ลองเล่นฟีเจอร์ Safe Access และ Threat Prevention ในเราท์เตอร์ Synology RT2600ac

By: lew

on 13 October 2021 - 19:06 Tags:

Topics:

Synology

Security

ผู้อ่าน Blognone น่าจะรู้จัก Synology ในฐานะแบรนด์ NAS เป็นหลัก แต่สินค้าอีกกลุ่มหนึ่งของบริษัทคือเราท์เตอร์ที่มีฟีเจอร์สำหรับองค์กรขนาดเล็กหรือ SME มาด้วยทำให้สามารถใช้งานหลายๆ ด้านได้เหนือกว่าเราท์เตอร์ตามบ้าน เช่น การทำ VPN ข้ามสาขาหรือสำหรับพนักงาน, การจัดการผู้ใช้ที่ซับซ้อนขึ้นสำหรับร้านค้าที่จะให้บริการลูกค้า, และฟีเจอร์ด้านความปลอดภัยที่อาศัยเราท์เตอร์เข้าไปดูแลความปลอดภัยของไคลเอนต์ โดยบทความนี้ผมทดสอบฟีเจอร์หลักสองส่วนของ RT2600ac คือ Safe Access และ Theat Prevention

ข้อมูลเปิดเผย: Blognone ได้รับอุปกรณ์จาก Synology เพื่อการทดสอบครั้งนี้

Safe Access ควมคุมการใช้งานสำหรับพนักงานและเด็ก

Safe Access เป็นชื่อแอปพลิเคชั่นในเราท์เตอร์ของ Synology ที่โดยทั่วไปคงเรียกกันว่าฟีเจอร์ parental control เนื่องจากมักใช้งานสำหรับผู้ปกครองไว้ดูแลการใช้งานของลูกหลานในความปกครอง แต่ Safe Access เปิดให้ใช้งานกับพนักงานในบริษัท หรือการให้บริการลูกค้าได้

No Description

ตัว Safe Access เป็นการฟิลเตอร์เว็บที่ผู้ใช้ในเครือข่ายเข้าใช้งานผ่านทาง DNS จากเราท์เตอร์ โดย Synology จะเป็นผู้ดูแลรายชื่อโดเมนว่าโดเมนใดเข้าข่ายเนื้อหาประเภทใดบ้าง แบ่งกลุ่มเนื้อหาที่ต้องจับตามอง 18 แบบ เช่น การพนัน, การแฮกข้อมูล, เนื้อหาสำหรับผู้ใหญ่, หรือแม้แต่การโฆษณา (เคยมีคนแกะฐานข้อมูลออกมาเราท์เตอร์ แต่ก็เป็นข้อมูลเก่าหลายปีแล้ว)

ข้อจำกัดสำคัญของ Safe Access คือมันไม่สามารถจำกัดการเข้าถึงได้ หากผู้ใช้เปิดฟีเจอร์ DNS over HTTPS (DoH) บนเบราว์เซอร์หรือระบบปฎิบัติการซึ่งทำให้เบราว์เซอร์ข้ามไม่ใช้งาน DNS จากเราท์เตอร์ ดังนั้นผู้ปกครองอาจจะต้องดูว่าลูกหลานของตัวเองเริ่มลองเล่นฟีเจอร์เหล่านี้เป็นหรือยัง และอาจจะต้องเซ็ตอัพไฟร์วอลลในตัวเราท์เตอร์เพื่อแบน DoH ด้วยตัวเองซึ่งยุ่งยากขึ้นพอสมควร และอาจจะไม่สามารถบล็อคได้ทั้งหมดเพราะการบล็อค DoH นั้นต้องบล็อคพอร์ต 443 เป็นรายไอพีเท่านั้น

No Description

เราสามารถกำหนดเงื่อนไขการจำกัดประเภทการใช้งานได้ เช่น กำหนดรายเครื่องโดยดูจาก MAC address (สามารถรวมกลุ่มหลาย MAC เข้าเป็นผู้ใช้คนเดียวกันได้), กำหนดเงื่อนไขสำหรับทั้งเน็ตเวิร์ค, และกำหนดเงื่อนไขสำหรับเน็ตเวิร์ควงสำหรับแขก (guest network) แยกออกไป และหากระบบบล็อคทำงานผิดพลาด Safe Access ก็มีหน้าเว็บสำหรับขออนุญาตเข้าถึงเป็นครั้งๆ ไปได้ด้วย

นโยบายใน Safe Access สามารถตั้งให้เปลี่ยนไปตามเวลา เช่น ช่วงพักเปิดให้พนักงานเข้าเว็บเพื่อความบันเทิงได้ ก็นับว่าครอบคลุมการใช้งานกรณีส่วนใหญ่ สำหรับผู้ใช้ในบ้านที่ใช้งานส่วนตัวการเปิดฟีเจอร์ Safe Access เพื่อใช้บล็อคโฆษณาหรือบล็อคเว็บมัลแวร์ทั้งหลายก็ยังนับว่ามีประโยชน์ และง่ายกว่าการเซ็ตอัพ Pi Hole ใช้เองในบ้านค่อนข้างมาก

Threat Prevention บริการ IPS ในเราท์เตอร์ในบ้าน

ฟีเจอร์ความปลอดภัยอีกตัวหนึ่งของ RT2600ac คือ Threat Prevention ที่เป็นระบบสแกนข้อมูลที่วิ่งผ่านเน็ตเวิร์ค ชนิด deep packet inspection ทำให้สามารถดูข้อมูลภายในได้อย่างละเอียด

No Description

ฐานข้อมูลกฎการตรวจทราฟิกของฟีเจอร์ Threat Prevention นั้นมาจากฐานข้อมูล Emerging Threats ชุด ET Open และมีตัวเลือกสำหรับการใช้ฐานข้อมูล ET Pro ได้ โดยหน้าจอคอนฟิกมีช่องให้ใส่โค้ดเพื่ออัพเดตเป็น ET Pro ได้อัตโนมัติ ระบบตรวจจับภัยสามารถคอนฟิกจากชุดของกฎต่างๆ ได้ว่า ต้องการให้ทำอะไรบ้าง เช่น แจ้งเตือนเท่านั้น, บล็อคทราฟิกไปเลย, หรือแม้แต่อีเมลแจ้งเตือนผู้ดูแลระบบ

กฎการตรวจสอบข้อมูล ET Open ที่ใส่มานั้นหากจะใช้งานจริงคงต้องปรับแต่งพอสมควรเพราะการใช้งานมีการรายงานแบบ false positive ว่ามีการโจมตีค่อนข้างมาก เช่น การทำ NAT Traversal ซึ่งมีการใช้งานบ่อยๆ ในแอปพลิเคชั่นโทรศัพท์หรือประชุมวิดีโอก็ถูกรายงานมีการพยายามเข้าถึงสิทธิ์ระดับผู้ใช้ (Attempted User Privilege Gain) และยังรายงานเป็นภัยระดับสูง หรือภัยระดับกลางหรือต่ำจำนวนมากก็มีรายงานเพียงเพราะเข้าถึงโดเมน TLD ที่ไม่ค่อยได้รับความนิยมและมีการส่งสแปมบ่อยสักหน่อย หากใช้งานจริงคงต้องปรับแต่งเพื่อปิดการแจ้งเตือนเหล่านี้ออกเสีย

ความสามารถของ Threat Prevention ที่เห็นได้ชัดคือมันสามารถตรวจสอบการใช้งานโดเมนต่างๆ ได้จากข้อมูลใน SNI ทำให้รู้ถึงโดเมนที่กำลังเข้าใช้งานได้แม้จะเปิด DoH ก็ตามที น่าเสียดายที่ความสามารถนี้ไม่ได้ทำงานร่วมกับฟีเจอร์ Safe Access เพื่อช่วยบล็อคเว็บตามนโยบายของ Safe Access แต่อย่างใด

การปรับแต่งกฎทำได้เฉพาะการปรับนโยบายสำหรับกฎไฟร์วอลล์แต่ละหมวดเท่านั้น ไม่สามารถเพิ่มกฎด้วยตัวเองโดยตรง ฟีเจอร์อีกส่วนหนึ่งที่ขาดไปคือการทำ SSL Inspection สำหรับการตรวจสอบทราฟิกเข้ารหัส ทำให้การใช้งานในยุคที่เว็บในอินเทอร์เน็ตส่วนมากเข้ารหัสแทบทั้งสิ้นทำให้ Threat Prevention มีประโยชน์จำกัดอยู่เฉพาะบริการภายในที่ไม่เข้ารหัสเป็นหลัก

สรุป

ฟีเจอร์ Safe Access และ Threat Prevention นับว่าช่วยให้คนทั่วไปใช้งานใช้งานฟีเจอร์ที่เคยเข้าถึงได้ยากได้สะดวกขึ้นมาก การใช้งาน Safe Access นั้นนับว่ามีประโยชน์ค่อนข้างมากไม่ว่าจะเป็นการใช้งานส่วนตัวสำหรับบล็อคโฆษณา หรือใช้งานในบ้านสำหรับควบคุมการใช้งานสำหรับเด็ก ไปจนถึงการใช้งานในออฟฟิศขนาดเล็ก แต่ Threat Prevention นั้นการใช้งานจะจำกัดกว่า การใช้งานในตอนนี้คงเป็นการป้องกันเซิร์ฟเวอร์ในองค์กรที่ยังเปิดใช้เชื่อมต่อแบบไม่เข้ารหัส หากในอนาคต Synology รองรับฟีเจอร์เช่น reverse proxy และทำ SSL Inspection ได้ก็น่าจะทำให้ฟีเจอร์นี้น่าสนใจขึ้นมาก