SRAN Technology

สำหรับเครือข่ายภายในองค์กรที่มีการแชร์ files เพื่อใช้งานร่วมกัน มักมีคำถามว่า เราจะทราบถึงตัวตนผู้ใช้งานที่ทำการแชร์ files ภายในองค์กร เพื่อป้องกันการขโมยข้อมูล ความลับของบริษัทไปเผยแพร่ที่อื่นได้อย่างไร ?

คำตอบในเรื่องนี้มีหลายวิธีเพื่อที่จะระบุตัวตนการเข้าถึงข้อมูลที่มีการแชร์ ผ่านเครื่อง Files Server ซึ่งทางทีมงาน SRAN ได้คิดค้นวิธีการเฝ้าระวังข้อมูลจากการแชร์ files ขึ้น  โดยเขียนเป็น Signature ในการตรวจจับการเคลื่อนไหวข้อมูลผ่านทางระบบเครือข่ายคอมพิวเตอร์

การคิดค้นเทคนิคนี้ ทางทีมงานใช้ความสามารถของระบบ Network Intrusion Detection มาช่วยขึ้น ซึ่งเป็นวิธีที่มีผลกระทบต่อระบบเครือข่ายน้อย และ มีความสะดวกต่อการติดตั้งเป็นอย่างมาก ซึ่งเป็นการเพิ่มประสิทธิภาพการเฝ้าระวังภัยคุกคามระบบ File Server หลังจากการทดสอบแล้วในห้อง LAB ของบริษัทโกลบอลเทคโนโลยี ฯ ผลที่ได้รับประสบความสำเร็จและตรวจจับได้ผลเป็นอย่างดี โดยเทคนิคนี้ สามารถทำได้จากอุปกรณ์ SRAN Security Center ทุกรุ่นที่เป็น Version Adventure ปี 2008 ขึ้นไป ที่ประกอบด้วย SR-SE , SR-ME , SR-L , SR-L Hybrid และ SR-X series สามารถใช้งานได้ปกติ หลังจากการ update signature ล่าสุด

คุณสมบัติ : สามารถที่จะตรวจพฤติกรรมการใช้งานของ User ในองค์กรเพื่อใช้เฝ้าสังเกตการณ์การแชร์ File ในองค์กร เพื่อป้องกันปัญหาการขโมยข้อมูลที่สำคัญในองค์กรไปเผยแพร่และสามารถบันทึกการใช้งานเพื่อใช้เป็นเครื่องมือในการสืบหาหลักฐานที่ใช้งานต่อไป

ภาพตัวอย่างระบบ SRAN Security Center ในการเฝ้าระวังพฤติกรรมการใช้งานที่มีผลต่อ Files Server

1. รูปแบบการเฝ้าระวัง File Server

ซึ่งทางทีม SRAN พัฒนา (SRAN Dev) ได้คิดค้นเขียน Signature ใหม่ที่เพิ่มขึ้นเพื่อใช้ในการเฝ้าระวังการใช้งานแชร์ files ภายในองค์กร ประกอบด้วย

1.1 NetBIOS Traffic [ Authenticate require] : จะแสดงขึ้นเมื่อมีการถาม user กับ password ก่อนเข้าใช้งานเครื่องแชร์ไฟล์ (File Server)  : Screenshot 1

1.2 NetBIOS Traffic [Create Directory] : แสดงถึงการสร้างโฟลเดอร์ขึ้นมาในเครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูกสร้างขึ้นมา : Screenshot 2

1.3 NetBIOS Traffic [Delete Directory] : แสดงถึงการลบโฟลเดอร์ที่มีอยู่เครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูกลบออกไป : Screenshot 3

1.4 NetBIOS Traffic [Delete File] : แสดงถึงการลบไฟล์ที่มีอยู่ในเครื่องที่ใช้แชร์ไฟล์ (File Server) ซึ่งจะมีการแสดงชื่อของไฟล์ที่ถูกลบออกไป : Screenshot 4

