จุดประสงค์ ที่จัดทำเครือข่ายตื่นรู้ โดยใช้ SRAN Appliance
1.เพื่อเป็นสูตรสำเร็จในการติดตั้งอุปกรณ์ระบบเครือข่ายให้มีความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ โดยลดความซับซ้อนในการออกแบบและติดตั้งระบบเครือข่ายให้มีจำนวนน้อยที่สุดแต่ปลอดภัยและบริหารจัดการง่ายที่สุด
2. ระบุตัวตนผู้ใช้งานได้ อย่างถูกต้อง อีกทั้งผู้ที่ใช้งานอินเตอร์เน็ตยังสามารถรับรู้นโยบาย (Policy) ที่ประกาศใช้เพื่อความถูกต้องและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้ในอนาคต
3. ระบุภัยคุกคามเหตุการณ์ที่อาจมีความเสี่ยงตามมาตราต่างๆ ที่กำหนดขึ้นจากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้
4. สามารถสืบค้นหาผู้กระทำความผิด สถิติการใช้งานระบบสารสนเทศ ระบบอินเตอร์เน็ต และจัดเก็บบันทึกเป็นข้อมูลที่สามารถสืบค้นได้อย่างสะดวก
5. ประเมินพฤติกรรมการใช้งานอินเตอร์เน็ตภายในองค์กร (Network Awareness) เพื่อจัดทำการประเมินพนักงานสำหรับงานทรัพยากรบุคคลได้
6. คุ้มค่าการลงทุน และปลอดภัยกว่า (Lower Cost More Secure)
SRAN Energetic Network แบบที่ 1
เหมาะสำหรับองค์กรขนาดเล็ก และขนาดกลาง ที่ยังไม่มีระบบป้องกันภัยคุกคามภายในองค์กร และยังขาดนโยบายควบคุมบุคคลากรในองค์กร
อุปกรณ์ที่ติดตั้งประกอบด้วย
1. SRANwall Appliance เป็นอุปกรณ์ที่มีหน้าที่สำหรับระบุตัวตนผู้ใช้งานอินเตอร์เน็ต (Authentication Gateway) คุณสมบัติสำหรับผู้ต้องการใช้งานอินเตอร์เน็ตในองค์กรจะต้องผ่าน Web Authentication เพื่อระบุชื่อ และรหัสผ่านก่อนเข้าสู่ระบบ ซึ่งสามารถระบุได้ดังนี้
1.1 IP/MAC , Username สามารถเรียกตามฐานข้อมูล LDAP , Radius Server ได้
1.2 เป็นระบบ Security Gateway โดยมีคุณสมบัติเป็น Network Firewall สามารถทำ NAT / PAT และกำหนด Rule Base ได้
1.3 เป็น DHCP Server
1.4 เป็นระบบ Security Remote Access (VPN)
1.5 Network Bandwidth Shaping ควบคุมบริหารจัดการทรัพยากรข้อมูลให้ใช้อย่างจำกัดและเหมาะสม
1.6 มีระบบกรอกข้อมูล เพื่อยืนยันการใช้งาน และยอมรับข้อตกลงนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ
ซึ่งในนโยบายที่ประกาศนั้นจะต้องตอบยอมรับทุกครั้ง เมื่อมีการใช้งานอินเตอร์เน็ต โดยแบ่งกลุ่มได้ 5 หัวข้อดังนี้
หวมดที่ 1 : บททั่วไป
หมวดที่ 2 : การใช้งานคอมพิวเตอร์
หมวดที่ 3 : การใช้งานระบบเทคโนโลยีสารสนเทศ
หมวดที่ 4 : การป้องกันและรักษาความมั่นคงปลอดภัยในการใช้ระบบเทคโนโลยีสารสนเทศ
หมวดที่ 5 : การเผยแพร่ข้อมูลผ่านระบบเทคโนโลยีสารสนเทศ
รูปที่ 1 จะแสดงเป็นหน้าต่างใหม่เวลาใช้เครื่องคอมพิวเตอร์ภายในองค์กร จะทำการเชื่อมต่ออินเตอร์เน็ต (คลิกที่รูปเพื่อดูภาพขยาย)
หากไม่ยอมรับในนโยบายขององค์กร จะไม่สามารถใช้งานอินเตอร์เน็ตได้ แต่หากยอมรับข้อตกลงตามนโยบายที่บริษัทได้ประกาศ
รูปที่ 2 จะแสดงการใส่ User / Password เพื่อบันทึกการยอมรับต่อนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร หาก Login ไม่ถูกต้องก็จะย้อนกลับมาหน้าแรกอีกครั้ง
2. SRAN Security Center เป็นอุปกรณ์ที่เก็บบันทึกข้อมูลจราจร (Data Traffic) ทั้งการใช้งานปกติที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ต เช่น Web , Mail , Chat , Upload / Download , Telnet , FTP , P2p , VoIP เป็นต้น
และคอยเฝ้าสังเกตการพฤติกรรมอันไม่พึ่งประสงค์ เช่น การบุกรุกระบบ การโจมตีระบบ การเข้าถึงระบบโดยมิชอบ การแพร่กระจายไวรัสคอมพิวเตอร์ (Virus, Worm, Spyware , Trojan , Backdoor เป็นต้น) ข้อมูลอันไม่พึ่งประสงค์ เช่น การเล่นเว็บไม่เหมาะสม , อีเมลล์ขยะ (Spam) , การดักจับข้อมูลโดยมิชอบ (Sniffer) เป็นต้น
