ก่อนอื่นต้องขอเท้าความเกี่ยวกับ Cisco Unity Connection ก่อนนะครับ ซึ่งได้รวมเอาฟังก์ชันการทำงานทางด้านระบบข้อความ, การจดจำเสียง และการจัดการการโทรไว้ในรูปแบบที่จัดการได้ง่าย (easy-to-manage system) รองรับกับองค์กรขนาดผู้ใช้งาน 1500 คน Cisco Unity Connection ควบคุมและตั้งค่าได้ผ่านทาง Web browser ทำให้ง่ายต่อการติดตั้ง การดูแล และการจัดการระบบ และพร้อมเสริมด้วยความสามารถพิเศษ ในการจัดการการโทรที่รวมไว้ทั้ง automated-attendant และ call-screening รวมถึงฟังก์ชันการเตือนเมื่อมีข้อความ คราวนี้ผมสรุปวิธีกดปุ่มต่างๆ เพื่อจะจัดการกับ voice mail ที่ฝากไว้บน extension ของเรานะครับ เผื่อบางคนที่ฟังไม่ค่อยชัดมากนักครับ
Main Menu Shotcut Keys
เมนูหลักในการฟังข้อความเสียง
1 - ฟังข้อความใหม่ (Listen to new messages)
2 - ส่งข้อความ (Send a message)
3 - ฟังข้อความเก่า (Review old message)
4 - เปลี่ยน Setup Option (Chage Setup Opiton)
0 - ขอความช่วยเหลือในคำอธิบายรูปแบบการใช้งานต่าง ๆ (Help)
* - ออก (Exit)
41 - เปลี่ยนข้อความต้อนรับส่วนตัว (Change Personal Greeting)
ระหว่างการข้อความเสียง(During-Message Shortcut Keys)
1 - ฟังข้อความซ้ำ (Repeat message)
2 - บันทึกข้อความ (Save)
3 - ลบข้อความ (Delete)
4 - ฟังข้อความแบบช้า (Slow playback)
5 - ข้ามไปยังข้อความทันที (skip message header/go straight to voice Msgs)
6 - กลับมาฟังข้อความแบบปกติ (Fast playback)
7 - ฟังข้อความในประโยคนั้นซ้ำ (Rewind)
8 - หยุด/กลับมาใช้งาน (Pause/Resume)
9 - จบการฟังข้อความเลย (Fast Forward)
* - ยกเลิก (Cancel)
After-Message Shortcut Keys
1 - ฟังข้อความซ้ำ (Repeat message)
2 - บันทึกข้อความ (Save)
3 - ลบข้อความ (Delete)
5 - ส่งข้อความต่อไป (Forward message)
6 - ทำเครื่องหมายไว้ (Mark it new)
7 - ข้ามกลับไป (Skip back)
9 - ไปที่เมนู (Play message properties)
* - ยกเลิก (Cancel playing messages)
กด ## เพื่อสลับระหว่าง spelling และ numbering entry
หวังว่าคงช่วยในเรื่องการเข้าไปเมนูต่างๆ ผ่านทางหัวโทรศัพท์ได้ง่ายมากขึ้นนะครับ
วันอาทิตย์ที่ 30 สิงหาคม พ.ศ. 2552
วันพฤหัสบดีที่ 27 สิงหาคม พ.ศ. 2552
ASA URL filtering
มีคนถามมาเยอะนะครับ เกี่ยวกับการ block url ต่างๆ หรือ url filtering ผ่านตัว Firewall ASA เพียวๆ ที่บอกว่าเพียวๆ หมายความว่า มันไม่มี module CSC, AIP เสียบอยู่เลยนะครับ ซึ่งบางคนอาจจะประยุกต์โดยการเอา ip ของเว็บไซต์นั้นไป deny ไม่ให้ network ข้างในออกไปที่ ip นั้นๆ ตัว url filtering เป็นหนึ่งใน Feature ที่ ASA สามารถทำได้นะครับ
ผมไป search มาแล้วไปเจอวิธีการใช้งาน regular expressions นำมา map เพื่อจะ block ได้ โดย configuration ก็จะมีตามด้านล่างนี้นะครับ โดยการที่เราอาจจะใช้ domain name จาก url หรือคำต่างๆ จาก uri ได้ สมมุติว่า เราจะ block เว็บไซต์ cisco และ link ที่มีคำว่า test ซึ่งอยู่ภายใน url cisco เราสามารถสร้าง regular expressions (regex) และนำไป map เข้ากับ class-maps ชนิด http และจะใช้ policy-maps ไป drop action ของ class-map นี้อีกทีนึง โดยต้องไปทำที่ interface ใดๆ หรือ global ของ ASA ตามตัวอย่างด้านล่างนี้
regex blockex1 "/test/"
regex blockex2 "cisco\.com"
class-map type inspect http match-any block-url-class
match request uri regex blockex1
match request header host regex blockex2
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection log
policy-map global_policy
class inspection_default
inspect http block-url-policy
service-policy global_policy global
แต่หากเป็นการ block เว็บไซต์เยอะๆ แนะนำว่าให้ใช้ websense หรือ N2H2 ที่ integrate มากับ ASA อยู่แล้วมาใช้งานนะครับ ซึ่งมันจะสามารถ provide web filtering ได้ดีกว่าการที่เรามาใช้ regex ครับ :)
ผมไป search มาแล้วไปเจอวิธีการใช้งาน regular expressions นำมา map เพื่อจะ block ได้ โดย configuration ก็จะมีตามด้านล่างนี้นะครับ โดยการที่เราอาจจะใช้ domain name จาก url หรือคำต่างๆ จาก uri ได้ สมมุติว่า เราจะ block เว็บไซต์ cisco และ link ที่มีคำว่า test ซึ่งอยู่ภายใน url cisco เราสามารถสร้าง regular expressions (regex) และนำไป map เข้ากับ class-maps ชนิด http และจะใช้ policy-maps ไป drop action ของ class-map นี้อีกทีนึง โดยต้องไปทำที่ interface ใดๆ หรือ global ของ ASA ตามตัวอย่างด้านล่างนี้
regex blockex1 "/test/"
regex blockex2 "cisco\.com"
class-map type inspect http match-any block-url-class
match request uri regex blockex1
match request header host regex blockex2
policy-map type inspect http block-url-policy
parameters
class block-url-class
drop-connection log
policy-map global_policy
class inspection_default
inspect http block-url-policy
service-policy global_policy global
แต่หากเป็นการ block เว็บไซต์เยอะๆ แนะนำว่าให้ใช้ websense หรือ N2H2 ที่ integrate มากับ ASA อยู่แล้วมาใช้งานนะครับ ซึ่งมันจะสามารถ provide web filtering ได้ดีกว่าการที่เรามาใช้ regex ครับ :)
Firewall ASA Basic Configuration
บทความจะขอกล่าวถึงเรื่อง Firewall ของ Cisco นะครับ ซึ่งเป็นตระกูล ASA ซึ่งจะรวมความสามารถของ PIX Firewall และ VPN มาอยู่ใน Box เดียวกัน อีกทั้งยังสามารถเลือกใส่ Module Anti-X หรือ IPS อย่างใดอย่างหนึ่งได้อีกด้วยนะครับ เอาหละ .... ผมจะแปะ command เบื้องต้นไว้ให้ โดยครั้งแรกที่เราได้ ASA มา เราก็จัดการ console เข้าไปที่ CLI นะครับ แล้วก็พิมพ์ตามด้านล่างนี้ แต่ ip อาจจะแตกต่างกัน เพื่อจะ manage ASA ได้ผ่านทาง GUI หรือผ่านโปรแกรม ASDM อีกในคราวถัดไปครับ ลองเอาไปประยุกต์เข้ากับ site ที่เราจะไป implement ดูครับ
ปกติแล้ว Firewall จะมี interface 3 ฝั่งนะครับ ก็คือ inside, outside และ dmz เราจะเริ่มที่ set ขา interface ของ Firewall ก่อนนะครับ
Firewall(config)# interface gigabitethernet0
Firewall(config-if)# speed auto
Firewall(config-if)# duplex auto
Firewall(config-if)# nameif inside
Firewall(config-if)# security-level 100
Firewall(config-if)# ip address 172.16.1.1 255.255.0.0
Firewall(config-if)# no shutdown
Firewall(config)# interface gigabitethernet1
Firewall(config-if)# speed auto
Firewall(config-if)# duplex auto
Firewall(config-if)# nameif outside
Firewall(config-if)# security-level 0
Firewall(config-if)# ip address 172.17.1.1 255.255.0.0
Firewall(config-if)# no shutdown
Firewall(config)# interface gigabitethernet2
Firewall(config-if)# speed auto
Firewall(config-if)# duplex auto
Firewall(config-if)# nameif dmz
Firewall(config-if)# security-level 50
Firewall(config-if)# ip address 172.18.1.1 255.255.0.0
Firewall(config-if)# no shutdown
กำหนดให้สามารถ http หรือใช้ GUI ได้ผ่านทาง interface ไหน และ password เป็นอะไร
Firewall(config)# http server enable
Firewall(config)# http 172.16.0.0 255.255.0.0 inside
Firewall(config)# enable password cisco
หมดมุขแล้วครับ ... คนที่คลุกคลีกับ Firewall ของ Cisco อยู่คงจะคุ้นเคยกับ command เหล่านี้ดี ไว้จะมา update ที่ยากๆ ขึ้นกว่านี้นะครับ ไว้เจอกันใหม่โอกาสหน้า สวัสดีครับ ....
