Pages

วันพุธ, ธันวาคม 30

ที่ไหนมี Link ที่นั้นมี Bot

นี้เป็นอีกบทความหนึ่งที่สะท้อนให้เห็นว่าไม่มีความเป็นส่วนตัวในโลกอินเตอร์เน็ต
ผมได้ทดลองด้วยตัวเองว่า URL เว็บหนึ่งที่ทำการโพสลงในเว็บไซต์ต่างๆ นั้นจะเกิดอะไรขึ้น ? หลังจากที่เราโพสข้อความเหล่านั้นไป และทำไมผมถึงบอกว่าไม่มีความเป็นส่วนตัวบนโลกอินเตอร์เน็ตนั้น จะเป็นจริงหรือไม่
เรามาลองพิสูจน์ให้เห็นจริงจากการทดลองนี้

step 1 : สร้าง short URL โดยไปที่ http://sran.org ที่เลือกใช้บริการ short URL ของ sran.org ก็เพราะเป็นระบบที่เราสามารถควบคุมการใช้งานได้เองทั้งหมด (เขียนขึ้นจากทีมงาน SRAN Dev) จึงทำให้เรานำมาใช้ในการทดสอบครั้งนี้เพื่อพิจารณาจากข้อสมมุติฐานที่ว่าที่ไหนมี Link ที่นั้นมี bot ได้
โดยเราได้นำ URL http://www.sran.net/archives/341 กลายเป็น http://sran.org/g4
ทำไมต้องทำ Link ก็เพราะต้องการสำรวจ robot ที่เข้ามาตรวจสอบและเก็บเกี่ยวข้อมูลของเรา
ก็เพราะระบบตรวจสอบบน short URL ของ sran.org จะทำให้ทราบถึงแหล่งที่มาของ robot ได้ ถ้าเป็นพวก Web Stats อาจจะไม่เห็น robot ที่เข้ามาเปิดเว็บไซต์เนื่องจาก fingerprint ของ robot มีความแตกต่างจากคนเปิดเว็บมาก

ภาพที่ 1 การสร้าง short URL ที่ http://sran.org



step 2 : ทำการโพสข้อความบน Twitter ไปตอน 10:38 น. ของวันที่ 30 ธันวาคม 2552

ภาพที่ 2 โพสข้อความบน Twitter ที่ account http://twitter.com/SRAN_Lihgt

น่าแปลกผมรอเป็น 10 นาที ข้อมูลบน short URL ที่ทำขึ้นคือ http://sran.org/g4 นั้นไม่ปรากฏ IP จากประเทศไทยคลิกเลย มีแต่ robot เข้ามาดู ก็คงสรุปได้ว่าถ้า account ใน twitter ไหนที่ไม่ดังมากการโพสข้อความลงไปบน twitter นั้นแทบไม่มีเกิดประโยชน์เลย คือ ไม่มีใครเห็นเราบ่นเลย มีแต่ bot ที่คอยเราอยู่ ดังนั้นการที่ใช้ twitter ในเชิงประชาสัมพันธ์แล้วนั้นผมว่าโอกาสมีน้อยมากครับ หรือเรียกได้ว่าอินเตอร์เน็ต โดนเฉพาะ Social Network เป็นเรื่องของความคิดและจินตนาการเสมือน "เราคิดว่าคนอื่นเห็นเรา แต่ในความเป็นจริงเรานั้นโดดเดี่ยว" เหมือนกับ blog ทุกวันนี้มีจำนวนบทความใน blog มากกว่าคนที่อ่าน blog เป็นต้น

step 3 : ดูใน Log ของระบบ short URL

พบข้อมูลดังนี้

คลิกที่รูปเพื่อดูภาพขยาย

ภาพที่ 3 ข้อมูล Log บนระบบ short URL sran.org

จาก Log พบว่า robot ที่วิ่งเร็วสุดและหาข้อความนี้เจอคือ robot จาก amazon.com IP 72.44.49.134 และ 174.129.58.57 ใช้เวลามาถึงเพียง 1 นาที หลังจากที่ข้อความนี้ได้ปรากฏขึ้นบน twitter คือเวลา 10:39 (โพสข้อความตอนเวลา 10:38) เพียง 1 นาทีก็พบว่ามี bot ที่เจอ Link ของเราและเจอข้อมูลของเราแล้ว ชังรวดเร็วมาก

รองลงมาคือ robot จาก google IP 66.249.68.197 ถ้าดูจากเวลาแล้ว robot จาก amazon , google และ microsoft ใช้เวลาเท่ากัน แต่ระบบ short URL ของ sran.org พบ amazon ก่อน แสดงว่าถึงเร็วกว่าเพียงเสี้ยววินาที

robot ที่มาถึงข้อความนี้บน twitter ได้ช้าที่สุดคือ THEPLANET.COM INTERNET SERVICES ใช้เวลา 3 นาทีในการค้นพบข้อความที่ผมได้โพสลง twitter ตอน 10:38 จากภาพที่ 2

สิ่งที่น่าสังเกตตามมาจากการทดลองในครั้งนี้พบว่า
Robot จาก amazon มีมากที่สุด โดยมีถึง 5 ตัว รองลงมาคือ google และ microsoft คืออย่างละ 2 ตัว

และที่น่าศึกษาคือ robot จาก Team Cymru IP 209.176.111.130 เป็น bot ที่น่าสนใจเนื่องจากทีมงาน Cymru ในวงการ IT Security แล้วเป็นทีมที่คอยเฝ้าระวังเกี่ยวกับ IP ที่เป็นบัญชีดำ (Blacklist) จึงใช้วิธีการส่ง robot ออกไปสำรวจข้อมูลในโลกอินเตอร์เน็ตเหมือนดังระบบ search engine ที่ทำการแล้ว เพื่อเก็บข้อมูลมาวิเคราะห์ทีมงานต่อไป ที่บอกน่าสนใจกับการกระทำของ Team Cymru ก็เพราะควรจะนำเทคนิคของทีมนี้ไปใช้ในหน่วยงานด้านความมั่นคงของประเทศไทย โดยผมยินดีให้ข้อมูลเชิงลึกกว่านี้ ..


