Security – Page 13 – CoP PSU IT Blog

วิธีตรวจสอบขณะเข้าเว็บไซต์ที่มีหน้าเว็บ login ด้วย username

December 19, 2014 10:53

วิธีตรวจสอบขณะเข้าเว็บไซต์ที่มีหน้าเว็บ login ด้วย username สำหรับเบราว์เซอร์ Chrome ให้สังเกตว่าจะมีรูปกุญแจล๊อค(สีเขียว) หน้าคำว่า https แสดงว่า เว็บเพจหน้านี้ปลอดภัย หากแสดงเป็นอย่างอื่น เช่น กากบาทสีแดงคาดที่คำว่า https แสดงว่าไม่ปลอดภัย อาจจะกำลังโดนใครดักข้อมูล username และ password ของท่าน ตัวอย่างเว็บไซต์ gmail ตัวอย่างเว็บไซต์ต่างๆของ PSU ที่เรียกใช้ด้วย Chrome browser และ แสดง https กุญแจสีเขียว สถานะปลอดภัย สำหรับเบราว์เซอร์ Firefox ก็แสดงเป็นรูปกุญแจล๊อค แต่เป็นสีเทา ไม่แสดงเป็นสีเขียว ก็คือปรกติครับ (ผมไม่ได้ใส่รูปตัวอย่างสำหรับ Firefox) สำหรับเบราว์เซอร์ IE (Internet Explorer) ในขณะที่เขียนบทความนี้ (19 ธันวาคม 2557) ผมไม่แนะนำให้ใช้ครับ ขอให้ตรวจสอบทุกครั้งก่อนใช้งานใส่ username ลงไปนะครับ

เปลี่ยน Certificate!?

December 18, 2014 15:37

เนื่อง Certificate *.psu.ac.th จาก Comodo เดิมซึ่งกลายเป็น Cert. ที่จัดว่า WEAK แล้ว ทางเจ้าหน้าที่เครือข่ายจึงได้ขอ Cert. ใหม่มา ที่ Strong ขึ้น 🙂 ก็ต้องมานั่งเปลี่ยน Cert. ในเครื่องที่ให้บริการขั้นตอนดังนี้ Download Cert. ใหม่มาซึ่งต้องติดต่อขอไปที่ Net@dmin โดยผ่านช่องทางของ help.psu.ac.th ไฟล์ที่จะโหลดมาใช้งานมีทั้งหมด 3 ไฟล์ได้แก่ STAR_psu_ac_th.ca-bundle, STAR_psu_ac_th.crt และ STAR_psu_ac_th_key.key เมื่อดาวน์โหลดมาเสร็จแล้วให้เอาไปแทนที่เก่าได้เลย ในตัวอย่างนี้จะเก็บไว้ที่ /etc/ssl/private ทีนี้ มาดู config เก่าของ apache2 <IfModule mod_ssl.c> <VirtualHost *:443> ServerName bahamut.psu.ac.th ServerAdmin cc-server-admin@group.psu.ac.th DocumentRoot “/var/www/html” ErrorLog ${APACHE_LOG_DIR}/bahamut.ssl_error_log TransferLog ${APACHE_LOG_DIR}/bahamut.ssl_access_log LogLevel warn SSLEngine on SSLCertificateFile /etc/ssl/private/STAR_psu_ac_th.crt SSLCertificateKeyFile /etc/ssl/private/STAR_psu_ac_th.key SSLCertificateChainFile /etc/ssl/private/STAR_psu_ac_th.ca-bundle RewriteEngine On RewriteRule /avl https://licensing.psu.ac.th <Directory /var/www/licensing> AllowOverride All Order deny,allow Deny from all Allow from 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 </Directory> </VirtualHost> </IfModule> จะเห็นว่าไฟล์ชื่อไม่ตรงอยู่ไฟล์หนึ่งคือ STAR_psu_ac_th.key ก็เปลี่ยนชื่อให้ตรง เป็นอันเสร็จ แต่ … เนื่องจากเป็น Cert. ใหม่ เพื่อเพิ่มความแข็งแรง เจ้าหน้าที่เครือข่ายจึงได้กำหนด Passphrase ไว้ด้วย ต้องแก้ไขแฟ้ม /etc/apache2/mods-enabled/ssl.conf ในบรรทัดที่เขียนว่า SSLPassPhraseDialog exec:/usr/share/apache2/ask-for-passphrase ให้แก้ /usr/share/apache2/ask-for-passphrase เป็น /etc/ssl/private/passphrase-script แล้วสร้างแฟ้ม /etc/ssl/private/passphrase-script มีข้อความว่า #!/bin/sh echo “passphrase ที่ได้รับแจ้งจาก Net@dmin” chmod +x /etc/ssl/private/passphrase-script และทดสอบ script ด้วยว่าผลลัพธ์ที่ได้ตรงกับ passphrase ที่ Net@dmin แจ้งมา restart apache2 ด้วยคำสั่ง sudo service apache2 restart ถ้า passphrase ที่ใส่ไว้ในแฟ้ม passphrase-script ถูกต้องจะ restart สำเร็จ เป็นอันเสร็จ สิ่งที่ต้องแก้เพื่อให้ได้ A+ ในการทดสอบกับเว็บ https://www.ssllabs.com/ssltest/analyze.html แก้ไขแฟ้ม /etc/apache2/mods-enabled/ssl.conf โดยแก้ไข/เพิ่ม ข้อความดังต่อไปนี้ SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES: RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS SSLHonorCipherOrder on SSLProtocol all -SSLv3 -SSLv2 SSLCompression off sudo a2enmod headers เพื่อให้ module headers ของ apache2 ทำงาน แก้ไขแฟ้มของไซต์ที่เปิด ssl ไว้ จากตัวอย่างนี้คือ /etc/apache2/sites-enabled/licensing-ssl.conf โดยเพิ่มข้อความว่า Header add Strict-Transport-Security “max-age=15768000;includeSubDomains” ตัวอย่าง <IfModule mod_ssl.c> <VirtualHost *:443> ServerName licensing.psu.ac.th ServerAdmin cc-server-admin@group.psu.ac.th DocumentRoot “/var/www/html/avl” ErrorLog ${APACHE_LOG_DIR}/licensing.ssl_error_log TransferLog ${APACHE_LOG_DIR}/licensing.ssl_access_log LogLevel warn SSLEngine on Header

การป้องกัน Man In The Middle (MITM) ดักบัญชีผู้ใช้และรหัสผ่าน

December 15, 2014 09:50

การป้องกัน Man In The Middle (MITM) ดักบัญชีผู้ใช้และรหัสผ่าน Man In The Middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์ โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ วิธีการทำอย่างหนึ่งคือ การส่งข้อมูล MAC Address ของเครื่องของแฮกเกอร์ไปให้กับเครื่องของผู้ใช้โดยแจ้งว่าเป็น MAC Address ของ Gateway ของระบบเครือข่าย หลังจากนั้นเมื่อเครื่องเหยื่อรับ MAC Address ดังกล่าวไปใส่ไว้ใน ARP Table cached แล้ว กระบวนการส่งข้อมูลจากเบราว์เซอร์ของเครื่องเหยื่อจะถูกส่งผ่านไปยังเครื่องแฮกเกอร์ก่อนที่จะส่งไปยังเครื่องเซิร์ฟเวอร์ ที่มารูปภาพ: http://www.computerhope.com ดังนั้นเมื่อเครื่องเหยื่อเข้าไปยังหน้าเว็บเพจที่ต้อง login ด้วย Username และ Password โปรแกรมดักฟังข้อมูลก็จะทำการส่งหน้าเว็บเพจที่ไม่ได้ป้องกันไปให้เครื่องเหยื่อ ดังรูป ผู้ใช้ทั่วไปจะสังเกตไม่ออก (หรือไม่มีความรู้) ก็จะคลิกผ่านคำเตือนใดๆที่เบราว์เซอร์แจ้งเตือนไปแล้วสุดท้ายผู้ใช้งานก็จะใส่ Username และ Password ในหน้า login ซึ่งแฮกเกอร์ก็จะได้ข้อมูลดังกล่าว ดังรูป การทดสอบเทคนิคการโจมตีวิธีนี้ง่ายมากๆเลย เพียงแค่ค้นหาใน search engine ก็จะพบวิธีการทั้งทำการด้วยโปรแกรมบนวินโดวส์หรือโปรแกรมบนลินุกซ์ ผมจะไม่ลงรายละเอียดการทดสอบในบทความนี้นะครับ ผมพบว่าการป้องกันที่ดีที่สุดคือ หนึ่ง การให้ความรู้วิธีการใช้งานเบราว์เซอร์ทั้ง IE, Google Chrome, Firefox หรือ Safari เป็นต้น ความรู้ที่ว่าก็คือ ผู้ใช้ต้องสังเกตว่า เว็บเพจที่เข้าใช้งานประจำนั้นปรกติหน้า login จะต้องมีอักษร https แสดงอยู่ที่มุมซ้ายบรรทัดที่อยู่ของเว็บเพจ เช่น https://www.facebook.com ดังรูป และจะต้องไม่มีการเตือนว่า “ไม่ปลอดภัย” และถามว่า “จะดำเนินการต่อหรือไม่” ดังรูป แต่หากวันใดที่เราถูกแฮกเกอร์ทำ MITM กับเครื่องของเราแล้ว เราจะเห็นหน้าเว็บเพจแปลกไปจากเดิม เราจะต้องไม่คลิกปุ่มเพื่อดำเนินการต่อไป แต่หากคลิกต่อไปแล้วจะเห็นแบบดังรูป และถ้าใส่ Username และ Password ก็ถูกดักไปได้ครับ ดังรูป เราสามารถตรวจสอบด้วยวิธีอย่างง่ายๆด้วยคำสั่ง arp -a ทั้งบนวินโดวส์และลินุกซ์ เพื่อดูว่ามีเลข MAC Address ของ IP คู่ใดบ้างที่ซ้ำกัน มักจะเป็นคู่ระหว่าง IP ของ Gateway กับ IP ของเครื่องแฮกเกอร์ ดังรูป ถ้าเห็นอย่างนี้แสดงว่า “โดนเข้าแล้วครับ” ทางแก้ไขทางเดียวคือปิดเครื่องและแจ้งผู้ดูแลระบบประจำหน่วยงานของท่าน สอง การป้องกันตัวเองไม่ต้องรอพึ่งระบบเครือข่าย(เพราะอาจไม่มีระบบป้องกัน) ในทุกครั้งที่เปิดเครื่องและก่อนใช้งานใดๆ ให้ใช้คำสั่ง arp -s เพื่อทำ static ค่า IP กับ MAC ของ Gateway ลงในตาราง ARP ของเครื่องคอมฯ คำสั่ง คือ arp -s [IP ของ Gateway] [MAC Address ของ Gateway] เราจะรู้ค่า IP และ MAC Address ของ Gateway ก็ด้วยคำสั่งดังนี้ 1. ดูว่า IP ของ Gateway (default) คือเบอร์ใด ลินุกซ์ ip route show วินโดวส์ route -4 print 2. arp -a เพื่อดูค่า IP กับ MAC คู่ที่ต้องการ เช่น IP ของ Gateway คือ 192.168.10.1 และ MAC Address ของ Gateway คือ 00-13-64-2b-3d-a1 ก็ใช้คำสั่งว่า arp -s 192.168.10.1 00-13-64-2b-3d-a1 โดยที่เครื่องวินโดวส์รุ่นใหม่ๆ (8

ช่องโหว่ซอฟต์แวร์ Bash Vulnerability วิธีตรวจสอบและแก้ไข

September 27, 2014 11:07

ช่องโหว่อันตรายของซอฟต์แวร์ Bash ————————————————– -การตรวจสอบช่องโหว่ซอฟต์แวร์ Bash Vulnerability ในระบบปฎิบัติการ Unix & Linux ทดสอบโดยพิมพ์คำสั่ง env VAR='() { :;}; echo Bash is vulnerable!’ bash -c “echo Bash Test” หากปรากฎข้อความว่า Bash is vulnerable! แสดงว่าต้องรีบปรับปรุงซอฟต์แวร์ bash ทันที -วิธีการป้องกันและแก้ไขอัปเดตซอฟต์แวร์ bash หากใช้ Ubuntu / Debian ปรับแก้ไขอัปเดตเฉพาะปัญหา bash vulnerability sudo apt-get update && sudo apt-get install –only-upgrade bash ปรับแก้ไขอัปเดตทั้งระบบ sudo apt-get update && apt-get upgrade หากใช้ CentOS / Redhat / Fedora ปรับแก้ไขอัปเดตเฉพาะปัญหา bash vulnerability sudo yum update bash ขอบคุณครับ ^_^

Block Baidu กับ ZyXEL ZyWALL USG1000

August 27, 2014 16:37

รุ่นที่ใช้คือ ZyWALL USG1000 1. Login เข้าหน้าจัดการ FireWall 2. คลิก setting 3. เลือกเมนู Anti-X => Content Filler 4. เลือก Tab Fillter Profile 5. คลิก ADD 6. ตั้งชื่อ Profile ในที่นี้คือ BAIDU เลือก Tab Custom Service 7. คลิก Enable Custom Service 8. ลงมาล่างสุด ที่ Blocked URL Keywords คลิก Add 9. ใส่ชื่อ Web Site ที่ต้องการ Block ถ้าต้องการใส่มากกว่า 1 web ให้คลิก Add เพื่อเพิ่มเติม ในที่นี้ baidu.com และ baidu.co.th เสร๋จแล้วคลิก OK 10. เลือก Tab General 11. คลิก Enable Content Filter และ คลิก ADD 12. ตรง Filter Profile เลือก Profile ที่ ต้องการ ในที่นี้คือ BAIDU คลิก OK 13. มาดูผลงาน อย่าลืมเลือก Display เป็น Block web sites ด้วย