1 / 46

บทที่ 3 Firewall

บทที่ 3 Firewall. Outline. Firewall คืออะไร ประเภทของ Firewall สถาปัตยกรรมของ Firewall Load Balancing Firewall การรักษาความปลอดภัยการเชื่อมต่อระยะไกล. 1. Firewall คืออะไร.

jane
Download Presentation

บทที่ 3 Firewall

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. บทที่ 3 Firewall PanidaPanichkul

  2. Outline • Firewall คืออะไร • ประเภทของ Firewall • สถาปัตยกรรมของ Firewall • Load Balancing Firewall • การรักษาความปลอดภัยการเชื่อมต่อระยะไกล

  3. 1. Firewall คืออะไร • คือ องค์ประกอบส่วนหนึ่งของระบบเครือข่าย ทำหน้าที่ตรวจสอบข้อมูลที่ผ่านเข้าออกระหว่างระบบเครือข่ายภายในองค์กรกับเครือข่ายภายนอกที่ไม่น่าไว้วางใจ [E. Whitman and J. Mattord, 2005] เพื่อป้องกันภัยคุกคามทางเครือข่าย โดยไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้ามาใช้งานระบบ รวมทั้งป้องกันการโจมตีระบบในรูปแบบต่างๆ

  4. 2. ประเภทของ Firewall • Packet Filtering Firewall • Application Firewall • Circuit Gateway • MAC Layer • Hybrid Firewall • NAT Firewall • Personal Firewall

  5. 2.1 Packet Filtering Firewall • เป็น Firewall ที่ตรวจสอบและกลั่นกรอง Packet ข้อมูล (Data Packet) ที่เข้ามาในเครือข่าย โดยการพิจารณาความ น่าเชื่อถือของข้อมูลจากส่วน Header ของ Packet หากพบว่าไม่น่าเชื่อถือจะปฏิเสธ Packet นั้น แต่หากพบว่าน่าเชื่อถือจะ ส่งต่อ Packet นั้นไปยังปลายทางในเครือข่ายต่อไป • ตรวจสอบ • IP Address ต้นทางและปลายทาง • หมายเลข Port ต้นทางและปลายทาง • ประเภทของโปรโตคอล (TCP, UDP) • อื่นๆ ตามความสามารถของ Firewall แต่ละผลิตภัณฑ์

  6. Packet Filtering Firewall (cont.)

  7. Packet Filtering Firewall (cont.) • การตรวจสอบ Packet ของ Firewall ชนิดนี้จะกระทำที่ Network Layer • เนื่องจาก Firewall ชนิดนี้นิยมติดตั้งที่ตัวอุปกรณ์เครือข่าย เช่น Router ดังนั้น จึงมักเรียกว่า “Filtering Router” • Packet Filtering Firewall แบ่งเป็น 3 ชนิดย่อย • Static Filtering • Dynamic Filtering • Stateful Inspection

  8. Static Filtering หรือ Unchanging Filtering กลไกการกรอง Packet ตายตัว ทำได้เพียงตรวจสอบและตัดสินใจว่าจะ “อนุญาติ” หรือ “ปฏิเสธ” พร้อมกับเลือกว่าจะเปิดหรือปิดพอร์ตทั้งหมดที่ถูกร้องขอจากการเชื่อมต่อภายนอกเท่านั้น ไม่สามารถเลือกเปิดหรือปิดเฉพาะบางพอร์ตได้ • ไม่มีประสิทธิภาพ, ป้องกันภัยคุกคามได้ในเบื้องต้นเท่านั้น

  9. Dynamic Filtering สามารถเลือกเปิดเฉพาะ Port ที่ต้องการได้ โดยปิด Port ที่เหลือไว้ โดยทันทีที่ทราบว่า Packet ที่เข้ามาเชื่อถือได้ Dynamic Filtering ก็จะตรวจจับว่า Request ที่มาพร้อมกับ Packet นั้นต้องการให้เปิด Port ใด ก็จะทำการเปิดเฉพาะ Port นั้นจนกว่าจะจบ Session ของการทำงาน

