วันพุธที่ 24 กันยายน พ.ศ. 2557

สัมปทานทำข้าว ของแพง จริงไหม ... ? (ขอความเห็นหน่อยครับ)

สัมปทานทำข้าว ของแพง จริงไหม ...

  1. สัมปทานน้ำมัน พลังงานให้กับ ปตท. - น้ำมันแพงจริงเปล่า 
  2. สัมปทานรถไฟฟ้า bts - ราคาตั๋วทุกวันนี้แพง 
  3. สัมปทานพลังงานปิตโตเลียม - ทำค่าไฟแพงขึ้นกระชูดพอสมควร(ขนาดกึ่งรัฐนะเนี่ย) 
  4. สัมปทานทางด่วน Tollway - ให้ภาคเอกชน ขึ้นทางด่วนทีหมดเป็นร้อยใช่หรือเปล่า หรือว่าไม่จริงแหะๆ
  5. สัมปทานพื้นที่กางที่นั้งชายหาดที่ชลบุรี - ทำเอานักท่องเที่ยวจ่ายหนัก อาหารจานแพงๆ นักท่องเที่ยวโดนจำกัดสิทธิห้ามนั้งหาดกันเลย ถูกหรือเปล่า?
  6. และยังสัมปทานอีกมากมาย....
ผมพูดถูกใช่ไหม ...

สถานนีปลายทางปาไป 50 กว่าบาทเลยนะครับ

นี้ขนาดรูปเก่านะครับ 95 ตอนนี้ โอ้โหเลย!!!

รูปนี้ชัดเจนนะครับ 555+

ถ้ามองว่าเราไม่สัมปทาน ... "รัฐบาลก็ต้องทำเอง ดูแลเอง รัฐก็ไม่เอา เกิดภาระค่าใช้จ่ายกับรัฐบาล" ฉะนั้น ถ้าไม่สัมปทานก็ไม่มีคนทำ ถ้ากึ่งรัฐ เอกชนที่เช่าชื้อสัมปทานก็เสียเปียบโดนรัฐกดราคา กำไรตํ้าๆ อย่างไรก็ตามเอกชนลงทุนก็ต้องการผลกำไร ผลตอบแทนสูง (คงไม่มีพ่อบุญที่ไหนเอาเงินมาละลายนํ้าให้กับผองชน)

คงทำไรไม่ได้หรอกต้องอยู่วงจรข้าวของแพงต่อไปสิคับ เหอะๆ (บ่นไปเรื้อย ขอความเห็นของนักวิเคระห์หน่อยครับ)

เขียนโดย ที่ ไม่มีความคิดเห็น:

วันพุธที่ 17 กันยายน พ.ศ. 2557

Firewall ประกบคู่ ระบบIPS เสริมความมั้นคงระบบเครือข่าย

วันนี้ผมมีความรู้ กับ หัวข้อที่น่าสนใจ ในเรื่อง ระบบความปลอดภัยของระบบเครือข่าย ซึ้งกำลังเป็นหัวเรื่องน่าสนใจอย่างมากในปัจจุบัน เนื่องจาก ทุกๆสิ่ง ทุกๆอย่าง กำลังพึ่งพาคอมพิวเตอร์ รวมไปถึงสิ่งที่สำคัญ ไม่ว่าจะเอกสาร ข้อมูลทางการเงิน ก็จำเป็นต้องพึ่งเทศโนโลยีสารสนเทศ ในการรักษาความปลอดภัยของข้อมูล ซึ้งจากปัจจุบันนี้ เมื่อเข้าสู่ยุคโลกาพิวัศ โจนในอดีตที่ต้องขี่ม้า แกะรอยเส้นทางรถขนเงิน ก็เปลี่ยนเป็นดักถ่ายภาพเส้นทาง ขับรถยนต์ไล่ตาม จนปัจจุบัน การส่งผ่านเงินได้ใช้เส้นทางผ่านเครือข่าย โจนก็เปลี่ยนวิธีหนทางเป็นตรวจจับแพ็กเกจ แล้วเมื่อทราบปลายทางแล้ว จึงทำการเจาะระบบ เพื่อขโมยข้อมูลธุรกรรมต่างๆ ซึ้งเทศโนโลยีได้ก้าวนำไปเท่าไหร่ วิวัฒนการการโจรกรรมก็พัฒนาไปเท่านั้น ดังนั้นลำพัง เพียง Firewall ที่สามารถป้องกันการโจมตี ป้องกันการรุกรานจากภายนอก คงไม่สามารถป้องกันการเจาะระบบได้อีกต่อไป จึงมีระบบ ISP ขึ้นเพื่อตรวจจับและสร้างเกาะป้องกันที่มั้นคงยิ่งขึ้น

