linux Cafe - develop

  • home
  • forums
  • contact us
  • image galleries
Home › Forums › linux - cafedevel › linux - cafedevel - News

สวัสดีปีใหม่ 2553 ครับ วันนี้มาว่ากันเรื่องเก็บ log แบบถูกต้องตาม พ.ร.บ. ปี 50 แบบภาษาชาวบ้านกันดีกว่า

Ton-Or — 1 January, 2010 - 10:10

สวัสดีปีใหม่ 2553 ครับ ขอให้ทุกท่านสุขภาพแข็งแรงการงานมั่นคง มีความสุขสมหวังกันตลอด ปี 2553 ครับ

พอดียุ่งเรื่องทำ OS ให้ผู้ใหญ่ท่านนึง เลยไม่มีเวลาเข้ามา update อะไรเท่าไหร่
เรื่องที่ทำคือ ระบบการ เก็บ log ตาม พ.ร.บ. ปี 50 เรื่องตัว OS ได้ส่งไปแล้วแต่เรามาคุยกันเรื่อง พ.ร.บ. กันดีกว่าเพราะมีหลายประเด็นที่สร้างปัญหาให้ผม ตอนทำงานค่อนข้างมาก เรื่องของเรื่องคือ

http://www.mict.go.th/download/article/article_20090903144852.pdf
หน้าที่ 5 มาตราที่ 11

มาตรา ๑๑ ห้ามมิให้ปฏิเสธการรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน
ในกระบวนการพิจารณาตามกฎหมายทั้งในคดีแพ่ง คดีอาญา หรือคดีอื่นใด เพียงเพราะเหตุว่า
เป็นข้อมูลอิเล็กทรอนิกส์
ในการชั่งน้ำหนักพยานหลักฐานว่าข้อมูลอิเล็กทรอนิกส์จะเชื่อถือได้หรือไม่
เพียงใดนั้นให้พิเคราะห์ถึงความน่าเชื่อถือของลักษณะหรือวิธีการที่ใช้สร้าง เก็บรักษา หรือสื่อสาร
ข้อมูลอิเล็กทรอนิกส์ ลักษณะหรือวิธีการเก็บรักษา ความครบถ้วน และไม่มีการเปลี่ยนแปลงของ
ข้อความลักษณะ หรือวิธีการที่ใช้ในการระบุหรือแสดงตัวผู้ส่งข้อมูล รวมทั้งพฤติการณ์ที่เกี่ยวข้อง
ทั้งปวง

ข้อมูลใน Computer มันสามารถทำแบบนั้นได้ด้วยเหรอ
- ไม่สามารถแก้ไขได้ ???
- ความน่าเชื่อถือ เอามาตรฐานตัวไหนมาวัด ว่าข้อมูลนั้นน่าเชื่อถือแล้ว ???

เอาแค่สองข้อพอสำหรับปัญหาที่สงสัยเดี๋ยวว่ากันเรื่องนี้ต่อ ด้านล่าง

ส่วนการเก็บ ข้อมูล นั้นจริงๆแล้วต้องเก็บอะไรบ้าง อันนี้ขอยก E-mail ที่คุณพี่ ชวลิต(NECTEC) ที่เป็นรุ่นน้องของ อาจารย์ ผม (อ. วชิรา คณะวิศวกรรมศาสตร์ มหาวิทยาลัยธรรมศาสตร์) ที่ช่วยสอบถามต่อมาอีกทีเหตุที่ต้องส่งไปรบกวนถามพี่เขาหลังจากที่ผมที่พูดคุยกับ อาจารย์ผมเองแล้วนั้นคือ ผมได้โทรไปสอบถาม อาจารย์ผม ลองคุยกันว่าวิธีนี้ วิธีนั้นได้ไหม มันมีวิธีที่เหมือนจะได้ คือเข้า รหัสข้อมูล แต่ผมก็อาจจะตอบกวนกลับแกไปว่าทำแบบนี้ แบบนั้นบลาๆ สรุปก็แก้ข้อมูลได้อยู่เดี เลยต้องหากรรมการช่วยอีกแรง  ได้ความว่า

ข้อมูลที่ต้องเก็บนั้น คือ

1. Traffic Log ที่ออกจากองค์กร เก็บจาก Firewall log , Proxy log
ภาษาบ้านๆ ก็การใช้งานการเชื่อมต่อ ไปยัง ip ต่างๆ ทุกการใช้งาน ไม่ใช่แค่เฉพาะ การเข้า web เช่น load bit ไปดึง peer จาก ip ไหนมาก็ต้องมีบันทึกไว้ด้วย ว่าเครื่องเราติดต่อไป ip นั้นเวลาไหน ip ไหนมาดูด file ไปจากเครื่องเราบ้าง หากเกิดกรณี แอนนา 2 ได้ตามตัวกันไม่ยาก :)
 
2. Identify log ที่บ่งบอกว่าใครใช้ IP ไหนในวันเวลาใด เก็บจาก AD log, Authentication log (RADIUS, LDAP), DHCP log
เข้าใจง่ายๆ ก็คือต้องรู้ว่าใครใช้งานตอนนั้น แบบชัดเจน กรณีระบบ ร้าน Internet ส่วนใหญ่จะมีกล้องวงจรปิดกันอยู่แล้ว สามารถ ใช้ระบบนี้ร่วมกับระบบ Server ที่ร้านได้ครับ หรือ จะใช้ระบบสมาชิก เวลาลูกค้าใช้งาน หรือจะเอาเบสิก จะไปใช้ระบบ ปากกาจด ชื่อนามสกุลเลขบัตรกันเลยก็ไม่ว่ากัน
ระบบหอ พักใช้ ที่ใช้ ระบบ Chilli หรือ pppoe ก็แล้วแต่ก็ต้องมีการเก็บข้อมูลของผู้ใช้ เช่นให้ลงทะเบียนเป็นห้อง ชื่อสกุลคนใช้งาน โดยเก็บเลข MAC address ไว้ด้วย ก็ได้
วิธี เก็บอ้างอิงตัวบุคคลให้สามารถระบุ ตัวตนได้ชัดเจน มันมีเป็น 108 วิธีครับ อยู่ที่อุปกรณ์ สถานที่ และการใช้งานของแต่หละท่านแตกต่างกันไป
แต่ให้มองประเด็นที่ว่า สามารถระบุ ตัวตนได้ชัดเจน สามารถยื่นให้ศาลดูได้ใช้เป็นหลักฐานจริงๆ ได้
 
3. Content Service Log ส่วนนี้ขึ้นกับว่าองค์กรมี public service ให้บริการกับสาธารณะหรือไม่ ถ้ามีก็ต้องเก็บตามชนิดของ service เช่น web ก็เป็น access_log เป็นต้น อันนี้ไปดูในหลักเกณฑ์ของการเก็บล๊อกของ ICT ได้
ส่วนข้อนี้ส่วนใหญ่ผู้อ่าน linux.blog มักจะเป็นผู้พัฒนาระบบ gateway เสียส่วนใหญ่จะไม่พูดถึงประเด็น Server มีการเปิด Service ต่างๆ นะครับ ข้อเน้นข้อที่ 1 และข้อที่ 2 แทน
 
มาต่อเรื่อง คำถามที่สงสัยจากด้านบน ขอยกคำตอบของ พี่ ชวลิต มาก่อนนะครับ วิธีการทำให้ข้อมูลน่าเชื่อถือ และแก้ไขไม่ได้นั้นมีแนวทางไหนบ้าง
 

เรื่องของความหน้าเชื่อถือของก็เก็บบันทึก และรักษาข้อมูล log ในส่วนของพรบ. คอม ไม่ได้มีการกล่าวชัดเจนว่าต้องทำอย่างไรในทางเทคนิค แต่พรบ. คอม ระบุุว่าข้อมูลที่เก็บต้องน่าเชื่อถือ และต้องไม่สามารถถูกแก้ไขได้ ในประเด็นนี้ต้องทำ Risk Assessment ครับ ประมาณนี้ครับ

- ความเสี่ยงหลักคือ ความเสี่ยงต่อการถูกแก้ไขข้อมูล Log (Non-reputation Data Risk) 
- มีภัยคุกคามจาก (Threat) 
   * Hacker
   * Malware
- มีช่องโหว่ (Vulnerability)
 * OS/Application ในระบบ Log server
 * Data log จากการ fake log และ compromise log
 * Network/system Access
 
- แนวทางการสร้างความมั่นคงปลอดภัย (Security control )
* ต้อง Hardening ระบบ Log server ที่ติดตั้ง เพื่อป้องกัน hacker/malware ได้แก่
 -- Patch OS /App อย่างสม่ำเสมอ
 -- ปิด service ทั้งหมดที่ไม่มีการใช้งาน เปิดเฉพาะ บริการรับ log
 
* OS/System Access control 
-- หลังการติดตั้งระบบเสร็จ ยกเลิกการใช้งาน root/Administrator และสร้าง user ทดแทนที่เป็น user ที่ต้องถือโดยผู้ประสานงานที่ต้องตั้ง ตามพรบ. และรหัสผ่านของ user ดังกล่าวต้อง secure คือเดาสุ่มยาก และเปลี่ยนทุก 3 เดือน เพื่อป้องกันการ compromise system/data จาก root/Administrator
-- หากเป็นไปได้ควรเข้าใช้งานระบบเฉพาะหน้าเครื่องเท่านั้น แต่หากจะ remote ก็กำหนดให้ใช้ SSH จากเครื่อง user ที่กำหนดเท่านั้น
 
* Data Log Access Control
-- ข้อมูลของ log ควรใช้ tcp แทน udp ในการรับส่ง เพื่อลดความเสี่ยงต่อการ fake log จาก client
-- ต้องกำหนดเฉพาะ client ที่สามารถรับ log ได้ผ่าน ACL ของ log server เช่น iptables เพื่อลดความเสี่ยงต่อการ fake log จาก client
-- File Permission ของ datalog ต้องให้ user เฉพาะที่ตั้งไว้เท่านั้น เพื่อป้องกันการแก้ไขข้อมูล log
-- ต้องเข้ารหัสข้อมูล log ก่อนเก็บเข้าสู่สื่อบันทึก เช่น DVD, Tape เพื่อป้องกันการแก้ไขข้อมูล log
-- (optional) ติดตั้งโปรแกรม file integrity checker เพื่อกำหนดข้อมูล log ให้ append only เพื่อเฝ้าระวังการแก้ไขข้อมูล log
-- (optional) ใน Log software บางตัวมี feature ของการ encryption ระหว่าง client - server ก็ให้ใช้งาน เพื่อป้องกันความเสี่ยงต่อการ fake log จาก client แต่ว่าในบาง client ไม่ support encryption เช่น network device 
-- (optional) ใน Log software บางตัวมี feature ของการเก็บ log แบบ binary ก็ให้ใช้งานแทนการเก็บ log แบบ textfile เพื่อป้องกันการแก้ไขข้อมูล
 
* Network Access control
-- กำหนด rule firewall ให้สอดคล้องกับการรับส่ง log ว่าเป็นเฉพาะที่กำหนดเท่านั้นเพื่อป้องกันการ fake log และป้องกันการ hack
-- ต้อง set port security ใน switch ที่เชื่อมต่อกับ client เพื่อป้องกันการ fake log  และป้องกันการ hack
-- ติดตั้งระบบ monitoring เช่น IPS, IDS แล้วปรับปรุง rule ให้เหมาะสมเพื่อป้องกันการ hack
 
    Security control ข้างต้นเป็น mandatory คือสิ่งที่ต้องทำครับ (ยกเว้น optional) แต่อย่างไรก็ตาม ขึ้นกับองค์กรว่ามี Infra. และ security มากน้อยเพียงใด เช่น นโยบายการใช้งานเครื่อข่ายขององค์กร การติดตั้ง CCTV เป็นต้น 
 
   ****** อย่างไรก็ตามการใช้งาน security control ต่างๆ  ต้องตอบโจทย์กับเจ้าหน้าที่ตำรวจ ณ. ตอนที่เข้ามาขอข้อมูลให้ได้ว่า ข้อมูล log ที่ส่งให้กับศาล มีความน่าเชื่อถือ *****
 

เดี๋ยวมาเขียนต่อครับ หลังได้คำตอบจากพี่ แล้วมันก็ยังมีข้อสงสัยอยู่ เดี๋ยวจะแยกประเด็นออกมาแล้วจะส่งกลับไปถามพี่เขาอีกที

 

 

 

  • linux - cafedevel - News
  • 2588 reads
nunfather — 18 November, 2010 - 20:59

ช่วยหน่อยนะครับ มือใหม่กำลังจะทำเรื่องนี้พอดีเลยครับ
http://www.linuxthai.org/forum/index.php?topic=17007.0

ผมได้ไปถามไว้ที่ linuxthai แล้วหนะครับ

Search

Navigation

  • PayPal Donations
  • Forums
  • Recent posts
  • Feed aggregator
  • Image galleries

User login

What is OpenID?
  • Log in using OpenID
  • Cancel OpenID login
  • Create new account
  • Request new password

Popular content

Today's:

  • How to : การติดตั้ง CentOS 5.3 เพื่อรองรับ ระบบ multiwan
  • How to : ClarkConnect 4.3 + Kernel-2.6.25 + iptables-1.4.0 + L7-filter-2.21
  • Download : Frox for ClarkConnect 4.X Update Full Install
  • How to : FreeBSD PPPoE
  • สวัสดีปีใหม่ 2553 ครับ วันนี้มาว่ากันเรื่องเก็บ log แบบถูกต้องตาม พ.ร.บ. ปี 50 แบบภาษาชาวบ้านกันดีกว่า

Last viewed:

  • How to : Disable Autorun in Windows XP SP3
  • Coova chilli + Free radius 1 + php + Mysql 5.1 + Apache 1.3.x addon for ipcop
  • How to : วิธีนำ ระบบ Firewall ของ ClarkConnect 4.3 ติดตั้งลงใน CentOS 5.3
  • Howto : How do you disable Compressed Old Files
  • How to : uncompress old files

Amount $
  • home
  • forums
  • contact us
  • image galleries

Copyright © 2008 - 2012 linux Cafe - develop. All rights reserved.
Phone 087-502-6444
Hosting Support by CyberBeing.biz
Theme Base On Deco from Drupal themes