การพฒนาระบบเกบขอมลการจราจรบนระบบเครอขาย (สาหรบรานอนเตอรเนต)

Log System (For Internet café)

ชยนต เชนพน ChayunChanpoon

สารนพนธฉบบนเปนสวนหนงของการศกษา ตามหลกสตรวทยาศาสตรมหาบณฑต

สาขาวชาเทคโนโลยสารสนเทศ บณฑตวทยาลย มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2555

I

หวขอสารนพนธ การพฒนาระบบเกบขอมลการจราจรบนระบบเครอขาย (สาหรบรานอนเตอรเนต)

นกศกษา นายชยนต เชนพน รหสนกศกษา 5117620017 ปรญญา วทยาศาสตรมหาบณฑต สาขาวชา เทคโนโลยสารสนเทศ พ.ศ. 2555 อาจารยผควบคมสารนพนธ ดร.วรพล ลลาเกยรตสกล

บทคดยอ

สารนพนธนเปนการนาเสนอ การพฒนาระบบเกบขอมลการจราจรบนระบบเครอขาย (สาหรบรานอนเทอรเนต) คอ เกบขอมลการใชเครอขายและขอมลผใชเพอการพสจนตวตนสาหรบเปนหลกฐานทางกฎหมายทสอดคลอง พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550 ในสวนรานอนเทอรเนตคาเฟ โดยมความสามารถในการควบคมแบนวธผใชงานอนเทอรเนต ใหมการใชงานไดเปนอยางด ลดปญหาตางๆในใชงาน เชนแบนวธเตม และจดทาเกยวกบระบบการจดเกบลอกในการใชงานผานหนาเวบอนเตอรเฟสเพอใหผใชงานสามารถใชงานไดอยางสะดวก

II

กตตกรรมประกาศ

สารนพนธฉบบนสาเรจไดจากแนวความคดและการแนะนาการดาเนนงานโครงงาน องคความรตางๆ จากอาจารย ดร.วรพล ลลาเกยรตสกล อาจารยทปรกษาทไดเสยสละเวลาใหคาปรกษาตรวจสอบขอบกพรองของระบบใหมความสมบรณ อกทงเพอๆทคอยชวยเหลอ สนบสนนการจดทาสารนพนธฉบบน ขอกราบขอพระคณ คณาจารยทกทานทชวยประสทธประสาทวชาความรจนสามารถจดทาสารนพนธใหสาเรจไดดวยด ทายนขอกราบพระคณบดามารดาทคอยใหกาลงใจเสมอ

ชยนต เชนพน

III

สารบญ หนา บทคดยอภาษาไทย I กตตกรรมประกาศ II สารบญ III สารบญตาราง V สารบญรป VI บทท 1 บทนา 1

1.1 กลาวนา 1 1.2 ความเปนมาและปญหาสาคญ 1 1.3 จดประสงคของโครงงาน 1 1.4 ขอบเขตของโครงงาน 1 1.5 ประโยชนทคาดวาจะไดรบ 2 1.6 ขนตอนการศกษาและทดลอง 2

บทท 2 ทฤษฎทเกยวของและการออกแบบ 3 2.1 กลาวนา 3 2.2 พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 3 2.3 การจดเกบขอมลลอก 4 2.4 Network Time Protocol (NTP) 6 2.5Syslog-ng 10 2.6การเขารหสขอมล 12 2.7 ไฟรวอลล(Firewall) 15 2.8 MySQL (มายเอสควแอล) 22 2.9 ซอฟตแวรทเกยวของ 28

บทท 3 การออกแบบระบบงาน 33 3.1 การออกแบบระบบงาน. 33 3.2 การออกแบบและตดตงระบบรานอนเตอรเนตคาเฟทม Gateway Server 35 3.3 องคประกอบของ Gateway Server 35 3.4 การตดตงระบบ CentOS 5.3 36 3.5 การออกแบบหนา Web manage เพอสามารถ configการใชงานในดานตางๆ 38

IV

สารบญ (ตอ) หนา

บทท 4 ผลการทดลองโครงงาน 39

4.1 ระบบเครอขายทใชในโครงงาน 39 4.2 รายละเอยดในการทดลอง 39 4.3 รายละเอยดในการใชงานหนา Web Manage 41 4.4 การ Manage User 42 4.5 การทดสอบการใชงานอนเตอรเนตของ User ในระบบ 44 4.6 การจดการแกไขรายละเอยด user ผานหนาเวบไซต 45 4.7 การทดสอบการใชงานระบบจดเกบ Log 46

บทท 5 สรปผลโครงงาน 47

5.1 กลาวนา 47 5.2 ปญหาและอปสรรคในการพฒนาระบบ 47 5.3 แนวทางในการศกษาตอ 47

เอกสารอางอง 48

ภาคผนวก 49 ภาคผนวก ก คาสง และคอนฟกตาง ๆ ในการทาสารนพนธ 49 ภาคผนวก ข พระราชบญญตวาดวยการกระทาความคดเกยวกบคอมพวเตอร 61 พ.ศ ๒๕๕o

V

สารบญตาราง

หนา

ตารางท 2.1 แสดงฐานเวลา NTP Server ในประเทศไทย 8

ตารางท 2.2 syslog-ng command line options 11

ตารางท 2.3 การพฒนาเอสเอสเอลและทเอลเอส 14

ตารางท 3.1 ตวอยางฐานขอมล radcheck 37

VI

สารบญรป

หนา

รปท 2.1 แสดงการตรวจสอบความถกตองของขอมล 5 รปท 2.2 ลาดบชนการเทยบเวลากบเวลามาตรฐานสากล Stratum 0 8

รปท 2.3 แสดงโปรโตคอลและพอรตตางๆ 19

รปท 2.4 แสดงการดมลตเพลคซง 20

รปท 2.5 แสดง ทซพและ ยดพ เฮดเดอร 20

รปท 2.6 แสดงซอคเกตและเนทเวรคโพรเซส 21

รปท 3.1 Network Diagram 33 รปท 3.2 แสดงระบบการใชงานในรานอนเทอรเนตคาเฟ 34 รปท 3.3 แสดงแบบจาลอง Gateway Server บนโปรแกรม Vmware 35 รปท 3.4 หนา Web manage 38 รปท 3.5 หนาWeb manage สวนของการสรางผใชบรการ Internet Café 38 รปท 4.1 แสดงหนา User login 39 รปท 4.2 หนาเวบ User logout 40 รปท 4.3 หนาเวปแจงหมดเวลาใชงาน 41 รปท 4.4 หนาจอ login เขาใชระบบ Web management 41 รปท 4.5 หนาจอในการ Manage user 42 รปท 4.6 แสดงหนาจอในการเพม user เพอเขาใชงานในระบบ 43 รปท 4.7 ทดสอบ authenดวย user ทเราสรางขนมา 43 รปท 4.8 ทดสอบแบนวธทกาหนดใหกบ user 44 รปท 4.9 แสดง user ทงหมดในระบบ 45 รปท 4.10 แสดง user ออนไลนในระบบ 45 รปท 4.11 ตวอยางเรยกด log 46 รปท 4.12 ตวอยางทา MD5 46 รปท ก.1 การตดตง package chillispot-1.1.0.i386.rpm 50 รปท ก.2 การแกไขไฟล /etc/sysconfig/network-scripts/ifcfg-eth1 51 รปท ก.3 การสรางไฟล /var/www/html/welcome.html 53 รปท ก.4 การสงให service chilli restart 53 รปท ก.5 แสดง interface tun0 เปน 10.0.1.1 54 รปท ก.6 แสดงการสราง password ใหกบ admin ของ mysql 55 รปท ก.7 การตดตง package freeradius-server 56

VII

สารบญรป (ตอ)

หนา

รปท ก.8 การเพม modules sqlcounter 57 รปท ก.9 การเพม noresetcounter 57 รปท ก.10 การสรางไฟล script ชอ /etc/raddb/log-gateway.sh 58 รปท ก.11 การแกไขไฟล /etc/squid/squid.conf 58 รปท ก.12 การกาหนด transparent proxy 59 รปท ก.13 การแกไขไฟล /etc/ntp.conf 59 รปท ก.14 เพม rule ใสในไฟล /etc/firewall.iptables 60

บทท 1 บทนา

1.1 กลาวนา

ปจจบนถอเปนยคแหงขอมลสารสนเทศและการตดตอสอสารผานระบบคอมพวเตอรหรอระบบอเลกทรอนกสไดเขามามบทบาทและทวความสาคญเพมขนตามลาดบตอระบบเศรษฐกจและคณภาพชวตของประชาชนใน ประเทศไทยแตในขณะเดยวกนการกระทาความผดเกยวกบคอมพวเตอรกมแนวโนมขยายวงกวาง และทวความรนแรงเพมมากขนดวยดงนนขอมลจราจรทางคอมพวเตอรนบเปนพยานหลกฐานสาคญ ในการดาเนนคดอนเปนประโยชนอยางยงตอการสบสวนสอบสวนเพอนาตวผกระทาความผดมาลงโทษในพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอรจงสมควรกาหนดใหผใหบรการม หนาทในการเกบรกษาขอมลจราจรทางคอมพวเตอรดงกลาว

1.2 ความเปนมาและปญหาสาคญ

เพอพฒนาระบบเกบลอกการใชงานระบบเครอขายในรานอนเทอรเนตคาเฟใหสามารถสอดคลองกบ พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอรตามมาตรา 26 โดยใชซอฟตแวรโอเพนซอรส(Open Souce) ใหทางานรวมกนระหวางLinux Centos, Syslog-ng, MySQLและการพสจนยนยนตวตนแลวนาผลลพธทไดมาแสดงผานเวบแอพพลเคชนมกระบวนการหมนเวยนและการบบอดขอมลลอกใหไดตามระยะเวลาไมนอยกวาเกาสบวน

1.3 จดประสงคของโครงงาน

1.3.1 เพอศกษาใหเขาใจหลกการการเกบลอกของผใชงานในรานอนทอรเนตคาเฟใหสอดคลองกบ พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร 2550

1.3.2 เพอศกษาการใชซอฟตแวรโอเพนซอรส 1.3.3 เพอศกษาและเปนแนวทางในการใชซอรแวรโอเพนซอรสอยางจรงจงและ

ตอเนอง

1.4 ขอบเขตของโครงงาน 1.4.1 โครงงาน1

1.4.1.1 บนทกขอมลการจราจรบนเครอขาย

1.4.1.2 ทาการยนยนตวบคคล

1.4.1.3 ออกแบบระบบการจดเกบลอกโดยใชซอฟแวรทเปนโอเพนซอรสทงหมดเพอเปนการลดตนทนในการการบนทกขอมลการจราจรบนเครอขายน

2

1.4.2 โครงงาน 2 1.4.2.1 ศกษาและสรางในสวนของการเกบขอมลการจราจรทางคอมพวเตอร

ขอมลในการเขาใชงานในระบบอนเทอรเนต 1.4.2.2 ศกษาและสรางในสวนของการพสจนตวตนการเขาใชงานในระบบ

อนเทอรเนต สามารถจดการขอมลของผใชงาน จดการตรวจสอบความถกตองในการยนยนตวตนของผใชบรการ โดยสรางฐานขอมลของผใชงานในระบบเครอขาย การเกบขอมลของผใชงาน สามารถเพมขอมลของผใชงาน ผานทางหนา Web interface ได

1.4.2.3 มระบบการรกษาความปลอดภยขอมล โดยในทนใชการทา Data Hashing เพอรกษาความนาเชอถอของขอมลการจราจรทางคอมพวเตอร

1.5 ประโยชนทคาดวาจะไดรบ 1.5.1 สามารถพสจนตวตนของผใชงานอนเทอรเนตได 1.5.2 สามารถควบคมการใชงาน ควบคมแบนวธของอนเทอรเนตได 1.5.3 มความเขาใจระบบปฏบตการ Linux เพมมากขน 1.5.4 มความเขาเกยวกบการเกบขอมลการจราจรทางคอมพวเตอร ของการใชงาน

อนเทอรเนต

1.6 ขนตอนการศกษาและทดลอง 1.6.1 ศกษาพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.

2550 1.6.2 ศกษาและวเคราะหทฤษฏทเกยวของ 1.6.3 ศกษาซอฟตแวรทนามาใชในการทดสอบ 1.6.4 ออกแบบและตดตงระบบงาน 1.6.5 ทดสอบระบบงาน 1.6.6 สรปผลการทดลอง 1.6.7 จดทาเอกสารและสรปผลการดาเนนงาน

บทท 2 พนฐานและทฤษฏทเกยวของ

2.1 กลาวนา

พนฐานและทฤษฏทเกยวของกบโครงงานน อธบายถงเรองระบบเครอขายคอมพวเตอรการเกบขอมลจราจรทางคอมพวเตอรใหสอดคลองกบพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอรพ.ศ.2550, การจดการในเรองแบนวธการใชอนเทอรเนต, สามารถระบตวตนผใชงานอนเทอรเนตได โดยสามารถควบคมบรหารผานหนาเวปไซตได เหมาะสาหรบการใชงานในรานอนเทอรเนตคาเฟ คอสามารถทาเปนระบบ Internet Billing (การคดเงนคาใชบรการอนเทอรเนต) 2.2 พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550[1]

มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวาเกาสบ

วนนบแตวนทขอมลนนเขาสระบบคอมพวเตอร แตในกรณจาเปนพนกงานเจาหนาทจะสงให

ผใหบรการผใดเกบรกษาขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวนแตไมเกนหนงปเปน

กรณพเศษเฉพาะรายและเฉพาะคราวกได ผใหบรการจะตองเกบรกษาขอมลของผใชบรการ

เทาทจาเปนเพอใหสามารถระบตวผใชบรการนบตงแตเรมใชบรการและตองเกบรกษาไวเปน

เวลาไมนอยกวาเกาสบวนนบตงแตการใชบรการสนสดลง

ประเภทผใหบรการในการเกบขอมลการจราจรคอมพวเตอร ซงในโครงงานนสอดคลอง

กบพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550 คอ การเกบ

ขอมลจราจรคอมพวเตอรของผใหบรการประเภท 5(1) ง. ผใหบรการรานอนเตอรเนต 2.2.1 ผใหบรการประเภท 5(1) ง. ผใหบรการรานอนเตอรเนต ประกอบดวย

ผใหบรการรานอนเทอรเนต (Internet Café)

ผใหบรการรานเกมออนไลน (Game Online)

ผใหบรการรานอนเทอรเนตจะตองมการจดเกบขอมลของผใชบรการเชน

1) ขอมลทสามารถระบตวบคคล

2) เวลาของการเขาใชและเลกใชบรการ

3) หมายเลขเครองทใชไอพ แอดเดสIP Address (Internet Protocol

Address)

บญชผใชทลอกอนเขาใชงานภายในรานทงผานระบบปฏบตการหรอผาน Proxy Server

และบญชผใชนนควรจะมผกพนถง

4

1) บตรประจาตวประชาชนของผเขามาใชบรการหรอทะเบยนบานหรอรปถายจากเวบแคมเปนตนบางรานใชระบบสมาชกในการเกบบนทกเพยงครงแรกครงเดยว

2) วนและเวลาทหยดใชงานระยะเวลาการใชงานเครองคอมพวเตอรทใชงานหมายเลขไอพทใชงาน

ขอมลดงกลาวนสามารถบนทกดวยการนาระบบ Proxy Server หรอ Authentication

Gateway มาใช

3) หมายเลขเครองทใช IP Address (Internet Protocol Address)

2.3 การจดเกบขอมลลอก ลอกโลเทชน (Log Rotation)เปนการจดเกบลอกไฟลโดยการหมนขอมลลอกหมายถง

การบนทกไฟลขอมลลอกไวเปนชออนและสรางไฟลลอกใหมเพอรองรบการบนทกขอมลตอไป

ตวอยางเชนการบนทกไฟลลอกเปน /var/log/message เมอมการหมนขอมลลอกจะบนทก

ขอมลลอกเปน /var/log/message.1 และสรางไฟลลอกใหมเปนชอ /var/log/message เปนตน

เพอปองกนไมใหมไฟลขอมลลอกขนาดใหญเกนจนไมสามารถใชงานไดโดยปกตการหมน

ขอมลลอกจะดาเนนการตามระยะเวลาทเหมาะสมเชนทกวนหรอทกสปดาหหรอเมอมขนาดของ

ไฟลขอมลลอกมขนาดถงทกาหนดไวนอกจากนยงนาขอมลลอกเดมเมอมการหมนขอมลลอกไป

บบอดขอมลเพอเพมพนทเกบขอมลหรอทาลอกแอคซฟ (Log Archive)ไดการหมนขอมลลอกท

เหมาะสมคอการบนทกขอมลลอกแยกเปนรายวนและแยกตามเซรฟเวอรหรออปกรณในระบบ

เครอขาย

ลอกแอคซฟคอการสารองขอมลลอกเพอใหสามารถรกษาระยะเวลาในการจดเกบ

ขอมลลอกตามความตองการโดยการบนทกขอมลลอกบนสอบนทกขอมลภายนอกหรอการ

บนทกขอมลบน storage area network หรอ SAN หรอการบนทกบนเซรฟเวอรหรอขอมลททา

หนาทเฉพาะในการบนทกขอมลลอกเปนตนยงรวมถงการสารองขอมลลอกบนสอบนทกขอมล

อนเชนเทปสารองขอมลซดรอมหรอดวดเปนตนการจดทาลอกแอคซฟแบงเปนสองแบบคอ

1) ลอกโลเทชนเปนการบนทกขอมลลอกของเหตการณจากระบบอยางสมาเสมอ

2) ลอกพรเซอรเวยชน (Log Preservation)เปนกระบวนการรกษาขอมลลอกเพอให

สามารถนาไปใชรวมกบการรบมอเหตการณดานความมนคงปลอดภยหรอเหตการณผดปกตท

เกดขนกบระบบสารสนเทศและสามารถรกษาขอมลลอกไดตามระยะเวลาทกาหนดไวหรอตาม

ความตองการจากภายนอกเชนความตองการของพระราชบญญตวาดวยการกระทาความผด

เกยวกบคอมพวเตอรพ.ศ. 2550 เปนตน

Log

งายในการส

ดาเนนการต

Log

การทา Da

Rotation เ

หรอการทา

อกของสปด

Message D

ขนาด 128

บตเพอใชเป

ทปลอดภยเ

Data Hashin

ลอก

ตามรปบนระ

วนโดวสตาม

และขอมล M

อยางเดยวเป

Compress

สารองขอมล

อเนองจาก L

file integrit

ata Hashin

เปนวนดงนน

Log Compr

ดาหทแลวนา

igest เชนกา

บตเปนตนผ

นตวแทนขอ

เชนสอบนทก

ng

รป

กไฟล /var/l

ะบบปฏบตก

มลาดบทจดเก

Message Dig

ปนตนเมอตอ

ion คอการบ

ลลอกหรอก

Log Rotation

ty checking

ng กบลอก

นสามารถนาข

ression กบล

ามาบบอดแ

ารคานวณดว

ผลลพธทไดห

งลอกไฟลขอ

กขอมลแบบ

ท 2.1 แสดงก

og/message

ารยนกซและ

กบบนลอกเซ

gest ทไดนาไ

องการเทยบ

บบอดขอมลล

การยายขอม

n หรอ Log A

เปนกระบวน

กไฟลทไมมก

ขอมลลอกไฟ

ลอกไฟลทผา

และคานวณด

ยอลกอรทม

รอทเรยกวา

อมล Messag

เขยนไดอยา

การตรวจสอบ

e และ C:\

ะขอมลลอกไ

ซรฟเวอรนาม

ไปเกบไวบนส

บวาลอกไฟลด

ลอกเพอเพม

มลลอกไปเก

Archival

นการตรวจส

การเขยนขอม

ฟลของเดอน

นกระบวนกา

ดวยวธการน

MD5 ขนาด

Message

ge Digest คว

างเดยวเปน

บความถกตอ

\WINDOWS

ไฟลของ Se

มาคานวณผา

สอบนทกขอม

ดงกลาวมกา

พนทในการจ

กบไวบนสอ

อบความถกต

มลแลวตวอย

นกอนหนามา

าร Log Arch

นเปนตนซงจ

128 บตหรอ

Digest จะมค

วรจะตองเกบ

ตนตวอยางใ

องของขอมล

\System32\c

curity Log

านกระบวนก

มลประเภท C

ารเปลยนแป

จดเกบขอมล

อบนทกขอม

ตองของลอก

ยางดาเนนกา

เขากระบวน

hival แลวเชน

จะไดเปนขอ

อใชอลกอรทม

ความยาวขน

บไวในสอบนท

ในรปเปนกา

config\SecE

บนระบบปฏ

การ Data

CD-ROM ซง

ลงหรอไมให

5

ลอกและ

ลอนมก

กไฟลโดย

ารทาLog

นการนได

นขอมลล

อมลเปน

ม SHA-1

นาด 128

ทกขอมล

ารใชงาน

vent.Evt

ฏบตการ

Hashing

งเขยนได

หคานวณ

6

เทยบดวยวธการเชนเดมและนาผลลพธของ Message Digest ไปเทยบกบคาของ Message

Digest ทคานวณไวตอนตนถาคาทไดไมเทากนแสดงวาเกดการเปลยนแปลงโดยทไมไดรบ

อนญาตแลวขอสาคญคอขอมล Message Digest ทไดจากการคานวณตอนแรกตองมการ

กาหนดมาตรการควบคมการเกบอยางมนคงปลอดภยและปองกนการเปลยนแปลงโดยไมไดรบ

อนญาตดวย

2.4 Network Time Protocol (NTP) [1]

คอมพวเตอรหรออปกรณเครอขายตาง ๆ ในระบบสารสนเทศนนมความสามารถของ

การรกษาความเทยงตรงและแมนยาของเวลาไดแตกตางกน ทงนขนอยกบปจจยหลายดาน

เชน วสดทใหสรางวงจรเวลาของอปกรณคอมพวเตอร, อณหภม, ความชน, คลนแมเหลกไฟฟา

หรอความสมาเสมอของพลงงานทจายใหกบวงจรเวลาเปนตนสงผลใหอปกรณตางกนอาจจะให

คาเวลาทแตกตางกนหากอปกรณคอมพวเตอรหรออปกรณเครอขายในระบบสารสนเทศมคา

เวลาทแตกตางกนแลวนนจะสงผลใหเกดปญหากบผใชงานรวมทงผดแลระบบในการปฏบตงาน

ตางๆ เชน

- ความคลาดเคลอนของเวลาในการแจงปญหาของระบบสารสนเทศ ระหวางผใชงาน

และผดแลระบบ

- ความสบสนในการตรวจสอบและวเคราะหเหตการณตาง ๆ เชน เหตการณการบกรก

เหตการณของปญหาดานเครอขาย หรอระบบคอมพวเตอร

- ผพฒนามความสบสนในเวอรชนของโคดระหวางการพฒนา

- มการใชงานไฟลขอมล หรอฐานขอมล ทซอนทบกน

จากตวอยางปญหาขางตนจะเหนวาผดแลระบบและผใชงานระบบสารสนเทศมความ

จาเปนตองทาใหอปกรณคอมพวเตอรและอปกรณเครอขายของระบบสารสนเทศในองคกรมคา

เวลาเทยงตรงแมนยาเหมอนกน

2.4.1 ความรพนฐานของNTP

Network Time Protocol (NTP) เปนโพรโตคอลในระดบ Application Layer ของระบบ

เครอขายแบบ TCP/IP ททาหนาทในการเทยบเวลาระหวางอปกรณคอมพวเตอรซงอางองจาก

RFC หมายเลข RFC 778, RFC 891, RFC 956, RFC 958, และ RFC 1305 การทางานของ

โพรโตคอลชนดนจะตองอาศยเครองใหบรการทเปดพอรตหมายเลข 123 ชนด UDP ในการรอ

รบขอมลรองขอการเทยบเวลาจากเครองลกขาย

7

ลกษณะการแจกจายเวลาของ NTP นนจะอยในรปแบบลาดบชน ทเรยกวา

“Clock Strata” โดยแบงลาดบชนของการเทยบเวลาดงน

Stratum 0 เปนอปกรณของแหลงกาเนดเวลา เชน Atomic Clocks, GPS เปนตน

ซงอปกรณแตละชนดมขอดและขอเสยแตกตางกนเชน การประยกตใช GPS (จพเอส)จะม

ตนทนทตากวา Atomic clock มาก แตจะมเสถยรภาพทนอยกวาหากสภาพอากาศไมเหมาะสม

จพเอสจะไมสามารถรบสญญาดาวเทยมได เปนตน

Stratum 1 เปนเครองคอมพวเตอรแมขายทเชอมตอกบ stratum 0 ไดรบคาเวลามาจาก

stratum 0 โดยตรงผานการเชอมตอในระบบคอมพวเตอร เชน RS-232 เปนตน

Stratum 2 เปนเครองคอมพวเตอรทรองขอการเทยบเวลาจากเครองคอมพวเตอร

แมขาย stratum 1 ผานระบบเครอขาย TCP/IP ดวยการใชงาน NTP เครองคอมพวเตอรใน

ระดบนอาจจะรองขอการเทยบเวลาจาก stratum 1 ไดมากกวา 1 แหลงเพอรองรบการทางาน

แบบทดแทนกนเมอไมสามารถเขาถง stratum 1 ตวใดตวหนงกจะสามารถรองขอการเทยบ

เวลาจาก stratum 1 ตวอนไดตอไปนอกจากนเครองคอมพวเตอรใน stratum 2 สามารถ

เทยบเคยงเวลาระหวางกนแบบเพยรทเพยร (peer-to-peer)เพอรกษาเวลาใหเทยบเทากนใน

ระดบเดยวกน

Stratum 3 เปนเครองคอมพวเตอรทรองขอการเทยบเวลาจากเครองคอมพวเตอร

แมขาย stratum 2 ผานระบบเครอขาย TCP/IP ดวยการใชงาน NTP เครองคอมพวเตอรใน

ระดบนจะสามารถอางอง stratum 2 ไดมากกวา 1 แหลงและสามารถทางานในรปแบบ

เพยรทเพยรไดเชนเดยวกน NTP นนสามารถรองรบระดบของการเทยบเวลาไดถง 16 ระดบ

2.4.2 NTP กบ พระราชบญญตคอมพวเตอร

หลกเกณฑในขอ 9 ตรงขอความทวาตองตงนาฬกาของอปกรณบรการทกชนดใหตรง

กบเวลาอางองสากล (Stratum 0) ดงตารางท 2.1 แนะนาใหใชวธการตดตง NTP Server ไวใน

ระบบหนงเครองนาจะเอาไวทเครองลอกเซรฟเวอร (Log Server)เพอจายสญญาณนาฬกา

ใหกบเครองเซรฟเวอรและเครองเวรคสเตชนและอปกรณเครอขายในระบบทงหมดในระบบเปน

ลาดบท 1 สวนลาดบท 2 และ 3 ใหอางองไปยงฐานเวลาภายนอกเพราะถาใหเซรฟเวอรแตละ

ตวไปรองขอสญญาณนาฬกาจากภายนอกเวลาอาจมปญหาได

8

ตารางท 2.1แสดงฐานเวลา NTP Server ในประเทศไทย

NTP Server Address หนวยงาน Clock Strata อปกรณอางอง

03.185.69.60 สถาบนมาตรวทยา

แหงชาต

Stratum-1

นาฬกาซเซยม

Stratum-0เทยบดวยคา

TAIโดย BIPM

(precision ~50 nSec)

time.navy.mi.th

กรมอทกศาสตร

กองทพเรอ

Stratum-1

นาฬกาซเซยม Stratum-0

ทา MOU กบสถาบน

มาตรฯ

เพอสงคาเทยบกบBIPM

time.nist.gov

National

National

Institute of

Standards and

Technology , US

Stratum-1

นาฬกาซเซยมStratum-0

เทยบดวยคา TAI

โดย BIPM

รปท 2.2 ลาดบชนการเทยบเวลากบเวลามาตรฐานสากล Stratum 0

9

จากตารางท 2.1 จะเหนไดวาฐานเวลาทตามกฎหมายกาหนดเปนคา stratum 0

หมายถงตวนาฬกาทมความเทยงตรงสงเมอเครองเซรฟเวอรตงเวลาอางองกจะถอวาเปนลาดบ

ชน (stratum 1) สวนทเครองตวลกขายในระบบทอางองจะเปน Stratum 3 ตามลาดบทตองให

ทาการทดสอบคาเวลาระหวางเครองของเรากบเซรฟเวอรภายนอกเพอใหเลอกหาเซรฟเวอรท

เวลาอางองใกลเคยงกนมากทสด (ดผลคาออฟเซทตองมคานอยทสดถาเปนไปไดควรเลอก

เซรฟเวอรในประเทศไทยเลอกมาจดอนดบท 1, 2, 3 ในคอนฟกกเลชน) และตองไมพบปญหา

no server suitable for synchronization found เพราะถาไมมโฮสต (host) ทอางถงกจะไม

สามารถใชเปนมาตรฐานเวลาไดการตรวจสอบรโมทเซรฟเวอร (Remote Server)ทตองการใช

อางองฐานเวลาใชคาสงดงน

# ntpdate -b 203.185.69.60

# ntpdate -u time.navy.mi.th

20 Mar 22:49:20 ntpdate[5670]: adjust time server 118.175.67.83 offset -

0.088607 sec

ตวอยาง NTP Server ของNectec

# ntpdate -b clock.nectec.or.th

# ntpdate -b clock2.nectec.or.th

# ntpdate -b clock.thaicert.nectec.or.th

NTP Server จะใชงานโปรโตคอลยดพ (Protocol UDP)หมายเลขพอรต 123 ดงนนถา

ในระบบมไฟลวอล (Firewall) จะตองอนญาตใหลกขายสามารถใชพอรต 123 โปรโตคอลยดพ

ตวอยางการเปดไฟลวอลเพอใหเอนทพทางาน

/sbin/iptables -A INPUT -p udp --dport 123 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

การประยกตใชเอนทพ

รปแบบการทางานของเอนทพจะอยในลกษณะของเซรฟเวอร-ไครเอนต (Server-

Client)ซงเซรฟเวอรจะทาหนาทแจกจายเวลาใหกบไครเอนตทอยในระดบ stratum ทตากวา

แนวทางการเทยบเวลาใหสอดคลองกบพระราชบญญต นนคอการกาหนดใหไครเอนตภายใน

เครอขายขององคกรขอเทยบเวลาจากเครองใหบรการเอนทพในระดบ stratum 1 ซงในปจจบน

มเครองใหบรการขอเทยบเวลาในรปแบบเอนทพอยมากมาย เชน NTP pool Project

10

2.5 Syslog-ng [4] ระบบปฏบตการยนค (Unix)ม Syslog ใชกนมายาวนานแลวและไดเปนมาตรฐานของ

การเกบขอมลลอกของระบบปฏบตการยนคหลายๆ ดสทรบวทม Log Daemon มาพรอมกบ

ระบบแตอยางไรกตาม syslog กมขอเสยบางอยางท Log Daemon ตวอนๆสามาแกไข

ขอบกพรองดงกลาวแลวเชน Syslog-ng (Newgeneration) ซงเปน Log Daemon ตวใหมและ

เปนทนยมในปจจบน Syslog-ngสามารถแกไขขอบกพรองสวนใหญของ Syslog ไดดงน

2.5.1 Syslog-ngสามารถทางานไดทงบนทซพ (TCP) และยดพ(UDP)

2.5.2 Syslog-ngสามารถทาการกรอง (Filter) ขอมลไดดวย Regular Expression

2.5.3 Syslog-ngสามารถทางานในรปแบบทอางอง Priority/Facility ได ดงนนมนจง

สามารถทางานแทนท syslog ได

2.5.4 Syslog-ng สนบสนนlog forwarding ซงทาใหสามารถทราบไดวาตนทางของลอก

ถกสงมาจากเครองใด และผานเครองใดมาบาง

จากเหตผลทกลาวมาในโครงงานนไดใช Syslog-ngเปนลอกเซรฟเวอรเมอพจารณา

แลวสามารถแยกเหตผลออกเปนขอๆไดดงน

ขอ 1 ใชชองทางการสอสารแบบทซพซงมขบวนการทางานนาเชอถอมากกวา

การสอสารแบบยดพ

ขอ 2 การกรองขอมลดวย Regular Expression สามารถกรองจากเนอหาของ

Logไดเชน กรองการใชงานอนเทอรเนทใชกรอง คาวา http เพราะในการเกดเหตการณ

จะมทกครง

ขอ3 สามารถใชงานการอางองแบบ Priority/Facility ไดจงสามารถทางาน

แทนท syslog ได

ขอ 4 สนบสนน log forwarding สามารถทราบไดวาตนทางของลอกผานเครอง

ใดมาบาง

11

ตารางท 2.2 syslog-ng command line options

Flag Description

-d แสดงขอความดบก

-v แสดงขอความดบกมากกวาเดม (verbose)

-f filename ใช filename เปนไฟล configuration (default = /etc/syslog-ng/syslog-

ng.conf)

-V แสดงหมายเลขเวอรชน

-p

pidfilename ตงชอไฟล proce-ID (default = /var/run/syslog-ng.pid)

เมอมขอมลลอกทม Facility และ Level ทตรงหรอมากกวากบทตงไว กจะทา Action

ตามทกาหนดไว ทงนเพราะ Level ทตงไวนนเปนคา Minimum ซงหมายความวาถาเราตง

Level เปน Debug กจะคลอบคลมทก Level ของ Facility นนๆเลย ทงนเราสามารถใช

เครองหมาย * แทนทกๆคาใน Facility หรอ Priority Level นนๆ ได เชน mail.* /var/log/mail

หมายความวาให syslogd เกบขอมลลอกของ mail ทก level ไปไวยงไฟล /var/log/mail

ในขณะท Level ทเปน none นนหมายความวาไมใหสนใจ facility ทประกาศคา level เปน

none เชน *.emerg;mail.non /var/log/emer.log คอใหเกบขอมลลอกทม level เปน emerg

สาหรบทก facility ยกเวน mail facility สาหรบ Action นนสามารถเลอกไดดงนคอ

1. Filename :เกบขอมลลอกนนลงในไฟลทกาหนด

2. @hostname : สงตอขอมลลอกไปยงSyslogdบนโฮสตทกาหนด

3. @ipaddress : สงตอขอมลลอกไปยง โฮสตทมไอพ แอดเดรสตามทกาหนด

4. User1, User2 :สงขอมลลอกไปยงหนาจอของยสเซอรทกาหนด ถายสเซอร

เหลานนยงลอกอนอยในระบบ

5. สงขอมลลอกไปยงทกๆ ยสเซอรทยงลอกอนอยในระบบ

6. /dev/console :เพอสงขอมลลอกไปยง Console Device หรอ Device อนๆ ตามท

ตองการ

Syslog-ngยงมรปแบบของไฟล Configuration ทงายแตมความยดหยนสง สามารถ

นาไปประยกตใชใหตรงความตองการไดโดยงาย syslog-ngไดถกตดตงไวแลวใน Debianแตใน

12

ระบบปฏบตการอนนนผดแลระบบจะตองตดตงเองโดยการคอมไพลจาก source ทงนจะตอง

ตดตง libolกอนจงจะสามารถตดตง syslog-ngไดผดแลระบบสามารถดาวนโหลด libolและ

syslog-ng ไดจากผพฒนาระบบ[8] หลงจากนนใหขยายไฟลออกมา และทาการตดตงดงคาสง

ดานลาง

# cdlibol-x.x# ./configure; make; make install

# cd syslog-ng-x.x

# ./configure --sysconfdir=/etc; make; make install

คาสงดานบนจะทาการตดตง Syslog-ng ไปไวทตาแหนงโดยดฟอลต (Default Location) คอ

/usr/local หากตองการตดตง Syslog-ngไปยง Path อนใหใชคาสง ./configure --

prefix=/your/dir/หลงจากการตดตงแลวผดแลระบบจาเปนตองดาเนนการบางอยางเพอให

Syslog-ng ทางานไดตามปกต ดงน

1. สรางไดเรกทอร /etc/syslog-ng

2. สรางไฟล Configuration ของ Syslog-ng (หรอคดลอกมาจากไดเรกทอร

Contrib/ และ doc/) ไวท /etc/syslog-ng/syslog-ng.conf

3. สราง Startup script ของ Syslog-ngไวท /etc/init.d/syslog-ngรวมทงสราง

symbolic link จาก run level ตางๆ เชน /etc/rc2.d, /etc/rc3.d, /etc/rc5.d) ผดแลระบบสามารถ

คดลอกตวอยาง startup script ของระบบปฏบตการทตองการไดจากไดเรกทอรcontrib/

การตรวจสอบการบกรกจาก Log Files อาจชวยในการหาขอมลไดวาระบบถกบกรก

และแกไขอยางไรสามารถตรวจวาการบกรกเกดขนเเมอใดเกดอะไรบางในขณะทบกรกและ

ตรวจสอบการเขาใชระบบ อยางไรกตาม log files มกจะถกแกไขจากผบกรกเมอมการบกรก

ดงนนในบางครง log file อาจจะไมชวยอะไรมากนกในการตรวจสอบการบกรก ในระบบยนคหา

Log File ไดจาก /etc/syslog.confระบบเอนทจะเกบใน C:\winnt\system32\logfiles โดย

โปรแกรม Event Viewer จะใชโปรแกรมทตรวจ log นอกจากนบางโปรแกรมอาจจะมการ Log

File ทตางกนเชน IIS เปนตนไฟลดงตอไปนเปน log file ในระบบยนคโดยแตละไฟลมความ

แตกตางตามหนาทและโปรแกรมทสราง

2.6 การเขารหสขอมล การเขารหสขอมลโดยพนฐานแลวจะเกยวของกบวธการทางคณตศาสตรเพอใชในการ

ปองกนขอมลหรอขอความตงตนทตองการสงไปถงผรบขอมลตงตนจะถกแปรเปลยนไปสขอมล

หรอขอความอกรปแบบหนงทไมสามารถอานเขาใจไดโดยใครกตามทไมมกญแจสาหรบเปดด

13

ขอมลนนเราเรยกกระบวนการในการแปรรปของขอมลตงตนวา "การเขารหสขอมล"

