Security in Computer Systems and Networks

งานนำเสนอเรื่อง: "Security in Computer Systems and Networks"— ใบสำเนางานนำเสนอ:

1 235034 Security in Computer Systems and Networks
Windows Security Lec. Sanchai Yeewiyom School of Information and Communication Technology University of Phayao

2 Objective Hardening Web Servers & Services
Windows Workstation Services Windows Remote Access Services Windows Authentication Web Browsers File-Sharing Applications Mail Client Instant Messaging เครื่องมือรักษาความปลอดภัยใน Windows

3 Hardening การ Configuration การทำงานของ Software, Hardware อุปกรณ์ต่างๆ ในระบบเครือข่าย เพื่อทำให้ระบบเครือข่ายมีความแข็งแรง มีความปลอดภัย ต่อการถูกโจมตี

4 Web Servers & Services การโจมตีมักเกิดในรูปแบบ ดังนี้
DoS (Denial of Service), DDoS (Distributed Denial of Service) การเปิดเผยหรือการเจาะเข้าไฟล์ที่สำคัญ การ Run โค้ดหรือคำสั่งของระบบ การเจาะเข้าระบบได้อย่างสมบูรณ์ (ได้สิทธิ์ Admin ของระบบ)

5 Web Servers & Services ตัวอย่าง ระบบที่มีช่องโหว่
Internet Information Service : IIS Apache Sun One PHP

6 Web Servers & Services การตรวจสอบช่องโหว่
(Common Vulnerabilities and Exposures) (Secunia corporate information) (ThaiCERT) Website ของผู้ผลิต

7 Web Servers & Services เครื่องมือที่ใช้ในการตรวจสอบช่องโหว่ LANguard
Nessus SARA Nikto eEye Retina Microsoft Baseline Security Analyzer

8 Web Servers & Services การป้องกันและแก้ไข
Update ซอฟต์แวร์ และ ระบบปฏิบัติการ, ติดตั้ง Patch ล่าสุด, ใช้บริการ Update อัตโนมัติ ติดตั้ง Anti Virus, Host-based IDS, หมั่นตรวจสอบ Log Disable Script Engine ที่ไม่ได้ใช้งาน เช่น VBScript, JavaScript เก็บ Log, ตรวจสอบเป็นประจำ, ใช้เครื่องมือช่วยวิเคราะห์ Log, รวมถึงเก็บ Log ไว้ที่เครื่องอื่น

9 Web Servers & Services ลบเครื่องมือบางอย่างที่อาจถูกใช้โดย Hacker เพื่อโจมตีเครื่องอื่น เช่น ftp.exe, remote.exe, telnet.exe จำกัดการรัน Application อื่นที่ไม่เกี่ยวข้อง ระมัดระวังการเชื่อมต่อจาก Web Servers สาธารณะภายนอกเครือข่าย ควรใช้ Account ที่แตกต่างกัน ระหว่าง Servers ที่ให้บริการสาธารณะและที่ให้บริการภายในเครือข่าย

10 Windows Workstation Services
มีหน้าที่รับผิดชอบเกี่ยวกับการร้องขอของ User เพื่อเข้าถึงทรัพยากรต่างๆ ในระบบเครือข่าย เช่น File, Printer มีช่องโหว่เรื่อง Buffer Overflow ทำให้ผู้โจมตีสามารถควบคุมเครื่องได้โดยใช้สิทธิ์ของ System Code ที่ใช้ในการเจาะระบบมีแจกจ่ายใน Internet และถูกนำไปใช้ในการโจมตี ตัวอย่างเช่น Worm ที่ชื่อ PhaBot/GaoBot พบช่องโหว่นี้ทั้งใน Windows Server และ Windows XP

11 Win32/Gaobot worm The operating system shuts down after displaying the following dialog box:                                  Your computer reboots without user interaction. You may see a system shutdown dialog box:                                  

12 Windows Workstation Services
การป้องกัน ติดตั้ง Service Pack เปิดฟังก์ชัน Automatic Update เพื่อให้มีการปรับปรุงให้ทันสมัยตลอด ให้ Firewall ปิด Port ที่ใช้ในการโจมตี ของ SMB (Server Message Block) คือ Port 139/TCP, 445/TCP เปิด Port ที่จำเป็นเท่านั้น โดยให้เปิด Port ที่สูงกว่า 1024 เพื่อป้องกันการโจมตีที่ใช้ DCE/RPC (Distributed Computing Environment / Remote Procedure Calls)

