เรียนรู้พื้นฐาน Firewall บน เร้าท์เตอร์โอเอส (RouterOS)

“กำแพงไฟ”……………

สวัสดีครับ บทความนี้ผมขอพูดถึงเรื่องเบาๆ กันสักหน่อยนิครับ จะว่าด้วยเรื่องกำแพงไฟ หรือ Firewall นั่นเอง

พอพูดถึงเรื่องไฟล์วอลแล้ว หลายๆ คนอาจจะยังไม่เคยรู้จัก และไม่เข้าใจว่า มันคืออะไร เอาไว้ทำอะไร เมื่อทำหรือไม่ทำ มันจะมีผลกระทบอะไรกับชีวิต เราบ้าง ???

โห…. ตั้งคำถามแม่งเยอะอ่ะ ไม่อธิบายแล้วกัน ฮ่าๆๆๆๆ (แล้วกรูจะตั้งทำไหมเนี่ย)

คืออะไร??

ไฟล์วอลหรือ กำแพงไฟ หรือ ยาม ผู้รักษาประตู มันแทบจะเป็นคำเดียวกันครับ เพราะบุคคลเหล่านี้ ทำหน้าที่ปกป้อง ดูแลบ้านเราให้มีความปลอดภัย ทั้งจากคนที่จะเข้ามายังบ้านเรา หรือ คนที่กำลังจะออกไปจากบ้านเรา หรือ อาจจะเป็นคนที่แค่เดินผ่านบ้านเรา

หน้าที่ ??

ยามจะทำหน้าที่ปกป้อง กลั่นกรอง คนเข้า คนออก ให้เป็นไปตามนโยบายที่เราได้กำหนดเอาไว้

ยกตัวอย่าง เช่น เราบอกยามไว้ว่า วันนี้น่ะ จะมีคนมาซ่อมน้ำประปา ที่หมู่บ้าน ซึ่งเราได้ติดต่อบริษัท เอ ไว้แล้ว และบริษัทเอ แจ้งว่าจะส่งช่าง ชื่อ นายสุดหล่อ เข้ามาบริการเรา ในเวลา บ่ายโมง ถึง บ่ายสามโมง

ดังนั้น ในช่วงเวลาดังกล่าว ถ้ามีคนจะเดินเข้ามายังบ้าน หมู่บ้านเรา ยามจะคอยดูว่า คนที่เข้ามา (ได้รับอนุญาต) เป็นคนชื่อ นายสุดหล่อ และมาจากบริษัท เอ หรือป่าว

ถ้ามีช่างประปา คนอื่น เดินเข้าม ซึ่งอาจจะชื่อ นายสุดหล่อ เหมือนกัน แต่เผอิญว่า ช่างคนนี้ไม่ได้ถูกส่งมาจากบริษัทเอ ยาม ก็จะไม่อนุญาตให้เข้ามาในบ้าน หมู่บ้านเราได้ เพราะ ไม่ตรงกับที่เจ้านายได้แจ้งไว้

นี่แหละมันคือ หน้าที่หนึ่งของ ไฟล์วอล หรือ กำแพงไฟ ที่เราได้จะกล่าวถึงตลอดบทความนี้ คิดว่า น่าจะพอมองเห็นภาพแล้วล่ะนะ

จำเป็นไหม???

ถามว่า ไม่มียาม (Firewall) แล้วมีผลอะไรกับชีวิตเราไหม?

คำตอบคือ ถ้าพื้นที่ที่เราอยู่ มันไม่ต้องการความปลอดภัยใดๆ เลย เช่น ใครจะเข้า ใครจะออก ใครจะผ่านมาขี้ เยี่ยว ได้ตามสบายๆ เราก็ไม่จำเป็นหรอกครับ

แต่ถ้าตราบใบแล้ว พื้นที่ นั้นๆ เราต้องการความเป็นส่วนตัว ต้องการความปลอดภัย เพราะบางครั้งในบ้านเรานอกจากเรา ก็จะมี ปู่ ย่า ตา ยาย ลูกสาว ซึ่งเป็นคนที่เรารัก อาศัยอยู่ในบ้าน ดังนั้นแล้ว ใครจะเข้า จะออก บ้านเรา เราก็ควรที่จะมีการกลั่นกรองก่อนอ่ะน่ะ… เพื่อความปลอดภัย ไม่ใช่ ใครก็เดินเข้าบ้านเรา เดี๋ยวตู้เพชร พลอย เงินทองที่เราเก็บไว้ เป็นล้านๆ ก็หายกันหมดพอดี ใช่ไหมล่ะ… นี่คือ คำตอบว่า จำเป็นสำหรับชีวิตเราไหม?

กลับมาสู่วิชาการกันบ้างดีกว่า (งานปวดหัว ฮ่าๆๆ)

จากเน็ตเวิร์คไดอะแกรมนี้ เราจะมาดูตัวอย่างการคอนฟิกกัน

เรามีคอมพิวเตอร์อยู่ 3 เครื่องด้วยกันคือ PC-1, PC-2 , PC-3
และเรามีเร้าท์เตอร์ไมโครติก อยู่ 1 ตัว ทำหน้าที่เป็นไฟล์วอล (ยาม) ในระบบของเรา

ทำความเข้าใจหน้าที่ของไฟล์วอล บนไมโครติกกันสักนิดนะครับ

ในไมโครติกไฟล์วอลมีหน้าที่หลักๆ 3 หน้าที่

  1. กลั่นกรอง (Filtering) ทำหน้าที่ ตรวจสอบคน เข้า-ออก จะอนุญาต หรือ ไม่อนุญาต
  2. เปลี่ยนแปลง (NAT) ทำหน้าที่เปลี่ยนแปลงที่อยู่ ที่วิ่งเข้า วิ่งออก
  3. มาร์กเกอร์ / กาหัว (Mangle) ทำหน้าที่คัดกรองคน เหมือนคัดเลือกผู้ป่วย ว่า ใครป่วยเป็นอะไร เวลาจะส่งให้หมอ จะได้ส่งถูก เช่น ใครเป็นโรคเกี่ยวกับตา ก็จะส่งไปหาหมอตา เป็นต้น

ซึ่งในบทความนี้ผมขอเน้นแค่ หน้าที่แรกครับ คือ “Filtering หรือ กลั่นกรอง” เป็นหลัก

เมื่อเราพูดถึงการกลั่นกรอง ตรวจสอบ มี 3 เรื่องที่เราต้องทำความเข้าใจคือ

  1. คนเดินเข้าบ้านเรา (Input)
  2. คนเดินออกจากบ้านเรา  (Output)
  3. คนเดินผ่านบ้านเรา (Forward)

ว่าด้วยเรื่อง คนเดินเข้าบ้าน (Input Filtering)

Input Filtering คือ ยามที่ทำหน้าที่กลั่นกรอง คน เดินเข้า บ้านเรา ว่า คนที่เข้ามา ได้รับอนุญาตไหม ? เป็นคนในบ้านไหม ? หรือว่าเจ้าคนที่กำลังเดินเข้ามาเป็นโจร ? เราก็จะไม่อนุญาตให้เข้ามาบ้านเราได้

ซึ่งบ้านเรา อาจจะมีช่องทางเข้าบ้านเรา หลายๆ ช่องทาง เช่น ประตูหน้าบ้าน ประตูหลังบ้าน ปีนเข้าทางหน้าต่าง อะไรประมาณนี้ ซึ่งประตูแต่ละประตู ถ้าเปรียบเทียบกับเร้าท์เตอร์ ก็คือ อินเตอร์เฟสต่างๆ เช่น พอร์ตอีเธอ 1 (Ether) 2 3 4 5 นั่นเอง หรือ ประตู หรืออินเตอร์เฟส อีกตัวอย่าง เช่น PPPoE-Out1 ตรงนี้ก็ถือว่าเป็นทางเข้าออกบ้านเราได้ เช่นกัน เพราะเป็นประตูที่เชื่อมต่อกับโลกภายนอก ทำให้ คนจากข้างนอก เข้ามาที่เราท์เตอร์เราได้ นั่นเอง เริ่มมองภาพออกแล้วน่ะ

ดูภาพตัวอย่าง มีคนเดินเข้าบ้านเรา ซึ่งเราต้องมาคัดกรอง อีกทีว่า ที่คนเดินเข้ามา ปลอดภัยไหม เป็นคนที่เรารู้จักหรือเปล่า ถ้าไม่ปลอดภัย หรือไม่รู้จัก เราก็ไม่อนุญาต เดี๋ยวมาปล้นเรา นี่ตายเลย ฮ่าๆๆ

ตัวอย่าง กรณีเป็นเร้าท์เตอร์

นั่นคือ ใครที่กำลังจะวิ่งเข้ามาที่เร้าท์เตอร์เรา เช่น เร้าท์เตอร์เรามี การเชื่อมต่อกับโลกภายนอก (WAN) ด้วยพอร์ตอีเธอ 1 และเน็ตเวิร์คภายในของเรา เชื่อมต่อที่พอร์ตอีเธอ 2

เราต้องการกรองว่า คนภายนอกบ้าน หรือ คนที่มาจากโลกภายนอก ที่ไม่ใช่สมาชิกของคนในบ้าน (เน็ตเวิร์ค) ไม่อนุญาตให้เข้าบ้าน แต่คนภายในบ้าน (Trusted Person) สามารถให้เข้าได้

