บริษัท XYZ ต้องการหาความผิดปกติที่เกิดขึ้นจากการใช้งานไอซีทีในองค์กร เนื่องจาก 2-3 วันมานี้อินเตอร์เน็ตบริษัทช้ามาก จนถึงขั้นที่ทำงานไม่ได้ เหตุการณ์นี้อาจจะเกิดขึ้นกับหลายบริษัทที่ใช้ระบบไอทีและใช้อินเตอร์เน็ตใน การทำงาน ในบริษัทนามสมุมติจึงขอนำมาสร้างความเข้าใจถึงคุณสมบัติ SRAN ที่เป็นมากกว่าอุปกรณ์เก็บบันทึกข้อมูลจากการใช้งานไอที แต่ยังสามารถที่ใช้ในการวิเคราะห์หาความผิดปกติที่เกิดขึ้นจากการใช้งานไอที ภายในองค์กรและการใช้งานอินเตอร์เน็ตได้อีกด้วย จนเกิดเป็นเหตุให้ต้องเล่าผ่านตัวละครนาย ก. ไก่ เรื่องนี้มีชื่อตอนว่า
… เพื่อนแนะนำว่า ..
“ลองใช้ SRAN Light มาวิเคราะห์หาความผิดปกติดูดิ๊”
8 ธ.ค 52 เวลา 09:40 นาย ก.ไก่ เป็นผู้ดูแลระบบเครือข่ายคอมพิวเตอร์ให้กับบริษัท XYZ ตัดสินใจเข้าพบผู้อำนวยการฝ่ายไอทีบริษัทฯ หลังจากโทรไปถามผู้ให้บริการอินเตอร์เน็ต (ISP) แล้วไม่พบความผิดปกติจากสายส่งสัญญาณและอุปกรณ์ส่งสัญญาณ (Router) เลยทำการปรึกษาผู้อำนวยการฝ่ายฯ เพื่อที่จะขอเพิ่ม Link Internet เพิ่มจากเดิมจากเดิม 3 Mbps จะขอเพิ่มเป็น 5 Mbps เพื่อขจัดปัญหาที่ระบบงานด้านไอซีทีบริษัทเวลาใช้งานอินเตอร์เน็ตเกิดความ ล่าช้า จนพนักงานภายในเริ่มมีเสียงบ่นกัน
10:00 ก่อนที่นาย ก. ไก่ กำลังง้างมือเคาะประตูห้องผู้อำนวยการฝ่ายไอที ได้มีเสียงโทรศัพท์เข้ามือถือของนาย ก.ไก่ … กริ๊งๆๆ …
นาย ข. ไข่ โทรมาบอกว่า “เพื่อนรัก ในวันพรุ่งนี้จะแนะนำให้เอา SRAN Light ไปติดที่ บริษัทนายดูเผื่อว่ามันจะช่วยได้”
นาย ก.ไก่ คิด (พรุ่งนี้เลยเหรอ xxx่ะ) นาย ก. ไก่ ถามกลับ “แล้ว SRAN มันนี้ตัวเก็บ Log นี้หว่าจะช่วยอะไรได้หว่าาา”
นาย ข. ไข่ ตอบ “นายเคยกินกาแฟ ป่ะเพื่อน SRAN มันก็เหมือน กาแฟ 3-in -1 ไงเพื่อน”
นาย ก.ไก่ ตอบกลับ “มันปรัชญาอะไรเพื่อน อย่างไงเหรอที่ว่า เหมือนกาแฟ 3-in-1″
นาย ข.ไข่ ตอบด้วยความมั่นใจว่า “ด้วยคุณสมบัติอุปกรณ์ ที่มากกว่า 1 อย่างในเครื่องเดียวกัน อีกทั้ง SRAN สำเร็จพร้อมใช้งานเพียงเสียบปรั๊กเสียบสายแลนเพื่อเชื่อมต่อระบบ และ config นิดหน่อยก็พอใช้งานได้แล้ว ก็เพราะ SRAN เป็น Appliance ไง” Appliance คือ Software + Hardware ที่พร้อมใช้งาน
แล้วนาย ข.ไข่ อธิบายเพิ่มว่า “หลายคนเข้าใจผิดว่า SRAN เป็นเพียงอุปกรณ์ในการเก็บบันทึกข้อมูล Log แต่ในความเป็นจริงแล้วคุณสมบติการนั้นเป็นเพียงคุณสมบัติหนึ่งของตัวอุปกรณ์ เท่านั้นเอง คุณสมบัติที่ยังมีอีกหลายส่วนนะ ได้แก่ การเฝ้าระวังภัยและระบุถึงภัยคุกคาม ระบุผู้ใช้งาน IP Address ต้นทางและปลายทางในการติดต่อสื่อสาร ,ระบุค่า MAC Address เครื่องที่ใช้งานได้ด้วยนะ และยังช่วยวิเคราะห์หาความผิดปกติจากการใช้งานอินเตอร์เน็ตนี้แหละเพื่อน แล้วที่เปรียบเทียบเป็นกาแฟ 3-in-1 ก็เพราะต้องการให้เห็นภาพคุณสมบัติที่คุ้มค่าของ SRAN ได้เห็นภาพชัดเจนขึ้นไงเพื่อน”
“อย่าลืมนะว่า SRAN มันย่อมาจากคำว่า Security Revolution Analysis Network คือการปฏิวัติใหม่ของระบบวิเคราะห์ความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ ไม่เห็นต้องเดินตามแนวคิดฝรั่งเลย เราก็คิดประยุกต์เองได้ ขอให้มันเป็นประโยชน์ต่อสังคมออนไลท์ก็แล้วกัน จนเป็น SRAN ทุกวันนี้ไง”
นาย ก.ไก่ ถามกลับ “แล้วภัยคุกคามที่ SRAN มองเห็นนั้น มีอะไรบ้างหว่า”
นาย ข.ไข่ ตอบ “ภัยคุกคามที่เกิดจากการใช้งานไอทีนี้แหล่ะเพื่อน SRAN มันช่วยวิเคราะห์ให้ได้ เชิงลึกด้วยนะเพราะมีเทคโนโลยี Network Intrusion Detection and Prevention ในตัวด้วยมันดูถึงระดับ Layer 2- Layer 7 เชียวล่ะเพื่อนเอ่ย ไม่ว่าจะเป็นปัญหาไวรัสคอมพิวเตอร์นะ แล้วพวกเราไม่รู้ว่าซ่อนเล้นที่เครื่องคอมพิวเตอร์ไหนภายในองค์กร ทำการแพร่เชื้ออยู่นี้ เราก็แค่ใช้ SRAN ค้นหาได้อีกด้วยนะ ไม่เพียงแค่นั้นเพื่อนเอ๊ย SRAN ยังรวมไปถึงการหาผู้กระทำผิดอื่นๆ เช่นการโจมตีชนิดต่างๆ รวมถึงการ Hacking ด้วย มีอีกเยอะลองอ่านดูคุณสมบัติที่ http://sran.org/q ดูนะเพื่อนไม่อยากโม้มากเดี๋ยวลองใช้จริงดูพรุ่งนี้ดีกว่า”
นาย ข.ไข่ ยังกล่าวทิ้งท้ายต่อเนื่องไปอีกว่า “เราว่านะงานนี้ SRAN อาจจะช่วยนายได้นะ ลองดูสิ”
นาย ก. ไก่ “ได้xxx่ะ ถ้าเพื่อนแนะนำ ดูถ้าจะดีเหมือนกัน ลองดูแล้วกัน วันนี้ก็ปล่อยผี ให้คนบริษัทด่าไปก่อนว่าเน็ตช้าาาาา นึกแล้วเซ็งเป็ด”
เช้าวันใหม่ 9 ธ.ค 52 อินเตอร์เน็ตในบริษัท XYZ ไม่ดีขึ้นเลย
และแล้ว เวลา 11:20 นาย ข. ไข่ มาพร้อมเครื่อง SRAN Light รุ่น LT200 มาถึงบริษัท XYZ “โทษทีเพื่อนมาช้าหน่อย ระบบไอทีและการใช้งานอินเตอร์เน็ตบริษัทนายดีขึ้นยัง”
นาย ก. ไก่ ตอบ “มาช้าดีกว่าไม่มานะเพื่อน เน็ตใช้ได้แต่ช้าเป็นเต่าเลย ให้ ISP ที่เราใช้เน็ตอยู่ ตรวจแล้วไม่พบความผิดปกติ ดู Log Firewall บริษัทแล้ว อ่านไม่ออก พยายามแล้ว เห็นน้องคนหนึ่งที่ไปเรียนด้านนี้มาบอกว่าพบแต่ IP Address ภายนอกองค์กรเลยไม่รู้สาเหตุ xxx่ะ Firewall มันไม่ได้บอกว่ามีปัญหาจากอะไรด้วยแหละ นอกจากนี้เราก็ยังดูที่ Log server บริษัทก็ไม่พบไรมากนะ เห็นบริษัทติดตั้ง Log server เขาทำแค่ส่ง Log Authentication จากระบบ Radius Server ของบริษัท เราเห็นแต่ชื่อ User จนดูแล้วก็ เซ่อร์ตามกันไปหมดแล้วล่ะเพื่อนเอ๊ย เห็นบอกว่าส่ง Log มากกว่านั้นมากไม่ได้เดี๋ยวเครื่องเก็บ Log เต็ม ไม่ครบ 90 วันอีก แล้วเดี๋ยวเสียค่า storage เพิ่มอีก เฮ้อออ ชีวิตคนดูแลระบบเครือข่ายคอมพิวเตอร์มันแสนเศร้าอย่างงี้แหละเพื่อน”
นาย ก. ไก่ ยังถามต่ออีกว่า “เออนี้นายมาคนเดียว เหรอ แล้วงี้จะใช้เวลากี่วัน กี่ชั่วโมงในการติดตั้ง SRAN ล่ะเนี้ย!”
นาย ข. ไข่ เลยบอกว่า “SRAN คนเดียวก็พอ เดี๋ยวนายช่วยบอกตำแหน่ง Switch หลักของบริษัทนายทีสิ แล้วพอหาตำแหน่งติดตั้งที่ถูกต้องได้ใช้เวลาแป๊บเดียว เดี๋ยวรู้เรื่อง”
นาย ก. ไก่ ตอบ “Switch บริษัทเรา เป็นรุ่นพ่อขุนฯ นะโบราณมาก ไม่สามารถทำการ Mirror หรือ SPAN port ได้เลย แตะนิดแตะหน่อยอาจถึงขั้นเดี้ยงได้ ”
นาย ข. ไข่ ตอบ “ไม่มีปัญหาเพื่อน SRAN ทำได้ มี Switch ที่ไหน มี SRAN ที่นั้นแหละเพื่อน นำทางไปหน่อยสิ”
นาย ก. ไก่ “นายนี้โชคดีแล้วเพราะเราเป็นคนหนึ่งที่เข้าห้อง Data Center บริษัทได้ ทั้งบริษัทเข้าได้แค่ 3 คน เรามีน้องอีกคนที่เข้าไปช่วยได้ จะให้เรียกไหม” นาย ข.ไข่ ตอบ “ถ้าน่ารัก ก็เรียกมา ยืนให้กำลังใจก็พอ อิอิ”
“เออ … มันเป็นผู้ชายxxx่ะ” นาย ก.ไก่ ตอบ ,, “แป๋วว” นาย ข.ไข่ อุทาน “งั้นไม่เป็นไรเพื่อน SRAN ติดตั้งสะดวก ง่ายกว่าที่คิดเพื่อนเอย” นาย ก.ไก่ กระพริบตา ๆ แล้วคิดว่าอ้ายเพื่อนข้าพเจ้านี้ทั้งโม้ & มอจริงๆ
เวลา 11:40 นาย ข. ไข่ ทำการติดตั้ง SRAN Light แบบ Transparent mode โดยอยู่ตำแหน่งระหว่าง Switch ภายในองค์กรและ Firewall
เวลาผ่านไป 1 นาที นาย ข.ไข่ กล่าว “สายแลนที่ให้มาหัวไม่ค่อยดี ขอสายใหม่นะ” พร้อมแนะนำนาย ก.ไก่ ถึงเรื่องสายแลนอีกตั้งหาก
เวลาผ่านไป 2 นาที นาย ข. ไข่ ติดตั้ง SRAN เรียบร้อย พร้อมต่อเชื่อมกับ โน๊ตบุ๊ค ตนเองเพื่อปรับแต่งค่าเริ่มต้นเพื่อใช้งาน แล้วเปิดบราวเซอร์ไปที่ https://192.168.1.100 ใส่ User / Password แล้วจากนั้นไม่นาน..
