Endianfirewall & Authentiction

Endianfirewall & Authentiction   ในAssingment2นี้ผมจะเสนอวิธีการที่จะทำให้ผู้ใช้อินเทอร์เน็ตต้องทำการ Authen ก็คือต้องใส่ Username กับ Password ทุกครั้งก่อนใช้งานอินเทอร์เน็ต ด้วยโปรแกรม Squid Proxy ที่อยู่ในตัวของ Endianfirewall และให้ตัว Endianfirewall ทำการเก็บ Log File ไว้ 90 วัน ตาม พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ 2550 ที่มีผลบังคับใช้แล้ว […]

Endianfirewall & Authentiction

 

ในAssingment2นี้ผมจะเสนอวิธีการที่จะทำให้ผู้ใช้อินเทอร์เน็ตต้องทำการ Authen ก็คือต้องใส่ Username กับ Password ทุกครั้งก่อนใช้งานอินเทอร์เน็ต ด้วยโปรแกรม Squid Proxy ที่อยู่ในตัวของ Endianfirewall และให้ตัว Endianfirewall ทำการเก็บ Log File ไว้ 90 วัน ตาม พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ 2550 ที่มีผลบังคับใช้แล้ว ตั้งแต่วันที่ 18 กรกฎาคม 2550 ทำให้หลายองค์กรทั้งภาครัฐและภาคเอกชนด้องมีการปรับตัวครั้งใหญ่มาตราสำคัญที่เป็น มาตรา 26 และมาตรา 27 ซึ่ง มาตรา 26 บัญญัติให้ผู้ให้บริการต้องเก็บข้อมูลจราจรคอมพิวเตอร์ไว้ไม่ต่ำกว่า 90 วัน แต่ไม่เกิน 1 ปี

ซึ่งรายละเอียดข้อมูลจราจรคอมพิวเตอร์ที่ต้องจัดเก็บจะอยู่ในประกาศรัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารที่กำลังทยอยออกตามหลังการประกาศใช้งานกฏหมายฉบับนี้โดยผู้ให้บริการจะมีภาระหน้าที่เก็บข้อมูลจราจรเท่าที่จำเป็น เพื่อให้สามารถรบุตัวผู้ใช้บริการได้ หากผู้ให้บริการผู้ใดไม่ปฏิบัติ ต้องระวางโทษปรับไม่เกิน 5 แสนบาท และในมาตรา 27 บัญญัติไว้ชัดเจนว่าหากผู้ใดไม่ให้ความร่วมมือในการปฏิบัติตาม มาตรา 18 หรือ มาตรา 20 หรือไม่ปฏิบัติตามมาตรา 21 ต้องระวางโทษปรับไม่เกิน 2 แสนบาท และที่สำคัญต้องโทษปรับ รายวันอีก ไม่เกินวันละ 5 พันบาท “จนกว่าจะปฏิบัติให้ถูกต้อง”

1 . Proxy เริ่มการตั่งค่า Proxy เมื่อเปิดหน้าเว็บของ Endian มาแล้ว ให้เลือกที่ Menu Proxy และคลิกที่ Enable HTTP Proxy ดังรูปที่ 1.1

รูปที่ 1.1

 

 

 

1.1 Configuration เมื่อ Enable Proxy แล้ว ตรง Green ให้เลือกเป็น not transparent เพื่อให้เครื่อง Client ทำการ Authen

1.1.1 Proxy setting?

– Port used by proxy* ให้เราใส่มหายเลข port มาตราฐาน ของ Proxy คือ 8080

– Error Language* เลือกภาษาที่จะให้แสดง Error ผมเลือกเป็น English

– Visible Hostname used by proxy ชื่อเครื่อง Proxy Server ไม่ใส่ก็ได้ครับ

– Email used for for notification (cache admin) ใส่ Email ของผู้ดูแลระบบ ไม่ใส่ก็ได้ครับ

– Maximum download size (incoming in KB)* ผมใส่ 0 คือไม่จำกัดขนาดไฟล์ที่ Download ได้

– Maximum upload size (outgoing in KB)* ผมใส่ 0 คือไม่จำกัดขนาดไฟล์ที่ Upload ได้

1.1.2 Allowed ports and ssl ports?

– Allowed Port (from client) คือ Port ที่จะอนุญาติผ่านออกไปได้ สามารถกำหนดเองได้

– Allowed SSl Port (from client) คือ Port ที่เป็น SLL ที่จะอนุญาติผ่านออกไปได้ สามารถกำหนดเองได้

1.1.3 Log setting?

– ตรงนี้เราจะเลือกได้ว่าจะเก็บ Log ส่วนไหนบ้าง ตามรูปภาพด้านล่างผมจะไม่เลือก Firewall logging เพราะว่าจะใช้ได้กับ transparent proxies only เท่านั้น คือแบบที่ไม่ต้อง Authen

1.1.4 Bypass transparent proxy?

-ในกรณีที่ใช้ transparent proxy เราสามรถระบุ IP ได้ว่า ไม่ต้องผ่าน Proxy เวลาออกอินเทอร์เน็ต แต่เราจะไม่ใช้ส่วนนี้ครับ

 

 

 

1.1.5 Cache management ?

– Cache size on hard disk (MB)* กำหนดขนาดบน hard disk ที่ให้เก็บข้อมูลทั้งหมดของ Proxy

– Cache size within memory (MB)* กำหนดขนาดของ Cache บน Ram

– Maximum object size (KB)* ขนาดไฟล์ที่ใหญ่ที่สุดที่จะถูกเก็บใน Proxy

– Minimum object size (KB)* ขนาดไฟล์ที่เล็กที่สุดที่จะถูกเก็บใน Proxy

-Clear cache ลบไฟล์ใน Cach เมิ่อ Cache เต็ม

-Do not cache this destination ตรงนี้จะระบุได้ว่าเว็บไหน ไม่ต้องเก็บ Cache (ใส่ url )

1.1.6 Upstream proxy

-เราสามารถใช้ Proxy จากที่อื่นด้วยก็ได้ครับถ้าเลือกหัวข้อนี้จะมีให้ตั้งค่าเพิ่มอีก แต่ไม่ใช้นะครับ

1.2 Authentication ไปที่ Proxyและ Authentication ตรง Chooses Authentication Method*เลือกเป็น Local Authentication (NCSA) คือการใช้ User จากเครื่อง Endian เอง นอกจากนี้แล้วเรายังสามารถดึง User จาก LDAP, AD, RADIUS ได้เช่นกัน

1.2.1 Authentication setting?

– Authentication Reaim *ใส่ชื่อ Proxy คือจะเป็นขื่อว่า ผู้ใช้เขามาในระบบของเราที่ชื่อว่าอะไร

– Number of Authentication Children* กำจำนวนการ Log in ว่าได้กี่หน้าต่างใน Browser

Authentication cache (in minutes)* คือเวลาหลังจากที่ User Login เข้ามาในระบบแล้วจะอยู่ได้นานเท่าไร

– Number of different ips per user *คือ จำนวนของ user 1 คน จะให้เชื่อมต่อเข้ามาในระบได้กี่ ip

– User / IP cache (in minutes)* คือระยะเวลาที่ user ใช้ IP จากที่ต่างๆกันน้ันนานแค่ไหน

1.2.2 NCSA specific settings?

– NCSA user management จัดการเพิ่ม User เข้าในระบบ

– NCSA group management จัดการเพิ่ม Group เข้าในระบบ

– Min password length * กำหนดจำนวน Password ว่าต้องไม่น้อยว่ากี่ตัวอักษร หรือตัวเลช รวมถึงอักขระพิเศษ

-เมื่อตั้งค่าทั่งหมดแล้ว กด Save ครับ ข้อต่อไปเราจะมาดูวิธีการเพิ่ม User และ Group กันครับ

1.2.3.1 NCSA group management

– เมื่อคลิกที่ manage groups จะได้ดังรูปที่ 1.2.3.1

รูปที่ 1.2.3.1

– เมื่อคลิกที่ Add NCSA group จะได้ดังรูปที่ 1.2.3.2 ผมจะสร้างทั้งหมด 2 Group ตั้งว่า ชื่อ Admin กับ User ในช่อง group ให้ตั้งชื่อ Admin และกด Create group และ กด Apply จะได้ดังรูปที่ 13.2.3 และต่อไปก็สร้าง Group User ด้วยวิธีการเดียวกัน

รูปที่ 1.2.3.2

รูปที่ 13.2.3

 

1.2.3.2 NCSA user management

กลับไปที Menu Authentication > NCSA specific settings ? > NCSA user management และคลิกที่ manage user >Add user (ทำหล้ายกับการสร้าง Group ครับ) ผมจะสร้าUser 2 คน ชื่อ Pond กับ Muk โดยใส่ชื่อในช่อง Username* และ ใส่ Password* จำนวนไม่น้อยกว่า 6 ตัวอักษร (รูปที่ 1.2.3.2.1) และคลิกที่ Create user และก็ Apply แล้วทำครบจนทั้ง2คน(รูปที่ 13.2.2.2)

รูปที่ 1.2.3.2.1

รูปที่ 1.2.3.2.2

1.2.3.3 กลับไปที่ NCSA group management > manage groups อีกครั้ง จะเห็น Group ที่เราสร้างไว้ททั้งหมด 2 Group ผมจะให้ User ที่ชื่อว่า Pond อยู่ใน Group Admin และ User ชื่อ Muk อยู่ใน Group User โดยคลิกที่รูปดินสอ เพื่อทำการแก้ไข โดยคลิกเลือกที่ User Pond ให้เป็นแถบสีฟ้า ถ้าต้องการเลือกหลายคนก็กดปุ่ม Ctrl ค้างไว้ เมื่อเลือกแล้ว ก็กด Update group และก็ Apply ครับ ทำจนครบทั้ง2group ด้วยวิธีการเดียวกันนะครับ ตามรูปที่ 1.2.3.3.1, 1.2.3.3.2, 1.2.3.3.3

รูปที่ 1.2.3.3.1

รูปที่ 1.2.3.3.2

รูปที่ 1.2.3.3.3

 

2 Access Policy ไปที Menu Proxy > Access Policy จะได้คังรูปที่ 2.1 และคลิกที่ Add access policy

รูปที่ 2.1

2.1 เมื่อคลิกที่ Add access policy แล้ว จะได้ดังรูปที่ 2.1.1

– Source Type* เลือกเป็น <Any> เพื่อให้คอมพิวเตอร์จากต้นทางทุกเครื่องต้องทำการ Authen

– Destination Type* เลือกเป็น <Any> เพื่อให้คอมพิวทุกเครื่องต้องทำการ Authen ก่อนออกไปยังปลายทาง

– Authentication เลือกว่ารูปแบบว่าจะให้ Authen เป็น Group หรือ User ผมเลือกเป็น Group ครับ

– Allowed Group เลือก Group ผมเลือก Grop Admin ก่อนครับ

– Time restriction ตรงนี้ถ้าเลือก enable time restriction แล้วจะสามารถกำหนดช่วงเวลาการใช้งาน Internet ได้ครับ

– User agents? จำกัดการใช้งาน Agents ต่างๆ เช่นพวก Web browser Windows Update โดยการคลิกเลือกที่ Agents ให้ใช้ได้

– Access Policy* เลือกเป็น Allow access ครับ เพื่อให้ User ที่จะออกInternet สามารถใช้ Policyนี้ได้ครับฃ

– Filter profile * ผมเลือกเป็น none ครับ เพราะจะไม่กรองอะไรเลย (เราสามารถสร้าง Filter profile ได้เองนะครับใน Menu Content filter)

– Policy status เลือกตรง Enable policy rule ด้วยครับ เพื่อให้ Policy ทำงาน

– Position * เลือกเป็น First position

– กด Create Policy เพื่อสร้าง Policy ใหม่ครับ และก็ Apply ครับ

รูปที่ 4.1.1

3. Log ไปที่ Menu Log >Setting

3.1 Log viewing options

– Number of lines to display ใส่จำนวนบรรทัด ที่จะแสดงใน1หน้า

– Sort in reverse chronological order ไม่เลือกนะครับ

3.2 Log summaries

– Keep summaries for จำนวนวันที่ให้เก็บ Log ครับ ผมใส่ 90 วัน

– Detail level ความระเอียดของ Log ครับ มีให้เลือก 3 ระดับ

3.3 Remote logging

– เราสามารถ Enable เพื่อส่ง Log ไปยัง Log Server กลาง โดยใส่ IP ของ Log Server กลางที่จะส่ง Log ไปเก็บ

3.4 Firewall logging

– เลือกว่าจะเก็บ Log ส่วนไหนจาก Firewall บ้าง

 

4. DHCP Server การตั้งค่า DHCP Server ไปที่ Menu Services และ DHCP server เลือก Enable และคลิกตรงเครื่องหมาย + หน้าคำว่า Setting ตามรูปด้านล่าง

4.1 DHCP configuration ดูตรง settings ครับ

– Start address กำหนด IP เริ่มตั้นที่จะให้แจกกไปทีเครื่อง Client

– End address กำหนด IP สุดท้ายที่จะให้แจกไปทีเครื่อง Client

(แต่ปกติ Linux จะแจกจากหลัง ไป หน้า ครับ)

-Allow only fixed leases ถ้าเลือกข้อนี้ Server ก็จะแจก IP ให้เฉพาะเครื่องที่ Fixed leases เท่านั้น

– Default lease time (min)* คือถ้า Server ไม่สามารถติดต่อกับ Client ได้ในเวลาทีกำหนด (Default lease time) IP ทีแจกให้เครื่องๆนั้นก็จะถูกลบออกภายในเวลาที่กำหนดใน Default lease time

– Max lease time (min)* คือเวลาสูงสุดที่จะแจก ip นั้นๆ ให้กับเครื่อง นั้นๆ ก็คือไม่ตำกว่า เวลาของ Default lease time แต่ไม่เกิน เวลาของ Max lease time

– Domain name suffix ใส่ชื่อ Domain ไม่ใสก็ได้ครับ

– Default Gateway ใส่ IP ของ Gateway ก็คือ IP ของ Green Interface ของ Endian ครับ

– Primary DNS ใส่ IP ของ DNS ก็คือ IP ของ Green Interface ของ Endian ครับ แต่ถ้ามี AD ต้องใส่ IP ของ AD นะครับ

– Primary NTP Server ก็คือ IP ของ Green Interface ของ Endian ครับ เด๋วเราจะให้ Endian เป็น NTP server ด้วยครับ

– ส่วนช่องที่ว่างๆผมไม่พูดถึงนะครับ กด save all ครับ

5. Time Server การตั้งค่า Time Server ไปที่ Menu Services และ Time Server

5.1 ตรง Setting เลือก Override default NTP servers* และใส่ Server มาตรฐานของปะเทศไทยซึ่งมีอยู่หลายที่ ผมใช้time.navy.mi.th ของกรมอุทกศาสตร์ทหารรือ

– Time Zone* เลือก Asia/Bangkok และ Save หรือ จะลอง Synchronize ก่อนก๋ได้ครับเพื่อทดสอบว่าเชื่อมต่อได้หรอไม่

5.2 Adjust manually คือการกำหนดเวลาเองครับ โดยไม่ Synchronize กับที่อื่น

 

แหล่งที่มา

http://www.asterisk.co.th/taslog.php

http://www.thaiadmin.org/board/index.php?topic=112996.0

About Cyber7