Log system (for Internet cafe) - MUT
Transcript of Log system (for Internet cafe) - MUT
การพฒนาระบบเกบขอมลการจราจรบนระบบเครอขาย (สาหรบรานอนเตอรเนต)
Log System (For Internet café)
ชยนต เชนพน ChayunChanpoon
สารนพนธฉบบนเปนสวนหนงของการศกษา ตามหลกสตรวทยาศาสตรมหาบณฑต
สาขาวชาเทคโนโลยสารสนเทศ บณฑตวทยาลย มหาวทยาลยเทคโนโลยมหานคร
ปการศกษา 2555
I
หวขอสารนพนธ การพฒนาระบบเกบขอมลการจราจรบนระบบเครอขาย (สาหรบรานอนเตอรเนต)
นกศกษา นายชยนต เชนพน รหสนกศกษา 5117620017 ปรญญา วทยาศาสตรมหาบณฑต สาขาวชา เทคโนโลยสารสนเทศ พ.ศ. 2555 อาจารยผควบคมสารนพนธ ดร.วรพล ลลาเกยรตสกล
บทคดยอ
สารนพนธนเปนการนาเสนอ การพฒนาระบบเกบขอมลการจราจรบนระบบเครอขาย (สาหรบรานอนเทอรเนต) คอ เกบขอมลการใชเครอขายและขอมลผใชเพอการพสจนตวตนสาหรบเปนหลกฐานทางกฎหมายทสอดคลอง พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550 ในสวนรานอนเทอรเนตคาเฟ โดยมความสามารถในการควบคมแบนวธผใชงานอนเทอรเนต ใหมการใชงานไดเปนอยางด ลดปญหาตางๆในใชงาน เชนแบนวธเตม และจดทาเกยวกบระบบการจดเกบลอกในการใชงานผานหนาเวบอนเตอรเฟสเพอใหผใชงานสามารถใชงานไดอยางสะดวก
II
กตตกรรมประกาศ
สารนพนธฉบบนสาเรจไดจากแนวความคดและการแนะนาการดาเนนงานโครงงาน องคความรตางๆ จากอาจารย ดร.วรพล ลลาเกยรตสกล อาจารยทปรกษาทไดเสยสละเวลาใหคาปรกษาตรวจสอบขอบกพรองของระบบใหมความสมบรณ อกทงเพอๆทคอยชวยเหลอ สนบสนนการจดทาสารนพนธฉบบน ขอกราบขอพระคณ คณาจารยทกทานทชวยประสทธประสาทวชาความรจนสามารถจดทาสารนพนธใหสาเรจไดดวยด ทายนขอกราบพระคณบดามารดาทคอยใหกาลงใจเสมอ
ชยนต เชนพน
III
สารบญ หนา บทคดยอภาษาไทย I กตตกรรมประกาศ II สารบญ III สารบญตาราง V สารบญรป VI บทท 1 บทนา 1
1.1 กลาวนา 1 1.2 ความเปนมาและปญหาสาคญ 1 1.3 จดประสงคของโครงงาน 1 1.4 ขอบเขตของโครงงาน 1 1.5 ประโยชนทคาดวาจะไดรบ 2 1.6 ขนตอนการศกษาและทดลอง 2
บทท 2 ทฤษฎทเกยวของและการออกแบบ 3 2.1 กลาวนา 3 2.2 พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550 3 2.3 การจดเกบขอมลลอก 4 2.4 Network Time Protocol (NTP) 6 2.5Syslog-ng 10 2.6การเขารหสขอมล 12 2.7 ไฟรวอลล(Firewall) 15 2.8 MySQL (มายเอสควแอล) 22 2.9 ซอฟตแวรทเกยวของ 28
บทท 3 การออกแบบระบบงาน 33 3.1 การออกแบบระบบงาน. 33 3.2 การออกแบบและตดตงระบบรานอนเตอรเนตคาเฟทม Gateway Server 35 3.3 องคประกอบของ Gateway Server 35 3.4 การตดตงระบบ CentOS 5.3 36 3.5 การออกแบบหนา Web manage เพอสามารถ configการใชงานในดานตางๆ 38
IV
สารบญ (ตอ) หนา
บทท 4 ผลการทดลองโครงงาน 39
4.1 ระบบเครอขายทใชในโครงงาน 39 4.2 รายละเอยดในการทดลอง 39 4.3 รายละเอยดในการใชงานหนา Web Manage 41 4.4 การ Manage User 42 4.5 การทดสอบการใชงานอนเตอรเนตของ User ในระบบ 44 4.6 การจดการแกไขรายละเอยด user ผานหนาเวบไซต 45 4.7 การทดสอบการใชงานระบบจดเกบ Log 46
บทท 5 สรปผลโครงงาน 47
5.1 กลาวนา 47 5.2 ปญหาและอปสรรคในการพฒนาระบบ 47 5.3 แนวทางในการศกษาตอ 47
เอกสารอางอง 48
ภาคผนวก 49 ภาคผนวก ก คาสง และคอนฟกตาง ๆ ในการทาสารนพนธ 49 ภาคผนวก ข พระราชบญญตวาดวยการกระทาความคดเกยวกบคอมพวเตอร 61 พ.ศ ๒๕๕o
V
สารบญตาราง
หนา
ตารางท 2.1 แสดงฐานเวลา NTP Server ในประเทศไทย 8
ตารางท 2.2 syslog-ng command line options 11
ตารางท 2.3 การพฒนาเอสเอสเอลและทเอลเอส 14
ตารางท 3.1 ตวอยางฐานขอมล radcheck 37
VI
สารบญรป
หนา
รปท 2.1 แสดงการตรวจสอบความถกตองของขอมล 5 รปท 2.2 ลาดบชนการเทยบเวลากบเวลามาตรฐานสากล Stratum 0 8
รปท 2.3 แสดงโปรโตคอลและพอรตตางๆ 19
รปท 2.4 แสดงการดมลตเพลคซง 20
รปท 2.5 แสดง ทซพและ ยดพ เฮดเดอร 20
รปท 2.6 แสดงซอคเกตและเนทเวรคโพรเซส 21
รปท 3.1 Network Diagram 33 รปท 3.2 แสดงระบบการใชงานในรานอนเทอรเนตคาเฟ 34 รปท 3.3 แสดงแบบจาลอง Gateway Server บนโปรแกรม Vmware 35 รปท 3.4 หนา Web manage 38 รปท 3.5 หนาWeb manage สวนของการสรางผใชบรการ Internet Café 38 รปท 4.1 แสดงหนา User login 39 รปท 4.2 หนาเวบ User logout 40 รปท 4.3 หนาเวปแจงหมดเวลาใชงาน 41 รปท 4.4 หนาจอ login เขาใชระบบ Web management 41 รปท 4.5 หนาจอในการ Manage user 42 รปท 4.6 แสดงหนาจอในการเพม user เพอเขาใชงานในระบบ 43 รปท 4.7 ทดสอบ authenดวย user ทเราสรางขนมา 43 รปท 4.8 ทดสอบแบนวธทกาหนดใหกบ user 44 รปท 4.9 แสดง user ทงหมดในระบบ 45 รปท 4.10 แสดง user ออนไลนในระบบ 45 รปท 4.11 ตวอยางเรยกด log 46 รปท 4.12 ตวอยางทา MD5 46 รปท ก.1 การตดตง package chillispot-1.1.0.i386.rpm 50 รปท ก.2 การแกไขไฟล /etc/sysconfig/network-scripts/ifcfg-eth1 51 รปท ก.3 การสรางไฟล /var/www/html/welcome.html 53 รปท ก.4 การสงให service chilli restart 53 รปท ก.5 แสดง interface tun0 เปน 10.0.1.1 54 รปท ก.6 แสดงการสราง password ใหกบ admin ของ mysql 55 รปท ก.7 การตดตง package freeradius-server 56
VII
สารบญรป (ตอ)
หนา
รปท ก.8 การเพม modules sqlcounter 57 รปท ก.9 การเพม noresetcounter 57 รปท ก.10 การสรางไฟล script ชอ /etc/raddb/log-gateway.sh 58 รปท ก.11 การแกไขไฟล /etc/squid/squid.conf 58 รปท ก.12 การกาหนด transparent proxy 59 รปท ก.13 การแกไขไฟล /etc/ntp.conf 59 รปท ก.14 เพม rule ใสในไฟล /etc/firewall.iptables 60
บทท 1 บทนา
1.1 กลาวนา
ปจจบนถอเปนยคแหงขอมลสารสนเทศและการตดตอสอสารผานระบบคอมพวเตอรหรอระบบอเลกทรอนกสไดเขามามบทบาทและทวความสาคญเพมขนตามลาดบตอระบบเศรษฐกจและคณภาพชวตของประชาชนใน ประเทศไทยแตในขณะเดยวกนการกระทาความผดเกยวกบคอมพวเตอรกมแนวโนมขยายวงกวาง และทวความรนแรงเพมมากขนดวยดงนนขอมลจราจรทางคอมพวเตอรนบเปนพยานหลกฐานสาคญ ในการดาเนนคดอนเปนประโยชนอยางยงตอการสบสวนสอบสวนเพอนาตวผกระทาความผดมาลงโทษในพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอรจงสมควรกาหนดใหผใหบรการม หนาทในการเกบรกษาขอมลจราจรทางคอมพวเตอรดงกลาว
1.2 ความเปนมาและปญหาสาคญ
เพอพฒนาระบบเกบลอกการใชงานระบบเครอขายในรานอนเทอรเนตคาเฟใหสามารถสอดคลองกบ พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอรตามมาตรา 26 โดยใชซอฟตแวรโอเพนซอรส(Open Souce) ใหทางานรวมกนระหวางLinux Centos, Syslog-ng, MySQLและการพสจนยนยนตวตนแลวนาผลลพธทไดมาแสดงผานเวบแอพพลเคชนมกระบวนการหมนเวยนและการบบอดขอมลลอกใหไดตามระยะเวลาไมนอยกวาเกาสบวน
1.3 จดประสงคของโครงงาน
1.3.1 เพอศกษาใหเขาใจหลกการการเกบลอกของผใชงานในรานอนทอรเนตคาเฟใหสอดคลองกบ พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร 2550
1.3.2 เพอศกษาการใชซอฟตแวรโอเพนซอรส 1.3.3 เพอศกษาและเปนแนวทางในการใชซอรแวรโอเพนซอรสอยางจรงจงและ
ตอเนอง
1.4 ขอบเขตของโครงงาน 1.4.1 โครงงาน1
1.4.1.1 บนทกขอมลการจราจรบนเครอขาย
1.4.1.2 ทาการยนยนตวบคคล
1.4.1.3 ออกแบบระบบการจดเกบลอกโดยใชซอฟแวรทเปนโอเพนซอรสทงหมดเพอเปนการลดตนทนในการการบนทกขอมลการจราจรบนเครอขายน
2
1.4.2 โครงงาน 2 1.4.2.1 ศกษาและสรางในสวนของการเกบขอมลการจราจรทางคอมพวเตอร
ขอมลในการเขาใชงานในระบบอนเทอรเนต 1.4.2.2 ศกษาและสรางในสวนของการพสจนตวตนการเขาใชงานในระบบ
อนเทอรเนต สามารถจดการขอมลของผใชงาน จดการตรวจสอบความถกตองในการยนยนตวตนของผใชบรการ โดยสรางฐานขอมลของผใชงานในระบบเครอขาย การเกบขอมลของผใชงาน สามารถเพมขอมลของผใชงาน ผานทางหนา Web interface ได
1.4.2.3 มระบบการรกษาความปลอดภยขอมล โดยในทนใชการทา Data Hashing เพอรกษาความนาเชอถอของขอมลการจราจรทางคอมพวเตอร
1.5 ประโยชนทคาดวาจะไดรบ 1.5.1 สามารถพสจนตวตนของผใชงานอนเทอรเนตได 1.5.2 สามารถควบคมการใชงาน ควบคมแบนวธของอนเทอรเนตได 1.5.3 มความเขาใจระบบปฏบตการ Linux เพมมากขน 1.5.4 มความเขาเกยวกบการเกบขอมลการจราจรทางคอมพวเตอร ของการใชงาน
อนเทอรเนต
1.6 ขนตอนการศกษาและทดลอง 1.6.1 ศกษาพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.
2550 1.6.2 ศกษาและวเคราะหทฤษฏทเกยวของ 1.6.3 ศกษาซอฟตแวรทนามาใชในการทดสอบ 1.6.4 ออกแบบและตดตงระบบงาน 1.6.5 ทดสอบระบบงาน 1.6.6 สรปผลการทดลอง 1.6.7 จดทาเอกสารและสรปผลการดาเนนงาน
บทท 2 พนฐานและทฤษฏทเกยวของ
2.1 กลาวนา
พนฐานและทฤษฏทเกยวของกบโครงงานน อธบายถงเรองระบบเครอขายคอมพวเตอรการเกบขอมลจราจรทางคอมพวเตอรใหสอดคลองกบพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอรพ.ศ.2550, การจดการในเรองแบนวธการใชอนเทอรเนต, สามารถระบตวตนผใชงานอนเทอรเนตได โดยสามารถควบคมบรหารผานหนาเวปไซตได เหมาะสาหรบการใชงานในรานอนเทอรเนตคาเฟ คอสามารถทาเปนระบบ Internet Billing (การคดเงนคาใชบรการอนเทอรเนต) 2.2 พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550[1]
มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวาเกาสบ
วนนบแตวนทขอมลนนเขาสระบบคอมพวเตอร แตในกรณจาเปนพนกงานเจาหนาทจะสงให
ผใหบรการผใดเกบรกษาขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวนแตไมเกนหนงปเปน
กรณพเศษเฉพาะรายและเฉพาะคราวกได ผใหบรการจะตองเกบรกษาขอมลของผใชบรการ
เทาทจาเปนเพอใหสามารถระบตวผใชบรการนบตงแตเรมใชบรการและตองเกบรกษาไวเปน
เวลาไมนอยกวาเกาสบวนนบตงแตการใชบรการสนสดลง
ประเภทผใหบรการในการเกบขอมลการจราจรคอมพวเตอร ซงในโครงงานนสอดคลอง
กบพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550 คอ การเกบ
ขอมลจราจรคอมพวเตอรของผใหบรการประเภท 5(1) ง. ผใหบรการรานอนเตอรเนต 2.2.1 ผใหบรการประเภท 5(1) ง. ผใหบรการรานอนเตอรเนต ประกอบดวย
ผใหบรการรานอนเทอรเนต (Internet Café)
ผใหบรการรานเกมออนไลน (Game Online)
ผใหบรการรานอนเทอรเนตจะตองมการจดเกบขอมลของผใชบรการเชน
1) ขอมลทสามารถระบตวบคคล
2) เวลาของการเขาใชและเลกใชบรการ
3) หมายเลขเครองทใชไอพ แอดเดสIP Address (Internet Protocol
Address)
บญชผใชทลอกอนเขาใชงานภายในรานทงผานระบบปฏบตการหรอผาน Proxy Server
และบญชผใชนนควรจะมผกพนถง
4
1) บตรประจาตวประชาชนของผเขามาใชบรการหรอทะเบยนบานหรอรปถายจากเวบแคมเปนตนบางรานใชระบบสมาชกในการเกบบนทกเพยงครงแรกครงเดยว
2) วนและเวลาทหยดใชงานระยะเวลาการใชงานเครองคอมพวเตอรทใชงานหมายเลขไอพทใชงาน
ขอมลดงกลาวนสามารถบนทกดวยการนาระบบ Proxy Server หรอ Authentication
Gateway มาใช
3) หมายเลขเครองทใช IP Address (Internet Protocol Address)
2.3 การจดเกบขอมลลอก ลอกโลเทชน (Log Rotation)เปนการจดเกบลอกไฟลโดยการหมนขอมลลอกหมายถง
การบนทกไฟลขอมลลอกไวเปนชออนและสรางไฟลลอกใหมเพอรองรบการบนทกขอมลตอไป
ตวอยางเชนการบนทกไฟลลอกเปน /var/log/message เมอมการหมนขอมลลอกจะบนทก
ขอมลลอกเปน /var/log/message.1 และสรางไฟลลอกใหมเปนชอ /var/log/message เปนตน
เพอปองกนไมใหมไฟลขอมลลอกขนาดใหญเกนจนไมสามารถใชงานไดโดยปกตการหมน
ขอมลลอกจะดาเนนการตามระยะเวลาทเหมาะสมเชนทกวนหรอทกสปดาหหรอเมอมขนาดของ
ไฟลขอมลลอกมขนาดถงทกาหนดไวนอกจากนยงนาขอมลลอกเดมเมอมการหมนขอมลลอกไป
บบอดขอมลเพอเพมพนทเกบขอมลหรอทาลอกแอคซฟ (Log Archive)ไดการหมนขอมลลอกท
เหมาะสมคอการบนทกขอมลลอกแยกเปนรายวนและแยกตามเซรฟเวอรหรออปกรณในระบบ
เครอขาย
ลอกแอคซฟคอการสารองขอมลลอกเพอใหสามารถรกษาระยะเวลาในการจดเกบ
ขอมลลอกตามความตองการโดยการบนทกขอมลลอกบนสอบนทกขอมลภายนอกหรอการ
บนทกขอมลบน storage area network หรอ SAN หรอการบนทกบนเซรฟเวอรหรอขอมลททา
หนาทเฉพาะในการบนทกขอมลลอกเปนตนยงรวมถงการสารองขอมลลอกบนสอบนทกขอมล
อนเชนเทปสารองขอมลซดรอมหรอดวดเปนตนการจดทาลอกแอคซฟแบงเปนสองแบบคอ
1) ลอกโลเทชนเปนการบนทกขอมลลอกของเหตการณจากระบบอยางสมาเสมอ
2) ลอกพรเซอรเวยชน (Log Preservation)เปนกระบวนการรกษาขอมลลอกเพอให
สามารถนาไปใชรวมกบการรบมอเหตการณดานความมนคงปลอดภยหรอเหตการณผดปกตท
เกดขนกบระบบสารสนเทศและสามารถรกษาขอมลลอกไดตามระยะเวลาทกาหนดไวหรอตาม
ความตองการจากภายนอกเชนความตองการของพระราชบญญตวาดวยการกระทาความผด
เกยวกบคอมพวเตอรพ.ศ. 2550 เปนตน
Log
งายในการส
ดาเนนการต
Log
การทา Da
Rotation เ
หรอการทา
อกของสปด
Message D
ขนาด 128
บตเพอใชเป
ทปลอดภยเ
Data Hashin
ลอก
ตามรปบนระ
วนโดวสตาม
และขอมล M
อยางเดยวเป
Compress
สารองขอมล
อเนองจาก L
file integrit
ata Hashin
เปนวนดงนน
Log Compr
ดาหทแลวนา
igest เชนกา
บตเปนตนผ
นตวแทนขอ
เชนสอบนทก
ng
รป
กไฟล /var/l
ะบบปฏบตก
มลาดบทจดเก
Message Dig
ปนตนเมอตอ
ion คอการบ
ลลอกหรอก
Log Rotation
ty checking
ng กบลอก
นสามารถนาข
ression กบล
ามาบบอดแ
ารคานวณดว
ผลลพธทไดห
งลอกไฟลขอ
กขอมลแบบ
ท 2.1 แสดงก
og/message
ารยนกซและ
กบบนลอกเซ
gest ทไดนาไ
องการเทยบ
บบอดขอมลล
การยายขอม
n หรอ Log A
เปนกระบวน
กไฟลทไมมก
ขอมลลอกไฟ
ลอกไฟลทผา
และคานวณด
ยอลกอรทม
รอทเรยกวา
อมล Messag
เขยนไดอยา
การตรวจสอบ
e และ C:\
ะขอมลลอกไ
ซรฟเวอรนาม
ไปเกบไวบนส
บวาลอกไฟลด
ลอกเพอเพม
มลลอกไปเก
Archival
นการตรวจส
การเขยนขอม
ฟลของเดอน
นกระบวนกา
ดวยวธการน
MD5 ขนาด
Message
ge Digest คว
างเดยวเปน
บความถกตอ
\WINDOWS
ไฟลของ Se
มาคานวณผา
สอบนทกขอม
ดงกลาวมกา
พนทในการจ
กบไวบนสอ
อบความถกต
มลแลวตวอย
นกอนหนามา
าร Log Arch
นเปนตนซงจ
128 บตหรอ
Digest จะมค
วรจะตองเกบ
ตนตวอยางใ
องของขอมล
\System32\c
curity Log
านกระบวนก
มลประเภท C
ารเปลยนแป
จดเกบขอมล
อบนทกขอม
ตองของลอก
ยางดาเนนกา
เขากระบวน
hival แลวเชน
จะไดเปนขอ
อใชอลกอรทม
ความยาวขน
บไวในสอบนท
ในรปเปนกา
config\SecE
บนระบบปฏ
การ Data
CD-ROM ซง
ลงหรอไมให
5
ลอกและ
ลอนมก
กไฟลโดย
ารทาLog
นการนได
นขอมลล
อมลเปน
ม SHA-1
นาด 128
ทกขอมล
ารใชงาน
vent.Evt
ฏบตการ
Hashing
งเขยนได
หคานวณ
6
เทยบดวยวธการเชนเดมและนาผลลพธของ Message Digest ไปเทยบกบคาของ Message
Digest ทคานวณไวตอนตนถาคาทไดไมเทากนแสดงวาเกดการเปลยนแปลงโดยทไมไดรบ
อนญาตแลวขอสาคญคอขอมล Message Digest ทไดจากการคานวณตอนแรกตองมการ
กาหนดมาตรการควบคมการเกบอยางมนคงปลอดภยและปองกนการเปลยนแปลงโดยไมไดรบ
อนญาตดวย
2.4 Network Time Protocol (NTP) [1]
คอมพวเตอรหรออปกรณเครอขายตาง ๆ ในระบบสารสนเทศนนมความสามารถของ
การรกษาความเทยงตรงและแมนยาของเวลาไดแตกตางกน ทงนขนอยกบปจจยหลายดาน
เชน วสดทใหสรางวงจรเวลาของอปกรณคอมพวเตอร, อณหภม, ความชน, คลนแมเหลกไฟฟา
หรอความสมาเสมอของพลงงานทจายใหกบวงจรเวลาเปนตนสงผลใหอปกรณตางกนอาจจะให
คาเวลาทแตกตางกนหากอปกรณคอมพวเตอรหรออปกรณเครอขายในระบบสารสนเทศมคา
เวลาทแตกตางกนแลวนนจะสงผลใหเกดปญหากบผใชงานรวมทงผดแลระบบในการปฏบตงาน
ตางๆ เชน
- ความคลาดเคลอนของเวลาในการแจงปญหาของระบบสารสนเทศ ระหวางผใชงาน
และผดแลระบบ
- ความสบสนในการตรวจสอบและวเคราะหเหตการณตาง ๆ เชน เหตการณการบกรก
เหตการณของปญหาดานเครอขาย หรอระบบคอมพวเตอร
- ผพฒนามความสบสนในเวอรชนของโคดระหวางการพฒนา
- มการใชงานไฟลขอมล หรอฐานขอมล ทซอนทบกน
จากตวอยางปญหาขางตนจะเหนวาผดแลระบบและผใชงานระบบสารสนเทศมความ
จาเปนตองทาใหอปกรณคอมพวเตอรและอปกรณเครอขายของระบบสารสนเทศในองคกรมคา
เวลาเทยงตรงแมนยาเหมอนกน
2.4.1 ความรพนฐานของNTP
Network Time Protocol (NTP) เปนโพรโตคอลในระดบ Application Layer ของระบบ
เครอขายแบบ TCP/IP ททาหนาทในการเทยบเวลาระหวางอปกรณคอมพวเตอรซงอางองจาก
RFC หมายเลข RFC 778, RFC 891, RFC 956, RFC 958, และ RFC 1305 การทางานของ
โพรโตคอลชนดนจะตองอาศยเครองใหบรการทเปดพอรตหมายเลข 123 ชนด UDP ในการรอ
รบขอมลรองขอการเทยบเวลาจากเครองลกขาย
7
ลกษณะการแจกจายเวลาของ NTP นนจะอยในรปแบบลาดบชน ทเรยกวา
“Clock Strata” โดยแบงลาดบชนของการเทยบเวลาดงน
Stratum 0 เปนอปกรณของแหลงกาเนดเวลา เชน Atomic Clocks, GPS เปนตน
ซงอปกรณแตละชนดมขอดและขอเสยแตกตางกนเชน การประยกตใช GPS (จพเอส)จะม
ตนทนทตากวา Atomic clock มาก แตจะมเสถยรภาพทนอยกวาหากสภาพอากาศไมเหมาะสม
จพเอสจะไมสามารถรบสญญาดาวเทยมได เปนตน
Stratum 1 เปนเครองคอมพวเตอรแมขายทเชอมตอกบ stratum 0 ไดรบคาเวลามาจาก
stratum 0 โดยตรงผานการเชอมตอในระบบคอมพวเตอร เชน RS-232 เปนตน
Stratum 2 เปนเครองคอมพวเตอรทรองขอการเทยบเวลาจากเครองคอมพวเตอร
แมขาย stratum 1 ผานระบบเครอขาย TCP/IP ดวยการใชงาน NTP เครองคอมพวเตอรใน
ระดบนอาจจะรองขอการเทยบเวลาจาก stratum 1 ไดมากกวา 1 แหลงเพอรองรบการทางาน
แบบทดแทนกนเมอไมสามารถเขาถง stratum 1 ตวใดตวหนงกจะสามารถรองขอการเทยบ
เวลาจาก stratum 1 ตวอนไดตอไปนอกจากนเครองคอมพวเตอรใน stratum 2 สามารถ
เทยบเคยงเวลาระหวางกนแบบเพยรทเพยร (peer-to-peer)เพอรกษาเวลาใหเทยบเทากนใน
ระดบเดยวกน
Stratum 3 เปนเครองคอมพวเตอรทรองขอการเทยบเวลาจากเครองคอมพวเตอร
แมขาย stratum 2 ผานระบบเครอขาย TCP/IP ดวยการใชงาน NTP เครองคอมพวเตอรใน
ระดบนจะสามารถอางอง stratum 2 ไดมากกวา 1 แหลงและสามารถทางานในรปแบบ
เพยรทเพยรไดเชนเดยวกน NTP นนสามารถรองรบระดบของการเทยบเวลาไดถง 16 ระดบ
2.4.2 NTP กบ พระราชบญญตคอมพวเตอร
หลกเกณฑในขอ 9 ตรงขอความทวาตองตงนาฬกาของอปกรณบรการทกชนดใหตรง
กบเวลาอางองสากล (Stratum 0) ดงตารางท 2.1 แนะนาใหใชวธการตดตง NTP Server ไวใน
ระบบหนงเครองนาจะเอาไวทเครองลอกเซรฟเวอร (Log Server)เพอจายสญญาณนาฬกา
ใหกบเครองเซรฟเวอรและเครองเวรคสเตชนและอปกรณเครอขายในระบบทงหมดในระบบเปน
ลาดบท 1 สวนลาดบท 2 และ 3 ใหอางองไปยงฐานเวลาภายนอกเพราะถาใหเซรฟเวอรแตละ
ตวไปรองขอสญญาณนาฬกาจากภายนอกเวลาอาจมปญหาได
8
ตารางท 2.1แสดงฐานเวลา NTP Server ในประเทศไทย
NTP Server Address หนวยงาน Clock Strata อปกรณอางอง
03.185.69.60 สถาบนมาตรวทยา
แหงชาต
Stratum-1
นาฬกาซเซยม
Stratum-0เทยบดวยคา
TAIโดย BIPM
(precision ~50 nSec)
time.navy.mi.th
กรมอทกศาสตร
กองทพเรอ
Stratum-1
นาฬกาซเซยม Stratum-0
ทา MOU กบสถาบน
มาตรฯ
เพอสงคาเทยบกบBIPM
time.nist.gov
National
National
Institute of
Standards and
Technology , US
Stratum-1
นาฬกาซเซยมStratum-0
เทยบดวยคา TAI
โดย BIPM
รปท 2.2 ลาดบชนการเทยบเวลากบเวลามาตรฐานสากล Stratum 0
9
จากตารางท 2.1 จะเหนไดวาฐานเวลาทตามกฎหมายกาหนดเปนคา stratum 0
หมายถงตวนาฬกาทมความเทยงตรงสงเมอเครองเซรฟเวอรตงเวลาอางองกจะถอวาเปนลาดบ
ชน (stratum 1) สวนทเครองตวลกขายในระบบทอางองจะเปน Stratum 3 ตามลาดบทตองให
ทาการทดสอบคาเวลาระหวางเครองของเรากบเซรฟเวอรภายนอกเพอใหเลอกหาเซรฟเวอรท
เวลาอางองใกลเคยงกนมากทสด (ดผลคาออฟเซทตองมคานอยทสดถาเปนไปไดควรเลอก
เซรฟเวอรในประเทศไทยเลอกมาจดอนดบท 1, 2, 3 ในคอนฟกกเลชน) และตองไมพบปญหา
no server suitable for synchronization found เพราะถาไมมโฮสต (host) ทอางถงกจะไม
สามารถใชเปนมาตรฐานเวลาไดการตรวจสอบรโมทเซรฟเวอร (Remote Server)ทตองการใช
อางองฐานเวลาใชคาสงดงน
# ntpdate -b 203.185.69.60
# ntpdate -u time.navy.mi.th
20 Mar 22:49:20 ntpdate[5670]: adjust time server 118.175.67.83 offset -
0.088607 sec
ตวอยาง NTP Server ของNectec
# ntpdate -b clock.nectec.or.th
# ntpdate -b clock2.nectec.or.th
# ntpdate -b clock.thaicert.nectec.or.th
NTP Server จะใชงานโปรโตคอลยดพ (Protocol UDP)หมายเลขพอรต 123 ดงนนถา
ในระบบมไฟลวอล (Firewall) จะตองอนญาตใหลกขายสามารถใชพอรต 123 โปรโตคอลยดพ
ตวอยางการเปดไฟลวอลเพอใหเอนทพทางาน
/sbin/iptables -A INPUT -p udp --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 123 -j ACCEPT
การประยกตใชเอนทพ
รปแบบการทางานของเอนทพจะอยในลกษณะของเซรฟเวอร-ไครเอนต (Server-
Client)ซงเซรฟเวอรจะทาหนาทแจกจายเวลาใหกบไครเอนตทอยในระดบ stratum ทตากวา
แนวทางการเทยบเวลาใหสอดคลองกบพระราชบญญต นนคอการกาหนดใหไครเอนตภายใน
เครอขายขององคกรขอเทยบเวลาจากเครองใหบรการเอนทพในระดบ stratum 1 ซงในปจจบน
มเครองใหบรการขอเทยบเวลาในรปแบบเอนทพอยมากมาย เชน NTP pool Project
10
2.5 Syslog-ng [4] ระบบปฏบตการยนค (Unix)ม Syslog ใชกนมายาวนานแลวและไดเปนมาตรฐานของ
การเกบขอมลลอกของระบบปฏบตการยนคหลายๆ ดสทรบวทม Log Daemon มาพรอมกบ
ระบบแตอยางไรกตาม syslog กมขอเสยบางอยางท Log Daemon ตวอนๆสามาแกไข
ขอบกพรองดงกลาวแลวเชน Syslog-ng (Newgeneration) ซงเปน Log Daemon ตวใหมและ
เปนทนยมในปจจบน Syslog-ngสามารถแกไขขอบกพรองสวนใหญของ Syslog ไดดงน
2.5.1 Syslog-ngสามารถทางานไดทงบนทซพ (TCP) และยดพ(UDP)
2.5.2 Syslog-ngสามารถทาการกรอง (Filter) ขอมลไดดวย Regular Expression
2.5.3 Syslog-ngสามารถทางานในรปแบบทอางอง Priority/Facility ได ดงนนมนจง
สามารถทางานแทนท syslog ได
2.5.4 Syslog-ng สนบสนนlog forwarding ซงทาใหสามารถทราบไดวาตนทางของลอก
ถกสงมาจากเครองใด และผานเครองใดมาบาง
จากเหตผลทกลาวมาในโครงงานนไดใช Syslog-ngเปนลอกเซรฟเวอรเมอพจารณา
แลวสามารถแยกเหตผลออกเปนขอๆไดดงน
ขอ 1 ใชชองทางการสอสารแบบทซพซงมขบวนการทางานนาเชอถอมากกวา
การสอสารแบบยดพ
ขอ 2 การกรองขอมลดวย Regular Expression สามารถกรองจากเนอหาของ
Logไดเชน กรองการใชงานอนเทอรเนทใชกรอง คาวา http เพราะในการเกดเหตการณ
จะมทกครง
ขอ3 สามารถใชงานการอางองแบบ Priority/Facility ไดจงสามารถทางาน
แทนท syslog ได
ขอ 4 สนบสนน log forwarding สามารถทราบไดวาตนทางของลอกผานเครอง
ใดมาบาง
11
ตารางท 2.2 syslog-ng command line options
Flag Description
-d แสดงขอความดบก
-v แสดงขอความดบกมากกวาเดม (verbose)
-f filename ใช filename เปนไฟล configuration (default = /etc/syslog-ng/syslog-
ng.conf)
-V แสดงหมายเลขเวอรชน
-p
pidfilename ตงชอไฟล proce-ID (default = /var/run/syslog-ng.pid)
เมอมขอมลลอกทม Facility และ Level ทตรงหรอมากกวากบทตงไว กจะทา Action
ตามทกาหนดไว ทงนเพราะ Level ทตงไวนนเปนคา Minimum ซงหมายความวาถาเราตง
Level เปน Debug กจะคลอบคลมทก Level ของ Facility นนๆเลย ทงนเราสามารถใช
เครองหมาย * แทนทกๆคาใน Facility หรอ Priority Level นนๆ ได เชน mail.* /var/log/mail
หมายความวาให syslogd เกบขอมลลอกของ mail ทก level ไปไวยงไฟล /var/log/mail
ในขณะท Level ทเปน none นนหมายความวาไมใหสนใจ facility ทประกาศคา level เปน
none เชน *.emerg;mail.non /var/log/emer.log คอใหเกบขอมลลอกทม level เปน emerg
สาหรบทก facility ยกเวน mail facility สาหรบ Action นนสามารถเลอกไดดงนคอ
1. Filename :เกบขอมลลอกนนลงในไฟลทกาหนด
2. @hostname : สงตอขอมลลอกไปยงSyslogdบนโฮสตทกาหนด
3. @ipaddress : สงตอขอมลลอกไปยง โฮสตทมไอพ แอดเดรสตามทกาหนด
4. User1, User2 :สงขอมลลอกไปยงหนาจอของยสเซอรทกาหนด ถายสเซอร
เหลานนยงลอกอนอยในระบบ
5. สงขอมลลอกไปยงทกๆ ยสเซอรทยงลอกอนอยในระบบ
6. /dev/console :เพอสงขอมลลอกไปยง Console Device หรอ Device อนๆ ตามท
ตองการ
Syslog-ngยงมรปแบบของไฟล Configuration ทงายแตมความยดหยนสง สามารถ
นาไปประยกตใชใหตรงความตองการไดโดยงาย syslog-ngไดถกตดตงไวแลวใน Debianแตใน
12
ระบบปฏบตการอนนนผดแลระบบจะตองตดตงเองโดยการคอมไพลจาก source ทงนจะตอง
ตดตง libolกอนจงจะสามารถตดตง syslog-ngไดผดแลระบบสามารถดาวนโหลด libolและ
syslog-ng ไดจากผพฒนาระบบ[8] หลงจากนนใหขยายไฟลออกมา และทาการตดตงดงคาสง
ดานลาง
# cdlibol-x.x# ./configure; make; make install
# cd syslog-ng-x.x
# ./configure --sysconfdir=/etc; make; make install
คาสงดานบนจะทาการตดตง Syslog-ng ไปไวทตาแหนงโดยดฟอลต (Default Location) คอ
/usr/local หากตองการตดตง Syslog-ngไปยง Path อนใหใชคาสง ./configure --
prefix=/your/dir/หลงจากการตดตงแลวผดแลระบบจาเปนตองดาเนนการบางอยางเพอให
Syslog-ng ทางานไดตามปกต ดงน
1. สรางไดเรกทอร /etc/syslog-ng
2. สรางไฟล Configuration ของ Syslog-ng (หรอคดลอกมาจากไดเรกทอร
Contrib/ และ doc/) ไวท /etc/syslog-ng/syslog-ng.conf
3. สราง Startup script ของ Syslog-ngไวท /etc/init.d/syslog-ngรวมทงสราง
symbolic link จาก run level ตางๆ เชน /etc/rc2.d, /etc/rc3.d, /etc/rc5.d) ผดแลระบบสามารถ
คดลอกตวอยาง startup script ของระบบปฏบตการทตองการไดจากไดเรกทอรcontrib/
การตรวจสอบการบกรกจาก Log Files อาจชวยในการหาขอมลไดวาระบบถกบกรก
และแกไขอยางไรสามารถตรวจวาการบกรกเกดขนเเมอใดเกดอะไรบางในขณะทบกรกและ
ตรวจสอบการเขาใชระบบ อยางไรกตาม log files มกจะถกแกไขจากผบกรกเมอมการบกรก
ดงนนในบางครง log file อาจจะไมชวยอะไรมากนกในการตรวจสอบการบกรก ในระบบยนคหา
Log File ไดจาก /etc/syslog.confระบบเอนทจะเกบใน C:\winnt\system32\logfiles โดย
โปรแกรม Event Viewer จะใชโปรแกรมทตรวจ log นอกจากนบางโปรแกรมอาจจะมการ Log
File ทตางกนเชน IIS เปนตนไฟลดงตอไปนเปน log file ในระบบยนคโดยแตละไฟลมความ
แตกตางตามหนาทและโปรแกรมทสราง
2.6 การเขารหสขอมล การเขารหสขอมลโดยพนฐานแลวจะเกยวของกบวธการทางคณตศาสตรเพอใชในการ
ปองกนขอมลหรอขอความตงตนทตองการสงไปถงผรบขอมลตงตนจะถกแปรเปลยนไปสขอมล
หรอขอความอกรปแบบหนงทไมสามารถอานเขาใจไดโดยใครกตามทไมมกญแจสาหรบเปดด
13
ขอมลนนเราเรยกกระบวนการในการแปรรปของขอมลตงตนวา "การเขารหสขอมล"
(Encryption) และกระบวนการในการแปลงขอความทไมสามารถอานและทาความเขาใจใหกลบ
ไปสขอความดงเดมวา “การถอดรหสขอมล” (Decryption)
สงจาเปนสาหรบการรกษาความปลอดภยขอมลนนประกอบดวย
- การพสจนทราบตวตน ( Authentication ) เปนกรรมวธในการพสจนวาใครเปนใคร เชนการใชรหสผาน สมารทการด เปนตน ปจจบนโดยสวนใหญการพสจนทราบตวตนบนอนเตอรเนตจะใชหมายเลขไอพ และชอโดเมนเปนหลก ซงเปนวธการทไมปลอดภย
- การรกษาความลบ ( Confidentiality ) เปนการปกปดขอมลทรบ-สง ผานสอตาง ๆ ไดโดยทไมมใครสามารถอานขอมลไดนอกจากผรบเทานน
- ความคงสภาพ ( Integrity ) เปนการทาใหมนใจวาขอมลทรบสงนนจะไมถกเปลยนแปลงตงแตจากผสงไปผรบ
- การไมปฏเสธแหลงทมา ( Non-repudiation ) เปนกลไกทพสจนวาผนนเปนผสงขอมลจรงซงทาใหผสงไมสามารถปฏเสธการกระทาของตนเองได
ปจจบนการเขารหสขอมลจะแบงออกเปน 3 ประเภทคอ
- ซเครทคยครพโตกราฟ( Secrete Key Cryptography ) - พบพลกคยครพโตกราฟ ( Public Key Cryptography ) - แฮทฟงกชน ( Hash Function )
2.6.1 โพรโตคอลในการพสจนตวตน(Authentication Protocol) ในระบบเครอขายแบบเปดหรออนเตอรเนตการพสจนตวตนถอไดวาเปนกระบวนการ
เรมตนและมความสาคญทสดในการปกปองเครอขายใหปลอดภยโพรโตคอลในการพสจนตวตน
คอโพรโตคอลการสอสารทมกระบวนการพสจนตวตนรวมอยในชดโพรโตคอล โพรโตคอลการ
พสจนตวตนทกลาวถงในโครงงานนเนนเฉพาะโพรโตคอลหลกทนยมใชอยางแพรหลายบน
อนเตอรเนตในปจจบนประกอบไปดวย
1) Secure Socket Layer (SSL) Secure Sockets Layer (SSL) เรมพฒนาโดย Netscape Communications เพอใชใน
โพรโตคอลระดบแอพพลเคชนคอ Hypertext Transfer Protocol (HTTP) ซงเปนการสอสาร
ผานเวบใหปลอดภยพฒนาในชวงตนของยคการคาอเลกทรอนคสกาลงไดรบความนยมในโลก
อนเตอรเนต
เอสเอสเอลทาใหเกดการสอสารอยางปลอดภยระหวางไคลเอนตและเซรฟเวอรโดยการ
อนญาตใหมกระบวนการพสจนตวตน รวมกบการใชงานลายเซนตดจตอล สาหรบการรกษา
14
ความถกตองของขอมลและการเขารหสขอมลเพอปองกนความเปนสวนตวระหวางการสอสาร
ขอมล
โพรโตคอลเอสเอสเอลอนญาตใหสามารถเลอกวธการในการเขารหส วธสรางไดเจสต
และลายเซนดจตอล ไดอยางอสระกอนการสอสารจะเรมตนขนตามความตองการของทงเวบ
เซรฟเวอรและบราวเซอรทงนเพอเพมความยดหยนในการใชงานเปดโอกาสใหทดลองใชวธการ
ในการเขารหสวธใหมรวมถงลดปญหาการสงออกวธการเขารหสไปประเทศทไมอนญาต
Netscape เรมพฒนาเอสเอสเอลเวอรชนแรกคอเวอรชน 2.0 และเวอรชนถดมาเปน 3.0
ซงสนบสนนความสามารถดานความปลอดภยมากขนและเปนเวอรชนสดทายกอนทจะเปน
มาตรฐานกลางของโพรโตคอลบนอนเตอรเนตโดยเปลยนชอเปน Transport Layer Security
หรอทเอลเอส (TLS)ซงดแลมาตรฐานโดย Internet Engineering Task Force (IETF) อธบาย
เวอรชนของเอสเอสเอลและผพฒนาไดตามตารางท 2.3
ตารางท 2.3 การพฒนาเอสเอสเอลและทเอลเอส
เวอรชน ผพฒนา จดเดน บราวเซอรทสนบสนน
SSL v2.0 Netscape Corp.
[SSL2]
โพรโตคอล SSL รนแรกท
พฒนาบนบราวเซอร
• NS Navigator 1.x/2.x
• MS IE 3.x • Lynx/2.8 +
OpenSSL SSL v3.0 Netscape Corp. เปน
Internet Drafted รน
กอนเปนมาตรฐาน
กลาง [SSL3]
ป รบปร ง ใหม เ พ มความ
ปลอดภยมากขน สนบสนน
การใช non-RSA ciphers
ในการเขารหส และหวงโซ
Certificate[*2]
• NS Navigator 2.x/3.x/4.x
• MS IE 3.x/4.x • Lynx/2.8+OpenSSL
TLS v1.0 IETF กาลงเสนอให
เปนมาตรฐาน
โพรโตคอลบน
อนเตอรเนต
(ProposedInternet
Standard)
ป ร บ ป ร ง จ า ก SSLv3.0
สนบสนนการทางานในชน
MAC และHMACเพม
Padding ชนด Block และ
วธการจดลาดบขอมล และ
เพมระดบการแจงเตอน
• Lynx/2.8+ OpenSSL
15
กระบวนการในการเรมตนการสอสารผานชนเอสเอสเอลแบงเปน 4 ขนตอนคอ
- ประกาศชดวธการเขารหส ไดเจสตและลายเซนดจตอลทสนบสนนของทงไคลเอนตและเซรฟเวอร
- การพสจนตวตนของเซรฟเวอรตอไคลเอนต - การพสจนตวตนของไคลเอนตตอเซรฟเวอร ถาจาเปน - ไคลเอนตและเซรฟเวอรตกลงชดวธการเขารหสการสรางไดเจสตและการใชลายเซน
ดจตอล 2.7 ไฟรวอลล(Firewall)
ในการเชอมตอกบเครอขายอนเตอรเนตอยางหนงทมความสาคญไมนอย นนคอเราตอง
มวธการในการรกษาความปลอดภย สงทสามารถชวยลดความเสยงนไดกคอ ไฟรวอลล
โดยไฟรวอลลนนจะทาหนาทปองกนอนตรายตาง ๆ จากภายนอกทจะเขามายงเนตเวรกของ
เรา ไฟรวอลลเปนคอมโพเนนตหรอเนตเวรกทเราคดวาไมปลอดภยกบเนตเวรกภายในหรอเนต
เวรกทตองการจะปองกน โดยทคอมโพเนนตนนอาจจะเปนเราเตอร คอมพวเตอรหรอเนตเวรก
ตามเทคโนโลยทใชในการตรวจสอบและควบคมแบงไดเปน Packet Filtering, Proxy Service
และ Stateful Inspection [5]
แพคเกจ ฟวเตอร (Packet Filter)คอ เราเตอรททาการหาเสนทางและสงตอ (route)
อยางมเงอนไขโดยจะพจารณาจากขอมลสวนทอยในหวของแพกเกจทผานเขามาเทยบกบกฎท
กาหนดไว และตดสนวาควรจะทงแพกเกจนนไปหรอวาจะยอมใหแพกเกจนนผานไปได
ในการพจารณาเฮดเดอรแพคเกจ ฟวเตอรจะตรวจสอบในระดบของอนเตอรเนตเลเยอร
และทรานสปอรตเลเยอรในอนเตอรเนตโมเดล ซงในอนเตอรเนตเลเยอรจะมแอททรบวตท
สาคญตอแพคเกจ ฟวเตอรดงน ไอพตนทาง ไอพปลายทาง ชนดของโปรโตคอล (ทซพ (TCP),
ยดพ (UDP)และ ไอซเอมพ (ICMP)) และในระดบของทรานสปอรตเลเยอรมแอททรบวตท
สาคญคอ พอรตตนทาง พอรตปลายทาง และแฟลก ซงจะมเฉพาะในเฮดเดอรของแพกเกจทซ
พ(ชนดของ ICMP message) ในแพกเกจไอซเอมพ ซงพอรตของทรานสปอรตเลเยอร คอ ทง
ทซพและยดพนนจะเปนสงทบอกถงแอพพลเคชนทแพกเกจนนตองการตดตอดวยเชน พอรต
80 หมายถง HTTP พอรต 21 หมายถง FTP เปนตน ดงนนเมอแพคเกจ ฟวเตอรพจารณาเฮด-
เดอร จงทาใหสามารถควบคมแพกเกจทมาจากทตางๆ และมลกษณะตางๆ ซงดไดจากแฟล
กของแพกเกจหรอชนดของไอซเอมพ ในแพกเกจไอซเอมพได เชน หามแพกเกจทกชนดจาก
crack.cracker.net เขามายงเนตเวรก 203.154.207.0/24 หามแพกเกจทมไอพตนทางอยในเนต
เวรก 203.154.207.0/24 ผาน
16
Proxy Firewall หรอ Application Gateway เปนแอพพลเคชนโปรแกรมททางานอยบน
ไฟรวอลลทตงอยระหวางเนตเวรกสองเนตเวรก ทาหนาทเพมความปลอดภยของระบบเนตเวรก
โดยการควบคมการเชอมตอระหวางเนตเวรกภายในและภายนอก Proxy จะชวยเพมความ
ปลอดภยไดมาก เนองจากมการตรวจสอบขอมลถงในระดบของแอฟพลเคชนเลเยอร
เมอไคลเอนตตองการใชเซอรวสภายนอก ไคลเอนตจะทาการตดตอไปยง Proxy กอน
ไคลเอนตจะเจรจา (negotiate) กบ Proxy เพอให Proxy ตดตอไปยงเครองปลายทางใหเมอ
Proxy ตดตอไปยงเครองปลายทางใหแลวจะมการเชอมตอ (connection) สองการเชอมตอ
คอ ไคลเเอนตกบ Proxy และ Proxy กบเครองปลายทาง โดยท Proxy จะทาหนาทรบขอมล
และสงตอขอมลใหในสองทศทาง ทงน Proxy จะทาหนาทในการตดสนใจวาจะใหมการเชอมตอ
กนหรอจะสงตอแพกเกจใหหรอไม
Stateful Firewall โดยปกตแลว Packet Filtering แบบธรรมดา (ทเปน Stateless แบบ
ทมอยในเราเตอรทวไป) จะควบคมการเขาออกของแพกเกจโดยพจารณาขอมลจากเฮดเดอร
ของแตละแพกเกจนามาเทยบกบกฎทมอย ซงกฎทมอยกจะเปนกฎทสรางจากขอมลสวนทอย
ในเฮดเดอรเทานน ดงนน Packet Filtering แบบธรรมดาจงไมสามารถทราบไดวาแพกเกจนอย
สวนใดของการเชอมตอ เปนแพกเกจทเขามาตดตอใหมหรอเปนแพกเกจทเปนสวนของการ
เชอมตอทเกดขนแลว เปนตน ซง Stateful Inspection เปนเทคโนโลยทเพมเขาไปใน Packet
Filtering โดยในการพจารณาวาจะยอมใหแพกเกจผานไปนนแทนทจะดขอมลจากเฮดเดอร
เพยงอยางเดยว Stateful Inspection จะนาเอาสวนขอมลของแพกเกจ (message content)
และขอมลทไดจากแพกเกจกอนหนานทไดทาการบนทกเอาไวนามาพจารณาดวย จงทาให
สามารถระบไดวาแพกเกจใดเปนแพกเกจทตดตอเขามาใหมหรอวาเปนสวนหนงของการ
เชอมตอทมอยแลว สาหรบตวอยางผลตภณฑทางการคาทใช Stateful Inspection Technology
ไดแก Check Point Firewall-1, Cisco Secure Pix Firewall หรอ SunScreen Secure Net
และทเปนซอฟตแวรโอเพนซอรส ไดแก NetFilterใน Linux (iptablesในลนกซเคอรเนล2.3 เปน
ตนไป)
ระบบปฎบตการลนกซไดม iptablesใชในการตงกฎเพอตรวจสอบการเขา-ออกจาก
ระบบซงจะมการสรางเชน (chain) ขนเหมอนเปนกลมของการตรวจสอบโดยเชนเรมตนทพรอม
กบระบบปฎบตการลนกซมดงน
17
- เชนขาเขา (input chain) ตรวจสอบแพกเกจจากภายนอกทเขามาตดตอกบระบบหลง
ไฟรวอลล
- เชนขาออก (output chain) ตรวจสอบแพกเกจจากภายในทตดตอกบภายนอกไฟร
วอลล
- เชนสงตอ (forward chain) ตรวจสอบแพกเกจทเขามาทเครองแลวสงตอไปยงเครอง
อนอกท
2.7.1 การใชงานคาสง iptables
หลงจากทไดรจกการทางานของไฟรวอลลและแนท (NAT)ไปอยางคราวๆ แลว ลองทา
ความรจกกบคาสงทใชในการสรางไฟรวอลลและคาสงในการทาแนทซงนนกคอ คาสง Iptables
ซงเปนตวทตดมากบเคอรเนลเวอรชน (ตงแต Kernel เวอรชน2.3 เปนตนมา) ซงใน Linux
สมยกอน ๆ จะมทใหใชกคอคาสง ipchainซงหลงจากเวอรชน2.3.15 นน กไดออกมาเปน
iptablesซงอาจจะถอไดวาเปนรนทสของระบบไฟรวอลลทมอยในระบบลนกซ ซงจะเรยกวาเนต
ฟลเตอร (Netfilter) ซงในการทางานของ Iptablesกจะคลายๆ กบการใชงาน ipchainและ
ipfwadmจะมบางคาสงเทานนทมการเปลยนไปบางซง iptablesจะมรปแบบการใชงานดงนคอ
[4]
iptables [table] <command><match><target/jump>
โดยกฎทเขยนขนจะเปนตวบอกเคอรเนลวาใหกระทาอยางไร ในกรณทพบขอมลตรง
ตามทระบไว
- [table] หมายถง ตารางหรอ table ทตองการระบ เชน iptables –t natหมายถงให
ทางานกบ nat table ในกรณทไมไดระบตาราง iptablesจะถอวาคาสงดงกลาวระบถง filter
table โดยอตโนมต
- <command>จะเปนตวสงให iptablesทาในสงทตองการ เชน iptables –A INPUT ซง
หมายถงใหสราง rule ตอทายเชนขาเขาใน filter table
- <match>เปนสวนทใชตรวจสอบวาแพกเกจมขอมลตรง (match) กบทระบไวหรอไม
เชน ม source ip address เปน 1.2.3.4
- <targer/jump>เปนตวระบวาเมอเจอแพกเกจทตรงกนกจะกระทา (action) ตามทระบ
ไว เชน ถาแพกเกจใดม source ip address เปน 1.2.3.4 ให DROP แพกเกจนนทงไป
18
Table: iptablesสามารถระบตารางไดโดยใชออปชน –t ตามดวยชอ table คอ
1) filter table ใชสาหรบกรองแพกเกจม 3 built-inchainคอ INPUT, OUTPUT,
FORWARD
2) nat table ใชสาหรบการเปลยนแปลงแอดเดรส (Network Address Translation)
ม 3built-in chain คอ PREROUTION, POSTROUTING, OUTPUT ซงรายละเอยดจะได
อธบายตอไป
3) mangle table เปนตารางทใชเปลยนแปลงแกไขแพกเกจเชน เปลยนคา TTL,
MARK ซงปกตจะใชในการทา routing ทมความซบซอนสง ม 2 built-in chain คอ
PREROUTING chain (ใชแกไขแพกเกจกอนทจะเขาสไฟรวอลลและกอนเขาส routing
decision) และ OUTPUT chain (ใชแกใขแพกเกจทถกสรางโดยไฟรวอลลกอนทมนจะถกสงไป
ยง routing decision) ทงนไมสามารถทา network address translation หรอ masquerading ท
table นไดและในเอกสารฉบบนจะไมกลาวถง mangle อก เนองจากเปนสวนทไมนยมนาไปใช
งาน
2.7.2 Port Number
สาหรบพวก Application ในชน layer สงๆทใชโปรโตคอลทซพ หรอโปรโตคอลยทพจะ
มหมายเลขพอรต หมายเลขของพอรตจะเปนเลข 16 บตเรมตงแต 0 ถง 65535 หมายเลข
พอรตใชสาหรบตดสนวาบรการใดทตองการเรยกใช ในทางทฤษฎ หมายเลขพอรตแตละ
หมายเลขถกเลอกสาหรบบรการใด ๆ ขนอยกบโอเอสOS (operating system) ทใช ไม
จาเปนตองเหมอนกนแตไดมกาหนดขนใหใชคอนขางเปนมาตรฐานเพอใหมการตดตอการสง
ขอมลทดขนทาง Internet Assigned Numbers Authority (IANA) เปนหนวยงานกลางในการ
ประสานการเลอกใชพอรต วาพอรตหมายเลขใดควรเหมาะสาหรบบรการใด และไดกาหนดใน
Request For Comments (RFC') 1700 ตวอยางเชน เลอกใชทซพ พอรตหมายเลข 23 กบ
Service Telnet และเลอกใชยดพ พอรตหมายเลข 69 สาหรบ Service Trivial File transfer
Protocol (TFTP) ตวอยางตอไปนเปนบางสวนของ File/etc/services แสดงใหเหนวา หมายเลข
พอรตแตละหมายเลขไดถกจบคกบทรานสปอรต โปรโตคอล หนงหรอสองโปรโตคอลซง
หมายความวายดพหรอ ทซพอาจจะใชหมายเลขพอรตเดยวกนกได เนองจากเปนโปรโตรคอลท
ตางกน
19
รปท 2.3 แสดงโปรโตคอลและพอรตตางๆ
หมายเลขพอรตถกจดแบงเปน 2 ประเภท ตามทไดกาหนดใน RFC 1700 (รายละเอยด
ดาวนโหลดและศกษาไดท ftp://ftp.isi.edn/in-notes/rfc'1700.txt) คอ well known Ports และ
Registered Ports
- Well Known Ports คอจะเปนพอรตทระบบสวนใหญ กาหนดใหใชโดย Privileged
User (ผใชทมสทธพเศษ) โดยพอรตเหลานใชสาหรบการตดตอระหวางเครองทมระบบเวลาท
ยาวนาน วตถประสงคเพอใหบรการแกผใช (ทไมรจกหรอคนเคย) แปลกหนา จงจาเปนตอง
กาหนดพอรตตดตอสาหรบบรการนนๆ
- Registered Ports จะเปนพอรตหมายเลข 1024 ขนไป ซง IANA ไมไดกาหนดไว
แตละ Transport layer segment จะมสวนยอยทประกอบไปดวยหมายเลขพอรตของ
เครองปลายทาง โดยทเครองปลายทาง (Destination host) จะใชพอรตนในการสงขอมลใหไหล
กบแอปพลเคชนไดถกตองหนาทในการสงหรอแจกจายเซกเมนทของขอมลใหตรงกบ
แอปพลเคชนเรยกวาการ " Demultiplexing " ในทางกลบกนเครองตนทาง ( Source host )
หนาทในการรวบรวมขอมลจากแอปพลเคชนและเพมเฮดเดอรเพอสรางเซกเมนทเรยกวา
"Multiplexing" หรอถายกตวอยางเปนภาษาทวๆ ไป คอ ในแตละบานจะมคน 1 คนรบผดชอบ
เกบจดหมายจากกลองจดหมาย ถาเปนการ ดมลตเพลคซง (Demultiplexing)คนๆนนจะ
แจกจายจดหมายทจาหนาซองใหสอดคลองกบบคคลนนๆ ในบาน ในทางตรงกนขามถาเปน
การมลตเพลคซง (Multiplexing)คน ๆนนกจะรวบรวมจดหมายจากสมาชกในบานและทาหนาท
สงออกไปดมลตเพลคซง
หมา
หมายเลขพอ
ดงแสดงในร
ทซพ
ทตองการข
ปลายทางมค
ตาม
ทอยไกลออก
สาหรบบรก
Allocated P
ประเภทนให
จะตองใหคว
ยกต
assign ให ห
จะกาหนด ห
ายเลขพอรตจ
อรตของเครอ
ปท 2.5
พหรอ ยดพ จ
อมลนน ๆ ห
ความสามารถ
มทไดกลาวใน
กไป (Remot
ารเฉพาะนน
Port ซงพอรต
หความสะดวก
ามมนใจวาจ
ตวอยาง สมม
หมายเลข Dy
หมายเลขพอร
รปท 2
จะอยใน 32
องตนทาง ขณ
รปท 2.5
จะดทขอมลห
หมายเลขพ
ถทจะรนโพรเ
นขางตน "We
te Comput
นๆ อยางไรก
ตประเภทนไม
กและความคล
ะไมกาหนดห
มตวามผใชต
ynamic Port
รตปลายทาง
2.4 แสดงการ
บตแรกของ
ณะท 16 บตต
แสดง ทซพแ
หมายเลขพอร
อรตทงตนท
เซสมากกวา
ell know Por
ter) สามาร
กตามยงมพ
มไดถกกาหน
ลองตวสาหร
หมายเลขพอร
องการใช Se
(เชน 3044)
เปน23 เพรา
รดมลตเพลค
ทซพและยด
ตอมาเปนหม
และ ยดพ เฮด
รตในเฮดเดอ
ทางและปลา
1 โพรเซสใน
rts" เปนพอร
รถรไดวาจะต
อรตอกประเ
นดไวแตเดมแ
บระบบทมผใ
รตซากน
ervice Teln
โดยทหมาย
าะวาเปน We
ซง
พเฮดเดอรโด
มายเลขพอรต
ดเดอร
อรเพอพจารณ
ยทางจาเปน
นเวลาเดยวก
ตทคอนขางม
ดตอกบทางพ
เภททเรยกว
แตจะถกกาห
ใชหลาย ๆ ค
net ทางเคร
เลขพอรตปล
ell Known P
ดยท 16 บต
ตของเครองป
ณาวาแอปพล
นตองมเพอใ
กน
มาตรฐานทาใ
พอรตหมาย
วา Dyn
หนดเมอจาเป
คนพรอม ๆ ค
รองตนทางจ
ลายทางคอ 2
Port สาหรบ
20
ตแรกเปน
ปลายทาง
ลเคชนใด
ใหเครอง
ใหเครอง
เลขอะไร
amically
น พอรต
คนระบบ
จะทาการ
23 เครอง
Service
21
Telnet จากนนเครองปลายทางจะทาการตอบรบกลบโดยใช Port หมายเลข 23 เปนหมายเลข
ตนทาง และ หมายเลขพอรต 3044 เปนหมายเลข ปลายทาง
กลมของหมายเลขพอรตและ หมายเลขไอพเราเรยกวาซอคเกต (Socket)ซงจะเปนตว
บงชทเฉพาะเจาะจงสาหรบเนตเวรคโพรเซสหนงเดยวทมอยในทงระบบอนเตอรเนตคของซอค
เกตทประกอบดวย ซอคเกตหนงตว สาหรบตนทาง และอกตว สาหรบปลายทาง สามารถใช
บรรยายถงคณลกษณะของ Connection oriented protocols เชน
รปท 2.6 แสดงซอคเกตและเนทเวรคโพรเซส
ถาผใชคนท 2 ตองการใชเซอรวส เทลเนตจากเครองปลายทางเครองเดยวกนผใชนนก
จะไดรบการกาหนดหมายเลขพอรตตนทางทแตกตางกนออกไปโดยมหมายเลขพอรตปลายทาง
เหมอนกนกบผใชคนแรกดงรปท 4 จะเหนไดวาการจบคของหมายเลขพอรตและหมายเลขไอพ
ทงตนทางและปลายทางสามารถทาใหแยกความแตกตางของอนเตอรเนต คอนเนคชนระหวาง
เครองตนทางและเครองปลายทางได
2.7.3 Activeและ Passive Ports
สงสดทายทจะตองกลาวถงเกยวกบพอรตกคอ ความแตกตางระหวางแอคทฟและ พาส
ทฟ พอรตในการใชการตดตอดวยทซพสามารถกระทาได 2 วธคอ พาสทฟและแอคทฟ คอน
เนคชนคอการตดตอทแอฟพลเคชนโพรเซสสงใหทซพรอหมายเลขพอรตสาหรบการรองขอการ
ตดตอจากซอรสโฮสลเมอทซพไดรบการรองขอแลวจงทาการเลอกหมายเลขพอรตให แตถาเปน
แบบแอคทฟ ทซพกจะใหแอฟพลเคชนโพรเซสเปนฝายเลอกหมายเลขพอรตใหเลย
22
2.8 MySQL (มายเอสควแอล)[12]
เปนฐานขอมลแบบโอเพนซอรสทไดรบความนยมในการใชงานสงสดโปรแกรมหนงบน
เครองใหบรการมความสามารถในการจดการกบฐานขอมลดวยภาษาเอสควแอล SQL
(Structures Query Language) อยางมประสทธภาพมความรวดเรวในการทางานรองรบการ
ทางานจากผใชหลายๆคนและหลายๆงานไดในขณะเดยวกนมายเอสควแอลถกพฒนาขนโดย
มายเอสควแอลแลป มลขสทธการใชงาน 2 แบบคอผดแลระบบสามารถใชงานซอฟตแวรได
โดยไมมคาใชจายใดๆภายใตลขสทธของจเอนย GNU (General Public License)
(http://www.gnu.org/licenses/) หรออาจเลอกใชแบบทมลขสทธทางการคาของมายเอสควแอล
แลปซงเปนผผลตและพฒนาซอฟตแวรโดยตรงกไดหากไมตองการเกยวของกบขอตกลงเรอง
GPL รายละเอยดเพมเตมเกยวกบโปรแกรมมายเอสควแอลสามารถหาขอมลไดจาก
http://www.mysql.com
มายเอสควแอลถอเปนระบบจดการฐานขอมล (DataBase Management System
(DBMS) ฐานขอมลมลกษณะเปนโครงสรางของการเกบรวบรวมขอมลการทจะเพมเตมเขาถง
หรอประมวลผลขอมลทเกบในฐานขอมลจาเปนจะตองอาศยระบบจดการฐานขอมลซงจะทา
หนาทเปนตวกลางในการจดการกบขอมลในฐานขอมลทงสาหรบการใชงานเฉพาะและรองรบ
การทางานของแอฟพลเคชนอนๆทตองการใชงานขอมลในฐานขอมลเพอใหไดรบความสะดวก
ในการจดการกบขอมลจานวนมากมายเอสควแอลทาหนาทเปนทงตวฐานขอมลและระบบ
จดการฐานขอมล
มายเอสควแอลเปนระบบจดการฐานขอมลแบบ relational จะทาการเกบขอมลทงหมด
ในรปแบบของตารางแทนการเกบขอมลทงหมดลงในไฟลเพยงไฟลเดยวทาใหทางานไดรวดเรว
และมความยดหยนนอกจากนนแตละตารางทเกบขอมลสามารถเชอมโยงเขาหากนทาให
สามารถรวมหรอจดกลมขอมลไดตามตองการโดยอาศยภาษาเอสควแอลทเปนสวนหนงของ
โปรแกรมมายเอสควแอลซงเปนภาษามาตรฐานในการเขาถงฐานขอมล
มายเอสควแอลแจกจายใหใชงานแบบโอเพนซอรสนนคอผใชงานมายเอสควแอลทกคน
สามารถใชงานและปรบแตงการทางานไดตามตองการสามารถดาวนโหลดโปรแกรมมายเอสคว
แอลไดจากอนเทอรเนตและนามาใชงานโดยไมมคาใชจายใด ๆ ในระบบปฏบตการ Red Hat
Linux นนมโปรแกรมทสามารถใชงานเปนฐานขอมลใหผดแลระบบสามารถเลอกใชงานไดหลาย
โปรแกรมเชนมายเอสควแอลและPostgreSQL ผดแลระบบสามารถเลอกตดตงไดทงในขณะท
ตดตงระบบปฏบตการ Red Hat Linux หรอจะตดตงภายหลงจากทตดตงระบบปฏบตการกได
อยางไรกตามสาเหตทผใชงานจานวนมากนยมใชงานโปรแกรมมายเอสควแอลเพราะสามารถ
23
ทางานไดอยางรวดเรวมความนาเชอถอและใชงานไดงายเมอเปรยบเทยบประสทธภาพในการ
ทางาน นอกจากนนมายเอสควแอลถกออกแบบและพฒนาขนมาเพอทาหนาเปนเครอง
ใหบรการรองรบการจดการกบฐานขอมลขนาดใหญซงการพฒนายงคงดาเนนอยอยางตอเนอง
สงผลใหมฟงกชนการทางานใหมๆทอานวยความสะดวกแกผใชงานเพมขนอยตลอดเวลารวม
ไปถงการปรบปรงดานความตอเนองความเรวในการทางานและความปลอดภยทาใหมายเอสคว
แอลเหมาะสมตอการนาไปใชงานเพอเขาถงฐานขอมลบนเครอขายอนเทอรเนต
ความเสยงและวธการสรางความปลอดภยใหฐานขอมล กอนทจะกลาวถงขนตอนการ
ปรบแตงคาความปลอดภยใหกบโปรแกรมมายเอสควแอลผดแลระบบควรจะตองทราบถงความ
เสยงทเกดขนจากการใชงานฐานขอมลและหลกปฏบตโดยทวไปในการสรางความปลอดภยให
ฐานขอมลกอนซงรายละเอยดทจะอธบายในหวขอนจะกลาวถงภาพรวมเพอใหผดแลระบบ
สามารถนาไปประยกตใชไดกบฐานขอมลชนดอนๆความปลอดภยของฐานขอมลเปนสงสาคญ
มากเนองจากขอมลทเกบไวในฐานขอมลถอเปนองคประกอบหลกในการดาเนนงานขององคกร
และมความออนไหวคอนขางสงเชนขอมลทางธรกจขอมลลกคาขอมลพนกงาน ขอมลลบหรอ
ขอมลทเผยแพรบนเวบไซตขององคกรวธการสรางความปลอดภยใหกบฐานขอมลคอนขางเปน
เรองเฉพาะและมความซบซอนแตกตางจากการสรางความปลอดภยใหกบเครอขายหรอ
ระบบปฏบตการทงนจดบกพรองททาใหเกดความเสยงตอความไมปลอดภยของฐานขอมลม
สาเหตจากความซบซอนของระบบฐานขอมลการเกบรหสผานอยางไมปลอดภยการตงคาการ
ทางานทผดพลาดหรอแบลคดอร ( Backdoor )ของระบบทผดแลระบบไมทราบการลดความ
เสยงของขอบกพรองเหลานทาไดโดยการกาหนดหลกปฏบตในการใชงานฐานขอมลดงน
1) ใหสทธการใชงานกบผใชตามความจาเปนเทานนผใชงานฐานขอมลแตละคนควรจะ
ไดรบสทธการใชงานเฉพาะทจาเปนตอการดาเนนงานของแตละคน
2) ทาการปองกนในหลายๆระดบเชนระดบของการขอเขาใชงานระดบของสทธการใช
งานหรอระดบของขอบเขตของฐานขอมลทใหใชงานการปองกนการบกรกเปนสงทควรปฏบต
แตผดแลจะตองตรวจสอบการละเมดความปลอดภยดวยนากระบวนการเขารหสมาใชงานหาก
เปนไปได กาหนดนโยบายและขนตอนปฏบตดานความปลอดภยทชดเจนรดกมการสรางความ
ปลอดภยใหกบฐานขอมลจะตองตงอยบนพนฐานตอไปน
1. ความลบและความปลอดภย: ขอมลจะตองไปถกเปดเผยตอผทไมไดรบสทธในการ
เขาถง
24
2. ความถกตองความสมบรณและการตรวจสอบตวตนผใชงานขอมลจะตองไมถกแกไข
หรอยกยอกทงโดยเจตนารายหรอโดยไมเจตนากตามนอกจากนนจะตองพสจนไดวาตนทางของ
ขอมลมาจากทใดหรอใคร
3. ความพรอมใชและความสามารถในการกคนระบบฐานขอมลจะตองถกปกปองให
พรอมใชงานไดตลอดเวลารวมถงจะตองกคนไดหากขอมลสญหาย
นอกจากนนการสรางความปลอดภยใหกบฐานขอมลจาเปนตองมนใจวาไดมการปองกน
ถงระดบลกไดแกการสรางความปลอดภยใหกบเครอขายซงอาจทาไดโดยการปองกนทไฟร
วอลลเราเตอรระบบตรวจจบผบกรก (IDS) และการสรางความปลอดภยใหกบระบบปฏบตการ
เพอใหแนใจไดวาการเขาถงฐานขอมลโดยไมไดรบอนญาตจะไมเปนผลมาจากการกาหนดคาท
ผดพลาดใหกบระบบปฏบตการและอปกรณเหลานน หลกการสาคญในการสรางความปลอดภย
ใหกบฐานขอมลนนผ ดแลระบบควรจะคานงถงองคประกอบตอไปนเพอนาไปพจารณา
ประยกตใชกบระบบฐานขอมลของตนเองตามความเหมาะสม
การตรวจสอบตวตนผใชงานจะตองมนใจวามการตรวจสอบตวตนของผใชงานทกคนท
ตดตอกบฐานขอมลในระดบตาสดคอการนาเอารหสผานมาใชงานสาหรบทกการตดตอ ซง
รหสผานเหลานจะตองไดรบการเกบรกษาอยางปลอดภยในฐานขอมลและถกเขารหสอยาง
เหมาะสมควรมขอกาหนดนเรองการใชงานรหสผานไดแกการกาหนดความยาวขนตาของ
รหสผานทใชกาหนดวารหสผานจะตองประกอบดวยตวอกษรหรอตวเลขรวมกบอกขระพเศษ
และไมใหใชงานรหสผานทเดาไดงายเปนตน
การควบคมการเขาถงออบเจกตใด ๆ และการตรวจสอบแอฟพลเคชนทอนญาตใหใช
งานออบเจกตของฐานขอมลประกอบดวยตารางซนโนนมม (Synonymn) วว (View) อนเดกซ
(Index) สตอรโพรซเจอร (store procedure) และทรกเกอร (trigger) ซงสามารถควบคมการ
อนญาตใหเขาถงออบเจกตเหลานไดโดยกาหนดไวทสทธการใชงานฐานขอมลซงควรไดรบการ
กาหนดตงแตขนตอนของการออกแบบทงนผดแลฐานขอมลหรอผออกแบบฐานขอมลจะตอง
คานงถงหลกการทจะใหสทธแกผใชงานแตละคนใหนอยทสดเทาทจะเปนไปได การควบคมการ
เขาถงออบเจกตเหลานมวธการทแตกตางกนตามแตละชนดของออบเจกตเชนการใชซนโนนมม
จะชวยใหการอางถงแตละตารางในฐานขอมลสามารถทาไดโดยไมจาเปนตองทราบวาเจาของ
ตารางดงกลาวคอใครเปนการซอนโครงสรางของฐานขอมลจากผใชงานโดยทผดแลยงสามารถ
ตรวจสอบไดวาใครมาใชตารางใดในฐานขอมลบางการสรางความปลอดภยใหกบออบเจกตวว
ทาไดโดยการควบคมการเขาถงในระดบแถวและคอลมนกอนทแตละตารางจะถกนามารวมไว
ดวยกนเปนตนหรอหากใชงานสถาปตยกรรม 3-เทยร ซงมแอฟพลเคชนเซรฟเวอรทาหนาทรอ
25
รบการเรยกใชงานแอฟพลเคชนทงหมดจากเครองขอเขาใชบรการและตดตอกบฐานขอมล
จาเปนตองกาหนดใหเครองขอใชงานแสดงตวตนกบเครองแอฟพลเคชนเซรฟเวอรและใหแอฟ
พลเคชนเซรฟเวอรแสดงตวตนกนกบฐานขอมลกอนจงจะอนญาตใหเขาใชงานตามตองการได
การสรางความปลอดภยใหโปรแกรมมายเอสควแอลผดแลระบบทใชงานโปรแกรมมาย
เอสควแอลเปนฐานขอมลในเครองใหบรการใด ๆจาเปนตองทราบถงวธการสรางความปลอดภย
ใหกบโปรแกรมมายเอสควแอลทใชงานเนองจากการใชงานฐานขอมลทาใหเกดความเสยงตอ
ความปลอดภยของเครองตามทไดอธบายแลวขางตนสาหรบหวขอนจะแสดงรายละเอยดถง
วธการในการสรางความปลอดภยใหโปรแกรมมายเอสควแอลบนระบบปฏบตการ Red Hat
Linux โดยเฉพาะหากผดแลระบบตดตงโปรแกรมมายเอสควแอลโดยเลอกตดตงในขณะทตดตง
ระบบปฏบตการหรอตดตงโดยใชแพคเกจ
ชนด RPM จะมขอดคอผดแลระบบจะสามารถใชโปรแกรม up2date ในการตรวจสอบ
แกไขชองโหวทเกดขนกบโปรแกรมไดในทางตรงกนขามหากผดแลระบบเลอกตดตงโปรแกรม
โดยคอมไพลจากไฟลตนฉบบดวยตนเองจะมขอดคอโปรแกรมมายเอสควแอลทไดจะมความ
ยดหยนมากกวาผดแลระบบสามารถเลอกออปชนและไลบรารทจะใชงานไดตามตองการ
มากกวาอยางไรกตามไมมออปชนใด ๆ เกยวของกบการสรางความปลอดภยทควรไดรบการ
พจารณาเปนพเศษในการตดตงโปรแกรมมายเอสควแอล โดยการคอมไพลจากไฟลตนฉบบจง
ไมนามาอธบายในทนสาหรบผดแลระบบทตองการดาวนโหลดโปรแกรมหรอตรวจสอบเวอรชน
ของโปรแกรมทจะใชงานไดท http://www.mysql.com/downloads/index.html
กอนทจะอธบายถงวธการสรางความปลอดภยใหโปรแกรมมายเอสควแอลจะขออธบาย
ถงการทางานของโปรแกรมมายเอสควแอลเลกนอยโปรแกรมมายเอสควแอลทางานเปน
ฐานขอมลและระบบจดการฐานขอมลบนเครองใหบรการโดยเปดใหผใชงานตดตอฐานขอมล
ผานพอรต 3306 บนโพรโตคอลทซพของเครองใหบรการ (คาดฟอลตของโปรแกรม) หลงจากท
สงใหโปรแกรมมายเอสควแอลเรมตนทางานจะเกดการสรางเดมอนชอmysqldไวรอรบการ
ตดตอซงการใชงานฐานขอมลทาได 2 วธคอการเขาใชฐานขอมลโดยตรงผานโปรแกรมมายเอส
ควแอลและการใชงานผานโปรแกรมทเขยนขนเพอใชตดตอฐานขอมลเชนโปรแกรมทถกเขยน
ขนดวยภาษาพเอชพเปนตนผทจะเขาใชงานฐานขอมลไดจะตองไดรบการตรวจสอบสทธและ
พสจนตวตนผใชซงบญชรายชอผใชของโปรแกรมมายเอสควแอลนแยกจากบญชผใชงานของ
ระบบโดยเดดขาดไมมความเกยวของกนแตอยางใดโดยจะถกจดเกบและจดการผานฐานขอมล
ของมายเอสควแอลทใชงาน
26
นอกจากนนผดแลระบบควรจะสรางผใชงานในระบบชอมายเอสควแอลและกลมผใชชอ
มายเอสควแอลมารองรบการทางานของโปรแกรมมายเอสควแอลซงจะอธบายถงการนาไปใชใน
ลาดบตอไป
วธการสรางความปลอดภยใหกบโปรแกรมมายเอสควแอลทาไดในหลายระดบซงผดแล
ระบบสามารถเลอกนาไปปฏบตไดตามรปแบบและจดประสงคการใชงานแบงเปนสวน ๆไดดงน
1 การเรมตนใชงานและการเรยกใชงานโปรแกรมมายเอสควแอล
2 ระบบและวธการตรวจสอบสทธของโปรแกรมมายเอสควแอล
3 ไฟลลอกของโปรแกรมมายเอสควแอล
4 การจดการเกยวกบเจาของไฟลท เ กยวของกบโปรแกรมมายเอสควแอลใน
ระบบปฏบตการ
5 ขอควรระวงทเกยวของกบความปลอดภยของโปรแกรมมายเอสควแอล
การเรมตนใชงานและการเรยกใชงานโปรแกรมมายเอสควแอลหลงจากทผดแลระบบ
ตดต ง โปรแกรมแล วจะต องส ง ให โปรแกรมสร า งฐานข อ มล เ ร มตน โดยใชค าส ง#
./mysql_install_dbทาใหเกดการสรางฐานขอมล 2 สวนคอมายเอสควแอลและทดสอบการสงให
โปรแกรมเรมตนทางานทาไดโดยการสง # ./safe_mysqld --user=mysql& (คาสงsafe_mysqld
อยในไดเรกทอร /path_to_mysql/bin/) ซงจะทาใหเกดการสรางเดมอนชอmysqldไวรอรบการ
ตดตอทพอรต 3306/TCP ของเครองการกาหนดออปชน --user=mysqlเปนการกาหนดชอ
เจาของโพรเซสชนดเดมอนชอmysqldทจะถกสรางขนซงเจาของโพรเซสนจะตองไดรบสทธใน
การเขาใชงานไฟลและไดเรกทอรของฐานขอมลหากไมกาหนดโพรเซสดงกลาวจะเปนของ
ผดแลระบบซงทาใหความปลอดภยของระบบลดลงสงแรกทผดแลระบบตองดาเนนการคอการ
กาหนดรหสผานใหกบผดแลฐานขอมล (root) ซงผดแลฐานขอมลนจะเปนผจดการทงหมด
เกยวกบฐานขอมลไดรบสทธใหกระทาการใด ๆกไดกบฐานขอมลทจะมตอไปเชนการสราง
บญชชอผใชรายอน ๆการสรางฐานขอมลใหมและการใหสทธการใชงานฐานขอมลแก
ผใชเปนตนเนองจากโปรแกรมมายเอสควแอลไมไดกาหนดคาดฟอลตของรหสผานของผดแล
ฐานขอมลนนคอหลงจากทตดตงโปรแกรมแลวทนททสงใหโปรแกรมเรมทางานใครกไดสามารถ
ตดตอใชงานฐานขอมลมายงเดมอน mysqldทรอรบการตดตอดวยสทธของผดแลฐานขอมลได
ทนทโดยไมตองใชรหสผานการกาหนดรหสผานของผดแลฐานขอมลทาไดโดยใชคาสง #
./mysqladmin -u root -h [hostname] -p password'passwordทตองการ' (คาสงmysqladmin
อยในไดเรกทอร /path_to_mysql/bin/) หลงจากนนเมอผดแลฐานขอมลเขาใชงานฐานขอมลจะ
ไดรบขอความใหใสคารหสผานทกครงทใชงานใดๆเชนหากผดแลระบบใชงานฐานขอมลผาน
27
โปรแกรมมายเอสควแอลจะตองสง # ./mysql -u root -p และใสคารหสผานมฉะนนจะไดรบ
ขอความเตอนวา ERROR 1045: Access denied for user:'root@localhost' (Using
password: NO) และไมอนญาตใหเขาใชงานระบบและวธการตรวจสอบสทธของโปรแกรมมาย
เอสควแอลเนองจากโปรแกรมใหความสาคญกบการจดการเกยวกบสทธของผใชคอนขางมาก
ผดแลระบบและ/หรอผดแลฐานขอมลจงควรมความเขาใจเกยวกบระบบการทางานดงกลาวซง
ไดนามาอธบายไวในหวขอนประโยชนของระบบการตรวจสอบสทธของโปรแกรมมายเอสคว
แอลคอการพสจนตวตนผใชทตดตอขอใชงานฐานขอมลวามาจากเครองปลายทางทไดรบ
อนญาตหรอไมและการใชงานฐานขอมลเปนไปตามสทธทกาหนดเชน SELECT,
INSERT,UPDATE และ DELETE หรอไมมจดประสงคเพอใหผดแลระบบมนใจวาผใชงานทก
คนดาเนนการใดๆกบฐานขอมลตามทไดรบอนญาตใหทาเทานนซงการทผใชงานแตละคนจะ
เขาใชงานฐานขอมลจะตองแสดงตววาตดตอมาจากเครองคอมพวเตอรเครองใดและใชชอผใช
คนใด กระบวนการตรวจสอบสทธของโปรแกรมมายเอสควแอลประกอบดวยการตรวจสอบ 2
ขนตอนเพอควบคมการเขาถงคอ
1. เครองใหบรการจะตรวจสอบวาผใชไดรบอนญาตใหตดตอกบฐานขอมลหรอไม
