วันนี้นั่งว่างๆเลยลองหาหนังสืออ่านดู ก็ไปจับ Network Warrior จาก O’Reilly เข้า
หนังสือเล่มนี้ดูจากปกจะพบว่าการออกแบบปกจะมาแนว O’Reilly ชัดๆ ตามรูปเลย
Network Warrior Cover (From Amazon)
รีวิวต่างๆของหนังสือไปอ่านจาก http://www.amazon.com/Network-Warrior-Everything-need-wasnt/dp/0596101511 ได้เลยครับ
สำหรับความเห็นส่วนตัวผมเห็นว่าหนังสือเล่มนี้อธิบายทฤษฎีหลายอย่างเกี่ยวกับ Network ได้ค่อนข้างกระชับ และเข้าใจง่าย ในส่วนของ Operation ก็เป็นการยกตัวอย่าง Command จาก Cisco มาให้ดู ซึ่งก็มาแนวสั้นๆ ตรงไปตรงมาดี
หนังสือเล่มนี้ออกมาตั้งแต่ปี 2007 แล้ว แต่ผมคิดว่าก็ยังสามารถใช้ได้ดีเลยในปัจจุบันครับ ดังนั้นจึงเหมาะอย่างยิ่งกับการเป็นหนังสือเริ่มต้นในสาย Network ที่ควรจะมีไว้
สนนราคาในเวอร์ชัน Kindle อยู่ที่ประมาณ 25 เหรียญครับ หรือจะแบบหนังสือก็ประมาณ 30 เหรียญ ในไทยผมเห็นในเว็บ Asiabook ราคาอยู่ที่ประมาณ 1,500 บาทครับ ท่านใดสนใจอย่างไรก็ลองหาดูนะครับ
วันนี้ขอมาสาระสักเล็กน้อยเกี่ยวกับ WPAD บน ISA และ TMG นะครับ
WPAD หรือ Web Proxy Automaticdiscovery Protocol (WPAD) เป็นโปรโตคอลที่ถูกออกแบบมาให้ไคลเอนต์สามารถค้นหาพร็อกซีได้โดยอัตโนมัติผ่านเว็บเบราเซอร์ ซึ่งถ้าหากผู้อ่านทุกท่านลอง Sniff ข้อมูลในขณะที่เปิดเว็บเบราเซอร์ขึ้นมาไม่ว่าจะตัวไหนก็ตาม ก็จะพบว่าจะมีการพยายาม Resolve Hostname ที่ชื่อ WPAD ก่อนโดยตลอด กระบวนการนี้คือการค้นหาพร็อกซีโดยอัตโนมัตินั่นเอง
ปกติแล้วเราสามารถใช้ระบบนี้ได้โดยผ่านทั้ง DHCP และ DNS สำหรับ DHCP จะสามารถใช้ได้เฉพาะซอฟท์แวร์ของไมโครซอฟท์เท่านั้น (ยกเว้นเราจะเขียน Add-on สำหรับเว็บเบราเซอร์อื่นๆ) เพราะ DHCP Option ที่ใช้นี้จะถูกระบุใน RFC ว่าเป็น Private Use นั่นหมายความว่า Vendor เจ้าไหนก็สามารถนำไปใช้กับซอฟท์แวร์ของตนเองได้หมด ซึ่งในกรณีนี้ก็คือ ISA, TMG จะใช้กับ IE นั่นเอง
ในทาง Security แล้ว เราไม่ควรใช้งาน WPAD ในระบบของเราเท่าใดนัก เพราะการใช้งาน WPAD จะทำให้ Attacker สามารถจะ Identify ตัว Proxy Server ของเราได้ ซึ่งแน่นอนว่าเมื่อได้ข้อมูลตรงนี้แล้ว การทำ Information Gathering รวมไปถึงการทำ Vulnerability Assessment กับตัว Proxy จะทำได้อย่างมีประสิทธิภาพมาก ในท้ายที่สุดก็จะนำมาสู่การโจมตีตัว Proxy นั่นเอง
อย่างไรก็ตามในบางระบบการใช้งาน WPAD ก็เป็นสิ่งที่จำเป็น ดังนั้นหากเราเลี่ยงไม่ได้แล้ว สิ่งที่ควรจะทำคือการ Hardening ตัว Proxy ของเราให้ดีที่สุด ซึ่งก็ทำได้หลายวิธีด้วยกันครับ
อีกสิ่งหนึ่งที่อาจจะมีข้ึ่อถกเถียงบ้างคือตัว DHCP Option นั้นยังมีหลายๆท่านเข้าใจว่าต้องใส่เป็น Hostname เท่านั้น ซึ่งผมขอเรียนว่าไม่จำเป็นครับ เพราะการใส่เป็น Hostname แล้วเท่ากับว่าบังคับให้ไคลเอนต์ทุกคนต้องชี้ DNS, WINS มาที่ระบบของท่านเอง ซึ่งในบางครั้งทำไม่ได้แน่ๆ จะหวังไปพึ่ง NetBIOS ก็อยากเรียนว่าสมัยนี้แล้วจะใช้ NetBIOS ให้ล่อเป้าในการทำ Enum และ Exploit ไปทำไม จริงไหมครับ 
ห่างหายไปนานมาครั้งนี้แวะเอาเรื่อง Security มาฝากกันครับ
.
ในการทำ Auditing หรือการทดสอบระบบโดยการลองแฮกเข้าไปนั้น ขั้นตอนแรกที่ทุกคนจะต้องทำ (ในกรณีที่ไม่รู้ข้อมูลใดๆมาก่อนเลย) ก็คือ Information Gathering
Information Gathering คือการรวบรวมข้อมูลเกี่ยวกับเป้าหมายให้มากที่สุดเท่าที่จะมากได้ อย่างไรก็ดีข้อมูลที่รวบรวมหากเป็นไปได้ควรเลือกมานิดจะดีมาก เพราะมีหลายกรณีเหมือนกันที่เป้าหมายมีข้อมูลใน Public Website เยอะมาก เช่น ผู้ใช้ในองค์กรเล่นเน็ตกระจาย เอาเมลองค์กรไปใช้ซะทุกเว็บที่ตนเข้า ข้อมูลเหล่านี้แม้จะมีประโยชน์มากในกรณีที่จะต้องทำ Social Engineering แต่ปัจจุบันคงต้องยอมรับกันตรงๆว่าองค์กรหลายๆแห่งยังไม่มีความต้องการทดสอบในส่วน Social Engineering เท่าใดนัก ดังนั้นความพยายามในการรวบรวมข้อมูลส่วนนี้ที่มากจนเกินไปอาจจะก่อให้เกิดการเสียเวลาได้เหมือนกัน
นอกจากข้อมูลประเภท DNS Record, IP Block แล้วอีกสิ่งหนึ่งที่ควรจะหามาให้ได้นั้นคงหนีไม่พ้น Operating System หรือ Application ที่ติดตั้งอยู่ เพราะเมื่อรู้แล้วก็จะทำการต่อไปได้ไม่ยาก การทำงานในส่วนนี้เราจะเรียกว่าการหา Fingerprint หรือรอยนิ้วมือของ OS นั่นเอง
ในกรณี Web Server เรามีวิธีการมากมายเลยที่จะดูว่า Web Server นี้ใช้ซอฟท์แวร์ใด วิธีง่ายที่สุดคงหนีไม่พ้นการ Sniff ข้อมูลและดูในส่วนของ HTTP Header ซึ่งก็จะมีรายละเอียดของ Application (IIS, Apache) รวมทั้ง OS (Windows, Linux, etc.) ส่งมาให้พร้อมศัพท์
แต่ปัจจุบันผู้ดูแลระบบหลายๆท่านได้ตัดฟิลด์ที่ว่านี้ใน HTTP Header ทิ้งไปเรียบร้อย แต่ก็ยังไม่พ้นการใช้เทคนิค OS Fingerprint จากซอฟท์แวร์ประเภท OS Detection อยู่ดีครับ เพราะซอฟท์แวร์ประเภทนี้จะตรวจสอบรายละเอียดที่มากกว่า HTTP Header เช่น การตรวจสอบในส่วนของ TCP/IP Paremeter ต่างๆ
อย่างไรก็ดีเรายังสามารถจะปลอม OS Fingerprint ของเราได้โดยการ Modify TPC/IP Parameter แต่ควรทำอย่างระมัดระวังเนื่องจากการเปลี่ยนแปลงในส่วนนี้อาจจะมีส่วนไปทำให้ Application มี Performance ต่ำลงไปครับ
.
สำหรับวันนี้ต้องขอตัวก่อนนะครับ พบกันใหม่โอกาสหน้าครับ
.
.
ปล วันเสาร์นี้มีสอน Network Infrastructure นะครับ (ไม่วายขายยา)
ตามไปดูได้ที่ http://www.izitgroup.com นะครับ
สวัสดีครับ ผู้อ่านทุกท่าน
ในวันเสาร์นี้ (17 กรกฎาคม) ทาง izitcer.com จะเปิดอบรมในคอร์ส Active Directory นะครับ
โดยเนื้อหามีการปรับปรุงใหม่ให้มีความเหมาะสมมากยิ่งขึ้นครับ
เนื้อหาจะมีทั้งในส่วนของ workshop และส่วนของการออกแบบให้เหมาะสม
เรียกว่าพยายามจะให้ทำได้ทั้งทางทฤษฎีและปฏิบัติครับ
เหมาะอย่างยิ่งสำหรับผู้ที่สนใจ ผู้เริ่มต้นก็สามารถเรียนได้ครับ
เรียนแล้วเนื้อหาส่วนใหญ่ใช้ได้กับ Windows Server ทุกเวอร์ชันครับไม่ว่าจะเป็น 2000, 2003, 2008
สำหรับรายวิชานี้เนื้อหาส่วนใหญ่จะอยู่ในการสอบวิชา 70-640 ครับ
รายละเอียดการสอนสามารถไปดูได้ครับที่
http://www.izitcer.com/?page_id=189
สอบถามรายละเอียดเพิ่มเติมที่
izitcer@gmail.com
.
หลังจากเสาร์นี้แล้ว ในวันเสาร์ถัดไป (24 กรกฎาคม) หากไม่มีอะไรเปลี่ยนแปลง อาจจะหยุดสอนไป 1 สัปดาห์นะครับ (จะมาเปิดอีกครั้งในวันที่ 31 กรกฎาคม)
เนื่องจากผู้สอนจะพาบุพการีไปเที่ยวครับ
ดังนั้นท่านที่พลาดคอร์สนี้ไปอาจจะต้องรอเรียนนิดหนึ่งนะครับ
พบกันใหม่โอกาสหน้า
.
สวัสดีครับ
ตามไปดูได้ที่ http://www.izitgroup.com นะครับ
สวัสดีครับ มาพบกันอีกหลังจากที่ได้สะสางงานเกือบๆจะลงตัวแล้ว
วันนี้ขอใช้พื้นที่โฆษณาขายยานิดนะครับ
ตอนนี้ทาง izitcer ได้จัดทำคอร์ส Windows Server 2008: Network Infrastructure ขึ้นมาโดยปรับปรุงเนื้อหาใหม่ครับ
ในเนื้อหาใหม่นี้จะค่อนข้างตรงกับการสอบในวิชา 70-642: Network Infrastructure ครับ และเนื้อหาในหลายๆส่วนก็สามารถนำไปประยุกต์ใช้กับอุปกรณ์อื่นๆได้อีกด้วย เช่น การออกแบบระบบ DHCP ใน Multi-Subnet หรือหลายๆ VLAN หรือการทำ Routing ต่างๆที่อาจจะต้องเซตกันบ่อยๆอย่างใน Router หรือ Firewall
หากท่่านใดสนใจดูรายละเอียดของคอร์สได้ที่นี่ครับ
http://www.izitcer.com/?page_id=195
สอบถามรายละเอียดเพิ่มเติมที่
izitcer@gmail.com
.
.
สำหรับในคอร์สในอนาคตของ Windows Server 2008 ที่จะเพิ่มเข้ามาก็จะเป็น Windows Server 2008: Application Infrastructure นะครับ คอร์สนี้เนื้อหาจะตรงกับ 70-643 ซึ่งผมจะมาอัปเดตให้อีกทีครับ
สำหรับท่านที่ติดต่อสอนเรื่อง Checkpoint, Juniper นั้นผมขอจัดทำเนื้อหานิดนะครับหากเสร็จแล้วจะเมลส่งไปให้ รวมทั้งนำมาโพสต์ในเว็บครับ
พบกันใหม่โอกาสหน้านะครับ
สวัสดีครับ
Book | izitcer | 
August 13, 2010 8:59 pm | 
Comments (0) 
Subscribe