Posts tagged: isa

Web Proxy Autodiscovery Protocol (WPAD) กับ ISA และ TMG

วันนี้ขอมาสาระสักเล็กน้อยเกี่ยวกับ WPAD บน ISA และ TMG นะครับ

WPAD หรือ Web Proxy Automaticdiscovery Protocol (WPAD) เป็นโปรโตคอลที่ถูกออกแบบมาให้ไคลเอนต์สามารถค้นหาพร็อกซีได้โดยอัตโนมัติผ่านเว็บเบราเซอร์ ซึ่งถ้าหากผู้อ่านทุกท่านลอง Sniff ข้อมูลในขณะที่เปิดเว็บเบราเซอร์ขึ้นมาไม่ว่าจะตัวไหนก็ตาม ก็จะพบว่าจะมีการพยายาม Resolve Hostname ที่ชื่อ WPAD ก่อนโดยตลอด กระบวนการนี้คือการค้นหาพร็อกซีโดยอัตโนมัตินั่นเอง

ปกติแล้วเราสามารถใช้ระบบนี้ได้โดยผ่านทั้ง DHCP และ DNS สำหรับ DHCP จะสามารถใช้ได้เฉพาะซอฟท์แวร์ของไมโครซอฟท์เท่านั้น (ยกเว้นเราจะเขียน Add-on สำหรับเว็บเบราเซอร์อื่นๆ) เพราะ DHCP Option ที่ใช้นี้จะถูกระบุใน RFC ว่าเป็น Private Use นั่นหมายความว่า Vendor เจ้าไหนก็สามารถนำไปใช้กับซอฟท์แวร์ของตนเองได้หมด ซึ่งในกรณีนี้ก็คือ ISA, TMG จะใช้กับ IE นั่นเอง

ในทาง Security แล้ว เราไม่ควรใช้งาน WPAD  ในระบบของเราเท่าใดนัก เพราะการใช้งาน WPAD จะทำให้ Attacker สามารถจะ Identify ตัว Proxy Server ของเราได้ ซึ่งแน่นอนว่าเมื่อได้ข้อมูลตรงนี้แล้ว การทำ Information Gathering รวมไปถึงการทำ Vulnerability Assessment กับตัว Proxy จะทำได้อย่างมีประสิทธิภาพมาก ในท้ายที่สุดก็จะนำมาสู่การโจมตีตัว Proxy นั่นเอง

อย่างไรก็ตามในบางระบบการใช้งาน WPAD ก็เป็นสิ่งที่จำเป็น ดังนั้นหากเราเลี่ยงไม่ได้แล้ว สิ่งที่ควรจะทำคือการ Hardening ตัว Proxy ของเราให้ดีที่สุด ซึ่งก็ทำได้หลายวิธีด้วยกันครับ

อีกสิ่งหนึ่งที่อาจจะมีข้ึ่อถกเถียงบ้างคือตัว DHCP Option นั้นยังมีหลายๆท่านเข้าใจว่าต้องใส่เป็น Hostname เท่านั้น ซึ่งผมขอเรียนว่าไม่จำเป็นครับ เพราะการใส่เป็น Hostname แล้วเท่ากับว่าบังคับให้ไคลเอนต์ทุกคนต้องชี้  DNS, WINS มาที่ระบบของท่านเอง ซึ่งในบางครั้งทำไม่ได้แน่ๆ จะหวังไปพึ่ง NetBIOS ก็อยากเรียนว่าสมัยนี้แล้วจะใช้ NetBIOS ให้ล่อเป้าในการทำ Enum และ Exploit ไปทำไม จริงไหมครับ :)

Websense อีกหนึ่ง Web Filtering คุณภาพ

วันนี้ขอแนะนำซอฟท์แวร์ประเภท Web Filtering ซักเล็กน้อย

เนื่องจากบริษัทนี้ได้ก้าวหน้าจนซื้อ SurfControl ซึ่งเป็น Web Filtering Engine ของ Juniper Netscreen Firewall ที่จัดว่าเป็นอุปกรณ์ชิ้นโปรดอีกอันหนึ่งของผมไปซะแล้ว (เดือดร้อนต้องไปอัปเกรด Netscreen ให้ชาวบ้านอีก)

Websense เป็นซอฟท์แวร์ประเภท Web Filtering ที่จัดได้ว่าเป็นกลุ่มผู้นำในปัจจุบัน (อ้างอิงจาก Gartner Quadrant) เรียกว่าคู่คี่กับทาง BlueCoat ทีเดียว

จุดดีของ Websense นั้นมีหลายอย่างทีเดียว ขอไล่เรียงตามความประทับใจนะครับ

  1. มี Policy Server ตั้งแยกได้ ทำให้ง่ายต่อการ Manage และหากมันล่ม ผู้ใช้ก็ยังทำงานได้อยู่ เพียงแต่ขะไม่โดน Filter เท่านั้น ตรงจุดนี้จะออกแบบมาคล้ายกับ TippingPoint IPS ที่ไปปุ๊บปล่อยปั๊บ
  2. User Interface ในการคอนฟิกเข้าใจได้ง่ายมาก สามารถีโมทเข้ามาจัดการได้ผ่านทาง Web Browser ธรรมด๊า ธรรมดา
  3. สามารถ Integrate เข้ากับชาวบ้านได้มากมาย แต่ที่ทำบ่อยๆเป็น ISA เลยเข้าใจว่ามันทำมาคู่กับ ISA ซะงั้น
  4. Database ท่านใหญ่พอสมควร เลยบล๊อคได้เยอะ แถมซอยย่อยเป็นหลาย Category ให้ ก็นับว่าสะดวกดี (แต่รู้สึกฐานข้อมูลเว็บประหลาดๆในไทยจะอัปเดตไม่เท่า BlueCoat นะ)

หลังจากจุดดีแล้ว ก็ขอแนะนำจุดที่ฮาซะหน่อย

  1. เราสามารถ Manage ผ่าน Web Browser ธรรมดาได้ก็จริง แต่หากผิดเวอร์ชันที่มันซัพพอร์ตไปซักนิด กดตั้งอะไรจะ Error ตลอดศก เช่น มันแนะนำให้เป็น Firefox 3.0 พอเอา 3.5 ไปเล่นกับมัน เอ๋อสนิท
  2. อย่าได้เปลี่ยนไอพี Policy Server ตามอำเภอใจ เพราะเปลี่ยนปุ๊บ เดี้ยวปั๊บ เข้า Manage ไม่ได้ ต้องแก้ร่วมๆสิบจุดกว่ามันจะมา และหากแก้ไม่ครบ งานนี้มี Error หนักอีกตะหาก
  3. คิดม่าออก ลองเล่นดู หากพลาดมาจะรู้ว่างานเข้าเป็นไง

ประเภทของ Firewall ในปัจจุบัน

สวัสดีครับ วันนี้มาแนววิชาการซักนิด

วันนี้จะขอเล่าเรื่อง Firewall สักเล็กน้อยครับ

อยากจะมาแบ่ง Firewall ออกเป็นประเภทตามลักษณะการติดตั้งสักเล็กน้อย

เพราะหากแบ่งตามลักษณะการทำงาน Firewall ในปัจจุบันคงได้อยู่ประเภทเดียวกันเกือบหมด

.

หากแบ่งตามที่ผมว่า อาจจะแบ่งออกได้เป็น 2 ประเภทใหญ่ๆคือ

  1. Software Firewall ประเภทนี้ก็ตรงตัวเลยคือเป็น Firewall ที่เป็นซอฟท์แวร์ เวลาใช้งานก็ติดตั้งบนเครื่อง Server ทั่วไปได้เลย อาจจะเป็น PC ธรรมดาๆก็ได้ ยกตัวอย่างเช่น ISA Server, Checkpoint, IPTABLES
  2. Appliance Firewall ประเภทนี้ผู้ผลิตจะติดตั้ง Firewall ลงมาบน Hardware ของตัวเองเลย ไม่สามารถติดตั้งบนเครื่องธรรมดาทั่วไปได้ ยกตัวอย่างเช่น Juniper, Checkpoint (เจ้านี้ทำมาหลายแบบครับ), Fortigate, Stonegate

.

มาว่ากันเรื่องข้อดีของ Software Firewall กันก่อนเลยครับ

  1. สามารถใช้ฮาร์ดแวร์อะไรก็ได้มาติดตั้ง ขอแค่ให้มีแรงรันมันได้เป็นพอ
  2. บางเจ้าแจกให้ใช้กันฟรี
  3. ราคาของอุปกรณ์ไม่แพงมากเหมือน Appliance
  4. หากมีประสบการณ์ การ Tune Up จะเล่นได้มากมาย
  5. มักจะไม่หยุมหยิมในเรื่องของ License ที่บางเจ้าที่ทำ Appliance ชอบแยก Feature อต่ละอย่างมาขายเป็น License
  6. มี Knowledge Base มากมาย

ข้อดีของ Appliance Firewall

  1. มีความเสถียรสูง เพราะ OS ที่ใช้ผ่านการ Tuning มาเรียบร้อยแล้ว
  2. มีความปลอดภัยสูง เพระา OS ที่ใช้โดน Hardening มาอย่างดี
  3. เวลามีปัญหา รีเซตและมักจะรอด
  4. การ Support จากคนขายค่อนข้างดีแทบทุกเจ้า เนื่องจากอุปกรณ์ราคาแพง และต้องอยู่กันยาวนาน
  5. เวลาคอนฟิกได้จะดูหล่อมาก เนื่องจากของประเภทนี้มี Knowledge อยู่ในวงจำกัด แต่หากไม่ได้ เตรียมขี้เหร่ออกจากไซต์

เดี๋ยววันหน้าจะมาต่อให้ฟังอีกทีนะครับ วันนี้มีงานด่วน ขอลาไป่อน สวัสดีครับ

MCITP, MCTS ใบ Certificate ยุคใหม่ของ Microsoft

วันนี้ขอมาอัปเดตเรื่อง Certificate ใหม่ของทาง Microsoft ซักนิดนะครับ

(จริงๆเก่าพอสมควร แต่หลายท่านยังสับสนอยู่ เพราะเยอะเหลือเกินสำหรับเจ้านี้)

ในยุคของ Windows Server 2000, 2003  Exchange Server 2000, 2003 หรือ ISA 2004 ยุดนั้น Certificate ของทาง Microsoft จะแบ่งออกเป็น 3 ระดับใหญ่ๆ (เฉพาะด้าน Server) คือ

  1. MCP (Microsoft Certified Professional) เป็นใบ Certifcate ที่ผู้สอบจะได้รับทันทีที่สอบได้วิชาใดวิชาหนึ่งของ Microsoft
  2. MCSA (Microsoft Certified Administrator) เป็นระดับที่สูงขึ้นมาอีกระดับ สำหรับวงการ Server จะมีด้าน Messaging และ Security จำนวนวิชาที่จำเป็นต้องผ่านจะประมาณ 4-5 วิชา จะครอบคลุมทั้ง Windows Server, Exchange Server หรือ Windows Client
  3. MCSE (Microsoft Certified Engineer) อันนี้จะเป็นระดับสูงสุดในขณะนั้น มีด้าน Messaging และ Security เหมือน MCSA วิชาที่สอบจะประมาณ 6-7 วิชา ครอบคลุมทั้ง Windows Server, Exchange Server หรือ Windows Client

แต่ในยุคของ Windows Server 2008, Exchange 2007, 2010 หรือ ISA 2006 ระบบ Certificate จะแตกต่างออกไป การสอบจะแยกไปเป็นแบบเฉพาะอย่าง เช่น Exchange ก็จะมี Certificate ของ Exchange แยกออกไปเลย Certificate ในเวอร์ชันนี้จะมี 2 แบบ คือ

  1. MCTS (Microsoft Certified Technology Specialist) Certificate ในระดับนี้จะสอบแค่วิชาเดียวแล้วก็จะได้มาเลย ในบาง Product เช่น ISA 2006 ก็จะมีให้สอบแค่ MCTS เท่านั้น นั่นคือสอบแค่วิชาของ ISA 2006 วิชาเดียว เราก็จะได้รับการรับรองแล้วว่ามีความรู้คามสามารถในด้านนั้น
  2. MCITP (Microsoft Certified IT Professional) สำหรับระดับนี้จะต้องสอบมากกว่า 1 วิชา แต่โดยส่วนใหญ่จะเป็น Product ที่อยู่ในกลุ่ม Technology เดียวกันทั้งหมด เช่น MCITP:Windows Server 2008 Server Administrator ก็จะเป็นการสอบเฉพาะวิชาที่เกี่ยวข้องกับ Windows Server 2008 เท่านั้น หรือ MCITP:Database Administrator 2008 ก็จะสอบเฉพาะ SQL Server 2008 เท่านั้น

สำหรับวันนี้ขอจบแค่นี้ก่อนนะครับ หากมีโอกาสจะนำเอา Certificate ตัวอื่นๆมาเล่าให้ฟังอีกครับ

แถมท้ายรายการ ซอฟท์แวร์สำหรับคนอยากตรวจทราฟฟิก

นึกได้พอดีว่าวันนี้มีลูกค้าท่านหนึ่งโทรมาถามเรื่องการตรวจสอบแบนด์วิดขององค์กรพอดี

ก็เลยขอแนะนำให้สักตัวที่ผมใช้เวิร์คละกัน

.

แอ่น แอน แอ๊น NTOP คนนี้นี่เอง (วันนี้เบลอจัดไปบอกลูกค้าตอนแรกว่า NMAP ดีนะที่ไม่เอาไปใช้ ฮ่าๆ)

เซิร์ชอากู๋โลดครับ

แต่ขอบอกว่าใช้ดีเชียวล่ะ

แถมยังผลรายงานบางอย่างไปใช้ทำ Web Filtering List ได้อย่างแม่นยำอีก

พิสูจน์มาแล้วจาก NTOP + ISA or Squid or Appliance UTM Firewall

ทำบริษัทไหน พนักงานบริษัทนั้นบ่นปั๊ป เข้าเว็บประจำไม่ได้ซ้ากเว็บ

.

คำเตือน ก่อนอิมพลีเมนต์ กรุณาสตาร์ทรถและใส่รองเท้าให้พร้อม จากนั้นโกยโลด…

WordPress Themes