Download miễn phí Đề tài Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam
Mức độan ninh mạng hiện nay. Khiếm khuyết và nguyên
nhân
• Điểm yếu nhất của các mạng tin học hiện nay là lỗi lập trình ứng dụng
có sửdụng cơsởdữliệu SQL. Mô hình viết các ứng dụng bằng ngôn
ngữlập trình Visual Basic, Delphi, MicroSoft C++ phục vụWeb server với
kết nối vào CSDL Microsoft SQL là phổcập nhất. Các lập trình viên chưa
được đào tạo vềlập trình an tòan, hay không có thời đủtrong quá trình
lập trình, hay không cẩn thận dẫn đến lỗi các trình ứng dụng trên web là
phổbiến nhất hiện nay. Nếu chúng ta bịtấn công ồ ạt và trên diện rộng,
sẽcó nhiều website (trên 30 %) sẽbịthay đổi nội dung từng phần hay
tòan bộ.
• Mức độbảo mậtcủa các mạng tin học Việt nam trong 2003 nói chung đã
được nâng caoso với năm 2001. Điều đó thểhiện qua mức độkhó khăn
tăng lên khi tiến hành xâm nhập thửnghiệm, sốlượng ít các lọai sơhở
khác nhau tìm thấy trên server do nhóm nghiên cứu tiến hành trong hai đề
tài nghiên cứu ởhai thời điểm trên.
•Các hacker Việt nam hiện nay tập hợp trong một sốnhóm. Đơn cửlà
nhóm HVA, BabylearnHack, BlackHack, PTV5. Nhóm HVA là nhóm đông
thành viên, tổchức khá chặt chẽvà trình độcao. Kiến thức của các
hacker Việtnam hiện nay rất mạnh vềkhai thác lỗi trên các trình dịch vụ
Web. Khảnăng khai thác lỗi của mạng và mức hệ điều hành còn hạn chế.
Điều đó phần nào được thểhiện qua cuộc thi bugsearch và có thểlý giải
qua các chương trình đào tạo vềCNTT tại các trường hiện nay còn yếu,
nhất là vềthực hành, trong lĩnh vực mạng và hệthống.
•Hệthống dịch vụDNS do VNNIC quản lý hiện nay chưa phong phú về
dịch vụ, nhưng có mức độan tòan tốt.
•Các quản trịmạng phát hiện hệthống của mình bịtấn công còn rất
yếu. Chúng tôi không ghi nhận một phàn nàn nào từphía các quản trị
mạng khi mạng của họbị“quét” đểtìm sơhở. Kinh nghiệm thực tếcho
thấy các quản trịmạng nước ngòai phản ứng rất nhanh nhạy khi mạng
của họbịthăm viếng. Nhìn chung, chúng ta chưa có chuyên viên an
ninh mạng chuyên nghiệp. Thường là các quản trịmạng kiêm nhiệm
nhiều việc và chỉnghĩtới an ninh mạng khi nào rảnh rỗi. Đây có lẽlà
nguyên nhân quan trọng nhất của vấn đềan ninh mạng Việt nam còn kém
hiện nay.
•Nguyên nhân phát hiện bịtấn công kém cho thấy việc triển khai các hệ
thống phát hiện xâm nhập IDS là rất quan trọng. Các giải pháp hiện có
cho phép triển khai IDS cho các mạng qui mô từnhỏtới rất lớn.
•Trong hòan cảnh quản trịmạng còn chưa chuyên nghiệp nhưhiện nay,
tìm ra sơhở đểcảnh báo một cách cụthểlà phương án khảthi tốt
nhất đểnâng cao mức độbảo mật của mạng tin học Việt nam.
• Tổchức thitìm sơhởmột hệthống là cách tốt nhất đánh giá được trình
độhacker cũng nhưthửnghiệm mức độan tòan của mô hình/hệ
Đềtài khoa học Hỗtrợbảo mật các hệthống tin học Việt nam
68
thống. Tuy nhiên việc xây dựng một website phong phú dịch vụ, hấp dẫn
đểthu hút động đảo người tham gia thửnghiệm là một việc làm khó và
cần đầu tư đáng kểvề đường truyền kết nối Internet, trang thiết bịvà
nhân lực xây dựng dịch vụ, quản lý cuộc thi.
http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2013-04-03-de_tai_ho_tro_bao_mat_he_thong_thong_tin_cho_cac_m.awPFhOpPL6.swf /tai-lieu/de-tai-ung-dung-tren-liketly-5779/Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
quản lý, sản
xuất. Vì vậy, cấu hình một nhân viên an ninh mạng bên cạnh các
quản trị mạng chưa thể là hiện thực trong tương lai gần. Phát hiện
sơ hở qua các khảo sát (auditing) thường xuyên, định kỳ và thông báo
cho quản trị mạng sửa chữa vẫn là phương án khả thi nhất hiện nay
nhằm tăng cường mức độ an ninh mạng của chúng ta.
Proxy, NAT,DNS…
Internal network
Internet
Dial-up/ADSL
IDS
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
71
• Xâm nhập thử nghiệm để tìm ra sơ hở là một công tác rất tế nhị, là công
tác mà tính hợp pháp của nó rất dễ bị đưa ra trước pháp luật. Vì vậy,
nhóm nghiên cứu tìm sơ hở phải là những cá nhân có thể tin tưởng
được, phải có được quyền danh chính ngôn thuận để thực hiện
công việc này. Đồng thời, nhóm xâm nhập thử nghiệm cũng phải bị
giám sát bới cơ quan an ninh, pháp luật.
• Phòng an ninh mạng trực thuộc Sở khoa học và công nghệ với một
người biên chế của Sở làm đầu mối kết nối với Sở Khoa học và một số
chuyên viên kỹ thuật là mộtmô hình khả thi. Kinh phí họat động cho nhóm
này không lớn vì chúng ta sử dụng người kiêm nhiệm từ các công ty,
doanh nghiệp, trường học là chính. Trang thiết bị máy tính, đường truyền
không cần đầu tư. Chi phí chủ yếu là phụ cấp nhân công cho chuyên
viên kỹ thuật và một số sinh họat seminar/hội thảo thường kỳ. Số lượng
nhân viên phòng an ninh mạng có thể là 5 người và được thay đổi trong
quá trình họat động nhằm tìm ra những người tâm huyết nhất, trình độ kỹ
thuật giỏi nhất cho công tác này. Kinh nghiệm trong quá trình nghiên cứu
an ninh mạng cho thấy số lượng cán bộ nghiên cứu không cần nhiều, chỉ
cần một vài người có nhiệt tình, trung thực và được hướng dẫn đúng đắn
là có thể thực hiện được công việc.
• Đối với mô hình hệ thống thông tin, nhất là những mô hình có nhiều công
nghệ mới như grid, portal, VPN … thi tìm sơ hở là một hình thức tốt để
thử nghiệm mức độ an tòan của công nghệ và trình độ của nhóm
quản trị hệ thống trước khi triển khai. Đặc biệt các Website mang tính
chất chính trị, hay các dịch vụ hành chính công cần được thử nghiệm để
đảm bảo mức độ an tòan cao nhất. Thông tin về cấu hình này sẽ được sử
dụng ở chỗ nào, hình thức nào hòan tòan bí mật trong cuộc thi.
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
72
6 Phụ lục A: Cấu hình máy chủ bugsearch
1. Yêu cầu đặt ra cho máy chủ web server bugsearch
a. bất khả xâm phạm đối với hacker
b. đứng vững trước các kiểu tấn công DOS
c. Đáp ứng đủ các yêu cầu đặt ra đối với các dịch vụ: nhanh, dễ sử
dụng đối với user
d. Có khả năng phát hiện các xâm nhập ở mức cơ bản nhất
2. Nguyên tắc bảo mật khi xây dựng máy chủ
a. thoả mãn đầy đủ các yêu cầu
b. đề ra cơ chế bảo mật cụ thể
c. tối thiểu hoá các dịch vụ và các tiện ích trên máy chủ
d. có report hằng ngày cho admin các thay đổi trên các file cấu hình
quan trọng
3. Lựa chọn Hệ điều hành cho máy chủ
a. căn cứ trên cơ sở vật chất hiện có
b. những đáp ứng có thể
c. so sánh giữa các hệ điều hành server
4. Cài đặt hệ điều hành Linux trên máy chủ
a. nắm vững cấu hình hardware của m áy ch ủ
b. ngắt máy chủ ra khỏi mạng
c. tạo đĩa mềm boot
d. tiến hành cài đặt máy chủ
• chọn kiểu cài đặt : custom
• chia partitions cho đĩa cứng
• chọn các packages
e. lệnh rPhần mềm
f. thuộc tính immutable (không thể thay đổi)
g. start & stop daemon services
h. những phần mềm cần loại bỏ sau khi cài đặt máy chủ
i. loại bỏ các document không cần thiết
j. loại bỏ các file, thư mục trống hay không cần thiết
k. những phần mềm cần càithêm vào
l. update các phần mềm ở phiên bản mới nhất( theo phiên bản của
hệ điều hành)
5. bảo mật và tối ưu máy chủ ở mức tổng thể
a. mức BIOS
b. chọn password cho user root
c. thiết lập login timeout
d. chế độ single login trong Linux
e. Lilo và file /etc/lilo.conf
f. loại bỏ cách dùng ctrlt-alt-del để reboot
g. khoá file /etc/services
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
73
h. file /etc/securetty
i. Loại bỏ các account default của hệ thống
j. mount /boot với mode chỉ đọc
k. secure rPhần mềm
l. shell logging
m. cấu hình syslog client
n. /etc/rc.d/init.d/
o. /etc/rc.local
p. tìm và tập trung các file có SUID/SGID, loại bỏ SUID/SGID ở các
file không cần thiết
q. tìm và loại bỏ các file ẩn và các file không bình thường
r. tìm và loại bỏ các file, thư mục mồ côi
s. tìm các file, thư mục world writable và giới hạn lại theo nhu cầu
t. các file .rhosts
u. Quản lý các truy cập vào server
v. giới hạn không gian đĩa cho user
w. Giới hạn các user được sử dụng lệnh su root
x. Mount /tmp with option NOSUID
y. Mount /home with option NOSUID
6. bảo mật và tối ưu các thành phần hổ trợ
a. static lib và shared lib
b. gcc
c. điều chỉnh các thông số cho đĩa cứng IDE
7. bảo mật kernel
a. tạo điã rescue
b. kiểm tra thư mục /boot
c. chọn kernel source từ
d. patch kernel chống lỗi buffer overflow
e. cấu hình kernel
f. biên dịch kernel
g. càikernel image
h. xoá các file, thư mục liên quan đến load module
i. remount patition /boot
j. tạo đĩa boot cho monolithic kernel
k. tối ưu hoá kernel
8. bảo mật các thông số network
a. s ố l ư ợng card m ạng tr ên m áy ch ủ
b. thi ết l ập c ác th ông s ố cho network
• chống DOS
• flood attack
• tự bảo vệ khi bị scan port
c. aa
9. xây dựng firewall- Iptables
a. firewall cho web server
b. firewall cho gateway server ( tham kh ảo)
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
74
c. firewall cho sendmail server
d. firewall cho DNS server
10. Mã hoá và cơ chế xác thực
a. GnuPG
b. Openssl
c. Openssh
11. Monitor và system integrity
a. sXid
b. Portsendtry
c. Tripwire
12. xây dựng môi trường mạng đặt máy chủ
a. mô hình mạng
b. máy sensor Snort
c. thiết bị sensor cisco IDS
d. cấu h ình các thiết bị mạng: VLAN, NAT
13. kiểm tra tổng thể hệ thống: máy chủ, thiết bị mạng
14. bỏ NAT cho IP của server và test trong mạng local các dịch vụ trên máy
chủ, test trong mạng của ĐHQG
15. đưa máy chủ vào mạng
16. Cập nhật các lỗi trên hệ điều hành Linux và các dịch vụ trên máy chủ trên
internet
====================================================
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
75
Xây dựng máy chủ Web “an tòan”: thử thách và kết quả.
1. Yêu cầu đặt ra cho máy chủ web server bugsearch
máy chủ bugsearch đ ược y êu cầu như làm ô hình chuẩn cho các web
server an to àn
a. bất khả xâm phạm đối với hacker:
®©y lµ yªu cÇu tiªn quyÕt ®èi víi mäi tæ chøc, c«ng ty trªn thÕ giíi. Cã thÓ m¸y chñ
cña b¹n chøa c¬ së d÷ liÖu quan träng hay chØ lµ mét server xoµng víi mét sè dÞch vô
h¹n chÕ vµ kh«ng cã d÷ liÖu quan träng, nh−ng cho dï m¸y chñ cña b¹n cã quan träng
hay kh«ng th× khi ®−a vµo ho¹t ®éng b¹n ®· ®Çu t− cho mét kho¶ng chi phÝ kh¸ lín
cho m¸y chñ, ®−êng truyÒn, c¬ së h¹ tÇng m¹ng. NÕu m¸y chñ cña b¹n bÞ x©m nhËp,
®ång nghÜa víi tµi s¶n cña b¹n bÞ ®¸nh c¾p, hacker cã thÓ lÊy trém d÷ liÖu cña b¹n,
xo¸ s¹ch mäi d÷ liÖu hoÆc dïng tµi s¶n cña b
