หลังจากที่มีการกำหนดเวลามาตราฐานในประเทศไทยเกิดขึ้น ในวันที่ 23 สิงหาคม 2551 นี้ ส่วนหนึ่งที่สำคัญคือ จากที่ประกาศใช้ พ.ร.บ. อาชญากรรมคอมพิวเตอร์ ต้องการให้เวลาในค่า Log files ได้มีค่าที่ตรงกัน
เพื่อสร้างความเข้าใจ ทีมงาน SRAN จึงขออธิบายถึงค่าเวลาในการเก็บ Log files จากประสบการณ์จริงที่เคยร่วมงาน ปัญหาส่วนหนึ่งคือเวลา Log ในแต่ละอุปกรณ์มีค่าไม่ตรงกันจึงไม่สามารถหาพฤติกรรมการกระทำความผิดได้ ซึ่งครั้งหนึ่งที่เคยประสบมาคือ Log ของอปุกรณ์ Radius Server มีค่าไม่ตรงกับ Log Proxy Caching และไม่ตรงกับ Log อุปกรณ์ Router ทำให้เป็นเรื่องลำบากในการเปรียบเทียบเหตุการณ์เนื่องจากนักโจมตีระบบ (Hacker) ได้ยึดรายชื่อ Accounting ในการเชื่อมต่ออินเตอร์เน็ตจากเครื่อง Radius Server และใช้ Account นั้นไป Post ข้อความและทำการเปลี่ยนหน้าเว็บ ซึงหากเวลาตรงแล้วเราเพียงจับเหตุการณ์จาก Web Proxy Caching และ Log ในการ Login ผ่าน Radius Server ก็จะทราบเบอร์โทรศัพท์ที่ Hacker ใช้ในการกระทำผิดได้ หลังจากเหตุการณ์นี้จึงมีผลให้เป็นกรณีศึกษาสำคัญชิ้นหนึ่งในประเทศไทยและทางผู้เชี่ยวชาญหลายคนได้มีความเห็นว่าควรมีการตั้งเวลาให้ตรงกัน เพื่อใช้ในการสืบหาหลักฐานจาก Log ได้ถูกต้องขึ้น
วิธีการปรับเทียบเวลามาตรฐานทาง Internet ผ่านระบบ NTP
(Time Synchronization through Internet by NTP)
การปรับเทียบเวลามาตรฐานทาง Internet ผ่านระบบ Network Time Protocol ( NTP) คืออะไร
NTP Protocol เป็น Protocol ที่ใช้สำหรับปรับเทียบเวลา ( Time Synchronization) ของ Computer โดยอาศัยเครือข่าย Internet เป็นสื่อกลางในการส่งข้อมูลเวลามาตรฐานไปยังเครื่องลูกข่าย โดยมีเครื่องแม่ข่าย ( NTP Server) เป็นตัวให้บริการส่งเวลามาตรฐานไปยังเครื่องปลายทางเพื่อปรับเทียบเวลาให้ ตรงกลับเวลามาตรฐาน ( Time Standard) ซึ่งเป็นค่าเวลาที่ทาง Time & Frequency Lab. ได้ทำการเก็บรักษาไว้โดยวิธีการเปรียบเทียบกับเวลามาตรฐานของประเทศอื่นๆ ซึ่งเป็นที่ยอมรับในระดับนานาชาติ โดยมีความถูกต้องอยู่ที่ ประมาณ 1 millisecond ในระบบ LAN และประมาณ 10 millisecond ในระบบ WAN นับว่าเป็นความคลาดเคลื่อนที่อยู่ในระดับต่ำ อีกทั้งยังง่ายต่อการเข้าถึงของผู้ใช้ทั่วไป แค่เพียงมี PC ที่สามารถเชื่อมต่อ เข้าระบบ Internet ได้ผู้ใช้ก็สามารถที่จะ Synchronize เวลามาตรฐานผ่านระบบ NTP ได้ทันที (อ้างอิงจาก http://rru-comsci.blogspot.com/2008/08/blog-post_19.html )
คำถาม Log ที่เกิดขึ้นบนตัวอุปกรณ์ หรือในระดับ Host ไม่ว่าเป็นอุปกรณ์ทางเครือข่าย หรือ เครื่องคอมพิวเตอร์ จำเป็นต้อง Set Time Server หรือไม่ หากมีการทำ Centralize Log Server แล้ว ?
