Horizon

Friday, August 31, 2018

ตารางวิเศษเอ๊ย จงบอกข้าเถิด ใครแหล่มเลิศในปฏฐี Magic Quadrant for the Wired and Wireless LAN Access Infrastructure

ตารางวิเศษเอ๊ย จงบอกข้าเถิด ใครแหล่มเลิศในปฏฐี Magic Quadrant for the Wired and Wireless LAN Access Infrastructure


มาว่ากันเรื่องของ ตาราง Magic Quadrant จาก Gartner กัน

เจ้าตารางสี่ช่องนี้ หลาย ๆ หน่วยงาน ก็จะเอามาไว้สำหรับการอ้างอิงถึงยี่ห้อ ของอุปกรณ์ในระบบ IT ซึ่งมันก็มีหลาย ๆ หมวดหมู่ แต่ละหมวดหมู่ ก็จะมีการคิดเกณฑ์การให้คะแนนที่แตกต่างกันไป

วันนี้ มาลองวิเคราะห์ในหัวข้อ Wired and Wireless LAN Access Infrastructure ของปี 2018 กัน (ออกเดือน JUNE นะครับ)


เกณฑ์การให้คะแนน 

เอาส่วนของเทคโนโลยี มีอะไรบ้าง
1. Hardware
2. Software

ลงรายละเอียดทีละหัวข้อกัน
1. Hardware จะต้องมี
- Wireless Access Point
- Wired switch
- Controller (จะเป็น physical appliance หรือ virtual ก็ได้)

2. Software จะต้อง
- Network management, monitoring
- Performance management
- Guest Access
- On boarding services
- Authentication, authorization and accounting (AAA) security
- Policy enforcement
- Intrusion detection system/wireless intrusion detection system
- Location service
- Application visibility
- Network and vertical market analytics
- Security, including behavioral analysis

จะเห็นว่า เน้นๆ ไปทางความสามารถของ Software เป็นหลักเลย


เรามาดูการวิเคราะห์จาก Gartner กันว่า (ขอคัดมาเฉพาะบางยี่ห้อนะ)

Cisco เจ้าพ่อตลาดวงการ IT

ยี่ห้อนี้ ใครไม่รู้จักนี่แปลกมาก มีอุปกรณ์ทั้งหมดทั้งยวง wired switching และ wireless roduct
และส่งแนวรุกอย่าง Cisco Catalyst 9000 และ Aironet 4800 บุกตีตลาดเต็มที่
DNA-C หรือ Digital Network Architecture Center เป็นระบบบริหารจัดการสำหรับ Aironet และ Catalyst แต่ยังน่าเสียดายที่ กลุ่ม Product Wireless อีกตัว คือ Miraki ซึ่งเป็น Cloud Based Access Point นั้น ยังไม่สามารถบริหารจัดการได้ ณ ตอนนี้ใน DNA-C v1.1
จุดแข็ง
- ใน 2H18 นี้ Cisco กำลังจะทำให้ DNA-C สามารถบริหารจัดการให้ได้ทั้งหมด
- อุปกรณ์รองรับ IoT เต็มรูปแบบ
- อุปกรณ์ iOS จากค่าย Apple ก็รองรับการใช้งาน Wi-Fi iOS analytics ได้ด้วย

ข้อด้อย
- DNA-C ที่จะบริหารจัดการทั้ง Aironet และ Miraki นั้น เนื่องจากว่า Miraki ทาง Cisco ไปซื้อเค้ามา ในส่วนของ feature ต่าง ๆ อาจจะแตกต่างกันในเรื่องของการบริหารจัดการ ซึ่งต้องคอยดูว่า ถ้าเอามาบริหารจัดการร่วมกันแล้วจะราบรื่นแค่ไหน
- License ของ Cisco One Software นั้น แยกย่อยเยอะ ซึ่งก่อนจะทำการสั่งซื้อ ต้องคำนวนให้ถี่ถ้วนก่อน ไม่งั้นอาจจะบานปลายภายหลัง
- มีการรายงานจากลูกค้าว่า การติดตั้ง IoT โดยการใช้ SD-Access นั้น ค่อนข้างซับซ้อน

HPE (Aruba) หน้ากากใหม่ของพ่อมด WiFi

Aruba ย้ายบ้านใหม่ มาอยู่ภายใต้ Hewlett Packard Enterprise ก็เรียกว่า เป็นการเติมเต็มให้กับ HPE ซึ่งแน่นอน ของเค้ามีครบเช่นกันกับ Cisco และมีจุดแข็งอีกอันคือ ClearPass access control and policy ใช้สำหรับการจัดการด้านความปลอดภัยของการใช้งานระบบเครือข่าย Network ซึ่งเรียกว่าเป็น 360 Secure Fabric เพราะต่อยอดไปถึง IntroSpect ได้กันเลยทีเดียว อันนี้คือว่าเป็นจุดแข็งโป๊กของพี่ HPE
จุดแข็ง
- License ของ AirWave ก็สามารถทำ connectivity analytics ได้ และ AP License ก็รวมเอา guest access software มาให้ด้วย ก็ช่วยลดต้น/ทุนไปได้เยอะ
- สำหรับ Core หรือ Aggregation เช่นรุ่น 8400/8320 ก็รวมเอา network analytics,policy-based integration with monitoring และ security tool ให้แล้ว ก็ลดต้นทุนลงเช่นกัน
- มี Solution เรื่องของ Network Service Assurance นั่นคือ NetInsight ซึ่งเป็น Cloud-based ที่ประมวลผลเรื่องของ machine learning คลื่นความถี่จากทั่วโลก และสามารถแนะนำได้ว่า ควรจะต้องตั้งค่าระบบ Network อย่างไร และควรจะปรับแก้ไขอย่างไร เพื่อให้ได้ประสิทธิภาพสูงสุด

ข้อด้อย
 - HPE ไม่ค่อยให้ความสำคัญกับ Operational Technology (OT)
- Cloud management ของ HPE นั้น มี feature ไม่ครบ เมื่อเทียบกับการใช้ ClearPass และ AirWave

Extreme Networks ถ้าคิดค้นเองมันยาก เราก็ซื้อมันมาซะเลย

Extreme Networks เสี่ยใหญ่มาแรง เรียกได้ว่า acquire หลาย ๆ บริษัทกันเลยทีเดียว ซึ่งมีอุปกรณ์ตั้งแต้ ต้นน้ำ กลางน้ำ และปลายน้ำเลย (edge-to-core infrastructure)
แต่ที่แปลกใจคือ แผนกหลังบ้าน ที่ให้บริการด้านเทคนิคที่สุดแจ่ จน Gartner ให้นิยามว่า "Extreme continues to provide strong customer service through a 100% insourced service and support team."
จุดแข็ง
- Extreme มีทีมงานที่หิวโหยความเป็น Leader ทั้งด้านทีม Sale และทีม Technic
- Extreme Fabric เป็นเทคโนโลยีการทำ Fabric ของระบบเครือข่ายที่ช่วยลดความซับซ้อนของการ configuration อุปกรณ์ เช่น ต้องการติดตั้ง IP CCTV ปกติ จะต้องไปตั้งค่า VLAN ไล่ไปตั้งแต่ Access -> Access Hub --> Building Aggregation --> ... --> Service Switch เราทำแค่ กำหนดว่า ต้นทาง Port Interface อะไร และปลายทางอยู่ Port Interface อะไร จากนั้น Extreme Fabric ก็จะไปทำการตั้งค่า (Provision) อุปกรณ์ทั้่งหมดให้ รวมถึงสร้างเส้นทางสำรองให้ด้วย (Redundant Path)
- ระบบบริหารจัดการที่เรียกว่า สมองเพชร อันเนื่องจากการซื้อ หลาย ๆ ยี่ห้อเข้ามา Avaya, Zebra, Allied telesis และของเดิมๆ แต่กลับสามารถบริหารจัดการได้ด้วย Software Management ตัวเดียวกัน
ข้อด้อย
- User Entity Behavior Analytics (UEBA) ยังมีปัญหาในเคสที่ ติดตั้งแบบ Hybrid คือ ทั้ง Cloud และ On-premises แต่ในบ้านเรา ยังไม่เห็นใครทำแบบนี้นะครับ ข้อนี้ อาจจะตัดไปได้
- เทคโนโลยีเรื่อง Location service ยังด้อย เมื่อเทียบกับยี่ห้ออื่น ๆ
- ลูกค้าเดิม ที่ใช้งาน Avaya หรือ Zebra ต้องวางแผนเรื่องของ Migration รวมถึง Integration Plan เพราะเมื่อวันนึง ซื้อของใหม่ในนาม Extreme จะต้องคำนึงในเรื่องการใช้งานร่วมกัน

