Feeds:
Posts
Comments

Archive for November, 2007

SRAN Security with CDIC2007

บริษัท โกลบอล เทคโนโลยี อินทิเกรเทด จำกัด หรือที่คุ้นเคยกันนาม SRAN ได้รับเกียรติร่วมออกบูธในงานที่ชื่อว่า The 7th Cyber Defense Initiative Conference 2007 (CDIC2007) 22-23 November 2007 At Bangkok Convention Center Central  World บรรยายกาศภายในงานครั้งนี้มีทั้งการบรรยายเชิงวิชาการจากวิทยากรผู้ทรง คุณวุฒิและการ Show case ผลิตภัณฑ์ของบริษัทต่าง ๆ ร่วมถึง Product SRAN เองก็ได้รับความสนใจจากผู้เข้าร่วมงานเป็นจำนวนมาก

Advertisements

Read Full Post »

คุณเคยสงสัยบ้างไหมว่าเวลาเราติดตั้งระบบ (Implement) ระบบเก็บบันทึกข้อมูลจราจร (log) เราต้องทำอย่างไรบ้าง

แน่นอนวิธีนี้ทุกคนต้องคิดถึงในทิศทางเดียวกัน คือ การเก็บบันทึกข้อมูลผ่านระบบ Syslog  Server  และพัฒนาการต่อจาก Syslog Server คือเป็นระบบ SIM (Security Information Management) ต่อไป   ไม่ว่าเป็นระบบ Syslog Server หรือ SIM   เป็นลักษณะการใช้งานเหมือนกัน แต่การทำงานต่างกัน  คือ

การใช้งาน  ทั้งคู่เป็นระบบรับข้อมูล หรือพูดภาษาง่ายๆ ว่าเป็น”ตัวรับ”  รับอะไร รับข้อมูล Log จากอุปกรณ์ , เครื่องแม่ข่าย หรือ Application  ต่างๆ   แสดงว่าการรับครั้งนี้จะเกิดขึ้นก็ต่อเมื่อ มีการส่งข้อมูลที่ต้องบันทึกมาที่เครื่อง Syslog หรือ SIM นั้นเอง  อุปกรณ์ Router , Firewall , IDS/IPS เครื่องแม่ข่าย Web Server , Mail Server อื่นๆ ต้องส่ง Log ไปที่ Syslog Server  พูดง่ายๆ ว่า ต้องมี “ตัวส่ง”

ฉะนันการส่งนี้จะเกิดขึ้นเองไม่ได้  ต้องอาศัย คนหนึ่งคน ไปกำหนดเส้นทางการส่งข้อมูล ให้ส่งข้อมูลผ่าน Protocol Syslog  หากเป็นระบบธรรมดาก็ไม่ลำบากอะไร คือส่งผ่าน UDP 514   ส่งมาเป็นระยะๆ หรือ ส่งจากการควบคุมของ server ฝั่งรับ (Syslog Server)   หากรับข้อมูล Log ไม่ปกิต คือส่งนอกเหลือจากแบบฟอร์ม UDP 514  ก็ต้องหา Manual กันให้วุ่นวายแน่ครับ

สรุปว่า  ระบบ Syslog Server และ ระบบ SIM มีการใช้งานเหมือนกัน คือเป็น ระบบรับข้อมูล Log  จากเครื่องส่ง (อุปกรณ์ เครื่องแม่ข่าย เครื่องลูกข่าย Application) เหมือนกัน

ส่วนการทำงานและผลลัพธ์ ที่เกิดขึ้นจาก Syslog Server และ ระบบ SIM ต่างกัน  ตรงที่ว่า

Syslog Server เก็บข้อมูลอย่างเดียว  ส่วน SIM เก็บข้อมูลแล้วนำไปวิเคราะห์  เปรียบเทียบตาม มาตราฐานต่างๆ (Compliance) โดยมีรูปแบบการรวบรวมข้อมูลที่ต่างกันในแต่ละ Products  เพื่อให้การ Compliance ได้ตรงตามมาตราฐานนั้นๆ  (ส่วนใหญ่ Products ที่ขายๆ กันจะ Compliance ตามมาตราฐาน ISO 27001 , HIPAA , SOX , PCI หรืออื่นๆ ที่เป็นสากล ไม่ได้เกี่ยวกับ มาตรา ต่างๆ ใน พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ของประเทศไทย เราต้องจับประมวลผลเหตุการณ์เอง)

ข้อดี ข้อเสีย ของระบบ Syslog Server และ SIM คือ

ข้อดี ที่เห็นได้ชัด คือ การได้รับ Log อย่างครบถ้วน  ละเอียดและแม่นยำ กว่าวิธีอื่นๆ  และเป็นการมองภาพการใช้งานระบบ IT ทั้งองค์กรได้

ข้อเสีย  มักจะติดปัญหาเรื่องการติดตั้ง  (Implement)    เนื่องจากต้องไป Config อุปกรณ์ (Devices) ทั้งหมด   หรือ ลงซอฟต์แวร์ ในอุปกรณ์  เพื่อทำการส่งค่า Log มาที่ตัวรับกลาง คือระบบ Syslog Server / SIM  นั้นเอง

สมมุติว่า มี Devices อยู่ 20 ตัว  ก็ต้องส่งคน ไป Config หรือ ลงซอฟต์แวร์ ทั้ง 20 ตัวนี้ส่ง Log ออกมาให้ตัวรับกลาง (Syslog Server/SIM)    ถ้ามี 200 ตัว ก็ต้องทำเช่นกัน   ซึ่งในโลกความเป็นจริงแล้ว   คนที่เข้าไปทำอย่างงันได้ต้องมีความรู้   ในแต่ละ เวอร์ชั่น  ยี่ห้อ  อุปกรณ์ที่จะทำการส่ง Log

ปัญหาข้อ 2   คือเนื้อที่การเก็บข้อมูล  ที่ต้องใช้ระบบ (Storage) มาใช้งาน เพื่อรองรับ Log  จำนวนมากจากอุปกรณ์  ซึ่งหากพูดถึงระบบ Storage ก็จะมีค่าใช้จ่ายเพิ่มขึ้นอีก

ปัญหาข้อ 3  คือการออกแบบ Syslog Server / SIM   หากออกแบบไม่ดีพอ อาจเกิดการ DDoS/DoS เข้าสู่เครื่อง Syslog Server เสียเอง  เนื่องจากการส่ง Log จาก Devices จำนวนมากในแต่ละช่วงเวลาการส่งที่กำหนดมา  หากมีการส่งมาก ในเวลาพร้อมๆกัน ก็เกิด DDoS  ขึ้นเองได้ ซึ่งทำให้ Syslog Server / SIM ใช้การไม่ได้

ปัญหาข้อที่ 4 เรื่อง License  หากเป็นซอฟต์แวร์ที่ต้องติดตั้งตามเครื่องเพื่อทำการ ส่ง Log ออกมาจะต้องคิดค่าใช้จ่ายเพิ่ม เป็นเงาตามตัว

สรุปว่าการใช้ Syslog Server / SIM เป็นเรื่องดีในทางอุดมคติ  แต่ในโลกความเป็นจริง  ยังยากที่เป็นไปได้ โดยเฉพาะ IT ในประเทศไทย ที่ค่อนข้างมีงบประมาณจำกัด ในการลงทุน

สามารถอ่านวิธีการเก็บ Log ได้ที่ http://nontawattalk.blogspot.com/2007/10/network-time-machine-1.html 

ทางทีมพัฒนา SRAN มองเห็นปัญหานี้  จึงได้พัฒนาระบบ SRAN Security Center ที่ออกแบบมา เพื่อประหยัดงบประมาณ  สร้างแนวทางการเก็บ Log บนความพอเพียง และ ตัดปัญหาต่างๆ  ที่พบจาก การติดตั้งก็ดี  การต้องหา Storage เพิ่มก็ดี  การถูก DDoS/DoS กันเองก็ดี  ตัดปัญหานี้ทิ้งไปได้แบบ อยู่หมัด เพียงใช้อุปกรณ์เดียว

SRAN Security Center  ได้ใช้เทคโนโลยี Passive Scan  เก็บรวบรวมข้อมูลแบบเงียบ โดยใช้การ TAP จาก Core Switch  และใช้เทคโนโลยี IDS/IPS  และ Network Analysis  มาใช้ในการทำเปรียบเทียบเหตุการณ์ภัยคุกคาม  (Correlation log)

ส่วนข้อมูลการใช้งานปกติ เราก็ทำการเก็บบันทึกให้  เช่น การเก็บบันทึกการใช้เว็บ เมลล์  สนทนา  อื่นๆ ครบถ้วน โดยการทำ Filtering เฉพาะ กฏหมายไทยให้เก็บบันทึก  ไม่เอาข้อมูลทั้งหมด จึงทำให้เกิดผลดี อยู่ดังนี้

1. การติดตั้งง่าย  เพียงเสียบสายแลนกับตัว Core Switch  ทำการเปิดเครื่อง รอ Passive ข้อมูลเข้าเครื่อง SRAN     จึงทำให้คนที่ติดตั้งระบบ SRAN  ไม่จำเป็นต้องใช้ผู้เชี่ยวชาญ ที่ต้องรู้ทุกอุปกรณ์

2. ตัดปัญหาเรื่องเนื้อที่การเก็บข้อมูล  และการใช้ Storage เนื่องจากตัวระบบ Filter เฉพาะส่วนที่ทางกฏหมายบังคับให้เก็บ และเพิ่มวิธีการบีบอัดข้อมูลพิเศษ จึงทำให้ไม่ต้องการเนื้อที่ความจำจำวนมากอีกต่อไป  เพียงฮาร์ดดิสในการเก็บมีมากกว่า 80 G ก็สามารถเก็บ  Log ทั้งหมดที่เกิดบนเครือข่าย ขึ้นผ่านตัวระบบนี้ได้ไม่นานกว่า 1 ปี ตามกฏหมายบังคับแล้ว    เนื่องจาก Log ในแต่ละวันที่พบในเครื่อง SRAN  เมื่อผ่านการบีบอัดแล้ว จะเหลือเพียง 500K – 5M ขึ้นอยู่กับขนาด Site ที่ติดตั้ง  500k – 5M x 365   ก็ตกแค่ปีละ ไม่ถึง 50G อีกด้วย