ข้อสรุปจากการทดลองครั้งนี้พบว่า ทุกครั้งที่เราโพสข้อความที่มี Link ของ URL ในโลกอินเตอร์เน็ตจะมี robot หรือ bot หรือบางทีอาจเรียกได้ว่าเป็นพวก crawler ที่วิ่งไปมาในโลกอินเตอร์เน็ตจะมาเก็บเกี่ยวข้อมูลจากเราทุกครั้งไป ทำให้ผมมั่นใจว่าในโลกอินเตอร์เน็ตนั้นไม่มีความเป็นส่วนตัวแน่นอนครับ
ในอนาคต robot มีจำนวนมากขึ้น ข้อความที่เราโพสกันในอินเตอร์เน็ต ไม่ว่าผ่านเครื่องคอมพิวเตอร์ตั้งโต๊ โน็ตบุ๊ต หรือผ่านมือถือ ข้อความนั้นจะไม่เป็นความลับสำหรับ robot เหล่านี้ และไม่ช้า ข้อความของเราจะถูกค้นหาเจอจากระบบ search engine ตามลำดับ ดังนั้นโลกอินเตอร์เน็ตที่เต็มไปด้วยข้อมูลและเป็นแหล่งที่เราสะสมการกระทำในอดีต การกระทำของเราจะปรากฏให้เห็นต่อสาธารณะได้ในเวลาอันรวดเร็ว ถ้าคิดจะปิดกั้นไม่ให้เผยแพร่ แน่นอนเราต้องพึ่งบารมีของพี่กัน (USA) เพราะระบบ robot ที่ลงทุนสร้างพวกนี้ส่วนใหญ่แล้วมากจากอเมริกาทั้งนั้นเลย ลองสังเกตภาพที่ 3 ดูสิ จะพบว่ามาจากอังกฤษ และสวีเดน ที่เห็นหลุดมาจากภาพ เท่านั้นเอง นอกนั้นมาจากประเทศอเมริกาทั้งสิ้น

หลายคนอ่านจบอาจคิดว่า "เจอแล้วได้อะไรไม่เห็นมีความลับอะไร" ในวันนี้อาจจะพบว่าเป็นเรื่องเล็กน้อย แต่หากอินเตอร์เน็ตได้ถูกใช้กันมากขึ้นล่ะ จะยืนยันได้ว่าหากเรามี profiles เกี่ยวกับพฤติกรรมการใช้งานอินเตอร์เน็ตบน social network มากเท่าไหร่ ข้อมูลของเราก็จะถูกเปิดเผยได้มากขึ้นเป็นเงาตามตัว ผมขอยกสถิติการใช้งานอินเตอร์เน็ตที่สำรวจขึ้นจาก internetworldstats มาให้ดู

ตอนนี้จำนวนคนที่ใช้อินเตอร์เน็ตใน เดือนกันยายน ปี 2009 นั้นมีอยู่ประมาณ 1,733,993,741 คน

ในทวีปเอเชียมีการผู้ใช้อินเตอร์เน็ตสูงที่สุด อาจเป็นเพราะจีนมีประชาชนมากก็เลยสูงกว่าเพื่อน

ที่หยิบเอาสถิติมาให้ดูก็เพราะ ต้องการแสดงให้เห็นว่าการใช้งานอินเตอร์เน็ตมีอัตราที่สูงขึ้นแบบก้าวกระโดดเมื่อไหร่การใช้งานอินเตอร์เน็ตเป็นที่แพร่หลายมากขึ้นจนเป็นส่วนหนึ่งของชีวิตประจำวัน และการใช้งานการทำธุรกรรมต่างๆผ่านโลกอินเตอร์เน็ต ทุกคนที่ใช้ไฟฟ้า ก็ได้ใช้อินเตอร์เน็ต ทุกคนที่ใช้มือถือรุ่นใหม่ก็ต้องออกใช้บริการอินเตอร์เน็ต ทุกคนที่ต้องการโทรศัพท์ทางไกลหรือใกล้ก็ต้องใช้อินเตอร์เน็ต และทั้งหมดหากใช้อินเตอร์เน็ตลองคิดดูว่า robot ที่ผมกล่าวมาจะมีส่วนสำคัญในการเก็บเกี่ยวข้อมูลของเราผู้ใช้งานอินเตอร์เน็ตมากขึ้นแค่ไหน ไม่ว่าจะเป็นเรื่องสถิติต่างๆ การทำการตลาด ตลอดจนถึงความมั่นคง และเรื่องความมั่นคงนี้เองเป็นเรื่องที่ต้องมาหยิบยกให้ความสำคัญมากขึ้น

เรื่องความมั่นคงทางข้อมูลสารสนเทศ หากประเทศใครคิดได้ก่อน เริ่มทำก่อนก็จะได้เปรียบบนสมรภูมิรบแนวใหม่แห่งนี้ ฝากเป็นการบ้านสำหรับรัฐบาลไทยด้วยว่าเราจะส่งเสริมกันอย่างไรให้ประเทศของเราเติบโตแบบยืนด้วยลำแข้งของเราได้เอง และรู้ทันสถานการณ์บนโลกไซเบอร์ได้มากกว่าที่เป็นอยู่ได้

สุดท้ายผมได้ทำ short URL ของ บทความนี้ไปที่ http://sran.org/g5 และกะว่าจะไม่โพสลง twitter ลองดูสิว่าจะมี bot หรือคนจะเข้ามาเจอ Link นี้ก่อนใคร

นนทวรรธนะ สาระมาน
Nontawattana Saraman
30/12/52

ข้อมูลที่
บทความจาก SRAN : ใครอยากทำ short URL แล้วปลอดภัยเชิญทางนี้เกี่ยวข้อง
ข้อมูลเกี่ยวกับ Web Crawler
ข้อมูลสถิติการใช้งานอินเตอร์เน็ต

วันศุกร์, ธันวาคม 11

เพื่อนแนะนำลองใช้ SRAN สิ

บริษัท XYZ ต้องการหาความผิดปกติที่เกิดขึ้นจากการใช้งานไอซีทีในองค์กร เนื่องจาก 2-3 วันมานี้อินเตอร์เน็ตบริษัทช้ามาก จนถึงขั้นที่ทำงานไม่ได้ เหตุการณ์นี้อาจจะเกิดขึ้นกับหลายบริษัทที่ใช้ระบบไอทีและใช้อินเตอร์เน็ตใน การทำงาน ในบริษัทนามสมุมติจึงขอนำมาสร้างความเข้าใจถึงคุณสมบัติ SRAN ที่เป็นมากกว่าอุปกรณ์เก็บบันทึกข้อมูลจากการใช้งานไอที แต่ยังสามารถที่ใช้ในการวิเคราะห์หาความผิดปกติที่เกิดขึ้นจากการใช้งานไอที ภายในองค์กรและการใช้งานอินเตอร์เน็ตได้อีกด้วย จนเกิดเป็นเหตุให้ต้องเล่าผ่านตัวละครนาย ก. ไก่ เรื่องนี้มีชื่อตอนว่า

เพื่อนแนะนำว่า ..

“ลองใช้ SRAN Light มาวิเคราะห์หาความผิดปกติดูดิ๊”

8 ธ.ค 52 เวลา 09:40 นาย ก.ไก่ เป็นผู้ดูแลระบบเครือข่ายคอมพิวเตอร์ให้กับบริษัท XYZ ตัดสินใจเข้าพบผู้อำนวยการฝ่ายไอทีบริษัทฯ หลังจากโทรไปถามผู้ให้บริการอินเตอร์เน็ต (ISP) แล้วไม่พบความผิดปกติจากสายส่งสัญญาณและอุปกรณ์ส่งสัญญาณ (Router) เลยทำการปรึกษาผู้อำนวยการฝ่ายฯ เพื่อที่จะขอเพิ่ม Link Internet เพิ่มจากเดิมจากเดิม 3 Mbps จะขอเพิ่มเป็น 5 Mbps เพื่อขจัดปัญหาที่ระบบงานด้านไอซีทีบริษัทเวลาใช้งานอินเตอร์เน็ตเกิดความ ล่าช้า จนพนักงานภายในเริ่มมีเสียงบ่นกัน

10:00 ก่อนที่นาย ก. ไก่ กำลังง้างมือเคาะประตูห้องผู้อำนวยการฝ่ายไอที ได้มีเสียงโทรศัพท์เข้ามือถือของนาย ก.ไก่ … กริ๊งๆๆ …

นาย ข. ไข่ โทรมาบอกว่า “เพื่อนรัก ในวันพรุ่งนี้จะแนะนำให้เอา SRAN Light ไปติดที่ บริษัทนายดูเผื่อว่ามันจะช่วยได้”

นาย ก.ไก่ คิด (พรุ่งนี้เลยเหรอ xxx่ะ) นาย ก. ไก่ ถามกลับ “แล้ว SRAN มันนี้ตัวเก็บ Log นี้หว่าจะช่วยอะไรได้หว่าาา”

นาย ข. ไข่ ตอบ “นายเคยกินกาแฟ ป่ะเพื่อน SRAN มันก็เหมือน กาแฟ 3-in -1 ไงเพื่อน”

นาย ก.ไก่ ตอบกลับ “มันปรัชญาอะไรเพื่อน อย่างไงเหรอที่ว่า เหมือนกาแฟ 3-in-1″

นาย ข.ไข่ ตอบด้วยความมั่นใจว่า “ด้วยคุณสมบัติอุปกรณ์ ที่มากกว่า 1 อย่างในเครื่องเดียวกัน อีกทั้ง SRAN สำเร็จพร้อมใช้งานเพียงเสียบปรั๊กเสียบสายแลนเพื่อเชื่อมต่อระบบ และ config นิดหน่อยก็พอใช้งานได้แล้ว ก็เพราะ SRAN เป็น Appliance ไง” Appliance คือ Software + Hardware ที่พร้อมใช้งาน

แล้วนาย ข.ไข่ อธิบายเพิ่มว่า “หลายคนเข้าใจผิดว่า SRAN เป็นเพียงอุปกรณ์ในการเก็บบันทึกข้อมูล Log แต่ในความเป็นจริงแล้วคุณสมบติการนั้นเป็นเพียงคุณสมบัติหนึ่งของตัวอุปกรณ์ เท่านั้นเอง คุณสมบัติที่ยังมีอีกหลายส่วนนะ ได้แก่ การเฝ้าระวังภัยและระบุถึงภัยคุกคาม ระบุผู้ใช้งาน IP Address ต้นทางและปลายทางในการติดต่อสื่อสาร ,ระบุค่า MAC Address เครื่องที่ใช้งานได้ด้วยนะ และยังช่วยวิเคราะห์หาความผิดปกติจากการใช้งานอินเตอร์เน็ตนี้แหละเพื่อน แล้วที่เปรียบเทียบเป็นกาแฟ 3-in-1 ก็เพราะต้องการให้เห็นภาพคุณสมบัติที่คุ้มค่าของ SRAN ได้เห็นภาพชัดเจนขึ้นไงเพื่อน”

“อย่าลืมนะว่า SRAN มันย่อมาจากคำว่า Security Revolution Analysis Network คือการปฏิวัติใหม่ของระบบวิเคราะห์ความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ ไม่เห็นต้องเดินตามแนวคิดฝรั่งเลย เราก็คิดประยุกต์เองได้ ขอให้มันเป็นประโยชน์ต่อสังคมออนไลท์ก็แล้วกัน จนเป็น SRAN ทุกวันนี้ไง”

นาย ก.ไก่ ถามกลับ “แล้วภัยคุกคามที่ SRAN มองเห็นนั้น มีอะไรบ้างหว่า”

นาย ข.ไข่ ตอบ “ภัยคุกคามที่เกิดจากการใช้งานไอทีนี้แหล่ะเพื่อน SRAN มันช่วยวิเคราะห์ให้ได้ เชิงลึกด้วยนะเพราะมีเทคโนโลยี Network Intrusion Detection and Prevention ในตัวด้วยมันดูถึงระดับ Layer 2- Layer 7 เชียวล่ะเพื่อนเอ่ย ไม่ว่าจะเป็นปัญหาไวรัสคอมพิวเตอร์นะ แล้วพวกเราไม่รู้ว่าซ่อนเล้นที่เครื่องคอมพิวเตอร์ไหนภายในองค์กร ทำการแพร่เชื้ออยู่นี้ เราก็แค่ใช้ SRAN ค้นหาได้อีกด้วยนะ ไม่เพียงแค่นั้นเพื่อนเอ๊ย SRAN ยังรวมไปถึงการหาผู้กระทำผิดอื่นๆ เช่นการโจมตีชนิดต่างๆ รวมถึงการ Hacking ด้วย มีอีกเยอะลองอ่านดูคุณสมบัติที่ http://sran.org/q ดูนะเพื่อนไม่อยากโม้มากเดี๋ยวลองใช้จริงดูพรุ่งนี้ดีกว่า”

นาย ข.ไข่ ยังกล่าวทิ้งท้ายต่อเนื่องไปอีกว่า “เราว่านะงานนี้ SRAN อาจจะช่วยนายได้นะ ลองดูสิ”

นาย ก. ไก่ “ได้xxx่ะ ถ้าเพื่อนแนะนำ ดูถ้าจะดีเหมือนกัน ลองดูแล้วกัน วันนี้ก็ปล่อยผี ให้คนบริษัทด่าไปก่อนว่าเน็ตช้าาาาา นึกแล้วเซ็งเป็ด”

เช้าวันใหม่ 9 ธ.ค 52 อินเตอร์เน็ตในบริษัท XYZ ไม่ดีขึ้นเลย

และแล้ว เวลา 11:20 นาย ข. ไข่ มาพร้อมเครื่อง SRAN Light รุ่น LT200 มาถึงบริษัท XYZ “โทษทีเพื่อนมาช้าหน่อย ระบบไอทีและการใช้งานอินเตอร์เน็ตบริษัทนายดีขึ้นยัง”

นาย ก. ไก่ ตอบ “มาช้าดีกว่าไม่มานะเพื่อน เน็ตใช้ได้แต่ช้าเป็นเต่าเลย ให้ ISP ที่เราใช้เน็ตอยู่ ตรวจแล้วไม่พบความผิดปกติ ดู Log Firewall บริษัทแล้ว อ่านไม่ออก พยายามแล้ว เห็นน้องคนหนึ่งที่ไปเรียนด้านนี้มาบอกว่าพบแต่ IP Address ภายนอกองค์กรเลยไม่รู้สาเหตุ xxx่ะ Firewall มันไม่ได้บอกว่ามีปัญหาจากอะไรด้วยแหละ นอกจากนี้เราก็ยังดูที่ Log server บริษัทก็ไม่พบไรมากนะ เห็นบริษัทติดตั้ง Log server เขาทำแค่ส่ง Log Authentication จากระบบ Radius Server ของบริษัท เราเห็นแต่ชื่อ User จนดูแล้วก็ เซ่อร์ตามกันไปหมดแล้วล่ะเพื่อนเอ๊ย เห็นบอกว่าส่ง Log มากกว่านั้นมากไม่ได้เดี๋ยวเครื่องเก็บ Log เต็ม ไม่ครบ 90 วันอีก แล้วเดี๋ยวเสียค่า storage เพิ่มอีก เฮ้อออ ชีวิตคนดูแลระบบเครือข่ายคอมพิวเตอร์มันแสนเศร้าอย่างงี้แหละเพื่อน”

นาย ก. ไก่ ยังถามต่ออีกว่า “เออนี้นายมาคนเดียว เหรอ แล้วงี้จะใช้เวลากี่วัน กี่ชั่วโมงในการติดตั้ง SRAN ล่ะเนี้ย!”

นาย ข. ไข่ เลยบอกว่า “SRAN คนเดียวก็พอ เดี๋ยวนายช่วยบอกตำแหน่ง Switch หลักของบริษัทนายทีสิ แล้วพอหาตำแหน่งติดตั้งที่ถูกต้องได้ใช้เวลาแป๊บเดียว เดี๋ยวรู้เรื่อง”

นาย ก. ไก่ ตอบ “Switch บริษัทเรา เป็นรุ่นพ่อขุนฯ นะโบราณมาก ไม่สามารถทำการ Mirror หรือ SPAN port ได้เลย แตะนิดแตะหน่อยอาจถึงขั้นเดี้ยงได้ ”

นาย ข. ไข่ ตอบ “ไม่มีปัญหาเพื่อน SRAN ทำได้ มี Switch ที่ไหน มี SRAN ที่นั้นแหละเพื่อน นำทางไปหน่อยสิ”

นาย ก. ไก่ “นายนี้โชคดีแล้วเพราะเราเป็นคนหนึ่งที่เข้าห้อง Data Center บริษัทได้ ทั้งบริษัทเข้าได้แค่ 3 คน เรามีน้องอีกคนที่เข้าไปช่วยได้ จะให้เรียกไหม” นาย ข.ไข่ ตอบ “ถ้าน่ารัก ก็เรียกมา ยืนให้กำลังใจก็พอ อิอิ”

“เออ … มันเป็นผู้ชายxxx่ะ” นาย ก.ไก่ ตอบ ,, “แป๋วว” นาย ข.ไข่ อุทาน “งั้นไม่เป็นไรเพื่อน SRAN ติดตั้งสะดวก ง่ายกว่าที่คิดเพื่อนเอย” นาย ก.ไก่ กระพริบตา ๆ แล้วคิดว่าอ้ายเพื่อนข้าพเจ้านี้ทั้งโม้ & มอจริงๆ

เวลา 11:40 นาย ข. ไข่ ทำการติดตั้ง SRAN Light แบบ Transparent mode โดยอยู่ตำแหน่งระหว่าง Switch ภายในองค์กรและ Firewall

เวลาผ่านไป 1 นาที นาย ข.ไข่ กล่าว “สายแลนที่ให้มาหัวไม่ค่อยดี ขอสายใหม่นะ” พร้อมแนะนำนาย ก.ไก่ ถึงเรื่องสายแลนอีกตั้งหาก

เวลาผ่านไป 2 นาที นาย ข. ไข่ ติดตั้ง SRAN เรียบร้อย พร้อมต่อเชื่อมกับ โน๊ตบุ๊ค ตนเองเพื่อปรับแต่งค่าเริ่มต้นเพื่อใช้งาน แล้วเปิดบราวเซอร์ไปที่ https://192.168.1.100 ใส่ User / Password แล้วจากนั้นไม่นาน..

“ติดตั้งอุปกรณ์ SRAN เสร็จแล้วเพื่อน” เสียงตะโกนออกจากตู้ Rack ของนาย ข.ไข่ ดังขึ้น แล้วกล่าวต่อว่า “ทิ้งไว้ให้มันอ่านข้อมูลสักพักแล้ว กลับมาดูกันนะ” นาย ก.ไก่ ตอบ “ก็ดีเหมือนกันนี้มันใกล้พักเที่ยงแล้วเดี๋ยวไปหาอะไรกินกันก่อน แถวนี้ร้านอาหารเพียบ อร่อยๆทั้งน้าน” นาย ข.ไข่ ตอบกลับ “แจ่มเลย” นาย ก.ไก่ ถามกลับ “แล้วนายจะกินไรดีวันนี้” นาย ข.ไข่ ตอบ “ข้าว + ไข่ดาว 2 ฟอง!!” โอ้… สมชื่อจริงๆเพื่อน

หลังจากรับประทานอาหารตาและอาหารกายเสร็จ 13:35 นาย ข.ไข่ รีบเข้าไปดูหน้าจอบนโน๊ตบุ๊คตัวเอง ผ่าน Web GUI ของ SRAN https://192.168.1.100 แล้วใส่ User และ password สำหรับเฝ้าระวัง (Monitoring user) ปรากฏว่า

ภาพที่ 1 รูปหน้าแรก SRAN Light หลังจากการเปิดดูข้อมูลผ่าน Web GUI https://192.168.1.100 บนโน๊ตบุ๊คนาย ข.ไข่

นาย ข.ไข่ ถอนหายใจ แล้วชี้นิ้วไปที่รูปลูกศรที่ปรากฏ (สีเขียว ในรูปที่ 1) แล้วกล่าวว่า “เพื่อนรัก นายแหกตาดูนี้สิว่ากราฟสีชมพู ที่บอกปริมาณ Bandwidth มันเต็ม บ่งบอกว่าเครือข่าย (Network) ของบริษัทนายเหมือนคนกำลังจะขาดลมหายใจ หรือหายใจได้ไม่ทั่วท้องเลยนะ”

นาย ก.ไก่ ตอบกลับด้วยความตื่นเต้น “เฮ้ย ก็แน่ล่ะตอนนี้เน็ตมันช้ามาก ถ้านายจะช่วยได้มากกว่านี้ ช่วยระบุว่าปัญหาที่พบให้มันลึกกว่านี้จะได้ไหมเพื่อน”

นาย ข.ไข่ ได้สิเพื่อน สบายมาก

หลังจากที่นาย ข.ไข่ ได้ทำอะไรบ้างอย่างบนอุปกรณ์ SRAN Light สิที่ปรากฏต่อสายตาคือ

จากภาพที่ 2 หมายเลข 1 แสดงถึงช่วงวัน 9 ธันวาคม 2552 เวลาในช่วง 12:59 – 13:59 ส่วนหมายเลขที่ 2 บอกถึงช่วงเวลาอื่น ซึ่งในที่นี้ นาย ข.ไข่ ได้ทำการติดตั้ง SRAN ไปในเวลา 11:40 น. และปล่อยให้ SRAN ทำการบันทึกข้อมูลไปเรื่อยๆ อย่างต่อเนื่อง ในเวลา 13:35 น. นาย ข.ไข่ เข้าระบบ SRAN เพื่อดูข้อมูล และทำอะไรบ้างนั้นในเวลา 13:47 น. ทำให้ Bandwidth ที่เต็มได้ลดลงอย่างรวดเร็ว และทำให้เครือข่ายบริษัท XYZ กลับเข้าสู่สภาวะปกติได้ ..

13:57 น. ของวันที่ 9 ธันวาคม 2552

"โห" เสียงร้องแสดงความประหลาดใจ ของนาย ก. ไก่ ดังขึ้น แล้วกล่าวว่า "Bandwidth ที่เต็มกลับลดลงอย่างรวดเร็ว นายทำไง และมันเกิดอะไรขึ้นล่ะเนี้ย"

"นายใช้เวลาวิเคราะห์ไม่นานก็รู้ถึงสาเหตุ แถมยังทำให้สถานะการณ์ Bandwidth บริษัทกลับมาใช้งานได้ปกติ ถามจริงๆ เถอะว่านายเก่ง หรือ อุปกรณ์ SRAN มันเก่งกันแน่" นาย ก.ไก่ ถาม

"เก่งทั้งคู่แหละ หุหุ" คือ "เครื่องมือดีอย่างเดียวไม่ได้หลอก เทคโนโลยีมันก็ส่วนหนึ่งที่ช่วยให้เราใช้งานในการวิเคราะห์หาข้อมูลได้สะดวก ขึ้น ถ้าใช้งานเป็นนะก็จะมีประโยชน์มาก แต่ถ้าเครื่องมือดีใช้งานไม่เป็นก็เหมือนเดิมล่ะเพื่อนเอ๊ย" นาย ข. ไข่เสริม

นายดูนี้สิ เสียงแนะนำจาก นาย ข.ไข่ "เวลาเราจะดูข้อมูลจราจร (Traffic Log) บนระบบเครือข่ายคอมพิวเตอร์บริษัทนาย แบบวิเคราะห์เชิงลึกนะ เราก็คลิกไปดูที่เมนู Monitor แล้วคลิกที่ Unique Alerts บนหน้าจอบริหารจัดการเครื่อง SRAN ผ่าน IP Management 192.168.1.100 เราก็จะเห็นว่ามีตั้ง 64 ลักษณะการใช้งานบนเครือข่ายคอมพิวเตอร์นายนะ



ภาพที่ 3 เหตุการณ์บางส่วนของลักษณะการใช้งานไอทีบนเครือข่ายคอมพิวเตอร์ XYZ มีทั้งหมด 4 หน้าหยิบมาให้ดู 2 หน้าจาก 64 เหตุการณ์

วิธีสังเกตดูตัวเลข ที่อยู่ด้านหลังชื่อ Signature หรือลักษณะการใช้งาน ตัวไหนที่มีตัวเลขมาก แสดงว่าใช้ข้อมูลเยอะ จึงมีเหตุการณ์เยอะตามไปด้วย ในภาพที่ 3 พบว่ามีการเปิดเว็บ ทั้งที่เป็น HTTP GET , HTTP Post จำนวนมาก และใช้ HTTP ผ่าน Proxy มีจำนวนหนึ่ง จากรูปที่ 3 จะเห็นว่ามีการใช้งาน Chat ผ่านโปรแกรม MSN อยู่จำนวนมากเหมือนกัน นั้นไม่แปลกอะไร แต่ที่มีแปลกๆ ก็มี เช่น บริษัทนายมีคนติดพวก Backdoor อยู่ด้วยนะ และมีพวกที่เป็น Bad traffic (ข้อมูลขยะ) จากรูป ก็มี Spam และ DNS ที่มีการ spoof อยู่ ซึ่ง Bad traffic เช่น DNS Spoof ส่วนนี้อาจจะเกิดจากปัญหาของการเชื่อมต่อ หรือการ config อุปกรณ์ เช่น Router , Firewall ไม่เหมาะสม หรือมีการโจมตีจากภายนอกองค์กรเข้ามา เช่นพวก ผีไม่มีญาติ (ไวรัสคอมพิวเตอร์ที่วิ่งวนเวียนบนอินเตอร์เน็ต) และนี้แหละสิ่งพิเศษที่ SRAN มีมากกว่าการเก็บบันทึกข้อมูลจราจรธรรมดาไง มันแยกแยะประเภทภัยคุกคามให้สำเร็จเลย

พวกนี้ภัยคุกคามที่เจอในบริษัทนายนี้นะ อาจจะเห็นมีเหตุการณ์ไม่มากแต่ก็ประมาทไม่ได้ เหตุการณ์ที่กล่าวมานั้น มันก็มีทุกบริษัทนั้นแหละ ขึ้นอยู่กับว่าจะรู้ทันปัญหาพวกนี้ได้แค่ไหน และมีการรองรับปัญหาเหล่านี้ไม่ให้ปานปลายได้อย่างไรมากกว่า

แต่ตอนนี้บริษัทนาย เรียกว่า Bandwidth เต็ม ก็ที่น่าสงสัยมากที่สุดก็เห็นจะเป็นการใช้งาน P2P นี้สิ มันตัวทำให้ Bandwidth ของบริษัทเต็มได้นะ ดังนั้นเราก็มาคลิกดูว่า P2P มีใครใช้อยู่บ้าง


รูปที่ 4 แสดงถึงการใช้ P2P โปรแกรมเพื่อทำการ Sync หาข้อมูลในการ download ข้อมูล

"เนี้ยไง พบปัญหาที่ทำให้ Bandwidth บริษัทนายเต็มแล้ว" นาย ข.ไข่ กล่าว

"IP : 192.168.1.47 user ชื่อ Nontawatt กำลังโหลด Bittorrent เต็มข้อเลยเพื่อน ลองสังเกต วัน เวลา และพฤติกรรมการใช้งาน IP 192.168.1.47 นี้สิ ณ เวลาที่เรายังไม่ block สิโหลดเต็มๆๆ เลย (คลิกดูที่ 4 เพื่อดูภาพขยาย)"

"เดี๋ยวเรามาค้นหาดูว่าประวัติการใช้งานของ User Nontawatt ดูนะ" นาย ข. ไข่ กล่าวเสริม ส่วน นาย ก. ไก่ กำลังนั่งเกาหัวอยู่ ด้วยความฉงนสงสัย เหมือนอะไรติดที่ปากว่าจะถามอะไรต่อไป ..


รูปที่ 5 ประวัติการใช้งาน User Nontawatt , IP Address 192.168.1.47 , ช่วงวันเวลา ที่ใช้งาน

จากนั้นเราก็เลยทำการปิดกั้น IP Address และค่า MAC Address ที่ต้องสงสัยโดยเข้าไปที่ เมนู Management แล้วคลิก Protect เพื่อปิดกั้นการใช้งาน เมนู Protect ใช้ได้สำหรับการติดตั้ง SRAN เฉพาะแบบ In-line (ป้องกันเชิงลึกได้) และแบบ Transparent (ป้องกัน IP , MAC ได้) ซึ่งตอนนี้เราติดตั้ง SRAN แบบ Transparent เลยสั่งปิด IP 192.168.1.47 ดูปรากฏว่า Traffic บนเครือข่ายคอมพิวเตอร์บริษัทนายลดลงอย่างเห็นได้ชัด ตามรูปที่ 2 (ตอนที่แล้ว)

ภาพที่ 6 ในเมนู Management --> Protect จะมีช่องให้กรอกข้อมูลเพื่อทำการปิดกั้น IP และค่าอื่นๆที่เกี่ยวข้อง ในที่ นาย ข. ไข่ สั่งปิดกั้น (Block) IP 192.168.1.47 ที่คิดว่าเป็นตัวการที่ทำให้ Bandwidth บริษัท XYZ เต็ม

ข้าว่านะงานนี้ Block แxxx่ง MAC Address เลย SRAN Light บอกค่า MAC Address เครื่องนี้มาแล้วนิ เราก็ไปที่เมนู Management --> Protect ---> Block MAC Address สะเลย อิอิ ..

"นี้แหละที่มาทำไมในช่วงเวลาไม่นาน Traffic บริษัทนายลดลงไปเยอะเลย เพราะเราได้ปิดกั้น IP และ MAC Address ตัวนี้ไป" นาย ข. ไข่ กล่าวอย่างภาคภูมิใจ

"สุดย๊ออด" เสียงจาก นาย ก. ไก่

"เออ เรารู้แล้วว่าจะถามอะไรนาย" นาย ก. ไก่ เอ่ยถามต่อ "นายรู้ได้ไง ว่า IP Address นี้ชื่ออะไร ค่า MAC Address อะไร"

นาย ข.ไข่ ตอบ "ก็ SRAN Light มีเทคโนโลยีที่เรียกว่า HBW ที่ย่อมาจาก Human Behavioral Warning เพื่อเชื่อมโยงการเฝ้าระวังภัยคุกคามภายในเครือข่ายองค์กร เข้ากับงานบริหารทรัพยากรบุคคล พร้อมระบบจัดเก็บคลังข้อมูล รายละเอียดอยู่ที่ http://sran.org/q ซึ่งเป็นส่วนที่ทีมงาน SRAN ได้คิดค้นพัฒนาขึ้นมาเองด้วยนะ ไม่เหมือนที่อื่นๆ"

ส่วนเรื่องที่ได้รายชื่อ User ได้มาจาก น้องที่นายแนะนำก่อนทำการติดตั้ง SRAN ไง ที่จะมาให้ช่วยฉันไง ช่วงหลังจากทานข้าวเสร็จ เราขอรายชื่อพนักงานจากระบบ AD (Active directory) มาบังเอิญบริษัทนายมีคนไม่มาก เราก็เลยให้น้องเค้าทำค่า MAC Address มาด้วย โดยวิธีการเปิดไปที่เมนู Management แล้วเข้าไปที่เมนูย่อย System คลิกไปที่ Inventory

ภาพที่ 7 วิธีการเก็บบันทึกข้อมูลรายชื่อ User คลิกไปที่ Management หมายเลข 1 และคลิก System หมายเลข 2 และคลิก Inventory หมายเลข 3 จากนั้นให้ทำการนำ ค่ารายชื่อ User จากระบบ AD (Active Directory) หรือบนระบบ LDAP หรือบนระบบ Radius Server เข้าทำการ Import File โดยชนิด File ที่ใช้ในการ Import เข้าระบบ SRAN นั้นต้องเป็น file ตระกูล .csv


ภาพที่ 8 การ Import ข้อมูลจาก AD (Active Directory) เลือก file ที่จัดทำเป็น .csv เพื่อทำการ Import เข้าระบบ SRAN จะทำให้สามารถอ่านรายชื่อ User เชื่อมโยงค่า IP Address ได้

"ทั้งนี้นะเพื่อน เวลาทำหากยังไม่ได้ค่า MAC Address ก็ให้เราจัดทำใเสร็จเสียก่อน แล้วจึงนำมาใส่ในระบบ SRAN" คำกล่าวจากนาย ข. ไข่ ซึ่งวิธีนี้ทำให้เราเชื่อมโยงเหตุการณ์ ทั้ง IP , MAC Address และรายชื่อ User ได้อีกด้วยนะ

