Category: Security

  • Firewalld, firewall management tool for RedHat-based distributions

    grianggrai.n

    แบบด่วนๆ เลยนะ

    1. ล็อคอินเข้าระบบด้วยบัญชีผู้ใช้ root
    2. ปกติติดตั้งมาให้ตั้งแต่เริ่มต้น
    3. หากยังไม่ได้ติดตั้ง สามารถติดตั้งด้วยคำสั่ง
      • yum install firewalld firewall-config
    4. สั่งให้ firewalld ทำงานด้วยคำสั่ง
      • systemctl enable firewalld.service
      • systemctl start firewalld.service
    5. ดูสถานะการทำงานของ firewalld ด้วยคำสั่ง
      • systemctl status firewalld.service
    6. ต้องได้ประมาณว่า
    1. สถานะต้องเป็น active หากเป็นอย่างอื่นให้ reboot เครื่องดูก่อน
    2. เพิ่มกฎการเข้าถึงตัวอย่างเช่น
    firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.26.0.1" port protocol="tcp" port="631" accept' --permanent

    อธิบายได้ว่า ยอมรับการเข้าถึงจากไอพี 192.26.0.1 มายัง tcp port 631 ไปที่ zone public แบบถาวร zone public เป็น zone ที่ถูกเลือกไว้โดย default

    1. เมื่อเพิ่มกฎการทำงานต้องให้ firewalld โหลดกฎใหม่ทุกครั้งด้วยคำสั่ง
    firewall-cmd --reload
    1. ยากพิมพ์เยอะมีเครื่องมือให้ใช้งาน คือ firewall-config แต่ต้องมี xwindows นะครับ เรียกใช้งานด้วยคำสั่ง
    firewall-config &
    1. จะได้ดังภาพ
    1. ให้เลือก zone ชื่อ public แล้วเลือก Rich Rules ทางขวามือ ได้ดังภาพ (จริง ๆ หน้าต่างเริ่มต้นมันแคบนะครับต้องขยายออกไปทางขวาจึงจะเห็นทั้งหมด)
    1. สามารถคลิกปุ่ม Add จะได้ดังภาพ
    1. ก็เลือก ๆ ตามที่ต้องการได้เลยตัวอย่างเช่น

    แปลว่าอนุญาต ไอพี 192.100.33.12 ให้เข้ามาที่บริการ ssh ได้ คลิก Ok เพิ่มเพิ่มกฎ จะได้

    1. สามารถเพิ่มกฎได้ตามต้องการ และให้สังเกตตรง Configuration ด้านบนจะเห็นว่าเลือกไว้ว่า Runtime ถ้าลองคลิกเลือกจะมี Permanent จะได้ดังภาพ
    1. ถ้ารีสตาร์ท firewalld กฎที่อยู่ที่ Runtime จะหายไปดังนั้นหากต้องการให้กฎยังอยู่ต้องย้ายกฎที่ Runtime มาที่ Permanent ด้วยการคลิกที่ Options แล้วเลือก Runtime To Permanent
    1. กฎจะถูกก็อปปี้ไปยัง Permanent เมื่อรีบูตหรือรีสตาร์ท firewalld กฎก็ยังอยู่ หรือหากต้องการทำครั้งเดียวก็เพิ่มกฎใน Permanent ได้เลยเช่นกันแต่กฎเหล่านั้นจะยังไม่ทำงานจนกว่าจะ Reload Firewalld
    2. เมื่อเพิ่มกฎเป็นที่พอใจและ copy จาก runtime มา permanent แล้วสามารถปิด firewall-config ได้เลยแต่เพื่อความแน่ใจ ให้ Reload Firewalld ใน Options อีกครั้งแล้วค่อยปิด จะได้ไม่ลืมครับ
    3. หรือหากไม่ชอบแก้ไขใน Windows สามารถแก้ไขแฟ้ม /etc/firewalld/zone/public.xml ได้เช่นกัน เมื่อเปิดไฟล์เข้าไปจะได้ว่า
    <?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <rule family="ipv4">
    <source address="192.26.0.1"/>
    <port protocol="tcp" port="631"/>
    <accept/>
  </rule>
  <rule family="ipv4">
    <source address="192.100.33.12"/>
    <service name="ssh"/>
    <accept/>
  </rule>
</zone>
    1. สามารถก็อปปี้ 5 บรรทัดเริ่มตั้งแต่ <rule family=”ipv4″> ไปจนถึง </rule> นี้จะเป็น 1 กฎหากมีซ้ำๆ กันเยอะๆ ก็สามารถก็อปปี้แล้ววางแล้วแก้เฉพาะเลขไอพีได้เลย
    2. เมื่อแก้ไขแฟ้มเสร็จ save แล้วออกมาสั่งด้วยคำสั่ง
    firewall-cmd --reload
    1. แก้ไขแฟ้ม /etc/firewalld/firewalld.conf
      • เปลี่ยน AllowZoneDrifting จากเดิม yes เป็น no
      • restart firewalld ด้วยคำสั่ง systemctl restart firewalld
    2. ยังมีอีกมากที่ยังใช้ไม่เป็น ด่วนๆ เอาเท่านี้ก่อน
    3. จบขอให้สนุก

  • วิธีซ่อนเวอร์ชัน Apache และ Linux (Ubuntu/Debian) OS จากส่วนหัว HTTP Headers

    taveesak.p

    How to Hide Your Apache Version and Linux (Ubuntu/Debian) OS From HTTP Headers

    ด้วย (ร่าง) มาตรฐานเว็บไซต์มหาวิทยาลัยสงขลานครินทร์ พ.ศ. 2567 และแนวปฏิบัติการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Guideline) สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

    สำหรับการใช้งาน HTTP Response headers*1 ถูกใช้เพื่อส่งต่อนโยบายความปลอดภัยไปยังเบราเซอร์  ทำให้การเปิดเว็บไซต์ของเรามีความปลอดภัยเพิ่มมากขึ้น

    ซึ่งการกำหนดให้ Server Type ไม่แสดงข้อมูล เกี่ยวกับระบบปฏิบัติการและรุ่นของโปรแกรมเว็บไซต์ ที่ส่งผ่าน HTTP Response headers ที่ใช้งานผ่าน Apache2 เวอร์ที่สูงกว่า 2.4.8 มีวิธีซ่อนเวอร์ชัน Apache และ Linux (Ubuntu/Debian) OS จากส่วนหัว HTTP Headers ดังนี้

    ขั้นตอนที่ 1 เข้าใช้งานผ่าน SSH เปลี่ยนระดับผู้ใช้งานเป็น root ที่สามารถแก้ไขข้อมูลระบบได้

    ขั้นตอนที่ 2 แก้ไขการตั้งค่า Apache server configuration โดยใช้โปรแกรม Nano (โปรแกรมแก้ไขข้อความที่คุณต้องการ)

    Debian/Ubuntu:

    nano /etc/apache2/conf-enabled/security.conf

    ขั้นตอนที่ 3 เลื่อนหาส่วนการตั้งค่า “ServerTokens”

    • เดิมจะเป็นค่า “ServerTokens OS” ซึ่งแสดงข้อมูลระบบปฏิบัติการของระบบไปกับ HTTP Response headers
    • ให้เปลี่ยนแปลงค่าเป็น “ServerTokens Prod” โดยระบบจะซ่อน Apache version และ OS จาก HTTP headers

    ขั้นตอนที่ 4 เลื่อนหาส่วนการตั้งค่า “ServerSignature”

    • แก้ไขเป็น ServerSignature Off การปิดตัวเลือกนี้จะซ่อนข้อมูลจากเพจที่เซิร์ฟเวอร์สร้างขึ้น

    ขั้นตอนที่ 5 บันทึกและออกจากไฟล์

    Nano : Crt+O เพื่อทำการบันทึก และ Crt+X เพื่อออกจากการแก้ไข

    ขั้นตอนที่ 6 Restart Apache2

    Debian/Ubuntu: /ete/ini.d/apache2 restart

    1. *อ้างอิง: Hardening your HTTP response headers – CoP PSU IT Blog ↩︎

  • Debian Oval

    grianggrai.n

    https://wiki.debian.org/DebianOval

    1. ระบบปฏิบัติการ Debian 12.4
    2. ล็อคอินด้วย root หรือ user ที่สามารถเรียกใช้ sudo ได้
    3. ติดตั้ง openscap-scanner ด้วยคำสั่ง
     apt install -y openscap-scanner
    1. ดาวน์โหลดไฟล์ Definition จาก https://www.debian.org/security/oval/ เลือกไฟล์ให้ตรงกับรุ่น ของ Debian ที่ใช้งาน ตัวอย่างนี้ใช้ Bookworm (รุ่น 12.4) โหลดไฟล์ชื่อ oval-definitions-bookworm.xml.bz2
    2. ขยายไฟล์ที่ดาวน์โหลดมาด้วยคำสั่ง
    bunzip2  oval-definitions-bookworm.xml.bz2
    1. ต่อด้วยคำสั่ง
    oscap oval eval --report report.html oval-definitions-bookworm.xml
    1. นำไฟล์ report.html มาเปิดใน web browser
    1. ช่อง Result ต้องเป็น false ถึงจะ Ok ?
    2. จบขอให้สนุก

  • การกำหนดค่าพื้นฐานความปลอดภัยสำหรับ IIS และ WordPress บน Windows Server

    ghongchanok.t

    เพื่อให้ Web Server ของเราปลอดภัยจากการถูกโจมตี บทความนี้จะเป็นการแนะนำการกำหนดค่าต่างๆของ web server ที่ให้บริการ ซึ่งทำงานด้วยบน Windows Server และ มีการติดตั้ง IIS, PHP, MySql, ASP.Net และ WordPress

    • การกำหนดส่วนของ Windows Server อ้างอิงคำแนะนำจาก Quays SSL Labs ให้ได้ระดับ A ขึ้นไป
      1. ใช้ใบรับรองจาก CA ที่น่าเชื่อถือ และ ใช้การ RSA 2048 bits (SHA256withRSA) ขึ้นไป
      2. การกำหนด Cipher Suites ที่ปลอดภัย ซึ่งจะมีเครื่องมือที่ช่วยในการกำหนดดังนี้
        • IIS Crypto เป็นโปรแกรมฟรีไม่ต้องติดตั้งสำหรับช่วยจัดการกำหนด protocols, ciphers, hashes and key exchange algorithms บน Windows Server โดยกำหนดพื้นฐานดังนี้
          1. เมนู Schannel
          1.1 Protocols เลือกกำหนดใช้งาน TLS 1.2 และ/หรือ TLS 1.3 เท่านั้น
          1.2 Cipher เลือกกำหนดเป็น AES
          1.3 Hashes เลือก SHA 256 ขึ้นไป
          1.4 Key Exchanges สามารถเลือกได้ทั้ง Diffie-Hellman, PKCS และ ECDH
          2. เมนู Cipher Suites สามารถกำหนด Cipher Suites ที่ปลอดภัยในปัจจุบัน ซึ่งค้นหาได้จากเว็บ https://www.tenable.com/plugins/nessus/156899
      3. เป็นส่วนของการกำหนดใน IIS
        • การกำหนดสำหรับ Security Headers ให้ได้ระดับ A+ อ้างอิงคำแนะนำจากเว็บ https://securityheaders.com/
        • การจัดการ Http Response Header โดยกำหนดค่าดังนี้
          1. X-Frame-Options เป็นการกำหนดเพื่อหลีกเลี่ยงจากการถูกโจมตีด้วย Clickjacking
            ตัวอย่างการกำหนดค่าเป็น SAMEORIGIN
          2. X-XSS-Protection เป็นการป้องกันการโหลดสคริปต์ข้ามไซต์
            ตัวอย่างการกำหนดเป็น 1; mode=block
          3. X-Content-Type-Options เป็นการป้องการโจมตีเนื้อหาประเภท MINE (Multipurpose Internet Mail Extensions) ซึ่งเป็นรูปแบบที่ใช้ระบุประเภทของข้อมูลที่ถูกส่งผ่านเครือข่าย หรือเก็บที่เครื่องอุปกรณ์ มันช่วยบอกให้ระบบรับรู้ว่าไฟล์เป็นประเภทไหนและวิธีการจัดการข้อมูลนั้น ที่อาจถูกใช้ในการโจมตีเพื่อหลอกลวงระบบหรือละเว้นมาตรฐานการตรวจสอบปลอดภัย เช่น application/pdf, image/jpeg, text/html
            ตัวอย่างการกำหนดค่าเป็น nosniff
          4. Referrer-Policy เป็นการควบคุมการส่งผ่านส่วนอ้างอิง เช่น ป้องกันส่วน HTTPS ไม่ให้กลับไป HTTP ที่ไม่ปลอดภัย
            ตัวอย่างการกำหนดค่าเป็น no-referrer-when-downgrade
          5. Strict-Transport-Security เป็นการช่วยให้การเข้าเว็บไซต์ด้วย HTTPS เท่านั้น
            ตัวอย่างการกำหนดค่าเป็น max-age=31536000; includeSubDomains; preload
          6. Content-Security-Policy เป็นการระบุที่มาของเนื้อหาที่ได้รับอนุญาตให้โหลดบนเว็บไซต์ เช่น JavaScript เพื่อป้องกันการโจมตีแบบ Cross-Site Scripting (XSS)
            ตัวอย่างการกำหนดค่าเป็น upgrade-insecure-requests