จบไปแล้วสำหรับ 3 ผู้นำ Leader Quadrant
สำหรับรายอื่น ๆ ขอหยิบมาบางยี่ห้อนะครับ

ARRIS เจ้าของน้องหมา Ruckus

ARRIS ได้จบดีล Ruckus Wireless และ Brocade ICX มาครอบครอง ซึ่งก่อนนี้เค้าเป็นเจ้าตลาดด้าน Service Provider วันนี้จะเล่นตลาด Enterprise ก็เลยจะเน้น sale จากตลาดของ Ruckus ในส่วนของ WiFi technology ที่ Enterprise Service Provider ใช้กัน ในเมืองไทย ก็ใช้นะเออ รู้มั๊ย และการได้ ICX ก็มาเติมเต็มในส่วนของ wired switching product ด้วย เพื่อให้ไปเป็น Total Solution wired and wireless lan system
จุดแข็ง
- Ruckus Cloud สามารถบริหารจัดการทั้ง Access Point และ Switch ได้ด้วย
- Cloudpath เป็นระบบ WiFi onboarding ที่รองรับทั้ง พนักงาน, Visitor มีทั้งแบบ Cloud และ On premises
- IoT Solution ก็มี เพราะได้ built-in มาใน Access Point แล้ว รองรับ Zigbee, BLE และ LoRa ครบครัน
- ระบบ Location Technology ที่ยอดเยี่ยม ใช้งานได้จริง พิสูจน์มาแล้ว

ข้อด้อย
- ความชัดเจนในส่วนของ Road map ของอุปกรณ์ ICX
- ด้าน feature ที่ใช้ใน Large Enterprise ยังด้อย เมื่อเทียบกับคู่แข่ง
- ระบบ Cloud Management ไม่สามารถจัดการยี่ห้ออื่นได้เลย (ยี่ห้ออื่น มันก็ทำไม่ได้นะ ทำไป Gartner เอาข้อนี้มายิง ARRIS)

JUNIPER NETWORKS เล็กๆ JNP ไม่ ใหญ่ ๆ JNP ทำ

Juniper Network อ่านดีๆ ไม่ใช่ จูปิเตอร์ นะ  หลังจากที่ มุ่งเน้น การ config ผ่าน Command Line Interface (CLI) ของอุปกรณ์ Junos ทั้งหลาย (ทั้ง switch และ security product) สร้างความสับสน ยุ่งยาก และซับซ้อน ยากแก่การเข้าใจ ทาง Juniper ก็ออก Juniper Sky Enterprise ที่เป็น cloud-management มา เพื่อให้สามารถบริหารจัดการผ่านทาง GUI ได้ (เดือน January 2018) และการสร้าง Security Solution ที่เรียกว่า software-Defined Secure Networks (SDSN) อย่าไปสับสนกับ Girl Group เกาหลีนะ 5555
สำหรับ Wireless LAN ทาง Juniper ก็ไปจับมือกับ Aerohive, Samsung, Mist System, LANCOM และ HPE (Aruba)

จุดแข็ง
- Sky Enterprise สามมารถบริหารจัดการได้ทั้ง SRX, NFX แล EX devices
- SDSN สามารถต่อยอดระบบเครือข่ายเดิม ให้มีความปลอดภัยที่สูงขึ้นได้
- Junos Fusion เป็นเทคโนโลยีของการเชื่อมต่ออุปกรณ์ทั้งหมด เพื่อให้สามารถบริหารจัดการเหมือนเป็นอุปกรณ์ใหญ่ๆ ชิ้นเดียว

