Đang tải... (xem toàn văn)
Một tài liệu hay hướng dẫn xây dựng khung khảo sát đánh giá lỗ hổng bảo mật của các hệ điều hành máy chủ dịch vụ.Nội dung chính của báo cáo:1. Thông tin server2. Các phương pháp để bảo vệ một máy chủ an toàn3. Các lỗ hổng cần kiểm tra trên hệ điều hành windows4. Lỗ hổng trên hệ điều hành linux5. Kiểm tra chi tiết
Báo cáo an toàn thông tin Xây dựng khung khảo sát đánh giá lỗ hổng bảo mật của các hệ điều hành máy chủ dịch vụ. 1. Thông tin server - Cài hệ điều hành gì -Đang chạy những dịch vụ gì -Port nào đang mở -Cấu hình hệ điều hành 2. Các phương pháp để bảo vệ một máy chủ an toàn - Kiểm soát môi trường phù hợp. Vì vậy các độ ẩm và nhiệt độ cần thiết duy tri. Có điều kiện dự phòng về môi trường a. Kiểm tra nguồn điện cung cấp b. vá lỗi và cập nhật hệ điều hành c. Làm cứng và Cấu hình hệ điều hành để giải quyết vấn đề bảo mật d. Cấu hình xác thực người dùng hệ điều hành e. Kiểm tra an ninh các hệ điều hành f. Hạn chế tài nguyên máy chủ g. Nhật ký(logging) h. Quét lỗ hổng 3. Các lỗ hổng cần kiểm tra trên hệ điều hành windows a. Các lỗ hổng do hệ điều hành - Những lỗ hổng hệ điều hành Microsoft – CEV b. Lỗ hổng do quản trị - Không bật firewall - Đặt mật khẩu yếu - Phân quyền không tốt, không đúng - Cài đặt máy chủ với các thiết lập mặc định Khung khảo sát an toàn thông tin máy chủ Page 1 Báo cáo an toàn thông tin - Lỗ hổng bảo mật chưa được vá trong phần mềm máy chủ, hệ điều hành và các ứng dụng. - Mặc định không cần thiết, sao lưu hoặc file mẫu - Cấu hình không đúng tập tin và quyền thư mục - Dịch vụ không cần thiết được kích hoạt, bao gồm cả quản lý nội dung và quản trị từ xa. - Mặc định tài khoản và mặc định mật khẩu. 4. Lỗ hổng trên hệ điều hành linux 5. Kiểm tra chi tiết 1. Thông tin chung Thông tin chung Địa chỉ IP Mở cổng 80/http Máy chủ Web Microsoft-IIS/6.0 Hệ điều hành Microft Windows Server 2003 R2 Nền tảng framework AspNet-Version-2.0.50727 Tên DNS Trạng thái Hoạt động bình thường Hệ thống máy chủ Windows Hệ thống máy chủ Windows là hệ thống được sử dụng rộng rãi và phổ biến nhất hiện nay do tính thông dụng của nó. Việc bảo mật cho hệ điều hành Windows là thực sự quan trọng. .1 Giới thiệu Windows là phần mềm nguồn đóng có bản quyền do công ty Microsoft giữ và kiểm soát việc phân phối. Vì lý do này, Microsoft đang có một vị trí độc quyền trong lĩnh vực máy tính. Tất cả các phiên bản hệ điều Khung khảo sát an toàn thông tin máy chủ Page 2 Báo cáo an toàn thông tin hành gần đây của Windows đều dựa trên sự phát triển từ phiên bản đầu tiên. .2 Các phiên bản hệ điều hành • Windows NT • Windows 2000 • Windows Server 2003 • Windows Server 2008 .3 Cập nhật các bản vá lỗi Hotfixes Là những bản vá lỗi nhỏ của Microsoft. Có thể sử dụng Active X trong IE để quét những hotfix trong hệ thống chưa được cập nhật và cài đặt chúng. Download Hotfix (http://www.microsoft.com/security) Microsoft Update (http://update.microsoft.com) Windows Update: Giống như là Microsoft Update, nhưng