สร้าง policy Endian Firewall สำหรับ ERP บน Cloud (Project)

บริษัทมีสองสาขา ที่สำนักงานใหญ่มี File Server , Mail , Express และโปรแกรมในการผลิต ใช้ Endian Firewall ในการเก็บ Log และกำหนด Policy การเข้าอินเทอร์เน็ต โดยคอมพิวเตอร์ที่สาขาใช้ VPN เข้ามาใช้โปรแกรมดังกล่าวเป็นบางเครื่อง

บริษัทเริ่มใช้โปรแกรม ERP ผ่านอินเทอร์เน็ต โดยกำหนด policy ดังนี้

1. สร้าง VPN Site to Site โดยใช้ Endian Firewall สองสาขา
2. เพิ่ม อินเทอร์เน็ตแบบ dynamic และ setup EFW ให้เป็น multilink
3. สร้าง policy ให้ผู้ใช้งานในการใช้ File Server , Mail , Express , Internet และ ERP ดังนี้

Policy

1. คอมพิวเตอร์ที่สาขาใช้ File Server , Mail , Express ผ่านอินเทอร์เน็ตเส้น VPN เท่านั้น ในกรณีนี้กำหนดให้ VPN วิ่งที่ Uplink ทั้งสองฝั่ง

2. การใช้อินเทอร์เน็ตให้ออกเส้น Main ทั้งสองสาขา มี policy สำหรับเข้าเว็บ ดังนี้

2.1 ผู้บริหารให้ใช้อินเทอร์เน็ตได้ทุกเว็บ
2.2 User ให้ใช้ได้เฉพาะ WEB ERP เท่านั้น

วิธีทำ
.................................... ด้านล่าง

จบ Project แล้วจะมาเขียนเพิ่มภายหลัง....

Read more »

Endian Firewall Community กับความไม่ stable ที่ควรหลีกเลี่ยง

1. Endian Community 2.3 มีปัญหาเรื่อง QoS ถ้าฟอร์แมตเครื่องลงใหม่ก็ใช้งานได้ ถึงยังไงก็ใช้ได้บ้างไม่ได้บ้างอยู่ดี อยากรู้เรื่องนี้ให้ลึกซึ้งลองถามอาจารย์ Google ด้วยคำสั่ง "restartqos.py  ERROR - Migration has to be fixed" มี Guru เจ้าไหนบ้างบอกวิธีแก้ปัญหา

2. ลูกค้าใช้ Openvpn ลิงค์เข้ามาที่ office แล้วเข้าเซิร์ฟเวอร์ใด ๆ ภายในแลนไม่ได้ ping ก็ไม่พบ หรือ ping พบแต่เข้าใช้ service ไม่ได้
- ข้อนี้ไม่ใช่ปัญหา แต่สันนิษฐานว่าเครื่องที่ VPN เข้ามานั้นอยู่ใน network ที่ซ้ำกันกับวงแลน เช่น
ใช้ notebook อยู่ office ที่ไซต์งานผ่าน ADSL ที่แจกไอพีให้เป็น 192.168.1.x ตามค่า default ของเราท์เตอร์ที่โน่น แล้วเซิร์ฟเวอร์ก็ใช้ไอพีเป็น 192.168.1.x เหมือนกันเสียด้วย เรียกว่าตั้งตามค่า default ทั้งสองฝั่งกันเลย
แบบนี้มีปัญหาเรื่อง gateway ต้องเพิ่มคำสั่ง push "redirect-gaeway" ลงไปในไฟล์ openvpn.conf.tmpl ของ EFW

3. ถ้าไม่ต้องการให้ ping มาที่ EFW จะใช้ iptables ปิดกั้นอย่างไร ?

เอาง่าย ๆ แบบนี้ดีไหม เพิ่ม 1 เข้าไปใน ipv4 แบบนี้ ชัวร์กว่าเยอะ


#cd /proc/sys/net/ipv4
#echo 1 > icmp_echo_ignore_all ( to block icmp request to all)
#echo 0 > icmp_echo_ignore_all (to allow icmp request to all)

อยากบอกว่า ของฟรี ดีๆไม่มีในโลก ต้องวัดใจกันหน่อยครับ....
อยากบอกว่า "ของฟรี ย่อมมีเสีย ต้องวัดใจกันครับ"

Read more »

แล้ว Mozilla Firefox หล่ะ จะปิดกั้นตัวจำพาสเวิร์ดอย่างไร

ต่อมาจากบทความที่แล้วเราปิดตัว checkbox 'Remember My Password' ของ IE ไปแล้ว ถ้าคอมพิวเตอร์ใช้ firefox เป็น browser อีกตัวหล่ะจะปิดกั้นกันอย่างไร ? สำหรับ endian firewall แล้วจะกำหนดให้ใช้ browser เฉพาะตัวที่กำหนดเช่น IE หรือ Firefox อย่างใดอย่างหนึ่งก็ได้ ถ้าเช่นนั้นก็จะไม่มีปัญหาที่จะต้องมา set ค่าป้องกันอีกชั้นหนึ่งในตัว browser แต่ในกรณีที่ต้องใช้ firefox อีกตัว ก็ต้องมากำหนดค่าเกี่ยวกับตัวพาสเวิร์ดอีกชั้นหนึ่งด้วย ก่อนอื่นเรามาทำความเข้าใจเบื้องต้นกันเกี่ยวกับพาสเวิร์ดใน browser และการ authenticated ที่กฏหมายคอมพิวเตอร์ต้องการกันอีกครั้งหนึ่ง ดังนี้


1. authenticated คือสิ่งกฏหมายต้องการทราบว่าใครเข้าเว็บอะไรเวลาไหนเมื่อไหร อย่างไร เป็นการเก็บข้อมูลการเข้าใช้ internet ตั้งแต่เริ่มเปิดเข้าใช้อินเทอร์เน็ตจนเลิกใช้และปิด browser ไป เช่นนี้จึงต้องมีป้อนชื่อกันก่อนเพื่อจะได้ทราบว่าใคร ตัว Endian จะเข้ามาดูแลในส่วนนี้
2. การจำพาสเวิร์ดสำหรับเว็บใด ๆ ที่เมื่อเราพิมพ์ฟอร์มก็ดี พิมพ์พาสเวิร์ดก็ดี แล้ว browser ถามว่าจะทำพาสเวิร์ดสำหรับเว็บนั้นๆไว้หรือไม่เรียกว่าเป็นการจำแบบคุ๊กกี้เพื่อเหตุผลเฉพาะด้านของตัวเว็บนั้นๆเอง หรือเป็นสิ่งอำนวยความสะดวกจากตัว browser เช่นนี้ไม่เป็น authenticated ตามที่กฏหมายต้องการ แต่มีผลต่อความปลอดภัยของข้อมูลของผู้ใช้งานที่ไปกรอกไว้ ในกรณีที่คอมพิวเตอร์นั้นใช้ร่วมกันหลายคนเช่นในชั้นเรียนเป็นต้น ฉะนั้นสิ่งที่จะอธิบายต่อไปจึงเป็นการกำหนดค่าของคุ๊กกี้เกี่ยวกับพาสเวิร์ดใน firefox เป็นหลัก ซึ่งจะมีผลทางอ้อมต่อการ authenticated ตามพรบ.คอมพิวเตอร์

3. การกำหนดค่า DisablePasswordCaching ใน register ครั้งก่อนมีผลกับ firefox ด้วยคือไม่โชว์ตัวคลิกให้จำ password

4. Firefox จะจำพาสเวิร์ดที่กรอกตามเว็บต่าง ๆ เป็นค่า default อยู่แล้ว ในกรณีนี้ให้ยกเลิกตัวเลือกนี้โดยการคลิก -> เครื่องมือ
-> ตัวเลือก -> ความปลอดภัย -> ยกเลิก 'จำรหัสผ่านของเว็บไซต์' ออก

5. ถ้า firefox เคยจำค่ามาก่อนให้ลบออกให้หมดก่อน โดยเลือก รหัสผ่านที่บันทึกไว้ -> เอาออกทั้งหมด

6. กำหนดค่าให้ firefox ลบประวัติการเข้าใช้งาน รวมถึงการจำรหัสผ่านต่าง ๆ ด้วยเมื่อปิด firefox ที่
-> ความเป็นส่วนตัว -> Firefox as -> ใช้ค่าตั้งเองกับประวัติการเข้าเว็บ -> เลือก ลบประวัติเมื่อปิด firefox
-> คลิกที่การตั้งค่า -> คลิกเลือกตัวเลือกที่จะให้ firefox ลบ

ก็หวังว่าลูกค้าของไอทีทริปเปิลพลัสทั้งหลายพอจะประยุกต์ใช้ระบบ authenticated และการ set ค่าของ browser ได้บ้างนะครับ
ถ้า office หรือห้องเรียนมีคอมพิวเตอร์มากกว่า 50 เครื่องท่านก็ต้องไป config แบบเดียวกันนี้ทั้ง 50 เครื่องไหวไหมครับ..... ถ้าเช่นนั้นคงต้องหาเครื่องไม้เครื่องมืออื่นเข้ามาช่วยเพื่อให้งาน config เร็วขึ้น ถ้าใช้ระบบ AD (Active Directory Service ) ของ Windows 2003 ก็สบายแล้วงานนี้ (แต่ค่า set แพงเอาเรื่องครับ หากใช้บริการของไอทีทริปเปิลพลัสในส่วน implement ด้วย Windows ก็ประมาณ 25000 บาท เป็นไงครับ) งั้นเรามาใช้ไอเดียกันดีกว่า สำหรับ IE บน WindowsXP แนะนำให้ export ค่า register ออกมาเป็นไฟล์ และนำไปติดตั้งกับคอมพิวเตอร์เครื่องอื่น ๆ สำหรับ Firefox คงต้องนำเรื่อง profile หรือ Sync เข้ามาช่วย คอยติดตามในบทความถัดไปนะครับ......