ปกติแล้ว Firewall จะมี interface 3 ฝั่งนะครับ ก็คือ inside, outside และ dmz เราจะเริ่มที่ set ขา interface ของ Firewall ก่อนนะครับ
Firewall(config)# interface gigabitethernet0
Firewall(config-if)# speed auto
Firewall(config-if)# duplex auto
Firewall(config-if)# nameif inside
Firewall(config-if)# security-level 100
Firewall(config-if)# ip address 172.16.1.1 255.255.0.0
Firewall(config-if)# no shutdown
Firewall(config)# interface gigabitethernet1
Firewall(config-if)# speed auto
Firewall(config-if)# duplex auto
Firewall(config-if)# nameif outside
Firewall(config-if)# security-level 0
Firewall(config-if)# ip address 172.17.1.1 255.255.0.0
Firewall(config-if)# no shutdown
Firewall(config)# interface gigabitethernet2
Firewall(config-if)# speed auto
Firewall(config-if)# duplex auto
Firewall(config-if)# nameif dmz
Firewall(config-if)# security-level 50
Firewall(config-if)# ip address 172.18.1.1 255.255.0.0
Firewall(config-if)# no shutdown
กำหนดให้สามารถ http หรือใช้ GUI ได้ผ่านทาง interface ไหน และ password เป็นอะไร
Firewall(config)# http server enable
Firewall(config)# http 172.16.0.0 255.255.0.0 inside
Firewall(config)# enable password cisco
หมดมุขแล้วครับ ... คนที่คลุกคลีกับ Firewall ของ Cisco อยู่คงจะคุ้นเคยกับ command เหล่านี้ดี ไว้จะมา update ที่ยากๆ ขึ้นกว่านี้นะครับ ไว้เจอกันใหม่โอกาสหน้า สวัสดีครับ ....
ป้ายกำกับ:
Security
วันอังคารที่ 18 สิงหาคม พ.ศ. 2552
Setting up a voice gateway with Cisco IPtoIP gateway
ทิ้งไปนานกับการ update นะครับ ต้องขอประทานโทษด้วยครับ วันนี้เลยขอฝากตัววิธี configure Voice Gateway บน ISR Router ในซีรี่ Cisco 2800 ซึ่งสามารถนำมาใช้เป็น Voice Gateway ได้ในรูปแบบ และโปรโตคอลที่แตกต่างกันครับ โดยที่การ configure เราจะไปเกาะกับ SIP Server ของผู้ให้บริการ SIP (SIP Provider) ที่ต่างๆได้ เช่น TOTNetcall, CAT2Call, Call Cafe ของ TT&T เป็นต้น นะครับ ส่วนค่าบริการในการโทร ก็สามารถเข้าไปดูได้ผ่านเว็บของผู้ให้บริการเหล่านี้ ซึ่งผมทำ Link url ให้ไว้ตามล่างแล้วเช่นกันครับ
SIP dial peer that uses configured sip-server.
dial-peer voice 211 voip
destination-pattern 90........
voice-class codec 200
session protocol sipv2
session target sip-server
SIP dial peer that routes traffic to ip.
dial-peer voice 211 voip
destination-pattern 91........
voice-class codec 200
session protocol sipv2
session target ipv4:5.6.7.8
H.323 dial peer that uses RAS (configured gatekeeper).
dial-peer voice 1 voip
destination-pattern 10.........
voice-class codec 200
session target ras
H.323 dial peer that routes to another gw or endpoint
dial-peer voice 1 voip
destination-pattern 11.........
voice-class codec 200
voice-class h323 500
session target ipv4:9.8.7.6
SIP UA settings
sip-ua
nat symmetric role passive
nat symmetric check-media-src
sip-server dns:domain.dom
SIP dial peer that uses configured sip-server.
dial-peer voice 211 voip
destination-pattern 90........
voice-class codec 200
session protocol sipv2
session target sip-server
SIP dial peer that routes traffic to ip.
dial-peer voice 211 voip
destination-pattern 91........
voice-class codec 200
session protocol sipv2
session target ipv4:5.6.7.8
H.323 dial peer that uses RAS (configured gatekeeper).
dial-peer voice 1 voip
destination-pattern 10.........
voice-class codec 200
session target ras
H.323 dial peer that routes to another gw or endpoint
dial-peer voice 1 voip
destination-pattern 11.........
voice-class codec 200
voice-class h323 500
session target ipv4:9.8.7.6
SIP UA settings
sip-ua
nat symmetric role passive
nat symmetric check-media-src
sip-server dns:domain.dom
สามารถเข้าไปดูรายละเอียดเพิ่มเติมได้จาก url ด้านล่างนี้ครับ
TOTnetcall : www.totnetcall.com
CAT2Call : www.cat2call.com
TT&T : www.callcafe.info
ป้ายกำกับ:
Unified Communication
วันเสาร์ที่ 20 มิถุนายน พ.ศ. 2552
Enabling NetFlow on a Catalyst 6500
บทความนี้จะพูดถึง netflow ซึ่งเป็น protocol propietary ของ Cisco นะครับ ซึ่งก็คือ Cisco เป็น vendor เดียวที่พัฒนาโปรโตคอลนี้ขึ้นมาและนำมาใช้ในลักษณะการบริหารจัดการเครือข่ายผ่านอุปกรณ์ที่รองรับได้
เมื่อเราเปิดพอร์ตหรือ VLAN ให้เริ่มฟังก์ชั่นการทำงานของ Netflow ขึ้นบนอุปกรณ์ สิ่งที่เกิดขึ้นก็คือ พอร์ต หรือ VLAN นั้นๆ จะทำการพ่นข้อมูลตามตัวอย่างด้านล่างออกมาครับ
• IP source address
• IP destination address
• Source port
• Destination port
• Layer 3 protocol type
• Type of service
• Router or switch interface
ปัจจุบัน Netflow ได้ออก version มาหลายๆ version ได้แก่ V.1, 5, 7 (บน Cat6500) และ 9 ตามลำดับ ปกติแล้วทั่วๆ ไป admin มักจะเปิดการทำงาน version 5 ส่วน vesion 9 ก็จะเหมือน version 5 เกือบทุกอย่างครับ ยกเว้นสิ่งที่มันเพิ่มขึ้นมาก็คือ มันจะบอก Source และ Destination MAC Addresses ด้วยครับ
โดยปกติแล้ว Netflow สามารถ enable ได้บนเราเตอร์เกือบทุก Series ของ Cisco แต่บนสวิตซ์จะสามารถใช้งานได้บาง Series เท่านั้นนะครับ อย่างเช่นตระกูลของ Catalyst 4500+Sup V, Catalyst 4500+Sup IV+Netflow daughter card และ Catalyst 6500 Series เท่านั้นครับ
เอาหละครับ คราวนี้ก็เป็นตัวอย่างของการเปิด Netflow บน ios ของ Catalyst 6500 Series นะครับ ผมเชื่อว่าหลายๆ มหาวิทยาลัยก็ใช้งานกันอยู่เหมือนกัน เพราะ Netflow มันมีประโยชน์มากจริงๆ โดยเฉพาะหากเรามี Netflow Collector Software อยู่แล้วด้วย เช่น CS-MARS, Netflow Analyzer ของ Manage Engine เป็นต้น
IOS(config)# mls netflow
IOS(config)# mls flow ip interface-full
IOS(config)# mls flow ipv6 interface-full
IOS(config)# mls nde sender version 7
IOS(config)# ip flow-export source vlan 1
IOS(config)# ip flow-export destination 10.10.10.100 200
วิธีตรวจสอบบน ios นะครับ เราจะใช้คำสั่ง
IOS# sh mls netflow ip
ขอขอบคุณหนังสือ LAN Switching Security 2007 จาก Cisco Press ด้วยครับ :)
เมื่อเราเปิดพอร์ตหรือ VLAN ให้เริ่มฟังก์ชั่นการทำงานของ Netflow ขึ้นบนอุปกรณ์ สิ่งที่เกิดขึ้นก็คือ พอร์ต หรือ VLAN นั้นๆ จะทำการพ่นข้อมูลตามตัวอย่างด้านล่างออกมาครับ
• IP source address
• IP destination address
• Source port
• Destination port
• Layer 3 protocol type
• Type of service
• Router or switch interface
ปัจจุบัน Netflow ได้ออก version มาหลายๆ version ได้แก่ V.1, 5, 7 (บน Cat6500) และ 9 ตามลำดับ ปกติแล้วทั่วๆ ไป admin มักจะเปิดการทำงาน version 5 ส่วน vesion 9 ก็จะเหมือน version 5 เกือบทุกอย่างครับ ยกเว้นสิ่งที่มันเพิ่มขึ้นมาก็คือ มันจะบอก Source และ Destination MAC Addresses ด้วยครับ
โดยปกติแล้ว Netflow สามารถ enable ได้บนเราเตอร์เกือบทุก Series ของ Cisco แต่บนสวิตซ์จะสามารถใช้งานได้บาง Series เท่านั้นนะครับ อย่างเช่นตระกูลของ Catalyst 4500+Sup V, Catalyst 4500+Sup IV+Netflow daughter card และ Catalyst 6500 Series เท่านั้นครับ
เอาหละครับ คราวนี้ก็เป็นตัวอย่างของการเปิด Netflow บน ios ของ Catalyst 6500 Series นะครับ ผมเชื่อว่าหลายๆ มหาวิทยาลัยก็ใช้งานกันอยู่เหมือนกัน เพราะ Netflow มันมีประโยชน์มากจริงๆ โดยเฉพาะหากเรามี Netflow Collector Software อยู่แล้วด้วย เช่น CS-MARS, Netflow Analyzer ของ Manage Engine เป็นต้น
IOS(config)# mls netflow
IOS(config)# mls flow ip interface-full
IOS(config)# mls flow ipv6 interface-full
IOS(config)# mls nde sender version 7
IOS(config)# ip flow-export source vlan 1
IOS(config)# ip flow-export destination 10.10.10.100 200
วิธีตรวจสอบบน ios นะครับ เราจะใช้คำสั่ง
IOS# sh mls netflow ip
ขอขอบคุณหนังสือ LAN Switching Security 2007 จาก Cisco Press ด้วยครับ :)
วันอาทิตย์ที่ 14 มิถุนายน พ.ศ. 2552
How do I connect multiple CallManager Express systems?
