ในการทำงานกับไฟร์วอลล์ เรื่องการ Backup เป็นอีกเรื่องหนึ่งที่สำคัญกับผู้ดูแลระบบหรือแม้ผู้ติดตั้งระบบอย่างมาก ถ้าหากสมมติว่า เกิดเหตุสุดวิสัยจริงๆ ไฟร์วอลล์เราเกิด Harddisk เสียขึ้นมา แล้วเราจำเป็นจะต้องกู้คืนระบบกลับมาให้เร็วที่สุด แล้วบังเอิญว่าไม่มีไฟล์ Backup ด้วย เราจะทำยังไงให้ระบบกลับมาทำงานได้เหมือนเดิม อันดับแรกเลยก็ต้องเปลี่ยน Harddisk แล้วลงระบบปฏิบัติการใหม่ใช่ไหมครับ จากนั้นเราก็ต้องเข้าไปนั่งคอนฟิกทีละเมนู ทีละบรรทัด จนกว่าจะครบ ซึ่งก่อให้เกิดการเสียเวลาอย่างมาก และเสี่ยงต่อการคอนฟิกผิดพลาดด้วย ดังนั้นในบทความนี้ผมจะเสนอวิธีการ Backup การตั้งค่าอุปกรณ์ของเราเอาไว้ ครับ

ไปที่คำสั่ง Diagnostics เลือก Backup/Restore

วิธีการเลือกเมนู


Continue reading

กฎ (Rule) เป็นส่วนประกอบหลักของ Firewall ที่ใช้ในการบังคับกฎเกณฑ์ต่างๆให้กับระบบ ซึ่งกฎที่มีใน pfSense ค่อนข้างจะยืดหยุ่น โดยเราจะใช้กฎนี้ในการกำหนดสิทธิ์การเข้าถึงทรัพยากร (Resource) บนเครือข่ายของเรา ถ้าเปรียบเทียบกับชีวิตจริงก็เสมือนกับพนักงานรักษาความปลอดภัยประจำอาคาร ซึ่งจะต้องมีการตรวจสอบ ค้นตัว เป็นลำดับขั้นๆ ส่วน Resource ก็เหมือนอาคารที่เก็บเอกสารที่เราต้องการจะเข้าถึงนั่นเอง โดยกฎที่ของ Firewall จะทำงานจากบนลงล่าง ผมแนะนำว่าควรจะใส่กฎที่ห้าม (Denied) ไว้บนสุดเสมอ ส่วนกฎอนุญาต(Allow) ไว้ด้านล่าง ตัวอย่างเช่น

ตัวอย่างไดอะแกรม

จากภาพ เป้าหมายของเราคือ ไม่ให้เครื่องจากวง IP ต้นทาง 192.168.27.0/24 (192.168.27.1 – 192.168.27.254) ไปยัง วง IP 192.168.37.0/24 (192.168.37.1-192.168.37.254) ผ่าน Port 80 (HTTP)


Continue reading

Aliases คือคำสั้นๆที่ใช้ในการอ้างอิงกลุ่มของ IP, Port หรือ Network ต่างๆ ในการจัดการกับ Rule ต่างๆบน Firewall เป็นเรื่องที่ค่อนข้างจะซับซ้อนและละเอียดอ่อน ในระบบเล็กๆมี IP แค่ไม่กี่เบอร์เราอาจจะไม่ใช้ Aliases ได้ ถ้าระบบเราใหญ่ขึ้นแล้วเราไม่ใช้ Aliases จะทำให้เกิดความสับสนอย่างมากต่อผู้ดูแลระบบ (Administrator) อาจจะส่งผลให้เกิดการคอนฟิกที่ผิดพลาด เป็นช่องโหว่ระบบที่ทำให้ Hacker อาศัยช่องโหว่นี้มาโจมตีระบบเรา ซึ่งแบบนี้ไม่ดีแน่ เราจะใช้ Aliases เพื่อลดความยุ่งยากในการบริหารจัดการ Rule บน Firewall ลงไป

ตัวอย่างปัญหา เช่น เรามี Web Server 3 ตัวดังนี้

  • WebServer#1 -> IP 192.168.27.254
  • WebServer#2 -> IP 192.168.27.253
  • WebServer#3 -> IP 192.168.27.252


Continue reading

ในครั้งที่แล้วเราได้รู้วิธี คอนฟิก IP Address บน pfSense ผ่าน Web UI ไปแล้ว วันนี้เรามาดูวิธีคอนฟิกผ่าน command line กันบ้าง เราสามารถเปลี่ยนแปลงค่า IP Address หรือค่าคอนฟิกกูเรชันต่างๆ ผ่านทาง Console ได้ ซึ่งจะใช้เป็นแบบ Text mode หรือ Command Line
และเรายังใช้ตัว Console นี้ในการ Troubleshooting ปัญหาได้ ซึ่งค่อนข้างจะละเอียดกว่า web ui อีกด้วย

วันนี้ผมจะมานำเสนอการ ตั้งค่า IP Address แบบใช้ Console กันครับ

1

งานแรกของเราคือ เราจะต้อง Assign Interface ให้ระบบรู้จักกันก่อน


Continue reading

IP address เป็นส่วนสำคัญที่อาจจะเรียกได้ว่าเป็นสิ่งที่สำคัญที่สุดส่วนหนึ่งในระบบเครือข่ายปัจจุบัน เพราะทุกครั้งที่เครื่องเราอยากที่จะคุยกับเครื่องคอมพิวเตอร์เครื่องอื่น เราจำเป็นจะต้องใช้ IP Address ในการคุยแทบทุกครั้ง ถ้าเปรียบเทียบกับชีวิตจริง ก็คงเป็นบ้านเลขที่ของเรา ส่วนระบบเครือข่ายเป็นเหมือนบุรุษไปรษณีย์

เข้าเรื่องกันเลยดีกว่าครับ ระบบเครือข่ายเล็กๆ ที่ผมทำการสร้างขึ้นนี้จะประกอบไปด้วย

  • Router : ในส่วนนี้ขาที่ต่อกับ pfSense ผมจะกำหนดเป็น 192.168.169.x/24 ครับ แต่เครื่องของท่านผู้อ่านก็ไม่จำเป็นจะต้องได้ IP ตามผมนะ มันขึ้นอยู่กับการตั้งค่าบน Router
  • Firewall : จะเป็นพระเอกของงานนี้เลยก็ว่าได้ นั่นก็คือตัว pfSense นั่นเอง และจำทำหน้าที่เป็น Gateway ของเครื่องคอมพิวเตอร์เราด้วย
  • Switch : ผมใช้เป็น Switch L2 ธรรมดา หรืออาจจะใช้เป็น HUB ก็ไม่ผิดกติกา ผมจะใช้ IP วง 192.168.27.x/24


Continue reading

pfSense เป็นโปรเจ็คที่พัฒนาโดย Chris Buechler และ Scott Ullrich ถูกพัฒนาขึ้นจาก Linux สายพันธ์ FreeBSD เมื่อปี 2004 จุดประสงค์เพื่อใช้งานเป็นไฟร์วอล์ และเราเตอร์ และต้องสามารถจัดการตัวอุปกรณ์ ได้ผ่านหน้า Browser (IE, Firefox, Chrome ฯลฯ) ได้ และด้วยเนื่องจากตัว pfSense ถูกพัฒนามาจาก Linux ทำให้เราสามารถใช้มันได้ฟรี แบบไม่ต้องกลัวเรื่อง License อีกต่อไป

ถ้าหากเราต้องการที่จะหาไฟร์วอล์ตัวนึง ที่สามารถใช้งานได้ค่อนข้างที่เกือบจะเทียบเท่าตัวที่เป็นแบบ Next Generation Firewall แบบ Enterprise ที่ใช้กันตามบริษัทต่างๆ (ตอนนี้ตามตลาดไฟร์วอลระดับสูง ก็จะเป็นพวก Paloato, Checkpoint, Cisco, Juniper, Fortinet เป็นต้น) ผมแนะนำตัว pfSense เลยครับ เพราะแค่เรามีตัวเครื่องคอมพิวเตอร์ และ OS ของ pfSense แค่นี้เราก็สามารถมีไฟร์วอล ใช้ในองค์กร หรือแม้กระทั่งในบ้านเราได้อย่างไม่ยากเย็นเลย ซึ่งในเดือนธันวาคม ปี 2013 มียอดการติดตั้งตัว pfSense ถึง 200,000 เครื่อง ทั่วโลก

Feature เด่น ของ pfSense

  • เป็น Stateful Firewall
  • ควบคุมการผ่านเข้าออกของทราฟฟิกด้วย source และ destination IP address, Protocol, Port
  • จำกัด Connection ต่อ 1 Rule ได้
  • มีระบบ OS/Networking fingerprinting ควบคุมการเข้าใช้งานระบบด้วย OS ตัวอย่างเช่น เราจะจำกัดเพียงแค่ ระบบปฏิบัติการ Windows เท่านั้นให้เข้าถึงเครือข่ายภายใน ส่วน Linux ให้ Block ได้
  • สามารถ Log Traffic บนแต่ละ rule ได้ เพื่อใช้ในการเก็บ Log ตาม พรบ. คอมพิวเตอร์
  • สามารถทำ Policy Routing ได้
  • ใช้ Aliases ในการจัดกลุ่ม Port, IP Address, Network ทำให้ง่ายต่อการจัดการกับ rule ของไฟร์วอล์
  • เลือกเป็นโหมด Transparent ได้ (โหมดนี้จะไม่ต้องไปแก้ไขระบบเดิมเลย เพียงแค่นำไปวางขวาง)
  • การทำ NAT (1:1, Outbound NAT, NAT Reflection)
  • รองรับการทำ HA (High Availability)
  • Multi WAN ใช้หลายๆขา internet ในการออกเข้าสู่ภายนอกได้
  • Server Loadbalancing
  • รองรับการทำ VPN (IPsec, OpenVPN, PPTP)
  • สนับสนุนการทำ Report และ Monitoring, Dynamic DNS, DHCP Server และ PPPoE Server


Continue reading