1 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CNTT&TT Lê Hồng Sơn GIẢI PHÁP BẢO VỆ WEB SERVER DỰA TRÊN REVERSE PROXY LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Ngun - 2012 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn MỞ ĐẦU Lý chọn đề tài: Hiện nay, bảo mật thơng tin đóng vai trị thiết yếu hoạt động liên quan đến việc ứng dụng cơng nghệ thơng tin Trong Web Server ln vùng đất màu mỡ cho hacker tìm kiếm thơng tin giá trị hay gây rối mục đích Hiểm hoạ cơng từ chối dịch vụ, quảng cáo website có nội dung khơng lành mạnh, xố, thay đổi nội dung file hay phần mềm chứa mã nguy hiểm vv… Các nhà quản trị mạng phải đau đầu, lo lắng tìm phƣơng pháp để bảo vệ Web server an tồn thơng tin cho tồn hệ thống Xuất phát từ nhu cầu trên, học viên định lựa chọn đề tài “Nghiên cứu giải pháp bảo vệ Web Server dựa Reverse Proxy” mong muốn nghiên cứu, đánh giá khả bảo vệ Web Server lựa chọn ứng dụng để cấu hình cài đặt thử nghiệm mơ hình cụ thể Ƣu điểm giải pháp chi phí để xây dựng hệ thống bảo vệ Web Server thấp Đối tƣợng phạm vi nghiên cứu: Trong năm vừa qua, hàng loạt vụ công vào hệ thống Web Server trang mạng xã hội tạo quan tâm lớn nhà quản trị hệ thống mạng thông tin Sử dụng Reverse Proxy cách bảo vệ Web Server Reverse Proxy đứng Server tất Client mà Server phải phục vụ, hoạt động nhƣ trạm kiểm soát, request từ Client bắt buộc phải vào Reverse Proxy Tại Reverse Proxy kiểm sốt, lọc bỏ request khơng hợp lệ luân chuyển request hợp lệ đến đích cuối Server Việc bảo vệ Web Server có nhiều biện pháp khác nhau, đối tƣợng nghiên cứu luận văn tập trung vào việc nghiên cứu giải pháp bảo vệ Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Web Server dựa Reverse Proxy Sau cấu hình cài đặt thử nghiệp phần mềm mã nguồn mở NGINX Hƣớng nghiên cứu đề tài: Việc nghiên cứu đánh giá vấn đề đề tài dựa sở khoa học phƣơng pháp luận nghiên cứu sau: Hệ thống lý thuyết tổng quan bảo mật Web Server; SSL; HTTPS; Reverse Proxy Nghiêm cứu mơ hình triển khai hệ thống mạng bảo mật cho Web Server cấu hình cài đặt thử nghiệm Reverse Proxy phần mềm NGINX Phƣơng pháp nghiên cứu: Thu nhập hệ thống lý thuyết tổng quan bảo mật web server; SSL; HTTPS; Reverse Proxy Tham khảo tài liệu liên quan nƣớc, nƣớc Internet; sử dụng phƣơng pháp phân tích, liệt kê, thực nghiệm,… Ý nghĩa khoa học đề tài: Nghiên cứu tìm hiểu giải pháp bảo vệ Web Server dựa Reverse Proxy, cấu hình cài đặt thử nghiệp phần mềm mã nguồn mở NGINX Vì điều kiện thời gian có giới hạn lực thân, cố gắng đề tài chưa sâu phân tích hết khía cạnh, chi tiết có liên quan Kính mong Thầy hướng dẫn Hội đồng bảo vệ luận văn tốt nghiệp cho ý kiến đóng góp thêm để đề tài hồn thiện Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn CHƢƠNG 1: TỔNG QUAN CÁC GIẢI PHÁP BẢO VỆ WEB SERVER 1.1.Tổng quan Web Server Web Server máy chủ có dung lƣợng lớn, tốc độ cao, đƣợc dùng để lƣu trữ thông tin nhƣ ngân hàng liệu, chứa website đƣợc thiết kế với thông tin liên quan khác (các mã Script, chƣơng trình, file Multimedia) Web Server gửi đến Client trang Web thông qua môi trƣờng Internet qua giao thức HTTP, HTTPS; giao thức đƣợc thiết kế để gửi file đến Web Browser giao thức khác Khi máy tính kết nối đến Web Server gửi đến yêu cầu truy cập thông tin từ trang Web đó, Web Server nhận yêu cầu gửi lại thông tin yêu cầu Giống phần mềm khác Web Server ứng dụng phần mềm Nó đƣợc cài đặt, chạy máy tính dùng làm Web Server, nhờ có chƣơng trình mà ngƣời sử dụng truy cập đến thông tin trang Web từ máy tính khác mạng Internet, Intranet Hình 1.1 Mơ hình hoạt động Web Server Web Server cịn đƣợc tích hợp với Database hay điều khiển việc kết nối vào Database để truy cập kết xuất thông tin từ Database lên trang Web truyền tải chúng đến ngƣời dùng Web Server phải hoạt Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn động liên tục 24/24 giờ, ngày tuần 365 ngày năm, để phục vụ cho việc cung cấp thông tin trực tuyến Có nhiều Web Server khác nhau, việc lựa chọn web server phù hợp dựa tiêu chí đánh giá Khả làm việc với hệ điều hành, ứng dụng khác, thiết lập chƣơng trình ứng dụng phía server, bảo mật liệu, xuất trang web, công cụ hỗ trợ xây dựng trang web Hiện nay, có loại web server thơng dụng : Internet Information Services (IIS), Apache Web Server 1.1.1 Internet Information Services (IIS) Internet Information Services (IIS) dịch vụ tùy chọn Windows Server cung cấp tính Web site Giải pháp phổ biến Microsoft cho web site chạy IIS Windows Server IIS dịch vụ thông tin Internet Microsoft phát triển, sản phẩm đƣợc tích hợp với hệ điều hành Windows Phiên IIS 7.0 đƣợc chạy hệ điều hành Windows Server 2003, 2008 Phiên đƣợc Microsoft thiết kế lại dƣới dạng module, vừa kế thừa ƣu điểm phiên trƣớc,vừa tăng cƣờng tính bảo mật ổn định Những điểm đáng ý IIS 7.0 bao gồm: IIS 7.0 cung cấp công cụ quản trị, dƣới dạng đồ họa dƣới dạng dịng lệnh Những cơng cụ quản trị cho phép bạn: - Quản lý tập trung IIS ASP.NET; - Xem thơng tin, chẩn đốn, bao gồm thơng tin real-time; - Thay đổi quyền đối tƣợng site ứng dụng; - Ủy quyền cấu hình đối tƣợng site ứng dụng cho thành viên khơng có quyền quản trị; Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Hình 1.2 Phần mềm IIS7 Thay đổi cách thức lƣu trữ thơng tin cấu hình IIS 7.0 ASP.NET vào vị trí, từ cho phép: - Cấu hình IIS ASP.NET với định dạng thống - Dễ dàng chép file cấu hình nội dung site ứng dụng đến máy tính khác Dễ dàng chẩn đốn khắc phục cố nhờ vào thông tin real-time hệ thống file log mức độ chi tiết IIS 7.0 đƣợc thiết kế dƣới dạng module, cho phép bổ sung nhƣ loại bỏ thành phần từ Web Server cần Khả tƣơng thích cao ứng dụng triển khai phiên IIS trƣớc Khi triển khai IIS 7.0 chạy ứng dụng ASP ASP.NET 2.0 đƣợc xây dựng từ trƣớc mà không cần phải thay đổi mã nguồn Trong IIS bao gồm nhiều dịch vụ dịch vụ nhƣ: dịch vụ Web Server, dịch vụ FTP Server … Ở đề cập đến dịch vụ Web Server IIS Web Server Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn đáp ứng yêu cầu chủ yếu Web Server nhƣ: độ tin cậy, hiệu năng, khả theo dõi giám sát, tính bảo mật tính khả thi việc phát triển dịch vụ ứng dụng Tất cải tiến kết kết hợp chặt chẽ với tính đƣợc cung cấp hệ điều hành Windows Ngƣời dùng triển khai liên tục ứng dụng mạng lên Server với nội dung IIS hỗ trợ đầy đủ hệ thống ngơn ngữ lập trình nhƣ Visual Basic, Visual Basic Script, J scriptMT đƣợc phát triển Microsoft Java Conponent, ứng dụng CGI dành cho ngơn ngữ lập trình Web sở, ISAPI mở rộng lọc 1.1.2 Apache Web Server Apache Web Server đƣợc xem nhƣ nỗ lực lớn việc phát triển trì Web Server mã nguồn mở cho hệ điều hành, bao gồm Unix, Linux Windows Đây Web Server hội tụ tất tính năng: bảo mật, hiệu suất, mở rộng phát triển cung cấp dịch vụ Web đƣợc đồng chuẩn Web hành Các đặc điểm bật Apache: - Apache chạy kết hợp chế độ đa xử lý chế độ đa lệnh - Hỗ trợ nhiều giao thức: Apache đƣợc phát triển để phục vụ nhiều giao thức khác - Ngày hỗ trợ tốt cho hệ điều hành khác nhƣ: Linux, OS Windows - Ngày phát triển hoàn thiện API (Application Program Interface) - Hỗ trợ IPv6 - Hỗ trợ nhiều modul dùng để lọc dòng liệu đến từ server Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn Hình 1.3 Phần mềm apache - Hỗ trợ nhiều ngôn ngữ hiển thị thông báo lỗi Ngày đơn giản dễ dàng thiết lập tham số cho Web Server qua file cấu hình 1.2 Mợt sớ phƣơng thƣ́c tấn cơng web server 1.2.1 Authentication attacks Authentication đóng vai trị quan trọng việc đảm bảo tính an ninh web application Khi user cung cấp login name password để xác thực tài khoản mình, web application cấp quyền truy xuất cho user dựa vào login name mà user nhập vào đƣợc lƣu sở liệu HTTP có số phƣơng thức xác thực: - Basic - Digest - Form-based - NTLM Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn - Negotiate - Client-side - Microsoft Passport Kiểu công không dựa vào lỗ hổng an ninh hệ điều hành phần mềm server Nó phụ thuộc vào mức độ an ninh phức tạp password đƣợc lƣu trữ mức độ khó khăn attacker tiếp cận đƣợc server Khi thực cơng này, hacker vƣợt rào xác thực vào hệ thống với quyền truy xuất mà mong muốn Với quyền đăng nhập cao admin, hacker tồn quyền điều khiển hệ thống web bị công Giải pháp tốt cho vấn đề sử dụng vài hình thức “multifactor authentication” (chứng thực sử dụng nhiều yếu tố) Vấn đề sức mạnh tính tốn máy tính tăng Chúng có khả xử lý lƣợng lớn liệu khoảng thời gian ngắn Một “password” chuỗi ký tự (có bàn phím) mà ngƣời cần ghi nhớ cung cấp cho máy tính cần thiết (nhƣ để đăng nhập vào máy tính, truy cập tài nguyên mạng…) Thật không may, mật mà phức tạp để ghi nhớ ngƣời lại dễ dàng bị dị công cụ “pasword cracking” khoảng thời gian ngắn đến kinh ngạc Các kiểu công nhƣ “dictionary attack”, “brute fore attack” “hybrid attack” thƣờng đƣợc sử dụng để đốn bẻ khóa mật Phƣơng thức bảo vệ chống lại “threat” nhƣ tạo mật mạnh “strong password” (độ dài mật thƣờng từ ký tự trở lên, bao gồm chữ in thƣờng/in hoa, chữ số, ký tự đặc biệt) sử dụng thêm yếu tố khác (vân tay, smart card, võng mạc mắt,…) cho việc chứng thực Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 10 Nhƣng ngƣời ta nhớ đƣợc “strong password” (tất nhiên độ phức tạp “password” cần mức vừa phải) nhƣ dài từ 12 đến 16 ký tự, cịn vấn đề khác mà hệ thống chứng thực dựa vào “password” phải đối mặt 1.2.2 HTTP Response Splitting Lỗi HTTP Response Splitting công vào ứng dụng web diễn khơng thể xử lý thơng tin đầu vào ngƣời dùng nhập Kẻ công từ xa gửi yêu cầu HTTP đặc biệt làm cho máy chủ web định dạng yêu cầu nhầm tƣởng chứa u cầu HTTP khơng phải Chỉ yêu cầu thứ đƣợc xử lý ngƣời sử dụng HTTP Response Splitting cho phép tiến hành lƣợng lớn công kiểu nhƣ web cache positioning, deface, “cross-user defacement”, chặn ăn cắp thông tin ngƣời dùng Cross site Scripting 1.2.3 File Inclusion Attacks Khi trang web sử dụng lệnh include, require,… để gọi đến file khác, sơ ý để ngƣời dùng thay đổi file cần gọi đến Nhƣ Website đứng trƣớc nguy bị công File Inclusion Tùy vào mức độ bảo mật Server, hacker include đến file Server include đến file Server khác (remote include) Với mức độ hacker có nhiều cách để up shell Nếu server bảo mật kẻ cơng đọc đƣợc file tồn hệ thống, file Website khác máy chủ Lỗi dùng để cơng local kiểu công máy chủ, website qua site bị lỗi máy chủ Nếu có quyền ghi, tất file bị thay đổi: deface trang chủ, chèn mã độc để thu thập thông tin đăng nhập, ẩn dấu backdoor để lần sau vào tiếp,…Có thể lấy thơng tin truy nhập sở liệu Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 52 CHƢƠNG 3: CẤU HÌNH VÀ CÀI ĐẶT THỬ NGHIỆM Qua chƣơng 1, Luận văn trình bày hệ thống sở lý thuyết liên quan đến vấn đề bảo vệ cho Web Server Chƣơng Luận văn xin nghiên cứu cấu hình cài đặt mơ hình thử nghiệm Reverse Proxy phần mềm mã nguồn mở Nginx để xác thực bảo mật máy chủ Reverse Proxy để bảo vệ Web Server Đây chức quan trọng Reverse Proxy 3.1 Giới thiệu phần mềm NGINX Nginx máy chủ web mã nguồn mở miễn phí đƣợc viết Igor Sysoev, kỹ sƣ phần mềm Nga Kể từ mắt công chúng vào năm 2004, Nginx web server, Reverse Proxy e-mail proxy (IMAP/POP3) nhẹ, hiệu cao, sử dụng giấy phép mở Berkeley Software Distribution (BSD) Nginx chạy UNIX, Linux, dòng BSD, Mac OS X, Solaris Microsoft Windows Theo thống kê Netcraft, số triệu website lớn giới, có 6,52% sử dụng nginx Tại Nga, quê hƣơng nginx, có đến 46,9% sử dụng máy chủ Nginx đứng sau Apache IIS (của Microsoft) Các tính nhƣ cân tải, truy cập, nhớ đệm điều khiển băng thông, khả để tích hợp hiệu với loạt ứng dụng, giúp Nginx lựa chọn tốt cho nhà thiết kế hệ thống Web Server Trên thực tế, số lƣợng Web Server dùng Nginx để chạy Website ít, thay vào ngƣời ta sử dụng Apache Apache tỏ tốt Nginx việc phục vụ trang Web động (dynamic page) Nhƣng tính đa dụng nên Apache có nhiều thành phần “thừa” khiến cho Web Server trở nên chậm chạp Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 53 Hình 3.1 Sơ đồ kiến trúc Nginx Giải pháp đƣa sử dụng Nginx để làm Reverse proxy Nginx chạy phía trƣớc (front-end) phục vụ port 80, 443 IIS, Apache chạy phía sau (back-end) lắng nghe port 8080 Nginx cung cấp gần nhƣ tất chức máy chủ web Apache nhƣ: - Xử lý tập tin tĩnh - Reverse proxy - Cân tải - Hỗ trợ SSL - FastCGI - Máy chủ ảo - FLV streaming - MP4 trực tuyến - Xác thực truy cập trang Web - Viết lại URL - Tùy chỉnh Logging Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 54 - SSI - WebDAV Ƣu điểm Nginx Quản lý tập tin tĩnh, tập tin mục; Hỗ trợ FastCGI với cân tải khả chịu lỗi; Trong lọc bao gồm gzip, phạm vi byte, phản ứng chunked ,bộ lọc SSI FastCGI chạy song song; Nginx đƣợc sử dụng có hiệu nhƣ Web Server hiệu suất cao, chẳng hạn nhƣ HTTP reverse proxy để quản lý cho ứng dụng Ruby on Rails, PHP kịch Perl để chạy Nginx chứng minh IMAP/POP3 proxy hiệu SMTP add-on mô-đun nhƣ HTTP streaming Flash Module, Module limit_zone HTTP, HTTP GEO Mô-đun 3.2 Mơ hình thử nghiệm Theo mơ hình cần sử dụng: - Một máy chủ làm Reverse Proxy phần mềm Nginx Máy chủ mày có card mạng Một card mạng có địa là: 10.0.0.2 để kết nối với Web Server Card mạng cịn lại có địa mạng để kết nối với internet: 192.168.1.6 - Máy làm Web Server có địa là: 10.0.0.1 - Các máy Client có địa kết nối internet dải địa máy Reverse Proxy: 192.168.1.x Khi Client kết nối với máy Web Server thông qua Reverse Proxy Web Server phải đƣợc bảo vệ, khơng bị công từ Client Tất kết nối tới Web Server qua Reverse Proxy Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 55 Hình 3.2 Sơ đồ cấu hình Reverse Proxy Nginx Client kết nối với Reverse Proxy thông qua giao thức HTTPS ngƣợc lại Reverse proxy kết nối với Client giao thức HTTPS Máy Web Server kết nối với Reverse Proxy giao thức HTTP ngƣợc lại 3.3 Cấu hình reverse proxy phần mềm NGINX 3.3.1 Yêu cầu - máy chủ Ubuntu Cent os sử dụng với vai trò Reverse Proxy chạy Nginx - máy chủ web chạy IIS, Apache - Các Client truy cập vào Web Server thông qua Reverse Proxy đƣợc cài đặt Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 56 3.3.2 Các bước thực 3.3.2.1.Tạo trang Web phần mềm IIS - Đầu tiên ta tạo thƣ mục để chứa trang web - Vào “Server Manager” chọn “Roles” - “Web Server (IIS)” “Internet Information Server” - Phía bảng “Connections” , chọn “sites” - “Add Web Site” Hình 3.3 Giao diện add website - Điền thông tin cần thiết trang web (tên, đƣờng dẫn, v.v ) Hình 3.4 Giao diện điền thơng tin tạo website Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 57 - Khi chọn ok xuất thơng báo “binding *:80 đƣợc đăng kí site khác…” - Kiểm tra trang Web vừa tạo hoạt động, ta vào browser gõ http://localhost 3.3.2.2 Cài đặt cấu hình Reserve Proxy Có hai cách cấu hình nginx, cài đặt sources cài đặt tự động Cài từ sources Cài đặt thƣ viện: yum install zlib-devel wget openssl-devel pcre pcre-devel sudo gcc make autoconf automake Download: cd /opt/ wget http://nginx.org/download/nginx-1.0.0.tar.gz tar - zxvf nginx-1.0.0.tar.gz cd /opt/nginx-1.0.0/ Configure: /configure prefix=/opt/nginx user=nginx -group=nginx-with-http_ssl_module Make: make make install Tạo user Nginx useradd -M -r shell /sbin/nologin home-dir /opt/nginx Cho phép chạy tự động khởi động: wget -O init-rpm.sh http://library.linode.com/assets/662init-rpm.sh mv init-rpm.sh /etc/rc.d/init.d/nginx chmod +x /etc/rc.d/init.d/nginx chkconfig add nginx Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 58 chkconfig level 2345 nginx on Chạy: /etc/init.d/nginx start Cài đặt tự động sudo apt-get install nginx sudo /etc/init.d/nginx start Sau cài đặt Nginx hệ thống tự động khởi động chƣơng trình vào lần khởi động sau Hình 3.5 Giao diện cài đặt Nginx 3.3.2.3 Cấu hình với SSL Tạo khóa sudo mkdir /srv/ssl sudo cd/srv/ssl sudo openssl req out/srv/ssl/nginx.pem -new -eyout -x509 -days 365 /srv/ssl/nginx.key -nodes -newkey rsa:2048 Số hóa Trung tâm Học liệu – Đại học Thái Nguyên - http://www.lrc-tnu.edu.vn 59 Hình 3.6 Giao diện cấu hình SSL 3.3.2.4 Cấu hình reverse roxy Vào thƣ mục /etc/nginx/sites-enabled tạo file với nội dung Hình 3.7 Giao diện cấu hình Reverse Proxy - Quá trình cấu hình Revers Proxy gồm phần Cấu hình HTTPS với giao thức SSL theo hình theo cổng 443; sử dụng với khóa đă đƣợc tạo mục Cấu hình Proxy hƣớng tới trang web mong muốn https://10.0.0.1/ns Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 60 3.4 Kết thực Đối với mạng back-end nhƣ mơ hình thiết kế web server có địa chỉ: 10.0.0.1 cịn địa reverse proxy là: 10.0.0.2 Đối với mạng front-end nhƣ mơ hình thiết kế reverse proxy có địa chỉ: 1192.168.1.6 địa client là: 192.168.1.x Truy cập trang web server giao thức https://192.168.1.6 Hình 3.8 Giao diện truy cập Web Server HTTPS Kiểm tra chứng thƣ cài đặt SSL cách vào khóa Hình 3.9 Giao diện kiểm tra SSL Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 61 Cửa sổ paga info https://192.168.1.6 nhấn vào tab view certificate, ấn tab Genenal chứa thông tin: Issued To, Issued By, Validity, fingerprints nhƣ hình dƣới Hình 3.10 Giao diện View Certificate Thực tiếp chuyển sang tab Details chứa thơng tin Certificate Hierarchy, Certificate Fields, Field Value Hình 3.11 Giao diện thơng tin Certificate Fields Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 62 Tại mục Certificate Fields chứa đựng nhiều thông tin nhƣ: Version, Serial Number, Certificate Signature Algorithm, Validity, Subbject, Subject Public Key Info, Extensions Chọn mục Subject Public Key Algorithm, thơng tin sử dụng thuật tốn mã hóa cơng khai RSA nhƣ hình Hình 3.12 Giao diện thơng tin mã hóa RSA Chọn Subject's Public Key chứa khóa cơng khai Hình 3.13 Giao diện khóa cơng khai Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 63 Tại mục Certificate Signature Value hiển thị thơng tin Giấy chứng nhận chữ ký Hình 3.14 Giao diện Certificate Signature Value Trên kết đạt đƣợc sau cấu hình cài đặt Reverse Proxy sử dụng phần mềm mã nguồn mở NGINX để bảo vệ Web Server Tại máy chủ Reverse Proxy xác thực Client kết nối Web Server Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 64 KẾT LUẬN Từ thực tiễn cho thấy ứng dụng mạng ngày đƣợc phát triển, đặc biệt ứng dụng lĩnh vực thƣơng mại, ngân hàng, tài chính, hàng khơng, Việc phát triển loại ứng dụng ngồi việc đảm bảo chất lƣợng dịch vụ cịn phải đảm bảo tính mật thơng tin mơi trƣờng truyền thơng Trong đó, việc bảo vệ Web Server đƣợc quan tâm phát triển nhà phát triển ứng dụng ngày Luận văn: “ Giải pháp bảo vệ Web Serer dự Reverse Proxy” đƣợc thực với mục đích nghiên cứu đƣa phƣơng pháp cho vấn đề an ninh mạng nói chung bảo vệ thơng tin đƣờng truyền nói riêng đạt đƣợc số kết sau: Giới thiệu tổng quát khái niệm nhƣ Web Server, cách thức cơng vào Web Server biện pháp phịng chống Tìm hiểu cấu trúc, nguyên tắc hoạt động giao thức SSL, HTTPS, Reverse Proxy xây dựng hệ thống bảo vệ Web Server Cấu hình cài đặt mơ hình thử nghiệm Reverse Proxy phần mềm mã nguồn mở NGINX đƣa kết Ngày nay, lĩnh vực an ninh an toàn liệu ngày đƣợc nhiều nhà khoa học quan tâm kết mà đạt đƣợc Trong phạm vi giới hạn đề tài lực hạn chế tác giả nên kết luận văn khiêm tốn Tác giả mong đƣợc góp ý, bảo thầy giáo đồng nghiệp! Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 65 TÀI LIỆU THAM KHẢO Tiếng Việt Phan Văn Thiều, Phạm Thu Hằng (2009), Mật mã từ cổ điển đến lượng tử, NXB Trẻ Tiếng Anh A Freier,P Karlton, P Kocher (2011), The Secure Sockets Layer (SSL) Protocol Version 3.0, IETF RFC 6101, http://www.rfc-editor.org/rfc/rfc6101.txt Aung Win Myat (2012), Reverse proxy A simple way to preventing common web-based attacks, Software Architect Leo Tech Services Pte, Ltdaung.myat@leotech.com.sg http://www.scribd.com/doc/104522085/Reverse-Proxy Center for Internet Security (2010), Security Configuration Benchmark for Apache HTTP Server 2.2, version 3.0, http://cisecurity org Center for Internet Security (2011), Security Configuration Benchmark for Microsoft IIS 7.0 , version 1.1, http://cisecurity.org Clément Nedelcu (2010), Nginx HTTP Server, Publisher: Packt Publishing C.McNab (2007), Network Security Assessment 2nd Edition, Publisher: O'Reilly Dipankar Sarkar (2011), Nginx Web Server Implementation, Publisher Packt Publishing E Rescorla (2000), HTTP Over TLS, IETF RFC 2818, http://www.rfc-editor.org/rfc/rfc2818.txt 10 Ivan Ristic (2005), Apache Security, Publisher: O'Reilly 11 Oracle White Paper (2010), Using Oracle iPlanet Web Server as a Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 66 Reverse Proxy for Improved Security, http://www.oracle.com/us/products/middleware/applicationserver/063558.pdf 12 Peter Sommerlad (2003), Reverse Proxy Patterns, SYNLOGIC AG, Zurich, http://hillside.net/europlop/europlop2003/papers/WorkshopC/ C6_SommerladP.pdf 13 Pravir Chandra, Matt Messier, John Viega (2002), Network Security with OpenSSL, Publisher: O'Reilly 14 R Fielding, J Gettys, J Mogul, H Frystyk, L Masinter, P Leach, T Berners-Lee (1999), Hypertext Transfer Protocol HTTP/1.1, IETF RFC 2616 http://www.rfc-editor.org/rfc/rfc2616.txt 15 Stephen A.Thomas (2000), SSL and TLS Essentials, Publisher: Wiley Số hóa Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn ... chính, an ninh… Để bảo vệ Web Server không bị hacker công vấn đề có tính cấp bách, có nhiều biện pháp bảo vệ Web Chƣơng luận văn trình bày Giải pháp bảo vệ Web Server dựa Reverse Proxy 2.1 Giao thức... lửa bảo vệ ngồi tới Web Server Trong mơ hình mạng có khu (DNZ) chứa Reverse Proxy khu vực Server an tồn bao gồm Web Server 2.3.2.1 Mơ hình Reverse Proxy Để giải vấn đề ta sử dụng giải pháp bảo vệ. .. thống Xuất phát từ nhu cầu trên, học viên định lựa chọn đề tài “Nghiên cứu giải pháp bảo vệ Web Server dựa Reverse Proxy? ?? mong muốn nghiên cứu, đánh giá khả bảo vệ Web Server lựa chọn ứng dụng