1. Trang chủ
  2. Luận Văn - Báo Cáo

Nghiên cứu một số phương pháp bảo mật hệ thống webserver trên hệ điều hành linux ứng dụng tại viện đại học mở hà nội

82 2 0
Nghiên cứu một số phương pháp bảo mật hệ thống webserver trên hệ điều hành linux ứng dụng tại viện đại học mở hà nội

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI BÁO CÁO TỔNG KẾT ĐỀ TÀI NGHIÊN CỨU KHOA HỌC CẤP VIỆN NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP BẢO MẬT HỆ THỐNG WEBSERVER TRÊN HỆ ĐIỀU HÀNH LINUX ỨNG DỤNG TẠI VIỆN ĐẠI HỌC MỞ HÀ NỘI MÃ SỐ: V2015-30 Chủ nhiệm đề tài: Ths Vũ Xuân Hạnh HÀ NỘI – 2015 BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI BÁO CÁO TỔNG KẾT ĐỀ TÀI NGHIÊN CỨU KHOA HỌC CẤP VIỆN NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP BẢO MẬT HỆ THỐNG WEBSERVER TRÊN HỆ ĐIỀU HÀNH LINUX ỨNG DỤNG TẠI VIỆN ĐẠI HỌC MỞ HÀ NỘI MÃ SỐ: V2015-30 Chủ nhiệm đề tài: Ths Vũ Xuân Hạnh HÀ NỘI - 2015 THÀNH VIÊN THỰC HIỆN ĐỀ TÀI Chủ nhiệm: Ths Vũ Xuân Hạnh – Trung tâm Công nghệ Thông tin Các thành viên: Ths Lại Minh Tấn - Trung tâm Công nghệ Thông tin Ths Trần Tiến Dũng - Trung tâm Công nghệ Thông tin Ths Phạm Tiến Huy - Trung tâm Công nghệ Thông tin Ths Hồ Kim Cường - TT Ứng cứu khẩn cấp máy tính VN i MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT iii DANH MỤC HÌNH VẼ iv MỞ ĐẦU 1 Lý chọn đề tài Tổng quan vấn đề nghiên cứu Mục đích nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Nội dung CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN .5 1.1 Tổng quan an toàn thông tin 1.1.1 Một số khái niệm 1.1.2 Phân tầng hệ thống 1.1.3 Một số mơ hình triển khai ứng dụng website 1.2 Một số hạn chế hệ điều hành công cụ xây dựng 10 1.2.1 Hệ điều hành Linux (CentOS 6.5) 10 1.2.2 1.2.3 Trình quản lý hosting – Zpanel 11 Các phần mềm mã nguồn mở 11 1.3 Một số kỹ thuật cơng biện pháp phịng chống cơng 14 1.3.1 Các bước công 14 1.3.2 Một số kỹ thuật công 15 1.3.3 Các biện pháp phòng chống công 19 1.4 Các nguy an toàn bảo mật 21 1.4.1 1.4.2 1.4.3 1.4.4 Nguy đánh cắp thông tin 21 Nguy sửa đổi thông tin 22 Nguy từ chối dịch vụ 22 Nguy phá hủy thông tin 22 1.5 Kết luận 23 ii CHƯƠNG II: ĐÁNH GIÁ HIỆN TRẠNG VÀ BIỆN PHÁP ĐẢM BẢO AN TOÀN WEBSERVER TẠI VIỆN ĐH MỞ HÀ NỘI 24 2.1 Lỗ hổng bảo mật 24 2.1.1 Lỗ hổng bảo mật hệ điều hành 24 2.1.2 Lỗ hổng bảo mật dịch vụ cài đặt 24 2.1.3 Lỗ hổng bảo mật hạ tầng mạng kết nối 26 2.2 Hệ thống Webserver 27 2.2.1 Hệ thống FPT DataCenter 27 2.2.2 Hệ thống HOU 28 2.3 Những biện pháp đảm bảo an toàn máy chủ web 39 2.3.1 Cấu hình an tồn cho hệ điều hành (LINUX-CentOS) 39 2.4.2 Cấu hình an tồn dịch vụ 45 2.4.3 Cài đặt, cấu hình phần mềm bảo vệ 54 2.5 Kết luận 57 CHƯƠNG III: ĐỀ XUẤT QUY TRÌNH ĐẢM BẢO AN TỒN VÀ ĐÁNH GIÁ AN TOÀN MÁY CHỦ WEB 58 3.1 Quy trình đảm bảo an tồn máy chủ web 58 3.1.1 Mơ hình bảo mật hệ thống 58 3.1.2 Xác định cấu trúc Web 58 3.1.3 Triển khai hệ thống phòng thủ 60 3.2 Thử nghiệm đánh giá 71 3.2.1 Thử nghiệm 71 3.2.2 Kết đánh giá 72 3.3 Kết luận 73 KẾT LUẬN VÀ KIẾN NGHỊ .74 Kết luận 74 Kiến nghị 74 TÀI LIỆU THAM KHẢO .75 iii DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Công nghệ Thông tin truyền thông CNTT&TT IT Tiếng Việt Information Technology Cơng nghệ Thơng tin ATTT An tồn thơng tin HĐH Hệ điều hành WS Webserver Máy chủ Web DoS Denial of Service Tấn công từ chối dịch vụ DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán LAN Local Area Network Mạng diện hẹp TCP/IP Internet Protocol Suite Bộ giao thức liên mạng OSI Open Systems Interconnection Mơ hình tham chiếu kết nối hệ thống mở FTP File Transfer Protocol Phương thức truyền tải file SSH Secure SHell Giao thức mạng có mã hóa Cơ sở liệu CSDL LMS Learning Managerment System Hệ quản trị học tập IPS Intrucsion Prevention System Hệ thống phát xâm nhập VPN Virtual Private Network Mạng riêng ảo IDS Intrusion Detection System Hệ thống phát truy cập HTTP HyperText Tranfer Protocol Giao thức truyền siêu văn SSL Secure Sockets Layer Tiêu chuẩn công nghệ bảo mật iv DANH MỤC HÌNH VẼ Hình 1.1: Tháp OSI VÀ mối đe dọa ứng với tầng Hình 1.2: Mơ hình an tồn thơng tin tồn diện tổ chức Hình 1.3: Mơ hình an tồn thơng tin hệ Hình 1.4: Thống kê số lượng lỗ hỏng hàng năm 11 Hình 1.5: Kỹ thuật công File Inclusion 17 Hình 2.1: Một số vấn đề ảnh hưởng đến công tác bảo mật ATTT 28 Hình 2.2: Đề xuất giải pháp tổng thể 30 Hình 2.3: Mơ hình đánh giá 32 Hình 2.4: Thay đổi mật root 42 Hình 2.5: Tạo user 43 Hình 2.6: Set quyền cho user 44 Hình 2.7: Thay Port mặc định cho SSH 44 Hình 2.8: Tắt đăng nhập tài khoản root 44 Hình 2.9: Đổi mật thư mục quản trị 51 Hình 2.10: Đăng nhập 52 Hình 2.11: Thay đổi CHMOD 53 Hình 3.1: Mơ hình bảo mật hệ thống 58 Hình 3.2: Mơ hình triển khai ứng dụng web 60 Hình 3.3: Mơ hình mạng tổng quan 61 Hình 3.4: Thống kê số lượng công 72 Hình 3.5: Biểu đồ so sánh 72 MỞ ĐẦU Lý chọn đề tài Việt Nam hội nhập sâu rộng với kinh tế giới nhiều lĩnh vực Công nghệ thông tin truyền thơng (CNTT & TT) nói chung Internet nói riêng đóng vai trị quan trọng phát triển hội nhập CNTT & TT ứng dụng ngày rộng rãi hầu hết lĩnh vực đời sống, kinh tế, trị, giáo dục, an ninh quốc phịng,… Thơng tin trở thành thứ tài sản quan trọng, mang tính sống cịn quan, tổ chức Chính vậy, bảo đảm an tồn thơng tin (ATTT) cần đặc biệt quan tâm để phát triển CNTT bền vững Trong năm vừa qua, hệ thống thông tin Việt Nam, đặc biệt Website cổng thông tin điện tử trở thành mục tiêu cơng nhiều nhóm tội phạm mạng nước nước Bảo đảm an toàn cho Website trở thành nhu cầu thực tế cấp thiết tảng cho hầu hết ứng dụng giao dịch mạng Hệ thống máy chủ web (Web Server) Viện Đại học Mở Hà Nội chạy hệ điều hành (HĐH) Linux Windows, hai năm vừa qua (2013 2014) hệ thống máy chủ web bị cơng đến hàng trăm nghìn lần có lần khoan thủng làm ảnh hưởng đến vận hành hệ thống Hiện nay, hệ thống thông tin nói chung hệ thống máy chủ web nói riêng Viện chưa xây dựng quy trình an tồn thơng tin, bảo mật mức độ sơ khai đơn lẻ Bởi mức độ an tồn thơng tin khơng cao Do đó, việc nghiên cứu ứng dụng đề tài vào công tác quản lý điều hành hệ thống Web Server Viện (bao gồm 22 sites) cần cấp thiết Theo hướng nghiên cứu này, đề tài “NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP BẢO MẬT HỆ THỐNG WEBSERVER TRÊN HỆ ĐIỀU HÀNH LINUX ỨNG DỤNG TẠI VIỆN ĐẠI HỌC MỞ HÀ NỘI” nhằm nghiên cứu số kỹ thuật công, biện pháp đảm bảo an toàn cho máy chủ web Viện Đại học Mở Hà Nội Nhóm thực đề tài mong muốn góp phần nhỏ vào việc nghiên cứu tìm hiểu vấn an tồn thông tin nhằm nâng cao hiệu việc quản lý, vận hành khai thác hệ thống thông tin Viện Đại học Mở Hà Nội nói chung hệ thống WebServer Viện nói riêng 2 Tổng quan vấn đề nghiên cứu Cùng với phát triển mạnh mẽ cơng nghệ thơng tin nói chung Internet nói riêng, gia tăng các mối đe doạ (đặc biệt tội phạm cơng nghệ cao cơng có chủ đích) Do đó, đề tài tập trung nghiên cứu kỹ thuật cơng biện pháp phịng chống cơng Việc nghiên cứu triển khai tất cơng cụ thực q trình xây dựng hệ thống WebServer Qua đó, nắm bắt hạn chế cơng cụ nói để tìm giải pháp bảo mật Việc đảm bảo an toàn cho hệ thống thông tin cần thiết Cùng với việc nghiên cứu phân tích thực trạng hệ thống thông tin Viện Đại học Mở Hà Nội, nhóm thực đề tài phân tích số phương pháp đảm bảo an tồn phù hợp với tình hình thực tế Viện Nhận định tính khả thi triển khai ứng dụng vào hệ thống WebServer chạy môi trường Linux với website thiết kế số phần mềm mã nguồn mở cụ thể như: Joomla, WordPress NukeViet Phân tích số hạn chế nắm bắt lổ hổng loại đưa phương án phòng chống kỹ thuật công vào lỗ hổng Đề xuất quy trình bảo mật xây dựng hệ thống WebServer nói chung hệ thống chạy mơi trường Linux nói riêng Thử nghiệm số phương pháp bảo mật cho hệ thống Linux Nhóm đề tài vào tình hình hoạt động hệ thống sau cài đặt để đánh giá đưa kiến nghị cần thiết thực giai đoạn bảo mật nâng cao sau Đặc biệt máy chủ ứng dụng, máy chủ phục vụ đào tạo Elearning máy chủ web hệ điều hành WindowServer Mục đích nghiên cứu Cơ sở lý luận an tồn thơng tin, mặt hạn chế, điểm yếu (lỗ hổng bảo mật) phổ biến công cụ xây dựng ứng dụng web, kỹ thuật công biện pháp bảo đảm an toàn hệ thống WebServer Một số quy trình an tồn thơng tin triển khai ngồi nước Đánh giá an tồn thơng tin thực trạng hệ thống Web Server vận hành Viện Đại học Mở Hà Nội Phân tích đề xuất biện pháp đảm bảo an toàn cho hệ thống WebServer Viện; xây dựng quy trình đảm bảo an tồn hệ thống máy chủ web chạy môi trường Linux; Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: Một số kỹ thuật cơng điển hình website, phương pháp đảm bảo an tồn thơng tin Phạm vi nghiên cứu: hệ thống (máy chủ Linux) Viện Đại học Mở Hà Nội Phương pháp nghiên cứu Nghiên cứu lý thuyết Thử nghiệm môi trường thực Nội dung Chương 1: Tổng quan an toàn thơng tin 1.1 Tổng quan an tồn thơng tin 1.1.1 Một số khái niệm 1.1.2 Phân tầng hệ thống 1.1.3 Một số mơ hình triển khai ứng dụng website 1.1.4 Các nguy an toàn bảo mật 1.2 Một số hạn chế hệ điều hành công cụ xây dựng ứng dụng web 1.2.1 Hệ điều hành Linux (CentOS 6.5) 1.2.2 Trình quản lý hosting - ZPanel 1.2.3 Các phần mềm mã nguồn mở 1.3 Một số kỹ thuật cơng biện pháp phịng chống công 1.3.1 Một số kỹ thuật công 1.3.2 Các biện pháp phịng chống cơng 1.4 Kết luận Chương 2: Đánh giá trạngvà biện pháp đảm bảo an toàn máy chủ web Viện Đại học Mở Hà Nội 2.1 Lỗ hổng bảo mật 2.1.1 Lỗ hổng bảo mật hệ điều hành 61 Hình 3.3: Mơ hình mạng tổng quan Một mơ hình mạng hợp lý cần phải phân biệt rõ vùng mạng theo chức thiết lập sách an tồn thơng tin riêng cho vùng mạng theo yêu cầu thực tế, cụ thể như: - Phân vùng Internet (hay Untrusted Network): gọi mạng - Phân vùng DMZ Network: Đặt máy chủ cung cấp dịch vụ trực tiếp mạng Internet web server, mail server, FTP Server, v.v - Phân vùng Server Network (hay Server Farm): Đặt máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet - Phân vùng Private Network: Đặt thiết bị mạng, máy trạm máy chủ thuộc mạng nội đơn vị Một số khuyến cáo tổ chức mơ hình mạng: Nên đặt máy chủ web, máy chủ thư điện tử (mail server), v.v cung cấp dịch vụ mạng Internet vùng mạng DMZ nhằm tránh công trực tiếp mạng nội trường hợp máy chủ bị cướp quyền điều khiển Chú ý không đặt máy chủ web, mail server máy chủ mà cung cấp dịch vụ cho nội quan vùng mạng 62 - Các máy chủ không trực tiếp cung cấp dịch vụ mạng máy chủ ứng dụng, máy chủ sở liệu, máy chủ xác thực v.v nên đặt vùng mạng Server Network để tránh công trực diện từ Internet từ mạng nội Đối với hệ thống thông tin yêu cầu có mức bảo mật cao, có nhiều cụm máy chủ khác chia vùng server network thành vùng nhỏ độc lập để nâng cao tính bảo mật - Nên thiết lập hệ thống phòng thủ tường lửa (firewall) thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống công xâm nhập trái phép Khuyến cáo đặt firewall IDS/IPS vị trí sau: đặt firewall đường nối mạng Internet với vùng mạng khác nhằm hạn chế công từ mạng từ bên vào; đặt firewall vùng mạng nội mạng DMZ nhằm hạn chế cơng vùng đó; đặt IDS/IPS vùng cần theo dõi bảo vệ - Nên đặt Router (Router biên) trước kết nối đến nhà cung cấp dịch vụ internet (ISP) để lọc số lưu lượng không mong muốn chặn gói tin đến từ địa IP khơng hợp lệ 3.1.3.2 Tổ chức hệ thống phòng thủ Firewall (Tường lửa) Firewall thiết bị phần cứng phần mềm hoạt động môi trường máy tính nối mạng nhằm ngăn chặn lưu lượng bị cấm sách an ninh cá nhân hay tổ chức Mục đích việc sử dụng Firewall là: - Bảo vệ hệ thống bị cơng - Lọc kết nối dựa sách truy cập nội dung - Áp đặt sách truy cập người dùng nhóm người dùng - Ghi lại nhật ký để hỗ trợ phát xâm nhập điều tra cố Cần thiết lập luật cho Firewall từ chối tất kết nối từ bên Web Server Internet ngoại trừ kết nối thiết lập – tức từ chối tất gói tin TCP xuất cờ SYN Điều ngăn chặn việc tin tặc có khả chạy kịch mã độc Web Server khơng thể cho mã độc nối ngược từ Web Server trở máy tính tin tặc 63 Tuy nhiên, hạn chế Firewall làm chậm trình kết nối số trường hợp số người có hiểu biết vượt qua Firewall Vì cần trọng đến việc bảo vệ hệ thống theo chiều sâu IDS/IPS (Thiết bị phát hiện/phòng, chống xâm nhập) Các thiết bị IDS có tính phát dấu hiệu xâm nhập trái phép, cịn thiết bị IPS có tính phát ngăn chặn việc xâm nhập trái phép tin tặc vào hệ thống Như thiết bị mạng, IDS/IPS bị cơng chiếm quyền kiểm sốt bị vơ hiệu hóa tin tặc Vì cần thiết đảm bảo thực số tiêu chí triển khai vận hành, gồm: - Xác định công nghệ IDS/IPS đã, dự định triển khai - Xác định thành phần IDS/IPS - Thiết đặt cấu hình an tồn cho IDS/IPS - Xác định vị trí hợp lý để đặt IDS/IPS - Có chế xây dựng, tổ chức, quản lý hệ thống luật (rule) - Hạn chế thấp tình cảnh báo nhầm (false positive) khơng cảnh báo có xâm nhập (false negative) 3.1.3.3 Thiết lập cấu hình máy chủ an tồn Hệ điều hành, dịch vụ cài đặt giao thức kích hoạt q trình thiết lập vận hành hệ thống website thường tồn nhiều lỗ hổng bảo mật Nguyên nhân thường xuất phát từ việc quản trị thiếu hiểu biết việc thiết kế, cấu hình, vận hành hệ thống website an toàn Trong thực tế, nhiều hệ thống tồn lỗ hổng bảo mật nghiêm trọng không quan tâm, xử lý phù hợp, kịp thời Thậm trí hệ thống họ nhiều lần bị công, phá hoại, đánh cắp liệu quản trị Ngoại trừ hệ thống bị công từ chối dịch vụ, người dùng truy cập được, họ quan chức gửi cảnh báo Có thể nói, vấn đề nhận thức an tồn thơng tin quản trị viên website vô quan trọng Bao gồm ý thức bảo vệ kiến thức kỹ thuật an tồn thơng tin nói chung an tồn website nói riêng 3.1.3.4 An toàn dịch vụ Apache Một số biện pháp cần thực nhằm bảo vệ máy chủ Apache cách an tồn: 64 - Tối ưu hóa việc sử dụng thành phần (module) việc gỡ bỏ thành phần không cần thiết Một số thành phần khuyến cáo nên gỡ bỏ khỏi Apache là: mod_userid, mod_info, mod_status, mod_include - Giới hạn quyền truy cập: Tạo tài khoản, nhóm người dùng riêng (khác root) để thực thi apache Không cho phép sử dụng tài khoản để đăng nhập cách chỉnh sửa nội dung tập tin passwd - Điều khiển truy cập: Sử dụng mục (Directory) để điều khiển trình truy cập đến thư mục hệ thống cần hạn chế quyền thâm nhập (ví dụ thư mục: root, admin, administrator) Không cho phép duyệt qua thư mục gốc (root) Cấu hình thiết lập tập tin cấu hình httpd.conf: order deny,allow deny from all order allow,deny allow from all - Hạn chế tối đa việc sử dụng lựa chọn (option) sau: MultiViews, ExecCGI, FollowSymLinks, SymLinksIfOwnerMatch Gỡ bỏ tất trang html mặc định, hướng dẫn sử dụng, thông tin liên quan web server, điều khiển Server Status, Server Information Tắt chức HTTP TRACE Bảo vệ tập tin cấu hình htaccess - Tổ chức trình ghi nhật ký: Cấu hình Error Log, Cấu hình Access Log theo số gợi ý sau: # LogLevel: Control the number of messages logged to the error_log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg LogLevel notice LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined CustomLog log/access_log combined 65 - Đối với số ứng dụng cần mã hóa truy cập sử dụng qua SSL/TLS nhờ module mod_ssl - Hạn chế thông tin Web Server: ServerTokens Prod ServerSignature Off - Điều chỉnh thông số tối ưu: môt số thiết lập tham khảo:  Thông số timeout: Timeout 10  Thông số KeepAlive: KeepAlive On  Thông số MaxKeepAliveRequests: MaxKeepAliveRequests 100  Thông số KeepAliveTimeout: KeepAliveTimeout 15  Thêm thông số sau: LimitRequestline 512 LimitRequestFields 100 LimitRequestFieldsize 1024 LimitRequestBody 102400 3.1.3.5 Thiết lập cấu hình an tồn MySQL Cấu hình mức hệ điều hành - Thực cấu hình đảm bảo an tồn cho máy chủ chạy MySQL (hạn chế thấp dịch vụ thực thi không cần thiết) - Gỡ bỏ tất tài khoản, sở liệu mặc định MySQL Thiết lập quyền cho tập tin hệ thống - Xác định thiết lập quyền đọc/ghi thư mục lưu sở liệu MySQL mysql> show variables like 'datadir'; + -+ -+ | Variable_name | Value | + -+ -+ | datadir | /var/lib/mysql/ | + -+ -+ row in set (0.04 sec) - Xác nhận thiết lập quyền truy cập thư mục cài đặt MySQL mysql> show variables like 'basedir'; 66 + -+ -+ | Variable_name | Value | + -+ -+ | basedir | /usr/ | + -+ -+ row in set (0.00 sec) - Xác nhận thiết lập quyền truy cập đến tập tin my.cnf [root@vdhm etc]# ls -l my.cnf -rw-r r root root 849 Jun 22:49 my.cnf Hệ thống nhật ký (logging) - Thiết lập thư mục chứa tập tin log mysql> show variables like 'log_error'; + -+ -+ | Variable_name | Value | + -+ -+ | log_error | /var/log/mysql/logerror.err | + -+ -+ row in set (0.00 sec) Lưu ý: Khi tạo thư mục lưu log phải nằm thư mục cài đặt thực thi MySQL để giảm thiểu nguy công từ chối dịch vụ vào hệ thống log Một số thiết lập - Kiểm tra phiên sử dụng Tiến hành nâng cấp phiên vá lỗi mysql> show variables like 'version'; + -+ + | Variable_name | Value | + -+ + | version | 5.0.91 | + -+ + row in set (0.00 sec) - Gỡ bỏ sở liệu mặc định (test database) mysql> show databases like 'test'; + -+ | Database (test) | + -+ | test | + -+ row in set (0.00 sec) mysql> drop database test; Query OK, rows affected (0.01 sec) - Thay đổi mật quản trị: tăng cường độ phức tạp mật (ít ký tự, bao gồm chữ in hoa, in thường, số, ký tự đặc biệt) 67 - Xác định độ phức tạp hàm băm mật (tất mật băm từ 41 bytes trở