วิธีการเชื่อมต่อ CallManager Express ทั้ง 2 ฝั่งเข้าหากัน หรือการทำ SIP Trunk นะครับ สามารถทำได้โดยตัวอย่างด้านล่าง ซึ่งเราจะใช้คำสั่ง dial-peer บน ios ที่อยู่ในเราเตอร์ ISR ของ Cisco นะครับ
CCME-A
dial-peer voice 10 voip
description Connection to CCME-B
destionation-pattern 11..
session target ipv4:192.168.2.1
telephony-service
call-forward pattern 1...
transfer-system full-consult
transfer-pattern 1...
CCME-B
dial-peer voice 10 voip
description Connection to CCME-A
destionation-pattern 10..
session target ipv4:192.168.1.1
telephony-service
call-forward pattern 1...
transfer-system full-consult
transfer-pattern 1...
CCME-A
dial-peer voice 10 voip
description Connection to CCME-B
destionation-pattern 11..
session target ipv4:192.168.2.1
telephony-service
call-forward pattern 1...
transfer-system full-consult
transfer-pattern 1...
CCME-B
dial-peer voice 10 voip
description Connection to CCME-A
destionation-pattern 10..
session target ipv4:192.168.1.1
telephony-service
call-forward pattern 1...
transfer-system full-consult
transfer-pattern 1...
ป้ายกำกับ:
Unified Communication
802.11N For Next Generation WIFI
ผมขออนุญาตพูดถึงเรื่องอุปกรณ์ WLAN นะครับ โดยเฉพาะ 802.11n standard ซึ่งเป็น มาตรฐานที่เราหลายคนรู้จักกันไปแล้วบ้างนะครับ ไม่มากก็น้อย อาจจะรู้จักผ่านทาง เครื่องคอมพิวเตอร์โน๊ตบุ๊คที่เราได้ซื้อมา เพราะการ์ด wireless เรารองรับ 802.11 b/g/n อะไรทำนองนี้นะครับ ก่อนอื่นผมขออนุญาตเล่าก่อนนะครับว่า 802.11n นี้มันจะเป็น generation ใหม่ของ WIFI ซึ่งสามารถให้ throuput ในการรับส่งข้อมูลระหว่างอุปกรณ์ได้ถึง 300 Mbps ซึ่งจะมากกว่ามาตรฐาน 802.11a/b/g ในปัจจุบันที่รองรับได้แค่เพียง 54 Mbps เกือบ 6 เท่าเลยทีเดียวครับ นึกภาพง่ายๆ ครับ เมื่อก่อนเราขับรถช่องทางเดียว แถมดินลูกรัง แต่ปัจจุบัน และอนาคตมีเลน หรือช่องทางเดินรถเพิ่มขึ้นมาเป็น 6 ช่องทาง แถมทางเรียบขึ้นอีก ก็จะทำให้รถวิ่งได้เร็วมากขึ้นนั่นเองครับ
ในช่วงนี้เราสามารถใช้งาน 11n แบบเป็น draft ก่อนนะครับ ซึ่ง vendor หลายๆ สำนักก็ได้ทำการผลิต chip ที่รองรับมาตรฐานตัวนี้ Feature ที่น่าสนใจก็คือ MIMO (Multiple Input Multiple Output) มันสามารถรวม channel และเร่งในการส่ง Frame ข้อมูลได้ อีกทั้งยังกันสัญญาณรบกวน Wireless Network ข้างเคียง รวมทั้งอุปกรณ์อื่นๆที่ใช้ความถี่เหมือนกัน ซึ่งตัว802.11n นี้รองรับความถี่ได้ที่ 2.4 และ 5 GHz ครับ
ที่เล่าๆ มาเนี่ย เพื่อจะมาจับโยงเข้ากับตัว Cisco SMB ตัวนึงครับ :) ก็คือ WAP4410N ซึ่งเหมาะสำหรับ SMB Solution ครับ หากเป็น Enterprise Solution Cisco จะใช้ product อีกตัว ซึ่งไว้มีโอกาสผมจะมาแนะนำให้ฟังนะครับ ตัว Access Point ที่เหมาะสำหรับ Enterprise Solution นั้น ถูก Implement ไปที่โรงแรมโอเรียลเต็ล ไปเรียบร้อยแล้วครับ
เอาหละผมจะอธิบาย Feature หลักๆ ที่มันสามารถทำได้นะครับ และเป็น key สำคัญของอุปกรณ์ตัวนี้ครับ
- มี LAN พอร์ตเป็นแบบ Gigabit Ethernet (เน้นนะครับว่าเป็น gigabit หากวิ่งได้เพียง 10/100Mbps ก็จะเป็น bottleneck นะครับ เนื่องจาก wireless มันรับอยู่ที่ 300 Mbps เพราะฉะนั้นแล้วต้องสังเกตดีๆ นะครับ บาง product เองบอกว่ารองรับ 802.11n แต่พอร์ตสวิตซ์ที่เชื่อมต่อเข้ากับ network switch นั้นรองรับเพียงแค่ 10/100 Mbps ก็อาจจะทำให้เกิดปัญหาเรื่องคอขวดขึ้นมาได้ครับ)
- รองรับ POE และ DC Power ครับ เพราะฉะนั้นเราสามารถใช้ power injector มาเสียบเข้ากับตัวนี้ได้ครับ แต่ต้องหา 3'rd party ที่รองรับ 802.3af นะครับ เพราะ Cisco SMB ไม่ได้ทำการผลิต power injector ครับ- รองรับทำ Multiple SSID ได้ไม่น้อยกว่า 4 SSID และสามารถ map เข้ากับ vlan ได้ มีประโยชน์ในการทำ policy แต่ละ SSID ครับ เช่น เราแยกวง guest ออกจากวง office นั่นเองครับ
- สามารถเลือกโหมดการทำงานอุปกรณ์ได้ดังนี้ครับ
1. Access Point Mode
2. Point-to-point Bridge Mode
3. Point-to-multipoint Bridge Mode
4. Repeater Mode
5. Wireless Client Mode
- รองรับระบบความปลอดภัยต่างๆ ดังนี้ครับ
1. WEP 64-Bit/128-Bit
2. WPA-PSK, WPA2-PSK
3. WPA2-ENT
4. WPA-ENT authentication
5. SSID Broadcast enable/disable
6. IEEE 802.1X, IEE 802.1X supplicant
- รองรับการทำ QoS 4 Queues และ WMM Wireless Priority
- Rogue AP detection สามารถ detect access point แปลกปลอมที่เข้ามา network ภายในบริษัท หรือสำนักงานของเราได้
- Auto-Channel selection มันสามารถเลือก channel เองได้ และ switch channel ไม่ชนกันครับ feature นี้จะคล้ายๆ กับ Cisco Aironet เลยครับ
- รองรับการบริหารจัดการอุปกรณ์ผ่าน WEB Brower (HTTP/HTTPS) และ SNMP Version 1, 2c ได้เผื่อใครจะเก็บ log ก็ใช้ SNMP sync ไปเก็บไว้ที่ Log Server ของเราครับ
- เป็น Linux fireware ดังนั้นมันจึงสามารถ upgrade หรือเขียน code ใส่เพิ่มให้มันได้ ซึ่งหลายๆ คนคงชอบครับ :)
รักษาสุขภาพด้วยนะครับ ปลอดภัยจากชิคุนกุนยา และหวัดใหญ่ 2009 โรคนี้มันเริ่มเข้ามาแถวบ้านเราเยอะขึ้น ผมได้รับฟังจากข่าว ที่สงขลาและภูเก็ตก็มีผู้ติดเชื้อหวัดใหญ่ 2009 แล้วด้วย ฝากไว้นิดหน่อยครับ กินของร้อน ช้อนกลาง ล้างมือบ่อยๆ ครับ ฉบับนี้ไว้แค่นี้ก่อนนะครับ ไว้เจอกันใหม่ฉบับหน้า สวัสดีครับ :)
ในช่วงนี้เราสามารถใช้งาน 11n แบบเป็น draft ก่อนนะครับ ซึ่ง vendor หลายๆ สำนักก็ได้ทำการผลิต chip ที่รองรับมาตรฐานตัวนี้ Feature ที่น่าสนใจก็คือ MIMO (Multiple Input Multiple Output) มันสามารถรวม channel และเร่งในการส่ง Frame ข้อมูลได้ อีกทั้งยังกันสัญญาณรบกวน Wireless Network ข้างเคียง รวมทั้งอุปกรณ์อื่นๆที่ใช้ความถี่เหมือนกัน ซึ่งตัว802.11n นี้รองรับความถี่ได้ที่ 2.4 และ 5 GHz ครับ
ที่เล่าๆ มาเนี่ย เพื่อจะมาจับโยงเข้ากับตัว Cisco SMB ตัวนึงครับ :) ก็คือ WAP4410N ซึ่งเหมาะสำหรับ SMB Solution ครับ หากเป็น Enterprise Solution Cisco จะใช้ product อีกตัว ซึ่งไว้มีโอกาสผมจะมาแนะนำให้ฟังนะครับ ตัว Access Point ที่เหมาะสำหรับ Enterprise Solution นั้น ถูก Implement ไปที่โรงแรมโอเรียลเต็ล ไปเรียบร้อยแล้วครับ
