Best practices for SonicWall VPN Tunnel configuration

Site to Site VPN Tunnel တွေ Configure လုပ်တဲ့ အခါ သတိထားရမယ့် အချက်လေးတွေရှိပါတယ်။
တကယ်လို့ ဒီအချက်လေးတွေကို သတိမထားပဲ Configure လုပ်မိတဲ့အခါ...
Remote Desktop လို... connection sensitive ဖြစ်တဲ့ application တွေ connection drop ဖြစ်ဖြစ်သွားတာမျိုးကို ကြုံရမှာ ပဲ ဖြစ်ပါတယ်။
သတိထားရမယ့် အချက်တွေကတော့ ဒါတွေပါပဲ။

၁) TCP Timeout
SonicWall Firewall အပါအဝင် Firewall အတော်များများရဲ့ Default TCP Connection Inactivity Timeout ဟာ 15 minutes ပဲ ထားတတ်ကြပါတယ်။
တကယ့်လက်တွေ့ မှာတော့ ဒီ Value ဟာ Remote Desktop အပါအဝင် Application အချို့ ကို Connection drop ဖြစ်ဖြစ်သွားစေပါတယ်။
ဒါကြောင့် အနည်းဆုံး အနေနဲ့ 30 minutes ကနေ 60 minutes အထိ ပြောင်းလဲသတ်မှတ်ပေးဖို့ Recommend လုပ်ကြပါတယ်။
TCP Timeout Value များများထားခြင်းကနေလည်း မလိုလားအပ်တဲ့ Security ပိုင်းဆိုင်ရာ ပြဿနာတွေကို ဖိတ်ခေါ်နေသလိုဖြစ်ပါတယ်။
ဒါကြောင့် Policy-based VPN Tunnels မှာပဲ ဖြစ်ဖြစ် Route-based VPN မှာပဲ ဖြစ်ဖြစ် သက်ဆိုင်ရာ Application တွေအတွက်ပဲ Allow လုပ်သင့်ပါတယ်။

၂) Packet Fragmentation
RDS လို streaming protocol တွေအတွက် packet fragmentation ပြုလုပ်ခြင်းကို ရှောင်ရှားသင့်ပါတယ်။
SonicWall အပါအဝင် Firewall များမှာ Fragmented Packet Handling နဲ့ Ignore DF (Don't Fragment) Bit ဆိုတဲ့ options ၂ ခု ပါပါတယ်။
Fragmented Packet Handling option ကို enable လုပ်ပြီး Ignore DF (Don't Fragment) Bit option ကို disable လုပ်ဖို့ recommend လုပ်ပါတယ်။

၃) Path Maximum Transmission Unit (Path MTU or PMTU)
Packet Fragmentation နဲ့ အတူတွဲပြီး သိဖို့လိုတာကတော့ Maximum Transmission Unit ဆိုတာပါပဲ။
RDS , RDP လို Streaming Protocol တွေ connection timeout ဖြစ်ရတဲ့ အကြောင်းရင်းတွေထဲက တချက်ကတော့ Maximum Transmission Unit configuration မှားတဲ့ အတွက် Packet Fragmentation ဖြစ်ပါတယ်။ ဒါကြောင့်ပဲ Connection Time out ဖြစ်စေတာပါ။
Network Device တော်တော်များများရဲ့ MTU setting က 1500 Bytes ပါ။ Cryptographic overhead အတွက် 56 Bytes နဲ့ TCP,UDP or IP စတဲ့ protocol တွေအတွက် header size ကို နှုတ်ပြီး ကျန်တဲ့ packet size ကို MTU အနေနဲ့ သတ်မှတ်ပေးဖို့လိုပါတယ်။
ကိုယ့် network/host ရဲ့ MTU ကို သိချင်ရင်တော့ ဒီ Article မှာ ရှင်းပြထားတာလေးသွားဖတ်ပါ။ ကျတော် စာရေးရတာ ပျင်းလို့ပါ။ :D
host ရဲ့ MTU ကို ပြောင်းချင်တယ်ဆိုရင်တော့  ဒီ Article မှာ ရှင်းပြထားတာလေးသွားဖတ်ပါ။

၄) Bandwidth Management
Streaming Protocol တွေ ဟာ Bandwidth ကို တောင့်တကြပါတယ်။
ဒီအတွက် Real Time Bandwidth Management Rule တွေကို သက်ဆိုင်ရာ end to end connection အတွက် configure လုပ်ဖို့လိုပါတယ်။

၅) Security Services
Security Service တွေဖြစ်တဲ့ Gateway Anti-Virus, Anti-Spyware, Intrustion Prevention Service တွေရဲ့ packet တွေကို scan လုပ်ခြင်းကြောင့်လဲ latency ကို အနည်းငယ်မြင့်သွားစေပါတယ်။
end to end connection လုပ်မယ့် host တွေဟာ အများအားဖြင့် စိတ်ချရမှု က သာမန် host တွေထက် ပိုလေ့ရှိပါတယ်။
ဒါကြောင့် end to end host တွေကို end point security မြှင့်ပေးပြီး Firewall Level မှာတော့ Security Services တွေကို bypass လုပ်ဖို့ Recommend လုပ်ကြပါတယ်။

ကဲ...ဒီအချက် ၅ ချက်ကတော့ SonicWall နဲ့ VPN Tunnel ဆောက်တဲ့အခါ စဉ်းစားရမယ့် အချက်တွေပဲ ဖြစ်ပါတယ်။
တခြား Brand တွေအတွက်လဲ အားလုံး မတူညီနိုင်ပေမယ့် အချက်တော်တော်များများက တော့ တူညီပါတယ်။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

Configuring IPS functions in HP MSR Series Router

ပြီးခဲ့တဲ့ ပို့စ်မှာ Network Attack တွေအကြောင်း အကျဉ်းရေးခဲ့ပြီးပါပြီ။
အခုကတော့ Customer Edge Router တခုဖြစ်တဲ့ HP MSR Series Router တလုံးပေါ်မှာ ဒီ Attack တွေကို ကာကွယ်ဖို့ IPS function တွေ enable လုပ်ပုံကို ရေးပါမယ်။

ပုံမှန်ဆိုရင် Customer Edge Router တွေကို ISP က Engineer/Technician က လာတပ်ပေးပြီး Configure လုပ်ပေးတာပါ။
ဒီအတွက် ပိုက်ဆံပေးရပါတယ်။ သူတို့တွေက IPS function ကို configure လုပ်မပေးသွားတာ များပါတယ်။

ပိုက်ဆံ ပိုမပေးချင်လို့ရှိရင် ကိုယ်တိုင် Configure လုပ်ရတာပေါ့။

ဘာကြောင့်ပဲ ဖြစ်ဖြစ် IPS function ကို enable လုပ်ကို လုပ်ရမှာပါ။
ဘာလို့လဲ ဆိုတော့ ကိုယ့် IP ကို Attacker တွေက တနည်းမဟုတ် တနည်းနဲ့ သိရှိတိုက်ခိုက်နိုင်တာမို့လို့ပါပဲ။

ကဲ ပြောနေတာကြာပါတယ်။ စ လိုက်ရအောင်။
- ပထမဆုံး Attack Defense Policy ကို configure လုပ်ရပါတယ်။
- ပြီးမှ Policy ကို Interface မှာ Apply လုပ်ရပါတယ်။

Single-Packet Attack တွေကို ကာကွယ်ဖို့ အောက်ပါ command တွေကို သုံးပါ။
system-view
attack-defense policy 1
signature-detect fraggle enable
signature-detect icmp-redirect enable
signature-detect large-icmp enable
signature-detect route-record enable
signature-detect smurf enable
signature-detect source-route enable
signature-detect tcp-flag enable
signature tracert enable
signature winnuke enable
signature-detect large-icmp max-length 2000 (ဒီနေရာကတော့ မိမိစိတ်ကြိုက် value ပေးနိုင်ပါတယ်။ Default အတိုင်းထားလဲရပါတယ်။)
signature-detect action drop-packet

Scanning Attack ကို ကာကွယ်ဖို့ အောက်ပါ command တွေကို သုံးပါ။
system-view
attack-defense policy 1
defense scan enable
defense scan max-rate 2000 (ဒီနေရာကတော့ မိမိစိတ်ကြိုက် value ပေးနိုင်ပါတယ်။ Default အတိုင်းထားလဲရပါတယ်။)
defense scan add-to-blacklist
defense scan blacklist-timeout 10
quit
blacklist enable

Flood-Attack တွေကို ကာကွယ်ဖို့ အောက်ပါ command တွေကို သုံးပါ။
Flood Attack တွေကို အများအားဖြင့် LAN/DMZ side တွေမှာ Server တွေကို ကာကွယ်ဖို့ သုံးပါတယ်။
system-view
attack-defense policy 1
defense syn-flood enable
defense syn-flood rate-threshold high 1000 low 750 (ဒီနေရာကတော့ မိမိစိတ်ကြိုက် value ပေးနိုင်ပါတယ်။ Default အတိုင်း high 1000 low 750 ထားလဲရပါတယ်။)
defense syn-flood ip x.x.x.x rate-threshold high xxxx low xxx (ဒီနေရာမှာတော့ IP , rate တွေကို မိမိစိတ်ကြိုက် customize လုပ်လို့ရပါသေးတယ်။ မလုပ်ချင်လဲ Default အတိုင်းထားလို့ရပါတယ်။)
defense sync-flood action drop-packet

system-view
attack-defense policy 1
defense icmp-flood enable
defense icmp-flood rate-threshold high 1000 low 750 (ဒီနေရာကတော့ မိမိစိတ်ကြိုက် value ပေးနိုင်ပါတယ်။ Default အတိုင်း high 1000 low 750 ထားလဲရပါတယ်။)
defense icmp-flood ip x.x.x.x rate-threshold high xxxx low xxx (ဒီနေရာမှာတော့ IP , rate တွေကို မိမိစိတ်ကြိုက် customize လုပ်လို့ရပါသေးတယ်။ မလုပ်ချင်လဲ Default အတိုင်းထားလို့ရပါတယ်။)
defense icmp-flood action drop-packet

system-view
attack-defense policy 1
defense udp-flood enable
defense udp-flood rate-threshold high 1000 low 750 (ဒီနေရာကတော့ မိမိစိတ်ကြိုက် value ပေးနိုင်ပါတယ်။ Default အတိုင်း high 1000 low 750 ထားလဲရပါတယ်။)
defense udp-flood ip x.x.x.x rate-threshold high xxxx low xxx (ဒီနေရာမှာတော့ IP , rate တွေကို မိမိစိတ်ကြိုက် customize လုပ်လို့ရပါသေးတယ်။ မလုပ်ချင်လဲ Default အတိုင်းထားလို့ရပါတယ်။)
defense udp-flood action drop-packet

Policy configuration ပြီးပြီဆိုရင် WAN , LAN Interface တွေမှာ Apply လုပ်ဖို့ အောက်ပါ command တွေကို သုံးပါ။
system-view
interface gi0/0
attack-defense apply policy 1
interface gi0/1
attack-defense apply policy 1

ကဲ ဒါဆိုရင် IPS function enable လုပ်လို့ပြီးပါပြီ။ Configuration ကို save ဖို့မမေ့ပါနဲ့။
ဒီလိုလုပ်ခြင်းအားဖြင့် Router ရဲ့ performance ကို အနည်းငယ်ကျဆင်းစေပါတယ်။ ဒါပေမယ့် attack ကြောင့် ဖြစ်လာမယ့် အကျိုးဆက်တွေကိုတော့ ကာကွယ်ပြီးသားဖြစ်စေတာပေါ့။

ကျတော် သုံးထားတာကတော့ HP MSR 930 Router ပဲ ဖြစ်ပါတယ်ဗျာ။
Cisco Router လို တခြား Router တွေမှာလဲ ဒါမျိုးတွေကို configure လုပ်နိုင်ပါတယ်။ တချို့အတွက်တော့ license လိုကောင်းလိုပါလိမ့်မယ်။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

Network Attack Types in brief explanation

Network Attack တွေကို အကျဉ်းအားဖြင့် Single-Packet Attack, Scanning Attack နဲ့ Flood Attack ဆိုပြီး ၃ ပိုင်း ခွဲထားပါတယ်။

Single-Packet Attack ကို Malformed Packet Attack လို့လဲ ခေါ်ပါသေးတယ်။
အကျဉ်းချုပ်အနေနဲ့ပြောရမယ်ဆိုရင် ပုံမှန်မဟုတ်တဲ့ IP packet တွေ ၊ IP fragment တွေ overlap ဖြစ်အောင်လုပ်ထားတဲ့ packet တွေ၊ illegal TCP flag packet တွေပို့လွှတ်ပြီး တိုက်ခိုက်တာကို ပြောတာပါ။
ဒီပုံစံတိုက်ခိုက်မှုမျိုးကို ပစ်မှတ်ထားတဲ့ System malfunction သို့မဟုတ် crash ဖြစ်သွားစေတာမျိုး၊ network bandwidth ကို အများကြီး ယူသုံးပစ်ပြီး လေးသွားအောင် လုပ်ပစ်တာမျိုးတွေမှာ တွေ့ရလေ့ရှိပါတယ်။
Single-Packet Attack ပုံစံမျိုးစုံရှိပါတယ်။ အောက်က attack type တွေကတော့ Single-Packet Attack type အမျိုးအစားတွေပဲ ဖြစ်ပါတယ်။
Smurf attack
ICMP redirect attack
ICMP unreachable attack
Large ICMP attack
TCP flag attack
Tracert attack
Fraggle attack
WinNuke attack
Land attack
Source route attack
Route record attack

Scanning Attack ကတော့ attack ဆိုတာထက် nmap, nessus, satan, ettercap  တို့လို scanning tool တွေသုံးပြီး တိုက်ခိုက်မယ့် ပစ်မှတ််ရဲ့ network topology၊ host address တွေနဲ့ host တွေမှာ run ထားတဲ့ service နဲ့ port တွေကို
Scan လုပ်တာပါ။ ရလာတဲ့ Scan result ပေါ်မှာ အခြေခံပြီးတော့မှ ဘယ်နေရာမှာ အားနည်းချက်ရှိတယ် ဘာကို တိုက်ခိုက်မယ် ဆိုတာကို ဆုံးဖြတ်တာပါ။
သူကလဲ Active နဲ့ Passive Scanning ဆိုပြီး ၂ ခု ရှိတယ်ဗျ။
အောက်က attack type ကတော့ တခုတည်းသော scanning attack အမျိုးအစားပဲ ဖြစ်ပါတယ်။
Scan attack

Flood Attack ဆိုတာကတော့ လွယ်လွယ်ပြောရရင် service ပေးနေတဲ့ device ကနေ ပုံမှန်မဟုတ်တဲ့ service request တွေကို အလွန်များပြားစွာ ပို့လွှတ်ပြီး service host ကို busy ဖြစ်စေ၊ service interruption ဖြစ်စေတာပါ။
တနည်းအားဖြင့် Denial of Services ပေါ့ဗျာ။
အောက်က attack type တွေကတော့ Flood Attack တွေပေါ့ဗျာ။
ICMP flood attack
UDP flood attack
SYN flood attack

ကဲ ဒီလောက်ဆိုရင် Network Attack Type တွေ အကြောင်းကို အကျဉ်းအားဖြင့် သိပြီလို ယူဆပါတယ်။
တကယ်တော့ Attack တွေအကြောင်းပြောမယ်ဆိုရင် ကျယ်ပြန့်လွန်းလှပါတယ် ဒီထက်မကတဲ့ Operating Attacks, Scripted Attacks, Misconfiguration Attacks စတာတွေလဲ ရှိပါသေးတယ်။
ဒီပို့စ်ကိုရေးရတာကတော့ နောက်ရေးမယ့် HP MSR Router ကို သုံးပြီး IPS function ကို enable လုပ်ပြီး attack prevention လုပ်ပုံရေးချင်လို့ပါ။
နောက် ပို့စ် မှာ ဒီ Attack တွေကို HP MSR Router ကို သုံးပြီး ဘယ်လို prevent လုပ်မလဲ ဆိုတာ ရေးပါမယ်။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)