Download
1 / 80
830 likes | 995 Views
伺服器安全管理. 成大計網中心 楊峻榮 yang@mail.ncku.edu.tw. 大綱. 資安概念 與 本校資安機制 Windows 伺服器安全管理 Linux 伺服器 安全管理. 資安 概念 與 本校 資安 機制. 資訊安全概念 ( 觀念 ). 看不見問題,並不代表沒有問題。 資訊安全是一個持續性的工作,而其防護措施也沒有極限。 安全機制非萬能,也沒有 100% 安全的系統,因此防護的目的,是在提高攻擊的成本。 了解真正問題點 ( 弱點 ) ,才能施以正確及合乎效益的控制措施。 便利性和安全性總是相衝突的,實施的控制措施應該是在合理的平衡點。
E N D
伺服器安全管理 成大計網中心 楊峻榮 yang@mail.ncku.edu.tw
大綱 資安概念與本校資安機制 Windows伺服器安全管理 Linux伺服器安全管理
資訊安全概念(觀念) 看不見問題,並不代表沒有問題。 資訊安全是一個持續性的工作,而其防護措施也沒有極限。 安全機制非萬能,也沒有100%安全的系統,因此防護的目的,是在提高攻擊的成本。 了解真正問題點(弱點),才能施以正確及合乎效益的控制措施。 便利性和安全性總是相衝突的,實施的控制措施應該是在合理的平衡點。 資訊安全領域不只是網路安全(駭客,病毒)而已,而是機密性、完整性、可用性及適法性。
資訊安全概念(實務) • 系統基本防護措施 • 防毒軟體、防火牆、patch update 。 • 裝設防毒軟體並不代表不會中毒,裝設防火牆或入侵防禦系統也不代表就不可能被入侵。 • 重裝OS是高成本的解決方式,並且可能會引發新的問題(如忘記補Patch、組態遺失)。 • 不要開啟無法確定或不必要之Service、需開放者也須考量開放之範圍與程度。 • 對於協力廠商,要有一套管制及因應措施。 • 對於系統必須有一套預防、事件處理及善後處理的措施。 • 系統建立(軟硬體)須經安全性評估。 • 定期資料備份及回復測試,也需定期檢視備份之來源與目的之設定。
資訊安全弱點 系統漏洞 人為疏失 因服務需要或過於注重便利性 無危機意識(事前預防) 無所謂(事發後的處理方式及態度) 無專人負責之系統 實體環境不良 測試環境
資訊安全威脅 病毒或worm DoS或DDoS 間諜程式 後門或木馬程式 暴力破解 社交工程 網路掃瞄(無線或有線) 廣告(垃圾)信件轉發
駭客入侵程序 • 1:偵察 (Reconnaissance) • 找尋目標 • 2:掃瞄 (Scanning) • 找尋有那些門戶 • 3:特徵採集 (Fingerprinting) • 找尋有那些漏洞 • 4:入侵 (Break-in) • 5:入侵後活動 • 提升權限 :可為所欲為 • 降低主機安全設定:方便操作 • 修改系統命令:避免被偵測 • 刪除電腦稽核記錄:滅跡 • 安裝後門程式:方便再度光臨
惡意程式破壞程序 (1)經由原有漏洞入侵或感染。 (2)建立檔案或修改組態。 (3)破壞及向外感染或攻擊。 (4)開啟新漏洞或後門以便下次不費吹灰之力可再進入系統。 • 惡意程式清除措施可解決(2)、(3)及部份(4),因此也必須清除或阻絕原有漏洞(1)。
發現惡意程式執行的處置 防堵:阻絕再次感染之途徑及災情擴大。 清除:清除已存在之惡意程式。 偵測:持續偵測預防惡意程式再次感染及確認已完全清除。
本校常見之資安事件 病毒 入侵(跳板較多,目地較少) DOS(阻絕服務) 匿名信件或廣告信 誹謗事件 被當成釣魚網站 網頁置換
本校資安措施 • 網路安全設備 • 防火牆、防毒牆、入侵防禦系統 • 防毒機制 • 提供個人及Server之防毒軟體 • 目前提供symantec、趨勢officescan、Avira • IP控管及列管 • 與單位系所配合 • 對外攻擊IP管制 • 事件通報與諮詢 • yang@mail.ncku.edu.tw;61016 • 弱點掃描 • DragonSoft、Nessus,並給予報告及建議
