Bảo vệ máy chủ an toàn với phần mềm tự do

Số trang: 14 Loại file: pdf Dung lượng: 131.40 KB Lượt xem: 23 Lượt tải: 0

Hoai.2512

Hỗ trợ phí lưu trữ khi tải xuống: 1,000 VND

Báo xấu

Xem trước 2 trang đầu tiên của tài liệu này:

Thông tin tài liệu:

Khi thiết kế một hệ thống phòng thủ, chúng ta phải thiết kế sao cho hệ thống đó có cấu trúc tương tự như...củ hành tây. Kẻ tấn công lột một lớp vỏ bên ngoài, sẽ còn rất nhiều lớp vỏ bên trong bảo vệ cho phần lõi của củ hành, đây chính là khái niệm phòng thủ có chiều sâu, một trong những khái niệm quan trọng nhất khi thảo luận về bảo mật mạng máy tính. Phòng thủ có chiều sâu giúp chúng ta bảo vệ hệ thống mạng của mình bất chấp một hoặc nhiều *lớp* bảo...
Nội dung trích xuất từ tài liệu:
Bảo vệ máy chủ an toàn với phần mềm tự doBảo vệ máy chủ an toàn với phần mềm tự do0.0 Giới thiệuKhi thiết kế một hệ thống phòng thủ, chúng ta phải thiết kế saocho hệ thống đó có cấu trúc tương tự như...củ hành tây. Kẻ tấncông lột một lớp vỏ bên ngoài, sẽ còn rất nhiều lớp vỏ bên trongbảo vệ cho phần lõi của củ hành, đây chính là khái niệm phòngthủ có chiều sâu, một trong những khái niệm quan trọng nhất khithảo luận về bảo mật mạng máy tính. Phòng thủ có chiều sâu giúpchúng ta bảo vệ hệ thống mạng của mình bất chấp một hoặc nhiều*lớp* bảo vệ bên ngoài bị xâm hại. Một hệ thống phòng thủ chỉ antoàn khi nào càng đi sâu vào bên trong, kẻ tấn công càng gặp phảinhiều khó khăn, tốn nhiều công sức và dễ bị phát hiện hơn. Mộtchi tiết cần phải lưu ý là không có bất kì lớp bảo vệ nào đủ sứcchống lại mọi loại tấn công, sức mạnh của hệ thống phòng thủ làsự kết hợp sức mạnh của từng lớp bảo vệ, mỗi lớp thực thi nhiệmvụ của riêng mình, nghĩa là ngăn cản và phòng ngừa một loại tấncông cụ thể nhất định.Có ba yếu tố tạo thành một hệ thống phòng thủ có chiều sâu:network perimeter, internal network, và nhân tố con người. Doloạt bài này là *ăn theo* loạt bài Kí sự các vụ DDoS vào HVA* -1- vì vậy tôi chỉ trình bày về network perimeter, về hai yếu tố cònlại, nếu có cơ hội thì tôi sẽ trình bày nó ở phần mở rộng của loạtbài này.0.1 Network perimeterPerimeter, dịch ra tiếng Việt có nghĩa là vành đai, tuy nhiên từperimeter dùng ở đây có nghĩa khác khái niệm vành đai một tí,bởi perimeter của một network có những thiết bị nằm ở *vòngngoài* và cũng có những thiết bị nằm ở *vòng trong* của networkđó. Các thiết bị này bao gồm:- Static packet filter- Stateful firewall- Proxy firewall- IDS- VPN deviceTrong trường hợp này, chúng ta cũng không tìm hiểu hết các thiếtbị này, mà chỉ gói gọn trong 3 thiết bị là static packet filter,stateful firewall và IDS.Static packet filter, thường là các router, là thiết bị đầu tiên trongbộ perimeter mà tất cả các luồng traffic đi vào hệ thống của chúngta phải đi qua và cũng là thiết bị sau cùng trong bộ perimeter màtất cả các traffic xuất phát từ hệ thống của chúng ta phải đi qua.Các static packet filter chỉ có thể lọc các packet dựa vào các thôngtin cơ bản như địa chỉ IP, port number và protocol -2-. Chúng cóthể là router (Cisco router với standard access list từ 1-99) hoặcfirewall (IPchains). Do chỉ lọc các packet dựa vào các thông tin cơbạn nên static packet filter làm việc rất nhanh, nhanh hơn rất nhiềuso với các loại stateful firewall. Static packet filter đặc biệt hữudụng trong trường hợp bồ đang bị tấn công hoặc firewall của bồđang phải chịu tải quá nhiều. Ví dụ như bồ phát hiện ra có một kẻtừ địa chỉ IP 100.100.100.100 đang cố gắng login vào máy chủcủa bồ ở cổng 22 (SSH), với IPchains, bồ có thể dễ dàng chặnđứng đợt tấn công này với lệnh sau đây:CODEipchains -A input -i eth0 -p tcp -s 100.100.100.100/32 -d192.168.1.1/32 22 -l -j DENYDo loạt bài viết này không tập trung vào ipchains nói riêng vàstatic packet filter nói chung do đó tôi sẽ không giải thích câu lệnhtrên có nghĩa là gì, bồ nào muốn tìm hiểu thì xin lên Internet tìmtài liệu về ipchains -3-.Ưu điểm về tốc độ của static packet filter không thể che dấu hếtnhững khuyết điểm rất nghiêm trọng trong hoạt động của nó. Mộtlớp các vụ tấn công mà static packet filter hoàn toàn *bó tay* đólà các loại tấn công mà trong đó kẻ tấn công cố tình thay đổi cácthông số và tùy chọn trong những packet gửi đến máy chủ củachúng ta -4-. Ví dụ điển hình là kĩ thuật ACK Scan của Nmap.Thông thường, các static packet filter đều được cấu hình để chặnhết tất cả các ICMP Echo Request (tạo ra bởi công cụ ping) đểtránh bị tấn công DDoS hoặc bị thăm dò thông tin. Một câu lệnhipchains cụ thể để làm chuyện này như sau:CODEipchains -A input -i eth0 -p icmp -s 0.0.0.0/0 -d 0.0.0.0/0 -l -jDENYThật ra câu lệnh trên cũng không chính xác với yêu cầu, bồ có biếtkhông chính xác ở chỗ nào không?Câu lệnh trên sẽ block hết tất cả các ICMP Echo Request tạo ra từcông cụ ping, tuy nhiên nó hoàn toàn vô dụng với kĩ thuật ACKScan của Nmap. Tại sao? Với kĩ thuật ACK Scan, thay vì gửi mộtICMP packet bình thường đến hệ thống của chúng ta, Nmap sẽ tạora một packet với flag ACK được active (được gọi là TCP pingpacket) rồi gửi đi đến port 80 của máy chủ chúng ta. Các staticpacket filter thấy flag ACK được active sẽ nghĩ rằng đây là packettrả lời cho một SYN packet gửi ra từ máy chủ trước đó, vì vậy sẽcho packet này đi qua -5-.Với ví dụ trên, rõ ràng chúng ta cần một thiết bị khác (nằm ngoàisau static packet filter) để có thể hứng và ngăn chặn được nhữngdạng tấn công như Nmap ACK scan, thiết bị đó chính là statefulfirewall. Stateful Firewall, như tên gọi, là loại firewall có thể nhậndạng, theo dõi được *state* -6- của một connection bằng cách lưutrữ tất cả các thông ...