(nondefault ports) ( ví dụ: 85 cho HTTP và 885 cho SSL),thì địa chỉ URL sẽđược thay đổi như
sau theo các mục ánh xạđịa chỉ URL như sau: http://SERVER1 --> http://www.msfirewall.org:85 http://SERVER1:80 --> http://www.msfirewall.org:85 https://SERVER1 --> https://www.msfirewall.org:885 https://SERVER1:443 --> https://www.msfirewall.org:885
V.6.3 Phát Hiện Và Ngăn Ngừa Tấn Công.
- Một số phương thức tấn công thông dụng:
Denial-of-Service Attacks: Là kiểu tấn công rất lợi hại, với kiểu tấn công này ,bạn chỉ cần 1 máy tính kết nối đến internet là đã có thể thực hiện việc tấn công đối phương. thực chất của DoS là attacker sẽ
chiếm dụng 1 lượng lớn tài nguyên trên Server làm cho Server không thể nào đáp ứng yêu cầu của người dùng khác và Server có thể nhanh chóng bị ngừng hoạt động hay bị treo. Attacker làm tràn ngập hệ thống có thể là bằng tin nhắn, tiến trình, hay gửi những yêu cầu đến hệ thống mạng từ đó buộc hệ thống mạng sẽ sử dụng tất cả thời gian để khứ hồi tin nhắn và yêu cầu. nhiều lúc dẫn đến việc bị tràn bộ nhớ. Khi sự làm tràn ngập dữ liệu là cách đơn giản và thông thường nhất để phủ nhận dịch vụ thì 1 attacker không ngoan hơn sẽ có thể tắt dịch vụ, định hướng lại và thay thế theo chiều hướng có lợi cho attacker.
SYN Attack/LAND Attack: bằng cách lợi dụng cơ chế bắt tay đối với một số dịch vụ dựa trên chuẩn giao thức TCP, Client tấn công theo kiểu SYN attack bằng cách gởi một loạt SYN packets mà có địa chỉ nguồn giả, điều này Client có thể làm tràn ngập (flooded) hàng đợi ACK của gói SYN/ACK gởi cho Client từ Server, đến một lúc nào đó Server sẽ bị quá tải.
Ngoài ra còn có một số phương thức tấn công khác như: Ping of Death, Teardrop, Ping Flood
(ICMP Flood), SMURF Attack, UDP Bomb, UDP Snork Attack, WinNuke (Windows Out-of-Band
Attack), Mail Bomb Attack, Scanning and Spoofing, Port Scan.
Để cho phép ISA Firewall có thể dectect và ngăn một số phương thức tấn công trên ta truy xuất vào hộp thoại Intrusion Detection bằng cách mở giao diện “Microsoft Internet Security and
Acceleration Server 2004 management console”, chọn nút Configuration. Chọn nút General, sau
đó ta nhấp chuột vào liên kết “Enable Intrusion Detection and DNS Attack Detection” (tham khảo hình 5.33)
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
635 Hình 5.33: Phát hiện một số cơ chế tấn công. Hình 5.33: Phát hiện một số cơ chế tấn công.
Chọn DNS Attacks Tab để hiệu chỉnh một số phương thức ngăn, ngừa tấn công theo dịch vụDNS
(tham khảo hình 5.34 ).
Hình 5.34: Phát hiện và ngăn tấn công DNS.
- IP option filtering.
Ta có thể thiết lập một số bộ lọc cho giao thức IP để chống lại một số cơ chế tấn công dựa vào một số
tùy chọn của giao thức này. Để cấu hình ta chọn liên kết Define IP preferences trong nút
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
636 Hình 5.35: IP option filtering. Hình 5.35: IP option filtering.
V.7. Một số công cụ bảo mật.
V.7.1 Download Security.
DownloadSecurity là một công cụ tích hợp với ISA được tổ chức GFI Software LtdGFI phát triển.
DownloadSecurity được thiết kếđể tăng cường khả năng kiểm soát và quản lý thông tin download từ
Internet. Một số chức năng về DownloadSecurity:
- Scan viruses cho tất cả các tập tin được download từ internet.
- Tựđộng cập nhật Anti-virus signature.
- Tựđộng kiểm tra một số loại file nguy hiểm như *.exe, *.doc,… - Cung cấp cơ chế cảnh báo an ninh cho người quản trị.
- Được tích hợp với ISA Firewall, dễ quản lý và cấu hình.
- Tính hiệu quả cao trong việc thực hiện một số chức năng như lọc nội dung, chống virus, kiểm soát truy xuất internet.
- Cung cấp cơ chế cảnh báo user hoặc trình duyệt chặn một số ActiveX Control và Java applet
nguy hiểm.
- Phân tích các đoạn code thực thi nguy hiểm để chống Trojans. - Cấu hình ISA Web Filtering.
Mặc định sau khi ta cài phần mềm DownloadSecurity, DownloadSecurity sẽ tựđộng được kích hoạt
để hỗ trợ thiết lập bộ lọc Web Filters. Để hiệu chỉnh bộ lọc ta chọn Configuration | Add-ins | Web
Filters | GFI DownloadSecurity Filter | Configuration Tab (tham khảo Hình 5.36).
- Do not scan these URLs: Chỉđịnh danh sách địa chỉ URL không cần kiểm tra nội dung và virus.
- Scan these Content types: Chỉ định loại nội dung cần kiểm tra bao gồm các đoạn code có thể
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
637 Hình 5.36: Download security Web Filter. Hình 5.36: Download security Web Filter.
Thiết lập một số chính sách kiểm tra download.
Thiết lập chính sách kiểm tra download để giới hạn hoặc cô lập loại file, dung lượng file download,…
để thay đổi luật download mặc định trong hệ thống bằng cách chọn Start | Programs | GFI
DownloadSecurity | DownloadSecurity Configuration | Download Checking, Nhấp đôi chuột vào
rule có tên “Default Attachment Download Checking Rule” (tham khảo hình 5.37)
- General Tab: Cho phép lựa chọn một số chếđộ cấm download, cấm download các tập tin có
dung lượng lớn hơn dung lượng định nghĩa.
- Actions Tab: Hiệu chỉnh các Action khi cấm như thông báo Mail, quản lý thông báo qua mail, ghi
nhận nhật ký,…
- Users/Folders Tab: Chọn User hoặc thư mục cần thiết để thiết lập luật.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
638 Cấu hình kiểm tra Virus, chống Trojans.