được thực hiện tự động hoặc theo lịch trình. Service packs Là thông tin bản cập nhật mới về sản phẩm vừa được công bố. Service packs có thể bao gồm thông tin cập nhật về độ tin cậy, tính tương thích của chương trình, sự an toàn và nhiều hơn nữa về hệ thống. Tất cả các thông tin cập nhật này được nén lại để thuận tiện cho việc tải về. Service packs có thể bao gồm các hotfix được đưa vào một gói cài đặt lớn (khoảng 100Mb đến 300Mb). Download Service packs (http://www.microsoft.com/downloads) Cài đặt: Cài đặt cùng lúc với hệ điều hành hơạc cài đặt tự động. Lứu ý: Nên triển khai thử nghiệm trước. WSUS (Windows Server Update Services), WSUS Server: Tự động download các hotfix và các Service Pack mới. WSUS Client: Có thể download các hotfix và các Service Pack này từ WSUS Server hoặc từ Microsoft. Download WSUS (http://update.microsoft.com/wsus) Khung khảo sát an toàn thông tin máy chủ Page 3 Báo cáo an toàn thông tin Khuyến cáo nên cập nhật service pack phiên bản mới nhất, cấu hình cập nhật hotfix tự động, luôn theo dõi các bản tin về bảo mật và các bản vá lỗi: • Sans (http://www.sans.org/newsletters/) • Microsoft (http://www.microsoft.com/security/) • Securityfocous (http://www.securityfocous.com/archive/) • Packet Storm (http://www.packetstormsecurity.org/) .4 Windows Access Control Phân quyền NTFS (NTFS Permission) Các tính năng của NTFS bao gồm: • Permission (Phân quyền). • Auditing (Kiểm tra). • Enctyption (Mã hóa). • Compression (Nén). • Transactional (Giao tiếp). • Max size (Dung lượng lớn =16TB). Sử dụng DACL (Discretionary Access Control List) để phân quyền cho tập tin và thư mục. DACL thực thi với: • Local User. • IIS User (HTTP & FTP). • Remote Desktop Protocol. • Shared Folder. • Telnet. DACL mặc định như sau: • System: Full Control. • Administrators: Full Control. • Chủ sở hữu: Full Control. • User có xác thực: Read & Execute. Mọi tài nguyên trên NTFS đều có chủ sở hữu. Chủ sở hữu sẽ có quyền là Full Control đối với Folder, Subfolder, File. Khung khảo sát an toàn thông tin máy chủ Page 4 Báo cáo an toàn thông tin Nguyên tắc phân quyền là một user chỉ được cấp quyền ở mức tối thiểu nhất. Tức là chỉ cấp những quyền thực sự cần thiết đủ để user này thực hiện được một công việc nào đó Phân quyền thư mục chia sẻ (Share Folder Permission) Thực hiện phân quyền với các tài nguyên chia sẻ, cần giới hạn nhóm Everyone không được phép truy cập vào các tài nguyên chia sẻ. Hình … Khuyến cáo nên gỡ bỏ tất cả các chia sẻ không sử dụng (bao gồm cả chia sẻ mặc định), các chia sẻ nếu có phải được thiết lập phân quyền. Phân quyền Registry (Registry Key Permission) Khung khảo sát an toàn thông tin máy chủ Page 5 Báo cáo an toàn thông tin Hình … Cần thiết lập việc phân quyền đối với Registry, gở bỏ tất cả các tài khoản và nhóm người dùng (trừ Administrator) đối với Registry. Đặc quyền (User Rights) User Rights là những thiết lập trên máy tính nhằm kiểm soát xem một User hoăc một Group có thể thực hiện những thao tác gì đối với máy tính đó. Khung khảo sát an toàn thông tin máy chủ Page 6 Báo cáo an toàn thông tin Hình … Những thiết lập nguy hiểm: • Act as part of the operating system. • Create a token object. • Debug programs. • Load and unload device drivers. • Modify firmware environment values. • Restore files and directories. • Take ownership of files or other objects. Một số thiết lập cần lưu ý: • Allow/Deny log on locally Hạn chế người đăng nhập nội bộ; • Allow /Deny log on through Terminal Services Hạn chế người dùng Remote Desktop. Khung khảo sát an toàn thông tin máy chủ Page 7 Báo cáo an toàn thông tin • Take ownership of files or other objects Thay đổi quyền sở hữu của đối tượng. • Backup/Restore files and directories Bỏ qua thiết lập phân quyền NTFS. .5 Thiết lập GPO Password Policy Nhằm đảm bảo mật khẩu đủ mạnh, chiều dài mật khẩu tối đa là 127 ký tự. Khuyến cáo thiết lập: • Lịch sử mật khẩu: 24 mật khẩu. • Ngày lưu mật khẩu tối đa: 90 ngày. • Ngày lưu mật khẩu tối thiểu: 1 ngày. • Chiều dài mật khẩu tối thiểu: 15 ký tự. • Mật khẩu phải đáp ứng các yêu cầu phức tạp: Enable. Account Lockout Policy Nhằm chống lại việc brute force mật khẩu hoăc đoán mật khẩu. Khuyến cáo thiết lập: • Thời gian khóa tài khoản: 120 phút. • Ngưỡng tài khoản bị khóa: 5 lần. • Thiết lập lại số lần đếm khóa tài khoản: 45 phút. Security Options Khuyến cáo một số thiết lập nhằm đảm bảo an toàn: Đối với System: • Tùy chỉnh giao diện người dùng. • Vô hiệu hóa Command prompt. • Vô hiệu hóa công cụ sửa đổi Registry. • Chỉ cho phép chạy ứng dụng của Windows. • Không cho phép chạy những ứng dụng đặc biệt • Vô hiệu hóa Autoplay trên CD-ROM hoặc những ổ đĩa khác. Đối với System: Logon/Logoff • Vô hiệu hóa Task Manager. Khung khảo sát an toàn thông tin máy chủ Page 8 Báo cáo an toàn thông tin • Vô hiệu hóa Lock Computer. • Vô hiệu hóa Change Password. • Vô hiệu hóa Logoff. Đối với Windows Components: Explore • Gở Map Network Drive và Disconnect Network Drive. • Ẩn những ổ đĩa chỉ định trong My Computer. • Ngăn chặn truy cập đến ổ địa từ My Computer. • Gở Computer lân cận trong My Network Places. • Gở Entire Network trong My Network Places. Đối với Windows Components: Task Scheduler • Ẩn Property Pages. • Ngăn chặn Task Run hoặc End. • Vô hiệu hóa Drag-and-Drop. • Vô hiệu hóa New Task Creation. • Vô hiệu hóa Task Delection. • Vô hiệu hóa Advanced Menu. • Cấm Browse. Đối với Start Menu & Taskbar • Gở bỏ những chương trình phổ biến từ Start Menu. • Gở bỏ lệnh Run từ Start Menu. • Vô hiệu hóa và gở bỏ lệnh Shut Down. Đối với Control Panel • Vô hiệu hóa Control Panel. • Ẩn những applet được chỉ định. Đối với Control Panel: Add/Remove Programs • Vô hiệu hóa Add/Remove Programs. • Ẩn tùy chọn Add a program from CD-ROM or floppy disk. Đối với Control Panel: Display • Vô hiệu hóa Display trong Control Panel. • Ẩn tab Background. • Vô hiệu hóa chức năng thay đổi hình nền. Khung khảo sát an toàn thông tin máy chủ Page 9 Báo cáo an