บทความนี้จำลอง LAB การป้องกัน Malware และ Ransomware เข้าถึง NAS/SERVER ด้วย Cybrey Firewall...
ป้องกัน Malware และ Ransomware เข้าถึง NAS / Server ด้วย Cybrey Firewall

จากบทความก่อนหน้า “เครื่องติด Malware แล้วเกิดอะไรขึ้นในระบบ Network? จำลอง Workflow การโจมตี NAS/Server ” ผมได้อธิบายภาพรวมและ Clip Video แสดง Wirkflow ของ Malware เอาไว้ เมื่อเครื่องหนึ่งในระบบติด Malware แล้ว หรือไม่ได้ติด แต่ถ้าเป็นเครื่องของผู้ไม่หวังดี เป็นเรื่องง่ายที่เครื่องพวกนี้จะเริ่มตรวจสอบสภาพแวดล้อมต่างๆ เช่น ตรวจสอบ IP ของตัวเอง ดู Gateway, DNS และวง Network ที่ใช้งานอยู่ ถ้า Malware ก็จะตรวจสอบ Map Drive, ตรวจสอบ Shortcut ที่อาจชี้ไปยังไฟล์หรือ Server ภายในระบบ
หลังจากนั้นเครื่องพวกนี้จะเริ่มค้นหาเครื่องอื่นๆในระบบ Network ขั้นตอนที่ไม่ควรให้เกิดขึ้นคือช่วง ค้นหาเครื่องในวง Network และตรวจสอบ Service ที่เปิดอยู่ เพราะเครื่องที่ติด Malware หรือเครื่องที่ถูกควบคุมจากภายนอก จะหาอุปกรณ์สำคัญๆ เช่น NAS, Server, NVR, IP Camera หรือเครื่อง Windows ที่เปิด File Sharing ไว้
ในบทความนี้ ผมจะแบ่งการทดสอบออกเป็น 2 LAB เพื่ออธิบายให้เห็นภาพว่า ก่อนทำการป้องกันระบบมีความเสี่ยงตรงไหน และหลังจากแยก VLAN พร้อมกำหนด Policy ด้วย Cybrey Firewall แล้ว สามารถลดความเสี่ยงในการเข้าถึง NAS ได้อย่างไร
LAB1: เมื่อ NAS อยู่ VLAN เดียวกับเครื่องผู้ใช้
LAB1 จะแสดงให้เห็นกรณีที่ NAS / Server อยู่ VLAN เดียวกับเครื่อง User ทั่วไป จะใช้ Kali จำลองครื่องที่ติด Malware เพื่อให้เห็นว่า ถ้า NAS / Server อยู่ในวงเดียวกันกับ Client เครื่องที่ผิดปกติ สามารถค้นหา NAS / Server , ตรวจสอบ Port, เห็น Service อย่าง SMB , RDP และ DSM Management รวมถึงการเข้าถึง Shared-Folder ได้ง่ายแค่ไหน หากมี Username และ Password ที่ถูกต้อง Gateway จะควบคุมหรือเก็บ Log ของ Traffic พวกนี้ได้ยาก เพราะ Traffic ระหว่าง Client กับ NAS จะวิ่งผ่าน Switch ภายใน LAN เป็นหลัก
LAB2: แยก VLAN และใช้ Cybrey Firewall ควบคุมการเข้าถึง NAS
LAB2 จะเริ่มจากผลลัพธ์ของ LAB1 แล้วนำ Cybrey Firewall เข้ามาช่วยป้องกัน โดยแยก VLAN ระหว่าง Office, NAS, Guest, LAB และ Management จากนั้นกำหนด Policy ว่าใครสามารถเข้า NAS ได้บ้าง เข้าได้ด้วย Protocol อะไร และถ้ามีการพยายามเข้าถึงผิดเงื่อนไข และต้องมี Log ให้ตรวจสอบได้ว่าใครที่พยายามทำผิด Policy
ร้าน Sysnet เป็นตัวแทนจำหน่าย Cybrey Firewall ที่ถูกต้องในประเทศไทย ตอนนี้ช่วงเปิดตัว ทางร้านมีราคาโปรโมชั่น พร้อม Support การออกแบบ และ การ Config ถ้าลูกค้าท่านใดสนใจ ติดต่อทางร้านได้เลยนะครับ
LAB1 เมื่อทุกเครื่องอยู่ VLAN เดียวกัน
NAS เป็นอุปกรณ์ Network ที่สำคัญในองค์กรใช้สำหรับเก็บ FIle สำคัญ เช่น เอกสารงานบัญชี ,File งานภายในบริษัท, File Backup , รูปภาพต่างๆ การออกแบบที่ทางร้านพบประจำคือ NAS ถูกวางไว้ในวง Network เดียวกับเครื่องผู้ใช้ทั้งหมด เช่น เครื่องพนักงาน Notebook Wi-Fi หรือ เครื่อง Guest ที่เข้ามาใช้งาน Internet ขององค์กร
เมื่อทุกเครื่องอยู่ใน VLAN เดียวกัน เครื่องที่ติด Malware จะมองเห็น NAS ได้ง่ายมาก โดยเฉพาะ NAS ที่เปิดใช้งาน SMB File Sharing, DSM Web Management หรือ Service อื่นที่เกี่ยวข้องกับการจัดการ File
บทความนี้เป็น LAB แรกของชุดทดสอบการป้องกัน Malware และ Ransomware เข้าถึง NAS โดย LAB นี้จะแสดงภาพก่อนการป้องกัน เพื่อให้เห็นว่าการวาง NAS รวมกับเครื่องผู้ใช้ใน VLAN เดียวกันมีความเสี่ยงอย่างไร

