Websense อีกหนึ่ง Web Filtering คุณภาพ

วันนี้ขอแนะนำซอฟท์แวร์ประเภท Web Filtering ซักเล็กน้อย

เนื่องจากบริษัทนี้ได้ก้าวหน้าจนซื้อ SurfControl ซึ่งเป็น Web Filtering Engine ของ Juniper Netscreen Firewall ที่จัดว่าเป็นอุปกรณ์ชิ้นโปรดอีกอันหนึ่งของผมไปซะแล้ว (เดือดร้อนต้องไปอัปเกรด Netscreen ให้ชาวบ้านอีก)

Websense เป็นซอฟท์แวร์ประเภท Web Filtering ที่จัดได้ว่าเป็นกลุ่มผู้นำในปัจจุบัน (อ้างอิงจาก Gartner Quadrant) เรียกว่าคู่คี่กับทาง BlueCoat ทีเดียว

จุดดีของ Websense นั้นมีหลายอย่างทีเดียว ขอไล่เรียงตามความประทับใจนะครับ

  1. มี Policy Server ตั้งแยกได้ ทำให้ง่ายต่อการ Manage และหากมันล่ม ผู้ใช้ก็ยังทำงานได้อยู่ เพียงแต่ขะไม่โดน Filter เท่านั้น ตรงจุดนี้จะออกแบบมาคล้ายกับ TippingPoint IPS ที่ไปปุ๊บปล่อยปั๊บ
  2. User Interface ในการคอนฟิกเข้าใจได้ง่ายมาก สามารถีโมทเข้ามาจัดการได้ผ่านทาง Web Browser ธรรมด๊า ธรรมดา
  3. สามารถ Integrate เข้ากับชาวบ้านได้มากมาย แต่ที่ทำบ่อยๆเป็น ISA เลยเข้าใจว่ามันทำมาคู่กับ ISA ซะงั้น
  4. Database ท่านใหญ่พอสมควร เลยบล๊อคได้เยอะ แถมซอยย่อยเป็นหลาย Category ให้ ก็นับว่าสะดวกดี (แต่รู้สึกฐานข้อมูลเว็บประหลาดๆในไทยจะอัปเดตไม่เท่า BlueCoat นะ)

หลังจากจุดดีแล้ว ก็ขอแนะนำจุดที่ฮาซะหน่อย

  1. เราสามารถ Manage ผ่าน Web Browser ธรรมดาได้ก็จริง แต่หากผิดเวอร์ชันที่มันซัพพอร์ตไปซักนิด กดตั้งอะไรจะ Error ตลอดศก เช่น มันแนะนำให้เป็น Firefox 3.0 พอเอา 3.5 ไปเล่นกับมัน เอ๋อสนิท
  2. อย่าได้เปลี่ยนไอพี Policy Server ตามอำเภอใจ เพราะเปลี่ยนปุ๊บ เดี้ยวปั๊บ เข้า Manage ไม่ได้ ต้องแก้ร่วมๆสิบจุดกว่ามันจะมา และหากแก้ไม่ครบ งานนี้มี Error หนักอีกตะหาก
  3. คิดม่าออก ลองเล่นดู หากพลาดมาจะรู้ว่างานเข้าเป็นไง

การทำ Static NAT บน Juniper

วันนี้มาอัปบล๊อคกันแบบมีสาระหน่อยครับ

.

การทำ Static NAT ถือเป็นเรื่องจำเป็นมากในกรณีที่เราต้องการให้ผู้ใช้ภายนอก

เข้ามาใช้งาน Server ที่อยู่ใน DMZ หรือ Trust Zone

การทำ Static NAT ใน Juniper เมื่อเทียบกับ Checkpoint อาจจะดูยุ่งยากกว่าเล็กน้อยครับ

เพราะใน Checkpoint คลิกที่ Host Object แล้วใส่ NAT IP ไปก็จบแล้ว

แต่ใน Juniper จะต้องไปเซต Interface ก่อน แล้วมาทำ Policy ต่ออีก

และหากเพิ่งเริ่มทำอาจจะงงๆได้เพราะมันจะไม่ได้เขียนว่า NAT ด้วยล่ะเอ้อ

.

