1. Trang chủ >
  2. Kỹ thuật >
  3. Điện - Điện tử - Viễn thông >

Lựa chọn phục vụ cung cấp bởi máy chủ pháo đài

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )


Tìm hiểu về an toàn và bảo mật trên mạng



Các dịch vụ bảo mật:

Các dịch vụ trong loại này có thể được cung cấp thông qua lọc gói tin,

nếu bạn đang sử dụng cách tiếp cận này. (trong một bức tường lửa uỷ quyền

thuần tuý, mọi thứ cần được cung cấp trên máy chủ pháo đài hoặc không

được cung cấp gì cả).

Các dịch vụ không bảo mật nh các cung cấp chuẩn, nhưng có thể

được bảo mật

Các dịch vụ loại này có thể được cung cấp trên máy chủ pháo đài.

Các dịch vụ không bảo mật nh các cung cấp chuẩn, nhưng không thể

được bảo mật

Các dịch vụ này sẽ cần được vô hiệu hoá và cung cấp trên một máy

chủ nạn nhân (thảo luận ở trên) nếu bạn thực sự cần chúng.

Các dịch vụ bạn không sử dụng, hoặc bạn không sử dụng trong cấu

hình với Internet

Bạn cần vô hiệu hoá các dịch vụ loại này.

Thư tín điện tử (SMTP) là nền tảng cơ bản nhất mà các máy chủ pháo

đài thường cung cấp. Bạn có thể cũng muốn truy cập hay cung cấp các dịch

vụ thông tin nh:

FTP – truyền file

Gopher – phục hồi thông tin nền tảng trình đơn

WAIS – phục hồi thông tin tìm kiếm từ khoá

HTTP – WWW

NNTP_ tin tức trên mạng



Tìm hiểu về an toàn và bảo mật trên mạng



Để cung cấp bất cứ dịch vụ nào (bao gồm cả SMTP), bạn cần truy cập

và cung cấp dịch vụ tên miền (DNS). DNS hiếm khi được sử dụng trực tiếp,

nhưng nó làm nền tảng cho tất cả các giao thức khác bằng cách cung cấp các

giá trị trung gian để chuyển đổi tên miền thành địa chỉ IP và thông qua, cũng

như là cung cấp thông tin phân phối khác về tên miền và máy chủ.

Bạn cũng có thể muốn cung cấp một số phiên bản của dịch vụ finger,

để cung cấp thông tin về site của bạn và mọi người ở đó. Tuy nhiên, bạn cần

quyết định thông tin nào mà bạn muốn mọi người có, và sử dụng thay đổi

trình tiện Ých finger mà chỉ cung cấp nó. Nhìn chung không nên mong

muốn cho thế giới thấy các mật khẩu tồn tại trên máy chủ pháo đài và những

cái nào đang được sử dụng. Nó không chỉ hữu Ých đối với những kẻ tấn

công, mà nó còn không hữu Ých cho những người điều tra thực, những

người muốn biết thông tin về tổng thể site của bạn, chứ không phải chỉ biết

riêng về máy chủ pháo đài.

Quyển sách “các dịch vụ quản lý thông tin Internet (Managing

Internet information Services), tham khảo ở trên, có một chương rất tốt trong

việc cung cấp các dịch vụ thông tin qua finger, inetd, và Telnet. Một kỹ thuật

riêng được mô tả, để tạo “nắm bắt” hoặc “không phá vỡ” các trình tiện Ých

giao diện, tạo ra các dịch vụ uỷ quyền. Các dịch vụ này là một phương thức

cho người sử dụng trong mạng của bạn có thể chạy ping hay traceroute

ngược lại với các máy chủ bên ngoài, từ một trình tiện Ých giao diện trên

máy chủ pháo đài.

Nhiều dịch vụ hướng LAN bao gồm các điểm yếu mà người tấn công

có thể khai thác từ bên ngoài, và tất cả chúng đều trở thành cơ hội cho kẻ tấn

công muốn thành công trong việc làm tổn hại máy chủ pháo đài. Về cơ bản,



Tìm hiểu về an toàn và bảo mật trên mạng



bạn cần loại bỏ những thứ mà bạn sẽ không sử dụng, và bạn cần chọn lựa cái

cần sử dụng một cách cẩn thận.



6. Không cho phép các account người sử dụng trên

máy chủ pháo đài

Nếu có thể, không cho phép bất cứ account người sử dụng nào trên

máy chủ pháo đài. Giữ các account này ngoài máy chủ pháo đài sẽ cho bạn

bảo mật tốt nhất. Có nhiều lý do, bao gồm:





Các điểm yếu của chớnh cỏc account.







Các điểm yếu của các dịch vụ yêu cầu để cung cấp cho



các account.





Giảm sự ổn định và độ tin cậy của máy móc.







Thiếu thận trọng với sự phá hoại của bảo mật máy chủ



pháo đài bởi người sử dụng.





Tăng mức độ khó trong việc phát hiện tấn công.



Các account người sử dụng tương đối dễ cung cấp các đại lộ để tấn

công cho những người có ý định phá vỡ máy chủ pháo đài. Mỗi account

thường có mật khẩu có thể sử dụng được để tấn công và nó có thể bị những

kẻ tấn công biết được bằng nhiều cách, bao gồm cả các tìm kiếm từ điển, các

tìm kiếm bắt ép thô bạo, hoặc bằng nghe trộm mạng. Nhõn nú lờn bởi nhiều

người sử dụng, và bạn tạo ra một tai hoạ.

Xác nhận các account người sử dụng đòi hỏi máy chủ pháo đài cho

quyền các dịch vụ (ví dụ, các dịch vụ in và phân phối thư cục bộ) mà mặt

khác có thể bị vô hiệu hoỏ trờn máy chủ pháo đài. Mọi dịch vụ cú trờn máy

chủ pháo đài cung cấp một đại lộ khác của sự tấn công, qua các lỗi phần

mềm hoặc các lỗi cấu hình.



Tìm hiểu về an toàn và bảo mật trên mạng



Với việc có xác nhận các account người sử dụng cũng có thể làm

giảm sự ổn định và độ tin cậy của chính máy móc. Cỏc mỏy khụng xác nhận

các account người sử dụng có khuynh hướng chạy ổn định và có thể dự báo

trước. Nhiều site nhận thấy rằng các máy tính với không người sử dụng có

khuynh hướng chạy tốt vô thời hạn (hoặc ít nhất cho đến khi nguồn năng

lượng hỏng) mà không bị phá vỡ.

Chính những người sử dụng có thể góp phần cho các vấn đề bảo mật

trên máy chủ pháo đài. Họ không thường xuyên thực hiện nó thận trọng, và

họ có thể phá hoại hệ thống theo nhiều cách khác nhau. Những loại này

không đáng kể (ví dụ, chọn một mật khẩu tồi) để làm phức tạp (ví dụ, đưa ra

một máy chủ không có quyền mà không được biết đến mối quan hệ bảo

mật). Người sử dụng hiếm khi cố tình làm hại, họ thường chỉ cố gắng hoàn

thành các công việc của họ hiệu quả và ấn tượng hơn.

Thông thường là đơn giản hơn để nói nếu mọi thứ đang chạy một cách

bình thường trên một máy mà không cho phép người sự dụng làm lụn xộn.

Người sử dụng thực hiện theo các phương thức không thể đoán trước được,

nhưng bạn muốn một máy chủ pháo đài có dự báo trước theo kiểu dáng

thông thường, để phát hiện các chỉ thị bằng cách xem xét các ngắt trong

mẫu.

Nếu bạn cần cho phép các account người sử dụng trên máy chủ pháo

đài, giữ chúng ở mức nhỏ nhất. Bổ sung các tài khoản riêng, người quản trị

cấn phải cẩn thận và thường thay đổi nếu thấy cần thiết.



Xem Thêm
Tải bản đầy đủ (.doc) (124 trang)

×