2007年7月31日 星期二

防火牆的規劃(Policy-Making Of Firewall)

沒有留言:
防火牆的種類十分多,有軟體、硬體之分,當然也依功能性的不同有極大的價格差距,對於一般使用者來說,防火牆已經是不可缺少的一部份,現在只要一安裝完作業系統,就具備有一定的防火牆功能

雖然如此,但是絕大多數人還是會視防火牆功能的相關設定如無物,或是因為嫌它跳出警告視窗太過頻繁,造成使用上的困擾之後,變成選擇忽略,甚至於取消相關設定都大有人在,這樣一來防火牆只是點綴用的產品(沒辦法,台灣人總是喜歡俗又大碗的東西)

筆者玩過的防火牆並不算多,但是相關的設定其實大同小異,重點是在於觀念上的差別(可參考防火牆用途一文),除此之外,其它是視預算與使用人數決定

那規劃的部份又有那些呢?

這就沒有制式的答案了,除非你的財力能夠盡可能的包山包海(效能與備援兼顧),不然的話,也是有一好沒兩好,真的有財力的人,也不用攬回來自己做呀!

所以,經常會有些取捨,筆者這裡指的是硬體防火牆的設備(各大廠商都有相關產品 ),軟體的部份暫先不論,因為各家差異雷同之處,請用力看玩官方的說明手冊(如果有的話!?),其實很多家用的Router或AP都有簡易的防火牆,但是說明文件之少,會讓你大吃一驚!

好了!直接切入正題吧!

1. 備援的選擇性:防火牆規劃之前,請先想清楚網路的服務禁不禁的起斷線的傷害(金融業、股市、大型服務業...),如果禁不起的話,請準備能夠備援的線路,千萬不要把所有的賭注壓在單一設備/線路上,否則只要ISP給你亂一下,或是線路來個瞬斷,那損失非人力所及

2. 硬體設備的選擇:硬體設備的選擇主要取決於你的建構模式(串聯或並聯),主要還是以串聯居多(所有進出都經過防火牆),並聯部份需經 Port mirroring(或舊式switch),這部份通常是用於網路記錄器的功能

3. 切割DMZ和LAN:就要視你所要設置的服務的重要性而定,例如:只是一般供人瀏覽的網頁伺服器,就可以考慮放置在DMZ上,這樣就算這一類的網站遭受到相關的攻擊時,也不至於影響內部人員的正常運作

4. 規則設定這就是防火牆的最核心部份,重點是觀念指令只是工具
 (1)劃分LAN、WAN及DMZ對內及對外的規則
   例1:連MSN是LAN對外部的Server要求服務(開放LAN --> WAN)
   例2:連上DMZ的Web Server(開放LAN --> DMZ)
   例3:外部連上LAN中的Server(開放WAN --> LAN)
 (2)LAN端的Server僅開放特定Port(Port Forwarding),不要全部開放
 (3)其它功能:頻寬負載平衡、防堵P2PIM軟體、甚至Mail、IM內容記錄

5. 測試與上線:做好規則設定再上線(先全鎖,再進行開放),否則易有漏網之魚

6. 其他:在設置規則時,如果遇到不確定該軟體使用的通道(Port)可以先全開放,觀察流量與封包特性後,即可發現該軟體使用的Port(如果是IM軟體,一般都不需特別設定它們會自己透過80 Port 穿透),除非使用的防火牆需特別開放IM軟體才能通過

其實,防火牆的建構在一般企業都需要(不限領域),不過真的導入的企業並不多,因為價位通常偏高,而且老闆會有疑慮(看不見防火牆對公司獲利的建樹),而且,可能會造成人事與時間成本的浪費,除此之外,還有可能「增進」公司員工的上班的專注力。(笑...心裡有數就好!)

2007年7月30日 星期一

無法上網的原因(Can't On Line)

4 則留言:
筆者在參加某次面試的時候,該公司給了厚厚的一份測驗卷,其中包括ERP網管工程師程式設計相關(拼命寫也要快兩小時才寫完)

在網管工程師的部份中有一題:如果現在網路不通,請問要用何種方式來檢測網路狀態及修復,這一題直到現在筆者都還記得很清楚,現在就跟大家分享一下,如果下次自己也遇到類似的狀況,也可以很快的自我檢測一番。(雖然筆者在先前的文章也有說明過類似的內容)


首先,要先確認一下你的作業系統為何種,無論是M$或Linux系列,大多可以透過圖型介面來處理,不過筆者還是建議能到命令提示字元或Console模式下來處理,因為這樣子才能夠清楚來龍去脈(雖然要打的指令會比較多一些)

檢查的方向,筆者建議由自己的電腦往連線設備檢查,因為原本能夠上網,突然只有自己不能連線時,通常都是自己的電腦有問題,否則大家一起哀嚎的聲音,應該很快的就能夠上達天聽

檢測的動作分為硬體軟體部份,視狀況交叉運用,下列只是筆者的拙見

1. 硬體:先確認自己的網路線是否有確實接上(網路燈號有閃爍)。

2. 軟體:利用指令檢測(pingtracert或traceroute)。
 (1)ping 自己:ping 127.0.0.1 (確認自己網路卡能正常工作)
 (2)ping router/gateway:ping 192.168.1.1(確認LAN能夠通)
 (3)ping hinet dns:ping 168.95.1.1(168.95.192.1)(確認對外能通)

PS:如果ping沒回應或有封包遺漏(一般來說在區網內可ping的到,除非有設定防火牆,針對ICMP不回應ping的封包),那就可以很快的區別出該從那兒查起

3. 軟體:如果遺漏封包,有可能是有人佔據了大部份頻寬或是中毒,可以利用tracert(traceroute)來檢查,例:tracert 168.95.1.1 ,看在那一段所耗費的時間最久(time若是超過1000 ms以上,即為擁塞),就可以請相關人員處理。

PS:超過1000 ms的處置方式:
 (1)自己到Router:若無上傳大型檔案,可能中毒(停用網路避免影響他人)
 (2)Router到ISP的第一個端點:內部有人中毒或使用P2P佔去頻寬(洽網管)
 (3)ISP的端點間:就可以打電話給你的ISP業者申告(洽ISP的客服/障礙電話)

4. 硬體:家中分享多人上網,詢問有無P2P或傳檔,若LAN燈急閃,拔除該條網路。

5. 軟體
 (1)清除IE的暫存資料(Cookie、暫存檔...)
 (2)停用系統還原
 (3)將隱藏系統檔案的權限取消
 (4)重開機 + F8(切至安全模式)不含網路
 (5)進行全系統掃描(掃毒軟體的病毒碼可由別台電腦更新後,Copy進行覆蓋)

6. 軟體:病毒清除後,造成無法上網,以LSP-Fixwinxpsockfix來重置網路。

7. 軟體:檢查hosts、route table(route print、route)、ipconfig -all (ifconfig)。

8. 硬體:以上動作查不出的話,只剩硬體問題,更換網路卡/線或熱當重新開機!

希望能夠協助每個人更快速的解決無法上網的狀況,雖然這應該是網管該做的事,但是能夠在最短的時間內解決問題正常工作,才是上上策。(雖然斷線有時反而是件好事啦!)

2007年7月27日 星期五

病毒感染的現況(Effect of Computer Virus )

沒有留言:
最近常見的病毒感染及影響,筆者在此並不對病毒名多加闡述(相關變種名太多,各家軟體使用的名稱也未統一),只針對症狀與解決方法加以說明,其實解毒有一定的原則,在先前手動移除病毒的文章中已經有說過那三步驟,也就請各位移駕去看一下該篇的內容(也是本部落格最多人點閱的一篇)

首先,筆者要提醒各位,最近那msn相關的病毒又開始發作,所以當你msn名單中有人突然傳送網頁連結、檔案...等,請先確認對方對方有傳送的動作再加以接受,否則你的親朋好友馬上就會接到你傳出去的大量訊息與連結,這是在最近很常見的病毒感染途徑

除此之外,最多人中毒的途徑還是Email和一些含毒網頁的攻擊,雖然已經有人加裝了許多防毒軟體,但是對於使用者的「主動點擊」和使用習慣,防毒軟體也是束手無策,畢竟防毒軟體越完善,你在使用上的便利性就越低

現在就直接進入議題吧!

2007年7月25日 星期三

網路釣魚之猖獗(Phishing)

沒有留言:
筆者最近有不少朋友(包括自己)都收到某線上交易網站的帳戶資料維護信,在好奇心的驅使之下,去問問Google,得到的結論就是...網路釣魚(Phishing)真是無奇不有

這裡指的網路釣魚可不是指警察伯伯在網路上,利用某些手段讓那些有心做不太正確的事情的人,自動上門喔!而是指利用人性的忽略來釣取個人資料,進一步達到斂財的目的

原本,筆者也只是傳聞現在這一類的狀況相當猖獗(先前有報導說許多銀行網站都身受其害),主要是利用類似的英文(數字的1和英文小寫的”L”、p和q的錯認...等)來誘導使用者登入及寫下個人資料,再利用得手的資料登入真實銀行中,進行轉帳或相關的動作,所以受害人數之多,難以估計

2007年7月24日 星期二

網路位址的變換(IP & MAC Address)

4 則留言:
在網路上每個人使用的電腦,應該都有一串獨一無二的位址,如此一來才能確保別人要傳送給你的資料,不會找不到家,就如同我們現在的門牌一般

所以在網路設備上(網路卡、路由器、IP分享器...)都具備有唯一的位址,不過這個位址與一般人知道的IP有所不同,因為它主要是指MAC Address,他們之間的差異筆者在這並不多加說明(有興趣的可以點下連結,到維基去看看)

基於MAC Address和IP之間的關係,我們知道IP是一種協議,被設定在硬體的MAC Address上(簡單提一下),可以利用ARP的協議從IP反查到該設備的MAC Address

所以MAC Address應該是唯一的,不然就有可能會造成IP與MAC Address之間的組合錯亂,反過來也是,如果有人自行利用手動設定IP,就有可能會與人使用到同一個IP而造成衝突,就算系統沒有即時警告,在網路的運行上也會有很多麻煩(就像兩個人的門牌相同,或是身份證字號一樣),後果應該很容易就想的到吧!

而硬體設備的MAC Address是在製作的過程中燒上去的,前六碼是廠商代碼,後六碼則是流水號,所以對於硬體設備熟一點的人,一看見MAC Address後,就可以馬上反應過來是屬於那一家出廠的網路設備

不過在網路世界裡,很多事情都會有例外,有些時候手動設定IP會衝突(在LAN較為常見),時間間隔一段時間的兩個網路設備也有可能會遇到相同MAC Address的狀況,通常是同一家公司出來的產品(因為廠商代號相同),除了這些不小心的人為因素之外

現在,因為許多網路管理的設備會針對IP的分配或MAC Address做管理,有些有心的使用者就會透過一些方法來更動MAC Address(以前曾有某知名網路卡廠商釋出相關軟體),以規避網路管理者鎖MAC Address限流量,甚至是禁止上網的權利(在學術網路中極為常見)

雖然,現在的網路設備已經可以針對特定MAC Address鎖定其分配的IP,但是如果有心人士刻意與他人(合法使用者)交換其MAC Address,一樣可以做到規避的效果,反而讓合法使用者無法使用網路,除非管理者的網路設備能精確到每個路由或交換器的設備都控管,這樣子除非該使用者連網路線也對調,否則一樣會被查出(但是那種設備的價位極不友善呀!)

現在因為大家電腦的使用率增加,使用者的程度提高,還是可以利用一些小方式,一樣也能更改MAC Address,以2K、XP為例:

控制台 --> 系統 --> 硬體 --> 裝置管理員 --> 網路介面卡 --> 內容 --> 進階 --> network address --> 修改數值部份(不需冒號)即可

接著再利用命令提示字元(執行 --> cmd),鍵入ipconfig -all,就可以發現自己的MAC Address已經改成你想要的值了,那就代表你成功了(網路管理者就麻煩了!唉...)

除了這方法之外,其實還可以透過登錄檔(regedit)來更改,這部份筆者就先暫時略過,以免造成有人亂試,把自己電腦給弄壞還是其次,如果造成網路上的MAC Address及IP錯亂那才是大麻煩(其實是怕帶給網路管理者太多痲煩,尤其是手邊沒有相關設備)

不過網路上也有一些相關的軟體,例:網路隱身器...等(去問問Google吧!),這一類的軟體其實也是透過相關技術來欺騙設備(PROXY、改變MAC Address...等方式),不過只要自己不會在網路上做壞事的話,應該也可以省下這部份的麻煩吧!(因為這一類軟體常會被有心人士加料),你在享受隱身的快感時,同時也大開自己的方便之門喔!

雖然筆者也知道很多人是為了要下載國外某些網路空間之便,利用相關軟體來達成目的,但是反過來說,在你擁有了這麼多相對的資源時,是不是同時也侵佔了其它人的資源呢?(當然要能夠透過這種方法來變換IP還是需要一些非大眾所擁有的權限喔!)

所以,筆者只是要告訴那些想嘗試的人,若無法衡量可能的後果,千萬別以身試法,因為現在網路上的約束愈來愈多了,還是小心一點吧!

2007年7月23日 星期一

終極警探4.0「Die Hard 4.0」

4 則留言:
官方網站:
http://th.foxmovies.com.tw/diehard4/
http://www.livefreeordiehard.com/

筆者上周看了終極警探4.0,這片名感覺真像軟體世界的命名法呀!不過連英文原名也是相同,所以來這兒與大家一同分享一番!

因為這一集主要的內容是針對網災來做描述,就連美國這泱泱大國,也有可能被人竄奪其所有的一切,雖然只是電影,但是其真實性藉由如此的表達方式,也不難看出其可行性

因為一但與公眾事務有關,就能夠引發連鎖效應,就如同片中所提到的「Fire Sale」,如果藉由這些心理戰的手段,就能夠操控媒體(人們已過於依賴媒體),進一步達成他們想要造成的假象,況且,當我們所有的服務都上了網路

雖然增加不少的便利性,但是也失去了相對的安全(雖然人出錯的機率更大),不過這部電影也提供給我們一些不同的觀點與想法

1. 我們對網路世界的真相愈瞭解,愈會發現它的脆弱(對Hacker而言)
2. 對於媒體的真實性,無論如何還是要抱持疑問的狀態
3. 不要讓極少數人掌控國家的資訊流(反派是撰寫遭攻擊時財經流的應變程式)
4. 永遠都要對自己的資訊系統抱有極高的存疑度(針對它是否安全?)

在這整部片中,打鬥場面不斷,當然也有美國式英雄主義的風格,不過仍有許多另筆者存疑之處...

1. 電梯的監視器應該是封閉型態(用無線傳輸?),反派卻能得到內部影像
2. 如何能使財經資料,遭受重大變故時能將資料轉向特定服務器?(公權力...)
3. 新型的F-35戰機能夠這樣子操控嗎?(戰機有直升機的空中作戰能力)
...其它的請大家自行找尋!(保留一些看電影的樂趣)

不過,在片中又再一次顯現Hacker的宅男生活,難道一定要有宅男般的專注力,才可以讓自己在特定領域中出類拔粹嗎?還是有一些上了抬面,並且光彩奪目的Hacker(破解iPhone那一位仁兄)

筆者也希望能夠在自身想要努力的地方,有一番成績,不過好像還不夠專注(宅?),這部片據說是Die Hard系列中最賣座的一部,雖然片中真的有許多不太「合理」的部份,但是節奏跟劇情部份搭配的還算不錯

如果最搶眼的部份,應該是裡頭的Maggie Q所飾演的反派吧!(女性總是比較搶眼)尤其是跟主角近身打鬥那一段,雖然她會打輸是可預期的,不過還算可圈可點!

重點是,這整部片的主旨應該是提醒我們,網路能夠提供我們極大的便利,往往也能造究出極危險的使用環境,就看使用的人如何切入囉!三思一下吧!

2007年7月20日 星期五

無線技術的競爭(Wi-Fi、Wireless USB、Bluetooth)

沒有留言:
筆者今天看了一篇有關無線USB的文章後,突然覺得無線技術的大戰似乎愈來愈激烈,先前目光放在802.11n的技術,就是期待著無線網路速率提升到能夠與有線網路比擬的程度(雖然現在還沒有看見實際商業化的硬體出現)

今日花了點時間去搜集了些有關無線USB的文章後,發覺到一件事,如果無線USB的技術與商業化成熟之後,先前紅極一時的藍芽技術,可能就會很快的面臨危機

雖然,中階以上的手機,大多附有籃芽功能,可是反觀USB的設備(雖然無線還未能跨越門檻),幾乎所有的3C產品都具備,只是手機上的USB大多是採用規格較小的mini-USB,還是難逃過USB的應用層面

不過在藍芽需要害怕無線USB技術成熟,甚至於進一步量產商業化的同時,別忘了Wi-Fi的魅力所在,為何筆者會這樣子說呢?

現在中階的無線接收器上(AP)就整合了附有外接USB設備的功能,所以只要讓AP與其它有線的設備串接在一起,使用者只要用NB一樣能夠達成無線USB可以完成的工作

或許有人會說USB的速度(3M:480M bps)還是比無線網路(802.11n:300M bps)的速度快得多,可是這兩個規格都是理論值,實測值就大大地縮小了差距

無線USB:目前50~70M bps、年底據說會有70~100M bps的商品
Wi-Fi:目前802.11/a/b/g:約為20M bps,但是802.11n:有100M bps的實力

這樣子的落差,確實會讓人為無線USB的發展捏把冷汗,更何況筆者在網路平台上找到有關無線USB的商品,其售價還是偏高(美金1xx~200之間),雖然年底據說會有99美元的商品上市,可是相同價位也能夠買到AP+USB的整合性設備,所以未來還有一段挺長的路要走

這兩個技術都能壓迫到有線網路的生存性,雖然現在愈來愈多Giga級的網卡及晶片產生,可是網路架構及更新的成本還是過高(多少人玩過Giga級的網路線...),除此之外還有外觀、行動力上的缺點(但有安全性較高的優點)

反觀藍芽技術的延伸,原本藍芽在行動通訊上大行其道之時(連接耳機、NB...),大家對他都相當看好,不過對行動商務的使用者來說,在他搜尋周邊具有藍芽功能的設備時,卻顯露了一項極大的缺點:「用電量」,這也成為無線USB取代藍芽的因素之一

無論無線技術的發展如何,它們的安全性一直都是為人所垢病的問題,可是在便利性上卻又有著不可撼動的立足點,目前就筆者所知Wi-Fi和無線USB都可採用AES加密法,而藍芽則是採用E0加密法,在這部份筆者不多加評論,有興趣的人可以上Google看看相關文件吧!

使用過相關設備的人,歡迎上來一起討論!畢竟筆者沒有玩過所有相關設備,也許會有不一樣的想法與看法!也能補筆者的不足之處,這才是blog的魅力所在!