1.5 NetBIOS Traffic [New File] : แสดงถึงการ Upload โฟลเดอร์เข้าในเครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูก Upload เข้ามา : Screenshot 5

1.6 NetBIOS Traffic [Open File/Folder] : แสดงถึงการเปิดไฟล์ / โฟลเดอร์ที่ใช้งานในเครื่องแชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของไฟล์ / โฟลเดอร์ที่ใช้งาน : Screenshot 6

1.7 NetBIOS Traffic [Open Main Directory] : แสดงถึงการเข้ามาใช้งานในเครื่องที่ใช้แชร์ไฟล์ (File Server) : Screenshot 7

1.8 NetBIOS Traffic [Rename] : แสดงถึงเปลี่ยนชื่อไฟล์ / โฟลเดอร์ในเครื่องแชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของไฟล์ / โฟลเดอร์ที่ถูกเปลี่ยนชื่อ: Screenshot 8

2. วิธีการติดตั้ง เพื่อให้สามารถตรวจวิเคราะห์ข้อมูลการแชร์ Files

สามารถติดตั้งอุปกรณ์ SRAN Security Center ได้ 3 วิธี

2.1 การติดตั้งแบบ In-line  คือ ติดตั้งขวางระหว่างอุปกรณ์ Switch กับ เครื่อง File Server และเปิด Mode NIPS (Network Intrusion Prevention)

ซึ่งการติดตั้งแบบนี้สามารถป้องกันลักษณะการบุกรุกอื่นๆ ในระดับ Application Layer ได้อีกด้วย ได้แก่ ภัยคุกคามไวรัสคอมพิวเตอร์ และ หนอนคอมพิวเตอร์ การโจมตีเครื่อง Files Server  เป็นต้น

2.2 การติดตั้งแบบ Transparent  คือ ติดตั้งขวางระหว่างอุปกรณ์ Switch กับ เครื่อง File Server  แบบเปิด Mode Bride Firewall

ซึ่งการติดตั้งแบบนี้สามารถป้องกัน IP Address และค่า MAC Address เครื่องที่ไม่ต้องการให้เข้าถึง File Server ได้

2.3 การติดตั้งแบบ Passive  คือ ใช้การ Mirror Traffic โดยใช้ความสามารถของ Switch มาช่วย ซึ่งการติดตั้งแบบนี้หากติดตั้งที่จุดส่วนรวมหลัก (Core Switch) ก็จะทำให้ทราบถึงพฤติกรรมการใช้งานอื่นๆ ทั้งเครือข่ายองค์กร ได้เช่นกันรายละเอียดสามารถอ่านได้เพิ่มที่ http://www.sran.net/archives/182

และในไม่ช้าจะสร้าง Signature เพื่อให้ตรวจจับการแชร์ Files ในระบบปฏิบัติการ unix ต่อไป ในเร็ววันนี้ จึงเป็นการพิสูจน์ให้เห็นว่า SRAN เทคโนโลยี มีการพัฒนาการต่อเนื่อง เพื่อนำสิ่งที่ดีที่สุด และปลอดภัยที่สุดให้กับผู้ใช้งาน SRAN ได้ ดังคำขวัญที่ว่า

“ไอทีไทยคุ้มค่า ใช้ SRAN คุ้มครอง”

อ่านเพ่ิมเติมการตรวจจับลักษณะการแชร์ File ผ่าน FTP โดยใช้ SRAN ที่ http://www.sran.net/archives/category/normal-data/ftp

ความหมายของ NetBios สามารถอ่านเพิ่มเติมได้ที่

http://www.justusers.net/knowledges/netbios.htm

http://en.wikipedia.org/wiki/NetBIOS

จุดประสงค์ ที่จัดทำเครือข่ายตื่นรู้ โดยใช้ SRAN Appliance

1.เพื่อเป็นสูตรสำเร็จในการติดตั้งอุปกรณ์ระบบเครือข่ายให้มีความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ โดยลดความซับซ้อนในการออกแบบและติดตั้งระบบเครือข่ายให้มีจำนวนน้อยที่สุดแต่ปลอดภัยและบริหารจัดการง่ายที่สุด

2. ระบุตัวตนผู้ใช้งานได้ อย่างถูกต้อง อีกทั้งผู้ที่ใช้งานอินเตอร์เน็ตยังสามารถรับรู้นโยบาย (Policy) ที่ประกาศใช้เพื่อความถูกต้องและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้ในอนาคต

3. ระบุภัยคุกคามเหตุการณ์ที่อาจมีความเสี่ยงตามมาตราต่างๆ ที่กำหนดขึ้นจากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้

4. สามารถสืบค้นหาผู้กระทำความผิด สถิติการใช้งานระบบสารสนเทศ ระบบอินเตอร์เน็ต และจัดเก็บบันทึกเป็นข้อมูลที่สามารถสืบค้นได้อย่างสะดวก

5. ประเมินพฤติกรรมการใช้งานอินเตอร์เน็ตภายในองค์กร (Network Awareness) เพื่อจัดทำการประเมินพนักงานสำหรับงานทรัพยากรบุคคลได้

6. คุ้มค่าการลงทุน และปลอดภัยกว่า (Lower Cost More Secure)

SRAN Energetic Network แบบที่ 1

เหมาะสำหรับองค์กรขนาดเล็ก และขนาดกลาง ที่ยังไม่มีระบบป้องกันภัยคุกคามภายในองค์กร และยังขาดนโยบายควบคุมบุคคลากรในองค์กร

อุปกรณ์ที่ติดตั้งประกอบด้วย

1. SRANwall Appliance เป็นอุปกรณ์ที่มีหน้าที่สำหรับระบุตัวตนผู้ใช้งานอินเตอร์เน็ต (Authentication Gateway) คุณสมบัติสำหรับผู้ต้องการใช้งานอินเตอร์เน็ตในองค์กรจะต้องผ่าน Web Authentication เพื่อระบุชื่อ และรหัสผ่านก่อนเข้าสู่ระบบ ซึ่งสามารถระบุได้ดังนี้

1.1 IP/MAC , Username สามารถเรียกตามฐานข้อมูล LDAP , Radius Server ได้

1.2 เป็นระบบ Security Gateway โดยมีคุณสมบัติเป็น Network Firewall สามารถทำ NAT / PAT และกำหนด Rule Base ได้

1.3 เป็น DHCP Server

1.4 เป็นระบบ Security Remote Access (VPN)

1.5 Network Bandwidth Shaping ควบคุมบริหารจัดการทรัพยากรข้อมูลให้ใช้อย่างจำกัดและเหมาะสม

1.6 มีระบบกรอกข้อมูล เพื่อยืนยันการใช้งาน และยอมรับข้อตกลงนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ

ซึ่งในนโยบายที่ประกาศนั้นจะต้องตอบยอมรับทุกครั้ง เมื่อมีการใช้งานอินเตอร์เน็ต โดยแบ่งกลุ่มได้ 5 หัวข้อดังนี้

หวมดที่ 1 : บททั่วไป

หมวดที่ 2 : การใช้งานคอมพิวเตอร์

หมวดที่ 3 : การใช้งานระบบเทคโนโลยีสารสนเทศ

หมวดที่ 4 : การป้องกันและรักษาความมั่นคงปลอดภัยในการใช้ระบบเทคโนโลยีสารสนเทศ

หมวดที่ 5 : การเผยแพร่ข้อมูลผ่านระบบเทคโนโลยีสารสนเทศ

รูปที่ 1 จะแสดงเป็นหน้าต่างใหม่เวลาใช้เครื่องคอมพิวเตอร์ภายในองค์กร จะทำการเชื่อมต่ออินเตอร์เน็ต (คลิกที่รูปเพื่อดูภาพขยาย)

หากไม่ยอมรับในนโยบายขององค์กร จะไม่สามารถใช้งานอินเตอร์เน็ตได้ แต่หากยอมรับข้อตกลงตามนโยบายที่บริษัทได้ประกาศ

รูปที่ 2 จะแสดงการใส่ User / Password เพื่อบันทึกการยอมรับต่อนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร หาก Login ไม่ถูกต้องก็จะย้อนกลับมาหน้าแรกอีกครั้ง

2. SRAN Security Center เป็นอุปกรณ์ที่เก็บบันทึกข้อมูลจราจร (Data Traffic) ทั้งการใช้งานปกติที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ต เช่น Web , Mail , Chat , Upload / Download , Telnet , FTP , P2p , VoIP เป็นต้น

และคอยเฝ้าสังเกตการพฤติกรรมอันไม่พึ่งประสงค์ เช่น การบุกรุกระบบ การโจมตีระบบ การเข้าถึงระบบโดยมิชอบ การแพร่กระจายไวรัสคอมพิวเตอร์ (Virus, Worm, Spyware , Trojan , Backdoor เป็นต้น) ข้อมูลอันไม่พึ่งประสงค์ เช่น การเล่นเว็บไม่เหมาะสม , อีเมลล์ขยะ (Spam) , การดักจับข้อมูลโดยมิชอบ (Sniffer) เป็นต้น

และทำการรับค่า Syslog User สำหรับ Authentication ที่ยอมรับกฏระเบียบตามนโยบายที่ประกาศไว้

เป็นอุปกรณ์ที่ทำหน้า

2.1 เฝ้าระวัง ภัยคุกคามจากภายในองค์กร และภายนอกองค์กร เพื่อดูพฤติกรรมการใช้งานที่ไม่เหมาะสมและเสี่ยงต่อความมั่นคงทางข้อมูล

2.2 วิเคราะห์ ข้อมูลดิบที่เกิดขึ้นจากการใช้งานอินเตอร์เน็ตแปลงเป็นข้อมูลที่สามารถอ่านเข้าใจง่าย และใช้สำหรับการสืบสวนสอบสวนหาผู้กระทำความผิดได้

วิเคราะห์ระดับการใช้งาน Bandwidth , Protocol และพฤติกรรมการใช้งาน User ภายในองค์กรเพื่อประเมินความเสี่ยงและจัดจิตพิสัยรวมถึงประเมินด้านทรัพยากรบุคคลได้

2.3 เก็บบันทึกข้อมูลจราจร ทั้งที่เป็น Network Flow , NIDS/IPS Log และ Syslog จาก Authentication Gateway (สำหรับเครือข่ายใดที่มี Domain Controller และ DHCP Server ให้ส่งค่า syslog มาที่อุปกรณ์ SRAN เพื่อทำการเก็บบันทึกการ Login / Logoff สำหรับการใช้งานระบบสารสนเทศในองค์กรเป็นต้น)

รูปที่ 3 การรับค่า syslog จาก Authentication Gateway เพื่อระบุตัวต้นผู้ใช้งานผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย) จะเห็นรายชื่อ User ที่ยอมรับนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลในองค์กร ในสถานเปิดทำการ Login เพื่อใช้งานระบบสารสนเทศในองค์กร ซึ่งแสดงถึงช่วงเวลาการใช้งาน ชื่อ User ที่ยอมรับนโยบาย (Security Policy) ที่องค์กรประกาศ และ IP / MAC Address สถานะการการใช้งาน

รูปที่ 4 ค่า Log จาก DHCP Server (SRANwall) และประมวลผลผ่านอุปกรณ์ SRAN Security Center (คลิกที่รูปเพื่อดูภาพขยาย)

รูปที่ 5 การวิเคราะห์การใช้งานอินเตอร์เน็ตภายในองค์กร เพื่อจัดทำเป็นเครือข่ายจิตพิสัย (Network Awareness)

(more…)