ระบบ Network ในสำนักงานจำนวนมาก ยังใช้ LAN วงเดียวรวมทุกอย่างอยู่ในนั้น เครื่องพนักงาน, Guest Wi-Fi, NAS, NVR, IP Camera, Printer, Access Point, Switch และอุปกรณ์ Management อยู่ใน Network เดียวกันทั้งหมด

เข้าใจครับ... ที่ใช้งานแบบนี้เพราะตั้งค่าง่าย ดูแลช่วงแรกก็ง่าย ประหยัดมากด้วย แต่...ก็มีความเสี่ยงสูงมากครับ เพราะเมื่อมีเครื่องผู้ไม่หวังดี เข้ามาอยู่ในวง LAN เดียวกัน เครื่องนั้นสามารถเริ่มสำรวจระบบ Network ภายในเราได้ทันที เช่น Scan หา IP, ตรวจ Hostname, เปิดหน้า Login NAS, ดูว่า CCTV เปิด Port อะไร, ทดลอง Remote Desktop หรือทำ ARP Spoofing เพื่อแทรกกลางทางดักขโมยข้อมูล

และ หลายๆครัง ผู้ใช้งานเครื่องนั้นไม่ได้ตั้งใจจะทำอะไรแบบนี้หรอกครับ แต่เพราะติด Malware มาจนหง่อม จะเปิด Antivirus ก็เดี๋ยวมันไปลบโปรแกรมที่ Crack มา

ในบทความนี้ เป็นการทดสอบจาก Lab ใช้อุปกรณ์สำหรับทดสอบภายในทั้งหมด ต้องการแสดงให้เห็นว่า เครือข่ายที่ไม่ได้แยก VLAN มันมีความเสี่ยงยังไง และเมื่อแยก VLAN พร้อมทำ Firewall Policy ด้วย Cybrey Firewall แล้ว การโจมตีจะถูกป้องกันตั้งแต่ก่อนเข้าถึงอุปกรณ์ที่สำคัญ

อุปกรณ์ที่ใช้ใน Lab

ผมจัดทำ Lab เป็นอุปกรณ์ที่ใช้บ่อยในสำนักงานขนาดเล็กถึงกลาง Cybrey Firewall RG-CF10S, Reyee Managed PoE Switch, Reyee Access Point, NAS Synology, NVR VIGI, IP Camera VIGI, Windows 11, Kali Linux สำหรับเป็น Attacker และ Smartphone สำหรับจำลอง Guest Wi-Fi

เริ่มจากระบบ Network ที่ทุกอย่างอยู่ใน LAN เดียวกัน ใช้ Kali จำลองเครื่อง Attacker แล้วทดสอบว่าเครื่อง Attacker สามารถมองเห็นหรือเข้าถึง IP, Service อะไรได้บ้าง หลังจากนั้นก็แยก VLAN กำหนด Policy ด้วย Cybrey Firewall และทดสอบซ้ำอีกครั้ง

ก่อนทำ VLAN: เครื่องแปลกปลอมเห็นอะไรใน Network ได้บ้าง?

Lab แรก ทุกอุปกรณ์อยู่ในวงเดียวกัน 192.168.10.0/24

ใช้ Mikrotik เป็น Gateway

ทุกอุปกรณ์อยู่ในวงเดียวกัน 192.168.10.0/24 ใช้ Mikrotik เป็น Gateway

ตัวอย่าง Device อยู่ในวง Network เดียวกัน:

Gateway IP: 192.168.10.1
Kali Attacker IP: 192.168.10.181
Windows Office IP: 192.168.10.180
NAS Synology IP: 192.168.10.182
NVR IP: 192.168.10.252
Smartphone Guest IP: 192.168.10.178

เมื่อ Device อยู่ในวงเดียวกันทั้งหมด เครื่อง Attacker อาจจะเป็น Guest หรือ เครื่องที่ติด Malware แต่ส่วนมากก็เครื่อง Guest ที่ติด Malware นั้นแหล่ะครับ เจ้าของเครื่องไม่ได้ตั้งใจหรอก ไปโหลด Program Crack มาใช้ แล้วดันปิด Antivirus ตอนที่ Run File Crack พวก Malware เดี๋ยวนี้ มันทำงานเป็น Workflow ไล่โจมตีเป็น Step เลย ผมจะขอเรียกว่า Attacker นะครับ

เครื่องพวกนี้สามารถเริ่มสำรวจระบบได้โดยไม่ต้องเจาะ Firewall จาก Internet แค่เข้ามาอยู่ใน LAN หรือ Wi-Fi วงเดียวกันก็เริ่มเห็นอุปกรณ์ภายในแล้ว

1. Attacker Scan IP เห็น Hostname ใน Network

เครื่อง Kali Scan หา IP ในวง LAN เดียวกัน มันมองเห็น Device ภายใน Network เช่น Windows, NAS, NVR, Camera หรืออุปกรณ์ Network อื่น ๆ

Attacker Scan IP เห็น Hostname ใน Network

Smartphone ของ Guest ที่เชื่อมต่อ WIFI ถ้าเป็น Android ก็มี Tool ช่วย Scan ให้เห็น Device ภายใน Network เช่นกัน

Smartphone ของ Guest ที่เชื่อมต่อ WIFI ถ้าเป็น Android ก็มี Tool ช่วย Scan ให้เห็น Device ภายใน Network

Attacker รู้แล้วว่าในเครือข่ายมี Device อะไรบ้าง เครื่องไหนเป็น NAS เครื่องไหนเป็น NVR เครื่องไหนเป็น Windows และเครื่องไหนที่น่าจะเป็นอุปกรณ์ที่สำคัญใน Office

การโจมตี มันก็เริ่มจากการ Scan ก่อนครับ อารมณ์เหมือนขโมย กวาดสายตามองให้ทั่ว บ้านไหนเปิดหน้าต่างเปิดประตูทิ้งไว้ มีกล้องมั้ย มีคนอยู่หรือเปล่า พบว่าเปิดโล่ง ก็ Step ต่อไป

2. Attacker เปิดหน้า Login NAS, CCTV และ Remote Desktop

ตัวอย่าง ผมใช้ Smartphone ที่ทำการ Scan IP แล้วเปิดหน้า Login ของ Device ที่ App มัน Scan เจอ เช่น NAS, NVR หรือถ้าบน Windows ก็ลองเปิด Remote Desktop

เสี่ยงมั้ย? ถ้า Guest เห็นหมดแบบนี้ หรือ Malware มันเห็นซะครบเลย

จะเกิดอะไรขึ้นถ้า Admin กำหนด User/Password ให้กับ Device แบบเดาง่ายๆ ใช้ซ้ำๆกันทุกเครื่อง หรือ ผู้โจมตีมีความรู้ด้าน Hacker เป็นอย่างดี มีเครื่องมือระดับเทพช่วยในการแกะรหัส

Attacker เปิดหน้า Login NAS, CCTV และ Remote Desktop

3. Attacker ทำการ Scan Port เพื่อดูว่า NAS, CCTV หรือ Windows เปิด Service อะไร?

หลังจากรู้ IP ของ Device แล้ว อาจจะลอง Login แต่ไม่ผ่าน มันก็มักจะ Scan Port ต่อ เพื่อดูว่า Device นั้นเปิด Service อะไรไว้บ้าง

ตัวอย่าง Port ที่มักพบในระบบ Office:

NAS Synology อาจพบ SMB Port 445, DSM HTTP 5000, DSM HTTPS 5001
CCTV/NVR อาจพบ Web Port 80/443, RTSP 554, Port เฉพาะของระบบกล้อง
Windows อาจพบ RDP 3389 หรือ File Sharing 445
อุปกรณ์ Network อาจพบ Web Management 80/443 หรือ SSH 22 หรือ Telnet 23

เมื่อได้ผลของ Port Scan มันก็เลือกเป้าหมายต่อ อาจจะอาศัยช่องโหว่อะไรก็แล้ว เช่น ถ้าเจอ NAS เปิด SMB ก็อาจพยายามโจมตี File Share ถ้าเจอ RDP ก็พยายามเดารหัสผ่านอีก ถ้าเจอกล้องเปิด RTSP ก็รู้ว่าระบบกล้องเปิด Service สำหรับ Video Stream

เจอ NAS เปิด SMB ก็อาจพยายามโจมตี File Share ถ้าเจอ RDP ก็พยายามเดารหัสผ่าน

4. Attacker อาจทำ ARP Spoofing เครื่อง Windows

ARP Spoofing เป็นการโจมตีใน Layer 2 จะเกิดขึ้นใน VLAN เดียวกัน มันเป็นการหลอก Device ปลายทางว่า MAC Address ของเครื่อง Attacker เป็น Gateway ที่ออก Internet

เพราะเวลา Device ต่างๆจะออก Internet มันจะวิ่งไปที่ Gateway ใช่มั้ยครับ นั้นแหล่ะ หลอกให้วิ่งมาหาเครื่อง Attacker แทน แล้วค่อยไป Gateway ออกไปยัง Internet

Attacker อาจทำ ARP Spoofing เครื่อง Windows

*** มีอีก มันยังสามารถหลอก Gateway ว่าตัวเองเป็น Device สำคัญๆในระบบ เช่น NAS หรืออะไรก็แล้วแต่ได้ด้วย **

เรียกว่าเป็นการโจมตีแบบ Man-in-the-Middle เพื่อดักจับข้อมูลที่วิ่งผ่านไปมา จะเกิดอะไรขึ้น ถ้าเรา Login เข้า Device โดยใช้ Protocol http เช่น NAS หรือ NVR

โดยปกติถ้าเราเข้า Web ที่เป็น HTTPS มันจะมีการเข้ารหัสครับ จะไม่สามารถรู้ใส้ในได้ แต่ HTTP มันเป็น Text ธรรมดาๆเลย เห็นหมด

ข่าวดี Web ส่วนใหญ่เป็น HTTPS หมดแล้ว

ข่าวร้าย ยัง..มันยังไม่จบครับ มันยังเห็น Metadata พวก IP ต้นทาง ปลายทาง Port ช่วงเวลาใช้งาน และพฤติกรรมการเข้า Internet

พอมันเก็บข้อมูล วิเคราะห์ได้ซักระยะแล้ว มันรู้ว่าเราเข้า Web ไหนบ่อยๆ ก็อาจจะสร้าง Web ปลอมๆให้ Redirect เข้าไปเพื่อใส่ Username/Password

5. Attacker ส่อง Protocol LLMNR, NetBIOS, mDNS และ SSDP ในวง Network เดียวกัน

ผมใช้ tshark บน Kali เพื่อดู Traffic ประเภท Broadcast / Multicast ในวง LAN เดียวกัน เช่น LLMNR, NetBIOS, mDNS และ SSDP

Traffic พวกนี้จะใช้ในการค้นหาชื่อเครื่องหรือการ Broadcast ประกาศ Service ภายใน Network เช่น Windows ค้นหา Hostname, NAS ประกาศ Service, Printer หรืออุปกรณ์ IoT ที่ประกาศตัวเองในวง LAN

ถ้า Attacker อยู่ VLAN เดียวกับ Office มันก็จะเห็นข้อมูลพวกนี้ โดยไม่ต้องทำ Port Mirror เพราะเป็น Broadcast/Multicast ใน VLAN เดียวกันครับ

Attacker ส่อง Protocol LLMNR, NetBIOS, mDNS และ SSDP ในวง Network เดียวกัน

โอเค ...ข้อมูลพวกนี้มันไม่ได้เป็น User/Password แต่เป็นข้อมูลสำหรับทำ Reconnaissance (แปลว่าลาดตระเวน แต่ผมขอเรียกว่ากำลังส่อง ^^) Hacker ก็จะรู้ว่าในวง Network เรามีเครื่องอะไร ชื่ออะไร Service ไหน Broadcast ออกมา และจะเลือกโจมตีอะไรต่อ

ความเสียหายที่อาจเกิดขึ้นกับสำนักงาน

ถ้าไม่มีการแยก VLAN ความเสียหายส่วนใหญ่ไม่ได้หยุดอยู่แค่เครื่องเดียว เครื่องที่ติด Malware หรือเครื่องแปลกปลอมในวง LAN มันก็หาช่องทางไปเรื่อย ก็ในเมื่อมันเห็นแล้วว่ามีอะไรที่สำคัญๆอยู่ Network มีขนาดใหญ่แค่ไหน ถ้าใหญ่ก็แสดงว่าคุ้มที่จะเสียเวลาลอง

ความเสียหายที่เจอบ่อยๆ เช่น ข้อมูลบัญชี หรือเอกสารสำคัญ จาก NAS, Server, File Share ถูก Download ออกไป, รหัสผ่านระบบถูกขโมย, ระบบ CCTV ถูกเปิดดูหรือถูกลบ (เหมือนในหนังเลยมั้ย พระเอกเข้าไปทำอะไรซักอย่าง แล้วมีนังหนูที่ดูเนิร์ดๆคอยลบภาพกล้องวงจรปิดจากในรถตู้ มันจะง่ายถ้าตั้งรหัสผ่าน P@ssw0rd ^^)

รวมถึงระบบ Remote Desktop ถูกเดารหัสผ่าน, Protocol Telnet ของอุปกรณ์ Network ถูกเปิด เข้าไปปรับแต่งตั้งค่าให้โดนโจมตีได้ง่ายขึ้น, และอาจจะรุนแรงถึงขั้นโดน Ransomware เข้ารหัส File ต่างๆเพื่อเรียกเงิน

ปัญหาหลักคือเมื่อทุกอย่างอยู่ในวง Network เดียวกัน ความเสียหายที่เกิดขึ้นจะกว้างมาก ถ้าเครื่องหนึ่งมีปัญหา มันก็ลามไป NAS, Server, CCTV และพวกอุปกรณ์ Network ต่างๆ

*** ต้องไม่ลืมนะครับว่า พื้นฐานตอนนี้ กำลังพูดถึง Office ที่ไม่ได้มีการออกแบบการป้องกันที่ดี ได้ของมาก็ Config ง่ายๆ ใช้งานง่ายๆ พวก User ก็ใช้ admin พวก Password ต่างๆก็ตั้งแบบง่ายๆ ซ้ำๆกันเพราะเดี๋ยวลืม และการ Config ในส่วน Security ของพวกอุปกรณ์ Network ต่างๆ ก็เป็นค่า Default พวก Hacker มันก็เลยจัดเต็มได้ครับ ***

แนวทางป้องกัน: แยก VLAN และกำหนด Policy ให้กับ Cybrey Firewall

การแยก VLAN คือการแบ่ง Network ออกเป็นกลุ่ม มักจะแบ่งตามหน้าที่ เช่น Office, Guest Wi-Fi, CCTV, Server/NAS และ Management

ตัวอย่าง VLAN ที่ใช้ใน Lab:

VLAN 10: Office สำหรับเครื่องพนักงาน 192.168.10.1/24
VLAN 20: Guest Wi-Fi สำหรับลูกค้าหรือผู้มาติดต่อ 192.168.20.1/24
VLAN 30: CCTV สำหรับ NVR, IP Camera 192.168.30.1/24
VLAN 40: Server/NAS สำหรับ NAS และ Server ที่เก็บไฟล์ข้อมูล 192.168.40.1/24
VLAN 50: Management สำหรับจัดการอุปกรณ์ Network ต่างๆ 192.168.50.1/24
VLAN 99: Attack-Lab สำหรับ Kali ทดสอบความปลอดภัย 192.168.99.1/24

แยก VLAN และกำหนด Policy ให้กับ Cybrey Firewall

ให้ Cybrey Firewall เป็น Gateway ของแต่ละ VLAN โดยการสร้าง Sub-interface และกำหนด Security Zone แยกตาม VLAN

กำหนด Security Zone แยกตาม VLAN

จากนั้นกำหนด Firewall Policy ควบคุมว่า VLAN ไหนไปไหน ทำอะไรได้ หรือเข้า VLAN ไหนได้บ้าง เช่น Guest Wi-Fi ออก Internet ได้เท่านั้น, Office เข้า NAS ได้เฉพาะบาง Service ที่ปลอดภัยเท่านั้น, Management VLAN สำหรับเข้าอุปกรณ์ Network ให้เฉพาะเครื่อง Admin และ Attack-Lab ถูก Block ไม่ให้เข้าถึงระบบภายใน

*** การกำหนด Policy ถือเป็นหัวใจสำคัญของ Firewall เลยครับ จัดการให้ดีๆ ***

การกำหนด Policy ถือเป็นหัวใจสำคัญของ Firewall

ทดสอบหลังแบ่ง VLAN ด้วย Cybrey Firewall

หลังจากแบ่ง VLAN และสร้าง Policy ทำการทดสอบอีกครั้งจากเครื่อง Attacker

ทดสอบ 1: เครื่อง Guest เชื่อมต่อวง Guest ทำการ Scan IP ในวง Network

ไม่เจออะไร..

