banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ?  XML
  [Question]   ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 06/09/2006 07:09:27 (+0700) | #1 | 20980
[Avatar]
lonely_Xorhandsome
Elite Member

[Minus]    0    [Plus]
Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline
[Profile] [PM]
Chào mọi người !
lonely đang dùng ISA và thấy nó cũng giống như IDs(intruct Detection system) nhưng khi mình cấu hình cho ISA detect các cuộc tấn công như :brute force login ,attack dns,ddos....
nhưng lonely cứ thắc mắc là ISA chỉ phát hiện thôi vậy làm thế nào để phòng chống khi phát hiện có Attack ? cụ thể là tấn công DDOS và xâm nhập bằng brute force login chẳng hạn rất mong các anh ,các chị hướng dẫn giúp lonely , xin cảm ơn nhiều ạ .
[Up] [Print Copy]
  [Question]   ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 06/09/2006 07:37:47 (+0700) | #2 | 20998
[Avatar]
Z0rr0
Q+WRtaW5pc3RyYXRvc+g

Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline
[Profile] [PM] [WWW] [Yahoo!]
Bạn thử xem các tài liệu ở đây để tìm hiểu cách ISA Server bảo vệ máy chủ smilie) http://www.microsoft.com/technet/prodtechnol/isa/2004/securityprotection/default.mspx
Hibernating
[Up] [Print Copy]
  [Question]   ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 06/09/2006 08:24:21 (+0700) | #3 | 21010
subnetwork
Member

[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]

lonely_Xorhandsome wrote:
Chào mọi người !
lonely đang dùng ISA và thấy nó cũng giống như IDs(intruct Detection system) nhưng khi mình cấu hình cho ISA detect các cuộc tấn công như :brute force login ,attack dns,ddos....
nhưng lonely cứ thắc mắc là ISA chỉ phát hiện thôi vậy làm thế nào để phòng chống khi phát hiện có Attack ? cụ thể là tấn công DDOS và xâm nhập bằng brute force login chẳng hạn rất mong các anh ,các chị hướng dẫn giúp lonely , xin cảm ơn nhiều ạ .
 


Để cấu hình "đáp ứng" DNS attack chẳng hạn bro tìm mục General . Trong ISA server có phần IP option Filtering :cry:

Phần này khá chi tiết, bro nên tham khảo có nhiều lý thú ở chổ này
Arrays\tên server\Monitoring\Alerts
Internet Security và Acceleration Server/Servers 


Thân
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 06/09/2006 23:05:03 (+0700) | #4 | 21155
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
ISA cũng có rule mà,muốn chống thì tạo rule mà chống
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 07/09/2006 06:54:17 (+0700) | #5 | 21275
[Avatar]
lonely_Xorhandsome
Elite Member

[Minus]    0    [Plus]
Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline
[Profile] [PM]
cảm ơn các anh đã cung cấp link tham khảo , em đang tìm hiểu đây ạ

mR.Bi wrote:
ISA cũng có rule mà,muốn chống thì tạo rule mà chống 

mR.Bi có thể nói rule chống attack DDOS, Brute force login config thế nào không ạ ? mình thấy rule chỉ có 1 số thôi mà !
[Up] [Print Copy]
  [Question]   ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 07/09/2006 08:17:14 (+0700) | #6 | 21289
[Avatar]
dabu
Elite Member

[Minus]    0    [Plus]
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
[Profile] [PM]

lonely_Xorhandsome wrote:
cảm ơn các anh đã cung cấp link tham khảo , em đang tìm hiểu đây ạ

mR.Bi wrote:
ISA cũng có rule mà,muốn chống thì tạo rule mà chống 

mR.Bi có thể nói rule chống attack DDOS, Brute force login config thế nào không ạ ? mình thấy rule chỉ có 1 số thôi mà ! 


Mình chỉ vọc qua ISA 2004 vài lần nên không chắc là rule của thằng ISA có chống lại DDoS không nữa ??
Nhưng theo cách tấn công & phòng thủ của dạng này là giới hạn các connections trên 1 IP trong 1 thời điểm hay nói các khác là giới hạn các gói SYN. Chỉnh các thông số TIME_WAIT , CLOSE_WAIT để tối ưu hệ thống , lọc bỏ các cú truy cập không mong muốn.
Nói chung là nó trải dài từ tầng Application cho tới tầng Data link. smilie)
It's time to build a new network.
[Up] [Print Copy]
  [Question]   ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 09/09/2006 00:07:24 (+0700) | #7 | 21809
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
tất nhiên là thế,ý mình nói là rule tất nhiên là có giới hạn,firewall nào cũng thế thôi.
Nói là chống DDOS nhưng cũng là giới hạn số connection làm ngập lụt sever
Trong trường hợp nào đó thì mình linh động mà tạo rule
Chống DOS thì dùng Max connection,time_wailt..như dabu nói,cũng đã lâu ko đụng tới ISA nhở.
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 09/09/2006 14:11:35 (+0700) | #8 | 22000
[Avatar]
lonely_Xorhandsome
Elite Member

[Minus]    0    [Plus]
Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline
[Profile] [PM]

mR.Bi wrote:
tất nhiên là thế,ý mình nói là rule tất nhiên là có giới hạn,firewall nào cũng thế thôi.
Nói là chống DDOS nhưng cũng là giới hạn số connection làm ngập lụt sever
Trong trường hợp nào đó thì mình linh động mà tạo rule
Chống DOS thì dùng Max connection,time_wailt..như dabu nói,cũng đã lâu ko đụng tới ISA nhở. 

vậy chỉnh sao anh nhỉ ? có phải thu nhỏ time_wait không ? nếu thế thì user truy cập khó vô internet lắm nhỉ ? smilie
[Up] [Print Copy]
  [Question]   Re: ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 12/09/2006 02:19:10 (+0700) | #9 | 22577
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
tất nhiên,truy cập khó khăn nhưng vẫn truy cập được là điều may mắn lắm rồi .Còn nếu ko tạo rule nào chắc user truy cập đc chắc (khi bị DOS)
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 12/09/2006 06:42:40 (+0700) | #10 | 22636
[Avatar]
lonely_Xorhandsome
Elite Member

[Minus]    0    [Plus]
Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline
[Profile] [PM]

mR.Bi wrote:
tất nhiên,truy cập khó khăn nhưng vẫn truy cập được là điều may mắn lắm rồi .Còn nếu ko tạo rule nào chắc user truy cập đc chắc (khi bị DOS) 

ý lonely nói là nếu chỉnh time_wait nhỏ xưống thì truy cập rất dễ bị expire session hay delay time gi` gì đó nếu mạng chập chờn không ổn định ! chứ khi setup ISA thì muốn truy cập được inet thì ai cũng phải tạo rule cả ! còn DOS lại là chuyện khác nữa chứ không ảnh hưởng đến rule outgoing ....
[Up] [Print Copy]
  [Question]   Re: ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 12/09/2006 07:14:47 (+0700) | #11 | 22641
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

lonely_Xorhandsome wrote:

mR.Bi wrote:
tất nhiên,truy cập khó khăn nhưng vẫn truy cập được là điều may mắn lắm rồi .Còn nếu ko tạo rule nào chắc user truy cập đc chắc (khi bị DOS) 

ý lonely nói là nếu chỉnh time_wait nhỏ xưống thì truy cập rất dễ bị expire session hay delay time gi` gì đó nếu mạng chập chờn không ổn định ! chứ khi setup ISA thì muốn truy cập được inet thì ai cũng phải tạo rule cả ! còn DOS lại là chuyện khác nữa chứ không ảnh hưởng đến rule outgoing .... 


Không phải vậy đâu em. Server đi vào tình trạng "TIME_WAIT" để bảo đảm cả hai đầu truy cập (cả client lẫn server) không còn gởi nhận gì thêm trước khi socket hoàn toàn triệt tiêu. Ở trạng thái này, việc nhanh chậm hay truy cập khó khăn không còn liên hệ gì nữa. Có lẽ em lẫn lộn giữa giá trị "timeout" và socket state "TIME_WAIT" chăng?

Đối với tình trạng máy chủ bị DDoS, hạ thời gian TIME_WAIT xuống có tác dụng phụ trợ server lấy lại memory để tiếp tục cung cấp. Các socket ở tình trạng TIME_WAIT vẫn chiếm giữ một khối lượng memory (real memory chớ không phải virtual memory) đáng kể. Nếu máy chủ bị tấn công dồn dập và TIME_WAIT trở nên quá nhiều thì máy chủ có thể bị hết tài nguyên (out of memory) mà gục ngã. Trong mấy bài "Ký sự các vụ tấn công HVA", anh có phân tích khá kỹ những chi tiết này, em nên tìm đọc lại để nắm thêm.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 12/09/2006 08:26:48 (+0700) | #12 | 22661
[Avatar]
lonely_Xorhandsome
Elite Member

[Minus]    0    [Plus]
Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline
[Profile] [PM]
Cảm ơn các anh ! Em đã bị lộn vấn đề time out và time wait , em đã hiểu được rồi ạ !
nhưng còn 1 điểm này em chưa thông mong các anh giúp , vậy em sẽ chặn qua rule từ External vào Intern&Local với Time_wait (giảm xuống ) , đó có phải là cách chống khi dos từ bên ngoài vào ISA Server không ạ ?
Mong các anh chỉ giúp, em cảm ơn nhiều !
[Up] [Print Copy]
  [Question]   Re: ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 12/09/2006 20:44:53 (+0700) | #13 | 22757
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

lonely_Xorhandsome wrote:
Cảm ơn các anh ! Em đã bị lộn vấn đề time out và time wait , em đã hiểu được rồi ạ !
nhưng còn 1 điểm này em chưa thông mong các anh giúp , vậy em sẽ chặn qua rule từ External vào Intern&Local với Time_wait (giảm xuống ) , đó có phải là cách chống khi dos từ bên ngoài vào ISA Server không ạ ?
Mong các anh chỉ giúp, em cảm ơn nhiều !
 