อุปกรณ์ที่ใช้ใน LAB
| อุปกรณ์ | หน้าที่ใน LAB |
|---|---|
| Cybrey Firewall RG-CF10S | Gateway ของระบบ |
| POE Switch RG-NBS3100-8GT2SFP | Switch กลางของระบบ LAB |
| Synology NAS | NAS เป้าหมายในการทดสอบ |
| Windows 11 | เครื่องผู้ใช้ในสำนักงาน |
| Kali Linux | เครื่องจำลองพฤติกรรมของเครื่องที่ติด Malware ในระบบ LAB |
ใน LAB1 ทุกเครื่องอยู่ใน Subnet เดียวกันคือ 192.168.110.0/24
| อุปกรณ์ | IP ตัวอย่าง |
|---|---|
| Cybrey Firewall Gateway | 192.168.110.1 |
| Synology NAS | 192.168.110.17 |
| Kali Linux | 192.168.110.16 |
| Windows Office | 192.168.110.13 |
*** เมื่อ Kali กับ NAS อยู่ VLAN เดียวกัน การสื่อสารระหว่างกันจะวิ่งผ่าน Switch ใน Layer 2 เป็นหลัก Traffic ไม่ผ่าน Gateway ของ Firewall **
LAB นี้ไม่มีการป้องกัน เพื่อเน้นให้เห็นภาพ ก่อนแยก VLAN และ ก่อนสร้าง Firewall Policy ให้ชัดเจน มันง่ายแค่ไหนที่จะค้นหาเครื่อง , Service ในวง Network จากนั้น LAB2 จึงค่อยแสดงวิธีป้องกันด้วย Cybrey Firewall ครับ
ขั้นตอนที่ 1: เครื่องใน LAN สามารถค้นหาอุปกรณ์อื่นได้อย่างไร
เมื่อเครื่องที่ติด Malware อยู่ใน VLAN เดียวกันกับ NAS สิ่งแรกที่เกิดขึ้นได้คือการสำรวจว่าในวง LAN มีอุปกรณ์อะไร Online อยู่บ้าง ใน LAB นี้เราใช้เครื่อง Kali จำลองการสำรวจระบบภายใน LAN
หลักการที่ใช้ค้นหาอุปกรณ์ในวงเดียวกันคือ ARP Discovery เครื่อง Kali จะถามไปในวง LAN ว่า IP ใดมีใครใช้งานอยู่ เครื่องที่ใช้ IP นั้นจริงจะตอบกลับมาพร้อม MAC Address ของตัวเอง

ขั้นตอนที่ 2: เมื่อพบ NAS แล้วทำการหา Service ที่เปิดอยู่
หลังจากพบ IP ของเครื่องที่อยู่ในวง Network , NMAP มันก็เอา OUI ของ Mac-Address ที่ระบุบริษัทผู้ผลิตอุปกรณ์มาแสดงให้เห็นด้วย เครื่องทดสอบก็รู้แล้ว เครื่องไหนมันน่าจะเป็นอะไร จากนั้นก็ตรวจสอบต่อได้ว่า NAS เปิด Service อะไรอยู่บ้าง Service เหล่านี้ช่วยบอกได้ว่าเครื่องนั้นมีหน้าที่อะไรในระบบ
| Service / Port | ความหมาย | ความเสี่ยงที่ควรพิจารณา |
|---|---|---|
| SMB / TCP 445 | ใช้สำหรับ File Sharing หรือ Map Drive | เกี่ยวข้องโดยตรงกับความเสี่ยง Ransomware เพราะใช้เข้าถึงไฟล์ใน NAS |
| DSM HTTP / TCP 5000 | หน้า Web Management ของ Synology ผ่าน HTTP | HTTP ไม่มีการเข้ารหัสในระดับ Network |
| DSM HTTPS / TCP 5001 | หน้า Web Management ของ Synology ผ่าน HTTPS | ปลอดภัยกว่า HTTP แต่ยังควรจำกัดให้เฉพาะ Management VLAN |
| Web Service / TCP 80, 443 | บริการ Web อื่น ๆ ที่อาจเปิดอยู่ | ควรเปิดเท่าที่จำเป็น |
เมื่อพบว่า NAS เปิด SMB และ DSM Management เครื่องที่ติด Malware จะเริ่มรู้ว่าเครื่องนี้มีโอกาสเป็น NAS หรือ File Server ซึ่งเป็นเป้าหมายสำคัญของ Ransomware

ขั้นตอนที่ 3: เครื่องใน LAN เปิดหน้า DSM ของ NAS ได้โดยตรง
เมื่อ NAS เปิดหน้า DSM Management อยู่ เครื่องใน VLAN เดียวกันสามารถเปิดหน้า Login ของ NAS ได้โดยตรง ใน LAB นี้ Kali สามารถเปิดหน้า DSM ของ Synology NAS ได้จากวง LAN เดียวกัน

หรือตรวจสอบหน้า Login ผ่าน CLI ก็จะเห็นว่าเป็นอุปกรณ์อะไร ยี่ห้ออะไร

หน้า Management ของ NAS ควรถูกจำกัดให้เข้าถึงได้เฉพาะเครื่อง Admin หรือ Management VLAN การเปิดให้ทุกเครื่องใน LAN เข้าได้ทำให้พื้นที่เสี่ยงกว้างขึ้นโดยไม่จำเป็น
ขั้นตอนที่ 4: ทดสอบดูรายชื่อ Shared Folder บน NAS
เป้าหมายของ Ransomware คือ SMB File Sharing เพราะ NAS มักถูกใช้งานผ่าน Map Drive หรือ Shared Folder ใน LAB นี้ ถ้า Attacker มี Credential ที่ถูกต้อง ซึ่งเราไม่รู้หรอกว่าเขาไปหาจากไหน เครื่องทดสอบก็สามารถเห็นรายชื่อและเข้าถึง Share File/Folder และ File ได้

เมื่อเครื่องใน VLAN เดียวกันมี Credential ที่ถูกต้อง เครื่องนั้นสามารถเห็นโครงสร้าง Share-Folder บน NAS ได้
ขั้นตอนที่ 5: เมื่อมี Credential ที่ถูกต้อง เครื่องทดสอบสามารถจัดการ File Share ได้
หลังจากเห็นรายชื่อ Shared Folder แล้ว เครื่องทดสอบสามารถเข้า Share Folder ที่มีสิทธิ์ได้ สามารถ Read / Write File ตามสิทธิ์ที่มีได้

Malware ที่ Run บนเครื่องผู้ใช้มักทำงานภายใต้สิทธิ์ของผู้ใช้นั้น หากผู้ใช้มีสิทธิ์อ่านไฟล์ใน NAS โปรแกรมที่รันบนเครื่องนั้นก็มีโอกาส Read/Write FIle ได้เช่นกัน การป้องกันจึงควรเริ่มจากการกำหนดสิทธิ์ให้เหมาะสม ผู้ใช้ควรมีสิทธิ์เฉพาะ Folder ที่จำเป็น และควรมี Snapshot หรือ Backup แยกชุดไว้เสมอ
ขั้นตอนที่ 6: การ Login ผิดควรถูกบันทึกเป็น Log บน NAS
ผมลองทดลอง Login ผิดจน NAS มัน Block IP จากนั้นตรวจสอบ Log ใน NAS ต้องมีเหตุการณ์ Login Failed

