Page 107 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 107
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย :บทที่ 9 Unix/Linux, Windows Server, Webmail, Website
การป้ องกัน DoS หรือ DDoS Attack นั้นไม่ง่าย และ ส่วนใหญ่ ไม่สามารถ
ป้ องกันได้ 100% การติดตั้ง Hardware IPS (Intrusion Prevention System) เป็นอีก
ทางเลือกหนึ่ง แต่ก็มีค่าใช้จ่ายค่อนข้างสูง หากต้องการประหยัดงบประมาณก็ควรต้อง
ทําการ Hardening ระบบให้เรียบร้อย เช่น Network OS ที่ใช้อยู่ก็ควรจะลง Patch
อย่างสมํ่าเสมอ, Web Server ก็เช่นเดียวกัน เพราะมีช่องโหว่ เกิดขึ้นเป็นประจํา
ตลอดจนปรับแต่งค่า Parameter บางค่าของ Network OS เพื่อให้รองรับกับการโจมตี
แบบ DoS /DDoS Attack
10. Insecure Configuration Management
หมายถึง เป็นปัญหาที่เกิดขึ้นจากผู้ดูแลระบบ หรือ ผู้ติดตั้ง Web Server
มักจะติดตั้งในลักษณะ Default Configuration ซึ่งยังคงมีช่องโหว่มากมาย หรือ
บางครั้งก็ไม่ได้ทําการ Update Patch ระบบให้ครบถ้วนจนถึง Patch ล่าสุด
ปัญหาที่เจอบ่อยๆ ก็คือมีการกําหนดสิทธิในการเข้าถึงไฟล์ต่างๆ ใน Web
Server ไม่ดีพอทําให้มีไฟล์หลุดออกมาให้ผู้ใช้เข้าถึงได้ เช่น แสดงออกมาในลักษณะ
Directory Browsing ตลอดจนค่า default ต่างๆ ไม่ว่าจะเป็น Default Username และ
Default Password ก็มักจะถูกทิ้งไว้โดยไม่ได้เปลี่ยนอยู่เป็นประจํา
watermark
- วิธีการแก้ปัญหา
ให้ทําการแก้ไขค่า Default ต่างๆ ทันทีที่ติดตั้งระบบเสร็จ และทําการ Patch
ระบบให้จถึง Patch ล่าสุด และ ตาม Patch อย่างสมํ่าเสมอ เรียกว่า ทําการ
Hardening ระบบนั่นเอง Services ใดที่ไม่ได้ใช้ก็ไม่ต้องเปิดบริการ เราควรตรวจสอบ
สิทธิ File and Subdirectory Permission ในระบบว่าตั้งไว้ถูกต้อง และ ปลอดภัยหรือไม่
ตลอดจนเปิดระบบ Web Server log file เพื่อที่จะได้สามารถตรวจสอบ (Audit) HTTP
Request ที่ส่งมายัง Web Server ได้ โดยดูจาก Web Server log file ที่เราได้เปิดไว้
และ เราควรหมั่นติดตามข่าวสารเรื่องช่องโหว่ (Vulnerability) ใหม่ๆ อย่างสมํ่าเสมอ
99
