banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Các port mở và bảo mật  XML
  [Question]   Các port mở và bảo mật 19/07/2012 22:39:54 (+0700) | #1 | 267140
[Avatar]
akaiito
Member

[Minus]    0    [Plus]
Joined: 31/12/2010 08:53:58
Messages: 21
Offline
[Profile] [PM] [Yahoo!]
Hôm trước ông bạn mình có scan cái vps của mình và bảo nhiều port mở, có thể dos / hack qua các port đó nhưng mình nghĩ là việc các port này mở không sao.
Bạn ấy bảo cả cổng 80 nên che đi nữa nhưng mình không hiểu lắm. Thuật ngữ này là sao ? (thấy bảo là port 80 vẫn dùng bt nhưng khi scan không thấy)
Vậy ai hiểu & có kinh nghiệm có thể giúp mình vấn đề này với (sơ qua về việc các port mở trên sever có ảnh hưởng gì đến security không), mình nên đọc thêm tài liệu nào để tự phòng chống ?
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 20/07/2012 10:55:37 (+0700) | #2 | 267172
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]

akaiito wrote:
Hôm trước ông bạn mình có scan cái vps của mình và bảo nhiều port mở, có thể dos / hack qua các port đó nhưng mình nghĩ là việc các port này mở không sao.
Bạn ấy bảo cả cổng 80 nên che đi nữa nhưng mình không hiểu lắm. Thuật ngữ này là sao ? (thấy bảo là port 80 vẫn dùng bt nhưng khi scan không thấy)
Vậy ai hiểu & có kinh nghiệm có thể giúp mình vấn đề này với (sơ qua về việc các port mở trên sever có ảnh hưởng gì đến security không), mình nên đọc thêm tài liệu nào để tự phòng chống ? 


Cổng 80 mà "che lại" thì ai truy cập được vào website bạn được nhỉ ?
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 20/07/2012 15:38:09 (+0700) | #3 | 267201
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

tranhuuphuoc wrote:

Cổng 80 mà "che lại" thì ai truy cập được vào website bạn được nhỉ ? 

Chắc ý bạn này là nếu dùng các tool scan port thì sẽ không thấy port 80 mở nhưng truy cập web vẫn bình thường ấy mà smilie

Dùng wireshark capture những thứ sau:
1. Scan các port mở và các gói tin trả về
2. Scan các port đóng và các gói tin trả về
3. Truy cập đến port mở một cách hợp lệ (VD: dùng firefox kết nối đến port 80)

- So sánh khác biệt giữa 1 và 2 => Hình thành cách hành xử của HĐH khi muốn "che" (đánh lừa các công cụ scan port)
- So sánh sự khác biệt giữa 1 và 3 => Hình thành cơ sở để phân biệt dấu hiệu của các ứng dụng bình thường và các công cụ scan port (VD: Nếu là firefox kết nối đến port 80 thì cho phép, Nếu là nmap scan port thì trả về là port đóng)

Hồi trước em có làm cái Firewall transparent với các bộ scanning (nmap, nessus) nên có kinh nghiệmsmilie

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 20/07/2012 20:31:49 (+0700) | #4 | 267208
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]
Ah, nếu như ý của bạn akaiito nói thì psad chắc đáp ứng đủ nhu cầu smilie
http://www.cipherdyne.org/psad/
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 21/07/2012 08:21:36 (+0700) | #5 | 267220
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
Hôm trước ông bạn mình có scan cái vps của mình và bảo nhiều port mở, có thể dos / hack qua các port đó nhưng mình nghĩ là việc các port này mở không sao.  


Bạn chạy VPS hệ diều hành nào thế, windows hay linux
Cái mình nêu ở dưới là 1 ít kinh nghiệm dùng linux của mình:

Bạn nên xác định mình cần chạy những dịch vụ nào đó phải là những dịch vụ bạn cần nhất. Ví dụ bạn chỉ chạy 1 site thôi thì chỉ cần mở port 80, port ssh và FTP với cổng chạy mysql và nếu bạn mở dịch vụ shared hosting thì bạn phải mở nhiều cổng hơn như FTP (21), hosting panel (cpanel , direct admin)...

Nhưng bạn nên nhớ là chỉ mở những cổng và chạy những dịch vụ nào thật sự bạn thấy cần thiết thôi. Chứ đừng chơi kiểu cổng nào cũng mở servic nào cũng chạy thì bảo mật không xuể đâu nhé.

Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 21/07/2012 08:49:17 (+0700) | #6 | 267223
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

tranhuuphuoc wrote:
Ah, nếu như ý của bạn akaiito nói thì psad chắc đáp ứng đủ nhu cầu smilie
http://www.cipherdyne.org/psad/ 

Hồi đó em có đọc qua cuốn Linux Firewalls: Attack Detection and Response cũng nói về mấy vụ này smilie
Vấn đề là ở chỗ khi hệ thống bị tấn công mà có người scan nữa thì performance của IPtables bị giảm đáng kể, chính vì thế việc build lại một hệ thống tương tự đồng thời thực hiện cản lọc từ thấp lên cao thì sẽ hiệu quả hơn smilie
- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 21/07/2012 09:13:04 (+0700) | #7 | 267227
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
Hình như 2 anh nghiên về bảo mật linux quá. smilie

Nếu bạn này dùng VPS windows thì sao nhỉ smilie
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 21/07/2012 09:30:59 (+0700) | #8 | 267229
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

sasser01052004 wrote:
Hình như 2 anh nghiên về bảo mật linux quá. smilie

Nếu bạn này dùng VPS windows thì sao nhỉ smilie 

Windows cũng có cách map để điều chỉnh cho các bộ scanning nhận diện thành Linux smilie
Hai vấn đề cần nắm vững khi triển khai:
- TCP/IP
- Cách xử lý gói tin của HĐH (Windows/*Nix)

- Ky0-
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 21/07/2012 18:51:12 (+0700) | #9 | 267255
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]

Ky0 wrote:

sasser01052004 wrote:
Hình như 2 anh nghiên về bảo mật linux quá. smilie

Nếu bạn này dùng VPS windows thì sao nhỉ smilie 

Windows cũng có cách map để điều chỉnh cho các bộ scanning nhận diện thành Linux smilie
Hai vấn đề cần nắm vững khi triển khai:
- TCP/IP
- Cách xử lý gói tin của HĐH (Windows/*Nix)

- Ky0-  


Anh có thể mở rộng thêm chút về cái này được không, em có nhiều cái vẫn chưa tường. :p
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 21/07/2012 20:30:31 (+0700) | #10 | 267263
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

sasser01052004 wrote:

Ky0 wrote:

Hai vấn đề cần nắm vững khi triển khai:
- TCP/IP
- Cách xử lý gói tin của HĐH (Windows/*Nix)

- Ky0-  


Anh có thể mở rộng thêm chút về cái này được không, em có nhiều cái vẫn chưa tường. :p 


Để nhận nhiện một Host chạy hệ điều hành nào? mở các dịch vụ gì phiên bản bao nhiêu? .... thì các bộ scanning sẽ nhận diện bằng cách thức sau:
- Các port mở trên host
- Độ dài và các trường gói tin trả về (Cách hành xử của HĐH khi nhận được một gói tin. Ví dụ: khi bạn gửi một gói syn đến port đang mở thì hệ điều hành bình thường sẽ trả về gói RST, nếu đó là windows thì độ dài gói tin trả về sẽ khác windows, trường hợp gói tin đó phải đi qua firewall thì nếu gói tin không bình thường thì có thể sẽ bị drop ...)
- Các banner messages trả về trên các port đang mở
...


Để tiếp cận sâu hơn về vấn đề cần tiến hành theo hai hướng:
  1. Lý thuyết: Nghiên cứu thêm các cuốn sách sau: Nmap Network Scanning, Linux Firewalls: Attack Detection and Response, Và cần kiến thức về các giao thức trong cuốn TCP/IP - Illustrated smilie
  2. Thực nghiệm: dùng các tool scan (Nmap. Nessus ...) các hệ điều hành khác nhau trong tất cả các trường hợp (firewall mặc định, firwall của hãng thứ 3, không có firewall .... ) Đồng thời dùng các công cụ capture quá trình scan, để nhận xét sự sai khác.

Đừng thử nghiệm scan mấy cái server đã được config kỹ như HVA là được smilie (anh conmale đã map lại các port, thay đổi banner messages ....)

Trong quá trình thử nghiệm nếu có vấn đề gì chưa rõ thì cứ mang lên đây thảo luận smilie

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Các port mở và bảo mật 22/07/2012 18:57:01 (+0700) | #11 | 267297
[Avatar]
sasser01052004
Member

[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
Lúc trước mình dùng Nmap 5.x thì chạy bình thường.
Sau khi chạy lên Nmap 6 thì lại bị lỗi:


Code:
root@sasser:~# nmap -v -A scanme.nmap.org

Starting Nmap 6.00 ( http://nmap.org ) at 2012-07-22 21:54 JST
NSE: Loaded 93 scripts for scanning.
NSE: Script Pre-scanning.
route_dst_netlink: can't find interface "venet0"


Bạn nào biết Giúp mình chút nhé


Mình đang dùng ubuntu

Ask me why, don't ask me what.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|