โดยปกติทางร้านจะสอบถามกับทางลูกค้าที่ซื้อ NAS ต้องการให้มี Push Message ส่งเข้า Telegram เพื่อแจ้งเตือน Alert ต่างๆครับ

ขั้นตอนที่ 7: เมื่อ Login ด้วย Protocol HTTP และ HTTPS ต่างกันอย่างไรเมื่อดูผ่าน Wireshark
เมื่อเครื่อง Login เข้า NAS ผ่าน Protocol HTTP เช่น DSM Port 5000 ข้อมูลในระดับ Network ที่ใช้ Protocol นี้จะไม่มีการเข้ารหัส เมื่อใช้ Wireshark หรือพวก Sniffer จะสามารถเห็นรายละเอียดบางส่วนของการสื่อสารได้ เช่น URL, Header, Cookie, API Request หรือข้อมูลบางส่วนของ Session

เมื่อเข้า NAS ผ่าน HTTPS เช่น DSM Port 5001 ข้อมูลภายในจะถูกเข้ารหัส Wireshark จะเห็นว่าเครื่องคุยกับ NAS ผ่าน TLS แต่ไม่สามารถอ่านรายละเอียด Payload ข้างในได้ง่าย ๆ

เพราะฉะนั้นหน้า Management ของ NAS ควรใช้ HTTPS และควรถูกจำกัดให้เข้าถึงจาก Management VLAN เท่านั้น การเปิด DSM ให้ทุกเครื่องใน LAN เข้าได้เพิ่มความเสี่ยงโดยไม่จำเป็น
ขั้นตอนที่ 10: เครื่องใน LAN เข้าหน้า Management ของ Firewall / อุปกรณ์ Network Device อื่นๆ
นอกจาก NAS แล้ว หน้า Management ของอุปกรณ์ Network เช่น Firewall, Router, Switch, AP หรือ NVR ก็ไม่ควรเปิดให้ทุกเครื่องใน LAN เข้าถึงได้ ใน LAB นี้เครื่องทดสอบสามารถเปิดหน้า Login ของ Cybrey Firewall ผ่าน Gateway ได้

สรุปผล LAB1
จากตัวอย่างการทดสอบทั้งหมดที่กล่าวมา จะเห็นว่าเมื่อ Kali, Windows และ NAS อยู่ VLAN เดียวกัน เครื่องทดสอบสามารถค้นหา NAS, ตรวจสอบ Service, เปิดหน้า DSM, เห็น SMB Share และเขียนไฟล์ลง NAS ได้ หากมี Credential ที่ถูกต้อง
เนื่องจาก Traffic ที่เกิดขึ้นเป็นระดับ Layer 2 ระหว่าง Kali กับ NAS อยู่ใน VLAN เดียวกันจะวิ่งผ่าน Switch โดยตรง ไม่ได้วิ่งผ่าน Firewall Gateway ดังนั้น Firewall จะไม่สามารถควบคุมหรือเก็บ Log ได้ ถ้า NAS อยู่ VLAN เดียวกับเครื่องลูกข่าย
Kali → Network Switch → NAS
- LAB1 แสดงให้เห็นปัญหาพื้นฐานที่พบได้บ่อยในระบบ Network ขนาดเล็กและขนาดกลาง คือการวาง NAS /Server ไว้ใน VLAN เดียวกับเครื่องผู้ใช้ทั้งหมด เมื่อเครื่องหนึ่งในวง LAN ติด Malware เครื่องนั้นสามารถเริ่มสำรวจระบบได้ทันที โดยใช้ Host Discovery เพื่อหาอุปกรณ์ที่ Online อยู่ จากนั้นตรวจสอบ Service เพื่อระบุว่าเครื่องไหนเป็น NAS หรือ File Server
- ถ้า NAS เปิด SMB และ DSM Management ให้เข้าจากวง LAN เดียวกัน เครื่องที่ติด Malware สามารถลองเข้าถึง NAS ได้โดยตรง และถ้ามี Username/Password ที่ถูกต้อง ก็สามารถเห็น Share, อ่านไฟล์, เขียนไฟล์ หรือแก้ไขไฟล์บน NAS ได้ตามสิทธิ์ของ User นั้น
- การใช้ HTTPS ช่วยลดความเสี่ยงจากการดักอ่านข้อมูล (Sniffer) ระหว่างทาง แต่ถ้าทุกเครื่องยังเข้าถึงหน้า DSM ได้ ความเสี่ยงก็ยังมีอยู่ดี จำเป็นต้องแยก NAS ออกจากวงผู้ใช้งานทั่วไป และควบคุมด้วย Firewall Policy
- เครื่องผู้ใช้งานสามารถเข้าหน้า Config ของอุปกรณ์ Network ได้ ถ้าผู้ดูแลระบบไม่ได้เปลี่ยน Default Password จะทำให้ผู้ไม่หวังดีเข้าถึงอุปกรณ์ Network เหล่านั้นได้
LAB2: แยก VLAN และใช้ Cybrey Firewall ป้องกัน Malware/Ransomware เข้าถึง NAS/Server
จาก LAB1 เมื่อ NAS อยู่ในวง Network เดียวกับเครื่องผู้ใช้ เครื่องที่ติด Malware สามารถค้นหา NAS, ตรวจสอบ Service, เปิดหน้า DSM, เห็น Shared Folder และเขียนไฟล์ลง NAS ได้ หากมี Username และ Password ที่ถูกต้อง
ปัญหาของ LAB1 ที่ไม่สามารถป้องกันได้ ก็เพราะว่า Traffic ระหว่าง Client กับ NAS / Server วิ่งผ่าน Network Switch ภายใน VLAN เดียวกัน ไม่ได้วิ่งผ่าน Firewall ทำให้ Firewall ไม่มีโอกาสควบคุมหรือเก็บ Log ของ Traffic ส่วนนั้น
แยก NAS / Server ออกจากวง Network ของ User แล้วบังคับให้การเข้าถึง NAS ต้องผ่าน Cybrey Firewall โดยกำหนด Policy ว่าใครที่สามารถเข้า NAS ได้บ้าง เข้าได้ด้วย Protocol อะไร

โครงสร้าง Network ใน LAB2
ใน LAB2 ผมจะเปลี่ยนจากการวางทุกเครื่องไว้ในวง Network เดียวกัน มาเป็นการแยก VLAN แบ่งตามหน้าที่ของอุปกรณ์ โดยให้ Cybrey Firewall เป็น Gateway ของแต่ละ VLAN และเป็นจุดกลางในการควบคุม Traffic ระหว่าง VLAN
| กลุ่มอุปกรณ์ | VLAN | IP / Subnet | หน้าที่ |
|---|---|---|---|
| Office | VLAN10 | 10.0.10.0/24 | เครื่องผู้ใช้ในสำนักงาน เช่น Windows 11 |
| Guest | VLAN20 | 10.0.20.0/24 | Wi-Fi สำหรับผู้มาติดต่อ หรือ Smartphone |
| NAS | VLAN30 | 10.0.30.0/24 | Synology NAS หรือ File Server |
| LAB | VLAN50 | 10.0.50.0/24 | Kali หรือเครื่องจำลองพฤติกรรม Malware |
| Management | VLAN110 | 192.168.110.0/24 | เครื่อง Admin และอุปกรณ์ Network |
ตัวอย่าง IP ที่ใช้ใน LAB นี้
| อุปกรณ์ | VLAN | IP |
|---|---|---|
| Windows LAB | VLAN10 Office | 10.0.10.2 |
| Synology NAS | VLAN30 NAS | 10.0.30.2 |
| Kali LAB | VLAN50 LAB | 10.0.50.2 |
| Admin PC | VLAN110 Management | 192.168.110.2 |

แนวคิดการป้องกันใน LAB2
การป้องกันในการเข้าถึง NAS ใน LAB2 จะเริ่มจากการกำหนด Policy ซึ่งเป็นหัวใจหลักของ Firewall เลยครับ โดยแยก NAS /Server ออกจาก Client แล้วกำหนด Permission เข้าถึงอย่างชัดเจน
| Source | Destination | สิ่งที่อนุญาต | สิ่งที่ต้อง Block |
|---|---|---|---|
| Office | NAS | Map Drive ผ่าน Protocol SMB เท่านั้น | ห้ามเข้า DSM Web Management และ Service อื่นๆของ NAS ห้ามเข้า Management ของ Firewall |
| Management | NAS | เข้า DSM ผ่าน HTTPS เท่านั้น | ห้ามใช้ Protocol อื่นที่ไม่จำเป็น |
| Guest | NAS / Management | ไม่อนุญาต | ห้ามเข้า NAS, Firewall, Switch, AP, NVR |
| LAB / Kali | NAS | ไม่อนุญาตเป็นค่าเริ่มต้น | ห้าม Scan หรือเข้าถึง NAS ห้ามเข้า Management ของ Firewall |
Policy ที่ใช้ใน LAB2
ใน LAB นี้ Policy ถูกออกแบบให้เห็นผลชัดเจนว่า Traffic ไหนควรผ่าน และ Traffic ไหนควรถูกบล็อกพร้อมมี Log
| ลำดับ | Policy | ผลที่ต้องการ |
|---|---|---|
| 1 | ALLOW_MGMT_TO_NAS_HTTPS | ให้ Management เข้า DSM ของ NAS ผ่าน HTTPS ได้ |
| 2 | DENY_MGMT_TO_NAS_HTTP | ปิด Protocol HTTP Management ป้องกันการ Sniffer |
| 3 | ALLOW_OFFICE_TO_NAS_SMB | ให้เครื่อง Office Map Drive เข้า NAS ผ่าน SMB ได้ |
| 4 | DENY_OFFICE_TO_NAS_DSM | ห้าม Office เข้า DSM Web Management |
| 5 | DENY_GUEST_TO_INTERNAL | ห้าม Guest เข้าวง Network อื่นๆทุกกรณี |
| 6 | ALLOW_GUEST_TO_INTERNET | อนุญาติให้ Guest ใช้งาน Internet |
| 8 | ALLOW_MGMT_TO_INTERNET | อนุญาติให้ Management ใช้งาน Internet |
| 9 | ALLOW_OFFICE_TO_INTERNET | อนุญาติให้ Office ใช้งาน Internet |
| 10 | ALLOW_KALI_TO_INTERNET | |
| 8 | Default Policy | Block ทุกอย่างที่นอกเหนือจาก Rule 1-10 |

ทดสอบที่ 1: Guest เข้า NAS ไม่ได้
ใน LAB1 หากเครื่องอยู่ VLAN เดียวกันกับ NAS เครื่องนั้นสามารถค้นหาและลองเข้าถึง NAS ได้โดยตรง แต่ใน LAB2 เราแยก Guest ออกมาเป็น VLAN20 และกำหนด Policy ไม่ให้ Guest เข้า NAS
เมื่อลองเปิดหน้า NAS หรือพยายามเข้าถึง IP ของ NAS จากเครื่อง Guest ผลลัพธ์คือไม่สามารถเข้าได้ และ Cybrey Firewall มี Log แสดงว่า Traffic จาก Guest ถูกบล็อกตาม Policy

เนื่องจาก Cybrey Firewall รุ่นที่ทดสอบเป็นรุ่นเล็กไม่รองรับการใส่ Harddisk การเก็บ Log ในปริมาณมากๆเช่น Session Log, NAT Log etc จำเป็นที่จะต้องส่ง Log ไปยัง NAS ผ่าน Protocol Syslog ครับ


ทดสอบที่ 2: Block การเข้าถึงหน้า Managed ของ Firewall
หน้า Management ของ Firewall ไม่ควรเปิดให้ทุก VLAN เข้าถึงเว้นแต่ VLAN Management โดยเฉพาะ Guest VLAN หรือ Wi-Fi สำหรับผู้มาติดต่อ
ใน LAB นี้ ผมจำกัดการเข้าหน้า Management ของ Firewall ให้เฉพาะ Management VLAN เท่านั้น เมื่อใครก็ตามที่พยายามเข้า Gateway หรือหน้า GUI ของ Firewall จะไม่สามารถเข้าได้ และก็ Ping ไม่ได้ด้วยครับ

ทดสอบที่ 3: Office Map Drive เข้า NAS ได้เฉพาะ SMB
เครื่อง Office ยังจำเป็นต้องใช้งาน NAS เพื่อ Map Drive หรือเปิดไฟล์งาน ดังนั้นเรายังอนุญาตให้ Office เข้า NAS ได้ แต่เปิดเฉพาะ Protocol ที่จำเป็นคือ SMB
ใน LAB นี้ Windows Office ที่ IP 10.0.10.2 สามารถ Map Drive ไปยัง NAS ที่ IP 10.0.30.2 ได้ตามปกติ แสดงว่าการแยก VLAN ไม่ได้ทำให้ผู้ใช้ใช้งาน NAS ไม่ได้ หาก Policy ถูกออกแบบให้เหมาะสม

ทดสอบที่ 4: Office เข้าหน้า DSM ของ NAS ไม่ได้
ถึงแม้ Office จะ Map Drive เข้า NAS ได้ แต่ Office ก็ไม่ควรเข้าหน้า DSM Web Management เพราะใช้สำหรับผู้ดูแลระบบ ไม่ควรเปิดให้ User ทั่วไปเข้าถึง
เมื่อเครื่อง Office พยายามเข้า DSM ของ NAS ผ่าน Web Browser จะถูกบล็อกตาม Policy

ทดสอบที่ 5: Management เข้า DSM ผ่าน HTTPS ได้เท่านั้น
หน้า DSM ของ NAS ควรให้เฉพาะเครื่อง Admin หรือ Management VLAN เข้าถึงได้ และเข้า DSM ผ่าน Protocol HTTPS เท่านั้น
การใช้ HTTPS จะช่วยให้ข้อมูลระหว่างเครื่อง Admin กับ NAS ถูกเข้ารหัส และการจำกัดให้เข้าได้เฉพาะ Management VLAN ช่วยลดโอกาสที่เครื่องผู้ใช้ทั่วไปหรือ Guest จะเข้าถึงหน้า Admin ของ NAS


ทดสอบที่ 6: Kali จาก LAB VLAN Scan NAS ไม่ได้
ใน LAB1 Kali อยู่ VLAN เดียวกับ NAS จึงสามารถค้นหา NAS และตรวจสอบ Service ได้ง่าย แต่ใน LAB2 Kali ถูกแยกไปอยู่ VLAN50 และไม่สามารถเข้าถึง NAS VLAN30 ได้โดยตรง
เมื่อ Kali พยายามค้นหา NAS หรือ Scan Service ของ NAS Traffic จะต้องผ่าน Cybrey Firewall และถูกบล็อกตาม Policy ที่กำหนดไว้

State: Filtered หมายถึง เครื่องปลายทางไม่มีการตอบกลับว่า Active หรือไม่ Active
** ถ้าต้องการเพิ่มความปลอดภัยสามารถเปิดฟังก์ชัน IP Scan Defense และ Port Scan Defense เพื่อช่วยตรวจจับพฤติกรรมการ Scan ที่ผิดปกติ แต่ควรตั้งค่า Threshold ให้เหมาะกับระบบจริง เพื่อลดโอกาสเกิด False Positive
สรุปผลการทดสอบ LAB2
| การทดสอบ | ผลลัพธ์ | ความหมายด้าน Security |
|---|---|---|
| Guest พยายามเข้า NAS, Internal Network ทั้งหมด | Block | Guest ไม่ควรเห็น NAS หรือ File Server ภายใน ออก Internet ได้อย่างเดียว |
| Guest พยายามเข้า GUI Firewall | Block | หน้า Management ไม่ควรเปิดให้ทุก VLAN |
| Office Map-Drive จาก Share-Folder ของ NAS | เข้าได้เฉพาะ SMB | เปิดเฉพาะ Service ที่จำเป็นต่อการใช้งาน |
| Office เข้า Manage DSM | Block | ผู้ใช้ทั่วไปไม่ควรเข้า Management ของ NAS |
| Management เข้า Manage DSM | เข้าได้ผ่าน HTTPS เท่านั้น | ให้เฉพาะ Admin จัดการ NAS ได้ |
| Kali Port-Scan NAS | Block | ลดโอกาสที่เครื่องติด Malware , ผู้ไม่หวังดีจะสำรวจ NAS |
เปรียบเทียบ LAB1 กับ LAB2
| หัวข้อ | LAB1: ทุกเครื่องอยู่ VLAN เดียวกัน | LAB2: แยก VLAN และทำ Policy |
|---|---|---|
| การค้นหา NAS | Kali ค้นหา NAS ได้ง่ายในวง Network เดียวกัน | Kali อยู่คนละ VLAN และถูก Block โดย Firewall |
| การเข้า SMB | Client ที่มี Credential เข้าถึง Share Folder ได้โดยตรง | เปิดเฉพาะ Network Office หรือเครื่องที่ได้รับอนุญาตเท่านั้น |
| การเข้า DSM | Client ใน LAN เปิดหน้า DSM ได้ | อนุญาตเฉพาะ Management VLAN เข้า DSM ผ่าน Protocol HTTPS เท่านั้น |
| การเข้า Management Gateway / Firewall | Client ใน LAN เปิดหน้า Managed Gateway / Firewall / อุปกรณ์ Network อื่นๆ ได้ | อนุญาติเฉพาะ Management VLAN ที่จะเข้า Manage Gateway / Firewall / อุปกรณ์ Network อื่นๆ |
| ผลกระทบเมื่อเครื่องติด Malware | Malware มีโอกาสตรวจสอบอุปกรณ์ Network ในเครือข่ายและเข้าถึง NAS / Server / อุปกรณ์ Network อื่นๆ ได้ง่าย | Malware ถูกจำกัดเส้นทาง ลดโอกาสเข้าถึง NAS / Server / อุปกรณ์ Network อื่นๆ |
ข้อแนะนำสำหรับการนำไป Implement
จาก LAB2 จะเห็นว่า การป้องกัน NAS จาก Malware และ Ransomware ควรเริ่มจากการออกแบบ Network ให้ถูกต้องการแบ่ง VLAN และ การกำหนด Policy ถือเป็นหัวใจสำคัญในการปกป้องระบบเครือข่าย จากนั้นเสริมด้วย Feature อื่นของ Firewall เช่น IPS, Virus Protection, Threat Intelligence, DNS Protection, URL Filtering, รวมถึงการทำ Snapshot และ Backup บน NAS เพื่อช่วยลดความเสียหายเมื่อเกิดเหตุการณ์โดนโจมตีจริง
การแยก NAS / Server ไปอยู่ VLAN เฉพาะ ให้ Office เข้า NAS เฉพาะ Service ที่จำเป็น เช่น SMB จำกัดหน้า Management ของ NAS ให้เฉพาะ Admin หรือ Management VLAN และ Block Guest รวมถึง LAB VLAN ไม่ให้เข้าถึง NAS หรืออุปกรณ์ Management ภายใน
สรุป
LAB1 แสดงให้เห็นความเสี่ยงเมื่อ NAS อยู่ VLAN เดียวกับเครื่อง User ส่วน LAB2 แสดงให้เห็นเมื่อแยก VLAN และใช้ Cybrey Firewall ควบคุมการเข้าถึง NAS ความเสี่ยงจะลดลงอย่างชัดเจน
เครื่อง Guest ไม่สามารถเข้า NAS ได้ ไม่สามารถเข้า Internal Network อื่นๆได้ ออก Internet ได้อย่างเดียว, เครื่อง Office ใช้งาน NAS ได้เฉพาะ Map-Drive หน้า Managed DSM เปิดให้เฉพาะ Management VLAN และ Kali จาก LAB VLAN ไม่สามารถ Scan หรือเข้าถึง NAS ได้ตามเดิม
รวมถึงทุก VLAN ไม่สามารถเข้าหน้า Managed Gateway / Firewall ได้ เว้นเฉพาะ VLAN Management ที่เป็นผู้ดูแลระบบ
แนวทางนี้ไม่ได้ทำให้ระบบซับซ้อนอะไรมากมายเลยครับ แต่ช่วยเปลี่ยนจากระบบที่ทุก Client สามารถเชื่อมต่อหากันได้หมด มาเป็นระบบที่ควบคุมได้ว่าใครควรเข้าถึงอะไร ใครทำอะไรได้บ้าง ซึ่งเป็นพื้นฐานสำคัญในการลดความเสี่ยงจาก Malware และ Ransomware ในระบบ Network
ในบทความต่อไปจะเป็นการป้องกันที่ Advance ขึ้นมาอีกขั้นครับ ใช้ Feature ต่างๆของ Cybrey Firewall IPS, Virus Protection, Threat Intelligence, DNS Protection, URL Filtering
