Recent Forum Posts
From categories:
page 1123...next »

ตอบข้อแรก : ทางบริษัทหรือองค์กรควรมีการออกนโยบายด้านความมั่นคงปลอดภัยข้อมูล (Security Policy) และในระดับชั้นการเข้าถึงข้อมูลของระบบ SRAN หากบริษัทนั้นๆ ได้ติดตั้งระบบแล้ว ต้องมีการจัดหมวดหมู่การเข้าถึง เช่น การเข้าถึงในระดับชั้น Data Owner นั้นคือผู้บริหารเท่านั้นที่ดูได้ Data Custody นั้นคือผู้ที่ได้รับหน้าที่มาในการเก็บ Log ส่วนใหญ่อำนาจหน้าที่ควรเป็น CIO ของบริษัท เป็นต้น
การละเมิดสิทธิส่วนบุคคล หากมีการกำหนดนโยบายด้านความมั่นคงปลอดภัยแล้ว พนักงานทุกคนรับทราบว่าเครื่องคอมพิวเตอร์ที่ท่านใช้บริษัทสามารถตรวจสอบได้ทุกเมื่อ เนื่องจากเป็นทรัพยากร และ ทรัพยสินของบริษัท ทุกคนก็ต้องรับทราบในการใช้ข้อมูล เป็นต้น

ตอบข้อที่สอง : เช่นเดียวกับข้อที่ 1 คือควรมีการกำหนดบทบาทและหน้าที่ของผู้ดูแล Log ผู้ที่เข้าถึง log ผู้ที่ทำการ archive log โดยมีกรอบคือ Data owner คือใคร มีบทบาทหน้าที่อย่างไร Data custody คือใคร มีบทบาท อย่างไร ออกเป็น Policy ในองค์กรเสียก่อน จากนั้นค่อยทำให้ SRAN
*** อย่าลืมว่า SRAN เป็นเพียงเทคโนโลยี ในการอำนวยความสะดวกในการบริหารจัดการข้อมูลสารสนเทศให้รู้ทันปัญหาและเก็บบันทึกข้อมูลจราจร ให้ถูกต้องตามกฏหมายคอมพิวเตอร์ เท่านั้น **

ตอบข้อที่สาม : SRAN Light มีการตรวจสอบข้อมูล 2 ประเภท คือ ข้อมูลปกติ และ ไม่ปกติ
ข้อมูลปกติ ที่เกิดจากการใช้ข้อมูลสารสนเทศ ทั้งใน วง LAN และ ในการติดต่อสื่อสารผ่าน Internet ได้แก่ Web , Mail , Chat อื่่นๆ เป็นต้น ไม่มีภัยคุกคามการติดต่อสื่อสารเหล่านั้นจะเก็บเข้าไปในรูป Log ที่สามารถค้นหา และทำการ Hashing ข้อมูลเพื่อป้องกันการแก้ไข ในกรณีที่มีการทุจริตเกิดขึ้นในองค์กร

ข้อมูลไม่ปกติ ที่เกิดจากการใช้ข้อมูลสารสนเทศ เช่น ติดไวรัส ติดเป็นเหยื่อ botnet ส่ง spam และอื่นๆ นั้น SRAN จะใช้หลักการของ Network Intrusion Detection System ในการตรวจสอบ โดยมีฐานข้อมูลของพฤติกรรมอันไม่ปกติอยู่ในเครื่อง SRAN และมีการ update ฐานข้อมูลดังกล่าวตามระยะเวลาของ License ของ SRAN หากอยู่ในประกัน SRAN จะมีการอัพเดทอย่างสม่ำเสมอเพื่อได้เรียนรู้ถึงภัยคุกคามที่เกิดขึ้นมาใหม่ ได้ทันเวลา

และเมื่อ SRAN มีการเรียนรู้เรื่องภัยคุกคาม ทีมพัฒนา SRAN จึงได้จัดหมวดหมู่ (Category) ของระดับความรุนแรงของภัยนั้น ว่ามีความเสี่ยง สูง กลาง และต่ำ อย่างไร ซึ่งในระบบ สามารถเปิดให้ ผู้ใช้งาน บริหารจัดการความเสี่ยงตามหมวดหมู่ของกลุ่ม Signature ที่เตรียมไว้ใน SRAN ได้ ทั้งนี้ขึ้นกับ Security Policy ขององค์กรด้วย ยกตัวอย่าง เช่น บางองค์กร อาจจะถือว่าการเล่น MSN เป็นภัยคุกคามที่รุนแรง โดยเฉพาะการส่ง file ออกนอกบริษัท ดังนั้น SRAN ก็จะเริ่มค่าว่าการส่ง file ผ่าน Protocol MSN นั้นจะมีความเสี่ยงที่สูง เป็นต้น ส่วนความเสี่ยงสูงที่มากับ SRAN ส่วนใหญ่จะเป็นเรื่องภัยจาก Malware และการทำ P2P เป็นหลัก
ส่วนภัยที่เกิดจากความเสี่ยงปานกลาง และต่ำ ส่วนมากเป็นเรื่องเกี่ยวกับการ config ที่ไม่เหมาะสมในอุปกรณ์เครือข่าย เช่น Switch , Router หรือ Firewall ที่ปล่อยค่า ICMP หรือ Broadcast แบบไร้ที่มาที่ไป เป็นต้น

