资讯安全的重要
◆企业资讯化的过程,资料以电脑处理、传递和储存并不安全:
--电脑系统可能被入侵、攻击、破坏
--资料可能会被拦截、窃取
--资料可能被不当修改、删除
◆企业重要资料一旦不当揭露、破坏或无法正确提供服务将导致企业重大损失
何谓资讯安全
◆ 资讯安全是一种侦测和防止未经授权而使用、窃取、破坏您资讯系统的一种过程与程序
◆ 资讯安全的工作必须事先妥善规划、确实谨慎实行各项必要的资讯安全措施,并且持续不断的检讨修正实施,以确保随着时间的演进,仍可以维持资讯的安全性
安全管理概念
◆ 理论上来讲,没有不可入侵的系统,风险不可能完全避免。安全管理是将公司组织的风险降低到一个可接受的程度并且持续维持这个可接受程度的过程。
◆ 安全管理人员必须由上往下实施,由上层管理人员至一般员工都必须参与
◆ 为达到安全性的管理目标,安全管理的工作必需区分为下面三个控制层面
-管理控制 security policy
-技术控制 如何落实security policy
-实体控制 预防自然灾害,人类行为
资讯安全的基本原则—C.I.A.
◆ 资讯安全的基本功能及目的不外乎提供资料与资源的Confidentiality(机密性)、Integrity(完整性)、Availability(可用性)
◆ 安全性机制所提供的基本服务:
-机密性确保资料传递与储存的私密性
-完整性避免非经授权的使用者或处理程序窜改资料
-可用性让资料随时保持可用状态
◆ 其他安全性服务:
-不可否认性
-存取控制
-身份验证
-执行力
资讯安全的本质(简单几句话,越来越觉得有道理,需要厘清给所有人知道)
◆ 不方便
◆ 牺牲效率
◆ 提升成本
◆ 不信任与冲突
网路攻击方式与类型
资讯安全问题的主要起源:企业内部网路的弱点必定存在,在弱点暴露且遭有心人士探测得知后,不当存取或破坏企业内部资讯资产
网路攻击问题的发生(弱点暴露)
◆ TCP/IP通讯协定本身的安全性问题
◆ 作业系统与应用程式的瑕疵(app安全性问题大于OS)
◆ 网路与资讯系统管理不当(人员管理上的问题)
◆ 恶意程式的传布与误用
网路入侵攻击的动机与目的
◆ 窃取各种资料、软体
◆ 破坏资料、瘫痪系统,使电脑无法正常运作
◆ 恶作剧
◆ 炫耀能力
骇客入侵流程
◆资讯探查
◆获取权限
◆提升权限
◆建置后门
◆湮灭踪迹
常见的网路攻击型态
◆ Port Scanning
◆ Password Cracking
◆ Denial of Service & DDoS
◆ Virus
◆ Worm
◆ Trojan Horse
◆ IP Spoofing
◆ Session Hijacking
◆ Relay
◆ Sniffering
◆ Social engineering
资讯安全防御技术
有效的防御技术
◆ 降低并避免弱点暴露
-停用或取代有严重弱点存在的服务
-随时更新系统与安全性修补程式
-定期执行弱点扫瞄
-关闭不必要的服务
◆ 提升防御的深度与广度
-Local Security
-Network Security
-Application Security
◆ 提高攻击的困难度
-使本机的攻击难度高
伺服器禁止本机登入
严格的存取控制
变更管理员名称
设定稽核日志功能并定期检视 注:UNIX系列在 etc\syslog.conf
实体防护
-使网路个攻击难度高
停用或移除不必要的帐户
设定严谨或不易猜测的密码
停用不必要的网路服务
关闭资源共享服务
选择安全性的远端管理方法 如terminal service
-使应用程式的攻击难度高
设定正确的应用程式存取与验证方法
随时更新作业系统与应用程式的安全性修正程式
订阅安全性宣告通知
◆ 提升防御纵深
-防火墙
-入侵侦测系统
-防毒系统
Windows系统本机安全防护策略
根据上述原则,开始实作windows系统安全性组态,另可参考视窗平台安全策略.ppt
谨记:NT家族最大的安全风险可以归纳成两大主因:流行性与不安全的预设组态
◆ 做好实体防护,不要被闲杂人等接触主机
◆ 设BIOS密码,视情形停用com port及USB port
◆ administrator更名
◆ 权限控管:使用低权限帐号登入
◆ 停用NetBIOS over TCP/IP (port 137.139.445:关掉alerter 跟Messenger服务,files and printer sharing for MS networks也关 )防御SMB攻击
◆ 不要使用SNMP协定的服务!
◆ group policy设定:window设定>安全性设定>本机原则>安全性选项>
匿名使用者连线的其他限制>没有明确宣告的匿名权限则不能存取。 阻挡null session
网路存取:允许匿名SID名称转译:停用
网路存取:不允许SAM帐号的匿名列举:启用
网路存取:不允许SAM帐号和共用的匿名列举:启用
网路存取:可远端存取的登录路径:清空(视情况啦)
网路存取:可匿名存取的共用:清空
LANMan验证层级:停用LANMan身份验证方式,此演算法有重大缺陷
或是启用「下次变更密码时,不储存Lan Manager杂凑数值」会产生windows环境 向下相容问题
◆ 修改登录编辑档,停用C$及D$资料匣共享
◆ 使用复杂密码(大写.小写.数字.特殊字元,用group policy套)
◆ 关闭机器上没有必要的服务以因应 port scanning及列举(telnet23、smtp25等)
◆ 视情形使用入侵侦测系统提供警示与执行必要阻挡工作(Genius2.0
sinnerz.com/genius...)