เครื่อง Guest เชื่อมต่อวง Guest ทำการ Scan IP ในวง Network

ลองใช้ Windows เชื่อมต่อวง Guest ปกติจะเข้า IP Gateway ได้ แต่ Firewall มัน Block ออกได้แค่ Internet อย่างเดียว

Windows เชื่อมต่อวง Guest ปกติจะเข้า IP Gateway ได้ แต่ Firewall มัน Block ออกได้แค่ Internet

Security LOG แสดงรายละเอียดว่า Client พยายามทำอะไร

Security LOG แสดงรายละเอียด Client พยายามทำอะไร

ทดสอบ 2: ป้องกัน ARP Spoof

โดยหลักการแล้ว การป้องกันไม่ให้ Attacker หลอก Client ว่าตัวเองเป็น Gateway มันจะต้องเป็น Feature ของ Network Switch ครับ เพราะการ ARP มันทำบน Layer 2

Firewall มันป้องกันได้ระดับนึง ถ้า Attacker อยู่ในวง Network เดียวกับเครื่อง Client โดยการ Broadcast MAC Address ตัวเองบ่อยๆ

Cybrey Firewall ป้องกัน ARP Spoof

และป้องกันตัวเองโดนหลอกด้วย โดยการใส่ Static ARP Entry ให้ Firewall รู้ว่า อุปกรณ์ Network ที่เป็นของเราจริงๆ มี MAC Address อะไร

Static ARP Entry ให้ Firewall

ทดสอบ 3: ป้องกันการ Login ผ่าน Protocol HTTP

การ Login เข้าอุปกรณ์ที่สำคัญๆ เช่น NAS ถ้าเครื่องเราโดนดักไว้ เวลา Login ใส่ Username/Password ผ่าน http มันเห็นหมดครับ ก็ Block ซะเลย ให้ Login ผ่าน https เท่านั้น

ป้องกันการ Login ผ่าน Protocol HTTP

สรุป

การโจมตีภายใน Network ไม่ได้เริ่มจากการเจาะ Firewall จาก Internet เสมอไป บ่อยครั้งเริ่มจากเครื่องที่เข้ามาอยู่ใน LAN หรือ Wi-Fi วงเดียวกัน เช่น Notebook ของผู้มาติดต่อที่ติด Malware หรือเครื่องพนักงานเองด้วย

ถ้าเครือข่ายในสำนักงานยังรวมทุกอย่างไว้ใน VLAN เดียว เครื่อง Attacker ก้สามารถ Scan IP, ตรวจ Port, เปิดหน้า Login NAS/CCTV, ดู Broadcast ภายใน ทำ ARP Spoofing ความเสียหายอาจลามไปถึงไฟล์งาน, ระบบบัญชี ฐานข้อมูล, ระบบ CCTV, NAS และ อุปกรณ์ Network

การแยก VLAN ด้วย Cybrey Firewall ช่วยลดการโจมตีได้อย่างชัดเจน เพราะ Device แต่ละกลุ่มถูกแยกออกจากกัน และทุกการlสื่อสารข้าม VLAN ต้องผ่าน Firewall Policy เมื่อมีการเข้าถึงโดยไม่ได้รับอนุญาติ Cybrey Firewall สามารถ Block และบันทึก Security Log ให้ตรวจสอบย้อนหลังได้

สำหรับ Office ที่มี Server, ระบบ Database, NAS, CCTV, Guest Wi-Fi และเครื่องพนักงาน การแยก VLAN ไม่ควรรอให้เกิดปัญหาก่อน ควรทำตั้งแต่เริ่มวางระบบ Network เพราะเป็นพื้นฐานสำคัญของการป้องกัน Malware, Ransomware, ARP Spoofing และการโจมตีจากภายในองค์กร

ต้องการออกแบบระบบ Network, ระบบ Firewall Policy หรือเลือกใช้งาน Cybrey Firewall ให้เหมาะกับสำนักงาน ติดต่อสอบถามข้อมูลเพิ่มเติม Line @sysnet ได้เลยนะครับ

Line: @sysnet

ค้นหาในบล็อก

หมวดหมู่บล็อก

โพสต์ล่าสุด

กระทู้ยอดนิยม

Blog tags

Blog RSS

VLAN และ Policy บน Cybrey Firewall แยกวง Network ป้องกันการโจมตีในสำนักงาน