          7. Permissions-Policy เป็นการควบคุมการเปิดใช้งานเช่น กล้อง หรือ ไมโครโฟน หรือ ฟีเจอร์อื่น ๆ
            ตัวอย่างการกำหนดค่า เช่น geolocation=(), camera=(), microphone=()
        • การปกปิดเวอร์ชันไม่แสดงในส่วนของ Header สามารถกำหนดเพิ่มเติมดังนี้
          1. เมนู IIS Manager –> Configuration Editor
            • Section: system.webServer/security/requestFiltering กำหนด removeServerHeader เป็น True เพื่อไม่ให้แสดง เวอร์ชันของ server
            • Section: system.web/httpRuntime กำหนด enableVersionHeader เป็น False เพื่อไม่ให้แสดงเวอร์ชันของ IIS หรือ ASP.Net
          2. กำหนด expose_php = Off ใน php.ini เพื่อไม่ให้แสดงเวอร์ชันของ php
          3. ลบ X-Powered-By ออกจาก HTTP Response Headers
      4. กำหนด IP Address ส่วนของ Remote Address ใน Windows Defender Firewall with Advance Security – Inbound Rules เพื่อควบคุมการเข้าถึงจากคอมพิวเตอร์ที่ได้รับอนุญาตเท่านั้น
      5. ปิด port ที่ไม่ได้ใช้งาน
    • การกำหนดส่วนของเว็บ
      1. การเรียกใช้งานไรบรารีจากภายนอกเว็บไซต์ เช่น เดิม จะมีการเรียกใช้โดยอ้างอิงแบบ
        src=”https://code.jquery.com/jquery-3.7.1.min.js” ซึ่งจะไม่มีการตรวจสอบความน่าเชื่อถือ
        เพื่อสร้างความเชื่อมั่นว่าไรบรารีที่ใช้งานจะไม่มีการเปลี่ยนแปลง จึงมีการเพิ่มส่วนการตรวจสอบ integrity และ crossorigin ซึ่งสามารถเลือกใช้งาน Code Integration ได้จากเว็บ https://releases.jquery.com/jquery/ หรือ https://cdnjs.com/libraries ดังตัวอย่างนี้
        • src=”https://code.jquery.com/jquery-3.7.1.min.js” integrity=”sha256-/JqT3SQfawRcv/BIHPThkBvs0OEvtFFmqPF/lYI/Cxo=” crossorigin=”anonymous” หรือ
        • src=”https://cdnjs.cloudflare.com/ajax/libs/jquery/3.7.1/jquery.min.js” integrity=”sha512-v2CJ7UaYy4JwqLDIrZUI/4hqeoQieOmAZNXBeQyjo21dadnwR+8ZaIJVT8EE2iyI61OV8e6M8PP2/4hpQINQ/g==” crossorigin=”anonymous” referrerpolicy=”no-referrer”
      2. การป้องกันการเรียกดู user data ผ่าน REST API ใน WordPress กรณีนี้ควรติดตั้งส่วนเสริมไม่ให้สามารถเรียกใช้งานผ่าน REST API โดยไม่มีการยืนยันตัวตนก่อน เช่น Disable WP REST API
    • หลังจาก กำหนดค่าเรียบร้อยแล้ว สามารถทดสอบได้ที่ https://www.ssllabs.com/ssltest/analyze.html คลิกเลือก Do not show the results on the boards ก่อนสแกน ด้วยครับ
    • Windows Server 2019 รองรับ TLS 1.2
    • Windows Server 2022 รองรับ TLS 1.2 และ TLS 1.3
      หมายเหตุ ทั้งนี้ Windows Server 2022 เพิ่มการรองรับ TLS 1.3 อย่างไรก็ตาม หากเปิดใช้งานทั้ง TLS 1.2 และ 1.3 Site Scanner จะส่งผลให้ได้เกรด A เท่านั้น เนื่องจากปัจจุบัน Windows Server ไม่รองรับการป้องกันการโจมตีแบบดาวน์เกรด หากไคลเอนต์ร้องขอ TLS 1.3 Windows จะยังคงอนุญาตให้ปรับไปใช้ TLS 1.2 ได้ และนั่นคือสาเหตุที่ Site Scanner รายงานเกรด A แทนที่จะเป็น A+

  • Beware of open large 700+ MB PDF, SCR File

    songkrant.m

    ระวังการเปิดอ่านไฟล์ PDF, SCR ขนาดใหญ่กว่า 700 MB ด้วยอาจจะเป็น มัลแวร์ ที่สามารถสำเนาคุกกี้ในโปรแกรมเว็บเบราเซอร์ของเครื่องที่ท่านใช้งานอยู่ไปให้กับคุณแฮกเกอร์ได้

    คุณแฮกเกอร์ เมื่อได้ คุกกี้ ไปแล้วก็สามารถนำไปใช้เข้าเว็บไซต์ที่แม้จะได้มีการป้องกันด้วยระบบตรวจสอบตัวจริงหลายชั้น Multi-factor Authentication : MFA เอาไว้ ก็หลุดรอดวิธีเข้าเว็บไซต์ด้วยคุ๊กกี้นี้ไปได้อย่างง่ายดาย ทั้งนี้ด้วยช่องโหว่โปรแกรมป้องกันไวรัสจะไม่ตรวจสอบไฟล์ขนาดใหญ่กว่า 700 MB

    ก่อนคลิก คิดทบทวนกันก่อนนะครับ

    อ้างอิงจาก YouTube https://youtu.be/yXYLR8MfSz8

  • Patch Your Website NOW

    songkrant.m

    เรียนท่านผู้ดูแลเว็บไซต์ต่างๆ ภายใต้โโเมน psu.ac.th

    เนื่องด้วยเว็บไซต์หลายส่วนงานไม่ได้มีการปรับปรุงซอฟแวร์บริการเว็บไซต์และระบบปฏิบัติการให้ทันสมัยล่าสุดปิดกั้นช่องโหว่

    ส่งผลให้เว็บไซต์จำนวนมากมีช่องโหว่ พร้อมให้ถูกโจมตีได้ง่ายมาก ไม่ต้องใช้เทคนิคขั้นสูงในการเจาะระบบ

    หากท่านยังไม่ได้เคยตรวจสอบปรับปรุงเว็บไซต์ก็ขอให้ใช้เครื่องมือที่

    1. ตรวจสอบ Public IP Address ของเว็บไซต์ที่ท่านดูแล ยกตัวอย่าง www.psu.ac.th
      โดยใช้ URL
      https://bgp.he.net/dns/www.psu.ac.th/
      และแก้ไข www.psu.ac.th เป็นชื่อเว็บไซต์ที่ท่านดูแล
      ซึ่งตัวอย่าง www.psu.ac.th
      ได้ Public IP Address 192.100.77.111
    2. ตรวจสอบช่องโหว่ของเว็บไซต์ที่ท่านดูแลจาก Shodan
      โดยใช้ URL
      https://www.shodan.io/host/192.100.77.111
      และแก้ไข Public IP Address เป็น Public IP Address ของเว็บไซต์ที่ท่านดูแล

    หากด้านซ้ายล่างมีข้อความ
    Vulnerabilities และแสดง
    CVE เลบต่างๆ

    ท่านผู้ดูแลเว็บไซต์ งานเข้าเร่งด่วน ให้ ปรับปรุง ปิดกั้น ช่องโหว่ เว็บไซต์ที่ท่านดูแล
    โดยเร็วที่สุด

    ซึ่งหากท่านดูแลเว็บไซต์เองไม่ได้ก็ขอให้ย้ายเนื้อหามาใช้บริการที่
    https://webhost.psu.ac.th/
    ที่ท่านจะดูแลเฉพาะส่วนเนื้อหาในเว็บไซต์

    ในที่สุด เว็บไซต์ ที่ดูแลไม่ต่อเนื่อง มีช่องโหว่ ก็จะถูกโจมตี แบบเบาๆ ก็จะถูกวาง Link การพนัน ลามกอนาจาร ตัวอย่างเช่น
    ค้นหาด้วย Google ใช้คำว่า

    slot site:*.psu.ac.th

    ก็จะปรากฎชื่อเว็บไซต์ต่างๆ ภายใต้โดโเมน psu.ac.th ที่ถูกโจมตี จากช่องโหว่ที่ปล่อยทิ้งไว้ไม่ปรับปรุงป้องกัน
    ซึ่งตัวอย่างนี้ฝัง Link ที่ไปสู่ เว็บไซต์ การพนัน ตามคำค้นว่า slot

    ย้ำอีกครั้ง อย่าปล่อยรอไว้ จนถึงวันที่ ผู้บริหารส่วนงานท่านได้รับหนังสือจาก DiiS.PSU ว่าทาง สกมช. ได้ส่งหนังสือเรียนท่านอธิการบดี แจ้งเตือนเว็บไซต์ต่างๆ ที่ท่าน “ต้องดูแล” รับผิดชอบ ภายใต้โดโเมน psu.ac.th ถูกโจมตี

    ไม่ต้อง รอ นะครับ

  • PSU Internet was Affected by Submarine Cable

    songkrant.m

    NT คาดว่าจะแก้ไขกลับมาให้เป็นปกติได้ประมาณวันที่ 1 มี.ค. 2566
    PSU ยังคงมีการใช้ Internet ผ่าน อีก 2 ISP ได้แก่ UniNet และ True ซึ่งก็มีทางเชื่อม Internet ผ่าน NT-IIG วงรีทางซ้ายในแผนผัง

    http://internet.nectec.or.th/webstats/show_page.php?ZRXlBGci8PKBfyGoc7U+YUMy0Mxa4ePxBhBlnwqcod1s56C+MB1w8PH7zxtoDLTv3lyjGbqHqI3kpjAsGrb3Y0vlVN/aAcvDDim6ggNEPEVG0g7Tda6BWRbRQiS8DM5D

        สาเหตุการขัดข้อง

    o เกิดจากการขัดข้องของระบบเคเบิลใต้น้ำระหว่างประเทศ ได้แก่ ระบบ AAG, AAE1 และ APG บริเวณน่านน้ำประเทศสิงคโปร์, ฮ่องกง และประเทศไทย ในช่วงเวลาที่ทับซ้อนพร้อมกันหลายระบบ ทำให้วงจร Trunk Internet Gateway เชื่อมต่อไปยังภูมิภาคต่าง ๆเกิดการ Congestion

    ผลกระทบการใช้งานบริการ International Internet Gateway

    oทำให้การใช้งาน Internet หรือ Application แบบ Real time โดยเฉพาะปลายทางประเทศสิงคโปร์ ฮ่องกง ใช้งานได้ช้า (High latency/packet loss) ในบางช่วงเวลาที่การใช้งาน Traffic สูง

    oทั้งนี้ในการให้บริการ NT IIG ยังมี Traffic บางส่วนที่สามารถใช้งานได้จาก IIG Caching ซึ่งอยู่ภายใน IIG network เช่น Facebook, Google, Akamai, NETFLIX, Line ซึ่งยังไม่ได้รับผลกระทบต่อการใช้งาน

    แผนการแก้ไขเร่งด่วน

    oเปิดวงจร Trunk ผ่านระบบเคเบิลใต้น้ำ TIS (TH-SG) + SJC (SG-HK)

    •ดำเนินการ : เสร็จเป็นที่เรียบร้อยแล้ว เมื่อ วันที่ 2 ก.พ. 2566

    •ผลลัพธ์ : ทำให้ Traffic ที่ผ่านไปยังปลายทางเขตปกครองพิเศษฮ่องกง ใช้งานได้ดีขึ้นและลดการ Congestion ด้านสิงคโปร์ได้บางส่วน

    oเปิดวงจรเชื่อมต่อปลายทาง NT IIG POP Singapore เพิ่มเติมผ่านระบบเคเบิลใต้น้ำ SMW4 ขนาด 100 GE เพื่อขยาย Capacity ของ IIG Trunk Singapore

    •ดำเนินการ : เปิดวงจรเชื่อมต่อไปยังสถานีเคเบิลใต้น้ำประเทศสิงคโปร์เป็นเรียบร้อยแล้ว ขณะนี้รอการเชื่อมต่อวงจรเชื่อมโยงจากสถานีเคเบิลใต้น้ำในประเทศสิงคโปร์ไปยัง NT IIG POP โดย บ.SingTel แจ้งข้อมูลล่าสุด(20ก.พ.)คาดว่าจะสามารถดำเนินการเชื่อมต่อวงจรได้ประมาณวันที่ 1 มี.ค. 2566

    •ผลการลัพธ์ : ทำให้ Traffic ที่ผ่านไปยังปลายทางประเทศสิงคโปร์และปลายทางอื่นๆกลับสู่ภาวะปกติ

    แผนการแก้ไขระยะยาว

    oเพิ่ม Diversity วงจรเชื่อมต่อผ่านระบบ Submarine ADC (ประมาณ Q4 2566)

    •Singapore POP เป็น 5 ระบบ (SMW4/TIS/AAG/APG/ADC)

    •Hong Kong POP เป็น 5 ระบบ (AAG/APG/AAE1/TIS-SJC/ADC)