  10. Stateful Inspection ทำงานทุกอย่างได้เหมือนกับ Static และ Dynamic Filtering และ ยังสามารถคงสถานะการเชื่อมต่อกับภายนอกไว้ภายในระยะเวลาที่กำหนดได้อีกด้วย โดย Firewall ชนิดนี้จะมีการทำงานที่ซับซ้อนขึ้นเนื่องจากต้อง Implement ตาราง “State Table Entry” ซึ่งมีระยะเวลาทั้งหมดของการเชื่อมต่อตลอดจนระยะเวลาที่เหลือของการเชื่อมต่อระบุไว้ด้วย ดังนั้น หาก Packet ใดที่ไม่มีการตอบรับภายในระยะเวลาที่กำหนด Firewall ก็จะตัดการเชื่อมต่อ เพื่อสร้างการเชื่อมต่อกับ Request ใหม่ทันที

  11. 2.2 Application Firewall • หรือที่รู้จักกัน ในชื่อว่า proxy นั้น จะทำหน้าที่คล้ายกับ เจ้าหน้าที่ ศุลกากร ที่จะตรวจสอบ ข้อมูล ทุกๆ อย่าง ก่อนที่จะถูกส่งออก หรือนำเข้ามา ภายในระบบของคุณ ด้วยตัวกรอง packet ที่ทำงานขึ้นกับ IP Address และ ข้อมูลของคุณ ที่มีลักษณะ และรูปแบบ ที่แตกต่างกันไป อย่างเช่น หากคุณ ทำงานโดยใช้ FTP Program ( โปรแกรม ถ่ายโอนข้อมูล บนอินเตอร์เน็ต ) proxy จะสามารถ ตรวจสอบ และเลือกว่า สามารถ ทำอย่างไรได้บ้าง เช่น ให้ upload ข้อมูลได้ แต่ไม่ให้ บุคคลอื่น ส่งข้อมูล แทรกเข้ามา ในระหว่างที่คุณทำงานอยู่ ในขณะเดียวกัน คุณยังสามารถ กำหนดให้ firewall มีระดับ ความเข้มงวด ของการทำงานเพียงใด เพื่อกำหนดได้ว่า จะสามารถ ใช้งานได้ในระดับ ที่ยืดหยุ่นมากเพียงใด [http://www.dld.go.th] • นอกจากนี้ยังทำหน้าที่คล้ายกับ Proxy Server ด้วย

  12. 2.3 Circuit Gateway Firewall • เป็น Firewall ที่ไม่ตรวจสอบข้อมูลใน Packet แต่จะตรวจสอบเส้นทางการเชื่อมต่อ (Connection) ระหว่างผู้ใช้กับเครื่องอื่นภายนอกเครือข่าย และป้องกันการเชื่อมต่อโดยตรงระหว่างผู้ใช้กับเครื่องอื่นๆ ภายนอกเครือข่ายด้วย • ข้อเสีย คือ ไม่สามารถตรวจสอบเนื้อหาภายใน Packet ที่จะส่งไปในเส้นทางการเชื่อมต่อนั้นได้ • Circuit Gateway Firewall ทำงานบน Transport Layer ใน OSI Model

  13. 2.4 MAC Layer Firewall • เป็น Firewall ที่สามารถระบุ Host Computer ได้ในขณะการกลั่นกรอง Packet โดยดูจากหมายเลข MAC (MAC Address) ที่ถูกเชื่อมโยงเข้ากับตาราง ACL เพื่อการตรวจสอบ Packet ที่มาพร้อมกับ Host Computer ใดๆ • MAC Layer Firewall ทำงานบน Data Link Layer ใน OSI Model

  14. 2.5 Hybrid Firewall • เป็น Firewall ที่รวมเอาความสามารถของ Firewall ชนิดอื่นๆ เข้าด้วยกัน เช่น การรวม Packet Filtering Firewall เข้ากับ Application Firewall หรือรวมระหว่าง Packet Filtering Firewall กับ Circuit Firewall เป็นต้น • MAC Layer Firewall ทำงานบน Data Link Layer ใน OSI Model

