Feeds:
Posts
Comments

Archive for September, 2008

การเก็บ Log ที่ถูกต้องและเป็นประโยชน์ต่อการสืบสวนสอบสวน นั้นประกอบด้วย 2 มุมมอง

มุมมองที่ 1 เก็บบันทึกการเคลื่อนไหวข้อมูลภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น

ซึ่งบทสรุปที่ลงตัวในการเก็บบันทึกความเคลื่อนไหวข้อมูล เพื่อเป็นประโยชน์ต่อการสืบสวนสอบสวน ในส่วนนี้คือ

ใช้ SRANwall ซึ่งทำตัวเองเป็น Network Identity ซึ่งจะสามารถทำ A (Authentication) , A (Authorization) , A (Accounting)  ติดตั้งเป็น Gateway บนระบบเครือข่าย

และใช้ SRAN Security Center เพื่อทำการเฝ้าระวัง วิเคราะห์ข้อมูล และเก็บบันทึกข้อมูล การใช้งานทั้งที่เป็นข้อมูลฝั่งขาเข้าในองค์กร และ ข้อมูลฝั่งขาออกในองค์กร

รูปที่ 1 การติดตั้ง SRANwall เป็น Gateway และ SRAN Security Center ในการเก็บบันทึกข้อมูลการใช้งานภายใน-นอกองค์กร

ส่วนสำคัญคือผู้กระทำความผิดส่วนใหญ่ คือผู้ใช้งานในองค์กร (User)  ดังนั้นจึงจำเป็นที่ต้องทราบถึงพฤติกรรมการใช้งานตาม Application Protocol ที่สำคัญ คือ การใช้งานเว็บ (Web) การใช้งานเมลล์ (E-mail) การใช้งานสนทนา (Chat)   การโจมตีระบบต่างๆ การฉ้อโกงข้อมูลภายในองค์กร ซึ่งทั้งหมดนี้ อุปกรณ์ชื่อ SRAN Security Center จะสามารถเก็บบันทึกข้อมูลได้  อันเป็นประโยชน์ต่อการสืบสวนสอบสวนหาผู้กระทำความผิด

การใช้ SRANwall + SRAN Security Center เป็นสูตรลัดในการติดตั้งอุปกรณ์ เพื่อใช้ในการเก็บบันทึกข้อมูล และระบุหาผู้กระทำความผิดภายในองค์กร ที่ลดความซับซ้อนในการออกแบบ และความยุ่งยากในการติดตั้งเป็นอย่างมาก

หัวใจของการป้องกันภัยคุกคามในองค์กร คือ

ควบคุมการใช้งานระบบสารสนเทศในองค์กร ใช้ SRANwall ติดตั้งแบบ Gateway ซึ่งเป็น Appliance Box ที่พร้อมใช้งานแล้ว

รู้ทันปัญหาและควบคุมสถานะการณ์ได้ ใช้ SRAN Security Center  ติดตั้งแบบ Inline หรือ Transparant หรือ Passive Mode ได้โดยไม่มีผลกระทบกับระบบเครือข่าย

มุมมองที่ 2 Log ระดับเครื่องคอมพิวเตอร์ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com เป็นต้น) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม

ในส่วนมุมมองที่ 2 นี้ ทางทีมพัฒนา SRAN ได้พัฒนาการเก็บบันทึกข้อมูลจราจร (Log) ที่เกิดขึ้นจากการใช้งานเว็บ (Web site) ขึ้น

เป็นบริการการเก็บบันทึก Log เฉพาะส่วนผู้ให้บริการเว็บ  เราเรียกบริการนี้ว่า “Data Safehouse Centralized log Provider”

1.ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ
2.ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ
3.ข้อมูลหมายเลขอินเตอร็เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น
4.ข้อมูลคำสั่งการใช้งานระบบ
5.ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล (URI : Uniform Resource Identifier) เช่นตำแหน่งของเว็บเพ็จ

รายละเอียด Data SafeHouse Services สามารถอ่านได้ที่ http://safehouse.sran.net

ข้อแตกต่าง ระหว่าง Web static และ SRAN Data SafeHouse

SRAN Data SafeHouse

1. แสดงรายงานผล Log ที่เกิดขึ้นแบบ Real Time

รูปที่ 2 การแสดงผลในหน้า Dash board จะแสดงรายงานผลแบบ Real Time

พร้อมกันนี้ยังสามารถทราบถึง new visitor หมายถึงผู้เยี่ยมชมที่เข้ามาครั้งแรก และ return visitor หมายถึงผู้เยี่ยมชมที่เคยเข้าเวบไซต์มาก่อนหน้านี้แล้ว

วัดโดยการอาศัย cookie และได้เพิ่มหมายเลข ID ของ cookie เข้าไปด้วย ซึ่งจะมาประโยชน์ในการจำผู้เยี่ยมชมนั้น ๆ โดยใช้หมายเลข ID ถึงแม้ IP address จะเปลี่ยนไปก็ตาม (ถ้ายังเก็บ cookie อยู่ในเวบบราวเซอร์)

2. ค้นหา IP ที่เข้ามาใช้บริการเว็บไซด์ของใช้บริการ SRAN Data Safehouse ได้

รูปที่ 3 ค้นหา IP ที่ใช้ ISP จาก KSC Internet

รูปที่ 4 ผลลัพธ์การค้นหา ซึ่งจะเห็นว่าสามารถระบุ IP ที่ได้รับค่าจาก ISP ชนิด Browser จากผู้ใช้บริการเว็บ และการเรียกอ่านข้อมูล URL Path รวมถึง Link ที่มาจากการเปิด URL Path

3. สามารถระบุ IP ที่เปิดเว็บที่ใช้บริการ Data SafeHouse ผ่านระบบ GPS

รูปที่ 5 การแสดงผลผ่านระบบดาวเทียมเพื่อระบุตำแหน่งผู้ใช้บริการที่ทำการเปิดเว็บไซด์ ที่ใช้บริการ SRAN Data SafeHouse

4. มีการประเมินค่าการ Uptime / Down Time ของเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse

รูปที่ 6 การแสดงรายงานผลค่า Uptime สำหรับเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse

5. จัดทำการจำลองเหตุการณ์ที่เชื่อมโยงกันเพื่อการวิเคราะห์ผลในภาพรวม โดยใช้เทคโนโลยี Visualize Web Tracking

คลิกที่รูปเพื่อรูปภาพขยาย จะเห็นการเชื่อมต่อความสัมพันธ์ของ IP และพฤติกรรมการใช้ในแต่ละช่วงเวลา

รูปที่ 7 การแสดงผลจำลองเหตุการณ์ที่เชื่อมโยงกันเพื่อการวิเคราะห์ผลในภาพรวม

6. สามารถระบุภัยคุกคามที่อาจเกิดขึ้นบนเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse ได้

รูปที่ 8 การแสดงผลการบุกรุกเว็บไซด์ ที่เรียกว่าการทำ Web Application Hacking เพื่อที่จะเข้าถึงระบบผ่านเว็บไซด์

ซึ่งจะเห็นได้ว่าเราจะสามารถระบุหาผู้กระทำผิดจาก IP ที่ได้รับจาก ISP ได้ ทำให้สะดวกในการสืบหาผู้กระทำความผิดมากขึ้น

7. มีการจัดทำ Data Archive และมีการจัดเก็บเพื่อยืนยันว่า Log ที่บันทึกไม่มีการแก้ไข

Database status ใช้เพื่อตรวจสอบสถานะฐานข้อมูลสถิติของคุณ ในบางกรณีที่คุณอาจพบว่ารายงานสถิติไม่มีการอัพเดทเลย ทั้ง ๆ ที่ยังมีผู้เยี่ยมชมตลอด อาจเป็นไปได้ว่าฐานข้อมูลที่ใช้เก็บอาจจะมีปัญหา ทางหนึ่งที่อาจช่วยในการหาสาเหตุคือการตรวจสอบสถานะการทำงานของฐานข้อมูลของคุณ

เข้าได้โดยการเลือกที่เมนู Data integrity => Database status ถ้าแสดงว่า OK หรือ Table is already up to date หมายถึง ฐานข้อมูลที่เก็บข้อมูลทำงานได้ปกติ แต่ถ้าพบคำว่า “error” หรือ “warning” โปรดแจ้งให้ผู้ดูแลระบบทราบอย่างเร่งด่วน

SRAN Data SafeHouse  จะทำการเปิดตัวภายในเดือนตุลาคมนี้

Advertisements

Read Full Post »

SRAN New Firmware 09/51

สำหรับ Firmware ใหม่ SRAN Security Center version 4.6.3 Code Name Memory นั้นได้ออก Patch ใหม่อยู่ 3 ส่วนประกอบด้วย

1. ด้านการค้นหา สามารถระบุเนื้อหา (Content) ชื่อของ Signature ในฐานข้อมูล SRAN Security Center ได้ เช่น ค้นหาคำว่า Sync มีเหตุการใดที่มี Payload ของ Signature มีลักษณะ Sync  เป็นต้น  ซึ่งอาจเป็นการใช้งาน P2P ที่กำลัง Sync กับเครื่องปลายทางอยู่หรือ sync ที่เกิดขึ้นจาก Protocol อื่นที่เกี่ยวมีลักษณะอื่นๆก็จะสามารถค้นหาได้

ภาพที่ 1 : หน้าตา Web Base GUI ในหนาค้นหา จากภาพที่ 1 พบว่า ค้นหาคำว่า “Web” ในหน้าจอก็มีการกรองค่า Source IP , Destination IP และกำหนดช่วงเวลาในการค้นหา

ภาพที่ 2 ผลการค้นหาคำว่า Web จะเห็นว่าผลลัพธ์เป็นลักษณะการใช้ HTTP ภายในองค์กรที่เกิดขึ้น ซึ่งทั้งหมดนี้สามารถคลิกลงไปดูเหตุการณ์ภายใต้คำว่า HTTP Web Data Traffic ได้เพื่อดู URI ที่ทำการเปิด

ภาพที่ 3 ค้นหาเหตุการณ์ P2P ในช่วงเวลา 02:09 ถึงเวลา 08:19 ของวันที่ 4 กันยายน 2551 ซึ่งได้ผลลัพธ์ดังภาพที่ปรากฏ

ด้วยคุณสมบัติการค้นหาที่เพิ่มขึ้นจะทำให้การสืบค้นหาพฤติกรรมที่อาจจะกระทำความผิดได้สะดวกขึ้นนั้นเอง

ส่วนที่ 2 ในเมนู Monitoring (Real Time Packet Log Monitoring) ในหน้านี้จะพบว่าได้เพื่อการนับจำนวนเหตุการณ์

ภาพที่ 4 การนับเหตุการณ์ตาม Signature เหตุการณ์ในหน้า Monitoring

เพื่อเป็นประโยชน์ในการพิจารณาข้อมูลจราจร (Data Traffic) ที่เกิดขึ้นในองค์กร และภายนอกองค์กร จึงจัดหน้าให้มีการนับเหตุการณ์ด้วยจากเดิมจะมีผลลัพธ์นี้เฉพาะหน้า Report เท่านั้นแต่ในเวอร์ชั่นนี้จะแสดงผลในหน้า Monitoring ด้วย

ส่วนที่ 3 : เพิ่มส่วนหน้าอธิบายความหมายตามมาตราต่างๆ เพื่อประโยชน์ในการรู้ทันปัญหาที่อาจมีความเสี่ยงตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งอุปกรณ์ SRAN Security Center สามารถจัดเปรียบเทียบเหตุการณ์ได้ เรียกว่าการทำ Data Correlation

ภาพที่ 5  เหตุการณ์ที่มีความสอดคล้องตามมาตรา 5 – 11 ที่แปลความที่เทคนิคได้นั้น พบว่า เมื่อคลิกดูที่มาตราต่างๆ จะมีคำอธิบายถึง เหตุการณ์ที่มีความเสี่ยงภัยในมาตรานั้นอธิบายเป็นภาษาไทย และ ภาษาอังกฤษได้อีกด้วย ซึ่งในภาพนี้แสดงให้เห็นมาตรา 5 ลักษณะการบุกรุกทางเทคนิคที่เกี่ยวข้องได้แก่
Remote Exploit , Brute Force Password , Web Application Hacking , Cracking เป็นต้น

ทำให้ผู้ดูแลระบบจะสามารถเข้าใจความหมายและสืบค้นเครื่องที่อาจมีความเสี่ยงตามมาตราดังกล่าวเพื่อป้องกันก่อนที่จะเกิดเหตุการณ์อันไม่พึ่งประสงค์ได้

ซึ่งทั้งหมดนี้จะสามารถ Upload Firmware ใหม่นี้ได้หากมีการเปิดใช้อุปกรณ์ SRAN Security Center ในการ Activate  License

ภาพที่ 6 การกำหนด Active License Key  โดยคลิกไปที่เมนูหลัก Management –> License

คู่มือการใช้ Active License อุปกรณ์ SRAN

คู่มือการต่ออายุ License อุปกรณ์ SRAN

เพื่อทำการ Upload Firmware ต่อไป

ภาพที่ 7 การ Upload Firmware ที่เป็น file นามสกุล .bin

ด้วยการพัฒนาไม่หยุดนิ่งของทีมพัฒนา SRAN Security Center จึงมั่นใจได้ว่าลูกค้าที่ได้ทำการใช้งานอุปกรณ์ SRAN ไปแล้วจะได้รับประโยชน์และเสริมสร้างให้องค์กรของท่านได้รู้ทันปัญหาและสืบหาผู้กระทำความผิดได้สะดวกขึ้น

Read Full Post »