ในที่สุดเราก็มองเห็น HTTPS ด้วย SRAN NetApprove

ก่อนหน้านี้ผมได้กล่าวไปแล้วเรากำลังอยู่ในยุคจุดจบ sniffer การดักรับข้อมูลทางระบบเครือข่าย จะไม่สามารถมองเห็นได้ง่ายอีกต่อไป เนื่องจากทุก Application ในอนาคตจะมีการเข้ารหัสผ่าน Protocol ที่ปลอดภัยมากขึ้น

จึงเป็นโจทย์ใหญ่ที่เราต้องเตรียมตัวรับมือ
– ไม่ว่าการเข้ารหัสของมัลแวร์บางชนิดที่ส่งข้อมูลผ่าน SSL หรือ HTTPS ออกไปนอกองค์กร
– การที่ไม่สามารถยืนยันการกระทำความผิดได้ภายในองค์กรและหน่วยงานที่ยังต้องใช้พวก Social Network ในการทำงาน อันเนื่องจากไม่สามารถส่ง ค่า syslog จาก Content Provider ในต่างประเทศส่งมาให้เราเก็บข้อมูลได้
– การไม่สามารถปิดกั้นเว็บเพจ URI ผ่าน HTTPS ได้

ผมและทีมงานได้ค้นคว้าและคิดว่าเราต้องทำอะไรสักอย่างเพื่อการมองเห็นสิ่งนี้

และการมองเห็นนี้จะไม่ได้ไปใช้ในทางที่ผิด แต่กลับเป็นประโยชน์กับหน่วยงาน องค์กร และบริษัท ที่จำเป็นต้องมองเห็นพฤติกรรมดังกล่าว

“HTTPS ควรมองเห็น” เพราะเราไม่มีทางได้ Log จากต่างประเทศได้ตลอดทุกกรณี มันเป็นเกมส์ด้านความมั่นคงระดับประเทศ แต่การมองเห็น HTTPS มันควรเกิดขึ้นกับองค์กร หรือบริษัท มิใช่ระดับประเทศเพราะนั้นมีคนอีกมากมายอาจได้รับผลกระทบทั้งที่เขาเสียค่าบริการ แต่อย่างไรก็ดีเสรีภาพก็ย่อมมาด้วยความรับผิดชอบ

ซึ่งผมชัดเจนว่า “ไม่ส่งเสริมให้ทำที่ Gateway ระดับประเทศนะครับ”  แต่ควรจะทำในระดับองค์กรการเก็บ Log ที่ควรระบุตัวตนผู้ใช้งานที่แท้จริงได้ หรือไม่ก็ปิดกั้นการเข้าถึง Application ที่ไม่สามารถมองเห็นได้ไปเลย ซึ่งจะทำได้เฉพาะในระดับองค์กร ห้างร้าน โรงเรียน บริษัทขนาดเล็ก และขนาดกลาง  หรือพื้นที่มีความเสี่ยงในการกระทำความผิด อันได้แก่ Free wifi ร้านอินเทอร์เน็ต เป็นต้น ส่วนองค์กรขนาดใหญ่ต้องมีการศึกษาและออกแบบระบบก่อนติดตั้งเครื่องมือ

