การพัฒนาระบบบริหารจัดการล็อกไฟลแบบรวมศูนย สําหรับ บรษิัท ภูมิใจไทยซีเมนต จํากัด

Development Of A Centralized Log Management System For Thai Pride Cement Co., Ltd.

พัชณีย ผาริการ

Patchanee Pharikarn

สารนิพนธฉบับนี้เปนสวนหนึ่งของการศึกษา

หลักสูตรวิทยาศาสตรมหาบัณฑิต สาขาวิชาวิศวกรรมเครือขาย คณะวิทยาการและเทคโนโลยีสารสนเทศ

มหาวิทยาลัยเทคโนโลยีมหานคร

ปการศึกษา 2555

I

หัวขอ การพัฒนาระบบบริหารจัดการล็อกไฟลแบบรวมศูนย สําหรับ บริษทั ภูมิใจไทยซีเมนต จํากัด

ชื่อนักศึกษา พัชณีย ผาริการ

รหัสนักศึกษา 5417660013

หลักสูตร วิทยาศาสตรมหาบัณฑิต สาขาวศิวกรรมเครือขาย

ปการศึกษา 2555

อาจารยที่ปรึกษา ผศ.ดร. ศุภกร กังพิศดาร

อาจารยที่ปรึกษารวม อาจารย พงษสุรีย ลิ้มมณีวจิิตร

บทคัดยอ

สารนิพนธฉบับน้ี ผูศึกษาไดพัฒนาระบบบริหารจัดการล็อกไฟลแบบรวมศูนยขึ้น เพ่ือตอบสนองพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 โดยพิจารณาจากประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เร่ือง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 ซ่ึงทําการพัฒนาโดยใชซอฟตแวรที่เปนประเภทโอเพนซอรส มีการออกแบบระบบใหเหมาะสมกับการใชงานของ บริษัท ภูมิใจไทยซีเมนต จํากัด โดยเฉพาะ

ระบบที่พัฒนาขึ้นนี้ สามารถตอบสนองตามพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 อีกทั้งมีระบบบริหารจัดการผานเว็บ ที่ชวยใหการสืบคนขอมูล และการวิเคราะหขอมูลล็อก เปนไปอยางสะดวก และมีประสิทธิภาพ

II

Project Title Development Of A Centralized Log Management System For Thai Pride Cement Co., Ltd. Student Patchanee Pharikarn Student ID 5417660013 Degree Master of Science Program Network Engineering Year 2012 Project Advisors Asst.Prof.Dr. Supakorn Kungpisdan Mr. Pongsuree Limmaneewichid

ABSTRACT

This project developed a centralized log management system based on The guideline to service providers on retention of computer traffic data Act B.E. 2550, The Computer Crime Act B.E. 2550. The proposed system was developed by using open source software, and the system was customized to fit requirements of Thai Pride Cement Co., Ltd. As a result, the developed system was able to meet all requirements stated in The Computer Crime Act B.E. 2550. The system also has web-based management function that allows a system administrator to search for data and perform analysis of logged data comprehensively and effectively.

III  

กิตติกรรมประกาศ

สารนิพนธฉบบัน้ีสามารถพฒันาจนสําเร็จไดดวยดี เพราะไดรับความกรุณา และความชวยเหลือจากหลายทาน ขาพเจาขอขอบพระคุณมา ณ ที่น้ี

ขอขอบพระคณุ ผศ.ดร. ศุภกร กังพิศดาร และ อาจารย พงษสุรีย ลิ้มมณีวิจิตร อาจารยที่ปรึกษาโครงงาน ที่กรุณาสละเวลาอันมีคาใหแนวคดิ และคําแนะนําในการดําเนินโครงงานนี้เปนอยางดี

ขอขอบพระคณุ อาจารยในรั้วมหาวิทยาลัยเทคโนโลยมีหานครทุกทาน ที่ชวยประสิทธิประสาทวิชาแกขาพเจา ใหสามารถนําความรูที่ไดรับ มาใชในการพัฒนาโครงงานน้ี

ขอขอบคุณพ่ี ๆ เพ่ือน ๆ รวมถึงนอง ๆ ที่ชวยแนะนํา อธิบาย ชวยหาวิธีการแกปญหาตาง ๆ ที่เกิดขึ้น พรอมทั้งเปนกําลังใจทีดี่ในการพัฒนาโครงงานนี้จนสําเร็จไปไดดวยดี

พัชณีย ผาริการ

มีนาคม 2556

IV

สารบัญ

หนา

บทคัดยอภาษาไทย I

บทคัดยอภาษาอังกฤษ II

กิตติกรรมประกาศ III

สารบัญ IV

สารบัญตาราง VI

สารบัญรูป VII

บทที่ 1 บทนํา 1

1.1 กลาวนํา 1

1.2 ปญหาและแรงจูงใจ 1

1.3 แนวทางการแกปญหา 2

1.4 วัตถุประสงคของโครงงาน 2

1.5 ขอบเขตของโครงงาน 3

1.6 แผนเวลาของโครงงาน 4

บทที่ 2 พ้ืนฐานและทฤษฎีที่เก่ียวของ 6

2.1 กลาวนํา 6

2.2 ทฤษฎีทีเ่ก่ียวของ 6

2.3 เทคโนโลยีที่นํามาใชในการพัฒนาระบบ 22

2.4 สรุปทายบท 24

V

สารบัญ (ตอ)

หนา

บทที่ 3 การออกแบบ และพัฒนาระบบ 25

3.1 กลาวนํา 25

3.2 วิเคราะหระบบปจจุบัน 28

3.3 การออกแบบระบบ 29

3.4 ลักษณะการทํางาน 37

3.5 การพัฒนาระบบ 46

บทที่ 4 ผลการทดลองโครงงาน 54

4.1 กลาวนํา 54

4.2 การเตรียมระบบกอนการทดลอง 54

4.3 ผลการทดสอบและใชงานระบบ 56

4.4 สรุปทายบท 77

บทที่ 5 สรุปผลการดําเนินงาน 78

5.1 กลาวนํา 78

5.2 สรุปผลการทดลอง 78

5.3 ปญหาและอุปสรรคในการพัฒนาระบบ 78

5.4 แนวทางในการปรับปรุงและพัฒนา 79

เอกสารอางอิง 80

ภาคผนวก ก พระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ.๒๕๕๐ ก-1

ภาคผนวก ข ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑการ เก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ.๒๕๕๐ ข-1

VI  

สารบัญตาราง

หนา

ตารางที่ 1.1 แสดงการดําเนินงานโครงงานที่ 1 4

ตารางที่ 1.2 แสดงการดําเนินงานโครงงานที่ 2 5

ตารางที่ 2.1 รูปแบบของโพรโทคอล Syslog ใน RFC 3164 8

ตารางที่ 2.2 แสดงรหัส และความหมายของ Facility 9

ตารางที่ 2.3 แสดงรหัส และความหมายของ Severity 10

ตารางที่ 2.4 รูปแบบของโพรโทคอล Syslog ใน RFC 5424 11

ตารางที่ 2.5 รูปแบบทีใ่ชในขอบังคับตาง ๆ กับสิ่งที่จัดทําในโครงงานนี้ 13

ตารางที่ 3.1 logs table 31

ตารางที่ 3.2 hash table 32

ตารางที่ 3.3 t_dhcp_status table 32

ตารางที่ 3.4 t_isa_status table 33

ตารางที ่3.5 t_menu table 33

ตารางที ่3.6 t_mname table 34

ตารางที ่3.7 t_ms_dhcp table 34

ตารางที ่3.8 t_ms_isa table 35

ตารางที ่3.9 t_usr table 36

ตารางที ่3.10 t_alert table 36

VII

สารบัญรูป

หนา

รูปที่ 2.1 ระบบการจัดเก็บลอ็กไฟลในปจจุบัน 6

รูปที่ 2.2 ตัวอยางการจัดเก็บล็อกไฟลแบบรวมศูนย 7

รูปที่ 2.3 ตัวอยางการจัดเก็บล็อกไฟลแบบกระจาย 8

รูปที่ 2.4 ลําดับชั้นของการเทียบเวลาดวยโพรโทคอลเอ็นทีพี 16

รูปที่ 2.5 แผนผังแสดงขั้นตอนการพิสูจนตัวจริง 17

รูปที่ 2.6 ตัวอยางการทํางานของฟงกชันแฮช 18

รูปที่ 2.7 หลักการของฟงกชันแฮช 19

รูปที่ 2.8 แสดงการเขารหัสลับและถอดรหัสลับขอมูล 20

รูปที่ 2.9 วิทยาการเขารหัสลับแบบสมมาตร 21

รูปที่ 2.10 วิทยาการเขารหัสลับแบบอสมมาตร 21

รูปที่ 3.1 แสดงโครงสรางของระบบเครือขายบริษัทฯ (สํานักงานใหญ) 26

รูปที่ 3.2 แสดงโครงสรางของโครงงาน 29

รูปที่ 3.3 การรับสงขอมูลลอ็ก 37

รูปที่ 3.4 ภาพรวมกระบวนการทํางานของระบบ และการจัดเก็บขอมูลล็อก 38

รูปที่ 3.5 ภาพแสดงการเทียบเวลาของโพรโทคอลเอ็นทีพี 39

รูปที่ 3.6 การทํางานของสคริปตคํานวณคาแฮชของลอ็กไฟล 40

รูปที่ 3.7 การทํางานของสคริปตคํานวณคาแฮชของลอ็กที่อยูบนฐานขอมูล 41

รูปที่ 3.8 กระบวนการขอเขาใชงานระบบ Web-based Management 42

รูปที่ 3.9 โครงสรางของระบบ Web-based Management 43

รูปที่ 3.10 แสดงการทํางานของระบบมอนิเตอรริง 45

VIII

สารบัญรูป (ตอ)

หนา

รูปที ่3.11 แสดงหนาตางสําหรับตั้งคา Internet Time 52

รูปที ่3.12 แสดงการระบุชวงเวลาในการขอเทียบเวลา 52

รูปที่ 4.1 แสดงผลการขอเทยีบเวลาที่เคร่ือง Centralized Log Server 54

รูปที่ 4.2 แสดงผลการขอเทยีบเวลาที่เคร่ืองระบบปฏิบตัิการวินโดวส 55

รูปที่ 4.3 สั่งให stunnel ทํางาน 55

รูปที่ 4.4 สั่งให nxlog ทํางาน 56

รูปที่ 4.5 netstat เพ่ือตรวจสอบพอรทที่ตองการเปดใชงาน 56

รูปที่ 4.6 ตัวอยางขอมูลอินเทอรเน็ตบนเครื่องผูใหบริการอีเมล 58

รูปที่ 4.7 ตัวอยางขอมูลอินเทอรเน็ตบนเครื่องผูใหบริการเว็บ 58

รูปที่ 4.8 ตัวอยางขอมูลล็อกที่มีการระบคุาแฮชของลอ็กแตละบรรทัด 59

รูปที่ 4.9 ตัวอยางล็อกไฟลเม่ือนําเขาฐานขอมูล 59

รูปที่ 4.10 ตัวอยางการเก็บคาแฮชของลอ็กแตละเรคคอรดลงฐานขอมูล 59

รูปที่ 4.11 ขอมูลที่ถูกเขารหัสระหวางสงผานเครือขาย 60

รูปที่ 4.12 ขอมูลที่ไมมีการเขารหัสระหวางสงผานเครือขาย 60

รูปที่ 4.13 ล็อกที่จัดเก็บเปนไฟลมีการทาํล็อกโรเทชัน และเขารหัสลับทุกวัน 61

รูปที่ 4.14 ขอมูลล็อกไฟลทีมี่การเขารหัสลับ 61

รูปที่ 4.15 แสดงอีเมลแจงเตือนเม่ือไมสามารถติดตอโฮสตที่ระบไุด 62

รูปที่ 4.16 แสดงรายละเอียดอีเมลแจงเตือนเม่ือไมสามารถติดตอโฮสตที่ระบุได 62

รูปที่ 4.17 การพิสูจนตัวจรงิกอนการใชงานอินเทอรเน็ต 63

รูปที่ 4.18 ขอความแสดงเม่ือการพิสูจนตัวจริงไมสําเร็จ 63

IX

สารบัญรูป (ตอ)

หนา

รูปที่ 4.19 สามารถใชงานอินเทอรเน็ตไดเม่ือกระบวนการพิสูจนตัวจริงสําเร็จ 64

รูปที่ 4.20 หนาล็อกอินเพ่ือเขาสูระบบ 64

รูปที่ 4.21 ขอความแจงเตือนเม่ือล็อกอินไมสําเร็จ 65

รูปที่ 4.22 ขอความแจงเตือนเม่ือไมไดใชงานเกิน 30 นาที 65

รูปที่ 4.23 เมนู System Information 66

รูปที่ 4.24 ทดลองสืบคนขอมูล เมนู Query Log 67

รูปที ่4.25 ทดลองสืบคนขอมูล เมนู Query Log เม่ือล็อกมีการถูกเปลี่ยนแปลงแกไข 68

รูปที ่4.26 เมนู DHCP Analysis แสดงขอมูลของวันปจจุบัน 69

รูปที ่4.27 แสดงขอมูลสรุปรายวันเม่ือกดที่ปุม Daily 69

รูปที ่4.28 แสดงรายละเอียดเพ่ิมเติมเม่ือกดเลือกที ่Computer Name 70

รูปที ่4.29 แสดงขอมูลเม่ือกดที่ปุม Monthly 70

รูปที ่4.30 แสดงรายละเอียดเพ่ิมเติมเม่ือกดเลือกที ่Status Name 71

รูปที ่4.31 เมนู Computer Master 71

รูปที ่4.32 เมนู Computer Master เม่ือกดปุม Add New Computer 72

รูปที ่4.33 เมนู Tob Web 72

รูปที ่4.34 เมนู Access Menu 73

รูปที ่4.35 เมนู Access Menu เม่ือกดปุม Add New Menu 73

รูปที ่4.36 เมนู User Account 74

รูปที ่4.37 เมนู User Account เม่ือกดปุม Add New User 74

รูปที ่4.38 เมนู Configure NTP Server 75

X

สารบัญรูป (ตอ)

หนา

รูปที ่4.39 เมนู Configure Log rotation 75

รูปที ่4.40 เมนู Change Password 76

รูปที ่4.41 อีเมลแจงเตือน เม่ือมีคอมพิวเตอรใหมเขามาภายในระบบ 76

รูปที ่4.42 รายละเอียดอีเมลแจงเตือน เม่ือมีคอมพิวเตอรใหมภายในระบบ 77

1  

บทที่ 1

บทนํา

1.1 กลาวนํา

ในปจจุบันการติดตอสื่อสารผานระบบคอมพิวเตอรไดเขามามีบทบาทสําคัญตอองคกร ทั้งภาครัฐและเอกชน ทั้งองคกรขนาดเล็กและขนาดใหญมากขึ้น เน่ืองจากการใชการติดตอสื่อสารผานระบบคอมพิวเตอรกอใหเกิดประโยชนหลายประการ เชน การใชระบบเครือขายคอมพิวเตอรในองคกร ชวยใหสามารถใชงานทรัพยากรรวมกันได ทําใหประหยัดทรัพยากร สามารถแบงใชงานแฟมขอมูลระหวางเคร่ืองคอมพิวเตอรได ชวยใหระบบการทํางานมีความคลองตัวสูง ชวยลดระบบการทํางานที่ซับซอนลง ทําใหเกิดความรวดเร็วในการแลกเปลี่ยนขอมูลขาวสารระหวางกัน และสามารถสืบคนขอมูลที่ตองการไดอยางรวดเร็วผานทางอินเทอรเน็ต (Internet) แตในขณะเดียวกันการติดตอสื่อสารผานระบบคอมพิวเตอรก็เปนชองทางในการกระทําความผิด ซ่ึงมีแนวโนมเพ่ิมมากขึ้น ไมวาจะเปนการขโมยขอมูล การโจมตี การเผยแพรความลับขององคกร หรือการกอใหเกิดความเสียหายอ่ืน ๆ ซ่ึงขอมูลจราจรทางคอมพิวเตอร สามารถใชเปนพยานหลักฐานสําคัญในการสืบสวนสอบสวน หาตัวผูกระทําความผิดมาลงโทษได

ดวยเหตุน้ี จึงไดมีแนวคิดในการพัฒนาระบบบริหารจัดการล็อกไฟลแบบรวมศูนย(Centralized Log Management System) ของบริษัท ภูมิใจไทยซีเมนต จํากัด ขึ้นมาเพ่ือรองรับพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 และใชเปนขอมูลประกอบในการวิเคราะหและพัฒนาระบบ และชวยเหลืองานผูดูแลระบบบางสวนได

1.2 ปญหาและแรงจงูใจ

ปจจุบัน บริษัท ภูมิใจไทยซีเมนต จํากัด ไมมีการจัดเก็บขอมูลจราจรทางคอมพิวเตอรอยางเปนระบบ เพ่ือรองรับพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 ที่เล็งเห็นถึงโทษจากภัยคุกคามในเครือขายคอมพิวเตอร ซ่ึงหากองคกรมีระบบจัดเก็บล็อกไฟลที่ดีแลว (Log file) จะสามารถใชเปนขอมูล และหลักฐานในการพิสูจน และการสืบสวนสอบสวนหาผูกระทําผิดมาลงโทษได ทั้งน้ีระบบการจัดเก็บล็อกไฟลดังกลาว ตองมีความปลอดภัยและมีระบบปองกันการแกไข นอกเหนือจากการจัดเก็บล็อกไฟลตามพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 แลว ขอมูลที่ไดจากล็อกไฟลน้ี ยังสามารถนํามาชวยเหลืองานผูดูแลระบบ ซ่ึงมีเพียงคนเดียวประจําที่สํานักงานใหญได เชน

2  

สามารถตรวจสอบสถานะการทํางานของเซิรฟเวอร (Server) ภายในระบบไดวายังมีการเชื่อมตอกับระบบเครือขายอยูหรือไม สามารถนํามาวิเคราะหปญหา ซ่ึงขอมูลล็อกไฟลชวยใหสามารถหาจุดเร่ิมตนของปญหาได โดยใชเวลาไมมาก ชวยใหลดระยะเวลาในการทํางาน ทั้งยังสามารถนําผลการวิเคราะหที่ไดจากขอมูลล็อกไฟลดังกลาว มาประเมินและวางแผนการปองกันปญหาหรือพัฒนาระบบตอไปไดอีกดวย และอีกปญหาที่พบภายในองคกร คือ ไมมีการพิสูจนตัวจริง (Authentication) กอนการใชงานอินเทอรเน็ต ทําใหพนักงานสวนใหญใชอินเทอรเน็ตเวลางานในเรื่องสวนตัวมากเกินไป สงผลกระทบกับการทํางาน ทําใหงานที่ไดรับมอบหมายเกิดความลาชา

1.3 แนวทางการแกปญหา

เพ่ือแกไขปญหาที่ไดกลาวมาแลวขางตน ในการพัฒนาโครงงานนี้จึงมีแนวคิดในการพัฒนาระบบสําหรับจัดเก็บขอมูลการจราจรทางคอมพิวเตอร รวมถึงใหมีการพิสูจนตัวจริงกอนการใชงานอินเทอรเน็ต โดยใชชื่อผูใช (username) และรหัสผาน (password) เพ่ือใหพนักงานมีความระมัดระวัง และตระหนักกอนการใชงานอินเทอรเน็ตในเรื่องสวนตัวมากยิ่งขึ้น และทําการพัฒนาระบบบริหารจัดการผานทางหนาเว็บ เพ่ือสามารถชวยเหลืองานบางสวนของผูดูแลระบบได รวมถึงมีการตรวจสอบเครื่องเซิรฟเวอร ในระบบวายังเชื่อมตอกับระบบเครือขายอยูหรือไม หากไมมีการเชื่อมตอจะมีการแจงไปยังผูดูแลระบบผานทางอีเมล (Email) เพ่ือใหสามารถดําเนินการแกไขไดในทันที นอกจากน้ียังสามารถออกรายงานตาง ๆ ผานทางหนาเว็บได ซ่ึงขอมูลรายงานนี้จะเปนประโยชนในการวิเคราะหพฤติกรรมการใชงานอินเทอรเน็ตของพนักงาน และเปนขอมูลประกอบในการวางแผนปรับปรุง และพัฒนาระบบตอไปในอนาคตไดอีกดวย

1.4 วัตถุประสงคของโครงงาน

1.4.1 เพ่ือศึกษาและทําความเขาใจวตัถุประสงคที่แทจริงของการเก็บขอมูลจราจรทางคอมพิวเตอร ตามพระราชบัญญัตวิาดวยการกระทําความผิดเก่ียวกบัคอมพิวเตอร พ.ศ. 2550

1.4.2 เพ่ือพัฒนาระบบบริหารจัดการล็อกไฟลแบบรวมศูนย

1.4.3 เพ่ือเปนการประหยัดงบประมาณของบริษัทฯ ในการจัดซ้ือจัดหาระบบสําหรับจัด เก็บ และบริหารจัดการล็อกไฟล

1.4.4 เพ่ือชวยอํานวยความสะดวกใหผูดูแลระบบสามารถบริหารจัดการไดงาย ผานทางเว็บเบราวเซอร

3  

1.4.5 เพ่ือเพ่ิมกลไกในการพิสูจนตัวจริงกอนการใชงานอินเทอรเน็ต ชวยใหพนักงานมีความตระหนักกอนการใชงานอินเทอรเน็ตในเรื่องสวนตัว

1.4.6 เพ่ือใชเปนขอมูลประกอบในการวิเคราะหปญหา วางแผนเพ่ือพัฒนาและปรบัปรุงประสิทธิภาพของระบบตอไปในอนาคต

1.5 ขอบเขตของโครงงาน

1.5.1 ขอบเขตของโครงงาน 1

1) ศึกษาพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550

2) ศึกษาเทคโนโลยีและกระบวนการที่เก่ียวของในการจัดเก็บล็อกไฟลแบบรวมศูนย

3) วิเคราะหและออกแบบระบบจัดเก็บล็อกไฟลแบบรวมศูนย

1.5.2 ขอบเขตของโครงงาน 2

1) พัฒนาระบบจัดเก็บล็อกไฟลแบบรวมศูนย โดยมีการจัดเก็บเปน 2สวน คือ จัดเก็บเปน Clear Text และจัดเก็บลงฐานขอมูล MySQL

2) พัฒนาระบบตรวจสอบความคงสภาพของขอมูล (Data Integrity) มีการทํา Data Hashing โดยใชฟงกชัน SHA-1

3) พัฒนาระบบการทําล็อกโรเทชัน (Log rotation) พรอมการบีบอัดขอมูล และทําการเขารหัสลับขอมูล (encryption) โดยจัดเก็บขอมูลล็อกไฟลเปนระยะเวลา 90 วัน เม่ือเกิน 90 วัน จะถูกลบออกโดยอัตโนมัติ เพ่ือควบคุมปริมาณขอมูล ชวยลดปญหากรณีเน้ือที่ของฮารดดิสกไมเพียงพอสําหรับจัดเก็บขอมูล

4) ระบบสามารถตรวจสอบเซิรฟเวอรที่สงล็อกมาได วายังมีการเชื่อมตอเครือขายอยูหรือไม หากขาดการเชื่อมตอจะมีระบบการแจงเตือนผานทางอีเมลไปยังผูดูแลระบบ เพ่ือดําเนินการแกไขตอไป

5) ระบบสามารถพิสูจนตัวจริงของผูใช กอนการใชงานอินเทอรเน็ตได

6) พัฒนาระบบบริหารจัดการผานเว็บเบราวเซอร (Web browser) ดังน้ี

- สามารถตรวจสอบรายละเอียดของเคร่ืองซิสล็อกเซิรฟเวอร (Syslog Server) ได เชน พ้ืนที่ทั้งหมดของฮารดดิสก พ้ืนที่ที่ใชไป พ้ืนที่ที่เหลืออยู เปนตน และสามารถตรวจสอบ เอ็นทีพี เซิรฟเวอร (NTP Server) ที่ทําการขอเทียบเวลาอยูในปจจุบันได

4  

- สามารถแกไขการตั้งคาเอ็นทีพี เซิรฟเวอร และ ล็อกโรเทชัน (Log rotation) ผานทางหนาเว็บได

- สามารถเพิ่ม ลบ และแกไข บัญชีรายชื่อของผูมีสิทธิ์เขาใชระบบบริหารจัดการผานเว็บได รวมถึงกําหนดสิทธิ์ในการเขาถึงของแตละคนได

- ผูใชงานสามารถเปลี่ยนรหัสผานดวยตัวเอง ผานทางหนาเว็บได

- สามารถวิเคราะหขอมูลจากล็อกไฟลของดีเอชซีพีเซิรฟเวอร (DHCP Server) ได เพ่ือใชในการตรวจสอบเคร่ืองคอมพิวเตอรที่เขามาภายในระบบ และสามารถตรวจสอบความผิดปกติของดีเอชซีพีเซิรฟเวอรจากขอมูลล็อกได

- สามารถสงอีเมลแจงเตือนไปยังผูดูแลระบบได เม่ือพบวามีเคร่ืองคอมพิวเตอรใหม หรือเคร่ืองคอมพิวเตอรของบุคคลภายนอกเขามาภายในระบบ

- สามารถวิเคราะหขอมูลจากล็อกไฟลของพร็อกซ่ีเซิรฟเวอรได เพ่ือแสดงผลของเว็บไซตที่มีพนักงานใชงานสูงสุด 10 อันดับแรก

- สามารถสืบคนขอมูลล็อกตามชวงวันเวลาที่กําหนดได

1.6 แผนเวลาของโครงงาน

ตารางที่ 1.1 แสดงการดําเนินงานโครงงานที่ 1

ข้ันตอนการดําเนินงาน พ.ค. 55

มิ.ย. 55

ก.ค. 55

ส.ค. 55

ก.ย. 55

ต.ค. 55

1. ศึกษาพื้นฐานในการดําเนินโครงงาน 2. ศึกษาพรบ.วาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550

3. ศึกษาเทคโนโลยีและกระบวนการที่เก่ียวของในการจัดเก็บล็อกไฟล

4. วิเคราะหและออกแบบระบบจัดเก็บล็อกไฟล

5. จัดทําเอกสาร

5  

ตารางที่ 1.2 แสดงการดําเนินงานโครงงานที่ 2

ข้ันตอนการดําเนินงาน พ.ย. 55

ธ.ค. 55

ม.ค. 56

ก.พ. 56

มี.ค. 56

1. พัฒนาระบบจัดเก็บล็อกไฟล 2. พัฒนาระบบบริหารจัดการผานเว็บ 3. ทดสอบการทํางานของระบบ 4. สรุปผลการทดลองและจัดทําเอกสาร

6  

บทที่ 2

พื้นฐานและทฤษฎีที่เก่ียวของ

2.1 กลาวนํา

การใชงานอินเทอรเน็ตของพนักงานภายใน บริษัท ภูมิใจไทยซีเมนต จํากัด ปจจุบันไมไดมีการออกแบบและวางแผนใหมีการจัดเก็บขอมูลการใชงานแตอยางใด สําหรับการจัดทําโครงงานนี้ไดมีแนวคิดที่จะจัดเก็บขอมูลของการใชงานดังกลาว โดยใหสอดคลองกับ พรบ. วาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 ซ่ึงพ้ืนฐานและทฤษฎีที่เก่ียวของกับโครงงานนี้ อธิบายถึงเรื่องระบบบริหารจัดการล็อกไฟลแบบรวมศูนย การเก็บขอมูลจราจรทางคอมพิวเตอรใหสอดคลองกับพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 และทฤษฎีพ้ืนฐานอ่ืน ๆ ที่เก่ียวของ

2.2 ทฤษฎีที่เก่ียวของ

2.2.1 Log Management System

Log Management System หมายถึง ระบบบริหารจัดการล็อก (Log) หรือขอมูลจราจรทางคอมพิวเตอร โดยการเก็บแยกออกจากการเก็บล็อกไฟลภายในเครื่องเซิรฟเวอรตาง ๆ เชน ล็อกไฟลภายในเครื่องเมลเซิรฟเวอร (Mail Server) หรือล็อกไฟลภายในเคร่ืองเว็บเซิรฟเวอร (Web Server) เปนตน เน่ืองจากการเก็บล็อกไฟลในเครื่องเซิรฟเวอรน้ัน ถือวาไมรองรับตามพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 เน่ืองจากผูดูแลระบบสามารถเขาถึงเคร่ืองเซิรฟเวอรเหลานั้น และสามารถเขาถึงขอมูลล็อกไฟลได ซ่ึงอาจเสี่ยงตอการถูกดัดแปลงแกไข หรือทําลาย ทําใหขอมูล ล็อกที่อยูบนเคร่ืองเซิรฟเวอรขาดความนาเชื่อถือ และไมสามารถนํามาใชเปนหลักฐานในการดําเนินคดีในชั้นศาลได

ระบบการเก็บล็อกไฟลในปจจุบันแบงออกไดเปน 2 ประเภท ดังรูปที่ 2.1

รูปที่ 2.1 ระบบการจัดเก็บลอ็กไฟลในปจจุบัน

7  

2.2.1.1 Centralized Log Management System Centralized Log Management System หมายถึง ระบบบริหารจัดการขอมูล

จราจรทางคอมพิวเตอรหรือที่เรียกวาล็อกไฟล (Log File) โดยมีการจัดเก็บที่สวนกลางแบบรวมศูนย และแยกออกจากการเก็บล็อกไฟลภายในเครื่องเซิรฟเวอร นอกจากน้ันระบบแบบรวมศูนยตองสามารถปองกันการเขามาแกไข หรือลบล็อกไฟลได และตองสามารถจัดเก็บล็อกไฟลไวไดนานอยางนอย 90 วัน ตามที่ระบุไวในพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550

ขอดีของการจัดเก็บล็อกไฟลแบบรวมศูนย คือ สามารถนําขอมูลล็อกไฟลทั้งหมดมาทําการวิเคราะหและหาขอผิดพลาดในการทํางาน และเปนขอมูลประกอบในการเพิ่มประสิทธิภาพในการทํางานใหกับระบบคอมพิวเตอรในอนาคตตอไปได และยังงายตอการบริหารจัดการ แตระบบบริหารจัดการล็อกไฟลแบบรวมศูนยน้ีก็มีขอเสีย คือ หากเคร่ืองเซิรฟเวอรที่ทําหนาที่เปน Centralized Log Server ไมสามารถทํางานได หรือเกิดความเสียหายจะทําใหการกูขอมูลกลับคืนมาเปนไปไดยาก และขาดความนาเชื่อถือ เน่ืองจากขอมูลรวมกันอยูที่เดียวทั้งหมด ซ่ึงตัวอยางการจัดเก็บล็อกไฟลแบบรวมศูนย สามารถแสดงไดดังรูปที่ 2.2

รูปที่ 2.2 ตัวอยางการจัดเก็บล็อกไฟลแบบรวมศูนย

2.2.1.2 Distributed Log Management Distributed Log Management หมายถึง ระบบบริหารจัดการขอมูลจราจรทาง

คอมพิวเตอรหรือที่เรียกวาล็อกไฟล (Log File) แบบกระจายแหลงเก็บขอมูล และแยกออกจากการเก็บล็อกไฟลภายในเครื่องเซิรฟเวอร นอกจากน้ันระบบแบบกระจายจะตองสามารถปองกัน

8  

การเขามาแกไข หรือลบล็อกไฟลได และตองสามารถจัดเก็บล็อกไฟลไวไดนานอยางนอย 90 วัน ตามที่ระบุไวในพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550

ขอดีของการจัดเก็บล็อกไฟลแบบกระจาย คือ สามารถเก็บรวบรวมล็อกไฟลที่มีระบบปฏิบัติการที่แตกตางกันได ทําใหสามารถนําขอมูลล็อกไฟลมาวิเคราะหใหมีความถูกตองและมีประสิทธิภาพมากขึ้น แตระบบบริหารจัดการล็อกไฟลแบบกระจายน้ีก็จะมีขอเสีย คือ จําเปนตองใชทรัพยากรจํานวนมาก และมีความซับซอนมากขึ้นทําใหสิ้นเปลืองงบประมาณ ซ่ึงตัวอยางการจัดเก็บล็อกไฟลแบบกระจาย สามารถแสดงไดดังรูปที่ 2.3

รูปที่ 2.3 ตัวอยางการจัดเก็บล็อกไฟลแบบกระจาย

2.2.2 Syslog

Syslog หมายถึง โพรโทคอลที่ถูกนํามาใชสําหรับจัดเก็บเหตุการณตาง ๆ ที่เกิดขึ้นในระบบ ติดตั้งมาใหพรอมกับระบบปฎิบัติการในเกือบทุกระบบ ซ่ึงหนวยงาน Internet Engineering Task Force (IETF) ไดกําหนดมาตรฐานของโพรโทคอล Syslog ไว ดังน้ี

2.2.2.1 RFC 3164 [1] : The BSD syslog Protocol ซ่ึงรูปแบบของ Syslog ใน RFC 3164 ประกอบดวย 3 สวนหลัก ๆ คือ PRI, Header และ MSG ดังแสดงในตารางที่ 2.1

ตารางที่ 2.1 รูปแบบของโพรโทคอล Syslog ใน RFC 3164

PRI

- Facility

- Severity

Header

- Time Stamp

- Hostname

MSG

- Tag

- Content

9  

จากตารางที่ 2.1 สามารถอธิบายรายละเอียด ไดดังน้ี

1) PRI (Priority) ประกอบดวย Facility และ Severity โดยสวนของ Facility น้ัน เปนขอมูลที่อธิบายถึงแหลงกําเนิดของขอมูลล็อกน้ัน ๆ เชน ขอมูลล็อกที่สงมาจากระบบเมล จะมี Facility เปน mail และสวนของ Severity น้ัน จะแสดงถึงระดับความสําคัญของเหตุการณที่เกิดสําหรับแตละ Facility โดยขอมูลล็อกทุกอันจําเปนตองมี Facility และ Severity เสมอ ดังแสดงในตารางที่ 2.2 และ 2.3

ตารางที่ 2.2 แสดงรหัส และความหมายของ Facility

รหัสตัวเลข Facility คําอธิบาย

0 kern kernel messages

1 user user-level messages

2 mail mail system

3 daemon system daemons

4 auth security / authorization messages

5 syslog messages generated internally by syslogd

6 lpr line printer subsystem

7 news network news subsystem

8 uucp UUCP subsystem

9 cron clock daemon

10 authpriv security / authorization messages

11 ftp FTP daemon

12 ntp NTP subsystem

13 security log audit

14 console log alert

15 solaris-cron clock daemon

16-23 local0-local7 local use 0 – local use 7

10  

ตารางที่ 2.3 แสดงรหัส และความหมายของ Severity

รหัสตัวเลข Severity คําอธิบาย

0 Emergency ภาวะฉุกเฉิน

1 Alert แจงเตือนเรงดวน

2 Critical ลอแหลม

3 Error มีขอผิดพลาด

4 Warning คําเตือน

5 Notice ขอสังเกต

6 Information ขอมูลทั่วไป

7 Debug สําหรับใชดีบักเทาน้ัน

การคํานวณหาคา Priority สามารถคํานวณไดจาก PRI = (Facility x 8) + Severity เชน คํานวณหาคา PRI ของล็อกที่มีคา facility mail และ severity Information จากตารางที่ 2.2 และ 2.3 จะไดคา facility = 2 และ severity = 6 ดังน้ัน PRI = (2x8) + 6 = 22

2) Header ประกอบดวย Timestamp คือ วันและเวลาที่เกิดล็อก โดยมีรูปแบบ คือ “Mmm dd hh:mm:ss" และ Hostname ซ่ึงอาจเปนชื่อหรือหมายเลขไอพี (IP Address) ของเคร่ืองเซิรฟเวอร และอุปกรณเครือขายที่สงล็อกมา

3) MSG เปนสวนขอความของล็อก ประกอบดวย 2 สวน คือ Tag Field และ Content โดยสวนของ Tag Field เปนฟลดที่บอกวาเปนล็อกของโปรแกรมหรือโปรเซสอะไร และ Content เปนสวนเนื้อหาของขอมูลล็อกดังกลาว

ยกตัวอยางลอ็กไฟลที่มีรูปแบบตามมาตรฐาน RFC 3164 เชน

<133>Feb 25 14:09:07 webserver syslogd: restart.

จากตัวอยางดานบนจะเห็นวารูปแบบของล็อก คือ

<priority>timestamp hostname application:message.

11  

2.2.2.2 RFC 5424 [2]: The Syslog Protocol โดยรูปแบบของ Syslog ใน RFC 5424 ประกอบดวย 3 สวนหลัก ๆ คือ Header, Structured-data และ MSG ดังแสดงในตารางที่ 2.4

ตารางที่ 2.4 รูปแบบของโพรโทคอล Syslog ใน RFC 5424

จากตารางที่ 2.4 สามารถอธิบายรายละเอียด ไดดังน้ี

1) Header ประกอบดวย

- PRI (Priority) ประกอบดวย Facility และ Severity โดยสวนของ Facility น้ัน เปนขอมูลที่อธิบายถึงแหลงกําเนิดของขอมูลล็อกน้ัน ๆ เชน ขอมูลล็อกที่สงมาจากระบบเมล จะมี Facility เปน mail และสวนของ Severity น้ัน จะแสดงถึงระดับความสําคัญของเหตุการณที่เกิดสําหรับแตละ Facility โดยขอมูลล็อกทุกอันจําเปนตองมี Facility และ Severity เสมอ ดังแสดงในตารางที่ 2.1 และ 2.2

- Version คือ เวอรชันของมาตรฐานโพรโทคอล syslog ซ่ึงปจจุบันมีเพียงเวอรชัน 1 - Timestame คือ วันที่และเวลาที่เกิดล็อก ตามมาตรฐาน ISO 8601 จะมีรูปแบบ ดังน้ี

(yyyy-mm-ddThh:mm:ss+-ZONE) เชน 2006-06-13T15:58:00.123+01:00.

- Hostname คือ ชื่อหรือหมายเลขไอพี ของเคร่ืองเซิรฟเวอรหรืออุปกรณเครือขายที่สงล็อกมา

- APP-Name คือ อุปกรณหรือแอพพลิเคชันที่สรางล็อกน้ีขึ้นมา - ProcID คือ ชื่อ หรือหมายเลขประจําตัวของโปรเซสของแอพพลิเคชนัที่สงล็อกมา - MSGID คือ หมายเลขประจําตัวของขอความล็อก 2) Structured-data เปนสวนที่บอกถึงรายละเอียดเก่ียวกับขอมูลล็อก หรือขอมูลเฉพาะ

ของแอพพลิเคชัน เชน traffic couters หรือ หมายเลขไอพี

Header

- PRI >> Facility,

>> Severity

- Version

- Timestamp

- Hostname

- APP-Name

- ProcID

- MSGID

Structured-data

- SD-Element

- SD-ID

- SD-PARAM

- Change Control 

MSG

12  

ซ่ึงสวนของ Structured-data น้ี จะเปนบล็อกของขอมูลที่อยูภายในเครื่องหมาย brackets ([ ]) โดยทุก ๆ บล็อกจะตองมี SD-ID หรือหมายเลขประจําตัวของบล็อกขอมูล เชน [exampleSDID@0 iut="3" eventSource="Application" eventID="1011"] [example Priority@0class="high"] ซ่ึงในสวนของ Structured-data น้ี อาจจะมี หรือไมมีก็ได

3) MSG เปนสวนขอความของล็อก ยกตัวอยางลอ็กไฟลที่มีรูปแบบตามมาตรฐาน RFC 5424 เชน

<34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' failed for lonvick on /dev/pts/8

จากตัวอยางดานบนจะเห็นวารูปแบบของล็อก คือ <priority>VERSION ISOTIMESTAMP HOSTNAME APPLICATION PID MESSAGEID STRUCTURED-DATA MSG

2.2.3 พระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 [3] พรบ. วาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 ไดผานการ

เห็นชอบจากสภานิติบัญญัติ ลงพระปรมาภิไธย เม่ือวันที่ 10 มิถุนายน พ.ศ. 2550 และประกาศลงในราชกิจจานุเบกษาแลว เม่ือวันที่ 18 มิถุนายน พ.ศ. 2550 โดยมีผลบังคับใชตั้งแต วันที่ 18 กรกฎาคม พ.ศ. 2550 ซ่ึงมาตรา 3 ในพระราชบัญญัติน้ี ไดนิยามความหมายของคําศัพทตาง ๆ ที่เก่ียวของกับ พรบ. ฯ ไวดังน้ี

“ระบบคอมพิวเตอร” หมายความวา อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เชื่อมการทํางานเขาดวยกัน โดยไดมีการกําหนดคําส่ัง ชุดคําส่ัง หรือส่ิงอ่ืนใด และแนวทางปฏิบัติงานใหอุปกรณหรือชุดอุปกรณทําหนาที่ประมวลผลขอมูลโดยอัตโนมัติ

“ขอมูลคอมพิวเตอร” หมายความวา ขอมูล ขอความ คําสั่ง ชุดคําสั่ง หรือส่ิงอ่ืนใดบรรดาที่อยูในระบบคอมพิวเตอรในสภาพที่ระบบคอมพิวเตอรอาจประมวลผลได และใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสดวย

“ขอมูลจราจรทางคอมพิวเตอร” หมายความวา ขอมูลเก่ียวกับการติดตอส่ือสารของระบบคอมพิวเตอร ซ่ึงแสดงถึงแหลงกําเนิด ตนทาง ปลายทาง เสนทาง เวลา วันที่ ปริมาณ ระยะเวลาชนิดของบริการ หรืออ่ืน ๆ ที่เก่ียวของกับการติดตอสื่อสารของระบบคอมพิวเตอรน้ัน

“ผูใหบริการ” หมายความวา

(1) ผูใหบริการแกบุคคลอ่ืนในการเขาสูอินเทอรเน็ต หรือใหสามารถติดตอถึงกันโดยประการอ่ืน โดยผานทางระบบคอมพิวเตอร ทั้งน้ี ไมวาจะเปนการใหบริการในนามของตนเอง หรือในนามหรือเพ่ือประโยชนของบุคคลอ่ืน

(2) ผูใหบริการเก็บรักษาขอมูลคอมพิวเตอรเพ่ือประโยชนของบุคคลอ่ืน “ผูใชบริการ” หมายความวา ผูใชบริการของผูใหบริการไมวาตองเสียคาใช

บริการหรือไมก็ตาม

13  

“พนักงานเจาหนาที่” หมายความวา ผูซ่ึงรัฐมนตรีแตงตั้งใหปฏิบัติการตามพระราชบัญญัติน้ี

“รัฐมนตรี” หมายความวา รัฐมนตรีผูรักษาการตามพระราชบัญญัติน้ี หลังจากพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ.

2550 ออกมา ทางกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ไดออกประกาศหลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 เพ่ือใหเปนแนวทางในการปฏิบัติ ซ่ึงมีรูปแบบที่ใชในขอบังคับตาง ๆ โดยจะแสดงใหเห็นถึงความเกี่ยวของกันระหวาง พระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 กับสิ่งที่ไดจัดทําในโครงงานนี้ เพ่ือนํามาตอบสนองตอกฎของพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 ดังแสดงในตารางที่ 2.5 ตารางที่ 2.5 รูปแบบทีใ่ชในขอบังคับตาง ๆ กับสิ่งที่จัดทําในโครงงานนี้ [4] ข อ 8 กา ร เ ก็ บ รั กษ าข อ มู ล จ ร า จ รท า งคอมพิวเตอร ผู ใหบริการตองใชวิธีการ ที่ม่ันคงปลอดภัย ดังตอไปน้ี (1) เก็บในสื่อ (Media) ที่สามารถรักษาความครบถวนถูกตองแทจริง (Integrity) และระบุตัวบุคคล (Identification) ที่เขาถึงสื่อดังกลาวได

มีการกําหนดสิทธิ์ในการเขาถึงขอมูลล็อก และมีการทํา Data Hashing (SHA-1) เพ่ือใหสามารถตรวจสอบความครบถวนถูกตองแทจริงของขอมูลล็อกได

(2) มีระบบการเก็บรักษาความลับของขอมูลที่จัดเก็บ และกําหนดชั้นความลับในการเขาถึงขอมูลดังกลาว เพ่ือรักษาความนาเชื่อถือของขอมูล และไมใหผู ดูแลระบบสามารถแกไขขอมูลที่ เ ก็บรักษาไว เชน การเ ก็บไว ใน Centralized Log Server หรือการทํา Data Archiving หรือทํา Data Hashing เปนตน เวนแตผูมีหนาที่เก่ียวของที่เจาของหรือผูบริหารองคกร กําหนดใหสามารถเข าถึ งขอ มูลดังกลาวได เชน ผูตรวจสอบระบบสารสนเทศขององคกร (IT Auditor) หรือบุคคลที่องคกรมอบหมาย เปนตน รวมทั้งพนักงานเจาหนาที่ตามพระราชบัญญัติน้ี

มีการติดตั้ง Centralized Log Server สําหรับจัดเก็บล็อกไฟล - สวนของล็อกไฟลที่เปน Clear Text มีการทํา Data Hashing โดยใชฟงกชัน SHA-1 และทําการเขารหัสลับขอมูลแบบกุญแจอสมมาตร (Asymmetric-key Cryptography) โดยใช Public Key ของผูที่ไดรับการแตงตั้งใหเปนผูรับผิดชอบใหสามารถเขาถึงขอมูลล็อกได ซ่ึงจะทําใหผูที่สามารถดูขอมูลได เปนเพียงผูที่มี Private Key คนเดียวเทาน้ัน - สวนของล็อกไฟลที่เปนฐานขอมูล มีการทํา Data Hashing โดยใช SHA-1 มีการ Grant สิทธิ์ของผูใช และกําหนดสิทธิ์สําหรับการเขาถึงขอมูลล็อกผานทางหนาเว็บ

14  

(3) จัดใหมีผูมีหนาที่ประสานงานและใหขอมูลกับพนักงานเจาหนาที่ ซ่ึงไดรับการแตงตั้งตามพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. ๒๕๕๐ เพ่ือใหการสงมอบขอมูลน้ัน เปนไปดวยความรวดเร็ว

เสนอใหมีการแตงตั้งผูรับผิดชอบในสวนนี้

(4) ในการเก็บขอมูลจราจรนั้น ตองสามารถระบุรายละเอียดผูใชบริการเปนรายบุคคลได (Identification and Authentication) เชน ลักษณะการใชบริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือบริการ 1222 หรือ Wi-Fi Hotspot ตองสามารถระบุตัวตนของผูใชบริการเปนรายบุคคลไดจริง

บริษัท ฯ มีการใชงานพร็อกซ่ีเซิรฟเวอร (Proxy Server) อยูแลว ในการใชงานอินเทอรเน็ตตองตั้งคาพร็อกซ่ีเซิรฟเวอร จึงจะส า ม า ร ถ ใ ช ง า น ไ ด แ ล ะ เ พิ่ ม เ ติ ม ใ ห มีกระบวนการ พิสู จน ตั วจริ ง ก อนการ ใชอินเทอรเน็ต

ขอ 9 เพ่ือใหขอมูลจราจรมีความถูกตองและนํามาใชประโยชนไดจริง ผูใหบริการตองตั้งนาฬิกาของอุปกรณบริการทุกชนิดใหตรงกับเวลาอางอิงสากล (Stratum 0) โดยผิดพลาดไมเกิน 90 มิลลิวินาที

มีการตั้งเอ็นทีพีเซิรฟเวอร ไวในองคกร โดยขอเทียบเวลาจาก เอ็นทีพีเซิรฟเวอรสตราตัม 1 (NTP Server Stratum 1) ในประเทศไทย

มาตรา 26 ผูใหบริการตองเก็บรักษาขอมูลทางคอมพิวเตอรไว ไมนอยกวาเกาสิบวัน นับแตวันที่ขอมูลน้ันเขาสูระบบคอมพิวเตอร

มีการทําล็อกโรเทชั่นในทุก ๆ วัน วันละ 1 คร้ัง โดยตั้งไวที่ 90 คร้ัง เม่ือครบ 90 วัน ล็อกดังกลาวจะถูกลบออกจากระบบโดยอัตโนมัติ

2.2.4 Network Time Protocol (NTP) ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เร่ือง หลักเกณฑ

การเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 เพ่ือเปนแนวทางปฏิบัติสําหรับผูใหบริการประเภทตาง ๆ ดําเนินการเก็บรักษาขอมูลจราจรคอมพิวเตอรใหสอดคลองกับ พรบ. วาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร โดยไดกําหนดหลักเกณฑในประกาศตอนหนึ่งไว ดังนี้ “ ขอ 9 เพ่ือใหขอมูลจราจรมีความถูกตอง และนํามาใชประโยชนไดจริง ผูใหบริการตองตั้งนาฬิกาของอุปกรณบริการทุกชนิดใหตรงกับเวลาอางอิงสากล (Stratum 0) โดยผิดพลาดไมเกิน 10 มิลลิวินาที”

15  

จากประกาศดังกลาว ผูใหบริการจําเปนตองทําการเทียบเวลาจากเวลาอางอิงสากล (Stratum 0) โดยผิดพลาดไมเกิน 10 มิลลิวินาที ซ่ึงวัตถุประสงคก็คือ เพ่ือใหเวลาของเครื่องเซิรฟเวอร และอุปกรณเครือขาย รวมถึงเครื่องคอมพิวเตอรที่อยูภายในระบบ มีเวลานาฬิกาที่ตรงกัน เพ่ือกรณีมีการตรวจสอบขอมูลจราจรทางคอมพิวเตอรแตละหนวยงาน จะสามารถอางอิงตามเวลาที่ใกลเคียงกันที่สุด

