| [Question] Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 01:51:19 (+0700) | #1 | 167161 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
Hi anh em,
Vài ngày gần đây, hệ thống logs của mình có phát hiện Attacker đang cố gắng tấn công vào Mail Server thông qua lỗi MS.Exchange.Mail.Calender.Buffer.Overflow hehe. Log của các IP tấn công khi mình lookup ra thì thấy toàn từ Google, Yahoo, Microsoft v.v
Mình cũng đang nghi ngờ attacker này đang dùng proxies. Anh em có ý kiến gì không?
- 209.85.143.114
- 216.39.53.1
- 209.85.143.114
- 65.54.244.232
|
|
| Hãy sống có Tuệ Giác. |
|
 |
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 02:03:57 (+0700) | #2 | 167163 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Lão cho tui mớ log được không  ? |
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 02:31:04 (+0700) | #3 | 167168 |
![[Avatar]](/hvaonline/images/avatar/acb341ede31321298cf1afcfbb5bb78d.jpg "[Avatar]")
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
tui đoán là attacker dùng các free email account của MS, Google và Yahoo để gửi các mail khai thác lỗi này.
đợi ai đó search lỗi này để biết cách khai thác và cách phòng chống. |
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 02:47:34 (+0700) | #4 | 167169 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
LeVuHoang wrote:
Lão cho tui mớ log được không ?
Tôi sẽ send cho lão qua YM 
lQ wrote:
ui đoán là attacker dùng các free email account của MS, Google và Yahoo để gửi các mail khai thác lỗi này.
đợi ai đó search lỗi này để biết cách khai thác và cách phòng chống.
Hehe lỗi này tỗi đã test hotfix và update vào hệ thống cách đây hơn 1 tuần. Nhưng attacker này suốt hơn 2 tuần qua vẫn cố gắng attack vào lỗi này.  |
|
| Hãy sống có Tuệ Giác. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 03:07:47 (+0700) | #5 | 167171 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
| Ý tui là lão post log lên đây để xem thử phương thức thế nào, và phòng chống ra sao. |
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 03:24:29 (+0700) | #6 | 167175 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
thangdiablo wrote:
Log from IPS wrote:
2009-01-20 12:05:45 x.x.x.x 65.54.244.232 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:54:39 x.x.x.x 209.85.143.114 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:54:36 x.x.x.x 216.39.53.1 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:54:36 x.x.x.x 216.39.53.1 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:54:33 x.x.x.x 209.85.143.114 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:54:33 x.x.x.x 216.39.53.1 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:54:32 x.x.x.x 209.85.143.114 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:49:44 x.x.x.x 65.54.244.232 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:49:27 x.x.x.x 209.85.143.27 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:49:24 x.x.x.x 67.195.168.31 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:47:27 x.x.x.x 66.196.82.7 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:47:27 x.x.x.x 66.196.82.7 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:47:22 x.x.x.x 66.196.82.7 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:47:20 x.x.x.x 209.85.143.27 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
2009-01-20 10:46:42 x.x.x.x 209.85.143.27 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
Cách thức tấn công về bug này và cách fix lão có thể tham khảo thêm tại
http://www.microsoft.com/technet/security/Bulletin/MS06-019.mspx
http://www.securityfocus.com/bid/17908
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0027
http://www.determina.com/security.research/vulnerabilities/exchange-ical-modprops.html
Lưu ý mục tiêu của topic này là trace được cái anh attacker |
|
| Hãy sống có Tuệ Giác. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 05:52:42 (+0700) | #7 | 167183 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
moá ơi, cái lỗi cũ xì mà lại mới update. Bó tay lão thắng bố.
muốn truy cái này thì cũng ko khó. Chỉ cần biết nội dung của cái mail mà tụi này gửi là được. Tốt hơn hết là lấy tất cả nội dung mail headers. Có 02 cách:
- Một vài hệ thống có tuỳ chọn lưu tất cả các mail, kể cả mail tấn công vào 01 địa chỉ nào đó hoặc là forward đến 01 địa chỉ nào khác nữa.
- Sniff traffic từ các subnet của gmail, yahoo mail, ... đến dịch vụ smtp của local mail server.
|
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 08:11:10 (+0700) | #8 | 167192 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
1- Thangdiablo có thể truy tìm nguổn gốc của mail từ header (như IQ cũng đã nói). Tôi cũng có một hai bài viết về vân đề này trong HVA forum. Lão chịu khó tìm hộ.
2- Ngoài ra lão sniffing các gói tin vào Mail sever và xem kỹ nôi dung (cái này IQ cũng đã đề cập)
3- Lão có thể reject các gói tin nguồn từ các IP (proxies) mà lão đã kê trên đây. Việc này có thể config. trên Advanced security router (nếu có) hoăc config. trên firewall, nếu cài Firewall "hiện đại" (đủ features) một chút.
4- Nếu thấy cần, lão PM cho mình đia chỉ Mailserver, mình sẽ thử check xem còn có vân đề gì không? (chỉ khi thấy cần như vậy) |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 08:55:54 (+0700) | #9 | 167195 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Lưu ý mục tiêu của topic này là trace được cái anh attacker
ah, hoá ra ý lão là vậy. Tưởng cách phòng chống . Đúng là lão nên post mail header lên. Còn nếu tụi attacker dùng free mail của Yahoo hay Google thì cũng đành chịu thôi. |
|
|
|
|
| [Question] Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 21:15:15 (+0700) | #10 | 167224 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
thangdiablo wrote:
Hi anh em,
Vài ngày gần đây, hệ thống logs của mình có phát hiện Attacker đang cố gắng tấn công vào Mail Server thông qua lỗi MS.Exchange.Mail.Calender.Buffer.Overflow hehe. Log của các IP tấn công khi mình lookup ra thì thấy toàn từ Google, Yahoo, Microsoft v.v
Mình cũng đang nghi ngờ attacker này đang dùng proxys. Anh em có ý kiến gì không?
