ความสามารถของ Firewall
จริง ๆแล้ว อุปกรณ์ทั้ง 2 ตัว ทําหน้าที่คล้าย ๆ กัน แต่ที่แตกต่างกันออกไปนั้นคือ
Firewall ทําหน้าที่รักษาความปลอดภัยของระบบในระดับหนึ่ง (เบื้องต้น)
ขีดความสามารถของ firewall ทั่วๆไปนั้นมีดังต่อไปนี้
- ป้องกันการ login ที่ไม่ได้รับอนุญาตที่มาจากภายนอกเครือข่าย
- ปิดกั้นไม่ให้ traffic จากนอกเครือข่ายเข้ามาภายในเครือข่ายแต่ก็ยอมให้ผู้ที่อยู่ภายในเครือข่าย
สามารถติดต่อกับโลกภายนอกได้
- เป็นจุดรวมสําหรับการรักษาความปลอดภัยและการทํา audit (เปรียบเสมือนจุดรับแรงกระแทก
หรือ "choke" ของเครือข่าย)
ข้อจํากัดของ firewall
ข้อจํากัดของ firewall มีดังต่อไปนี้
- firewall ไม่สามารถป้องกันการโจมตีที่ไม่ได้กระทําผ่าน firewall (เช่น การโจมตีจากภายใน
เครือข่ายเอง)
- ไม่สามารถป้องกันการโจมตีที่เข้ามากับ application protocols ต่างๆ (เรียกว่าการ
tunneling) หรือกับโปรแกรม client ที่มีความล่อแหลมและถูกดัดแปลงให้กระทําการโจมตีได้
(โปรแกรมที่ถูกทําให้เป็น Trojan horse)
- ไม่สามารถป้องกัน virus ได้อย่างมีประสิทธิภาพเนื่องจากจํานวน virus มีอยู่มากมาย จึงจะเป็น
การยากมากที่ firewall จะสามารถตรวจจับ pattern ของ virus ทั้งหมดได้
ถึงแม้ว่า firewall จะเป็นเครื่องมือที่สามารถนํามาใช้ป้องกันการโจมตีจากภายนอกเครือข่ายได้
อย่างมีประสิทธิภาพ การที่จะใช้ firewall ให้ได้ประโยชน์สูงสุดนั้นจะขึ้นอยู่กับนโยบายความ
ปลอดภัยโดยรวมขององค์กรด้วย นอกจากนี้ แม้แต่ firewall ที่ดีที่สุดก็ไม่สามารถนํามาใช้แทน
การมีจิตสํานึกในการที่จะรักษาความปลอดภัยภายในเครือข่ายของผู้ที่อยู่ในเครือข่ายนั้นเอง
แต่ Firewall ก็อาจจะไม่สามารถกันพวก Worm, Malware, Virus บางตัว ได้ ดังน้ันจึงเกิด IPS
ขึ้นมา ซึ่งคอยช่วยอุปกรณ์อื่นๆ ในการตรวจจับเวิร์ม ไวรัส การจู่โจมระบบ DOS และอาการผิดปกติต่างๆ ซึ่งส่งผลร้ายในระดับต่างๆ การสร้างความรําคาญเล็กๆ น้อยๆจนถึงขั้นก่อความ
เสียหายต่อธุรกิจระดับ ปานกลางจนถึงขั้นรุนแรง
ในปัจจุบันได้มีการนํา IDS ซึ่งเกิดก่อน IPS (พัฒนามาจาก IDS) และ IPS มาทํางาน
รวมกันเพราะว่า ทั้ง IDS และ IPS นั้นต่างมีข้อดีแตกต่างกันในคนละบทบาทหน้าที่ แต่กลยุทธ์ที่ดี
ที่สุดในการรักษาความปลอดภัยก็คือ รวมเอาเทคโนโลยีทั้งสองเข้ามาทํางานด้วยกัน เพื่อช่วย
ป้องกันความปลอดภัยให้กับเครือข่ายได้อย่างครอบคลุมที่สุด โดยข้อดีของการผสมผสานทั้งสอง
สถาปัตยกรรมเข้าไว้ด้วยกัน ก็คือ
1. ป้องกันก่อนเกิดปัญหา
การป้องกันการแพร่ของมัลแวร์บนโลกอินเทอร์เน็ตของ IPS นั้นสามารถทําได้แบบ
เรียลไทม์ แม้จะไม่ได้ผลแบบ 100 เปอร์เซ็นต์ก็ตาม แต่ว่าการกรองการโจมตีตั้งแต่ต้นก็ช่วยรักษา
สินทรัพย์ทางข้อมูล ป้องกันความเสียหาย และรักษาความปลอดภัยให้กับไฟล์ รวมถึงข้อมูลใน
องค์กรหลักๆ ได้เป็นอย่างดี
2. ใช้ประโยชน์จากทรัพยากรที่มีอยู่ได้ดีกว่า
การที่ IPS บล็อกหรือกันไม่ให้ malicious code เข้ามาในระบบนั้น ช่วยลดโหลด
อุปกรณ์อื่นๆ เช่น ไฟร์วอลล์ และ แอนตี้-ไวรัสเกตเวย์ให้ทํางานน้อยลง ซึ่งช่วยเพิ่มประสิทธิภาพ
โดยรวมของระบบเครือข่ายได้ดี อีกทั้งยังช่วยให้องค์กรไม่ต้องกังวลเรื่องค่าใช้จ่ายที่เพิ่มขึ้นในการ
อัพเกรดอุปกรณ์และเพิ่มแบนด์วิธให้มากขึ้นอีกด้วย
3. เพิ่มความสามารถในการตรวจสอบปัญหาด้านความปลอดภัยที่ไม่เคยพบมาก่อน
หลายครั้งที่ประเด็นด้านความปลอดภัยมักเกิดขึ้นจากความผิดพลาดของคอนฟิก และ
ความผิดพลาดของบุคลากรในองค์กรเอง ไม่ใช่เพียงเพราะไวรัสหรือหนอนอินเทอร์เน็ตเพียงอย่าง
เดียว ซึ่งการทํางานร่วมกันของ IDS และ IPS สามารถช่วยลดข้อผิดพลาดดังกล่าวได้
4. แกะรอยข้อมูล
ในขณะที่ IPS นั้นทําการกรองแพ็กเก็ตที่ผิดปกติ IDS ยังทํางานต่อด้วยการ Capture
และเก็บข้อมูลสําหรับการวิเคราะห์ความปลอดภัยของเครือข่าย ซึ่งการทําเช่นนี้จะช่วยให้
พนักงานไอที หรือแอดมินไม่ต้องวุ่นวาย หรือปวดหัวกับการจ้องระบบอยู่ตลอดเวลา เพื่อไม่ให้
เกิดความเสียหายในระบบจากการบุกรุกของผู้ไม่ประสงค์ดีเหล่านั้น
ง่ายเลย IPS เก่งกว่า firewall
คือ firewall มันดูแค่การ block IP หรือ port คือ deep-inspect ได้แค่ layer 3,4 แต่ IPS จะดูได้ถึง layer 7 คือมันจะมี signature หรือ pattern ของ layer 7 's protocals
ต่างๆเอาไว้ inspect traffic ถ้าไม่ตรงก็อาจ drop หรือ แจ้ง log แล้วแต่ตามที่ config ไว้ เช่น
firewall allow port 80 ให้เข้ามาได้ และ traffic ก็ผ่าน firewall มา ถ้ามี IPSตัว IPS ก็จะ
inspec traffic อีกทีดูว่า port 80 เป็น pattern ของ web หรือเปล่า ถ้าไม่ใช่ก็อาจ drop หรือ
logging
แต่ถ้าสมมุติ traffic มาด้วย port 80 เป็นการ request web จริงๆ เพราะฉะนั้น ก็ผ่าน
ทั้ง firewall และ IPS ทีนี้ทําไงถ้ามันเป็นการยิง DDOS ก็อาจมีอุปกรณ์อีกตัวมาป้องกันพวก
DDOS attack เหล่านี้เช่น cisco guard หรือ IPS บางตัวก็อาจตั้ง threshold ของ protocol
แต่ละตัวได้
"ถ้าถามว่าแล้วจะมี firewall ไว้ทําไม ก็ตอบว่า firewall เป็นเหมือนทหารเลวด้านหน้า
กันข้าศึกโง่ๆออกไปก่อน เพราะฉะนั้น firewall ก็จะโง่ ๆ แต่ทน ๆ ถึก ๆ ส่วน IPS ก็แน่นอน
เนื่องจากมันต้อง deep-inspection เยอะ ต้องใช้พลังวัฒน์ค่อนข้างสูง เพราะฉะนั้นเหล่าขุนพล
จํานวนน้อยที่ผ่าน firewall มาแล้วก็จะโดนฆ่าด้วย IPS นั่นเองครับ"
ไม่มีความคิดเห็น:
แสดงความคิดเห็น