Network Time Protocol (NTP) เปนโพรโตคอลที่ใชในการปรับเทียบเวลาของนาฬิกาในระบบคอมพิวเตอร (Time Synchronization) โดยทํางานผานพอรท 123 ของโพรโตคอล UDP ซ่ึง Network Time Protocol น้ี ถูกออกแบบมาเพ่ือลดผลกระทบของการคลาดเคลื่อนทางเวลา เน่ืองจากเวลาที่ถูกตองแมนยําเปนพ้ืนฐานสําคัญที่ใชในการตรวจสอบความถูกตองของล็อกไฟล

ลักษณะการแจกจายเวลาของ NTP จะมีรูปแบบเปนลําดับชั้น เรียกวา Clock Strata ซ่ึงสามารถรองรับระดับของการเทียบเวลาไดถึง 16 ระดับ โดยจะแบงลําดับชั้นของการเทียบเวลา ดังตอไปน้ี

1) Stratum-0 คือ อุปกรณของแหลงกําเนิดเวลา ทําหนาที่ Synchronize เวลามาตรฐานสากล โดยไมมีคาหนวงเวลาใด ๆ เชน นาฬิกาอะตอม (Atomic Clock) ที่ใชธาตุซีเซียม (CS-133) หรือ รูบิเดียม, นาฬิกาที่รับเวลามาจาก GPS, เทคโนโลยี CDMA หรือคลื่นยาว (Long wave radio) เปนตน ซ่ึงอุปกรณแตละชนิดจะมีขอดีและขอเสียแตกตางกัน เชน การใช GPS จะมีตนทุนที่ต่ํากวา Atomic clock แตจะมีเสถียรภาพที่นอยกวา และหากสภาพอากาศไมเหมาะสม GPS จะไมสามารถรับสัญญาดาวเทียมได เปนตน และอุปกรณ Stratum-0 น้ี จะไมไดตอในระบบเครือขาย แตจะเชื่อมตอโดยตรงกับเครื่องที่ทําหนาที่เปน Stratum-1

2) Stratum-1 คือ เคร่ืองคอมพิวเตอรเซิรฟเวอรที่เชื่อมตอโดยตรงกับอุปกรณที่เปนStratum-0 ซ่ึงถือวาเปน Time Server ในระดับตน (Primary Time Server) ที่อยูในระบบเครือขาย ที่ผูใหบริการ NTP สามารถเชื่อมผานเครือขายมาอางอิงเวลาได

3) Stratum-2 คือ เคร่ืองคอมพิวเตอรที่รองขอการเทียบเวลาจากเครื่องคอมพิวเตอรเซิรฟเวอรที่เปน Stratum-1 ผานระบบเครือขาย ซ่ึงเคร่ืองคอมพิวเตอรในระดับ Stratum-2 น้ีอาจจะรองขอการเทียบเวลาจากเครื่องคอมพิวเตอรเซิรฟเวอรที่เปน Stratum-1 ไดมากกวา 1 แหลง เพ่ือใหสามารถรองรับการทํางานทดแทนกันได เม่ือไมสามารถเขาถึงเคร่ืองคอมพิวเตอรเซิรฟเวอรที่เปน Stratum-1 ตัวใดตัวหน่ึงก็จะสามารถรองขอการเทียบเวลาจากเคร่ืองคอมพิวเตอรเซิรฟเวอรที่เปน Stratum-1 ตัวอ่ืนได นอกจากน้ีเคร่ืองคอมพิวเตอรใน Stratum-2 ยังสามารถเทียบเคียงเวลาระหวางกันแบบ peer-to-peer เพ่ือรักษาเวลาใหเทียบเทากันในระดับเดียวกันไดดวย

16  

4) Stratum-3 คือ เคร่ืองคอมพิวเตอรที่รองขอการเทียบเวลาจากเครื่องคอมพิวเตอรเซิรฟเวอรที่เปนStratum-2ผานระบบเครือขาย ซ่ึงเคร่ืองคอมพิวเตอรในระดับ Stratum-3น้ีอาจจะรองขอการเทียบเวลาจากเครื่องคอมพิวเตอรเซิรฟเวอรที่เปนStratum-2ไดมากกวา 1 แหลงเพ่ือใหสามารถรองรับการทํางานทดแทนกันได เม่ือไมสามารถเขาถึงเครื่องคอมพิวเตอรเซิรฟเวอรที่ เปนStratum-2ตัวใดตัวหนึ่งก็จะสามารถรองขอการเทียบเวลาจากเครื่องคอมพิวเตอรเซิรฟเวอรที่เปนStratum-2ตัวอ่ืนได นอกจากน้ีเคร่ืองคอมพิวเตอรใน Stratum-3ยังสามารถเทียบเคียงเวลาระหวางกันแบบ peer-to-peer เพ่ือรักษาเวลาใหเทียบเทากันในระดับเดียวกันไดดวย

ลําดับชั้นของการเทียบเวลาใน Network Time Protocol สามารถแสดงไดดังรูปที่ 2.4

รูปที่ 2.4 ลําดับชั้นของการเทียบเวลาดวยโพรโทคอลเอ็นทีพี

2.2.5 การพิสูจนตัวจริง (Authentication)

การพิสูจนตัวจริง หมายถึง ขั้นตอนที่ใชในการตรวจสอบตัวตนของผูที่ใชงานระบบเครือขายอินเทอรเน็ต หรือผูที่ตองการเขาใชทรัพยากรภายในระบบ ซ่ึงเปนขั้นตอนการชี้บง เพ่ือยืนยันความถูกตองของหลักฐาน (Identity) ที่แสดงใหเห็นวาเปนบุคคลท่ีกลาวอางจริง พรอมทั้งตรวจสอบสิทธิ์การใชงานของบุคคลน้ัน ๆ เชน ผูใชงานทานน้ีมีสิทธิ์เขาถึงขอมูลอะไรไดบาง สามารถดูขอมูลไดอยางเดียว หรือสามารถทําการเปลี่ยนแปลงแกไขไดดวย เปนตน ซ่ึงในทางปฏิบัติสามารถแบงออกไดเปน 2 ขั้นตอน คือ การระบุตัวตน และการพิสูจนตัวจริง

17  

-การระบุตัวตน (Identification) เปนขั้นตอนหรือวิธี ที่ผูใชแสดงหลักฐานวาตนเองคือใคร เชน ชื่อผูใช (username) เปนตน

-การพิสูจนตัวจริง (Authentication) เปนขั้นตอนหรือวิธี ที่ตรวจสอบหลักฐาน เพ่ือแสดงวาเปนบุคคลที่กลาวอางจริง

ขั้นตอนการพิสูจนตัวจริง สามารถแสดงไดดังรูปที่ 2.5

รูปที่ 2.5 แผนผังแสดงขั้นตอนการพิสูจนตัวจริง จากรูปที่ 2.5 ในขั้นตอนแรก ผูใชทําการแสดงหลักฐานที่จะใชในการพิสูจนตัวจริงตอ

ระบบกอน ซ่ึงก็คือการระบุตัวตน (Identification) หลังจากนั้นระบบจะทําการตรวจสอบหลักฐานที่ผูใชนํามากลาวอาง ซ่ึงก็คือการพิสูจนตัวจริง (Authentication) และหลังจากที่ระบบไดทําการตรวจสอบหลักฐานเปนที่เรียบรอยแลว หากหลักฐานที่นํามากลาวอางถูกตองจะอนุญาตใหสามารถเขาสูระบบ และใชงานตามสิทธิ์ของแตละคนได แตหากหลักฐานที่นํามากลาวอางน้ันไมถูกตอง ผูใชจะไมไดรับอนุญาตใหเขาสูระบบ

2.2.6 ฟงกชันแฮช (Hash Function)

คือ การนําเอาขอมูลอิเล็กทรอนิกสตนฉบับ (Message) ความยาวใด ๆ มาผานกระบวนการทางคณิตศาสตร ที่เรียกวา ฟงกชันแฮช เพ่ือใหไดขอมูลที่สั้น และมีความยาวคงที่ เรียกวา Message Digest หรือขอมูลยอย ซ่ึงจุดประสงคของฟงกชันแฮช คือ การตรวจสอบความคงสภาพของขอมูล (Data Integrity) ซ่ึงในโครงงานนี้มีการนําอัลกอริทึมของการทํา Data Hashing มาใชกับล็อกไฟล เพ่ือเปนการรักษาความคงสภาพของขอมูล รวมถึงเปนประโยชนในดานการสืบสวนสอบสวนทางนิติคอมพิวเตอร และประโยชนในการพิจารณาคดีในชั้นศาลตอไป

18  

คุณสมบัติของฟงกชันแฮชที่ดี ควรมีคุณสมบัติ ดังตอไปน้ี 1. เปนฟงกชันทางเดียว (One-way Function) ยอนกลับไมได คือ เม่ือทราบ

ผลลัพธแลวจะไมมีทางทราบขอมูล 2. ขอความเดียวกันเม่ือผานฟงกชันแฮชแลว จะตองไดผลลัพธเหมือนเดิมเสมอ 3. เม่ือขอความเปลี่ยนแปลงแมเพียง bit เดียว เม่ือผานแฮชฟงกชัน ควรได

ผลลัพธที่ตางกันมากในลักษณะที่คาดเดาไมไดดังตัวอยางในรูปที่ 2.6 4. เปนฟงกชันที่สามารถสรางผลลัพธที่มีความยาวเพียงคาเดียว คือ ผลลัพธมี

ความยาวเทากันหมด ไมวา Input จะยาวเทาไรก็ตาม 5. เปนฟงกชันที่ไมมีความซับซอน สามารถสรางโดยฮารดแวรหรือซอฟตแวรได

งาย

รูปที่ 2.6 ตัวอยางการทํางานของฟงกชันแฮช

จากรูปที่ 2.6 จะเห็นวาเม่ือมีการเปลี่ยนแปลง Input เพียงเล็กนอยเทาน้ัน เม่ือนํามา

ผานฟงกชันแฮชแลว จะใหผลลัพธ Digest ที่มีความแตกตางจากเดิมมากจนไมสามารถคาดเดาได

2.2.6.1 หลักการของฟงกชันแฮช

ฟงกชันแฮชมีหลักการ ดังน้ี เร่ิมจากการนํา plaintext ที่ตองการสง มาเขาฟงกชันแฮช เพ่ือใหได digest ซ่ึงจะนําไปแปะ และสงไปกับ message จากน้ันหากผูรับตองการตรวจสอบความถูกตองของขอมูลที่รับมานั้น ผูรับจะนํา plaintext ที่ไดรับมา เขาฟงกชันแฮช เพ่ือตรวจสอบวา digest ตรงกับที่ไดรับมาหรือไม หากตรงแสดงวาขอมูลน้ันมีความถูกตองและ

19  

สมบูรณ แตหากคา digest มีคาที่เปลี่ยนไป แสดงวาเกิดการเปลี่ยนแปลงขอมูลเกิดขึ้นและไมสามารถนํามาใชยืนยันความถูกตองของขอมูลได ดังแสดงในรูปที่ 2.7

รูปที่ 2.7 หลักการของฟงกชันแฮช

2.2.6.2 รูปแบบของฟงกชันแฮช มีหลายรูปแบบ แตที่ นิยมใช กันอยางแพรหลาย มี 2 รูปแบบ คือ

- MD5 (Message Digest Algorithm 5) เปนฟงกชันแฮชที่ไดรับความนิยมอยางแพรหลาย ถูกนําไปใชงานอยางกวางขวางในดานความปลอดภัย รวมถึงใชในการตรวจสอบความถูกตองของไฟล แตเม่ือไมนานมานี้ไดมีการคนพบชองโหวของ MD5 ที่ทําใหเกิดการชนกัน (Collision) กลาวคือ มีผูคิดคนวิธีการสรางคาอินพุท 2คาใด ๆ ที่มีความแตกตางกัน แตกลับใหผลลัพธ Message Digest ที่เหมือนกัน น่ันหมายความวา แฮกเกอรจะมีโอกาสแกไขขอความใหมีความหมายเปลี่ยนไป แตคา Message Digest เหมือนกัน ทําใหผูรับขอความเขาใจผิด วาขอมูลที่ไดรับถูกตองแลว

MD5 เปนฟงกชันแฮชที่รับอินพุทที่มีขนาดไมจํากัด ซ่ึงอินพุทที่เปนคา plaintext น้ี จะถูกแบงออกเปนบล็อค แตละบล็อคมีขนาดไมเกิน 512บิต และจะสรางคา Message Digest ที่มีขนาด 128 บิต (16 ไบต) ซ่ึงผลลัพธที่ไดจะใหคาเปนตัวเลขฐาน 16 ขนาด 32 ตัวอักษร ตามมาตรฐาน (RFC 1321) แตมีบางประเภทใหคาเปน binary และ base64

- SHA-1 (Secure Hash Algorithm 1) เปนฟงกชันแฮชที่ถูกพัฒนาขึ้นภายหลัง MD5 และยังมีความม่ันคงปลอดภัยสูงกวา MD5 โดยเฉพาะความทนทานตอการเกิดการชนกัน

20  

(Collision) ที่เปนปญหาของ MD5 ดังน้ัน สวนใหญจึงหันมาใช SHA-1 แทน MD5 เพ่ือหลีกเลี่ยงปญหาดังกลาว

SHA-1 เปนฟงกชันแฮชที่รับอินพุทที่มีขนาดไมจํากัดและจะสรางคา Message Digest ที่มีขนาด 160 บิต (20ไบต) ซ่ึงยาวกวาคา Message Digest ที่สรางจาก MD5 และยังมีกระบวนการสรางที่ซับซอนกวา ทําใหสามารถสราง Message Digest ไดชากวา MD5

2.2.7 พ้ืนฐานเทคโนโลยีการเขารหัสลับ การเขารหัสขอมูล (Encryption) หมายถึง กระบวนการในการเปลี่ยนแปลง

ขอมูลตนฉบับ ที่สามารถอานเขาใจได ใหไมสามารถอานเขาใจหรือตีความได โดยมีจุดประสงคหลักเพ่ือรักษาความลับของขอมูลจากผูที่เราไมตองการใหลวงรูขอมูล ซ่ึงขอความเดิมที่สามารถอานและเขาใจได เรียกวา Plain Text หรือ Clear Text และขอความที่ถูกเขารหัสแลว และไมสามารถอานออกและเขาใจได เรียกวา Ciphertext สวนการถอดรหัสขอมูล (Decryption) หมายถึง กระบวนการในเปลี่ยนแปลงขอมูลที่ไดจากการเขารหัสลับขอมูล ไปเปนขอมูลกอนที่จะถูกเขารหัสลับ ทําใหสามารถอานเขาใจได ดังแสดงในรูปที่ 2.8

Mr. A Mr. B

“a$%3&” “ Hello ”“ Hello ”Encryption Decryption

  

รูปที่ 2.8 แสดงการเขารหัสลับและถอดรหัสลับขอมูล

เทคนิคการเขารหัสลับ แบงออกไดเปน 2 ประเภทหลัก ๆ ดังน้ี 2.2.7.1 วิทยาการเขารหัสลับแบบสมมาตร (Symmetric Cryptography) คือ

การเขารหัสขอมูลโดยใชคียสําหรับการเขารหัสลับ และคียสําหรับการถอดรหัสลับชุดเดียวกัน หรือ เรียกวาการเขารหัสลับขอมูลดวยกุญแจเด่ียว (Secret Key) โดยคียที่ใชตองมีการกระจายไปยังผูสงและผูรับขอมูล และทั้งสองคนตองเก็บคียดังกลาวไวเปนความลับไมใหผูอ่ืนที่ไมเก่ียวของลวงรูได ตัวอยางของเทคนิควิทยาการเขารหัสลับแบบสมมาตร คือ DES (Data Encryption Standard) 3DES (Triple Data Encryption Standard) AES (Advanced Encryption Standard) Blowfish และ RC4 การเขารหัสลับแบบสมมาตรนี้ เหมาะสําหรับระบบที่ตองการความรวดเร็วในการประมวลผล และขอมูลมีขนาดใหญ เน่ืองจากสามารถประมวลผลไดรวดเร็วกวาการเขารหัสลับแบบอสมมาตร แตจะมีขอเสียในเรื่องของการบริหารจัดการกุญแจลับ ที่เปนปญหาหลักของการเขารหัสลับแบบสมมาตร ซ่ึงวิทยาการเขารหัสลับแบบสมมาตร สามารถแสดงไดดังรูปที่ 2.9

21  

รูปที่ 2.9 วิทยาการเขารหัสลับแบบสมมาตร [11] 2.2.7.2 วิทยาการเขารหัสลับแบบอสมมาตร (Asymmetric Cryptography) หรือ

วิทยาการเขารหัสลับแบบพับบลิคคีย (Public-key Cryptography) คือ การเขารหัสขอมูลโดยใชคียสําหรับการเขารหัสลับ และคียสําหรับการถอดรหัสลับคนละชุดกัน โดยที่ผูใชแตละคนจะตองสรางคียขึ้นมา 2 ชุด คือ พับบลิคคีย และ ไพรเวทคีย ซ่ึงพับบลิคคียน้ีผูใชสามารถกระจายใหผูอ่ืนทราบได แตสําหรับไพรเวทคียน้ัน ผูใชจะตองจัดเก็บไวเปนความลับ ตองเปนเจาของไพรเวทคียเทาน้ันที่รู หากมีการใชไพรเวทคียของผูใชคนใดเขารหัสลับขอมูล ตองใชพับบลิคคียของผูใชคนน้ันในการถอดรหัสลับขอมูล และในทางกลับกัน หากใชพับบลิคคียของผูใชคนใดในการเขารหัสลับขอมูลก็จะตองใชไพรเวทคียของผูใชคนน้ันในการถอดรหัสลับ ขอเสียของการเขารหัสลับแบบอสมมาตร คือ การเขารหัส และถอดรหัสจะใชเวลามากกวาการเขารหัสแบบสมมาตร เน่ืองจากมีความซับซอนสูงกวา ดังแสดงในรูปที่ 2.10

รูปที่ 2.10 วิทยาการเขารหัสลับแบบอสมมาตร [11]

22  

2.3 เทคโนโลยีที่นํามาใชในการพัฒนาระบบ

2.3.1 ระบบปฎิบัติการ CentOS 6.3

CentOS (Community Enterprise Operating System) เปนระบบปฏิบัติการที่เปน Open Source ซ่ึงเปนลีนุกซที่พัฒนามาจากตนฉบับ RedHat Enterprise Linux (RHEL) โดยนําเอาซอรสโคดตนฉบับของ RedHat มาทําการคอมไพลใหม ซ่ึงในปจจุบันมีองคกรที่นิยมใชระบบปฏิบัติการ CentOS กันอยางแพรหลาย เน่ืองจากเปนระบบปฏิบัติการที่มีตนแบบมาจาก RedHat ซ่ึงมีความแข็งแกรงสูง แตเน่ืองจากปจจุบัน RedHat ไดมุงเนนมาพัฒนาในดานเชิงการคา ดังน้ันผูใชงานทั่วไปจึงนิยมใช CentOS มากกวา เน่ืองจากชวยประหยัดงบประมาณขององคกร ไมจําเปนตองจายคาลิขสิทธิ์ซอฟตแวร และมีแพ็คเกจยอยตาง ๆ ที่สามารถนํามาทําเคร่ืองเซิรฟเวอรสําหรับใชงานในองคกรได เชน Database Server (MySQL), Proxy Server (Squid), RADIUS Server (FreeRADIUS) เปนตน รวมทั้งยังสามารถติดตั้งใหเปนระบบจัดเก็บล็อกไฟลในองคกรได จากคุณสมบัติตาง ๆ ที่กลาวมาขางตน จึงเลือกใชระบบปฏิบัติการ CentOS 6.3 ในการจัดทําโครงงานนี้

2.3.2 Syslog NG 3.2.5

Syslog-NG หรือ Syslog new gerneration เปนโปรแกรมที่ทําหนาที่ในการจัดเก็บขอมูลล็อกที่เกิดขึ้นภายในระบบ พัฒนามาจาก Syslog โดยการแกไขขอบกพรองหลายประการ ซ่ึงมีคุณสมบัติหลัก ๆ ดังน้ี

- สามารถทํางานไดทั้งบนโพรโทคอล TCP และ UDP

- สามารถทําการกรองขอมูล (filter) และแยกประเภทของขอมูลได เชน แยกตามเคร่ืองตนทางที่สงล็อกมา หรือแยกตามแอพพลิเคชัน เปนตน

- มีการโอนยายขอมูลที่เชื่อถือได รองรับการสงล็อกจากเซิรฟเวอร และอุปกรณเครือขายไปยัง Remote Server และสามารถจัดเก็บรวบรวมไวที่ศูนยกลางได

- สามารถจัดเก็บล็อก ลงฐานขอมูลไดงาย ซ่ึงฐานขอมูลที่ Syslog-ng รองรับ ไดแก MSSQL, MySQL, Oracle, และ PostgreSQL

- รองรับทั้ง IPv4 และ IPv6

- มีรูปแบบของไฟล Configuration ที่เขาใจงาย มีความยืดหยุนสูง สามารถนําไปประยุกตใชตามความตองการได

23  

2.3.3 ล็อกโรเทชัน

ล็อกโรเทชัน เปนกลไกของระบบปฏิบัติการลีนุกซ ที่ชวยลบไฟลล็อกที่เกากวาออก แลวสรางไฟลล็อกขึ้นใหม โดยการสรางซ้ํากับไฟลเดิม และยังสามารถทําการบีบอัดขอมูลได มีผลทําให ล็อกไฟลมีขนาดไมใหญเกินไป จึงชวยลดปญหากรณีมีเน้ือที่ในการจัดเก็บไฟลที่จํากัด ซ่ึงในไฟล logrotate.conf สามารถตั้งคาตาง ๆ ใหล็อกโรเทชันทํางานตามความตองการได ยกตัวอยางเชน

- rotate หมายถึง ตองการใหมีการโรเททก่ีคร้ัง กอนลบไฟลเกาออกจากระบบ เชน rotate 90 หมายถึง ใหทําการ rotate 90 ครั้ง เม่ือครบ 90 คร้ัง ใหทําการลบไฟลน้ันออก

- compress หมายถึง สั่งใหมีการบีบอัดไฟลที่ถูกโรเททไปแลวในทันที

- delaycompress หมายถึง สั่งใหมีการชะลอการบีบอัดไฟล 1 คร้ัง ทําใหการโรเทท ในครั้งแรกเปนเพียงการเปลี่ยนชื่อไฟล และจะถูกบีบอัดไฟลในการโรเททครั้งตอไป

- ifempty หมายถึง ใหทําการโรเทท แมไฟลจะวางเปลา

- notifempty หมายถึง ไมตองทําการโรเทท หากไฟลวางเปลา

- missingok หมายถึง ใหทํางานตอหากเกิดขอผิดพลาดในบางไฟล คือ ใหทําการ skip แลวทําไฟลอ่ืน ๆ ตอไป

- postrotate หมายถึง กําหนดใหมีการรันคําส่ังใด ๆ หลังจากที่มีการโรเททแลว โดยระบุคําสั่งตอจาก postrotate เชน /etc/init.d/syslog-ng restart คือ เม่ือโรเททแลว ใหทําการรีสตารทเซอวิส syslog-ng

- endscript หมายถึง จบคําส่ังของ postrotate

- prerotage/endscript หมายถึง การกําหนดใหมีการรันคําสั่งใด ๆ กอนการโรเทชั่น คลายกับ postrotate

- dateext หมายถึง ใหตั้งชื่อไฟลที่ทําการโรเทท โดยใสวันที่ปจจุบัน ตอทายชื่อของล็อกไฟล

- daily, weekly, monthly หมายถึง การกําหนดใหมีการโรเทท เปนรายวัน, รายสัปดาห หรือรายเดือน

24  

2.4 สรุปทายบท

ในบทนี้ไดนําเสนอเกี่ยวกับพ้ืนฐาน และทฤษฎีที่เ ก่ียวของกับโครงงาน รวมถึงเทคโนโลยีตาง ๆ ที่นํามาใชในการพัฒนาโครงงานนี้ขึ้น ในบทตอไปจะกลาวถึงการวิเคราะหระบบเดิมของบริษัทฯ และออกแบบระบบสําหรับจัดเก็บล็อกไฟลแบบรวมศูนย

25  

บทที่ 3

การออกแบบ และพัฒนาระบบ

3.1 กลาวนํา

ในการออกแบบและพัฒนาระบบนี้ ไดออกแบบสําหรับใชงานท่ี บริษัท ภูมิใจไทยซีเมนต จํากัด โดยเฉพาะ เพ่ือใหสอดคลองกับพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 และเพื่อเปนขอมูลประกอบในการวิเคราะหปญหา และวางแผน เพ่ือปรับปรุงระบบตอไปในอนาคต โดยใชทรัพยากรที่มีอยูอยางคุมคา

3.1.1 ภาพรวมของบริษัท

บริษัท ภูมิใจไทยซีเมนต จํากัด กอตั้งขึ้นเม่ือวันที่ 16 ตุลาคม 2546 โดยบริษัท อิตาเลียนไทย ดีเวลอปเมนต จํากัด (มหาชน) ดําเนินธุรกิจผลิตและจัดจําหนายปูนซีเมนต ภายใตแบรนด ปูนราชสีห สํานักงานใหญตั้งอยูที่ ถนนเพชรบุรีตัดใหม กรุงเทพฯ และในสวนของโรงงานผลิตปูนซีเมนตตั้งอยูที่ อ.แกงคอย จ.สระบุรี ภายในองคกรมีจํานวนพนักงานทั้งหมดโดยประมาณ 230 คน ประจําที่สํานักงานใหญประมาณ 60 คน ประกอบดวยแผนกบัญช ีแผนกขายและการตลาด แผนกบุคคล และแผนกคอมพิวเตอร โดยสํานักงานใหญและโรงงานเชื่อมตอกันดวยลีสไลน (Leased Line) ดวยอัตราการรับสงขอมูลขนาด 1 Mbps. ซ่ึงในโครงงานนี้จะขอกลาวถึงเฉพาะระบบที่สํานักงานใหญ

3.1.2 ระบบเครือขายในปจจุบัน

ระบบเครือขายในปจจุบันของบริษัท ภูมิใจไทยซีเมนต จํากัด เปนลักษณะเครือขายโทโปโลยีแบบสตาร ใชอุปกรณสวิตซในการกระจายสัญญาณไปยังสวิตซตัวอ่ืน ๆ ที่อยูตามจุดตาง ๆ ภายในระบบ กระจายออกไปยังเครื่องเซิรฟเวอร อุปกรณเครือขายตาง ๆ และเคร่ืองคอมพิวเตอรของพนักงาน โดยระบบเครือขายภายในบริษัทฯ ทั้งระบบมีการกําหนดหมายเลขไอพี อยูภายใตซับเน็ต (subnet) เดียวกัน และ ไมมีการแบงวีแลน (VLAN) ซ่ึงพนักงานทุกคนในองคกรสามารถเชื่อมตอถึงกันไดทั้งหมด

แผนผังระบบเครือขายปจจุบันของบริษัท ภูมิใจไทยซี เมนต จํากัด มีรายละเอียดโครงสรางเครือขาย ดังรูปที่ 3.1

26  

 

รูปที่ 3.1 แสดงโครงสรางของระบบเครอืขายบริษทัฯ (สํานักงานใหญ)

จากรูปที่ 3.1 สามารถอธิบายรายละเอียดโครงสรางของระบบเครือขาย ไดดังน้ี

1) รายละเอียดอุปกรณของระบบเครือขาย

- อุปกรณเราเตอร (Router) ยี่หอ Cisco รุน 2600 Series ใชสําหรับเชื่อมตอกับเครือขายที่โรงงาน จังหวัดสระบุรี ผานทางลีสไลน

- อุปกรณสวิตซ (Switch) ยี่หอ Cisco รุน Catalyst 2950 Series เปนอุปกรณหลักที่ใชในการกระจายสัญญาณไปยังสวิตซตัวอ่ืน ๆ ภายในระบบ และเชื่อมตอกับเครื่องเซิรฟเวอร และอุปกรณเครือขาย

- อุปกรณสวิตซ (Switch) ยี่หอ Surecom รุน EP-824DX ทําหนาที่กระจายสัญญาณไปยังเคร่ืองคอมพิวเตอรสวนบุคคลของพนักงานตามจุดตาง ๆ

- อุปกรณสวิตซ (Switch) ยี่หอ COMPEX รุน SXP1224WM-A ทําหนาที่กระจายสัญญาณไปยังเคร่ืองคอมพิวเตอรสวนบุคคลของพนักงานตามจุดตาง ๆ

27  

- อุปกรณ ADSL Router ยี่หอ D-Link รุน DSL-2542B ทําหนาที่เชื่อมตอเครือขายไปยัง ISP เพ่ือใชงานอินเทอรเน็ต

- เซิรฟเวอรเคร่ืองที่ 1 ดีเอชซีพี เซิรฟเวอร ทําหนาที่แจกจายหมายเลขไอพี ใหกับเคร่ืองคอมพิวเตอรสวนบุคคลของพนักงานภายในระบบ

- เซิรฟเวอรเคร่ืองที่ 2 พร็อกซ่ีเซิรฟเวอร ทําหนาที่เปนพร็อกซ่ีเซิรฟเวอร โดยใชซอฟตแวร Microsoft ISA Server 2004 ซ่ึงพนักงานทุกคนจะสามารถใชงานอินเทอรเน็ตได ตองตั้งคาใชงานพร็อกซ่ีเซิรฟเวอรเทาน้ัน

- เซิรฟเวอรเคร่ืองที่ 3 เมลเซิรฟเวอร (Mail Server) ใชเปนเมลเซิรฟเวอร สําหรับการรับสงอีเมลทั้งภายใน และภายนอกองคกร โดยใชโปรแกรม Lotus Domino Server

2) การแบงหมายเลขไอพี (IP Address) สําหรับการแบงหมายเลขไอพี ทุกเคร่ืองในเครือขายอยูภายใตซับเน็ต (Subnet)

เดียวกันทั้งหมด ไมมีการแบงวีแลน (VLAN) หรือ Virtual LAN โดยทําการกําหนดหมายเลขไอพี เฉพาะเครื่องเซิรฟเวอร และอุปกรณเครือขาย สําหรับเคร่ืองคอมพิวเตอรสวนบุคคลของพนักงาน ใหรับหมายเลขไอพีจาก ดีเอชซีพี เซิรฟเวอร โดยทําการแจกหมายเลขไอพี ตามหมายเลขแม็ค (MAC Address) ของการดเน็ตเวิรก (Network Interface Card หรือ NIC) โดยแยกตามแผนก ดังตอไปน้ี

- เซิรฟเวอร และอุปกรณเครือขายตาง ๆ IP: 192.168.1.1 ถึง 192.168.1.99 - แผนกขายและการตลาด IP: 192.168.1.100 ถึง 192.168.1.119 - แผนกบัญชี IP: 192.168.1.120 ถึง 192.168.1.139 - แผนกบุคคล IP: 192.168.1.140 ถึง 192.168.1.149 - บริษัทในเครือ IP: 192.168.1.150 ถึง 192.168.1.254 - Subnet Mask 255.255.255.0 - Gateway 192.168.1.1 - Link ISP True Internet 4 Mbps - Leased Line TOT 1 Mbps 3) ระบบปฏิบัติการที่ใช สําหรับเคร่ืองเซิรฟเวอรทั้ง 3 เคร่ือง ใชระบบปฏิบัติการ Microsoft Windows

Server 2003 R2 และเคร่ืองคอมพิวเตอรสวนบุคคลของพนักงาน ใชระบบปฏิบัติการ Microsoft Windows XP SP2

4) ลักษณะการใชงานเครือขายขององคกร

- การใชงานเมลเซิรฟเวอร พนักงานทุกคนในองคกรมีบัญชีรายชื่อ (Account) เปนของตัวเอง เพ่ือใชในการทํางาน การแลกเปลี่ยนขอมูล การประกาศขาวสารภายในองคกร การ

28  

ขออนุมัติเอกสารตาง ๆ ซ่ึงใชวิธีการสงอีเมลเปนหลัก เคร่ืองเซิรฟเวอรติดตั้งโปรแกรม Lotus Domino Server เพ่ือใหบริการ สวนเครื่องพนักงานติดตั้งโปรแกรม Lotus Notes Client เพ่ือใชงานในการรับ-สงอีเมลดังกลาว

- การใชงานอินเทอรเน็ต จะเปดใหบริการสําหรับพนักงานทุกคนในองคกร รวมถึงพนักงานที่โรงงาน จังหวัดสระบุรี โดยทุกเครื่องจะสามารถออกสูอินเทอรเน็ตไดตองมีการตั้งคาการใชงานพร็อกซีเซิรฟเวอร ซ่ึงพร็อกซีเซิรฟเวอรใชซอฟทแวร Microsoft ISA Server 2004 ในการบริหารจัดการ มีการจํากัดการใชงาน ใหสามารถใชงานไดเฉพาะโพรโทคอล HTTP และ HTTPS เทาน้ัน

3.2 วิเคราะหระบบปจจุบัน

ปญหาที่พบในระบบเครือขายปจจุบัน ไดแก

- ขาดระบบการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ตาม พรบ. วาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550

- ไมมีกระบวนการพิสูจนตัวจริงกอนการใชงานอินเทอรเน็ต พนักงานเปดเว็บเบราวเซอรที่มีการตั้งคาการใชงานพร็อกซ่ีเซิรฟเวอรแลวสามารถใชงานไดเลย

- พนักงานภายในองคกรใชอินเทอรเน็ตเรื่องสวนตัว ในเวลางานมากเกินไป สงผลใหประสิทธิภาพในการทํางานลดนอยลง อินเทอรเน็ตเกิดความลาชา เน่ืองจากมีผูใชงานพรอมกันเปนจํานวนมาก ทําใหผูใชงานที่ตองการคนควาส่ิงที่เก่ียวของกับงานที่แทจริง ใชงานไดลาชา หรือไมสามารถใชงานไดเลย

- ปญหาเจาหนาที่ไมเพียงพอ เน่ืองจากมีเจาหนาที่ดูแลระบบคอมพิวเตอรประจําสํานักงานใหญเพียงคนเดียว และรับผิดชอบงานที่เก่ียวของกับคอมพิวเตอรและระบบเครือขายทั้งหมด สงผลใหในบางคร้ังกรณีผูใชงานเกิดปญหาขึ้นพรอม ๆ กัน ผูดูแลระบบไมสามารถดําเนินการแกไขใหไดในทันที

29  

3.3 การออกแบบระบบ

3.3.1 การติดตั้งในองคกร

สําหรับการติดตั้งในองคกร จะทําการติดตั้งเคร่ืองคอมพิวเตอรสวนบุคคล (PC) ขึ้นมาหนึ่งเคร่ือง เพ่ือทําหนาที่เปน Centralized Log Server และตั้งคาใหดีเอชซีพี เซิรฟเวอร ทําหนาที่เปนเอ็นทีพีเซิรฟเวอร Stratum 2 เพ่ือใหเคร่ืองอ่ืน ๆ ในระบบขอเทียบเวลามาตรฐานได สําหรับเคร่ืองเซิรฟเวอรที่ตองสงล็อกไฟลมายังระบบบริหารจัดการล็อกไฟลแบบรวมศูนย ไดแก เมลเซิรฟเวอร พร็อกซีเซิรฟเวอร และ ดีเอชซีพีเซิรฟเวอร โดยโครงสรางการทํางานของโครงงานนี้สามารถแสดงได ดังรูปที่ 3.2

IP: 192.168.1.100 - 254

Leaseline HO-SO

Cisco Router

User UserUser User

Proxy ServerIP: 192.168.1.54

(VMWare)

DHCP Server, NTP ServerIP: 192.168.1.2

Mail ServerIP: 192.168.1.8

Internet

ADSL Router

Centralized Log ServerIP: 192. 168.1.11

รูปที่ 3.2 แสดงโครงสรางของโครงงาน

30  

เคร่ือง Centralized Log Server ประกอบดวยโปรแกรมหลัก ๆ ดังน้ี

- ระบบปฏิบัติการ CentOS 6.3 64-bit - syslog-ng-3.2.5-3 - ntp-4.2.4p8-2 - mysql-server-5.5.29-1 - mysql-5.5.29-1 - php-mysql-5.4.10-1 - php-5.4.10-1 - openssl-1.0.0-25 - stunnel-4.29-2 - gnupg2-2.0.14-4 - logrotate-3.7.8-15 - httpd-2.2.15-15

3.3.2 โครงงานนี้สามารถแกไขปญหา ในหัวขอที่ 3.2 ไดดังน้ี

- แกปญหาขาดระบบการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ตามพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 โดยมีการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรที่เคร่ือง Centralized Log Server

- แกปญหาไมมีกระบวนการพิสูจนตัวจริงกอนการใชงานอินเทอรเน็ตได โดยมีการกําหนดคาที่ตัวพร็อกซีเซิรฟเวอร ใหมีกระบวนการพิสูจนตัวจริง โดยใหพนักงานกรอกชื่อผูใช และรหัสผานใหถูกตองกอน จึงจะสามารถใชงานอินเทอรเน็ตได

- แกปญหาพนักงานภายในองคกรใชอินเทอรเน็ตเรื่องสวนตัว ในเวลางานมากเกินไป โดยมีการออกรายงานสถิติการใชงานของผูใช ทําใหพนักงานมีความตระหนักมากขึ้น กอนที่จะใชอินเทอรเน็ตในเรื่องสวนตัว

- แกปญหาเจาหนาที่ไมเพียงพอได เน่ืองจากมีระบบการแจงเตือน หากพบวาเคร่ืองเซิรฟเวอรที่สงล็อกเขามาไมมีการเชื่อมตอกับเครือขาย รวมถึงสามารถทราบวามีเคร่ืองใหม หรือบุคคลภายนอกเช่ือมตอเขามาภายในระบบหรือไม ชวยใหสามารถหาทางดําเนินการ หรือแกไขปญหาไดรวดเร็วยิ่งขึ้น

31  

3.3.3 การออกแบบฐานขอมูล

การจัดเก็บขอมูลล็อกไฟลลงฐานขอมูล ทําการแยกออกเปน 2 สวน คือ สวนที่หน่ึง จัดเก็บสําหรับเปนหลักฐานและนําสงกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเม่ือมีการรองขอ และสวนที่สอง สําหรับนําไปใชในระบบ Web-based Management โดยแสดงเปนพจนานุกรมฐานขอมูล (Data Dictionary) ดังน้ี

1) ฐานขอมูล syslog ประกอบดวย Table ดังตอไปน้ี

ตารางที่ 3.1 logs table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ id int(11) PK หมายเลขประจําตัวของล็อก AUTO

INCREMENT host varchar(32) ชื่อหรือหมายเลขไอพีของโฮสตที่

เปนจุดกําเนิดล็อก

facility varchar(10) แหลงกําเนิดของล็อก priority varchar(10) ระดับความสําคัญของเหตุการณ level varchar(10) ระดับความสําคัญของเหตุการณ tag varchar(10) เปนตวับอกขอมูลวาเปนล็อกของ

โปรแกรมหรือโพรเซสอะไร

datetime datetime วันและเวลาทีมี่เหตุการณเกิดขึ้น program varchar(15) ชื่อของโปรแกรมที่สงล็อกเขามา msg text รายละเอียดของเหตุการณ

คําอธิบาย: ใชสําหรับจัดเก็บขอมูลล็อกไฟลทั้งหมดที่ไดรับมาจากเครื่องเซิรฟเวอรที่กําหนด

32  

ตารางที่ 3.2 hash table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ h_id int(11) PK หมายเลขประจําตัวของคาแฮช AUTO

INCREMENT h_datetime datetime วัน/เวลาที่บันทึกคาแฮช id int(11) หมายเลขประจําตัวของล็อก sha1 char(40) คาแฮชของลอ็ก โดยใชฟงกชัน

SHA-1

คําอธิบาย: ใชสําหรับจัดเก็บคาแฮชของล็อกแตละเรคคอรด (Record) ที่ไดจากฟงกชัน SHA1

2) ฐานขอมูล db_webapp ประกอบดวย Table ดังตอไปน้ี

ตารางที่ 3.3 t_dhcp_status table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ f_index int(11) PK หมายเลขประจําตัวของเรคคอรด AUTO

INCREMENT f_rc_date varchar(50) วัน/เวลาที่กําเนิดขอมูลล็อก f_rc_status varchar(50) สถานะของดีเอชซีพี f_rc_ip varchar(50) หมายเลขไอพี f_rc_comp varchar(50) ชื่อเคร่ืองคอมพิวเตอร f_rc_mac varchar(50) หมายเลขแม็ค f_cdate varchar(30) วัน/เวลาที่สรางเรคคอรด

คําอธิบาย: ใชสําหรับจัดเก็บขอมูลล็อกของดีเอชซีพีเซิรฟเวอร โดยอยูในรูปแบบที่สามารถนําไปใชงานบนระบบ Web-based Management ได

33  

ตารางที่ 3.4 t_isa_status table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ f_index int(11) PK หมายเลขประจําตัวของเรคคอรด AUTO

INCREMENT f_rc_date varchar(50) วัน/เวลาที่กําเนิดขอมูลล็อก f_rc_status varchar(50) สถานะของไฟรวอลล f_rc_ip varchar(50) หมายเลขไอพีของเครื่องผูใช f_rc_uname varchar(80) ชื่อผูใช f_rc_web varchar(100) เว็บไซตที่พนักงานเขาใชงาน f_cdate varchar(30) วัน/เวลาที่สรางเรคคอรด

คําอธิบาย: ใชสําหรับจัดเก็บขอมูลล็อกของพร็อกซ่ีเซิรฟเวอร โดยอยูในรูปแบบที่สามารถนําไปใชงานบนระบบ Web-based Management

ตารางที่ 3.5 t_menu table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ f_index int(11) PK หมายเลขประจําตัว ของเรคคอรด AUTO

INCREMENT f_name varchar(1000) ชื่อเมนู f_des varchar(200) คําอธิบายเมน ู f_page varchar(2000) หนาเพจที่ใชงาน f_cdate varchar(20) วัน/เวลาที่สรางเรคคอรด f_udate varchar(20) วัน/เวลาที่แกไขเรคคอรดลาสุด f_sort int(20) ลําดับในการแสดงผลเมนู f_rcstatus int(11) สถานะการใชงาน

คําอธิบาย: ใชสําหรับจัดเก็บเมนูตางๆ ที่ใชอยูบนระบบ Web-based Management

34  

ตารางที่ 3.6 t_mname table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ f_index int(11) PK หมายเลขประจําตัวของเรคคอรด AUTO

INCREMENT f_name varchar(1000) ชื่อเคร่ืองคอมพิวเตอร f_mac varchar(30) หมายเลขแม็ค f_des varchar(200) คําอธิบายเพิ่มเติม f_cdate varchar(20) วัน/เวลาที่สรางเรคคอรด f_cusr int(11) user ที่เปนคนสราง f_udate varchar(20) วัน/เวลาที่แกไขเรคคอรดลาสุด f_uusr int(11) user ที่ทําการแกไขลาสุด f_rcstatus int(11) สถานะการใชงาน

คําอธิบาย: ใชสําหรับจัดเก็บขอมูลรายชื่อเคร่ือง เพ่ือใชในการตรวจสอบผูใชงานระบบเครือขาย

ตารางที่ 3.7 t_ms_dhcp table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ id int(20) PK หมายเลขประจําตัวของล็อก AUTO

INCREMENT host varchar(32) ชื่อหรือหมายเลขไอพีของโฮสตที่

เปนจุดกําเนิดล็อก

facility varchar(10) แหลงกําเนิดของล็อก priority varchar(10) ระดับความสําคัญของเหตุการณ level varchar(10) ระดับความสําคัญของเหตุการณ tag varchar(10) เปนตวับอกขอมูลวาเปนล็อกของ

โปรแกรมหรือโพรเซสอะไร

datetime datetime วันและเวลาทีมี่เหตุการณเกิดขึ้น program varchar(15) ชื่อของโปรแกรมที่สงล็อกเขามา msg text รายละเอียดของเหตุการณ f_cdate varchar(20) วัน/เวลาที่สรางเรคคอรด

คําอธิบาย: ใชสําหรับพักขอมูลล็อกของดีเอชซีพีเซิรฟเวอร

35  

ตารางที่ 3.8 t_ms_isa table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ id int(20) PK หมายเลขประจําตัวของล็อก AUTO

INCREMENT host varchar(32) ชื่อหรือหมายเลขไอพีของโฮสตที่

เปนจุดกําเนิดล็อก

facility varchar(10) แหลงกําเนิดของล็อก priority varchar(10) ระดับความสําคัญของเหตุการณ level varchar(10) ระดับความสําคัญของเหตุการณ tag varchar(10) เปนตวับอกขอมูลวาเปนล็อกของ

โปรแกรมหรือโพรเซสอะไร

datetime datetime วันและเวลาทีมี่เหตุการณเกิดขึ้น program varchar(15) ชื่อของโปรแกรมที่สงล็อกเขามา msg text รายละเอียดของเหตุการณ f_cdate varchar(20) วัน/เวลาที่สรางเรคคอรด

คําอธิบาย: ใชสําหรับพักขอมูลล็อกของพร็อกซีเซิรฟเวอร

36  

ตารางที่ 3.9 t_usr table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ f_index int(11) PK หมายเลขประจําตัวของเรคคอรด AUTO

INCREMENT f_login varchar(20) ชื่อผูใชงาน f_pwd varchar(200) รหัสผานเขาใชงาน SHA-1 f_gname varchar(200) กลุมผูใชงาน f_email varchar(200) อีเมลผูใชงาน f_priority varchar(200) สิทธิ์ในการเขาใชงานระบบ f_sesst varchar(20) ชุดตัวเลขตรวจสอบการใชงาน f_sessip varchar(50) หมายเลขไอพีที่เขาใชงานลาสุด f_cusr int(11) ผูที่สรางขอมูลน้ี f_cdate varchar(20) วัน/เวลาที่สรางเรคคอรด f_uusr Int(11) ผูที่ทําการแกไขผูใชงานนี ้ f_udate varchar(20) วัน/เวลาที่แกไขเรคคอรดลาสุด f_rcstatus int(11) สถานะการใชงาน f_remark varchar(2000) คําอธิบายเพิ่มเติม

คําอธิบาย: ใชสําหรับจัดเก็บขอมูลรายชื่อผูใชงานระบบ Web-based Management รวมไปถึงการกําหนดสิทธิ์การใชงาน

ตารางที่ 3.10 t_alert table

ชื่อฟลด ประเภท/ขนาด Key ความหมาย หมายเหตุ f_index int(11) PK หมายเลขประจําตัวของเรคคอรด AUTO

INCREMENT f_msg varchar(1000) ขอความที่จะสงในอีเมล f_type varchar(200) ขอความมาจากระบบใด f_name varchar(200) ชื่อเคร่ืองคอมพิวเตอร f_cdate varchar(20) วัน/เวลาที่สรางเรคคอรด f_udate varchar(20) วัน/เวลาที่แกไขเรคคอรดลาสุด f_rcstatus int(11) สถานะการสงอีเมล

คําอธิบาย: ใชสําหรับจัดเก็บขอมูลรายการที่สงอีเมลแจงเตือนอัตโนมัติ

37  

3.4 ลักษณะการทํางาน

3.4.1 การรับสงขอมูลล็อก

เน่ืองจากการสงขอมูลล็อกจากตนทางไปยังปลายทาง เปนการสงขอมูลที่เปน Clear text ซ่ึงเสี่ยงตอการถูกดักจับขอมูล ดังน้ัน จึงนํา openssl และ stunnel เขามาชวยในการเขารหัสลับขอมูล (encrypt) เพ่ือปองกันการดักจับขอมูลระหวางสงผานเครือขาย โดยในที่น้ีไดใชซอฟทแวร nxlog ซ่ึงเปนซอฟทแวรโอเพนซอรส มีคุณสมบัติในการสงขอมูลล็อกผานโพรโตคอลทีซีพีได ทําหนาที่สง ล็อกไปยัง stunnel จากน้ัน stunnel ทําการสงตอล็อกไปยัง Centralized Log Server ซ่ึงมี stunnel รอรับและสงตอไปให syslog-ng ดังแสดงในรูปที่ 3.3

Local Server

nxlog

STUNNEL

Centralized Log Server

Syslog-ng

STUNNEL

514

SSL Tunnel5140514  

 

รูปที่ 3.3 การรับสงขอมูลลอ็ก

3.4.2 กระบวนการทํางาน และการจัดเก็บขอมูลล็อก

เม่ือมีการสงล็อกเขามาที่ Centralized Log Server แลว syslog-ng จะสั่งใหสคริปตในการคํานวณคาแฮชดวยฟงกชัน SHA-1ทํางาน โดยการอานคาล็อกทีละบรรทัดแลวคํานวณคาแฮช หลังจากนั้นทําการจัดเก็บขอมูลล็อกพรอมกับคาแฮช โดยแบงการจัดเก็บออกเปน 2 สวน คือ

สวนที่ 1 จัดเก็บลงไฟลตามรูปแบบของล็อกไฟลตนฉบับ ในลักษณะเปน Clear text และแทรกคาแฮชไวที่ดานหนาสุดของแตละบรรทัด โดยแยกเก็บไฟลตามแหลงกําเนิดล็อก เพ่ือใหงายในการตรวจสอบและคนหา

1) เม่ือถึงเวลาเที่ยงคืนของทุกวัน ใหทําล็อกโรเทชัน พรอมกับบีบอัดขอมูล ซ่ึงกําหนด ไวที่ 90 วัน ตามที่ พรบ.ฯ กําหนด เม่ือล็อกไฟลใดมีอายุเกินกวา 90 วัน จะถูกลบออกจากระบบโดยอัตโนมัติ เพ่ือเปนการประหยัดเน้ือที่ในการจัดเก็บ ชวยปองกันปญหาฮารดดิสกเต็ม

38  

2) หลังจากทําล็อกโรเทชันแลว สั่งใหรันสคริปตสําหรับเขารหัสลับขอมูลอัตโนมัติ โดยตั้ง crontab ไวที่เวลา 00.02 น. ของทุกวัน ซ่ึงจะทําการเขารหัสลับขอมูลโดยใชพับบลิคคีย (Public Key) ของผูที่ไดรับการแตงตั้งใหสามารถเขาถึงขอมูลล็อกได เพ่ือเพ่ิมความปลอดภัยใหกับขอมูล เน่ืองจากผูที่จะสามารถถอดรหัสลับขอมูลได มีเพียงผูที่มีไพรเวทคีย (Private Key) ซ่ึงก็คือผูที่ไดรับการแตงตั้งคนเดียวเทาน้ัน

สวนที่ 2 จัดเก็บล็อกลงฐานขอมูล (MySQL) เพ่ือความสะดวกและรวดเร็วในการบริหารจัดการ สืบคน และแสดงผล ผานทางหนาเว็บเบราวเซอร ซ่ึงในสวนนี้มีการปองกันการเขาถึงขอมูลจากผูที่ไมเก่ียวของ โดยการอนุญาต (Grant) สิทธิ์การเขาถึงฐานขอมูลของผูใชแตละคน และกําหนดสิทธิ์สําหรับใชงานระบบบริหารจัดการผานเว็บ

กระบวนการทํางานและการจัดเก็บขอมูลล็อกของระบบจัดเก็บล็อกไฟลแบบรวมศูนย สามารถแสดงไดดังรูปที่ 3.4

  

รูปที่ 3.4 ภาพรวมกระบวนการทํางานของระบบ และการจัดเก็บขอมูลล็อก

39  

3.4.3 การทํางานของเอ็นทีพีเซิรฟเวอร

หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 ไดระบุเอาไววา ผูใหบริการตองตั้งนาฬิกาของอุปกรณบริการทุกชนิดใหตรงกับเวลาอางอิงสากล โดยผิดพลาดไมเกิน 10 มิลลิวินาที เพ่ือใหขอมูลจราจรมีความถูกตอง และนํามาใชประโยชนไดจริง ดังน้ันจึงออกแบบใหเคร่ือง ดีเอชซีพีเซิรฟเวอร ทําหนาที่เปนเอ็นทีพีเซิรฟเวอร เพ่ือใหเคร่ืองเซิรฟเวอร รวมถึงอุปกรณเครือขายอ่ืน ๆ ภายในระบบสามารถทําการขอเทียบเวลาไดจากเซิรฟเวอรตัวน้ี โดยเอ็นทีพีเซิรฟเวอร จะทําการรองขอการเทียบเวลาจากเคร่ืองเซิรฟเวอรที่เปน Stratum-1 ผานทางอินเทอรเน็ต ซ่ึงในที่น้ีจะใหมีการรองขอการเทียบเวลาจากเครื่องเซิรฟเวอรที่เปน Stratum-1 มากกวา 1 แหลง เพ่ือลดความผิดพลาด ในกรณีที่ไมสามารถเขาถึงเคร่ืองเซิรฟเวอรที่เปน Stratum-1 ตัวใดตัวหน่ึงได จะสามารถเทียบเวลาจากแหลงอ่ืน ๆ ที่กําหนดไวทดแทนกันได และสําหรับเครื่อง ดีเอชซีพีเซิรฟเวอร ที่ทําหนาที่เปนเอ็นทีพีเซิรฟเวอร ในระบบนี้ถือวาเปน เอ็นทีพีเซิรฟเวอร ในระดับ Stratum-2 จากน้ันทําการตั้งคาใหเคร่ืองเซิรฟเวอร และอุปกรณเครือขายอ่ืน ๆ ในระบบ เปนเอ็นทีพีไคลเอนต ใหทําการรองขอเทียบเวลาจากเครื่อง เอ็นทีพีเซิรฟเวอร Stratum-2 ที่ติดตั้งไว ซ่ึงหลักการทํางาน คือ ฝงไคลเอนตทําการสงการรองขอไปยัง เอ็นทีพีเซิรฟเวอร เพ่ือที่จะขอปรับเวลาของเครื่องใหตรงกับ เอ็นทีพีเซิรฟเวอร ผานทางโพรโตคอล ยูดีพี พอรท 123 หลังจากนั้นเคร่ือง เอ็นทีพีเซิรฟเวอร จะสงคาของวันเวลาของเครื่องใหกับไคลเอนตที่รองขอเขามาดังรูปที่ 3.5

รูปที่ 3.5 ภาพแสดงการเทียบเวลาของโพรโทคอลเอ็นทีพี

 

 

NTP Server

Stratum-1

Internet

NTP Server

Stratum-2

(DHCP Server)

UDP 123

NTP Client

40  

3.4.4 การทํางานของระบบคํานวณคาแฮช

การทํางานของระบบคํานวณคาแฮชของล็อกแตละเรคคอรด คือ การตั้งคาให syslog-ng สงล็อกที่เขามาในระบบเปนอินพุทสงไปใหสคริปต ซ่ึงทําหนาที่คํานวณคาแฮช โดยแบงออกเปน 2 สคริปต สําหรับคํานวณคาแฮชของล็อกบนไฟล และล็อกบนฐานขอมูล ดังน้ี

3.4.4.1 การทํางานของสคริปตคํานวณคาแฮชของล็อกไฟล ทําไดโดย การอานขอมูลล็อกที่มาจาก syslog-ng แลวคํานวณคาแฮช หลังจากน้ันทําการเขียนคาแฮช และล็อกลงบนไฟล ดังแสดงในรูปที่ 3.6

รูปที่ 3.6 การทํางานของสคริปตคํานวณคาแฮชของลอ็กไฟล

3.4.4.2 การทํางานของสคริปตคํานวณคาแฮชของล็อกที่อยูบนฐานขอมูล ทําไดโดย การอานขอมูลล็อกที่มาจาก syslog-ng แลวเขียนลงฐานขอมูลใน table logs จากน้ันอานคา index ของล็อกเรคคอรดน้ัน ๆ แลวจัดเก็บไวในตัวแปร ทําการคํานวณคาแฮชของล็อกเรคคอรดน้ัน ๆ แลวเขียนคาแฮช และ index ลงบนฐานขอมูล ใน table hash ดังแสดงในรูปที่ 3.7

41  

รูปที่ 3.7 การทํางานของสคริปตคํานวณคาแฮชของลอ็กที่อยูบนฐานขอมูล

3.4.5 การทํางานของระบบ Web-based Management

โครงงานนี้ออกแบบระบบใหสามารถบริหารจัดการ และเรียกดูขอมูลล็อกผานทางหนาเว็บได ซ่ึงในที่น้ีจะมีการกําหนดใหผูที่มีสิทธิ์เทาน้ันจึงจะสามารถเขาใชงานได โดยสามารถกําหนดสิทธิ์การเขาถึงของผูใชแตละคนได วาตองการใหผูใชคนนั้น ๆ ใชงานเมนูใดไดบาง

การทํางานของระบบบริหารจัดการผานเว็บ คือ เร่ิมตนไคลแอนตจะเปนผูรองขอเขาใชงาน Web-based Management กอน ตอมาเซิรฟเวอรสงหนา ล็อกอิน ใหกับไคลแอนต เพ่ือทําการยืนยันตัวจริงกอนเขาใชงาน หลังจากน้ันไคลแอนตทําการกรอกชื่อผูใช และรหัสผานสงใหกับเซิรฟเวอร สุดทายเซิรฟเวอรตรวจสอบช่ือผูใช และรหัสผานที่ไคลแอนตสงเขามาวาตรงกับฐานขอมูลของผูใชที่มีสิทธิ์ใชหรือไม หากตรงไคลแอนตจะไดรับการอนุญาตใหใชงานตามสิทธิ์ของผูใชคนนั้น ๆ หากไมตรงจะไมสามารถใชงานได ดังแสดงในรูปที่ 3.8

42  

รูปที่ 3.8 กระบวนการขอเขาใชงานระบบ Web-based Management

43  

ระบบ Web-based Management ประกอบดวยเมนูตาง ๆ ดังแสดงในรูปที่ 3.9

รูปที่ 3.9 โครงสรางของระบบ Web-based Management

จากรูปที่ 3.9 สามารถอธิบายรายละเอียดโครงสรางของระบบ Web-based Management ไดดังน้ี

1) Login เม่ือเปดเว็บเขาสูระบบ Web-based Management จะพบหนาฟอรมสําหรับล็อกอิน เพ่ือพิสูจนตัวจริง และตรวจสอบสิทธิ์ในการเขาใชงานระบบ

2) System Information แสดงขอมูลรายละเอียดตาง ๆ เก่ียวกับเคร่ือง Centralized Log Server ไดแก Uptime, Memory Usage, Disk Usage, CPU Information และ NTP Server

Login

System Information

Query Log

Computer Master

DHCP Analysis

Top Web

Access Menu

Configure Log rotation

User Account

Change Password

Configure NTP Server

New Computer

Daily

Monthly

Insert Menu

Display

Display

Insert Menu

Display

Insert Menu

44  

3) Query Log สืบคนขอมูลล็อกตามวันเวลา และตรวจสอบความคงสภาพของขอมูล โดยคํานวณคาแฮชเปรียบเทียบกับคาแฮชที่เก็บบนฐานขอมูล

4) DHCP Analysis

- New Computer แสดงรายชื่อเคร่ืองที่มีการเขาใชงานระบบในแตละวันพรอม

แสดงสถานะวาเปนเครื่องที่มีอยูแลวในระบบ หรือเปนเคร่ืองใหม โดยการนําล็อกไป

เปรียบเทียบกับ Computer Master ที่กําหนดไว นอกจากนี้ยังสามารถกด Add to

Allow List เพ่ือเพ่ิมขอมูลของเครื่องนั้น ๆ เขาสู Computer Master

- Daily แสดงขอมูลเคร่ืองที่มีกิจกรรมกับดีเอชซีพีเซิรฟเวอร พรอมทั้งสรุป

Status ของดีเอชซีพีเซิรฟเวอรในวันปจจุบัน

- Monthly แสดงขอมูลเครื่องที่มีกิจกรรมกับดีเอชซีพีเซิรฟเวอร พรอมทั้งสรุป

Status ของดีเอชซีพีเซิรฟเวอรในแตละเดือน

5) Computer Master

- Display แสดงรายชื่อเคร่ืองคอมพิวเตอร และหมายเลขแม็คของเคร่ืองที่มีอยูในระบบ เพ่ือนําไปเปรียบเทียบกับล็อกในการวิเคราะหดีเอชซีพีล็อก ในเมนู DHCP Analysis และสามารถแกไขรายละเอียดของแตละเครื่องได

- Insert Menu เพ่ิมเคร่ืองคอมพิวเตอรมาสเตอรใหม

6) Top Web แสดงรายชื่อเว็บไซตที่พนักงานเขาใชงานมากที่สุด 10 อันดับแรก สามารถเลือกไดตามเดือน และตามผูใชงาน

7) Access Menu

- Display แสดงรายการเมนูหลักในระบบ Web-based Managementและสามารถแกไขรายละเอียดของแตละเมนู

- Insert Menu เพ่ิมเมนูใหมในระบบ

8) User Account

- Display แสดงรายชื่อผูใชงานระบบ Web-based Management ทั้งหมดและสามารถแกไขรายละเอียด และสิทธิ์ของผูใชแตละคน

- Insert Menu เพ่ิมผูใชงาน

45  

9) Configure NTP Server แกไขคาเอ็นทีพีเซิรฟเวอร

10) Configure Log rotation แกไขการตั้งคาล็อกโรเทชัน

11) Change Password เปลี่ยนรหัสผานของผูใชงาน

3.4.6 การทํางานของระบบมอนิเตอรริง

การทํางานของระบบมอนิเตอรริง คือ สั่งใหระบบทําการ ping ไปยังเคร่ืองเซิรฟเวอรที่สงล็อกเขามาที่ Centralized Log Server โดยตั้งเวลาใหทํางานทุก ๆ 10 นาที หากไมมีการตอบกลับจากเคร่ืองเซิรฟเวอร หรืออุปกรณเครือขายดังกลาว ใหทําการสงอีเมลแจงเตือนไปยังผูดูแลระบบ เพ่ือดําเนินการแกไขตอไป ดังแสดงในรูปที่ 3.10

รูปที่ 3.10 แสดงการทํางานของระบบมอนิเตอรริง

46  

3.5 การพัฒนาระบบ

3.5.1 การติดตั้งและตั้งคาระบบปฏิบัติการ Linux CentOS 6.3

โครงงานน้ีพัฒนาโดยใชระบบปฏิบัติการ CentOS Version 6.3 เน่ืองจากเปนซอฟตแวรโอเพนซอรส ซ่ึงชวยประหยัดงบประมาณของบริษัท ในการจัดซ้ือจัดหาซอฟตแวรลิขสิทธิ์ ซ่ึงหลังจากติดตั้ง CentOS 6.3 เปนที่เรียบรอยแลว ใหทําการอัพเดท เพ่ือปรับปรุง CentOS ใหทันสมัย และแกไขขอบกพรองตาง ๆ ของโปรแกรม รวมถึงอาจมีการเพ่ิมความปลอดภัยไดอีกดวย โดยใชคําส่ัง

#yum –y update

3.5.2 การติดตั้งและตั้งคาสําหรับเขารหัสขอมูลขณะสงผานเครือขาย

เพ่ือเปนการปองกันการดักจับขอมูลระหวางสงผานเครือขาย จึงจําเปนตองมีการเขารหัสขอมูล โดยในโครงงานนี้ไดใช openssl รวมกับ stunnel ซ่ึงมีการติดตั้งและตั้งคา ดังน้ี

ที่เคร่ือง Centralized Log Server ทําการติดตั้ง stunnel และสราง certificate โดยใช openssl ซ่ึงมีมาใหใน CentOS อยูแลว ดังน้ี

#yum install stunnel

#openssl req -new -x509 -days 3650 -nodes -out stunnel.pem -keyout stunnel.pem ทําการคัดลอกไฟล stunnel.pem ไปไวที่เคร่ืองเซิรฟเวอรทุกเคร่ือง ที่ตองการสงล็อก

เขามาที่เคร่ือง Centralized Log Server โดยเปลี่ยนชื่อไฟลเปน client.pem จากน้ันสรางไฟล stunnel.conf โดยใชคําสั่ง

#vi /etc/stunnel/stunnel.conf

ใสขอความดังตอไปน้ี

cert = /etc/stunnel/stunnel.pem key = /etc/stunnel/stunnel.pem output = stunnel.log debug = 7 verify = 2 CAfile = /etc/stunnel/stunnel.pem [5140] accept = 5140 connect = 514

47  

บันทึกไฟลแลวรันคําสั่ง stunnel เพ่ือเปดพอรทตามที่ไดกําหนดไว

#stunnel /etc/stunnel/stunnel.conf

ที่เคร่ืองเซิรฟเวอรที่ตองการสงล็อกมายัง Centralized Log Server ใหทําการติดตั้ง stunnel โดยในโครงงานนี้เคร่ืองเซิรฟเวอรที่จะสงล็อกมาน้ัน ใชระบบปฏิบัติการวินโดวสทั้งหมด ซ่ึง stunnel มีโปรแกรมสําหรับติดตั้งบนวินโดวส ใหสามารถดาวนโหลดและนํามาติดตั้งได เม่ือติดตั้งเรียบรอยแลวใหทําการกําหนดคา stunnel.conf โดยใสขอมูล ดังน้ี

3.5.3 การติดตั้งและตั้งคา syslog-ng

โดยปกติแลวระบบปฏิบัติการ CentOS จะมี rsyslog ติดตั้งมาให แตในโครงงานนี้ไดเลือกใช syslog-ng สําหรับจัดเก็บล็อกไฟล ดังนั้นใหทําการลบแพ็คเกจ rsyslog ออก แลวทําการติดตั้ง syslog-ng ดังน้ี

ติดตั้ง syslog-ngโดยใชคําส่ัง

# yum install syslog-ng

เม่ือติดตั้งเสร็จแลว ใหทําการแกไขคา Configuration ของ syslog-ng ที่ /etc/syslog-ng/syslog-ng.conf หลังจากน้ันสั่งสตารทเซอรวิส และกําหนดใหเซอรวิสทํางานทุกคร้ังที่มีการ รีสตารทเคร่ือง

# service syslog-ng start

# chkconfig syslog-ng on

สรางสคริปต เพ่ือทํา pipe สําหรับสงคาจาก pipe สูฐานขอมูล เพ่ือใหsyslog-ng สามารถสงล็อกไฟลไปเก็บที่ฐานขอมูล MySQL ไดดังตอไปน้ี

# vi /etc/syslog-ng/syslog2mysql.sh

cert=c:\Program Files\stunnel\client.pem output = client.log debug = 7 client = yes [5140] accept = 514 connect = 192.168.1.11:5140

48  

ใสขอความดังตอไปน้ี

ทําการบันทึกไฟล หลังจากน้ันเปลี่ยนสิทธิ์ไฟลใหสามารถรันได และสั่งใหทํางาน ดังน้ี

# chmod +x syslog2mysql.sh

# ./syslog2mysql.sh &

# service syslog-ng restart

3.5.4 Data Hashing สําหรับโครงงานน้ีไดเลือกใชฟงกชัน sha-1 โดยการสรางสคริปตใหคํานวณ และเขียน

คาแฮชของขอมูลล็อกทีละบรรทัด ซ่ึงจะตองทําการกําหนดคาใน syslog-ng.conf ใหเรียกใชสคริปตดังกลาวเม่ือมีล็อกเขามา

3.5.5 การติดตั้งและตั้งคาล็อกโรเทชัน

ในระบบปฏิบัติการ CentOS 6.3 มีการติดตั้งล็อกโรเทชันมาใหแลว หากยังไมมี ใหทําการติดตั้ง ดังน้ี

ตรวจสอบวามีการติดตั้งแพ็คเกจอยูแลวหรือไม

# rpm –qa | grep logrotate

หากยังไมมี ใหทําการติดตั้งแพ็คเกจ

# yum install logrotate

หลังจากติดตั้งเสร็จ ใหทําการแกไขคา Configuration ดังน้ี

#!/bin/bash if [ ! -e /var/log/mysql.pipe ] then mkfifo /var/log/mysql.pipe fi while [ -e /var/log/mysql.pipe ] do mysql -u syslog --password=syslog syslog < /var/log/mysql.pipe >/dev/null done

49  

#vi /etc/logrotate.d/syslog-ng

ใสขอความดังตอไปน้ี

3.5.6 การติดตั้งและตั้งคาสําหรับเขารหัสลับขอมูลล็อกไฟล

เพ่ือปองกันการเขาถึงขอมูลล็อกไฟลจากผูที่ไมมีสิทธิ์ จึงมีการเขารหัสลับขอมูลหลังจากที่มีการทําล็อกโรเทชันในแตละวันแลว โดยใชซอฟตแวร GnuPG ซ่ึงเปนซอฟตแวรโอเพนซอรส มีกระบวนการติดตั้งและตั้งคา ดังตอไปน้ี

1) ที่เคร่ืองของเจาของ private key ซึ่งในที่น้ี คือ ผูที่ไดรับมอบหมายใหสามารถเขาถึงขอมูลล็อกไฟล ใหทําการติดตั้งโปรแกรม GnuPG ซ่ึงมีโปรแกรมสําหรับติดตั้งบนวินโดวสหลังจากติดตั้งเรียบรอยแลวใหดําเนินการดังตอไปน้ี

สราง Keypair และกําหนด passphrase key เพ่ือใชในการถอดรหัส private key

#gpg –gen-key

สงออก public key ลงไฟล เพ่ือสงตอใหเคร่ือง Centralized Log Server นําไปใชเขารหัสลบัขอมูล

#gpg --armor --export "UID">KEYFILE

/var/log/centralized/*.log { daily rotate 90 notifempty compress nodelaycompress missingok copytruncate dateext postrotate /etc/init.d/syslog-ng restart > /dev/null2>&1 ||true endscript }

50  

2) ที่เคร่ือง Centralized Log Server ดาวนโหลดและติดตั้งโปรแกรม GnuPG

#wget ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-1.4.12.tar.gz

#tar -zxvf gnupg-1.4.12.tar.gz

#./configure

#make

#make install

#gpg --gen-key

#gpg --armor --export "UID">KEYFILE

คัดลอกและนาํเขาไฟล public key ที่ไดจากเคร่ืองผูที่ไดรับมอบหมายใหสามารถเขาถึงขอมูลล็อกไฟล

#gpg –import KEYFILE

เม่ือดําเนินการทุกขั้นตอนครบหมดแลว public key ดังกลาวจะเขาไปอยูใน Keyring ซ่ึงสามารถนํามาใชในการเขารหัสลับขอมูลได

3.5.7 การติดตั้งและตั้งคาเอ็นทีพีเซิรฟเวอร

3.5.7.1 การติดตั้งและตั้งคาเอ็นทีพีเซิรฟเวอรที่เคร่ืองเซิรฟเวอร

ในโครงงานนี้ไดแยกเอ็นทีพีเซิรฟเวอรออกจาก Centralized Log Server โดยทําการตั้งคาเอ็นทีพีเซิรฟเวอรไวที่เคร่ือง ดีเอชซีพีเซิรฟเวอร (หมายเลขไอพี : 192.168.1.2) ซ่ึงใชระบบปฏิบัติการ Microsoft Windows Server 2003 R2 ซ่ึงในโครงงานนี้ไดขอเทียบเวลากับเอ็นทีพีเซิรฟเวอร Stratum1 ในประเทศไทย ดังน้ี

1) Address: 203.185.69.60 Name: time1.nimt.or.th ของสถาบันมาตรวิทยาแหงชาติ

2) Address: 128.138.141.172 Name: time.nist.gov ของNational Institute of Standards and TechnoLogy, US

3) Address: 118.175.67.83 Name: time.navy.mi.th ของกรมอุทกศาสตรกองทัพเรือ

ขั้นตอนการตั้งคาเอ็นทีพีเซิรฟเวอร ที่ Windows Server 2003 ใหทําการแกไขคารีจิสทรี โดยไปที่ Start > Run > พิมพขอความ register แลวกด Enter ในสวนของการตั้งคารีจิสทรีเก่ียวกับเซอวิส Windows Time (w32time) อยูที่

51  

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time

ใหทําการแกไขรายการรีจิสทรี ดังตอไปน้ี

1. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\ Parameters\\Type

เปลี่ยนคาเปน NTP

2. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\ Config\\AnnounceFlags เปลี่ยนคาเปน 5

3. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\ TimeProviders\\NTPClient\\SpecialPollInterval กําหนดระยะเวลาที่ตองการใหเทียบเวลา (หนวยเปน วินาที) ในที่น้ีกําหนดคาเปน 900 วินาที ซ่ึงหมายความวา ใหทําการเทียบเวลาทุก ๆ 15 นาที

4. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\ TimeProviders\\NTPServer\\Enabled

เปลี่ยนคาเปน 1 เพ่ือทําใหเปนเซิรฟเวอร เอ็นทีพี

5. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\ Parameters\\NtpServer

ใสชื่อ DNS หรือ IP Address ของเอ็นทีพีเซิรฟเวอรภายนอกที่ตองการเทียบเวลาดวย คั่นดวยชองวาง คาที่ใสคือ 203.185.69.60,0x1 128.138.141.172,0x1 118.175.67.83,0x1

หลังจากแกไขคาในรีจิสทรีดังกลาวเสร็จเรียบรอยแลว ใหทําการอัพเดท และรีสตารทเซอรวิสที่ Command Prompt ดังน้ี

> w32tm /config /update

> net stop w32time

> net start w32time

และทําการตรวจสอบการเทียบเวลา โดยใชคําส่ัง

> w32tm /resync

หากปรากฏดังน้ี แสดงวาสามารถใชงานไดแลว

Sending resync command to local computer...

The command completed successfully.

52  

3.5.7.2 กําหนดใหเคร่ืองไคลเอนตเทียบเวลาจากเซิรฟเวอรที่เรากําหนด

- เคร่ืองที่ใชระบบปฏิบัติการ Microsoft Windows ใหทําการแกไขคา Internet time โดยดับเบิ้ลคลิกที่นาฬิกาดานลางขวามือของ Task bar จากน้ันแกไขคา Server : ใหเปน เอ็นทีพีเซิรฟเวอร ที่เราตั้งขึ้น ในที่น้ีคือ หมายเลขไอพี 192.168.1.2 ดังแสดงในรูปที่ 3.11

รูปที่ 3.11 แสดงหนาตางสําหรับตั้งคา Internet Time

ตอจากน้ันที่เมนู Start > Run > regedit กดEnter ทําการแกไขที่ตําแหนง [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\32time\TimeProviders\ NtpClient] ทางดานขวามือใหดับเบิ้ลคลิกที่ SpecialPollInterval ตําแหนง Base เลือกที่ Decimal ที่ชอง Value data : ระบุคาที่ตองการ (หนวยเปนวินาที) เปนการระบุวาจะใหมีการขอเทียบเวลาทุก ๆ ก่ีวินาที ในที่น้ีทําระบุใหทําการUpdate ทุก ๆ 28800 วินาที หรือเทากับ ทุก ๆ 8 ชั่วโมงดังรูปที่ 3.12

รูปที่ 3.12 แสดงการระบุชวงเวลาในการขอเทียบเวลา

53  

3.5.8 การติดตั้งและตั้งคาระบบ Web-based Management

3.5.8.1 ติดตั้ง MySQL

# yum install mysql-server

ทําการสตารทเซอรวิสและกําหนดใหเซอรวิสทํางานทุกคร้ังที่มีการรีสตารทเคร่ือง

# service mysqld restart

# chkconfig mysqld on

3.5.8.2 ติดตั้ง php

# yum install php

# yum install php-mysql

3.5.8.3 ติดตั้ง httpd

# yum install httpd

แกไข Configuration ที่ไฟล /etc/httpd/conf/httpd.conf

# vi /etc/httpd/conf/httpd.conf

เพ่ิมหรือแกไขบรรทัด ServerName โดยใสเปนชื่อของเซิรฟเวอร ดังน้ี

ServerName syslog.tpcc.co.th

จากน้ันทําการรีสตารทเซอรวิส และสั่งใหทํางานทุกคร้ังที่มีการรีสตารทเคร่ือง

#service httpd restart

#chkconfig httpd on

54  

บทที่ 4

ผลการทดลองโครงงาน

4.1 กลาวนํา

ในบทนี้ จะอธิบายถึงผลการทดลองโครงงาน โดยพิจารณาจากพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 ตามภาคผนวก ข ของประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 โดยเทียบกับผลการทดลองของโครงงานนี้ วาสอดคลองตามที่ พรบ. ฯ กําหนดหรือไม และแสดงผลการทดลองการใชงานระบบ Web-based Management วาบรรลุตามวัตถุประสงคของโครงงานหรือไม

4.2 การเตรียมระบบกอนการทดลอง

4.2.1 การขอเทียบเวลาจากเอ็นทีพีเซิรฟเวอร

ในโครงงานนี้มีการตั้งคาใหเคร่ืองดีเอชซีพีเซิรฟเวอร หมายเลขไอพี 192.168.1.2 ทําหนาที่เปนเอ็นทีพีเซิรฟเวอร ใหเคร่ืองอ่ืน ๆ ภายในระบบทําการขอเทียบเวลา สามารถแสดงผลการทดลองได ดังน้ี

1) ผลการทดลองการขอเทยีบเวลาที่เคร่ือง Centralized Log Server ดังแสดงในรูปที่ 4.1

รูปที่ 4.1 แสดงผลการขอเทียบเวลาที่เคร่ือง Centralized Log Server

2) ผลการทดลองการขอเทียบเวลาที่เคร่ืองเซิรฟเวอรและไคลเอนตที่เปนระบบปฏิบัติการวินโดวส ที่ Internet Time กด Update Now หากสามารถขอเทียบเวลาไดสําเร็จ จะขึ้น successfully ดังแสดงในรูปที่ 4.2

55  

รูปที่ 4.2 แสดงผลการขอเทยีบเวลาที่เคร่ืองระบบปฏิบตัิการวินโดวส

4.2.2 การเตรียมเครื่องสําหรับรับ-สงขอมูลผาน SSL Tunnel

1) เคร่ืองเซิรฟเวอรที่จะสงล็อกไปยัง Centralized Log Server ใช stunnel รวมกับ nxlog โดยตองสั่งใหทั้ง 2 เซอรวิสน้ีทํางานพรอมกัน จึงจะสามารถใชงานได ดังแสดงในรูปที่ 4.3 และ 4.4

รูปที่ 4.3 สั่งให stunnel ทํางาน

56  

รูปที่ 4.4 สั่งให nxlog ทํางาน

2) ที่เคร่ือง Centralized Log Server ติดตั้ง stunnel และ syslog-ng ทําการตรวจสอบวาเปดพอรทที่ตองการใชงานแลวหรือยัง ในที่น้ีใชพอรท 514 และ 5140 ดังแสดงในรูปที่ 4.5

รูปที่ 4.5 netstat เพ่ือตรวจสอบพอรทที่ตองการเปดใชงาน

4.3 ผลการทดสอบและใชงานระบบ

ตามประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เร่ือง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 ขอ 5 ภายใตบังคับของมาตรา 26 แหงพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 ไดแบงประเภทของผูใหบริการ ซ่ึงมีหนาที่ตองเก็บรักษาขอมูลจราจรทางคอมพิวเตอรออกเปนหลายประเภท สําหรับบริษัทฯ ถือวาจัดอยูในผูใหบริการประเภท 5 (1) ข. คือ ผูใหบริการการเขาถึงระบบเครือขายคอมพิวเตอร (Access Service Provider) ซ่ึงตามภาคผนวก ข ของประกาศฯ

57  

ไดระบุเอาไววา ขอมูลจราจรทางคอมพิวเตอร ซ่ึงผูใหบริการตามประกาศขอ 5 (1) ข. ถึง ค. มีหนาที่ตองเก็บรักษา มีดังตอไปน้ี

4.3.1 ขอมูลอินเทอรเน็ตบนเครื่องผูใหบริการอีเมล (e-mail servers)

รายการขอมูลที่ตองจัดเก็บ

1) ขอมูล Log ที่บันทึกไวเม่ือเขาถึงเคร่ืองใหบริการไปรษณียอิเล็กทรอนิกส (Simple Mail Transfer Protocol : SMTP Log) ซ่ึงไดแก

- ขอมูลหมายเลขของขอความที่ระบุในอีเมล (Message ID)

- ขอมูลชื่อที่อยูอีเมลของผูสง (Sender E-mail Address)

- ขอมูลชื่อที่อยูอีเมลของผูรับ (Receiver E-mail Address)

- ขอมูลที่บอกถึงสถานะในการตรวจสอบ (Status Indicator) ซ่ึงไดแก อีเมลที่

สงสําเร็จ อีเมลที่สงคืน อีเมลที่มีการสงลาชา เปนตน

2) ขอมูลหมายเลขชุดอินเทอรเน็ตของเครื่องคอมพิวเตอรผูใชบริการที่เชื่อมตอ

อยูขณะเขามาใชบริการ (IP Address of Client Connected to Server)

3) ขอมูลวันและเวลาการติดตอของเคร่ืองที่เขามาใชบริการและเครื่องใหบริการ

(Date and time of connection of Client Connected to server)

4) ขอมูลหมายเลขชุดอินเทอรเน็ตของเครื่องบริการอีเมลที่ถูกเชื่อมตออยูใน

ขณะน้ัน (IP Address of Sending Computer)

5) ชื่อผูใชงาน (User ID) (ถามี)

6) ขอมูลที่บันทึก การเขาถึงขอมูลอีเมล ผานโปรแกรมจัดการจากเคร่ืองของ

สมาชิก หรือเขาถึงเพ่ือเรียกขอมูลอีเมลไปยังเคร่ืองสมาชิก โดยยังคงจัดเก็บขอมูลที่บันทึกการ

เขาถึงขอมูลอีเมลที่ดึงไปน้ัน ไวที่เคร่ืองใหบริการ (POP3 (Post Office Protocol version 3)

Log or IMAP4 (Internet Message Access Protocol Version 4) Log)

ตัวอยางขอมูลอินเทอรเน็ตบนเครื่องผูใหบริการอีเมลที่ไดจากการทดลอง เปน

ขอมูลล็อกที่ไดจากเมลเซิรฟเวอร ดังแสดงในรูปที่ 4.6

58  

รูปที่ 4.6 ตัวอยางขอมูลอินเทอรเน็ตบนเครื่องผูใหบริการอีเมล

4.3.2 ขอมูลอินเทอรเน็ตบนเครื่องผูใหบริการเว็บ

รายการขอมูลที่ตองจัดเก็บ 1) ขอมูล Log ที่บันทึกเม่ือมีการเขาถึงเคร่ืองผูใหบริการเว็บ 2) ขอมูลวันและเวลาการตดิตอของเครื่องที่เขามาใชบริการและเครือ่งใหบริการ 3) ขอมูลหมายเลขชุดอินเทอรเน็ตของเครื่องคอมพิวเตอรผูเขาใชที่เชื่อมตออยู

ในขณะนั้น 4) ขอมูลคําสั่งการใชงานระบบ 5) ขอมูลที่บงบอกถึงเสนทางในการเรียกดูขอมูล (URI: Uniform Resource

Identifier) เชนตําแหนงของเว็บเพ็จ ตัวอยางขอมูลอินเทอรเน็ตบนเคร่ืองผูใหบริการเว็บที่ไดจากการทดลอง เปน

ขอมูลล็อกที่ไดจากพร็อกซีเซิรฟเวอร ดังแสดงในรูปที่ 4.7

รูปที่ 4.7 ตัวอยางขอมูลอินเทอรเน็ตบนเครื่องผูใหบริการเว็บ

Oct 9 14:05:14 DominoServer 2012/10/09 14:05:06 GMT+07:00 bdd98c370000c6e2@203.146.237.138

0 0 newsletter-EMID0A604HV1EP5L5AM04C72101E0P8P8@info.lazada.co.th

anantachai@sbcc.co.th Message<bdd98c370000c6e2@203.146.237.138> accepted from [62.144.110.35]

to [<anantachai@sbcc.co.th>;].

Oct 9 14:05:14 DominoServer 2012/10/09 14:05:08 GMT+07:00 bdd98c370000c6e2@203.146.237.138

1 256 newsletter-EMID0A604HV1EP5L5AM04C72101E0P8P8@info.lazada.co.th

anantachai@sbcc.co.th Message<bdd98c370000c6e2@203.146.237.138> relayed through

host[192.168.1.8] to [anantachai@sbcc.co.th] successfully. 9948182F-DF07-438F-BB9C-6DBF4A5CCEDB

Feb 28 17:47:46 ISA-SERVER 192.168.1.126 ISAChareena Mozilla/4.0 (compatible; MSIE 7.0; Windows NT

5.1; InfoPath.2) Y 2013-02-28 10:47:30 w3proxy ISA-SERVER - 3-ect.channel.facebook.com 69.171.248.16 80

40375 1003 317 http TCP GET http://3-ect.channel.facebook.com/pull?channel=p_100001138874215&seq=

32&partition=16&clientid=5ae1c1b4&cb=9d2m&idle=2998 text/plain Inet 200 0x401e0000 ALL - Internal

External 0xd80 Allowed 

59  

4.3.3 ล็อกที่ไดหลังจากผานกระบวนการแฮชดวยฟงกชัน SHA-1

เพ่ือใหสามารถตรวจสอบความคงสภาพของขอมูลล็อกได จึงมีการทํา Data Hashing (SHA-1) โดยเขียนเปนสคริปตใหทําการแฮชล็อกทีละบรรทัด แลวเขียนคาแฮชไวที่ดานหนาสุดของล็อก ตัวอยางดังแสดงในรูปที่ 4.8

รูปที่ 4.8 ตัวอยางขอมูลล็อกที่มีการระบคุาแฮชของลอ็กแตละบรรทัด

4.3.4 ล็อกที่ไดจากการนําเขาฐานขอมูล

ในโครงงานน้ีไดมีการจัดเก็บขอมูลล็อกลงฐานขอมูล พรอมคาแฮชของล็อกแตละเรคคอรด ดังแสดงในรูปที่ 4.9 และ 4.10

รูปที่ 4.9 ตัวอยางล็อกไฟลเม่ือนําเขาฐานขอมูล

รูปที่ 4.10 ตัวอยางการเก็บคาแฮชของลอ็กแตละเรคคอรดลงฐานขอมูล

60  

4.3.5 ผลการทดลองการเขารหัสขอมูลระหวางสงผานเครือขาย

1) ทดลองโดยการดักจับขอมูลที่มีการเขารหัสลับ โดยโปรแกรม Wireshark ใน

การติดตอระหวางเคร่ืองเซิรฟเวอรที่สงล็อกกับ Centralized Log Server จะไดผลการ

ทดลอง ดังรูปที่ 4.11

รูปที่ 4.11 ขอมูลที่ถูกเขารหัสลับระหวางสงผานเครือขาย

2) ทดลองโดยการดักจับขอมูลที่ไมมีการเขารหัสลับ โดยโปรแกรม Wireshark

ในการติดตอระหวางเคร่ืองเซิรฟเวอรที่สงล็อกกับ Centralized Log Server จะไดผล

การทดลอง ดังรูปที่ 4.12

รูปที่ 4.12 ขอมูลที่ไมมีการเขารหัสลับระหวางสงผานเครือขาย

61  

จากรูปที่ 4.12 และ 4.13 พบวาขอมูลที่ถูกเขารหัสลับน้ันเม่ือดักจับขอมูลจะไมสามารถ

อานขอมูลได สวนขอมูลที่ไมมีการเขารหัสลับจะสามารถอานขอมูลได

4.3.6 ผลการทดลองการทําล็อกโรเทชัน และเขารหัสลับขอมูลล็อกที่เก็บลงไฟล พบวา

ผลจากการทําล็อกโรเทชัน จะไดไฟลที่มีวันที่ตอทายไฟล และมีการบีบอัดขอมูล ซ่ึงจะใหไฟลที่

มีนามสกุล .gz และการเขารหัสลับของไฟล จะไดไฟลนามสกุล .gpg ดังแสดงในรูปที่ 4.13

รูปที่ 4.13 ล็อกที่จัดเก็บเปนไฟลมีการทาํล็อกโรเทชัน และเขารหัสลับทุกวัน

เม่ือ vi เขาไปดูไฟลนามสกุล .gpg จะไมสามารถอานขอความได ตองเปนผูที่มี private

key เทาน้ัน จึงจะสามารถถอดรหัสลับแลวอานขอความนี้ได ดังแสดงในรูปที่ 4.14

รูปที่ 4.14 ขอมูลล็อกไฟลทีมี่การเขารหัสลับ

62  

4.3.7 ผลการทดสอบระบบมอนิเตอรร่ิงโฮสต

หากระบบไมสามารถติดตอไปยังโฮสตปลายทางที่ระบุได จะมีการสงอีเมลแจงเตือนไปยังผูดูแลระบบ ชวยใหผูดูแลสามารถทราบไดทันที วามีเคร่ืองเซิรฟเวอรใดที่ขาดการเชื่อมตอ เปนเหตุใหไมสามารถสงล็อกเขามาที่ระบบได ดังตัวอยางแสดงในรูปที่ 4.15 และ 4.16

รูปที่ 4.15 แสดงอีเมลแจงเตือนเม่ือไมสามารถติดตอโฮสตที่ระบไุด

รูปที่ 4.16 แสดงรายละเอียดอีเมลแจงเตือนเม่ือไมสามารถติดตอโฮสตที่ระบุได

63  

4.3.8 ผลการทดสอบการพิสูจนตัวจริงกอนการใชงานอินเทอรเน็ต

เน่ืองจากมีการตั้งคาเพ่ิมเติมที่พร็อกซีเซิรฟเวอร ใหพนักงานทําการพิสูจนตัวจริงกอนการใชงานอินเทอรเน็ต เพ่ือใหสอดคลองตามขอกําหนดของพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 เม่ือพนักงานเปดเว็บเบราวเซอรจะมี pop up ใหกรอกชื่อผูใช และรหัสผาน ดังแสดงในรูปที่ 4.17

รูปที่ 4.17 การพิสูจนตัวจรงิกอนการใชงานอินเทอรเน็ต

หากพนักงานกด Cancel หรือ กรอกชื่อผูใช หรือรหัสผานไมถูกตอง จะไมสามารถใชงานอินเทอรเน็ตได ดังแสดงในรูปที่ 4.18

รูปที่ 4.18 ขอความแสดงเม่ือการพิสูจนตัวจริงไมสําเร็จ

64  

หากกระบวนการพิสูจนตัวจริงสําเร็จ จะสามารถใชงานอินเทอรเน็ตไดตามปกติ ดังแสดงในรูปที่ 4.19

รูปที่ 4.19 สามารถใชงานอินเทอรเน็ตไดเม่ือกระบวนการพิสูจนตัวจริงสําเร็จ

4.3.9 ผลการทดสอบระบบ Web-based Management

1) การพิสูจนตัวจริงกอนการเขาใชงานระบบ ทดสอบเขาสูระบบ โดยเปดเบราวเซอรไปที่ https://192.168.1.11/th/ จะพบหนาสําหรับล็อกอิน ดังแสดงในรูปที่ 4.20

รูปที่ 4.20 หนาล็อกอินเพ่ือเขาสูระบบ

65  

หากกรอก Login Name หรือ Password ผิด จะไมสามารถเขาใชงานระบบได โดยจะมีขอความแจง ดังแสดงในรูปที่ 4.21

รูปที่ 4.21 ขอความแจงเตือนเม่ือล็อกอินไมสําเร็จ

หากไมมีการใชงานเกิน 30 นาที จะมีขอความแจง เม่ือกดปุม OK จะไปที่หนาล็อกอิน เพ่ือทําการล็อกอินใหม ดังแสดงในรูปที่ 4.22

รูปที่ 4.22 ขอความแจงเตือนเม่ือไมไดใชงานเกิน 30 นาที

66  

2) เมนู System Information แสดงขอมูลปจจุบันของเครื่อง Centralized Log Server ไดแก Uptime, System Information, Memory Usage, Disk Usage, CPU Information และ NTP Server ที่ทําการขอเทียบเวลาอยูในปจจุบัน ดังแสดงในรูปที่ 4.23

รูปที่ 4.23 เมนู System Information

3) เมนู Query Log สําหรับสืบคนขอมูลล็อกตามวันเวลา เซิรฟเวอรที่สงล็อกมา และระบุคําที่ตองการคนหา สามารถเลือกใหตรวจสอบความคงสภาพของขอมูลได ดังแสดงตัวอยางการสืบคนขอมูลในรูปที่ 4.24

67  

รูปที่ 4.24 ทดลองสืบคนขอมูล เมนู Query Log

จากรูปที่ 4.24 ทําการทดลองสืบคนขอมูลที่มาจาก domino-server ระหวางวันที่ 2013-03-05 เวลา 08:00:00 ถึง วันที่ 2013-03-05 เวลา 15:00:00 โดยระบุคําที่ตองการคนหาคือ patchanee และเลือกใหมีการตรวจสอบความคงสภาพของขอมูล จากรูปที่ 4.24 ผลการคนหาขึ้นเปนแถบสีเขียวทั้งหมด แสดงวาขอมูลไมมีการถูกเปลี่ยนแปลงแกไข

ทําการทดลองแกไขล็อก ID 3951145 แลวคิวรี่ขอมูลใหมอีกคร้ัง พบวาล็อกเรคคอรดดังกลาวขึ้นเปนแถบสีแดง แสดงวาขอมูลมีการถูกเปลี่ยนแปลงแกไข ดังแสดงในรูปที่ 4.25

68  

รูปที่ 4.25 ทดลองสืบคนขอมูล เมนู Query Log เม่ือล็อกมีการถูกเปลี่ยนแปลงแกไข

4) เมนู DHCP Analysis หรือเม่ือกดที่ปุม New Computer จะแสดงรายชื่อเคร่ืองคอมพิวเตอรที่มีการเขาใชงานระบบเครือขายภายในวันนั้น โดยสามารถเลือกดูขอมูลยอนหลังไดตามวันที่ หากระบบพบวาเคร่ืองคอมพิวเตอรที่เขาใชงานระบบเครือขายไมไดอยูในรายการของ Computer Master จะแสดงเปน New Computer หากตองการเพ่ิมเคร่ืองดังกลาวเขาสู Computer Master ใหกดที่ปุม Add to Allow List ดังแสดงในรูปที่ 4.26

69  

รูปที่ 4.26 เมนู DHCP Analysis แสดงขอมูลของวันปจจุบัน

เม่ือกดที่ปุม Daily จะแสดงขอมูลเครื่องที่มีกิจกรรมกับดีเอชซีพีเซิรฟเวอร พรอมทั้งสรุปสถานะของดีเอชซีพีเซิรฟเวอรในวันปจจุบัน โดยสามารถกดเขาไปดูรายละเอียดเพ่ิมเติมได ดังแสดงในรูปที่ 4.27 และ 4.28

รูปที่ 4.27 แสดงขอมูลสรุปรายวันเม่ือกดที่ปุม Daily

70  

สามารถดูรายละเอียดเพ่ิมเติมได โดยกดเลือกที่ Computer Name หรือ Status Name ดังแสดงตัวอยางในรูปที่ 4.28 กดเลือกที่ chuleeporn-pc

รูปที่ 4.28 แสดงรายละเอียดเพ่ิมเติมเม่ือกดเลือกที ่Computer Name

เม่ือกดท่ีปุม Monthly จะแสดงขอมูลเคร่ืองที่มีกิจกรรมกับดีเอชซีพีเซิรฟเวอร พรอมทั้งสรุปสถานะของดีเอชซีพีเซิรฟเวอรในเดือนที่เลือก โดยสามารถกดเขาไปดูรายละเอียดเพ่ิมเติมได ดังแสดงตัวอยางในรูปที่ 4.29 และ 4.30

รูปที่ 4.29 แสดงขอมูลเม่ือกดที่ปุม Monthly

71  

สามารถดูรายละเอียดเพ่ิมเติมได โดยกดเลือกที่ Computer Name หรือ Status Name ดังแสดงในรูปที่ 4.30 กดเลือกที่ DNS Update Failed

รูปที่ 4.30 แสดงรายละเอียดเพ่ิมเติมเม่ือกดเลือกที ่Status Name

5) เมนู Computer Master แสดงรายชื่อเคร่ืองคอมพิวเตอร และหมายเลขแม็คของเครื่องที่มีอยูในระบบ เพ่ือนําไปเปรียบเทียบกับล็อกในการวิเคราะหดีเอชซีพีล็อก ในเมนู DHCP Analysis สามารถแกไขรายละเอียดของแตละเครื่องได ดังแสดงในรูปที่ 4.31

รูปที่ 4.31 เมนู Computer Master

72  

กดที่ปุม Add New Computer เพ่ือเพ่ิมเคร่ืองคอมพิวเตอรเขาสู Computer Master ดังแสดงในรูปที่ 4.32

รูปที่ 4.32 เมนู Computer Master เม่ือกดปุม Add New Computer

6) เมนู Top Web แสดงรายชื่อเว็บไซตที่พนักงานเขาใชงานมากที่สุด 10 อันดับแรก สามารถเลือกไดตามสถานะไฟรวอลล เดือน และตามผูใชงาน ดังแสดงในรูปที่ 4.33

รูปที่ 4.33 เมนู Tob Web

73  

7) เมนู Access Menu แสดงรายการเมนูหลักในระบบ Web-based Management สามารถแกไขรายละเอียดของแตละเมนูได ดังแสดงในรูปที่ 4.34

รูปที่ 4.34 เมนู Access Menu

กดที่ปุม Add New Menu เพ่ือเพ่ิมเมนูใหมในระบบ ดังแสดงในรูปที่ 4.35

รูปที่ 4.35 เมนู Access Menu เม่ือกดปุม Add New Menu

74  

8) เมนู User Account แสดงรายชื่อผูใชงานระบบ Web-based Management ทั้งหมด สามารถแกไขรายละเอียด และสิทธิ์ของผูใชแตละคนได ดังแสดงในรูปที่ 4.36

รูปที่ 4.36 เมนู User Account

กดที่ปุม Add New User เพ่ือเพ่ิมผูใชงานระบบ Web-based Management ดังแสดงในรูปที่ 4.37

รูปที่ 4.37 เมนู User Account เม่ือกดปุม Add New User

75  

9) Configure NTP Server แกไขคาเอ็นทีพีเซิรฟเวอร โดยใสหมายเลขไอพี หรือชื่อของเอ็นทีพีเซิรฟเวอรที่ตองการขอเทียบเวลาดวย ในชอง NTP Server แลวกดปุม Submit ดังแสดงในรูปที่ 4.38

รูปที่ 4.38 เมนู Configure NTP Server

10) Configure Log rotation แกไขการตั้งคาล็อกโรเทชัน ดังแสดงในรูปที่ 4.39

รูปที่ 4.39 เมนู Configure Log rotation

76  

11) Change Password เปลี่ยนรหัสผานของผูใชงาน โดยตองยืนยันรหัสผานเดิมใหถูกตอง จึงจะสามารถเปลี่ยนรหัสผานใหมได ดังแสดงในรูปที่ 4.40

