Feeds:
Posts
Comments

การสร้าง Hybrid Log Recorder เพื่อทำการประหยัดอุปกรณ์ และคุ้มค่าในการลงทุน ในการจัดหาเทคโนโลยี เพื่อมารองรับ กับ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ต้องการเพื่อบันทึกเหตุการณ์ ที่สามารถระบุได้ว่า ใคร ทำอะไร ที่ไหน เวลาใด อย่างไร เพื่อเป็นประโยชน์ในการสืบสวน ซึ่งเป็นไปตามหลักการที่เรียกว่า Chain of event หรือที่เรียกว่า เส้นทางการลำเลียงข้อมูลตามเหตุการณ์ที่เกิดขึ้น ซึ่งเราควรจะต้องมีการรักษาหลักฐานตามเส้นทางการลำเลียงข้อมูล หรือที่เรียกว่า Chain of Custody จึงเป็นที่มาของเนื้อหา พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ในส่วนพนักงานเจ้าหน้าที่ ในส่วน ผู้ให้บริการในการเก็บรักษาข้อมูล ที่ว่าด้วย “มิให้ผู้ดูแลระบบสามารถ แก้ไขข้อมูลที่เก็บรักษาไว้ได้ สามารถทำได้โดยการเก็บไว้ใน Centralized log server การทำ Data Archive หรือการทำ Data Hashing เป็นต้น” ก็เพื่อเป็นการรักษาหลักฐานทางข้อมูลตาม Chain of Custody ที่กล่าวมา

ในมาตราที่ 3 จึงมีการพูดถึง “ข้อมูลจราจรทางคอมพิวเตอร์ ขึ้นซึ่งหมายถึง ข้อมูลต่างๆ เกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ต้องสามารถระบุถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทางเวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์นั้นๆ”

ในมาตราที่ 3 นี้เองจึงจำเป็นต้องเก็บบันทึกข้อมูลจราจรที่เกิดขึ้น เพื่อใช้ในการสืบสวนสอบสวน หากเกิดเหตุการณ์ที่ไม่พึ่งประสงค์เกิดขึ้น และเพื่อเป็นประโยชน์สำหรับเจ้าหน้าที่พนักงาน และตำรวจ เพื่อใช้ในการทำคดีต่อไป

ในทางเทคนิคการเก็บบันทึกข้อมูลจราจร หรือเรียกว่าการเก็บ Log เป็นเรื่องที่ต้องใช้ค่าใช้จ่ายมาก ทางทีมงาน SRAN จึงคิดค้นเทคโนโลยี เพื่อเป็นการประหยัดงบประมาณในส่วนนี้ โดยเรียกว่าเทคโนโลยี Hybrid Log Recorder

ซึ่งมุมมองทางเทคโนโลยี แบ่งได้เป็น 2 ส่วน คือ

ส่วนที่ 1 ข้อมูลปกติ (Normal Data Traffic) ที่ทำการเก็บบันทึก ได้แก่

– การใช้งานเว็บไซด์เพื่อใช้งานอินเตอร์เน็ท

– การใช้งานอีเมลล์

– การใช้โปรแกรมสนทนาทางอินเตอร์เน็ท

– การใช้งานดาวโหลดอัพโหลด

– การใช้งานชนิดอื่นๆ ได้แก่ P2P , VoIP เป็นต้น

ตัวอย่าง ส่วนการแสดงผลเก็บบันทึกข้อมูลจราจร (Data Traffic Recorder) ตามที่ พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ กำหนด

ส่วนที่ 2 ข้อมูลที่ไม่ปกติ (Threat Data Traffic) ที่ทำการเก็บบันทึก จะใช้วิธีการจับเปรียบเทียบเหตุการณ์การกระทำผิด (Correlation Log) โดยอิงตาม หมวดว่าด้วยความผิดเกี่ยวกับคอมพิวเตอร์ ในส่วน การกระทำต่อคอมพิวเตอร์ ซึ่งรายละเอียดจะมีในมาตรา 5 , 6, 7, 8, 9, 10 ,11 และ 12 นอกจากนี้ระบบ SRAN จะทำการ Correlation Log ที่เกิดขึ้นให้สอดคล้องกับ ISO17799 หรือ ISO 27001 ที่ว่าด้วยการทำ Plan Act do check อีกด้วย