2. หากไดรบอนญาตจะตรวจสอบตอวาแตละคาสงทเรยกใชงานเชน SELECT,
INSERT, UPDATE และDELETE กบออบเจกตทผใชตองการใชงานเชนฐานขอมลตารางแถว
หรอคอลมนเปนตนตรงกบสทธทผใชคนดงกลาวไดรบอนญาตใหใชงานหรอไมจะเหนไดวาการ
ใชงานฐานขอมลจะตองไดรบการตรวจสอบทงในระดบผใชและสทธการใชงานของผใชแตละคน
ซงสทธเหลานถกกาหนดโดยผดแลฐานขอมลดงนนการทผดแลฐานขอมลจะเพมรายชอผใชงาน
ฐานขอมลแตละคนผดแลฐานขอมลจาเปนจะตองกาหนดรายละเอยดเหลานใหชดเจนสามารถ
ทาได 2 วธดงน
1. ใชคาสง GRANT เพอกาหนดวาจะอนญาตใหผใชงานชอใดจากเครองคอมพวเตอร
เครองใดตดตอเขามาใชงานออบเจกตใดๆในฐานขอมลไดบางมรปแบบคาสงดงน
GRANT เปนคาสงทใชในการกาหนดสทธของผใชแตละคนทจะเขาใชงานฐานขอมล
โดยขอมลทผขอใชตองแสดงตอฐานขอมลคอชอผใชและเครองปลายทางของหลงจากทเดมอน
mysqldตรวจสอบขอมลทงสองแลวพบวาผใชคนดงกลาวไดรบสทธใหใชงานฐานขอมลเดมอน
mysqldจะเปดใหผใชสงคาสงตางๆมาทาการ SELECT, INSERT, DELETE หรอ UPDATE
ขอมลในฐานขอมลทกครงท เดมอนmysqldได รบคาสงใดๆจากผ ใช กจะนาคาสง นนมา
เปรยบเทยบกบขอมลสทธทไดกาหนดไววาผใชคนดงกลาวไดรบสทธในการใชงานคาสงนนกบ
ออบเจกตนนหรอไมคาสง GRANT จะเปนตวกาหนดวาจะอนญาตใหผใช (user_name) ใชงาน
28
ฟลดใด (column_list) ของตาราง (tbl_name) หรอฐานขอมลใด(db_name) (อาจอางถงโดย
กาหนดเปน * เพอแทนตารางทงหมด) ดวยคาสงใดไดบาง (priv_type) สวนทเหลอคอออปชน
อนๆทผดแลสามารถปรบใชงานไดตามตองการหากผดแลฐานขอมลตองการยกเลกการใหสทธ
ทไดกาหนดไปแลวดวยคาสง GRANT สามารถทาไดโดยใชคาสง REVOKE
2. แกไขตาราง grant ของโปรแกรมมายเอสควแอลโดยตรงทาไดโดยการ INSERT
ขอมลและสทธของผใชคนใหมลงในตาราง user ซงผทจะแกไขตารางนไดคอผดแลฐานขอมล
(root ของฐานขอมล) เทานนอยางไรกตามวธดงกลาวนมความยงยากซบซอนและตองอาศย
ความรอบคอบของผดแลฐานขอมลจงไมนามาอธบายในทนหากตองการทราบวธการสามารถ
ศกษาไดท MySQL Manual | 4.3.5 Adding New Users to MySQL
2.9 ซอฟตแวรทเกยวของ
จากขอมลขนตนไดกลาวถงเครองมอและโปรแกรมตางๆ ทใชซงอาจจะมโปรแกรมอนๆ
ทไมไดกลาวถง โดยในทน ผศกษาจะนาเอาเครองมอทเปน Open source มาใชในการพฒนา
ใชใหสอดคลองกบพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550
โดยซอฟแวรทใชมดงตอไปน
- CentOS5.3 - FreeRADIUS - Apache - MySQL - syslog-ng-2.0.3-1.el5.kb.i386.rpm - Ntp.4.2.4p2-6.fc8 - Shell script - chillispot-1.1.0.i386.rpm
2.9.1 CentOS Linux
ลนกซ[6] ระบบปฏบตการแบบ 32 บต (ปจจบนมเวอรชน 64 บตดวย) ทเปนยนกซโคลนสาหรบพซและแจกจายใหใชโดยไมเสยคาใชจาย สนบสนนการใชงานแบบหลายผใช (Multi User-Multi Tasking) มระบบเอกซวนโดวส (X Window) และมาตรฐานการสอสาร TCP/IP ทใชเปนมาตรฐานการสอสารในอนเทอรเนตมาใหในตว ลนกซมความเขากนได (Compatible) กบมาตรฐาน POSIX ซงเปนมาตรฐานอนเทอรเฟสทระบบยนกซสวนใหญจะตองม และมรปแบบบางสวนทคลายกบระบบปฏบตการยนกซจากคาย Berkeley และ System V โดยความหมายทางเทคนคแลวลนกซ เปนเพยงเคอร
29
เนล(kernel) ของระบบปฏบตการ ซงจะทาหนาทในดานของการจดสรรและบรหารโพรเซส(Process) งาน การจดการไฟลและอปกรณ I/O ตางๆ แตผใชทวๆ ไปจะรจกลนกซผานทางแอพพลเคชนและระบบอนเทอรเฟสทผใชเหน เชน X วนโดสเปนตน จงเหมาะทจะนามาทา เซอรวสเปนอยางมาก เพราะมทมพฒนาโปรแกรมอยางตอเนองอยทวโลก และไมจากดจานวนผอาสาสมครเขารวมทมพฒนา เนองจากสวนใหญแลว ทมพฒนาเหลานจะตดตอกนผานระบบ Internet เหตเพราะเรองทอยอาศยของทมพฒนาแตละคน จะอยกนคนซกโลก และมแผนงานในการพฒนาในระยะยาย โดย Linux ทนามาเลอกใชจะเปน CentOS 5.3 (ปจจบนเวอรชน6.0)
CentOSยอมาจาก Community ENTerprise Operating System เปนลนกซทพฒนามาจากตนฉบบRedHat Enterprise Linux (RHEL) โดยทCentOSไดนาเอาซอรสโคดตนฉบบของRedHatมาทาการคอมไพลใหมโดยการพฒนายงเนนพฒนาเปนซอฟตแวรโอเพนซอรส Open Source ทถอลขสทธแบบ GNU General Public License ในปจจบนCentOS Linux ถกนามาใชในการทา Web Hosting กนอยางกวางขวางเนองจากเปนระบบปฏบตการทมตนแบบจากRedHatทมความแขงแกรงสง (ปจจบนเนนพฒนาในเชงการคา) การตดตงแพกเกจยอยภายในสามารถใชไดทง RPM, TAR, APT หรอใชคาสง YUM ในการอปเดทซอฟตแวรแบบอตโนมต
CentOSเปน Linux ในระดบ Enterprise ทมเปาหมายหลกในเรองของความ stable เพอใหใชกบงานในระดบองคกรCentOSแตกตางจาก Linux ตวอนๆทคอนขางจะมการเปลยนแปลงบอยและมกจะใส feature ทยงไม stable ลงไปดงนนการทCentOSโฟกสในเรองของความ stable จงทาใหผใชงานสามารถมงความสนใจลงไปในเรองของ application โดยลดความกงวลในสวนของ Operation System ลงไปCentOSถกพฒนาตอมาจาก source code ทไดรบการเปดเผยโดยทมงานผเชยวชาญ Enterprise Linux เจาหนงในอเมรกาเหนอกาลงหลกของทมพฒนาประกอบขนดวยผเชยวชาญและความสนบสนนจาก community ตางๆทงดาน system admin, network admin, enterprise user, manager, core Linux contributors
2.9.2 FreeRADIUS FreeRADIUS เปนโปรแกรมโอเพนซอรสสาหรบระบบลนกซ ซอฟตแวรนสามารถ
ทางานรวมกบ EAP-MD5 และ EAP-TLS ซงเปนระบบสาหรบตรวจสอบผใชโดยเฉพาะทใชกน
อยทวไปทใชในการจดการแอคเคาทและใชในการตรวจสอบสทธตามมาตรฐาน IEEE 802.1X
ตามแนวคด AAA (Accounting, Authentication, Authorize) Accounting นนคอ การจดการ
แอคเคาทในดานตางๆ ทงการสรางลบ และเพมแอคเคาทตลอดจนการเพมเตมคณสมบตตางๆ
ของแตละแอคเคาทสาหรบ Authentication จะเปนสทธตามวธการแอคเคาทตงโดยในขน
ตอนนจะมการแจงขอความตางๆ วาผานหรอไมผานการตรวจสอบสทธและเมอผาน
กระบวนการนไดสาเรจกจะเขาสกระบวนการสดทายนนคอ Authorize
30
กระบวนการการทางานของ FreeRADIUS
เรมแรกหลงจากทไดมการสราง Account เปนทเรยบรอยแลวมการใชงานโปรแกรม
RADIUS -client ตาง ๆ เชน Pgina, ntradpingหรอโปรแกรมอนๆ เพอลอกอนหรอตรวจสอบ
สทธกจะเขาสกระบวนการตาง ๆ ดงน
1. โปรแกรม RADIUS -client จะตดตอโปรแกรมFreeRADIUS ตามหมายเลขไอพและ
พอรท ทไดกาหนดไว (โดยปกตพอรทของโปรแกรมจะอยท1812 ตาม default)
2. โปรแกรมจะนาชอ account รหสผาน และคา secret key ไปตรวจสอบวาถกตอง
หรอ ไมในขนตอนนจะมกระบวนการดงน
1) (RADIUS - client) ในขนตอนนจะมการสง username, password, secret key ไปยงเซรฟเวอรเพอใช ในการตรวจสอบความถกตอง
2) (RADIUS - client) ในขนตอนนทางฝงไคลเอนตจะสรางสญญาณรองขอผลตอบกลบ (access-request) มาจากเซรฟเวอร หรอรอสญญาณตอบรบความถกผดของขอมลทสงจากขนตอนแรก
3) (RADIUS - client) ในขนตอนนเซรฟเวอรจะตอบกลบไปยงเครองไคลเอนตดวยสญญาณ access-reply โดยสญญาณนจะประกอบไปดวย 2 สญญาณยอยทสาคญ แตจะเกดขนเพยงแคหนงสญญาณตอเงอนไข นนคอ สญญาณ access-accept และ access-reject โดยสญญาณ access-accept นคอสญญาณทใชตอบกลบไปยงไคลเอนตวา username, password และ secretkey นนถกตอง สวนสญญาณ access-reject นนจะตรงกนขามกบสญญาณแรกโดยมความหมายคอ username, password และ secret key ไมถกตอง หรออาจมเฉพาะตวหนงตวใดไมถกตองกได เปนตน
ในโปรแกรมFreeRADIUSตองอาศยฐานขอมลเพอดงขอมลมาใชในการประมวลผลไมวา
จะเปน username, password หรอ message และเงอนไขตางๆ ของแตละ user ซงในฐานขอมล
จะมตารางทเกยวของดงน radcheck, radgroupcheck, radgroupreply, usergroupและ radacct
2.9.3 Apache จดกาเนดของ Apache คอ National Center for Supercomputing Applications
(NCSA) HTTPd web server ซงพฒนาโดย Rob McCool ในชวงป 1990 และภายหลงจากท
โครงการ NCSA HTTPdถกยกเลก ไดมนกพฒนาหลายคนทนา HTTPdมาปรบปรงและใชงาน
ในเดอน กมภาพนธ 1995 ไดมการจดตง Apache group ขนโดยนกพฒนา 8 คนและได
เผยแพรเวอรชนแรกของ Apache คอ v 0.6.2 ในเดอนเมษายน 1995 และจากนน Apache 1.0
กไดถกเผยแพรเมอ 1 ธนวาคม 1995 และไดรบความนยมอยางรวดเรวภายในเวลา 1 ป
กลายเปนเวบเซรฟเวอรทมผใชงานมากทสด
31
ปจจบน The Apache Software Foundation เปนผดแลโครงการ Apache HTTP server
ซงมจดประสงคเพอสรางเวบเซรฟเวอรทมความทนทานตอการใชงานมคณภาพในระดบของ
commercial-grade ม feature ทนาใชงาน และสามารถเปดเผย source code ได ทงนสามารถใช
Apache เวบเซรฟเวอรไดฟรภายใตขอกาหนดของ Apache Software License
การตดตง Apache ใหมความปลอดภยนนขนอยกบตวระบบปฏบตการและการเชอมตอ
เครอขายมากกวาเพราะถงแมวาหนาตางจะปดไวแตถาประตยงเปดชองไวอยกไมมประโยชนแต
อยางไร
อยางไรกตามการทเราจะตดตงเวบเซรฟเวอรใหมความปลอดภยนนกไมควรทจะตดตง
เซอรวสอน ๆ ทไมมความจาเปน เชน ftp, mail, DNS ซงถามความจาเปนตองตดตงกควรตดตง
แยกเครองกนตางหากทงนรวมไปถงการไมตดตงแอพพลเคชนทไมจาเปนรวมทงคอมไพเลอร
ดวยนอกจากนปญหาเรอง Network security กจาเปนตองกลาวถงเปนอยางยงเพราะโดยสวน
ใหญแลว Apache จะถกเชอมตอโดยตรงกบอนเตอรเนตโดยไมไดมการกรองจากไฟรวอลลซงถา
มความสามารถในการลงทนและใหความสาคญกบ network security แลวกจาเปนทจะตดตงไฟร
วอลลเพอปองกนการโจมตแบบ Dinial of Service และ network-based attacks แบบอนๆ อก
และนอกจากนการตดตงซอฟแวรเสรมตวอนเชน TCP wrapper, IPTables, SSH, Snort กจะ
ชวยใหระบบมความพรอมในการรบมอกบเหตการณทจะเกดขนดวย
2.9.4 Chillispot
Chillispotเปน ซอฟตแวรโอเพนซอรส ทนามาใชในการควบคมการใชงานเครอขาย ไร
สาย เรยกวา wireless controller นยมนามาใชเปนเกทเวย (gateway) ตดตงไวบน linux box
เพอคอยดกแพกเกจทซพ พอรต 80 และสงหนาจอลอกอนไปยงผใชงาน โดยChillispot จะ
ทางานรวมกบโปรแกรม RADIUS ซงทาหนาทบรหารจดการฐานขอมลของยสเซอรทงน
โปรแกรม chillispotกบ FreeRADIUSอาจจะตดตงอยบนเครองเดยวกนหรอตางเครองกนได
Chillispot secured Wi-Fi Access Gateway คอ อปกรณ Access point router
(อปกรณเครอขายไรสาย)ทตดตง firmware ใหม ทมความสามารถในการปองกนการลกลอบ
เขาใชงาน โดยท firmware นนมโปรแกรม Chillispotใสไวใหแลว
การทางานเมอเครองไคลเอนต ทาการตดตอเขามายงแอสเซสพอยสไดสาเรจและผใช
เรมตนการใชงานบราวเซอรเพอไปยงเวบไซตใดๆผใชจะไดรบหนาจอแรกเปนหนาจอสาหรบ
ลอกอน เมอลอกอนสาเรจจงจะสามารถใชงานอนเตอรเนตไดหากวาในโปรแกรมบราวเซอรทใช
มการเซตคาพรอกซไวกจะไมแสดงหนาจอลอกอนทาใหใชงานตอไมได
32
หลกการของระบบนคอเมอเครองไคลเอนตทาการตดตอกบแอสเซสพอยสไดแลวจะ
ไดรบไอพแอดเดรสและพรอมทจะใชงานแตจะยงใชไมไดในทนท เนองจากวาเมอผใชเปด
โปรแกรมบราวเซอรเพอไปยงเวบทาใหแอสเซสพอยสจะไดรบขอมลทซพ พอรต 80 จากเครอง
ไคลเอนต มนจะสงไปยงโปรแกรม chilliทอยในตวมน (Access point) (โปรแกรม chilliเปน
1 โปรเซสของ linux OS ทรนอยใน Access point) โปรแกรม chilliจะสงหนาจอลอกอนซงถก
กาหนดไววาใหไปเอาหนาจอลอกอนจากเวบไซตไหน เมอผใชใสลอกอนและพาสเวรดโปรแกรม
chillispotกจะนาลอกอนและพาสเวรดสงไปสอบถามท RADIUS server ทกาหนดไว จากนน
RADIUS server กจะตอบกลบมายง chilliแลว chilliกจะทาการเปดเสนทางใหกบผใชงานก
ตอเมอลอกอนและพาสเวรดถกตอง
บทท 3 การออกแบบและพฒนาระบบ
3.1 การออกแบบและระบบงาน
ในปจจบนการใชงานระบบอนเทอรเนตนนมการใชงานกนอยแพรหลาย และการวางโครงสรางของระบบเครอขายนนจะแตกตางกน แลวแตโครงสรางหรอลกษณะการใชงานในแตละองกรณ ซงจะมโครงสรางโดยทวๆ ไปดงในรป
รปท 3.1 Network Diagram
จากรปท 3.1 จะเหนวาระบบเครอขายโดยทวไป จะมการใหบรการตางๆ เชน Proxy,
Email, Web และการใชงานตางๆ ของอปกรณเชน share printer ซงจะมตว Firewall คอยทาหนาทตางๆ เชน การกาหนดนโยบาย (Policy)ในการใชงานของระบบเครอขาย แบงโซนตางๆ เชน Dmzสาหรบเซฟเวอร, Zone management ไวสาหรบจดการระบบการใชงานภายใน อกทงยงสามาถทาหนาทเปนตวเกทเวยดวยกได ซงอาจจะทาใหตองใชอปกรณทมคณภาพสง จงทาใหสนเปลองสาหรบองกรณขนาดเลกหรอผใหบรการอนเทอรเนตทวไป ดงนนจงเปนทมาของโครงการพฒนาระบบเครอขายน ทจะทาตว Authentication Gateway ขนมา สาหรบใชในการจดการระบบอนเทอรเนตคาเฟ
34
ในการออกแบบระบบงานเพอการใชในรานอนเทอรเนตคาเฟนน ไดมการวางระบบทเรยกวาเปนตว Authentication Gateway วางขวางไวระหวางระบบภายนอกและภายใน ซงจะทาใหผใชทกคนทตองการใชงานอนเทอรเนต จะตองใชผานระบบ Authentication Gateway ทงหมด ทาใหงายและสะดวกในการควบคมการใชงานของผใชบรการ
เครองคอมพวเตอรททาหนาทเปน Authentication Gateway จะเปนเครองเซฟเวอรหรอเครองพซทวๆ ไปกได เปนเครองทสามารถลงระบบปฏบตการ ของลนกซเซฟเวอรได ซงเปนโอเพนซอรสรวมไปถงแพคเกจของแตละเซอรวสทเกยวของกบการใชงาน รวมไปถงการใชงาน หรอคอนฟกผานหนาเวป อนเตอรเฟส
รปท 3.2 แสดงระบบการใชงานในรานอนเทอรเนตคาเฟ
35
3.2การออกแบบและตดตงระบบรานอนเทอรเนตคาเฟทม Gateway Server
