Feeds:
Posts
Comments

Archive for September, 2006

กำหนดการรับส่งข้อมูลบนเครือข่ายคอมพิวเตอร์ โดยใช้ SRANwall

จาก เดิม การใช้งานอินเตอร์เน็ททั่วไป ไม่ว่าเป็นการใช้งานที่บ้าน หรือในองค์กร บริษัท จะพบว่าเราไม่สามารถกำหนด การรับส่งข้อมูล ทั้งขาเข้าข้อมูลบนเครือข่าย และ ขาออกข้อมูลบนเครือข่าย หากไม่มีอุปกรณ์ ที่เรียกว่า Network Traffic management ในปัจจุบันทีมพัฒนา SRAN ได้พัฒนาอุปกรณ์ Security Gateway ที่ชื่อว่า SRANwall ได้รวมคุณสมบัติ Network Traffic Management เข้ามาใช้งานได้ เพื่อสร้างความคุ้มค่าแก่ผู้ใช้งานและผู้ดูแลระบบ เนื่องจาก รวมคุณสมบัติการป้องกันหลายๆอย่างในตัว

การติดตั้ง SRANwall เพื่อทำหน้าที่เป็น Network Traffic Management
Shapping

ทำการติดตั้งที่ Gateway ขององค์กร หากมีอุปกรณ์ ISDN/ADSL Router อยู่ ทำการติดตั้งหลังอุปกรณ์ดังกล่าว

คุณสมบัติในการตรวจและบริหารจัดการรับส่งข้อมูลในองค์กร ประกอบไปด้วย

1. ข้อมูล Download/ Upload files

2. Application ที่ใช้งานต่างๆ เช่น

2.1 การรับส่งข้อมูลบน HTTP ( การใช้งาน Web )

2.2 การรับส่งข้อมูลบน SMTP / POP3 / IMAP/ Lotus notes (ใช้งานรับส่ง Mail)

2.3 การรับส่งข้อมูล VoIP

2.4 การรับส่งข้อมูลการสนทนา (MSN , Yahoo, Google talk, ICQ เป็นต้น)

2.5 การรับส่งข้อมูลการใช้ Remote Access (VNC , PC anywhere, RDP เป็นต้น)

3. การรับส่งข้อมูลที่ไม่พึ่งประสงค์ในองค์กร

3.1 การใช้งาน P2P

3.2 การเล่น Games Online

ทั้ง หมดที่กล่าวมานี้ ระบบ SRAN Wall “Security Gateway” สามารถควบคุมและจัดการ การใช้งาน การรับส่งข้อมูลเหล่านี้ได้ทั้งหมด จึงอาจกล่าวได้ว่า ทำให้องค์กรที่ใช้งานเกิดความคล่องตัว และใช้งานตามความสำคัญของการรับส่งข้อมูลบนเครือข่ายได้อย่างถูกต้อง
ตัวอย่างการบริหารจัดการข้อมูลเครือข่ายคอมพิวเตอร์ (Case Study)
บน Menu ควบคุม จากระบบ SRAN Wall

ในองค์กร AAA ต้องการใช้เครือข่ายคอมพิวเตอร์ โดยมีความต้องการดังนี้

ควบคุมการระดับความสำคัญการ รับส่งข้อมูลที่ต่ำ

1 . ไม่ให้มีการเล่น P2P ในช่วงเวลาทำงาน

2. ไม่ให้เล่น Games Online ในช่วงเวลาทำงาน

3. กำหนดการรับส่งข้อมูลบนโปรแกรม Chat ระบุที่ MSN เนื่องจากมีคนนิยมใช้สูง

4. กำหนดการเล่น Multimedia

ควบคุมการระดับความสำคัญการ รับส่งข้อมูลที่สูง

1. ให้ความสำคัญ กับการใช้รับส่งข้อมูล ที่เป็น Mail และ Web

2. ให้ความสำคัญ การใช้ VoIP

ผู้ ดูแล เมื่อติดตั้ง SRAN wall ในตำแหน่งที่ถูกต้องแล้ว ทำการเปิด Menu ในการควบคุม ผ่าน web interface และ ผ่าน protocol SSL

shaper_1

คลิกที่ Menu ขวามือ เลือก Traffic Shaper
จะปรากฎ Web Wizard ในการควบคุมค่า การรับส่งข้อมูล
shaper_2

กำหนด ค่า เริ่มต้น เลือกค่าควบคุมตามต้องการ ในภาพ กำหนด การใช้งานผ่านเครือข่าย LAN ให้ทำการ Download ที่ 128 k/sec และ ในเครือข่าย WAN ให้ทำการ upload ข้อมูลที่ 512k/sec

