<![CDATA[Messages posted by "nucteiv"]]> /hvaonline/posts/listByUser/186018.html JForum - http://www.jforum.net Viện NCPT Viettel tuyển dụng nhân sự làm Bảo mật hệ thống Mô tả công việc: Số lượng: 05 người - Tư vấn, thiết kế các giải pháp kỹ thuật đảm bảo an toàn, bảo mật thông tin đối với hệ thống. - Nghiên cứu các giải pháp, công nghệ mới về các hình thức tấn công – phòng thủ, áp dụng vào công việc chuyên môn. - Vận hành, theo dõi phát hiện và xử lý các vấn đề phát sinh trên hệ thống máy chủ, thiết bị mạng đảm bảo an toàn bảo mật thông tin. - Xây dựng các chính sách, quy định, quy trình hướng dẫn về an toàn vận hành và sử dụng theo chuẩn ISO 27001. Yêu cầu: - Dưới 35 tuổi. - Tốt nghiệp Đại học chính quy hoặc sau Đại học loại Khá trở lên chuyên ngành CNTT/Điện tử Viễn thông. Ưu tiên các ứng viên tốt nghiệp loại Giỏi và xuất sắc; đạt các giải thưởng quốc gia và quốc tế. * Kỹ năng chuyên môn: - Có kiến thức và kinh nghiệm về quản trị, cấu hình, tối ưu hóa hệ thống các dịch vụ hệ thống như Active Directory/ DNS, DHCP, VPN, Backup, Logging/Monitoring/Alert, Load Balancing… - Có kiến thức và kinh nghiệm về quản trị, cấu hình, tối ưu hóa hệ thống các thiết bị mạng Firewall, Router/ Switch, IDS/IPS. - Có hiểu biết và kinh nghiệm triển khai thực tế về bảo mật hệ thống, các giải pháp tấn công – phòng thủ, theo dõi giám sát hệ thống, phân tích xử lý sự cố. - Ưu tiên đối với các ứng viên có điểm lợi thế sau đây: + Có các chứng chỉ quốc tế về mạng, hệ thống (CCNA/CCNP, MCSA/MCSE…); chứng chỉ bảo mật (CCNA Security, CCSP, CEH, Security+…). + Có khả năng sử dụng ngôn ngữ lập trình: các ngôn ngữ lập trình C, Python, Perl, Shell code… + Sử dụng thành thạo hệ điều hành *nix và các giải pháp bảo mật trên nền mã nguồn mở. + Có kiến thức và kinh nghiệm triển khai, vận hành hệ thống quản lý an ninh thông tin theo chuẩn ISO 27001. - Có khả năng làm việc độc lập và làm việc nhóm, ham học hỏi, kỷ luật tốt; - Nhiệt huyết, chủ động, sáng tạo trong công việc, có khả năng chịu áp lực công việc cao. - Ngoại ngữ: Tiếng Anh chuyên ngành thành thạo; kỹ năng Tiếng Anh tương đương TOEIC – 450 điểm trở lên. * Loại hình công việc: Toàn thời gian cố định * Quyền lợi: - Được làm việc trong môi trường sáng tạo, năng động, nhiều cơ hội thăng tiến. - Mức thu nhập: thỏa thuận theo năng lực và kinh nghiệm cá nhân (Khởi điểm 550 USD). - Các chế độ thưởng ngày lễ, thưởng theo dự án, theo kết quả sản xuất kinh doanh của Tập đoàn. - Các chế độ BHXH, BHYT, BHTN theo pháp luật hiện hành. * Yêu cầu hồ sơ: Hồ sơ dự tuyển gồm: - Đơn đăng ký dự tuyển viết tay (Bằng tiếng Việt và tiếng Anh). - CV ghi rõ năng lực chuyên môn và kinh nghiệm. Lưu ý: ghi rõ tên đề tài tốt nghiệp, tên các dự án đã tham gia và kết quả đạt được trong CV - Sơ yếu lý lịch cá nhân có xác nhận địa phương. - Photo bằng cấp (có công chứng) và các chứng chỉ chuyên môn đạt được. - Giấy chứng nhận sức khỏe và giấy khai sinh. - 04 ảnh 4x6 mới chụp không quá 03 tháng. * Hình thức/Địa điểm/Thời gian nhận hồ sơ Ứng viên có thể nộp hồ sơ bằng một trong hai hình thức sau: - Nộp hồ sơ trực tuyến (Khuyến khích): Các ứng viên gửi CV ứng tuyển tới địa chỉ dưới đây: + Nếu dùng hệ thống email công cộng: Nucteiv@gmail.com + Đối với các hệ thống email khác: Vietnv10@Viettel.com.vn Ghi chú: Gửi CV ứng tuyển trước, khi tới thi tuyển bổ sung hồ sơ đầy đủ sau. - Nộp hồ sơ trực tiếp: Phòng Tổ chức lao động - Viện Nghiên cứu và Phát triển Viettel, 380 Lạc Long Quân, Tây Hồ, Hà Nội. - Thời gian nhận hồ sơ: đến hết ngày 15/3/2014. Ưu tiên tổ chức thi tuyển đối với những ứng viên nộp hồ sơ sớm, có thể ngừng tuyển dụng trước thời hạn khi đã đủ chỉ tiêu. Thông tin tuyển dụng trên Website: http://viettelrd.com.vn/?q=recruitment/kỹ-sư-bảo-mật-hệ-thống * Lưu ý: - Hồ sơ ghi rõ: Vị trí tuyển dụng, địa chỉ, số điện thoại liên hệ. - Chỉ gọi phỏng vấn các ứng viên đạt yêu cầu. Hồ sơ đã nộp không hoàn trả lại - Viettel tuyệt đối không thu bất cứ khoản tiền nào của ứng viên khi nộp hồ sơ tham gia dự tuyển và khi trúng tuyển vào làm việc tại Viettel. ]]> /hvaonline/posts/preList/45450/279745.html#279745 /hvaonline/posts/preList/45450/279745.html#279745 GMT Viện NCPT Viettel tuyển dụng kỹ sư an toàn thông tin, Cloud Computing

tommysmith wrote:
Nhìn tên mail yahoo gjống như trong blacklist của nhà tuyển dụng, nếu quả thật thông tin chính xác thì ông tuyển dụng này cũng teen thật. 
Hệ thống Email Viettel bên mình chặn giao tiếp với các hệ thống Email Public như Yahoo, Gmail nên mình dùng tạm Mail Yahoo để nhận các hồ sơ ứng tuyển. Hơn nữa mình không làm bên bộ phận công tác tuyển dụng mà là hỗ trợ bộ phận đó vì hiện đang quá tải, do đó mới hòm mail mình dùng là mail cá nhân :)]]>
/hvaonline/posts/preList/44992/278691.html#278691 /hvaonline/posts/preList/44992/278691.html#278691 GMT
Viện NCPT Viettel tuyển dụng kỹ sư ATTT, kỹ sư lập trình - NEW

daicamrtran wrote:
Sao toàn yêu cầu bằng cấp khá trở lên không vậy nhỉ ? 
Đó chỉ là một yêu cầu tương đối để đánh giá về mặt bằng chung với quá trình học tập của ứng viên thôi bạn, còn với những ứng viên có khả năng thực sự và chứng minh được với nhà tuyển dụng điều đó thì vẫn ok :)]]>
/hvaonline/posts/preList/45216/278689.html#278689 /hvaonline/posts/preList/45216/278689.html#278689 GMT
Viện NCPT Viettel tuyển dụng kỹ sư ATTT, kỹ sư lập trình - NEW http://viettelrd.com.vn/?q=recruitment/current-vacancies Nơi làm việc: Hà Nội/ Toàn thời gian cố định. Yêu cầu hồ sơ: Hồ sơ dự tuyển gồm: - CV ghi rõ năng lực chuyên môn và kinh nghiệm; Lưu ý: ghi rõ tên đề tài tốt nghiệp, tên các dự án đã tham gia và kết quả đạt được trong CV - Photo bằng cấp và các chứng chỉ chuyên môn đạt được; Hình thức/Địa điểm/Thời gian nhận hồ sơ: Nộp hồ sơ trực tuyến qua email: dau_chan_thoi_gian1085@yahoo.com Lưu ý: * Hồ sơ ghi rõ: Vị trí tuyển dụng, địa chỉ, số điện thoại liên hệ. *Chỉ liên hệ hẹn thi tuyển và phỏng vấn đối với các ứng viên đạt yêu cầu.]]> /hvaonline/posts/preList/45216/278676.html#278676 /hvaonline/posts/preList/45216/278676.html#278676 GMT Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu /hvaonline/posts/preList/45083/278204.html#278204 /hvaonline/posts/preList/45083/278204.html#278204 GMT Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu xác thực ứng dụng đọc/xử lý thông tin (tuỳ thuộc ứng dụng, ví dụ nếu laptop của công ty thì mở được trang web nội bộ, laptop không đúng thì không mở được dù có vào được mạng)... Các giải pháp của bạn đưa ra khá tổng quát và đầy đủ, trong kế hoạch đề xuất mình cũng nghĩ tới hầu hêt các tình huống như vậy và từng đưa cả giải pháp cực đoan như bạn chia sẻ phía cuối bài là: cấm mang thiết bị cá nhân vào, qua kiểm soát bảo vệ + quẹt tia tìm thiết bị lạ thì vào làm việc và được sử dụng các thiết bị có sẵn bên trong. Nhưng có cái đoạn bôi đỏ phía trên mình chưa rõ lắm, bạn chia sẻ cụ thể hơn chút được không, ý tưởng là bạn dùng giải pháp gì và ứng dụng ra sao để xác định đâu là Laptop của Công ty, đâu là laptop ngoài. Phải chăng là xác định theo device code?]]> /hvaonline/posts/preList/45083/278165.html#278165 /hvaonline/posts/preList/45083/278165.html#278165 GMT Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

bino1810 wrote:
Hi anh @nucteiv. Em nghĩ mấu chốt vấn đề nằm ở cái "laptop" lạ kia. Cần đảm bảo chắc chắn không ai có thể mang laptop lạ vào chỗ làm việc ( Em nghĩ cái này có thể làm được, bằng nhiêu cách như kiểm tra bằng tay, thiết bị dò tìm,...). Còn khi họ đã mang vào được thì game over. Em thấy chính sách của anh còn thiếu việc cấm sử dụng usb. Nếu người dùng có thẻ cắm usb vào các máy local thì rất nguy hiểm. Khi đó việc nâng cấp quyền, cài đặt phần mềm lạ phục vụ mục đích xấu càng dễ dàng.
Kiểm soát truy cập Web theo Proxy xác thực NTLM với account của Domain 
Phải chăng anh dùng ISA ạ? 
Hi, vụ cái "laptop" lạ kia đúng là 1 phần mấu chốt nhưng không phải tất cả vì theo case mình đưa ra, nhân viên có 2 máy để làm việc, 1 máy ở khu vực chỉ có mạng nội bộ, 1 máy ở khu vực có mang Internet => anh ta hoàn toàn có thể lấy máy thuộc mạng nội bộ và vác sang vùng có mạng Internet để "thi hành án" :p Về chính sách cấm usb thì ở trên mình có đề cập tới rồi đó: Triển khai hệ thống kiểm soát chống thất thoát dữ liệu Data Lost Prevent để kiểm soát dữ liệu vào ra trên hệ thống email, copy ra thiết bị lưu trữ ngoài... Đúng là trong case này mình đang nói tới kiểm soát proxy theo xác thực NTLM là với thằng ISA hoặc TMG]]>
/hvaonline/posts/preList/45083/278164.html#278164 /hvaonline/posts/preList/45083/278164.html#278164 GMT
Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu /hvaonline/posts/preList/45083/278148.html#278148 /hvaonline/posts/preList/45083/278148.html#278148 GMT Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu Em có case như sau: - Hệ thống mạng của doanh nghiệp tồn tại 2 dạng: 1 khu vực có máy tính truy cập được mạng Internet, 1 khu vực làm việc chí có các máy tính truy cập được mạng nội bộ. - Các giải pháp kỹ thuật đã áp dụng trong cả 2 hệ thống: Em xin phép mô tả theo các lớp của OSI + Lớp vật lý (Lớp 1): kiểm soát ra vào giữa 2 khu vực nói trên bằng hệ thống vân tay hoặc thẻ từ, đảm bảo chỉ có những người có thẩm quyền được phép mới vào được 2 vùng này. + Lớp Netwok Access (lớp 2): Triển khai lọc địa chỉ MAC theo từng máy tính, cấu hình port security tương ứng trên switch chỉ cho phép địa chỉ MAC cố định cụ thể được đi qua port để ra khỏi subnet của mình. Triển khai thêm giải pháp xác thực 802.1x để xác thực người dùng khi muốn truy cập mạng. + Lớp Network (Lớp 3): Triển khai các ACL trên hệ thống SwitchCore hoặc Router định tuyến giữa các VLAN. + Lớp Appliation (Lớp 7): Triển khai quản lý tập trung theo hệ thống Domain Controller và các chính sách theo Policy cấm quyền Admin để hạn chế người dùng cài đặt các phần mềm và thực hiện các hành vi trái phép vượt quyền Triển khai hệ thống kiểm soát chống thất thoát dữ liệu Data Lost Prevention để kiểm soát dữ liệu vào ra trên hệ thống email, copy ra thiết bị lưu trữ ngoài... Kiểm soát truy cập Web theo Proxy xác thực NTLM với account của Domain Vấn đề đặt ra: Một người dùng A là nhân viên trong nội bộ có ý đồ xấu muốn gửi dữ liệu ra ngoài, a ta lén lún mang được 1 máy tính nhỏ vào trong (máy này tất nhiên a ta có toàn quyền admin vì máy cá nhân, hoặc dùng windows hoặc dùng open soure) và thực hiện các việc sau: - Tiến hành đổi địa chỉ MAC (fake MAC) theo một máy nội bộ (một máy bất kỳ đang được vào mạng nội bộ) để truy cập mạng nội bộ. - Tiến hành xác thực 802.1x với account truy cập của mình (vì hiển nhiên a ta có account đúng thẩm quyền của mình để xác thực) - Truy cập vào các máy chủ chứa tài liệu và copy dữ liệu vào đây. => Lúc này tồn tại 2 nguy cơ: 1) Copy được dữ liệu vào máy cá nhân và tìm cách mang máy đó về, còn dữ liệu mang ra ngoài làm gì thì ....có anh ta mới biết :p 2) Tìm cách cho máy laptop cá nhân đó truy cập được mạng Internet và đẩy dữ liệu đó ra store host nào đó. - Truy cập vào vùng máy tính có mạng Internet - Đổi MAC cho laptop cá nhân theo máy bất kỳ để bypasss được bước lọc MAC - Xác thực 802.1x - Đặt proxy và truy cập vào website store host nào đó để upload dữ liệu lên. Ở đây vấn đề là bài toán có cách nào kiểm soát truy cập mạng đối với laptop bất hợp pháp này? Mời các bác cùng thảo luận :D ]]> /hvaonline/posts/preList/45083/278142.html#278142 /hvaonline/posts/preList/45083/278142.html#278142 GMT Viện NCPT Viettel tuyển dụng kỹ sư an toàn thông tin, Cloud Computing 1) Kỹ sư An ninh hạ tầng & An toàn thông tin khối người dùng Mô tả công việc: - Nghiên cứu, tư vấn, thiết kế, đề xuất các giải pháp kỹ thuật đảm bảo an toàn bảo mật thông tin đối với hệ thống và người dùng. - Thực hiện vận hành, kiểm tra bảo trì và xử lý các lỗi trên hệ thống Server, thiết bị kỹ thuật mạng phục vụ an toàn bảo mật thông tin đối với người dùng: Firewall, router/ Switch, IDS/ IPS, Antivirus, Proxy, DLP,… - Nghiên cứu nâng cao kiến thức về giải pháp, công nghệ mới về tấn công – phòng thủ. - Xây dựng, hướng dẫn, kiểm tra người dùng về việc tuân thủ các chính sách, quy trình, quy định về an toàn thông tin. Yêu cầu tuyển dụng: - Dưới 35 tuổi. - Tốt nghiệp Đại học chính quy hoặc sau Đại học loại Khá trở lên chuyên ngành CNTT/Điện tử Viễn thông. Ưu tiên các ứng viên tốt nghiệp loại Giỏi và xuất sắc; đạt các giải thưởng quốc gia và quốc tế. - Có hiểu biết và kinh nghiệm về một trong các lĩnh vực sau: · Có kinh nghiệm áp dụng kiến thức về Networking trong thực tế. · Có kiến thức và kinh nghiệm về quản trị, cấu hình, vận hành, cài đặt hệ thống các dịch vụ như Active Directory/ DNS, DHCP, VPN, Data Backup System, Monitoring & Logging, · Có kiến thức và kinh nghiệm về quản trị, cấu hình, vận hành, cài đặt hệ các thiết bị mạng Firewall, Router/ Switch, IDS/IPS. · Có hiểu biết các vấn đề bảo mật, có kinh nghiệm áp dụng các dạng tấn công và phòng thủ trên môi trường mạng. · Có kiến thức và kinh nghiệm sử dụng các công cụ bảo mật mã nguồn mở (snort, ourmon, pfSense, squid,…). - Sử dụng thành thạo các công cụ bắt và phân tích gói tin, có kinh nghiệm vận dụng trong các trường hợp phản ứng