13:57 น. ของวันที่ 9 ธันวาคม 2552 ต่อจากความเดิมตอนที่แล้วอ่านที่ http://www.sran.net/archives/296
“โห” เสียงร้องแสดงความประหลาดใจ ของนาย ก. ไก่ ดังขึ้น แล้วกล่าวว่า “Bandwidth ที่เต็มกลับลดลงอย่างรวดเร็ว นายทำไง และมันเกิดอะไรขึ้นล่ะเนี้ย”
ภาพจากตอนที่แล้ว http://www.sran.net/archives/296
“นายใช้เวลาวิเคราะห์ไม่นานก็รู้ถึงสาเหตุ แถมยังทำให้สถานะการณ์ Bandwidth บริษัทกลับมาใช้งานได้ปกติ ถามจริงๆ เถอะว่านายเก่ง หรือ อุปกรณ์ SRAN มันเก่งกันแน่” นาย ก.ไก่ ถาม
“เก่งทั้งคู่แหละ หุหุ” คือ “เครื่องมือดีอย่างเดียวไม่ได้หลอก เทคโนโลยีมันก็ส่วนหนึ่งที่ช่วยให้เราใช้งานในการวิเคราะห์หาข้อมูลได้สะดวกขึ้น ถ้าใช้งานเป็นนะก็จะมีประโยชน์มาก แต่ถ้าเครื่องมือดีใช้งานไม่เป็นก็เหมือนเดิมล่ะเพื่อนเอ๊ย SRAN ได้เปรียบหน่อยตรงที่คนเขียนก็อยู่ในประเทศไทยนี้เอง จะรู้ลึกซึ้งกว่า” นาย ข. ไข่เสริม
นายดูนี้สิ เสียงแนะนำจาก นาย ข.ไข่ “เวลาเราจะดูข้อมูลจราจร (Traffic Log) บนระบบเครือข่ายคอมพิวเตอร์บริษัทนาย แบบวิเคราะห์เชิงลึกนะ เราก็คลิกไปดูที่เมนู Monitor แล้วคลิกที่ Unique Alerts บนหน้าจอบริหารจัดการเครื่อง SRAN ผ่าน IP Management 192.168.1.100 เราก็จะเห็นว่ามีตั้ง 64 ลักษณะการใช้งานบนเครือข่ายคอมพิวเตอร์นายนะ
ภาพที่ 3 เหตุการณ์บางส่วนของลักษณะการใช้งานไอทีบนเครือข่ายคอมพิวเตอร์ XYZ มีทั้งหมด 4 หน้าหยิบมาให้ดู 2 หน้าจาก 64 เหตุการณ์
วิธีสังเกตดูตัวเลข ที่อยู่ด้านหลังชื่อ Signature หรือลักษณะการใช้งาน ตัวไหนที่มีตัวเลขมาก แสดงว่าใช้ข้อมูลเยอะ จึงมีเหตุการณ์เยอะตามไปด้วย ในภาพที่ 3 พบว่ามีการเปิดเว็บ ทั้งที่เป็น HTTP GET , HTTP Post จำนวนมาก และใช้ HTTP ผ่าน Proxy มีจำนวนหนึ่ง จากรูปที่ 3 จะเห็นว่ามีการใช้งาน Chat ผ่านโปรแกรม MSN อยู่จำนวนมากเหมือนกัน นั้นไม่แปลกอะไร แต่ที่มีแปลกๆ ก็มี เช่น บริษัทนายมีคนติดพวก Backdoor อยู่ด้วยนะ และมีพวกที่เป็น Bad traffic (ข้อมูลขยะ) จากรูป ก็มี Spam และ DNS ที่มีการ spoof อยู่ ซึ่ง Bad traffic เช่น DNS Spoof ส่วนนี้อาจจะเกิดจากปัญหาของการเชื่อมต่อ หรือการ config อุปกรณ์ เช่น Router , Firewall ไม่เหมาะสม หรือมีการโจมตีจากภายนอกองค์กรเข้ามา เช่นพวก ผีไม่มีญาติ (ไวรัสคอมพิวเตอร์ที่วิ่งวนเวียนบนอินเตอร์เน็ต) และนี้แหละสิ่งพิเศษที่ SRAN มีมากกว่าการเก็บบันทึกข้อมูลจราจรธรรมดาไง มันแยกแยะประเภทภัยคุกคามให้สำเร็จเลย
พวกนี้ภัยคุกคามที่เจอในบริษัทนายนี้นะ อาจจะเห็นมีเหตุการณ์ไม่มากแต่ก็ประมาทไม่ได้ เหตุการณ์ที่กล่าวมานั้น มันก็มีทุกบริษัทนั้นแหละ ขึ้นอยู่กับว่าจะรู้ทันปัญหาพวกนี้ได้แค่ไหน และมีการรองรับปัญหาเหล่านี้ไม่ให้ปานปลายได้อย่างไรมากกว่า
แต่ตอนนี้บริษัทนาย เรียกว่า Bandwidth เต็ม ก็ที่น่าสงสัยมากที่สุดก็เห็นจะเป็นการใช้งาน P2P นี้สิ มันตัวทำให้ Bandwidth ของบริษัทเต็มได้นะ ดังนั้นเราก็มาคลิกดูว่า P2P มีใครใช้อยู่บ้าง
รูปที่ 4 แสดงถึงการใช้ P2P โปรแกรมเพื่อทำการ Sync หาข้อมูลในการ download ข้อมูล
“เนี้ยไง พบปัญหาที่ทำให้ Bandwidth บริษัทนายเต็มแล้ว” นาย ข.ไข่ กล่าว
“IP : 192.168.1.47 user ชื่อ Nontawatt กำลังโหลด Bittorrent เต็มข้อเลยเพื่อน ลองสังเกต วัน เวลา และพฤติกรรมการใช้งาน IP 192.168.1.47 นี้สิ ณ เวลาที่เรายังไม่ block สิโหลดเต็มๆๆ เลย (คลิกดูที่ 4 เพื่อดูภาพขยาย)”
“เดี๋ยวเรามาค้นหาดูว่าประวัติการใช้งานของ User Nontawatt ดูนะ” นาย ข. ไข่ กล่าวเสริม ส่วน นาย ก. ไก่ กำลังนั่งเกาหัวอยู่ ด้วยความฉงนสงสัย เหมือนอะไรติดที่ปากว่าจะถามอะไรต่อไป ..
รูปที่ 5 ประวัติการใช้งาน User Nontawatt , IP Address 192.168.1.47 , ช่วงวันเวลา ที่ใช้งาน
จากนั้นเราก็เลยทำการปิดกั้น IP Address และค่า MAC Address ที่ต้องสงสัยโดยเข้าไปที่ เมนู Management แล้วคลิก Protect เพื่อปิดกั้นการใช้งาน เมนู Protect ใช้ได้สำหรับการติดตั้ง SRAN เฉพาะแบบ In-line (ป้องกันเชิงลึกได้) และแบบ Transparent (ป้องกัน IP , MAC ได้) ซึ่งตอนนี้เราติดตั้ง SRAN แบบ Transparent เลยสั่งปิด IP 192.168.1.47 ดูปรากฏว่า Traffic บนเครือข่ายคอมพิวเตอร์บริษัทนายลดลงอย่างเห็นได้ชัด ตามรูปที่ 2 (ตอนที่แล้ว)
ภาพที่ 6 ในเมนู Management –> Protect จะมีช่องให้กรอกข้อมูลเพื่อทำการปิดกั้น IP และค่าอื่นๆที่เกี่ยวข้อง ในที่ นาย ข. ไข่ สั่งปิดกั้น (Block) IP 192.168.1.47 ที่คิดว่าเป็นตัวการที่ทำให้ Bandwidth บริษัท XYZ เต็ม
ข้าว่านะงานนี้ Block แxxx่ง MAC Address เลย SRAN Light บอกค่า MAC Address เครื่องนี้มาแล้วนิ เราก็ไปที่เมนู Management –> Protect —> Block MAC Address สะเลย อิอิ ..
“นี้แหละที่มาทำไมในช่วงเวลาไม่นาน Traffic บริษัทนายลดลงไปเยอะเลย เพราะเราได้ปิดกั้น IP และ MAC Address ตัวนี้ไป” นาย ข. ไข่ กล่าวอย่างภาคภูมิใจ
“สุดย๊ออด” เสียงจาก นาย ก. ไก่
“เออ เรารู้แล้วว่าจะถามอะไรนาย” นาย ก. ไก่ เอ่ยถามต่อ “นายรู้ได้ไง ว่า IP Address นี้ชื่ออะไร ค่า MAC Address อะไร”
นาย ข.ไข่ ตอบ “ก็ SRAN Light มีเทคโนโลยีที่เรียกว่า HBW ที่ย่อมาจาก Human Behavioral Warning เพื่อเชื่อมโยงการเฝ้าระวังภัยคุกคามภายในเครือข่ายองค์กร เข้ากับงานบริหารทรัพยากรบุคคล พร้อมระบบจัดเก็บคลังข้อมูล รายละเอียดอยู่ที่ http://sran.org/q ซึ่งเป็นส่วนที่ทีมงาน SRAN ได้คิดค้นพัฒนาขึ้นมาเองด้วยนะ ไม่เหมือนที่อื่นๆ”
ส่วนเรื่องที่ได้รายชื่อ User ได้มาจาก น้องที่นายแนะนำก่อนทำการติดตั้ง SRAN ไง ที่จะมาให้ช่วยฉันไง ช่วงหลังจากทานข้าวเสร็จ เราขอรายชื่อพนักงานจากระบบ AD (Active directory) มาบังเอิญบริษัทนายมีคนไม่มาก เราก็เลยให้น้องเค้าทำค่า MAC Address มาด้วย โดยวิธีการเปิดไปที่เมนู Management แล้วเข้าไปที่เมนูย่อย System คลิกไปที่ Inventory
ภาพที่ 7 วิธีการเก็บบันทึกข้อมูลรายชื่อ User คลิกไปที่ Management หมายเลข 1 และคลิก System หมายเลข 2 และคลิก Inventory หมายเลข 3 จากนั้นให้ทำการนำ ค่ารายชื่อ User จากระบบ AD (Active Directory) หรือบนระบบ LDAP หรือบนระบบ Radius Server เข้าทำการ Import File โดยชนิด File ที่ใช้ในการ Import เข้าระบบ SRAN นั้นต้องเป็น file ตระกูล .csv
ภาพที่ 8 การ Import ข้อมูลจาก AD (Active Directory) เลือก file ที่จัดทำเป็น .csv เพื่อทำการ Import เข้าระบบ SRAN จะทำให้สามารถอ่านรายชื่อ User เชื่อมโยงค่า IP Address ได้
“ทั้งนี้นะเพื่อน เวลาทำหากยังไม่ได้ค่า MAC Address ก็ให้เราจัดทำใเสร็จเสียก่อน แล้วจึงนำมาใส่ในระบบ SRAN” คำกล่าวจากนาย ข. ไข่ ซึ่งวิธีนี้ทำให้เราเชื่อมโยงเหตุการณ์ ทั้ง IP , MAC Address และรายชื่อ User ได้อีกด้วยนะ
“เออดีจัง แล้ว SRAN ที่นายเอามา มันมีทั้งหมดกี่รุ่นอย่างไงอ่า เพื่อจะได้ขอหัวหน้าจัดซื้อดู” นาย ก.ไก่ กล่าว
มีทั้งหมดอยู่ 3 รุ่น แต่ละรุ่นเหมาะสมกับเครือข่ายคอมพิวเตอร์ที่แตกต่างกันไป มีทั้งรุ่นเล็ก กลาง และใหญ่ บริษัทนายมีคนอยู่ประมาณ 70 คน เราแนะนำรุ่น LT100 นะนี้รองรับการใช้งานได้ แต่ทั้งนี้ให้ตัวแทนขายเค้ามาคุยให้ฟังจะดีกว่า เพราะอย่างไงต้องขอพวก Network diagram บริษัทนายไปดูด้วย เผื่อว่าจะได้ติดตั้งอุปกรณ์ได้อย่างเหมาะสมและมีประสิทธิภาพขึ้น
สำคัญว่าเวลาที่ใช้ SRAN เป็นอุปกรณ์ที่ป้องกันภัยด้วย ต้องดูขนาด Throughput ของบริษัทให้ดี การติดตั้งแบบ In-line ทำได้ถึงขั้นปิดกั้นข้อมูลในระดับเชิงลึกเลยนะ ปิดได้กระทั่งต้องการ download file หรือจะให้ chat ได้ หรือเพียงอย่างใดอย่างหนึ่งก็ได้ การติดตั้ง In-line จะป้องกันได้ในระดับ Layer 2 ถึง 7 เลยนะ ถ้าเทียบก็ได้กับระบบ NIPS (Network Intrusion Prevention System) เลยล่ะ แต่การติดตั้ง In-line มีประโยชน์ก็จริง ต้องพิจารณาเรื่อง Throughput ให้มากกว่าการติดตั้งแบบอื่นเพราะอาจเกิดคอขวด หรืออาการล่าช้าขึ้นจากตัวอุปกรณ์ SRAN ได้นะ ไม่งั้นอาจต้องลงทุนหน่อยคือใช้ SRAN เพื่อป้องกันภัยในการติดตั้งแบบ In-line ต้องมีอุปกรณ์เสริมเช่นพวก Netoptics ถ้าสนใจปรึกษาได้ แต่นี้ราคา Netoptics แพงกว่า SRAN อีกนะ
ภาพที่ 9 อุปกรณ์ Netoptics เหมาะกับการใช้งานร่วมกับ SRAN บนระบบเครือข่ายขนาดใหญ่
เราแนะนำว่าให้ติดตั้งแบบ Transparent และ Passive จะดีกว่า ติดตั้งแบบ Transparent ป้องกันระดับ Layer 2 , 3 และ 4 ได้ ส่วนแบบ Passive ไม่สามารถป้องกันได้เหมาะสำหรับการเฝ้าระวังอย่างเดียว
ถ้าเป็นเครือข่ายขนาดใหญ่ต้องให้ผู้เชี่ยวชาญ เขามาประเมินดูว่าจะติดตั้งกี่ตัว และกี่จุด แนะนำนะปรึกษาตัวแทนขาย SRAN ได้ ที่นี้เลย
http://www.gbtech.co.th/th/about-us/partner
“เออ เพื่อน ว่าแต่ว่า …” เสียงอำ่อึ้งจากนาย ก. ไก่ ดังขึ้น
“User ที่นาย block IP Addess เพื่อปิดกั้นการใช้งานไป นั้นเป็นของหัวหน้าตูเองล่ะเพื่อนเอ๊ย ก็คนนี้แหละ ที่เมื่อวานตูว่าจะไปขอเพิ่มความเร็วเน็ตบริษัท ก่อนที่นายจะโทรมาหาจนได้อุปกรณ์นี้มาเนี้ยไง ครั้งแรกก็ไม่แน่ใจแต่นี้เห็นชื่อ + IP ด้วย ใช่เลยเพื่อน”
นาย ข.ไข่ “เวงกำ” และกล่าวต่อว่า “ผู้บริหารเล่น Bit เสียเอง เอองี้ เอ๊งไปเครียร์กันเองแล้วกันนะ ข้าน้อยขอกลับบริษัทก่อนล่ะ”
นาย ข.ไข่ “น้องที่ส่งข้อมูลรายชื่อพนักงานจาก AD (Active Directory) ให้ชื่ออะไรนะ” นาย ก.ไก่ ตอบเสียงอ่อยๆ เพลียๆ “ชื่อ ค.ควาย”
“งั้นให้น้อง ค.ควาย พาออกจากตรงนี้ที จำทางเข้าไม่ได้” นาย ข. ไข่ กล่าวต่ออีก แล้วนึกในใจว่า “บริษัทอาราย Data Center อยู่ในซอกน้อยๆทางเข้า-ออกซับซ้อนชิบ….”
เวลาผ่านไปสักเสี้ยวนาที นาย ข.ไข่ ได้ออกไปจากห้องไป กว่าที่ นาย ก.ไก่ จะอ้าปากกล่าวประโยคต่อไปว่า
“เฮ้ย อย่าพึ่งไปดิ แก้ block ออกก่อน ตูทำไม่เป็น”
- the end -
“ยังไม่จบ .. พี่ๆๆ พี่ ก.ไก่ อยากเก่งเหมือน พี่ ข.ไข่ ทาง SRAN มีจัดอบรมนะดูรายละเอียดได้ที่ http://www.gbtech.co.th/th/training“ เสียงน้อง ค.ควาย ดังขึ้น ก่อนส่งแขกพี่ ข.ไข่ กลับบ้าน
แล้วตอนนี้ SRAN Light รุ่น Hybrid ผ่านมาตรฐานการเก็บบันทึกข้อมูลจราจร (Log) ตามกฏเกณฑ์จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ สำนักงานพัฒนาวิทยาศสาตร์และเทคโนโลยีแห่งชาติ (NECTEC) มศอ. 4003.1 – 2552
และหลักฐานจาก Log SRAN สามาถใช้ในชั้นศาลได้ด้วยนะ ศาลเขายอมรับ เพราะใช้ Log SRAN พิจารณามาแล้วไม่น้อยกว่า 2 คดี : )
จากใบประกาศนียบัตรที่สำนักงานตำรวจมอบให้ที่ http://www.gbtech.co.th/th/customer
บทความจากทีมพัฒนา SRAN
สัญญาอนุญาตประเภทแสดงที่มา ไม่ใช้เพื่อการค้า และอนุญาตแบบเดียวกัน (by-nc-sa)
