ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

---

ชื่อเรื่อง : Physical Security (การรักษาความปลอดภัยทางกายภาพ)
เรียบเรียงโดย : กิติศักดิ์ จิรวรรณกูล
เผยแพร่เมื่อ : 19 สิงหาคม 2545

การรักษาความปลอดภัยทางกายภาพ หมายถึง มาตรการที่ใช้ในการปกป้องทรัพยากรจากภัยคุกคามทางกายภาพทั้งโดยเจตนาและไม่เจตนา ซึ่งเป็นหนึ่งในวิธีที่ช่วยลดความเสี่ยงด้านความปลอดภัย โดยการจำกัดให้เฉพาะผู้ที่จำเป็นต้องใช้งาน เช่น ผู้ดูแลระบบเท่านั้นที่สามารถเข้าถึง console ของระบบ ปกติแล้วระบบที่เป็นเซิร์ฟเวอร์ ผู้ใช้ทั่วไปไม่จำเป็นต้องใช้งาน console แต่สามารถใช้โปรแกรมประเภท ssh ทำการติดต่อเข้าไปใช้งานยังเครื่องเซิร์ฟเวอร์ได้

เหตุผลที่ไม่ควรให้ผู้ใช้ทั่วไปเข้าถึง console เนื่องจากผู้ที่เข้าถึง console ของเครื่องสามารถทำการเปิด-ปิดเครื่อง หรือรีบูตระบบจากซีดีรอมแล้วทำการ mount disk ทำให้สามารถเปลี่ยนรหัสผ่านของ root ได้ นอกจากนั้น การเข้าถึง console ยังทำให้สามารถทำอะไรได้ตามต้องการอีกด้วย เช่น การเข้าสู่ระบบได้โดยไม่จำเป็นต้องทราบรหัสผ่านทั้งๆ ที่ไม่มีซีดีรอมที่สามารถบูตได้ด้วย

I. แนวทางการป้องกันความปลอดภัยทางกายภาพของระบบ

1. แบ่งแยกพื้นที่ควบคุมความปลอดภัยอย่างชัดเจน เช่น การแยกห้องที่เก็บเครื่องเซิร์ฟเวอร์และอนุญาตให้เฉพาะผู้ดูแลระบบเท่านั้นที่เข้าถึงได้
2. ใช้ระบบป้องกันและตรวจสอบการเข้าออกพื้นที่ควบคุมความปลอดภัย เช่น การใช้ key card ที่สามารถบันทึกได้ว่าใครเข้าออกได้ หรือการใช้กล้องวิดีโอ เป็นต้น
3. เก็บรักษาระบบและอุปกรณ์ต่างๆ เช่น backup tape, เซิร์ฟเวอร์ ในพื้นที่ควบคุมความปลอดภัย และอนุญาตให้เข้าถึงได้เฉพาะผู้ดูแลระบบเท่านั้น
4. ใช้เครื่องจ่ายกำลังไฟฟ้าสำรองหรือ UPS เพื่อให้ระบบสามารถใช้ไฟฟ้าได้อย่างต่อเนื่อง
5. วางแผนสำหรับการกู้ระบบคืนเมื่อมีเหตุการณ์เลวร้ายเกิดขึ้น
6. ตรวจสอบข้อมูลของเจ้าหน้าที่จากภายนอกที่เข้ามาให้คำปรึกษาหรือปฏิบัติงานภายในพื้นที่ควบคุมความปลอดภัย ถ้าหากเจ้าหน้าที่ผู้นั้นต้องการใช้สิทธิของ root ในการทำงานกับระบบ ผู้ดูแลระบบจะต้องทำการ login ให้ด้วยตนเอง หลังจากนั้นต้องคอยติดตามดูว่าผู้นั้นทำอะไรกับระบบบ้าง และเมื่อเสร็จภารกิจแล้วให้ทำการเปลี่ยนรหัสผ่านของ root ทันที

II. แนวทางการป้องกันความปลอดภัยทางกายภาพภายในเครื่องคอมพิวเตอร์

1. การล็อคเครื่องคอมพิวเตอร์ (Computer Lock) เช่น การใช้กุญแจล็อคที่ตัวเครื่อง เพื่อช่วยในการป้องกันเครื่องและอุปกรณ์ภายในเครื่องจากการถูกลักขโมย หรือทำการเปิดเครื่องเพื่อสร้างความเสียหายต่อฮาร์ดแวร์ภายในได้ และเป็นการป้องกันการรีบูตเครื่องด้วยแผ่นดิสก์หรือฮาร์ดแวร์อื่นๆด้วย

2. การรักษาความปลอดภัยใน BIOS (BIOS Security) เนื่องจาก BIOS มีความสำคัญต่อโปรแกรมที่ใช้บูตเข้าระบบ เช่น LILO ดังนั้นจึงควรปรับแต่งค่าใน BIOS เพื่อป้องกันผู้โจมตีทำการรีบูตเครื่อง มีวิธีการโดยสรุปดังนี้
   • ปรับแต่งให้ป้อนรหัสผ่านตอนที่บูตเครื่อง ซึ่งอาจจะไม่สามารถป้องกันได้ 100% เนื่องจากผู้โจมตีสามารถทำการรีเซ็ตที่ BIOS ได้ แต่ก็เป็นการชะลอเวลาของผู้โจมตี
   • ปรับแต่งให้เครื่องไม่สามารถใช้แผ่นดิสก์ในการบูตเครื่อง
   • ปรับแต่งให้ป้อนรหัสผ่านทุกครั้งก่อนที่จะทำการปรับแต่ง BIOS

   หมายเหตุ การตั้งรหัสผ่านตอนบูตมีข้อเสียคือ ถ้าเกิดเหตุขัดข้องบางประการ เช่น ไฟฟ้าดับเป็นเวลานาน ส่งผลให้ต้องมีการบูตใหม่ ผู้ดูแลระบบเองจะต้องอยู่ใกล้เครื่องเพื่อที่จะป้อนรหัสผ่าน มิฉะนั้นระบบจะไม่สามารถทำงานต่อไปได้

3. การรักษาความปลอดภัยที่ Boot Loader (Boot Loader Security) โปรแกรม Boot Loader ของ Linux สามารถปรับแต่งให้ป้อนรหัสผ่านตอนบูตได้ ยกตัวอย่างเช่น LILO สามารถแก้ไฟล์ /etc/lilo.conf โดยเพิ่มส่วนของ password และ restricted ซึ่ง password นั้นเป็นการป้องกัน image (เป็นไฟล์ของ kernel ที่ใช้ในการบูต) ส่วน restricted เป็นการป้องกัน image โดยให้ป้อนรหัสผ่าน เมื่อมีการเพิ่มค่าพารามิเตอร์ที่ LILO prompt (เช่น single) นอกจากนี้ยังมี prompt ที่จะใช้ระบุว่าทุกครั้งที่เปิดเครื่องต้องมีการเข้าสู่ boot prompt ก่อน และ timeout นั้นใช้บอกเวลาในหน่วยวินาทีที่ใช้รอรับอินพุตจากคีย์บอร์ดว่าจะเลือกบูตไฟล์ image ใด และการปรับแต่งให้ป้อนรหัสผ่านยังคงไม่สามารถป้องกันการบูตจากแผ่นดิสก์ และการ mount root partition ดังนั้นควรที่จะใช้ BIOS Security ควบคู่ไปกับ Boot Loader Security เช่น การปรับแต่งให้ไม่สามารถบูตจากแผ่นดิสก์ และให้ป้อนรหัสผ่านก่อนเข้าใช้งาน BIOS

4. การล็อคหน้าจอมอนิเตอร์ (Screen Lock) ในขณะที่ผู้ดูแลระบบใช้งานเครื่องค้างอยู่ และต้องหยุดการใช้งานดังกล่าวก่อนชั่วคราว แต่ยังไม่ต้องการที่จะ Logout ออกจากระบบ ก็ใช้คำสั่งในการล็อคหน้าจอเพื่อป้องกันผู้อื่นที่ไม่รู้รหัสผ่านของผู้ดูแลระบบเข้ามาใช้งานเทอร์มินัลที่ทำงานค้างไว้ได้ ตัวอย่างโปรแกรมดังกล่าวเช่น xlock สำหรับ X-windows และ vlock สำหรับ Text-mode

5. การตรวจสอบการเปลี่ยนแปลงของความปลอดภัยทางกายภาพ (Detecting Physical Security Compromises) วิธีที่ง่ายที่สุดในการตรวจสอบว่าเครื่องถูกผู้บุกรุกแก้ไขการทำงานใดๆ ภายในเครื่องหรือไม่ สามารถทำได้โดยการตรวจสอบจากล็อกไฟล์ที่สร้างขึ้นจากโปรแกรม syslog daemon ที่ถูกติดตั้งใน linux ซึ่งจะทำการเก็บล็อกไฟล์ไว้ ภายในล็อกไฟล์ดังกล่าวจะเก็บข้อมูลสถานะการทำงานของเครื่องตั้งแต่เริ่มบูตเครื่อง อย่างไรก็ตาม ถ้าผู้บุกรุกทราบว่าล็อกไฟล์เก็บไว้ที่ใด ก็สามารถที่จะเข้าไปแก้ไขหรือสร้างล็อกไฟล์ได้ ดังนั้นมีอีกทางเลือกหนึ่งคือการตั้งเซิร์ฟเวอร์ที่ใช้เก็บล็อกไฟล์ (Log Server) โดย syslog daemon สามารถปรับแต่งให้ส่งข้อมูลล็อกไฟล์ไปเก็บไว้ยังเซิร์ฟเวอร์ที่ใช้เก็บล็อกไฟล์ได้ แต่ข้อมูลนั้นยังไม่ได้เข้ารหัส ผู้บุกรุกสามารถดูข้อมูลดังกล่าวขณะที่ทำการส่งได้ เพราะฉะนั้นเซิร์ฟเวอร์ที่ใช้เก็บล็อกไฟล์ควรตั้งอยู่ภายในองค์กร

   ข้อมูลของล็อกไฟล์โดยทั่วไปที่ควรตรวจสอบ

   • ล็อกไฟล์ที่ไม่สมบูรณ์หรือที่มีข้อมูลขาดหายไป
   • ล็อกไฟล์ที่มี timestamp ผิดปกติ
   • ล็อกไฟล์ทีมี permission หรือ เจ้าของล็อกไฟล์ผิดจากที่ควรเป็น เช่นล็อกไฟล์ของระบบแต่เจ้าของนั้นเป็น user
   • ข้อมูลของการรีบูตเครื่องหรือรีสตาร์ท service
   • การใช้คำสั่ง su หรือการ login เข้ามาจากต้นทางที่ผิดปกติ

III. สรุป

การป้องกันความปลอดภัยทางกายภาพนั้นจะให้ได้ผลมากที่สุด ต้องทำตามคำแนะนำดังกล่าวให้ครบ ถึงแม้ว่าคำแนะนำดังกล่าวอาจจะไม่สามารถป้องกันผู้บุกรุกได้ 100 เปอร์เซ็นต์ แต่อย่างน้อยก็สามารถชะลอให้ผู้บุกรุกเข้าถึงระบบได้ช้าลงได้

IV. Referrence:

http://www.asu.edu/it/ag/unug/bestpractices/physical.htm
http://www.linuxdocs.org/HOWTOs/Security-HOWTO-3.html