Firewall là gì? Tìm hiểu các tính năng của Firewall

Firewall giúp kiểm soát luồng thông tin giữa Intranet và Internet, chúng phát hiện và phán xét những hành vi được truy cập và không được truy cập vào bên trong hệ thống, đảm bảo tối đa sự an toàn thông tin. Hãy cùng chúng tôi tìm hiểu trong nội dung dưới đây.

Tìm hiểu về tường lửa và các tính năng của tường lửa

Thời buổi công nghệ thông tin phát triển đến chóng mặt như hiện nay việc khai thác và đảm bảo an toàn thông tin được ưu tiên và chú trọng nhiều hơn.Tuy nhiên, làm cách nào, làm như nào để thực hiện điều đó không phải ai, doanh nghiệp nào cũng có thể thực hiện một cách thật tốt.

Trước tình hình đó tường lửa xuất hiện và nhanh chóng là giải pháp không thể thiếu giúp các doanh nghiệp bảo mật thông tin bịt các lỗ hổng, ngăn chặn và giảm thiểu tối đa những thiệt hại.

Vậy tường lửa là gì? Tính năng và nguyên lý hoạt động của tường lửa như nào? Hãy cùng Viettelco tìm hiểu trong nội dung bài viết dưới đây.

Tường lửa là gì?

Tường lửa hay còn được gọi với cái tên là FireWall thuật ngữ trong chuyên ngành mạng máy tính, nói nôm na có thể gọi là bức tường lửa một hệ thống an ninh mạngbảo mật an toàn thông tin mạng. Tường lửa tồn tại ở 2 loại phần cứng và phần mềm được tích hợp vào bên trong hệ thống và nó hoạt động như một rào chắn phân cách giữa truy cập an toàn và truy cập không an toàn, chống lại truy cập trái phép, ngăn chặn virus… đảm bảo thông tin nội bộ được an toàn không bị truy cập xấu đánh cắp.

Hình ảnh: Firewall là gì?

Bất kì máy tính nào kết nối tới Internet cũng có Firewall và trong một hệ thống các thiết bị kết nối mạng cũng sẽ có Firewall để quản lý những truy cập vào và ra trong một hệ thống mạng.

Thông thường chúng giám sát thiết bị dựa trên địa chỉ IP – Internet Protocol Address.

Tường lửa có vai trò như nào?

Firewall giúp kiểm soát luồng thông tin giữa Intranet và Internet, chúng phát hiện và phán xét những hành vi được truy cập và không được truy cập vào bên trong hệ thống, đảm bảo tối đa sự an toàn thông tin.

Tính năng chính của dòng thiết bị này có thể được tóm tắt ở những gạch đầu dòng dưới đây:

– Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ.

– Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong.

– Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài.

– Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép).

– Kiểm soát truy cập của người dùng.

– Quản lý và kiểm soát luồng dữ liệu trên mạng.

– Xác thực quyền truy cập.

– Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng.

– Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng), giao thức mạng.

– Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống mạng.

– Firewall hoạt động như một Proxy trung gian.

– Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.

– Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.

Phân loại và thành phần của Firewall theo xu hướng sử dụng

Dựa trên những nhu cầu sử dụng của hệ thống mà Firewall được phân thành 2 loại chính bao gồm:

Personal Firewall và Network Firewall

Personal Firewall: Loại này được thiết kế để bảo vệ một máy tính trước sự truy cập trái phép từ bên ngoài. Bên cạnh đó thì Personal Firewall còn được tích hợp thêm tính năng như theo dõi các phần mềm chống virus, phần mềm chống xâm nhập để bảo vệ dữ liệu. Một số Personal Firewall thông dụng như: Microsoft Internet connection firewall, Symantec personal firewall, Cisco Security Agent…. Loại Firewall này thì thích hợp với cá nhân bởi vì thông thường họ chỉ cần bảo vệ máy tính của họ, thường được tích hợp sẵn trong máy tính Laptop, máy tính PC..

+ Network Firewalls: Được thiết kế ra để bảo vệ các host trong mạng trước sự tấn công từ bên ngoài. Chúng ta có các Appliance-Based network Firewalls như Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall. Hoặc một số ví dụ về Software-Base firewalls include Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables.

=> Điểm khác nhau giữa 2 loại Firewall này đó là số lượng host được Firewall bảo vệ. Bạn hãy nhớ 1 điều là Personal firewall chỉ bảo vệ cho một máy duy nhất còn Network firewall lại khác, nó sẽ bảo vệ cho cả một hệ thống mạng máy tính.

Trong đó, hệ thống Network Firewall được cấu tạo bởi các thành phần chính như sau:

Bộ lọc Packet (Packet- Filtering Router)

Cổng ứng dụng ( đó là Application-Level Gateway hay Proxy Server).

Cổng mạch (Circuite Level Gateway).

Các bạn nhìn vào sơ đồ bên dưới là có thể hình dung ra được 2 loại Firewalls trên:

Hình ảnh: Thành phần của Firewall

Sản phẩm Firewall được ứng dụng trong thực tế

Software Firewalls: Hay còn gọi là Firewall mềm, đây là loại Firewall được tích hợp trên hệ điều hành, nó bao gồm các sản phẩm như: SunScreen firewall, Check Point NG, IPF, Linux’s IPTables, Microsoft ISA server …

Hình ảnh: Software Firewalls

Firewall được cài đặt trên Server

+ Ưu điểm:

Firewall mềm thường đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS server hay một DHCP server.

Việc thay đổi và nâng cấp thiết bị phần cứng là tương đối dễ dàng và nhanh chóng.

+ Nhược điểm:

Firewall mềm được cài đặt trên một hệ điều hành do đó không thể loại trừ khả năng có lỗ hổng trên hệ điều hành đó được. Khi lỗ hổng được phát hiện và bạn thực hiện cập nhật bản vá lỗi cho hệ điều hành đó thì bạn nên nâng cấp bản vá cho Firewall luôn, nếu không rất có thể Firewall sẽ hoạt động không ổn định.

Firewall mềm thường có hiệu suất thấp hơn Firewall cứng.

2. Appliance Firewalls: Hay còn gọi là Firewall cứng. Đây là loại Firewall cứng được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kề này dành riêng cho Firewall. Một số Firewall cứng như Cisco PIX, WatchGuard Fireboxes, NetScreen firewall, SonicWall Appliaces, Nokia firewall…

Hình ảnh: Appliance Firewalls

Trường hợp Firewall được tích hợp trên Router

+ Ưu điểm:

Cung cấp hiệu suất tổng thể tốt hơn so với Firewall mềm vì hệ điều hành của firewall cứng được thiết kế để tối ưu cho firewall.

Tính bảo mật cao hơn và tổng chi phí thấp hơn so với Firewall mềm.

+ Nhược điểm:

Nó không được linh hoạt như Firewall mềm. Bạn sẽ không thể nào mà tích hợp thêm các chức năng và quy tắc như trên firewall mềm được. Ví dụ như chức năng kiểm soát thư rác đối với firewall mềm thì bạn chỉ cần cài đặt chức năng này như một ứng dụng, nhưng đối với Firewall cứng thì đòi hỏi bạn phải có thiết bị phần cứng hỗ trợ cho chức năng này.

3. Integrated firewalls: Hay còn gọi là Firewall tích hợp. Ngoài chức năng cơ bản của Firewall ra thì nó còn đảm nhận các chức năng khác ví dụ như VPN, phát hiện và chống xâm nhập từ bên ngoài, lọc thư rác, chống lại virus…

+ Ưu điểm:

Sử dụng Firewall tích hợp là đơn giản hóa thiết kế mạng bằng cách giảm lượng thiết bị mạng cũng như giảm chi phí quản lý, giảm gánh nặng cho các chuyên viên quản trị, ngoài ra nó còn tiết kiệm chi phí hơn so với việc dùng nhiều thiết bị cho nhiều mục đích khác nhau.

+ Nhược điểm:

Ưu điểm thì là như vậy, tuy nhiên việc tích hợp nhiều chức năng trên cùng một thiết bị sẽ dẫn đến việc khó khăn hơn trong khắc phục sự cố.

Trên đây là toàn bộ những thông tin cơ bản về Firewall, thiết bị tường lửa không thể thiếu trong các hệ thống mạng doanh nghiệp hiện nay.

Hi vọng nội dung trên hữu ích với bạn đọc.

4 biện pháp đối phó với cuộc tấn công có chủ đích – APT

Các cuộc tấn công có chủ đích – APT được đánh giá là tinh vi và nguy hiểm hơn nhiều so với các cuộc tấn công mạng thông thường. Vậy, có thể ngăn chặn được chúng không và biện pháp nào giúp doanh nghiệp đối phó hiệu quả? Hãy cùng Viettelco tìm hiểu qua bài viết dưới đây.

1. Tấn công có chủ đích – APT là gì?

APT (Advanced Persistent Threat) là hình thức tấn công mạng trong đó tin tặc sử dụng các kỹ thuật tấn công hiện đại để xâm nhập vào hệ thống mạng của mục tiêu. Điểm đặc biệt của hình thức tấn công này là nó diễn ra trong một khoảng thời gian dài, có thể là vài tuần, vài tháng hoặc thậm chí vài năm cho đến khi tin tặc đạt được mục đích của mình.

Trong suốt quãng thời gian ẩn nấp trong hệ thống, tin tặc sẽ lấy cắp dần dần dữ liệu quan trọng để bán ra chợ đen. Sở dĩ hành vi này khó bị doanh nghiệp phát hiện bởi tin tặc sử dụng kỹ thuật tinh vi, đã được nghiên cứu để phù hợp với hệ thống của mục tiêu. Tấn công APT thường bao gồm tấn công phishing, malware, zero-day và tấn công web.

Nếu để doanh nghiệp bị tấn công APT, hậu quả sẽ rất khó lường. Dưới đây là 4 biện pháp giúp doanh nghiệp phòng tránh rủi ro hiệu quả.

2. 4 biện pháp đối phó với cuộc tấn công có chủ đích – APT

2.1. Thực hiện bảo mật theo lớp 

Bảo mật theo lớp được coi là biện pháp hữu hiệu trong công tác an ninh mạng. Giải thích một cách dễ hiểu, bảo mật theo lớp là việc doanh nghiệp chia hệ thống mạng thành nhiều lớp và thực hiện phương án phòng thủ cho từng lớp đó. Càng đi sâu vào lớp trong thì bức tường bảo mật càng cần chắc chắn hơn. Ví dụ, ngoài việc kiểm soát lưu lượng truy cập mạng bằng tường lửa; doanh nghiệp cần triển khai các biện pháp bảo vệ khác như: cập nhật phần mềm phiên bản mới nhất, sao lưu dữ liệu, mã hóa thông tin…

Vì tin tặc thường xuyên cập nhật công cụ tấn công nên doanh nghiệp cũng cần thực hiện các phương thức bảo mật mới nhất để dễ dàng đối phó.

2.2. Kiểm soát và đánh giá an ninh mạng thường xuyên 

Việc kiểm soát và đánh giá an ninh mạng giúp doanh nghiệp phát hiện sớm các dấu hiệu của một cuộc tấn công APT. Khi tìm ra dấu hiệu sớm, doanh nghiệp mới có thể xử lý kịp thời trước khi cuộc tấn công lan rộng ra toàn hệ thống.

2.3. Xây dựng quy trình báo cáo và đối phó với sự cố 

Không có gì đảm bảo hệ thống mạng của doanh nghiệp luôn ở trạng thái an toàn. Khi doanh nghiệp liên tục triển khai những biện pháp phòng chống mới thì tin tặc cũng đồng thời nâng cấp những kỹ thuật tấn công tinh vi. Đó là lý do hệ thống mạng có thể bị xâm phạm bất cứ lúc nào. Doanh nghiệp cần đề cao cảnh giác trong mọi trường hợp bằng cách xây dựng quy trình báo cáo và đối phó với sự cố mạng.

Quy trình này nêu rõ từng bước cần thực hiện ứng với từng sự cố giả định. Nếu nhân viên thực hiện đúng quy trình, thiệt hại do tấn công mạng sẽ được giảm thiểu đáng kể.

2.4. Đào tạo nâng cao nhận thức an ninh mạng cho nhân viên

Nhận thức an ninh mạng của nhân viên quyết định 50% tính bảo mật của hệ thống mạng doanh nghiệp. Những hành động thiếu hiểu biết như click vào một đường link lạ; tải về một tập tin không rõ nguồn gốc… có thể dẫn đến hậu quả vô cùng nghiêm trọng.

Doanh nghiệp nên tổ chức các buổi đào tạo định kỳ trong đó; các nội dung được cập nhật theo xu hướng mới nhất để có thể ứng phó với tin tặc. Một lưu ý quan trọng khác, doanh nghiệp nên phân tầng kiến thức cho mỗi nhóm nhân viên. Nếu nhân viên kế toán, hành chính nhân sự…  chỉ cần nắm bắt kiến thức phòng chống tấn công mạng cơ bản thì nhân viên IT phải xử lý nhanh nhạy và thành thạo khi có sự cố xảy ra.

Tấn công có chủ đích – APT vô cùng nguy hiểm nhưng nếu biết cách đối phó thì rủi ro doanh nghiệp bị lợi dụng sẽ giảm đi đáng kể. Vấn đề mấu chốt vẫn là sự chủ động của doanh nghiệp trong việc phòng chống các nguy cơ. Chỉ cần đề cao cảnh giác và triển khai các biện pháp phù hợp; tính bảo mật của doanh nghiệp sẽ tự động được nâng cao.

Adaptive Security là gì?

