Help độ an toàn mô hình

anhuituan

Member
27/02/2020
0
5 bài viết
Help độ an toàn mô hình
mohinh.jpg

Chào các bạn.
MÌnh đang gặp 1 khúc mắc mong các bạn giải thích dùm:
Mình có 1 hệ thống server 01 đến sever 03, có 2 đường truyền kết nối đến hệ thống như hình vẽ (vẽ = word nên hơi xấu chút :D) qua port 1 và port 2 trên firewall, 2 port này cấu hình như nhau.
Mình có 2 thắc mắc là:
1. Hacker sẽ tấn công vào đường nào dễ hơn?
2. Nếu Hacker (H màu đen) sau khi đã tấn công được 1 máy trong mạng LAN đơn vị, thì tấn công vào hệ thông server có dễ hơn không?
3. có 2 ý kiến trái chiều nhau: (các bạn cho xem ý kiến nào đúng nhé)
A) 2 đường qua port 1 và port 2 độ an toàn như nhau (bỏ qua các yếu tố khác nhé...)
B) độ an toàn của đường qua Port 2 kém hơn đường qua port 1.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tùy thuộc và không thể trả lời cái nào an toàn hơn cái nào cụ ợ!
Để trả lời được câu này thì cần thêm các thông tin khác:
1. Firewall mạng trong (H) quản lý route ra internet của nhóm Server như nào?
2. Firewall nhóm server định nghĩa route và quản lý truy cập ngược từ nhóm lan H vào như nào?
Thường với khu vực Server Firewall chỉ mở một số cổng mặc định (Web/DNS/SSH) và bên trong các Server nếu cài đặt chuẩn cũng sẽ có các firewall lớp trong.
Nếu nhóm mạng Server dịch vụ được isolate/ tách biệt với nhóm quản trị thì cũng không dễ can thiệp
Nhìn chung, câu trả lời là không hề dễ dàng khi chưa hiểu rõ đặc thù cấu hình mạng của cụ!
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: anhuituan
Comment
Bình thường user mạng LAN sẽ truy cập được một số dịch vụ trên server như file sharing.... nên port 2 sẽ kém an toàn hơn.
Nhưng để hacker tấn công qua port 2 thì bắt buộc phải chiếm được một máy tính của user trong LAN nên sẽ phải áp dụng các phương pháp fishing để lừa người dùng tải về trojan hoặc keylog. Vậy chỉ cần xử lý tốt các user trong LAN như cảnh báo về mail fishing cần thận khi sử dụng hay cấm cài phần mềm bừa bãi, cắm usb thì khả năng bị tấn công port 2 sẽ thấp nhất.
 
Comment
Bình thường user mạng LAN sẽ truy cập được một số dịch vụ trên server như file sharing.... nên port 2 sẽ kém an toàn hơn.
Nhưng để hacker tấn công qua port 2 thì bắt buộc phải chiếm được một máy tính của user trong LAN nên sẽ phải áp dụng các phương pháp fishing để lừa người dùng tải về trojan hoặc keylog. Vậy chỉ cần xử lý tốt các user trong LAN như cảnh báo về mail fishing cần thận khi sử dụng hay cấm cài phần mềm bừa bãi, cắm usb thì khả năng bị tấn công port 2 sẽ thấp nhất.
Nếu như kiểm soát tốt các port trong nhóm Server thì mấy vấn đề cụ nêu cũng chả có gì phải bàn ợ!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: anhuituan
Comment
Bình thường user mạng LAN sẽ truy cập được một số dịch vụ trên server như file sharing.... nên port 2 sẽ kém an toàn hơn.
Nhưng để hacker tấn công qua port 2 thì bắt buộc phải chiếm được một máy tính của user trong LAN nên sẽ phải áp dụng các phương pháp fishing để lừa người dùng tải về trojan hoặc keylog. Vậy chỉ cần xử lý tốt các user trong LAN như cảnh báo về mail fishing cần thận khi sử dụng hay cấm cài phần mềm bừa bãi, cắm usb thì khả năng bị tấn công port 2 sẽ thấp nhất.
Ở đây server bên trong chỉ mở dịch vụ web http và https thôi ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Ở đây server bên trong chỉ mở dịch vụ web http và https thôi ạ
Nếu mở dịch vụ web không thì vẫn phải cho mấy ông DEV vào update code thì bạn nên cấu hình chấp nhận 1 số ip của DEV trong mạng LAN và phân quyền riêng vào thư mục web cho DEV và đặc biệt bạn phải quản lý chặt các user này nếu bị hack thì khả năng chọc vào server là 100%. Nếu dịch vụ web public ra ngoài thì việc bị tấn công qua khai thác lỗ hổng ứng dụng web ở tất cả các vùng mạng là như nhau việc này phải phối hợp bên DEV xử lý.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: anhuituan
Comment
Nếu như kiểm soát tốt các port trong nhóm Server thì mấy vấn đề cụ nêu cũng chả có gì phải bàn ợ!
Vấn đề là trong một mạng được cho là an toàn vẫn có các user có khả năng bị tấn công ví dụ phương thức APT .
https://whitehat.vn/threads/write-u...-ha-tang-thong-tin-quan-trong-quoc-gia.11080/
https://whitehat.vn/threads/7-buoc-chien-thuat-tan-cong-co-chu-dich.10082/

Mục tiêu cũng có thể là system admin hacker có thể gửi mail, chat, file, link để cài virus vào máy nạn nhân rùi đánh cắp tài khoản nhằm xâm nhập hệ thống mạng server.
Buid một mạng an toàn là chưa đủ chúng ta cũng cần phải phổ biến kiến thức an ninh mạng cho các user trong mạng đó.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: anhuituan
Comment
1: Port 2 sẽ tấn công dễ hơn
2: Tất nhiên và dễ hơn, khi đó sẽ có một số dịch vụ được chia sẻ trong mạng lan, attacker có thể có nhiều lựa chọn tấn công hơn so với ở ngoài internet.
3: Ý kiến riêng của mình là phương án B.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: anhuituan
Comment
Port2 sẽ kém an toàn hơn bởi vì tất cả đường internet vào sẽ apply nhiều rules hơn, ngoài ra các fw đều activate các tính năng như là ips, was nên sẽ bị monitor và alert.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: anhuituan
Comment
1: Port 2 sẽ tấn công dễ hơn
2: Tất nhiên và dễ hơn, khi đó sẽ có một số dịch vụ được chia sẻ trong mạng lan, attacker có thể có nhiều lựa chọn tấn công hơn so với ở ngoài internet.
3: Ý kiến riêng của mình là phương án B.
Cái này cũng không hẳn, nếu như ông thiết kế muốn dùng phương án đó thì trong firewall của Port 2 ông ta chỉ cho các luồng đi thẳng qua route đến port 2 vào server từ firewall đơn vị thì có muốn cũng chả làm gì được.
Về độ rủi ro, 2 cái sẽ như nhau (nếu loại trừ phương án ăn trộm mật khẩu trong hệ thống để chiếm các thiết bị, router)
Thực tế tùy đặc tính đơn vị mà độ rủi ro sẽ thay đổi!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: anhuituan
Comment
Cảm ơn các bạn :D đã chia sẻ ý kiến,
ở đây, server chạy dịch vụ web nên chỉ mở 2 cổng 80 và 443. cấu hình 2 đường truyền như nhau chỉ mở dịch vụ 80 và 443, ko có dịch vụ gì chia sẻ lan đâu ạ
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên