วิธีปิด SELinux

ซึ่งมีความซับซ้อนในการบริหารจัดการอยู่พอสมควร SELinux แตกต่างจากระบบรักษาความปลอดภัยแบบเดิม ซึ่งถ้าไม่เข้าใจดีพออาจจะทำให้เกิดปัญหาในการคอนฟิกเพื่อใช้งานกับระบบได้เราจะตรวจสอบว่าระบบของเรารัน SELinux อยู่หรือไม่นั้น จะใช้คอมมานด์ getenforce ในการตรวจสอบ

## getenforce
Enforcing

ซึ่งถ้าต้องการปิด SELinux ลง เราต้องแก้ไขไฟล์คอนฟิกของ SELinux เพื่อปิดการทำงาน โดยแก้ไขที่ไฟล์ /etc/sysconfig/selinux

## vi /etc/sysconfig/selinux

และเข้าไปแก้ไขบรรทัดที่มีข้อความ SELINUX=enforcing
ให้เป็น SELINUX=disable
เมื่อแก้ไขเรียบร้อย และเซฟ จะเสร็จสิ้นการแก้ไขไฟล์คอนฟิกของ SELinux แต่ SELinux จะยังคงรันอยู่ ถ้าจะให้ SELinux ปิดลงอย่างถาวร ให้ทำการ reboot เครื่อง แต่ถ้าต้องการปิด SELinux ลงทันทีโดยไม่ reboot ให้สั่งคำสั่ง setenforce 0 จะเป็นการปิด SELinux ลงแบบชั่วคราว

## setenforce 0

ซึ่ง SELinux จะทำงานในโหมด Permissive คือ ปิดการทำงานตรวจสอบของ SELinux แต่ยังคงเก็บ log ของ SELinux อยู่

Creadit : (jetsada)

หลังจากติดตั้ง Linux เสร็จควรทำ !!

ควรเข้าใจ Path ต่างๆ มีไว้ทำอะไร และ มีอะไรบ้าง

================================================================

• ต่อมาควรจะมีการ Accept ให้มีการ Log on ผ่าน root ได้เลย

• โดยอันดับแรก เข้าไปแก้ไขไพล์ยัง ::: /etc/ssh/sshd_config

• ไปยังบรรทัด #PermitRootLogin Yes ให้นำ # ออก

###เมื่อเสร็จสิ้นแล้วจากนั้น สั่งรีสตาร์ทเซอร์วิสของ SSHD ด้วยคำสั่ง : /etc/init.d/sshd restart ถือว่าเสร็จสิ้นครับ

Linux คำสั่งพื้นฐาน [อย่างละเอียด]

File/Directory Basics
ls	List files	แสดงรายชื่อไฟล์และไดเร็คทอรี่
cp	Copy files	สำเนาไฟล์
mv	Rename files	เปลี่ยนชื่อไฟล์
rm	Delete files	ลบไฟล์
ln	Link files	สร้างไฟล์เชื่อมโยง
cd	Change directory	ย้ายไปยังไดเร็คทอรี่ที่ต้องการ
pwd	Print current directory name	แสดงชื่อไดเร็คทอรี่ปัจจุบัน
mkdir	Create directory	สร้างไดเร็คทอรี่ใหม่
rmdir	Delete directory	ลบไดเร็คทอรี่ (ที่ว่างเปล่าเท่านั้น)
File Viewing
cat	View files	ดูเนื้อหาของ text file
less	Page trough files	เลื่อนดูเนื้อหาของไฟล์
head	View file beginning	แสดงส่วนต้นของไฟล์
tail	View files ending	แสดงส่วนท้ายของไฟล์
nl	Number lines	แสดงหมายเลขบรรทัด
od	View binary files	แสดงเนื้อหาในไฟล์ไบนารี่
xxd	View binary files	แสดงเนื้อหาในไฟล์ไบนารี่
gv	View Postscript/PDF files	แสดงไฟล์แบบโพสต์สคริปต์หรือ PDF
xdvi	View TeX DVI files	แสดงไฟล์รูปแบบ TeX
File Creation and Editing
emacs	Text editor	โปรแกรมแก้ไขข้อความของ GNU
vim	Text editor	โปรแกรมแก้ไขข้อความที่ปรับปรุงจาก vi
umask	Set default file protections	แสดง/กำหนดค่าสำหรับคำนวณค่า permission mode
soffice	Edit Word/Excel/PowerPoint docs	แก้ไขไฟล์เอกสาร Word/Excel/PowerPoint
abiword	Edit Word documents	แก้ไขเอกสาร Word
gnumeric	Edit Excel documents	แก้ไขเอกสาร Excel
File Properties
stat	Display file attributes	แสดงสถานะ/สถิติ/คุณลักษณะของไฟล์
wc	Count bytes/words/lines	นับจำนวนอักขระ คำ บรรทัด
du	Measure disk usage	แสดงปริมาณการใช้เนื้อที่ไดเร็คทอรี่
file	Identify file types	แสดงชนิดของไฟล์
touch	Change file timestamps	เปลี่ยนค่าเวลาของไฟล์
chown	Change file owner	เปลี่ยนชื่อเจ้าของไฟล์
chgrp	Change file group	เปลี่ยนชื่อกรุ๊ปเจ้าของไฟล์
chmod	Change file protections	เปลี่ยนระดับการป้องกันไฟล์
chattr	Change advanced file attributes	เปลี่ยนคุณลักษณะของไฟล์ในขั้นสูง
Isattr	List advanced file attributes	แสดงคุณลักษณะของไฟล์ในขั้นสูง
File Location
find	Locate files	ค้นหาตำแหน่งของไฟล์
slocate	Locate files via index	ค้นหาตำแหน่งของไฟล์ด้วยฐานข้อมูลดัชนี
which	Locate commands	ค้นหาคำสั่ง
whereis	Locate standard files	ค้นหาไฟล์มาตรฐาน
File Text Manipulation
grep	Search text for matching lines	ค้นหาข้อความในระดับบรรทัด
cut	Extract columns	คัดแยกคำโดยระบุตำแหน่ง
paste	Append columns	เชื่อมต่อไฟล์ในแนวระนาบ
tr	Translate characters	แปลงข้อความ
sort	Sort lines	จัดเรียงข้อความระดับบรรทัด
uniq	Locate indentical lines	รวมบรรทัดที่เหมือนกัน
tee	Copy stdin to file and to stdout simultaneously	สำเนาข้อความออกทางไฟล์และ stdout พร้อมๆ กัน
File Compression
gzip	Compress files (GNU Zip)	บีบอัดไฟล์ให้เป็น .gz
Compress	Compress files (Unix)	บีบอัดไฟล์แบบมาตรฐาน Unix
bzip2	Compress files (BZip2)	บีบอัดไฟล์ให้เป็น .bz2
zip	Compress files (Windows Zip)	บีบอัดไฟล์สำหรับ WinZip
File Comparison
diff	Compare files line by line	เปรียบเทียบไฟล์ในระดับบรรทัด
comm	Compare sorted files	เปรียบเทียบไฟล์ที่ผ่านการเรียงข้อมูลมาแล้ว
cmp	Compare files byte by byte	เปรียบเทียบไฟล์ระดับไบต์
md5sum	Compute Checksums	คำนวณหาค่า md5 ของไฟล์
Disks and Filesystems
df	Show free disk space	รายงานขนาดดิสก์ที่เหลืออยู่
mount	Make a disk accessible	เชื่อมต่ออุปกรณ์จัดเก็บข้อมูลเข้าสู่ระบบ
fsck	Check a disk for errors	ตรวจสอบแก้ไขความผิดปรกติของเนื้อที่ดิสก์
sync	Flush disk caches	เขียนข้อมูลในแคชกลับคืนสู่ดิสก์
Backups and Remote Storage
mt	Control a type drive	ควบคุมเทป
dump	Back up a disk	สำรองข้อมูลจากดิสก์
restore	Restore a dump	นำข้อมูลที่สำรองไว้กลับคืนที่เดิม
tar	Read/write type archives	จัดเก็บไฟล์ให้รวมกันไว้ที่เดียว
cdrecord	Burn a CD	เขียนไฟล์ลงสู่แผ่นซีดี
rsync	Mirror a set of files	สำรองข้อมูลระหว่างโฮสต์
Printing
lpr	Print files	ส่งไฟล์ไปพิมพ์ที่เครื่องพิมพ์
lpq	View print queue	เปิดดูลำดับงานพิมพ์ที่ค้างอยู่
lprm	Remove print jobs	ยกเลิกงานพิมพ์ที่ค้างอยู่
Spelling Operations
look	Look up spelling	เปิดสารบัญคำศัพท์
aspell	Check spelling interactively	ตรวจคำสะกดว่าถูกต้องหรือไม่
spell	Check spelling in batch	ตรวจคำถูกผิดในไฟล์จำนวนมาก
Processes
ps	List all processes	แสดงโปรเซสทั้งหมด
w	List users' processes	แสดงรายชื่อยูสเซอร์ที่กำลังใช้งานโปรเซส
uptime	View the system load	แสดงปริมาณภาระของระบบ
top	Monitor processes	แสดงข้อมูลเกี่ยวกับโปรเซสแบบต่อเนื่อง
xload	Monitor system load	แสดงภาระของระบบในแบบกราฟฟิก
free	Display free memory	แสดงปริมาณหน่วยความจำประเภทต่างๆในปัจจุบัน
kill	Terminate processes	ส่งรหัสควบคุมไปยังโปรเซส
nice	Set process priorities	ตั้งค่าระดับความสำคัญให้โปรเซส
renice	Change process priorities	ปรับระดับความสำคัญของโปรเซส
Scheduling Jobs
sleep	Wait for some time	หน่วงเวลา
watch	Run programs at set intervals	รันโปรแกรมซ้ำในระยะเวลาที่กำหนด
at	Schedule a job	ตั้งเวลารันกลุ่มคำสั่ง
crontab	Schedule repeated jobs	ตั้งเวลารันคำสั่งเป็นรอบเวลาที่กำหนด
Hosts
uname	Print system information	แสดงรายละเอียดของระบบปฏิบัติการ
hostname	Print the system's hostname	แสดง/กำหนดชื่อโฮสต์
ifconfig	Set/display network information	แสดง/กำหนดค่าเกี่ยวกับเครือข่าย
host	Look up DNS	สืบค้นชื่อและไอพีของโฮสต์ในระบบ DNS
whois	Lookup domain registrants	สืบค้นข้อมูลการจดทะเบียนโดเมน
ping	Check if host is reachable	ทดสอบการตอบสนองของโฮสต์ปลายทาง
traceroute	View network path to a host	ตรวจสอบเส้นทางไปสู่โฮสต์ปลายทาง
Networking
ssh	Securely log into remote hosts	เข้าสู่โฮสต์จากระยะไกล (มีการเข้ารหัสข้อมูล)
telnet	Log into remote hosts	เข้าสู่โฮสต์จากระยะไกล(ไม่มีการเข้ารหัส)
scp	Securely copy files between hosts	สำเนาไฟล์ระหว่างโฮสต์(มีการเข้ารหัสข้อมูล)
stfp	Securely copy files between hosts	บริการโอนถ่ายไฟล์ระหว่างโฮสต์(มีการเข้ารหัสข้อมูล)
ftp	Copy files between hosts	บริการโอนถ่ายไฟล์ระหว่างโฮสต์(ไม่มีการเข้ารหัสข้อมูล)
evolution	GUI email client	โปรแกรมใช้งานอีเมล์แบบกราฟฟิก
mutt	Text-based email client	โปรแกรมใช้งานอีเมล์แบบ text
mail	Minimal email client	คำสั่งรับส่งอีเมล์ขนาดเล็กมาก
mozilla	Web browser	โปรแกรมเว็บบราวเซอร์แบบกราฟฟิก
lynx	Text-only web browser	โปรแกรมเว็บบราวเซอร์แบบ text
wget	Retrieve web pages to disk	ดาวน์โหลดข้อมูลเว็บมาสู่ดิสก์
slrn	Read Usenet news	อ่านข่าวใน usenet
gaim	Instant messaging/IRC	โปรแกรมรับส่งข้อความ
talk	Linux/Unix chat	คำสั่งรับส่งข้อความโต้ตอบ
write	Send messages to a termainal	คำสั่งส่งข้อความไปยังจอภาพอื่น
mesg	Prohibit talk/write	เปิด/ปิดการรับข้อความจากคำสั่ง write
Audio and Video
grip	Play CDs and rip MP3s	เล่นแผ่นซีดีเพลงและแปลงเป็นไฟล์ MP3
xmms	Play audio files	เล่นไฟล์เสียงชนิดต่างๆ
cdparanoia	Rip audio	แปลงแทร็กเพลงให้เป็นไฟล์
audacity	Edit audio	ปรับแต่ง/แก้ไขไฟล์เสียง
xcdroast	Burn CDs	บันทึกข้อมูล/แทร็กเสียงลงแผ่นซีดี

#credit :: softmelt.com

สัมปทานทำข้าว ของแพง จริงไหม ... ? (ขอความเห็นหน่อยครับ)

สัมปทานทำข้าว ของแพง จริงไหม ...

1. สัมปทานน้ำมัน พลังงานให้กับ ปตท. - น้ำมันแพงจริงเปล่า 
2. สัมปทานรถไฟฟ้า bts - ราคาตั๋วทุกวันนี้แพง 
3. สัมปทานพลังงานปิตโตเลียม - ทำค่าไฟแพงขึ้นกระชูดพอสมควร(ขนาดกึ่งรัฐนะเนี่ย) 
4. สัมปทานทางด่วน Tollway - ให้ภาคเอกชน ขึ้นทางด่วนทีหมดเป็นร้อยใช่หรือเปล่า หรือว่าไม่จริงแหะๆ
5. สัมปทานพื้นที่กางที่นั้งชายหาดที่ชลบุรี - ทำเอานักท่องเที่ยวจ่ายหนัก อาหารจานแพงๆ นักท่องเที่ยวโดนจำกัดสิทธิห้ามนั้งหาดกันเลย ถูกหรือเปล่า?
6. และยังสัมปทานอีกมากมาย....

ผมพูดถูกใช่ไหม ...

สถานนีปลายทางปาไป 50 กว่าบาทเลยนะครับ

นี้ขนาดรูปเก่านะครับ 95 ตอนนี้ โอ้โหเลย!!!

รูปนี้ชัดเจนนะครับ 555+

ถ้ามองว่าเราไม่สัมปทาน ... "รัฐบาลก็ต้องทำเอง ดูแลเอง รัฐก็ไม่เอา เกิดภาระค่าใช้จ่ายกับรัฐบาล" ฉะนั้น ถ้าไม่สัมปทานก็ไม่มีคนทำ ถ้ากึ่งรัฐ เอกชนที่เช่าชื้อสัมปทานก็เสียเปียบโดนรัฐกดราคา กำไรตํ้าๆ อย่างไรก็ตามเอกชนลงทุนก็ต้องการผลกำไร ผลตอบแทนสูง (คงไม่มีพ่อบุญที่ไหนเอาเงินมาละลายนํ้าให้กับผองชน)

คงทำไรไม่ได้หรอกต้องอยู่วงจรข้าวของแพงต่อไปสิคับ เหอะๆ (บ่นไปเรื้อย ขอความเห็นของนักวิเคระห์หน่อยครับ)

Firewall ประกบคู่ ระบบIPS เสริมความมั้นคงระบบเครือข่าย

วันนี้ผมมีความรู้ กับ หัวข้อที่น่าสนใจ ในเรื่อง ระบบความปลอดภัยของระบบเครือข่าย ซึ้งกำลังเป็นหัวเรื่องน่าสนใจอย่างมากในปัจจุบัน เนื่องจาก ทุกๆสิ่ง ทุกๆอย่าง กำลังพึ่งพาคอมพิวเตอร์ รวมไปถึงสิ่งที่สำคัญ ไม่ว่าจะเอกสาร ข้อมูลทางการเงิน ก็จำเป็นต้องพึ่งเทศโนโลยีสารสนเทศ ในการรักษาความปลอดภัยของข้อมูล ซึ้งจากปัจจุบันนี้ เมื่อเข้าสู่ยุคโลกาพิวัศ โจนในอดีตที่ต้องขี่ม้า แกะรอยเส้นทางรถขนเงิน ก็เปลี่ยนเป็นดักถ่ายภาพเส้นทาง ขับรถยนต์ไล่ตาม จนปัจจุบัน การส่งผ่านเงินได้ใช้เส้นทางผ่านเครือข่าย โจนก็เปลี่ยนวิธีหนทางเป็นตรวจจับแพ็กเกจ แล้วเมื่อทราบปลายทางแล้ว จึงทำการเจาะระบบ เพื่อขโมยข้อมูลธุรกรรมต่างๆ ซึ้งเทศโนโลยีได้ก้าวนำไปเท่าไหร่ วิวัฒนการการโจรกรรมก็พัฒนาไปเท่านั้น ดังนั้นลำพัง เพียง Firewall ที่สามารถป้องกันการโจมตี ป้องกันการรุกรานจากภายนอก คงไม่สามารถป้องกันการเจาะระบบได้อีกต่อไป จึงมีระบบ ISP ขึ้นเพื่อตรวจจับและสร้างเกาะป้องกันที่มั้นคงยิ่งขึ้น

• เริ่มแรกเรามาทำความรู้จัก Firewall กันก่อนว่า Firewall คือ อะไร ทำงานอย่างไร
• เป็นลักษณะของตัวตรวจจับข้อมูลเข้าออก ที่มีกฏเกณท์กำหนดไว้เพื่อป้องกันการบุกรุกจากภายนอก ซึ้งมีทั้งเป็นซอฟต์แวร์และ ฮาร์ดแวร์ ซึ้งการทำงานของ Firewall จะมี 2 ชนิด คือ

• แพ็กเก็ตฟิลเตอร์ (Pacet Filter) จะเป็นลักษณะการทำงานในชั้นสือสารเน็ตเวิร์ก จัดเป็นวิธีที่ง่ายและรวดเร็ว แต่มีข้อเสียที่บางทีอาจมีผู้ลักลอบเข้ามาด้วยการ ปลอมแปลงหมายเลขไอพี (Spoofing) ทำให้ระบบอนุญาติให้ผ่านเข้าไปได้

• พร็อกซีเซิฟเวอร์หรือแอปพลิเคชั่นเกตเวย์ (Proxy Server/Appication Gateway) จะเป็นการทำงานของ Proxy Server มีความซับซ้อนกว่าแบบ Packet Filer ทำหน้าที่ เสมือนกับนายประตูของเครือข่ายภายใน โดยทุกๆทรานเซกชั่นของเครือข่ายภายนอกที่ได้มีการร้องขอเข้ามา จะต้องผ่าน Proxy Server เสมอๆ

• เมื่อเรารู้จัก Firewall กันแล้ว เรามารู้จัก IPS กันต่อดีกว่า ว่ามันคือ ระบบอะไร แล้วทำไมมันถึงเพิ่มประสิทธิภาพระบบ ?
• IPS หรือ ชื่อเต็ม Intrusion Prevention System คล้ายคนคงคุ้นๆ ใช่ระบบ IDS หรือ Intrusion Detected System ใช่ไหม? จริงๆแล้ว อยู่ในตระกูลเดียวกันเลย ในตระกูล NIDS(Network-Based IDS) พูดได้ว่า IDS และ IPS แทบจะเหมือนกันเลย หรือเป็นฟังก์ชั้นการทำงานเดียวกันเลย แต่ IPS มีประสิทธิ์ภาพที่สูงกว่า คือ ตัวระบบไม่เพียงแต่ตรวจตรา เฝ้ามอง Monitor Traffic เพียงเท่านั้น แต่มีฟังก์ชั้นที่ตรวจจับสิ่งผิดปกติ และ จัดการกับสิ่งปกตินั้นโดยทันทีโดยไม่ต้องพึ่งฮาร์ดแวร์หรืออุปกรณ์อื่นๆอีก ซึ้งถ้าเปรียบเทียบ IDS ก็เหมือนกล้องหน้าประตูค่อยดูคนที่มาติดต่อ แต่ไม่ได้สามารถกระทำการใดๆ หรือตรวจจับผู้ประสงค์ร้ายได้ แต่ IPS ก็เหมือนกับ ยาม สามารถตรวจเช็คคนที่มาติดต่อได้ สามารถปฏิบัติการลากตัวผู้ประสงค์ร้ายออกจากพื้นที่ได้อีกด้วย

• รูปแบบการทำงานของระบบ IPS
• จับตา/เฝ้ามอง Packet ที่วิ่งบน Traffic พร้อมวิเคาระห์ Protocol และ อ้างอิงSignatures เพื่อทำการตรวจสอบการจราจรที่ผิดปกติ
• เนื่องจากระบบ IPS นั้นต้องวางอยู่บน In-line ทำให้สามารถ Block Traffic หรือตัดPacket ที่ต้องสังสัยได้ โดยมี 2 หลักการทำงาน คือ
• 1) ส่งสัญญาณ TCP Reset โต้ตอบกลับไป
• 2) ระบบจะทำการสั้ง Policy Firewall เพื่อปรับเปลี่ยนกฏบางข้อ เพื่อป้องกัน Packet อันตรายไม่ให้เข้ามาในเครือข่ายได้