    ข้อมูล ข้อขัดข้อง NT IIG ที่เป็นผู้ให้บริการ Internet ช่องทางหนึ่งแก่ PSU เนื่องจากเคเบิลใต้น้ำ 20Feb2023 ครับ 😢

    https://www.submarinecablemap.com/

  • Nessus Essentials

    songkrant.m

    เครื่องมือตรวจสอบช่องโหว่ Nessus Essentials

    จากเว็บไซต์ให้บริการตรวจสอบช่องโหว่ในระบบได้ฟรีๆ ไม่มีค่าใช้จ่าย เช่น https://www.shodan.io/ ซึ่งบริการฟรี สถานะ Last Seen แสดงวันที่ Shodan แวะเวียนมาตรวจสอบให้ล่าสุด
    จึงเกิดคำถามว่า ถ้าเราได้อัพเดตส่วนประกอบพื้นฐานต่างๆ เช่น หากใช้ Ubuntu ก็ทำตาม วิธี https://sysadmin.psu.ac.th/2023/02/14/ubuntu-oval/ ที่ Ubuntu มีให้
    แล้วจะรู้ได้อย่างไรว่า ช่องโหว่ต่างๆ ได้ถูกปิดให้ปลอดภัยขึ้นแล้ว

    เครื่องมือที่สำนักนวัตกรรมดิจิทัลและระบบอัจฉริยะ diis.psu.ac.th มีใช้สำหรับตรวจสอบช่องโหว่คือ
    Nessus Professional ซึ่งมีค่าใช้จ่ายรายปี และการใช้งาน ผู้ดูแลไอทีส่วนงานต่างๆ สามารถส่งอีเมลถึง

    itoc@psu.ac.th
    แจ้งความประสงค์ ขอให้ตรวจสอบช่องโหว่เว็บไซต์ URL…
    วันที่… เวลา…

    ซึ่งจะใช้เวลาตรวจสอบประมาณ 1-2 ชั่วโมง itoc@psu จะส่งรายงานผลการตรวจสอบจาก Nessus ให้กับท่านตามอีเมล @psu.ac.th ที่แจ้งความประสงค์เข้ามา
    ตามลำดับคำขอ

    อย่างไรก็ตาม ยังมีอีกทางเลือกหนึ่ง ที่ผู้ดูแลไอทีส่วนงานต่างๆ สามารถสมัครใช้บริการ Nessus ได้แบบไม่มีค่าใช้จ่าย
    Nessus Essentials
    https://www.tenable.com/products/nessus/nessus-essentials
    ซึ่งรองรับ 16 IP Address และตรวจสอบได้เพียงพอ ไม่ต้องถึงระดับ Compliance Checks แบบ Nessus Professional

    บทความที่เคยใช้ข้อมูลจาก Nessus มีอยู่ที่
    https://sysadmin.psu.ac.th/2019/08/13/nessus-scaned/

    ส่วน รายละเอียดการใช้งาน Nessus Essentials หากท่านใดมีเนื้อหาพร้อมแบ่งปัน สามารถแปะ URL ในช่องความเห็นมาได้เลยครับ

    ร่วมด้วยช่วยกัน เพิ่มความปลอดภัยไซเบอร์ ให้ ม.อ.

  • Ubuntu OVAL

    songkrant.m

    เครื่องมือตรวจสอบช่องโหว่สำหรับอูบุนตู

    เพิ่มเติม สำหรับ Ubuntu 24.04 10Jun2024

    เมื่อได้รับทราบข้อมูลช่องโหว่ของลีนุกซ์อูบุนตูที่ดูแลอยู่จากเว็บไซต์ให้บริการตรวจสอบช่องโหว่ในระบบได้ฟรีๆ ไม่มีค่าใช้จ่าย เช่น https://www.shodan.io/ ซึ่งบริการฟรี สถานะ Last Seen แสดงวันที่ Shodan แวะเวียนมาตรวจสอบให้ล่าสุด
    จึงเกิดคำถามว่า ถ้าเราได้อัพเดตส่วนประกอบพื้นฐานต่างๆ ที่ Ubuntu มีมาให้ด้วยคำสั่ง
    sudo apt update
    sudo apt dist-upgrade
    แล้วจะรู้ได้อย่างไรว่า ช่องโหว่ต่างๆ ได้ถูกปิดให้ปลอดภัยขึ้นแล้วตามคำแนะนำของ Ubuntu ที่มีประกาศข่าวเรื่องความปลอดภัยเกี่ยวกับอูบุนตูไว้ที่ https://ubuntu.com/security/notices

