1
© 2005 Cisco Systems, Inc. All rights reserved.
An ninh, an tòan cho trung tâm dữ liệu
SERVER FARM
TERRY SEETO
GIÁM ĐỐC GIẢI PHÁP DOANH NGHIỆP
CISCO CHÂU Á THÁI BÌNH DƯƠNG
CCIE #3119
222
© 2005 Cisco Systems, Inc. All rights reserved.
Lịch trình
• Các nguy cơ về an ninh đốivới trung tâm dữ liệu
• Kỹ thuật an ninh trung tâm dữ liệu
• Thiếtkế trung tâm dữ liệu
333
© 2005 Cisco Systems, Inc. All rights reserved.
Cisco đãsẵn sàng vớitrungtâmdữ liệu
Network Topology và cách thứchướng tới trung tâm dữ liệu DC…
Virtual Server
Clusters
Mạng doanh nghiệp
Đáu nốiliênkết trung
tâm dữ liệu
GE, 10GE
Infiniband
FC, FICON,
ISCSI
GE, 10GE
Mạng truy nhập
NAS
EMC

Mạng ma trận máy chủ
Server
Virtualization
RDMA độ trễ thấp
Virtual I/O
Grid/Utility
Computing
Các dịch vụảotíchhợp
V
Clustering
Catalyst
SERVER FARM NETWORK
An ninh
trung tâm
dữ liệu
SECONDARY DATA CENTER
FC, FICON, FCIP
FC, FICON
SONET/SDH
xWDM
Metro Ethernet
FCIP
ONS 15000
MDS 9500
Mạng vùng lưutrữ
Dịch vụ định tuyến
ma trậns
Data Replication
Services
Storage

Database
Phân đoạnlớp2
Phân đoạnlớp2
HTTP
777
© 2005 Cisco Systems, Inc. All rights reserved.
Trình tự can thiệp trái phép điểnhình
Phase 2 – Các chiếnlược
• The hacker looks for the Database server, and if
the web/application servers are layer 2 adjacent
(with dual NICs for example) this is extremely
easy
• Use a command line scanner
• Identify the vulnerabilities of the DB server
• Then obtain the shell of the database server and
dump the database information
STRATEGY 1: ACCESSING THE DATABASE
STRATEGY 2: SNIFFING THE TRAFFIC
888
© 2005 Cisco Systems, Inc. All rights reserved.
CÁC NGUY CƠ TỪ CHỐI DỊCH VỤ
999
© 2005 Cisco Systems, Inc. All rights reserved.
Các mụctiêutấn công DoS
• Mụctiêutấn công DoS là làm
cho các ứng dụng không phù
hợpnữa
• Phương thức này có thể nhằm
đến:
Máy chủ Server

Điềukhiểnlưulượng
Lưulượng tấn công
Masters
Nạnnhân
(web server)
Các thiếtbị của khách hàng:
Server/FW/Switch/router
ống bị ngậplụt
router biên ISP
Từ chốidịch vụđãphânbố
PhầnmềmDOS thôngdụng
121212
© 2005 Cisco Systems, Inc. All rights reserved.
Botnet
• Dự báocóhơntriệumáytínhbị lây nhiểm qua 6,000 các máy
botnets
• Botnets quan trắchơn 100,000 hosts triểnkhaitrảirộng qua
các servers IRC
• Used for DDOS, SPAM, network mapping, password sniffing,
identity / info theft, pay per click ad abuse, malware
proliferation, etc.
• Kể cả chỉ với 1000 máy botnet có thể chiếmhữuhầuhết
đường truyền Internet
128 kbps * 1000 > 100 mbps
The Honeynet Project and Research Alliance, March 13, 2005
131313
© 2005 Cisco Systems, Inc. All rights reserved.
Hàng giờ lạicóthêmmáybị lây nhiễm
http://www.ciphertrust.com/resources/statistics/zombie.php
• Trung bình có 170,000 new bots/ngày

9/02
9/02
Slapper
Slapper
1/04
1/04
MyDoom.c
MyDoom.c
5/04
5/04
Sasser
“Sự tích hợpvàtựđộng hóa củatấtcả
các khía cạnh can thiệp trái phép: quét do
thám, xác định mụctiêu, thỏahiệp, gắnvà
điềukhiểntấn công ”
Dave Dittrich, 2004
161616
© 2005 Cisco Systems, Inc. All rights reserved.
Sâu lan truyềnbằng cách nào?
• Khai thác mạng và điểmyếu
• Cửasổ sau (Backdoors)
• Từ khóa (mậtkhẩu) kém hoặc để ở chếđộmặc định
• Chia se file Windows
• Các trang Web đen
• E-mail
• Các kênh IRC
• Instant Messaging
• Peer-to-peer
• Newsgroups
• Tấtcả hoặcbấtkỳ trong những điềukể trên

© 2005 Cisco Systems, Inc. All rights reserved.
Các kỹ thuật anh ninh trung tâm dữ liệu
Phát hiện và phòng chống
xâm nhập trái phép
Phát hiệnvàgiảm
thiểuDOS
Phát hiệnvàgiảm
thiểu sâu
202020
© 2005 Cisco Systems, Inc. All rights reserved.
Phát hiện và phòng chống xâm
nhập trái phép
212121
© 2005 Cisco Systems, Inc. All rights reserved.
Bảovệ trướcnhững tấncôngxâmnhập trái phép
• Điềukhiểntruynhập và phân
đoạn
• Phát hiện và phòng chống
xâm nhập
• Quảnlývàhiệuchỉnh các sự
kiện
• Xét duyệtkỹ ARP và PVLANs
• SSL offloading with Back-End
Encryption:
Web Server
Web Server
222222
© 2005 Cisco Systems, Inc. All rights reserved.
Điềukhiểntruynhập và phân đoạnmạng
Gỉasử có ít nhất01

by the Interface; This of Course Varies Based on the Applications Supported
Permitting Traffic to/from (Egress/Ingress) Hosts
Connected to the Interface to which the ACL Is
Applied
Allowed
This Entry Helps to Prevent Broadcast Attacks. An Exemption May Be Required to
Support DHCP Clients, if the Router Is Providing DHCP Services
Denying Broadcast Messages with a Source
Address Of 0.0.0.0
Exclusion
This Entry Helps To Prevent Broadcast AttacksDenying Broadcast Messages with a Source
Address of 255.255.255.255
Exclusion
This Is Known as IP Anti-Spoofing Protection Because it Prevents Traffic from an
Unprotected Network From Assuming The Identity Of A Device on the Protected Network;
Note that Unicast RPF Checks (Next Subsection) Can Be Used to Provide this
Functionality
Denying Any Network Traffic from a Source
Address Matching an Address on the Protected
Network
Exclusion
These Protocols Should Have ACL Entries that Strictly Limit the Sources and
Destinations for this Traffic
Network Management Protocols (SSH, SSL, Syslog,
SNMP)
Exemption
Permit All "Unreachable" Messages to Come Back; If a Router Cannot Forward or Deliver
a Datagram, it Sends an ICMP Unreachable Message Back to the Source and Drops the
Datagram
ICMP Unreachable