server hardening - courses.moowan.meexample linux os hardening oตั้งค่าkernel...

Server Hardening

หวขอทนำเสนอ

Linux Hardening

Windows Hardening

Security

Security Tools

01

02

03

04

การรกษาความปลอดภย

o ความปลอดภยการดแลจดการ ฮารดแวร ซอฟตแวร และขอมล ใหพนจากอนตรายตาง ๆ เชน อาชญากรรมคอมพวเตอร ภยธรรมชาต ภยคกคามอนๆ

o ความเปนสวนตวการปกปองขอมลสวนตวทไมตองการเปดเผยของผใช

ความปลอดภย

o ความปลอดภยของเครองคอมพวเตอร

o ความปลอดภยของซอฟทแวร

o ความปลอดภยของขอมล

ความปลอดภยของเครองคอมพวเตอร

o การปองกนการโจรกรรมo การใชงานอยางระมดระวง

o การใชอปกรณไฟฟาสำรอง

o การปองกนความเสยหาย

ความปลอดภยของซอฟตแวร

o กรรมสทธของซอฟตแวร§ Freeware§ Shareware/trial ware

o การละเมดลขสทธ

o การโจรกรรมซอฟตแวร

o การปองกนความเสยหาย

ความปลอดภยของขอมล

o แผนการปองกนขอมล

o การโจรกรรมขอมล

o การเขาถงขอมลเฉพาะผมสทธ

o การปองกนความเสยหาย

o การสำรองขอมล

การปองกน

การระบตวผใชและการเขาถงขอมล� การใชรหสผาน� การระบผใชโดยใชลกษณะทางพนธกรรม :

ลายนวมอ ลายมอ ใบหนา มานตา � การใชลายเซน เสยงพด� การบตรผาน� การปฏบตตน

การปองกน

o การทำลายขอมลทง

o การควบคมภายใน (log file)

o การตรวจเชคจากผตรวจสอบ

o การตรวจสอบผสมคร

o โปรแกรมปองกน

การปองกน

o การทำลายขอมลทง

o การควบคมภายใน (log file)

o การตรวจเชคจากผตรวจสอบ

o การตรวจสอบผสมคร

o โปรแกรมปองกน

Linux Hardening

จดมงหมายของการทำ Hardening

ปองกนการโจมตชองโหวจาก Hackers หรอ Crackers

อะไรคอการ Hardening

o Process of securing a Systemo Reduce surface of vulnerability

o Need to do as basis when install

เหตใดทตองดำเนนการ Hardening

o ตดตงความปลอดภยเพมเตมจาก Default ของระบบ

o ระบบปฏบตการทตดตงบางครงไมไดเปน Patch ท Update ลาสดจะตองตดตง

o ม Bug ทเกดขนจากการตดตง Software

หลกการทำ Hardening OS

o Least Privilege หมายถงการอนญาตใหผใชเขาระบบหรอเขาถงขอมลทแตกตางกนตามภาระหนาทความรบผดชอบ

o Capabilities หมายถงความสามารถในการ

o Mandatory Access Control หมายถงการใหความสำคญกบการควบคมสทธการใชงาน

o Logging Everything หมายถงการเกบ Log ของกจกรรมทเกยวของทงหมด

Hardening OS

o การตดตง Patches หรอ Services Packo การตดตงเครองมอดแลรกษาความปลอดภย

- Lyris

- Rootkit Hunter- Syslog NG

o ตดตงกฎและนโยบายความปลอดภย- การจำกดสทธการเขาใชระบบตาง ๆ

- ปดบรการหรอโปรเซสทไมไดใชงาน

- นโยบายการใชรหสผานเพอความปลอดภย

การดำเนนการ

o ยกเลกการเชอมตอเครอขายo ตรวจสอบแหลงทมาของ Repository ทเชอถอได

o ทำตามขอกำหนดมาตรฐานของการตดตงของแตละ OS

o ปดหรอยกเลกบรการทไมจำเปนหรอไมไดใชงานo เปด Automatic Update สำหรบ OS

Example Linux OS Hardening

o ตดตง OSo ตดตงการ Update OS รนลาสด

$ apt-get update $ apt-get upgrade

o ตดตงโปรแกรมเพอตรวจสอบ Rootkit$ apt-get install rkhunter$ rkhunter --update$ rkhunter --propupd

Example Linux OS Hardening

o ยกเลกผใชทไมไดรบอนญาตใหใชงาน

$ cat /etc/passwd$ passwd -l <accountName>

o อนญาตใหเขาใชงานไดเฉพาะบางบรการ$ iptables -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT$ iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT$ iptables -A INPUT -I lo -j ACCEPT$ iptables -A INPUT -j DROP

Example Linux OS Hardening

o ตงคาการเขาใชงาน SSHPermitRootLogin noAllowUsers <accountName>Port 22222PermitEmptyPasswords no

o ยกเลกผใชทไมไดรบอนญาตใหใชงาน

$ cat /etc/passwd$ passwd -l <accountName>

Example Linux OS Hardening

o ตงคา Kernel Parameter# IP Spoofing protectionnet.ipv4.conf.default.rp_filter = 1net.ipv4.conf.all.rp_filter = 1# Block SYN attacksnet.ipv4.tcp_syncookies = 1# Controls IP packet forwardingnet.ipv4.ip_forward = 0# Ignore ICMP redirectsnet.ipv4.conf.all.accept_redirects = 0net.ipv6.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0net.ipv6.conf.default.accept_redirects = 0

Example Linux OS Hardening

o ตงคา Default UMASKumask 0022

o ตงคาการใชงานรหสผาน$ vi /etc/login.defs

PASS_MAX_DAYS 180PASS_MIN_DAYS 0 PASS_WARN_AGE 15LOGIN_RETRIES 3LOGIN_TIMEOUT 30

$ apt-get -y install libpam-pwquality cracklib-runtime$ vi /etc/pam.d/common-password

Example Linux OS Hardening

o ตดตง Firewall$ ufw statusแสดงกฎตาง ๆ

$ ufw show rawเปดการใชงาน

$ ufw enableอนญาตบรการ

$ ufw allow 22/tcp$ ufw allow 80/tcp$ ufw allow 443/tcp

Example Windows Server OS Hardening

o ตดตง Windows Servero ตดตง Licenses ของ Windows Server

Example Windows Server OS Hardening

o Add User และปรบแตงคาความปลอดภย

Example Windows Server OS Hardening

o ตดตงคาความปลอดภย

Example Windows Server OS Hardening

o ปรบแตงคา Account Policies

Example Windows Server OS Hardening

o ปรบแตงคา Local Policies -> User Rights

Example Windows Server OS Hardening

o ปรบแตงคาของ Firewall

การตรวจสอบระบบความปลอดภย (Security Auditing)

o เพอประเมนความเสยงของความปลอดภยo อยบนพนฐานของ Policy ของแตละระบบ

o มทงการจดทำนโยบายและการปฏบต

o การตรวจสอบจะตรวจสอบ Host , Network หรออปกรณตาง ๆ

การตรวจสอบระบบความปลอดภย (Security Auditing)

o นโยบายการรกษาความปลอดภยสรางจากอะไรo ตามโครงสรางพนฐานขององคกร

o ตามแพลตฟอรมของแตละองคกร

o สวนประกอบตองประกอบดวยอะไรบางo ใครเปนผทจะตองกำหนดนโยบาย

o ถาไมมนโยบายกำหนดจะทำอยางไร

สวนประกอบของนโยบายรกษาความปลอดภย

o ใครสามารถใชทรพยากรของระบบไดบางo ใชทรพยากรในฐานะของผใชหรอมสทธ Admin

o กำหนดหนาทความรบผดชอบใหแตละผใช

o กำหนดการดำเนนการกบสารสนเทศทมความ Sensitiveo กำหนดคาความปลอดภยของแตละระบบทแตกตางกน

ทำไมตองทำการตรวจสอบความปลอดภย

o สารสนเทศคอทรพยสนทมมลคาo วดระดบของการปฏบตตามนโยบาย

o ประเมนความและระดบรกษาความปลอดภย

o ประเมนความเสยหายทอาจจะเกดขนo บรหารการเปลยนแปลง

o เกดเหตททำใหตองไดรบการแกไข

เมอไหรทจะดำเนนการตรวจสอบความปลอดภย

o มเหตฉกเฉนทเกดขนกบความปลอดภยของระบบo กอนการนำระบบใดระบบหนงมาใชงาน

o ทำตามกรอบระยะเวลาตามมาตรฐานหรอการปรบปรงระบบ

เครองมอทใชดำเนนการตรวจสอบความปลอดภย

o netstat o nmap

o zenmap

o nessus

เครองมอทใชดำเนนการตรวจสอบความปลอดภย

เครองมอทใชดำเนนการตรวจสอบความปลอดภย