ตัวอย่าง ส่วนการแสดงผล Correlation Log ตามความเสี่ยง พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์

โดยทั้ง 2 ส่วนจะมีการเก็บบันทึกข้อมูล ตามมาตรา 26 ที่ระบุว่าผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน ซึ่งในระบบ SRAN จะทำการเก็บบันทึกข้อมูลไว้ โดยการทำ Data Archive สามารถดูตัวอย่างได้ที่ ตัวอย่าง หน้าจอ Log Archives ที่สามารถดูย้อนเวลา เพื่อดูเหตุการณ์ที่เกิดขึ้นไปแล้วได้

จากภาพเป็นการอธิบายถึงการระบบ SRAN พิจารณาข้อมูลจราจร ที่แบ่งเป็น 2 ส่วน ทั้งข้อมูลปกติ และ ข้อมูลไม่ปกติ

การเก็บบันทึกข้อมูลปกติ (Normal Data Traffic) และ ข้อมูลไม่ปกติ (Threat Data Traffic) บนระบบ SRAN สามารถเก็บบันทึกข้อมูลได้ทั้งที่เป็นแบบ Network Evidence Base และ Remote Syslog server ได้ โดยเหตุการณ์ที่เป็นข้อมูลไม่ปกติ (Threat data traffic) ตัวระบบเองสามารถที่จะจับเปรียบเทียบเหตุการณ์ (Correlation) ให้สอดคล้องตามมาตราฐานต่างๆ ได้โดยนำ Log ที่เกิดขึ้นจากเทคโนโลยี Network Analysis ที่พิจราณา Bandwidth , Protocol และ ลักษณะการบุกรุกทั้งที่เป็นแบบ Intrusion และ Extrusion พร้อมทั้ง Syslog ที่ส่งมาจากอุปกรณ์เครือข่าย และเครื่องแม่ข่าย มาทำการ Correlation ให้จับเหตุการณ์ที่เกิดขึ้นทำการเปรียบเทียบให้สอดคล้องตาม หมวดความผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 5 ถึง มาตรา 12 ซึ่งจะมีประโยชน์สำหรับผู้ใช้งานที่สามารถประเมินความเสี่ยงจากเครือข่ายของ ตนเอง (Self Assessment) ได้ว่ามีความเสี่ยงตามมาตราใดบาง ด้วยเหตุการณ์อะไร พร้อมทั้ง ระบุถึงเครื่องที่มีความเสี่ยงที่อาจเข้าข่ายตามมาตรา 5 ถึง 12 เพื่อทำการแก้ไขต่อไป

เมื่อทำการพิจารณาตามหลักการเข้าและออกของข้อมูลจราจร (3 in 3 out)

3 in 3 out คือการกำหนดลมหายใจ ของระบบเครือข่าย
เป็นเส้นทางลำเลียงข้อมูล เข้า และ ออก ไป บนการใช้งานจริงของเรา

ข้อมูล ที่เข้า และออก ในระดับ Internet เป็นข้อมูลจากโลกภายนอก ระดับ ISP (Internet Services Provider) หรือมองในระดับ WAN Technology ที่กำลังเข้าสู่ระบบเครือข่ายที่เราใช้งาน และ เป็นข้อมูลที่เราจะต้องทำการติดต่อออกไป จากภายในเครือข่ายที่เราใช้งาน เพื่อติดต่อออกไปตามเป้าหมายที่เราต้องการ ได้แก่ เราต้องการเปิด Web ไม่ว่าเป็นเว็บภายในประเทศ หรือ นอกประเทศ ก็เป็นการเชื่อมต่อแบบ HTTP port 80 ที่เป็นการติดต่อแบบ TCP การส่ง E-mail เชื่อมต่อแบบ SMTP port 25 ที่เป็น TCP เป็นต้น
ภาย ในระบบเครือข่ายของเรา ออกไปข้างนอก ต้องผ่านอุปกรณ์ Router จากฝั่งของเรา เพื่อไปยังจุดหมาย และเส้นทางลำเลียงข้อมูลสารสนเทศ จะดำเนินตามหลัก OSI 7 layer และ TCP/IP
พิจารณา Intrusion ภัยคุกคามทางข้อมูลที่ได้รับจากเส้นทางลำเลียงข้อมูลจาก ISP เข้าสู่ระบบเครือข่ายของเรา ส่วน Extrusion ภัยคุกคามทางข้อมูล ขา ออกเครือข่ายของเราไปยังโลกอินเตอร์เน็ท
อุปกรณ์ ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการทำสืบหาการกระทำผิดทางอาชญากรรม คอมพิวเตอร์ (Network Forensics) ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Router ตามเส้นทางเดินทางของข้อมูล ทั้ง เข้า และ ออก ไปยังที่หมาย


ข้อมูล ที่เข้า และออกในระดับ Network เป็นข้อมูลจากเครือข่ายที่เราอยู่ ในระดับ LAN เราจะเริ่มพิจารณา ข้อมูล ที่เข้า และออกในระดับที่ ระดับชายแดนเครือข่าย (Perimeter Network) ตั้งแต่อุปกรณ์ Router ฝั่งเครือข่ายของเรา
พิจารณา Intrusion ภัยคุกคามทางข้อมูล ขา เข้าสู่ระบบเครือข่ายของเรา เป็นการเดินทางของข้อมูลจากอุปกรณ์ Router ฝั่งเครือข่ายของเรา ไปยัง Perimeter Network เข้าสู่วง LAN
พิจารณา Extrusion ภัยคุกคามทางข้อมูล ขา ออกจากระบบเครือข่ายของเรา จากวง LAN ไปสู่ Perimeter Network

อุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics)
ทาง ขาเข้า คือ ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Internal Router , Network Firewall ,Core Switch , NIDS/IPS Access Switch , Proxy และ อุปกรณ์ Access Point (AP) เป็นต้น



ข้อมูล ที่เข้า และออกในระดับ Host
เป็นข้อมูลจากเครื่องคอมพิวเตอร์ที่ใช้งาน ในระดับ End Point ได้แก่ เครื่องแม่ข่าย (Computer Server) , เครื่องลูกข่าย (Computer Client) , Note book , PDA เป็นต้น
ข้อมูลในระดับ Internet เข้าสู่วง LAN และไปสิ้นสุดที่ End Point
พิจารณา Intrusion ภัยคุกคาม ขา เข้าสู่เครื่องคอมพิวเตอร์ของเรา (Host) เป็นการเดินทางข้อมูลจากเครือข่ายของเรา (LAN) ในจุดต่างๆ เข้าสู่เครื่องคอมพิวเตอร์ ที่อาจเป็นเครื่องแม่ข่าย , เครื่องลูกข่าย หรืออื่นๆ และแสดงผลข้อมูลผ่านระบบคอมพิวเตอร์ปลายทางที่เรียกใช้ข้อมูล
การ พิจารณา Extrusion ภัยคุกคาม ขา ออกจากเครื่องคอมพิวเตอร์ของเรา (Host) ผ่านไปยังระบบเครือข่ายของเรา (LAN) ออกสู่ Perimeter Network และเดินทางไปสู่โลกอินเตอร์เน็ท (Internet)
เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรม คอมพิวเตอร์ ในส่วนนี้คือ Log ที่เกิดจากอุปกรณ์ End point ได้แก่ เครื่องแม่ข่าย (Server) , เครื่องลูกข่าย (Client) , อุปกรณ์มือถือที่เชื่อมต่อเครือข่ายคอมพิวเตอร์ภายใน ออกสู่อินเตอร์เน็ทได้

หลักการเก็บรักษาหลักฐานทางข้อมูลจราจร (Chain of Custody) จะสามารถทำได้ 2 หลักการ ได้แก่

1. การทำ Network Evidence Base จากเส้นทางลำเลียงข้อมูล ทั้งที่เป็น Full Content Data , Session Data และ Static Data ซึ่งวิธีการทำสามารถทำได้โดยการเก็บบันทึกเหตุการณ์จากการ Mirror port จากอุปกรณ์ Core Switch เพื่อพิจราณาการรับส่งข้อมูล

2. การทำ Remote Syslog จากอุปกรณ์ (Device) เข้าสู่ Syslog Server ที่ติดตั้งในการเก็บบันทึกข้อมูล

การทำ SRAN โดยใช้เทคโนโลยี Hybrid Log Recorder คือเป็นการผสมผสานเทคโนโลยี ทั้งแบบ Network Evidence Base และ การทำ Syslog Server ในอุปกรณ์เดียวกัน

ภาพหลักการทำงาน SRAN Hybrid Recorder

หมายเลขที่ 1 จากรูป จะเห็นได้ว่าตัวระบบจะใช้หลักการเฝ้าสังเกตการเหตุการณ์ พร้อมทำการบันทึกข้อมูลจราจร เข้า และ ออก บนระบบเครือข่าย ตามหลัก Network Evidence Base

หมายเลขที่ 2 จากรูป จะเห็นได้ว่าอุปกรณ์เครือข่าย Router สามารถที่จะส่งค่า syslog มาให้ตัวระบบ SRAN เพื่อทำการเก็บบันทึกข้อมูลได้

หมายเลขที่ 3 จากรูป จะเห็นได้ว่าเครื่องแม่ข่ายที่สำคัญ (Server) สามารถจะส่งค่า syslog มาให้ตัวระบบ SRAN เพื่อทำการเก็บบันทึกข้อมูลได้

สรุป SRAN สามารถเก็บบันทึกข้อมูลจราจรตามหลักการ รักษาเหตุการณ์ลำเลียงข้อมูลจราจร(Chain of Custody) ตามเส้นทางเดินข้อมูลเข้าและออกบนระบบเครือข่ายคอมพิวเตอร์ และสามารถเก็บบันทึกข้อมูลจากอุปกรณ์ที่สำคัญ หรือเครื่องแม่ข่ายที่สำคัญ เพื่อไม่เป็นการเก็บข้อมูลเกินความจำเป็น

ความเสี่ยงจากระดับเครื่องคอมพิวเตอร์ผู้ใช้งาน มีความเสี่ยงได้ตาม พ.ร.บ. คอมพิวเตอร์ ได้ส่วนใหญ่เป็นเหตุการณ์ที่เกิดจากการใช้งานอินเตอร์เน็ท ได้แก่ การโพสเว็บที่มีเนื้อหาไม่เหมาะสม การส่งข้อมูลขยะ (spam) การโจมตีระบบ (DDoS/DoS) การเข้าถึงระบบโดยมิชอบ (Hacking) ซึ่งสามารถตรวจจับเหตุการณ์ พร้อมการเก็บบันทึกข้อมูลดังกล่าวได้จากเทคนิค Network Evidence Base

ส่วนข้อมูลจราจรที่เกิดจากเครื่องสำคัญๆ ได้แก่ Web Server , Proxy Server หรือ อุปกรณ์เครือข่ายได้แก่ Router , Firewall หรือระบบ IDS/IPS หากต้องการเก็บให้ครบ ตามความสมควรก็สามารถส่งมาเก็บบันทึกที่ Syslog Server ภายในเครือข่ายที่ปฏิบัติงานได้เช่นกัน

ดังนั้นการทำ Hybrid Log Recorder จึงสามารถทำได้ทั้ง 2 วิธี ทั้งที่เก็บบนเครือข่ายในการใช้งานอินเตอร์เน็ท และเพื่อทำให้เก็บครบถ้วนจากเครื่องแม่ข่าย เครื่องอุปกรณ์ที่สำคัญได้อีกด้วย

8/01/51

Nontawattana  Saraman

Comments RSS

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: