Make your own free website on Tripod.com

Network Security



ในปัจจุบันการเชื่อมต่อเครือข่ายคอมพิวเตอร์ในองค์กรเข้ากับ Internet ได้เพิ่มจำนวนขึ้นอย่างรวดเร็ว
เพื่อประโยชน์ในทางธุรกิจ เช่น การสั่งซื้อสินค้าผ่านทาง Internet เป็นต้น อย่างไรก็ตาม Internet ไม่ได้
กำหนดมาตรฐานความปลอดภัยไว้ ดังนั้นจึงเป็นหน้าที่ของผู้ใช้ซึ่งจะต้องจัดการเกี่ยวกับการรักษาความ
ปลอดภัยภายในเครือข่าย LAN ที่ต่อกับ Internet เอง
ใน RFC 1244 ได้กำหนดความประเภทของการบุกรุกเข้าไปในเครือข่ายออกเป็นสี่ประเภทคือ

จากข้อกำหนดข้างต้นจะเห็นว่า unauthorized access เป็นสิ่งที่สำคัญที่สุดในการรักษาความปลอดภัย
ในเครือข่าย เนื่องจากเมื่อสามารถเข้าสู่เครือข่ายได้แล้ว ผู้บุกรุกย่อมสามารถกระทำการอื่นๆได้ เช่น แก้ใข
หรือทำลายข้อมูลที่สำคัญ
โดยทั่วไปแล้วบุคคลที่ต้องการบุกรุกเข้าไปในเครือข่ายจะต้องมีข้อมูลเกี่ยวกับเครือข่ายนั้น เช่น ประเภท
ของระบบปฏิบัติการ, ชื่อผู้ใช้งาน(user name), ชื่อของคอมพิวเตอร์นั้น เป็นต้น นอกจากนี้แล้ว e-mail
ยังสามารถใช้เป็นเครื่องมือในการเข้าสู่เครือข่าย โดยส่ง e-mail ซึ่งเป็น execute file ให้แก่ผู้บริหารระบบ
เมื่อมีการเปิดอ่าน e-mail จะ execute เพื่อทำการสร้างรหัสผ่านสำหรับผู้บริหารระบบขึ้นมาใหม่ เป็นต้น
นอกจากนี้แล้ว CGI สามารถใช้ในการบุกรุกเข้าสู่เครือข่ายได้โดย download โปรแกรม CGI
(ผ่านทาง anonymouse FTP) และให้โปรแกรม CGI นี้ทำงาน (โดยการกำหนด URL) ดังนั้น HTTP server
ไม่ควรทำงานโดยมีสิทธิ์การใช้งานเทียบเท่า SYSTEM หรือ Adminstrator
Application ซึ่งสามารถใช้ในการบุกรุกเข้าสู่เครือข่ายได้ โดยทั่วไปมีดังนี้คือ
FTP
เนื่องจากใน FTP protocol กำหนด port สำหรับการรับส่งข้อมูลเป็นสอง port คือ control
connection port และ data connection port ปัญหาที่เกิดขึ้นคือที่ FTP client port ทั้งสอง port
นี้เป็น port ที่กำหนดโดย FTP server ดังนั้นในกรณีที่ผู้บุกรุกกำหนดให้เป็นการติดต่อจาก port 21
จะทำให้สามารถเข้าสู่เครือข่ายได้ นอกจากนี้แล้ว password สำหรับ FTP protocol นั้นไม่ได้ผ่านการ
เข้ารหัส ซึ่งเป็นการง่ายที่จะลักลอบทำสำเนา password เมื่อผ่านเข้าสู่เครือข่าย Internet

