1 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CNTT&TT Lê Hồng Sơn GIẢI PHÁP BẢO VỆ WEB SERVER DỰA TRÊN REVERSE PROXY LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2012 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn MỞ ĐẦU Lý chọn đề tài: Hiện nay, bảo mật thông tin đóng vai trò thiết yếu hoạt động liên quan đến việc ứng dụng công nghệ thông tin Trong Web Server vùng đất màu mỡ cho hacker tìm kiếm thông tin giá trị hay gây rối mục đích Hiểm hoạ công từ chối dịch vụ, quảng cáo website có nội dung không lành mạnh, xoá, thay đổi nội dung file hay phần mềm chứa mã nguy hiểm vv… Các nhà quản trị mạng phải đau đầu, lo lắng tìm phƣơng pháp để bảo vệ Web server an toàn thông tin cho toàn hệ thống Xuất phát từ nhu cầu trên, học viên định lựa chọn đề tài “Nghiên cứu giải pháp bảo vệ Web Server dựa Reverse Proxy” mong muốn nghiên cứu, đánh giá khả bảo vệ Web Server lựa chọn ứng dụng để cấu hình cài đặt thử nghiệm mô hình cụ thể Ƣu điểm giải pháp chi phí để xây dựng hệ thống bảo vệ Web Server thấp Đối tƣợng phạm vi nghiên cứu: Trong năm vừa qua, hàng loạt vụ công vào hệ thống Web Server trang mạng xã hội tạo quan tâm lớn nhà quản trị hệ thống mạng thông tin Sử dụng Reverse Proxy cách bảo vệ Web Server Reverse Proxy đứng Server tất Client mà Server phải phục vụ, hoạt động nhƣ trạm kiểm soát, request từ Client bắt buộc phải vào Reverse Proxy Tại Reverse Proxy kiểm soát, lọc bỏ request không hợp lệ luân chuyển request hợp lệ đến đích cuối Server Việc bảo vệ Web Server có nhiều biện pháp khác nhau, đối tƣợng nghiên cứu luận văn tập trung vào việc nghiên cứu giải pháp bảo vệ Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Web Server dựa Reverse Proxy Sau cấu hình cài đặt thử nghiệp phần mềm mã nguồn mở NGINX Hƣớng nghiên cứu đề tài: Việc nghiên cứu đánh giá vấn đề đề tài dựa sở khoa học phƣơng pháp luận nghiên cứu sau: Hệ thống lý thuyết tổng quan bảo mật Web Server; SSL; HTTPS; Reverse Proxy Nghiêm cứu mô hình triển khai hệ thống mạng bảo mật cho Web Server cấu hình cài đặt thử nghiệm Reverse Proxy phần mềm NGINX Phƣơng pháp nghiên cứu: Thu nhập hệ thống lý thuyết tổng quan bảo mật web server; SSL; HTTPS; Reverse Proxy Tham khảo tài liệu liên quan nƣớc, nƣớc Internet; sử dụng phƣơng pháp phân tích, liệt kê, thực nghiệm,… Ý nghĩa khoa học đề tài: Nghiên cứu tìm hiểu giải pháp bảo vệ Web Server dựa Reverse Proxy, cấu hình cài đặt thử nghiệp phần mềm mã nguồn mở NGINX Vì điều kiện thời gian có giới hạn lực thân, cố gắng đề tài chưa sâu phân tích hết khía cạnh, chi tiết có liên quan Kính mong Thầy hướng dẫn Hội đồng bảo vệ luận văn tốt nghiệp cho ý kiến đóng góp thêm để đề tài hoàn thiện Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn CHƢƠNG 1: TỔNG QUAN CÁC GIẢI PHÁP BẢO VỆ WEB SERVER 1.1.Tổng quan Web Server Web Server máy chủ có dung lƣợng lớn, tốc độ cao, đƣợc dùng để lƣu trữ thông tin nhƣ ngân hàng liệu, chứa website đƣợc thiết kế với thông tin liên quan khác (các mã Script, chƣơng trình, file Multimedia) Web Server gửi đến Client trang Web thông qua môi trƣờng Internet qua giao thức HTTP, HTTPS; giao thức đƣợc thiết kế để gửi file đến Web Browser giao thức khác Khi máy tính kết nối đến Web Server gửi đến yêu cầu truy cập thông tin từ trang Web đó, Web Server nhận yêu cầu gửi lại thông tin yêu cầu Giống phần mềm khác Web Server ứng dụng phần mềm Nó đƣợc cài đặt, chạy máy tính dùng làm Web Server, nhờ có chƣơng trình mà ngƣời sử dụng truy cập đến thông tin trang Web từ máy tính khác mạng Internet, Intranet Hình 1.1 Mô hình hoạt động Web Server Web Server đƣợc tích hợp với Database hay điều khiển việc kết nối vào Database để truy cập kết xuất thông tin từ Database lên trang Web truyền tải chúng đến ngƣời dùng Web Server phải hoạt Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn động liên tục 24/24 giờ, ngày tuần 365 ngày năm, để phục vụ cho việc cung cấp thông tin trực tuyến Có nhiều Web Server khác nhau, việc lựa chọn web server phù hợp dựa tiêu chí đánh giá Khả làm việc với hệ điều hành, ứng dụng khác, thiết lập chƣơng trình ứng dụng phía server, bảo mật liệu, xuất trang web, công cụ hỗ trợ xây dựng trang web Hiện nay, có loại web server thông dụng : Internet Information Services (IIS), Apache Web Server 1.1.1 Internet Information Services (IIS) Internet Information Services (IIS) dịch vụ tùy chọn Windows Server cung cấp tính Web site Giải pháp phổ biến Microsoft cho web site chạy IIS Windows Server IIS dịch vụ thông tin Internet Microsoft phát triển, sản phẩm đƣợc tích hợp với hệ điều hành Windows Phiên IIS 7.0 đƣợc chạy hệ điều hành Windows Server 2003, 2008 Phiên đƣợc Microsoft thiết kế lại dƣới dạng module, vừa kế thừa ƣu điểm phiên trƣớc,vừa tăng cƣờng tính bảo mật ổn định Những điểm đáng ý IIS 7.0 bao gồm: IIS 7.0 cung cấp công cụ quản trị, dƣới dạng đồ họa dƣới dạng dòng lệnh Những công cụ quản trị cho phép bạn: - Quản lý tập trung IIS ASP.NET; - Xem thông tin, chẩn đoán, bao gồm thông tin real-time; - Thay đổi quyền đối tƣợng site ứng dụng; - Ủy quyền cấu hình đối tƣợng site ứng dụng cho thành viên quyền quản trị; Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Hình 1.2 Phần mềm IIS7 Thay đổi cách thức lƣu trữ thông tin cấu hình IIS 7.0 ASP.NET vào vị trí, từ cho phép: - Cấu hình IIS ASP.NET với định dạng thống - Dễ dàng chép file cấu hình nội dung site ứng dụng đến máy tính khác Dễ dàng chẩn đoán khắc phục cố nhờ vào thông tin real-time hệ thống file log mức độ chi tiết IIS 7.0 đƣợc thiết kế dƣới dạng module, cho phép bổ sung nhƣ loại bỏ thành phần từ Web Server cần Khả tƣơng thích cao ứng dụng triển khai phiên IIS trƣớc Khi triển khai IIS 7.0 chạy ứng dụng ASP ASP.NET 2.0 đƣợc xây dựng từ trƣớc mà không cần phải thay đổi mã nguồn Trong IIS bao gồm nhiều dịch vụ dịch vụ nhƣ: dịch vụ Web Server, dịch vụ FTP Server … Ở đề cập đến dịch vụ Web Server IIS Web Server Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn đáp ứng yêu cầu chủ yếu Web Server nhƣ: độ tin cậy, hiệu năng, khả theo dõi giám sát, tính bảo mật tính khả thi việc phát triển dịch vụ ứng dụng Tất cải tiến kết kết hợp chặt chẽ với tính đƣợc cung cấp hệ điều hành Windows Ngƣời dùng triển khai liên tục ứng dụng mạng lên Server với nội dung IIS hỗ trợ đầy đủ hệ thống ngôn ngữ lập trình nhƣ Visual Basic, Visual Basic Script, J scriptMT đƣợc phát triển Microsoft Java Conponent, ứng dụng CGI dành cho ngôn ngữ lập trình Web sở, ISAPI mở rộng lọc 1.1.2 Apache Web Server Apache Web Server đƣợc xem nhƣ nỗ lực lớn việc phát triển trì Web Server mã nguồn mở cho hệ điều hành, bao gồm Unix, Linux Windows Đây Web Server hội tụ tất tính năng: bảo mật, hiệu suất, mở rộng phát triển cung cấp dịch vụ Web đƣợc đồng chuẩn Web hành Các đặc điểm bật Apache: - Apache chạy kết hợp chế độ đa xử lý chế độ đa lệnh - Hỗ trợ nhiều giao thức: Apache đƣợc phát triển để phục vụ nhiều giao thức khác - Ngày hỗ trợ tốt cho hệ điều hành khác nhƣ: Linux, OS Windows - Ngày phát triển hoàn thiện API (Application Program Interface) - Hỗ trợ IPv6 - Hỗ trợ nhiều modul dùng để lọc dòng liệu đến từ server Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Hình 1.3 Phần mềm apache - Hỗ trợ nhiều ngôn ngữ hiển thị thông báo lỗi Ngày đơn giản dễ dàng thiết lập tham số cho Web Server qua file cấu hình 1.2 Một số phƣơng thƣ́c tấn công web server 1.2.1 Authentication attacks Authentication đóng vai trò quan trọng việc đảm bảo tính an ninh web application Khi user cung cấp login name password để xác thực tài khoản mình, web application cấp quyền truy xuất cho user dựa vào login name mà user nhập vào đƣợc lƣu sở liệu HTTP có số phƣơng thức xác thực: - Basic - Digest - Form-based - NTLM Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - Negotiate - Client-side - Microsoft Passport Kiểu công không dựa vào lỗ hổng an ninh hệ điều hành phần mềm server Nó phụ thuộc vào mức độ an ninh phức tạp password đƣợc lƣu trữ mức độ khó khăn attacker tiếp cận đƣợc server Khi thực công này, hacker vƣợt rào xác thực vào hệ thống với quyền truy xuất mà mong muốn Với quyền đăng nhập cao admin, hacker toàn quyền điều khiển hệ thống web bị công Giải pháp tốt cho vấn đề sử dụng vài hình thức “multifactor authentication” (chứng thực sử dụng nhiều yếu tố) Vấn đề sức mạnh tính toán máy tính tăng Chúng có khả xử lý lƣợng lớn liệu khoảng thời gian ngắn Một “password” chuỗi ký tự (có bàn phím) mà ngƣời cần ghi nhớ cung cấp cho máy tính cần thiết (nhƣ để đăng nhập vào máy tính, truy cập tài nguyên mạng…) Thật không may, mật mà phức tạp để ghi nhớ ngƣời lại dễ dàng bị dò công cụ “pasword cracking” khoảng thời gian ngắn đến kinh ngạc Các kiểu công nhƣ “dictionary attack”, “brute fore attack” “hybrid attack” thƣờng đƣợc sử dụng để đoán bẻ khóa mật Phƣơng thức bảo vệ chống lại “threat” nhƣ tạo mật mạnh “strong password” (độ dài mật thƣờng từ ký tự trở lên, bao gồm chữ in thƣờng/in hoa, chữ số, ký tự đặc biệt) sử dụng thêm yếu tố khác (vân tay, smart card, võng mạc mắt,…) cho việc chứng thực Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 10 Nhƣng ngƣời ta nhớ đƣợc “strong password” (tất nhiên độ phức tạp “password” cần mức vừa phải) nhƣ dài từ 12 đến 16 ký tự, vấn đề khác mà hệ thống chứng thực dựa vào “password” phải đối mặt 1.2.2 HTTP Response Splitting Lỗi HTTP Response Splitting công vào ứng dụng web diễn xử lý thông tin đầu vào ngƣời dùng nhập Kẻ công từ xa gửi yêu cầu HTTP đặc biệt làm cho máy chủ web định dạng yêu cầu nhầm tƣởng chứa yêu cầu HTTP Chỉ yêu cầu thứ đƣợc xử lý ngƣời sử dụng HTTP Response Splitting cho phép tiến hành lƣợng lớn công kiểu nhƣ web cache positioning, deface, “cross-user defacement”, chặn ăn cắp thông tin ngƣời dùng Cross site Scripting 1.2.3 File Inclusion Attacks Khi trang web sử dụng lệnh include, require,… để gọi đến file khác, sơ ý để ngƣời dùng thay đổi file cần gọi đến Nhƣ Website đứng trƣớc nguy bị công File Inclusion Tùy vào mức độ bảo mật Server, hacker include đến file Server include đến file Server khác (remote include) Với mức độ hacker có nhiều cách để up shell Nếu server bảo mật kẻ công đọc đƣợc file toàn hệ thống, file Website khác máy chủ Lỗi dùng để công local kiểu công máy chủ, website qua site bị lỗi máy chủ Nếu có quyền ghi, tất file bị thay đổi: deface trang chủ, chèn mã độc để thu thập thông tin đăng nhập, ẩn dấu backdoor để lần sau vào tiếp,…Có thể lấy thông tin truy nhập sở liệu Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read data error !!! can't not read ... thống Xuất phát từ nhu cầu trên, học viên định lựa chọn đề tài “Nghiên cứu giải pháp bảo vệ Web Server dựa Reverse Proxy mong muốn nghiên cứu, đánh giá khả bảo vệ Web Server lựa chọn ứng dụng... Reverse Proxy cách bảo vệ Web Server Reverse Proxy đứng Server tất Client mà Server phải phục vụ, hoạt động nhƣ trạm kiểm soát, request từ Client bắt buộc phải vào Reverse Proxy Tại Reverse Proxy. .. tổng quan bảo mật Web Server; SSL; HTTPS; Reverse Proxy Nghiêm cứu mô hình triển khai hệ thống mạng bảo mật cho Web Server cấu hình cài đặt thử nghiệm Reverse Proxy phần mềm NGINX Phƣơng pháp nghiên