วันเสาร์ที่ 18 พฤศจิกายน พ.ศ. 2560

10 เครื่องมือพื้นฐานในการแก้ไขปัญหา Network เบื้องต้น

Network troubleshooting tools are a necessity for every network administrator. When getting started in the networking field, it is important to amass a number of tools that can be used to troubleshoot a variety of different network conditions.

While it is true that the the use of specific tools can be subjective and at the discretion of the engineer, the selection of tools in this article has been made based on their generality and common use. This article reviews the top 10 basic tools that can help you troubleshoot most networking issues.

10. Ping

The most commonly used network tool is the ping utility. This utility is used to provide a basic connectivity test between the requesting host and a destination host. This is done by using the Internet Control Message Protocol (ICMP) which has the ability to send an echo packet to a destination host and a mechanism to listen for a response from this host. Simply stated, if the requesting host receives a response from the destination host, this host is reachable. This utility is commonly used to provide a basic picture of where a specific networking problem may exist. For example, if an Internet connection is down at an office, the ping utility can be used to figure out whether the problem exists within the office or within the network of the Internet provider. Figure 1 below shows an example of the ping utility being used to obtain the reachability status of the locally connected router.

Figure 1: Ping utility

9. Tracert/traceroute

Typically, once the ping utility has been used to determine basic connectivity, the tracert/traceroute utility can used to determine more specific information about the path to the destination host including the route the packet takes and the response time of these intermediate hosts. Figure 2 below shows an example of the tracert utility being used to find the path from a host inside an office to www.google.com. The tracert utility and traceroute utilities perform the same function but operate on different operating systems, Tracert for Windows machines and traceroute for Linux/*nix based machines.

Figure 2: Tracert/traceroute utility

8. Ipconfig/ifconfig

One of the most important things that must be completed when troubleshooting a networking issue is to find out the specific IP configuration of the variously affected hosts. Sometimes this information is already known when addressing is configured statically, but when a dynamic addressing method is used, the IP address of each host can potentially change often. The utilities that can be used to find out this IP configuration information include the ipconfig utility on Windows machines and the ifconfig utility on Linux/*nix based machines. Figure 3 below shows an example of the ifconfig utility showing the IP configuration information of a queries host.

Figure 3: Ifconfig utility

7. Nslookup

Some of the most common networking issues revolve around issues with Dynamic Name System (DNS) address resolution issues. DNS is used by everyone using the Internet to resolve commonly known domain names (i.e. google.com) to commonly unknown IP addresses (i.e. 74.125.115.147). When this system does not work, most of the functionality that people are used to goes away, as there is no way to resolve this information. The nslookup utility can be used to lookup the specific IP address(es) associated with a domain name. If this utility is unable to resolve this information, there is a DNS issue. Along with simple lookup, the nslookup utility is able to query specific DNS servers to determine an issue with the default DNS servers configured on a host. Figure 4 below shows an example of how the nslookup utility can be used to query the associated IP address information.

Figure 4: Nslookup utility

6. Netstat

Often, one of the things that are required to be figured out is the current state of the active network connections on a host. This is very important information to find for a variety of reasons. For example, when verifying the status of a listening port on a host or to check and see what remote hosts are connected to a local host on a specific port. It is also possible to use the netstat utility to determine which services on a host that is associated with specific active ports. Figure 5 below shows an example of the netstat utility being used to display the currently active ports on a Linux machine.

Figure 5: Netstat utility

5. PuTTY/Tera Term

When connecting to a variety of different types of equipment, a telnet, SSH or serial client is required; when this is required both the puTTY and Tera Term programs are able to provide these functionalities. The selection of one over the other is strictly a personal preference. Figures 6 and 7 below show both puTTY and Tera Term being used to connect to a host via SSH.

Figure 6: PuTTY

Figure 7: Tera Term

4. Subnet and IP Calculator

One of the most important tools in the belt of a junior network engineer is an IP network calculator. These can be used to unsure a correct IP address selection and with this a correct IP address configuration. While this type of tool is used by senior level network engineers, much of the information obtained from the tool becomes simpler to calculate the longer and more experience you have in the field. Two of the more commonly used free IP calculators include Wildpackets (Bitcricket) Network Calculator and Solarwinds Advanced Subnet Calculator which can be found at the links below.

http://www.bitcricket.com/downloads/IPCalculator.msi

http://downloads.solarwinds.com/solarwinds/Release/FreeTool/SolarWinds-Subnet-Calculator.zip

Figure 8: Subnet calculator

3. Speedtest.net/pingtest.net

A very easy test that can be used to both determine the Internet bandwidth available to a specific host and to determine the quality of an Internet connection is the use of the tools available at the speedtest.net and pingtest.net websites. The speedtest.net site provides the ability to determine the amount of bandwidth that is available to a specific host at a specific point in time; this is often a good tool to use when measuring how long it is going to take to upload or download information from a local to remote host. This measurement can also be used to determine whether the connection is offering the amount of bandwidth that was purchased from the Internet provider; keep in mind however that some amount of bandwidth difference is expected between the quoted bandwidth purchased and the measured bandwidth. The pingtest.net website is used to determine the quality of the connection by measuring the ping response times and jitter amounts over a short period of time. This information can be used to determine a likelihood of how well the measured connection will deal with certain types of high demand traffic like Voice over IP (VoIP) or gaming. Figure 9 and 10 below show example output from both of these sites.

