เพื่อเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน ตามพรบ.2550 (บางส่วน)

ตัวอย่างการติดตั้งใช้งาน Endian Firewall Community 2.1.2เพื่อเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน ตาม พรบ.2550 (บางส่วน)

Endian Firewall Community คืออะไรEndian Firewall Community

เป็นดิสตริบิวชันความปลอดภัยของระบบปฏิบัติการลินุกซ์แบบ "turn-key" ที่ turn ทุกระบบให้เป็น full featured security applianceด้วยฟังก์ชันของ Unified Threat Management (UTM) ซอฟต์แวร์ตัวนี้มีการลงนามเป็น "usability in mind" และสามารถติดตั้ง ใช้งานและจัดการได้ง่ายมาก และมีความยืดหยุ่น คุณลักษณะประกอบด้วย stateful packet inspection firewall, application-level proxiesสำหรับโปรโตคอลต่าง ๆ (HTTP, FTP, POP3, SMTP) ที่สนับสนุนแอนตี้ไวรัส,มีการป้องกันไวรัสและการกรองสแปมสำหรับทราฟฟิกที่เป็นอีเมล์ (POP และ SMTP), มีการกรองเนื้อหาของทราฟฟิกเว็บ, และ"hassel free" VPN solution (based on OpenVPN) ข้อดีหลักของ Endian Firewall คือเป็น pure "Open Source" solutionที่สนับสนุนโดย Edian

ความเกี่ยวพันกับ พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550ใน หมวด 2 (พนักงานเจ้าหน้าที่) มาตรา 26 ได้กล่าวไว้ดังนี้

มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะราย และเฉพาะคราวก็ได้

ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลงความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรี ประกาศในราชกิจจานุเบกษา

ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท

ซึ่ง พรบ. ดังกล่าวจะบังคับใช้ในวันที่ 1 สิงหาคม 2551ก็จะส่งผลกระทบต่อทุกองค์กรที่จะต้องจัดหาระบบเก็บรักษาข้อมูลจรจรคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วันในปัจจุบันมีผลิตภัณฑ์ประเภทนี้ออกมาขายกันจำนวนมากแต่ก็มีราคาแพงสำหรับองค์กรที่มีทุนน้อยคงจะไม่ง่ายนักที่จะต้องจัดสรรงบประมาณในเรื่องนี้

ผมเองได้ทดลองใช้ Endian Firewall Community มาบ้างและเห็นว่ามีฟังก์ชันการเก็บ log ของการจราจรคอมพิวเตอร์อยู่บ้างก็คิดว่าน่าจะสามารถนำมาประยุกต์ใช้งานเพื่อแก้ปัญหาดังกล่าวได้แม้ว่าฟังก์ชันการใช้งานอาจจะไม่สะดวกเท่ากับผลิตภัณฑ์ที่มีขายกันทั่วไป (เช่นการทำ Report ของ Log)แต่คงจะเป็นทางออกได้สำหรับบางองค์กรเช่นองค์กรขนาดเล็กเป็นต้น

รูปแบบการใช้งานโดยทั่วไปของ Endian Firewall Communityลักษณะการใช้งานทางเครือข่ายของ Endian Firewall ถ้าใช้เต็มระบบแล้วจะเป็นดังรูปที่ 1 นั่นคือจะประกอบด้วยเครือข่าย 4เครือข่ายคือ :

1. RED : ซึ่งใช้สำหรับเชื่อมต่อกับเครือข่ายภายนอก (untrusted network หรือ Internet)2. GREEN : ซึ่งใช้เชื่อมต่อกับเครือข่ายภายใน (trusted network หรือ Internal)3. ORANGE : ซึ่งใช้เชื่อมต่อกับเครือข่ายที่เป็นพื้นที่ของ Server (DMZ)4. BLUE : ซึ่งใช้เชื่อมต่อกับเครือข่ายที่เป็นระบบไร้สาย (Access Point)

รูปที่ 1 รูปแบบเครือข่ายการใช้งานแบบเต็มระบบของ Endian Firewall

แต่ในการใช้งานโดยทั่วไปอาจจะไม่เชื่อมต่อเครือข่ายทั้ง 4 เครือข่ายตามรูปนี้ก็ได้ครับ อาจจะมีแค่ 2 เครือข่ายคือ External กับInternel หรือ 3 เครือข่ายคือ External, Internal และ DMZ ซึ่งก็ขึ้นอยู่กับรูปแบบการเชื่อมต่อของแต่ละองค์กรนะครับ

การติดตั้ง Endian Firewall Community 2

สิ่งที่คุณต้องมีดังนี้ :

• แผ่น CD ที่ใช้สำหรับ burn ISO ของ Endian Firewall Community 2• PC หรือ Server ที่จะใช้ติดตั้ง Endian Firewall Community 2• PC อีกเครื่องที่ใช้สำหรับคอนฟิก Endian Firewall Community 2• Common sense

ขั้นตอนการติดตั้งดังนี้ครับ :

1. ดาวน์โหลด ISO Image จาก http://www.endian.it/en/community/download/iso/2. เบิร์น ISO Image ดังกล่าวลงแผ่น CD ว่าง ด้วย CD burnning software อย่าง Nero3. นำแผ่น CD ใส่เครื่อง PC ที่ต้องการจะติดตั้ง โดยต้องเซ็ตให้เครื่อง PC บู๊ตจาก CD-ROM Drive เป็นอันดับแรก4. ตอบคำถามทุกคำถาม และต้องแน่ใจว่าคุณมีการระบุและจด IP Address ของ Green Interface และรหัสผ่าน

การติดตั้งจะต่างจาก IPCop (Linux secure distribution อีกตัวที่คล้ายกัน) ที่ทุกอย่างไม่ถูกกำหนดในระหว่างการติดตั้งแต่ไม่ต้องกังวลนะ คุณสามารถเปลี่ยนแปลงทุกสิ่งทุกอย่างใน web-base managementหลังจากคุณตอบคำถามทุกคำถามแล้วเครื่อง PC ก็จะ reboot และคุณจะพบกับ linux login ตรงนี้เองที่คุณจะต้องใช้ PCเครื่องที่สอง

5. เชื่อมต่อ PC เครื่องที่สองกับ EFW PC ด้วยการใช้สาย cross-over cable และเปิด Browser ขึ้นมา หรืออาจจะใช้ ethernetswitch ด้วยการต่อสายตรง (straight ethernet cable) ก็ได้

6. เปิด command prompt และ ping ไปยัง IP Address ของ GREEN Interface ที่ได้กำหนดไว้ตอนติดตั้ง ถ้าไม่สามารถ pingได้แสดงว่ามีการกำหนด IP Address ให้กับอีก Interface card สำหรับผู้ที่คุ้นเคยกับ Linux ให้ลืมเกี่ยวกับการใช้งาน ifconfigในการกำหนดว่าเป็นการ์ดไหน เพราะ EFW จะใช้ br0 (bridge) สำหรับ Green interface แต่คุณไม่สามารถเห็นได้ด้วยการใช้command line ว่าเชื่อมต่อกับการ์ดไหน ดังนั้นจะต้องพยายามทดสอบดูว่าเป็นการ์ดไหนด้วยการ ping ได้สำเร็จ

7. ตอนนี้ให้เปิด Internet Browser ของคุณไปที่ URL : http://xxx.xxx.xxx.xxx หรืออีกอันหนึ่งก็ได้คือhttps://xxx.xxx.xxx.xxx:10443 โดยที่ x หมายถึง IP Address ของ Green Interface ที่คุณสามารถ ping ได้

8. default username คือ admin ส่วนรหัสผ่านเป็นค่าที่คุณได้กำหนดในช่วงการติดตั้ง (สำหรับผู้ที่จะเข้าไปยัง command promptของเครื่อง ให้ใช้ username เป็น root และรหัสผ่านเป็น endian)

9. ไปที่ Network Configuration ของเมนูด้านซ้ายมือ และทำตามโปรเซสตามที่คุณได้เลือก adapterอันไหนที่ต้องการจะกำหนดค่า

เราจะเก็บรักษาข้อมูลจราจรคอมเตอร์ส่วนไหนการใช้งานในองค์กรส่วนใหญ่จะเป็นการเรียกใช้งานเว็บไซต์ (http หรือ https)แม้แต่การใช้งานอีเมล์หรือการใช้งานโปรแกรมประเภท Instant Message (IM) ส่วนใหญ่แล้วก็จะรันบน httpฉะนั้นในที่นี้เราก็จะเน้นการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ที่เป็น http เป็นหลัก ส่วนการจราจรอื่น

ขั้นตอนการดำเนินการดังนี้ :

1. เปิด Browser ไปที่ https://xxx.xxx.xxx.xxx:10443 แล้วป้อน usernam และรหัสผ่านของ Admin2. ที่เมนู Proxy เลือกเมนูย่อยเป็น HTTP โดยให้คลิ๊ก Enabled on Green (แต่ห้ามเลือก Transparent on Green

เพราะในกรณีที่เราจะใช้การ Authentication ระบบจะไม่ยอมรับ) ดังรูปที่ 2

รูปที่ 2

3. ป้อนค่าต่าง ๆ คล้ายกับรูปที่ 24. เลื่อนหน้าจอลงล่างคลิ๊กที่คำว่า Log setting ให้ active ที่ Log enabled ส่วนค่าอื่น ๆ เลือกตามความต้องการ

รูปที่ 3

5. คลิ๊กที่ Cache management เลือกค่าต่าง ๆ ให้เหมาะสมเช่นMemory cache size : ไม่ควรมากกว่า 50% ของ RAM ที่ติดตั้งในเครื่องHarddisk cache size : ถ้าคุณต้องการให้ Squid ใช้ทั้งหมดของ harddisk ให้เอาขนาด harddisk จริงลบด้วย 20% ของขนาดharddisk จริง

รูปที่ 4

6. กำหนดว่าต้องการจะให้เครื่องที่มี IP Address ของ Network ไหนบ้างมาใช้ Proxy ด้วยการคลิ๊กปุ่ม Network based accesscontrol และป้อนค่าที่ต้องการ ส่วนค่าอื่น ๆ ก็ป้อนตามต้องการนะครับ

รูปที่ 5

7. กำหนดให้ผู้ใช้งาน Proxy ต้องมีการป้อน username ก่อนการใช้งานด้วยการคลิ๊กที่ส่วนของ Authentication methodและเลือกชนิดของการ Authentication ตามที่มีใช้งานจริง สำหรับของผู้เขียนใช้เป็น Local นั่นคือจะต้องป้อน usernameให้กับผู้ใช้งานทุกคนบนเครื่อง EFW เครื่องนี้

รูปที่ 6

8. ป้อน username ด้วยการคลิ๊กปุ่ม User management ของส่วน Local user authentication แล้วป้อน usernameตามต้องการดังรูป

รูปที่ 7

9. ปรับค่าการเก็บ Log ให้เป็น 90 วันตาม พรบ. ด้วยการเลือกเมนู Logs (ด้านบน) และเลือกเมนูย่อยด้านซ้ายมือเป็น Logsettings แล้วปรับค่าของ keep summaries for เป็น 90 วันดังรูป ส่วนค่าอื่น ๆ ก็ปรับตามความต้องการ พร้อมบันทึกค่า

รูปที่ 8

10. ห้ามไม่ได้ผู้ใช้งานเรียก http และ https ได้โดยตรง แต่ให้ใช้ผ่าน Proxy Server เท่านั้น ด้วยการเลือกเมนู Firewall (ด้านบน)แล้วเลือกเมนูย่อยด้านซ้ายมือเป็น Outgoing firewall ดังรูป แล้ว disable ในส่วนของ http และ https ดังรูป

รูปที่ 9

11. การใช้งานให้แจ้งผู้ใช้งานทุกคนเซ็ต Browser ให้ใช้งานผ่าน Proxy ทั้งหมดด้วยการคลิ๊กเมนู Tools --> Internet options -->connections --> LAN settings แล้วเลือก User a proxy server for your LAN ดังรูป (ป้อนเป็น IP Address ก็ได้)

รูปที่ 10

12. เมื่อมีการเรียกใช้งาน Internet ก็จะมีการถาม username และรหัสผ่าน ดังรูปที่ 11

รูปที่ 11

13. และต่อจากนี้ไป เมื่อผู้ใช้เรียกใช้งาน http หรือ https ก็จะมีการบันทึกเป็น Logs ลงบน Firewall ทุกครั้งซึ่งสามารถดูได้จากเมนู Log (ด้านบน) และเลือกเมนูย่อยด้านซ้ายมือเป็น Proxy logs แล้วจะได้ผลดังรูปซึ่งจะเห็นว่ามีการบันทึกชื่อของผู้ใช้งานเป็น username, วันเวลาใช้งาน, Source IP และเว็บไซต์ที่เรียกใช้งานเอาไว้

รูปที่ 12