14-18 การ​บริหาร​ความ​มั่นคง​ปลอดภัยส​ ารสนเทศ

เรือ่ งท​ ี่ 14.2.1
การ​ตดิ ต​ ้งั แ​ ละก​ าร​ใชง​้ านร​ ะบบพ​ ิสูจนต​์ ัวจ​ รงิ

       การเ​ก็บ​รักษาข​ ้อมูลจ​ ราจรต​ ้องส​ ามารถ​ระบุ ราย​ละเอียด​ผู้ใ​ช้​บริการ​เป็น​ราย​บุคคล​ได้ โดย​ผู้​ให้​บริการ​ตามท​ ี่​
กำ�หนด​ไว้​ใน​พระร​ าช​บัญญัติจ​ ะ​ต้อง​บันทึก​ข้อมูลด​ ัง​ต่อ​ไป​นี้

       ข้อมูล​ที่​ระบุ​ถึงต​ ัว​ตนแ​ ละ​สิทธิ​ในก​ ารเ​ข้าถ​ ึง​เครือ​ข่าย​ไม่​ว่า​จะ​เป็น TACACS (Terminal Access Control-
ler Access-Control System) หรือเ​ร​เดีย​ส (Remote Authentication Dial- In User Service: RADIUS) หรือ
DIAMETER ซึ่งถ​ ูกใ​ชส้​ ำ�หรับค​ วบคุมก​ ารเ​ข้าถ​ ึงเ​ราท​ เ์​ตอรห์​ รือเ​ซิร์ฟเวอรก์​ ารเ​ข้าถ​ ึงเ​ครือข​ ่าย (IP Routers or Network
Access servers) ข้อมูลเ​กี่ยว​กับ​วัน​และ​เวลา​การ​ติดต่อ ของ​เครื่อง​ที่​เข้า​มา​ใช้​บริการ​และ​เครื่อง​ให้​บริการ ข้อมูล​ชื่อ​
ผใู​้ ชง้​ าน ขอ้ มลู ไ​อพ​ แี​ อดเดรสข​ องผ​ ใู​้ ชง​้ านท​ ถี่​ กู ก​ �ำ หนดใ​หโ้​ดยร​ ะบบข​ องผ​ ูใ้​หบ้​ ริการ ขอ้ มูลท​ ีบ่​ อกถ​ งึ ห​ มายเลขส​ ายท​ ีเ่​รยี ก​
เข้า (calling line identification) จะ​เห็น​ว่า​ผู้ใ​ห้บ​ ริการด​ ัง​กล่าวจ​ ำ�เป็นอ​ ย่างย​ ิ่งท​ ี่​จะต​ ้องหา​วิธีก​ ารอ​ ย่างใ​ด​อย่างห​ นึ่ง​
ในก​ าร​จำ�แนก​ผู้ใ​ช้​งานแ​ ต่ละบ​ ุคคลท​ ี่มา​ใช้บ​ ริการ​ของ​ตัวเ​องอ​ อก​สู่ร​ ะบบ​อินเทอร์เน็ตภ​ ายนอก ณ แต่ละเ​วลาต​ ่าง ๆ ที​่
ให้บ​ ริการ โดยใ​ช้ร​ ะบบก​ ารพ​ ิสูจน์ต​ ัวจ​ ริงโ​ดยใ​ช้ข​ ้อมูลส​ ำ�หรับเ​ข้าถ​ ึงแ​ ละใ​ช้บ​ ริการเ​ครือข​ ่ายข​ องต​ ัวเ​อง ตามห​ ลักก​ ารข​ อง
AAA (Authentication Authorization Accounting)

       การใ​ชง​้ านร​ ะบบพ​ สิ ูจนต​์ วั จ​ ริงโ​ดยพ​ ืน้ ฐ​ านส​ ามารถต​ ดิ ต​ ัง้ ใ​ชง้​ านต​ ามล​ กั ษณะก​ ารใ​ชง้​ านไ​ด้ 2 แบบค​ ือ การพ​ สิ จู น​์
ตัวจ​ ริงผ​ ่าน​ พ​ร็อ​ ก​ซี (proxy authentication) และก​ ารพ​ ิสูจน์ต​ ัว​จริง​ผ่าน​เกตเวย์ (gateway authentication)

       1) 	การพ​ ิสูจน์​ตัว​จริงผ​ ่าน​ พ​ร็​อกซ​ ี จะท​ ำ�การต​ ิด​ตั้ง​บน อุปกรณ์จ​ ำ�พวก proxy cache หรือ cache engine
เช่น โปรแกรม Squid server เป็นต้น เมื่อผ​ ู้​ใช้ง​ าน​มี​การ​เข้าใ​ช้​บริการอ​ ินเทอร์เน็ต​ผ่านบ​ ริการป​ ระเ​ภท​เว็บ​เบร​ าว์​เซอร​์
หรือโ​ปรแกรมท​ ี่ส​ ามารถต​ ิดต​ ั้งพ​ ร็อ​ กซ​ ี ได้ โดยร​ ะบบจ​ ะม​ ี​การถ​ าม username และ password ของผ​ ู้ใ​ช้บ​ ริการเ​พื่อ​
ยืนยัน​ตัว​ตน โดย​ปกติ​การ​พิสูจน์​ตัว​จริง​ผ่า​นพ​ร็​อก​ซี​นั้น​จะ​ไม่​สามารถ​ใช้​งาน​ได้​กับ​โปรแกรม​ประยุกต์​ที่​ไม่​สามารถ​
ตดิ ต​ ัง้ ค​ า่ พ​ รอ​็ กซ​ ไ​ี ด้ ท�ำ ใหจ​้ �ำ เปน็ ต​ อ้ งม​ ก​ี ารส​ รา้ งร​ ะบบข​ ึน้ ม​ าบ​ นั ทกึ ก​ ารใ​ชบ​้ รกิ ารอ​ ืน่ ๆ ทไ​ี่ มส​่ ามารถต​ ดิ ต​ ัง้ ค​ า่ พ​ รอ​็ กซ​ ไ​ี ด้ ดว้ ย
ว​ ิธีก​ ารน​ ี้จ​ ึงไ​ม่​สามารถใ​ช้ได้ก​ ับท​ ุก ๆ บริการ​ที่ม​ ี​ใน​องค์กรไ​ด้

       2) 	การพ​ ิสูจน์ต​ ัวจ​ ริง​ผ่าน​เกตเวย์ การ​พิสูจน์​ตัวจ​ ริงล​ ักษณะน​ ี้​จะ​เกิดข​ ึ้น​เมื่อ​ผู้​ใช้ง​ านเ​ริ่ม​ใช้บ​ ริการใ​ด ๆ ผ่าน​
อุปกรณ์เ​กตเวย์จ​ ะต​ ้องม​ ีก​ ารพ​ ิสูจน์ต​ ัวจ​ ริงต​ ่อร​ ะบบก​ ่อนก​ ่อนถ​ ึงจ​ ะใ​ช้ง​ านร​ ะบบเ​ครือข​ ่ายไ​ด้ ซึ่งก​ ารใ​ช้ว​ ิธีก​ ารน​ ี้ไ​ม่จ​ ำ�กัด​
เฉพาะ​กับ​การ​ใช้​บริการ​ผ่าน​โปรแกรม​ประยุกต์​ตัว​ใด​ตัว​หนึ่ง แต่​สามารถ​ทำ�งาน​ได้​กับ​ทุก ๆ บริการ​เนื่องจาก​ทุก ๆ
บริการ​ที่​จะ​ใช้​งาน​จำ�เป็น​อย่าง​ยิ่ง​ที่​จะ​ต้อง​มี​การ​เชื่อม​ต่อ​ผ่าน​เกตเวย์ เพื่อ​เข้า​ถึง​เครือ​ข่าย​อื่น ๆ ทำ�ให้​วิธี​นี้​หาก​มี​การ​
เปลี่ยนแปลง​บริการ​ต่าง ๆ ผู้​ดูแล​ระบบ​สามารถ​เก็บ​ข้อมูล​ที่​ผู้​ใช้​บริการ​ใช้​บริการ​ต่าง ๆ ก็​สามารถ​ทำ�ได้​โดย​สะดวก
ใน​หน่วย​นี้​จะ​กล่าว​ถึง​การ​ติด​ตั้ง​และ​ใช้​งาน​ระบบ​พิสูจน์​ตัว​จริง​ผ่าน​เกตเวย์​ที่​มีชื่อ​ว่า Chillispot ซึ่ง​เป็น​ซอฟต์แวร์​
โอ​เพน​ซอร์ส​ที่​มี​การ​ตรวจ​สอบ​ข้อมูล​สำ�หรับ​การ​พิสูจน์​ตัว​จริง​กับ​ระบบ​เร​เดีย​ส ซึ่ง​เป็น​ระบบ​การ​ยืนยัน​ตัว​ตน​ที่​มี​การ​
ใช้ง​ านก​ ันอ​ ย่าง​แพร่ห​ ลาย หลัก​การท​ ำ�งาน​ของ​ระบบ​พิสูจน์ต​ ัว​จริง​แบบ​นี้​ถูกแ​ สดง​ใน​ภาพ​ที่ 14.6 โปรแกรม Chillispot
ซึ่ง​ทำ�​หน้าที่​ใน​การ​พิสูจน์​ตัว​จริง​ของ​ผู้​ใช้​งาน​นั้น​จะ​ถูก​ติด​ตั้ง​บน​เครื่อง​แม่​ข่าย ​ซึ่ง​ทำ�​หน้าที่​เป็น​เกตเวย์​ของ​ระบบ
ซ​ ึ่งเ​ป็นจ​ ุดท​ ี่เ​ป็น​ทางผ​ ่าน​ ข​อง​แทรฟ​ฟิกท​ ั้งหมดข​ องเ​ครื่อง​ไคลเ​อนต​ ์ใ​นอ​ งค์กร