Figure 9: Speedtest

Figure 10: Pingtest

2. Pathping/mtr

In an effort to take advantage of the benefits of both the ping and tracert/traceroute commands, the pathping and mtr utilities were developed. Both of these tools take the functionality and information that can be obtained from these types of tools and provide a more detailed single picture of the path characteristics from a specific host to a specific destination. Figure 11 and 12 below show examples of these two tools and what information they provide.

Figure 11: Pathping

Figure 12: Mtr

1. Route

The last of the tools covered in this article is the route utility. This utility is used to display the current status of the routing table on a host. While the use of the route utility is limited in common situations where the host only has a single IP address with a single gateway, it is vital in other situations where multiple IP address and multiple gateways are available. Figure 13 below shows an example of the route utility being used on a Windows machine.

Figure 13: Route Utility

Summary

As with any job, the type of tools that are quickly available can greatly influence the amount of time that it takes to complete a job. When troubleshooting a networking issue, the amount of time that it takes to find and fix a problem directly affect the wasted costs that it causes to any system relying on the network. This article has taken a look at the 10 most commonly used tools that can help in ensuring that the time that it takes to find and fix a problem is as short as possible. I hope the information in this article can be helpful in future troubleshooting.

Credit : pluralsight.com
------------------------------------------------------------------------

สนใจ VDO Training /pfsense /endian /zentyal /mikrotik/

คลิ๊ก >>> http://theboy.me/vdo-training-pfsense-firewall-endian-zentyal-mikrotik-server/

วันอาทิตย์ที่ 12 พฤศจิกายน พ.ศ. 2560

การออกแบบระบบความปลอดภัย Network

Network Security 19:12:00

Secure Network Design
สำหรับบทความนี้จะกล่าวถึง ความปลอดภัยทางด้าน Network และ จะมีการออกแบบอย่างไร ให้มีความปลอดภัย ในระบบเครือข่าย ในบทความนี้ จะมองมุมมองการออกแบบระบบเครือข่ายให้มีความปลอดภัย โดยแบ่งออกเป็น แบบ Small และEnterprise ต่างๆ

Phase I Secure Network Design small office

1. outside segment
ในส่วนนี้ จะมีเพียง Router และ Firewall ที่ติดต่ออยู่กับภายนอก ในที่นี้คือ Internet ซึ่งอุปกรณ์ ในส่วนของ Routerนั้นปริมาณ Traffic ของข้อมูล ที่จะวิ่งเข้ามาหาจะมีเป็นจำนวนมาก แต่ โดยคุณสมบัติของอุปกรณ์ สามารถ กำหนด ควบคุมปริมาณTraffic ข้อมูล ที่จะวิ่งเข้าภายในองค์กร ได้

1.1 Securing Edge Router
โดยปกติและทั่วไปแล้ว อุปกรณ์ Router เป็นอุปกรณ์ขั้นพื้นฐานที่จะต้องมีในแต่ละองค์กร ซึ่งจะเป็นการให้บริการขั้นพื้นฐานในการ ส่งข้อมูล หรือ รับเข้าข้อมูลจากภายนอก ซึ่งโดยปกติจะมีหน้าที่การให้บริการดังต่อไปนี้
· หน้าที่การเชื่อมต่อ Wan Link ออกสู่โลกภายนอก (Internet) โดยการเชื่อมโยงจะถูก จัดหาโดย ISP ซึ่งการเชื่อมต่อสู่ภายนอกอาจจะมีรูปแบบการเชื่อมต่อหลายลักษณะที่ แตกต่างกันออกไป แล้วแต่ ความต้องการขององค์กรนั้นๆ เช่น ADSL, ISDN, Frame Relay หรือ ATM
· ความสามารถในการจัดหาเส้นทาง ที่จะส่งข้อมูลไปยังปลายทาง (Routing) ไม่ว่าจะเป็น Protocol อะไรก็ตามที่ใช้งาน
· การคัดกรอง ปริมาณการเข้าใช้งานข้อมูล ทั้งจากต้นทาง ปลายทาง Port Service
สิ่งที่ต้องคำนึงถึงอันดับแรก สำหรับ Router คือ เรื่องของ IP spoofing การปฏิเสธ IP แปลกปลอม โดยทุก Interfaceที่รับ Package เข้ามาจะต้องถูกยอมรับตามกำหนดที่เรากำหนดไว้ใน Access List หมายความว่าเราจะกำหนดให้เฉพาะ IP ที่ได้รับอนุญาติได้เข้ามาเท่านั้น
Ingress กับ Egress filtering มีจุดประสงค์หลักคือช่วยลดปัญหาเรื่อง IP Spoofing การทำ Ingress กับ Egress filtering จะทำที่อุปกรณ์ Layer 3 เพราะว่าดู IP address Router สามารถเขียน ACL ได้ด้วย
Ingress Filtering: คือการเขียน Filter (rules) เพื่อป้องกันไม่ให้ packet ที่เข้ามาจาก Internet ปลอมว่าเป็น packetที่มาจากภายใน

Egress Filtering: คือการเขียน Filter (rules) เพื่อป้องกันไม่ให้ packet ที่ออกจาก Internal network ไปทำอันตรายเครื่องที่อยู่ใน Internet ได้
Protect Your Router
Router สามารถทำการเข้าถึงผ่านทาง Physical โดยผ่านทาง Port Console หรือการ Remote โดย Telnet หรือ SSHถ้าคุณต้องการให้เกิดความปลอดภัยสูงสุดในตัว Router เพื่อให้มันไม่ง่ายต่อการเข้าถึง ควรกำหนดนโยบายในการป้องกันดังต่อไปนี้

· Set password ที่ยากต่อการเข้าถึง เช่นใช้ Alphanumeric และ ตัวอักษรพิเศษ และคุณจะต้องเปลี่ยนทุกครั้ง ประมาณ 2 ถึง 3 เดือน หรืออาจจะบ่อยกว่านั้น ถ้าคุณกังวลเกี่ยวกับความปลอดภัย
· อาจจะใช้ SSH เพื่อความปลอดภัย ในการ Remote
· กำหนดให้เครื่องบางเครื่องเท่านั้นที่สามารถเข้ามาจัดการเครื่อง Router ได้
1.2 Firewall
ไฟร์วอลล์มีความจำเป็นอย่างยิ่งสำหรับการรักษาความปลอดภัยในเครือข่ายคอมพิวเตอร์ทั้งจากเครือข่ายภายนอกหรืออินเทอร์เน็ต และจากภายในเครือข่ายเองโดยไฟร์วอลล์จะทำหน้าที่ควบคุมการผ่านเข้าออกของข้อมูลระหว่างเครือข่ายภายในกับอินเทอร์เน็ต ซึ่งไฟร์วอลล์สามารถที่จะแบ่งตามเทคโนโลยีในการตรวจสอบและควบคุมได้ 3 ประเภท คือ Packet Filtering, Proxy Service, Stateful Inspectionในแต่ละประเภทมีการทำงานต่างกันดังนี้ Packet Filter เป็นเราเตอร์ที่ทำหน้าที่ในการหาเส้นทางและส่งต่ออย่างมีเงื่อนไขโดยจะพิจารณาจากข้อมูลที่อยู่ในส่วนเฮดเดอร์ ของแพ็คเก็ตที่ผ่านเข้ามา Proxy Service ทำงานอยู่บนไฟร์วอลล์ที่ตั้งอยู่ระหว่างเน็ตเวิร์ก 2 เน็ตเวิร์ก จะมีการเชื่อมต่อ 2 การเชื่อมต่อ คือ ไคลเอนต์กับ Proxy และ Proxy กับ เครื่องปลายทาง Stateful Inspection เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้แพ็คเก็ตผ่านไปนั้น จะนำเอาส่วนข้อมูลของแพ็คเก็ตและข้อมูลที่ได้จากแพ็คเก็ตก่อนหน้าที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย
โดยปกติแล้ว Packet Filtering แบบธรรมดา (ที่เป็น Stateless แบบที่มีอยู่ในเราเตอร์ทั่วไป) จะควบคุมการเข้าออกของแพ็กเก็ตโดยพิจารณาข้อมูลจากเฮดเดอร์ของแต่ละแพ็กเก็ต นำมาเทียบกับกฎที่มีอยู่ ซึ่งกฎที่มีอยู่ก็จะเป็นกฎที่สร้างจากข้อมูลส่วนที่อยู่ในเฮดเดอร์เท่านั้น ดังนั้น Packet Filtering แบบธรรมดาจึงไม่สามารถทราบได้ว่า แพ็กเก็ตนี้อยู่ส่วนใดของการเชื่อมต่อ เป็นแพ็กเก็ตที่เข้ามาติดต่อใหม่หรือเปล่า หรือว่าเป็นแพ็กเก็ตที่เป็นส่วนของการเชื่อมต่อที่เกิดขึ้นแล้ว
Stateful Inspection เป็นเทคโนโลยีที่เพิ่มเข้าไปใน Packet Filtering โดยในการพิจารณาว่าจะยอมให้แพ็กเก็ตผ่านไปนั้น แทนที่จะดูข้อมูลจากเฮดเดอร์เพียงอย่างเดียว Stateful Inspection จะนำเอาส่วนข้อมูลของแพ็กเก็ต (message content)และข้อมูลที่ได้จากแพ็กเก็ตก่อนหน้านี้ที่ได้ทำการบันทึกเอาไว้ นำมาพิจารณาด้วย จึงทำให้สามารถระบุได้ว่าแพ็กเก็ตใดเป็นแพ็กเก็ตที่ติดต่อเข้ามาใหม่ หรือว่าเป็นส่วนหนึ่งของการเชื่อมต่อที่มีอยู่แล้ว

2. Securing Services Segment
มีการให้บริการหลักสำหรับบุคคลที่อยู่ภายนอกองค์กร หรือที่เราเรียกในส่วนนี้ว่า DMZ Zone ซึ่งใน Zone นี้ จะมีการอนุญาติการให้บริการต่างๆ จากภายนอก เข้ามายัง Network ภายใน

2.1 One service per server

· เพื่อช่วยลดความซับซ้อนของ Service บน Server และกระจายความเสี่ยงใน การถูกโจมตีจาก Attacker
· ยังช่วยลดความยุ่งยากในการกู้คืนระบบในกรณีที่ถูกโจมตี
· ง่ายสำหรับการกำหนดค่าความปลอดภัย หรือนโยบายในแต่ละ Server ให้ง่ายขึ้น
· เป็นการเพิ่มความน่าเชื่อถือให้กับระบบ เมื่อ Server หนึ่ง Down ไป มันจะไม่ส่งผลกระทบกับการให้บริการอันอื่นๆ
· โดยทั้งนี้ทั้งนั้น One Service per Server สุดท้ายก็ขึ้นอยู่กับการตัดสินใจ เพราะบาง Service อาจจะกิน Performanceในละเครื่องบน Server ไม่เท่ากัน จึงอาจจะเสียค่าใช้จ่ายในการลงทุนโดยใช่เหตุ

2.2 One Platform for All Server
เป็นส่วนหนึ่งของการลดความซับซ้อนของติดตั้งบนระบบเครือข่าย ซึ่งจะช่วยให้คุณง่ายต่อการดูแล และรักษาความปลอดภัยได้เป็นอย่างดี ถ้าเป็นไปได้ควรจะใช้ Platform เดียวบนเครื่อง Server ของคุณ เช่น คุณ อาจจะเลือกใช้ Windows, Linux, หรือ UNIX), มันจะง่ายสำหรับการรักษาความปลอดภัยบนระบบ Server ของคุณ
· การ Update Patch บนระบบปฏิบัติการของคุณ เป็นขั้นตอนที่สำคัญ ในการแก้ไขปัญหาในกลุ่ม Server ของคุณ โดยมันจะง่ายในการดูแลรักษา ในกลุ่ม OS ที่เป็น Platform แบบเดียวกัน
· ในกรณีที่ระบบของคุณล้มเหลวมันจะเป็นเรื่องง่ายในการกู้คืนระบบคืนมา
· เป็นการบริหารที่ชาญฉลาด เพื่อจะช่วยให้ Admin จัดการกับระบบ ได้อย่างรวดเร็ว และต้นทุนในการพัฒนาบุคลากรในการดูแล
2.3 Secure Your Servers – Operating System Side
· ไม่อนุญาติให้ทำการเข้าถึง Server ของคุณโดยผ่านการ Telnet เพราะว่า Telnet มันไม่มีการ Encrypt ข้อมูล ทุกคนสามารถเข้ามาอ่านข้อมูลได้ถ้ามีการ Capture ขึ้นมาเพราะฉะนั้นถ้าหลีกเลี่ยงไม่ได้ให้ใช้ Secure Shell ในการ Encryptข้อมูลจะดีกว่า
· Set a strong password
· จะต้องมี user account ของตนเอง
· เก็บบันทึกข้อมูลทุกครั้งเมื่อมีคน Access เข้า server ของคุณ
· ไม่อนุญาติให้ใช้ caching user logon
· สร้างกลุ่มในแต่ละ Department แยกจากกัน ซึ่งให้มีความสามารถในการ Share ข้อมูลได้เฉพาะในกลุ่ม

3. Internal segment Segment
นี้จะต้องมีความปลอดภัยค่อนข้างสูง ซึ่งภายในจะมีข้อมูลสำคัญที่เก็บข่าวสารข้อมูลขององค์กรที่อาจเป็นความลับ เช่น Business Plan, Marketing Plan และ Financial Details
3.1 Security Policy
· Set a strong password for users account. All Passwords must have the following conditions: At least (8) characters contain Upper/Lower Characters, numeric values and two Special Characters. No dictionary words are allowed
· Disable Guest account if enabled.
· Set Logout Timer to logout when no body works on PC
· Disable caching of user logons and passwords
· Install Antivirus Software and update it regularly
· Install a personal Firewall in each PC.
· Restrict access to hard drive. By another word, don’t allow your staff to install any software. Any software needed must install under your permission. This to avoid install software has backdoors
· Configure web browser to enhance privacy, and restrict access to web browser settings