Read more »

ยกเลิก checkbox 'Remember My Password' ออก

ในกรณีที่ผู้ใช้งานเป็นนักเรียน หรือกลุ่ม office ที่การ authenticated ไม่ได้ควบคุมจาก AD ของ Windows2003 หรือไม่ได้ควบคุมด้วย  profile เป็นการใช้คอมพิวเตอร์แบบ login ด้วย normal user
หรือ admin user และ ใช้ internet explorer ร่วมกัน ปัญหาก็คือ "เมื่อใช้ Internet Explorer เข้าอินเทอร์เน็ตจะมี popup ให้ใส่ username และใน popup นี้เองมีปุ่ม check Remember My Password ถ้าใครคนใดคนหนึ่งไปเช็คถูกไว้ การเข้าใช้งานของคนถัดไปอาจจะไม่มี popup ขึ้นมาถาม และเข้าอินเทอร์เน็ตไปเลย ทำให้ดูเสมือนว่าระบบ Authenticated ไม่ทำงาน ซึ่งเหตุการณ์เช่นนี้จะเกิดกับการใช้งานในโรงเรียน หรือใน office ที่ไม่ได้ลงทุนทางด้านระบบมากนั้นเพียงแต่ใช้ endian firewall หรือ proxy เป็นตัวจัดการการเข้าใช้เน็ตเท่านั้น

ทางแก้ปัญหาคือยกเลิกข้อความนั้นออกไปเสีย โดยการแก้ไขค่า register ดังนี้
-- Start -> Run -> พิมพ์ regedit
-- HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Internet Settings
-- ที่เมนู Edit เลือก New เป็น DWORD พิมพ์ค่า DisablePasswordCaching
กำหนดค่าเป็น 1

หลังจากนั้นเข้า Internet Explorer ใหม่ตัว check Rembmere My Password ควรจะหายไปแล้ว

Read more »

เพิ่มข้อยกเว้นให้กับบางเครื่อง เพื่อการ update ผ่าน endian firewall

คุณผู้อ่านท่านที่เีคารพ สำหรับระบบเน็ตเวิร์กที่มีวินโดวส์ 2008 ให้บริการอยู่ภายในบริษัท และออกสู่อินเทอร์เน็ตผ่าน endian firewall โดยผ่านท่อของ proxy ที่ต้องตรวจสอบสิทธิ์ (authenticated) อาจจะมีปัญหาเกี่ยวกับการ update ตัว windows เอง และการ update โปรแกรม antivirus ที่ไม่มี config ใดๆให้ใส่ค่าของ proxy (หรือถึงแม้มีให้ใส่ท่านก็ไม่สะดวกที่จะใส่ทุกๆครั้ง) และข้อมูลที่ update นั้นอาจจะไม่ update จริงก็ได้เพราะเป็นการเรียกผ่านระบบ cache เพราะฉะนั้นเราจะมาหาทางออกสำหรับประเด็นนี้กับตัว endian firewall กัน

ตัว endian firewall อนุญาติให้เ้ข้าหรือออกผ่านตัว endian นั้นให้ผ่านหรือไม่ให้ผ่านที่กำหนดโดย firewall ถึงแม้ตัว proxy เองก็ถูกกำหนดโดย firewall ที่กำหนดว่าคอมพิวเตอร์ใด ๆ ก็ตามที่เข้าสู่อินเทอร์เน็ตโดยผ่านพอร์ตหมายเลข 80 ให้ bypass ไปที่หมายเลข 8080 หรือ 3128 แทน เป็นต้น หากเรารู้ว่าตัว update ต่าง ๆ ใช้พอร์ตไหนในการ update ก็สามารถกำหนดในหัวข้อของ firewall ได้ แต่เป็นเรื่องจริงที่น่าเศร้าว่าโปรแกรมต่าง ๆ ใช้พอร์ตมาตรฐานหมายเลข 80 นั่นเอง

การกำหนดข้ออนุญาตให้ endian firewall ในกรณีนี้ควรกำหนดเป็นข้อยกเว้นให้เฉพาะ server 2008 เท่านั้นเข้าสู่อินเทอร์เน็ตได้ โดยไม่ต้องผ่านตัว proxy คือไม่ต้องกำหนดไป authenticated โดยจะทำผ่านเมนู firewall ดังนี้

1. menu Firewall -> เลือก Outgoin traffic
2. Outgoing firewall rule กำหนด source เป็น Network/IP ใส่หมายเลขไอพีของ windows 2008 เช่น 192.168.0.22
3. Destination กำหนดเป็น RED
4. Service port กำหนดเป็น HTTP : protocol เป็น TCP :Policy กำหนดเป็น ALLOW : Position เป็น First

เท่านี้ windows 2008 ของท่านรวมทั้งโปรแกรม antivirus ก็จะ update ได้ตรง ๆ โดยไม่ผ่าน proxy แล้ว....