เอาหละผมจะอธิบาย Feature หลักๆ ที่มันสามารถทำได้นะครับ และเป็น key สำคัญของอุปกรณ์ตัวนี้ครับ
- มี LAN พอร์ตเป็นแบบ Gigabit Ethernet (เน้นนะครับว่าเป็น gigabit หากวิ่งได้เพียง 10/100Mbps ก็จะเป็น bottleneck นะครับ เนื่องจาก wireless มันรับอยู่ที่ 300 Mbps เพราะฉะนั้นแล้วต้องสังเกตดีๆ นะครับ บาง product เองบอกว่ารองรับ 802.11n แต่พอร์ตสวิตซ์ที่เชื่อมต่อเข้ากับ network switch นั้นรองรับเพียงแค่ 10/100 Mbps ก็อาจจะทำให้เกิดปัญหาเรื่องคอขวดขึ้นมาได้ครับ)
- รองรับ POE และ DC Power ครับ เพราะฉะนั้นเราสามารถใช้ power injector มาเสียบเข้ากับตัวนี้ได้ครับ แต่ต้องหา 3'rd party ที่รองรับ 802.3af นะครับ เพราะ Cisco SMB ไม่ได้ทำการผลิต power injector ครับ- รองรับทำ Multiple SSID ได้ไม่น้อยกว่า 4 SSID และสามารถ map เข้ากับ vlan ได้ มีประโยชน์ในการทำ policy แต่ละ SSID ครับ เช่น เราแยกวง guest ออกจากวง office นั่นเองครับ
- สามารถเลือกโหมดการทำงานอุปกรณ์ได้ดังนี้ครับ
1. Access Point Mode
2. Point-to-point Bridge Mode
3. Point-to-multipoint Bridge Mode
4. Repeater Mode
5. Wireless Client Mode
- รองรับระบบความปลอดภัยต่างๆ ดังนี้ครับ
1. WEP 64-Bit/128-Bit
2. WPA-PSK, WPA2-PSK
3. WPA2-ENT
4. WPA-ENT authentication
5. SSID Broadcast enable/disable
6. IEEE 802.1X, IEE 802.1X supplicant
- รองรับการทำ QoS 4 Queues และ WMM Wireless Priority
- Rogue AP detection สามารถ detect access point แปลกปลอมที่เข้ามา network ภายในบริษัท หรือสำนักงานของเราได้
- Auto-Channel selection มันสามารถเลือก channel เองได้ และ switch channel ไม่ชนกันครับ feature นี้จะคล้ายๆ กับ Cisco Aironet เลยครับ
- รองรับการบริหารจัดการอุปกรณ์ผ่าน WEB Brower (HTTP/HTTPS) และ SNMP Version 1, 2c ได้เผื่อใครจะเก็บ log ก็ใช้ SNMP sync ไปเก็บไว้ที่ Log Server ของเราครับ
- เป็น Linux fireware ดังนั้นมันจึงสามารถ upgrade หรือเขียน code ใส่เพิ่มให้มันได้ ซึ่งหลายๆ คนคงชอบครับ :)
รักษาสุขภาพด้วยนะครับ ปลอดภัยจากชิคุนกุนยา และหวัดใหญ่ 2009 โรคนี้มันเริ่มเข้ามาแถวบ้านเราเยอะขึ้น ผมได้รับฟังจากข่าว ที่สงขลาและภูเก็ตก็มีผู้ติดเชื้อหวัดใหญ่ 2009 แล้วด้วย ฝากไว้นิดหน่อยครับ กินของร้อน ช้อนกลาง ล้างมือบ่อยๆ ครับ ฉบับนี้ไว้แค่นี้ก่อนนะครับ ไว้เจอกันใหม่ฉบับหน้า สวัสดีครับ :)
วันศุกร์ที่ 12 มิถุนายน พ.ศ. 2552
From Linksys COBO to Cisco SMB
เป็นที่ทราบกันดีว่า Cisco ได้ทำการซื้อ Linksys มาเป็นกรรมสิทธิ์ในการทำตลาด SOHO และ SMB (Small and Middle Business) ในช่วง 4-5 ปีที่ผ่านมา โดยตั้งแต่เดือนมิถุนายนนี้ (2009) Linksys COBO เดิม จะเริ่มทยอยเปลี่ยนโลโก้ไปเป็น Cisco System เต็มตัวแล้วนะครับ อย่างไรก็ตาม Linksys SOHO ที่มีอยู่เดิมเช่น WAP54G, WRT54GL ก็จะยังคงเป็นฝั่ง Linksysbycisco เป็นคนดูแลเหมือนเดิมครับ
โดยการเปลี่ยนแปลงนี้มีผลทำให้ warranty ต่างๆ ของ Linksys COBO (Cisco SMB) เดิมนั้นกลายมาเป็นหน้าที่ความรับผิดชอบของ Cisco เต็มตัว.... แต่ ครับแต่ แต่ตัว Cisco SBM นี้ไม่สามารถซื้อ SMARTNet ได้นะครับ (ยกเว้นตัว Virus and Spam Blocker ที่ต้องซื้อ SMARTNet) มันจะเป็นอุปกรณ์ที่ติด warranty มาแล้วเช่น
รับประกัน 1 ปี - ส่วนใหญ่ก็จะเป็นอุปกรณ์ประเภท IP Camera, NAS (Network Attached Storage), Router ตระกูล RV ต่างๆ ที่หลายคนเอาไปทำ Load balance Link กัน และอุปกรณ์ VoIP ต่างๆ
รับประกัน 3 ปี - ส่วนใหญ่จะเป็นอุปกรณ์ WLAN
รับประกัน 5 ปี - ส่วนใหญ่จะเป็นอุปกรณ์ Switch ตระกูล SGE, SR, SRW เป็นต้น
Lifetime warranty - ก็คือ รับประกันตลอดอายุการใช้งานแบบมีข้อจำกัด :) ส่วนใหญ่จะเป็นอุปกรณ์ Switch ตัวเล็กตระกูล SD
สามารถเข้าไปดูรายละเอียดเพิ่มเติมได้ที่ http://www.cisco.com/go/smb
โดยการเปลี่ยนแปลงนี้มีผลทำให้ warranty ต่างๆ ของ Linksys COBO (Cisco SMB) เดิมนั้นกลายมาเป็นหน้าที่ความรับผิดชอบของ Cisco เต็มตัว.... แต่ ครับแต่ แต่ตัว Cisco SBM นี้ไม่สามารถซื้อ SMARTNet ได้นะครับ (ยกเว้นตัว Virus and Spam Blocker ที่ต้องซื้อ SMARTNet) มันจะเป็นอุปกรณ์ที่ติด warranty มาแล้วเช่น
รับประกัน 1 ปี - ส่วนใหญ่ก็จะเป็นอุปกรณ์ประเภท IP Camera, NAS (Network Attached Storage), Router ตระกูล RV ต่างๆ ที่หลายคนเอาไปทำ Load balance Link กัน และอุปกรณ์ VoIP ต่างๆ
รับประกัน 3 ปี - ส่วนใหญ่จะเป็นอุปกรณ์ WLAN
รับประกัน 5 ปี - ส่วนใหญ่จะเป็นอุปกรณ์ Switch ตระกูล SGE, SR, SRW เป็นต้น
Lifetime warranty - ก็คือ รับประกันตลอดอายุการใช้งานแบบมีข้อจำกัด :) ส่วนใหญ่จะเป็นอุปกรณ์ Switch ตัวเล็กตระกูล SD
สามารถเข้าไปดูรายละเอียดเพิ่มเติมได้ที่ http://www.cisco.com/go/smb
วันศุกร์ที่ 5 มิถุนายน พ.ศ. 2552
New Cisco IP Phone 69XX Series
วันนี้ผมมาอัพเดทข้อมูลเกี่ยวกับหัว phone ของ Cisco ครับ ซึ่งได้ออก IP Phone ตัวใหม่ออกมาอีก Series นึงแล้วครับซึ่งจะประกอบไปด้วย 3 รุ่นคือ 6921, 6941และ 6961 ส่วน Datasheet ก็สามารถ download ได้จาก url ด้านล่างนี้ครับ
http://www.cisco.com/en/US/products/ps10326/index.html
http://www.cisco.com/en/US/products/ps10326/index.html
ผมสรุป Feature หลักๆ มาให้นะครับ
- รองรับภาษาไทย
- รองรับมาตรฐานโปรโตคอลชนิด SCCP รวมทั้ง version ล่าสุดของ Callmanager คือ v7.1.2 (ไม่รองรับ SIP ต้องระวังตอนเสนอลูกค้านะครับ)
- รองรับการโปรแกรมปุ่มฟังก์ชั่น (programmable soft key) 4 ปุ่ม
- เป็น Full duplex speakerphone ซึ่งดีกว่าพวกตระกูล 39xx ที่เป็นแบบ half duplex ครับ
- มี 2 ethernet ซึ่งหลายๆ คนคงอยากได้มากๆ เนื่องจากจะได้นำมาต่อ PC หาจะซื้อตระกูล 79xx ต้องเริ่มที่ 7911 แต่ IP Phone series ใหม่นี้มีราคาที่ถูกกว่า
- codec ที่รองรับ G.711a, G.711, G.729a, G.729b, และ G.729ab
- รองรับ Cisco Power Inline และ IEEE802.3af ได้
- รองรับมาตรฐาน CDP สามารถรู้จักอุปกรณ์ข้างเคียงได้, IEEE 802.1p/q มีประโยชน์ในการจัด qos เพื่อคุณภาพเสียงที่ดี
- รองรับคุณสมบัติ silent suppression หรือ voice activity detection เพื่อลดปริมาณของ bandwidth เมื่อไม่มีข้อมูลเสียง และสามารถสร้าง comfort noise เมื่อไม่มีการส่งเสียงได้ ซึ่งถ้าใครเคยใช้ หัว phone cisco โทรคุยจะได้ยินคุณภาพเสียงที่ค่อนข้างดีมากๆ สังเกตได้ครับจากการที่เจ้าหน้าที่ของ Cisco โทรเข้ามาที่เรา (ซึ่งจะใช้ IP Phone รุ่น 79xx) เสียงจะชัดเลยทีเดียวครับ
- รองรับภาษาไทย
- รองรับมาตรฐานโปรโตคอลชนิด SCCP รวมทั้ง version ล่าสุดของ Callmanager คือ v7.1.2 (ไม่รองรับ SIP ต้องระวังตอนเสนอลูกค้านะครับ)
- รองรับการโปรแกรมปุ่มฟังก์ชั่น (programmable soft key) 4 ปุ่ม
- เป็น Full duplex speakerphone ซึ่งดีกว่าพวกตระกูล 39xx ที่เป็นแบบ half duplex ครับ
- มี 2 ethernet ซึ่งหลายๆ คนคงอยากได้มากๆ เนื่องจากจะได้นำมาต่อ PC หาจะซื้อตระกูล 79xx ต้องเริ่มที่ 7911 แต่ IP Phone series ใหม่นี้มีราคาที่ถูกกว่า
- codec ที่รองรับ G.711a, G.711, G.729a, G.729b, และ G.729ab
- รองรับ Cisco Power Inline และ IEEE802.3af ได้
- รองรับมาตรฐาน CDP สามารถรู้จักอุปกรณ์ข้างเคียงได้, IEEE 802.1p/q มีประโยชน์ในการจัด qos เพื่อคุณภาพเสียงที่ดี
- รองรับคุณสมบัติ silent suppression หรือ voice activity detection เพื่อลดปริมาณของ bandwidth เมื่อไม่มีข้อมูลเสียง และสามารถสร้าง comfort noise เมื่อไม่มีการส่งเสียงได้ ซึ่งถ้าใครเคยใช้ หัว phone cisco โทรคุยจะได้ยินคุณภาพเสียงที่ค่อนข้างดีมากๆ สังเกตได้ครับจากการที่เจ้าหน้าที่ของ Cisco โทรเข้ามาที่เรา (ซึ่งจะใช้ IP Phone รุ่น 79xx) เสียงจะชัดเลยทีเดียวครับ
- มีช่องสำหรับรองรับการต่อเชื่อมกับ Headset
ป้ายกำกับ:
Unified Communication
วันจันทร์ที่ 18 พฤษภาคม พ.ศ. 2552
Cisco Telepresence System
เทคโนโลยีเรื่องการติดต่อสื่อสาร นับว่าปัจจุบันมีผลในการ drive business มากขึ้นเรื่อยๆ โดยเฉพาะยุคน้ำมันแพงในช่วงจังหวะเวลานี้ ย้อนกลับไปสัก 5-7 ปีที่ผ่านมา ผมมองการใช้ video conference เป็นเรื่องไกลตัวมากๆ เนื่องจากข้อจำกัดเรื่องของ bandwidth และตัวอุปกรณ์ที่ใช้สำหรับ conference มีราคาค่อนข้างสูง แต่ปัจจุบันกำแพงราคาเริ่มพังทลายลง บ้านแต่ละหลังมี ADSL ความเร็วอย่างต่ำๆ 2 Mbps ใช้กันในราคาเพียงแค่ 490-590 ต่อเดือนเท่านั้น ส่งผลให้การทำงานสะดวกสบายขึ้นกว่าเดิม การติดต่อสื่อสารผ่านทาง IP เป็นเรื่องง่ายมากขึ้นตามไปด้วย
การประชุมเป็นเรื่องปกติของคนทำงาน แต่สำหรับองค์กร หรือบริษัทไหน มีสาขาและต้องจำเป็นต้องติดต่อสื่อสารถึงกันนั้น ตัวระบบ video conference มีส่วนช่วยในการประหยัดค่าใช้จ่ายในการเดินทาง ความปลอดภัยในการเดินทางบนท้องถนน หรือบนฟ้าก็ตาม และยังเซฟเวลาในการเดินทางได้อีกด้วย ว่าด้วยเรื่องของไอพีจึงช่วยขยายขอบเขตการสื่อสาร เพื่อรองรับการพบปะพูดคุยและการทำงานร่วมกันของผู้คน โดยไม่จำเป็นต้องเดินทางไปถึงที่นั่น ซึ่งเมื่อมองถึงภาพอนาคต มันประหยัดค่าใช้จ่ายอย่างมหาศาลเลยทีเดียว เพราะฉะนั้น การที่ CEO ของบริษัทจะ invest อะไรก็ตาม มักจะดู ROI (Return of Investment) ที่ได้กลับมา และส่วนใหญ่ก็มักจะเอาเงินไปลงทุนในเรื่อง IT โดยเฉพาะช่วงวิกฤตน้ำมันแพงขณะนี้ตัว VoIP, Video confernce solution จึงเข้ามามีบทบาทเยอะเลยทีเดียวครับ
แต่สิ่งหนึ่งที่ซิสโก้พัฒนาขึ้นมาจากมุมมองของ video conference ก็คือระบบ Telepresence ระบบนี้เองเป็นการผสมผสานระบบเสียงคุณภาพสูง, วิดีโอความละเอียดสูง และระบบอินเตอร์แอคทีฟ เข้าด้วยกันเพื่อสร้างระบบการประชุมแบบตัวต่อตัวผ่านทางเครือข่าย IP นั่นเอง ดังนั้นเราจึงสามารถพบปะ ทำงาน และเรียนรู้ได้ทุกสถานที่ทั่วโลกผ่านการติดต่อระหว่างระบบ Cisco TelePresence โดยส่วนตัวผมเคยไปดูเทคโนโลยีนี้ที่สิงคโปร์ และฮ่องกงมาแล้ว พูดง่ายๆ ก็คือเหมือนเรานั่งอยู่ในห้องประชุมเดียวกันเลยทีเดียว แต่แท้ที่จริงแล้ว อยู่กันคนละประเทศกันเลยหล่ะครับ ตอนนี้เข้าใจว่าทางซิสโก้ ประเทศไทย ได้นำระบบนี้ติดตั้งที่ออฟฟิสในเมืองไทยไปเสร็จเรียบร้อยด้วยเหมือนกันนะครับ ใครอยากจะเห็น solution นี้แบบเต็มก็ลองติดต่อผ่านไปยังบริษัทที่เป็น partner ของซิสโก้ดูนะครับ ที่พูดมามากมายซะขนาดนี้ก็เพื่อจะโยงให้เข้ากับ youtube ที่ผมจะให้ดูนะครับ เป็นงาน Cisco Expo ที่ประเทศเยอรมัน พิธีเปิดเค้าใช้วงออเคสตร้ามาบรรเลง โดยให้นักร้อง ร้องเพลงผ่านระบบ Cisco Telepresence มาครับ เห็นแล้วอึ้งมากๆ ครับ ....
การประชุมเป็นเรื่องปกติของคนทำงาน แต่สำหรับองค์กร หรือบริษัทไหน มีสาขาและต้องจำเป็นต้องติดต่อสื่อสารถึงกันนั้น ตัวระบบ video conference มีส่วนช่วยในการประหยัดค่าใช้จ่ายในการเดินทาง ความปลอดภัยในการเดินทางบนท้องถนน หรือบนฟ้าก็ตาม และยังเซฟเวลาในการเดินทางได้อีกด้วย ว่าด้วยเรื่องของไอพีจึงช่วยขยายขอบเขตการสื่อสาร เพื่อรองรับการพบปะพูดคุยและการทำงานร่วมกันของผู้คน โดยไม่จำเป็นต้องเดินทางไปถึงที่นั่น ซึ่งเมื่อมองถึงภาพอนาคต มันประหยัดค่าใช้จ่ายอย่างมหาศาลเลยทีเดียว เพราะฉะนั้น การที่ CEO ของบริษัทจะ invest อะไรก็ตาม มักจะดู ROI (Return of Investment) ที่ได้กลับมา และส่วนใหญ่ก็มักจะเอาเงินไปลงทุนในเรื่อง IT โดยเฉพาะช่วงวิกฤตน้ำมันแพงขณะนี้ตัว VoIP, Video confernce solution จึงเข้ามามีบทบาทเยอะเลยทีเดียวครับ
แต่สิ่งหนึ่งที่ซิสโก้พัฒนาขึ้นมาจากมุมมองของ video conference ก็คือระบบ Telepresence ระบบนี้เองเป็นการผสมผสานระบบเสียงคุณภาพสูง, วิดีโอความละเอียดสูง และระบบอินเตอร์แอคทีฟ เข้าด้วยกันเพื่อสร้างระบบการประชุมแบบตัวต่อตัวผ่านทางเครือข่าย IP นั่นเอง ดังนั้นเราจึงสามารถพบปะ ทำงาน และเรียนรู้ได้ทุกสถานที่ทั่วโลกผ่านการติดต่อระหว่างระบบ Cisco TelePresence โดยส่วนตัวผมเคยไปดูเทคโนโลยีนี้ที่สิงคโปร์ และฮ่องกงมาแล้ว พูดง่ายๆ ก็คือเหมือนเรานั่งอยู่ในห้องประชุมเดียวกันเลยทีเดียว แต่แท้ที่จริงแล้ว อยู่กันคนละประเทศกันเลยหล่ะครับ ตอนนี้เข้าใจว่าทางซิสโก้ ประเทศไทย ได้นำระบบนี้ติดตั้งที่ออฟฟิสในเมืองไทยไปเสร็จเรียบร้อยด้วยเหมือนกันนะครับ ใครอยากจะเห็น solution นี้แบบเต็มก็ลองติดต่อผ่านไปยังบริษัทที่เป็น partner ของซิสโก้ดูนะครับ ที่พูดมามากมายซะขนาดนี้ก็เพื่อจะโยงให้เข้ากับ youtube ที่ผมจะให้ดูนะครับ เป็นงาน Cisco Expo ที่ประเทศเยอรมัน พิธีเปิดเค้าใช้วงออเคสตร้ามาบรรเลง โดยให้นักร้อง ร้องเพลงผ่านระบบ Cisco Telepresence มาครับ เห็นแล้วอึ้งมากๆ ครับ ....
ป้ายกำกับ:
Unified Communication
วันอังคารที่ 5 พฤษภาคม พ.ศ. 2552
ทำไม Management VLAN ที่เป็น VLAN1 ถึงไม่ปลอดภัย?
เมื่อเราซื้อสวิตซ์มาใหม่แกะกล่อง สวิตซ์จะมี VLAN 1 ซึ่งเป็น default vlan ที่มาจากโรงงาน และทุกพอร์ตก็จะเป็นสมาชิกของ vlan1 ไปโดยปริยาย กรณีนี้ยังเหมารวมไปถึง unmanage switch ด้วยนะครับ
ที่ผ่านมาผมจะเจอลูกค้า ส่วนใหญ่มักจะเอา VLAN 1 เป็น Management VLAN ซึ่งส่งผลทำให้ เมื่อมีใครสักคน อาจจะเป็น attacker นำสวิตซ์ตัวใหม่มาเสียบเข้ากับสวิตซ์ที่มีอยู่เดิมในระบบ และทำเป็น trunk port เชื่อมต่อเข้าหากัน พอร์ตที่เหลือทั้งหมดบนสวิตซ์ตัวใหม่ของ attacker ก็จะอยู่ใน vlan1 ทั้งหมด อีกทั้งยังสามารถติดต่อ vlan อื่นๆ ผ่าน trunk line ไปได้ พอจะนึกออกแล้วใช่มั้ยครับว่า จะเกิดอะไรขึ้นตามมา ผลที่ตามมาก็คือ เป็นช่องโหว่ให้ Attacker เหล่านี้เข้ามาในระบบเราได้ง่าย สามารถเข้าถึงอุปกรณ์ของเราได้โดยตรง และสามารถสร้างความเสียหายแก่ระบบเครือข่ายตามมาได้ โดยเฉพาะ Layer2 attack เช่น
1. CAM table overflow attack จะทำให้ MAC Address Table ภายในสวิตซ์เต็ม และทำให้สวิตซ์หยุดชะงักในการทำงานได้
2. Rogue DHCP server เป็นการทำให้มี unauthorized IP เกิดขึ้นสู่ network ของเราได้
3. ARP attack ทำตัวเป็น MAN-In-the middle โดยจะเข้าไปบอกว่า IP ของผู้ใช้งานในระบบของเรา เป็น MAC Address ของ Attacker ดังนั้น Attacker ก็จะได้รับข้อมูลของผู้ใช้งานภายในไปด้วย
4.Spoofing Attack เป็นการกระทำของ Attacker พยายามหลอกระบบว่าตัวเองเป็น IP ที่อยู่ในระบบของเราด้วย
Note. วิธีแก้ไขแบบเบื้องต้นสุดๆ เลยก็คือ Management VLAN เราจะต้อง create ขึ้นมาใหม่ ซึ่งเราต้องย้ายอุปกรณ์สวิตซ์จาก vlan 1 เข้ามาอยู่ใน vlan วงนี้ และเปลี่ยน default-gateway ไปชี้ที่ interface vlan ที่เราสร้างขึ้นมาใหม่เช่นเดียวกันนะครับ ทำแบบนี้ก็เพื่อความปลอดภัยในการบริหารจัดการอุปกรณ์เครือข่ายของเรา แต่ก็ยังไม่ 100% ผมจึงขออนุญาตเสนอเพิ่มเติมโดยใช้ Access List ในการ filter อีกชั้นนึง ลองดูตัวอย่างที่ผมยกมาให้สัก 2 ตัวอย่างนะครับ
1.vty ACLs
switch(config)#access-list 10 permit host 192.168.1.77
switch(config)#line vty 0 4
switch(config-line)#access-class 10 in
ตามตัวอย่างด้านบนนี้เป็นการระบุให้เพียงไอพี 192.168.1.77 เท่านั้นที่สามารถ telnet เข้ามาที่ switch ได้
2.Restricting Web Interface Sessions with ACLs
switch(config)#access-list 10 permit host 192.168.1.77
switch(config)#ip http server
switch(config)#ip http access-class 10
ตามตัวอย่างที่ 2 เป็นการอนุญาตให้เพียงไอพี 192.168.1.77 เท่านั้น ที่สามารถ http เข้ามาบริหารจัดการสวิตซ์ได้
หวังว่าคงได้ไอเดียในการจัดการบริหารอุปกรณ์เครือข่ายของเราไม่มากก็น้อยนะครับ ผิดพลาดตรงไหนยังไง รบกวนแนะนำกลับมาได้เลยครับ ...
ส่วนวิธีใช้คำสั่งต่างๆ ในการแก้ไข Layer 2 attack จะมาเล่าเพิ่มเติมในครั้งต่อไปนะครับ
ที่ผ่านมาผมจะเจอลูกค้า ส่วนใหญ่มักจะเอา VLAN 1 เป็น Management VLAN ซึ่งส่งผลทำให้ เมื่อมีใครสักคน อาจจะเป็น attacker นำสวิตซ์ตัวใหม่มาเสียบเข้ากับสวิตซ์ที่มีอยู่เดิมในระบบ และทำเป็น trunk port เชื่อมต่อเข้าหากัน พอร์ตที่เหลือทั้งหมดบนสวิตซ์ตัวใหม่ของ attacker ก็จะอยู่ใน vlan1 ทั้งหมด อีกทั้งยังสามารถติดต่อ vlan อื่นๆ ผ่าน trunk line ไปได้ พอจะนึกออกแล้วใช่มั้ยครับว่า จะเกิดอะไรขึ้นตามมา ผลที่ตามมาก็คือ เป็นช่องโหว่ให้ Attacker เหล่านี้เข้ามาในระบบเราได้ง่าย สามารถเข้าถึงอุปกรณ์ของเราได้โดยตรง และสามารถสร้างความเสียหายแก่ระบบเครือข่ายตามมาได้ โดยเฉพาะ Layer2 attack เช่น
1. CAM table overflow attack จะทำให้ MAC Address Table ภายในสวิตซ์เต็ม และทำให้สวิตซ์หยุดชะงักในการทำงานได้
2. Rogue DHCP server เป็นการทำให้มี unauthorized IP เกิดขึ้นสู่ network ของเราได้
3. ARP attack ทำตัวเป็น MAN-In-the middle โดยจะเข้าไปบอกว่า IP ของผู้ใช้งานในระบบของเรา เป็น MAC Address ของ Attacker ดังนั้น Attacker ก็จะได้รับข้อมูลของผู้ใช้งานภายในไปด้วย
4.Spoofing Attack เป็นการกระทำของ Attacker พยายามหลอกระบบว่าตัวเองเป็น IP ที่อยู่ในระบบของเราด้วย
Note. วิธีแก้ไขแบบเบื้องต้นสุดๆ เลยก็คือ Management VLAN เราจะต้อง create ขึ้นมาใหม่ ซึ่งเราต้องย้ายอุปกรณ์สวิตซ์จาก vlan 1 เข้ามาอยู่ใน vlan วงนี้ และเปลี่ยน default-gateway ไปชี้ที่ interface vlan ที่เราสร้างขึ้นมาใหม่เช่นเดียวกันนะครับ ทำแบบนี้ก็เพื่อความปลอดภัยในการบริหารจัดการอุปกรณ์เครือข่ายของเรา แต่ก็ยังไม่ 100% ผมจึงขออนุญาตเสนอเพิ่มเติมโดยใช้ Access List ในการ filter อีกชั้นนึง ลองดูตัวอย่างที่ผมยกมาให้สัก 2 ตัวอย่างนะครับ
1.vty ACLs
switch(config)#access-list 10 permit host 192.168.1.77
switch(config)#line vty 0 4
switch(config-line)#access-class 10 in
ตามตัวอย่างด้านบนนี้เป็นการระบุให้เพียงไอพี 192.168.1.77 เท่านั้นที่สามารถ telnet เข้ามาที่ switch ได้
2.Restricting Web Interface Sessions with ACLs
switch(config)#access-list 10 permit host 192.168.1.77
switch(config)#ip http server
switch(config)#ip http access-class 10
ตามตัวอย่างที่ 2 เป็นการอนุญาตให้เพียงไอพี 192.168.1.77 เท่านั้น ที่สามารถ http เข้ามาบริหารจัดการสวิตซ์ได้
หวังว่าคงได้ไอเดียในการจัดการบริหารอุปกรณ์เครือข่ายของเราไม่มากก็น้อยนะครับ ผิดพลาดตรงไหนยังไง รบกวนแนะนำกลับมาได้เลยครับ ...
ส่วนวิธีใช้คำสั่งต่างๆ ในการแก้ไข Layer 2 attack จะมาเล่าเพิ่มเติมในครั้งต่อไปนะครับ
ป้ายกำกับ:
Switching
ไข้หวัดหมู ไข้หวัดเม็กซิโก ไข้หวัดใหญ่สายพันธุ์ใหม่
เมื่อเช้าผมได้ดูข่าวไข้หวัดหมู -> ไข้หวัดเม็กซิโก -> จนปัจจุบันมีชื่อเรียกเป็นทางการว่า ไข้หวัดใหญ่ สายพันธุ์ใหม่ ปี 2009 (ใครเป็นคนคิดก็ไม่รู้ ช่างยาวได้เพียงนี้) ซึ่งตอนนี้ได้มีการตื่นตัว และพูดถึงกันเยอะมาก จากการฟังข่าวได้พูดถึงที่ฮ่องกงยันพบผู้ติดเชื้อแล้ว ถือเป็นประเทศแรกในเอเชีย และมีผู้ติดต้องสงสัยว่าติดไข้หวัดตัวนี้อีกหลายคน โดยส่วนตัวผมเคยไปฮ่องกง 1 ครั้ง ผมพบว่าคนไทยไปช้อปปิ้งที่นั้นกันค่อนข้างเยอะมาก เรียกว่าไปเดินตามถนนเดินชนคนไทยด้วยกันได้เลย แถมร้านอาหารบางร้านก็ยังมีเมนูอาหารเป็นภาษาไทยอีกด้วย เลยเกรงว่ากลับมาจากฮ่องกงจะมีของฝากเป็นเจ้าไวรัส H1N1 แถมมาด้วย
นอกเรื่องไปหน่อยครับ เข้าเรื่องดีกว่า ที่ฮ่องกงนี่แหละครับ ในสนามบินที่เรารู้จักกันดี คือสนามบิน เช็คแล็ปก็อก (CHEK LAP KOK) ซึ่งติดอันดับสนามบินที่สะดวกสบายที่สุดในโลกด้วย ที่นี่เอง คนที่จะเดินทางออกไปนอกประเทศก็สามารถเดินทางได้ไปเป็นปกติ แต่คนที่กลับมาเข้าฮ่องกงเนี่ยสิ โดยเฉพาะคนที่กลับมาจากเม็กซิโกจะเข้ามาได้ จะต้องมีการตรวจเช็ค สแกน และวัดความร้อนภายในร่างกายกันอย่างละเอียด เรียกว่า Filter กันตั้งแต่ Gateway ทางเข้าประเทศเลยทีเดียว ได้ยินมาอย่างนี้ จึงทำผมให้นึกถึงนิยามของ Firewall เลยหละครับว่า "คนในออกได้ คนนอกห้ามเข้า"
ถ้าคนนอกจะเข้าได้ ต้องผ่าน policy ที่ได้ทำการวางไว้ตรง Gateway ก็คือที่ Firewall เนี่ยแหละครับ ผมเลยเอา clip video เรื่อง SDN - Self Defend Network มาให้ดูกันเล่นๆ ครับ (จับมาโยงกันดื้อๆ ไปเลยครับ ฮ่าๆ ๆ)
http://www.cisco.com/web/TH/about/video/ie20080803.html
แล้วก็มีคลิปของตัว Virus and Spam Blocker ซึ่งมันเป็น Mini IronPort หรือคล้ายๆ กับ IronPort C Series เลยก็ว่าได้ ออกมาใหม่ ราคาผมเห็นแล้ว ถือว่าค่อนข้างถูกมากๆ เมื่อเปรียบเทียบกับประสิทธิภาพการทำงาน ลองดูโฆษณาจาก youtube นะครับ
นอกเรื่องไปหน่อยครับ เข้าเรื่องดีกว่า ที่ฮ่องกงนี่แหละครับ ในสนามบินที่เรารู้จักกันดี คือสนามบิน เช็คแล็ปก็อก (CHEK LAP KOK) ซึ่งติดอันดับสนามบินที่สะดวกสบายที่สุดในโลกด้วย ที่นี่เอง คนที่จะเดินทางออกไปนอกประเทศก็สามารถเดินทางได้ไปเป็นปกติ แต่คนที่กลับมาเข้าฮ่องกงเนี่ยสิ โดยเฉพาะคนที่กลับมาจากเม็กซิโกจะเข้ามาได้ จะต้องมีการตรวจเช็ค สแกน และวัดความร้อนภายในร่างกายกันอย่างละเอียด เรียกว่า Filter กันตั้งแต่ Gateway ทางเข้าประเทศเลยทีเดียว ได้ยินมาอย่างนี้ จึงทำผมให้นึกถึงนิยามของ Firewall เลยหละครับว่า "คนในออกได้ คนนอกห้ามเข้า"
ถ้าคนนอกจะเข้าได้ ต้องผ่าน policy ที่ได้ทำการวางไว้ตรง Gateway ก็คือที่ Firewall เนี่ยแหละครับ ผมเลยเอา clip video เรื่อง SDN - Self Defend Network มาให้ดูกันเล่นๆ ครับ (จับมาโยงกันดื้อๆ ไปเลยครับ ฮ่าๆ ๆ)
http://www.cisco.com/web/TH/about/video/ie20080803.html
แล้วก็มีคลิปของตัว Virus and Spam Blocker ซึ่งมันเป็น Mini IronPort หรือคล้ายๆ กับ IronPort C Series เลยก็ว่าได้ ออกมาใหม่ ราคาผมเห็นแล้ว ถือว่าค่อนข้างถูกมากๆ เมื่อเปรียบเทียบกับประสิทธิภาพการทำงาน ลองดูโฆษณาจาก youtube นะครับ
ช่วงนี้อากาศมันเอาแน่เอานอนไม่ได้ แดดออกเปรี้ยงๆ จู่ๆ ฝนก็เทลงมาเลย ฝากกลอนส่งท้ายไว้นะครับ
สุขภาพดี ชีวีปลอดภัย ห่างไกลไข้หวัดหมู ...... //ลาไปก่อนนะคร้าบบบบ Bibi .... :)
PING to Cisco ASA 5500 Series Firewall
กาลครั้งหนึ่งนานมาแล้ว ทางลูกค้าถามทางผมมาว่า "ทำไม ping ตัว Firewall ASA แล้วมันไม่มี icmp reply ตอบกลับมาเลย" สงสัย configure ผิดหรือเปล่า หรือว่า Interface ของ ASA เดี๊ยงไปแล้ว ... ผมก็เลยเสนอแนะไปว่า ให้ลอง show interface เล่นๆ ดู หรือเข้าไปดูผ่าน ASDM ถ้ามันยัง up อยู่ก็ตัดประเด็น hardware เสียไปได้เลย
ผลปรากฏว่ามันก็ยัง up อยู่เหมือนเดิม แถมยังเล่นอินเทอร์เน็ตได้ปกติ เร็วปรื๊ดดดดดดด .... ผมเลยจัดการเฉลยทางลูกค้าไปตรงๆ ดีกว่าว่า ปกติ Firewall ด้าน traffic inbound มันจะปิด icmp protocol ไว้ ส่วน outbound นั้นโดย default แล้วจะอนุญาตให้ icmp protocol เข้ามาได้แต่จะ deny reply เอาไว้ พูดภาษาชาวบ้านก็คือไม่ให้ตอบ icmp reply กลับไปนั่นเอง (มาถึงถูก แต่กลับไม่ถูก) โดย default เป็นแบบนี้ก็เนื่องจากเหตุผลเรื่อง Security นี่แหละครับ ดังนั้นหากจะ troubleshooting โดยการ ping ไปที่ขา interface inside หรือ outside ต้องมีการเปิด (permit) อนุญาติให้ icmp message ตอบกลับมาได้นั่นเอง
Note inbound คือ ผั่งที่ traffic วิ่งจาก security-level ต่ำไปสูง หมายความว่า traffic จะวิ่งเข้ามายัง inside network และรวมไปถึง traffic ที่วิ่งมายัง DMZ Zone ด้วย
outbound คือ ฝั่งที่ traffic วิ่งจาก security-level สูงไปต่ำ หมายความว่า traffic จะวิ่งจากข้างใน ออกไปยัง outside network
วิธีการทำก็ไม่ยากเลยครับ เราสามารถใช้ ASDM ใช้เม้าส์จิ้มๆๆๆ ไม่กี่ครั้งก็เรียบร้อยแล้วครับ ตาม step ด้านล่างนี้นะครับ :)
Configuration > Device Management > add > จากนั้นก็ใส่ icmp type (แนะนำว่าเลือกเป็น any ไปเลยครับ ), ขา interface ที่เราต้องการอยากให้ ping ได้, Action เลือกเป็น permit และกำหนด ip address/subnet mask ซึ่งจะเป็นวงที่เราอนุญาตให้ ping ได้ครับ อย่าลืมกด Apply นะครับ เพื่อ activate ให้ Firewall มันรับคำสั่งไปทำงานได้ .....
Note. ดังนั้นหากใครก็ตาม configure ASA เรียบร้อยแล้ว test ping มาที่ขา interface ของ firewall ไม่เจอ ก็อย่าเพิ่งตกอกตกใจไปนะครับ ไปเปิด icmp message ก็เท่านั้นเองครับ (จริงๆ แล้วก็คือ เปิดให้ Firewall มันไม่เป็นใบ้ ให้มันสามารถตอบกลับมายัง host ที่ ping ออกไปได้)
Note. อีกประการนึงก็คือ ต้องเช็คด้วยว่า Access Rule ของ Firewall เราได้ทำการ permit ip ที่เราอนุญาตให้ ping เจอไว้แล้วด้วยแล้วหรือยัง ??? (Configuration > Firewall > Access Rule) โดยปกติมักจะไม่มีปัญหาในช่วงแรกที่เรา configure Firewall ใหม่ๆ เนื่องจาก โดย Default ฝั่ง inside มักจะเปิด permit ip any any ไว้เรียบร้อยแล้ว
รายละเอียดเพิ่มเติม ซึ่งสามารถใช้ Command Line ได้ เข้าไปดูได้ตาม url ที่ให้มานี้เลยครับhttp://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080734db7.shtml
ผลปรากฏว่ามันก็ยัง up อยู่เหมือนเดิม แถมยังเล่นอินเทอร์เน็ตได้ปกติ เร็วปรื๊ดดดดดดด .... ผมเลยจัดการเฉลยทางลูกค้าไปตรงๆ ดีกว่าว่า ปกติ Firewall ด้าน traffic inbound มันจะปิด icmp protocol ไว้ ส่วน outbound นั้นโดย default แล้วจะอนุญาตให้ icmp protocol เข้ามาได้แต่จะ deny reply เอาไว้ พูดภาษาชาวบ้านก็คือไม่ให้ตอบ icmp reply กลับไปนั่นเอง (มาถึงถูก แต่กลับไม่ถูก) โดย default เป็นแบบนี้ก็เนื่องจากเหตุผลเรื่อง Security นี่แหละครับ ดังนั้นหากจะ troubleshooting โดยการ ping ไปที่ขา interface inside หรือ outside ต้องมีการเปิด (permit) อนุญาติให้ icmp message ตอบกลับมาได้นั่นเอง
Note inbound คือ ผั่งที่ traffic วิ่งจาก security-level ต่ำไปสูง หมายความว่า traffic จะวิ่งเข้ามายัง inside network และรวมไปถึง traffic ที่วิ่งมายัง DMZ Zone ด้วย
outbound คือ ฝั่งที่ traffic วิ่งจาก security-level สูงไปต่ำ หมายความว่า traffic จะวิ่งจากข้างใน ออกไปยัง outside network
วิธีการทำก็ไม่ยากเลยครับ เราสามารถใช้ ASDM ใช้เม้าส์จิ้มๆๆๆ ไม่กี่ครั้งก็เรียบร้อยแล้วครับ ตาม step ด้านล่างนี้นะครับ :)
Configuration > Device Management > add > จากนั้นก็ใส่ icmp type (แนะนำว่าเลือกเป็น any ไปเลยครับ ), ขา interface ที่เราต้องการอยากให้ ping ได้, Action เลือกเป็น permit และกำหนด ip address/subnet mask ซึ่งจะเป็นวงที่เราอนุญาตให้ ping ได้ครับ อย่าลืมกด Apply นะครับ เพื่อ activate ให้ Firewall มันรับคำสั่งไปทำงานได้ .....
Note. ดังนั้นหากใครก็ตาม configure ASA เรียบร้อยแล้ว test ping มาที่ขา interface ของ firewall ไม่เจอ ก็อย่าเพิ่งตกอกตกใจไปนะครับ ไปเปิด icmp message ก็เท่านั้นเองครับ (จริงๆ แล้วก็คือ เปิดให้ Firewall มันไม่เป็นใบ้ ให้มันสามารถตอบกลับมายัง host ที่ ping ออกไปได้)
Note. อีกประการนึงก็คือ ต้องเช็คด้วยว่า Access Rule ของ Firewall เราได้ทำการ permit ip ที่เราอนุญาตให้ ping เจอไว้แล้วด้วยแล้วหรือยัง ??? (Configuration > Firewall > Access Rule) โดยปกติมักจะไม่มีปัญหาในช่วงแรกที่เรา configure Firewall ใหม่ๆ เนื่องจาก โดย Default ฝั่ง inside มักจะเปิด permit ip any any ไว้เรียบร้อยแล้ว
รายละเอียดเพิ่มเติม ซึ่งสามารถใช้ Command Line ได้ เข้าไปดูได้ตาม url ที่ให้มานี้เลยครับhttp://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080734db7.shtml
ป้ายกำกับ:
Security
วันจันทร์ที่ 4 พฤษภาคม พ.ศ. 2552
How to setup IP Policy based routing in Cisco IOS
Policy based routing สามารถถูกใช้งานได้จากการสร้าง "route-map"
route-map จะมีคำสั่งหลักๆ อยู่ 2 คำสั่ง คือ
Example จากโจทย์และไดอะแกรมด้านข้างนี้ เราจะให้ network เครือข่าย 10.1.1.0 ออกทาง Router B ส่วน Source อื่นๆ ออกไปทาง Router A จะทำได้ตาม step ดังต่อไปนี้
1.สร้าง standard ACL โดยทำที่ Global Configuration Mode ซึ่งจะทำ policy โดยการอนุญาต source network 10.1.1.0/24
route-map จะมีคำสั่งหลักๆ อยู่ 2 คำสั่ง คือ
1. คำสั่ง match เป็นการเลือก address ให้ทำการถูก permit (อาจจะใช้ Access list ก็ได้)
2. คำสั่ง Set เป็น action ที่จะให้ address ที่ถูก permit ออกไปยัง hop ไหน
Example จากโจทย์และไดอะแกรมด้านข้างนี้ เราจะให้ network เครือข่าย 10.1.1.0 ออกทาง Router B ส่วน Source อื่นๆ ออกไปทาง Router A จะทำได้ตาม step ดังต่อไปนี้
1.สร้าง standard ACL โดยทำที่ Global Configuration Mode ซึ่งจะทำ policy โดยการอนุญาต source network 10.1.1.0/24
router#conf ter
router#access-list 10 permit 10.1.1.0 0.0.0.255
2.สร้าง Route-map (แผนที่เส้นทาง >> ลายแทงนั่นเอง) โดยใช้คำสั่ง match และ set
router(config)#route-map SetNextHop permit 10
router(config-route-map)#match ip address 10
router(config-route-map)#set ip next-hop 192.168.0.1
Note. จากคำสั่งด้านบน เราสร้าง route-map ที่ชื่อว่า "SetNextHop" และทำการ match ให้เข้ากับ policy access list หมายเลข 10 ซึ่งเป็น Source Address ที่ได้สร้างไว้ก่อนหน้านี้ และสุดท้ายกำหนดให้ network ต้นทางนี้ถูกส่ง packet ไปยังไอพี 192.168.0.1
3. ทำการ Apply Policy Route-map ที่ Interface ของ router ที่เราได้สั่งให้ packet วิ่งออกไป
router(config)#int fa0/0
router(config-if)#ip policy route-map SetNextHop
router(config-if)#ip route-cache policy
Note. คำสั่ง ip route-cache policy ที่ interface configuration mode ทำเพื่อ enable fast switching ของ PBR (Policy Base Routing)
CS-MARS choice for Log Server
ผมเพิ่งจะ Implement CS-MARS ของ Cisco เสร็จไปหมาดๆ จำนวน 2 site เป็น Education และ Hospitality Account จึงได้วิธีหรือสูตรที่จะคิดจำนวนวัน ที่สามารถเก็บ Log file ได้มาแบ่งปันกันครับ
Example สมมุติว่าเราใช้รุ่น MARS110R และ event โดยเฉลี่ยทุก 1 วินาทีประมาณ 100 event และ ขนาดของ event ใหญ่ 300 bytes
Day = Usable storage / (Event size x EPS x 86,400)
CS-MARS110R Total = 1,500 GB Available storage = 866GB >>> ประมาณว่าใช้งานได้เกินครึ่งมานิดเดียว ส่วนที่หายไปเนี่ยก็เป็นพวก OS, MARS Software (Protego Networks), Oracle database
Average Event size = 300 bytes EPS = 100 event/second, k = 86,000
Day = 866x10^9 / (300 x 100 x 86,000) = 335.65 วัน
CS-MARS110R Total = 1,500 GB Available storage = 866GB >>> ประมาณว่าใช้งานได้เกินครึ่งมานิดเดียว ส่วนที่หายไปเนี่ยก็เป็นพวก OS, MARS Software (Protego Networks), Oracle database
Average Event size = 300 bytes EPS = 100 event/second, k = 86,000
Day = 866x10^9 / (300 x 100 x 86,000) = 335.65 วัน
ดังนั้นวันที่เก็บได้ประมาณ 335 วัน ต้องทำการ archieve file ต่างๆ เหล่านี้ไปยัง backup server ผ่านทาง NFS protocol แต่จะเห็นกฎหมายให้เก็บแค่ 90 วัน ดังนั้น MARS ตัวนี้สามารถรองรับพรบ.คอมพิวเตอร์ได้อย่างสบายๆ
ผมได้ข้อคิดจาก MARS เผื่อคนที่คิดจะซื้อจะได้กลับมาดูก่อนว่า เหมาะสมกับโครงสร้างเครือข่ายของเราหรือเปล่า
1.คนที่กำลังจะซื้อ MARS ไปประดับบริษัท ควรจะมี Firewall ASA5500 Series ของ Cisco ถ้าให้ดีมี IPS Module เสียบไปด้วย จะทำ MARS วิเคราะห์ในรายละเอียดได้มาก เนื่องจาก Default Rule มักจะสร้างมาจากตัว ASA, IPS และเกิดเป็น Incident ต่างๆ ขึ้นมาบน Dashboard
2.MARS สามารถเก็บ RAW Message หรือ event ต่างๆ ของอุปกรณ์ที่ไม่ใช่ Cisco ก็ได้ เช่น Juniper Netscreen, Extreme, Checkpoint, Web Server ต่างๆ เป็นต้น ตลอดจน log ของ OS software ได้อีกด้วย แต่หากไม่มีอยู่ใน List ก็สามารถใช้ custom parser ในการ create patern ตาม syntax ของยี่ห้อนั้นๆ ได้เช่นเดียวกัน อันนี้ยาส์สสสสสกกกกกกก ..... เลยยยยย
3.คนที่คิดว่าจะเอา MARS ไปเก็บ log ของพวก Switch อย่างเดียว อยากจะบอกว่า คิดผิดแล้วครับ เพราะ switch มันไม่ค่อยผลิต log อะไรมากมาย นอกจาก up and down interface ครับ และ admin name ที่เข้ามาบริหารจัดการตัวอุปกรณ์ อาจจะผ่านทาง console, telnet หรือ ssh ครับ :)
4.เราสามารถ add topology ของ network ไปจนถึง เราเตอร์ของ ISP ได้เลย เพียงแค่บอก network ที่เราต้องการให้ MARS มัน update
5.ใครจะเอา netflow พ่นออกมาเก็บที่ MARS ตรงที่ MARS ควร Configure คลิ๊กแค่ Enable netflow เท่านั้น อย่างอื่นปล่อยมันไป มิฉะนั้น มันจะไปเก็บเป็น event (raw message) ไปด้วย
6.spanning tree ที่ switch จะต้อง Run เอาไว้ เพื่อที่จะทำหน้าที่ Layer 2 Discovery และ Mitigation นั่นเอง
7.Mitigation บน MARS ใน Layer2 สามารถกดปุ่ม push ได้เลย มันจะ write ไปผ่านทาง telnet, ssh ที่เราเปิดขึ้นมา และ snmp ที่เปิดเป็นแบบ rw หากเป็น Layer3 ต้อง manual CLI บนอุปกรณ์นั้นๆ
8.การ Add อุปกรณ์ NAC Appliance เข้าไป ผมไม่สามารถเห็นอุปกรณ์ NAC ใน topology ได้ แต่ดูจาก report มันเก็บ log มาเรียบร้อยแล้ว ก็งงๆ อยู่ว่าตกลงมันต้องเห็นหรือเปล่า ใครเคยทำแล้วช่วยตะโกนมาบอกผมหน่อยนะครับ ตกลงมันต้องเห็นใน topology หรือเปล่าครับ
ไว้แค่นี้ก่อน แล้วจะมาอัพเดทให้เรื่อยๆ ครับ :)
ป้ายกำกับ:
Security
สมัครสมาชิก:
บทความ (Atom)