# Network Security Infrastructure ## โครงสร้างพื้นฐานความปลอดภัยเครือข่าย **ผู้จัดทำ:** อรรถพล คงหวาน --- # Outline 1. ภาพรวมและวิวัฒนาการของ Firewall 2. ประเภทของ Firewall 3. Stateful vs Stateless Firewalls 4. Security Zones และ Network Topologies 5. Firewall Rules และ Policies 6. Network Segmentation และ VLANs 7. UFW — Uncomplicated Firewall 8. iptables — Advanced Firewall Configuration 9. nftables — Modern Firewall Framework 10. Lab — สร้าง DMZ และ Security Zones --- # 1. ภาพรวมและวิวัฒนาการของ Firewall --- ## Firewall คืออะไร? **Firewall** คืออุปกรณ์หรือซอฟต์แวร์ที่ทำหน้าที่: - ควบคุมการรับ-ส่งข้อมูลเครือข่ายตาม **กฎ (Rules)** ที่กำหนดไว้ล่วงหน้า - แบ่งแยกและปกป้องเครือข่ายภายในจากภัยคุกคามภายนอก - กรองข้อมูลตาม IP Address, Port, Protocol และ Application --- ## วิวัฒนาการของ Firewall <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'secondaryColor': '#3c3836', 'tertiaryColor': '#1d2021', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% flowchart TB subgraph era1["ยุคที่ 1: 1980s — Packet Filtering"] A["📦 Static Packet Filter - (กรองแพ็กเก็ตพื้นฐาน)"] end subgraph era2["ยุคที่ 2: 1990s — Stateful"] B["🔄 Stateful Inspection - (ตรวจสอบสถานะการเชื่อมต่อ)"] end subgraph era3["ยุคที่ 3: 2000s — Application Layer"] C["🖥️ Application Firewall - (WAF, Proxy-based)"] end subgraph era4["ยุคที่ 4: 2010s+ — NGFW"] D["🧠 Next-Gen Firewall - (DPI, IPS/IDS, AI)"] end A --> B --> C --> D style era1 fill:#3c3836,stroke:#fabd2f,color:#ebdbb2 style era2 fill:#3c3836,stroke:#b8bb26,color:#ebdbb2 style era3 fill:#3c3836,stroke:#83a598,color:#ebdbb2 style era4 fill:#3c3836,stroke:#d3869b,color:#ebdbb2 style A fill:#1d2021,stroke:#fabd2f,color:#fabd2f style B fill:#1d2021,stroke:#b8bb26,color:#b8bb26 style C fill:#1d2021,stroke:#83a598,color:#83a598 style D fill:#1d2021,stroke:#d3869b,color:#d3869b </pre> --- # 2. ประเภทของ Firewall --- ## 2.1 Packet Filtering Firewall ทำงานที่ **Layer 3–4** ตรวจสอบ Header ของแพ็กเก็ต: | คุณสมบัติ | รายละเอียด | |-----------|-----------| | **ตรวจสอบ** | Source/Dest IP, Port, Protocol | | **ความเร็ว** | สูงมาก (ไม่ต้องเก็บ state) | | **ความซับซ้อน** | ต่ำ | | **ข้อจำกัด** | ไม่รู้สถานะการเชื่อมต่อ | | **ตัวอย่าง** | ACL บน Router, iptables พื้นฐาน | --- ## 2.2 Stateful Inspection Firewall ติดตาม **สถานะการเชื่อมต่อ (Connection State)** ผ่าน **State Table** <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% stateDiagram-v2 [*] --> NEW : แพ็กเก็ตแรก (SYN) NEW --> ESTABLISHED : SYN-ACK ได้รับ ESTABLISHED --> RELATED : เปิด connection ใหม่ที่เกี่ยวข้อง ESTABLISHED --> CLOSE_WAIT : FIN ได้รับ RELATED --> ESTABLISHED : ส่งข้อมูลผ่าน CLOSE_WAIT --> [*] : การเชื่อมต่อสิ้นสุด ESTABLISHED --> INVALID : ผิดรูปแบบ INVALID --> [*] : DROP แพ็กเก็ต </pre> --- ## States หลักใน Netfilter/iptables | State | ความหมาย | |-------|----------| | **NEW** | แพ็กเก็ตเริ่มต้นการเชื่อมต่อใหม่ | | **ESTABLISHED** | แพ็กเก็ตเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่ | | **RELATED** | เกี่ยวข้องกับ connection ที่มีอยู่ (เช่น FTP data channel) | | **INVALID** | แพ็กเก็ตที่ไม่สามารถระบุ state ได้ | --- ## 2.3 Application Layer Firewall / WAF ทำงานที่ **Layer 7** ตรวจสอบเนื้อหาจริงของแพ็กเก็ต: - **Deep Packet Inspection (DPI)** — ตรวจสอบเนื้อหาอย่างละเอียด - **Protocol validation** — ตรวจสอบว่า traffic ตรง protocol spec - **Content filtering** — กรองเนื้อหาเว็บ, URL, keyword - **WAF** — ป้องกัน SQL Injection, XSS, CSRF --- ## 2.4 Next-Generation Firewall (NGFW) ความสามารถเพิ่มเติมจาก Firewall รุ่นก่อนหน้า: - **Integrated IPS/IDS** — ตรวจจับและป้องกันการบุกรุก - **Application awareness** — รู้จัก application ไม่ใช่แค่ port - **User identity tracking** — เชื่อมโยงกับ Active Directory - **SSL/TLS inspection** — ถอดรหัส HTTPS เพื่อตรวจสอบ - **Sandbox analysis** — วิเคราะห์ไฟล์น่าสงสัยใน sandbox --- ## เปรียบเทียบประเภท Firewall | ประเภท | Layer | State | DPI | IPS | ตัวอย่าง | |--------|-------|-------|-----|-----|---------| | Packet Filter | 3-4 | ❌ | ❌ | ❌ | ACL Router | | Stateful | 3-4 | ✅ | ❌ | ❌ | iptables | | App Layer | 7 | ✅ | ✅ | ❌ | Squid, ModSecurity | | NGFW | 2-7 | ✅ | ✅ | ✅ | Palo Alto, Fortinet | --- # 3. Stateful vs Stateless Firewalls --- ## หลักการทำงาน: Stateless vs Stateful <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% flowchart TB subgraph stateless["🔴 Stateless — ตรวจทุกแพ็กเก็ตแยกกัน"] P1["แพ็กเก็ต A - SYN"] --> R1{"ตรวจ Rules - เฉพาะ Header"} P2["แพ็กเก็ต B - ACK"] --> R2{"ตรวจ Rules - เฉพาะ Header"} R1 -->|"ALLOW/DENY"| OUT1["ผลลัพธ์"] R2 -->|"ALLOW/DENY"| OUT2["ผลลัพธ์"] end subgraph stateful["🟢 Stateful — จำสถานะการเชื่อมต่อ"] P3["แพ็กเก็ต A - SYN"] --> ST["State Table - (ตารางสถานะ)"] ST --> R3{"ตรวจ Rules - + State"} P4["แพ็กเก็ต B - ACK"] --> ST R3 -->|"ALLOW"| OUT3["ผลลัพธ์"] end style stateless fill:#3c3836,stroke:#fb4934,color:#ebdbb2 style stateful fill:#3c3836,stroke:#b8bb26,color:#ebdbb2 style ST fill:#1d2021,stroke:#fabd2f,color:#fabd2f </pre> --- ## การคำนวณหน่วยความจำ State Table <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>M</mi><mi>state</mi></msub> <mo>=</mo> <msub><mi>N</mi><mi>conn</mi></msub> <mo>×</mo> <msub><mi>S</mi><mi>entry</mi></msub> </mrow> </math> - **M_state** = หน่วยความจำสำหรับ State Table (bytes) - **N_conn** = จำนวน concurrent connections - **S_entry** = ขนาดของแต่ละ entry (200–350 bytes) --- ## ตัวอย่างการคำนวณ — Web Server **Web Server** มี concurrent connections = 50,000 และ entry size = 300 bytes: <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>M</mi><mi>state</mi></msub> <mo>=</mo> <mn>50,000</mn> <mo>×</mo> <mn>300</mn> <mo>=</mo> <mn>15,000,000</mn> <mtext> bytes</mtext> <mo>≈</mo> <mn>14.3</mn> <mtext> MB</mtext> </mrow> </math> **Enterprise** ที่มี 500,000 connections: <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>M</mi><mi>state</mi></msub> <mo>=</mo> <mn>500,000</mn> <mo>×</mo> <mn>300</mn> <mo>=</mo> <mn>150,000,000</mn> <mtext> bytes</mtext> <mo>≈</mo> <mn>143</mn> <mtext> MB</mtext> </mrow> </math> --- # 4. Security Zones และ Network Topologies --- ## แนวคิด Security Zones <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% flowchart TB INTERNET["🌐 Internet - (Untrusted Zone - Trust = 0)"] subgraph DMZ["🟡 DMZ - (Demilitarized Zone — Trust = 50)"] WEB["🖥️ Web Server"] MAIL["📧 Mail Server"] DNS["🔍 DNS Server"] end subgraph INTERNAL["🟢 Internal Network - (Trusted Zone — Trust = 100)"] PC["💻 User Workstations"] DB["🗄️ Database Server"] AD["🔑 Active Directory"] end subgraph MGMT["🔵 Management Zone - (Restricted — Trust = 75)"] FW_MGMT["⚙️ Firewall Console"] SIEM["📊 SIEM/Log Server"] end INTERNET -->|"HTTP/HTTPS - SMTP"| DMZ DMZ -->|"DB Queries - (Filtered)"| DB style DMZ fill:#3c3836,stroke:#fabd2f,color:#ebdbb2 style INTERNAL fill:#3c3836,stroke:#b8bb26,color:#ebdbb2 style MGMT fill:#3c3836,stroke:#83a598,color:#ebdbb2 style INTERNET fill:#1d2021,stroke:#fb4934,color:#fb4934 </pre> --- ## DMZ — Demilitarized Zone **DMZ** คือโซนกลางระหว่าง Internet และเครือข่ายภายใน รองรับ **Public-facing Services**: - **Web Servers** — เว็บไซต์สาธารณะ - **Mail Relay Servers** — รับ-ส่งอีเมลจากภายนอก - **Public DNS Servers** — ให้บริการ DNS resolution - **Bastion Hosts** — จุดเชื่อมต่อสำหรับ admin จากภายนอก --- ## โทโพโลยี Dual-Homed DMZ <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% flowchart TB I["🌐 Internet"] FW1["🔥 Firewall ภายนอก - (Outer Firewall)"] FW2["🔥 Firewall ภายใน - (Inner Firewall)"] subgraph DMZ_ZONE["🟡 DMZ"] WEB["Web Server - 192.168.1.10"] SMTP["Mail Server - 192.168.1.20"] end subgraph INT_ZONE["🟢 Internal Network"] APP["App Server - 10.0.0.10"] DB["Database - 10.0.0.20"] CLIENT["Clients - 10.0.0.0/24"] end I --> FW1 --> DMZ_ZONE --> FW2 --> INT_ZONE style DMZ_ZONE fill:#3c3836,stroke:#fabd2f,color:#ebdbb2 style INT_ZONE fill:#3c3836,stroke:#b8bb26,color:#ebdbb2 style FW1 fill:#1d2021,stroke:#fb4934,color:#fb4934 style FW2 fill:#1d2021,stroke:#fb4934,color:#fb4934 </pre> --- # 5. Firewall Rules และ Policies --- ## Golden Rules ของ Firewall Policy 1. **Default Deny** — ปฏิเสธทุกอย่างโดย default แล้วค่อยเปิดที่จำเป็น 2. **Least Privilege** — เปิดเฉพาะสิ่งที่จำเป็นสำหรับการทำงาน 3. **Rule Ordering** — กฎที่เข้มงวดกว่าต้องอยู่ก่อน 4. **Logging** — บันทึก traffic ที่ถูก deny และที่น่าสงสัย 5. **Regular Review** — ตรวจสอบและอัปเดตกฎเป็นระยะ --- ## ตัวอย่าง Firewall Rule Table | Rule # | Direction | Source | Destination | Port/Proto | Action | Log | |--------|-----------|--------|-------------|------------|--------|-----| | 1 | IN | Any | 192.168.1.10 | 80/TCP | ALLOW | NO | | 2 | IN | Any | 192.168.1.10 | 443/TCP | ALLOW | NO | | 3 | IN | 10.0.0.0/8 | Any | 22/TCP | ALLOW | YES | | 4 | IN | Any | Any | 22/TCP | DENY | YES | | 5 | OUT | 10.0.0.0/8 | Any | Any | ALLOW | NO | | 99 | ANY | Any | Any | Any | DENY | YES | --- ## การคำนวณ Firewall Throughput <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>T</mi><mi>effective</mi></msub> <mo>=</mo> <msub><mi>T</mi><mi>hardware</mi></msub> <mo>×</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <msub><mi>O</mi><mi>inspection</mi></msub> <mo>)</mo> </mrow> </mrow> </math> **ตัวอย่าง:** T_hardware = 10 Gbps, DPI overhead = 30%: <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>T</mi><mi>effective</mi></msub> <mo>=</mo> <mn>10</mn> <mo>×</mo> <mrow><mo>(</mo><mn>1</mn><mo>-</mo><mn>0.30</mn><mo>)</mo></mrow> <mo>=</mo> <mn>7</mn> <mtext> Gbps</mtext> </mrow> </math> --- # 6. Network Segmentation และ VLANs --- ## แนวคิด Network Segmentation **Network Segmentation** คือการแบ่งเครือข่ายขนาดใหญ่ออกเป็นส่วนย่อย: - **จำกัดการแพร่กระจายภัยคุกคาม** — ป้องกัน Lateral Movement - **ลด Attack Surface** — ลดพื้นที่ที่ผู้โจมตีเข้าถึง - **ปรับปรุงประสิทธิภาพ** — ลด broadcast domain - **ปฏิบัติตามกฎระเบียบ** — PCI-DSS, HIPAA ต้องการการแบ่งแยก --- ## VLAN — Virtual Local Area Network <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% flowchart TB subgraph SW["Physical Switch (สวิตช์จริง 1 ตัว)"] subgraph VLAN10["VLAN 10 — HR - 10.10.10.0/24"] H1["💻 HR-PC1"] H2["💻 HR-PC2"] end subgraph VLAN20["VLAN 20 — Finance - 10.20.20.0/24"] F1["💻 Finance-PC1"] F2["🖨️ Finance-Printer"] end subgraph VLAN30["VLAN 30 — IT - 10.30.30.0/24"] I1["🖥️ Server1"] I2["🖥️ Server2"] end end ROUTER["🔀 Layer 3 Router/Switch - (Inter-VLAN Routing)"] VLAN10 <-->|"Trunk Port - 802.1Q"| ROUTER VLAN20 <-->|"Trunk Port - 802.1Q"| ROUTER VLAN30 <-->|"Trunk Port - 802.1Q"| ROUTER style VLAN10 fill:#3c3836,stroke:#83a598,color:#ebdbb2 style VLAN20 fill:#3c3836,stroke:#fabd2f,color:#ebdbb2 style VLAN30 fill:#3c3836,stroke:#d3869b,color:#ebdbb2 style SW fill:#1d2021,stroke:#504945,color:#a89984 style ROUTER fill:#1d2021,stroke:#b8bb26,color:#b8bb26 </pre> --- ## IEEE 802.1Q VLAN Tagging เพิ่ม **4-byte Tag** เข้าไปใน Ethernet frame: | Field | ขนาด | ความหมาย | |-------|------|----------| | **TPID** | 2 bytes | Tag Protocol Identifier (0x8100) | | **PCP** | 3 bits | Priority Code Point (QoS) | | **DEI** | 1 bit | Drop Eligible Indicator | | **VID** | 12 bits | VLAN ID (1–4094) | **จำนวน VLAN สูงสุด:** <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <msub><mi>N</mi><mi>VLAN</mi></msub> <mo>=</mo> <msup><mn>2</mn><mn>12</mn></msup> <mo>=</mo> <mn>4,096</mn> <mtext> VLANs</mtext> </mrow> </math> --- # 7. UFW — Uncomplicated Firewall --- ## ภาพรวมสถาปัตยกรรม UFW <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% flowchart TB USER["👤 ผู้ใช้งาน - (Admin)"] UFW["🛡️ UFW - (/usr/sbin/ufw)"] subgraph RULES["UFW Rule Files"] URULES["/etc/ufw/user.rules"] USER6["/etc/ufw/user6.rules"] BEFORE["/etc/ufw/before.rules"] AFTER["/etc/ufw/after.rules"] end IPTABLES["⚙️ iptables / ip6tables - (Kernel Netfilter)"] KERNEL["🐧 Linux Kernel - Netfilter Framework"] USER -->|"คำสั่ง ufw"| UFW UFW -->|"แปลงเป็น rules"| RULES RULES -->|"โหลด rules"| IPTABLES IPTABLES -->|"จัดการ packet"| KERNEL style UFW fill:#1d2021,stroke:#fabd2f,color:#fabd2f style RULES fill:#3c3836,stroke:#83a598,color:#ebdbb2 