ใช้ SRAN ตรวจจับ Program Camfrog

เมื่อวานมีการทดสอบการตรวจจับโปรแกรม Camfrog โปรแกรมที่ผู้ปกครองไม่อยากให้ลูกเล่น (ไว้เล่นเอง) การตรวจจับในครั้งนี้เราใช้ sniffer ตัว Packets Analysis ใช้ Wireshark เป็นเครื่องมือ และทำการ Copy ค่า payload ที่คิดว่าจะสามารถตรวจจับโปรแกรม Camfrog ได้และได้นำมาใส่ใน Signature เขียนจาก snort และมาใช้บน SRAN ผลปรากฏว่าสามารถจับได้ ทั้ง 4 ส่วนประกอบด้วย
– การติดต่อ Login กับ Server
– การ Join Chat Room ทราบถึงห้องที่เข้าสนทนา และ ชื่อที่ใช้ในการใช้โปรแกรม Camfrog
– Content ในการสนทนาภายใน Chat Room
– การป้องกันการเข้า Login และการ Chat ได้ (ทำใน mode IPS)
มีวีดิโอสาธิต ดูได้ที่

ภาพวีดิโอ สาธิตในการตรวจจับโปรแกรม Camfrog ==> SRAN Analysis Camfrog #1

ภาพวีดิโอ สาธิตในการป้องกันการใช้งานโปรแกรม Camfrog ==> SRAN Analysis Camfrog #2

อ่านเพิ่มเติม ได้จาก http://www.sran.net/Camfrog_Analysis

นนทวรรธนะ สาระมาน
Nontawattana Saraman

0 day Exploit Microsoft Word

ข่าวจาก Infosec.sran.org กล่าวว่า

US-CERT เตือนถึงช่องโหว่ที่สามใน Microsoft Word ที่แตกต่างจากช่องโหว่สองประเด็นก่อนที่มีรายงานก่อนหน้านี้ ช่องโหว่นี้เกิดจาก memory corruption error เมื่อจัดการกับเอกสาร Word ที่ผิดรูปแบบ โดยการหลอกล่อให้ผู้ใช้เปิดเอกสาร Word ที่สร้างขึ้นมาพิเศษ ผู้โจมตีสามารถเอ็กซิคิวท์โค้ดที่ต้องการหรือโจมตีแบบ denial of service ได้

US-CERT เตือนให้ผู้ใช้ Microsoft Word ไม่เปิดเอกสาร Word หรือไฟล์ที่แนบมาพร้อมกับอีเมลที่มาจากแหล่งไม่น่าเชื่อถือ หรือได้รับอย่างไม่คาดหวังจากแหล่งที่น่าถือ และใช้ซอฟท์แวร์แอนตี้ไวรัสสแกนไฟล์ที่แนบมาก่อนเปิดทุกครั้ง

รายละเอียดเกี่ยวกับโค้ดทดสอบช่องโหว่

http://www.us-cert.gov/current/current_activity.html#mswd3vl
http://www.eweek.com/article2/0,1895,2072969,00.asp

เหตุการณ์จริงที่พบ
ใน site หนึ่งที่พบ Exploit นี้
ระบบ SRAN Security Center จับบันทึกได้
เรามาผ่าพิสูจน์ (Forensic) Payload ของ Exploit ตัวนี้กัน

คลิกที่รูปเพื่อดูภาพใหญ่
การจับ SRAN ตาม Signature พบว่า “EXPLOIT Microsoft Office Data Structure Corruption” เป็น Unkown Risk เนื่องจากเข้ากลุ่ม 0 day attacks
ติดตาม Protocol แบบ TCP โดยมีการเชื่อมโยง จาก Source IP port 80 ไปยัง Destination port 2382 คงที่
เมื่อทำการ zoom ลงไปเพื่อดูค่า payload โดยใช้เทคนิค Deep packet Insepection จะเห็นได้ดังนี้
คลิกที่รูปเพื่อดูภาพใหญ่

คลิกที่รูปเพื่อดูภาพใหญ่
คลิกที่รูปเพื่อดูภาพใหญ่
สังเกตว่าค่า Payload เมื่อทำเป็นค่า Binary จะเห็นเหมือนกันคือตามแทบสีน้ำเงินที่ได้ทำไว้ และ Raw Packet จะมีการเรียงตัวตามกรอบสีแดงที่เขียนไว้ ลักษณะเช่นนี้คือ 0 day Exploit Microsoft Word ซึ่ง ณ เวลาที่เขียนยังไม่มี Patch รักษา และมีโอกาสกลายเป็น Worm ได้ในช่วงเวลาอันใกล้

ตรวจจับโดยใช้ การเขียน signature snort สามารถใช้ได้ใน snort 2.4.x – snort 2.6.x

ขอบคุณ Shirkdog ผู้เขียน signature นี้ในวันที่ 14 ธันวาคม 2549 วันเดียวกันที่พบ 0 day นี้
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:”BLEEDING-EDGE EXPLOIT Microsoft Office Data Structure Corruption (unpatched)”; flow:established,to_client; content:”|CF 11 E0 A1 B1 1A E1|”; content:”|00 00 00|”; distance:617; within:3; byte_test:4,>,1677
215,0,relative,little; sid:2003212; rev:1;)

