Centralized Log Server ระบบจัดเก็บข้อมูลจราจรคอมพิวเตอร์แบบรวมศูนย์

งานนำเสนอเรื่อง: "Centralized Log Server ระบบจัดเก็บข้อมูลจราจรคอมพิวเตอร์แบบรวมศูนย์"— ใบสำเนางานนำเสนอ:

1 Centralized Log Server ระบบจัดเก็บข้อมูลจราจรคอมพิวเตอร์แบบรวมศูนย์
นายพงษ์รัตน์ สุนทรา นายภครัช เสนไกรกุล

2 อาจารย์ที่ปรึกษาโครงการ อาจารย์ ดร. กิตติ์ เธียรธโนปจัย
อาจารย์ ดร. กิตติ์ เธียรธโนปจัย อาจารย์ร่วมประเมินโครงการ อาจารย์ ดร. ชัชชัย คุณบัว ผู้ช่วยศาสตราจารย์ อนัตต์ เจ่าสกุล

3 หัวข้อที่จะนำเสนอ แนะนำโครงการ ภาพรวมของระบบ การพัฒนาระบบ
สิ่งที่จะทำการพัฒนาต่อ คำถาม-คำตอบ

4 แนะนำโครงการ Centralized Log Server
ทำหน้าที่จัดเก็บข้อมูลจราจรคอมพิวเตอร์จากเครื่องแม่ข่าย และอุปกรณ์เครือข่าย เก็บรักษาข้อมูลได้อย่างครบถ้วนถูกต้อง ป้องกันการเข้าถึง และ การแก้ไขได้ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550

5 ภาพรวมของระบบ

6 การพัฒนาระบบ การจัดเก็บข้อมูลจราจรคอมพิวเตอร์
การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์

7 การจัดเก็บข้อมูลจราจรคอมพิวเตอร์
ซอฟต์แวร์ที่ใช้ในการจัดเก็บข้อมูลจราจรคอมพิวเตอร์ RSYSLOG นำมาประยุกต์ใช้งานได้ง่าย เป็น default syslog daemon ใน Fedora และ Debian Non-commercial SYSLOG-NG สร้างโดย Balabit It Security. มีรูปแบบของ configuration file ที่ง่าย มีทั้งแบบ commercial และ non-commercial

8 การจัดเก็บข้อมูลจราจรคอมพิวเตอร์(ต่อ)
ตัวอย่างข้อมูลจราจรคอมพิวเตอร์ที่ทำการจัดเก็บ

9 การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง
สาเหตุที่ต้องทำการเข้ารหัส ข้อมูลจราจรที่ถูกส่งจะเป็น clear-text สามารถใช้ sniffer ดักจับได้ ซอฟต์แวร์ที่ใช้ Openssl Stunnel

10 การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง(ต่อ)

11 การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง(ต่อ)
การดักจับข้อมูลจราจรคอมพิวเตอร์ก่อนทำการเข้ารหัส

12 การเข้ารหัสข้อมูลจราจรคอมพิวเตอร์ในระหว่างการส่ง(ต่อ)
การดักจับข้อมูลจราจรคอมพิวเตอร์หลังทำการเข้ารหัส

13 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข
Nilfs2 The New Implementation of log-structured file system Check Point สามารถ กู้ไฟล์ที่ถูกเขียนทับ หรือ ทำลายทิ้ง กลับมาที่check point ได้

14 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ)
ทำการ mount nilfs2 ที่ /var/log

15 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ)
ใช้คำสั่ง lscp เพื่อตรวจดู Check point

16 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ)
เปิด file var/log/all.log เพื่อที่จะทำการแก้ไข log

17 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ)
แก้ไข all.log โดยการลบบรรทัดแรกทิ้ง

18 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ)
ใช้คำสั่ง lscp อีกครั้งจะเห็นได้ว่ามีการสร้าง check point มาถึงลำดับที่ 79 แล้ว

19 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ)
ใช้คำสั่ง chcp ss 37 เพื่อที่จะทำการ rollback ไปที่ check point ที่ 37

20 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ)
ทำการ mount data ที่ check point 37 ไปที่ /nilfs-cp

21 การกู้คืนข้อมูลจราจรคอมพิวเตอร์ที่ถูกแก้ไข(ต่อ)
ทำการตรวจสอบไฟล์ all.log ที่อยู่ใน /nilfs-cp จะเห็นได้ว่ามีข้อมูลที่ลบไปในขั้นตอนก่อนหน้านี้

22 การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์
Data Hashing การทำ Data hashing เพื่อตรวจสอบความถูกต้องของข้อมูล เพื่อรักษาความน่าเชื่อถือของข้อมูล SHA1 เป็น Algorithm ในการทำ Data Hashing ให้กับ Log File โดยให้ค่า Hash value เท่ากับ 160 bits

23 การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์(ต่อ)
$ sha1sum access.log > access.sha1 $ sha1sum –c access.sha1

24 การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์(ต่อ)
ทดลองแก้ไข Log File โดยการลบค่าใน access.log

25 การตรวจสอบความถูกต้องของข้อมูลจราจรคอมพิวเตอร์(ต่อ)
ตรวจสอบความถูกต้องของ access.log $ sha1sum –c access.sha1 ผลลัพธ์ที่ได้ คือ access.log: FAILED sha1sum: WARNING: 1 of 1 computed checksum did NOT match

26 สิ่งที่จะทำการพัฒนาต่อ
Web-based Security System Backup System Connector Collector Implement to Product

27 คำถาม-คำตอบ