Feeds:
Posts
Comments

Archive for March, 2008

ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้ Login เข้า Domain Controller

ลักษณะการใช้งาน Authentication

ชื่อฐานข้อมูล Signature : Authentication Domain Controller

หมายเลข : NDA001

วันที่ติดตั้งฐานข้อมูล : 25/03/08

ลักษณะการตรวจจับ : เป็นการบันทึกข้อมูลจราจร การ Login เข้าสู่ Domain Controller (Windows Server Active Directory)

ประโยชน์ : ติดตามลักษณะการตามห่วงโซ่เหตุการณ์ (Chain of Event)เพื่อพิจารณา Log ที่เกิดขึ้น

Who : ชื่อ User ที่ทำการ Login

What : เป็นการระบุตัว (Authentication) ผ่าน Domain Controller (Windows)

Where : ไอพีต้นทาง (Source IP) และ ไอพีปลายทาง (Destination IP)

When : ทราบถึงวันเวลาการ Login ของ User นั้น

Why : ทราบถึงเนื้อหา (Content) ที่มีลักษณะเป็นการบุกรุกหรือเป็นการใช้งานปกติ Login สำเร็จหรือไม่

ภาพหน้าจอในการเก็บบันทึกข้อมูลจราจรจากการ Authentication

Advertisements

Read Full Post »

นี้เป็นอีกตัวอย่างหนึ่ง ที่แสดงให้เห็นว่า ไม่ว่าอยู่ที่ใดหากออกอินเตอร์เน็ตได้เราก็สามารถเข้ามาสำรวจ ตรวจสอบ และประเมินผลระบบเครือข่าย พร้อมทั้งวิเคราะห์ลักษณะการใช้งานข้อมูลบนตัวอุปกรณ์ SRAN ได้ หากทางเครือข่ายนั้นได้ทำการเปิด Port SSL และทำการ Re-Direct ไปที่เครื่อง SRAN ที่วางในเครือข่ายท่าน สิ่งที่ได้จาก SRAN คือ การวิเคราะห์ระดับข้อมูลการใช้งานหรือ Bandwidth ที่ใช้ Application Protocol ที่ใช้ รวมถึงข้อมูลทั้งที่ปกติและไม่ปกติ เพื่อรู้ทันปัญหาได้อย่างสะดวกขึ้น

จากกรณีศึกษาการใช้ SRANวิเคราะห์ Log ตอนที่ 2 นั้นหลายคนอาจสงสัยว่า นายพัฒบริษัท XXX ที่อยู่นอกสถานที่ สามารถทำการ Remote ผ่านมือถือเพื่อเข้าไปวิเคราะห์ผลความเสี่ยงที่พบบนเครือข่ายของตนเองได้อย่างไร เรามาย้อนเวลาดูกันครับ เป็น Step by Step

ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock และคลิกเกาะ Wi-fi ที่ทางรีสอร์ทจัดให้

เมื่อทำการติดต่อระบบ Wi-fi ได้ก็ลองเปิดบราวเซอร์ดูว่ามีการเชื่อมต่ออินเตอร์เน็ตได้หรือไม่ เมื่อได้แล้วพัฒไม่รอช้า
จึงเข้าสู่ Web Application บนอุปกรณ์ SRAN ที่ทาง Firewall บริษัท XXX ได้ Forward port 443 ให้แล้ว (more…)

Read Full Post »

เก็บบันทึกข้อมูลจราจร หรือเรียกสั้นๆ ว่า เก็บ Log นั้น จะไม่มีประโยชน์หากผู้ทำการเก็บบันทึกข้อมูลจราจรนั้นไม่ได้สร้างการยืนยัน ว่า Log files นั้นทำการเปลี่ยนแปลงหรือแก้ไขได้ โดยปกติ การเก็บบันทึกข้อมูลจราจร ควรจะมีวิธีการตรวจถึงความถูกต้องของเนื้อ files เหตุการณ์ที่ได้บันทึกไว้ เมื่อเกิดปัญหา หรือมีการดำเนินคดี เราจะทราบได้อย่างไร ว่า Log ที่เก็บบันทึกนั้น ถูกต้องหรือไม่ หรือมีการแก้ไข จะผู้ดูแลระบบหรือไม่ หรืออาจจะมีบุคคลอื่นที่สามารถเข้าถึงระบบได้ทำการแก้ไขเนื้อหา files Log ที่เก็บบันทึก ตามหลัก Chain of event ในภาษาไทยเรียกว่า ห่วงโซ่ของเหตุการณ์ นั้นได้กล่าวว่า เหตุการณ์ที่ปรากฏจากที่หนึ่ง ย่อมมีผลต่อเหตุการณ์จากที่หนึ่ง กรณีศึกษา (Case Study) จากเหตุการณ์สมมุติ ที่ทำเกิดความเสียหาย หรือก่อกวน ทำลายระบบคอมพิวเตอร์

<18:30 21/03/51> มีผู้เสียผู้ให้บริการ Hosting A แจ้งว่ามีได้ถูกบุกรุกโดยการโจมตีชนิด DoS (Denial of Services) มาที่เว็บไซด์หนึ่งซึ่งเป็นลูกค้าของตน บน Hosting ที่ตนเองให้บริการอยู่ โดยการ DoS ครั้งนี้ ทำให้ระบบของตนเองล่ม ใช้งานไม่ได้ และทำให้ลูกค้าในเว็บของตนเองได้รับความเสียหาย ไม่สามารถติดต่องานได้ ลูกค้าที่ Hosting A จึงร้องเรียนตนมา เมื่อรับเรื่องจึงรีบดำเนินงานทันที โดยแจ้งไปที่เจ้าหน้าที่พนักงาน และ เจ้าหน้าที่ตำรวจ ในสน. ที่รับเรื่อง

ซึ่งเหตุการณ์นี้ ตรงตาม มาตรา10 ฐานความผิด การรบกวนข้อมูลคอมพิวเตอร์ จำคุก5 ปี ปรับไม่เกิน100,000 บาท หรือทั้งจำ/ปรับ

<19:50 21/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน ขอข้อมูล Hosting A และขอข้อมูล Log ที่ Hosting A ได้เก็บบันทึกไว้ จากนั้นทำการขอข้อมูล Log ที่ทาง ISP ของ Hosting A ให้บริการอยู่ ได้รับความร่วมือจาก ISP ส่ง Log ข้อมูลของอุปกรณ์เครือข่ายSwitch ที่ Hosting A ติดตั้งอยู่ และได้ Log ของเครื่อง Hosting A ที่เป็นระบบ Windows Server เปิด Services IIS และWebDav ด้วย ซึ่ง Hosting A ให้เป็นชนิด Local Log คือ Log บนตัวเครื่องนั้นเอง <สามารถอ่านเทคนิคการเก็บ Log ได้ที่นี้>

<22:30 21/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน ค้นพบว่าการบุกรุกครั้งนี้ เกิดมาจาก IP ของ บริษัท XXX ซึ่งเช่าอินเตอร์เน็ต โดยใช้ ISP YYY ลักษณะการให้บริการเป็น ADSL ที่ Fix IP หรือ IP จริงที่มีค่าคงที่

<8:30 22/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน เข้าทำการขอข้อมูล กับบริษัท XXX โดยทำติดต่อประสานงานไปที่บริษัท และขอความร่วมมือบริษัท XXX ให้ส่ง Log ที่เก็บบันทึกไว้

<10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือ Log Router , Log Firewall และ Log Domain Controller

