FortiGate Administrator Training

พอหน้าจอขึ้นคำว่า Block หลายคนอาจถอนหายใจด้วยความโล่งใจ Traffic ถูกหยุดแล้ว เรื่องน่าจะจบ
สำหรับทีม Network Security คำว่า Block เป็นเพียงผลลัพธ์หนึ่ง มันบอกว่าการเชื่อมต่อนั้นไม่ได้รับอนุญาต แต่ยังบอกไม่ได้ว่า Traffic มาจากเครื่องใด เกิดจาก Application อะไร กำลังติดต่อกับปลายทางไหน และมีการเชื่อมต่อชุดอื่นที่ผ่านออกไปตาม Policy เดิมหรือไม่ เพราะ Traffic ที่ถูกบล็อกอาจเป็นเพียงส่วนที่ผิดจากเงื่อนไขอย่างเห็นได้ชัด ขณะที่อีกส่วนอาจใช้ Port มาตรฐาน วิ่งผ่าน HTTPS และดูคล้ายการเชื่อมต่อที่เกิดขึ้นในแต่ละวัน
ช่วงบ่ายวันหนึ่ง พนักงานได้รับอีเมลที่ดูเหมือนเอกสารจากคู่ค้า ชื่อไฟล์ไม่ได้สะดุดตา และเนื้อหาก็ใกล้เคียงกับงานที่เคยได้รับ เขาจึงเปิดไฟล์ขึ้นมาตรวจสอบ โดยไม่เห็นข้อความเตือนหรือความเปลี่ยนแปลงใดบนหน้าจอ
หากไฟล์ดังกล่าวมีโปรแกรมอันตรายซ่อนอยู่ การเปิดไฟล์อาจทำให้โปรแกรมเริ่มทำงานเบื้องหลัง และพยายามเชื่อมต่อไปยังระบบภายนอกเพื่อรับคำสั่ง ดาวน์โหลดข้อมูลเพิ่มเติม หรือส่งข้อมูลบางส่วนออกไป หลังจากนั้นไม่นาน FortiGate บันทึกการเชื่อมต่อจากเครื่องเดียวกันไปยังปลายทางภายนอกที่ไม่คุ้นเคย ช่วงเวลาที่เกิดขึ้นใกล้กันทำให้ไฟล์แนบกลายเป็นหนึ่งในประเด็นที่ต้องตรวจสอบ แต่ยังไม่เพียงพอให้สรุปว่าเป็นต้นเหตุ ทีมต้องดูข้อมูลจากเครื่องต้นทาง Log และหลักฐานแวดล้อมอื่นร่วมกัน
Traffic ชุดแรกไม่เข้าเงื่อนไขที่องค์กรอนุญาตไว้ จึงถูก Firewall ปฏิเสธ ส่วนอีกชุดหนึ่งใช้ Port สำหรับ Web Traffic และ Match กับ Policy ที่อนุญาตให้เชื่อมต่อออกไปได้ ถ้าดูเพียง Allow หรือ Deny เรื่องอาจดูไม่ซับซ้อน ชุดหนึ่งถูกบล็อก ส่วนอีกชุดได้รับอนุญาตให้ผ่าน สิ่งที่ต้องหาคำตอบต่อคือ Traffic ที่ “ผ่าน” ออกไปนั้น เป็นการใช้งานเว็บตามปกติจริงหรือไม่ ทีมไล่ดูว่าเครื่องต้นทางเป็นของใคร อยู่ใน Network Segment ใด และ Traffic Match กับ Policy ข้อไหน ก่อนพบว่า Policy ดังกล่าวถูกสร้างขึ้นเพื่อให้พนักงานใช้งานอินเทอร์เน็ต โดยมี Security Profile บางส่วนทำงานอยู่แล้ว
FortiGate กำลังบังคับใช้เงื่อนไขตามที่ผู้ดูแลกำหนดไว้ แต่การผ่าน Policy ยังไม่ได้ยืนยันว่าพฤติกรรมภายในเป็นการใช้งานตามปกติ ข้อมูลจาก Application Control จึงเข้ามาช่วยระบุว่า Traffic เกิดจาก Application ประเภทใด โดยพิจารณามากกว่าหมายเลข Port ที่ใช้เชื่อมต่อ ตัวอย่างเช่น Traffic ที่วิ่งผ่าน Port 443 อาจดูเหมือนการเปิดเว็บไซต์ทั่วไป แต่เมื่อวิเคราะห์ลักษณะการเชื่อมต่อแล้ว ระบบอาจพบว่าเป็น Application หรือบริการอีกประเภทหนึ่ง Port จึงเปรียบได้กับช่องทางที่ใช้เดินทาง แต่ไม่ได้บอกเสมอไปว่า สิ่งที่เดินทางอยู่ภายในคืออะไร ขณะเดียวกัน Intrusion Prevention System หรือ IPS ช่วยตรวจว่า Traffic มีรูปแบบตรงกับภัยคุกคามหรือการโจมตีที่ระบบรู้จักหรือไม่
อย่างไรก็ตาม IPS Alert เพียงรายการเดียวยังไม่เพียงพอให้สรุปเหตุการณ์ จำเป็นต้องดูร่วมกับเครื่องต้นทาง ปลายทาง ผู้ใช้งาน Application, Policy และช่วงเวลาที่เกิดเหตุ เพื่อเชื่อมโยงข้อมูลแต่ละส่วนเข้าด้วยกัน ความท้าทายจะเพิ่มขึ้นเมื่อ Traffic ถูกเข้ารหัสด้วย HTTPS เพราะแม้การเข้ารหัสจะช่วยปกป้องข้อมูลระหว่างทาง ก็ทำให้เครื่องมือ Security ตรวจสอบเนื้อหาภายในได้จำกัดลง หากตรวจสอบเฉพาะ Certificate ระบบยังอาจเห็นข้อมูลบางส่วน เช่น ปลายทางและชื่อที่ระบุใน Certificate แต่จะยังมองไม่เห็นเนื้อหาภายใน Session อย่างละเอียด ส่วน Deep Inspection จะถอดรหัส Traffic ชั่วคราวเพื่อตรวจสอบเนื้อหาภายใน ก่อนเข้ารหัสและส่งต่อไปยังปลายทาง วิธีนี้ช่วยเพิ่มการมองเห็น แต่ต้องพิจารณาทั้งความเป็นส่วนตัว ผลกระทบต่อ Application ประสิทธิภาพของอุปกรณ์ และนโยบายขององค์กร
การตรวจสอบจึงควรออกแบบให้เหมาะกับประเภทของ Traffic และระดับความเสี่ยง พร้อมดูว่า Policy แต่ละข้อผูกกับ Security Profile ใด และตั้งค่าให้ Block, Monitor หรือบันทึก Log ไว้อย่างไร เพราะการเปิดใช้ Antivirus, Web Filtering, Application Control หรือ IPS เพียงอย่างเดียว ยังไม่ทำให้ระบบมองเห็นและควบคุม Traffic ได้ครบ คุณค่าของเครื่องมือเหล่านี้ขึ้นอยู่กับการตั้งค่าและความสามารถของทีมในการอ่านข้อมูลร่วมกัน
เหตุการณ์นี้จึงชวนให้กลับมาทบทวนว่า Policy, Security Profile, Logging และระดับการมองเห็นที่ใช้อยู่ ยังเหมาะกับบริบทและความเสี่ยงขององค์กรหรือไม่ ในระบบจริง อาจมีทั้ง Rule ที่เปิดไว้สำหรับ Project ชั่วคราว, Service ของ Application รุ่นเก่า, สิทธิ์ Admin ที่เพิ่มขึ้นเพื่อแก้เหตุเร่งด่วน หรือ VPN ที่เปิดให้ Vendor เข้าดูแล Server การตั้งค่าเหล่านี้อาจมีเหตุผลในวันที่ถูกสร้างขึ้น แต่เมื่อระบบ ผู้ใช้ และรูปแบบการทำงานเปลี่ยนไป สิ่งที่เคยจำเป็นอาจเปิดกว้างกว่าที่งานปัจจุบันต้องใช้ แนวคิด Principle of Least Privilege หรือการให้สิทธิ์เท่าที่จำเป็น จึงครอบคลุมทั้งสิทธิ์ของผู้ใช้ การเข้าถึงระบบ การใช้งาน Application สิทธิ์ของ Administrator และขอบเขตที่เปิดผ่าน VPN เป้าหมายคือการเปิดเท่าที่จำเป็น พร้อมทำให้ทีมอธิบายได้ว่า การเชื่อมต่อแต่ละแบบได้รับอนุญาตด้วยเหตุผลใด
แม้จะควบคุม Traffic ที่น่าสงสัยได้แล้ว งานก็ยังไม่ควรจบลงที่คำว่า “บล็อกสำเร็จ” ข้อมูลจากเหตุการณ์ควรถูกนำกลับมาทบทวนว่า Traffic ผ่าน Policy ข้อใด เครื่องมือส่วนไหนช่วยพบความผิดปกติ จุดใดยังมองเห็นข้อมูลไม่เพียงพอ และควรปรับการควบคุมตรงไหนเพื่อลดโอกาสเกิดเหตุลักษณะเดิมซ้ำ
สำหรับองค์กร คุณค่าของ Firewall จึงอยู่ที่ความสามารถของทีมในการอธิบายว่า Traffic มาจากไหน กำลังไปที่ใด ใช้ Application อะไร ผ่าน Policy ข้อไหน และเหตุใดระบบจึงอนุญาต ปฏิเสธ หรือตรวจพบการเชื่อมต่อนั้น ความสามารถนี้ต้องอาศัยมากกว่าการรู้ตำแหน่งของเมนู ผู้ดูแลระบบควรเข้าใจความเชื่อมโยงระหว่าง Policy, Security Profile และข้อมูลจาก Log พร้อมฝึกวิเคราะห์จากสถานการณ์ที่ใกล้เคียงกับระบบจริง เพื่อพัฒนาทักษะหล่านี้ หลักสูตร FortiGate Administrator ช่วยวางพื้นฐานการดูแล FortiGate อย่างเป็นลำดับ ตั้งแต่ Firewall Policy, User Authentication และ Security Profile ไปจนถึง VPN, High Availability และ Security Fabric
ผู้เรียนจะได้เห็นว่า
- Antivirus,
- Web Filtering,
- IPS
- และ Application Control ทำงานร่วมกันอย่างไร
- พร้อมฝึกติดตาม Log
- วิเคราะห์เหตุผลที่ Traffic ได้รับอนุญาตหรือถูกบล็อก
- และค้นหาจุดที่ควรปรับผ่าน Interactive Labs ตลอดหลักสูตร
เหมาะสำหรับ ผู้ที่ต้องการดูแล FortiGate ให้เป็นระบบ รวมถึงองค์กรที่ต้องการพัฒนาทีมให้สามารถอ่าน Log วิเคราะห์ Traffic และเชื่อมโยงการทำงานของ Policy กับ Security Profile ได้อย่างมั่นใจ
Firewall ที่ตั้งค่าอย่างเหมาะสมจะทำงานได้เต็มประสิทธิภาพ เมื่อทีมเข้าใจว่าแต่ละการเชื่อมต่อกำลังบอกอะไร และรู้ว่าควรปรับการควบคุมตรงไหนเมื่อความเสี่ยงเปลี่ยนไป
สนใจพัฒนาทักษะสำหรับตนเอง หรือวางแผนอบรมให้ทีมในองค์กร สามารถสอบถามรายละเอียดหลักสูตรกับทีม NTC ได้ที่ LINE: @NTC-LINE
| COURSE | SCHEDULE | LIST PRICE(THB) ไม่รวม VAT7% |
REGISTER |
| FCP-FortiGate Administrator | 3-6 Aug 26 9-12 Nov 26 |
70,000 |

Add LINE for Get 5% Discount ontop
LINE ID: @NTC-LINE

