ตัวอย่างการติดตั้งใช้งาน Endian Firewall Community 2.1.2 เพื่อเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน ตาม พรบ.2550 (บางส่วน) Endian Firewall Community คืออะไร Endian Firewall Community
เพื่อเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน ตาม พรบ.2550 (บางส่วน)
เป็นดิสตริบิวชันความปลอดภัยของระบบปฏิบัติการลินุกซ์แบบ "turn-key" ที่ turn ทุกระบบให้เป็น full featured security appliance ด้วยฟังก์ชันของ Unified Threat Management (UTM) ซอฟต์แวร์ตัวนี้มีการลงนามเป็น "usability in mind" และสามารถติดตั้ง ใช้งาน และจัดการได้ง่ายมาก และมีความยืดหยุ่น คุณลักษณะประกอบด้วย stateful packet inspection firewall, application-level proxies สำหรับโปรโตคอลต่าง ๆ (HTTP, FTP, POP3, SMTP) ที่สนับสนุนแอนตี้ไวรัส, มีการป้องกันไวรัสและการกรองสแปมสำหรับทราฟฟิกที่เป็นอีเมล์ (POP และ SMTP), มีการกรองเนื้อหาของทราฟฟิกเว็บ, และ "hassel free" VPN solution (based on OpenVPN) ข้อดีหลักของ Endian Firewall คือเป็น pure "Open Source" solution ที่สนับสนุนโดย Edian ความเกี่ยวพันกับ พรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ใน หมวด 2 (พนักงานเจ้าหน้าที่) มาตรา 26 ได้กล่าวไว้ดังนี้ มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการ ผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกินเก้าสิบวันแต่ไม่เกินหนึ่งปีเป็นกรณีพิเศษเฉพาะราย และเฉพาะคราวก็ได้ ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ นับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่าเก้าสิบวันนับตั้งแต่การใช้บริการสิ้นสุดลง ความในวรรคหนึ่งจะใช้กับผู้ให้บริการประเภทใด อย่างไร และเมื่อใด ให้เป็นไปตามที่รัฐมนตรี ประกาศในราชกิจจานุเบกษา ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท ซึ่ง พรบ. ดังกล่าวจะบังคับใช้ในวันที่ 1 สิงหาคม 2551 ก็จะส่งผลกระทบต่อทุกองค์กรที่จะต้องจัดหาระบบเก็บรักษาข้อมูลจรจรคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน ในปัจจุบันมีผลิตภัณฑ์ประเภทนี้ออกมาขายกันจำนวนมากแต่ก็มีราคาแพง สำหรับองค์กรที่มีทุนน้อยคงจะไม่ง่ายนักที่จะต้องจัดสรรงบประมาณในเรื่องนี้ ผมเองได้ทดลองใช้ Endian Firewall Community มาบ้างและเห็นว่ามีฟังก์ชันการเก็บ log ของการจราจรคอมพิวเตอร์อยู่บ้าง ก็คิดว่าน่าจะสามารถนำมาประยุกต์ใช้งานเพื่อแก้ปัญหาดังกล่าวได้ แม้ว่าฟังก์ชันการใช้งานอาจจะไม่สะดวกเท่ากับผลิตภัณฑ์ที่มีขายกันทั่วไป (เช่นการทำ Report ของ Log) แต่คงจะเป็นทางออกได้สำหรับบางองค์กรเช่นองค์กรขนาดเล็กเป็นต้น รูปแบบการใช้งานโดยทั่วไปของ Endian Firewall Community ลักษณะการใช้งานทางเครือข่ายของ Endian Firewall ถ้าใช้เต็มระบบแล้วจะเป็นดังรูปที่ 1 นั่นคือจะประกอบด้วยเครือข่าย 4 เครือข่ายคือ : 1. 2. 3. 4.
RED : ซึ่งใช้สำหรับเชื่อมต่อกับเครือข่ายภายนอก (untrusted network หรือ Internet) GREEN : ซึ่งใช้เชื่อมต่อกับเครือข่ายภายใน (trusted network หรือ Internal) ORANGE : ซึ่งใช้เชื่อมต่อกับเครือข่ายที่เป็นพื้นที่ของ Server (DMZ) BLUE : ซึ่งใช้เชื่อมต่อกับเครือข่ายที่เป็นระบบไร้สาย (Access Point)
รูปที่ 1 รูปแบบเครือข่ายการใช้งานแบบเต็มระบบของ Endian Firewall แต่ในการใช้งานโดยทั่วไปอาจจะไม่เชื่อมต่อเครือข่ายทั้ง 4 เครือข่ายตามรูปนี้ก็ได้ครับ อาจจะมีแค่ 2 เครือข่ายคือ External กับ Internel หรือ 3 เครือข่ายคือ External, Internal และ DMZ ซึ่งก็ขึ้นอยู่กับรูปแบบการเชื่อมต่อของแต่ละองค์กรนะครับ การติดตั้ง Endian Firewall Community 2 สิ่งที่คุณต้องมีดังนี้ : • • • •
แผ่น CD ที่ใช้สำหรับ burn ISO ของ Endian Firewall Community 2 PC หรือ Server ที่จะใช้ติดตั้ง Endian Firewall Community 2 PC อีกเครื่องที่ใช้สำหรับคอนฟิก Endian Firewall Community 2 Common sense
ขั้นตอนการติดตั้งดังนี้ครับ : 1. 2. 3. 4.
5.
ดาวน์โหลด ISO Image จาก http://www.endian.it/en/community/download/iso/ เบิร์น ISO Image ดังกล่าวลงแผ่น CD ว่าง ด้วย CD burnning software อย่าง Nero นำแผ่น CD ใส่เครื่อง PC ที่ต้องการจะติดตั้ง โดยต้องเซ็ตให้เครื่อง PC บู๊ตจาก CD-ROM Drive เป็นอันดับแรก ตอบคำถามทุกคำถาม และต้องแน่ใจว่าคุณมีการระบุและจด IP Address ของ Green Interface และรหัสผ่าน การติดตั้งจะต่างจาก IPCop (Linux secure distribution อีกตัวที่คล้ายกัน) ที่ทุกอย่างไม่ถูกกำหนดในระหว่างการติดตั้ง แต่ไม่ต้องกังวลนะ คุณสามารถเปลี่ยนแปลงทุกสิ่งทุกอย่างใน web-base management หลังจากคุณตอบคำถามทุกคำถามแล้วเครื่อง PC ก็จะ reboot และคุณจะพบกับ linux login ตรงนี้เองที่คุณจะต้องใช้ PC เครื่องที่สอง เชื่อมต่อ PC เครื่องที่สองกับ EFW PC ด้วยการใช้สาย cross-over cable และเปิด Browser ขึ้นมา หรืออาจจะใช้ ethernet switch ด้วยการต่อสายตรง (straight ethernet cable) ก็ได้
6.
7. 8. 9.
เปิด command prompt และ ping ไปยัง IP Address ของ GREEN Interface ที่ได้กำหนดไว้ตอนติดตั้ง ถ้าไม่สามารถ ping ได้แสดงว่ามีการกำหนด IP Address ให้กับอีก Interface card สำหรับผู้ที่คุ้นเคยกับ Linux ให้ลืมเกี่ยวกับการใช้งาน ifconfig ในการกำหนดว่าเป็นการ์ดไหน เพราะ EFW จะใช้ br0 (bridge) สำหรับ Green interface แต่คุณไม่สามารถเห็นได้ด้วยการใช้ command line ว่าเชื่อมต่อกับการ์ดไหน ดังนั้นจะต้องพยายามทดสอบดูว่าเป็นการ์ดไหนด้วยการ ping ได้สำเร็จ ตอนนี้ให้เปิด Internet Browser ของคุณไปที่ URL : http://xxx.xxx.xxx.xxx หรืออีกอันหนึ่งก็ได้คือ https://xxx.xxx.xxx.xxx:10443 โดยที่ x หมายถึง IP Address ของ Green Interface ที่คุณสามารถ ping ได้ default username คือ admin ส่วนรหัสผ่านเป็นค่าที่คุณได้กำหนดในช่วงการติดตั้ง (สำหรับผู้ที่จะเข้าไปยัง command prompt ของเครื่อง ให้ใช้ username เป็น root และรหัสผ่านเป็น endian) ไปที่ Network Configuration ของเมนูด้านซ้ายมือ และทำตามโปรเซสตามที่คุณได้เลือก adapter อันไหนที่ต้องการจะกำหนดค่า
เราจะเก็บรักษาข้อมูลจราจรคอมเตอร์ส่วนไหน การใช้งานในองค์กรส่วนใหญ่จะเป็นการเรียกใช้งานเว็บไซต์ (http หรือ https) แม้แต่การใช้งานอีเมล์หรือการใช้งานโปรแกรมประเภท Instant Message (IM) ส่วนใหญ่แล้วก็จะรันบน http ฉะนั้นในที่นี้เราก็จะเน้นการเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ที่เป็น http เป็นหลัก ส่วนการจราจรอื่น ขั้นตอนการดำเนินการดังนี้ : 1. 2.