sự cố. - Sử dụng thành thạo ngôn ngữ lập trình mạng; các ngôn ngữ lập trình C, Java, Python, Shell,… - Sử dụng thành thạo hệ điều hành *nix. - Có các chứng chỉ về mạng (CCNA, CCNP, JNCIA, JNCIS… hoặc cao hơn); chứng chỉ bảo mật (CEH, CCNA Security, Security Plus) là lợi thế. - Có khả năng làm việc độc lập và làm việc nhóm, ham học hỏi, kỷ luật tốt; - Nhiệt huyết, chủ động, sáng tạo trong công việc, có khả năng chịu áp lực công việc cao. - Ngoại ngữ: Sử dụng tiếng Anh chuyên ngành thành thạo; có chứng chỉ TOEIC, TOEFL hoặc IELTS tương đương với điểmTOEIC – 450 điểm trở lên. 2) Kỹ sư an ninh ứng dụng: Mô tả công việc: - Nghiên các giải pháp bảo mật hệ thống máy tính, lập trình an toàn. - Xây dựng, hoàn thiện quy trình, giải pháp lập trình an toàn. - Nghiên cứu giải pháp, tư vấn, xây dựng module bảo mật cho các dứng dụng, xây dựng các ứng dụng đảm bảo an toàn thông tin cho hệ thống mạng. - Nghiên cứu các lỗ hổng an ninh trong nội bộ của các ứng dụng như: Phần mềm, website, các dịch vụ, hệ điều hành,… - Nghiên cứu và phát triển các công nghệ trong lĩnh vực an toàn bảo mật thông tin. Yêu cầu tuyển dụng: - Dưới 35 tuổi. - Tốt nghiệp Đại học chính quy hoặc sau Đại học loại Khá trở lên chuyên ngành CNTT/Điện tử Viễn thông. Ưu tiên các ứng viên tốt nghiệp loại Giỏi và xuất sắc; đạt các giải thưởng quốc gia và quốc tế. - Có kinh nghiệm về một trong các lĩnh vực sau: · Có hiểu biết sâu về hệ thống, hệ điều hành, các giải pháp bảo mật, mã hóa. · Có hiểu biết về lỗ hổng web, lỗ hổng phần mềm và các giải pháp phòng chống lỗ hổng. - Thành thạo ngôn ngữ lập trình Assembly, C/C++, Java,… - Có kinh nghiệm lập trình mạng. - Có kinh nghiệm áp dụng các phương pháp tấn công, phòng thủ trên môi trường mạng. - Sử dụng thành thạo hệ điều hành *nix. - Có các chứng chỉ về mạng (CCNA, CCNP, JNCIA, JNCIS… hoặc cao hơn); chứng chỉ bảo mật (CEH); chức chỉ về cơ sở dữ liệu (OCA, OCP… hoặc cao hơn); là một lợi thế. - Có khả năng làm việc độc lập và làm việc nhóm, ham học hỏi, kỷ luật tốt; - *Nhiệt huyết, chủ động, sáng tạo trong công việc, có khả năng chịu áp lực công việc cao. - *Ngoại ngữ: Sử dụng tiếng Anh chuyên ngành thành thạo; có chứng chỉ TOEIC, TOEFL hoặc IELTS tương đương với điểm TOEIC – 450 điểm trở lên. 3) Kỹ sư nghiên cứu công nghệ lõi Cloud Computing: Mô tả công việc: - Nghiên cứu, tối ưu công nghệ ảo hóa (KVM, ESX, Xen, Hyper-V). - Nghiên cứu, phát triển hệ điều hành cho Cloud Computing. - Nghiên cứu, phát triển các giải pháp bảo mật cho Cloud Computing. - Nghiên cứu giải pháp IaaS, PaaS, triển khai Cloud (Private, Public Cloud) - Tìm hiểu kiến trúc hệ thống các công nghệ điện toán đám mây trên nền tảng các dự án mã nguồn mở. - Hỗ trợ tư vấn triển khai dịch vụ, các dự án trên nền tảng điện toán mây. - Nghiên cứu các giải pháp back up dữ liệu, mã hóa cho Cloud. Yêu cầu tuyển dụng: - Dưới 35 tuổi. - Tốt nghiệp Đại học chính quy hoặc sau Đại học loại Khá trở lên chuyên ngành CNTT/Điện tử Viễn thông. Ưu tiên các ứng viên tốt nghiệp loại Giỏi và xuất sắc; đạt các giải thưởng quốc gia và quốc tế. - Có kiến thức và kinh nghiệm làm việc trong các lĩnh vực liên quan ảo hóa và Cloud Computing. - Có kinh nghiệm làm việc với hệ điều hành Linux. - Có khả năng đọc hiểu ngôn ngữ mô hình hóa UML. - Ưu tiên các ứng viên có các chứng chỉ Linux, Cloud Computing. - Có khả năng làm việc độc lập và làm việc nhóm, ham học hỏi, kỷ luật tốt; - Nhiệt huyết, chủ động, sáng tạo trong công việc, có khả năng chịu áp lực công việc cao. - Ngoại ngữ: Sử dụng tiếng Anh chuyên ngành thành thạo; có chứng chỉ TOEIC, TOEFL hoặc IELTS tương đương với điểmTOEIC – 450 điểm trở lên. Thông tin chung: Nơi làm việc: Hà Nội/ Toàn thời gian cố định.Quyền lợi: - Được làm việc trong môi trường sáng tạo, năng động, nhiều cơ hội thăng tiến. - Mức thu nhập: thỏa thuận phù hợp theo vị trí tuyển dụng và năng lực, kinh nghiệm cá nhân (trên 600$) - Các chế độ thưởng theo dự án, theo kết quả sản xuất kinh doanh. - Các chế độ BHXH, BHYT, BHTN theo pháp luật hiện hành.Yêu cầu hồ sơ: Hồ sơ dự tuyển gồm: - Đơn đăng ký dự tuyển viết tay (Bằng tiếng Việt và tiếng Anh), - CV tiếng Anh ghi rõ năng lực chuyên môn và kinh nghiệm; Lưu ý: ghi rõ tên đề tài tốt nghiệp, tên các dự án đã tham gia và kết quả đạt được trong CV - Sơ yếu lý lịch cá nhân có xác nhận địa phương; - Photo bằng cấp (có công chứng) và các chứng chỉ chuyên môn đạt được; - Giấy chứng nhận sức khỏe và giấy khai sinh; - 04 ảnh 4x6 mới chụp không quá 03 tháng. Hình thức/Địa điểm/Thời gian nhận hồ sơ:Nộp hồ sơ trực tuyến: Gửi vào email: dau_chan_thoi_gian1085@yahoo.com *Thời gian nhận hồ sơ: đến hết ngày 30/08/2013 Lưu ý: * Hồ sơ ghi rõ: Vị trí tuyển dụng, địa chỉ, số điện thoại liên hệ. *Chỉ gọi phỏng vấn các ứng viên đạt yêu cầu. Hồ sơ đã nộp không hoàn trả lại]]> /hvaonline/posts/preList/44992/277669.html#277669 /hvaonline/posts/preList/44992/277669.html#277669 GMT Em hỏi chút vấn đề về IP fragment /hvaonline/posts/preList/35668/219991.html#219991 /hvaonline/posts/preList/35668/219991.html#219991 GMT Em hỏi chút vấn đề về IP fragment /hvaonline/posts/preList/35668/219634.html#219634 /hvaonline/posts/preList/35668/219634.html#219634 GMT Em hỏi chút vấn đề về IP fragment

eff3 wrote:

nucteiv wrote:
-> Vậy thì dùng thêm từ khoá fragment trong ACL kia là có vấn đề với nhưng lưu lượng bị fragment rồi??? 
tất nhiên, bình thường sau khi bị fragmented ở đâu đó, thì ip ở đầu nhận sẽ có nhiệm vụ ghép cái đống fragments này lại hoàn chỉnh rồi cắt cái ip header đi rồi gửi phần data (tcp header + data) cho tcp làm việc tiếp theo. Có nghĩa là ở đây mình nghĩ nếu bạn muốn chặn attack bạn chỉ có thông tin ở cái ip header và mấy cái protocols bên ngoài thôi. Còn những thông tin liên quan đến transport layer thì chịu thế nên việc đặt mấy cái điều kiện port trong ACL xem như ko phải là giải pháp hiệu quả ---> Không, ý mình là nếu gói tin bình thường thì các thông tin về layer 3 và layer 4 sẽ nằm đủ trong initial fragment và nếu lọc là permit thì các gói tin đó sẽ được vào trong. nhưng vấn đề là nếu cũng lọc với từ khoá "fragment" thì các gói tin tiếp theo (các gói non-initial fragment) của luồng ở trên (initial fragment) có thể sẽ bị deny ---> như thế node nhận sẽ không reassembler lại được đủ dữ liệu ban đầu mà bên gửi muốn truyền tới rồi. vậy mà cisco lại recommend là nên lọc ip fragment là sao nhỉ???

nucteiv wrote:
Còn Tiny fragment attack, overlaping fragment attack thì mình cũng nắm được cơ chế của nó rồi. 
bạn có thể tóm tắt qua cho mình xem những kiểu tấn công này dc ko?  
[color=red]Mình thấy một bài viết của ai đó trên mạng cũng mô tả khá rõ như sau (xin phép copy cho tiện): *Tiny Fragment Attack: đây là dạng tấn công bằng cách chia thật nhỏ và (thật khéo) IP packet ban đầu ra thành từng fragment rất nhỏ, sao cho một phần thông tin của TCP header nằm trong IP packet ban đầu nằm trong fragment thứ hai. Do static packet filter chỉ kiểm tra fragment có offset = 0, và với bộ TCP header đã bị chia ra như vậy, khả năng static packet filter lọc sót ra rất lớn. Trong thực tế đã có những công cụ sử dụng Tiny Fragment Attack để vượt qua Static Packet Filter. *Overlapping Fragment Attack: tại host destination, sau khi nhận đủ các fragment từ một packet ban đầu (bằng cách nhìn vào field MF và tính tổng cộng chiều dài của các fragment đã nhận được), công việc tái lập packet ban đầu sẽ bắt đầu. Rất không may là thuật toán tái lập nằm trong RFC của IP hiện tại cho phép các fragment có thể ghi đè lên nhau. Kẻ tấn công gửi fragment đầu tiên (offset = 0) với đầy đủ thông tin hợp lệ để vượt qua static packet filter, sau đó sẽ dùng các fragment tiếp theo (offset !=0, không bị kiểm tra bởi static packet filter) để ghi đè lên vùng thông tin header của fragment đầu tiên. Ví dụ như kẻ tấn công muốn xâm nhập vào mail server tại host A được bảo vệ bởi một static packet filter F. Ngoài mail server, host A còn đóng vai trò web server, F cho phép kết nối từ ngoài vào web server nhưng cản tất cả kết nối vào mail server. Kẻ tấn công sẽ tạo ra fragment đầu tiên có source port = 12345, và dest port là 80, giả sử fragment này có chiều dài là 30 bytes. Fragment này sẽ được F cho qua. Fragment thứ 2, lẽ ra phải có offset=30, tuy nhiên, kẻ tấn công cố tình chỉnh offset lại bằng 26, và chính 4 byte này đủ để kẻ tấn công có thể overwrite giá trị dest port từ 80 thành 25 [/color]]]>
/hvaonline/posts/preList/35668/219480.html#219480 /hvaonline/posts/preList/35668/219480.html#219480 GMT
Em hỏi chút vấn đề về IP fragment

eff3 wrote:
Túm lại là mình thấy nhận xét rồi câu hỏi của bạn tương đôi mâu thuẫn ... Mình nghĩ tốt nhất là bạn nói cụ thể ra mấy cái Tiny fragment attack, overlaping fragment attack,... là như thế nào ... rồi mới tính đến chuyện áp dụng mấy cái rules để chặn. Hoặc nếu mình ko hiểu lầm thì bạn đang thắc mắc làm thế nào để chặn traffic của attack còn legitimate traffic thì cho qua? 
Đúng rồi, í mình thắc mắc là theo như bài trên thì có cả những lưu lượng phù hợp mà đáng nhẽ là được phép (nhưng vì bị fragment nên lại bi deny) như trường hợp dưới đây: Packet là một non-initial fragment gửi tới server trên port 80: Dòng ACL đầu tiên chưa thông tin Layer 3 khớp với thông tin Layer 3 trong packet. Nhớ rằng mặc dù đây là thành phần của luồng lưu lượng gửi tới server trên port 80, nhưng lại không có thông tin Layer 4 trong non-initial fragment này. Packet sẽ bị từ chối vì thông tin Layer 3 là khớp với ACL. -> Vậy thì dùng thêm từ khoá fragment trong ACL kia là có vấn đề với nhưng lưu lượng bị fragment rồi??? Còn Tiny fragment attack, overlaping fragment attack thì mình cũng nắm được cơ chế của nó rồi. link tham khảo bài viết gốc: http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800949b8.shtml#howtomatch ]]>
/hvaonline/posts/preList/35668/219440.html#219440 /hvaonline/posts/preList/35668/219440.html#219440 GMT
Em hỏi chút vấn đề về IP fragment Sau đây là một số tình huống xử lý của ACL 100 với các loại packet khác nhau (Ip của web server là 171.16.23.1) Có ACL như sau: access-list 100 permit tcp any host 171.16.23.1 eq 80 access-list 100 deny ip any any Packet mà là một fragment khởi đầu (initial fragment) hoặc là một packet không bị fragment (non-fragment) được gửi tới server trên port 80: Dòng đầu tiên của ACL chưa cả thông tin về Layer 3-4, khớp với thông tin về Layer 3-4 trong packet, vì thế packet được phép cho qua. Packet là một fragment khởi đầu hoặc là một packet không bị fragment được gửi tới server trên port 21: 1. Dòng đầu của ACL chưa cả thông tin về Layer 3-4 nhưng thông tin Layer 4 trong ACL không khớp với packet, vì thế dòng ACL tiếp theo sẽ xử lý 2. Dòng thứ 2 của ACL sẽ deny mọi packet, vì thế packet bị chặn lại. Packet là một fragment packet nhưng không phải gói tin khởi đầu (non-initial fragment) được gửi tới server trên port 80 : Dòng đầu của ACL chưa thông tin về cả Layer 3-4, thông tin Layer 3 trong ACL khớp với thông tin trong packet, và hành động là permit vì thế gói tin được phép cho qua Packet là một non-initial fragment được gửi tới server trên port 21 : Dòng đầu tiên của ACL chưa cả thông tin về Layer 3-4, thông tin Layer 3 trong ACL khớp với thông tin trên packet, không có thông tin về Layer 4 trong packet này, và hành động của ACL là permit, vì thế packet sẽ được phép qua. Tiếp theo, khi sử dụng thêm tham số fragment để kiểm tra các non-initial fragment packet thì sẽ như sau : access-list 101 deny ip any host 171.16.23.1 fragments access-list 101 permit tcp any host 171.16.23.1 eq 80 access-list 101 deny ip any any Packet là một fragment khởi đầu hoặc là một packet không bị fragment gửi tới server trên port 80: 1. Dòng đầu tiên của ACL chưa thông tin Layer 3 khớp với thông tin Layer 3 trên packet. Hành động của dòng ACL này là deny nhưng vì có từ khóa fragments (kiểm tra các non-initial fragment) nên ACL tiếp theo sẽ xử lý tiếp. 2. Dòng thứ 2 của ACL chưa thông tin về Layer 3-4, khớp với thông tin trên packet, vì thế packet được cho qua Packet là một fragment khởi đầu hoặc packet không bị fragment gửi tới server trên port 21: 1. Dòng đầu tiên của ACL chưa thông tin Layer 3, khớp với packet nhưng ACL entry cũng có từ khóa fragment, không khớp với packet này vì Fragment Offset = 0, vì thế ACL tiếp theo sẽ xử lý 2. Dòng thứ 2 của ACL chứa thông tin Layer 3-4, trong trường hợp này, thông tin Layer 4 không khớp, vì thế ACL entry tiếp theo sẽ xử lý 3. Dòng thứ 3 của ACL sẽ deny mọi packet, vì thế packet bị chặn lại Packet là một non-initial fragment gửi tới server trên port 21: Dòng ACL đầu tiên chỉ chứa thông tin Layer 3, và nó khớp với thông tin trên packet, vì tehes packet bị chặn lại. Packet là một non-initial fragment gửi tới server trên port 80: Dòng ACL đầu tiên chưa thông tin Layer 3 khớp với thông tin Layer 3 trong packet. Nhớ rằng mặc dù đây là thành phần của luồng lưu lượng gửi tới server trên port 80, nhưng lại không có thông tin Layer 4 trong non-initial fragment này. Packet sẽ bị từ chối vì thông tin Layer 3 là khớp với ACL. <- Như vậy việc chặn các fragment là có vấn đề không? Vì khi các non-initial fragment gửi tới server trên port 80 bị chặn (mặc dù đây là những phần fragment phía sau của luồng lưu lượng hợp lệ gửi tới server trên port 80) thì sẽ không reassemble được ở node nhận. -> như vậy là không cho phép các lưu lượng mà bị fragment vào trong mạng để tới websever nhưng thực tế là vẫn cần fragment vì trải qua các đường truyền có MTU khác nhau -> Đó chính là điều em đang thắc mắc ? (lọc các non-initial fragment nhưng nếu thế thì các packet mà bị fragment sẽ không được cho phép đi vào sever, mà việc fragment thì vẫn cần thực hiện chứ nhỉ?)]]> /hvaonline/posts/preList/35668/219364.html#219364 /hvaonline/posts/preList/35668/219364.html#219364 GMT Cho em hỏi về cơ chế hoạt động để bắt gói tin của các tool ? /hvaonline/posts/preList/33862/208218.html#208218 /hvaonline/posts/preList/33862/208218.html#208218 GMT Nhờ các bác tư vấn giúp em về chọn đề tài tốt nghiệp? /hvaonline/posts/preList/33213/207797.html#207797 /hvaonline/posts/preList/33213/207797.html#207797 GMT Nhờ các bác tư vấn giúp em về chọn đề tài tốt nghiệp? /hvaonline/posts/preList/33213/204368.html#204368 /hvaonline/posts/preList/33213/204368.html#204368 GMT Nhờ các bác tư vấn giúp em về chọn đề tài tốt nghiệp? /hvaonline/posts/preList/33213/204320.html#204320 /hvaonline/posts/preList/33213/204320.html#204320 GMT