本校資安措施 • 資安及軟體檢視 • 每學期一次 • 伺服器控管 • 伺服器IP address、services、負責人列管 • 教育訓練 • 針對一般使用者、網管或系統管理人員 • 事件處理小組 • 處理各種緊急或重大之資安事件 • 訊息通告 • 以www或mail方式發佈資安訊息 • http://www.cc.ncku.edu.tw/security/
系統基本安全機制 • Windows系統安全三要素 • 防毒軟體 • 防火牆 • Windows update
防毒軟體 • 某些防毒軟體分server及個人版OS(Avira…)。 • 一般防毒軟體(檔案防護型)之基本功能為即時掃瞄和檔案掃瞄。 • 郵件及Web掃瞄(client端)及某些附屬功能如防火牆、入侵偵測可視需要開啟。 • 某些針對服務(mail、ftp、Web…)之防毒軟體(非檔案防護型)視政策而定安裝。 • 系統只需安裝一套防毒軟體即可。 • 時常檢視防毒軟體記錄及病毒碼之有效性。 • 一些免費掃毒軟體(無防毒功能)在疑似中毒之處理有不錯之效果,並,可應用多套以避免有漏網之魚。
偵測到外來攻擊時防毒軟體反應 • 中毒之定義:惡意程式已寫入檔案中,並已啟動執行 • 防毒軟體針對外來攻擊之反應(尚未中毒) • 偵測 • 由pattern比對是否為Virus,記錄檔案所在位置供處理階段參考 • 實例:防毒體體找到病毒並知道它要寫入那個位置 • 阻擋 • 阻止病毒資料進入磁碟機 • 實例:所以病毒並未寫入 • 處理 • 依設定決定對於此檔案清除,刪除或隔離 • 實例:防毒軟體要去刪該檔,當然不存在
已確定中毒之處理 • 拔掉網路線 • 由別台電腦下載掃毒軟體(可多種)並copy至問題電腦中 • Dr.WebCurelt!之免費掃毒軟體 http://www.freedrweb.com/download+cureit/ • 趨勢system clean : 下載http://www.trendmicro.com/ftp/products/tsc/sysclean.com及http://www.trendmicro.com.tw/widget/patterns/default.asp之最新病毒碼並解壓縮於同一資料夾下(含sysclean.com), 再執行sysclean • Kaspersky Virus Removal Tool 2010 :須安裝, 可於安全模式下安裝 http://support.kaspersky.com/viruses/avptool2010?level=2 • F-Secure Easy Clean: http://download.f-secure.com/estore/fseasyclean.exe • 重開機至安全模式 • 執行全區掃瞄 • 假如有找到並清除 • 掃瞄完後檢視掃瞄結果,若有無法清除或刪除之惡意檔案,以檔案總管看該檔是否存在(注意檢視之前檔案總管之 工具/資料夾選項/檢視 之進階設定須點選「顯示所有檔案及資料夾」及將「隱藏保護的作業系統檔案」勾勾去掉)。 • 持續監控 • 假如沒找到 • 求助
防火牆 • 防火牆管制方向是以建立連線方向而定,而非封包傳輸方向。 • 防火牆政策 • 正面表列:列表之政策開放,其餘管制;此方式較適合伺服器佈署。 • 負面表列:列表之政策管制,其餘開放。 • 基本Windows防火牆只針對程式之運作傳輸做管制 • 因此可考量使用進階型防火牆(Vista、Windows7)或另安裝防火牆(某些防毒軟體附屬功能)軟體。 • 某些防火牆軟體附屬IPS功能。 • 某些服務應用程式(如IIS)可針對領域做管制。 • 時常檢視防火牆政策(基本型為例外清單)及連線記錄。
