2- 資安事件處理步驟
Transcript of 2- 資安事件處理步驟
17/12/2002 1
技術服務中心
技術服務中心
技術服務中心
簡報大綱簡報大綱
qq事件事件( Event)( Event)與資安事件與資安事件(Incident) (Incident) 的定義的定義
qq資安事件處理生命週期資安事件處理生命週期(Life cycle)(Life cycle)qq資安事件處理資安事件處理(Incident Handling)(Incident Handling)六大階段六大階段
--準備階段準備階段 (Preparation)(Preparation)--辨識階段辨識階段 (Identification)(Identification)--抑制階段抑制階段 (Containment)(Containment)--移除階段移除階段 (Eradication)(Eradication)--復原階段復原階段 (Recovery)(Recovery)-追蹤階段追蹤階段 (Follow(Follow--Up)Up)qq緊急應變行動參考緊急應變行動參考
17/12/2002 2
技術服務中心
技術服務中心
技術服務中心
事件事件( Event)( Event)與資安事件與資安事件(Incident) (Incident) 的定義的定義
q事件(Event)任何發生在系統或網路中發生可觀察得到的變化
q資安事件(Incident)對於一個資訊系統或網路有害的事件(event),或因為這樣的事件引起的威脅。意外事件的評斷通常以其所造成
或企圖造成的損害;或有可能造成損害的威脅為依據。
17/12/2002 3
技術服務中心
技術服務中心
技術服務中心
資安事件處理生命週期資安事件處理生命週期
其他
IDS
網頁/電話
分類
弱點報告
資訊索取
事件報告
分析
取得聯絡資料
提供技術支援
資訊統合及處理
17/12/2002 4
技術服務中心
技術服務中心
技術服務中心
資安事件處理資安事件處理(Incident Handling)(Incident Handling)六大階段六大階段
準 備 (Preparation)
辨 識 (Identification)
抑 制 (Containment)
移 除 (Eradication)
復 原 (Recovery)
追 蹤 (Follow-Up)
17/12/2002 5
技術服務中心
技術服務中心
技術服務中心
準備階段準備階段 (Preparation)(Preparation)
貼出警示標籤
修補系統漏洞
制定安全政策
q善用已知技術
入侵偵測系統
防火牆
17/12/2002 6
技術服務中心
技術服務中心
技術服務中心
q建立管理能量
ü 妥善計劃
-管理計劃
-資安事件處理計劃
ü 不斷蒐集資料
ü 取得授權
17/12/2002 7
技術服務中心
技術服務中心
技術服務中心
q選派事件處理成員進行訓練
ü選擇成員
ü選擇運作模式
ü確定對外窗口
ü訂定訓練/演練計劃
17/12/2002 8
技術服務中心
技術服務中心
技術服務中心
q依緊急通報計劃提供通報設施
ü聯絡名單及通報單 Call list/Call tree
ü保密通信方式
ü鼓勵通報
ü持續更新資料
17/12/2002 9
技術服務中心
技術服務中心
技術服務中心
資通安全處理小組操作手冊要項資通安全處理小組操作手冊要項
1. 時間 2. 種類 3. 內容4. 檢視事件狀況 5. 辨識事件種類6. 影響範圍 7. 是否向外通報8. 事件編號碼
資通安全事件通報表
1. 求助者的單位 2. 判別訊息的類別3. 判別是否自身可提供立即解決服務4. 分判該由何人提供相關服務5. 與求助者的後續聯絡方式6. 事件編號碼 7. 後續處理
接收/傳送訊息程序表
1. 發信方單位,IP地址 2.通報之狀況敘述3. 聯絡方式
電子郵件通報
1. 電話號碼 2. 24小時運作的輪班方式3. 輪值人員排班名單
熱線電話
1. 成員姓名 2. 聯絡電話 3. 手機 4. 傳真成員資訊
記載內容項目
17/12/2002 10
技術服務中心
技術服務中心
技術服務中心
1. 可提供相關援助的單位連絡方式2. 民間廠商的資訊
其他相關資訊
1. 管理政策說明單2. 架設結構與網路表3. 使用程序與登記表4. 設備維護資料及紀錄表
電腦設備表單
每日工作日誌紀錄要項
1. 日期 2. 當職人員名稱3. 當日求助者事件編號碼4. 當日處理中的事件編號碼5. 當月至該日止累積處理事件數量及種類碼6.當日處理完畢歸入檔案庫事件編號碼
求助者聯絡資料要項
1. 姓名 2. 職稱 3. 所屬組織4. 地址 5. 電話 6. 緊急聯絡電話7. 電子郵件住址 8. 其他聯絡方式9. 事件通報日期 10. 事件標號碼
17/12/2002 11
技術服務中心
技術服務中心
技術服務中心
表單(1) 資安事件聯絡名單範例__ __ 單位資安事件聯絡名單 更新日期: 第 ___ 頁
單位安全主管
姓名
電話 緊急聯絡電話
電子郵件
單位資訊安全處理人員
姓名
電話 緊急聯絡電話
電子郵件
資安相關司法機關
姓名
電話 緊急聯絡電話
電子郵件
網路服務提供業者
姓名
電話 緊急聯絡電話
電子郵件
單位主管
姓名
電話 緊急聯絡電話
電子郵件
其他資安事件處理組織
姓名
電話 緊急聯絡電話
電子郵件
單位安全人員
姓名
電話 緊急聯絡電話
電子郵件
單位安全人員
姓名
電話 緊急聯絡電話
電子郵件
單位安全人員
姓名
電話 緊急聯絡電話
電子郵件
17/12/2002 12
技術服務中心
技術服務中心
技術服務中心
表單(2) 資安事件報告單範例__ __ 單位資安事件報告單 第___ 頁,共___頁
編號
時間
日期
姓名 _____________________
電話 _____________________ 單位 _____________
電子郵件 ______________________________________
地址/處室 _____________________________________
□ 新報告
處理等級 _________
□曾通報事件
上次報告編號 ______
內容:
事件發生者 __________
發生時間 ____________
狀況略述 ____________________________________________
_____________________________________________________
_____________________________________________________
_____________________________________________________
_____________________________________________________
_____________________________________________________
_____________________________________________________
事件約略分類 ____________________
第一時間處理 ____________________
______________________________
______________________________
______________________________
電話轉通知 ______________________
留言 ____________________________
________________________________
處理者簽名 ______________________
17/12/2002 13
技術服務中心
技術服務中心
技術服務中心
q跨部門合作
q與系統管理者互動-前置訓練
-協同處理
q與其他資安處理小組聯繫
17/12/2002 14
技術服務中心
技術服務中心
技術服務中心
q事件是否為資安事件-詳細檢查所有徵兆避免將電腦錯誤判為資安事件
q保存證據
辨識階段辨識階段 (Identification)(Identification)
17/12/2002 15
技術服務中心
技術服務中心
技術服務中心
Windows AnalysisWindows Analysisü log 檔
ü有無奇怪的帳號或群組
ü有無不正確的群組成員
ü是否有不正確使用權限
ü是否有未經授權即啟動
的程式
ü系統可執行檔
ü網路設定以及活動
ü有無未授權的檔案分享
ü排程服務中執行的工作
ü授權的程序
ü是否有不尋常或隱藏的檔案
ü是否有檔案的權限或註冊碼
被替換
ü是否有使用者或電腦policy被
更動
ü確定系統沒有被移到不同的工作
群組或網域
ü所有機器都在近端網路
17/12/2002 16
技術服務中心
技術服務中心
技術服務中心
Unix AnalysisUnix Analysisü log 檔ü setuid跟setgid檔ü系統可執行檔
ü封包sniffersü經由”corn”以及”at”執行的檔案ü有無未經授權啟動的服務
ü /etc/passwd檔ü系統及網路設定
ü是否有不尋常或隱藏的檔案
ü所有機器都在近端網路
17/12/2002 17
技術服務中心
技術服務中心
技術服務中心
q通報各級單位-依計劃設定方式通報
-可能被影響單位
q與ISP保持合作
17/12/2002 18
技術服務中心
技術服務中心
技術服務中心
表單(3) 資安事件調查單範例__ __ 單位資安事件調查單 第___ 頁,共___頁
編號
時間
日期
資安事件處理者抵達時間 ______________
受影響系統地點 ______________________
系統受影響者 (簽名)___________________
受影響系統狀況略述
_____________________________________
_____________________________________
_____________________________________
_____________________________________
_____________________________________硬體製造商 ___________________
CPU序號 _____________________
單位財產編號 _________________
操作系統 _____________________
硬碟容量 _____________________
該電腦是否連接網路 ___________
網域名稱 ___________________
IP _________________________
MAC地址 ___________________
該電腦是否使用modem撥接 _____
如是,電話號碼 _______________
其他事項 _____________________
______________________________
______________________________
______________________________
17/12/2002 19
技術服務中心
技術服務中心
技術服務中心
抑制階段抑制階段 (Containment)(Containment)
q低調處理狀況
q避免使用有可能已被洩漏的帳號
q獨立出受害系統
q備份系統
ü將被害系統備份
ü保存備份
17/12/2002 20
技術服務中心
技術服務中心
技術服務中心
q蒐集並分析取得的資訊
üLog分析與建議
ü入侵者是否持續動作
q暫時關閉服務
ü斷線使存取失效
ü清查其他系統資料
q變更密碼
q持續和系統擁有者交換意見
×
17/12/2002 21
技術服務中心
技術服務中心
技術服務中心
表單(4) 資安事件抑制報告單範例__ __ 單位資安事件抑制報告單
編號
時間
日期
第___ 頁,共___頁
隔離受影響系統
管理者是否允許系統從網路上移除
□是
系統從網路上離線時間 ___________________
□否
原因 ___________________________________
_______________________________________
備份受影響的系統
是否份份所有的系統 _____________________
誰完成此工作 __________________________
以何種方式備份 _________________________
備份標籤 _______________________________
備份開始時間 _________ 完成時間 _________
備份資料是否密封 □是 □否
備份資料存放地點 ________________
備份資料保管人姓名 ______________
17/12/2002 22
技術服務中心
技術服務中心
技術服務中心
移除階段移除階段 (Eradication)(Eradication)
q資安事件的攻擊方式q移除資安事件成因
ü病毒侵擾
ü惡意程式碼侵擾
ü駭客入侵q弱點分析ü進行系統弱點分析
17/12/2002 23
技術服務中心
技術服務中心
技術服務中心
q加強防護
q更新最近的備份
ü防火牆
üIDS
ü系統更新
17/12/2002 24
技術服務中心
技術服務中心
技術服務中心
表單(5) 資安事件移除單範例__ __ 單位資安事件移除單
編號
時間
日期
第___ 頁,共___頁
是否進行資安事件鑑識工作
□是
工作人員職稱 _____________________________________________________
__________________________________________________________________
□否
原因 _____________________________________________________________
系統弱點是否已被辨識出 ______________________________________________
簡述該弱點 _________________________________________________________
____________________________________________________________________
簡述是否採取何種步驟確保事件發生原因已被移除
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
17/12/2002 25
技術服務中心
技術服務中心
技術服務中心
復原階段復原階段 (Recovery)(Recovery)
ü回復系統狀態
ü確認系統處於正常狀態
ü決定何時回復系統正常運作
ü持續監視系統運作
17/12/2002 26
技術服務中心
技術服務中心
技術服務中心
從系統入侵中復原的步驟從系統入侵中復原的步驟
ü檢閱安全政策中的步驟說明
ü重新取得系統控制
ü分析入侵攻擊
ü聯絡CSIRTs及其他相關單位ü從入侵中回復
ü加強系統安全
ü重新連上網路
ü重新增改安全政策
17/12/2002 27
技術服務中心
技術服務中心
技術服務中心
追蹤階段追蹤階段 (Follow(Follow--Up)Up)
q 建立追蹤報告
ü儘速開始ü依照指示填寫報告ü鼓勵受害單位閱讀工作小組寫成的說明ü達成一致的共識ü舉辦一個經驗學習會議ü達成可執行改進的結論ü將改進建議報告交給管理階層ü執行管理階層許可後的改善動作
17/12/2002 28
技術服務中心
技術服務中心
技術服務中心
緊急應變行動參考緊急應變行動參考
ü保持冷靜
ü做好紀錄
ü通知正確合適的人員並取得幫助
ü依預定的政策執行
ü使用獨立於有被害可能系統外的聯絡方式
ü抑制狀況的擴大
ü針對被影響系統儘快做備份
ü解決狀況
ü回復運作
17/12/2002 29
技術服務中心
技術服務中心
技術服務中心
Reference:q Computer Security Incident Handling Step by Step V2.0
- The SANS Institute, Oct/2001q Incident Handling- The SANS Institute, 2000-2002q The CERT Guide to System and Network Security
Practices- Julia H. Allen, Addison Wesley, May/2001
q Incident Handling- Rik Farrow, Network Magazine, Jan/2000
q Fundamentals of Incident Handling- CERT/CC,1996-2002
17/12/2002 30
技術服務中心
技術服務中心
技術服務中心
敬請指教
2
技術服務中心
技術服務中心
技術服務中心
簡報大綱
q弱點掃描評估定義
q弱點掃描與資訊安全的必要性
q誰需要弱點掃描工具
q弱點掃描工具比較
q掃描工具介紹--Nessusq諮詢處理案件常見弱點描述與修補方式
q結論
3
技術服務中心
技術服務中心
技術服務中心
弱點掃描評估定義
q用以判斷網路或作業系統安全與否之工具q模擬攻擊者發出的攻擊動作,檢查網路設備、作業系統及應用程式的安全性
q提供網管人員對所負責的環境的安全作一體檢q網管人員可依據所得結果進行弱點修補,提昇安全性
q Note:很多攻擊程式是利用已知的弱點所撰寫的,若系統無已知的弱點,自可避免大部分的攻擊
4
技術服務中心
技術服務中心
技術服務中心
弱點掃描與資訊安全的必要性
q由於資訊產業的蓬勃發展、網路環境規模日盛及作業系統愈趨繁複,幾乎不可能對各項的資訊安全情報皆能確實掌握
q有必要採用安全掃描工具,協助網管人員掌握最新的弱點資訊,並提供弱點修補的資訊
5
技術服務中心
技術服務中心
技術服務中心
誰需要弱點掃描工具
q管理單位重要伺服器(如網站、電子郵件、檔案伺服器等)的資訊人員
q有心維護所負責網路環境的資訊人員q想比攻擊者早一步知道自己所負責網路環境有無弱點的資訊人員
6
技術服務中心
技術服務中心
技術服務中心
弱點掃描工具比較
q商業軟體− 優點
•有代理商或研發公司維護,支援較佳•使用門檻較低,較具親和力
− 缺點•經費
q免費軟體− 優點
•免費− 缺點
•結果說明或功能較簡略,誤判情形較多,支援較差
7
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹--Nessus
1. 簡史April 1998 - Nessus alpha 1, first public release nessus-YYMMDD series (lot of developement, new features,...) April 1999 - Nessus alpha 2 - end of the alpha cycle Summer 1999 - 200 security checks rewritten Late August 1999 - nessus 0.98.x November - nessus 0.99.x − optimization and stabilization − better output (HTML or LaTeX)
First Q2000 : Nessus 1.0 Latest stable release 1.2.6 (Third Q2002)
8
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
2.安裝環境Server (nessusd) : Unix Like主機接受Client要求,實際進行模擬攻擊的部分
Client (nessus) : Windows或Unix like主機提供使用者與Server之間的介面,可供設定、變更Server掃描行為
Note:Client與Server之間採用, blowfish160, 3des block ciphers and RIPEMD160, SHA等加密技術,確保資訊傳遞的安全
9
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
3.架構一
From: http://www.nessus.org圖一、Nessus架構一
10
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
4. 架構二
From: http://www.nessus.org圖二、Nessus架構二
11
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
5. Nessus的特色−受GPL保護的免費軟體−採用client、server與受測主機的三層架構−掃描系統核心與偵測patterns (plugins)分離的架構,以類似更新病毒碼的方式更新plugins,更新速度快
−使用自附的直譯器及程式語言—NASL(Nessus Attack Scripting Language) ,任何人可依其語法撰寫測試程式
12
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
6. Nessus server安裝方式(Unix like主機)執行以下任一方式安裝Server(1) 執行lynx -source http://install.nessus.org | sh(2) 下載nessus-installer.sh後,執行
# sh nessus-installer.sh(3) 下載Nessus的四個部分 (nessus-libraries、libnasl、
nessus-core、nessus-plugins )後,個別編譯
建議使用(2)的方式安裝下載網址:http://www.nessus.org/posix.html
13
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
7. Nessus server安裝展示ü安裝
# sh nessus-installerü創造新的Server憑證
# nessus-mkcertü增加新使用者
# nessus-adduserü啟動Nessus server,其預設等待連線的port為
1241# nessusd -D
14
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
8. Nessus client安裝方式Unix like主機安裝Nessus server後,已兼具clinet部分
Windows主機下載windows主機可用的client程式üWinnessus (不可用於Nessus server 1.2.x版)üNessusWX (可用於Nessus server 1.2.x版)安裝後啟動即可進行與server的連結
15
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
9. Nessus client與Nessus server連線展示ü啟動Nessus client
# nessusü身分驗證輸入先前在安裝server時新增的使用者帳號/密碼ü設定Nessus Setup其中共有Nessusd host、Plugins、Prefs.、Scan options、Target selection、User、KB及Credits等欄位ü執行弱點掃描
16
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
10. Nessus Setup說明10-1. Nessusd host
Nessusd Host : 設定欲連線的Nessusserver主機
Port : 設定Nessus server所開放的portLogin : 使用者帳號Password : 使用者密碼
17
技術服務中心
技術服務中心
技術服務中心
圖三、使用者登入畫面
18
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)10-2. Plugins− 此欄位選擇欲進行掃描的項目,目前共有
windows、cgi abuse、RPC、Firewall等22個種類,共一千餘種plugin
− 可選擇全選(Enable all)、全選但不選取危險的plugins (Enable all but dangerous plugins)—危險的plugins指的是如DoS等會造成受測伺服器當掉的plugins,皆不選(Disable all)等等設定
19
技術服務中心
技術服務中心
技術服務中心
圖四、Plugins設定畫面
20
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
10-3. Prefs.− 設定Scan options所採用之ports scan方式的細項
− 規避入侵偵測系統(IDS)的設定− Windows主機帳號列舉範圍設定− 暴力破解法的帳號檔、密碼檔設定
21
技術服務中心
技術服務中心
技術服務中心
圖五、Prefs.設定畫面
22
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
10-4. Scan options− 通訊埠(port)範圍設定− 同時進行掃描的主機數目,同時送出的
plugins數目− 進行port scan的工具選擇,如Nmap、tcp
connection 、ping− Optimize the test− Safe check
23
技術服務中心
技術服務中心
技術服務中心
圖六、Scan options設定畫面
24
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
10-5.Target selection − 選擇欲掃描的對象
•以ip列表的檔案•直接輸入ip,以下格式皆適用
• 192.168.1.1• 192.168.1.1-7
• example.com.tw,192.168.1.1/29, ...
25
技術服務中心
技術服務中心
技術服務中心
圖七、Target selection設定畫面
26
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
10-6.User− 使用者進行掃描時的自定限制
•如想掃描192.168.1.0/29,但不掃描192.168.1.2,則加入以下rule(前提是Target selection已指定掃描192.168.1.0/29 )
• reject 192.168.1.2• default accept
27
技術服務中心
技術服務中心
技術服務中心
圖八、User設定畫面
28
技術服務中心
技術服務中心
技術服務中心
圖九、掃描進行畫面
29
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)11. Nessus report說明
11-1. 風險程度分為critical、serious、high、medium、low等級
圖十、風險程度圓餅圖
30
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
11-2. 受測網段中最危險服務
圖十一、最危險服務長條圖
31
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
11-3. 受測網段中最常見服務
圖十二、最常見服務長條圖
32
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
11-4. 受測網段中最危險主機所佔比例
圖十三、受測網段中最危險主機所佔比例圓餅圖
33
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
11-5. 個別主機風險程度
圖十四、個別主機風險程度圓餅圖
34
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
11-6. 開放之通訊埠列表−例:
• microsoft-ds (445/tcp) (Security hole found) • snmp (161/udp) (Security hole found) • ftp (21/tcp) (Security warnings found) • http (80/tcp) (Security hole found) • smtp (25/tcp) (Security notes found) • domain (53/tcp) (Security warnings found) • loc-srv (135/tcp) (Security notes found)• general/icmp (Security warnings found)
35
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
11-7. 弱點描述與解法−例:
Vulnerability found on port microsoft-ds (445/tcp)
The hotfix for the 'Malformed request to index server'problem has not been applied.