lên) mysql> select password('vncert'); + -+ | password('vncert') | + -+ | *FD96AF33BFE9E316DF6FC705B9519AEBA1706887 | + -+ row in set (0.00 sec) Thiết lập quyền MySQL Thiết lập quyền truy cập sở liệu mysql nhằm giới hạn khả truy cập sở liệu “mysql” Chỉ có tài khoản có quyền quản trị tối cao (admin) có quyeend truy cập đến sở liệu - Thiết lập quyền FILE (FILE privilege): Đây quyền cho phép tài khoản đọc ghi tập tin lên đĩa Vì khơng nên thiết lập quyền cho tài khoản cấp thấp (non Admin users) mysql> select user, host from mysql.user where File_priv = 'Y'; + + -+ | user | host | + + -+ | root | localhost | | root | vdhm | | root | 127.0.0.1 | + + -+ rows in set (0.01 sec) - Thiết lập quyền PROCESS (PROCESS privilege): Đây quyền cho phép xem dẫn SQL thực thi bao gồm dẫn dùng để quản lý mật Vì không nên thiết lập quyền cho tài khoản cấp thấp (non Admin users) mysql> select user, host from mysql.user where Process_priv = 'Y'; + + -+ | user | host | + + -+ | root | localhost | | root | vncert | | root | 127.0.0.1 | + + -+ rows in set (0.00 sec) - Thiết lập quyền SUPER (SUPER privilege): Đây quyền cho phép xem can thiệp vào câu lệnh SQL thực thi bao gồm câu lệnh quản lý mật mysql> select user, host from mysql.user where Super_priv = 'Y'; 68 + + -+ | user | host | + + -+ | root | localhost | | root | vncert | | root | 127.0.0.1 | + + -+ rows in set (0.00 sec) - Thiết lập quyền SHUTDOWN (SHUTDOWN privilege): Đây quyền cho phép tắt (shutdown) My SQL mysql> select user, host from mysql.user where Shutdown_priv = 'Y'; + + -+ | user | host | + + -+ | root | localhost | | root | vncert | | root | 127.0.0.1 | + + -+ rows in set (0.00 sec) - Thiết lập quyền CREATE USER (CREATE USER privilege): Đây quyền cho phép tạo tài khoản My SQL mysql> select user, host from mysql.user where Create_user_priv = 'Y'; + + -+ | user | host | + + -+ | root | localhost | | root | vncert | | root | 127.0.0.1 | + + -+ rows in set (0.00 sec) - Thiết lập quyền GRANT (Global GRANT privilege ): Đây quyền cho phép cấp phát thêm quyền riêng tư khác mysql> select user, host from mysql.user where Create_user_priv = 'Y'; + + -+ | user | host | + + -+ | root | localhost | | root | vncert | | root | 127.0.0.1 | + + -+ rows in set (0.00 sec) Các thơng số cấu hình MySQL Chỉnh sửa số nội dung tập tin my.cnf 69 Chống số kiểu công thực thi mã tùy ý cách bỏ lựa chọn “allowsuspicious-udfs” - Hạn chế số công SQL injection cách bỏ lựa chọn “local-infile=0” Xác nhận thông tin chỉnh sửa lệnh sau: mysql> show variables like 'local_infile'; + -+ -+ | Variable_name | Value | + -+ -+ | local_infile | OFF | + -+ -+ row in set (0.00 sec) - Không cho phép sym link thực thi cách thêm lựa chọn skip-symbolic-links Xác nhận thông tin chỉnh sửa lệnh sau: mysql> show variables like 'have_symlink'; + -+ + | Variable_name | Value | + -+ + | have_symlink | DISABLED | + -+ + row in set (0.00 sec) Sao lưu khắc phục cố - Sử dụng mysqldump: Phương thức thích hợp với người có kinh nghiệm sử dụng Unix, trường hợp bạn muốn lưu sở liệu máy chủ sở liệu lớn không phù hợp với hình thức lưu khác mysqldump protocol tcp -h 127.0.0.1 -u username -p databasename > filename.sql - Sử dụng phpMyAdmin: Phương thức thích hợp bạn muốn lưu phần sở liệu chọn định dạng liệu lưu o Chọn sở liệu cần lưu (hiển thị danh mục bên trái bạn có nhiều sở liệu) o Bấm vào tab Export, để cấu hình mặc định (trong mục Export chọn định dạng SQL, Select All để lưu tất bảng sở liệu chọn bảng theo yêu cầu; mục Options chọn Structure Data) o Đánh dấu vào mục Save as file, điền tên file bạn muốn lưu (nếu để trống dùng tên sở liệu) định dạng nén (bạn nên chọn zipped gzipped để giảm dung lượng file cần tải) o Bấm nút Go, phpMyAdmin nhắc bạn để tải file lưu máy 70 - Sử dụng chức lưu cPanel: o Phương thức thích hợp trường hợp bạn muốn lưu sở liệu cho mục đích lưu trữ để chuyển sang tài khoản hosting khác o Đăng nhập vào cPanel chọn chức Sao lưu phục hồi liệu, sau chọn tên sở liệu bạn muốn lưu để tải định dạng nén gzip - Sử dụng công cụ khác: Webmin, MySQLDumper, ZRM (Zmanda Recovery Manager for MySQL)… 3.1.3.6 Cài đặt Anti-Virus Việc cài đặt ứng dụng bảo vệ Anti-Virus có tác dụng lớn việc bảo vệ hệ thống Chúng hạn chế việc bị cài thêm mã độc trường hợp kẻ công xâm nhập vào hệ thống, hạn chế việc upload mã độc ứng dụng web bị lỗi Các chương trình Anti-Virus phải thỏa mãn yêu cầu sau: - Luôn trạng thái hoạt động nhằm đảm bảo hệ thống bảo vệ - Đảm bảo tính tồn vẹn tập tin tài nguyên - Quét mã độc đính kèm e-mail - Cập nhật dấu nhận diện virus 3.1.3.7 Thiết lập chế lưu phục hồi Cơ chế lưu: Sao lưu liệu điều kiện thiếu triển khai giải pháp kỹ thuật nhằm đảm bảo tính sẵn sàng liệu Vì thực lưu cần xác định số yêu cầu sau: - Phạm vi lưu: lưu tồn liệu hệ thống lưu phần hệ thống Cơ lưu toàn hệ thống đảm bảo tính tồn vẹn liệu phục hồi tồn liệu cách nhanh chóng hệ thống bị cố Tuy nhiên, đòi hỏi phải xây dựng hệ thống lưu quy mô lớn; Sao lưu phần riêng hệ thống nhằm phục hồi phần gặp cố không cần hệ thống lưu quy mô lớn - Thời gian lưu: Cần lập chế lưu theo định kỳ (ngày, tuần, tháng,…) cách tự động, nhằm đảm bảo việc lưu đầy đủ liệu theo yêu cầu 71 - Nội dung lưu bao gồm: hệ điều hành, dịch vụ web (apache), sở liệu, thư mục tập tin…; Cơ chế phục hồi: Tùy thuộc vào tình trạng hệ thống chế lưu thiết lập mà lựa chọn chế phục hồi liệu cho hệ thống cách thích hợp: - Khôi phục nguyên trạng hệ thống - Khôi phục phần riêng biệt (hệ điều hành, sở liệu, ứng dụng khác) - Thường xuyên kiểm tra lưu để đảm bảo khả phục hồi thành công cần thiết 3.2 Thử nghiệm đánh giá 3.2.1 Thử nghiệm Căn vào tình hình thực tế Viện thực trạng an tồn thơng tin hệ thống máy chủ Webserver chạy Linux Vì thời gian thực đề tài có hạn trang thiết bị khơng đủ để thực thử nghiệm tồn quy trình nêu Nhóm đề tài cấu hình số thành phần hệ điều hành Linux ứng dụng mã nguồn mở Joomla, NukeViet, Wordpress, Zpanel sau: - Đổi cổng SSH - Đóng cổng khơng cần thiết (vì máy chủ web có số cổng khơng dùng đến, ví dụ: port 25) - Cho phép số địa IP định truy cập hệ thống - Cấu hình CHMOD phù hợp với tất thư mục hệ thống mã nguồn mở có - Thay đổi tên số thư mục số file cấu hình hệ thống quan trọng - Cập nhật vá lỗi, phiên cho hệ thống mã nguồn website - Kiểm tra lại plugin, module, block Loại bỏ số Module Block có tượng nghi vấn Joomla NukeViet - Thường xuyên backup liệu mã nguồn - Thay đổi mật định kỳ có độ khó cao - Tăng cường kiểm tra, giám sát hệ thống thường xuyên, phát ngăn chặn kịp thời số hành vi truy cập dò mật bất hợp pháp 72 3.2.2 Kết đánh giá Dưới kết hệ thống tháng gần (13/09 – 11/10) chiết suất từ file log hệ thống Hình 3.4: Thống kê số lượng cơng Hình 3.5: Biểu đồ so sánh Thơng qua kết thu tình hình hệ thống chạy ổn định tháng vừa qua cho thấy kỹ thuật thực có hiệu tương đối tốt Mặc