(Encryption) และกระบวนการในการแปลงขอความทไมสามารถอานและทาความเขาใจใหกลบ

ไปสขอความดงเดมวา “การถอดรหสขอมล” (Decryption)

สงจาเปนสาหรบการรกษาความปลอดภยขอมลนนประกอบดวย

- การพสจนทราบตวตน ( Authentication ) เปนกรรมวธในการพสจนวาใครเปนใคร เชนการใชรหสผาน สมารทการด เปนตน ปจจบนโดยสวนใหญการพสจนทราบตวตนบนอนเตอรเนตจะใชหมายเลขไอพ และชอโดเมนเปนหลก ซงเปนวธการทไมปลอดภย

- การรกษาความลบ ( Confidentiality ) เปนการปกปดขอมลทรบ-สง ผานสอตาง ๆ ไดโดยทไมมใครสามารถอานขอมลไดนอกจากผรบเทานน

- ความคงสภาพ ( Integrity ) เปนการทาใหมนใจวาขอมลทรบสงนนจะไมถกเปลยนแปลงตงแตจากผสงไปผรบ

- การไมปฏเสธแหลงทมา ( Non-repudiation ) เปนกลไกทพสจนวาผนนเปนผสงขอมลจรงซงทาใหผสงไมสามารถปฏเสธการกระทาของตนเองได

ปจจบนการเขารหสขอมลจะแบงออกเปน 3 ประเภทคอ

- ซเครทคยครพโตกราฟ( Secrete Key Cryptography ) - พบพลกคยครพโตกราฟ ( Public Key Cryptography ) - แฮทฟงกชน ( Hash Function )

2.6.1 โพรโตคอลในการพสจนตวตน(Authentication Protocol) ในระบบเครอขายแบบเปดหรออนเตอรเนตการพสจนตวตนถอไดวาเปนกระบวนการ

เรมตนและมความสาคญทสดในการปกปองเครอขายใหปลอดภยโพรโตคอลในการพสจนตวตน

คอโพรโตคอลการสอสารทมกระบวนการพสจนตวตนรวมอยในชดโพรโตคอล โพรโตคอลการ

พสจนตวตนทกลาวถงในโครงงานนเนนเฉพาะโพรโตคอลหลกทนยมใชอยางแพรหลายบน

อนเตอรเนตในปจจบนประกอบไปดวย

1) Secure Socket Layer (SSL) Secure Sockets Layer (SSL) เรมพฒนาโดย Netscape Communications เพอใชใน

โพรโตคอลระดบแอพพลเคชนคอ Hypertext Transfer Protocol (HTTP) ซงเปนการสอสาร

ผานเวบใหปลอดภยพฒนาในชวงตนของยคการคาอเลกทรอนคสกาลงไดรบความนยมในโลก

อนเตอรเนต

เอสเอสเอลทาใหเกดการสอสารอยางปลอดภยระหวางไคลเอนตและเซรฟเวอรโดยการ

อนญาตใหมกระบวนการพสจนตวตน รวมกบการใชงานลายเซนตดจตอล สาหรบการรกษา

14

ความถกตองของขอมลและการเขารหสขอมลเพอปองกนความเปนสวนตวระหวางการสอสาร

ขอมล

โพรโตคอลเอสเอสเอลอนญาตใหสามารถเลอกวธการในการเขารหส วธสรางไดเจสต

และลายเซนดจตอล ไดอยางอสระกอนการสอสารจะเรมตนขนตามความตองการของทงเวบ

เซรฟเวอรและบราวเซอรทงนเพอเพมความยดหยนในการใชงานเปดโอกาสใหทดลองใชวธการ

ในการเขารหสวธใหมรวมถงลดปญหาการสงออกวธการเขารหสไปประเทศทไมอนญาต

Netscape เรมพฒนาเอสเอสเอลเวอรชนแรกคอเวอรชน 2.0 และเวอรชนถดมาเปน 3.0

ซงสนบสนนความสามารถดานความปลอดภยมากขนและเปนเวอรชนสดทายกอนทจะเปน

มาตรฐานกลางของโพรโตคอลบนอนเตอรเนตโดยเปลยนชอเปน Transport Layer Security

หรอทเอลเอส (TLS)ซงดแลมาตรฐานโดย Internet Engineering Task Force (IETF) อธบาย

เวอรชนของเอสเอสเอลและผพฒนาไดตามตารางท 2.3

ตารางท 2.3 การพฒนาเอสเอสเอลและทเอลเอส

เวอรชน ผพฒนา จดเดน บราวเซอรทสนบสนน

SSL v2.0 Netscape Corp.

[SSL2]

โพรโตคอล SSL รนแรกท

พฒนาบนบราวเซอร

• NS Navigator 1.x/2.x

• MS IE 3.x • Lynx/2.8 +

OpenSSL SSL v3.0 Netscape Corp. เปน

Internet Drafted รน

กอนเปนมาตรฐาน

กลาง [SSL3]

ป รบปร ง ใหม เ พ มความ

ปลอดภยมากขน สนบสนน

การใช non-RSA ciphers

ในการเขารหส และหวงโซ

Certificate[*2]

• NS Navigator 2.x/3.x/4.x

• MS IE 3.x/4.x • Lynx/2.8+OpenSSL

TLS v1.0 IETF กาลงเสนอให

เปนมาตรฐาน

โพรโตคอลบน

อนเตอรเนต

(ProposedInternet

Standard)

ป ร บ ป ร ง จ า ก SSLv3.0

สนบสนนการทางานในชน

MAC และHMACเพม

Padding ชนด Block และ

วธการจดลาดบขอมล และ

เพมระดบการแจงเตอน

• Lynx/2.8+ OpenSSL

15

กระบวนการในการเรมตนการสอสารผานชนเอสเอสเอลแบงเปน 4 ขนตอนคอ

- ประกาศชดวธการเขารหส ไดเจสตและลายเซนดจตอลทสนบสนนของทงไคลเอนตและเซรฟเวอร

- การพสจนตวตนของเซรฟเวอรตอไคลเอนต - การพสจนตวตนของไคลเอนตตอเซรฟเวอร ถาจาเปน - ไคลเอนตและเซรฟเวอรตกลงชดวธการเขารหสการสรางไดเจสตและการใชลายเซน

ดจตอล 2.7 ไฟรวอลล(Firewall)

ในการเชอมตอกบเครอขายอนเตอรเนตอยางหนงทมความสาคญไมนอย นนคอเราตอง

มวธการในการรกษาความปลอดภย สงทสามารถชวยลดความเสยงนไดกคอ ไฟรวอลล

โดยไฟรวอลลนนจะทาหนาทปองกนอนตรายตาง ๆ จากภายนอกทจะเขามายงเนตเวรกของ

เรา ไฟรวอลลเปนคอมโพเนนตหรอเนตเวรกทเราคดวาไมปลอดภยกบเนตเวรกภายในหรอเนต

เวรกทตองการจะปองกน โดยทคอมโพเนนตนนอาจจะเปนเราเตอร คอมพวเตอรหรอเนตเวรก

ตามเทคโนโลยทใชในการตรวจสอบและควบคมแบงไดเปน Packet Filtering, Proxy Service

และ Stateful Inspection [5]

แพคเกจ ฟวเตอร (Packet Filter)คอ เราเตอรททาการหาเสนทางและสงตอ (route)

อยางมเงอนไขโดยจะพจารณาจากขอมลสวนทอยในหวของแพกเกจทผานเขามาเทยบกบกฎท

กาหนดไว และตดสนวาควรจะทงแพกเกจนนไปหรอวาจะยอมใหแพกเกจนนผานไปได

ในการพจารณาเฮดเดอรแพคเกจ ฟวเตอรจะตรวจสอบในระดบของอนเตอรเนตเลเยอร

และทรานสปอรตเลเยอรในอนเตอรเนตโมเดล ซงในอนเตอรเนตเลเยอรจะมแอททรบวตท

สาคญตอแพคเกจ ฟวเตอรดงน ไอพตนทาง ไอพปลายทาง ชนดของโปรโตคอล (ทซพ (TCP),

ยดพ (UDP)และ ไอซเอมพ (ICMP)) และในระดบของทรานสปอรตเลเยอรมแอททรบวตท

สาคญคอ พอรตตนทาง พอรตปลายทาง และแฟลก ซงจะมเฉพาะในเฮดเดอรของแพกเกจทซ

พ(ชนดของ ICMP message) ในแพกเกจไอซเอมพ ซงพอรตของทรานสปอรตเลเยอร คอ ทง

ทซพและยดพนนจะเปนสงทบอกถงแอพพลเคชนทแพกเกจนนตองการตดตอดวยเชน พอรต

80 หมายถง HTTP พอรต 21 หมายถง FTP เปนตน ดงนนเมอแพคเกจ ฟวเตอรพจารณาเฮด-

เดอร จงทาใหสามารถควบคมแพกเกจทมาจากทตางๆ และมลกษณะตางๆ ซงดไดจากแฟล

กของแพกเกจหรอชนดของไอซเอมพ ในแพกเกจไอซเอมพได เชน หามแพกเกจทกชนดจาก

crack.cracker.net เขามายงเนตเวรก 203.154.207.0/24 หามแพกเกจทมไอพตนทางอยในเนต

เวรก 203.154.207.0/24 ผาน

16

Proxy Firewall หรอ Application Gateway เปนแอพพลเคชนโปรแกรมททางานอยบน

ไฟรวอลลทตงอยระหวางเนตเวรกสองเนตเวรก ทาหนาทเพมความปลอดภยของระบบเนตเวรก

โดยการควบคมการเชอมตอระหวางเนตเวรกภายในและภายนอก Proxy จะชวยเพมความ

ปลอดภยไดมาก เนองจากมการตรวจสอบขอมลถงในระดบของแอฟพลเคชนเลเยอร

เมอไคลเอนตตองการใชเซอรวสภายนอก ไคลเอนตจะทาการตดตอไปยง Proxy กอน

ไคลเอนตจะเจรจา (negotiate) กบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางใหเมอ

Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ (connection) สองการเชอมตอ

คอ ไคลเเอนตกบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะทาหนาทรบขอมล

และสงตอขอมลใหในสองทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะใหมการเชอมตอ

กนหรอจะสงตอแพกเกจใหหรอไม

Stateful Firewall โดยปกตแลว Packet Filtering แบบธรรมดา (ทเปน Stateless แบบ

ทมอยในเราเตอรทวไป) จะควบคมการเขาออกของแพกเกจโดยพจารณาขอมลจากเฮดเดอร

ของแตละแพกเกจนามาเทยบกบกฎทมอย ซงกฎทมอยกจะเปนกฎทสรางจากขอมลสวนทอย

ในเฮดเดอรเทานน ดงนน Packet Filtering แบบธรรมดาจงไมสามารถทราบไดวาแพกเกจนอย

สวนใดของการเชอมตอ เปนแพกเกจทเขามาตดตอใหมหรอเปนแพกเกจทเปนสวนของการ

เชอมตอทเกดขนแลว เปนตน ซง Stateful Inspection เปนเทคโนโลยทเพมเขาไปใน Packet

Filtering โดยในการพจารณาวาจะยอมใหแพกเกจผานไปนนแทนทจะดขอมลจากเฮดเดอร

เพยงอยางเดยว Stateful Inspection จะนาเอาสวนขอมลของแพกเกจ (message content)

และขอมลทไดจากแพกเกจกอนหนานทไดทาการบนทกเอาไวนามาพจารณาดวย จงทาให

สามารถระบไดวาแพกเกจใดเปนแพกเกจทตดตอเขามาใหมหรอวาเปนสวนหนงของการ

เชอมตอทมอยแลว สาหรบตวอยางผลตภณฑทางการคาทใช Stateful Inspection Technology

ไดแก Check Point Firewall-1, Cisco Secure Pix Firewall หรอ SunScreen Secure Net

และทเปนซอฟตแวรโอเพนซอรส ไดแก NetFilterใน Linux (iptablesในลนกซเคอรเนล2.3 เปน

ตนไป)

ระบบปฎบตการลนกซไดม iptablesใชในการตงกฎเพอตรวจสอบการเขา-ออกจาก

ระบบซงจะมการสรางเชน (chain) ขนเหมอนเปนกลมของการตรวจสอบโดยเชนเรมตนทพรอม

กบระบบปฎบตการลนกซมดงน

17

- เชนขาเขา (input chain) ตรวจสอบแพกเกจจากภายนอกทเขามาตดตอกบระบบหลง

ไฟรวอลล

- เชนขาออก (output chain) ตรวจสอบแพกเกจจากภายในทตดตอกบภายนอกไฟร

วอลล

- เชนสงตอ (forward chain) ตรวจสอบแพกเกจทเขามาทเครองแลวสงตอไปยงเครอง

อนอกท

2.7.1 การใชงานคาสง iptables

หลงจากทไดรจกการทางานของไฟรวอลลและแนท (NAT)ไปอยางคราวๆ แลว ลองทา

ความรจกกบคาสงทใชในการสรางไฟรวอลลและคาสงในการทาแนทซงนนกคอ คาสง Iptables

ซงเปนตวทตดมากบเคอรเนลเวอรชน (ตงแต Kernel เวอรชน2.3 เปนตนมา) ซงใน Linux

สมยกอน ๆ จะมทใหใชกคอคาสง ipchainซงหลงจากเวอรชน2.3.15 นน กไดออกมาเปน

iptablesซงอาจจะถอไดวาเปนรนทสของระบบไฟรวอลลทมอยในระบบลนกซ ซงจะเรยกวาเนต

ฟลเตอร (Netfilter) ซงในการทางานของ Iptablesกจะคลายๆ กบการใชงาน ipchainและ

ipfwadmจะมบางคาสงเทานนทมการเปลยนไปบางซง iptablesจะมรปแบบการใชงานดงนคอ

[4]

iptables [table] <command><match><target/jump>

โดยกฎทเขยนขนจะเปนตวบอกเคอรเนลวาใหกระทาอยางไร ในกรณทพบขอมลตรง

ตามทระบไว

- [table] หมายถง ตารางหรอ table ทตองการระบ เชน iptables –t natหมายถงให

ทางานกบ nat table ในกรณทไมไดระบตาราง iptablesจะถอวาคาสงดงกลาวระบถง filter

table โดยอตโนมต

- <command>จะเปนตวสงให iptablesทาในสงทตองการ เชน iptables –A INPUT ซง

หมายถงใหสราง rule ตอทายเชนขาเขาใน filter table

- <match>เปนสวนทใชตรวจสอบวาแพกเกจมขอมลตรง (match) กบทระบไวหรอไม

เชน ม source ip address เปน 1.2.3.4

- <targer/jump>เปนตวระบวาเมอเจอแพกเกจทตรงกนกจะกระทา (action) ตามทระบ

ไว เชน ถาแพกเกจใดม source ip address เปน 1.2.3.4 ให DROP แพกเกจนนทงไป

18

Table: iptablesสามารถระบตารางไดโดยใชออปชน –t ตามดวยชอ table คอ

1) filter table ใชสาหรบกรองแพกเกจม 3 built-inchainคอ INPUT, OUTPUT,

FORWARD

2) nat table ใชสาหรบการเปลยนแปลงแอดเดรส (Network Address Translation)

ม 3built-in chain คอ PREROUTION, POSTROUTING, OUTPUT ซงรายละเอยดจะได

อธบายตอไป

3) mangle table เปนตารางทใชเปลยนแปลงแกไขแพกเกจเชน เปลยนคา TTL,

MARK ซงปกตจะใชในการทา routing ทมความซบซอนสง ม 2 built-in chain คอ

PREROUTING chain (ใชแกไขแพกเกจกอนทจะเขาสไฟรวอลลและกอนเขาส routing

decision) และ OUTPUT chain (ใชแกใขแพกเกจทถกสรางโดยไฟรวอลลกอนทมนจะถกสงไป

ยง routing decision) ทงนไมสามารถทา network address translation หรอ masquerading ท

table นไดและในเอกสารฉบบนจะไมกลาวถง mangle อก เนองจากเปนสวนทไมนยมนาไปใช

งาน

2.7.2 Port Number

สาหรบพวก Application ในชน layer สงๆทใชโปรโตคอลทซพ หรอโปรโตคอลยทพจะ

มหมายเลขพอรต หมายเลขของพอรตจะเปนเลข 16 บตเรมตงแต 0 ถง 65535 หมายเลข

พอรตใชสาหรบตดสนวาบรการใดทตองการเรยกใช ในทางทฤษฎ หมายเลขพอรตแตละ

หมายเลขถกเลอกสาหรบบรการใด ๆ ขนอยกบโอเอสOS (operating system) ทใช ไม

จาเปนตองเหมอนกนแตไดมกาหนดขนใหใชคอนขางเปนมาตรฐานเพอใหมการตดตอการสง

ขอมลทดขนทาง Internet Assigned Numbers Authority (IANA) เปนหนวยงานกลางในการ

ประสานการเลอกใชพอรต วาพอรตหมายเลขใดควรเหมาะสาหรบบรการใด และไดกาหนดใน

Request For Comments (RFC') 1700 ตวอยางเชน เลอกใชทซพ พอรตหมายเลข 23 กบ

Service Telnet และเลอกใชยดพ พอรตหมายเลข 69 สาหรบ Service Trivial File transfer

Protocol (TFTP) ตวอยางตอไปนเปนบางสวนของ File/etc/services แสดงใหเหนวา หมายเลข

พอรตแตละหมายเลขไดถกจบคกบทรานสปอรต โปรโตคอล หนงหรอสองโปรโตคอลซง

หมายความวายดพหรอ ทซพอาจจะใชหมายเลขพอรตเดยวกนกได เนองจากเปนโปรโตรคอลท

ตางกน

19

รปท 2.3 แสดงโปรโตคอลและพอรตตางๆ

หมายเลขพอรตถกจดแบงเปน 2 ประเภท ตามทไดกาหนดใน RFC 1700 (รายละเอยด

ดาวนโหลดและศกษาไดท ftp://ftp.isi.edn/in-notes/rfc'1700.txt) คอ well known Ports และ

Registered Ports

- Well Known Ports คอจะเปนพอรตทระบบสวนใหญ กาหนดใหใชโดย Privileged

User (ผใชทมสทธพเศษ) โดยพอรตเหลานใชสาหรบการตดตอระหวางเครองทมระบบเวลาท

ยาวนาน วตถประสงคเพอใหบรการแกผใช (ทไมรจกหรอคนเคย) แปลกหนา จงจาเปนตอง

กาหนดพอรตตดตอสาหรบบรการนนๆ

- Registered Ports จะเปนพอรตหมายเลข 1024 ขนไป ซง IANA ไมไดกาหนดไว

แตละ Transport layer segment จะมสวนยอยทประกอบไปดวยหมายเลขพอรตของ

เครองปลายทาง โดยทเครองปลายทาง (Destination host) จะใชพอรตนในการสงขอมลใหไหล

กบแอปพลเคชนไดถกตองหนาทในการสงหรอแจกจายเซกเมนทของขอมลใหตรงกบ

แอปพลเคชนเรยกวาการ " Demultiplexing " ในทางกลบกนเครองตนทาง ( Source host )

หนาทในการรวบรวมขอมลจากแอปพลเคชนและเพมเฮดเดอรเพอสรางเซกเมนทเรยกวา

"Multiplexing" หรอถายกตวอยางเปนภาษาทวๆ ไป คอ ในแตละบานจะมคน 1 คนรบผดชอบ

เกบจดหมายจากกลองจดหมาย ถาเปนการ ดมลตเพลคซง (Demultiplexing)คนๆนนจะ

แจกจายจดหมายทจาหนาซองใหสอดคลองกบบคคลนนๆ ในบาน ในทางตรงกนขามถาเปน

การมลตเพลคซง (Multiplexing)คน ๆนนกจะรวบรวมจดหมายจากสมาชกในบานและทาหนาท

สงออกไปดมลตเพลคซง

หมา

หมายเลขพอ

ดงแสดงในร

ทซพ

ทตองการข

ปลายทางมค

ตาม

ทอยไกลออก

สาหรบบรก

Allocated P

ประเภทนให

จะตองใหคว

ยกต

assign ให ห

จะกาหนด ห

ายเลขพอรตจ

อรตของเครอ

ปท 2.5

พหรอ ยดพ จ

อมลนน ๆ ห

ความสามารถ

มทไดกลาวใน

กไป (Remot

ารเฉพาะนน

Port ซงพอรต

หความสะดวก

ามมนใจวาจ

ตวอยาง สมม

หมายเลข Dy

หมายเลขพอร

รปท 2

จะอยใน 32

องตนทาง ขณ

รปท 2.5

จะดทขอมลห

หมายเลขพ

ถทจะรนโพรเ

นขางตน "We

te Comput

นๆ อยางไรก

ตประเภทนไม

กและความคล

ะไมกาหนดห

มตวามผใชต

ynamic Port

รตปลายทาง

2.4 แสดงการ

บตแรกของ

ณะท 16 บตต

แสดง ทซพแ

หมายเลขพอร

อรตทงตนท

เซสมากกวา

ell know Por

ter) สามาร

กตามยงมพ

มไดถกกาหน

ลองตวสาหร

หมายเลขพอร

องการใช Se

(เชน 3044)

เปน23 เพรา

รดมลตเพลค

ทซพและยด

ตอมาเปนหม

และ ยดพ เฮด

รตในเฮดเดอ

ทางและปลา

1 โพรเซสใน

rts" เปนพอร

รถรไดวาจะต

อรตอกประเ

นดไวแตเดมแ

บระบบทมผใ

รตซากน

ervice Teln

โดยทหมาย

าะวาเปน We

ซง

พเฮดเดอรโด

มายเลขพอรต

ดเดอร

อรเพอพจารณ

ยทางจาเปน

นเวลาเดยวก

ตทคอนขางม

ดตอกบทางพ

เภททเรยกว

แตจะถกกาห

ใชหลาย ๆ ค

net ทางเคร

เลขพอรตปล

ell Known P

ดยท 16 บต

ตของเครองป

ณาวาแอปพล

นตองมเพอใ

กน

มาตรฐานทาใ

พอรตหมาย

วา Dyn

หนดเมอจาเป

คนพรอม ๆ ค

รองตนทางจ

ลายทางคอ 2

Port สาหรบ

20

ตแรกเปน

ปลายทาง

ลเคชนใด

ใหเครอง

ใหเครอง

เลขอะไร

amically

น พอรต

คนระบบ

จะทาการ

23 เครอง

Service

21

Telnet จากนนเครองปลายทางจะทาการตอบรบกลบโดยใช Port หมายเลข 23 เปนหมายเลข

ตนทาง และ หมายเลขพอรต 3044 เปนหมายเลข ปลายทาง

กลมของหมายเลขพอรตและ หมายเลขไอพเราเรยกวาซอคเกต (Socket)ซงจะเปนตว

บงชทเฉพาะเจาะจงสาหรบเนตเวรคโพรเซสหนงเดยวทมอยในทงระบบอนเตอรเนตคของซอค

เกตทประกอบดวย ซอคเกตหนงตว สาหรบตนทาง และอกตว สาหรบปลายทาง สามารถใช

บรรยายถงคณลกษณะของ Connection oriented protocols เชน

รปท 2.6 แสดงซอคเกตและเนทเวรคโพรเซส

ถาผใชคนท 2 ตองการใชเซอรวส เทลเนตจากเครองปลายทางเครองเดยวกนผใชนนก

จะไดรบการกาหนดหมายเลขพอรตตนทางทแตกตางกนออกไปโดยมหมายเลขพอรตปลายทาง

เหมอนกนกบผใชคนแรกดงรปท 4 จะเหนไดวาการจบคของหมายเลขพอรตและหมายเลขไอพ

ทงตนทางและปลายทางสามารถทาใหแยกความแตกตางของอนเตอรเนต คอนเนคชนระหวาง

เครองตนทางและเครองปลายทางได

2.7.3 Activeและ Passive Ports

สงสดทายทจะตองกลาวถงเกยวกบพอรตกคอ ความแตกตางระหวางแอคทฟและ พาส

ทฟ พอรตในการใชการตดตอดวยทซพสามารถกระทาได 2 วธคอ พาสทฟและแอคทฟ คอน

เนคชนคอการตดตอทแอฟพลเคชนโพรเซสสงใหทซพรอหมายเลขพอรตสาหรบการรองขอการ

ตดตอจากซอรสโฮสลเมอทซพไดรบการรองขอแลวจงทาการเลอกหมายเลขพอรตให แตถาเปน

แบบแอคทฟ ทซพกจะใหแอฟพลเคชนโพรเซสเปนฝายเลอกหมายเลขพอรตใหเลย

22

2.8 MySQL (มายเอสควแอล)[12]

เปนฐานขอมลแบบโอเพนซอรสทไดรบความนยมในการใชงานสงสดโปรแกรมหนงบน

เครองใหบรการมความสามารถในการจดการกบฐานขอมลดวยภาษาเอสควแอล SQL

(Structures Query Language) อยางมประสทธภาพมความรวดเรวในการทางานรองรบการ

ทางานจากผใชหลายๆคนและหลายๆงานไดในขณะเดยวกนมายเอสควแอลถกพฒนาขนโดย

มายเอสควแอลแลป มลขสทธการใชงาน 2 แบบคอผดแลระบบสามารถใชงานซอฟตแวรได

โดยไมมคาใชจายใดๆภายใตลขสทธของจเอนย GNU (General Public License)

(http://www.gnu.org/licenses/) หรออาจเลอกใชแบบทมลขสทธทางการคาของมายเอสควแอล

แลปซงเปนผผลตและพฒนาซอฟตแวรโดยตรงกไดหากไมตองการเกยวของกบขอตกลงเรอง

GPL รายละเอยดเพมเตมเกยวกบโปรแกรมมายเอสควแอลสามารถหาขอมลไดจาก

http://www.mysql.com

มายเอสควแอลถอเปนระบบจดการฐานขอมล (DataBase Management System

(DBMS) ฐานขอมลมลกษณะเปนโครงสรางของการเกบรวบรวมขอมลการทจะเพมเตมเขาถง

หรอประมวลผลขอมลทเกบในฐานขอมลจาเปนจะตองอาศยระบบจดการฐานขอมลซงจะทา

หนาทเปนตวกลางในการจดการกบขอมลในฐานขอมลทงสาหรบการใชงานเฉพาะและรองรบ

การทางานของแอฟพลเคชนอนๆทตองการใชงานขอมลในฐานขอมลเพอใหไดรบความสะดวก

ในการจดการกบขอมลจานวนมากมายเอสควแอลทาหนาทเปนทงตวฐานขอมลและระบบ

จดการฐานขอมล

มายเอสควแอลเปนระบบจดการฐานขอมลแบบ relational จะทาการเกบขอมลทงหมด

ในรปแบบของตารางแทนการเกบขอมลทงหมดลงในไฟลเพยงไฟลเดยวทาใหทางานไดรวดเรว

และมความยดหยนนอกจากนนแตละตารางทเกบขอมลสามารถเชอมโยงเขาหากนทาให

สามารถรวมหรอจดกลมขอมลไดตามตองการโดยอาศยภาษาเอสควแอลทเปนสวนหนงของ

โปรแกรมมายเอสควแอลซงเปนภาษามาตรฐานในการเขาถงฐานขอมล

มายเอสควแอลแจกจายใหใชงานแบบโอเพนซอรสนนคอผใชงานมายเอสควแอลทกคน

สามารถใชงานและปรบแตงการทางานไดตามตองการสามารถดาวนโหลดโปรแกรมมายเอสคว

แอลไดจากอนเทอรเนตและนามาใชงานโดยไมมคาใชจายใด ๆ ในระบบปฏบตการ Red Hat

Linux นนมโปรแกรมทสามารถใชงานเปนฐานขอมลใหผดแลระบบสามารถเลอกใชงานไดหลาย

โปรแกรมเชนมายเอสควแอลและPostgreSQL ผดแลระบบสามารถเลอกตดตงไดทงในขณะท

ตดตงระบบปฏบตการ Red Hat Linux หรอจะตดตงภายหลงจากทตดตงระบบปฏบตการกได

อยางไรกตามสาเหตทผใชงานจานวนมากนยมใชงานโปรแกรมมายเอสควแอลเพราะสามารถ

23

ทางานไดอยางรวดเรวมความนาเชอถอและใชงานไดงายเมอเปรยบเทยบประสทธภาพในการ

ทางาน นอกจากนนมายเอสควแอลถกออกแบบและพฒนาขนมาเพอทาหนาเปนเครอง

ใหบรการรองรบการจดการกบฐานขอมลขนาดใหญซงการพฒนายงคงดาเนนอยอยางตอเนอง

สงผลใหมฟงกชนการทางานใหมๆทอานวยความสะดวกแกผใชงานเพมขนอยตลอดเวลารวม

ไปถงการปรบปรงดานความตอเนองความเรวในการทางานและความปลอดภยทาใหมายเอสคว

แอลเหมาะสมตอการนาไปใชงานเพอเขาถงฐานขอมลบนเครอขายอนเทอรเนต

ความเสยงและวธการสรางความปลอดภยใหฐานขอมล กอนทจะกลาวถงขนตอนการ

ปรบแตงคาความปลอดภยใหกบโปรแกรมมายเอสควแอลผดแลระบบควรจะตองทราบถงความ

เสยงทเกดขนจากการใชงานฐานขอมลและหลกปฏบตโดยทวไปในการสรางความปลอดภยให

ฐานขอมลกอนซงรายละเอยดทจะอธบายในหวขอนจะกลาวถงภาพรวมเพอใหผดแลระบบ

สามารถนาไปประยกตใชไดกบฐานขอมลชนดอนๆความปลอดภยของฐานขอมลเปนสงสาคญ

มากเนองจากขอมลทเกบไวในฐานขอมลถอเปนองคประกอบหลกในการดาเนนงานขององคกร

และมความออนไหวคอนขางสงเชนขอมลทางธรกจขอมลลกคาขอมลพนกงาน ขอมลลบหรอ

ขอมลทเผยแพรบนเวบไซตขององคกรวธการสรางความปลอดภยใหกบฐานขอมลคอนขางเปน

เรองเฉพาะและมความซบซอนแตกตางจากการสรางความปลอดภยใหกบเครอขายหรอ

ระบบปฏบตการทงนจดบกพรองททาใหเกดความเสยงตอความไมปลอดภยของฐานขอมลม

สาเหตจากความซบซอนของระบบฐานขอมลการเกบรหสผานอยางไมปลอดภยการตงคาการ

ทางานทผดพลาดหรอแบลคดอร ( Backdoor )ของระบบทผดแลระบบไมทราบการลดความ

เสยงของขอบกพรองเหลานทาไดโดยการกาหนดหลกปฏบตในการใชงานฐานขอมลดงน

1) ใหสทธการใชงานกบผใชตามความจาเปนเทานนผใชงานฐานขอมลแตละคนควรจะ

ไดรบสทธการใชงานเฉพาะทจาเปนตอการดาเนนงานของแตละคน

2) ทาการปองกนในหลายๆระดบเชนระดบของการขอเขาใชงานระดบของสทธการใช

งานหรอระดบของขอบเขตของฐานขอมลทใหใชงานการปองกนการบกรกเปนสงทควรปฏบต

แตผดแลจะตองตรวจสอบการละเมดความปลอดภยดวยนากระบวนการเขารหสมาใชงานหาก

เปนไปได กาหนดนโยบายและขนตอนปฏบตดานความปลอดภยทชดเจนรดกมการสรางความ

ปลอดภยใหกบฐานขอมลจะตองตงอยบนพนฐานตอไปน

1. ความลบและความปลอดภย: ขอมลจะตองไปถกเปดเผยตอผทไมไดรบสทธในการ

เขาถง

24

2. ความถกตองความสมบรณและการตรวจสอบตวตนผใชงานขอมลจะตองไมถกแกไข

หรอยกยอกทงโดยเจตนารายหรอโดยไมเจตนากตามนอกจากนนจะตองพสจนไดวาตนทางของ

ขอมลมาจากทใดหรอใคร

3. ความพรอมใชและความสามารถในการกคนระบบฐานขอมลจะตองถกปกปองให

พรอมใชงานไดตลอดเวลารวมถงจะตองกคนไดหากขอมลสญหาย

นอกจากนนการสรางความปลอดภยใหกบฐานขอมลจาเปนตองมนใจวาไดมการปองกน

ถงระดบลกไดแกการสรางความปลอดภยใหกบเครอขายซงอาจทาไดโดยการปองกนทไฟร

วอลลเราเตอรระบบตรวจจบผบกรก (IDS) และการสรางความปลอดภยใหกบระบบปฏบตการ

เพอใหแนใจไดวาการเขาถงฐานขอมลโดยไมไดรบอนญาตจะไมเปนผลมาจากการกาหนดคาท

ผดพลาดใหกบระบบปฏบตการและอปกรณเหลานน หลกการสาคญในการสรางความปลอดภย

ใหกบฐานขอมลนนผ ดแลระบบควรจะคานงถงองคประกอบตอไปนเพอนาไปพจารณา

ประยกตใชกบระบบฐานขอมลของตนเองตามความเหมาะสม

การตรวจสอบตวตนผใชงานจะตองมนใจวามการตรวจสอบตวตนของผใชงานทกคนท

ตดตอกบฐานขอมลในระดบตาสดคอการนาเอารหสผานมาใชงานสาหรบทกการตดตอ ซง

รหสผานเหลานจะตองไดรบการเกบรกษาอยางปลอดภยในฐานขอมลและถกเขารหสอยาง

เหมาะสมควรมขอกาหนดนเรองการใชงานรหสผานไดแกการกาหนดความยาวขนตาของ

รหสผานทใชกาหนดวารหสผานจะตองประกอบดวยตวอกษรหรอตวเลขรวมกบอกขระพเศษ

และไมใหใชงานรหสผานทเดาไดงายเปนตน

การควบคมการเขาถงออบเจกตใด ๆ และการตรวจสอบแอฟพลเคชนทอนญาตใหใช

งานออบเจกตของฐานขอมลประกอบดวยตารางซนโนนมม (Synonymn) วว (View) อนเดกซ

(Index) สตอรโพรซเจอร (store procedure) และทรกเกอร (trigger) ซงสามารถควบคมการ

อนญาตใหเขาถงออบเจกตเหลานไดโดยกาหนดไวทสทธการใชงานฐานขอมลซงควรไดรบการ

กาหนดตงแตขนตอนของการออกแบบทงนผดแลฐานขอมลหรอผออกแบบฐานขอมลจะตอง

คานงถงหลกการทจะใหสทธแกผใชงานแตละคนใหนอยทสดเทาทจะเปนไปได การควบคมการ

เขาถงออบเจกตเหลานมวธการทแตกตางกนตามแตละชนดของออบเจกตเชนการใชซนโนนมม

จะชวยใหการอางถงแตละตารางในฐานขอมลสามารถทาไดโดยไมจาเปนตองทราบวาเจาของ

ตารางดงกลาวคอใครเปนการซอนโครงสรางของฐานขอมลจากผใชงานโดยทผดแลยงสามารถ

ตรวจสอบไดวาใครมาใชตารางใดในฐานขอมลบางการสรางความปลอดภยใหกบออบเจกตวว

ทาไดโดยการควบคมการเขาถงในระดบแถวและคอลมนกอนทแตละตารางจะถกนามารวมไว

ดวยกนเปนตนหรอหากใชงานสถาปตยกรรม 3-เทยร ซงมแอฟพลเคชนเซรฟเวอรทาหนาทรอ

25

รบการเรยกใชงานแอฟพลเคชนทงหมดจากเครองขอเขาใชบรการและตดตอกบฐานขอมล

จาเปนตองกาหนดใหเครองขอใชงานแสดงตวตนกบเครองแอฟพลเคชนเซรฟเวอรและใหแอฟ

พลเคชนเซรฟเวอรแสดงตวตนกนกบฐานขอมลกอนจงจะอนญาตใหเขาใชงานตามตองการได

การสรางความปลอดภยใหโปรแกรมมายเอสควแอลผดแลระบบทใชงานโปรแกรมมาย

เอสควแอลเปนฐานขอมลในเครองใหบรการใด ๆจาเปนตองทราบถงวธการสรางความปลอดภย

ใหกบโปรแกรมมายเอสควแอลทใชงานเนองจากการใชงานฐานขอมลทาใหเกดความเสยงตอ

ความปลอดภยของเครองตามทไดอธบายแลวขางตนสาหรบหวขอนจะแสดงรายละเอยดถง

วธการในการสรางความปลอดภยใหโปรแกรมมายเอสควแอลบนระบบปฏบตการ Red Hat

Linux โดยเฉพาะหากผดแลระบบตดตงโปรแกรมมายเอสควแอลโดยเลอกตดตงในขณะทตดตง

ระบบปฏบตการหรอตดตงโดยใชแพคเกจ

ชนด RPM จะมขอดคอผดแลระบบจะสามารถใชโปรแกรม up2date ในการตรวจสอบ

แกไขชองโหวทเกดขนกบโปรแกรมไดในทางตรงกนขามหากผดแลระบบเลอกตดตงโปรแกรม

โดยคอมไพลจากไฟลตนฉบบดวยตนเองจะมขอดคอโปรแกรมมายเอสควแอลทไดจะมความ

ยดหยนมากกวาผดแลระบบสามารถเลอกออปชนและไลบรารทจะใชงานไดตามตองการ

มากกวาอยางไรกตามไมมออปชนใด ๆ เกยวของกบการสรางความปลอดภยทควรไดรบการ

พจารณาเปนพเศษในการตดตงโปรแกรมมายเอสควแอล โดยการคอมไพลจากไฟลตนฉบบจง

ไมนามาอธบายในทนสาหรบผดแลระบบทตองการดาวนโหลดโปรแกรมหรอตรวจสอบเวอรชน

ของโปรแกรมทจะใชงานไดท http://www.mysql.com/downloads/index.html

กอนทจะอธบายถงวธการสรางความปลอดภยใหโปรแกรมมายเอสควแอลจะขออธบาย

ถงการทางานของโปรแกรมมายเอสควแอลเลกนอยโปรแกรมมายเอสควแอลทางานเปน

ฐานขอมลและระบบจดการฐานขอมลบนเครองใหบรการโดยเปดใหผใชงานตดตอฐานขอมล

ผานพอรต 3306 บนโพรโตคอลทซพของเครองใหบรการ (คาดฟอลตของโปรแกรม) หลงจากท

สงใหโปรแกรมมายเอสควแอลเรมตนทางานจะเกดการสรางเดมอนชอmysqldไวรอรบการ

ตดตอซงการใชงานฐานขอมลทาได 2 วธคอการเขาใชฐานขอมลโดยตรงผานโปรแกรมมายเอส

ควแอลและการใชงานผานโปรแกรมทเขยนขนเพอใชตดตอฐานขอมลเชนโปรแกรมทถกเขยน

ขนดวยภาษาพเอชพเปนตนผทจะเขาใชงานฐานขอมลไดจะตองไดรบการตรวจสอบสทธและ

พสจนตวตนผใชซงบญชรายชอผใชของโปรแกรมมายเอสควแอลนแยกจากบญชผใชงานของ

ระบบโดยเดดขาดไมมความเกยวของกนแตอยางใดโดยจะถกจดเกบและจดการผานฐานขอมล

ของมายเอสควแอลทใชงาน

26

นอกจากนนผดแลระบบควรจะสรางผใชงานในระบบชอมายเอสควแอลและกลมผใชชอ

มายเอสควแอลมารองรบการทางานของโปรแกรมมายเอสควแอลซงจะอธบายถงการนาไปใชใน

ลาดบตอไป

วธการสรางความปลอดภยใหกบโปรแกรมมายเอสควแอลทาไดในหลายระดบซงผดแล

ระบบสามารถเลอกนาไปปฏบตไดตามรปแบบและจดประสงคการใชงานแบงเปนสวน ๆไดดงน

1 การเรมตนใชงานและการเรยกใชงานโปรแกรมมายเอสควแอล

2 ระบบและวธการตรวจสอบสทธของโปรแกรมมายเอสควแอล

3 ไฟลลอกของโปรแกรมมายเอสควแอล

4 การจดการเกยวกบเจาของไฟลท เ กยวของกบโปรแกรมมายเอสควแอลใน

ระบบปฏบตการ

5 ขอควรระวงทเกยวของกบความปลอดภยของโปรแกรมมายเอสควแอล

การเรมตนใชงานและการเรยกใชงานโปรแกรมมายเอสควแอลหลงจากทผดแลระบบ

ตดต ง โปรแกรมแล วจะต องส ง ให โปรแกรมสร า งฐานข อ มล เ ร มตน โดยใชค าส ง#

./mysql_install_dbทาใหเกดการสรางฐานขอมล 2 สวนคอมายเอสควแอลและทดสอบการสงให

โปรแกรมเรมตนทางานทาไดโดยการสง # ./safe_mysqld --user=mysql& (คาสงsafe_mysqld

อยในไดเรกทอร /path_to_mysql/bin/) ซงจะทาใหเกดการสรางเดมอนชอmysqldไวรอรบการ

ตดตอทพอรต 3306/TCP ของเครองการกาหนดออปชน --user=mysqlเปนการกาหนดชอ

เจาของโพรเซสชนดเดมอนชอmysqldทจะถกสรางขนซงเจาของโพรเซสนจะตองไดรบสทธใน

การเขาใชงานไฟลและไดเรกทอรของฐานขอมลหากไมกาหนดโพรเซสดงกลาวจะเปนของ

ผดแลระบบซงทาใหความปลอดภยของระบบลดลงสงแรกทผดแลระบบตองดาเนนการคอการ

กาหนดรหสผานใหกบผดแลฐานขอมล (root) ซงผดแลฐานขอมลนจะเปนผจดการทงหมด

เกยวกบฐานขอมลไดรบสทธใหกระทาการใด ๆกไดกบฐานขอมลทจะมตอไปเชนการสราง

บญชชอผใชรายอน ๆการสรางฐานขอมลใหมและการใหสทธการใชงานฐานขอมลแก

ผใชเปนตนเนองจากโปรแกรมมายเอสควแอลไมไดกาหนดคาดฟอลตของรหสผานของผดแล

ฐานขอมลนนคอหลงจากทตดตงโปรแกรมแลวทนททสงใหโปรแกรมเรมทางานใครกไดสามารถ

ตดตอใชงานฐานขอมลมายงเดมอน mysqldทรอรบการตดตอดวยสทธของผดแลฐานขอมลได

ทนทโดยไมตองใชรหสผานการกาหนดรหสผานของผดแลฐานขอมลทาไดโดยใชคาสง #

./mysqladmin -u root -h [hostname] -p password'passwordทตองการ' (คาสงmysqladmin

อยในไดเรกทอร /path_to_mysql/bin/) หลงจากนนเมอผดแลฐานขอมลเขาใชงานฐานขอมลจะ

ไดรบขอความใหใสคารหสผานทกครงทใชงานใดๆเชนหากผดแลระบบใชงานฐานขอมลผาน

27

โปรแกรมมายเอสควแอลจะตองสง # ./mysql -u root -p และใสคารหสผานมฉะนนจะไดรบ

ขอความเตอนวา ERROR 1045: Access denied for user:'root@localhost' (Using

password: NO) และไมอนญาตใหเขาใชงานระบบและวธการตรวจสอบสทธของโปรแกรมมาย

เอสควแอลเนองจากโปรแกรมใหความสาคญกบการจดการเกยวกบสทธของผใชคอนขางมาก

ผดแลระบบและ/หรอผดแลฐานขอมลจงควรมความเขาใจเกยวกบระบบการทางานดงกลาวซง

ไดนามาอธบายไวในหวขอนประโยชนของระบบการตรวจสอบสทธของโปรแกรมมายเอสคว

แอลคอการพสจนตวตนผใชทตดตอขอใชงานฐานขอมลวามาจากเครองปลายทางทไดรบ

อนญาตหรอไมและการใชงานฐานขอมลเปนไปตามสทธทกาหนดเชน SELECT,

INSERT,UPDATE และ DELETE หรอไมมจดประสงคเพอใหผดแลระบบมนใจวาผใชงานทก

คนดาเนนการใดๆกบฐานขอมลตามทไดรบอนญาตใหทาเทานนซงการทผใชงานแตละคนจะ

เขาใชงานฐานขอมลจะตองแสดงตววาตดตอมาจากเครองคอมพวเตอรเครองใดและใชชอผใช

คนใด กระบวนการตรวจสอบสทธของโปรแกรมมายเอสควแอลประกอบดวยการตรวจสอบ 2

ขนตอนเพอควบคมการเขาถงคอ

1. เครองใหบรการจะตรวจสอบวาผใชไดรบอนญาตใหตดตอกบฐานขอมลหรอไม

2. หากไดรบอนญาตจะตรวจสอบตอวาแตละคาสงทเรยกใชงานเชน SELECT,

INSERT, UPDATE และDELETE กบออบเจกตทผใชตองการใชงานเชนฐานขอมลตารางแถว

หรอคอลมนเปนตนตรงกบสทธทผใชคนดงกลาวไดรบอนญาตใหใชงานหรอไมจะเหนไดวาการ

ใชงานฐานขอมลจะตองไดรบการตรวจสอบทงในระดบผใชและสทธการใชงานของผใชแตละคน

ซงสทธเหลานถกกาหนดโดยผดแลฐานขอมลดงนนการทผดแลฐานขอมลจะเพมรายชอผใชงาน

ฐานขอมลแตละคนผดแลฐานขอมลจาเปนจะตองกาหนดรายละเอยดเหลานใหชดเจนสามารถ

ทาได 2 วธดงน

1. ใชคาสง GRANT เพอกาหนดวาจะอนญาตใหผใชงานชอใดจากเครองคอมพวเตอร

เครองใดตดตอเขามาใชงานออบเจกตใดๆในฐานขอมลไดบางมรปแบบคาสงดงน

GRANT เปนคาสงทใชในการกาหนดสทธของผใชแตละคนทจะเขาใชงานฐานขอมล

โดยขอมลทผขอใชตองแสดงตอฐานขอมลคอชอผใชและเครองปลายทางของหลงจากทเดมอน

mysqldตรวจสอบขอมลทงสองแลวพบวาผใชคนดงกลาวไดรบสทธใหใชงานฐานขอมลเดมอน

mysqldจะเปดใหผใชสงคาสงตางๆมาทาการ SELECT, INSERT, DELETE หรอ UPDATE

ขอมลในฐานขอมลทกครงท เดมอนmysqldได รบคาสงใดๆจากผ ใช กจะนาคาสง นนมา

เปรยบเทยบกบขอมลสทธทไดกาหนดไววาผใชคนดงกลาวไดรบสทธในการใชงานคาสงนนกบ

ออบเจกตนนหรอไมคาสง GRANT จะเปนตวกาหนดวาจะอนญาตใหผใช (user_name) ใชงาน

28

ฟลดใด (column_list) ของตาราง (tbl_name) หรอฐานขอมลใด(db_name) (อาจอางถงโดย

กาหนดเปน * เพอแทนตารางทงหมด) ดวยคาสงใดไดบาง (priv_type) สวนทเหลอคอออปชน

อนๆทผดแลสามารถปรบใชงานไดตามตองการหากผดแลฐานขอมลตองการยกเลกการใหสทธ

ทไดกาหนดไปแลวดวยคาสง GRANT สามารถทาไดโดยใชคาสง REVOKE

2. แกไขตาราง grant ของโปรแกรมมายเอสควแอลโดยตรงทาไดโดยการ INSERT

ขอมลและสทธของผใชคนใหมลงในตาราง user ซงผทจะแกไขตารางนไดคอผดแลฐานขอมล

(root ของฐานขอมล) เทานนอยางไรกตามวธดงกลาวนมความยงยากซบซอนและตองอาศย

ความรอบคอบของผดแลฐานขอมลจงไมนามาอธบายในทนหากตองการทราบวธการสามารถ

ศกษาไดท MySQL Manual | 4.3.5 Adding New Users to MySQL

2.9 ซอฟตแวรทเกยวของ

จากขอมลขนตนไดกลาวถงเครองมอและโปรแกรมตางๆ ทใชซงอาจจะมโปรแกรมอนๆ

ทไมไดกลาวถง โดยในทน ผศกษาจะนาเอาเครองมอทเปน Open source มาใชในการพฒนา

ใชใหสอดคลองกบพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550

โดยซอฟแวรทใชมดงตอไปน

- CentOS5.3 - FreeRADIUS - Apache - MySQL - syslog-ng-2.0.3-1.el5.kb.i386.rpm - Ntp.4.2.4p2-6.fc8 - Shell script - chillispot-1.1.0.i386.rpm

2.9.1 CentOS Linux

ลนกซ[6] ระบบปฏบตการแบบ 32 บต (ปจจบนมเวอรชน 64 บตดวย) ทเปนยนกซโคลนสาหรบพซและแจกจายใหใชโดยไมเสยคาใชจาย สนบสนนการใชงานแบบหลายผใช (Multi User-Multi Tasking) มระบบเอกซวนโดวส (X Window) และมาตรฐานการสอสาร TCP/IP ทใชเปนมาตรฐานการสอสารในอนเทอรเนตมาใหในตว ลนกซมความเขากนได (Compatible) กบมาตรฐาน POSIX ซงเปนมาตรฐานอนเทอรเฟสทระบบยนกซสวนใหญจะตองม และมรปแบบบางสวนทคลายกบระบบปฏบตการยนกซจากคาย Berkeley และ System V โดยความหมายทางเทคนคแลวลนกซ เปนเพยงเคอร

29

เนล(kernel) ของระบบปฏบตการ ซงจะทาหนาทในดานของการจดสรรและบรหารโพรเซส(Process) งาน การจดการไฟลและอปกรณ I/O ตางๆ แตผใชทวๆ ไปจะรจกลนกซผานทางแอพพลเคชนและระบบอนเทอรเฟสทผใชเหน เชน X วนโดสเปนตน จงเหมาะทจะนามาทา เซอรวสเปนอยางมาก เพราะมทมพฒนาโปรแกรมอยางตอเนองอยทวโลก และไมจากดจานวนผอาสาสมครเขารวมทมพฒนา เนองจากสวนใหญแลว ทมพฒนาเหลานจะตดตอกนผานระบบ Internet เหตเพราะเรองทอยอาศยของทมพฒนาแตละคน จะอยกนคนซกโลก และมแผนงานในการพฒนาในระยะยาย โดย Linux ทนามาเลอกใชจะเปน CentOS 5.3 (ปจจบนเวอรชน6.0)

CentOSยอมาจาก Community ENTerprise Operating System เปนลนกซทพฒนามาจากตนฉบบRedHat Enterprise Linux (RHEL) โดยทCentOSไดนาเอาซอรสโคดตนฉบบของRedHatมาทาการคอมไพลใหมโดยการพฒนายงเนนพฒนาเปนซอฟตแวรโอเพนซอรส Open Source ทถอลขสทธแบบ GNU General Public License ในปจจบนCentOS Linux ถกนามาใชในการทา Web Hosting กนอยางกวางขวางเนองจากเปนระบบปฏบตการทมตนแบบจากRedHatทมความแขงแกรงสง (ปจจบนเนนพฒนาในเชงการคา) การตดตงแพกเกจยอยภายในสามารถใชไดทง RPM, TAR, APT หรอใชคาสง YUM ในการอปเดทซอฟตแวรแบบอตโนมต

CentOSเปน Linux ในระดบ Enterprise ทมเปาหมายหลกในเรองของความ stable เพอใหใชกบงานในระดบองคกรCentOSแตกตางจาก Linux ตวอนๆทคอนขางจะมการเปลยนแปลงบอยและมกจะใส feature ทยงไม stable ลงไปดงนนการทCentOSโฟกสในเรองของความ stable จงทาใหผใชงานสามารถมงความสนใจลงไปในเรองของ application โดยลดความกงวลในสวนของ Operation System ลงไปCentOSถกพฒนาตอมาจาก source code ทไดรบการเปดเผยโดยทมงานผเชยวชาญ Enterprise Linux เจาหนงในอเมรกาเหนอกาลงหลกของทมพฒนาประกอบขนดวยผเชยวชาญและความสนบสนนจาก community ตางๆทงดาน system admin, network admin, enterprise user, manager, core Linux contributors

2.9.2 FreeRADIUS FreeRADIUS เปนโปรแกรมโอเพนซอรสสาหรบระบบลนกซ ซอฟตแวรนสามารถ

ทางานรวมกบ EAP-MD5 และ EAP-TLS ซงเปนระบบสาหรบตรวจสอบผใชโดยเฉพาะทใชกน

อยทวไปทใชในการจดการแอคเคาทและใชในการตรวจสอบสทธตามมาตรฐาน IEEE 802.1X

ตามแนวคด AAA (Accounting, Authentication, Authorize) Accounting นนคอ การจดการ

แอคเคาทในดานตางๆ ทงการสรางลบ และเพมแอคเคาทตลอดจนการเพมเตมคณสมบตตางๆ

ของแตละแอคเคาทสาหรบ Authentication จะเปนสทธตามวธการแอคเคาทตงโดยในขน

ตอนนจะมการแจงขอความตางๆ วาผานหรอไมผานการตรวจสอบสทธและเมอผาน

กระบวนการนไดสาเรจกจะเขาสกระบวนการสดทายนนคอ Authorize

30

กระบวนการการทางานของ FreeRADIUS

เรมแรกหลงจากทไดมการสราง Account เปนทเรยบรอยแลวมการใชงานโปรแกรม

RADIUS -client ตาง ๆ เชน Pgina, ntradpingหรอโปรแกรมอนๆ เพอลอกอนหรอตรวจสอบ

สทธกจะเขาสกระบวนการตาง ๆ ดงน

1. โปรแกรม RADIUS -client จะตดตอโปรแกรมFreeRADIUS ตามหมายเลขไอพและ

พอรท ทไดกาหนดไว (โดยปกตพอรทของโปรแกรมจะอยท1812 ตาม default)

2. โปรแกรมจะนาชอ account รหสผาน และคา secret key ไปตรวจสอบวาถกตอง

หรอ ไมในขนตอนนจะมกระบวนการดงน

1) (RADIUS - client) ในขนตอนนจะมการสง username, password, secret key ไปยงเซรฟเวอรเพอใช ในการตรวจสอบความถกตอง

2) (RADIUS - client) ในขนตอนนทางฝงไคลเอนตจะสรางสญญาณรองขอผลตอบกลบ (access-request) มาจากเซรฟเวอร หรอรอสญญาณตอบรบความถกผดของขอมลทสงจากขนตอนแรก

3) (RADIUS - client) ในขนตอนนเซรฟเวอรจะตอบกลบไปยงเครองไคลเอนตดวยสญญาณ access-reply โดยสญญาณนจะประกอบไปดวย 2 สญญาณยอยทสาคญ แตจะเกดขนเพยงแคหนงสญญาณตอเงอนไข นนคอ สญญาณ access-accept และ access-reject โดยสญญาณ access-accept นคอสญญาณทใชตอบกลบไปยงไคลเอนตวา username, password และ secretkey นนถกตอง สวนสญญาณ access-reject นนจะตรงกนขามกบสญญาณแรกโดยมความหมายคอ username, password และ secret key ไมถกตอง หรออาจมเฉพาะตวหนงตวใดไมถกตองกได เปนตน

ในโปรแกรมFreeRADIUSตองอาศยฐานขอมลเพอดงขอมลมาใชในการประมวลผลไมวา

จะเปน username, password หรอ message และเงอนไขตางๆ ของแตละ user ซงในฐานขอมล

จะมตารางทเกยวของดงน radcheck, radgroupcheck, radgroupreply, usergroupและ radacct

2.9.3 Apache จดกาเนดของ Apache คอ National Center for Supercomputing Applications

(NCSA) HTTPd web server ซงพฒนาโดย Rob McCool ในชวงป 1990 และภายหลงจากท

โครงการ NCSA HTTPdถกยกเลก ไดมนกพฒนาหลายคนทนา HTTPdมาปรบปรงและใชงาน

ในเดอน กมภาพนธ 1995 ไดมการจดตง Apache group ขนโดยนกพฒนา 8 คนและได

เผยแพรเวอรชนแรกของ Apache คอ v 0.6.2 ในเดอนเมษายน 1995 และจากนน Apache 1.0

กไดถกเผยแพรเมอ 1 ธนวาคม 1995 และไดรบความนยมอยางรวดเรวภายในเวลา 1 ป

กลายเปนเวบเซรฟเวอรทมผใชงานมากทสด

31

ปจจบน The Apache Software Foundation เปนผดแลโครงการ Apache HTTP server

ซงมจดประสงคเพอสรางเวบเซรฟเวอรทมความทนทานตอการใชงานมคณภาพในระดบของ

commercial-grade ม feature ทนาใชงาน และสามารถเปดเผย source code ได ทงนสามารถใช

Apache เวบเซรฟเวอรไดฟรภายใตขอกาหนดของ Apache Software License

การตดตง Apache ใหมความปลอดภยนนขนอยกบตวระบบปฏบตการและการเชอมตอ

เครอขายมากกวาเพราะถงแมวาหนาตางจะปดไวแตถาประตยงเปดชองไวอยกไมมประโยชนแต

อยางไร

อยางไรกตามการทเราจะตดตงเวบเซรฟเวอรใหมความปลอดภยนนกไมควรทจะตดตง

เซอรวสอน ๆ ทไมมความจาเปน เชน ftp, mail, DNS ซงถามความจาเปนตองตดตงกควรตดตง

แยกเครองกนตางหากทงนรวมไปถงการไมตดตงแอพพลเคชนทไมจาเปนรวมทงคอมไพเลอร

ดวยนอกจากนปญหาเรอง Network security กจาเปนตองกลาวถงเปนอยางยงเพราะโดยสวน

ใหญแลว Apache จะถกเชอมตอโดยตรงกบอนเตอรเนตโดยไมไดมการกรองจากไฟรวอลลซงถา

มความสามารถในการลงทนและใหความสาคญกบ network security แลวกจาเปนทจะตดตงไฟร

วอลลเพอปองกนการโจมตแบบ Dinial of Service และ network-based attacks แบบอนๆ อก

และนอกจากนการตดตงซอฟแวรเสรมตวอนเชน TCP wrapper, IPTables, SSH, Snort กจะ

ชวยใหระบบมความพรอมในการรบมอกบเหตการณทจะเกดขนดวย

2.9.4 Chillispot

Chillispotเปน ซอฟตแวรโอเพนซอรส ทนามาใชในการควบคมการใชงานเครอขาย ไร

สาย เรยกวา wireless controller นยมนามาใชเปนเกทเวย (gateway) ตดตงไวบน linux box

เพอคอยดกแพกเกจทซพ พอรต 80 และสงหนาจอลอกอนไปยงผใชงาน โดยChillispot จะ

ทางานรวมกบโปรแกรม RADIUS ซงทาหนาทบรหารจดการฐานขอมลของยสเซอรทงน

โปรแกรม chillispotกบ FreeRADIUSอาจจะตดตงอยบนเครองเดยวกนหรอตางเครองกนได

Chillispot secured Wi-Fi Access Gateway คอ อปกรณ Access point router

(อปกรณเครอขายไรสาย)ทตดตง firmware ใหม ทมความสามารถในการปองกนการลกลอบ

เขาใชงาน โดยท firmware นนมโปรแกรม Chillispotใสไวใหแลว

การทางานเมอเครองไคลเอนต ทาการตดตอเขามายงแอสเซสพอยสไดสาเรจและผใช

เรมตนการใชงานบราวเซอรเพอไปยงเวบไซตใดๆผใชจะไดรบหนาจอแรกเปนหนาจอสาหรบ

ลอกอน เมอลอกอนสาเรจจงจะสามารถใชงานอนเตอรเนตไดหากวาในโปรแกรมบราวเซอรทใช

มการเซตคาพรอกซไวกจะไมแสดงหนาจอลอกอนทาใหใชงานตอไมได

32

หลกการของระบบนคอเมอเครองไคลเอนตทาการตดตอกบแอสเซสพอยสไดแลวจะ

ไดรบไอพแอดเดรสและพรอมทจะใชงานแตจะยงใชไมไดในทนท เนองจากวาเมอผใชเปด

โปรแกรมบราวเซอรเพอไปยงเวบทาใหแอสเซสพอยสจะไดรบขอมลทซพ พอรต 80 จากเครอง

ไคลเอนต มนจะสงไปยงโปรแกรม chilliทอยในตวมน (Access point) (โปรแกรม chilliเปน

1 โปรเซสของ linux OS ทรนอยใน Access point) โปรแกรม chilliจะสงหนาจอลอกอนซงถก

กาหนดไววาใหไปเอาหนาจอลอกอนจากเวบไซตไหน เมอผใชใสลอกอนและพาสเวรดโปรแกรม

chillispotกจะนาลอกอนและพาสเวรดสงไปสอบถามท RADIUS server ทกาหนดไว จากนน

RADIUS server กจะตอบกลบมายง chilliแลว chilliกจะทาการเปดเสนทางใหกบผใชงานก

ตอเมอลอกอนและพาสเวรดถกตอง

บทท 3 การออกแบบและพฒนาระบบ

3.1 การออกแบบและระบบงาน

ในปจจบนการใชงานระบบอนเทอรเนตนนมการใชงานกนอยแพรหลาย และการวางโครงสรางของระบบเครอขายนนจะแตกตางกน แลวแตโครงสรางหรอลกษณะการใชงานในแตละองกรณ ซงจะมโครงสรางโดยทวๆ ไปดงในรป

รปท 3.1 Network Diagram

จากรปท 3.1 จะเหนวาระบบเครอขายโดยทวไป จะมการใหบรการตางๆ เชน Proxy,

Email, Web และการใชงานตางๆ ของอปกรณเชน share printer ซงจะมตว Firewall คอยทาหนาทตางๆ เชน การกาหนดนโยบาย (Policy)ในการใชงานของระบบเครอขาย แบงโซนตางๆ เชน Dmzสาหรบเซฟเวอร, Zone management ไวสาหรบจดการระบบการใชงานภายใน อกทงยงสามาถทาหนาทเปนตวเกทเวยดวยกได ซงอาจจะทาใหตองใชอปกรณทมคณภาพสง จงทาใหสนเปลองสาหรบองกรณขนาดเลกหรอผใหบรการอนเทอรเนตทวไป ดงนนจงเปนทมาของโครงการพฒนาระบบเครอขายน ทจะทาตว Authentication Gateway ขนมา สาหรบใชในการจดการระบบอนเทอรเนตคาเฟ

34

ในการออกแบบระบบงานเพอการใชในรานอนเทอรเนตคาเฟนน ไดมการวางระบบทเรยกวาเปนตว Authentication Gateway วางขวางไวระหวางระบบภายนอกและภายใน ซงจะทาใหผใชทกคนทตองการใชงานอนเทอรเนต จะตองใชผานระบบ Authentication Gateway ทงหมด ทาใหงายและสะดวกในการควบคมการใชงานของผใชบรการ

เครองคอมพวเตอรททาหนาทเปน Authentication Gateway จะเปนเครองเซฟเวอรหรอเครองพซทวๆ ไปกได เปนเครองทสามารถลงระบบปฏบตการ ของลนกซเซฟเวอรได ซงเปนโอเพนซอรสรวมไปถงแพคเกจของแตละเซอรวสทเกยวของกบการใชงาน รวมไปถงการใชงาน หรอคอนฟกผานหนาเวป อนเตอรเฟส

รปท 3.2 แสดงระบบการใชงานในรานอนเทอรเนตคาเฟ

35

3.2การออกแบบและตดตงระบบรานอนเทอรเนตคาเฟทม Gateway Server

รปท 3.3 แสดงแบบจาลอง Gateway Server บนโปรแกรม Vmware ในพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550 ระบไววาในการเกบขอมลจราจรนนตองสามารถระบรายละเอยดผใชบรการระบบเครอขายอนเทอรเนตเปนรายบคคลได เชน ( Identification and Authentication ) ลกษณะการใชบรการ Proxy Server, NAT หรอ การใชบรการอนเตอรเนตตางๆ ตองสามารถระบตวตนของผใชบรการเปนรายบคคลได การออกแบบและทดลองจะทาบน โปรแกรม Vmwareซงทางานอยบนคอมพวเตอรสวนบคคล (notebook)โดยมการจาลองเปน Gateway Server 1 เครอง และ พซทเปนเครองลกขาย 2 เครอง 3.3 องคประกอบของ Gateway Server 3.3.1 เครองเกทเวยเซฟเวอรลงระบบปฏบตการลนกซเซฟเวอรนนจะเปน CentOS 5.3 ซงทาการทดสอบการใชงานระบบผานโปรแกรม Vmware

3.3.2 eth0คอ Lan Card ใบท 1 เซตใหอยใน VMNet0(Bridge) ซงจะไดรบแจกไอพจาก ADSL Modem ททาหนาทเปน DHCP 3.3.3 eth1คอ Lan Card ใบท 2 เซตใหอยใน VMNet1 ไมมการเซตคาไอพใชสาหรบตอกบ เครองลกขาย 3.3.4 Tun0 เปนอนเตอรเฟสทสรางขนมาเพอสาหรบการใชงาน ChilliSpotโดยจะเปนตวแจกคาไอพ ใหกบเครองเครอขายภายในทเขามาในระบบ

36

3.4 การตดตงระบบ CentOS 5.3 ทาการตดตง Centos 5.3 ตามปรกตโดยเพอความสะดวกในการใชงานเราสามารถลงpackage ตางๆเหลานไปดวยตอนตดตงระบบไดเชนhttpd ( web server ), squid , mysql , ftp ไดทนท

ไฟลคอนฟกทเกยวของ /etc/sysconfig/selinux ## ไวสาหรบการ setup คาselinux /etc/sysconfig/network-script ## ไวสาหรบการ set interface card /etc/sysctl.conf ## ใชสาหรบการ forward port ปดการทางานSelinuxโดยเปลยนSelinux = Disabled แกไขไฟลทเกยวของกบระบบฟอรเวรดพอรตโดยแกคา net.ipv4.ip_forward =0 เปน

1หลงจากนนทาการ restart service ใหทางานใหม

3.4.1 การตดตง package Radius Server ตดตงโดยใชคาสง yum install –y freeradius

ไฟลคอนฟกทเกยวของ /etc/raddb/radius.conf ## เปนไฟลสาหรบคอนฟกradius ตวหลก /etc/raddb/client.conf ## เปนไฟลสาหรบอนญาตใหไอพใดใชงาน radius ไดบาง

3.4.2 การตดตงchilli spot แบบ web loginตดตงโดยการใชyum install chillispot -y ไฟลคอนฟกทเกยวของ /etc/chilli.conf # เปนไฟลคอนฟกของchilli spot /etc/www/cgi-bin/hotspotlogin.cgi # เปน script ในการเรยกใชหนาauthenของchilli

spot /var/www/html/welcome.html # เปนไฟลสาหรบการคอนฟกหนาเวบ ขนตอนแรกเขาไปท interface card eth1 เพอเขาไปแกไขคาใหเวลาเมอมการใชงาน

หรอรบตเครองจะไมไดรบแจกไอพ ตอมาเขาไปแกไขไฟลchilli.confโดยจะตองแกไขคอนฟกตางๆใหเปนไปตามของระบบเครอขายเชนหวขอ # TUN parameters # แกไขเปน 10.0.1.1/24 (ไอพในเครอขายทงหมด) # Radius Parameter # แกไขเปน radiusserver1 127.0.0.1 # Radius Secert # แกไขเปนsecretkeyเปนทเราตองการใช (สาหรบใชงานจรงในการ

authen) # Tag uamserver # เปลยนเปนหนาเวบไซตทเราตองการใหมน redirect ไปใน

ตวอยางการทดลองใชเปนhttps://10.0.1.1/cgi-bin/hotspotlogin.cgi

37

# UamSecert # แกเปน ht2eb8ej6s4et3rglulp หรอคาใดกไดแตตองใหมคาเหมอนกบในไฟล hotspotlogin.cgi (สวนในไฟลhotspotlogin.cgiนนใหเอาเครองหมาย # ออกโดยม 2 ไฟลทตองแกไขคอuamsecertและusepassword

ตอมา copy file firewall.iptablesดวยคาสง cp /usr/share/doc/chillispot-1.1.0/firewall.iptables /etcซงเปนการกอปปไฟล

iptablesในตว ไฟลทเราทาการดาวนโหลดมาใน rpm ของchilliเมอทาการ service chilli restart จะพบวาม tun0 ขนมา ไอพเปนคาทเราตงไวคอ 10.0.1.1

3.4.3 การตดตงฐานขอมลมายเอสควแอล ตดตงโดย yum install mysqlซงจะม package ทเกยวของดงนmysql, mysql-server,

freeradius-mysql หลงจากตดตงเสรจเรยบรอยให start mysqlจะพบวาระบบไดสรางฐานขอมลขนมาโดย

ขนตอไปจะเปนการสราง user root ของระบบฐานขอมลโดยใชคาสง /usr/bin/mysqladmin -u root password 'xxxxxx' หลงจากนนกจะเปนการสรางฐานขอมลตางๆในระบบโดยสามารถ create databaseไดทนทหรอจะเรยกใชจากตวfreeradiusทมอยแลวคอmysql -uroot –pxxxx radius </usr/share/doc/freeradius-1.1.7/examples/mysql.sqlซงจะเปนการสรางฐานขอมลดงในตารางท 3.1 ตารางท 3.1 ตวอยางฐานขอมล radcheck

Field Data Type Key Description

Id Init (11) Pk รหสเงอนไขกลมเขาระบบ

Usename Varchar (64) กาหนดผใชงาน

Varchar (64) Varchar (32) กาหนดแอททรบวท

Op Char (2) สญลกษณของแอททรบวท

Value Varchar (253) คาของแอททรบวท การตดตง Freeradius –mysql

ทาการตดตงโดยใชคาสง yum install freeradius-mysqlเพอให radius สามารถใชงานมายเอสควแอลได

38

ไฟลคอนฟกทเกยวของ /etc/raddb/sql.onf # คอนฟกใหเลอกใชฐานขอมลมายเอสควแอลตวไหน /etc/raddb/radius.conf # คอนฟกเพอให Radius ใชฐานขอมลของมายเอสควแอล

3.5 การออกแบบหนา Web manage เพอสามารถ configการใชงานในดานตางๆ

รปท 3.4 หนา Web manage

รปท 3.5 หนา Web manage สวนของการสรางผใชบรการ Internet Café

บทท 4 ผลการทดลอง

4.1 ระบบเครอขายทใชในโครงงาน การตดตงระบบเครอขายเพอทจะใหระบบทางานเปน Gateway Server นน เครองแมขายจาเปนตองทาหนาทเปนตว Firewall ดวย เพราะเนองจากจะเปนตวกลางในการออกสอนเทอรเนต ซงจาเปนทจะตองมการทา Authentication เพอกาหนดใหสามารถใชงานระบบอนเทอรเนตได 4.2 รายละเอยดในการทดลอง ขนแรก เรมจาก User ไดเชอมตอเขามาในระบบ จะไดรบ ip address จากระบบ dhcpซงกคอ Chilli-Spot นนเอง เมอไดทาการเปด Web browser จะมการทา redirect เขามายงหนา User login โดยจะเปนหนาหลกท User จะตองเขามาทาการ login กอน ดงรปท 4.1

รปท 4.1 แสดงหนา User login

เมอเขาสหนาเวบสาหรบ User login จะมชองใหใสคา Username และ Password ในการ login เพอเขาใชงานในระบบอนเทอรเนต ซงในสวนนผขอใชบรการจาเปนทจะตองมาตดตอเจาหนาทผใหบรการ ในทนเรยกวา Admin เพอใหทาการสราง Username และ Password สาหรบการใชงาน โดย Admin จะเปนผกาหนดอตราคาใชจาย โดยคดเปนชวโมง

40

หรอตามรปแบบทรานอนเทอรเนตคดกน ซงจะไมคอยแตกตางกนมาก เพราะขนตอนสาหรบรานอนเทอรเนตแตละรานนนเหมอนกน แตกตางกนตรงราคาในแตละชวโมงทใช พรอมทงน Admin สามารถกาหนดแบนวธใหแตกตางกนในแตละ Package กได และเมอทาการ login เขาใชงานอนเทอรเนตแลว จะมหนาตางใหมอกหนาตางนง ให user สามารถทจะทาการ logout ออกจากระบบได ดงรปท 4.2

รปท 4.2หนาเวบ User logout

แตถาหาก user ใชงานอนเทอรเนตจนหมดเวลาทไดทาการลงทะเบยนไวแลวนน กจะ

เจอหนาดงรปท 4.3

41

รปท 4.3 หนาเวปแจงหมดเวลาใชงาน

คอจะบอกถงวา Package ท user ไดใชงานไปแลวนน หมดเวลาใชงาน ถาตองการใช

งานตอ ตองไปตดตอกบ admin เพอทาการออก package อนใหม 4.3 รายละเอยดการใชงานหนา Web management การ login เขาใชงานระบบ web manage โดยเมอเปด web browser ไปท http://ip-eth0/Authenจะเปนการเขาสระบบการจดการ จะตองใส user ทเปนสทธของ admin

รปท 4.4 หนาจอ login เขาใชระบบ Web management

42

เมอทาการ login ดวย user ทเปนสทธของ admin กจะสามารถใชงานระบบ web manage ได โดยเมอ login เขามาในระบบแลว จะเหนเมนในการจดการ user

รปท 4.5 หนาจอในการ Manage user

4.4 การ Manage user เปนหนาทแสดงรายละเอยดเกยวกบการเพม user เพอเขาใชงานระบบอนเทอรเนต โดยจะมการใสคา Attribute ตางๆ ใหกบ user ทจะมาขอใชบรการกบทางรานอนเทอรเนตคาเฟ นนคอ ID : รหสบตรประจาตวประชาชน / รหสประจาตว Login Name : ชอ user ทจะใชงาน Password : password ของ user Datarate DN/UL : คา Download / คา Upload Use-Time : กาหนดคาเวลาทสามารถใชงานได เมอทาการใสคาตามรายละเอยดของ user เรยบรอยแลว ใหทาการกดปม Add User เพอตกลงในการเพม user เขามาในระบบ

43

รปท 4.6 แสดงหนาจอในการเพม user เพอเขาใชงานในระบบ

จากรปท 4.6 จะเหนวา มผลการเพม user เขามา ปรากฎบอกดวยวา ไดเพมผใชงานเขามาในระบบเรยบรอยแลว และมคาตามทเราไดใสลงไปในแตละชองดวย

รปท 4.7 ทดสอบ authenดวย user ทเราสรางขนมา

44

4.5 การทดสอบการใชงานอนเทอรเนตของ user ในระบบ เมอ user ทาการ login เขาสระบบ กจะสามารถใชงานอนเตอรเนตได และไดรบคาการใชงานตามททางแอดมนไดกาหนดเอาไว เชน สามารถใชงานในการดาวนโหลด / อพโหลด ตามทใสคาไว สามารถใชงานตามชวโมงทไดตงเอาไว สวนในเรองของนโยบายในการใชงานนนไดกาหนดไวท iptables ของระบบวาจะเปดบรการใดบาง โดยใหสามารถใชงานได ในการทดสอบนน ไดกาหนด user ทชอวา test1 ใหมความอตราการ download 2 Mb, Upload 256 k แลวจงทาการทดสอบวา test สามารถใชงานไดตามแบนวธทไดตงไวหรอไม

รปท 4.8 ทดสอบแบนวธทกาหนดใหกบ user ผลการทดสอบการใชงานของ user ทชอ test1 ในการทดสอบ Speed test เมอทาการทดสอบแลวจะเหนวา สามารถ Speed test ไดอยทดาวนโหลด 2.05 Mb และอพโหลดอยท 0.5 Mb ซงถอวา ในชวงขาดาวนโหลดนนอยในเกณฑทกาหนด แตชวงขาอพโหลดนนคอนขางจะเกนคาทกาหนดไว

45

4.6 การจดการแกไขรายละเอยด user ผานหนาเวบไซต โดยเมอทาการเขาสระบบจะสามารถเขาไปจดการรายละเอยดการใชงานตางๆ ของ user ไดโดยสามารถกดท edit เพอแกไขรายละเอยดตางๆ ผานทางหนาเวบไซต

รปท 4.9 แสดง user ทงหมดในระบบ

รปท 4.10 แสดง user ออนไลนในระบบ

46

4.7 ทดสอบการใชงานระบบจดเกบ Log เมอเขาสหนาตางการใชงาน Log จะสามารถเรยกด log ทเกดขนในระบบได

รปท 4.11 ตวอยางเรยกด log

จากรปนนจะเหนวาไดมการเรยกด log จากระบบทงหมด โดยหลกการเกบ log นนจะเกบมาจาก log ของ iptablesซงจะสามารถเกบรายละเอยดการใชงานในระบบไดทงหมด

รปท 4.12 ตวอยางทา MD5

บทท 5 สรปผลการดาเนนงาน

5.1 กลาวนา จากการทดลองโดยการใช CentOS 5.3เปนระบบปฏบตการททาหนาทเปน Log Serverและเปน Gateway Serverและเครองลกขายสามารถ Authentication กบ RADIUS ไดโดยลง package ตางๆ ทเกยวของ คอ Syslog-ng, Chillispot, Freeradius, mysql, iptablesเพอทาหนาทในการจดการ การใชอนเทอรเนตสาหรบ รานอนเทอรเนตคาเฟไดเปนอยางด 5.2 ปญหาและอปสรรคในการพฒนาระบบ 5.2.1 จากการไดศกษาและทดลองเกยวกบการเกบ log ตาม พรบ.นน พบปญหาบางประการ เชน ทาอยางไรใหสามารถเกบ log ถกตองตามกฎ พรบ.เพราะกฎวาตองมการเกบรกษาความลบของขอมลทจดเกบ, กาหนดชนความลบในการเขาถงขอมลเพอรกษาความนาเชอถอ และยงไมใหผดแลระบบสามารถแกไขขอมลทเกบรกษา ซงรานอนเทอรเนตคาเฟโดยทวไปไมสามารถทาแบบนนได 5.2.2 การปองกนการโหลดบท และการใชงานโปรแกรมประเภท net cut นนยงไมสามารถปองกนไดอยางเตมท 5.3 แนวทางในการศกษาตอ

5.3.1 ปรบปรงระบบใหมความเสถยรภาพมากขน 5.3.2 ปรบปรงในเรองของระบบ user ในการใชงาน 5.3.3 ศกษาในเรองของรปแบบการใชงานหนา Web Management เพอจดการกบ

ระบบ log ใหสามารถแยกประเภทของการใชงาน หรอประเภทของการใชไฟลได

48

เอกสารอางอง

[1] สรการ ดวงผาสข, การตดตงระบบเกบขอมลจราจร (Traffic Data) ตาม พระราชบญญตวาดวยการกระทาผดเกยวกบคอมพวเตอร พ.ศ.2550, มหาวทยาลยเทคโนโลยมหานคร, พ.ศ. 2552. [2] บญลอ อยคง, คมอประกอบการฝกอบรมปฏบตงาน Linux Server Security, พ.ศ. 2551. [3] จตชย แพงจนทร, อนโชต วฒพรพงษ, เจาะระบบ Network 2nd, infopress, พ.ศ. 2551. [4] ภวดลดานระหาญ, “Syslog-ng (Syslog net gereration).” [Online]. Available: http://www.thaicert.or.th/archive2011/paper/unix_linux/syslog-ng.php [5] ภวดลดานระหาญ, “Linux 2.4 Statefull Firewall : IPTABLES.” [Online]. Available: http://www.thaicert.or.th/archive2011/paper/firewall/iptables.php [6] http://th.wikipedia.org/wiki/ลนกซ [7] ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสารเรองหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการพ.ศ. 2550, ประกาศราชกจจานเบกษา เลมท 124 ตอนพเศษ 102 ง หนา 5, 23 สงหาคม 2550. [8] พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550. ประกาศราชกจจานเบกษา เลมท 124 ตอน 27 ก หนา 4, 18 มถนายน 2550. [9] ปรญญาหอมอเนก และคณะ, คมอวธปฏบตสาหรบองคกรตาม พระราชบญญต วาดวยการกระทาความเกยวกบคอมพวเตอร พ.ศ.2550 และ ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ.2550. ACIS Professional Center. [Online]. Available: http://www.acisonline.net/ (17 June 2009). [10] เลอศกด ลมววฒนกล และคณะ, แนวทางการจดเกบขอมลลอกสาหรบองคกรเพอใหสอดคลองตาม พระราชบญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550. ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, 2551. [11] ภวดลดานระหาญ, “ทาความรจกกบ syslogd.” [Online]. Available: http://thaicert.nectec.or.th/paper/unix_linux/linux_syslog.php (17 June 2009). [12] มนชยา ชมธวช, “เรองนารเกยวกบความปลอดภยของ MySQL Server.” [Online]. Available: http://thaicert.nectec.or.th/paper/unix_linux/mysql.php (17 June 2008)

49

ภาคผนวก ก.

คาสง และคอนฟกตาง ๆ ในการทาสารนพนธ

50

1. การตดตง Linux CentOS 5.3 1.1 ทาการตดตง Linux CentOS 5.3 ตามปกต และทาการเลอก package เหลาน

เขาไปดวย httpd(เปน Web Server), squid, mysqlเพอความสะดวก 1.2 หลงจาก reboot เครอง ใหปดการทางาน โดยเลอก SeLinux = diaabled 1.3 แกไขไฟล /etc/sysctl.confโดยใชคาสง vi /etc/sysctl.conf

เดม net.ipv4.ip_forward = 0 เปน net.ipv4.ip_forware = 1

1.4 แกไขให httpd, squid, mysqlทางานทกครงเมอมการ boot เครอง ใชคาสง chkconfig--level 2345 httpd on chkconfig--level 2345 squid on

1.5 สงให service ทางานใหม servicehttpd restart service squid restart servicemysql restart

2. การตดตง และการ configuration freeradius 2.1 ตดตง package โดยใชคาสง 2.2 แกไขใหทางานทกครงเมอมการ boot ใชคาสง 2.3 สงให service ทางานใหม 2.4 ไฟลทเกยวของ

/var/log/radius/radius.log เปนไฟลสาหรบด error /etc/raddb/radius.confเปนไฟลสาหรบ config /etc/raddb/clients.confเปนไฟลสาหรบอนญาตให ipใดใชงาน radius ได

3. การตดตง และการ configuration chillispotแบบ Web Login 3.1 ทาการตดตง package chillispot-1.1.0.i386.rpm

รปท ก.1 การตดตง package chillispot-1.1.0.i386.rpm

51

3.2 ไฟลทเกยวของ /etc/chilli.conf

/var/www/cgi-bin/hostspotlogin.cgi

/var/www.html/welcome.html

/etc/firewall.iptables 3.3 แกไขไฟล /etc/sysconfig/network-scripts/ifcfg-eth1

รปท ก.2 การแกไขไฟล /etc/sysconfig/network-scripts/ifcfg-eth1

3.4 แกไขไฟล /etc/chilli.confโดยใชคาสง vi /etc/chilli.conf

แลวทาการแกไขคาตางๆดงน

[หวขอ # TUN parameters]

เดม # 192.168.182.0/24

ใหพมพ net 10.0.1.0/24 (เปน network ลกขายของเรา)

[หวขอ # Radius parameters]

[# TAG : radiusserver1]

เดม radiusserver1 rad01.chillispot.org(ทาการใสเครองหมาย # บรรทดน)

พมพเพม radiusserver1 127.0.0.1

[# TAG : radiusserver2]

เดม radiusserver2 rad02.chillispot.org (ทาการใสเครองหมาย # บรรทดน)

พมพเพม radiusserver2 127.0.0.1

[ # TAG : radiussercret ]

เดม radiussecret testing123

(ยงไมแกไข เมอใชงานจรงควรแกไข ใหตรงกบคา radius secret ของไฟล

/etc/raddb/clients.conf)

52

[หวขอ # Universal access method (UAM) parameters]

[ # TAG : uamserver ]

เดม uamserver https://radius.chillispot.org/hotspotlogin (ใสเครองหมาย # หนาบรรทดน)

พมพเพม uamserver https://10.0.1.1/cgi-bin/hotspotlogin.cgi

[ # TAG : uamhomepage ]

เดม uamhomepage http://192.168.182.1/welcome.html (ใสเครองหมาย # หนาบรรทดน)

พมพเพม uamhomepage http://10.0.1.1/welcome.html

[ # TAG : uamsecret ]

เดม #uamsecret ht2eb8ej6s4et3rglulp

แกเปนuamsecret ht2eb8ej6s4et3rglulp

(เอาเครองหมาย # หนาบรรทดนออก หรอจะทาการแกไขรหสใหมกได แตตองใหมคา

เหมอนกบในไฟล hotspotlogin.cgi)

[ # TAG : uamlisten ]

เดม #uamlisten 192.168.182.1

พมพเพม uamlisten 10.0.1.1

3.5 copy file firewall.iptables ดวยคาสง cp /usr/share/doc/chillispot-1.1.0/firewall.iptables /etc

3.6 copy file hotspotlogin.cgi cp /usr/share/doc/chillispot-1.1.0/ hotspotlogin.cgi /var/www/cgi-bin/

3.7 แกไขไฟล vi /var/www/cgi-bin/hotspotlogin.cgiคาตางๆดงน เดม # $uamsecret = “ht2eb8ej6s4et3rglulp”; เปน $uamsecret = “ht2eb8ej6s4et3rglulp”;

(เอาเครองหมาย # ออก ถาไมตองการเปลยนคาของ uamsecretหรอตองการทจะทาการแกไขรหสใหมกได แตตองใหมคาเหมอนกบในไฟล /etc/chilli.conf)

เดม # userpassword=1; (เอาเครองหมาย # ออก) เปน $userpassword=1;

53

3.8 สรางไฟล /var/www/html/welcome.html โดยมรายละเอยด คอ

รปท ก.3 การสรางไฟล /var/www/html/welcome.html

3.9 ดาวนโหลดรป chillispot.png แลวไปไวท /var/www/html 3.10 แกไขใหทางานทกครงเมอมการ boot เครอง ใชคาสง

chkconfig --level 2345 chilli on 3.11 สงให service ทางานใหม

รปท ก.4 การสงให service chilli restart

54

3.12 เมอ restart เรยบรอยแลว กจะม interface tun0 เปน 10.0.1.1

3.13 3.14

รปท ก.5 แสดง interface tun0 เปน 10.0.1.1

3.13 copy ไฟล firewall.iptablesดวยคาสง cp /usr/share/doc/chillispot-1.1.0/firewall.iptables /etc

3.12 แกไขไฟล vi /etc/rc.localโดยเพม 2 บรรทดดานลางน เพอให firewall.iptables และ chillispot แลวทาการบตเครองใหม

sh /etc/firewall.iptables servicechilli start

4 การตดตงและการ configuration Mysql โดยม package ทเกยวของในการตดตงคอ

mysql -5.0.45-4 mysql-server-5.0.45-4 freeradius-mysql-1.1.7-3.1

55

4.1 หลงจากท start service mysql แลว ในครงแรกนน ใหทาการ create password ใหกบ admin ของ mysql ซงกคอ root (คนละ root กบของ system)โดยใชคาสง /usr/bin/mysqladmin -u root password ‘abcd1234’

และเมอเราตองการออกจาก mysql กใหพมพคาวา quit

รปท ก.6 แสดงการสราง password ใหกบ admin ของ mysql

4.2 สราง database และ user ใหมชอ radius เพอให freeradiusใชเปนฐานขอมลทเกยวของในการ authentication โดยเขา mysqlครงแรกใหเปน root กอน

4.3 นา database schema ของfreeradiusมาใชงาน โดยคาสง mysql -uroot -pabcd1234 radius < /usr/share/doc/freeradius-1.1.5/examples/mysql.sql

56

5 การตดตง และการ configuration freeradius-mysql 5.1 ทาการตดตง package freeradius-server โดยวธการ yum install เพอทจะให

mysqlทางานรวมกบ freeradius

รปท ก.7 การตดตง package freeradius-server

5.2 แกไขไฟล /etc/raddb/sql.conf

login = “radius” password = “abcd1234” radius_db= “radius”

5.3 แกไขไฟล etc/raddb/radiusd.conf เดม # $INCLUDE ${confdir}/sql.conf (เอาเครองหมาย # ออก) เปน $INCLUDE ${confdir}/sql.conf

5.4 แกไขไฟล /etc/raddb/radiusd.conf เดม # See “Authoriaztion Queries” in sql.conf # sql (เอาเครองหมาย # หนา sqlออก)

57

เปน # See “Authoriaztion Queries” in sql.conf sql เดม # See “Accounting queries” in sql.conf # sql (เอาเครองหมาย # หนา sqlออก) เปน # See “Accounting queries” in sql.conf sql เดม # See “Simultaneous Use Checking Querie” in sql.conf # sql (เอาเครองหมาย # หนา sqlออก) เปน # See “Simultaneous Use Checking Querie” in sql.conf sql

5.5 แกไขไฟล /etc/raddb/radiusd.conf เพอเพม modules sqlcounter ทสามารถใชงานในสวนของ session-timeout ม 3 module คอ noresetcounter, dailycounter, monthlycounterลงใน section authorize {….} คอ

รปท ก.8 การเพม modules sqlcounter

5.6 แกไขไฟล /etc/raddb/radiusd.confโดยเพม noresetcounterไวบน sqlcounterทชอ dailycounterดงรายละเอยดดานลาง

รปท ก.9 การเพม noresetcounter

58

5.7 สรางไฟล script ชอ /etc/raddb/log-gateway.sh เพอจดให log ของการใชงาน Radius แบงเปนเวลาตามวน

รปท ก.10 การสรางไฟล script ชอ /etc/raddb/log-gateway.sh

5.8 หลงจากแกไขไฟลทงหมดแลว ทาการ service restart

6 การตดตง และการ configuration squid 6.1 หลงจากมการตดตงแลว ทาการแกไขไฟล /etc/squid/squid.conf

รปท ก.11 การแกไขไฟล /etc/squid/squid.conf

59

6.2 ทาการกาหนด transparent proxy ดวย การแกไขไฟล /etc/firewall.iptables

รปท ก.12 การกาหนด transparent proxy

6.3 หลงจากนนสงให iptablesทางานโดยใชคาสง

sh /etc/firewall.iptables 6.4 หลงจากแกไขไฟลทงหมดแลว ทาการ sevice squid restart

7 การตดตงและการ configuration NTP (Network Time Protocol) 7.1 ทาการแกไขไฟล /etc/ntp.conf ตามคาดานลาง [root@Gateway ~ ]#vi /etc/ntp.conf driftfile /var/lib/ntp/drift restrict default kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict 10.0.1.0 mask 255.255.255.0 nomodify notrap server 203.185.69.60 server time.navy.mi.th dynamic server time.nist.gov dynamic server 127.0.1.0 # local clock fudge 127.0.1.0 stratum 10 includefile /etc/ntp/crypto/pw keys /etc/ntp/keys

รปท ก.13 การแกไขไฟล /etc/ntp.conf

7.2 ทาการ restart service ดวยคาสง service ntpd restart 7.3 ทาการ configเครองลกขายทใช ระบบปฏบตการ Windows XP ดงน

- เลอกเมน Start -> Run -> พมพ regedit แลวกด Enter แลวเลอก Tap [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\TimeProvicers

\NtpClient]

จากนน double click ไฟล SpecialPollInterval ใหเลอกเปน decimal จะมคา 604800

มหนวยเปน วนาท ซง 604800 = 7 วน ในทนจะเลอกคา = 60 วนาท

60

- double click ทชอง time มมขวาลาง แลวเลอก tab Internet Time ในชอง server ใหใส ip = 10.0.0.1 เปน ip ของ card tun0 แลวตก Automatically synchronize

7.4 เพม rule ใสในไฟล /etc/firewall.iptables [root@Gateway ~ ]# vi /etc/firewall.iptables # Allow ntpd $IPTABLES –A INPUT –p udp –dport 123 –j ACCEPT $IPTABLES –A OUTPUT –p upd –dport 123 – ACCEPT

รปท ก.14 เพม rule ใสในไฟล /etc/firewall.iptables

7.5 หลงจากนนสงให iptables ทางานโดยใชคาสง sh /etc/firewall.iptables

61

ภาคผนวก ข

พระราชบญญตวาดวยการกระทาความคดเกยวกบคอมพวเตอรพ.ศ.๒๕๕๐

62

พระราชบญญตวาดวยการกระทาความคดเกยวกบคอมพวเตอรพ.ศ.๒๕๕๐

พระบาทสมเดจพระปรมนทรมหาภมพลอดลยเดช มพระบรมราชโองการโปรดเกลา ฯใหประกาศวา โดยทเปนการสมควรมกฎหมาย วาดวยการกระทาความผดเกยวกบคอมพวเตอรจงทรงพระกรณาโปรดเกลา ฯ ใหตราพระราชบญญตขนไวโดยคาแนะนาและยนยอมของสภานตบญญตแหงชาต ดงตอไปน

มาตรา ๑ พระราชบญญตนเรยกวา “พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐”

มาตรา ๒ พระราชบญญตนใหใชบงคบเมอพนกาหนดสามสบวนนบแตวนประกาศในราชกจจานเบกษาเปนตนไป

มาตรา ๓ ในพระราชบญญตน “ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการทางานเขาดวยกน โดยไดมการกาหนดคาสง ชดคาสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณทาหนาทประมวลผลขอมลโดย อตโนมต“ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ คาสง ชดคาสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจ ประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทาง อเลกทรอนกสดวย “ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลาชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน “ผใหบรการ” หมายความวา(๑) ผใหบรการแกบคคลอนในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกนโดยประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการใหบรการในนามของตนเอง หรอในนามหรอเพอประโยชนของบคคลอน

(๒) ผใหบรการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลอน “ผใชบรการ” หมายความวา ผใชบรการของผใหบรการไมวาตองเสยคาใชบรการหรอไมกตาม“พนกงานเจาหนาท” หมายความวา ผซงรฐมนตรแตงตงใหปฏบตการตามพระราชบญญตน“รฐมนตร” หมายความวา รฐมนตรผรกษาการตามพระราชบญญตน

มาตรา ๔ ใหรฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสารรกษาการตามพระราชบญญตน และใหมอานาจออกกฎกระทรวง เพอปฏบตการตามพระราชบญญตน กฎกระทรวงนน เมอไดประกาศในราชกจจานเบกษาแลวใหใชบงคบได

