 |
| DNS caching server architecture |
คำตอบคือ ในทางกฎหมายใช้ไม่ได้นะครับ เพราะมีความละเอียดในการยืนยัน ณ จุดที่ใช้งานไม่ละเอียดพอ แต่ช่วยให้การกำหนดกรอบเพื่อติดตามค้นหาตัวบุคคลที่ต้องสงสัยได้เป็นอย่างดีทีเดียว
ผลวิจัยที่ได้คือ ถ้าเอา DNS Log มาเก็บข้อมูล จะมีโอกาสแค่ 37% ที่จะพบตัวผู้ต้องสงสัย, ถ้าหาก Admin ต้องการสืบประวัติการใช้ย้อนหลังไม่เกิน 6 ชั่วโมงผ่าน DNS Log จะมีความแม่นยำที่ 95.20% ซึ่งเป็นเหตุผลที่บอกว่า ถ้าเราเก็บ DNS Log แค่อย่างเดียว ช่วยได้แค่หากรอบการใช้งานของผู้ใช้ได้ดีในด้าน Forensic เพื่อตีกรอบปัญหา แค่เอาไปสรุปในศาลเพื่อชี้ตัวไม่ได้ เว้นแต่จะมีผู้ต้องสงสัยแค่รายเดียวในระบบจึงจะสรุปได้
มองมุมของพื้นที่ของการเก็บ Log การใช้ DNS เก็บ Log อย่างเดียว ประหยัดกว่าใช้ Packet log มากๆ โดยใช้พื้นที่แค่ 2% ของ Packet Log แค่นั้นเอง ถ้าเทียบในมุมมองของพื้นที่แล้วคุ้มค่ามาก ถ้าองค์กรหรือร้านอินเตอร์เน็ตขนาดกลาง สามารถเอาไปประยุกต์ใช้แทนการซื้อ Firewall ตัวละแสนได้ ก็จะประหยัดงบประมาณมากกว่า
การเก็บ Log ของ Access Control Firewall ถ้าจะเอาความละเอียดสูงนั้น คงต้องแนะนำว่า ต้องใช้ Packet Logging หรือ HTTP Caching พวก Squid หรือ Web Accelerator ยังเป็นคำแนะนำอยู่
Network Admin อาจจะเอา DNS Log ไปประยุกต์ใช้กับเครือข่ายที่มี Firewall Specification ต่ำๆ โดยการบังคับให้ DNS มา resolve ใน LAN ที่จุดๆนึง เพื่อทำการเก็บบันทึกได้ ซึ่งอาจจะช่วยตอบโจทย์ของการเก็บ Log ในเบื้องต้นได้ ดีกว่าระบบที่ไม่มีการเก็บ Log อะไรเลย
สรุปจากผลวิจัย การบริหารการใช้การลงบันทึกเหตุการณ์เข้าออกตามระบบการตั้งชื่อโดเมน เพื่อทดแทนการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตามพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับ คอมพิวเตอร์ พ.ศ.2550 ลิขสิทธิ์ของมหาวิทยาลัยศรีปทุม Download Journal [PDF] ที่นี่ครับ
นำเสนอผลงาน National Conference on Computing and Information Technology บทความวิจัยตีพิมพ์ลำดับที่ 55 มหาวิทยาลัยพระจอมเกล้าพระนครเหนือ
Written by Tiwakorn Laophulsuk
No comments:
Post a Comment
Give a comment ...