วันเสาร์ที่ 19 มิถุนายน พ.ศ. 2553

Introducing IDS and IPS
Intrusion Detection Systems (IDS)

มีความสามารถในการตรวจจับ Traffic ที่เป็นอันตรายต่อระบบได้แต่ไม่สามารถหยุดหรือป้องกันได้ด้วยตัวเอง เพราะว่ามันทำงานในการวิเคราะห์ Traffic ที่ถูก Copy มาจาก Traffic จริงๆ ทำให้การทำงานจะไม่ส่งผลกระทบต่อประสิทธิภาพของเครือข่ายที่ใช้งานอยู่
โดยปกติ monitor interface ของ Sensor จะทำงานใน Promiscuous Mode หมายถึงว่ามันจะตรวจสอบ Traffic ทั้งหมดที่ถูกส่งมาหามันโดยให้อุปกรณ์เครือข่ายตัวอื่นๆ ทำการคัดลอกข้อมูลและส่งมาให้มัน โดยมันสามารถทำได้แค่แจ้งเตือน เพื่อให้ผู้ดูแลระบบทราบถึงปัญหาหรือภัยคุกคามในระบบ และดำเนินการแก้ไขต่อไป โดย Sensor ที่ทำงานใน Mode นี้สามารถใช้เพียง Interface เดียวสำหรับการ monitor Traffic ในหนึ่ง segment ได้
Intrusion Prevention Systems (IPS)
เป็น IDS ที่ทำงานใน Mode in-line คือวิเคราะห็ Traffic จริงๆของระบบเครือข่าย มีความสามารถในการตรวจจับและหยุดยั้ง Traffic ที่เป็นอันตรายได้ อาจจะส่งผลกระทบต่อเครือข่ายได้ เช่นการ Drop Packet ต่างๆ
ใน Inline Mode Sensor จะถูกวางไว้บนเส้นทางที่ใช้รับ-ส่งข้อมูลในระบบ IPS สามารถที่จะหยุดหรือป้องกันการโจมตีได้ โดย sensor ที่ทำงานใน mode นี้จะต้องใช้อย่างน้อย 2 Interface โดยจะต้อง Configure ทั้ง 2 Interface เป็น Pair interface กัน โดยจะทำงานใน Layer 2

IDS and IPS Common Characteristics
Cisco Sensor นั้นจะใช้กฏที่เรียกว่า Signature ในการตรวจสอบ Traffic โดย Signature-Based คือกลุ่มของรูปแบบของกฏ ที่ไว้ใช้เปรียบเทียบกับ Traffic โดยจะทำการบันทึกรูปแบบการโจมตีต่างๆไว้เป็น Signature โดยมันจะตรวจสอบทุกๆ Packet ที่ผ่านเข้า-ออกตัวมันและเมื่อมี Traffic ใดที่มีลักษณะตรงกับที่ Signature ได้ระบุไว้มันก็จะทำตาม Action ที่ได้ระบุไว้ใน Signature นั้นๆ เช่น แจ้งเตือน หรือ Drop Packet นั้นทิ้ง บาง Signature จะเรียกว่า atomic signature โดยจะตรวจสอบ Traffic ที่มีลักษณะเป็น Packet เพียง Packet เดียว หรือ Composite Signature ที่ตรวจสอบ Traffic โดยการระบุรูปแบบของ Packet หลายๆ Packet ต่อเนื่องกันมาตามลำดับก็ได้
Placement of IDS and IPS Sensors
ในการที่จะตัดสินใจว่าจะให้ Sensor ทำงานใน Mode ใดระหว่าง Promiscuous (IDS) หรือ In-line (IPS) ควรจะดูจากลักษณะของความต้องการใช้งาน โดยทั้ง 2 โหมดจะมีลักษณะดังนี้

IPS มีลักษณะ
-เมื่อต้องการให้ Sensor สามารถทำการ Drop หรือ Deny Packet ได้
-การ Drop หรือ Deny สามารถหยุด Packet ที่เป็นอันตรายหรือผิดปกติได้
-Sensor สามารถตรวจสอบ Stream normalization ได้
-IPS Action สามารถหยุดการทำงานของ Worm ได้
-ถ้าตัวอุปกรณ์ error หรือ fail จะส่งผลกระทบต่อเครือข่าย
-อาจส่งผลกระทบต่อประสิทธิภาพของเครือข่าย เช่นความเร็วโดยรวมลดลง
-สามารถทำงานร่วมกับ Time-Sensitive Application ได้ เช่น VoIP
IDS มีลักษณะ
-เมื่อไม่ต้องการให้ Sensor Drop หรือ Deny Packet ใดๆ
-การทำงานของ Sensor จะไม่ส่งผลกระทบต่อเครือข่ายที่ใช้งานปกติ
-ถ้าตัวอุปกรณ์ error หรือ fail จะไม่ส่งผลกระทบต่อเครือข่าย
-ไม่สามารถหยุดการโจมตีหรือภัยคุกคามได้ ด้วยตัวมันเอง
Sensor Placementควรที่จะวาง Sensor ไว้บริเวณ ทางเข้า-ออกของเครือข่ายส่วนที่ต้องการจะป้องกัน ซึ่งใน Sensor จะมีการกำหนด Security Policy สำหรับเครือข่ายนั้นๆ ซึ่ง Security Policy นี้สามารถใช้อันเดียวกันทั้งหมด หรือแยกแต่ละ Policy ตามแต่ละส่วนของเครือข่ายได้ และควรที่จะมีการกำหนดเครื่องที่อนุญาตให้เข้ามาจัดการ Sensor ได้ด้วย
Sensor on Outside
-Monitor all Traffic
-อาจมี False Positive จำนวนมาก
-ไม่สามารถตรวจจับการโจมตีที่เกิดขึ้นภายในได้
Sensor on Inside
-Monitor Traffic ที่ถูกคัดกรองมากแล้วจาก Firewall หรือ Gateway
-มี False Positive น้อยกว่า
-สามารถหยุด Traffic ที่เป็นอันตรายในระดับ Application Layer ที่ Firewall ไม่สามารถตรวจพบได้

Types of IDS and IPS Sensors
Profile-Based Intrusion Dectection
จะมีการสร้าง Profile ขึ้น และจะทำการแจ้งเตือนเมื่อมีเหตุการณ์ที่อยู่นอกเหนือจาก Profile นี้ขึ้น โดย Profile จะสร้างมาจากการเก็บตัวอย่างการใช้งานปกติของผู้ใช้ตามช่วงเวลาที่กำหนด เพื่อเก็บไว้เป็นตัวอย่างใช้ในการเปรียบเทียบ Traffic ต่อไป
ปัญหาของวิธีการนี้ก็คือ ผู้ใช้อาจจะมีการใช้งานที่ไม่ตรงกับ Profile ที่ได้เก็บตัวอย่างไว้เสมอไป ซึ่ง Profile ที่ใช้เป็นการใช้งานปกติในปัจจุบัน อาจจะไม่สามารถใช้เป็น Profile สำหรับวันอื่นๆก็ได้ ซึ่งจะทำให้เกิด False Positive จำนวนมากตามมา
Signature-Based Intrusion Dectection
Signature-Based สามารถที่จะลดจำนวนการเกิด False Positive ลง โดย Signature คือกลุ่มรูปแบบของกฏ หรือรูปแบบการโจมตีประเภทต่างๆ ที่ไว้ใช้เปรียบเทียบกับ Traffic
Cisco Sensor นั้นใช้ Signature-Based ในการทำงาน โดยจะตรวจสอบทุกๆ Packet ถ้าพบว่ามี Traffic ใดที่มีรูปแบบที่ตรงกับ Signature มันจะไปทำตาม Action ที่ได้ระบุไว้ใน Signature นั้นๆ เช่นแจ้งเตือน หรือ Drop Packet
ข้อเสียของวิธีนี้ก็คือ ถ้าการโจมตีเป็นรูปแบบใหม่ที่ไม่มีใน Signature มันจะไม่สามารถตรวจจับได้ ซึ่งจะต้องมีการ Update Signature เสมอเพื่อให้สามารถตรวจจับรูปแบบการโจมตีใหม่ๆได้

