SRAN Technology

เพื่อเป็นการสร้างความคุ้มค่าให้กับลูกค้าที่เป็นองค์กรขนาดกลาง และขนาดเล็ก ที่จำนวนเครื่องคอมพิวเตอร์ในองค์กรไม่เกิน 400 เครื่องสามารถใช้งาน SR-ME Hybrid ได้ โดยคุณสมบัติการการทำ  Hybrid ได้นั้นมีคุณสมบัติเช่นเดียวกับ SR-L Hybrid คือสามารถรับ Log files จากอุปกรณ์อื่นได้พร้อมทำการเรียบเรียงค่า Log ให้สามารถอ่านเข้าใจง่ายขึ้น

ตัวอย่างหน้าจอ Hybrid แบบใหม่ ที่สามารถใช้ได้กับ SRAN Security Center ตะกูล Hybrid ทั้งหมด เช่น SR-ME Hybrid , SE-L Hybrid , SR-X Hybrid

ในส่วนนี้แนะนำว่าหากต้องการเก็บบันทึกเฉพาะการ รายชื่อการ Authentication ให้นำ Log จาก Domain Controller หรือ Radius Server  หรือหากไม่มีจะใช้ SRANwall มาช่วยทำเรื่อง Authentication ก็ได้ ซึ่งสามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/162

ส่วนคุณสมบัติพื้นฐาน ที่ SR-ME ​Hybrid มีประกอบด้วยดังนี้

1. ระบบตรวจสอบและวิเคราะห์เครือข่ายคอมพิวเตอร์ (Network Monitoring & Analysis) เฝ้าระวังเหตุการณ์ผิดปกติที่อาจเกิดขึ้น วิเคราะห์ข้อมูลจราจร (Traffic Data) ภายในเครือข่าย และแจ้งเตือนผู้ใช้งาน

• วิเคราะห์ขนาดการใช้งานข้อมูลจราจรบนระบบเครือข่าย (Bandwidth) ทั้งขาเข้า – ขาออก
• วิเคราะห์การใช้งานตาม Protocol ได้แก่ Web , Mail , POP3 , DNS , IM , P2P ฯลฯ
• ตรวจสอบสถิติลักษณะการใช้งานตาม Application Data
• จัดทำรายงานสรุปเป็นรายวัน

2. ระบบตรวจจับและป้องกันภัยคุกคามทางเครือข่าย (Network Intrusion Detection & Prevention System) ปกป้อง เครือข่ายจากภัยคุกคาม ทั้งภัยคุกคามจากภายนอกเข้าสู่ระบบภายในองค์กร (Intrusion) และภัยคุกคามจากภายในเครือข่ายออกสู่ภายนอก (Extrusion) ประมวลผลผ่านเว็บบราวเซอร์ พร้อมออกรายงานผลเป็นรายวัน โดยจัดลำดับความเสี่ยงเป็น สูง / กลาง / ต่ำ

4. ระบบเก็บบันทึกเหตุการณ์ภัยคุกคาม และข้อมูลจราจรที่เกิดขึ้นบนเครือข่าย (Log Compliance) เก็บ บันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Computer Traffic Data) ที่สามารถบันทึกได้ไม่น้อยกว่า 90 วัน ด้วยเทคโนโลยีบีบอัดข้อมูลแบบพิเศษ ทำให้ Log files มีขนาดเล็ก ลดเนื้อที่จัดเก็บข้อมูล (Storage)

• เปรียบเทียบเหตุการณ์ที่เกิดขึ้นภายในเครือข่ายตามมาตรฐานนโยบายด้านความปลอดภัย ISO/IEC 27001:2005
• เปรียบเทียบเหตุการณ์ที่เกิดขึ้นภายในเครือข่ายตามพ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์พ.ศ. 2550 โดยจำแนกเป็น
  • ทราฟฟิกที่เป็นปกติ เช่น การเรียกดูเว็บไซต์, การรับส่งอีเมล์ ฯลฯ
  • ทราฟฟิกที่เป็นภัยคุกคาม เช่น การเจาะระบบเว็บไซต์, การใช้งานที่ผิดปกติ, bittorrent ฯลฯ
• ทราบถึงภัยคุกคามที่อาจตรงตามมาตรา 5-11 แห่งพ.ร.บ.คอมพ์ ซึ่งสามารถแปลความทางเทคนิคได้
• ข้อมูลจราจรจำแนกว่า ใคร, ทำอะไร, ที่ไหน, เมื่อไร, อย่างไร ง่ายต่อการสืบสวนหาผู้กระทำความผิด
• สามารถดูข้อมูลย้อนหลังได้ตามวัน / เดือน / ปี ที่ต้องการ (Data Archive)
• ทำ Data Hashing ด้วยอัลกอริธึม MD5 มั่นใจได้ว่าข้อมูลจราจรจะไม่ถูกแก้ไข

ข้อมูลจราจรที่บันทึกและจัดเก็บ

SRAN Security Center สามารถบันทึกและจัดเก็บข้อมูลจราจรได้ ตามรายละเอียดดังนี้

Web : HTTP, HTTPS

Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS

Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog

File Transfer : FTP, TFTP , File Sharing (Netbios)

P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนิด P2P เช่น Skype เป็นต้น

Others : Telnet, Remote Desktop, VNC, Radius

พิเศษสุดสำหรับ SRAN Security Center ทุกรุ่น ในส่วนระบบเฝ้าระวังภัยคุกคามในองค์กร

สามารถตรวจจับการใช้งานเว็บไซต์ได้ แบบไม่ต้องใช้เทคนิค Proxy Caching ซึ่งจะทำให้สะดวกในการติดตั้งอุปกรณ์และเห็นผลลัพธ์ที่ต้องการได้มากขึ้น

ตัวอย่างหน้าจอ Monitoring เฉพาะส่วน HTTP / HTTPS

สามารถตรวจจับหัวข้อการส่ง E-mail ที่มีการรับ-ส่งผ่านทาง SMTP , POP3 ได้

ตัวอย่างหน้าจอสำหรับดู Subject e-mail ที่มีการรับ-ส่ง ในเครือข่าย เพื่อประกอบการสืบค้นหาการกระทำความผิดภายในองค์กร (Insider Threat)

สามารถตรวจจับการแชร์ File สำหรับอุปกรณ์ Files Server ได้ซึ่งสามารถอ่านเพิ่มเติมได้ที่

ตัวอย่างหน้าจอการ MAP Drive เพื่อใช้ในการ Share files ข้อมูลในองค์กร เพื่อประกอบการสืบค้นหาการกระทำความผิดภายใน (Insider Threat)

คุณสมบัติ SRAN Security Center ที่เป็นมากกว่าการเก็บบันทึกข้อมูลจราจร  ก็คือการเฝ้าระวังภัยคุกคามที่เกิดขึ้นภายในองค์กร หรือเรียกว่า “Insider Threat” ที่ถือว่าเป็นปัญหาใหญ่สำหรับธุรกิจไอทีทุกวันนี้

อีกทั้งหากท่านได้เคยสัมผัสการใช้งาน SRAN Security Center มาบ้างแล้วก็พบว่า SRAN สะดวกในการติดตั้งและไม่กระทบต่อระบบเครือข่ายหากติดตั้งอย่างถูกต้อง ซึ่งทีมงานบริการหลังการขายยินดีให้คำปรึกษาต่อการติดตั้ง SRAN อย่างถูกต้องเพื่อเป็นประโยชน์ต่อการใช้งานให้คุ้มค่ามากที่สุด

สนใจ SR-ME Hybrid สามารถติดต่อตัวแทนขายได้ที่

http://www.value.co.th/mainpage.html ค้นหาสินค้าชื่อ SRAN

สำหรับเครือข่ายภายในองค์กรที่มีการแชร์ files เพื่อใช้งานร่วมกัน มักมีคำถามว่า เราจะทราบถึงตัวตนผู้ใช้งานที่ทำการแชร์ files ภายในองค์กร เพื่อป้องกันการขโมยข้อมูล ความลับของบริษัทไปเผยแพร่ที่อื่นได้อย่างไร ?

คำตอบในเรื่องนี้มีหลายวิธีเพื่อที่จะระบุตัวตนการเข้าถึงข้อมูลที่มีการแชร์ ผ่านเครื่อง Files Server ซึ่งทางทีมงาน SRAN ได้คิดค้นวิธีการเฝ้าระวังข้อมูลจากการแชร์ files ขึ้น  โดยเขียนเป็น Signature ในการตรวจจับการเคลื่อนไหวข้อมูลผ่านทางระบบเครือข่ายคอมพิวเตอร์

การคิดค้นเทคนิคนี้ ทางทีมงานใช้ความสามารถของระบบ Network Intrusion Detection มาช่วยขึ้น ซึ่งเป็นวิธีที่มีผลกระทบต่อระบบเครือข่ายน้อย และ มีความสะดวกต่อการติดตั้งเป็นอย่างมาก ซึ่งเป็นการเพิ่มประสิทธิภาพการเฝ้าระวังภัยคุกคามระบบ File Server หลังจากการทดสอบแล้วในห้อง LAB ของบริษัทโกลบอลเทคโนโลยี ฯ ผลที่ได้รับประสบความสำเร็จและตรวจจับได้ผลเป็นอย่างดี โดยเทคนิคนี้ สามารถทำได้จากอุปกรณ์ SRAN Security Center ทุกรุ่นที่เป็น Version Adventure ปี 2008 ขึ้นไป ที่ประกอบด้วย SR-SE , SR-ME , SR-L , SR-L Hybrid และ SR-X series สามารถใช้งานได้ปกติ หลังจากการ update signature ล่าสุด

คุณสมบัติ : สามารถที่จะตรวจพฤติกรรมการใช้งานของ User ในองค์กรเพื่อใช้เฝ้าสังเกตการณ์การแชร์ File ในองค์กร เพื่อป้องกันปัญหาการขโมยข้อมูลที่สำคัญในองค์กรไปเผยแพร่และสามารถบันทึกการใช้งานเพื่อใช้เป็นเครื่องมือในการสืบหาหลักฐานที่ใช้งานต่อไป