13 Windows Workstation Services
ใช้ฟังก์ชัน TCP Filtering เพื่อ Block การเข้าถึงระบบจากภายนอกผ่าน Port ที่เกี่ยวข้อง ติดตั้ง Patch ของ Application ที่นำมาใช้งานให้เรียบร้อย ระบบที่เป็น Stand Alone ควร Disable ฟังก์ชัน Windows Workstation Services ถ้าไม่จำเป็นต้องใช้งาน

14 Windows Remote Access Services
Windows รองรับการทำงานผ่านเครือข่ายหลายวิธี และหลาย Protocol ซึ่งในแต่ละวิธีจะมีช่องโหว่ที่ถูกโจมตีที่แตกต่างกัน ได้แก่ NetBIOS Anonymous Logon Remote Registry Access Remote Procedure Call (RPC)

15 Windows Remote Access Services
NetBIOS ใช้สำหรับการแชร์ File และ Folder ผ่านระบบเครือข่าย โดยใช้ Protocol Server Message Block (SMB) หรือ Common Internet File System (CIFS) ที่อนุญาตให้เข้าใช้ File หรือ Folder ของเครื่องอื่นเสมือนเป็นของตัวเอง การเปิดแชร์แบบ Full มีความเสี่ยง Worm Nimda, Sircam ใช้ช่องโหว่นี้ในการแพร่ระบาดโดยการค้นหาเครื่องที่เปิดแบบ Full แล้ว Copy ตัวเองไปไว้เครื่องนั้น

16 Windows Remote Access Services
Anonymous Logon เป็นการเชื่อมต่อโดยไม่ต้องระบุ Username และ Password เรียกอีกอย่างว่า Null Session อาจเข้าถึงข้อมูลต่างๆ ของระบบได้ เช่น ข้อมูล User, กลุ่มของ User, File และ Folder ซึ่ง Windows NT ใช้วิธีการนี้ติดต่อกับ Service อื่นๆ ทำให้ไม่สามารถพิสูจน์ทราบความมีตัวตนของผู้ติดต่อได้

17 Windows Remote Access Services
Remote Registry Access Windows ใช้ระบบฐานข้อมูลที่เรียกว่า Registry ในการจัดเก็บค่า Configuration ต่างๆ ของ Software, อุปกรณ์ต่อพ่วง และ User หาก Configuration ระบบไม่ถูกต้องอาจถูกโจมตีจนเข้าถึง Registry ได้ อาจทำให้ผู้โจมตีสามารถควบคุมเครื่องและสั่งรัน Application ที่ต้องการได้

18 Windows Remote Access Services
Remote Procedure Call (RPC) เป็นการสื่อสารระหว่าง Process ที่อนุญาตให้ Application ที่รันอยู่บนเครื่องหนึ่ง สามารถรัน Code บนอีกเครื่องหนึ่งได้ ช่องโหว่นี้ถูกใช้โดย Worm Blaster, Nachi ในการโจมตีแบบ DoS

19 Windows Remote Access Services
การตรวจสอบช่องโหว่ NetBIOS NbtScan ใช้ Scan การแชร์ไฟล์ของระบบเป้าหมาย Nltest ใช้ตรวจสอบการแชร์ไฟล์อย่างละเอียด MBSA (Microsoft Baseline Security Analyzer) ใช้ Scan หาช่องโหว่จาก SMB (Server Message Block) คำสั่ง Net Share บน Windows สามารถแสดงให้เห็นว่ามีการแชร์อะไรบ้าง

20 Net Share

21 Windows Remote Access Services
Anonymous Logon ใช้คำสั่ง ดังนี้ net use \\IP address\IPC$ "" /u:"" EXP. net use \\ \IPC$ "" /u:"" คำสั่งนี้จะเชื่อมต่อกับการแชร์ที่ซ่อนไว้ (IPC : Interprocess Communication) ไปยังเครื่องที่มี IP Address ที่กำหนด หากเชื่อมต่อได้แสดงว่าอาจมีช่องโหว่อยู่

22 Windows Remote Access Services
Remote Registry Access ใช้เครื่องมือที่มากับ CD ชื่อ Regdump.exe เพื่อตรวจสอบว่าเครื่องใดมีปัญหาเกี่ยวกับสิทธิ์ในการเข้าถึงจากระยะไกล Remote Procedure Call (RPC) ใช้ MBSA (Microsoft Baseline Security Analyzer) ใช้ Scan หาช่องโหว่

23 Windows Remote Access Services
การป้องกันช่องโหว่ NetBIOS ตรวจสอบการแชร์ทั้งหมดที่ซ่อนไว้ เช่น C$, D$, E$, ADMIN$ ปิดการทำงานแชร์ Default ที่ซ่อนไว้ หากจำเป็นต้องแชร์ ให้แชร์แบบ User Level เพื่อควบคุมการเข้าถึงข้อมูล รวมถึงมีการกำหนดรหัสผ่าน

24 Windows Remote Access Services
ไม่ควรแชร์ไฟล์กับ Host ที่อยู่บนอินเทอร์เน็ต ควรแชร์ไฟล์โดยการกำหนด IP Address เนื่องจากการกำหนดโดยใช้ชื่อ Domain อาจถูก Spoof ได้ Anonymous Logon แก้ไข Registry โดยการไม่อนุญาตให้เชื่อมต่อแบบ Anonymous Logon Remote Registry Access ควรมีการจำกัดสิทธิ์ในการเข้าถึงโดยการแก้ไข Registry

25 Windows Remote Access Services
Remote Procedure Call (RPC) ติดตั้ง Patch ตามที่ MBSA แนะนำ เปิดฟังก์ชัน Automatic Update

26 Windows Authentication
เป็นการพิสูจน์ทราบตัวตนก่อนการเข้าใช้งานระบบ โดยปกติใช้ Username และ Password อาจถูกโจมตีที่ Password ที่มีจุดอ่อน ได้แก่ ใช้รหัสผ่านที่ง่าย หรือไม่ใช้เลย เก็บรักษารหัสผ่านไม่ดี หลาย Application ใช้ Algorithm ในการเข้ารหัส Password ที่เป็นที่รู้จักทั่วไป หรือเก็บค่า Hash ของ Password ไว้ในที่ที่ผู้ใช้งานสามารถเข้าถึงได้ ไม่ได้ยกเลิก Account ของพนักงานที่ออกไปแล้ว

27 Windows Authentication
การป้องกัน ทำรหัสผ่านให้มีความแข็งแรง ได้แก่ กำหนดรหัสผ่านให้มีความซับซ้อนและยาวพอสมควร บังคับให้มีการเปลี่ยนรหัสผ่านตามระยะเวลาที่กำหนด บันทึกประวัติการใช้รหัสผ่าน เพื่อป้องกันไม่ให้ User ใช้รหัสผ่านเดิมซ้ำบ่อยๆ

28 Windows Authentication
ปกป้องรหัสผ่าน ไม่ให้ถูกขโมย ไม่บอกให้ผู้อื่นทราบ ไม่ควรจดบันทึกรหัสผ่าน มีการเข้ารหัสรหัสผ่านในระบบ ควบคุมบัญชีผู้ใช้อย่างเคร่งครัด เช่น ลบบัญชีผู้ใช้ที่ไม่ได้ใช้งานทิ้ง บันทึกการใช้งานของแต่ละบัญชีผู้ใช้ กำหนดขั้นตอนที่ชัดเจนในการเพิ่มผู้ใช้ ตรวจสอบรายชื่อผู้ใช้เป็นประจำเพื่อดูความเปลี่ยนแปลงที่ผิดปกติ กำหนดนโยบายที่เคร่งครัดเกี่ยวกับรหัสผ่าน

29 Web Browsers ปัญหาเกี่ยวกับ Web Browsers
มีช่องโหว่จำนวนมาก เนื่องจากมีผู้ใช้งานจำนวนมาก ใช้เวลาในการพัฒนา Patch นาน บางช่องโหว่ยังไม่มี Patch ออกมาแก้ไข ActiveX, Plug-in และ Active Scripting (JavaScript, VBScript) ถูกนำมาใช้ในการหลีกเลี่ยงระบบรักษาความปลอดภัย Cross-Site Scripting (XSS) โดย Hacker จะมีการฝัง Script บางอย่างที่เป็นอันตรายลงในเว็บไซต์ ทำให้ผู้ใช้งานโดนโจมตีโดยไม่รู้ตัว และทำงานโดยใช้สิทธิ์ของผู้ใช้โดยไม่ต้องตรวจสอบสิทธิ์

30 Web Browsers การตรวจสอบและป้องกัน
ตรวจสอบระบบโดยใช้เครื่องมือ เช่น MBSA Upgrade Web Browsers ให้เป็น Version ล่าสุด Web Site ส่วนใหญ่จะไม่ใช้ ActiveX ดังนั้น อาจ Disable ได้ แต่อาจมีผลกระทบกับงานบางอย่าง เช่น Windows Update ผ่านทาง Web Site

31 File-Sharing Applications
ช่องโหว่ จำแนกเป็น 3 ประเภท คือ Technical Vulnerability : เป็นช่องโหว่ที่ผู้ไม่หวังดีสามารถเจาะเข้าระบบจากระยะไกลได้ Social Vulnerability : ช่องโหว่ที่ผู้ไม่หวังดี สามารถแชร์ข้อมูลที่มีเนื้อหาไม่ถูกต้อง มีการเปลี่ยนแปลงแก้ไข หรือหลอกลวง Legal Vulnerability : ช่องโหว่ที่ใช้ในการแลกเปลี่ยนไฟล์ที่ผิดกฎหมาย ละเมิดลิขสิทธิ์

32 File-Sharing Applications
การตรวจสอบช่องโหว่ ตรวจสอบ ในระบบ โดยเน้น Port ที่โปรแกรมเหล่านั้นใช้ เช่น TCP (Bit Torrent) โดยใช้เครื่องมือต่างๆ เช่น Intrusion Prevention System (IPS) เพื่อป้องกันการติดตั้งและรัน Network Based Application Recognition (NBAR) ของ Cisco ช่วยตรวจจับและป้องกัน Traffic เข้าออกเครือข่าย หรือใช้ NTOP (Network top) ตรวจจับ Traffic ของ P2P และการ Scan Disk ที่ใช้เก็บข้อมูลของระบบ เพื่อค้นหาไฟล์ที่นิยม Download

33 Network Based Application Recognition (NBAR)

34 NTOP

35 File-Sharing Applications
การป้องกัน ไม่อนุญาตให้ติดตั้งโปรแกรมก่อนได้รับอนุญาต โดยเฉพาะโปรแกรม P2P ใช้ Proxy Server ในการควบคุมการใช้งานอินเทอร์เน็ต กำหนดให้ Firewall ปิดทุก Port ที่ไม่จำเป็น Monitor เครือข่ายเพื่อตรวจดู Traffic ของ P2P เนื่องจากบางตัวอาศัย Port 80 (http) ติดตั้ง Antivirus และ Update เป็นประจำ

36 Mail Client ตัวอย่าง เช่น Microsoft Outlook
ความเสี่ยงที่เกิดขึ้น ได้แก่ Virus Worm Trojan Malicious Code Spam Web Beaconing : เป็นการ Monitor ดูว่า Web หรือ Mail ถูกเปิดแล้วหรือยัง เพื่อเป็นการตรวจสอบความถูกต้องของ Address โดยการฝัง transparent gif image หรือ image ที่มีสีเดียวกันกับ background ลงใน Web หรือ Mail

37 Mail Client การป้องกันเบื้องต้น Update เป็นประจำ เปิด Automatic Update
Disable ฟังก์ชัน Message Preview Pane เพื่อป้องกันการแสดงเนื้อหาของอีเมล์โดยอัตโนมัติ เพิ่มความเข้มงวดในการตรวจสอบ Mail ที่เข้ามา ด้วยตัวเอง และใช้ระบบช่วยโดยปรับค่า Restricted Sites Zone ให้เป็น High

38 Mail Client ไม่ควรเปิดไฟล์ที่ไม่แน่ใจว่าจะปลอดภัย ซึ่งอาจต้องตรวจสอบ Digital Signature ของผู้ส่งด้วย เลือกใช้ Antivirus ที่สามารถ Scan Mail ที่รับเข้ามาและส่งออกไป

39 Instant Messaging ตัวอย่าง เช่น Yahoo Messenger, MSN (Windows Live Messenger ) ช่องโหว่ที่เกิดขึ้นมักทำให้เกิดปัญหา Buffer Overflow ซึ่งมีสาเหตุจาก ActiveX ที่ล้าสมัย หรือเกิดจากการโอนถ่ายไฟล์ การป้องกันทำได้โดย Update โปรแกรม Instant Messaging กำหนดให้ IDS และ IPS แจ้งเตือนกรณีมีการโอนถ่ายไฟล์โดย โปรแกรม Instant Messaging

40 Instant Messaging กำหนดให้ Firewall ปิด Port ต่อไปนี้
5050/TCP : Yahoo Messenger 1863/TCP : MSN Messenger (Windows Live Messenger ) 6891/TCP : MSN Messenger File Transfer Block การเข้าถึง Web ที่ใช้ ActiveX ที่มีปัญหากับ Messenger

41 เครื่องมือรักษาความปลอดภัยใน Windows
Microsoft จัดตั้ง Trustworthy Computing (TwC) ขึ้นเพื่อช่วยในการรักษาความปลอดภัยให้กับผู้ใช้งาน Software ของบริษัท ประกอบด้วย 3 เทคโนโลยี Microsoft Malware Protection Center (MMPC) : ประกอบด้วยผู้เชี่ยวชาญและนักวิจัยด้านการรักษาความปลอดภัยจากภัยคุกคามใหม่ๆ Microsoft Security Engineering Center (MSEC) : ทีมพัฒนาข้อแนะนำ หรือแนวทาง การพัฒนาซอฟท์แวร์ของ Microsoft

42 เครื่องมือรักษาความปลอดภัยใน Windows
Microsoft Security Response Center (MSRC) : ทีมงานตอบสนองต่อเหตุการณ์ด้านการรักษาความปลอดภัยที่เกิดขึ้น ตลอด 24 ชั่วโมง และแจ้งเตือนทันทีที่มีเหตุการณ์

43 เครื่องมือรักษาความปลอดภัยใน Windows
Microsoft Forefront : มีเครื่องมือ 2 ตัว คือ ISA (Internet Security and Acceleration) ที่ช่วยปกป้องในระดับเครือข่าย และ Microsoft Forefront Client Security ที่ช่วยเสริมการทำงานให้กับเครื่องลูกข่ายในการป้องกัน Malware ที่เล็ดลอดเข้ามา Windows Live OneCare : ช่วยตรวจสอบและลบ Malware ปรับปรุงประสิทธิภาพการทำงานของระบบ สำรองข้อมูล

44 Microsoft Forefront

45 Windows Live OneCare

46 เครื่องมือรักษาความปลอดภัยใน Windows
Windows Defender : ช่วยปกป้อง Spyware และ Software ที่ไม่พึงประสงค์ต่างๆ ทำงานแบบ Real-time Protection สามารถเข้าร่วม Community เพื่อรับทราบข้อมูลข่าวสารและปกป้องระบบโดยอัตโนมัติ Malicious Software Removal Tools : ทำงานแบบ Standalone ใช้ในการแก้ปัญหาที่เกิดขึ้นจากการติดเชื้อ สามารถตรวจสอบและกำจัดได้ แต่ไม่สามารถทำงานแทนที่ Anti Virus

47 Windows Defender

48 Malicious Software Removal Tools

49 เครื่องมือรักษาความปลอดภัยใน Windows
Microsoft Security Bulletin : ทำหน้าที่ออกประกาศเพื่อแจ้งเตือนเกี่ยวกับภัยคุกคามใหม่ๆ หรือช่องโหว่ที่เกิดขึ้นในผลิตภัณฑ์ของ Microsoft รวมถึงแนวทางป้องกันและแก้ไข ( Microsoft Knowledge Base : ฐานข้อมูลบทความเกี่ยวกับผลิตภัณฑ์และเทคโนโลยีของ Microsoft

50 Microsoft Security Bulletin

51 Microsoft Knowledge Base