Access Point รุ่น AP 541N


วันนี้ก็คงพูดถึง Access Point ตัวใหม่ ก็คือรุ่น AP 541N ถ้าเพื่อนๆเข้าไปที่ Cisco web ก็จะเห็นรูปของ AP 541N สำหรับ AP541N จะเหมาะกับลูกค้ากลุ่ม SMB สำหรับ feature มีดังนี้

1.AP 541N สามารถรองรับ 802.11 a/b/g/n สำหรับ 802.11n ทำงานในลักษณะที่เป็น MIMO (multiple-input, multiple-output) dual band (2.4GHz และ 5GHz).
2.AP541N ยังมีความสามารถที่เรียกว่า Advanced clustering intelligence. AP ที่อยู่ใน cluster เดียวจะสามารถ share – SSID, security feature เช่น การตั้งค่า encryption, access lists, MAC address filters เป็นต้น, user names และ passwords, QoS setting, Radio setting, wireless interface setting, และ Guest Welcome screen. ซึ่ง admin สามารถตั้งค่าเหล่านี้ให้กับ cluster แล้ว AP ที่อยู่ใน cluster ก็จะได้ค่า setting เหล่านี้ โดยที่ไม่ต้องใช้ wireless controller
3.Highly secure guest access: AP 541N มี GUI สำหรับที่จัดการ guest network ซึ่งแยกจาก network ขององค์กร เพราะฉะนั้น guest ก็ไม่ได้เข้าไป access company network
4.Strong security: AP 541N สามารถรองรับ WPA2 (Wi-Fi Protected Access) encryption, มี feature ที่ค้นหา rogue access point, access control lists และ MAC address filtering
5.รองรับทั้ง standard AC และ PoE
6.สามารถใส่ external antenna ได้ 3 antenna

ขอบคุณบทความจากฉบับ Cisco Borderless Network Newsletter#11 ครับ

Media Ready Wireless LAN

ในฉบับนี้ ซึ่งเป็นเรื่องเกี่ยวกับ Wireless LAN นะครับ ผมจะแนะนำให้รู้จัก Media Ready Wireless LAN ครับ ในปัจจุบัน Video นับเป็นสิ่งที่มีความสำคัญกับองค์กรธุรกิจอย่างมากนะครับ และการนำ Video มาใช้ในบริษัท ถ้าหากเป็น Wire Network ซึ่งมี Bandwidth ที่มากกว่าคงจะไม่มีปัญหามากนัก แต่เนื่องจาก Wireless LAN 802.11n ก็เป็นเทคโนโลยีที่มี Bandwidth มากขึ้น การที่เราจะใช้ Video บน Wireless LAN ก็มีความเป็นไปได้มากขึ้น แต่เราคงไม่สามารถใช้ Video บน Wireless LAN ได้ ถ้าหากว่าเราไม่มีเทคโนโลยีอื่นประกอบ เพราะว่า Wireless LAN เป็น Share Network ซึ่งมีข้อจำกัดดังต่อไปนี้
1. Bandwidth ที่ใช้งานได้เวลาหนึ่งจะมีลักษณะเป็น Variable Data Rate ขึ้นอยู่กับสิ่งแวดล้อมของ Client ที่ใช้งานในขณะเวลานั้น
2. Packet Loss ลักษณะของ Wireless LAN เมื่อเทียบกับ Wire LAN ก็คือ มี Packet Loss มากกว่า Wire LAN เมื่อมีจำนวนคนใช้งานมากขึ้น ไม่ว่าจะเนื่องมาจาก Collision และ สัญญาณรบกวน
3. Multicast Unreliability เมื่อเรานำ Multicast มาใช้บน Wireless LAN จะทำให้ Client บางเครื่องอาจจะไม่ได้รับ Quality เท่ากัน เนื่องจาก Condition ของแต่ละ Client ต่างกัน
จากปัญหาที่กล่าวมาข้างต้น Cisco จึงมี Technology ที่จะช่วยให้เราสามารถส่ง Video ได้บน Wireless LAN อย่างไม่มีปัญหาได้แก่
1. Stream Admission and Prioritization – เราสามารถให้ Priority แก่ Streaming ใน Priority ที่แตกต่างกัน ขึ้นอยู่กับแต่ละองค์กร
2. Resource Reservation Control – เปรียบเสมือน Call Admission Control ซึ่งทำให้เราสามารถจำกัดจำนวนผู้ชมได้ เพื่อที่จะทำให้ Quality ของ Video ที่ส่งไปไม่ถูกลดทอนลงเมื่อจำนวนผู้ชมมากเกินกว่าจะสามารถรองรับได้ ซึ่งจะทำให้ Quality ของผู้ชมคนอื่นมีผลกระทบไปด้วย
3. Multicast Direct หรือ Reliable Multicast ถึงแม้ว่าเราจะใช้ IGMP เพื่อจะทราบได้ว่า Video จะส่งให้กับ Client เครื่องไหนบ้าง แต่แทนที่ Steam จะถูกส่งไปให้ทุก Client ด้วย Multicast Stream ซึ่ง Bandwidth และ Condition ที่จะส่งเหมือนกันทุก Client แต่ใน Wireless LAN นั้น แต่ละ Client จะมี Bandwidth ที่ได้รับไม่เท่ากัน ดังนั้น Reliable Multicast จะทำการส่ง Stream ไปแต่ละ Client ใน Multicast Group นั้นด้วย คุณลักษณะที่เหมาะสมกับแต่ละ Client ซึ่งจะทำให้ทุก Client ได้รับ Experience ที่ดีเหมือนกัน ไม่ว่า Client นั้นๆ จะได้รับ Bandwidth เท่ากันหรือไม่ก็ตาม
4. Monitoring มีความสามารถในการ Monitor Resource ให้ใช้งานได้อย่างมีประสิทธิภาพ
5. Higher Scaling on Clients ซึ่งจากการทดสอบโดย 3rd Party Cisco Wireless LAN Media Ready network สามารถรองรับจำนวน Client ได้มากกว่า ที่ Experience ของ User ที่ดีกว่า

ซึ่ง Cisco มั่นใจว่า Cisco Media Ready Wireless LAN นี้ จะช่วยเพิ่มผลผลิตให้กับลูกค้าของเรา ด้วยความสามารถในการรองรับ Video ใน Wireless LAN นะครับ
Link ด้านล่างนี้จะเป็น Web Page และ Whitepaper ที่เกี่ยวข้องนะครับ
Cisco Media Ready Wireless LAN (CCO)
http://www.cisco.com/en/US/prod/wireless/ideas_in_motion.html
Optimizing Enterprise Video Over Wireless LAN (Whitepaper)
http://wwwin.cisco.com/ewtg/wnbu/campaigns/docs/Optimizing_Enterprise_Video_Over_WLAN_White_Paper.pdf
Miercom Report on Cisco Media Ready Wireless LAN
http://www.cisco.com/en/US/prod/collateral/wireless/ps6302/ps8322/ps10315/ps10325/Cisco_5508WC_Miercom_Report.pdf
Youtube – Cisco Media Ready Wireless (Video ที่จะทำให้เข้าใจ Business Concept ว่าทำไมต้อง Cisco Media Ready Wireless)
http://www.youtube.com/watch?v=InWWHKsG8bg