Trong thế giới số hóa, những sự cố mạng đang phát triển với tốc độ đáng báo động. Các cuộc tấn công mạng liên tục gia tăng và bối cảnh bảo mật dần thay đổi đang thúc đẩy các cá nhân và tổ chức phải đánh giá lại các chiến lược bảo mật của mình. Do đó, một mô hình bảo mật hiện đại, nhận biết ngữ cảnh được gọi là “Adaptive Security” đang được khám phá và áp dụng.

Vậy Adaptive Security là gì và nó có thực sự giảm thiểu những mối đe dọa đang phát triển này không? Các phương pháp hay nhất để triển khai Adaptive Security là gì? Machine Learning và phân tích trợ giúp như thế nào cho Adaptive Security? Hãy cùng tìm hiểu qua bài viết sau đây nhé!

Adaptive Security là gì?

Adaptive Security còn được gọi là bảo mật “Zero Trust” nơi không có gì được tin cậy theo mặc định. Điều này đảm bảo việc giám sát nhất quán các mối đe dọa cùng với cách tiếp cận linh hoạt, trong đó các cơ sở hạ tầng bảo mật cũ và lỗi thời được thay thế liên tục bằng những cơ sở hạ tầng mang tính đáp ứng.

Nhà phân tích nổi tiếng của Gartner, Neil MacDonald, đã mô tả Adaptive Security là:

“Việc sử dụng thông tin bổ sung để cải thiện các quyết định bảo mật tại thời điểm chúng được đưa ra, dẫn đến những quyết định bảo mật chính xác hơn, có khả năng hỗ trợ môi trường kinh doanh và CNTT năng động”.

Tiền đề chính đằng sau Adaptive Security là việc thực hiện tự động các biện pháp bảo mật chống lại bất kỳ mối đe dọa nào được phát hiện.

Các phương pháp Adaptive Security hay nhất và mô hình 4 lớp

Theo đúng nghĩa, Adaptive Security là thành phần của 4 lớp sau:

Phòng ngừa

Phòng bệnh hơn chữa bệnh và lớp trên cùng của mô hình bảo mật Adaptive Security được thiết kế hướng tới mục đích này. Lớp này cô lập mọi sự cố trước khi chúng phát sinh và vạch ra những chính sách, thủ tục và công cụ phòng ngừa để đánh bại trước mọi mối đe dọa tiềm ẩn.

Phát hiện

Lớp này xác định bất kỳ mối đe dọa nào mà lớp phòng ngừa không phát hiện được. Mục đích chính ở đây là giảm thời gian phản ứng đối với các mối đe dọa tiềm ẩn bằng cách ngăn chặn chúng ngay trên đường đi.

Xem xét, phân tích

Lớp này đào sâu hơn để tìm bất kỳ mối đe dọa nào bị bỏ lỡ bởi lớp trước. Đây cũng là nơi tiến hành phân tích sự cố chi tiết với sự trợ giúp của các phương pháp phát hiện tiên tiến và phân tích mối đe dọa.

Dự đoán

Cuối cùng nhưng không kém phần quan trọng, lớp dự đoán theo dõi các sự kiện bên ngoài. Nó cung cấp đánh giá rủi ro kỹ lưỡng và cảnh báo cho nhân viên CNTT về bất kỳ hoạt động đáng ngờ nào.

Thông tin được cung cấp bởi lớp này giúp xác định các cuộc tấn công thành công, dự đoán và ngăn chặn những cuộc tấn công tương tự trong tương lai.

Vai trò của Machine Learning trong Adaptive Security

Machine Learning đóng vai trò quan trọng trong Adaptive Security

Với sự chuyển đổi nhanh chóng sang các dịch vụ dựa trên đám mây, phân tích nâng cao và Machine Learning đóng một vai trò to lớn trong việc bảo vệ Big Data.

Dưới đây là một số lợi ích chính mà AI và Machine Learning mang lại cho Adaptive Security.

Nhận diện mối đe dọa

Phân tích nâng cao và Machine Learning rất tốt trong việc nhận dạng mẫu, phân loại, xác định email, liên kết và file đính kèm độc hại. Điều này hỗ trợ rất nhiều trong việc xác định các mối đe dọa mới và đang phát triển.

Theo dõi mối đe dọa

Lợi thế chính của việc kết hợp phân tích và Machine Learning vào bối cảnh bảo mật của bạn là có thể theo dõi các sự cố, đặc biệt là những sự cố có thể dừng ứng dụng trong vài giây và không để lại dấu vết gì để điều tra.

Phân tích tức thì nhiều dữ liệu

AI mang đến cơ hội tuyệt vời để phân tích số lượng lớn dữ liệu trong chớp mắt, điều mà các biện pháp bảo mật truyền thống không thể thực hiện được.

Điều này không chỉ đảm bảo việc phát hiện các mối đe dọa theo thời gian thực mà còn giúp giảm thiểu chúng bằng cách đưa ra mô hình dựa trên rủi ro.

Khả năng sử dụng threat stream

Adaptive Security có khả năng sử dụng threat stream

Hầu hết các tổ chức phải đối mặt với những mối đe dọa dữ liệu từ nhiều nguồn và khó theo dõi mọi thứ. Nhờ AI và Machine Learning, các nền tảng tập trung và thông minh như ThreatStream của Anamoly cung cấp các cuộc điều tra dữ liệu từ nhiều nguồn.

Ví dụ về luồng mối đe dọa sẽ là một địa chỉ IP bắt đầu quét ngay lập tức tất cả các điểm cuối mạng của bạn. Tuy nhiên, với việc sử dụng một công cụ thông minh, bất kỳ lúc nào một IP hoạt động kỳ lạ, nó sẽ được ghi vào threat stream để điều tra thêm.

Những lợi ích chính của việc thực hiện Adaptive Security

Do tính chất phòng ngừa của nó, Adaptive Security có thể phát hiện sớm các sự cố an ninh. Đánh giá thời gian thực của các sự kiện, người dùng, hệ thống và lưu lượng mạng giúp phát hiện sớm những mối đe dọa bảo mật, trong khi các phản hồi tự động đẩy nhanh khung thời gian giải quyết các cuộc tấn công độc hại.

Dưới đây là một số lợi ích chính có thể đạt được thông qua Adaptive Security.

Phát hiện rủi ro sớm

Phát hiện sớm rủi ro là lợi ích chính của Adaptive Security. Bản chất phòng ngừa của mô hình bảo mật này giúp bạn dễ dàng phát hiện ra các rủi ro trước khi chúng biến thành những mối đe dọa thực sự.

Lọc sự kiện và ưu tiên

Việc sử dụng phân tích nâng cao và Machine Learning trong Adaptive Security đảm bảo việc phát hiện, lọc và ưu tiên các sự cố bảo mật mà hệ thống giám sát truyền thống sẽ không chú ý đến.

Giải quyết nhanh hơn

Đánh giá thời gian thực của tất cả người dùng, hệ thống và công cụ – cùng sự kết hợp giữa quy trình thủ công và tự động – hỗ trợ phát hiện rủi ro sớm, trong khi các phản hồi tự động giúp rút ngắn đáng kể khung thời gian khắc phục.

Giảm tác động của cuộc tấn công

Adaptive Security giúp giảm tác động của cuộc tấn công

Do khả năng phát hiện mối đe dọa tức thời và giải quyết nhanh hơn, Adaptive Security có thể thu nhỏ kích thước cuộc tấn công và hạn chế thiệt hại lan rộng hơn.

Phương pháp tiếp cận giám sát đa cấp liên tục phát triển

Adaptive Security cung cấp hỗ trợ giám sát nhiều tầng không bị cô lập với chỉ một công cụ hoặc tỷ lệ. Bằng cách kiểm tra các dấu vết tấn công hệ thống (Indicators of Compromise), nó phát triển liên tục để đối mặt với những mối đe dọa trong tương lai.

Các vectơ mối đe dọa càng thay đổi, thì khả năng của Adaptive Security càng trở nên nhanh nhẹn hơn.

Tính linh hoạt và tích hợp với các công cụ khác

Theo thiết kế, Adaptive Security là một khái niệm linh hoạt có thể hoạt động trên nhiều loại công cụ và nền tảng khác nhau. Thay vì tái cấu trúc toàn bộ cơ sở hạ tầng, Adaptive Security có thể tích hợp với bất kỳ hệ thống hiện có nào.

Máy tính có khả năng bị hack chỉ với 1 cú click khi cài đặt các ứng dụng phổ biến này

Nhiều lỗ hổng 1-click đã được phát hiện ở nhiều ứng dụng phần mềm phổ biến trên máy tính, cho phép kẻ tấn công có thể thực thi mã tùy ý trên các hệ thống mục tiêu.

Các chuyên gia bảo mật Fabian Braunlein và Lukas Euler thuộc Positive Security đã phát hiện các vấn đề này trên các ứng dụng như Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark và Mumble.

“Các ứng dụng trên máy tính để bàn chuyển URL do người dung cung cấp để mở bởi hệ điều hành thường dễ xuất hiện lỗ hổng thực thi mã dưới sự tương tác của người dùng. Việc thực thi mã có thể đạt được khi một URL trỏ đến tệp thực thi độc hại (.desktop, .jar, .exe…) được lưu trữ trên một tệp có thể truy cập internet (nfs, webdav, smb…) được mở hoặc một lỗ hổng bổ sung trong trình xử lý URI của ứng dụng đã mở được khai thác” – các chuyên gia thông tin.

Tức là, các lỗ hổng bắt nguồn từ việc xác thực URL đầu vào. Khi chúng được mở bởi hệ điều hành một các không được xác thực hợp lý thì sẽ dẫn đến vô tình thực thi các tệp độc hại.

Phân tích của Positive Security cho thấy, nhiều ứng dụng không thể xác thực URL, do đó, hacker có cơ hội tạo ra một liên kết được thiết kế đặc biệt trỏ đến một đoạn mã tấn công, dẫn đến việc thực thi mã từ xa.

Sau khi phát hiện, hầu hết các ứng dụng đã tung ra bản cập nhật vá lỗi:

  • Nextcloud – Đã khắc phục trong phiên bản 3.1.3 dành cho Desktop Client, phát hành ngày 24 tháng Hai (CVE-2021-22879)
  • Telegram – Vấn đề được báo cáo vào 11 tháng Một và sau đó được sửa tại phía máy chủ trước ngày 10 tháng Hai.
  • VLC Player – Vấn đề được báo cáo vào 18 tháng Một, phiên bản sửa lỗi 3.0.13 được phát hành 1 tuần sau đó.
  • OpenOffice – Sắp được khắc phục vào bản vá tiếp theo (CVE-2021-30245)
  • LibreOffice – Đã khắc phục trong Windows, nhưng lỗ hổng vẫn tồn tại ở Xubuntu (CVE-2021-25631)
  • Mumble – Đã khắc phục trong phiên bản 1.3.4 phát hành ngày 10 tháng Hai (CVE-2021-27229)
  • Dogecoin – Đã khắc phục trong phiên bản 1.14.3 phát hành 28 tháng Hai
  • Bitcoin ABC – Đã khắc phục trong phiên bản 0.22.15 phát hành 9 tháng Ba
  • Bitcoin Cash – Đã khắc phục trong phiên bản 23.0.0 (đang chuẩn bị phát hành)
  • Wireshark – Đã khắc phục trong phiên bản 3.4.4 phát hành ngày 10 tháng Ba (CVE-2021-22191)
  • WinSCP – Đã khắc phục trong phiên bản 5.17.10 phát hành 26 tháng Hai (CVE-2021-3331)

Các nhà nghiên cứu cho biết: “Vấn đề này trải dài trong nhiều lớp của ngăn xếp ứng dụng trên hệ thống được nhắm mục tiêu, do đó, công cụ bảo trì của bất kỳ lớp nào cũng có thể dễ dàng đẩy gánh nặng thực hiện các biện pháp giảm thiểu về phía những lớp còn lại”.

Như vậy, điều quan trọng là mọi bên liên quan phải chịu một số trách nhiệm và đưa ra các biện pháp giảm thiểu rủi ro, chẳng hạn như xác thực URL và ngăn chia sẻ từ xa từ mount tự động.

Bảo mật thông tin

Bảo mật thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm tránh khỏi sự ” đánh cắp, ăn cắp” bởi những kẻ xấu hoặc tin tặc. An ninh thông tin cũng như sự bảo mật an toàn thông tin nói chung. Việc bảo mật tốt những dữ liệu và thông tin sẽ tránh những rủi ro không đáng có cho chính cá nhân và doanh nghiệp của bạn.

1. Tính bảo mật thông tin

  • Tính bảo mật: Đảm bảo thông tin đó là duy nhất, những người muốn tiếp cận phải được phân quyền truy cập
  • Tính toàn vẹn. Bảo vệ sự hoàn chỉnh toàn diện cho hệ thống thông tin
  • Tính chính xác. Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hay không được vi phạm bản quyền nội dung
  • Tính sẵn sàng. Việc bảo mật thông tin luôn phải sẵn sàng, có thể thực hiện bất cứ đâu, bất cứ khi nào.

