บทความนี้จะเป็นบทความแรก ๆ ในปี 2023 นี้นะครับ ผมตั้งใจว่าจะทำเป็น Series ตัวอุปกรณ์ Cisco FirePOWER (Cisco FTD) ทั้งเรื่องของการเริ่มต้นติดตั้ง จนการคอนฟิกอุปกรณ์ให้ใช้งานได้ทั้งหมดครับ ก่อนอื่นอยากจะพาผู้อ่านไปมองดูภาพรวมและคุณสมบัติของ Cisco FTD (FirePOWER Threat Denfence) กันก่อนเลยนะครับ
Cisco FTD (Firepower Threat Defense) เป็นโซลูชัน Cisco Next Generation Firewall และ IPS ซึ่ง Cisco ได้ควบรวมกิจการบริษัท Sourcefire ซึ่งเป็น Next Generation IPS ที่เป็นผู้นำหรือ Leader ในตลาด IDS/IPS (จากข้อมูลของ Gartner 2013 ตามภาพด้านล่าง) สำหรับการรักษาความปลอดภัยเครือข่ายและแอปพลิเคชัน นอกจากนี้ยังมีคุณสมบัติความปลอดภัยอื่น ๆ อีกมากมาย ซึ่งทางเอเบิ้ลเน็ตจะได้แนะนำเป็นข้อมูลเบื้องต้นสำหรับทุกท่านผ่านบทความนี้นะครับ
การใช้งานของอุปกรณ์ไฟร์วอลล์ (Firewall) ที่เรามักจะไป Deploy กันมี 2 รูปแแบบนะครับ คือ
1. Edge Firewall ผู้ดูแลระบบจะนำ Firewall ไปขวางระหว่างโซน Trust ที่เป็น LAN ภายในขององกรค์และ Untrust ที่ออกไปสู่โลกภายนอก หรืออินเตอร์เน็ตนั่นเอง ซึ่งจะถูกใช้เพื่อควบคุมและอนุญาตทราฟฟิกตามนโยบายขององค์กร เช่น อนุญาต (Permit) ให้เข้าถึงเฉพาะ IP, Port และ Applicationในองค์กรเท่านั้น โดยที่ส่วนอื่นๆ ทั้งหมดจะถูก drop ทิ้งหมด (Deny) เป็นต้น
2. DMZ Firewall ทราฟฟิกขาเข้า (Inbound) สำหรับโซน DMZ จะต้องกำหนดเฉพาะบาง IP, Port เท่านั้น ที่สามารถคุยกับฝั่ง LAN ได้ หรือเซิร์ฟเวอร์ที่สามารถเข้าถึงได้ทางอินเทอร์เน็ต มักจะอยู่ในส่วน DMZ ของเครือข่ายซึ่งแยกโดยไฟร์วอลล์เช่นเดียวกัน ผู้ดูแลระบบสามารถกำหนดทราฟฟิกขาเข้ามาใน DMZ ว่าจะอนุญาต หรือดร็อปตัวทราฟฟิกน้ัน ๆ ได้
โดยปกติผู้ดูแลระบบจะใช้ Next Generation Firewall และ IPS ใน Datacenter และ IPS มักได้รับการกำหนดค่าในโหมดป้องกันเพื่อป้องกันการบุกรุกเข้าสู่เซิร์ฟเวอร์ภายในอีกด้วย โซลูชันการรักษาความปลอดภัยเหล่านี้ อุปกรณ์ Cisco FTD สามารถนำไปใช้ตอบโจทย์ได้
อุปกรณ์ Cisco FTD มีทั้งแบบ Appliance และ Virtual Appliance ที่อยู่บน VMware, KVM ทั้งหมดสามารถจัดการจากส่วนกลางผ่าน Cisco FMC (Firepower Management Center) ซึ่งเป็นจุดศูนย์กลางในการควบคุม ติดตั้ง และตรวจสอบอุปกรณ์ Firewall Cisco FTD เป็นหลักเลยครับ
ก่อนที่เราจะไป Step ของการติดตั้งเราจะมาดูว่า Cisco FTD ทำอะไรได้บ้าง
1.Next Generation Firewall
Cisco FTD เราเรียกมันว่า Next Generation Firewall เพราะไม่เพียงแต่รองรับการควบคุมการเข้าถึงแบบ Stateful Firewall เท่านั้น เรายังสามารถกรองข้อมูลตามแอปพลิเคชัน และไมโครแอปพลิเคชันจำนวนมาก ที่ Cisco ASA เวอร์ชันเก่าไม่สามารถทำได้ แต่ใน Cisco FTD สามารถทำได้อย่างง่ายมากครับ Cisco FTD เป็นส่วนผสมของโซลูชัน Cisco ASA และ Sourcefire Firepower ที่ซื้อโดย Cisco ในเดือนกรกฎาคม 2013 มูลค่า 2.7 พันล้านเหรียญสหรัฐ ตามที่กล่าวมาแล้วข้างต้นครับ
โดยการควบคุมแบบ Stateful Firewall เราเพียงแค่กำหนกการควบคุมการรับส่งข้อมูลจากต้นทางไปยังปลายทางเท่านั้น การรับส่งข้อมูลย้อนกลับจะได้รับการอนุญาตโดยอัตโนมัติ เนื่องจากเซสชันถูกสร้างขึ้นแล้ว และสถานะของเซสชันจะถูกบันทึกไว้ในหน่วยความจำ เช่นเราทำนโยบายหรือ Policy อนุญาตให้ทราฟฟิกจากเครื่องแม่ข่าย A ออกไป update software ยังเว็บ microsoft ได้เท่านั้น เราทำแค่บรรทัดนี้บรรทัดเดียว ไม่จำเป็นต้องทำให้ทางกลับกันคือจาก microsoft กลับมาที่เครื่องแม่ข่าย A ด้วย เป็นต้น
Next Generation Firewall ช่วยให้เราสามารถควบคุมการรับส่งข้อมูลตามแอปพลิเคชันและไมโครแอปพลิเคชัน ตัวอย่างเช่น เราไม่เพียงแต่ควบคุมว่าจะอนุญาตให้ใช้ Instagram เท่านั้น แต่ยังสามารถควบคุมว่าจะอนุญาตการกดไลค์ หรือแสดงความคิดเห็น หรือการเล่นและโพสวิดีโอบน Instagram หรือไม่ นั่นเองครับ
สรุปคือ Next Generation Firewall จะทำหน้าที่หลัก ๆ 2 อย่างเลยก็คือ
1. Stateful Access Control
2. Control Based on Applications หรือ Micro Applications
2.IDS/IPS และ Network Discovery
ด้วย Cisco FTD IDS/IPS การบุกรุกจำนวนมากจะถูกตรวจจับและป้องกันตาม Signature และความผิดปกติ (Anomalies) การบุกรุกที่ทราบจะถูกตรวจพบโดยอิงจาก Signature ที่เดิมมีฐานข้อมูลอยู่แล้ว และโดยทั่วไปแล้ว Zero Attack จะถูกตรวจพบโดยพิจารณาจากพฤติกรรมที่ผิดปกติ (Anomaly Behaviors) ของผู้บุกรุก
IPS ไม่เพียงแต่ป้องกันการบุกรุก แต่ยังรับฟังและเรียนรู้ทราฟฟิกขององค์กรอยู่เสมอ Anomalies คือการรับส่งข้อมูลที่เป็นพฤติกรรมใหม่ที่ดูเหมือนจะถูกโจมตี แน่นอนว่าอาจมีการตรวจจับที่ผิดพลาด (False Positive) มากมายด้วยการตรวจจับตามความผิดปกติ
Network Discovery ของ Cisco FTD การรับส่งข้อมูลทั้งหมดหรือเฉพาะบางส่วนสามารถวิเคราะห์ได้เพื่อค้นหาว่าเกิดอะไรขึ้นบนเครือข่ายตามโฮสต์ มันเชื่อมต่อกับอุปกรณ์ใด มันเป็นโทรศัพท์มือถือหรือเดสก์ท็อป? โทรศัพท์มือถือหรือเดสก์ท็อปรุ่นใดกันแน่ที่ส่งข้อมูล แอปพลิเคชันอะไรที่ติดตั้งในแต่ละโฮสต์ ปริมาณข้อมูลที่ส่งและรับในแต่ละโฮสต์ การค้นพบเครือข่ายตอบคำถามเหล่านี้ทั้งหมด
3.Cisco FTD Malware and File Policy
Cisco FTD ให้เราสามารถควบคุมไฟล์ประเภทใดก็ได้ที่จะตรวจสอบหรือกรอง ไม่ว่าจะเป็นไฟล์ที่เป็นอันตรายหรือไม่ก็ตาม (Mulicious File) เรายังสามารถส่งต่อไปยังโปรแกรมป้องกันมัลแวร์ เพื่อให้แน่ใจว่าไม่ได้เป็นอันตรายก่อนที่จะถูกส่งไปยังผู้ใช้ขั้นสุดท้าย
4.Cisco FTD URL Filtering
ด้วยการกรอง URL เราไม่เพียงแต่สามารถกรองหรืออนุญาต URL เท่านั้น แต่ยังควบคุม URL ตามหมวดหมู่ของเว็บไซต์ได้อีกด้วย ตัวอย่างเช่น เว็บไซต์ที่เกี่ยวข้องกับการพนัน หรือยาเสพติดทั้งหมดอยู่ในหมวดหมู่เฉพาะที่สามารถกรองได้ในคราวเดียว
เรายังมีตัวเลือกในการกรองตามชื่อเสียงของความเสี่ยงของเว็บไซต์ใด ๆ (Risk Reputation) ตัว Cisco FTD จะมีฐานข้อมูลซึ่งมีความเสี่ยงมากน้อยเพียงใดกับเครือข่ายของเรา และช่วยให้เราสามารถกรอง URL ทั้งหมดที่มีความเสี่ยงสูงได้ในคราวเดียวกันนั่นเองครับ
5.SSL Policy
ด้วย SSL Policy เราสามารถถอดรหัสการรับส่งข้อมูล SSL เพื่อตรวจสอบเนื้อหาของการรับส่งข้อมูล สิ่งนี้เกิดขึ้นได้เมื่อไฟร์วอลล์แทนที่ Server Certificate ด้วย Certificate ของตัวเองเพื่อให้ผู้ใช้ภายในเชื่อถือ