<11:30 22/03/51> พนักงานบริษัท XXX คนหนึ่งชื่อนาย HHH ที่อยู่ฝ่ายไอที ที่พึ่งอบรมหลักสูตร Hacking มา เมื่อทราบข่าว ขึ้นจึงทำการ Sniffer ข้อมูลในวงผู้ดูแลระบบเพื่อดูรหัสผ่านในแต่ละอุปกรณ์ และทำการ Remote จากเครื่องตนเอง โดยใช้โปรแกรมจาก Tools Hacking ที่ได้ศึกษามา ไปทำการแก้ไข Log โดยเข้าไปยึดระบบ Router บริษัท และ ระบบ Domain Controller ซึ่งเป็นระบบปฏิบัติการ Window 2003 server และทำการเปลี่ยนแปลงข้อมูลใน Log เพราะหากลบอาจพบว่ามีการ Access จากเครื่องของตนได้ จึงทำการเข้าระบบเครื่องเพื่อนร่วมงานและใช้เครื่องผู้ร่วมงานทำการแก้ไข Log

<12:30 22/03/51> นาย HHH รับประทานอาหารอย่างสบายใจ

<13:20 22/03/51> ผู้จัดการฝ่ายไอทีบริษัท ได้ส่ง Log Router , Log Firewall และ Log Domain Controller ให้เจ้าหน้าที่พนักงาน <14:07 22/03/51> เจ้าหน้าที่พนักงานโทรมาตำหนิ ผู้จัดการบริษัท XXX ว่าไม่ได้ทำ Centralized Log เพราะการส่ง Log แต่ละอุปกรณ์ทำให้เจ้าหน้าเกิดความลำบาก และผิดตามมาตรฐานการเก็บบันทึกข้อมูลจราจรที่กระทรวงประกาศไป ผ่านไปหลายอาทิตย์ เรื่องถึงชั้นศาล เนื่องจาก ลูกค้ารายหนึ่งของผู้ให้บริการ Hosting A เสียหายคิดเป็นจำนวนเงินที่ระบบเว็บไซด์ที่ฝากไว้ล่มไป เกือบ 5 ชั่วโมง ฟ้อง Hosting A เป็นเงิน 5 แสนบาท Hosting A ดิ้นรนทุกวิถีทาง ทั้งที่เก็บ Log ถูกต้อง ให้ความร่วมมือกับเจ้าหน้าที่พนักงาน แต่เมื่อเรื่องถึงชั้นศาล ศาลไม่รับฟ้องเนื่องจาก Log ได้รับจาก Hosting A และ ISP รวมถึงที่บริษัท XXX ส่งมาไม่สามารถยืนยันความถูกต้องได้ และเมื่อทำการวิเคราะห์จากห้องพิสูจน์หลักฐานทางอิเล็คทรอนิกส์ แล้วไม่มีผู้ใดเห็น Log จากบริษัท XXX ทำความเสียหายให้กับ Hosting A แม้แต่น้อย เจ้าหน้าที่ขยายผล โดยการนำ Log Router , Log Firewall และ Domain Controller มาเปรียบเทียบและพบว่า เกิดความไม่สอดคล้องกับเหตุการณ์ที่พบ และคิดว่าอาจมีใครทำการแก้ไขข้อมูล Log Hosting A ผู้ถูกฟ้อง จากลูกค้าที่เช่าเว็บ พนักงานไอที บริษัท XXX ที่เป็นคนโจมตีเว็บ ก็ลอยนวล เจ้าของบริษัท XXX ถูกตำหนิว่าไม่มีการเก็บบันทึกข้อมูลตามกฏหมายที่ระบุไว้ ตามหลักเกณฑ์การเก็บ Log เจ้าหน้าที่พนักงานเกิดความยากลำบากในการสืบสวนคดี และ ข้อมูลทั้งหมดไม่สามารถยืนยันในชั้นศาลได้ เรื่องนี้จึงจบไป โดย Hosting A ต้องยอมรับค่าเสียหายให้แก่ลูกค้า เหตุการณ์นี้จะไม่เกิด หากท่านเลือกใช้ SRAN Technology ซึ่งจะกล่าวในตอนต่อไป ถึงการนำ SRAN มาช่วย เฝ้าระวัง วิเคราะห์ผล และเก็บหลักฐานข้อมูลจราจร อย่างถูกวิธี พบกันตอนหน้าครับ

SRAN Dev (21/03/51)

Read Full Post »

เมื่อทำการเปลี่ยนแปลงเหตุการณ์ บริษัท XXX ได้จัดหาระบบเก็บบันทึกเหตุการณ์ โดยใช้ SRAN Security Center รุ่น SR L มาใช้ในองค์กร โดยผู้บริหารบริษัท XXX มีความตระหนักถึงการเก็บบันทึกข้อมูลจราจร และการเฝ้าระวังภัยคุกคาม ตลอดถึงต้องการทราบถึงลักษณะการใช้งานของ User ในองค์กร ที่เป็นลูกจ้าง ที่ตนเองต้องจ่ายเงินเดือนให้ จึงเลือกใช้ อุปกรณ์ SRAN และเป็นรุ่นที่เหมาะสมกับเครือข่ายขนาด เครื่องคอมพิวเตอร์ที่ออกอินเตอร์เน็ตได้ ไม่เกิน 400 เครื่อง คือรุ่น SR L

โดยผู้ดูแลระบบ ทำการติดตั้งอุปกรณ์ SRAN Security Center โดยทำการรับค่า Mirror Port จากอุปกรณ์ Core Switch ทำให้เห็นถึง Data Traffic ทั้งหมดของเครือข่ายคอมพิวเตอร์ บริษัท XXX

รูปการติดตั้งอุปกรณ์ SRAN

ย้อน กลับไปจากตอนที่แล้ว ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือ Log Router , Log Firewall และ Log Domain Controller

ก็ เปลี่ยนใหม่ เป็น ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือนำ Log จากอุปกรณ์ SRAN Security Center รุ่น SR L

เมื่อทำการเปิดเครื่อง https://xxxxxx ใส่ user/ password ตามนโยบายของบริษัท สำหรับผู้ดูแลระบบ 2 ท่านที่สามารถเข้าถึง SRAN ได้

เข้าเปิดหน้า Management เข้าสู่เมนู Data Archive

และทำการคลิกไปที่หน้า Data Hashing

โปรดอ่านตอนต่อไป

Read Full Post »

การเก็บบันทึกข้อมูลจราจร หรือเรียกสั้นๆ ว่า เก็บ Log นั้น จะไม่มีประโยชน์หากผู้ทำการเก็บบันทึกข้อมูลจราจรนั้นไม่ได้สร้างการยืนยัน ว่า Log files นั้นทำการเปลี่ยนแปลงหรือแก้ไขได้

โดยปกติ การเก็บบันทึกข้อมูลจราจร ควรจะมีวิธีการตรวจถึงความถูกต้องของเนื้อ files เหตุการณ์ที่ได้บันทึกไว้ เมื่อเกิดปัญหา หรือมีการดำเนินคดี เราจะทราบได้อย่างไร ว่า Log ที่เก็บบันทึกนั้น ถูกต้องหรือไม่ หรือมีการแก้ไข จะผู้ดูแลระบบหรือไม่ หรืออาจจะมีบุคคลอื่นที่สามารถเข้าถึงระบบได้ทำการแก้ไขเนื้อหา files Log ที่เก็บบันทึก

ตามหลัก Chain of event ในภาษาไทยเรียกว่า ห่วงโซ่ของเหตุการณ์ นั้นได้กล่าวว่า เหตุการณ์ที่ปรากฏจากที่หนึ่ง ย่อมมีผลต่อเหตุการณ์จากที่หนึ่ง

กรณีศึกษา (Case Study) จากเหตุการณ์สมมุติ ที่ทำเกิดความเสียหาย หรือก่อกวน ทำลายระบบคอมพิวเตอร์

<18:30 21/03/51> มีผู้เสียผู้ให้บริการ Hosting A แจ้งว่ามีได้ถูกบุกรุกโดยการโจมตีชนิด DoS (Denial of Services) มาที่เว็บไซด์หนึ่งซึ่งเป็นลูกค้าของตน บน Hosting ที่ตนเองให้บริการอยู่ โดยการ DoS ครั้งนี้ ทำให้ระบบของตนเองล่ม ใช้งานไม่ได้ และทำให้ลูกค้าในเว็บของตนเองได้รับความเสียหาย ไม่สามารถติดต่องานได้ ลูกค้าที่ Hosting A จึงร้องเรียนตนมา เมื่อรับเรื่องจึงรีบดำเนินงานทันที โดยแจ้งไปที่เจ้าหน้าที่พนักงาน และ เจ้าหน้าที่ตำรวจ ในสน. ที่รับเรื่อง


