WEBVTT

00:00.270 --> 00:01.103
-: ในบทเรียนนี้

00:01.103 --> 00:03.690
เราจะมุ่งเน้นไปที่การติดตามและตรวจสอบ

00:03.690 --> 00:05.343
เริ่มจากการตรวจสอบก่อน

00:05.343 --> 00:11.130
เมื่อเราพูดถึงการตรวจสอบ งานหลักอย่างหนึ่งของนักวิเคราะห์ความปลอดภัยคือการตรวจสอบเครือข่าย

00:11.130 --> 00:12.150
เราเป็นเหมือนนักสืบ

00:12.150 --> 00:14.970
เรากำลังพยายามกำจัดสิ่งที่ดูไม่ถูกต้องออกไป

00:14.970 --> 00:18.180
และสามารถทำได้ด้วยตนเองหรือด้วยวิธีอัตโนมัติ

00:18.180 --> 00:21.150
ขณะนี้ syslog เป็นโปรโตคอลสำหรับการเปิดใช้งานอุปกรณ์และแอปพลิเคชันซอฟต์แวร์ต่างๆ

00:21.150 --> 00:26.520
เพื่อส่งบันทึกหรือบันทึกเหตุการณ์ไปยังเซิร์ฟเวอร์ส่วนกลาง

00:26.520 --> 00:30.300
ตอนนี้ syslog กำลังจะทำตามโมเดลเซิร์ฟเวอร์ไคลเอนต์มาตรฐาน

00:30.300 --> 00:35.490
และนี่คือมาตรฐาน defacto สำหรับการบันทึกเหตุการณ์จากระบบแบบกระจายทั่วทั้งเครือข่าย

00:35.490 --> 00:40.950
คุณจะเห็น syslog ใช้งานอยู่ในระบบมากมายที่คุณจะใช้งานในแต่ละวัน

00:40.950 --> 00:45.270
ขณะนี้ syslog ทำงานบนระบบปฏิบัติการส่วนใหญ่และอุปกรณ์เครือข่ายส่วนใหญ่

00:45.270 --> 00:47.310
ดังนั้นไม่ว่าคุณจะใช้เราเตอร์ Cisco หรือใช้เครื่องที่ใช้

00:47.310 --> 00:49.920
Windows หรือเซิร์ฟเวอร์ Linux ทั้งหมดก็สามารถใช้

00:49.920 --> 00:51.630
syslog ได้

00:51.630 --> 00:53.490
เมื่อเราส่งข้อความเหล่านี้กลับ

00:53.490 --> 00:55.920
ข้อความ syslog มีลักษณะอย่างไร

00:55.920 --> 00:58.860
ข้อความ syslog จะมีสองสิ่ง

00:58.860 --> 01:01.530
ประกอบด้วยรหัส PRI ซึ่งเป็นรหัสลำดับความสำคัญ

01:01.530 --> 01:04.410
ประกอบด้วยส่วนหัวและมีส่วนข้อความ

01:04.410 --> 01:05.610
เรามาพูดถึงแต่ละข้อกัน

01:05.610 --> 01:08.040
อันดับแรก เรามีรหัส PRI นี้ ลำดับความสำคัญนี้

01:08.040 --> 01:12.450
และจะคำนวณตามสิ่งอำนวยความสะดวกและระดับความรุนแรงของข้อมูล

01:12.450 --> 01:17.190
ต่อไป เรามีส่วนหัวและส่วนหัวจะมีการประทับเวลาของเหตุการณ์และชื่อโฮสต์

01:17.190 --> 01:20.160
ดังนั้นเราจึงรู้ว่ามันมาจากไหนและเวลาเท่าไหร่

01:20.160 --> 01:24.360
และสุดท้าย เรามีส่วนของข้อความซึ่งมีกระบวนการแหล่งที่มาของเหตุการณ์และเนื้อหาที่เกี่ยวข้อง

01:24.360 --> 01:28.560
โดยพื้นฐานแล้วข้อมูลใดที่เกิดขึ้นและคุณต้องการบอกเราเกี่ยวกับอะไร

01:28.560 --> 01:30.570
และนั่นคือแนวคิดในส่วนข้อความ

01:30.570 --> 01:33.390
นี่คือเนื้อและมันฝรั่งของข้อความนี้

01:33.390 --> 01:34.800
ตอนนี้ เมื่อเราจัดการกับ

01:34.800 --> 01:37.770
syslog มีข้อบกพร่องเล็กน้อยในเวอร์ชันดั้งเดิม

01:37.770 --> 01:40.230
โปรโตคอลเดิมใช้ UDP

01:40.230 --> 01:42.990
ขณะนี้สิ่งนี้อาจทำให้เกิดปัญหาในการจัดส่งกับเครือข่ายที่คับคั่ง

01:42.990 --> 01:45.510
เนื่องจาก UDP เป็นโปรโตคอลที่หยุดทำงานและลืม

01:45.510 --> 01:48.270
มันส่งไปและไม่รอการตอบกลับและรับทราบ

01:48.270 --> 01:50.250
และมันก็แค่ถือว่ามันไปถึงที่นั่นแล้ว

01:50.250 --> 01:51.420
หากคุณมีเครือข่ายที่คับคั่ง

01:51.420 --> 01:57.630
คุณอาจมีข้อมูลหลุด ดังนั้นข้อมูลของคุณจะไม่ไปถึงเซิร์ฟเวอร์บันทึกและไม่ถูกบันทึก

01:57.630 --> 02:00.930
ในช่วงแรกอาจไม่เป็นไร เพราะผู้คนคิดว่าทุกคนในเครือข่ายของคุณไว้ใจได้

02:00.930 --> 02:04.080
แต่ทุกวันนี้เราไม่ต้องการเช่นนั้น

02:04.080 --> 02:05.760
เราต้องการให้แน่ใจว่าข้อมูลของเราไปถึงที่นั่น

02:05.760 --> 02:07.920
ดังนั้นเราจะต้องหาทางออกสำหรับเรื่องนี้

02:07.920 --> 02:11.640
ประการที่สองคือไม่มีการควบคุมความปลอดภัยขั้นพื้นฐานมากนัก

02:11.640 --> 02:14.070
ไม่มีอะไรที่เหมือนกับการเข้ารหัสหรือการรับรองความถูกต้องรวมอยู่ใน

02:14.070 --> 02:16.080
syslog โดยค่าเริ่มต้น

02:16.080 --> 02:17.850
และนี่ก็เป็นข้อเสียเปรียบอีกครั้ง

02:17.850 --> 02:21.750
ดังนั้นในการใช้งาน syslog สมัยใหม่ เราได้แก้ไขสิ่งเหล่านี้

02:21.750 --> 02:23.220
เนื่องจากปัญหาด้านความปลอดภัยเหล่านี้

02:23.220 --> 02:25.590
การใช้งาน syslog ที่ใหม่กว่าของเราได้เพิ่มคุณลักษณะและความสามารถต่างๆ

02:25.590 --> 02:27.510
มากมาย

02:27.510 --> 02:29.400
และเราจะพูดถึงสองสามข้อที่นี่

02:29.400 --> 02:34.170
การใช้งานที่ใหม่กว่าครั้งแรกใช้ TCP สำหรับการจัดส่งที่สอดคล้องกัน

02:34.170 --> 02:37.770
ด้วยวิธีนี้ หากเครือข่ายแออัดและข้อความนั้นไม่สามารถไปถึงได้

02:37.770 --> 02:39.600
เครือข่ายจะส่งซ้ำแล้วซ้ำเล่าเพราะใช้

02:39.600 --> 02:41.220
TCP

02:41.220 --> 02:43.470
การปรับปรุงครั้งที่สอง การใช้งานที่ใหม่กว่า

02:43.470 --> 02:46.230
สามารถใช้ TLS หรือการรักษาความปลอดภัยเลเยอร์การขนส่ง

02:46.230 --> 02:49.050
เพื่อเข้ารหัสข้อความของคุณที่ส่งไปยังเซิร์ฟเวอร์

02:49.050 --> 02:52.580
วิธีนี้จะทำให้คนอื่นในเครือข่ายไม่สามารถอ่านข้อมูลที่อยู่ระหว่างการส่งได้

02:52.580 --> 02:57.510
สามารถอ่านได้โดยปลายทางที่ส่งและเซิร์ฟเวอร์ที่รับเท่านั้น

02:57.510 --> 02:58.343
ประการที่สามคือการใช้งานที่ใหม่กว่ายังใช้

02:58.343 --> 03:04.950
MD5 และ SHA1 เพื่อให้การรับรองความถูกต้องและความสมบูรณ์

03:04.950 --> 03:07.770
วิธีนี้ช่วยให้ข้อความมีการตรวจสอบสิทธิ์และความสมบูรณ์ของข้อความขณะที่กำลังเปลี่ยนผ่านเครือข่ายของคุณ

03:07.770 --> 03:12.930
เพื่อให้แน่ใจว่าข้อความเหล่านั้นจะไม่ถูกรบกวนโดยบุคคลอื่น

03:12.930 --> 03:14.730
อีกครั้งคุณสมบัติอื่น ๆ อีกมากมาย

03:14.730 --> 03:16.920
ฉันไม่ได้โฟกัสที่ชุดนี้มากเกินไป เพราะจริงๆ

03:16.920 --> 03:19.290
แล้วสามสิ่งหลักที่เราสนใจคือเราได้ย้ายไปที่

03:19.290 --> 03:21.900
TCP เพื่อการส่งมอบที่สม่ำเสมอ

03:21.900 --> 03:23.910
เราได้เปลี่ยนไปใช้ TLS เพื่อเข้ารหัส

03:23.910 --> 03:28.050
และเราเริ่มใช้ MD5 และ SHA1 สำหรับการรับรองความถูกต้องและความสมบูรณ์

03:28.050 --> 03:30.090
ตอนนี้เซิร์ฟเวอร์เวอร์ชันที่ใหม่กว่านี้มักจะเรียกว่า

03:30.090 --> 03:35.490
syslog-ng สำหรับ syslog รุ่นต่อไปหรือ rsyslog

03:35.490 --> 03:37.470
ตอนนี้สิ่งสุดท้ายที่ฉันอยากจะพูดถึงเกี่ยวกับ

03:37.470 --> 03:40.560
syslog คือ syslog มักจะใช้เพื่อหมายถึงสามสิ่ง

03:40.560 --> 03:43.380
มันสามารถอ้างถึงโปรโตคอลที่เราส่งข้อมูลไป

03:43.380 --> 03:46.410
สามารถอ้างอิงถึงเซิร์ฟเวอร์ในเซิร์ฟเวอร์

03:46.410 --> 03:48.690
syslog หรือสามารถอ้างถึงรายการบันทึกในข้อมูล

03:48.690 --> 03:50.430
syslog

03:50.430 --> 03:54.090
ผู้คนมักจะพูดว่า syslog และพวกเขาหมายถึงทั้งสามหรือหนึ่งในสามนี้

03:54.090 --> 03:55.470
ขึ้นอยู่กับบริบท

03:55.470 --> 04:01.860
ดังนั้นโปรดระวังเมื่อคุณได้ยินคนพูดถึงในอุตสาหกรรมเพื่อให้แน่ใจว่าคุณเข้าใจว่าหนึ่งในสามที่พวกเขากำลังพูดถึง

04:01.860 --> 04:03.810
SNMP คือคนต่อไปของเรา

04:03.810 --> 04:06.900
SNMP เป็นโปรโตคอลการจัดการเครือข่ายอย่างง่าย

04:06.900 --> 04:12.000
เป็นโปรโตคอล TCP ที่ช่วยในการตรวจสอบอุปกรณ์และคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่าย

04:12.000 --> 04:14.520
SNMP ถูกรวมอยู่ในระบบการจัดการและการตรวจสอบเครือข่าย

04:14.520 --> 04:18.840
และมีการใช้อย่างมากในแนวคิดของการจัดการและการตรวจสอบ

04:18.840 --> 04:21.870
SNMP แบ่งออกเป็นสามองค์ประกอบ

04:21.870 --> 04:24.030
มีอุปกรณ์ที่ได้รับการจัดการ เอเจนต์

04:24.030 --> 04:26.370
และระบบการจัดการเครือข่ายเอง

04:26.370 --> 04:28.020
เราพูดถึงอุปกรณ์ที่มีการจัดการ

04:28.020 --> 04:30.510
นี่คือคอมพิวเตอร์และอุปกรณ์เชื่อมต่อเครือข่ายอื่นๆ

04:30.510 --> 04:34.380
ที่ได้รับการตรวจสอบผ่านการใช้ตัวแทนโดยระบบการจัดการเครือข่าย

04:34.380 --> 04:37.560
ตัวแทนคือซอฟต์แวร์ที่โหลดลงในอุปกรณ์ที่มีการจัดการ

04:37.560 --> 04:42.510
และสิ่งนี้ช่วยให้เราเปลี่ยนเส้นทางข้อมูลไปยังระบบการจัดการเครือข่ายที่จะทำการตรวจสอบ

04:42.510 --> 04:52.230
และระบบการจัดการเครือข่าย หรือ NMS เป็นซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์หนึ่งเครื่องขึ้นไปที่ควบคุมการตรวจสอบอุปกรณ์และคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายทั้งหมดทั่วทั้งเครือข่าย

04:52.230 --> 04:54.840
SNMP เป็นกาวที่ทำให้ทั้งสามสื่อสารกันโดยใช้โปรโตคอล

04:54.840 --> 04:58.080
SNMP นั้น

04:58.080 --> 05:00.570
ทั้งหมดนี้มีลักษณะอย่างไรภายในเครือข่าย

05:00.570 --> 05:03.180
บนหน้าจอ คุณจะเห็นไดอะแกรมสั้นๆ

05:03.180 --> 05:05.910
ทางด้านซ้ายคือสถานีการจัดการเครือข่ายหรือ NMS

05:05.910 --> 05:09.000
ซึ่งเป็นส่วนหนึ่งของระบบการจัดการเครือข่ายของเรา

05:09.000 --> 05:10.830
สิ่งนี้จะทำหน้าที่เป็นผู้จัดการของเรา

05:10.830 --> 05:15.060
และจะส่งและรับข้อความไปยังอุปกรณ์ที่ได้รับการจัดการทั้งหมดทั่วทั้งเครือข่าย

05:15.060 --> 05:17.850
เราเตอร์ สวิตช์ และเซิร์ฟเวอร์ของคุณใช่ไหม

05:17.850 --> 05:19.290
ตอนนี้เมื่อต้องการข้อมูล

05:19.290 --> 05:25.890
ก็จะส่งคำขอรับ จากนั้นอุปกรณ์เหล่านั้นจะส่งข้อมูลกลับโดยใช้คำขอที่ตั้งไว้

05:25.890 --> 05:27.960
ขณะนี้ยังมีสิ่งที่เรียกว่าคำขอดักจับ

05:27.960 --> 05:31.320
ซึ่งจะได้รับข้อมูลที่ไม่พึงประสงค์จากอุปกรณ์การจัดการเหล่านั้น

05:31.320 --> 05:34.440
โดยที่พวกเขาเพียงแค่ส่งข้อมูลตามต้องการเป็นระยะๆ

05:34.440 --> 05:38.070
ดังนั้นเมื่อคุณดำเนินการจัดการเครือข่ายทั้งหมดนี้โดยใช้

05:38.070 --> 05:40.620
SNMP คุณจะมีสองทางเลือกในการส่งข้อมูล

05:40.620 --> 05:42.690
คุณสามารถส่งผ่านเครือข่ายที่คุณใช้อยู่

05:42.690 --> 05:44.670
ซึ่งเรียกว่าการสื่อสารในวง

05:44.670 --> 05:46.830
หรือส่งนอกวงก็ได้

05:46.830 --> 05:47.940
ตอนนี้ เมื่อคุณดำเนินการในแบนด์

05:47.940 --> 05:54.120
นั่นหมายความว่าคุณกำลังจะส่งข้อมูลการจัดการนี้ผ่านเครือข่ายเดียวกันกับที่เก็บข้อมูลองค์กรและข้อมูลปกติของคุณ

05:54.120 --> 05:57.600
สิ่งนี้ถูกกว่า ง่ายกว่า แต่ปลอดภัยน้อยกว่า

05:57.600 --> 05:58.710
ตอนนี้ เพื่อความปลอดภัยยิ่งขึ้น

05:58.710 --> 06:00.930
คุณควรสร้างเครือข่ายนอกแบนด์

06:00.930 --> 06:02.760
นี่เป็นเครือข่ายรองที่การจัดการทั้งหมดเกิดขึ้น

06:02.760 --> 06:10.050
แต่คุณยังมีเครือข่ายหลักในวงที่ซึ่งข้อมูลทั้งหมดที่ผู้ใช้จะได้รับจะเกิดขึ้น

06:10.050 --> 06:11.610
การจัดการควรดำเนินการบนเครือข่ายนอกแบนด์เสมอ

06:11.610 --> 06:18.993
เพราะจะเพิ่มความปลอดภัยและนำฟังก์ชันการจัดการนั้นออกจากที่ที่ผู้ใช้สามารถสัมผัสหรือมองเห็นได้