เมื่อไปอบรม IPCop

การอบรม IPCop สำนักงาน กศน. นครราชสีมา 9-13 มีนาคม 2552 มีโอกาสไปเข้ารับการอบรมเรื่อง network โดยเน้นเรื่องความปลอดภัยเครือข่ายคอมพิวเตอร์ ขณะที่นั่งอบรมก็บันทึกเรื่องที่สำตัญเอาไว้ด้วย ===================================================== 1 ทำไมต้อง IPCop 2 ออกแบบเครือข่าย การออกแบบเครือข่าย เพื่อให้เหมาะสมกับการใช้งานในหน่วยงาน โดยพิจารณาว่า หน่วยงานของเรานั้นมีการใช้เครือข่ายอย่างไรบ้าง ดังนี้ - มีการให้บริการอินเตอร์เน็ตในหน่วยงานหรือไม่ ถ้ามีการให้บริการ จำนวนเครื่องที่ให้บริการมากน้อยเพียงใด - มีการให้บริการอินเตอร์เน็ตผ่านอุปกรณ์ไร้สาย (Wireless) หรือไม่ - ภายในหน่วยงาน ติดตั้ง Web Server เพื่อให้บริการ Website สำหรับสำหรับบุคคลภายนอกหรือไม่ นอกจากประเด็นดังกล่าวแล้ว จะต้องพิจารณาถึงกฎหมายว่าด้วยการกระทำผิดทางคอมพิวเตอร์ด้วย เช่นการเก็บข้อมูลการจราจรทางคอมพิวเตอร์ การพิสูจน์ตัวตนผู้ใช้งานเป็นต้น การออกแบบดังกล่าวนี้ จะนำไปกำรูปแบบของ firewall ที่จะใช้ในหน่วยงาน 3 การเตรียม Hardward จากการออกแบบเครือข่ายในข้อที่ 2 จะช่วยกำหนดว่า จะต้องใช้อุปกรณ์อะไรบ้าง ในการนำมาติดตั้งในเครื่องคอมพิวเตอร์ที่จะทำหน้าที่ firewall และมีอุปกรณ์ต่อพ่วงอะไร โดยอุปกรณ์ที่สำคัญที่ต้องเตรียมคือ LAN Card Swish อุปกรณ์ส่งสัญยาณไร้สาย (Wireless) สาย LAN (สาย UTP ที่เข้าหัว RJ45) เครื่องคอมพิวเตอร์ที่ใช้ตรวจสอบ ตามการออกแบบเครือข่ายในขั้นตอนที่ 2 แล้วแต่ว่าออกแบบไว้อย่างไร อย่างน้อยต้องใช้คอมพิวเตอร์ 2 เครื่อง แตเต็มรูปแบบ ต้องใช้ 4 เครื่อง 4 ติดตั้ง IPCop จะติดตั้ง IPCop ใน Version ใด ปัจจุบัน 1.4.20 การ Download และการสร้างแผ่น ติดตั้ง ติดตั้งโปรแกรม ตรวจสอบการทำงานของแต่ละ Zone (เขียว น้ำเงิน แดง และส้ม ซึ่งใน Zone สีส้ม หรือ DMZ จะต้องดำเนินการต่อเนื่องในเรื่อง Foward Port จะยังไม่สามารถทำงานได้ทันที) การ set ค่าต่างๆ ให้สอดคล้องกับการออกแบบเครือข่าย 5 รู้จักแถบเครื่องมือ เมื่อติดตั้งเสร็จ IPCop ก็พร้อมที่จะใช้งานโดยไม่ต้องทำอะไร 6 การติดตั้งโปรแกรมเสริม โปรแกรมเสริม หรือ AddOn มีหลายโปรแกรม ที่ได้พัฒนาขึ้นมา เพื่อเพิ่มความสามารถของ IPCop ให้สามารถใช้งานได้ดีขึ้น ซึ่งโปรแกรมต่างๆดังกล่าวนี้ มีรายละเอียดและมีให้ Download ที่ website ของ IPCop (www.ipcop.org) ซึ่งการติดตั้งโปรแกรมทำได้ไม่ยาก แต่ค่อนข้างจะมีปัญหาสำหรับท่านที่ไม่เคยใช้คำสั่งของ LINUX คุ้นเคยเฉพาะการใช้ GUI ของ Windows ก็ต้องใช้โปรแกรมช่วย แต่อย่างไรก็ตาม ยังจำเป็นต้องใช้คำสั่งของ Linux บางคำสั่ง โดยโปรแกรมที่แนะนำในการนำมาติดตั้ง (ที่เครื่อง Client) มี 2 โปรแกรม คือ winscp และ putty โปรแกรม winscp ทำงานเช่นเดียวกับโปรแกรม FTP แต่สามารถติดต่อกับระบบปฏิบัติการ Linux ดังนั้นจึงสามารถ Upload โปรแกรม AddOn จากเครื่องที่เราใช้งาน (ใช้ระบบปฏิบัติการ windows) ไปยังเครื่อง IPCop ซึ่งใช้ระบบปฏิบัติการ Linux โปรแกรม putty เป็นโปรแกรมลักษณะ Remote Desktop คือสามารถดึงเอาหน้าจอของ IPCop มาแสดงที่หน้าจอของเครื่อง Client คือ Windows ได้ ทั้งสองโปรแกรมนี้ช่วยให้เราไม่ต้องไปนั่งทำงานที่หน้าเครื่อง IPCop