banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: radiohead  XML
Profile for radiohead Messages posted by radiohead [ number of posts not being displayed on this page: 0 ]
 

conmale wrote:

I. Khái niệm bảo mật dựa trên tier:

1. Tại sao tier được xem là một trong những cấu trúc nền tảng của bảo mật?
2. Tier khác với network topology ở điểm nào?
3. Thật sự có bao nhiêu tier?
4. Thật sự tier có bảo đảm bảo mật?
5. Những cái gì gìn giữ cho tier khỏi bị đổ vỡ?

Hãy bắt đầu. 

Em có search qua cuốn CISSP mới nhất, thì tier hiểu nôm na giống như lớp mà myquartz đã nhận định. Vậy câu trả lời sẽ như sau:

1. Tier là một trong những cấu trúc nền tảng của bảo mật:
Bởi không có một tier (hay hệ thống) nào là đạt độ bảo mật 100%, nên buộc phải kết hợp nhiều tier để làm giảm xác suất bị khai thác thành công hệ thống cần bảo vệ xuống thấp đến mức chấp nhận được
Giả sử xác suất bị tấn công thành công của 1 tier là 0.1%, khi kết hợp 2 tier với nhau (một cách hợp lý và đúng đắn) thì xác suất bị tấn công thành công của cả hệ thống là 0.1 x 0.1 = 0.01%. Càng có nhiều tier, xác suất bị rủi ro càng có thể được giảm thấp đi nữa

2. Tier trong bảo mật là khái niệm logic, ám chỉ các thành phần cung cấp những thuộc tính, dịch vụ khác nhau về bảo mật như Confident, Intergrity, Avaibility.....cho hệ thống chính
Topo network là khái niệm logic, cho biết hình thái, cấu trúc của hệ thống mạng
Tier trong bảo mật có thể bao hàm luôn cả topo network, nhưng ko có ngược lại

3. Thật sự thì ko có chính xác số tier, mà phụ thuộc mức độ bảo mật hệ thống cần đạt được.

4. Có tier không đảm bảo là đã có bảo mật. Tier chỉ là mô hình, kiến trúc lý thuyết để hỗ trợ cho triển khai thực tế. Thực tế triển khai, sự liên kết giữa các tier, công tác quản lý khi vận hành...mới là nhân tố biến độ an toàn trên lý thuyết của tier thành sự thật

5. Tier chỉ có thể đổ vỡ bởi 2 khâu

+) Thiết kế sai
+) Triển khai, vận hành tier sai so với thiết kế

Vấn đề hay gặp nhất khi triển khai tier bảo mật là ở khâu tương tác, phối hợp giữa các tier khi hoạt động. 1 là vì rất phức tạp, khó lường hết khả năng. 2 là sự cẩu thả, buông lỏng không quản lý chặt chẽ ( người quản trị lười biếng, thích làm tắt, user không chịu tuân thủ policy...)

conmale wrote:


Tổng thể quy trình dụng một hệ thống IS đi từ:

Business analysis --> Business Process Engineering --> Systems Analysis and Design --> (Information Systems Planning + Projects in Information Systems + Information Engineering) --> (Database Systems + Internetworking and TCP/IP + Advanced Programming + Java Support for E-business + Application development + Network management).

Nếu cần nắm sâu hơn, em cần một case study cụ thể. 


Ở Việt Nam, với những chỗ em đã join thì quy trình dựng hệ thống như trên thường bị vi phạm và bỏ qua một số công đoạn nhằm tiết kiệm chi phí (hoặc có thể là do lười)

tmd wrote:
Cơ hội cao lắm. xem công ty , doanh nghiệp, tập đoàn nào năng động muốn dùng cái này trong quản lý đều cần 1 chuyên gia như vậy. Đừng lầm lẫn mấy vị system engineer với cái vị làm cái IS này nha. 


