Embed Size (px)
Citation preview
Server Hardening
หวขอทนำเสนอ
Linux Hardening
Windows Hardening
Security
Security Tools
01
02
03
04
การรกษาความปลอดภย
o ความปลอดภยการดแลจดการ ฮารดแวร ซอฟตแวร และขอมล ใหพนจากอนตรายตาง ๆ เชน อาชญากรรมคอมพวเตอร ภยธรรมชาต ภยคกคามอนๆ
o ความเปนสวนตวการปกปองขอมลสวนตวทไมตองการเปดเผยของผใช
ความปลอดภย
o ความปลอดภยของเครองคอมพวเตอร
o ความปลอดภยของซอฟทแวร
o ความปลอดภยของขอมล
ความปลอดภยของเครองคอมพวเตอร
o การปองกนการโจรกรรมo การใชงานอยางระมดระวง
o การใชอปกรณไฟฟาสำรอง
o การปองกนความเสยหาย
ความปลอดภยของซอฟตแวร
o กรรมสทธของซอฟตแวร§ Freeware§ Shareware/trial ware
o การละเมดลขสทธ
o การโจรกรรมซอฟตแวร
o การปองกนความเสยหาย
ความปลอดภยของขอมล
o แผนการปองกนขอมล
o การโจรกรรมขอมล
o การเขาถงขอมลเฉพาะผมสทธ
o การปองกนความเสยหาย
o การสำรองขอมล
การปองกน
การระบตวผใชและการเขาถงขอมล� การใชรหสผาน� การระบผใชโดยใชลกษณะทางพนธกรรม :
ลายนวมอ ลายมอ ใบหนา มานตา � การใชลายเซน เสยงพด� การบตรผาน� การปฏบตตน
การปองกน
o การทำลายขอมลทง
o การควบคมภายใน (log file)
o การตรวจเชคจากผตรวจสอบ
o การตรวจสอบผสมคร
o โปรแกรมปองกน
การปองกน
o การทำลายขอมลทง
o การควบคมภายใน (log file)
o การตรวจเชคจากผตรวจสอบ
o การตรวจสอบผสมคร
o โปรแกรมปองกน
Linux Hardening
จดมงหมายของการทำ Hardening
ปองกนการโจมตชองโหวจาก Hackers หรอ Crackers
อะไรคอการ Hardening
o Process of securing a Systemo Reduce surface of vulnerability
o Need to do as basis when install
เหตใดทตองดำเนนการ Hardening
o ตดตงความปลอดภยเพมเตมจาก Default ของระบบ
o ระบบปฏบตการทตดตงบางครงไมไดเปน Patch ท Update ลาสดจะตองตดตง
o ม Bug ทเกดขนจากการตดตง Software
หลกการทำ Hardening OS
o Least Privilege หมายถงการอนญาตใหผใชเขาระบบหรอเขาถงขอมลทแตกตางกนตามภาระหนาทความรบผดชอบ
o Capabilities หมายถงความสามารถในการ
o Mandatory Access Control หมายถงการใหความสำคญกบการควบคมสทธการใชงาน
o Logging Everything หมายถงการเกบ Log ของกจกรรมทเกยวของทงหมด
Hardening OS
o การตดตง Patches หรอ Services Packo การตดตงเครองมอดแลรกษาความปลอดภย
- Lyris
- Rootkit Hunter- Syslog NG
o ตดตงกฎและนโยบายความปลอดภย- การจำกดสทธการเขาใชระบบตาง ๆ
- ปดบรการหรอโปรเซสทไมไดใชงาน
- นโยบายการใชรหสผานเพอความปลอดภย
การดำเนนการ
o ยกเลกการเชอมตอเครอขายo ตรวจสอบแหลงทมาของ Repository ทเชอถอได
o ทำตามขอกำหนดมาตรฐานของการตดตงของแตละ OS
o ปดหรอยกเลกบรการทไมจำเปนหรอไมไดใชงานo เปด Automatic Update สำหรบ OS
Example Linux OS Hardening
o ตดตง OSo ตดตงการ Update OS รนลาสด
$ apt-get update $ apt-get upgrade
o ตดตงโปรแกรมเพอตรวจสอบ Rootkit$ apt-get install rkhunter$ rkhunter --update$ rkhunter --propupd
Example Linux OS Hardening
o ยกเลกผใชทไมไดรบอนญาตใหใชงาน
$ cat /etc/passwd$ passwd -l <accountName>
o อนญาตใหเขาใชงานไดเฉพาะบางบรการ$ iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT$ iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT$ iptables -A INPUT -I lo -j ACCEPT$ iptables -A INPUT -j DROP
Example Linux OS Hardening
o ตงคาการเขาใชงาน SSHPermitRootLogin noAllowUsers <accountName>Port 22222PermitEmptyPasswords no
o ยกเลกผใชทไมไดรบอนญาตใหใชงาน
$ cat /etc/passwd$ passwd -l <accountName>
Example Linux OS Hardening
o ตงคา Kernel Parameter# IP Spoofing protectionnet.ipv4.conf.default.rp_filter = 1net.ipv4.conf.all.rp_filter = 1# Block SYN attacksnet.ipv4.tcp_syncookies = 1# Controls IP packet forwardingnet.ipv4.ip_forward = 0# Ignore ICMP redirectsnet.ipv4.conf.all.accept_redirects = 0net.ipv6.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0net.ipv6.conf.default.accept_redirects = 0
Example Linux OS Hardening
o ตงคา Default UMASKumask 0022
o ตงคาการใชงานรหสผาน$ vi /etc/login.defs
PASS_MAX_DAYS 180PASS_MIN_DAYS 0 PASS_WARN_AGE 15LOGIN_RETRIES 3LOGIN_TIMEOUT 30
$ apt-get -y install libpam-pwquality cracklib-runtime$ vi /etc/pam.d/common-password
Example Linux OS Hardening
o ตดตง Firewall$ ufw statusแสดงกฎตาง ๆ
$ ufw show rawเปดการใชงาน
$ ufw enableอนญาตบรการ
$ ufw allow 22/tcp$ ufw allow 80/tcp$ ufw allow 443/tcp
Example Windows Server OS Hardening
o ตดตง Windows Servero ตดตง Licenses ของ Windows Server
Example Windows Server OS Hardening
o Add User และปรบแตงคาความปลอดภย
Example Windows Server OS Hardening
o ตดตงคาความปลอดภย
Example Windows Server OS Hardening
o ปรบแตงคา Account Policies
Example Windows Server OS Hardening
o ปรบแตงคา Local Policies -> User Rights
Example Windows Server OS Hardening
o ปรบแตงคาของ Firewall
การตรวจสอบระบบความปลอดภย (Security Auditing)
o เพอประเมนความเสยงของความปลอดภยo อยบนพนฐานของ Policy ของแตละระบบ
o มทงการจดทำนโยบายและการปฏบต
o การตรวจสอบจะตรวจสอบ Host , Network หรออปกรณตาง ๆ
การตรวจสอบระบบความปลอดภย (Security Auditing)
o นโยบายการรกษาความปลอดภยสรางจากอะไรo ตามโครงสรางพนฐานขององคกร
o ตามแพลตฟอรมของแตละองคกร
o สวนประกอบตองประกอบดวยอะไรบางo ใครเปนผทจะตองกำหนดนโยบาย
o ถาไมมนโยบายกำหนดจะทำอยางไร
สวนประกอบของนโยบายรกษาความปลอดภย
o ใครสามารถใชทรพยากรของระบบไดบางo ใชทรพยากรในฐานะของผใชหรอมสทธ Admin
o กำหนดหนาทความรบผดชอบใหแตละผใช
o กำหนดการดำเนนการกบสารสนเทศทมความ Sensitiveo กำหนดคาความปลอดภยของแตละระบบทแตกตางกน
ทำไมตองทำการตรวจสอบความปลอดภย
o สารสนเทศคอทรพยสนทมมลคาo วดระดบของการปฏบตตามนโยบาย
o ประเมนความและระดบรกษาความปลอดภย
o ประเมนความเสยหายทอาจจะเกดขนo บรหารการเปลยนแปลง
o เกดเหตททำใหตองไดรบการแกไข
เมอไหรทจะดำเนนการตรวจสอบความปลอดภย
o มเหตฉกเฉนทเกดขนกบความปลอดภยของระบบo กอนการนำระบบใดระบบหนงมาใชงาน
o ทำตามกรอบระยะเวลาตามมาตรฐานหรอการปรบปรงระบบ
เครองมอทใชดำเนนการตรวจสอบความปลอดภย
o netstat o nmap
o zenmap
o nessus
เครองมอทใชดำเนนการตรวจสอบความปลอดภย
เครองมอทใชดำเนนการตรวจสอบความปลอดภย
