<![CDATA[Latest posts for the topic "Các port mở và bảo mật"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Các port mở và bảo mật /hvaonline/posts/list/42936.html#267140 /hvaonline/posts/list/42936.html#267140 GMT Các port mở và bảo mật

akaiito wrote:
Hôm trước ông bạn mình có scan cái vps của mình và bảo nhiều port mở, có thể dos / hack qua các port đó nhưng mình nghĩ là việc các port này mở không sao. Bạn ấy bảo cả cổng 80 nên che đi nữa nhưng mình không hiểu lắm. Thuật ngữ này là sao ? (thấy bảo là port 80 vẫn dùng bt nhưng khi scan không thấy) Vậy ai hiểu & có kinh nghiệm có thể giúp mình vấn đề này với (sơ qua về việc các port mở trên sever có ảnh hưởng gì đến security không), mình nên đọc thêm tài liệu nào để tự phòng chống ? 
Cổng 80 mà "che lại" thì ai truy cập được vào website bạn được nhỉ ?]]>
/hvaonline/posts/list/42936.html#267172 /hvaonline/posts/list/42936.html#267172 GMT
Các port mở và bảo mật

tranhuuphuoc wrote:
Cổng 80 mà "che lại" thì ai truy cập được vào website bạn được nhỉ ? 
Chắc ý bạn này là nếu dùng các tool scan port thì sẽ không thấy port 80 mở nhưng truy cập web vẫn bình thường ấy mà :P Dùng wireshark capture những thứ sau: 1. Scan các port mở và các gói tin trả về 2. Scan các port đóng và các gói tin trả về 3. Truy cập đến port mở một cách hợp lệ (VD: dùng firefox kết nối đến port 80) - So sánh khác biệt giữa 1 và 2 => Hình thành cách hành xử của HĐH khi muốn "che" (đánh lừa các công cụ scan port) - So sánh sự khác biệt giữa 1 và 3 => Hình thành cơ sở để phân biệt dấu hiệu của các ứng dụng bình thường và các công cụ scan port (VD: Nếu là firefox kết nối đến port 80 thì cho phép, Nếu là nmap scan port thì trả về là port đóng) Hồi trước em có làm cái Firewall transparent với các bộ scanning (nmap, nessus) nên có kinh nghiệm:D - Ky0 -]]>
/hvaonline/posts/list/42936.html#267201 /hvaonline/posts/list/42936.html#267201 GMT
Các port mở và bảo mật /hvaonline/posts/list/42936.html#267208 /hvaonline/posts/list/42936.html#267208 GMT Các port mở và bảo mật Hôm trước ông bạn mình có scan cái vps của mình và bảo nhiều port mở, có thể dos / hack qua các port đó nhưng mình nghĩ là việc các port này mở không sao.   Bạn chạy VPS hệ diều hành nào thế, windows hay linux Cái mình nêu ở dưới là 1 ít kinh nghiệm dùng linux của mình: Bạn nên xác định mình cần chạy những dịch vụ nào đó phải là những dịch vụ bạn cần nhất. Ví dụ bạn chỉ chạy 1 site thôi thì chỉ cần mở port 80, port ssh và FTP với cổng chạy mysql và nếu bạn mở dịch vụ shared hosting thì bạn phải mở nhiều cổng hơn như FTP (21), hosting panel (cpanel , direct admin)... Nhưng bạn nên nhớ là chỉ mở những cổng và chạy những dịch vụ nào thật sự bạn thấy cần thiết thôi. Chứ đừng chơi kiểu cổng nào cũng mở servic nào cũng chạy thì bảo mật không xuể đâu nhé. ]]> /hvaonline/posts/list/42936.html#267220 /hvaonline/posts/list/42936.html#267220 GMT Các port mở và bảo mật

tranhuuphuoc wrote:
Ah, nếu như ý của bạn akaiito nói thì psad chắc đáp ứng đủ nhu cầu :) http://www.cipherdyne.org/psad/ 
Hồi đó em có đọc qua cuốn Linux Firewalls: Attack Detection and Response cũng nói về mấy vụ này :) Vấn đề là ở chỗ khi hệ thống bị tấn công mà có người scan nữa thì performance của IPtables bị giảm đáng kể, chính vì thế việc build lại một hệ thống tương tự đồng thời thực hiện cản lọc từ thấp lên cao thì sẽ hiệu quả hơn :P - Ky0 -]]>
/hvaonline/posts/list/42936.html#267223 /hvaonline/posts/list/42936.html#267223 GMT
Các port mở và bảo mật /hvaonline/posts/list/42936.html#267227 /hvaonline/posts/list/42936.html#267227 GMT Các port mở và bảo mật

sasser01052004 wrote:
Hình như 2 anh nghiên về bảo mật linux quá. :D Nếu bạn này dùng VPS windows thì sao nhỉ :P 
Windows cũng có cách map để điều chỉnh cho các bộ scanning nhận diện thành Linux :P Hai vấn đề cần nắm vững khi triển khai: - TCP/IP - Cách xử lý gói tin của HĐH (Windows/*Nix) - Ky0- ]]>
/hvaonline/posts/list/42936.html#267229 /hvaonline/posts/list/42936.html#267229 GMT
Các port mở và bảo mật

Ky0 wrote:

sasser01052004 wrote:
Hình như 2 anh nghiên về bảo mật linux quá. :D Nếu bạn này dùng VPS windows thì sao nhỉ :P 
Windows cũng có cách map để điều chỉnh cho các bộ scanning nhận diện thành Linux :P Hai vấn đề cần nắm vững khi triển khai: - TCP/IP - Cách xử lý gói tin của HĐH (Windows/*Nix) - Ky0-  
Anh có thể mở rộng thêm chút về cái này được không, em có nhiều cái vẫn chưa tường. :p]]>
/hvaonline/posts/list/42936.html#267255 /hvaonline/posts/list/42936.html#267255 GMT
Các port mở và bảo mật

sasser01052004 wrote:

Ky0 wrote:
Hai vấn đề cần nắm vững khi triển khai: - TCP/IP - Cách xử lý gói tin của HĐH (Windows/*Nix) - Ky0-  
Anh có thể mở rộng thêm chút về cái này được không, em có nhiều cái vẫn chưa tường. :p 
Để nhận nhiện một Host chạy hệ điều hành nào? mở các dịch vụ gì phiên bản bao nhiêu? .... thì các bộ scanning sẽ nhận diện bằng cách thức sau: - Các port mở trên host - Độ dài và các trường gói tin trả về (Cách hành xử của HĐH khi nhận được một gói tin. Ví dụ: khi bạn gửi một gói syn đến port đang mở thì hệ điều hành bình thường sẽ trả về gói RST, nếu đó là windows thì độ dài gói tin trả về sẽ khác windows, trường hợp gói tin đó phải đi qua firewall thì nếu gói tin không bình thường thì có thể sẽ bị drop ...) - Các banner messages trả về trên các port đang mở ... Để tiếp cận sâu hơn về vấn đề cần tiến hành theo hai hướng:
  1. Lý thuyết: Nghiên cứu thêm các cuốn sách sau: Nmap Network Scanning, Linux Firewalls: Attack Detection and Response, Và cần kiến thức về các giao thức trong cuốn TCP/IP - Illustrated :P Thực nghiệm: dùng các tool scan (Nmap. Nessus ...) các hệ điều hành khác nhau trong tất cả các trường hợp (firewall mặc định, firwall của hãng thứ 3, không có firewall .... ) Đồng thời dùng các công cụ capture quá trình scan, để nhận xét sự sai khác.
Đừng thử nghiệm scan mấy cái server đã được config kỹ như HVA là được :P (anh conmale đã map lại các port, thay đổi banner messages ....) Trong quá trình thử nghiệm nếu có vấn đề gì chưa rõ thì cứ mang lên đây thảo luận :P - Ky0 - ]]>
/hvaonline/posts/list/42936.html#267263 /hvaonline/posts/list/42936.html#267263 GMT
Các port mở và bảo mật Code:
root@sasser:~# nmap -v -A scanme.nmap.org

Starting Nmap 6.00 ( http://nmap.org ) at 2012-07-22 21:54 JST
NSE: Loaded 93 scripts for scanning.
NSE: Script Pre-scanning.
route_dst_netlink: can't find interface "venet0"
Bạn nào biết Giúp mình chút nhé Mình đang dùng ubuntu ]]>
/hvaonline/posts/list/42936.html#267297 /hvaonline/posts/list/42936.html#267297 GMT