[Question] [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
02/06/2008 22:23:59 (+0700) | #1 | 133812 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Một người bạn bảo tôi "Công ty tớ vừa trang bị một loạt stateful firewall, tốn mấy trăm nghìn đô la. Phen này tớ ăn ngon ngủ kỹ. Không phải lo bị tấn công nữa".
Thử dùng các yếu tố kỹ thuật và logic để phân tích xem câu nói trên:
- Đúng hoặc sai?
- Vừa đúng, vừa sai?
- Nếu đúng, tại sao đúng?
- Nếu sai, tại sao sai?
Mời các bạn thảo luận. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
02/06/2008 23:07:26 (+0700) | #2 | 133818 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
Chào anh conmale và mọi người em mở hàng trước hén !
Trang bị một loạt stateful firewall đồng nghĩa với việc ta có đươc công cụ hổ trợ tốt . Nhưng công cụ không thì không đủ , một phần quan trọng nữa là những chính sách đươc triển khai trên công cụ đó .Những chính sách đó cụ thể như :Thông tin đến từ đâu đến? Nó sẽ được lưu trữ ở đâu? Trong môi trường nào? Ai có quyền sử dụng nó? Nó có giá trị như thế nào? Cần phải bảo vệ nó chống lại ai? .v.v
|
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
02/06/2008 23:28:58 (+0700) | #3 | 133824 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
Cám ơn anh conmale đã gợi mở một đề tài thảo luận khá thú vị.
Em cũng xin phép thảo luận cùng anh em cho vui.
- Một công ty vừa trang bị một loạt stateful firewall, nghĩa là trong hệ thống mạng này có được hoạch định và các stateful firewall sẽ được đặt có chủ ý ở mỗi vùng trong hệ thống mạng công ty này.
Hiện nay, người ta thường triển khai một hệ thống mạng gồm 3 "lớp"
- Lớp thứ 1 là lớp tiếp xúc với người dùng hay còn gọi là lớp Access
- Lớp thứ 2 là lớp đứng giữa người dùng và các thiết bị nhân ( core ) của hệ thống, hay còn gọi là lớp Distribution
- Cuối cùng là lớp tập hợp các thiết bị nhân của hệ thống, hay còn gọi là lớp Core nhằm phục vụ tối đa cho quá trình truy xuất dữ liệu.
Với 1 câu nói trên thì chưa đủ thông tin để kết luận mô hình mạng đó như thế nào? Nhưng theo như em phỏng đoán
Hàng Loạt stateful firewall ở đây được đặt ở 2 vị trí.
1. Distribution Layer, tại đây một statefull firewall sẽ inspection hàng loạt các packet in/out giữa người dùng và các thiết bị, máy chủ trong vùng Core.
2. Giữa LAN và Internet, tại đây stateful firewall sẽ kiểm soát luông thông tin ra vào giữa LAN ---> Internet và ngược lại.
Và đã nhắc đến tính năng Stateful trong firewall là không thể không nhắc đến việc kiểm soát một cách khả chú động việc thay đổi port dịch vụ một cách " bất thường " mà không thông qua quá trình 3-way-handshake.
Stateful firewall trải dài xuyên suốt trong 7 layer của mô hình OSI.
Và với từ " hàng loạt stateful firewall " trong câu gợi ý trên thì có lẽ firewall sẽ có tính chia tải và chịu lỗi, tránh tình trạng single point of failure.
Như vậy với các yếu tố trên, câu nói của anh chàng kia vừa đúng, vừa sai
Vì nếu 1 stateful firewall không được update các Sig thường xuyên thì vẫn bị dính chưởng như thường trước các tấn công và các đoạn mã thiên biến vạn hóa hiện tại.
Còn thêm vài nguyên nhân nữa.....
|
|
Hãy sống có Tuệ Giác. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
02/06/2008 23:38:09 (+0700) | #4 | 133825 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Hay lắm
vikjava đề cập đến chính sách (policy) một khía cạnh tối quan trọng cho bảo mật (và cụ thể cho firewall trong trường hợp này).
thangdiablo thì đi sâu vào cơ sở kiến tạo (architect) của firewall đối với 7 tầng của OSI.
Giả định rằng chàng kia "ăn no, ngủ yên" với mấy cái web servers (thu hẹp lại biên độ một tí để dễ thảo luận) thì mấy cái stateful firewall này có thật sự bảo vệ thông tin web một cách tuyệt đối hay không?
Nói thêm, nếu tấn công một website, attackers có thể có bao nhiêu attack vectors đặc thù? Và stateful firewall (có khả năng trải đến 7 tầng OSI) thì có thể eliminate những vectors nào?
Xin tiếp tục . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
02/06/2008 23:47:57 (+0700) | #5 | 133826 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
conmale wrote:
Giả định rằng chàng kia "ăn no, ngủ yên" với mấy cái web servers (thu hẹp lại biên độ một tí để dễ thảo luận) thì mấy cái stateful firewall này có thật sự bảo vệ thông tin web một cách tuyệt đối hay không?
Nói thêm, nếu tấn công một website, attackers có thể có bao nhiêu attack vectors đặc thù? Và stateful firewall (có khả năng trải đến 7 tầng OSI) thì có thể eliminate những vectors nào?
Xin tiếp tục .
Trước khi tiếp tục thảo luận có lẽ anh nên cung cấp thêm một số thông tin và phạm vi ảnh hưởng.
1. Webserver đó được đặt tại vị trí nào ? DMZ? Hay trong LAN? Nếu trong LAN thì đặt tại phân vùng mạng nào?
Policy được thiết lập thế nào giữa các vùng?
2. Nguy cơ bị tấn công đề cập trong trường hợp này xuất phát từ đâu?
Từ Internet? Từ trong mạng nội bộ? Hay cả 2 phía. |
|
Hãy sống có Tuệ Giác. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
02/06/2008 23:56:00 (+0700) | #6 | 133827 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
thangdiablo wrote:
conmale wrote:
Giả định rằng chàng kia "ăn no, ngủ yên" với mấy cái web servers (thu hẹp lại biên độ một tí để dễ thảo luận) thì mấy cái stateful firewall này có thật sự bảo vệ thông tin web một cách tuyệt đối hay không?
Nói thêm, nếu tấn công một website, attackers có thể có bao nhiêu attack vectors đặc thù? Và stateful firewall (có khả năng trải đến 7 tầng OSI) thì có thể eliminate những vectors nào?
Xin tiếp tục .
Trước khi tiếp tục thảo luận có lẽ anh nên cung cấp thêm một số thông tin và phạm vi ảnh hưởng.
1. Webserver đó được đặt tại vị trí nào ? DMZ? Hay trong LAN? Nếu trong LAN thì đặt tại phân vùng mạng nào?
Policy được thiết lập thế nào giữa các vùng?
2. Nguy cơ bị tấn công đề cập trong trường hợp này xuất phát từ đâu?
Từ Internet? Từ trong mạng nội bộ? Hay cả 2 phía.
1. Mọi trường hợp có thể (gợi ý: nếu một cty có tiền để chi vài trăm nghín cho FW, cty ấy không nhỏ và tất nhiên các hệ thống được nhóm FW ấy bảo vệ cũng không nhỏ - nên khai triển theo những trường hợp thường thấy cho doanh nghiệp).
2. Từ cả hai phía.
PS: những cuộc "vắt não" (brainstorming) thế này giúp thoát xác từ "thợ" bảo mật thành "thầy" bảo mật đấy em . Em nên đóng vai trò em là chuyên viên bảo mật đang tư vấn và hình thành một bản tường trình nghiêm túc về độ bảo mật của một công ty X nào đó. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
03/06/2008 00:03:22 (+0700) | #7 | 133828 |
|
eyesdog
Elite Member
|
0 |
|
|
Joined: 18/01/2002 06:54:01
Messages: 94
Offline
|
|
Trả lời vui:
- Đọc xong câu hỏi, chẳng hiểu bác conmale nói gì, vậy là lên google search xem "Stateful firewall " là cái gì mà kinh thế. Kết quả ra link này: "http://en.wikipedia.org/wiki/Stateful_firewall" có vẻ dễ hiểu chút, dù không chắc nó có đúng là cái bạn bác conmale đề cập đến không nữa. Mọi thứ tiếp theo sẽ căn cứ tạm theo cái định nghĩa này vậy.
"In computing, a stateful firewall (any firewall that performs stateful packet inspection (SPI) or stateful inspection) is a firewall that keeps track of the state of network connections (such as TCP streams, UDP communication) travelling across it. The firewall is programmed to distinguish legitimate packets for different types of connections. Only packets matching a known connection state will be allowed by the firewall; others will be rejected."
Tạm viết tắt Stateful firewall là SF.
Ngoài ra, "tấn công" thì chịu không thể tìm được một định nghĩa đủ đơn giản, bao quát, dễ hiểu và phản ánh chính xác cái việc "chống tấn công" của một ông quản trị mạng ...
Theo cái định nghĩa này, thì việc mua nó về trang bị cho công ty trước mắt sẽ là một "thảm họa" cho tụi tay ngang như tôi vì:
- Tôi phải tìm hiểu xem "state of network connections" của công ty là cái gì để cài vào cho thằng SF nó chạy (không thì cài nó lên nó cấm tiệt thì khổ !!!) Chắc đồ xịn thì việc cài vào không khó, và có thể nó sẽ có sẵn vài mô hình mẫu cho tôi học, thử trước khi áp dụng thật. Nhưng việc này sẽ có khối lượng rất lớn với các công ty mà chi nhánh nào cũng tưởng mình giỏi CNTT.
- Giả sử việc trên xong, chạy ngon lành. Sếp bắt được tôi ngủ gật (vì mệt do công đoạn trước và vì từ sau đó cũng ít việc hơn nhiều) trong giờ làm việc, quyết định hạ bậc lương, thế là từ đó tôi bị mắc bệnh khó ngủ trong giờ hành chính !!!
- Một hôm, tự nhiên sếp nói: "Tao thấy thằng công ty A nó có ứng dụng Web 3.25 gì đó hay lắm", tụi mày xem thế nào ?". Thế là mọi việc lại rối tung lên vì rất có thể các mô hình cũ phải thay đổi, lại cấu hình lại cái SF,...
- Nhưng rồi Web 3.25 cũng xong, nhưng sau đó các ứng dụng cứ nặc nè chạy, hiệu năng mạng giảm hẳn, nhưng lạy trời dù sao nó vẫn chạy...
... còn nhiều chuyện khác nữa xảy ra mà do công ty tôi chưa mua nên tôi chưa biết hết được...
Nhưng tôi biết chắc chắn, sếp sẽ không bao giờ cho tôi ăn ngon ngủ kỹ, và việc của tôi không chỉ là chống tấn công. |
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
03/06/2008 00:36:03 (+0700) | #8 | 133835 |
nbthanh
HVA Friend
|
Joined: 21/12/2001 14:51:51
Messages: 429
Offline
|
|
Đầu tiên là ngắm vào Application mà tấn công
- Application bị ảnh hưởng bởi "người" nhiều hơn là các tầng bên dưới.
- "Người" ở đây là 1 tập hợp, ít nhất là 1 vài developer (trong khi network admin có khi chỉ có 1). Mà các developer trong team, chưa nói tới ý thức về security, trình độ đã khác nhau rồi.
- Firewall thì cũng phải bó tay với nhiều cái "ngớ ngấn" của lập trình viên (ví dụ để memory leak, inf loop, query không tối ưu, form login mà ô password không để các ký tự *** khi nhập,...). |
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
03/06/2008 05:16:04 (+0700) | #9 | 133875 |
|
enn3exlibs
Elite Member
|
0 |
|
|
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
|
|
Theo mình nghĩ có 3 khả năng gây nguy hại dù dùng Stateful Firewall:
. Các mối đe dọa mới phát sinh(lỗi OS, protocols, web server, programming language)
. Tấn công từ bên trong
. Social engineering
Stateful Firewall luôn ở trong trình trạng "chiến đấu"
|
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
03/06/2008 07:55:44 (+0700) | #10 | 133894 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
"Công ty tớ vừa trang bị một loạt stateful firewall, tốn mấy trăm nghìn đô la. Phen này tớ ăn ngon ngủ kỹ. Không phải lo bị tấn công nữa".
Tôi sẽ hỏi lại, thế còn những tấn công nhằm vào cái firewall thì sao?
--m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
03/06/2008 10:51:40 (+0700) | #11 | 133916 |
|
Look2Me
Member
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
Bạn hỏi ổng Firewall có chống được tấn công Social engineering không? Có chặn được virus không?
Thiết lập 1 hệ thống an ninh sẽ gồm:
- Thiết bị an ninh.
- Chính sách an ninh.
- Nhận thức của người xử dụng. |
|
|
|
|
[Question] [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
03/06/2008 13:09:31 (+0700) | #12 | 133941 |
KiemKhach
Member
|
0 |
|
|
Joined: 12/02/2004 18:10:21
Messages: 24
Offline
|
|
conmale wrote:
Một người bạn bảo tôi "Công ty tớ vừa trang bị một loạt stateful firewall, tốn mấy trăm nghìn đô la. Phen này tớ ăn ngon ngủ kỹ. Không phải lo bị tấn công nữa".
Thử dùng các yếu tố kỹ thuật và logic để phân tích xem câu nói trên:
- Đúng hoặc sai?
- Vừa đúng, vừa sai?
- Nếu đúng, tại sao đúng?
- Nếu sai, tại sao sai?
Mời các bạn thảo luận.
Theo em thì câu nói trên có 1 phần đúng.
Trước tiên, chúng ta phải xác định vấn đề:
- Thứ nhất đối với một hệ thống thì các mối nguy hại có thể xảy ra do đâu?
+ Từ bên ngoài hệ thống?
+ Từ bên trong hệ thống và các mối nguy hại khác..
Thứ hai, trước đây các loại firewall được thiết kế thường có mục đích chính là filter rồi sau này phát triển thành các loại firewall bay giờ ( Stateful, UTM: tích hợp nhiều tính năng trong một). Đối với một Firewall, nó chỉ điều khiển traffic từ trong ra ngoài và từ ngoài vào trong, cho phép và không cho phép, nó không thể phát hiện các tấn công(tuy nhiên các loại firewall mới hiện nay đêu có thêm tính năng phòng chống tấn công).
Ví dụ như bắt buộc hệ thống phải cho phép các giao thức hợp lệ như SMTP, HTTP đi ra/vào, firewall nó chỉ kiểm tra xem trạng thái của gói tin đó là hợp lệ hay không hợp lê thì nó cho ra. Chính vì vậy mới có thêm khái niệm IPS.
- Firewall thường được đặt tại tại vành đai của hệ thống, sau đó thì được triển khai thêm các thiết bị IPS nhằm ngăn chặn các tấn công vào hệ thống hoặc một phân đoạn mạng có thể là DMZ hoặc bảo vệ vùng Datacenter.
- Thông thường thì một quy trình đánh giả rủi ro được chia làm 4 phần.
+ Assest : chính sách, đánh giá, xác định mức độ ưu tiên các tài nguyên trong hệ thống (FoundStone, .., )
+ Risk : xác định mức độ rủi ro đối với các tài nguyên trên (FoundStone, ..,)
+ Protection : Sau khi xác định được mức độ rủi ro đối với các tài nguyên trong hệ thống thì phải xây dựng biện pháp bảo vệ. (AV, HIPS .. )
+ Compliance : Kiểm tra sự tuân thủ của hệ thống sau khi đã áp dụng và thực thi các biện pháp bảo vệ.
( Về quy trình em nói tóm gọn vậy thôi nói ra thì dài dòng lắm :p )
|
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
03/06/2008 20:32:17 (+0700) | #13 | 133964 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
conmale wrote:
Giả định rằng chàng kia "ăn no, ngủ yên" với mấy cái web servers (thu hẹp lại biên độ một tí để dễ thảo luận) thì mấy cái stateful firewall này có thật sự bảo vệ thông tin web một cách tuyệt đối hay không?
Nói thêm, nếu tấn công một website, attackers có thể có bao nhiêu attack vectors đặc thù? Và stateful firewall (có khả năng trải đến 7 tầng OSI) thì có thể eliminate những vectors nào?
Xin tiếp tục .
Mong mọi người chỉ giáo những hướng anh conmale đưa ra . thân |
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
04/06/2008 00:41:04 (+0700) | #14 | 134001 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
Hồi trước chưa trang bị gì thì ko có cái gì để mà đọc. Giờ trang bị thêm mấy con firewall. Mỗi ngày nó phóng khoảng 10 cái reports, đọc mệt cả người, chưa kể là đọc xong thì phải xử lý. > Chuyện ăn ngon ngủ kỹ là sai .
|
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
04/06/2008 22:07:01 (+0700) | #15 | 134108 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Hay lắm. Có thêm vài điểm lý thú.
nbthanh nhận định rằng vector để tấn công là ở ngay application cho dù nó được stateful FW bảo vệ. Đây là vector thuộc dạng "open a can of worms" (một ngạn ngữ tiếng Anh chỉ cho hoàn cảnh khui cái gì đó là là tùm lum chuyện phức tạp).
enn3exlibs thì đề cập đến khía cạnh social engineering. Khoảng này thì quả thật không có stateful FW nào đỡ nổi .
mrro đưa ra một ý kiến hết sức lý thú (như thường lệ) đó là nếu chính stateful FW ấy bị dập thì sao?
Look2Me đề cập đến khía cạnh ảnh hưởng và tác động của virus + ý thức của người dùng.
KiemKhach thì đào sâu hơn vào các chi tiết chính sách và chiến lược trang bị cho stateful FW.
lQ thì phản biện ngay trọng điểm "ăn ngon ngủ kỹ" vì thêm FW là thêm logs để đọc và phân tích chớ không thể để mặc được.
Từ những luận điểm trên, đa số nghiêng về phía có trang bị stateful FW rồi cũng không thể nào mà "ăn ngon ngủ kỹ" được. Hãy thử dùng một đoạn pseudo rule cho stateful FW như sau để xét trên bình diện "state" trước tiên:
- FW sẽ block tất cả các traffic theo mặc định.
- Nếu packet hoàn toàn mới đi đến cổng 80 của IP x.x.x.x và có SYN flag thì tiếp nhận.
- Nếu packet đến cổng 80 của IP x.x.x.x không có SYN flag và đã hiện diện trong "state table" của FW thì tiếp nhận.
- Nếu packet đến cổng 80 của IP x.x.x.x hoàn toàn mới nhưng không có SYN flag thì từ chối.
- Nếu packet đến cổng 80 của IP x.x.x.x có SYN flag kèm theo FIN flag hoặc RST, hoặc URG, hoặc PSH... thì từ chối.
- Nếu packet đến cổng 80 của IP x.x.x.x có SYN flag hợp lệ nhưng xảy ra liên tục (10 SYN trong 1 phút chẳng hạn) thì từ chối.
- Nếu packet đến cổng 80 của IP x.x.x.x mà nó hoàn toàn chưa hiện diện trên "state table" thì từ chối.
Những ấn định trên mang tính "stateful" dùng để control packets đi vào. Nó dựa trên hai yếu tố quan trọng: 1) packets phải có flags set đúng theo tình trạng nó đi vào 2) packets phải được nhận và đưa vào "state table" để tiếp tục theo dõi.
Vậy các packets tuân thủ theo đúng tình trạng nó đi vào với các flags set trên TCP và có state hoàn toàn hợp lệ, chúng sẽ được đưa đến web service (cổng 80 của IP x.x.x.x). Giả sử, một request hoàn toàn hợp lệ nhưng chứa thông tin dùng để exploit server x.x.x.x như sau:
http://x.x.x.x/login.asp?name='%20or%20'1'='1&pw='%20or%20'1'='1
Trong trường hợp này, liệu "stateful FW" có khả năng thế nào để detect và ngăn chặn trước khi nó đi đến web server?
Mời các bạn bàn tiếp . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
05/06/2008 00:11:29 (+0700) | #16 | 134119 |
|
hung1910
HVA Friend
|
Joined: 06/09/2003 01:58:57
Messages: 123
Location: somewhere
Offline
|
|
câu đó đúng hoàn toàn về mặt tâm lý , hồi trước không có cái đó ăn không ngon ngủ không yên, bây giờ có cái đó tự nhiên ỷ lại, ăn ngon ngủ đã, ai tấn công mặc xác, đổ lỗi cho cái fw trăm ngàn mới mua hì |
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
05/06/2008 00:38:15 (+0700) | #17 | 134124 |
|
dabu
Elite Member
|
0 |
|
|
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
|
|
conmale wrote:
- FW sẽ block tất cả các traffic theo mặc định.
- Nếu packet đến cổng 80 của IP x.x.x.x có SYN flag hợp lệ nhưng xảy ra liên tục (10 SYN trong 1 phút chẳng hạn) thì từ chối.
Đọc câu này em suy nghĩ là không biết anh conmale có dụ ý gì hay không ?
Vì lẽ: Nếu trong 1 phút có 10 packet flag SYN đến từ 10 IP Public khác nhau thì sao? Mình cản nò àh?
Còn nếu 10 cú SYN trong một phút cùng một IP Public nhưng hầu hết người dùng duyệt thì cùng chung 1IP vì traffic phải đi ngang qua thiết bị NAT thì sao?
conmale wrote:
- Nếu packet đến cổng 80 của IP x.x.x.x có SYN flag kèm theo FIN flag hoặc RST, hoặc URG, hoặc PSH... thì từ chối
Nếu 1 packet có 2 cờ SYN và cờ FIN được set, nếu giả sử mình không có thiết bị stateful FW đứng trước thì Web Server [trong trường giả dụ] sẽ xử lý gói tin này thế nào?
|
|
It's time to build a new network. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
05/06/2008 00:59:23 (+0700) | #18 | 134133 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
dabu wrote:
conmale wrote:
- FW sẽ block tất cả các traffic theo mặc định.
- Nếu packet đến cổng 80 của IP x.x.x.x có SYN flag hợp lệ nhưng xảy ra liên tục (10 SYN trong 1 phút chẳng hạn) thì từ chối.
Đọc câu này em suy nghĩ là không biết anh conmale có dụ ý gì hay không ?
Vì lẽ: Nếu trong 1 phút có 10 packet flag SYN đến từ 10 IP Public khác nhau thì sao? Mình cản nò àh?
Còn nếu 10 cú SYN trong một phút cùng một IP Public nhưng hầu hết người dùng duyệt thì cùng chung 1IP vì traffic phải đi ngang qua thiết bị NAT thì sao?
Không dụ ý gì cả đâu. Anh chỉ đưa ra để bao luôn căn bản chống flood cho đầy đủ ý nghĩa "bảo vệ". Mình khoan hẵng bàn đến khía cạnh DDoS ở đây.
dabu wrote:
conmale wrote:
- Nếu packet đến cổng 80 của IP x.x.x.x có SYN flag kèm theo FIN flag hoặc RST, hoặc URG, hoặc PSH... thì từ chối
Nếu 1 packet có 2 cờ SYN và cờ FIN được set, nếu giả sử mình không có thiết bị stateful FW đứng trước thì Web Server [trong trường giả dụ] sẽ xử lý gói tin này thế nào?