สถานะการณ์จริงๆ ตอนนี้ที่เราเจอกันอยู่คือ เราถูกโจมตีจากคนภายนอก อาจจะแอบสุ่มเข้ามาเจาะเอารหัสผ่านเรา (อาจจะมีสักวันที่เขาสุ่มถูก) หรือ อาจจะมีคนแอบมาใช้งาน DNS ของเรา ดังนั้น คนไม่หวังดีพวกนี้ เราก็ปิดกั้นเขาเหล่านี้ซะไม่ให้เข้ามาในระบบของเรา นั่นเอง ดูตัวอย่างการคอนฟิก ด้านล่างต่อไป

ว่าด้วยเรื่องคน “เดินออกจากบ้าน (Output Filtering)”

Output Filtering คือ การคัดกรอง คนที่จะออกจากบ้านเรา ทำหน้าที่ตรวจสอบว่า คนที่จะออกไป จะไปไหน ไปหาใคร นั่นเอง ตัวอย่างภาพขำๆ ภรรยา สั่งให้สามีไป ซื้อน้ำปลา ที่ร้านค้า ถ้าสามีไปร้านค้าจริงๆ ยาม (Firewall ) จะอนุญาตให้ไป (Accept) นั่นเอง

ถ้าเราเปลี่ยนรูปจากตัวอย่างบ้าน มาเป็นรูปแบบของเร้าท์เตอร์ เราจะเป็นแบบนี้ครับ

เปรียบเทียบ Packet เป็นเหมือนสามี และ เว็บไซต์ www.otiknetwork.com  เป็นตลาด นั่นเอง

ตัวอย่าง กรณีเป็นเร้าท์เตอร์

เช่น เราไม่ต้องการให้เร้าท์เตอร์ของเรา สื่อสาร หรือ ping ไปที่เว็บปลายทาง เช่น เว็บ www.otiknetwork.com ได้ เราก็ปิดกั้น Output จากเร้าท์เตอร์ที่สื่อสารด้วยโปรโตคอล ICMP โดยปลายทางจะไปที่ www.otiknetwork.com ก็ปิดกั้นไปเลย เป็นต้น (คือพยายามหาตัวอย่างอ่ะน่ะ แต่นึกไม่ออก ฮ่าๆๆๆ จากการใช้งานจริงๆ) ไว้นึกออกจะมาเขียนเพิ่มเติม

ว่าด้วยเรื่องคน “เดินผ่านบ้านเรา (Forward Filtering)”

Forward Filtering คือ คนที่เดินผ่านบ้านเรา ตัวอย่าง เราเป็นเจ้าของบ้าน (คือ เราเป็นเร้าท์เตอร์) ในบ้านเราก็จะมีสมาชิก หรือ ลูกบ้าน เช่น ภรรยา ลูกสาว ลูกชาย ต่างก็เป็นสมาชิกของบ้าน (Host / Valid Address) เขาเหล่านี้ มักมีกิจกรรมต่างๆ ที่ต้องไปสังคมกับคนอื่นๆ ภายนอก เขาสามารถเดินผ่านเรา เพื่อไปพูดคุย สื่อสารกับคนอื่นภายนอกได้ ดังตัวอย่างภาพ สังเกตุว่า เป้าหมายที่เขาไป มิใช่บ้านเรา (Router) แต่ปลายทาง หรือเป้าหมายของเขา คือ ร้านค้า นั่นเอง เช่นเดียวกัน ถ้าคนจากภายนอก (อาจจะพนักงานในร้าน) ต้องการพูดคุย หรือ เอาของมาส่งให้ภรรยา เรา ดังนั้น เป้าหมายที่เขาต้องการสื่อสาร ย่อมไม่ใช่เรา ซึ่งเป็นเจ้าของบ้าน แต่คนที่เขาต้องการสื่อสาร คือ ภรรยา เรานั่นเอง

ตัวอย่าง กรณีเป็นเร้าท์เตอร์

กรณีนี้ เช่น เรามีโฮส เช่นชื่อ PC-1 เรากำหนดว่า ถ้า PC-1 จะวิ่งไปเว็บพวก www.xxxx.com เราไม่อนุญาตน่ะ (คือการ Block เว็บนั่นเอง แต่ตัวอย่างนี้ เป็นการระบุเฉพาะคอมพิวเตอร์ชื่อ PC-1 เท่านั้น เราสามารถกำหนดทั้งหมด ก็ได้ เช่น กัน โดยที่เราไม่ต้องกำหนดต้นทาง กำหนดแค่ปลายที่จะไปที่ www.xxx.com เท่านั้นก็พอ ให้ทำการปิดกั้น เป็นต้น ดูตัวอย่าง ด้านล่าง

ขอพักบทความนี้แค่นี้ก่อน ยาวเกิน ไว้ต่อ LAB ในบทความต่อไปนะครับ อ่านบทความ ภาค 2

อำนวย ปิ่นทอง
บริษัท โอติก เน็ตเวิร์ค จำกัด

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *