ในยุคแบบนี้ เทรนด์เทคโนโลยีแบบนี้ คงกล่าวได้เลยว่าเรื่องของการสร้าง Security เป็นเรื่องสำคัญมาก ๆ ในบทความนี้ผมจะนำเสนอในเรื่องของการทำ Apache Web Server Security ครับ
Apache Web Server Security เป็นการป้องกันข้อมูลที่สามารถเข้าถึงได้จากอินเทอร์เน็ต เพราะการให้บริการ Web Server Service นั้นมันเป็นการเปิดโอกาสให้ทุกคนสามารถเข้าถึงข้อมูลได้อยู่แล้ว แต่เราจะทำอย่างไรล่ะให้การเข้าถึงข้อมูลของเรานั้นอยู่บนฐานของความปลอดภัย ไม่มีประเด็นของการถูก Hack Password บ้างล่ะ ถูกโจรกรรมข้อมูลส่วนตัวของลูกค้าบ้างล่ะ ทั้งนี้ทั้งนั้นก็จบที่ว่าเราต้องทำในเรื่องของ Apache Web Server Security ครับ
ปัจจุบันเองหลายๆ หน่วยงานให้ความสำคัญกับเรื่องนี้มากๆ บางที่ใช้บริการจ้างบุคคลหรือองค์กรเข้ามาทำการตรวจสอบหาช่องโหว่ของการใช้งาน Apache Web Server ว่ามีช่องโหว่ใดๆ บ้างเพื่อที่จะได้ดำเนินการแก้ไขปรับปรุงให้ระบบมีความปลอดภัย แข็งแรงตามมาตรฐานที่ควรพึงมีครับ
ขั้นตอนการสร้าง Apace Web Server Security
1. ต้องมั่นใจว่า Apache เป็นเวอร์ชั่นใหม่ที่ตรวจสอบแล้วอย่างสม่ำเสมอ
หมั่นทำการตรวจสอบว่ามีเวอร์ชั่นใหม่ที่ตรวจสอบแล้วออกมาใหม่ หากมีแนะนำเลยว่าต้องทำการ Update ครับ
2. ทำการติดตั้งเฉพาะ Module ที่มีการใช้งานจริงเท่านั้น
ในการเลือกใช้ module ต้องทำการเลือกติดตั้งเฉพาะที่ใช้งานเท่านั้นครับ อย่าเลือกวิธีการลงทั้งหมดเพราะตัว module บางตัวอาจจะเป็นช่องโหว่ให้ถูกโจมตีได้
3. ทำการ Disable null and Weak Cipher
เลือกใช้งาน Cipher ที่มีความปลอดภัย แข็งแรง ทันสมัยเท่านั้น
* Cipher Suite คือชุดของรายการ "กระบวนการ" ในการยืนยันตัวตน การเข้ารหัส การตรวจสอบ และการรับรองการสื่อสารผ่านการเข้ารหัส ซึ่งทั้งไคลเอนต์และเซิร์ฟเวอร์แต่ละตัวก็จะมีการรองรับกระบวนการเหล่านี้ต่างกัน ทำให้จำเป็นต้องมีการตกลงกันว่าจะใช้ชุด Cipher ไหนในการสื่อสารครั้งนั้นๆ บนโปรโตคอล SSL/TLS ผ่านกระบวนการ Handshake ในการเชื่อมต่อ
4. เลือกใช้เฉพาะ TLS 1.2 เท่านั้น
เนื่องด้วย SSL 2.0 & 3.0 มีรายงานว่ามีข้อบกพร่องหลายประการในการเข้ารหัสดังนั้นเราควรตั้งค่าเป็น TLS 1.2 เท่านั้น
5. ทำการ Disable Trace HTTP Request
ค่า Trace นั้นควรจะต้องทำการปิดเพราะว่าการ Enable ไว้นั้น จะทำให้เกิด Cross Site Tracing Issue รวมถึงเป็นช่องทางให้ Hacker สามารถทำการขโมยข้อมูล Cookie ไปได้
6. ทำการ Disable Signature
โดยปกติจะต้องเป็น Off โดย Default เพื่อไม่ให้ระบบทำการแสดงรายละเอียดต่าง ๆ ของ Web Server เช่น Apache Version
7. ทำการ Disable Banner
ตัว Directive นี้จะควบคุม Server Response Header Field ซึ่งเป็นการตอบกลับไปที่ Client โดยมันจะมีคำอธิบายทั่วไปของเว์ร์ฟเวอร์ เช่น ใช้ OS อะไร , ใช้ Module อะไร
8. ทำการ Disable File ETag
ตัว File Etag มันเป็นช่องโหว่ให้ผู้โจมตีระยะไกลสามารถดึงข้อมูลที่สำคัญ ที่มีความละเอียดอน เช่น Inode Number, Multipart MIME Boundary หรือ Child Process ผ่าน Etag Header
9. ทำการ Install Mod Evasive
ทำการติดตั้งเพื่อป้องกันการ DDOS เข้ามาที่ Web Server
10. ทำการ Install Mod Security
Mod Security เป็นโมดูลที่ทําหน้าที่เป็น Web Application Firewall ให้กับ Apache Web Server กฎของ Mod Security มีความยืดหยุ่น และมีประสิทธิภาพมาก ซึ่งมีการกําหนดกฎที่ใช้ในการป้องกันการโจมตีที่สําคัญ และเหมาะกับทุกแอพพลิเคชั่นไว้เบื้องต้น เรียกว่า Core Rule Set (CRS)
11. มีระบบ Backup ที่ดี
Benefits of Web Server Security
- สร้างความปลอดภัย ให้กับข้อมูลขององค์การที่รันบน Web Server
- ทำให้องค์กรมีความน่าเชื่อถือ
- ลดความเสี่ยงจากความเสียหายของการโจทตีจากผู้ไม่ประสงค์ดี
- ทำให้ระบบงานต่าง ๆ ที่รันบน Web Server มีความมั่นคง
Download Slide เพื่อศึกษาเพิ่มเติมได้ที่นี่
_________________________________________________________________________________________________
Line : @netway (มี @ ด้านหน้า) หรือ http://bit.ly/line-netway
Facebook : m.me/netway.offcial
Tel : 02-9122558
Email : support@netway.co.th
Web Chat : https://netway.co.th/
#ให้เราช่วยคุณเรื่องไอที #การสื่อสาร Netway #มีครบจบที่เดียว #Office365 #Microsoft #Google #Zendesk #Digicert