style IPTABLES fill:#1d2021,stroke:#b8bb26,color:#b8bb26 style KERNEL fill:#1d2021,stroke:#d3869b,color:#d3869b </pre> --- ## การติดตั้งและเริ่มต้นใช้งาน UFW ```bash # ติดตั้ง UFW sudo apt update && sudo apt install ufw -y # Debian/Ubuntu sudo dnf install ufw -y # Fedora/RHEL sudo pacman -S ufw # Arch Linux # ตรวจสอบสถานะ sudo ufw status verbose sudo ufw status numbered # เปิด/ปิด/โหลด sudo ufw enable sudo ufw disable sudo ufw reload sudo ufw reset ``` --- ## ตั้งค่า Default Policy ```bash # ต้องทำก่อนเปิด UFW เสมอ sudo ufw default deny incoming # ปฏิเสธขาเข้าทั้งหมด sudo ufw default allow outgoing # อนุญาตขาออก sudo ufw default deny forward # ปฏิเสธ forwarding # ตรวจสอบ sudo ufw status verbose | grep "Default" ``` --- ## กรณีที่ 1 — Web Server พื้นฐาน ```bash # อนุญาต HTTP, HTTPS และ SSH sudo ufw allow ssh sudo ufw allow http sudo ufw allow https # หรือระบุ port โดยตรง sudo ufw allow 22/tcp sudo ufw allow 80/tcp sudo ufw allow 443/tcp # ใช้ Application Profile sudo ufw allow 'Nginx Full' sudo ufw allow 'Apache Full' ``` --- ## กรณีที่ 2 — จำกัด SSH จาก IP เฉพาะ ```bash # อนุญาต SSH จาก IP เฉพาะ sudo ufw allow from 203.0.113.10 to any port 22 # อนุญาต SSH จาก subnet VPN admin sudo ufw allow from 10.10.10.0/24 to any port 22 proto tcp # ปฏิเสธ SSH จากทุกที่อื่น sudo ufw deny 22/tcp # UFW ประมวลผล rules ตามลำดับ — rule แรกที่ match จะถูกใช้ ``` --- ## กรณีที่ 3 — Database Server (Internal เท่านั้น) ```bash # MySQL — อนุญาตเฉพาะ LAN sudo ufw allow from 10.0.0.0/8 to any port 3306 proto tcp sudo ufw deny 3306/tcp # PostgreSQL — เฉพาะ app server sudo ufw allow from 10.0.1.50 to any port 5432 proto tcp sudo ufw deny 5432/tcp # Redis — ปิดจากภายนอก sudo ufw deny 6379/tcp # MongoDB sudo ufw allow from 10.0.0.0/24 to any port 27017 proto tcp sudo ufw deny 27017/tcp ``` --- ## กรณีที่ 4 — Mail Server ```bash # SMTP รับอีเมลจากภายนอก sudo ufw allow 25/tcp # SMTP Submission จาก clients sudo ufw allow 587/tcp # SMTPS over SSL sudo ufw allow 465/tcp # IMAPS over SSL sudo ufw allow 993/tcp # POP3S over SSL sudo ufw allow 995/tcp # ปิด POP3 ที่ไม่เข้ารหัส sudo ufw deny 110/tcp ``` --- ## กรณีที่ 5 — Rate Limiting ป้องกัน Brute Force ```bash # บล็อก IP ที่ connect มากกว่า 6 ครั้งใน 30 วินาที sudo ufw limit ssh sudo ufw limit 22/tcp # ตรวจสอบ sudo ufw status verbose | grep LIMIT # Rate limit RDP sudo ufw limit 3389/tcp # ดู iptables rules ที่ UFW สร้าง sudo iptables -L ufw-user-limit -n -v ``` --- ## กรณีที่ 6 — Block IP ที่น่าสงสัย ```bash # บล็อก IP เฉพาะ sudo ufw deny from 192.168.100.50 # บล็อกทั้ง subnet sudo ufw deny from 10.20.0.0/16 # บล็อก IP จาก port เฉพาะ sudo ufw deny from 198.51.100.5 to any port 80 # ลบการบล็อก sudo ufw status numbered sudo ufw delete [rule_number] sudo ufw delete deny from 192.168.100.50 ``` --- ## กรณีที่ 7 — Docker และ UFW ```bash # ปัญหา: Docker bypass UFW rules โดยแก้ iptables โดยตรง # วิธีแก้ 1: เพิ่มใน /etc/ufw/after.rules *filter :DOCKER-USER - [0:0] -A DOCKER-USER -j ufw-user-forward -A ufw-user-forward -o docker0 -p tcp -d 172.17.0.0/16 \ --dport 3306 -j ACCEPT -A ufw-user-forward -o docker0 -j DROP COMMIT # วิธีแก้ 2: ปิด iptables ของ Docker # /etc/docker/daemon.json: { "iptables": false } ``` --- ## กรณีที่ 8 — UFW Logging ```bash # ระดับการ Log sudo ufw logging low # เฉพาะ blocked packets sudo ufw logging medium # blocked + invalid sudo ufw logging high # ทุกอย่าง sudo ufw logging full # ทุก packet รวม accepted sudo ufw logging off # ปิด logging # ดู log sudo tail -f /var/log/ufw.log sudo grep "BLOCK" /var/log/ufw.log | tail -20 # วิเคราะห์ IP ที่ถูกบล็อกมากที่สุด sudo grep "BLOCK" /var/log/ufw.log | \ grep -oP 'SRC=\K[0-9.]+' | sort | uniq -c | sort -rn | head -10 ``` --- ## กรณีที่ 9 — WireGuard VPN Server ```bash # อนุญาต WireGuard port sudo ufw allow 51820/udp # เปิด IP forwarding echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf sudo sysctl -p # เพิ่ม NAT rules ใน /etc/ufw/before.rules *nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # เปิด DEFAULT_FORWARD_POLICY sudo sed -i 's/DEFAULT_FORWARD_POLICY="DROP"/ \ DEFAULT_FORWARD_POLICY="ACCEPT"/' /etc/default/ufw ``` --- ## กรณีที่ 10 — การจัดการ Rules ขั้นสูง ```bash # ดู rules พร้อมเลขลำดับ sudo ufw status numbered # ลบ rule ด้วยเลขลำดับ sudo ufw delete 3 # แทรก rule ที่ตำแหน่งแรก sudo ufw insert 1 allow from 10.0.0.1 to any port 22 # ดู rules ในรูปแบบ iptables sudo ufw show raw # Backup rules sudo cp /etc/ufw/user.rules /etc/ufw/user.rules.backup ``` --- ## Python Script — ตั้งค่า UFW อัตโนมัติ (ส่วนที่ 1) ```python def setup_web_server_firewall( admin_ips: List[str], enable_https: bool = True, enable_mail: bool = False ) -> bool: # รีเซ็ต UFW run_ufw_command(['--force', 'reset']) # ตั้งค่า Default Policy run_ufw_command(['default', 'deny', 'incoming']) run_ufw_command(['default', 'allow', 'outgoing']) # เปิด SSH เฉพาะ admin IPs for ip in admin_ips: run_ufw_command(['allow', 'from', ip, 'to', 'any', 'port', '22', 'proto', 'tcp']) run_ufw_command(['deny', '22/tcp']) ``` --- ## Python Script — ตั้งค่า UFW อัตโนมัติ (ส่วนที่ 2) ```python # เปิด HTTP/HTTPS run_ufw_command(['allow', '80/tcp']) if enable_https: run_ufw_command(['allow', '443/tcp']) # Rate Limiting + Logging run_ufw_command(['limit', 'ssh']) run_ufw_command(['logging', 'medium']) # เปิดใช้งาน UFW run_ufw_command(['--force', 'enable']) # การใช้งาน ADMIN_IPS = ['203.0.113.10', '10.10.10.0/24', '198.51.100.5'] setup_web_server_firewall(admin_ips=ADMIN_IPS, enable_https=True) ``` --- ## สรุปคำสั่ง UFW ที่ใช้บ่อย | หมวดหมู่ | คำสั่ง | คำอธิบาย | |---------|--------|----------| | **สถานะ** | `ufw status verbose` | ดู rules ทั้งหมด | | **Default** | `ufw default deny incoming` | ปฏิเสธขาเข้า | | **Allow** | `ufw allow 80/tcp` | เปิด port 80 | | **Allow** | `ufw allow from X to any port 22` | SSH จาก IP X | | **Deny** | `ufw deny from 1.2.3.4` | บล็อก IP | | **Limit** | `ufw limit ssh` | Rate limit SSH | | **Delete** | `ufw delete [N]` | ลบ rule | | **Log** | `ufw logging medium` | เปิด logging | | **Reset** | `ufw --force reset` | รีเซ็ต rules | --- # 8. iptables — Advanced Firewall Configuration --- ## โครงสร้าง iptables — Tables และ Chains <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% flowchart LR PKT_IN["📦 Packet ขาเข้า"] LOCAL["🖥️ Local Process"] PKT_OUT["📤 Packet ขาออก"] subgraph FILTER["Table: filter ⭐"] INPUT_F["INPUT"] FORWARD_F["FORWARD"] OUTPUT_F["OUTPUT"] end subgraph NAT_T["Table: nat"] PREROUTE_N["PREROUTING (DNAT)"] POSTROUTE_N["POSTROUTING (SNAT)"] end PKT_IN --> PREROUTE_N PREROUTE_N -->|"Local"| INPUT_F --> LOCAL PREROUTE_N -->|"Forward"| FORWARD_F --> POSTROUTE_N --> PKT_OUT LOCAL --> OUTPUT_F --> POSTROUTE_N style FILTER fill:#3c3836,stroke:#fabd2f,color:#ebdbb2 style NAT_T fill:#3c3836,stroke:#83a598,color:#ebdbb2 </pre> --- ## คำสั่ง iptables พื้นฐาน ```bash # ดู rules ทั้งหมด sudo iptables -L -n -v --line-numbers # เพิ่ม rule อนุญาต sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Stateful inspection sudo iptables -A INPUT -m state \ --state ESTABLISHED,RELATED -j ACCEPT # บล็อก IP sudo iptables -A INPUT -s 192.168.1.100 -j DROP # ตั้ง Default Policy sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT ACCEPT ``` --- ## บันทึกและโหลด iptables Rules ```bash # บันทึก rules sudo iptables-save > /etc/iptables/rules.v4 sudo ip6tables-save > /etc/iptables/rules.v6 # โหลด rules จากไฟล์ sudo iptables-restore < /etc/iptables/rules.v4 # ดู table เฉพาะ sudo iptables -t filter -L -n -v sudo iptables -t nat -L -n -v sudo iptables -t mangle -L -n -v ``` --- # 9. nftables — Modern Firewall Framework --- ## ภาพรวม nftables **nftables** มาแทน iptables ใน Linux kernel สมัยใหม่ (Kernel 3.13+): - **Unified framework** — แทน iptables, ip6tables, arptables, ebtables - **Better performance** — ใช้ Just-in-time (JIT) compilation - **Atomic rule updates** — อัปเดต rules แบบ atomic ไม่มี race condition - **Cleaner syntax** — อ่านและเข้าใจง่ายกว่า iptables --- ## คำสั่ง nftables ```bash # ดู ruleset ทั้งหมด sudo nft list ruleset # สร้าง table และ chains sudo nft add table inet filter sudo nft add chain inet filter input \ { type filter hook input priority 0 \; policy drop \; } sudo nft add chain inet filter output \ { type filter hook output priority 0 \; policy accept \; } # เพิ่ม rules sudo nft add rule inet filter input \ ct state established,related accept sudo nft add rule inet filter input \ tcp dport { 22, 80, 443 } accept # บันทึก config sudo nft list ruleset > /etc/nftables.conf sudo systemctl enable nftables ``` --- # 10. Lab — สร้าง DMZ และ Security Zones --- ## สถาปัตยกรรม Lab Environment <pre class="mermaid"> %%{init: {'theme': 'base', 'themeVariables': { 'primaryColor': '#282828', 'primaryTextColor': '#ebdbb2', 'primaryBorderColor': '#504945', 'lineColor': '#a89984', 'background': '#282828', 'mainBkg': '#282828', 'nodeBorder': '#504945', 'clusterBkg': '#32302f', 'titleColor': '#fabd2f', 'edgeLabelBackground': '#3c3836', 