- 209.85.143.114
- 216.39.53.1
- 209.85.143.114
- 65.54.244.232
Thắng xem cái /hvaonline/posts/list/8257.html#48609. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
21/01/2009 23:45:38 (+0700) | #11 | 167230 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
PXMMRF wrote:
...
3- Lão có thể reject các gói tin nguồn từ các IP (proxies) mà lão đã kê trên đây. Việc này có thể config. trên Advanced security router (nếu có) hoăc config. trên firewall, nếu cài Firewall "hiện đại" (đủ features) một chút.
...
Ko cấm được đâu anh. Mấy cái IP đó ko phải là proxies gì đó, mà chính là các mail servers. Cấm là khỏi nhận mail từ tụi nó luôn áh.
$ nslookup
> set type=MX
> gmail.com
Server: 192.168.2.2
Address: 192.168.2.2#53
Non-authoritative answer:
gmail.com mail exchanger = 50 gsmtp147.google.com.
gmail.com mail exchanger = 50 gsmtp183.google.com.
gmail.com mail exchanger = 5 gmail-smtp-in.l.google.com.
gmail.com mail exchanger = 10 alt1.gmail-smtp-in.l.google.com.
gmail.com mail exchanger = 10 alt2.gmail-smtp-in.l.google.com.
Authoritative answers can be found from:
gmail.com nameserver = ns2.google.com.
gmail.com nameserver = ns3.google.com.
gmail.com nameserver = ns4.google.com.
gmail.com nameserver = ns1.google.com.
gmail-smtp-in.l.google.com internet address = 209.85.143.27
alt1.gmail-smtp-in.l.google.com internet address = 72.14.205.27
alt1.gmail-smtp-in.l.google.com internet address = 72.14.205.114
alt2.gmail-smtp-in.l.google.com internet address = 209.85.129.27
alt2.gmail-smtp-in.l.google.com internet address = 209.85.129.114
gsmtp147.google.com internet address = 209.85.147.27
gsmtp183.google.com internet address = 64.233.183.27
ns1.google.com internet address = 216.239.32.10
ns2.google.com internet address = 216.239.34.10
ns3.google.com internet address = 216.239.36.10
ns4.google.com internet address = 216.239.38.10
|
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
22/01/2009 14:54:30 (+0700) | #12 | 167312 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
lQ wrote:
moá ơi, cái lỗi cũ xì mà lại mới update. Bó tay lão thắng bố.
muốn truy cái này thì cũng ko khó. Chỉ cần biết nội dung của cái mail mà tụi này gửi là được. Tốt hơn hết là lấy tất cả nội dung mail headers. Có 02 cách:
- Một vài hệ thống có tuỳ chọn lưu tất cả các mail, kể cả mail tấn công vào 01 địa chỉ nào đó hoặc là forward đến 01 địa chỉ nào khác nữa.
- Sniff traffic từ các subnet của gmail, yahoo mail, ... đến dịch vụ smtp của local mail server.
Cám ơn lQ + anh PXMMRF và anh em khác đã trả lời.
- Cách thứ 1 hiện tại tớ không áp dụng trên hệ thống của mình.
- Cách thứ 2 lQ có thể nói rõ hơn được không? Sniff traffic từ các subnet của gmail, yahoo mail ... nghĩa là sniff các range IP của mấy nhà cung cấp này? Tớ sẽ thử sniff trực tiếp trên SMTP local và nằm chờ các đợt tấn công kế tiếp. Từ hôm post bài đến này vẫn đang theo dõi và thấy êm, có thể anh chàng này thấy không có kết quả !!?
Lỗi này còn tồn tại cũng do tớ hơi ẩu khi setup lại SMTP nhưng quên không update hotfix của bug này.
To anh conmale: Hiện tại em cũng chưa biết được nguồn email của anh chàng attacker này gửi vào cho user nào bên trong mạng của mình nên khó có xác định được Mail Header.
Thật ra IPS có lưu lại hết toàn bộ subject email in/out trên hệ thống, tuy nhiên lượng email từ gmail và yahoo ... nhiều nên xác định email nào là của attacker cũng hơi khó khăn.
Thời gian trước, cách đây khoảng 1 tháng Mail Server của bên em bị 1 đám nào đó gửi spam vào liên tục với tên miền giả danh và gửi theo dạng dò địa chỉ email xem cái nào reply cái nào không tồn tại.
Nhưng sau đó em đã lọc spam trực tiếp trên IPS và không còn bị hiện tượng này nữa. Tuy nhiên, giờ lại có người cố gắng attack qua cái bug này của Exchange. |
|
| Hãy sống có Tuệ Giác. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
22/01/2009 18:50:30 (+0700) | #13 | 167317 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
thangdiablo wrote:
....
To anh conmale: Hiện tại em cũng chưa biết được nguồn email của anh chàng attacker này gửi vào cho user nào bên trong mạng của mình nên khó có xác định được Mail Header.
Thật ra IPS có lưu lại hết toàn bộ subject email in/out trên hệ thống, tuy nhiên lượng email từ gmail và yahoo ... nhiều nên xác định email nào là của attacker cũng hơi khó khăn.
Thời gian trước, cách đây khoảng 1 tháng Mail Server của bên em bị 1 đám nào đó gửi spam vào liên tục với tên miền giả danh và gửi theo dạng dò địa chỉ email xem cái nào reply cái nào không tồn tại.
Nhưng sau đó em đã lọc spam trực tiếp trên IPS và không còn bị hiện tượng này nữa. Tuy nhiên, giờ lại có người cố gắng attack qua cái bug này của Exchange.
Hello Thắng,
Thật ra với thông tin:
2009-01-20 12:05:45 x.x.x.x 65.54.244.232 smtp email: MS.Exchange.Mail.Calender.Buffer.Overflow
cũng có thể dùng để thu hẹp lại biên độ tìm kiếm rồi đó (ngày tháng năm giờ phút giây và IP).
Theo anh thấy, không nên để Exchange tiếp diện với mạng vì nó luôn luôn là mục tiêu để phá. Nên tạo một mail gateway trên đó có antivirus, spam filtering.... để nhận mail rồi mới forward đến Exchange thì vững hơn.
Việc truy tìm thủ phạm là việc khá lý thú nhưng sẽ mất nhiều thời gian và đòi hỏi sự kiên nhẫn + sự giúp đỡ từ nhà cung cấp dịch vụ. Nếu cảm thấy việc truy tìm thủ phạm không có mục đích gì rõ ràng thì nên chọn biện pháp tự kiện toàn.
Thân. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
22/01/2009 22:59:41 (+0700) | #14 | 167329 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
lQ wrote:
PXMMRF wrote:
...
3- Lão có thể reject các gói tin nguồn từ các IP (proxies) mà lão đã kê trên đây. Việc này có thể config. trên Advanced security router (nếu có) hoăc config. trên firewall, nếu cài Firewall "hiện đại" (đủ features) một chút.
...
Ko cấm được đâu anh. Mấy cái IP đó ko phải là proxies gì đó, mà chính là các mail servers. Cấm là khỏi nhận mail từ tụi nó luôn áh.
$ nslookup
> set type=MX
> gmail.com
Server: 192.168.2.2
Address: 192.168.2.2#53
Non-authoritative answer:
gmail.com mail exchanger = 50 gsmtp147.google.com.
gmail.com mail exchanger = 50 gsmtp183.google.com.
gmail.com mail exchanger = 5 gmail-smtp-in.l.google.com.
gmail.com mail exchanger = 10 alt1.gmail-smtp-in.l.google.com.
gmail.com mail exchanger = 10 alt2.gmail-smtp-in.l.google.com.
Authoritative answers can be found from:
gmail.com nameserver = ns2.google.com.
gmail.com nameserver = ns3.google.com.
gmail.com nameserver = ns4.google.com.
gmail.com nameserver = ns1.google.com.
................................
Vây thì các IP trên đâu phải là "Anonymous proxies" (như lão Thắng nói). Chúng là các sever hỗ trợ cho mail sever, kiểu như là "Cache-Gateway proxies" ấy. Nên dĩ nhiên là không reject chúng đựoc. Hì hì.
Ngoài ta thangdiablo thử dùng cái này xem có kết quả gì không?
SPAMfighter SMTP Anti Spam Server
http://www.spamfighter.com/product_smtp.asp
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
23/01/2009 00:17:29 (+0700) | #15 | 167338 |
nguyenvanhack
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 04/11/2008 14:56:28
Messages: 12
Offline
|
|
Kính chào các anh nick mầu cam, Em có suy nghĩ thế này. Với mục đích tracert ra attacker trong tình huống này nếu không có ISP hỗ trợ thì mọi phương cách chắc chỉ đến đường cụt.
To Mr Thắng: Domain của anh it bị bắn spam hay sao mà lại dùng IPS để filter spam, rồi lại đặt Exchange ra hứng đạn. Em thấy sách vở toàn khuyên nên dùng 1 con mail gateway chuyên dụng (hardware box hoặc Software như PureMessage ...) thực tế sử dụng em thấy sách nói quả không sai. Dùng mail gateway lọc spam, lọc virus, change header, forward mail ... khỏe hơn nhiều. Thôi nghe lời anh Conmane đi kiện toàn đi anh.
Trân trọng. |
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
23/01/2009 01:01:50 (+0700) | #16 | 167348 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
nguyenvanhack wrote:
Kính chào các anh nick mầu cam, Em có suy nghĩ thế này. Với mục đích tracert ra attacker trong tình huống này nếu không có ISP hỗ trợ thì mọi phương cách chắc chỉ đến đường cụt.
To Mr Thắng: Domain của anh it bị bắn spam hay sao mà lại dùng IPS để filter spam, rồi lại đặt Exchange ra hứng đạn. Em thấy sách vở toàn khuyên nên dùng 1 con mail gateway chuyên dụng (hardware box hoặc Software như PureMessage ...) thực tế sử dụng em thấy sách nói quả không sai. Dùng mail gateway lọc spam, lọc virus, change header, forward mail ... khỏe hơn nhiều. Thôi nghe lời anh Conmane đi kiện toàn đi anh.
Trân trọng.
Có lẽ nên như vậy.
Trong trường hợp này, cũng như nhiều trừong hợp khác, nên "tăng cường, bổ sung" kết cấu hạ tầng, hơn là cố găng fix, securing codes lại, cài thêm secure soft. .... Vì bổ sung Mail gateway device sẽ hiêu quả, ổn đinh và sau này "điều hành, theo rõi" hệ thống sẽ đơn giản hơn.
Tất nhiên cũng có nhiều Mailserver Gateway Softwares (Windows based) dùng để hỗ trợ Exchange.
Cuối cùng, theo tôi, nếu công ty có điều kiện thì nên dùng Kerio Mailserver 6.6x (Kerio Mailserver khá nổi tiếng), thay vì Exchange.
Các tính năng AntiSpam của nó cũng mạnh mẽ và đa dạng hơn:
http://www.kerio.com/kms_antispam.html
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
23/01/2009 05:20:15 (+0700) | #17 | 167369 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
nguyenvanhack wrote:
Kính chào các anh nick mầu cam, Em có suy nghĩ thế này. Với mục đích tracert ra attacker trong tình huống này nếu không có ISP hỗ trợ thì mọi phương cách chắc chỉ đến đường cụt.
To Mr Thắng: Domain của anh it bị bắn spam hay sao mà lại dùng IPS để filter spam, rồi lại đặt Exchange ra hứng đạn. Em thấy sách vở toàn khuyên nên dùng 1 con mail gateway chuyên dụng (hardware box hoặc Software như PureMessage ...) thực tế sử dụng em thấy sách nói quả không sai. Dùng mail gateway lọc spam, lọc virus, change header, forward mail ... khỏe hơn nhiều. Thôi nghe lời anh Conmane đi kiện toàn đi anh.
Trân trọng.
Cám ơn anh em đã góp ý. Việc fix cái bug này mình đã fix rồi, và mình cũng biết việc tìm ra attacker là khó nếu không có sự hỗ trợ từ ISP. Mục đích lập ra topic này là để anh em thảo luận, rút kinh nghiệm cũng như có cái nhìn về 1 khía cạnh trong việc bảo vệ Mail Server.
Và đúng là trong thời gian tới bên mình nên đầu tư & thiết lập 1 con mail gateway để làm thay vai trò của Exchange hiên tại.
Còn việc bị spam là là chuyện thường ngày mà, tránh làm sao khỏi. Và khi chưa có Mail Gateway thì tại sao không tận dụng IPS có tích hợp sẵn Anti spam trên đó để sử dụng?
PXMMFR wrote:
Trong trường hợp này, cũng như nhiều trừong hợp khác, nên "tăng cường, bổ sung" kết cấu hạ tầng, hơn là cố găng fix, securing codes lại, cài thêm secure soft. .... Vì bổ sung Mail gateway device sẽ hiêu quả, ổn đinh và sau này "điều hành, theo rõi" hệ thống sẽ đơn giản hơn.
Tất nhiên cũng có nhiều Mailserver Gateway Softwares (Windows based) dùng để hỗ trợ Exchange.
Cuối cùng, theo tôi, nếu công ty có điều kiện thì nên dùng Kerio Mailserver 6.6x (Kerio Mailserver khá nổi tiếng), thay vì Exchange.
Các tính năng AntiSpam của nó cũng mạnh mẽ và đa dạng hơn:
Cám ơn lời khuyên từ anh. Nhưng hiện tại bên em đã đầu tư server là Exchange rồi vì còn nhiều ứng dụng liên quan xung quyanh nó.
Không phải mua disc 7k cài nên cũng hơi khó để thay anh ạ
|
|
| Hãy sống có Tuệ Giác. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
23/01/2009 05:37:21 (+0700) | #18 | 167371 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
theo tui thì các ISP ko thể giúp gì đ/v trường hợp này đâu. Các ISP không thể phân biệt được ai đó truy cập web mail Google/Yahoo/MS để gửi mail về cho mình hay gửi cho người khác, hay làm một việc khác. Họ chắc chắn cũng ko có thông tin IP nào đã truy cập dịch vụ gì (smtp, pop, imap, telnet, ssh ...) theo thời điểm cụ thể. Họ chỉ có thể cung cấp thông tin IP nào tương ứng với người nào, tại thời điểm nào mà thôi. Và những thông tin này chỉ có khi chính quyền có trát yêu cầu.
Châm tiếp. Nếu người nước ngoài, ngồi tại các ISP nước ngoài, gửi mail, thì sao biết??? |
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
23/01/2009 06:13:13 (+0700) | #19 | 167372 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Tui nói ngay từ đầu rồi mà giờ lão Thắng mới ngộ ra hả  ). Gần như không truy ra được vết đâu.
Còn khía cạnh bảo vệ mail server, thì đúng là dựng 1 con mail gateway trước Exchange rồi sử dụng bộ lọc spam là tốt nhất. Nó cũng làm được nhiều thứ như scan virus... này nọ. Một công đôi chuyện. |
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
23/01/2009 06:19:55 (+0700) | #20 | 167374 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
thangdiablo wrote:
...
Và đúng là trong thời gian tới bên mình nên đầu tư & thiết lập 1 con mail gateway để làm thay vai trò của Exchange hiên tại.
.....
Để ít bữa rảnh anh viết thêm 1 cái tute mở rộng từ loạt bài "Qmail as mail gateway" để thêm 2 phần: cài virus và anti-spam. Anh nghĩ mô hình này bảo đảm lọc 99.9% virus đi từ mail và 99% spam mails. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
23/01/2009 07:37:45 (+0700) | #21 | 167380 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
23/01/2009 23:22:05 (+0700) | #22 | 167435 |
nguyenvanhack
Member
|
|
0 |
|
|
Joined: 04/11/2008 14:56:28
Messages: 12
Offline
|
|
thangdiablo wrote:
Còn việc bị spam là là chuyện thường ngày mà, tránh làm sao khỏi. Và khi chưa có Mail Gateway thì tại sao không tận dụng IPS có tích hợp sẵn Anti spam trên đó để sử dụng?
Lại nói chuyện IPS, quả là nên có vì ... nó là IPS. Mà tốt nhất là chỉ dùng nó như là 1 chú IPS.
Em cũng có 1 case như thế này, thỉnh ý các anh.
Mô hình kết nối:
Internet <-> Firewall_1 <-> [ SMTP-Gateway, MS ISA 2006 ] <-> IPS <-> Firewall_2 <-> [ Mailbackend (Exchange 2003 SP2), Web App ]
<note>
1. MS ISA 2006 dùng để public OMA, OWA
2. Ngoài dịch vụ SMTP trên SMTP-Gateway và HTTPS trên ISA được public ra ngoài Internt thì không còn dịch vụ nào được public ra ngoài.
</note>
Tình huống:
- Một người dùng bị đánh cắp tài khoản email, tài khoản vào Web App.
Câu hỏi:
1. Mô hình kết nối như trên theo các bác còn điểm nào chưa ổn không?
2. Có thể hay không việc: attacker truy cập thành công đến WebApp (ví dụ như thông qua bug của Exchange 2003. Giả như 1 ngày nào đó chú quản trị IPS phản chủ, disable mấy cái option đi - Hoặc giả IPS update không thành công)?. Nếu có thì các nhờ các bác chỉ giúp em nó là bug gì để nhà em biết cách fix.
3. Nếu bác nào ở đây khai thác được cái này rồi thì làm ơn liên hệ với em nhé. |
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
24/01/2009 00:43:12 (+0700) | #23 | 167439 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
nguyenvanhack wrote:
thangdiablo wrote:
Còn việc bị spam là là chuyện thường ngày mà, tránh làm sao khỏi. Và khi chưa có Mail Gateway thì tại sao không tận dụng IPS có tích hợp sẵn Anti spam trên đó để sử dụng?
Lại nói chuyện IPS, quả là nên có vì ... nó là IPS. Mà tốt nhất là chỉ dùng nó như là 1 chú IPS.
Em cũng có 1 case như thế này, thỉnh ý các anh.
Mô hình kết nối:
Internet <-> Firewall_1 <-> [ SMTP-Gateway, MS ISA 2006 ] <-> IPS <-> Firewall_2 <-> [ Mailbackend (Exchange 2003 SP2), Web App ]
<note>
1. MS ISA 2006 dùng để public OMA, OWA
2. Ngoài dịch vụ SMTP trên SMTP-Gateway và HTTPS trên ISA được public ra ngoài Internt thì không còn dịch vụ nào được public ra ngoài.
</note>
Tình huống:
- Một người dùng bị đánh cắp tài khoản email, tài khoản vào Web App.
Câu hỏi:
1. Mô hình kết nối như trên theo các bác còn điểm nào chưa ổn không?
2. Có thể hay không việc: attacker truy cập thành công đến WebApp (ví dụ như thông qua bug của Exchange 2003. Giả như 1 ngày nào đó chú quản trị IPS phản chủ, disable mấy cái option đi - Hoặc giả IPS update không thành công)?. Nếu có thì các nhờ các bác chỉ giúp em nó là bug gì để nhà em biết cách fix.
3. Nếu bác nào ở đây khai thác được cái này rồi thì làm ơn liên hệ với em nhé.
Ổn hay không ổn là tùy thuộc ở cái màu đỏ ở trên và một phần do mấy cái màu xanh kia có nhận ra những gì khác thường mà cản giúp cái màu đỏ.
Cho dù mấy cái màu xanh kia là L7, stateful xì trum, xì độp, xì phé cỡ nào nhưng vẫn mở cửa cho vào cổng 80/443 của cái màu đỏ và cái màu đỏ vẫn có thể bị exploit thì cả đám màu xanh trở nên vô dụng. Cái này gọi là specific attack vector (cụ thể trên web application layer). |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
24/01/2009 08:57:45 (+0700) | #24 | 167470 |
nguyenvanhack
Member
|
|
0 |
|
|
Joined: 04/11/2008 14:56:28
Messages: 12
Offline
|
|
Cám ơn anh Conmale đã trả lời.
- Câu hỏi 1: em chỉ muốn hỏi là về mặt topo như vậy tối ưu chưa ($ + tech). Em vẫn biết nếu policy cho các dòng traffic chạy qua không tốt thì chẳng có gì chịu được.
- Câu hỏi 2: của em focus vào tình huống em đã để trong <note> cộng với tình huống, cụ thể là khai thác Exchange 2003 SP2.
- Năm hết tết đến vẫn phải ngồi cơ quan đến giờ này, đọc thoáng câu trả lời của anh comanle rùi đi kiếm cái gì cho đỡ đói, Mong các bác chỉ giáo để được sáng mắt. |
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
24/01/2009 23:26:16 (+0700) | #25 | 167490 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
nguyenvanhack wrote:
...
Mô hình kết nối:
Internet <-> Firewall_1 <-> [ SMTP-Gateway, MS ISA 2006 ] <-> IPS <-> Firewall_2 <-> [ Mailbackend (Exchange 2003 SP2), Web App ]
<note>
1. MS ISA 2006 dùng để public OMA, OWA
2. Ngoài dịch vụ SMTP trên SMTP-Gateway và HTTPS trên ISA được public ra ngoài Internt thì không còn dịch vụ nào được public ra ngoài.
</note>
...
Câu hỏi:
1. Mô hình kết nối như trên theo các bác còn điểm nào chưa ổn không?
2. Có thể hay không việc: attacker truy cập thành công đến WebApp (ví dụ như thông qua bug của Exchange 2003. Giả như 1 ngày nào đó chú quản trị IPS phản chủ, disable mấy cái option đi - Hoặc giả IPS update không thành công)?. Nếu có thì các nhờ các bác chỉ giúp em nó là bug gì để nhà em biết cách fix.
