คำถามที่ถามบ่อยเกี่ยว SRAN

ข้อมูลทั่วไปเกี่ยวกับ SRAN Secuirty Center

1. SRAN Security Center คืออะไร มีคุณสมบัติอย่างไร ?

ตอบ : SRAN Security Center คืออุปกรณ์เฝ้าระวังภัยคุกคามเครือข่ายสารสนเทศ และเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Computer Traffic Data) โดยรวม 4 คุณสมบัติไว้ในอุปกรณ์เดียว ดังนี้

1. ระบบตรวจสอบและวิเคราะห์เครือข่ายคอมพิวเตอร์ (Network Monitorting & Analysis System)

2. ระบบตรวจจับและป้องกันภัยคุกคามทางเครือข่าย (Network Intrusion Detection & Prevention System)

3. ระบบบริหารจัดการประเมินความเสี่ยงระบบเครือข่าย (Vulnerability Assessment / Management System)

4. ระบบเก็บบันทึกเหตุการณ์ภัยคุกคาม และข้อมูลจราจรที่เกิดขึ้นบนเครือข่าย (Log Compliance System)

อ่านรายละเอียดเพิ่มเติมและศึกษาข้อมูลผลิตภัณฑ์ คลิกที่นี่

2. ควรติดตั้งอุปกรณ์ SRAN Security Center อย่างไร  เพราะเหตุใด ?

ตอบ : การติดตั้ง SRAN Security Center สามารถทำได้ 3 วิธี คือ

1. การติดตั้งแบบ In-Line โดยวาง SRAN ขวางระบบเครือข่าย ระหว่างอุปกรณ์กับอุปกรณ์ หรือ อุปกรณ์กับระบบเครือข่าย ทั้งที่เป็นเครือข่ายภายใน และข้ามกันระหว่างเครือข่ายภายนอก การติดตั้งแบบ In-Line นี้จะไม่ได้เกี่ยวข้องกับค่า Configuration เดิม ไม่ต้องตั้งค่า Routing, NAT และ Default Gateway ใหม่ ทำให้สะดวกในการใช้งาน ทั้งยังสามารถป้องกันภัยคุกคามและบันทึกข้อมูลจราจร (Traffic Data) ได้ แต่มีข้อจำกัดคือ การติดตั้งแบบ In-Line เหมาะกับเครือข่ายขนาดเล็กเท่านั้น ก่อนพิจารณาติดตั้งจึงต้องคำนึงถึงค่าพื้นฐานในการรองรับอุปกรณ์ และจำนวน Concurrent Session บนระบบเครือข่ายเป็นสำคัญ

หมายเหตุ การติดตั้งแบบ Inline ควรคำนึงถึงระดับการใช้งานบนเครือข่าย และจำนวนเครื่องที่ออกสู่อินเตอร์เน็ท หรือเครือข่ายที่ทำการติดตั้งขวางระบบ ไม่ควรนำ SRAN ติดตั้งขวางระบบในองค์กรที่มีคอมพิวเตอร์เกิน 200 เครื่องเพราะอาจทำให้เกิดปัญหาคอขวดขึ้นกับเครือข่ายได้

2. การติดตั้งแบบ Passive โดยอาศัยความสามารถของอุปกรณ์ Switch ในการส่งข้อมูล (Traffic Data) มายังอุปกรณ์ SRAN Security Center โดยการทำ Mirror Port / SPAN Port บนตัวอุปกรณ์ Switch ในเครือข่าย โดยการ Capture traffic data มาให้อุปกรณ์ SRAN Security Center เป็นวิธีที่ทางบริษัทผู้ผลิตแนะนำให้ใช้ การติดตั้งแบบนี้เหมาะกับทุกระบบเครือข่าย และไม่ส่งผลกระทบกับเครือข่ายเดิม โดยการ Mirror Port สามารถทำจากอุปกรณ์ Switch ที่สามารถทำ Port Management ได้ หรือหาก Switch นั้นไม่สามารถทำ Mirror port ได้ก็ต้องใช้อุปกรณ์เสริม เช่นอุปกรณ์ในการ TAP Network เพื่อส่งข้อมูลทั้งหมดที่ผ่านเข้าออกระบบเครือข่ายมายังอุปกรณ์ SRAN เป็นต้น

3. การติดตั้งแบบ Transparent โดยวางขวางระหว่างอุปกรณ์เครือข่าย เช่นเดียวกับการติดตั้งแบบ Inline แต่การติดตั้งแบบ Transparent นี้จะไม่สามารถใช้ความสามารถ Intrusion Prevention System (IPS) ได้ กล่าวคือ ไม่สามารถป้องกันเหตุการณ์ตามรูปแบบ Signature ได้ แต่สามารถทำการบล็อค IP, MAC ADDRESS ได้ เหมาะสำหรับเครือข่ายที่ Switch ไม่สามารถ Mirror Port / SPAN Port ได้ และไม่ต้องการให้เกิดผลกระทบต่อทรูพุต (Throughput) ของเครือข่ายเหมือนกับการติดตั้งแบบ Inline

3. SRAN Security Center ใช้หลักการใดในการเก็บบันทึกข้อมูลจราจร ?

ตอบ : เทคนิคการเก็บบันทึกข้อมูลจราจรของ SRAN Security Center นั้น นำ 3 เทคโนโลยีมาใช้ร่วมกัน คือ

1. เทคนิคการทำ Flow Base Collector คือ การตรวจลักษณะการใช้งาน Bandwidth ผ่าน Protocol ICMP , TCP , UDP และ SNMP เพื่อดูลักษณะการใช้งาน ทั้งที่เป็นข้อมูลขาเข้า และขาออกจากระบบเครือข่าย

2. เทคนิคการวิเคราะห์ โดยเปรียบเทียบตามฐานข้อมูล ช่วยให้ทราบถึง Application Protocol ต่างๆ ไม่ว่าจะเป็นการใช้งาน Web , Mail , Chat , Telnet , VNC , Remote Desktop , Upload/Download และ การทำ VoIP ผ่านบางซอฟต์แวร์ ที่อยู่ในฐานข้อมูลของ SRAN

3. เทคนิคการตรวจจับค่า Syslog จากตัวอุปกรณ์ โดยสามารถรับค่า Syslog จากอุปกรณ์ เช่น Router , Firewall , IDS/IPS และ Proxy เครื่องแม่ข่าย เช่น Domain Controller, Proxy Server และ Web / Mail Server ได้ โดยกำหนดค่าตั้งรับ syslog ผ่านอุปกรณ์ SRAN Security Center ซึ่งจะมีอยู่ในรุ่นที่เป็น Hybrid Log Recorder คือ รุ่น SR-L Hybrid ขึ้นไปเท่านั้น

หมายเหตุ : สำหรับ SRAN Security Center ในรุ่นที่ไม่ใช่ Hybrid นั้น Log ที่เกิดขึ้นเป็น Log ที่เกิดจากการใช้งานระบบเครือข่าย ทั้งข้อมูลขาเข้าและขาออก และสามารถตรวจเครื่องลูกข่ายได้ แต่อาจเกิดความเข้าใจผิดใน Log นั้น (False Positive) หากไม่มีการวิเคราะห์เชิงลึก เพราะ Log ไม่ได้เกิดขึ้นจาก Local Host ของอุปกรณ์นั้นๆ โดยตรง

ข้อดีของเทคนิคการเก็บ Log แบบ SRAN

1. ติดตั้งสะดวก ไม่ส่งผลกระทบกับระบบเครือข่ายเดิม

2. ตัดปัญหาการออกแบบ และการติดตั้งระบบ ช่วยลดภาระค่าใช้จ่ายลงได้มาก

3. ใช้เนื้อที่เก็บบันทึกน้อย ด้วยเทคโนโลยีบีบอัดไฟล์ให้มีขนาดเล็ก

4. หลักฐานที่เก็บบันทึกไม่สามารถเปลี่ยนแปลงแก้ไขได้ โดยการทำ Data Hashing ด้วยอัลกอริธึม MD5 จึงเป็นหลักฐานที่เชื่อถือได้ในชั้นศาล

5. แสดงผลด้วยรายงานที่เข้าใจง่าย สะดวกต่อการสืบค้นข้อมูลย้อนหลัง (Data Archive) โดยเก็บบันทึกเป็นรายวัน ตามปฏิทินการใช้งาน พร้อมค่ายืนยัน Log File

6. เก็บข้อมูลจราจรโดยจัดเปรียบเทียบเหตุการณ์ (Correlation Log) ตามมาตรา 5 – 11 ซึ่งสามารถแปลความทางเทคนิคได้ โดยระบุ ใคร ทำอะไร ที่ไหน เมื่อไร อย่างไร ง่ายต่อการประมวลผลและการสืบหาผู้กระทำผิด โดยจัดเก็บข้อมูลไว้ได้มากกว่า 90 วัน

7. สามารถประเมินความเสี่ยงให้ผู้บริหารองค์กรทราบได้ว่ามีเครื่องใดในองค์กรที่เสี่ยงต่อการกระทำความผิดตาม พ.ร.บ.คอมพ์

8. สามารถวิเคราะห์การใช้งานเครือข่าย ทำให้ทราบว่าพนักงานในองค์กรใช้เครือข่ายไปในลักษณะใด ผิดประเภทหรือไม่

ศึกษารายละเอียดเพิ่มเติมเกี่ยวกับการอ่านค่า Log จาก SRAN คลิกที่นี่

กรณีศึกษาการใช้ SRAN วิเคราะห์จาก Log ตอนที่ 1

กรณีศึกษาการใช้ SRAN วิเคราะห์จาก Log ตอนที่ 2

4. Hybrid Log Recorder มีการทำงานอย่างไร ?

ตอบ : Hybrid Log Recorder เป็นการผสมผสานระหว่างเทคโนโลยี NSM (Network Security Monitoring) กับการรับค่า syslog จากอุปกรณ์ภายในเครือข่าย ขยายความได้ว่า
1. ในระดับ Internet และ Border Network ตรวจจับข้อมูลขาเข้าและขาออกโดยใช้เทคนิค Flow Base Collector และ เทคนิค Passive log จากเทคโนโลยี IDS/IPS
2. ในระดับ Host / user ตรวจจับลักษณะการใช้งานตาม Signature Base โดยแยกข้อมูลจราจรปกติ (Normal Traffic Data) และข้อมูลที่ไม่ปกติ (Threat Traffic Data) ออกจากกัน
3. ในระดับเครื่องสำคัญ เช่น Mail server ในองค์กร, Web Server ในองค์กร ทำการส่งค่า syslog มายังอุปกรณ์ SRAN Security Center

จึงเกิดเป็นเทคโนโลยี Hybrid ขึ้น อ่านรายละเอียดเพิ่มเติม คลิกที่นี่

ทำความรู้จัก SRAN Hybrid
การวิเคราะห์ข้อมูลผ่าน SRAN Hybrid

5. จำนวนอุปกรณ์ภายในเครือข่าย ที่รองรับได้สูงสุด หมายความว่าอย่างไร ? หากมี Concurrent มากจะส่งผลอย่างไร ?