This vulnerability can allow an attacker to execute arbitrarycode on the remote host.
Solution : See http://www.microsoft.com/technet/security/bulletin/ms01-025.aspRisk factor : SeriousCVE : CVE-2001-0244
36
技術服務中心
技術服務中心
技術服務中心
掃描工具介紹—Nessus(續)
11-7. 弱點描述與解法(續)Vulnerability found on port microsoft-ds (445/tcp)
An unchecked buffer in Windows help could allow an attacker tocould gain control over user's system.Maximum Severity Rating: Critical Recommendation: Customers should install the patch immediately. Affected Software: Microsoft Windows 98 Microsoft Windows 98 Second Edition Microsoft Windows Millennium Edition Microsoft Windows NT 4.0 Microsoft Windows NT 4.0, Terminal Server Edition Microsoft Windows 2000 Microsoft Windows XP
See http://www.microsoft.com/technet/security/bulletin/ms02-055.aspRisk factor : HighCVE : CAN-2002-0693
37
技術服務中心
技術服務中心
技術服務中心
諮詢處理案件常見弱點描述與修補方式
1. Useable remote name server描述:攻擊者藉由修改DNS server的ip/hostname資訊,讓對此查詢的受害者將連至錯誤網址
修正方式:(1) Bind
BIND版本低於4.9.6有此漏洞,更新BIND至最新版本BIND 4 :4.9.9 ;BIND 8 :8.3.3 ; BIND 9 :9.2.1
(2) windows將HKLM\System\CurrentControlSet\Services\DNS\Parameters設定以下值:Value Name: SecureResponses;
Data Type: REG_DWORD;Value: 1
38
技術服務中心
技術服務中心
技術服務中心
諮詢處理案件常見弱點描述與修補方式(續)
2. IIS .IDA ISAPI filter applied描述:
IIS ISAPI extension中的”.ida”、”.idq”,作為Index server用途,但常出現關於此的弱點,如Buffer overflow,微軟亦建議除非必要,請移除IIS對此的支援修正方式:
(1) 安裝最新的IIS 累積patch,最新者為MS 02-062(2) 若不需要”.ida”、”.idq”支援,移除方式為:開啟Internet服務管理員àweb網站內容à主目錄à設定選擇”.ida”、”.idq”延伸檔名,移除
39
技術服務中心
技術服務中心
技術服務中心
諮詢處理案件常見弱點描述與修補方式(續)
3. IIS .HTR ISAPI filter applied描述:
IIS ISAPI extension中的”.htr”,作為web介面的帳號密碼設定,其功能可被ASP取代,且”.htr”常出現弱點,如Buffer overflow,除非必要,請移除IIS對此的支援(微軟亦如此建議)修正方式:
(1)安裝最新的IIS 累積patch,最新者為MS 02-062(2) 若不需要”.htr”支援,移除方式為:開啟Internet服務管理員àweb網站內容à主目錄à設定選擇”.htr”延伸檔名,移除
40
技術服務中心
技術服務中心
技術服務中心
諮詢處理案件常見弱點描述與修補方式(續)
4. statd service描述:
伴隨Sun主機發行RPC service,作為NFS server與client間狀態變更資訊的溝通,在Sun OS 5.7前的版本有讓攻擊者可以呼叫系統上任意RPC程式的弱點
修正方式:
(1) 安裝最新的patch下載網址為
http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage
41
技術服務中心
技術服務中心
技術服務中心
諮詢處理案件常見弱點描述與修補方式(續)
(2) 安裝patch下載後解壓縮,進入解壓縮後的目錄,並執行
# ./install_cluster
42
技術服務中心
技術服務中心
技術服務中心
結論
q資訊安全層面廣泛,掃描僅是其一環節,應搭配其他層面,如政策的制定、管理的制度、通報管道之暢通與負責人員的用心等等層面以維資訊安全
q掃描工具中,商業與免費軟體各有其優缺點,應依自身需求選擇使用