3. Nếu bác nào ở đây khai thác được cái này rồi thì làm ơn liên hệ với em nhé.
Tui tạm gọi đám [SMTP-Gateway, MS ISA 2006] là DMZ servers, đám còn lại là backend servers.
1. Theo tui là không ổn.
- Nếu vì lý do gì đó mà IPS không hoạt động thì có nghĩa là nguyên cái mạng của bạn đi toi. IPS theo tui chỉ nên nằm ở nhánh, dạng span-port hoặc dùng chung với network tap.
- Server không nên có cùng subnet dùng chung của 02 firewall mà nên dùng một subnet nào đó của Firewall_1. Trường hợp của bạn là phải đặt 02 ACL chỉ cho đám server DMZ. Theo khuyến cáo của tui thì chỉ dùng 01.
Mô hình:
Internet <-> Firewall_1 <-> Firewall_2 <-> backend servers
________________ |
____________ DMZ servers
2. [Bổ sung] - Luôn có cách thức nào đó theo dõi hoạt động của IPS, giám sát trạng thái + giám sát thay đổi cấu hình thì đỡ phải lo chuyện phản chủ.
Ngoài ra, thiết kế mạng thì cũng luôn phải lưu ý đến ACL. Cái này tối quan trọng, giảm rủi ro nếu như attacker chiếm được quyền của DMZ servers. Sai lầm của một số người là thấy servers thì gán quyền nó truy cập mạng tự do. DMZ servers hạn chế tối đa truy cập backend servers.
|
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
25/01/2009 01:56:32 (+0700) | #26 | 167499 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
nguyenvanhack wrote:
Cám ơn anh Conmale đã trả lời.
- Câu hỏi 1: em chỉ muốn hỏi là về mặt topo như vậy tối ưu chưa ($ + tech). Em vẫn biết nếu policy cho các dòng traffic chạy qua không tốt thì chẳng có gì chịu được.
Theo kinh nghiệm cá nhân, anh thấy topology chỉ giúp mình có cái nhìn tổng quan để xoáy vào từng nút trong topology đó để kiện toàn (nếu xét bằng góc độ bảo mật). Chính topology không nhất thiết giúp đánh giá tính bảo mật cho một hệ thống (máy + mạng). Nếu như em đã nhận định rằng "policy cho các dòng traffic chạy qua không tốt thì chẳng có gì chịu được" thì hẳn em đã có lý do cụ thể để đi đến nhận định như thế.
Điều anh muốn đưa ra ở đây là nên tránh cái gọi là "false sense of security" (cảm nhận sai về bảo mật). Cảm nhận này đi từ việc (tự gán rằng) firewall và các thiết bị tương tự là một thứ biện pháp kỳ diệu bảo đảm bảo mật . Trên thực tế, việc hình thành một topology nào đó nhằm mục đích tách rời các mảng (segment) của nội mạng ra để giảm thiểu dung hại khi bị nhân nhượng, còn firewall và những thiết bị tương tự thì để cản lọc những thứ mang tính nguy hiểm đã được biết đến. Nếu firewall đã cho vào thì những hiểm họa nằm trong payload đã đi vào nằm ngoài giới hạn kiểm soát của firewall. Chuyện còn lại phụ thuộc vào chính ứng dụng cung cấp dịch vụ (mà firewall đã cho vào).
nguyenvanhack wrote:
- Câu hỏi 2: của em focus vào tình huống em đã để trong <note> cộng với tình huống, cụ thể là khai thác Exchange 2003 SP2.
Việc khai thác Exchange 2003 SP2 (hay là cái gì) hoàn toàn có thể được. Khai thác thế nào thì đó là chuyện khác. Tuy nhiên cái chính cần xác định là: cửa đến exchange và web app (cung cấp webmail) hoàn toàn mở rộng. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
25/01/2009 13:51:35 (+0700) | #27 | 167530 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
nguyenvanhack wrote:
Lại nói chuyện IPS, quả là nên có vì ... nó là IPS. Mà tốt nhất là chỉ dùng nó như là 1 chú IPS.
Em cũng có 1 case như thế này, thỉnh ý các anh.
Mô hình kết nối:
Internet <-> Firewall_1 <-> [ SMTP-Gateway, MS ISA 2006 ] <-> IPS <-> Firewall_2 <-> [ Mailbackend (Exchange 2003 SP2), Web App ]
<note>
1. MS ISA 2006 dùng để public OMA, OWA
2. Ngoài dịch vụ SMTP trên SMTP-Gateway và HTTPS trên ISA được public ra ngoài Internt thì không còn dịch vụ nào được public ra ngoài.
</note>
Tình huống:
- Một người dùng bị đánh cắp tài khoản email, tài khoản vào Web App.
Câu hỏi:
1. Mô hình kết nối như trên theo các bác còn điểm nào chưa ổn không?
2. Có thể hay không việc: attacker truy cập thành công đến WebApp (ví dụ như thông qua bug của Exchange 2003. Giả như 1 ngày nào đó chú quản trị IPS phản chủ, disable mấy cái option đi - Hoặc giả IPS update không thành công)?. Nếu có thì các nhờ các bác chỉ giúp em nó là bug gì để nhà em biết cách fix.
3. Nếu bác nào ở đây khai thác được cái này rồi thì làm ơn liên hệ với em nhé.
Topic này bắt đầu vui rồi đây. Tớ xin mạo muội trả lời câu hỏi của bạn. Những phần còn lại anh conmale đã có ý kiến rồi.
1. Xét trên phương diện topology tớ thấy chưa ổn ở điểm mấy thiết bị trên cái mô hình bạn vẽ bị tình trạng " point of failure" chưa có tính HA.
Một trong số đó die là coi như " thế giới không biết bạn là ai ". Trong một hệ thống những phần xương sống như firewall hay đại loại 1 thiết bị nào đó đang ở chế độ inline mode mà cụ thể trong trường hợp này là IPS thì tối thiểu phải có tính fail over.
lQ wrote:
1. Theo tui là không ổn.
- Nếu vì lý do gì đó mà IPS không hoạt động thì có nghĩa là nguyên cái mạng của bạn đi toi. IPS theo tui chỉ nên nằm ở nhánh, dạng span-port hoặc dùng chung với network tap.
IPS mà dùng dưới sạng span port thì không còn đúng ý nghĩa IPS của nó nữa rồi. Lúc đó gọi nó là IDS thì hợp lý hơn.
lQ wrote:
- Server không nên có cùng subnet dùng chung của 02 firewall mà nên dùng một subnet nào đó của Firewall_1. Trường hợp của bạn là phải đặt 02 ACL chỉ cho đám server DMZ. Theo khuyến cáo của tui thì chỉ dùng 01.
Mô hình:
Internet <-> Firewall_1 <-> Firewall_2 <-> backend servers
________________ |
____________ DMZ servers
Theo tôi trước backend server nên duy trì 1 IPS đứng án ngữ phía trước và phía sau nó nên là 1 hoặc vài Network IDS hoặc Hostbase IDS tùy vào nhu cầu thực tế.
Với mô hình phía trên nếu không có IPS đặt trường hợp attacker chiếm được DMZ Server nào đó. Và tất nhiên trong đám DMZ Server sẽ luôn có 1 hoặc vài connection hợp lệ để móc vào database của Server nằm trong BackEnd. Khi đó, nếu không có IPS thì một mình firewall sẽ không thể can thiệp vào phần payload có mỗi gói tin để xem nó có gì bất thường hay không. Kết quả là BE Srv vẫn có nguy cơ bị tiêu diệt.
Còn nếu, packet hợp lệ mà phần payload cũng hợp lệ, nhưng " hành động " kết nội có nhiều bất thường thì đã có em IDS đứng ra "nhiều chuyện" .
|
|
| Hãy sống có Tuệ Giác. |
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
25/01/2009 21:18:42 (+0700) | #28 | 167535 |
nguyenvanhack
Member
|
|
0 |
|
|
Joined: 04/11/2008 14:56:28
Messages: 12
Offline
|
|
Cám ơn các anh/chị, em xin tóm tắt chút.
lQ wrote:
..........
- Server không nên có cùng subnet dùng chung của 02 firewall mà nên dùng một subnet nào đó của Firewall_1. Trường hợp của bạn là phải đặt 02 ACL chỉ cho đám server DMZ. Theo khuyến cáo của tui thì chỉ dùng 01.
Mô hình:
Internet <-> Firewall_1 <-> Firewall_2 <-> backend servers
________________ |
____________ DMZ servers
--> Dùng firewall tách ra các segments là cách
conmale wrote:
giảm thiểu dung hại khi bị nhân nhượng
Next.
thangdiablo wrote:
Theo tôi trước backend server nên duy trì 1 IPS đứng án ngữ phía trước và phía sau nó nên là 1 hoặc vài Network IDS hoặc Hostbase IDS tùy vào nhu cầu thực tế.
Với mô hình phía trên nếu không có IPS đặt trường hợp attacker chiếm được DMZ Server nào đó. Và tất nhiên trong đám DMZ Server sẽ luôn có 1 hoặc vài connection hợp lệ để móc vào database của Server nằm trong BackEnd. Khi đó, nếu không có IPS thì một mình firewall sẽ không thể can thiệp vào phần payload có mỗi gói tin để xem nó có gì bất thường hay không. Kết quả là BE Srv vẫn có nguy cơ bị tiêu diệt.
Còn nếu, packet hợp lệ mà phần payload cũng hợp lệ, nhưng " hành động " kết nội có nhiều bất thường thì đã có em IDS đứng ra "nhiều chuyện" .
--> Chỉnh lại topo một chút, ta sẽ được 1 cái đẹp như ... lý thuyết (nhưng vẫn thiếu tính HA)
Internet <--> Firewall_1 <--> IPS_2 <--> Firewall_2 <--> backend servers [ Exchange 2003 SP2, WebApp]
.......................^
.......................|
.......................v
....................IPS_1
......................^
.......................|
.......................v
................DMZ zone [MS ISA 2006, SMTP ...]
Tất cả là cho câu hỏi số 1.
conmale wrote:
Việc khai thác Exchange 2003 SP2 (hay là cái gì) hoàn toàn có thể được. Khai thác thế nào thì đó là chuyện khác. Tuy nhiên cái chính cần xác định là: cửa đến exchange và web app (cung cấp webmail) hoàn toàn mở rộng
Tại cái chủ đề của Mr thangdiablo nên xin phép các bác em lại hỏi câu hỏi 2. Để nhờ các bác giải quyết vụ "chuyện khác" này em xin chỉnh lại phần <note>.
<note>
1. MS ISA 2006 dùng để public OMA, OWA
2. Trên FW_1, ngoài dịch vụ SMTP trên SMTP-Gateway và HTTPS trên ISA được public ra ngoài Internt thì không còn dịch vụ nào được public ra ngoài.