Read more »

Endian Firewall and Gmail

ลูกค้าบริษัทแห่งหนึ่่งได้อีเมล์มาถามผู้เขียนว่า ใช้ Outlook Express ส่งเมล์ขาออกไม่ได้ ปัญหานี้เกิดหลังจากที่ได้ติดตั้ง endian firewall แล้ว ซึ่งผู้เขียนแสดงวิธีการตั้งค่าใช้งาน และการแก้ปัญหาในเว็บนี้ เพื่อเป็นกรณีศึกษาต่อไป

--- gmail มีบริการอีเมล์ประเภท pop และ imap ให้ใช้ฟรี เพื่อลูกค้าจะสามารถใช้โปรแกรม mail client ต่าง ๆ เช่น Outlook Express รับและส่งเมล์ของ gmail ได้ ซึ่งนอกจากกจะเพิ่มความรวดเร็วในการรับส่งเมล์แล้ว ผู้ใช้ยังเก็บเมล์ไว้อ้างอิงในคอมพิวเตอร์โดยไม่ต้องเข้าอินเทอร์เน็ตได้ด้วย และยังใช้ความสามารถของโปรแกรมเมล์เหล่านี้ในการบริหารจัดการงานต่าง ๆ ของอีเมล์ได้อีกด้วย โดยส่วนใหญ่เราจะรู้จักการใช้ gmail โดยผ่านเว็บ gmail.com ซึ่งเป็นการใช้ผ่าน www กันเป็นส่วนใหญ่ แต่ก่อนที่เราจะใช้ pop ของ gmail ได้นั้น ต้องเปิดใช้บริการกันเสียก่อน ในชื่ออีเมล์ของเรานั่นแหละ เมื่อลอกอินเข้าได้แล้วให้เลือก Setting ที่มุมบนขวามือของจอใกล้ ๆ กับชื่ออีเมล์ของเรา เพื่อเปลี่ยนเว็บเพจเป็นหน้า setting



ที่หน้าจอเหลืองนี่แหละเลือกคลิกที่ Forwading and POP/IMAP โดยเลือกเปิด pop ได้สองแบบคือ

Enable POP for all mail
Enable POP only for mail that arrives from now

และอย่าลืมคลิกปุ่ม Save Change ด้านล่างด้วย เท่านี้ก็พร้อมจะรับ gmail มานั่งอ่านที่คอมพิวเตอร์ของเราแล้ว

การกำหนดค่าเมล์แบบ pop ( Post Office Protocol ) มีค่าที่จะต้องรู้จักและเซ็ตให้ถูกต้องคือ

1. incoming server และ (port number)
--- Gmail ใช้เป็น pop.gmail.com : (port 995)
2. outgoing server และ (port number)
---- Gmail ใช้เป็น smtp.gmail.com (port 25) หรือบางครั้งใช้ port 465
3. ---email address: username@gmail.com
----- password: พาสเวิร์ดที่เราใช้ gmail ประจำผ่านทางเว็บไซต์นั่นแหละ

ตัวอย่างการ config Microsoft Outlook



config Incoming/Outgoing Server



Incoming server (POP3): 995
เลือกตัวนี้ด้วย This server requires an encrypted connection (SSL)

Outging server (SMTP): 25
เลือกตัวนี้ด้วย This server requires an encrypted connection (SSL)

เท่านี้ก็เสร็จขั้นตอนการคอนฟิกโปรแกรมรับเมล์แล้ว และพร้อมที่จะใช้งานได้แล้ว โดยที่เมล์ขาเข้าจะเข้ามาทางพอร์ตหมายเลข 995 และเมล์ฝั่งส่งออกจะผ่านพอร์ตหมายเลข 25 ของ endian firewall

ปัญหาของลูกค้าข้างต้น เกิดเมื่อใช้โปรแกรม outlook express ส่งเมล์ขาออก โดยใช้ชื่อ login ของ gmail ---
หากจะให้เป็นความผิดของ endian firewall ก็ควรจะเป็นการปิดพอร์ตฝั่ง Outgoing traffic ซึ่งจะเป็นเช่นนั้นหรือไม่ เรามาพิจารณาค่า Outgoing traffic ที่หัวข้อ Firewall ทั้งพอร์ต 25 และ 995 ควรจะปรากฏอยู่เป็น Allow



ซึ่งยังไม่ทันได้แก้ปัญหาอะไร ลูกค้าของเราก็แจ้งกลับมาว่าส่งเมล์ออกได้แล้ว โดยเปลี่ยนพอร์ตของ Outgoing เป็น 25 แทน 465 ซึ่งผู้เขียนได้ทดลองทั้งสองพอร์ต ปรากฏกว่าพอร์ต 25 ได้ และบางครั้งพอร์ต 465 ได้ เอาแน่ทั้งสองพอร์ตไม่ได้ แต่ว่าพอร์ต 25 ดูเหมือนจะใช้ได้ทุกๆครั้งที่เซต

Read more »

Scheduler Shutdon Endian firewall at 17.40 AM

ลูกค้าผู้มีอุปการะคุณได้กรุณาคอมเมนต์ Endian Firewall อยากให้ปิดเองช่วงเวลา ห้าโมงสี่สิบนาที ซึ่งเป็นเวลาที่ office ปิดแล้ว จะได้ช่วยชาติประหยัดไฟ ประหยัดแอร์ ที่สำคัญประหยัดงบซ่อมบำรุงตัว endian ที่จะไปก่อนเวลาอันสมควรด้วยความร้อนแรงของอุณหภูมิในบ้านเราด้วย

