伺服器弱點掃瞄課程

資訊中心 網路系統組 柯文傑

E-mail:genieke@ntnu.edu.tw

網路電話:3733網路電話:3733

內容大綱:

1.什麼是弱點掃瞄？2.弱點掃瞄的方式3.弱點掃瞄服務4.其他注意事項

--網站智財產權問題--帳號密碼控管問題--機密資料外洩問題機密資料外洩問題--如何不被搜尋引擎找到網頁--留言版問題資料備份問題--資料備份問題

--設定log紀錄--防火牆設置駭客入侵處理程序--駭客入侵處理程序

--採購及維護合約注意事項

什麼是弱點掃瞄？

弱點掃描，顧名思義，檢查網站及網頁是否有弱點可供駭客利用攻擊。

網站弱點掃描利用已知的弱點進行檢測，檢查是否有尚網站弱點掃描利用已知的弱點進行檢測 檢查是否有尚未修補的弱點。（OS, DB, DNS, POP3, SMTP,FTP等）

網頁弱點掃描主要作用是模擬惡意使用者的瀏覽行為，網頁弱點掃描主要作用是模擬惡意使用者的瀏覽行為，蒐集受測程式的所有連結後，對所有可輸入的連結送出惡意數值，觀察記錄回應狀態。也會猜測所有隱藏目錄、管理後臺、程式備份檔或資料庫檔案位置。對於可登入的頁面，則進行密碼猜測的工作，以便檢測管理者的安全警覺性。（網頁撰寫的疏失））頁撰寫的疏失））

什麼是弱點掃瞄？（續）

弱點掃瞄的工具

System Level(OS, DB, DNS, POP3, SMTP,FTPSystem Level(OS, DB, DNS, POP3, SMTP,FTP等等))• Nessus• Foundstone• NMAP

S• MBSA• Superscan• 流光• 流光

Web Application level(Web Application level(網頁撰寫的疏失網頁撰寫的疏失))pp (pp ( ))• WebInsepect• Appscan

A ti• Acunetix　

弱點掃瞄的方式

弱點掃瞄通常分為3個階段：Discovery Phase：發現目標主機或網路。使用Port掃瞄技術。

Fingerprint Phase：發現目標後進一步判斷作業系統類型、執行的服務以及版本等。執行的服務以及版本等。

Vulnerability Checking：根據前兩個phase及弱點檢測所搜y g p集到的訊息判斷目標主機是否存在弱點。又分為Intrusive(侵入式)或Non-Intrusive(非侵入式)。

最後依照掃描結果撰寫掃描報告，包含弱點及修補建議。

弱點掃描服務

資訊中心針對系統及網頁弱點各提供相對應的掃瞄服務：

系統弱點－－McAfee Foundstone

網頁弱點 IBM A S網頁弱點－－IBM AppScan

需上網填報各單位伺服器資料，每學期掃描乙次。

(教育部規定一年掃乙次)(教育部規定一年掃乙次)

http://apx.itc.ntnu.edu.tw/IPMgr/

若有需要，可隨時寄信通知，會針對個案進行掃描。

若有新的伺服器，也請隨時上網更新，並寄信通知。若有新的伺服器，也請隨時上網更新，並寄信通知。

弱點掃描服務（續）

系統弱點－－McAfee Foundstone

使用已知的弱點進行掃描，定期更新弱點資料庫Common Vulnerabilities and Exposures (CVE)Common Vulnerabilities and Exposures (CVE)http://cve.mitre.org

漏洞掃描服務（續）網頁漏洞－－IBM AppScan

利用已知的攻擊方式進行模擬攻擊

漏洞掃描服務（續）根據弱點本身能被利用的難易程度，攻擊者利用此弱點進行攻擊的技術水準及對此系統所造成的衝擊來計算弱點所屬風險等級

高風險(High Risk)弱點若被利用可能讓不具經驗的攻擊者直接取得管理者權限,導致系統中斷 拒絕服務攻擊 執行命令 敏感資訊的揭露等斷,拒絕服務攻擊,執行命令,敏感資訊的揭露等.

中風險(Medium Risk)弱點若被利用可能讓稍有經驗的攻擊者直接取得非管理者層級權限 但攻弱點若被利用可能讓稍有經驗的攻擊者直接取得非管理者層級權限,但攻擊者可利用進一步的hacking技術來取得管理者權限.

低風險低風險(Low Risk)弱點若被利用可能讓具有經驗的攻擊者間接取得某種等級的使用者存取權.

一般資訊(Information Risk)此類弱點僅揭露不具價值的資訊,或是根本無法利用來進行攻擊此類弱點僅揭露不具價值的資訊,或是根本無法利用來進行攻擊

漏洞掃描服務（續）

Foundstone弱點修補注意事項

1.有時更新系統會影響到其他應用程式無法使用，修補前最好能架設測試機，先測試過沒問題再修補。

2.或於修補前先做備份，若有問題，可馬上還原。2.或於修補前先做備份 若有問題 可馬上還原3.若無法修補，請於內建防火牆上封鎖。並將沒有用到的程式關閉。如沒有使用mail，則請將mail相關程式關閉。程式關閉。如沒有使用mail，則請將mail相關程式關閉。

IBM AppScan掃出的網頁弱點沒有這個問題。

目前攻擊事件90%以網頁攻擊為主，

網頁弱點一定要修補網頁弱點一定要修補。

內容大綱:

1.什麼是弱點掃瞄？2 弱點掃瞄的方式2.弱點掃瞄的方式3.弱點掃瞄服務4 其他注意事項4.其他注意事項

--網站智財產權問題--帳號密碼控管問題帳號密碼控管問題--機密資料外洩問題--如何不被搜尋引擎找到網頁--留言版問題--留言版問題--資料備份問題--設定log紀錄駭客入侵處理程序--駭客入侵處理程序

--採購及維護合約注意事項

網站智財權問題

網站智財權問題(續)

注意事項：注意事項

1.網路上的照片、小圖示不要隨便拿來用。

2.不要拿有版權的音樂當作網站背景音樂。

3.網路上的文章不要隨意擷取。

校園保護智慧財產權專區校園保護智慧財產權專區

http://www.ntnu.edu.tw/right/

帳號密碼管控問題1.維護廠商離職員工利用網站伺服器當作ftp server，放置

個人電影 音樂檔個人電影、音樂檔。

2.教務處帳號密碼外洩，導致教務處所有網頁皆被植入惡

意程式碼，只要開啟網頁就會中毒。

帳號密碼管控問題(續)

注意事項：注意事項：

1.密碼高複雜度，包含特殊字元、大小寫等。

2.定期變更密碼。

3.遠端連線工具(FTP等)需設定防火牆，控管可讀取的IP。

4.離職員工的帳號密碼需刪除。

5.外包廠商須簽保密協定。

帳號密碼管控問題(續)合約保密要求範本1、本校提供給廠商執行本契約之所有資料與文件及於系統內之所有資訊，廠商應保證嚴守保密之義務，非經本校書面同意，絕不以任何方式使其他第三人知悉或持有任何本校之資訊，更不得自行利用或以任何方式使第三人利用本校之資訊或取得任何權利。

2、廠商同意於本契約簽署時，完成與其職務作業必須知悉本校機密資訊的員工及相關人員簽署保密合約，要求其負擔與廠商相同的保密義務。的員工及相關人員簽署保密合約 要求其負擔與廠商相同的保密義務

3、廠商違反本協議之約定或有任何因可歸責於廠商的事由，致使本校的資訊被洩露者，除應由廠商負擔一切法律上責任外，還應對由此所造成資訊被洩露者，除應由廠商負擔一切法律上責任外，還應對由此所造成之一切實際損害負損害賠償之責。

4 廠商於本契約執行期間內及本契約終止後 均應遵守因執行本契約所4、廠商於本契約執行期間內及本契約終止後，均應遵守因執行本契約所得知資訊之保密義務。若本校將其中一部或全部資訊對外公開或解除其機密性者，廠商亦同時解除對該等資訊之保密責任。

帳號密碼管控問題(續)

資訊中心相關範本

http://www.itc.ntnu.edu.tw/service3420.php

機密資料外洩問題

機密資料外洩問題（續）

電腦處理個人資料保護法

個人資料：指自然人之姓名、出生年月日、身分證統一編號、特徵 指紋 婚姻 家庭 教育 職業 健康 病歷 財務特徵、 指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動 及其他足資識別該個人之資料。

「非公務機關違反本法規定，致當事人權益受損害者，應負損害賠償責任。但能證明其無故意或過失者，不在此限。」

目前「個資法」規定之賠償範圍是有上限的，原則上以每人每一事件新臺幣2 萬元以上至10 萬元以下計算 而基於同一每一事件新臺幣2 萬元以上至10 萬元以下計算，而基於同一原因事實應對當事人負損害賠償責任者，其合計最高總額以新臺幣2 000 萬元為限。新臺幣2,000 萬元為限

機密資料外洩問題（續）

注意事項：注意事項：

1.修補系統及網頁漏洞。

2.機密資料放置於需帳號密碼的網頁。

3.離職員工的帳號密碼需刪除。

4.外包廠商須簽保密協定。

如何不被搜尋引擎找到網頁如何不被搜尋引擎找到網頁

在搜尋引擎的網頁搜尋結果中的資料都是利用Robot程式抓取收錄，如果您不希望您的網頁被搜尋引擎收錄，您必須請您的網站製作負責人在您的網站伺服器根目錄下加上一個robots.txt檔案，以避免網頁被抓取。robots.txt檔名必須小寫，主要語法如下：

User-agent:User agent: Disallow:

User-Agent:User-Agent:這裡所要填寫的資料為抓取政策生效的對象，也就是robot的名稱。範例：User Agent: *User-Agent: *表示下一行的抓取政策對所有Robot生效

如何不被搜尋引擎找到網頁(續)( )Disallow: 這裡要填寫防抓取政策生效的範圍。範例：範例：Disallow: / 表示不允根目錄下所有的網頁被抓取Disallow: /news 表示不允根news這個目錄下的網頁被抓取完整範例：完整範例：User-agent: *Disallow: /tmp/Di ll /f ht lDisallow: /foo.html表示所有Robot都不能抓取/tmp/目錄下的網頁和/foo.html。

資料來源資料來源：Googlehttp://www.google.com/support/webmasters/bin/answer.py?hl=b5&answer=156449p g g pp pyYahoo！奇摩！http://help.cc.tw.yahoo.com/cp_info.html?id=1102

留言版問題

注意事項：1 定期上留言版 檢查是否有不當留言1.定期上留言版，檢查是否有不當留言。2.設定帳號密碼或使用數字圖片驗證碼(預防留言版機器人，需使用複雜度較高，(預防留言版機器人，需使用複雜度較高，如陸乘捌等於多少？)。

資料備份問題

事件:1.網站被駭客入侵修改網頁，資料沒有備份，不知如何再修改，或費時費力。

2.刪錯網頁資料，資料沒有備份，欲哭無淚。

注意事項：

1.定期備份網頁資料。

2.異地備份，分散風險。如儲存在別台電腦或隨身碟。

設定log紀錄g

開啟稽核紀錄，開啟所有log紀錄，避免駭客入侵無紀錄可查 並且可保存半年以上時間錄可查，並且可保存半年以上時間。

例如：例如：Windows設定系統管理工具－＞本機安全性原則－＞本機原則－＞稽核原則 （全部開啟）

系統管理工具 事件檢視器 （調整檔案大小）系統管理工具－＞事件檢視器 （調整檔案大小）

防火牆設置

1.設定內建防火牆，Iptables或windows防火牆。

2.將所有port都關閉，只開放有使用的port，如port 80。

3.不要使用telnet(port 23)，使用ssh(port 22)較安全。

4.使用Ftp及ssh設定可以存取的網段。建議只開放校內IP可讀取。

駭客入侵處理程序

1.將系統備份，要保留駭客入侵的紀錄至少半年，以免成為代罪羔羊

2.檢查駭客入侵的途徑，檢查log檔g3.通知資訊中心，將入侵IP封鎖4.重灌系統，更新系統漏洞，避免駭客留下後門程式4.重灌系統 更新系統漏洞 避免駭客留下後門程式5.關閉系統不必要的 service 及 port6 放回備份的資料檔案 恢復服務6.放回備份的資料檔案. 恢復服務

注意Server不要拿來當一般電腦上網使用注意Server不要拿來當一般電腦上網使用。很容易中毒導致Server被入侵。

採購及維護合約注意事項廠商維護合約範例

作業環境作業環境1.作業系統（含Windows XP/2000/2003、Linux、FreeBSD等）。

2.維護作業須包含整體系統安裝、設定、備份、效能分析及調校、軟韌體更新、安全防護、修補程式更新、問題診斷、故障排除、清潔保養等。

3.配合本校資訊安全如資安事件通報、病毒、弱點掃描修補等，需隨時予以處理。

新的採購項目，合約可規定系統或網頁上線前要經過弱點掃描才可驗收。

所建置系統必須經過McAfee Foundstone 6 0以上版本及IBM Rational所建置系統必須經過McAfee Foundstone 6.0以上版本及IBM Rational Appscan 7.8.0.1以上版本掃瞄，並確認沒有弱點後才可進行驗收。

Foundstone報表解說