เมื่อกำหนดค่าเริ่มต้นแล้ว จะเป็นการควบคุมการรับส่งข้อมูลตาม Application เริ่มจาก

เรื่องของ VoIP

shaper_3

กำหนด ค่า VoIP โดยสามารถเลือกใช้บริการตามผู้ให้บริการได้ และเลือก Bandwidth ในการรับส่งข้อมูล โดยมีค่าเริ่มต้นที่ 56k – 10M ขึ้นกับอัตราการเรื่องใช้บริการอินเตอร์เน็ทองค์กรนั้น

Application ที่ 2 การกำหนด P2P Networking
shaper_4_P2P

ในส่วน P2P สามารถเลือก Shaping ตามโปรแกรมได้ โดย ระบบ SRANwall รู้จัก P2P ประมาณ 20โปรแกรม ดังนี้
shaper_5_P2P

ตัวอย่างโปรแกรม P2P ที่ SRANwall รู้จัก

Application ที่ 3 คือการควบคุมการรับส่งข้อมูลของ Games Online
shaper_6_Games

ผู้ดูแลระบบเครือข่ายสามารถที่จะเลือกควบคุมการรับส่งข้อมูล ตามชนิดของ Games Online ได้ประมาณ 20 โปรแกรม

ส่วน Application อื่นๆ SRANwall ได้แบ่งเป็นหัวข้อ ดังนี้

– การ Remote Services / Terminal emulation
shaper_7_Application_remote

– Messengers (Chat โปรแกรมสนทนา)
shaper_8_Application_msn

– VPN
– Multimedia / Streaming
– Web
– Mail
shaper_9_Application_program

– Miscellaneous ( ได้แก่ DNS, ICMP, SMB, MYSQL , NNTP , CVSUP เป็นต้น)

เมื่อทำการปรับแต่งค่าตามที่บริษัท AAA ต้องการแล้ว ใน menu ควบคุม SRANwall จึงขึ้นพร้อมทำงาน
shaper_11_config_finish

จบขั้นตอนการกำหนดค่า SRAN Traffic Shaper Wizard
shaper_12_config_finish

รอระบบทำการ Reset ค่า และพร้อมทำงานต่อไป

เท่านี้ ก็สามารถควบคุม การรับส่งข้อมูลในองค์กรอย่างมีประสิทธิภาพ และสะดวกในการใช้งาน

ในระบบ SRANwall ยังมีฟังชั่นการใช้งานอื่นๆอีกมาก จะขอได้ กล่าวในตอนต่อไป

Advertisements

Read Full Post »

ทุกวันนี้ปัญหาระบบเครือข่ายกับเป็นปัญหาภายในองค์กร และกลายเป็นปัญหาสำคัญที่ยากแก่การควบคุม ปัญหาดังกล่าวคือการแพร่ระบาดไวรัสคอมพิวเตอร์ จากภายในเครือข่ายของตนเอง ทั้งที่เกิดจากเครื่อง client ในองค์กร และ เครื่องพกพาได้แก่ PC Notebook ที่สามารถนำไปใช้งานที่บ้าน หรือ ที่อื่นๆ และติดไวรัสคอมพิวเตอร์ หรือสิ่งผิดปกติอย่างอื่นจากนอกวง LAN องค์กร และเมื่อนำมาใช้งานใน LAN องค์กรแล้ว จึงแพร่กระจายไวรัสคอมพิวเตอร์ไปเครื่องอื่นๆในองค์กรอีกด้วย ปัญหานี้ จะแก้ไขได้ก็ต่อเมื่อมีระบบ NAC (Network Access Control) เพื่อเข้ามาควบคุมการลงทะเบียนเครื่องคอมพิวเตอร์ ทั้งเครื่องที่เป็น PC แบบตั้งโต๊ะ และ PC ที่เป็นเครื่องแม่ข่าย รวมถึง Notebook , PDA เป็นต้น วิธีการป้องกันเครื่องพกพาที่นำมาใช้งานในองค์กร เรียกว่า “Endpoint security”

แนวคิด Endpoint Security คือ ปลอดภัยตั้งแต่แรกเข้าสู่ระบบเครือข่าย (LAN) โดยมุ่งป้องกันภัยคุกคามที่อาจจะเกิดขึ้นได้จากเครื่อง

