www.oocities.org/pontipa001
หน้าแรก
ป้องกันไฟล์โผล่มาเอง
ปัญหานี้เกิดมานานแล้ว
แต่ผมยังไม่เคยเอามาเขียน พอดีรู้สึกว่าจะยังไม่มีใครเขียนไว้ผมเลยเอามาเขียนให้ลองอ่านดูครับ
ปัญหานี้เจอกับตัวเองมาก่อน ที่บ้านผมจะมีเครื่องสำหรับต่อเน็ตหนึ่งเครื่องโดยไม่ยุ่งอะไรเลย
วันดีคืนดีปรากฏว่าไม่มีใครใช้เน็ต แต่เห็นโมเด็ม RD มันติดเหมือนมีใครโหลดไฟล์จึงแปลกใจมาก
ปรากฏไฟล์ .eml มันได้เข้ามาแล้วหลายไฟล์ โชคดีที่เครื่องที่ต่อเน็ตไม่มีใครใช้งานและคนใช้งานก็คือผมที่ไม่มีวันไปคลิกเจ้าไฟล์
.eml ที่ไม่รู้จักอยู่แล้ว ก็จะยังไม่ติดพวกไวรัสดังกล่าว ถ้าติดขึ้นมามันก็จะกระจายไปในวง
LAN ซึ่งคงไม่ดีแน่ จึงได้เวลาสำรวจว่ามันมาได้อย่างไร ผลสำรวจปรากฏว่าเครื่องที่ลงโปรแกรม
WinRoute หรือเครื่องที่ต่อเน็ตและ Share Folder ไว้มีสิทธิ์ที่จะโดนได้เสมอ
เนื่องจาก Script ของ Microsoft เองนี่แหละครับ ที่สามารถ List Share
Folder ต่างๆได้โดยจะติดต่อมาก่อนที่ TCP Port 139 ฉะนั้นผมก็จะปิด
TCP Port 139 นั้นเอาไว้เสีย ปัญหาก็จะหมดลงไป โดยจะปิดที่เครื่องแม่ข่ายที่ลง
WinRoute เอาไว้
ผมจะใช้
Packet Filter ซึ่งอยู่ที่ Settings > Advanced > Packet Filter...
เป็นตัวจัดการ โดยเมื่อเปิดขึ้นมาแล้วเราจะเห็นสองส่วนคือ Incoming
และ Outgoing ช่วงนี้ต้องใช้จินตนาการสูง ขอให้ค่อยๆคิดตามไปดีๆนะครับ
การเซ็ต
Rules จำพวกนี้ซึ่งเป็นจำพวก Firewall นั้นจะต้องมองถึง Data ที่มีทั้งขาเข้าและขาออก
และต้องมองที่จุด จุดใดจุดหนึ่ง ณ จุดนั้นๆก็จะมีขาเข้าและขาออกเสมอ
เช่น
ถ้ามองที่ขาออกของการ์ดแลน
ที่ตรงเครื่องแม่ข่าย ก็หมายความว่า
ออกจากเครื่องแม่ข่าย ไปหาลูกข่าย
ถ้ามองที่ขาออกของการ์ดแลน ที่ตรงเครื่องลูกข่าย
ก็หมายความว่า ออกจากเครื่องลูกข่าย
ไปหาแม่ข่าย
ถ้ามองที่ขาออกของโมเด็ม ที่ตรงเครื่องแม่ข่าย ก็หมายความว่า เป็นข้อมูลออกจากโมเด็ม
ไปสู่ isp
การเซ็ต
Rule จึงอาจจะทำให้คุณมึนงงได้เสมอ ทีนี้มาดูว่าเมื่อเราตรวจพบว่าพวกไวรัสมันเข้ามาที่
TCP Port 139 แล้วเราจะนำมาใส่ Rule โดยวิเคราะห์ได้ว่า เข้ามาทางโมเด็ม
มาจากภายนอก ฉะนั้นต้องดูที่ขาเข้า และที่โมเด็ม เมื่อได้จุดที่จะสร้าง
Rule แล้วเราก็เลือก Interface ที่เราจะใส่ Rule ในที่นี้คือ line1
และกด Add จะปรากฏหน้าจอให้ใส่ข้อมูล
เมื่อเราเลือก
TCP แล้วก็จะต้องจินตนาการถึง Source และ Destination อีกต่อนึง