คำตอบ : หากเป็นหน่วยงานที่สามารถควบคุมการใช้งานผู้ใช้งานได้ (เครื่อง Client User) ได้ ก็สามารถ Deploy ค่า Time Server ให้ตรงกันหมดได้ ส่วนอุปกรณ์เครือข่ายต้องให้ทางบริษัทที่จำหน่ายมาตั้งค่า Time Server เสียใหม่ หากไม่ได้มีการตั้งค่า Time server ให้ตรงกับเวลาไทยแล้วจะมีปัญหากับการทำ Computer Forensics ในระดับ Host
แต่สำหรับหน่วยงานใดที่ยังไม่มีระบบควบคุมการใช้งาน User ก็สามารถตั้งค่าเวลาตรง Time Server สำหรับ Centralize Log Server ก็ทำได้โดยไม่ต้องไปตั้งค่าที่เครื่องลูกข่ายและอุปกรณ์เครือข่ายใหม่ ก็ได้ เช่นกัน แต่หากต้องการหลักฐานมากขึ้นในการพิสูจน์หาความผิดทางอาชญากรรมคอมพิวเตอร์ต้องเข้าไปดูที่เครื่องลูกข่าย (Client) หรือมีการบุกรุกระบบแม่ข่าย (Server) จำเป็นต้องทำ Computer Forensic ก็ต้อง Set Time Server ให้ตรงหมด
สรุป ถ้าหากไม่พร้อม ตั้งเพียง Log Server ให้ตรงค่า Time Server มาตราฐานก็พอ แต่หากหลักฐานนั้นไม่พอในกรณีที่ต้องทำ Computer Forensics จำเป็นต้องได้ค่า Log ที่นั้นมีเวลาตรงตามมาตราฐาน
อุปกรณ์ SRAN ได้ประกอบด้วยคุณสมบัติการเฝ้าระวัง วิเคราะห์ข้อมูล และเก็บบันทึกข้อมูลจราจร ก็ถือว่าเป็นการผสมผสานเทคโนโลยีเข้าด้วยกัน ซึ่งสามารถดู Log Files จากอุปกรณ์ SRAN ได้อย่างสะดวกมากขึ้น
ขั้นตอนการตั้งค่า Time Sync Server เพื่อให้เวลาเป็นมาตราฐาน บนอุปกรณ์ SRAN Security Center
1. บริหารจัดการผ่าน SSL ใส่ User / Password ที่ถูกกำหนดให้เป็นผู้ดูแลระบบและเก็บรักษาข้อมูล (Data Custody) อ่านเพิ่มเติมการตั้งค่า Data Custody ได้ที่ www.sran.net/archives/155
2. ไปที่เมนู Management
หน้าจอ Management ที่ประกอบด้วย Icon เมนูย่อย 9 เมนูที่ใช้ในการปรับแต่งค่าระบบ
3. ไปที่เมนูย่อย Time Set
ค่า NTP Server ตั้งไปที่ time1.nimt.or.th ซึ่งในปัจจุบัน Firmware ปัจจุบันได้ตั้งค่านี้เป็น Default
Log ที่ปรากฏบนอุปกรณ์ SRAN ก็จะตรงกับค่าเวลามาตราฐานไทย
แหล่งข้อมูล:
- สถาบันมาตรวิทยาแห่งชาติ (http://www.nimt.or.th/nimt/Service/index.php?menuName=time)
- กรมอุทกศาสตร์ กองทัพเรือ (http://www.navy.mi.th/hydro/time/)