ตอบคำถามที่ 4 : หาผู้กระทำความผิดได้ หากในองค์กรนั้นทำระบบ Authentication และเอา Log Authentication โยนเข้ามาที่ SRAN Light แนะนำว่าควรใช้ SRAN Light รุ่น Hybrid เนื่องจากจะรับ syslog ได้ และได้มาตราฐานตามการเก็บ Log จาก NECTEC
ส่วนหากองค์กรหรือบริษัท ยังไม่มีระบบ Authentication ทางบริษัทฯ (Global Technology Integrated : www.gbtech.co.th ) มีแนวทางในการจัดทำระบบให้สมบูรณ์

ทั้งหมดนี้ต้องเรียนว่าระบบจะสมบูรณ์ได้ไม่ได้ขึ้นกับ เทคโนโลยี อย่างเดียวแต่ต้องขึ้นการ คน และ กระบวนการด้วย ดังนั้นทางบริษัท ฯ ยินดีให้คำปรึกษา พร้อมการออกแบบระบบ เพื่อให้ยั้งยืนในอนาคตต่อไป

ขอบคุณสำหรับคำถามที่ถามมา

ทีมพัฒนาวิจัย SRAN (SRAN-Dev)

by SRAN_DEV (guest), 16 Oct 2010 10:52

1. SRAN Light มีวิธีการอย่างไร ในเรื่องของการป้องกันการไม่ให้ละเมิดสิทธิส่วนบุคคลของพนักงานในองค์กร
2. ในส่วนของผู้ดูแลระบบ SRAN Light ในองค์กร มีการ Login ก่อนเข้าใช้หรือไม่ และจะป้องกันไม่ให้เข้าไปดูข้อมูลของผู้อื่นอย่างไร
3. ในการที่ระบบ SRAN Light สามารถแยกภัยคุกคามเป็นระดับความเสี่ยง สูง กลาง ต่ำ นั้น ดูจากอะไรหรอคะ ทำไมถึงแยกได้ว่าอันไหน สูง กลาง ต่ำ
4. หากผู้ใช้หลายคนเข้าใช้เครื่องคอมพิวเตอร์เครื่องเดียวกัน หรือมีการใช้เครื่องคนอื่นและรหัสที่เข้าใช้งานของคนอื่นในการกระทำความผิด ตรงนี้จะสามารถหาผู้กระทำความผิดได้ไหมคะ และอย่างไร

ขอบคุณล่วงหน้าสำหรับคำตอบนะคะ

มีคำถามสงสัยคะ by Lin (guest), 16 Oct 2010 06:30

SRAM Mseries ของลูกค้าผมขึ้น Give Root Password for Maintenance เอา admin password มาใส่ก็ไม่ได้จะมีทางแก้ไข้หรือไม่ครับ หรือว่ามี password เฉพาะอีก

Re: วิธีแก้ปัญหาอุปกรณ์ by kittipong (guest), 17 Jun 2010 05:41

อยากทราบรายงานของแต่ละ IP (ไอพีภายใน) เช่น IP 192.168.0.25 มีจำนวน Signature name ของแต่ละ Signature name เท่าไหร่ในรอบ 1วัน 1เดือน sran สามารถหาให้โดยอัตโนมัติได้โดยรายงานของ sran โดยไม่ต้องมาจำแนกเองได้หรือไม่
ตัวอย่างรายงานในรอบ 1 เดือน

IP user Signature name event
192.168.0.25 xx CHAT MSN message 251
HTTP Get Web Data Traffic 850
POP3 1520
SMTP 790
192.168.0.26 yy CHAT MSN message 651
HTTP Get Web Data Traffic 952
POP3 120
SMTP 124

ถามเกี่ยวกับรายงาน by pakorn (guest), 10 May 2010 04:06

การเรียกเก็บค่าบริการอินเตอร์เน็ต ไม่น่าจะมีความผิดกฏหมายนะครับ แต่ถ้าหากจะผิดกฏหมายตาม พรบ คอมฯ ได้นั้น ต้องมีผู้กระทำความผิดจากเครือข่ายไร้สายตามหอพัก หรือ หมู่บ้าน มากกว่า เช่นการไปโพสอะไรที่ไม่เหมาะสม หรือให้ข้อมูลที่ทำให้หมิ่นประมาทผู้อื่นโดยมิชอบ นะครับ
เหล่าหากผู้ให้บริการไม่เก็บ Log และสืบค้นไม่ได้ก็มีความผิดตามมาตรา 26 พรบ คอมพ์ ได้เช่นกันครับ

ทำอินเตอร์เน็ตไร้สายตามหอพักหรือหมู่บ้านแล้วเก็บค่าบริการจะผิดกฎหมายหรือไม่
(ร้านเน็ตคาเฟ่ทำไม่ไม่ผิดกฎหมายเป็นการเก็บค่าบริการเหมือนกัน)