กล่าวคือ ข้อมูลเข้ามาจากภายนอก ฉะนั้น ต้นตอของมันก็คือ Source
และปลายทางของมันก็คือเครื่องเรา Destination เมื่อเราต้องการป้องกันเครื่องเรา
แสดงว่าเราต้องดักจับที่ปลายทางคือ Destination ที่มี Port = 139
และจากการที่เราเชื่อมต่ออินเทอร์เน็ตได้รับ IP Address ที่เปลี่ยนไปเรื่อยๆจึงไม่ต้องระบุ
IP Address ให้เป็น Any address ในทางกลับกัน ต้นตอของมันเราก็ไม่สามารถทราบได้ว่ามาจากที่ใดและเปิด
port อะไรส่งมา เราจึงตั้งไว้เป็นทั้ง Any address และ Any port
ต่อไปคือเมื่อเราดักจับข้อมูลได้แล้วเราจะทำอะไรกับมัน นั่นก็คือ
Action จะมีให้เลือกสามหัวข้อ Permit คือยอมให้เข้ามาได้ Drop คือไม่สนใจมันเลย
Deny คือปฎิเสธ ในการปิดกั้นสิ่งไม่พึงประสงค์ต่างๆผมแนะนำให้ใช้
Drop ถึงแม้ว่าชื่อมันดูจะขัดแย้งกับภาษาไทยคือไม่สนใจ หรือละทิ้ง
แต่มันมีประโยชน์คือ การ Drop ไม่มีปฏิกิริยาใดๆตอบกลับ แต่การ Deny
นั้นจะมีการตอบกลับไปปลายทางเสมอว่าปฏิเสธ แนวทางนี้จะเห็นผลในการกันการยิง
port ต่างๆบนอินเทอร์เน็ต ฉะนั้นควรเลือก Drop มากกว่า Deny จากนั้นถ้าเราอยากจะทราบว่ามีการติดต่อเข้ามาและเข้าข่าย
Rule นี้เมื่อไหร่ก็ให้ Log into window เราก็จะสามารถเปิดดูได้เมื่อมีการติดต่อเข้ามา
เมื่อเซ็ตค่าเสร็จแล้วเราจะได้หน้าตาของ Packet Filter ดังรูป
เพิ่มเติมเกี่ยวกับ
Rule นะครับ Rule จะเช็คจากบนลงล่าง ฉะนั้นเมื่อเข้าข่ายแล้วมันก็จะทำตาม
Rule ที่พบ Rule แรกเสมอและเลิกเช็ค Rule ด้านล่าง ยกตัวอย่างง่ายๆ
1. ผู้ที่ติดต่อมาจาก
10.0.0.1 ปลายทาง 10.0.0.2 ที่ port 80 Permit
2. ผู้ที่ติดต่อมาจาก 10.0.0.1 ปลายทาง 10.0.0.2 ที่ port 80 Drop
การเซ็ต Rule
ดังตัวอย่างแรกนี้ จะเข้าข่าย Rule 1 ก่อนและสามารถติดต่อได้ ตัวอย่างต่อไป
1. ผู้ที่ติดต่อมาจาก
10.0.0.1 ปลายทาง 10.0.0.2 ที่ port 80 Permit
2. ผู้ที่ติดต่อมาจาก Any address ปลายทาง 10.0.0.2 ที่ port 80
Drop
การเซ็ต Rule
ดังตัวอย่างที่สองนี้ ผู้ที่มาจาก 10.0.0.1 จะติดต่อได้ แต่ผู้อื่นที่ไม่ใช่
10.0.0.1 จะไม่สามารถติดต่อได้เลย
จากตัวอย่างที่กล่าวไปทั้งหมดแล้วคงจะพอเป็นแนวทางสำหรับป้องกันสิ่งต่างๆได้บ้าง
อาจจะหนักไปสำหรับมือใหม่ แต่ไม่ยากเกินไปหรอกครับ ค่อยๆคิดดีๆ แต่อาจจะต้องมีพื้นฐานเรื่อง
IP และ Port สักหน่อย รวมถึงการใช้จินตนาการสูงพอสมควร