  • เริ่มแรกเรามาทำความรู้จัก Firewall กันก่อนว่า Firewall คือ อะไร ทำงานอย่างไร
    • เป็นลักษณะของตัวตรวจจับข้อมูลเข้าออก ที่มีกฏเกณท์กำหนดไว้เพื่อป้องกันการบุกรุกจากภายนอก ซึ้งมีทั้งเป็นซอฟต์แวร์และ ฮาร์ดแวร์ ซึ้งการทำงานของ Firewall จะมี 2 ชนิด คือ
      • แพ็กเก็ตฟิลเตอร์ (Pacet Filter) จะเป็นลักษณะการทำงานในชั้นสือสารเน็ตเวิร์ก จัดเป็นวิธีที่ง่ายและรวดเร็ว แต่มีข้อเสียที่บางทีอาจมีผู้ลักลอบเข้ามาด้วยการ ปลอมแปลงหมายเลขไอพี (Spoofing) ทำให้ระบบอนุญาติให้ผ่านเข้าไปได้
      • พร็อกซีเซิฟเวอร์หรือแอปพลิเคชั่นเกตเวย์ (Proxy Server/Appication Gateway) จะเป็นการทำงานของ Proxy Server มีความซับซ้อนกว่าแบบ Packet Filer ทำหน้าที่ เสมือนกับนายประตูของเครือข่ายภายใน โดยทุกๆทรานเซกชั่นของเครือข่ายภายนอกที่ได้มีการร้องขอเข้ามา จะต้องผ่าน Proxy Server เสมอๆ

  • เมื่อเรารู้จัก Firewall กันแล้ว เรามารู้จัก IPS กันต่อดีกว่า ว่ามันคือ ระบบอะไร แล้วทำไมมันถึงเพิ่มประสิทธิภาพระบบ ?
    • IPS หรือ ชื่อเต็ม Intrusion Prevention System คล้ายคนคงคุ้นๆ ใช่ระบบ IDS หรือ Intrusion Detected System ใช่ไหม? จริงๆแล้ว อยู่ในตระกูลเดียวกันเลย ในตระกูล NIDS(Network-Based IDS) พูดได้ว่า IDS และ IPS แทบจะเหมือนกันเลย หรือเป็นฟังก์ชั้นการทำงานเดียวกันเลย แต่ IPS มีประสิทธิ์ภาพที่สูงกว่า คือ ตัวระบบไม่เพียงแต่ตรวจตรา เฝ้ามอง Monitor Traffic เพียงเท่านั้น แต่มีฟังก์ชั้นที่ตรวจจับสิ่งผิดปกติ และ จัดการกับสิ่งปกตินั้นโดยทันทีโดยไม่ต้องพึ่งฮาร์ดแวร์หรืออุปกรณ์อื่นๆอีก ซึ้งถ้าเปรียบเทียบ IDS ก็เหมือนกล้องหน้าประตูค่อยดูคนที่มาติดต่อ แต่ไม่ได้สามารถกระทำการใดๆ หรือตรวจจับผู้ประสงค์ร้ายได้ แต่ IPS ก็เหมือนกับ ยาม สามารถตรวจเช็คคนที่มาติดต่อได้ สามารถปฏิบัติการลากตัวผู้ประสงค์ร้ายออกจากพื้นที่ได้อีกด้วย
    • รูปแบบการทำงานของระบบ IPS
      • จับตา/เฝ้ามอง Packet ที่วิ่งบน Traffic พร้อมวิเคาระห์ Protocol และ อ้างอิงSignatures เพื่อทำการตรวจสอบการจราจรที่ผิดปกติ
      • เนื่องจากระบบ IPS นั้นต้องวางอยู่บน In-line ทำให้สามารถ Block Traffic หรือตัดPacket ที่ต้องสังสัยได้ โดยมี 2 หลักการทำงาน คือ
        • 1) ส่งสัญญาณ TCP Reset โต้ตอบกลับไป
        • 2) ระบบจะทำการสั้ง Policy Firewall เพื่อปรับเปลี่ยนกฏบางข้อ เพื่อป้องกัน Packet อันตรายไม่ให้เข้ามาในเครือข่ายได้
    • แล้วทำไมถึงเพิ่มประสิทธิภาพการป้องกันระบบ ?
      • อย่างแรกเลย โดยปกติแล้ว ระบบ IPS มักจะวางอยู่ต่อจาก Firewall จึงเสมือนกำแพงชั้นที่ 2 ที่มีแข็งแรงคงทนกว่าชั้นแรก และจากที่ผมกล่าวมาเลย ... เมื่อระบบ IPS มีความสามารถในการตรวจจับได้แล้ว ยังสามารถ Analysis ได้ จึงทำให้ระบบมีความ Intelligence มากกว่า Firewall ที่ทำงานเพียงตามรายการอนุญาติ ไม่อนุญาติ อีกทั้งระบบ IPS นั้น เมื่อมีการตรวจจับการบุกรุกที่ผิดปกติได้แล้ว ระบบยังสามารถติดต่อกับ Firewall เพื่อปรับเปลี่ยนกฏได้อีกด้วย ถือเป็นอดรอยรั่วของระบบที่เกิดขึ้นและยังถือเป็นการเสริมกำแพงชั้นแรกให้แข็งแรงขึ้นอีกด้วย
จากทั้งหมดที่กล่าวมา ในหัวข้อระบบการป้องกันการบุกรุก จะเห็นได้ว่า ระบบความปลอดภัยของระบบนั้นก็มีการพัฒนาขึ้น ให้มีแข็งแรงและ มีประสิทธิภาพการป้องกันที่ดีขึ้น ซึ้งแตกต่างจากเดิม จะมีเพียงนวัตกรรม IDS ที่ใช้ในการMonitor Traffic แบบ Real time ค่อยตรวจจับPacketต่างๆทั่วไป ก็พัฒนาให้สามารถตรวจจับพร้อมทำการวิเคาระห์พฤษติกรรม(Behavior)+กระทำการโต้ตอบโดยทันท่วงที  ซึ้งจะเห็นได้ว่า ระบบงาน Security นั้นเป็นระบบงานที่ไม่ตายตัว และจำเป็นต้องมีการพัฒนาตลอดเวลาควบคู่ตามไปกับเทคโนโลยีในทุกๆก้าว เนื่องจากจำเป็นต้องทำคู่ไปกับนักเจาะระบบหรือโจนราวกับมวยคู่เอก หรือไม่ก็Tom&Jerry ที่พยายามสืบเสาะหาเทคโนโลยีใหม่ๆมาใช้ในการปฏิบัติการก่อการร้าย หรือเข้ามาทำลาย ระบบความปลอดภัยที่มีอยู่นั้นเองครับ
เขียนโดย ที่ ไม่มีความคิดเห็น:

วันพฤหัสบดีที่ 4 กันยายน พ.ศ. 2557

คำสั้งในการตั้งค่า Router และ Switch(VLAN) [CISCO]

คำสั้งเริ่มต้น เข้าสู่การป้อนข้อมูล
  • enable
เข้าสู่ Mode Config
  • conf t
คำสั่งปรับค่าในแต่ละport
  • interface [ชื่อสถาปัตยกรรมตามด้วยหมายเลขport] เช่น gig0/0 , fa0/0
คำสั้งป้อนIpให้port (Router)
  • ip address [ip] [subnetmark]
คำสั้งออกหรือถอยจากตำแหน่ง
  • exit , end
คำสั้งเปิดบังคับใช้port/ปิดบังคับใช้งานport (Router)
  • no shutdown/shutdown
คำสั้งดูRoute Table (Router)
  • show ip route
คำสั้งดูค่า Configuration ทั้งหมด
  • show run
คำสั้งกำหนดเส้นทาง Route (Router)
  • ip route [หมายเลขเครือข่าย] [สับเน็ตของหมายเขาเครือข่าย] [ipช่องทางที่เข้าถึงได้(Routeเพื่อนบ้านเจ้าของเส้นทาง)]
คำสั้งบังคับใช้ หรือ เขียนคำสั้ง
  • wr หรือ copy run startup-config
========================================================================

คำสั้งตั้งค่าVLAN
  • vlan [หมายเลขที่ต้องการ]
คำสั้งดูค่า VLAN
  • show vlan
คำสั้งกำหนดประเภทของ Port (Switch)
  • switchport mode [access,trunk]
คำสั้งจัดเรียงmodeดังกล่าวอยู่ใน category vlanใด (Switch)
  • switchport access [ชื่อVLANที่ต้องการ]
========================================================================

คำสั้งในการจัดการ VLAN ใน Router
  • interface [ชื่อสถาปัตยกรรมตามด้วยเลขพอร์ดที่ต้องการ/หมายของลำดับ( |.| sub portย่อย)] เช่น gig0/0.1 , fa0/0.1
หากเกิดปัญหาไม่ตรงตามสถาปัตยกรรม
  • encapsulation dot1q 10

ขอขอบคุณ : Mr.danscourses และ คุณ khomson kocento
เขียนโดย ที่ 2 ความคิดเห็น:

วันจันทร์ที่ 1 กันยายน พ.ศ. 2557

มารู้จัก Routing Table กันครับ

Router(เราท์เตอร์) คือ อุปกรณ์ที่ทำหน้าที่ในเลเยอร์ 3 เหมือนกับ Hub และ Switch โดยเราท์เตอร์จะมีความฉลาดกว่า จะอ่านAddressของปลายทางที่ Header ของแพ็กเก็ตข้อมูล เพื่อใช้ในการกำหนดเส้นทางที่จะส่งแพ็กเก็ตนั้นต่อไป ซึ้งในRouterจะมีข้อมูลเกี่ยวกับการจัดเส้นทางให้แพ็กเก็ต เรียกว่า Routing Table ข้อมูลในตารางนี้จะเป็นข้อมูลที่ Router ใช้ในการเลือกเส้นทางที่ดีที่สุด ไปยังปลายทาง ถ้าเส้นทางหลักเกิดการขัดข้อง Router ก็สามารถเลือกเส้นทางใหม่ได้

Routing Table เป็นตารางข้อมูลของเส้นทางการส่งผ่านข้อมูล เพื่อใช้พิจารณาการส่งผ่านข้อมูล ในการได้มาของ Routing Table มีอยู่ด้วยกัน 2 วิธี คือ

  1. Static Route คือ การเพิ่มเส้นทางใน Routing Table ด้วยผู้ดูแลเนตเวิร์คเอง เพื่อให้เราท์เตอร์ทราบว่า เมื่อต้องการส่งข้อมูล ไปที่ Subnet Address ใด จะต้องส่งผ่าน Router ตัวไหน ค่าเส้นทางที่ป้อนเข้าไปในตารางเลือกเส้นทางนี้มีค่าตายตัว ดังนั้นการเปลี่ยนแปลงที่เกิดขึ้นใดๆบนเครือข่าย ผู้ดูแลระบบเน็ตเวิร์ค ต้องเข้าไปจัดการทั้งหมด ซึ้งเหมาะกับองค์กรขนาดเล็ก ที่ต้องการรักษาความปลอดภัยของข้อมูล เนื่องจากสามารถแน่ใจว่า ข้อมูลข่าวสารที่ส่งจะต้องวิ่งไปบนเส้นทางที่กำหนดไว้ให้ ตายตัว โดยไม่ต้องใช้ software เลือกเส้นทางใดๆทั้งสิ้นและประหยัดการใช้ แบนวิดท์บนเครือข่ายได้มาก
  2. Dynamic Route เป็นการใช้ซอฟต์แวร์ที่ติดตั้งมากับ Router เพื่อทำหน้าที่แลกเปลี่ยนข้อมูลข่าวสารที่เกี่ยวกับการเลือกเส้นทางระหว่าง Router หลักการทำงาน คือ Router จะส่ง Routing Tableที่สมบูรณ์ของตัวเอง ให้กับ Router เพื่อนบ้าน หรือเรียกว่า มีRouting Protocol ที่ใช้ในการแลกเปลี่ยน Routing Table เอง โดยที่ผู้ดูแลเครือข่ายไม่ต้องแก้ไขข้อมูล Routing Table ใน Router เลย ซึ้งมีความเหมาะสมกับเครือข่ายขนาดใหญ่ เพราะ Router สามารถจัดการหาเส้นทางเอง หากมีการเปลี่ยนแปลงของเครือข่าย
    • โดย Routing Protocol จะมีอยู่ 2 ตัวด้วยกัน ซึ้่งทั้งสองตัวนี้ต่างมีจุดประสงค์ที่เหมือนกัน ก็คือ การทำให้เราท์เตอร์ปัจจุบันมีตาราง Routing Table ที่ประกอบด้วยเส้นทางที่ดีที่สุดที่สามารถส่งข้อมูลไปถึงซับเนตแอดเดรสปลายทางทั้งหมดได้ แต่สิ่งที่แตกต่างกันจะอธิบายต่อไปดังนี้
      • โปรโตคอลตัวแรก คือ RIP (Routing Information Protocol) หรือ Distance Vector คือ การที่ Router จะเรียนรู้โครงสร้างเน็ตเวิร์คและซับเนตแอดเดรสปลายทางต่างๆโดย อาศัยการแลกเปลี่ยนตารางเราท์ติ้งเทเบิลกับตารางเราท์ติ้งเทเบิลของเพื่อนบ้าน เพื่อที่จะได้เรียนรู้ว่าเราท์เตอร์ของเพื่อนบ้าน รู้จักกับซับเนตแอดเดรสอะไรบ้าน เพื่อที่จะอัพเดตตารางเราท์ติ้งเทเบิลของตนเอง ว่าถ้ามีแพ็กเก็ตที่มีแอดเดรสปลายทางเป็น Subnet Addrest ที่เพื่อนบ้านรู้จักก็จะส่งต่อแพ็กเก็ตนั้นไปให้เราท์เตอร์เพื่อนบ้านตัวดังกล่าวเลย
      • โปรโตคอลตัวต่อมา คือ OSPF (Open Shortest Part Test) หรือ Link State คือ เราท์เตอร์จะส่งข้อมูลอินเตอร์เพสทั้งหมดของมันไปให้กับเราท์เตอร์เพื่อน้บาน เพื่อให้เราท์เตอร์เพื่อนบ้านคำนวณหาเส้นทางที่ดีที่สุดเอง ซึ้งเราท์เตอร์จะไม่รู้จักแค่เราท์เตอร์เพื่อนบ้านแต่จะรู้จักเราท์เตอร์ข้างเคียงด้วย ทำให้เราท์เตอร์สามารถเห็นภาพรวมทั้งหมดของเน็ตเวอร์เป็นอย่างดี
      • (ซึ้งข้อแตกต่างที่เห็นได้ชัดเจน) คือ Distance Vector จะเชื่อเราเตอร์เพื่อนบ้านเป็นหลัก เพื่อนบ้านอัพเดตข้อมูลใดมา ก็จะอัพเดตเราท์ติ้งเทเบิลของตัวเองไปตามนั้น แต่ถ้าเป็น Link State เราท์เตอร์จะพยายามหาแผนผังเครือข่ายทั้งหมดด้วยตนเองก่อนแล้วค่อยมาหาเส้นทางที่ดีที่สุดภายหลัง
แหล่งที่มาและขอขอบคุณ :: คุณจุ๊ฟจีฟ แห่งบอร์ด Riverplusblog (http://www.riverplus.com)

เขียนโดย ที่ ไม่มีความคิดเห็น:

มารู้จัก Log Management และ SIEM คราวๆกัน

พูดถึง ... คำว่า Log file นั้นคือ ข้อมูลการจราจรหรือการบันทึกการกระทำที่เกิดขึ้นบนระบบหรือกิจกรรมที่เกิดขึ้นบนเครือข่าย ประกอบไปด้วย แหล่งกำหนิด(Source Address) ปลายทาง(Destination Address) เวลา-วันที่ ระยะเวลาและชนิดของบริการ โดยเนื้อหาข้างใน Log file จะมีลักษณะเป็นตัวหนังสือและเครื่องหมายยึกๆยื้อๆ แต่สามารถนำมาถอดรหัสได้ว่ามีสิ่งใดเกิดขึ้นบ้างในช่วงที่ผ่านมา ราวกับเป็นซากฟอสซิลที่บ่งบอกเรื่องราวในอดีตได้

การจัดการ Logs ให้มีประสิทธิภาพ และ สอดคล้องกับพรบ.การกระทำผิดทางคอมพิวเตอร์นั้น จำเป็นต้องเก็บRaw Log(ต้นฉบับlog) ไว้ในที่ที่ปลอดภัย ดังนั้น ระบบการจัดการที่มีประสิทธิภาพนั้นต้องมี การเก็บไว้ส่วนกลาง(Centralized Logging Server) โดยจำเป็นต้องมี Log Server ไว้ใช้เพื่อการStoreข้อมูลlogและรักษาความปลอดภัยของData logในเครือข่าย หรือจะทำการSIEMในระดับถัดไป

3 หัวใจหลักในการจัดการLogs (Logs Management)
  • Log Generation : การทำให้logเกิดขึ้นบนlog serverได้มีสองลักษณะ
    • ลักษณะแรก คือ การตั้งค่าให้log file ถูกส่งไปยัง log server ได้
    • ลักษณะสอง คือ การอนุญาติให้log server สามารถเดินทางมาหยิบ log data ที่เครื่อง host ได้
  • Log Analysis and Storage : log server ผู้รับlog สามารถเรียกว่า Collectors หรือ Aggregators เพื่อนำไปสู่การAnalysis ตัวจัดการlog server จะมีฟังก์ชั่นอัตโนมัติในการconvert log format ต่างๆมากมาย ให้อยู่ในformatเดียว ซึ้งเรียกว่า การทำNormalization แล้วก่อนจัดเก็บก็ทำการ Compression และ Encryption เพื่อความปลอดภัยของข้อมูลlog
  • Log Monitoring : เมื่อทำการรับlogsมาแล้วก็ทำการแสดงผลlogsทั้งหมดเพื่อทำการmonitorจับตาดูlogต่างๆที่เกิดขึ้น หรือ ทำการดูผลโดยแสดงรายงาน(Report) จากฐานข้อมูลLog
**ซึ้งหัวใจหลักของการจัดการlog คือ การวิเคารห์ (Analysis) และ การเก็บข้อมูล (Storage) โดยจำเป็นต้องคำนึงว่าต้องไม่มีการเปลี่ยนแปลงใดกับ Original logs (Raw logs)

SIEM (Security Information Event Management)

เป็น software ตัวนึงที่เข้ามาจัดการLog ไม่ว่าจะเป็นการ จับดูความเคลื่อนไหวต่างๆ(Monitor) , วิเคาระห์Logs(Analysis) , การแปลภาษา แกะภาษาหรือทำการNormalization และการจัดเก็บข้อมูลLogs จนกระทั้งยังมีความสามารถใน Event Correlation , ทำการแจ้งเตือนพฤติกรรมที่ผิดปกติ และยังสามารถช่วยสร้างReportได้ ซึ้งความสามารถที่มีทั้งหมดนั้น ล้วนเกิดมาจาก Software หยิบข้อมูลLogs ที่ Softwareได้ช่วยจัดการไว้ นำมา Analysis

สิ่งที่จำเป็นต้องมี ต้องมีการจัดการ log ไว้ในส่วนกลางหรือทำCentralized Logging Server โดยต้องมีอย่างน้อย หนึ่งเชิฟเวอร์หรือมากกว่านั้น ต่อมาต้องเช็ตค่าอุปกรณ์ต่างๆในเครือข่าย ให้มีการส่งlog data เข้าสู่ส่วนกลาง เพื่อให้เชิฟเวอร์logsใช้งานได้ตรงตามจุดประสงค์
เขียนโดย ที่ ไม่มีความคิดเห็น:

ว่าด้วยเรื่อง Intrusion Detection System (IDS) ระบบตรวจจับการบุกรุก

หากกล่าวถึงระบบ IDS ที่เป็นส่วนหนึ่งของการจัดการ SIEM ที่ทำให้ระบบมีประสิทธิ์ภาพมากยิ่งขึ้น ในระบบ Security Information Event Management จำเป็นต้องสร้างความสัมพันธิ์เชื่อมโยงหรือ Correlation Even  ทั้ง Log anaysis(LIDS) และ การจับพฤติกรรมหรือเหตุการณ์ในเส้นTraffic(NIDS) เพื่อให้สามารถจัดกลุ่มข้อมูลและแสดงรายงานเป็นรายการได้

โดยหากพูดถึงตัว Open Source ดีๆ ที่มีชื่อเสียง ก็ประกอบไปด้วย Snort , Snorby , Sguil , Squert และ OSSEC โดยbased on SOหรือSecurity Onion(ซึ้งหากกล่าวระบบ Security Onion เป็นระบบ Linux distributions สำหรับ IDS(Intrusion Detection)และNSM(Network Security Monitoring)ที่ประกอบไปด้วยsecurity tool มากมาย)


  • Snort - เป็นระบบ IDS (Intrusion Detection System) ที่เป็นส่วนหนึ่งของระบบ Security Onion สร้างขึ้นโดยบริษัท Sourcefire มีความสามารถจับการเคลื่อนไหวในtrafficแบบreal-time ยังสามารถดักจับ packetที่เกิดขึ้นในIP Protocal Network

  • Snorby - เป็นWeb application ใช้งานในลักษณะ Security Monitor Data โดยเสมือนเป็นmaskของSnort เนื่องจากมีการดึงข้อมูลมาแสดงผล(Network Monitor) ซึ้งSource Codeพัฒนาบน Ruby on Rails
          วีดีโอตัวอย่างการใช้งาน Snorby : ( http://vimeo.com/16597187 )

  • Squil - เป็นระบบที่พัฒนามาจาก Snort หรือใช้ตัว Engine เดียวกัน มีความสามารถใช้งานเหมือน Snort เพียงแต่ Squil มีตัวGUI Interface ให้ใช้งานด้วย

  • Squert - มีหลักการการทำงานคล้ายๆ Snorby แต่มีการดึงข้อมูลมาแสดงผลจากตัว Squil Database ซึ้งยังมีฟังก์ชั่นเพิ่มเติมในการ View และ Query โดยBased ในภาษาSQL

  • OSSEC- เป็นระบบรวมผสมผสานระหว่าง Logging monitor และ SIM/SIEM อยู่ภายในตัว จีงถือว่าเป็น Open Source Host-based Intrusion Detection System (HIDS) โดยมีประสิทธิภาพการทำงานมากมาย อาทิเช่น ทำlog analysis , policy monitoring , ตรวจสอบความถูกต้องของไพล์ และยังสามารถ alerting และทำการโต้ตอบหรือตอบสนอง ได้อย่างreal-time
เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)