Index of /"

-

Detecting the real IP address of an attacker:

SecRule ARGS "/etc/passwd" "pass,redirect:/log_ip.php" 92

-

Một số tấn công khác Xflash ddos o

SecRule REQUEST_HEADERS_NAMES "x-flash-version" deny o

Command Excution and file disclosure

SecRule ARGS_VALUES "^(uname|id|ls|cat|rm|kill|mail)" SecRule ARGS “(/home|/var|/boot|/etc|/bin|/usr|/tmp)”  o

HTML Tags

SecRule ARGS "
Bad User-Agent

SecRuleHTTP_USER_AGENT "<(.|\s|\n)?(script|about|applet|activex|chrome|object)(.|\s|\n)?>.*<(.|\s|\n)? (script|about|applet|activex|chrome|object)" #PHP code injection attack SecRule HTTP_USER_AGENT "(<\?php|<[[:space:]]*\?[[:space:]]*php)" SecRule HTTP_USER_AGENT ".*HTTP_GET_VARS" SecRule HTTP_USER_AGENT "Mosiac 1\.*" SecRule HTTP_USER_AGENT "Brutus/AET" SecRule HTTP_USER_AGENT ".*WebRoot " #Web leaches SecRule HTTP_USER_AGENT "Web Downloader" SecRule HTTP_USER_AGENT WebZIP SecRule HTTP_USER_AGENT WebCopier SecRule HTTP_USER_AGENT Webster SecRule HTTP_USER_AGENT WebZIP SecRule HTTP_USER_AGENT WebStripper SecRule HTTP_USER_AGENT "teleport pro" SecRule HTTP_USER_AGENT combine SecRule HTTP_USER_AGENT "Black Hole" SecRule HTTP_USER_AGENT "SiteSnagger" SecRule HTTP_USER_AGENT "ProWebWalker" SecRule HTTP_USER_AGENT "CheeseBot" SecRule HTTP_USER_AGENT ".*Nessus" 93

SecRule HTTP_USER_AGENT ".*Nikto"

Sử dụng DVWA để DEMO các cuộc tấn công và cách phòng chống bằng ModSecurity 1. DVWA : là một framework đã xây dự ng sẵn những lỗ hổng bảo mật theo top 10 điểm yếu bảo mật Web của OWASP. Trình độ từ mức low đến high có thể đáp ứng nhu cầu kiểm thử của r ất nhiều người  2. Cài đặt DVWA -

Download link: https://github.com/ethicalhack3r/DVWA/archive/master.zip Có thể triển khai trên CentOS hoặc dùng XAMPP trên Windows. Tải về, giải nén và copy vào đườ ng dẫn /var/www/html Quá trình chỉ nh sửa: Vào MySQL tạo database tên dvwa o Cd /var/www/html/ o chown -R apache:apache DVWA/ o chmod 755 -R DVWA/ o cp DVWA/config/config.inc.php.dist DVWA/config/config.inc.php o vi DVWA/config/config.inc.php o $_DVWA[ 'db_server' ] = '127.0.0.1'; $_DVWA[ 'db_database' ] = 'dvwa'; $_DVWA[ 'db_user' ] = 'root';    

$_DVWA[ 'db_password' ] = 'root’s password';

$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg'; $_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ'; Save file. o Vi /etc/php.ini o allow_url_include = Off => allow_url_include = On service httpd restart o Setup DVWA: 1.2.3.3/DVWA/setup.php 





-

94

-

Click chọn Create/ Reset database Sau khi cài đặt xong DVWA sẽ có giao diện sau đây:

-

Tài khoản mặc định của DVWA: username: admin o password: password o Sau khi đăng nhậ p DVWA có giao di ện chính như sau:

-

 3. Vi ết Rule ngăn chặn XSS -

Test lỗi XSS reflected ở mức low security khi chưa bậ t mod Security bằng câu lệnh javascript: <script>ale rt(“XSS testing – TuongLua”) khi nhập vào URL

http://cysecure.com/dvwa/vulnerabilities/xss_r/?name=<script>alert("XSS Test");

95

-

Bật mod security v ới 1 RULE đơn giản để  chống lại XSS # Bat che do loc cua Modsecurity SecRuleEngine On # Thiet lap action mac dinh SecDefaultAction "phase:2,deny,log,status:403"

SecRule REQUEST_URI "Jscript|alert|onsubmit|onmouseover|onmove|onerror|document|javascript|scri   pt" "deny,phase:1,setvar:tx.xssscore=+1,id:10000" -

Kết quả:

96

Phần 4: Tăng cường bảo mật website với https và hsts 1. 2. 3. 4. 5. 6.

HTTPv1 và HTTPv2  Đăng ký vài cài đặt SSL certificate: Comodo, GeoTrust, DigiCert, Verisign Cài đặt SSL trên webserver, kích ho ạt https Scan HTTP version Buộc website chạy HTTPs Cơ chế hoạt động HSTS, thiết lập HSTS trên webserver

97

1. Giao thức HTTP HTTP là một giao thức giao tiếp trên cơ sở TCP/IP, mà được sử dụng để phân phối dữ liệu (các tệp HTML, các file ảnh, …) trên WWW. Cổ ng mặc định là TCP 80, nh ững các cổng khác cũng có thể được sử dụng. Nó cung cấp một cách được tiêu chuẩn hóa cho các máy tính để giao tiếp với nhau. Chi tiết kỹ thuật HTTP xác định cách mà dữ liệu yêu cầu của Client sẽ được xây dựng và được gửi tới Server, và cách để  Server phản hồi các yêu c ầu này

 Đặc trưng cơ bản: -

-

-

HTTP là giao thức connectionless : gi ả sử một trình duyệt khởi tạo một yêu cầu HTTP và sau đó một yêu cầu được tạo ra, Client ngắt kết nối từ Server và đợi cho một phản hồi. Server xử lý yêu cầu và thiết lập lại sự kết nối với Client để  gửi phản hồi tr ở lại. HTTP là một phương tiện độc lập: có nghĩa là, bấ t kỳ loại dữ liệu nào cũng có thể được gửi bởi HTTP miễn là Server và Client biết cách để kiểm soát nội dung dữ liệu. Nó được yêu cầu cho Client cũng như Server để xác định kiểu nội dung bởi sử dụng kiểu MIME thích hợp. HTTP là stateless: Như đã được đề  cập ở trên, HTTP là connectionless và k ết quả là HTTP tr ở thành một giao thức Stateless. Server và Client bi ết về nhau chỉ  trong một yêu cầu hiện tại. Sau đó, cả server và client đều quên t ất cả về nhau. Do bản chất của giao thức, cả Client và các trình duy ệt có thể giữ lại thông tin giữa các yêu cầu khác nhau giữa các trang web.

Hiện tại HTTP có 2 phiên b ản: v1 và v2

 Đặc trưng của HTTPv1: a. Mỗi c onnection là 1 tài ng uyên

-

Trong dạng xử lý này, mỗi connection sẽ request m ột tài nguyên độ c lập. Kết nối sẽ được mở mới khi cần request một tài nguyên và close khi nh ận response hoàn tất. Đây là dạng làm việc đơn giản và cũng là thông dụ ng nhất, tuy nhiên r ất không tối ưu vì thời gian thi ết lập kết nối mới tốn r ất nhiều thời gian do phải thực hiện bắt tay 3 bước, chưa kể nếu có các lớp xử lý bảo mật như TLS sẽ càng làm tăng độ tr ễ của việc thiết lập kết nối này.

98

b. K eep-a eep-alive live connection

-

Với keep-alive connection, có thể thực hiện nhiều lượt l ượt request tài nguyên khác nhau với cùng một connection. Tuy nhiên, chúng ta dễ dàng nhận thấy t hấy một khoảng thời gian chờ sau khi thực hiện một request, trong lúc đợi response về hoàn tất, sẽ không có một request nào khác được phép thực hiện. Điều này gây lãng phí tài t ài nguyên, do băng thông vẫn còn đó trong khi request tài nguyên khác sẽ không thể request ở cùng connection, và nếu tạo t ạo connection mới thì lại trở lại vấn đề với mỗi request một connection.

c. HTTP /1 pipelini pipelini ng

-

Giải pháp cho phép nhi ều lượt request được gọi mà không c ần response ph ải hoàn thành, sau đó sẽ  nhận các response. Một giải pháp khá mượt, nhưng nhìn sâu hơn vấn đề  một chút, đầu tiên ta quan sát lại HTTP request và response.

-

Một cú pháp request điển hình như sau: GET /index.html HTTP/1.1 Host: www.example.com

-

Cú pháp response dạng: HTTP/1.1 200 OK Date: Mon, 23 May 2005 22:38:34 GMT Server: Apache/1.3.3.7 (Unix) (Red-Hat/Linux) 99

Last-Modified: Wed, 08 Jan 2003 23:11:55 GMT ETag: "3f80f-1b6-3e1cb03b" Content-Type: text/html; charset=UTF-8Content-Length: 138  Accept-Ranges: bytes Connection: close Hello World, this is a very simple HTML document.

-

-

Nếu dữ liệu response về không có thứ tự mà đi lộn xộn, thì do cùng sử dụng 1 connection chung, đầu nhận response sẽ không thể phân biệt được phần dữ liệu là thuộc request nào.  Điều này khiến HTTP pipelining pipelining phải tuân thủ một điều là phía client client chỉ sau khi nhận trọn vẹn một response của request này mới được nhận tiếp t iếp response từ request khác, việc này gây ra nguy cơ về hiệu năng khi có một response bị mất hay bị xử lý chậm.

 Đặc trưng của của HTTPv2 a. T ổng quá quát

Hình: Ki ến trúc HTTP/2 

HTTP/2 xây dựng trên tư tưởng mỗi TCP connection sẽ có nhiều stream, mỗi packet truyền tải trong stream sẽ là một frame, các frame này sẽ có đầy đủ các thông tin định danh stream.

100

Hình: HTTP/2 nhi ều stream dùng chung một connection

Khi sử dụng, mỗi request tài nguyên sẽ sử dụng một stream độc lập, mỗi frame đều có thông tin định danh cho stream riêng, nên việc thứ tự truyền/nhận của request/response không còn là vấn đề, dữ liệu của frame f rame nào sẽ được đưa vào stream của nó, tương ứng với đó là request/response tương ứng. Như vậy vấn đề head-of-line blocking được giải quyết.

ấn đề Head-of-line blocking đượ c gi ải quy ết trong HTTP/2  Hình: V ấn b. V ấn ấn đề i. o

o

Head-of-line blocking gây ra bở i TCP

HTTP/2 là một kiến trúc đẹp, nhưng tư tưởng xây dựng nó nhiều stream dùng chung một TCP connection, tức là sử dụng chung một đường truyền tải. Khi gói tin từ stream được đóng gói để đưa xuống tầng TCP, gói tin sẽ lại được đóng gói (trong nhiều trường hợp có thể bị chia nhỏ hơn để đóng gói) bởi giao thức TCP, bằng cách đánh thêm chỉ số tuần tự và các thông tin khác ... để đưa xuống tầng IP và truyền đi. Tầng IP sẽ không đảm bảo gói tin sẽ không mất mát và đúng thứ tự, vì vậy tầng TCP sẽ làm việc đó, nếu có gói tin nào bị mất mát do truyền tải ở tầng IP thì tầng TCP sẽ gửi lại gói tin tương ứng.

Trong trường hợp những gói tin này thuộc các stream khác nhau, thì khi mất mát gói tin của một stream thì các stream còn lại sẽ bị ảnh hưởng. Vấn đề head -of-line blocking lại xuất hiện, nhưng lần này là do cơ chế của TCP gây nên.

101

Hình: Head-of-line blocking do cơ chế  bảo v ệ flow c ủa TCP 

-

-

ii. Stream dùng chung thuật toán chống nghẽn Thuật toán chống nghẽn được thiết kế nhằm giúp TCP sử dụng băng thông tố i đa mà nó có thể, tùy vào lượ ng mất mát gói tin mà thuật toán sẽ tự điều chỉ nh

lượng băng thông truyền đi. Trong HTTP/2, nhiều stream sẽ dùng chung trên m ột connection, nên s ẽ phải sử dụng chung m ột tr ạng thái chống nghẽn. Việc này sẽ gây ra v ấn đề nếu một gói tin thuộc connection tương ứ ng bị mất gói tin, thì thuật toán chống nghẽn sẽ điều chỉ nh làm chậm băng thông củ a connection lại, kéo theo việc các stream còn lại của connection này cũng sẽ  bị chậm theo.

c. QUIC  – Quick UDP Internet C onnections i. T ổng quát -

 Để khắc phục vấn đề head -of-line blocking gây ra bởi TCP, cách duy nhất là thiết kế HTTP/2 trên nền một giao thức khác. QUIC lựa chọn xây dựng lại trên nền UDP, một giao thức thông dụng và có thể dễ dàng tương tác ở userland.

-

Tư tưởng thiết kế giao thức QUIC là sự kết hợp giữa TCP và tinh thần của HTTP/2 o o o o

 Đảm bảo không mất mát, đúng thứ tự gói tin: Tương tự TCP Cải thiện thuật toán chống nghẽn: Sử dụng thuật toán CUBIC Tự sửa lỗi gói tin Hỗ tr ợ lớp bảo mật TLS

Hình: QUIC = TLS + TCP + SPDY  102

-

Mặc dù trong UDP, khái niệm connection không tồn tại, nhưng dựa trên tinh thần của TCP, QUIC xây dựng lại connection cho mình, tuy nhiên nhiên tầng truyền tải dữ liệu sẽ độc lập giữa các stream. Điều này giúp loại bỏ head -of-line blocking gây ra khi các stream truyền tải dùng chung connection.

-

-

Một điều thú vị là connection của QUIC sẽ tốt hơn TCP trong một số trường hợp, ví dụ khi kết nối mạng của bạn đang sử dụng đột ngột bị ngắt và connect lại, lúc này connection của TCP sẽ bị mất và buộc phải khởi tạo kết nối mới, do xây dựng trên nền tảng UDP - một giao thức phi kết nối (connectionless) nên về lý thuyết thì connection sẽ vẫn tiếp tục truyền nhận dữ liệu bình thường dù sẽ chậm đi một chút. QUIC cũng sử dụng thuật toán chống nghẽn cho từng stream riêng biệt, loại bỏ vấn đề thuật toán chống nghẽn gây ra cho HTTP/2 .

Hình: Giao thứ c QUIC 

So sánh tốc độ giữa HTTPv1 và HTTPv2 -

-

Với HTTP/1.1, một kết nối TCP sẽ tiến hành load tu ần tự từng bức ảnh nhỏ, sau khi hoàn thành 1 ảnh sẽ tiếp tục load ảnh tiếp theo. Đây là vấn đề  head-of-line blocking đề cập trong bài viết. Với HTTP/2, một kết nối TCP chia thành nhiều stream, mỗi stream truyền một bức ảnh nhỏ, các gói tin của các stream có thể đi xen lẫn nhau không nh ất thiết phải đợi nhau hoàn thành, vì vậy gần như được stream đồ ng thời cùng lúc nhi ều ảnh.

103

2. Đăng ký vài cài đặt SSL certificate: Comodo, GeoTrust, DigiCert, Verisign 2.1 Khái niệm: a. SSL là gì: SSL là viết tắt của từ Secure Sockets Layer. Đây là mộ t tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết giữa máy chủ web và trình duy ệt. Liên kết này đảm bảo tất cả dữ liệu trao đổi giữa máy chủ web và trình duyệt luôn được bảo mật và an toàn.SSL đả m bảo r ằng tất cả các dữ liệu được truyền giữa các máy chủ web và các trình duy ệt được mang tính riêng tư, tách rờ i. SSL là một chuẩn công nghệ được sử dụng bởi hàng triệu trang web trong vi ệc bảo vệ các giao dịch tr ực tuyến với khách hàng c ủa họ. b. SSL làm vi ệc như thế nào:

c. Quá trình máy tính k ết nối với một website đã đượ c chứng thực

d. Cách kiểm tra SSL của trình duyệt Khi Website gửi cho trình duyệt một chứng chỉ  SSL, trình duyệt sẽ gửi chứng chỉ  này đến một máy chủ lưu trữ các chứng chỉ  số đã được phê duyệt.Về mặt kỹ thuật, SSL sử dụng mã hóa công khai. K ỹ thuật này giúp cho Website và trình duy ệt tự thỏa thuận (bước 4 ở hình trên) một bộ khóa sẽ dùng trong suốt quá trình trao đổi thông tin sau đó. Bộ  khóa sẽ thay đổi theo mỗi trong lần giao dịch kế tiếp, một người khác sẽ không thể giải mã ngay cả khi có được dữ liệu của máy chủ lưu trữ chứng chỉ  số nói trên.

104

2.2 Đăng ký chứng chỉ SSL a. CSR (certificate signing request) : Certificate Signing Request là 1 đoạ n text (chứa thông tin c ủa chủ sở hữu tên miền) được mã hóa từ server (máy chủ) chuẩn bị cài đặt SSL. Nó chứa thông tin s ẽ được bao gồm trong giấy chứng nhận của bạn như tên tổ chức của bạn, tên thông thường (tên miền), địa phương và quố c gia. 1 CSR s ẽ được tạo ra ngay trướ c khi gửi yêu cầu cho bên cung c ấp SSL để sinh ra SSL. 1 CSR yêu cầu các thông tin: o o o o o o

Mã quốc gia Thành phố Tên công ty Tên miền cần được mã hóa SSL Email quản lý loại chứng chỉ  SSL

b. Tạo CSR để đăng ký SSL:

1.Cài đặt openssl trên CentOS: yum install openssl 2.Tạo key cho domain (gi ả sử domain ở đây là cysecure.com)

[root@server certs]# openssl genrsa -out cysecure.com.key 2048 Generating RSA private key, 2048 bit long modulus ............................................................................+++ ........................................+++ e is 65537 (0x10001) 3.Tạo CSR cho domain s ử dụng Key vừa tạo

[root@server certs]# openssl req -new -key cysecure.com.key -out cysecure.com.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) [XX]: VN => tên nước State or Province Name (full name) []: HoC hiMinh => tên tỉnh/thành

phố Locality Name (eg, city) [Default City]: HoC hiMinh => tên thành phố Organization Name (eg, company) [Default Company Ltd]: tuonglua

=> tên công ty Organizational Unit Name (eg, section) []:IT => tên đơn vị

105

Common Name (eg, your name or your server's hostname) []:cys ecure.com => tên server hoặc domain Email Address []:anhtrang 93610@ g mail.c om => mail Please enter the following 'extra' attributes to be sent with your certificate request  A challenge password []: => E nter   An optional company name []: => E nter Hoàn tất quá trình tạo CSR, sẽ có 2 file cysecure.com.csr và cysecure.com.key, công việc tiếp theo sẽ là đăng ký SSL sử  dụng CSR vừa tạo. Hiện tại có r ất nhiều nhà cung c ấp cho phép đăng ký SSL Certificate để  mã hóa http, bao g ồm: Comodo, GeoTrust, DigiCert, VeriSign, … b. Comondo EssentialSSL: Comodo cung cấp Phần mềm bảo mật Internet, bảo mật email và tin nhắn, Lưu trữ máy chủ DNS, giấy chứng nhận SSL, Quản lý PKI, trình duyệt và nhiều hơn thế. Truy cập vào trang https://ssl.comodo.com/free-ssl-certificate.php để đăng ký SSL free 90 ngày, nh ấn Free SSL

Tiến hành điề n các thông tin cần thiết 1.Copy nội dung trong file cysecure.com.csr  vào ô 1 2.Server software chọn Apache-ModSSL 3.SSL comodo sử dụng miễn phí 90 ngày 4.Comodo Newsletter (nh ận thông báo t ừ Comodo): có thể nhận hoặc không 5.Comodo HackerGuardian Free Scan : có th ể chọn hoặc không.

106

Xác thực Domain để cài đặt SSL, nếu domain đã được đăng ký từ  thirdparty  t hirdparty thì sẽ có mail g ửi về xác thực là domain đã được đăng ký, nếu chưa đăng ký domain thì chúng ta có thể chọn None of above phía dưới cùng.

Tiến hành điền vào các thông tin c ần thiết, những trường màu đỏ là những trường bắt buộc phải có, không được để tr ống

107

Tích vào I ACCEPT và Continue to Payment

Thông tin Order hi ển thị ra đầy đủ, những bước Action Required là bước bắt buộc phải completed

Sau khi xác thực Domain Control Validation Validation thì 1 mail kèm theo các f ile ssl s ẽ gửi về mail của domain mà chúng ta đã đăng ký, đến đây là xong bước đăng ký SSL của Comodo. c. GeoTrust SSL:

Vào link sau để đăng kí SSL: https://www.geotrust.com/ssl/free-ssl-certificate/ ,chọn Get Your Free Certificate Now!

 Điền vào thông tin cần thiết để đăng ký SSL, sau đó nhấ n Continue

108

Chọn Continue để  tiếp tục sau khi form thông tin hi ện ra

Copy toàn bộ nội dung trong file cysecure.com.csr đã tạ o ở phần trước vào ô

như hình, sau đó Continue

109

Xác thực thông tin, Continue

 Điền vào các thông tin cần thiết.

Xác thực domain chính o o

Default email domain: Base Domain List of authorized approvers: chọn mail dùng để  xác thực domain đã đăng ký, mail này s ẽ được cung cấp trong quá trình mua domain hoăc host, hoặc có thể contact admin của page để  có thêm thông tin.

110

Kéo xuống và tích vào I agree … -> Submit Order 

 Đến bước này đã xong quá trình tạ o SSL Certificate của Geotrust, có thể kiểm tra mail c ủa domain hoặc mail admin để  xác thực cũng như nhận các file SSL từ GeoTrust

d.DigiCert (Bản dùng thử) Truy cập vào link sau để đăng ký dùng thử Thawte SSL certificate =>

continue

111

 Điền vào các thông tin tương ứng, các trường có dấu * là các trường bắt buộc phải có

Form điền CSR o o

Copy nội dung t ừ file cysecure.com.csr vào form như hình Server platform: chọn ApacheSSL nếu server sử dụng Apache là webserver.

Nếu không có ch ỉ nh sửa thông tin gì thì tích vào I Accept… và Continue

112

 Đến đây quá trình đăng ký đã hoàn tấ t, kiểm tra mailbox để  nhận các file SSL Certificate, sau đó download về webserver.

e.VeriSign Truy cập link : https://trustcenter.websecurity.symantec.com/process/retail/trial_product_selector?uid=213d f2928c3305de3e471c06bb7f37bf&locale=VRSN_AU&language=en để đăng ký SSL free trial 30 ngày.

 Điền vào thông tin cần thiết để đăng ký SSL, sau đó nhấ n Continue

113

Form điền CSR o o

Copy nội dung t ừ file cysecure.com.csr vào form như hình Server platform: chọn ApacheSSL nếu server sử dụng Apache là webserver.

Nếu không có ch ỉ nh sửa thông tin gì thì tích vào I Accept… và Continue

 Đến đây quá trình đăng ký đã hoàn tấ t của Verisign SSL Free Trial, kiểm tra mailbox để nhận các file SSL Certificate sau đó download đó về webserver.

114

3.Cài đặt SSL trên webserver và kích hoạt https Cài đặt mod_ssl: -

yum –y install mod_ssl

Giả sử sau khi đăng ký SSL Certificate, chúng ta sẽ  nhận được file SSL bao g ồm: server.csr, server.key, server.crt. Copy 3 file này vào đườ ng dẫn: /etc/pki/tls/certs Cấu hình file ssl.conf để  kích hoạt ssl: -

vi /etc/httpd/conf.d/ssl.conf

# line 59: uncomment DocumentRoot "/var/www/html"

# line 60: uncomment and s pecify the server name ServerName cysecure.com:443

# line 75: chang e SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

# line 100: chang e to the one g ot in [1] SSLCertificateFile /etc/pki/tls/certs/server.crt

# line 107: chang e to the one g ot in [1] SSLCertificateKeyFile /etc/pki/tls/certs/server.key

# line 116: chang e to the one g ot in [1] SSLCertificateChainFile /etc/pki/tls/certs/server.crt Khởi động lại httpd -

Service httpd restart

Kiểm tra lại trình duyệt.

115

4. Scan HTTP version a.Khái niệm Như chúng ta đã biết, HTTP là giao thức được thiết kế theo kiểu client – server, giao tiếp giữa client và server d ựa vào một cặp request – response, client đưa ra các request và server trả  lời các request này. HTTP Request

Ví dụ một HTTP Request HTTP Response Cấu trúc HTTP response g ần giống với HTTP request, ch ỉ  khác nhau là thay vì Request-Line, thì HTTP có response có Status-Line. Và gi ống như Request -Line, Status-Line cũng có ba phần như sau: 

HTTP-version: phiên b ản HTTP cao nh ất mà server h ỗ tr ợ.



Status-Code: mã kết quả tr ả về.



Reason-Phrase: mô tả về Status-Code.

116

Ví dụ một HTTP Response

Chúng ta sẽ tập trung vào version của HTTP, trong ví d ụ trên, HTTP hỗ tr ợ version 1.1

b.Cách scan HTTP version Có nhiều cách để scan HTTP version như: Wireshark, Nmap, hoặ c các website như: https://hackertarget.com/http-header-check/ Chủ yếu chúng ta sẽ kiểm tra http header để xác định được version của http là bao nhiêu Với Wireshark:

o

Truy cập cysecure.com b ằng chrome. Mở wireshark và dùng ch ức năng lọc http để  tìm các gói tin http.

o

Ta kiểm tra thấy HTTP/1.1 chứng tỏ HTTP version 1.1

o

Truy cập https://hackertarget.com/http-header-check/ và gõ trang web b ất kì o

Ví dụ: google.com

117

Google hiện tại sử dụng HTTP version 1.1, ngoài ra chúng ta có th ể xem các thông tin về Content-Type, Date, Expires, Cache- Control, …

5.Chuyển hướng webserver chạy HTTPS thay vì HTTP  Đối với các trang web cần thực hiện đăng nhậ p, nếu sử dụng http, các gói tin bao gồm cả username và password s ẽ được truyền đi trên mạng dưới dạng cleartext. Các hacker hoàn toàn có th ể thực hiện bắt gói và ăn cắp username password d ễ dàng. Vì thế bắt buộc phải sử dụng giao thức https để mã hóa dữ liệu trong môi trườ ng mạng, tránh việc mất cắp mật khẩu. Tuy nhiên ngay c ả khi đã triển khai https cho website r ồi, vẫn có r ất nhiều trường hợp vô ý đăng nhập thông qua http. Để tránh các trường hợp sai sót do người dùng, cần thiết phải cấu hình bắt buộc sử dụng https đối với các thư mục truy cập, hoặc đối với toàn bộ website. Chức năng này đượ c thực hiện thông qua việc chỉ nh sửa file/ hoặc tạo mới file .htaccess trong thư mục chứa website. Nếu muốn bắt buộc sử dụng https cho toàn b ộ website, thêm đoạn code sau vào file .htaccess n ằm trên thư mục gốc của website:

RewriteEngine On RewriteCond %{SERVER_PORT} ^80$ RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L] Note: file .htaccess cần phải được đặt tại nơi bắt buộc thực hiện giao thức https

Cách thực hiện: -

Kích hoạt .htaccess trên file httpd.conf: o Vi /etc/httpd/conf/httpd.conf Tại thay đổi AllowOverride None thành AllowOverride All Uncomment dòng ServerName và đổ i lại tên domain: ServerName cysecure.com:80 Tạo file .htaccess tại /var/www/html: vi /var/www/html/.htaccess Nếu muốn chuyển hướng domain http sang https ta dùng các câu l ệnh o 

 

-

như sau 118

RewriteEngine On RewriteCond %{SERVER_PORT} ^80$ RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L] -

Save file. Restart httpd và kiểm tra trên chrome b ằng cách gõ cysecure.com

-

Trang web sẽ tự chuyển tới https mà không s ử dụng http

o

6. Cơ chế hoạt động HSTS, thiết lập HSTS trên webserver a. HSTS là gì HSTS (HTTP Strict Transport Security) là một chính sách bảo mật cần thiết để bảo vệ các trang web b ảo mật HTTPS chống lại các cuộc tấn công hạ cấp. HSTS đảm bảo r ằng tất cả kết nối tới một website phải được mã hóa bằng giao thức HTTPS, và không bao giờ sử dụng giao thức HTTP.

ảnh minh hoạt cách thứ c hoạt động c ủa HSTS

b. Cách thức hoạt động của HSTS HSTS là một hệ thống dựa trên thời gian. Nghĩa là trong khoả ng thời gian chúng ta thiết lập trong max-age (tính bằng giây) sẽ đảm bảo r ằng trang web c ủa 119

chúng ta được phục vụ qua giao thức HTTPS. Khuyên ch ọn max-age ít nhất 6 tháng (15552000 giây) Khi trình duyệt tương tác với webserver đã bậ t HSTS, nó sẽ tìm một header đặc biệt nói r ằng trình duyệt chỉ  nên sử dụng giao thức HTTPS để kết nối với server. Ngoài ra có m ột giá tr ị thời gian max-age liên k ết với header trên cho phép trình duyệt biết chủ quản tr ị server muốn chắc chắn r ằng trang web đó chỉ nên được truy cập thông qua HTTPS trong m ột thời gian định sẵn. Giá tr ị max-age nên là khoảng thời gian dài, ít nh ất 6 tháng, hoặc có thể nhiều năm. Khi trình duyệt đã truy cập vào trang web m ột lần và thấy header trên, trình duyệt sẽ nhớ r ằng website này chỉ nên được truy cập thông qua HTTPS trong khoảng thời gian max-age. Nếu vì một lý do gì đó chúng ta muốn reset các thiết lập HSTS được lưu trong Chrome cho domain c ủa chúng ta. Vào chrome://net-internals/#hsts, nh ập domain ở mục Query domain để  kiểm tra hoặc xóa domain ở mục Delete domain

c. Cách thiết lập HSTS trên Apache server o o

 Đi vào thư mục /etc/pki/tls/certs Tiến hành tạo lại SSL Certificate trên server Tạo private key: openssl genrsa -out cysecure.com.key 2048  Tạo CSR: openssl req -new -key cysecure.com.key -out  







o

cysecure.com.csr  Note: quá trình tạo CSR, thông tin có th ể tương tự như quá trình tạo CSR để request SSL Certificate trong ph ần trước. Tạo Self-Signed Key: openssl x509 -req -days 365 -in cysecure.com.csr -signkey cysecure.com.key -out cysecure.com.crt Ta được các file cysecure.com.key, cysecure.com.csr, cysecure.com.crt 

Edit file /etc/httpd/conf.d/ssl.conf như sau  

# line 59: uncomment DocumentRoot "/var/www/html" 120

# line 60: uncomment and specify the server name ServerName cysecure.com:443 # line 75: change SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2 # line 100: change to the one got in [1] SSLCertificateFile /etc/pki/tls/certs/cysecure.com.crt # line 107: change to the one got in [1] SSLCertificateKeyFile /etc/pki/tls/certs/cysecure.com.key # line 116: change to the one got in [1] SSLCertificateChainFile /etc/pki/tls/certs/cysecure.com.csr Thêm các dòng sau vào httpd.conf Vi /etc/httpd/conf/httpd.conf          

o



#Move http to https$ $ $  AllowOverride All$ $ DocumentRoot /var/www/html$ ServerName cysecure.com$ ServerAdmin cysecure.com/administrator$$ ServerPath cysecure.com/$$ ServerAlias www.cysecure.com$ $ $ $ SSLEngine on$ SSLCertificateFile /etc/pki/tls/certs/cysecure.com.crt$ SSLCertificateKeyFile /etc/pki/tls/certs/cysecure.com.key$ $  AllowOverride All$ $ DocumentRoot /var/www/html$ ServerName cysecure.com$ ServerAdmin cysecure.com/administrator$ ServerPath cysecure.com/$ ServerAlias www.cysecure.com$

# HS TS config $ # G uarantee HTTPS for 1 Y ear i ncluding S ub Domains $ Header always s et S trict-Trans port-Secur ity " maxage=31536000; includeSubDomains"$ $  o o

Restart httpd: service httpd restart  Ta dùng browser truy cập vào cysecure.com

121

o

o o

Nếu chúng ta thử đi vào folder bấ t kì ví dụ như thư mục administrator

Trình duyệt sẽ luôn truy cập với SSL bất kể đi vào đường dẫn URL nào Dùng Wireshark bắt gói tin s ẽ thấy các gói tin ch ủ yếu sử dụng port 443 là https với giao thức TLSv1.2

122

Note: Để kiểm tra lại HSTS đã config, chúng ta truy cập vào và domain đã config (lưu ý domain phải được đăng ký bở i nhà cung c ấp), kết quả như bên dưới là OK

d. Đăng ký Website vào HSTS Preload List HSTS Preload list là danh sách các website đượ c chứng nhận bảo mật HSTS và được lưu cứng vào danh sách preload list trên các trình duy ệt. Preload list sẽ đảm bảo website của chúng ta buộc người dùng chuyển đến trang bảo mật https ngay lần đầu tiên họ truy cập vào. Vì vậy chúng ta nên cân nh ắc khi đăng ký preload list cho website, vì nó yêu cầu tất cả subdomain đề u bật HSTS trong m ột thời gian dài, và n ếu chẳng may 1 trong s ố 123

đó lỗi trang https, thì sẽ r ất mất nhiều thời gian (hàng tháng tr ời) để xóa website kh ỏi preload list.

Các yêu cầu để có thể đăng ký website vào HSTS Preload list: -  -

Có một chứng chỉ  bảo mật Chuyển hướng HTTP tới HTTPS Tất cả subdomain hỗ tr ợ HTTPS, bao g ồm cả www. Thời gian hết hạn (max-age) t ối thiểu trong header HSTS là 18 tu ần (10886400 giây) Phải có chỉ  dẫn includeSubdomains và preload

Cuối cùng, đợi kết quả chấp thuận sau khoảng vài tuần, sau đó, đợi vài tháng đế n khi có bản cập nhật mới của Chrome, Firefox, Edge, domain c ủa chúng ta s ẽ nằm trong danh sách preload list c ủa Google. -

 Đăng ký website vào HSTS Preload List tạ i trang https://hstspreload.org/ Hoặc xóa website kh ỏi HSTS Preload List t ại trang: https://hstspreload.org/removal/

124

Phần 5: ICT Index 1. Giới thiệu ICT index, hiểu rõ  các chỉ mục và vấn đề tối ưu chỉ số. 2. Nội dung: Ứng dụng CNTT (thảo luận về vấn đề ph át triển ứng dụng CNTT phục vụ công việc – số hóa quản lý thủ tục hành chánh,…) Nhân lực CNTT (tham gia c ác lớp tập huấn, đào tạo để ph át triển nhân lực chất lượng cao) Phát triển hạ tầng CNTT 





3. Tổng quan: Trình bày các hạng mục nhằm cải thiện, nâ ng cao chỉ số ICT index cho đơn vị

125

1. Giới thiệu a. ICT là gì? : -

ICT là cụm từ thường dùng như từ đồng nghĩa rộng hơn cho IT, nhưng thường là một thuật ngữ chung để nhấn mạnh vai trò của t ruyền thông hợp nhất và sự kết hợp của viễn thông (đường dây điện thoại và tín hiệu không dây), hệ thống quản lý tòa nhà thông minh và hệ thống nghe -nhìn trong công nghệ thông tin hiện đại.

-

Trong lĩnh vực CNTT, ICT là từ viết tắt của Information & Communication Technologies có nghĩa là Công nghệ thông tin và Truyền thông.

-

ICT bao gồm tất cả các phương tiện kỹ thuật được sử dụng để xử lý thông tin và trợ giúp liên lạc, bao gồm phần cứng và mạng máy tính, liên lạc trung gian cũng như là các phần mềm cần thiết.

- 

ICT bao gồm IT cũng như là điện thoại, phương tiện truyền thông, tất cả các

loại xử lý âm thanh và video, điều khiển dựa trên truyền tải và mạng và các chức năng giám sát. => T ừ đó, ta có thể hi ểu đơn giả n: ICT là sự  k ết hợ   p c ủa công nghệ thông tin và công nghệ truy ền thông để t ạo nên sự  k ết nối và chia sẻ thông tin v ớ i nhi ều hình thứ c khác nhau.

126

b. ICT Index là gì? Theo Liên minh bưu chính quốc tế (ITU): ICT Index là thước đo mức độ phát triển về Công Nghệ Thông Tin và Truyền Thông Theo Đại học Havard (Mỹ): ICT Index là thước đo mức độ sẵn sàng cho phát triển và ứng dụng Công Ngh ệ Thông Tin và Truy ền Thông. Ở Việt Nam có các chỉ  số ICT theo các cấp độ sau: 1. ICT Index của Tỉ nh - Thành: Ch ỉ  số về độ sẵn sàng cho ứng dụng và phát tri ển CNTT-TT của Tỉ nh - Thành. (Bao g ồm 2 nhóm chỉ  số: hạ tầng và ứng dụng) 2. ICT Index của Bộ - Ngành: Chỉ  số về độ sẵn sàng cho ứng dụng và phát triển CNTT-TT của Bộ-Ngành. (Bao g ồm 2 nhóm chỉ  số: hạ tầng và ứng dụng) 3. ICT Index của Doanh nghiệp: Chỉ  số về năng lự c sản xuất, kinh doanh trong lĩnh vực CNTT-TT của Doanh nghi ệp. (Bao g ồm 2 nhóm chỉ  số: kết quả sản xuất kinh doanh và năng lực cạnh tranh)

2. Nội dung 1.Ứ ng d ụng CNTT (thảo luận về vấn đề ph át tri ển ứng dụng CNTT phục vụ c ông vi ệc  – số hóa quản l ý thủ tục hành chánh,…) o o o o o

Sử dụng thư điện tử trong công việc; Triển khai các ứng dụng cơ bản; Xây dựng các CSDL chuyên ngành; Sử dụng văn bản điện tử; Ứng dụng phần mềm nguồn mở.

2.Nhân l ực CNTT (tham gia c ác l ớp tập huấn, đ ào t ạo để phát tri ển nhân l ực chất

lượng cao) o

Hạ tầng nhân lực xã hội: Tỷ lệ người lớn biết đọc, biết viết. Tỷ lệ học sinh trong độ tuổi đi học đến trường. Tỷ lệ các trường phổ thông có dạy tin học. Tỷ lệ trường đại học, cao đẳng có đào tạo chuyên ngành CNTT. Hạ tầng nhân lực các cơ quan nhà nước : Tỷ lệ cán bộ chuyên trách CNTT; Tỷ lệ cán bộ chuyên trách có trình độ đại học trở lên về CNTT. Tỷ lệ cán bộ ch uyên trách về an toàn thông tin .    

o

  

127



Tỷ lệ công chức, viên chức được tập huấn về phần mềm nguồn mở (PMNM)



Tỷ lệ công chức, viên chức trong các CQNN được tập huấn về ATTT.

3.Phát tri ển hạ tầng CNTT (số liệu năm 2017) o

Hạ tầng kỹ thuật xã hội: gồm 08 chỉ tiêu thành phần. Tỷ lệ điện thoại cố định/100 dân; Tỷ lệ điện thoại di động/100 dân; Tỷ lệ thuê bao Internet/100 dân; Tỷ lệ thuê bao băng rộng cố định/100 dân; Tỷ lệ thuê bao băng rộng không dây/100 dân; Tỷ lệ hộ gia đình có máy tính; Tỷ lệ hộ gia đình có kết nối Internet băng rộng; Tỷ lệ doanh nghiệp có kết nối Internet băng rộng.        

o

Hạ tầng kỹ thuật của các cơ quan nhà nước (CQNN): gồm 04 chỉ tiêu thành phần: Tỷ lệ máy tính/CBCCVC trong các CQNN của tỉnh; Tỷ lệ băng thông/CBCCVC trong các CQNN của tỉnh; Tỷ lệ CQNN của tỉnh có kết nối WAN của tỉnh hoặc mạng chuyên dùng của Chính phủ; Triển khai các giải pháp an toàn thông tin và an toàn dữ liệu trong các CQNN của tỉnh   



3.Ví dụ về Việt Nam ICT Index 2017: Thứ hạng mức độ sẵn sàng cho phát tri ển và ứng dụng CNTT ở Việt Nam trong các tỉ nh, thành phốđược thực hiện bởi Hội Tin học Việt Nam cùng B ộ Thông tin và Truyền thông. -

Hạng 1 - Đà Nẳng, ICT Index: 0,9351 Hạng 2- Tp Hồ Chí Minh, ICT Index: 0,6920 Hạng 3 - Hà Nội, ICT Index: 0,6688

Thứ hạng mức độ sẵn sàng cho phát tri ển và ứng dụng CNTT ở Việt Nam của các bộ, cơ quan ngang bộ -

Hạng 1 – bộ tài chính, ICT Index: 0,8355 Hạng 2 – Bảo hiểm xã hội việt nam, ICT Index: 0,7907 Hạng 3 – Bộ giáo dục và đào tạo: 0,6750

Note: Các thứ hạng được tính dựa vào Chỉ  số "Hạ tầng kỹ thuật CNTT", Chỉ  số "Hạ tầng nhân lực CNTT" và Chỉ  số "Ứng dụng CNTT"

128