  15. Firewall แต่ละประเภทบน OSI Model

  16. 2.6 NAT Firewall • NAT (Network Address Translation) Firewallเป็น Firewall ที่ป้องกันการลักลอบนำหมายเลข IP ไปใช้ โดยจะซ่อนหมายเลข IP ที่แท้จริงไว้ แต่แสดงให้ภายนอกเห็นด้วยหมายเลข IP จำแลง (Network Address Translation) ที่ถูกกำหนดขึ้นให้ทราบเฉพาะภายในเครือข่าย

  17. NAT Firewall เป็น Firewall อีกชนิดหนึ่งที่เหมาะกับการใช้งานในสำนักงานขนาดเล็กหรือใช้ใน Home Office (Small Office/Home Office: SOHO) • ในยุคแรกๆ ของการใช้อินเทอร์เน็ตความเร็วสูง SOHO Firewall จะมีกลไกการกรอง Packet เป็นแบบStateful Inspection Firewall ได้อย่างเดียว แต่ปัจจุบัน SOHO Firewall ได้มีการพัฒนาความสามารถมากขึ้น โดยมีการรวมฟังก์ชัน Packet Filtering เข้ากับการเชื่อมต่อแบบไร้สาย (WAP) และมีบริการ NAT Firewall และตรวจสอบ MAC Address ให้ด้วย

  18. 2.7 Personal Firewall • เป็น Firewall ที่ใช้งานกับเครื่องคอมพิวเตอร์ส่วนบุคคล โดยทั่วไปอยู่ในรูปของซอฟต์แวร์ที่อาจมาพร้อมกับระบบปฏิบัติการ ซึ่งผู้ใช้เครื่องคอมพิวเตอร์ส่วนบุคคลสามารถกำหนดค่าตัวเลือกการป้องกันเองได้ เช่น ในระบบปฏิบัติการ Windows สามารถเรียก Firewall ขึ้นมากำหนดเอง โดยพิมพ์คำสั่ง ‘mmc’ ที่เมนู Run เป็นต้น • ปัจจุบัน มีซอฟต์แวร์ Firewall จำหน่ายผ่านเว็บไซต์จำนวนมาก แต่ควรระวังซอฟต์แวร์ Firewall ที่เป็น Freeware เนื่องจากอาจมีซอฟต์แวร์ไม่พึงประสงค์แนบติดมาด้วย ยกตัวอย่างซอฟต์แวร์หรือผลิตภัณฑ์ Firewall เช่น Zone Labs ZoneAlarm, Norton Personal Firewall และ BlackICE Defender เป็นต้น

  19. 3. สถาปัตยกรรม Firewall • Firewall แต่ละประเภท สามารถนำมาจัดโครงสร้างการทำงานให้เป็นระบบ Firewall ตามสถาปัตยกรรมของ Firewall ได้หลายรูปแบบ • ในที่นี้จะกล่าวถึงสถาปัตยกรรมของ Firewall ทั้งหมด 4 รูปแบบ ได้แก่ • Packet Filtering Router • Screened Host Firewall • Dual-homed Host Firewall • Screened Subnet Firewall

  20. 3.1 Packet Filtering Router • เป็นรูปแบบที่จัดให้มี Router ทำหน้าที่เป็น Firewall กั้นระหว่างเครือข่ายภายในองค์กรกับภายนอกองค์กร Firewall ที่ Router จะทำการกลั่นกรอง Packet โดยจะอนุญาตให้ Packet ที่ตรงกับตาราง ACL เท่านั้นที่จะสามารถเข้ามาในเครือข่าย ภายในองค์กรได้

  21. ข้อดี • Implement ง่าย • มีความเร็วสูง • ประหยัดค่าใช้จ่าย • ข้อเสีย • ไม่มีระบบการตรวจสอบและตรวจจับที่เข้มงวด • ยิ่งเพิ่มกฎเกณฑ์ในตาราง ACL มาก ยิ่งจะทำให้การทำงานของระบบช้าลง

  22. 3.2 Screened Host Firewall • เป็นรูปแบบที่ประกอบไปด้วยความสามารถของ Packet Filtering Router และ Application Firewall (Proxy Server) โดยนอกจากจะมี Router ทำหน้าที่เป็น Packet FilteringFirewall แล้ว ยังมีการเพิ่มเครื่อง Server อีก 1 เครื่องเพื่อทำ หน้าที่เป็น Proxy Server เรียกว่า “Bastion Host” • การทำงานจะเริ่มจาก Packet Filtering Router ทำการกลั่นกรอง Packet ก่อน จากนั้นจะส่งต่อ Packet ที่ได้รับอนุญาตไปยัง Bastion Host เพื่อตรวจสอบบริการ Application ที่เข้ามา แล้วทำการเก็บบันทึกไว้ก่อนส่งไปยังผู้ใช้ที่ร้องขอข้อมูลใน Packet นั้นๆ โดยที่ผู้ใช้ไม่ทราบว่าการกระทำดังกล่าวเกิดจาก Bastion Host เป็นผู้ดำเนินการแทน นอกจากนี้ การส่งคำร้องขอข้อมูลเว็บเพจจากเว็บไซต์ต่างๆ ภายนอกเครือข่าย ก็จะต้องผ่าน Bastion Host ก่อนเสมอเช่นกัน

  23. ข้อดี – ประหยัดค่าใช้จ่าย • ข้อเสีย -- หากการโจมตีที่ Bastion Host สำเร็จ ผู้โจมตีจะได้ข้อมูลของ Client ทุกเครื่อง

  24. 3.3 Dual-homed Host Firewall • เป็นรูปแบบที่จัดให้ Bastion Host มี NIC (Network Interface Card) อย่างน้อย 2 การ์ด การ์ดแรกใช้ติดต่อกับ เครือข่ายภายนอกโดยตรง ส่วนการ์ดที่สองใช้ติดต่อกับเครือข่ายภายใน เป็นการสร้าง Firewall ป้องกันมากกว่า 1 Layer ในสถาปัตยกรรมชนิดนี้ ทุกเส้นทางการจราจรของข้อมูลจะต้องผ่าน Firewall ทั้งขาเข้าและออกจากเครือข่ายภายใน • การ Implement Firewall ตามสถาปัตยกรรมชนิดนี้ ส่วนใหญ่นิยมใช้ NAT Firewall โดยจะเรียก Bastion Server ที่จะใช้ทำระบบ NAT Firewall ว่า “NAT Server”

  25. ข้อดี • ป้องกันการโจมตีได้ถึง 2 ระดับ • ป้องกันการสแกนหมายเลข IP ภายในได้ • Dual-homed Host สามารถแปลงโปรโตคอลที่ Data Link Layer ได้หลายโปรโตคอล เช่น Ethernet, Token Ring, FDDI เป็นต้น • เสียค่าใช้จ่ายน้อยเมื่อเทียบกับระดับความปลอดภัยที่ได้รับมา • ข้อเสีย • ซับซ้อน ทำงานช้า • รองรับจำนวนเส้นทางการเชื่อมต่อ (Traffic) ได้น้อยกว่าแบบ Packet Filtering Firewall • ต้องการทรัพยากรมากกว่ารูปแบบอื่น

  26. 3.4 Screened Subnet Firewall • เป็นรูปแบบที่ประกอบไปด้วย Packet Filtering Router 2 ฝั่ง (External Filtering Router และ Internal Filtering Router) และ Bastion Host ตั้งแต่ 1 Host ขึ้นไป แต่ละ Host ทำหน้าที่ป้องกันเครือข่ายภายใน โดยจัดให้กลุ่ม Bastion Host แยกมาอยู่รวมกันเป็นเครือข่ายพิเศษในเขตที่เรียกว่า “DMZ (Demilitarized Zone)” ซึ่งเป็นเขตที่อยู่ระหว่างเครือข่ายภายในและภายนอก ส่วน External Filtering Router จะอยู่ระหว่างเครือข่ายภายนอกกับเขต DMZ และ Internal Filtering Router จะอยู่ระหว่างเครือข่ายภายในกับเขต DMZ

  27. เส้นทางการเชื่อมต่อ (Connection Routed) ของ Screened Subnet Firewall มีดังนี้ • การเชื่อมต่อจากเครือข่ายภายนอก จะวิ่งผ่านเส้นทางของ External Filtering Router • การเชื่อมต่อจากเครือข่ายภายนอก เมื่อวิ่งเข้ามายัง External Filtering Router แล้ว จะวิ่งออกไปยังเครือข่ายพิเศษในเขต DMZ • การเชื่อมต่อที่จะวิ่งเข้าสู่เครือข่ายภายใน จะต้องได้รับอนุญาตจาก Host Server ในเขต DMZ เท่านั้น

  28. หน้าที่หลักของ Screened Subnet Firewall • ป้องกันเครือข่ายพิเศษและสารสนเทศในเขต DMZ จากภัยคุกคามภายนอก ด้วยการมีระบบรักษาความมั่นคงปลอดภัยที่เครือข่ายพิเศษในเขต DMZ • ป้องกันเครือข่ายภายใน ด้วยการจำกัดการเข้าถึงจากภายนอก • ข้อดี-- มีความปลอดภัยสูง เนื่องจากมีการแบ่งเครือข่ายออกเป็นส่วนๆ (เครือข่ายภายใน ภายนอก เครือข่าย • ข้อเสีย– ค่าใช้จ่ายสูง, ระบบมีความซับซ้อน จัดการยาก

  29. SOCKS Protocol • นิยมนำมาใช้สนับสนุน Firewall ประเภท Circuit-level Proxy Server • “โปรโตคอล SOCKS” ซึ่งเป็นโปรโตคอลที่ใช้ในการติดต่อสื่อสารของ TCP ผ่าน Proxy Server(Circuit Gateway) โดยใน Circuit-level Proxy กำหนดให้มี SOCKS Agent ที่เครื่องของ Client ทุกเครื่อง เพื่อทำหน้าที่กลั่นกรอง Packet เองในแต่ละเครื่อง • CircuitGateway Firewall แบบเดิมที่เคยอธิบายไว้ในหัวข้อก่อนหน้า มี Router เพียงจุดเดียวที่ทำหน้าที่ตรวจสอบ เส้นทางการเชื่อมต่อ โดยไม่มีกลไกการตรวจสอบ Packet ข้อมูล ดังนั้น นอกจาก CircuitGateway Firewall จะไม่สามารถตรวจสอบความผิดปกติในเนื้อหาของ Packet ได้แล้ว ยังก่อให้เกิดปัญหาที่เรียกว่า “Single Point of Death” คือ เป็นจุดที่ก่อให้เกิดความเสียหายทั้งระบบ เนื่องจากหาก Router ถูกโจมตีได้สำเร็จ ก็สามารถเข้าโจมตีเครื่อง Client ที่อยู่ในเครือข่ายได้ การเพิ่มโปรโตคอล SOCKS เข้าไปในระบบ Firewall จึงช่วยแก้ปัญหา Single Point of Death ได้

  30. 4. Load Balancing Firewall • การจัดสมดุลภาระงานให้กับ Firewall (Load Balancing Firewall) เป็นการจัดเตรียมระบบ Firewall ที่สามารถเพิ่มขีดความสามารถ เพื่อรองรับระบบเครือข่ายที่มีความเร็วในการรับ-ส่งข้อมูลสูง และ/หรือมีการประมวลผล Application ต่ำ [John R. Vacca, 2009] โดยการทำ Load Balancing ให้กับ Firewall นี้จะต้องประกอบไปด้วยกลุ่มของ Firewall (เรียกว่า “Firewall Array”) ทำหน้าที่ประมวลผล Packet ข้อมูลที่กำลังเข้ามาในเครือข่ายแบบคู่ขนาน (Parallel) และมี “กลไกการทำสมดุลภาระงาน (Load Balancer)” อย่างน้อย 2 ตัวเชื่อมต่อเข้ากับกลุ่มของ Firewall

  31. ข้อดี • มีประสิทธิภาพสูงสุด กับระบบที่ต้องการผลผลิตจากการประมวลผลจำนวนมาก ดังนั้น ยิ่งเพิ่มจำนวน Firewall ให้มากเท่าใด จะยิ่งช่วยเพิ่มผลลัพธ์การประมวลผลได้มากเท่านั้น อีกทั้งยังประหยัดต้นทุนได้มากกว่าด้วย • หาก Firewall ตัวใดตัวหนึ่งในกลุ่มไม่สามารถทำงานได้ จะไม่ส่งผลกระทบต่อระบบโดยรวม นั่นคือ ระบบยังคงทำงานต่อได้ แต่ผลผลิตจากการทำงานของระบบมีปริมาณลดลงตามสัดส่วนที่เหมาะสม • บริหารจัดการกฎเกณฑ์ของ Firewall ได้ง่าย โดยหากมีการเปลี่ยนกฎเกณฑ์ ก็ทำการเปลี่ยนแปลงที่ Firewall แต่ละตัวได้โดยตรง • ข้อเสีย -- ต้องรักษาสถานะการเชื่อมต่อไว้จนกว่า Firewall จะประมวลผล Packet ข้อมูลแล้วเสร็จ

  32. 5. การรักษาความปลอดภัยการเชื่อมต่อระยะไกล • VPN (Virtual Private Network) เป็นเทคโนโลยีการเชื่อมต่อเครือข่ายนอกอาคาร (WAN - Wide Area Network) ที่กำลังเป็นที่น่าสนใจและเริ่มนำไปใช้ในหน่วยงานที่มีหลายสาขา หรือ มีสำนักงานกระจัดกระจายอยู่ในหลายภูมิภาค ในระบบ VPN การเชื่อมต่อระหว่างสำนักงานโดยใช้เครือข่าย อินเตอร์เนต แทนการต่อเชื่อมด้วย Leased line หรือ Frame Relay ในสมัยก่อน [http://www.dld.go.th]

  33. PN : Private networkคือเครือข่ายภายในของแต่ละบริษัท (Public Network คือเครือข่าย สาธารณะเช่น Internet) Private network เกิดจากการที่บริษัทต้องการเชื่อมเครืข่ายของแต่ละสาขา สำนักงาน เข้าด้วยกัน (กรณีพวกที่เชื่อมต่อด้วย TCP / IP เลขที่ IP ก็จะกำหนดเป็น 10.xxx.xxx.xxxหรือ 192.168.xxx.xxx หรือ 172.16.xxx.xxx) ในสมัยก่อนจะทำการเชื่อมต่อด้วย leased line หลังจากที่เกิดการเติบโตของการใช้งาน Internet และการพัฒนาเทคโนโลยีที่เกี่ยวข้อง การปรับปรุงในเรื่อง ความเร็วของการเชื่อมต่อ ทำให้เกิดแนวคิดในการแทนที่ leased line หรือ Frame Relay ซึ่งมีราคาแพงด้วย Internet ที่มีราคาถูกกว่า แล้วตั้งชื่อ Virtual Private Network

  34. รูปแบบของ VPN • Remote Access VPN เป็นการให้ผู้ใช้สามารถติดต่อเข้าใช้งานเครือข่ายของบริษัทได้ เช่น พวกผู้บริหาร หรือ ฝ่ายขาย ที่ออกไปทำงานนอกสถานที่สามารถเชื่อมต่อเข้าเครือข่ายของบริาทเพื่อเช็คข่าว อ่านเมล์ หรือ ใช้งานโปรแกรม เพื่อเรียกดูข้อมูล เป็นต้น อันนี้ถ้าเป็นสมัยก่อน ก็ต้องไปที่สำนักงานที่มีอยู่ในต่างประเทศ ถ้าไม่มีก็อาจจะต้อง ใช้การโทรทางไกลเข้ามาเชื่อมต่อกับศูนย์คอมพิวเตอร์ซึ่งค่าใช้จ่ายก็สูงด้วยการใช้ VPN สามารถ login เข้าสู่ ระบบงานของบริษัทโดยใช้โปรแกรมจำพวก VPN Client เช่น Secureremoteของบริษัท Checkpoint เป็นต้น วิธีการอย่างนี้ทำให้เกิดความคล่องตัวในการทำงานเป็นอย่างมาก

  35. วิธีการทำงานของ Remote Access VPN • ที่สำนักงานจะต้องมีการเชื่อมต่ออินเตอร์เน็ตตลอดเวลาและลงโปรแกรม VPN Server / Gateway ไว้เพื่อรับคอนเนคชั่น โปรแกรมที่นิยมได้แก่ Checkpoint firewall - 1 หรือ VPN - 1 ทำหน้าที่รับ และตรวจสอบ การเชื่อมต่อจากเครื่องลูกข่าย สำหรับเครื่องลูกข่ายก็จะลงโปรแกรม VPN Client ซึ่งจะติดต่อกับเครื่องแม่ข่าย เพื่อเข้าใช้งาน เครือข่าย และต้องสามารถต่อเชื่อมอินเตอร์เน็ต