Windows update • 伺服器應考量是否必須設定auto update: • 是否因update後影響服務程式之執行 • 是否先下載而更新再另行執行 • 自動更新時段之考量 • 伺服器應選影響服務運作最小時執行 • 一般平台 • 若需還原更新 • 開始/控制台/新增移除程式(須勾選[顯示更新]) • 參考資訊:開始/Windows Update/檢視更新資料
帳號管理 • 使用者管理之目標 • 無不當之使用者,如已離職、測試用、Guest • 有正確之使用權限 • 有強固之密碼,降低遭暴力破解之機率 • 使用者與群組 • 使用者:各別使用者之識別,各使用者之權限依其隸屬那個群組而定 • 群組:定義群組內各使用者之權限
服務(Service)管理 • 本講題伺服器之定義 • 凡舉提供TCP/IP應用服務皆可稱為伺服器(Server),而非以硬體或OS來定義 • 一般通用Server:WWW(http)、mail(SMTP、POP)、ftp • 服務(Service)即會開啟TCP or UDP port供本機或外部連接進行傳輸運作 • 開啟服務=啟動程式 • 定義於 控制台/系統管理工具/服務 • 登錄表啟動描述 • 手動執行啟動及其他 • User 啟動描述 • \Documents and Settings\<用戶名字>\「開始」功能表\程式\啟動 • \Documents and Settings\All Users 「開始」功能表\程式\啟動
登錄表啟動描述 HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Service監看工具 • Netstat • 於命令提示字元輸入 netstat -ab • ProcessExplorer • 顯示各process之狀態 • CurrPorts • 顯示TCP/UDP各port之連線狀況及其執行之程式 • 可設定Auto Refresh • Freeware
程序(process)管理 • 了解目前系統中各程序執行之狀況及其所使用之資源。 • 就安全角度而言,是了解是否有異常之程序在執行。 • 被植入之惡意程式 • 佔用大量資源之程序 • 使用工具 • 工作管理員TaskMgr(Ctrl+Alt+Del) • ProcessExplorer • Freeware 可提供完整之程序資訊
稽核(事件檢視) • 經由日誌檔了解系統已發生之問題或潛在之問題 • 控制台/系統管理工具/事件檢視器 預設三種日誌 • 應用程式日誌 • 包含由應用程式或程式記錄的事件。例如,資料庫程式會將檔案錯誤記錄在應用程式日誌中。要記錄哪些事件是由應用程式的開發者所決定。 • 安全性日誌 • 會記錄正確及不正確的登入嘗試事件,以及資源使用的相關事件,如建立、開啟或刪除檔案或其他物件。例如,如果啟用了登入稽核,則安全性日誌中會記錄登入系統的嘗試。 • 須開啟安全性原則 • 系統日誌 • 包含由 Window 系統元件記錄的事件。例如,啟動時驅動程式或其他系統元件載入失敗,會記錄在系統日誌內。伺服器事先決定系統元件所記錄的事件類型。
Event Log Explorer • 查閱系統的安全性、系統、應用程式以及其它的紀錄事件。 • 能夠迅速地由這些被記錄下的事件中找出可能導致你的系統發生錯誤的原因。 • 經由篩選功能快速找出關鍵訊息。 • 可備份及Export log 。 • 可查閱其他windows平台event log • 要有該主機之帳密權限。 • freeware
本機安全性原則 • 本機安全性原則 • 安全性原則是由一些足以影響電腦安全性的安全性設定所組合。 • 編輯本機電腦上的帳戶原則及本機原則。 • 您可以使用本機安全性原則來控制: • 誰可以存取您的電腦。 • 授權使用者可以使用電腦上的哪些資源。 • 使用者或群組的動作是否會記錄到事件日誌中
本機安全性設定項目 • 帳戶原則 • 包括密碼及帳戶鎖定原則,可設定密碼最小長度、有效期限及帳戶登入失敗因應措施等。 • 本機原則 • 包括稽核原則、使用者權限指派及安全性選項,可用來控制使用者登入環境、設定裝置的預設行為和存取性、控制網路存取的層級、控制「系統關機」的行為及日誌稽核設定等。 • 公開金鑰原則 • 用來設定加密資料的修復代理,並分配憑證信任清單 (CTL)、信任授權單位等。 • 軟體限制原則 • 提供系統管理者用以識別軟體,並控制其在本機電腦上執行的能力。 • 在本機電腦上的IP安全性原則 • 用來設定IPSec規則。
本機安全性設定-常用安全設定 • 安全性選項→啟用「互動式登入:不要顯示上次登入的使用者名稱」 • 啟用此設定後,系統於登入時,會同時要求輸入使用者名稱及密碼,而不再自動顯示上次登入的使用者名稱,如此可避免登入帳號洩露的風險。 • 安全性選項→停用「關機:允許不登入就將系統關機」。 • 停用此設定後,在登入的對話框中關機的按鍵就會消失,如此可避免重要系統被任意關機的風險。 • 安全性選項→啟用「互動式登入:不要求按 CTRL+ALT+DEL 鍵 • 啟用此設定後,系統登入時即自動出現要求輸入使用者名稱及密碼的畫面,不須再按「CTRL+ALT+DEL 鍵」,在某些情況下,對於一些入侵程式可以增加入侵系統的困難度。 • 密碼原則→設定「最小密碼長度:8 個字元」。 • 設定此項後,使用者變更的密碼長度必須在 8 個字元以上,可避免密碼過短導致容易猜測的風險。 • 帳戶原則→密碼原則→啟用「密碼必須符合複雜性需求」。 • 啟用此設定後,系統會要求使用者變更的密碼必須包含英數及特殊符號混合的密碼,可避免密碼遭暴力破解。 • 帳戶原則→密碼原則→設定「強制執行密碼歷程記錄:5 記憶的密碼」。 • 設定此項後,系統會記住五組您先前輸入過的帳號,且系統會要求使用者變更的密碼不能與先前五組相同。 • 帳戶原則→密碼原則→設定「密碼最長有效期:30 天」 • 設定此項後,系統會在 30 天後,要求使用者變更密碼,可避免密碼因長期未更換,遭致暴力破解。 • 本機原則→安全性選項→設定「帳戶:重新命名系統管理員帳戶」。 • 設定此項後,可修改系統預設的系統管理員帳號 Administrator 為其他帳號,可增加惡意人士猜測系統管理員帳號密碼的困難度。
資料管理 • 資料保護目的 • 備份 • 資料隱藏 • 防竄改 • 資料重要性分級 • 依資料(或檔案)之重要性以不同的備份機制或管制措施。 • 資料屬性分類 • 依資料(或檔案)之屬性(只讀or讀寫)施以不同的備份機制或管制措施,例如讀寫檔案與只讀檔案備份頻率不同。 • 資料應用分類 • 依業務應用or應用類別,施以不同的備份機制或管制措施及分類。 • 資料儲存屬性 • Online & offline
資料備份 • 針對資料之重要性,施以不同之備份媒體。 • 同分割區檔案複製:資料夾1->資料夾2。 • 不同分割區,同硬碟檔案複製: C: -> D:。 • 不同硬碟檔案複製:硬碟1->硬碟2。 • 不同儲存媒體之檔案複製:光碟、隨身碟、Tape…。 • 不同主機之檔案複製(備份) :異地備份 • 針對資料之重要性,施以不同之備份方式: • 檔案複製 • Windows 備份還原,可施以標準、增量、差異等不同備份方式。 • 其他備份軟體。 • 異地備援:針對online_date之異地access • 針對資料之重要性,施以不同之備份頻率及保留版本。 • 需定期回復測試及審核備份範圍與媒體保存之安全性。
資料備份方式 • 本機檔案複製 • 同檔案系統(分割區)檔案複製(備份) • 不同檔案系統(分割區)檔案複製(備份) • 不同實體硬碟之檔案複製(備份) • 不同儲存媒體之檔案複製(備份) • 檔案傳輸軟體 • ftp • 網芳間之檔案複製 • 備份軟體 • 「製作備份」 • 壓縮打包工具winrar • 製作光碟 • 遠端備份軟體(異地備份) • Backup_client -> Backup_server • 異地備援 • 針對online_date之異地access
