Tiếp nối các phần trước phần này tôi sẽ giới thiệu với các bạn về Service Auditing, IDS và phân tách mỗi trường làm việc
5.Dùng Service Auditing
Ta đã thảo luận qua 4 biện pháp để tăng cường bảo mật. Tuy nhiên phần quan trọng nhất của bảo mật chính là phân tích hệ thống và nắm rõ các phương thức tấn công.
Service auditing là một tiến trình theo dõi các dịch vụ đang chạy trên các máy chủ của bạn trong hạ tầng mạng. Thường thì hệ điều hành sẽ được cấu hình chạy sẵn một số dịch vụ khi khởi động. Cài đặt thêm phần mềm cũng có thể phát sinh thêm các tiến trình tự khởi động
Service auditing là cách để biết được các dịch vụ nào đang chạy trên hệ thống của bạn, cổng nào đang được sử dụng và giao thức nào được chấp nhận. Thông tin này sẽ giúp bạn cấu hình Firewall một cách tốt hơn.
Vậy tại sao Service Auditing lại tăng cường bảo mật?
Máy chủ khởi tạo nhiều tiến trình cho một mục đích nào đó để xử lý thông tin từ phía người dùng. Mỗi cái đều có thể bị lợi dụng để tấn công vào máy chủ của bạn. Càng nhiều dịch vụ đang chạy thì khả năng bị tấn công vào những lỗ hổng trên các phần mềm cài sẵn lại càng cao.
Khi mà bạn đã nắm rõ các dịch vụ nào đang chạy trên hệ thống của bạn, ban có thể bắt đầu phân tích các dịch vụ đó. Một số câu hỏi nên được đặt ra cho các dịch vụ:
-Dịch vụ này có nên chạy ?
-Dịch vụ này có đang chạy trên giao diện mà nó không cần thiết?
-Firewall của bạn có cho phép dịch vụ này chạy qua?
-Bạn có phương thức nào nhận các thông báo bảo mật từ các dịch vụ kia chưa?
Từ đó mà ta xác định được nên làm gì với dịch vụ đó.
Kiểm tra các dịch vụ như thế nào?
Việc này khá là đơn giản, bạn có thể kiểm tra các dịch vụ đang chạy cũng như cổng và giao thức của nó thông qua câu lệnh
netstat -plunt
Một bảng sẽ hiện ra dạng
Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 887/sshd tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 919/nginx tcp6 0 0 :::22 :::* LISTEN 887/sshd tcp6 0 0 :::80 :::* LISTEN 919/nginx
6.Dùng File Auditing và IDS
File auditing là một tiến trình so sánh bản ghi hiện tại của hệ thống với bản ghi trước đó được cho là trạng thái tốt. Nhằm phát hiện ra các thay đổi không được phép.
IDS là một phần mềm dùng để giám sát các hoạt động trong hệ thống. Một số IDS dùng phương pháp kiểm tra file để so sánh xem hệ thống có bị thay đổi hay không.
Vậy tại sao IDS lại tăng cường bảo mật?
Cũng giống như phần 5, để đảm bảo sự an toàn cho hệ thống thì đây là cách rất hữu ích để kiểm tra các file trên hệ thống của bạn. Việc này có thể thực hiện bởi Admin hay tiến trình tự động của IDS.
Cách trên là một trong số các cách để có thể kiểm tra xem các file hệ thống không bị chỉnh sửa bởi ai đó hoặc tiến trình nào đó. Trong một vài lý do, kẻ xâm nhập thường để lại các file ẩn để họ có thể lợi dụng lỗ hổng trên máy chủ trong một thời gian dài. Họ có thể thạy đổi cả thư viện với một bản đã chỉnh sửa. Kiểm tra file thường xuyên sẽ giúp bạn ngăn chặn được các nguy cơ tiềm tàng bên trong máy chủ của bạn.
7.Chia tách môi trường làm việc
Cách ly các môi trường làm việc để các thành phần riêng lẻ chạy trên môi trường riêng của nó.
Lấy một ví dụ đơn giản như website thì ta sẽ để code của web trên 1 máy chủ và cơ sở dữ liệu trên 1 máy chủ khác.
Vậy tại sao nó lại tăng cường bảo mật?
Việc phân tách các tiến trình khác nhau vào các môi trường riêng biệt sẽ giảm thiểu tối đa các vấn đề liên quan đến bảo mật. Một lỗ hổng ở môi trường này sẽ không bị ảnh hưởng đến môi trường khác. Nó giống như việc bạn có một cái chìa khóa cửa nhưng khi vào trong nhà thì tất cả các phòng khác đều có khóa khác vậy, và bạn không thể làm gì được.