ทางทีมพัฒนา SRAN จึงเห็นภัยคุกคามนี้ เป็นเรื่องสำคัญ เพราะ หากแต่เรามาสร้างระบบเครือข่ายให้ปลอดภัยจากภัยคุกคามภายนอกแล้ว ยังไม่เพียงพอ แต่เรายังต้องเอาใจใส่ในเครือข่ายภายในองค์กรของเราอีกด้วย จึงเป็นเรื่องที่ซับซ้อน และ ป้องกันภัยคุกคามในครั้งนี้ยากนัก รวมถึงต้องลงทุนจัดหาเทคโนโลยี เพื่อมาป้องกันภัยคุกคามชนิดนี้อีกด้วย จึงมีแนวทางการแก้ไขปัญหา โดยใช้ระบบที่ชื่อว่า SRANwall ซึ่งเป็น Security Gateway

การสร้าง NAC โดยใช้คู่กับ SRAN Wall ต้องมีอุปกรณ์เสริมดังนี้

  1. SRAN Wall 1 เครื่อง
  2. ระบบ แม่ข่ายตรวจไวรัสคอมพิวเตอร์ (Anti virus Server)
  3. ระบบประเมินความเสี่ยงบนเครือข่ายคอมพิวเตอร์ VA (Vulnerability Assessment)

คุณสมบัติทำ NAC ใน SRAN Wall คือ

  1. การที่สามารถระบุเครื่องที่ทำการต่อเชื่อมระบบ LAN ในองค์กรได้ โดยที่ให้เครื่องมาลงทะเบียนที่ตัว SRANwall
  2. สามารถสร้าง Virtual LAN เพื่อทำการกักเครื่องที่ไม่ได้รับอนุญาตให้เข้าสู่ระบบเครือข่ายได้
  3. ใน Virtual LAN ที่ทำการ กักเครื่อง สามารถ ส่งข้อมูลไปบอกเครื่องแม่ข่ายตรวจไวรัสคอมพิวเตอร์ หรือ ตรวจหาช่องโหว่ในเครื่องได้

ติดตั้งระบบ SRAN Wall ไว้เป็น Gateway ของระบบ และกำหนดค่าดังนี้

ไปที่ Menu NAC และคลิก Captive Portal


ทางผู้ดูแลระบบสามารถเลือกให้ใช้ การ authentication บน User RADIUS Server หรือจะสามารถเลือก add user เครื่องพร้อมค่า MAC address ได้เอง

คลิก pass-through MAC


เพื่อ add ค่า MAC address เครื่อง PC ที่อยู่ในวง LAN

หรือทำการ add user ใน menu users



คลิกที่ menu Allowed IP addresses


คลิกที่เพิ่ม ที่เครื่องหมาย + ใน Web ควบคุม


หรือจะระบุให้เครื่องที่ non- authentication ให้ทำการ scan ไวรัสคอมพิวเตอร์ก่อนถึงจะเข้าสู่ระบบเครือข่ายขององค์กรได้ ก็ตั้งเป็น Direction to …



เมื่อทำการ scan virus ผ่านแล้ว เครื่องปลอดจากไวรัส จึงสามารถเข้าใช้งานในองค์กรได้

หรือจะตั้งค่า Direction to เครื่องที่เป็น VA (Vulnerability Assessment) เพื่อตรวจสอบดูว่ายังขาด patch software และ OS เพื่อให้ update patch เสียก่อนก่อนที่จะเข้าสู่ระบบ LAN ในองค์กร ก็จะทำให้เครื่อง Notebook หรือ PDA ระบบพกพาต่างๆ ปลอดภัยมากขึ้นเมื่อนำใช้กับ LAN ในองค์กร

นอกจากจะสามารถควบคุมการ Access เครื่องในองค์กรได้แล้ว ยังสามารถควบคุมการใช้งาน Wireless LAN หรือพวก Hotspot ได้อีกด้วย โดยใช้หลักการเดียวกันนั้นคือ

หากเครื่องที่ไม่ได้รับ อนุญาติ ก็จะทำการ Redirect ไปที่ URL ให้ลงทะเบียนได้



โดยเราสามารถระบุ content สำหรับ URL ที่ต้องการ Redirection ได้ ตามต้องการ



ทั้งหมดนี้ จะควบคุมเครื่องแปลกปลอม ที่เข้าสู่ระบบเครือข่าย LAN ในองค์กร ได้ หากเราควบคุมเครื่องแปลกปลอมได้ การแพร่ระบาดไวรัสคอมพิวเตอร์ ที่ติดจากที่อื่น และนำแพร่เชื้อในองค์กรจะน้อยลง เครือข่ายคอมพิวเตอร์ก็จะปลอดภัยมากขึ้น


Read Full Post »