นโยบาย SSL ทำให้เราสามารถนำ SSL offloading ไปใช้ได้ด้วย เซิร์ฟเวอร์ภายในจะถูกส่งผ่าน SSL Tunnel แต่ทราฟฟิก SSL ขาเข้า (Inbound Traffic) จะถูกถอดรหัสที่ Firewall และทราฟฟิกระหว่างไฟร์วอลล์และเซิร์ฟเวอร์ภายในอาจเป็นทราฟฟิกที่ไม่ใช่ SSL ซึ่งช่วยลดโอเวอร์เฮดของเซิร์ฟเวอร์ได้
6.Cisco FTD DNS Policy
Cisco FTD DNS Policy การใช้งาน DNS จะได้รับการตรวจสอบ และการสืบค้น DNS ใด ๆ ไปยังโดเมนที่มีชื่อเสียงไม่ดีจะถูก drop ได้ เช่น DNS ที่เป็น Phishing ไปยังธนาคารหลอกลวง ให้ผู้ใช้งานเข้าไปเพื่อกรอกข้อมูลส่วนบุคคล เป็นต้น อีกทั้งเรายังสามารถกำหนดบัญชีดำ (Black List) และบัญชีขาว (White List) ของโดเมนของเราเองได้อีกด้วยครับ
7.Pre-filter policy
Pre-filter policy ช่วยให้เราสามารถดร็อปทราฟฟิกบางส่วนก่อนที่ Firewall จะตรวจสอบอย่างละเอียด ซึ่งช่วยลด Overhead ของ FTD ได้ ตัวอย่างเช่น หากเราต้องการกรองทราฟฟิก Telnet ขาเข้าจากอินเทอร์เน็ต เราสามารถกำหนด Policy ตัว Pre-filter เพื่อละทิ้งโดยเร็วที่สุดก่อนที่จะเข้าสู่เครื่องมือตรวจสอบเชิงลึกบน Firewall
8.Cisco FTD security Intelligence Policy
Cisco FTD security Intelligence Policy ของ Cisco FTD นั้นจะกรองตาม IP และ URL ก่อน Policy ของ Access Control แม้กระทั่งก่อน Pre-filter policy ซึ่งลด Overhead ของ Cisco FTD เมื่อต้องการกรองที่อยู่ IP หรือ URL เฉพาะครับ
9.Cisco FTD Identity Policy
Cisco FTD Identity Policy เราสามารถเขียน ACL ตามข้อมูล User แทนที่ IP Address การแมปข้อมูล User ได้ผ่านทาง Active Directory หรือเทคโนโลยี Cisco ISE pxGrid ผู้ดูแลระบบสามารถ Block หรือ Deny เป็นชื่อของ User นั้น ๆ ได้เลย หรือแม้กระทั่งใช้ Feature นี้ในการทำ User Authentication บนตัว Firewall ได้เช่นเดียวกัน
คุณสมบัติข้างต้นเหล่านี้ไม่ใช่ที่ Cisco FTD รองรับมีเพียงเท่านี้นะครับ ยังมีคุณสมบัติอื่น ๆ อีกมากมายใน Cisco FTD เช่น NAT, VPN, High Availability เป็นต้น เราจะพยายามทำ Step ของการ Configure และใช้คุณสมบัติเหล่านี้ทั้งหมด เพื่อคนที่อ่านบทความเหล่านี้ สามารถนำไปติดตั้งได้ด้วยตนเองได้เลยครับ
ฉบับนี้เป็นเพียงได้รู้จักที่มาที่ไป และเข้าใจถึงคุณสมบัติของ Cisco FTD นะครับ ฉบับหน้าไว้เจอกันใหม่ในการเริ่มต้น Deploy ตัว Cisco FTD ครับ ขอบคุณสำหรับการติดตามบทความ รวมไปถึงเราจะปรับปรุงตามข้อเสนอแนะของทางพี่น้องทุกท่านนะครับ
อ่านบทความเพิ่มเติมเรื่อง FirePOWER ได้ตามด้านล่างนี้ครับ
เราจะตรวจสอบ ping จาก Cisco FMC (FirePOWER Management Center) ได้อย่างไร
https://www.ablenet.co.th/2022/12/03/fmcping
วิธีการทำ Rate Limit (Traffic Shaping) บน Cisco FirePOWER
https://www.ablenet.co.th/2018/02/05/fp-traffic-shaping
ที่มา: https://www.cisco.com/site/us/en/products/security/firewalls/firepower-1000-series/index.html
https://www.cisco.com/c/th_th/products/security/firewalls/index.html