ตัวอย่างการใช้งาน Endian Firewall
Endian Firewall เป็น
"turn-key"
linux security distribution
ที่ได้พัฒนาบนฐานของ IpCop ที่เน้นในเรื่องของระบบความปลอดภัย
ซึ่งซอร์ฟแวร์ของ Endian Firewall ได้ออกแบบให้สามารถใช้งานและติดตั้งได้ง่าย
และมีความยืดหยุ่นในการจัดการลักษณะสำคัญ (Feature) ของ Endian Firewall ประกอบด้วย
stateful packet inspection firewall, application-level
proxies for variuos protocols (HTTP, POP3, SMTP) with antivirus support, virus and spamfiltering for email traffic (POP and SMTP),
content filtering of
Web traffic and a "hassle free" VPN solution (based on OpenVPN) ข้อดีของ Endian Firewall ก็คือเป็น Open Source
ความสามารถทั่วไปของ Endian Firewall
ความสามารถหรือคุณลักษณะโดยทั่วไปของ Endian Firewall จะคล้ายกัน
IPCop มากคือจะนำมาใช้งานสำหรับการทำ
Firewall นั่นคือ
Endian Firewall จะออกแบบมาให้ประยุกต์ใช้งานกับ
Server ที่มี
4 Network Interface คือ
Red, Blue, Green, และ
Orange ดังนี้
:
- RED Network Interface
เครือข่ายส่วนนี้เป็น Internet หรือ Untrusted Network
- GREEN Network Interface
อินเตอร์เฟสนี้เชื่อมต่อกับคอมพิวเตอร์ภายใน
- BLUE Network เครือข่ายส่วนนี้ให้ผู้ใช้เชื่อมต่อกับอุปกรณ์ที่เป็น
Wireless
- ORANGE Network เครือข่ายส่วนนี้เป็นส่วนของ DMZ ซึ่งจะเป็นพื้นที่ของ
Server
ชนิดต่าง ๆ
แต่ถ้า Server มี Network ไม่ถึง 4 ก็สามารถประยุกต์ไช้งานได้เช่นกันนะครับ ซึ่งในตัวของ Firewall เองจะมี Proxy และ NAT ให้สามารถใช้งานโดยสะดวก
สำหรับวิธีการคอนฟิกการใช้งาน จะใช้ผ่าน Web Browser
ทั้งหมด
ความแตกต่างที่เห็นได้เมื่อเปรีบบเทียบกับ IPCop
จากที่ผู้เขียนเคยใช้งาน IPCop มา มีอยู่สิ่งหนึ่งที่ไม่มีใน IPCop คือ IPCop ไม่มี Outgoing Firewall
นั่นคือที่ IPCop Firewall จะมีการทำ NAT ให้เครื่อง
Client ที่อยู่ในวง
Internal (Green) หรือการกำหนดให้วงที่เป็น
Wireless (Blue) ติดต่อไปยังภายนอกได้โดยเป็นการอนุญาตทุกพอร์ต
คือไม่สามารถจำกัดเฉพาะพอร์ตใด ๆ ได้ แต่ใน Endian Firewall ได้เพิ่มในส่วนของ
Outgoing Firewall ที่สามารถระบุค่าของ
Destination Port ได้
ตัวอย่างการใช้งาน
ในที่นี้ผู้เขียนได้สร้างเครือข่ายเพื่อการทดลองดังรูํปข้างล่าง ซึ่งได้ IP Address ที่เป็น Public IP มาจาก ISP จำนวน 8 IP คือ
202.129.49.192/29 โดยใช้งานสำหรับตัว
Endian Firewall จำนวน 1 IP คือ 202.129.49.194
(IP ที่ลงท้ายด้วย
193 กำหนดให้กับ Ethernet ของ
router) และมีการ
map ip
ให้กับ Server อีก 3 IP ซึ่งก็หมายถึงว่าที่
Server ทั้ง
3 ตัวมีการใช้ IP ปลอมทั้งหมด
แต่การ map เป็น
IP จริงจะอาศัยการสร้าง
Alias ที่ตัว
Endian Firewall ซึ่งหมายถึงว่าต้องมีกาีรกำหนด IP จริงให้กับ Endian Firewall จำนวน 4 IP คือ IP ของตัวเอง
1 IP และอีก
3 เป็น Alias ที่ชี้ไปยัง
Server ที่อยู่ในวง
DMZ
ตัวอย่าการคอนฟิกจากรูปตัวอย่างข้างบน
จากรูปข้างบนก็ลองมาคอนฟิกเพื่อใช้งานกันนะครับ ซึ่งการคอนฟิกที่จเ็ป็นก็จะประกอบด้วยหัวข้อต่อไปนี้
1.
การกำหนด IP Address ให้กับตัว Endian Firewall
1.
ในขั้นตอนของการติดตั้งจะมีการให้กำหนด
IP Address อันหนึ่งให้กับ
Interface ซึ่งในที่นี้ผู้เขียนได้กำหนด
IP ที่เป็นขา
Green เอาไว้ดังนั้นให้ลองหาดูว่า
Interface อันไหนเป็นขา
Green แล้วเชื่อมต่อเข้ากับเครื่อง
Client ตัวใดตัวหนึ่งเพื่อที่จะเข้าไปเซ็ตค่าผ่่าน Broswer
2.
เมื่อเราเรียก Browser ด้วยการกำหนด
URL เป็น
IP ของขา
Green ตัว
Endian Firewall ก็จะ Redirect ไปยังพอร์ต
10443 ซึ่งเป็น SSL ของ
Endian Firewall
3.
การกำหนด IP Address ก็ให้เลือกเมนู
Network Configuration
2.
การคอนฟิก Firewall
ทำได้ด้วยการเลือก tab ที่ชื่อ Firewall และจะมี Menu ย่อย 4
เมนูคือ
1.
Port
Forwarding เป็นการอนุญาตให้ภายนอกสามารถเข้าไปใช้งาน
Server ทั้ง
3 ตัวได้
แต่ในที่นี้เครือข่ายของผู้เขียนได้ออกแบบให้มีการแมพ Ip จริงกับ IP ปลอม
ดังนั้นจึงต้องมีการสร้าง Alias ก่อนด้วยการเลือกเมนู Network - Alias และเพิ่ม
Alias ให้กับ
Server ทั้ง
3 ตัวดังรูปแรก หลังจากนั้นก็ทำการสร้าง Port Forwarding ให้กับ Application Server ทั้งหมดดังรูปถัดไป
2.
External
Access ซึ่งเป็นการกำหนดว่าจะให้พื้นที่ในส่วน External (Internet) สามารถเข้ามาทำอะไรกับตัว
Firewall ได้บ้าง
(เฉพาะตัว Firewal เท่านั้น ไม่มีผลต่อ DMZ การทำ Forward ไปยัง DMZ ไม่จำเป็นต้องมีการเปิด
External Assess) ซึ่งค่า
Default จะเปิดพอร์ต
113 เอาไว้แต่ในที่นี้ผู้เขียนได้เปิดพอร์ต 22 เพิ่มเพื่อให้ External สามารถ telnet แบบ ssh เข้ามาได้
แต่ต้องมีการ enable SSH
Access ที่เมนู Sysetm - SSH Access ดังรูปถัดไปด้วย
3.
Zone
Pinhole เป็นการสร้างการเชื่อมต่อระหว่างต้นทางและปลายทางดังต่อไปนี้
Orange กับ
Green
Blue กับ
Green
ซึ่งปกติแล้วเครือข่ายดังกล่าวไม่สามารถติดต่อถึงกันได้
เช่น เครื่อง PC ในวง Blue ไม่สามารถ FTP ไปยัง
PC ที่อยู่ในวง Green ได้ แต่เมื่อทำ Zone
Pinhole ดังตัวอย่างในรูปข้างล่างสามารถใช้งานได้
4.
Outgoing
Firewall ส่วนนี้ไม่มีใน IPCop เป็นการกำหนดกฎการติดต่อจากเครือข่าย Green, Blue, Orange ไปยังเครือข่ายภายนอก (Internet)
ว่าอนุญาตให้ใช้งานโปรโตคอลหรือแอพพลิเคชันอะไรได้บ้าง ซึ่งจากรูปข้างล่างนี้เป็นค่า Default ทั้งหมดยกเว้นสองรายการสุดท้ายที่ผู้เขียนได้เพิ่มกฎเพื่อให้เครื่องที่อยู่ในวง
Green สามารถ Telnet (tcp 23) ไปยังข้างนอกได้และให้เครื่องที่อยู่ในวง
Blue สามารถใช้งาน Internet (http) ได้ จะเห็นว่ากฎที่มีอยู่แล้วเป็นโปรโตคอลที่เรานิยมใช้งานกัน
ซึ่งถ้าจะมีการเพิ่มเติมกฎใด ๆ ก็สามารถสร้างเพิ่มเติมได้
3.
การกำหนดการใช้งาน Proxy : ก็ง่าย ๆ เืมื่อเลือกรายการ Proxy แล้ว
ก็จะมีให้เลือกว่าจะกำหนดให้ Green หรือ Blue ใช้
Proxy หรือไม่ จะให้ทำ Transparent ให้กับ Green หรือ Blue หรือไม่
สามารกทำ Access list ได้อย่างสะดวก สามารถทำ Content Filter กำหนด Phrase list , Blacklist
ได้
สามารถกำหนด http antivirus ได้
สามารถทำ email scanner (pop3) ได้ เป็นต้นครับ
4.
การกำหนด DHCP : ตัว Endian
Firewall มี
DHCP Server ในตัวครับ สามารถกำหนดได้ว่าจะ enable ให้มีการจ่าย IP Address ที่วง Green หรือวง Blue หรือไม่
ดังรูปครับ
ส่งท้าย
ยังมีความสามารถอีกหลายอย่างที่
Endian
Firewall ทำได้ แต่เท่าที่แนะนำมาคงจะเ็ป็นแนวทางให้สามารถนำไปประยุกต์ใช้งานได้บ้าง และประเด็นสำคัญ เรื่องที่ผู้เขียนยังไม่ได้กล่าวถึง
เ่ช่น DDNS หรือ VPN เป็นต้น ผู้ใช้งานจะต้องมีความเข้าใจในหลักการของเรื่องดังกล่าวพอสมควร ไม่งั้นคงจะ็ไม่สามารถนำเครื่องมือที่
Endian
Firewall จัดสรรให้ไปใช้งานได้
จบครับ