2. Các giải pháp để bảo mật thông tin

  • Xác thực 2 lớp
  • Nâng cấp, nâng cao mật khẩu
  • Đảm bảo không có lỗ hổng trên điện thoại, máy tính, thiết bị IoT
  • Kiểm tra nghiêm ngặt sự phân quyền (nếu có)
  • Kiểm tra các thiết bị đầu vào đầu ra nhằm đảm bảo sự an toàn tốt nhất cho thông tin

3. Mục đích của bảo mật thông tin

  • Phòng ngừa hiện tượng đánh cắp dữ liệu
  • Ngăn chặn tin tặc đánh cắp danh tính
  • Tránh hậu quả dính tới pháp luật
  • Đảm bảo những trao đổi thông tin dữ liệu, giao dịch, kinh doanh online an toàn nhất

4. Phân loại bảo mật thông tin

Network Security

Network Security được sử dụng để ngăn chặn những người dùng độc hại và không được ủy quyền khi cố gắng truy cập vào mạng lưới của tổ chức. Điều này giúp đảm bảo khả năng sử dụng, tin cậy và toàn vẹn dữ liệu tổ chức. Kiểu security này rất cần thiết để ngăn chặn các hacker cố gắng truy cập vào dữ liệu trong mạng. Nó cũng ngăn chặn chúng khỏi các tác động tiêu cực có thể gây ảnh hưởng đến khả năng sử dụng của người dùng bên trong mạng lưới.

Internet Security

IT Security liên quan đến việc bảo vệ thông tin được gửi và nhận trong các trình duyệt mà bạn đang sử dụng, cũng như các ứng dụng dựa trên nền web. Những biện pháp bảo mật này được thiết kế để giám sát các lưu lượng truy cập internet đến và đi để đề phòng và ngăn chặn malware cũng như các lưu lượng truy cập không mong muốn. Cơ chế bảo mật này có thể được thực hiện dưới các hình thức như tường lửa, altimalware, và altispyware.

Endpoint Security

Endpoint Security cung cấp các biện pháp bảo mật tại cấp độ thiết bị. Các thiết bị được bảo vệ bởi endpoint security bao gồm điện thoại di động, máy tính bảng, laptop, PC. Endpoint Security sẽ ngăn chặn các thiết bị của bạn truy cập vào các trang web độc hại mà có thể gây ra các tổn hại cho tổ chức.

Application Security

Với Application Security, các ứng dụng thường được mã hóa tại các thời điểm từ khi bắt đầu cho đến lúc hoàn thành để đảm bảo an toàn nhất có thể, giúp tránh các lỗ hổng bảo mật. Lớp bảo vệ này liên quan đến việc đánh giá các đoạn code trong một ứng dụng và việc xác định các lỗ hổng có thể tồn tại trong phần mềm.

Bảo mật hệ thống CentOS

1. Bảo vệ ở mức vật lý

Đảm bảo phòng server được khoá cẩn thận, sử dụng các chìa khoá và camera an ninh. Bởi vì việc cho những người không có thẩm quyền tiếp cận vào phòng server sẽ đặt ra nhiều rủi ro về bảo mật.

2. Giảm thiểu các tác động gián điệp

Trong trường hợp có nhiều dữ liệu nhạy cảm, bạn có thể sử dụng các giải pháp bảo vệ vật lí nâng cao như đặt server trong một thiết bị như Faraday Cage hoặc dùng một giải pháp có hơi hướng quân động như TEMPEST để giảm thiểu các tác động gián điệp bằng sóng radio hoặc qua nguồn điện

3. Bảo mật BIOS/UEFI

Bắt đầu quá trình bảo mật bắt đầu từ các cài đặt là BIOS/UEFI, đặt một mật khẩu BIOS/UEFO và chặn việc boot từ các thiết bị bên ngoài (CD/DVD/USB) cũng như ngăn chặn việc thay đổi cài đặt BIOS cũng như việc boot từ thiết bị bên ngoài. Tuy nhiên để thực hiện những bảo mật này bạn cần phải xem xét là mainboard của các bạn có hỗ trợ các tính năng bảo mật nâng cao này không

4. Bảo mật Boot Loader

Đặt một password dành cho GRUB để ngăn chặn việc khởi động vào chế độ single-user và đặt lại Password Root từ đó chiếm quyền sở hữu hệ thống

5. Sử dụng các phân vùng ổ đĩa riêng biệt

Khi cài đặt, người quản trị nên lưu trữ các thành phần chính của hệ thống ra các phân vùng riêng biệt. Ví dụ như: /(root), /boot, /home, /tmp, /var

6. Sử dụng LVM và RAID

Phân vùng /var là nơi mà các log của hệ thống được ghi vào ổ đĩa. Riêng phần này của hệ thống có thể gia năng rất nhanh về dung lượng, do vậy bạn có thể xem xét việc thiết lập phân vùng này sử dụng logical volumes (LVM) hoặc gộp nhiều ổ đĩa vật lí thành một ổ ảo lớn RAID 0 để có thể chịu đựng được lượng dữ liệu lớn về dữ liệu, xem xét việc dùng kiến trúc LVM ở trên cấp độ RAID 1

Với các phân vùng chỉ dùng để lưu trữ dữ liệu thì bạn có thể ngăn chặn việc thực thi các phần mềm ở đây, bạn có thể thêm các thiết đặt vào fstab như hình dưới

/dev/sda5 /nas ext4 defaults,nosuid,nodev,noexec 1 2

Để ngăn chặn việc leo thang đặc quyền và việc thực thi script trái phép bạn có thể tạo một phân vùng riêng cho thư mục /tmp và mount nó dưới dạng nosuid, nodev và noexec

/dev/sda6 /tmp ext4 defaults,nosuid,nodev,noexec 0 0

7. Sử dụng PGP và Public Keys

Ngoài việc dùng LUKS bạn có thể dùng PGP và Public-Key và câu lệnh OpenSSL để mã hoá và giải mã các files nhạy cảm

8. Chỉ cài đặt những packages thực sự cần thiết

Hạn chế việc cài đặt những phần mềm không cần thiết để tránh việc gặp các lỗ hổng ở các phần mềm. Hãy giảm thiểu tối đa số lượng các package tồn tại trên hệ thống, chỉ cài khi thực sự cần thiết

9. Cập nhật phần mềm thường xuyên

Cập nhật phần mềm thường xuyên và đảm bảo nhân Linux của bạn được đồng bộ với các bản vá mới nhất của hệ thống cũng như các phần mềm được cài đặt trên hệ thống được cập nhật mới nhất bằng cách chạy câu lệnh dưới đây

yum update

10. Lọc các packet qua Firewall

Sử dụng công cụ firewalld để bảo vệ các cổng của hệ thống, đóng hoặc mở một cổng cụ thể (Đặc biệt là các port phổ biến <1024)

Cài đặt, khởi động, kích hoạt và liệt kê các quy tắc của firewall bằng cách sử dụng các câu lệnh dưới đây

yum install firewalld

systemctl start firewalld.service

systemctl enable firewalld.service

firewall-cmd --list-all

Loạt lỗ hổng Linux hơn ‘15 năm tuổi’ cho phép hacker chiếm đoạt các đặc quyền root

Các nhà nghiên cứu bảo mật quốc tế mới đây đã tìm thấy ba lỗ hổng trong hệ thống iSCSI subsystem của nhân Linux. Đây đều là những lỗ hổng nghiêm trọng mà nếu bị khai thác thành công, chúng có thể cho phép kẻ tấn công cục bộ với đặc quyền người dùng cơ bản chiếm đoạt được đặc quyền root trên các hệ thống Linux bị ảnh hưởng. Các lỗ hổng hiện đang được theo dõi với mã định danh CVE-2021-27365, CVE-2021-27363, và CVE-2021-27364.

