Encryption Log ของ Endian Firewall เพื่อให้มีความน่าเชื่อถือในชั้นศาล

คุณผู้อ่าน... ท่านที่เคารพ

Log ของ EFW ที่เราเก็บตามพรบ.นั้นเป็น raw log ที่ยังเข้าถึงง่าย และแก้ไขได้ จะเป็นหลักฐานที่ไม่มีความน่าเชื่อถือในชั้นศาล เท่ากับเก็บ log ไม่ถูกต้องมาแต่แรก...

การเก็บ Log จึงควรสร้างความน่าเชื่อถือด้วยการเข้ารหัส (encryption) และตรวจสอบความถูกต้องว่า log นั้นไม่มีการแก้ไขใดๆเมื่อถึงมือศาล (hashing) ใน EFW เราใช้ openssl เข้ารหัสและทำการ hashing

โดยมี concept ดำเนินการดังนี้

1. generate random password เพื่อใช้ประกอบกับ openssl ในการเข้าและถอดรหัส
2. กำหนดตัวแปรวันที่เพื่อใช้เป็น label ให้กับไฟล์ที่จัดเก็บ
3. เข้ารหัสไฟล์ access.log , firewall ติด date label
4. สร้าง file.info ประกอบเพื่อบ่งชี้รหัส hashing กับ พาสเวิร์ดสำหรับการถอดรหัสไฟล์
5. จัดเก็บในสื่อที่เหมาะสม

ตัวอย่างคำสั่ง

กำหนดตัวแปรวันที่เพื่อใช้ประกอบไฟล์

TODAYDAT=`date +%Y-%m-%d-%H%M%S`

Gengerate Random Password

openssl ran -base64 6 -out keyfile$TODAYDAT

ทำการเข้ารหัสไฟล์ log

openssl des3 -in [access.log และ firewall] -out [New Log] -k  keyfile$TODAYDAT

Hasing Code

openssl sha1 $LOGTODAY >> $LOGINFO

เขียนสคิปต์ให้ทำงานทุกวัน
เก็บ log ที่เข้ารหัสแล้วไว้ 90 วันด้วย CD หรือ DVD
เป็นการปิดช่องโหว่ให้ EFW LOG สร้างความน่าเชื่อถือในชั้นศาล

อย่าให้เกิดช่องโหว่ในหลักฐานได้

รำไม่ดี อย่าโทษปี่ โทษเอนเดียน นะครับ

เอวัง....

link ที่น่าสนใจ

http://osxdaily.com/2012/01/30/encrypt-and-decrypt-files-with-openssl/
http://www.madboa.com/geek/openssl/