เปิด Browser ไปที่ https://xxx.xxx.xxx.xxx:10443 แล้วป้อน usernam และรหัสผ่านของ Admin ที่เมนู Proxy เลือกเมนูย่อยเป็น HTTP โดยให้คลิ๊ก Enabled on Green (แต่ห้ามเลือก Transparent on Green เพราะในกรณีที่เราจะใช้การ Authentication ระบบจะไม่ยอมรับ) ดังรูปที่ 2
รูปที่ 2 3. 4.
ป้อนค่าต่าง ๆ คล้ายกับรูปที่ 2 เลื่อนหน้าจอลงล่างคลิ๊กที่คำว่า Log setting ให้ active ที่ Log enabled ส่วนค่าอื่น ๆ เลือกตามความต้องการ
รูปที่ 3 5.
คลิ๊กที่ Cache management เลือกค่าต่าง ๆ ให้เหมาะสมเช่น Memory cache size : ไม่ควรมากกว่า 50% ของ RAM ที่ติดตั้งในเครื่อง Harddisk cache size : ถ้าคุณต้องการให้ Squid ใช้ทั้งหมดของ harddisk ให้เอาขนาด harddisk จริงลบด้วย 20% ของขนาด harddisk จริง
รูปที่ 4 6.
กำหนดว่าต้องการจะให้เครื่องที่มี IP Address ของ Network ไหนบ้างมาใช้ Proxy ด้วยการคลิ๊กปุ่ม Network based access control และป้อนค่าที่ต้องการ ส่วนค่าอื่น ๆ ก็ป้อนตามต้องการนะครับ
รูปที่ 5 7.
กำหนดให้ผู้ใช้งาน Proxy ต้องมีการป้อน username ก่อนการใช้งานด้วยการคลิ๊กที่ส่วนของ Authentication method และเลือกชนิดของการ Authentication ตามที่มีใช้งานจริง สำหรับของผู้เขียนใช้เป็น Local นั่นคือจะต้องป้อน username ให้กับผู้ใช้งานทุกคนบนเครื่อง EFW เครื่องนี้
รูปที่ 6 8.
ป้อน username ด้วยการคลิ๊กปุ่ม User management ของส่วน Local user authentication แล้วป้อน username ตามต้องการดังรูป
รูปที่ 7 9.
ปรับค่าการเก็บ Log ให้เป็น 90 วันตาม พรบ. ด้วยการเลือกเมนู Logs (ด้านบน) และเลือกเมนูย่อยด้านซ้ายมือเป็น Log settings แล้วปรับค่าของ keep summaries for เป็น 90 วันดังรูป ส่วนค่าอื่น ๆ ก็ปรับตามความต้องการ พร้อมบันทึกค่า
รูปที่ 8 10.
ห้ามไม่ได้ผู้ใช้งานเรียก http และ https ได้โดยตรง แต่ให้ใช้ผ่าน Proxy Server เท่านั้น ด้วยการเลือกเมนู Firewall (ด้านบน) แล้วเลือกเมนูย่อยด้านซ้ายมือเป็น Outgoing firewall ดังรูป แล้ว disable ในส่วนของ http และ https ดังรูป
รูปที่ 9 11.
การใช้งานให้แจ้งผู้ใช้งานทุกคนเซ็ต Browser ให้ใช้งานผ่าน Proxy ทั้งหมดด้วยการคลิ๊กเมนู Tools --> Internet options --> connections --> LAN settings แล้วเลือก User a proxy server for your LAN ดังรูป (ป้อนเป็น IP Address ก็ได้)
รูปที่ 10 12.
เมื่อมีการเรียกใช้งาน Internet ก็จะมีการถาม username และรหัสผ่าน ดังรูปที่ 11
รูปที่ 11 13.
และต่อจากนี้ไป เมื่อผู้ใช้เรียกใช้งาน http หรือ https ก็จะมีการบันทึกเป็น Logs ลงบน Firewall ทุกครั้ง ซึ่งสามารถดูได้จากเมนู Log (ด้านบน) และเลือกเมนูย่อยด้านซ้ายมือเป็น Proxy logs แล้วจะได้ผลดังรูป ซึ่งจะเห็นว่ามีการบันทึกชื่อของผู้ใช้งานเป็น username, วันเวลาใช้งาน, Source IP และเว็บไซต์ที่เรียกใช้งานเอาไว้
รูปที่ 12