1 MỞ ĐẦU Lý chọn đề tài: Hiện nay, bảo mật thông tin đóng vai trò thiết yếu hoạt động liên quan đến việc ứng dụng công nghệ thông tin Trong Web Server vùng đất màu mỡ cho hacker tìm kiếm thông tin giá trị hay gây rối mục đích Hiểm hoạ công từ chối dịch vụ, quảng cáo website có nội dung không lành mạnh, xoá, thay đổi nội dung file hay phần mềm chứa mã nguy hiểm vv… Các nhà quản trị mạng phải đau đầu, lo lắng tìm phương pháp để bảo vệ Web server an toàn thông tin cho toàn hệ thống Xuất phát từ nhu cầu trên, học viên định lựa chọn đề tài “Nghiên cứu giải pháp bảo vệ Web Server dựa Reverse Proxy” mong muốn nghiên cứu, đánh giá khả bảo vệ Web Server lựa chọn số ứng dụng để cấu hình cài đặt thử nghiệm mô hình cụ thể Ưu điểm giải pháp chi phí để xây dựng hệ thống bảo vệ Web Server thấp Đối tượng phạm vi nghiên cứu: Trong năm vừa qua, hàng loạt vụ công vào hệ thống Web Server trang mạng xã hội tạo quan tâm lớn nhà quản trị hệ thống mạng thông tin Sử dụng Reverse Proxy cách bảo vệ Web Server Reverse Proxy đứng Server tất Client mà Server phải phục vụ, hoạt động trạm kiểm soát, request từ Client bắt buộc phải vào Reverse Proxy Tại Reverse Proxy kiểm soát, lọc bỏ request không hợp lệ luân chuyển request hợp lệ đến đích cuối Server Việc bảo vệ Web Server có nhiều biện pháp khác nhau, đối tượng nghiên cứu luận văn tập trung vào việc nghiên cứu giải pháp bảo vệ Web Server dựa Reverse Proxy Sau cấu hình cài đặt thử nghiệp phần mềm mã nguồn mở NGINX Hướng nghiên cứu đề tài: Việc nghiên cứu đánh giá vấn đề đề tài dựa sở khoa học phương pháp luận nghiên cứu sau: Hệ thống lý thuyết tổng quan bảo mật Web Server; SSL; HTTPS; Reverse Proxy Nghiêm cứu mô hình triển khai hệ thống mạng bảo mật cho Web Server cấu hình cài đặt thử nghiệm Reverse Proxy phần mềm NGINX Phương pháp nghiên cứu: Thu nhập hệ thống lý thuyết tổng quan bảo mật web server; SSL; HTTPS; Reverse Proxy Tham khảo tài liệu liên quan nước, nước Internet; sử dụng phương pháp phân tích, liệt kê, thực nghiệm,… Ý nghĩa khoa học đề tài: Nghiên cứu tìm hiểu giải pháp bảo vệ Web Server dựa Reverse Proxy, cấu hình cài đặt thử nghiệp phần mềm mã nguồn mở NGINX Vì điều kiện thời gian có giới hạn lực thân, cố gắng đề tài chưa sâu phân tích hết khía cạnh, chi tiết có liên quan Kính mong Thầy hướng dẫn Hội đồng bảo vệ luận văn tốt nghiệp cho ý kiến đóng góp thêm để đề tài hoàn thiện CHƯƠNG 1: TỔNG QUAN CÁC GIẢI PHÁP BẢO VỆ WEB SERVER 1.1.Tổng quan Web Server Web Server máy chủ có dung lượng lớn, tốc độ cao, dùng để lưu trữ thông tin ngân hàng liệu, chứa website thiết kế với thông tin liên quan khác (các mã Script, chương trình, file Multimedia) Web Server gửi đến Client trang Web thông qua môi trường Internet qua giao thức HTTP, HTTPS; giao thức thiết kế để gửi file đến Web Browser giao thức khác Khi máy tính kết nối đến Web Server gửi đến yêu cầu truy cập thông tin từ trang Web đó, Web Server nhận yêu cầu gửi lại thông tin yêu cầu Giống phần mềm khác Web Server ứng dụng phần mềm Nó cài đặt, chạy máy tính dùng làm Web Server, nhờ có chương trình mà người sử dụng truy cập đến thông tin trang Web từ máy tính khác mạng Internet, Intranet Hình 1.1 Mô hình hoạt động Web Server Web Server tích hợp với Database hay điều khiển việc kết nối vào Database để truy cập kết xuất thông tin từ Database lên trang Web truyền tải chúng đến người dùng Web Server phải hoạt động liên tục 24/24 giờ, ngày tuần 365 ngày năm, để phục vụ cho việc cung cấp thông tin trực tuyến Có nhiều Web Server khác nhau, việc lựa chọn web server phù hợp dựa tiêu chí đánh giá Khả làm việc với hệ điều hành, ứng dụng khác, thiết lập chương trình ứng dụng phía server, bảo mật liệu, xuất trang web, công cụ hỗ trợ xây dựng trang web Hiện nay, có loại web server thông dụng nhất là: Internet Information Services (IIS), Apache Web Server 1.1.1 Internet Information Services (IIS) Internet Information Services (IIS) dịch vụ tùy chọn Windows Server cung cấp tính Web site Giải pháp phổ biến Microsoft cho web site chạy IIS Windows Server IIS dịch vụ thông tin Internet Microsoft phát triển, sản phẩm tích hợp với hệ điều hành Windows Phiên IIS 7.0 chạy hệ điều hành Windows Server 2003, 2008 Phiên Microsoft thiết kế lại dạng module, vừa kế thừa ưu điểm phiên trước,vừa tăng cường tính bảo mật ổn định Những điểm đáng ý IIS 7.0 bao gồm: IIS 7.0 cung cấp công cụ quản trị, dạng đồ họa dạng dòng lệnh Những công cụ quản trị cho phép bạn: - Quản lý tập trung IIS ASP.NET; - Xem thông tin, chẩn đoán, bao gồm thông tin real-time; - Thay đổi quyền đối tượng site ứng dụng; - Ủy quyền cấu hình đối tượng site ứng dụng cho thành viên quyền quản trị; Hình 1.2 Phần mềm IIS7 Thay đổi cách thức lưu trữ thông tin cấu hình IIS 7.0 ASP.NET vào vị trí, từ cho phép: - Cấu hình IIS ASP.NET với định dạng thống - Dễ dàng chép file cấu hình nội dung site ứng dụng đến máy tính khác Dễ dàng chẩn đoán khắc phục cố nhờ vào thông tin real-time hệ thống file log mức độ chi tiết IIS 7.0 thiết kế dạng module, cho phép bạn bổ sung loại bỏ thành phần từ Web Server cần Khả tương thích cao ứng dụng triển khai phiên IIS trước Khi triển khai IIS 7.0 bạn chạy ứng dụng ASP ASP.NET 2.0 xây dựng từ trước mà không cần phải thay đổi mã nguồn Trong IIS bao gồm nhiều dịch vụ dịch vụ như: dịch vụ Web Server, dịch vụ FTP Server … Ở ta đề cập đến dịch vụ Web Server IIS Web Server đáp ứng yêu cầu chủ yếu Web Server như: độ tin cậy, hiệu năng, khả theo dõi giám sát, tính bảo mật tính khả thi việc phát triển dịch vụ ứng dụng Tất cải tiến kết kết hợp chặt chẽ với tính cung cấp hệ điều hành Windows Người dùng triển khai liên tục ứng dụng mạng lên Server với nội dung IIS hỗ trợ đầy đủ hệ thống ngôn ngữ lập trình Visual Basic, Visual Basic Script, J scriptMT phát triển Microsoft Java Conponent, ứng dụng CGI dành cho ngôn ngữ lập trình Web sở, ISAPI mở rộng lọc 1.1.2 Apache Web Server Apache Web Server xem nỗ lực lớn việc phát triển trì Web Server mã nguồn mở cho hệ điều hành, bao gồm Unix, Linux Windows Đây Web Server hội tụ tất tính năng: bảo mật, hiệu suất, mở rộng phát triển cung cấp dịch vụ Web đồng chuẩn Web hành Các đặc điểm bật Apache: - Apache chạy kết hợp chế độ đa xử lý chế độ đa lệnh - Hỗ trợ nhiều giao thức: Apache phát triển để phục vụ nhiều giao thức khác - Ngày hỗ trợ tốt cho hệ điều hành khác như: Linux, OS Windows - Ngày phát triển hoàn thiện API (Application Program Interface) - Hỗ trợ IPv6 - Hỗ trợ nhiều modul dùng để lọc dòng liệu đến từ server Hình 1.3 Phần mềm apache - Hỗ trợ nhiều ngôn ngữ hiển thị thông báo lỗi Ngày đơn giản dễ dàng thiết lập tham số cho Web Server qua file cấu hình 1.2 Một số phương thức tấn công web server 1.2.1 Authentication attacks Authentication đóng vai trò quan trọng việc đảm bảo tính an ninh web application Khi user cung cấp login name password để xác thực tài khoản mình, web application cấp quyền truy xuất cho user dựa vào login name mà user nhập vào lưu sở liệu HTTP có số phương thức xác thực: - Basic - Digest - Form-based - NTLM - Negotiate - Client-side - Microsoft Passport Kiểu công không dựa vào lỗ hổng an ninh hệ điều hành phần mềm server Nó phụ thuộc vào mức độ an ninh phức tạp password lưu trữ mức độ khó khăn attacker tiếp cận server Khi thực công này, hacker vượt rào xác thực vào hệ thống với quyền truy xuất mà mong muốn Với quyền đăng nhập cao admin, hacker toàn quyền điều khiển hệ thống web bị công Giải pháp tốt cho vấn đề sử dụng vài hình thức “multifactor authentication” (chứng thực sử dụng nhiều yếu tố) Vấn đề sức mạnh tính toán máy tính tăng Chúng có khả xử lý lượng lớn liệu khoảng thời gian ngắn Một “password” chuỗi ký tự (có bàn phím) mà người cần ghi nhớ cung cấp cho máy tính cần thiết (như để đăng nhập vào máy tính, truy cập tài nguyên mạng…) Thật không may, mật mà phức tạp để ghi nhớ người lại dễ dàng bị dò công cụ “pasword cracking” khoảng thời gian ngắn đến kinh ngạc Các kiểu công “dictionary attack”, “brute fore attack” “hybrid attack” thường sử dụng để đoán bẻ khóa mật Phương thức bảo vệ chống lại “threat” tạo mật mạnh “strong password” (độ dài mật thường từ ký tự trở lên, bao gồm chữ in thường/in hoa, chữ số, ký tự đặc biệt) sử dụng thêm yếu tố khác (vân tay, smart card, võng mạc mắt,…) cho việc chứng thực Nhưng người ta nhớ “strong password” (tất nhiên độ phức tạp “password” cần mức vừa phải) dài từ 12 đến 16 ký tự, vấn đề khác mà hệ thống chứng thực dựa vào “password” phải đối mặt 1.2.2 HTTP Response Splitting Lỗi HTTP Response Splitting công vào ứng dụng web diễn xử lý thông tin đầu vào người dùng nhập Kẻ công từ xa gửi yêu cầu HTTP đặc biệt làm cho máy chủ web định dạng yêu cầu nhầm tưởng chứa yêu cầu HTTP Chỉ yêu cầu thứ xử lý người sử dụng HTTP Response Splitting cho phép tiến hành lượng lớn công kiểu web cache positioning, deface, “cross-user defacement”, chặn ăn cắp thông tin người dùng Cross site Scripting 1.2.3 File Inclusion Attacks Khi trang web sử dụng lệnh include, require,… để gọi đến file khác, sơ ý để người dùng thay đổi file cần gọi đến Như Website đứng trước nguy bị công File Inclusion Tùy vào mức độ bảo mật Server, hacker include đến file Server include đến file Server khác (remote include) Với mức độ hacker có nhiều cách để up shell Nếu server bảo mật kẻ công đọc file toàn hệ thống, file Website khác máy chủ Lỗi dùng để công local kiểu công máy chủ, website qua site bị lỗi máy chủ Nếu có quyền ghi, tất file bị thay đổi: deface trang chủ, chèn mã độc để thu thập thông tin đăng nhập, ẩn dấu backdoor để lần sau vào tiếp,…Có thể lấy thông tin truy nhập sở liệu 10 (database) qua file cấu hình website, sau truy nhập vào sở liệu: xem liệu, xóa, thay đổi liệu,… Trong trường hợp này, sở liệu MySql cho phép sử dụng hàm load_file() Phòng chống File Inclusion Attacks 1.2.4 Cross-Site Scripting Cross-Site Scripting (XSS) kĩ thuật công cách chèn vào website động (ASP, PHP, CGI, JSP …) thẻ HTML hay đoạn mã script nguy hiểm gây nguy hại cho người sử dụng khác Trong đó, đoạn mã nguy hiểm đựơc chèn vào hầu hết viết Client-Site Script JavaScript, JScript, HTML Kỹ thuật công XSS nhanh chóng trở thành lỗi phổ biến Web Applications mối đe doạ chúng người sử dụng ngày lớn XSS thường sử dụng với mục đích đánh cắp thông tin giúp hacker truy cập vào thông tin nhạy cảm, lấy quyền truy cập miễn phí vào nội dung phải trả tiền có Dò xét sở thích người sử dụng mạng, thay đổi diện mạo trang web Tấn công từ chối dịch vụ (DoS) Mã JavaScript độc truy cập thông tin sau đây: - Cookie cố định trì trình duyệt; - RAM Cookie; - Tên tất cửa sổ mở từ site bị lỗi XSS - Bất thông tin mà truy cập từ DOM (như value, mã HTML…) Những người phát triển web bảo vệ website khỏi bị lợi dụng thông qua công XSS, cách đảm bảo trang phát sinh động không chứa tag script cách lọc xác nhận hợp lý 51 cứu cấu hình cài đặt mô hình thử nghiệm Reverse Proxy phần mềm mã nguồn mở Nginx để xác thực bảo mật máy chủ Reverse Proxy để bảo vệ Web Server Đây chức quan trọng Reverse Proxy 3.1 Giới thiệu phần mềm NGINX Nginx máy chủ web mã nguồn mở miễn phí viết Igor Sysoev, kỹ sư phần mềm Nga Kể từ mắt công chúng vào năm 2004, Nginx web server, Reverse Proxy e-mail proxy (IMAP/POP3) nhẹ, hiệu cao, sử dụng giấy phép mở Berkeley Software Distribution (BSD) Nginx chạy UNIX, Linux, dòng BSD, Mac OS X, Solaris Microsoft Windows Theo thống kê Netcraft, số triệu website lớn giới, có 6,52% sử dụng nginx Tại Nga, quê hương nginx, có đến 46,9% sử dụng máy chủ Nginx đứng sau Apache IIS (của Microsoft) Các tính cân tải, truy cập, nhớ đệm điều khiển băng thông, khả để tích hợp hiệu với loạt ứng dụng, giúp Nginx lựa chọn tốt cho nhà thiết kế hệ thống Web Server Trên thực tế, số lượng Web Server dùng Nginx để chạy Website ít, thay vào người ta sử dụng Apache Apache tỏ tốt Nginx việc phục vụ trang Web động (dynamic page) Nhưng tính đa dụng nên Apache có nhiều thành phần “thừa” khiến cho Web Server trở nên chậm chạp 52 Hình 3.1 Sơ đồ kiến trúc Nginx Giải pháp đưa sử dụng Nginx để làm Reverse proxy Nginx chạy phía trước (front-end) phục vụ port 80, 443 IIS, Apache chạy phía sau (back-end) lắng nghe port 8080 Nginx cung cấp gần tất chức máy chủ web Apache như: - Xử lý tập tin tĩnh - Reverse proxy - Cân tải - Hỗ trợ SSL - FastCGI - Máy chủ ảo - FLV streaming - MP4 trực tuyến - Xác thực truy cập trang Web - Viết lại URL - Tùy chỉnh Logging 53 - SSI - WebDAV Ưu điểm Nginx Quản lý tập tin tĩnh, tập tin mục; Hỗ trợ FastCGI với cân tải khả chịu lỗi; Trong lọc bao gồm gzip, phạm vi byte, phản ứng chunked ,bộ lọc SSI FastCGI chạy song song; Nginx sử dụng có hiệu Web Server hiệu suất cao, chẳng hạn HTTP reverse proxy để quản lý cho ứng dụng Ruby on Rails, PHP kịch Perl để chạy Nginx chứng minh IMAP/POP3 proxy hiệu SMTP add-on mô-đun HTTP streaming Flash Module, Module limit_zone HTTP, HTTP GEO Mô-đun 3.2 Mô hình thử nghiệm Theo mô hình cần sử dụng: - Một máy chủ làm Reverse Proxy phần mềm Nginx Máy chủ mày có card mạng Một card mạng có địa là: 10.0.0.2 để kết nối với Web Server Card mạng lại có địa mạng để kết nối với internet: 192.168.1.6 - Máy làm Web Server có địa là: 10.0.0.1 - Các máy Client có địa kết nối internet dải địa máy Reverse Proxy: 192.168.1.x Khi Client kết nối với máy Web Server thông qua Reverse Proxy Web Server phải bảo vệ, không bị công từ Client Tất kết nối tới Web Server qua Reverse Proxy 54 Hình 3.2 Sơ đồ cấu hình Reverse Proxy Nginx Client kết nối với Reverse Proxy thông qua giao thức HTTPS ngược lại Reverse proxy kết nối với Client giao thức HTTPS Máy Web Server kết nối với Reverse Proxy giao thức HTTP ngược lại 3.3 Cấu hình reverse proxy phần mềm NGINX 3.3.1 Yêu cầu - máy chủ Ubuntu Cent os sử dụng với vai trò Reverse Proxy chạy Nginx - máy chủ web chạy IIS, Apache - Các Client truy cập vào Web Server thông qua Reverse Proxy cài đặt 3.3.2 Các bước thực 55 3.3.2.1.Tạo trang Web phần mềm IIS - Đầu tiên ta tạo thư mục để chứa trang web - Vào “Server Manager” chọn “Roles” - “Web Server (IIS)” “Internet Information Server” - Phía bảng “Connections” , chọn “sites” - “Add Web Site” Hình 3.3 Giao diện add website - Điền thông tin cần thiết trang web (tên, đường dẫn, v.v ) Hình 3.4 Giao diện điền thông tin tạo website 56 - Khi chọn ok xuất thông báo “binding *:80 đăng kí site khác…” - Kiểm tra trang Web vừa tạo hoạt động, ta vào browser gõ http://localhost 3.3.2.2 Cài đặt cấu hình Reserve Proxy Có hai cách cấu hình nginx, cài đặt sources cài đặt tự động Cài từ sources Cài đặt thư viện: yum install zlib-devel wget openssl-devel pcre pcre-devel sudo gcc make autoconf automake Download: cd /opt/ wget http://nginx.org/download/nginx-1.0.0.tar.gz tar -zxvf nginx-1.0.0.tar.gz cd /opt/nginx-1.0.0/ Configure: /configure prefix=/opt/nginx user=nginx -group=nginx with-http_ssl_module Make: make make install Tạo user Nginx useradd -M -r shell /sbin/nologin home-dir /opt/nginx 57 Cho phép chạy tự động khởi động: wget -O init-rpm.sh http://library.linode.com/assets/662init-rpm.sh mv init-rpm.sh /etc/rc.d/init.d/nginx chmod +x /etc/rc.d/init.d/nginx chkconfig add nginx chkconfig level 2345 nginx on Chạy: /etc/init.d/nginx start Cài đặt tự động sudo apt-get install nginx sudo /etc/init.d/nginx start Sau cài đặt Nginx hệ thống tự động khởi động chương trình vào lần khởi động sau Hình 3.5 Giao diện cài đặt Nginx 3.3.2.3 Cấu hình với SSL 58 Tạo khóa sudo mkdir /srv/ssl sudo cd/srv/ssl sudo openssl req -out/srv/ssl/nginx.pem -new -eyout -x509 -days 365 /srv/ssl/nginx.key rsa:2048 Hình 3.6 Giao diện cấu hình SSL 3.3.2.4 Cấu hình reverse roxy Vào thư mục /etc/nginx/sites-enabled tạo file với nội dung -nodes -newkey 59 Hình 3.7 Giao diện cấu hình Reverse Proxy - Quá trình cấu hình Revers Proxy gồm phần Cấu hình HTTPS với giao thức SSL theo hình theo cổng 443; sử dụng với khóa đă tạo mục Cấu hình Proxy hướng tới trang web mong muốn https://10.0.0.1/ns 3.4 Kết thực Đối với mạng back-end mô hình thiết kế web server có địa chỉ: 10.0.0.1 địa reverse proxy là: 10.0.0.2 Đối với mạng front-end mô hình thiết kế reverse proxy có địa chỉ: 1192.168.1.6 địa client là: 192.168.1.x Truy cập trang web server giao thức https://192.168.1.6 Hình 3.8 Giao diện truy cập Web Server HTTPS Kiểm tra chứng thư cài đặt SSL cách vào khóa 60 Hình 3.9 Giao diện kiểm tra SSL Cửa sổ paga info https://192.168.1.6 nhấn vào tab view certificate, ấn tab Genenal chứa thông tin: Issued To, Issued By, Validity, fingerprints hình Hình 3.10 Giao diện View Certificate Thực tiếp chuyển sang tab Details chứa thông tin Certificate Hierarchy, Certificate Fields, Field Value 61 Hình 3.11 Giao diện thông tin Certificate Fields Tại mục Certificate Fields chứa đựng nhiều thông tin như: Version, Serial Number, Certificate Signature Algorithm, Validity, Subbject, Subject Public Key Info, Extensions Chọn mục Subject Public Key Algorithm, thông tin sử dụng thuật toán mã hóa công khai RSA hình Hình 3.12 Giao diện thông tin mã hóa RSA 62 Chọn Subject's Public Key chứa khóa công khai Hình 3.13 Giao diện khóa công khai Tại mục Certificate Signature Value hiển thị thông tin Giấy chứng nhận chữ ký Hình 3.14 Giao diện Certificate Signature Value 63 Trên kết đạt sau cấu hình cài đặt Reverse Proxy sử dụng phần mềm mã nguồn mở NGINX để bảo vệ Web Server Tại máy chủ Reverse Proxy xác thực Client kết nối Web Server KẾT LUẬN Từ thực tiễn cho thấy ứng dụng mạng ngày phát triển, đặc biệt ứng dụng lĩnh vực thương mại, ngân hàng, tài chính, hàng không, Việc phát triển loại ứng dụng việc đảm bảo chất lượng dịch vụ phải đảm bảo tính mật thông tin môi trường truyền thông Trong đó, việc bảo vệ Web Server quan tâm phát triển nhà phát triển ứng dụng ngày Luận văn: “ Giải pháp bảo vệ Web Serer dự Reverse Proxy” thực với mục đích nghiên cứu đưa phương pháp cho vấn đề an ninh mạng nói chung bảo vệ thông tin đường truyền nói riêng đạt số kết sau: Giới thiệu tổng quát khái niệm Web Server, cách thức công vào Web Server biện pháp phòng chống 64 Tìm hiểu cấu trúc, nguyên tắc hoạt động giao thức SSL, HTTPS, Reverse Proxy xây dựng hệ thống bảo vệ Web Server Cấu hình cài đặt mô hình thử nghiệm Reverse Proxy phần mềm mã nguồn mở NGINX đưa kết Ngày nay, lĩnh vực an ninh an toàn liệu ngày nhiều nhà khoa học quan tâm kết mà đạt Trong phạm vi giới hạn đề tài lực hạn chế tác giả nên kết luận văn khiêm tốn Tác giả mong góp ý, bảo thầy cô giáo đồng nghiệp! TÀI LIỆU THAM KHẢO Tiếng Việt Phan Văn Thiều, Phạm Thu Hằng (2009), Mật mã từ cổ điển đến lượng tử, NXB Trẻ Tiếng Anh A Freier,P Karlton, P Kocher (2011), The Secure Sockets Layer (SSL) Protocol Version 3.0, IETF RFC 6101, http://www.rfc-editor.org/rfc/rfc6101.txt Aung Win Myat (2012), Reverse proxy A simple way to preventing common web-based attacks, Software Architect Leo Tech Services Pte, Ltdaung.myat@leotech.com.sg http://www.scribd.com/doc/104522085/Reverse-Proxy Center for Internet Security (2010), Security Configuration Benchmark for Apache HTTP Server 2.2, version 3.0, http://cisecurity 65 org Center for Internet Security (2011), Security Configuration Benchmark for Microsoft IIS 7.0 , version 1.1, http://cisecurity.org Clément Nedelcu (2010), Nginx HTTP Server, Publisher: Packt Publishing C.McNab (2007), Network Security Assessment 2nd Edition, Publisher: O'Reilly Dipankar Sarkar (2011), Nginx Web Server Implementation, Publisher Packt Publishing E Rescorla (2000), HTTP Over TLS, IETF RFC 2818, http://www.rfc-editor.org/rfc/rfc2818.txt 10 Ivan Ristic (2005), Apache Security, Publisher: O'Reilly 11 Oracle White Paper (2010), Using Oracle iPlanet Web Server as a Reverse Proxy for Improved Security, http://www.oracle.com/us/products/middleware/applicationserver/063558.pdf 12 Peter Sommerlad (2003), Reverse Proxy Patterns, SYNLOGIC AG, Zurich, http://hillside.net/europlop/europlop2003/papers/WorkshopC/ C6_SommerladP.pdf 13 Pravir Chandra, Matt Messier, John Viega (2002), Network Security with OpenSSL, Publisher: O'Reilly 14 R Fielding, J Gettys, J Mogul, H Frystyk, L Masinter, P Leach, T Berners-Lee (1999), Hypertext Transfer Protocol HTTP/1.1, IETF RFC 2616 http://www.rfc-editor.org/rfc/rfc2616.txt 15 Stephen A.Thomas (2000), SSL and TLS Essentials, Publisher: Wiley [...]... nay có rất nhiều biện pháp bảo vệ Web Chương 2 của luận văn trình bày về Giải pháp bảo vệ Web Server dựa trên Reverse Proxy 2.1 Giao thức SSL/TLS 2.1.1.Giao thức SSL 2.1.1.1.Giới thiệu giao thức SSL Giao thức SSL là chữ viết tắt từ Secure Socket Layer, đây là một tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy chủ web và trình duyệt Liên kết này đảm bảo tất cả các dữ liệu... sử dụng để đảm bảo tính Integrity cho các thông điệp được trao đổi 2.3 Giải pháp Reverse Proxy bảo vệ Web Server 2.3.1 Giới thiệu Reverse Proxy 2.3.1.1 Giới thiệu Proxy • Proxy là một Internet server đứng giữa một client và tất cả các server mà clientđó muốn truy cập đến, làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo sự an toàn cho việc truy cập Internet của các client, cho phép bảo mật kết nối,... sử dụng phần mềm ISA 19 CHƯƠNG 2: GIẢI PHÁP BẢO VỆ WEB SERVER DỰA TRÊN REVERSE PROXY Ngày nay, cùng với sự phát triển nhanh chóng của Internet, số lượng các giao dịch qua mạng ngày càng tăng Việc thực hiện một giao dịch an toàn là một yêu cầu thiết thực nhất là trong thương mại điện tử và các lĩnh vực nhạy cảm khác như ngân hàng, tài chính, an ninh… Để bảo vệ Web Server không bị các hacker tấn công... cường bảo mật cho các ứng dụng web, bảo vệ chúng khỏi các loại tấn công đã biết và chưa biết Modsecurity có thể : - Theo dõi HTTP traffic để phát hiện những dấu hiệu bất thường - Lọc các dữ liệu ra vào Web Server - Ghi lại các tương tác giữa Client và Web Server 1.3.2 Secure Web Server (HTTPS) Là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo. .. khi cập nhật các thông tin định tuyến giữa các router - Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại SYN flood - Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời 1.3 Một số giải pháp bảo mật cho web server Các Web server luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thông tin giá trị hay... này lên Website qua một kết nối SSL 16 Hình 1.6 Báo cáo rủi ro các cuộc tấn công Web Ngoài ra để tăng độ bảo mật cho Web Server ta có thể sử dụng một số giải pháp sau: 1.3.1 Sử dụng mod_security Hình 1.7 Mô hình Sử dụng mod_security 17 Mod_Security là một bộ máy phát hiện và phòng chống xâm nhập dành cho các ứng dụng Web hoặc một Web application firewall Hoạt động như một module của máy chủ web Apache,... + Các Web Server cài đặt hệ điều hành Windows, Linux… và các giải pháp phòng chống virus, chống thư rác (spam mail) 15 Hình 1.5 Mô hình bảo vệ Web Server + Hệ thống lưu trữ: Các thiết bị lưu trữ dữ liệu tích hợp SAN (Storage Area Network) + Ngoài việc những động tác kiểm tra của một bức tường lửa thông thường, WAF sẽ kiểm tra sâu hơn, sẽ kiểm tra các nội dung HTTP ở lớp ứng dụng, Đặt các Web Server. .. kết nối sẽ được thực hiện đến Web server đã chỉ định HTTP là giao thức lệnh và điều khiển xác lập việc truyền tin giữa Client và Server và chuyển lệnh qua lại giữa hai hệ thống Chẳng hạn, khi bạn gõ một địa chỉ Web URL vào trình duyệt Web, một lệnh HTTP sẽ được gửi tới Web server để ra lệnh và hướng dẫn nó tìm đúng trang Web được yêu cầu và kéo về mở trên trình duyệt Web Hình 2.10 Giao thức HTTP HTTP... truy cập từ xa Với Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA SERVER 2006 cho phép triển khai các vùng DMZ ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống - Ngoài các tính năng bảo mật thông tin trên, ISA SERVER 2006 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng,... Thiết lập firewall của bạn không cho các kết nối tới Web Server trên toàn bộ các cổng, ngoại trừ cổng 80 (http), cổng 443 (https) và các cổng dịch vụ mà bạn sử dụng + Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từ các nhà cung cấp + Thực hiện toàn bộ việc cập nhật từ mạng Intranet Duy trì trang Web ban đầu trên mỗi Server trên hệ thống mạng Intranet và tạo các thay đổi và ... chính, an ninh… Để bảo vệ Web Server không bị hacker công vấn đề có tính cấp bách, có nhiều biện pháp bảo vệ Web Chương luận văn trình bày Giải pháp bảo vệ Web Server dựa Reverse Proxy 2.1 Giao thức... nghiên cứu sau: Hệ thống lý thuyết tổng quan bảo mật Web Server; SSL; HTTPS; Reverse Proxy Nghiêm cứu mô hình triển khai hệ thống mạng bảo mật cho Web Server cấu hình cài đặt thử nghiệm Reverse Proxy. .. hướng dẫn Hội đồng bảo vệ luận văn tốt nghiệp cho ý kiến đóng góp thêm để đề tài hoàn thiện 3 CHƯƠNG 1: TỔNG QUAN CÁC GIẢI PHÁP BẢO VỆ WEB SERVER 1.1.Tổng quan Web Server Web Server máy chủ có