ข้อด้อย
- แน่นอน การตลาดไม่มีมิตรแท้ และศัตรูถาวร ทางด้าน Wireless LAN ต้องพึ่งพาคนอื่นอยู่
- หากมองหา Complete wired and wireless แล้วหล่ะก็ แน่นอน Juniper Network ไม่ใช่คำตอบ

ยี่ห้อหลักๆ  ในตลาด Enterprise Network บ้านเรา ก็คงไม่พ้น แบรนด์เหล่านี้ เอวัง ด้วยประการ ฉะนี้แล...

Tuesday, August 21, 2018

โร๊กเอพี วายร้าย ไร้สาย: Rogue Access Point Attack

ว่ากันด้วยภัยคุกคามทางระบบเครือข่าย

ในสมัยก่อน ในยุคที่การใช้งานระบบเครือข่าย เป็นแบบเชื่อมต่อผ่านสาย Wired Network นั้น การโจมตีต่าง ๆ มันก็ต้องทำผ่านสายสัญญาณ เช่น หน่วยงานเรา เชื่อมต่อกับระบบ Internet ผ่านทาง Router ผ่าน Firewall ถึงจะมายังระบบเครือข่ายภายใน ถ้าผู้ไม่ประสงค์ดีจะเข้ามาก่อกวนเรา ก็จะยิงโจมตี ผ่านทางอุปกรณ์ Router, Firewall ถ้าทะลุมาได้ก็จะเข้าถึงระบบภายใน

แต่.... ปัจจุบันนี้ ระบบ Wired LAN นั้น แทบจะถูกทดแทนด้วยระบบไร้สาย Wireless LAN แล้ว จะมีแค่บางอุปกรณ์ที่ยังใช้งานผ่านสายสัญญาณ (นั่นก็เพราะต้องการความสเถียรในการเชื่อมต่อสูง)
บาง Office พนักงาน ใช้งาน Notebook และเชื่อมต่อด้วย WiFi เกือบจะหมดแล้ว

นี่ก็เป็นอีกหนึ่งจุดที่ทำให้ การเชื่อมต่อนั้น ไม่ได้ทำผ่านระบบเครือข่ายภายในอย่างเดียว ยิ่งถ้าอยู่ในตัวเมือง จะพบว่า นอกจาก SSID ที่หน่วยงานใช้อยู่ ก็ยังสามารถมองเห็น SSID อื่น ๆ รอบๆ ตัวเราด้วย เราเรียก พวก SSID เหล่านี้ว่า Neighbor WLAN

แล้วเราทำอะไรกับเจ้า Neighbor WLAN เหล่านี้ได้บ้าง ???

มี Tools มากมายที่สามารถไปยุ่งวุ่นวายกับ Neighbor WLAN เช่น การยิง De-Authen packet ไปยัง Neighbor WLAN เพื่อตัดสัญญาณการ authentication ระหว่าง Access Point กับ Client เป็นต้น

นั่นคือ ตัวอย่างเล็กๆ น้อยๆ ถ้าเขียนมากไปจะเป็นการชี้โพรงให้กระรอก

ในเชิงกฎหมายนั้น ก็คุ้มครองในส่วนของการใช้งานของแต่ละหน่วยงาน ว่า ห้ามไม่ให้ไปละเมิดการใช้งานของคนอื่นด้วยนะ และแน่นอนว่า การไปวุ่นวายแบบนี้ ก็ผิดกฎหมายเช่นกัน

ซึ่ง ถ้าเอาแบบบ้านๆ เลย เราก็ชอบเหมารวบ Neighbor WLAN นี้ว่า Rogue Access Point แล้วคำว่า Rogue AP ที่แท้ทรูคืออะไร

จากทฤษฎีนั้น Rogue AP เรา จำแนก เป็น 2 จำพวก ใหญ่ๆ คือ
1. Access Point ที่แอบเอามาเสียบเอง ในระบบ Network ของเราเอง
2. Access Point ที่แอบตั้งชื่อ เดียวกัน กับที่ หน่วยงานของเราใช้งาน

มาลง detail ในแต่ละแบบกัน
1. Access Point ที่แอบเอามาเสียบเอง ในระบบ Network ของเราเอง
ลองคิดดูว่า หน่วยงานใหญ่ๆ ที่ให้พนักงาน ใช้งาน WiFi แน่นอนว่า ทางหน่วยงาน ก็ต้องการให้การใช้งานนี้ ใช้งานได้เฉพาะพนักงานเท่านั้น แน่นอนว่า คงไม่มีหน่วยงานไหน ที่เป็นเป็น Free Wi-Fi ให้ พ่อค้า แม่ค้า หรือคนเดินผ่านไปมา ใช้งานได้ฟรีๆ ดังนั้น การคัดกรอกผู้ใช้งานด้วยการ Authentication ก่อนการใช้งาน อาจจะทำด้วยการใช้ Web Portal ให้ใส่ User name + Password หรือใช้แบบ IEEE802.1X ก็ได้ ซึ่งแน่นอนว่า เมื่อมี Security มาเกี่ยวข้อง ความสะดวกสบายในการใช้งาน มันก็ต้องน้อยลง ก็เป็นได้ว่า อาจจะมีใครสักคน อยากจะหลบหลีกการใช้งานแบบนี้ โดยการไปซื้อ Access Point มาใช้งานเอง 555555+
แน่นอน แค่เสียบ LAN เข้าไป Setup นิดหน่อย ก็สามารถใช้งานได้ง่าย ๆ แล้ว

แบบแรกเพื่อความสะดวกสบายในการใช้งาน แต่แบบที่ 2 นี่คือ ตัวพ่อ

2. Access Point ที่แอบตั้งชื่อ เดียวกัน กับที่ หน่วยงานของเราใช้งาน
ลองคิดดูว่า ระบบ WiFi ที่มี Security แน่นหนา แต่สามารถโดนล้วงข้อมูลง่ายๆ แน่นอน มันมีวิธี นั่นคือการสร้าง SSID เลียนแบบมันซะเลย เรียกง่าย ๆ คือ ทำ Phishing SSID ขึ้นมา ให้เหมือน Phishing Web Site นั่นเอง

ผู้ประสงค์ดี แต่เจตนาร้าย สร้าง SSID ชื่อเดียวกับหน่วยงาน แอบไปเปิดใช้งานในบริเวณใกล้ๆ กัน และแน่นอนว่า ผู้ใช้งาน Client บางคน อาจจะตกเป็นเหยื่อ

เค้าทำยังไงบ้างนะ แน่นอน นอกจากการสร้าง SSID ที่ชื่อเดียวกันแล้ว ยังสร้างการ Authentication เลียนแบบด้วย ให้กรอกข้อมูล เพื่อพิสูจน์ตัวตน และเก็บข้อมูลเหล่าไว้เพื่อเป็นข้อมูลในการเจาะทะลวงระบบ Security


แล้วเราจะทำยังไง กับภัยคุกคามเหล่านี้
ระบบ Enterprise WLAN ที่ดี นอกจากจะสามารถให้บริการระบบเครือข่ายไร้สายที่ดีแล้ว ยังควรจะต้องมีระบบที่สามารถปกป้องการโจมตี ที่กล่าวมาได้ด้วย
มันคือ Feature ที่เรียกว่า Rogue AP detection and containment หรือบางยี่ห้อ ก็จะใช้เป็น Rogue AP detection and prevention แล้วแต่กรณีไป

ซึ่งจะต้องสามารถ ตรวจจับ "detection" ได้ว่า มีเจ้า Rogue AP ทั้ง 2 ชนิดที่กล่าวมาหรือไม่ และต้องสามารถป้องกัน "containment/prevention" ปัญหาที่เจอได้ด้วย

หากมีเวลา จะมาเจาะลึกให้ครับว่า แต่ละแบบ มีวิธีการ Algorithm แบบละเอียดๆยังไงบ้าง

เอวังด้วยประการฉะนี้แล.....