'fontFamily': 'monospace' }}}%% flowchart TB INET["🌐 Simulated Internet - 172.16.0.0/24"] subgraph GW["🔥 Linux Gateway (Ubuntu 22.04 — 3 NICs)"] ETH0["eth0: 172.16.0.1 (WAN)"] ETH1["eth1: 192.168.1.1 (DMZ)"] ETH2["eth2: 10.0.0.1 (LAN)"] end subgraph DMZ_LAB["🟡 DMZ Network - 192.168.1.0/24"] WEB_LAB["🖥️ Web Server - 192.168.1.10"] FTP_LAB["📁 FTP Server - 192.168.1.20"] end subgraph LAN_LAB["🟢 Internal LAN - 10.0.0.0/24"] PC_LAB["💻 Client PC - 10.0.0.100"] DB_LAB["🗄️ DB Server - 10.0.0.200"] end INET --> ETH0 ETH1 --- DMZ_LAB ETH2 --- LAN_LAB style DMZ_LAB fill:#3c3836,stroke:#fabd2f,color:#ebdbb2 style LAN_LAB fill:#3c3836,stroke:#b8bb26,color:#ebdbb2 style GW fill:#1d2021,stroke:#fb4934,color:#fb4934 </pre> --- ## Lab Setup — ขั้นตอนที่ 1: Gateway ```bash # เปิด IP Forwarding sudo sysctl -w net.ipv4.ip_forward=1 echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf # กำหนดค่า network interfaces sudo ip addr add 172.16.0.1/24 dev eth0 sudo ip addr add 192.168.1.1/24 dev eth1 sudo ip addr add 10.0.0.1/24 dev eth2 ``` --- ## Lab Setup — ขั้นตอนที่ 2: UFW สำหรับ DMZ ```bash sudo ufw --force reset sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw default deny forward # Internet → DMZ Web Server sudo ufw route allow in on eth0 out on eth1 \ proto tcp to 192.168.1.10 port 80 sudo ufw route allow in on eth0 out on eth1 \ proto tcp to 192.168.1.10 port 443 # DMZ → Internal DB (MySQL เท่านั้น) sudo ufw route allow in on eth1 out on eth2 \ proto tcp from 192.168.1.10 to 10.0.0.200 port 3306 ``` --- ## Lab Setup — ขั้นตอนที่ 3: NAT ```bash # เพิ่มใน /etc/ufw/before.rules cat << 'EOF' | sudo tee -a /etc/ufw/before.rules *nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE COMMIT EOF # อนุญาต Internal LAN ออก Internet sudo ufw route allow in on eth2 out on eth0 sudo ufw enable sudo ufw status verbose ``` --- ## สรุป — Network Security Infrastructure - **Firewalls** วิวัฒนาการจาก Packet Filtering → Stateful → NGFW - **Security Zones** สร้างชั้นการป้องกัน (Layered Defense) ด้วย DMZ - **VLAN** ลด Attack Surface และป้องกัน Lateral Movement - **UFW** เครื่องมือที่ทรงพลังและง่ายสำหรับ Linux Firewall - **iptables/nftables** ให้ความยืดหยุ่นสูงสำหรับ Advanced Configuration > 💡 **หัวใจสำคัญ:** **Default Deny** — ปฏิเสธทุกอย่างก่อน แล้วค่อยเปิดตามหลัก **Least Privilege** --- ## เอกสารอ้างอิง 1. NIST SP 800-41 Rev 1 — *Guidelines on Firewalls and Firewall Policy*, 2009 2. Ubuntu Documentation — *UFW - Uncomplicated Firewall*, Canonical Ltd. 3. The Linux Documentation Project — *Linux iptables HOWTO*, netfilter.org 4. nftables Wiki — *nftables: replace iptables*, wiki.nftables.org 5. IEEE 802.1Q-2018 — *Bridges and Bridged Networks*, IEEE 6. Cheswick, Bellovin, Rubin — *Firewalls and Internet Security*, Addison-Wesley 7. Stallings, W. — *Network Security Essentials*, 6th Ed., Pearson 8. OWASP — *Web Application Firewall (WAF)*, owasp.org --- # คำถาม - ข้อสงสัย <img src="/revealjs/pics/Designer2.png" width="55%" />