ซึ่งเหตุการณ์นี้ ตรงตาม มาตรา10 ฐานความผิด การรบกวนข้อมูลคอมพิวเตอร์ จำคุก5 ปี ปรับไม่เกิน100,000 บาท หรือทั้งจำ/ปรับ

<19:50 21/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน ขอข้อมูล Hosting A และขอข้อมูล Log ที่ Hosting A ได้เก็บบันทึกไว้ จากนั้นทำการขอข้อมูล Log ที่ทาง ISP ของ Hosting A ให้บริการอยู่ ได้รับความร่วมือจาก ISP ส่ง Log ข้อมูลของอุปกรณ์เครือข่ายSwitch ที่ Hosting A ติดตั้งอยู่ และได้ Log ของเครื่อง Hosting A ที่เป็นระบบ Windows Server เปิด Services IIS และWebDav ด้วย ซึ่ง Hosting A ให้เป็นชนิด Local Log คือ Log บนตัวเครื่องนั้นเอง <สามารถอ่านเทคนิคการเก็บ Log ได้ที่นี้>

<22:30 21/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน ค้นพบว่าการบุกรุกครั้งนี้ เกิดมาจาก IP ของ บริษัท XXX ซึ่งเช่าอินเตอร์เน็ต โดยใช้ ISP YYY ลักษณะการให้บริการเป็น ADSL ที่ Fix IP หรือ IP จริงที่มีค่าคงที่

<8:30 22/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน เข้าทำการขอข้อมูล กับบริษัท XXX โดยทำติดต่อประสานงานไปที่บริษัท และขอความร่วมมือบริษัท XXX ให้ส่ง Log ที่เก็บบันทึกไว้

<10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือ Log Router , Log Firewall และ Log Domain Controller

<11:30 22/03/51> พนักงานบริษัท XXX คนหนึ่งชื่อนาย HHH ที่อยู่ฝ่ายไอที ที่พึ่งอบรมหลักสูตร Hacking มา เมื่อทราบข่าว ขึ้นจึงทำการ Sniffer ข้อมูลในวงผู้ดูแลระบบเพื่อดูรหัสผ่านในแต่ละอุปกรณ์ และทำการ Remote จากเครื่องตนเอง โดยใช้โปรแกรมจาก Tools Hacking ที่ได้ศึกษามา ไปทำการแก้ไข Log โดยเข้าไปยึดระบบ Router บริษัท และ ระบบ Domain Controller ซึ่งเป็นระบบปฏิบัติการ Window 2003 server และทำการเปลี่ยนแปลงข้อมูลใน Log เพราะหากลบอาจพบว่ามีการ Access จากเครื่องของตนได้ จึงทำการเข้าระบบเครื่องเพื่อนร่วมงานและใช้เครื่องผู้ร่วมงานทำการแก้ไข Log

<12:30 22/03/51> นาย HHH รับประทานอาหารอย่างสบายใจ

<13:20 22/03/51> ผู้จัดการฝ่ายไอทีบริษัท ได้ส่ง Log Router , Log Firewall และ Log Domain Controller ให้เจ้าหน้าที่พนักงาน

<14:07 22/03/51> เจ้าหน้าที่พนักงานโทรมาตำหนิ ผู้จัดการบริษัท XXX ว่าไม่ได้ทำ Centralized Log เพราะการส่ง Log แต่ละอุปกรณ์ทำให้เจ้าหน้าเกิดความลำบาก และผิดตามมาตรฐานการเก็บบันทึกข้อมูลจราจรที่กระทรวงประกาศไป

ผ่านไปหลายอาทิตย์ เรื่องถึงชั้นศาล เนื่องจาก ลูกค้ารายหนึ่งของผู้ให้บริการ Hosting A เสียหายคิดเป็นจำนวนเงินที่ระบบเว็บไซด์ที่ฝากไว้ล่มไป เกือบ 5 ชั่วโมง ฟ้อง Hosting A เป็นเงิน 5 แสนบาท Hosting A ดิ้นรนทุกวิถีทาง ทั้งที่เก็บ Log ถูกต้อง ให้ความร่วมมือกับเจ้าหน้าที่พนักงาน แต่เมื่อเรื่องถึงชั้นศาล ศาลไม่รับฟ้องเนื่องจาก Log ได้รับจาก Hosting A และ ISP รวมถึงที่บริษัท XXX ส่งมาไม่สามารถยืนยันความถูกต้องได้ และเมื่อทำการวิเคราะห์จากห้องพิสูจน์หลักฐานทางอิเล็คทรอนิกส์ แล้วไม่มีผู้ใดเห็น Log จากบริษัท XXX ทำความเสียหายให้กับ Hosting A แม้แต่น้อย เจ้าหน้าที่ขยายผล โดยการนำ Log Router , Log Firewall และ Domain Controller มาเปรียบเทียบและพบว่า เกิดความไม่สอดคล้องกับเหตุการณ์ที่พบ และคิดว่าอาจมีใครทำการแก้ไขข้อมูล Log

Hosting A ผู้ถูกฟ้อง จากลูกค้าที่เช่าเว็บ พนักงานไอที บริษัท XXX ที่เป็นคนโจมตีเว็บ ก็ลอยนวล เจ้าของบริษัท XXX ถูกตำหนิว่าไม่มีการเก็บบันทึกข้อมูลตามกฏหมายที่ระบุไว้ ตามหลักเกณฑ์การเก็บ Log เจ้าหน้าที่พนักงานเกิดความยากลำบากในการสืบสวนคดี และ ข้อมูลทั้งหมดไม่สามารถยืนยันในชั้นศาลได้ เรื่องนี้จึงจบไป โดย Hosting A ต้องยอมรับค่าเสียหายให้แก่ลูกค้า

เหตุการณ์นี้จะไม่เกิด หากท่านเลือกใช้ SRAN Technology ซึ่งจะกล่าวในตอนต่อไป ถึงการนำ SRAN มาช่วย เฝ้าระวัง วิเคราะห์ผล และเก็บหลักฐานข้อมูลจราจร อย่างถูกวิธี พบกันตอนหน้าครับ

SRAN Dev

(21/03/51)

Read Full Post »

เมื่อทำการเปลี่ยนแปลงเหตุการณ์ บริษัท XXX ได้จัดหาระบบเก็บบันทึกเหตุการณ์ โดยใช้ SRAN Security Center รุ่น SR L มาใช้ในองค์กร โดยผู้บริหารบริษัท XXX มีความตระหนักถึงการเก็บบันทึกข้อมูลจราจร และการเฝ้าระวังภัยคุกคาม ตลอดถึงต้องการทราบถึงลักษณะการใช้งานของ User ในองค์กร ที่เป็นลูกจ้าง ที่ตนเองต้องจ่ายเงินเดือนให้ จึงเลือกใช้ อุปกรณ์ SRAN และเป็นรุ่นที่เหมาะสมกับเครือข่ายขนาด เครื่องคอมพิวเตอร์ที่ออกอินเตอร์เน็ตได้ ไม่เกิน 400 เครื่อง คือรุ่น SR L

โดยผู้ดูแลระบบ ทำการติดตั้งอุปกรณ์ SRAN Security Center โดยทำการรับค่า Mirror Port จากอุปกรณ์ Core Switch ทำให้เห็นถึง Data Traffic ทั้งหมดของเครือข่ายคอมพิวเตอร์ บริษัท XXX

รูปการติดตั้งอุปกรณ์ SRAN

ย้อนกลับไปจากตอนที่แล้ว ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือ Log Router , Log Firewall และ Log Domain Controller

ก็เปลี่ยนใหม่ เป็น ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือนำ Log จากอุปกรณ์ SRAN Security Center รุ่น SR L

เมื่อทำการเปิดเครื่อง https://xxxxxx ใส่ user/ password ตามนโยบายของบริษัท สำหรับผู้ดูแลระบบ 2 ท่านที่สามารถเข้าถึง SRAN ได้

เข้าเปิดหน้า Management เข้าสู่เมนู Data Archive

และทำการคลิกไปที่หน้า Data Hashing

<14:07 22/03/51> ผู้ดูแลระบบนำ Log จากบริษัท XXX โดยคลิกที่หน้าปฏิทินในอุปกรณ์ SRAN และนำ Log files พร้อมค่า MD5 (Data Hashing) ไปพร้อม

<15:00 22/03/51> พัฒ หนึ่งในผู้ดูแลระบบเครือข่ายบริษัท XXX ซึ่งได้ลาพักร้อนไปเที่ยวต่างจังหวัด เมื่อทราบข่าว จึง Remote ผ่านระบบ GPRS บนมือถือเพื่อเชื่อมต่อระบบ VPN เข้าสู่บริษัท XXX และทำการวิเคราะห์เหตุการณ์ผ่านช่องทาง (HTTPS) Web Application บนตัวอุปกรณ์ SRAN Security Center เมื่อทำการเข้าหน้า Login ในสิทธิที่พัฒมีแล้วคือระดับนักวิเคราะห์ (analysis) ก็ดูในหน้า Summary ทันที

(ดูวิธีการใช้งาน SRAN ผ่าน iPhone )

ซึ่งพัฒเองได้ผ่านการอบรมจากทีมงาน SRAN Dev ถึงวิธีการใช้งานอุปกรณ์ SRAN และวิธีการวิเคราะห์ตามห่วงโซ่ของเหตุการณ์ (Chain of Event)

Who ใคร : What ทำอะไร : Where ที่ไหน : When เมื่อไหร่ : Why อย่างไร

(more…)

Read Full Post »

เมื่อทำการติดตั้ง SRAN Security Center แบบ Passive Mode กับอุปกรณ์ Switch (วิธีนี้จะไม่มีผลกระทบกับระบบเครือข่ายเดิม ใช้เวลาติดตั้งไม่นานเห็นผลได้ แต่อุปกรณ์ Switch ต้องสามารถ Manage Port Mirror ได้) นอกจากจะทำการตรวจจับ Traffic ที่วิ่งเข้าออกแล้วโดยแยก Application Protocol ได้แล้วยังสามารถใช้ควบคู่กับ Proxy ที่ติดตั้งในองค์กรได้อีกด้วย ไม่ว่าเป็น Proxy จาก Open source (Squid) หรือ Proxy ISA จากค่าย Microsoft โดยไม่มีผลกระทบกับระบบเครือข่ายเดิม ด้วยเทคนิคการตรวจจับข้อมูล (Data Traffic Capture) และทำการ Correlation Log ที่พบ

ภาพที่ 1

จากการทำ Flow Collector จะทำให้ทราบ Fingerprint OS และการบันทึกข้อมูลใน Layer 2 ARP , MAC Address และขึ้นสู่ IP Address ต่อไป เมื่อทำการ Port Mirror อุปกรณ์ SRAN จะทำการบันทึกข้อมูลโดยการดึงฐานข้อมูลในระดับ Host , Network และการใช้งานอินเตอร์เน็ต ด้วยเทคโนโลยี Deep packet Inspection ซึ่งทำให้ทราบถึง Application Protocol ที่ Host ทำการติดต่อสื่อสารใน Layer 7 บน OSI 7 layer จึงทำให้ทราบค่า Payload และทำให้ทราบลักษณะการใช้งานในที่สุด จากแผนภาพข้างบนเมื่ออุปกรณ์ SRAN Security Center ได้รวบรวมข้อมูลและทำการเปรียบเทียบจากฐานข้อมูล (Correlation) แล้วจะทำการประมวลผลเหตุการณ์ที่เป็นภาษาเทคนิคที่เข้าใจง่าย และจัดกลุ่มข้อมูลเพื่อความสะดวกในการค้นหา

ทำให้อุปกรณ์ SRAN Security Center สามารถจับเหตุการณ์ที่ผ่าน Proxy ได้ โดยทำการแสดงผลดังนี้

ภาพที่ 2

จัดเก็บลักษณะการใช้งานเว็บไซด์ จาก HTTP , HTTPS และ HTTP Proxy ทั้งการ GET และ Post

ภาพที่ 3

จากภาพการแสดงผล HTTP Proxy ในลักษณะการใช้งาน GET เราจะพบ Source IP และ Destination IP ช่วงเวลาที่ใช้งาน

ความสามารถในการวินิจฉัยเพื่อให้ทราบถึงเนื้อในข้อมูลจะพบลักษณะการติดต่อ ตามภาพข้างล่าง

ภาพที่ 4

ทำให้ทราบว่า IP ภายในเครือข่ายนี้ ทำการออกอินเตอร์เน็ต ผ่าน Proxy ภายใน และติดต่อไปที่เว็บ HI5 ตาม URI Path ที่แสดงในค่า Payload นี้ ลักษณะการเปิดเว็บ การใช้ชนิดของบราวเซอร์ ซึ่ง Log บนอุปกรณ์ SRAN ได้เก็บบันทึกข้อมูลไว้เป็นการทำเป็น Data Archive ต่อจากนั้นอุปกรณ์ SRAN ยังเก็บบันทึกข้อมูลนี้เพื่อยืนยันความถูกต้อง โดยการสร้างค่า Hashing เพื่อเก็บบันทึกไว้ต่อไป

ภาพที่ 5

อุปกรณ์ SRAN Security Center ในทุกรุ่นสามารถทำ Centralize Log เก็บบันทึกข้อมูลจากศุนย์กลาง และทำการ Data Archive พร้อมทั้งทำ Data Hashing ในตัวซึ่งเป็นทางเลือกหนึ่งที่ช่วยให้องค์กรของท่านมีความสะดวก ทั้งการใช้งาน การออกแบบ และประหยัดเวลาในการติดตั้งได้เป็นอย่างมาก

เมื่อทำการวิเคราะห์ (Chain of event)

Who = Source IP / Destination IP จากภาพที่ 3
What = ลักษณะการใช้งาน HTTP Proxy Get Web เป็นการติดต่อแบบ TCP จากภาพที่ 3
Where = URI Path จากภาพที่ 4

When = เวลา ที่มีการติดต่อสื่อสารกัน จากภาพที่ 3 จะพบว่ามีช่วงเวลาการติดต่อกันอยู่เป็นตามลำดับเหตุการณ์

Why = เป็นลักษณะการบุกรุก (Threat Data) หรือ เป็นข้อมูลที่ใช้ปกติ (Normal Data) พบว่าเหตุการณ์นี้มีสีเขียว ซึ่งเป็นเหตุการณ์ปกติ ที่ใช้งานปกติทั่วไป ตามภาพที่ 3

อธิบายตามนี้จะตรงตามหลักการพิสูจน์หลักฐานอิเล็คทรอนิกส์ (Forensics) และเป็นวิธีที่สะดวกที่สุดแล้ว สำหรับเจ้าหน้าที่พนักงาน และเจ้าหน้าที่ตำรวจ จะทำการพิสูจน์หาหลักฐานทางอิเล็คทรอนิกส์บนระบบเครือข่ายคอมพิวเตอร์

SRAN เป็นมากกว่าระบบเก็บบันทึกข้อมูลจราจร (Log) เพื่อสอดคล้องกับ พ.ร.บ คอมพ์ฯ และยังมีประโยชน์สำหรับนายจ้างต้องการทราบถึงพฤติกรรมการใช้งานระบบสารสนเทศ ของพนักงานในองค์กรอีกด้วย

สะดวก เห็นผลเร็ว ไม่มีผลกระทบกับระบบเครือข่ายเดิม พร้อมให้คุณเลือกใช้ตามความเหมาะสม

SRAN Dev

Read Full Post »

Older Posts »