3. Log ที่เกิดขึ้นไม่สามารถแก้ไข ได้ในตัวระบบ เพราะสร้างค่า  Check SUM เพื่อเป็นการยืนยันความไม่เปลี่ยนแปลงของข้อมูลใน Log นั้น อีกทั้งระบบจัดหน้าควบคุม  เป็นแบบปฏิทิน ซึ่งสามารถดูย้อนหลัง Log แบบ Replay ดึงเหตุการณ์ของวันที่กำหนดเปิดขึ้นมาดูได้  โดยไม่ต้องใช้ ซอฟต์แวร์อื่นช่วย  (สามารถดู คลิป Live Demo ในส่วน ตัวอย่าง หน้าจอ Log Archives ที่สามารถดูย้อนเวลา เพื่อดูเหตุการณ์ที่เกิดขึ้นไปแล้วได้ )

4. Log ที่เกิดขึ้นนอกจากบันทึกตาม พ.ร.บ ที่ให้เก็บ ทั้งการใช้เว็บ  เมลล์  สนทนา  อื่นๆ แล้ว ระบบ SRAN Security Center ยังทำการ รวบรวมข้อมูลและจับเปรียบเทียบ ตามมาตราต่างๆ  เพื่อเป็นการป้องกัน ตนเองก่อนที่เกิดความเสี่ยงหาย  โดยออกรายงานผลความเสี่ยงเองอัตโนมัติ

คลิกที่รูปเพื่อดูภาพ

จากรูปเป็นการประมวลเหตุการณ์เพื่อจับเปรียบเทียบความเสีี่ยงตาม มาตราต่างๆ โดยอัตโนมัติ

เพียงตัวเดียวอยู่หมัดได้ ครบทั้งเทคโนโลยี และลดความซับซ้อน  รวมถึง ประหยดังบประมาณ ในการลงทุน IT Security  ให้สอดคล้องตาม พ.ร.บ.  ว่าด้วยการกระทำผิดทางคอมพิวเตอร์อีกด้วย

ปัจจุบันนี้ทางสำนักงานตำรวจแห่งชาติได้ติดตั้งระบบ SRAN Security Center เพื่อใช้งานจริง ในการเก็บบันทึกเหตุการณ์ข้อมูลจราจร (Log) ในสำนักงานตำรวจแห่งชาติเอง  ซึ่งเป็นเครื่องยืนยันว่าการคิดค้นผลิตภัณฑ์ในรูปแบบเทคโนโลยีที่ป้องกันภัย รวมถึงการเก็บบันทึกข้อมูลของ SRAN ได้รับการยอมรับจากตำรวจไทย

Read Full Post »

ตั้งแต่เปิดตัว SRAN Security Center ในรูปแบบ Appliance มีหลายคนตั้งเข้าใจว่า SRAN Security Center เป็นระบบ Firewall บ้าง เป็น IPS บ้าง เป็น UTM บ้าง เป็น SIM บ้าง ที่เข้าใจไม่ผิดเสียทีเดียวเพราะคุณสมบัติที่กล่าวนั้นเป็นเพียงส่วนหนึ่งบนระบบ SRAN Security Center เราไม่ใช่ IPS ไม่ใช่ Firewall และไม่ใช่ SIM

อุปกรณ์ SRAN Security Center ไม่ได้เน้นที่ Performance แต่เน้นไปที่การตรวจจับ และเฝ้าระวังภัยบนเครือข่ายคอมพิวเตอร์ อย่างครบถ้วนและใช้งานสะดวกแก่ผู้ดูแลระบบและผู้ให้บริการ MSSP

ยิ่งปัจจุบัน อุปกรณ์ SRAN Security Center ได้เพิ่มคุณสมบัติพิเศษในการเก็บบันทึกข้อมูลตาม พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ และทำการเปรียบเทียบมาตราต่างๆ ตามประมวลกฎหมายใหม่ หากเป็นเช่นนี้แล้วเราคงไม่ใช่อุปกรณ์ Firewall , IPS ,SIM อย่างที่กล่าวแน่ เพื่อให้เกิดความเข้าใจมากขึ้น ทางทีมงานผู้พัฒนาจึงขออธิบายอุปกรณ์นี้ แบบกระชับอีกครั้ง โดยแบ่งหัวข้อดังนี้

1. ที่มาแนวคิด SRAN

เกิดจากการนำทฤษฎีต่างๆมาประยุกต์ รวมเป็นหนึ่งเดียวได้แก่

– วิธีการสืบหาหลักฐานจากการกระทำผิดคอมพิวเตอร์ หรือที่เรียกว่า Forensic โดยอาศัยวิธีการ Chain of Custody ในคือพิจารณาเส้นทางลำเลียงข้อมูล และเหตุปัจจัยในการก่อให้เกิดเหตุการณ์ขึ้นตามวัน เวลา ที่ระบุตรงได้

– ทฤษฎีการสร้าง Honeynet Concept ที่กล่าวถึงการทำ Data Control , Data Capture และ Data Collection ซึ่งเป็นแนวคิดที่ทางทีมพัฒนา SRAN นำมาประยุกต์เป็นผลิตภัณฑ์

– ทฤษฏี NSM (Network Security Monitoring) ที่กล่าวถึงการเฝ้าสังเกตการข้อมูลสารสนเทศที่มีความเสี่ยงต่อภัยคุกคาม อันมีผลกระทบกับเครือข่ายโดยรวม โดยแบ่งการสังเกตการตาม Full Content Data สนใจเนื้อหาของข้อมูลทั้งหมด , Session Data การพิจารณาข้อมูลการติดต่อบน Layer 3 – 7 ตาม session ของการเชื่อมต่อ ได้แก่ Network Flow , TCP Flow , UDP flow เป็นต้น

– ทฤษฏี 3 in 3 out ที่ทางผู้พัฒนา SRAN คิดค้นขึ้นเพื่ออธิบายความให้สะดวก จากพื้นฐานของ OSI 7 layer

ทั้งหมดที่กล่าวมา ก่อให้เกิด SRAN Technology ขึ้นในเวลาต่อมา

จากทฤษฎี Honeynet Concept , NSM Theory , 3 in 3 Out ตลอดจนการทำ Chain of Custody แบบฉบับการ Forensics ผ่านระบบเครือข่ายคอมพิวเตอร์ SRAN ถูกออกแบบมาจากทฤษฎีเหล่านี้ ประโยชน์เพื่อเฝ้าระวัง และเก็บบันทึกข้อมูลจราจร รวมถึง ย้อนเวลากลับสู่เหตุการณ์ต้องการได้ (Network Time Machine) ภาพนี้จึงเป็นต้นกำเนิดการทำอุปกรณ์ SRAN ในปัจจุบัน

2. คำนิยามอุปกรณ์ SRAN Security Center คือ USM (Unified Security Monitoring) นั้นคือการเฝ้าระวัง (Monitoring) วิเคราะห์ข้อมูล (Analysis) และ เก็บบันทึกข้อมูล (Record)เหตุการณ์ทั้งปกติ และ ทั้งที่เป็นภัยคุกคาม ที่เกิดขึ้นบนเครือข่าย

3. หน้าที่อุปกรณ์ SRAN Security Center คือ สำรวจ ตรวจสอบ วิเคราะห์ ประเมินความเสี่ยง ทั้งหมดเพื่อทำการเก็บบันทึกข้อมูล

3.1 สำรวจเครือข่าย โดยเทคโนโลยี Passive Scan เพื่อตรวจดูการใช้งาน Bandwidth ที่ใช้งาน , การใช้งานตาม Protocol ต่างๆ ได้แก่ HTTP (web) , SMTP/POP3 (mail) , Chat , FTP , DNS , DHCP , P2P เป็นต้น

3.2 ตรวจสอบ การใช้งานที่ผิดปกติ (Threat Data Traffic) ซึ่งอาจส่งผลต่อภัยคุกคาม ที่อาจจะเกิดขึ้นบนระบบเครือข่าย ตรวจสอบการใช้งานที่ปกติ (Normal Data Traffic) ที่ใช้งานทั่วไป ได้แก่ การใช้งานเว็บผ่านอินเตอร์เน็ท การใช้งานอีเมลล์ผ่านอินเตอร์เน็ท การเล่นสนทนา Online เป็นต้น

3.3 วิเคราะห์ เมื่อทำการตรวจสอบแล้ว ระบบจะนำผลที่ได้รับมาวิเคราะห์ข้อมูลที่พบบนระบบเครือข่าย เพื่อทำการจับเปรียบเทียบตามฐานข้อมูลที่มีอยู่

3.4 ประเมินความเสี่ยง หลังจากขั้นตอนการวิเคราะห์ข้อมูล ระบบจะทำการประเมินความเสี่ยงข้อมูลที่ผิดปกติ (Threat Data Traffic) นั้นจัดลำดับความรุนแรง สูง กลาง ต่ำ ทั้งนี้ยังประเมินความเสี่ยง อุปกรณ์เครือข่าย (Devices) เครื่องแม่ข่าย (Server) และ โปรแกรมมิ่งที่ใช้งาน (Application) พร้อมออกรายงานผลให้รับทราบอย่างอัตโนมัติ

3.5 เก็บบันทึกข้อมูล (Data Traffic Recored) ทำการเก็บบันทึกทั้งข้อมูลปกติ และไม่มีปกติ เพื่อทำการดูย้อนหลัง ตามวัน เวลา ที่ระบุได้ อย่างสะดวกในการสืบหาหลักฐานต่อไปในอนาคต

4. เทคโนโลยี บน SRAN Security Center ในอุปกรณ์เดียว มีคุณสมบัติดังนี้

4.1 เทคโนโลยีการทำ Network Analysis ที่ดูข้อมูล การเข้า และ ออกบนระบบเครือข่าย โดยพิจาณาจาก Bandwidth และ Protocol ที่ใช้งาน

4.2 เทคโนโลยี IDS/IPS (Intrusion Detection / Prevention System) ใช้ในหน้าที่วิเคราะห์ข้อมูลที่ผิดปกติ (Threat Data Traffic) และปกติ (Normal Data Traffic) เพื่อทำการเปรียบเทียบกับฐานข้อมูลที่มีอยู่ ที่วิเคราะห์ว่าเป็นภัยคุกคามชนิดที่เป็นภัยคุกคามจากภายนอกสู่ภายใน (In trusion) และภัยคุกคามจะภายในสู่ภายนอกที่เรียก (Extrusion) ซึ่งในที่จะสามารถทำให้ทราบถึง ภัยคุกคามต่างๆ เช่น Virus/worm , Spam , Spyware , Phishing และภัยคุกคามจากการโจมตีระบบ เช่น DDoS/DoS, Remote Exploit , Brute Fore Password เป็นต้น หากนำอุปกรณ์ SRAN Security Center ติดตั้งแบบ In-line จะสามารถป้องกันภัยคุกคามต่่างๆ จะกลายเป็น IPS ในตัวทันที หากนำ SRAN Security Center ติดตั้งแบบดักข้อมูล โดยใช้ความสามารถของอุปกรณ์ Switch มาช่วยก็จะกลายเป็น IDS ตามที่กล่าวมา

4.3 เทคโนโลยีการเประเมินความเสี่ยง (VA / VM) Vulnerability Assessment & Management ระบบจะสามารถประเมินความเสี่ยงโดยการ Scan Port , Scan Services และ รายงานผลควร Update Patch ได้ ทั้งจะประเมินความเสี่ยงจาก อุปกรณ์ (Devices) , เครื่องแม่ข่าย (Server) และ Application เป็นต้น

4.4 เทคโนโลยีการเก็บบันทึกข้อมูล (Log Archive) ระบบ SRAN จะสามารถเก็บบันทึกข้อมูล ทั้งที่เป็นข้อมูลไม่ปกติ (Threat Data Traffic) และ ข้อมูลปกติ (Normal Data Traffic)

ส่วนที่เป็นข้อมูลไม่ปกติ (Threat Data Traffic) จะลำดับเหตุการณ์ปัจจุบัน แล้วทำการ Correlation Log ให้สอดคล้องตาม ISO17799 และ พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ และเก็บบันทึกเพื่อทำการดูย้อนหลังสืบหาต้นต่อของปัญหาต่อไป

ส่วนที่เป็นข้อมูลปกติ (Normal Data Traffic) จะทำการบันทึกข้อมูลการใช้งานอินเตอร์เน็ท ประกอบด้วย

– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับเว็บ (Internet Web Recorder)

– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับเมล (Internet Mail Recorder)
– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับสนทนา (Internet Chat Recorder)
– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับ FTP (Internet FTP Recorder)

– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับ P2P (Internet P2P Recorder) ซึ่งส่วนนี้จะประกอบด้วยการใช้ VoIP ในบาง Application เช่น Skyp เป็นต้น

ทั้งหมดที่กล่าวนี้  บรรจุไว้ใน Box เครื่องเดียว  ที่เรียกว่า “SRAN Security Center” 

์Nontawattana Saraman

Read Full Post »

 

SRAN Security Center could do and response to Thai Cyber Crime’s Law as well as following highlight feature

Easy word M.A.R system

 

 

  1. Monitoring

1.1 Customer can do a real-time monitoring to see whether there are any Malicious program (Virus/Worm/Trojan/Adware/Spyware/DDoS/SPAM) spread in/out their network

1.2 Traffic Monitoring: Customer can see a bandwidth consumption and break down into protocol (Web/Mail/Chat/Download/Upload/P2P usage) by each person (client).

  1. Analyze :

SRAN Security Center will analyze and drop or alerting to administration to handle when find malicious events.

  1. Record :

2.1 Normal Traffic > SRAN security Center will store a required field from Thai Cyber Crime’s Law which can identified who/what/when (Web/Mail/FTP Usage History) for over years.

2.2 Anomaly Traffic > SRAN Security Center will generate a daily report (Top Ten Event/Top Ten Source IP/Top Ten Destination IP) and match them with Thai Cyber Crime’s laws if it finds malicious traffic.

 

Read Full Post »

ข่าวดี สำหรับผู้ที่มองหาระบบจัดเก็บข้อมูลตาม พ.ร.บ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ที่สะดวก ในการติดตั้ง และใช้งาน

เราพร้อมแล้วสำหรับทางเลือกใหม่ ที่ประหยัดงบประมาณในการจัดซื้อระบบ Syslog Server และ SIM คุ้มค่าในการลงทุนและครบเครื่องในการเก็บบันทึกเหตุการณ์ ข้อมูลจราจร อีกทั้งไม่ส่งผลต่อระบบเครือข่าย หากติดตั้งแบบ Passive Network โดยใช้คุณสมบัติ Switch Mirror port ให้ระบบ SRAN Security Center

ไม่ต้องหาเทคโนโลยี Syslog Server และ เทคโนโลยี SIM (Security Information Management) เพื่อรับ Log ให้วุ่นวายอีกต่อไปแล้ว ทางทีมงาน SRAN ได้พัฒนาระบบที่ตอบสนอง พ.ร.บ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ แบบง่ายๆ ที่คุณสามารถใช้ได้เลยไม่ต้องเสียเวลาในการติดตั้ง ตัวรับค่า Log ที่เกิดขึ้นในแต่ละอุปกรณ์ ในแต่ละเครื่องแม่ข่าย (Server) ด้วยเทคโนโลยีของ SRAN สามารถจัดเก็บบันทึกข้อมูลตาม รูปแบบการเก็บบันทึกข้อมูลจราจรที่กฏหมายบังคับให้เก็บข้อมูล พร้อมรวบรวมเหตุการณ์ ที่มีความเสี่ยง (Threat Data Traffic) จัดเปรียบเทียบตามมาตราต่างๆ เพื่อประเมินให้ทราบถึงความเสี่ยงแต่ละมาตราที่อาจจะเกิดขึ้นกับเครือข่ายของระบบเราได้ โดยที่ใช้เนื้อที่การเก็บบันทึกที่น้อย ไม่ต้องอาศัย Storage ขนาดใหญ่


ทีมงาน SRAN ได้พัฒนา Appliance ที่สำเร็จรูป ภายใต้ชื่อผลิตภัณฑ์ ว่า SRAN Security Center code name “Time Machine” โดยรุ่นใหม่นี้จะเพิ่ม คุณสมบัติ อุปกรณ์ให้มีความพร้อมรับการใช้งาน ตาม พ.ร.บ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ จุดประสงค์ เพื่อให้ หน่วยงานต่างๆ โรงเรียน ร้านอินเตอร์เน็ท ได้มีความสะดวกในการจัดหาเทคโนโลยีมาจัดเก็บข้อมูลจราจร (Data Traffic) ขึ้น และสามารถรายงานผลสรุปถึงความเสี่ยงที่อาจจะเกิดขึ้นตามมาตราต่างๆ ได้ เพื่อเป็นการประเมินตนเองว่าควรจะป้องกันระบบเครือข่ายของตนได้อย่างไร เพื่อไม่ให้ผิดตาม พ.ร.บ คอมพ์ฯ ในครั้งนี้

SRAN Security Center เพิ่มคุณสมบัติ ดังนี้

1. คุณสมบัติการจัดเก็บบันทึกข้อมูล ตาม พ.ร.บ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ปี 2550 แสดงผลเป็นภาษาไทย และอังกฤษ

บันทึกข้อมูลการใช้งานอินเตอร์เน็ท ประกอบด้วย

– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับเว็บ (Internet Web Recorder) จะสามารถระบุการใช้งาน IP ต้นทาง IP ปลายทาง ช่วงเวลาในการเปิดเว็บ และระบุลักษณะการใช้งานตาม Path ต่างๆที่ทำการเปิดเว็บได้

– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับเมล (Internet Mail Recorder) จะสามารถระบุ การรับ- ส่ง เมลล์ ทั้งต้นทางและปลายทาง ชื่อหัวข้อในการส่งเมลล์ ชื่อ files ที่แนบมากับเมลล์ วัน เวลา ในการรับและส่งเมลล์

– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับสนทนา (Internet Chat Recorder) จะสามารถทราบถึง การใช้โปรแกรมสนทนาในระบบเครือข่ายที่ติดตั้ง SRAN Security Center เช่น MSN, Yahoo, CamFrong , ICQ , Gtalk และ IRC สนทนาเมื่อไหร่ ทำการ join ห้องสนทนาอะไร เปลี่ยนชื่อ ค้นหาเพื่อน และ ส่ง files อะไร รับ files อะไรจากการสนทนา online วัน และเวลา มีการบันทึกไว้ได้

– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับ FTP (Internet FTP Recorder) จะสามารถทราบถึง การส่ง files FTP , การ upload FTP และการ Login เวลาใช้งาน FTP จาก IP ต้นทาง และ IP ปลายทาง จะเก็บบันทึกไว้ในตัวระบบ SRAN
คลิกเพื่อดูภาพใหญ่

– การเก็บบันทึกข้อมูลจราจรเกี่ยวกับ P2P (Internet P2P Recorder) ซึ่งส่วนนี้จะประกอบด้วยการใช้ VoIP ในบาง Application เช่น Skyp ทราบถึง IP ที่ใช้งาน การ login บนระบบ ระบุวันเวลาที่ใช้ โปรแกรม P2P ต่างๆ

การเก็บบันทึกข้อมูลจราจร ทั้งหมดสามารถดู ลักษณะการใช้งานได้ จาก Live Demo ชุดนี้

ตัวอย่าง ส่วนการแสดงผลเก็บบันทึกข้อมูลจราจร (Data Traffic Recorder) ตามที่ พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ในคุณสมบัตินี้สามารถบันทึกข้อมูลได้ ถึง 2 ปี โดยไม่ต้องกังวลว่าข้อมูลจะเต็มได้ เพราะทางทีมงาน SRAN ได้ออกแบบในการบีบอัดข้อมูลจราจร (Log) ที่เกิดขึ้น พร้อมทั้งสามารถดูย้อนหลัง ตามวัน เวลา ที่ต้องการ อีกทั้งข้อมูลจราจร ไม่สามารถแก้ไขได้ มีการบันทึก Files เป็นค่า MD5

 

ค่า MD5 ที่เป็นเครื่องยืนยันการไม่เปลี่ยนแปลงข้อมูลจราจร (Log Files) ไว้เป็นเครื่องพิสูจน์ในชั้นศาล ซึ่ง ระบบ SRAN สามารถดูย้อนหลังและ Download files ดังกล่าวได้อย่างสะดวกสะบาย

ตัวอย่าง หน้าจอ Log Archives ที่สามารถดูย้อนเวลา เพื่อดูเหตุการณ์ที่เกิดขึ้นไปแล้วได้

 

 

2. คุณสมบัติหนึ่ง นั่นคือ ระบบ SRAN Security Center สามารถทำการรวบรวมเหตุการณ์ที่เกิดขึ้นจากการรับส่งข้อมูล บนเครือข่ายคอมพิวเตอร์ จับเหตุการณ์ที่เป็นภัยคุกคาม มาทำการเปรียบเทียบ ตามมาตรา ต่างๆ ใน พ.ร.บ คอมพ์ฯ ได้อิงจาก จาก 3 เอกสารที่มา จาก

1.เอกสารจากคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ (www.etcommission.go.th)

2. คำอธิบายพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดย ประธานศาลอุทธรณ์ภาค 4

3. เอกสารประกาศกระทรวงเทคโนโลยีสารสนเทศ และการสื่อสาร (www.mict.go.th)

ผลการตรวจวัดข้อมูลจราจร ที่ระบบค้นพบในส่วนนี้ ไม่ได้หมายถึงว่าทุกกรณี ที่ตรวจพบเป็นเหตุการณ์ที่กระทำผิดตามมาตราต่างๆ ตาม พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์แต่เป็นการประเมินถึง เหตุการณ์ที่เป็นไปได้ และอาจจะเกิดขึ้นจากการกระทำผิดจริงตาม พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ทั้งนี้ก็เพื่อเป็นการเฝ้าระวังเพื่อป้องกันเหตุการณ์อันไม่พึ่งประสงค์และ เหตุการณ์ที่เข้าข่ายการกระทำทางความผิดทาง ได้ทันเวลา

จะเห็นว่าทีมงาน SRAN ได้พัฒนา หน้าจอการประมวลผล เป็นภาษาไทย และกำกับด้วยภาษาอังกฤษ เพื่อสะดวกกับผู้ใช้งาน ในการตีความหมายกฏหมาย ได้จัดทำเป็นตรารางเปรียบเทียบความหมายการบุกรุกที่เข้าข่่ายการกระทำผิดเพื่อใช้วิเคราะห์สำหรับผู้ดูแลระบบได้เกิดความสะดวกสบายในการออกรายงานผล

การแสดงผลส่วนนี้ใช้เทคโนโลยี Ajax เข้ามาช่วยเพื่อรับค่าการแสดงผลเป็นแบบ Real-time อีกทั้งได้ทำสรุปเป็นรายงานผล ในแต่ละวัน เป็นเอกสาร files PDF

ดูตัวอย่างการทำงาน ได้จาก ตัวอย่าง ส่วนการแสดงผล Correlation Log ตามความเสี่ยง พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์

ระบบ SRAN Security Center ทุกรุ่น ที่เป็น Appliance ถูกออกแบบมาเพื่อใช้งาน ผ่าน Web Browser โดยไม่ต้องติดตั้ง Software เพิ่มเติม วิธีการติดตั้ง มี 3 ขั้นตอน ง่ายๆ คือ

1. กำหนดจุดติดตั้ง SRAN Security Center โดย สังเกตจุดเชื่อมโยงระบบเครือข่าย ได้แก่ จุดเชื่อมต่อระหว่าง Router หรือ Switch

2. ติดตั้ง SRAN Security Center ให้เหมาะสมกับรุ่น (SR110 , SR 1045 , SR L , SR X และ SR X2)

แนะนำให้พิจารณาจากปริมาณข้อมูลเครือข่าย (Throughput) และปริมาณเครื่องคอมพิวเตอร์ ในระบบ
รูปแบบการติดตั้ง

– Inline วางขวางระบบ (แนะนำ วิธีนี้เหมาะสำหรับเครือข่ายขนาดเล็ก และ ขนาดกลางที่มีเครือข่ายไม่เกิน 200 เครื่อง ในกรณีนี้อาจเกิดความเสี่ยงในเรื่องคอขวดได้จากอุปกรณ์ของเรา)

– Passive ติดตั้งตามอุปกรณ์ Switch โดยการทำ Mirror Port

3. เฝ้าระวังภัยผ่านเครือข่าย โดยใช้ SSL (HTTPS) Protocol ผ่านเว็บบราวเซอร์

(https://) กำหนดระดับเข้าถึง Login และสิทธิการใช้งาน (แนะนำ ควรผ่านใบกาศการปฏิบัติงานจากทีมงาน SRAN เสียก่อน)

สำหรับแต่ละรุ่นของ SRAN Security Center เพียงเปิดเครื่อง เสียบ สายแลน เข้ากับ ตัว Switch ที่ทำการ Mirror Port ได้ก็สามารถใช้งานได้แล้วครับ ติดตั้งระบบไม่เกิน 10 นาที ก็พร้อมใช้งาน พร้อมเก็บบันทึก Log (การบันทึกข้อมูลจราจร) ได้นานถึง 2 ปี ด้วยเทคโนโลยีบีบอัดพิเศษ

ทั้งนี้วิธีการตั้งค่า Time Server เพื่อให้มีเวลาที่ตรงกับเหตุการณ์ที่บันทึกไว้ เราสามารถระบุเองได้ให้ตั้งตรงกับ Time Server ในระบบเครือข่าย หรือจะเป็น Time Server ที่เปิดให้บริการสาธารณะ

ด้วยระบบบริหารจัดการระบบ SRAN แบบ CMS (Content Management System) ที่พัฒนาขึ้นเอง ซึ่งออกแบบไว้เพื่อใช้งานง่ายสำหรับผู้ดูแลระบบ


ก็สามารถกำหนดค่า Time Setting ได้อย่างถูกต้อง เพื่อกำหนดเวลาการเก็บบันทึกข้อมูลจราจร ให้ตรงกับ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ต่อไป

สิ่งที่ได้จากระบบ SRAN Security Center ในรุ่นนี้ คือ

1. ประหยัดการจัดหาเทคโนโลยี Syslog และ SIM

2. ประหยัดงบประมาณในการจัดซื้อ Storage

3. ไม่จำเป็นต้องใช้ผู้ชำนาญการติดตั้ง ระบบ

4. หลังการ Implement ระบบ ไม่มีผลกระทบต่อระบบเก่า และการใช้งานเดิม หากติดตั้งแบบ Passive mode

5. รู้ทันปัญหา และออกรายงานผลความเสี่ยงตาม มาตราต่างๆ ได้ ตั้งแต่ มาตรา 5 ถึง 11 ซึ่งจะสรุปรายงานนี้เป็นรายวัน ในรูปแบบ PDF files และ HTML files

6. เหมาะกับผู้ที่จะให้บริการ ศูนย์เตือนภัยทางอินเตอร์เน็ท กับลูกค้า SOC (Security Operation Center) ที่ไม่เปลืองงบประมาณ และ สะดวกในการให้บริการ พร้อมรายงานผลที่เป็นภาษาไทย และภาษาอังกฤษ Compliance ตาม พ.ร.บ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ที่ประกาศใช้ได้อีกด้วย

7. ดูย้อนหลัง เพื่อสืบหาการกระทำผิดทางระบบเครือข่ายได้ ทั้งแบบ Replay ดึงเหตุการณ์จากวัน ต่างๆ เปิดผ่าน Web ได้ ซึ่งสร้างความสะดวกสำหรับเจ้าหน้าที่พนักงาน ได้ Files Log ที่เกิดขึ้นไม่สามารถแก้ไข ได้หากแก้ไข จะมีค่า MD5 ที่ต่างกันไป ระบบ SRAN จะมีการให้ Download Log files พร้อมค่า MD5 เพื่อเป็นการยืนยันในชั้นศาลต่อไป

สนใจติดต่อตัวแทนขาย SRAN หรือ ติดต่อที่ http://www.gbtech.co.th

Read Full Post »

บริษัทโกบอลเทคโนโลยี อินทรีเกตเทด ผู้ผลิตเทคโนโลยีเฝ้าระวังภัยระบบเครือข่าย SRAN (Security Revolution Analysis Network) ได้ร่วมงาน OSS2007 Asia Open source software conference and showcase กับทาง SIPA สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (องค์การมหาชน) ที่โรงแรม Sofitel Centara Grand Bangkok, Thailand ในวันที่ 7 – 8 พฤศจิกายน 2550 ที่ผ่านมา


ในภาพ

ดร.พันธ์ศักดิ์ ศิริรัชตพงษ์ ผู้อำนวยการ ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) และ คุณ สันติ สุรรัตน์ รองผู้อำนวยการวิจัยและพัฒนาเทคโนโลยี สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ ได้รับฟังคำอธิบายการพัฒนา SRAN จาก Linux สู่ Appliance Box ที่ใช้คุณสมบัติ ตรวจจับข้อมูลจราจร ให้ประมวลผลสอดคล้องกับ พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ได้แห่งแรกในเมืองไทย อีกด้วย

Read Full Post »