Thì cái này tùy ứng dụng trên tcp stack của từng hệ điều hành mà có thái độ khác nhau. Nếu hệ điều hành nào đó có ứng dụng thoải mái thì nó sẽ bị SYN flood đến... chết . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
05/06/2008 01:05:12 (+0700) | #19 | 134136 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
conmale wrote:
Trong trường hợp này, liệu "stateful FW" có khả năng thế nào để detect và ngăn chặn trước khi nó đi đến web server?
Vậy phải coi cái khái niệm "stateful" này nó được mở rộng đến đâu, trong 7 tầng *địa ngục* OSI:
1. Nếu chỉ giới hạn đến tầng network/transportation thì câu trả lời là thua.
2. Nếu mở ra được đến application, hiểu được HTTP, thì cũng chưa chắc gì đã detect hoặc ngăn chặn được.
Có nguyên một bộ *evaluation criteria* dành riêng cho web application firewall, thử xem ở đây http://www.webappsec.org/projects/wafec/v1/wasc-wafec-v1.0.html sẽ thấy là có vô vàn thứ phải evaluate trước khi biết là anh firewall này có khả năng chống lại những loại attack mà anh conmale đề cập không. Và có khả năng là một chuyện, còn tay admin có tận dụng được khả năng này hay không, lại là một chuyện khác.
--m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
05/06/2008 01:07:57 (+0700) | #20 | 134138 |
|
enn3exlibs
Elite Member
|
0 |
|
|
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
|
|
dabu wrote:
conmale wrote:
- FW sẽ block tất cả các traffic theo mặc định.
- Nếu packet đến cổng 80 của IP x.x.x.x có SYN flag hợp lệ nhưng xảy ra liên tục (10 SYN trong 1 phút chẳng hạn) thì từ chối.
Đọc câu này em suy nghĩ là không biết anh conmale có dụ ý gì hay không ?
Vì lẽ: Nếu trong 1 phút có 10 packet flag SYN đến từ 10 IP Public khác nhau thì sao? Mình cản nò àh?
Còn nếu 10 cú SYN trong một phút cùng một IP Public nhưng hầu hết người dùng duyệt thì cùng chung 1IP vì traffic phải đi ngang qua thiết bị NAT thì sao?
Theo mình nghĩ, cái này để chống flood syn, không ảnh hưởng đến những người dùgn chung NAT vì nó tính đến tấn suất xuất hiện của SYN flag chứ không phải số lượng SYN flag.
dabu wrote:
conmale wrote:
- Nếu packet đến cổng 80 của IP x.x.x.x có SYN flag kèm theo FIN flag hoặc RST, hoặc URG, hoặc PSH... thì từ chối
Nếu 1 packet có 2 cờ SYN và cờ FIN được set, nếu giả sử mình không có thiết bị stateful FW đứng trước thì Web Server [trong trường giả dụ] sẽ xử lý gói tin này thế nào?
Web server đâu biết tcp packet?
|
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
05/06/2008 10:08:20 (+0700) | #21 | 134200 |
|
BachDuongTM
Member
|
0 |
|
|
Joined: 29/06/2006 17:39:39
Messages: 85
Offline
|
|
ăn no ngủ kỹ là điều không tưởng
Firewall là gì ? nó là bộ lọc , tức là chí ít vẫn có dữ liệu lưu chuyển qua nó <chứ nếu không rút dây mạng qua là xong> và về bản chất, hệ thống không kiểm soát nội dung dữ liệu được chấp nhận chảy qua. Và vì thế nó sẽ có thể được lợi dụng để phá hoại.
Hệ thống an toàn nhất là hệ thống khi không có điện .
Thông thường firewall chỉ chống ở tầng 3 và 7 vì hiếm ai chống tầng 1 cả do vậy chắc cũng không cần luộc kỹ 7 tầng . Có thể liệt kê một số lỗi khi triển khai firewall :
- lọc ngoài vào mà không lọc trong ra , cái ni là hay mắc
- lọc 1 tầng mà không lọc nhiều tầng . cái ni lại hay mắc #
- lọc với niềm tin rằng tin tặc chỉ sử dụng những cách vướng vào bộ lọc <tức là không đào sâu khoét kỹ ấy mà> đại khái lọc 1 lần rồi không đổi |
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
06/06/2008 08:26:05 (+0700) | #22 | 134327 |
|
MrMe
Elite Member
|
0 |
|
|
Joined: 08/07/2006 13:01:01
Messages: 150
Offline
|
|
conmale wrote:
http://x.x.x.x/login.asp?name='%20or%20'1'='1&pw='%20or%20'1'='1
Trong trường hợp này, liệu "stateful FW" có khả năng thế nào để detect và ngăn chặn trước khi nó đi đến web server?
Mời các bạn bàn tiếp .
Hầu hết stateful được dùng ở các router firewall ở vùng ngoài ở đây cần tốc độ và khả năng cản lọc các tầng dưới.
Theo như anh conmale nói nếu muốn cản lọc các gói tin hợp lệ mà mang exploite thì phải dùng đến các thiết bị mức ứng dụng như IDP, IDS, IPS hoặc cài đặt trên server mod sercu chẳng hạn.
Statefull không cản lọc các trafic loại này vì mất đi tính tốc độ.
Đây chỉ là ý kiến chủ quan của em. Mời mọi người tiếp tục. |
|
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
11/06/2008 03:34:54 (+0700) | #23 | 134957 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
Mấy hôm nay phòng server bên mình bị dính sét lan truyền nên lu bu quá không tham gia thảo luận cùng anh em được.
Đọc bài của các anh em thấy có rất nhiều điểm thú vị. Tất nhiên với giả thiết anh conmale đặt ra thì thiếu quá nhiều thông tin, tuy nhiên vì đề tài thảo luận mang hướng mở. Do đó mỗi người tự đặt ra 1 giả thiết cho riêng mình về để thảo luận xung quyanh nó.
Khi đọc tới bài của mrro, mình thấy rất thú vị vì suy nghĩ đánh trực tiếp vào firewall của mrro.
Thế nhưng, để đạt được mục tiêu ( giả thiết là triệt hạ một con webserver nào đó nằm sau firewall ) thì việc đánh trực tiếp vào firewall trước hay lách qua firewall để đánh vào webserver cái nào dễ hơn?
Vì theo mình nghĩ, với kỹ năng cấu hình firewall một cách căn bản nhất, chịu khó update các sig và firmware thì việc đánh trực tiếp để hạ gục 1 stateful firewall loại xịn là cực kỳ khó khăn.
Mrro có thể trình bày ý tưởng của mình không? |
|
Hãy sống có Tuệ Giác. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay không? |
11/06/2008 06:06:26 (+0700) | #24 | 134973 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Hi thangdiablo,
Vấn đề cối lõi mà tôi muốn đưa ra, không phải là việc tấn công một firewall khó hay dễ, mà là việc đưa thêm một thiết bị vào hệ thống, dẫu thiết bị đó là firewall, ids, hay bất kỳ thiết bị bảo mật nào, đều sẽ làm phát sinh thêm những mối nguy mới trên hệ thống.
Firewall, về bản chất, cũng chỉ là một software chạy trên một hardware, mà đã là software, do con người tạo ra, thì thể nào cũng sẽ có lỗi. Kinh nghiệm của tôi cho thấy, nơi nào mà có software chạy, từ máy ATM cho đến các vệ tinh, nơi đó sẽ có bug, và có thể trong số các bug này, sẽ có những bug gây nguy hại đến sự an toàn của hệ thống.
Đương nhiên, các software, cụ thể là các hệ điều hành, chạy trên firewall thường rất nhỏ gọn, thường đã được kiện toàn trước khi xuất xưởng, và không phổ biến như Windows, Linux hay Mac, thành ra kiến thức về cách thức chúng hoạt động cũng như các kỹ thuật tìm kiếm và khai thác lỗ hổng bảo mật cũng không phổ biến đại trà.
Nhưng tất cả chỉ là vấn đề thời gian (và tiền bạc) mà thôi. Chẳng hạn như đối với Cisco IOS, từ năm 2005, Michale Lynn đã công bố các phương thức khai thác lỗi của nó (trước đó có FX từ năm 2003 đã có những research hoàn chỉnh về Cisco IOS). Kể từ đó đến nay, đã có rất nhiều research của các hãng và cá nhân tên tuổi trên thế giới về các lỗ hổng bảo mật trên hệ điều hành này của Cisco. Thậm chí gần đây, người ta còn phát triển được cả rootkit trên IOS.
Tôi không có sử dụng các bộ công cụ như Core Impact hay CANVAS nhưng tôi nghĩ là trong đó chắc chắn đã có những module khai thác những lỗ hổng đã biết và chưa biết trên Cisco IOS.
Bản thân tôi, trong một lần đi hỗ trợ cho một khách hàng, cũng rơi vào tình huống là con firewall chạy Checkpoint trên Windows chính là nguyên nhân gây ra sự cố DDoS (xem thêm ở đây http://vnhacker.blogspot.com/2007/07/tn-cng-ddos-bng-pdf-spam.html)
Hôm nay tôi có một case khá thú vị. Một khách hàng gọi điện, báo server của họ đặt ở FPT Telecom (chỗ 64-66 Võ Văn Tần Q.3) bị phía FPT Telecom...tắt mất vì có quá nhiều traffic đi vào server này, có thời điểm lên đến 100Mbs. Họ nhờ tôi đến FPT Telecom trực tiếp kiểm tra xem nguyên nhân tại sao có quá nhiều traffic đến server.
Trên đường đi, tôi được biết server của khách hàng tôi không hề bị treo hay gặp vấn đề gì cả, chỉ có...firewall của FPT Telecom (nếu tôi đoán không lầm là Checkpoint trên Windows) lại bị treo khi phải tiếp nhận và xử lí lượng traffic lớn như thế; thành ra toàn bộ các server nằm phía sau con firewall này coi như bị cách ly với thế giới bên ngoài.
Tôi nghĩ vấn đề ở đây chủ yếu là tâm lý. Mọi người đều chỉ nhớ đến các mối nguy của con web-server chạy các web-application bởi vì đó là môi trường họ làm việc hàng ngày, chúng quen thuộc và gần gũi, còn firewall thường là dạng thiết bị "setup once, run forever", người ta thường chẳng nhớ đến sự tồn tại của nó.
Ngoài ra các mối nguy trên web-application cũng được thảo luận thường xuyên và sôi nổi (ngay trên diễn đàn này), còn các mối nguy trên firewall thì ít được nhắc đến, nên người ta không nghĩ là chúng nguy hại.
Cuối cùng, khi nghĩ đến các kết nối từ A đến B, người ta chỉ thường nghĩ đến việc bảo vệ B khỏi bị A tấn công, mà quên rằng, A vẫn có thể tấn công vào các điểm C, D hay E nằm trên đường đi từ A vào B. Các thiết bị trung gian như firewall, proxy, ids, content caching...đều làm cho hệ thống phức tạp hơn, mà phức tạp thì bao giờ cũng kém an toàn ( ví dụ như có rất nhiều hướng tấn công các web-application lợi dụng sự tồn tại của các proxy, chẳng hạn như HTTP Response Splitting hay HTTP Response Smuggling).
--m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
11/06/2008 20:30:02 (+0700) | #25 | 135023 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
mrro đã đưa ra chiều sâu của thực tế ứng dụng bảo mật. Đây là khía cạnh cực kỳ quan trọng trong việc xác định vai trò của thiết bị, chính sách và quy trình bảo mật. Bất cứ một ứng dụng nào được đưa vào hệ thống cũng có thể mang lại cái risk. Bởi thế mới có khái niệm "risk transfer" (xuyên qua việc bảo hiểm thiệt hại). Bởi thế, lối tư duy "ăn ngon ngủ yên" sau khi đưa một ứng dụng (ngay cả firewall) vào một hệ thống là lối tư duy thiếu chiều sâu. Một firewall dù có đắt tiền đến thế nào, "vững" đến thế nào đi chăng nữa vẫn có thể có cơ hội bị sụp đổ bởi cách sắp xếp và sử dụng nó.
Với vấn đề mà thangdiablo đặt ra:
Thế nhưng, để đạt được mục tiêu ( giả thiết là triệt hạ một con webserver nào đó nằm sau firewall ) thì việc đánh trực tiếp vào firewall trước hay lách qua firewall để đánh vào webserver cái nào dễ hơn?
Khi bàn đến bình diện tấn công, thông thường người ta nghĩ ngay đến cái "dễ" trước, "khó" sau. Tuy nhiên, cái thường vướng mắc là việc xác định "khó" và "dễ" dựa trên những điểm thông thường và những nhận định sơ khởi khi thử nghiệm một hệ thống. Một cá nhân không có những đụng chạm thực tế về các cơ chế bảo mật của doanh nghiệp mà chỉ quen exploit web thì chỉ nghĩ ngay đến các lối dò dẫm thông thường trên tầng web (xuyên qua xss, sql injection, reponse splitting...). Giả sử nếu hệ thống ấy được bảo vệ bằng cách nếu nhận thấy có những dò dẫm thuộc các dạng thông thường thì tự động wwwect đến một server "giả" nào đó và response toàn là những thông tin "như thiệt" thì sao? Kẻ tấn công hoàn toàn bị đánh lừa nhưng không hề biết bởi vì chỉ có thể xét trên những response nhận được từ server (nào đó). Cái "khó" và "dễ" ở biên độ này trở nên khó xác định được.
Tiếp tục đi anh em |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Thảo luận] Firewall có thật sự bảo vệ thông tin tuyệt đối hay khô |
13/06/2008 00:07:05 (+0700) | #26 | 135185 |
TracDongLai
Member
|
0 |
|
|
Joined: 09/02/2007 18:31:31
Messages: 7
Offline
|
|
Hiện nay các firewall kích hoạt lỗi an toàn, nó die thì hết, như vậy tấn công vào firewall không đem lại nhiều mục đích ngoài việc dos. Ai có khả năng tấn công vào firewall chỉ để hủy chức năng firewall? |
|
|
|