นนทวรรธนะ สาระมาน
Nontawattana Saraman

8 ปี Siamhelp จากวันนั้น ถึง วันนี้


ใกล้จะสิ้นปีอีกแล้วนะครับ .. เวลาสิ้นปีที่ไร ผมมักจะมองย้อนลงไปว่าปีนี้เราทำอะไรไปบ้าง เราทำอะไรให้ส่วนรวมไปบ้าง และเราทำอะไรให้ตนเองไปบ้าง ตนเองในที่นี้ คือ คิดอะไรทำอะไร อย่างที่คิดไว้หรือเปล่า หรือได้แต่คิด ไม่ได้ทำเสียที คิดย้อนกับไปแล้วปรากฏว่าได้แต่คิดเสียมากกว่า
เอาเถอะ ผมเป็นอย่างงี้แหละ ม้าตีนปลายประจำ ถึงอย่างไรเราก็ได้คิดและทำมาบ้างไม่น้อย ถึงแม้จะเป็นเพียงสิ่งเล็กๆ แต่ก็มีประวัติศาสตร์อยู่เช่นกัน
ณ ตอนนี้ย่างเข้าวันที่ 17 ธันวาคม 2549 ผมไม่ลืมย้อนหลังไปในปี 1999 หรือ ปี 2541 ผมได้เปิด Siamhelp ขึ้นมา เป็น Community เล็กๆ ที่ช่วยเหลือคนที่ติดไวรัสทางอินเตอร์เน็ต จากผมคนเดียว รวมตัวกันเป็นกลุ่ม มีอาสาสมัครมาช่วยกัน จัดทำ web site เผยแพร่ความรู้ จัดทำความรู้บนระบบ IRC และทำ Bot (script automate) เพื่อรักษาคนติดไวรัสทาง IRC ดูแล้วล้ำยุคเหมือนกันนะ เพราะแนวคิดอาสาสมัครในยุคนี้ก็ไม่ต่างอะไรกับแนวคิด Wikipedia จนกลายเป็นแนวคิด Web 2.0 ที่ทุกคนมีส่วนรวมกับการสร้างสังคมบน Web site เกิดเนื้อหาและเกิดการกระจายตัวความรู้ ไปทั่วโลก
เช้ามืดวันที่ 17 ธันวาคม 2541 ผมได้นำแนวคิดจากกลุ่ม Nohack (ซึ่งปัจจุบันนี้ แตกวงไปทำพวกโปรแกรม Anti virus หลายๆยี่ห้อไปแล้ว) มาเปิดในประเทศไทย โดยเริ่มต้นที่ IRC server dal.net ปัจจุบันนี้ไม่ทราบยังอยู่หรือไม่ จากนั้นก็กระจายตัวไปที่ Webmaster IRC และต่อกันไปเป็นชุมชน Online ขึ้นมา
The image “http://photos1.blogger.com/x/blogger/4859/3575/200/844222/siamhelp_hr.gif” cannot be displayed, because it contains errors. ปัจจุบัน Siamhelp ไม่มีแล้วนะครับ เนื่องจากตัวแทนกลุ่มหลายคน ทำงานทำการแล้ว ไม่ค่อยมีเวลา และก็สลายไปเอง แต่กลุ่มดั้งเดิม ก็ยังอยู่ในแวดวง IT Security เมืองไทย จากที่เป็นนิสิตนักศึกษา มาเป็น โปรแกรมเมอร์ มาเป็นวิศวะกรระบบ อื่นๆ อีกมากมาย หลากหลายอาชีพครับ จากนั้นได้มีการรวมตัวกันอีกในปี 2546 ช่วงต้นปี จากอดีตกลุ่ม Siamhelp 2 คน และได้จัดทำระบบชื่อว่า SRAN ขึ้นในปีเดียวกัน โดยใช้สัญลักษณ์ แมววิเชียรมาศ เป็น โลโก้ และมีคำเต็มว่า Security Revolution Analysis Network ที่เป็นเช่นนี้ได้ เพราะเรามีความรักในงานด้านนี้ และค้นคว้าหาความรู้ จนกลายเป็นเทคโนโลยีเพื่อการป้องกันภัยทางระบบเครือข่าย ที่เป็นทั้งรูปแบบ Hardware หรือ Appliance จนถึงวันนี้ทีมงานพัฒนา SRAN เกิดขึ้นเกือบ 3 รุ่น แล้วครับ จากเศษกระดาษที่เขียนไว้ จน เป็นความจริงในเชิงพาณิชย์ ถึงแม้อาจไม่โด่งดังมาก แต่สำหรับผมแล้ว รับได้ระดับหนึ่ง ในปีหน้า 2550 8 ปี siamhelp 4 ปี SRAN อย่างน้อยก็มีประวัติศาสตร์ให้ควรจดจำ
The image “http://www.gbtech.co.th/images/sran/SRAN-Anti-Virus/siamhelp_logo_ss.gif” cannot be displayed, because it contains errors. Logo แรก siamhelp ในอดีต ออกแบบโดย Ki_Mi (joy)
Logo SRAN ในปัจจุบัน

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ที่ไหนๆ ก็เล่น P2P

P2P ต้นเหตุทำให้ Network ถ่วม <อ่านเพิ่มเติมได้ที่ http://www.sran.org/index_html/Network_flood>

ตัวอย่างเครือข่ายที่มี Traffic ถ่วม ก็เพราะที่ไหนๆ ก็เล่น P2P

ในหน้าจอระบบ SRAN Securityมีจุดสังเกตที่จะสามารถทราบถึงอาการของเครือข่ายว่ามีการใช้งานข้อมูลอย่างหนาแน่นหรือไม่เราสามารถตรวจดูได้จากหน้า summary

รูปที่ 1 แสดงถึงจำนวนข้อมูลที่รับและส่งบนเครือข่ายคอมพิวเตอร์ ที่เป็นปกติ

รูปที่ 2 แสดงถึงจำนวนข้อมูลที่รับและส่งบนเครือข่ายคอมพิวเตอร์ ที่ผิดปกติ

จะเห็นได้ว่าในรูปที่ 2 มีความหนาแน่นของการรับส่งข้อมูล บนเครือข่ายจำนวนมาก และอาจส่งผลทำให้เครือข่ายคอมพิวเตอร์นั่นทำการรับและส่งข้อมูลใหม่ที่เกิดขึ้น ทำได้ช้าและไม่คล่องตัว

เรามาพิจารณากันว่าเหตุของปัญหาเครือข่ายคอมพิวเตอร์ ที่ทำให้รับและส่งข้อมูล ช้า เกิดจากอะไร

รูปที่ 3 ภาพการใช้โปรแกรม P2P ที่เกิดขึ้นบนเครือข่ายคอมพิวเตอร์ที่มีความหนาแน่นในการรับส่งข้อมูล (คลิกที่รูปเพื่อดูภาพใหญ)่

ภัยคุกคามที่อาจเกิดจากการเล่น P2P นอกจากทำให้ bandwidth ของเครือข่ายคอมพิวเตอร์นั่น เต็มแล้ว ยังอาจส่งผลให้ malware บางชนิดหลุดแถมมากับการ download จาก dark site ได้บางที่ได้เช่นกัน และสำคัญที่สุดการ download โดยใช้เทคโนโลยี P2P มักจะละเมิดลิทธิสิทธิทางปัญญา ไม่ว่าเป็นหนัง ละคร เพลง และอื่นๆ โดยส่วนใหญ่แล้วมักเป็นเรื่องที่ไม่มีประโยชน์กับองค์กรนัก

นนทวรรธนะ สาระมาน
Nontawattana Saraman

FM 99.5 เพลงสากลดีๆ กับ DJ รุ่นเก๋า

ผม แทบไม่ได้ฟังเพลงตามคลื่นวิทยุ เนื่องจากหาคลื่นแบบถูกใจแทบไม่ได้ พักหลัง สัก 3 – 4 ปี จึงฟังแต่คลื่นวิทยุที่เป็นเนื้อหาสาระ ทั่วไปไม่ว่าเป็นคลื่น 96.5 ปกติฟังช่วงวันเสาร์ และ อาทิตย์ และช่วงวันธรรมดา ช่วงเที่ยงๆ , คลื่น 100.5 ฟังช่วงดึกๆ ชอบมากในรายการสวนอักษร ช่วงตีสี่ และคลื่น 101 เป็นต้น
 ช่วงปลายเดือนพฤศจิกายน บังเอิญวิทยุในรถผม จำคลื่นที่บันทึกไว้ไม่ได้ เนื่องจากวันก่อนเปิดไฟไว้ รถแบทหมด เลยต้องหาคลื่นใหม่อีกครั้ง และหมุนไปเจอคลื่นนี้เข้า บรรยากาศเหมือนเจอเพื่อนเก่า เมื่อได้ยินเสียง DJ กลุ่มนี้ มีแนวเพลงสากล ทั้งเก่าและใหม่ พร้อมข้อมูลที่กลั่นจากประสบการณ์ ในคลื่น FM 99.5 ชื่อ The Raido มีนักจัดรายการ มืออาชีพ
DJ ที่จัดประกอบด้วย วิโรจน์ ควันธรรม หัวหอกคลื่นขิงแก่ , มาโนช พุฒตาล ดูและอ่าน ติดตามงานผู้ชายคุณภาพคนนี้มาตลอด , วาสนา วีระชาติพลี เพลงเด็กแนวรุ่นแรก , พิทยากร ลีลาพัฒน์ ข้อมูลดีมากครับ ฟังช่วงวันเสาร์ อาทิตย์ ช่วงบ่ายๆ , เป็นเลิศ หทัยเทียม เพลง Jazz ดีๆ , เดือนเพ็ญ สีหรัตน์ , ณัสรุจน์ แข็งแรง , The Piano และอื่นๆ คุณภาพเพลง และ ข้อมูลสาระเกี่ยวกับเพลงสากล มีครบ ฟังแล้วยิ้มครับ คลื่นนี้ : )


นนทวรรธนะ สาระมาน
Nontawattana Saraman

ออกแบบ SRAN ในปีหน้า 2007

วันหยุดติดต่อกัน 3 วัน คือ เสาร์ อาทิตย์ และ จันทร์ วันหยุดชดเชยรัฐธรรมนูญ ใน 3 วันที่ผ่านมานี้ สมองผมคิดถึงการออกแบบ SRAN ใน Version ใหม่ …
ในปีที่ผ่านมา เราได้เปลี่ยนแปลง SRAN Appliance โดยแบ่งเป็น 2 อุปกรณ์ คือ ที่เป็นแบบ
1. Security Gateway หรือในศัพท์แฟชั่นเรียกว่า UTM (Unified Threat Management) โดยต่อยอดและ comply ใหม่จาก 2 OS ได้แก่ BSD และ Linux โดยใช้ชื่อเรียก Product นี้ว่า “SRAN Wall:
2. Security Center ที่เป็นพระเอกของเราประจำปี สองปีที่ผ่านมา เพราะเป็นลูกผสม ระหว่างระบบ IDS/IPS บวกความสามารถ VA (Vulnerability Assessment) และรวม VM (Vulnerability Management) ในตัว และใช้ชื่อเรียก Product นี้ว่า “SRAN Security Center”

ในปี 2007 ที่กำลังจะถึงไม่กี่วัน ผมคิดว่า จะรวม .. หรือ ทำการเพิ่มความสามารถในตัว SRAN Security Center มี 2 ทางเลือก นั่นคือรวม UTM + IPS + VA +VM หรือ สร้างใหม่บนพื้นฐานโครงสร้างเดิมของ SRAN Security Center
หนักใจเหมือนกัน .. เพราะการรวมหลายฟังชั่นการทำงานบนเครื่องเดียวกัน คงไม่ใช่สิ่งที่ดีแน่ เทียบจาก UTM หลายๆ ครั้งที่ใช้งานพร้อมกันมักจะทำได้ไม่ดีนัก

ผมจึงหันกลับมาคิด ถึงสิ่งที่ควรจะได้รับจากผู้ใช้งาน และพยายามสนองตอบความต้องการผู้ใช้ ถ้าเป็นศัพท์วัยรุ่นก็เรียกว่า “ให้โดนใจที่สุด” ถ้าเป็นอย่างงั้นแล้ว Products ในชื่อแบนด์ SRAN version ใหม่นี้ ต้องมีความพิเศษกว่า และต้องลบความสับสนการใช้เรียกชื่อ Product ผมจึงคิดว่าเราควรจะเปลี่ยนชื่อใหม่ และต้องหาคำว่าโดนใจ แบบไหนที่ทำให้ฟังชั่นการทำงาน SRAN ทำได้แบบ “โดนใจผู้ใช้งานมากที่สุด”
ผมสรุปได้ดังนี้
1. ต้องใช้งานง่าย และไม่ส่งผลกระทบกับระบบอื่น
2. ต้องมีการมองเห็นความผิดปกติที่เกิดขึ้นบนเครือข่ายคอมพิวเตอร์ได้อย่างถูกต้อง
3. สามารถใช้เป็นเครื่องมือในการค้นหา สืบหา และวิเคราะห์ปัญหา ของระบบเครือข่ายได้อย่างถูกต้อง
4. สามารถจัดเก็บ inventory Network/PC ได้แบบมี Data Base ทั้งที่ทำงานแบบ Passive / และติดตั้ง agent
5. สามารถที่ประมวลผล Log ที่เกิดขึ้นในอุปกรณ์ เพื่อทำการเปรียบเทียบให้เข้ากลุ่มของ Compliance หรือ มาตรฐานด้าน IT Security เช่น ISO17799 เป็นต้น
6. ทำการบริหารจัดการ จากศูนย์กลางได้ ทั้งที่ SOC แบบ in site และ SOC แบบ out site
ึ7. สามารถใช้งานกับ SRAN Anti virus ได้ โดยไม่ต้องเสียค่า License Anti virus Software อื่นๆ อาจทำได้มากกว่าที่คิด เช่นนำ NAC มาใช้เพื่อกักเครื่องที่ติดไวรัส และแยกวงให้อยู่อีก VLAN ซึ่งตอนนี้ก็มีแนวทางในการปฏิบัติแล้วเช่นกัน
โดยในช่วงเรียก ผมขอใช้ชื่อ SRAN รุ่นนี้ว่า Fortress ที่แปลว่า ป้อมปราการ , สถานที่ปลอดภัย หรือ ที่มั่น
เรียกชื่อเต็มว่า “SRAN Fortress”
แล้ว SRAN Wall และ SRAN Security Center ล่ะ ?
คำตอบก็คือ SRAN Wall ในปีหน้าจะเป็น CD install ส่วน Hardware สามารถจัดหาได้ตามต้องการ
ส่วน SRAN Security Center จะทำงานบน Data Center หรือ SOC แทน เรียกง่ายๆ ว่าเป็นระบบ Backoffice ด้านหลังภาพ ที่จะทำงานกับ SRAN Fortress
ส่วนรุ่นของ applinace อาจมีการเปลี่ยนแปลงรุ่นใหม่ เฉพาะที่จะเป็น SRAN Fortress นะครับ