ตอบ : เป็นจำนวนเครื่องภายในเครือข่ายซึ่งมีส่วนทำให้เกิด Concurrent ในการติดต่อสื่อสารระหว่างผู้รับและผู้ส่งข้อมูล ทั้งที่เป็นการติดต่อสื่อสารระหว่างเครื่องภายในองค์กร (LAN) เครื่องระหว่างองค์กร (Extranet) และการใช้งานเชื่อมต่ออินเตอร์เน็ต (Internet) เมื่อมี Concurrent มากเกินกว่าที่จะรับได้ ผลที่ตามมาคือ Services ที่ใช้ในการตรวจจับระดับข้อมูลเครือข่าย (Network Traffic) จะหยุดทำงาน หรือเลวร้ายที่สุดคือ เครื่อง SRAN หยุดทำงาน ทั้งนี้ หากติดตั้งแบบ Passive จะไม่ส่งผลกระทบกับระบบเครือข่าย แต่หากติดตั้งแบบ In-Line อาจส่งผลกระทบกับเครือข่ายได้ จึงต้องพิจารณารุ่นผลิตภัณฑ์ที่รองรับ Throughput, Concurrent Session และรองรับการ By pass ของฮาร์ดแวร์เป็นหลัก

6. จำนวน Session ที่รองรับได้สูงสุด หมายความว่าอย่างไร ?

ตอบ : หมายถึงจำนวน Concurrent Session ที่อุปกรณ์ SRAN Security Center แต่ละรุ่นสามารถรองรับได้ โดยรวมการติดต่อสื่อสารทั้งรับและส่งข้อมูล ตามจำนวน session การใช้งาน เช่น คอมพิวเตอร์ 1 เครื่อง สามารถสร้างได้หลาย session ในการใช้งานอินเตอร์เน็ต การเปิดเว็บ จำนวน 1 URL สร้างการเชื่อมโยง session ตามขนาดการตอบรับค่า TCP ซึ่งเกิดขึ้นจำนวน 2 segment TCP Port ต้นทาง และ TCP Port ปลายทาง (Port 80) เบื้องต้นก็เกิดประมาณ 6 session ทั้งการตอบรับ SYN ACK ACK- SYN และ FIN ถึงเกิดการรับและส่งข้อมูลได้ หากเปิดหลาย URL ก็จะมีการติดต่อสื่อสารหลาย session มากขึ้น เป็นต้น

7. การระบุตัวตนของ SRAN Security Center มีหลักการอย่างไร ?

ตอบ : หลักการระบุตัวตนของ SRAN Security Center ประกอบด้วย :

1. การระบุตัวตนการใช้งานเครื่องลูกข่าย โดยอุปกรณ์ SRAN Security Center สามารถทำการ Passive Inventory เพื่อเก็บเป็นคลังข้อมูลการใช้งาน ช่วยให้ทราบถึง ชื่อเครื่องลูกข่าย (Host name), IP Address, ค่า MAC Address และลักษณะการใช้งานตาม Application Protocol อ่านรายละเอียดเพิ่มเติม คลิกที่นี่

2. การระบุชื่อผู้ใช้งานผ่านระบบ Active Directory บน LDAP Protocol สามารถทราบชื่อผู้ใช้งาน หากมีการ Join Domain ผ่านระบบ Windows/Linux Active Directory ได้ อ่านรายละเอียดเพิ่มเติม คลิกที่นี่

3. การระบุตัวตนผ่าน Syslog (สำหรับ SRAN Security Center รุ่นที่เป็น Hybrid) สามารถทราบถึงการใช้งานของ User, ชื่อ User ที่ใช้งาน, รายละเอียดการ Login และความผิดพลาดเกี่ยวกับการระบุตัวตนได้ อ่านรายละเอียดเพิ่มเติม คลิกที่นี่

8. การใช้อุปกรณ์ SRAN Security Center ถือเป็นการดักข้อมูล (Sniffer) ตามมาตรา 8 แห่ง พ.ร.บ.คอมพ์ หรือไม่ ?

ตอบ : Sniffer คือการดักข้อมูลทางระบบเครือข่ายเพื่อนำข้อมูลทั้งหมดมาวิเคราะห์ หรือกระทำการอย่างใดอย่างหนึ่งเพื่อนำข้อมูลไปใช้ประโยชน์ ในทางกฎหมายให้ดูเจตนาเป็นหลัก (อ้างอิงจากคำอธิบายพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ โดย นายพรเพชร วิชิตชลชัย ประธานศาลอุทธรณ์ภาค ๔ ที่เผยแพร่โดยกระทรวง ICT )  หากเป็นการกระทำโดยมิชอบ เช่น ดักข้อมูล Username / Password เพื่อใช้ในทางมิชอบ ก็ถือว่าผู้กระทำการดังกล่าวมีฐานความผิดตามมาตรา 8 แห่ง พ.ร.บ.ฯ

อย่างไรก็ตาม อุปกรณ์ SRAN Security Center ใช้เทคนิคการกรองข้อมูลผ่านทางระบบเครือข่าย ไม่ใช่เทคนิคของ Sniffer เนื่องจากการใช้ Sniffer คือ Dump ข้อมูลทั้งหมดผ่านทางระบบเครือข่าย และเก็บบันทึกทุกเหตุการณ์ แต่ SRAN Security Center ไม่ได้บันทึกหมดทุกเหตุการณ์ เพียงพิจารณาตามหลักห่วงโซ่ของเหตุการณ์ (Chain of event) คือ ใคร, ทำอะไร, ที่ไหน, อย่างไร, เวลาใด เท่านั้น เพื่อให้เพียงพอต่อความต้องการในการหาตัวผู้กระทำผิดมาลงโทษ ตรงตามสาระสำคัญแห่ง พ.ร.บ. ฉบับนี้

SRAN Security Center จึงเป็นมากกว่าอุปกรณ์เก็บบันทึกข้อมูลจราจร แต่สามารถตรวจสอบ และวิเคราะห์หลักฐานที่ค้นพบได้ ตามหลักการสืบสวนสอบสวน เป็นประโยชน์อย่างยิ่งสำหรับผู้ดูแลระบบ ที่ต้องการวิเคราะห์หาสาเหตุ รวมถึงพนักงานเจ้าหน้าที่ และเจ้าหน้าที่ตำรวจ ตลอดจนนายจ้างที่ต้องการทราบถึงพฤติกรรมการใช้งานระบบสารสนเทศของพนักงานในองค์กร

9. SRAN Security Center มีบริการหลังการขายอย่างไร ?

ตอบ : ลูกค้า SRAN Security Center ทุกรายจะได้รับบริการอบรมการใช้งาน โดยไม่เสียค่าใช้จ่ายใดๆ ตลอดจนบริการบำรุงรักษา (MA) ฟรี ระยะเวลา 1 ปี นับจากวันที่ซื้ออุปกรณ์ (ซึ่งลูกค้าต้องทำการ Activate License เพื่อบันทึกข้อมูลเข้าระบบ) โดยบริการ MA นี้ ครอบคลุมการแก้ไขปัญหาที่เกี่ยวข้องกับ Hardware ตลอดจนการ Update ฐานข้อมูลต่างๆ เช่น Firmware, Signature เป็นต้น

ดูกำหนดการฝึกอบรมการใช้งาน SRAN Security Center คลิกที่นี่

10. ต้องการ Activate License Key ต้องทำอย่างไร ?

ตอบ อ่านรายละเอียดการ Activate License Key และการต่ออายุ License Key ได้ที่

คู่มือการ Activate License อุปกรณ์ SRAN

คู่มือการต่ออายุ License อุปกรณ์ SRAN

คำถามเกี่ยวกับการใช้งาน SRAN Security Center

1. อุปกรณ์ SRAN Security Center ไม่ทำงาน ควรทำอย่างไร ?

ตอบ : มีแนวทางการตรวจสอบดังนี้

กรณีติดตั้งแบบ Inline หรือ Transparent ให้ตรวจสอบการใช้ชนิดของสายแลนว่าถูกต้องหรือไม่ เช่น การต่อจากอุปกรณ์ firewall มาที่เครื่อง SRAN  โดยส่วนมากควรใช้สายแลนแบบต่อไขว้ (Crossover Ethernet Cable)ไม่ใช่แบบต่อตรง (Straight-Through Ethernet Cable)
กรณีติดตั้งแบบ Passive อาจเกิดจากการติดตั้งสาย LAN ไม่ถูกต้อง เช่น Mirroring หรือ SPAN Port ผิด ทำให้ดึงข้อมูลผิด Port ให้ดูวิธีการติดตั้งจากคู่มือให้ถูกต้อง หรือการส่งค่าของข้อมูลออกเพียง TX หรือ RX มาอย่างใดอย่างหนึ่งมิได้ หาก Proxy เป็น ISA เนื่องจากเครื่อง SRAN จะติดว่าใส่รูปแบบไม่ได้ เช่น \domain\user@pass ซึ่งยังไม่ Support การ Authen แบบนี้ แนะนำให้ Config ที่ ISA ว่าอนุญาติให้ IP เครื่อง SRAN ออกข้างนอกได้เลย หรือกรณีไม่อยากให้ออกทุก Protocol ก็แจ้งให้อนุญาติออกไปข้างนอก Port 21, 80, 443 เป็นต้น

2. ติดตั้ง SRAN แบบ Inline แล้วทุกเครื่องออก Internet ไม่ได้

ตอบ : มีแนวทางการตรวจสอบดังนี้

  • ให้ทำการตรวจสอบในหน้า Management –> Services –> Start/Stop Service ดูว่า Service ของ IDP ทำงานหรือไม่ ถ้าไม่ทำงานให้สั่ง Start Service
  • ให้ทำการตรวจสอบหน้า Management –> Protect ว่าได้ Set ให้ block 0.0.0.0/0 จาก SourceIP หรือไม่ หากใช่ก็จะทำให้ออก Internet ไม่ได้ ให้ลบ Rule นี้ออก

3. ไม่สามารถเข้าไป Monitor SRAN ผ่านหน้าเว็บได้

ตอบ : จากภายในองค์กร อาจเกิดได้จากหลายสาเหตุ ดังนี้

  • ไม่ได้เปิดเครื่อง SRAN

  • ไม่ได้ใช้ Protocol “HTTPS”

  • ใส่ IP ผิด

  • ไม่ได้ต่อสายที่ Port Manage เข้ากับเครื่องคอม หรือเข้ากับ Switch ในวง Network เดียวกัน

  • ในกรณีที่ต่อตรงเข้ากับคอมพิวเตอร์เครื่องเดียวให้ใช้สาย Cross ดีที่สุด

  • สายที่นำมาใช้ต่อเข้ากับ Port Manage มีการชำรุดหรือขาด

  • ตอน Set IP ใช้วิธี Set ผ่าน Port Console ซึ่งการ Set IP แบบนี้ต้องเข้ามา SAVE ผ่านหน้าเว็บด้วยทุกครั้งในหน้า Management –> TCP/IP Configuration ตรวจสอบ IP ให้ถูกต้อง แล้วกด Save Config

  • ถ้าในกรณีที่เปิดเครื่องแล้วยังไม่สามารถ Monitor SRAN ผ่านหน้าเว็บได้ ให้รอสักครู่ เนื่องจากบางทีเครื่อง SRAN อาจกำลังทำการ Scan Disk อยู่ ซึ่งจะสามารถเห็นได้ถ้าเปิดผ่านหน้า HyperTerminal โดยการต่อที่ Port Console

จากภายนอกองค์กร

  • Firewall ขององค์กรที่ติดตั้ง SRAN ไม่ได้ฟอร์เวิร์ด Port 443 ของ SRAN ออกมาให้หรือ Config Rules Firewall ไม่ผ่าน

4. สังเกตอย่างไรว่า Harddisk ใกล้เต็มหรือไม่ ?

ตอบ เข้าไปดูได้ที่หน้า Management –> Services –> Data Archive แล้วสังเกตุจาก Total ว่าใช้ไปกี่ % โดยที่

  • ส่วน /backup คือ ส่วนที่ใช้ในการเก็บ Log
  • ส่วน /sran คือ Partition ในส่วนของตัวระบบ

5. หากพบว่า Harddisk ใกล้เต็ม (ส่วน /backup) ควรทำอย่างไร ?

ตอบ : ทำการสำรองข้อมูล Log โดยการ Export Log ออกมาเก็บไว้ภายนอก โดยเลือกที่ Management –> Services –> Log Export เลือก Enable ใส่ IP Address ที่จะเก็บ Log สำหรับ Backup จากนั้นตั้งชื่อ Share Directory ให้ตรงกับ Folder ของเครื่องที่ใช้ Backup Log โดยต้องกำหนดค่าให้ Share Folder ของเครื่องที่ใช้ Backup Log ด้วย

6. ทำไมปริมาณ HDD ที่เห็นจึงมีไม่ครบตามที่กำหนด ?

ตอบ : เพราะไฟล์ส่วนหนึ่งจะถูกใช้ในการแบ่งระบบ จะเป็นลักษณะเหมือนกับพวก Flash Drive ที่ซื้อมา 1 GB แต่มีเนื้อที่จริงๆแค่ 954 MB เท่านั้น

7. ทำอย่างไรหากต้องการดู Log ย้อนหลัง ?

ตอบ : เข้าไปดูได้ที่หน้า Management –> Services –> Data Archive  เลือกวันที่ที่ต้องการดู Log ย้อนหลัง ที่ปฏิทินทางด้านข้าง

8. Log ขนาดใหญ่ เปิดดูไม่ได้ ต้องทำอย่างไร ?

ตอบ : ในขณะที่ตัวอุปกรณ์ กำลังทำงานอยู่นั้น อาจเกิดปัญหาเปิดดู log ย้อนหลังได้ช้า เนื่องจากในขณะที่กำลังทำงาน ตัวอุปกรณ์ก็ได้บันทึกเหตุการณ์ใหม่ๆ ลงไปด้วย SRAN จึงได้พัฒนา SRAN Viewer เพื่อเพิ่มความสะดวกในการวิเคราะห์ Log และอ่าน Log File ขนาดใหญ่ (500 MB ขึ้นไป) โดยสามารถดาวน์โหลดโปรแกรม SRAN Viewer และศึกษาคู่มือการใช้งานได้ คลิกที่นี่

9. ทำไมเปิด log จากปฏิทินใน Data Archive แล้วไม่มีอะไรเกิดขึ้น ?

ตอบ : อาจเกิดจาก 2 สาเหตุ คือ

1. ไฟล์ของ Log ที่เปิดมีขนาดใหญ่มาก อาจต้องใช้เวลานานสักหน่อย ซึ่งสามารถ Export Log ออกมาเปิดที่โปรแกรม SRAN Viewer ได้

2. การเปิด Log files มีลักษณะเป็นการ pop up ของ browser ต้องดูว่า browser ที่ใช้มีการ Block pop up หรือไม่ ถ้ามี ต้องปลดออกไม่ให้ Browser นั้น Block pop up

10. เวลาในเครื่อง SRAN ไม่ตรงตามเวลามาตรฐาน ?

ตอบ : ให้ตรวจสอบที่หน้า Management –> System –> Time Setting

  • ในช่อง NTP Server ให้ใส่ว่า “time1.nimt.or.th time.navy.mi.th” แล้วกด Update Now
  • แต่ถ้าภายในองค์กรมี Time Server แล้วในช่อง NTP Server ให้ใส่เป็น IP ของ Time Server ภายในองค์กรแทน
  • ทดสอบเปลี่ยนค่าวัน เดือน ปี และเวลาในช่องบรรทัด Enter New Time แล้วกด Update Time หลังจากนั้นสังเกตจากบรรทัดบนค่าของวัน เดือน ปี และเวลาจะเปลี่ยนไปตามที่ Set ไว้ (ถ้าเวลาไม่เปลี่ยน อาจเกิดจากปัญหาที่ตัวอุปกรณ์) ต่อไปที่บรรทัด NTP Server ให้กรอกค่าตามที่กำหนดแล้วกด Update Now
  • ถ้ายังไม่ได้อีกแสดงว่าเครื่อง SRAN ไม่สามารถต่อออก Internet ได้ ทำให้เวลาไม่สามารถไป Sync กับ Server ภายนอกได้ ซึ่งวิธีตรวจสอบว่า SRAN ออก Internet ได้หรือไม่ คือเข้าไปที่ Management –> License จะต้องแสดงช่องให้ใส่ License Key ถ้าใช่แสดงว่า SRAN สามารถออก Internet ได้

อ่านรายละเอียดเพิ่มเติม คลิกที่นี่

11. Register หน้า License ไม่ได้ ?

ตอบ : อาจเกิดได้จากหลายสาเหตุ ดังนี้

  • เครื่อง SRAN ไม่สามารถต่อออก Internet ได้
  • ในหน้า set IP ไม่ได้กำหนดค่าที่ถูกต้อง
  • กรณีที่ในองค์กรมี Proxy ต้องระบุค่าลงไปให้ครบถ้วนด้วย
  • ติด Rules Firewall ภายในองค์กร

12. Payload ของ SRAN Viewer เป็นข้อความที่ไม่สื่อความหมาย สามารถ Encode ให้อ่านออกได้หรือไม่ ?

ตอบ : SRAN Viewer ยังไม่สามารถแปลงรหัสภาษาของ Payload นอกเหนือจากภาษาอังกฤษ

13. Payload ของอุปกรณ์ SRAN เป็นข้อความที่ไม่สื่อความหมาย (เป็นแบบอักษรสี่เหลี่ยม) อ่านไม่ออก

ตอบ : Payload บางอย่างสามารถอ่านเป็นคำๆ ได้ บางอย่างก็ไม่สามารถอ่านได้ ตัวอย่างที่อ่านได้เช่น HTTP Get , HTTP Post , Chat ถ้าไม่สามารถอ่านข้อความได้ให้ไปปรับ Encoding ที่ Web Browser

  • ใน Internet Explorer ไปที่ View > Encoding > Thai (Windows)
  • ใน Firefox ไปที่ View > Character encoding > Thai เช่นกัน
    สับไปมาระหว่าง Thai , UTF-8

14. หน้าจอ LCD ไม่แสดงผล เกิดจากสาเหตุใด ?

  • หน้าจอ LCD เป็นส่วนที่แสดงผลเป็นตัวสุดท้าย ต้องใช้เวลาระยะหนึ่ง แต่หากพบว่าหน้าจอไม่แสดงผลจริงๆ ให้ทำการ restart เครื่องใหม่ หน้าจอจะกลับมาแสดงผลตามปกติ
  • หน้าจอ LCD เสีย ให้สังเกตว่าไฟเข้าอุปกรณ์ตามปกติ แต่หน้าจอไม่ทำงาน แม้ได้ restart เครื่องแล้ว

15. Syslog ไม่สามารถรับ Log จากบางอุปกรณ์ ?

ตอบ : เนื่องจากอุปกรณ์ที่ส่ง Log มาให้อุปกรณ์ SRAN นั้นจำเป็นต้องส่งมาที่โปรโตคอลของ Syslog เท่านั้น ถ้าเป็นโปรโตคอลอื่นๆจะไม่สามารถรับ Syslog ได้

16. Hard Disk ในส่วนของ Backup Log เต็มส่งผลให้ SRAN หยุดเก็บ Log ทุกอย่าง ?

ตอบ : ใน Firmware Version ใหม่ จะมีการแจ้งเตือนเมื่อมีการใช้งาน Harddisk ไป 80% แล้ว ส่งไปที่อีเมล์ของ Admin ซึ่ง Admin ควร Backup Log ไว้ก่อนทำการลบทิ้ง อย่างไรก็ตามอีเมล์ที่ส่งไปอาจเข้าไปอยู่ใน Folder Junk Mail ผู้ดูแลระบบควรหมั่นตรวจสอบ Folder นี้ และกำหนดค่าอีเมล์ที่มาจาก SRAN เป็นอีเมล์ปกติ (Not Junk) เพื่อให้อีเมล์แจ้งเตือนครั้งต่อๆ ไปส่งถึง Inbox ของผู้ดูแลระบบโดยตรง

17. บางสภาวะไม่สามารถเปิดให้ทางทีมงานของ Global Tech ล็อกอินเข้าที่เครื่อง SRAN ได้ เนื่องจากลูกค้าไม่มี Link Internet เพราะถูกควบคุม Policy บน Firewall จาก IT Admin ที่อยู่ต่างประเทศ

ตอบ : วิธีแก้ไขคือ อาจจะให้ลูกค้าใช้โปรแกรมสำหรับการ Remote เช่น Logmein หรือ TeamViewer ลงในเครื่องที่สามารถติดต่อกับเครื่อง SRAN ในองค์กรของลูกค้า เพื่อให้ทางทีมงานของ Global Tech สามารถทำการ Remote เข้าไปแก้ไขอุปกรณ์ SRAN ได้

18. สรุปปัญหาที่พบจากการติดตั้งอุปกรณ์ SRAN และแนวทางแก้ไข

ตอบ : ปัญหาในการติดตั้งส่วนใหญ่มาจากการติดตั้งแบบวางขวาง ทั้งในโหมด Inline และ Transparent ส่วนการติดตั้งแบบ Passive ไม่ค่อยพบปัญหาเท่าใดนัก

  • ตัวอย่างปัญหา เช่น ลูกค้าที่มีการใช้งาน Proxy และไม่สามารถติดตั้ง SRAN แบบ Passive ได้ เนื่องจากอุปกรณ์ที่มีอยู่ของลูกค้าไม่รองรับการทำ Mirror Port หรือ Span Port เมื่อทำการติดตั้ง SRAN ที่ตำแหน่งหลัง Firewall หน้า Switch อุปกรณ์ SRAN จะไม่สามารถเก็บข้อมูลการใช้งาน http (การใช้งานเว็บ) ของลูกค้าได้ จะเห็นเพียง Proxy ติดต่อกับภายนอก แต่หากติดตั้ง SRAN โดยวางขวาง Proxy จะสามารถเก็บข้อมูลในส่วนของ http ได้อย่างเดียว
  • วิธีแก้ปัญหาคือ ใช้อุปกรณ์ Network Tap ที่สามารถทำ Mirror Port แบบ Many To One ได้ มาเสริม เช่น อุปกรณ์ของบริษัท Net Optics ซึ่งสามารถใช้แก้ปัญหาเหล่านี้ได้เป็นอย่างดี

สอบถามข้อมูลเพิ่มเติม ติดต่อได้ที่ โทร. 02-982-5445 หรืออีเมล์ : supports at gbtech.co.th

เกร็ด พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

1. พ.ร.บ.ฉบับนี้ คือ “กฎหมายว่าด้วยการบังคับให้เก็บ Log File” จริงหรือ ?

ตอบ เป็นความจริงเพียงครึ่งหนึ่ง เพราะวัตถุประสงค์หลักของกฎหมายฉบับนี้ คือ ป้องปรามมิให้ผู้ใดใช้เทคโนโลยีสารสนเทศไปในทางที่ทำให้ผู้อื่นเกิดความเสียหาย และได้ระวางโทษไว้ทั้งจำและปรับ แต่ด้วยความที่ พ.ร.บ.ฉบับนี้เกี่ยวข้องกับเทคโนโลยีสารสนเทศ หลักฐานต่างๆ จึงอยู่ในรูปของข้อมูลอิเล็กทรอนิคส์ หรือใช้ศัพท์ว่า “ข้อมูลจราจรทางคอมพิวเตอร์ (Computer Traffic Data)” ซึ่งเป็นหลักฐานที่จำเป็นในการสืบสวนหาผู้กระทำความผิด แต่ปัญหาก็คือหลักฐานประเภทนี้ถูกทำลายหรือดัดแปลง ตกแต่ง ได้ง่าย กฎหมายจึงต้องบังคับให้มีการเก็บหลักฐานที่สามารถพิสูจน์ได้ว่าข้อมูลนั้นๆ จะไม่ถูกดัดแปลง หรือแก้ไข

2. ผู้ใดมีหน้าที่ต้องเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Log File) ?

ตอบ กฎหมายกำหนดให้ “ผู้ให้บริการ” มีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ของ “ผู้ใช้บริการ”

ผู้ให้บริการ คือผู้ที่เปิดให้บุคคลอื่นเข้าสู่อินเตอร์เน็ต หรือให้บุคคลติดต่อกันได้ผ่านระบบคอมพิวเตอร์ ได้แก่ หน่วยงานทั้งภาครัฐและเอกชน, โรงพยาบาล,โรงแรม, ร้านอินเตอร์เน็ต, อพาร์ทเม้นท์ และอื่นๆ ที่มีเครือข่ายคอมพิวเตอร์ หรืออินเตอร์เน็ต ไม่ว่าจะมีสายหรือไร้สาย

อีกมุมหนึ่งคือ ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์ของบุคคลอื่น เช่น ISP เป็นต้น

ผู้ใช้บริการ คือ บุคคลที่เข้ามาใช้บริการของผู้ให้บริการ ไม่ว่าจะเสียค่าใช้จ่ายหรือไม่ก็ตาม ได้แก่ พนักงานในองค์กร, ลูกค้า, ผู้พักอาศัย เป็นต้น

3. เก็บ Log File อย่างไร จึงสอดคล้องตามมาตรา 26 และ 27 แห่ง พ.ร.บ.คอมพ์ ?

ตอบ พ.ร.บ.กำหนดให้ “ผู้ให้บริการ” ต้องเก็บรักษาข้อมูลของ “ผู้ใช้บริการ” เท่าที่จำเป็น เพื่อให้ระบุตัวผู้กระทำความผิด หากเกิดคดีความขึ้นได้ โดยหลักฐานที่เก็บนั้นต้องสามารถพิสูจน์ต่อพนักงานเจ้าหน้าที่/ศาลได้ว่าไม่ได้ถูกดัดแปลง หรือแก้ไข โดยเก็บบันทึกไว้ไม่ต่ำกว่า 90 วัน นับจากวันสุดท้ายที่ใช้บริการ

ทั้งนี้ การเก็บ Log File “เท่าที่จำเป็น” นั้น คือเพื่อให้ทราบว่าใคร เข้ามาใช้เครือข่ายคอมพิวเตอร์ กระทำการใด ในช่วงเวลาใด เพื่อเป็นข้อมูลประกอบกับหลักฐานแวดล้อมอื่น ดังนั้น เครือข่ายใดที่มีผู้ใช้งานเพียงไม่กี่ราย ก็สามารถเลือกใช้วิธีจดบันทึกการใช้งานลงบนสมุด ระบุชื่อบุคคล, ช่วงเวลาที่ใช้งาน และเครื่องคอมพิวเตอร์ที่ใช้ ก็ถือเป็นการเก็บหลักฐานที่ไม่ถูกดัดแปลงแก้ไขได้เช่นกัน ไม่จำเป็นต้องติดตั้งอุปกรณ์เก็บบันทึก Log File ให้สิ้นเปลืองแต่อย่างใด

4. ลักษณะใดเรียกว่าการกระทำโดยมิชอบเพื่อดักรับไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ ตามมาตรา 8 แห่ง พ.ร.บ.คอมพ์ ?

ตอบ ประเด็นนี้มักเกิดความเข้าใจคลาดเคลื่อนบ่อยครั้ง โดยเข้าใจว่าอุปกรณ์หรือเทคโนโลยีใดที่มีการจับข้อมูลที่วิ่งอยู่บนเครือข่ายคอมพิวเตอร์ ถือว่าผิดตามมาตรานี้ ซึ่งหากตีความเช่นนี้คงเกิดความวุ่นวาย เพราะทั้ง Firewall, AntiVirus, IDS/IPS, UTM/USM ล้วนเข้าข่ายนี้ทั้งสิ้น เพราะทางเทคโนโลยีอุปกรณ์เหล่านี้ต้องนำข้อมูลที่วิ่งอยู่บนเครือข่ายมาเปรียบเทียบกับรูปแบบต่างๆ ที่ตัวเองมีอยู่เพื่อระบุว่าข้อมูลใดที่ผิดปรกติ เช่นเป็น Virus ประเภทใดเป็นต้น ดังนั้นการตีความจึงต้องดูเจตนาเป็นหลัก เช่น หากบริษัทใดมีระบบใดๆ ดังกล่าวข้างต้น หรือลักษณะการทำงานอย่างนี้ติดตั้งอยู่เพื่อกิจการงานของบริษัทฯ โดยบริษัทฯ เป็นผู้จัดหามาโดยชอบ ถือว่าเป็นการทำโดยชอบจึงไม่เข้าข่ายความผิดตามมาตรานี้ ซึ่งท่านพรเพชร วิชิตชลชัย ประธานศาลอุทธรณ์ภาค 4 ได้อธิบายไว้ว่า “ต้องอย่าลืมว่าการกระทำความผิดตามมาตรานี้ ผู้กระทำได้กระทำไป “โดยมิชอบ” ด้วย ซึ่งหมายถึงการไม่มีอำนาจกระทำ ดังนั้น ถ้าผู้กระทำมีอำนาจที่จะกระทำได้ไม่ว่าโดยกฎหมายหรือโดยการอนุญาตของเจ้าของสิทธิ ผู้กระทำย่อมไม่มีความผิด”

อีกกรณีหนึ่ง หากมีผู้ใช้บริการอินเตอร์เน็ตสาธารณะแล้วถูกผู้ไม่หวังดีดักข้อมูลบางอย่างที่เป็นข้อมูลส่วนตัวไป ก็อาจไม่สามารถอ้างความคุ้มครองตามมาตรานี้ได้ หากข้อมูลดังกล่าวมิได้ถูกเข้ารหัสเพื่อป้องกันการเข้าถึง ซึ่งท่านพรเพชร ได้อธิบายไว้ว่า “การพิจารณาว่าข้อมูลคอมพิวเตอร์ได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้หรือไม่ ต้องพิจารณาจากข้อเท็จจริงว่าลักษณะการส่งข้อมูลคอมพิวเตอร์ดังกล่าวนั้นผู้ส่งต้องการให้เป็นเรื่องเฉพาะตน ไม่ได้ต้องการให้เปิดเผยข้อมูลนั้นแก่ผู้ใดหรือไม่ การพิจารณาว่าข้อมูลคอมพิวเตอร์ใดมีไว้เพื่อประโยชน์สาธารณะจึงต้องพิจารณาจากการมีการเข้ารหัสการเข้าถึงข้อมูลคอมพิวเตอร์ดังกล่าวเพียงใด ดังนั้นจึงไม่ใช่เรื่องที่จะพิจารณาจากเนื้อหาของข้อมูลว่าเป็นความลับหรือไม่ เช่น เนื้อหาของข้อมูลอาจเป็นเรื่องความลับทางการค้า แต่หากผู้ส่งใช้วิธีการส่งที่ไม่มีมาตรการป้องกันการเข้าถึงข้อมูลนั้น ผู้ที่ดักรับย่อมไม่มีความผิด”