    อูบุนตูมี Ubuntu OVAL (Open Vulnerability and Assessment Language) ไว้ให้ใช้ตรวจสอบช่องโหว่ ซึ่งใช้โปรแกรมชื่อ OpenSCAP เพื่อทำรายงานช่องโหว่ให้ดูได้เอง ตามขั้นตอนต่อไปนี้

    1. Login เข้าไปที่เครื่องอูบุนตูที่ใช้อินเทอร์เน็ตได้
    2. Download ด้วยการใช้คำสั่ง
    wget https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2

    หรือเลือก Download ให้ตรง Ubuntu Version จากตัวเลือกที่
    https://security-metadata.canonical.com/oval/
    โดยให้เลือกแบบ CVE เพื่อจะได้เปรียบเทียบรายการช่องโหว่กับรายงาน Nessus ที่แสดงด้วย CVE เช่นกัน
    1. คลายไฟล์ที่ถูกบีบอัดลดขนาดที่ Download มาได้ ด้วยการใช้คำสั่ง
    bunzip2 com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2
    1. ใช้โปรแกรม OpenSCAP เพื่ออ่านเงื่อนไขการตรวจสอบช่องโหว่ต่างๆ บนเครื่อง และสร้างไฟล์รายงานผลชื่อ report.html ด้วยการใช้คำสั่ง
    oscap oval eval --report report.html com.ubuntu.$(lsb_release -cs).usn.oval.xml
    1. เพิ่มเติม จากคุณ เกรียงไกร 15Feb2023 => บางเครื่องต้องติดตั้ง libopenscap8 ก่อนด้วยคำสั่ง sudo apt install libopenscap8 ไม่งั้นใช้ oscap ไม่ได้
    2. เพิ่มเติม สำหรับ Ubuntu 24.04 10Jun2024 => ต้องติดตั้ง openscap-scanner ด้วยคำสั่ง sudo apt install openscap-scanner ไม่งั้นใช้ oscap ไม่ได้
    3. ใช้โปรแกรม เว็บบราวเซอร์ เพื่อเปิดอ่านไฟล์รายงานผลชื่อ report.html

    ตัวอย่างการใช้งานจริงกับเครื่องบริการทดสอบความเร็วอินเทอร์เน็ต Ookla Server ซึ่งใช้เป็นตัวอย่างแสดง

    1. Ubuntu Server 20.04 5.4.0-121#137 15Jun2022 ก่อนจะใช้คำสั่ง sudo apt dist-upgrade เพื่อปรับปรุงความปลอดภัย
      ในรายงานแสดงจำนวน 14 #X ที่ยังมีช่องโหว่ พร้อมด้วยรายการช่องโหว่หมายเลข USN และ CVE ต่างๆ โดยละเอียดตามรูป
    2. Ubuntu Server 20.04 5.4.0-137#154 5Jan2023 เมื่อได้ใช้คำสั่ง sudo apt dist-upgrade ปรับปรุงความปลอดภัยและรีบูทเครื่องแล้ว
      ในรายงานแสดงจำนวน 2 #X ที่ยังมีช่องโหว่ พร้อมด้วยรายการช่องโหว่หมายเลข USN และ CVE ต่างๆ โดยละเอียดตามรูป
    3. เนื่องจากส่วนการปรับปรุงความปลอดภัยอีก 2 รายการที่ยังเหลืออยู่นั้นทาง Ubuntu จะมีบริการให้เฉพาะกับสมาชิก Ubuntu Pro https://ubuntu.com/pro เท่านั้น (จะเขียนคำแนะนำเพิ่มให้ครับ)
      ซึ่งหลังจากทำตามขั้นตอนใส่ คีย์ ของ Ubuntu Pro ลงบน เครื่องอูบุนตูของเราเรียบร้อย และอัพเดตความปลอดภัยเพิ่มจากสิทธิ์ Ubuntu Pro ในรายงาน OVAL จะได้รับการอัพเดตปิดกั้นช่องโหว่อย่างครบถ้วน ตามรูป
    4. ถึงแม้ว่าวันนี้ อูบุนตู ของท่านจะได้รับการอัพเดตล่าสุดแล้ว แต่ด้วยภัยคุกคามทางไซเบอร์มีการเปลี่ยนแปลงอยู่เสมอ ก็อย่าลืมติดตามอ่านข่าวสารเกี่ยวกับความปลอดภัยไซเบอร์ และหมั่นปรับปรุง อัพเดต อยู่เป็นประจำครับ