และทำการรับค่า Syslog User สำหรับ Authentication ที่ยอมรับกฏระเบียบตามนโยบายที่ประกาศไว้
เป็นอุปกรณ์ที่ทำหน้า
2.1 เฝ้าระวัง ภัยคุกคามจากภายในองค์กร และภายนอกองค์กร เพื่อดูพฤติกรรมการใช้งานที่ไม่เหมาะสมและเสี่ยงต่อความมั่นคงทางข้อมูล
2.2 วิเคราะห์ ข้อมูลดิบที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ตแปลงเป็นข้อมูลที่สามารถอ่านเข้าใจง่าย และใช้สำหรับการสืบสวนสอบสวนหาผู้กระทำความผิดได้
วิเคราะห์ระดับการใช้งาน Bandwidth , Protocol และพฤติกรรมการใช้งาน User ภายในองค์กรเพื่อประเมินความเสี่ยงและจัดจิตพิสัยรวมถึงประเมินด้านทรัพยากรบุคคลได้
2.3 เก็บบันทึกข้อมูลจราจร ทั้งที่เป็น Network Flow , NIDS/IPS Log และ Syslog จาก Authentication Gateway (สำหรับเครือข่ายใดที่มี Domain Controller และ DHCP Server ให้ส่งค่า syslog มาที่อุปกรณ์ SRAN เพื่อทำการเก็บบันทึกการ Login / Logoff สำหรับการใช้งานระบบสารสนเทศในองค์กรเป็นต้น)
รูปที่ 3 การรับค่า syslog จาก Authentication Gateway เพื่อระบุตัวต้นผู้ใช้งานผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย) จะเห็นรายชื่อ User ที่ยอมรับนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร ในสถานเปิดทำการ Login เพื่อใช้งานระบบสารสนเทศในองค์กร ซึ่งแสดงถึงช่วงเวลาการใช้งาน ชื่อ User ที่ยอมรับนโยบาย (Security Policy) ที่องค์กรประกาศ และ IP / MAC Address สถานะการการใช้งาน
รูปที่ 4 ค่า Log จาก DHCP Server (SRANwall) และประมวลผลผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย)
รูปที่ 5 การวิเคราะห์การใช้งานอินเตอร์เน็ตภายในองค์กร เพื่อจัดทำเป็นเครือข่ายจิตพิสัย (Network Awareness)
รูปที่ 6 การจัดทำ Data Correlation เพื่อจัดเหตุการที่มีความเสี่ยงภัยจัดเปรียบเทียบตามมาตราต่างๆ ในพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
และอุปกรณ์ยังสามารถจัดทำ Algorithm เพื่อจัดเก็บ Log ให้มีความถูกต้องและไม่สามารถแก้ไขเปลี่ยนแปลงได้ โดยอ่านเพิ่มเติมที่ http://www.sran.net/archives/155
การใช้อุปกรณ์ SRAN Security Center อย่างถูกต้อง http://www.sran.net/archives/101
กรณีศึกษาการวิเคราะห์ Log เพื่อสืบหาผู้กระทำผิด พ.ร.บ คอมพ์ฯ ตอนที่ 1
กรณีศึกษาการวิเคราะห์ Log เพื่อสืบหาผู้กระทำผิด พ.ร.บ คอมพ์ฯ ตอนที่ 2
การแก้ไขปัญหาอุปกรณ์ SRAN ในรูปแบบต่างๆ
เพียงติดตั้ง 2 อุปกรณ์ บนระบบเครือข่ายของท่านก็จะได้ทั้งระบบระบุตัวตนการใช้งานและยอมรับนโยบายด้านความปลอดภัยขององค์ที่ประกาศการยอมรับพฤติกรรมการใช้งานอินเตอร์เน็ต จากอุปกรณ์ที่ชื่อ SRANwall และ เฝ้าระวังภัยคุกคาม วิเคราะห์ข้อมูล สถิติออกรายงานผล รวมถึง เก็บรักษาข้อมูลจราจร จากอุปกรณ์ที่ชื่อ SRAN Security Center
SRAN Energetic Network การสร้างเครือข่ายให้ตื่นรู้ แบบที่ 1 นั้นจะสามารถควบคุมการใช้งานอินเตอร์เน็ตในองค์กรได้แบบอยู่หมัด เพียงใช้เทคโนโลยีเข้ามาเกี่ยวข้องเพียง 2 อุปกรณ์ และ SRAN Energetic ในแบบที่ 2 จะสามารถควบคุมการใช้งานอินเตอร์เน็ต และ ควบคุมการใช้งาน User ภายในองค์กรที่่ใช้ระบบเครือข่ายสารสนเทศได้อย่างมีประสิทธิภาพมากขึ้น ซึ่งเป็นรูปแบบที่ไร้ภัยคุกคาม ปราศจากภัยคุกคามเช่น ไวรัสคอมพิวเตอร์และ Botnet ที่แอบฝังในเครื่อง PC ของ User และแน่นอนย่อมคุ้มค่าการลงทุนและปลอดภัยกว่า (Lower Cost More Secure) ซึ่งอาจเป็นอีกแนวทางหนึ่งในการออกแบบและติดตั้งระบบเครือข่ายในอนาคต
SRAN Dev (21/07/51)