Telnet
จะเป็นเช่นเดียวกับ FTP คือ password ไม่ผ่านการเข้ารหัส

การรักษาความปลอดภัยในเครือข่าย โดยปกติจะใช้ screening router เพื่อตรวจสอบ packet ที่เข้ามา
และออกจาก router โดย screening router จะทำงานที่ network layer สำหรับ OSI reference mode
ข้อเสียของ screening router คือ เมื่อผู้บุกรุกสามารถเข้าสู่ screening router table ได้แล้วจะ
สามารถเข้าสู่เครือข่ายได้ โดยตรง
Firewall ( คือ ผนังกันไฟซึ่งในการก่อสร้างอาคาร) เป็นการรักษาความปลอดภัยในเครือข่ายอีกประเภท
หนึ่งซึ่งระบบประกอบไปด้วย screening router และ host ซึ่งทำการตรวจสอบการรับ/ส่งข้อมูลที่
Application layer วิธีนี้จะมีประสิทธิภาพมากกว่าใช้ screening router เพียงอย่างเดียว เนื่องจาก
เป็นการรักษาความปลอดภัยถึงสองชั้นโดยผู้บุกรุกจะต้องผ่าน screening router และ host ก่อนที่จะ
เข้าสู่เครือข่ายได้ host ที่ใช้ใน Firewall นี้ปกติจะเรียกว่า bastion host และจะแบ่งเครือข่ายออกเป็น
สองส่วนคือส่วนที่ติดต่อระหว่าง screening router กับ bastion host และส่วนติดต่อระหว่าง bastion
host และเครือข่ายภายใน
การทำงานของ screening router และ Firewall จะได้กล่าวถึงโดยละเอียดดังต่อไปนี้

SCREENING ROUTERS

Screening router เป็นการตรวจสอบ packet ที่เข้ามายัง router เช่น ตรวจสอบ source address หรือ
destination address ซึ่งสามารถใช้สำหรับการรักษาความปลอดภัยในเครือข่ายได้ ดังรูปที่ 1

รูปที่ 1 การต่อ screening router สำหรับความปลอดภัยของเครือข่าย

ตามรูปที่ 1 screening router จะตรวจสอบ packet ที่เข้ามาโดยการตรวจสอบสามารถทำได้ดังนี้
คือ (ในกรณีนี้จะ อ้างถึงเฉพาะเครือข่าย TCP/IP เท่านั้น)

Internet layer รูปที่ 2 แสดง fields ต่างๆ ใน IP packet

รูปที่ 2 IP packet fields

screening router จะตรวจสอบ source IP address และ destination IP address เมื่อพบว่า
destination IP address เป็น Host ของเครือข่ายภายในที่มีความสำคัญในขณะที่ source address
เป็น host ที่ไม่มีอยู่ในรายชื่อที่กำหนดหรือมีความสำคัญต่ำกว่า screening router จะ reject packet นั้นทิ้ง

Transport layer ประกอบด้วยสอง Protocal คือ TCP และ UDP โดยปกติ router จะทำงานที่ Internet layer
อย่างไรก็ตามสำหรับ screening router นั้นจะมีการตรวจสอบเลขที่ port ที่ใช้เพื่อตรวจสอบว่า packet ที่เข้ามาเข้าสู่ port ที่มีการป้องกันไว้หรือไม่
รูปที่ 3 และ 4 แสดง fields ต่างๆ ของ TCP และ UDP packets สำหรับ TCP protocol นั้น screening router ยังสามารถตรวจสอบ
flag ต่างๆ ซึ่งใช้สำหรับแยกประเภทของ TCP packet ซึ่งแบ่งได้ดังนี้คือ

รูปที่ 3 TCP packet fields

รูปที่ 4 UDP packet fields

Flag ที่ใช้สำหรับ screening rounter ใน TCP packet คือ SYN และ ACK flag เมื่อ SYN flag
ถูกกำหนดเป็น 1 และ ACK flag เป็น 0 แสดงว่ามีการเชื่อมต่อโดยใช้ TCP protocol เกิดขึ้น ซึ่ง screening router
สามารถยกเลิก packet ได้โดยการ set RST flag
เมื่อ SYN flag ถูกกำหนดเป็น 1 ACK flag สามารถเป็นได้ทั้ง 0 และ 1 เพื่อแสดงว่าเป็นการร้องขอ
การเชื่อมต่อหรือเป็นการยอมรับการเชื่อมต่อ ตารางข้างล่างแสดง SYN และ ACK ที่ใช้

SYN flagACK flagMeaning
10Open connection
11Open connection acknowledgement
01Acknowledgement packet or data packet

ดังนั้น screening router สามารถใช้เพื่อตรวจสอบการเข้าสู่ระบบได้โดยการตรวจสอบ source address,destination address จาก IP Packet และเลขที่ port, SYN และ ACK flag ของ TCP packet

Implemantation of screen router

Screening router ควรแบ่งเครือข่ายออกเป็นเครือข่ายภายในและเครือข่ายภายนอก เครือข่ายภายในคือเครือข่ายภายในองค์กรและเครือข่ายภายนอกเป็นการติดต่อกับเครือข่ายอื่นๆ เช่น อินเตอร์เน็ท ดังแสดงในรูปที่ 1ตัวอย่างการใช้ screening router เช่น การรับจดหมายอิเลคทรอนิคส์จากภายนอกโดยไม่ต้องการรับการติดต่อจาก host ชื่อ CREEPHOST ซึ่งอาจจะส่งจดหมายที่มีขนาดใหญ่มากเข้ามาในเครือข่าย ดังนั้นscreening router จะตรวจสอบ source address และเลขที่ port ในกรณีที่ CREEPHOST ได้ติดต่อเข้ามาที่ SMTP port (port 25) packet นั้นจะถูกยกเลิก โดยไม่ส่ง ACK กลับไป

Screening router and FTP
FTP protocol มีรูปแบบดังแสดงในรูปที่ 5

รูปที่ 5 FTP protocol Model

FTP protocol แบ่งการเชื่อมต่อออกเป็น 2 port สำหรับ FTP Server คือ connection port ซึ่งใช้
ในการรับและส่งคำสั่ง ตามมาตรฐานคือ port 21 และ data connection ซึ่งใช้ในการรับและส่งข้อมูล
โดยจะกำหนดให้เป็นport ที่ 20 ซึ่งจะใช้เมื่อมีการส่งข้อมูลและยกเลิกในทันทีที่ข้อมูลชุดนั้นได้รับโดย
FTP client
สำหรับ FTP client นั้นต้องแจ้ง port สำหรับ data connection แก่ FTP server โดยใช้คำสั่ง
PORT i1,i2,i3,i4,p1p2 โดยที่ i1,i2,i3 และ i4 คือ IP address ของ FPT client ส่วน p1 คือ
most significant byte และ p2 คือ least significant byte ของเลขที่ port เช่น p1 เท่ากับ 218
และ p2 เท่ากับ 6 ดังนั้นเลขที่ port คือ 218*256 + 6 = 55814
กำหนดให้ FTP client อยู่ในเครือข่ายภายในและ FTP server เป็นเครือข่ายภายนอก โดยมี screening router
เชื่อมระหว่างเครือข่ายภายในและเครือข่ายภายนอก ปัญหาที่เกิดขึ้นคือ port สำหรับ data connection นั้น
ถูกกำหนดโดย FTP protocal ทำให้ไม่สามารถกำหนด destination port ที่แน่นอนเพื่อที่ screening router
สามารถตรวจสอบ packet ได้ ดังนั้นเมื่อมีการใช้ FTP protocol host จากภายนอกเครือข่ายสามารถ
เข้าสู่เครือข่ายภายในได้ โดยกำหนดให้เป็นการเรียกจาก port 20
วิธีการแก้ปัญหาคือใช้ TCP ACK flag เมื่อมีการติดต่อจากภายนอกและยกเลิก packet ที่มีการติดต่อ
host ภายในโดยใช้ port มาตรฐาน(เลขที่ port ต่ำกว่า 1024) เนื่องจาก data connection port ต้อง
มีค่าสูงกว่า 1024
RFC 1579 (Firewall-Friendly FTP) ได้กำหนดคำสั่ง PASV(passive open) โดย FTP client ส่ง
คำสั่ง PASV ไปยัง FTP server แล้ว FTP server จะสุ่ม port เพื่อใช้สำหรับ data connection
โดยยกเลิกการใช้ port 20 และ FTP client ใช้ port ที่ส่งกลับโดย FTP server สำหรับ data connection

Screening router and Telnet

ตามปกติ port 23 จะใช้สำหรับ Telnet อย่างไรก็ตามการติดต่อสามารถใช้ port อื่นๆได้โดยคำสั่ง
Telnet host [portnumber] ดังนั้นเป็นการยากสำหรับ screening router เมื่อไม่ต้องการให้ผู้ใช้
ในเครือข่ายเข้าสู่ Gopher, WWW นอกจากนี้แล้ว Telnet ยังสามารถใช้ในการตรวจสอบว่า Server
ในเครือข่ายมีบริการอะไรบ้างโดยการสุ่มเลขที่ port ต่างๆ ดังนั้น screening router ไม่ควรอนุญาติ
ให้มีการใช้ Telnet ใน port อื่นๆ ยกเว้น port ที่ 23 เท่านั้น

Screening router and UDP Protocol

UDP เป็น connectionless protocol จึงไม่มี ACK Flag เช่น TCP ดังนั้นใน UPD protocol นั้น
screening router จึงสามารถตรวจสอบได้เฉพาะเลขที่ port เท่านั้น
ตัวอย่างเช่น ใน SNMP นั้นใช้ UDP protocol และ port เลขที่ 161 โดย destination port จะกำหนด
จาก SNMP client
ดังนั้นผู้บุกรุกสามารถเข้าสู่ระบบเครือข่ายที่ต่ออยู่กับ SNMP Manager ได้โดยกำหนด source port
ให้เป็นเลขที่161 และ destination port เป็น port ซึ่งให้บริการอื่นๆ ในเครือข่าย เช่น port เลขที่
1352 ซึ่งเป็นของ Lotus notes
การแก้ปัญหาคือให้ screening router ยกเลิก packet ซึ่งมี source port เป็น 161 และ destination
port เป็น port ซึ่งให้บริการอื่นๆในเครือข่าย

Screening router and ICMP Protocol

Internet control message protocol (ICMP) ใช้สำหรับการรายงานความผิดพลาดใน IP datagrams
ICMP redirect message เป็นหนึ่งในการให้บริการของ ICMP เพื่อเปลี่ยนทิศทางการ route ซึ่งผู้บุกรุก
จากภายนอกสามารถส่ง ICMP redirect message ไปยังเครือข่ายภายในเพื่อเปลี่ยนแปลงข้อมูลใน routing table
ดังนั้น screening router ต้องไม่อนุญาติให้ ICMP redirect message จากเครือข่ายภายนอกเข้ามาสู่
เครือข่ายภายใน

Screening router and RIP protocol

สำหรับ Routing information protocol(RIP) นั้น ผู้บุกรุกสามารถเข้าสู่เครือข่ายภายในโดยการ
เข้าไปเปลี่ยนแปลง routing information ของเครือข่ายภายในเพื่อให้รับการติดต่อจากภายนอก
ซึ่งสามารถป้องกันได้โดยไม่กำหนดให้มี source routing ที่ screening router


Firewall

Firewall คือ อุปกรณ์ที่ใช้ในการป้องกันเครือข่ายจากการบุกรุกจากบุคคลซึ่งไม่มีสิทธิ์ในการใช้งาน
Firewall ในที่นี้ได้รวมถึงอุปกรณ์การเข้ารหัส, screening router และ application-level gateway
Firewall จะถูกกำหนดไว้ระหว่างเครือข่ายภายในและเครือข่ายภายนอก ซึ่งในที่นี้คือ Internet โดยปกติ
Firewall จะทำงานที่ application layer อย่างไรก็ตาม Firewall สามารถทำงานที่ network และ
transport layer ได้ โดย Firewall จะตรวจสอบ soure IP address, destination IP address
และ TCP flags เช่นเดียวกับ screening router
การแยกเครือข่ายภายในออกจากเครือข่ายภายนอกสามารถทำได้โดยให้ host ซึ่งกำหนดให้มีหน้าที่เป็น
Firewall มี network interface card 2 ชุดสำหรับเครือข่ายภายนอกและเครือข่ายภายในดังแสดงในรูปที่ 6

รูปที่ 6 Dual-homed Firewall

Firewall จะเชื่อมต่อเครือข่ายภายในและภายนอกโดยโปรแกรม ซึ่งโปรแกรมนี้จะตรวจสอบ packet
ซึ่งเข้าสู่ Firewall เช่นเดียวกับใน screening router อย่างไรก็ตามเนื่องจากโปรแกรมทำงานที่
application level ดังนั้นการตรวจสอบ packet จะทำได้ดีกว่า screening router
ข้อเสียของระบบดังรูปที่ 6 คือ ในกรณีที่ผู้ใช้สามารถ log in เข้าสู่ Firewall ผู้ใช้นั้นสามารถเปลี่ยนแปลง
แก้ไขโปรแกรมที่ใช้ในการตรวจสอบ packet ได้ ดังนั้น password สำหรับ log in เข้าสู่ Firewall
ควรเก็บรักษาด้วยความระมัดระวังและควรมีการบันทึกการ log in เข้าสู่ Firewall ด้วย
นอกจากการต่อ Firewall ตามรูปที่ 6 แล้วยังสามารถใช้ screening router เชื่อมต่อกับ host โดย
host ซึ่งทำหน้าที่เป็น Firewall จะเรียกว่า Bastion Host และ screening router จะ
เชื่อมต่อระหว่างเครือข่ายภายในและเครือข่ายภายนอก โดยการรับข้อมูลทั้งหมดจาก
เครือข่ายภายนอกต้องผ่าน screening router ก่อนจึงจะถูกส่งไปยัง bastion host
ดังแสดงในรูปที่ 7

รูปที่ 7 host และ screening ประกอบเป็น Firewall

routing table ใน screening router จะถูกกำหนดให้การติดต่อจากภายนอกทั้งหมดเข้าสู่ bastion
host โดย bastion host จะทำงานที่ application level เพื่อตรวจสอบข้อมูลที่เข้ามา หลังจากนั้น
baston host จะส่ง packet นั้นเข้าสู่เครือข่ายภายในหรือยกเลิก packet นั้นเมื่อพบว่า packet อาจ
เป็นอันตรายต่อระบบ ในการติดต่อกับเครือข่ายภายนอก bastion host จะส่งข้อมูลต่อไปยัง screening
router โดยตรง รูปที่ 8 แสดงการรูปแบบติดต่อระหว่างเครือข่ายภายในและภายนอกเมื่อใช้ Firewall นี้

รูปที่ 8 OSI model และการเชื่อมต่อ Firewall

เนื่องจาก screening router ไม่สามารถตรวจสอบ ICMP redirect message, ARP, proxy ARP,
MOP และ ICMP unreachable message ได้ ดังนั้นจึงเป็นหน้าที่ของ bastion host ที่จะต้อง
ตรวจสอบ protocal เหล่านี้
นอกจากการต่อ bastion host ดังรูปที่ 7 ข้างต้นแล้ว ยังมีการต่ออีกชนิดหนึ่งซึ่งต้องการ Network
interface card 2 ชุดดังแสดงในรูปที่ 9

