SRAN Technology

อุปกรณ์ SRAN ไม่ว่าเป็นชนิด Security Center หรือจะเป็น Light นั้นจะมีวิธีการตรวจสอบการใช้งาน Hybrid ที่เหมือนกัน

โดยลักษณะการทำงาน Hybrid นั้นหมายถึงการผสมระหว่างการทำงานของระบบ NIDS/IPS (Network Intrusion Detection / Prevention System) และระบบ syslog server ในอุปกรณ์เดียวกัน  ซึ่งในขั้นการตรวจสอบระบบนั้นสามารถทำได้ดังนี้

1. ตรวจสอบระบบ Hybrid Log Recorder
หลังจากทำการ update firmware ในวันที่ 21 มกราคม 2553 เรียบร้อยแล้ว
ในหน้าจอ Monitor > Hybrid จะมีการเปลี่ยนแปลงไปเป็นดังภาพ

ให้ทดสอบส่ง Syslog เข้าไปยัง IP ของ SRAN ด้วยโปรแกรมส่ง Syslog เช่น Kiwi syslog gen หรือ Snare

ตัวอย่างจะเป็นการทดสอบด้วย Kiwi syslog gen ซึ่งง่ายต่อการทดสอบ

ปรับค่า Kiwi เบื้องต้นดังนี้

เสร็จแล้วกด Send เพื่อส่ง Syslog ไปยัง SRAN

ในหน้าจอ Hybrid จะพบ Syslog ที่ส่งออกจาก Kiwi มายัง SRAN แล้ว

หากพบปัญหาที่ Syslog ไม่ขึ้นให้ตรวจสอบค่าจาก Kiwi ว่าถูกต้องหรือไม่ และไปยังหน้าจอ
Management > System > Syslog ตรวจสอบว่า Syslog Server Mode  เปิดใช้งาน (Enable)
หรือไม่ กด Submit ตรง Syslog Server Mode อีกครั้ง

2. ตรวจสอบการล้างข้อมูล Syslog
เมื่อผ่านการตรวจสอบว่ามีข้อมูล Syslog  ส่งเข้ามา SRAN ได้เรียบร้อยแล้ว ให้ทดสอบการล้าง (Clear) ข้อมูลนั้นด้วย  วิธีการล้างข้อมูลมี 2 แบบ ให้ทดสอบทั้งสองแบบ

2.1    เข้าหน้าจอ Management > Services > Start/Stop services  กดปุ่ม Restart Hybrid service and drop db กด OK เพื่อยืนยันการล้างข้อมูล Syslog
2.2    เข้าหน้าจอลับ https://<IP SRAN>/sranmanage/system_clear.php ติ๊กข้อมูล syslog traffic เพียงช่องเดียว ใส่รหัสผ่านของ user ซึ่งมีสิทธิ admin แล้วกด ok เพื่อทำการล้างข้อมูล Syslog

3. ตรวจสอบการดูข้อมูลย้อนหลัง
ตรวจสอบดูข้อมูลย้อนหลังในกรณีที่นำเครื่องมาจากลูกค้า , Remote ดูเครื่อง หรือกรณีที่เครื่องเปิดใช้งานมากกว่า 1 วันแล้ว
3.1    เข้าหน้าจอ Management > Services > Hybrid archive

3.2    กดวันที่ปฏิทินด้านซ้าย จะปรากฏหน้าต่างใหม่ขึ้นมาเป็น log ของวันนั้น

4. ตรวจสอบการ Rotate log
Rotete log คือ การวน log บีบอัดไฟล์ log ในวันที่ผ่านมา ล้างข้อมูลเพื่อรับของวันใหม่
ทดสอบโดยการส่ง syslog เข้า SRAN แล้วเปิดทิ้งไว้เปิดเวลาอย่างน้อย 1 วัน เพื่อกลับมาดูเหตุการณ์ย้อนหลังในวันถัดไป
ในหน้าจอ Management > Services > Hybrid archive ตรวจสอบ ว่ามี ไฟล์ syslog ในวันที่ผ่านมาพร้อมทั้งมี md5 ไฟล์หรือไม่

เท่านี้เราก็จะสามารถตรวจสอบการทำงานของระบบ SRAN ในรุ่น Hybrid ได้แล้วครับ

Posted by webadmin | Posted in Technique | No Comments