ตอนนี้อยู่ในระหว่างการออกแบบ ครับ ระบบหลังบ้าน หรือที่เรียกว่า Backoffice ที่ใช้บริหารจัดการจากศูนย์กลาง อาจตั้งอยู่ที่ SOC ที่ ISP หรือ ใน site ลูกค้าก็ได้ ระบบนี้ผมคิดว่าจะประยุกต์แนวคิด Web 2.0 ที่ทำให้ทุกคนที่ใช้งานมีส่วนร่วมในการเฝ้าระวังภัยบนเครือข่ายของตนเอง และเป็นฐานข้อมูลการสร้างองค์ความรู้ด้าน IT security ในองค์กร หรือผู้รับบริการนั่น

ตอนนี้คงต้องหาชื่อที่เหมาะ และแนวทางที่เป็นไปได้ในทางปฏิบัติมาที่สุด ส่วนการออกแบบอุปกรณ์นี้ จะอยู่ตำแหน่งในเครือข่ายคอมพิวเตอร์ (Network) ผมจะแอบมาเผยแพร่ให้ฟังครั้งหน้า ตอนนี้อยู่ในเศษกระดาษอยู่ อดใจรออีกนิดครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

เหตุของปัญหา(เครือข่ายคอมพิวเตอร)์

ในงานเปิดตัว Cyfence ของ CATTelecom และงาน Netday ที่ มหาวิทยาลัย เกษตรศาสตร์ บางเขน ได้มีการบรรยาย หัวข้อ Sufficient Network Security การสร้างเครือข่ายให้ปลอดภัย อย่างคุ้มค่าการลงทุน และพอเพียง โดยใช้ SRAN
ในงานได้กล่าวถึง การสร้างกรอบความคิด เพื่อแก้ไขปัญหาเครือข่ายคอมพิวเตอร์ อย่างเป็นระบบ โดยใช้หลักพุธศาสนา มาช่วย นั้นคือใช้หลักการแก้ไขปัญหาตาม อริยสัจ 4 ได้แก่
ทุกข์ = ปัญหาระบบเครือข่ายคอมพิวเตอร์
สมุทัย = เหตุของปัญหาระบบเครือข่ายคอมพิวเตอร์
นิโรจ = การแก้ไขปัญหา
มรรค = ทางออก และ สร้างความยั่งยืน

หลักการวิเคราะห์ปัญหาเครือข่าย ผมได้เสนอหลักการคิดแบบ 3 in 3 out พิจารณา ข้อมูล ที่วิ่งเข้าและออก ผ่าน จุดหลัก 3 จุด ได้แก่
Internet , Network , Host in / out

และปัญหาเหล่านี้ อาจจะเกิดจาก ทั้งที่เป็นคน และไม่ใช่คน ทั้งที่เจตนา และ ไม่เจตนา บนความรู้เท่าไม่ถึงการณ์
ที่เป็นคน ก็ได้แก่ พวกนักโจมตีระบบ (Hackers) โดยมีทั้งเจตนา และไม่เจตนา หากไม่เจตนา มักเป็น Script Kiddy ที่ทำการค้นหา Exploit ใหม่ๆ ใน Internet และทำการ scan เพื่อเข้าถึงระบบ แต่ตนเองอาจไม่รู้ตัวว่าได้เข้าถึงระบบไปแล้ว
ส่วนใหญ่ที่ไม่ใช่คน มักเรียกว่าพวก Robot หรือ Botnet โดยเกิดจาก Malware
ดังนั้นการรู้จัก Malware จึงเป็นเรื่องที่ควรศึกษา
ความหมายของ Malware ในแบบฉบับของผม คือ ความไม่ปกติ ที่ สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit

ซึ่งอาจจะเกิดจาก เจตนา ของ Hacker เพียงคนเดียว และส่งต่อความสูญเสียข้อมูลในรวบแบบต่างๆ โดยมีการสะพานเชื่อมต่อคือ Botnet
Botnet ทำให้เกิดภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง
ภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง ได้แก่ Spam (อีเมล์ขยะ) , DoS/DDoS (การโจมตีเพื่อทำให้เครื่องปลายทางหยุดการทำงานหรือสูญเสียความเสรียฐภาพ) , และ Phishing (การหลอกหลวงในโลก Cyber)

ภัยคุกคามที่ไม่สามารถเกิดขึ้นในเองตามลำพัง ต้องอาศัย Botnet ที่อาจรับคำสั่งจาก ผู้ที่เจตนา ใน IRC , IM หรือ การแนบ files ที่หวังผลใน e-mail ซึ่งหากต้องการอ่านข้อมูลเพิ่มเติม ผมเคยเขียนเรื่อง Dark side of Internet

และภัยคุกคามที่เกิดจาก ทั้งเจตนา และ ไม่เจตนา และทั้งที่เป็นคน และ ไม่ใช่คน ล้วนแต่สร้างความเสียหายให้กับเหยื่อ ที่ รู้เท่าไม่ถึงการณ์
เพราะความไม่รู้ เราจึงต้องสร้างความรู้ เพื่อสร้างภูมิต้านทางให้กับ คนอื่น เมื่อเขาได้อยู่บนโลก Online