  36. รูปแบบของ VPN • LAN-to-LAN Connectivity กรณีนี้ จะเป็นเชื่อมต่อระหว่างเครือข่าย 2 เครือข่าย เช่น เครือข่ายของสำนักงานสาขา เข้ากับเครือข่าย ของสำนักงานงานใหญ่ กรณ๊นี้ทั้งสองสำนักงานจะทำการเชื่อมต่อ Internet ตลอดเวลา และทั้งสองฝั่งจะลง โปรแกรม VPN Server / gateway หรือสำหรับสำนักงานสาขาอาจติดตั้งเพียงแค่โปรแกรม VPN getewayอย่างไรก็ตามปัจจุบันได้มีผู้ผลิตเราเตอร์ที่มีความสามารถด้าน VPN ออกมาขายไม่ว่าจะเป็นจาก CISO Checkpoint Sonicwall

  37. หัวใจสำคัญของ VPN คือ Tunnel มี 2 รูปแบบ • voluntary tunneling :เป็นการทำ tunnel โดย ผู้ใช้ทำการต่อเชื่อมกับ ISP หลังจากนั้น VPN Client โปรแกรมจะทำการเชื่อมกับเครือข่าย VPN • compulsory tunneling : วิธีนี้จะจัดการโดย ISP โดยผู้ใช้เพียงแต่เชื่อมต่อเข้า ISP เท่านั้น หลังจากที่ กระบวนการตรวจสอบผู้ใช้เสร็จสิ้นระบบของ ISP จะทำการเชื่อมต่อเครื่องของผู้ใช้เข้ากับเครือข่าย VPN ของผู้ใช้ ซึ่งการเชื่อมต่อแบบนี้ทาง ISP จะต้องติดตั้งอุปกรณ์เสริมที่เรียกว่า Front End Processor (FEP) หรือบางทีเรียกว่า POP Server (Point of Present Server)

  38. VPN Protocol • Point - to - Point Tunneling Protocol (PPTP) : เป็นเสปกที่พัฒนาขึ้นโดยไมโครซอฟท์ โดยเป็นโปรโตคอลที่มาพร้อมกับระบบปฏิบัติการของไมโครซอฟท์ • Layer Two Tunneling Protocol (L2TP) : พัฒนาขึ้นโดย CISCO ผู้ผลิตอุปกรณ์เนตเวอร์ครายใหญ่Internet Protocol Security (IPsec) เป็นกลุ่มของโปรโตคอลหลายโปรโตคอล • IPsecสามารถใช้เป็น VPN protocol เองได้ หรือสามารถทำงานเป็นส่วนหนึ่งของโปรโตคอลอื่น เช่น PPTP, L2TP ในเรื่องการเข้ารหัสข้อมูล

  39. ข้อดี • ลดค่าใช้จ่ายจากการศึกษาของ IDC พบว่า VPN สามารถลดค่าใช้จ่ายในการเชื่อมต่อแบบ WAN ได้ราว 40 % • ความยืดหยุ่นสูงขึ้น โดยเฉพาะอย่างยิ่งในกรณีการทำ Remote Access ให้ผู้ใช้ติดต่อเข้ามาใช้งานเครือข่าย จากนอกสถานที่ • ข้อเสีย • VPN ทำงานอยู่บน Internet ซึ่งความเร็ว และการเข้าถึง และคุณภาพ (speed and access) เป็นเรื่องเหนือการควบคุมของผู้ดูแลเครือข่าย • VPN technologies ต่างกันตามผู้ขายแต่ละรายยังไม่มีมาตรฐานที่ใช้ร่วมกันอย่างแพร่หลายมากนัก

  40. Reference • http://www.dld.go.th: [Available: 5 December 2012] • Intrusion Detection, Firewall, James Joshi, 2008 • พนิดา พานิชกุล, ความมั่นคงปลอดภัยของสารสนเทศ, 2553.

More Related