เลือก Firewall อย่างไรดีในปี 2017

เราต่างเคยได้ยินกันมาแต่ไหนแต่ไรในเรื่องวิธีการป้องกันระบบ IT ให้ปลอดภัย และเมื่อพูดถึงเรื่องนี้ก็มักจะได้ยินคำว่า “Firewall” อยู่เสมอ ไม่ว่าจะจากในภาพยนต์ หรือบทสัมภาษณ์ของผู้เชี่ยวชาญ ซึ่ง Firewall เปรียบเสมือนด่านหน้าการป้องกันอย่างแรกของระบบที่ทุกคนคิดถึง แต่ที่หลายๆคนไม่ทราบคือ Firewall มีชนิดที่หลากหลายและมีความสามารถในแต่ละประเภทไม่ซ้ำกันให้เลือกใช้งานให้เหมาะสมกับความต้องการ ในบทความนี้เราจะมาดูกันว่า มีอะไรบ้างและจะเลือกใช้ให้เหมาะสมกับระบบของเรายังไง

Traditional Firewall

Firewall มาตรฐานทั่วไปในอดีตจะทำงานในระดับสูงสุดที่ Network Layer (อ้างอิงจาก OSI Model) มีหน้าที่ควบคุมการใช้งาน traffic, ควบคุมการใช้งานเครื่องที่มาใช้ในเครือข่าย มี 2 แบบ หลักๆ คือแบบ Stateless และแบบ Stateful

• Stateless จะเป็นการคอยมอง traffic และจำกัดหรือปฎิเสธ packet ซึ่งดูตาม Source และ Destination IP Address หรือค่า static ใดๆ เช่น port เป็นต้น โดยไม่ได้สนใจ pattern หรือ data flow ใดๆ
• Stateful จะเปลี่ยนจากการคอยมอง traffic แต่เป็นมองการเชื่อมต่อแบบ end-to-end  มีความสามารถจำสถานะการเชื่อมต่อได้ อีกทั้งยังสามารถเพิ่มการเฝ้าระวังเส้นทางการเชื่อมต่อได้ โดยสามารถทำส่วน IPSec (IP Security) เพื่อทำท่อเพื่อเข้ารหัสการรับส่งข้อมูลได้นั่นเอง

สิ่งที่แตกต่างระหว่าง Stateless และ Stateful ทำให้ความเหมาะสมในการใช้งานก็แตกต่าง ไปเช่นกัน Stateless จะเหมาะสำหรับการใช้งานที่ Traffic ค่อนข้างเยอะและมีความเร็วในการจัดการ Packet ได้เร็วกว่า แต่ Stateful จะได้เรื่องการเก็บรายละเอียดการใช้งานต่างๆ ของ Connection แทน

ส่วนการวาง Firewall โดยปกติจะวางไว้ด้านหลัง Router เลยเรียกได้ว่าเป็น การวางในส่วนที่แทบจะนอกสุดของระบบเครือข่ายเลย เพื่อกรอง Packet ที่เข้ามามีแต่ส่วนที่เรา อนุญาตเท่านั้น ซึ่งแน่นอนว่าเราอาจจะมี Firewall อีกตัวหนึ่ง เพื่อกั้นระหว่างการใช้งานภายในของ ผู้ใช้งานเองกับ Server ภายในก็สามารถทำได้

Next Generation Firewall

Next Generation Firewall (NGFW) เป็น Firewall ที่มีการยกระดับการป้องกันให้ทำงานได้ อย่างครอบคลุมมากขึ้น มีประสิทธิภาพที่มากขึ้น เป็นไปตามชื่อนั่นคืออีกยุคสมัยหนึ่งของ Firewall เพื่อจะรับมือภัยคุกคามที่ซับซ้อน และการใช้งานของผู้ใช้งานที่หลากหลายมากขึ้นนั่นเอง โดย Feature หลายๆอย่างที่เพิ่มเข้ามาในแต่ละ Vendor ก็จะคล้ายๆกัน ดังนี้

• เข้าใจถึงระดับ Application Layer นั่นคือแทนที่จะมองเป็นแค่ข้อมูลที่ส่งผ่าน port 80,443 เป็นการใช้งานของ application ประเภทใด แยกออกว่าเป็นการใช้โปรแกรมอย่าง LINE, Facebook Application, Facebook Game หรือไม่ เมื่อเข้าใจว่าเป็นการใช้งาน application ใดๆก็จะสามารถควบคุมการใช้งานเพิ่มเติมได้ เช่น การระบุเวลาการเล่น Facebook ภายในองค์กร เป็นต้น
• ติดตั้งระบบ IPS (Intrusion Protection System) เพิ่มเติมเข้าไป ทำให้สามารถป้องกันการ โจมตีภัยคุกคามต่างๆที่เป็น “Well-known attack ต่างๆได้ ไม่ว่าจะเป็น Known exploit attacks, การใช้งานที่ผิดปกติ Activity รวมถึงสามารถทำ traffic behavioral analysis ได้อีกด้วย
• เพิ่มความสามารถในการ track user ร่วมกับระบบ authentication ที่มี(เช่น Active Directory, LDAP เป็นต้น ทำให้ไม่เพียงแต่การป้องกันการใช้งาน Network ในระดับ network layer เท่านั้น ยังสามารถแบ่งแยกการเข้าถึง server ต่างๆโดยดูจาก user ของผู้ใช้งานอีกด้วย
• สามารถทำงานในลักษณะ Bridge mode หรือ Route Mode ก็ได้เช่นกัน
• มีการติดตั้งระบบ Antivirus เข้าไปเพิ่มอีกด้วย ซึ่งนั่นทำให้สามารถดักจับ Malware ต่างๆ ที่ผู้ใช้งานที่ใช้งานเครือข่ายผ่าน NGFW อีกด้วย
  อีกทั้งยังสามารถมีการนำข้อมูลจากภายนอกอย่าง Blacklist IP หรือ Sandbox สำหรับทำ Malware analysis มาเป็นตัวช่วยในการป้องกันเพิ่มเติมได้อีกด้วย

จากประสิทธิภาพทั้งหมดเราจะเห็นว่า NGFW ไม่ได้มาเพื่อตอบโจทย์การป้องกัน ในลักษณะ เดิมอีกต่อไป NGFW ยังเน้นการป้องกันในส่วนของผู้ใช้งานให้มากขึ้นเป็นอย่างมาก การวาง NGFW นั้นจริงๆแล้วสามารถแทน Firewall ได้เลย แต่เพื่อไม่ให้ NGFW ทำงานหนักมากเกินไป NGFW จึงควรไว้หลัง Firewall เสียมากกว่า โดย NGFW ยี่ห้อที่ได้รับความนิยมมีหลายยี่ห้อ เช่น Palo Alto, Cisco, Checkpoint, Fortigate เป็นต้น

Firewall สำหรับ Server โดยเฉพาะ

Web Application Firewall (WAF)

Web Application Firewall เป็น Firewall ที่ถูกสร้างขึ้นมาเพื่อใช้ป้องกันการโจมตีทางด้าน HTTP หรือก็คือการโจมตีที่เจาะจงมาที่เว็บไซต์นั่นเอง ซึ่งการป้องกันของ WAF นั้นจะมีด้วยกันหลายส่วน ไม่ว่าจะเป็น

• well-known attack หรือก็คือ pattern การโจมตีทั่วไปที่สามารถพบได้ทั่วไป
• การตรวจสอบว่าเป็นการใช้งานที่ผิดไปจาก HTTP Protocol หรือไม่
• การเรียนรู้การใช้งานปกติก่อนจะป้องกันการใช้งานที่ผิดปกติต่างๆ
• การใช้งาน threat intelligence ต่างๆ ไม่ว่าจะเป็นลักษณะการ request ที่เข้าข่ายว่าเป็น bot, Blacklist IP จากแหล่งต่างๆ เพื่อช่วยป้องกันการโจมตี
• การทำ virtual patching ให้กับเว็บไซด์ก่อน นั่นคือการป้องกันการโจมตีของช่องโหว่ใดๆ ที่ถูกประกาศ
• การรองรับการเข้ารหัสและถอดรหัส SSL ที่ WAF

จริงๆแล้วยังมี Feature อีกมากมายหลากหลายขึ้นอยู่กับ product แต่ละเจ้า โดยการวางของ WAF นั้นจะพยายามให้ใกล้กับเว็บไซด์ที่ใกล้ที่สุดเท่าที่จะทำได้ โดยยี่ห้อที่ได้รับความนิยมมีด้วยกัน หลายเจ้า เช่น Imperva, Barracuda, Fortiweb เป็นต้น

Database Firewall

Database Firewall (DBF) เป็น Firewall ที่ไม่เพียงแต่เอาไว้สำหรับการป้องกันการโจมตี ที่จะเกิดขึ้นกับ Database แต่ยังเป็นการ audit การใช้งาน Database ทั้งหมดที่อยู่ภายใต้ความดูแล ของ DBF อีกด้วย ทั้งนี้ความสามารถของ DBF ทำได้ทั้งในส่วน

• ในหลายๆองค์กรจำเป็นต้องมีการ audit การใช้งาน database เพื่อจะตอบโจทย์ในการทำ Compliane ต่างๆ เช่น PCI-DSS เป็นต้น ดังนั้นจำเป็นต้องมีการเก็บ query ทั้งหมดที่เกิดขึ้น แต่เมื่อกระทำการ audit จะทำให้ระบบมีประสิทธิภาพการทำงานที่ลดลง ดังนั้นการใช้งาน DBF ในการเก็บ query ทั้งหมดแทน Database Server จึงช่วยในเรื่องนี้ได้มาก เพราะได้ทั้งตอบโจทย์ในเรื่องการ audit และประสิทธิภาพที่ยังคงที่
• การป้องกันการโจมตีที่เข้ามายัง Database ในลักษณะที่เป็น SQL Injection Attack
• การตรวจสอบสิทธิ์การเข้าใช้งานของ user แต่ละคน รวมถึงการควบคุมการเข้าถึงโดย user ไปยัง Database หรือ table ใดๆในระบบ
• DBF ส่วนใหญ่จะสามารถทำงานได้ทั้งแบบ Sniff Mode และ Inline Mode

วิธีการวางของ DBF ก็จะคล้ายๆกับ WAF แทนที่จะวางใกล้กับเว็บไซด์ ก็กลายเป็นวางใกล้กับ database แทนนั่นเอง ณ ปัจจุบัน ตลาดของ DBF ยังมีผู้เล่นในตลาดอยู่น้อยมากๆ โดยยี่ห้อที่ได้รับความนิยมมากที่สุด ณ ตอนนี้คือ Imperva

สรุป

กาลเวลาที่เปลี่ยนไปทำให้อะไรๆ  ก็ต้องปรับตัว ยิ่ง Malware พัฒนามากขึ้นเท่าไหร่ ฝ่ายป้องกันก็ต้องพัฒนาตามมากขึ้นเท่านั้นเช่นกัน สิ่งที่เราไม่ควรมองข้ามคือการคอยเฝ้าระวังภัย คุกคามที่อาจเกิดขึ้นใหม่ทุกๆวัน เพื่อให้องค์กรเราไม่ตกเป็นเหยื่อของภัยคุกคามเหล่านั้นนั่นเอง