Feeds:
Posts
Comments

อธิบายวิธีการตรวจผู้ใช้งาน Proxy Web โดยใช้ SRAN

เมื่อทำการติดตั้ง SRAN Security Center แบบ Passive Mode กับอุปกรณ์ Switch (วิธีนี้จะไม่มีผลกระทบกับระบบเครือข่ายเดิม ใช้เวลาติดตั้งไม่นานเห็นผลได้ แต่อุปกรณ์ Switch ต้องสามารถ Manage Port Mirror ได้) นอกจากจะทำการตรวจจับ Traffic ที่วิ่งเข้าออกแล้วโดยแยก Application Protocol ได้แล้วยังสามารถใช้ควบคู่กับ Proxy ที่ติดตั้งในองค์กรได้อีกด้วย ไม่ว่าเป็น Proxy จาก Open source (Squid) หรือ Proxy ISA จากค่าย Microsoft โดยไม่มีผลกระทบกับระบบเครือข่ายเดิม ด้วยเทคนิคการตรวจจับข้อมูล (Data Traffic Capture) และทำการ Correlation Log ที่พบ

ภาพที่ 1

จากการทำ Flow Collector จะทำให้ทราบ Fingerprint OS และการบันทึกข้อมูลใน Layer 2 ARP , MAC Address และขึ้นสู่ IP Address ต่อไป เมื่อทำการ Port Mirror อุปกรณ์ SRAN จะทำการบันทึกข้อมูลโดยการดึงฐานข้อมูลในระดับ Host , Network และการใช้งานอินเตอร์เน็ต ด้วยเทคโนโลยี Deep packet Inspection ซึ่งทำให้ทราบถึง Application Protocol ที่ Host ทำการติดต่อสื่อสารใน Layer 7 บน OSI 7 layer จึงทำให้ทราบค่า Payload และทำให้ทราบลักษณะการใช้งานในที่สุด จากแผนภาพข้างบนเมื่ออุปกรณ์ SRAN Security Center ได้รวบรวมข้อมูลและทำการเปรียบเทียบจากฐานข้อมูล (Correlation) แล้วจะทำการประมวลผลเหตุการณ์ที่เป็นภาษาเทคนิคที่เข้าใจง่าย และจัดกลุ่มข้อมูลเพื่อความสะดวกในการค้นหา

ทำให้อุปกรณ์ SRAN Security Center สามารถจับเหตุการณ์ที่ผ่าน Proxy ได้ โดยทำการแสดงผลดังนี้

ภาพที่ 2

จัดเก็บลักษณะการใช้งานเว็บไซด์ จาก HTTP , HTTPS และ HTTP Proxy ทั้งการ GET และ Post

ภาพที่ 3

จากภาพการแสดงผล HTTP Proxy ในลักษณะการใช้งาน GET เราจะพบ Source IP และ Destination IP ช่วงเวลาที่ใช้งาน

ความสามารถในการวินิจฉัยเพื่อให้ทราบถึงเนื้อในข้อมูลจะพบลักษณะการติดต่อ ตามภาพข้างล่าง

ภาพที่ 4

ทำให้ทราบว่า IP ภายในเครือข่ายนี้ ทำการออกอินเตอร์เน็ต ผ่าน Proxy ภายใน และติดต่อไปที่เว็บ HI5 ตาม URI Path ที่แสดงในค่า Payload นี้ ลักษณะการเปิดเว็บ การใช้ชนิดของบราวเซอร์ ซึ่ง Log บนอุปกรณ์ SRAN ได้เก็บบันทึกข้อมูลไว้เป็นการทำเป็น Data Archive ต่อจากนั้นอุปกรณ์ SRAN ยังเก็บบันทึกข้อมูลนี้เพื่อยืนยันความถูกต้อง โดยการสร้างค่า Hashing เพื่อเก็บบันทึกไว้ต่อไป

ภาพที่ 5

อุปกรณ์ SRAN Security Center ในทุกรุ่นสามารถทำ Centralize Log เก็บบันทึกข้อมูลจากศุนย์กลาง และทำการ Data Archive พร้อมทั้งทำ Data Hashing ในตัวซึ่งเป็นทางเลือกหนึ่งที่ช่วยให้องค์กรของท่านมีความสะดวก ทั้งการใช้งาน การออกแบบ และประหยัดเวลาในการติดตั้งได้เป็นอย่างมาก

เมื่อทำการวิเคราะห์ (Chain of event)

Who = Source IP / Destination IP จากภาพที่ 3
What = ลักษณะการใช้งาน HTTP Proxy Get Web เป็นการติดต่อแบบ TCP จากภาพที่ 3
Where = URI Path จากภาพที่ 4

When = เวลา ที่มีการติดต่อสื่อสารกัน จากภาพที่ 3 จะพบว่ามีช่วงเวลาการติดต่อกันอยู่เป็นตามลำดับเหตุการณ์

Why = เป็นลักษณะการบุกรุก (Threat Data) หรือ เป็นข้อมูลที่ใช้ปกติ (Normal Data) พบว่าเหตุการณ์นี้มีสีเขียว ซึ่งเป็นเหตุการณ์ปกติ ที่ใช้งานปกติทั่วไป ตามภาพที่ 3

อธิบายตามนี้จะตรงตามหลักการพิสูจน์หลักฐานอิเล็คทรอนิกส์ (Forensics) และเป็นวิธีที่สะดวกที่สุดแล้ว สำหรับเจ้าหน้าที่พนักงาน และเจ้าหน้าที่ตำรวจ จะทำการพิสูจน์หาหลักฐานทางอิเล็คทรอนิกส์บนระบบเครือข่ายคอมพิวเตอร์

SRAN เป็นมากกว่าระบบเก็บบันทึกข้อมูลจราจร (Log) เพื่อสอดคล้องกับ พ.ร.บ คอมพ์ฯ และยังมีประโยชน์สำหรับนายจ้างต้องการทราบถึงพฤติกรรมการใช้งานระบบสารสนเทศ ของพนักงานในองค์กรอีกด้วย

สะดวก เห็นผลเร็ว ไม่มีผลกระทบกับระบบเครือข่ายเดิม พร้อมให้คุณเลือกใช้ตามความเหมาะสม

SRAN Dev

Comments RSS

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: