วันนี้ขอยกตัวอย่างอัลกอริทึกของการเก็บรหัสผ่านใน Windows เก่าๆมาเล่าให้ฟังนิดนะครับว่าทำไมปัจจุบันจึงต้้องมีการเปลี่ยนแปลงเรื่องๆ
ปกติแล้วการเก็บรหัสผ่านใน Windows จะเก็บอยู่ในไฟล์ที่ชื่อว่า SAM Database ซึ่แน่นอนว่าหากเก็บเป็น Clear Text แล้วย่อมต้องถูกโจรกรรมกันได้อย่างง่ายๆแน่นอน ดังนั้นเราจึงต้องมีการเข้ารหัสที่เก็บนี้ไว้ด้วยวิธีการตามแต่จะคิดขึ้นมาได้
Lan Manager หรือ LM Hash เป็นวิธีการเข้ารหัส Password ที่ใช้ใน Windows รุ่นเก่าๆเช่น Windows NT และก็ใช้มาเรื่อยๆ วิธีการเข้ารหัสผ่านของ LM Hash จะมีดังนี้
- แบ่งรหัสผ่านออกเป็นสองส่วน ส่วนละ 7 ตัว กรณีที่รหัสผ่านสั้นกว่า 14 ตัวก็จะทำการ Pad เข้าไปให้ครบ มองจากตรงนี้จะเห็นเลยว่าเราจะตั้งรหัสยาวกว่า 14 ตัวไม่ได้ (ปัจจุบันผมตั้งที่ 30 ขึ้นไปซึ่งเพื่อนก็แซวว่าเยอะแล้ว แต่ได้ข่าวว่าบาง Vendor ซัดไปเกือบร้อย !!!)
- รหัสผ่านจะถูกทำเป็น Uppercase เท่ากับว่าหากใช้เทคนิค Bruteforce ไปประยุกต์จะประหยัดเวลาไปครึ่งหนึ่ง
- นำรหัสทั้งสองส่วนไปผ่านอัลกอริทึมจนเรียบร้อยก็นำมาต่อกันแล้วเก็บลง SAM ขั้นตอนนี้มองเผินๆไม่มีปัญหาหรอก แต่ดันไปใช้ DES 56 Bit ซึ่งผมว่า Bit น้อยไป เพราะสมัยนี้ใช้เป็น AES256 กันแล้ว
เขียนสั้นๆมาสามข้อก็น่าจะเห็นแล้วว่าทำไม LM จึงถูกลบไปจากสารบบ
ในความเป็นจริงจุดอ่อนของ LM ถูกพบตั้งแต่ยังเป็น OS2 ที่ Microsoft จับมือกับ IBM แล้ว แต่เนื่องจากตอนนั้นขายระบบที่ใช้ LM ไปมากแล้ว ถ้าประกาศว่าใช้ไม่ได้ก็กะไรอยู่ ดังนั้นเราจึงเห็น LM อยู่คู่โลกนานเกินกว่าที่ควรจะเป็นครับ
ปัจจุบันการเก็บรหัสลง SAM ใช้เทคนิคอื่นแล้ว ซึ่งก็แคร็กยากขึ้น แต่หากตั้งรหัสไว้อ่อนๆก็โดนได้ง่ายๆครับ ดังนั้นมาตั้งรหัสให้ยาวและซับซ้อนกันแต่วันนี้ดีกว่าครับ 
วันนี้ขอมาสาระสักเล็กน้อยเกี่ยวกับ WPAD บน ISA และ TMG นะครับ
WPAD หรือ Web Proxy Automaticdiscovery Protocol (WPAD) เป็นโปรโตคอลที่ถูกออกแบบมาให้ไคลเอนต์สามารถค้นหาพร็อกซีได้โดยอัตโนมัติผ่านเว็บเบราเซอร์ ซึ่งถ้าหากผู้อ่านทุกท่านลอง Sniff ข้อมูลในขณะที่เปิดเว็บเบราเซอร์ขึ้นมาไม่ว่าจะตัวไหนก็ตาม ก็จะพบว่าจะมีการพยายาม Resolve Hostname ที่ชื่อ WPAD ก่อนโดยตลอด กระบวนการนี้คือการค้นหาพร็อกซีโดยอัตโนมัตินั่นเอง