"เออดีจัง แล้ว SRAN ที่นายเอามา มันมีทั้งหมดกี่รุ่นอย่างไงอ่า เพื่อจะได้ขอผู้อำนวยการจัดซื้อดู" นาย ก.ไก่ กล่าว

มีทั้งหมดอยู่ 3 รุ่น แต่ละรุ่นเหมาะสมกับเครือข่ายคอมพิวเตอร์ที่แตกต่างกันไป มีทั้งรุ่นเล็ก กลาง และใหญ่ บริษัทนายมีคนอยู่ประมาณ 150 คน เราแนะนำรุ่น LT200 นะนี้รองรับการใช้งานได้ แต่ทั้งนี้ให้ตัวแทนขายเค้ามาคุยให้ฟังจะดีกว่า เพราะอย่างไงต้องขอพวก Network diagram บริษัทนายไปดูด้วย เผื่อว่าจะได้ติดตั้งอุปกรณ์ได้อย่างเหมาะสมและมีประสิทธิภาพขึ้น

สำคัญว่าเวลาที่ใช้ SRAN เป็นอุปกรณ์ที่ป้องกันภัยด้วย ต้องดูขนาด Throughput ของบริษัทให้ดี การติดตั้งแบบ In-line ทำได้ถึงขั้นปิดกั้นข้อมูลในระดับเชิงลึกเลยนะ ปิดได้กระทั่งต้องการ download file หรือจะให้ chat ได้ หรือเพียงอย่างใดอย่างหนึ่งก็ได้ การติดตั้ง In-line จะป้องกันได้ในระดับ Layer 2 ถึง 7 เลยนะ ถ้าเทียบก็ได้กับระบบ NIPS (Network Intrusion Prevention System) เลยล่ะ แต่การติดตั้ง In-line มีประโยชน์ก็จริง ต้องพิจารณาเรื่อง Throughput ให้มากกว่าการติดตั้งแบบอื่นเพราะอาจเกิดคอขวด หรืออาการล่าช้าขึ้นจากตัวอุปกรณ์ SRAN ได้นะ ไม่งั้นอาจต้องลงทุนหน่อยคือใช้ SRAN เพื่อป้องกันภัยในการติดตั้งแบบ In-line ต้องมีอุปกรณ์เสริมเช่นพวก Netoptics ถ้าสนใจปรึกษาได้ แต่นี้ราคา Netoptics แพงกว่า SRAN อีกนะ

ภาพที่ 9 อุปกรณ์ Netoptics เหมาะกับการใช้งานร่วมกับ SRAN บนระบบเครือข่ายขนาดใหญ่

เราแนะนำว่าให้ติดตั้งแบบ Transparent และ Passive จะดีกว่า ติดตั้งแบบ Transparent ป้องกันระดับ Layer 2 , 3 และ 4 ได้ ส่วนแบบ Passive ไม่สามารถป้องกันได้เหมาะสำหรับการเฝ้าระวังอย่างเดียว

ถ้าเป็นเครือข่ายขนาดใหญ่ต้องให้ผู้เชี่ยวชาญ เขามาประเมินดูว่าจะติดตั้งกี่ตัว และกี่จุด แนะนำนะปรึกษาตัวแทนขาย SRAN ได้ ที่นี้เลย

http://www.gbtech.co.th/th/about-us/partner

"เออ เพื่อน ว่าแต่ว่า ..." เสียงอำ่อึ้งจากนาย ก. ไก่ ดังขึ้น

"User ที่นาย block IP Addess เพื่อปิดกั้นการใช้งานไป นั้นเป็นของหัวหน้าตูเองล่ะเพื่อนเอ๊ย ก็คนนี้แหละ ที่เมื่อวานตูว่าจะไปขอเพิ่มความเร็วเน็ตบริษัท ก่อนที่นายจะโทรมาหาจนได้อุปกรณ์นี้มาเนี้ยไง ครั้งแรกก็ไม่แน่ใจแต่นี้เห็นชื่อ + IP ด้วย ใช่เลยเพื่อน"

นาย ข.ไข่ "เวงกำ" และกล่าวต่อว่า "ผู้บริหารเล่น Bit เสียเอง เอองี้ เอ๊งไปเครียร์กันเองแล้วกันนะ ข้าน้อยขอกลับบริษัทก่อนล่ะ"

นาย ข.ไข่ "น้องที่ส่งข้อมูลรายชื่อพนักงานจาก AD (Active Directory) ให้ชื่ออะไรนะ" นาย ก.ไก่ ตอบเสียงอ่อยๆ เพลียๆ "ชื่อ ค.ควาย"

“งั้นให้น้อง ค.ควาย พาออกจากตรงนี้ที จำทางเข้าไม่ได้” นาย ข. ไข่ กล่าวต่ออีก แล้วนึกในใจว่า “บริษัทอาราย Data Center อยู่ในซอกน้อยๆทางเข้า-ออกซับซ้อนชิบ….”

เวลาผ่านไปสักเสี้ยวนาที นาย ข.ไข่ ได้ออกไปจากห้องไป กว่าที่ นาย ก.ไก่ จะอ้าปากกล่าวประโยคต่อไปว่า

"เฮ้ย อย่าพึ่งไปดิ แก้ block ออกก่อน ตูทำไม่เป็น"

- the end -

"ยังไม่จบ .. พี่ๆๆ พี่ ก.ไก่ อยากเก่งเหมือน พี่ ข.ไข่ ทาง SRAN มีจัดอบรมนะดูรายละเอียดได้ที่ http://www.gbtech.co.th/th/training" เสียงน้อง ค.ควาย ดังขึ้น ก่อนส่งแขกพี่ ข.ไข่ กลับบ้าน


นนทวรรธนะ สาระมาน
Nontawattana Saraman
11/12/52