Đang tải... (xem toàn văn)
Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó. Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo các website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hay phần mềm chứa mã nguy hiểm.Các nhà quản trị luôn phải đau đầu, lo lắng tìm các phương pháp để bảo vệ máy chủ web và an toàn thông tin cho toàn bộ hệ thống
Bảo Mật Web Server Thực : Bùi Vân Nam Giáo viên hướng dẫn : Vũ Quý Hòa NỘI DUNG TRÌNH BÀY Web server Giao thức SSL Tệp tin htaccess Một số phương thức tấn công web server Các giải pháp cần thiết bảo mật web server Kết Luận Web Server Máy chủ có dung lượng lớn, tốc độ cao dùng để lưu trữ thông tin ngân hàng liệu, chứa website thông tin liên quan khác Có địa IP tên miền Khi máy tính bạn kết nối đến Web Server gửi đến yêu cầu truy cập thông tin từ trang Web đó, Web Server Software nhận yêu cầu gửi lại cho bạn thông tin mà bạn mong muốn Client mở trình duyệt kết nối đến WebServer yêu cầu trang Server gửi trả trang theo yêu cầu client Web Server Phân loại Web Server Apache Web Server Web Server IIS Web Server Giao thức SSL SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn SSL kết hợp yếu tố sau để thiết lập giao dịch an toàn: Xác thực: Đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng Mã hoá: Đảm bảo thông tin bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thông tin “nhạy cảm” truyền qua Internet, liệu phải mã hoá để bị đọc người khác người gửi người nhận Toàn vẹn liệu: Đảm bảo thông tin không bị sai lệch phải thể xác thông tin gốc gửi đến Giao thức SSL Cấu trúc SSL giao thức SSL Tệp tin htaccess htaccess tệp tin cấu hình đặc biệt, có dấu chấm "." đằng trước tên tập tin, cho phép bạn thay đổi cách hoạt động máy chủ Apache cấp thư mục Công dụng: phổ biến redirect, đặt pass cho cấp thư mục, bảo vệ ngăn không cho ăn cắp tài nguyên, block IP v v.Tuy nhiên nhất, tập tin htaccess làm ẩn cấu trúc thư mục (khi file index), tránh tình trạng săm soi cấu trúc site nhằm bảo mật htaccess có tác dụng tập tin ngang hàng (trong thư mục với nó) thư mục Với thư mục có tác dụng thư mục chứa [separator]thư mục vô tác dụng với thư mục mẹ (parent directory) Một số phương thức tấn công web server A SQL injection SQL ? Là kiểu công mà hacker “tiêm” câu truy vấn SQL ( Structured Query Language ) độc hại vào website Hậu công SQL injecton khiến cho CSDL website thay đổi, bị xóa bị đánh cắp Nguy hiểm lợi dụng lỗ hổng mà hacker chiếm quyền kiểm soát toàn máy chủ Một truy vấn thông thường tới website Hệ thống tồn lỗ hổng SQL Injection Hệ thống không tồn lỗ hổng SQL Injection Phòng chống SQL injection • Ta cần thực việc cấu hình phân quyền chặt chẽ tài khoản • Cần loại bỏ bảng, thành phần tài khoản không cần thiết hệ thống • Tắt tất thông báo lỗi không cần thiết web server • Cần bật chế độ ghi log đầy đủ • Cần thường xuyên theo dõi cập nhật phiên cho web server B Local attacking Phòng chống • safe mode: off -> on • Disable functions: system, exec, shell_exec, passthru, pcntl_exec, putenv, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, set_time_limit, ini_alter, virtual, openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, parse_ini_file, show_source Mod security • Zend Code :IonCube;phpcipher • Antivirus program C.Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ loại hình công nhằm ngăn chặn người dùng hợp lệ sử dụng dịch vụ Có năm kiểu công sau đây: Nhằm tiêu tốn tài nguyên tính toán băng thông, dung lượng đĩa cứng thời gian xử lý Phá vỡ thông tin cấu thông tin định tuyến Phá vỡ trạng thái thông tin việc tự động reset lại phiên TCP Phá vỡ thành phần vật lý mạng máy tính Làm tắc nghẽn thông tin liên lạc có chủ đích người dùng nạn nhân dẫn đến việc liên lạc hai bên không thông suốt Biểu đồ công từ chối dịch vụ Phòng chống Phòng ngừa điểm yếu ứng dụng Phòng ngừa việc tuyển mộ zombie Ngăn ngừa kênh phát động công sử dụng công cụ Ngăn chặn công băng thông Ngăn chặn công qua syn Các giải pháp cần thiết bảo mật web server Sử dụng mod_security Cài đặt firewall Cập nhật phiên Secure Web Server (HTTPS) Web Server Backup (Sao lưu định kỳ) Không cài đặt mặc định Kết Luận Việc kiện toàn bảo mật cho web server liên quan đến nhiều thủ thuật nhiều mức độ khác Chúng ta phải xác định rõ chức cần thiết server sử dụng : Web server truy cập từ Internet trang web tĩnh (hay web động) phục vụ, server hỗ trợ tên miền cho chế dịch vụ ảo, trang web ấn định truy cập từ cụm IP addresses người dùng (khai báo bản), server tường trình trọn thỉnh cầu (bao gồm thông tin web browsers) THANK YOU! [...]... giải pháp cần thiết bảo mật web server Sử dụng mod_security Cài đặt firewall Cập nhật phiên bản mới Secure Web Server (HTTPS) Web Server Backup (Sao lưu định kỳ) Không cài đặt mặc định Kết Luận Việc kiện toàn bảo mật cho một web server liên quan đến nhiều thủ thuật ở nhiều mức độ khác nhau Chúng ta phải xác định rõ chức năng cần thiết nào của server sẽ được sử dụng như : Web server có thể truy cập... dụng như : Web server có thể truy cập từ Internet và chỉ những trang web tĩnh (hay web động) sẽ được phục vụ, server hỗ trợ tên miền cho cơ chế dịch vụ ảo, các trang web đã ấn định chỉ có thể truy cập từ các cụm IP addresses hoặc người dùng (khai báo căn bản), server sẽ tường trình trọn bộ các thỉnh cầu (bao gồm những thông tin về các web browsers) THANK YOU! ... Code :IonCube;phpcipher • Antivirus program C.Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn những người dùng hợp lệ được sử dụng một dịch vụ nào đó Có năm kiểu tấn công cơ bản sau đây: Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian xử lý Phá vỡ các thông tin cấu hình như thông tin định tuyến Phá vỡ các trạng