ปิดPortให้หมด แล้วเปิดเฉพาะ Port ที่จำเป็น (บล็อกบิต ขั้นต้น)

http://forum.internetsup.com/index.php/topic,64.0.html

 ผมขอแนะนำหลักการณ์เชตอัพ Firewall ในแบบที่สามัญที่สุดและก็ได้ผลชัดเจน นั้นคือ การเปิดพอร์ท(Port Number)เฉพาะเท่าที่จำเป็น ส่วนพอร์ทอื่นที่ไม่ได้ใช่งานหรือไม่จำเป็นก็ให้ปิด(Block)ลงให้หมดครับ

ข้อดีของวิธีการนี้
- เป็นวิธีการ ที่เข้าใจง่าย หรือพูดแบบบ้านๆก็คือ เราเลือกเปิดเฉพาะประตูที่จำเป็น แล้วปิดประตูที่ไม่อยากให้ใช้งาน... Port ก็เหมือนประตูทางเข้า-ออกของเน็ตเวิร์ค โดยโปรแกรมแอพพลิเคชันต่างๆ ก็มักจะใช้งานในประจำPortเติมๆ(ตาม Port Number มาตรฐาน) ซึ่งจริงๆแล้วมีจำนวนพอร์ทที่ใช้งานแค่หยิบมือเดียวเองครับ... แต่อาจจะมีบางโปรแกรมที่ใช้Portที่นอกเหนือจากมาตรฐาน เช่น Bittorrent, P2P, เกม เป็นต้น ซึ่งเมื่อเราปิดPortส่วนใหญ่ที่ไม่จำเป็นลงซะ โปรแกรมพวกนี้ก็จะเจอทางตัน เราก็จะบล็อกโปรแกรมพวกนี้ได้นั้นเอง (ถึงอาจจะไม่100% แต่ก็ได้ผล 90-95%อัพล่ะครับ)

- เป็นการเพิ่มความปลอดภัยโดยตรง ให้กับทั้งระบบ... เพราะเมื่อมีจำนวนPortช่องทางน้อยลง การโจมตีผ่านPortก็จะลดลง เป็นอันว่าเราสามารถหลีกเลียงHackerสมัครเล่นที่ใช้โปรแกรมหรือBotพื้นๆ.. ได้มากโขเชียวครับ


ข้อด้อยของวิธีการนี้
- มันไม่ไช้วิธีการที่มีประสิทธิภาพสูงสุด(ในเชิงสมถรรนะ)... เพราะวิธีการนี้ไม่มีการสมองใดๆเลย(ก็แค่ปิดหรือเปิดมันลูกเดียว) ซึ่งหากเรามีผู้ใช้ลูกข่ายหลายๆคน ซึ่งแต่ล่ะคนอาจมีความต้องการใช้โปรแกรมต่างๆกัน เช่น คนนึ่งจะใช้VoIPโทรหาแฟนที่อังกฤษ, คนนึงเล่นหุ้นต้องใช้โปรแกรมดูกระดานหุ้น, คนนึงเป็นโปรแกรมเมอร์ต้องการใช้VPN ฯลฯ... พวกเขาหล่าวนี้จะพบความไม่สะดวก แล้วต้องเดินมาบอกAdminว่า "เขาใช้งานไม่ได้..เปิดพอร์ทโน้น/พอร์ทนี้..เพิ่มได้ไหม" กรณีแบบนี้ล่ะครับ จะเป็นเรื่องจุกจิกให้คนดูแลระบบต้องมีงานช่วยเหลือผูใช้เพิ่มขึ้น

- มันไม่ไช่วิธีที่กินกำลังประมวล(CPU)ต่ำที่สุด... โดยเฉพาะกรณีหอพักนักศึกษา(พูดง่ายๆว่าเกรียงเยอะ) ผู้ใช้(เกรียงๆ)แต่ ล่ะคนจะพยายามหาทางใช้โปรแกรมของตนให้ได้ บ่างก็ดันทุรังใช้(เช่น เปิดบิตค้างไว้เฉยๆ) หรือไม่งั่นก็อาจพาลยิ่งNetcutหรืออื่นๆจิปะถะ... ทำให้ตัวFirewallระบบต้องมาทำงานจุกจิกพวกนี้เกินเหตุ(ทั้งที่มันไม่ไช่ เรื่องเลย) เราก็อาจจะเจออารมณ์เบื่อๆทำนองนี้ล่ะครับ

แต่โดยทั่วไป ของงานหอพัก/สำนักงาน เรื่องการใช้งานอินเตอร์เน็ต เรา(เจ้าของหอ)สามารถออกเป็นนโยบายบริการได้ครับ ว่าใช้งานอะไรได้บ่าง ห้ามใช้งานอะไร แล้วถ้าทำผิดเงื่อนไขแล้วจะโดนอะไร... ซึ่งมักควบคุมคนภายในได้ไม่ยากครับ อาจมีจุกจิกในเดือนแรกนิดหน่อยครับ พอผ่านเดือนแรกไปแล้ว ทุกอย่างก็จะลงตัวเป็นธรรมชาติของมันไปเองครับ


Port Number คืออะไร.?
ขอพูดโดยสังเขปนะครับ...
ระบบ Port Number นั้นเป็นวิธีการกำหนดช่องทางให้ โปรแกรมแอพพลิเคชันต่างๆได้รับส่งข้อมูลผ่านทางพอร์ทที่มีเลขหมายประจำต่างๆ หรือในบางกรณีเลขพอร์ทก็เป็นตัวกำหนดลักษณะรูปแบบข้อมูลไปในตัว(เพราะPort นี้..จะใช้กับโปรแกรมประเภทนี้ๆ) เช่น Portเลข 80 สำหรับ HTTP, 23 สำหรับ Telnet, 20กับ21สำหรับFTP เป็นต้น...

แล้วถ้าถามว่าใครเป็นผู้ออกมากำหนดมาตรฐานเลข Port ล่ะ.. ผู้นั้นก็คือ องค์กร Internet Assigned Numbers Authority - IANA (ซึ่งเป็นเจ้าเดียวกับที่คุ่มมาตรฐานระบบเลข IPv4/v6 นั้นล่ะ) และด้วยเลขพอร์ทนั้นมีเยอะตั้งแต่เลข 0-65536 ซึ่งการใช้งานเลขPortนั้น ก็จะมีทั้งเลขPortแบบทางการ(ซึ่งเป็นจำนวนPortส่วนน้อย) และบางโปรแกรมอาจกำหนดเลขพอร์ทของตัวเองเพื่อใช้งาน(อย่างไม่เป็นทางการ)... ถ้าคุณอยากศึกษาว่าเลข Port Number มีเลขอะไรบ่าง ผมแนะนำให้ดูที่นี่ครับ http://en.wikipedia.org/wiki/Port_number


เลข Port หลักๆที่ควรรู้
เพื่อความสะดวกของผู้อ่าน ผมได้รวบรวมเลข Port ที่ควรรู้มาให้ส่วนหนึ่งครับ

พอร์ทหลักๆที่เกี่ยวกับการใช้งานอินเตอร์เน็ต (พอร์ทพวกนี้ เป็นพอร์ทหลักเลยที่เราจะพิจารณาเปิด/ปิด)
20   FTP (Data)
21   FTP (Command)
22   SSH
23   Telnet
25   SMTP
53   DNS
67   DHCP Server
68   DHCP Client
80   HTTP
115   SFTP
123   NTP
143   IMAP
194   IRC
220   IMAP(V3)
443   HTTPS
465   SMTP SSL
520   RIP
989   FTPS (Data)
990   FTPS (Command)
993   IMAPS
995   POP3S
1194   OpenVPN
1812   RADIUS-Auth
1813   RADIUS-Account
3128   Web caches
8080   Proxy


พอร์ทอื่นๆที่ควรรู้จัก(ในฐานะคนดูแลระบบ)
843   Adobe Flash
5228   Android Market (ถ้ามีคนใช้ Android)
2210   MikroTik Remote


พอร์ทที่เกียวกับ Webhosting - Control panel (คนทำเว็บอาจต้องใช้)
2082   cPanel
2083   cPanel-SSL
2095   cPanel-webmail
2096   cpanel-Webmail-SSL
2222   DirectAdmin
7777   Kloxo SSL
7778   Kloxo


พอร์ทพวกสังคมออนไลน์ (อาจไม่แน่ไม่นอน)
1863   aMSN / MSNเก่า / Windows Live IM และ .NET Messenger Service
4000   QQ
5050   Yahoo IM
5190   ICQ / AOL IM
6891-6901   Windows Live (Files & Voice)
8631   aMSN กล้อง
19294-19295   Google Talk Voice
19302   Google Talk Voice
23399   Skype ปกติ


ส่วนพอร์ทของ Bittorrent ล่ะ..หุหุหุ
โดยหลักการของมันแล้ว...
พอร์ทของมันคือ 6881-6999
แต่ ด้วยโปรแกรม Bittorrent-Client ส่วนใหญ่จะใช้วิธีการ Random-Port (การกระจายPortเพื่อประสิทธิภาพของพวกมัน) ก็เลยกลายเป็น Bittorrent ไม่มีพอร์ทประจำของตัวเอง มันใช้งานได้แทบทุกพอร์ทครับ(จะมีเพียงพอร์ทเดียวที่ Bit ไม่ใช้กันคือ 80 ครับ เพราะต้องสงวนไว้ให้HTTP สำหรับให่Clientติดต่อTrackerได้)


ใน บทความนี้ผมได้กล่าวเพียงส่วนย่อยมากๆของ Port Number นะครับ ซึ่งก็ครอบคลุมภาพร่วมที่เราควรรู้สำหรับงาน หอพัก/สำนักงานครับ... (หากท่านผู้อ่านสนใจเพิ่มเติม โปรดหาทางศึกษากันเองนะครับ อิๆ)