63

หมวด ๑ ความผดเกยวกบคอมพวเตอร

มาตรา ๕ ผใดเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนน มไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนหกเดอน หรอปรบไมเกนหนงหมนบาท หรอทงจาทงปรบ

มาตรา ๖ ผใดลวงรมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดทาขนเปนการเฉพาะถานามาตรการดงกลาวไปเปดเผยโดยมชอบ ในประการทนาจะเกดความเสยหายแกผอน ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ

มาตรา ๗ ผใดเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนสองปหรอปรบไมเกนสหมนบาทหรอทงจาทงปรบ

มาตรา ๘ ผใดกระทาดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไว ซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคล ทวไปใชประโยชนไดตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ

มาตรา ๙ ผใดทาใหเสยหาย ทาลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ ตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ

มาตรา ๑๐ ผใดกระทาดวยประการใดโดยมชอบ เพอใหการทางานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถทางานตามปกตไดตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ

มาตรา ๑๑ ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ตองระวางโทษปรบไมเกนหนงแสนบาท

มาตรา ๑๒ ถาการกระทาความผดตามมาตรา ๙ หรอมาตรา ๑๐

(๑) กอใหเกดความเสยหายแกประชาชน ไมวาความเสยหายนนจะเกดขนในทนทหรอในภายหลง และไมวาจะเกดขนพรอมกนหรอไม ตองระวางโทษจาคกไมเกนสบป และปรบไมเกนสองแสนบาท

(๒) เปนการกระทาโดยประการทนาจะเกดความเสยหายตอขอมลคอมพวเตอร หรอระบบคอมพวเตอรทเกยวกบการรกษาความมนคงปลอดภยของประเทศ ความปลอดภยสาธารณะ ความมนคงในทางเศรษฐกจของประเทศ หรอการบรการสาธารณะ หรอเปนการกระทาตอขอมลคอมพวเตอรหรอระบบคอมพวเตอรทมไวเพอ ประโยชนสาธารณะ ตองระวางโทษจาคก

64

ตงแตสามปถงสบหาป และปรบตงแตหกหมนบาทถงสามแสนบาทถาการกระทาความผดตาม (๒) เปนเหตใหผอนถงแกความตาย ตองระวางโทษจาคกตงแตสบปถงยสบป

มาตรา ๑๓ ผใดจาหนายหรอเผยแพรชดคาสงทจดทาขนโดยเฉพาะเพอนาไปใชเปนเครองมอในการกระทาความผดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรอมาตรา ๑๑ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ

มาตรา ๑๔ ผใดกระทาความผดทระบไวดงตอไปน ตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ

(๑) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอมไมวาทงหมดหรอบางสวน หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน

๒) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความ ตนตระหนกแกประชาชน

(๓) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการ กอการรายตามประมวลกฎหมายอาญา

(๔) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ ทมลกษณะอนลามกและขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได

(๕) เผยแพรหรอสงตอซงขอมลคอมพวเตอรโดยรอยแลววาเปนขอมลคอมพวเตอรตาม (๑)(๒) (๓) หรอ (๔)

มาตรา ๑๕ ผใหบรการผใดจงใจสนบสนนหรอยนยอมใหมการกระทาความผดตามมาตรา ๑๔ ในระบบคอมพวเตอรทอยในความควบคมของตน ตองระวางโทษเชนเดยวกบผกระทาความผดตามมาตรา ๑๔

มาตรา ๑๖ ผ ใ ด น า เข าส ร ะบบคอมพ ว เตอรท ป ร ะชาชนท ว ไปอาจ เข าถ ง ได ซ งขอมลคอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะทาใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย ตองระวางโทษจาคกไมเกนสามป หรอ ปรบไมเกนหกหมนบาท หรอทงจาทงปรบ ถาการกระทาตามวรรคหนง เปนการนาเขาขอมลคอมพวเตอรโดยสจรต ผกระทาไมมความผด ความผดตามวรรคหนงเปนความผดอนยอมความได ถาผเสยหายในความผดตามวรรคหนงตายเสยกอนรองทกข ใหบดา มารดา คสมรส หรอ บตรของผเสยหายรองทกขได และใหถอวาเปนผเสยหาย

มาตรา ๑๗ ผใดกระทาความผดตามพระราชบญญตนนอกราชอาณาจกรและ

(๑) ผกระทาความผดนนเปนคนไทย และรฐบาลแหงประเทศทความผดไดเกดขนหรอผเสยหายไดรองขอใหลงโทษ หรอ

65

(๒) ผกระทาความผดนนเปนคนตางดาว และรฐบาลไทยหรอคนไทยเปนผเสยหายและผเสยหายไดรองขอใหลงโทษจะตองรบโทษภายในราชอาณาจกร

หมวด ๒พนกงานเจาหนาท

มาตรา ๑๘ ภายใตบงคบมาตรา ๑๙ เพอประโยชนในการสบสวนและสอบสวนในกรณทมเหตอนควรเชอไดวามการ กระทาความผดตามพระราชบญญตน ใหพนกงานเจาหนาทมอานาจอยางหนงอยางใด ดงตอไปน เฉพาะทจาเปนเพอประโยชนในการใชเปนหลกฐานเกยวกบการกระทาความผด และหาตวผกระทาความผด

(๑) มหนงสอสอบถามหรอเรยกบคคลทเกยวของกบการกระทาความผดตามพระราชบญญตนมาเพอใหถอยคา สงคาชแจงเปนหนงสอ หรอสงเอกสาร ขอมล หรอหลกฐานอนใดทอยในรปแบบทสามารถเขาใจได

(๒) เรยกขอมลจราจรทางคอมพวเตอรจากผใหบรการเกยวกบการตดตอสอสาร ผานระบบคอมพวเตอรหรอจากบคคลอนทเกยวของ

(๓) สงใหผใหบรการสงมอบขอมลเกยวกบผใชบรการทตองเกบตามมาตรา ๒๖ หรอทอยในความครอบครองหรอควบคมของผใหบรการใหแกพนกงานเจาหนาท

(๔) ทาสาเนาขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร จากระบบคอมพวเตอรทมเหตอนควรเชอไดวามการกระทาความผดตามพระราช บญญตน ในกรณทระบบคอมพวเตอรนนยงมไดอยในความครอบครองของพนกงานเจา หนาท

(๕) ส งใหบคคลซงครอบครองหรอควบคมขอมลคอมพวเตอร หรออปกรณท ใช เ กบขอมลคอมพวเตอร สงมอบขอมลคอมพวเตอร หรออปกรณดงกลาวใหแกพนกงานเจาหนาท

(๖) ตรวจสอบหรอเขาถงระบบคอมพวเตอร ขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอรหรออปกรณทใชเกบขอมลคอมพวเตอรของบคคล ใด อนเปนหลกฐานหรออาจใชเปนหลกฐานเกยวกบการกระทาความผด หรอเพอสบสวนหาตวผกระทาความผดและสงใหบคคลนนสงขอมล คอมพวเตอรขอมลจราจรทางคอมพวเตอร ทเกยวของเทาทจาเปนใหดวยกได

(๗) ถอดรหสลบของขอมลคอมพวเตอรของบคคลใด หรอสงใหบคคลทเกยวของกบการเขารหสลบของขอมลคอมพวเตอร ทาการถอดรหสลบ หรอใหความรวมมอกบพนกงานเจาหนาทในการถอดรหสลบดงกลาว

(๘) ยดหรออายดระบบคอมพวเตอรเทาทจาเปนเฉพาะเพอประโยชนในการทราบราย ละเอยดแหงความผดและผกระทาความผดตามพระราชบญญตน

มาตรา ๑๙ การใชอานาจของพนกงานเจาหนาทตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ(๘) ใหพนกงานเจาหนาทยนคารองตอศาลทมเขตอานาจเพอมคาสงอนญาตให พนกงานเจาหนาท

66

ดาเนนการตามคารอง ทงน คารองตองระบเหตอนควรเชอไดวาบคคลใดกระทาหรอกาลงจะกระทาการอยาง หนงอยางใดอนเปนความผดตามพระราชบญญตน เหตทตองใชอานาจ ลกษณะของการกระทาความผด รายละเอยดเกยวกบอปกรณทใชในการกระทาความผดและผกระทาความผด เทาทสามารถจะระบได ประกอบคารองดวยในการพจารณาคารองใหศาลพจารณาคารองดงกลาวโดยเรว เมอศาลมคาสงอนญาตแลว กอนดาเนนการตามคาสงของศาล ใหพนกงานเจาหนาทสงสาเนาบนทกเหตอนควรเชอททาใหตองใชอานาจ ตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบใหเจาของหรอผครอบครองระบบคอมพวเตอรนนไวเปนหลกฐาน แตถาไมมเจาของหรอผครอบครองเครองคอมพวเตอรอย ณ ทนน ใหพนกงานเจาหนาทสงมอบสาเนาบนทกนนใหแกเจาของหรอผครอบครองดงกลาวในทนททกระทาไดใหพนกงานเจาหนาทผเปนหวหนาในการดาเนนการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ(๘) สงสาเนาบนทกรายละเอยดการดาเนนการและเหตผลแหงการดาเนนการใหศาลทม เขตอานาจภายในสสบแปดชวโมงนบแตเวลาลงมอดาเนนการ เพอเปนหลกฐานการทาสาเนาขอมลคอมพวเตอรตามมาตรา ๑๘ (๔) ใหกระทาไดเฉพาะเมอมเหตอนควรเชอไดวามการกระทาความผดตามพระราช บญญตน และตองไมเปนอปสรรคในการดาเนนกจการของเจาของหรอผครอบครองขอมล คอมพวเตอรนนเกนความจาเปน การยดหรออายดตามมาตรา ๑๘ (๘) นอกจากจะตองสงมอบสาเนาหนงสอแสดงการยดหรออายดมอบใหเจาของหรอผ ครอบครองระบบคอมพวเตอรนนไวเปนหลกฐานแลว พนกงานเจาหนาทจะสงยดหรออายดไวเกนสามสบวนมได ในกรณจาเปนทตองยดหรออายดไวนานกวานน ใหยนคารองตอศาลทมเขตอานาจเพอขอขยายเวลายดหรออายดได แตศาลจะอนญาตใหขยายเวลาครงเดยวหรอหลายครงรวมกนไดอกไมเกนหกสบ วน เมอหมดความจาเปนทจะยดหรออายดหรอครบกาหนดเวลาดงกลาวแลว พนกงานเจาหนาทตองสงคนระบบคอมพวเตอรทยดหรอถอนการอายดโดยพลน หนงสอแสดงการยดหรออายดตามวรรคหาใหเปนไปตามทกาหนดในกฎกระทรวง

มาตรา ๒๐ ในกรณทการกระทาความผดตามพระราชบญญตนเปนการทาใหแพรหลายซง ขอมลคอมพวเตอร ทอาจกระทบกระเทอนตอความมนคงแหงราชอาณาจกร ตามทกาหนดไวในภาคสองลกษณะ ๑ หรอลกษณะ ๑/๑ แหงประมวลกฎหมายอาญา หรอทมลกษณะขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน พนกงานเจาหนาทโดยไดรบความเหนชอบจากรฐมนตรอาจยนคารอง พรอมแสดงพยานหลกฐานตอศาลทมเขตอานาจขอใหมคาสงระงบการทาใหแพร หลายซงขอมลคอมพวเตอรนนได ในกรณทศาลมคาสงใหระงบการทาใหแพรหลายซงขอมลคอมพวเตอรตามวรรค หนง ใหพนกงานเจาหนาททาการระงบการทาใหแพรหลายนนเอง หรอสงใหผใหบรการระงบการทาใหแพรหลายซงขอมลคอมพวเตอรนนก ได

มาตรา ๒๑ ในกรณทพนกงานเจาหนาทพบวา ขอมลคอมพวเตอรใดมชดคาสงไมพงประสงครวมอยดวย พนกงานเจาหนาทอาจยนคารองตอศาลทมเขตอานาจเพอขอใหมคาสงหาม จาหนายหรอเผยแพร หรอสงใหเจาของหรอผครอบครองขอมลคอมพวเตอรนนระงบการใช ทาลายหรอแกไขขอมลคอมพวเตอรนนได หรอจะกาหนดเงอนไขในการใช มไวในครอบครอง

67

หรอเผยแพรชดคาสงไมพงประสงคดงกลาวกไดชดคาสงไมพงประสงคตาม วรรคหนงหมายถงชดคาสงทมผลทาใหขอมลคอมพวเตอร หรอระบบคอมพวเตอรหรอชดคาสงอนเกดความเสยหาย ถกทาลาย ถกแกไขเปลยนแปลงหรอเพมเตมขดของ หรอปฏบตงานไมตรงตามคาสงทกาหนดไว หรอโดยประการอนตามทกาหนดในกฎกระทรวงทงน เวนแตเปนชดคาสงทมงหมายในการปองกนหรอแกไขชดคาสงดงกลาว ขางตน ตามทรฐมนตรประกาศในราชกจจานเบกษา

มาตรา ๒๒ หามมใหพนกงานเจาหนาทเปดเผยหรอสงมอบขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตามมาตรา ๑๘ ใหแกบคคลใดความในวรรคหนงมใหใชบงคบกบการกระทาเพอประโยชนในการดาเนนคดกบผกระทาความผดตามพระราชบญญตน หรอเพอประโยชนในการดาเนนคดกบพนกงานเจาหนาทเกยวกบการใชอานาจหนาทโดยมชอบ หรอเปนการกระทาตามคาสงหรอทไดรบอนญาตจากศาลพนกงานเจาหนาทผ ใดฝาฝนวรรคหนงตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ

มาตรา ๒๓ พนกงานเจาหนาทผใดกระทาโดยประมาทเปนเหตใหผอนลวงรขอมลคอมพวเตอรขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตามมาตรา ๑๘ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ

มาตรา ๒๔ ผใดลวงรขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอรหรอขอมลของผใชบรการ ทพนกงานเจาหนาทไดมาตามมาตรา ๑๘ และเปดเผยขอมลนนตอผหนงผใด ตองระวางโทษจาคกไมเกนสองป หรอปรบไมเกนสหมนบาท หรอทงจาทงปรบ

มาตรา ๒๕ ขอมล ขอมลคอมพวเตอร หรอขอมลจราจรทางคอมพวเตอรทพนกงานเจาหนาทไดมาตามพระราชบญญตน ใหอางและรบฟงเปนพยานหลกฐานตามบทบญญตแหงประมวลกฎหมายวธพจารณาความอาญาหรอกฎหมายอนอนวาดวยการสบพยานได แตตองเปนชนดทมไดเกดขนจากการจงใจมคามนสญญา ขเขญ หลอกลวง หรอโดยมชอบประการอน

มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวาเกาสบ วนนบแตวนทขอมลนนเขาสระบบคอมพวเตอร แตในกรณจาเปนพนกงานเจาหนาทจะสงใหผใหบรการผใดเกบรกษา ขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวน แตไมเกนหนงปเปนกรณพเศษเฉพาะรายและเฉพาะคราวกได ผใหบรการจะตองเกบรกษาขอมลของผใชบรการเทาทจาเปนเพอให สามารถระบตวผใชบรการ นบตงแตเรมใชบรการและตองเกบรกษาไวเปนเวลาไมนอยกวาเกาสบวน นบตงแตการใชบรการสนสดลง ความในวรรคหนงจะใชกบผใหบรการประเภทใด อยางไร และเมอใด ใหเปนไปตามทรฐมนตรประกาศในราชกจจานเบกษาผใหบรการผใดไมปฏบตตามมาตราน ตองระวางโทษปรบไมเกนหาแสนบาท

68

มาตรา ๒๗ ผใดไมปฏบตตามคาสงของศาลหรอพนกงานเจาหนาททสงตามมาตรา ๑๘ หรอมาตรา ๒๐ หรอไมปฏบตตามคาสงของศาลตามมาตรา ๒๑ ตองระวางโทษปรบไมเกนสองแสนบาทและปรบเปนรายวนอกไมเกนวนละหาพน บาทจนกวาจะปฏบตใหถกตอง

มาตรา ๒๘ การแตงตงพนกงานเจาหนาทตามพระราชบญญตน ใหรฐมนตรแตงตงจากผมความรและความชานาญเกยวกบระบบคอมพวเตอร และมคณสมบตตามทรฐมนตรกาหนด

มาตรา ๒๙ ในการปฏบตหนาทตามพระราชบญญตน ใหพนกงานเจาหนาทเปนพนกงานฝายปกครองหรอตารวจชนผใหญตามประมวล กฎหมายวธพจารณาความอาญามอานาจรบคารองทกขหรอรบคากลาวโทษ และมอานาจในการสบสวนสอบสวนเฉพาะความผดตามพระราชบญญตน ในการจบ ควบคม คน การทาสานวนสอบสวนและดาเนนคดผกระทาความผดตามพระราชบญญตน บรรดาทเปนอานาจของพนกงานฝายปกครองหรอตารวจชนผใหญ หรอพนกงานสอบสวนตามประมวลกฎหมายวธพจารณาความอาญา ใหพนกงานเจาหนาทประสานงานกบพนกงานสอบสวนผรบผดชอบเพอดาเนนการ ตามอานาจหนาทตอไป ใหนายกรฐมนตรในฐานะผกากบดแลสานกงานตารวจแหงชาต และรฐมนตรมอานาจ รวมกนกาหนดระเบยบเกยวกบแนวทางและวธปฏบตในการดาเนนการตามวรรคสอง

มาตรา ๓๐ ในการปฏบตหนาท พนกงานเจาหนาทตองแสดงบตรประจาตวตอบคคลซงเกยวของ บตรประจาตวของพนกงานเจาหนาทใหเปนไปตามแบบทรฐมนตรประกาศในราชกจจานเบกษา

ผรบสนองพระบรมราชโองการ

พลเอก สรยทธ จลานนท

นายกรฐมนตร

หมายเหต :- เหตผลในการประกาศใชพระราชบญญตฉบบน คอ เนองจากในปจจบนระบบคอมพวเตอรไดเปนสวนสาคญ ของการประกอบกจการ และการดารงชวตของมนษย หากมผกระทาดวยประการใด ๆ ใหระบบคอมพวเตอรไมสามารถทางานตามคาสงทกาหนดไว หรอทาใหการทางานผดพลาดไปจากคาสงทกาหนดไว หรอใชวธการใด ๆ เขาลวงรขอมล แกไข หรอทาลายขอมลของบคคลอน ในระบบคอมพวเตอรโดยมชอบ หรอใชระบบคอมพวเตอร เพอเผยแพรขอมลคอมพวเตอรอนเปนเทจ หรอมลกษณะอนลามกอนาจาร ยอมกอใหเกดความเสยหาย กระทบกระเทอนตอเศรษฐกจ สงคม และความมนคงของรฐ รวมทงความสงบสขและศลธรรมอนดของประชาชน สมควรกาหนดมาตรการเพอปองกนและปราบปรามการกระทาดงกลาว จงจาเปนตองตราพระราชบญญตน