Skip to content

พอร์ตล่อเป้า กับ การทำ FIREWALL อย่างมืออาชีพ

 

โดยธรรมชาติเราไม่เอาตัวเองเข้าไปในที่เสี่ยง ที่เปลี่ยว พื้นที่เสี่ยง เราป้องกันตัวเรา และพื้นที่ของเรา และเรารู้สึกไม่ปลอดภัยเมื่อพบว่า มีใครเข้ามาในพื้นที่หวงห้าม

แต่…ทำไมบน Firewall หลาย ๆ ที่ถึงเปิดพอร์ตล่อเป้ากันจังเลย

พอร์ตล่อเป้า คือ พอร์ตที่สามารถใช้เข้าถึง Admin Privilege ได้โดยตรง หรือพอร์ตที่สามารถเข้าถึงจุดอ่อนของ OS ได้โดยตรง เช่น Telnet (TCP23), SSH (TCP22), RDP (TCP3389), MySQL (TCP3306), Windows NetBIOS/SMB (TCP139/TCP445) พอร์ตเหล่านี้ มี Bot มากมายบนอินเตอร์เน็ตที่สแกน IP ต่าง ๆ เพื่อดูว่า เปิดพอร์ตเหล่านี้เอาไว้หรือไม่

สแกนเจอแล้วไง…

Bot ก็จะลองวิธีการเจาะระบบแบบง่าย ๆ หลาย ๆ วิธีครับ เช่น ลอง Default password, ลอง Dictionary attack, ลอง Vulnerability หลาย ๆ รูปแบบ ถ้าเข้าได้ ก็แล้วแต่ครับ ถ้าเครื่องเหยื่อนั้นมีข้อมูลที่มีราคา ก็ลงมือขโมย และอาจจะเปิดช่องให้กลับมาขโมยข้อมูลใหม่ ๆ ได้อีกหลายรอบ หรือไม่ก็เปิดช่องให้สามารถ

ควบคุมเครื่องนี้ได้ เก็บเอาไว้เป็น Zombie machine ไว้ก่ออาชกรรมอื่น ๆ ต่อไป จนกว่าเจ้าของเครื่องหรือเจ้าของเซิร์ฟเวอร์จะรู้ตัว

ถ้าหลาย ๆ เดือนแล้ว เจ้าของเครื่องก็ยังเปิดพอร์ตอ้าซ่าอยู่นั่น IP ของเครื่องนี้ก็จะกลายเป็นของมีค่าสำหรับโจร เป็น IP ที่ขึ้นทำเนียบแนะนำโจรด้วยกัน ให้มาแวะขโมยข้อมูลแบบไม่เหนื่อย เพราะเข้าง่าย ไม่มีระบบป้องกันอะไร สังเกตได้ว่า web server ไหนที่ถูกแฮก ก็จะโดนอยู่เรื่อย ๆ จนกว่าจะเริ่มมีการป้องกันตัว

ถ้าเครื่องนี้ไม่มีมูลค่าอะไรอีกแล้ว ไม่มีข้อมูลที่น่าสนใจ ก็ทิ้ง Ransomware เอาไว้หาเงินงวดสุดท้าย ถือซะว่าเป็นค่าเปิดเผยตัวเองให้เจ้าของเครื่องรู้ว่า โดนซะแล้ว (จริง ๆ โดนมาตั้งหลายเดือนแล้ว)

แม้จะทิ้ง Ransomware เอาไว้เรียกค่าไถ่แล้ว ถ้าเจ้าของเครื่องหลัง IP นั้นก็ยังไม่ป้องกันตัวเอง ก็เหมาะอย่างยิ่งที่โจรจะกลับมาปล่อย Ransomware เพื่อหาเงินในรอบที่สอง รอบสาม จนกว่าเซิร์ฟเวอร์นี้จะรู้จักป้องกันตัว หรือจนกว่ากิจการมันจะไม่มีเงินมาจ่าย

แล้วทำไมถึงยังเปิดพอร์ตล่อเป้ากันอยู่ได้

“เพราะลูกค้าสั่ง” นั่นคือคำตอบที่ได้ยินมาบ่อยที่สุด ซึ่งน่าจะตีความได้ว่า “ถ้าไม่เปิดพอร์ตให้ ลูกค้าก็ใช้งานไม่ได้ ใช้ไม่ได้ก็แปลว่าไม่จ่าย” ท้ายสุดคนที่ทำ Firewall ก็ไปลงเอยว่าเปิดพอร์ตให้ลูกค้าทุกครั้งไป และเจอบ่อยมากที่แม้จะเปิดพอร์ตแล้ว แต่ลูกค้าก็บอกว่า มันยังเข้าไปไม่ได้ ท่าไม้ตายคือ Any พร้อมกับบอกลูกค้าว่า มันไม่เกี่ยวกับ Firewall แล้ว และปล่อยลูกค้าล่องลอยออกมหาสมุทรไป

เกือบทุกไซด์ที่เซิร์ฟเวอร์ถูกโจมตี มักพบเสมอว่า มีการเปิด Policy ให้เข้าถึงเครื่องในระบบแบบ Any เอาไว้ หรือไม่ก็เปิดพอร์ตล่อเป้าเอาไว้

อย่าถามว่าใครผิด

ลูกค้าผิดมั้ยที่ว่าเขาอยากได้แบบนั้นแบบนี้ คนทำ Firewall ผิดมั้ยที่ต้องทำตามลูกค้า (ไม่งั้นไม่จ่าย ไม่เซ็นรับ) ในสถานการณ์แบบนี้ ผมจะแชร์ประสบการณ์ให้ว่า แนวปฏิบัติแบบมืออาชีพเป็นคำตอบที่ดีที่สุดสำหรับทุกฝ่ายครับ

1. คนทำ Firewall ต้องให้ข้อมูลลูกค้าว่า ถ้าเปิดพอร์ตล่อเป้าแล้ว จะเกิดอะไรขึ้น แสดงข้อมูลอ้างอิง เช่น บทความจากอินเตอร์เน็ต วิดีโอแสดงการแฮกระบบ ตัวอย่างในอดีตจากลูกค้ารายอื่น ฯลฯ ในขณะเดียวกัน คนทำ Firewall ที่เป็นมืออาชีพ พึงจะเสนอทางเลือกอื่น เช่น VPN, Authentication, Remote access tools อย่าง TeamViewer หรือ AnyDesk, ฯลฯ เป็นทางออกให้ลูกค้าแทนการเปิดพอร์ตล่อเป้า

ลูกค้าที่ตั้งใจฟังข้อมูล มักเปลี่ยนใจและยินดีใช้ Alternate solution

ในขณะที่ข้อแรกนี้ คนทำ Firewall ที่ไม่เป็นมืออาชีพ มักจะไม่แสดงข้อมูล อาจจะคิดไปเองว่า ลูกค้าคงไม่ฟัง หรือเพราะตัวเองไม่กล้าเสนอ กลัวเก็บเงินไม่ได้ กลัวลูกค้าหงุดหลิด จึงเลือกที่จะเงียบ และทำตามลูกค้าสั่ง ก็เปิดพอร์ต และส่งมอบระบบที่มีความเสี่ยงให้ลูกค้าไป

2. ถ้าให้ข้อมูลแล้ว ลูกค้าก็ยังยืนยันจะให้เปิดพอร์ตล่อเป้า มืออาชีพก็ไม่ขัดลูกค้าครับ ปรับ Policy เปิดพอร์ตให้เลย แต่มืออาชีพ เขาจะช่วยลูกค้า Monitor ระบบหลังเปิดพอร์ตแล้ว และนำข้อมูลมานำเสนอต่อให้ลูกค้าเห็นภาพครับ เช่น Firewall report ที่แสดง IP จากทั่วโลก ที่แวะเข้ามาติดต่อ RDP กับเซิร์ฟเวอร์ของลูกค้า เป็นต้น

ลูกค้าส่วนใหญ่ มักจะยอมปิดพอร์ตล่อเป้าหลังจากได้เห็น Report ของ Firewall ซึ่งก็ถือว่ายังดีครับ ยังไม่สาย ส่วนจะเกิดความเสียหายไปแล้วหรือยัง อันนี้ต้องลุ้นเอาครับ

ข้อสองนี้ คนที่ไม่เป็นมืออาชีพ มักไม่ Monitor อะไรต่อให้ลูกค้า ถือว่า “เตือนแล้วนะ” และทิ้งลูกค้าเอาไว้กับความเสี่ยง

3. ก็มีลูกค้าบางรายครับ จำนวนไม่มาก ได้เห็นรายงานแล้ว เห็นข้อพิสูจน์แล้ว แต่ก็ยังยืนยันจะเปิดพอร์ต เมื่อถึงจุดนี้ มืออาชีพได้ทำหน้าที่โดยสมบูรณ์แล้วครับ หันหลังให้ลูกค้าได้เลย ไม่ต้องดราม่าอะไรใส่ลูกค้า นิ่ง ๆ เงียบ ๆ เพราะลูกค้าบางคนอาจต้องใช้เวลาคิด บางคนอาจต้องได้ประสบการณ์ตรง นีโอยังต้องโดนยิงตั้งหลายนัด กว่าจะฟื้นขึ้นมาเป็น The One ถูกมั้ย

ในไม่ช้าไม่นาน ลูกค้าจะได้รับผลตามที่ตัวเองเลือกอย่างตรงไปตรงมา ในขณะที่มืออาชีพก็เก็บเงินได้ ส่งมอบระบบได้ และหลุดพ้นจากข้อกล่าวหาทั้งปวง ซึ่งจำเป็นอย่างมากที่มืออาชีพ จะมี e-mail ถึงลูกค้า เป็นหลักฐานว่า เราได้ให้ข้อมูลที่จำเป็นต่อการตัดสินใจของลูกค้าแล้ว

พอร์ตล่อเป้า เปิดทิ้งไว้ก็อันตราย สำรวจ Firewall ที่เราส่งมอบให้ลูกค้าไป ถ้าพบว่าเปิดล่อเป้าเอาไว้ ก็ทำงานร่วมกับลูกค้าอย่างเป็นมืออาชีพนะครับ



สอบถามรายละเอียดเพิ่มเติม เรามีพันธมิตรพร้อมให้คำปรึกษา

02-2479898 ต่อ 87

marketing@optimus.co.th

@optimusthailand

OPT-Care โดย บริษัท ออพติมุส (ประเทศไทย) จำกัด