Có phải vị trí "làm cái IS" này hay đc gọi là nhân viên tư vấn giải pháp và triển khai ko?
Hoá ra là đồng môn smilie
SV trường Mật Mã có diễn đàn chung tại kmasecurity.net, khi nào về quê nhà, cứ vào đó hô hào phát anh em ra giao lưu nhé

invalid-password wrote:

Sau này thì mình dùng cách hash 2 lần với khoá k ngẫu nhiên từ server. Khi client kết nối, server sẽ gửi lại một khoá k ngẫu nhiên. Client sẽ gửi
h = MD5(k, MD5(clear_text_password))
cho server. Nếu h bị capture thì không thể giải ra k và password. Nếu dùng kỹ thuật "Pass the hash" - gủi trực tiếp h đã capture được - thì cũng failed vì lần sau server sẽ gửi khoá k khác.

Bây giờ thì mình ưa thích dùng giải thuật HMAC để hash password, cho nó có chuẩn !

 


Cách của invalid-passwd sẽ bị qua mặt nếu kẻ tấn công đã từng thu được bản hass của pass trước đó (sniff từ trước khi có giải pháp thêm k, hoặc kẻ tấn công thu đc file lưu hash password của server. Vì khóa k ngẫu nhiên nhưng vẫn phải gửi clear text cho client hiểu nên việc tính ra
h= MD5 (k, MD5(clear_text_pass)) là vẫn khả thi cho dù ko cần biết clear_text_pass

Có thể sử dụng cách này
h = MD5 (clear_text_pass, k)

Vì kẻ tấn công trong quá khứ chỉ có được MD5 (clear_text_pass), và kết quả hash khác hoàn toàn so với MD5 (clear_text_pass, k) nên có thể giải quyết kiểu tấn công pass the hash (với điều kiện clear_text_pass phải đủ dài để ko thể bị đoán ngược từ bản MD5(clear_text) ).






Mình đang tham gia 1 dự án dựng hệ thống theo dõi traffic cho một ISP (có logging, sniff 1 số traffic nhất định). Hệ thống này độc lập và chỉ nối với hệ thống ISP qua các Tapping và hiện không hề có đường nào ra Internet. Dữ liệu thu thập được đều tập trung và xử lý tại local.
Hiện bên khách hàng đang yêu cầu cho phép Remote từ xa vào máy lưu trữ và xử lý logging, nhưng họ không muốn nối trực tiếp hệ thống monitor này sang mạng của ISP đó để ra Internet (chả hiểu sao lại phải kì quặc thế)
Giải pháp mình đang nghĩ đến là dùng USB 3G của một nhà mạng khác để tạo liên kết mạng, rồi dựng 1 VPN server...nhưng nảy sinh vấn đề là mạng 3G dùng IP động. Có một số phương án như dùng TeamViewer nhưng e dữ liệu ko có mã hoá thì dễ bị sniff.
Liệu có giải pháp nào khả thi cho trường hợp này ko?
Mình cho rằng "cần thiết hay không" còn phụ thuộc vào mức độ rủi ro nếu có / không có PKI mà doanh nghiệp phải chịu. Hiện tại, các rủi ro vì không có PKI như lừa đảo, giả mạo thông tin...xem ra chưa thật sự là mối lo lớn nhất của đại đa số doanh nghiệp.
Hiện mình cũng đang có một số ý tưởng về áp dụng PKI vào thực tế, nhưng lúc đem ra khảo sát (mang tính cá nhân, nhỏ lẻ) thì gặp những khó khăn mà bản thân chưa thể giải quyết. Chủ yếu các khó khăn này không nằm trong lĩnh vực kĩ thuật, vì thế mình vẫn chưa tìm ra hướng xử lý.
Thường cài macos thì nên dùng Disk Utility để quản lý phân vùng, vì khi đã định dạng ổ theo HFS thì các ứng dụng khác quản lý ổ dựa trên chuẩn MBR cũ sẽ bị lỗi

Ky0 wrote:

buicathung wrote:
@lamer: bao giờ thì tái bản tiếp vậy và bao giờ thì sách được in ở ngoài HN? 