รูปที่ 4.40 เมนู Change Password

4.3.10 การสงอีเมลแจงเตือน เม่ือมีคอมพิวเตอรใหมเขามาภายในระบบ ดังแสดงในรูปที่ 4.41 และ 4.42

รูปที่ 4.41 อีเมลแจงเตือน เม่ือมีคอมพิวเตอรใหมเขามาภายในระบบ

77  

รูปที่ 4.42 รายละเอียดอีเมลแจงเตือน เม่ือมีคอมพิวเตอรใหมภายในระบบ

4.4 สรุปทายบท

จากการทดลองระบบดังกลาว พบวาสามารถรับขอมูลล็อกจากเครื่องดีเอชซีพีเซิรฟเวอร เมลเซิรฟเวอร และพร็อกซ่ีเซิรฟเวอรได โดยมีการเขารหัสลับขอมูลขณะสงผานเครือขาย และสามารถเขารหัสลับขอมูลเม่ือจัดเก็บเปนไฟล รวมถึงมีการเก็บคาแฮชเพ่ือใชตรวจสอบความคงสภาพของขอมูล อีกทั้งยังสามารถอํานวยความสะดวกใหกับผูดูแลระบบ หรือผูที่ไดรับมอบหมายใหดูแลล็อก สามารถเรียกดูขอมูลผานทางเว็บเบราวเซอรได

78  

บทที่ 5

สรุปผลการดําเนินงาน

5.1 กลาวนํา

จากการทดลอง ผูจัดทําไดดําเนินการจัดทําระบบจัดเก็บล็อกไฟลแบบรวมศูนย ใหสอดคลองตามพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550 โดยใชระบบปฏิบัติการ และซอฟตแวรที่เปนโอเพนซอรสในการพัฒนาระบบ ซ่ึงสามารถจัดเก็บขอมูลล็อกไดตรงตามวัตถุประสงค

5.2 สรุปผลการทดลอง

5.2.1 ระบบสามารถจัดเก็บขอมูลล็อกได ตรงตามขอกําหนดของพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550

5.2.2 ขอมูลล็อกมีความม่ันคงปลอดภัย สามารถเขาถึงไดเฉพาะผูที่มีสิทธิ์เทาน้ัน

5.2.3 มีระบบ Web-based Management ที่สามารถแสดงรายละเอียดขอมูลล็อก และบริหารจัดการระบบผานทางเว็บเบราวเซอรได

5.3 ปญหาและอุปสรรคในการพัฒนาระบบ

5.3.1 ผูจัดทําไมมีความชํานาญในการใชงานระบบปฏิบัติการลีนุกซ สงผลใหการพัฒนาระบบ และการแกไขปญหาตาง ๆ เปนไปไดชา

5.3.2 ผูจัดทําไมมีสิทธิ์ในการปรับปรุง และแกไขระบบเดิมไดทั้งหมด จึงทําใหไมสามารถดําเนินโครงงานไดอยางเต็มที่

5.3.3 เคร่ืองเซิรฟเวอรทั้งหมดของบริษัทใชระบบปฏิบัติการวินโดวส ทําใหขอมูลล็อกที่ได ไมอยูในรูปแบบของ syslog

5.3.4 เคร่ืองเซิรฟเวอรทั้งหมดของบริษัทใชระบบปฏิบัติการวินโดวส แตเคร่ือง Centralized Log Server ใชระบบปฏิบัติการลีนุกซ ทําใหการพัฒนาระบบบางสวนทําไดยาก

79  

5.3.5 เน่ืองจากโครงงานน้ีใชเคร่ืองคอมพิวเตอรสวนบุคคลเปน Centralized Log Server ซ่ึงประสิทธิภาพในการทํางานคอนขางต่ํา ทําใหการคิวรี่ขอมูลรวมกับการคํานวณคาแฮชทํางานไดชา และมีขอจํากัด

5.4 แนวทางในการปรับปรุงและพัฒนา

5.4.1 ปรับปรุงระบบเครือขายเดิมของบริษัทฯ เพ่ือใหสามารถรองรับการจัดเก็บล็อกไดดีกวาน้ี เชน มีการติดตั้ง Active Directory เพ่ือใหสามารถบริหารจัดการขอมูล และสิทธิ์การใชงานของพนักงานไดงายขึ้น

5.4.2 เพ่ิมเติมการเก็บล็อกจากสวนอ่ืน ๆ เพ่ือใหสามารถนําขอมูลที่ได มาชวยเหลืองานผูดูแลระบบไดมากกวาน้ี

5.4.3 อัพเกรดเคร่ือง Centralized Log Server หรือเปลี่ยนจากคอมพิวเตอรสวนบุคคลเปนเคร่ืองเซิรฟเวอร เพ่ือเพ่ิมประสิทธิภาพในการทํางานของระบบ

5.4.4 เพ่ิมใหมีระบบสํารองขอมูลล็อก

80  

เอกสารอางอิง

[1] Lonvick, C., " The BSD syslog Protocol ", RFC 3164, August 2001.

[2] Gerhards R., " The Syslog Protocol", RFC 5424, March 2009.

[3] พระราชบญัญัติวาดวยการกระทําผิดเก่ียวกับคอมพิวเตอร พ.ศ.2550, ประกาศราชกิจจา

นุเบกษา เลมที่ 124 ตอน 27 ก หนา 4, 18 มิถุนายน 2550.

[4] ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสือ่สาร เรื่อง หลักเกณฑการเก็บรักษาขอมูล

จราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550, ประกาศราชกิจจานุเบกษา เลมที่ 124 ตอน

พิเศษ 102 ง หนา 5, 23 สิงหาคม 2550.

[5] ดร.ศุภกร กังพิศดาร, วิทยาการเขารหัสลับ เพ่ือความม่ันคงปลอดภัยของเครือขาย.

กรุงเทพฯ:มหาวิทยาลยัเทคโนโลยีมหานคร, 2553.

[6] พรอมเลิศ หลอวิจิตร, คูมือเรียน PHP และ MySQL สําหรับผูเริ่มตน. กรุงเทพฯ:โปรวิชั่น,

2550.

[7] คูมือประกอบการฝกอบรมเชิงปฏิบัติการ การติดตั้งระบบเก็บขอมูลจราจร (Traffic Data)

ตามพรบ. วาดวยการกระทาํผิดเก่ียวกับคอมพิวเตอร พ.ศ. 2550. สํานักงานสงเสริม

อุตสาหกรรม ซอฟตแวรแหงชาต ิ(องคการมหาชน). [Online]. Available:

www.ptho.moph.go.th/department/ict/Authentication-book.pdf

[8] The syslog-ng OSE 3.2 Administrator Guide. BalaBit IT Security Ltd. [Online].

Available: http://www.balabit.com/support/documentation

[9] NXLOG Community Edition Reference Manual for v2.1.957. nxsec.com [Online].

Available: http://nxlog-ce.sourceforge.net/resources

[10] HowTo: The Ultimate Logrotate Command Tutorial with 10 Examples [Online]. Available:

http://www.thegeekstuff.com/2010/07/logrotate-examples/

[11] Data Confidentiality [Online]. Available: http://msdn.microsoft.com/en-us/library /ff650720.aspx

ก-1  

ภาคผนวก ก พระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ.๒๕๕๐

หนา ๔ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

พระราชบัญญัติ วาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร

พ.ศ. ๒๕๕๐

ภูมิพลอดุลยเดช ป.ร. ใหไว ณ วันที่ ๑๐ มิถุนายน พ.ศ. ๒๕๕๐

เปนปที่ ๖๒ ในรัชกาลปจจุบัน พระบาทสมเด็จพระปรมินทรมหาภูมิพลอดุลยเดช มีพระบรมราชโองการโปรดเกลา ฯ

ใหประกาศวา โดยที่เปนการสมควรมีกฎหมายวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร จึงทรงพระกรุณาโปรดเกลา ฯ ใหตราพระราชบัญญัติข้ึนไวโดยคําแนะนําและยินยอมของ

สภานิติบัญญัติแหงชาติ ดังตอไปนี้ มาตรา ๑ พระราชบัญญัตินี้เรียกวา “พระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับ

คอมพิวเตอร พ.ศ. ๒๕๕๐” มาตรา ๒ พระราชบัญญัตินี้ใหใชบังคับเมื่อพนกําหนดสามสิบวันนับแตวันประกาศ

ในราชกิจจานเุบกษาเปนตนไป มาตรา ๓ ในพระราชบัญญัตินี้ “ระบบคอมพิวเตอร” หมายความวา อุปกรณหรือชุดอุปกรณของคอมพิวเตอรที่เชื่อมการทํางาน

เขาดวยกัน โดยไดมีการกําหนดคําส่ัง ชุดคําส่ัง หรือส่ิงอื่นใด และแนวทางปฏิบัติงานใหอุปกรณ หรือชุดอุปกรณทําหนาที่ประมวลผลขอมูลโดยอัตโนมัติ

ก - 2

หนา ๕ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

“ขอมูลคอมพิวเตอร” หมายความวา ขอมูล ขอความ คําส่ัง ชุดคําส่ัง หรือส่ิงอื่นใดบรรดา ที่อยูในระบบคอมพิวเตอรในสภาพที่ระบบคอมพิวเตอรอาจประมวลผลได และใหหมายความรวมถึงขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสดวย

“ขอมูลจราจรทางคอมพิวเตอร” หมายความวา ขอมูลเกี่ยวกับการติดตอส่ือสารของระบบคอมพิวเตอร ซ่ึงแสดงถึงแหลงกําเนิด ตนทาง ปลายทาง เสนทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวของกับการติดตอส่ือสารของระบบคอมพิวเตอรนั้น

“ผูใหบริการ” หมายความวา (๑) ผูใหบริการแกบุคคลอื่นในการเขาสูอินเทอรเน็ต หรือใหสามารถติดตอถึงกันโดย

ประการอื่น โดยผานทางระบบคอมพิวเตอร ทั้งนี้ ไมวาจะเปนการใหบริการในนามของตนเอง หรือในนามหรือเพื่อประโยชนของบุคคลอื่น

(๒) ผูใหบริการเก็บรักษาขอมูลคอมพิวเตอรเพื่อประโยชนของบุคคลอื่น “ผูใชบริการ” หมายความวา ผูใชบริการของผูใหบริการไมวาตองเสียคาใชบริการหรือไมก็ตาม “พนักงานเจาหนาที่” หมายความวา ผูซ่ึงรัฐมนตรีแตงต้ังใหปฏิบัติการตามพระราชบัญญัตินี้ “รัฐมนตรี” หมายความวา รัฐมนตรีผูรักษาการตามพระราชบัญญัตินี้ มาตรา ๔ ใหรัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารรักษาการตาม

พระราชบัญญัตินี้ และใหมีอํานาจออกกฎกระทรวงเพื่อปฏิบัติการตามพระราชบัญญัตินี้ กฎกระทรวงนั้น เมื่อไดประกาศในราชกิจจานุเบกษาแลวใหใชบังคับได

หมวด ๑ ความผิดเกี่ยวกับคอมพิวเตอร

มาตรา ๕ ผูใดเขาถึงโดยมิชอบซ่ึงระบบคอมพิวเตอรที่มีมาตรการปองกันการเขาถึงโดยเฉพาะและมาตรการนั้นมิไดมีไวสําหรับตน ตองระวางโทษจําคุกไมเกินหกเดือน หรือปรับไมเกินหนึ่งหมื่นบาท หรือทั้งจําทั้งปรับ

มาตรา ๖ ผูใดลวงรูมาตรการปองกันการเขาถึงระบบคอมพิวเตอรที่ผูอื่นจัดทําข้ึนเปนการเฉพาะ ถานํามาตรการดังกลาวไปเปดเผยโดยมิชอบในประการที่นาจะเกิดความเสียหายแกผูอื่น ตองระวางโทษจําคุกไมเกินหนึ่งป หรือปรับไมเกินสองหมื่นบาท หรือทั้งจําทั้งปรับ

ก - 3

หนา ๖ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

มาตรา ๗ ผูใดเขาถึงโดยมิชอบซ่ึงขอมูลคอมพิวเตอรที่มีมาตรการปองกันการเขาถึงโดยเฉพาะและมาตรการนั้นมิไดมีไวสําหรับตน ตองระวางโทษจําคุกไมเกินสองปหรือปรับไมเกินส่ีหมื่นบาท หรือทั้งจําทั้งปรับ

มาตรา ๘ ผูใดกระทําดวยประการใดโดยมิชอบดวยวิธีการทางอิเล็กทรอนิกสเพื่อดักรับไวซ่ึงขอมูลคอมพิวเตอรของผูอื่นที่อยูระหวางการสงในระบบคอมพิวเตอร และขอมูลคอมพิวเตอรนั้นมิไดมีไวเพื่อประโยชนสาธารณะหรือเพื่อใหบุคคลทั่วไปใชประโยชนไดตองระวางโทษจําคุกไมเกินสามป หรือปรับไมเกินหกหมื่นบาท หรือทั้งจําทั้งปรับ

มาตรา ๙ ผูใดทําใหเสียหาย ทําลาย แกไข เปลี่ยนแปลง หรือเพิ่มเติมไมวาทั้งหมดหรือบางสวน ซ่ึงขอมูลคอมพิวเตอรของผูอื่นโดยมิชอบ ตองระวางโทษจําคุกไมเกินหาป หรือปรับไมเกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ

มาตรา ๑๐ ผูใดกระทําดวยประการใดโดยมิชอบ เพื่อใหการทํางานของระบบคอมพิวเตอรของผูอื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไมสามารถทํางานตามปกติไดตองระวางโทษจําคุกไมเกินหาป หรือปรับไมเกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ

มาตรา ๑๑ ผูใดสงขอมูลคอมพิวเตอรหรือจดหมายอิเล็กทรอนิกสแกบุคคลอื่นโดยปกปดหรือปลอมแปลงแหลงที่มาของการสงขอมูลดังกลาว อันเปนการรบกวนการใชระบบคอมพิวเตอรของบุคคลอื่นโดยปกติสุข ตองระวางโทษปรับไมเกินหนึ่งแสนบาท

มาตรา ๑๒ ถาการกระทําความผิดตามมาตรา ๙ หรือมาตรา ๑๐ (๑) กอใหเกิดความเสียหายแกประชาชน ไมวาความเสียหายนั้นจะเกิดข้ึนในทันทีหรือ

ในภายหลังและไมวาจะเกิดข้ึนพรอมกันหรือไม ตองระวางโทษจําคุกไมเกินสิบป และปรับไมเกิน สองแสนบาท

(๒) เปนการกระทําโดยประการที่นาจะเกิดความเสียหายตอขอมูลคอมพิวเตอร หรือระบบคอมพิวเตอรที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเปนการกระทําตอขอมูลคอมพิวเตอรหรือระบบคอมพิวเตอรที่มีไวเพื่อประโยชนสาธารณะ ตองระวางโทษจําคุกต้ังแตสามปถึงสิบหาป และปรับต้ังแตหกหมื่นบาทถึงสามแสนบาท

ถาการกระทําความผิดตาม (๒) เปนเหตุใหผูอื่นถึงแกความตาย ตองระวางโทษจําคุกต้ังแตสิบปถึงย่ีสิบป

ก - 4

หนา ๗ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

มาตรา ๑๓ ผูใดจําหนายหรือเผยแพรชุดคําส่ังที่จัดทําข้ึนโดยเฉพาะเพื่อนําไปใชเปนเคร่ืองมือในการกระทําความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือมาตรา ๑๑ ตองระวางโทษจําคุกไมเกินหนึ่งป หรือปรับไมเกินสองหมื่นบาท หรือทั้งจําทั้งปรับ

มาตรา ๑๔ ผูใดกระทําความผิดที่ระบุไวดังตอไปนี้ ตองระวางโทษจําคุกไมเกินหาป หรือปรับไมเกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ

(๑) นําเขาสูระบบคอมพิวเตอรซ่ึงขอมูลคอมพิวเตอรปลอมไมวาทั้งหมดหรือบางสวน หรือขอมูลคอมพิวเตอรอันเปนเท็จ โดยประการที่นาจะเกิดความเสียหายแกผูอื่นหรือประชาชน

(๒) นําเขาสูระบบคอมพิวเตอรซ่ึงขอมูลคอมพิวเตอรอันเปนเท็จ โดยประการที่นาจะเกิดความเสียหายตอความมั่นคงของประเทศหรือกอใหเกิดความต่ืนตระหนกแกประชาชน

(๓) นําเขาสูระบบคอมพิวเตอรซ่ึงขอมูลคอมพิวเตอรใด ๆ อันเปนความผิดเกี่ยวกับความมั่นคงแหงราชอาณาจักรหรือความผิดเกี่ยวกับการกอการรายตามประมวลกฎหมายอาญา

(๔) นําเขาสูระบบคอมพิวเตอรซ่ึงขอมูลคอมพิวเตอรใด ๆ ที่มีลักษณะอันลามกและขอมูลคอมพิวเตอรนั้นประชาชนทั่วไปอาจเขาถึงได

(๕) เผยแพรหรือสงตอซ่ึงขอมูลคอมพิวเตอรโดยรูอยูแลววาเปนขอมูลคอมพิวเตอรตาม (๑) (๒) (๓) หรือ (๔)

มาตรา ๑๕ ผูใหบริการผูใดจงใจสนับสนุนหรือยินยอมใหมีการกระทําความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอรที่อยูในความควบคุมของตน ตองระวางโทษเชนเดียวกับผูกระทําความผิดตาม มาตรา ๑๔

มาตรา ๑๖ ผู ใดนําเข าสู ระบบคอมพิวเตอรที่ประชาชนทั่ วไปอาจเข าถึงได ซ่ึงขอมูล คอมพิวเตอรที่ปรากฏเปนภาพของผูอื่น และภาพนั้นเปนภาพที่เกิดจากการสรางข้ึน ตัดตอ เติม หรือดัดแปลงดวยวิธีการทางอิเล็กทรอนิกสหรือวิธีการอื่นใด ทั้งนี้ โดยประการที่นาจะทําใหผูอื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือไดรับความอับอาย ตองระวางโทษจําคุกไมเกินสามป หรือปรับไมเกินหกหมื่นบาท หรือทั้งจําทั้งปรับ

ถาการกระทําตามวรรคหนึ่ง เปนการนําเขาขอมูลคอมพิวเตอรโดยสุจริต ผูกระทําไมมีความผิด ความผิดตามวรรคหนึ่งเปนความผิดอันยอมความได ถาผูเสียหายในความผิดตามวรรคหนึ่งตายเสียกอนรองทุกข ใหบิดา มารดา คูสมรส หรือ

บุตรของผูเสียหายรองทุกขได และใหถือวาเปนผูเสียหาย มาตรา ๑๗ ผูใดกระทําความผิดตามพระราชบัญญัตินี้นอกราชอาณาจักรและ

ก - 5

หนา ๘ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

(๑) ผูกระทําความผิดนั้นเปนคนไทย และรัฐบาลแหงประเทศที่ความผิดไดเกิดข้ึนหรือผูเสียหายไดรองขอใหลงโทษ หรือ

(๒) ผูกระทําความผิดนั้นเปนคนตางดาว และรัฐบาลไทยหรือคนไทยเปนผูเสียหายและผูเสียหายไดรองขอใหลงโทษ

จะตองรับโทษภายในราชอาณาจักร

หมวด ๒ พนักงานเจาหนาที ่

มาตรา ๑๘ ภายใตบังคับมาตรา ๑๙ เพื่อประโยชนในการสืบสวนและสอบสวนในกรณีที่มีเหตุอันควรเชื่อไดวามีการกระทําความผิดตามพระราชบัญญัตินี้ ใหพนักงานเจาหนาที่มีอํานาจอยางหนึ่งอยางใด ดังตอไปนี้ เฉพาะที่จําเปนเพื่อประโยชนในการใชเปนหลักฐานเกี่ยวกับการกระทําความผิดและหาตัวผูกระทําความผิด

(๑) มีหนังสือสอบถามหรือเรียกบุคคลที่เก่ียวของกับการกระทําความผิดตามพระราชบัญญัตินี้มาเพื่อใหถอยคํา สงคําชี้แจงเปนหนังสือ หรือสงเอกสาร ขอมูล หรือหลักฐานอื่นใดที่อยูในรูปแบบที่สามารถเขาใจได

(๒) เรียกขอมูลจราจรทางคอมพิวเตอรจากผูใหบริการเกี่ยวกับการติดตอส่ือสารผานระบบคอมพิวเตอรหรือจากบุคคลอื่นที่เกี่ยวของ

(๓) ส่ังใหผูใหบริการสงมอบขอมูลเกี่ยวกับผูใชบริการที่ตองเก็บตามมาตรา ๒๖ หรือที่อยูในความครอบครองหรือควบคุมของผูใหบริการใหแกพนักงานเจาหนาที่

(๔) ทําสําเนาขอมูลคอมพิวเตอร ขอมูลจราจรทางคอมพิวเตอร จากระบบคอมพิวเตอร ที่มีเหตุอันควรเชื่อไดวามีการกระทําความผิดตามพระราชบัญญัตินี้ ในกรณีที่ระบบคอมพิวเตอรนั้นยังมิไดอยูในความครอบครองของพนักงานเจาหนาที่

(๕) ส่ังใหบุคคลซ่ึงครอบครองหรือควบคุมขอมูลคอมพิวเตอร หรืออุปกรณที่ใชเก็บขอมูลคอมพิวเตอร สงมอบขอมูลคอมพิวเตอร หรืออุปกรณดังกลาวใหแกพนักงานเจาหนาที่

(๖) ตรวจสอบหรือเขาถึงระบบคอมพิวเตอร ขอมูลคอมพิวเตอร ขอมูลจราจรทางคอมพิวเตอร หรืออุปกรณที่ใชเก็บขอมูลคอมพิวเตอรของบุคคลใด อันเปนหลักฐานหรืออาจใชเปนหลักฐานเกี่ยวกับการกระทําความผิด หรือเพื่อสืบสวนหาตัวผูกระทําความผิดและสั่งใหบุคคลนั้นสงขอมูลคอมพิวเตอร ขอมูลจราจรทางคอมพิวเตอร ที่เกี่ยวของเทาที่จําเปนใหดวยก็ได

ก - 6

หนา ๙ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

(๗) ถอดรหัสลับของขอมูลคอมพิวเตอรของบุคคลใด หรือส่ังใหบุคคลที่เก่ียวของกับการเขารหัสลับของขอมูลคอมพิวเตอร ทําการถอดรหัสลับ หรือใหความรวมมือกับพนักงานเจาหนาที่ในการถอดรหัสลับดังกลาว

(๘) ยึดหรืออายัดระบบคอมพิวเตอรเทาที่จําเปนเฉพาะเพื่อประโยชนในการทราบรายละเอียดแหงความผิดและผูกระทําความผดิตามพระราชบัญญัตินี้

มาตรา ๑๙ การใชอํานาจของพนักงานเจาหนาที่ตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) ใหพนักงานเจาหนาที่ย่ืนคํารองตอศาลที่มีเขตอํานาจเพื่อมีคําส่ังอนุญาตใหพนักงานเจาหนาที่ดําเนินการตามคํารอง ทั้งนี้ คํารองตองระบุเหตุอันควรเชื่อไดวาบุคคลใดกระทําหรือกําลังจะกระทําการอยางหนึ่งอยางใดอันเปนความผิดตามพระราชบัญญัตินี้ เหตุที่ตองใชอํานาจ ลักษณะของการกระทําความผิด รายละเอียดเกี่ยวกับอุปกรณที่ใชในการกระทําความผิดและผูกระทําความผิด เทาที่สามารถ จะระบุได ประกอบคํารองดวยในการพิจารณาคํารองใหศาลพิจารณาคํารองดังกลาวโดยเร็ว

เมื่อศาลมีคําส่ังอนุญาตแลว กอนดําเนินการตามคําส่ังของศาล ใหพนักงานเจาหนาที่สงสําเนาบันทึกเหตุอันควรเชื่อที่ทําใหตองใชอํานาจตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบใหเจาของหรือผูครอบครองระบบคอมพิวเตอรนั้นไวเปนหลักฐาน แตถาไมมีเจาของหรือผูครอบครองเคร่ืองคอมพิวเตอรอยู ณ ที่นั้น ใหพนักงานเจาหนาที่สงมอบสําเนาบันทึกนั้นใหแกเจาของหรือ ผูครอบครองดังกลาวในทันทีที่กระทําได

ใหพนักงานเจาหนาที่ผูเปนหัวหนาในการดําเนินการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) สงสําเนาบันทึกรายละเอียดการดําเนินการและเหตุผลแหงการดําเนินการใหศาลที่มีเขตอํานาจภายในสี่สิบแปดชั่วโมงนับแตเวลาลงมือดําเนินการ เพื่อเปนหลักฐาน

การทําสําเนาขอมูลคอมพิวเตอรตามมาตรา ๑๘ (๔) ใหกระทําไดเฉพาะเมื่อมีเหตุอันควรเชื่อไดวามีการกระทําความผิดตามพระราชบัญญัตินี้ และตองไมเปนอุปสรรคในการดําเนินกิจการของเจาของหรือผูครอบครองขอมูลคอมพิวเตอรนั้นเกินความจําเปน

การยึดหรืออายัดตามมาตรา ๑๘ (๘) นอกจากจะตองสงมอบสําเนาหนังสือแสดงการยึดหรืออายัดมอบใหเจาของหรือผูครอบครองระบบคอมพิวเตอรนั้นไวเปนหลักฐานแลวพนักงานเจาหนาที่จะส่ังยึดหรืออายัดไวเกินสามสิบวันมิได ในกรณีจําเปนที่ตองยึดหรืออายัดไวนานกวานั้น ใหย่ืนคํารอง ตอศาลที่มีเขตอํานาจเพื่อขอขยายเวลายึดหรืออายัดได แตศาลจะอนุญาตใหขยายเวลาครั้งเดียวหรือหลายคร้ังรวมกันไดอีกไมเกินหกสิบวัน เมื่อหมดความจําเปนที่จะยึดหรืออายัดหรือครบกําหนดเวลาดังกลาวแลว พนักงานเจาหนาที่ตองสงคืนระบบคอมพิวเตอรที่ยึดหรือถอนการอายัดโดยพลัน

ก - 7

หนา ๑๐ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

หนังสือแสดงการยึดหรืออายัดตามวรรคหาใหเปนไปตามที่กําหนดในกฎกระทรวง มาตรา ๒๐ ในกรณีที่การกระทําความผิดตามพระราชบัญญัตินี้ เปนการทําใหแพรหลาย

ซ่ึงขอมูลคอมพิวเตอรที่อาจกระทบกระเทือนตอความมั่นคงแหงราชอาณาจักรตามที่กําหนดไวในภาคสอง ลักษณะ ๑ หรือลักษณะ ๑/๑ แหงประมวลกฎหมายอาญา หรือที่มีลักษณะขัดตอความสงบเรียบรอยหรือศีลธรรมอันดีของประชาชน พนักงานเจาหนาที่โดยไดรับความเห็นชอบจากรัฐมนตรีอาจย่ืนคํารองพรอมแสดงพยานหลักฐานตอศาลที่มี เขตอํานาจขอใหมี คําส่ังระงับการทําใหแพรหลายซ่ึงขอมูล คอมพิวเตอรนั้นได

ในกรณีที่ศาลมีคําส่ังใหระงับการทําใหแพรหลายซ่ึงขอมูลคอมพิวเตอรตามวรรคหนึ่ง ให พนักงานเจาหนาที่ทําการระงับการทําใหแพรหลายนั้นเอง หรือส่ังใหผูใหบริการระงับการทําใหแพรหลายซ่ึงขอมูลคอมพิวเตอรนั้นก็ได

มาตรา ๒๑ ในกรณีที่พนักงานเจาหนาที่พบวา ขอมูลคอมพิวเตอรใดมีชุดคําส่ังไมพึงประสงครวมอยูดวย พนักงานเจาหนาที่อาจย่ืนคํารองตอศาลที่มีเขตอํานาจเพื่อขอใหมีคําส่ังหามจําหนายหรือเผยแพร หรือส่ังใหเจาของหรือผูครอบครองขอมูลคอมพิวเตอรนั้นระงับการใช ทําลาย หรือแกไขขอมูลคอมพิวเตอรนั้นได หรือจะกําหนดเงื่อนไขในการใช มีไวในครอบครอง หรือ เผยแพรชุดคําส่ังไมพึงประสงคดังกลาวก็ได

ชุดคําส่ังไมพึงประสงคตามวรรคหนึ่งหมายถึงชุดคําส่ังที่มีผลทําใหขอมูลคอมพิวเตอร หรือระบบคอมพิวเตอรหรือชุดคําส่ังอื่นเกิดความเสียหาย ถูกทําลาย ถูกแกไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดของ หรือปฏิบัติงานไมตรงตามคําส่ังที่กําหนดไว หรือโดยประการอื่นตามที่กําหนดในกฎกระทรวง ทั้งนี้ เวนแตเปนชุดคําส่ังที่มุงหมายในการปองกันหรือแกไขชุดคําส่ังดังกลาวขางตน ตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา

มาตรา ๒๒ หามมิใหพนักงานเจาหนาที่ เปดเผยหรือสงมอบขอมูลคอมพิวเตอร ขอมูล จราจรทางคอมพิวเตอร หรือขอมูลของผูใชบริการ ที่ไดมาตามมาตรา ๑๘ ใหแกบุคคลใด

ความในวรรคหนึ่งมิใหใชบังคับกับการกระทําเพื่อประโยชนในการดําเนินคดีกับผูกระทําความผิดตามพระราชบัญญัตินี้ หรือเพื่อประโยชนในการดําเนินคดีกับพนักงานเจาหนาที่เกี่ยวกับการใชอํานาจหนาที่โดยมิชอบ หรือเปนการกระทําตามคําส่ังหรือที่ไดรับอนุญาตจากศาล

พนักงานเจาหนาที่ผูใดฝาฝนวรรคหนึ่งตองระวางโทษจําคุกไมเกินสามป หรือปรับไมเกิน หกหมื่นบาท หรือทั้งจําทั้งปรับ

ก - 8

หนา ๑๑ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

มาตรา ๒๓ พนักงานเจาหนาที่ผูใดกระทําโดยประมาทเปนเหตุใหผูอื่นลวงรูขอมูลคอมพิวเตอร ขอมูลจราจรทางคอมพิวเตอร หรือขอมูลของผูใชบริการ ที่ไดมาตามมาตรา ๑๘ ตองระวางโทษจําคุกไมเกินหนึ่งป หรือปรับไมเกินสองหมื่นบาท หรือทั้งจําทั้งปรับ

มาตรา ๒๔ ผูใดลวงรูขอมูลคอมพิวเตอร ขอมูลจราจรทางคอมพิวเตอรหรือขอมูลของผูใชบริการ ที่พนักงานเจาหนาที่ไดมาตามมาตรา ๑๘ และเปดเผยขอมูลนั้นตอผูหนึ่งผูใด ตองระวางโทษจําคุกไมเกินสองป หรือปรับไมเกินส่ีหมื่นบาท หรือทั้งจําทั้งปรับ

มาตรา ๒๕ ขอมูล ขอมูลคอมพิวเตอร หรือขอมูลจราจรทางคอมพิวเตอรที่พนักงานเจาหนาที่ไดมาตามพระราชบัญญัตินี้ ใหอางและรับฟงเปนพยานหลักฐานตามบทบัญญัติแหงประมวลกฎหมายวิธีพิจารณาความอาญาหรือกฎหมายอื่นอันวาดวยการสืบพยานได แตตองเปนชนิดที่มิไดเกิดข้ึนจากการจูงใจ มีคํามั่นสัญญา ขูเข็ญ หลอกลวง หรือโดยมิชอบประการอื่น

มาตรา ๒๖ ผูใหบริการตองเก็บรักษาขอมูลจราจรทางคอมพิวเตอรไวไมนอยกวาเกาสิบวันนับแตวันที่ขอมูลนั้นเขาสูระบบคอมพิวเตอร แตในกรณีจําเปนพนักงานเจาหนาที่จะส่ังใหผูใหบริการผูใดเก็บรักษาขอมูลจราจรทางคอมพิวเตอรไวเกินเกาสิบวันแตไมเกินหนึ่งปเปนกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได

ผูใหบริการจะตองเก็บรักษาขอมูลของผูใชบริการเทาที่จําเปนเพื่อใหสามารถระบุตัวผูใชบริการนับต้ังแตเร่ิมใชบริการและตองเก็บรักษาไวเปนเวลาไมนอยกวาเกาสิบวันนับต้ังแตการใชบริการส้ินสุดลง

ความในวรรคหนึ่งจะใชกับผูใหบริการประเภทใด อยางไร และเมื่อใด ใหเปนไปตามที่รัฐมนตรีประกาศในราชกิจจานุเบกษา

ผูใหบริการผูใดไมปฏิบัติตามมาตรานี้ ตองระวางโทษปรับไมเกินหาแสนบาท มาตรา ๒๗ ผูใดไมปฏิบัติตามคําส่ังของศาลหรือพนักงานเจาหนาที่ที่ส่ังตามมาตรา ๑๘

หรือมาตรา ๒๐ หรือไมปฏิบัติตามคําส่ังของศาลตามมาตรา ๒๑ ตองระวางโทษปรับไมเกินสองแสนบาท และปรับเปนรายวันอีกไมเกินวันละหาพันบาทจนกวาจะปฏิบัติใหถูกตอง

มาตรา ๒๘ การแตงต้ังพนักงานเจาหนาที่ตามพระราชบัญญัตินี้ ใหรัฐมนตรีแตงต้ังจากผูมีความรูและความชํานาญเกี่ยวกับระบบคอมพิวเตอรและมีคุณสมบัติตามที่รัฐมนตรีกําหนด

มาตรา ๒๙ ในการปฏิบัติหนาที่ตามพระราชบัญญัตินี้ ใหพนักงานเจาหนาที่เปนพนักงานฝายปกครองหรือตํารวจชั้นผูใหญตามประมวลกฎหมายวิธีพิจารณาความอาญามีอํานาจรับคํารองทุกขหรือรับคํากลาวโทษ และมีอํานาจในการสืบสวนสอบสวนเฉพาะความผิดตามพระราชบัญญัตินี้

ก - 9

หนา ๑๒ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

ในการจับ ควบคุม คน การทําสํานวนสอบสวนและดําเนินคดีผูกระทําความผิดตามพระราชบัญญัตินี้ บรรดาที่เปนอํานาจของพนักงานฝายปกครองหรือตํารวจชั้นผูใหญ หรือพนักงานสอบสวนตามประมวลกฎหมายวิธีพิจารณาความอาญา ใหพนักงานเจาหนาที่ประสานงานกับพนักงานสอบสวนผูรับผิดชอบเพื่อดําเนินการตามอํานาจหนาที่ตอไป

ใหนายกรัฐมนตรีในฐานะผูกํากับดูแลสํานักงานตํารวจแหงชาติและรัฐมนตรีมีอํานาจรวมกันกําหนดระเบียบเกี่ยวกับแนวทางและวิธีปฏิบัติในการดําเนินการตามวรรคสอง

มาตรา ๓๐ ในการปฏิบั ติหนาที่ พนักงานเจาหนาที่ตองแสดงบัตรประจําตัวตอบุคคล ซ่ึงเกี่ยวของ

บัตรประจําตัวของพนักงานเจาหนาที่ใหเปนไปตามแบบที่รัฐมนตรีประกาศในราชกิจจานุเบกษา

ผูรับสนองพระบรมราชโองการ พลเอก สุรยุทธ จุลานนท

นายกรัฐมนตรี

ก - 10

หนา ๑๓ เลม ๑๒๔ ตอนที ่ ๒๗ ก ราชกิจจานุเบกษา ๑๘ มิถุนายน ๒๕๕๐

หมายเหตุ :- เหตุผลในการประกาศใชพระราชบัญญัติฉบับนี้ คือ เนื่องจากในปจจุบันระบบคอมพิวเตอรไดเปน

สวนสําคัญของการประกอบกิจการและการดํารงชีวิตของมนุษย หากมีผูกระทําดวยประการใด ๆ ใหระบบ

คอมพิวเตอรไมสามารถทํางานตามคําส่ังท่ีกําหนดไวหรือทําใหการทํางานผิดพลาดไปจากคําส่ังท่ีกําหนดไว หรือ

ใชวิธีการใด ๆ เขาลวงรูขอมูล แกไข หรือทําลายขอมูลของบุคคลอ่ืนในระบบคอมพิวเตอรโดยมิชอบ หรือ

ใชระบบคอมพิวเตอรเพ่ือเผยแพรขอมูลคอมพิวเตอรอันเปนเท็จหรือมีลักษณะอันลามกอนาจาร ยอมกอใหเกิด

ความเสียหาย กระทบกระเทือนตอเศรษฐกิจ สังคม และความมั่นคงของรัฐ รวมท้ังความสงบสุขและศีลธรรม

อันดีของประชาชน สมควรกําหนดมาตรการเพื่อปองกันและปราบปรามการกระทําดังกลาว จึงจํา เปน

ตองตราพระราชบัญญัตินี้

ก - 11

ข-1  

ภาคผนวก ข ประกาศกระทรวงเทคโนโลยสีารสนเทศและการสื่อสาร เร่ือง หลักเกณฑการ

เก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ.๒๕๕๐

หนา ๕ เลม ๑๒๔ ตอนพเิศษ ๑๐๒ ง ราชกิจจานุเบกษา ๒๓ สิงหาคม ๒๕๕๐

ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เร่ือง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ

พ.ศ. ๒๕๕๐

ดวยในปจจุบันการติดตอส่ือสารผานระบบคอมพิวเตอรหรือระบบอิเล็กทรอนิกสเร่ิมเขาไปมีบทบาทและทวีความสํ า คัญเพิ่ ม ข้ึนตามลํ า ดับตอระบบเศรษฐกิ จและคุณภาพชี วิตของประชาชน แตในขณะเดียวกันการกระทําความผิดเกี่ยวกับคอมพิวเตอรมีแนวโนมขยายวงกวาง และทวีความรุนแรงเพิ่มมากขึ้น ขอมูลจราจรทางคอมพิว เตอรนับ เปนพยานหลักฐานสํา คัญในการดํา เนินคดี อันเปนประโยชนอยางย่ิงตอการสืบสวน สอบสวน เพื่อนําตัวผูกระทําความผิดมาลงโทษ จึงสมควรกําหนด ใหผูใหบริการมีหนาที่ในการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรดังกลาว

อาศัยอํานาจตามความในมาตรา ๒๖ วรรค ๓ แหงพระราชบัญญัติวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร พ.ศ. ๒๕๕๐ ดังนั้น รัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและ การสื่อสาร จึงไดกําหนดหลักเกณฑไว ดังตอไปนี้

ขอ ๑ ประกาศนี้ เ รียกวา “หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ของผูใหบริการ พ.ศ. ๒๕๕๐”

ขอ ๒ ประกาศนี้ใหใชบังคับต้ังแตวันถัดจากวันประกาศในราชกิจจานุเบกษาเปนตนไป ขอ ๓ ใหรัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารรักษาการ

ตามประกาศนี้ ขอ ๔ ในประกาศนี้ “ผูใหบริการ” หมายความวา (๑) ผูใหบริการแกบุคคลอื่นในการเขาสูอินเทอร เน็ต หรือใหสามารถติดตอถึงกัน

โดยประการอื่น โดยผานทางระบบคอมพิวเตอร ทั้งนี้ ไมวาจะเปนการใหบริการในนามของตนเอง หรือเพื่อประโยชนของบุคคลอื่น

(๒) ผูใหบริการเก็บรักษาขอมูลคอมพิวเตอรเพื่อประโยชนของบุคคลอื่น “ขอมูลจราจรทางคอมพิวเตอร” หมายความวา ขอมูลเกี่ยวกับการติดตอส่ือสารของระบบ

คอมพิวเตอร ซ่ึงแสดงถึงแหลงกําเนิด ตนทาง ปลายทาง เสนทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวของกับการติดตอส่ือสารของระบบคอมพิวเตอรนั้น

ข - 2

หนา ๖ เลม ๑๒๔ ตอนพเิศษ ๑๐๒ ง ราชกิจจานุเบกษา ๒๓ สิงหาคม ๒๕๕๐

“ระบบคอมพิวเตอร” หมายความวา อุปกรณหรือชุดอุปกรณที่เชื่อมการทํางานเขาดวยกัน

โดยไดมีการกําหนด คําส่ัง ชุดคําส่ัง หรือส่ิงอื่นใด และแนวทางปฏิบัติงานใหอุปกรณหรือชุดอุปกรณ

ทําหนาที่ประมวลผลขอมูลโดยอัตโนมัติ

“ผูใชบริการ” หมายความวา ผูใชบริการของผูใหบริการไมวาตองเสียคาใชบริการหรือไมก็ตาม

ขอ ๕ ภายใตบังคับของมาตรา ๒๖ แหงพระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับ

คอมพิวเตอร พ.ศ. ๒๕๕๐ ประเภทของผูใหบริการซ่ึงมีหนาที่ตองเก็บรักษาขอมูลจราจรทาง

คอมพิวเตอรแบงได ดังนี้

(๑) ผูใหบริการแกบุคคลทั่วไปในการเขาสูอินเทอรเน็ต หรือใหสามารถติดตอถึงกัน

โดยประการอื่น ทั้งนี้ โดยผานทางระบบคอมพิวเตอร ไมวาจะเปนการใหบริการในนามของตนเอง

หรือเพื่อประโยชนของบุคคลอื่น สามารถจําแนกได ๔ ประเภท ดังนี้

ก. ผูประกอบกิจการโทรคมนาคมและการกระจายภาพและเสียง (Telecommunication

and Broadcast Carrier) ประกอบดวยผูใหบริการดังปรากฏตามภาคผนวก ก. แนบทายประกาศนี้

ข. ผูใหบริการการเขาถึงระบบเครือขายคอมพิวเตอร (Access Service Provider)

ประกอบดวยผูใหบริการดังปรากฏตามภาคผนวก ก. แนบทายประกาศนี้

ค. ผูใหบริการเชาระบบคอมพิวเตอร หรือใหเชาบริการโปรแกรมประยุกตตาง ๆ

(Host Service Provider) ประกอบดวยผูใหบริการดังปรากฏตามภาคผนวก ก. แนบทายประกาศนี้

ง. ผูใหบริการรานอินเทอรเน็ต ดังปรากฏตามภาคผนวก ก. แนบทายประกาศนี้

(๒) ผูใหบริการในการเก็บรักษาขอมูลคอมพิวเตอรเพื่อประโยชนของบุคคลตาม (๑)

(Content Service Provider) เชน ผูใหบริการขอมูลคอมพิวเตอรผานแอพพลิเคชั่นตาง ๆ (Application

Service Provider) ประกอบดวยผูใหบริการดังภาคผนวก ก. แนบทายประกาศนี้

ขอ ๖ ขอมูลจราจรทางคอมพิวเตอรที่ผูใหบริการตองเก็บรักษา ปรากฏดังภาคผนวก ข.

แนบทายประกาศนี้

ขอ ๗ ผูใหบริการมีหนาที่เก็บรักษาขอมูลจราจรทางคอมพิวเตอร ดังนี้

(๑) ผูใหบริการตามขอ ๕ (๑) ก. มีหนาที่เก็บขอมูลจราจรทางคอมพิวเตอรตามภาคผนวก ข. ๑

(๒) ผูใหบริการตามขอ ๕ (๑) ข. มีหนาที่เก็บขอมูลจราจรทางคอมพิวเตอรตามภาคผนวก ข. ๒

ตามประเภท ชนิดและหนาที่การใหบริการ

ข - 3

หนา ๗ เลม ๑๒๔ ตอนพเิศษ ๑๐๒ ง ราชกิจจานุเบกษา ๒๓ สิงหาคม ๒๕๕๐

(๓) ผูใหบริการตามขอ ๕ (๑) ค. มีหนาที่เก็บขอมูลจราจรทางคอมพิวเตอรตามภาคผนวก ข. ๒

ตามประเภท ชนิดและหนาที่การใหบริการ

(๔) ผูใหบริการตามขอ ๕ (๑) ง. มีหนาที่เก็บขอมูลจราจรทางคอมพิวเตอรตามภาคผนวก ข. ๓

(๕) ผูใหบริการตามขอ ๕ (๒) มีหนาที่เก็บขอมูลจราจรทางคอมพิวเตอรตามภาคผนวก ข. ๔

ทั้งนี้ ในการเก็บรักษาขอมูลจราจรตามภาคผนวกตาง ๆ ที่กลาวไปขางตนนั้น ใหผูใหบริการ

เก็บเพียงเฉพาะในสวนที่เปนขอมูลจราจรที่เกิดจากสวนที่เกี่ยวของกับบริการของตนเทานั้น

ขอ ๘ การเก็บรักษาขอมูลจราจรทางคอมพิวเตอร ผูใหบริการตองใชวิธีการที่มั่นคง

ปลอดภัย ดังตอไปนี้

(๑) เก็บในส่ือ (Media) ที่สามารถรักษาความครบถวนถูกตองแทจริง (Integrity) และระบุ

ตัวบุคคล (Identification) ที่เขาถึงส่ือดังกลาวได

(๒) มีระบบการเก็บรักษาความลับของขอมูลที่จัดเก็บ และกําหนดชั้นความลับในการเขาถึง

ขอมูลดังกลาว เพื่อรักษาความนาเชื่อถือของขอมูล และไมใหผู ดูแลระบบสามารถแกไขขอมูลที่

เก็บรักษาไว เชน การเก็บไวใน Centralized Log Server หรือการทํา Data Archiving หรือทํา Data

Hashing เปนตน เวนแต ผูมีหนาที่เก่ียวของที่เจาของหรือผูบริหารองคกร กําหนดใหสามารถเขาถึง

ขอมูลดังกลาวได เชน ผูตรวจสอบระบบสารสนเทศขององคกร (IT Auditor) หรือบุคคลที่องคกร

มอบหมาย เปนตน รวมทั้งพนักงานเจาหนาที่ตามพระราชบัญญัตินี้

(๓) จัดใหมีผูมีหนาที่ประสานงานและใหขอมูลกับพนักงานเจาหนาที่ซ่ึงไดรับการแตงต้ัง

ตามพระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร พ.ศ. ๒๕๕๐ เพื่อใหการสงมอบ

ขอมูลนั้น เปนไปดวยความรวดเร็ว

(๔) ในการเก็บขอมูลจราจรนั้น ตองสามารถระบุรายละเอียดผูใชบริการเปนรายบุคคลได

(Identification and Authentication) เชน ลักษณะการใชบริการ Proxy Server, Network Address

Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ บริการ 1222

หรือ Wi-Fi Hotspot ตองสามารถระบุตัวตนของผูใชบริการเปนรายบุคคลไดจริง

(๕) ในกรณีที่ผูใหบริการประเภทหนึ่งประเภทใด ในขอ ๑ ถึงขอ ๔ ขางตน ไดใหบริการ

ในนามตนเอง แตบริการดังกลาวเปนบริการที่ใชระบบของผูใหบริการซึ่งเปนบุคคลที่สาม เปนเหตุให

ผูใหบริการในขอ ๑ ถึงขอ ๔ ไมสามารถรูไดวา ผูใชบริการที่เขามาในระบบนั้นเปนใคร ผูใหบริการ

ข - 4

หนา ๘ เลม ๑๒๔ ตอนพเิศษ ๑๐๒ ง ราชกิจจานุเบกษา ๒๓ สิงหาคม ๒๕๕๐

เชนวานั้นตองดําเนินการใหมีวิธีการระบุและยืนยันตัวบุคคล (Identification and Authentication)

ของผูใชบริการผานบริการของตนเองดวย

ขอ ๙ เพื่อใหขอมูลจราจรมีความถูกตองและนํามาใชประโยชนไดจริงผูใหบริการตองต้ังนาฬิกา

ของอุปกรณบริการทุกชนิดใหตรงกับเวลาอางอิงสากล (Stratum 0) โดยผิดพลาดไมเกิน ๑๐ มิลลิวินาที

ขอ ๑๐ ผูใหบริการซ่ึงมีหนาที่เก็บขอมูลจราจรทางคอมพิวเตอรตามขอ ๗ เร่ิมเก็บขอมูล

ดังกลาวตามลําดับ ดังนี้

(๑) ผูใหบริการตามขอ ๕ (๑) ก. เร่ิมเก็บขอมูลจราจรทางคอมพิวเตอรเมื่อพนสามสิบวัน

นับจากวันประกาศในราชกิจจานุเบกษา

(๒) ใหผูใหบริการตามขอ ๕ (๑) ข. เฉพาะผูใหบริการเครือขายสาธารณะหรือผูใหบริการ

อินเทอรเน็ต (ISP) เร่ิมเก็บขอมูลจราจรทางคอมพิวเตอรเมื่อพนหนึ่งรอยแปดสิบวันนับจากวันประกาศ

ในราชกิจจานุเบกษา

ผูใหบริการอื่นนอกจากที่กลาวมาในขอ ๑๐ (๑) และขอ ๑๐ (๒) ขางตน ใหเร่ิมเก็บขอมูล

จราจรทางคอมพิวเตอรเมื่อพนหนึ่งปนับจากวันประกาศในราชกิจจานุเบกษา

ประกาศ ณ วันที่ ๒๑ สิงหาคม พ.ศ. ๒๕๕๐

สิทธิชัย โภไคยอุดม

รัฐมนตรีวาการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

ข - 5

ข - 6

ข - 7

ข - 8

ข - 9

ข - 10

ข - 11

ข - 12

ข - 13