ใช้บราวเซอร์อะไร ? หลังๆ บราวเซอร์รุ่นใหม่ๆ มีปัญหาเรื่อง session พอสมควรนะ เคยเป็นเหมือนกัน ถ้า เว็บไซต์ขึ้น page not display น่าจะเกี่ยวเครื่องของเรากับฝั่ง web Server ผู้ให้บริการ นะ ไม่น่าเกี่ยวกับการถูก block web เพราะถ้าเป็นการ block web ก็มักจะขึ้นข้อความแสดงว่าถูก block จากกระทรวงไอซีที นะ

เข้าเว็บไซค์บางเว็บไม่ได้มันเขียนว่า page not display หมายถึงเว็บโดนปิดหริอเปล่า

เดี๋ยวจะส่งรายละเอียดให้ทาง E-mail ครับ

ถ้าไม่ได้ใช้ SRAN ง่ายนิดเดียวที่ต้องหลีกเลี่ยงได้ เพราะการเข้า Web ถ้าบริษัทนั้นไม่มี Proxy หรือ SRAN แทบจะตรวจไม่ได้เลยว่าเข้าเว็บไซต์ URL อะไร
หากมี Firewall ก็ได้แค่ Log IP บางทีได้ Firewall ธรรมดา ก็ไม่สามารถรู้ URL หรือ URI ที่เราใช้งานได้เลย

ใช้งานอินเตอร์เน็ตในองค์กร ต้องทำอย่างไร ที่ไม่สามารคช็คที่เซิฟเวอร์ได้ว่าเข้าเว็ปไซค์อะไรบ้าง สามารคทำได้ใช่ไหมค่ะ
รบกวนให้รายละเอียด และวิธีการใช้งานด้วยค่ะ

อยากทราบรายละเอียดการติดตั้ง มีวิธีการอย่างไร มีค่าใช้จ่ายเท่าใด จำนวนที่ต้องใช้ในการติดตั้ง การบำรุงรักษา
กรณีเป็นสมาชิกจะได้รับสิทธิพิเศษอย่างไรบ้าง ประมาณนี้ เป็นไปได้ขอส่งข้อมูลเข้า e-mail moc.liamtoh|as_as_mut#moc.liamtoh|as_as_mut

ไม่ทราบว่า MV ตัวไหนครับ ถ้าเป็นตัว SRAN Light ในการตรวจจับ sniffer นั้นลองดูใหม่อีกครั้งครับ

ทำไมเวลาดู mv ในเว็บมันเล่นๆหยุดๆ เล่นประมาณ3-4วินาทีก็หยุดแล้วก็เล่นต่อ3-4วินาทีก็หยุด

สามารถรับ Log ได้จากทุกอุปกรณ์ครับ แต่ต้องเป็นรุ่นที่เขียนว่า Hybrid คือ
SR-ME Hybrid , SR-L Hybrid , SR-X series Hybrid

ถ้าเป็นหน่วยงานขนาดเล็ก เก็บในตัวอุปกรณ์ SRAN จะสะดวกกว่า ส่วนหน่วยงานขนาดใหญ่เพื่อเป็นการแบ่งภาระของอุปกรณ์ SRAN ก็ควรมีระบบจัดเก็บเฉพาะ ทำเป็นระบบ SAN Storage สำคัญว่าคนเข้าถึง Log files ที่เก็บต้องเป็นคนที่ถูกให้ทำหน้าที่เฉพาะ (Data Custody) ซึ่งเป็นเรื่องนโยบายในองค์กรแล้ว เพื่อป้องกันไม่ให้ Log files ถูกแก้ไขจากคนภายนอกหรือผู้ดูแลระบบที่ขาดศิลธรรม

ความน่าเชื่อถือของหลักฐานจาก Log files ไม่ได้เกิดจากเทคโนโลยีอย่างเดียว แต่ต้องเกิดจากกระบวนการปฏิบัติงานในองค์กรด้วย เจ้าหน้าที่ที่ดูแลเรื่อง Log files ต้องระบุตัวบุัคคลได้ และถูกแต่งตั้งจาก Data Owner ประธานบริษัท คณะกรรมบริษัทนั้นๆ เป็นต้น
อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/155

แล้วระหว่างการเก็บ log ไว้ใน SRAN กับการเก็บข้างนอก อย่างไหนจะดีกว่าครับ

เป็นขอเสนอที่ดีครับ ต้องบอกว่าทำได้ครับ แต่ต้องมาดูกันว่านโยบายของบริษัท ที่ว่านั้นสามารถตีความทางเทคนิคเพื่อให้ระบบได้ทำงานอย่างสอดคล้องกันได้หรือไม่
หากสอดคล้องกับระบบที่มีอยู่แล้ว ก็ปรับแต่งให้แสดงผลตามที่ต้องการได้ครับ โดยมีค่าจ่ายในการพัฒนาเพิ่มในจุดนี้

SRAN พัฒนา

หน้า web page ก่อนออก internet ที่บอก เรื่อง พรบ ครับ เราสามารถแก้ไขให้เป็น ตามนโยบายของ บ. ได้ หรือไม่ครับ

page 1123...next »
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License