รปท 3.3 แสดงแบบจาลอง Gateway Server บนโปรแกรม Vmware ในพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550 ระบไววาในการเกบขอมลจราจรนนตองสามารถระบรายละเอยดผใชบรการระบบเครอขายอนเทอรเนตเปนรายบคคลได เชน ( Identification and Authentication ) ลกษณะการใชบรการ Proxy Server, NAT หรอ การใชบรการอนเตอรเนตตางๆ ตองสามารถระบตวตนของผใชบรการเปนรายบคคลได การออกแบบและทดลองจะทาบน โปรแกรม Vmwareซงทางานอยบนคอมพวเตอรสวนบคคล (notebook)โดยมการจาลองเปน Gateway Server 1 เครอง และ พซทเปนเครองลกขาย 2 เครอง 3.3 องคประกอบของ Gateway Server 3.3.1 เครองเกทเวยเซฟเวอรลงระบบปฏบตการลนกซเซฟเวอรนนจะเปน CentOS 5.3 ซงทาการทดสอบการใชงานระบบผานโปรแกรม Vmware
3.3.2 eth0คอ Lan Card ใบท 1 เซตใหอยใน VMNet0(Bridge) ซงจะไดรบแจกไอพจาก ADSL Modem ททาหนาทเปน DHCP 3.3.3 eth1คอ Lan Card ใบท 2 เซตใหอยใน VMNet1 ไมมการเซตคาไอพใชสาหรบตอกบ เครองลกขาย 3.3.4 Tun0 เปนอนเตอรเฟสทสรางขนมาเพอสาหรบการใชงาน ChilliSpotโดยจะเปนตวแจกคาไอพ ใหกบเครองเครอขายภายในทเขามาในระบบ
36
3.4 การตดตงระบบ CentOS 5.3 ทาการตดตง Centos 5.3 ตามปรกตโดยเพอความสะดวกในการใชงานเราสามารถลงpackage ตางๆเหลานไปดวยตอนตดตงระบบไดเชนhttpd ( web server ), squid , mysql , ftp ไดทนท
ไฟลคอนฟกทเกยวของ /etc/sysconfig/selinux ## ไวสาหรบการ setup คาselinux /etc/sysconfig/network-script ## ไวสาหรบการ set interface card /etc/sysctl.conf ## ใชสาหรบการ forward port ปดการทางานSelinuxโดยเปลยนSelinux = Disabled แกไขไฟลทเกยวของกบระบบฟอรเวรดพอรตโดยแกคา net.ipv4.ip_forward =0 เปน
1หลงจากนนทาการ restart service ใหทางานใหม
3.4.1 การตดตง package Radius Server ตดตงโดยใชคาสง yum install –y freeradius
ไฟลคอนฟกทเกยวของ /etc/raddb/radius.conf ## เปนไฟลสาหรบคอนฟกradius ตวหลก /etc/raddb/client.conf ## เปนไฟลสาหรบอนญาตใหไอพใดใชงาน radius ไดบาง
3.4.2 การตดตงchilli spot แบบ web loginตดตงโดยการใชyum install chillispot -y ไฟลคอนฟกทเกยวของ /etc/chilli.conf # เปนไฟลคอนฟกของchilli spot /etc/www/cgi-bin/hotspotlogin.cgi # เปน script ในการเรยกใชหนาauthenของchilli
spot /var/www/html/welcome.html # เปนไฟลสาหรบการคอนฟกหนาเวบ ขนตอนแรกเขาไปท interface card eth1 เพอเขาไปแกไขคาใหเวลาเมอมการใชงาน
หรอรบตเครองจะไมไดรบแจกไอพ ตอมาเขาไปแกไขไฟลchilli.confโดยจะตองแกไขคอนฟกตางๆใหเปนไปตามของระบบเครอขายเชนหวขอ # TUN parameters # แกไขเปน 10.0.1.1/24 (ไอพในเครอขายทงหมด) # Radius Parameter # แกไขเปน radiusserver1 127.0.0.1 # Radius Secert # แกไขเปนsecretkeyเปนทเราตองการใช (สาหรบใชงานจรงในการ
authen) # Tag uamserver # เปลยนเปนหนาเวบไซตทเราตองการใหมน redirect ไปใน
ตวอยางการทดลองใชเปนhttps://10.0.1.1/cgi-bin/hotspotlogin.cgi
37
# UamSecert # แกเปน ht2eb8ej6s4et3rglulp หรอคาใดกไดแตตองใหมคาเหมอนกบในไฟล hotspotlogin.cgi (สวนในไฟลhotspotlogin.cgiนนใหเอาเครองหมาย # ออกโดยม 2 ไฟลทตองแกไขคอuamsecertและusepassword
ตอมา copy file firewall.iptablesดวยคาสง cp /usr/share/doc/chillispot-1.1.0/firewall.iptables /etcซงเปนการกอปปไฟล
iptablesในตว ไฟลทเราทาการดาวนโหลดมาใน rpm ของchilliเมอทาการ service chilli restart จะพบวาม tun0 ขนมา ไอพเปนคาทเราตงไวคอ 10.0.1.1
3.4.3 การตดตงฐานขอมลมายเอสควแอล ตดตงโดย yum install mysqlซงจะม package ทเกยวของดงนmysql, mysql-server,
freeradius-mysql หลงจากตดตงเสรจเรยบรอยให start mysqlจะพบวาระบบไดสรางฐานขอมลขนมาโดย
ขนตอไปจะเปนการสราง user root ของระบบฐานขอมลโดยใชคาสง /usr/bin/mysqladmin -u root password 'xxxxxx' หลงจากนนกจะเปนการสรางฐานขอมลตางๆในระบบโดยสามารถ create databaseไดทนทหรอจะเรยกใชจากตวfreeradiusทมอยแลวคอmysql -uroot –pxxxx radius </usr/share/doc/freeradius-1.1.7/examples/mysql.sqlซงจะเปนการสรางฐานขอมลดงในตารางท 3.1 ตารางท 3.1 ตวอยางฐานขอมล radcheck
Field Data Type Key Description
Id Init (11) Pk รหสเงอนไขกลมเขาระบบ
Usename Varchar (64) กาหนดผใชงาน
Varchar (64) Varchar (32) กาหนดแอททรบวท
Op Char (2) สญลกษณของแอททรบวท
Value Varchar (253) คาของแอททรบวท การตดตง Freeradius –mysql
ทาการตดตงโดยใชคาสง yum install freeradius-mysqlเพอให radius สามารถใชงานมายเอสควแอลได
38
ไฟลคอนฟกทเกยวของ /etc/raddb/sql.onf # คอนฟกใหเลอกใชฐานขอมลมายเอสควแอลตวไหน /etc/raddb/radius.conf # คอนฟกเพอให Radius ใชฐานขอมลของมายเอสควแอล
3.5 การออกแบบหนา Web manage เพอสามารถ configการใชงานในดานตางๆ
รปท 3.4 หนา Web manage
รปท 3.5 หนา Web manage สวนของการสรางผใชบรการ Internet Café
บทท 4 ผลการทดลอง
4.1 ระบบเครอขายทใชในโครงงาน การตดตงระบบเครอขายเพอทจะใหระบบทางานเปน Gateway Server นน เครองแมขายจาเปนตองทาหนาทเปนตว Firewall ดวย เพราะเนองจากจะเปนตวกลางในการออกสอนเทอรเนต ซงจาเปนทจะตองมการทา Authentication เพอกาหนดใหสามารถใชงานระบบอนเทอรเนตได 4.2 รายละเอยดในการทดลอง ขนแรก เรมจาก User ไดเชอมตอเขามาในระบบ จะไดรบ ip address จากระบบ dhcpซงกคอ Chilli-Spot นนเอง เมอไดทาการเปด Web browser จะมการทา redirect เขามายงหนา User login โดยจะเปนหนาหลกท User จะตองเขามาทาการ login กอน ดงรปท 4.1
รปท 4.1 แสดงหนา User login
เมอเขาสหนาเวบสาหรบ User login จะมชองใหใสคา Username และ Password ในการ login เพอเขาใชงานในระบบอนเทอรเนต ซงในสวนนผขอใชบรการจาเปนทจะตองมาตดตอเจาหนาทผใหบรการ ในทนเรยกวา Admin เพอใหทาการสราง Username และ Password สาหรบการใชงาน โดย Admin จะเปนผกาหนดอตราคาใชจาย โดยคดเปนชวโมง
40
หรอตามรปแบบทรานอนเทอรเนตคดกน ซงจะไมคอยแตกตางกนมาก เพราะขนตอนสาหรบรานอนเทอรเนตแตละรานนนเหมอนกน แตกตางกนตรงราคาในแตละชวโมงทใช พรอมทงน Admin สามารถกาหนดแบนวธใหแตกตางกนในแตละ Package กได และเมอทาการ login เขาใชงานอนเทอรเนตแลว จะมหนาตางใหมอกหนาตางนง ให user สามารถทจะทาการ logout ออกจากระบบได ดงรปท 4.2
รปท 4.2หนาเวบ User logout
แตถาหาก user ใชงานอนเทอรเนตจนหมดเวลาทไดทาการลงทะเบยนไวแลวนน กจะ
เจอหนาดงรปท 4.3
41
รปท 4.3 หนาเวปแจงหมดเวลาใชงาน
คอจะบอกถงวา Package ท user ไดใชงานไปแลวนน หมดเวลาใชงาน ถาตองการใช
งานตอ ตองไปตดตอกบ admin เพอทาการออก package อนใหม 4.3 รายละเอยดการใชงานหนา Web management การ login เขาใชงานระบบ web manage โดยเมอเปด web browser ไปท http://ip-eth0/Authenจะเปนการเขาสระบบการจดการ จะตองใส user ทเปนสทธของ admin
รปท 4.4 หนาจอ login เขาใชระบบ Web management
42
เมอทาการ login ดวย user ทเปนสทธของ admin กจะสามารถใชงานระบบ web manage ได โดยเมอ login เขามาในระบบแลว จะเหนเมนในการจดการ user
รปท 4.5 หนาจอในการ Manage user
4.4 การ Manage user เปนหนาทแสดงรายละเอยดเกยวกบการเพม user เพอเขาใชงานระบบอนเทอรเนต โดยจะมการใสคา Attribute ตางๆ ใหกบ user ทจะมาขอใชบรการกบทางรานอนเทอรเนตคาเฟ นนคอ ID : รหสบตรประจาตวประชาชน / รหสประจาตว Login Name : ชอ user ทจะใชงาน Password : password ของ user Datarate DN/UL : คา Download / คา Upload Use-Time : กาหนดคาเวลาทสามารถใชงานได เมอทาการใสคาตามรายละเอยดของ user เรยบรอยแลว ใหทาการกดปม Add User เพอตกลงในการเพม user เขามาในระบบ
43
รปท 4.6 แสดงหนาจอในการเพม user เพอเขาใชงานในระบบ
จากรปท 4.6 จะเหนวา มผลการเพม user เขามา ปรากฎบอกดวยวา ไดเพมผใชงานเขามาในระบบเรยบรอยแลว และมคาตามทเราไดใสลงไปในแตละชองดวย
รปท 4.7 ทดสอบ authenดวย user ทเราสรางขนมา
44
4.5 การทดสอบการใชงานอนเทอรเนตของ user ในระบบ เมอ user ทาการ login เขาสระบบ กจะสามารถใชงานอนเตอรเนตได และไดรบคาการใชงานตามททางแอดมนไดกาหนดเอาไว เชน สามารถใชงานในการดาวนโหลด / อพโหลด ตามทใสคาไว สามารถใชงานตามชวโมงทไดตงเอาไว สวนในเรองของนโยบายในการใชงานนนไดกาหนดไวท iptables ของระบบวาจะเปดบรการใดบาง โดยใหสามารถใชงานได ในการทดสอบนน ไดกาหนด user ทชอวา test1 ใหมความอตราการ download 2 Mb, Upload 256 k แลวจงทาการทดสอบวา test สามารถใชงานไดตามแบนวธทไดตงไวหรอไม
รปท 4.8 ทดสอบแบนวธทกาหนดใหกบ user ผลการทดสอบการใชงานของ user ทชอ test1 ในการทดสอบ Speed test เมอทาการทดสอบแลวจะเหนวา สามารถ Speed test ไดอยทดาวนโหลด 2.05 Mb และอพโหลดอยท 0.5 Mb ซงถอวา ในชวงขาดาวนโหลดนนอยในเกณฑทกาหนด แตชวงขาอพโหลดนนคอนขางจะเกนคาทกาหนดไว
45
4.6 การจดการแกไขรายละเอยด user ผานหนาเวบไซต โดยเมอทาการเขาสระบบจะสามารถเขาไปจดการรายละเอยดการใชงานตางๆ ของ user ไดโดยสามารถกดท edit เพอแกไขรายละเอยดตางๆ ผานทางหนาเวบไซต
รปท 4.9 แสดง user ทงหมดในระบบ
รปท 4.10 แสดง user ออนไลนในระบบ
46
4.7 ทดสอบการใชงานระบบจดเกบ Log เมอเขาสหนาตางการใชงาน Log จะสามารถเรยกด log ทเกดขนในระบบได
รปท 4.11 ตวอยางเรยกด log
จากรปนนจะเหนวาไดมการเรยกด log จากระบบทงหมด โดยหลกการเกบ log นนจะเกบมาจาก log ของ iptablesซงจะสามารถเกบรายละเอยดการใชงานในระบบไดทงหมด
รปท 4.12 ตวอยางทา MD5
บทท 5 สรปผลการดาเนนงาน
5.1 กลาวนา จากการทดลองโดยการใช CentOS 5.3เปนระบบปฏบตการททาหนาทเปน Log Serverและเปน Gateway Serverและเครองลกขายสามารถ Authentication กบ RADIUS ไดโดยลง package ตางๆ ทเกยวของ คอ Syslog-ng, Chillispot, Freeradius, mysql, iptablesเพอทาหนาทในการจดการ การใชอนเทอรเนตสาหรบ รานอนเทอรเนตคาเฟไดเปนอยางด 5.2 ปญหาและอปสรรคในการพฒนาระบบ 5.2.1 จากการไดศกษาและทดลองเกยวกบการเกบ log ตาม พรบ.นน พบปญหาบางประการ เชน ทาอยางไรใหสามารถเกบ log ถกตองตามกฎ พรบ.เพราะกฎวาตองมการเกบรกษาความลบของขอมลทจดเกบ, กาหนดชนความลบในการเขาถงขอมลเพอรกษาความนาเชอถอ และยงไมใหผดแลระบบสามารถแกไขขอมลทเกบรกษา ซงรานอนเทอรเนตคาเฟโดยทวไปไมสามารถทาแบบนนได 5.2.2 การปองกนการโหลดบท และการใชงานโปรแกรมประเภท net cut นนยงไมสามารถปองกนไดอยางเตมท 5.3 แนวทางในการศกษาตอ
5.3.1 ปรบปรงระบบใหมความเสถยรภาพมากขน 5.3.2 ปรบปรงในเรองของระบบ user ในการใชงาน 5.3.3 ศกษาในเรองของรปแบบการใชงานหนา Web Management เพอจดการกบ
ระบบ log ใหสามารถแยกประเภทของการใชงาน หรอประเภทของการใชไฟลได
48
เอกสารอางอง
[1] สรการ ดวงผาสข, การตดตงระบบเกบขอมลจราจร (Traffic Data) ตาม พระราชบญญตวาดวยการกระทาผดเกยวกบคอมพวเตอร พ.ศ.2550, มหาวทยาลยเทคโนโลยมหานคร, พ.ศ. 2552. [2] บญลอ อยคง, คมอประกอบการฝกอบรมปฏบตงาน Linux Server Security, พ.ศ. 2551. [3] จตชย แพงจนทร, อนโชต วฒพรพงษ, เจาะระบบ Network 2nd, infopress, พ.ศ. 2551. [4] ภวดลดานระหาญ, “Syslog-ng (Syslog net gereration).” [Online]. Available: http://www.thaicert.or.th/archive2011/paper/unix_linux/syslog-ng.php [5] ภวดลดานระหาญ, “Linux 2.4 Statefull Firewall : IPTABLES.” [Online]. Available: http://www.thaicert.or.th/archive2011/paper/firewall/iptables.php [6] http://th.wikipedia.org/wiki/ลนกซ [7] ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสารเรองหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการพ.ศ. 2550, ประกาศราชกจจานเบกษา เลมท 124 ตอนพเศษ 102 ง หนา 5, 23 สงหาคม 2550. [8] พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550. ประกาศราชกจจานเบกษา เลมท 124 ตอน 27 ก หนา 4, 18 มถนายน 2550. [9] ปรญญาหอมอเนก และคณะ, คมอวธปฏบตสาหรบองคกรตาม พระราชบญญต วาดวยการกระทาความเกยวกบคอมพวเตอร พ.ศ.2550 และ ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ.2550. ACIS Professional Center. [Online]. Available: http://www.acisonline.net/ (17 June 2009). [10] เลอศกด ลมววฒนกล และคณะ, แนวทางการจดเกบขอมลลอกสาหรบองคกรเพอใหสอดคลองตาม พระราชบญญต วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550. ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, 2551. [11] ภวดลดานระหาญ, “ทาความรจกกบ syslogd.” [Online]. Available: http://thaicert.nectec.or.th/paper/unix_linux/linux_syslog.php (17 June 2009). [12] มนชยา ชมธวช, “เรองนารเกยวกบความปลอดภยของ MySQL Server.” [Online]. Available: http://thaicert.nectec.or.th/paper/unix_linux/mysql.php (17 June 2008)
49
ภาคผนวก ก.
คาสง และคอนฟกตาง ๆ ในการทาสารนพนธ
50
1. การตดตง Linux CentOS 5.3 1.1 ทาการตดตง Linux CentOS 5.3 ตามปกต และทาการเลอก package เหลาน
เขาไปดวย httpd(เปน Web Server), squid, mysqlเพอความสะดวก 1.2 หลงจาก reboot เครอง ใหปดการทางาน โดยเลอก SeLinux = diaabled 1.3 แกไขไฟล /etc/sysctl.confโดยใชคาสง vi /etc/sysctl.conf
เดม net.ipv4.ip_forward = 0 เปน net.ipv4.ip_forware = 1
1.4 แกไขให httpd, squid, mysqlทางานทกครงเมอมการ boot เครอง ใชคาสง chkconfig--level 2345 httpd on chkconfig--level 2345 squid on
1.5 สงให service ทางานใหม servicehttpd restart service squid restart servicemysql restart
2. การตดตง และการ configuration freeradius 2.1 ตดตง package โดยใชคาสง 2.2 แกไขใหทางานทกครงเมอมการ boot ใชคาสง 2.3 สงให service ทางานใหม 2.4 ไฟลทเกยวของ
/var/log/radius/radius.log เปนไฟลสาหรบด error /etc/raddb/radius.confเปนไฟลสาหรบ config /etc/raddb/clients.confเปนไฟลสาหรบอนญาตให ipใดใชงาน radius ได
3. การตดตง และการ configuration chillispotแบบ Web Login 3.1 ทาการตดตง package chillispot-1.1.0.i386.rpm
รปท ก.1 การตดตง package chillispot-1.1.0.i386.rpm
51
3.2 ไฟลทเกยวของ /etc/chilli.conf
/var/www/cgi-bin/hostspotlogin.cgi
/var/www.html/welcome.html
/etc/firewall.iptables 3.3 แกไขไฟล /etc/sysconfig/network-scripts/ifcfg-eth1
รปท ก.2 การแกไขไฟล /etc/sysconfig/network-scripts/ifcfg-eth1
3.4 แกไขไฟล /etc/chilli.confโดยใชคาสง vi /etc/chilli.conf
แลวทาการแกไขคาตางๆดงน
[หวขอ # TUN parameters]
เดม # 192.168.182.0/24
ใหพมพ net 10.0.1.0/24 (เปน network ลกขายของเรา)
[หวขอ # Radius parameters]
[# TAG : radiusserver1]
เดม radiusserver1 rad01.chillispot.org(ทาการใสเครองหมาย # บรรทดน)
พมพเพม radiusserver1 127.0.0.1
[# TAG : radiusserver2]
เดม radiusserver2 rad02.chillispot.org (ทาการใสเครองหมาย # บรรทดน)
พมพเพม radiusserver2 127.0.0.1
[ # TAG : radiussercret ]
เดม radiussecret testing123
(ยงไมแกไข เมอใชงานจรงควรแกไข ใหตรงกบคา radius secret ของไฟล
/etc/raddb/clients.conf)
52
[หวขอ # Universal access method (UAM) parameters]
[ # TAG : uamserver ]
เดม uamserver https://radius.chillispot.org/hotspotlogin (ใสเครองหมาย # หนาบรรทดน)
พมพเพม uamserver https://10.0.1.1/cgi-bin/hotspotlogin.cgi
[ # TAG : uamhomepage ]
เดม uamhomepage http://192.168.182.1/welcome.html (ใสเครองหมาย # หนาบรรทดน)
พมพเพม uamhomepage http://10.0.1.1/welcome.html
[ # TAG : uamsecret ]
เดม #uamsecret ht2eb8ej6s4et3rglulp
แกเปนuamsecret ht2eb8ej6s4et3rglulp
(เอาเครองหมาย # หนาบรรทดนออก หรอจะทาการแกไขรหสใหมกได แตตองใหมคา
เหมอนกบในไฟล hotspotlogin.cgi)
[ # TAG : uamlisten ]
เดม #uamlisten 192.168.182.1
พมพเพม uamlisten 10.0.1.1
3.5 copy file firewall.iptables ดวยคาสง cp /usr/share/doc/chillispot-1.1.0/firewall.iptables /etc
3.6 copy file hotspotlogin.cgi cp /usr/share/doc/chillispot-1.1.0/ hotspotlogin.cgi /var/www/cgi-bin/
3.7 แกไขไฟล vi /var/www/cgi-bin/hotspotlogin.cgiคาตางๆดงน เดม # $uamsecret = “ht2eb8ej6s4et3rglulp”; เปน $uamsecret = “ht2eb8ej6s4et3rglulp”;
(เอาเครองหมาย # ออก ถาไมตองการเปลยนคาของ uamsecretหรอตองการทจะทาการแกไขรหสใหมกได แตตองใหมคาเหมอนกบในไฟล /etc/chilli.conf)
เดม # userpassword=1; (เอาเครองหมาย # ออก) เปน $userpassword=1;
53
3.8 สรางไฟล /var/www/html/welcome.html โดยมรายละเอยด คอ
รปท ก.3 การสรางไฟล /var/www/html/welcome.html
3.9 ดาวนโหลดรป chillispot.png แลวไปไวท /var/www/html 3.10 แกไขใหทางานทกครงเมอมการ boot เครอง ใชคาสง
chkconfig --level 2345 chilli on 3.11 สงให service ทางานใหม
รปท ก.4 การสงให service chilli restart
54
3.12 เมอ restart เรยบรอยแลว กจะม interface tun0 เปน 10.0.1.1
3.13 3.14
รปท ก.5 แสดง interface tun0 เปน 10.0.1.1
3.13 copy ไฟล firewall.iptablesดวยคาสง cp /usr/share/doc/chillispot-1.1.0/firewall.iptables /etc
3.12 แกไขไฟล vi /etc/rc.localโดยเพม 2 บรรทดดานลางน เพอให firewall.iptables และ chillispot แลวทาการบตเครองใหม
sh /etc/firewall.iptables servicechilli start
4 การตดตงและการ configuration Mysql โดยม package ทเกยวของในการตดตงคอ
mysql -5.0.45-4 mysql-server-5.0.45-4 freeradius-mysql-1.1.7-3.1
55
4.1 หลงจากท start service mysql แลว ในครงแรกนน ใหทาการ create password ใหกบ admin ของ mysql ซงกคอ root (คนละ root กบของ system)โดยใชคาสง /usr/bin/mysqladmin -u root password ‘abcd1234’
และเมอเราตองการออกจาก mysql กใหพมพคาวา quit
รปท ก.6 แสดงการสราง password ใหกบ admin ของ mysql
4.2 สราง database และ user ใหมชอ radius เพอให freeradiusใชเปนฐานขอมลทเกยวของในการ authentication โดยเขา mysqlครงแรกใหเปน root กอน
4.3 นา database schema ของfreeradiusมาใชงาน โดยคาสง mysql -uroot -pabcd1234 radius < /usr/share/doc/freeradius-1.1.5/examples/mysql.sql
56
5 การตดตง และการ configuration freeradius-mysql 5.1 ทาการตดตง package freeradius-server โดยวธการ yum install เพอทจะให
mysqlทางานรวมกบ freeradius
รปท ก.7 การตดตง package freeradius-server
5.2 แกไขไฟล /etc/raddb/sql.conf
login = “radius” password = “abcd1234” radius_db= “radius”
5.3 แกไขไฟล etc/raddb/radiusd.conf เดม # $INCLUDE ${confdir}/sql.conf (เอาเครองหมาย # ออก) เปน $INCLUDE ${confdir}/sql.conf
5.4 แกไขไฟล /etc/raddb/radiusd.conf เดม # See “Authoriaztion Queries” in sql.conf # sql (เอาเครองหมาย # หนา sqlออก)
57
เปน # See “Authoriaztion Queries” in sql.conf sql เดม # See “Accounting queries” in sql.conf # sql (เอาเครองหมาย # หนา sqlออก) เปน # See “Accounting queries” in sql.conf sql เดม # See “Simultaneous Use Checking Querie” in sql.conf # sql (เอาเครองหมาย # หนา sqlออก) เปน # See “Simultaneous Use Checking Querie” in sql.conf sql
5.5 แกไขไฟล /etc/raddb/radiusd.conf เพอเพม modules sqlcounter ทสามารถใชงานในสวนของ session-timeout ม 3 module คอ noresetcounter, dailycounter, monthlycounterลงใน section authorize {….} คอ
รปท ก.8 การเพม modules sqlcounter
5.6 แกไขไฟล /etc/raddb/radiusd.confโดยเพม noresetcounterไวบน sqlcounterทชอ dailycounterดงรายละเอยดดานลาง
รปท ก.9 การเพม noresetcounter
58
5.7 สรางไฟล script ชอ /etc/raddb/log-gateway.sh เพอจดให log ของการใชงาน Radius แบงเปนเวลาตามวน
รปท ก.10 การสรางไฟล script ชอ /etc/raddb/log-gateway.sh
5.8 หลงจากแกไขไฟลทงหมดแลว ทาการ service restart
6 การตดตง และการ configuration squid 6.1 หลงจากมการตดตงแลว ทาการแกไขไฟล /etc/squid/squid.conf
รปท ก.11 การแกไขไฟล /etc/squid/squid.conf
59
6.2 ทาการกาหนด transparent proxy ดวย การแกไขไฟล /etc/firewall.iptables
รปท ก.12 การกาหนด transparent proxy
6.3 หลงจากนนสงให iptablesทางานโดยใชคาสง
sh /etc/firewall.iptables 6.4 หลงจากแกไขไฟลทงหมดแลว ทาการ sevice squid restart
7 การตดตงและการ configuration NTP (Network Time Protocol) 7.1 ทาการแกไขไฟล /etc/ntp.conf ตามคาดานลาง [root@Gateway ~ ]#vi /etc/ntp.conf driftfile /var/lib/ntp/drift restrict default kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict 10.0.1.0 mask 255.255.255.0 nomodify notrap server 203.185.69.60 server time.navy.mi.th dynamic server time.nist.gov dynamic server 127.0.1.0 # local clock fudge 127.0.1.0 stratum 10 includefile /etc/ntp/crypto/pw keys /etc/ntp/keys
รปท ก.13 การแกไขไฟล /etc/ntp.conf
7.2 ทาการ restart service ดวยคาสง service ntpd restart 7.3 ทาการ configเครองลกขายทใช ระบบปฏบตการ Windows XP ดงน
- เลอกเมน Start -> Run -> พมพ regedit แลวกด Enter แลวเลอก Tap [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\TimeProvicers
\NtpClient]
จากนน double click ไฟล SpecialPollInterval ใหเลอกเปน decimal จะมคา 604800
มหนวยเปน วนาท ซง 604800 = 7 วน ในทนจะเลอกคา = 60 วนาท
60
- double click ทชอง time มมขวาลาง แลวเลอก tab Internet Time ในชอง server ใหใส ip = 10.0.0.1 เปน ip ของ card tun0 แลวตก Automatically synchronize
7.4 เพม rule ใสในไฟล /etc/firewall.iptables [root@Gateway ~ ]# vi /etc/firewall.iptables # Allow ntpd $IPTABLES –A INPUT –p udp –dport 123 –j ACCEPT $IPTABLES –A OUTPUT –p upd –dport 123 – ACCEPT
รปท ก.14 เพม rule ใสในไฟล /etc/firewall.iptables
7.5 หลงจากนนสงให iptables ทางานโดยใชคาสง sh /etc/firewall.iptables
61
ภาคผนวก ข
พระราชบญญตวาดวยการกระทาความคดเกยวกบคอมพวเตอรพ.ศ.๒๕๕๐
62
พระราชบญญตวาดวยการกระทาความคดเกยวกบคอมพวเตอรพ.ศ.๒๕๕๐
พระบาทสมเดจพระปรมนทรมหาภมพลอดลยเดช มพระบรมราชโองการโปรดเกลา ฯใหประกาศวา โดยทเปนการสมควรมกฎหมาย วาดวยการกระทาความผดเกยวกบคอมพวเตอรจงทรงพระกรณาโปรดเกลา ฯ ใหตราพระราชบญญตขนไวโดยคาแนะนาและยนยอมของสภานตบญญตแหงชาต ดงตอไปน
มาตรา ๑ พระราชบญญตนเรยกวา “พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐”
มาตรา ๒ พระราชบญญตนใหใชบงคบเมอพนกาหนดสามสบวนนบแตวนประกาศในราชกจจานเบกษาเปนตนไป
มาตรา ๓ ในพระราชบญญตน “ระบบคอมพวเตอร” หมายความวา อปกรณหรอชดอปกรณของคอมพวเตอรทเชอมการทางานเขาดวยกน โดยไดมการกาหนดคาสง ชดคาสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณหรอชดอปกรณทาหนาทประมวลผลขอมลโดย อตโนมต“ขอมลคอมพวเตอร” หมายความวา ขอมล ขอความ คาสง ชดคาสง หรอสงอนใดบรรดาทอยในระบบคอมพวเตอรในสภาพทระบบคอมพวเตอรอาจ ประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมทาง อเลกทรอนกสดวย “ขอมลจราจรทางคอมพวเตอร” หมายความวา ขอมลเกยวกบการตดตอสอสารของระบบคอมพวเตอร ซงแสดงถงแหลงกาเนด ตนทาง ปลายทาง เสนทาง เวลา วนท ปรมาณ ระยะเวลาชนดของบรการ หรออน ๆ ทเกยวของกบการตดตอสอสารของระบบคอมพวเตอรนน “ผใหบรการ” หมายความวา(๑) ผใหบรการแกบคคลอนในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกนโดยประการอน โดยผานทางระบบคอมพวเตอร ทงน ไมวาจะเปนการใหบรการในนามของตนเอง หรอในนามหรอเพอประโยชนของบคคลอน
(๒) ผใหบรการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคลอน “ผใชบรการ” หมายความวา ผใชบรการของผใหบรการไมวาตองเสยคาใชบรการหรอไมกตาม“พนกงานเจาหนาท” หมายความวา ผซงรฐมนตรแตงตงใหปฏบตการตามพระราชบญญตน“รฐมนตร” หมายความวา รฐมนตรผรกษาการตามพระราชบญญตน
มาตรา ๔ ใหรฐมนตรวาการกระทรวงเทคโนโลยสารสนเทศและการสอสารรกษาการตามพระราชบญญตน และใหมอานาจออกกฎกระทรวง เพอปฏบตการตามพระราชบญญตน กฎกระทรวงนน เมอไดประกาศในราชกจจานเบกษาแลวใหใชบงคบได
63
หมวด ๑ ความผดเกยวกบคอมพวเตอร
มาตรา ๕ ผใดเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนน มไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนหกเดอน หรอปรบไมเกนหนงหมนบาท หรอทงจาทงปรบ
มาตรา ๖ ผใดลวงรมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดทาขนเปนการเฉพาะถานามาตรการดงกลาวไปเปดเผยโดยมชอบ ในประการทนาจะเกดความเสยหายแกผอน ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ
มาตรา ๗ ผใดเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวสาหรบตน ตองระวางโทษจาคกไมเกนสองปหรอปรบไมเกนสหมนบาทหรอทงจาทงปรบ
มาตรา ๘ ผใดกระทาดวยประการใดโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไว ซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคล ทวไปใชประโยชนไดตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ
มาตรา ๙ ผใดทาใหเสยหาย ทาลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ ตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
มาตรา ๑๐ ผใดกระทาดวยประการใดโดยมชอบ เพอใหการทางานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถทางานตามปกตไดตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
มาตรา ๑๑ ผใดสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ตองระวางโทษปรบไมเกนหนงแสนบาท
มาตรา ๑๒ ถาการกระทาความผดตามมาตรา ๙ หรอมาตรา ๑๐
(๑) กอใหเกดความเสยหายแกประชาชน ไมวาความเสยหายนนจะเกดขนในทนทหรอในภายหลง และไมวาจะเกดขนพรอมกนหรอไม ตองระวางโทษจาคกไมเกนสบป และปรบไมเกนสองแสนบาท
(๒) เปนการกระทาโดยประการทนาจะเกดความเสยหายตอขอมลคอมพวเตอร หรอระบบคอมพวเตอรทเกยวกบการรกษาความมนคงปลอดภยของประเทศ ความปลอดภยสาธารณะ ความมนคงในทางเศรษฐกจของประเทศ หรอการบรการสาธารณะ หรอเปนการกระทาตอขอมลคอมพวเตอรหรอระบบคอมพวเตอรทมไวเพอ ประโยชนสาธารณะ ตองระวางโทษจาคก
64
ตงแตสามปถงสบหาป และปรบตงแตหกหมนบาทถงสามแสนบาทถาการกระทาความผดตาม (๒) เปนเหตใหผอนถงแกความตาย ตองระวางโทษจาคกตงแตสบปถงยสบป
มาตรา ๑๓ ผใดจาหนายหรอเผยแพรชดคาสงทจดทาขนโดยเฉพาะเพอนาไปใชเปนเครองมอในการกระทาความผดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรอมาตรา ๑๑ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ
มาตรา ๑๔ ผใดกระทาความผดทระบไวดงตอไปน ตองระวางโทษจาคกไมเกนหาป หรอปรบไมเกนหนงแสนบาท หรอทงจาทงปรบ
(๑) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอมไมวาทงหมดหรอบางสวน หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน
๒) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความ ตนตระหนกแกประชาชน
(๓) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการ กอการรายตามประมวลกฎหมายอาญา
(๔) นาเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใด ๆ ทมลกษณะอนลามกและขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได
(๕) เผยแพรหรอสงตอซงขอมลคอมพวเตอรโดยรอยแลววาเปนขอมลคอมพวเตอรตาม (๑)(๒) (๓) หรอ (๔)
มาตรา ๑๕ ผใหบรการผใดจงใจสนบสนนหรอยนยอมใหมการกระทาความผดตามมาตรา ๑๔ ในระบบคอมพวเตอรทอยในความควบคมของตน ตองระวางโทษเชนเดยวกบผกระทาความผดตามมาตรา ๑๔
มาตรา ๑๖ ผ ใ ด น า เข าส ร ะบบคอมพ ว เตอรท ป ร ะชาชนท ว ไปอาจ เข าถ ง ได ซ งขอมลคอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะทาใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย ตองระวางโทษจาคกไมเกนสามป หรอ ปรบไมเกนหกหมนบาท หรอทงจาทงปรบ ถาการกระทาตามวรรคหนง เปนการนาเขาขอมลคอมพวเตอรโดยสจรต ผกระทาไมมความผด ความผดตามวรรคหนงเปนความผดอนยอมความได ถาผเสยหายในความผดตามวรรคหนงตายเสยกอนรองทกข ใหบดา มารดา คสมรส หรอ บตรของผเสยหายรองทกขได และใหถอวาเปนผเสยหาย
มาตรา ๑๗ ผใดกระทาความผดตามพระราชบญญตนนอกราชอาณาจกรและ
(๑) ผกระทาความผดนนเปนคนไทย และรฐบาลแหงประเทศทความผดไดเกดขนหรอผเสยหายไดรองขอใหลงโทษ หรอ
65
(๒) ผกระทาความผดนนเปนคนตางดาว และรฐบาลไทยหรอคนไทยเปนผเสยหายและผเสยหายไดรองขอใหลงโทษจะตองรบโทษภายในราชอาณาจกร
หมวด ๒พนกงานเจาหนาท
มาตรา ๑๘ ภายใตบงคบมาตรา ๑๙ เพอประโยชนในการสบสวนและสอบสวนในกรณทมเหตอนควรเชอไดวามการ กระทาความผดตามพระราชบญญตน ใหพนกงานเจาหนาทมอานาจอยางหนงอยางใด ดงตอไปน เฉพาะทจาเปนเพอประโยชนในการใชเปนหลกฐานเกยวกบการกระทาความผด และหาตวผกระทาความผด
(๑) มหนงสอสอบถามหรอเรยกบคคลทเกยวของกบการกระทาความผดตามพระราชบญญตนมาเพอใหถอยคา สงคาชแจงเปนหนงสอ หรอสงเอกสาร ขอมล หรอหลกฐานอนใดทอยในรปแบบทสามารถเขาใจได
(๒) เรยกขอมลจราจรทางคอมพวเตอรจากผใหบรการเกยวกบการตดตอสอสาร ผานระบบคอมพวเตอรหรอจากบคคลอนทเกยวของ
(๓) สงใหผใหบรการสงมอบขอมลเกยวกบผใชบรการทตองเกบตามมาตรา ๒๖ หรอทอยในความครอบครองหรอควบคมของผใหบรการใหแกพนกงานเจาหนาท
(๔) ทาสาเนาขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร จากระบบคอมพวเตอรทมเหตอนควรเชอไดวามการกระทาความผดตามพระราช บญญตน ในกรณทระบบคอมพวเตอรนนยงมไดอยในความครอบครองของพนกงานเจา หนาท
(๕) ส งใหบคคลซงครอบครองหรอควบคมขอมลคอมพวเตอร หรออปกรณท ใช เ กบขอมลคอมพวเตอร สงมอบขอมลคอมพวเตอร หรออปกรณดงกลาวใหแกพนกงานเจาหนาท
(๖) ตรวจสอบหรอเขาถงระบบคอมพวเตอร ขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอรหรออปกรณทใชเกบขอมลคอมพวเตอรของบคคล ใด อนเปนหลกฐานหรออาจใชเปนหลกฐานเกยวกบการกระทาความผด หรอเพอสบสวนหาตวผกระทาความผดและสงใหบคคลนนสงขอมล คอมพวเตอรขอมลจราจรทางคอมพวเตอร ทเกยวของเทาทจาเปนใหดวยกได
(๗) ถอดรหสลบของขอมลคอมพวเตอรของบคคลใด หรอสงใหบคคลทเกยวของกบการเขารหสลบของขอมลคอมพวเตอร ทาการถอดรหสลบ หรอใหความรวมมอกบพนกงานเจาหนาทในการถอดรหสลบดงกลาว
(๘) ยดหรออายดระบบคอมพวเตอรเทาทจาเปนเฉพาะเพอประโยชนในการทราบราย ละเอยดแหงความผดและผกระทาความผดตามพระราชบญญตน
มาตรา ๑๙ การใชอานาจของพนกงานเจาหนาทตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ(๘) ใหพนกงานเจาหนาทยนคารองตอศาลทมเขตอานาจเพอมคาสงอนญาตให พนกงานเจาหนาท
66
ดาเนนการตามคารอง ทงน คารองตองระบเหตอนควรเชอไดวาบคคลใดกระทาหรอกาลงจะกระทาการอยาง หนงอยางใดอนเปนความผดตามพระราชบญญตน เหตทตองใชอานาจ ลกษณะของการกระทาความผด รายละเอยดเกยวกบอปกรณทใชในการกระทาความผดและผกระทาความผด เทาทสามารถจะระบได ประกอบคารองดวยในการพจารณาคารองใหศาลพจารณาคารองดงกลาวโดยเรว เมอศาลมคาสงอนญาตแลว กอนดาเนนการตามคาสงของศาล ใหพนกงานเจาหนาทสงสาเนาบนทกเหตอนควรเชอททาใหตองใชอานาจ ตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ (๘) มอบใหเจาของหรอผครอบครองระบบคอมพวเตอรนนไวเปนหลกฐาน แตถาไมมเจาของหรอผครอบครองเครองคอมพวเตอรอย ณ ทนน ใหพนกงานเจาหนาทสงมอบสาเนาบนทกนนใหแกเจาของหรอผครอบครองดงกลาวในทนททกระทาไดใหพนกงานเจาหนาทผเปนหวหนาในการดาเนนการตามมาตรา ๑๘ (๔) (๕) (๖) (๗) และ(๘) สงสาเนาบนทกรายละเอยดการดาเนนการและเหตผลแหงการดาเนนการใหศาลทม เขตอานาจภายในสสบแปดชวโมงนบแตเวลาลงมอดาเนนการ เพอเปนหลกฐานการทาสาเนาขอมลคอมพวเตอรตามมาตรา ๑๘ (๔) ใหกระทาไดเฉพาะเมอมเหตอนควรเชอไดวามการกระทาความผดตามพระราช บญญตน และตองไมเปนอปสรรคในการดาเนนกจการของเจาของหรอผครอบครองขอมล คอมพวเตอรนนเกนความจาเปน การยดหรออายดตามมาตรา ๑๘ (๘) นอกจากจะตองสงมอบสาเนาหนงสอแสดงการยดหรออายดมอบใหเจาของหรอผ ครอบครองระบบคอมพวเตอรนนไวเปนหลกฐานแลว พนกงานเจาหนาทจะสงยดหรออายดไวเกนสามสบวนมได ในกรณจาเปนทตองยดหรออายดไวนานกวานน ใหยนคารองตอศาลทมเขตอานาจเพอขอขยายเวลายดหรออายดได แตศาลจะอนญาตใหขยายเวลาครงเดยวหรอหลายครงรวมกนไดอกไมเกนหกสบ วน เมอหมดความจาเปนทจะยดหรออายดหรอครบกาหนดเวลาดงกลาวแลว พนกงานเจาหนาทตองสงคนระบบคอมพวเตอรทยดหรอถอนการอายดโดยพลน หนงสอแสดงการยดหรออายดตามวรรคหาใหเปนไปตามทกาหนดในกฎกระทรวง
มาตรา ๒๐ ในกรณทการกระทาความผดตามพระราชบญญตนเปนการทาใหแพรหลายซง ขอมลคอมพวเตอร ทอาจกระทบกระเทอนตอความมนคงแหงราชอาณาจกร ตามทกาหนดไวในภาคสองลกษณะ ๑ หรอลกษณะ ๑/๑ แหงประมวลกฎหมายอาญา หรอทมลกษณะขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน พนกงานเจาหนาทโดยไดรบความเหนชอบจากรฐมนตรอาจยนคารอง พรอมแสดงพยานหลกฐานตอศาลทมเขตอานาจขอใหมคาสงระงบการทาใหแพร หลายซงขอมลคอมพวเตอรนนได ในกรณทศาลมคาสงใหระงบการทาใหแพรหลายซงขอมลคอมพวเตอรตามวรรค หนง ใหพนกงานเจาหนาททาการระงบการทาใหแพรหลายนนเอง หรอสงใหผใหบรการระงบการทาใหแพรหลายซงขอมลคอมพวเตอรนนก ได
มาตรา ๒๑ ในกรณทพนกงานเจาหนาทพบวา ขอมลคอมพวเตอรใดมชดคาสงไมพงประสงครวมอยดวย พนกงานเจาหนาทอาจยนคารองตอศาลทมเขตอานาจเพอขอใหมคาสงหาม จาหนายหรอเผยแพร หรอสงใหเจาของหรอผครอบครองขอมลคอมพวเตอรนนระงบการใช ทาลายหรอแกไขขอมลคอมพวเตอรนนได หรอจะกาหนดเงอนไขในการใช มไวในครอบครอง
67
หรอเผยแพรชดคาสงไมพงประสงคดงกลาวกไดชดคาสงไมพงประสงคตาม วรรคหนงหมายถงชดคาสงทมผลทาใหขอมลคอมพวเตอร หรอระบบคอมพวเตอรหรอชดคาสงอนเกดความเสยหาย ถกทาลาย ถกแกไขเปลยนแปลงหรอเพมเตมขดของ หรอปฏบตงานไมตรงตามคาสงทกาหนดไว หรอโดยประการอนตามทกาหนดในกฎกระทรวงทงน เวนแตเปนชดคาสงทมงหมายในการปองกนหรอแกไขชดคาสงดงกลาว ขางตน ตามทรฐมนตรประกาศในราชกจจานเบกษา
มาตรา ๒๒ หามมใหพนกงานเจาหนาทเปดเผยหรอสงมอบขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตามมาตรา ๑๘ ใหแกบคคลใดความในวรรคหนงมใหใชบงคบกบการกระทาเพอประโยชนในการดาเนนคดกบผกระทาความผดตามพระราชบญญตน หรอเพอประโยชนในการดาเนนคดกบพนกงานเจาหนาทเกยวกบการใชอานาจหนาทโดยมชอบ หรอเปนการกระทาตามคาสงหรอทไดรบอนญาตจากศาลพนกงานเจาหนาทผ ใดฝาฝนวรรคหนงตองระวางโทษจาคกไมเกนสามป หรอปรบไมเกนหกหมนบาท หรอทงจาทงปรบ
มาตรา ๒๓ พนกงานเจาหนาทผใดกระทาโดยประมาทเปนเหตใหผอนลวงรขอมลคอมพวเตอรขอมลจราจรทางคอมพวเตอร หรอขอมลของผใชบรการ ทไดมาตามมาตรา ๑๘ ตองระวางโทษจาคกไมเกนหนงป หรอปรบไมเกนสองหมนบาท หรอทงจาทงปรบ
มาตรา ๒๔ ผใดลวงรขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอรหรอขอมลของผใชบรการ ทพนกงานเจาหนาทไดมาตามมาตรา ๑๘ และเปดเผยขอมลนนตอผหนงผใด ตองระวางโทษจาคกไมเกนสองป หรอปรบไมเกนสหมนบาท หรอทงจาทงปรบ
มาตรา ๒๕ ขอมล ขอมลคอมพวเตอร หรอขอมลจราจรทางคอมพวเตอรทพนกงานเจาหนาทไดมาตามพระราชบญญตน ใหอางและรบฟงเปนพยานหลกฐานตามบทบญญตแหงประมวลกฎหมายวธพจารณาความอาญาหรอกฎหมายอนอนวาดวยการสบพยานได แตตองเปนชนดทมไดเกดขนจากการจงใจมคามนสญญา ขเขญ หลอกลวง หรอโดยมชอบประการอน
มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวาเกาสบ วนนบแตวนทขอมลนนเขาสระบบคอมพวเตอร แตในกรณจาเปนพนกงานเจาหนาทจะสงใหผใหบรการผใดเกบรกษา ขอมลจราจรทางคอมพวเตอรไวเกนเกาสบวน แตไมเกนหนงปเปนกรณพเศษเฉพาะรายและเฉพาะคราวกได ผใหบรการจะตองเกบรกษาขอมลของผใชบรการเทาทจาเปนเพอให สามารถระบตวผใชบรการ นบตงแตเรมใชบรการและตองเกบรกษาไวเปนเวลาไมนอยกวาเกาสบวน นบตงแตการใชบรการสนสดลง ความในวรรคหนงจะใชกบผใหบรการประเภทใด อยางไร และเมอใด ใหเปนไปตามทรฐมนตรประกาศในราชกจจานเบกษาผใหบรการผใดไมปฏบตตามมาตราน ตองระวางโทษปรบไมเกนหาแสนบาท
68
มาตรา ๒๗ ผใดไมปฏบตตามคาสงของศาลหรอพนกงานเจาหนาททสงตามมาตรา ๑๘ หรอมาตรา ๒๐ หรอไมปฏบตตามคาสงของศาลตามมาตรา ๒๑ ตองระวางโทษปรบไมเกนสองแสนบาทและปรบเปนรายวนอกไมเกนวนละหาพน บาทจนกวาจะปฏบตใหถกตอง
มาตรา ๒๘ การแตงตงพนกงานเจาหนาทตามพระราชบญญตน ใหรฐมนตรแตงตงจากผมความรและความชานาญเกยวกบระบบคอมพวเตอร และมคณสมบตตามทรฐมนตรกาหนด
มาตรา ๒๙ ในการปฏบตหนาทตามพระราชบญญตน ใหพนกงานเจาหนาทเปนพนกงานฝายปกครองหรอตารวจชนผใหญตามประมวล กฎหมายวธพจารณาความอาญามอานาจรบคารองทกขหรอรบคากลาวโทษ และมอานาจในการสบสวนสอบสวนเฉพาะความผดตามพระราชบญญตน ในการจบ ควบคม คน การทาสานวนสอบสวนและดาเนนคดผกระทาความผดตามพระราชบญญตน บรรดาทเปนอานาจของพนกงานฝายปกครองหรอตารวจชนผใหญ หรอพนกงานสอบสวนตามประมวลกฎหมายวธพจารณาความอาญา ใหพนกงานเจาหนาทประสานงานกบพนกงานสอบสวนผรบผดชอบเพอดาเนนการ ตามอานาจหนาทตอไป ใหนายกรฐมนตรในฐานะผกากบดแลสานกงานตารวจแหงชาต และรฐมนตรมอานาจ รวมกนกาหนดระเบยบเกยวกบแนวทางและวธปฏบตในการดาเนนการตามวรรคสอง
มาตรา ๓๐ ในการปฏบตหนาท พนกงานเจาหนาทตองแสดงบตรประจาตวตอบคคลซงเกยวของ บตรประจาตวของพนกงานเจาหนาทใหเปนไปตามแบบทรฐมนตรประกาศในราชกจจานเบกษา
ผรบสนองพระบรมราชโองการ
พลเอก สรยทธ จลานนท
นายกรฐมนตร
หมายเหต :- เหตผลในการประกาศใชพระราชบญญตฉบบน คอ เนองจากในปจจบนระบบคอมพวเตอรไดเปนสวนสาคญ ของการประกอบกจการ และการดารงชวตของมนษย หากมผกระทาดวยประการใด ๆ ใหระบบคอมพวเตอรไมสามารถทางานตามคาสงทกาหนดไว หรอทาใหการทางานผดพลาดไปจากคาสงทกาหนดไว หรอใชวธการใด ๆ เขาลวงรขอมล แกไข หรอทาลายขอมลของบคคลอน ในระบบคอมพวเตอรโดยมชอบ หรอใชระบบคอมพวเตอร เพอเผยแพรขอมลคอมพวเตอรอนเปนเทจ หรอมลกษณะอนลามกอนาจาร ยอมกอใหเกดความเสยหาย กระทบกระเทอนตอเศรษฐกจ สงคม และความมนคงของรฐ รวมทงความสงบสขและศลธรรมอนดของประชาชน สมควรกาหนดมาตรการเพอปองกนและปราบปรามการกระทาดงกลาว จงจาเปนตองตราพระราชบญญตน