บริษัท XYZ ต้องการหาความผิดปกติที่เกิดขึ้นจากการใช้งานไอซีทีในองค์กร เนื่องจาก 2-3 วันมานี้อินเตอร์เน็ตบริษัทช้ามาก จนถึงขั้นที่ทำงานไม่ได้ เหตุการณ์นี้อาจจะเกิดขึ้นกับหลายบริษัทที่ใช้ระบบไอทีและใช้อินเตอร์เน็ตในการทำงาน ในบริษัทนามสมุมติจึงขอนำมาสร้างความเข้าใจถึงคุณสมบัติ SRAN ที่เป็นมากกว่าอุปกรณ์เก็บบันทึกข้อมูลจากการใช้งานไอที แต่ยังสามารถที่ใช้ในการวิเคราะห์หาความผิดปกติที่เกิดขึ้นจากการใช้งานไอทีภายในองค์กรและการใช้งานอินเตอร์เน็ตได้อีกด้วย จนเกิดเป็นเหตุให้ต้องเล่าผ่านตัวละครนาย ก. ไก่ เรื่องนี้มีชื่อตอนว่า
… เพื่อนแนะนำว่า ..
“ลองใช้ SRAN Light มาวิเคราะห์หาความผิดปกติดูดิ๊”
8 ธ.ค 52 เวลา 09:40 นาย ก.ไก่ เป็นผู้ดูแลระบบเครือข่ายคอมพิวเตอร์ให้กับบริษัท XYZ ตัดสินใจเข้าพบผู้อำนวยการฝ่ายไอทีบริษัทฯ หลังจากโทรไปถามผู้ให้บริการอินเตอร์เน็ต (ISP) แล้วไม่พบความผิดปกติจากสายส่งสัญญาณและอุปกรณ์ส่งสัญญาณ (Router) เลยทำการปรึกษาผู้อำนวยการฝ่ายฯ เพื่อที่จะขอเพิ่ม Link Internet เพิ่มจากเดิมจากเดิม 3 Mbps จะขอเพิ่มเป็น 5 Mbps เพื่อขจัดปัญหาที่ระบบงานด้านไอซีทีบริษัทเวลาใช้งานอินเตอร์เน็ตเกิดความล่าช้า จนพนักงานภายในเริ่มมีเสียงบ่นกัน
10:00 ก่อนที่นาย ก. ไก่ กำลังง้างมือเคาะประตูห้องผู้อำนวยการฝ่ายไอที ได้มีเสียงโทรศัพท์เข้ามือถือของนาย ก.ไก่ … กริ๊งๆๆ …
นาย ข. ไข่ โทรมาบอกว่า “เพื่อนรัก ในวันพรุ่งนี้จะแนะนำให้เอา SRAN Light ไปติดที่ บริษัทนายดูเผื่อว่ามันจะช่วยได้”
นาย ก.ไก่ คิด (พรุ่งนี้เลยเหรอ xxx่ะ) นาย ก. ไก่ ถามกลับ “แล้ว SRAN มันนี้ตัวเก็บ Log นี้หว่าจะช่วยอะไรได้หว่าาา”
นาย ข. ไข่ ตอบ “นายเคยกินกาแฟ ป่ะเพื่อน SRAN มันก็เหมือน กาแฟ 3-in -1 ไงเพื่อน”
นาย ก.ไก่ ตอบกลับ “มันปรัชญาอะไรเพื่อน อย่างไงเหรอที่ว่า เหมือนกาแฟ 3-in-1″
นาย ข.ไข่ ตอบด้วยความมั่นใจว่า “ด้วยคุณสมบัติอุปกรณ์ ที่มากกว่า 1 อย่างในเครื่องเดียวกัน อีกทั้ง SRAN สำเร็จพร้อมใช้งานเพียงเสียบปรั๊กเสียบสายแลนเพื่อเชื่อมต่อระบบ และ config นิดหน่อยก็พอใช้งานได้แล้ว ก็เพราะ SRAN เป็น Appliance ไง” Appliance คือ Software + Hardware ที่พร้อมใช้งาน