รูปที่ 9 bastion host with 2 network interface

จากรูปข้างต้นนั้น เครือข่ายภายในแบ่งออกเป็นสองส่วนคือ outside network ใช้ในการเชื่อมต่อ
screening router กับ baston host และ Inside network เพื่อเชื่อมต่อ bastion host เข้ากับ
เครือข่ายภายใน
ในกรณีนี้จะเป็นระบบป้องกันสองชั้น คือ ผู้บุกรุกต้องผ่านการตรวจสอบจาก screening router ก่อน
หลังจากนั้นจะต้องผ่าน bastion host จึงจะสามารถเข้าสู่เครือข่ายภายในได้ เนื่องจาก outside network
มีเฉพาะ screening router และ bastion host ดังนั้นจึงเรียก outside network ว่า Demilitarized Zone
หรือ DMZ
DMZ สามารถใช้การเชื่อมต่อแบบ point-to-point ได้เนื่องจากเป็นการเชื่อมต่อสองเครือข่ายเข้าด้วยกัน
ซึ่งจะทำให้ผู้บุกรุกไม่สามารถ tab สายได้ ข้อดีของการต่อตามรูปที่ 9 คือ ผู้บุกรุกต้องผ่าน bastion host
ก่อนจึงจะสามารถผ่านเข้าสู่ inside network ได้ ถึงแม้ว่าผู้บุกรุกสามารถเข้าสู่ screening router table ได้
ในกรณีที่เครือข่ายยอมให้มีการเชื่อมต่อแบบ FTP โดยใช้ anonymouse เป็น password นั้นบุคคล
ภายนอกเครือข่ายยังสามารถเข้าสู่เครือข่ายภายในได้ ดังนั้นจึงต้องเพิ่ม bastion host เป็นสองตัว
ซึ่งจะได้ DMZ เป็นสองส่วนคือ outside DMZ และ inside DMZ ดังรูปที่ 10

รูปที่ 10 Firewall with 2 bastion host

ตามรูปที่ 10 นี้ FTP server จะต่อที่ outside DMZ และ bastion host ที่ inside DMZ จะไม่ผ่าน
การสื่อสารซึ่งติดต่อกับ FPT server ไปยัง inside network. รูปที่ 11 แสดงเส้นทางของการสื่อสาร
ในรูปของ OSI reference model

รูปที่ 11 path of network traffic and OSI reference model

นอกจากนี้แล้วยังมีการต่อแบบอื่นอีก เช่น ในรูปที่ 12 และ 13 โดยรูปที่ 12 นั้น bastion host ใช้เพียง
หนึ่ง network interface card เท่านั้น

รูปที่ 12 bastion host with one network interface card

รูปที่ 13 OSI referenc model and network traffic

Screening subnets

screened subnet เป็น Firewall อีกประเภทหนึ่งซึ่งแยกเครือข่ายภายนอกและเครือข่ายภายใน
ออกจากกัน โดยผ่าน screened subnet และที่เครือข่ายภายนอกไม่สามารถติดต่อกับเครือข่ายภายในได้
ดังแสดงในรูป ที่ 14

รูปที่ 14 การต่อ firewall แบบ screened subnet

โดยปกติภายใน screened subnet ประกอบด้วย bastion host ต่อกับเครือข่ายดังแสดงในรูปที่ 15

รูปที่ 15 screened subnet โดยใช้ bastion host

การต่อ screened subnet นี้ผู้บุกรุกเข้าสู่เครือข่ายภายในต้องกำหนดเส้นทางของ internet,
screened subnet และเครือข่ายภายในเพื่อเข้าสู่ระบบ ซึ่งทำได้ยากเนื่องจาก IP address ของ
เครือข่ายภายในสามารถกำหนดได้เองโดยผู้บริหารเครือข่าย เนื่องจากเครือข่ายภายในไม่ได้ต่อกับ
internet โดยตรง

Application-level gateways

Application-level gateways ใช้สำหรับเครือข่าย interactive เช่น Telnet ดังแสดงในรูปที่ 16

รูปที่ 16 Application-level gateways

ข้อดีของ Application-level gateways คือมีการบันทึกการใช้งาน application นั้นๆ เพื่อการตรวจ
สอบภายหลัง
ข้อเสียของ application-level gateways คือต้องมีการเขียนโปรแกรมสำหรับแต่ละ application
เพื่อการใช้งาน อย่างไรก็ตามในแง่ของความปลอดภัยแล้วจะมีความปลอดภัยมากเนื่องจากผู้ใช้ภายนอก
เครือข่ายจะสามารถใช้งานได้เฉพาะ application ที่มีเท่านั้น
Application program จะทำงานในลักษณะของ proxy คือ รับการติดต่อเข้ามาและทำการตรวจสอบ
จากนั้นจึงส่งข้อมูลที่รับเข้าออกไป (ในกรณีที่ข้อมูลตรงกับ Access list) ดังในรูปที่ 17

รูปที่ 17 apprication proxy

นอกจากนี้แล้วยังมี Application-level gateways อีกประเภทหนึ่งคือ Circuit-gateway ซึ่ง
packet จะถูกกำหนดให้เข้าสู่ circuit gateway ก่อนที่จะเข้าสู่เครือข่ายตามปกติ ดังแสดงในรูปที่ 18

รูปที่ 18 Circuit-level application-level

circuit-level จะตรวจสอบ packet ก่อนที่จะส่งออกไป โดยทำงานที่ application level ทำให้
ประสิทธิภาพลดลงเนื่องจากต้องรับ packet เข้ามาและส่ง packet ออกไป

สรุป

ในการรักษาความปลอดภัยในเครือข่ายนั้น เบื้องต้นจะใช้ screening router เพื่อที่จะรับหรือ
ยกเลิก packet ที่เข้ามาสู่เครือข่ายภายใน เช่น สามารถกำหนดให้ router รับจดหมายอิเลคทรอนิคส์
เฉพาะจาก host ที่กำหนดเท่านั้น
อย่างไรก็ตามการใช้ screening router เพียงอย่างเดียวยังมีข้อบกพร่อง ในกรณีที่มีการอนุญาติ
ให้ host จากเครือข่ายภายนอกสามารถกำหนด port ที่ต้องการติดต่อเข้าสู่เครือข่ายภายในได้ เช่น
FTP ซึ่ง FTP client อยู่ในเครือข่ายภายใน ดังนั้น FTP server จากเครือข่ายภายนอกสามารถกำหนด
destination port ได้โดยกำหนดให้ source port คือ port เลขที่ 20
Firewall เป็นการรักษาความปลอดภัยที่ทำงานที่ application layer เมื่อใช้ Firewall และ screening
router ร่วมกัน จะสามารถแก้ไขข้อบกพร่องที่กล่าวมาแล้วข้างต้น โดยการติดต่อใดๆ จากเครือข่ายภายนอก
จะต้องเข้าสู่ Firewall เท่านั้น ดังนั้นเครือข่ายภายนอกจะไม่สามารถติดต่อกับเครือข่ายภายในได้โดยตรง
Firewall โดยทั่วไปจะเป็นเครื่องคอมพิวเตอร์ซึ่งทำการตรวจสอบ packet ที่เข้ามาจากเครือข่ายภายนอก
การรักษาความปลอดภัยในเครือข่ายนั้นส่วนที่สำคัญที่สุด คือผู้ใช้งานภายในเครือข่ายนั้นเองที่จะต้องรักษา
ความลับของรหัสผ่านในระบบและหลีกเลี่ยงการติดต่อกับ host ซึ่งไม่สามารถเชื่อถือได้


Main Page

nakamon@asianet.co.th