banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: Ky0  XML
Profile for Ky0 Messages posted by Ky0 [ number of posts not being displayed on this page: 5 ]
 

dbntk3 wrote:
Chào các bạn!
Mình có 1 số câu hỏi sau mong mọi người hết sức giúp đỡ:
1.Làm về mạng thì làm ở những nơi đâu lương sẽ cao và làm ở vị trí gì,cơ hội thăng tiến ra sao,tính chất công việc như thế nào?
2.Ưu,khuyết điểm của những nơi đó.
3.Để làm được công việc đó cần trang bị cho mình những gì?
4.Mình nghe nói làm về mạng ở ngân hàng hay bưu chính viễn thông thì lương cao nhưng không biết thực hư thế nào và làm ở vị trí nào mà lương cao vậy,mà lương thường khoảng bao nhiêu?
5.Mình mới học xong CCNA có chứng chỉ hoàn thành CCNA của VNexperts,Tiếng anh đọc hiểu tốt,bằng đại học loại khá,định xin vào 1 vị trí làm việc với ISP trong FPT telecom.Ở đó có những vị trí nào các bạn nhỉ.Và mình nên làm ở vị trí nào để phù hợp với kiến thức hiện có.Hướng của mình là sẽ chuyên sâu về 1 mảng thôi.
Hi,hơi nhiều câu hỏi nhưng rất mong mọi người giúp đỡ mình!Mình đang cần lắm!
Mình chân thành cảm ơn.Mong mọi người đừng spam! smilie  


- Theo bạn lương như thế nào là cao?

dungvnit wrote:
Chào các bác,e là sinh viên IT năm 3 (Nhưng nói chung kiến thức về IT chưa có gì,còn quá trống rỗng),e đang muốn theo nghề lập trình,e chưa biết phải học ngôn ngữ nào,e có ý định theo C# hoặc VB6 .E muốn mọi người cho e ý kiến định hướng ngôn ngữ nào không quá khó và cũng không bị lạc hậu trong tương lai,khả năng kiếm việc làm nhiều...Cảm ơn các bác trước nhé,hihi 


Đọc lại bài viết này /hvaonline/posts/list/39948.html#246288

atfno1 wrote:

Mình chỉ đơn giản mua vps để chạy site, kiễn thức bảo mật về cơ bản mình kô biết nhiều (mình kô học trường hay lớp nào về IT), và trong thời gian ngắn nhất mình cần phải giảm đc tác dụng của vụ attack. Mình đã đọc về iptables, hiểu sơ về cấu trúc và có thể đọc đc rule, nhưng để học bài bản từ đầu thì cần có thời gian. Nên việc áp dụng máy móc là kô thể tránh khỏi, anyway rule iptables -t nat -A PREROUTING -i venet0 -p udp -s 0/0 ! --sport 53 -j REDIRECT --to-ports 9 mình vẫn thấy có tác dụng và bị wwwect về port 9, tuy nhiên vấn đề vẫn như ở post#1 null-routed IP.

Mong bạn cho mình 1 tư vấn tổng quát trước:
1 - Dedicate unlimit traffic để "nuốt" toàn bộ udp packet đến, và cho vào discard
2 - Hoặc Dùng vps của provider có hỗ trợ ddos protect
which one should be ?? 

Rule mình thấy không cần thiết khi đã áp dụng các rule trên là:
Code:
-1- iptables -A INPUT -i venet0 -p udp -s 0/0 -d 64.64.23.xx -j DROP

Mình không rõ dấu hiệu DDOS của bạn dạng gì mà lại đưa rule sau vào smilie
Code:
iptables -t nat -A PREROUTING -i venet0 -p udp -s 0/0 -m length --length ! 47:0xffff ! --dport 54874 -j REDIRECT --to-ports 9

atfno1 wrote:
Mình có xem tcpdump thì chỉ có khoảng 90% packet bị drop 


Giờ mới để ý kỹ đoạn này smilie Khi bạn áp dụng rule để wwwect thì tcpdump sẽ không ghi nhận drop nữa, mà thông tin drop là do rule -1-

Giải pháp cho bạn trong trường hợp này:
Giải pháp 1:
- Liên hệ ISP hỗ trợ chặn bớt gói tin bất hợp lệ từ các địa chỉ ip đang tấn công
- Hoàn chỉnh rule trên iptables (tự bạn phải điều chỉnh và nhờ anh em trên HVA hỗ trợ - hoặc thuê chuyên gia)
Giải pháp 2:
- Dùng VPS của Provider có hỗ trợ DDOS Protect

Để chọn giải pháp thích hợp bạn cần tính đến chi phí cho mỗi giải pháp: Chi phí chuyển đổi, chi chí vận hành, chi phí mua VPS mới .... Thời gian ngừng dịch vụ khi triển khai

Nếu bạn muốn tự mình cấu hình thì có thể cung cấp đầy đủ thông tin để anh em giúp đỡ:
- Thông tin các gói tin đi vào server trong khoảng 1 phút:
- Thông tin về tài nguyên trên VPS của bạn: CPU, RAM, Băng thông mạng Internet .... (thông tin này bạn có thể cung cấp hoặc pm riêng)
- Dịch vụ triển khai của bạn trên những port nào? số lượng người dùng trung bình? ...

- Ky0-

atfno1 wrote:
Thanks for reply


=> UDP packet DDOS server bạn dạng gì? Bạn dùng rule như thế nào mà phát biểu chỉ catch được 90%?  



Mình xem log thì packet đa số dạng:
18:26:17.201221 IP 204.66.89.154.1852 > 64.64.23.xx.http: UDP, length 1
và thỉnh thoảng có dạng:
18:26:35.201328 IP 204.66.89.154 > 64.64.23.xx: udp

Mình ko rành lắm về linux, rule mình dùng là tham khảo từ 1 bài trong ký sự hva (có cài thêm csf firewall):
Code:
iptables -A INPUT -i venet0 -p udp -s 0/0 -d 64.64.23.xx -j DROP
iptables -t nat -A PREROUTING -i venet0 -p udp -s 0/0 ! --sport 53 -j REDIRECT --to-ports 9
iptables -t nat -A PREROUTING -i venet0 -p udp -s 0/0 -m length --length ! 47:0xffff ! --dport 54874 -j REDIRECT --to-ports 9

Mình có xem tcpdum thì chỉ có khoảng 90% packet bị drop

Mình định mua vps ở: http://ddoshostingsolutions.com
1Gbps Bandwidth Filtering
300Mbit TCP Filtering


Kô biết có khả quan kô, hiện tại mình đang dùng shared host ở đây, kô biết có đang bị attack kô nhưng thấy site vẫn sống. Mua VPS thì nó chỉ hỗ trợ 100Mbit TCP Filtering, 1Gbps Bandwidth Filtering, mà shared host thì cùi bắp quá (import data, post data hay bị timeout)
 


Bạn đọc mà áp dụng rule một cách máy móc quá! Rule trên áp dụng cho HVA vì HVA có đùng dịch vụ DNS nên mới cho port 53 đi qua.

Muốn hạn chế dung hại của DDOS thì cần quan tâm đến nhiều vấn đề: tần suất, lượng traffic ....
cho nên việc phân tích chi tiết cuộc tấn công là cần thiết, chính vì thế loạt bài ký sự của anh comale cũng nêu rõ quá trình phân tích. rồi mới hình thành rule cho iptables.
Chính vì vậy các topic trên forum bàn về giải pháp chống DDOS anh conmale đều yêu cầu chủ nhân cung cấp traffic đi vào hệ thống trong vài phút để phân tích.

- Ky0 -

PS: Nhiều bạn đọc câu chuyện "Uất ức thần công" đều cười anh chàng kiếm sĩ smilie Nhưng bản thân nhiều lúc lại làm việc hoặc học tập máy móc như anh kiếm sĩ đó smilie)
Em nghĩ ở Việt Nam mình khi xin việc thì cũng đòi hỏi kỹ năng trên, tuy có một số điểm khác biệt với Silicon Valley

atfno1 wrote:
Site mình bị udp flood, tuy ko làm chậm site lắm nhưng gây tốn bandwidth (khoảng 40Mb/s, 50 000 packet/s) nên bọn sell vps đều null-routed ip hết, đã thử với knownhost, servint, linode đều ko có firewall hiệu quả

Nhờ mọi người tư vấn giúp:

Nên mua dedicate server hay vps có ddos protection ?

Mua dedicate thì dùng firewall nào, trước mình dùng iptables để wwwect udp packet vào port 9(discard service), nhưng chỉ catch đc khoảng 90% nên đc khoảng 2 tiếng thì vừa tốn CPU usage, vừa bị nghẽn mạng. Mình đọc trong hva, có người nói mua server ngon mà ko biết config thì vẫn toi

Mua vps hỗ trợ ddos protection thì nên mua ở đâu, mình có chat với bọn vpsland, nó nói blocked all udp port, ko biết cái này có tác dụng ko, mình ko rành về mấy vụ này lắm

Chẳng nhẽ vụ udp flood này lại nguy hiểm thế, ko j cản đc nó à, cho packet đi vào discard ko làm down server thì cũng tốn traffic (2 tiếng lên khoảng 100G)


Lượng packet như trên theo mình kô lớn lắm, và đến từ 1 vài ip nhất định, mong mọi người tư vấn giúp. Many thanks 

=> UDP packet DDOS server bạn dạng gì? Bạn dùng rule như thế nào mà phát biểu chỉ catch được 90%?
- Mục tiêu của UDP flood thường là làm bão hòa đường truyền, nên cho dù có chặn mà không có giải pháp gia tăng tài nguyên thì cũng sẽ không hiệu quả. Nếu bạn xác định chỉ có vài IP cố định đang DDOS server của bạn thì bạn có thể liên hệ admin, nhờ họ liên hệ ISP cản lại bớt.
- Việc mua VPS có hỗ trợ DDOS Protection chưa chắc đã giải quyết được vấn đề của bạn.

- Ky0 -
Thực ra cả năm ngành trên đều liên quan đến bảo mật hết! Học ngành nào còn tùy thuộc vào khả năng và sở thích của bạn nữa.

- Khoa học máy tính: Là ngành học cơ bản của bảo mật, bạn có thể nghiên cứu các thuật toán mã hóa và giải mã, điểm yếu mạnh của các thuật toán mã hóa .... Học ngành này đòi hỏi tư duy tốt và thích hợp với những người nghiên cứu khoa học. Về nhu cầu nhân lực ngành này ở Việt Nam thì học xong đa số là đi làm phần mềm, một số người làm giảng viên để học sâu hơn.

- Công nghệ phần mềm: Cũng là ngành đòi hỏi bảo mật. bạn có thể nghiên cứu về các lỗ hổng phần mềm, khai thác và sửa những lỗ hổng đó, đồng thời cần luyện thêm kỹ năng reverse engineering để có thể trở thành chuyên gia. Ngành này hiện tại ở Việt Nam cũng khó cơ hội làm việc chuyên về bảo mật, vì đa số các công ty ở VN gia công phần mềm là chủ yếu, nên nhiều khi vì chạy dự án mà bỏ qua vấn đề bảo mật.

- Hệ thống thông tin: là ngành học liên quan đến cơ sở dữ liệu. nên cũng đòi hỏi bảo mật, bạn có thể nghiên cứu về quản trị cơ sở dữ liệu, bảo đảm tính toàn vẹn và bảo mật của các thông tin .... Ngành này ở VN có cơ hội làm bảo mật cơ sở dữ liệu cho Ngân Hàng, Hàng Không, Bảo hiểm ...

- Mạng máy tính và truyền thông: đây là ngành học theo hướng bảo mật phổ biến hiện nay. smilie Bạn sẽ có thể nghiên cứu về các mô hình mạng, các thiết bị bảo mật, các công nghệ mạng được sử dụng ...

- Kỹ Thuật Máy Tính: Đây là ngành có tiềm năng phát triển trong tương lai ở VN, nhưng còn để làm bảo mật được trong ngành này thì cũng khá gian nan.

Trên đây chỉ là ý kiến chủ quan của mình, còn việc đào tạo cụ thể ra sao thì còn tùy thuộc và các trường. Tốt nhất bạn nên tham khảo phần giới thiệu của các ngành trên để có thêm thông tin về khung đào tạo.

Để trở thành một "Chuyên gia bảo mật" là con đường khá dài và phải học rất nhiều kiến thức liên quan. Khi đi sâu vào từng ngành bạn sẽ thấy nó còn chia nhỏ ra nữa smilie


- Ky0 -

PePAP wrote:
Uhm! Chào mấy anh chị trên HVA thân mến, em tên Toàn đang học lớp 12 và là thành viên mới của HVA, em có niềm đam mê đặc biệt về máy tính và nhất là trong lĩnh vực Hacking & Security cùng với một phần bên lĩnh vực Lập Trình. Nhưng bắt đầu từ đâu thì em thật sự không biết. Hôm nay em gửi bài viết này lên HVA của chúng ta với mong muốn sẽ nhận được sự tư vấn của mọi người và cho em biết em phải bắt đầu từ đâu trong quá trình rèn luyện học tập để trở thành một Hacker tốt! Mong sẽ nhận được tư vấn từ mọi người....... smilie  


1. Học các kỹ năng tìm kiếm. Để kiếm lại các bài viết tương tự trên diễn đàn.
2. Học cách sử dụng và trình bày tiếng việt cho chính xác. ("thực thụ" not "thật thụ")
3. Tìm hiểu lại nội quy diễn đàn để gửi bài đúng chố.


- Ky0 -

Dualgemini wrote:
Mấy tuần nay mình đang tìm hiểu về vấn đề này nhưng chưa có? Có 3 câu hỏi mà mình chưa hiểu rõ, mong các tiền bối chỉ giáo:
Thứ nhất: Điều khiển truy cập mạng là gì?
Thứ hai: Thế nào là công nghệ MAC, DAC, RBAC
Thứ ba: 3 công nghệ trên có gì khác nhau? 


Search google cũng ra một đống kết quả.

1. Điều khiển truy cập mạng (Network Access Control) http://en.wikipedia.org/wiki/Network_Access_Control
2. MAC http://en.wikipedia.org/wiki/Mandatory_access_control, DAC http://en.wikipedia.org/wiki/Discretionary_access_control, RBAC http://en.wikipedia.org/wiki/Role-based_access_control
3. Khác nhau: http://www.webune.com/forums/differences-between-mac-dac-and-rbac.html

Nghiên cứu tìm hiểu mà không chịu tìm kiếm thì bao giờ mới có kết quả. Với bằng đó từ khóa bạn có thể tìm kiếm thêm các tài liệu liên quan rồi

- Ky0 -

rainkun wrote:
như tiêu đề máy của bạn mình xài win xp và ko bị dính virus, nhưng lại bị kẻ lạ xâm nhập trái phép. mọi nguòi có ai biết làm thế nào vs cách phòng tránh sao ko smilie
theo mình đc biết thì khả năng gần như thể trừ phi dính virus nhưng máy nó lại ko có virus 

=> Căn cứ vào đâu bạn khẳng định máy tính mình không bị nhiễm virus. Cho dù chương trình antivirus của bạn có tốt đến đâu đi chăng nữa cũng không thể phát hiện được tất cả các virus được.
=> Bị kẻ lạ xâm nhập trái phép là sao? bị chiếm quyền điều khiển? bị xóa một số dữ liệu? ... Vui lòng nói rõ điểm này để mọi người xác định nguyên nhân và cách phòng tránh.


- Ky0 -

PS: Nên hạn chế sử dụng viết tắt và vui lòng điều chỉnh lại kích thước chữ trong bài viết nếu không muốn bị dời vào trash




JFS wrote:


1. Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao?
=> Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff smilie

2. Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được.

- Ky0 -  

1. Tất nhiên mình làm cho cả router và client , router mình có Port Security . Mình cấu hình nó theo yêu cầu của mình .
2. Mình cũng nghĩ phương pháp ngăn chặn trên là hữu hiệu nhất , nếu gói tin vẫn bị sniff nhưng giao thức là SSL thì mình nghĩ tấn công trong LAN khi đã có các cơ chế bảo mật như thế thì ok và để lấy đc Session là rất khó như đã nói ở trên .

Nếu client change MAC và dùng 1 Static IP khác trong lớp thì sao nhỉ vẫn không có khả năng poision .

Thanks Ky0

 


=> Đoạn này hình như bạn chưa đọc kỹ smilie Cơ chế quản lý kỹ càng như mình đề ra thì khả năng sniff gần như là bằng zero.
=> Đoạn này không hiểu ý bạn lắm

- Ky0 -

JFS wrote:

Có lẽ ở đây mình không chú ý đến cái wifi và trạng thái card mạng mà mình gắn nó vào LAN.

Nếu dùng Static arp and gán MAC router cho client , trong LAN có 1 host bật trạng thái card mạng Promiscuous mode thì có bị poison ko ?

 


Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao?
=> Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff smilie

Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được.

- Ky0 -

JFS wrote:
@xnohat :

Cho mình hỏi nếu bind IP cho MAC (hoặc static IP MAC tại client ) liệu cách tấn công này còn hữu hiệu không vậy xnohat ?

Cain&Abel liện có poinsoning được router hay gateway không ?

Thanks ! 

Trên mạng wifi thì traffic giữa client và server đều có thể bị capture quan trọng là trạng thái của Card Wifi (bạn xem lại Promiscuous mode). Đối với mạng LAN thì khó hơn vì nếu set port security trên Switch thì không có tình trạng gói tin broadcast được (nhưng các switch có tính năng này cũng tương đối mắc tiền smilie).

Để hiểu rõ hơn bạn có thể đọc thêm về ARP Poison
1. Rất nhiều người biết cách lạp trình ứng dụng tương tự.
2. Lập trình bằng cách học một ngôn ngữ lập trình cho vững, và tìm hiểu các thuật toán liên quan. Có thể dụng các ngôn ngữ lập trình phổ biến như C/C++, .Net .... Công cụ trên windows phổ biến nhất là bộ Visual Studio.
3. Nếu không lập trình được thì sao có chương trình đó cho bạn xài. Bạn muốn chỉnh sửa như thế nào? mỗi mục đích đều đòi hỏi các công cụ và kiến thức khác nhau.


- Ky0 -

zithiat wrote:
Chào cả nhà,

Mình hiện đang có yêu cầu từ khách hàng cần lập 1 nhóm chuyên gia bảo mật. Các dự án này khá dài hơi và đòi hỏi sự chuyên nghiệp.

Yêu cầu chứng chỉ kèm theo:

CEH
LPT
SCNP (Security Certified Network Professional)
SCNA (Security Certified Network Architect)
CISSP (Certified Information Systems Security Professional)
International Information Systems Security Certification Consortium (CISSP)
Information Systems Audit and Control Association (ISACA)

Công việc sẽ trao đổi cụ thể, rất mong mọi người ủng hộ tham gia.

Mình cần khoảng 4 - 6 người.

Bạn nào có nhu cầu liên hệ mình:
Quân - 0918454766 - quan.doanh@gmail.com
 

Nếu bạn có ý định thành lập một nhóm chuyên gia bảo mật có tổ chức và chuyên nghiệp thì có thể liên hệ với nhóm VNSecurity tại http://www.vnsecurity.net/. Đây là nhóm các chuyên gia giỏi ở Việt Nam họ nghiên cứu chủ yếu do đam mê là chính, chưa có một tổ chức chính thức về mặt pháp lý.

Còn vấn đề đầy đủ bằng cấp như bạn yêu cầu thì ở Việt Nam có rất ít người đạt đủ các chứng chỉ trên. Nếu bạn chỉ quan tâm đến bằng cấp thì việc kiếm được người là việc cực kỳ khó. Thay vì tuyển bằng cấp thì bạn nên tuyển theo các yêu cầu cụ thể hơn.

- Ky0 -

PS: Việt Nam mình vẫn coi trọng bằng cấp quá smilie

myquartz wrote:
Cách bạn làm ra 1 Console server đó, về mặt bảo mật thì chính cái Console đó là mắt xích quan trọng nhất. Nếu nó share nhiều người dùng (nhiều admin), việc truy vết 1 ai đó vào Console server rồi ghi lại họ đã làm gì khác (ssh hay vnc, terminal vào server khác) sẽ rất khó khăn, tốn kém. Chưa kể nếu Console server bị compromised thì việc nhập mật khẩu xác thực bước kế tiếp vào đó ko ổn tí nào.
Tớ thấy end-to-end là an tâm nhất, tức là chỉ trust vào cái laptop và cái server, mọi thứ trung gian đều ko tin tưởng.
 

Khi đưa ra giải pháp thì mình cũng đã xem xét ưu điểm và nhược điểm của giải pháp đó, xem có đáp ứng được yêu cầu đặt ra hay không. Đồng thời vấn đề nhược điểm có thể hạn chế được bằng kỹ thuật hay không.
Khả năng của công cụ thì luôn có giới hạn, nhu cầu thì vô biên, vấn đề quan trọng nhất là con người. Năng lực của con người càng cao thì cái hữu hạn sẽ càng đáp ứng được nhiều yêu cầu trong cái vô biên kia. => Đây là điểm mình rất nể các chuyên gia mà mình biết - Họ thích dùng những thứ sắn có tuy nhiên khi cần thiết họ vẫn có thể code thêm những tính năng để phục vụ nhu cầu của họ, hoặc thậm chí code lại toàn bộ nếu những cái sẵn có không đáp ứng được nhu cầu của họ.

=> Điểm này thì mình không đồng ý lắm, bởi vì việc cái laptop và Console Server cũng cần phải trust với nhau là điều sẽ phải có để tăng cường bảo mật. Không thể để bất máy nào cũng kết nối vào Console Server được. Mục tiêu sử dụng giải pháp Console Server là để quản lý User cho dễ dàng hơn mà thôi.

myquartz wrote:

Mình chỉ áp dụng cái Console server khi cái kết nối thứ 2 là vật lý. Ví dụ console server có nhiều nối dây serial (com) với router trực tiếp, mình ssh vào console server rồi minicom vào tty nối với router thì mới hợp lý.

...

Mình cũng có các console server nhưng chỉ dùng để kết nối serial/khác với các thiết bị non-IP (ví dụ hệ thống cung cấp điện, hệ thống chữa cháy, hay là router, switch, tổng đài nội bộ), hoặc là dùng IP KVM nối console trực tiếp vào các server. Console server không bao giờ có thể truy cập tới nếu không vào cái private network đó và phải làm sao để phòng khi mạng chính bị đứt vẫn có kênh riêng vào private network hoặc có cổng dial-up vào được, hoặc có kênh 3G riêng. Do DC cách văn phòng làm việc cả mấy chục km ấy chứ, không phải lúc nào cũng chạy tới mà coi được.
 

Đây cũng chính là một trong số những lý do mình chọn giải pháp này smilie

myquartz wrote:

Về cái mô hình bạn làm ấy, người ta có 1 cái tên gọi là out-of-band remote control hoặc out-of-band management.
Cách mình làm là dựng lên 1 hệ thống private network chỉ sử dụng để quản trị server, độc lập về mặt vật lý với mạng chính (có kênh Internet, VPN gateway riêng, và switch, UPS cấp nguồn... cũng độc lập, tách rời hoàn toàn), và các admin dùng laptop của mình VPN vào mạng private đó trước rồi mới vào được các IP của các server quản trị qua SSH hoặc VNC, RDP. Các máy chủ hầu hết là có 1 management ethernet port riêng cả (dùng để quản lý 1 số phần hardware trước khi boot OS), và server có nhiều ethernet port thì dùng tách riêng 1 interface chỉ để quản trị, phân biệt với các cổng khác chỉ là cung cấp dịch vụ.
 

Cảm ơn bạn về thuật ngữ kỹ thuật kia smilie Việc dùng thuật ngữ đặt tên cho server này cho chính xác thì mình không biết.
Việc để Console Server trên trong DMZ chủ yếu là cho đẹp thôi smilie. Nếu User từ nhà muốn kết nối đến nó thì cũng cần VPN trước smilie

conmale wrote:

Ky0 ơi, việc lưu date / time trên "history" của từng shell account thì dễ lắm em:

echo 'export HISTTIMEFORMAT="%d/%m/%y %T "' >> ~/.bash_profile

Ngoài ra, nếu thật sự muốn bảo mật thì áp dụng 2-factors authentication cho SSH. Cái này thì có rất nhiều giải pháp, từ việc dùng google token miễn phí cho đến sử dụng dịch vụ (khả rẻ tiền như http://www.wikidsystems.com/?htf_sshu) hoặc sử dụng USB key (như yubikey)...
 

Cám ơn anh vì các thông tin trên!

Cái vụ log VNC coi bộ cũng khó khăn ghê ta. Chắc tạm thời chỉ ghi nhận được thời gian đăng nhập và thời gian thoát mà thôi còn lại thì để event log trên Server manager ghi nhận vậy (Vì đa số Server cần VNC vào đều chạy Windows Server)

- Ky0 -

conmale wrote:

Anh nghĩ em nên tham khảo syslog-ng. Cái này cho phép em centralised trọn bộ logging từ clients đến servers. 


Vấn đề đẩy log về log server em đã đề nghị trong giải pháp ở post đầu của topic rồi mà anh /hvaonline/posts/list/40356.html#248823

Ý em là log thỏa mãn yêu cầu số 5 trong post đầu đó anh. Nghĩa là các lệnh hay thao tác kết nối đến các server trong vùng core đều được ghi nhận chi tiết (ngày, giờ sự kiện ... ) nếu dùng SSH thì có shell history nhưng lại không có thời gian thực hiện lệnh, còn VNC thì em chưa biết là log như thế nào?
Điều dĩ nhiên là trên từng server trong vùng core cũng có hệ thống log riêng, nhưng em vẫn muốn lưu lại log trên Console server.
Phần log của SSH thì em có tham khảo bài viết tương tự tại /hvaonline/posts/list/39996.html . Còn log cho VNC thì em chưa biết giải pháp nào cả!


- Ky0 -

conmale wrote:

boycodon88 wrote:
Hiện tại em đang học năm cuối !định hướng của em làm về bảo mật mạng.
em xin hướng làm đồ án tốt nghiệp về IDS-SNORT .
em xin cảm ơn! 


Giảng viên của bồ có trách nhiệm và công việc như thế nào mà bồ phải lang thang trên diễn đàn để "xin hướng" làm đồ án?

Đồ án tốt nghiệp đại học mà chỉ xoay quanh một software có sẵn thì đại học khác với trung cấp & cao đẳng chỗ nào cà? 


Đây là tình trạng chung của giáo dục ở đại học ở Việt Nam.
Trường đại học mở trản lan, giảng viên thiếu kinh nghiệm thực tế hoặc không chuyên sâu về một mảng nhất định nào cả. Hoặc do bận rộn mà không quan tâm đúng mức.
Sinh viên thì học thụ động => thiếu sáng tao trong học tập và nghiên cứu ... Đề tài sau khi bảo vệ thì nội dung chả ai quan tâm nữa. Mang cất vào kho và chả bao giờ dùng lại nên không có giá trị thực tiễn nào cả.
Việc mang đồ án môn học ra làm đồ án tốt nghiệp cũng không phải là chuyện hiếm, tuy nhiên gặp hội đồng chấm dễ tính thì vẫn ... đạt (Dĩ nhiên là kết quả sẽ không cao).

xnohat wrote:

Anh đề nghị là cái console server sẽ là cái Proxy cho SSH Tunneling, tức mọi kết nối vào và ra đều bằng SSH

Về vụ log lại như yêu cầu 5 thì mình cho chạy 1 script (python chẳng hạn) khi user thực hiện đăng nhập, script này làm nhiệm vụ ghi log và làm 1 mớ tác vụ linh tinh gì đó theo yêu cầu

tham khảo:
http://www.linuxquestions.org/questions/linux-general-1/ubuntu-how-to-run-python-script-on-login-352191/
 

Em cũng tính là tất cả mọi kết nối ra vào Console server đều thực hiện qua SSH Tunnel.

conmale wrote:
Anh muốn hỏi tại sao có SSH rồi mà còn cần telnet?
 

Bởi vì một số thiệt bị không hỗ trợ SSH nên từ console server đôi lúc cũng cần dùng telnet. Bạn thân em cũng không tán thành việc sử dụng telnet vì nó bảo mật quá yếu.
Anh có tài liệu nào liên quan đến vụ script ghi log này không ạ?

conmale wrote:

Theo anh thấy, dạng "jump box" này nếu dùng để cung cấp phương tiện SSH vô bên trong các SSH servers trong "core" thì cách tốt nhất là dùng key-based authentication (có passphrase hẳn hòi). Trên mỗi target SSH server bên trong "core", nếu user có account thì drop cái authorized_keys của từng user vô trong thư mục .ssh của user đó cho họ và không cho login bằng password bình thường. Nếu mình không drop cái authorized_keys trong target servers thuộc core thì vô phương đăng nhập.

Với VNC thì khó hơn một chút. Cách tốt nhất là tạo script (read-execute only) để cho phép họ VNC vô một số servers nhất định và ở phía VNC servers cũng kiểm soát nội dung bên trong .vnc để giới hạn cho phép truy cập hay không.

Nếu là anh, anh không cho access trực tiếp VNC mà buộc họ phải VNC xuyên qua SSH tunnel. Nếu dùng key-based authentication cho các SSH servers như trên thì chỉ cần quản lý có 1 chỗ đó là sự hiện diện của "authorized_key" trong ~/.ssh của từng user account. 

Cám ơn anh vậy là yêu cầu số 4 thì giải pháp key-based authentication là tốt nhất.
Anh cho em hỏi thêm về phần log lại thao tác ngoài việc dùng script như anh xnohat để cập còn giải pháp nào khác không anh?


- Ky0 -

PS: Khi nào triển khai xong em sẽ viết một tut cho mọi người tham khảo smilie

vitcon01 wrote:
Nếu dùng giải pháp là triển khai trên Windows Server thì có giải pháp nào thoả mãn các yêu cầu trên hay không
 


Nếu người dùng chỉ dùng SSH để truy cập vào Console server thì có thể log lại như yêu cầu số 5. Nhưng do Console Server có thể truy cập bằng cách là VNC hoặc Remote Desktop over SSH. Chính vì thế giải pháp nào trong trường hợp này?  


---->trong trường hợp trên rất khó để biết được người dùng truy cập vào Console Server trong trường hợp windows server hay sử dụng VNC, Remote Desktop để thực hiện thao tác đối với các server core bên trong. Trừ trường hợp dùng các phần mềm giám sát, video, chụp hình, .... Vì lúc này chúng ta đang sử dụng giao diện đồ hoạ để kết nối.
 

Theo mình nghĩ trên Linux thì có thể log lại các thông tin về thời điểm đăng nhập cũng như thoát ra bằng cách làm thế nào? chạy lệnh gì? hay kết nối đến server nào? ... Để VNC server (trên console server) log lại tất cả các thông tin đó ngoài ra cũng có thể kết hợp các thông tin trong history của shell ...

Điều quan trọng là có giải pháp nào tích hợp được những thứ đó hoặc có giải pháp phần mềm nào có thể đáp ứng được mục tiêu đề ra.
Giải pháp quay phim hay chụp hình là hết sức chuối, bởi vì không phải mục tiêu là theo dõi người dùng mà là: ghi nhận các sự kiện của user phòng khi có sự cố với các Server trong vùng Core thì user nào thao tác với server vào thời điêm đó sẽ phải chịu trách nhiệm.


- Ky0 -
Chào mọi người!

Hiện tại mình đang tìm cách xây dựng một server để cho các user đăng nhập vào và truy cập tới các server khác giống như một VNC Server. Mình cũng không biết gọi như thế nào cho hợp lý trong trường hợp này tạm gọi là Console Server vậy smilie
Mô hình tạm thời như sau:


Yêu cầu đặt ra:
  1. Chỉ có Console Server là có thể kết nối vào các server trong vùng Core thông qua các port quản lý như: SSH(22), VNC(3389), Telnet và Remote Desktop và một số port đặc biệt khác.
  2. Tất cả các máy từ Internet hoặc Local muốn cấu hình chỉnh sửa quản trị các Server trong vùng Core đều phải thông qua Console Server.
  3. Đồng thời cho đăng nhập nhiều user một lúc.
  4. Mỗi User Được cấp một account riêng để đăng nhập vào Console Server, mỗi account chỉ có thể truy cập đến một Server nhất định. Cho dù có lấy được user và password của server trong vùng Core nhưng không được phép truy cập thì vẫn không vào được.
  5. Các thao tác của User trên Console Server đều được log lại (Đăng nhập lúc nào? Thoát ra khi nào? Truy cập đến server nào? Truy cập qua phương thức gì? Truy cập với tài khoản nào? Chạy những lệnh gì? ....)

Giải pháp đề nghị đối với Console Server:
- Triển khai trên Linux (CentOS)
- Cài đặt OpenSSH Server và VNC Server.
- Dùng Firewall sẵn có trên CentOS
- Dùng syslog-ng để đẩy các log liên quan về Log Server

Hiện tại các vấn đề đặt ra là:
  • Nếu người dùng chỉ dùng SSH để truy cập vào Console server thì có thể log lại như yêu cầu số 5. Nhưng do Console Server có thể truy cập bằng cách là VNC hoặc Remote Desktop over SSH. Chính vì thế giải pháp nào trong trường hợp này?
  • Để thoả mãn yêu cầu số 4 thì có giải pháp nào hay không? Hiện tại phần này mình vẫn chưa có ý tưởng smilie
  • Nếu dùng giải pháp là triển khai trên Windows Server thì có giải pháp nào thoả mãn các yêu cầu trên hay không

Rất mong các ý kiến chia sẻ của mọi người!

- Ky0 -

Console Server

boycodon88 wrote:
Hiện tại em đang học năm cuối !định hướng của em làm về bảo mật mạng.
em xin hướng làm đồ án tốt nghiệp về IDS-SNORT .
em xin cảm ơn! 


Khi làm đề tài tốt nghiệp bạn thường được lựa chọn đề tài có sẵn hoặc tự kiếm đề tài cho riêng mình:
- Trường hợp bạn chọn đề tài có sẵn thì các giáo viên hướng dẫn bạn sẽ giới hạn biên độ tìm hiểu và định hướng bạn sẽ nghiên cứu tới đâu. Trong trường hợp này bạn tốt nhất nên theo sự hướng dẫn của giáo viên phụ trách.
- Trường hợp bạn kiếm đề tài: Thì bạn phải xác định rõ bạn phải nghiên cứu những gì? sau đó xin ý kiến của giáo viên hướng dẫn và các người có kinh nghiệm để hoàn thành đề tài một cách đầy đủ hơn.

Cá nhân mình góp ý về đề tài này như sau:
- Nếu chỉ dừng ở mức độ tìm hiểu cách thức hoạt động của IDS nói chung và Snort nói riêng sau đó cài đặt và áp dụng, thì đề tài này chỉ phù hợp cho đồ án môn học chứ không coi là đồ án tốt nghiệp được.
- Để đề tài phù hợp trở thành đồ án tốt nghiệp thì ngoài việc Tìm hiểu về phương thức hoạt động của các loại IDS đồng thời Tìm hiểu về kiến trúc và cách hoạt động của Snort, bạn cần nghiên cứu thêm:
  • Cài đặt và ứng dụng Snort trong môi trường thực tế như cho doanh nghiệp nào đó chẳng hạn. Có thể kết hợp với IPtables làm thành một IPS hoàn chỉnh. Ví dụ: Phát hiện và làm sai lệch kết quả (hoặc quét cổng) của Nmap, cũng như công cụ scan lỗ hổng như Nessus. Chuyển hướng cuộc tấn công và thu thập thông tin về nguồn tấn công một cách tự động .....
  • Bạn có thể tự code một IDS đơn giản dựa trên cách thức hoạt động của Snort.


Một vài gợi ý!

- Ky0 -

Search_IT wrote:
Em xin phép được hỏi các anh (chị) đọc topic này 3 câu: (làm ơn trả lời thành thật)

+ Khi đăng ký tham gia diễn đàn HVA, anh(chị) có chịu khó đọc hết những quy định của diễn đàn hay không?

+ Không chỉ diễn đàn này mà nhiều diễn đàn khác, anh (chị) có đọc hết nội quy hay ko?

+ Nếu có số thời gian để đọc và load xong số giây cho phép thì anh (chị) chờ hay là "căng mắt ra đọc" nội quy?

Thiết nghĩ đâu cũng có nội quy, đúng vậy. Nhưng đây là mạng ảo chứ không phải là cái hợp đồng gì mà ràng buộc cả.

---


Em chưa đọc bài của chị UP như thế nào, nhưng cho em hỏi chị UP và anh Ky0: bài của chị UP vi phạm nội quy nào sau đây?



Em cảm ơn các anh (chị) đọc và trả lời (nếu có) vài câu hỏi "khảo sát" của em! Chúc mọi người sức khoẻ và thành công. 

Chỉ cần căn cứ vào dòng màu cam đầu tiên trong quy định gửi bài là đủ điều kiện dời bài của Uyên Phi vào trash. Tuy nhiên nhiều khi BQT phải linh động cho những người mới, hay những người không chuyên về kỹ thuật .... và các yếu tố khác để đưa ra huớng xử lý phù hợp

- Ky0 -
PS: Mình cũng hay nhắc nhở mọi người “Muốn có được câu trả lời thỏa đáng cho vấn đề của bản thân, thì cần phải trình bày rành mạch rõ ràng, và cung cấp các thông tin cần thiết hoặc thông tin đuợc yêu cầu”
Em là người đã dời bài của Uyên Phi vào trash với lý do là đọc bài viết của Uyên Phi em không biết là mục đích của bài viết đó là gì smilie (Ngay cả bài viết của Uyên Phi ở trên smilie ). Đồng thời do 2 bài viết thiếu thiện chí của 2 thành viên kia nên em mới quyết định dời chủ đề đó vào trash.
Thực sự thì em có hơi cảm tính khi dời chủ đề đó vào trash, cái này em sẽ xem xét lại.

Vài góp ý với Uyên Phi và một số thành viên mới:
- Khi tham gia bất cứ một diễn đàn nào thì việc đầu tiên là đọc kỹ nội quy diễn đàn đó, xem đó có phải là nơi phù hợp với mình không.
- Khi trình bày một vấn đề thì nên trình bày một cách mạch lạc: Bạn đã làm thế nào (theo hướng dẫn ở đâu)? Vướng mắc ở chỗ nào? báo lỗi gì? và đưa ra các thông tin liên quan; Khi đó bạn mới nhận được câu trả lời thoả đáng.


- Ky0 -
 
Go to Page:  First Page Page 7 8 9 10 12 13 14 Page 15 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|