ผลงานฉบับเต็ม - LDD Assessment/wean/pch... · ภาพที่ 29...

ผลงานเรองท 3

ผลงานฉบบเตม

เรอง

คมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน

ของ

นางจนทรเพญ ลาภจตร นกวเคราะหนโยบายและแผนชานาญการพเศษ ตาแหนงเลขท 182

ศนยสารสนเทศ กรมพฒนาทดน

ขอประเมนเพอแตงตงใหดารงตาแหนงนกวเคราะหนโยบายและแผนเชยวชาญ ตาแหนงเลขท 182

ผเชยวชาญดานสารสนเทศ ศนยสารสนเทศ กรมพฒนาทดน

กระทรวงเกษตรและสหกรณ

ก

สารบญ

หนา

สารบญ ก สารบญภาพ ข บทท 1 บทนา 1 บทท 2 การวเคราะหและออกแบบระบบ 4 บทท 3 ขนตอนการตดตงและบรหารจดการระบบ 22 บทท 4 สรปและขอเสนอแนะ 110 บรรณานกรม 112 ภาคผนวก ก การกาหนดคาคอนฟคกเรชนของอปกรณสวชตหลก (Core Switch Configuration) 114 ภาคผนวก ข การกาหนดคาคอนฟคกเรชนของอปกรณนาทาง (Router Configuration) 150

ข สารบญภาพ

ภาพ หนา

ภาพท 1 รายละเอยดสวนประกอบของ Firewall 10 ภาพท 2 การระบ Username เพอเชอมตอระบบ 32 ภาพท 3 การใชโปรแกรม SSH เชอมตอระบบ 32 ภาพท 4 การใชโปรแกรม Internet Browser เชอมตอระบบ 33 ภาพท 5 การใชโปรแกรม Internet Browser เชอมตอระบบ 33 ภาพท 6 การ Confirm Security Exception 34 ภาพท 7 การ Install ASDM Launcher 34 ภาพท 8 การ Authentication ASDM Launcher 35 ภาพท 9 ผลการ Download ASDM Launcher 35 ภาพท 10 การ Open Executable File 35 ภาพท 11 Security Warning 35 ภาพท 12 การตดตงโปรแกรม ASDM Launcher 36 ภาพท 13 การตดตงโปรแกรม ASDM Launcher 36 ภาพท 14 การตดตงโปรแกรม ASDM Launcher 36 ภาพท 15 ผลการตดตงโปรแกรม ASDM Launcher 37 ภาพท 16 การเรยกใชงานโปรแกรม ASDM Launcher 37 ภาพท 17 การใช งานโปรแกรม Cisco ASDM 6.1 for ASA 38 ภาพท 18 การกาหนดคา InterfaceCisco ASDM 6.1 for ASA 38 ภาพท 19 การกาหนดคา InterfaceCisco ASDM 6.1 for ASA 39 ภาพท 20 การกาหนดคา RoutingCisco ASDM 6.1 for ASA 39 ภาพท 21 การกาหนดคา Routing ProtocolCisco ASDM 6.1 for ASA 40 ภาพท 22 การกาหนดคา Routing ProtocolCisco ASDM 6.1 for ASA 40 ภาพท 23 การกาหนดคา Routing ProtocolCisco ASDM 6.1 for ASA 41 ภาพท 24 การกาหนดคา Routing ProtocolCisco ASDM 6.1 for ASA 41 ภาพท 25 การกาหนดคา Access Rules Cisco ASDM 6.1 for ASA 42 ภาพท 26 การกาหนดคา NAT Rules Cisco ASDM 6.1 for ASA 42 ภาพท 27 การกาหนดคา Service Policy Rules Cisco ASDM 6.1 for ASA 43 ภาพท 28 การกาหนดคา AAA Rules Cisco ASDM 6.1 for ASA 43 ภาพท 29 การกาหนดคา Filter Rules Cisco ASDM 6.1 for ASA 44 ภาพท 30 การกาหนดคา URL Filtering Servers Cisco ASDM 6.1 for ASA 44 ภาพท 31 การกาหนดคา Threat Detection Cisco ASDM 6.1 for ASA 45 ภาพท 32 การกาหนดคา Objects Cisco ASDM 6.1 for ASA 45

ภาพ หนา

ภาพท 33 การกาหนดคา Advanced Rule Cisco ASDM 6.1 for ASA 46 ภาพท 34 การกาหนดคา Monitor InterfaceCisco ASDM 6.1 for ASA 46 ภาพท 35 การกาหนดคา Monitor InterfaceCisco ASDM 6.1 for ASA 47 ภาพท 36 การกาหนดคา Monitor RoutingCisco ASDM 6.1 for ASA 47 ภาพท 37 การกาหนดคา Monitor LoggingCisco ASDM 6.1 for ASA 48 ภาพท 38 การกาหนดคา Monitor LoggingCisco ASDM 6.1 for ASA 48 ภาพท 39 การกาหนดคา Device Management Cisco ASDM 6.1 for ASA 49 ภาพท 40 การกาหนดคา DNS Server 52 ภาพท 41 การกาหนดคา DNS Server 53 ภาพท 42 การกาหนดคากาหนดคา IP 53 ภาพท 43 การกาหนดคากาหนดคา IP 54 ภาพท 44 การใชงานโปรแกรม ISA 54 ภาพท 45 การใชงานโปรแกรม ISA 55 ภาพท 46 การใชงานกาหนดคาโปรแกรม ISA 55 ภาพท 47 การใชงานกาหนดคา Policy Element โปรแกรม ISA 56 ภาพท 48 การใชงานกาหนดคา Schedule โปรแกรม ISA 56 ภาพท 49 การใชงานกาหนดคา Client Sets โปรแกรม ISA 57 ภาพท 50 การใชงานกาหนดคา Protocol Rules โปรแกรม ISA 57 ภาพท 51 การใชงานกาหนดคา Destination Sets โปรแกรม ISA 58 ภาพท 52 การใชงานกาหนดคา Site and Content Rules โปรแกรม ISA 58 ภาพท 53 การใชงานกาหนดคา Configuration โปรแกรม ISA 59 ภาพท 54 การใชงานกาหนดคา Servers and Arrays โปรแกรม ISA 59 ภาพท 55 การใชงานกาหนดคาBackup and Restore โปรแกรม ISA 60 ภาพท 56 การใชงานกาหนดคา Monitor Servers and Arrays โปรแกรม ISA 60 ภาพท 57 การเรยกใชงานโปรแกรม ISA (1) 61 ภาพท 58 การเรยกใชงานโปรแกรม ISA (2) 61 ภาพท 59 การเรยกใชงานโปรแกรม ISA (3) 62 ภาพท 60 การเรยกใชงานโปรแกรม ISA (4) 62 ภาพท 61 การเรยกใชงานโปรแกรม ISA (5) 63 ภาพท 62 การเรยกใชงานโปรแกรม ISA (6) 63 ภาพท 63 การเรยกใชงานโปรแกรม ISA(7) 64 ภาพท 64 การตดตงโปรแกรม ESET Endpoint Security 67 ภาพท 65 ขอกาหนดโปรแกรม ESET Endpoint Security 67 ภาพท 66 โหมดการตดตงโปรแกรม 68 ภาพท 67 การยนยนสทธของโปรแกรม 68

ภาพ หนา

ภาพท 68 การเชอมโยงขอมลเชงวเคราะหทรวบรวมขอมลในการปองกนไวรส 69 ภาพท 69 การตรวจจบโปรแกรมประสงคราย 69 ภาพท 70 การตดตงโปรแกรม 70 ภาพท 71 การยนยนการตดตงเสรจสน 70 ภาพท 72 การตดตงโปรแกรมวเอมแวร (VMware) 74 ภาพท 73 หนาจอแสดงรายละเอยดของเวอรชนของโปรแกรม 74 ภาพท 74 หนาจอตอนรบสการตดตง วเอมแวร (VMware) 75 ภาพท 75 หนาจอแสดงรายละเอยดขอตกลงตางๆของโปรแกรม 75 ภาพท 76 หนาจอแสดงแสดงชอและขนาดของฮารดดสก 75 ภาพท 77 รปแบบของคยบอรด (Keyboard) ทจะใชงาน 76 ภาพท 78 การกาหนดรหสผานของ Root 76 ภาพท 79 โปรแกรมเรมทาการสแกนไฟลระบบทจะใชในการตดตง 76 ภาพท 80 หนาตางยนยนการตดตง 77 ภาพท 81 หนาจอแสดงสถานะเรมการตดตง 77 ภาพท 82 เครองแมขายเรมเรมตนระบบใหม (Reboot) 77 ภาพท 83 โปรแกรมจะแสดงรายละเอยดของระบบ 78 ภาพท 84 โปรแกรมแสดงฟงคชนทใชในการตงคา 78 ภาพท 85 โปรแกรมแสดงชองใสรหสผาน 78 ภาพท 86 แสดงหนาการตงคาแตละประเภท 79 ภาพท 87 หนาตางแสดงการ Download vSphere client 79 ภาพท 88 แสดงหนาจอเครองแมขายเสมอน (Guest OS) 80 ภาพท 89 แสดงหนาตางโปรแกรมอเอสเอกไอ(EXSi) ผานวสเฟยร ไคลเอนต (vSphere Client) 80 ภาพท 90 หนาตางของโปรแกรม VMware 81 ภาพท 91 การสราง Virtual Machine ใหม 81 ภาพท 92 หนาตาง Welcome Windows 82 ภาพท 93 การตงคาของ Virtual Machine 82 ภาพท 94 การเลอก Guest Operating System หรอ OS ทตองการลง 83 ภาพท 95 ตงชอและเลอกทเกบไฟลของ Virtual Machine 83 ภาพท 96 การกาหนดคาของ Disk ทตองการใชเปน Virtual Machine 84 ภาพท 97 หนาจอ Menu หลงจากทสราง VM เสรจแลว 84 ภาพท 98 หนาตาง Edit virtual machine setting 85 ภาพท 99 หนาตาง Setting ในสวนของ Hard Disk 85 ภาพท 100 หนาตาง Setting ในสวนของ CD-ROM 86 ภาพท 101 หนาตาง Setting ในสวนของ Ethernet 86 ภาพท 102 หนาตาง Setting ในสวนของ USB Controller 87

ภาพ หนา

ภาพท 103 หนาตาง Setting ในสวนของ Audio 87 ภาพท 104 หนาตาง Setting ในสวนของ Virtual Processors 88 ภาพท 105 ภาพรวมของระบบ (System Overview) 89 ภาพท 106 หนาตางการ Login ระบบ EIS 91 ภาพท 107 การ Start vm ระบบ EIS 91 ภาพท 108 หนาตางการ Login ระบบ EIS (2) 92 ภาพท 109 การ Start vm ระบบ EIS (2) 92 ภาพท 110 หนาตางการ Login ระบบ EIS (3) 93 ภาพท 111 การ Shutdown เครอง Web 93 ภาพท 112 หนาตางการ Login ระบบ EIS (4) 94 ภาพท 113 การ Shutdown เครอง Web (2) 94 ภาพท 114 หลกการการทางานเบองตนของระบบ 95 ภาพท 115 การ Configuration ระบบ EIS 96 ภาพท 116 การ Configuration ระบบ EIS (2) 96 ภาพท 117 การ Configuration ระบบ EIS (3) 97 ภาพท 118 การ Configuration ระบบ EIS (4) 97 ภาพท 119 การ Configuration ระบบ EIS (5) 98 ภาพท 120 การ Configuration ระบบ EIS (6) 98 ภาพท 121 การ Configuration ระบบ EIS (7) 99 ภาพท 122 การ Configuration ระบบ EIS (8) 99 ภาพท 123 การ Configuration ระบบ EIS (9) 100 ภาพท 124 การ Configuration ระบบ EIS (10) 100 ภาพท 125 การ Configuration ระบบ EIS (11) 100 ภาพท 126 การ Configuration ระบบ EIS (12) 101 ภาพท 127 การ Configuration ระบบ EIS (13) 101 ภาพท 128 การ Configuration ระบบ EIS (14) 102 ภาพท 129 การ Configuration ระบบ EIS (15) 102 ภาพท 130 การ Configuration ระบบ EIS (16) 103 ภาพท 131 การ Configuration ระบบ EIS (17) 103 ภาพท 132 การ Configuration ระบบ EIS (18) 104 ภาพท 133 การ Configuration ระบบ EIS (19) 104 ภาพท 134 การ Configuration ระบบ EIS (20) 105 ภาพท 135 การ Configuration ระบบ EIS (21) 105 ภาพท 136 หนาตางการ Login ระบบ EIS (5) 106 ภาพท 137 การ Snapshotระบบ EIS 106

ภาพ หนา

ภาพท 138 การ Snapshotระบบ EIS (2) 107 ภาพท 139 การสารองConfigure fileระบบ EIS 107 ภาพท 140 ภาพรวมระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน 108 ภาพท 141 ภาพระบบ Redundant อปกรณ Switch กรมพฒนาทดน 108 ภาพท 142 ภาพรวมการเชอมตออปกรณเครอขาย กรมพฒนาทดน 109 ภาพท 143 ภาพการเชอมตอของอปกรณเครอขายแบบชน กรมพฒนาทดน 109

1

บทท 1 บทนา

1. ความสาคญของปญหา

กรมพฒนาทดนไดนาระบบสารสนเทศและคอมพวเตอร เขามาใชในการเพมประสทธภาพการปฏบตงานของกรมฯ และการใหบรการสาหรบประชาชน โดยมสถาปตยกรรมระบบเครอขายกรมพฒนาทดน เปนแบบดาว (Star Topology) ประกอบดวย ระบบเครอขายหลกสวนกลาง (CLN : Central Local Area Network) และระบบเครอขายสวนภมภาค (RLN : Regional Local Area Network) เชอมตอระบบเครอขายอนเทอรเนตผานสอกลางหลายประเภท เชน เฟรมรเลย (Frame Relay) , MPLS , ADSL) มการนาเอาเทคโนโลยทางดานระบบภาพ+เสยง+ขอมล (Multimedia) เชน ระบบโทรศพทผานไอพ (IP Phone) , ระบบถายทอดสญญาณวดโอ (Video Streaming) , ระบบกระจายสญญาณ (Broadcasting), ระบบการประชมสญญาณวดโอ (Video Conference) ฯลฯ เขามาใชงาน มระบบฐานขอมลท ใหบรการทงภายในและภายนอกองคกร ผานชองทางการบรการขอมลเครอขายของผใหบรการ (ISP: Internet Service Provider) โดยมการเชอมโยงและแลกเปลยนขอมลเขากบระบบบรการแผนท และขอมลทางแผนท และผลผลต จากโครงการจดท าแผนท เพ อการบรหารทรพยากรธรรมชาตและทรพยสน ของกระทรวงเกษตรและสหกรณ ทใหบรการสบคนขอมลแผนท ภาพถายทางอากาศส และมการเชอมโยงกบเครอขายกระทรวงเทคโนโลยสารสนเทศและการสอสาร ภายใตโครงการพฒนาเครอขายสอสารขอมลเชอมโยงหนวยงานภาครฐ ซงตองใชความเชยวชาญ ความร ความสามารถ ประสบการณและความชานาญดานระบบสารสนเทศและคอมพวเตอรอยางสง เพอชวยในการวเคราะห ตดสนใจ วางแผนและแกไขปญหาทางดานระบบเครอขาย ทมความยงยาก ซบซอน และมผลกระทบในวงกวาง

การจดการงานระบบสารสนเทศและคอมพวเตอรของกรมพฒนาทดน ใหเกดความปลอดภยและมเสถยรภาพ เปนสวนสาคญในการทาใหงานดานเทคโนโลยสารสนเทศอนๆ เปนไปไดอยางราบรนและสงผลตอความเชอมนของระบบทงหมด จงมความจาเปนอยางยงทจะตองเฝาระวงและปรบแตงคาการทางาน ใหสามารถใชงานไดตลอดเวลา ผานทางเครองมอสาหรบบรหารความปลอดภยดานตางๆทเกยวของ ประกอบดวย ดานการเฝาระวงและดแล (Watchdog &Monitor) ดานการเกบขอมลการใชงาน (Log) ดานการบรหารเครองมอจากระยะไกล (Remote Management) ดานการพฒนาใชงาน SNMP (Simple Network Protocol) ดานการวเคราะหรปแบบการใหบรการเครอขาย (Network Bandwidth Shaping & QOS) ดานการควบคมการใชงานเครอขาย (Network Filtering) เพอใหสอดคลองตามแผนแมบทเทคโนโลยสารสนเทศของกรมพฒนาทดน และตรงตามขอกาหนดของกระทรวงเทคโนโลยสารสนเทศและการสอสาร รวมทงสามารถดาเนนการตาม พ.ร.บ. วาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550 ซงการบรหารจดการระบบดงกลาว เปนงานทมความยงยาก ซบซอน เนองจากจะตองทาความเขาใจดานวชาการกฎหมายคอมพวเตอร และมทกษะขนสงในระบบงานอนทเกยวของ เพอใหสามารถวเคราะห ออกแบบ วางแผน กาหนดคณสมบตและคาคอนฟกกเรชน (Configuration) บนอปกรณในสวนของฮารดแวร (Hardware) และซอฟทแวร (Software) ทปจจบน ทมความสลบซบซอนไดอยางครบถวน อนจะสงผลใหการใชงานของระบบสารสนเทศและคอมพวเตอรของกรมพฒนาทดนเปนไปตามวตถประสงค มเสถยรภาพและความปลอดภยสงสด

2

การบรณาการขอมลภาครฐ (Government Data Integration) เพอหาแนวทางในการปฏบตงานรวมกนระหวางระบบ (Interoperability) ของหนวยงานภาครฐ ใหสามารถแลกเปลยนเชอมโยงขอมล เพอการปฏบตงานรวมระหวางระบบตางๆทแตกตางกน ผานทางเทคโนโลยบรการดานเวป (Web Services) ซงสอดคลองกบนโยบายของกรมพฒนาทดน ทไดนางานบรการประชาชนและขอมลเผยแพรดานการพฒนาทดน มาใหบรการผานเวบไซตบรการตางๆของกรมพฒนาทดน อาทเชน www.ldd.go.th , mordin.ldd.go.th , lddmapserver.ldd.go.th ฯลฯ ในการขอรบบรการหรอเชอมโยงบรการผานระบบ Web Service ในการจดทาระบบสารสนเทศและคอมพวเตอร เพอรองรบงานบรการดงกลาวนน จาเปนจะตองมความร ความชานาญและประสบการณทางดาน ตางๆทเกยวของ เชน บรการดานเวป (Web Service) โปรโตคอล (Protocol) พอรท (Port) การบรหารจดการฐานขอมล (Database Management System) ภาษาและเครองมอในการออกแบบและพฒนา (Language Utility and Develop Tool) และมทกษะขนสงในการประยกตระบบงานตางๆเขาดวยกน เพอใหสามารถวเคราะห ออกแบบ วางแผน กาหนดคาคอนฟกกเรชน (Configuration) ของระบบเทคโนโลยสารสนเทศบรการไดอยางถกตอง ดงนนเพอใหการบรหารจดการระบบสารสนเทศและคอมพวเตอร มประสทธภาพ จงไดจดทาคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน (LDD Manual Management Information Systems and Computer) ขน เพอใหผรบผดชอบ/ผปฏบตงาน มความรความเขาใจเกยวกบวธการ Configuration ระบบสารสนเทศ ระบบเครอขาย ตลอดจน วธการแกไขปญหาแนวทางการดาเนนงานระบบเทคโนโลยสารสนเทศกรมพฒนาทดน ใหมความนาเชอถอ และมเสถยรภาพ

2. วตถประสงค

2.1 เพอจดทาคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน 2.2 เพอใหผปฏบตงานใชเปนคมอในการดาเนนงานดานระบบสารสนเทศและคอมพวเตอร ใหม

ประสทธภาพและประสทธผล

3. ขอบเขตการศกษา 3.1 ศกษา วเคราะห มาตรการรกษาความปลอดภยระบบเครอขายของกรมพฒนาทดน ระบบ

Authentication รายละเอยดการทางานและการกาหนดคาระบบพรอกซ (Proxy) ระบบ ไฟลวอลล (Firewall) ระบบตรวจสอบการบกรก (Intrusion Detection System) ระบบ Intrusion Prevention System และระบบควบคมการเขาถงระบบ/ขอมล (Access Control) ศกษามาตรฐานการจดการความปลอดภยระบบสารสนเทศ (Information Security Management)

3.2 ศกษา วเคราะห องคประกอบขนตอนและมาตรฐานการจดทาบรการดานเวป (web service) บรการดานแอปพลเคชน (application service) บรการดานฐานขอมล (database service) บรการดานจดหมายอเลกทรอนกส (e-mail service) บรการดานปองกนไวรส (antivirus service) การบรหารจดการโดเมน (domain service) รายละเอยดการใชงานพอรท (port) และโปรโตคอล (protocol) ของแตละบรการ (service)

3.3 ศกษา วเคราะห แนวความคดดานเครองจกรเสมอน (Virtual Machine Concept) แนวคดการสรางเครองคอมพวเตอรเสมอนบน ฮารดแวรเพยงชดเดยว ซงสามารถทางานไดเสมอนกบวาม

3

คอมพวเตอรหลายๆเครอง โดยมการแยกการทางานของระบบตางๆไดอยางเปนอสระตอกน มาตรฐานของเครองจกรเสมอน (Virtual Machine) และรปแบบการใชงานของเครองแมขายบรการ ในปจจบนของกรมพฒนาทดน

3.4 รวบรวมขอมลศกษา วเคราะห ในขอ 3.1 – 3.3 ขอมลการปฏบตงานระบบสารสนเทศคอมพวเตอรของกรมพฒนาทดน ขอมลอปกรณสารสนเทศตางๆ ทนามาใชงาน และออกแบบการจดทารปเลม การเรยงลาดบเนอหา ของคมอการบรหารจดการระบบสารสนเทศคอมพวเตอร กรมพฒนาทดน

3.5 จดทาคมอการบรหารจดการระบบสารสนเทศคอมพวเตอร กรมพฒนาทดน ตงแตการวางโครงสรางของสวนประกอบตางๆสาหรบระบบฯ การออกแบบระบบฯ การตดตงระบบฯ การกาหนดคาคณลกษณะของอปกรณเครอขาย การกาหนดคาคณลกษณะของเครองแมขายบรการ (Server) การกาหนดมาตรการรกษาความปลอดภยในสวนของเครอขายและฐานขอมล การจดการดานงานบรการตางฯ สาหรบเครองแมขายบรการ (Server Service) การจดทาเอกสารอธบายรายละเอยดในแตละขนตอน การจดทาแผนภาพแสดงเครอขาย (Network Diagram) และแผนภาพแสดงการไหลของขอมล (Data Flow Diagram) เพออธบายโครงสรางระบบเครอขาย การจดทารายละเอยดการทางานและขนตอนการบรหารระบบงานของเครองแมขายบรการทงหมด การจดทารายละเอยดการทางานและขนตอนการบรหารระบบเครอขายและอปกรณพรอมทงกระบวนการตรวจสอบประสทธภาพการทางานของระบบสารสนเทศคอมพวเตอร

4. ระยะเวลาและสถานทดาเนนการ

ระยะเวลา : ระหวางเดอนตลาคม 2554 - พฤษภาคม 2555 สถานทดาเนนการ : ศนยสารสนเทศ กรมพฒนาทดน

5. ผดาเนนการ นางจนทรเพญ ลาภจตร ตาแหนง นกวเคราะหนโยบายและแผนชานาญการพเศษ มหนาท จดทาคมอการบรหารจดการระบบสารสนเทศคอมพวเตอร กรมพฒนาทดน

ปฏบตงาน 100% 6. ประโยชนทจะไดรบ

6.1 นาไปใชในการการบรหารจดการระบบสารสนเทศและคอมพวเตอร ของกรมพฒนาทดน ใหมความปลอดภยและมประสทธภาพสงสด

6.2 นาไปใชในการวเคราะห แกไขปญหา และปรบปรงระบบสารสนเทศและคอมพวเตอร ของกรมพฒนาทดน ใหสามารถบรการระบบสารสนเทศไดอยางตอเนอง สามารถใชในการประเมนและวางแผน การพฒนาระบบสารสนเทศและคอมพวเตอร ของกรมพฒนาทดน ใหรองรบงานและการบรการสารสนเทศตามแผนงาน การพฒนาระบบสารสนเทศและคอมพวเตอร ทกรมพฒนาทดนวางไวในอนาคต

6.3 นาไปใชเปนเอกสารประกอบการศกษา คนควา อางอง ทางดานระบบสารสนเทศและ คอมพวเตอร สาหรบเจาหนาทและหนวยงานทเกยวของ

4

บทท 2 การวเคราะหและออกแบบระบบ

ในการดาเนนการวเคราะหและออกแบบ ระบบบรหารจดการสารสนเทศและคอมพวเตอร กรม

พฒนาทดน (LDD Management Information Systems and Computer) มกระบวนการในการดาเนนการทเปนขนตอน โดยไดมการศกษาวเคราะหมาตรการรกษาความปลอดภยระบบเครอขายทเหมาะสม วเคราะหระบบการลงชอเขาระบบ (Authentication) วเคราะหรายละเอยดการทางานและการกาหนดคาพรอกซ (Proxy) วเคราะหระบบ ไฟลวอลล (Firewall) วเคราะหระบบตรวจสอบและปองกนการบกรก (Intrusion Detection System & Intrusion Prevention System) วเคราะหระบบจดหมายอเลกทรอนกส (Electronic Mail) วเคราะหระบบควบคมการเขาถงขอมล (Access Control) ตามนโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศของกรมพฒนาท ดน วเคราะหระบบการทางานของเครองแมขายสาหรบงานบรการเวบไซต โดยมวตถประสงคเพอใหระบบสารสนเทศและคอมพวเตอรของกรมพฒนาทดนมความเหมาะสม มประสทธภาพ ครอบคลมการทางานตาง ๆ ทกาหนดไว ใหสามารถดาเนนงานไดอยางตอเนองและปองกนภยคกคามตาง ๆ ได พรอมทงปฏบตตามเจตนารมณของพระราชกฤษฎกาการกาหนดหลกเกณฑและวธการในการทาธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 มาตรา 5 มาตรา 6 และมาตรา 9 เพอใหการดาเนนกจกรรมหรอการใหบรการตาง ๆ ของหนวยงานของรฐมความมนคงปลอดภยและเชอถอได

ในขนตอนการวเคราะหและออกแบบ เพอกาหนดรายละเอยดการตดตง และการดาเนนการบรหารจดการระบบสารสนเทศ กรมพฒนาทดน (LDD Management Information Systems) นน ไดแบงขนตอนการวเคราะหและออกแบบ เปนหวขอตามรายละเอยดตาง ๆ ดงตอไปน

2.1 การวเคราะหและออกแบบการรกษาความมนคงปลอดภยดานสารสนเทศ (Acceptable use Analysis and Design)

2.2 การวเคราะหและออกแบบการใชงานระบบรกษาความปลอดภยเครอขายคอมพวเตอรไฟลวอลล (Firewall Analysis and Design)

2.3 การวเคราะหและออกแบบการใชงานระบบตรวจจบและปองกนผบกรก (Intrusion Detection System : IDS and Intrusion Prevention System : IPS Analysis and Design)

2.4 การวเคราะหและออกแบบการใชงานอนเตอรเนต (Internet Analysis and Design) 2.5 การวเคราะหและออกแบบการเขาถง (Access Control Analysis and Design) 2.6 การวเคราะหและออกแบบการใชงานจดหมายอเลกทรอนกส (Electronic Mail

Analysis and Design)

5

2.1 การวเคราะหและออกแบบการรกษาความมนคงปลอดภยดานสารสนเทศ (Acceptable Use Analysis and Design)

2.1.1 องคประกอบของระบบสารสนเทศกบความมนคงปลอดภย ระบบสารสนเทศ (Information System : IS) นนสามารถทางานไดโดยอาศย

องคประกอบหลายสวน ไดแก ฮารดแวร (Hardware) ซอฟตแวร (Software) ขอมล (Data) บคลากร (People) ขนตอนการทางาน (Procedure) และเครอขายคอมพวเตอร (Network) องคประกอบแตละสวนจะมหนาทตางกนไปในการนาขอมลเขาสระบบประมวลผลเพอสรางสารสนเทศทเปนประโยชน และแสดงผลสารสนเทศเหลานนออกทางหนวยแสดงผลชนดตาง ๆ ซงหมายความวาองคประกอบแตละสวนมหนาทในการทางานแตกตางกน ดงนนจงตองการความมนคงปลอดภยแตกตางกนไป ดงน

2.1.1.1 ซอฟตแวร (Software) ในโครงการพฒนาซอฟตแวรใด ๆ ยอมตองอยภายใตเงอนไขของการบรหารโครงการ นนคอ ภายใตเวลา ตนทน และกาลงคนทจากด ดงนน สวนใหญจะพบวาการเพมความปลอดภยใหกบซอฟตแวร มกจะทาภายหลงจากพฒนาซอฟตแวรเสรจแลว ไมไดทาในตอนตนของกระบวนการพฒนา จงทาใหซอฟตแวรมจดออน งายตอการจโจม ซงแนนอนวาหากจโจมหรอสรางความเสยหายใหกบซอฟตแวรแลว กจะสงผลตอขอมลของระบบดวย

2.1.1.2 ฮารดแวร (Hardware) นโยบายความมนคงปลอดภยทมตอฮารดแวรนน จะใชนโยบายเดยวกบสนทรพยทจบตองไดขององคกร นนคอ การปองกนฮารดแวรจากการลกขโมยหรอภยอนตรายตาง ๆ เชน การใสกญแจอปกรณชนดตาง ๆ ทสามารถทาได การจากดการใชงานอปกรณเหลานน หรอการจดสถานททปลอดภยใหกบอปกรณหรอฮารดแวร เปนตน การปองกนการเขาถงอปกรณหรอฮารดแวรตาง ๆ จะชวยลดโอกาสเขาถงหรอการสรางความเสยหายใหกบสารสนเทศไดระดบหนง

2.1.1.3 ขอมล (Data) ขอมล/สารสนเทศเปนทรพยากรทมคามากในองคกร และเปนเปาหมายหลกของการโจมตโดยเจตนา ถงแมวาระบบสารสนเทศในปจจบนมระบบฐานขอมลทมเครองมอรกษาความมนคงปลอดภยในเบองตนไวเปนสวนใหญแลวกตาม แตการปองกนทแนนหนาขนกมความจาเปนสาหรบขอมลทเปนความลบ ซงตองอาศยทงนโยบายความปลอดภยและกลไกปองกนทดควบคกน

2.1.1.4 บคลากร (People) คอภยคกคามตอความมนคงปลอดภยของสารสนเทศทถกมองขามมากทสด เนองจากถงแมวาองคกรจะมระบบรกษาความมนคงปลอดภยของสารสนเทศทมประสทธภาพมากเพยงใดกตาม แตหากบคลากรผเกยวของไมมจตสานก หรอมความตระหนกถงความปลอดภย โดยเฉพาะหากบคลากรไมมจรรยาบรรณในอาชพกเปนจดออนทดทสดของการโจมต เนองจากผไมหวงดสามารถเกลยกลอมใหบคลากรดงกลาวเปดระบบใหไดโดยไมจาเปนตองใชเครองมอใด ๆ เลย นอกจากน บคลากรอาจถกหลอกลวงเพอใหขอมลบางอยางแกมจฉาชพได จงทาใหมการศกษาถงเรองนกนอยางจรงจง เรยกวา “Social Engineering” ซงเปนการปองกนการหลอกลวงบคลากร เพอเปดเผยขอมลบางอยางททาใหเขาสระบบได โดยอาศยพฤตกรรมทเปนจดออนของบคลากรในการหลอกลวง

2.1.1.5 ขนตอนการทางาน (Procedure) เปนอกหนงองคประกอบดานความปลอดภยทถกมองขาม โดยหากมจฉาชพทราบถงขนตอนการทางานอยางใดอยางหนงครบถวนแลว กจะสามารถคนหาจดออนเพอกระทาการอนกอใหเกดความเสยหายทงตอองคกรและลกคาขององคกรได

2.1.1.6 เครอขายคอมพวเตอร (Network) การเชอมตอระหวางคอมพวเตอรและระหวางเครอขายคอมพวเตอร ทาใหเกดอาชญากรรมและภยคกคามคอมพวเตอรชนดใหมจานวนมาก

6

โดยเฉพาะการเชอมตอระบบสารสนเทศเขากบเครอขายอนเตอรเนต จดวามความเสยงตอภยคกคามสงมาก ดงนน องคกรทมการเชอมตอระบบสารสนเทศเขากบอนเตอรเนตจงควรเพมมาตรการรกษาความมนคงปลอดภยทแนนหนาขน

2.1.2 วงจรการออกแบบระบบความมนคงปลอดภยของสารสนเทศ 2.1.2.1 การสารวจ (Investigation) โดยนารายละเอยดในเบองตนมาทาการ

สารวจ กลาวคอ ทาการเกบขอมลเพอนามาวเคราะหปญหา กาหนดขอบเขต เปาหมาย และวตถประสงคของระบบฯ รวมถงเงอนไขอน ๆ ในการดาเนนงาน ตลอดจนการศกษาความเปนไปไดทจะดาเนนงานดวย

2.1.2.2 การวเคราะห (Analysis) เปนขนตอนทนาขอมลจากการสารวจมาทาการศกษาเพมเตม ถงภยคกคามในปจจบนและวธปองกนตามทไดระบไวในนโยบายความมนคงปลอดภยเบองตน ว เคราะหประเดนดานกฎหมายท เกยวของกบวธการหรอมาตรการปองกน พระราชบญญตวาดวยกรกระทาผดทางคอมพวเตอร ซงรวมถงกฎหมายสทธสวนบคคล (Privacy)

2.1.2.3 การออกแบบระดบตรรกะ (Logical Design) เปนขนตอนการจดทาโครงรางของระบบความมนคงปลอดภยของสารสนเทศ ตรวจสอบและจดทานโยบายหลกทจะนาไปใช นอกจากนยงตองจดทาแผนรบมอเหตการณไมคาดคด (Incident Response Action Plan) โดยในแผนงานจะตองสามารถตอบคาถามตาง ๆ ไดดงน

1) การทางานของระบบจะสามารถดาเนนงานตอไปไดอยางไรในกรณทเกดความเสยหาย

2) ตองดาเนนการอยางไรเมอถกโจมต 3) จะตองฟนฟระบบอยางไรหลงจากไดรบความเสยหาย

2.1.2.4 การออกแบบระดบกายภาพ (Physical Design) เปนขนตอนการกาหนดเทคโนโลยสารสนเทศทจะนามาสนบสนนโครงรางระบบความมนคงปลอดภยทไดออกแบบไวในเฟสทผานมา โดยจะตองมการประเมนเทคโนโลยดงกลาว พรอมสรางทางเลอกของเทคโนโลยทจะนามาใช แลวนามาคดเลอกทางเลอกทดและเหมาะสมทสด ซงในกระบวนการดงกลาวอาจพบวาตองมการแกไขโครงรางทไดออกแบบไว ทงน เนองจากอาจมการเปลยนแปลงบางอยางทเหนวาเหมาะสมกวา

2.1.3 การจารกรรมหรอการรกลา (Espionage or Trespass) 2.1.3.1 การจารกรรม (Espionage) เปนการกระทาซงใชอปกรณอเลกทรอนกส

หรอตวบคคลในการจารกรรมสารสนเทศทเปนความลบ ผจารกรรมจะใชวธการตาง ๆ เพอเขาถงสารสนเทศทจดเกบไว และรวบรวมสารสนเทศดงกลาวโดยไมไดรบอนญาต ซงกคอ การรวบรวมขอมล/สารสนเทศโดยผดกฎหมายนนเอง อยางไรกตาม มจฉาชพสามารถรวบรวมสารสนเทศไปใชประโยชนไดโดยถกกฎหมาย เชน การทาวจยทางการตลาดผานทางเวบไซต จดวาเปนวธการรวบรวมสารสนเทศทถกกฎหมาย ในยคแรกจงมผหาผลประโยชนจากสารสนเทศดวยวธดงกลาวจานวนมาก อยางไรกตาม การกระทาดงกลาวจดวาไมมจรยธรรมในการประกอบอาชพ และตอมาไดมการกาหนดใหเปนการกระทาทผดกฎหมาย

อกกรณหนงของการจารกรรมขอมลหรอการรกลาเพอใหไดสารสนเทศของผอนมา คอ “Industrial Espionage” เปนการใชเทคนคทถกกฎหมายแตกากงกบความไมชอบธรรม เพอรวบรวมสารสนเทศสาคญหรอความลบทางการคาของคแขงเพอนามาหาผลประโยชน แยงชงความ

7

ไดเปรยบในอตสาหกรรม เทคโนโลยทใชเพอการจารกรรมสารสนเทศอาจเปนไปไดทงเทคโนโลยชนสงหรออาจไมตองใชเทคโนโลยใดเลยกได เชน กรณทเรยกวา “Should Surfing” คอ การแอบมองดขอมลสวนตวของผอนขณะทาธรกรรมผานต ATM โดยเปนการแอบมองจากดานหลงหรอในระยะไกล เปนตน โดยกรณ Shoulder Surfing นน ยงรวมถงการแอบมองหรอรวบรวมขอมลของผอนจากโตะทางาน เครองคอมพวเตอรทผอนกาลงใชงาน ตลอดจนแอบฟงการสนทนาทางโทรศพทดวย

2.1.3.2 การรกลา (Trespass) คอ การกระทาททาใหผรกลาสามารถเขาสระบบเพอรวบรวมสารสนเทศทตองการไดโดยไมไดรบอนญาต การควบคมการกระทาลกษณะดงกลาว สามารถทาไดโดยการจากดสทธและพสจน ตวจนผ เขาสระบบทกครง วาเปนบคคลท ไ ดรบอนญาตจรง (Authentication) เปนกลไกการควบคมทสามารถปองกนภยคกคามชนดนไดในระดบหนง ตอไปนเปนตวอยางภยคกคามประเภท Espionage และ Trespass ทรจกกนเปนอยางด

2.1.3.3 แฮคเกอร (Hacker) หมายถง บคคลผซ ง ใชและสรางซอฟตแวรคอมพวเตอรขนมา เพอชวยใหตนสามารถเขาถงสารสนเทศของผอนอยางผดกฎหมาย แฮคเกอรบางกลมอาจตองการเพยงทดสอบความรความสามารถของตนในการเขาถงสารสนเทศผอนเทานน โดยไมไดมเปาหมายเพอขโมยหรอทาลายสารสนเทศและระบบ อยางไรกตาม มแฮคเกอรบางกลม ทมเปาหมายเพอขโมยสารสนเทศของผอนดวย โดยการใชทกษะและกลลวงตาง ๆ แฮคเกอรกลมนจงเปนภยคกคามตอองคกรอยางมาก

2.1.3.4 Script Kiddies คอ แฮคเกอรมอใหม ทไมมความชานาญ เปนผทใชซอฟตแวรหรอโปรแกรมท Expert Hacker เขยนไวมาใชโจมตหรอกอกวนระบบผอน

2.1.3.5 Packet Monkeys คอ Script Kiddies ทใชโปรแกรมอตโนมตโจมตระบบแบบปฏเสธการใหบรการ (Distributed Denial – of – Service) ทาใหระบบไมสามารถใหบรการแกผใชตามคารองขอทสงมาได ซงบางครงทาใหผใชเขาใจผดวาระบบลมเหลว โดยไมสามารถทราบไดเลยวาระบบกาลงถกโจมต

2.1.3.6 แครกเกอร (Cracker) คอ ผททาลายหรอทาซาซอฟตแวรรกษาความมนคงปลอดภยของระบบอน การทาลายระบบรกษาความมนคงปลอดภยของระบบสารสนเทศผอน จดวาเปนการสรางความเสยหายใหเกดขน ดงนน แครกเกอรจงแตกตางกบแฮคเกอรดวยเหตผลดงกลาว นนคอ “แฮคเกอร” มเปาหมายเพอทดสอบความสามารถหรอตองการความทาทายโดยการเจาะระบบใหสาเรจ (ไมรวมกรณสรางความเสยหายแกสารสนเทศของระบบดวย) สวน “แครกเกอร” มจดประสงคหลก คอ ตองการทาลายระบบรกษาความมนคงปลอดภยของระบบคอมพวเตอรหรอระบบสารสนเทศ อยางไรกตาม ภยคกคามทงสองจดวาเปนอาชญากรรมคอมพวเตอรเหมอนกน

2.1.4 การโจมตเครอขาย เครอขายเปนเทคโนโลยทมความเสยงสงมาก ถาไมมการควบคมหรอปองกนทด การ

โจมตหรอการบกรกเครอขาย หมายถงความพยายามทจะเขาใชระบบ (Access Attack) การแกไขขอมลหรอระบบ (Modification Attack) การทาใหระบบไมสามารถใชการได (Deny of Service Attack) และการทาใหขอมลเปนเทจ (Repudiation Attack) ซงจะกระทาโดยผประสงคราย ผทไมมสทธ หรออาจเกดจากความไมตงใจของผใชเอง ตอไปนเปนรปแบบ ตาง ๆ ทผไมประสงคดพยายามทจะบกรกเครอขายเพอลกลอบขอมลทสาคญหรอเขาใชระบบโดยไมไดรบอนญาต

8

2.1.4.1 การโจมตรหสผาน การโจมตรหสผาน (Password Attack) หมายถง การโจมตทผบกรก

พยายามเดารหสผานของผใชคนใดคนหนง ซงวธการเดานนกมหลายวธ เชน บรทฟอรธ (brute –Force) , โทรจนฮอรส (Trojan horse) , ไอพสปฟง , แพกเกตสนฟเฟอร เปนตน การเดาแบบบรทฟอรช หมายถง การลองผดลองถกรหสผานเรอย ๆ จนกวาจะถก บอยครงทการโจมตแบบบรทฟอรธใชการพยายามลอกอนเขาใชรซอรสของเครอขาย โดยถาทาสาเรจผบกรกกจะมสทธเหมอนกบเจาของแอคเคาทนน ๆ

2.1.4.2 การโจมตแบบ Man-in-the-Middle การโจมตแบบ Man-in-the-Middle นนผโจมตตองสามารถเขาถงแพก

เกตทสงระหวางเครอขายได เชน ผโจมตอาจอยท ISP ซงสามารถตรวจจบแพกเกตทรบสงระหวางเครอขาย ภายในและเครอขายอน ๆ โดยผาน ISP การโจมตนจะใชแพกเกตสนฟเฟอรเปนเครองมอเพอขโมยขอมล หรอใชเซสชนเพอแอกเซสเครอขายภายใน หรอวเคราะหการจราจรของเครอขายหรอผใช

2.1.4.3 การโจมตแบบ DOS การโจมตแบบดไนลออฟเซอรวส หรอ DOS (Denial-of-Service)

หมายถง การโจมตเซรฟเวอรโดยการทาใหเซรฟเวอรนนไมสามารถใหบรการได ซงโดยปกตจะทาโดยการใชรซอรสของเซรฟเวอรจนหมด หรอ ถงขดจากดของเซรฟเวอร ตวอยางเชน เวบ เซอรเวอร และเอฟทพเซรฟเวอร การโจมตจะทาไดโดยการเปดการเชอมตอ (Connection) กบเซรฟเวอรจนถงขดจากดของเซรฟเวอร ทาใหผใชคนอน ๆ ไมสามารถเขามาใชบรการได การ โจมตแบบนอาจใชโปรโตคอลทใชบนอนเตอรเนตทว ๆ ไป เชน TCP( Transmission Control Protocol) หรอ ICMP (Internet Control Message Protocol) การโจมตแบบแบบดไนลออฟเซอรวส เปนการโจมตจดออนของระบบหรอเซรฟเวอรมากกวาการโจมตจดบกพรอง (Bug) หรอชองโหวของระบบการรกษาความปลอดภย

2.1.4.4 โทรจนฮอรส เวรม และไวรส คาวา “ โทรจนฮอรส (Trojan Horse) ” นเปนคาทมาจากสงครามโทร

จน ระหวางทรอย (Troy) และ กรก (Greek) ซงเปรยบถงมาโครงไมทชาวกรกสรางทงไวแลวซอนทหารไวขางในแลวถอนทพกลบ พอชาวโทรจนออกมาดเหนมาโครงไมทงไว และคดวาเปนของขวญทกรซทงไวให จงนากลบเขาเมองไปดวย พอตกดกทหารกรกทซอนอยในมาโครงไมนกออกมาเปดประตใหกบทหารกรกเขาไปทาลายเมองทรอย สาหรบในความหมายคอมพวเตอรแลว โทรจนฮอรส หมายถง โปรแกรมททาลายระบบคอมพวเตอรโดยแฝงมากบโปรแกรมอน ๆ เชน เกม สกรนเซฟเวอร เปนตน ซงผใชอาจจะดาวนโหลดโปรแกรมตาง ๆ เหลานมา แตเมอตดตงแลวรนโปรแกรมโทรจนฮอรสทแฝงมาดวยกจะทาลายระบบคอมพวเตอร เชน ลบไฟลตาง ๆ หรออาจสรางแบคดอรใหกบโปรแกรมอนเขามาทาลายระบบกได

2.1.5 มาตรการปองกนการโจมตจากผบกรก 2.1.5.1 ใช Intrusion Detection ดกจบผบกรกจากภายนอก 2.1.5.2 ตรวจหาชองโหวภายใน Network 2.1.5.3 กาหนดระดบความปลอดภยใหเหมาะสมกบ Server 2.1.5.4 ควบคมแพกเกตเขา – ออกดวย เพอกรอง Network กราฟกขององคกร

ไดทง ขาเขาและขาออก 2.1.5.5 เพอเพมความปลอดภยยงขน 2.1.5.6 ปองกนการเขาใชงานทไมไดรบอนญาตดวยการตรวจสอบขอมลใน

Network

9

2.1.5.7 ปองกนเซรฟเวอรทเกยวกบเวบ อเมล และแอปพลเคชนอน ๆ จากการโจมต

2.1.6 รปแบบการรกษาความมนคงปลอดภยทออกแบบ

จากการดาเนนการจดทาแผนแมบทเทคโนโลยสารสนเทศและการสอสาร ของกรมพฒนาทดน พ.ศ.2547 – 2549 ไดมการพฒนาและออกแบบการรกษาความมนคงปลอดภยระบบสารสนเทศ เพอปองกนใหระบบฯ มความปลอดภย และสามารถรองรบการทางานไดตลอดเวลา โดยแบงการรกษาความมนคงปลอดภยระบบฯ ออกเปน 2 สวน ดงน

2.1.6.1 การรกษาความมนคงปลอดภยของเครอขาย 1) การออกแบบการใชงานเครอขายแบบ Vlan เพอปองกนการรบกวน

การทางานของเครอขาย 2) การออกแบบสถาปตยกรรมการเชอมตอของอปกรณเครอขายหลก

แบบชน เพอใหเกดเสถยรภาพในการทางาน 3) การออกแบบการตงคา Access List Control บนอปกรณเครอขาย

เพอควบคมการใชงาน IP Address และ Protocol ของเครองคอมพวเตอรลกขาย 4) การออกแบบการใชงาน Proxy เพอลดปรมาณ Traffic ของการใช

งาน Internet 5) การออกแบบสถาปตยกรรมปองกนการบกรกเครอขายจากภายนอก

ผานทางระบบ Firewall และระบบ IPS 2.1.6.2 การรกษาความมนคงปลอดภยของเครองคอมพวเตอร

1) การออกแบบการใชงานระบบปองกนไวรส เพอแกปญหา Malware ตาง ๆ

2) การออกแบบการใชงานระบบ Virtual Machine Server (เครองแมขายเสมอน) เพอแกปญหาการใชงาน Hardware ไมเขากนกบระบบปฏบตการ (Compatible) ลดเวลาการ Downtime ของเครองแมขาย และชวยใหการ Backup สามารถทาไดอยางรวดเรว 2.2 การวเคราะหและออกแบบการใชงานระบบรกษาความปลอดภยเครอขายคอมพวเตอรไฟล

วอลล (Firewall Analysis and Design) Firewall คอ ระบบทประกอบไปดวยฮารดแวร ซอฟตแวร หรอทงสองอยางทถกออกแบบ

มาเพอปองกน Network จากการเขาใชงานทไมไดรบอนญาต Firewall มวธการออกแบบไดหลายรปแบบ เชน Bastion Host , Perimeter Network ซงจาแนกเปนแบบ Three-Homed และ Back –To-Back Firewall ใชหลกการกรองแพกเกตขอมลและการกรองชนดอนๆ เพอควบคมการใชงาน Network

Firewall หมายถง กาแพงกนไฟ ซงสรางไวปองกนไฟทไหมจากบรเวณหนงลกลามไปบรเวณอน เพราะฉะนนถามาใชกบระบบ Network กมประโยชนคลาย ๆ กน โดยมนจะชวยปองกนอนตรายทมาจากอนเทอรเนต โดยปกต Firewall จะถกตดตงในจดท Network ภายในจะตดตอกบอนเทอรเนต

ผลตภณฑ Firewall สวนใหญตองมความสามารถหลก ๆ คอ เปนจดควบคม Network ทราฟฟกทจะเขามาใน Network ภายในขององคกร และเปนจดควบคม Network ทราฟฟกจากภายใน

10

องคกรทจะออกไปใชงานอนเทอรเนต โดยท Firewall ตองบงคบให Network ทราฟฟกเหลานเปนไปตามกฎและนโยบายความปลอดภยทองคกรกาหนด

ความสามารถในการเชอมตอเครองคอมพวเตอรใดๆ เขากบคอมพวเตอรเครองอนไดในทกททตองการเปนความสามารถทมทงผลดและผลเสย นอกเหนอจากอนตรายจากการรวไหลของขอมลแลว ยงมอนตรายทมากบขอมลทถกใสเขามาในระบบดวยนนกคอ ไวรส และอนตรายจากโปรแกรมอนตรายตาง ๆ ทเขามาทาลายการรกษาความปลอดภย ทาอนตรายกบขอมลทมคา และทาใหสนเปลองเวลาอนมคายงของผดแลระบบทพยายามทจะทาใหระบบอยในสภาพทด โดยทวไปโปรแกรมอนตรายเหลานมกจะเกดขนจากพนกงานทไมมความระมดระวงในการใชงานหรอพนกงานทพยายามจะสรางสถานการณเลวรายใหเกดขนในองคกร

ผลทตามมาคอ จาเปนจะตองมกลไกทจดการเกบรกษาขอมลทดเอาไวในขณะทกาจดขอมลทไมดออกไปจากระบบคอมพวเตอร คอการใช Firewall

Firewall เปนการปรบตวของวธการรกษาความปลอดภย ซงบงคบใหทกคนเขาหรออกจากองคกรโดยผานประตหรอเสนทางทจดเตรยมไวใหเทานน ซงจะทาใหระบบสามารถตรวจสอบขอมลทจะสงเขาหรอออกจากองคกรได ดงรปแสดงรายละเอยดสวนประกอบของ Firewall ซงประกอบดวย packet filler จานวน 2 ตว และ application gateway ดงทแสดงในรปตอไปน

ภาพท 1 รายละเอยดสวนประกอบของ Firewall

Firewall ในลกษณะนประกอบดวยสองสวน คอ เราเตอรสองตวททาการตรวจสอบแพกเกตขอมล packet filtering และ application gateway ขอมลทกแพกเกตจะตองถกสงผานเราเตอรสองตว ซงทาหนาทในการกรองขอมลและจะตองผาน application gateway เพอทจะไดสามารถสงขอมลออกไปนอกระบบหรอเขามาในระบบได โดยไมมเสนทางอนใหเลอก

Packet filter แตละตวคอเราเตอรมาตรฐานทวไปทตดตงหนาทพเศษเขาไปดวย นนคอการตรวจสอบขอมลทถกสงเขามาหรอสงออกไป แพกเกตทมลกษณะถกตองตามขอกาหนดจะถกสงตอไปไดตามปกต สวนทไมผานขอกาหนดกจะถกทาลายทงไป ซงเราเตอรทอยดานในระบบ LAN จะทาหนาท

11

กรองขอมลทจะถกสงออกไป สวนเราเตอรตวทอยนอกระบบ LAN จะทาหนาทตรวจสอบแพกเกตทจะถกสงเขามาในระบบ LAN แพกเกตทผานการตรวจขนตนจากเราเตอรทงขาเขาและขาออกจะถกสงไปตรวจสอบอกขนตอนหนงท application gateway การทตองตดตงเราเตอรไวสองตวกเพอใหแนใจไดวาจะไมมแพกเกตใดสามารถเดนทางเขาหรออกจากระบบไดโดยไมถกตรวจสอบจาก application gateway เนองจากไมมเสนทางอนใหเลอก โดยทวไปจะทางานโดยอาศยการกาหนดเงอนไขผานตารางขอมลทผดแลระบบเปนผกาหนดขนใชงานตารางขอมลเหลานประกอบดวยขอมลสามชนด คอ จะแสดงทอยของทมาของขอมลและเปาหมายทจะถกสงออกไปซงเปนสถานททไดรบการตรวจสอบและอนญาตใหใชงานได รวมทงทอยของผสงและผรบทไมอนญาตใหใชงานผานระบบเครอขายขององคกรและกฎเกณฑทจะนามาใชวาจะตองทาอยางไรกบแพกเกตขอมลทจะสงออกนอกระบบหรอสงเขามาในระบบ

ในกรณทวไปทสรางขนมาสาหรบระบบ TCP/IP ทอยของผสงและทอยของผรบประกอบดวย IP address และหมายเลข Port ทใช (เปนตวกาหนดบรการทเรยกใชจากโพรโตคอล TCP/IP เชน Port 23 คอ telnet Port 79 คอ finger และ Port 119 คอ USENET เปนตน) องคกรสามารถกนแพกเกตทเดนทางเขามาสาหรบทก IP address ทตองใชบรการใน Port ใดกได ดวยวธการนบคคลทอยนอกองคกรจะไมสามารถ log-in เขามาใชงานในระบบไดโดยการเรยกใชบรการ telnet จาก Port 23 ไดยงกวาน องคกรยงสามารถปองกนไมใหพนกงานในองคกรมวแตอานขาวใน USERNET ทงวนโดยไมทางานไดโดยการปด Port 119

การกนไมใหสงขอมลออกไปนนเปนการทางานทซบซอนกวาเพราะวาไซตสวนใหญจะใช Port มาตรฐาน ยงกวานบรการทสาคญบางอยาง เชน FTP (file transfer protocol) หมายเลข Port จะถกกาหนดใหใชดวยการเปลยนแปลงหมายเลขไปเรอยๆ นอกจากนการกนการเชอมตอ TCP นน ยากยงขนไปอก เชน การกนแพกเกต UDP นนยากมากเพราะไมทราบวาแพกเกตนนจะทาอะไร Packet filter สวนใหญจงไมอนญาตใหใช UDP เลย

สวนทสองของ Firewall คอ application gateway แทนทจะมองดทขอมลดบทสงมาในแพกเกตแตเพยงอยางเดยวเกตเวยจะทางานในระดบชนสอสารโปรแกรมประยกต ตวอยางเชน เมลเกตเวย (mail gateway) สามารถทจะจดตงขนมาเพอตรวจสอบแตละขาวสารทอยในเมลทกฉบบทงขาเขาและขาออกเมลแตละฉบบจะถกตรวจสอบจากขอมลทปรากฏอยใน header field หรอขนาดของขาวสาร หรอแมกระทงเนอหาทอยในเมล เชน ในหนวยท ตงทางทหารถาหากตรวจพบวามคาวา “นวเคลยร” “ระเบด” หรออน ๆ เกตเวยกสามารถทจะแจงเตอนไปยงผรบผดชอบไดเพอหาทางจดการกบเมลฉบบน

โดยทวไปแลว Firewall แบงออกเปน 2 ประเภท คอ 2.2.1 Application Layer Firewall

เปนFirewallททางานในระดบแอพพลเคชนเลเยอร (Application Layer Firewall) นนบางทกเรยกวา “พรอกซ (Proxy Firewall)” คอ โปรแกรมทรนบนระบบปฏบตการทว ๆ ไป เชน วนโดวส เซรฟเวอรหรอยนกซ หรออาจจะเปนฮารดแวรทตดตงซอฟตแวรพรอมใชงานแลวกได Firewall จะมเนตเวรคการดหลายการด เพอสาหรบเชอมตอกบ เครอขายตาง ๆ นโยบายการรกษาความปลอดภยจะเปนสงทกาหนดวาทราฟฟกใด สามารถถายโอนระหวางเครอขายใดไดบาง ถานโยบายไมไดระบอยางชดเจนวา ทราฟฟกไหนทอนญาตใหผานได Firewall กจะไมสงผานหรอละทงแพกเกตนนทนท นโยบายนนจะถกบงคบใชโดยพรอกซใน Firewall ระดบแอพพลเคชนนนทก ๆ โปรโตคอลทอนญาตใหผานได

12

จะตองมพรอกซสาหรบโปรโตคอลนน พรอกซทดทสดนนจะเปนพรอกซทออกแบบมาสาหรบจดการกบโปรโตคอลนนโดยเฉพาะ Firewall ททางานในระดบแอพพลเคชนปจจบนสวนใหญจะมพรอกซสาหรบโปรโตคอลทนยมใช เชน HTTP , SMTP , FTP และ Telnet เปนตน ถาโปรโตคอลไหนไมมพรอกซกไมสามารถผาน Firewall ได นอกจากน Firewall ประเภทนยงสามารถซอนแอดเดรสหรอหมายเลขของระบบภายในได เนองจากการเชอมตอทงหมดจะสนสดท Firewall ดงนนเครองทอยภายนอกจะมองเหนเฉพาะหมายเลขไอพของ Firewall เทานน ถาผบกรกไมรโครงสรางภายในโอกาสทจะเจาะระบบไดกนอยลง

2.2.2 Packet Filtering Firewall เปนแพกเกตฟลเตอรรง Firewall (Packet Filtering Firewall) อาจเปนไดทง

ซอฟตแวรหรอฮารดแวรททาหนาทกรองแพกเกตทผาน Firewall โดยใชนโยบายการรกษาความปลอดภยทกาหนดไว แพกเกตฟลเตอรรง Firewall นนจะอนญาตใหมการเชอมตอโดยตรงระหวางไคลเอนทและเซรฟเวอร ดงนน Firewall ประเภทนจะทางานคอนขางเรวกวาแบบแอพพลเคชน Firewall เนองจากไมตองสรางคอนเนกชนใหม เราทเตอรโดยทวไปจะมหลกการทางานคอ เมอไดรบแพกเกตมากจะตรวจสอบหมายเลขไอพของเครองปลายทาง หลงจากนนเราทเตอรกจะตรวจเชคเราทตงเทเบล (Routing Table) เพอคนหาเราทเตอรหรอโฮสตปลายทางทจะสงตอไป สวนขนตอนการกรองแพกเกตของ Firewall นนจะทากอนทจะสงผานแพกเกตน แพกเกตจะถกกรองตามรายการควบคมการเขาถง (Access Control List หรอ ACL) แตละรายการของ ACL จะประกอบดวยฟลดของเฮดเดอรของไอพแพกเกตและการอนญาตหรอไมอนญาตใหผาน

2.2.3 รปแบบไฟลวอลล ทออกแบบ จากการวเคราะห Firewall ทเหมาะสมในการนามาใชงาน ไดออกแบบเปน

รปแบบผสมโดยการใชApplication Firewall รวมกบ Hardware Firewall ซงใชรปแบบการวางโครงสรางประเภท Bastion Host Firewall โดยมการใชเครองคอมพวเตอร 1 เครอง ทาหนาทเปน Firewall ขนกลางจดเชอมตอ ระหวางเครอขายภายในของกรมฯและเครอขายภายนอก (อนเทอรเนต) และใช Hardware Box ขนกลางจดเชอมตอ ระหวางเครอขายภายนอก (อนเทอรเนต) ทตองการเรยกเขามาใชงานเครองแมขายบรการของกรมฯ ขอดของระบบ

มภาระการดแลและจดการนอย และมความยดหยนในการใชงาน ขอจากดของระบบ

1) ลกษณะการทางาน เปนการปองกนแบบจดเดยว (Single Point of Defense) ซงตองรกษาความปลอดภยเครองคอมพวเตอรและ Firewall Box ทตดตงระบบ มฉะนนอาจถกโจมตจากภายนอก และจากเครอขายภายในทไมมมาตรการปองกน

2) ถาเครองททาหนาทเปน Firewall ถกเจาะได กจะสามารถเขาถงระบบเครอขายภายในทนท (Single Point of Failure)

3) ประสทธภาพในการรองรบปรมาณ Traffic ของระบบเครอขายสามารถรองรบไดในระดบหนง ในกรณทระบบเครอขายมการขยายตว จะตองมการ upgrade ระบบ หรอหาระบบอนทมความสามารถสงกวามาทดแทน

13

2.3 การวเคราะหและออกแบบการใชงานระบบตรวจจบและปองกนผบกรก (IDS : Intrusion Detection System and IPS : Intrusion Prevention System IPS Analysis and Design) 2.3.1 ระบบการตรวจจบการบกรก (Intrusion Detection System : IDS)

ระบบการตรวจจบการบกรก หรอ IDS (Intrusion Detection System) เปนเครองมอสาหรบการรกษาความปลอดภยอกประเภทหนงทใชสาหรบตรวจจบความพยายามทจะบกรกเครอขาย โดยระบบแจงเตอนผดแลระบบเมอมการบกรกหรอพยายามทจะบกรกเครอขาย IDS นนไมใชระบบทใชปองกนการบกรกแตเปนระบบทคอยแจงเตอนภยเทานน ถาเปรยบกบระบบการรกษาความปลอดภยของรถ IDS กอาจจะเปลยนไดกบระบบกนขโมย ซงระบบนจะสงสญญาณเมอมการตรวจพบความพยายามทจะขโมยรถ เชน การงดประต หรอกระจก แตระบบนไมสามารถปองกนไมใหรถถกขโมยได อยางไรกตามโดยธรรมชาตแลวขโมยจะพยายามหลกเลยงรถทตดตงระบบน ระบบเครอขายกเชนกน ถามระบบตรวจจบและแจงสญญาณเตอนการบกรก เหลามจฉาชพมกจะหลกเลยงการบกรกเครอขายน

2.3.1.1 IDS แบงออกเปน 2 ประเภท คอ Host-Based IDS และ Network-Based IDS โดย โฮสตเบสไอดเอส นนคอ ระบบทตดตงทโฮสตเฝาระวงและตรวจจบความพยายามทจะบกรกโฮสตนน สวนเนตเวรค เบสไอดเอส นนคอ ระบบทตรวจดแพกเกตทวงอยในเครอขาย และแจงเตอนถาพบหลกฐานทคาดวาจะเปนการบกรกเครอขาย

1) Host-Based IDS โฮสตเบสไอดเอสเปนซอฟตแวรทรนบนโฮสต โดยปกตแลว IDS ประเภท

นจะวเคราะหลอก (Log) เพอคนหาขอมลเกยวกบการบกรก ในระบบยนกซนนลอกท IDS จะตรวจสอบ เชน Syslog, Messages , Lastlog และ Wtmp เปนตน สวนในวนโดวนน IDS กจะตรวจสอบอเวนตลอกตาง ๆ เชน System, Application และ Security เปนตน โดยปกต IDS จะอานเหตการณใหมทเกดขนในลอกและเปรยบเทยบกบกฎทตงไวกอนหนา ถาตรงกจะแจงทนท ดงนนการท IDS จะตรวจจบการบกรกไดระบบจะตองบนทกเหตการณตาง ๆ ทสาคญทเกดขนกบระบบในลอกไฟล มฉะนน IDS กไมมขอมลทจะใชในการวเคราะห

2) Network-Based IDS เนตเวรคเบสไอดเอส คอ ซอฟตแวรพเศษทรนบนคอมพวเตอรเครองหนง

แยกตางหาก IDS ประเภทนจะมเนตเวรคททางานในโหมดทเรยกวา “โพรมสเซยส (Promiscuous Mode)” ซงในโหมดนเนตเวรคการดทรนในโหมดธรรมดานน จะรบเอาเฉพาะแพกเกตทมทอยปลายทางตรงกบเครองเทานน เมอทก ๆ แพกเกตสงผานไปใหแอพพลเคชน IDS จะวเคราะหขอมลในแพกเกตเหลานนกบกฎทไดตงไวกอนหนา ถาตรงกบกฎกจะแจงเตอนทนท

2.3.1.2 การแจงเตอนภย IDS IDS จะรายงานเฉพาะสงทกาหนดใหรายงานเทานน มอยสองสงทผดแลระบบ

จะตองคอนฟกใหกบ IDS สงแรกคอ ซกเนเจอรของการบกรก สงทสองคอเหตการณทผดแลระบบใหความสาคญหรอเหตการณทคาดวาจะเปนผลไปสการบกรกในภายหนา ซงเหตการณตาง ๆ เหลานอาจเปนทราฟฟกทไมปกตหรออาจเปนบางขอความในลอก

14

2.3.1.3 การสารวจเครอขาย เหตการณทเปนการสารวจเครอขายเปนการพยายามของผบกรกทจะรวบรวม

ขอมลเกยวกบระบบเครอขายกอนทจะโจมตจรง ๆ เชน IP Scans, Port Scans, Trojan Scans, Vulnerability Scans, File Snooping

2.3.1.4 การโจมต การโจมตเครอขายหรอระบบนนควรใหลาดบความสาคญสงสด เมอ IDS

รายงานเหตการณนผดแลระบบตองตอบสนองกบเหตการณนทนทเพอปองกนการสญเสยมากกวาน บางครง IDS อาจแยกแยะระหวางการโจมตจรง ๆ กบการสแกนหาจดออน เนองจากเหตการณทงสองนน IDS จะตรวจพบซกเนเจอรของการโจมตเหมอนกน ผดแลระบบอาจตองวเคราะหขอมลเพมเตม การสแกนหาจดออนนน IDS จะรายงานการโจมตหลายๆ รปแบบในชวงเวลาสน ๆ กบระบบใดระบบหนง สวนการโจมตจรงนนอาจมการรายงานการโจมตแครปแบบเดยวกบระบบใดระบบหนงเหตการณทนาสงสยหรอผดปกตเหตการณอน ๆ ทผดปกตและไมไดจดอยในประเภทตาง ๆ ทกลาวมาขางตนถอวาเปนเหตการณทนาสงสยวาอาจมการโจมตเครอขายเกดขน ซงผดแลระบบตองวเคราะหและสบหาสาเหตของเหตการณทวานตอ ตวอยางเชน บางโฮสตอาจสงแพกเกตทมขอมลสวนหวผดไปจากทกาหนดในมาตรฐานซงเหตการณนอาจเกดขนเนองจากการโจมตแบบ ใหม หรอเนตเวรคการดเครองสงอาจเสย

2.3.2 ระบบการปองกนการบกรก (Intrusion Prevention System: IPS) ระบบทคอยปองกนการบกรก (Intrusion Prevention System) Intrusion

Prevention System (IPS) คอ ระบบทคอยตรวจจบการบกรกของผทไมประสงคด รวมไปถงขอมลจาพวกไวรสดวย โดยสามารถทาการวเคราะหขอมลทงหมดทผานเขาออกภายในเครอขายวา มลกษณะการทางานทเปนความเสยงทกอใหเกดความเสยหายตอระบบเครอขายหรอไม เมอตรวจพบขอมลทมลกษณะการทางานทเปนความเสยงตอระบบเครอขายกจะทาการปองกนขอมลดงกลาวนน ไมใหเขามาภายในเครอขายได โดยสามารถแบงประเภทของ IPS ไดดงน คอ

2.3.2.1 แบงตามแพลตฟอรม (Network / Host based) วธการแบงประเภทตามแพลตฟอรม จะแบงออกไดเปน 2 ประเภท คอ

Network Intrusion Prevention Systems (NIPS) และ Host Intrusion Prevention Systems (HIPS) ซง NIPS เฝามองทราฟฟกภายในระบบเนตเวรกวา มการมงประสงครายจากภายนอกทนาสงสยหรอไม หรอวามกจกรรมภายในเนตเวรกทนาสงสยหรอไม ถาพบกจะปดกนเครอขายทนาสงสยเหลานน สวน HIPS นนจะถกตดตงใหอยทเครองโฮสตหนาทโดยทวไปคอ เฝามองสวนของการรองขอ (request) ของระบบแลวปดกนการรองขอทไมเหมาะสม ในสวนของ NIPS นนจะแจงเตอนปญหาและปองกนในสวนของสภาพแวดลอมของเครอขาย ในขณะท HIPS จะเจาะจงไปยงเครองโฮสตเครองใดเครองหนงเทานน

2.3.2.2 แบงตาม attack timeline เปนการแบงตามความสามารถในการตรวจจบการโจมตแบบ “zero-day”

ซงขนอยกบฐานขอมลทม แตถาไมมการอพเดตเพมเตมนน ในกรณนการโจมต “zero-day” เปนการโจมตทไมสามารถตรวจจบได แลว เมอสามารถแยกแยะรปแบบการโจมตไดแลวจงเรยกวาการโจมตทสามารถตรวจจบได ดงนนการตรวจจบการโจมตทไมสามารถตรวจจบได แตเดมจะชวยใหความสามารถใน

15

การปองกนของ IPS เพมมากขน ในขณะทการตรวจจบการโจมตทสามารถตรวจจบไดนน ทาใหแยกความแตกตางของชนดและรปแบบการโจมตไดแบบจาเพาะเจาะจงไดมากขน

2.3.2.3 รปแบบการใชงานระบบตรวจจบและปองกนผบกรก ทออกแบบ จากการวเคราะหระบบตรวจจบและปองกนผบกรก ทเหมาะสมในการ

นามาใชงาน ไดออกแบบเปนรปแบบ Network Intrusion Prevention Systems (NIPS) และ Host Intrusion Prevention Systems (HIPS) โดยรปแบบ NIPS มการใชงานผานทางเครองคอมพวเตอร 1 เครอง ทาหนาทเปน IPS ททางานรวมกบ Firewall ทขนกลางจดเชอมตอ ระหวางเครอขายภายในของกรมฯและเครอขายภายนอก (อนเทอรเนต) และใช HIPS ทตดตงมากบระบบปองกนไวรสในเครองคอมพวเตอร แมขายทาหนาทเปน IPS ขนกลางจดเชอมตอเครอขายภายนอก (อนเทอรเนต) ทตองการเรยกเขามาใชงานเครองแมขายบรการของกรมฯ 2.4 การวเคราะหและออกแบบการใชงานอนเตอรเนต (Internet Analysis and Design)

ในการใชงาน Internet ไดมการวเคราะหและออกแบบโดยใชมาตรการทางานของอปกรณเครอขายทใชกนอยในปจจบน เพอใหระบบฯ สามารถใชงานไดอยางมประสทธภาพและมเสถยรภาพ โดยมการออกแบบระบบทใชงาน ดงนคอ

2.4.1 NAT (Network Address Translation) NAT : คอ กระบวนการแปลงคา Source IP Address หรอ Destination IP Address

หรอ Source Port ในสวนหวของแพกเกตเพอใหแพกเกตนนวงเขาหรอออกตามตารางเสนทางทไดออกแบบไว NAT แบงเปน 2 ชนดใหญ ๆ ไดแก Static NAT และ Dynamic NAT

2.4.1.1 Static NAT Static NAT หรอตามมาตรฐาน RFC-3022 เรยกวา NAT (ไมมคาวา Static

นาหนา) คอ การแมปเพอแปลงคาไอพแอดเดรสระหวางไอพภายใน (private ip) กบไอพจรง (public ip) แบบหนงตอหนง เพอใหคอมพวเตอรทอยบนอนเตอรเนตมองเหนคอมพวเตอรในเครอขายภายในหนวยงานทใชไอพภายใน (private ip) ตวอยางเชน หนวยงานแหงหนงไดรบจดสรรไอพแอดเดรสชวง 200.1.1.0 – 200.1.1.255 และออกแบบใหเวบเซรฟเวอรสมารถมองเหนไดจากอนเตอรเนตผานไอพแอดเดรสหมายเลข 200.1.1.5 แตผดแลระบบกาหนดคาไอพแอดเดรสทเครองเวบเซรฟเวอรเปนไอพภายในหมายเลข 192.168.99.3 ไมไดกาหนดเปนไอพจรง ดงนนเมอตองการใหคอมพวเตอรทอยบนอนเตอรเนตสอสาร กบเวบเซรฟเวอรเครองนได กจะตองกาหนดคาคอนฟกเกยวกบ Static NAT บน Firewall เพอทาการแมประหวาง 200.1.1.5 กบ 192.168.99.3 หลงจากทไดสรางตาราง Static NAT บน Firewall แลว เมอแพกเกตทถกสรางโดยเวบเซรฟเวอรซงมไอพแอดเดรสหมายเลข 192.168.99.3 จะถกสงไปยงอนเตอรเนต โดยแพกเกตจะวงออกจากเครองตนทางผาน Firewall เมอแพกเกตมาถง Firewall กอนท Firewall จะเรมสงแพกเกตดงกลาวออกไป Firewall จะแปลง (Translate) คา Source IP Address จาก 192.168.99.3 ใหเปน 200.1.1.5 กอน จากนนจงคอยสงออกไปสอนเตอรเนต เมอมการตอบกลบจากโฮสตทอยบนอนเตอรเนตกจะมการสงแพกเกตทระบวาใหสงกลบมายงไอพแอดเดรสปลายทางหมายเลข 200.1.1.5 และขณะทแพกเกตวงเขามาถง Firewall Firewall กจะแปลง (Translate) คา Destination IP Address ใหกลบมาเปน 192.168.99.3 เพอทแพกเกตดงกลาวจะไดวงเขามาถงเครองเวบเซรฟเวอรได และหากหนวยงานแหงนม Mail Server ตงอย

16

ภายใน โดยผดแลระบบกาหนดคาไอพแอดเดรสใหเปน 192.168.99.7 และมการกาหนดท Firewall ในตาราง NAT ใหอนเตอรเนตมองเหนเปน ไอพจรงหมายเลข 200.1.1.4 ทกครงทมการสงอเมลออกไปยงอนเตอรเนตแพกเกตทถกสรางโดยเครอง Mail Server น จะถกแปลงไอพแอดเดรสตนทางใหเปน 200.1.1.4 โดย Firewall กอนทจะสงออกไปยงอนเตอรเนต และเมอมแพกเกตทมาจากอนเตอรเนต สงเขามายง Mail Server ไอพแอดเดรส 200.1.1.4 เมอแพกเกตวงเขามาถง Firewall ซงเปนดานหนา มนจะถกแปลงใหมปลายทางเปนไอพแอดเดรส 192.168.99.7 เพอทแพกเกตนจะไดเดนทางมาถงเครอง Mail Server ทใชไอพภายใน เหนไดวา Firewall มการสรางตารางคงทเพอแมปคาระหวางไอพภายในกบไอพจรงแตละคดวยคาไอพแอดเดรสทคงท เลยเปนทมาของคาวา “Static NAT”

2.4.1.2 Dynamic NAT หรอ Internet Share Static NAT หรอตามมาตรฐาน RFC-3022 เรยกวา NAPT (Network

Address Port Translation) และภาษาของผใชทวไปเรยกวา Internet Share คอการแมปเพอแปลงคาไอพแอดเดรสระหวางไอพภายใน (private ip) หนงหมายเลข โดยใชคาตวเลข Source Port เขามารวมดวย เพอให แพกเกตทถกสรางจากเครองทใชไอพภายในหมายเลขตาง ๆมคา Source IP Address เปนคาไอพจรง กอนทจะถกสงออกไปยงอนเตอรเนต เพอทาใหแพกเกตขากลบ สามารถวงกลบมายง Network ตนทางไดอยางถกตอง ตวอยางเชน หนวยงานแหงหนงเชอมตอกบ ISP และไดไอพจรงมาเพยงหมายเลขเดยว อปกรณททาหนาทเปนเราเตอร (หรอ Firewall) ซงมอนเตอรเฟสดานนอกเปนไอพจรง สมมต วาเปนหมายเลข 200.2.2.5 สวนอนเตอร เฟสดานในเปนไอพภายในหมายเลข 192.168.1.1 เมอคอมพวเตอรในเครอขาย LAN ภายใน ตองการทองเวบในอนเตอรเนต กจะมการสงแพกเกตออกไป เชน 19.2.168.1.2 สง TCP packet ไปท www.sanook.com โดยใช Source Port หมายเลข 1024 เมอแพกเกตมาถง Firewall ตว Firewall จะแปลงคา Source IP Address ใหเปนคาไอพแอดเดรสขาออกของ Firewall (ซงเปนไอพจรงหมายเลข 200.2.2.5) และแปลคา Source Port ใหเปนคา Source Port ของ Firewall วางอย เชน แปลงใหเปนหมายเลข 4001 แลวจงสงแพกเกตออกไปสอนเตอรเนต เมอมแพกเกตตอบกลบกจะเปนแพกเกตทมายง 200.2.2.5 Port 4001 Firewall กจะเปดตาราง NAT ในหนวยความจา ทาใหทราบวา TCP Session นเปนของเครอง 192.168.1.2 จากนน Firewall กจะทาการแปลงคา Destination IP และ Destination Port ใหเปน 192.168.1.2 และ 1024 ตามลาดบ ในทานองเดยวกนเครอง 192.16.1.9 และ 192.168.1.4 กตองการตดตอกบอนเตอรเนตเชนกน Firewall จะใชกลไกเดยวกนนในการจดจาวา Session ใดเปนของไอพแอดเดรสกตดตอกบเซรฟเวอรบนอนเตอรเนตหลายแหงหมายเลข Source Port ของ Firewall จะถกใชไดสงสดประมาณไมเกน Port 65535 ดงนนหาก Session ใดไมมการใชงานแลวกจะถกลบออกจากตาราง NAT ทอยในหนวยความจา เพอทหมายเลข Port เดม (บน Firewall) จะไดถกนามาใชใหมในลกษณะทเปนพลวตร จงเปนทมาขอคาวา “Dynamic NAT”

2.4.2 Proxy

Proxy เปนชอเรยกอปกรณททางานเปน Web Cache อยางไรกตามหาก Network ของเราออกแบบใหมการใชงาน Proxy กจาเปนอยางยงทจะตองมความเกยวของกบการกาหนดกฎบน Firewall ในทางปฏบตเราสามารถใชคอมพวเตอร ทตดตงโปรแกรม ISA (Microsoft Internet Security and Acceleration Server) เพอทางานเปน Proxy

17

Proxy (หรอ Web Cache) คออปกรณหรอเครองคอมพวเตอรททาหนาทเปนตวกลางระหวางเครองไคลเอนต และเวบเซรฟเวอรในการรองขอและจดสงหนาเวบเพจ ตวอยางเชน เมอ user 1 (ซงอยบนNetworkทใช Proxy) ตองการเขาชมเวบไซต www.sanook.com คารองขอหนาเวบเพจจะถกสงไปยง Proxy จากนน Proxy จะรองขอหนาเวบเพจของ www.sanook.com ให user1 แทน เมอ www.sanook.com สงหนาเวบเพจกลบมา Proxy จะเกบหนาเวบเพจดงกลาวไปบน cache พรอมทง สงหนาเวบเพจดงกลาวมาให user1 จากนนหากมผใชคนอน เชน user2 ตองการหนาเวบเพจของ www.sanook.com กจะสงคารองขอไปยง www.sanook.com แตเนองจากเปนNetworkทกาหนดใหมการใช proxy ดงนนคารองขอนจะถกสงไปยงท Proxy แทน เมอ Proxy ไดรบการรองขอดงกลาว กจะมองหาวาสงทผใชตองการมอยใน cache หรอไม หากมอยกจะสงขอมลทอยใน cache ไปให แตถาไมมกจะสงคารองขอไปยงเวบเซรฟเวอร

ประโยชนของ Proxy ม 2 คณลกษณะ คอ 2.1.2.1 เพอความเรวในการดาวนโหลดหนาเวบเพจ เนองจากหากหนาเวบเพจ รปภาพ

หรอไฟลทรองขอมอยใน cache ของ Proxy อยแลวกไมจาเปนตองดาวนโหลดจากใหมจากอนเตอรเนตความเรวในการสงหนาเวบเพจกจะเรวเทากบความเรวของระบบ LAN เพราะ Proxy มกจะไดรบการตดตงไวบน LAN เดยวกนกบผใช

2.1.2.2 เพอประหยดแบนดวดธ เพราะหากมผใชหลาย ๆ คนดาวนโหลดหนาเวบเพจ รปภาพ หรอไฟลเดยวกนโดยไมมการใช Proxy จะทาใหตองใชแบนดวดธในการดาวนโหลดคอนขางมาก ซงแปรผนตามจานวนผใช แตถาหากเราใช Proxy แลวหนาเวบเพจรป หรอไฟลจะถกดาวนโหลดจาเพยงครงเดยวแลวถกเกบไวท cache ของ Proxy ผใชทรองขอไปทหลงกจะไดรบขอมลจาก cache ของ Proxy แทน ทาใหประหยดแบนดวดธเพราะไมตองรองขอและดาวนโหลดขอมลใหม

Proxy มกจะใช Port หมายเลข 8080 หรอหมายเลข 3128 ดงนน การคอนฟกเนคเวรกเกยวกบ Proxy แบงเปน 2 กลมใหญ ๆ ไดแก การระบคา Proxy โดยตรงทบราวเซอร และการทา Auto Redirect (หรอเรยกวา transparent proxy)

2.4.3 รปแบบการใชงานระบบ Internet ทออกแบบ จากการวเคราะหขอมลระบบ Internet ทเหมาะสมในการนามาใชกบกรมพฒนาทดน ซง

มเครองแมขายทใหบรการดาน web service และเครองลกขายทขอรบบรการใชงาน Internet จานวนมาก จงไดออกแบบระบบฯทมารองรบการใชงานเปนแบบ Static NAT โดยใหมการทางานผานทาง Public IP ทกาหนดสาหรบการใชงาน Internet ของลกขาย และทาการ NAT ชนดหนงตอหนง สาหรบเครองแมขายบรการเพอรองรบการเรยกใชงานจากภายนอก จากนนจะทาการตดตงเครองแมขายทใหบรการดาน Proxy และใหเครองลกขายทกเครองตองใชงาน Internet ผานทาง Proxy เพอประหยดแบนวทชเครอขาย และสามารถกาหนด Policy ของการใชงาน Internet ได 2.5 การวเคราะหและออกแบบการเขาถง (Access Control Analysis and Design)

เปนการวเคราะหและออกแบบมาตรการควบคม ปองกนมใหบคคลทไมมอานาจหนาทเกยวของในการปฏบตหนาทเขาถง ลวงร แกไข เปลยนแปลงระบบสารสนเทศและคอมพวเตอรทสาคญ ซงจะทาใหเกดความเสยหายตอขอมลและระบบขอมลขององคกร โดยมการกาหนดกระบวนการควบคมการเขาออกทแตกตางกนของกลมบคคลตาง ๆ ทมความจาเปนตองเขาออกหองศนยคอมพวเตอร

18

2.5.1 การวเคราะหและออกแบบการเขาออกหองควบคมระบบ Network (หอง Server)

กาหนดใหมแนวปฏบตดงน 2.5.1.1 ผดแลระบบ จดระบบเทคโนโลยสารสนเทศและการสอสารใหเปนสดสวน

ชดเจน เชน สวนระบบเครอขาย (Network Zone) สวนเครองแมขาย (Server Zone) เปนตน 2.5.1.2 ผดแลระบบ ตองทาการกาหนดสทธบคคลในการเขา-ออกหอง Server

โดยเฉพาะบคคลทปฏบตหนาทเกยวของภายใน และมการตดประกาศ “ระเบยบการเขาออกหอง Server” พรอมระบรายชอเจาหนาททไดรบการกาหนดสทธไวอยางชดเจน

2.5.1.3 กรณเจาหนาททไมมหนาทเกยวของ มความจาเปนตองเขา-ออกหอง Server ตองแจงทกลมระบบเครอขายและคอมพวเตอร และกรอกแบบฟอรมขอเขาใชงานเครองแมขาย ณ หองควบคมระบบ (หอง Server) กอน โดยมมาตรการการควบคมอยางรดกม เจาหนาทกลมระบบเครอขายและคอมพวเตอร ควบคมการปฏบตงานระหวางอยในหองควบคมระบบ

2.5.2 การวเคราะหและออกแบบการเขาถงระบบเทคโนโลยสารสนเทศ

กาหนดใหมแนวปฏบตดงน 2.5.2.1 ผดแลระบบ มหนาทในการตรวจสอบการอนมตและกาหนดสทธในการผานเขา

สระบบ ใหแกผใช 2.5.2.2 เจาของขอมล และ เจาของระบบ จะอนญาตใหผใชงานเขาสระบบเฉพาะใน

สวนทจาเปนตองรตามหนาทงาน ดงนนการกาหนดสทธในการเขาถงระบบงานตองกาหนดตามความจาเปนขนตาเทานน

2.5.2.3 ผใชงานจะตองไดรบอนญาตจากเจาหนาททรบผดชอบขอมลและระบบงานตามความจาเปนตอการใชงานระบบเทคโนโลยสารสนเทศ

2.5.3 การวเคราะหและออกแบบการเขาถงขอมลของผใช

กาหนดใหมแนวปฏบตดงน 2.5.3.1 การลงทะเบยนเจาหนาทใหม กาหนดใหมขนตอนปฏบตอยางเปนทางการ

สาหรบการลงทะเบยนเจาหนาทใหมเพอใหมสทธตาง ๆ ในการใชงานตามความจาเปนรวมทงขนตอนปฏบตสาหรบการยกเลกสทธการใชงาน เชน เมอเปลยนตาแหนงงานภายในองคกร ลดตาแหนง ยายหนวยงาน หรอสนสดการจางงาน เปนตน

2.5.3.2 การบรหารจดการสทธการใชงานระบบและรหสผาน ผดแลระบบทรบผดชอบระบบงานนน ๆ กาหนดสทธของเจาหนาทในการเขาถงระบบเทคโนโลยสารสนเทศและการสอสารแตละระบบ รวมทงกาหนดสทธแยกตามหนาททรบผดชอบ การกาหนดชอผใชตองเปนหนงเดยวคอไมซากน

2.5.3.3 กาหนดสทธการใชระบบเทคโนโลยสารสนเทศทสาคญ เชน ระบบคอมพวเตอร โปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (e-Mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเตอรเนต เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผดแลระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสมาเสมอ

2.5.3.4 ผใชตองลงนามรบทราบสทธและหนาทเกยวกบการใชงานระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษรและตองปฏบตตามอยางเครงครด

19

2.5.3.5 การบรหารจดการการเขาถงขอมลตามระดบชนความลบ ตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบ ในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงการทาลายขอมลแตละประเภทชนความลบ ตองกาหนดรายชอผใช (Username) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบของขอมล การรบสงขอมลสาคญผานเครอขายสาธารณตองทาการเขารหส (Encryption) ทเปนมาตรฐานสากล กาหนดใหเปลยนรหสผานตามระยะเวลาทกาหนดของระดบความสาคญของขอมล

2.5.4 แนวปฏบตการควบคมการเขาใชงานระบบจากภายนอก

กาหนดใหมแนวปฏบตดงน 2.5.4.1 มการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบ

โดยการโทรศพทเขาองคกรนนตองมการดแลและการจดการโดยผดแลระบบและวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน

2.5.4.2 การอนญาตใหผใชเขาสระบบขอมลจากระยะไกลตองอยบนพนฐานของความจาเปนเทานน ไมเปดพอรตและโมเดมทใชทงเอาไวโดยไมจาเปน ชองทางดงกลาวตองตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดเมอมการรองขอทจาเปนเทานน

2.5.4.3 การเขาสระบบจากระยะไกล (Remote access) เพอเพมความปลอดภยจะตองมการ ตรวจสอบเพอพสจนตวตนของผใชงาน เชน รหสผาน หรอวธการเขาหส เปนตน

2.6 การวเคราะหและออกแบบการใชงานจดหมายอเลกทรอนกส (Electronic Mail Analysis

and Design) จดหมายอเลกทรอนกส (E-Mail) คอ การสงขอความหรอขาวสารจากบคคลหนงไปยงบคคล อน ๆ

ผานทางคอมพวเตอรและระบบเครอขายเหมอนกบการสงจดหมาย แตอยในรปแบบของสญญาณขอมลทเปนอเลกทรอนกส โดยเปลยนการนาสงจดหมายจากบรษไปรษณยมาเปนโปรแกรม และเปลยนจากการใชเสนทางจราจรคมนาคมทวไป มาเปนชองสญญาณรปแบบตางๆ ทเชอมตอระหวางเครอขายคอมพวเตอร ซงจะตรงเขามาส Mail Box ทถกจดสรรใน Server ของผรบปลายทางทนท

2.6.1 โปรโตคอลท ใชในการสอสารขอมลดานอ เมลในระบบเครอขายอนเทอร เนต ประกอบดวย

2.6.1.1 SMTP (Simple Message Transfer Protocol ) ทาหนาทสงอเมลจากเซรฟเวอรของผสงไปยงเมลเซรฟเวอรของผรบ

2.6.1.2 POP (Post Office Protocol) กระบวนการสงเมลจะสนสดเมอผสงสงใหเมลไคลเอนทสงขอมลไปถงเมลเซรฟเวอรของผรบและอเมลนนจะถกจดเกบไวในเมลบอกซของผรบทเครองเมลเซรฟเวอร

2.6.1.3 IMAP (Internet Message Access Protocol) คอ โปรโตคอลทใชในการจดการเมลบอกซ ในการใชงาน E-Mail จาเปนจะตองม E-Mail Address ซงเปรยบเหมอนทอยทางอนเตอรเนตของแตละคน จะแทนดวยชอหรอรหสทใชแทนตว แลวตามดวยชอของ Mail Server ทใหบรการ เชน [email protected] โดยทวไป E-Mail Address จะประกอบดวย User ID ใชเปนชอหรอ

20

รหสประจาตวของผใชบรการแตละคน เครองหมาย @ และDomain Name ของ Mail Server ทใชบรการ

2.6.2 ประเภทของจดหมายอเลคทรอนกสททาใหระบบฯเกดปญหา

2.6.2.1 Spam mail คอ จดหมายอเลคทรอนกสทผสงสวนใหญมความประสงคทจะโฆษณาสนคาหรอบรการทตวเองม

2.6.2.2 Chain mail คอ เปนจดหมายอเลคทรอนกสทมขอความเหมอนจดหมายลกโซทเราเคยไดรบโดยทวไป เนอหากจะเปนเรองคาเตอนเกยวกบไวรส หรอเรองอน ๆ แตทสาคญคอ บอกวาใหสงขอความนใหกบคนทรจก

2.6.2.3 Bomb mail คอ การกอกวนผรบจดหมายอเลคทรอนกส หรอระบบจดหมายอเลคทรอนกสของเครอขาย โดยสงจดหมายอเลคทรอนกสเปนจานวนมาก ๆ ไปยงผรบจดหมายอเลคทรอนกสหรอระบบจดหมายอเลคทรอนกส

2.6.2.4 Mail Virus เปนจดหมายอเลคทรอนกสทม Attached File เปนไวรสทตดมากบจดหมายอเลคทรอนกสดวย ซงไวรสนสามารถ Execute ไดเมอผอานคลกเพอเปดไฟลนน

2.6.2.5 Hoax mail เปนรปแบบหนงของการกอกวนทมผลตอผใชคอมพวเตอรจานวนมาก โดยไวรสหลอกลวงพวกนจะมาในรปของจดหมายอเลกทรอนกส การสงขอความตอ ๆ กนไปผานทางโปรแกรมรบสงขอความ หรอหองสนทนาตาง ๆ ซงสามารถสรางความวนวายใหเกดขนไดมากหรอ นอยเพยงใด กขนกบเทคนค และการใชจตวทยาของผสรางขาวขนมา

2.6.3 Mail Spam / Bomb คออะไร

Spam mail คอ อเมลทเราไมตองการ เปนประเภทหนงของ Junk mail จดประสงคของ Spam mail นน ผสงสวนใหญตองการโฆษณาบรการตาง ๆ ทตวเองม สวนจดประสงคหลกของ Bomb mail คอ การกอกวนผรบหรอระบบเมลของเครองขายนน โดยทวไป Spam Mail เปนการสงอเมลแตละฉบบไปหาคนจานวนมาก สวน Bomb mail เปนการเมลจานวนมากไปหาคน ๆ หนงหรอระบบเมลใดระบบเมลหนง

2.6.4 วธการปองกน Spam

การสงอเมลเปนการสอสารทเสยคาใชจายนอยและสามารถเขาถงกลมผบรโภคไดจานวนมาก ผทสราง SPAM กคอพวกทตองการเขาถงกลมผบรโภคใหไดมากทสดเพอจดประสงคในการโฆษณาขายสนคา , ประชาสมพนธ ทางธรกจของตน จงใชวธการใหไดมาซงอเมลแอดเดรสของกลมผบรโภคทเปนกลมเปาหมาย ซงอาจเปนไดจากหลายกรณ เชน การทเราสงตออเมลตาง ๆ การใชอเมลแอดเดรสในการสมครสมาชกของกลมขาว (newsgroup) หรอสมครสมาชกของเวบไซตตาง ๆ เปนตน

SPAM เกดจากการทผสราง SPAM รจกอเมลแอดเดรสของเรา ดงนนการปองกนทตนเหตทดทสด คอการปองกนไมใหคนอนทไมจาเปนหรอไมเกยวของในตดตอรจกอเมลแอดเดรสของเรา แตถาหากเราไมสามารถปองกนทตนเหตไดตงแตแรก และเคยไดรบ SPAM อเมลมาแลว เรากตองหนมาปองกนทปลายเหต โดยใชความสามารถของอเมลไคลเอนท เชน Microsoft Outlook ในการกรอง SPAM อเมล หรอ/และรวมกบความสามารถของอเมลเซรฟเวอร เชน Microsoft Exchange หรอ ซอฟตแวร Anti-spam เพมเตมตามความเหมาะสม โดยออกแบบการปองกน SPAM ดงน ใช Outlook ในการกรองอเมล

21

SPAM หลกเลยงการตอบอเมล SPAM และไมควรสงตออเมลประเภท Chain e-mail หรอ Forward mail

2.6.5 การออกแบบการใชงานจดหมายอเลกทรอนกส

จากการวเคราะห ไดออกแบบใหระบบฯ ใชงานผานทาง Anti-virus Gateway คอ ระบบการปองกนและกาจดไวรสคอมพวเตอร ณ ตนทางเขาของอเมล เปนระบบกาจดไวรสแบบรวมศนย นนคอ เปนระบบทกาจดไวรสกอนทจะเขาถง อเมล Box หรอ อเมล Server ของทาน ซงระบบ Anti-virus Gateway น อาจจะรวมไปถงการปองกนและตรวจสอบจดหมายขยะ (SPAM) ดวยระบบการทางานของ Anti-virus Gateway นจะทาการตรวจสอบไวรสจากอเมลทกฉบบทงสงเขาและสงออกไป เพอตรวจจบและฆาไวรสทมปนมากบอเมลตาง ๆ รวมถงทปนมากบไฟลทแนบไปดวย หากอเมลฉบบใดตดไวรส กจะมการแจงเตอนไปยงผสง รวมถงจะมรายงานใหกบผดแลระบบเปนรายวน รายสปดาห และ รายเดอนอกดวย ซงจะทาใหบรการนเปนบรการทอานวยความสะดวกและความปลอดภยใหหนอยงานตางๆ ทใชอเมล ในการตดตอสอสารขอมลไดทางานอยางปลอดภย

22

บทท 3 ขนตอนการตดตงและบรหารจดการระบบ

ศนยสารสนเทศ กรมพฒนาทดน ไดมการจดแบงหมวดหมการดาเนนงานดานระบบ

สารสนเทศและคอมพวเตอร ออกตามลกษณะของงานและอปกรณทเกยวของ เปน 2 สวน คอ

3.1 การตดตงและบรหารงานระบบดานเครอขาย (Installation and Operation of the Network) ประกอบดวย

3.1.1 งานดานการบรหารจดการเครอขาย โดยใชระบบแลนเสมอน (Virtual LAN) 3.1.2 งานดานการควบคมเครอขาย โดยใชระบบรายการควบคมการเขาถงแอส

เซทคอนโทรลส (Access List Control) 3.1.3 งานดานการรกษาความปลอดภยเครอขาย โดยใชระบบอปกรณดานกนบก

รก (Hardware Firewall)

3.2 การตดตงและบรหารงานระบบดานคอมพวเตอร (Installation and Operation of the Computer) ประกอบดวยรปแบบเสมอน (Virtual)

3.2.1 งานดานการรกษาความปลอดภยคอมพวเตอร โดยใชระบบสวนชดคาสงดานกนบกรก (Software Firewall)

3.2.2 งานดานการรกษาความปลอดภยคอมพวเตอร โดยใชชดคาสงปองกนไวรสในทางคอมพวเตอร (Software Antivirus)

3.2.3 งานดานการบรหารจดการคอมพวเตอร โดยใชระบบเครองแมขายเสมอน (Virtual Machine (VM))

3.2.4 งานดานการบรการโดยใชระบบบรหารจดการการตดสนใจเชงพนท (Executive Information System: EIS ดานการพฒนาทดน)

รายละเอยดขนตอนและวธการปฏบตงานของระบบทง 2 สวนนน ตองทางานทเกยวของและสมพนธกน ไมไดมการแบงแยกเปนสวนใดสวนหนงอยางสนเชง เนองจากทกระบบถอเปนองคประกอบททาใหระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน ทางานไดอยางมประสทธภาพและมเสถยรภาพ

3.3 แผนภาพการบรหารระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน

3.1 การตดตงและบรหารระบบดานเครอขาย (Installation and Operation of the Network)

3.1.1 งานดานการบรหารจดการเครอขาย โดยใชระบบแลนเสมอน (Virtual LAN) 3.1.1.1 การตดตงระบบ Vlan VLAN คอ การแบงกลมของสวตซภายในเลเยอร 2 ทไมขนกบ ลกษณะทางกายภาพ

ใดๆกลาวแบบงาย ๆ กคอ เราไมจาเปนทจะตองนาสวตซมาตอกนเปนทอดๆ เพอจดกลมของสวตซวาสวตซกลมนคอ กลมเดยวกน แตเราสามารถทจะจดกลมให สวตซทอยหางไกลกนออกไปนน เปนสมาชกของสวตซอกกลมหนงทางแนวตรรกกะ (Logical Design) ไดในกระบวนการทางานของสวตซ เลเยอร 2

23

นน ถงแมวาตวสวตซเองจะสามารถลดปรมานของ โดเมนปะทะ (Collision Domain) ไปได ใหเหลอเพยง 1 Collision Domain ตอ 1 พอรทของสวตซ แลวกตาม แตทวา ทกพอรทของสวตซนน กยงคงม บรอดคาสทโดเมน (Broadcast Domain) อยด ซงหากวาเรานาสวตซมาตอกนหลาย ๆ จด และมการใชงาน บรอดคาสทโดเมนขนมา นนหมายถงวา กยงคงทจะมทราฟฟก (Traffic) ทเปนสวนเกนออกมาอยด ซง ทราฟฟกจาพวกนจะเปนตวททาใหระบบเนตเวรกเกดความลาชา และสนเปลอง CPU ในการประมวลผลของอปกรณดไวซตาง ๆ โดยไมจาเปน ซงการทา VLAN น จะมาชวยแกปญหาตรงจดนได เนองจากใน การทา VLAN น จะเปนการจากดวงของบรอดคาสทโดเมนใหอยภายในพอรท หรอ ดไวซทเรากาหนดเทานน ซงทราฟฟกจะไมถกสงผานไปยงบรอดคาสทโดเมนอน ๆ หากไมมการคอนฟกหรอปรบแตง เพมเตม และในทางการรกษาความปลอดภยในระบบเครอขายนน ทกพอรทของสวตซนน ถอวาเปน บรอดคาสทโดเมนเดยวกน ซงทราฟฟกทวงออกมาจากพอรทของสวตซทกพอรทนน สามารถทจะมองเหนเฟรมขอมลนนได หากวามใครสกคนหนงทาตวเปน สนฟเฟอรโหมด (Sniffer Mode) เพอดกจบขอมลไปได แตหากเมอมการทา VLAN แลว เราสามารถทจะควบคมทราฟฟกใหอยในเฉพาะขอบเขตทเราตองการได เชน ตองการให สวตซพอรทท 1-5 ของสวตซ 1 ซงอยชนท 1 เปนสมาชกเดยวกนกบ สวตซพอรทท 6-8 ของสวตซ 3 ทอยชนท 3 กเปนได โดยท ทราฟฟกจะไมถกสงออกไปยงพอรทอน ๆ ของสวตซตวมนเองและสวตซตวอนอก ซงเปนมาตรการในการรกษาความปลอดภยเบองตนของระบบเนตเวรก

ในการตดตงระบบ Vlan นน จะตองเขาไปกาหนดในอปกรณ Switch แบบ Managed ซงกรมพฒนาทดนมการใชงาน Cisco Switch เปนอปกรณหลกในการควบคมเครอขายของกรมฯ โดยในขนแรกจะตองรวบรวมขอมลของหนวยงานทงหมด วามจานวนทงสนกหนวยงาน เพอมาจดทาแผนงานการสราง Vlan ใหครบตามจานวนหนวยงาน จากนนจงเขาไปกาหนดคา Configuration ในอปกรณ Switch ตามชดคาสง ดงตอไปน

C6506-2557#configure terminal Enter configuration commands, one per line. End with CNTL/Z. C6506-2557(config)#vlan 400 C6506-2557(config-vlan)#name Test C6506-2557(config-vlan)# % Applying VLAN changes may take few minutes. Please wait... C6506-2557#conf t Enter configuration commands, one per line. End with CNTL/Z. C6506-2557(config)#interface vlan 400 C6506-2557(config-if)#ip address 10.1.40.254 255.255.255.0 C6506-2557(config-if)#description ## Vlan for Testing ## C6506-2557(config-if)# C6506-2557#show interfaces vlan 400 Vlan400 is administratively down, line protocol is down Hardware is EtherSVI, address is fc5b.3916.1500 (bia fc5b.3916.1500) Description: ## Vlan for Testing ## Internet address is 10.1.40.254/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,

24

reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive not supported ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec L2 Switched: ucast: 441 pkt, 33516 bytes - mcast: 0 pkt, 0 bytes L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes L3 out Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 interface resets 0 output buffer failures, 0 output buffers swapped out

จากชดคาสงเปนการสราง Vlan 400 สาหรบใชทดสอบการทางาน ซงในการกาหนด Vlan นน จะตองใหครบตามจานวนของหนวยงาน เนองจากจะตองกาหนด IP Address ของแตละหนวยงานอยคนละเครอขายกน เพอปองกนปญหาจาก broadcasting รบกวน และกรณทเครองใดเครองหนงในเครอขายเกดปญหาแลวสงผลกระทบกบเครอขายทงหมด

3.1.1.2 การบรหารจดการเครอขาย โดยใชระบบแลนเสมอน (Virtual LAN) ในการบรหารจดการเครอขายนน มความจาเปนทจะตองทาการแบงแยกเครอขาย

แตละหนวยงานออกจากกน เพอใหสามารถบรหารจดการแตละเครอขายไดอยางเปนเอกภาพและไมเกดปญหาการรบกวนการทางานของระบบเครอขายรวม โดยเครองมอทชวยในการบรหารจดการทเปนสากลและใชงานกนอยางแพรหลาย คอการแบงแยกเครอขายผานทางระบบวแอลเอเอน (VLAN) หรอแลนเสมอน (Virtual LAN) ซงเปนฟงกชน (Function) มาตรฐานสาหรบการจดการอปกรณสวทซในชนสอสารระดบ ท 2 (Managed Switch Layer 2) ทมการใชงานอยในปจจบน

วแอลเอเอน (VLAN) คอ การแบงกลมเครอขายของสวตซภายในเลเยอร 2 ทไมขนกบลกษณะทางกายภาพใดๆ แตสามารถจดกลมใหทางแนวตรรกะ (Logical Design) ซงการทาวแอลเอเอน (VLAN) น ชวยแกปญหาการใชงานบรอดคาสทโดเมน(Broadcast Domain) เนองจากในการทาวแอลเอเอน (VLAN) น เปนการจากดขนาดวงของบรอดคาสทโดเมนใหอยภายในพอรทหรอดไวซ (device) ทกาหนด ถอเปนมาตรการในการรกษาความปลอดภยเบองตนของระบบเครอขาย

25

ศนยสารสนเทศ กรมพฒนาทดน ไดแบงการทางานวแอลเอเอน (VLAN) ออกเปน 2 ประเภท คอ วแอลเอเอน (VLAN) จาแนกตามหนวยงาน และวแอลเอเอน (VLAN) จาแนกตามภารกจเฉพาะดาน

สาหรบ วแอลเอเอน (VLAN) ทมการใชงานในปจจบนมจานวน 32 วแอลเอเอน (VLAN) ไดแก

1. VLAN 1 = Native VLAN 2. VLAN 2 = DMC Zone 3. VLAN 3 = หองอบรม 4. VLAN 4 = ผบรหาร 5. VLAN 5 = สานกงานเลขานการกรม 6. VLAN 6 = กองการเจาหนาท 7. VLAN 7 = กองคลง 8. VLAN 8 = กองแผนงาน 9. VLAN 9 = กองสารวจดนและวจยทรพยากรดน 10. VLAN 10 = สานกวทยาศาสตรเพอ

การพฒนาทดน 11. VLAN 11 = สานกเทคโนโลยการสารวจ 12. VLAN 12 = กองนโยบายและแผนการ

และทาแผนท ใชทดน 13. VLAN 13 = กองวจยและพฒนาการจดการทดน 14. VLAN 14 = สานกวศวกรรมเพอการ

พฒนาทดน 15. VLAN 15 = กองเทคโนโลยชวภาพทางดน 16. VLAN 17 = หมอดนอาสา 17. VLAN 18 = หญาแฝก 18. VLAN 19 = ตรวจสอบภายใน 19. VLAN 24 = สานกผเชยวชาญ 20. VLAN 25 = อาคารปยหมก 21. VLAN 26 = หองประชม 22. VLAN 28 = IPPhone 23. VLAN 29 = Video Conference 24. VLAN 30 = ศนยสารสนเทศ 25. VLAN 33 = กลอง CCTV 26. VLAN 53 = ระบบ LDD Hot Spot 27. VLAN 54 = ระบบ LDD Hot Spot 28. VLAN 55 = ระบบ LDD Hot Spot 29. VLAN 70 = โครงการ GIN 30. VLAN 91 = NAS 31. VLAN 300 = Firewall 32. VLAN 301 = Firewall

ในการตดตงระบบ วแอลเอเอน (VLAN) ตองกาหนดคาคอนฟกเรชน (Configuration) ใหกบอปกรณสวทซ(Switch) ยหอซสโก (Cisco) ทกเครองทมการตอเชอม ซงประกอบดวยอปกรณกระจายสญญาณแบบหลก (Core Switch) ยหอซสโก (Cisco) รน 6506 อปกรณกระจายสญญาณแบบกระจาย (Distributed Switch) ยหอซสโก (Cisco) รน 3650 และ อปกรณกระจายสญญาณแบบเขาถง (Access Switch) ยหอซสโก (Cisco) รน 2960 ขนตอนแรกในการเรมตนใชงานจะตองใชวธการเขยนระบคาสงบนบรรทดคาสง (Command Line) ผานทางคอนโซล พอรต (Console Port) เพอกาหนดคาคอนฟกกเรชน (Configuration) จากนนเมอกาหนดคาการทางานเบองตนเรยบรอยแลว จงใชวธการ Remote ผานทางเครอขาย ซงงายตอการควบคมและตรวจสอบวาการกาหนดคาตาง ๆ ของระบบครบถวน

27

ขนตอนการตดตงและดาเนนการ 1) เชอมสายโรลโอเวอร (Rollover) ผานคอนโซล พอรต (Console Port) ของ

อปกรณสวทซ(Switch) ยหอซสโก (Cisco) เขากบเครองคอมพวเตอรควบคมระบบฯ 2) ตดตอกบระบบผานทางโปรโตคอลรปแบบซเคยวรชล (Secure Shell) 3) ระบบใหระบรหสผใชงาน (User) และรหสผาน (Password) ทใชงานใหใชคา

เรมตน อปกรณยหอซสโก (Cisco) ทกาหนดมาจากโรงงาน จากนนใหกาหนดคาหมายเลขอางองในการตดตอสอสาร (IP Address) สาหรบสวนตอประสาน (Interface) ทเปนชองทางการควบคม (Managed Port) กาหนดคารหสผใชงาน (User) และเปดใหสามารถใชงานรหสผาน (Enable Password) ทใชงาน จากนนใหบนทก (Save) และเรมตนระบบใหม (Restart) ระบบฯ เมอสามารถเชอมตออปกรณผานทางเครอขายแบบมสาย (LAN) ไดแลว ใหเขาสระบบ (Log-in) เขาไปในระบบ เพอทาการตงคาคอนฟกกเรชน (Configuration) ระบบ วแอลเอเอน (VLAN) ตอไป

3.1.2 งานดานการควบคมเครอขาย โดยใชระบบรายการควบคมการเขาถงแอสเซท

คอนโทรลส (Access List Control) 3.1.2.1 การตงคา Access List Control บนอปกรณเครอขาย Access Control List ( ACL ) คอ การกรอง packet ทจะเขาออก Router หรอ

Switch Layer 3 ใหเปนไปตามเงอนไขทเราตองการ และมสวนชวยในเรองของ IT Security แตมขอเสยคอไปเพม load cpu ใหกบ Router เพราะหนาทหลกของ Router คอการพา packet ไปใหถกเสนทางหรอการหาเสนทาง ไมใชทาหนาทกรอง packet และการตงคา ACL ทผดพลาด จะสงผลให Network มปญหาได การกรอง packet ควรจะเปนหนาทของ Firewall มากกวา แตสาหรบ Network ทไมใหญมาก การทาACL บน Router นนเปนทางเลอกหนงทสามารถทาได

การ Configuration ACL บน Router หรอ Switch Layer 3 นน ทาได 2 วธการ คอวธการแบบตวเลข และวธการแบบชอ (Name ACL) โดยมรปแบบการกาหนดคา Configuration ในอปกรณ ตามชดคาสง ดงตอไปน

ip access-list extended vlan11 deny udp any any eq 1900 deny tcp any any eq 1900 deny ip host 239.255.255.250 any deny ip any host 239.255.255.250 deny ip 192.168.0.0 0.0.255.255 any deny ip any 192.168.0.0 0.0.255.255 permit ip any host 203.148.250.189 permit ip host 10.1.11.252 any permit ip host 10.1.11.253 any permit ip host 10.1.11.254 any deny tcp any any eq 1935 permit ip host 10.1.11.1 10.0.0.0 0.255.255.255 permit tcp host 10.1.11.107 host 10.1.1.111

28

deny tcp any any eq 445 permit tcp any any eq 554 permit tcp any any eq 1755 permit tcp any any eq 1935 permit tcp any any eq 2638 permit tcp any any eq 3389 permit tcp any any eq 5060 permit tcp any any eq 5061 permit tcp any any eq 8005 permit tcp any any eq 8080 permit tcp any any eq 8081 permit tcp any any eq 8443 permit tcp any any eq 8888 permit tcp any any eq 9090 permit udp any any eq 8080 permit udp any any eq 8888 permit udp any any eq 9999 deny tcp any any eq 593 deny tcp any any eq 6667 deny udp any any eq 135 deny udp any any range 2000 65535 deny tcp any any range 2000 65535 permit tcp host 10.1.11.10 any eq 1863 permit tcp host 10.1.11.11 any eq 1863 permit tcp host 10.1.11.28 any eq 1863 permit tcp host 10.1.11.49 any eq 1863 permit tcp host 10.1.11.69 any eq 1863 permit tcp host 10.1.11.132 any eq 1863 permit ip 10.1.11.0 0.0.0.255 host 58.147.79.136 permit ip 10.1.11.0 0.0.0.255 host 203.144.194.45 permit ip 10.1.11.0 0.0.0.255 host 202.142.200.131 permit ip 10.1.11.0 0.0.0.255 host 61.19.249.103 permit ip 10.1.11.0 0.0.0.255 host 203.113.9.104 permit ip 10.1.11.0 0.0.0.255 host 203.113.9.105 permit ip 10.1.11.0 0.0.0.255 host 202.60.199.44 permit ip 10.1.11.0 0.0.0.255 host 203.146.250.200 permit ip host 10.1.11.222 10.0.0.0 0.255.255.255

29

จากชดคาสงเปนการสราง ip access-list extended vlan 11 สาหรบสานก

วทยาศาสตรเพอการพฒนาทดน จากนนจะนาชดคาสงของ ACL นไปประกาศกาหนดไวใน Vlan 11 เพอควบคมการใชงานของหนวยงานใหเปนไปตามทกาหนด ทงในสวนของ IP Address ทอนญาตใหใชงาน และ Protocol ทอนญาตใหใชงาน ทงนจะตองสราง ACL ใหกบทกหนวยงานเพอใหเปนไปตามมาตรฐานเดยวกน

3.1.2.2 การควบคมเครอขายโดยใชระบบแอสเซทคอนโทรลส (AccessList Control(ACL))

การควบคมเครอขายผานทางอปกรณสวทซในชนสอสารระดบท 3 (Managed Switch Layer 3) และอปกรณเราเตอร (Router) ยหอซสโก (Cisco) เพอใหมปรมาณขอมลผานชองทางของเครอขายในชวงเวลาหนงๆในปรมาณทเหมาะสม และจากดการใชงานใหเปนไปตามขอกาหนด จงไดมการนาระบบแอสเซทคอนโทรลส (Access List Control) ซงเปนฟงกชนการทางานของอปกรณยหอซสโก (Cisco) มาใชในการควบคมเครอขาย ใหสามารถทางานไดอยางมประสทธภาพ

การทางานของแอสเซทคอนโทรลส (Access List Control) คอ การกรองแพกเกต (packet) ทเขาออก อปกรณเราเตอร (Router) หรอ สวทซในชนสอสารระดบท 3 ใหเปนไปตามเงอนไขทกาหนดเพอควบคมการ ใชงานและชวยในเรองของการรกษาความปลอดภยเครอขาย แตมขอเสยคอเพมภาระการหนวยประมวลกลาง (Load central processing unit) ใหกบ อปกรณเราเตอร (Router) เพราะหนาทหลกของอปกรณเราเตอร (Router) คอการนาพาแพกเกต (packet) ไปใหถกเสนทางหรอการหาเสนทาง ไมใชทาหนาทกรองแพกเกต(packet) และการตงคาแอสเซทคอนโทรลส (Access List Control) ทผดพลาด อาจสงผลใหเครอขายมปญหาได แตการทา แอสเซทคอนโทรลส (Access List Control) บนอปกรณเครอขายสวทซในชนสอสารระดบท 3 นน เปนทางเลอกหนงทใชในการควบคมเครอขายใหมการทางานไดอยางมเสถยรภาพเพมขน

ศนยสารสนเทศ กรมพฒนาทดน มการนาระบบ แอสเซทคอนโทรลส (Access List Control) มาใชงานรวมกบระบบวแอลเอเอน (VLAN) เพอควบคมการ ใชงานระบบเครอขายของกรมพฒนาทดนใหเปนไปตามขอกาหนดทวางไว ไดแกการควบคมหมายเลขอางองในการตดตอสอสาร (IP Address) ของแตละวแอลเอเอน (VLAN) การควบคมการใชงานทซพพอรต (TCP Port) และยดพพอรต (UCP Port) และการควบคมการเชอมตอระหวางแตละ วแอลเอเอน (VLAN)

31

ขนตอนการตดตงและดาเนนการ 1) ตดตอกบระบบผานทางโปรโตคอลซเคยวรชล (Secure Shell) บนเครอง

คอมพวเตอรควบคมระบบ 2) ระบบจะใหระบรหสผใชงาน (User) และรหสผาน (Password) ทใชงาน

ใหใชคาทไดกาหนดไว 3) ทาการตงคาคอนฟกกเรชน (Configuration) ระบบเอซแอล (ACL) ตาม

ขนตอนตอไป

3.1.3 งานดานการรกษาความปลอดภยเครอขาย โดยใชระบบอปกรณดานกนบกรก (Hardware Firewall)

การรกษาความปลอดภยเครอขายเปนสงทมความสาคญเปนอยางมาก และตองปฏบตเปนอนดบแรกในการวางระบบเครอขาย โดยเครองมอมาตรฐานทนามาใชงานคอระบบดานกนบกรก (Firewall) ซงมทงแบบอปกรณทเปนสวนเครอง (Hardware) และชดคาสงทเปนสวนชดคาสง (Software) โดยทความสามารถหลกของดานกนบกรก (Firewall) ทง 2 แบบ คอ เปนจดควบคมขอมลจากเครอขายภายนอกหรอเครอขายอนเทอรเนต ทเขามาในเครอขายภายในขององคกร และเปนจดควบคมขอมลจากเครอขายภายในองคกร ทออกไปใชงานเครอขายภายนอกหรอเครอขายอนเทอรเนต โดยทดานกนบกรก (Firewall) ตองบงคบใหขอมลเครอขายเหลานเปนไปตามกฎและนโยบายความปลอดภยทองคกรกาหนด

Firewall หมายถง กาแพงกนไฟ ซงสรางไวปองกนไฟทไหมจากบรเวณหนงลกลามไปบรเวณอน เพราะฉะนนเมอนามาใชกบระบบเครอขายจะมลกษณะการทางานทคลายกน โดยทาหนาทปองกนอนตรายทมาจากอนเทอรเนต ซงตาแหนงการตดตงดานกนบกรก (Firewall) จะถกตดตงในจดทเครอขาย ภายในตดตอกบเครอขายภายนอกหรอเครอขายอนเทอรเนต

ศนยสารสนเทศ กรมพฒนาทดน ไดนาอปกรณดานกนบกรก (Hardware Firewall) มาใชงานรวมกบระบบชดคาสงดานกนบกรก (Software Firewall) โดยระบบอปกรณดานกนบกรก (Hardware Firewall) ทนามาใชงานคออปกรณยหอซสโก Cisco รน เอเอสเอ5540 (ASA 5540) ซงเปนผลตภณฑ อปกรณดานกนบกรก (Hardware Firewall) ทสามารถทางานตงแตชนสอสารระดบท 3 ( Layer 3 ) ชนเครอขาย (Network) ไปจนถงชนสอสารระดบท 7 (Layer 7) ชนโปรแกรมประยกต (Application) เพอรกษาความปลอดภยระบบเครอขายของกรมพฒนาทดน ใหเปนไปตามขอกาหนดทวางไว ไดแก การควบคมการเรยกใชงานเวบไซต (Website) ทเปนอนตราย การควบคมการใชงานการบรการอนเตอรเนต (Internet Service) การควบคมการใชงานเครอขายทางสงคม (Social Network) การควบคมการบรรจลง (Download) ขอมล การควบคมการบกรกจากใชงานจากเครอขายอนเทอรเนต และการควบคมโปรโตคอล (Protocol) การเชอมตอระหวางเครอขายอนเทอรเนตกบเครอขายภายในของกรมพฒนาทดนตามทมหนวยงานรองขอ

3.1.3.1 การตดตงระบบ Hardware Firewall การกาหนดคา Configuration ของระบบฯ ขนตอนแรกในการเรมตนใชงานจาเปน

จะตองใชวธการเขยนระบคาสงบน Command Lind ผานทาง Console Port ของอปกรณ เพอกาหนดคา IP Address และ User Permission ทในการใชเชอมตอกบระบบฯ จากนนเมอสามารถ

32

ตดตอผานทางเครอขาย LAN กบระบบฯไดแลว จงใชการเชอมตอผานเครอขาย เพอ Download และ ตดตง GUI (Graphic User Interface) Application และกาหนดคา Configuration ผานทางโปรแกรม Cisco ASDM Launcher ซงจะงายตอการควบคมและตรวจสอบวา การกาหนดคาตาง ๆ เปนไปตามทกรมพฒนาทดนไดกาหนดไวครบถวนหรอไม เนองจากการทางานของโปรแกรม จะแสดงคาการกาหนดตาง ๆ เปนรปภาพพรอมคาอธบาย สวนในการทางานเบองหลงของโปรแกรมจะแปลงคาทกาหนดไวทงหมด ไปเปน Source Code บน Command Lind เพอควบคมการทางานบนระบบอกครงหนง

ขนตอนการตดตง 1) เชอมสาย Rollover ผาน Console Port ของอปกรณ ASA เขากบเครอง

คอมพวเตอรควบคมระบบฯ 2) ตดตอกบระบบผานทางโปรแกรม SSH (Secure Shell) 3) ระบบจะใหระบ User Password ทใชงาน ใหใชคาเรมตน Cisco ทมาจาก

โรงงาน

ภาพท 2 การระบ Username เพอเชอมตอระบบ

4) ใหกาหนดคา IP Address สาหรบ Interface ทเปน Managed Port กาหนดคา User และ Enable Password ทจะใชงาน จากนนให Save และ Restart ระบบฯ

ภาพท 3 การใชโปรแกรม SSH เชอมตอระบบ

33

เมอสามารถเชอมตอผานทางเครอขาย LAN ไดแลว ตอสาย LAN เขากบ Port Managementของอปกรณ ASA จากนนให Log-In เขาไปในระบบฯ เพอDownload Application ASDM Launcher ทใชในการควบคมแบบ GUI (Graphic User Interface) มาตดตง ไวทเครองคอมพวเตอร ทควบคมระบบฯ ตามขนตอนดงตอไปน

5) เปดโปรแกรม Internet Browser และระบ URL ไปท IP Management ของระบบ

ภาพท 4 การใชโปรแกรม Internet Browser เชอมตอระบบ 6) ปรากฏหนาตาง Untrusted Connection ใหเลอก I Understand the Risks

จากนนกดปม Add Exception

ภาพท 5 การใชโปรแกรม Internet Browser เชอมตอระบบ

34

7) ปรากฏหนาตาง Add Security Exception ใหกดปม Get Certificate จากนนกดปม Confirm Security Exception

ภาพท 6 การ Confirm Security Exception 8) ปรากฏหนาตาง Cisco ASDM 6.1 ใหกดปม Install ASDM Launcher and

run ASDM จะ ปรากฏหนาตาง Authentication Required ใหระบ User และPassword ทสามารถเรยกใชงานระบบ จากนนจะเปนการ Download File ชอ ASDM- Launcher.MSI ซงเปนไฟลทใชในการตดตง มาเกบไวในเครอง ใหคลกทไฟลเพอเรมตนการตดตง จนจบขนตอนตามภาพดานลาง

ภาพท 7 การ Install ASDM Launcher

35

ภาพท 8 การ Authentication ASDM Launcher

ภาพท 9 ผลการ Download ASDM Launcher

ภาพท 10 การ Open Executable File

ภาพท 11 Security Warning

36

ภาพท 12 การตดตงโปรแกรม ASDM Launcher



37

ภาพท 15 ผลการตดตงโปรแกรม ASDM Launcher ในการกาหนดคา Configuration ตาง ๆ จะมลกษณะการกาหนดอย 2 รปแบบ คอ

กาหนดให Packet ผานได และกาหนดให Packet ผานไมได ซงการจะกาหนดใหผานหรอไมใหผาน ขนอยกบ Policy ทกรมพฒนาทดนวางไว และความจาเปนทใชในการตดตอสอสารระหวางเครอขาย ตาง ๆ ทกาหนดขนมา เชนการตดตอระหวางอปกรณ IPPhone ใช Protocol H.323 Port 1719 และ 1720 การใหบรการของเครองแมขายทตองใชงาน เชนการใหบรการเครองแมขายเมล ใช Protocol SMTP Port 25 การใหบรการเครองแมขายเวปใช Protocol HTTP Port 80 หรอการใหบรการเครองแมขาย DNS ใช Protocol HTTP Port 53 โดยมขนตอนตวอยางการกาหนดคาตาง ๆ โดยสงเขป ดงน

9) เรยกโปรแกรม Cisco ASDM Launcher ขนมาใชงาน ระบบฯ จะใหระบ IP ของระบบฯทจะเขาใชงาน และตองระบ User และPassword ทมสทธเรยกใชงาน

ภาพท 16 การเรยกใชงานโปรแกรม ASDM Launcher

38

10) ปรากฏหนาตาง Cisco ASDM 6.1 ขนมาดงรป

11) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Device

Setup และเลอกเมนยอยมาท Interface เพอใหกาหนดคา Zone ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดคาเครอขายตาง ๆ ใหระบบ)

ภาพท 18 การกาหนดคา Interface Cisco ASDM 6.1 for ASA

ภาพท 17 การใช งานโปรแกรม Cisco ASDM 6.1 for ASA

39

12) การกาหนดคา Zone ตางๆของระบบฯ ทาไดโดยในสวนของรายการ Interface ของจอแสดงดานขวา ใหดบเบลคลกเลอก Interface ทตองการกาหนดจากนนจะปรากฏหนาตาง Edit Interfaceใหระบคาคณสมบตตามทไดออกแบบไว จากนนกดปม OK

ภาพท 19 การกาหนดคา Interface Cisco ASDM 6.1 for ASA

13) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Device Setup และเลอกเมนยอยมาท Routing เพอใหกาหนดคา Routing Table ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการระบเสนทางการ Route ของแตละเครอขาย)

ภาพท 20 การกาหนดคา Routing Cisco ASDM 6.1 for ASA

40

14) การกาหนดคา Routing ตาง ๆ ของระบบฯ ทาไดโดยในสวนของรายการ Routing ของจอแสดงดานซายมอใหเลอก Routing Protocol ทตองการ จากนน ใหดบเบลคลกเลอก Interface ทตองการกาหนดดานขวามอ จากนนจะปรากฏหนาตาง Edit Protocol Routeใหระบคาคณสมบตตามทไดออกแบบไว จากนนกดปม OK

ภาพท 21 การกาหนดคา Routing Protocol Cisco ASDM 6.1 for ASA


41



42

15) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Access Rules เพอใหกาหนดคา Access Rules ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดคา Packet Permission ใหแตละเครอขาย ตาม Policy ทไดมการออกแบบไว)

ภาพท 25 การกาหนดคา Access Rules Cisco ASDM 6.1 for ASA 16) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall

และเลอกเมนยอยมาท NAT (Network Address Translate) Rules เพอใหกาหนดคา NAT Rule ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดคาใหเครองแมขายบรการ สาหรบใหบรการเครอขายภายนอก)

ภาพท 26 การกาหนดคา NAT Rules Cisco ASDM 6.1 for ASA

43

17) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Service Policy Rules เพอใหกาหนดคา Service Policy Rule ตาง ๆ ของ กรมพฒนาทดน ตามทไดออกแบบไว

ภาพท 27 การกาหนดคา Service Policy Rules Cisco ASDM 6.1 for ASA

18) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall

และเลอกเมนยอยมาท AAA Rules เพอใหกาหนดคา AAA Rule ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดรปแบบการ Authentication ของระบบ)

ภาพท 28 การกาหนดคา AAA Rules Cisco ASDM 6.1 for ASA

44

19) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Filter Rules เพอใหกาหนดคา Filter Rule ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดตวคดกรองยอย เพอใชในการทางานตาม Policy)

ภาพท 29 การกาหนดคา Filter Rules Cisco ASDM 6.1 for ASA 20) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall

และเลอกเมนยอยมาท URL Filtering Servers เพอใหกาหนดคา URL Filter Rule ตาง ๆ ของ กรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดตวคดกรองยอย เพอใชในการเรยกDomain Name ผาน Browser ตาม Policy)

ภาพท 30 การกาหนดคา URL Filtering Servers Cisco ASDM 6.1 for ASA

45

21) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Threat Detection เพอใหกาหนดคา Threat Detect Rule ของกรมพฒนาทดนตามทไดออกแบบไว (เปนการกาหนดคาการตรวจสอบรปแบบไวรส)

ภาพท 31 การกาหนดคา Threat Detection Cisco ASDM 6.1 for ASA

22) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Objects เพอใหกาหนดคา Objects ตาง ๆ ของกรมพฒนาทดน ตามทไดออกแบบไว (เปนการกาหนดคา Objects ทนามาใชงานตาม Policy)

ภาพท 32 การกาหนดคา Objects Cisco ASDM 6.1 for ASA

46

23) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Firewall และเลอกเมนยอยมาท Advanced เพอใหกาหนดคาคาสงระดบ Advanced Rule ตาง ๆ ของ กรมพฒนาทดน ตามทไดออกแบบไว

ภาพท 33 การกาหนดคา Advanced Rule Cisco ASDM 6.1 for ASA 24) เลอกแถบเมน Monitoring จากนนในชองดานซายมอ เลอก

Interface Graphs และเลอกเมนยอยมาท Interface ทตองการ Monitor ในจอดานขวามอชอง Available Graphs กาหนดสงทตองการตรวจสอบ จากนนกด Show Graphs เพอใชในการตรวจสอบ Monitoring

ภาพท 34 การกาหนดคา Monitor Interface Cisco ASDM 6.1 for ASA

47

ภาพท 35 การกาหนดคา Monitor Interface Cisco ASDM 6.1 for ASA

25) เลอกแถบเมน Monitoring จากนนในชองดานซายมอ เลอก Routing และ

เลอกเมนยอยมาท Routes ในจอดานขวามอ จะแสดงคา Routing ทงหมดทกาหนดไวเพอทาการตรวจสอบ

ภาพท 36 การกาหนดคา Monitor Routing Cisco ASDM 6.1 for ASA

48

26) เลอกแถบเมน Monitoring จากนนในชองดานซายมอ เลอก Logging และเลอกเมนยอยมาท Real-Time Log Viewer ในจอดานขวามอ จะแสดงคา Logging Level ใหระบ Level ของ Log ทตองการ Monitor จากนนกดปม View

ภาพท 37 การกาหนดคา Monitor Logging Cisco ASDM 6.1 for ASA

ภาพท 38 การกาหนดคา Monitor Logging Cisco ASDM 6.1 for ASA

49

27) เลอกแถบเมน Configuration จากนนในชองดานซายมอ เลอก Device Management และเลอกเมนยอยมาท Management Access เพอกาหนดคาการจดการยอย เชน ASDM/HTTPS/Telnet/SSH , Command Line , File Access , ICMP, Management Interface , SNMP , Management Access Rules เพอใชในการตรวจสอบระบบ

ภาพท 39 การกาหนดคา Device Management Cisco ASDM 6.1 for ASA

51

ขนตอนการตดตงและดาเนนการ 1) เชอมสายโรลโอเวอร (Rollover) ผานคอนโซล พอรต (Console Port) ของ

อปกรณดานกนบกรก (Hardware Firewall) เขากบเครองคอมพวเตอรควบคมระบบฯ 2) ตดตอกบระบบผานทางโปรโตคอลรปแบบซเคยวรชล (Secure Shell) 3) ระบบใหระบรหสผใชงาน (User) และรหสผาน (Password) ทใชงานใหใชคา

เรมตน ยหอซสโก (Cisco) ทกาหนดมาจากโรงงาน จากนนกาหนดคาหมายเลขอางองในการตดตอสอสาร (IP Address) สาหรบสวน ตอประสาน (Interface) ทเปนชองทางการควบคม (Managed Port) กาหนดคารหสผใชงาน (User) และเปดใหสามารถใชงานรหสผาน (Enable Password) ทใชงาน เพอกาหนดคาสทธ (Permission) ทในการใชเชอมตอกบระบบ จากนนเมอสามารถตดตอผานทางเครอขายแลน (LAN) กบระบบไดแลว จงใชการเชอมตอผานเครอขาย เพอ บรรจลง (Download) และ ตดตงโปรแกรมสวนตอประสานกราฟฟกกบผใช (Graphical user interface (GUI) และการกาหนดตงคาคอนฟกกเรชน (Configuration) ผานทางโปรแกรมซสโก เอเอสดเอมรนเชอร (Cisco ASDM Launcher) เพอทาการกาหนดคาคอนฟกกเรชน (Configuration) ระบบ อปกรณดานกนบกรก (Hardware Firewall) ตอไป

3.2 การตดตงและบรหารงานระบบดานคอมพวเตอร (Installation and Operation of the Computer) ประกอบดวยรปแบบเสมอน (Virtual)

3.2.1 งานดานการรกษาความปลอดภยคอมพวเตอร โดยใชระบบสวนชดคาสงดานกนบกรก (Software Firewall)

ศนยสารสนเทศ กรมพฒนาทดน นาระบบชดคาสงดานกนบกรก (Software Firewall) มาใชงานรวมกบระบบ อปกรณดานกนบกรก (Hardware Firewall) เพอรกษาความปลอดภยระบบเครอขายใหเปนไปตามขอกาหนดทวางไว ไดแก การควบคมการเรยกใชงานเวบไซต บรการตางๆของกรมพฒนาทดน การควบคมการใชงานอนเตอรเนต ผานทางเครองบรการแทน (Proxy Server) และการควบคมการเชอมตอระหวางเครอขายภายในของกรมพฒนาทดนกบวแอลเอเอน (VLAN) ของเครองแมขายบรการ

ระบบชดคาสงดานกนบกรก (Software Firewall) ทนามาใชงานคอไมโครซอฟ อนเตอรเนต ซเคยวรต แอนด เอคแซวเรชน เซฟเวอร ( Microsoft Internet Security and Acceleration Server (ISA Server)) ซงเปนผลตภณฑโปรแกรมประยกตดานกนบกรก (Application Firewall) และแคชชงเซฟเวอร (Caching Server) ของบรษทไมโครซอฟทททางานบนระบบปฏบตการวนโดวเซฟเวอร (Windows Server) ซงมความสามารถในดานการควบคม การใชงานแบบกาหนดนโยบาย (Policy Based) และมความสามารถดานการทาเปนแคชชงเซฟเวอร (Caching Server) เพอใหการบรการแทน (Proxy Service) ได

52

3.2.1.1 การตดตงระบบ Software Firewall Microsoft Internet Security and Acceleration Server (ISA Server) เปน

ผลตภณฑ Application Firewall และ Catching Server ของบรษทไมโครซอฟร สาหรบองคกรททางานบนระบบปฏบตการ Windows Server ซงมความสามารถในดานการควบคม การใชงานแบบกาหนดนโยบาย (Policy Based) ทาใหระบบเครอขายมประสทธภาพโดยรวมสงขน และมความสามารถดานการจดการเครอขายโดยท ISA Server ม 2 เอดชน ซงถกออกแบบมาเพอใหเหมาะกบการใชงานในรปแบบตาง ๆ ขององคกร ไมวาจะตดตงในรปแบบแยกองคประกอบตางๆ ออกจากกนหรอในรปแบบรวม Firewall และ Catching Server ในแมขายเครองเดยวและสามารถจดการเกยวกบความปลอดภยและการเขาใชงานอนเทอรเนตไดดวยคอนโซลเดยว

3.2.1.2 การกาหนดคา Configuration ISA Server 1) กาหนด IP Address ของกรมพฒนาทดน โดยคลกขวาท My Network

Places แลวเลอก Intranet right port properties แลวคลกท Internet Protocol Properties ใส IP address เปน 10.1.1.248 และสามารถเพม DNS Server โดยคลกปม Advanced แลวคลกปม add เพอเพม address ของ DNS Server

ภาพท 40 การกาหนดคา DNS Server

2) ท External port Properties กาหนด IP address เปน 10.200.1.249 และ DNS Server เปน 203.146.115.4

53

ภาพท 41 การกาหนดคา DNS Server

3) ท Advanced TCP/IP Settings สามารถเพม IP address ไดโดยกดปม Add และ gateway เปน 10.200.1.251

ภาพท 42 การกาหนดคากาหนดคา IP

54

4) ท Advanced TCP/IP Settings สามารถลบ IP address ไดโดยกดปม Remove และแกไขโดยกดปม Edit

ภาพท 43 การกาหนดคากาหนดคา IP

5) เปดโปรแกรม ISA Management โดยคลกทปม Start > Programs > Microsoft > ISA Server > ISA Management

ภาพท 44 การใชงานโปรแกรม ISA

55

6) จะปรากฏหนาตางโปรแกรม ISA Management เพอใชกาหนดคาของ ISA Server ในการปองกนความปลอดภย เชน กาหนด policy security (นโยบายทใชเพอปองกนความปลอดภย) แลวใหคลกทปม Getting Started Wizard

ภาพท 45 การใชงานโปรแกรม ISA

7) จะปรากฏหนาตางโปรแกรมดงรป

ภาพท 46 การใชงานกาหนดคาโปรแกรม ISA

56

8) ใหคลกท Select policy elements เพอคลกเลอกนโยบายทใชควบคมในการ access ขอมลใน Internet (ในทนเลอกทกชอง แลวคลกปม OK)

ภาพท 47 การใชงานกาหนดคา Policy Element โปรแกรม ISA

9) ใหคลกท Configure Schedulers และท work hours คลกขวาเลอก work hours Properties เพอกาหนดตารางเวลาในการทางานโดยคลกเลอกเซลลในวนและเวลาทตองการ จากนนเลอกปมเรดโอตามเงอนไข ซงม 2 อยางคอ เลอก Active เพอเพมชวงวนและเวลานนเขาไปในตารางเวลาใชงาน หรอ เลอก Inactive เพอยกเลอกวนและเวลานนในตารางเวลาใชงาน

ภาพท 48 การใชงานกาหนดคา Schedule โปรแกรม ISA

57

10) ใหคลกท Configure Client Sets เพอกาหนดกลมของเครองลกโดยระบ IP address

ภาพท 49 การใชงานกาหนดคา Client Sets โปรแกรม ISA

11) ใหคลกท Configure Protocol Rules เพอกาหนดกฎทอนญาตใหเครองลกใดบางใชงาน

ภาพท 50 การใชงานกาหนดคา Protocol Rules โปรแกรม ISA

58

12) ใหคลกท Configure Destination Sets เพอกาหนด Destination Sets ทตองการ

ภาพท 51 การใชงานกาหนดคา Destination Sets โปรแกรม ISA

13) ใหคลกท Configure Site and Content Rules เพอกาหนดกฎทอนญาตหรอปฏเสธใหใชงาน Internet

ภาพท 52 การใชงานกาหนดคา Site and Content Rules โปรแกรม ISA

59

14) ท Set Configuration เพอใชกาหนด access policy, network configuration และ cache properties

ภาพท 53 การใชงานกาหนดคา Configuration โปรแกรม ISA 15) คลกท Servers and Arrays เพอกาหนดคา network connection,

security และ policy

ภาพท 54 การใชงานกาหนดคา Servers and Arrays โปรแกรม ISA

60

16) ท Internet Security and Acceleration Server ใหคลกขวาเลอก Back Up and Restore เพอใชกาหนดคา Configure ของการ Back Up และ Restore

ภาพท 55 การใชงานกาหนดคาBackup and Restore โปรแกรม ISA

17) ท Servers and Arrays คลกขวาเลอก Monitor Servers and Arrays เพอใชดคาเตอน (Alerts) , sessions ททางานอยซงชวยในการจดการและวเคราะหการทางานของ Server

ภาพท 56 การใชงานกาหนดคา Monitor Servers and Arrays โปรแกรม ISA

61

3.2.1.3 การใชงานโปรแกรม 1) เปดโปรแกรม ISA Server โดยคลกไปท Program > Microsoft ISA Server >

ISA Management

ภาพท 57 การเรยกใชงานโปรแกรม ISA (1)

2) เมอเปด ISA Management แลวจะปรากฏภาพดงรป ใหคลกไปท Server and Arrays


62

3) แลวใหคลกท LDDFW > Monitoring > Alerts เพอใชดสงทโปรแกรมเตอนเกยวกบการทางานตาง ๆ


4) คลกท Services เพอดบรการทมและ Services ททางานบาง และสามารถสตารทและสตอปเซอรวสตาง ๆ ไดโดยเลอกทเซอรวสทตองการ แลวคลกขวาเลอกปอปอปเมน Start , Stop หรอ Restart เนองจากเซอรวส ISA Server Control Service เปนเซอรวสทเซอรวสอนๆ ตองใชงานดวย


63

5) คลกท Sessions เพอใชด Sessions ใดทกาลงทางานอยบาง


6) คลกท Reports เพอดรายงานทตองการด โดยใน detail pane ฝงขวาเลอก Report Job ทคณไดสรางไวกอนหนานแลวดบเบลคลกหรอคลกขวาแลวเลอกปอปอปเมน Open จะมรายงานแสดงใน web browser


64

7) คลกท Server publishing rules เพอใชดกฎตาง ๆ ทใชในการปองกนการใชงาน Internet


66

ขนตอนการตดตงและดาเนนการ 1) ตดตงวนโดวเซฟเวอร 2003 (Windows Server 2003) บนเครอง

คอมพวเตอรควบคมระบบ 2) ทาการตดตงโปรแกรมไอเอสเอ 2006 (ISA 2006) เมอตดตงเสรจใหเรมตน

ระบบใหม Restart เครอง 3) เปดโปรแกรมไอเอสเอ 2006 (ISA 2006) จากนนกาหนดคาตงคาคอนฟก

กเรชน ตามทไดกาหนดไว

3.2.2 งานดานการรกษาความปลอดภยคอมพวเตอร โดยใชชดคาสงปองกนไวรสในทางคอมพวเตอร (Software Antivirus)

ศนยสารสนเทศ กรมพฒนาทดน นาโปรแกรมปองกนไวรสในทางคอมพวเตอร (Antivirus) มาใช โดยการตดตงบนเครองคอมพวเตอรทงหมด เพอรกษาความปลอดภยของระบบคอมพวเตอรจากการถกโจมตโดยไวรสในทางคอมพวเตอร หรอโปรแกรมประสงครายตางๆ (Malware) โดยเปนไปตามขอกาหนดดานการรกษาความปลอดภยทวางไว ไดแก การปองกนการตดไวรสในทางคอมพวเตอร จากไฟลอนตรายตางๆ การสแกนตรวจหาไวรสในทางคอมพวเตอร แบบตลอดเวลา (Real Time) การปรบปรงฐานขอมลไวรสในทางคอมพวเตอรแบบอตโนมต และการปองกนไวรสในทางคอมพวเตอร ทบนเครองแมขายบรการทงหมด

โปรแกรมปองกนไวรสในทางคอมพวเตอร (Antivirus) ทนามาใชคอโปรแกรมอเอสอท เอนพอยท ซเคยวรต (ESET Endpoint Security) ซงเปนผลตภณฑปองกนไวรสในทางคอมพวเตอร (Antivirus) ของบรษท ESET ททางานบนระบบปฏบตการ Windows มความสามารถในดานการควบคมการปองกนไวรสในทางคอมพวเตอร ทงหมด รวมทงมฟงกชนดานการปองกนการบกรกจากโปรแกรมทไมประสงคด (Intrusion Prevent System) การใชงานแบบกาหนดนโยบาย (Policy Based) และมความสามารถดานการทาเปนแอนตไวรสเซฟเวอร (Antivirus Server) เพอใหบรการแอนตไวรส (Antivirus) ได

3.2.2.1 ขนตอนการตดตงและดาเนนการ ขนตอนในการตดตงและดาเนนการโปรแกรมอเอสอท เอนพอยท ซเคยวรต (ESET

Endpoint Security) เพอใหโปรแกรมสามารถทางานบนเครองคอมพวเตอรได ใหปฏบตตามขนตอนดงตอไปน

67

1) เปดโปรแกรมการตดตง จะปรากฏหนาจอยนยนการตดตง ใหกด Next

ภาพท 64 การตดตงโปรแกรม ESET Endpoint Security

2) หนาจอแสดงขอกาหนด ใหทาเครองหมายทปม I Accept จากนนกด Next

ภาพท 65 ขอกาหนดโปรแกรม ESET Endpoint Security

68

3) หนาจอโหมดการตดตง ใหทาเครองหมายทปม Typical จากนนกด Next

ภาพท 66 โหมดการตดตงโปรแกรม 4) หนาจอยนยนสทธของโปรแกรม ใหระบรหสผใชงาน (Username) และรหสผาน

(Password) ของกรมพฒนาทดน จากนนกด Next ทหนาจอการแจงเตอน ใหทาเครองหมายทปม I agree จากนนกด Next

ภาพท 67 การยนยนสทธของโปรแกรม

69

5) หนาจอการเชอมโยงขอมลเชงวเคราะหทรวบรวมขอมลในการปองกนไวรส ใหคลก Next

ภาพท 68 การเชอมโยงขอมลเชงวเคราะหทรวบรวมขอมลในการปองกนไวรส

6) หนาจอตรวจจบโปรแกรมประสงคราย ใหเลอกท Enable detection จากนนกด Next ทหนาจอแสดงความพรอมการตดตง ใหกด Install

ภาพท 69 การตรวจจบโปรแกรมประสงคราย

70

7) หนาเตรยมพรอมในการตดตงโปรแกรม ใหคลก Install เพอตดตงโปรแกรม

ภาพท 70 การตดตงโปรแกรม

8) เมอปรากฏหนาจอยนยนการตดตงเสรจสน ใหกดปม Finish จากนนใหเรมตนระบบใหม (Restart) เครองคอมพวเตอรเพอใหเซอวส (Service) ตางๆของโปรแกรมทางานไดอยางสมบรณ

ภาพท 71 การยนยนการตดตงเสรจสน

71

3.2.2.2 การบรหารจดการระบบปองกนไวรส 1) ตดตงโปรแกรมปองกนไวรสบนเครองแมขายบรการทงหมด 2) จดทาแผน Backup/Recovery พรอมดาเนนการทดสอบทกเดอน 3) ในสวนของเครองแมขายใหปองกนการ Boot จากอปกรณภายนอกดวยการ

BIOS ให Boot จาก Hard disk เปนอนดบแรกเสมอ 4) ไมเปดโปรแกรม Browser เพอเรยกใชงาน Internet ยกเวนการเขา

Website ของ Microsoft 5) ตดตามความเคลอนไหว การเตอนภยและขอแนะนาตางๆ อยางใกลชดจาก

Website ปองกน Virus 6) พยายามตดตามความเคลอนไหวของการปรบปรงในสวนรกษาความ

ปลอดภยของโปรแกรม ทใชงานผานเครอขาย 7) สแกนไวรสอยางสมาเสมอ โดยตงคาใหทางานแบบออโตเมตก อยางนอย

สปดาหละ 1 ครง

3.2.3 การบรหารจดการคอมพวเตอร โดยใชระบบเครองแมขายเสมอน (Virtual Machine: VM)

3.2.3.1 การใชงานระบบ Virtual Machine Server (เครองแมขายเสมอน) การใชงานระบบเครองแมขายเสมอน (Virtual Machine (VM)) นน ตองเขาใจ

ความหมายของคาวาเวอรชวลไลเซชน (Virtualization) ซงหมายถง การจาลองเครองเสมอนดวยซอฟตแวร ททาใหคอมพวเตอรหนงเครอง สามารถทางานเปนเครองเสมอนหลายๆ ระบบได โดยแตละระบบมทรพยากรหนวยความจา ฮารดดสก และอปกรณเครอขายเสมอนทเปนอสระตอกน เครองเสมอนแตละเครอง จงสามารถมระบบปฏบตการและซอฟตแวรเปนของตนเองโดยอสระ และแตละเครองทาการคดลอก (copy) ขอมลระบบปฏบตการ (operating system) ถกตดตงสเครองแมขายเสมอน (Virtual machine) เครองแมขายเสมอน (Virtual Machine) คอระบบปฏบตการททาใหสามารถใชซอฟตแวร เพอจาลองการทางานของคอมพวเตอรเครองอน เสมอนมคอมพวเตอร 2 เครอง หรอมากกวานน ซอนกนอยในคอมพวเตอรเพยงเครองเดยว ประโยชนของการจาลองในลกษณะน เชน ใชในการทดสอบการลงโปรแกรมใหมๆ เพราะการทางานเสมอนเปนคอมพวเตอรอกตวหนง ซงถาเกดความผดพลาดใดๆ จะไมมผลตอตวระบบปฏบตการคอมพวเตอรระบบหลก ในภาพรวมของไฮเปอรไวเซอร (Hypervisor) มแฟมเอกสารหลก (main file) ดงน Configuration file, Virtual disk file, NVRAM setting fileและLog file

เวอรชวลไลเซชน (Virtualization) แบงออกไดเปน 2 ประเภท คอ 1. โฮส ออฟเปอเรตง ซสเตม เบส Host Operating System-Based

เวอรชวลไลเซชน (Virtualization) ประเภทน ตองใชระบบปฏบตการ (Operating System) ประเภทวนโดว (Windows) หรอ (ลนกซ) Linux เพอใชในการตดตงบนเครองคอมพวเตอรตวอยางเชน โปรแกรม วเอมแวรเซฟเวอร (VMware Server) โปรแกรมวเอมแวร เวคสเตชน (VMware Workstation)

2. เบสเมทเทลไฮเปอรไวเซอร Bare-Metal Hypervisor เบส เมทเทล ไฮเปอร ไวเซอรซสเตม (Bare-metal hypervisor system) เปน

ระบบ (system) ทไมจาเปนตองใชระบบปฏบตการ (operating system) ในการตดตง เพราะ

72

ตวไฮเปอรไวเซอร (Hypervisor) คอ ระบบปฏบตการ (operating system) ดวยตวมนเองอยแลว จงสามารถใชงานไดทนท

ศนยสารสนเทศ กรมพฒนาทดน นาระบบเครองแมขายเสมอน (Virtual Machine: VM) มาใชแทนเครองแมขายเดมทมอายการใชงานมาเปนเวลานาน และใชกบเครองแมขายบรการทตดตงใหม เพอลดคาใชจาย โดยการลดจานวนเซรฟเวอรฮารดแวรทตองใชงาน ลดการใชพลงงานจากการใชคอมพวเตอรหลายๆเครอง ลดคาไฟ ลดคาบารงรกษา ชวยใหการจดสรรทรพยากรภายในเครองเปนไปไดอยางคมคา ชวยใหสามารถประมวลผลหลายๆแพลตฟอรม (platform) บนเครองเดยวกนได และชวยลดเวลาในการตดตงระบบปฏบตการและแอบพลเคชน ในการสรางแมขายเสมอน (Virtual Machine) โดยการสาเนาหรอโคลน (Clone) จากแมแบบเครอง แมขายเสมอน (Virtual Machine Template) ระบบเครองแมขายเสมอน (Virtual Machine: VM) ทนามาใชคอโปรแกรม วเอมแวร (VMware) ทสามารถทางานแบบโฮส ออฟเปอเรตง ซสเตมเบส เวอรชวลไลเซชน (Host Operating System-Based Virtualization) บนระบบปฏบตการวนโดวเซฟเวอร (Windows Server) และสามารถทางานแบบเบสเมทเทลไฮเปอรไวเซอร (Bare-Metal Hypervisor) ทมระบบปฏบตการเปนของตนเองได รวมทงมฟงกชนชวยใหการทางานของเวอรชวลเมชชนเซอวส (Virtual Machine Service) มความสะดวกในการตดตงและบรหารงาน

3.2.3.2 คณสมบตและประโยชนของ Virtual Machines 1) Isolation: ระบบปฏบตการ และ ระบบปฏบตการหลายๆ ชนด สามารถ

ทางานไดอยบนคอมพวเตอร เพยงเครองเดยว โดยทแตละระบบปฏบตการ ทางานแยกกนอยอยางอสระ 2) Standardization: ฮารดแวรทแสดงอยใน Virtual Machine นนจะถก

แสดงในลกษณะทมาตรฐาน ซงหมายถง Virtual Machine ททางานอยนน จะมองฮารดแวรตวใดๆ กตามเหมอนกนทงหมด ไมวามนจะแตกตางกนในเชงฮารดแวรจรงเพยงใด

3) Consolidation: หลกการของ Virtual Machines นนยงเปนสวนหนงของการสนบสนนการใชงานทเรยกวา consolidation หรอการรวม และขจดสงทไมจาเปนออก รวมทงการใชงานฮารดแวรใหมประสทธภาพมากยงขน ซงการ consolidation นเอง ทาใหการบรการจดการงายขน

4) Ease of Testing: การทาการทดสอบ ไมวาจะเปนการทดสอบระบบซอฟตแวรใหม บนระบบปฏบตการทตางกนหรอเหมอนกน ทาไดงายและไมกวน production system เลย

5) Mobility: การยายตวระบบปฏบตการทเปน Virtual Machine นนทาไดงายมาก เชนการยายขามฮารดแวรไปทางานทเครองอน นอกจากนน คณสมบตการทา snapshot และ rollback ยงเปนการเพมความสามารถในการกขอมล และ เพม availability โดยรวมใหระบบ

74

ขนตอนการตดตงและดาเนนการ ขนตอนในการตดตงโปรแกรมวเอมแวร (VMware) รน อเอสเอกไอเวอรชน 5.1 (ESXi

5.1) บนเครองคอมพวเตอรควบคมระบบ สามารถดาเนนการตามขนตอนดงตอไปน 1) ใสแผนตดตงโปรแกรมพรอมตงคาบตแผนซดทเครองคอมพวเตอรควบคมระบบ จะ

ขนหนาจออเอสเอกไอบทเมน (ESXi Boot Menu) ใหเลอกขอแรก สาหรบการตดตงอเอสเอกไอ (EXSi)

ภาพท 72 การตดตงโปรแกรมวเอมแวร (VMware) 2) โปรแกรมจะแสดงรายละเอยดของเวอรชนของโปรแกรม รายละเอยดของเครองแม

ขายทจะตดตง พรอมโหลดคาโมดลตางๆทจะตองใชในการตดตง

ภาพท 73 หนาจอแสดงรายละเอยดของเวอรชนของโปรแกรม

75

3) เขาสหนาจอตอนรบสการตดตง วเอมแวร (VMware) เวอรชนอเอสเอกไอ ESXi เลอก (Enter) Continue

ภาพท 74 หนาจอตอนรบสการตดตง วเอมแวร (VMware)

4) แสดงรายละเอยดขอตกลงตางๆของโปรแกรม เลอก (F11) Accept and

continue

ภาพท 75 หนาจอแสดงรายละเอยดขอตกลงตางๆของโปรแกรม

5) เลอกฮารดดสทจะใชในการตดตง โดยโปรแกรมจะแสดงชอและขนาดของฮารดดสก เลอก (Enter)

76

ภาพท 76 หนาจอแสดงแสดงชอและขนาดของฮารดดสก 6) เลอกรปแบบของคยบอรด (Keyboard) ทจะใชงาน เลอก (Enter) Continue

ภาพท 77 รปแบบของคยบอรด (Keyboard) ทจะใชงาน

7) กาหนดรหสผานของ Root เสรจแลว เลอก (Enter) Continue

ภาพท 78 การกาหนดรหสผานของ Root

8) โปรแกรมเรมทาการสแกนไฟลระบบทจะใชในการตดตง ใชเวลาสกคร

ภาพท 79 โปรแกรมเรมทาการสแกนไฟลระบบทจะใชในการตดตง

77

9) หลงจากนนโปรแกรมจะขนหนาตางยนยนการตดตง หากตองการตดตงจรงให เลอก (F11) install

ภาพท 80 หนาตางยนยนการตดตง 10) เรมการตดตง ใชเวลาพอประมาณ และหลงจากตดตงเสรจแลว จะขนหนาให

เรมตนระบบใหม (Restart) ระบบ 1 ครง เลอก (Enter) Reboot

ภาพท 81 หนาจอแสดงสถานะเรมการตดตง 11) เครองแมขายเรมเรมตนระบบใหม (Reboot)

ภาพท 82 เครองแมขายเรมเรมตนระบบใหม (Reboot)

78

12) หลงจากรสตารทแลว โปรแกรมจะแสดงรายละเอยดของระบบพรอมทงลงคยอารแอล (URL) ทใชดาวนโหลดโปรแกรมวสเฟยร ไคลเอนต (VSphere Client)

ภาพท 83 โปรแกรมจะแสดงรายละเอยดของระบบ

13) หากผใชงานตองการทจะเขาไปตงคาไอพใหม หรอตงคาอนๆ โปรแกรมจะแสดงฟงคชนทใชในการตงคาดงภาพ สามารถกดปม (F2) Customize System ได

ภาพท 84 โปรแกรมแสดงฟงคชนทใชในการตงคา

14) โปรแกรมจะแสดงชองใสรหสผานทไดกาหนดไวตอนตนของการตดตง โดยคาเรมตน (Default) ของ ชอลงบนทกเขา (login Name) คอ root และใสรหสผานเรยบรอยแลว เลอก <Enter> OK

79

ภาพท 85 โปรแกรมแสดงชองใสรหสผาน

15) แสดงหนาการตงคาแตละประเภท ผใชงานสามารถเลอกการตงคาตางๆไดตามตองการ

ภาพท 86 แสดงหนาการตงคาแตละประเภท

16) หลงจากตงคาเรยบรอยแลว ใหไปยงเครองคอมพวเตอร สาหรบใชในการตดตงโปรแกรมวสเฟยร VSphere เปดเบราวเซอร (Browser) แลวพมพยอารแอล (Uniform Resource Locator (URL)) ของเครองแมขายทไดกาหนดคาไว แลวจะขนหนาตางดงภาพคลก Download vSphere client คลกเพอบรรจลง (Download) และตดตงลงเครองใหเรยบรอย

ภาพท 87 หนาตางแสดงการ Download vSphere client

80

17) หลงจากตดตงแลวจะขนหนาดงภาพ เพอเขาใชในการสรางเครองแมขายเสมอน

(Guest OS) ตอไป ภาพท 88 แสดงหนาจอเครองแมขายเสมอน (Guest OS)

18) แสดงหนาตางของโปรแกรมอเอสเอกไอ(EXSi) ผานวสเฟยร ไคลเอนต

(vSphere Client)

ภาพท 89 แสดงหนาตางโปรแกรมอเอสเอกไอ(EXSi) ผานวสเฟยร ไคลเอนต (vSphere Client)

81

3.2.3.3 ตวอยางการกาหนดคาสาหรบ Virtual Machines VMware 1) เมอลงโปรแกรมและเปดการใชงานกจะปรากฏโปรแกรมดงภาพท 64

ภาพท 90 หนาตางของโปรแกรม VMware 2) เมอลงโปรแกรมเสรจแลวใหสราง VM โดยเลอกท Menu File > New >

Virtual Machine ตามภาพท 3 -64 แลวจะไดหนาตาง Welcome ตามภาพท 3 -65

ภาพท 91 การสราง Virtual Machine ใหม

82

ภาพท 92 หนาตาง Welcome Windows

3) เมอเขามาทหนาตาง Welcome Windows กด Next เขาหนาตาง Appropriate Configuration จากนนกด Next

83

ภาพท 93 การตงคาของ Virtual Machine ภาพท 67 การตงคาของ Virtual Machine

ภาพท 94 การเลอก Guest Operating System หรอ OS ทตองการลง

4) ขนตอนนเปนการเลอก OS ทตองการสรางเปน VM ภายในเครอง ซงจะทดสอบการลงเปน Ubuntu 6.1 เมอเลอกเสรจแลวกตองตงชอใหกบ Virtual Machine ทจะสรางและเลอกทเกบไฟลของ VM โดย Default จะเกบอยท C:\Documents and Settings\xxx\My Documents\My Virtual Machines แตอนนจะเลอกเกบไวทอนตามภาพท 69 กด next ตอไปกจะเปนการกาหนดคาของ Disk ทตองการให VM ใชโดย Default จะเปน 8 GB แตจะกาหนดใหเปน 2 GB ตามขนาดการใชงาน ตามภาพท 70

84

ภาพท 95 ตงชอและเลอกทเกบไฟลของ Virtual Machine

ภาพท 96 การกาหนดคาของ Disk ทตองการใชเปน Virtual Machine 5) เมอตงคาเบองตนเสรจแลวกจะกลบมาท Menu ตามเดมดงภาพท 10 สามารถ

ตงคาเพมเตมไดโดยการเลอกไปท Edit virtual machine setting กจะเขาสหนาตาง Virtual Machine Settings ดงภาพท 71

ภาพท 97 หนาจอ Menu หลงจากทสราง VM เสรจแลว

85

ภาพท 98 หนาตาง Edit virtual machine setting

6) ทหนาตางของ Edit virtual machine setting เราจะพบวาอปกรณทตองการแกไขจะเปนรายชออยทางซายมอและคาทสามารถปรบเปลยนไดจะอยทางขวามอ โดยเราสามารถปรบเปลยนฮารดแวรของ VM ได 7 อยางคอ

1 Memory = RAM ท Host ตองการแบงให VM ใช 2 Hard Disk = เปนการแบง Hard Disk ของเครองไปเปน Disk ของ VM

ภาพท 99 หนาตาง Setting ในสวนของ Hard Disk

86

7) CD Rom = CD Rom ของ VM เพอให VM สามารถใชงาน CD Rom ทอยทเครองท (Host)

ภาพท 100 หนาตาง Setting ในสวนของ CD-ROM

8) Ethernet = LAN card ของ VM เปนการกาหนดรปแบบการตอระบบ Network ดงตอไปน

(1) Bridged เปนการตอ LAN card ของ VM ออกไปท LAN card ของเครองHostโดย ip ของ VM ทใชงานจะเปนคนละ ip กบเครองHost และสามารถทาใหเครองคอมเครองอนทอยใน Network สามารถตดตอกบ VM เครองนได

(2) NAT คลายกบการตอแบบ Bridge แต ip ของ VM ทตอออกไปทดานนอกเครองคอมพวเตอรคอมเครองอนจะมองเปน ip เดยวกบเครองHost

(3) Host-only เปนการตอใชงานเฉพาะ VM กบเครองHost เทานน (4) Custom เปนการเลอกการเชอมตอกบระบบ Network ภายนอกในกรณ

ทมการใชงาน LAN card ของทง VM และเครองHostหลาย card

ภาพท 101 หนาตาง Setting ในสวนของ Ethernet

87

9) USB Controller = เปนการกาหนดให VM สามารถใชงานอปกรณ USB ททาการตอเขามาในระบบไดเมอมการตออปกรณเขามาทเครอง Host

ภาพท 102 หนาตาง Setting ในสวนของ USB Controller

10) Audio = เปนการกาหนดให VM ใช Sound card ของ Host

ภาพท 103 หนาตาง Setting ในสวนของ Audio

88

11) Virtual Processors = เปนการกาหนดวาตองการให VM ม Processor (CPU) กตวเพอใชในการประมวลผลเพอทดสอบการใชงานแบบ Multi-Processors

ภาพท 104 หนาตาง Setting ในสวนของ Virtual Processors

3.2.4 การบรการโดยใชระบบบรหารจดการการตดสนใจเชงพนท (Executive Information System: EIS ดานการพฒนาทดน)

3.2.4.1 การตดตงและใชงานระบบการบรหารจดการการตดสนใจเชงพนท

(Executive Information System-EIS) ผานทาง Virtual Machine และการบรหารระบบผานทางเครองมอกระจายการทางาน (Load Balancing)

ศนยสารสนเทศ กรมพฒนาทดน ไดนาระบบเทคโนโลยทางดานการจดการขอมลเชงพนท มาใชในการบรหารจดการกจกรรมตาง ๆ โดยระบบดงกลาว จะเปนการผสมผสานเทคโนโลย ทงในรปแบบของระบบสารสนเทศภมศาสตร และการบรหารจดการฐานขอมล ตลอดจนการพฒนาโปรแกรมประยกต ทมการใชเทคโนโลยสารสนเทศภมศาสตรทางานในรปแบบของเวบแอพพลเคชน (Web Application) ในแตละโปรแกรมผใชงานสามารถเขาถง เรยกด และสบคนขอมล ผานทางชองการอนเตอรเนต หรอ สมารทโฟน (Smart Phone) ได

1) ภาพรวมของระบบ (System Overview) เปนการอธบายถงภาพรวมของการทางานของระบบคอมพวเตอรระบบการ

บรหารจดการการตดสนใจเชงพนท (Executive Information System-EIS ดานการพฒนาทดน) พรอมทงอธบายถงหนาทการทางานของเครองคอมพวเตอรแมขาย เครองคอมพวเตอรลกขายและอปกรณเกยวเนอง ดงน

89

จากภาพรวมของระบบบรหารจดการการตดสนใจเชงพนท (Executive Information System : EIS ดานการพฒนาทดน) ประกอบดวย

1.1) เครองคอมพวเตอรแมขายสาหรบ Database จานวน 1 เครอง ทาหนาทจดเกบขอมลของระบบงานทงสวนทเปน MIS และ GIS ลงในระบบฐานขอมล (RDBMS) โดยเชอมตอกบ Storage HP D2600และใหบรการทงผใชงานบนเครอขาย

1.2) เครอง Load Balance จานวน 1 เครอง ทาหนาทกระจายงานของเครอง web server ใน virtual server ท 1 และ 3

1.3) เครองคอมพวเตอรแมขายสาหรบ Web/Mapจานวน 2 เครอง ทาหนาทใหบรการใน 2 สวน คอ ระบบงานทใหบรการผใชงานบนเครอขายภายในองคกร (Intranet) และระบบงานทใหบรการผใชงานบนเครอขายอนเตอรเนต (Internet) โดยตวเครองคอมพวเตอรแมขายจะมการแบงทา Virtualization (VMware)เพอแบง Virtual Server โดยแบงตามหนาทการทางาน ซงมรายละเอยด ดงน

1.3.1) Virtual Server ท 1 ทาหนาทเปนเครอง Web Server 1 1.3.2) Virtual Server ท 2 ทาหนาทเปนเครอง Map Server โดย

ตดตงซอฟตแวรโปรแกรมจดการและจดเกบขอมลสารสนเทศทางภมศาสตร สาหรบใหบรการระบบงานทง Intranet และ Internet

1.3.3) Virtual Server ท 3 ทาหนาทเปนเครอง Web Server 3 1.3.4) Virtual Server ท 4 ทาหนาทเปนเครอง Map Server โดย

ตดตงซอฟตแวรโปรแกรมจดการและจดเกบขอมลสารสนเทศทางภมศาสตร สาหรบใหบรการระบบงานทง Intranet และ Internet

ภาพท 105 ภาพรวมของระบบ (System Overview)

91

2) การใชงานผานโปรแกรมVMware vSphere Client 2.1) Login ดวย User : root / password

ภาพท 106 หนาตางการ Login ระบบ EIS

2.2) จากนนไปท Basic task > Start vm โดยเปดเครอง LDDMAP01, LDDWEB01 ตามลาดบ

ภาพท 107 การ Start vm ระบบ EIS

92

2.3) ทเครอง Database เปดโปรแกรม VMware vSphere Client จากนน Login ดวย User : root / P@ssw0rd

ภาพท 108 หนาตางการ Login ระบบ EIS (2)

2.4) จากนนไปท Basic task > Start vmโดยเปดเครอง LDDMAP02, LDDWEB02 ตามลาดบ

ภาพท 109 การ Start vm ระบบ EIS (2)

93

3) การปดเครอง ใหทาการ Shutdown เครองตามลาดบ ดงน 3.1) ทาการ Remote Desktop หรอเปด Console ผาน VMware vSphere

Client ทเครอง Web Server #1 และ Web Server #2 จากนนสง Shutdown 3.2) ทาการ Remote Desktop หรอเปด Console ผาน VMware vSphere

Client เครอง Map Server #1และ Map Server #2จากนนสง Shutdown 3.3) ทเครอง Database เปดโปรแกรม VMware vSphere Client จากนน

Login ดวย User : root / password


3.4) จากนนคลกขวาท “10.1.1.124” เลอก Shutdown เพอ Shutdown เครอง Web / Map Server

ภาพท 111 การ Shutdown เครอง Web

94

3.5) ทเครอง Database เปดโปรแกรม VMware vSphere Client จากนน Login ดวย User : root / P@ssw0rd


3.6) จากนนคลกขวาท “10.1.1.28” เลอก Shutdown เพอ Shutdown เครอง Web / Map Server

ภาพท 113 การ Shutdown เครอง Web (2)

3.7) สง Shutdown Database Server เมอเครอง Database ดบ จงปด Storage HP D2600

95

4) ขนตอนการบรหารจดการระบบ (Operating Procedure)

ภายในเครอง Web Server จะประกอบไปดวย 2 สวน คอ Web

application และ SOM(ArcGIS ServerObject Manager) ซง SOM จะมหนาทคอยรบการรองขอ Map Service จาก Web application จากนนจะสงขอมลทไดรบมาไปให Map Server ภายในเครอง Map Server จะม SOC (ArcGIS Server ObjectContainer) รอรบงานจาก SOM เมอไดรบงานกจะทาการประมวลผลโดยอาศยขอมลแผนทใน Database จากนนจงสงงานกลบไปหา SOM เพอสงกลบไปยง Web application อกครงหนง และมเครอง Load Balance สาหรบกระจายงานเครอง Web Server ทงสอง เพอแบงภาระการทางานของเครอง

4.1) ลาดบการ Stop / Start Service เพอแกไขกรณเกดปญหาในการใชงานระบบจากทไดอธบายถงหลกการทางานของระบบไวแลว แสดงใหเหนวา Service ตางๆในแตละเครองมการทางานเชอมโยงกนอย จงตองมลาดบในการ Start / Stop Service ซงมลาดบดงน

4.1.1) การ StopService - Stop Service “ArcGIS Server Object Manager” ท

เครอง Web Server ทง 2 เครอง - Stop Service “ArcGIS SOC Monitor” ทเครอง Map

Server ทง 2 เครอง - Stop Service “SQL Server (LDDDB)” ทเครอง

Database Server

ภาพท 114 หลกการการทางานเบองตนของระบบ

96

4.1.2) การ StartService - Start Service “SQL Server (LDDDB)” ทเครอง

Database Server - Start Service “ArcGIS SOC Monitor” ทเครอง Map

Server ทง 2 เครอง - Start Service “ArcGIS Server Object Manager” ท

เครอง Web Server ทง 2 เครอง

4.2) วธการในการ Stop / Start Service ในแตละเครอง มรายละเอยดดงน

4.2.1) เครอง Web Server # 1 และ Web Server # 2 ไปท Services จากนนคลกขวาทArcGIS Server Object Manager, World Wide Web Publishing Serviceแลวเลอก Start เพอ Start Service หรอ Stop เพอ Start Service

ภาพท 115 การ Configuration ระบบ EIS

4.2.2) เครอง Map Server#1 และ Map Server #2 ไปท

Services จากนนคลกขวาทArcGIS SOC Monitor แลวเลอก Start เพอ Start Service หรอ Stop เพอ Start Service

ภาพท 116 การ Configuration ระบบ EIS (2)

97

4.2.3) เครอง Database Server ไปท Services จากนนคลกขวาท

SQL Server (LDDDB) แลวเลอก Start เพอ Start Database หรอ Stop เพอ Start Database


4.3) การจดการ Map Service ผาน ArcGIS Server Manager

4.3.1) เปด Web browser เขาไปท URL : http://<lddweb01 หรอlddweb02>/arcgis/manager จากนน Login ดวย User / Password : Administrator / @ldd#adm


98

4.3.2 ทเมนดานซาย เลอก Services> Manage Services จะปรากฏรายการ Service ดงรป


4.3.3) จากหนาตางนสามารถสง Stop, Start, Restart, Delete

และ แกไข Map service


คลกเพอแกไข Service

เลอนไปหนาถดไป

จดการ Service ทเลอก

เลอก Service ทตองการ

99

5) Backup and Restore อธบายถงวธการสารองขอมล Database สารองระบบปฏบตการของเครอง

Web / Map Server และวธการสารองConfigure file ของซอฟตแวร ArcGIS Server ดงน

5.1) ขนตอนการสราง Schedule สาหรบBackup Database 5.1.1) เปดโปรแกรม “Microsoft SQL Server Management

Studio” ท Authentication เลอก “Windows Authentication” ดงภาพ จากนนคลก Connect


5.1.2) จากนนไปท Management > Maintenance Plans แลวคลกขวา เลอก “New Maintenance Plan…”


100

5.1.3) ตงชอจากนนคลก OK


5.1.4) ดบเบลคลกท“Back Up Database Task”จะปรากฏดงภาพ


5.1.5) คลกขวาทกรอบ “Back Up Database Task” เลอก Edit


101

5.1.6) ท Backup type เลอก Full ท Database(s) เลอก LDD และ sde จากนนคลก OK


5.1.7) จากนน คลกปม “…” ปรากฏหนาตางยอยทางดานขวาเพอ

เลอกทเกบไฟล Backup เมอเลอกไดแลวคลก OK 2 ครง


102

5.1.8) ดบเบลคลกท Subplan_1 จะปรากฏหนาตางยอยดงรป คลกปม


5.1.9) ทาการตงคาวนและเวลาในการ Backup จากนน คลก OK


103

5.1.10) จากนนคลกท เพอทาการบนทกการตงคา เปนอน เสรจสน


6) ขนตอนการ Restore Database 6.1) เปดโปรแกรม “Microsoft SQL Server Management Studio” ท

Authentication เลอก “Windows Authentication” ดงภาพ จากนนคลก Connect


104

6.2) คลกขวาท Databases เลอก Restore Database…


6.3) จะปรากฏหนาตางใหมดงภาพท To database ใหเลอก Database ท

ตองการจะ Restore ท Source for restore เลอก From device จากนนคลกปม เพอเลอกไฟล Backup


105

6.4) คลก Add จากนนเลอกไฟล Backup ทตองการจะ Restore เสรจแลว

คลก OK


6.5) เลอกขอมลทจะทาการ Restore จากไฟล Backup ดงรป จากนนคลก OK โปรแกรมจะเรมทาการ Restore Database จนเสรจ


106

7) วธการทา Snap shot เพอ Backup เครอง Web Server และ Map Server

7.1) ทเครอง Database เปดโปรแกรม VMware vSphere Client จากนน Login ดวย User : root / passwordทเครอง 10.1.1.124 หรอ Login ดวย User : root / P@ssw0rd ทเครอง 10.1.1.28


7.2) คลกขวาท VM ทตองการทา Snap shot เลอก Snapshot > Take

Snapshot

ภาพท 137 การ Snapshot ระบบ EIS

107

7.3) ตงชอและใส Description จากนนคลก OK โปรแกรมจะเรมทาการจดเกบ Snapshot

ภาพท 138 การ Snapshot ระบบ EIS (2)

8) วธการสารองConfigure file ของซอฟตแวร ArcGIS Server 8.1) เขาไปท Path : C:\Program Files(x86)\ArcGIS\Server10.0\server

จากนนทาการ Copy โฟลเดอร “user” ออกมาเกบสารองไว

ภาพท 139 การสารองConfigure file ระบบ EIS

108

3.3 แผนภาพการบรหารระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน

ภาพท 140 ภาพรวมระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน

ภาพท 141 ภาพระบบ Redundant อปกรณ Switch กรมพฒนาทดน

109

ภาพท 142 ภาพรวมการเชอมตออปกรณเครอขาย กรมพฒนาทดน

ภาพท 143 ภาพการเชอมตอของอปกรณเครอขายแบบชน กรมพฒนาทดน

110

บทท 4 สรปและขอเสนอแนะ

4.1 สรป

จากผลการดาเนนงาน กรมพฒนาทดนจะมคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน (LDD Manual Management Information Systems and Computer) ตรงตามวตถประสงคทตงไว เพอใหผรบผดชอบ/ผปฏบตงาน ไดมความรความเขาใจเกยวกบวธการ Configuration ระบบสารสนเทศ ระบบเครอขาย ตลอดจน วธการแกไขปญหาแนวทางการดาเนนงานระบบเทคโนโลยสารสนเทศกรมพฒนาทดน ใหมความนาเชอถอ และมเสถยรภาพ ทงเปนการเพมศกยภาพและความสามารถในการควบคม , การจดระเบยบและการบรหารระบบสารสนเทศและคอมพวเตอร ใหมประสทธภาพมากขน ชวยแกไขปญหาในกรณทเจาหนาททรบผดชอบงานโดยตรง ไมสามารถมาปฏบตงานได โดยมการสรปรายละเอยดของระบบสารสนเทศและคอมพวเตอร ดงตอไปน

4.1.1 ระบบเครอขายกรมพฒนาทดน (LDD Network System) ระบบฯ มความสามารถใหบรการเชอมตอเขาสระบบเครอขาย Internet ไดอยาง

สะดวก สามารถเพมขยาย พนทจดบรการเครอขายไดในอนาคต ทาหนาทควบคมการรบสงขอมลและแอพพลเคชนผานทางการเชอมตอระบบเครอขายอยางมประสทธภาพ รวมทงมระบบควบคม Firewall IDS IPS ทรองรบการรกษาความปลอดภย โดยม Policy Filter ทสามารถกาหนดขนตอนการปองกนภยคกคามจากการใชงานไดอยางยดหยนภายใตกลยทธดานการรกษาความปลอดภยแบบปองกนตนเองทสามารถกาหนดไดดวยตนเอง พรอมทงมระบบการบรหารจดการทครบวงจร โดยมฟงกชนควบคมการเขาใชงาน ฟงกชนการตรวจสอบสถานะอปกรณ ฟงกชนการตรวจสอบสถานะผใชงาน ฟงกชนการบารงรกษาและการเกบบนทกขอมลการใชงานทงหมด รวมทงฟงกชนทจาเปน เพอชวยใหผดแลระบบฯ สามารถกาหนดคณสมบตและตรวจสอบสถานการณทางานของระบบเครอขายกรมพฒนาท ดน (LDD Network System) ไดอยางรวดเรวและมประสทธภาพ

4.1.2 ระบบคอมพวเตอรบรการ กรมพฒนาทดน (LDD Server Service System) ระบบมประสทธภาพในดานการใหบรการในดานตางๆ ดงตอไปน 1) การบรการระบบควบคมโดเมน (Domain Controller) และบรการเครอขาย

(Network service) มการควบคมการใชงานแบบรวมศนย โดยศนยสารสนเทศ ใหบรการสาหรบหนวยงานและผทมาขอรบบรการของกรมพฒนาทดนสวนกลาง

2) การบรการระบบเวป (Web Service) ผานชองทางเครอขายของกรมพฒนาทดน เพอใหขาราชการ พนกงานและบคคลภายนอก สามารถเรยกใชงานบรการดงกลาว เพอเผยแพรขอมลของกรมพฒนาทดน โดยใหบรการทางดานระบบรหารจดการสารสนเทศ (Management Information System : MIS) ขอมลทางดานแผนท (Geographic Information System : GIS) ขอมลทางดานการชวยในการตดสนใจเชงแผนท (Executive Information System : EIS) และการนาเสนอผลงานวจยของกรมพฒนาทดน

3) การบรการระบบเมล (Mail Service) ผานชองทางเครอขายของกรมพฒนาทดน เพอใหขาราชการ พนกงาน สามารถเรยกใชงานบรการดงกลาว เพอเปนชองทางในการตดตอสอสาร ผานทางโครงขายอนทราเนต (Intranet) และอนเตอรเนต (Internet)

111

4.1.3 จดเดนของระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน 1) ความสะดวกสบาย (Comfortable) : รองรบการทางานรวมกบอปกรณสารสนเทศ

ไดหลากหลายประเภท เชน Notebook, Smartphone , Tablet และอปกรณอนทรองรบการเรยกเขาใชงานระบบเครอขาย Internet ไดอยางสะดวก รวดเรว

2) ชวยการเพมผลผลต (Productivity) : การเชอมตอกบระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน เปนชองทางหนงใหผลการทางานสาเรจมากขน เนองจากไดรบสทธการเขาถงสาหรบผใชงาน เพอเขาสอนเทอรเนตและขอมลทตองการของตนได

3) มความปลอดภย (Security) : การควบคมและการจดการการเขาถงระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน มระบบรกษาระบบความปลอดภยทแขงแกรง เพอใหสามารถอนญาตเฉพาะบคคลทระบและใหใชงานไดเฉพาะทระบบฯกาหนดไวเทานน

4) เพมเสถยรภาพและความนาเชอถอ ใหกบระบบงานบรการตาง ๆ ของกรมพฒนาทดน 4.2 ปญหาและอปสรรค

ในการจดทาคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน (LDD Manual Management Information Systems and Computer) ใหครอบคลมการทางานของระบบฯทงหมดของกรมพฒนาท ดน เปนเรองทมความยงยาก ซบซอน เนองจาก ระบบสารสนเทศและคอมพวเตอร ของกรมพฒนาทดน มขนาดใหญ มการใหบรการทงในสวนของเครอขายและเครองแมขายบรการ ทมปรมาณมาก ดงนนในการเขยนคมอจงไดนาเสนอในสวนทเปนหวใจหลกของระบบฯ ทมความสาคญและไมสามารถหยดทางานได เนองจากจะสงผลกบการทางานโดยรวมของระบบฯ ซงอาจจะทาใหขาดรายละเอยดในการกาหนดคาของระบบยอยบางสวนไป 4.3 ขอเสนอแนะ

เนองจากระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน ไดมการปรบปรงและพฒนามาอยางตอเนอง ทงในสวนของฮารดแวร (Hardware) และซอฟแวร (Software) เพอใหทนสมยและรองรบการบรการสารสนเทศสมยใหม ทตองการความสามารถของระบบฯ คอนขางสง ดงนนขอมลในคมอบางสวนอาจมการเปลยนแปลงตามอปกรณหรอระบบใหมทมการตดตงเพมเตมเขามา เพอใหตรงตามการใหบรการของกรมฯ ทเปลยนไป โดยจะตองมการปรบปรงรายละเอยดขอบงคบในการใชงานตางๆของระบบ ทกครงทมการเปลยนแปลงคาคณลกษณะของงานการบรการระบบตาง ๆ ภายในกรมฯ ซงจะสงผลใหคมอการบรหารจดการระบบสารสนเทศและคอมพวเตอร กรมพฒนาทดน (LDD Manual Management Information Systems and Computer) มความทนสมยและนาเชอถอ

114

ภาคผนวก ก

การกาหนดคาคอนฟคกเรชนของอปกรณสวชตหลก (Core Switch Configuration)

115

การกาหนดคาคอนฟคกเรชนของอปกรณสวชตหลก (Core Switch Configuration)

Current configuration : 169294 bytes ! upgrade fpd auto version 12.2 service nagle no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service counters max age 5 ! hostname C6506-CIT ! boot-start-marker boot-end-marker ! enable secret 5 $1$adym$fwFUsTc8uitIgZ9OXfFr11 ! username technical privilege 15 password 7 0334531909022545 username supong privilege 15 password 7 095F5B19160B10 username ldd privilege 15 password 7 151E0F08247B6876 aaa new-model aaa authentication login vty group tacacs+ local aaa authentication dot1x default group radius local aaa authorization exec vty group tacacs+ local ! aaa session-id common clock timezone BKK 7 call-home alert-group configuration

116

alert-group diagnostic alert-group environment alert-group inventory alert-group syslog profile "CiscoTAC-1" no active no destination transport-method http destination transport-method email destination address email [email protected] destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService subscribe-to-alert-group diagnostic severity minor subscribe-to-alert-group environment severity minor subscribe-to-alert-group syslog severity major pattern ".*" subscribe-to-alert-group configuration periodic monthly 19 16:13 subscribe-to-alert-group inventory periodic monthly 19 15:58 ip subnet-zero ! ! ! ip multicast-routing no ip domain-lookup ip name-server 10.1.1.4 vtp domain LDD vtp mode transparent mls ip slb purge global mls netflow interface no mls flow ip mls cef error action reset ! crypto pki trustpoint TP-self-signed-1314 enrollment selfsigned

117

subject-name cn=IOS-Self-Signed-Certificate-1314 revocation-check none rsakeypair TP-self-signed-1314 ! redundancy keepalive-enable mode sso main-cpu auto-sync running-config ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan 1-4094 priority 4096 diagnostic cns publish cisco.cns.device.diag_results diagnostic cns subscribe cisco.cns.device.diag_commands dot1x system-auth-control fabric timer 15 ! vlan internal allocation policy ascending vlan access-log ratelimit 2000 ! vlan 2 name Server ! vlan 3 name Training ! vlan 4 name GIS ! vlan 5 name Management

118

! vlan 6 name Secretary ! vlan 7 name Personal ! vlan 8 name Finance ! vlan 9 name Planing ! vlan 10 name SoilSurvey ! vlan 11 name SoilAnalysis ! vlan 12 name Catographic ! vlan 13 name LandUse ! vlan 14 name Conservation ! vlan 15 name Engineer ! vlan 16

119

name OFI ! vlan 17 name Mordin ! vlan 18 name IRV ! vlan 19 name ONR ! vlan 20 name WiFi ! vlan 21 name Audit ! vlan 22 name Dial-in ! vlan 23 name Original ! vlan 24 name Expert ! vlan 25 name OSB ! vlan 26 name Meeting-Room !

120

vlan 28 name IPP ! vlan 29 name VDO_Conf ! vlan 30 name CIT ! vlan 33 name CCTV ! vlan 53 name hotspot_aruba ! vlan 54 name hotspot_other ! vlan 55 name hotspot_gateway ! vlan 66 name test_hsrp ! vlan 70 name GIN ! vlan 77 name LDD-Region-Manage ! vlan 80 name ldd-guest

121

! vlan 88 name support ! vlan 90 name DMZ ! vlan 91 name NAS ! vlan 99 name Proxy ! vlan 100 name proxy3 ! vlan 199 name proxy2 ! vlan 200 name link_4500 ! vlan 202 name Link_6500 ! vlan 300 name Firewall_Management ! vlan 301 name lan_to_firewall ! !

122

! interface Port-channel1 description ## Connect to C6506-OFS B3RF2 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface Port-channel2 description ## Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/1 description ## Ether Channel Connect to C6506-OFS ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 1 mode on ! interface GigabitEthernet1/2 description ## Ether Channel Connect to C6506-OFS ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 1 mode on ! interface GigabitEthernet1/3

123

description ## Connect to 2960 ENG Rack BENG F2 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/4 description ## Connect to 2950T UN Rack BUN F2 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/5 description ## Connect to 2950 FID Rack B6 F3 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/6 description ## Connect to 2950 Land Rack B8 F6 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet1/7 description ## Ether Channel Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk

124

switchport nonegotiate channel-group 2 mode on ! interface GigabitEthernet1/8 description ## Ether Channel Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 2 mode on ! interface GigabitEthernet1/9 no ip address shutdown ! interface GigabitEthernet1/10 no ip address ! interface GigabitEthernet1/11 no ip address shutdown ! interface GigabitEthernet1/12 no ip address shutdown ! interface GigabitEthernet1/13 no ip address shutdown ! interface GigabitEthernet1/14 no ip address

125

shutdown ! interface GigabitEthernet1/15 no ip address shutdown ! interface GigabitEthernet1/16 no ip address shutdown ! interface GigabitEthernet1/17 no ip address shutdown ! interface GigabitEthernet1/18 no ip address shutdown ! interface GigabitEthernet1/19 no ip address shutdown ! interface GigabitEthernet1/20 no ip address shutdown ! interface GigabitEthernet1/21 no ip address shutdown ! interface GigabitEthernet1/22 no ip address

126

shutdown ! interface GigabitEthernet1/23 no ip address shutdown ! interface GigabitEthernet1/24 no ip address shutdown ! interface GigabitEthernet2/1 description ## HP Blade Right Port 20 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet2/2 description ## Link Call Manager 10.1.28.250 ## switchport switchport access vlan 28 switchport mode access ! interface GigabitEthernet2/3 description ## Link S/W Allied 8 Ports ADMST_Kreing FL.2 ## switchport switchport access vlan 5 switchport mode access ! interface GigabitEthernet2/4 description ## Link S/W UN 2960 port 24 ## switchport

127

switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet2/5 description ## Link A/P Room ADMST_Anusorn Fl.2 ## switchport switchport access vlan 5 switchport mode access ! interface GigabitEthernet2/6 description ## Link to room front toilet fl.1 bl.3L ## switchport switchport access vlan 25 switchport mode access ! interface GigabitEthernet2/7 description ## S/W CCTV Rack4 ## switchport switchport access vlan 33 switchport mode access ! interface GigabitEthernet2/8 description ## Aruba Port 2 from left ## switchport switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/9 description ## Aruba Port 3 from left ## switchport switchport access vlan 54

128

switchport mode access ! interface GigabitEthernet2/10 description ## Connect PSD_HRM ## switchport switchport access vlan 7 switchport mode access ! interface GigabitEthernet2/11 description ## Server FID101 10.1.7.1 ## switchport switchport access vlan 8 switchport mode access ! interface GigabitEthernet2/12 description ## S/W TP-Link Rack 6 : port 24 ## switchport switchport access vlan 2 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/13 description ## Vlan30 to CCTV Control Room B6 F1 IP 10.1.30.200 ## switchport switchport access vlan 30 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/14 description ## Aruba Port 4 from left ## switchport switchport access vlan 55

129

switchport mode access ! interface GigabitEthernet2/15 description ## Link Firewall 10.1.1.15 : port 1 ## switchport switchport access vlan 2 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/16 description ## HP Blade left Port 21 ## switchport switchport access vlan 2 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/17 description ## Vlan28 to S/W IPPhone CIT Server Room Rack1 ## switchport switchport access vlan 28 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/18 description ## Vlan12 to D-Link 1226G P24 CIT Server Room Rack1 ## switchport switchport access vlan 12 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/19 description ## Vlan4 to A/P ADB Room B3L F2 ##

130

switchport switchport access vlan 4 switchport mode access ! interface GigabitEthernet2/20 description ## Vlan4 to S/W Technical Support Room CIT F1 ## switchport switchport access vlan 4 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/21 description ## A/P Aruba ## switchport switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/22 description ## connect S/W Vlan 3 Peach&Tok room ## switchport switchport access vlan 3 switchport mode access ! interface GigabitEthernet2/23 description ## A/P Aruba ## switchport switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/24 description ## A/P Aruba ## switchport

131

switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/25 description ## Link Proxy : 10.1.1.2 : port 2 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/26 description ## Switch TP-Link Open Rack ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/27 description ## Vlan11 to S/W OSD Rack BOSD F2 ## switchport switchport access vlan 11 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/28 description ## Vlan7 to S/W PSD B3L F3 ## switchport switchport access vlan 7 switchport mode access switchport nonegotiate ! interface GigabitEthernet2/29 description ## Connect to Cisco 5000 P3/9 CIT Server Room Rack2 ## switchport

132

switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate shutdown ! interface GigabitEthernet2/30 description ## oss101 & olp101 ## switchport switchport access vlan 2 ! interface GigabitEthernet2/31 description ## LDDHOTSPOT Lobby ## switchport switchport access vlan 53 switchport mode access ! interface GigabitEthernet2/32 description ## Port S/W Vlan 4 Peach&Tok Room ## switchport switchport access vlan 4 switchport mode access ! interface GigabitEthernet2/33 description ## Switch 3COM Rack WEB LDD ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/34 description ** Qcenter ** switchport switchport access vlan 11

133

switchport mode access ! interface GigabitEthernet2/35 description ## S/W TP-Link : Open Rack 1: Port 24 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/36 description ## S/W TP-Link : Open Rack 2: Port 24 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/37 description ## ASA5540 Port0/3 or Cat3550 Port0/3 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/38 description ## Broadcast 10.1.1.145and 10.1.1.146 _ VMnet2 ## switchport switchport access vlan 2 switchport mode access ! interface GigabitEthernet2/39 description ## Proxy Internal 10.1.1.2 ## switchport switchport access vlan 2 switchport mode access !

134

interface GigabitEthernet2/40 switchport switchport access vlan 301 switchport mode access ! interface GigabitEthernet2/41 switchport switchport access vlan 301 switchport mode access ! interface GigabitEthernet2/42 description ## Link Proxy port 1 : 10.99.1.3 ## switchport switchport access vlan 99 switchport mode access ! interface GigabitEthernet2/43 description ## Ether Channel Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 2 mode on ! interface GigabitEthernet2/44 description ## Ether Channel Connect to C6506-2557 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate channel-group 2 mode on !

135

interface GigabitEthernet2/45 description ## Link S/W SMC VDO Conf R4 Port 25 ## switchport switchport access vlan 29 switchport mode access ! interface GigabitEthernet2/46 description ## PF LDD Region Server ESXI 10.1.77.200 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate spanning-tree portfast trunk ! interface GigabitEthernet2/47 switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet2/48 description ## Cisco C3560-CIT Port 24 ## switchport switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate ! interface GigabitEthernet5/1 no ip address shutdown ! interface GigabitEthernet5/2

136

no ip address shutdown ! interface Vlan1 description ## Vlan Cisco ## ip address 10.1.100.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.100.254 standby priority 200 ! interface Vlan2 description ## Vlan Server ## ip address 10.1.1.100 255.255.255.0 no ip proxy-arp ip pim sparse-mode ! interface Vlan3 description ## Vlan Training ## ip address 10.1.2.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.2.254 standby priority 200 ! interface Vlan4 description ## Vlan GIS ## ip address 10.1.3.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.3.254 standby priority 200

137

! interface Vlan5 description ## Vlan Management ## ip address 10.1.4.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.4.254 standby priority 200 ! interface Vlan6 description ## Vlan Secretary ## ip address 10.1.5.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.5.254 standby priority 200 ! interface Vlan7 description ## Vlan Personal ## ip address 10.1.6.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.6.254 standby priority 200 ! interface Vlan8 description ## Vlan Finance ## ip address 10.1.7.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.7.254 standby priority 200

138

! interface Vlan9 description ## Vlan Planing ## ip address 10.1.8.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.8.254 standby priority 200 ! interface Vlan10 description ## Vlan SoilSurvey ## ip address 10.1.9.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.9.254 standby priority 200 ! interface Vlan11 description ## Vlan SoilAnalysis ## ip address 10.1.10.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.10.254 standby priority 200 ! interface Vlan12 description ## Vlan Catographic ## ip address 10.1.11.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.11.254 standby priority 200

139

! interface Vlan13 description ## Vlan Landuse ## ip address 10.1.12.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.12.254 standby priority 200 ! interface Vlan14 description ## Vlan Conservation ## ip address 10.1.13.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.13.254 standby priority 200 ! interface Vlan15 description ## Vlan Engineer ## ip address 10.1.14.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.14.254 standby priority 200 ! interface Vlan16 description ## Vlan OFI ## ip address 10.1.15.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.15.254 standby priority 200

140

! interface Vlan17 description ## Vlan Mordin ## ip address 10.1.16.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.16.254 standby priority 200 ! interface Vlan18 description ## Vlan IRV ## ip address 10.1.17.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.17.254 standby priority 200 ! interface Vlan19 description ## Vlan ONR ## ip address 10.1.18.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.18.254 standby priority 200 ! interface Vlan20 description ## Vlan WiFi ## ip address 10.1.19.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.19.254 standby priority 200

141

! interface Vlan21 description ## Vlan Audit ## ip address 10.1.20.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.20.254 standby priority 200 ! interface Vlan22 description ## Vlan Demo ## ip address 10.1.21.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode shutdown standby ip 10.1.21.254 standby priority 200 ! interface Vlan23 description ## Vlan Original ## ip address 191.2.1.253 255.255.0.0 no ip proxy-arp ip pim sparse-mode shutdown standby ip 191.2.1.254 standby priority 200 ! interface Vlan24 description ## Vlan Expert ## ip address 10.1.24.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode

142

standby ip 10.1.24.254 standby priority 200 ! interface Vlan25 description ## Vlan Soil-Biotech ## ip address 10.1.25.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.25.254 standby priority 200 ! interface Vlan26 description ## Vlan Meeting-Room ## ip address 10.1.26.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.26.254 standby priority 200 ! interface Vlan28 description ## Vlan IPPhone ## ip address 10.1.28.253 255.255.255.0 no ip proxy-arp standby ip 10.1.28.254 standby priority 200 ! interface Vlan29 description ## Vlan VDO Conference ## ip address 10.1.29.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.29.254

143

standby priority 200 ! interface Vlan30 description ## Vlan CIT ## ip address 10.1.30.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.30.254 standby priority 200 ! interface Vlan33 description ## Vlan CCTV ## ip address 10.1.33.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.33.254 standby priority 200 ! interface Vlan55 description ## Vlan Hotspot Gateway ## ip address 10.1.55.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.55.254 standby priority 200 ! interface Vlan70 description ## Vlan GIN ## ip address 10.1.70.254 255.255.255.0 no ip proxy-arp ip pim sparse-mode !

144

interface Vlan77 description ## Vlan LDD Region Management ## ip address 10.1.77.253 255.255.255.0 no ip proxy-arp ip pim sparse-mode standby ip 10.1.77.254 standby priority 200 ! interface Vlan80 description ## Vlan for LDD Guest ## ip address 10.80.80.254 255.255.255.0 ip access-group vlan80 in no ip proxy-arp ip pim sparse-mode ! interface Vlan88 description ## Vlan technical support ## ip address 10.1.88.254 255.255.255.0 no ip proxy-arp ip pim sparse-mode ! interface Vlan90 no ip address ip pim sparse-mode shutdown ! interface Vlan91 description ## Vlan NAS ## ip address 10.1.91.254 255.255.255.0 ! interface Vlan99 description ## Vlan Proxy External ##

145

ip address 10.1.99.254 255.255.255.0 no ip proxy-arp ip pim sparse-mode ! interface Vlan100 ip address 10.98.1.254 255.255.255.0 ! interface Vlan199 description ## Vlan Proxy External2 ## ip address 10.99.1.254 255.255.255.0 ! interface Vlan200 ip address 10.10.1.17 255.255.255.240 no ip proxy-arp ip pim sparse-mode ! interface Vlan202 ip address 10.10.1.65 255.255.255.240 no ip proxy-arp ip pim sparse-mode ! interface Vlan300 description ## Firewall_Management ## ip address 10.1.203.253 255.255.255.0 standby ip 10.1.203.254 standby priority 200 ! interface Vlan301 description ## link Core Switch to Firewall ## ip address 10.5.5.14 255.255.255.248 standby ip 10.5.5.12 !

146

ip classless ip route 0.0.0.0 0.0.0.0 10.5.5.9 ! ! no ip http server ip http authentication local ip http secure-server ip pim rp-address 10.5.5.2 ip tacacs source-interface Vlan1 ! ip access-list extended virusblock permit ip host 10.1.10.201 any permit ip host 10.1.10.202 any permit ip host 10.1.10.203 any permit ip host 10.1.10.204 any permit ip host 10.1.10.205 any ip access-list extended vlan10 permit ip any host 61.90.204.173 permit ip host 10.1.10.1 any permit ip any host 10.1.10.1 deny udp any any eq 1900 deny tcp any any eq 1900 deny ip host 239.255.255.250 any deny ip any host 239.255.255.250 deny ip 192.168.0.0 0.0.255.255 any deny ip any 192.168.0.0 0.0.255.255 permit ip host 10.1.10.200 any permit ip any host 203.148.250.189 permit ip host 10.1.10.131 10.0.0.0 0.255.255.255 permit ip any host 10.1.1.1 permit ip 10.1.10.0 0.0.0.255 199.47.218.0 0.0.0.255

147

permit ip 10.1.10.0 0.0.0.255 199.47.216.0 0.0.0.255 permit ip host 10.1.10.1 10.0.0.0 0.255.255.255 permit ip host 10.1.10.6 10.0.0.0 0.255.255.255 permit ip host 10.1.10.77 any permit ip host 10.1.10.252 any permit ip host 10.1.10.253 any permit ip host 10.1.10.254 any deny tcp any any eq 1935 permit ip host 10.1.10.150 any deny tcp any any eq 445 permit tcp any any eq 554 permit tcp any any eq 1755 permit tcp any any eq 1935 permit tcp any any eq 2638 permit tcp any any eq 3389 permit tcp any any eq 8005 permit tcp any any eq 8080 permit tcp any any eq 8081 permit tcp any any eq 8443 permit tcp any any eq 8888 permit tcp any any eq 9090 permit tcp any any eq 9999 permit udp any any eq 554 permit udp any any eq 1755 permit udp any any eq 1935 permit udp any any eq 2967 permit udp any any eq 38293 permit udp any any eq 39999 permit udp any any eq 7350 permit udp any any eq 7351 permit udp any any eq 7352 permit udp any any eq 7353

148

permit udp any any eq 8080 permit udp any any eq 8888 permit udp any any eq 9999 deny tcp any any eq 593 deny tcp any any eq 6667 deny udp any any eq 135 deny udp any any range 2000 65535 deny tcp any any range 2000 65535 permit ip 10.1.10.0 0.0.0.255 host 58.147.79.136 permit ip 10.1.10.0 0.0.0.255 host 203.144.194.45 permit ip 10.1.10.0 0.0.0.255 host 202.142.200.131 permit ip 10.1.10.0 0.0.0.255 host 61.19.249.103 permit ip 10.1.10.0 0.0.0.255 host 203.113.9.104 permit ip 10.1.10.0 0.0.0.255 host 203.113.9.105 permit ip 10.1.10.0 0.0.0.255 host 202.60.199.44 permit ip 10.1.10.0 0.0.0.255 host 203.146.250.200 permit ip host 10.1.10.222 10.0.0.0 0.255.255.255 permit ip host 10.1.10.2 10.0.0.0 0.255.255.255 permit ip host 10.1.10.3 10.0.0.0 0.255.255.255 permit ip host 10.1.10.4 10.0.0.0 0.255.255.255 permit ip host 10.1.10.5 10.0.0.0 0.255.255.255 permit ip host 10.1.10.7 10.0.0.0 0.255.255.255 permit ip host 10.1.10.8 10.0.0.0 0.255.255.255 permit ip host 10.1.10.9 10.0.0.0 0.255.255.255 ! logging 10.1.1.166 no cdp advertise-v2 snmp-server community comro RO tacacs-server host 10.1.1.99 timeout 5 tacacs-server directed-request tacacs-server key 7 13091316180907382E30

149

! radius-server host 10.1.1.99 auth-port 1812 acct-port 1813 key 7 13091316180907382E30 radius-server source-ports 1645-1646 ! control-plane ! ! dial-peer cor custom ! ! line con 0 line vty 0 4 authorization exec vty login authentication vty line vty 5 15 ! mac-address-table static 001a.7034.27c5 vlan 9 drop mac-address-table static 001a.7034.2b51 vlan 9 drop mac-address-table static 6021.c0b9.ccb8 vlan 30 drop mac-address-table static 8832.9b60.cb25 vlan 30 drop ! End

150

ภาคผนวก ข

การกาหนดคาคอนฟคกเรชนของอปกรณนาทาง (Router Configuration)

151

การกาหนดคาคอนฟคกเรชนของอปกรณนาทาง (Router Configuration)

Current configuration : 8977 bytes version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname c3925-ldd ! boot-start-marker boot-end-marker ! ! logging buffered 51200 warnings no logging console ! no aaa new-model clock timezone BKK 7 0 ! ipv6 unicast-routing ipv6 cef ! no ip domain lookup ip domain name yourdomain.com ip cef multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 !

152

crypto pki trustpoint TP-self-signed-2787926408 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2787926408 revocation-check none rsakeypair TP-self-signed-2787926408 ! ! license udi pid C3900-SPE100/K9 sn FOC18393JJ2 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$ ## C3550 Port 19 ## ip address 10.200.1.251 255.255.255.0 ip access-group blockweb in ip access-group blockweb out ip virtual-reassembly in load-interval 30 shutdown duplex auto speed auto ! interface GigabitEthernet0/1 description Trunk port on CAT Switch ## C3550 Port 1 ## no ip address ip access-group blockweb in ip access-group blockweb out no ip redirects ip directed-broadcast

153

no ip proxy-arp ip pim sparse-mode ip flow ingress load-interval 30 duplex auto speed auto ! interface GigabitEthernet0/1.10 description Connect to CAT Internet encapsulation dot1Q 512 ip address 61.19.52.222 255.255.255.252 ip flow ingress ip virtual-reassembly in ipv6 address 2001:C38:9007:13::9931:2/64 ! interface GigabitEthernet0/2 description To_FW_Dell ip address 61.19.98.201 255.255.255.0 duplex auto speed auto ipv6 address 2001:C38:9046:FFFF:FFFF::1/80 ipv6 enable ! ip forward-protocol nd ! ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ip route 0.0.0.0 0.0.0.0 61.19.52.221

154

ip route 10.0.0.0 255.0.0.0 61.19.98.202 ip route 10.255.255.0 255.255.255.240 61.19.98.202 name DNS_CAT_LDD ip route 61.19.98.80 255.255.255.255 61.19.98.202 ip route 61.19.98.122 255.255.255.255 61.19.98.202 ip route 61.19.98.125 255.255.255.255 61.19.98.202 ip route 61.19.98.126 255.255.255.255 61.19.98.202 ip route 61.19.98.127 255.255.255.255 61.19.98.202 ip route 61.19.98.150 255.255.255.255 61.19.98.202 ip route 61.19.98.151 255.255.255.255 61.19.98.202 ip route 61.19.98.152 255.255.255.255 61.19.98.202 ip route 61.19.98.191 255.255.255.255 61.19.98.202 ip route 172.17.1.0 255.255.255.248 61.19.98.202 ip route 192.168.70.0 255.255.255.0 61.19.98.202 ip route 192.168.71.0 255.255.255.0 61.19.98.202 ! ip access-list extended blockweb deny ip any host 74.114.13.9 deny ip host 74.114.13.9 any deny ip any host 141.101.118.58 deny ip any host 141.101.118.59 deny ip any host 17.149.160.49 deny ip any host 17.251.200.70 deny ip any host 192.33.14.30 deny tcp any range 137 139 any permit ip any any ! ipv6 route 2001:C38:9046::/48 GigabitEthernet0/2 FE80::C0EA:E4FF:FE87:3E69 ipv6 route ::/0 GigabitEthernet0/1.10 2001:C38:9007:13::9931:1 ! no cdp run

155

! ! control-plane ! ! ! line con 0 login local line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 privilege level 15 login local transport input telnet ssh line vty 5 15 privilege level 15 login local transport input telnet ssh ! scheduler allocate 20000 1000 end

ผลงานฉบับเต็ม - LDD Assessment/wean/pch... · ภาพที่ 29...

Documents

Transcript of ผลงานฉบับเต็ม - LDD Assessment/wean/pch... · ภาพที่ 29...