SRAN Technology

จุดประสงค์ ที่จัดทำเครือข่ายตื่นรู้ โดยใช้ SRAN Appliance

1.เพื่อเป็นสูตรสำเร็จในการติดตั้งอุปกรณ์ระบบเครือข่ายให้มีความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ โดยลดความซับซ้อนในการออกแบบและติดตั้งระบบเครือข่ายให้มีจำนวนน้อยที่สุดแต่ปลอดภัยและบริหารจัดการง่ายที่สุด

2. ระบุตัวตนผู้ใช้งานได้ อย่างถูกต้อง อีกทั้งผู้ที่ใช้งานอินเตอร์เน็ตยังสามารถรับรู้นโยบาย (Policy) ที่ประกาศใช้เพื่อความถูกต้องและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้ในอนาคต

3. ระบุภัยคุกคามเหตุการณ์ที่อาจมีความเสี่ยงตามมาตราต่างๆ ที่กำหนดขึ้นจากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้

4. สามารถสืบค้นหาผู้กระทำความผิด สถิติการใช้งานระบบสารสนเทศ ระบบอินเตอร์เน็ต และจัดเก็บบันทึกเป็นข้อมูลที่สามารถสืบค้นได้อย่างสะดวก

5. ประเมินพฤติกรรมการใช้งานอินเตอร์เน็ตภายในองค์กร (Network Awareness) เพื่อจัดทำการประเมินพนักงานสำหรับงานทรัพยากรบุคคลได้

6. คุ้มค่าการลงทุน และปลอดภัยกว่า (Lower Cost More Secure)

SRAN Energetic Network แบบที่ 1

เหมาะสำหรับองค์กรขนาดเล็ก และขนาดกลาง ที่ยังไม่มีระบบป้องกันภัยคุกคามภายในองค์กร และยังขาดนโยบายควบคุมบุคคลากรในองค์กร

อุปกรณ์ที่ติดตั้งประกอบด้วย

1. SRANwall Appliance เป็นอุปกรณ์ที่มีหน้าที่สำหรับระบุตัวตนผู้ใช้งานอินเตอร์เน็ต (Authentication Gateway) คุณสมบัติสำหรับผู้ต้องการใช้งานอินเตอร์เน็ตในองค์กรจะต้องผ่าน Web Authentication เพื่อระบุชื่อ และรหัสผ่านก่อนเข้าสู่ระบบ ซึ่งสามารถระบุได้ดังนี้

1.1 IP/MAC , Username สามารถเรียกตามฐานข้อมูล LDAP , Radius Server ได้

1.2 เป็นระบบ Security Gateway โดยมีคุณสมบัติเป็น Network Firewall สามารถทำ NAT / PAT และกำหนด Rule Base ได้

1.3 เป็น DHCP Server

1.4 เป็นระบบ Security Remote Access (VPN)

1.5 Network Bandwidth Shaping ควบคุมบริหารจัดการทรัพยากรข้อมูลให้ใช้อย่างจำกัดและเหมาะสม

1.6 มีระบบกรอกข้อมูล เพื่อยืนยันการใช้งาน และยอมรับข้อตกลงนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ

ซึ่งในนโยบายที่ประกาศนั้นจะต้องตอบยอมรับทุกครั้ง เมื่อมีการใช้งานอินเตอร์เน็ต โดยแบ่งกลุ่มได้ 5 หัวข้อดังนี้

หวมดที่ 1 : บททั่วไป

หมวดที่ 2 : การใช้งานคอมพิวเตอร์

หมวดที่ 3 : การใช้งานระบบเทคโนโลยีสารสนเทศ

หมวดที่ 4 : การป้องกันและรักษาความมั่นคงปลอดภัยในการใช้ระบบเทคโนโลยีสารสนเทศ

หมวดที่ 5 : การเผยแพร่ข้อมูลผ่านระบบเทคโนโลยีสารสนเทศ

รูปที่ 1 จะแสดงเป็นหน้าต่างใหม่เวลาใช้เครื่องคอมพิวเตอร์ภายในองค์กร จะทำการเชื่อมต่ออินเตอร์เน็ต (คลิกที่รูปเพื่อดูภาพขยาย)

หากไม่ยอมรับในนโยบายขององค์กร จะไม่สามารถใช้งานอินเตอร์เน็ตได้ แต่หากยอมรับข้อตกลงตามนโยบายที่บริษัทได้ประกาศ

รูปที่ 2 จะแสดงการใส่ User / Password เพื่อบันทึกการยอมรับต่อนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร หาก Login ไม่ถูกต้องก็จะย้อนกลับมาหน้าแรกอีกครั้ง

2. SRAN Security Center เป็นอุปกรณ์ที่เก็บบันทึกข้อมูลจราจร (Data Traffic) ทั้งการใช้งานปกติที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ต เช่น Web , Mail , Chat , Upload / Download , Telnet , FTP , P2p , VoIP เป็นต้น

และคอยเฝ้าสังเกตการพฤติกรรมอันไม่พึ่งประสงค์ เช่น การบุกรุกระบบ การโจมตีระบบ การเข้าถึงระบบโดยมิชอบ การแพร่กระจายไวรัสคอมพิวเตอร์ (Virus, Worm, Spyware , Trojan , Backdoor เป็นต้น) ข้อมูลอันไม่พึ่งประสงค์ เช่น การเล่นเว็บไม่เหมาะสม , อีเมลล์ขยะ (Spam) , การดักจับข้อมูลโดยมิชอบ (Sniffer) เป็นต้น

และทำการรับค่า Syslog User สำหรับ Authentication ที่ยอมรับกฏระเบียบตามนโยบายที่ประกาศไว้

เป็นอุปกรณ์ที่ทำหน้า

2.1 เฝ้าระวัง ภัยคุกคามจากภายในองค์กร และภายนอกองค์กร เพื่อดูพฤติกรรมการใช้งานที่ไม่เหมาะสมและเสี่ยงต่อความมั่นคงทางข้อมูล

2.2 วิเคราะห์ ข้อมูลดิบที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ตแปลงเป็นข้อมูลที่สามารถอ่านเข้าใจง่าย และใช้สำหรับการสืบสวนสอบสวนหาผู้กระทำความผิดได้

วิเคราะห์ระดับการใช้งาน Bandwidth , Protocol และพฤติกรรมการใช้งาน User ภายในองค์กรเพื่อประเมินความเสี่ยงและจัดจิตพิสัยรวมถึงประเมินด้านทรัพยากรบุคคลได้

2.3 เก็บบันทึกข้อมูลจราจร ทั้งที่เป็น Network Flow , NIDS/IPS Log และ Syslog จาก Authentication Gateway (สำหรับเครือข่ายใดที่มี Domain Controller และ DHCP Server ให้ส่งค่า syslog มาที่อุปกรณ์ SRAN เพื่อทำการเก็บบันทึกการ Login / Logoff สำหรับการใช้งานระบบสารสนเทศในองค์กรเป็นต้น)

รูปที่ 3 การรับค่า syslog จาก Authentication Gateway เพื่อระบุตัวต้นผู้ใช้งานผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย) จะเห็นรายชื่อ User ที่ยอมรับนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร ในสถานเปิดทำการ Login เพื่อใช้งานระบบสารสนเทศในองค์กร ซึ่งแสดงถึงช่วงเวลาการใช้งาน ชื่อ User ที่ยอมรับนโยบาย (Security Policy) ที่องค์กรประกาศ และ IP / MAC Address สถานะการการใช้งาน

รูปที่ 4 ค่า Log จาก DHCP Server (SRANwall) และประมวลผลผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย)

รูปที่ 5 การวิเคราะห์การใช้งานอินเตอร์เน็ตภายในองค์กร เพื่อจัดทำเป็นเครือข่ายจิตพิสัย (Network Awareness)

(more…)

การโจมตีชนิด Brute Force Password เป็นอีกกรณีศึกษาหนึ่ง ซึ่งเข้าข่ายฐานความผิดตามมาตรา 5 การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ ที่กล่าวว่า “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีมีไว้สำหรับตน ..”

กรณีศึกษาการ FTP Brute Force Password

บริษัท A ได้มีการเปิด FTP Server เพื่อใช้ในการ Upload / Download เอกสารข้อมูล ซึ่งได้ตั้ง FTP Server ใน DMZ Zone

เมื่อบริษัท A ได้ติดตั้งอุปกรณ์ SRAN Security Center

เวลา 7:03 AM ผู้ดูแลระบบเฝ้าสักเกตพฤติกรรมการใช้ ระบบเครือข่ายในบริษัท A เมื่อคลิกหน้าจอ Https://sranserver เพื่อเฝ้าระวังภัยว่ามีความเสี่ยงตามมาตราใด ที่อาจจะส่งผลกระทบต่อระบบเครือข่ายบริษัท พบว่า

ข้อดีประการหนึ่งของอุปกรณ์ SRAN คือสามารถทำ Data Correlation เปรียบเทียบเหตุการณ์ และความเสี่ยงเพื่อจับเหตุการณ์ที่เกิดขึ้นเชื่อมโยงกับฐานความผิดตามมาตราต่างๆ ที่แปลได้ทางเทคนิค ซึ่งทำให้ผู้ดูแลระบบ รู้ทันปัญหาได้สะดวกขึ้น (ซึ่งฐานความผิดนี้เกิดจากอุปกรณ์ ต้องผ่านการวิเคราะห์จากบุคคลที่ผ่านการอบรมจาก SRAN http://www.gbtech.co.th/th/training/sran-usm-course)

