• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Security !!!

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Security !!!

    Em đang làm đề tài về " quan sát và đánh giá một hệ thống Security cho một công ty". Em nghĩ là trước tiên em cần biết về cơ sở hạ tầng và hệ thống server của công ty sau đó mới tìm xem cty đó bảo mật bằng gì .. ... rồi tìm ra những khuyết điểm. Nhưng em chưa hình dung ra được mình cần phải chú ý đến những biện pháp bảo mật nào.

    Mong mọi người cho em một lời khuyên

  • #2
    Trước tiên mình cần xác định được cty đó bảo mật bằng gì, phần mềm hay phần cứng, rieng phần mềm thì tiêu biểu như ISA của Microsoft, phần cứng như Firewall ASA của Cisco, Checkpoint, Nokia,... Dựa vào những thông tin đó, mà ta có thể xây dựng nên 1 hệ thống bảo mật tối ưu với yêu cầu của công ty.
    Kế đến bạn cần quan tâm đến các máy server ( máy chủ gì :IBM, Microsoft, ..), Client ( bao nhiêu user, các phòng ban, ...). Hệ thống có domain hay ko domain, mail nội bộ, file server, web server, các chính sách policy nội bộ...
    Bạn có thể dùng 1 số tool scan lỗ hỏng hệ thống như Acunetix Web Vulnerability Scanner v.6. Tool này scan và đưa ra khá đầy đủ về các lỗi như: lỗi ứng dụng web (SQL injection), lỗi máy trạm ( chưa có bản vá ), các client còn sử dụng windows 2000 ( tấn công null session). Cũng như hướng dẫn vá các lỗi đó.
    Nhờ các bạn tiếp tục giúp thêm cho bạn này !!!
    Trịnh Anh Luân
    - Email : trinhanhluan@vnpro.org
    - Search my site
    - Search VNPRO.ORG

Trung Tâm Tin Học VnPro
Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel: (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
Network channel: http://www.dancisco.com
  • Chuyên đào tạo quản trị mạng và hạ tầng Internet
  • Phát hành sách chuyên môn
  • Tư vấn và tuyển dụng nhân sự IT
  • Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Blog: http://www.vnpro.org/blog
Wifi forum: http://www.wifipro.org

Comment


  • #3
    Công việc của bạn gọi là Penetration tester. mình gởi bạn cuốn sách tham khảo vấn đề này
    http://w13.easy-share.com/1699827605.html
    Last edited by hoanggialiem; 19-04-2009, 12:23 AM.
    Phan Hoàng Gia Liêm - Instructor
    Email : gialiem@vnpro.org
    Yahoo : gialiem_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #4
      Mình cung cấp thêm cho bạn một số thông tin


      và 2 cuốn sách, trong đó có 1 cuốn trình bày rất rõ công việc sắp tới của bạn
      Attached Files
      Phan Hoàng Gia Liêm - Instructor
      Email : gialiem@vnpro.org
      Yahoo : gialiem_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment


      • #5
        Release date: 2008-04-15
        Standard: Data Security Standard (DSS)
        Requirement: 11.3
        Date: March 2008


        Information Supplement: Requirement 11.3 Penetration Testing

        General

        PCI DSS Requirement 11.3 addresses penetration testing, which is different than the external and internal vulnerability assessments required by PCI DSS Requirement 11.2. A vulnerability assessment simply identifies and reports noted vulnerabilities, whereas a penetration test attempts to exploit the vulnerabilities to determine whether unauthorized access or other malicious activity is possible. Penetration testing should include network and application layer testing as well as controls and processes around the networks and applications, and should occur from both outside the network trying to come in (external testing) and from inside the network. Who performs penetration testing The PCI DSS does not require that a QSA or ASV perform the penetration test—it may be performed by either a qualified internal resource or a qualified third party. If internal resources are being used to perform penetration tests, those resources must be experienced penetration testers. The individuals performing penetration testing should be organizationally separate from the management of the environment being tested. For example, the firewall administrator should not perform the firewall-penetration testing.

        Reporting and documentation

        It is recommended that both the penetration test methodologies and results are documented. PCI SSC has no reporting requirements for penetration tests, however the results should be retained to follow up on the identified issues and as evidence to be reviewed by those performing the PCI DSS assessment.

        Scope

        The scope of penetration testing is the cardholder data environment and all systems and networks connected to it. If network segmentation is in place such that the cardholder data environment is isolated from other systems, and such segmentation has been verified as part of the PCI DSS assessment, the scope of the penetration test can be limited to the cardholder data environment. Frequency Penetration testing should be performed at least annually and anytime there is a significant infrastructure or application upgrade or modification (for example, new system component installations, addition of a sub-network, or addition of a web server). What is deemed “significant” is highly dependent on the configuration of a given environment, and as such cannot be defined by PCI SSC. If the upgrade or modification could impact or allow access to cardholder data, then it should be considered significant. Significance within a highly segmented network where cardholder data is clearly isolated from other data and functions is very different than significance in a flat network where every person and device can potentially access cardholder data. As a security best practice, all upgrades and modifications should be penetration-tested to ensure that controls assumed to be in place are still working effectively after the upgrade or modification.

        Preparation

        There are several methodologies that can be used for penetration testing. The first decision that needs to be made is how much knowledge the tester has of the system being tested. Having no prior knowledge is known as “black box testing,” where the tester must first identify the location of the systems before attempting any exploits. Having explicit knowledge is known as “white box testing.” If it is determined that it would be beneficial for the tester to have prior knowledge, there are several items required by other PCI DSS requirements that generate information that can be used. Those PCI DSS items include:

        • A network diagram (1.1.2)
        • Results from a QSA review or Self-Assessment Questionnaire (SAQ)
        • Annual testing of controls to identify vulnerabilities and stop unauthorized access (11.1)
        • Results from quarterly external and internal vulnerability scans (11.2)
        • Results from the last penetration test (11.3)
        • Annual identification of threats and vulnerabilities resulting in a risk assessment (12.1.2)
        • Annual review of security policies (policies that need to be updated may identify new risks in an organization) (12.1.3)

        Documentation from all of the above should be evaluated, and threats and vulnerabilities found as part of the normal assessment processes should be considered for inclusion.

        Methodology

        Once the threats and vulnerabilities have been evaluated, design the testing to address the risks identified throughout the environment. The penetration test should be appropriate for the complexity and size of an organization. All locations of cardholder data, all key applications that store, process, or transmit cardholder data, all key network connections, and all key access points should be included. The penetration tests should attempt to exploit vulnerabilities and weaknesses throughout the cardholder data environment, attempting to penetrate both at the network level and key applications. The goal of penetration testing is to determine if unauthorized access to key systems and files can be achieved. If access is achieved, the vulnerability should be corrected and the penetration test re-performed until the test is clean and no longer allows unauthorized
        access or other malicious activity.

        Components

        Consider including all of these penetration-testing techniques (as well as others) in the methodology, such as social engineering and the exploitation of exposed vulnerabilities, access controls on key systems and files, web-facing applications, custom applications, and wireless connections.

        Important Considerations

        • With respect to PCI compliance, testing of vulnerabilities or mis-configurations that may lead to DoS attacks which target resource (network/server) availability should not be taken into consideration by the penetration testing since these vulnerabilities would not lead to compromise of cardholder data.
        • Communicate timing and scope of penetration testing to all affected parties throughout the organization.
        • Perform testing in accordance with critical company processes including change control, business continuity, and disaster recovery.
        • Perform all penetration testing during a monitored maintenance window.

        About the PCI Security Standards Council

        The mission of the PCI Security Standards Council is to enhance payment account security by driving education and awareness of the PCI Data Security Standard and other standards that increase payment data security.

        The PCI Security Standards Council was formed by the major payment card brands American Express, Discover Financial Services, JCB International, MasterCard Worldwide, and Visa Inc. to provide a transparent forum in which all stakeholders can provide input into the ongoing development, enhancement, and dissemination of the PCI Data Security Standard (DSS), PIN Entry Device (PED) Security Requirements, and the Payment Application Data Security Standard (PA-DSS). Merchants, banks, processors,
        and point-of-sale vendors are encouraged to join as Participating Organizations.

        source:https://www.pcisecuritystandards.org...on_testing.pdf
        Phan Hoàng Gia Liêm - Instructor
        Email : gialiem@vnpro.org
        Yahoo : gialiem_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment


        • #6
          Thank các anh em sẽ tiếp tục tìm hiểu
          À, về việc Secure WEB thì sao các anh ?? phần này em không biết vì không có học lập trình hay thiết kế web hết

          Comment


          • #7
            Chào bạn,
            Về vấn đề secure WEB thì còn phải tùy chính sách của công ty là họ dùng server tại công ty hay là thuê của tổ chức khác nữa.

            Chúc vui vẻ.
            Trần Mỹ Phúc
            tranmyphuc@hotmail.com
            Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)

            Cisco Certs : CCNP (Passed TSHOOT 1000/1000)

            Juniper Certs :
            JNCIP-ENT & JNCIP-SEC
            INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...

            [version 4.0] Ôn tập CCNA


            Comment


            • #8
              bạn có thể cho mình biết là web server của bạn đang sử dụng php hay asp không
              Phan Hoàng Gia Liêm - Instructor
              Email : gialiem@vnpro.org
              Yahoo : gialiem_vnpro
              -----------------------------------------------------------------------------------------------
              Trung Tâm Tin Học VnPro
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel : (08) 35124257 (5 lines)
              Fax: (08) 35124314

              Home page: http://www.vnpro.vn
              Support Forum: http://www.vnpro.org
              - Chuyên đào tạo quản trị mạng và hạ tầng Internet
              - Phát hành sách chuyên môn
              - Tư vấn và tuyển dụng nhân sự IT
              - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

              Network channel: http://www.dancisco.com
              Blog: http://www.vnpro.org/blog

              Comment


              • #9
                HI anh!
                Công ty có 2 trang web

                1 trang thuê bên ngoài viết bằng PHP
                1 trang Intranet viết bằng ASP

                Chà, ASP với PHP khác nhau nữa ah, hix trong trường nào giờ có học cái này đâu. Các anh có tài liệu secure về nó thì cho em xin .

                Best Regards,

                Comment


                • #10
                  Trước hết bạn cần xác định rõ 5 vấn đề sau:
                  WebServer (apache, IIS...)
                  Database (SQLServer, MySQL...)
                  Code (PHP, ASP...)
                  Hosting (tại nhà, hay nhà cung cấp dịch vụ...)
                  Firewall (phía trước webserver có firewall hay không...)

                  Sau khi xác định rồi mình mới tìm tài liệu nói về secure về nó.
                  Phan Hoàng Gia Liêm - Instructor
                  Email : gialiem@vnpro.org
                  Yahoo : gialiem_vnpro
                  -----------------------------------------------------------------------------------------------
                  Trung Tâm Tin Học VnPro
                  149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                  Tel : (08) 35124257 (5 lines)
                  Fax: (08) 35124314

                  Home page: http://www.vnpro.vn
                  Support Forum: http://www.vnpro.org
                  - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                  - Phát hành sách chuyên môn
                  - Tư vấn và tuyển dụng nhân sự IT
                  - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                  Network channel: http://www.dancisco.com
                  Blog: http://www.vnpro.org/blog

                  Comment


                  • #11
                    Để sercurity web, bạn cần chú ý tới lỗi SQL inj, đây là lỗi khá phổ biến, mà hầu như 80% cuộc tấn công web điều thông qua lỗi này !!! Nếu bạn thuê hosting bên ngoài, lúc hợp đồng bạn cần đảm bảo ko bị SQL các trang host cùng server , nếu ta để chung server với những trang bị lỗi, dù trang mình có ok thế nào đi nữa, thì hacker sẽ dùng kỹ thuật hack local, và deface web của bạn. PHP là chuẩn mở, ko tốn phí, còn ASP là tốn phí !!!
                    Trịnh Anh Luân
                    - Email : trinhanhluan@vnpro.org
                    - Search my site
                    - Search VNPRO.ORG

                    Trung Tâm Tin Học VnPro
                    Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                    Tel: (08) 35124257 (5 lines)
                    Fax: (08) 35124314

                    Home page: http://www.vnpro.vn
                    Support Forum: http://www.vnpro.org
                    Network channel: http://www.dancisco.com
                    • Chuyên đào tạo quản trị mạng và hạ tầng Internet
                    • Phát hành sách chuyên môn
                    • Tư vấn và tuyển dụng nhân sự IT
                    • Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                    Blog: http://www.vnpro.org/blog
                    Wifi forum: http://www.wifipro.org

                    Comment


                    • #12
                      Chủ đề rất hay, tiếp đi các bạn.

                      Comment


                      • #13
                        thông tin về web đây mấy huynh


                        Webserver : Apache
                        Database: MySQL
                        Code: PHP + Flash Aplication
                        Host tại nhà
                        Đặt sau firewall

                        Comment


                        • #14
                          Bạn có thể cung cấp tên trang web của bạn là gì ko? để mình giúp bạn scan 1 số lỗi về SQL injection !!!
                          Trịnh Anh Luân
                          - Email : trinhanhluan@vnpro.org
                          - Search my site
                          - Search VNPRO.ORG

                          Trung Tâm Tin Học VnPro
                          Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                          Tel: (08) 35124257 (5 lines)
                          Fax: (08) 35124314

                          Home page: http://www.vnpro.vn
                          Support Forum: http://www.vnpro.org
                          Network channel: http://www.dancisco.com
                          • Chuyên đào tạo quản trị mạng và hạ tầng Internet
                          • Phát hành sách chuyên môn
                          • Tư vấn và tuyển dụng nhân sự IT
                          • Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                          Blog: http://www.vnpro.org/blog
                          Wifi forum: http://www.wifipro.org

                          Comment


                          • #15
                            Trang này nè :
                            http://www.inrongvang.com.vn

                            Comment

                            • Working...
                              X