Static NAT ใน Juniper จะเรียกว่า MIP หรือ Mapped IP Addresses

การทำงานจะเป็นดังรูปครับ

Juniper MIP (Static NAT)

Juniper MIP (Static NAT)

ว่าแล้วก็ส่งต่อ Command ไปครับ

set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24

set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

อื่นๆเกี่ยวกับ MIP

  1. MIP จะเก็บอยู่ใน Global Zone
  2. เมื่อทำ MIP เวลา Server จะ Initiate Connection มันจะออกไปเป็น IP ของ MIP เลย ไม่สามารถใช้งาน NAT Policy อื่นๆได้ ดังนั้นในกรณีนี้จะเป็นปัญหาเรื่อง Security ทันที เพราะเท่ากับว่าตัว Server ภายใน DMZ หรือ Trust Zone ไม่ได้ถูกซ่อน IP จริงๆของตัวเองเอาไว้เมื่อติดต่อกับ Untrust Zone ดังนั้นหากกังวลเรื่องนี้คงจะต้องใช้วิธี NAT แบบอื่นแทน เช่น VIP ครับ

สำหรับวันนี้ขอตัวก่อนนะครับ วันหลังมีโอกาสจะแวะเอา Tips เล็กๆน้อยๆมาฝากอีกครับ

ประเภทของ Firewall ในปัจจุบัน

สวัสดีครับ วันนี้มาแนววิชาการซักนิด

วันนี้จะขอเล่าเรื่อง Firewall สักเล็กน้อยครับ

อยากจะมาแบ่ง Firewall ออกเป็นประเภทตามลักษณะการติดตั้งสักเล็กน้อย

เพราะหากแบ่งตามลักษณะการทำงาน Firewall ในปัจจุบันคงได้อยู่ประเภทเดียวกันเกือบหมด

.

หากแบ่งตามที่ผมว่า อาจจะแบ่งออกได้เป็น 2 ประเภทใหญ่ๆคือ

  1. Software Firewall ประเภทนี้ก็ตรงตัวเลยคือเป็น Firewall ที่เป็นซอฟท์แวร์ เวลาใช้งานก็ติดตั้งบนเครื่อง Server ทั่วไปได้เลย อาจจะเป็น PC ธรรมดาๆก็ได้ ยกตัวอย่างเช่น ISA Server, Checkpoint, IPTABLES
  2. Appliance Firewall ประเภทนี้ผู้ผลิตจะติดตั้ง Firewall ลงมาบน Hardware ของตัวเองเลย ไม่สามารถติดตั้งบนเครื่องธรรมดาทั่วไปได้ ยกตัวอย่างเช่น Juniper, Checkpoint (เจ้านี้ทำมาหลายแบบครับ), Fortigate, Stonegate

.

มาว่ากันเรื่องข้อดีของ Software Firewall กันก่อนเลยครับ

  1. สามารถใช้ฮาร์ดแวร์อะไรก็ได้มาติดตั้ง ขอแค่ให้มีแรงรันมันได้เป็นพอ
  2. บางเจ้าแจกให้ใช้กันฟรี
  3. ราคาของอุปกรณ์ไม่แพงมากเหมือน Appliance
  4. หากมีประสบการณ์ การ Tune Up จะเล่นได้มากมาย
  5. มักจะไม่หยุมหยิมในเรื่องของ License ที่บางเจ้าที่ทำ Appliance ชอบแยก Feature อต่ละอย่างมาขายเป็น License
  6. มี Knowledge Base มากมาย

ข้อดีของ Appliance Firewall

  1. มีความเสถียรสูง เพราะ OS ที่ใช้ผ่านการ Tuning มาเรียบร้อยแล้ว
  2. มีความปลอดภัยสูง เพระา OS ที่ใช้โดน Hardening มาอย่างดี
  3. เวลามีปัญหา รีเซตและมักจะรอด
  4. การ Support จากคนขายค่อนข้างดีแทบทุกเจ้า เนื่องจากอุปกรณ์ราคาแพง และต้องอยู่กันยาวนาน
  5. เวลาคอนฟิกได้จะดูหล่อมาก เนื่องจากของประเภทนี้มี Knowledge อยู่ในวงจำกัด แต่หากไม่ได้ เตรียมขี้เหร่ออกจากไซต์

เดี๋ยววันหน้าจะมาต่อให้ฟังอีกทีนะครับ วันนี้มีงานด่วน ขอลาไป่อน สวัสดีครับ

Windows มี Bug เยอะจริงหรือ

แต่ไหนแต่ไรมาผมค่อนข้างจะเชื่อมาโดยตลอดว่า Windows เป็นซอฟท์แวร์ที่ Bug เยอะที่สุด

เพื่อนๆ พี่ๆน้องๆของผมก็คิดเช่นนั้นเหมือนกัน

.

ครั้งหนึ่งผมเคยอ่านจากเว็บที่รวบรวมข้อมูล Vulnerability เพื่อเปรียบเทียบ Proxy Server

คู่เปรียบเทียบคือ BlueCoat และ ISA

ผลคือ ISA มี Vulnerability หรือช่องโหว่ในการจู่โจมมากกว่า

จากข้อมูลนี้ยิ่งตอกย้ำความเชื่อของผมขึ้นไปอีกว่า Windows ซึ่งผลิตจาก Microsoft เช่นเดียวกับ ISA น่าจะเป็นซอฟท์แวร์ที่มี Bug มากเช่นเดียวกัน

.

.

แต่ในช่วงเวลาไม่นานที่ผ่านมา ผมได้พบกับ Bug ที่ไม่น่าเชื่อกับ Firewall ระดับ Top ของ Gartner Quadrant

ทั้งสองตัวเป็น Bug ในระดับของการใช้งาน ประมาณว่าเซตค่าทั้งในหน้า User Interface และ CLI แล้ว แต่ใช้ไม่ได้ตามที่เซตไว้ (ซึ่งใช้ได้ในเวลาต่อมาเมื่อติดตั้ง Hotfix แล้ว โดยไม่มีการปรับ Configuration ใดๆเพิ่มเติม)

ผลลัพธ์ที่เกิดขึ้นค่อนข้างแย่เพราะทำให้การทำงานที่เป็นส่วนหลักๆใช้ไม่ได้

และกว่าจะออก Hotfix ก็ผ่านมาเป็นเดือนๆ

.

เมื่อนำมาเทียบกับฝั่ง Microsoft ซึ่งมีทั้ง Bug และ Vulnerability อยู่เสมอ

แต่จากประสบการณ์ของผมเอง ผมไม่เคยเจอ Bug ในประเภทเซตแล้วทำไม่ได้มาก่อน

ส่วน Vulnerability มีกันอยู่แล้วในซอฟท์แวร์ทุกตัว คนใช้มากก็มีมาก

แต่ทาง Microsoft เท่าที่ผมพบ จะมี Response กับสิ่งเหล่านี้ค่อนข้างเร็ว

.

จากเหตุการณ์นี้ผมเลยเข้าใจเลยว่า

จริงๆแล้ว Bug ของ Windows ก็ไม่ได้เลวร้ายอะไรเลยครับ…

รับสอน Windows Server, Active Directory, Exchange, ISA และอุปกรณ์ Network มากมาย

วันนี้ขอนอกเรื่องจากเรื่องเล่ามาโฆษณานิดหนึ่งนะครับ

รับสอนของต่างๆดังนี้นะครับ

Windows Server 2008 (Active Directory)

Exchange Server 2007

ISA Server 2006

และอื่นๆอีกมากมาย

รายละเอียดตามนี้เลยครับ

http://www.izitcer.com/?page_id=29

.

.

สอนโดย Engineer (SI – System Integrator) ที่ยังทำงานทั้งด้าน Design และ Configuration ครับ ^^

สนใจติดต่อได้ตามรายละเอียดด้านบนครับ

WordPress Themes