Read more »

IP Camera and Endian Firewall

พี่ชายท่านหนึ่งใช้คอมพิวเตอร์ที่บ้านสามารถเห็นคลังสินค้าผ่านอินเทอร์เน็ตโดยใช้กล้องวงจรปิดได้ แต่พอมาเปิดที่ออฟฟิต กลับเข้าไม่ได้ ซึ่งคอมพิวเตอร์ที่ใช้ก็เป็นเครื่องเดียวกัน โปรแกรมเดียวกัน จึงมีคำถามว่า "เกิดจาก endian firewall" ที่ติดตั้งอยู่หรือไม่ คราวนี้ endian firewall เป็นผู้น่าสงสัยที่สุด และก็ควรจะเป็นเช่นนั้น เนื่องจากการเข้าสู่ระบบของกล้องจะต้องระบุพอร์ตด้วย (มีธงคำตอบอยู่ในใจแล้ว) เหลือแต่ปฏิบัติตามธงนั้น...

คำศัพท์ที่เราไปถามท่านอาจารย์ google คือคำยาว ๆ ด้านล่างนี้ คำตอบที่ได้ไม่เข้าประเด็นที่จะแก้ได้...

HtmlAnvView:D7B039C1-5929-49B3-913E-EB62C8866FC4

นี่คือหน้าตาของเว็บ CCTV ปลายทางเมื่อดูผ่านเน็ต ซึ่งจะต้องทำการคอนเน็กเข้าไปด้วย username และ password ให้ได้เสียก่อน



หลังจากที่คุยกับบริษัทผู้ติดตั้งอยู่นานได้คำตอบเดียวคือ "ติดอยู่ที่ firewall ของพี่นั่นแหละ" เกือบยี่สิบครั้ง แต่ไม่ได้บอกว่าให้เปิดพอร์ตไหนได้บ้าง??

ไม่เป็นไร hacking ดูพอร์ตเองก็ได้ ด้วยวิธีการง่าย ๆ สมมติว่าคอมพิวเตอร์เครื่องที่ต้องใช้ CCTV นี้หมายเลขไอพีคือ
192.168.0.2 ก็เข้าไปที่ console ของ endian firewall ด้วย putty และใช้คำสั่งดังนี้

tail -f /var/log/firewall | grep 192.168.0.2

ลองสังเกตุไปเรื่อย ๆ พบว่ามัน DROP DST:6802 หลายบรรทัด เข้าเค้าแฮะ ไปที่ gui ของ endian firewall แล้วทำการเลือกหัวข้อ Firewall ให้เปิด Allow Port : 6802



จากนั้นลองเข้าดูอีกครั้งหนึ่ง .... นั่นประไรหล่ะ connected ได้แล้ว




สิ่งที่เป็นสาระสำหรับบทบความนี้คือ "การอนุญาติให้คอมพิวเตอร์ใด ๆ ด้านหลังของ endian firewall ผ่านเข้าไปยังอุปกรณ์ปลายทางที่เปิดพอร์ตเฉพาะไว้ จะต้องเปิดพอร์ตหมายเลขเดียวกันนั้นที่ outgoing ของ endian firewall ด้วย"

Read more »

Change New Hardware Endian Firewall เมื่อถึงคราวย้ายบ้านของ endian

เมื่อถึงคราวต้องเปลี่ยนเครื่องคอมพิวเตอร์ใหม่ให้กับ endian firewall ขององค์กรที่ใช้งานมานาน หรือต้อง setup ใหม่ก็ตาม การจะกำหนดค่าต่าง ๆของ endian firewall ให้เหมือนกับต้นฉบับนั้นคงทำได้ยากทั้งเรื่องการ config การกำหนดusername / password และ อีกทั้งจะให้เก็บ log อย่างต่อเนื่อง เป็นต้น endian เองได้ออกแบบระบบ backup ที่ใช้งานง่ายและสะดวกต่อการย้ายระบบใหม่ ดังตัวอย่างที่ผู้เขียนได้ setup endian ขึ้นมาใหม่และใช้ backup จาก endian เดิมมาใช้ ผลสรุปอะไรจะมาบ้าง อะไรบ้างที่จะไม่มาช่วงท้าย ๆ จะเล่าให้ฟัง ตอนนี้เรามาเริ่ม backup endian ตัวเดิมตามขั้นตอน ดังนี้

1. login เข้าสู่ http://endian_ip/ จากคอมพิวเตอร์ที่เราจะ save ไฟล์ backup มาเก็บไว้
2. ที่เมนู System -> เลือก Backup



จะทำเราไปสู่หน้าจอถัดไปให้เลือก create backup
ในหัวข้อ Create new Backup ให้เลือก
Current configuration:
-- > จะเก็บ /var/efw ทั้งหมด ซึ่งไดเรกทอรีนี้เป็น configuration ทั้งหมดที่เรา set ใน endian
Include database dumps
Include log files
---> จะเก็บ /var/log
Include log archives
---> log ที่เป็น .tar จะถูก backup ด้วย ซึ่งไฟล์เหล่านี้จะถูกเรียกใช้เพื่อดู log ย้อนหลังใน GUI LOG

