การสร้าง Firewall Rules จาก Wireshark Packet

วันนี้ขอนำเสนอการใช้งาน Wireshark เพื่อนำมาใช้สร้าง Firewall Rules กันแบบง่ายๆกันครับ

โดยทั่วไปแล้วคนที่ทำงานด้าน Network จะไม่ค่อยถูกโรคกับการทำงานด้าน Security มากนัก ในบางครั้งการสร้าง Access Control List (ACL) หรือจะให้สร้าง Firewall Rule บน Firewall ขึ้นมาเอง ซึ่งจะต้องคิดทั้ง IP ต้นทางปลายทาง Protocol และ Port ต่างๆ จะเห็นได้ว่าค่าที่เกี่ยวข้องก็จะเยอะพอสมควร ซึ่งคนที่ทำงานด้าน Network เองก็อาจจะมีงงๆกันบ้าง ไหนจะเป็นรูปแบบการใส่คำสั่งบนอุปกรณ์ยี่ห้อต่างๆที่ไม่เหมือนกันอีก แบบนี้ก็ทำให้เกิดความงุนงงสับสนได้ง่ายๆ ^^”

ดังนั้นแนวทางการแก้ปัญหาของคนที่ไม่เก่งก็คือการใช้เครื่องมือมาช่วยครับ และแน่นอนเพจเราตอนนี้กะลังเขียนเรื่อง Wireshark อยู่เรามาใช้ Wireshark ในการช่วยในการสร้าง ACL หรือ Firewall Rule กันครับ

หมายเหตุ: Packet ตัวอย่างผมใช้งาน Internet ตามปกติ ดังนั้นทุกคนก็สามารถลองทำตามเองได้ บทความนี้เน้นให้ idea และให้รู้จักการใช้เมนูของ Wireshark เท่านั้น การใช้งานจริงจะต้องมีการเก็บ Packet ที่ต้องการจากหน้างานจริงนะครับ

แนวคิดในการสร้าง Firewall Rule จะต้องมี IP ต้นทางปลายทาง Protocol และ Port ตามที่บอกไว้ก่อนหน้านี้แล้ว จากใน Packet ตัวอย่างที่มีรอบสีแดงจะเห็นว่า Wireshark มีข้อมูลตามที่บอกไว้แล้ว ที่นี้ก็ง่ายแล้วครับ

กรณีสมุมติ ถ้าเรามองว่า Packet ที่มากจาก IP address 61.90.189.208 มีการส่งข้อมูลที่ผิดปกติเข้ามาที่เครื่อง Client IP address 192.168.43.197 โดยใช้ UDP Port 60674 ถ้าเราต้องการสร้าง Firewall Rule เพื่อ Drop packet จาก Source 61.90.189.208 เราจะสร้าง Firewall Rule โดยใช้ IPFilter โดยใช้งานคำสั่งอะไรบ้าง???

กรณี่ถ้าต้องการสร้าง IPFilter Rule อันนี้ผมเองก็ไม่รอดแน่นอนเพราะ ใช้ IPFilter ไม่เป็นครับ!!!

แต่เรามี Wireshark แล้ว และเราก็เจอ Packet ที่เราคิดแล้วว่าจะ Drop packet นั้นมาแล้วขั้นตอนต่อไปก็ไปที่เมนูนี้ครับ

Tools -> Firewall ACL Rules ตามรูปด้านบนครับ แค่ชื่อเมนูก็ยิ้มแล้วครับ เรามาถูกทางแล้ววววว

ลองมาดู Output ที่ได้มาจากเมนูนี้กันครับ

ได้คำสั่งของ IPFilter ที่จะใช้ Drop packet ที่เราเลือกมาแล้วง่ายแค่คลิก ต่อมาลองมาเลือกที่ Create rules for กันครับ

ฮั่นแน่!! มี Cisco IOS ด้วยมีทั้ง Cisco IOS standard และ extended เลยลองเลือกแบบ extended มาดูกันครับ

แค่นี้ก็ได้ Cisco extended ACL มาแล้วแค่นี้ก็ Copy มาใช้งานต่อได้แล้ว และที่สำคัญคือเราก็เอา Template นี้ที่ได้มาปรับค่า parameter ต่างๆต่อไปได้อีก เช่น เปลี่ยน IP address หรือ port ต่างๆ

สรุปแนวคิดที่ได้จากบทความนี้คืออะไร

1. ในเมื่อเราไม่เก่งการที่มี Tool ที่ดีและใช้ Tool นั้นมาช่วยงานได้ก็ทำให้เราทำงานได้สะดวกขึ้น
2. จะเห็นว่า Wireshark มี Template ของ Rules แบบต่างๆพอสมควร เราก็จะได้ idea ในการสร้างหรือตรวจสอบการทำงานในการ drop หรือ allow ของอุปกรณ์หลายๆแบบได้
3. ให้ลองเลือก packet อื่นๆมา แล้วลองสร้าง Rule ออกมาดูเป็นตัวอย่าง เราก็จะได้ตัวอย่างการสร้าง Rule ที่เป็นภาพชัดเจนมากขึ้น จากนั้นก็ลองสร้าง Rule ขึ้นมาใช้เอง แล้วลองเปรียบเทียบกับผลที่ได้จากโปรแกรม แบบนี้ก็เป็นการเรียนรู้ด้วยตยเองอีกทางหนึ่ง
4. กรณีที่ทำงานด้วน Defensive security ถ้าเราสามารถหา packet ที่น่าสงสัยและต้องการจะสร้าง Rule เพื่อ drop packet นั้นๆ การใช้งาน Wireshark แบบนี้ก็สามารถช่วยงานเราได้เป็นอย่างดี

หวังว่าบทความนี้น่าจะเป็นประโยชน์กับเพื่อนๆบ้างนะครับ เจอกันใหม่บทความหน้าครับ ^^