ปกติแล้วเราสามารถใช้ระบบนี้ได้โดยผ่านทั้ง DHCP และ DNS สำหรับ DHCP จะสามารถใช้ได้เฉพาะซอฟท์แวร์ของไมโครซอฟท์เท่านั้น (ยกเว้นเราจะเขียน Add-on สำหรับเว็บเบราเซอร์อื่นๆ) เพราะ DHCP Option ที่ใช้นี้จะถูกระบุใน RFC ว่าเป็น Private Use นั่นหมายความว่า Vendor เจ้าไหนก็สามารถนำไปใช้กับซอฟท์แวร์ของตนเองได้หมด ซึ่งในกรณีนี้ก็คือ ISA, TMG จะใช้กับ IE นั่นเอง
ในทาง Security แล้ว เราไม่ควรใช้งาน WPAD ในระบบของเราเท่าใดนัก เพราะการใช้งาน WPAD จะทำให้ Attacker สามารถจะ Identify ตัว Proxy Server ของเราได้ ซึ่งแน่นอนว่าเมื่อได้ข้อมูลตรงนี้แล้ว การทำ Information Gathering รวมไปถึงการทำ Vulnerability Assessment กับตัว Proxy จะทำได้อย่างมีประสิทธิภาพมาก ในท้ายที่สุดก็จะนำมาสู่การโจมตีตัว Proxy นั่นเอง
อย่างไรก็ตามในบางระบบการใช้งาน WPAD ก็เป็นสิ่งที่จำเป็น ดังนั้นหากเราเลี่ยงไม่ได้แล้ว สิ่งที่ควรจะทำคือการ Hardening ตัว Proxy ของเราให้ดีที่สุด ซึ่งก็ทำได้หลายวิธีด้วยกันครับ
อีกสิ่งหนึ่งที่อาจจะมีข้ึ่อถกเถียงบ้างคือตัว DHCP Option นั้นยังมีหลายๆท่านเข้าใจว่าต้องใส่เป็น Hostname เท่านั้น ซึ่งผมขอเรียนว่าไม่จำเป็นครับ เพราะการใส่เป็น Hostname แล้วเท่ากับว่าบังคับให้ไคลเอนต์ทุกคนต้องชี้ DNS, WINS มาที่ระบบของท่านเอง ซึ่งในบางครั้งทำไม่ได้แน่ๆ จะหวังไปพึ่ง NetBIOS ก็อยากเรียนว่าสมัยนี้แล้วจะใช้ NetBIOS ให้ล่อเป้าในการทำ Enum และ Exploit ไปทำไม จริงไหมครับ
ห่างหายไปนานมาครั้งนี้แวะเอาเรื่อง Security มาฝากกันครับ
.
ในการทำ Auditing หรือการทดสอบระบบโดยการลองแฮกเข้าไปนั้น ขั้นตอนแรกที่ทุกคนจะต้องทำ (ในกรณีที่ไม่รู้ข้อมูลใดๆมาก่อนเลย) ก็คือ Information Gathering
Information Gathering คือการรวบรวมข้อมูลเกี่ยวกับเป้าหมายให้มากที่สุดเท่าที่จะมากได้ อย่างไรก็ดีข้อมูลที่รวบรวมหากเป็นไปได้ควรเลือกมานิดจะดีมาก เพราะมีหลายกรณีเหมือนกันที่เป้าหมายมีข้อมูลใน Public Website เยอะมาก เช่น ผู้ใช้ในองค์กรเล่นเน็ตกระจาย เอาเมลองค์กรไปใช้ซะทุกเว็บที่ตนเข้า ข้อมูลเหล่านี้แม้จะมีประโยชน์มากในกรณีที่จะต้องทำ Social Engineering แต่ปัจจุบันคงต้องยอมรับกันตรงๆว่าองค์กรหลายๆแห่งยังไม่มีความต้องการทดสอบในส่วน Social Engineering เท่าใดนัก ดังนั้นความพยายามในการรวบรวมข้อมูลส่วนนี้ที่มากจนเกินไปอาจจะก่อให้เกิดการเสียเวลาได้เหมือนกัน
นอกจากข้อมูลประเภท DNS Record, IP Block แล้วอีกสิ่งหนึ่งที่ควรจะหามาให้ได้นั้นคงหนีไม่พ้น Operating System หรือ Application ที่ติดตั้งอยู่ เพราะเมื่อรู้แล้วก็จะทำการต่อไปได้ไม่ยาก การทำงานในส่วนนี้เราจะเรียกว่าการหา Fingerprint หรือรอยนิ้วมือของ OS นั่นเอง
ในกรณี Web Server เรามีวิธีการมากมายเลยที่จะดูว่า Web Server นี้ใช้ซอฟท์แวร์ใด วิธีง่ายที่สุดคงหนีไม่พ้นการ Sniff ข้อมูลและดูในส่วนของ HTTP Header ซึ่งก็จะมีรายละเอียดของ Application (IIS, Apache) รวมทั้ง OS (Windows, Linux, etc.) ส่งมาให้พร้อมศัพท์
แต่ปัจจุบันผู้ดูแลระบบหลายๆท่านได้ตัดฟิลด์ที่ว่านี้ใน HTTP Header ทิ้งไปเรียบร้อย แต่ก็ยังไม่พ้นการใช้เทคนิค OS Fingerprint จากซอฟท์แวร์ประเภท OS Detection อยู่ดีครับ เพราะซอฟท์แวร์ประเภทนี้จะตรวจสอบรายละเอียดที่มากกว่า HTTP Header เช่น การตรวจสอบในส่วนของ TCP/IP Paremeter ต่างๆ
อย่างไรก็ดีเรายังสามารถจะปลอม OS Fingerprint ของเราได้โดยการ Modify TPC/IP Parameter แต่ควรทำอย่างระมัดระวังเนื่องจากการเปลี่ยนแปลงในส่วนนี้อาจจะมีส่วนไปทำให้ Application มี Performance ต่ำลงไปครับ
.
สำหรับวันนี้ต้องขอตัวก่อนนะครับ พบกันใหม่โอกาสหน้าครับ
.
.
ปล วันเสาร์นี้มีสอน Network Infrastructure นะครับ (ไม่วายขายยา)
สวัสดีครับ ผู้อ่านทุกท่าน
ในวันเสาร์นี้ (17 กรกฎาคม) ทาง izitcer.com จะเปิดอบรมในคอร์ส Active Directory นะครับ
โดยเนื้อหามีการปรับปรุงใหม่ให้มีความเหมาะสมมากยิ่งขึ้นครับ
เนื้อหาจะมีทั้งในส่วนของ workshop และส่วนของการออกแบบให้เหมาะสม
เรียกว่าพยายามจะให้ทำได้ทั้งทางทฤษฎีและปฏิบัติครับ
เหมาะอย่างยิ่งสำหรับผู้ที่สนใจ ผู้เริ่มต้นก็สามารถเรียนได้ครับ
เรียนแล้วเนื้อหาส่วนใหญ่ใช้ได้กับ Windows Server ทุกเวอร์ชันครับไม่ว่าจะเป็น 2000, 2003, 2008
สำหรับรายวิชานี้เนื้อหาส่วนใหญ่จะอยู่ในการสอบวิชา 70-640 ครับ
รายละเอียดการสอนสามารถไปดูได้ครับที่
http://www.izitcer.com/?page_id=189
สอบถามรายละเอียดเพิ่มเติมที่
izitcer@gmail.com
.
หลังจากเสาร์นี้แล้ว ในวันเสาร์ถัดไป (24 กรกฎาคม) หากไม่มีอะไรเปลี่ยนแปลง อาจจะหยุดสอนไป 1 สัปดาห์นะครับ (จะมาเปิดอีกครั้งในวันที่ 31 กรกฎาคม)
เนื่องจากผู้สอนจะพาบุพการีไปเที่ยวครับ
ดังนั้นท่านที่พลาดคอร์สนี้ไปอาจจะต้องรอเรียนนิดหนึ่งนะครับ
พบกันใหม่โอกาสหน้า
.