แล้วนาย ข.ไข่ อธิบายเพิ่มว่า “หลายคนเข้าใจผิดว่า SRAN เป็นเพียงอุปกรณ์ในการเก็บบันทึกข้อมูล Log แต่ในความเป็นจริงแล้วคุณสมบติการนั้นเป็นเพียงคุณสมบัติหนึ่งของตัวอุปกรณ์เท่านั้นเอง คุณสมบัติที่ยังมีอีกหลายส่วนนะ ได้แก่ การเฝ้าระวังภัยและระบุถึงภัยคุกคาม ระบุผู้ใช้งาน IP Address ต้นทางและปลายทางในการติดต่อสื่อสาร ,ระบุค่า MAC Address เครื่องที่ใช้งานได้ด้วยนะ และยังช่วยวิเคราะห์หาความผิดปกติจากการใช้งานอินเตอร์เน็ตนี้แหละเพื่อน แล้วที่เปรียบเทียบเป็นกาแฟ 3-in-1 ก็เพราะต้องการให้เห็นภาพคุณสมบัติที่คุ้มค่าของ SRAN ได้เห็นภาพชัดเจนขึ้นไงเพื่อน”
“อย่าลืมนะว่า SRAN มันย่อมาจากคำว่า Security Revolution Analysis Network คือการปฏิวัติใหม่ของระบบวิเคราะห์ความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ ไม่เห็นต้องเดินตามแนวคิดฝรั่งเลย เราก็คิดประยุกต์เองได้ ขอให้มันเป็นประโยชน์ต่อสังคมออนไลท์ก็แล้วกัน จนเป็น SRAN ทุกวันนี้ไง”
นาย ก.ไก่ ถามกลับ “แล้วภัยคุกคามที่ SRAN มองเห็นนั้น มีอะไรบ้างหว่า”
นาย ข.ไข่ ตอบ “ภัยคุกคามที่เกิดจากการใช้งานไอทีนี้แหล่ะเพื่อน SRAN มันช่วยวิเคราะห์ให้ได้ เชิงลึกด้วยนะเพราะมีเทคโนโลยี Network Intrusion Detection and Prevention ในตัวด้วยมันดูถึงระดับ Layer 2- Layer 7 เชียวล่ะเพื่อนเอ่ย ไม่ว่าจะเป็นปัญหาไวรัสคอมพิวเตอร์นะ แล้วพวกเราไม่รู้ว่าซ่อนเล้นที่เครื่องคอมพิวเตอร์ไหนภายในองค์กร ทำการแพร่เชื้ออยู่นี้ เราก็แค่ใช้ SRAN ค้นหาได้อีกด้วยนะ ไม่เพียงแค่นั้นเพื่อนเอ๊ย SRAN ยังรวมไปถึงการหาผู้กระทำผิดอื่นๆ เช่นการโจมตีชนิดต่างๆ รวมถึงการ Hacking ด้วย มีอีกเยอะลองอ่านดูคุณสมบัติที่ http://sran.org/q ดูนะเพื่อนไม่อยากโม้มากเดี๋ยวลองใช้จริงดูพรุ่งนี้ดีกว่า”
นาย ข.ไข่ ยังกล่าวทิ้งท้ายต่อเนื่องไปอีกว่า “เราว่านะงานนี้ SRAN อาจจะช่วยนายได้นะ ลองดูสิ”
นาย ก. ไก่ “ได้xxx่ะ ถ้าเพื่อนแนะนำ ดูถ้าจะดีเหมือนกัน ลองดูแล้วกัน วันนี้ก็ปล่อยผี ให้คนบริษัทด่าไปก่อนว่าเน็ตช้าาาาา นึกแล้วเซ็งเป็ด”
เช้าวันใหม่ 9 ธ.ค 52 อินเตอร์เน็ตในบริษัท XYZ ไม่ดีขึ้นเลย
และแล้ว เวลา 11:20 นาย ข. ไข่ มาพร้อมเครื่อง SRAN Light รุ่น LT100 มาถึงบริษัท XYZ “โทษทีเพื่อนมาช้าหน่อย ระบบไอทีและการใช้งานอินเตอร์เน็ตบริษัทนายดีขึ้นยัง”