ให้คลิกปุ่ม Create Backup จะใช้เวลานานหรือสั้นนั้นขึ้นอยู่กับ log ที่เราเก็บว่ามีขนาดเยอะหรือไม่ ของผู้เขียนใช้มานานขนาดของไฟล์ backup ก็หลายร้อยเมกะไบต์




หลังจาก backup เสร็จแล้วให้คลิกปุ่ม save เพื่อจะ download มาเก็บไว้ที่เครื่องของเราต่อไป



3. ติดตั้ง endian firewall บนคอมพิวเตอร์เครื่องใหม่ กำหนดหมายเลขไอพีให้กับ Green เพื่อเราจะได้เข้า endian ได้
เมื่อติดตั้งเสร็จแล้วและสามารถเข้า endian ได้แล้ว จะพบกับหน้าจอ Welcome to endian -> เลือกภาษา -> ยอมรับเงื่อไข -> จากนั้น endian จะถามว่า Do you want to restore a backup? ให้เลือก Yes และเลือกไฟล์ backup ที่เรา download มาไว้เก็บไว้ในคอมพิวเตอร์โดยเลือกจาก Browse




จากนั้น endian จะทำการคอนฟิกระบบเอง เมื่อเสร็จแล้วจะ reboot เองอัตโนมัติ เมื่อได้บูตใหม่แล้วจะเป็นค่าจากการ backup อัตโนมัติ ทั้งค่า Green และ Red รวมทั้งการคอนฟิก serverice อืน ๆ ด้วย

สำหรับปัญหาที่จะใช้ไม่ได้จากการ restore คือ Group Policy ใน Proxy จะเกิดหน้าจอว่าง ๆ ใช้ไม่ได้ วิธีแก้ปัญหาให้ศึกษาจากหัวข้อ "ปัญหา Authenticated ของ Proxy ไม่โชว์ " ในเว็บเดียวกันนี้

ซึ่งใช้ย่นระยะเวลาการติดตั้ง endian firewall ใหม่ไปได้มากทีเดียว หากไม่มีระบบ backup แบบนี้คงต้องไปถาม ชื่อ user และ password ใหม่ หากมีหลายร้อนคนคงไม่สนุกแน่ และดูไม่เป็น admin มืออาชีพเอาซะด้วย ....

Read more »

Set Endian Firewall กับ ADSL Modem HUAWEI

Set Endian Firewall กับ ADSL Modem HUAWEI

ปัจจุบันบริษัทต่าง ๆ ใช้อินเทอร์เน็ตของทรูแบบ home user กันมากเนื่องจากราคาต่อความเร็ว ถูกกว่าแบบ sme ซึ่งเมื่อสมัครในแพกเกจแบบ home user แล้วจะได้รับ ADSL Modem มาด้วย 1 ตัวสมัยก่อนจะเป็น ADSL ของ ZyXEL ส่วนปัจจุบันจะเป็น HUAWEI ซึ่งการเซ็ตในวินโดวส์ให้ใส่ username และ password แบบ PPPoE สำหรับตัว Endian Firewall การเซ็ตค่าแบบ PPoE ทำได้ง่าย ๆ ไม่ยุ่งยาก เช่นเดียวกับการเซ็ตในแบบ bridge ของ ZyXEL โดยมีขั้นตอนดังนี้

1. การเชื่อมต่อสาย
-- ต่อสายโทรศัพท์เข้าช่อง ADSL ให้เรียบร้อย
--- ต่อสาย Lan จาก HUAWEI เข้ากับแลนการ์ดที่เป็น RED
---- ฝั่ง Green ใช้ hub ในการเชื่อมต่อ และคอมพิวเตอร์มองเห็น IP ของ Green แล้ว (ค่าดีฟอล์เป็น 192.168.0.15)

2. login เข้า endian firewall
-- หากเป็นการติดตั้ง endian firewall ครั้งแรก จะเข้าสู่หน้าจอ Welcome to Endian Firewall ต่อด้วยหน้าจอเลือกภาษา + TimeZone และ ACCEPT License จากนั้นจะเป็นการเข้าสู่การเซ็ตอัพ network โดยขั้นแรกจะเลือก lan ของฝั่ง Green ก่อน
-- หากเป็นการแก้ไข Endian ที่ติดตั้งอยู่แล้วหน้าแรกเลือก Network Configuration จากเมนู System
---- Step 1/7: Choose type of RED interface -> เลือกเป็น PPPoE



----- Step 4/7: Internet access preferences
------- Substep 1/1: supply connection information
-------- Username : < ใส่ username@truehisp >
-------- Password : < ใส่พาสเวิร์ดที่ได้จาก true >
-------- DNS : เลือกเป็น Auto



และ next ต่อไปได้จนจนการ setup
พิจารณาดู System Status จะเป็น PPPoE



การเซ็ตแบบ PPPoE นี้มีประโยชน์มากที่ตัว Endian Firewall จะทำหน้าที่เป็น Gateway ของระบบโดยตรง การเซ็ตค่า VPN และ Firewall ต่าง ๆจะทำได้ง่ายขึ้น กว่าการเซ็ตให้ Endian Firewall เป็น firewall ที่อยู่หลัง Gateway อีกต่อหนึ่ง....

Read more »

Implement Endian Firewall Commnunity with User Management

การจัดกลุ่มมีสองประเภทคือ Defaultsetting and Restriced
อะไรคือ default อะไรคือ Restriced

Read more »

Control การใช้ Internet แบบไม่หมูของ Endian Firewall Community

บริษัทแห่งหนึ่งได้กำหนด policy การใช้อินเทอร์สำหรับบริษัทไว้ข้อหนึ่งคือ "อนุญาตให้ใช้อินเทอร์เน็ตได้เพียงสิบเครื่อง และภายในสิบเครื่องนั้นใช้อินเทอร์เน็ตได้เฉพาะ gmail และ yahoo เท่านั้น" งานนี้คงไม่ใช่เรื่องง่ายๆสำหรับ endian communuty แต่ด้วยความสามารถของ filter ในระบบ group ของ dansguardian เรามาลอง implement ตาม policy นี้ดู

สำหรับองค์กรนี้บริษัทไอทีทริปเปิลพลัสได้ตั้ง endian commnuity มาเกือบปีแล้วและเซ็ตตาม concept ดังนี้

1. ใช้ e-mail แบบ pop3 ได้ทุกเครื่องโดยผ่านโปรแกรม Outlook
2. กำหนดให้ใช้ www ได้ 10 เครื่องจากคอมพิวเตอร์ทั้งหมด 40 เครื่อง
3. มีการ block เว็บต่าง ๆ ตามสมควร

ความต้องการเพิ่มเติมคือ "จำนวน 10 เครื่องที่ใช้ www ได้นั้นอนุญาติให้ใช้เฉพาะ gmail และ yahoo เท่านั้น"

ก็ต้องบันทึกไว้เป็นการบ้านให้ Admin Endian ทั้งหลายไปช่วยคิดหล่ะครับ...

คนที่คิดไว้แล้ว :
1. กำหนดด้วย acl url_regex + http_access allow ใน squid

การกำหนดด้วย acl เช่นนี้จะส่งผลต่อผู้ใช้งานทุกคน คนที่อนุญาตให้ใช้ได้ทุกเว็บก็จะโดนบล๊อกไปด้วย squid เปรียบเหมือนด่านเข้าออก เมื่ออนุญาติให้ออกได้เพียงสองทางคนอื่นๆแม้จะเป็นผู้มีอำนาจขนาดไหนก็ต้องออกที่สองทางนี้เท่านั้น???

ข้อมูลเพิ่มเติม

Setting Up 'Multiple Filter Groups'

Read more »

การบริหารชื่อผู้ใช้งาน (ต่อ)

การบริหารชื่อผู้งาน 1

2. การเซ็ตค่า proxy ที่เบราเซอร์

ตัวอย่าง Endian firewall IP: 192.168.0.15 Port: 8080


2.1 IE ( Internet Explore )
Tools -> Internet Options -> Connections -> LAN Settings -> Proxy server

ระบุหมายเลขไอพี และพอร์ต ตามตัวอย่าง



2.2 Mozilla Firefox ภาษาไทย
เครื่องมือ -> ตัวเลือก -> ขั้นสูง -> เครือข่าย -> การเชื่อมต่อ -> ตั้งค่า -> ค่าพร๊อกซี่ตั้งเอง



3. สุดท้ายสร้าง Shortcut สำหรับเปลี่ยนพาสเวิร์ด เพื่อให้ผู้ใช้งานเปลี่ยนพาสเวิร์ดเข้าอินเทอร์เน็ตได้ด้วยตนเอง

3.1 คลิกขวาที่พื้นที่ว่าง Desktop ของวินโดวส์เลือก Create -> Shortcut



3.2 สร้างลิงค์ไฟล์
https://192.168.0.15:10443/cgi-bin/chpasswd.cgi



3.3 การใช้งานผู้ใช้งานดับเบิลคลิกช๊อตคัดเข้าไปเปลี่ยนพาสเวิร์ดได้ด้วยตนเอง

Read more »

การบริหารชื่อผู้ใช้งาน

ข้อมูลจราจรส่วนหนึ่งที่สำคัญคือข้อมูลที่ระบุชื่อผู้ใช้ ใน endian firewall เราใช้การระบุชื่อผู้ใช้ในขั้นตอนเข้าใช้ internet เมื่อผู้ใช้งานเปิดโปรแกรมเบราเซอร์ขึ้นมาจะปรากฏหน้าต่างให้ใส่ชื่อและพาสเวิร์ด (ดังภาพข้างบน) หากใส่ไม่ถูกต้องก็ไม่สามารถเข้าใช้เว็บนั้นๆได้