ขอขอบคุณบทความจาก Borderless Network Newsletter ของพี่ Phithakkit ด้วยนะครับ

วันพุธที่ 16 มิถุนายน พ.ศ. 2553

Set up DDNS for Cisco IOS Router

วันนี้ผมจะมา update เรื่องของการทำ DDNS บนตัว IOS เราเตอร์นะครับ ซึ่งส่วนใหญ่มักจะเป็น ADSL Router ซึ่งจะทำการ negotiate ip มาจากทางผู้ให้บริการอินเตอร์เน็ต เพราะฉะนั้นแล้วจะมีการเปลี่ยนแปลงของ IP เกิดขึ้นตลอดห้วงเวลา โดยปกติแล้วหากเราอยู่ภายนอกเครือข่าย LAN ของเรานั้น แต่มีความต้องการที่จะเข้ามาใช้ resource บางอย่างใน LAN เราต้องทำ Port Forwarding และต้องมี Public IP หรือ IP จริงที่เรามักจะใช้กัน เราสามารถใช้ DDNS เป็นตัวที่ทำการจับไอพีที่เปลี่ยนแปลงไปตลอดของขา WAN ฝั่งเราได้โดยไปลงทะเบียนกับทางผู้ให้บริการต่างๆ เช่น dyndns.org เป็นต้น วิธีการ configure สามารถดูตัวอย่างได้จากด้านล่างนี้ครับ

router#configure terminal
router(config)#ip domain lookup
router(config)#ip domain name dyndns.org
router(config)#ip host members.dyndns.org 63.208.196.96
router(config)#ip ddns update method mydyndns
router(config)#http
routerconfig#add ..................... >>> ใส่ username และ password
router(config)#interval maximum 28 0 0 0
router(config)#interval minimum 28 0 0 0
router(config)#end
router#configure terminal
router(config)#interface dialer0
router(config-if)#ip ddns update hostname myhostname.dyndns.org
router(config-if)#ip ddns update mydyndns host members.dyndns.org

ดูข้อมูลเพิ่มเติมได้จาก http://www.cisco.com/en/US/docs/ios/ipaddr/configuration/guide/iad_ddns_ps6441_TSD_Products_Configuration_Guide_Chapter.html#wp1221892

วิธีการทำ Port Forwarding เพื่อจะให้ผู้ใช้งานสามารถเข้าผ่าน Dynamic DNS มาที่อุปกรณ์ภายในเครือข่ายของเรา เช่น Server, IP Camera, DVR เป็นต้น

- หากเราจะเข้ามาที่ web server เบอร์ไอพีเป็น 192.168.1.21 จากฝั่งนอก เราจะต้องใช้คำสั่งตามด้านล่างนี้
ip nat inside source static tcp 192.168.1.21 80 int di0 80

- อีกทั้งเราสามารถ add Port Forwarding จาก CLI ได้เรื่อยๆ ทีละหลายๆ อุปกรณ์ได้ตัวอย่างตามด้านล่างนี้ครับ
ip nat inside source static udp 192.168.1.220 53 interface Dialer0 53
ip nat inside source static tcp 192.168.1.220 53 interface Dialer0 53
ip nat inside source static tcp 192.168.1.220 143 interface Dialer0 143
ip nat inside source static tcp 192.168.1.220 443 interface Dialer0 443
ip nat inside source static tcp 192.168.1.220 110 interface Dialer0 110
ip nat inside source static tcp 192.168.1.220 25 interface Dialer0 25
ip nat inside source static tcp 192.168.1.220 22 interface Dialer0 22
ip nat inside source static tcp 192.168.1.220 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.220 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.220 5222 interface Dialer0 5222
ip nat inside source static tcp 192.168.1.220 7777 interface Dialer0 7777
ip nat inside source static udp 192.168.1.220 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.1.220 10000 interface Dialer0 10000
ip nat inside source static udp 192.168.1.220 10001 interface Dialer0 10001
ip nat inside source static udp 192.168.1.220 10003 interface Dialer0 10003
ip nat inside source static udp 192.168.1.220 10004 interface Dialer0 10004