Bảo vệ máy chủ an toàn
với phần mềm tự do
0.0 Giới thiệu
Khi thiết kế một hệ thống phòng thủ, chúng ta phải thiết kế sao
cho hệ thống đó có cấu trúc tương tự như...củ hành tây. K tấn
công lột một lớp vỏ bên ngoài, s còn rất nhiều lớp vỏ bên trong
bảo vệ cho phần lõi của củ hành, đây chính là khái niệm phòng
thủ có chiều sâu, một trong những khái niệm quan trọng nhất khi
thảo luận về bảo mật mạng máy tính. Phòng thủ có chiều sâu giúp
chúng ta bảo vệ hệ thống mạng của mình bất chấp một hoặc nhiều
*lp* bảo vệ bên ngoài bị xâm hại. Một hệ thống phòng thủ chỉ an
toàn khi nào càng đi sâu vào bên trong, kẻ tấn công càng gp phải
nhiều khó khăn, tốn nhiều công sức và dễ bị phát hiện hơn. Một
chi tiết cần phải lưu ý là không có bất kì lớp bảo vệ nào đủ sức
chống lại mọi loại tấn công, sức mạnh của hệ thống phòng thủ là
sự kết hợp sức mạnh của từng lớp bảo vệ, mỗi lớp thực thi nhiệm
vụ của riêng mình, nghĩa là ngăn cản và phòng ngừa một loại tấn
công cụ thể nhất định.
Có ba yếu tố tạo thành một hệ thống phòng thủ có chiều sâu:
network perimeter, internal network, và nhân tố con người. Do
loạt bài này là *ăn theo* loạt bài "Kí sự các vụ DDoS vào HVA* -
1- vì vậy tôi chỉ trình bày v network perimeter, về hai yếu tố còn
lại, nếu có cơ hội thì tôi sẽ trình bàyở phần mở rộng của loạt
bài này.
0.1 Network perimeter
Perimeter, dịch ra tiếng Việt có nghĩa là "vành đai", tuy nhiên từ
perimeter dùng ở đây có nghĩa khác khái niệm "vành đai" một tí,
bởi perimeter của một network có những thiết bị nằm ở *vòng
ngoài* và cũng có những thiết bị nằm ở *vòng trong* của network
đó. Các thiết bị này bao gồm:
- Static packet filter
- Stateful firewall
- Proxy firewall
- IDS
- VPN device
Trong trường hợp này, chúng ta cũng không tìm hiểu hết các thiết
bị này, mà chỉ gói gọn trong 3 thiết bị là static packet filter,
stateful firewall và IDS.
Static packet filter, thường là các router, là thiết bị đầu tiên trong
bộ perimeter mà tất cả các luồng traffic đi vào hệ thống của chúng
ta phải đi qua và cũng là thiết bị sau cùng trong bộ perimeter mà
tất cả các traffic xuất phát từ hệ thống của chúng ta phải đi qua.
Các static packet filter chỉ có thể lọc các packet dựa vào các thông
tin cơ bản như địa chỉ IP, port number và protocol -2-. Chúng có
thể là router (Cisco router vi standard access list từ 1-99) hoặc
firewall (IPchains). Do chỉ lọc các packet dựa vào các thông tin cơ
bạn nên static packet filter làm vic rất nhanh, nhanh hơn rất nhiều
so với các loại stateful firewall. Static packet filter đặc biệt hữu
dụng trong trường hợp bồ đang bị tấn công hoặc firewall của bồ
đang phải chịu tải quá nhiu. Ví dụ như bồ phát hiện ra có một kẻ
từ địa chỉ IP 100.100.100.100 đang cố gắng login vào máy ch
của bồ ở cổng 22 (SSH), với IPchains, bồ có thể dễ dàng chặn
đứng đợt tấn công này vi lệnh sau đây:
CODE
ipchains -A input -i eth0 -p tcp -s 100.100.100.100/32 -d
192.168.1.1/32 22 -l -j DENY
Do loạt bài viết này không tập trung vào ipchains nói riêng và
static packet filter nói chung do đó tôi sẽ không giải thích câu lệnh
trên có nghĩa là gì, bồ nào muốn tìm hiu thì xin lên Internet tìm