toàn thông tin • Ẩn tab Appearance. • Ẩn tab Settings. • Ẩn tab Screen Saver. Đối với Network: Network & Dial-Up Connections • Cấm kết nối RAS. • Cấm truy cập đến thuộc tính của kết nối LAN. • Cấm truy cập đến Advanced Settings. • Cấm cấu hình kết nối chia sẽ. • Cấm cấu hình TCP/IP nâng cao. Guest Account Tài khoản Guest là kiểu tài khoản luôn tự động đăng nhập. Khuyến cáo: • Nên vô hiệu hóa tài khoản Guest hoặc thiết lập cụm mật khẩu ngẫu nhiên ccho tài khoản Guest và tự động từ chối tài khoản Guest với “Simple File Sharing”. Administrative Accounts Một số khuyến cáo: • Phải thực thi chính sách mật khẩu mạnh đối với tài khoản Administrator (Mật khẩu có chiều dài trên 6 ký tự, bao gồm các chữ cái, ký tự số, ký tự đặc biệt) • Yêu cầu xác thực đối với tài khoản Administrator. • Bật tính năng khóa tài khoản khi đăng nhập sai 5 lần. • Nên đổi tên tài khoản Administrator thành một tài khoản khác. • Tạo bẩy Administrator sau khi đã đổi tên tài khoản thật. • Sử dụng hai tài khoản: Regular account (sử dụng thường xuyên) và Administrative account (sử dụng khi cần thiết). .6 Quản lý dịch vụ Đảm bảo an toàn cho các dịch vụ Khuyến cáo: • Xác định những dịch vụ không cần thiết. • Gở bỏ hoặc vô hiệu hóa chúng. Cách thức vô hiệu hóa dịch vụ Khung khảo sát an toàn thông tin máy chủPage 10 [...]... cùng hệ thống Tuy nhiên có một số khác chỉ hoạt động khi thực sự cần thiết (vì lý do an toàn) Vì vậy lựa chọn, sử dụng các dịch vụ một cách hợp lý cũng góp phần làm an toàn hơn đối với các hệ thống máy chủ Tắt tất cả các dịch vụ không cần thiết khi khởi động Khung khảo sát an toàn thông tin máy chủPage 28 Báo cáo an toàn thông tin Cách tốt nhất để hệ thống an toàn là thực thi ít nhất các dịch vụ trên hệ. .. hệ thống Sử dụng các tiện ích có sẵn để liệt kê tất cả các dịch vụ đang thực thi trên hệ thống Tiếp đó xác định các dịch vụ nào là thực sự cần thiết, các dịch vụ còn lại nên tắt đi hoặc gỡ bỏ Ví dụ: Liệt kê tất cả các dịch vụ đang thực thi Trên Ubuntu (Debian): # service status-all Trên CentOS (Redhat): # chkconfig list | grep :on Một số dịch vụ cơ bản • Dịch vụ web Đây là dịch vụ phổ biến nhất hiện... cũng là dịch vụ tìm ẩn nhiều nguy cơ mất an toàn nhất Chi tiết các lỗi bảo mật cũng như cách thức phòng chống sẽ được trình bày trong chương “Vận hành ứng dụng web an toàn” • Dịch vụ SSH SSH là dịch vụ khuyến nghị sử dụng trong các kết nối từ xa trong các hệ thống Linux/Unix, SSH cung cấp một phương thức an toàn trong quá trình trao đổi dữ liệu giữa hai hệ thống Các hướng dẫn chi tiết về dịch vụ này... với các đăng nhập sai mật khẩu quá số lần quy định • Cấu hình hủy bỏ kết nối nếu đăng nhập sai mật khẩu quá số lần quy định • Sử dụng các công cụ để đánh giá mật khẩu • • Đảm bảo tất cả tài khoản phải có mật khẩu theo đúng chính sách quy định Không sử dụng cùng một mật khẩu cho các tài khoản, dịch vụ khác nhau Không công khai mật khẩu cho những người xung quanh Khung khảo sát an toàn thông tin máy chủPage... trong những lỗi nguy hiểm nhất cho dịch vụ này là lỗi Zone Transfers Khi hệ thống bị lỗi này tin tặc có khả năng: Thu thập thông tin về các subdomain bên trong, lợi dụng để tấn công các máy chủ DNS liên quan Một số giải pháp an toàn cho dịch vụ DNS: Sử dụng các phiên bản mới nhất cho DNS server, thiết lập các tập tin cấu hình một cách hợp lý Hệ thống X-windows Trong khoa học máy tính, Hệ thống X Window... đánh giá hệ thống cũng như ứng dụng, lưu giữ các bằng chứng về các hoạt động bất hợp pháp xảy ra đối với hệ thống… Hoạt động ghi lại các thông báo của hệ thống một cách tập trung, nhất quán sẽ gia tăng độ bảo mật cũng như thuận lợi hơn trong việc kiểm soát lỗi Hạn chế tối đa hành động xóa tập tin nhật ký của tin tặc Linux sử dụng hệ thống syslogd để hiển thị và lưu thông tin miêu tả về các sự kiện Hệ. .. được phép truy cập) Các phiên bản vá lỗi: • Cập nhật các phiên bản mới nhất • Theo dõi thông tin cập nhật từ nhiều nguồn khác nhau • Nên triển khai cập nhật trên hệ thống thử nghiệm trước khi cập nhật vào hệ thống thật Tổng quan các lỗ hổng bảo mật trên hệ điều hành Microsoft Windows Server 2003 Mã CVE CVE-20122529 CVE-20121870 CVE-20121850 Loại lỗ hổng Mô tả Overflow +Priv Lỗ hổng này thường gặp trong... nhiệm vụ phân giải tên miền sang địa chỉ ip và ngược lại Dịch vụ này giúp người sử dụng không cần phải nhớ chính xác địa chỉ ip của các server ở xa, thay vào đó người dùng chỉ cần nhớ tên miền của các server này Tuy nhiên, nếu cấu hình không an toàn không đúng phương pháp có thể dẫn tới các lỗi cho server cũng như Khung khảo sát an toàn thông tin máy chủPage 29 Báo cáo an toàn thông tin cho chính dịch vụ. .. SECUNIA:39373 Khung khảo sát an toàn thông tin máy chủPage 27 Báo cáo an toàn thông tin • URL:http://secunia.com/advisories/39373 Testing Dùng tools: Nessus, Nexpose, Metasploit để kiểm tra Pass / Fail Hệ thống đã được fix lỗi này Khi kiểm tra hệ thống chúng tôi còn phát hiện ra các điểm yếu của dịch vụ mà tin tặc -Thiết lập và cấu hình hệ thống máy chủ Linux/Unix... công hệ thống, cách phòng chống Btute-force Đây là một trong số các kỹ thuật tấn công xuất hiện dầu tiên Bruteforce không quá nổi bật nhưng rất hiệu quả khi sử dụng tấn công các hệ thống Linux Brute-force là cách thức đoán username/password trên các Khung khảo sát an toàn thông tin máy chủPage 31 Báo cáo an toàn thông tin dịch vụ yêu cầu chứng thực trước khi được phép truy cập vào tài nguyên hệ thống . Báo cáo an toàn thông tin Xây dựng khung khảo sát đánh giá lỗ hổng bảo mật của các hệ điều hành máy chủ dịch vụ. 1. Thông tin server - Cài hệ điều hành. vào hệ thống thật. Tổng quan các lỗ hổng bảo mật trên hệ điều hành Microsoft Windows Server 2003 Mã CVE Loại lỗ hổng Mô tả CVE-2012- 2529 Overflow +Priv Lỗ hổng này thường gặp trong Microsoft. không đúng - Cài đặt máy chủ với các thiết lập mặc định Khung khảo sát an toàn thông tin máy chủ Page 1 Báo cáo an toàn thông tin - Lỗ hổng bảo mật chưa được vá trong phần mềm máy chủ, hệ điều hành