ภาพตัวอย่างระบบ SRAN Security Center ในการเฝ้าระวังพฤติกรรมการใช้งานที่มีผลต่อ Files Server

1. รูปแบบการเฝ้าระวัง File Server

ซึ่งทางทีม SRAN พัฒนา (SRAN Dev) ได้คิดค้นเขียน Signature ใหม่ที่เพิ่มขึ้นเพื่อใช้ในการเฝ้าระวังการใช้งานแชร์ files ภายในองค์กร ประกอบด้วย

1.1 NetBIOS Traffic [ Authenticate require] : จะแสดงขึ้นเมื่อมีการถาม user กับ password ก่อนเข้าใช้งานเครื่องแชร์ไฟล์ (File Server)  : Screenshot 1

1.2 NetBIOS Traffic [Create Directory] : แสดงถึงการสร้างโฟลเดอร์ขึ้นมาในเครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูกสร้างขึ้นมา : Screenshot 2

1.3 NetBIOS Traffic [Delete Directory] : แสดงถึงการลบโฟลเดอร์ที่มีอยู่เครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูกลบออกไป : Screenshot 3

1.4 NetBIOS Traffic [Delete File] : แสดงถึงการลบไฟล์ที่มีอยู่ในเครื่องที่ใช้แชร์ไฟล์ (File Server) ซึ่งจะมีการแสดงชื่อของไฟล์ที่ถูกลบออกไป : Screenshot 4

1.5 NetBIOS Traffic [New File] : แสดงถึงการ Upload โฟลเดอร์เข้าในเครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูก Upload เข้ามา : Screenshot 5

1.6 NetBIOS Traffic [Open File/Folder] : แสดงถึงการเปิดไฟล์ / โฟลเดอร์ที่ใช้งานในเครื่องแชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของไฟล์ / โฟลเดอร์ที่ใช้งาน : Screenshot 6

1.7 NetBIOS Traffic [Open Main Directory] : แสดงถึงการเข้ามาใช้งานในเครื่องที่ใช้แชร์ไฟล์ (File Server) : Screenshot 7

1.8 NetBIOS Traffic [Rename] : แสดงถึงเปลี่ยนชื่อไฟล์ / โฟลเดอร์ในเครื่องแชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของไฟล์ / โฟลเดอร์ที่ถูกเปลี่ยนชื่อ: Screenshot 8

2. วิธีการติดตั้ง เพื่อให้สามารถตรวจวิเคราะห์ข้อมูลการแชร์ Files

สามารถติดตั้งอุปกรณ์ SRAN Security Center ได้ 3 วิธี

2.1 การติดตั้งแบบ In-line  คือ ติดตั้งขวางระหว่างอุปกรณ์ Switch กับ เครื่อง File Server และเปิด Mode NIPS (Network Intrusion Prevention)

ซึ่งการติดตั้งแบบนี้สามารถป้องกันลักษณะการบุกรุกอื่นๆ ในระดับ Application Layer ได้อีกด้วย ได้แก่ ภัยคุกคามไวรัสคอมพิวเตอร์ และ หนอนคอมพิวเตอร์ การโจมตีเครื่อง Files Server  เป็นต้น

2.2 การติดตั้งแบบ Transparent  คือ ติดตั้งขวางระหว่างอุปกรณ์ Switch กับ เครื่อง File Server  แบบเปิด Mode Bride Firewall

ซึ่งการติดตั้งแบบนี้สามารถป้องกัน IP Address และค่า MAC Address เครื่องที่ไม่ต้องการให้เข้าถึง File Server ได้

2.3 การติดตั้งแบบ Passive  คือ ใช้การ Mirror Traffic โดยใช้ความสามารถของ Switch มาช่วย ซึ่งการติดตั้งแบบนี้หากติดตั้งที่จุดส่วนรวมหลัก (Core Switch) ก็จะทำให้ทราบถึงพฤติกรรมการใช้งานอื่นๆ ทั้งเครือข่ายองค์กร ได้เช่นกันรายละเอียดสามารถอ่านได้เพิ่มที่ http://www.sran.net/archives/182

และในไม่ช้าจะสร้าง Signature เพื่อให้ตรวจจับการแชร์ Files ในระบบปฏิบัติการ unix ต่อไป ในเร็ววันนี้ จึงเป็นการพิสูจน์ให้เห็นว่า SRAN เทคโนโลยี มีการพัฒนาการต่อเนื่อง เพื่อนำสิ่งที่ดีที่สุด และปลอดภัยที่สุดให้กับผู้ใช้งาน SRAN ได้ ดังคำขวัญที่ว่า

“ไอทีไทยคุ้มค่า ใช้ SRAN คุ้มครอง”

อ่านเพ่ิมเติมการตรวจจับลักษณะการแชร์ File ผ่าน FTP โดยใช้ SRAN ที่ http://www.sran.net/archives/category/normal-data/ftp

ความหมายของ NetBios สามารถอ่านเพิ่มเติมได้ที่

http://www.justusers.net/knowledges/netbios.htm

http://en.wikipedia.org/wiki/NetBIOS