“ระดับองค์กรทำได้เลย แต่ระดับประเทศยังไม่แนะนำ


 
ภาพ ห้องปฎิบัติการ (LAB) เล็กๆจากงบประมาณจำกัดของเรา ที่ใช้ทำการทดสอบ SSL Capture บนระบบเครือข่าย
ภาพการติดตั้งยังคงเป็นแบบ Transparent โดยใช้อุปกรณ์เสริมเช่น อุปกรณ์ Net optics /Network TAP
เราพัฒนาบน SRAN รุ่น Hybrid  แต่เราไม่ทำการรับ syslog มีการเปลี่ยน Function การทำงานให้มีการระบุตัวตนการใช้งานก่อนถึงจะเข้าถึงอินเทอร์เน็ตได้
เราตั้งชื่อตัวใหม่นี้ว่า “Net Approve” ผมตั้งใจเป็นชื่อนี้ เนื่องจากมันต้องยืนยันบางสิ่งบางอย่างก่อนได้รับการเข้าถึงข้อมูลหรือออนไลน์
โดยมีฟังชั่นการทำงานที่เพิ่มมา ดังนี้คือ
(1) การ Redirect traffic เพื่อการ Authentication  โดยต้องมี accounting ในระบบและยืนยันการใช้งานโดย Data Owner ในองค์กร 
(2) ตรวจความเคลื่อนไหวและเครื่องผิดปกติ (Rouge Detection) เครื่องแปลกปลอมในองค์กร 
ทั้งนี้รวมถึงเครื่องที่มีโอกาสติดเชื้อมัลแวร์ (Malware) และ บอตเน็ต (Botnet) ด้วยเทคนิค “Passive Inventory”
(3) การมองเห็นข้อมูลจราจรแบบ SSL  ที่ผ่าน HTTPS พร้อมการระบุตัวตน ด้วยเทคนิค “SSL Capture” โดยไม่ทำให้บราวเซอร์ของผู้ใช้งานมองเห็นว่าเป็นใบรับรองความปลอดภัยที่ถูกต้อง (หน้าจอ https เป็นสีเขียว)
(4) การเก็บบันทึกข้อมูลจราจรที่รองรับได้ตาม พรบ. คอมพิวเตอร์ ทั้งฉบับเก่าและฉบับร่างใหม่ พร้อมการยืนยันการเข้าถึงและสิทธิในการเข้าถึงชั้นข้อมูล
(5) การสรุปปริมาณ Application Traffic ที่ใช้ในองค์กร  เป็นเมนูใหม่เรียกว่า “Application Monitoring” จะทำให้เราทราบถึงปริมาณ Bandwidth แต่ละ Application ที่ใช้ในองค์กรได้
ภาพฮาร์ดแวร์ต้นแบบ {{ Net Approve }}
 ภาพหน้าแสดงข้อมูลของ SRAN : {{ Net Approve }} ผลิตภัณฑ์ใหม่ของกลุ่ม SRAN กับการมองเห็น HTTPS หรือ SSL ได้
จากภาพจะพบว่าตอบได้ครบถ้วน Who , What , Where , When Why (How)
ในบริษัทแห่งหนึ่งที่ต้องการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ตามกฎหมาย ไม่ว่าเป็นกฎหมายเก่าหรือที่จะเกิดขึ้นใหม่  สิ่งสำคัญก็คือการระบุตัวผู้กระทำได้ ไม่เช่นนั้นก็ไม่เกิดประโยชน์ในการหาหลักฐานเมื่อเกิดเหตุการณ์ที่ต้องการขอดู Log file ย้อนหลัง
บริษัท หรือ หน่วยงานต่างๆ ก็ถือได้ว่าเป็นผู้ให้บริการ (ที่หมายถึงผู้ให้บริการ ก็เนื่องจากมีผู้ใช้งานมากกว่า 1 คน) โดยมีพนักงาน หรือบุคลากรในองค์กรนั้น เป็นผู้ใช้บริการ IP ที่ได้รับจาก ISP นั้นเมื่อใช้งานต้องสามารถระบุได้ว่าใคร ทำอะไร ที่ไหน อย่างไร  
ถึงเป็น Log file ที่มีคุณภาพ 
Log files ที่ดีต้องระบุตัวตนผู้ใช้งานพร้อมทั้งทราบถึงการกระทำสิ่งใดอยู่ได้ หากเก็บเยอะ แถมยังลงทุนสูง แต่ระบุส่วนนี้ไม่ได้ จะไม่เกิดประโยชน์เลย ในการจัดทำเรื่องนี้ต้องคำนึงถึงส่วนนี้ให้มาก ไม่เช่นนั้นจะเป็นการลงทุนโดยไม่เกิดประโยชน์
“สำคัญที่สุดคือเมื่อเกิดเหตุอันไม่พึ่งประสงค์ ต้องรู้ให้ได้ว่าคือใคร เป็นผู้กระทำ”
 
ภาพหน้าจอผู้ใช้งานในองค์กรเมื่อเข้า facebook (เพจ https://www.facebook.com/Defamily.Router จะไม่พบความผิดปกติ 
ภาพแสดงหน้าจอ Passive Inventory เทคนิคใหม่ที่เราไม่จำเป็นต้องใช้ Protocol ประเภท Network Management หรือ SNMP เราใช้แบบ Agent less คือไม่ต้องลงซอฟต์แวร์ใดๆ แต่สามารถเก็บข้อมูลบนระบบเครือข่ายได้ 
หน้าจอ Application Monitoring ที่สามารถบ่งบอกถึง Application ที่ผู้ใช้งานระบบสารสนเทศในองค์กรใช้ปริมาณ Bandwidth ซึ่งจะทำให้เราทราบถึงค่าการใช้งานที่เกินความจำเป็นได้
เราคาดว่า Net Approve จะพร้อมจำหน่ายในเดือนเมษายน ปีนี้  
นนทวรรธนะ  สาระมาน
Nontawattana  Saraman
19/01/58