การ manage ผู้ใช้งานนั้นเป็นหน้าที่ของ Endian Admin ประกอบด้วยภาระงาน

1. login ด้วยชื่อ admin และพาสเวิร์ดที่เป็นความลับ
2. การเพิ่มชื่อผู้ใช้คนใหม่ และการตั้งพาสเวิร์ดเบื้องต้น การลบชื่อผู้ใช้ออกไปแล้ว เป็นต้น
3. ตั้งค่าเบราเซอร์ให้มีพร๊อกซี่และพอร์ตชี้มาที่ endian firewall server
4. ทดสอบใช้เบราเซอร์ มีหน้าต่างวินโดวส์ปรากฏให้กรอกชื่อหรือไม่
5. สร้างช๊อตคัดให้ผู้ใช้เปลี่ยนพาสเวิร์ดได้เองบนเดสท๊อป

1 เช็คค่าคอนฟิกของ proxy ประกอบด้วยค่าต่อไปนี้
1.1 Proxy -> Configuration -> GREEN authentication required



1.2 Proxy -> Authentication -> Authentication Type เป็น Local



1.3 คลิกที่ User management จะนำท่านไปสู่หน้าจอสำหรับการบริหารชื่อผู้ใช้งาน

ในหน้าต่างนี้แบ่งเป็นสามคอลัมน์คือ Username/Group membership/Action

กรณีต้องการเปลี่ยนแปลงชื่อหรือพาสเวิร์ดของ user ที่มีอยู่แล้วให้คลิกรูปดินสอที่คอลัมน์ Action และเปลี่ยนแปลงค่าต่าง ๆ ตามต้องการ
กรณีลบชื่อให้คลิกรูปถังขยะ



กรณีเพิ่มชื่อคนใหม่ให้คลิกที่ +Add User และตั้งชื่อตามที่ต้องการ เมื่อตั้งพาสเวิร์ดเสร็จแล้วอย่าลืมกด add user นะครับ ถ้าเลือก Cancel ชื่อนั้นจะไม่ปรากฏในไฟล์ฐานข้อมูล



สาระสำคัญเกี่ยวกับการใช้ชื่อเพื่อพิสูจน์ตัวตนในการใช้อิเทอร์เน็ต
1. ชื่อ ควรเป็นชื่อจริง ๆ ไม่ควรเป็นชื่อตั้งเองที่ไม่สื่อความหมาย
2. ชื่อจะใช้ได้เพียงครั้งละหนึ่งเครื่องหากมีการใช้ชื่อค้างที่คอมพิวเตอร์เครื่องหนึ่งแล้ว ไม่สามารถใช้ชื่อนั้นที่คอมพิวเตอร์เครื่องอื่นได้อีก เพื่อให้เจ้าของชื่อได้ทราบว่ามีผู้ใช้อื่นแอบใช้ชื่อเราอยู่หรือไม่

Read more »

Implement Endian Firewall Community ตามพรบ.คอม

องค์กรแห่งหนึ่งต้องการใช้ endian firewall community จัดเก็บ log ตามพรบ.คอมพิวเตอร์ปี 50
โดยให้คงสภาพการทำงานขององค์กรให้เป็นปกติ เช่น เล่น msn ได้อย่างไร ก็ให้เล่นได้อยู่อย่างนั้น เข้า gmail ได้อยู่อย่างไร ก็ให้ได้อยู่อย่างนั้น เคยเข้าเว็บอะไรได้บ้าง ก็ให้ใช้ได้เหมือนปกติ คือไม่ต้องบล๊อกอะไร และไม่ต้องให้ผู้ใช้ต้องมาใส่ user และพาสเวิร์ดให้ยุ่งยากด้วย ... คุณจะทำระบบนี้ได้อย่างไร

การเซ็ต endian firewall สำหรับอินเทอร์เน็ต ผู้เขียนได้แยกออกเป็นสองประเด็นเพื่อการพิจารณาคือ

แบบที่หนึ่ง "เซ็ตแบบปิดทั้งหมดก่อนแล้วเปิดให้ใช้เฉพาะเครื่อง"
แบบที่สอง "เซ็ตแบบเปิดทั้งหมดแล้วปิดเฉพาะเครื่อง"

นี่ไม่ใช่การเล่นคำหากแต่การเซ็ตระบบนั้นต่างกันโดยสิ้นเชิง และผลที่ได้มีความปลอดภัยไม่เหมือนกัน (ลองคิดดูว่าทั้งสองแบบนี้จะเซ็ตอย่างไร)

โจทก์ที่ผู้เขียนได้ตั้งไว้เป็นความต้องการแท้จริงของลูกค้าองค์กรแห่งหนึ่งที่ไม่ต้องการความยุ่งยากในการต้องใส่ชื่อและพาสเวิร์ดทุก ๆครั้งที่เข้าเว็บและไม่ต้องให้บล๊อกอะไรมากไปกว่าที่เคยใช้อยู่ เพียงให้เก็บ log ตามพรบ.ให้ได้เท่านั้น

ในองค์กรแห่งนี้มีคอมพิวเตอร์ 50 เครื่องและ policy มีว่าให้ใช้ internet ได้เพียง 10 เครื่องส่วนที่เหลือนั้นปิดทั้งหมด และในจำนวนสิบเครื่องที่อนุญาตินั้นก็ให้ใช้งานได้เพียงผู้ใช้ที่ระบุชื่อเท่านั้น

Read more »