Page 71 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 71
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 5 หลักการทํางานของไฟล์วอลล์
ต่อไปให้ Layer อื่น ซึ่ง State Table นี้จะใช้สําหรับการบันทึกข้อมูลของแต่ละการ
เชื่อมต่อที่เกิดขึ้น โดยปกติจะเก็บข้อมูลเกี่ยวกับ Source IP Address, Destination IP
Address, Protocol Type, Port Number และ Flag แต่ก็มี Firewall บางยี่ห้อที่เก็บข้อมูล
sequence number เพิ่มด้วย เพื่อใช้ในการตรวจสอบ packet ที่กําลังจะเข้ามาและ
ป้ องกันการทํา session hijacking (เป็น การเข้าควบคุม TCP communication session
ที่กําลังใช้งานอยู่ระหว่าง client กับ server)
เมื่อ Firewall ได้รับ packet ก็จะทําการตรวจสอบข้อมูลกับของ State
Table ว่าเป็นส่วนของการเชื่อมต่อที่สร้างไว้แล้วหรือไม่ โดยพิจารณาจากข้อมูล Source
IP Address, Destination IP Address, Source Port และ Destination Port ซึ่งจะต้อง
สอดคล้องกับ State Table และถ้าเป็นส่วนหนึ่งของการเชื่อมต่อจริงก็ไม่มีความจําเป็นที่
จะต้องตรวจสอบซํ้าอีกครั้ง (ใน Firewall บางยี่ห้อนั้นจะพิจารณา sequence number
ของ packet เพิ่มเติมด้วย เช่น Cisco PIX ในขณะที่ Checkpoint Firewall-1 จะไม่
พิจารณา sequence number แต่อย่างใด) จึงทําให้ Stateful Inspection Firewall
ทํางานได้เร็วมากในกรณีนี้
แต่ถ้า Packet ที่ส่งมาไม่ตรงกับการเชื่อมต่อที่สร้างไว้ และไม่ใช่ SYN
packet ก็จะทําให้ packet นั้นถูกทิ้งไป และแม้แต่ packet ที่มี Flag แปลกๆ อย่างเช่น
watermark
SYN/FIN (เป็นกระบวนการหนึ่งในการทํา Scaning Port) ก็จะถูกทิ้งไปเช่นเดียวกัน
ทั้งนี้ Firewall ส่วนใหญ่จะสามารถบันทึก Log file ได้ด้วย ซึ่งขึ้นอยู่กับการตั้งค่าของ
ผู้ดูแลระบบเองว่าต้องการเก็บข้อมูลใด และข้อมูลที่เก็บไว้ใน Log file นี้ก็อาจนํามาใช้
วิเคราะห์และรายงานเกี่ยวกับความพยายามที่จะเจาะเข้ามาในระบบโดยไม่ได้รับ
อนุญาตได้อีกด้วย
ในกรณีที่ Firewall ได้รับ UDP packet นั้น เนื่องจากโปรโตคอล UDP ไม่มี
กระบวนการ 3-Way handshake ทําให้ไม่มี sequence number แต่ทั้งนี้ก็ยังมี Source
IP Address, Destination IP Address, Source Port และ Destination Port ซึ่งจะถูก
สร้างขึ้นใน State Table ทําให้ยังสามารถใช้งานได้อยู่ในระดับหนึ่ง ถึงอย่างนั้นด้วยเหตุ
63