◆ 作业系统侦测的对策:尚无…
◆ 可以的话,滤掉ICMP echo等 (type 8 13 17)
◆ 定期使用MBSA扫瞄弱点
◆ 稽核帐户登入事件,注意event529及539,监视是否遭暴力破解法猜密码。同时设定登入失败三次锁帐号N分钟
◆ 尽量使用Run as (执行身份)
◆ 严格控管档案下载及邮件附件开启,以防被植入木马
◆ 注意后门第一选择:HKLM\SOFTWARE\Microsoft\Windows\Current Version底下的Run、Run Once、Run OnceEx、Run Service
◆ 评估使用安全性通讯协定(如SSL)
◆ 随时更新 security patch
◆ 强烈建议使用NAT功能之软硬体做IP伪装(IP分享器或是Linux iptables)
网页入侵篇
网页伺服器入侵
攻击者利用网页伺服器软体本身(或者其中一个附加原件)先天存在的弱点,攻击者准备好现成的适当工具,在几分钟内就能拿下一个网页伺服器(知名范例:Code Red跟Nimda打死IIS)
网页伺服器的弱点大致分为下列类别
◆原始码暴露:不良范本程式档让攻击者可使用目录横越攻击
解决方案:不要安装样本档案
◆正规化(canonicalization):ASP与IIS4.0弱点,用新版的IIS就不要理会这个了
◆WebDAV:想像成网路上的共享硬碟,IIS问题,此处不讨论。
◆缓冲区溢位(buffer flow):塞爆记忆体后,程式再吃记忆体一块的同时,已获得管理 员权限
PHP对策:1.将有问题的指令档移除(抱歉,认识不深,此处细节尚不明)。
2.将PHP指令档升级至最新版本。
3.遇到可输入的栏位时,size跟maxlength属性要限制好,否则被一次送出10亿个字元到伺服器,保证伺服器被一枪毙命
网页应用程式入侵
针对应用程式本身,而不是应用程式赖以执行的网页伺服器软体的攻击对策如下
◆ 预防被人从搜寻网站(如google)找出索引,网页档案避免使用如admin、password、passwd、mail等命名。范例:在google打”index of/admin”
◆ 预防SQL注入,方法有
-对于来自用户端的输入执行严格的输入查验。最好能采用预设拒绝的规则组,只接受预期内的资料。
-用已储存的程序、事先准备的陈述式或ADO命令物件来取代直接的SQL陈述式
-对所有错误都使用同一个通用错误讯息
-锁住ODBC。关闭对用户端的讯息传递,不要让一般SQL陈述式通过,确保任何用户端不能任意持行SQL
-锁住资料库伺服器组态设定,明定使用者、角色、权限
SQL的安全性,小弟算是婴儿,盼诸方大德不吝赐教。
◆ 预防被针对HTML隐藏标签的攻击,就必须避免使用隐藏标签来放置像是价格之类的资讯
总结:
三大要点
1. 让你的伺服器随时保持在最新的修补与最佳实务组态设定,以确保他的安全性
2. 查验所有的使用者输入,要一开始就假设他是有害的,才能制敌机先
3. 定期稽核网页应用程式。在网页入侵方面的防范必须持续努力不懈的对抗最新的工具与技术。因为没有任何厂商能提供自订程式码的修补
Apache组态篇
设定目录别名(aliases)
◆ 有弹性,网页使用空间有无线扩充性
◆ 较长的 url可利用别名目录变成较短,方便输入
◆ 别名目录与真实目录无关,安全性较高
相关组态
◆ HostnameLookups Off –会做FQDN逆向解析,影响效能,预设不开启
◆ LogLevel – 效能考量,不建议显示太多讯息,用warn或者critical即可
◆ ServerSignature – 没啥效用,设off
◆ Timeout – 300
◆ Keepalive on
◆ MaxkeepAliveRequests 预设100,此处要设定,以防DoS攻击
◆ StartServers 中小型网站设8,看情形调整
存取控制
使用者身份验证
监控伺服器的各项状况
加入下面两段
<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from 192.168.30.0/24假设
</Location>
<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from 192.168.30.0/24假设
</Location>
可利用http://网站IP/server-status及http://网站IP/server-info两个网址即可看到伺服器状态
IIS组态篇
◆ 设定目录别名(aliases)便输入
◆ 用来匿名存取IIS的IUSR帐号预设为Guests群组的成员,建议从IIS成员中移除Guests
◆ 仅安装必要的IIS元件
◆ 将网站内容放在专用的磁碟区中(避免被人目录横越,如被人跑到system32下执行cmd你就死了)
◆ NTFS权限设好
档案类型
建议的NTFS权限
CGI档(.exe、.dll、.cmd、.pl)
Everyone(execute)
Administrotors(full control)
System(full control)
指令码档(.asp)
Everyone(execute)
Administrotors(full control)
System(full control)
Include档(.inc、.shtm、.shtml)
Everyone(execute)
Administrotors(full control)
System(full control)
静态内容(.txt、.gif、.jpg、.htm、.html)
Everyone(read-only)
Administrotors(full control)
System(full control)
◆ LOG档记录并定期监控
SQL组态篇
安装完毕后移除不必要之帐号
修改原资料库路径
新增ooxx帐号代替root
删除root帐号
新增帐号并给予适当权限,供购物网连线者使用