Phase II Secure Network Design Enterprise office

1. Out Side Segment สิ่งที่เพิ่มเติมจากเดิมในส่วนของ Out Side
1.1 Intrusion Prevention System (IPS)
คือระบบที่คอยตรวจจับการบุกรุกของผู้ที่ไม่ประสงค์ดี รวมไปถึงข้อมูลจำพวกไวรัสด้วย โดยสามารถทำการ วิเคราะห์ข้อมูลทั้งหมดที่ผ่านเข้าออกภายในเครือข่ายว่า มีลักษณะการทำงานที่เป็นความเสี่ยงที่ก่อให้เกิดความ เสียหายต่อระบบเครือข่ายหรือไม่ เมื่อตรวจพบข้อมูลที่มีลักษณะการทำงานที่เป็นความเสี่ยงต่อระบบเครือข่ายก็ จะทำการป้องกันข้อมูลดังกล่าวนั้น ไม่ให้เข้ามาภายในเครือข่ายได้ เมื่อมีการติดตั้งระบบ IDS/IPS ภายในองค์กรแล้วสิ่งที่ได้รับมีดังต่อไปนี้
· สามารถป้องกันการบุกรุกจาก Hacker ที่เข้ามาทางเครือข่ายภายนอก ซึ่งเมื่อ IDS/IPS ป้องกันการบุกรุกแล้ว ยังสามารถเสนอแนวทางการแก้ไขได้ว่า องค์กรควรที่จะปรับปรุงอะไรบ้าง เช่น Security Patch ของOperating System (OS) หรือทำการแก้ไข Configure File ต่าง ๆ เพื่อไม่ให้ Hacker ใช้วิธีการเดิมเข้ามาทำลายระบบได้
· สามารถเฝ้าตรวจสอบลักษณะของข้อมูลที่จะเป็นความเสี่ยงหรือส่งผลกระทบต่อ ระบบงานที่มีอยู่ โดยจะทำการแจ้งเตือนให้ผู้ดูแลระบบทราบและหยุดการทำงานของบุคลากรนั้น ๆ
· สามารถทำการจับรูปแบบของข้อมูลมาทำการวิเคราะห์ เพื่อดูพฤติกรรม การทำงานว่าเป็นความเสี่ยงที่ส่งผลกระทบต่อระบบงานหรือไม่ เช่น Packet ที่ทำงานแบบเดิม ๆ และบ่อยมาก ๆ และมีผลต่อเครือข่ายหรือระบบงาน เมื่อมีการติดตั้งระบบ IDS/IPS ในองค์กร จะมีผลให้ระบบงานมีความปลอดภัยจากการ บุกรุกทั้งบุคคลภายในและจากเครือข่ายภายนอกได้มากขึ้น และส่งผลให้เครือข่ายภายในองค์กร มีประสิทธิภาพทางด้านความปลอดภัยมากยิ่งขึ้น

1.2 Load Balance
Load Balance Load Internet Network network
1.3 Bandwidth Management
Bandwidth Management คือ บริการที่ช่วยในการบริหารจัดการ bandwidth ของแต่ละ application เช่น Internet, mail, web, และ application ประเภทอื่นๆ เป็นต้น ให้เป็นไปตามนโยบายของแต่ละหน่วยงานซึ่งสามารถกำหนดหรือเปลี่ยนแปลงได้ตาม ความเหมาะสม และช่วยให้ application ที่มีความสำคัญต่อการปฏิบัติงานขององค์กรสามารถใช้งานได้อย่างรวดเร็วและ เต็มประสิทธิภาพ รวมทั้งเป็นการจำกัดการใช้งานใน application ที่ไม่เป็นประโยชน์อีกด้วย
2. Securing Services Segment สิ่งที่เพิ่มเติม จากเดิมในส่วนของ Service Segment
Mail Security Gateway
· เพื่อป้องกันเรื่องของสแปมและฟิชชิ่งที่มาพร้อมกับอีเมลย์ และ ช่วยกรองไวรัสที่มาจากอีเมลย์ได้อย่างมีประสิทธิภาพ ช่วยตรวจจับใน POP3 และ SMTP และทราฟฟิกของเว็บเมลย์ได้

Web Security Gateway
· เป็นตัวกรอง Traffic ที่หลุดมาจากfirewall และยังช่วยป้องกันไม่ไห้ client เข้าไปยังเว็บที่ไม่พึงประสงค์
· ควบคุมสิทธิการใช้งานเว็บไซต์ (Authentication)
· กรองไวรัสและสปายแวร์ จะทำหน้าที่ป้องกันเครื่องลูกข่ายไม่ไห้ติดไวรััสและสปายแวร์จากการท่องเว็บไซต์และดาวโหลดข้อมูล
Web Application Security
Web Application Firewall เป็นโซลูชั่นป้องกันการควบคุม Web application ขององค์กรได้เป็นอย่างดี สามารถป้องกันการเช่น
- URL Hardening engine
- Deep-linking control
- Directory traversal prevention
- SQL Injection protection
- Cross-Site Scripting protection
- Dual Antivirus engines
- HTTPS (SSL) encryption offloading
- Cookie Signing with digital signatures

ควรพิจารณาเป็นหลัก ในการรักษาความปลอดภัยให้กับศูนย์คอมพิวเตอร์ที่จะสร้างขึ้นใหม่ให้มีความปลอดภัยเพียงพอ รวมถึงแนวทางการออกแบบ และต้นทุนที่ไม่ต้องสูงจนเกินไป
3. Remote Site

VPN (Virtual Private Network) หมายถึงเครือข่ายเสมือนส่วนตัว (Private) ที่ติดต่อสื่อสารระหว่างกัน ผ่านเครือข่ายสาธารณะอย่างอินเทอร์เน็ต ซึ่งประหยัดกว่าการเชื่อมต่อแบบ Leased Line หรือ Frame Relay เป็นอย่างมาก โดยมีระบบรักษาความปลอดภัยเพิ่มมากขึ้นด้วยการเข้ารหัสข้อมูล (Encryption Data) บนเน็ตเวิร์ค และเมื่อส่งข้อมูลไปยังจุดหมายปลายทางก็จะมีการถอดรหัส (Decryption Data) ออกมา ผ่านการเชื่อมต่อ VPN ที่เรียกว่า Tunneling เหมือนเป็นอุโมงค์ส่งข้อมูลซึ่งกันและกัน
4. Secure Internal Segment
4.1 Port Security ปกติ switch 1 port จะสามารถต่ออุปกรณ์ได้เรื่อยๆ เช่นนำ computer มาเสียบก็ได้ หรือนำ switch มาต่อพ่วงก็ได้ ปัญหาที่เกิดขึ้นคือกรณีที่นำ switch มาต่อพ่วงจะทำให้ network เกิด broadcast มากขึ้น และมีโอกาสที่จะเกิดความไม่ปลอดภัย ดังนั้นเราจะทำการ configure switch ด้วยคำสั่ง switchport port- security โดยในที่นี้จะเน้นเรื่องของการห้ามไม่ให้มีการต่อพ่วง switch บน port นั่นคือ port ของ switch จะ สามารถรับ mac address ได้เพียง 1 เท่านั้น โดยเป็น mac address ใดก็ได้
4.2 VLAN
· เพิ่มประสิทธิภาพของเครือข่าย ในระบบเครือข่ายทั่วไปจะมีการส่งข้อมูล Broadcast จำนวนมาก ทำให้เกิดความคับคั่ง ( Congestion ) และ VLAN มีความสามารถช่วยเพิ่มประสิทธิภาพของเครือข่ายได้เนื่องจาก VLANจะจำกัดให้ส่งข้อมูล Broadcast ไปยังผู้ที่อยู่ใน VLAN เดียวกันเท่านั้น
· ง่ายต่อการบริหารการใช้งาน VLAN อำนวยความสะดวกในการบริหารจัดการโครงสร้างของระบบเครือข่ายให้ง่าย มีความยืดหยุ่น และเสียค่าใช้จ่ายน้อย
· เพิ่มการรักษาความปลอดภัยมากขึ้น VLAN Trunk Security

อ้างอิง online url : http://www.msit.mut.ac.th/newweb/phpfile/show.php?Qid=6583

วันอาทิตย์ที่ 5 พฤศจิกายน พ.ศ. 2560

Palo Alto’s Solution: VDO Training

06:34:00

มาทำความรู้จักกับ Palo Alto Networks

การใช้งาน firewall ในระบบเครือข่าย จะช่วยให้สามารถควบคุมการเข้าถึงระหว่างแต่ละส่วนของเครือข่าย เป็นการเพิ่มระดับในการรักษาความปลอดภัยให้กับระบบเครือข่าย ถ้าเป็นในอดีต การใช้งาน firewall จะมีความสามารถในการทำงานระดับ Layer 4 คือจะใช้หมายเลขพอร์ตของโปรโตคอล TCP หรือ UDP ในการระบุถึงแอปพลิเคชั่น อย่างเช่น TCP 80 หมายถึง HTTP หรือ UDP 53 หมายถึง DNS เป็นต้น แต่ในปัจจุบัน จะเป็นยุคของ Next-Generation Firewall (ยังสงสัยอยู่ว่า ถ้าเรียก firewall ยุคนี้ว่า Next-Generation Firewall แล้วในยุคหน้าจะเรียกว่าอะไร) ซึ่งจะมีความสามารถในการระบุได้ถึงแอปพลิเคชั่นที่เป็น content ในระดับ Layer 7 ได้ โดย Next-Generation Firewall ที่จะมาแนะนำให้ได้รู้จักกันในวันนี้ คือ Palo Alto Networks Next-Generation Firewall ที่เป็น Firewall ในระดับผู้นำในกลุ่มของ Enterprise Network Firewall นั่นเองครับ (อ้างอิงจาก Gartner 2014 : Magic Quadrant for Enterprise Network Firewalls)

Palo Alto Networks NGFW จะใช้ application signature ในการระบุถึงแอปพลิเคชั่นแต่ละชนิดที่ใช้งานอยู่บนระบบเครือข่าย ซึ่งจะทำให้มีความสามารถในการรักษาความปลอดภัยได้ถึงลึกลงไปถึงระดับแอปพลิเคชั่น อีกทั้งยังมีความสามารถในการตรวจสอบทราฟิกเพื่อป้องกัน Virus, Spyware และภัยคุกคามอื่น ๆ ที่จะบุกรุกมาทางระบบเครือข่ายได้ด้วย

Palo Alto’s Solution: VDO Training

Course Outline
1. Welcome (3 min)
2. Building Your Own Lab - Concepts (15 min)
3. Creating Your Virtual Lab - Implementation (17 min)
4. Initial Power Up & Config (11 min)
5. Mgmt. Default Route and DNS (9 min)
6. Concepts: Zones, Interfaces & Design (20 min)
7. Configure Zones, Interfaces and VRs (16 min)
8. Configuring a Security Policy (16 min)
9. Configuring PAT (13 min)
10. GNS3 Integration (8 min)
11. Setting Up DMZ Server Access (17 min)
12. Using VMware Snapshots in your Lab (6 min)
13. Exporting and Importing Configs (13 min)
14. Licensing the NGFW Features (11 min)
15. Upgrade a Firewall (15 min)
16. App vs. Protocol & Port Security Policies (12 min)
17. Destination NAT (15 min)
18. App-ID Concepts (12 min)
19. Granular App Control Concepts (9 min)
20. Granular App Control Demonstration (21 min)
21. SSL Outbound Encryption (19 min)
22. URL Filtering (10 min)
23. Antivirus (9 min)
24. Vulnerability and Spyware Protection (5 min)
25. LDAP and Authentication Profiles (7 min)
26. Enable User-ID (12 min)
27. SSL VPN Concepts (7 min)
28. Installing a CA Certificate (10 min)
29. Create a VPN Zone and Tunnel Interface (4 min)
30. Configure a Global Protect GW and Portal (11 min)
31. Clients and Security Policies for Global Protect (15 min)
32. Site-to-Site IPsec VPN overview (8 min)
33. Config IPsec on PA FW (15 min)
34. Cisco IOS as VPN Peer (11 min)
35. Zone Protection Profiles (12 min)
36. 802.1Q & Sub-Interface Concepts (10 min)
37. Implement L3 Sub-Interfaces (11 min)
38. Verify L3 Sub-Interfaces (13 min)
39. Interface Management Profiles (6 min)
40. Captive Portal (9 min)
41. HA Concepts (6 min)
42. HA Implementation (17 min)
43. Panorama (11 min)
44. File Blocking (4 min)
45. WildFire, Data Filtering and DoS Profiles (6 min)
46. Dynamic Routing (10 min)
47. The Parka Principle (7 min)

ลงทะเบียนเพื่อขอรับ Palo Alto’s Solution: VDO Training
( จะส่ง Link ให้ทาง gmail เวลา 0.00 น ของทุก ๆวัน )

วันจันทร์ที่ 16 ตุลาคม พ.ศ. 2560

ขั้นตอนการ Config IPSec VPN เพื่อเชื่อมต่ออุปกรณ์ pfSense 2.3 และ Mikrotik 6.35

VPN 20:53:00

ขั้นตอนในการ Config

1. Config บนอุปกรณ์ pfSense

1.1 Config IPSec Tunnel Phase1 บน อุปกรณ์ pfSense Firewall

1.2 Config IPSec Tunnel Phase2 บน อุปกรณ์ pfSense Firewall

2. Config บนอุปกรณ์ Mikrotik

2.1 Config IPSec Peer บน อุปกรณ์ MikroTik

2.2 Config IPSec Policy บน อุปกรณ์ MikroTik

ต่อจากนั้นให้ทำ IP Firewall nat และ IP route ตาม Script ด้านล่าง

Script MikroTik

/ip ipsec peer

add address=31.199.xx.xx/32 dpd-interval=10s enc-algorithm=aes-128 exchange-mode=aggressive generate-policy=port-override local-address=0.0.0.0 nat-traversal=no secret=pippo123

/ip ipsec policy

add dst-address=192.168.14.20/32 sa-dst-address=31.199.xx.xx sa-src-address=185.19.xx.xx src-address=192.168.13.0/24 tunnel=yes

/ip firewall nat

add chain=srcnat dst-address=192.168.14.20/32

/ip route

add comment="Network VPN" distance=1 dst-address=192.168.14.20/32 gateway=ether1

------------------------------------------------------------------------

สนใจ VDO Training /pfsense /endian /zentyal /mikrotik/

คลิ๊ก >>> http://theboy.me/vdo-training-pfsense-firewall-endian-zentyal-mikrotik-server/

วันอาทิตย์ที่ 8 ตุลาคม พ.ศ. 2560

ความแตกต่างระหว่าง Active mode และ Passive mode บน FTP

FTP 23:36:00

FTP เป็นบริการที่ทำงานบน TCP อย่างเดียว โดยมีการทำงานโดยใช้พอร์ตสองพอร์ตคือ พอร์ตที่ 21 เป็นการเชื่อมต่อในส่วนควบคุม (command port) และพอร์ตที่ 20 เป็นการเชื่อมต่อในส่วนข้อมูล (data port) บางครั้งอาจจะทำให้สับสนได้หากการเชื่อมต่อในส่วนข้อมูลนั้นไม่เป็นพอร์ตที่ 20 ซึ่งจะขึ้นอยู่กับโหมดการทำงาน

การทำงานแบบ Active mode เครื่องไคลเอนต์จะเชื่อมต่อจากพอร์ตที่ไม่มีสิทธิพิเศษ (unprivileged port) โดยการสุ่มค่าพอร์ตที่มากกว่า 1024(N > 1024) ไปยัง command port(21)ของเครื่องเซิร์ฟเวอร์ จากนั้นเครื่องไคลเอนต์ก็จะเริ่มคอยฟัง (listening) พอร์ต N+1 และส่ง FTP command port(N+1) ไปยังเครื่องเซิร์ฟเวอร์ แล้วเครื่องเซิร์ฟเวอร์ก็จะเชื่อมต่อกลับมายังเครื่องไคลเอนต์ตาม data port ที่ได้กำหนดไว้ โดยที่เครื่องเซิร์ฟเวอร์นั้นจะเป็น Data Port(21)

ซึ่งสามารถแสดงรูปการเชื่อมต่อของ Active mode ดังรูปต่อไปนี้

Step 1: command port ของไคลเอนต์ติดต่อ command port ของเซิร์ฟเวอร์

และส่ง command PORT 1026

Step 2: เซิร์ฟเวอร์ส่ง ACK กลับไปยัง command port ของไคลเอนต์

Step 3: เซิร์ฟเวอร์เริ่มต้นการเชื่อมต่อ (initiate) โดยใช้ data port ของตัวเอง คือ

พอร์ตที่ 20 ส่งไปยัง data port ของไคลเอนต์ที่ถูกกำหนดไว้

Step 4: ไคลเอนต์จะทำการส่ง ACK กลับไปยังเซิร์ฟเวอร์

ปัญหาหลักของ FTP แบบ Active mode จะอยู่ที่ฝั่งไคลเอนต์เนื่องจากจะไม่สร้างการเชื่อมต่อที่แท้จริงไปยัง data port ของเซิร์ฟเวอร์ได้ เมื่อพิจารณาระบบ Firewall ทางด้านไคลเอนต์จะเห็นว่าเป็นการเริ่มต้น (initiate) การเชื่อมต่อจากระบบภายนอกไปยังไคลเอนต์ที่อยู่ภายใน ซึ่งการเชื่อมต่อแบบนี้มักจะถูกบล็อก

การทำงานแบบ Passive mode เครื่องไคลเอนต์จะเริ่มการเชื่อมต่อทั้งสองไปยังเครื่องเซิร์ฟเวอร์ เพื่อเป็นการแก้ปัญหาการกลั่นกรองการเชื่อมต่อ data port ขาเข้าจากเครื่องเซิร์ฟเวอร์ไปยังเครื่องไคลเอนต์ของตัว Firewall โดยเมื่อมีการเปิดการเชื่อมต่อ FTP เครื่องไคลเอนต์จะเปิด unprivileged port locally ทั้งสองพอร์ตแบบ random(N >1024 และ N + 1)โดยพอร์ตแรกจะติดต่อกับเครื่องเซิร์ฟเวอร์บนพอร์ตที่ 21 ด้วยการส่ง command port ออกมาและอนุญาตให้เครื่องเซิร์ฟเวอร์เชื่อมต่อกลับไปยัง data port ของตัวเอง จากนั้นเครื่องไคลเอนต์ก็จะส่ง PASV command ออกไปด้วย ผลที่ได้คือ เครื่องเซิร์ฟเวอร์จะเปิด random privileged port(P > 1024) และส่ง PORT P command กลับไปยังเครื่องไคลเอนต์แล้วเครื่องไคลเอนต์ก็จะเริ่มต้นการเชื่อมต่อจากพอร์ต N+1 ไปยังพอร์ต P บนเครื่องเซิร์ฟเวอร์เพื่อทำการถ่ายโอนข้อมูล

*Passive FTP (หรือในบางครั้งเราจะเรียกแทนด้วย PASV FTP เนื่องจากมันเป็นส่วนหนึ่งของคำสั่ง FTP PASV ) เป็นรูปแบบหนึ่งของการส่งถ่ายข้อมูลที่มีความปลอดภัยมากขึ้น ด้วยวิธีการถ่ายโอนข้อมูลที่ถูกสร้างขึ้นและนำพาโดยตัวโปรแกรม File Transfer หรือ โปรแกรม FTP

Step 1: ไคลเอนต์ติดต่อกับเซิร์ฟเวอร์บน command port และส่ง

PASV command

Step 2: เซิร์ฟเวอร์ตอบกลับด้วยพอร์ต 2024 เพื่อแจ้งไคลเอนต์ว่าพอร์ตใดที่

เซิร์ฟเวอร์กำลัง listening เพื่อทำการเชื่อมต่อข้อมูล

Step 3: ไคลเอนต์เริ่มต้นการเชื่อมต่อข้อมูลจาก data port ของตัวเองไปยัง

data port ของเซิร์ฟเวอร์ที่ถูกระบุไว้

Step 4: เซิร์ฟเวอร์จะทำการส่ง ACK กลับไปยัง data port ของไคลเอนต์

การแก้ปัญหาของ FTP แบบ Passive mode จะสามารถแก้ปัญหาทางฝั่งไคลเอนต์ได้ดี แต่ก็ยังเกิดปัญหากับทางฝั่งเซิร์ฟเวอร์อยู่มาก ซึ่งปัญหาที่ใหญ่ที่สุด คือ การเชื่อมต่อรีโมตใดๆจำเป็นต้องได้รับการอนุญาตก่อนจึงจะสามารถเชื่อมต่อไปยัง high numbered port บนเซิร์ฟเวอร์ได้ แต่ถ้าใครใช้ WU-FTP หรือ vsftp จะมีจุดเด่นอย่างหนึ่งคือ WU-FTP และ vsftp จะอนุญาตให้ Administrator ระบุช่วงของ Port ที่ FTP ใช้ได้

*ACKnowledgement รหัสควบคุมที่ตกลงกันไว้ว่า จะต้องส่งไปบอกคอมพิวเตอร์อีกเครื่องหนึ่งว่า พร้อมจะติดต่อกันก่อนส่งข้อมูลไปมาหากัน

ข้อมูลอ้างอิง

http://www.itmanage.info/technology/linux/active_passive_ftp/active_passive_FTP.html

ictsupports