|
|
1. Deny all, allow selective (cản hết, cho phép theo chọn lựa).
Thế nào là "deny all, allow selective" và tại sao phải cần như vậy?
Có hai nguyên tắc được áp dụng:
1. allow all, deny selective.
2. deny all, allow selective.
nhưng chọn lựa thứ nhì trở thành nguyên tắc được áp dụng rộng nhất và chấp nhận nhiều nhất.
Deny all bảo đảm không có gì có thể vượt qua rào cản, loại bỏ khả năng "cho phép" nhưng không kiểm soát được sự cho phép hoặc không ngờ đến sự cho phép đã xảy ra ngoài ý muốn.
Trên firewall của HVA, 3 dòng luật được ấn định ngay từ đầu:
# DROP everything as default.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
và kết thúc bằng 3 dòng "catch all":
iptables -A INPUT -s any/0 -j DROP
iptables -A OUTPUT -d any/0 -j DROP
iptables -A FORWARD -s any/0 -j DROP
Những gì không trùng hợp với những gì cho phép sẽ mặc định được "DROP". Tất nhiên, với ấn định "deny all" này không bảo đảm tuyệt đối bảo mật bởi vì còn phụ thuộc vào "allow selective" bao gồm cụ thể những gì.
Vậy, "allow selective" là những gì và làm sao bảo đảm bảo mật?
Để trả lời cho câu hỏi này, việc đầu tiên là xác định nhu cầu cụ thể cần bảo mật là gì?. Đối với HVA, dịch vụ duy nhất là web và hai cổng dịch vụ cần thiết là 80 và 443. Khi đã xác định tổng quan cổng dịch vụ cần mở và cần bảo vệ, luật cho firewall trở nên cụ thể và rõ ràng.
Vậy, mở cổng 80 và cổng 443? Nghe rất đơn giản nhưng, mở rồi thì bảo vệ nó như thế nào đây? Cứ mở toang ra vô hạn định? HVA thường bị tấn công với những dạng nào? Đây là "mục tiêu di động" và "allow selective" là một khối di động, luôn luôn thay đổi, luôn luôn được điều chỉnh để thích hợp với nhu cầu bảo vệ hiện tại.
Tôi tránh không trưng bày chính xác bộ luật firewall của HVA lên đây vì lý do bảo mật nhưng trên mặt nguyên tắc mà nói thì đa phần HVA bị tấn công từ chối dịch vụ và một phần nhỏ những tấn công dạng brute force để dò account hoặc để "thử nghiệm" các exploits mới từ metasploit hoặc các tools tương tự. Ngoài chức năng "đóng cái gì và mở cái gì", firewall còn kiểm soát các "connection state" để ngăn chặn những dạng exploit ở tầng web (nhưng khá hiếm). Vậy, để bảo vệ từ các nguồn exploits như brute forece và tấn công từ chối dịch vụ, firewall của HVA cần gì?
- Cần xác định CHÍNH XÁC đặc điểm của người dùng bình thường (từ tính chất packet cho đến trường độ và cường độ) ---> A.
- Cần xác định CHÍNH XÁC dạng tấn công từ chối dịch vụ, brute force, tool scanning..v..v.. có đặc điểm gì (từ tính chất của packet cho đến trường độ và cường độ) ---> B, C, D....
Từ đó mới phân tích sự khác biệt giữa A với B, C, D... để hình thành những thứ gì được "allow". Đó chính là "allow selective" theo đúng nhu cầu thay vì allow trơn, không hạn định.
Ngoài tầng IP, mỗi tầng ứng dụng đều có chế độ "allow selective" khác nhau. Ví dụ,
Trên tầng web, cụ thể là apache, những khu vực "nhạy cảm" được "allow seletive" như:
Code:
<Location /path/to/somewhere>
AuthUserFile /usr/local/etc/selectiveusers
AuthName "This is a protected area"
AuthGroupFile /dev/null
AuthType Basic
Require valid-user
Order deny,allow
Allow from xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
Deny from all
</Location>
Thậm chí, ngay trên "application firewall" như mod_security, ấn định:
SecDefaultAction "phase:2,deny,log,status:403,t:removeNulls"
bắt đầu từ bộ luật cụ thể cho mod_security. Điều này có nghĩa bất cứ những gì không trùng hợp với những luật đã cho phép thì tự động sẽ là error 403.
Một lần nữa, "allow selective" ngay trên tầng ứng dụng web cũng đòi hỏi một nguyên tắc: xác định nhu cầu cụ thể cần bảo mật là gì?. Giả sứ, diễn đàn HVA chí mở rộng "context" (URI) là /hvaonline/ để public access thì chỉ có mỗi /hvaonline/ được cho phép và tất cả những thứ còn lại đều không cho phép. Chẳng những vậy, đã cho phép truy cập /hvaonline/ rồi nhưng cho phép cụ thể những điều kiện nào? Đây cũng là một "mục tiêu di động" lúc thư giãn, lúc chặt chẽ... tuỳ tình hình. Chỉ có điều, càng lên cao trên tầng ứng dụng, mọi luật trong khuôn khổ "allow selective" càng cụ thể và đa dạng bởi vì, trên tầng ứng dụng cụ thể là web, mỗi HTTP header, mỗi ứng dụng mở rộng cho phép web từ chỗ "request / response" sang chỗ có session... đều có những vai trò và hiểm hoạ khác nhau.
Tất cả mọi chi tiết đều được viết xuống, được phân tích và được "tick" hay "untick" trước khi hình thành một bộ luật cụ thể.
|
|
|
Muốn làm cái gì lâu dài và bền bỉ cũng cần điều độ, chừng mực. Thức ăn cho trí não cũng giống như thức ăn cho dạ dày. Ráng thồn vô cho nhiều chỉ bị bội thực chớ không có lợi gì hết.
Nói một cách khoa học, não bộ chỉ làm việc liên tục một khoảng thời gian nào đó và sau đó nó sẽ dần dần chậm lại và đi tới chỗ nó không còn làm việc hiệu suất nữa. Đến lúc đó nên ngừng để nghỉ ngơi.
Chìa khoá quan trọng là: tập trung. Một người thật sự tập trung cao độ 1 giờ đồng hồ có hiệu suất khác xa một người thiếu tập trung nhưng cố làm việc trong nhiều giờ. Bởi vậy, tuỳ sức khoẻ, tuỳ kỷ luật bản thân mà định cho mình một thời khoá biểu thích hợp, xen lẫn giữa làm việc và nghỉ ngơi. Khi làm cần tập trung 100% vào làm và khi nghỉ thì hoàn toàn gát chuyện công việc sang một bên.
Đừng thức khuya và thức dậy trễ vì não bộ làm việc tốt nhất vào buổi sáng sớm.
|
|
|
Không thể sniff những thứ gì bên ngoài mạng mình đang dùng (khác network, bên ngoài router).
Nên học căn bản về mang trước khi thắc mắc những thứ như trên.
|
|
|
Theo mặc định, các unsigned applets hay self-signed applet khi kích hoạt thường được cảnh báo (prompt) cho nên người dùng nên cẩn thận mà xem kỹ applet hiện lên có đáng tin cậy hay không. Phần lớn người cứ bấm bừa "OK" hay "Accept" là dính chấu dễ dàng thôi.
Nếu máy có antivirus và cho phép điều chỉnh không cho download những thứ như exe, bat, dll... thì applet đen tối cũng khó lòng mà thực thi.
|
|
|
Đặt lại tiêu đề và điều chỉnh lại nội dung bài viết cho rõ ràng. Đừng cắt dán lem nhem như vậy.
|
|
|
Nên tham khảo thật kỹ cái này:
http://codex.wordpress.org/Hardening_WordPress
|
|
|
C0denam3 wrote:
Nguyên tắc này em nghĩ dễ làm cho người đọc nghĩ rằng sẽ build một đống rồi không dùng cái gì sẽ turn off cái đó. Điều này không đúng chút nào và cũng không nên xây dựng hệ thống theo nguyên tắc trên.
Em thường xây dựng hệ thống của em từ “blank page”, có nghĩa là từ không có gì, và xây dựng bám sát vào trong nhu cầu cụ thể. Không dùng cái gì thì không install, chỉ install những thứ chắc chắn là sẽ dùng. Dĩ nhiên việc này sẽ mất sức nhiều hơn nhưng bù lại việc quản lý hệ thống sẽ dễ dàng hơn vì người xây dựng sẽ có sự am hiểu về những gì chạy bên trong hệ thống của mình. Điểm yếu duy nhất của cách này có lẽ là việc build cứng một giải pháp thế này nếu cần mở rộng thì thường phải đập ra xây dựng lại (mất sức, mất tiền, mất thời gian), và công việc này chỉ phù hợp cho những người giàu kinh nghiệm. Tuy nhiên nếu xét về bảo mật thì sẽ mang lại hiệu quả rất cao.
Nói chung thì em nghĩ điểm thứ 2, nên chuyển thành : Xây dựng từ blank page sẽ phù hợp hơn.
Nhận xét của em rất đúng nếu xét ở góc độ "start afresh" để build 1 server hoặc một chuỗi server. Tuy nhiên, nếu xét ở góc độ kiện toàn và bảo trì hoặc thậm chí thay đổi chiến thuật phòng bị thì nguyên tắc "If not used, turn off" là nguyên tắc cứ xảy ra mãi.
Trong quá khứ, HVA đã từng áp dụng một hệ thống external caching nhưng sau một thời gian thấy nó không hiệu năng mà còn bị hạn chế ở mặt scalability cho nên sử dụng cache ngay trong heap của JVM. Trong hoàn cảnh ấy, nguyên tắc "If not used, turn off" cực kỳ cần thiết bởi vì chính cache service nuốt memory. Ngày trước HVA cũng đã từng sử dụng snort rất chi tiết để detect DDoS và block nguồn DDoS. Tuy nhiên, sau khi áp dụng và chạy một thời gian thì thấy không hoàn toàn hiệu năng và không thể tránh được false positive cho nên quyết định bỏ snort ra. Khi đó, "If not used, turn off" rất cần thiết vì nó vẫn tiếp tục ngốn tài nguyên và tệ hơn nữa, nó tiếp tục tạo false positive.
Về mặt building configuration, HVA chưa bao giờ sử dụng default configuration của bất cứ dịch vụ nào. Nếu xem cấu hình của từng dịch vụ chạy trên HVA (từ firewall cho đến web application) tất cả đều start clean slate. Đây là một nguyên tắc tốt, nó hỗ trợ cho "If not used, turn off" chớ không đối chọi với "If not used, turn off" .
|
|
|
Ba nguyên tắc nền tảng mà HVA bảo mật là:
1. Deny all, allow selective (cản hết, cho phép theo chọn lựa).
2. If not used, turn off (nếu không dùng, tắt bỏ).
3. Your strongest defense is your weakest point (điểm bảo vệ mạnh nhất chính là điểm yếu nhất của bạn).
Với điểm số một, HVA không những deny all ở một tầng giao thức hoặc một ứng dụng mà trải dài từ tầng IP lên đến một chức năng cụ thể ở tầng ứng dụng. Theo mặc định, tất cả là DENY rồi sau đó mới xét đến chuyện ALLOW cái gì và lý do tại sao phải ALLOW. Ngay cả ALLOW rồi cũng phải phân tích cho kỹ cần bảo vệ và giám sát thế nào cho mỗi ALLOW.
Với điểm số hai, một máy chủ hoặc một chuỗi máy chủ là để cung cấp dịch vụ. Nếu dịch vụ nào đó không được cung cấp thì không việc gì phải mở nó ra. Chẳng những mở nó hao tổn tài nguyên mà còn mở cửa cho một hoặc nhiều khả năng exploit. Bất cứ một dịch vụ nào được mở ra luôn luôn phải kèm theo các lý do thoả đáng tại sao nó được mở ra và cái gì dùng để kiểm soát và bảo đảm sự bảo mật của nó.
Với điểm thứ ba, firewall, IDS, logs check, alerts... không thể bảo đảm bảo mật nếu như bất cứ một việc làm nào, một thay đổi nào, một chỉnh sửa nào trên hệ thống mà không thoả mãn được câu hỏi: WHY? "weakest point" trong bảo mật hầu hết là những thiếu sót hoặc những tắc trách ngu xuẩn vì chủ quan hoặc vì không thoả mãn cái WHY kia.
Tất cả mọi thứ liên quan đến bảo mật chỉ gói gém trong 2 thứ: INPUT và OUTPUT.
<sẽ tiếp tục khai triển>.
|
|
|
Code:
# Copyright 2012 Country IP Blocks LLC
#all rights reserved.
#This list may not be redistributed in any form.
#this list includes network data on the following countries:
#VIET NAM
<Limit GET POST>
order deny,allow
allow from 1.52.0.0/14
allow from 14.0.16.0/20
allow from 14.160.0.0/11
allow from 14.224.0.0/11
allow from 27.0.12.0/22
allow from 27.2.0.0/15
allow from 27.64.0.0/12
allow from 27.118.16.0/20
allow from 42.1.64.0/18
allow from 42.96.0.0/18
allow from 42.112.0.0/13
allow from 49.156.52.0/22
allow from 49.213.64.0/18
allow from 49.236.208.0/22
allow from 49.246.128.0/18
allow from 49.246.192.0/19
allow from 58.186.0.0/15
allow from 61.11.224.0/19
allow from 61.28.224.0/19
allow from 101.53.0.0/18
allow from 101.96.12.0/22
allow from 101.96.64.0/18
allow from 101.99.0.0/18
allow from 103.1.200.0/22
allow from 103.1.208.0/22
allow from 103.1.236.0/22
allow from 103.2.220.0/22
allow from 103.2.224.0/22
allow from 103.2.228.0/22
allow from 103.3.244.0/22
allow from 103.3.248.0/22
allow from 103.3.252.0/22
allow from 103.4.128.0/22
allow from 103.5.30.0/23
allow from 103.5.204.0/22
allow from 103.5.208.0/22
allow from 103.7.36.0/22
allow from 103.7.40.0/22
allow from 103.7.172.0/24
allow from 103.7.174.0/23
allow from 103.7.177.0/24
allow from 103.7.196.0/24
allow from 103.8.13.0/24
allow from 103.9.0.0/22
allow from 103.9.4.0/22
allow from 103.9.76.0/22
allow from 103.9.80.0/22
allow from 103.9.84.0/22
allow from 103.9.196.0/22
allow from 103.9.200.0/22
allow from 103.9.204.0/22
allow from 103.9.208.0/22
allow from 103.9.212.0/22
allow from 103.10.88.0/22
allow from 103.10.212.0/22
allow from 103.11.172.0/22
allow from 103.12.104.0/22
allow from 103.13.76.0/22
allow from 103.23.144.0/22
allow from 103.23.156.0/22
allow from 103.28.32.0/22
allow from 103.28.36.0/22
allow from 103.28.136.0/22
allow from 103.28.172.0/22
allow from 103.246.104.0/24
allow from 103.246.220.0/22
allow from 110.35.64.0/21
allow from 110.35.72.0/21
allow from 110.44.184.0/21
allow from 111.65.240.0/20
allow from 111.91.232.0/22
allow from 112.72.64.0/18
allow from 112.78.0.0/20
allow from 112.109.88.0/21
allow from 112.137.128.0/20
allow from 112.197.0.0/16
allow from 112.213.80.0/20
allow from 113.20.96.0/19
allow from 113.22.0.0/16
allow from 113.23.0.0/17
allow from 113.52.32.0/19
allow from 113.61.108.0/22
allow from 113.160.0.0/11
allow from 115.72.0.0/13
allow from 115.84.176.0/21
allow from 115.146.120.0/21
allow from 115.165.160.0/21
allow from 116.68.128.0/21
allow from 116.96.0.0/12
allow from 116.118.0.0/17
allow from 116.193.64.0/20
allow from 116.212.32.0/19
allow from 117.0.0.0/13
allow from 117.103.192.0/18
allow from 117.122.0.0/17
allow from 118.68.0.0/14
allow from 118.102.0.0/21
allow from 118.107.64.0/18
allow from 119.15.160.0/19
allow from 119.17.192.0/18
allow from 119.18.128.0/20
allow from 119.18.184.0/21
allow from 119.82.128.0/20
allow from 120.50.184.0/21
allow from 120.72.80.0/21
allow from 120.72.96.0/19
allow from 120.138.64.0/20
allow from 122.102.112.0/22
allow from 122.129.0.0/18
allow from 122.201.8.0/21
allow from 123.16.0.0/12
allow from 124.157.0.0/18
allow from 124.158.0.0/20
allow from 125.58.0.0/18
allow from 125.212.128.0/17
allow from 125.214.0.0/18
allow from 125.234.0.0/15
allow from 125.253.112.0/20
allow from 171.224.0.0/11
allow from 175.103.64.0/18
allow from 175.106.0.0/22
allow from 180.93.0.0/16
allow from 180.148.0.0/21
allow from 180.148.128.0/20
allow from 180.214.236.0/22
allow from 182.161.80.0/20
allow from 182.236.112.0/22
allow from 182.237.20.0/22
allow from 183.80.0.0/16
allow from 183.81.0.0/17
allow from 183.90.160.0/21
allow from 183.91.0.0/19
allow from 183.91.160.0/19
allow from 202.0.79.0/24
allow from 202.4.168.0/24
allow from 202.4.176.0/24
allow from 202.6.2.0/24
allow from 202.6.96.0/23
allow from 202.9.79.0/24
allow from 202.9.80.0/24
allow from 202.9.84.0/24
allow from 202.37.86.0/23
allow from 202.43.108.0/22
allow from 202.44.137.0/24
allow from 202.47.87.0/24
allow from 202.47.142.0/24
allow from 202.52.39.0/24
allow from 202.55.132.0/22
allow from 202.56.57.0/24
allow from 202.58.245.0/24
allow from 202.59.238.0/23
allow from 202.59.252.0/23
allow from 202.60.104.0/21
allow from 202.74.56.0/24
allow from 202.74.58.0/23
allow from 202.78.224.0/21
allow from 202.79.232.0/21
allow from 202.87.212.0/22
allow from 202.92.4.0/22
allow from 202.93.156.0/22
allow from 202.94.82.0/24
allow from 202.94.88.0/23
allow from 202.124.204.0/24
allow from 202.130.36.0/23
allow from 202.134.16.0/21
allow from 202.134.54.0/24
allow from 202.151.160.0/20
allow from 202.158.244.0/22
allow from 202.160.124.0/23
allow from 202.172.4.0/23
allow from 202.191.56.0/22
allow from 203.8.127.0/24
allow from 203.8.172.0/24
allow from 203.34.144.0/24
allow from 203.77.178.0/24
allow from 203.79.28.0/24
allow from 203.89.140.0/22
allow from 203.99.248.0/22
allow from 203.113.128.0/19
allow from 203.113.160.0/19
allow from 203.119.8.0/22
allow from 203.119.36.0/22
allow from 203.119.44.0/22
allow from 203.119.58.0/23
allow from 203.119.60.0/22
allow from 203.119.64.0/21
allow from 203.119.72.0/22
allow from 203.128.240.0/21
allow from 203.160.0.0/23
allow from 203.160.96.0/21
allow from 203.161.178.0/24
allow from 203.162.0.0/21
allow from 203.162.8.0/21
allow from 203.162.16.0/20
allow from 203.162.32.0/19
allow from 203.162.64.0/18
allow from 203.162.128.0/20
allow from 203.162.144.0/20
allow from 203.162.160.0/19
allow from 203.162.192.0/18
allow from 203.163.128.0/18
allow from 203.170.26.0/23
allow from 203.171.16.0/20
allow from 203.176.160.0/21
allow from 203.189.28.0/22
allow from 203.190.160.0/20
allow from 203.191.8.0/21
allow from 203.191.48.0/21
allow from 203.195.0.0/18
allow from 203.201.56.0/22
allow from 203.205.0.0/18
allow from 203.209.180.0/22
allow from 203.210.128.0/18
allow from 203.210.192.0/18
allow from 210.2.64.0/18
allow from 210.86.224.0/20
allow from 210.211.96.0/19
allow from 210.245.0.0/19
allow from 210.245.32.0/19
allow from 210.245.64.0/18
allow from 218.100.10.0/24
allow from 218.100.14.0/24
allow from 218.100.60.0/24
allow from 220.231.64.0/18
allow from 221.121.0.0/18
allow from 221.132.0.0/18
allow from 221.133.0.0/19
allow from 222.252.0.0/14
allow from 223.27.104.0/21
deny from all
</Limit>
|
|
|
whatdie15 wrote:
conmale wrote:
whatdie15 wrote:
biaheniken wrote:
Nói như bạn thì ông bà ta chống ngoại xâm bằng cái gi?bằng trái tim ư?nếu tin lời bạn nói thì kg có chúng ta trên mảnh đất VN hôm nay đâu...Mong rằng các mod đừng làm hỏng tiêu đề này....
Bạn nói đúng rồi đấy! Ông bà ta xưa nay đếu chiến đấu chống ngoại xâm bằng khối óc và trái tim mình cả, nhất là trong thới chống Pháp và Mỹ, thử hỏi xem thế lực hai bên chênh lệch thế nào, mà tại sao ta vẫn thành công, những người chiến sĩ đó họ đâu cần ai chĩ dẫn đâu, họ không cần một chuyên gia vũ khí chỉ dẫn kĩ thuật và tặng đồ nghề vẫn chế được súng không giật mang tên SKZ, họ không cần một chuyên gia tâm lí giảng đạo vẫn có thể dũng cảm lấy thân mình lấp lỗ châu mai, họ thật sự đã dùng khối óc , trái tim, sự sáng tạo của mình để đến thành công, chứ không như ai, muốn học hỏi mà lại trách khứ người khác không cho mình đồ nghề cũng không ai dạy bảo.
Bồ whatdie15 có vẻ rành lịch sử quá ta? . Chỉ có điều lịch sử bồ "rành" không chính xác.
Hihi, nhớ mang máng chớ có chính xác đâu anh, chỉ lấy ra làm vì dụ thôi mà
Mang máng cũng sai theo kiểu mang máng luôn. Quân đội nhân dân của ta có được là nhờ quân đội nhân dân TQ đấy và trong suốt cuộc chiến chống Pháp và Mỹ thì người anh em môi hở răng lạnh không những giúp ta vũ khí, đạn dược, thuốc men mà cả quân đội và chuyên gia nữa đấy. Nếu dùng lịch sử để chứng minh cái gì thì nên chính xác.
|
|
|
whatdie15 wrote:
biaheniken wrote:
Nói như bạn thì ông bà ta chống ngoại xâm bằng cái gi?bằng trái tim ư?nếu tin lời bạn nói thì kg có chúng ta trên mảnh đất VN hôm nay đâu...Mong rằng các mod đừng làm hỏng tiêu đề này....
Bạn nói đúng rồi đấy! Ông bà ta xưa nay đếu chiến đấu chống ngoại xâm bằng khối óc và trái tim mình cả, nhất là trong thới chống Pháp và Mỹ, thử hỏi xem thế lực hai bên chênh lệch thế nào, mà tại sao ta vẫn thành công, những người chiến sĩ đó họ đâu cần ai chĩ dẫn đâu, họ không cần một chuyên gia vũ khí chỉ dẫn kĩ thuật và tặng đồ nghề vẫn chế được súng không giật mang tên SKZ, họ không cần một chuyên gia tâm lí giảng đạo vẫn có thể dũng cảm lấy thân mình lấp lỗ châu mai, họ thật sự đã dùng khối óc , trái tim, sự sáng tạo của mình để đến thành công, chứ không như ai, muốn học hỏi mà lại trách khứ người khác không cho mình đồ nghề cũng không ai dạy bảo.
Bồ whatdie15 có vẻ rành lịch sử quá ta? . Chỉ có điều lịch sử bồ "rành" không chính xác.
|
|
|
TheShinichi wrote:
conmale wrote:
TheShinichi wrote:
Xin chào BQT,
Tớ dùng iPad2 truy cập HVA vào được đến trang có Forum | Portal. Nhấn vào link forum thì không vào được forum mà bị wwwect đến /null hoặc /to hoặc /xxx gì gì đó.
Nhờ BQT kiểm tra xem lỗi ở đâu nhé
Thanks !
Lỗi ở trình duyệt trên iPad không cho set cookie và không cho chạy javascript.
Như vậy có cách nào khắc phục không ạ ?
Xin báo thêm lỗi bị wwwect vào /null khi dùng FireFox 14.0.1 trên Mac Lion 10.7.2. Tuy nhiên cũng trên máy đó dùng Chrome 20.0.1132.57 thì bình thường (bài này mình post = Chrome)
Thân,
Khi nói "Lỗi ở trình duyệt trên iPad không cho set cookie và không cho chạy javascript. " thì có nghĩa là để khắc phục thì phải cho setcookie và cho chạy javascript.
Cái này áp dụng cho mọi trình duyệt trên mọi hệ điều hành.
|
|
|
Có lẽ nên khai triển theo góc độ mitigate từng attack vector. Điều này có nghĩa cần đưa ra từng loại attack mà HVA đã, đang và sẽ bị attack để từ đó hình thành GIẢI PHÁP mitigate. Tất nhiên, khi nói đến giải pháp thì luôn luôn cần phân tích.
Khi nói đến "từ brute force cho đến các loại scripts, shells, cho đến các dạng tự động hoá "tìm lỗi" và những táy máy rất tỉ mỉ bằng tay và thường gặp nhất: DoS và DDoS" thì ta đã nói đến tổng quát các dạng tấn công và từ đó có thể xác định các vector rồi.
Khi nói đến "một diễn đàn thiện nguyện và hoàn toàn không kinh doanh như HVA" thì có nghĩa là nói đến kinh phí hạn hẹp.
Kết hợp hai dòng in nghiêng ở trên, hãy hình thành mỗi attack vector và mỗi mitigation kèm theo phân tích.
|
|
|
Có rất nhiều bạn hỏi (riêng) với tôi câu hỏi: "HVA bảo mật như thế nào?"
Tôi biết phần lớn câu hỏi này được đặt ra nhằm mục đích tìm tòi, tham khảo để áp dụng cho hệ thống riêng của mình. Vì tính bảo mật của chính HVA, tôi chưa bao giờ có thể trình bày một cách cụ thể và cặn kẽ nhưng câu hỏi này cứ tiếp tục được lặp đi, lặp lại cho nên tôi quyết định đưa ra một "case-study" cho nó. Tất nhiên, tôi sẽ không đưa ra những thông số cụ thể trong cấu hình (vì lý do bảo mật) nhưng tôi sẽ cố gắng đẩy case-study này thành một nơi giải đáp những thắc mắc chung về việc "HVA bảo mật như thế nào?" với hy vọng đưa ra những rút tỉa hữu ích.
Một diễn đàn thiện nguyện và hoàn toàn không kinh doanh như HVA, một điểm đích cho đủ mọi loại thử nghiệm từ brute force cho đến các loại scripts, shells, cho đến các dạng tự động hoá "tìm lỗi" và những táy máy rất tỉ mỉ bằng tay và thường gặp nhất: DoS và DDoS, hãy hình dung xem HVA forum:
- Cần những gì?
- Cần thiết kế ra sao?
- Cần quản lý như thế nào?
- Cần bảo trì và theo dõi ra làm sao?
Hãy cùng nhau khai triển càng chi tiết càng tốt. Mời bà con.
|
|
|
AQ wrote:
Có bạn nào có kinh nghiệm/bài báo/định hướng để làm một phần mềm chuyên về tính toán statistics ko?
Hiện tại mình đang phát triển một tool automation tự động generate request để send tới một server.
mình mong muốn count lại tấc cả số lưộng request/failed/success/error/...
Mình đã làm rồi, nhưng ko có design class trước, nên giờ code đang rất complex.
mong muốn có một giải pháp tốt hơn.
Thanks.
Không hiểu ý bồ muốn gì nữa.
Bồ muốn
1. Tạo tool để tự động generate request?
2. Tạo tool để count failed/success/error?
|
|
|
Đọc kỹ cái này:
http://au2.php.net/manual/en/install.unix.php
|
|
|
Hình như 100 người thì phải đến 90 người không thèm đọc từ đầu đến cuối chủ đề mà có đọc thì cũng lờ lửng, đọc lướt và chẳng hiểu mọi người thảo luận cái gì cho nên cứ khăng khăng đòi.... làm hacker.
Đừng muốn làm hacker vì đó là chọn lựa sai ngay từ đầu.
|
|
|
AQ wrote:
Xin chào các bạn.
Bạn mình vừa mới qua định cư bên Úc, nhưng chưa xin được việc làm IT bên Úc. Nay mình tao thread này mong các bạn/anh/em có kinh nghiệm làm việc chuyên ngành IT ở Úc tư vấn để có thể tìm được một công việc phù hợp.
* Tốt nghiệp: Bách Khoa (2003 - 2008). Chuyên ngành CNTT
* Kinh nghiệm: Phần lớn kinh nghiệm làm việc ở vị trí Tester Engineer. Có suy nghĩ như một tester.
2007->2008: TMA solutions.
2008->2012: EverS solutions.
- Manual Tester Engineer/Automation Engineer.
- Java Developer. (develop a tool to run automation testing)
Có 2 năm làm leader một nhóm 4-5 members.
* Kỹ năng:
- Linux/windows
- Smartphone platform: Android, IOS, Windows phone,...
- Vì làm việc ở vị trí QA nên có kiến thức trải dài trên nhiều vấn đề. Nói chung cái gì cũng biết, tuy rằng chỉ biết đủ để troubleshoot/đủ để làm việc. Nhưng chủ yếu focus vào những kỹ năng liên quan tới vị trí QA
Đây là phần tóm lược kinh nghiệm cũng như kỹ năng. Mong các bạn tư vấn.
Hiện nay bạn mình sinh sống tại khu Bankstown - Sydney.
Thân!
Chuẩn bị một cái CV cho cụ thể vào những điểm sở trưởng của mình. Sau đó vào http://www.seek.com.au và bắt đầu tìm.
|
|
|
Compile lại apache từ đầu với mod_unique kèm theo. Nếu apache đã cài phiên bản này rồi mà lại download source mới hơn rồi chỉ compile một module từ đống source mới hơn và dùng apxs hiện có (cũ hơn) thì teo.
Đọc tài liệu chính thức của apache cho cẩn thận. Không ai có thể giúp được việc đọc cả.
|
|
|
tnt.ad wrote:
Chào bạn,
Mình đang tìm hiểu về mod_security, mình xin hỏi một chút:
Mình đã làm đến đoạn copy file mod_security2.so vào thư mục /etc/httpd/modules
Nhưng trong /etc/httpd/ không thấy có thư mục modules mà chỉ có các thư mục và file sau:
build conf lib man modules
(file modules được tạo ra có lẽ do mình dùng câu lệnh cp mod_security2.so /etc/httpd/modules trước đó)
Vì vậy mình đã copy file mod_security2.so vào thư mục /usr/lib/apache/ và LoadModule từ đó.
Như trên, mình không tìm thấy thư mục conf.d (nơi chưa các file cấu hình riêng của apache) trong /etc/httpd/ và mình thấy có thư mục là /etc/httpd/conf/extra, nên mình đã tạo file cấu hình cho Mod Security (httpd-modsec.conf) với nội dung mà bạn đã đưa ra ở trên:
Code:
<IfModule security2_module>
# Bat che do loc cua Modsecurity
SecRuleEngine On
# Thiet lap action mac dinh
SecDefaultAction "phase:2,deny,log,status:404"
# rule thu nghiem block tat ca request co uri chua "hacker"
SecRule REQUEST_URI "hacker"
</IfModule>
Sau đó mình restart lại apache, module được load, xong ko có tác dụng, mình thử mở bằng trình duyệt 1 file hacker.txt nhưng vẫn xem được bình thường mà ko thấy báo lỗi 404.
Vậy mình xin hỏi quá trình làm của mình sai ở bước nào? Mong được chỉ giáo!
---> đừng đọc và làm theo hướng dẫn một cách cứng nhắc như vậy. Apache có nhiều dạng layout khác nhau tuỳ distro, tuỳ cách cài (xuyên qua gói có sẵn hay compile). Bởi vậy, tuỳ layout mình hiện có mà xác định vị trí của "modules" nằm ở đâu thay vì làm theo chính xác như hướng dẫn.
|
|
|
Bồ không hiểu đoạn này nói gì sao?
./configure: error: the HTTP rewrite module requires the PCRE library.
You can either disable the module by using --without-http_rewrite_module
option, or install the PCRE library into the system, or build the PCRE library
statically from the source with nginx by using --with-pcre=<path> option.
|
|
|
ngtrongtri wrote:
Step 1: Em download file module kia về.
Step 2: uznip
Step 3:cd vào folder đã unzip đó
Step 4: thực hiện lệnh
./configure --add-module=/home/admin/folder_unzip/
Code:
./configure: error: the HTTP rewrite module requires the PCRE library.
You can either disable the module by using --without-http_rewrite_module
option, or install the PCRE library into the system, or build the PCRE library
statically from the source with nginx by using --with-pcre=<path> option.
Step 5: Chạy lệnh
make && make install
Đó là các bước em đã làm.
Nhưng hiện tại em không dùng phương pháp này nữa, em đã làm cách khác và đã thành công.
Tuy nhiên em cài Nginx theo lệnh apt-get install nginx chứ không phải compiled.
Vậy em hỏi khi download soucre của nó về rồi, thì làm sao để compiled nó với 1 tuỳ chọn module khác ?
Em đọc "If you have manually compiled Nginx, you will need to recompile and reinstall with './configure --with-http_ssl_module'." thì em không biết cách để compiled lại.
Sai ngay step 4. Phải copy source đã unzip vào source folder (module) của source nginx rồi mới cd ra ngoài thư mục chính chứa source của nginx rồi mới make.
Muốn compile nginx thì đọc tài liệu hướng dẫn kèm theo với nginx source hoặc vào trang nginx mà tham khảo.
|
|
|
ngtrongtri wrote:
Cảm ơn anh, nhưng em làm đến bước này rồi thì đứng luôn
Code:
admin@ubuntu:~/nginx-1.2.0$ make && make install
make: *** No rule to make target `build', needed by `default'. Stop.
Trước đó em đã chạy lệnh ./configure rồi.
Bồ làm đúng steps không? Trình bày từng step bồ làm coi thử sao?
|
|
|
Đọc cái này:
http://prasadl.livejournal.com/2733.html
|
|
|
hacklong.vn wrote:
Chào tất cả mọi người.
Em có 1 vấn đề cần hỏi.
Có cách nào hay giải pháp nào giới hạn dung lượng gửi mail từ internal ra external nhưng không hạn chế mail từ ễtrnal vào internal.
Sever mail của em là thuê của FPT.
--> không hiểu phần màu đỏ ở trên. "Dung lượng gởi mail" là kích thước mỗi mail hay là tổng số lưu thông?
Server mail chạy ứng dụng ra sao? cấu trúc cụ thể như thế nào?
|
|
|
|
|
|
|