เมื่อผู้ดูแลระบบพบว่ามีความเสี่ยงตามมาตรา 5 อยู่ พบว่าหนึ่งในเหตุการณ์นั้นคือลักษณะการใช้งาน Application ของการใช้ FTP ซึ่งตั้งค่า IP สำหรับ FTP Server เป็น IP ภายในองค์กรที่ 192.168.1.3 จึงทำการวิเคราะห์ผลเฉพาะเจาะจงที่การใช้งาน FTP จึงพบว่า

จากรูปพบว่ามีการ Login FTP ผิดจำนวน 447 ครั้ง มีการพยายาม Login อยู่ 754 ครั้ง

ผู้ดูแลระบบจึงทำการวิเคราะห์การ Login ผิด ผ่านระบบ FTP ซึ่งอาจหมายถึง User ถูก แต่ Password ผิด หรือทั้ง User / Password ผิด ซึ่งเข้าข่ายเป็นชนิดการโจมตีที่เรียกว่า Brute Force Password

จากรูปพบว่ามีการ Login ผิดจาก IP 219.254.34.82 จำนวนถึง 404 ครั้ง ตั้งแต่ช่วงเวลา 02:45 - 06:40 AM

เมื่อทำการวิเคราะห์ข้อมูลต่อโดยใช้อุปกรณ์ SRAN Security Center เพื่อดูย้อนหลังเหตุการณ์ที่ผ่านมาพบว่า

มีการ Login ผิดในหนึ่งนาที ผิดอยู่ 2 ครั้ง จึงทำการตรวจสอบประวัติ IP ดังกล่าว

พบประวัติดังนี้

มีการพยายาม Login อยู่ 221 ครั้ง ตั้งแต่เวลา 02:45 ถึง 06:40 และมีการ Login ผิดอยู่ 404 ครั้ง ตั้งแต่เวลา 02:45 - 06:40 AM

IP จากเกาหลี ,ผู้ดูแลระบบมั่นใจว่าเป็นการ Brute Force Password ผ่าน FTP Server ที่ตั้งขึ้นใน DMZ โซนบริษัท กรณีเดียว ซึ่งเป็นการตั้งใจเข้าถึงระบบโดยมิชอบ ผู้ดูแลระบบจึงทำการ Block IP ดังกล่าว

มีทำการ Add IP blacklist เข้าสู่ระบบ SRAN Security Center แล้วทำให้ IP ดังกล่าวไม่สามารถทำการ Brute Force ได้สำเร็จ

การจะ Block IP ได้นั้นต้องติดตั้งอุปกรณ์ SRAN ได้ 2 วิธี

วิธีที่ 1 ติดตั้งแบบ In-line Mode แบบนี้จะสามารถป้องกันภัยคุกคามได้อย่างอัตโนมัติ เนื่องจากใช้เทคโนโลยี IPS (Intrusion Prevention System) เข้ามาเกี่ยวข้อง แต่เนื่องจากวิธีนี้มีผลกับ Throughput ระบบเครือข่ายจึงไม่แนะนำให้ใช้กับองค์กรที่มีจำนวนเครื่องลูกข่ายเกิน 100 เครื่องขึ้นไปใช้วิธีนี้

วิธีที่ 2 ติดตั้งแบบ Transparent Mode แบบนี้จะสามารถป้องกันภัยได้ โดยการเฝ้าระวังและป้องกันได้เพียงระดับ IP / MAC Address และชื่อ Domain

เพียงใช้อุปกรณ์ SRAN Security Center ให้เหมาะสมถูกต้องกับรุ่นที่แนะนำ http://www.gbtech.co.th/th/product/usm

ก็จะทำให้ท่านสามารถรู้ทันภัยคุกคามและปัญหาต่างๆ ที่อาจเกิดขึ้นบนระบบเครือข่าย อีกทั้งเก็บบันทึกข้อมูลจราจร และวิเคราะห์ข้อมูลได้อย่างสะดวกสบายขึ้น ซึ่งเป็นการนำ Log ดิบ ทำให้เป็น Log สุก อ่านเข้าใจง่าย

พึ่งระลึกเสมอว่าไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้ 100% แต่เราสามารถทำให้ ตื่นรู้ เพื่อรู้ทันเหตุการณ์ วิเคราะห์หาสาเหตุและแก้ไขปัญหาได้อย่างถูกต้อง ซึ่งทั้งหมดนี้ SRAN ที่เป็นมากกว่าอุปกรณ์เก็บ Log ช่วยคุณได้