Cùng thắc mắc với anh buicathung! Mong rằng anh lamer sớm tái bản sách!  

Mình email anh Nam đã lâu, được biết có bán tại cửa hàng của NXB, nhưng ra cả 3 lần đều nhận đc câu "hàng chưa có để nhập kho" smilie

Xin chào mọi người,
Mình muốn trao đổi về sản phẩm eBox Platform
http://ebox-platform.com/
http://forum.ebox-platform.com/index.php

Về cơ bản, đây là một UTM (Unified Threat Management), hiểu nôm na là gộp chung đủ thứ tính năng của Firewall, IDS, Antivirus...vào một thiết bị và có thể tùy biến để đáp ứng các nhu cầu cụ thể. Công việc của mình là đánh giá xem các giải pháp sử dụng eBox thì có những ưu/nhược gì hơn so với các sản phẩm tương tự hiện đã có (nếu tốt hơn thì tiếp tục đầu tư công sức tìm hiểu)

Nếu có bạn nào quan tâm, hoặc đã tìm hiểu về sản phẩm này, rất mong nhận được đôi lời góp ý cũng như kinh nghiệm bản thân khi sử dụng.
Cám ơn rất nhiều
Làm test này thấy nhiều cái mình trước giờ chưa từng để ý smilie
1.a
2.T
3.c
4.F
5.a
6.T
7.a
8.F
9.d
10.F
11.a
12.T
13.c
14.T
15.c
16.F
17.IP
18.T
19.host
20.F
21.b
22.T
23.a
24.T
25.c
26.F
27.0
28.T
29.d
30.T
31.b
32.T
33.a
34.T
35.a
 

Cuối cùng, nếu static ARP có thể ngăn chặn được ARP cache poisoning, và nếu các attacks bên trên cũng không khả thi, vậy thì việc sniff trong switched network đã bị ngăn chặn hay chưa?  

Trao đổi sôi nổi quá smilie
Theo mình việc set tĩnh ARP table "có thể" coi như đã giải quyết ARP cache poisoning, tuy nhiên giải pháp này quá cứng nhắc và khó thực hiện:
- Không phải user nào cũng biết cách static ARP
- Khi di chuyển qua nhiều mạng khác nhau, ta lấy đâu thông tin rằng MAC address của các thiết bị khác cụ thể ntn? Đó là chưa kể đến việc muốn gửi file gấp cho em thư kí phòng bên, ta không thể bảo "em bật cmd rồi đọc MAC address cho anh được", làm vậy ẻm ghét liền

Trong switched network, có nhiều cách khác nữa có thể phục vụ việc sniff như MAC flooding, DHCP spoofing, DNS cache poisoning....hẳn nhiên là việc sniff vẫn còn là vấn đề to thù lù
Xin phép vài dòng đi lệch hướng chủ đề cái Course kia 1 chút
Các bạn có góp ý rất nhiều về các môn học cơ bản ở trường mà sv cần đào sâu - nắm thật chắc (discrete math, programming language, operating system, network programming, data structure & algorithm, information theory, automata, compiler, database, distributed system..)
1 bộ giáo trình của bất cứ đại học nào cũng không thể tránh thể 1 vài khuyết điểm, không chỗ này thì chỗ kia. Vì thế mình nghĩ tham khảo tất cả những gì mọi người đã học được có ý nghĩa tích cực và giá trị cao
liệu bạn choc_ và mọi người có thể tiếp tục chia sẻ thêm về phần "các môn học cơ bản" + tài liêu tâm đắc cho mỗi môn mà bạn đã đọc không ? (không cứ là trước-trong và sau đại học, bất cứ môn học nào bạn thấy bổ ích cho chuyên môn của mình, hay tên bất cứ cuốn sách nào của từng môn mà bạn đã đọc và nhớ mãi)

 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|