ช่วงหลังๆ มีหลายคนสอบถามผมเข้ามา ถึงปัญหาการใช้งาน QNAP NAS เพราะว่าไม่สามารถเข้าใช้งานได้ และในหลายๆ เคส ก็เป็นเพราะโดนบล็อกโดยตัวโปรแกรม QuFirewall ที่เพิ่งติดตั้งเข้าไปครับ คือผมก็เข้าใจนะว่าใช้ QNAP NAS แล้วมันต้องเสริมสร้างความปลอดภัยให้ระบบหน่อย แต่หลายครั้งที่เราไม่เข้าใจว่าอะไรเป็นอะไร แล้วไปดุ่มๆ ใช้ มันกลับกลายเป็นการสร้างปัญหานะครับ ฉะนั้น อ่านบทความนี้กันก่อน ค่อยมาตัดสินใจว่า จะใช้ QuFirewall ดีหรือไม่ครับ
ต่อ QNAP NAS ออกเน็ต ยังไงก็ควรต้องผ่าน Network firewall
QNAP เขาแนะนำเสมอครับว่าหากจะต่อ QNAP NAS ให้สามารถเข้าอินเทอร์เน็ตได้ ก็ควรจะต้องมี Network firewall มาขวางกั้นไว้ เพื่อให้มันช่วยป้องกัน QNAP NAS จากการโจมตีครับ ซึ่งสำหรับผู้ใช้งานตามบ้านทั่วไป ไอ้ Router ที่คุณใช้ต่อเน็ตอะ มันก็มักจะมีคุณสมบัติของการเป็น Firewall แบบง่ายๆ มาให้อยู่แล้ว ซึ่งแม้ว่าจะไม่ได้สามารถไปตั้งค่าโดยละเอียดได้มาก แต่มันก็จะมีการตั้งค่าเพื่อป้องกันการโจมตีแบบต่างๆ ที่เป็นที่นิยมของพวกแฮกเกอร์ ไม่ว่าจะเป็น DoS, SYN Flooding, Ping of Death และอื่นๆ อีกมากมาย มาให้อยู่แล้ว
ยิ่ง Router รุ่นใหม่ๆ นี่ เขาจะมีความสามารถในการเป็น Firwall ในระดับ Layer 4 หรือ Stateful Packet Inspection ด้วย เรียกว่าคอยดูแพ็กเก็ตที่วิ่งเข้าออกในระบบแบบแพ็กเก็ตต่อแพ็กเก็ตเลย และด้วยความที่ผู้ใช้งานตามบ้าน มักจะไม่ได้ตกเป็นเป้าหมายหลักของพวกแฮกเกอร์ซักเท่าไหร่ ปกติการป้องกันในระดับนี้ก็ถือว่าเพียงพออยู่แล้ว
ดังนั้น สำหรับผู้ใช้งานตามบ้านทั่วไป หากคุณไม่ได้มีความรู้ความเข้าใจเรื่อง Firewall มาก กลัวว่าถ้าซนแล้วจะมีปัญหา ผมก็ไม่แนะนำให้ดาวน์โหลด QuFirewall มาใช้งานนะครับ บอกเลย
แต่ QuFirewall เป็น Host-based firewall ที่ช่วยเพิ่มความปลอดภัยได้อีกชั้น
ในขณะที่ Network-based firewall มันช่วยเป็นปราการด่านหน้าป้องกันให้กับอุปกรณ์ภายในระบบเครือข่ายได้ประมาณนึง และสามารถตั้งกฎในการปล่อยผ่านแพ็กเก็ตเข้ามาในระบบได้ในหลากหลายระดับ (ขึ้นอยู่กับว่า Firewall เป็นประเภทไหน Layer 3 – Packet filter, Layer 4 – Stateful packet filtering หรือ Layer 7 – Application layer filtering) ผู้ไม่หวังดีในยุคนี้เขาไม่ได้โจมตีมาแบบซึ่งๆ หน้าเพียงอย่างเดียวแล้วไงล่ะ บางทีเขาก็แอบโจมตีผ่านอุปกรณ์อื่นๆ ภายในระบบเครือข่ายนั่นแหละครับ
เพราะเหตุนี้ มันถึงได้เกิดแนวคิด Zero Trust Network Access ขึ้นมา และ QNAP เขาก็เข้าใจว่าหลายๆ องค์กร (และอาจรวมถึงพวก Power user) เขาก็อาจจะอยากใช้แนวคิด Zero Trust นี้ในระบบเครือข่ายของตนเอง ซึ่งตรงนี้แหละที่ QuFirewall จะเข้ามาช่วยอำนวยความสะดวก และลดค่าใช้จ่ายได้
ซึ่งก็ต้องเข้าใจการทำงานของ QuFirewall ก่อนว่า มันทำงานในระดับ Layer 4 คือ สามารถกรองแพ็กเก็ตได้โดยพิจารณาจาก IP address และ หมายเลขพอร์ต เป็นหลักนะครับ เพียงแต่ QuFirewall เขามีการอำนวยความสะดวกในการตั้งค่ามาให้เบื้องต้น คือ มีโปรไฟล์สำหรับผู้เริ่มต้น 3 แบบ คือ
• แบบพื้นฐาน ที่จะยอมให้ทั้งอุปกรณ์ภายในระบบเครือข่ายของเรา และภายในภูมิภาคที่เรากำหนดเข้ามาถึง QNAP NAS ได้ โดยสามารถกำหนดได้เป็นระดับประเทศเลย (มันจะมีฐานข้อมูล GeoIP จาก MaxMind ไว้ใช้ตรวจสอบ)
• แบบเข้มงวดปานกลาง ที่จะยอมให้เฉพาะอุปกรณ์ภายในระบบเครือข่ายที่อยู่ภายใต้ Subnet เดียวกับเราเข้าถึง QNAP NAS ได้
• แบบโหดสุด คือ ยินยอมให้อุปกรณ์ภายในเครือข่ายของเราและภายในภูมิภาคที่เรากำหนด เข้าถึงได้เฉพาะบางพอร์ตเท่านั้น
แต่หากใครรู้สึกว่ามันไม่พอ ก็สามารถไปเพิ่มกฎได้ หรือจะไปสร้างโปรไฟล์ใหม่ขึ้นมาเองก็ได้ อันนี้ต้องอาศัยความรู้ความเข้าใจเรื่องระบบเครือข่ายกันหน่อยนะครับ
ซึ่งภายใต้แนวคิด Zero Trust เนี่ย เราสามารถสร้างกฎเข้มงวดขึ้นมาแยกต่างหากจาก Network-based firewall ที่เราใช้อยู่ มันจะมีประโยชน์ตรงที่
• สำหรับผู้ใช้งานในองค์กร ที่อาจจะมีการทำเน็ตเวิร์กแยก หรือต้องการให้เฉพาะบางอุปกรณ์เท่านั้นที่มีสิทธิ์ในการเข้าถึง QNAP NAS ในบางบริการได้ เช่น ไม่ต้องการให้ใครก็ตาม เข้าถึงหน้าจอล็อกอิน QTS ได้เลย ยกเว้นเครื่องคอมพิวเตอร์ที่มี IP address นี้ ภายในระบบเครือข่าย
• สำหรับผู้ใช้งานตามบ้านทั่วไป อยากป้องกันตัวเองให้มากขึ้น แน่นอนว่าเราอาจจะใช้งานจากประเทศไทยเป็นหลัก คงจะไม่มีใครที่ไหนที่จะพยายามล็อกอินจากต่างประเทศแน่ๆ เราก็สามารถตั้งค่า QuFirewall ให้บล็อกทุกการเชื่อมต่อที่มาจากนอกประเทศได้เลย
ซึ่งอะไรแบบเนี้ยจะไปทำที่ Network-based firewall ไม่ได้ เดี๋ยวมันอาจจะไปกระทบกับบริการและการใช้งานอื่นๆ ครับ