dù nhiều cơng khơng chặn từ bên ngồi hệ thống ngăn chặn lưu vết tương đối chi tiết Cụ thể sau: Truy nhập trực tiếp SSH thơng qua việc dị mật admin 10 lần tháng, số lần thành công Công cụ Suhosin Zpanel nhận 1822 lần truy nhập trái phép vào ứng dụng web không qua cổng 80 Số lần truy cập thành công 73 Một Username lấy tên Anonymous truy nhập trái phép FTP thông qua cổng 21 26 lần, số lần thành cơng Lỗi dị mật website (chủ yếu website khoa Từ xa khoa Tạo dáng công nghiệp) 538 lần Một số địa chi IP (hiện trình trạng PBL) truy nhập dò mật admin tổng cộng: 7205 lần thật may mắn số lần thành công lại Như khoảng thời gian tuần gần có tới 9602 lượt truy cập bất hợp pháp nhiều hình thức hệ thống bảo mật tương đối trọn vẹn 3.3 Kết luận Thông qua nghiên cứu lý thuyết, kiểm tra thực tế thử nghiệm Nhóm đề tài nhận thấy quy trình bảo mật an tồn thơng tin đưa tương đối khả thi Các kỹ thuật phịng chống cấu hình hệ thống thực đạt hiệu cao 74 KẾT LUẬN VÀ KIẾN NGHỊ Kết luận Qua nghiên cứu triển khai đề tài, nhóm thực rút kết luận sau: - Hiện nay, mức độ an tồn thơng tin Viện mức độ tương đối thấp không đáp ứng đảm bảo bảo mật an tồn thơng tin cần thiết tăng thiết bị, số lượng sử dụng ngày đa dạng hình thức cơng - Viện thiếu cán có chun mơn bảo mật thơng tin Các cán kỹ thuật khác chưa có nhiều hội để học hỏi, cập nhật thông tin kiến thức để thực công tác bảo mật - Do đặc thù, địa điểm Viện phân tán nên việc quản lý bảo mật đồng gặp nhiều khó khăn Các thiết bị đầu cuối Khoa, phòng, trung tâm chưa bảo mật sử dụng nguyên tắc Kiến nghị Nhóm đề tài xin kiến nghị với Viện số điểm sau: - Viện tiếp tục đầu tư để nâng cấp hoàn thiện hệ thống mạng Viện sớm xây dựng hệ thống bảo mật an tồn thơng tin theo chuẩn - Viện tạo hội cho cán kỹ thuật đợn vị IT cán chuyên trách đơn vị có thêm điều kiện học tập nâng cao kinh nghiệm - Viện đề quy định thưởng phạt để nâng cao tinh thần trách nhiệm 75 TÀI LIỆU THAM KHẢO A Tài liệu Tiếng Việt: [1] Nguyễn Thanh Nghị, 2005 Tấn công từ chối dịch vụ Dos, DDos, DRDos HVA [2] Đặng Hải Sơn Lỗi bảo mật ứng dụng web cách khắc phục Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) [3] Lê Đình Duy Tấn cơng kiểu SQL Injection - Tác hại phòng tránh - Khoa CNTT Trường ĐH Khoa Học Tự Nhiên TP.HCM [4] Võ Đỗ Thắng Web Application Attack & Defense TT An ninh mạng Athena B Tài liệu Tiếng Anh: [5] Paul Cobbaut Linux Servers Copyright 2007-2015, Publication date Thu 12 Mar 2015 01:01:44 AM CET [6] Karen Scarfone, Wayne Jansen, Miles Tracy Guide to General Server Security Jyly 2008, NIST Special Publication 800-123 [7] Nancy Whitney Center of Internet Security SUSE Linux Enterprise Server Benchmark Ver 2.0, May 2008 [8] M Kukoleca (AMRES), M Zdravkovic (RCUB), I Ivanovic Security Linux Server Produced by the AMRES - led working group on Security, October, 2014 [9] Kevin Spett SQL Injection-Are you web Applications vulnerable Copyright 2002 SPI Dynamics, Inc [10] Stephen Kost An Introduction to SQL Injection Attacks For Oracle Developers Copyright, January 2004, Integrigy Corporation All rights reserved [11] Sangteamtham How to Attack and fix Local File Disclosure 2010 C Intenet: [12] nukeviet.vn & forum.nukeviet.vn [13] joomla.org & joomla.net.vn [14] vi.wordpress.org [15] linuxquestions.org [16] vncert.gov.vn [18] anninhmang.net

Ngày đăng: 29/08/2023, 11:57

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan