ผลงานฉบับเต็ม - ldd assessment/wean/pch... · ภาพที่ 29...
TRANSCRIPT
ผลงานเรองท 3
ผลงานฉบบเตม
เรอง
คมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน
ของ
นางจนทรเพญ ลาภจตร นกวเคราะหนโยบายและแผนชานาญการพเศษ ตาแหนงเลขท 182
ศนยสารสนเทศ กรมพฒนาทดน
ขอประเมนเพอแตงตงใหดารงตาแหนงนกวเคราะหนโยบายและแผนเชยวชาญ ตาแหนงเลขท 182
ผเชยวชาญดานสารสนเทศ ศนยสารสนเทศ กรมพฒนาทดน
กระทรวงเกษตรและสหกรณ
ก
สารบญ
หนา
สารบญ ก สารบญภาพ ข บทท 1 บทนา 1 บทท 2 การวเคราะหและออกแบบระบบ 4 บทท 3 ขนตอนการตดตงและบรหารจดการระบบ 22 บทท 4 สรปและขอเสนอแนะ 110 บรรณานกรม 112 ภาคผนวก ก การกาหนดคาคอนฟคกเรชนของอปกรณสวชตหลก (Core Switch Configuration) 114 ภาคผนวก ข การกาหนดคาคอนฟคกเรชนของอปกรณนาทาง (Router Configuration) 150
ข สารบญภาพ
ภาพ หนา
ภาพท 1 รายละเอยดสวนประกอบของ Firewall 10 ภาพท 2 การระบ Username เพอเชอมตอระบบ 32 ภาพท 3 การใชโปรแกรม SSH เชอมตอระบบ 32 ภาพท 4 การใชโปรแกรม Internet Browser เชอมตอระบบ 33 ภาพท 5 การใชโปรแกรม Internet Browser เชอมตอระบบ 33 ภาพท 6 การ Confirm Security Exception 34 ภาพท 7 การ Install ASDM Launcher 34 ภาพท 8 การ Authentication ASDM Launcher 35 ภาพท 9 ผลการ Download ASDM Launcher 35 ภาพท 10 การ Open Executable File 35 ภาพท 11 Security Warning 35 ภาพท 12 การตดตงโปรแกรม ASDM Launcher 36 ภาพท 13 การตดตงโปรแกรม ASDM Launcher 36 ภาพท 14 การตดตงโปรแกรม ASDM Launcher 36 ภาพท 15 ผลการตดตงโปรแกรม ASDM Launcher 37 ภาพท 16 การเรยกใชงานโปรแกรม ASDM Launcher 37 ภาพท 17 การใช งานโปรแกรม Cisco ASDM 6.1 for ASA 38 ภาพท 18 การกาหนดคา InterfaceCisco ASDM 6.1 for ASA 38 ภาพท 19 การกาหนดคา InterfaceCisco ASDM 6.1 for ASA 39 ภาพท 20 การกาหนดคา RoutingCisco ASDM 6.1 for ASA 39 ภาพท 21 การกาหนดคา Routing ProtocolCisco ASDM 6.1 for ASA 40 ภาพท 22 การกาหนดคา Routing ProtocolCisco ASDM 6.1 for ASA 40 ภาพท 23 การกาหนดคา Routing ProtocolCisco ASDM 6.1 for ASA 41 ภาพท 24 การกาหนดคา Routing ProtocolCisco ASDM 6.1 for ASA 41 ภาพท 25 การกาหนดคา Access Rules Cisco ASDM 6.1 for ASA 42 ภาพท 26 การกาหนดคา NAT Rules Cisco ASDM 6.1 for ASA 42 ภาพท 27 การกาหนดคา Service Policy Rules Cisco ASDM 6.1 for ASA 43 ภาพท 28 การกาหนดคา AAA Rules Cisco ASDM 6.1 for ASA 43 ภาพท 29 การกาหนดคา Filter Rules Cisco ASDM 6.1 for ASA 44 ภาพท 30 การกาหนดคา URL Filtering Servers Cisco ASDM 6.1 for ASA 44 ภาพท 31 การกาหนดคา Threat Detection Cisco ASDM 6.1 for ASA 45 ภาพท 32 การกาหนดคา Objects Cisco ASDM 6.1 for ASA 45
ภาพ หนา
ภาพท 33 การกาหนดคา Advanced Rule Cisco ASDM 6.1 for ASA 46 ภาพท 34 การกาหนดคา Monitor InterfaceCisco ASDM 6.1 for ASA 46 ภาพท 35 การกาหนดคา Monitor InterfaceCisco ASDM 6.1 for ASA 47 ภาพท 36 การกาหนดคา Monitor RoutingCisco ASDM 6.1 for ASA 47 ภาพท 37 การกาหนดคา Monitor LoggingCisco ASDM 6.1 for ASA 48 ภาพท 38 การกาหนดคา Monitor LoggingCisco ASDM 6.1 for ASA 48 ภาพท 39 การกาหนดคา Device Management Cisco ASDM 6.1 for ASA 49 ภาพท 40 การกาหนดคา DNS Server 52 ภาพท 41 การกาหนดคา DNS Server 53 ภาพท 42 การกาหนดคากาหนดคา IP 53 ภาพท 43 การกาหนดคากาหนดคา IP 54 ภาพท 44 การใชงานโปรแกรม ISA 54 ภาพท 45 การใชงานโปรแกรม ISA 55 ภาพท 46 การใชงานกาหนดคาโปรแกรม ISA 55 ภาพท 47 การใชงานกาหนดคา Policy Element โปรแกรม ISA 56 ภาพท 48 การใชงานกาหนดคา Schedule โปรแกรม ISA 56 ภาพท 49 การใชงานกาหนดคา Client Sets โปรแกรม ISA 57 ภาพท 50 การใชงานกาหนดคา Protocol Rules โปรแกรม ISA 57 ภาพท 51 การใชงานกาหนดคา Destination Sets โปรแกรม ISA 58 ภาพท 52 การใชงานกาหนดคา Site and Content Rules โปรแกรม ISA 58 ภาพท 53 การใชงานกาหนดคา Configuration โปรแกรม ISA 59 ภาพท 54 การใชงานกาหนดคา Servers and Arrays โปรแกรม ISA 59 ภาพท 55 การใชงานกาหนดคาBackup and Restore โปรแกรม ISA 60 ภาพท 56 การใชงานกาหนดคา Monitor Servers and Arrays โปรแกรม ISA 60 ภาพท 57 การเรยกใชงานโปรแกรม ISA (1) 61 ภาพท 58 การเรยกใชงานโปรแกรม ISA (2) 61 ภาพท 59 การเรยกใชงานโปรแกรม ISA (3) 62 ภาพท 60 การเรยกใชงานโปรแกรม ISA (4) 62 ภาพท 61 การเรยกใชงานโปรแกรม ISA (5) 63 ภาพท 62 การเรยกใชงานโปรแกรม ISA (6) 63 ภาพท 63 การเรยกใชงานโปรแกรม ISA(7) 64 ภาพท 64 การตดตงโปรแกรม ESET Endpoint Security 67 ภาพท 65 ขอกาหนดโปรแกรม ESET Endpoint Security 67 ภาพท 66 โหมดการตดตงโปรแกรม 68 ภาพท 67 การยนยนสทธของโปรแกรม 68
ภาพ หนา
ภาพท 68 การเชอมโยงขอมลเชงวเคราะหทรวบรวมขอมลในการปองกนไวรส 69 ภาพท 69 การตรวจจบโปรแกรมประสงคราย 69 ภาพท 70 การตดตงโปรแกรม 70 ภาพท 71 การยนยนการตดตงเสรจสน 70 ภาพท 72 การตดตงโปรแกรมวเอมแวร (VMware) 74 ภาพท 73 หนาจอแสดงรายละเอยดของเวอรชนของโปรแกรม 74 ภาพท 74 หนาจอตอนรบสการตดตง วเอมแวร (VMware) 75 ภาพท 75 หนาจอแสดงรายละเอยดขอตกลงตางๆของโปรแกรม 75 ภาพท 76 หนาจอแสดงแสดงชอและขนาดของฮารดดสก 75 ภาพท 77 รปแบบของคยบอรด (Keyboard) ทจะใชงาน 76 ภาพท 78 การกาหนดรหสผานของ Root 76 ภาพท 79 โปรแกรมเรมทาการสแกนไฟลระบบทจะใชในการตดตง 76 ภาพท 80 หนาตางยนยนการตดตง 77 ภาพท 81 หนาจอแสดงสถานะเรมการตดตง 77 ภาพท 82 เครองแมขายเรมเรมตนระบบใหม (Reboot) 77 ภาพท 83 โปรแกรมจะแสดงรายละเอยดของระบบ 78 ภาพท 84 โปรแกรมแสดงฟงคชนทใชในการตงคา 78 ภาพท 85 โปรแกรมแสดงชองใสรหสผาน 78 ภาพท 86 แสดงหนาการตงคาแตละประเภท 79 ภาพท 87 หนาตางแสดงการ Download vSphere client 79 ภาพท 88 แสดงหนาจอเครองแมขายเสมอน (Guest OS) 80 ภาพท 89 แสดงหนาตางโปรแกรมอเอสเอกไอ(EXSi) ผานวสเฟยร ไคลเอนต (vSphere Client) 80 ภาพท 90 หนาตางของโปรแกรม VMware 81 ภาพท 91 การสราง Virtual Machine ใหม 81 ภาพท 92 หนาตาง Welcome Windows 82 ภาพท 93 การตงคาของ Virtual Machine 82 ภาพท 94 การเลอก Guest Operating System หรอ OS ทตองการลง 83 ภาพท 95 ตงชอและเลอกทเกบไฟลของ Virtual Machine 83 ภาพท 96 การกาหนดคาของ Disk ทตองการใชเปน Virtual Machine 84 ภาพท 97 หนาจอ Menu หลงจากทสราง VM เสรจแลว 84 ภาพท 98 หนาตาง Edit virtual machine setting 85 ภาพท 99 หนาตาง Setting ในสวนของ Hard Disk 85 ภาพท 100 หนาตาง Setting ในสวนของ CD-ROM 86 ภาพท 101 หนาตาง Setting ในสวนของ Ethernet 86 ภาพท 102 หนาตาง Setting ในสวนของ USB Controller 87
ภาพ หนา
ภาพท 103 หนาตาง Setting ในสวนของ Audio 87 ภาพท 104 หนาตาง Setting ในสวนของ Virtual Processors 88 ภาพท 105 ภาพรวมของระบบ (System Overview) 89 ภาพท 106 หนาตางการ Login ระบบ EIS 91 ภาพท 107 การ Start vm ระบบ EIS 91 ภาพท 108 หนาตางการ Login ระบบ EIS (2) 92 ภาพท 109 การ Start vm ระบบ EIS (2) 92 ภาพท 110 หนาตางการ Login ระบบ EIS (3) 93 ภาพท 111 การ Shutdown เครอง Web 93 ภาพท 112 หนาตางการ Login ระบบ EIS (4) 94 ภาพท 113 การ Shutdown เครอง Web (2) 94 ภาพท 114 หลกการการทางานเบองตนของระบบ 95 ภาพท 115 การ Configuration ระบบ EIS 96 ภาพท 116 การ Configuration ระบบ EIS (2) 96 ภาพท 117 การ Configuration ระบบ EIS (3) 97 ภาพท 118 การ Configuration ระบบ EIS (4) 97 ภาพท 119 การ Configuration ระบบ EIS (5) 98 ภาพท 120 การ Configuration ระบบ EIS (6) 98 ภาพท 121 การ Configuration ระบบ EIS (7) 99 ภาพท 122 การ Configuration ระบบ EIS (8) 99 ภาพท 123 การ Configuration ระบบ EIS (9) 100 ภาพท 124 การ Configuration ระบบ EIS (10) 100 ภาพท 125 การ Configuration ระบบ EIS (11) 100 ภาพท 126 การ Configuration ระบบ EIS (12) 101 ภาพท 127 การ Configuration ระบบ EIS (13) 101 ภาพท 128 การ Configuration ระบบ EIS (14) 102 ภาพท 129 การ Configuration ระบบ EIS (15) 102 ภาพท 130 การ Configuration ระบบ EIS (16) 103 ภาพท 131 การ Configuration ระบบ EIS (17) 103 ภาพท 132 การ Configuration ระบบ EIS (18) 104 ภาพท 133 การ Configuration ระบบ EIS (19) 104 ภาพท 134 การ Configuration ระบบ EIS (20) 105 ภาพท 135 การ Configuration ระบบ EIS (21) 105 ภาพท 136 หนาตางการ Login ระบบ EIS (5) 106 ภาพท 137 การ Snapshotระบบ EIS 106
ภาพ หนา
ภาพท 138 การ Snapshotระบบ EIS (2) 107 ภาพท 139 การสารองConfigure fileระบบ EIS 107 ภาพท 140 ภาพรวมระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน 108 ภาพท 141 ภาพระบบ Redundant อปกรณ Switch กรมพฒนาทดน 108 ภาพท 142 ภาพรวมการเชอมตออปกรณเครอขาย กรมพฒนาทดน 109 ภาพท 143 ภาพการเชอมตอของอปกรณเครอขายแบบชน กรมพฒนาทดน 109
1
บทท 1 บทนา
1. ความสาคญของปญหา
กรมพฒนาทดนไดนาระบบสารสนเทศและคอมพวเตอร เขามาใชในการเพมประสทธภาพการปฏบตงานของกรมฯ และการใหบรการสาหรบประชาชน โดยมสถาปตยกรรมระบบเครอขายกรมพฒนาทดน เปนแบบดาว (Star Topology) ประกอบดวย ระบบเครอขายหลกสวนกลาง (CLN : Central Local Area Network) และระบบเครอขายสวนภมภาค (RLN : Regional Local Area Network) เชอมตอระบบเครอขายอนเทอรเนตผานสอกลางหลายประเภท เชน เฟรมรเลย (Frame Relay) , MPLS , ADSL) มการนาเอาเทคโนโลยทางดานระบบภาพ+เสยง+ขอมล (Multimedia) เชน ระบบโทรศพทผานไอพ (IP Phone) , ระบบถายทอดสญญาณวดโอ (Video Streaming) , ระบบกระจายสญญาณ (Broadcasting), ระบบการประชมสญญาณวดโอ (Video Conference) ฯลฯ เขามาใชงาน มระบบฐานขอมลท ใหบรการทงภายในและภายนอกองคกร ผานชองทางการบรการขอมลเครอขายของผใหบรการ (ISP: Internet Service Provider) โดยมการเชอมโยงและแลกเปลยนขอมลเขากบระบบบรการแผนท และขอมลทางแผนท และผลผลต จากโครงการจดท าแผนท เพ อการบรหารทรพยากรธรรมชาตและทรพยสน ของกระทรวงเกษตรและสหกรณ ทใหบรการสบคนขอมลแผนท ภาพถายทางอากาศส และมการเชอมโยงกบเครอขายกระทรวงเทคโนโลยสารสนเทศและการสอสาร ภายใตโครงการพฒนาเครอขายสอสารขอมลเชอมโยงหนวยงานภาครฐ ซงตองใชความเชยวชาญ ความร ความสามารถ ประสบการณและความชานาญดานระบบสารสนเทศและคอมพวเตอรอยางสง เพอชวยในการวเคราะห ตดสนใจ วางแผนและแกไขปญหาทางดานระบบเครอขาย ทมความยงยาก ซบซอน และมผลกระทบในวงกวาง
การจดการงานระบบสารสนเทศและคอมพวเตอรของกรมพฒนาทดน ใหเกดความปลอดภยและมเสถยรภาพ เปนสวนสาคญในการทาใหงานดานเทคโนโลยสารสนเทศอนๆ เปนไปไดอยางราบรนและสงผลตอความเชอมนของระบบทงหมด จงมความจาเปนอยางยงทจะตองเฝาระวงและปรบแตงคาการทางาน ใหสามารถใชงานไดตลอดเวลา ผานทางเครองมอสาหรบบรหารความปลอดภยดานตางๆทเกยวของ ประกอบดวย ดานการเฝาระวงและดแล (Watchdog &Monitor) ดานการเกบขอมลการใชงาน (Log) ดานการบรหารเครองมอจากระยะไกล (Remote Management) ดานการพฒนาใชงาน SNMP (Simple Network Protocol) ดานการวเคราะหรปแบบการใหบรการเครอขาย (Network Bandwidth Shaping & QOS) ดานการควบคมการใชงานเครอขาย (Network Filtering) เพอใหสอดคลองตามแผนแมบทเทคโนโลยสารสนเทศของกรมพฒนาทดน และตรงตามขอกาหนดของกระทรวงเทคโนโลยสารสนเทศและการสอสาร รวมทงสามารถดาเนนการตาม พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550 ซงการบรหารจดการระบบดงกลาว เปนงานทมความยงยาก ซบซอน เนองจากจะตองทาความเขาใจดานวชาการกฎหมายคอมพวเตอร และมทกษะขนสงในระบบงานอนทเกยวของ เพอใหสามารถวเคราะห ออกแบบ วางแผน กาหนดคณสมบตและคาคอนฟกกเรชน (Configuration) บนอปกรณในสวนของฮารดแวร (Hardware) และซอฟทแวร (Software) ทปจจบน ทมความสลบซบซอนไดอยางครบถวน อนจะสงผลใหการใชงานของระบบสารสนเทศและคอมพวเตอรของกรมพฒนาทดนเปนไปตามวตถประสงค มเสถยรภาพและความปลอดภยสงสด
2
การบรณาการขอมลภาครฐ (Government Data Integration) เพอหาแนวทางในการปฏบตงานรวมกนระหวางระบบ (Interoperability) ของหนวยงานภาครฐ ใหสามารถแลกเปลยนเชอมโยงขอมล เพอการปฏบตงานรวมระหวางระบบตางๆทแตกตางกน ผานทางเทคโนโลยบรการดานเวป (Web Services) ซงสอดคลองกบนโยบายของกรมพฒนาทดน ทไดนางานบรการประชาชนและขอมลเผยแพรดานการพฒนาทดน มาใหบรการผานเวบไซตบรการตางๆของกรมพฒนาทดน อาทเชน www.ldd.go.th , mordin.ldd.go.th , lddmapserver.ldd.go.th ฯลฯ ในการขอรบบรการหรอเชอมโยงบรการผานระบบ Web Service ในการจดทาระบบสารสนเทศและคอมพวเตอร เพอรองรบงานบรการดงกลาวนน จาเปนจะตองมความร ความชานาญและประสบการณทางดาน ตางๆทเกยวของ เชน บรการดานเวป (Web Service) โปรโตคอล (Protocol) พอรท (Port) การบรหารจดการฐานขอมล (Database Management System) ภาษาและเครองมอในการออกแบบและพฒนา (Language Utility and Develop Tool) และมทกษะขนสงในการประยกตระบบงานตางๆเขาดวยกน เพอใหสามารถวเคราะห ออกแบบ วางแผน กาหนดคาคอนฟกกเรชน (Configuration) ของระบบเทคโนโลยสารสนเทศบรการไดอยางถกตอง ดงนนเพอใหการบรหารจดการระบบสารสนเทศและคอมพวเตอร มประสทธภาพ จงไดจดทาคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน (LDD Manual Management Information Systems and Computer) ขน เพอใหผรบผดชอบ/ผปฏบตงาน มความรความเขาใจเกยวกบวธการ Configuration ระบบสารสนเทศ ระบบเครอขาย ตลอดจน วธการแกไขปญหาแนวทางการดาเนนงานระบบเทคโนโลยสารสนเทศกรมพฒนาทดน ใหมความนาเชอถอ และมเสถยรภาพ
2. วตถประสงค
2.1 เพอจดทาคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน 2.2 เพอใหผปฏบตงานใชเปนคมอในการดาเนนงานดานระบบสารสนเทศและคอมพวเตอร ใหม
ประสทธภาพและประสทธผล
3. ขอบเขตการศกษา 3.1 ศกษา วเคราะห มาตรการรกษาความปลอดภยระบบเครอขายของกรมพฒนาทดน ระบบ
Authentication รายละเอยดการทางานและการกาหนดคาระบบพรอกซ (Proxy) ระบบ ไฟลวอลล (Firewall) ระบบตรวจสอบการบกรก (Intrusion Detection System) ระบบ Intrusion Prevention System และระบบควบคมการเขาถงระบบ/ขอมล (Access Control) ศกษามาตรฐานการจดการความปลอดภยระบบสารสนเทศ (Information Security Management)
3.2 ศกษา วเคราะห องคประกอบขนตอนและมาตรฐานการจดทาบรการดานเวป (web service) บรการดานแอปพลเคชน (application service) บรการดานฐานขอมล (database service) บรการดานจดหมายอเลกทรอนกส (e-mail service) บรการดานปองกนไวรส (antivirus service) การบรหารจดการโดเมน (domain service) รายละเอยดการใชงานพอรท (port) และโปรโตคอล (protocol) ของแตละบรการ (service)
3.3 ศกษา วเคราะห แนวความคดดานเครองจกรเสมอน (Virtual Machine Concept) แนวคดการสรางเครองคอมพวเตอรเสมอนบน ฮารดแวรเพยงชดเดยว ซงสามารถทางานไดเสมอนกบวาม
3
คอมพวเตอรหลายๆเครอง โดยมการแยกการทางานของระบบตางๆไดอยางเปนอสระตอกน มาตรฐานของเครองจกรเสมอน (Virtual Machine) และรปแบบการใชงานของเครองแมขายบรการ ในปจจบนของกรมพฒนาทดน
3.4 รวบรวมขอมลศกษา วเคราะห ในขอ 3.1 – 3.3 ขอมลการปฏบตงานระบบสารสนเทศคอมพวเตอรของกรมพฒนาทดน ขอมลอปกรณสารสนเทศตางๆ ทนามาใชงาน และออกแบบการจดทารปเลม การเรยงลาดบเนอหา ของคมอการบรหารจดการระบบสารสนเทศคอมพวเตอร กรมพฒนาทดน
3.5 จดทาคมอการบรหารจดการระบบสารสนเทศคอมพวเตอร กรมพฒนาทดน ตงแตการวางโครงสรางของสวนประกอบตางๆสาหรบระบบฯ การออกแบบระบบฯ การตดตงระบบฯ การกาหนดคาคณลกษณะของอปกรณเครอขาย การกาหนดคาคณลกษณะของเครองแมขายบรการ (Server) การกาหนดมาตรการรกษาความปลอดภยในสวนของเครอขายและฐานขอมล การจดการดานงานบรการตางฯ สาหรบเครองแมขายบรการ (Server Service) การจดทาเอกสารอธบายรายละเอยดในแตละขนตอน การจดทาแผนภาพแสดงเครอขาย (Network Diagram) และแผนภาพแสดงการไหลของขอมล (Data Flow Diagram) เพออธบายโครงสรางระบบเครอขาย การจดทารายละเอยดการทางานและขนตอนการบรหารระบบงานของเครองแมขายบรการทงหมด การจดทารายละเอยดการทางานและขนตอนการบรหารระบบเครอขายและอปกรณพรอมทงกระบวนการตรวจสอบประสทธภาพการทางานของระบบสารสนเทศคอมพวเตอร
4. ระยะเวลาและสถานทดาเนนการ
ระยะเวลา : ระหวางเดอนตลาคม 2554 - พฤษภาคม 2555 สถานทดาเนนการ : ศนยสารสนเทศ กรมพฒนาทดน
5. ผดาเนนการ นางจนทรเพญ ลาภจตร ตาแหนง นกวเคราะหนโยบายและแผนชานาญการพเศษ มหนาท จดทาคมอการบรหารจดการระบบสารสนเทศคอมพวเตอร กรมพฒนาทดน
ปฏบตงาน 100% 6. ประโยชนทจะไดรบ
6.1 นาไปใชในการการบรหารจดการระบบสารสนเทศและคอมพวเตอร ของกรมพฒนาทดน ใหมความปลอดภยและมประสทธภาพสงสด
6.2 นาไปใชในการวเคราะห แกไขปญหา และปรบปรงระบบสารสนเทศและคอมพวเตอร ของกรมพฒนาทดน ใหสามารถบรการระบบสารสนเทศไดอยางตอเนอง สามารถใชในการประเมนและวางแผน การพฒนาระบบสารสนเทศและคอมพวเตอร ของกรมพฒนาทดน ใหรองรบงานและการบรการสารสนเทศตามแผนงาน การพฒนาระบบสารสนเทศและคอมพวเตอร ทกรมพฒนาทดนวางไวในอนาคต
6.3 นาไปใชเปนเอกสารประกอบการศกษา คนควา อางอง ทางดานระบบสารสนเทศและ คอมพวเตอร สาหรบเจาหนาทและหนวยงานทเกยวของ
4
บทท 2 การวเคราะหและออกแบบระบบ
ในการดาเนนการวเคราะหและออกแบบ ระบบบรหารจดการสารสนเทศและคอมพวเตอร กรม
พฒนาทดน (LDD Management Information Systems and Computer) มกระบวนการในการดาเนนการทเปนขนตอน โดยไดมการศกษาวเคราะหมาตรการรกษาความปลอดภยระบบเครอขายทเหมาะสม วเคราะหระบบการลงชอเขาระบบ (Authentication) วเคราะหรายละเอยดการทางานและการกาหนดคาพรอกซ (Proxy) วเคราะหระบบ ไฟลวอลล (Firewall) วเคราะหระบบตรวจสอบและปองกนการบกรก (Intrusion Detection System & Intrusion Prevention System) วเคราะหระบบจดหมายอเลกทรอนกส (Electronic Mail) วเคราะหระบบควบคมการเขาถงขอมล (Access Control) ตามนโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศของกรมพฒนาท ดน วเคราะหระบบการทางานของเครองแมขายสาหรบงานบรการเวบไซต โดยมวตถประสงคเพอใหระบบสารสนเทศและคอมพวเตอรของกรมพฒนาทดนมความเหมาะสม มประสทธภาพ ครอบคลมการทางานตาง ๆ ทกาหนดไว ใหสามารถดาเนนงานไดอยางตอเนองและปองกนภยคกคามตาง ๆ ได พรอมทงปฏบตตามเจตนารมณของพระราชกฤษฎกาการกาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 มาตรา 5 มาตรา 6 และมาตรา 9 เพอใหการดาเนนกจกรรมหรอการใหบรการตาง ๆ ของหนวยงานของรฐมความมนคงปลอดภยและเชอถอได
ในขนตอนการวเคราะหและออกแบบ เพอกาหนดรายละเอยดการตดตง และการดาเนนการบรหารจดการระบบสารสนเทศ กรมพฒนาทดน (LDD Management Information Systems) นน ไดแบงขนตอนการวเคราะหและออกแบบ เปนหวขอตามรายละเอยดตาง ๆ ดงตอไปน
2.1 การวเคราะหและออกแบบการรกษาความมนคงปลอดภยดานสารสนเทศ (Acceptable use Analysis and Design)
2.2 การวเคราะหและออกแบบการใชงานระบบรกษาความปลอดภยเครอขายคอมพวเตอรไฟลวอลล (Firewall Analysis and Design)
2.3 การวเคราะหและออกแบบการใชงานระบบตรวจจบและปองกนผบกรก (Intrusion Detection System : IDS and Intrusion Prevention System : IPS Analysis and Design)
2.4 การวเคราะหและออกแบบการใชงานอนเตอรเนต (Internet Analysis and Design) 2.5 การวเคราะหและออกแบบการเขาถง (Access Control Analysis and Design) 2.6 การวเคราะหและออกแบบการใชงานจดหมายอเลกทรอนกส (Electronic Mail
Analysis and Design)
5
2.1 การวเคราะหและออกแบบการรกษาความมนคงปลอดภยดานสารสนเทศ (Acceptable Use Analysis and Design)
2.1.1 องคประกอบของระบบสารสนเทศกบความมนคงปลอดภย ระบบสารสนเทศ (Information System : IS) นนสามารถทางานไดโดยอาศย
องคประกอบหลายสวน ไดแก ฮารดแวร (Hardware) ซอฟตแวร (Software) ขอมล (Data) บคลากร (People) ขนตอนการทางาน (Procedure) และเครอขายคอมพวเตอร (Network) องคประกอบแตละสวนจะมหนาทตางกนไปในการนาขอมลเขาสระบบประมวลผลเพอสรางสารสนเทศทเปนประโยชน และแสดงผลสารสนเทศเหลานนออกทางหนวยแสดงผลชนดตาง ๆ ซงหมายความวาองคประกอบแตละสวนมหนาทในการทางานแตกตางกน ดงนนจงตองการความมนคงปลอดภยแตกตางกนไป ดงน
2.1.1.1 ซอฟตแวร (Software) ในโครงการพฒนาซอฟตแวรใด ๆ ยอมตองอยภายใตเงอนไขของการบรหารโครงการ นนคอ ภายใตเวลา ตนทน และกาลงคนทจากด ดงนน สวนใหญจะพบวาการเพมความปลอดภยใหกบซอฟตแวร มกจะทาภายหลงจากพฒนาซอฟตแวรเสรจแลว ไมไดทาในตอนตนของกระบวนการพฒนา จงทาใหซอฟตแวรมจดออน งายตอการจโจม ซงแนนอนวาหากจโจมหรอสรางความเสยหายใหกบซอฟตแวรแลว กจะสงผลตอขอมลของระบบดวย
2.1.1.2 ฮารดแวร (Hardware) นโยบายความมนคงปลอดภยทมตอฮารดแวรนน จะใชนโยบายเดยวกบสนทรพยทจบตองไดขององคกร นนคอ การปองกนฮารดแวรจากการลกขโมยหรอภยอนตรายตาง ๆ เชน การใสกญแจอปกรณชนดตาง ๆ ทสามารถทาได การจากดการใชงานอปกรณเหลานน หรอการจดสถานททปลอดภยใหกบอปกรณหรอฮารดแวร เปนตน การปองกนการเขาถงอปกรณหรอฮารดแวรตาง ๆ จะชวยลดโอกาสเขาถงหรอการสรางความเสยหายใหกบสารสนเทศไดระดบหนง
2.1.1.3 ขอมล (Data) ขอมล/สารสนเทศเปนทรพยากรทมคามากในองคกร และเปนเปาหมายหลกของการโจมตโดยเจตนา ถงแมวาระบบสารสนเทศในปจจบนมระบบฐานขอมลทมเครองมอรกษาความมนคงปลอดภยในเบองตนไวเปนสวนใหญแลวกตาม แตการปองกนทแนนหนาขนกมความจาเปนสาหรบขอมลทเปนความลบ ซงตองอาศยทงนโยบายความปลอดภยและกลไกปองกนทดควบคกน
2.1.1.4 บคลากร (People) คอภยคกคามตอความมนคงปลอดภยของสารสนเทศทถกมองขามมากทสด เนองจากถงแมวาองคกรจะมระบบรกษาความมนคงปลอดภยของสารสนเทศทมประสทธภาพมากเพยงใดกตาม แตหากบคลากรผเกยวของไมมจตสานก หรอมความตระหนกถงความปลอดภย โดยเฉพาะหากบคลากรไมมจรรยาบรรณในอาชพกเปนจดออนทดทสดของการโจมต เนองจากผไมหวงดสามารถเกลยกลอมใหบคลากรดงกลาวเปดระบบใหไดโดยไมจาเปนตองใชเครองมอใด ๆ เลย นอกจากน บคลากรอาจถกหลอกลวงเพอใหขอมลบางอยางแกมจฉาชพได จงทาใหมการศกษาถงเรองนกนอยางจรงจง เรยกวา “Social Engineering” ซงเปนการปองกนการหลอกลวงบคลากร เพอเปดเผยขอมลบางอยางททาใหเขาสระบบได โดยอาศยพฤตกรรมทเปนจดออนของบคลากรในการหลอกลวง
2.1.1.5 ขนตอนการทางาน (Procedure) เปนอกหนงองคประกอบดานความปลอดภยทถกมองขาม โดยหากมจฉาชพทราบถงขนตอนการทางานอยางใดอยางหนงครบถวนแลว กจะสามารถคนหาจดออนเพอกระทาการอนกอใหเกดความเสยหายทงตอองคกรและลกคาขององคกรได
2.1.1.6 เครอขายคอมพวเตอร (Network) การเชอมตอระหวางคอมพวเตอรและระหวางเครอขายคอมพวเตอร ทาใหเกดอาชญากรรมและภยคกคามคอมพวเตอรชนดใหมจานวนมาก
6
โดยเฉพาะการเชอมตอระบบสารสนเทศเขากบเครอขายอนเตอรเนต จดวามความเสยงตอภยคกคามสงมาก ดงนน องคกรทมการเชอมตอระบบสารสนเทศเขากบอนเตอรเนตจงควรเพมมาตรการรกษาความมนคงปลอดภยทแนนหนาขน
2.1.2 วงจรการออกแบบระบบความมนคงปลอดภยของสารสนเทศ 2.1.2.1 การสารวจ (Investigation) โดยนารายละเอยดในเบองตนมาทาการ
สารวจ กลาวคอ ทาการเกบขอมลเพอนามาวเคราะหปญหา กาหนดขอบเขต เปาหมาย และวตถประสงคของระบบฯ รวมถงเงอนไขอน ๆ ในการดาเนนงาน ตลอดจนการศกษาความเปนไปไดทจะดาเนนงานดวย
2.1.2.2 การวเคราะห (Analysis) เปนขนตอนทนาขอมลจากการสารวจมาทาการศกษาเพมเตม ถงภยคกคามในปจจบนและวธปองกนตามทไดระบไวในนโยบายความมนคงปลอดภยเบองตน ว เคราะหประเดนดานกฎหมายท เกยวของกบวธการหรอมาตรการปองกน พระราชบญญตวาดวยกรกระทาผดทางคอมพวเตอร ซงรวมถงกฎหมายสทธสวนบคคล (Privacy)
2.1.2.3 การออกแบบระดบตรรกะ (Logical Design) เปนขนตอนการจดทาโครงรางของระบบความมนคงปลอดภยของสารสนเทศ ตรวจสอบและจดทานโยบายหลกทจะนาไปใช นอกจากนยงตองจดทาแผนรบมอเหตการณไมคาดคด (Incident Response Action Plan) โดยในแผนงานจะตองสามารถตอบคาถามตาง ๆ ไดดงน
1) การทางานของระบบจะสามารถดาเนนงานตอไปไดอยางไรในกรณทเกดความเสยหาย
2) ตองดาเนนการอยางไรเมอถกโจมต 3) จะตองฟนฟระบบอยางไรหลงจากไดรบความเสยหาย
2.1.2.4 การออกแบบระดบกายภาพ (Physical Design) เปนขนตอนการกาหนดเทคโนโลยสารสนเทศทจะนามาสนบสนนโครงรางระบบความมนคงปลอดภยทไดออกแบบไวในเฟสทผานมา โดยจะตองมการประเมนเทคโนโลยดงกลาว พรอมสรางทางเลอกของเทคโนโลยทจะนามาใช แลวนามาคดเลอกทางเลอกทดและเหมาะสมทสด ซงในกระบวนการดงกลาวอาจพบวาตองมการแกไขโครงรางทไดออกแบบไว ทงน เนองจากอาจมการเปลยนแปลงบางอยางทเหนวาเหมาะสมกวา
2.1.3 การจารกรรมหรอการรกลา (Espionage or Trespass) 2.1.3.1 การจารกรรม (Espionage) เปนการกระทาซงใชอปกรณอเลกทรอนกส
หรอตวบคคลในการจารกรรมสารสนเทศทเปนความลบ ผจารกรรมจะใชวธการตาง ๆ เพอเขาถงสารสนเทศทจดเกบไว และรวบรวมสารสนเทศดงกลาวโดยไมไดรบอนญาต ซงกคอ การรวบรวมขอมล/สารสนเทศโดยผดกฎหมายนนเอง อยางไรกตาม มจฉาชพสามารถรวบรวมสารสนเทศไปใชประโยชนไดโดยถกกฎหมาย เชน การทาวจยทางการตลาดผานทางเวบไซต จดวาเปนวธการรวบรวมสารสนเทศทถกกฎหมาย ในยคแรกจงมผหาผลประโยชนจากสารสนเทศดวยวธดงกลาวจานวนมาก อยางไรกตาม การกระทาดงกลาวจดวาไมมจรยธรรมในการประกอบอาชพ และตอมาไดมการกาหนดใหเปนการกระทาทผดกฎหมาย
อกกรณหนงของการจารกรรมขอมลหรอการรกลาเพอใหไดสารสนเทศของผอนมา คอ “Industrial Espionage” เปนการใชเทคนคทถกกฎหมายแตกากงกบความไมชอบธรรม เพอรวบรวมสารสนเทศสาคญหรอความลบทางการคาของคแขงเพอนามาหาผลประโยชน แยงชงความ
7
ไดเปรยบในอตสาหกรรม เทคโนโลยทใชเพอการจารกรรมสารสนเทศอาจเปนไปไดทงเทคโนโลยชนสงหรออาจไมตองใชเทคโนโลยใดเลยกได เชน กรณทเรยกวา “Should Surfing” คอ การแอบมองดขอมลสวนตวของผอนขณะทาธรกรรมผานต ATM โดยเปนการแอบมองจากดานหลงหรอในระยะไกล เปนตน โดยกรณ Shoulder Surfing นน ยงรวมถงการแอบมองหรอรวบรวมขอมลของผอนจากโตะทางาน เครองคอมพวเตอรทผอนกาลงใชงาน ตลอดจนแอบฟงการสนทนาทางโทรศพทดวย
2.1.3.2 การรกลา (Trespass) คอ การกระทาททาใหผรกลาสามารถเขาสระบบเพอรวบรวมสารสนเทศทตองการไดโดยไมไดรบอนญาต การควบคมการกระทาลกษณะดงกลาว สามารถทาไดโดยการจากดสทธและพสจน ตวจนผ เขาสระบบทกครง วาเปนบคคลท ไ ดรบอนญาตจรง (Authentication) เปนกลไกการควบคมทสามารถปองกนภยคกคามชนดนไดในระดบหนง ตอไปนเปนตวอยางภยคกคามประเภท Espionage และ Trespass ทรจกกนเปนอยางด
2.1.3.3 แฮคเกอร (Hacker) หมายถง บคคลผซ ง ใชและสรางซอฟตแวรคอมพวเตอรขนมา เพอชวยใหตนสามารถเขาถงสารสนเทศของผอนอยางผดกฎหมาย แฮคเกอรบางกลมอาจตองการเพยงทดสอบความรความสามารถของตนในการเขาถงสารสนเทศผอนเทานน โดยไมไดมเปาหมายเพอขโมยหรอทาลายสารสนเทศและระบบ อยางไรกตาม มแฮคเกอรบางกลม ทมเปาหมายเพอขโมยสารสนเทศของผอนดวย โดยการใชทกษะและกลลวงตาง ๆ แฮคเกอรกลมนจงเปนภยคกคามตอองคกรอยางมาก
2.1.3.4 Script Kiddies คอ แฮคเกอรมอใหม ทไมมความชานาญ เปนผทใชซอฟตแวรหรอโปรแกรมท Expert Hacker เขยนไวมาใชโจมตหรอกอกวนระบบผอน
2.1.3.5 Packet Monkeys คอ Script Kiddies ทใชโปรแกรมอตโนมตโจมตระบบแบบปฏเสธการใหบรการ (Distributed Denial – of – Service) ทาใหระบบไมสามารถใหบรการแกผใชตามคารองขอทสงมาได ซงบางครงทาใหผใชเขาใจผดวาระบบลมเหลว โดยไมสามารถทราบไดเลยวาระบบกาลงถกโจมต
2.1.3.6 แครกเกอร (Cracker) คอ ผททาลายหรอทาซาซอฟตแวรรกษาความมนคงปลอดภยของระบบอน การทาลายระบบรกษาความมนคงปลอดภยของระบบสารสนเทศผอน จดวาเปนการสรางความเสยหายใหเกดขน ดงนน แครกเกอรจงแตกตางกบแฮคเกอรดวยเหตผลดงกลาว นนคอ “แฮคเกอร” มเปาหมายเพอทดสอบความสามารถหรอตองการความทาทายโดยการเจาะระบบใหสาเรจ (ไมรวมกรณสรางความเสยหายแกสารสนเทศของระบบดวย) สวน “แครกเกอร” มจดประสงคหลก คอ ตองการทาลายระบบรกษาความมนคงปลอดภยของระบบคอมพวเตอรหรอระบบสารสนเทศ อยางไรกตาม ภยคกคามทงสองจดวาเปนอาชญากรรมคอมพวเตอรเหมอนกน
2.1.4 การโจมตเครอขาย เครอขายเปนเทคโนโลยทมความเสยงสงมาก ถาไมมการควบคมหรอปองกนทด การ
โจมตหรอการบกรกเครอขาย หมายถงความพยายามทจะเขาใชระบบ (Access Attack) การแกไขขอมลหรอระบบ (Modification Attack) การทาใหระบบไมสามารถใชการได (Deny of Service Attack) และการทาใหขอมลเปนเทจ (Repudiation Attack) ซงจะกระทาโดยผประสงคราย ผทไมมสทธ หรออาจเกดจากความไมตงใจของผใชเอง ตอไปนเปนรปแบบ ตาง ๆ ทผไมประสงคดพยายามทจะบกรกเครอขายเพอลกลอบขอมลทสาคญหรอเขาใชระบบโดยไมไดรบอนญาต
8
2.1.4.1 การโจมตรหสผาน การโจมตรหสผาน (Password Attack) หมายถง การโจมตทผบกรก
พยายามเดารหสผานของผใชคนใดคนหนง ซงวธการเดานนกมหลายวธ เชน บรทฟอรธ (brute –Force) , โทรจนฮอรส (Trojan horse) , ไอพสปฟง , แพกเกตสนฟเฟอร เปนตน การเดาแบบบรทฟอรช หมายถง การลองผดลองถกรหสผานเรอย ๆ จนกวาจะถก บอยครงทการโจมตแบบบรทฟอรธใชการพยายามลอกอนเขาใชรซอรสของเครอขาย โดยถาทาสาเรจผบกรกกจะมสทธเหมอนกบเจาของแอคเคาทนน ๆ
2.1.4.2 การโจมตแบบ Man-in-the-Middle การโจมตแบบ Man-in-the-Middle นนผโจมตตองสามารถเขาถงแพก
เกตทสงระหวางเครอขายได เชน ผโจมตอาจอยท ISP ซงสามารถตรวจจบแพกเกตทรบสงระหวางเครอขาย ภายในและเครอขายอน ๆ โดยผาน ISP การโจมตนจะใชแพกเกตสนฟเฟอรเปนเครองมอเพอขโมยขอมล หรอใชเซสชนเพอแอกเซสเครอขายภายใน หรอวเคราะหการจราจรของเครอขายหรอผใช
2.1.4.3 การโจมตแบบ DOS การโจมตแบบดไนลออฟเซอรวส หรอ DOS (Denial-of-Service)
หมายถง การโจมตเซรฟเวอรโดยการทาใหเซรฟเวอรนนไมสามารถใหบรการได ซงโดยปกตจะทาโดยการใชรซอรสของเซรฟเวอรจนหมด หรอ ถงขดจากดของเซรฟเวอร ตวอยางเชน เวบ เซอรเวอร และเอฟทพเซรฟเวอร การโจมตจะทาไดโดยการเปดการเชอมตอ (Connection) กบเซรฟเวอรจนถงขดจากดของเซรฟเวอร ทาใหผใชคนอน ๆ ไมสามารถเขามาใชบรการได การ โจมตแบบนอาจใชโปรโตคอลทใชบนอนเตอรเนตทว ๆ ไป เชน TCP( Transmission Control Protocol) หรอ ICMP (Internet Control Message Protocol) การโจมตแบบแบบดไนลออฟเซอรวส เปนการโจมตจดออนของระบบหรอเซรฟเวอรมากกวาการโจมตจดบกพรอง (Bug) หรอชองโหวของระบบการรกษาความปลอดภย
2.1.4.4 โทรจนฮอรส เวรม และไวรส คาวา “ โทรจนฮอรส (Trojan Horse) ” นเปนคาทมาจากสงครามโทร
จน ระหวางทรอย (Troy) และ กรก (Greek) ซงเปรยบถงมาโครงไมทชาวกรกสรางทงไวแลวซอนทหารไวขางในแลวถอนทพกลบ พอชาวโทรจนออกมาดเหนมาโครงไมทงไว และคดวาเปนของขวญทกรซทงไวให จงนากลบเขาเมองไปดวย พอตกดกทหารกรกทซอนอยในมาโครงไมนกออกมาเปดประตใหกบทหารกรกเขาไปทาลายเมองทรอย สาหรบในความหมายคอมพวเตอรแลว โทรจนฮอรส หมายถง โปรแกรมททาลายระบบคอมพวเตอรโดยแฝงมากบโปรแกรมอน ๆ เชน เกม สกรนเซฟเวอร เปนตน ซงผใชอาจจะดาวนโหลดโปรแกรมตาง ๆ เหลานมา แตเมอตดตงแลวรนโปรแกรมโทรจนฮอรสทแฝงมาดวยกจะทาลายระบบคอมพวเตอร เชน ลบไฟลตาง ๆ หรออาจสรางแบคดอรใหกบโปรแกรมอนเขามาทาลายระบบกได
2.1.5 มาตรการปองกนการโจมตจากผบกรก 2.1.5.1 ใช Intrusion Detection ดกจบผบกรกจากภายนอก 2.1.5.2 ตรวจหาชองโหวภายใน Network 2.1.5.3 กาหนดระดบความปลอดภยใหเหมาะสมกบ Server 2.1.5.4 ควบคมแพกเกตเขา – ออกดวย เพอกรอง Network กราฟกขององคกร
ไดทง ขาเขาและขาออก 2.1.5.5 เพอเพมความปลอดภยยงขน 2.1.5.6 ปองกนการเขาใชงานทไมไดรบอนญาตดวยการตรวจสอบขอมลใน
Network
9
2.1.5.7 ปองกนเซรฟเวอรทเกยวกบเวบ อเมล และแอปพลเคชนอน ๆ จากการโจมต
2.1.6 รปแบบการรกษาความมนคงปลอดภยทออกแบบ
จากการดาเนนการจดทาแผนแมบทเทคโนโลยสารสนเทศและการสอสาร ของกรมพฒนาทดน พ.ศ.2547 – 2549 ไดมการพฒนาและออกแบบการรกษาความมนคงปลอดภยระบบสารสนเทศ เพอปองกนใหระบบฯ มความปลอดภย และสามารถรองรบการทางานไดตลอดเวลา โดยแบงการรกษาความมนคงปลอดภยระบบฯ ออกเปน 2 สวน ดงน
2.1.6.1 การรกษาความมนคงปลอดภยของเครอขาย 1) การออกแบบการใชงานเครอขายแบบ Vlan เพอปองกนการรบกวน
การทางานของเครอขาย 2) การออกแบบสถาปตยกรรมการเชอมตอของอปกรณเครอขายหลก
แบบชน เพอใหเกดเสถยรภาพในการทางาน 3) การออกแบบการตงคา Access List Control บนอปกรณเครอขาย
เพอควบคมการใชงาน IP Address และ Protocol ของเครองคอมพวเตอรลกขาย 4) การออกแบบการใชงาน Proxy เพอลดปรมาณ Traffic ของการใช
งาน Internet 5) การออกแบบสถาปตยกรรมปองกนการบกรกเครอขายจากภายนอก
ผานทางระบบ Firewall และระบบ IPS 2.1.6.2 การรกษาความมนคงปลอดภยของเครองคอมพวเตอร
1) การออกแบบการใชงานระบบปองกนไวรส เพอแกปญหา Malware ตาง ๆ
2) การออกแบบการใชงานระบบ Virtual Machine Server (เครองแมขายเสมอน) เพอแกปญหาการใชงาน Hardware ไมเขากนกบระบบปฏบตการ (Compatible) ลดเวลาการ Downtime ของเครองแมขาย และชวยใหการ Backup สามารถทาไดอยางรวดเรว 2.2 การวเคราะหและออกแบบการใชงานระบบรกษาความปลอดภยเครอขายคอมพวเตอรไฟล
วอลล (Firewall Analysis and Design) Firewall คอ ระบบทประกอบไปดวยฮารดแวร ซอฟตแวร หรอทงสองอยางทถกออกแบบ
มาเพอปองกน Network จากการเขาใชงานทไมไดรบอนญาต Firewall มวธการออกแบบไดหลายรปแบบ เชน Bastion Host , Perimeter Network ซงจาแนกเปนแบบ Three-Homed และ Back –To-Back Firewall ใชหลกการกรองแพกเกตขอมลและการกรองชนดอนๆ เพอควบคมการใชงาน Network
Firewall หมายถง กาแพงกนไฟ ซงสรางไวปองกนไฟทไหมจากบรเวณหนงลกลามไปบรเวณอน เพราะฉะนนถามาใชกบระบบ Network กมประโยชนคลาย ๆ กน โดยมนจะชวยปองกนอนตรายทมาจากอนเทอรเนต โดยปกต Firewall จะถกตดตงในจดท Network ภายในจะตดตอกบอนเทอรเนต
ผลตภณฑ Firewall สวนใหญตองมความสามารถหลก ๆ คอ เปนจดควบคม Network ทราฟฟกทจะเขามาใน Network ภายในขององคกร และเปนจดควบคม Network ทราฟฟกจากภายใน
10
องคกรทจะออกไปใชงานอนเทอรเนต โดยท Firewall ตองบงคบให Network ทราฟฟกเหลานเปนไปตามกฎและนโยบายความปลอดภยทองคกรกาหนด
ความสามารถในการเชอมตอเครองคอมพวเตอรใดๆ เขากบคอมพวเตอรเครองอนไดในทกททตองการเปนความสามารถทมทงผลดและผลเสย นอกเหนอจากอนตรายจากการรวไหลของขอมลแลว ยงมอนตรายทมากบขอมลทถกใสเขามาในระบบดวยนนกคอ ไวรส และอนตรายจากโปรแกรมอนตรายตาง ๆ ทเขามาทาลายการรกษาความปลอดภย ทาอนตรายกบขอมลทมคา และทาใหสนเปลองเวลาอนมคายงของผดแลระบบทพยายามทจะทาใหระบบอยในสภาพทด โดยทวไปโปรแกรมอนตรายเหลานมกจะเกดขนจากพนกงานทไมมความระมดระวงในการใชงานหรอพนกงานทพยายามจะสรางสถานการณเลวรายใหเกดขนในองคกร
ผลทตามมาคอ จาเปนจะตองมกลไกทจดการเกบรกษาขอมลทดเอาไวในขณะทกาจดขอมลทไมดออกไปจากระบบคอมพวเตอร คอการใช Firewall
Firewall เปนการปรบตวของวธการรกษาความปลอดภย ซงบงคบใหทกคนเขาหรออกจากองคกรโดยผานประตหรอเสนทางทจดเตรยมไวใหเทานน ซงจะทาใหระบบสามารถตรวจสอบขอมลทจะสงเขาหรอออกจากองคกรได ดงรปแสดงรายละเอยดสวนประกอบของ Firewall ซงประกอบดวย packet filler จานวน 2 ตว และ application gateway ดงทแสดงในรปตอไปน
ภาพท 1 รายละเอยดสวนประกอบของ Firewall
Firewall ในลกษณะนประกอบดวยสองสวน คอ เราเตอรสองตวททาการตรวจสอบแพกเกตขอมล packet filtering และ application gateway ขอมลทกแพกเกตจะตองถกสงผานเราเตอรสองตว ซงทาหนาทในการกรองขอมลและจะตองผาน application gateway เพอทจะไดสามารถสงขอมลออกไปนอกระบบหรอเขามาในระบบได โดยไมมเสนทางอนใหเลอก
Packet filter แตละตวคอเราเตอรมาตรฐานทวไปทตดตงหนาทพเศษเขาไปดวย นนคอการตรวจสอบขอมลทถกสงเขามาหรอสงออกไป แพกเกตทมลกษณะถกตองตามขอกาหนดจะถกสงตอไปไดตามปกต สวนทไมผานขอกาหนดกจะถกทาลายทงไป ซงเราเตอรทอยดานในระบบ LAN จะทาหนาท
11
กรองขอมลทจะถกสงออกไป สวนเราเตอรตวทอยนอกระบบ LAN จะทาหนาทตรวจสอบแพกเกตทจะถกสงเขามาในระบบ LAN แพกเกตทผานการตรวจขนตนจากเราเตอรทงขาเขาและขาออกจะถกสงไปตรวจสอบอกขนตอนหนงท application gateway การทตองตดตงเราเตอรไวสองตวกเพอใหแนใจไดวาจะไมมแพกเกตใดสามารถเดนทางเขาหรออกจากระบบไดโดยไมถกตรวจสอบจาก application gateway เนองจากไมมเสนทางอนใหเลอก โดยทวไปจะทางานโดยอาศยการกาหนดเงอนไขผานตารางขอมลทผดแลระบบเปนผกาหนดขนใชงานตารางขอมลเหลานประกอบดวยขอมลสามชนด คอ จะแสดงทอยของทมาของขอมลและเปาหมายทจะถกสงออกไปซงเปนสถานททไดรบการตรวจสอบและอนญาตใหใชงานได รวมทงทอยของผสงและผรบทไมอนญาตใหใชงานผานระบบเครอขายขององคกรและกฎเกณฑทจะนามาใชวาจะตองทาอยางไรกบแพกเกตขอมลทจะสงออกนอกระบบหรอสงเขามาในระบบ
ในกรณทวไปทสรางขนมาสาหรบระบบ TCP/IP ทอยของผสงและทอยของผรบประกอบดวย IP address และหมายเลข Port ทใช (เปนตวกาหนดบรการทเรยกใชจากโพรโตคอล TCP/IP เชน Port 23 คอ telnet Port 79 คอ finger และ Port 119 คอ USENET เปนตน) องคกรสามารถกนแพกเกตทเดนทางเขามาสาหรบทก IP address ทตองใชบรการใน Port ใดกได ดวยวธการนบคคลทอยนอกองคกรจะไมสามารถ log-in เขามาใชงานในระบบไดโดยการเรยกใชบรการ telnet จาก Port 23 ไดยงกวาน องคกรยงสามารถปองกนไมใหพนกงานในองคกรมวแตอานขาวใน USERNET ทงวนโดยไมทางานไดโดยการปด Port 119
การกนไมใหสงขอมลออกไปนนเปนการทางานทซบซอนกวาเพราะวาไซตสวนใหญจะใช Port มาตรฐาน ยงกวานบรการทสาคญบางอยาง เชน FTP (file transfer protocol) หมายเลข Port จะถกกาหนดใหใชดวยการเปลยนแปลงหมายเลขไปเรอยๆ นอกจากนการกนการเชอมตอ TCP นน ยากยงขนไปอก เชน การกนแพกเกต UDP นนยากมากเพราะไมทราบวาแพกเกตนนจะทาอะไร Packet filter สวนใหญจงไมอนญาตใหใช UDP เลย
สวนทสองของ Firewall คอ application gateway แทนทจะมองดทขอมลดบทสงมาในแพกเกตแตเพยงอยางเดยวเกตเวยจะทางานในระดบชนสอสารโปรแกรมประยกต ตวอยางเชน เมลเกตเวย (mail gateway) สามารถทจะจดตงขนมาเพอตรวจสอบแตละขาวสารทอยในเมลทกฉบบทงขาเขาและขาออกเมลแตละฉบบจะถกตรวจสอบจากขอมลทปรากฏอยใน header field หรอขนาดของขาวสาร หรอแมกระทงเนอหาทอยในเมล เชน ในหนวยท ตงทางทหารถาหากตรวจพบวามคาวา “นวเคลยร” “ระเบด” หรออน ๆ เกตเวยกสามารถทจะแจงเตอนไปยงผรบผดชอบไดเพอหาทางจดการกบเมลฉบบน
โดยทวไปแลว Firewall แบงออกเปน 2 ประเภท คอ 2.2.1 Application Layer Firewall
เปนFirewallททางานในระดบแอพพลเคชนเลเยอร (Application Layer Firewall) นนบางทกเรยกวา “พรอกซ (Proxy Firewall)” คอ โปรแกรมทรนบนระบบปฏบตการทว ๆ ไป เชน วนโดวส เซรฟเวอรหรอยนกซ หรออาจจะเปนฮารดแวรทตดตงซอฟตแวรพรอมใชงานแลวกได Firewall จะมเนตเวรคการดหลายการด เพอสาหรบเชอมตอกบ เครอขายตาง ๆ นโยบายการรกษาความปลอดภยจะเปนสงทกาหนดวาทราฟฟกใด สามารถถายโอนระหวางเครอขายใดไดบาง ถานโยบายไมไดระบอยางชดเจนวา ทราฟฟกไหนทอนญาตใหผานได Firewall กจะไมสงผานหรอละทงแพกเกตนนทนท นโยบายนนจะถกบงคบใชโดยพรอกซใน Firewall ระดบแอพพลเคชนนนทก ๆ โปรโตคอลทอนญาตใหผานได
12
จะตองมพรอกซสาหรบโปรโตคอลนน พรอกซทดทสดนนจะเปนพรอกซทออกแบบมาสาหรบจดการกบโปรโตคอลนนโดยเฉพาะ Firewall ททางานในระดบแอพพลเคชนปจจบนสวนใหญจะมพรอกซสาหรบโปรโตคอลทนยมใช เชน HTTP , SMTP , FTP และ Telnet เปนตน ถาโปรโตคอลไหนไมมพรอกซกไมสามารถผาน Firewall ได นอกจากน Firewall ประเภทนยงสามารถซอนแอดเดรสหรอหมายเลขของระบบภายในได เนองจากการเชอมตอทงหมดจะสนสดท Firewall ดงนนเครองทอยภายนอกจะมองเหนเฉพาะหมายเลขไอพของ Firewall เทานน ถาผบกรกไมรโครงสรางภายในโอกาสทจะเจาะระบบไดกนอยลง
2.2.2 Packet Filtering Firewall เปนแพกเกตฟลเตอรรง Firewall (Packet Filtering Firewall) อาจเปนไดทง
ซอฟตแวรหรอฮารดแวรททาหนาทกรองแพกเกตทผาน Firewall โดยใชนโยบายการรกษาความปลอดภยทกาหนดไว แพกเกตฟลเตอรรง Firewall นนจะอนญาตใหมการเชอมตอโดยตรงระหวางไคลเอนทและเซรฟเวอร ดงนน Firewall ประเภทนจะทางานคอนขางเรวกวาแบบแอพพลเคชน Firewall เนองจากไมตองสรางคอนเนกชนใหม เราทเตอรโดยทวไปจะมหลกการทางานคอ เมอไดรบแพกเกตมากจะตรวจสอบหมายเลขไอพของเครองปลายทาง หลงจากนนเราทเตอรกจะตรวจเชคเราทตงเทเบล (Routing Table) เพอคนหาเราทเตอรหรอโฮสตปลายทางทจะสงตอไป สวนขนตอนการกรองแพกเกตของ Firewall นนจะทากอนทจะสงผานแพกเกตน แพกเกตจะถกกรองตามรายการควบคมการเขาถง (Access Control List หรอ ACL) แตละรายการของ ACL จะประกอบดวยฟลดของเฮดเดอรของไอพแพกเกตและการอนญาตหรอไมอนญาตใหผาน
2.2.3 รปแบบไฟลวอลล ทออกแบบ จากการวเคราะห Firewall ทเหมาะสมในการนามาใชงาน ไดออกแบบเปน
รปแบบผสมโดยการใชApplication Firewall รวมกบ Hardware Firewall ซงใชรปแบบการวางโครงสรางประเภท Bastion Host Firewall โดยมการใชเครองคอมพวเตอร 1 เครอง ทาหนาทเปน Firewall ขนกลางจดเชอมตอ ระหวางเครอขายภายในของกรมฯและเครอขายภายนอก (อนเทอรเนต) และใช Hardware Box ขนกลางจดเชอมตอ ระหวางเครอขายภายนอก (อนเทอรเนต) ทตองการเรยกเขามาใชงานเครองแมขายบรการของกรมฯ ขอดของระบบ
มภาระการดแลและจดการนอย และมความยดหยนในการใชงาน ขอจากดของระบบ
1) ลกษณะการทางาน เปนการปองกนแบบจดเดยว (Single Point of Defense) ซงตองรกษาความปลอดภยเครองคอมพวเตอรและ Firewall Box ทตดตงระบบ มฉะนนอาจถกโจมตจากภายนอก และจากเครอขายภายในทไมมมาตรการปองกน
2) ถาเครองททาหนาทเปน Firewall ถกเจาะได กจะสามารถเขาถงระบบเครอขายภายในทนท (Single Point of Failure)
3) ประสทธภาพในการรองรบปรมาณ Traffic ของระบบเครอขายสามารถรองรบไดในระดบหนง ในกรณทระบบเครอขายมการขยายตว จะตองมการ upgrade ระบบ หรอหาระบบอนทมความสามารถสงกวามาทดแทน
13
2.3 การวเคราะหและออกแบบการใชงานระบบตรวจจบและปองกนผบกรก (IDS : Intrusion Detection System and IPS : Intrusion Prevention System IPS Analysis and Design) 2.3.1 ระบบการตรวจจบการบกรก (Intrusion Detection System : IDS)
ระบบการตรวจจบการบกรก หรอ IDS (Intrusion Detection System) เปนเครองมอสาหรบการรกษาความปลอดภยอกประเภทหนงทใชสาหรบตรวจจบความพยายามทจะบกรกเครอขาย โดยระบบแจงเตอนผดแลระบบเมอมการบกรกหรอพยายามทจะบกรกเครอขาย IDS นนไมใชระบบทใชปองกนการบกรกแตเปนระบบทคอยแจงเตอนภยเทานน ถาเปรยบกบระบบการรกษาความปลอดภยของรถ IDS กอาจจะเปลยนไดกบระบบกนขโมย ซงระบบนจะสงสญญาณเมอมการตรวจพบความพยายามทจะขโมยรถ เชน การงดประต หรอกระจก แตระบบนไมสามารถปองกนไมใหรถถกขโมยได อยางไรกตามโดยธรรมชาตแลวขโมยจะพยายามหลกเลยงรถทตดตงระบบน ระบบเครอขายกเชนกน ถามระบบตรวจจบและแจงสญญาณเตอนการบกรก เหลามจฉาชพมกจะหลกเลยงการบกรกเครอขายน
2.3.1.1 IDS แบงออกเปน 2 ประเภท คอ Host-Based IDS และ Network-Based IDS โดย โฮสตเบสไอดเอส นนคอ ระบบทตดตงทโฮสตเฝาระวงและตรวจจบความพยายามทจะบกรกโฮสตนน สวนเนตเวรค เบสไอดเอส นนคอ ระบบทตรวจดแพกเกตทวงอยในเครอขาย และแจงเตอนถาพบหลกฐานทคาดวาจะเปนการบกรกเครอขาย
1) Host-Based IDS โฮสตเบสไอดเอสเปนซอฟตแวรทรนบนโฮสต โดยปกตแลว IDS ประเภท
นจะวเคราะหลอก (Log) เพอคนหาขอมลเกยวกบการบกรก ในระบบยนกซนนลอกท IDS จะตรวจสอบ เชน Syslog, Messages , Lastlog และ Wtmp เปนตน สวนในวนโดวนน IDS กจะตรวจสอบอเวนตลอกตาง ๆ เชน System, Application และ Security เปนตน โดยปกต IDS จะอานเหตการณใหมทเกดขนในลอกและเปรยบเทยบกบกฎทตงไวกอนหนา ถาตรงกจะแจงทนท ดงนนการท IDS จะตรวจจบการบกรกไดระบบจะตองบนทกเหตการณตาง ๆ ทสาคญทเกดขนกบระบบในลอกไฟล มฉะนน IDS กไมมขอมลทจะใชในการวเคราะห
2) Network-Based IDS เนตเวรคเบสไอดเอส คอ ซอฟตแวรพเศษทรนบนคอมพวเตอรเครองหนง
แยกตางหาก IDS ประเภทนจะมเนตเวรคททางานในโหมดทเรยกวา “โพรมสเซยส (Promiscuous Mode)” ซงในโหมดนเนตเวรคการดทรนในโหมดธรรมดานน จะรบเอาเฉพาะแพกเกตทมทอยปลายทางตรงกบเครองเทานน เมอทก ๆ แพกเกตสงผานไปใหแอพพลเคชน IDS จะวเคราะหขอมลในแพกเกตเหลานนกบกฎทไดตงไวกอนหนา ถาตรงกบกฎกจะแจงเตอนทนท
2.3.1.2 การแจงเตอนภย IDS IDS จะรายงานเฉพาะสงทกาหนดใหรายงานเทานน มอยสองสงทผดแลระบบ
จะตองคอนฟกใหกบ IDS สงแรกคอ ซกเนเจอรของการบกรก สงทสองคอเหตการณทผดแลระบบใหความสาคญหรอเหตการณทคาดวาจะเปนผลไปสการบกรกในภายหนา ซงเหตการณตาง ๆ เหลานอาจเปนทราฟฟกทไมปกตหรออาจเปนบางขอความในลอก
14
2.3.1.3 การสารวจเครอขาย เหตการณทเปนการสารวจเครอขายเปนการพยายามของผบกรกทจะรวบรวม
ขอมลเกยวกบระบบเครอขายกอนทจะโจมตจรง ๆ เชน IP Scans, Port Scans, Trojan Scans, Vulnerability Scans, File Snooping
2.3.1.4 การโจมต การโจมตเครอขายหรอระบบนนควรใหลาดบความสาคญสงสด เมอ IDS
รายงานเหตการณนผดแลระบบตองตอบสนองกบเหตการณนทนทเพอปองกนการสญเสยมากกวาน บางครง IDS อาจแยกแยะระหวางการโจมตจรง ๆ กบการสแกนหาจดออน เนองจากเหตการณทงสองนน IDS จะตรวจพบซกเนเจอรของการโจมตเหมอนกน ผดแลระบบอาจตองวเคราะหขอมลเพมเตม การสแกนหาจดออนนน IDS จะรายงานการโจมตหลายๆ รปแบบในชวงเวลาสน ๆ กบระบบใดระบบหนง สวนการโจมตจรงนนอาจมการรายงานการโจมตแครปแบบเดยวกบระบบใดระบบหนงเหตการณทนาสงสยหรอผดปกตเหตการณอน ๆ ทผดปกตและไมไดจดอยในประเภทตาง ๆ ทกลาวมาขางตนถอวาเปนเหตการณทนาสงสยวาอาจมการโจมตเครอขายเกดขน ซงผดแลระบบตองวเคราะหและสบหาสาเหตของเหตการณทวานตอ ตวอยางเชน บางโฮสตอาจสงแพกเกตทมขอมลสวนหวผดไปจากทกาหนดในมาตรฐานซงเหตการณนอาจเกดขนเนองจากการโจมตแบบ ใหม หรอเนตเวรคการดเครองสงอาจเสย
2.3.2 ระบบการปองกนการบกรก (Intrusion Prevention System: IPS) ระบบทคอยปองกนการบกรก (Intrusion Prevention System) Intrusion
Prevention System (IPS) คอ ระบบทคอยตรวจจบการบกรกของผทไมประสงคด รวมไปถงขอมลจาพวกไวรสดวย โดยสามารถทาการวเคราะหขอมลทงหมดทผานเขาออกภายในเครอขายวา มลกษณะการทางานทเปนความเสยงทกอใหเกดความเสยหายตอระบบเครอขายหรอไม เมอตรวจพบขอมลทมลกษณะการทางานทเปนความเสยงตอระบบเครอขายกจะทาการปองกนขอมลดงกลาวนน ไมใหเขามาภายในเครอขายได โดยสามารถแบงประเภทของ IPS ไดดงน คอ
2.3.2.1 แบงตามแพลตฟอรม (Network / Host based) วธการแบงประเภทตามแพลตฟอรม จะแบงออกไดเปน 2 ประเภท คอ
Network Intrusion Prevention Systems (NIPS) และ Host Intrusion Prevention Systems (HIPS) ซง NIPS เฝามองทราฟฟกภายในระบบเนตเวรกวา มการมงประสงครายจากภายนอกทนาสงสยหรอไม หรอวามกจกรรมภายในเนตเวรกทนาสงสยหรอไม ถาพบกจะปดกนเครอขายทนาสงสยเหลานน สวน HIPS นนจะถกตดตงใหอยทเครองโฮสตหนาทโดยทวไปคอ เฝามองสวนของการรองขอ (request) ของระบบแลวปดกนการรองขอทไมเหมาะสม ในสวนของ NIPS นนจะแจงเตอนปญหาและปองกนในสวนของสภาพแวดลอมของเครอขาย ในขณะท HIPS จะเจาะจงไปยงเครองโฮสตเครองใดเครองหนงเทานน
2.3.2.2 แบงตาม attack timeline เปนการแบงตามความสามารถในการตรวจจบการโจมตแบบ “zero-day”
ซงขนอยกบฐานขอมลทม แตถาไมมการอพเดตเพมเตมนน ในกรณนการโจมต “zero-day” เปนการโจมตทไมสามารถตรวจจบได แลว เมอสามารถแยกแยะรปแบบการโจมตไดแลวจงเรยกวาการโจมตทสามารถตรวจจบได ดงนนการตรวจจบการโจมตทไมสามารถตรวจจบได แตเดมจะชวยใหความสามารถใน
15
การปองกนของ IPS เพมมากขน ในขณะทการตรวจจบการโจมตทสามารถตรวจจบไดนน ทาใหแยกความแตกตางของชนดและรปแบบการโจมตไดแบบจาเพาะเจาะจงไดมากขน
2.3.2.3 รปแบบการใชงานระบบตรวจจบและปองกนผบกรก ทออกแบบ จากการวเคราะหระบบตรวจจบและปองกนผบกรก ทเหมาะสมในการ
นามาใชงาน ไดออกแบบเปนรปแบบ Network Intrusion Prevention Systems (NIPS) และ Host Intrusion Prevention Systems (HIPS) โดยรปแบบ NIPS มการใชงานผานทางเครองคอมพวเตอร 1 เครอง ทาหนาทเปน IPS ททางานรวมกบ Firewall ทขนกลางจดเชอมตอ ระหวางเครอขายภายในของกรมฯและเครอขายภายนอก (อนเทอรเนต) และใช HIPS ทตดตงมากบระบบปองกนไวรสในเครองคอมพวเตอร แมขายทาหนาทเปน IPS ขนกลางจดเชอมตอเครอขายภายนอก (อนเทอรเนต) ทตองการเรยกเขามาใชงานเครองแมขายบรการของกรมฯ 2.4 การวเคราะหและออกแบบการใชงานอนเตอรเนต (Internet Analysis and Design)
ในการใชงาน Internet ไดมการวเคราะหและออกแบบโดยใชมาตรการทางานของอปกรณเครอขายทใชกนอยในปจจบน เพอใหระบบฯ สามารถใชงานไดอยางมประสทธภาพและมเสถยรภาพ โดยมการออกแบบระบบทใชงาน ดงนคอ
2.4.1 NAT (Network Address Translation) NAT : คอ กระบวนการแปลงคา Source IP Address หรอ Destination IP Address
หรอ Source Port ในสวนหวของแพกเกตเพอใหแพกเกตนนวงเขาหรอออกตามตารางเสนทางทไดออกแบบไว NAT แบงเปน 2 ชนดใหญ ๆ ไดแก Static NAT และ Dynamic NAT
2.4.1.1 Static NAT Static NAT หรอตามมาตรฐาน RFC-3022 เรยกวา NAT (ไมมคาวา Static
นาหนา) คอ การแมปเพอแปลงคาไอพแอดเดรสระหวางไอพภายใน (private ip) กบไอพจรง (public ip) แบบหนงตอหนง เพอใหคอมพวเตอรทอยบนอนเตอรเนตมองเหนคอมพวเตอรในเครอขายภายในหนวยงานทใชไอพภายใน (private ip) ตวอยางเชน หนวยงานแหงหนงไดรบจดสรรไอพแอดเดรสชวง 200.1.1.0 – 200.1.1.255 และออกแบบใหเวบเซรฟเวอรสมารถมองเหนไดจากอนเตอรเนตผานไอพแอดเดรสหมายเลข 200.1.1.5 แตผดแลระบบกาหนดคาไอพแอดเดรสทเครองเวบเซรฟเวอรเปนไอพภายในหมายเลข 192.168.99.3 ไมไดกาหนดเปนไอพจรง ดงนนเมอตองการใหคอมพวเตอรทอยบนอนเตอรเนตสอสาร กบเวบเซรฟเวอรเครองนได กจะตองกาหนดคาคอนฟกเกยวกบ Static NAT บน Firewall เพอทาการแมประหวาง 200.1.1.5 กบ 192.168.99.3 หลงจากทไดสรางตาราง Static NAT บน Firewall แลว เมอแพกเกตทถกสรางโดยเวบเซรฟเวอรซงมไอพแอดเดรสหมายเลข 192.168.99.3 จะถกสงไปยงอนเตอรเนต โดยแพกเกตจะวงออกจากเครองตนทางผาน Firewall เมอแพกเกตมาถง Firewall กอนท Firewall จะเรมสงแพกเกตดงกลาวออกไป Firewall จะแปลง (Translate) คา Source IP Address จาก 192.168.99.3 ใหเปน 200.1.1.5 กอน จากนนจงคอยสงออกไปสอนเตอรเนต เมอมการตอบกลบจากโฮสตทอยบนอนเตอรเนตกจะมการสงแพกเกตทระบวาใหสงกลบมายงไอพแอดเดรสปลายทางหมายเลข 200.1.1.5 และขณะทแพกเกตวงเขามาถง Firewall Firewall กจะแปลง (Translate) คา Destination IP Address ใหกลบมาเปน 192.168.99.3 เพอทแพกเกตดงกลาวจะไดวงเขามาถงเครองเวบเซรฟเวอรได และหากหนวยงานแหงนม Mail Server ตงอย
16
ภายใน โดยผดแลระบบกาหนดคาไอพแอดเดรสใหเปน 192.168.99.7 และมการกาหนดท Firewall ในตาราง NAT ใหอนเตอรเนตมองเหนเปน ไอพจรงหมายเลข 200.1.1.4 ทกครงทมการสงอเมลออกไปยงอนเตอรเนตแพกเกตทถกสรางโดยเครอง Mail Server น จะถกแปลงไอพแอดเดรสตนทางใหเปน 200.1.1.4 โดย Firewall กอนทจะสงออกไปยงอนเตอรเนต และเมอมแพกเกตทมาจากอนเตอรเนต สงเขามายง Mail Server ไอพแอดเดรส 200.1.1.4 เมอแพกเกตวงเขามาถง Firewall ซงเปนดานหนา มนจะถกแปลงใหมปลายทางเปนไอพแอดเดรส 192.168.99.7 เพอทแพกเกตนจะไดเดนทางมาถงเครอง Mail Server ทใชไอพภายใน เหนไดวา Firewall มการสรางตารางคงทเพอแมปคาระหวางไอพภายในกบไอพจรงแตละคดวยคาไอพแอดเดรสทคงท เลยเปนทมาของคาวา “Static NAT”
2.4.1.2 Dynamic NAT หรอ Internet Share Static NAT หรอตามมาตรฐาน RFC-3022 เรยกวา NAPT (Network
Address Port Translation) และภาษาของผใชทวไปเรยกวา Internet Share คอการแมปเพอแปลงคาไอพแอดเดรสระหวางไอพภายใน (private ip) หนงหมายเลข โดยใชคาตวเลข Source Port เขามารวมดวย เพอให แพกเกตทถกสรางจากเครองทใชไอพภายในหมายเลขตาง ๆมคา Source IP Address เปนคาไอพจรง กอนทจะถกสงออกไปยงอนเตอรเนต เพอทาใหแพกเกตขากลบ สามารถวงกลบมายง Network ตนทางไดอยางถกตอง ตวอยางเชน หนวยงานแหงหนงเชอมตอกบ ISP และไดไอพจรงมาเพยงหมายเลขเดยว อปกรณททาหนาทเปนเราเตอร (หรอ Firewall) ซงมอนเตอรเฟสดานนอกเปนไอพจรง สมมต วาเปนหมายเลข 200.2.2.5 สวนอนเตอร เฟสดานในเปนไอพภายในหมายเลข 192.168.1.1 เมอคอมพวเตอรในเครอขาย LAN ภายใน ตองการทองเวบในอนเตอรเนต กจะมการสงแพกเกตออกไป เชน 19.2.168.1.2 สง TCP packet ไปท www.sanook.com โดยใช Source Port หมายเลข 1024 เมอแพกเกตมาถง Firewall ตว Firewall จะแปลงคา Source IP Address ใหเปนคาไอพแอดเดรสขาออกของ Firewall (ซงเปนไอพจรงหมายเลข 200.2.2.5) และแปลคา Source Port ใหเปนคา Source Port ของ Firewall วางอย เชน แปลงใหเปนหมายเลข 4001 แลวจงสงแพกเกตออกไปสอนเตอรเนต เมอมแพกเกตตอบกลบกจะเปนแพกเกตทมายง 200.2.2.5 Port 4001 Firewall กจะเปดตาราง NAT ในหนวยความจา ทาใหทราบวา TCP Session นเปนของเครอง 192.168.1.2 จากนน Firewall กจะทาการแปลงคา Destination IP และ Destination Port ใหเปน 192.168.1.2 และ 1024 ตามลาดบ ในทานองเดยวกนเครอง 192.16.1.9 และ 192.168.1.4 กตองการตดตอกบอนเตอรเนตเชนกน Firewall จะใชกลไกเดยวกนนในการจดจาวา Session ใดเปนของไอพแอดเดรสกตดตอกบเซรฟเวอรบนอนเตอรเนตหลายแหงหมายเลข Source Port ของ Firewall จะถกใชไดสงสดประมาณไมเกน Port 65535 ดงนนหาก Session ใดไมมการใชงานแลวกจะถกลบออกจากตาราง NAT ทอยในหนวยความจา เพอทหมายเลข Port เดม (บน Firewall) จะไดถกนามาใชใหมในลกษณะทเปนพลวตร จงเปนทมาขอคาวา “Dynamic NAT”
2.4.2 Proxy
Proxy เปนชอเรยกอปกรณททางานเปน Web Cache อยางไรกตามหาก Network ของเราออกแบบใหมการใชงาน Proxy กจาเปนอยางยงทจะตองมความเกยวของกบการกาหนดกฎบน Firewall ในทางปฏบตเราสามารถใชคอมพวเตอร ทตดตงโปรแกรม ISA (Microsoft Internet Security and Acceleration Server) เพอทางานเปน Proxy
17
Proxy (หรอ Web Cache) คออปกรณหรอเครองคอมพวเตอรททาหนาทเปนตวกลางระหวางเครองไคลเอนต และเวบเซรฟเวอรในการรองขอและจดสงหนาเวบเพจ ตวอยางเชน เมอ user 1 (ซงอยบนNetworkทใช Proxy) ตองการเขาชมเวบไซต www.sanook.com คารองขอหนาเวบเพจจะถกสงไปยง Proxy จากนน Proxy จะรองขอหนาเวบเพจของ www.sanook.com ให user1 แทน เมอ www.sanook.com สงหนาเวบเพจกลบมา Proxy จะเกบหนาเวบเพจดงกลาวไปบน cache พรอมทง สงหนาเวบเพจดงกลาวมาให user1 จากนนหากมผใชคนอน เชน user2 ตองการหนาเวบเพจของ www.sanook.com กจะสงคารองขอไปยง www.sanook.com แตเนองจากเปนNetworkทกาหนดใหมการใช proxy ดงนนคารองขอนจะถกสงไปยงท Proxy แทน เมอ Proxy ไดรบการรองขอดงกลาว กจะมองหาวาสงทผใชตองการมอยใน cache หรอไม หากมอยกจะสงขอมลทอยใน cache ไปให แตถาไมมกจะสงคารองขอไปยงเวบเซรฟเวอร
ประโยชนของ Proxy ม 2 คณลกษณะ คอ 2.1.2.1 เพอความเรวในการดาวนโหลดหนาเวบเพจ เนองจากหากหนาเวบเพจ รปภาพ
หรอไฟลทรองขอมอยใน cache ของ Proxy อยแลวกไมจาเปนตองดาวนโหลดจากใหมจากอนเตอรเนตความเรวในการสงหนาเวบเพจกจะเรวเทากบความเรวของระบบ LAN เพราะ Proxy มกจะไดรบการตดตงไวบน LAN เดยวกนกบผใช
2.1.2.2 เพอประหยดแบนดวดธ เพราะหากมผใชหลาย ๆ คนดาวนโหลดหนาเวบเพจ รปภาพ หรอไฟลเดยวกนโดยไมมการใช Proxy จะทาใหตองใชแบนดวดธในการดาวนโหลดคอนขางมาก ซงแปรผนตามจานวนผใช แตถาหากเราใช Proxy แลวหนาเวบเพจรป หรอไฟลจะถกดาวนโหลดจาเพยงครงเดยวแลวถกเกบไวท cache ของ Proxy ผใชทรองขอไปทหลงกจะไดรบขอมลจาก cache ของ Proxy แทน ทาใหประหยดแบนดวดธเพราะไมตองรองขอและดาวนโหลดขอมลใหม
Proxy มกจะใช Port หมายเลข 8080 หรอหมายเลข 3128 ดงนน การคอนฟกเนคเวรกเกยวกบ Proxy แบงเปน 2 กลมใหญ ๆ ไดแก การระบคา Proxy โดยตรงทบราวเซอร และการทา Auto Redirect (หรอเรยกวา transparent proxy)
2.4.3 รปแบบการใชงานระบบ Internet ทออกแบบ จากการวเคราะหขอมลระบบ Internet ทเหมาะสมในการนามาใชกบกรมพฒนาทดน ซง
มเครองแมขายทใหบรการดาน web service และเครองลกขายทขอรบบรการใชงาน Internet จานวนมาก จงไดออกแบบระบบฯทมารองรบการใชงานเปนแบบ Static NAT โดยใหมการทางานผานทาง Public IP ทกาหนดสาหรบการใชงาน Internet ของลกขาย และทาการ NAT ชนดหนงตอหนง สาหรบเครองแมขายบรการเพอรองรบการเรยกใชงานจากภายนอก จากนนจะทาการตดตงเครองแมขายทใหบรการดาน Proxy และใหเครองลกขายทกเครองตองใชงาน Internet ผานทาง Proxy เพอประหยดแบนวทชเครอขาย และสามารถกาหนด Policy ของการใชงาน Internet ได 2.5 การวเคราะหและออกแบบการเขาถง (Access Control Analysis and Design)
เปนการวเคราะหและออกแบบมาตรการควบคม ปองกนมใหบคคลทไมมอานาจหนาทเกยวของในการปฏบตหนาทเขาถง ลวงร แกไข เปลยนแปลงระบบสารสนเทศและคอมพวเตอรทสาคญ ซงจะทาใหเกดความเสยหายตอขอมลและระบบขอมลขององคกร โดยมการกาหนดกระบวนการควบคมการเขาออกทแตกตางกนของกลมบคคลตาง ๆ ทมความจาเปนตองเขาออกหองศนยคอมพวเตอร
18
2.5.1 การวเคราะหและออกแบบการเขาออกหองควบคมระบบ Network (หอง Server)
กาหนดใหมแนวปฏบตดงน 2.5.1.1 ผดแลระบบ จดระบบเทคโนโลยสารสนเทศและการสอสารใหเปนสดสวน
ชดเจน เชน สวนระบบเครอขาย (Network Zone) สวนเครองแมขาย (Server Zone) เปนตน 2.5.1.2 ผดแลระบบ ตองทาการกาหนดสทธบคคลในการเขา-ออกหอง Server
โดยเฉพาะบคคลทปฏบตหนาทเกยวของภายใน และมการตดประกาศ “ระเบยบการเขาออกหอง Server” พรอมระบรายชอเจาหนาททไดรบการกาหนดสทธไวอยางชดเจน
2.5.1.3 กรณเจาหนาททไมมหนาทเกยวของ มความจาเปนตองเขา-ออกหอง Server ตองแจงทกลมระบบเครอขายและคอมพวเตอร และกรอกแบบฟอรมขอเขาใชงานเครองแมขาย ณ หองควบคมระบบ (หอง Server) กอน โดยมมาตรการการควบคมอยางรดกม เจาหนาทกลมระบบเครอขายและคอมพวเตอร ควบคมการปฏบตงานระหวางอยในหองควบคมระบบ
2.5.2 การวเคราะหและออกแบบการเขาถงระบบเทคโนโลยสารสนเทศ
กาหนดใหมแนวปฏบตดงน 2.5.2.1 ผดแลระบบ มหนาทในการตรวจสอบการอนมตและกาหนดสทธในการผานเขา
สระบบ ใหแกผใช 2.5.2.2 เจาของขอมล และ เจาของระบบ จะอนญาตใหผใชงานเขาสระบบเฉพาะใน
สวนทจาเปนตองรตามหนาทงาน ดงนนการกาหนดสทธในการเขาถงระบบงานตองกาหนดตามความจาเปนขนตาเทานน
2.5.2.3 ผใชงานจะตองไดรบอนญาตจากเจาหนาททรบผดชอบขอมลและระบบงานตามความจาเปนตอการใชงานระบบเทคโนโลยสารสนเทศ
2.5.3 การวเคราะหและออกแบบการเขาถงขอมลของผใช
กาหนดใหมแนวปฏบตดงน 2.5.3.1 การลงทะเบยนเจาหนาทใหม กาหนดใหมขนตอนปฏบตอยางเปนทางการ
สาหรบการลงทะเบยนเจาหนาทใหมเพอใหมสทธตาง ๆ ในการใชงานตามความจาเปนรวมทงขนตอนปฏบตสาหรบการยกเลกสทธการใชงาน เชน เมอเปลยนตาแหนงงานภายในองคกร ลดตาแหนง ยายหนวยงาน หรอสนสดการจางงาน เปนตน
2.5.3.2 การบรหารจดการสทธการใชงานระบบและรหสผาน ผดแลระบบทรบผดชอบระบบงานนน ๆ กาหนดสทธของเจาหนาทในการเขาถงระบบเทคโนโลยสารสนเทศและการสอสารแตละระบบ รวมทงกาหนดสทธแยกตามหนาททรบผดชอบ การกาหนดชอผใชตองเปนหนงเดยวคอไมซากน
2.5.3.3 กาหนดสทธการใชระบบเทคโนโลยสารสนเทศทสาคญ เชน ระบบคอมพวเตอร โปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (e-Mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเตอรเนต เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผดแลระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสมาเสมอ
2.5.3.4 ผใชตองลงนามรบทราบสทธและหนาทเกยวกบการใชงานระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษรและตองปฏบตตามอยางเครงครด
19
2.5.3.5 การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบ ในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงการทาลายขอมลแตละประเภทชนความลบ ตองกาหนดรายชอผใช (Username) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบของขอมล การรบสงขอมลสาคญผานเครอขายสาธารณตองทาการเขารหส (Encryption) ทเปนมาตรฐานสากล กาหนดใหเปลยนรหสผานตามระยะเวลาทกาหนดของระดบความสาคญของขอมล
2.5.4 แนวปฏบตการควบคมการเขาใชงานระบบจากภายนอก
กาหนดใหมแนวปฏบตดงน 2.5.4.1 มการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบ
โดยการโทรศพทเขาองคกรนนตองมการดแลและการจดการโดยผดแลระบบและวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน
2.5.4.2 การอนญาตใหผใชเขาสระบบขอมลจากระยะไกลตองอยบนพนฐานของความจาเปนเทานน ไมเปดพอรตและโมเดมทใชทงเอาไวโดยไมจาเปน ชองทางดงกลาวตองตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดเมอมการรองขอทจาเปนเทานน
2.5.4.3 การเขาสระบบจากระยะไกล (Remote access) เพอเพมความปลอดภยจะตองมการ ตรวจสอบเพอพสจนตวตนของผใชงาน เชน รหสผาน หรอวธการเขาหส เปนตน
2.6 การวเคราะหและออกแบบการใชงานจดหมายอเลกทรอนกส (Electronic Mail Analysis
and Design) จดหมายอเลกทรอนกส (E-Mail) คอ การสงขอความหรอขาวสารจากบคคลหนงไปยงบคคล อน ๆ
ผานทางคอมพวเตอรและระบบเครอขายเหมอนกบการสงจดหมาย แตอยในรปแบบของสญญาณขอมลทเปนอเลกทรอนกส โดยเปลยนการนาสงจดหมายจากบรษไปรษณยมาเปนโปรแกรม และเปลยนจากการใชเสนทางจราจรคมนาคมทวไป มาเปนชองสญญาณรปแบบตางๆ ทเชอมตอระหวางเครอขายคอมพวเตอร ซงจะตรงเขามาส Mail Box ทถกจดสรรใน Server ของผรบปลายทางทนท
2.6.1 โปรโตคอลท ใชในการสอสารขอมลดานอ เมลในระบบเครอขายอนเทอร เนต ประกอบดวย
2.6.1.1 SMTP (Simple Message Transfer Protocol ) ทาหนาทสงอเมลจากเซรฟเวอรของผสงไปยงเมลเซรฟเวอรของผรบ
2.6.1.2 POP (Post Office Protocol) กระบวนการสงเมลจะสนสดเมอผสงสงใหเมลไคลเอนทสงขอมลไปถงเมลเซรฟเวอรของผรบและอเมลนนจะถกจดเกบไวในเมลบอกซของผรบทเครองเมลเซรฟเวอร
2.6.1.3 IMAP (Internet Message Access Protocol) คอ โปรโตคอลทใชในการจดการเมลบอกซ ในการใชงาน E-Mail จาเปนจะตองม E-Mail Address ซงเปรยบเหมอนทอยทางอนเตอรเนตของแตละคน จะแทนดวยชอหรอรหสทใชแทนตว แลวตามดวยชอของ Mail Server ทใหบรการ เชน [email protected] โดยทวไป E-Mail Address จะประกอบดวย User ID ใชเปนชอหรอ
20
รหสประจาตวของผใชบรการแตละคน เครองหมาย @ และDomain Name ของ Mail Server ทใชบรการ
2.6.2 ประเภทของจดหมายอเลคทรอนกสททาใหระบบฯเกดปญหา
2.6.2.1 Spam mail คอ จดหมายอเลคทรอนกสทผสงสวนใหญมความประสงคทจะโฆษณาสนคาหรอบรการทตวเองม
2.6.2.2 Chain mail คอ เปนจดหมายอเลคทรอนกสทมขอความเหมอนจดหมายลกโซทเราเคยไดรบโดยทวไป เนอหากจะเปนเรองคาเตอนเกยวกบไวรส หรอเรองอน ๆ แตทสาคญคอ บอกวาใหสงขอความนใหกบคนทรจก
2.6.2.3 Bomb mail คอ การกอกวนผรบจดหมายอเลคทรอนกส หรอระบบจดหมายอเลคทรอนกสของเครอขาย โดยสงจดหมายอเลคทรอนกสเปนจานวนมาก ๆ ไปยงผรบจดหมายอเลคทรอนกสหรอระบบจดหมายอเลคทรอนกส
2.6.2.4 Mail Virus เปนจดหมายอเลคทรอนกสทม Attached File เปนไวรสทตดมากบจดหมายอเลคทรอนกสดวย ซงไวรสนสามารถ Execute ไดเมอผอานคลกเพอเปดไฟลนน
2.6.2.5 Hoax mail เปนรปแบบหนงของการกอกวนทมผลตอผใชคอมพวเตอรจานวนมาก โดยไวรสหลอกลวงพวกนจะมาในรปของจดหมายอเลกทรอนกส การสงขอความตอ ๆ กนไปผานทางโปรแกรมรบสงขอความ หรอหองสนทนาตาง ๆ ซงสามารถสรางความวนวายใหเกดขนไดมากหรอ นอยเพยงใด กขนกบเทคนค และการใชจตวทยาของผสรางขาวขนมา
2.6.3 Mail Spam / Bomb คออะไร
Spam mail คอ อเมลทเราไมตองการ เปนประเภทหนงของ Junk mail จดประสงคของ Spam mail นน ผสงสวนใหญตองการโฆษณาบรการตาง ๆ ทตวเองม สวนจดประสงคหลกของ Bomb mail คอ การกอกวนผรบหรอระบบเมลของเครองขายนน โดยทวไป Spam Mail เปนการสงอเมลแตละฉบบไปหาคนจานวนมาก สวน Bomb mail เปนการเมลจานวนมากไปหาคน ๆ หนงหรอระบบเมลใดระบบเมลหนง
2.6.4 วธการปองกน Spam
การสงอเมลเปนการสอสารทเสยคาใชจายนอยและสามารถเขาถงกลมผบรโภคไดจานวนมาก ผทสราง SPAM กคอพวกทตองการเขาถงกลมผบรโภคใหไดมากทสดเพอจดประสงคในการโฆษณาขายสนคา , ประชาสมพนธ ทางธรกจของตน จงใชวธการใหไดมาซงอเมลแอดเดรสของกลมผบรโภคทเปนกลมเปาหมาย ซงอาจเปนไดจากหลายกรณ เชน การทเราสงตออเมลตาง ๆ การใชอเมลแอดเดรสในการสมครสมาชกของกลมขาว (newsgroup) หรอสมครสมาชกของเวบไซตตาง ๆ เปนตน
SPAM เกดจากการทผสราง SPAM รจกอเมลแอดเดรสของเรา ดงนนการปองกนทตนเหตทดทสด คอการปองกนไมใหคนอนทไมจาเปนหรอไมเกยวของในตดตอรจกอเมลแอดเดรสของเรา แตถาหากเราไมสามารถปองกนทตนเหตไดตงแตแรก และเคยไดรบ SPAM อเมลมาแลว เรากตองหนมาปองกนทปลายเหต โดยใชความสามารถของอเมลไคลเอนท เชน Microsoft Outlook ในการกรอง SPAM อเมล หรอ/และรวมกบความสามารถของอเมลเซรฟเวอร เชน Microsoft Exchange หรอ ซอฟตแวร Anti-spam เพมเตมตามความเหมาะสม โดยออกแบบการปองกน SPAM ดงน ใช Outlook ในการกรองอเมล
21
SPAM หลกเลยงการตอบอเมล SPAM และไมควรสงตออเมลประเภท Chain e-mail หรอ Forward mail
2.6.5 การออกแบบการใชงานจดหมายอเลกทรอนกส
จากการวเคราะห ไดออกแบบใหระบบฯ ใชงานผานทาง Anti-virus Gateway คอ ระบบการปองกนและกาจดไวรสคอมพวเตอร ณ ตนทางเขาของอเมล เปนระบบกาจดไวรสแบบรวมศนย นนคอ เปนระบบทกาจดไวรสกอนทจะเขาถง อเมล Box หรอ อเมล Server ของทาน ซงระบบ Anti-virus Gateway น อาจจะรวมไปถงการปองกนและตรวจสอบจดหมายขยะ (SPAM) ดวยระบบการทางานของ Anti-virus Gateway นจะทาการตรวจสอบไวรสจากอเมลทกฉบบทงสงเขาและสงออกไป เพอตรวจจบและฆาไวรสทมปนมากบอเมลตาง ๆ รวมถงทปนมากบไฟลทแนบไปดวย หากอเมลฉบบใดตดไวรส กจะมการแจงเตอนไปยงผสง รวมถงจะมรายงานใหกบผดแลระบบเปนรายวน รายสปดาห และ รายเดอนอกดวย ซงจะทาใหบรการนเปนบรการทอานวยความสะดวกและความปลอดภยใหหนอยงานตางๆ ทใชอเมล ในการตดตอสอสารขอมลไดทางานอยางปลอดภย
22
บทท 3 ขนตอนการตดตงและบรหารจดการระบบ
ศนยสารสนเทศ กรมพฒนาทดน ไดมการจดแบงหมวดหมการดาเนนงานดานระบบ
สารสนเทศและคอมพวเตอร ออกตามลกษณะของงานและอปกรณทเกยวของ เปน 2 สวน คอ
3.1 การตดตงและบรหารงานระบบดานเครอขาย (Installation and Operation of the Network) ประกอบดวย
3.1.1 งานดานการบรหารจดการเครอขาย โดยใชระบบแลนเสมอน (Virtual LAN) 3.1.2 งานดานการควบคมเครอขาย โดยใชระบบรายการควบคมการเขาถงแอส
เซทคอนโทรลส (Access List Control) 3.1.3 งานดานการรกษาความปลอดภยเครอขาย โดยใชระบบอปกรณดานกนบก
รก (Hardware Firewall)
3.2 การตดตงและบรหารงานระบบดานคอมพวเตอร (Installation and Operation of the Computer) ประกอบดวยรปแบบเสมอน (Virtual)
3.2.1 งานดานการรกษาความปลอดภยคอมพวเตอร โดยใชระบบสวนชดคาสงดานกนบกรก (Software Firewall)
3.2.2 งานดานการรกษาความปลอดภยคอมพวเตอร โดยใชชดคาสงปองกนไวรสในทางคอมพวเตอร (Software Antivirus)
3.2.3 งานดานการบรหารจดการคอมพวเตอร โดยใชระบบเครองแมขายเสมอน (Virtual Machine (VM))
3.2.4 งานดานการบรการโดยใชระบบบรหารจดการการตดสนใจเชงพนท (Executive Information System: EIS ดานการพฒนาทดน)
รายละเอยดขนตอนและวธการปฏบตงานของระบบทง 2 สวนนน ตองทางานทเกยวของและสมพนธกน ไมไดมการแบงแยกเปนสวนใดสวนหนงอยางสนเชง เนองจากทกระบบถอเปนองคประกอบททาใหระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน ทางานไดอยางมประสทธภาพและมเสถยรภาพ
3.3 แผนภาพการบรหารระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน
3.1 การตดตงและบรหารระบบดานเครอขาย (Installation and Operation of the Network)
3.1.1 งานดานการบรหารจดการเครอขาย โดยใชระบบแลนเสมอน (Virtual LAN) 3.1.1.1 การตดตงระบบ Vlan VLAN คอ การแบงกลมของสวตซภายในเลเยอร 2 ทไมขนกบ ลกษณะทางกายภาพ
ใดๆกลาวแบบงาย ๆ กคอ เราไมจาเปนทจะตองนาสวตซมาตอกนเปนทอดๆ เพอจดกลมของสวตซวาสวตซกลมนคอ กลมเดยวกน แตเราสามารถทจะจดกลมให สวตซทอยหางไกลกนออกไปนน เปนสมาชกของสวตซอกกลมหนงทางแนวตรรกกะ (Logical Design) ไดในกระบวนการทางานของสวตซ เลเยอร 2
23
นน ถงแมวาตวสวตซเองจะสามารถลดปรมานของ โดเมนปะทะ (Collision Domain) ไปได ใหเหลอเพยง 1 Collision Domain ตอ 1 พอรทของสวตซ แลวกตาม แตทวา ทกพอรทของสวตซนน กยงคงม บรอดคาสทโดเมน (Broadcast Domain) อยด ซงหากวาเรานาสวตซมาตอกนหลาย ๆ จด และมการใชงาน บรอดคาสทโดเมนขนมา นนหมายถงวา กยงคงทจะมทราฟฟก (Traffic) ทเปนสวนเกนออกมาอยด ซง ทราฟฟกจาพวกนจะเปนตวททาใหระบบเนตเวรกเกดความลาชา และสนเปลอง CPU ในการประมวลผลของอปกรณดไวซตาง ๆ โดยไมจาเปน ซงการทา VLAN น จะมาชวยแกปญหาตรงจดนได เนองจากใน การทา VLAN น จะเปนการจากดวงของบรอดคาสทโดเมนใหอยภายในพอรท หรอ ดไวซทเรากาหนดเทานน ซงทราฟฟกจะไมถกสงผานไปยงบรอดคาสทโดเมนอน ๆ หากไมมการคอนฟกหรอปรบแตง เพมเตม และในทางการรกษาความปลอดภยในระบบเครอขายนน ทกพอรทของสวตซนน ถอวาเปน บรอดคาสทโดเมนเดยวกน ซงทราฟฟกทวงออกมาจากพอรทของสวตซทกพอรทนน สามารถทจะมองเหนเฟรมขอมลนนได หากวามใครสกคนหนงทาตวเปน สนฟเฟอรโหมด (Sniffer Mode) เพอดกจบขอมลไปได แตหากเมอมการทา VLAN แลว เราสามารถทจะควบคมทราฟฟกใหอยในเฉพาะขอบเขตทเราตองการได เชน ตองการให สวตซพอรทท 1-5 ของสวตซ 1 ซงอยชนท 1 เปนสมาชกเดยวกนกบ สวตซพอรทท 6-8 ของสวตซ 3 ทอยชนท 3 กเปนได โดยท ทราฟฟกจะไมถกสงออกไปยงพอรทอน ๆ ของสวตซตวมนเองและสวตซตวอนอก ซงเปนมาตรการในการรกษาความปลอดภยเบองตนของระบบเนตเวรก
ในการตดตงระบบ Vlan นน จะตองเขาไปกาหนดในอปกรณ Switch แบบ Managed ซงกรมพฒนาทดนมการใชงาน Cisco Switch เปนอปกรณหลกในการควบคมเครอขายของกรมฯ โดยในขนแรกจะตองรวบรวมขอมลของหนวยงานทงหมด วามจานวนทงสนกหนวยงาน เพอมาจดทาแผนงานการสราง Vlan ใหครบตามจานวนหนวยงาน จากนนจงเขาไปกาหนดคา Configuration ในอปกรณ Switch ตามชดคาสง ดงตอไปน
C6506-2557#configure terminal Enter configuration commands, one per line. End with CNTL/Z. C6506-2557(config)#vlan 400 C6506-2557(config-vlan)#name Test C6506-2557(config-vlan)# % Applying VLAN changes may take few minutes. Please wait... C6506-2557#conf t Enter configuration commands, one per line. End with CNTL/Z. C6506-2557(config)#interface vlan 400 C6506-2557(config-if)#ip address 10.1.40.254 255.255.255.0 C6506-2557(config-if)#description ## Vlan for Testing ## C6506-2557(config-if)# C6506-2557#show interfaces vlan 400 Vlan400 is administratively down, line protocol is down Hardware is EtherSVI, address is fc5b.3916.1500 (bia fc5b.3916.1500) Description: ## Vlan for Testing ## Internet address is 10.1.40.254/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
24
reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive not supported ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec L2 Switched: ucast: 441 pkt, 33516 bytes - mcast: 0 pkt, 0 bytes L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes L3 out Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 interface resets 0 output buffer failures, 0 output buffers swapped out
จากชดคาสงเปนการสราง Vlan 400 สาหรบใชทดสอบการทางาน ซงในการกาหนด Vlan นน จะตองใหครบตามจานวนของหนวยงาน เนองจากจะตองกาหนด IP Address ของแตละหนวยงานอยคนละเครอขายกน เพอปองกนปญหาจาก broadcasting รบกวน และกรณทเครองใดเครองหนงในเครอขายเกดปญหาแลวสงผลกระทบกบเครอขายทงหมด
3.1.1.2 การบรหารจดการเครอขาย โดยใชระบบแลนเสมอน (Virtual LAN) ในการบรหารจดการเครอขายนน มความจาเปนทจะตองทาการแบงแยกเครอขาย
แตละหนวยงานออกจากกน เพอใหสามารถบรหารจดการแตละเครอขายไดอยางเปนเอกภาพและไมเกดปญหาการรบกวนการทางานของระบบเครอขายรวม โดยเครองมอทชวยในการบรหารจดการทเปนสากลและใชงานกนอยางแพรหลาย คอการแบงแยกเครอขายผานทางระบบวแอลเอเอน (VLAN) หรอแลนเสมอน (Virtual LAN) ซงเปนฟงกชน (Function) มาตรฐานสาหรบการจดการอปกรณสวทซในชนสอสารระดบ ท 2 (Managed Switch Layer 2) ทมการใชงานอยในปจจบน
วแอลเอเอน (VLAN) คอ การแบงกลมเครอขายของสวตซภายในเลเยอร 2 ทไมขนกบลกษณะทางกายภาพใดๆ แตสามารถจดกลมใหทางแนวตรรกะ (Logical Design) ซงการทาวแอลเอเอน (VLAN) น ชวยแกปญหาการใชงานบรอดคาสทโดเมน(Broadcast Domain) เนองจากในการทาวแอลเอเอน (VLAN) น เปนการจากดขนาดวงของบรอดคาสทโดเมนใหอยภายในพอรทหรอดไวซ (device) ทกาหนด ถอเปนมาตรการในการรกษาความปลอดภยเบองตนของระบบเครอขาย
25
ศนยสารสนเทศ กรมพฒนาทดน ไดแบงการทางานวแอลเอเอน (VLAN) ออกเปน 2 ประเภท คอ วแอลเอเอน (VLAN) จาแนกตามหนวยงาน และวแอลเอเอน (VLAN) จาแนกตามภารกจเฉพาะดาน
สาหรบ วแอลเอเอน (VLAN) ทมการใชงานในปจจบนมจานวน 32 วแอลเอเอน (VLAN) ไดแก
1. VLAN 1 = Native VLAN 2. VLAN 2 = DMC Zone 3. VLAN 3 = หองอบรม 4. VLAN 4 = ผบรหาร 5. VLAN 5 = สานกงานเลขานการกรม 6. VLAN 6 = กองการเจาหนาท 7. VLAN 7 = กองคลง 8. VLAN 8 = กองแผนงาน 9. VLAN 9 = กองสารวจดนและวจยทรพยากรดน 10. VLAN 10 = สานกวทยาศาสตรเพอ
การพฒนาทดน 11. VLAN 11 = สานกเทคโนโลยการสารวจ 12. VLAN 12 = กองนโยบายและแผนการ
และทาแผนท ใชทดน 13. VLAN 13 = กองวจยและพฒนาการจดการทดน 14. VLAN 14 = สานกวศวกรรมเพอการ
พฒนาทดน 15. VLAN 15 = กองเทคโนโลยชวภาพทางดน 16. VLAN 17 = หมอดนอาสา 17. VLAN 18 = หญาแฝก 18. VLAN 19 = ตรวจสอบภายใน 19. VLAN 24 = สานกผเชยวชาญ 20. VLAN 25 = อาคารปยหมก 21. VLAN 26 = หองประชม 22. VLAN 28 = IPPhone 23. VLAN 29 = Video Conference 24. VLAN 30 = ศนยสารสนเทศ 25. VLAN 33 = กลอง CCTV 26. VLAN 53 = ระบบ LDD Hot Spot 27. VLAN 54 = ระบบ LDD Hot Spot 28. VLAN 55 = ระบบ LDD Hot Spot 29. VLAN 70 = โครงการ GIN 30. VLAN 91 = NAS 31. VLAN 300 = Firewall 32. VLAN 301 = Firewall
ในการตดตงระบบ วแอลเอเอน (VLAN) ตองกาหนดคาคอนฟกเรชน (Configuration) ใหกบอปกรณสวทซ(Switch) ยหอซสโก (Cisco) ทกเครองทมการตอเชอม ซงประกอบดวยอปกรณกระจายสญญาณแบบหลก (Core Switch) ยหอซสโก (Cisco) รน 6506 อปกรณกระจายสญญาณแบบกระจาย (Distributed Switch) ยหอซสโก (Cisco) รน 3650 และ อปกรณกระจายสญญาณแบบเขาถง (Access Switch) ยหอซสโก (Cisco) รน 2960 ขนตอนแรกในการเรมตนใชงานจะตองใชวธการเขยนระบคาสงบนบรรทดคาสง (Command Line) ผานทางคอนโซล พอรต (Console Port) เพอกาหนดคาคอนฟกกเรชน (Configuration) จากนนเมอกาหนดคาการทางานเบองตนเรยบรอยแลว จงใชวธการ Remote ผานทางเครอขาย ซงงายตอการควบคมและตรวจสอบวาการกาหนดคาตาง ๆ ของระบบครบถวน
26
27
ขนตอนการตดตงและดาเนนการ 1) เชอมสายโรลโอเวอร (Rollover) ผานคอนโซล พอรต (Console Port) ของ
อปกรณสวทซ(Switch) ยหอซสโก (Cisco) เขากบเครองคอมพวเตอรควบคมระบบฯ 2) ตดตอกบระบบผานทางโปรโตคอลรปแบบซเคยวรชล (Secure Shell) 3) ระบบใหระบรหสผใชงาน (User) และรหสผาน (Password) ทใชงานใหใชคา
เรมตน อปกรณยหอซสโก (Cisco) ทกาหนดมาจากโรงงาน จากนนใหกาหนดคาหมายเลขอางองในการตดตอสอสาร (IP Address) สาหรบสวนตอประสาน (Interface) ทเปนชองทางการควบคม (Managed Port) กาหนดคารหสผใชงาน (User) และเปดใหสามารถใชงานรหสผาน (Enable Password) ทใชงาน จากนนใหบนทก (Save) และเรมตนระบบใหม (Restart) ระบบฯ เมอสามารถเชอมตออปกรณผานทางเครอขายแบบมสาย (LAN) ไดแลว ใหเขาสระบบ (Log-in) เขาไปในระบบ เพอทาการตงคาคอนฟกกเรชน (Configuration) ระบบ วแอลเอเอน (VLAN) ตอไป
3.1.2 งานดานการควบคมเครอขาย โดยใชระบบรายการควบคมการเขาถงแอสเซท
คอนโทรลส (Access List Control) 3.1.2.1 การตงคา Access List Control บนอปกรณเครอขาย Access Control List ( ACL ) คอ การกรอง packet ทจะเขาออก Router หรอ
Switch Layer 3 ใหเปนไปตามเงอนไขทเราตองการ และมสวนชวยในเรองของ IT Security แตมขอเสยคอไปเพม load cpu ใหกบ Router เพราะหนาทหลกของ Router คอการพา packet ไปใหถกเสนทางหรอการหาเสนทาง ไมใชทาหนาทกรอง packet และการตงคา ACL ทผดพลาด จะสงผลให Network มปญหาได การกรอง packet ควรจะเปนหนาทของ Firewall มากกวา แตสาหรบ Network ทไมใหญมาก การทาACL บน Router นนเปนทางเลอกหนงทสามารถทาได
การ Configuration ACL บน Router หรอ Switch Layer 3 นน ทาได 2 วธการ คอวธการแบบตวเลข และวธการแบบชอ (Name ACL) โดยมรปแบบการกาหนดคา Configuration ในอปกรณ ตามชดคาสง ดงตอไปน
ip access-list extended vlan11 deny udp any any eq 1900 deny tcp any any eq 1900 deny ip host 239.255.255.250 any deny ip any host 239.255.255.250 deny ip 192.168.0.0 0.0.255.255 any deny ip any 192.168.0.0 0.0.255.255 permit ip any host 203.148.250.189 permit ip host 10.1.11.252 any permit ip host 10.1.11.253 any permit ip host 10.1.11.254 any deny tcp any any eq 1935 permit ip host 10.1.11.1 10.0.0.0 0.255.255.255 permit tcp host 10.1.11.107 host 10.1.1.111
28
deny tcp any any eq 445 permit tcp any any eq 554 permit tcp any any eq 1755 permit tcp any any eq 1935 permit tcp any any eq 2638 permit tcp any any eq 3389 permit tcp any any eq 5060 permit tcp any any eq 5061 permit tcp any any eq 8005 permit tcp any any eq 8080 permit tcp any any eq 8081 permit tcp any any eq 8443 permit tcp any any eq 8888 permit tcp any any eq 9090 permit udp any any eq 8080 permit udp any any eq 8888 permit udp any any eq 9999 deny tcp any any eq 593 deny tcp any any eq 6667 deny udp any any eq 135 deny udp any any range 2000 65535 deny tcp any any range 2000 65535 permit tcp host 10.1.11.10 any eq 1863 permit tcp host 10.1.11.11 any eq 1863 permit tcp host 10.1.11.28 any eq 1863 permit tcp host 10.1.11.49 any eq 1863 permit tcp host 10.1.11.69 any eq 1863 permit tcp host 10.1.11.132 any eq 1863 permit ip 10.1.11.0 0.0.0.255 host 58.147.79.136 permit ip 10.1.11.0 0.0.0.255 host 203.144.194.45 permit ip 10.1.11.0 0.0.0.255 host 202.142.200.131 permit ip 10.1.11.0 0.0.0.255 host 61.19.249.103 permit ip 10.1.11.0 0.0.0.255 host 203.113.9.104 permit ip 10.1.11.0 0.0.0.255 host 203.113.9.105 permit ip 10.1.11.0 0.0.0.255 host 202.60.199.44 permit ip 10.1.11.0 0.0.0.255 host 203.146.250.200 permit ip host 10.1.11.222 10.0.0.0 0.255.255.255
29
จากชดคาสงเปนการสราง ip access-list extended vlan 11 สาหรบสานก
วทยาศาสตรเพอการพฒนาทดน จากนนจะนาชดคาสงของ ACL นไปประกาศกาหนดไวใน Vlan 11 เพอควบคมการใชงานของหนวยงานใหเปนไปตามทกาหนด ทงในสวนของ IP Address ทอนญาตใหใชงาน และ Protocol ทอนญาตใหใชงาน ทงนจะตองสราง ACL ใหกบทกหนวยงานเพอใหเปนไปตามมาตรฐานเดยวกน
3.1.2.2 การควบคมเครอขายโดยใชระบบแอสเซทคอนโทรลส (AccessList Control(ACL))
การควบคมเครอขายผานทางอปกรณสวทซในชนสอสารระดบท 3 (Managed Switch Layer 3) และอปกรณเราเตอร (Router) ยหอซสโก (Cisco) เพอใหมปรมาณขอมลผานชองทางของเครอขายในชวงเวลาหนงๆในปรมาณทเหมาะสม และจากดการใชงานใหเปนไปตามขอกาหนด จงไดมการนาระบบแอสเซทคอนโทรลส (Access List Control) ซงเปนฟงกชนการทางานของอปกรณยหอซสโก (Cisco) มาใชในการควบคมเครอขาย ใหสามารถทางานไดอยางมประสทธภาพ
การทางานของแอสเซทคอนโทรลส (Access List Control) คอ การกรองแพกเกต (packet) ทเขาออก อปกรณเราเตอร (Router) หรอ สวทซในชนสอสารระดบท 3 ใหเปนไปตามเงอนไขทกาหนดเพอควบคมการ ใชงานและชวยในเรองของการรกษาความปลอดภยเครอขาย แตมขอเสยคอเพมภาระการหนวยประมวลกลาง (Load central processing unit) ใหกบ อปกรณเราเตอร (Router) เพราะหนาทหลกของอปกรณเราเตอร (Router) คอการนาพาแพกเกต (packet) ไปใหถกเสนทางหรอการหาเสนทาง ไมใชทาหนาทกรองแพกเกต(packet) และการตงคาแอสเซทคอนโทรลส (Access List Control) ทผดพลาด อาจสงผลใหเครอขายมปญหาได แตการทา แอสเซทคอนโทรลส (Access List Control) บนอปกรณเครอขายสวทซในชนสอสารระดบท 3 นน เปนทางเลอกหนงทใชในการควบคมเครอขายใหมการทางานไดอยางมเสถยรภาพเพมขน
ศนยสารสนเทศ กรมพฒนาทดน มการนาระบบ แอสเซทคอนโทรลส (Access List Control) มาใชงานรวมกบระบบวแอลเอเอน (VLAN) เพอควบคมการ ใชงานระบบเครอขายของกรมพฒนาทดนใหเปนไปตามขอกาหนดทวางไว ไดแกการควบคมหมายเลขอางองในการตดตอสอสาร (IP Address) ของแตละวแอลเอเอน (VLAN) การควบคมการใชงานทซพพอรต (TCP Port) และยดพพอรต (UCP Port) และการควบคมการเชอมตอระหวางแตละ วแอลเอเอน (VLAN)
30
31
ขนตอนการตดตงและดาเนนการ 1) ตดตอกบระบบผานทางโปรโตคอลซเคยวรชล (Secure Shell) บนเครอง
คอมพวเตอรควบคมระบบ 2) ระบบจะใหระบรหสผใชงาน (User) และรหสผาน (Password) ทใชงาน
ใหใชคาทไดกาหนดไว 3) ทาการตงคาคอนฟกกเรชน (Configuration) ระบบเอซแอล (ACL) ตาม
ขนตอนตอไป
3.1.3 งานดานการรกษาความปลอดภยเครอขาย โดยใชระบบอปกรณดานกนบกรก (Hardware Firewall)
การรกษาความปลอดภยเครอขายเปนสงทมความสาคญเปนอยางมาก และตองปฏบตเปนอนดบแรกในการวางระบบเครอขาย โดยเครองมอมาตรฐานทนามาใชงานคอระบบดานกนบกรก (Firewall) ซงมทงแบบอปกรณทเปนสวนเครอง (Hardware) และชดคาสงทเปนสวนชดคาสง (Software) โดยทความสามารถหลกของดานกนบกรก (Firewall) ทง 2 แบบ คอ เปนจดควบคมขอมลจากเครอขายภายนอกหรอเครอขายอนเทอรเนต ทเขามาในเครอขายภายในขององคกร และเปนจดควบคมขอมลจากเครอขายภายในองคกร ทออกไปใชงานเครอขายภายนอกหรอเครอขายอนเทอรเนต โดยทดานกนบกรก (Firewall) ตองบงคบใหขอมลเครอขายเหลานเปนไปตามกฎและนโยบายความปลอดภยทองคกรกาหนด
Firewall หมายถง กาแพงกนไฟ ซงสรางไวปองกนไฟทไหมจากบรเวณหนงลกลามไปบรเวณอน เพราะฉะนนเมอนามาใชกบระบบเครอขายจะมลกษณะการทางานทคลายกน โดยทาหนาทปองกนอนตรายทมาจากอนเทอรเนต ซงตาแหนงการตดตงดานกนบกรก (Firewall) จะถกตดตงในจดทเครอขาย ภายในตดตอกบเครอขายภายนอกหรอเครอขายอนเทอรเนต
ศนยสารสนเทศ กรมพฒนาทดน ไดนาอปกรณดานกนบกรก (Hardware Firewall) มาใชงานรวมกบระบบชดคาสงดานกนบกรก (Software Firewall) โดยระบบอปกรณดานกนบกรก (Hardware Firewall) ทนามาใชงานคออปกรณยหอซสโก Cisco รน เอเอสเอ5540 (ASA 5540) ซงเปนผลตภณฑ อปกรณดานกนบกรก (Hardware Firewall) ทสามารถทางานตงแตชนสอสารระดบท 3 ( Layer 3 ) ชนเครอขาย (Network) ไปจนถงชนสอสารระดบท 7 (Layer 7) ชนโปรแกรมประยกต (Application) เพอรกษาความปลอดภยระบบเครอขายของกรมพฒนาทดน ใหเปนไปตามขอกาหนดทวางไว ไดแก การควบคมการเรยกใชงานเวบไซต (Website) ทเปนอนตราย การควบคมการใชงานการบรการอนเตอรเนต (Internet Service) การควบคมการใชงานเครอขายทางสงคม (Social Network) การควบคมการบรรจลง (Download) ขอมล การควบคมการบกรกจากใชงานจากเครอขายอนเทอรเนต และการควบคมโปรโตคอล (Protocol) การเชอมตอระหวางเครอขายอนเทอรเนตกบเครอขายภายในของกรมพฒนาทดนตามทมหนวยงานรองขอ
3.1.3.1 การตดตงระบบ Hardware Firewall การกาหนดคา Configuration ของระบบฯ ขนตอนแรกในการเรมตนใชงานจาเปน
จะตองใชวธการเขยนระบคาสงบน Command Lind ผานทาง Console Port ของอปกรณ เพอกาหนดคา IP Address และ User Permission ทในการใชเชอมตอกบระบบฯ จากนนเมอสามารถ
32
ตดตอผานทางเครอขาย LAN กบระบบฯไดแลว จงใชการเชอมตอผานเครอขาย เพอ Download และ ตดตง GUI (Graphic User Interface) Application และกาหนดคา Configuration ผานทางโปรแกรม Cisco ASDM Launcher ซงจะงายตอการควบคมและตรวจสอบวา การกาหนดคาตาง ๆ เปนไปตามทกรมพฒนาทดนไดกาหนดไวครบถวนหรอไม เนองจากการทางานของโปรแกรม จะแสดงคาการกาหนดตาง ๆ เปนรปภาพพรอมคาอธบาย สวนในการทางานเบองหลงของโปรแกรมจะแปลงคาทกาหนดไวทงหมด ไปเปน Source Code บน Command Lind เพอควบคมการทางานบนระบบอกครงหนง
ขนตอนการตดตง 1) เชอมสาย Rollover ผาน Console Port ของอปกรณ ASA เขากบเครอง
คอมพวเตอรควบคมระบบฯ 2) ตดตอกบระบบผานทางโปรแกรม SSH (Secure Shell) 3) ระบบจะใหระบ User Password ทใชงาน ใหใชคาเรมตน Cisco ทมาจาก
โรงงาน
ภาพท 2 การระบ Username เพอเชอมตอระบบ
4) ใหกาหนดคา IP Address สาหรบ Interface ทเปน Managed Port กาหนดคา User และ Enable Password ทจะใชงาน จากนนให Save และ Restart ระบบฯ
ภาพท 3 การใชโปรแกรม SSH เชอมตอระบบ
33
เมอสามารถเชอมตอผานทางเครอขาย LAN ไดแลว ตอสาย LAN เขากบ Port Managementของอปกรณ ASA จากนนให Log-In เขาไปในระบบฯ เพอDownload Application ASDM Launcher ทใชในการควบคมแบบ GUI (Graphic User Interface) มาตดตง ไวทเครองคอมพวเตอร ทควบคมระบบฯ ตามขนตอนดงตอไปน
5) เปดโปรแกรม Internet Browser และระบ URL ไปท IP Management ของระบบ
ภาพท 4 การใชโปรแกรม Internet Browser เชอมตอระบบ 6) ปรากฏหนาตาง Untrusted Connection ใหเลอก I Understand the Risks
จากนนกดปม Add Exception
ภาพท 5 การใชโปรแกรม Internet Browser เชอมตอระบบ
34
7) ปรากฏหนาตาง Add Security Exception ใหกดปม Get Certificate จากนนกดปม Confirm Security Exception
ภาพท 6 การ Confirm Security Exception 8) ปรากฏหนาตาง Cisco ASDM 6.1 ใหกดปม Install ASDM Launcher and
run ASDM จะ ปรากฏหนาตาง Authentication Required ใหระบ User และPassword ทสามารถเรยกใชงานระบบ จากนนจะเปนการ Download File ชอ ASDM- Launcher.MSI ซงเปนไฟลทใชในการตดตง มาเกบไวในเครอง ใหคลกทไฟลเพอเรมตนการตดตง จนจบขนตอนตามภาพดานลาง
ภาพท 7 การ Install ASDM Launcher
35
ภาพท 8 การ Authentication ASDM Launcher
ภาพท 9 ผลการ Download ASDM Launcher
ภาพท 10 การ Open Executable File
ภาพท 11 Security Warning
36
ภาพท 12 การตดตงโปรแกรม ASDM Launcher
ภาพท 13 การตดตงโปรแกรม ASDM Launcher
ภาพท 14 การตดตงโปรแกรม ASDM Launcher
37
ภาพท 15 ผลการตดตงโปรแกรม ASDM Launcher ในการกาหนดคา Configuration ตาง ๆ จะมลกษณะการกาหนดอย 2 รปแบบ คอ
กาหนดให Packet ผานได และกาหนดให Packet ผานไมได ซงการจะกาหนดใหผานหรอไมใหผาน ขนอยกบ Policy ทกรมพฒนาทดนวางไว และความจาเปนทใชในการตดตอสอสารระหวางเครอขาย ตาง ๆ ทกาหนดขนมา เชนการตดตอระหวางอปกรณ IPPhone ใช Protocol H.323 Port 1719 และ 1720 การใหบรการของเครองแมขายทตองใชงาน เชนการใหบรการเครองแมขายเมล ใช Protocol SMTP Port 25 การใหบรการเครองแมขายเวปใช Protocol HTTP Port 80 หรอการใหบรการเครองแมขาย DNS ใช Protocol HTTP Port 53 โดยมขนตอนตวอยางการกาหนดคาตาง ๆ โดยสงเขป ดงน
9) เรยกโปรแกรม Cisco ASDM Launcher ขนมาใชงาน ระบบฯ จะใหระบ IP ของระบบฯทจะเขาใชงาน และตองระบ User และPassword ทมสทธเรยกใชงาน
ภาพท 16 การเรยกใชงานโปรแกรม ASDM Launcher
38
10) ปรากฏหนาตาง Cisco ASDM 6.1 ขนมาดงรป
11) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Device
Setup และเลอกเมนยอยมาท Interface เพอใหกาหนดคา Zone ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดคาเครอขายตาง ๆ ใหระบบ)
ภาพท 18 การกาหนดคา Interface Cisco ASDM 6.1 for ASA
ภาพท 17 การใช งานโปรแกรม Cisco ASDM 6.1 for ASA
39
12) การกาหนดคา Zone ตางๆของระบบฯ ทาไดโดยในสวนของรายการ Interface ของจอแสดงดานขวา ใหดบเบลคลกเลอก Interface ทตองการกาหนดจากนนจะปรากฏหนาตาง Edit Interfaceใหระบคาคณสมบตตามทไดออกแบบไว จากนนกดปม OK
ภาพท 19 การกาหนดคา Interface Cisco ASDM 6.1 for ASA
13) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Device Setup และเลอกเมนยอยมาท Routing เพอใหกาหนดคา Routing Table ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการระบเสนทางการ Route ของแตละเครอขาย)
ภาพท 20 การกาหนดคา Routing Cisco ASDM 6.1 for ASA
40
14) การกาหนดคา Routing ตาง ๆ ของระบบฯ ทาไดโดยในสวนของรายการ Routing ของจอแสดงดานซายมอใหเลอก Routing Protocol ทตองการ จากนน ใหดบเบลคลกเลอก Interface ทตองการกาหนดดานขวามอ จากนนจะปรากฏหนาตาง Edit Protocol Routeใหระบคาคณสมบตตามทไดออกแบบไว จากนนกดปม OK
ภาพท 21 การกาหนดคา Routing Protocol Cisco ASDM 6.1 for ASA
ภาพท 22 การกาหนดคา Routing Protocol Cisco ASDM 6.1 for ASA
41
ภาพท 23 การกาหนดคา Routing Protocol Cisco ASDM 6.1 for ASA
ภาพท 24 การกาหนดคา Routing Protocol Cisco ASDM 6.1 for ASA
42
15) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Access Rules เพอใหกาหนดคา Access Rules ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดคา Packet Permission ใหแตละเครอขาย ตาม Policy ทไดมการออกแบบไว)
ภาพท 25 การกาหนดคา Access Rules Cisco ASDM 6.1 for ASA 16) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall
และเลอกเมนยอยมาท NAT (Network Address Translate) Rules เพอใหกาหนดคา NAT Rule ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดคาใหเครองแมขายบรการ สาหรบใหบรการเครอขายภายนอก)
ภาพท 26 การกาหนดคา NAT Rules Cisco ASDM 6.1 for ASA
43
17) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Service Policy Rules เพอใหกาหนดคา Service Policy Rule ตาง ๆ ของ กรมพฒนาทดน ตามทไดออกแบบไว
ภาพท 27 การกาหนดคา Service Policy Rules Cisco ASDM 6.1 for ASA
18) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall
และเลอกเมนยอยมาท AAA Rules เพอใหกาหนดคา AAA Rule ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดรปแบบการ Authentication ของระบบ)
ภาพท 28 การกาหนดคา AAA Rules Cisco ASDM 6.1 for ASA
44
19) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Filter Rules เพอใหกาหนดคา Filter Rule ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดตวคดกรองยอย เพอใชในการทางานตาม Policy)
ภาพท 29 การกาหนดคา Filter Rules Cisco ASDM 6.1 for ASA 20) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall
และเลอกเมนยอยมาท URL Filtering Servers เพอใหกาหนดคา URL Filter Rule ตาง ๆ ของ กรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดตวคดกรองยอย เพอใชในการเรยกDomain Name ผาน Browser ตาม Policy)
ภาพท 30 การกาหนดคา URL Filtering Servers Cisco ASDM 6.1 for ASA
45
21) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Threat Detection เพอใหกาหนดคา Threat Detect Rule ของกรมพฒนาทดนตามทไดออกแบบไว (เปนการกาหนดคาการตรวจสอบรปแบบไวรส)
ภาพท 31 การกาหนดคา Threat Detection Cisco ASDM 6.1 for ASA
22) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Objects เพอใหกาหนดคา Objects ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดคา Objects ทนามาใชงานตาม Policy)
ภาพท 32 การกาหนดคา Objects Cisco ASDM 6.1 for ASA
46
23) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Advanced เพอใหกาหนดคาคาสงระดบ Advanced Rule ตาง ๆ ของ กรมพฒนาทดน ตามทไดออกแบบไว
ภาพท 33 การกาหนดคา Advanced Rule Cisco ASDM 6.1 for ASA 24) เลอกแถบเมน Monitoring จากนนในชองดานซายมอ เลอก
Interface Graphs และเลอกเมนยอยมาท Interface ทตองการ Monitor ในจอดานขวามอชอง Available Graphs กาหนดสงทตองการตรวจสอบ จากนนกด Show Graphs เพอใชในการตรวจสอบ Monitoring
ภาพท 34 การกาหนดคา Monitor Interface Cisco ASDM 6.1 for ASA
47
ภาพท 35 การกาหนดคา Monitor Interface Cisco ASDM 6.1 for ASA
25) เลอกแถบเมน Monitoring จากนนในชองดานซายมอ เลอก Routing และ
เลอกเมนยอยมาท Routes ในจอดานขวามอ จะแสดงคา Routing ทงหมดทกาหนดไวเพอทาการตรวจสอบ
ภาพท 36 การกาหนดคา Monitor Routing Cisco ASDM 6.1 for ASA
48
26) เลอกแถบเมน Monitoring จากนนในชองดานซายมอ เลอก Logging และเลอกเมนยอยมาท Real-Time Log Viewer ในจอดานขวามอ จะแสดงคา Logging Level ใหระบ Level ของ Log ทตองการ Monitor จากนนกดปม View
ภาพท 37 การกาหนดคา Monitor Logging Cisco ASDM 6.1 for ASA
ภาพท 38 การกาหนดคา Monitor Logging Cisco ASDM 6.1 for ASA
49
27) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Device Management และเลอกเมนยอยมาท Management Access เพอกาหนดคาการจดการยอย เชน ASDM/HTTPS/Telnet/SSH , Command Line , File Access , ICMP, Management Interface , SNMP , Management Access Rules เพอใชในการตรวจสอบระบบ
ภาพท 39 การกาหนดคา Device Management Cisco ASDM 6.1 for ASA
50
51
ขนตอนการตดตงและดาเนนการ 1) เชอมสายโรลโอเวอร (Rollover) ผานคอนโซล พอรต (Console Port) ของ
อปกรณดานกนบกรก (Hardware Firewall) เขากบเครองคอมพวเตอรควบคมระบบฯ 2) ตดตอกบระบบผานทางโปรโตคอลรปแบบซเคยวรชล (Secure Shell) 3) ระบบใหระบรหสผใชงาน (User) และรหสผาน (Password) ทใชงานใหใชคา
เรมตน ยหอซสโก (Cisco) ทกาหนดมาจากโรงงาน จากนนกาหนดคาหมายเลขอางองในการตดตอสอสาร (IP Address) สาหรบสวน ตอประสาน (Interface) ทเปนชองทางการควบคม (Managed Port) กาหนดคารหสผใชงาน (User) และเปดใหสามารถใชงานรหสผาน (Enable Password) ทใชงาน เพอกาหนดคาสทธ (Permission) ทในการใชเชอมตอกบระบบ จากนนเมอสามารถตดตอผานทางเครอขายแลน (LAN) กบระบบไดแลว จงใชการเชอมตอผานเครอขาย เพอ บรรจลง (Download) และ ตดตงโปรแกรมสวนตอประสานกราฟฟกกบผใช (Graphical user interface (GUI) และการกาหนดตงคาคอนฟกกเรชน (Configuration) ผานทางโปรแกรมซสโก เอเอสดเอมรนเชอร (Cisco ASDM Launcher) เพอทาการกาหนดคาคอนฟกกเรชน (Configuration) ระบบ อปกรณดานกนบกรก (Hardware Firewall) ตอไป
3.2 การตดตงและบรหารงานระบบดานคอมพวเตอร (Installation and Operation of the Computer) ประกอบดวยรปแบบเสมอน (Virtual)
3.2.1 งานดานการรกษาความปลอดภยคอมพวเตอร โดยใชระบบสวนชดคาสงดานกนบกรก (Software Firewall)
ศนยสารสนเทศ กรมพฒนาทดน นาระบบชดคาสงดานกนบกรก (Software Firewall) มาใชงานรวมกบระบบ อปกรณดานกนบกรก (Hardware Firewall) เพอรกษาความปลอดภยระบบเครอขายใหเปนไปตามขอกาหนดทวางไว ไดแก การควบคมการเรยกใชงานเวบไซต บรการตางๆของกรมพฒนาทดน การควบคมการใชงานอนเตอรเนต ผานทางเครองบรการแทน (Proxy Server) และการควบคมการเชอมตอระหวางเครอขายภายในของกรมพฒนาทดนกบวแอลเอเอน (VLAN) ของเครองแมขายบรการ
ระบบชดคาสงดานกนบกรก (Software Firewall) ทนามาใชงานคอไมโครซอฟ อนเตอรเนต ซเคยวรต แอนด เอคแซวเรชน เซฟเวอร ( Microsoft Internet Security and Acceleration Server (ISA Server)) ซงเปนผลตภณฑโปรแกรมประยกตดานกนบกรก (Application Firewall) และแคชชงเซฟเวอร (Caching Server) ของบรษทไมโครซอฟทททางานบนระบบปฏบตการวนโดวเซฟเวอร (Windows Server) ซงมความสามารถในดานการควบคม การใชงานแบบกาหนดนโยบาย (Policy Based) และมความสามารถดานการทาเปนแคชชงเซฟเวอร (Caching Server) เพอใหการบรการแทน (Proxy Service) ได
52
3.2.1.1 การตดตงระบบ Software Firewall Microsoft Internet Security and Acceleration Server (ISA Server) เปน
ผลตภณฑ Application Firewall และ Catching Server ของบรษทไมโครซอฟร สาหรบองคกรททางานบนระบบปฏบตการ Windows Server ซงมความสามารถในดานการควบคม การใชงานแบบกาหนดนโยบาย (Policy Based) ทาใหระบบเครอขายมประสทธภาพโดยรวมสงขน และมความสามารถดานการจดการเครอขายโดยท ISA Server ม 2 เอดชน ซงถกออกแบบมาเพอใหเหมาะกบการใชงานในรปแบบตาง ๆ ขององคกร ไมวาจะตดตงในรปแบบแยกองคประกอบตางๆ ออกจากกนหรอในรปแบบรวม Firewall และ Catching Server ในแมขายเครองเดยวและสามารถจดการเกยวกบความปลอดภยและการเขาใชงานอนเทอรเนตไดดวยคอนโซลเดยว
3.2.1.2 การกาหนดคา Configuration ISA Server 1) กาหนด IP Address ของกรมพฒนาทดน โดยคลกขวาท My Network
Places แลวเลอก Intranet right port properties แลวคลกท Internet Protocol Properties ใส IP address เปน 10.1.1.248 และสามารถเพม DNS Server โดยคลกปม Advanced แลวคลกปม add เพอเพม address ของ DNS Server
ภาพท 40 การกาหนดคา DNS Server
2) ท External port Properties กาหนด IP address เปน 10.200.1.249 และ DNS Server เปน 203.146.115.4
53
ภาพท 41 การกาหนดคา DNS Server
3) ท Advanced TCP/IP Settings สามารถเพม IP address ไดโดยกดปม Add และ gateway เปน 10.200.1.251
ภาพท 42 การกาหนดคากาหนดคา IP
54
4) ท Advanced TCP/IP Settings สามารถลบ IP address ไดโดยกดปม Remove และแกไขโดยกดปม Edit
ภาพท 43 การกาหนดคากาหนดคา IP
5) เปดโปรแกรม ISA Management โดยคลกทปม Start > Programs > Microsoft > ISA Server > ISA Management
ภาพท 44 การใชงานโปรแกรม ISA
55
6) จะปรากฏหนาตางโปรแกรม ISA Management เพอใชกาหนดคาของ ISA Server ในการปองกนความปลอดภย เชน กาหนด policy security (นโยบายทใชเพอปองกนความปลอดภย) แลวใหคลกทปม Getting Started Wizard
ภาพท 45 การใชงานโปรแกรม ISA
7) จะปรากฏหนาตางโปรแกรมดงรป
ภาพท 46 การใชงานกาหนดคาโปรแกรม ISA
56
8) ใหคลกท Select policy elements เพอคลกเลอกนโยบายทใชควบคมในการ access ขอมลใน Internet (ในทนเลอกทกชอง แลวคลกปม OK)
ภาพท 47 การใชงานกาหนดคา Policy Element โปรแกรม ISA
9) ใหคลกท Configure Schedulers และท work hours คลกขวาเลอก work hours Properties เพอกาหนดตารางเวลาในการทางานโดยคลกเลอกเซลลในวนและเวลาทตองการ จากนนเลอกปมเรดโอตามเงอนไข ซงม 2 อยางคอ เลอก Active เพอเพมชวงวนและเวลานนเขาไปในตารางเวลาใชงาน หรอ เลอก Inactive เพอยกเลอกวนและเวลานนในตารางเวลาใชงาน
ภาพท 48 การใชงานกาหนดคา Schedule โปรแกรม ISA
57
10) ใหคลกท Configure Client Sets เพอกาหนดกลมของเครองลกโดยระบ IP address
ภาพท 49 การใชงานกาหนดคา Client Sets โปรแกรม ISA
11) ใหคลกท Configure Protocol Rules เพอกาหนดกฎทอนญาตใหเครองลกใดบางใชงาน
ภาพท 50 การใชงานกาหนดคา Protocol Rules โปรแกรม ISA
58
12) ใหคลกท Configure Destination Sets เพอกาหนด Destination Sets ทตองการ
ภาพท 51 การใชงานกาหนดคา Destination Sets โปรแกรม ISA
13) ใหคลกท Configure Site and Content Rules เพอกาหนดกฎทอนญาตหรอปฏเสธใหใชงาน Internet
ภาพท 52 การใชงานกาหนดคา Site and Content Rules โปรแกรม ISA
59
14) ท Set Configuration เพอใชกาหนด access policy, network configuration และ cache properties
ภาพท 53 การใชงานกาหนดคา Configuration โปรแกรม ISA 15) คลกท Servers and Arrays เพอกาหนดคา network connection,
security และ policy
ภาพท 54 การใชงานกาหนดคา Servers and Arrays โปรแกรม ISA
60
16) ท Internet Security and Acceleration Server ใหคลกขวาเลอก Back Up and Restore เพอใชกาหนดคา Configure ของการ Back Up และ Restore
ภาพท 55 การใชงานกาหนดคาBackup and Restore โปรแกรม ISA
17) ท Servers and Arrays คลกขวาเลอก Monitor Servers and Arrays เพอใชดคาเตอน (Alerts) , sessions ททางานอยซงชวยในการจดการและวเคราะหการทางานของ Server
ภาพท 56 การใชงานกาหนดคา Monitor Servers and Arrays โปรแกรม ISA
61
3.2.1.3 การใชงานโปรแกรม 1) เปดโปรแกรม ISA Server โดยคลกไปท Program > Microsoft ISA Server >
ISA Management
ภาพท 57 การเรยกใชงานโปรแกรม ISA (1)
2) เมอเปด ISA Management แลวจะปรากฏภาพดงรป ใหคลกไปท Server and Arrays
ภาพท 58 การเรยกใชงานโปรแกรม ISA (2)
62
3) แลวใหคลกท LDDFW > Monitoring > Alerts เพอใชดสงทโปรแกรมเตอนเกยวกบการทางานตาง ๆ
ภาพท 59 การเรยกใชงานโปรแกรม ISA (3)
4) คลกท Services เพอดบรการทมและ Services ททางานบาง และสามารถสตารทและสตอปเซอรวสตาง ๆ ไดโดยเลอกทเซอรวสทตองการ แลวคลกขวาเลอกปอปอปเมน Start , Stop หรอ Restart เนองจากเซอรวส ISA Server Control Service เปนเซอรวสทเซอรวสอนๆ ตองใชงานดวย
ภาพท 60 การเรยกใชงานโปรแกรม ISA (4)
63
5) คลกท Sessions เพอใชด Sessions ใดทกาลงทางานอยบาง
ภาพท 61 การเรยกใชงานโปรแกรม ISA (5)
6) คลกท Reports เพอดรายงานทตองการด โดยใน detail pane ฝงขวาเลอก Report Job ทคณไดสรางไวกอนหนานแลวดบเบลคลกหรอคลกขวาแลวเลอกปอปอปเมน Open จะมรายงานแสดงใน web browser
ภาพท 62 การเรยกใชงานโปรแกรม ISA (6)
64
7) คลกท Server publishing rules เพอใชดกฎตาง ๆ ทใชในการปองกนการใชงาน Internet
ภาพท 63 การเรยกใชงานโปรแกรม ISA (7)
65
66
ขนตอนการตดตงและดาเนนการ 1) ตดตงวนโดวเซฟเวอร 2003 (Windows Server 2003) บนเครอง
คอมพวเตอรควบคมระบบ 2) ทาการตดตงโปรแกรมไอเอสเอ 2006 (ISA 2006) เมอตดตงเสรจใหเรมตน
ระบบใหม Restart เครอง 3) เปดโปรแกรมไอเอสเอ 2006 (ISA 2006) จากนนกาหนดคาตงคาคอนฟก
กเรชน ตามทไดกาหนดไว
3.2.2 งานดานการรกษาความปลอดภยคอมพวเตอร โดยใชชดคาสงปองกนไวรสในทางคอมพวเตอร (Software Antivirus)
ศนยสารสนเทศ กรมพฒนาทดน นาโปรแกรมปองกนไวรสในทางคอมพวเตอร (Antivirus) มาใช โดยการตดตงบนเครองคอมพวเตอรทงหมด เพอรกษาความปลอดภยของระบบคอมพวเตอรจากการถกโจมตโดยไวรสในทางคอมพวเตอร หรอโปรแกรมประสงครายตางๆ (Malware) โดยเปนไปตามขอกาหนดดานการรกษาความปลอดภยทวางไว ไดแก การปองกนการตดไวรสในทางคอมพวเตอร จากไฟลอนตรายตางๆ การสแกนตรวจหาไวรสในทางคอมพวเตอร แบบตลอดเวลา (Real Time) การปรบปรงฐานขอมลไวรสในทางคอมพวเตอรแบบอตโนมต และการปองกนไวรสในทางคอมพวเตอร ทบนเครองแมขายบรการทงหมด
โปรแกรมปองกนไวรสในทางคอมพวเตอร (Antivirus) ทนามาใชคอโปรแกรมอเอสอท เอนพอยท ซเคยวรต (ESET Endpoint Security) ซงเปนผลตภณฑปองกนไวรสในทางคอมพวเตอร (Antivirus) ของบรษท ESET ททางานบนระบบปฏบตการ Windows มความสามารถในดานการควบคมการปองกนไวรสในทางคอมพวเตอร ทงหมด รวมทงมฟงกชนดานการปองกนการบกรกจากโปรแกรมทไมประสงคด (Intrusion Prevent System) การใชงานแบบกาหนดนโยบาย (Policy Based) และมความสามารถดานการทาเปนแอนตไวรสเซฟเวอร (Antivirus Server) เพอใหบรการแอนตไวรส (Antivirus) ได
3.2.2.1 ขนตอนการตดตงและดาเนนการ ขนตอนในการตดตงและดาเนนการโปรแกรมอเอสอท เอนพอยท ซเคยวรต (ESET
Endpoint Security) เพอใหโปรแกรมสามารถทางานบนเครองคอมพวเตอรได ใหปฏบตตามขนตอนดงตอไปน
67
1) เปดโปรแกรมการตดตง จะปรากฏหนาจอยนยนการตดตง ใหกด Next
ภาพท 64 การตดตงโปรแกรม ESET Endpoint Security
2) หนาจอแสดงขอกาหนด ใหทาเครองหมายทปม I Accept จากนนกด Next
ภาพท 65 ขอกาหนดโปรแกรม ESET Endpoint Security
68
3) หนาจอโหมดการตดตง ใหทาเครองหมายทปม Typical จากนนกด Next
ภาพท 66 โหมดการตดตงโปรแกรม 4) หนาจอยนยนสทธของโปรแกรม ใหระบรหสผใชงาน (Username) และรหสผาน
(Password) ของกรมพฒนาทดน จากนนกด Next ทหนาจอการแจงเตอน ใหทาเครองหมายทปม I agree จากนนกด Next
ภาพท 67 การยนยนสทธของโปรแกรม
69
5) หนาจอการเชอมโยงขอมลเชงวเคราะหทรวบรวมขอมลในการปองกนไวรส ใหคลก Next
ภาพท 68 การเชอมโยงขอมลเชงวเคราะหทรวบรวมขอมลในการปองกนไวรส
6) หนาจอตรวจจบโปรแกรมประสงคราย ใหเลอกท Enable detection จากนนกด Next ทหนาจอแสดงความพรอมการตดตง ใหกด Install
ภาพท 69 การตรวจจบโปรแกรมประสงคราย
70
7) หนาเตรยมพรอมในการตดตงโปรแกรม ใหคลก Install เพอตดตงโปรแกรม
ภาพท 70 การตดตงโปรแกรม
8) เมอปรากฏหนาจอยนยนการตดตงเสรจสน ใหกดปม Finish จากนนใหเรมตนระบบใหม (Restart) เครองคอมพวเตอรเพอใหเซอวส (Service) ตางๆของโปรแกรมทางานไดอยางสมบรณ
ภาพท 71 การยนยนการตดตงเสรจสน
71
3.2.2.2 การบรหารจดการระบบปองกนไวรส 1) ตดตงโปรแกรมปองกนไวรสบนเครองแมขายบรการทงหมด 2) จดทาแผน Backup/Recovery พรอมดาเนนการทดสอบทกเดอน 3) ในสวนของเครองแมขายใหปองกนการ Boot จากอปกรณภายนอกดวยการ
BIOS ให Boot จาก Hard disk เปนอนดบแรกเสมอ 4) ไมเปดโปรแกรม Browser เพอเรยกใชงาน Internet ยกเวนการเขา
Website ของ Microsoft 5) ตดตามความเคลอนไหว การเตอนภยและขอแนะนาตางๆ อยางใกลชดจาก
Website ปองกน Virus 6) พยายามตดตามความเคลอนไหวของการปรบปรงในสวนรกษาความ
ปลอดภยของโปรแกรม ทใชงานผานเครอขาย 7) สแกนไวรสอยางสมาเสมอ โดยตงคาใหทางานแบบออโตเมตก อยางนอย
สปดาหละ 1 ครง
3.2.3 การบรหารจดการคอมพวเตอร โดยใชระบบเครองแมขายเสมอน (Virtual Machine: VM)
3.2.3.1 การใชงานระบบ Virtual Machine Server (เครองแมขายเสมอน) การใชงานระบบเครองแมขายเสมอน (Virtual Machine (VM)) นน ตองเขาใจ
ความหมายของคาวาเวอรชวลไลเซชน (Virtualization) ซงหมายถง การจาลองเครองเสมอนดวยซอฟตแวร ททาใหคอมพวเตอรหนงเครอง สามารถทางานเปนเครองเสมอนหลายๆ ระบบได โดยแตละระบบมทรพยากรหนวยความจา ฮารดดสก และอปกรณเครอขายเสมอนทเปนอสระตอกน เครองเสมอนแตละเครอง จงสามารถมระบบปฏบตการและซอฟตแวรเปนของตนเองโดยอสระ และแตละเครองทาการคดลอก (copy) ขอมลระบบปฏบตการ (operating system) ถกตดตงสเครองแมขายเสมอน (Virtual machine) เครองแมขายเสมอน (Virtual Machine) คอระบบปฏบตการททาใหสามารถใชซอฟตแวร เพอจาลองการทางานของคอมพวเตอรเครองอน เสมอนมคอมพวเตอร 2 เครอง หรอมากกวานน ซอนกนอยในคอมพวเตอรเพยงเครองเดยว ประโยชนของการจาลองในลกษณะน เชน ใชในการทดสอบการลงโปรแกรมใหมๆ เพราะการทางานเสมอนเปนคอมพวเตอรอกตวหนง ซงถาเกดความผดพลาดใดๆ จะไมมผลตอตวระบบปฏบตการคอมพวเตอรระบบหลก ในภาพรวมของไฮเปอรไวเซอร (Hypervisor) มแฟมเอกสารหลก (main file) ดงน Configuration file, Virtual disk file, NVRAM setting fileและLog file
เวอรชวลไลเซชน (Virtualization) แบงออกไดเปน 2 ประเภท คอ 1. โฮส ออฟเปอเรตง ซสเตม เบส Host Operating System-Based
เวอรชวลไลเซชน (Virtualization) ประเภทน ตองใชระบบปฏบตการ (Operating System) ประเภทวนโดว (Windows) หรอ (ลนกซ) Linux เพอใชในการตดตงบนเครองคอมพวเตอรตวอยางเชน โปรแกรม วเอมแวรเซฟเวอร (VMware Server) โปรแกรมวเอมแวร เวคสเตชน (VMware Workstation)
2. เบสเมทเทลไฮเปอรไวเซอร Bare-Metal Hypervisor เบส เมทเทล ไฮเปอร ไวเซอรซสเตม (Bare-metal hypervisor system) เปน
ระบบ (system) ทไมจาเปนตองใชระบบปฏบตการ (operating system) ในการตดตง เพราะ
72
ตวไฮเปอรไวเซอร (Hypervisor) คอ ระบบปฏบตการ (operating system) ดวยตวมนเองอยแลว จงสามารถใชงานไดทนท
ศนยสารสนเทศ กรมพฒนาทดน นาระบบเครองแมขายเสมอน (Virtual Machine: VM) มาใชแทนเครองแมขายเดมทมอายการใชงานมาเปนเวลานาน และใชกบเครองแมขายบรการทตดตงใหม เพอลดคาใชจาย โดยการลดจานวนเซรฟเวอรฮารดแวรทตองใชงาน ลดการใชพลงงานจากการใชคอมพวเตอรหลายๆเครอง ลดคาไฟ ลดคาบารงรกษา ชวยใหการจดสรรทรพยากรภายในเครองเปนไปไดอยางคมคา ชวยใหสามารถประมวลผลหลายๆแพลตฟอรม (platform) บนเครองเดยวกนได และชวยลดเวลาในการตดตงระบบปฏบตการและแอบพลเคชน ในการสรางแมขายเสมอน (Virtual Machine) โดยการสาเนาหรอโคลน (Clone) จากแมแบบเครอง แมขายเสมอน (Virtual Machine Template) ระบบเครองแมขายเสมอน (Virtual Machine: VM) ทนามาใชคอโปรแกรม วเอมแวร (VMware) ทสามารถทางานแบบโฮส ออฟเปอเรตง ซสเตมเบส เวอรชวลไลเซชน (Host Operating System-Based Virtualization) บนระบบปฏบตการวนโดวเซฟเวอร (Windows Server) และสามารถทางานแบบเบสเมทเทลไฮเปอรไวเซอร (Bare-Metal Hypervisor) ทมระบบปฏบตการเปนของตนเองได รวมทงมฟงกชนชวยใหการทางานของเวอรชวลเมชชนเซอวส (Virtual Machine Service) มความสะดวกในการตดตงและบรหารงาน
3.2.3.2 คณสมบตและประโยชนของ Virtual Machines 1) Isolation: ระบบปฏบตการ และ ระบบปฏบตการหลายๆ ชนด สามารถ
ทางานไดอยบนคอมพวเตอร เพยงเครองเดยว โดยทแตละระบบปฏบตการ ทางานแยกกนอยอยางอสระ 2) Standardization: ฮารดแวรทแสดงอยใน Virtual Machine นนจะถก
แสดงในลกษณะทมาตรฐาน ซงหมายถง Virtual Machine ททางานอยนน จะมองฮารดแวรตวใดๆ กตามเหมอนกนทงหมด ไมวามนจะแตกตางกนในเชงฮารดแวรจรงเพยงใด
3) Consolidation: หลกการของ Virtual Machines นนยงเปนสวนหนงของการสนบสนนการใชงานทเรยกวา consolidation หรอการรวม และขจดสงทไมจาเปนออก รวมทงการใชงานฮารดแวรใหมประสทธภาพมากยงขน ซงการ consolidation นเอง ทาใหการบรการจดการงายขน
4) Ease of Testing: การทาการทดสอบ ไมวาจะเปนการทดสอบระบบซอฟตแวรใหม บนระบบปฏบตการทตางกนหรอเหมอนกน ทาไดงายและไมกวน production system เลย
5) Mobility: การยายตวระบบปฏบตการทเปน Virtual Machine นนทาไดงายมาก เชนการยายขามฮารดแวรไปทางานทเครองอน นอกจากนน คณสมบตการทา snapshot และ rollback ยงเปนการเพมความสามารถในการกขอมล และ เพม availability โดยรวมใหระบบ
73
74
ขนตอนการตดตงและดาเนนการ ขนตอนในการตดตงโปรแกรมวเอมแวร (VMware) รน อเอสเอกไอเวอรชน 5.1 (ESXi
5.1) บนเครองคอมพวเตอรควบคมระบบ สามารถดาเนนการตามขนตอนดงตอไปน 1) ใสแผนตดตงโปรแกรมพรอมตงคาบตแผนซดทเครองคอมพวเตอรควบคมระบบ จะ
ขนหนาจออเอสเอกไอบทเมน (ESXi Boot Menu) ใหเลอกขอแรก สาหรบการตดตงอเอสเอกไอ (EXSi)
ภาพท 72 การตดตงโปรแกรมวเอมแวร (VMware) 2) โปรแกรมจะแสดงรายละเอยดของเวอรชนของโปรแกรม รายละเอยดของเครองแม
ขายทจะตดตง พรอมโหลดคาโมดลตางๆทจะตองใชในการตดตง
ภาพท 73 หนาจอแสดงรายละเอยดของเวอรชนของโปรแกรม
75
3) เขาสหนาจอตอนรบสการตดตง วเอมแวร (VMware) เวอรชนอเอสเอกไอ ESXi เลอก (Enter) Continue
ภาพท 74 หนาจอตอนรบสการตดตง วเอมแวร (VMware)
4) แสดงรายละเอยดขอตกลงตางๆของโปรแกรม เลอก (F11) Accept and
continue
ภาพท 75 หนาจอแสดงรายละเอยดขอตกลงตางๆของโปรแกรม
5) เลอกฮารดดสทจะใชในการตดตง โดยโปรแกรมจะแสดงชอและขนาดของฮารดดสก เลอก (Enter)
76
ภาพท 76 หนาจอแสดงแสดงชอและขนาดของฮารดดสก 6) เลอกรปแบบของคยบอรด (Keyboard) ทจะใชงาน เลอก (Enter) Continue
ภาพท 77 รปแบบของคยบอรด (Keyboard) ทจะใชงาน
7) กาหนดรหสผานของ Root เสรจแลว เลอก (Enter) Continue
ภาพท 78 การกาหนดรหสผานของ Root
8) โปรแกรมเรมทาการสแกนไฟลระบบทจะใชในการตดตง ใชเวลาสกคร
ภาพท 79 โปรแกรมเรมทาการสแกนไฟลระบบทจะใชในการตดตง
77
9) หลงจากนนโปรแกรมจะขนหนาตางยนยนการตดตง หากตองการตดตงจรงให เลอก (F11) install
ภาพท 80 หนาตางยนยนการตดตง 10) เรมการตดตง ใชเวลาพอประมาณ และหลงจากตดตงเสรจแลว จะขนหนาให
เรมตนระบบใหม (Restart) ระบบ 1 ครง เลอก (Enter) Reboot
ภาพท 81 หนาจอแสดงสถานะเรมการตดตง 11) เครองแมขายเรมเรมตนระบบใหม (Reboot)
ภาพท 82 เครองแมขายเรมเรมตนระบบใหม (Reboot)
78
12) หลงจากรสตารทแลว โปรแกรมจะแสดงรายละเอยดของระบบพรอมทงลงคยอารแอล (URL) ทใชดาวนโหลดโปรแกรมวสเฟยร ไคลเอนต (VSphere Client)
ภาพท 83 โปรแกรมจะแสดงรายละเอยดของระบบ
13) หากผใชงานตองการทจะเขาไปตงคาไอพใหม หรอตงคาอนๆ โปรแกรมจะแสดงฟงคชนทใชในการตงคาดงภาพ สามารถกดปม (F2) Customize System ได
ภาพท 84 โปรแกรมแสดงฟงคชนทใชในการตงคา
14) โปรแกรมจะแสดงชองใสรหสผานทไดกาหนดไวตอนตนของการตดตง โดยคาเรมตน (Default) ของ ชอลงบนทกเขา (login Name) คอ root และใสรหสผานเรยบรอยแลว เลอก <Enter> OK
79
ภาพท 85 โปรแกรมแสดงชองใสรหสผาน
15) แสดงหนาการตงคาแตละประเภท ผใชงานสามารถเลอกการตงคาตางๆไดตามตองการ
ภาพท 86 แสดงหนาการตงคาแตละประเภท
16) หลงจากตงคาเรยบรอยแลว ใหไปยงเครองคอมพวเตอร สาหรบใชในการตดตงโปรแกรมวสเฟยร VSphere เปดเบราวเซอร (Browser) แลวพมพยอารแอล (Uniform Resource Locator (URL)) ของเครองแมขายทไดกาหนดคาไว แลวจะขนหนาตางดงภาพคลก Download vSphere client คลกเพอบรรจลง (Download) และตดตงลงเครองใหเรยบรอย
ภาพท 87 หนาตางแสดงการ Download vSphere client
80
17) หลงจากตดตงแลวจะขนหนาดงภาพ เพอเขาใชในการสรางเครองแมขายเสมอน
(Guest OS) ตอไป ภาพท 88 แสดงหนาจอเครองแมขายเสมอน (Guest OS)
18) แสดงหนาตางของโปรแกรมอเอสเอกไอ(EXSi) ผานวสเฟยร ไคลเอนต
(vSphere Client)
ภาพท 89 แสดงหนาตางโปรแกรมอเอสเอกไอ(EXSi) ผานวสเฟยร ไคลเอนต (vSphere Client)
81
3.2.3.3 ตวอยางการกาหนดคาสาหรบ Virtual Machines VMware 1) เมอลงโปรแกรมและเปดการใชงานกจะปรากฏโปรแกรมดงภาพท 64
ภาพท 90 หนาตางของโปรแกรม VMware 2) เมอลงโปรแกรมเสรจแลวใหสราง VM โดยเลอกท Menu File > New >
Virtual Machine ตามภาพท 3 -64 แลวจะไดหนาตาง Welcome ตามภาพท 3 -65
ภาพท 91 การสราง Virtual Machine ใหม
82
ภาพท 92 หนาตาง Welcome Windows
3) เมอเขามาทหนาตาง Welcome Windows กด Next เขาหนาตาง Appropriate Configuration จากนนกด Next
83
ภาพท 93 การตงคาของ Virtual Machine ภาพท 67 การตงคาของ Virtual Machine
ภาพท 94 การเลอก Guest Operating System หรอ OS ทตองการลง
4) ขนตอนนเปนการเลอก OS ทตองการสรางเปน VM ภายในเครอง ซงจะทดสอบการลงเปน Ubuntu 6.1 เมอเลอกเสรจแลวกตองตงชอใหกบ Virtual Machine ทจะสรางและเลอกทเกบไฟลของ VM โดย Default จะเกบอยท C:\Documents and Settings\xxx\My Documents\My Virtual Machines แตอนนจะเลอกเกบไวทอนตามภาพท 69 กด next ตอไปกจะเปนการกาหนดคาของ Disk ทตองการให VM ใชโดย Default จะเปน 8 GB แตจะกาหนดใหเปน 2 GB ตามขนาดการใชงาน ตามภาพท 70
84
ภาพท 95 ตงชอและเลอกทเกบไฟลของ Virtual Machine
ภาพท 96 การกาหนดคาของ Disk ทตองการใชเปน Virtual Machine 5) เมอตงคาเบองตนเสรจแลวกจะกลบมาท Menu ตามเดมดงภาพท 10 สามารถ
ตงคาเพมเตมไดโดยการเลอกไปท Edit virtual machine setting กจะเขาสหนาตาง Virtual Machine Settings ดงภาพท 71
ภาพท 97 หนาจอ Menu หลงจากทสราง VM เสรจแลว
85
ภาพท 98 หนาตาง Edit virtual machine setting
6) ทหนาตางของ Edit virtual machine setting เราจะพบวาอปกรณทตองการแกไขจะเปนรายชออยทางซายมอและคาทสามารถปรบเปลยนไดจะอยทางขวามอ โดยเราสามารถปรบเปลยนฮารดแวรของ VM ได 7 อยางคอ
1 Memory = RAM ท Host ตองการแบงให VM ใช 2 Hard Disk = เปนการแบง Hard Disk ของเครองไปเปน Disk ของ VM
ภาพท 99 หนาตาง Setting ในสวนของ Hard Disk
86
7) CD Rom = CD Rom ของ VM เพอให VM สามารถใชงาน CD Rom ทอยทเครองท (Host)
ภาพท 100 หนาตาง Setting ในสวนของ CD-ROM
8) Ethernet = LAN card ของ VM เปนการกาหนดรปแบบการตอระบบ Network ดงตอไปน
(1) Bridged เปนการตอ LAN card ของ VM ออกไปท LAN card ของเครองHostโดย ip ของ VM ทใชงานจะเปนคนละ ip กบเครองHost และสามารถทาใหเครองคอมเครองอนทอยใน Network สามารถตดตอกบ VM เครองนได
(2) NAT คลายกบการตอแบบ Bridge แต ip ของ VM ทตอออกไปทดานนอกเครองคอมพวเตอรคอมเครองอนจะมองเปน ip เดยวกบเครองHost
(3) Host-only เปนการตอใชงานเฉพาะ VM กบเครองHost เทานน (4) Custom เปนการเลอกการเชอมตอกบระบบ Network ภายนอกในกรณ
ทมการใชงาน LAN card ของทง VM และเครองHostหลาย card
ภาพท 101 หนาตาง Setting ในสวนของ Ethernet
87
9) USB Controller = เปนการกาหนดให VM สามารถใชงานอปกรณ USB ททาการตอเขามาในระบบไดเมอมการตออปกรณเขามาทเครอง Host
ภาพท 102 หนาตาง Setting ในสวนของ USB Controller
10) Audio = เปนการกาหนดให VM ใช Sound card ของ Host
ภาพท 103 หนาตาง Setting ในสวนของ Audio
88
11) Virtual Processors = เปนการกาหนดวาตองการให VM ม Processor (CPU) กตวเพอใชในการประมวลผลเพอทดสอบการใชงานแบบ Multi-Processors
ภาพท 104 หนาตาง Setting ในสวนของ Virtual Processors
3.2.4 การบรการโดยใชระบบบรหารจดการการตดสนใจเชงพนท (Executive Information System: EIS ดานการพฒนาทดน)
3.2.4.1 การตดตงและใชงานระบบการบรหารจดการการตดสนใจเชงพนท
(Executive Information System-EIS) ผานทาง Virtual Machine และการบรหารระบบผานทางเครองมอกระจายการทางาน (Load Balancing)
ศนยสารสนเทศ กรมพฒนาทดน ไดนาระบบเทคโนโลยทางดานการจดการขอมลเชงพนท มาใชในการบรหารจดการกจกรรมตาง ๆ โดยระบบดงกลาว จะเปนการผสมผสานเทคโนโลย ทงในรปแบบของระบบสารสนเทศภมศาสตร และการบรหารจดการฐานขอมล ตลอดจนการพฒนาโปรแกรมประยกต ทมการใชเทคโนโลยสารสนเทศภมศาสตรทางานในรปแบบของเวบแอพพลเคชน (Web Application) ในแตละโปรแกรมผใชงานสามารถเขาถง เรยกด และสบคนขอมล ผานทางชองการอนเตอรเนต หรอ สมารทโฟน (Smart Phone) ได
1) ภาพรวมของระบบ (System Overview) เปนการอธบายถงภาพรวมของการทางานของระบบคอมพวเตอรระบบการ
บรหารจดการการตดสนใจเชงพนท (Executive Information System-EIS ดานการพฒนาทดน) พรอมทงอธบายถงหนาทการทางานของเครองคอมพวเตอรแมขาย เครองคอมพวเตอรลกขายและอปกรณเกยวเนอง ดงน
89
จากภาพรวมของระบบบรหารจดการการตดสนใจเชงพนท (Executive Information System : EIS ดานการพฒนาทดน) ประกอบดวย
1.1) เครองคอมพวเตอรแมขายสาหรบ Database จานวน 1 เครอง ทาหนาทจดเกบขอมลของระบบงานทงสวนทเปน MIS และ GIS ลงในระบบฐานขอมล (RDBMS) โดยเชอมตอกบ Storage HP D2600และใหบรการทงผใชงานบนเครอขาย
1.2) เครอง Load Balance จานวน 1 เครอง ทาหนาทกระจายงานของเครอง web server ใน virtual server ท 1 และ 3
1.3) เครองคอมพวเตอรแมขายสาหรบ Web/Mapจานวน 2 เครอง ทาหนาทใหบรการใน 2 สวน คอ ระบบงานทใหบรการผใชงานบนเครอขายภายในองคกร (Intranet) และระบบงานทใหบรการผใชงานบนเครอขายอนเตอรเนต (Internet) โดยตวเครองคอมพวเตอรแมขายจะมการแบงทา Virtualization (VMware)เพอแบง Virtual Server โดยแบงตามหนาทการทางาน ซงมรายละเอยด ดงน
1.3.1) Virtual Server ท 1 ทาหนาทเปนเครอง Web Server 1 1.3.2) Virtual Server ท 2 ทาหนาทเปนเครอง Map Server โดย
ตดตงซอฟตแวรโปรแกรมจดการและจดเกบขอมลสารสนเทศทางภมศาสตร สาหรบใหบรการระบบงานทง Intranet และ Internet
1.3.3) Virtual Server ท 3 ทาหนาทเปนเครอง Web Server 3 1.3.4) Virtual Server ท 4 ทาหนาทเปนเครอง Map Server โดย
ตดตงซอฟตแวรโปรแกรมจดการและจดเกบขอมลสารสนเทศทางภมศาสตร สาหรบใหบรการระบบงานทง Intranet และ Internet
ภาพท 105 ภาพรวมของระบบ (System Overview)
90
91
2) การใชงานผานโปรแกรมVMware vSphere Client 2.1) Login ดวย User : root / password
ภาพท 106 หนาตางการ Login ระบบ EIS
2.2) จากนนไปท Basic task > Start vm โดยเปดเครอง LDDMAP01, LDDWEB01 ตามลาดบ
ภาพท 107 การ Start vm ระบบ EIS
92
2.3) ทเครอง Database เปดโปรแกรม VMware vSphere Client จากนน Login ดวย User : root / P@ssw0rd
ภาพท 108 หนาตางการ Login ระบบ EIS (2)
2.4) จากนนไปท Basic task > Start vmโดยเปดเครอง LDDMAP02, LDDWEB02 ตามลาดบ
ภาพท 109 การ Start vm ระบบ EIS (2)
93
3) การปดเครอง ใหทาการ Shutdown เครองตามลาดบ ดงน 3.1) ทาการ Remote Desktop หรอเปด Console ผาน VMware vSphere
Client ทเครอง Web Server #1 และ Web Server #2 จากนนสง Shutdown 3.2) ทาการ Remote Desktop หรอเปด Console ผาน VMware vSphere
Client เครอง Map Server #1และ Map Server #2จากนนสง Shutdown 3.3) ทเครอง Database เปดโปรแกรม VMware vSphere Client จากนน
Login ดวย User : root / password
ภาพท 110 หนาตางการ Login ระบบ EIS (3)
3.4) จากนนคลกขวาท “10.1.1.124” เลอก Shutdown เพอ Shutdown เครอง Web / Map Server
ภาพท 111 การ Shutdown เครอง Web
94
3.5) ทเครอง Database เปดโปรแกรม VMware vSphere Client จากนน Login ดวย User : root / P@ssw0rd
ภาพท 112 หนาตางการ Login ระบบ EIS (4)
3.6) จากนนคลกขวาท “10.1.1.28” เลอก Shutdown เพอ Shutdown เครอง Web / Map Server
ภาพท 113 การ Shutdown เครอง Web (2)
3.7) สง Shutdown Database Server เมอเครอง Database ดบ จงปด Storage HP D2600
95
4) ขนตอนการบรหารจดการระบบ (Operating Procedure)
ภายในเครอง Web Server จะประกอบไปดวย 2 สวน คอ Web
application และ SOM(ArcGIS ServerObject Manager) ซง SOM จะมหนาทคอยรบการรองขอ Map Service จาก Web application จากนนจะสงขอมลทไดรบมาไปให Map Server ภายในเครอง Map Server จะม SOC (ArcGIS Server ObjectContainer) รอรบงานจาก SOM เมอไดรบงานกจะทาการประมวลผลโดยอาศยขอมลแผนทใน Database จากนนจงสงงานกลบไปหา SOM เพอสงกลบไปยง Web application อกครงหนง และมเครอง Load Balance สาหรบกระจายงานเครอง Web Server ทงสอง เพอแบงภาระการทางานของเครอง
4.1) ลาดบการ Stop / Start Service เพอแกไขกรณเกดปญหาในการใชงานระบบจากทไดอธบายถงหลกการทางานของระบบไวแลว แสดงใหเหนวา Service ตางๆในแตละเครองมการทางานเชอมโยงกนอย จงตองมลาดบในการ Start / Stop Service ซงมลาดบดงน
4.1.1) การ StopService - Stop Service “ArcGIS Server Object Manager” ท
เครอง Web Server ทง 2 เครอง - Stop Service “ArcGIS SOC Monitor” ทเครอง Map
Server ทง 2 เครอง - Stop Service “SQL Server (LDDDB)” ทเครอง
Database Server
ภาพท 114 หลกการการทางานเบองตนของระบบ
96
4.1.2) การ StartService - Start Service “SQL Server (LDDDB)” ทเครอง
Database Server - Start Service “ArcGIS SOC Monitor” ทเครอง Map
Server ทง 2 เครอง - Start Service “ArcGIS Server Object Manager” ท
เครอง Web Server ทง 2 เครอง
4.2) วธการในการ Stop / Start Service ในแตละเครอง มรายละเอยดดงน
4.2.1) เครอง Web Server # 1 และ Web Server # 2 ไปท Services จากนนคลกขวาทArcGIS Server Object Manager, World Wide Web Publishing Serviceแลวเลอก Start เพอ Start Service หรอ Stop เพอ Start Service
ภาพท 115 การ Configuration ระบบ EIS
4.2.2) เครอง Map Server#1 และ Map Server #2 ไปท
Services จากนนคลกขวาทArcGIS SOC Monitor แลวเลอก Start เพอ Start Service หรอ Stop เพอ Start Service
ภาพท 116 การ Configuration ระบบ EIS (2)
97
4.2.3) เครอง Database Server ไปท Services จากนนคลกขวาท
SQL Server (LDDDB) แลวเลอก Start เพอ Start Database หรอ Stop เพอ Start Database
ภาพท 117 การ Configuration ระบบ EIS (3)
4.3) การจดการ Map Service ผาน ArcGIS Server Manager
4.3.1) เปด Web browser เขาไปท URL : http://<lddweb01 หรอlddweb02>/arcgis/manager จากนน Login ดวย User / Password : Administrator / @ldd#adm
ภาพท 118 การ Configuration ระบบ EIS (4)
98
4.3.2 ทเมนดานซาย เลอก Services> Manage Services จะปรากฏรายการ Service ดงรป
ภาพท 119 การ Configuration ระบบ EIS (5)
4.3.3) จากหนาตางนสามารถสง Stop, Start, Restart, Delete
และ แกไข Map service
ภาพท 120 การ Configuration ระบบ EIS (6)
คลกเพอแกไข Service
เลอนไปหนาถดไป
จดการ Service ทเลอก
เลอก Service ทตองการ
99
5) Backup and Restore อธบายถงวธการสารองขอมล Database สารองระบบปฏบตการของเครอง
Web / Map Server และวธการสารองConfigure file ของซอฟตแวร ArcGIS Server ดงน
5.1) ขนตอนการสราง Schedule สาหรบBackup Database 5.1.1) เปดโปรแกรม “Microsoft SQL Server Management
Studio” ท Authentication เลอก “Windows Authentication” ดงภาพ จากนนคลก Connect
ภาพท 121 การ Configuration ระบบ EIS (7)
5.1.2) จากนนไปท Management > Maintenance Plans แลวคลกขวา เลอก “New Maintenance Plan…”
ภาพท 122 การ Configuration ระบบ EIS (8)
100
5.1.3) ตงชอจากนนคลก OK
ภาพท 123 การ Configuration ระบบ EIS (9)
5.1.4) ดบเบลคลกท“Back Up Database Task”จะปรากฏดงภาพ
ภาพท 124 การ Configuration ระบบ EIS (10)
5.1.5) คลกขวาทกรอบ “Back Up Database Task” เลอก Edit
ภาพท 125 การ Configuration ระบบ EIS (11)
101
5.1.6) ท Backup type เลอก Full ท Database(s) เลอก LDD และ sde จากนนคลก OK
ภาพท 126 การ Configuration ระบบ EIS (12)
5.1.7) จากนน คลกปม “…” ปรากฏหนาตางยอยทางดานขวาเพอ
เลอกทเกบไฟล Backup เมอเลอกไดแลวคลก OK 2 ครง
ภาพท 127 การ Configuration ระบบ EIS (13)
102
5.1.8) ดบเบลคลกท Subplan_1 จะปรากฏหนาตางยอยดงรป คลกปม
ภาพท 128 การ Configuration ระบบ EIS (14)
5.1.9) ทาการตงคาวนและเวลาในการ Backup จากนน คลก OK
ภาพท 129 การ Configuration ระบบ EIS (15)
103
5.1.10) จากนนคลกท เพอทาการบนทกการตงคา เปนอน เสรจสน
ภาพท 130 การ Configuration ระบบ EIS (16)
6) ขนตอนการ Restore Database 6.1) เปดโปรแกรม “Microsoft SQL Server Management Studio” ท
Authentication เลอก “Windows Authentication” ดงภาพ จากนนคลก Connect
ภาพท 131 การ Configuration ระบบ EIS (17)
104
6.2) คลกขวาท Databases เลอก Restore Database…
ภาพท 132 การ Configuration ระบบ EIS (18)
6.3) จะปรากฏหนาตางใหมดงภาพท To database ใหเลอก Database ท
ตองการจะ Restore ท Source for restore เลอก From device จากนนคลกปม เพอเลอกไฟล Backup
ภาพท 133 การ Configuration ระบบ EIS (19)
105
6.4) คลก Add จากนนเลอกไฟล Backup ทตองการจะ Restore เสรจแลว
คลก OK
ภาพท 134 การ Configuration ระบบ EIS (20)
6.5) เลอกขอมลทจะทาการ Restore จากไฟล Backup ดงรป จากนนคลก OK โปรแกรมจะเรมทาการ Restore Database จนเสรจ
ภาพท 135 การ Configuration ระบบ EIS (21)
106
7) วธการทา Snap shot เพอ Backup เครอง Web Server และ Map Server
7.1) ทเครอง Database เปดโปรแกรม VMware vSphere Client จากนน Login ดวย User : root / passwordทเครอง 10.1.1.124 หรอ Login ดวย User : root / P@ssw0rd ทเครอง 10.1.1.28
ภาพท 136 หนาตางการ Login ระบบ EIS (5)
7.2) คลกขวาท VM ทตองการทา Snap shot เลอก Snapshot > Take
Snapshot
ภาพท 137 การ Snapshot ระบบ EIS
107
7.3) ตงชอและใส Description จากนนคลก OK โปรแกรมจะเรมทาการจดเกบ Snapshot
ภาพท 138 การ Snapshot ระบบ EIS (2)
8) วธการสารองConfigure file ของซอฟตแวร ArcGIS Server 8.1) เขาไปท Path : C:\Program Files(x86)\ArcGIS\Server10.0\server
จากนนทาการ Copy โฟลเดอร “user” ออกมาเกบสารองไว
ภาพท 139 การสารองConfigure file ระบบ EIS
108
3.3 แผนภาพการบรหารระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน
ภาพท 140 ภาพรวมระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน
ภาพท 141 ภาพระบบ Redundant อปกรณ Switch กรมพฒนาทดน
109
ภาพท 142 ภาพรวมการเชอมตออปกรณเครอขาย กรมพฒนาทดน
ภาพท 143 ภาพการเชอมตอของอปกรณเครอขายแบบชน กรมพฒนาทดน
110
บทท 4 สรปและขอเสนอแนะ
4.1 สรป
จากผลการดาเนนงาน กรมพฒนาทดนจะมคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน (LDD Manual Management Information Systems and Computer) ตรงตามวตถประสงคทตงไว เพอใหผรบผดชอบ/ผปฏบตงาน ไดมความรความเขาใจเกยวกบวธการ Configuration ระบบสารสนเทศ ระบบเครอขาย ตลอดจน วธการแกไขปญหาแนวทางการดาเนนงานระบบเทคโนโลยสารสนเทศกรมพฒนาทดน ใหมความนาเชอถอ และมเสถยรภาพ ทงเปนการเพมศกยภาพและความสามารถในการควบคม , การจดระเบยบและการบรหารระบบสารสนเทศและคอมพวเตอร ใหมประสทธภาพมากขน ชวยแกไขปญหาในกรณทเจาหนาททรบผดชอบงานโดยตรง ไมสามารถมาปฏบตงานได โดยมการสรปรายละเอยดของระบบสารสนเทศและคอมพวเตอร ดงตอไปน
4.1.1 ระบบเครอขายกรมพฒนาทดน (LDD Network System) ระบบฯ มความสามารถใหบรการเชอมตอเขาสระบบเครอขาย Internet ไดอยาง
สะดวก สามารถเพมขยาย พนทจดบรการเครอขายไดในอนาคต ทาหนาทควบคมการรบสงขอมลและแอพพลเคชนผานทางการเชอมตอระบบเครอขายอยางมประสทธภาพ รวมทงมระบบควบคม Firewall IDS IPS ทรองรบการรกษาความปลอดภย โดยม Policy Filter ทสามารถกาหนดขนตอนการปองกนภยคกคามจากการใชงานไดอยางยดหยนภายใตกลยทธดานการรกษาความปลอดภยแบบปองกนตนเองทสามารถกาหนดไดดวยตนเอง พรอมทงมระบบการบรหารจดการทครบวงจร โดยมฟงกชนควบคมการเขาใชงาน ฟงกชนการตรวจสอบสถานะอปกรณ ฟงกชนการตรวจสอบสถานะผใชงาน ฟงกชนการบารงรกษาและการเกบบนทกขอมลการใชงานทงหมด รวมทงฟงกชนทจาเปน เพอชวยใหผดแลระบบฯ สามารถกาหนดคณสมบตและตรวจสอบสถานการณทางานของระบบเครอขายกรมพฒนาท ดน (LDD Network System) ไดอยางรวดเรวและมประสทธภาพ
4.1.2 ระบบคอมพวเตอรบรการ กรมพฒนาทดน (LDD Server Service System) ระบบมประสทธภาพในดานการใหบรการในดานตางๆ ดงตอไปน 1) การบรการระบบควบคมโดเมน (Domain Controller) และบรการเครอขาย
(Network service) มการควบคมการใชงานแบบรวมศนย โดยศนยสารสนเทศ ใหบรการสาหรบหนวยงานและผทมาขอรบบรการของกรมพฒนาทดนสวนกลาง
2) การบรการระบบเวป (Web Service) ผานชองทางเครอขายของกรมพฒนาทดน เพอใหขาราชการ พนกงานและบคคลภายนอก สามารถเรยกใชงานบรการดงกลาว เพอเผยแพรขอมลของกรมพฒนาทดน โดยใหบรการทางดานระบบรหารจดการสารสนเทศ (Management Information System : MIS) ขอมลทางดานแผนท (Geographic Information System : GIS) ขอมลทางดานการชวยในการตดสนใจเชงแผนท (Executive Information System : EIS) และการนาเสนอผลงานวจยของกรมพฒนาทดน
3) การบรการระบบเมล (Mail Service) ผานชองทางเครอขายของกรมพฒนาทดน เพอใหขาราชการ พนกงาน สามารถเรยกใชงานบรการดงกลาว เพอเปนชองทางในการตดตอสอสาร ผานทางโครงขายอนทราเนต (Intranet) และอนเตอรเนต (Internet)
111
4.1.3 จดเดนของระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน 1) ความสะดวกสบาย (Comfortable) : รองรบการทางานรวมกบอปกรณสารสนเทศ
ไดหลากหลายประเภท เชน Notebook, Smartphone , Tablet และอปกรณอนทรองรบการเรยกเขาใชงานระบบเครอขาย Internet ไดอยางสะดวก รวดเรว
2) ชวยการเพมผลผลต (Productivity) : การเชอมตอกบระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน เปนชองทางหนงใหผลการทางานสาเรจมากขน เนองจากไดรบสทธการเขาถงสาหรบผใชงาน เพอเขาสอนเทอรเนตและขอมลทตองการของตนได
3) มความปลอดภย (Security) : การควบคมและการจดการการเขาถงระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน มระบบรกษาระบบความปลอดภยทแขงแกรง เพอใหสามารถอนญาตเฉพาะบคคลทระบและใหใชงานไดเฉพาะทระบบฯกาหนดไวเทานน
4) เพมเสถยรภาพและความนาเชอถอ ใหกบระบบงานบรการตาง ๆ ของกรมพฒนาทดน 4.2 ปญหาและอปสรรค
ในการจดทาคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน (LDD Manual Management Information Systems and Computer) ใหครอบคลมการทางานของระบบฯทงหมดของกรมพฒนาท ดน เปนเรองทมความยงยาก ซบซอน เนองจาก ระบบสารสนเทศและคอมพวเตอร ของกรมพฒนาทดน มขนาดใหญ มการใหบรการทงในสวนของเครอขายและเครองแมขายบรการ ทมปรมาณมาก ดงนนในการเขยนคมอจงไดนาเสนอในสวนทเปนหวใจหลกของระบบฯ ทมความสาคญและไมสามารถหยดทางานได เนองจากจะสงผลกบการทางานโดยรวมของระบบฯ ซงอาจจะทาใหขาดรายละเอยดในการกาหนดคาของระบบยอยบางสวนไป 4.3 ขอเสนอแนะ
เนองจากระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน ไดมการปรบปรงและพฒนามาอยางตอเนอง ทงในสวนของฮารดแวร (Hardware) และซอฟแวร (Software) เพอใหทนสมยและรองรบการบรการสารสนเทศสมยใหม ทตองการความสามารถของระบบฯ คอนขางสง ดงนนขอมลในคมอบางสวนอาจมการเปลยนแปลงตามอปกรณหรอระบบใหมทมการตดตงเพมเตมเขามา เพอใหตรงตามการใหบรการของกรมฯ ทเปลยนไป โดยจะตองมการปรบปรงรายละเอยดขอบงคบในการใชงานตางๆของระบบ ทกครงทมการเปลยนแปลงคาคณลกษณะของงานการบรการระบบตาง ๆ ภายในกรมฯ ซงจะสงผลใหคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน (LDD Manual Management Information Systems and Computer) มความทนสมยและนาเชอถอ
114
ภาคผนวก ก
การกาหนดคาคอนฟคกเรชนของอปกรณสวชตหลก (Core Switch Configuration)
115
การกาหนดคาคอนฟคกเรชนของอปกรณสวชตหลก (Core Switch Configuration)
Current configuration : 169294 bytes ! upgrade fpd auto version 12.2 service nagle no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service counters max age 5 ! hostname C6506-CIT ! boot-start-marker boot-end-marker ! enable secret 5 $1$adym$fwFUsTc8uitIgZ9OXfFr11 ! username technical privilege 15 password 7 0334531909022545 username supong privilege 15 password 7 095F5B19160B10 username ldd privilege 15 password 7 151E0F08247B6876 aaa new-model aaa authentication login vty group tacacs+ local aaa authentication dot1x default group radius local aaa authorization exec vty group tacacs+ local ! aaa session-id common clock timezone BKK 7 call-home alert-group configuration
116
alert-group diagnostic alert-group environment alert-group inventory alert-group syslog profile "CiscoTAC-1" no active no destination transport-method http destination transport-method email destination address email [email protected] destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService subscribe-to-alert-group diagnostic severity minor subscribe-to-alert-group environment severity minor subscribe-to-alert-group syslog severity major pattern ".*" subscribe-to-alert-group configuration periodic monthly 19 16:13 subscribe-to-alert-group inventory periodic monthly 19 15:58 ip subnet-zero ! ! ! ip multicast-routing no ip domain-lookup ip name-server 10.1.1.4 vtp domain LDD vtp mode transparent mls ip slb purge global mls netflow interface no mls flow ip mls cef error action reset ! crypto pki trustpoint TP-self-signed-1314 enrollment selfsigned
117
subject-name cn=IOS-Self-Signed-Certificate-1314 revocation-check none rsakeypair TP-self-signed-1314 ! redundancy keepalive-enable mode sso main-cpu auto-sync running-config ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan 1-4094 priority 4096 diagnostic cns publish cisco.cns.device.diag_results diagnostic cns subscribe cisco.cns.device.diag_commands dot1x system-auth-control fabric timer 15 ! vlan internal allocation policy ascending vlan access-log ratelimit 2000 ! vlan 2 name Server ! vlan 3 name Training ! vlan 4 name GIS ! vlan 5 name Management
118
! vlan 6 name Secretary ! vlan 7 name Personal ! vlan 8 name Finance ! vlan 9 name Planing ! vlan 10 name SoilSurvey ! vlan 11 name SoilAnalysis ! vlan 12 name Catographic ! vlan 13 name LandUse ! vlan 14 name Conservation ! vlan 15 name Engineer ! vlan 16
119
name OFI ! vlan 17 name Mordin ! vlan 18 name IRV ! vlan 19 name ONR ! vlan 20 name WiFi ! vlan 21 name Audit ! vlan 22 name Dial-in ! vlan 23 name Original ! vlan 24 name Expert ! vlan 25 name OSB ! vlan 26 name Meeting-Room !
120
vlan 28 name IPP ! vlan 29 name VDO_Conf ! vlan 30 name CIT ! vlan 33 name CCTV ! vlan 53 name hotspot_aruba ! vlan 54 name hotspot_other ! vlan 55 name hotspot_gateway ! vlan 66 name test_hsrp ! vlan 70 name GIN ! vlan 77 name LDD-Region-Manage ! vlan 80 name ldd-guest
121
! vlan 88 name support ! vlan 90 name DMZ ! vlan 91 name NAS ! vlan 99 name Proxy ! vlan 100 name proxy3 ! vlan 199 name proxy2 ! vlan 200 name link_4500 ! vlan 202 name Link_6500 ! vlan 300 name Firewall_Management ! vlan 301 name lan_to_firewall ! !
122
! interface Port-channel1 description ## Connect to C6506-OFS B3RF2 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface Port-channel2 description ## Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/1 description ## Ether Channel Connect to C6506-OFS ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 1 mode on ! interface GigabitEthernet1/2 description ## Ether Channel Connect to C6506-OFS ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 1 mode on ! interface GigabitEthernet1/3
123
description ## Connect to 2960 ENG Rack BENG F2 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/4 description ## Connect to 2950T UN Rack BUN F2 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/5 description ## Connect to 2950 FID Rack B6 F3 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/6 description ## Connect to 2950 Land Rack B8 F6 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/7 description ## Ether Channel Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk
124
switchport nonegotiate channel-group 2 mode on ! interface GigabitEthernet1/8 description ## Ether Channel Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 2 mode on ! interface GigabitEthernet1/9 no ip address shutdown ! interface GigabitEthernet1/10 no ip address ! interface GigabitEthernet1/11 no ip address shutdown ! interface GigabitEthernet1/12 no ip address shutdown ! interface GigabitEthernet1/13 no ip address shutdown ! interface GigabitEthernet1/14 no ip address
125
shutdown ! interface GigabitEthernet1/15 no ip address shutdown ! interface GigabitEthernet1/16 no ip address shutdown ! interface GigabitEthernet1/17 no ip address shutdown ! interface GigabitEthernet1/18 no ip address shutdown ! interface GigabitEthernet1/19 no ip address shutdown ! interface GigabitEthernet1/20 no ip address shutdown ! interface GigabitEthernet1/21 no ip address shutdown ! interface GigabitEthernet1/22 no ip address
126
shutdown ! interface GigabitEthernet1/23 no ip address shutdown ! interface GigabitEthernet1/24 no ip address shutdown ! interface GigabitEthernet2/1 description ## HP Blade Right Port 20 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet2/2 description ## Link Call Manager 10.1.28.250 ## switchport switchport access vlan 28 switchport mode access ! interface GigabitEthernet2/3 description ## Link S/W Allied 8 Ports ADMST_Kreing FL.2 ## switchport switchport access vlan 5 switchport mode access ! interface GigabitEthernet2/4 description ## Link S/W UN 2960 port 24 ## switchport
127
switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet2/5 description ## Link A/P Room ADMST_Anusorn Fl.2 ## switchport switchport access vlan 5 switchport mode access ! interface GigabitEthernet2/6 description ## Link to room front toilet fl.1 bl.3L ## switchport switchport access vlan 25 switchport mode access ! interface GigabitEthernet2/7 description ## S/W CCTV Rack4 ## switchport switchport access vlan 33 switchport mode access ! interface GigabitEthernet2/8 description ## Aruba Port 2 from left ## switchport switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/9 description ## Aruba Port 3 from left ## switchport switchport access vlan 54
128
switchport mode access ! interface GigabitEthernet2/10 description ## Connect PSD_HRM ## switchport switchport access vlan 7 switchport mode access ! interface GigabitEthernet2/11 description ## Server FID101 10.1.7.1 ## switchport switchport access vlan 8 switchport mode access ! interface GigabitEthernet2/12 description ## S/W TP-Link Rack 6 : port 24 ## switchport switchport access vlan 2 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/13 description ## Vlan30 to CCTV Control Room B6 F1 IP 10.1.30.200 ## switchport switchport access vlan 30 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/14 description ## Aruba Port 4 from left ## switchport switchport access vlan 55
129
switchport mode access ! interface GigabitEthernet2/15 description ## Link Firewall 10.1.1.15 : port 1 ## switchport switchport access vlan 2 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/16 description ## HP Blade left Port 21 ## switchport switchport access vlan 2 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/17 description ## Vlan28 to S/W IPPhone CIT Server Room Rack1 ## switchport switchport access vlan 28 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/18 description ## Vlan12 to D-Link 1226G P24 CIT Server Room Rack1 ## switchport switchport access vlan 12 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/19 description ## Vlan4 to A/P ADB Room B3L F2 ##
130
switchport switchport access vlan 4 switchport mode access ! interface GigabitEthernet2/20 description ## Vlan4 to S/W Technical Support Room CIT F1 ## switchport switchport access vlan 4 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/21 description ## A/P Aruba ## switchport switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/22 description ## connect S/W Vlan 3 Peach&Tok room ## switchport switchport access vlan 3 switchport mode access ! interface GigabitEthernet2/23 description ## A/P Aruba ## switchport switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/24 description ## A/P Aruba ## switchport
131
switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/25 description ## Link Proxy : 10.1.1.2 : port 2 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/26 description ## Switch TP-Link Open Rack ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/27 description ## Vlan11 to S/W OSD Rack BOSD F2 ## switchport switchport access vlan 11 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/28 description ## Vlan7 to S/W PSD B3L F3 ## switchport switchport access vlan 7 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/29 description ## Connect to Cisco 5000 P3/9 CIT Server Room Rack2 ## switchport
132
switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate shutdown ! interface GigabitEthernet2/30 description ## oss101 & olp101 ## switchport switchport access vlan 2 ! interface GigabitEthernet2/31 description ## LDDHOTSPOT Lobby ## switchport switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/32 description ## Port S/W Vlan 4 Peach&Tok Room ## switchport switchport access vlan 4 switchport mode access ! interface GigabitEthernet2/33 description ## Switch 3COM Rack WEB LDD ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/34 description ** Qcenter ** switchport switchport access vlan 11
133
switchport mode access ! interface GigabitEthernet2/35 description ## S/W TP-Link : Open Rack 1: Port 24 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/36 description ## S/W TP-Link : Open Rack 2: Port 24 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/37 description ## ASA5540 Port0/3 or Cat3550 Port0/3 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/38 description ## Broadcast 10.1.1.145and 10.1.1.146 _ VMnet2 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/39 description ## Proxy Internal 10.1.1.2 ## switchport switchport access vlan 2 switchport mode access !
134
interface GigabitEthernet2/40 switchport switchport access vlan 301 switchport mode access ! interface GigabitEthernet2/41 switchport switchport access vlan 301 switchport mode access ! interface GigabitEthernet2/42 description ## Link Proxy port 1 : 10.99.1.3 ## switchport switchport access vlan 99 switchport mode access ! interface GigabitEthernet2/43 description ## Ether Channel Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 2 mode on ! interface GigabitEthernet2/44 description ## Ether Channel Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 2 mode on !
135
interface GigabitEthernet2/45 description ## Link S/W SMC VDO Conf R4 Port 25 ## switchport switchport access vlan 29 switchport mode access ! interface GigabitEthernet2/46 description ## PF LDD Region Server ESXI 10.1.77.200 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate spanning-tree portfast trunk ! interface GigabitEthernet2/47 switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet2/48 description ## Cisco C3560-CIT Port 24 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet5/1 no ip address shutdown ! interface GigabitEthernet5/2
136
no ip address shutdown ! interface Vlan1 description ## Vlan Cisco ## ip address 10.1.100.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.100.254 standby priority 200 ! interface Vlan2 description ## Vlan Server ## ip address 10.1.1.100 255.255.255.0 no ip proxy-arp ip pim sparse-mode ! interface Vlan3 description ## Vlan Training ## ip address 10.1.2.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.2.254 standby priority 200 ! interface Vlan4 description ## Vlan GIS ## ip address 10.1.3.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.3.254 standby priority 200
137
! interface Vlan5 description ## Vlan Management ## ip address 10.1.4.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.4.254 standby priority 200 ! interface Vlan6 description ## Vlan Secretary ## ip address 10.1.5.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.5.254 standby priority 200 ! interface Vlan7 description ## Vlan Personal ## ip address 10.1.6.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.6.254 standby priority 200 ! interface Vlan8 description ## Vlan Finance ## ip address 10.1.7.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.7.254 standby priority 200
138
! interface Vlan9 description ## Vlan Planing ## ip address 10.1.8.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.8.254 standby priority 200 ! interface Vlan10 description ## Vlan SoilSurvey ## ip address 10.1.9.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.9.254 standby priority 200 ! interface Vlan11 description ## Vlan SoilAnalysis ## ip address 10.1.10.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.10.254 standby priority 200 ! interface Vlan12 description ## Vlan Catographic ## ip address 10.1.11.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.11.254 standby priority 200
139
! interface Vlan13 description ## Vlan Landuse ## ip address 10.1.12.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.12.254 standby priority 200 ! interface Vlan14 description ## Vlan Conservation ## ip address 10.1.13.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.13.254 standby priority 200 ! interface Vlan15 description ## Vlan Engineer ## ip address 10.1.14.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.14.254 standby priority 200 ! interface Vlan16 description ## Vlan OFI ## ip address 10.1.15.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.15.254 standby priority 200
140
! interface Vlan17 description ## Vlan Mordin ## ip address 10.1.16.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.16.254 standby priority 200 ! interface Vlan18 description ## Vlan IRV ## ip address 10.1.17.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.17.254 standby priority 200 ! interface Vlan19 description ## Vlan ONR ## ip address 10.1.18.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.18.254 standby priority 200 ! interface Vlan20 description ## Vlan WiFi ## ip address 10.1.19.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.19.254 standby priority 200
141
! interface Vlan21 description ## Vlan Audit ## ip address 10.1.20.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.20.254 standby priority 200 ! interface Vlan22 description ## Vlan Demo ## ip address 10.1.21.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode shutdown standby ip 10.1.21.254 standby priority 200 ! interface Vlan23 description ## Vlan Original ## ip address 191.2.1.253 255.255.0.0 no ip proxy-arp ip pim sparse-mode shutdown standby ip 191.2.1.254 standby priority 200 ! interface Vlan24 description ## Vlan Expert ## ip address 10.1.24.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode
142
standby ip 10.1.24.254 standby priority 200 ! interface Vlan25 description ## Vlan Soil-Biotech ## ip address 10.1.25.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.25.254 standby priority 200 ! interface Vlan26 description ## Vlan Meeting-Room ## ip address 10.1.26.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.26.254 standby priority 200 ! interface Vlan28 description ## Vlan IPPhone ## ip address 10.1.28.253 255.255.255.0 no ip proxy-arp standby ip 10.1.28.254 standby priority 200 ! interface Vlan29 description ## Vlan VDO Conference ## ip address 10.1.29.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.29.254
143
standby priority 200 ! interface Vlan30 description ## Vlan CIT ## ip address 10.1.30.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.30.254 standby priority 200 ! interface Vlan33 description ## Vlan CCTV ## ip address 10.1.33.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.33.254 standby priority 200 ! interface Vlan55 description ## Vlan Hotspot Gateway ## ip address 10.1.55.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.55.254 standby priority 200 ! interface Vlan70 description ## Vlan GIN ## ip address 10.1.70.254 255.255.255.0 no ip proxy-arp ip pim sparse-mode !
144
interface Vlan77 description ## Vlan LDD Region Management ## ip address 10.1.77.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.77.254 standby priority 200 ! interface Vlan80 description ## Vlan for LDD Guest ## ip address 10.80.80.254 255.255.255.0 ip access-group vlan80 in no ip proxy-arp ip pim sparse-mode ! interface Vlan88 description ## Vlan technical support ## ip address 10.1.88.254 255.255.255.0 no ip proxy-arp ip pim sparse-mode ! interface Vlan90 no ip address ip pim sparse-mode shutdown ! interface Vlan91 description ## Vlan NAS ## ip address 10.1.91.254 255.255.255.0 ! interface Vlan99 description ## Vlan Proxy External ##
145
ip address 10.1.99.254 255.255.255.0 no ip proxy-arp ip pim sparse-mode ! interface Vlan100 ip address 10.98.1.254 255.255.255.0 ! interface Vlan199 description ## Vlan Proxy External2 ## ip address 10.99.1.254 255.255.255.0 ! interface Vlan200 ip address 10.10.1.17 255.255.255.240 no ip proxy-arp ip pim sparse-mode ! interface Vlan202 ip address 10.10.1.65 255.255.255.240 no ip proxy-arp ip pim sparse-mode ! interface Vlan300 description ## Firewall_Management ## ip address 10.1.203.253 255.255.255.0 standby ip 10.1.203.254 standby priority 200 ! interface Vlan301 description ## link Core Switch to Firewall ## ip address 10.5.5.14 255.255.255.248 standby ip 10.5.5.12 !
146
ip classless ip route 0.0.0.0 0.0.0.0 10.5.5.9 ! ! no ip http server ip http authentication local ip http secure-server ip pim rp-address 10.5.5.2 ip tacacs source-interface Vlan1 ! ip access-list extended virusblock permit ip host 10.1.10.201 any permit ip host 10.1.10.202 any permit ip host 10.1.10.203 any permit ip host 10.1.10.204 any permit ip host 10.1.10.205 any ip access-list extended vlan10 permit ip any host 61.90.204.173 permit ip host 10.1.10.1 any permit ip any host 10.1.10.1 deny udp any any eq 1900 deny tcp any any eq 1900 deny ip host 239.255.255.250 any deny ip any host 239.255.255.250 deny ip 192.168.0.0 0.0.255.255 any deny ip any 192.168.0.0 0.0.255.255 permit ip host 10.1.10.200 any permit ip any host 203.148.250.189 permit ip host 10.1.10.131 10.0.0.0 0.255.255.255 permit ip any host 10.1.1.1 permit ip 10.1.10.0 0.0.0.255 199.47.218.0 0.0.0.255
147
permit ip 10.1.10.0 0.0.0.255 199.47.216.0 0.0.0.255 permit ip host 10.1.10.1 10.0.0.0 0.255.255.255 permit ip host 10.1.10.6 10.0.0.0 0.255.255.255 permit ip host 10.1.10.77 any permit ip host 10.1.10.252 any permit ip host 10.1.10.253 any permit ip host 10.1.10.254 any deny tcp any any eq 1935 permit ip host 10.1.10.150 any deny tcp any any eq 445 permit tcp any any eq 554 permit tcp any any eq 1755 permit tcp any any eq 1935 permit tcp any any eq 2638 permit tcp any any eq 3389 permit tcp any any eq 8005 permit tcp any any eq 8080 permit tcp any any eq 8081 permit tcp any any eq 8443 permit tcp any any eq 8888 permit tcp any any eq 9090 permit tcp any any eq 9999 permit udp any any eq 554 permit udp any any eq 1755 permit udp any any eq 1935 permit udp any any eq 2967 permit udp any any eq 38293 permit udp any any eq 39999 permit udp any any eq 7350 permit udp any any eq 7351 permit udp any any eq 7352 permit udp any any eq 7353
148
permit udp any any eq 8080 permit udp any any eq 8888 permit udp any any eq 9999 deny tcp any any eq 593 deny tcp any any eq 6667 deny udp any any eq 135 deny udp any any range 2000 65535 deny tcp any any range 2000 65535 permit ip 10.1.10.0 0.0.0.255 host 58.147.79.136 permit ip 10.1.10.0 0.0.0.255 host 203.144.194.45 permit ip 10.1.10.0 0.0.0.255 host 202.142.200.131 permit ip 10.1.10.0 0.0.0.255 host 61.19.249.103 permit ip 10.1.10.0 0.0.0.255 host 203.113.9.104 permit ip 10.1.10.0 0.0.0.255 host 203.113.9.105 permit ip 10.1.10.0 0.0.0.255 host 202.60.199.44 permit ip 10.1.10.0 0.0.0.255 host 203.146.250.200 permit ip host 10.1.10.222 10.0.0.0 0.255.255.255 permit ip host 10.1.10.2 10.0.0.0 0.255.255.255 permit ip host 10.1.10.3 10.0.0.0 0.255.255.255 permit ip host 10.1.10.4 10.0.0.0 0.255.255.255 permit ip host 10.1.10.5 10.0.0.0 0.255.255.255 permit ip host 10.1.10.7 10.0.0.0 0.255.255.255 permit ip host 10.1.10.8 10.0.0.0 0.255.255.255 permit ip host 10.1.10.9 10.0.0.0 0.255.255.255 ! logging 10.1.1.166 no cdp advertise-v2 snmp-server community comro RO tacacs-server host 10.1.1.99 timeout 5 tacacs-server directed-request tacacs-server key 7 13091316180907382E30
149
! radius-server host 10.1.1.99 auth-port 1812 acct-port 1813 key 7 13091316180907382E30 radius-server source-ports 1645-1646 ! control-plane ! ! dial-peer cor custom ! ! line con 0 line vty 0 4 authorization exec vty login authentication vty line vty 5 15 ! mac-address-table static 001a.7034.27c5 vlan 9 drop mac-address-table static 001a.7034.2b51 vlan 9 drop mac-address-table static 6021.c0b9.ccb8 vlan 30 drop mac-address-table static 8832.9b60.cb25 vlan 30 drop ! End
150
ภาคผนวก ข
การกาหนดคาคอนฟคกเรชนของอปกรณนาทาง (Router Configuration)
151
การกาหนดคาคอนฟคกเรชนของอปกรณนาทาง (Router Configuration)
Current configuration : 8977 bytes version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname c3925-ldd ! boot-start-marker boot-end-marker ! ! logging buffered 51200 warnings no logging console ! no aaa new-model clock timezone BKK 7 0 ! ipv6 unicast-routing ipv6 cef ! no ip domain lookup ip domain name yourdomain.com ip cef multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 !
152
crypto pki trustpoint TP-self-signed-2787926408 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2787926408 revocation-check none rsakeypair TP-self-signed-2787926408 ! ! license udi pid C3900-SPE100/K9 sn FOC18393JJ2 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$ ## C3550 Port 19 ## ip address 10.200.1.251 255.255.255.0 ip access-group blockweb in ip access-group blockweb out ip virtual-reassembly in load-interval 30 shutdown duplex auto speed auto ! interface GigabitEthernet0/1 description Trunk port on CAT Switch ## C3550 Port 1 ## no ip address ip access-group blockweb in ip access-group blockweb out no ip redirects ip directed-broadcast
153
no ip proxy-arp ip pim sparse-mode ip flow ingress load-interval 30 duplex auto speed auto ! interface GigabitEthernet0/1.10 description Connect to CAT Internet encapsulation dot1Q 512 ip address 61.19.52.222 255.255.255.252 ip flow ingress ip virtual-reassembly in ipv6 address 2001:C38:9007:13::9931:2/64 ! interface GigabitEthernet0/2 description To_FW_Dell ip address 61.19.98.201 255.255.255.0 duplex auto speed auto ipv6 address 2001:C38:9046:FFFF:FFFF::1/80 ipv6 enable ! ip forward-protocol nd ! ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ip route 0.0.0.0 0.0.0.0 61.19.52.221
154
ip route 10.0.0.0 255.0.0.0 61.19.98.202 ip route 10.255.255.0 255.255.255.240 61.19.98.202 name DNS_CAT_LDD ip route 61.19.98.80 255.255.255.255 61.19.98.202 ip route 61.19.98.122 255.255.255.255 61.19.98.202 ip route 61.19.98.125 255.255.255.255 61.19.98.202 ip route 61.19.98.126 255.255.255.255 61.19.98.202 ip route 61.19.98.127 255.255.255.255 61.19.98.202 ip route 61.19.98.150 255.255.255.255 61.19.98.202 ip route 61.19.98.151 255.255.255.255 61.19.98.202 ip route 61.19.98.152 255.255.255.255 61.19.98.202 ip route 61.19.98.191 255.255.255.255 61.19.98.202 ip route 172.17.1.0 255.255.255.248 61.19.98.202 ip route 192.168.70.0 255.255.255.0 61.19.98.202 ip route 192.168.71.0 255.255.255.0 61.19.98.202 ! ip access-list extended blockweb deny ip any host 74.114.13.9 deny ip host 74.114.13.9 any deny ip any host 141.101.118.58 deny ip any host 141.101.118.59 deny ip any host 17.149.160.49 deny ip any host 17.251.200.70 deny ip any host 192.33.14.30 deny tcp any range 137 139 any permit ip any any ! ipv6 route 2001:C38:9046::/48 GigabitEthernet0/2 FE80::C0EA:E4FF:FE87:3E69 ipv6 route ::/0 GigabitEthernet0/1.10 2001:C38:9007:13::9931:1 ! no cdp run
155
! ! control-plane ! ! ! line con 0 login local line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 privilege level 15 login local transport input telnet ssh line vty 5 15 privilege level 15 login local transport input telnet ssh ! scheduler allocate 20000 1000 end