Posts tagged: firewall

การทำ Static NAT บน Juniper

วันนี้มาอัปบล๊อคกันแบบมีสาระหน่อยครับ

.

การทำ Static NAT ถือเป็นเรื่องจำเป็นมากในกรณีที่เราต้องการให้ผู้ใช้ภายนอก

เข้ามาใช้งาน Server ที่อยู่ใน DMZ หรือ Trust Zone

การทำ Static NAT ใน Juniper เมื่อเทียบกับ Checkpoint อาจจะดูยุ่งยากกว่าเล็กน้อยครับ

เพราะใน Checkpoint คลิกที่ Host Object แล้วใส่ NAT IP ไปก็จบแล้ว

แต่ใน Juniper จะต้องไปเซต Interface ก่อน แล้วมาทำ Policy ต่ออีก

และหากเพิ่งเริ่มทำอาจจะงงๆได้เพราะมันจะไม่ได้เขียนว่า NAT ด้วยล่ะเอ้อ

.

Static NAT ใน Juniper จะเรียกว่า MIP หรือ Mapped IP Addresses

การทำงานจะเป็นดังรูปครับ

Juniper MIP (Static NAT)

Juniper MIP (Static NAT)

ว่าแล้วก็ส่งต่อ Command ไปครับ

set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24

set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

อื่นๆเกี่ยวกับ MIP

  1. MIP จะเก็บอยู่ใน Global Zone
  2. เมื่อทำ MIP เวลา Server จะ Initiate Connection มันจะออกไปเป็น IP ของ MIP เลย ไม่สามารถใช้งาน NAT Policy อื่นๆได้ ดังนั้นในกรณีนี้จะเป็นปัญหาเรื่อง Security ทันที เพราะเท่ากับว่าตัว Server ภายใน DMZ หรือ Trust Zone ไม่ได้ถูกซ่อน IP จริงๆของตัวเองเอาไว้เมื่อติดต่อกับ Untrust Zone ดังนั้นหากกังวลเรื่องนี้คงจะต้องใช้วิธี NAT แบบอื่นแทน เช่น VIP ครับ

สำหรับวันนี้ขอตัวก่อนนะครับ วันหลังมีโอกาสจะแวะเอา Tips เล็กๆน้อยๆมาฝากอีกครับ

ประเภทของ Firewall ในปัจจุบัน

สวัสดีครับ วันนี้มาแนววิชาการซักนิด

วันนี้จะขอเล่าเรื่อง Firewall สักเล็กน้อยครับ

อยากจะมาแบ่ง Firewall ออกเป็นประเภทตามลักษณะการติดตั้งสักเล็กน้อย

เพราะหากแบ่งตามลักษณะการทำงาน Firewall ในปัจจุบันคงได้อยู่ประเภทเดียวกันเกือบหมด

.

หากแบ่งตามที่ผมว่า อาจจะแบ่งออกได้เป็น 2 ประเภทใหญ่ๆคือ

  1. Software Firewall ประเภทนี้ก็ตรงตัวเลยคือเป็น Firewall ที่เป็นซอฟท์แวร์ เวลาใช้งานก็ติดตั้งบนเครื่อง Server ทั่วไปได้เลย อาจจะเป็น PC ธรรมดาๆก็ได้ ยกตัวอย่างเช่น ISA Server, Checkpoint, IPTABLES
  2. Appliance Firewall ประเภทนี้ผู้ผลิตจะติดตั้ง Firewall ลงมาบน Hardware ของตัวเองเลย ไม่สามารถติดตั้งบนเครื่องธรรมดาทั่วไปได้ ยกตัวอย่างเช่น Juniper, Checkpoint (เจ้านี้ทำมาหลายแบบครับ), Fortigate, Stonegate

.

มาว่ากันเรื่องข้อดีของ Software Firewall กันก่อนเลยครับ

  1. สามารถใช้ฮาร์ดแวร์อะไรก็ได้มาติดตั้ง ขอแค่ให้มีแรงรันมันได้เป็นพอ
  2. บางเจ้าแจกให้ใช้กันฟรี
  3. ราคาของอุปกรณ์ไม่แพงมากเหมือน Appliance
  4. หากมีประสบการณ์ การ Tune Up จะเล่นได้มากมาย
  5. มักจะไม่หยุมหยิมในเรื่องของ License ที่บางเจ้าที่ทำ Appliance ชอบแยก Feature อต่ละอย่างมาขายเป็น License
  6. มี Knowledge Base มากมาย

ข้อดีของ Appliance Firewall

  1. มีความเสถียรสูง เพราะ OS ที่ใช้ผ่านการ Tuning มาเรียบร้อยแล้ว
  2. มีความปลอดภัยสูง เพระา OS ที่ใช้โดน Hardening มาอย่างดี
  3. เวลามีปัญหา รีเซตและมักจะรอด
  4. การ Support จากคนขายค่อนข้างดีแทบทุกเจ้า เนื่องจากอุปกรณ์ราคาแพง และต้องอยู่กันยาวนาน
  5. เวลาคอนฟิกได้จะดูหล่อมาก เนื่องจากของประเภทนี้มี Knowledge อยู่ในวงจำกัด แต่หากไม่ได้ เตรียมขี้เหร่ออกจากไซต์

เดี๋ยววันหน้าจะมาต่อให้ฟังอีกทีนะครับ วันนี้มีงานด่วน ขอลาไป่อน สวัสดีครับ

รับสอน Windows Server, Active Directory, Exchange, ISA และอุปกรณ์ Network มากมาย

วันนี้ขอนอกเรื่องจากเรื่องเล่ามาโฆษณานิดหนึ่งนะครับ

รับสอนของต่างๆดังนี้นะครับ

Windows Server 2008 (Active Directory)

Exchange Server 2007

ISA Server 2006

และอื่นๆอีกมากมาย

รายละเอียดตามนี้เลยครับ

http://www.izitcer.com/?page_id=29

.

.

สอนโดย Engineer (SI – System Integrator) ที่ยังทำงานทั้งด้าน Design และ Configuration ครับ ^^

สนใจติดต่อได้ตามรายละเอียดด้านบนครับ

เรื่องไอที เรื่องง่ายๆที่คุณอาจยังไม่รู้ ตอน Security on Windows

เชื่อหรือไม่ว่าจริงๆแล้ว คุณอาจไม่จำเป็นต้องมี Antivirus, Firewall, IPS, Antispyware !!!

บ่อยครั้งผมมักจะเห็นว่าการให้คำแนะนำต่างๆทางด้านไอทีจะเน้นไปที่การลง Protection Software ซะมาก

ซึ่งจริงๆแล้ววิธีนี้ก็ไม่ได้ผิดอะไรครับ เพราะช่วยป้องกันตัวเองได้ในระดับหนึ่ง

แต่สิ่งที่น่ากังวลสำหรับผมแล้วคือ Vulnerability, Compatibility ระหว่าง Protection Software ที่แห่กันลงไปในเครื่อง

บางท่านลง Antivirus 2 ตัวในเครื่อง !!!

ผมเชื่อว่าในสถานการณ์นี้ Antivirus 2 ตัวนี้จะต้องมีการทำงานในหลายๆครั้งที่ Conflict กัน

เช่น AV ตัวแรกต้องการลบไฟล์ออก อีกตัวจะไม่ลบ

นอกจากนี้หลายๆท่านมีการใช้ Firewall แต่ไม่เคยอัปเดตตัว Firewall เลย

ผลคือหาก Firewall มีช่องโหว่เกิดขึ้น (Vulnerability) Hacker อาจเจาะระบบเข้ามาง่ายๆ

เจาะเข้ามาแล้วจะ Execute จะ Transfer อะไรทำได้หมด

.

.

ดังนั้นสิ่งที่ผมให้ความสำคัญลำดับแรกในการ Implement ระบบคือ OS Security

หรือที่เรียกกันติดปากว่า OS Hardening

ผมถือว่าเรื่องนี้สำคัญกว่า Protection Software ซะอีก

ยกตัวอย่างเช่นใน Windows เราสามารถจำกัด Path ที่สามารถ Execute Software ได้

สามารถกำหนด Permission ของ User ได้ เช่น การเข้าถึง Folder, การจำกัดการ Backup หรือการเข้าถึง System File หรือ System Configuration ต่างๆ

การเซตเหล่านี้เราสามารถกระทำได้ผ่าน Group Policy

ในระบบ Workgroup เราต้องเซต Policy เหล่านี้ทีละเครื่อง

แต่ในระบบ Domain เราสามารถเซต Policy ครั้งเดียวบน Active Directory ใน Windows Server แล้วกำหนดให้ใช้กับกลุ่มที่ต้องการได้ทันที

ดังนั้นสำหรับองค์กรขนาดใหญ่ที่ใช้งาน Windows เป็นหลัก

ผมจึงแนะนำให้ใช้งานระบบ Domain มากกว่าที่จะใช้ Workgroup

.

.

วันนี้ขอแค่นี้ก่อนนะครับ

โอกาสหน้าจะนำเรื่อง Domain และ Workgroup ที่ผมเคยพบมาเล่าต่อ

เกือบไม่รอดแล้วกับ Juniper Netscreen Firewall

มีงานเข้า มีงานเข้า !!!

วันนี้งานเข้าเต็มๆครับกับ Juniper

วันก่อนไซต์ลูกค้าไฟดับ (กระชากด้วย) เปิด Juniper อีกที เรียบร้อยไปแล้วครับ

ScreenOS พังยับไปแล้ว Boot ไม่ขึ้น  CLI ผ่าน Console ก็ไม่ได้

ขึ้นมาเต็มๆ Image Corrupt

ไปถึงไซต์ 16:00 เห็นสภาพแล้วนึกว่าจะไม่รอด เพราะทำอะไรไม่ได้เลย

.

.

แต่ในท้ายที่สุดก็รอดมาจนได้ ในเวลา 17:30 ใช้เวลาไปราว 90 นาทีเต็มๆ

กับการกู้และทดสอบระบบใหม่ครั้งนี้

.

.

จากเหตุการณ์นี้ก็บอกได้เลยครับว่าถึงมี UPS แต่ก็ไม่ได้ป้องกันได้ทุกงวดครับ

ดังนั้น Backup และ Disaster Recovery Plan สำคัญที่สุด

มาเริ่มทำกันตั้งแต่วันนี้นะครับ

WordPress Themes