ตัวอย่างบางตอนที่บรรยายในงาน

นนทวรรธนะ สาระมาน
Nontawattana Saraman
24 / 11 / 49

บรรยายในงานเปิดตัว Cyfence

CAT Telecom จัดงานเปิดตัวบริการใหม่ล่าสุด ‘Cyfence’ บริการการรักษาความปลอดภัยระบบเครือข่ายเทคโนโลยีสารสนเทศ ในวันอังคารที่ 24 ตุลาคม 2549 เวลา 10.00 น. ณ ห้องบางกอก คอนเวนชั่นเซ็นเตอร์ ชั้น 5 เซ็นทรัล พลาซ่า ลาดพร้าว

ในงานนี้ทางบริษัท Global Technology Integrated ผู้ผลิตเทคโนโลยี SRAN ได้ร่วมบรรยายหัวข้อ Sufficient Network Security บรรยายโดย นายนนทวรรธนะ สาระมาน ผู้จัดการฝ่ายผลิตภัณฑ์บริษัท Global Technology Integrated ในการบรรยายครั้งนี้มีเพื่อสร้างความตระหนักในการ ประยุกต์เทคโนโลยีด้านความปลอดภัยข้อมูลสารสนเทศ นำมาใช้ให้เกิดความคุ้มค่าแก่การลงทุน บนความพอเพียงและเรียบง่าย ซึ่งเป็นแนวคิดที่ทางบริษัทได้มีเจตนาจะเผยแพร่ให้กับทางสาธารณะชนให้เกิดประโยชน์กับสังคมไทยต่อไป
ตัวอย่างการบันทึกการบรรยายคลิกเพื่อดู video ที่รูป
นนทวรรธนะ สาระมาน
Nontawattana Saraman

SRAN Wall กับการทำ Traffic Management

กำหนดการรับส่งข้อมูลบนเครือข่ายคอมพิวเตอร์ โดยใช้ SRANwall

จากเดิม การใช้งานอินเตอร์เน็ททั่วไป ไม่ว่าเป็นการใช้งานที่บ้าน หรือในองค์กร บริษัท จะพบว่าเราไม่สามารถกำหนด การรับส่งข้อมูล ทั้งขาเข้าข้อมูลบนเครือข่าย และ ขาออกข้อมูลบนเครือข่าย หากไม่มีอุปกรณ์ ที่เรียกว่า Network Traffic management ในปัจจุบันทีมพัฒนา SRAN ได้พัฒนาอุปกรณ์ Security Gateway ที่ชื่อว่า SRANwall ได้รวมคุณสมบัติ Network Traffic Management เข้ามาใช้งานได้ เพื่อสร้างความคุ้มค่าแก่ผู้ใช้งานและผู้ดูแลระบบ เนื่องจาก รวมคุณสมบัติการป้องกันหลายๆอย่างในตัว

การติดตั้ง SRANwall เพื่อทำหน้าที่เป็น Network Traffic Management

Shapping

ทำการติดตั้งที่ Gateway ขององค์กร หากมีอุปกรณ์ ISDN/ADSL Router อยู่ ทำการติดตั้งหลังอุปกรณ์ดังกล่าว

คุณสมบัติในการตรวจและบริหารจัดการรับส่งข้อมูลในองค์กร ประกอบไปด้วย

1. ข้อมูล Download/ Upload files

2. Application ที่ใช้งานต่างๆ เช่น

2.1 การรับส่งข้อมูลบน HTTP ( การใช้งาน Web )

2.2 การรับส่งข้อมูลบน SMTP / POP3 / IMAP/ Lotus notes (ใช้งานรับส่ง Mail)

2.3 การรับส่งข้อมูล VoIP

2.4 การรับส่งข้อมูลการสนทนา (MSN , Yahoo, Google talk, ICQ เป็นต้น)

2.5 การรับส่งข้อมูลการใช้ Remote Access (VNC , PC anywhere, RDP เป็นต้น)

3. การรับส่งข้อมูลที่ไม่พึ่งประสงค์ในองค์กร

3.1 การใช้งาน P2P

3.2 การเล่น Games Online

ทั้งหมดที่กล่าวมานี้ ระบบ SRAN Wall “Security Gateway” สามารถควบคุมและจัดการ การใช้งาน การรับส่งข้อมูลเหล่านี้ได้ทั้งหมด จึงอาจกล่าวได้ว่า ทำให้องค์กรที่ใช้งานเกิดความคล่องตัว และใช้งานตามความสำคัญของการรับส่งข้อมูลบนเครือข่ายได้อย่างถูกต้อง

ตัวอย่างการบริหารจัดการข้อมูลเครือข่ายคอมพิวเตอร์ (Case Study)
บน Menu ควบคุม จากระบบ SRAN Wall

ในองค์กร AAA ต้องการใช้เครือข่ายคอมพิวเตอร์ โดยมีความต้องการดังนี้

ควบคุมการระดับความสำคัญการ รับส่งข้อมูลที่ต่ำ

1 . ไม่ให้มีการเล่น P2P ในช่วงเวลาทำงาน

2. ไม่ให้เล่น Games Online ในช่วงเวลาทำงาน

3. กำหนดการรับส่งข้อมูลบนโปรแกรม Chat ระบุที่ MSN เนื่องจากมีคนนิยมใช้สูง

4. กำหนดการเล่น Multimedia

ควบคุมการระดับความสำคัญการ รับส่งข้อมูลที่สูง

1. ให้ความสำคัญ กับการใช้รับส่งข้อมูล ที่เป็น Mail และ Web

2. ให้ความสำคัญ การใช้ VoIP

ผู้ดูแล เมื่อติดตั้ง SRAN wall ในตำแหน่งที่ถูกต้องแล้ว ทำการเปิด Menu ในการควบคุม ผ่าน web interface และ ผ่าน protocol SSL

shaper_1

คลิกที่ Menu ขวามือ เลือก Traffic Shaper
จะปรากฎ Web Wizard ในการควบคุมค่า การรับส่งข้อมูล

shaper_2

กำหนดค่า เริ่มต้น เลือกค่าควบคุมตามต้องการ ในภาพ กำหนด การใช้งานผ่านเครือข่าย LAN ให้ทำการ Download ที่ 128 k/sec และ ในเครือข่าย WAN ให้ทำการ upload ข้อมูลที่ 512k/sec

เมื่อกำหนดค่าเริ่มต้นแล้ว จะเป็นการควบคุมการรับส่งข้อมูลตาม Application เริ่มจาก

เรื่องของ VoIP

shaper_3

กำหนดค่า VoIP โดยสามารถเลือกใช้บริการตามผู้ให้บริการได้ และเลือก Bandwidth ในการรับส่งข้อมูล โดยมีค่าเริ่มต้นที่ 56k – 10M ขึ้นกับอัตราการเรื่องใช้บริการอินเตอร์เน็ทองค์กรนั้น

Application ที่ 2 การกำหนด P2P Networking

shaper_4_P2P

ในส่วน P2P สามารถเลือก Shaping ตามโปรแกรมได้ โดย ระบบ SRANwall รู้จัก P2P ประมาณ 20โปรแกรม ดังนี้

shaper_5_P2P

ตัวอย่างโปรแกรม P2P ที่ SRANwall รู้จัก

Application ที่ 3 คือการควบคุมการรับส่งข้อมูลของ Games Online

shaper_6_Games

ผู้ดูแลระบบเครือข่ายสามารถที่จะเลือกควบคุมการรับส่งข้อมูล ตามชนิดของ Games Online ได้ประมาณ 20 โปรแกรม

ส่วน Application อื่นๆ SRANwall ได้แบ่งเป็นหัวข้อ ดังนี้

– การ Remote Services / Terminal emulation

shaper_7_Application_remote

– Messengers (Chat โปรแกรมสนทนา)

shaper_8_Application_msn

– VPN
– Multimedia / Streaming
– Web
– Mail

shaper_9_Application_program

– Miscellaneous ( ได้แก่ DNS, ICMP, SMB, MYSQL , NNTP , CVSUP เป็นต้น)

เมื่อทำการปรับแต่งค่าตามที่บริษัท AAA ต้องการแล้ว ใน menu ควบคุม SRANwall จึงขึ้นพร้อมทำงาน
shaper_11_config_finish

จบขั้นตอนการกำหนดค่า SRAN Traffic Shaper Wizard

shaper_12_config_finish

รอระบบทำการ Reset ค่า และพร้อมทำงานต่อไป

เท่านี้ ก็สามารถควบคุม การรับส่งข้อมูลในองค์กรอย่างมีประสิทธิภาพ และสะดวกในการใช้งาน

ในระบบ SRANwall ยังมีฟังชั่นการใช้งานอื่นๆอีกมาก จะขอได้ กล่าวในตอนต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

สร้าง NAC (Network Access Control) บน SRAN Wall

ทุกวันนี้ปัญหาระบบเครือข่ายกับเป็นปัญหาภายในองค์กร และกลายเป็นปัญหาสำคัญที่ยากแก่การควบคุม ปัญหาดังกล่าวคือการแพร่ระบาดไวรัสคอมพิวเตอร์ จากภายในเครือข่ายของตนเอง ทั้งที่เกิดจากเครื่อง client ในองค์กร และ เครื่องพกพาได้แก่ PC Notebook ที่สามารถนำไปใช้งานที่บ้าน หรือ ที่อื่นๆ และติดไวรัสคอมพิวเตอร์ หรือสิ่งผิดปกติอย่างอื่นจากนอกวง LAN องค์กร และเมื่อนำมาใช้งานใน LAN องค์กรแล้ว จึงแพร่กระจายไวรัสคอมพิวเตอร์ไปเครื่องอื่นๆในองค์กรอีกด้วย ปัญหานี้ จะแก้ไขได้ก็ต่อเมื่อมีระบบ NAC (Network Access Control) เพื่อเข้ามาควบคุมการลงทะเบียนเครื่องคอมพิวเตอร์ ทั้งเครื่องที่เป็น PC แบบตั้งโต๊ะ และ PC ที่เป็นเครื่องแม่ข่าย รวมถึง Notebook , PDA เป็นต้น วิธีการป้องกันเครื่องพกพาที่นำมาใช้งานในองค์กร เรียกว่า “Endpoint security”

