Attacker cố gắng tần công hệ thống Mail Server

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Attacker cố gắng tần công hệ thống Mail Server

[Question] Re: Attacker cố gắng tần công hệ thống Mail Server	31/01/2009 16:59:39 (+0700) \| #31 \| 167759

nguyenvanhack
Member

Joined: 04/11/2008 14:56:28
Messages: 12
Offline

Em cám ơn các bác đã tham gia ý kiến.

MrMe wrote:

Theo như nguyenvanhack thì các thiết bị firewall, IPS đã được cấu hình và chạy tốt (chỉ public cổng https và smtp).
Vậy bây giờ chỉ còn tập trung vào điểm yếu ở lớp 7 payload và điểm yếu của giao thức ở đây là smtp và https.

Trong phần <note> em đã bổ xung mục 4.

4. Giả vờ IPS_1, IPS_2 đang "bị" đặt ở chế độ monitor.

Tức là IPS có chạy nhưng chưa tốt smilie

. Cũng như anh MrMe, em thấy rủi ro nhiều nhất là ở payload và các điểm yếu của smtp và https. Hiện em đang băn khoăn là rủi ro này với MS Exchange 2003 SP2 như thế nào, khai thác ra làm sao, fix như thế nào.(dùng Exchange 2003 cho nó hợp với topic của anh Thắng)

MrMe wrote:

Attacker truy cập thành công đến WebApp là rất có khả năng. Tôi nhớ đã từng có ai đó trên HVA nói rằng (Thangdiablo thì phải)
Firewall về bản chất cũng chỉ là một software chạy trên một hardware. Đã là software do con người tạo ra thì thể nào cũng sẽ có lỗi. Kinh nghiêm cho thấy nơi nào mà có software chạy từ máy ATM cho đến vệ tinh nơi đó sẽ có bug và có thể trong số bug này sẽ có bug gây nguy hại đến an toàn của hệ thống.

Ý của anh MrMe là wánh thằng Firewall_1? Em thấy việc này khó thành công. Họa chỉ có mấy con Firewall kiểu all_in_one (kiểu như ADSL router ...) thì còn có cơ.
Đọc lại từ đầu topic em giựt mình, hình như con Exchange 2003 SP2 của em cũng đang chưa update hết mấy cái bugs. Chết thật sáng nay phải cho kiểm tra lại cái vụ "hình như" này ngay mới được.
P/S: Em sẵn sàng rồi, có bác nào muốn châm em đầu năm thì ... cứ thỏa mái nhé.

[Question] Re: Attacker cố gắng tần công hệ thống Mail Server	05/02/2009 06:21:15 (+0700) \| #32 \| 168189

thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline

Mr.Me wrote:

Attacker truy cập thành công đến WebApp là rất có khả năng. Tôi nhớ đã từng có ai đó trên HVA nói rằng (Thangdiablo thì phải)
Firewall về bản chất cũng chỉ là một software chạy trên một hardware. Đã là software do con người tạo ra thì thể nào cũng sẽ có lỗi. Kinh nghiêm cho thấy nơi nào mà có software chạy từ máy ATM cho đến vệ tinh nơi đó sẽ có bug và có thể trong số bug này sẽ có bug gây nguy hại đến an toàn của hệ thống.

Đính chính lại 1 chút là câu này của mrro chứ không phải của mình.
smilie

nguyenvanhack wrote:

--> Chỉnh lại topo một chút, ta sẽ được 1 cái đẹp như ... lý thuyết (nhưng vẫn thiếu tính HA)

Internet <--> Firewall_1 <--> IPS_2 <--> Firewall_2 <--> backend servers [ Exchange 2003 SP2, WebApp]
.......................^
.......................|
.......................v
....................IPS_1
......................^
.......................|
.......................v

Theo nguyenvanhack tại sao lại đặt IPS 2 trước firewall 2 mà không phải là đặt IPS phía sau firewall 2?

Trở lại với chủ đề này 1 chút. Có anh em nào có thể trình bày và demo cách tấn công dạng này không nhỉ?
Bug này hiện tại tôi đã fix nhưng muốn kiểm chứng kết quả sau khi apply hotfix của bug này.
Thỉnh thoảng IPS vẫn réo lên có vài anh chàng dai dẳng vẫn tiếp tục tấn công theo hướng này.

Hãy sống có Tuệ Giác.

[Question] Re: Attacker cố gắng tần công hệ thống Mail Server	06/02/2009 13:35:38 (+0700) \| #33 \| 168413

nguyenvanhack
Member

Joined: 04/11/2008 14:56:28
Messages: 12
Offline

Theo nguyenvanhack tại sao lại đặt IPS 2 trước firewall 2 mà không phải là đặt IPS phía sau firewall 2?

To: Mr thangdiablo
Khi vẽ cái topo này em hình dung đơn giản:
+ IPS_1 có trách nhiệm sử lý các traffic "lọt lưới" Firewall_1 có đích đến là DMZ zone.
+ IPS_2 có trách nhiệm sử lý các traffic "lọt lưới" Firewall_2 có đích đến là Backend zone. Với những tình huống critical thì IPS_2 còn "nhiều chuyện" để bảo vệ cho cả Firewall_2.
- Em nghĩ rằng 1 mô hình kết nối thông thường sẽ cần thêm zone cho User (ít nhất cũng phải có zone cho mấy anh admin) và em hình dung nó được đưa vào sau 1 Firewall_3 được cắm như topo sau. ( smilie

mà không có Users thì cái Local WebApp của em dùng làm gì nhỉ)

...........................................Users
.............................................^
.............................................|
......................................Firewall_3
.............................................|
............................................v

Internet <--> Firewall_1 <--> IPS_2 <--> Firewall_2 <--> backend servers [ Exchange 2003 SP2, WebApp]
.......................^
.......................|
.......................v
....................IPS_1

- IPS và exploit app thì em nghiền chưa đủ, muốn theo cho trọn topic này chắc cần thêm ít kinh nghiệm thực tế nữa. Anh thangdiablo có "phê" gì không ạ?
(Chắc sẽ có nhiều anh/chị nói rằng IPS cần đặt sau Firewall)

[Question] Re: Attacker cố gắng tần công hệ thống Mail Server	11/02/2009 12:18:39 (+0700) \| #34 \| 169026

thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline

To nguyenvahack: Tuy hơi nằm ngoài chủ đề topic 1 chút. Nhưng thử ví dụ 1 trường hợp theo cái toplogy IPS --- Firewall nhé!

Nếu đặt IPS phía trước firewall và hệ thống của chúng ta liên tiếp gặp những trận bão DDoS thì sao nhỉ?

Theo tớ, chúng ta nên open 1 topic dạng như " Nên đặt IPS phía trước hay sau firewall "

Chắc sẽ rất thú vị đấy

Hãy sống có Tuệ Giác.

[Question] Re: Attacker cố gắng tần công hệ thống Mail Server	15/02/2009 00:31:36 (+0700) \| #35 \| 169414

thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline

Một lỗi tương tự vừa được công bố trên các website bảo mật. Lần này Exhange 2007 cũng phải update bug này. Mọi người lưu ý

http://www.microsoft.com/technet/security/Bulletin/MS09-003.mspx

Hãy sống có Tuệ Giác.

Go to:

Users currently in here
1 Anonymous