3. Trên FW_2, chỉ cho phép kết nối HTTPS, SMTP đên/đi tới/từ Exchange 2003. Từ chối tất cả các dịch vụ khác.
4. Giả vờ IPS_1, IPS_2 đang "bị" đặt ở chế độ monitor.
</note>
Các bác conmale, IQ, thangdiablo mà trả lời bài em trong mấy ngày tết thì như món quà mừng xuân cho nhà em.
P/S: Bác nào mà định châm em thì ... thôi để quá mùng 10 nhé.
CHÚC ANH/CHỊ VÀ GIA ĐỊNH NĂM MỚI AN KHANG - THỊNH VƯỢNG
|
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
26/01/2009 07:15:37 (+0700) | #29 | 167551 |
![[Avatar]](/hvaonline/images/avatar/c1dd3f241f7f9e2439bda4c57ee76f1c.png "[Avatar]")
|
MrMe
Elite Member
|
|
0 |
|
|
Joined: 08/07/2006 13:01:01
Messages: 150
Offline
|
|
Theo như nguyenvanhack thì các thiết bị firewall, IPS đã được cấu hình và chạy tốt (chỉ public cổng https và smtp).
Vậy bây giờ chỉ còn tập trung vào điểm yếu ở lớp 7 payload và điểm yếu của giao thức ở đây là smtp và https.
2. Có thể hay không việc: attacker truy cập thành công đến WebApp (ví dụ như thông qua bug của Exchange 2003. Giả như 1 ngày nào đó chú quản trị IPS phản chủ, disable mấy cái option đi - Hoặc giả IPS update không thành công)?. Nếu có thì các nhờ các bác chỉ giúp em nó là bug gì để nhà em biết cách fix.
Attacker truy cập thành công đến WebApp là rất có khả năng. Tôi nhớ đã từng có ai đó trên HVA nói rằng (Thangdiablo thì phải)
Firewall về bản chất cũng chỉ là một software chạy trên một hardware. Đã là software do con người tạo ra thì thể nào cũng sẽ có lỗi. Kinh nghiêm cho thấy nơi nào mà có software chạy từ máy ATM cho đến vệ tinh nơi đó sẽ có bug và có thể trong số bug này sẽ có bug gây nguy hại đến an toàn của hệ thống.
|
|
|
|
|
| [Question] Re: Attacker cố gắng tần công hệ thống Mail Server |
27/01/2009 21:08:17 (+0700) | #30 | 167620 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
nguyenvanhack wrote:
thangdiablo wrote:
Còn việc bị spam là là chuyện thường ngày mà, tránh làm sao khỏi. Và khi chưa có Mail Gateway thì tại sao không tận dụng IPS có tích hợp sẵn Anti spam trên đó để sử dụng?
Lại nói chuyện IPS, quả là nên có vì ... nó là IPS. Mà tốt nhất là chỉ dùng nó như là 1 chú IPS.
Em cũng có 1 case như thế này, thỉnh ý các anh.
Mô hình kết nối:
Internet <-> Firewall_1 <-> [ SMTP-Gateway, MS ISA 2006 ] <-> IPS <-> Firewall_2 <-> [ Mailbackend (Exchange 2003 SP2), Web App ]
<note>
1. MS ISA 2006 dùng để public OMA, OWA
2. Ngoài dịch vụ SMTP trên SMTP-Gateway và HTTPS trên ISA được public ra ngoài Internt thì không còn dịch vụ nào được public ra ngoài.
</note>
Kết cấu hạ tầng của một hệ thống ( nhiều services như Mailserver, Webserver...) thì trên HVA đã có khá nhiều bài viết. Có nhiều bài đã bàn khá sâu.
Vấn đề không phải chỉ là bảo mật, mà còn phải tiên dụng.
Nếu đưa nhiều, cài đặt nhiều thiết bị, phần mềm bảo mật vào một hệ thống tại nhiều tầng, sẽ rất dễ xảy ra hiên tượng chúng conflict với nhau, rất dễ làm hệ thông chạy chậm lại hoăc ngưng trệ.
Trong topo của bạn trên đây, thì:
Firewall_1, Trong nhiều ADSL modem đã có một Firewall sẵn, không cần cài, lắp thêm
IPS <-> Firewall_2
Trong các router loại dùng cho công ty, như CISCO router, nói chung đều có sẵn những những cơ cấu này, nói rõ hơn là có thể chọn các router có những module IPS, Firewall..., hay mua thêm module mà ta yêu cầu.
Không chỉ CISCO mà còn có các công ty khác cung cấp security router với giá rẻ hơn nhiều.
Thiết bị nào cũng vây, quyết đinh vẫn là yếu tố con người. Không phải là một hệ thồng giá hàng triệu Đô la là đã an toàn.
Ngoài ra quản lý Webservice phức tạp họn Mailserver khá nhiều.
Vấn đề của thangdiablo đang bàn ở đây là: Nên có thêm một Gateway ở đầu vào hệ thông. Gateway đó có thể là một device (hardware) đóng vai trò một Gateway-Cache server cho Mailserver, hay cài thêm một Gatewaysoft. vào hệ thống, hay dùng một Mailserver soft. đã tích hợp sẵn một Gateway trong soft. này( chắc đây là ý của anh conmale)....
Khi cài thêm Gateway (hardware hay software) thì vân đề của thangdiablo sẽ giải quyết được, hay cơ bản sẽ tìm ra hướng giải quyết phù hợp
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
|
|
|
| Users currently in here |
|
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận bảo mật
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
Chỉ vì lão Thắng bố lười ko chịu sniff nên mới ko biết đó thôi.
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")