Skip to content

Private Access โดยไม่ใช้ VPN

หลายครั้งที่เรามีกล้องวงจรปิด หรือเซิร์ฟเวอร์บางอย่างในออฟฟิศ ที่เราต้องการจะ Access จากอินเตอร์เน็ต หรืออย่างน้อยเราก็อยากจะ Config XTM จากอินเตอร์เน็ต ซึ่งวิธีที่ทุกคนคิดออกก็คือ การทำ Port forwarding

และผลก็คือ คุณลองสแกนกลุ่มของหมายเลข IP บนอินเตอร์เน็ต ก็จะได้พบกับ IP จำนวนไม่น้อย ที่มีการเปิดพอร์ต 8080 หรือพอร์ต 80 หรือพอร์ตอื่น ๆ ทิ้งเอาไว้ พร้อมกับหน้า Login ที่สามารถจะใช้ลองป้อน Username/Password ได้ และบางครั้ง เราก็ลองป้อน Default username/password ของอุปกรณ์นั้น ๆ ก็สามารถเข้าไปดูข้อมูลภายในได้ นอกจากนี้ อุปกรณ์หลายตัวก็ไม่มีกลไกในการป้องกันตัวเองจาก Brute force attack หรือ Dictionary attack หมายความว่า ผู้บุกรุกสามารถเดา password ไปได้เรื่อย ๆ จนกว่าจะหมดความ
พยายามไป

เราคงไม่อยากให้ IP ของเราถูกเปิดให้ใครต่อใครลองป้อน Password อยู่ทุกวัน

หมายเหตุ: การเข้าไปดูข้อมูลของผู้อื่น ซึ่งผู้อื่นได้ทำการป้องกันเอาไว้

มีความผิดตาม พรบ.อาชญากรรมคอมพิวเตอร์

ปกติแล้ว Policy ที่อนุญาตให้เข้าถึง XTM จากพอร์ต 4100 จะถูกสร้างขึ้นอัตโนมัติเมื่อมีการ Activate SSLVPN แต่ถ้าไม่เคยมีบรรทัดนี้ใน Policy ก็สามารถสร้าง Policy ใหม่ขึ้นมาได้

From: External, To: Firewall, Service: WG-Auth (TCP-4100)

เมื่อสร้าง Policy แล้ว ลองเปิดเข้ามาดูที่ https://<XTM WAN IP>:4100 ก็จะได้หน้า Login

ใน Policy Manager ที่เมนู Setup -> Autnentication -> Authentication Servers ดูที่ Firebox tab ลองสร้าง Username ขึ้นมา สมมติว่าเป็น user1

ที่หน้าจอ login ให้ป้อน user1 เพื่อ login

เปิด Firebox System Manager และดูที่ Authentication List จะเห็นว่า Username ที่ป้อน (user1) สามารถใช้อ้างอิงหมายเลข IP ได้แล้ว (ตัวอย่างในภาพ ที่ IP Address เป็น Local IP เนื่องจากการทดสอบนี้ ทำใน LAN หากเป็นการทดสอบบนอินเตอร์เน็ต หมายเลข IP ในตารางก็จะเป็น Internet IP)

กุญแจสำคัญอยู่ที่ Username นี่เอง กล่าวคือ ก่อนหน้านี้เวลาเราจะทำ Port forward เราก็จะทำกับ External interface แต่เมื่อมีการ Login เกิดขึ้น เราก็จะทำ Port forward โดยมี Source เป็น Username แทนที่จะเป็น Internet IP หรือ External interface

จากนั้น เราก็มาสร้าง Policy ให้เกิด Port forwarding สมมติว่า เรามีเซิร์ฟเวอร์เป็น TCP-8080 อยู่ในระบบ LAN ที่หมายเลข IP 10.0.1.3 Policy ที่ได้ จะมีหน้าตาเป็นแบบนี้

หมายความว่า ในโลกนี้ ก็จะมีแต่หมายเลข IP ที่ Login ด้วย user1 เท่านั้น ที่จะเปิดดู service TCP-8888 ได้ ไม่จำเป็นจะต้องใช้ VPN แต่ก็สามารถสร้างความปลอดภัยให้กับการ Access service จาก Internet ได้ และที่สำคัญคือ ความสะดวกที่ได้มาจากการไม่ต้อง Install VPN client หรือ Setup VPN client เราจะเปิดดู Service จากเครื่องไหนก็ได้จากอินเตอร์เน็ต

วิธีการนี้ ให้ข้อคิดอีกหลายข้อ เช่น

       – หลายครั้งที่เราอยากจะเปิดให้สามารถ config XTM ผ่านทางอินเตอร์เน็ตได้ ก็สามารถใช้วิธีนี้เพื่อจำกัดคนที่เข้าถึง Management interface ของ XTM ได้

       – วิธีนี้ นอกจากจะจำกัดการเข้าถึง Service จากทาง External แล้ว ยังสามารถประยุกต์วิธีนี้เพื่อจำกัดคนที่เข้าถึงเซิร์ฟเวอร์จากทาง DMZ ได้ด้วย

       – หากเรา Login เข้า XTM มาจากอินเตอร์เน็ต โดยที่เราอยู่ใน LAN ที่มีการทำ NAT ย่อมหมายความว่า เครื่องทุกเครื่องที่อยู่ใน LAN เดียวกับเรา ก็จะสามารถเข้าถึง Service นี้ได้เช่นกัน

       – เราสามารถประยุกต์เอา Property ของ User มาใช้งานได้อีกด้วย เช่น

                1.) Session timeout เพื่อบังคับให้ Login ที่เข้ามานั้น ถูกตัดทิ้งเมื่อครบเวลา
                2.) Idle timeout ที่ทำให้เราไม่ต้องเสียเวลา Logout เพียงแต่ทิ้งเอาไว้จนถึงเวลา Idle timeout ก็จะถูกตัดไปเอง
                3.) Limit concurrent session ที่ใช้จำกัดไม่ให้ Username ถูกใช้โดยหลาย ๆ คนพร้อม ๆ กัน

       – พอร์ตที่ XTM ใช้เองกับ External interface เช่น TCP-443 หรือ TCP-8080 เราจะต้องเลี่ยงไม่ทำ
Forwarding กับพอร์ตที่ XTM ใช้อยู่ หรือไม่งั้นก็จะต้องเข้าไปเปลี่ยนใน XTM ไม่ให้พอร์ตต่าง ๆ เหล่านี้

ลองนำวิธีนี้ไปประยุกต์ใช้ให้เกิดความปลอดภัยใน Remote access ครับ