Không. Đọc kỹ lại đoạn này:

Đối với tình trạng máy chủ bị DDoS, hạ thời gian TIME_WAIT xuống có tác dụng phụ trợ server lấy lại memory để tiếp tục cung cấp. Các socket ở tình trạng TIME_WAIT vẫn chiếm giữ một khối lượng memory (real memory chớ không phải virtual memory) đáng kể. Nếu máy chủ bị tấn công dồn dập và TIME_WAIT trở nên quá nhiều thì máy chủ có thể bị hết tài nguyên (out of memory) mà gục ngã

Giảm TIME_WAIT không phải là cách chống DDoS.

Cố gắng đọc cho kỹ những điều đã được trả lời trước khi hỏi tiếp. Nhất là những câu trả lời kỹ thuật.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 13/09/2006 01:42:27 (+0700) | #14 | 22819
[Avatar]
lonely_Xorhandsome
Elite Member

[Minus]    0    [Plus]
Joined: 26/06/2006 12:14:07
Messages: 558
Location: HCM beside you !
Offline
[Profile] [PM]

conmale wrote:

lonely_Xorhandsome wrote:
Cảm ơn các anh ! Em đã bị lộn vấn đề time out và time wait , em đã hiểu được rồi ạ !
nhưng còn 1 điểm này em chưa thông mong các anh giúp , vậy em sẽ chặn qua rule từ External vào Intern&Local với Time_wait (giảm xuống ) , đó có phải là cách chống khi dos từ bên ngoài vào ISA Server không ạ ?
 


Đối với tình trạng máy chủ bị DDoS, hạ thời gian TIME_WAIT xuống có tác dụng phụ trợ server lấy lại memory để tiếp tục cung cấp. Các socket ở tình trạng TIME_WAIT vẫn chiếm giữ một khối lượng memory (real memory chớ không phải virtual memory) đáng kể. Nếu máy chủ bị tấn công dồn dập và TIME_WAIT trở nên quá nhiều thì máy chủ có thể bị hết tài nguyên (out of memory) mà gục ngã

Giảm TIME_WAIT không phải là cách chống DDoS.

 


Đoạn này em đã hiểu ý nghĩa của việc giảm Time_Wait xuống rồi ạ . Anh có thể giúp em về giải pháp phòng chống DDOS và brute force login thông qua ISA không ạ ? Mong anh giải thích giúp .
(Em cũng đã đọc tài liệu anh Z0rr0 cung cấp ở trên và chú ý tới điều anh Golden Autumn nhấn mạnh nhưng em settup ISA xong thấy có điểm khác khác với tài liệu hướng dẫn nên em chưa có cơ hội thực hành trên bài viết đó .
[Up] [Print Copy]
  [Question]   Re: ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 13/09/2006 05:29:45 (+0700) | #15 | 22859
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

lonely_Xorhandsome wrote:


Đoạn này em đã hiểu ý nghĩa của việc giảm Time_Wait xuống rồi ạ . Anh có thể giúp em về giải pháp phòng chống DDOS và brute force login thông qua ISA không ạ ? Mong anh giải thích giúp .
(Em cũng đã đọc tài liệu anh Z0rr0 cung cấp ở trên và chú ý tới điều anh Golden Autumn nhấn mạnh nhưng em settup ISA xong thấy có điểm khác khác với tài liệu hướng dẫn nên em chưa có cơ hội thực hành trên bài viết đó . 


Không rõ phiên bản ISA sắp ra đây thế nào chớ phiên bản 2004 và trước đó MS chú trọng quá nhiều đến các chức năng quản lý hơn là tính năng của firewall. ISA có khả năng detect một số dạng DoS phổ biến (và cổ điển) nhưng nó không có chức năng cụ thể cho việc kiểm soát state và limit rate của các request.