• แล้วทำไมถึงเพิ่มประสิทธิภาพการป้องกันระบบ ?
• อย่างแรกเลย โดยปกติแล้ว ระบบ IPS มักจะวางอยู่ต่อจาก Firewall จึงเสมือนกำแพงชั้นที่ 2 ที่มีแข็งแรงคงทนกว่าชั้นแรก และจากที่ผมกล่าวมาเลย ... เมื่อระบบ IPS มีความสามารถในการตรวจจับได้แล้ว ยังสามารถ Analysis ได้ จึงทำให้ระบบมีความ Intelligence มากกว่า Firewall ที่ทำงานเพียงตามรายการอนุญาติ ไม่อนุญาติ อีกทั้งระบบ IPS นั้น เมื่อมีการตรวจจับการบุกรุกที่ผิดปกติได้แล้ว ระบบยังสามารถติดต่อกับ Firewall เพื่อปรับเปลี่ยนกฏได้อีกด้วย ถือเป็นอดรอยรั่วของระบบที่เกิดขึ้นและยังถือเป็นการเสริมกำแพงชั้นแรกให้แข็งแรงขึ้นอีกด้วย

จากทั้งหมดที่กล่าวมา ในหัวข้อระบบการป้องกันการบุกรุก จะเห็นได้ว่า ระบบความปลอดภัยของระบบนั้นก็มีการพัฒนาขึ้น ให้มีแข็งแรงและ มีประสิทธิภาพการป้องกันที่ดีขึ้น ซึ้งแตกต่างจากเดิม จะมีเพียงนวัตกรรม IDS ที่ใช้ในการMonitor Traffic แบบ Real time ค่อยตรวจจับPacketต่างๆทั่วไป ก็พัฒนาให้สามารถตรวจจับพร้อมทำการวิเคาระห์พฤษติกรรม(Behavior)+กระทำการโต้ตอบโดยทันท่วงที  ซึ้งจะเห็นได้ว่า ระบบงาน Security นั้นเป็นระบบงานที่ไม่ตายตัว และจำเป็นต้องมีการพัฒนาตลอดเวลาควบคู่ตามไปกับเทคโนโลยีในทุกๆก้าว เนื่องจากจำเป็นต้องทำคู่ไปกับนักเจาะระบบหรือโจนราวกับมวยคู่เอก หรือไม่ก็Tom&Jerry ที่พยายามสืบเสาะหาเทคโนโลยีใหม่ๆมาใช้ในการปฏิบัติการก่อการร้าย หรือเข้ามาทำลาย ระบบความปลอดภัยที่มีอยู่นั้นเองครับ

คำสั้งในการตั้งค่า Router และ Switch(VLAN) [CISCO]

คำสั้งเริ่มต้น เข้าสู่การป้อนข้อมูล

• enable

เข้าสู่ Mode Config

• conf t

คำสั่งปรับค่าในแต่ละport

• interface [ชื่อสถาปัตยกรรมตามด้วยหมายเลขport] เช่น gig0/0 , fa0/0

คำสั้งป้อนIpให้port (Router)

• ip address [ip] [subnetmark]

คำสั้งออกหรือถอยจากตำแหน่ง

• exit , end

คำสั้งเปิดบังคับใช้port/ปิดบังคับใช้งานport (Router)

• no shutdown/shutdown

คำสั้งดูRoute Table (Router)

• show ip route

คำสั้งดูค่า Configuration ทั้งหมด

• show run

คำสั้งกำหนดเส้นทาง Route (Router)

• ip route [หมายเลขเครือข่าย] [สับเน็ตของหมายเขาเครือข่าย] [ipช่องทางที่เข้าถึงได้(Routeเพื่อนบ้านเจ้าของเส้นทาง)]

คำสั้งบังคับใช้ หรือ เขียนคำสั้ง

• wr หรือ copy run startup-config

========================================================================

คำสั้งตั้งค่าVLAN

• vlan [หมายเลขที่ต้องการ]

คำสั้งดูค่า VLAN

• show vlan

คำสั้งกำหนดประเภทของ Port (Switch)

• switchport mode [access,trunk]

คำสั้งจัดเรียงmodeดังกล่าวอยู่ใน category vlanใด (Switch)

• switchport access [ชื่อVLANที่ต้องการ]

========================================================================

คำสั้งในการจัดการ VLAN ใน Router

• interface [ชื่อสถาปัตยกรรมตามด้วยเลขพอร์ดที่ต้องการ/หมายของลำดับ( |.| sub portย่อย)] เช่น gig0/0.1 , fa0/0.1

หากเกิดปัญหาไม่ตรงตามสถาปัตยกรรม

• encapsulation dot1q 10

ขอขอบคุณ : Mr.danscourses และ คุณ khomson kocento

มารู้จัก Routing Table กันครับ

Router(เราท์เตอร์) คือ อุปกรณ์ที่ทำหน้าที่ในเลเยอร์ 3 เหมือนกับ Hub และ Switch โดยเราท์เตอร์จะมีความฉลาดกว่า จะอ่านAddressของปลายทางที่ Header ของแพ็กเก็ตข้อมูล เพื่อใช้ในการกำหนดเส้นทางที่จะส่งแพ็กเก็ตนั้นต่อไป ซึ้งในRouterจะมีข้อมูลเกี่ยวกับการจัดเส้นทางให้แพ็กเก็ต เรียกว่า Routing Table ข้อมูลในตารางนี้จะเป็นข้อมูลที่ Router ใช้ในการเลือกเส้นทางที่ดีที่สุด ไปยังปลายทาง ถ้าเส้นทางหลักเกิดการขัดข้อง Router ก็สามารถเลือกเส้นทางใหม่ได้

Routing Table เป็นตารางข้อมูลของเส้นทางการส่งผ่านข้อมูล เพื่อใช้พิจารณาการส่งผ่านข้อมูล ในการได้มาของ Routing Table มีอยู่ด้วยกัน 2 วิธี คือ

1. Static Route คือ การเพิ่มเส้นทางใน Routing Table ด้วยผู้ดูแลเนตเวิร์คเอง เพื่อให้เราท์เตอร์ทราบว่า เมื่อต้องการส่งข้อมูล ไปที่ Subnet Address ใด จะต้องส่งผ่าน Router ตัวไหน ค่าเส้นทางที่ป้อนเข้าไปในตารางเลือกเส้นทางนี้มีค่าตายตัว ดังนั้นการเปลี่ยนแปลงที่เกิดขึ้นใดๆบนเครือข่าย ผู้ดูแลระบบเน็ตเวิร์ค ต้องเข้าไปจัดการทั้งหมด ซึ้งเหมาะกับองค์กรขนาดเล็ก ที่ต้องการรักษาความปลอดภัยของข้อมูล เนื่องจากสามารถแน่ใจว่า ข้อมูลข่าวสารที่ส่งจะต้องวิ่งไปบนเส้นทางที่กำหนดไว้ให้ ตายตัว โดยไม่ต้องใช้ software เลือกเส้นทางใดๆทั้งสิ้นและประหยัดการใช้ แบนวิดท์บนเครือข่ายได้มาก
2. Dynamic Route เป็นการใช้ซอฟต์แวร์ที่ติดตั้งมากับ Router เพื่อทำหน้าที่แลกเปลี่ยนข้อมูลข่าวสารที่เกี่ยวกับการเลือกเส้นทางระหว่าง Router หลักการทำงาน คือ Router จะส่ง Routing Tableที่สมบูรณ์ของตัวเอง ให้กับ Router เพื่อนบ้าน หรือเรียกว่า มีRouting Protocol ที่ใช้ในการแลกเปลี่ยน Routing Table เอง โดยที่ผู้ดูแลเครือข่ายไม่ต้องแก้ไขข้อมูล Routing Table ใน Router เลย ซึ้งมีความเหมาะสมกับเครือข่ายขนาดใหญ่ เพราะ Router สามารถจัดการหาเส้นทางเอง หากมีการเปลี่ยนแปลงของเครือข่าย

• โดย Routing Protocol จะมีอยู่ 2 ตัวด้วยกัน ซึ้่งทั้งสองตัวนี้ต่างมีจุดประสงค์ที่เหมือนกัน ก็คือ การทำให้เราท์เตอร์ปัจจุบันมีตาราง Routing Table ที่ประกอบด้วยเส้นทางที่ดีที่สุดที่สามารถส่งข้อมูลไปถึงซับเนตแอดเดรสปลายทางทั้งหมดได้ แต่สิ่งที่แตกต่างกันจะอธิบายต่อไปดังนี้
• โปรโตคอลตัวแรก คือ RIP (Routing Information Protocol) หรือ Distance Vector คือ การที่ Router จะเรียนรู้โครงสร้างเน็ตเวิร์คและซับเนตแอดเดรสปลายทางต่างๆโดย อาศัยการแลกเปลี่ยนตารางเราท์ติ้งเทเบิลกับตารางเราท์ติ้งเทเบิลของเพื่อนบ้าน เพื่อที่จะได้เรียนรู้ว่าเราท์เตอร์ของเพื่อนบ้าน รู้จักกับซับเนตแอดเดรสอะไรบ้าน เพื่อที่จะอัพเดตตารางเราท์ติ้งเทเบิลของตนเอง ว่าถ้ามีแพ็กเก็ตที่มีแอดเดรสปลายทางเป็น Subnet Addrest ที่เพื่อนบ้านรู้จักก็จะส่งต่อแพ็กเก็ตนั้นไปให้เราท์เตอร์เพื่อนบ้านตัวดังกล่าวเลย
• โปรโตคอลตัวต่อมา คือ OSPF (Open Shortest Part Test) หรือ Link State คือ เราท์เตอร์จะส่งข้อมูลอินเตอร์เพสทั้งหมดของมันไปให้กับเราท์เตอร์เพื่อน้บาน เพื่อให้เราท์เตอร์เพื่อนบ้านคำนวณหาเส้นทางที่ดีที่สุดเอง ซึ้งเราท์เตอร์จะไม่รู้จักแค่เราท์เตอร์เพื่อนบ้านแต่จะรู้จักเราท์เตอร์ข้างเคียงด้วย ทำให้เราท์เตอร์สามารถเห็นภาพรวมทั้งหมดของเน็ตเวอร์เป็นอย่างดี
• (ซึ้งข้อแตกต่างที่เห็นได้ชัดเจน) คือ Distance Vector จะเชื่อเราเตอร์เพื่อนบ้านเป็นหลัก เพื่อนบ้านอัพเดตข้อมูลใดมา ก็จะอัพเดตเราท์ติ้งเทเบิลของตัวเองไปตามนั้น แต่ถ้าเป็น Link State เราท์เตอร์จะพยายามหาแผนผังเครือข่ายทั้งหมดด้วยตนเองก่อนแล้วค่อยมาหาเส้นทางที่ดีที่สุดภายหลัง

แหล่งที่มาและขอขอบคุณ :: คุณจุ๊ฟจีฟ แห่งบอร์ด Riverplusblog (http://www.riverplus.com)

มารู้จัก Log Management และ SIEM คราวๆกัน

พูดถึง ... คำว่า Log file นั้นคือ ข้อมูลการจราจรหรือการบันทึกการกระทำที่เกิดขึ้นบนระบบหรือกิจกรรมที่เกิดขึ้นบนเครือข่าย ประกอบไปด้วย แหล่งกำหนิด(Source Address) ปลายทาง(Destination Address) เวลา-วันที่ ระยะเวลาและชนิดของบริการ โดยเนื้อหาข้างใน Log file จะมีลักษณะเป็นตัวหนังสือและเครื่องหมายยึกๆยื้อๆ แต่สามารถนำมาถอดรหัสได้ว่ามีสิ่งใดเกิดขึ้นบ้างในช่วงที่ผ่านมา ราวกับเป็นซากฟอสซิลที่บ่งบอกเรื่องราวในอดีตได้

การจัดการ Logs ให้มีประสิทธิภาพ และ สอดคล้องกับพรบ.การกระทำผิดทางคอมพิวเตอร์นั้น จำเป็นต้องเก็บRaw Log(ต้นฉบับlog) ไว้ในที่ที่ปลอดภัย ดังนั้น ระบบการจัดการที่มีประสิทธิภาพนั้นต้องมี การเก็บไว้ส่วนกลาง(Centralized Logging Server) โดยจำเป็นต้องมี Log Server ไว้ใช้เพื่อการStoreข้อมูลlogและรักษาความปลอดภัยของData logในเครือข่าย หรือจะทำการSIEMในระดับถัดไป

3 หัวใจหลักในการจัดการLogs (Logs Management)

• Log Generation : การทำให้logเกิดขึ้นบนlog serverได้มีสองลักษณะ
• ลักษณะแรก คือ การตั้งค่าให้log file ถูกส่งไปยัง log server ได้
• ลักษณะสอง คือ การอนุญาติให้log server สามารถเดินทางมาหยิบ log data ที่เครื่อง host ได้
• Log Analysis and Storage : log server ผู้รับlog สามารถเรียกว่า Collectors หรือ Aggregators เพื่อนำไปสู่การAnalysis ตัวจัดการlog server จะมีฟังก์ชั่นอัตโนมัติในการconvert log format ต่างๆมากมาย ให้อยู่ในformatเดียว ซึ้งเรียกว่า การทำNormalization แล้วก่อนจัดเก็บก็ทำการ Compression และ Encryption เพื่อความปลอดภัยของข้อมูลlog
• Log Monitoring : เมื่อทำการรับlogsมาแล้วก็ทำการแสดงผลlogsทั้งหมดเพื่อทำการmonitorจับตาดูlogต่างๆที่เกิดขึ้น หรือ ทำการดูผลโดยแสดงรายงาน(Report) จากฐานข้อมูลLog

**ซึ้งหัวใจหลักของการจัดการlog คือ การวิเคารห์ (Analysis) และ การเก็บข้อมูล (Storage) โดยจำเป็นต้องคำนึงว่าต้องไม่มีการเปลี่ยนแปลงใดกับ Original logs (Raw logs)

SIEM (Security Information Event Management)

เป็น software ตัวนึงที่เข้ามาจัดการLog ไม่ว่าจะเป็นการ จับดูความเคลื่อนไหวต่างๆ(Monitor) , วิเคาระห์Logs(Analysis) , การแปลภาษา แกะภาษาหรือทำการNormalization และการจัดเก็บข้อมูลLogs จนกระทั้งยังมีความสามารถใน Event Correlation , ทำการแจ้งเตือนพฤติกรรมที่ผิดปกติ และยังสามารถช่วยสร้างReportได้ ซึ้งความสามารถที่มีทั้งหมดนั้น ล้วนเกิดมาจาก Software หยิบข้อมูลLogs ที่ Softwareได้ช่วยจัดการไว้ นำมา Analysis

สิ่งที่จำเป็นต้องมี ต้องมีการจัดการ log ไว้ในส่วนกลางหรือทำCentralized Logging Server โดยต้องมีอย่างน้อย หนึ่งเชิฟเวอร์หรือมากกว่านั้น ต่อมาต้องเช็ตค่าอุปกรณ์ต่างๆในเครือข่าย ให้มีการส่งlog data เข้าสู่ส่วนกลาง เพื่อให้เชิฟเวอร์logsใช้งานได้ตรงตามจุดประสงค์

ว่าด้วยเรื่อง Intrusion Detection System (IDS) ระบบตรวจจับการบุกรุก

หากกล่าวถึงระบบ IDS ที่เป็นส่วนหนึ่งของการจัดการ SIEM ที่ทำให้ระบบมีประสิทธิ์ภาพมากยิ่งขึ้น ในระบบ Security Information Event Management จำเป็นต้องสร้างความสัมพันธิ์เชื่อมโยงหรือ Correlation Even  ทั้ง Log anaysis(LIDS) และ การจับพฤติกรรมหรือเหตุการณ์ในเส้นTraffic(NIDS) เพื่อให้สามารถจัดกลุ่มข้อมูลและแสดงรายงานเป็นรายการได้

โดยหากพูดถึงตัว Open Source ดีๆ ที่มีชื่อเสียง ก็ประกอบไปด้วย Snort , Snorby , Sguil , Squert และ OSSEC โดยbased on SOหรือSecurity Onion(ซึ้งหากกล่าวระบบ Security Onion เป็นระบบ Linux distributions สำหรับ IDS(Intrusion Detection)และNSM(Network Security Monitoring)ที่ประกอบไปด้วยsecurity tool มากมาย)

• Snort - เป็นระบบ IDS (Intrusion Detection System) ที่เป็นส่วนหนึ่งของระบบ Security Onion สร้างขึ้นโดยบริษัท Sourcefire มีความสามารถจับการเคลื่อนไหวในtrafficแบบreal-time ยังสามารถดักจับ packetที่เกิดขึ้นในIP Protocal Network

• Snorby - เป็นWeb application ใช้งานในลักษณะ Security Monitor Data โดยเสมือนเป็นmaskของSnort เนื่องจากมีการดึงข้อมูลมาแสดงผล(Network Monitor) ซึ้งSource Codeพัฒนาบน Ruby on Rails

          วีดีโอตัวอย่างการใช้งาน Snorby : ( http://vimeo.com/16597187 )

• Squil - เป็นระบบที่พัฒนามาจาก Snort หรือใช้ตัว Engine เดียวกัน มีความสามารถใช้งานเหมือน Snort เพียงแต่ Squil มีตัวGUI Interface ให้ใช้งานด้วย

• Squert - มีหลักการการทำงานคล้ายๆ Snorby แต่มีการดึงข้อมูลมาแสดงผลจากตัว Squil Database ซึ้งยังมีฟังก์ชั่นเพิ่มเติมในการ View และ Query โดยBased ในภาษาSQL

• OSSEC- เป็นระบบรวมผสมผสานระหว่าง Logging monitor และ SIM/SIEM อยู่ภายในตัว จีงถือว่าเป็น Open Source Host-based Intrusion Detection System (HIDS) โดยมีประสิทธิภาพการทำงานมากมาย อาทิเช่น ทำlog analysis , policy monitoring , ตรวจสอบความถูกต้องของไพล์ และยังสามารถ alerting และทำการโต้ตอบหรือตอบสนอง ได้อย่างreal-time

Linux คำสั่งพื้นฐาน

คำสั้งเช็คข้อมูลพื้นฐาน network

• ifconfig

คำสั้งเข้าสู่root

• su

# พื้นฐานตัวช่วยแก้ไขข้อมูล คือ nano , vi 

ในnano สามารถ กด ctrl ค้างไว้ แล้ว + ... เพิ่มใช้งานฟังก์ชั่นเสริม

คำสั่งตั้งค่าip config

• nano /etc/network/interfaces

ด้านในประกอบด้วย ::: 

iface eth0 inet static

address 192.168.1.20

netmask 255.255.255.0

network 192.168.1.0

broadcast 192.168.1.255

gateway 192.168.1.254

//คำสั่งรีสตาร์ตเซอร์วิส ::: /etc/init.d/networking restart

คำสั่งดูเวลาภายในเครื่อง

• date

คำสั่งรีเช็ตหรือrestart เชิฟเวอร์ใหม่

• shutdown -r now

คำสั่งปิดเครื่องเชิฟเวอร์

• shutdown -h now

คำสั่งเช็กตรวจสอบดิสก์

• fsck

คำสั่งlistข้อมูลในfile

• tail -f /..(locationfile)..

คำสั่งcheckสิ่งต่างๆที่ทำงานบนเครื่อง

• netstat 
• -i เช็คnetwork adapter
• -tulp เช็คportที่ถูกเปิดอยู่
• -nat เช็คการเชื่อมต่อทั้งเครือข่าย ทั้ง connection และเชิฟเวอร์ 

คำสั่ง เปิด/ปิด การใช้งานอุปกรณ์เชิฟเวอร์

• เปิด ::: ifconfig ..(ชื่ออุปกรณ์).. up หรือ ifup ..(ชื่ออุปกรณ์)..
• ปิด ::: ifconfig ..(ชื่ออุปกรณ์).. down หรือ ifdown ..(ชื่ออุปกรณ์)..

คำสั่ง เข้าไปยัง dir ต่างๆ

• cd ..(locationdir).. 
• cd .. ไปยัง primaly dir
• cd / กลับไปยัง root dir

คำสั่งlist ข้อมูลของ file นั้นออกมา

• cat ..(locationfile)..

คำสั่งลบข้อมูลทั้งหมด(รวมทั้งfolderที่มีข้อมูลข้างใน)

• rm -rf

คำสั่งปรับสิทธิการใช้งานของไพล์

• chmod (เลขสิทธิ3หลัก) ..ชื่อไพล์..

คำสั่งแสดงเวลาการทำงานทั้งหมดของระบบ

• uptime

คำสั่งเช็ค memory

• free

คำสั่งเช็ค disk-check

• df -k

คำสั่งเช็ค process ที่รันอยู่ในระบบ

• ps -ef