สวัสดีครับ
สวัสดีครับ มาพบกันอีกหลังจากที่ได้สะสางงานเกือบๆจะลงตัวแล้ว
วันนี้ขอใช้พื้นที่โฆษณาขายยานิดนะครับ
ตอนนี้ทาง izitcer ได้จัดทำคอร์ส Windows Server 2008: Network Infrastructure ขึ้นมาโดยปรับปรุงเนื้อหาใหม่ครับ
ในเนื้อหาใหม่นี้จะค่อนข้างตรงกับการสอบในวิชา 70-642: Network Infrastructure ครับ และเนื้อหาในหลายๆส่วนก็สามารถนำไปประยุกต์ใช้กับอุปกรณ์อื่นๆได้อีกด้วย เช่น การออกแบบระบบ DHCP ใน Multi-Subnet หรือหลายๆ VLAN หรือการทำ Routing ต่างๆที่อาจจะต้องเซตกันบ่อยๆอย่างใน Router หรือ Firewall
หากท่่านใดสนใจดูรายละเอียดของคอร์สได้ที่นี่ครับ
http://www.izitcer.com/?page_id=195
สอบถามรายละเอียดเพิ่มเติมที่
izitcer@gmail.com
.
.
สำหรับในคอร์สในอนาคตของ Windows Server 2008 ที่จะเพิ่มเข้ามาก็จะเป็น Windows Server 2008: Application Infrastructure นะครับ คอร์สนี้เนื้อหาจะตรงกับ 70-643 ซึ่งผมจะมาอัปเดตให้อีกทีครับ
สำหรับท่านที่ติดต่อสอนเรื่อง Checkpoint, Juniper นั้นผมขอจัดทำเนื้อหานิดนะครับหากเสร็จแล้วจะเมลส่งไปให้ รวมทั้งนำมาโพสต์ในเว็บครับ
พบกันใหม่โอกาสหน้านะครับ
สวัสดีครับ
สวัสดีครับ ผู้อ่านทุกท่าน
ห่างหายไปนานจากบล็อครวมทั้งคอร์สที่สอนอยู่ก็เพราะไปเคลียร์งานต่างๆที่ค้างคาอยู่ครับ
หนึ่งในนั้นก็มีการสอบ Certificate ใบใหม่ๆร่วมอยู่ด้วย (เช็คจากประวัติได้เลยครับ)
ตอนนี้ก็หมดไปเรียบร้อยแล้วครับ ทุกอย่างจบลงได้ในแบบที่เป็นที่น่าพอใจ
.
.
สำหรับงานสอนนั้น จากที่ได้เคยเกริ่นไว้ว่าจะปรับปรุงให้เนื้อหาออกมาดีและดียิ่งๆขึ้น
ถึงตอนนี้ก็ได้คอนเซปต์งานที่ผมค่อนข้างจะพอใจแล้ว
เหลือการปรับแต่งอีกนิดหน่อย
ซึ่งหากสำเร็จเรียบร้อยก็จะมาอัปเดตให้ทราบกันอีกทีครับ
แน่นอนว่าคอร์สแรกจากนี้ที่สอน ก็จะเป็นเนื้อหาใหม่ที่ว่านี้แหละครับ
.
.
ช่วงนี้หลายๆเรื่องที่ผ่านเข้ามาทำให้ลำบากไปบ้างเหมือนกัน
นอกจากครอบครัวแล้ว พี่ๆหลายๆท่านก็เป็นส่วนสำคัญที่ทำให้ผ่านช่วงนี้มาได้
ขอขอบคุณสำหรับกำลังใจที่ให้มานะครับ
ผมดีใจมากจริงๆครับ
และขอให้พี่ๆทุกท่านประสบความสำเร็จเช่นเดียวกัน
(ซึ่งก็ไม่น่ายากเพราะพี่ๆที่ผมพาดพิงถึงนี้เก่งกว่าผมเยอะอยู่แล้ว เจออะไรก็ผ่านสบายแน่)
.
.
สุดท้ายนี้ขออภัยผู้ที่ติดต่อเข้ามาเรียนก่อนหน้านี้ทุกท่านครับที่ปิดคอร์สไปค่อนข้างจะนาน
ซึ่งผมได้เก็บเมลของทุกท่านไว้เป็นอย่างดีครับ
หากเปิดสอนแล้วจะส่งเมลไปแจ้งทันทีครับ
.
.
วันนี้ก็คงจบเท่านี้ก่อนครับ พบกันใหม่โอกาสหน้าครับ
เนื่องจากสถานการณ์บ้านเมืองที่ยังไม่ปกติเท่าใดนัก ในปัจจุบันผมเองเลยไม่ค่อยมีงานอิมพลีเมต์ระบบเข้ามามากนัก งานส่วนใหญ่จึงอยู่ในส่วนของการเรียนรู้และการทำสไลด์สำหรับนำเสนองานซะมากกว่าในเดือนนี้ ซึ่งก็ถือว่าเป็นประสบการณ์ที่ดีไปอีกแบบ และได้มีโอกาสศึกษาด้านจิตวิทยาผสมการค้าการขายเข้าไปอีกด้วย เรียกว่าหากให้ผมออกไปขายผักในตลาดสดตอนนี้ ผมอาจจะขายได้หมดก่อนตะวันขึ้นเลยก็ได้
นอกจากงานที่กล่าวมาแล้ว ช่วงนี้ผมก็เริ่มปรับปรุงสไลด์สำหรับสอนในคอร์สให้ดียิ่งขึ้น ซึ่งสไลด์ชุดนี้ต้องเรียนตามตรงว่าตั้งใจทำมากๆ (อันเดิมก็ตั้งใจเกินร้อยเช่นกันนะครับ ไม่ได้ทำลวกแต่อย่างใด ) และสไลด์ชุดนี้ก็ไม่มีการหวงหรือกั๊กแต่อย่างใด ใครมาเรียนสามารถก็อปไปได้เลย โดยการสอนในสไลด์ชุดนี้จะอยู่ในชุด Windows Server 2008 เนื้อหาจะเน้นทั้งในเรื่องของการทำงานจริงและเนื้อหาเชิงลึกที่จะต้องใช้สอบครับ ซึ่งจากที่ได้ทำมาคงต้องบอกว่าโครงสร้างก็ยังคล้ายของเดิมครับ แต่จะปรับเนื้อหาให้มีในส่วนเฉพาะทางมากยิ่งขึ้น เช่น คอร์ส AD ก็จะมีเนื้อหาของ AD ที่เข้มข้นกว่าเดิม และตัดในส่วนของ Intro และส่วนอื่นๆที่ไม่ได้เกี่ยวข้องโดยตรงให้น้อยลงไป แต่ไม่ได้ตัดหมดนะครับ จะออกแนวไกด์ให้อ่านเองลุยเองต่อมากกว่า จะได้มาลุย AD กันได้มากขึ้น
สำหรับคอร์สใหม่ที่อาจจะได้ทำเห็นกันก็คือ Juniper NetScreen และ Checkpoint อันเป็นอุปกรณ์ด้าน Security ที่ต้องบอกว่าดีที่สุดแล้วในตลาดขณะนี้ (รวมทั้งในอดีต และอาจจะอนาคตด้วย) หากออกแบบเนื้อหาและโครงสร้างต่างๆเรียบร้อยแล้ว ก็จะเริ่มเปิดตัวให้ได้ทราบกันครับ
.
.
สำหรับวันนี้คงต้องลาไปก่อนนะครับ หากมีสิ่งใดอัปเดตก็จะมาพบกันใหม่ครับ
.
.
สวัสดีครับ
หลังจากที่ต้องจูนกันสุดฤทธิ์กับเครื่องตัวเก่าที่ใช้ CPU เป็น X2 5000+
และในวันนี้ผมก็หลุดจากวงจรนี้จนได้เมื่อ PhenomII 945 ได้ส่งตรงถึงมือผม
.
.
ปกติแล้วผมจะใช้ชีวิตบน Thinkpad เป็นส่วนใหญ่ แต่ก็มีหลายๆงานเหมือนกันที่ต้องใช้ PC เข้าช่วย เช่น งานที่ใช้แรงงานเยอะๆ อย่างเช่นการเปิด VM เพื่อทดสอบระบบซักสี่ตัว ซึ่งที่ผ่านมาในสมัย Windows Server 2003 เครื่องผมทำได้ดีไม่มีที่ติ สเปคในคอนนั้นก็จะมี X2 5000+ ร่วมมือกับแรม 8 GB ทำให้การทำงานลื่นไปพอสมควร
จนเมื่อ Windows Server 2008 มาถึงนี่ล่ะที่ทำให้งานเข้าทันที เพราะการจำลองเครื่องเยอะๆจาก X2 5000+ ทำไม่ได้ลื่นเหมือนเดิมอีกแล้ว ปกติผมเองก็เป็นคนประเภทที่ว่าถ้าไม่แน่ใจจนถึงที่สุดไม่ซื้อของใหม่แน่ๆ การจูนเครื่องจึงเริ่มขึ้น ตั้งแต่ปิดเซอร์วิสผ่าน SCW ปรับ registry แก้ policy สารพัดจะทำ แต่สุดท้าย CPU ก็แตะๆร้อยอยู่ดีเมื่อเจอ VM ของ Windows Server 2008 ไปแค่สาม
เมนบอร์ดของผมเป็นรุ่น AM2+ ใช้ชิป 690G ซึ่งเก่าโพดๆครับ ซึ่งแต่ก่อนไม่สามารถใส่ CPU ตระกูล AM3 อย่าง PhenomII ได้แน่ๆ แต่และแล้วก็เหมือนคู่แล้วไม่แคล้วกัน เมื่อวานนี้ว่างๆเปิดไปเจอว่าผู้ผลิตออกไบออสใหม่ ทำให้สนับสนุน AM3 ได้แล้ว แม้จะไม่ครบ แต่ก็ดีมากๆแล้ว เรื่องแบบนี้ผมเชื่อว่าอาจจะพบจาก Intel ยากสักนิด
และมาวันนี้ไปเจอตลาดมือสองในเว็บแห่งหนึ่งมีผู้เอา PhenomII 945 มาขาย แถมบอกว่ายังไม่เคยใช้เลย (รู้ทีหลังว่าพี่เค้าไปตีกอล์ฟได้มา ดีจริงๆเลยกอล์ฟเนี่ย) หาไปหามาปรากฎว่าไอ้ตัวนี้ล่ะใช่เลย เป็นตัวที่แรงที่สุดในบรรดาตระกูล PhenomII Series 9 ที่ใช้ไฟ 95 Watt ส่วนตัวที่แรงกว่าเจ้านี่ใช้ไฟไป 125 หรือ 140 Watt ซึ่งก็ต้องบอกเลยครับว่าถ้าซื้อไอ้ตระกูลนั้นมา ผมคงต้องเปลี่ยน Power อีกแน่ๆ เพราะตัวเก่าเลือกมาแค่ 370 Watt (ยี่ห้อ Enermax ของดีที่จะดีกว่านี้ถ้าราคาลดลงมาซักนิดแบบให้ค่าข้าวคนซื้อซักหน่อย)
หลังจากที่ได้ติดตั้งลงบน PC แล้ว คงต้องบอกว่าแม้ว่าจะเอาไปติดตั้งในบอร์ดรุ่นเก่าที่ทำให้น่อม 945 ไม่สามารถสำแดงพลังได้เต็มที่ เพราะรับ HT ได้แค่ 1,000 ขณะที่สเปคจริงๆ 4,000 แต่ก็คงต้องบอกตรงๆล่ะครับว่าคุ้มมากๆ เพราะเปิด VM สี่ตัว ซีพียูกระดิกไปไม่ถึงครึ่ง นับว่าเยี่ยมจริงๆกับการอัปเกรดระบบในงบไม่ถึงห้าพันครั้งนี้
วันนี้คงต้องขอขอบคุณพี่คนขายด้วยที่นำของมาให้ทดสอบถึงที่ เรียกว่าไม่นึกว่าจะเจอเหมือนกัน แถมคุยไปคุยมา ทำงานด้านไอทีเหมือนกันอีก (โลกกลมจริงๆ)
หลังจากที่ได้มีโอกาสจับ BlueCoat มาซักระยะหนึ่งแล้ว ผมก็นึกอยากเขียนบทความเปรียบเทียบนี้ขึ้นมาทันทีเลย เพราะจะว่าไปแล้วมีหลายๆท่านสงสัยเกี่ยวกับทั้งสองตัวนี้เหมือนกัน พี่ๆเซลล์ในบริษัทผมเองก็เคยสงสัยว่าทั้งสองตัวนี้จะเสนออะไรให้ลูกค้าดี หรือจะสู้กับอีกฝ่ายยังไงดี วันนี้เลยขอเล่าให้ฟังสักเล็กน้อยครับ เริ่มกันเลยดีกว่าครับ
- TMG 2010 (ISA) เป็นซอฟท์แวร์ด้าน Security ที่มีฟีเจอร์ Proxy มาให้ด้วย ซึ่งจุดนี้หากผู้อ่านทำงานด้านนี้มานานก็น่าจะพอนึกออกว่าจริงๆแล้ว TMG หรือ ISA พัฒนามาจาก Microsoft Proxy Server ซึ่งชื่อก็บอกอยู่แล้วว่าทำอะไร แต่ต่อมาไมโครซอฟท์ปรับปรุงซะจนกลายเป็น Security Software ไปซะแล้ว ยิ่งใน TMG 2010 มีอะไรต่อมิอะไรเพิ่มขึ้นอีกมากจนเรียกได้ว่าเป็น UTM (Unified Threat Management) คือกันได้ทุกอย่างแล้ว
- BlueCoat จริงๆแล้วมีด้วยกันหลายซีรีย์ สำหรับในส่วนของพร็อกซีจะเรียกว่า ProxySG ซึ่งเป็นฮาร์โแวร์ที่ทำงานด้าน Proxy แบบแท้ๆ แต่ก็แอบมีฟีเจอร์ดีๆที่เกี่ยวกับ Security อยู่เหมือนกันเช่น URL Filtering, Antivirus ซึ่งในส่วนของ Antivirus จะต้องซื้อฮาร์ดแวร์ในซีรีย์ AV เข้ามาอีกด้วยจึงจะใช้ได้
- เปรียบ เทียบกันในด้าน Proxy แล้ว ผมเห็นว่า BlueCoat ดีกว่าอย่างเห็นได้ชัด เพราะรองรับโปรโตคอลได้หลากหลายมาก (ขนาด CIFS ยังมีให้เซตเลย) การปรับแต่ง Policy ก็ทำได้อย่างหลากหลาย คอนเซปต์การใช้งาน Policy ในรูปแบบ Layer and Rule ก็ถือว่าน่าสนใจดี เรียกว่าในส่วนของ Proxy เลือก BlueCoat ได้เลย
- ในส่วนของ URL Filteringตรงนี้ TMG 2010 เพิ่มจะเริ่มพัฒนาฐานข้อมูลของตนเอง ดังนั้นความถูกต้องและแม่นยำ รวมทั้งความครบถ้วจะเป็นรองค่อนข้างมาก อย่างไรก็ตามหากเรามีการใช้ Websense ร่วมด้วยแล้ว จุดอ่อนที่ว่าก็แทบจะไม่เป็นจุดอ่อนเลย เพราะ Websense ก็มีฐานข้อมูลใหญ่พอๆกับ BlueCoat และจริงๆแล้ว Websense ก็ใช้กับ BlueCoat ได้เหมือนกัน
- การรองรับกับอุปกรณ์อื่น ตรงจุดนี้ BlueCoat ดีกว่า เพราะมี ICAP Protocol ทำให้สามารถเชื่อมต่อกับอุปกรณ์อื่นๆได้มากมาย เช่น Facetime นอกจากนี้รองรับ WCCP ทำให้ทำงานร่วมกับอุปกรณ์ Redirection Device ได้อีกด้วย
- TMG 2010 มีฟีเจอร์ด้านการรักษาความปลอดภัยมากมาย เช่น Firewall, IPS, Web Content Inspection, Antispam, SSL Inspection ซึ่งทั้งหมดนี้สามารถใช้ได้เลยโดยไม่ต้องซื้อฮาร์โแวร์หรือ license เพิ่มเติม ในขณะที่ BlueCoat ต้องซื้อ ProxyAV มาเพิ่ม
- TMG 2010 มี VPN ให้ในตัว ในขณะที่ BlueCoat ต้องซื้อ ProxyRA
- TMG 2010 มี Link Load Balance ให้ด้วย แม้จะทำได้แค่ 2 ลิงค์ แต่ก็ถือว่าเป็นฟีเจอร์ที่น่าสนใจทีเดียว เพราะโดยปกติ Load Balance ที่ใช้งานได้สเถียรๆอย่าง F5 หรือ LinkProof มีราคาค่อนข้างสูงทีเดียว
- TMG 2010 เป็นซอฟท์แวร์ จึงมีความยืดหยุ่นมากกว่า คือสามารถเปลี่ยนไปใช้ฮาร์ดแวร์ที่ดีกว่าเดิมได้หากผู้ใช้มากขึ้น ส่วน BlueCoat อาจจะต้องซื้อใหม่ยกชุด (ซึ่งแพงพอสมควร)
จากที่สรุป มาให้เห็นนี้ก็พอจะเห็นกันแล้วนะครับว่า หากเราต้องการ Proxy เพียงอย่างเดียว คงต้องเลือก BlueCoat ไป แต่หากต้องการอะไรซักอย่างที่มีให้ครบทุกอย่าง Microsoft Forefront Threat Management Gateway 2010 ก็เป็นตัวเลือกที่ดีทีเดียวครับ
ข่าว (ไม่) ล่าเท่าไหร่ แต่อยากอัปเดตให้ผู้อ่านได้รับทราบกันสักนิดคือ Symantec ซื้อ PGP ไปซะแล้วครับ
สำหรับท่านที่ไม่คุ้นเคยก็ต้องขอบอกซักนิดนะครับว่า PGP เป็นซอฟท์แวร์ด้าน Encryption ที่เอาไว้เข้ารหัสข้อมูลทั้งภายในเครื่องเอง หรือเมลที่ส่งออกไปครับ โดยในส่วนของเมลจะใช้หลักการ Asymmetric Key หรือ Public Key and Private Key ในการเข้ารหัสครับ ซึ่งก็ถือว่าตัว PGP เองทำหน้าที่ในส่วนนี้ได้อย่างยอดเยี่ยมทีเดียวครับ
ส่วน Symantec ก็อย่างที่รู้ๆกันครับว่าเป็นเจ้าพ่อด้่าน Security Solution มีทั้ง Antivirus, Antispam ซึ่งก็ขายดิบขายดีทั้งคู่ครับ จริงๆแล้วส่วนตัวผมเองก็ไม่ประหลาดใจเท่าใดนักกับการเข้าซื้อ PGP ของ Symantec เพราะช่วงหลังๆทาง Symantec เองก็เข้ามาเล่นในตลาด DLP (Data Leak Prevention) ซึ่งเป็นกลุ่มซอฟท์แวร์สำหรับการป้องกันข้อมูลรั่วไหลในองค์กรได้ซักพักแล้ว ในเมื่อ PGP ทำหน้าที่ตรงนี้ได้ดี และ Symantec ก็มีศักยภาพพอที่จะเข้าไปซื้อได้ ก็เลยกลายเป็นตามเรื่องนี่แหละครับ
สำหรับความคาดหวังส่วนตัวหลังจากที่ Symantec ซื้อไปแล้วก็คืออยากให้ทำราคาให้ลดต่ำลงมาซักหน่อย เพราะเดิม PGP มีราคาค่อนข้างสูง องค์กรหลายๆแห่งจึงมักจะชะลอการตัดสินใจ (จริงๆคือไม่ซื้อ) เกี่ยวกับการซื้อ PGP ไว้ก่อนแม้จะอยากได้ขนาดไหนก็ตาม ซึ่งสำหรับ Symantec นั้นทำตลาดผ้ใช้ทั่วไปอยู่แล้ว ดังนั้นในอนาคตผมเชื่อว่าเราอาจจะเห็นฟังก์ชันจาก PGP เข้ามาอยู่ในชุดซอฟท์แวร์ใดซอฟท์แวร์หนึ่งของ Symantec ค่อนข้างแน่
หลังจากได้ PGP แล้วก็เรียกว่า Symantec ขยายตลาดได้แทบจะครอบคลุมแล้ว เท่าที่ผมดูคงขาดแต่ Firewall ในระดับ Enterprise เท่านั้นที่ Symantec ยังไม่มี (Symantec ปัจจุบันมีแต่ Personal Firewall) แต่ของอย่างอื่นมีเต็มไปหมดแล้ว แม้แต่ซอฟท์แวร์สำรองข้อมูลก็ยังปฎิเสธไม่ได้ว่า Symantec Backup Exec สุโค่ยที่สุด (ซื้อมาจาก Veritas อีกที ฮ่าๆ)
หากเป็นไปได้ช่วยๆซื้อ Checkpoint ไปซักทีก็ดีนะครับ เผื่อราคาจะถูกลงบ้างอะไรบ้าง
August 19, 2010 1:26 am | 
Subscribe