นาย ก. ไก่ ตอบ “มาช้าดีกว่าไม่มานะเพื่อน เน็ตใช้ได้แต่ช้าเป็นเต่าเลย ให้ ISP ที่เราใช้เน็ตอยู่ ตรวจแล้วไม่พบความผิดปกติ ดู Log Firewall บริษัทแล้ว อ่านไม่ออก พยายามแล้ว เห็นน้องคนหนึ่งที่ไปเรียนด้านนี้มาบอกว่าพบแต่ IP Address ภายนอกองค์กรเลยไม่รู้สาเหตุ xxx่ะ Firewall มันไม่ได้บอกว่ามีปัญหาจากอะไรด้วยแหละ นอกจากนี้เราก็ยังดูที่ Log server บริษัทก็ไม่พบไรมากนะ เห็นบริษัทติดตั้ง Log server เขาทำแค่ส่ง Log Authentication จากระบบ Radius Server ของบริษัท เราเห็นแต่ชื่อ User จนดูแล้วก็ เซ่อร์ตามกันไปหมดแล้วล่ะเพื่อนเอ๊ย เห็นบอกว่าส่ง Log มากกว่านั้นมากไม่ได้เดี๋ยวเครื่องเก็บ Log เต็ม ไม่ครบ 90 วันอีก แล้วเดี๋ยวเสียค่า storage เพิ่มอีก เฮ้อออ ชีวิตคนดูแลระบบเครือข่ายคอมพิวเตอร์มันแสนเศร้าอย่างงี้แหละเพื่อน” บริษัทให้งบน้อย แต่อยากได้มาก
นาย ก. ไก่ ยังถามต่ออีกว่า “เออนี้นายมาคนเดียว เหรอ แล้วงี้จะใช้เวลากี่วัน กี่ชั่วโมงในการติดตั้ง SRAN ล่ะเนี้ย!”
นาย ข. ไข่ เลยบอกว่า “SRAN คนเดียวก็พอ เดี๋ยวนายช่วยบอกตำแหน่ง Switch หลักของบริษัทนายทีสิ แล้วพอหาตำแหน่งติดตั้งที่ถูกต้องได้ใช้เวลาแป๊บเดียว เดี๋ยวรู้เรื่อง”
นาย ก. ไก่ ตอบ “Switch บริษัทเรา เป็นรุ่นพ่อขุนฯ นะโบราณมาก ไม่สามารถทำการ Mirror หรือ SPAN port ได้เลย แตะนิดแตะหน่อยอาจถึงขั้นเดี้ยงได้ ”
นาย ข. ไข่ ตอบ “ไม่มีปัญหาเพื่อน SRAN ทำได้ มี Switch ที่ไหน มี SRAN ที่นั้นแหละเพื่อน นำทางไปหน่อยสิ”
นาย ก. ไก่ “นายนี้โชคดีแล้วเพราะเราเป็นคนหนึ่งที่เข้าห้อง Data Center บริษัทได้ ทั้งบริษัทเข้าได้แค่ 3 คน เรามีน้องอีกคนที่เข้าไปช่วยได้ จะให้เรียกไหม” นาย ข.ไข่ ตอบ “ถ้าน่ารัก ก็เรียกมา ยืนให้กำลังใจก็พอ อิอิ”
“เออ … มันเป็นผู้ชายxxx่ะ” นาย ก.ไก่ ตอบ ,, “แป๋วว” นาย ข.ไข่ อุทาน “งั้นไม่เป็นไรเพื่อน SRAN ติดตั้งสะดวก ง่ายกว่าที่คิดเพื่อนเอย” นาย ก.ไก่ กระพริบตา ๆ แล้วคิดว่าอ้ายเพื่อนข้าพเจ้านี้ทั้งโม้ & มอจริงๆ
เวลา 11:40 นาย ข. ไข่ ทำการติดตั้ง SRAN Light แบบ Transparent mode โดยอยู่ตำแหน่งระหว่าง Switch ภายในองค์กรและ Firewall
เวลาผ่านไป 1 นาที นาย ข.ไข่ กล่าว “สายแลนที่ให้มาหัวไม่ค่อยดี ขอสายใหม่นะ” พร้อมแนะนำนาย ก.ไก่ ถึงเรื่องสายแลนอีกตั้งหาก
เวลาผ่านไป 2 นาที นาย ข. ไข่ ติดตั้ง SRAN เรียบร้อย พร้อมต่อเชื่อมกับ โน๊ตบุ๊ค ตนเองเพื่อปรับแต่งค่าเริ่มต้นเพื่อใช้งาน แล้วเปิดบราวเซอร์ไปที่ https://192.168.1.100 ใส่ User / Password แล้วจากนั้นไม่นาน..
(more…)
