาน(crashing)
ทำให้เครื่องทำงานหนัก(jamming) หรือการส่งข้อมูลเข้า ไปมาก ๆ (flooding)
ปัญหาเกี่ยวกับ denial of service เป็นไปไม่ได้ที่จะป้องกัน
เหตุผลเนื่องมาจากธรรมชาติ
ของเน็ตเวิร์คที่จะต้องมีการแบ่งปันกัน(distribute)คือ: ทุก ๆ
เน็ตเวิร์คต่อกับเน็ตเวิร์คอื่นที่ต่อกับเน็ตเวิร์คอื่น ๆ ด้วยเช่นกัน
ผู้บริหารระบบไฟร์วอล (firewall administrator)หรือ ISP
สามารถเพียงควบคุมองค์ประกอบที่อยู่ภายในเน็ตเวิร์คที่บริหารอยู่เท่านั้น
แต่ผู้โจมตีสามารถทำลายการเชื่อมโยงที่ส่ง (upstream) มาจากที่ ๆ เหยื่อ
ควบคุมอยู่ อีกนัยหนึ่งถ้ามีผู้ที่ต้องการทำลายเน็ตเวิร์คนั้น
ถ้าเขาไม่สามารถทำลายเน็ตเวิร์คนั้นโดยตรง
เขาก็อาจทำลายเน็ตเวิร์คอีกเน็ตเวิร์คที่ต่อกับเน็ตเวิร์คที่ต้องการทำลายก็ได้
ซึ่งมีวิธีการมากมายที่จะทำการ denial of service
จากวิธีการอันซับซ้อนไปสู่วิธีการสุ่มหาวิธีการ
ถ้าคุณพิจารณาที่จะใช้อินเทอร์เน็ตจริงก็ควรวางแผนสำหรับเหตุการณ์
ที่เน็ตเวิร์คของคุณไม่สามารถติดต่อกับเน็ตเวิร์คภายนอก(down)
หรือถูกทำลายไว้ด้วย
4.มีอะไรบ้างที่เป็นวิธีโจมตีโดยทั่ว ๆ
ไปและผมจะป้องกันระบบจากวิธีการเหล่านี้ได้อย่างไร ?
แต่ละไซต์แตกต่างกันเล็กน้อยในวิธีการที่จะถูกโจมตี
แต่มีหลายวิธีการที่เกิดขึ้นเกิดบ่อย ๆ ดังต่อไปนี้
SMTP Session Hijacking
spammer
จะส่งข้อความเป็นจำนวนหลายพันฉบับไปยังรายชื่อที่อยู่ทางอีเมลล์ที่มีขนาดใหญ่
เพื่อใช้ส่งอีเมลล์เพื่อผลประโยชน์ของ spammer เอง (เช่นจดหมายประเภท
หลอกลวง ร้องทุกข์ ใส่ร้ายป้ายสี ประชาสัมพันธ์)โดยอาศัย SMTP server
ที่ยอมให้ผู้ใช้ภายนอกใช้เพื่อส่งเมลล์ได้
ซึ่งจะทำให้เสียค่าใช้จ่ายที่ใช้เพื่อกำจัดจดหมายไร้ประโยชน์ที่ส่งมาอย่างมากมายเหล่านี้

เวปไซต์ของ The Mail Abuse Prevention System Trasport Security
ได้ให้คำอธิบายเกี่ยวกับ
ปัญหานี้อย่างสมบูรณ์และวิธีการป้องกันจากการโจมตีเหล่านี้
(http://maps.vix.com/)
จุดบกพร่องในโปรแกรม
หลากหลายเวอร์ชันของโปรแกรม web server, mail server
และซอฟท์แวร์ให้บริการเซอร์วิสสำหรับอินเทอร์
เน็ตมีจุดบกพร่อง(bugs)ที่ยอมให้ผู้ใช้ที่อยู่ห่างไกลจากคอมพิวเตอร์เครื่องอื่น
(remote user) สามารถทำหลายสิ่ง
สิ่งหลายอย่างตั้งแต่สามารถควบคุมเครื่องคอมพิวเตอร์จนทำให้โปรแกรมหยุดทำงาน(crash)หรือทุกอย่างในทำนองเดียวกันนี้

เราสามารถลดความเสี่ยงนี้โดยการรันเพียงแต่เซอร์วิสที่ทำเป็น
และหมั่นหาตัวแก้ไขข้อผิดพลาดของโปรแกรม(patch) มาแก้ไข
และใช้ผลิตภัณฑ์ที่ออกมาได้ช่วงหนึ่งแล้ว
ข้อผิดพลาดในระบบปฏิบัติการ
โดยทั่วไปข้อพิดพลาดที่มีในระบบปฏิบัติการมักจะทำถูกควบคุมแบบทางไกลได้
(remote) โดยเฉพาะระบบปฏิบัติ การที่ยังใหม่ในส่วนของ IP networking
ยิ่งจะมีปัญหามาก ระบบปฏิบัติการที่สร้างมานานกว่าก็จะมีเวลาค้นหาและ
กำจัดข้อผิตพลาดเหล่านั้นไปได้ ผู้โจมตีสามารถทำให้เครื่องรีบูต
หยุดการทำงาน ทำลายความสามารถติดต่อกับเน็ตเวิร์ค
หรือเปลี่ยนแปลงไฟล์ในเครื่องนั้นได้
การรันเซอร์วิสให้น้อยเท่าที่สุดจะช่วยได้ นอกจากนี้การใช้ packet filter
ก่อนการติดต่อกับระบบปฏิบัติการก็จะช่วย ลดการโจมตีเหล่านี้ได้มากขึ้น
ให้เลือกระบบปฏิบัติการที่เสถียร(stable)ก็จะช่วยได้มาก
เวลาเลือกระบบปฏิบัติการอย่าเชื่อคำกล่าวที่ว่า "ยิ่งแพง เท่าไหร่ ยิ่งดี"
(the pricer,the better")
ระบบปฏิบัติการที่แจกฟรีมักจะแข็งแกร่งกว่าระบบปฏิบัติการที่ขายเชิงพาณิชย์เสียอีก

ผมจะทำ... ได้อย่างไร
1.ผมจำเป็นต้องยอมทุกอย่างตามที่ผู้ใช้ขอหรือไม่
คำตอบที่เป็นไปได้ทั้งหมดคือ "ไม่"
แต่ละไซต์มีนโยบายของตัวเองว่าอะไรจำเป็นและไม่จำเป็นต้องมี แต่สำคัญที่
ต้องจำไว้ว่าส่วนสำคัญของการทำงานเป็น "gatekeeper"ขององค์กร
ก็คือการให้ความรู้ ผู้ใช้ต้องการ streaming video, real-time chat,
และการสามารถเสนอบริการสู่ลูกค้าภายนอกที่ต้องการการโต้ตอบกับฐาน
ข้อมูลที่อยู่ภายในเน็ตเวิร์คได้
ไม่ได้หมายความว่าสิ่งเหล่านี้สามารถทำให้สำเร็จโดยปราศจากความเสี่ยงที่มากขึ้นต่อองค์กรมากกว่าคุณค่า
ที่คาดหวังไว้ของการก้าวไปข้างหน้าขององค์กร
ยูสเซอร์ทุกคนไม่ต้องการให้องค์กรมีความเสี่ยง พวกเขาเพียงอ่าน
ในโฆษณาและต้องการทำสิ่งเหล่านั้นด้วยเช่นกัน
สิ่งสำคัญคือให้ดูว่าพวกเขาต้องการทำอะไรกันแน่ และช่วยทำให้
พวกเขาเข้าใจว่าทำอย่างไรจึงจะสามารถทำสิ่งที่เขาต้องการได้สำเร็จตามเป้าหมายที่แท้จริงด้วยวิธีที่ปลอดภัยมากกว่า

คุณไม่จำเป็นต้องได้รับความนิยมจากยูสเซอร์
มิฉะนั้นคุณแล้วคุณอาจค้นพบว่าตัวเองกำลังทำในสิ่งที่ไร้ความคิดอย่างมาก
อย่าง "เพียงเปิดพอร์ตจาก x ไปยังพอร์ต xxx,แล้วไม่กังวลอะไรกับมันอีก"
จะฉลาดมากที่จะปกปิดการสนทนาเช่นนั้นไว้ เพื่อที่ว่าเมื่อเวลาที่ "script
kiddie" อายุ 12 ขวบบุกรุกเข้ามาในระบบได้แล้ว
อย่างน้อยคุณจะได้สามารถปัดความรับผิดชอบจากความเสียหายทั้งหมด
2.ผมจะทำให้ Web/HTTP ทำงานผ่านไฟร์วอลได้อย่างไร ?
มีสามวิธีที่ทำได้
1.อนุญาตให้มีการติดต่อโดยผ่านเราเตอร์ได้ ถ้าคุณใช้ screening router
2.ใช้ web client ที่สนับสนุน SOCKS และรัน SOCKS
บนโฮสต์ที่เป็นป้อมปราการสำหรับเน็ตเวิร์คของคุณ
3.รัน web server ที่สามารถใช้ proxy ได้บนโฮสต์ที่เป็นป้อมปราการ
ซึ่งอาจเป็น Squid,Apache, Netscape Proxy และ http-gw จาก TIS firewall
toolkit ซอฟท์แวร์เหล่านี้ส่วนมากยังสามารถ "proxy" โปรโตคอลอื่นได้ด้วย
(เช่น gopher และ ftp) และสามารถ cache object fetched
ซึ่งโดยทั่วไปมีผลให้ เพิ่มประสิทธิภาพสำหรับผู้ใช้ได้อย่างมากอีกด้วย
นอกจากนี้ web client (Mozilla, Ie, Lynx,และอื่น ๆ )
โดยทั่วไปจะสนับสนุน proxy server ในตัวโปรแกรมเอง
3.ผมจะทำให้ DNS ทำงานกับไฟร์วอลได้อย่างไร
บางองค์กรต้องการปกปิด DNS name จากภายนอก
ผู้เชี่ยวชาญหลายคนไม่คิดว่าการปกปิด DNS name จะเป็นประโยชน์
แต่ถ้านโยบายหรือบริษัทนั้นมีคำสั่งให้ปกปิดโดเมนเนม
วิธีการแก้ปัญหาแบบนี้รู้กันดีกว่าได้ผล
อีกเหตุผลหนึ่งที่อาจต้องปกปิดโดเมนเนมคือถ้าคุณมีระบบ address
ที่ไม่เป็นมาตรฐานที่อยู่ภายในเน็ตเวิร์ค ในกรณีนี้คุณ
ไม่มีทางเลือกอื่นนอกจากปกปิด address เหล่านี้
อย่าหลอกตัวเองด้วยการคิดว่าถ้า DNS name ถูกปกปิดไว้แล้ว
จะทำให้หน่วงผู้โจมตีให้เสียเวลาถ้าพวกเขาสามารถบุกรุกเข้ามาสู่ไฟร์วอลได้
ข้อมูลเกี่ยวกับสิ่งที่อยู่ในเน็ตเวิร์คง่ายที่จะค้นหาจาก network layer
นั้นเอง ถ้าสนใจอยากรู้วิธีการนี้ให้ ping subnet broadcast address ในระบบ
LAN แล้วใช้คำสั่ง "arp -a" จำไว้ว่าการปกปิดชื่อใน DNS
จะไม่ได้ช่วยป้องกันจากปัญหาการแพร่งพราย host name ใน mail header, new
article, และปัญหาอื่น ๆ
วิธีนี้เป็นหนึ่งในหลาย ๆ วิธีซึ่งมีประโยชน์สำหรับองค์กรที่ประสงค์จะปกปิด
host name จากอินเทอร์เน็ต
ความสำเร็จของวิธีแก้ปัญหาแบบนี้ขึ้นอยู่กับความจริงที่ว่า DNS client
ไม่จำเป็นต้องติดต่อกับ DNS server ที่อยู่ในเครื่องเดียวกัน
อีกนัยหนึ่งเพราะว่ามี DNS server ในเครื่องนั้นจึงไม่จำเป็น
(ซึ่งมีข้อดีหลายอย่าง)ที่จะต้อง redirect กิจกรรมจาก DNS client ไปยัง DNS
server ของอีกเครื่องหนึ่ง
ขั้นแรก ให้เซ็ตอัพ DNS server
ที่อยู่ในโฮสต์ที่เป็นป้อมปราการของเน็ตเวิร์คที่คอมพิวเตอร์จากภายนอกสามารถติดต่อได้และเซ็ต
server นี้เพื่อให้มันอ้างว่าเป็น authoritative สำหรับโดเมนของคุณ
อันที่จริงแล้ว server นี้มีสิ่งที่คุณต้องการให้โลกภายนอกรู้ ชื่อและ
address ของ gateway, wildcard MX records, และอื่น ๆ server นี้จึงเป็น
server สำหรับสาธารณะ (public server)
ต่อมา คุณจึงเซ็ตอัพ DNS server สำหรับเครื่องภายในเน็ตเวิร์ค server
นี้ให้อ้างเป็น authoritative สำหรับ โดเมนของคุณเช่นกัน แต่ไม่เหมือนกับ
server สาธารณะที่ server นี้จะบอกข้อมูลที่เป็นจริง เป็น name server
ปกติที่คุณจะใส่ข้อมูลเกี่ยวกับ DNS ปกติลงไป คุณสามารถเซ็ต server นี้
forward query ที่ไม่ สามารถ resolve ไปยัง public server (ใช้
บรรทัด"forwarders" ใน /etc/named.boot ในเครื่อง ระบบยูนิกซ์
สำหรับการยกตัวอย่าง)
ท้ายสุด คุณก็เซ็ต DNS client ของคุณทั้งหมด (ไฟล์ /etc/resolv.conf
ในระบบยูนิกซ์) รวมถึงเครื่องที่ เป็น public server ด้วย
สิ่งนี้เป็นหัวใจสำคัญของการใช้ server ภายใน
internal client จะติดต่อinternal host ซึ่งจะติดต่อไปยัง internal server
แล้วได้รับคำตอบมา ส่วน internal client จะติดต่อกับ external host
ซึ่งจะติดต่อ internal server ที่จะติดต่อกับ public server
ที่ติดต่อกับอินเทอร์เน็ตไปเป็นทอด ๆ แล้วคำตอบจะกลับมาเป็นทอด ๆ
ย้อมกลับตามทางเดิม แต่ถ้า external client ติดต่อกับ internal host
จะได้รับคำตอบแบบ "restricted" จาก public server
วิธีการนี้ตั้งสมมุติฐานไว้ว่าว่า packet filtering firewall ระหว่างสอง
server นี้อนุญาตให้พวกมันติดต่อ DNS ต่อกันได้แต่จำกัดการใช้ DNS
ระหว่างโฮสต์อื่น
อีกกลเม็ดหนึ่งที่มีประโยชน์สำหรับแผนการนี้คือให้ใช้ wildcard PTR record
ใน IN-ADDR.ARPA โดเมน ซึ่งจะทำให้การแปลง address
เป็นชื่อสำหรับโฮสต์ที่ไม่เปิดเผยต่อสาธารณะจะตอบด้วยคำตอบเช่น "unknown.
YOUR.DOMAIN" มากกว่าการได้รับข้อความแสดง error วิธีนี้ทำให้สอดคล้องกับ
anonymous FTP ไซต์เช่น ftp.uu.net
ที่ยืนยันให้เครื่องที่มันจะติดต่อด้วยจะต้องสามารถแปลง address
ให้เป็นชื่อได้ ซึ่งอาจจะล้มเหลวถ้าติดต่อกับไซต์ที่ทำการตรวจสอบว่า
hostname ตรงกับชื่อหรือไม่และในทำนองกลับกัน
4.ผมจะทำให้ FTP ทำงานผ่านไฟร์วอลได้อย่างไร ?
โดยทั่วไป การทำให้ FTP ทำงานผ่านไฟร์วอลได้อาจะทำได้โดยการใช้ proxy
server เช่น firewall toolkit ของ ftp-gw
หรือโดยการอนุญาตให้การติดต่อที่เข้ามาในเน็ตเวิร์คในช่วงหมายเลขพอร์ตที่จำกัด
และอาจจำกัดการติดต่อเข้ามาโดยใช้ "established" screening rule
แล้วจึงดัดแปลง FTP client ให้ส่งพอร์ตข้อมูลไปยังพอร์ตที่อยู่ในช่วงนั้น
ด้วยความจำเป็นนี้ทำให้สามารถดัดแปลง FTP client application
ในโฮสต์ที่อยู่ภายใน
ในบางกรณีถ้าคุณเพียงต้องการให้มีการสนับสนุนการดาวน์โหลดโดยใช้ FTP
เท่านั้น คุณอาจจะพิจารณาประกาศ ให้ FTP เป็น "dead protocol"
หรือเป็นโปรโตคอลไม่ใช้อีกต่อไปและให้ยูสเซอร์ใช้การดาวน์โหลดไฟล์โดย ใช้
web แทน ที่มี user interface
ที่ดีกว่าแต่อาจมีปัญหาเรื่องพอร์ตที่เรียกกลับมา (callback port) ถ้าคุณ
เลือกที่จะวิธีใช้ FTP ผ่าน web ยูสเซอร์ของคุณจะไม่สามารถ FTP
ไฟล์ออกไปได้ ขึ้นอยู่กับว่าคุณกำลังทำอะไรอยู่ ซึ่งอาจมีปัญหาก็ได้
อีกวิธีการหนึ่งคือการใช้ตัวเลือก "PASV" ของ FTP เพื่อบอกว่า FTP host
ที่เป็น remote host ควรจะอนุญาตให้ client เริ่มต้นการติดต่อ
วิธีการนี้อยู่บนสมมุติฐานที่ว่า FTP server ที่เป็น remote host
สนับสนุนการทำงานนั้นด้วย ดู RFC1579
(http://www.cis.ohio-state.edu/htbin/rfc/rfc1579.html)
สำหรับข้อมูลเพิ่มเติม
นอกจากนี้ไซต์อื่นอาจจะต้องการสร้าง FTP client ที่สามารถใช้ SOCKS library
ได้
5.ผมทำให้สามารถใช้ Telnet ผ่านไฟร์วอลได้อย่างไร ?
โดยทั่วไป Telnet จะได้รับการสนับสนุนจาก application proxy อย่างเช่น
firewall toolkit ของ tn-gw
หรือโดยการเซ็ตเราเตอร์ให้อนุญาตการติดต่อสู่ภายนอกโดยการใช้ "established"
screening rule application proxy สามารถรันเดี่ยว ๆ
ในโฮสต์ที่เป็นป้อมปราการก็ได้ หรืออยู่ในรูปของ SOCKS server และ client
ที่ได้รับการดัดแปลง
6.ผมจะทำให้ Finger และ whois ทำงานผ่านเน็ตเวิร์คได้อย่างไร ?
ผู้บริหารระบบไฟร์วอลหลายคนอนุญาตให้มีการติดต่อสู่ Finger
พอร์ตจากเครื่องที่ได้รับการไว้วางไจเท่านั้น ซึ่งสามารถใช้บริการ Finger
โดยการใช้คำสั่ง: finger user@host.domain@firewall วิธีนี้ใช้ได้ผลกับ
Finger ของระบบยูนิกซ์ทั่วไป
การควบคุมการเข้าถึงบริการและการจำกัดการเข้าถึงเครื่องที่ต้องการสามารถจัดการโดยการใช้
tcp wrappers หรือ netacl จาก firewall toolkit ก็ได้
แต่วิธีนี้ได้ผลไม่ทุกระบบ เนื่องจาก finger
บางเวอร์ชันไม่อนุญาตให้ใช้คำสั่ง finger แบบ user@host@host
หลายไซต์จะขวางกั้นคำร้องขอบริการ finger สู่ภายในเน็ตเวิร์คจากหลาย ๆ
เหตุผล ที่สำคัญที่สุดคือข้อบกพร่อง (bug)ของ finger server
ในอดีต(internet worm ที่อาศัยช่องโหว่นี้เป็นเรื่องที่โด่งดังมาก)
และความเสี่ยงต่อการถูกเปิดเผยข้อมูลที่สำคัญที่อยู่ใน finger
อย่างไรก็ตามถ้ายูสเซอร์ของคุณเคยชินกับการใส่ข้อมูลที่ละเอียดอ่อนไปใน
ไฟล์ .plan คุณจะมีปัญหาร้ายแรงเกินกว่าที่ไฟร์วอลจะแก้ไขได้
7.ผมจะทำให้ gopher, archie และเซอร์วิสอื่น ๆ ทำงานผ่านไฟร์วอลได้อย่างไร
? ผู้บริการระบบไฟร์วอลส่วนใหญ่เลือกที่จะสนับสนุน gopher และ archie ผ่าน
web proxy แทนที่จะให้ใช้โดยตรง อย่าง firewall toolkit ของ http-gw
สามารถแปลง การร้องขอ gopher/gophe+ ไปเป็น HTML และในทางกลับกัน
สำหรับการสนับสนุน archie และการร้องขอบริการเซอร์วิสอื่น ๆ หลายไซต์จะใช้
web server ที่สามารถใช้ archie ได้ เช่น ArchiePlex
อย่างไรก็ตามแนวโน้มของ web ที่จะทำให้ทุก ๆ
สิ่งในอินเทอร์เน็ตเป็นบริการของเวปมีทั้งคนที่พอใจและไม่พอใจ
มีหลายเซอร์วิสที่เกิดขึ้นมาใหม่
ซึ่งมักจะออกแบบไม่ดีหรือไม่ได้ออกแบบโดยการคำนึงถึงความปลอดภัย และ
ผู้ออกแบบมักบอกในทำนองว่าถ้าต้องการใช้มันก็ให้ใช้ port xxx
ผ่านเราเตอร์ของคุณ แต่โชคไม่ดีที่ไม่ใช่ทุก ๆ คน
ที่ทำอย่างนั้นได้และมีสิ่งใหม่ ๆ
ที่เกิดขึ้นหลายอย่างที่ใช้ได้ยากสำหรับผู้ที่อยู่เบื้องหลังไฟร์วอล เช่น
RealAudio ที่ต้องการเข้าถึง UDP โดยตรง
สิ่งที่ต้องจำไว้เสมอถ้าคุณพบปัญหาเหล่านี้คือให้ค้นหาข้อมูลเกี่ยวกับความเสี่ยง
ด้านการรักษาความปลอดภัยของเซอร์วิสนั้นมีให้มากที่สุดเท่าที่จะมากได้ก่อนที่จะอนุญาตให้ใช้
เป็นไปใด้มากที่ เซอร์วิสนั้นอาจไม่มีการรักษาความปลอดภัย
นอกจากนี้ยังเป็นไปได้ที่ยังมีช่องโหว่ที่ยังไม่ถูกค้นพบเกี่ยวกับเซอร์วิสนั้นเป็นจำนวนมาก
8.แล้วประเด็นของการใช้ X11ผ่านไฟร์วอลล่ะ ?
ระบบ XWindows เป็นระบบที่มีประโยชน์มาก
แต่ไม่โชคดีที่มันมีปัญหาทางด้านความปลอดภัยบางอย่าง
ระบบที่อยู่ห่างไกล(remote system)ที่สามารถเข้าถึงหรือหลอกลวง(spoof)ระบบ
X display สามารถ เฝ้าดูการกดคีย์บอร์ดของยูสเซอร์ ดาวน์โหลดส่วนประกอบของ
windows นั้นได้
ขณะที่มีความพยายามแก้ไขปัญหา (เช่น MIT "Magic cookie")
แต่ก็ยังง่ายมากสำหรับผู้โจมตีที่จะติดต่อกับ X display ของยูสเซอร์
ไฟร์วอลส่วนมากจะขวางกั้นทุกการติดต่อกับ X
มีไฟร์วอลบางชนิดที่อนุญาตให้การติดต่อ กับ X โดยผ่าน application proxy
อย่างเช่น DEC CRl X proxy (ftp://crl.dec.com) หรือ firewall toolkit
ที่รวมเอา proxy สำหรับ X ไว้ด้วย เรียกว่า x-gw
ยูสเซอร์สามารถเรียกโดยผ่าน Telnet proxy เพื่อ สร้าง X server
เสมือนที่ไฟร์วอล ยูสเซอร์จะถูกถามเพื่อให้อนุญาตการติดต่อ
ถึงมันจะไม่ดูดีสักเท่าไร แต่มันป้องกัน X ที่เหลือไว้ทั้งหมด
9.ผมจะทำให้ RealAudio ทำงานผ่านไฟร์วอลได้อย่างไร RealNetwork
ยังให้ข้อมูลเกี่ยวกับวิธีใช้ RealAudio ผ่านไฟร์วอล
(http://www.real.com/firewall/index.html)
แต่ไม่ฉลาดเลยที่จะเปลี่ยนเปลี่ยนแปลงการทำงานของไฟร์วอล
โดยไม่เข้าใจว่าการเปลี่ยนแปลงนั้นเพื่ออะไรจริง ๆ
และความเสี่ยงของการเปลี่ยนแปลงที่จะเกิดขึ้น
10.ผมจะทำให้ web server เป็นตัวแทน(front-end)
ของฐานข้อมูลที่อยู่ในเน็ตเวิร์คส่วนตัวได้อย่างไร ?
วิธีที่ดีที่สุดคือการอนุญาตให้มีการติดต่อที่จำกัดระหว่าง web server และ
database server โดยการใช้
โปรโตคอลเฉพาะที่สนับสนุนการทำงานในระดับที่คุณต้องการใช้ การอนุญาตให้ใช้
SQL ที่ไม่ผ่านการกระบวนการ (raw SQL)
หรืออะไรก็ตามที่สามารถทำให้ผู้โจมตีสามารถกลั่นกรองข้อมูลออกมาได้เป็นความคิดที่ไม่ถูกต้อง
สมมุติว่าผู้โจมตีสามารถบุกรุกเข้าสู่ web server
ได้และทำการร้องขอข้อมูลวิธีเดียวกับที่ web server สามารถทำได้
มีกลไกการทำงานสำหรับการแสดงข้อมูลที่สำคัญมากที่ web server
ไม่จำเป็นต้องใช้ เช่น ข้อมูลเกี่ยวกับบัตรเครดิตหรือไม่ ?
ผู้โจมตีสามารถใช้ SQL
เพื่อเปิดเผยข้อมูลทางการค้าทั้งหมดในฐานข้อมูลหรือไม่
application ที่เกี่ยวข้องกับ E-commerce เหมือนกับสิ่งอื่น ๆ
ที่ต้องได้รับการออกแบบโดยการรักษาความปลอดภัยตั้งแต่พื้นฐาน
แทนที่จะเพิ่มเข้าไปภายหลัง ดังนั้นจึงควรทบทวนสถาปัตยกรรมอย่างจับผิด
โดยมุมมองของผู้โจมตี
สมมุติว่าผู้โจมตีรู้ทุกอย่างเกี่ยวกับสถาปัตยกรรมระบบของคุณ
ให้ถามตัวคุณเองว่าจะต้องทำให้อะไร เพื่อให้สามารถโจรกรรมข้อมูลได้
การเปลี่ยนแปลงสิ่งต่าง ๆ
ภายในระบบหรือการทำสิ่งใดก็ตามที่คุณไม่ต้องการให้เกิดขึ้น
คุณอาจเจอสิ่งที่ทำให้เพิ่มความปลอดภัยของระบบของคุณอย่างเห็นได้ชัดโดยไม่ต้องลดการทำงานของ
ระบบโดยการออกแบบเล็กน้อยและการตัดสินในการนำไปดำเนินการ
แนวความคิดสำหรับวิธีการจัดการกับสิ่งเหล่านี้ คือ:
*
กลั่นกรองข้อมูลที่ต้องการจากฐานข้อมูลแบบธรรมดาเพื่อที่จะไม่ต้องขอข้อมูลจากฐานแบบเต็ม
เพราะข้อมูล แบบสมบูรณ์จะเป็นที่สนใจของผู้โจมตี
*
จำกัดการติดต่อให้มากที่สุดและทำการตรวจสอบสิ่งที่คุณยอมให้มีการติดต่อระหว่าง
web server และฐานข้อมูล
11.แต่ถ้าฐานข้อมูลของผมรวมไว้กับ web server และผมต้องการใช้มัน
ผมเพียงแต่ค้นหาช่องโหว่ในไฟร์วอล และแก้พอร์ตนั้นไม่ได้หรือ ?
ถ้านโยบายเกี่ยวกับไฟร์วอลของไซต์คุณบกพร่องอย่างเห็นได้ชัดและคุณเต็มใจที่จะจัดการเกี่ยวกับความเสี่ยงที่จะมี
ผู้ใช้ประโยชน์จากช่องโหว่ใน web server
ของคุณซึ่งจะมีผลให้ฐานข้อมูลบางส่วนหรือทั้งหมดถูกโจรกรรมไป
ถ้าเป็นเช่นนั้นแล้วก็ไม่มีวิธีที่จะป้องกันคุณจากสิ่งนี้ได้
อย่างไรก็ตาม หลายองค์กรที่ผู้ที่รับผิดชอบต่อการให้ web server
เป็นตัวแทนของฐานข้อมูลอาจไม่มีอำนาจสำหรับ ความรับผิดชอบนั้น
ยิ่งไปกว่านั้นถ้าสารสนเทศในฐานข้อมูลเกี่ยวกับผู้คน
คุณอาจมีความผิตทางกฏหมายถ้าคุณไม่
สามารถป้องกันระบบจากการใช้ไปในทางที่ผิดโดยไม่มีเหตุผลอันสมควร
โดยทั่วไป วิธีนี้เป็นความคิดที่ไม่ดี
ให้ดูคำถามก่อนหน้านี้สำหรับแนวความคิดสำหรับการบรรลุเป้าหมายนี้โดยหนทางอื่น