“ติดตั้งอุปกรณ์ SRAN เสร็จแล้วเพื่อน” เสียงตะโกนออกจากตู้ Rack ของนาย ข.ไข่ ดังขึ้น แล้วกล่าวต่อว่า “ทิ้งไว้ให้มันอ่านข้อมูลสักพักแล้ว กลับมาดูกันนะ” นาย ก.ไก่ ตอบ “ก็ดีเหมือนกันนี้มันใกล้พักเที่ยงแล้วเดี๋ยวไปหาอะไรกินกันก่อน แถวนี้ร้านอาหารเพียบ อร่อยๆทั้งน้าน” นาย ข.ไข่ ตอบกลับ “แจ่มเลย” นาย ก.ไก่ ถามกลับ “แล้วนายจะกินไรดีวันนี้” นาย ข.ไข่ ตอบ “ข้าว + ไข่ดาว 2 ฟอง!!” โอ้… สมชื่อจริงๆเพื่อน
หลังจากรับประทานอาหารตาและอาหารกายเสร็จ 13:35 นาย ข.ไข่ รีบเข้าไปดูหน้าจอบนโน๊ตบุ๊คตัวเอง ผ่าน Web GUI ของ SRAN https://192.168.1.100 แล้วใส่ User และ password สำหรับเฝ้าระวัง (Monitoring user) ปรากฏว่า
ภาพที่ 1 รูปหน้าแรก SRAN Light หลังจากการเปิดดูข้อมูลผ่าน Web GUI https://192.168.1.100 บนโน๊ตบุ๊คนาย ข.ไข่
นาย ข.ไข่ ถอนหายใจ แล้วชี้นิ้วไปที่รูปลูกศรที่ปรากฏ (สีเขียว ในรูปที่ 1) แล้วกล่าวว่า “เพื่อนรัก นายแหกตาดูนี้สิว่ากราฟสีชมพู ที่บอกปริมาณ Bandwidth มันเต็ม บ่งบอกว่าเครือข่าย (Network) ของบริษัทนายเหมือนคนกำลังจะขาดลมหายใจ หรือหายใจได้ไม่ทั่วท้องเลยนะ”
นาย ก.ไก่ ตอบกลับด้วยความตื่นเต้น “เฮ้ย ก็แน่ล่ะตอนนี้เน็ตมันช้ามาก ถ้านายจะช่วยได้มากกว่านี้ ช่วยระบุว่าปัญหาที่พบให้มันลึกกว่านี้จะได้ไหมเพื่อน”
นาย ข.ไข่ ได้สิเพื่อน สบายมาก
หลังจากที่นาย ข.ไข่ ได้ทำอะไรบ้างอย่างบนอุปกรณ์ SRAN Light สิที่ปรากฏต่อสายตาคือ
จากภาพที่ 2 หมายเลข 1 แสดงถึงช่วงวัน 9 ธันวาคม 2552 เวลาในช่วง 12:59 – 13:59 ส่วนหมายเลขที่ 2 บอกถึงช่วงเวลาอื่น ซึ่งในที่นี้ นาย ข.ไข่ ได้ทำการติดตั้ง SRAN ไปในเวลา 11:40 น. และปล่อยให้ SRAN ทำการบันทึกข้อมูลไปเรื่อยๆ อย่างต่อเนื่อง ในเวลา 13:35 น. นาย ข.ไข่ เข้าระบบ SRAN เพื่อดูข้อมูล และทำอะไรบ้างนั้นในเวลา 13:47 น. ทำให้ Bandwidth ที่เต็มได้ลดลงอย่างรวดเร็ว และทำให้เครือข่ายบริษัท XYZ กลับเข้าสู่สภาวะปกติได้ ..
13:57 น. ของวันที่ 9 ธันวาคม 2552
"โห" เสียงร้องแสดงความประหลาดใจ ของนาย ก. ไก่ ดังขึ้น แล้วกล่าวว่า "Bandwidth ที่เต็มกลับลดลงอย่างรวดเร็ว นายทำไง และมันเกิดอะไรขึ้นล่ะเนี้ย"
"นายใช้เวลาวิเคราะห์ไม่นานก็รู้ถึงสาเหตุ แถมยังทำให้สถานะการณ์ Bandwidth บริษัทกลับมาใช้งานได้ปกติ ถามจริงๆ เถอะว่านายเก่ง หรือ อุปกรณ์ SRAN มันเก่งกันแน่" นาย ก.ไก่ ถาม
"เก่งทั้งคู่แหละ หุหุ" คือ "เครื่องมือดีอย่างเดียวไม่ได้หลอก เทคโนโลยีมันก็ส่วนหนึ่งที่ช่วยให้เราใช้งานในการวิเคราะห์หาข้อมูลได้สะดวก ขึ้น ถ้าใช้งานเป็นนะก็จะมีประโยชน์มาก แต่ถ้าเครื่องมือดีใช้งานไม่เป็นก็เหมือนเดิมล่ะเพื่อนเอ๊ย" นาย ข. ไข่เสริม
นายดูนี้สิ เสียงแนะนำจาก นาย ข.ไข่ "เวลาเราจะดูข้อมูลจราจร (Traffic Log) บนระบบเครือข่ายคอมพิวเตอร์บริษัทนาย แบบวิเคราะห์เชิงลึกนะ เราก็คลิกไปดูที่เมนู Monitor แล้วคลิกที่ Unique Alerts บนหน้าจอบริหารจัดการเครื่อง SRAN ผ่าน IP Management 192.168.1.100 เราก็จะเห็นว่ามีตั้ง 64 ลักษณะการใช้งานบนเครือข่ายคอมพิวเตอร์นายนะ
ภาพที่ 3 เหตุการณ์บางส่วนของลักษณะการใช้งานไอทีบนเครือข่ายคอมพิวเตอร์ XYZ มีทั้งหมด 4 หน้าหยิบมาให้ดู 2 หน้าจาก 64 เหตุการณ์
วิธีสังเกตดูตัวเลข ที่อยู่ด้านหลังชื่อ Signature หรือลักษณะการใช้งาน ตัวไหนที่มีตัวเลขมาก แสดงว่าใช้ข้อมูลเยอะ จึงมีเหตุการณ์เยอะตามไปด้วย ในภาพที่ 3 พบว่ามีการเปิดเว็บ ทั้งที่เป็น HTTP GET , HTTP Post จำนวนมาก และใช้ HTTP ผ่าน Proxy มีจำนวนหนึ่ง จากรูปที่ 3 จะเห็นว่ามีการใช้งาน Chat ผ่านโปรแกรม MSN อยู่จำนวนมากเหมือนกัน นั้นไม่แปลกอะไร แต่ที่มีแปลกๆ ก็มี เช่น บริษัทนายมีคนติดพวก Backdoor อยู่ด้วยนะ และมีพวกที่เป็น Bad traffic (ข้อมูลขยะ) จากรูป ก็มี Spam และ DNS ที่มีการ spoof อยู่ ซึ่ง Bad traffic เช่น DNS Spoof ส่วนนี้อาจจะเกิดจากปัญหาของการเชื่อมต่อ หรือการ config อุปกรณ์ เช่น Router , Firewall ไม่เหมาะสม หรือมีการโจมตีจากภายนอกองค์กรเข้ามา เช่นพวก ผีไม่มีญาติ (ไวรัสคอมพิวเตอร์ที่วิ่งวนเวียนบนอินเตอร์เน็ต) และนี้แหละสิ่งพิเศษที่ SRAN มีมากกว่าการเก็บบันทึกข้อมูลจราจรธรรมดาไง มันแยกแยะประเภทภัยคุกคามให้สำเร็จเลย
พวกนี้ภัยคุกคามที่เจอในบริษัทนายนี้นะ อาจจะเห็นมีเหตุการณ์ไม่มากแต่ก็ประมาทไม่ได้ เหตุการณ์ที่กล่าวมานั้น มันก็มีทุกบริษัทนั้นแหละ ขึ้นอยู่กับว่าจะรู้ทันปัญหาพวกนี้ได้แค่ไหน และมีการรองรับปัญหาเหล่านี้ไม่ให้ปานปลายได้อย่างไรมากกว่า
แต่ตอนนี้บริษัทนาย เรียกว่า Bandwidth เต็ม ก็ที่น่าสงสัยมากที่สุดก็เห็นจะเป็นการใช้งาน P2P นี้สิ มันตัวทำให้ Bandwidth ของบริษัทเต็มได้นะ ดังนั้นเราก็มาคลิกดูว่า P2P มีใครใช้อยู่บ้าง
รูปที่ 4 แสดงถึงการใช้ P2P โปรแกรมเพื่อทำการ Sync หาข้อมูลในการ download ข้อมูล
"เนี้ยไง พบปัญหาที่ทำให้ Bandwidth บริษัทนายเต็มแล้ว" นาย ข.ไข่ กล่าว
"IP : 192.168.1.47 user ชื่อ Nontawatt กำลังโหลด Bittorrent เต็มข้อเลยเพื่อน ลองสังเกต วัน เวลา และพฤติกรรมการใช้งาน IP 192.168.1.47 นี้สิ ณ เวลาที่เรายังไม่ block สิโหลดเต็มๆๆ เลย (คลิกดูที่ 4 เพื่อดูภาพขยาย)"
"เดี๋ยวเรามาค้นหาดูว่าประวัติการใช้งานของ User Nontawatt ดูนะ" นาย ข. ไข่ กล่าวเสริม ส่วน นาย ก. ไก่ กำลังนั่งเกาหัวอยู่ ด้วยความฉงนสงสัย เหมือนอะไรติดที่ปากว่าจะถามอะไรต่อไป ..
รูปที่ 5 ประวัติการใช้งาน User Nontawatt , IP Address 192.168.1.47 , ช่วงวันเวลา ที่ใช้งาน
จากนั้นเราก็เลยทำการปิดกั้น IP Address และค่า MAC Address ที่ต้องสงสัยโดยเข้าไปที่ เมนู Management แล้วคลิก Protect เพื่อปิดกั้นการใช้งาน เมนู Protect ใช้ได้สำหรับการติดตั้ง SRAN เฉพาะแบบ In-line (ป้องกันเชิงลึกได้) และแบบ Transparent (ป้องกัน IP , MAC ได้) ซึ่งตอนนี้เราติดตั้ง SRAN แบบ Transparent เลยสั่งปิด IP 192.168.1.47 ดูปรากฏว่า Traffic บนเครือข่ายคอมพิวเตอร์บริษัทนายลดลงอย่างเห็นได้ชัด ตามรูปที่ 2 (ตอนที่แล้ว)
ภาพที่ 6 ในเมนู Management --> Protect จะมีช่องให้กรอกข้อมูลเพื่อทำการปิดกั้น IP และค่าอื่นๆที่เกี่ยวข้อง ในที่ นาย ข. ไข่ สั่งปิดกั้น (Block) IP 192.168.1.47 ที่คิดว่าเป็นตัวการที่ทำให้ Bandwidth บริษัท XYZ เต็ม
ข้าว่านะงานนี้ Block แxxx่ง MAC Address เลย SRAN Light บอกค่า MAC Address เครื่องนี้มาแล้วนิ เราก็ไปที่เมนู Management --> Protect ---> Block MAC Address สะเลย อิอิ ..
"นี้แหละที่มาทำไมในช่วงเวลาไม่นาน Traffic บริษัทนายลดลงไปเยอะเลย เพราะเราได้ปิดกั้น IP และ MAC Address ตัวนี้ไป" นาย ข. ไข่ กล่าวอย่างภาคภูมิใจ
"สุดย๊ออด" เสียงจาก นาย ก. ไก่
"เออ เรารู้แล้วว่าจะถามอะไรนาย" นาย ก. ไก่ เอ่ยถามต่อ "นายรู้ได้ไง ว่า IP Address นี้ชื่ออะไร ค่า MAC Address อะไร"
นาย ข.ไข่ ตอบ "ก็ SRAN Light มีเทคโนโลยีที่เรียกว่า HBW ที่ย่อมาจาก Human Behavioral Warning เพื่อเชื่อมโยงการเฝ้าระวังภัยคุกคามภายในเครือข่ายองค์กร เข้ากับงานบริหารทรัพยากรบุคคล พร้อมระบบจัดเก็บคลังข้อมูล รายละเอียดอยู่ที่ http://sran.org/q ซึ่งเป็นส่วนที่ทีมงาน SRAN ได้คิดค้นพัฒนาขึ้นมาเองด้วยนะ ไม่เหมือนที่อื่นๆ"
ส่วนเรื่องที่ได้รายชื่อ User ได้มาจาก น้องที่นายแนะนำก่อนทำการติดตั้ง SRAN ไง ที่จะมาให้ช่วยฉันไง ช่วงหลังจากทานข้าวเสร็จ เราขอรายชื่อพนักงานจากระบบ AD (Active directory) มาบังเอิญบริษัทนายมีคนไม่มาก เราก็เลยให้น้องเค้าทำค่า MAC Address มาด้วย โดยวิธีการเปิดไปที่เมนู Management แล้วเข้าไปที่เมนูย่อย System คลิกไปที่ Inventory
ภาพที่ 7 วิธีการเก็บบันทึกข้อมูลรายชื่อ User คลิกไปที่ Management หมายเลข 1 และคลิก System หมายเลข 2 และคลิก Inventory หมายเลข 3 จากนั้นให้ทำการนำ ค่ารายชื่อ User จากระบบ AD (Active Directory) หรือบนระบบ LDAP หรือบนระบบ Radius Server เข้าทำการ Import File โดยชนิด File ที่ใช้ในการ Import เข้าระบบ SRAN นั้นต้องเป็น file ตระกูล .csv
ภาพที่ 8 การ Import ข้อมูลจาก AD (Active Directory) เลือก file ที่จัดทำเป็น .csv เพื่อทำการ Import เข้าระบบ SRAN จะทำให้สามารถอ่านรายชื่อ User เชื่อมโยงค่า IP Address ได้
"ทั้งนี้นะเพื่อน เวลาทำหากยังไม่ได้ค่า MAC Address ก็ให้เราจัดทำใเสร็จเสียก่อน แล้วจึงนำมาใส่ในระบบ SRAN" คำกล่าวจากนาย ข. ไข่ ซึ่งวิธีนี้ทำให้เราเชื่อมโยงเหตุการณ์ ทั้ง IP , MAC Address และรายชื่อ User ได้อีกด้วยนะ
"เออดีจัง แล้ว SRAN ที่นายเอามา มันมีทั้งหมดกี่รุ่นอย่างไงอ่า เพื่อจะได้ขอผู้อำนวยการจัดซื้อดู" นาย ก.ไก่ กล่าว
มีทั้งหมดอยู่ 3 รุ่น แต่ละรุ่นเหมาะสมกับเครือข่ายคอมพิวเตอร์ที่แตกต่างกันไป มีทั้งรุ่นเล็ก กลาง และใหญ่ บริษัทนายมีคนอยู่ประมาณ 150 คน เราแนะนำรุ่น LT200 นะนี้รองรับการใช้งานได้ แต่ทั้งนี้ให้ตัวแทนขายเค้ามาคุยให้ฟังจะดีกว่า เพราะอย่างไงต้องขอพวก Network diagram บริษัทนายไปดูด้วย เผื่อว่าจะได้ติดตั้งอุปกรณ์ได้อย่างเหมาะสมและมีประสิทธิภาพขึ้น
สำคัญว่าเวลาที่ใช้ SRAN เป็นอุปกรณ์ที่ป้องกันภัยด้วย ต้องดูขนาด Throughput ของบริษัทให้ดี การติดตั้งแบบ In-line ทำได้ถึงขั้นปิดกั้นข้อมูลในระดับเชิงลึกเลยนะ ปิดได้กระทั่งต้องการ download file หรือจะให้ chat ได้ หรือเพียงอย่างใดอย่างหนึ่งก็ได้ การติดตั้ง In-line จะป้องกันได้ในระดับ Layer 2 ถึง 7 เลยนะ ถ้าเทียบก็ได้กับระบบ NIPS (Network Intrusion Prevention System) เลยล่ะ แต่การติดตั้ง In-line มีประโยชน์ก็จริง ต้องพิจารณาเรื่อง Throughput ให้มากกว่าการติดตั้งแบบอื่นเพราะอาจเกิดคอขวด หรืออาการล่าช้าขึ้นจากตัวอุปกรณ์ SRAN ได้นะ ไม่งั้นอาจต้องลงทุนหน่อยคือใช้ SRAN เพื่อป้องกันภัยในการติดตั้งแบบ In-line ต้องมีอุปกรณ์เสริมเช่นพวก Netoptics ถ้าสนใจปรึกษาได้ แต่นี้ราคา Netoptics แพงกว่า SRAN อีกนะ
ภาพที่ 9 อุปกรณ์ Netoptics เหมาะกับการใช้งานร่วมกับ SRAN บนระบบเครือข่ายขนาดใหญ่
เราแนะนำว่าให้ติดตั้งแบบ Transparent และ Passive จะดีกว่า ติดตั้งแบบ Transparent ป้องกันระดับ Layer 2 , 3 และ 4 ได้ ส่วนแบบ Passive ไม่สามารถป้องกันได้เหมาะสำหรับการเฝ้าระวังอย่างเดียว
ถ้าเป็นเครือข่ายขนาดใหญ่ต้องให้ผู้เชี่ยวชาญ เขามาประเมินดูว่าจะติดตั้งกี่ตัว และกี่จุด แนะนำนะปรึกษาตัวแทนขาย SRAN ได้ ที่นี้เลย
http://www.gbtech.co.th/th/about-us/partner
"เออ เพื่อน ว่าแต่ว่า ..." เสียงอำ่อึ้งจากนาย ก. ไก่ ดังขึ้น
"User ที่นาย block IP Addess เพื่อปิดกั้นการใช้งานไป นั้นเป็นของหัวหน้าตูเองล่ะเพื่อนเอ๊ย ก็คนนี้แหละ ที่เมื่อวานตูว่าจะไปขอเพิ่มความเร็วเน็ตบริษัท ก่อนที่นายจะโทรมาหาจนได้อุปกรณ์นี้มาเนี้ยไง ครั้งแรกก็ไม่แน่ใจแต่นี้เห็นชื่อ + IP ด้วย ใช่เลยเพื่อน"
นาย ข.ไข่ "เวงกำ" และกล่าวต่อว่า "ผู้บริหารเล่น Bit เสียเอง เอองี้ เอ๊งไปเครียร์กันเองแล้วกันนะ ข้าน้อยขอกลับบริษัทก่อนล่ะ"
นาย ข.ไข่ "น้องที่ส่งข้อมูลรายชื่อพนักงานจาก AD (Active Directory) ให้ชื่ออะไรนะ" นาย ก.ไก่ ตอบเสียงอ่อยๆ เพลียๆ "ชื่อ ค.ควาย"
“งั้นให้น้อง ค.ควาย พาออกจากตรงนี้ที จำทางเข้าไม่ได้” นาย ข. ไข่ กล่าวต่ออีก แล้วนึกในใจว่า “บริษัทอาราย Data Center อยู่ในซอกน้อยๆทางเข้า-ออกซับซ้อนชิบ….”
เวลาผ่านไปสักเสี้ยวนาที นาย ข.ไข่ ได้ออกไปจากห้องไป กว่าที่ นาย ก.ไก่ จะอ้าปากกล่าวประโยคต่อไปว่า
"เฮ้ย อย่าพึ่งไปดิ แก้ block ออกก่อน ตูทำไม่เป็น"
- the end -
"ยังไม่จบ .. พี่ๆๆ พี่ ก.ไก่ อยากเก่งเหมือน พี่ ข.ไข่ ทาง SRAN มีจัดอบรมนะดูรายละเอียดได้ที่ http://www.gbtech.co.th/th/training" เสียงน้อง ค.ควาย ดังขึ้น ก่อนส่งแขกพี่ ข.ไข่ กลับบ้าน
นนทวรรธนะ สาระมาน
Nontawattana Saraman
11/12/52