Đang tải... (xem toàn văn)
Bảo mật web server
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP BẢO MẬT WEB SERVER Đơn vị thực tập: Công ty TNHH Dịch vụ tổng hợp & công nghệ Phúc Bình MỤC LỤC CHMOD lúc thay đổi quyền hạn file/thư mục với đối tượng sau: CHMOD = 644 cho tệp (file) có nghĩa là: Thiết lập firewall mềm: LỜI MỞ ĐẦU Bảo mật vấn đề quan trọng lĩnh vực kinh tế, trị, quân sự, ngoại giao Và vấn đề nghiên cứu hàng nghìn năm Các nhà quản trị phải đau đầu, lo lắng tìm phương pháp để bảo vệ máy chủ web an toàn thông tin cho toàn hệ thống Xuất phát từ suy nghĩ nên em định chọn đề tài: “Bảo mật web server” Trong báo cáo em tập trung tìm hiểu phương thức công hacker số biện pháp bảo mật cho web server Nội dung báo cáo chia làm chương: o CHƯƠNG I : KHÁI NIỆM VỀ CHMOD o CHƯƠNG II: MỘT SỐ PHƯƠNG THỨC TẤN CÔNG HACKER THƯỜNG DÙNG Mở đầu Trang: o CHƯƠNG III: NHỮNG GIẢI PHÁP CẦN THIẾT BẢO MẬT CHO WEB SERVER Vì thời gian có hạn hạn chế kiến thức nên báo cáo em khó tránh khỏi thiếu sót Em mong nhận đóng góp ý kiến thầy cô giáo bạn bè Với lòng biết ơn sâu sắc, em xin chân thành cảm ơn cán Công ty TNHH Dịch vụ tổng hợp & công nghệ Phúc Bình nhiệt tình hướng dẫn giúp em hoàn thành báo cáo Em xin chân thành cảm ơn ! Hà Nội, tháng năm 2013 Mở đầu Trang: CHƯƠNG I: KHÁI NIỆM VỀ CHMOD CHMOD gì? CHMOD định nghĩa đơn giản chính là cụm từ viết tắt của Change Mode Một lệnh đặc biệt chỉ dùng các máy chủ hệ Unix (Linux, Solaris, True64 ) dùng để thay đổi quyền lực của một người bất kỳ đối với một tập tin, thư mục bất kỳ một website cụ thể Bằng cách thay đổi chmod, bạn đồng thời gán một quyền lực cho một người nào đó đối với các tập tin, thư mục cấu trúc website của bạn Giá trị chmod được biểu thị bằng một cụm gồm chữ số (***) đại diện cho người gồm: User (Owner - Chủ sở hửu) - Group (Nhóm cộng tác) - Other (Guest - Tất cả mọi người còn lại) và gồm các giá trị gồm (Execute - Thực thi), (Write - Ghi), (Read - Đọc) Ví dụ 1: chmod: 124 >>> Chủ sở hửu : - Nhóm cộng tác : - Mọi người : Chủ sở hửu có quyền gọi thực thi tập tin, thư mục Nhóm cộng tác có quyền ghi nội dung vào tập tin, thư mục Mọi người có quyền xem nội dung tập tin, thư mục Ví dụ 2: chmod: 412 >>> Chủ sở hửu : - Nhóm cộng tác : - Mọi người : Chủ sở hửu có quyền xem nội dung tập tin, thư mục Nhóm cộng tác có quyền gọi thực thi tập tin, thư mục Mọi người có quyền ghi nội dung vào tập tin, thư mục CHMOD thao tác thay đổi quyền sau: • "Read" (Đọc): viết tắt "r", biểu diễn số • "Write" (Ghi / Chỉnh sửa): viết tắt "w", biểu diễn số • "Execute" (Thực thi): viết tắt "x", biểu diễn số Báo Cáo Thực Tập Trang: CHMOD lúc thay đổi quyền hạn file/thư mục với đối tượng sau: • "Owner" - chủ sở hữu file/thư mục, • "Group" - Nhóm mà Owner thành viên, • "Public / Others/ Everybody": người lại CHMOD 755 (rwx r-x r-x) cho thư mục Lưu ý: Khái niệm CHMOD không tồn hệ thống Windows, mà có hệ thống Unix/Linux CHMOD 755 644: CHMOD = 755 cho thư mục có nghĩa là: • = + + : Người sở hữu thư mục có quyền đọc thư mục (read); chỉnh sửa thư mục (write); liệt kê thư mục file bên (execute); • = + + : Những người nhóm có quyền đọc thư mục (read); liệt kê thư mục file bên (execute) Báo Cáo Thực Tập Trang: • = + + : Những người lại có quyền đọc thư mục (read); liệt kê thư mục file bên (execute) CHMOD 755 (rwx r-x r-x) cho thư mục CHMOD = 644 cho tệp (file) có nghĩa là: • = + + : Người sở hữu thư mục có quyền đọc tệp (read); chỉnh sửa tệp (write) • = + + : Những người nhóm có quyền đọc tệp (read) • = + + : Những người lại có quyền đọc tệp (read) Báo Cáo Thực Tập Trang: CHMOD 644 (rw- r r ) cho file Báo Cáo Thực Tập Trang: CHƯƠNG II: MỘT SỐ PHƯƠNG THỨC TẤN CÔNG HACKER THƯỜNG DÙNG Sau phương thức công hacker thường dùng nhất: • Local attacking • SQL-injection • Tấn công từ chối dịch vụ (DOS) • … SQL injection: SQL injection kĩ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu nhập ứng dụng web thông báo lỗi hệ quản trị sở liệu để "tiêm vào" (inject) thi hành câu lệnh SQL bất hợp pháp (không người phát triển ứng dụng lường trước) Hậu tai hại cho phép kẻ công thực thao tác xóa, hiệu chỉnh, … có toàn quyền sở liệu ứng dụng, chí server mà ứng dụng chạy Lỗi thường xảy ứng dụng web có liệu quản lí hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase Local attacking: • Local Attack- công nội từ bên trong, khái niệm xuất từ máy chủ mạnh lên thời gian gần đây, để hiểu rõ khái niệm, lấy số ví dụ: Vào thập niên trước, máy chủ chạy web(web server) có cấu hình mức trung bình đảm nhiệm việc gồng gánh 2,3 trang web tồn Theo thời gian, cấu hình máy chủ ngày mạnh hơn, Báo Cáo Thực Tập Trang: tốc độ vi xử lý công nghệ phân luồng, đa nhân, xử lý song song; đồng với phát triển phần cứng phần mềm hệ thống web server software ngày viết chuyên biệt để xử lý đa tác vụ Chính nhờ phát triển đó, máy chủ ngày nay(có thể PC bạn) đặt nhiều website đó, ví dụ PC bạn đặt trang web: lớp bạn, bạn gái bạn blog bạn Và nhờ vậy, mà công nghệ khai thác lỗi đời? Nó mang tên local attack -tấn công từ nội • Ví dụ ta cần công site mục site1.com, sau phân tích tình hình thấy việc công trực tiếp site khó Và qua khảo sát ta biết server có nhiều site khác Ý tưởng : công site khác server sau lấy site làm bàn đạp công site mục tiêu Tấn công từ chối dịch vụ DOS: DoS (Denial of Service) mô tả hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ Nó bao gồm việc làm tràn ngập mạng, làm kết nối với dịch vụ… mà mục đích cuối làm cho server đáp ứng yêu cầu sử dụng dịch vụ từ client DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Thực chất DoS kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ… làm khả xử lý yêu cầu dịch vụ đến từ client khác Báo Cáo Thực Tập Trang: CHƯƠNG III: NHỮNG GIẢI PHÁP CẦN THIẾT BẢO MẬT CHO WEB SERVER Thiết lập firewall mềm: Là Firewall cài đặt Server Đặc điểm filewall mềm: • Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức • Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) • Firewal mềm kiểm tra nội dung gói tin (thông qua từ khóa) • Ví dụ Firewall mềm: Zone Alarm, Norton Firewall… Sử dụng mod_security: Báo Cáo Thực Tập Trang: 2.1 Giới thiệu Mod_security Mod_Security máy phát phòng chống xâm nhập dành cho ứng dụng web (hoặc web application firewall) Hoạt động module máy chủ web Apache, mục đích ModSecurity tăng cường bảo mật cho ứng dụng web, bảo vệ chúng khỏi loại công biết chưa biết Modsecurity : • Theo dõi HTTP traffic để phát dấu hiệu bất thường • Lọc liệu vào webserver • Ghi lại tương tác client webserver 2.2 Cài đặt cấu hình Để cài đặt Mod_Security download nguồn từ trang chủ http://www.modsecurity.org/download/: wget http://www.modsecurity.org/download/modsecurityapache_2.5.11.tar.gz tar -xf modsecurity-apache_2.5.11.tar.gz cd modsecurity-apache_2.5.11/apache2 Bước cài gói cần thiết phục vụ cho mod_security: yum install httpd-devel pcre pcre-devel libxml2 libxml2-devel Sau cài đặt gói tin cần thiết xong biên dịch nó: Báo Cáo Thực Tập Trang: 10 make install Đồng thời ta thêm module vào apache cách mở file cấu hình apache (/etc/httpd/conf/httpd.conf ) thêm vào dòng sau: LoadModule security2_module modules/mod_security2.so Đến bước hoàn thành việc cài đặt mod_security chuyển sang việc cấu hình cho Đầu tiên cấu hình file có tên modsec.conf /etc/httpd/conf.d/ với nội dung sau: # Turn on rule engine and set default action SecRuleEngine On SecDefaultAction "phase:2,deny,log,status:403" Với nội dung bật tính lọc mod_security, ta phải thêm vào tập luật cho nó.Và bước cuối khởi động lại apache: /etc/init.d/httpd restart Cách cấu hình mod_security để hạn chế công • Chống lại kiểu công thực thi lệnh: SecFilter /etc/password SecFilter /bin/ls • Chống lại kiểu công Directory traversal SecFilter "\.\./" • Lọc kí tự hay dùng shell code SecFilterForceByteRange 32 126 • Hạn chế sqlinjection attack Báo Cáo Thực Tập Trang: 11 SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" • Phát xâm nhập SecFilterSelective OUTPUT "Volume Serial Number" SecFilterSelective OUTPUT "Command completed" SecFilterSelective OUTPUT "Bad command or filename" SecFilterSelective OUTPUT "file(s) copied" SecFilterSelective OUTPUT "Index of /cgi-bin/" SecFilterSelective OUTPUT ".*uid\=\(" Secure Web Server (HTTPS) Khái niệm https: Là kết hợp giao thức HTTP giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin cách bảo mật Internet Các kết nối HTTPS thường sử dụng cho giao dịch toán World Wide Web cho giao dịch nhạy cảm hệ thống thông tin công ty HTTPS sử dụng nhiều tình huống, chẳng hạn trang đăng nhập cho ngân hàng, hình thức, ích đăng nhập công ty, ứng dụng khác, liệu cần phải an toàn Cài đặt cấu hình SSL a Add mod ssl #apt-get install apache2.2-common Báo Cáo Thực Tập Trang: 12 #a2ensite default-ssl #/etc/init.d/apache2 restart b Config SSL #openssl genrsa -des3 -out server.key 1024 Enter pass phrase for server.key: #openssl rsa -in server.key -out server.key.insecure Enter pass phrase for server.key: #openssl req -new -key server.key -out server.csr Enter pass phrase for server.key: Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []: Email Address []: A challenge password []: An optional company name []: ==> bạn điền đầy đủ thông tin theo yêu cầu #openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt c Copy Key (certificate) to /etc/ssl/certs #cp server.crt /etc/ssl/certs #cp server.key /etc/ssl/private ==> /etc/init.d/apache2 restart Báo Cáo Thực Tập Trang: 13 Ta chạy thử https://localhost (https chạy Port 443) Backup (Sao lưu định kỳ) Để phòng ngừa hệ thống bị trục trặc, bị công ta cần phải backup thường xuyên định kỳ để khôi phục hệ thống trước bị trục trặc hay bị công TÀI LIỆU THAM KHẢO Báo Cáo Thực Tập Trang: 14 • Hacking Exposed, Stuart McClure, Joel Scambray, George Kurtz • RFC2617, J.Franks, P Hallam-Baker, J.Hostetler, S Lawrence, P Leach, A Luotonen, L Stewart – 06/1999 • http://www.sqlsecurity.com/ • http://www.nextgenss.com/papers/ • http://www.owasp.org/ • http://www.4guysfromrolla.com/webtech/ • http://www.guardent.com/ • http://www.idefense.com/ • http://www.jmu.edu/computing/info-security/engineering/issues/ • http://quantrilinux.vn/forum.php • http://www http://linux.vn/ • http:// http://www.ubuntu-vn.org/ • http://www.codeproject.com/ Báo Cáo Thực Tập Trang: 15 KẾT LUẬN CHUNG Các máy chủ Web (Webserver) vùng đất màu mỡ cho hacker tìm kiếm thông tin giá trị hay gây rối mục đích Hiểm hoạ từ kiểu công từ chối dịch vụ, quảng cáo website có nội dung không lành mạnh, xoá, thay đổi nội dung file hay phần mềm chứa mã nguy hiểm Hệ điều hành phải kiện toàn chặt chẽ tốt, bao gồm việc phòng bị cho công từ bên lẫn bên trong, server không cung cấp dịch vụ khác ngoại trừ http (80/TCP) hay https(443/TCP), truy cập từ xa đến server phải điều khiển tường lửa, thiết bị chặn trọn tiếp nối cho lối cho phép tiếp nối cho lối vào đến cổng 80/TCP web server mà thôi, server nên giảm thiểu tối đa vấn đề tiết lộ thông tin server Với phân tích mình, em mong phần làm rõ việc bảo mật web server nay.Tuy nhiên, trình độ lý luận, hiểu biết thực tế chưa nhiều, nên nhiều thiếu sót, mong thông cảm,góp ý dẫn thầy bạn Để làm tốt đồ án tốt nghiệp tới Em xin chân thành cảm ơn! Báo Cáo Thực Tập Trang: 16 NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP Công ty cổ phần đầu tư Cường Thịnh xác nhận cho em: Bùi Vân Nam sinh viên lớp IT-214 - Trường Đại học Kinh doanh Công nghệ Hà Nội có thực tập Công ty Nhận xét: Phúc Thọ, ngày … tháng … năm 2013 Giám đốc Báo Cáo Thực Tập Trang: 17 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN A Về mặt hình thức chuyên đề: ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ……… B Về mặt nội dung: …………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………… C Tinh thần, thái độ thực tập: ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………… D Nhứng thiếu sót, hạn chế: ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………………………………………………………………………………………………… ………… E Điểm sinh viên đạt: chữ: …………………………… Báo Cáo Thực Tập Trang: 18 ………, Ngày…….tháng……năm……… Giáo viên hướng dẫn Báo Cáo Thực Tập Trang: 19 [...]... các ứng dụng web (hoặc 1 web application firewall) Hoạt động như một module của máy chủ web Apache, mục đích của ModSecurity là tăng cường bảo mật cho các ứng dụng web, bảo vệ chúng khỏi các loại tấn công đã biết và chưa biết Modsecurity có thể : • Theo dõi HTTP traffic để phát hiện những dấu hiệu bất thường • Lọc các dữ liệu ra vào webserver • Ghi lại các tương tác giữa client và webserver 2.2 Cài... Trang: 12 #a2ensite default-ssl #/etc/init.d/apache2 restart b Config SSL #openssl genrsa -des3 -out server. key 1024 Enter pass phrase for server. key: #openssl rsa -in server. key -out server. key.insecure Enter pass phrase for server. key: #openssl req -new -key server. key -out server. csr Enter pass phrase for server. key: Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]:... thiết bị này chặn trọn bộ những tiếp nối cho lối ra và cho phép những tiếp nối cho lối vào đến cổng 80/TCP của web server mà thôi, server nên giảm thiểu tối đa vấn đề tiết lộ những thông tin của chính server Với những phân tích của mình, em mong rằng đã phần nào làm rõ hơn về việc bảo mật web server hiện nay.Tuy nhiên, do trình độ lý luận, hiểu biết về thực tế chưa nhiều, nên vẫn còn nhiều thiếu sót,... OUTPUT "Index of /cgi-bin/" SecFilterSelective OUTPUT ".*uid\=\(" 3 Secure Web Server (HTTPS) Khái niệm https: Là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet Các kết nối HTTPS thường được sử dụng cho các giao dịch thanh toán trên World Wide Web và cho các giao dịch nhạy cảm trong các hệ thống thông tin công ty HTTPS... Address []: A challenge password []: An optional company name []: ==> bạn điền đầy đủ thông tin theo yêu cầu #openssl x509 -req -days 365 -in server. csr -signkey server. key -out server. crt c Copy Key (certificate) to /etc/ssl/certs #cp server. crt /etc/ssl/certs #cp server. key /etc/ssl/private ==> /etc/init.d/apache2 restart Báo Cáo Thực Tập Trang: 13 Ta chạy thử https://localhost (https chạy Port 443)... http://www.owasp.org/ • http://www.4guysfromrolla.com/webtech/ • http://www.guardent.com/ • http://www.idefense.com/ • http://www.jmu.edu/computing/info-security/engineering/issues/ • http://quantrilinux.vn/forum.php • http://www http://linux.vn/ • http:// http://www.ubuntu-vn.org/ • http://www.codeproject.com/ Báo Cáo Thực Tập Trang: 15 KẾT LUẬN CHUNG Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho... từ chối dịch vụ, quảng cáo các website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hay phần mềm chứa mã nguy hiểm Hệ điều hành phải được kiện toàn càng chặt chẽ càng tốt, bao gồm việc phòng bị cho những tấn công từ bên ngoài lẫn bên trong, server không được cung cấp bất cứ dịch vụ nào khác ngoại trừ http (80/TCP) hay https(443/TCP), truy cập từ xa đến server phải được điều khiển bởi ... phát từ suy nghĩ nên em định chọn đề tài: Bảo mật web server Trong báo cáo em tập trung tìm hiểu phương thức công hacker số biện pháp bảo mật cho web server Nội dung báo cáo chia làm chương:... cho lối vào đến cổng 80/TCP web server mà thôi, server nên giảm thiểu tối đa vấn đề tiết lộ thông tin server Với phân tích mình, em mong phần làm rõ việc bảo mật web server nay.Tuy nhiên, trình... -des3 -out server. key 1024 Enter pass phrase for server. key: #openssl rsa -in server. key -out server. key.insecure Enter pass phrase for server. key: #openssl req -new -key server. key -out server. csr