sran light presentation 2309
TRANSCRIPT
1
2
Pituphong Yavirach
Senior IT Security ConsultantCyber Inspector and Digital Investigator of Service DepartmentGlobal Technology Integrated Co.,Ltd.
Contact
http://www.linkedin.com/in/penguinarmy
http://twitter.com/knoxpix
http://facebook.com/penguinarmy
http://docs.com/@penguinarmy
http://penguinarmy.exteen.com/
http://www.ontflash.com/
Email : [email protected]
Mobile : 08-5551-9113
3
ปญหา ปญหา Virus/worm Virus/worm ทแพรกระจายในระบบเครอขาย ทแพรกระจายในระบบเครอขาย ??
รเครองไมรคน
ร IP ไมรคา MAC Address
ไมรอะไรเลยรคนไมรเครอง
ไมรเครอง ไมรคน แตรวาตดไวรส
ทราบ MAC address ไมรคน
ไมรเครอง สงสยวาเปนคนน
สงสยวาม สงสยวาม Hacker Hacker อยในททำางาน อยในททำางาน
ใครสง ใครสง Spam Spam วะวะ
บรษทเราทำาไมถงตด Blacklist ?
Network ลมบอยบอย
เนตบรษทโครตชาาาา
อยากรสาเหต
Who
WhatWhat
Where
WhenWhen
Why
เนตรวงเปนเรองธรรมชาต
จะร ได ไง
4
หวขอ
สถตภยคกคามทเกดจากการใชงานไอท
สถตภยคกคามทเกดจากคนในองคกร
เหตผลทมระบบเฝาระวงเครอขายองคกร
คณสมบตของ SRAN Light
การตดตงและใชงานทเหมาะสม
SRAN Light ปฏว ต ระบบระบ ต วตนและเฝ าระว งภ ยค กคามเคร อข าย
5
สถตภยคกคามทเกดจากการใชงานไอท
CSI Computer Crime and Security Survey 2008
6
สถตภยคกคามทเกดจากการใชงานไอท
CSI Computer Crime and Security Survey 2008
7
สถตภยคกคามทเกดจากการใชงานไอท
Behaviour Human Threat Statistic
8
สถตภยคกคามทเกดจากคนในองคกร
พบวาสวนใหญแลวผทมความเสยงภยทกอเหตการณอนไมพงประสงค
ลวนแลวแตเปน ผใชงาน (User))
9
สถตภยคกคามทเกดจากคนในองคกร
สาระสำาคญของกฏหมายวาดวยการกระทำาความผดเกยวกบคอมพวเตอร
ทประกาศขนนนคอ “ตองการหาผกระทำาความผดมาลงโทษ”
Log files เปนเพยงเครองมอหนงทใชในการสบสวน และใชในการประกอบคดหาผกระทำาความผดทางคอมพวเตอร
10
เหตผลทมระบบเฝาระวงเครอขายองคกร
Internet, Public Web etc.
Office / LAN Network Your Network
Data Traffic
Your Network
Data Traffic
Your Web site
Internet
Internet
11
เหตผลทมระบบเฝาระวงเครอขายองคกร
ไมมระบบทปองกนได 100%
การปองกนคอการรมความรรทนสถานการณ
SRAN Light
เปนมากกวาการเกบ Log
เราคอระบบเฝาระวงภยคกคามทางเครอขาย
ทระบตวผใชงานได
12
เหตผลทมระบบเฝาระวงเครอขายองคกร
ทางกายภาพมกลองวงจรปดทางระบบไอท ม SRAN Light
ตองอาศยเทคโนโลยทชวยใหรทน
13
เหตผลทมระบบเฝาระวงเครอขายองคกร
14
คณสมบตของ SRAN Light
Monitoring
Analysis
Record
Bandwidth , Protocol
Traffic Data Normal Data Threat Data
Archive Traffic DataSearching and Report
HBW
15
What is HBW ?
Monitoring
Analysis
Record
HBW = Human Behavioural Warning
เปนเทคโนโลยททาง SRAN Technology คดคนขนเพอจดการเชอมโยงพฤตกรรมการใชงานไอทในองคกรกบระบบเครอขายคอมพวเตอร
ซงเทคนคนจะทำาใหเชอมโยงขอมลดงน คอ1. ชอพนกงานในองคกร และแผนกหนวยงาน2. หมายไอพ (IP Address)(3. คา MAC Address4. ระบบปฏบตงาน (Operating System)(โดยไมตองลงซอฟตแวรเพม (Agent less)(
HBW จะทำาใหการระบตวตนในองคกรมประสทธภาพมากขน
16
What is HBW ?
17
Human Behaviour Warning
HBW : >> Inventory and Human Resource
เวลาทพนกงานใชระบบงานไอท
ชอแผนกงานชอพนกงาน
คา IP พนกงานคา MAC Addressของพนกงาน
ระบบปฏบตการของพนกงาน
รปพนกงาน
18
Human Behaviour Warning
HBW >> Real Time Monitoring and Data Tracking
Who
WhatWhereWhen
Why/How
HBW >> Chain of Event
19
Human Behaviour Warning
HBW : >> Identity Theft
ชอพนกงาน
20
คณสมบตของ SRAN Light
Monitoring
Analysis
Record
Bandwidth and Application Protocol
บอกการใชปรมาณขอมลในการรบ-สงขอมล ซงสามารถเลอกดเปนชวงเวลาได
Bandwidth Send – Receive , Data Transfer
Application Send – Receive Web , Mail , Chat UploadDownload , Remote Access
21
การใชงาน SRAN Light ในการสรปภาพรวมระบบเครอขายคอมพวเตอร
1
2
3
4
1สทบงบอกถงภยคกคามทเกดขนบนระบบเครอขาย
2 การใชงาน Protocol ชนดตางๆ TCP, UDP , ICMP , ARP
3 สถตการใชงานขอมลบนระบบเครอขายตามชวงเวลา
4ปรมาณการใชงานทรพยากรเครอง
22
คณสมบตของ SRAN Light
Monitoring
Analysis
Record
Content Analysis
Web : HTTP, HTTPS
Email : SMTP, POP3, IMAP, Web Mail, Lotus Note, POP3S, SMTPS, IMAPS ซงจะดเฉพาะ Subject e-mail ในการรบสง
Messenger : ICQ, MSN, IRC, AIM, Yahoo, ebuddy, Camfrog ใน Mode Chat สามารถควบคมไดวาจะใหแสดงขอความการสนทนาได ซงเปนการปองกนเรองความเปนสวนตวพนกงาน
File Transfer : FTP, TFTP ,Files Sharing (Netbios)F
P2P : napster, GNUtella, DirectConnect, Bittorrent, eDonkey, MANOLITO, Ares, ed2k, kaaza, soulseek และ VoIP ชนด P2P เชน Skype เปนตน
Others : Telnet, Remote Desktop, VNC, Radius
ขอมลทเกดจากการใชงานปกต (Normal Traffic) ไดแก
23
คณสมบตของ SRAN Light
Content Analysis >> Normal Traffic
1
2
24
คณสมบตของ SRAN Light
Monitoring
Analysis
Record
Content Analysis ขอมลทเกดจากการใชงานทไมปกต (Threat Traffic) ไดแก
- ลกษณะการแพรกระจายสงผดปกต เชน Virus/worm , Backdoor , Trojan , Malware , Botnet
- ลกษณะการโจมตในชนดตางๆ เชน DDoS/DoS , Brute force password , buffer overflow
- ลกษณะความผดปกตจากการรบ-สงขอมล เชน Spam การรบ-สงขอมลขยะ , Phishing การรบ-สงขอมลทหลอกลวง, การ อปกรณเครอขายทปลอยสญญาณผดปกต จาก Protocol ICMP , SNMP เปนตน
- ลกษณะการปลอมแปลงขอมล เชน การ Spoof คา MAC โดยใชเทคนค ARP-spoof , Spoof คา DNS เปนตน
25
คณสมบตของ SRAN Light
Content Analysis >> Threat Traffic
1
2
3
26
คณสมบตของ SRAN Light
Content Analysis >> Threat Traffic
1
* 1. ลกษณะเครองทมความเสยงสง เหตการณเครองมลกษณะการตด Backdoor
27
คณสมบตของ SRAN Light
Content Analysis >> Threat Traffic
11
** 1 ปกตการดกขอมล (sniffer) จะเกดขนใน Layer 2 ซงไมสามารถมองเหนคา IP ไดแตดวยเทคนค HBW ของ SRAN Light สามารถทำาใหเหนชอเครองคอมพวเตอรททำาการดกขอมลจากเทคนค ARP spoof ได
28
คณสมบตของ SRAN Light ในการตรวจหาการดกข อม ล (sniffer) ภายในองคกร Management >> Services >> Rules Configuration
กำาหนดคาเพอตรวจจบการดกขอมลในองคกร
กรอกขอมลคา IP ของ Gateway
กรอกขอมลคา MAC Addressของ Gateway
ดวยการกำาหนดคา config เพอทำาใหเมอมการดกขอมลผานเทคนค MITM (Man in The Middle) จากการปลอมแปลงขอมล MAC Address ใหมลกษณะตรงกบ MAC ของ Gateway จะทำาใหอปกรณแจงเตอนหากมคนภายในองคกรไดใชหลกการนเพอดกขอมลได
29
คณสมบตของ SRAN Light
Monitoring
Analysis
Record
การเกบบนทกผานเทคโนโลยทยนยนความถกตองของขอมล (Data Hashing)( ทำาการสบคนยอนหลงได Management >> System>> Data Archive
ระบบ Archive
12
การทำา Data Hashing โดยตรวจคา MD5
30
การตดตง SRAN Light
1. ตดตงแบบเฝาระวงและปองกนเชงลก (Inline mode)mปองกนในระดบ Application Layer ไดเหมาะกบเครอขายขนาดเลก
2.ตดตงแบบเฝาระวงและปองกนทวไป (Transparent mode) การตดตงแบบนสามารถปองกนภยคกคามในระดบ Layer 2 (MAC Address ) Layer 3 (IP Address) Layer 4 (TCP , UDP , Port services) เหมาะสำาหรบเครอขายขนาดเลก และขนาดกลาง
3. ตดตงแบบเฝาระวง (Passive mode) การตดตงแบบนสามารถเฝาระวงภยคกคามและพฤตกรรมการใชงาน เหมาะตดตงในเครอขายขนาดใหญ
31
รน SRAN Light
LT 50
LT 100
LT 500
Storage Disk 250 GBInterface 4 Port GbE (10/100/1000)IMaximum Devices - Passive/Transparent Mode = 50- In-line Mode = 20
Hardware Specification
Storage Disk 500 GBInterface 4 Port GbE (10/100/1000)IBypass mode support
Storage Disk 1024 GB Raid 1/5 Interface 8 Port GbE (10/100/1000)IBypass mode support
Maximum Devices - Passive/Transparent Mode = 100- In-line Mode = 80
Maximum Devices - Passive/Transparent Mode = 500- In-line Mode = 150
32
การตดต ง : นำา SRAN Light เช อมต อระบบเคร อข าย
การตดต งแบบ Inline และ Transparent
การตดต งแบบ Passive
33
การตดต ง : นำา SRAN Light เช อมต อระบบเคร อข าย
34
ระบบบรหารจดการ (Management)(
System
Services
ProtectionIn-line mode and Transparent modeBlock - Layer 2 MAC AddressBlock - Layer 3 IP AddressBlock – Layer 4 TCP , UDP , Port ServicesBlock – URL / Domain
35
การตดต ง : กำาหนดคาการเข าถ งระบบ
เพม User และระดบการเขาถงระบบ
เวลาครงสดทายททำาการ Login
เวลาครงสดทายททำาการ Logoutวนแรกททำาสราง Account
Management >> System >> User Management
36
การตดต ง : กำาหนดคา IP Address และค าเช อมต อระบบเคร อข าย
Management >> System >> TCP/IP Configurationในกรณทระบบเครอขายตอชนดผาน Proxy
คลก Enable
สำาหรบกรณผาน ISA
AD : Active Directory
37
ระบบบรหารจดการ (Management)(
การสงคา Log อปกรณ SRAN ไปยงอปกรณอน สามารถกำาหนดได Management >> Services >> Log Export
การกำาหนดคาความเปนสวนตวManagement >> Services >> Privacyสามารถควบคมการแสดงผลในระดบเนอหา (content) ตามนโยบายขององคกรได ตาม Application Protocol
38
ระบบออกรายงาน (Report)
- รายงานการใชงานปรมาณ Bandwidth ทสามารถเลอกชวงเวลาได
- รายงานการใชงานตาม Protocol ทสามารถเลอกชวงเวลาได
- รายงานภาพรวมการใชงานไอทในองคกร
- รายงานการใชงานไอทตามรายแผนก
- รายงานการใชงานไอทตามรายบคคล
โดยสามารถเลอกรปแบบการแสดงผลในรปแบบไฟล CSV, HTML
ทงยงสามารถออกรายงานผลเพอเชอมโยงระบบมอถอไดผานชองทาง XML
39
Organization Report
ภาพรวมการใชงานไอทในองคกร
40
Department Report
สามารถสรางรายงานไดดงน
- เปน file HTML
- เปน file Excel
- เปน file XML
41
User Report
- HTML
- Excel
- XML
42
ประโยชนทไดรบจากการใช SRAN Light
1. สามารถเกบบนทก Log File และจดเปรยบเทยบใหสอดคลอง พ.ร.บ. วาดวยการกระทำาความผดเกยวกบคอมพวเตอรโดย- ระบตวตนผใชงานได- ระบพฤตกรรมการใชงาน ตามหลก Who (ใคร) What (ทำาอะไร) Where (ทไหน) When (เวลาใด) Why/how (อยางไร))
2. ชวยใหทราบถงพฤตกรรมการใชงาน IT ภายในองคกร โดยเชอมโยง IP Address และ MAC Address เขากบขอมลรายชอพนกงาน ซงสามารถเพมรปพนกงานเขาไปในระบบได พรอมเกบประวตการใชงาน และสามารถเลอกดการใชงานแบบ Real Time Monitoring ผานระบบได
3. สามารถจดเกบคา Inventory
- รายชอพนกงานบรษท (Name)(
- ชอแผนก (Department)(
- ชอระบบปฏบตการของพนกงาน (Operating System)(
- คา MAC Address แตละเครองในองคกร
43
ประโยชนทไดรบจากการใช SRAN Light
4. รายงานผลการใชงานขอมลสารสนเทศ
- รายงานการใชงานปรมาณ Bandwidth ทสามารถเลอกชวงเวลาได
- รายงานการใชงานตาม Protocol ทสามารถเลอกชวงเวลาได
- รายงานภาพรวมการใชงานไอทในองคกร
- รายงานการใชงานไอทตามรายแผนก
- รายงานการใชงานไอทตามรายบคคล
โดยสามารถเลอกรปแบบการแสดงผลในรปแบบไฟล CSV, HTML ทงยงสามารถออกรายงานผลเพอเชอมโยงระบบมอถอไดผานชองทาง XML
44
ประโยชนทไดรบจากการใช SRAN Light
5. เฝาระวงพฤตกรรมการใชงาน โดยสามารถกำาหนด Rule Policy ตามนโยบายบรษทได เพอปองกนการละเมดสทธสวนบคคลของพนกงานในองคกร
6. บนทกขอมลดวยกระบวนการทยนยนความถกตอง (MD5) พรอมทงเรยกดยอนหลงตามวนเวลาทเกบได อยางนอย 90 วนพรอมสงขอมลทบนทกไวเปนเกบในระบบ storage ได
7. นำาเสนอสถตการใชงานรายแผนก รายบคคล ชวยใหการพยากรณการลงทนระบบไอซทในองคกรมประสทธภาพมากขน
45
คำาถามทถามบอยเกยวกบ SRAN Light
1. SRAN Light สามารถสบคนหา พนกงานทกำาลงดกขอมล โดยใช ซอฟตแวรประเภท Sniffer ไดหรอไม
ตอบ : SRAN Light ถกออกแบบมาใชเฝาระวงภยคกคามอกทงยงเกบบนทกขอมลจราจร (Log) ทจำาเปน
การตรวจจบการดกขอมลนน SRAN Light สามารถทำาไดรายละเอยด http://www.sran.net/archives/222
2. หากในเครอขายองคกร มการใชงานแบบ Pool User , Multi-User หลายคนใชเครองเดยวกน
SRAN Light สามารถระบตตวตนผใชงานไดหรอไม
ตอบ : สามารถเกบบนทกขอมลและระบตวตนผใชงานแบบ Pool User , Multi-User ได
ซงรายละเอยดสามารถอานไดท http://www.sran.net/archives/240
3. หากในเครอขายองคกรเปนระบบ DHCP แยก IP ชนด Dynamic แกผใชงาน SRAN Light
สามารถระบผใชงานไดหรอไม
ตอบ : ไดเนองจาก SRAN ไดพฒนาเทคโนโลย HBW ซงสวนนจะชวยในการบนทกคา MAC
กบการเชอมโยงรายชอ User โดยท User ไมตองลงซอฟตแวรใดๆ (Agent less)
46
บร การอ นๆ SRAN
บรการ One Security Services
บรการ Anti-Hacking Services
บรการ IT Forensic Services
บรการ PCI DSS Certification
บรการ SRAN Data Safehouse
47
ใบรบรองคณภาพสนคา (Certification)(
การรบรองมาตรฐาน ISO 9001 : 2008 เลขท 7426661258เปนการยนยนวาผลตภณฑและบรการดานการรกษาความปลอดภยขอมลสารสนเทศ ภายใตเครองหมายการคา SRAN มมาตรฐานคณภาพระดบสากล และรบประกนวากระบวนการวางแผน, การผลต, การดำาเนนงาน และการบรหารจดการ มคณภาพทเชอถอได
ใบประกาศเกยรตคณจากกองบญชาการตำารวจสอบสวนกลาง สำานกงานตำารวจแหงชาต
ซอฟตแวร SRAN ไดรบตราสญลกษณ Thailand Software Yes ภายใตโครงการรณรงคการใชซอฟตแวรไทย (Buy Thai First) ซงเปนความรวมมอระหวางสำานกงานสงเสรมอตสาหกรรมซอฟตแวรแหง ชาต (SIPA) และสมาคมอตสาหกรรมซอฟตแวรไทย (ASTI)(
ผลตภณฑ SRAN ไดรบมาตรฐานฮารดแวรสากล ไดแก FCC , CE , UL และ RoHS เปนฮารดแวรทเปนมตรกบสงแวดลอม
ไดมอบรางวลโลพระอาทตยทองคำาใหกบ องคกรเดนทนำาซอฟตแวรไทยมาใชอยางเปนเลศ
รายละเอยดเอกสารอานไดท http://sran.org/1s