Forward Port เข้า NAS และ RDP เสี่ยงโดนแฮก? Firewall ช่วยป้องกันระบบ Office ได้อย่างไร

Forward Port เข้า NAS และ RDP เสี่ยงโดนแฮกแค่ไหน? Firewall ช่วยป้องกันระบบ Office ได้อย่างไร?

จากที่ผมจำหน่ายอุปกรณ์ Network และช่วย Config ให้ลูกค้า หลายๆ Office ที่ต้องการ Remote เข้าถึง Service ภายในวง LAN เช่น NAS, Remote Desktop, NVR จะใช้วิธี Forward Port ใน Router เพื่อจะเข้ามาอุปกรณ์ภายในจากภายนอก

ตัวอย่างที่พบได้บ่อย เช่น เปิด Port 5000 เข้า Synology NAS เพื่อเข้าหน้า Web Management, เปิด Port 8080 เพื่อเข้าถึง NVR, หรือเปิด Port 3389 Remote Desktop เข้ามาที่ Windows เพื่อให้พนักงานใช้งานจากภายนอก Office

โอเค... มันสะดวกและง่าย

...แต่ก็มีความเสี่ยงสูงมากครับ เพราะผู้ไม่หวังดีสามารถ Scan หา Port ที่เปิดอยู่ ตรวจสอบว่า Port นั้นเป็นบริการอะไร พอได้ข้อมูลก็ทำการโจมตีต่อ เช่น เดารหัสผ่าน ใช้เครื่องมือช่วยสุ่มรหัสผ่าน หรือพยายามเจาะช่องโหว่ของระบบ

ถ้าเจาะไม่สำเร็จก็ถือว่าโชคดีไป แต่ถ้าเจาะสำเร็จ ความเสียหายอาจรุนแรงมาก โดยเฉพาะในระบบ Office ที่มีไฟล์งาน เอกสารลูกค้า บัญชี ใบเสนอราคา และข้อมูลสำคัญอยู่ใน NAS หรือเครื่อง Server ภายใน

บทความนี้เป็นการจำลองระบบ Office Lab โดยใช้ Synology NAS, Windows 11 LAB, Kali Linux และ Ruijie Cybrey Firewall เพื่อดูว่าเมื่อเปิด Port NAS และ RDP (Remote Desktop) ออกสู่ภายนอก ผู้โจมตีจะมองเห็นอะไร และ Firewall จะช่วยลดความเสี่ยงได้อย่างไร

Topology การทดสอบใน Lab

ในการทดสอบนี้ ใช้ Internet 2 เส้น เชื่อมต่อเข้ากับ Firewall โดยเส้นหนึ่งเป็น PPPoE และอีกเส้นเป็น Static IP 10.99.99.2/24 เพื่อจำลองสภาพแวดล้อมที่ใกล้เคียงกับการใช้งานจริงในสำนักงาน

มีการทำ Port Mapping (Forward Port) ตามนี้ครับ

• Forward Port External 5000/ Internal 5000 ไปยัง Synology NAS
• Forward Port External 9000/ Internal 3389 ไปยังเครื่อง Windows 11 LAB สำหรับ Remote Desktop

*** ที่เลือกเปลี่ยน Port External ไม่ให้ตรงกับ Internal เพื่อจะแสดงให้เห็นครับว่า ช่างไร้ประโยชน์ ^^

ถ้าใช้ Router ทั่วไปและเปิด Forward Port ทิ้งไว้ จะเกิดอะไรขึ้น?

ใน Office ส่วนใหญ่จะใช้ Router ธรรมดาๆแต่รุ่นใหญ่นิดนึง ผู้โจมตีอาจอยู่นอกบริษัท หรืออาจอยู่ในเครือข่ายเดียวกันก็ได้ ที่อยู่ในเครือข่ายเดียวกัน เพราะเครื่องนั้นอาจติดไวรัสมาเรียบร้อยแล้ว

ถ้าผู้โจมตีรู้ IP ปลายทางหรือมีการ Scan IP จนเจอ ก็สามารถเริ่มสำรวจได้ทันทีว่าเครื่องปลายทางเปิด Service อะไรไว้บ้าง

และเดี๋ยวนี้ เครื่องมือช่วยเหลือมันมีเยอะมาก การ Scan หา Port ที่เปิดอยู่มันทำง่ายๆ เมื่อเราเปิด Forward Port ทิ้งไว้ ผู้โจมตีมันก็เห็นว่ามีช่องทางอะไรที่เปิดรับจากภายนอก

จากการทดสอบ จะเห็นว่า Port 80, 443, 5000 และ 9000 เปิดอยู่จากฝั่งภายนอก ก็เหมือนเปิดหน้าต่างที่บ้านที่ทิ้งไว้ ใครเดินผ่านมาก็เห็นว่ามีช่องให้ลองปีนเข้ามาได้

ผู้โจมตีมันจะทำอะไรต่อหลังจาก Scan เจอ Port?

ดีดนิ้ว!!

พอเจอ Port มันเปิดอยู่ ทีนี้การตรวจสอบ Port นั้นมันเป็น Service อะไร

จากผลการทดสอบ Port 5000 มันเป็น Web Service แน่ๆ และ Port 9000 มันถูก Forward ไปยัง Windows Remote Desktop

อยากรู้อีก Web Service นั้นมันคืออะไร ก็เพิ่มเติมด้วยคำสั่ง curl เพื่อดูข้อมูล Header โชว์หราเลยว่าเป็น Synology NAS

ทีนี้รู้แล้วครับ ปลายทางมันเป็นอะไร ผู้โจมตีก็อาจเปิดหน้าเว็บผ่าน Browser เพื่อดูหน้า Login จากนั้นพยายามเดารหัสผ่าน หรือใช้เครื่องมืออัตโนมัติทดสอบรหัสผ่านต่อ (Brute Force)

ถ้าผู้โจมตีสามารถเข้า NAS ได้ ความเสียหายที่เกิดขึ้น?

เบื้องต้น ทำมือพร้อมตะโกน เย้...

• ไฟล์ใน NAS ถูกเข้ารหัสเพื่อนำไปเรียกค่าไถ่
• เอกสารบริษัท ไฟล์บัญชี รูปลูกค้า ใบเสนอราคา และข้อมูลสำคัญเปิดไม่ได้
• Shared Folder ทั้งระบบอาจใช้งานไม่ได้
• Backup ที่เก็บไว้ใน NAS อาจถูกเข้ารหัสไปด้วย
• แต่เดี๋ยวนี้ผมเห็นข่าว โหลดเอาข้อมูลออกไปก่อน ไฟล์อะไรที่เป็นความลับ ถ้าเปิดเผยแล้วจะเกิดความเสียหาย ก็จะเอาข้อมูลนั้นแหล่ะ มาแบล็กเมล์

ถ้าเป็นบริษัทที่ใช้ NAS เป็นศูนย์กลางเก็บไฟล์ร่วมกัน ความเสียหายจะกระทบทั้งสำนักงานทันที

หรือ ถ้าเจาะ เข้า NVR ถ้าไม่มีอะไรก็ช่างมัน อารมณ์เหมือนในหนัง เจาะเข้าไปลบวีดีโอตอนที่พระเอกเข้าไปทำอะไรซักอย่าง ^^

แต่ถ้าโดนเจาะผ่าน Remote Desktop อันตรายมากกว่าโดน NAS

แค่เปิด Remote Desktop ใส่ IP:Port  ถ้าไม่รู้ Username/Password ผมไม่ได้ศึกษาต่อว่ามันต้องใช้ Tool อะไรช่วย แต่คิดว่าคงมี

กรณีของ Remote Desktop มีความเสี่ยงสูงมากครับ เพราะถ้าผู้โจมตีเข้าเครื่อง Windows ได้ เครื่องนั้นอาจกลายเป็นจุดเริ่มต้นในการโจมตีเครื่องอื่นๆต่อภายในระบบ

เช่น

• Scan หาเครื่องอื่นในวง Network
• พยายามเข้าถึง NAS หรือ Shared Folder
• ปล่อย Ransomware หรือ Malware ไปยังเครื่องอื่น
• ใช้เครื่องที่ถูกยึดเป็นฐานการโจมตีเครื่องภายนอก เรียกว่าเครื่อง Zombie เอาไว้โจมตีเป้าหมายอื่น
• ขโมยข้อมูลใน Browser หรือ Email Client
• ถ้ามีการ Map Drive ไปยัง NAS ไฟล์ทั้งหมดใน Drive ที่เชื่อมอยู่ก็อาจถูกเข้ารหัสไปด้วย

ในหลายกรณี ผู้โจมตีไม่จำเป็นต้องยึด NAS โดยตรง แค่ยึดเครื่อง Windows ของพนักงานที่มีสิทธิ์เข้าถึงไฟล์บน NAS ได้ ก็สร้างความเสียหายกับบริษัทได้แล้วครับ

Firewall ช่วยป้องกันได้อย่างไร?

Firewall ช่วยลดความเสี่ยงได้ตั้งแต่ขั้นตอนแรก คือการพยายามสำรวจภายนอกก่อนที่จะเข้ามาภายใน

เวลาผู้โจมตีใช้เครื่องมือ Scan Port หลักการทำงานคือมีการส่ง Packet จาก IP หนึ่ง ไปยังอีก IP หนึ่ง โดยเรียงหมายเลข Port ไปเรื่อย ๆ เพื่อดูว่า Port ไหนเปิดอยู่บ้าง

Firewall จะสามารถตรวจจับพฤติกรรมแบบนี้ได้ เข้าข่าย Port Scan หรือ IP Scan จากนั้นจึงทำการ Block หรือ Drop Packet โดยไม่ตอบกลับ ทำให้ผู้โจมตีไม่รู้ว่า Port ดังกล่าวเปิดอยู่หรือไม่

ข้อดี มันช่วยลดการเปิดเผยข้อมูลสำคัญของระบบออกไป เพราะถ้าเป็น Router ทั่วๆไปหรืออุปกรณ์ที่ไม่มีการป้องกันแบบนี้ ผู้โจมตีอาจได้รับคำตอบว่า Port ใด Open หรือ Close แล้วนำข้อมูลไปวิเคราะห์ต่อได้อีก

อารมณ์ผู้ร้าย จะมาทำร้ายเราแล้วตะโกนถาม มีใครอยู่ในบ้านมั้ย ดันตอบ ไม่มีใครอยู่ครับ!!!

การตั้งค่าใน Cybrey Firewall

ใน Ruijie Cybrey Firewall สามารถตั้งค่าป้องกันการ Scan ง่ายๆ ผ่านเมนู DoS/DDoS Attack Defense แค่เปิดใช้งาน IP Scan Defense และ Port Scan Defense

เมื่อมีการ Scan Port จากภายนอกเข้ามา Firewall จะเริ่มตรวจจับพฤติกรรมและไม่การตอบกลับ ทำให้ผลการ Scan จากฝั่งผู้โจมตีไม่สามารถเห็นสถานะชัดเจนว่าเปิดหรือปิด

ฝั่งผู้ดูแลระบบก็สามารถตรวจสอบเหตุการณ์ได้จากหน้า O&M Log ว่ามี IP ใดพยายาม Scan Port หรือเข้ามาสำรวจระบบจากภายนอก

เรื่อง Log นี้ดีมากครับ เพราะผู้ดูแลจะเริ่มเห็นสัญญาณผิดปกติได้ตั้งแต่ต้น ก่อนที่เหตุการณ์จะลุกลามไปเป็นการโจมตีจริง เพราะมันไม่หยุดแค่นั้น

Firewall ป้องกันได้ระดับหนึ่ง แต่ยังควรมีการป้องกันเสริม

การใช้ Firewall เพื่อป้องกันการ Scan Port และลดการเปิดเผยบริการที่สำคัญ ถือว่าช่วยได้มากในระดับหนึ่ง และดีกว่าการเปิด Forward Port ทิ้งไว้โดยไม่มีระบบป้องกันเลย

แต่ต้องเข้าใจว่า Firewall อย่างเดียวไม่ได้ทำให้ปลอดภัยทุกกรณี หากจำเป็นต้องเปิดใช้งาน NAS หรือ Remote Desktop จากภายนอก ยังควรใช้วิธีอื่นเสริมด้วย เช่น

• จำกัด Source IP ให้เฉพาะผู้ที่ได้รับอนุญาต
• ใช้ VPN ก่อนเข้าระบบภายใน
• ใช้รหัสผ่านที่คาดเดายาก
• เปิด Multi-Factor Authentication ถ้าระบบรองรับ
• แยก VLAN ระหว่าง Office, Server, NAS และ Guest Wi-Fi
• กำหนด Policy ให้เหมาะสม
• ตรวจสอบ Log อย่างสม่ำเสมอ

ถ้าระบบภายในสำนักงานถูกออกแบบดี โอกาสที่ Malware จะลุกลามจากเครื่องหนึ่งไปทั้งระบบ ลามเป็นเกลื้อน จะลดลงมาก

สรุป

การ Forward Port เข้า NAS และ Remote Desktop เป็นสิ่งที่หลายสำนักงานทำ เพราะใช้งานสะดวกและเข้าถึงอุปกรณ์ภายในได้จากภายนอก แต่ก็เป็นหนึ่งในจุดเสี่ยงที่ผู้โจมตีมักใช้เป็นช่องทางเริ่มต้น

เมื่อผู้โจมตี Scan เจอ Port ที่เปิดอยู่ เขาก็จะตรวจสอบต่อได้ว่าเป็น NAS หรือ Remote Desktop จากนั้นจึงพยายามเจาะระบบต่อ หากสำเร็จ ความเสียหายอาจไปได้ตั้งแต่ไฟล์งานถูกเข้ารหัส ข้อมูลสำคัญของบริษัทรั่ว ไปจนถึงการลุกลามของ Malware ทั้งเครือข่าย

Firewall ช่วยลดความเสี่ยงได้ตั้งแต่ต้นทาง ด้วยการตรวจจับพฤติกรรม Scan Port การจำกัดการเข้าถึงจากภายนอก และการบันทึก Log ให้ผู้ดูแลเห็นความผิดปกติได้เร็วขึ้น

สำหรับระบบ Office ที่มีข้อมูลสำคัญอยู่ใน NAS หรือ Server การใช้ Router ทั่วไปอย่างเดียวอาจไม่เพียงพอ ควรมี Firewall ที่สามารถกำหนด Policy, แยก VLAN, ตรวจจับการโจมตี และควบคุมการเข้าถึงได้ละเอียดกว่าเดิม

ถ้าจำเป็นต้องเปิดเข้าจากภายนอกจริง ๆ ควรใช้ VPN และออกแบบระบบให้รัดกุมตั้งแต่ต้น จะปลอดภัยกว่าการเปิด Port ทิ้งไว้ตรง ๆ ครับ อันนี้แนะนำอยากให้ทำครับ

การทดสอบในบทความนี้เป็นเพียงตัวอย่างแรกของการใช้งาน Firewall เพื่อป้องกันระบบ Office โดยเริ่มจากสิ่งที่เห็นภาพง่ายที่สุด คือการตรวจจับและลดความเสี่ยงจากการถูก Scan Port จากภายนอก

ในระบบจริง การป้องกันที่ดีไม่ใช่แค่การ Block Port Scan เท่านั้นครับ แต่ควรออกแบบร่วมกับ Security Policy, VLAN, VPN, Source IP Restriction, Threat Detection และการตรวจสอบ Log อย่างต่อเนื่อง

บทความถัดไป ทางผมจะทดสอบความสามารถอื่นของ Cybrey Firewall เพิ่มเติม เพื่อให้เห็นภาพว่า Firewall สำหรับสำนักงานสามารถช่วยป้องกันระบบ Network ได้มากกว่า Router ทั่วไปอย่างไร