แต่สามารถใช้งานผ่านทางเครื่องคอมพิวเตอร์ ภายในเครือข่ายที่เชื่อมต่อทางสายสีเขียว โปรแกรมเสริม มีโปรแกรมอะไรบ้าง Advance Proxy URL Filter Updatexlrator Sarg วิธีการติดตั้งโปรแกรมเสริม ต้องเปิด port การสื่อสารก่อน โดยเปิด SSH Access ที่เมนู system (เมื่อใช้เสร็จ ต้องปิดทันที *** สำคัญมาก) Advance Proxy เป็นตัวช่วยกำหนดสิทธิการใช้งาน Proxy ว่าให้ไปใช้ได้หรือไม่ อย่างไร ให้มีการใช้หรือไม่ อย่างไร แล้วที่สำคัญ เป็นตัวกำหนดว่า อนุญาตให้มีการใช้งาน Add On ตัวอื่นๆอีก 3 ตัวหรือไม่ คือ URL filter / Updatexlrator และ Authentication การใช้งาน เริ่มที่ common settings กำหนดให้ enable ที่สายเขียนและ น้ำเงิน เพื่อให้ มีการใช้ proxy พร้อมทั้งกำหนดให้เครื่องลูกมาใช้ Proxy ที่ เครื่อง IPCop โดยอัตโนมัติ Enabled on Green: อนุญาตให้เครื่อง Client เข้ามาใช้ Proxy ได้ Transparent on Green: เป็นการกำนดให้เครื่อง Client มาใช้ Proxy ที่ เครื่อง IPCop ตามเลข IP ของ IPCop และ Port ที่กำหนด โดยไม่ต้องไปตั้งค่า Proxy ที่เครื่อง Client URLfilter คำสั่งในการกรอง URL คือกำหนดว่า web ใด บ้างที่เข้าใช้ได้ หรือ ไม่ได้ การใช้งาน ต้องไปอนุญาตการใช้ใน Advance Proxy block catagory เป็นกลุ่ม web ที่ไม่ควรเข้าใช้ ซึ่ง IPCop ได้กำหนดไว้ในฐานข้อมูล Custom Blacklist Block Domainname คือ ชื่อที่เรากำหนด โดยใส่แต่ชื่อ Domainname โดยไม่ต้องใส่ www Block URL ไม่ได้ Block ทั้ง Domain แต่ Block เฉพาะ Path ที่อยู่หลัก Domainname Custom expressions คือ ห้ามใช้ คำสัญญลักษ์ พิเศษ File extension blocking คือ Block file ทั้งลักษระดังกล่าว คือ exe พวก audio video และพวก zip file Local file redirect กรณีที download ไมได้ ให้ไปที่ไหน Network based access control ถ้าเอา IP เครื่องไหน มาใส่ช่องนี้ จะข้าม กฏ ที่ผ่านมาทั้งหมด Block page setting กำหนดว่า เมื่อ block แล้ว ให้ปรากฏอะไรบ้าง ช่องด้านขวา เป็นการกำหนดว่า เมื่อถูก block แล้ว ให้ปรากฏอะไร Use "DNS Error" to block URLs: ถ้าเลือกตัวนี้ จะไม่เอาหน้าที่กำหนดมาแสดง แต่จะเอาหน้าแบบเข้า web ไม่ได้มาแทน Automatic blacklist update เลือก web ที่กำหนด Blacklist ซึ่งจะมีรายชื่อใน web ซึ่งจะเปลี่ยนไปตามที่ web นั้น กำหนด หมายเหตุ ยิ่งกรองมา net ก็จะยิ่งช้า updatexlrator - The Update Accelerator add-on ช่วย ในการ Download pad ของโปรแกรมต่างๆ ในหน่วยงาน ที่ต้องมีการ Download เช่น Window Update หรือประเภท anty Virus มาเก็บใน IPCop เครื่อง ลูกข่าย ก็จะมา download จากที่นี้ ทำให้การทำงานอินเตอร์เน็ตเร็วขึ้น ช่วยอำนวยความสะดวกในการ Download การจะใช้งานได้ ต้องเปิด Advance Proxy ก่อน แล่วสั่งให้ enable Updateexlator ก่อน จึงจะทำงาน (เช่นเดียวกับ URLfilter) Common setting 7 การ set ค่าต่างๆ Time server ต้องคลิก ที่Provide time to local network Intrusion Detection System: การตรววจสอบการโจมตี ต้องไปลงทะเบียนก่อน ที่ http://www.snort.org. เมื่อลงทะเบียนจะได้ oink code เอามาป้อนในช่อง แล้วสั่ง refresh สั่ง Download แล้ว apply เสร็จแล้ว ไปกำหนดว่า ให้ Snort ที่สายไหน(ที่ด้านบน) 8 9 10