แนวคิด Endpoint Security คือ ปลอดภัยตั้งแต่แรกเข้าสู่ระบบเครือข่าย (LAN) โดยมุ่งป้องกันภัยคุกคามที่อาจจะเกิดขึ้นได้จากเครื่อง

ทางทีมพัฒนา SRAN จึงเห็นภัยคุกคามนี้ เป็นเรื่องสำคัญ เพราะหากแต่เรามาสร้างระบบเครือข่ายให้ปลอดภัยจากภัยคุกคามภายนอกแล้ว ยังไม่เพียงพอ แต่เรายังต้องเอาใจใส่ในเครือข่ายภายในองค์กรของเราอีกด้วย จึงเป็นเรื่องที่ซับซ้อน และ ป้องกันภัยคุกคามในครั้งนี้ยากนัก รวมถึงต้องลงทุนจัดหาเทคโนโลยี เพื่อมาป้องกันภัยคุกคามชนิดนี้อีกด้วย จึงมีแนวทางการแก้ไขปัญหา โดยใช้ระบบที่ชื่อว่า SRANwall ซึ่งเป็น Security Gateway

การสร้าง NAC โดยใช้คู่กับ SRAN Wall ต้องมีอุปกรณ์เสริมดังนี้

  1. SRAN Wall 1 เครื่อง
  2. ระบบ แม่ข่ายตรวจไวรัสคอมพิวเตอร์ (Anti virus Server)
  3. ระบบประเมินความเสี่ยงบนเครือข่ายคอมพิวเตอร์ VA (Vulnerability Assessment)

คุณสมบัติทำ NAC ใน SRAN Wall คือ

  1. การที่สามารถระบุเครื่องที่ทำการต่อเชื่อมระบบ LAN ในองค์กรได้ โดยที่ให้เครื่องมาลงทะเบียนที่ตัว SRANwall
  2. สามารถสร้าง Virtual LAN เพื่อทำการกักเครื่องที่ไม่ได้รับอนุญาตให้เข้าสู่ระบบเครือข่ายได้
  3. ใน Virtual LAN ที่ทำการ กักเครื่อง สามารถ ส่งข้อมูลไปบอกเครื่องแม่ข่ายตรวจไวรัสคอมพิวเตอร์ หรือ ตรวจหาช่องโหว่ในเครื่องได้

ติดตั้งระบบ SRAN Wall ไว้เป็น Gateway ของระบบ และกำหนดค่าดังนี้

ไปที่ Menu NAC และคลิก Captive Portal


ทางผู้ดูแลระบบสามารถเลือกให้ใช้ การ authentication บน User RADIUS Server หรือจะสามารถเลือก add user เครื่องพร้อมค่า MAC address ได้เอง

คลิก pass-through MAC


เพื่อ add ค่า MAC address เครื่อง PC ที่อยู่ในวง LAN

หรือทำการ add user ใน menu users



คลิกที่ menu Allowed IP addresses


คลิกที่เพิ่ม ที่เครื่องหมาย + ใน Web ควบคุม


หรือจะระบุให้เครื่องที่ non- authentication ให้ทำการ scan ไวรัสคอมพิวเตอร์ก่อนถึงจะเข้าสู่ระบบเครือข่ายขององค์กรได้ ก็ตั้งเป็น Direction to …



เมื่อทำการ scan virus ผ่านแล้ว เครื่องปลอดจากไวรัส จึงสามารถเข้าใช้งานในองค์กรได้

หรือจะตั้งค่า Direction to เครื่องที่เป็น VA (Vulnerability Assessment) เพื่อตรวจสอบดูว่ายังขาด patch software และ OS เพื่อให้ update patch เสียก่อนก่อนที่จะเข้าสู่ระบบ LAN ในองค์กร ก็จะทำให้เครื่อง Notebook หรือ PDA ระบบพกพาต่างๆ ปลอดภัยมากขึ้นเมื่อนำใช้กับ LAN ในองค์กร

นอกจากจะสามารถควบคุมการ Access เครื่องในองค์กรได้แล้ว ยังสามารถควบคุมการใช้งาน Wireless LAN หรือพวก Hotspot ได้อีกด้วย โดยใช้หลักการเดียวกันนั้นคือ

หากเครื่องที่ไม่ได้รับ อนุญาติ ก็จะทำการ Redirect ไปที่ URL ให้ลงทะเบียนได้



โดยเราสามารถระบุ content สำหรับ URL ที่ต้องการ Redirection ได้ ตามต้องการ



ทั้งหมดนี้ จะควบคุมเครื่องแปลกปลอม ที่เข้าสู่ระบบเครือข่าย LAN ในองค์กร ได้ หากเราควบคุมเครื่องแปลกปลอมได้ การแพร่ระบาดไวรัสคอมพิวเตอร์ ที่ติดจากที่อื่น และนำแพร่เชื้อในองค์กรจะน้อยลง เครือข่ายคอมพิวเตอร์ก็จะปลอดภัยมากขึ้น


นนทวรรธนะ สาระมาน
Nontawattana Saraman