คำถามเพิ่มเติม
1.มีผลิตภัณฑ์ที่ขายเชิงพาณิชย์อะไรบ้างหรือที่ปรึกษาที่ให้คำปรึกษาเกี่ยวกับไฟร์วอลที่ไหนบ้าง
? คำถามนี้ละเอียดอ่อนเกินไปที่กล่าวถึงใน FAQ นี้
อย่างไรก็ตามมีรายการเกี่ยวกับเรื่องนี้ที่ไม่ขึ้นกับใครอยู่ ที่
(ไม่รับประกันความเสี่ยงหรือแนะนำ)
http://www.access.digex.net/~bdboyle/firewall.vendor.html
อธิบายคำศัพท์ที่เกี่ยวข้องกับไฟร์วอล
Abuse of Privilege:
เมื่อเวลาที่ยูสเซอร์กระทำกิจกรรมที่พวกเขาไม่ควรทำ
ตามนโยบายขององค์กรหรือกฏหมายได้กำหนดไว้

Access Control List:
หลักปฏิบัติ(rule)สำหรับตัวกลั่นกรอง packet
(มักจะเป็นเราเตอร์)ซึ่งชี้เฉพาะว่า packet ไหนที่ผ่านได้ และ packet
ที่ขวางกั้นไว้

Access Router:
เราเตอร์ที่ต่อเน็ตเวิร์คของคุณไปสู่อินเทอร์เน็ตที่อยู่ภายนอก
โดยทั่วไปสิ่งนี้จะเป็นสิ่งแรกที่ป้องกันจากผู้โจมตี
จากอินเทอร์เน็ตที่อยู่ภายนอก ด้วยการใช้ access control list
ในเราเตอร์นี้คุณจะสามารถให้การป้องกันสำหรับทุก ๆ
โฮสต์ที่อยู่เบื้องหลังเราเตอร์นี้ ทำให้เน็ตเวิร์คนั้นใช้ DMZ
ซึ่งมีประสิทธิภาพแทนที่ LAN ที่ไม่มีการป้องกัน

Application-Level Firewall:
ระบบไฟร์วอลซึ่งให้บริการได้โดยโปรเซสที่รักษาสถานะะการติดต่อแบบ TCP
โดยสมบูรณ์และลำดับของเหตุการณ์ Application level firewall
มักจะใส่ที่อยู่ใหม่ให้กับการติดต่อ(re-address) เพื่อให้การติดต่อ
ที่ออกไปเหมือนกับถูกสร้างมาจากไฟร์วอลมากกว่าจากโฮสต์ภายใน (internal
host)

Authentication:
ขั้นตอนของการตรวจพิสูจน์ตัวผู้ใช้ที่พยายามเข้าสู่ระบบ

Authentication Token:
อุปกรณ์ที่สามารถเคลื่อนย้ายได้ ใช้สำหรับตรวจพิสูจน์ผู้ใช้ Authetication
token ทำงานโดยคำถาม-ตอบ (challenge/response), time-base code sequences,
หรือเทคนิคอื่น ๆ ซึ่งอาจรวมถึงกระดาษรายการของ one-time password

Authorization:
ขั้นตอนของการตรวจสอบว่ากิจกรรมชนิดใดที่ได้รับการอนุญาต โดยปกติ
authorization จะอยู่ในกรอบของ authentication: เมื่อคุณได้พิสูจน์
(authenticated)ผู้ใช้ว่าเป็นผู้ใช้ที่แท้จริงแล้ว
พวกเขาจะได้รับการอนุญาตให้เข้าถึงข้อมูลหรือกิจกรรมต่าง ๆ ชนิดกัน

Bastion Host:
ระบบที่รับภาระต้านทานการโจมตีอย่างหนัก
และติดตั้งในเน็ตเวิร์คเพื่อรับการถูกโจมตี Bastion host มักจะเป็น
ส่วนประกอบของไฟร์วอล หรืออาจอยู่ข้างนอก web server
หรือระบบที่สามารถเข้าถึงได้โดยทั่วไป โดยทั่วไป bastion host
จะใช้ระบบปฏิบัติการที่ใช้สำหรับจุดประสงค์ทั่วไป (เช่น Unix, VMS,
NTและอื่น ๆ) มากกว่า ระบบปฏิบัติการแบบ ROM-based หรือ firmware

Challenge/Response:
เทคนิคการพิสูจน์ผู้ใช้ด้วยวิธีให้ server ส่งคำถาม (challenge)
ที่ไม่สามารถทำนายได้ให้กับผู้ใช้ซึ่งจะต้อง คำนวนคำตอบ(response)โดยใช้
authentication token บางรูปแบบ

Chroot
เทคนิคในระบบยูนิกซ์ที่โปรเซสจะจำกัด filesystem ย่อยที่แยกออกไปอย่างถาวร

Cryptographic Checksum:
ฟังก์ชันทางเดียว(one-way function)ที่ใช้กับไฟล์เพื่อให้สร้าง
"fingerprint" ที่มีลักษณะเฉพาะสำหรับไฟล์นั้น สำหรับการอ้างอิงในเวลาต่อมา
ระบบ checksum เป็นเครื่องบ่งชี้หลักสำหรับสำหรับตรวจหา filesystem
ที่ถูกเข้าไปเปลี่ยนแปลงไฟล์

Data Driven Attack:
รูปแบบหนึ่งของการโจมตีที่การโจมตีจะถูกทำให้อยู่ในรูปแบบที่ดูเหมือนไม่มีอันตรายซึ่งจะถูกเอ็กซีคิวท์โดยผู้ใช้
เองหรือโดยซอฟท์แวร์อื่นเพื่อทำให้เกิดการโจมตีขึ้น ในกรณีของไฟร์วอล data
driven attack เป็นกรณีที่น่า
เป็นห่วงเนื่องจากมันอาจผ่านมาจากไฟร์วอลได้ในรูปของข้อมูลและทำการโจมตีระบบที่อยู่เบื้องหลังไฟร์วอล

Defense in Depth:
วิธีการรักษาความปลอดภัยด้วยวิธีให้แต่ละระบบในเน็ตเวิร์คมีการรักษาความปลอดภัยในระบบสูงที่สุดเท่าที่เป็นไปได้
อาจใช้ร่วมกันกับการใช้ไฟร์วอล

DNS spoofing:
การปลอมแปลง DNS name ของอีกระบบหนึ่งโดยการทำให้ name service cache
ของระบบที่ตกเป็นเหยื่อเสียหาย หรือการอาศัยช่องโหว่ของ domain name server

Dual Homed Gateway:
dual homed gateway เป็นระบบที่มีสอง network interface หรือมากกว่า
แต่ละอันก็จะต่อกับอีกเน็ตเวิร์ค อื่นใน configuration ของไฟร์วอล dual
homed gateway มักจะขวางกั้นหรือกลั่นกรองการติดต่อบางส่วน
หรือทั้งหมดที่ผ่านระหว่างเน็ตเวิร์ค

Encrypting Router:
ดูความหมายจาก Tunneling Router และ Virtual Network Perimeter

Firewall:
ระบบหรือระบบหลายระบบรวมกันที่บังคับใช้ขอบเขตระหว่างสองเน็ตเวิร์คหรือมากกว่า

Host-based Security:
เทคนิคของการรักษาความปลอดภัยของแต่ละระบบจากการโจมตี host based security
จะขึ้นอยู่กับระบบปฏิบัติการและเวอร์ชัน

Insider Attack:
การโจมตีที่มีที่มาจากภายในเน็ตเวิร์คที่ได้รับการป้องกันนั้นเอง

Intrusion Detection:
การตรวจตราการบุกรุกหรือความพยายามที่จะบุกรุก
ถ้าผู้โจมตีไม่ทำเอง(manual)ก็อาจใช้ software expert system
ที่ทำการบันทึกการติดต่อหรือข้อมูลอื่นที่หาได้จากเน็ตเวิร์ค

IP Spoofing:
การโจมตีด้วยวิธีให้ระบบพยายามปลอมเป็นอีกระบบหนึ่งอย่างไม่ถูกต้องโดยใช้
IP network address ของมันเอง

IP Splicing / Hijacking:
การโจมตีโดยวิธีการที่การติดต่อที่กำลังติดต่ออยู่นั้นถูกดักจับและนำมาใช้โดยผู้โจมตี
การโจมตีโดยวิธี IP Splicing
อาจเกิดขึ้นหลังจากที่มีการพิสูจน์ผู้ใช้(authentication)แล้ว
จึงยอมให้ผู้โจมตีใช้ในฐานะของผู้ใช้ที่ได้รับการพิสูจน์ตัวผู้ใช้แล้ว
การป้องกันเบื้องต้นจากการโจมตีแบบ IP Splicing ใช้การเข้ารหัสในส่วนของ
session หรือ network layer

Least Privilege:
มุมมองการออกแบบการทำงานของระบบเพื่อให้ทำงานด้วยสิทธิในการใช้ระบบ(system
privilege)ให้น้อยที่สุด
ซึ่งจะลดระดับในการพิสูจน์ตัวผู้ใช้(authorization)
ทำให้การกระทำหลายอย่างที่ลดโอกาสที่โปรเซสหรือผู้ใช้
ที่มีสิทธิในระบบสูงอาจทำกิจกรรมที่ไม่ได้รับการอนุญาต
อันเป็นผลให้เกิดการละเมิดการรักษาความปลอดภัย

Logging:
ขั้นตอนของการเก็บข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นในไฟล์วอลหรือเน็ตเวิร์ค

Log Retention:
ระยะเวลาที่การบันทึก(log) ของการตรวจสอบจะถูกเก็บรักษาไว้(retained and
maintained)

Log Processing:
วิธีการดำเนินการบันทึกของการตรวจสอบ การค้นหา key event หรือข้อมูลสรุป

Network-Level Firewall:
ไฟร์วอลที่ติดต่อไปมาจะถูกตรวจสอบที่ network protocol packet level

Perimeter-based Security:
เทคนิคการรักษาความปลอดภัยของเน็ตเวิร์คด้วยการควบคุมการเข้าถึงทางเข้าและทางออกในเน็ตเวิร์ค

Policy:
หลักปฏิบัติระดับองค์กรสำหรับการใช้ทรัพยากรคอมพิวเตอร์ที่ยอมรับได้
กิจวัตรสำหรับการรักษาความปลอดภัย และขั้นตอนในการปฏิบัติงาน

Proxy:
ซอฟท์แวร์ตัวแทนที่ทำตามการกระทำของผู้ใช้ proxy
โดยทั่วไปจะรับการติดต่อจากผู้ใช้ ทำการตัดสินใจว่าควรให้ผู้ใช้หรือ client
IP address ได้รับการอนุญาตให้ใช้ proxy
หรือไม่บางทีอาจทำการพิสูจน์ผู้ใช้เพิ่มเติมอีกด้วย
และทำให้การติดต่อของผู้ใชัที่ไปสู่เป้าหมายให้เสร็จสมบูรณ์

Screened Host:
โฮสต์ในเน็ตเวิร์คที่อยู่เบื้องหลัง screening router ระดับของการเข้าถึง
screened host ขึ้นอยู่ screening rule ในเราเตอร์

Screened Subnet:
เป็น subnet ที่อยู่เบื้องหลัง screening router ระดับของการเข้าถึง subnet
ขึ้นอยู่กับ screening rule ในเราเตอร์

Screening Router:
เราเตอร์ที่ถูกกำหนดค่าให้อนุญาตหรือปฏิเสธการติดต่อไปมา ขึ้นอยู่กับ
permission rule ที่ติดตั้งโดย ผู้บริหารระบบ

Session Stealing:
ดูความหมายจาก IP Splicing

Trojan Horse: ซอฟท์แวร์ที่ดูเหมือนจะทำงานตามปกติแต่จริง ๆ แล้วจะมี
trapdoor หรือโปรแกรมที่สามารถโจมตีได้

Tunneling Router:
เราเตอร์หรือระบบที่สามารถนำทางการติดต่อไปมาโดยการเข้ารหัสและการ
encapsulating เพื่อการเดินทาง ผ่านเน็ตเวิร์คที่ไม่ไว้วางใจ แล้วจึงทำการ
de-encapsulation และถอดรหัสในตอนท้าย

Social Engineering:
การโจมตีที่อาศัยการหลอกลวงผู้ใช้หรือผู้บริหารระบบที่ไซต์เป้าหมาย
การโจมตีแบบ Social engineering
มักจะกระทำโดยผู้ใช้โทรศัพท์หรือโอเปอร์เรเตอร์ที่เสแสร้งเป็นผู้ใช้ที่ได้รับอนุญาต
เพื่อที่จะพยายามเข้าถึงระบบโดยวิธีการที่ไม่ถูกต้อง

Virtual Network Perimeter:
เน็ตเวิร์คที่ดูเหมือนเป็นเน็ตเวิร์คเดียวที่ได้รับการปกป้องเบื้องหลังไฟร์วอล
ที่จริง ๆแล้วล้อมรอบด้วย virtual link
ที่เข้ารหัสผ่านเน็ตเวิร์คที่ไม่ไว้วางใจ

Virus:
ส่วนของรหัสที่ถูกคัดลอกมาที่แนบท้ายตัวเองไปสู่โปรแกรมหรือไฟล์ข้อมูล
virus อาจจะมีหรือไม่มีส่วนของโปรแกรมที่โจมตีหรือ trapdoor ก็ได้
โชคไม่ดีที่หลายคนเรียกเรียกโปรแกรมที่มุ่งร้ายใด ๆ ก็ตามว่า virus
ถ้าคุณหมายถึง "trojan horse" หรือ "worm" ให้ใช้คำว่า "trojan horse" หรือ
"worm"

Worm:
โปรแกรมที่ทำงานด้วยตัวเองที่เมื่อรัน
มันจะทำสำเนาตัวเองจากโฮสต์หนึ่งไปยังอีกโฮสต์หนึ่ง และจะรันตัวมันเอง
ในแต่ละโฮสต์ที่มันได้บุกรุกเข้าไป รายงานข่าวอย่างกว้างขวางเกี่ยวกับ
"Internet Virus" ในปีคศ.1988 ไม่ใช่ virus แต่อย่างใด แต่จริง ๆ แล้วเป็น
worm ต่างหาก

แหล่งอ้างอิง
hackvison

URL:http://se-ed.net/hacking Email: hacking@se-ed.net IE.5.x  800x600 16bit
หน้าหลัก | บทความ | ทฤษฏี| เทคนิค | แนวปฏิบัติ | เครื่องมือ| วิจารณ์ | เนื้อหา | อ้างอิง| Port | กระทู่ | สนทนา | ลิงค์ | รายการCD