Bởi thế, chỉ còn dựa vào việc thắt chặt tcp/ip registry settings (tìm trên diễn đàn, đã có thông tin này). Nếu em dùng IIS6, em có thể ứng dụng chức năng hạn chế memory, cpu và hạn chế thrashing có trên IIS6 để kiềm hãm bớt tác động của DDoS (đây không phải là cách hiệu xuất nhất). Những dịch vụ khác chạy trên Windows server vẫn có thể bị tác hại của DDoS.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: ISA phát hiện xâm nhập tấn công Vậy dùng gì để Chống ? 13/09/2006 18:39:19 (+0700) | #16 | 22993
subnetwork
Member

[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]

lonely_Xorhandsome wrote:
Đoạn này em đã hiểu ý nghĩa của việc giảm Time_Wait xuống rồi ạ . Anh có thể giúp em về giải pháp phòng chống DDOS và brute force login thông qua ISA không ạ ? Mong anh giải thích giúp .
(Em cũng đã đọc tài liệu anh Z0rr0 cung cấp ở trên và chú ý tới điều anh Golden Autumn nhấn mạnh nhưng em settup ISA xong thấy có điểm khác khác với tài liệu hướng dẫn nên em chưa có cơ hội thực hành trên bài viết đó . 


ISA Server có chức năng giám sát (monitoring) và thống kê, báo cáo (report) mọi hoạt động trên hệ thống từ đó đưa ra những "ý kiến ý cò" đến người quản trị những phương thức phòng chống hữu hiệu nhất .

Mở Monitoring - Ở phần Dashboard - Alerts ở mục Configure Alert Definitions nhấn Add . Bro lập ra danh sách các cảnh báo mà bro muốn giám sát , chú ý ở phần Event nó có nhiều lựa chọn : Ví dụ tôi chọn SYN attack
Khi attacker tấn công vào ISA Server của bro thì ISA sẽ làm gì nhĩ , chạy chương trình thông báo cho bro biết ah có ku nào đó đang đập bro, thông báo cho bro qua email, ....
Đọc ở đây để hiểu thêm về Monitoring trong ISA Server
Code:
http://www.isaserver.org/tutorials/Basic_visual_Monitoring_using_ISA_MMC.html


Kiểm soát, phát hiện đột nhập vào hệ thống là phương thức phòng thủ hiệu quả nhất .

Stop Virus, Trojan
Một công cụ mà bất cứ ai sử dụng ISA Server đều phải sử dụng nó, tìm trên net phần mềm mang tên là GFI’s DownloadSecurity

Đặc điểm chính của công cụ này, nó được tích hợp vào ISA Firewall và nó ngăn chặn các tập tin tự chạy .exe, kiểm soát các tập tin được download từ Internet dzìa, kiểm tra ActiveX trong trình duyệt và đưa ra cảnh báo cho các user . Bro cần lập rule cho nó ở đây .
Đọc ở đây
Code:
http://www.isaserver.org/tutorials/downloadsecurity.html


Hoặc sử dụng công cụ từ các hảng bảo mật như BitDefender for ISA, Symantec AntiVirus for ISA Server, ....

Chống Web Sex
Ý mèn ơi, trang web gì mát mẽ, tươi mát giống mấy em ở gần ... dzô ISA của tui vậy (đã con mắt quá nhưng có nhìn mà không làm thì tức lém) nên download phần mềm SurfControl Web Filter .
Phần mềm này rất hay, mục đích chính của nó kiểm tra nội dung của trang web "có mấy em" :cry: (Virtual Control Agent)

Đọc ở đây
Code:
http://www.isaserver.org/software/ISA/Monitoring-&-Admin/SurfControl-Web-Filter-for-ISA-Server/Comments/


Khi sử dụng nó bro cần cài đặt MS SQL Server (dzô box phần mềm để download) . Rule tiếp tục phải được xây dựng và điều chĩnh .

Đối với các ứng dụng sử dụng hệ điều hành Windows Server bro nên download công cụ mang tên là UrlScan về ngâm cứu, nó tạo ra một cái bộ lọc mang tên là ISAPI trên hệ thống của bro và nó phân tích các gói tin đến ISA và nếu OK thì nó accept và not Ok thì nó loại bỏ cho đi luôn, không bao giờ quay trở lại .

Bro chưa tìm hiểu các bộ luật, thiết kế mô hình bảo mật cơ bản của bro trong ISA Server thì khá ... kẹt (phần Access Policy đó) vì đi đâu cũng có Rule cả, nó là nền tảng và phương thức hữu hiệu nhất cho bro đó vì vậy nên tìm hiểu các bộ luật trong ISA Server từ đó mới đi đến .... lang thang sang đến việc chống các kiểu tấn công Denial of service hay các phương thức chống căn bản như port scan chẳng hạn:cry:

Đọc tài liệu về ISA ở đây http://www.isaserver.org or tìm kiếm tài liệu TechNet của Microsoft để tham khảo .

Thân
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|