May thay, các lỗi bảo mật này chỉ có thể được khai thác cục bộ, có nghĩa là những kẻ tấn công tiềm năng sẽ phải có quyền truy cập trực tiếp vào các thiết bị dễ bị mục tiêu bằng cách khai thác một lỗ hổng khác hoặc sử dụng một vector tấn công thay thế.

Các lỗ hổng Linux 15 năm tuổi

Ba lỗ hồng trên được phát hiện bởi các nhà nghiên cứu đến từ đội ngũ bảo mật GRIMM. Theo ước tính của các chuyên gia, những lỗ hổng nãy đã tồn tại không dưới 15 năm, rất có thể là từ trong giai đoạn phát triển ban đầu của hệ thống iSCSI kernel subsystem vào năm 2006.

Theo nhà nghiên cứu bảo mật Adam Nichols của GRIMM, ba lỗ hổng này ảnh hưởng đến tất cả các bản phân phối Linux. Nhưng may mắn thay, mô-đun nhân scsi_transport_iscsi chứa lỗ hổng lại không được tải theo mặc định.

Dẫu vậy, tùy thuộc vào bản phân phối Linux mà những kẻ tấn công nhắm mục tiêu đến, mô-đun này vẫn có thể được tải và khai thác để nâng cấp đặc quyền.

Thông thường, nhân Linux tải các mô-đun do phần cứng mới được phát hiện hoặc do một kernel function phát hiện thấy mô-đun bị thiếu. Trường hợp thứ hai có nhiều khả năng bị lạm dụng hơn, đồng thời dễ bị kẻ tấn công kích hoạt, cho phép chúng mở rộng bề mặt tấn công của nhân”, ông Nichols cho biết. “Trên hệ thống CentOS 8, RHEL 8 và Fedora, người dùng không có đặc quyền có thể tự động tải các mô-đun cần thiết nếu gói rdma-core được cài đặt. Trong khi trên hệ thống Debian và Ubuntu, gói rdma-core sẽ chỉ tự động tải hai mô-đun nhân được yêu cầu nếu phần cứng RDMA có sẵn. Do đó, lỗ hổng có phạm vi hạn chế hơn nhiều”.

Biểu đồ tác động

Chiếm đặc quyền root

Kẻ tấn công có thể lạm dụng những lỗ hổng nêu trên để vượt qua các tính năng bảo mật như Kernel Address Space Layout Randomization (KASLR), Supervisor Mode Execution Protection (SMEP), Supervisor Mode Access Prevention (SMAP) và Kernel Page-Table Isolation (KPTI).

Về cơ bản, ba lỗ hổng này có thể dẫn đến hành vi nâng cao đặc quyền cục bộ, rò rỉ thông tin và từ chối dịch vụ:

  • CVE-2021-27365: Heap buffer overflow (Nâng cấp đặc quyền cục bộ, Rò rỉ thông tin, Từ chối dịch vụ)
  • CVE-2021-27363: Kernel pointer leak (Rò rỉ Thông tin)
  • CVE-2021-27364: Out-of-bounds read (Rò rỉ thông tin, Từ chối dịch vụ)

Cả ba lỗ hổng hiện đều được vá kể từ các bản cập nhật 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 và 4.4.260, Các bản vá đã có sẵn trong nhân Linux mainline vào ngày 7 tháng 3. Sẽ không có bản vá nào được phát hành cho các phiên bản hạt nhân không được hỗ trợ EOL như 3.x và 2.6.23.

Nếu bạn đã cài đặt một trong các phiên bản hạt nhân Linux nêu trên, thiết bị của bạn sẽ không còn có thể bị xâm phạm trong các cuộc tấn công lạm dụng ba lỗ hổng này.

IPtables – Tường lửa Linux

Iptables là một tiện ích tường lửa cực kỳ linh hoạt được xây dựng cho hệ điều hành Linux. Cho dù bạn là một người mới làm quen với Linux hay một quản trị viên hệ thống, có thể có một số cách mà iptables có thể là một công dụng tuyệt vời cho bạn. Đọc tiếp khi chúng tôi hướng dẫn bạn cách định cấu hình tường lửa Linux linh hoạt nhất.

Iptables là một tiện ích tường lửa dòng lệnh sử dụng chuỗi chính sách để cho phép hoặc chặn lưu lượng. Khi một kết nối cố gắng tự thiết lập trên hệ thống của bạn, iptables sẽ tìm kiếm một quy tắc trong danh sách của nó để khớp với nó. Nếu nó không tìm thấy một, nó sẽ sử dụng hành động mặc định.

iptables hầu như luôn được cài đặt sẵn trên bất kỳ bản phân phối Linux nào. Để cập nhật / cài đặt nó, chỉ cần truy xuất gói iptables:

# sudo apt-get install iptables

iptables không thực sự khó khi bạn có một vài lệnh. Bạn cần cực kỳ cẩn thận khi định cấu hình các quy tắc iptables, đặc biệt nếu bạn đang SSH vào một máy chủ, bởi vì một lệnh sai có thể khóa bạn vĩnh viễn cho đến khi nó được sửa theo cách thủ công tại máy vật lý.

Các loại chuỗi

Iptables sử dụng ba chuỗi khác nhau: đầu vào, chuyển tiếp và đầu ra.

Đầu vào – Chuỗi này được sử dụng để kiểm soát hành vi của các kết nối đến. Ví dụ: nếu người dùng cố gắng SSH vào PC / máy chủ của bạn, iptables sẽ cố gắng khớp địa chỉ IP và cổng với một quy tắc trong chuỗi đầu vào.

Chuyển tiếp – Chuỗi này được sử dụng cho các kết nối đến không thực sự được phân phối cục bộ. Hãy nghĩ về một bộ định tuyến – dữ liệu luôn được gửi đến nó nhưng hiếm khi thực sự được dành cho chính bộ định tuyến; dữ liệu chỉ được chuyển tiếp đến mục tiêu của nó. Trừ khi bạn đang thực hiện một số loại định tuyến, NATing hoặc thứ gì đó khác trên hệ thống của bạn yêu cầu chuyển tiếp, bạn thậm chí sẽ không sử dụng chuỗi này.

Có một cách chắc chắn để kiểm tra xem hệ thống của bạn có sử dụng / cần chuỗi chuyển tiếp hay không.

# iptables -L -v

Ảnh chụp màn hình ở trên là của một máy chủ đã hoạt động được vài tuần và không có giới hạn về kết nối đến hoặc đi. Như bạn có thể thấy, chuỗi đầu vào đã xử lý 11GB gói và chuỗi đầu ra đã xử lý 17GB. Mặt khác, chuỗi chuyển tiếp không cần xử lý một gói tin. Điều này là do máy chủ không thực hiện bất kỳ loại chuyển tiếp nào hoặc được sử dụng như một thiết bị chuyển tiếp.

Đầu ra  – Chuỗi này được sử dụng cho các kết nối gửi đi. Ví dụ: nếu bạn cố gắng ping howtogeek.com, iptables sẽ kiểm tra chuỗi đầu ra của nó để xem các quy tắc liên quan đến ping và howtogeek.com trước khi đưa ra quyết định cho phép hoặc từ chối nỗ lực kết nối.

Báo trước

Mặc dù ping một máy chủ bên ngoài có vẻ giống như một thứ gì đó chỉ cần duyệt qua chuỗi đầu ra, hãy nhớ rằng để trả về dữ liệu, chuỗi đầu vào cũng sẽ được sử dụng. Khi sử dụng iptables để khóa hệ thống của bạn, hãy nhớ rằng nhiều giao thức sẽ yêu cầu giao tiếp hai chiều, do đó, cả chuỗi đầu vào và đầu ra sẽ cần được định cấu hình đúng cách. SSH là một giao thức phổ biến mà mọi người quên cho phép trên cả hai chuỗi.

Hành vi mặc định của chuỗi chính sách

Trước khi đi vào và định cấu hình các quy tắc cụ thể, bạn sẽ muốn quyết định xem bạn muốn hành vi mặc định của ba chuỗi là gì. Nói cách khác, bạn muốn iptables làm gì nếu kết nối không khớp với bất kỳ quy tắc hiện có nào?

Để xem chuỗi chính sách của bạn hiện đang được định cấu hình để làm gì với lưu lượng truy cập chưa từng có, hãy chạy lệnh iptables -L.

Như bạn có thể thấy, chúng tôi cũng đã sử dụng lệnh grep để cung cấp cho chúng tôi đầu ra rõ ràng hơn. Trong ảnh chụp màn hình đó, các chuỗi của chúng tôi hiện được cho là chấp nhận lưu lượng truy cập.

Nhiều khi không, bạn sẽ muốn hệ thống của mình chấp nhận các kết nối theo mặc định. Trừ khi bạn đã thay đổi quy tắc chuỗi chính sách trước đó, cài đặt này phải được định cấu hình. Dù bằng cách nào, đây là lệnh để chấp nhận các kết nối theo mặc định:

iptables --policy INPUT ACCEPT
iptables --policy OUTPUT ACCEPT
iptables --policy FORWARD ACCEPT

Bằng cách mặc định cho quy tắc chấp nhận, sau đó bạn có thể sử dụng iptables để từ chối các địa chỉ IP hoặc số cổng cụ thể, trong khi tiếp tục chấp nhận tất cả các kết nối khác. Chúng tôi sẽ thực hiện các lệnh đó sau một phút.

Nếu bạn muốn từ chối tất cả các kết nối và chỉ định thủ công những kết nối nào bạn muốn cho phép kết nối, bạn nên thay đổi chính sách mặc định của chuỗi để loại bỏ. Làm điều này có lẽ sẽ chỉ hữu ích cho các máy chủ chứa thông tin nhạy cảm và chỉ có cùng địa chỉ IP kết nối với chúng.

iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP

Phản hồi dành riêng cho kết nối

Với các chính sách chuỗi mặc định của bạn được định cấu hình, bạn có thể bắt đầu thêm các quy tắc vào iptables để iptables biết phải làm gì khi gặp kết nối từ hoặc đến một địa chỉ IP hoặc cổng cụ thể. Trong hướng dẫn này, chúng ta sẽ xem xét ba “phản hồi” cơ bản và thường được sử dụng nhất.

Chấp nhận – Cho phép kết nối.

Drop – Bỏ kết nối, hành động như chưa từng xảy ra. Điều này là tốt nhất nếu bạn không muốn nguồn nhận ra hệ thống của bạn tồn tại.

Từ chối – Không cho phép kết nối nhưng gửi lại lỗi. Điều này là tốt nhất nếu bạn không muốn một nguồn cụ thể kết nối với hệ thống của mình, nhưng bạn muốn họ biết rằng tường lửa của bạn đã chặn họ.

Cách tốt nhất để chỉ ra sự khác biệt giữa ba quy tắc này là hiển thị nó trông như thế nào khi PC cố gắng ping một máy Linux với iptables được định cấu hình cho từng cài đặt này.

Cho phép kết nối:

Bỏ kết nối:

Từ chối kết nối:

Cho phép hoặc Chặn các kết nối cụ thể

Với chuỗi chính sách của bạn được định cấu hình, giờ đây bạn có thể định cấu hình iptables để cho phép hoặc chặn các địa chỉ, dải địa chỉ và cổng cụ thể. Trong các ví dụ này, chúng tôi sẽ đặt các kết nối thành DROP, nhưng bạn có thể chuyển chúng thành  ACCEPT hoặc  REJECT, tùy thuộc vào nhu cầu của bạn và cách bạn định cấu hình chuỗi chính sách của mình.

Lưu ý: Trong các ví dụ này, chúng tôi sẽ sử dụng iptables -A để nối các quy tắc vào chuỗi hiện có. iptables bắt đầu ở đầu danh sách và đi qua từng quy tắc cho đến khi tìm thấy quy tắc phù hợp. Nếu bạn cần chèn một quy tắc bên trên một quy tắc khác, bạn có thể sử dụng iptables -I [chain] [number] để chỉ định số mà quy tắc đó sẽ có trong danh sách.

Kết nối từ một địa chỉ IP

Ví dụ này cho thấy cách chặn tất cả các kết nối từ địa chỉ IP 10.10.10.10.

# iptables -A INPUT -s 10.10.10.10 -j DROP

Kết nối từ nhiều địa chỉ IP

Ví dụ này cho thấy cách chặn tất cả các địa chỉ IP trong phạm vi mạng 10.10.10.0/24. Bạn có thể sử dụng mặt nạ mạng hoặc ký hiệu gạch chéo tiêu chuẩn để chỉ định phạm vi địa chỉ IP.

# iptables -A INPUT -s 10.10.10.0/24 -j DROP

hoặc là

# iptables -A INPUT -s 10.10.10.0/255.255.255.0 -j DROP

Kết nối với một cổng cụ thể

Ví dụ này cho thấy cách chặn các kết nối SSH từ 10.10.10.10.

# iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP

Bạn có thể thay thế “ssh” bằng bất kỳ giao thức hoặc số cổng nào. Phần  -p tcp mã cho iptables biết loại kết nối mà giao thức sử dụng. Nếu bạn đang chặn một giao thức sử dụng UDP thay vì TCP, thì  -p udp thay vào đó là cần thiết.

Ví dụ này cho thấy cách chặn kết nối SSH từ bất kỳ địa chỉ IP nào.

# iptables -A INPUT -p tcp --dport ssh -j DROP

Các trạng thái kết nối

Như chúng tôi đã đề cập trước đó, rất nhiều giao thức sẽ yêu cầu giao tiếp hai chiều. Ví dụ: nếu bạn muốn cho phép kết nối SSH với hệ thống của mình, các chuỗi đầu vào và đầu ra sẽ cần một quy tắc được thêm vào chúng. Nhưng, điều gì sẽ xảy ra nếu bạn chỉ muốn SSH vào hệ thống của mình được cho phép? Sẽ không thêm quy tắc vào chuỗi đầu ra cũng cho phép các nỗ lực SSH gửi đi?

Đó là nơi các trạng thái kết nối xuất hiện, cung cấp cho bạn khả năng bạn cần để cho phép giao tiếp hai chiều nhưng chỉ cho phép thiết lập kết nối một chiều. Hãy xem ví dụ này, trong đó các kết nối SSH TỪ 10.10.10.10 được phép, nhưng kết nối SSH ĐẾN 10.10.10.10 thì không. Tuy nhiên, hệ thống được phép gửi lại thông tin qua SSH miễn là phiên đã được thiết lập, điều này giúp cho việc giao tiếp SSH giữa hai máy chủ này có thể thực hiện được.

iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -m state --state ESTABLISHED -j ACCEPT

Lưu thay đổi

Các thay đổi mà bạn thực hiện đối với các quy tắc iptables của mình sẽ bị loại bỏ vào lần tiếp theo khi dịch vụ iptables được khởi động lại trừ khi bạn thực hiện lệnh để lưu các thay đổi. Lệnh này có thể khác nhau tùy thuộc vào phân phối của bạn:

Ubuntu:

sudo /sbin/iptables-save

Redhat/CentOS:

/sbin/service iptables save

Hoặc là

/etc/init.d/iptables save

Các lệnh khác

Liệt kê các quy tắc iptables hiện được định cấu hình:

iptables -L

Thêm tùy chọn -v sẽ cung cấp cho bạn thông tin gói và byte, và thêm -n sẽ liệt kê mọi thứ bằng số. Nói cách khác – tên máy chủ, giao thức và mạng được liệt kê dưới dạng số.

Để xóa tất cả các quy tắc hiện được định cấu hình, bạn có thể đưa ra lệnh:

iptables -F

Microsoft tung ra bản vá cho lỗ hổng bảo mật nghiêm trọng bị khai thác từ giữa năm 2020

Microsoft vừa chính thức đưa ra thông báo cho biết lỗ hổng Windows zero-day có mức độ nghiêm trọng cao với mã định danh CVE-2021-1732 vừa chính thức được vá trong bản cập nhật February 2021 Patch Tuesday.

Đây là động thái mà đáng ra gã khổng lồ Redmond nên thực hiện từ lâu. Bởi CVE-2021-1732 đã được ghi nhận khai thác tích cực trong tự nhiên ít nhất là từ mùa hè năm 2020, theo báo cáo từ nhiều tổ chức bảo mật độc lập cũng như chính dữ liệu phân tích từ xa của Microsoft. Ngoài ra, zero-day là một dạng lỗ hổng leo thang đặc quyền hệ thống cực kỳ nguy hiểm (Windows Win32k Elevation of Privilege Vulnerability), có thể cho phép tin tặc chiếm quyền điều khiển máy tính của nạn nhân.

Cụ thể hơn, lỗ hổng này cho phép những kẻ tấn công cục bộ nâng đặc quyền của chúng lên cấp quản trị bằng cách kích hoạt một điều kiện đạng use-after-free trong thành phần hạt nhân lõi win32k.sys.

Đáng nói hơn, CVE-2021-1732 có thể bị khai thác bởi hacker nắm trong tay các đặc quyền người dùng cơ bản trong những cuộc tấn công có độ phức tạp không thực sự cao, không yêu cầu sự tương tác của người dùng.

Mặc dù các tác nhân đe dọa vẫn cần phải có đặc quyền thực thi mã thì mới có thể khai thác thành công lỗ hồng. Tuy nhiên, điều này hoàn toàn có thể dễ dàng đạt được bằng cách lừa nạn nhân mở các tệp đính kèm độc hại được gửi qua email lừa đảo.

Lỗ hổng bảo mật này được các nhà nghiên cứu tại DBAPPSecurity phát hiện và chính thức báo cáo cho Trung tâm Phản hồi Bảo mật (Microsoft Security Response Center) của Microsoft vào ngày 29/12/2020.

Báo cáo của DBAPPSecurity

Theo báo cáo của DBAPPSecurity, lỗ hổng này đã và đang được khai thác tích cực trong các cuộc tấn công có chủ đích bởi 2 nhóm tin tặc có tên Bitter và T-APT-17. Trong đó, nhóm Bitter được biết đến với các chiến dịch đánh cắp thông tin và gián điệp nhắm vào Trung Quốc, Pakistan và Ả Rập Xê Út. Theo quan sát của các chuyên gia bảo mật, thông qua CVE-2021-1732, tin tặc muốn nhắm mục tiêu cụ thể vào các hệ thống Windows 10 1909. Mặc dù trên thực tế, zero-day này cũng ảnh hưởng đến nhiều phiên bản Windows 10 và Windows Server khác nữa.

Hoạt động khai thác lỗ hổng được triển khai trong các cuộc tấn công có chủ đích của Bitter đã được chia sẻ vào ngày 11 tháng 12 trên nền tảng nghiên cứu phần mềm độc hại công khai VirusTotal. Tuy nhiên trên thực tế, các tác nhân đe dọa đã bắt đầu khai thác lỗ hổng này từ giữa năm 2020 theo phân tích của chính Microsoft.

Phần mềm diệt virus cho Windows và Mac có gì khác biệt?

Khi mua một laptop mới – dù là PC chạy Windows hay macOS – thì việc trang bị một gói phần mềm diệt virus là điều cần thiết. Mặc dù cả hai hệ điều hành đều có tính năng bảo vệ tích hợp, nhưng các công ty bảo mật vẫn cung cấp nhiều tùy chọn khác, với một số tính năng như bảo mật VPN và bảo vệ việc duyệt Internet, v.v…

Tuy nhiên, mỗi loại hệ điều hành đi kèm các tính năng khác nhau. Ví dụ, một số phần mềm diệt virus không hoạt động trên macOS, trong khi một số phiên bản miễn phí của phần mềm diệt virus chỉ bao gồm khả năng quét virus thay vì bảo vệ toàn diện.

Trong bài viết hôm nay, Viettelco sẽ tổng hợp các thương hiệu phần mềm diệt virus phổ biến trên thị trường và xem chúng khác nhau như thế nào giữa PC Windows và macOS.

Các phiên bản phần mềm diệt virus dành cho Windows thường đa dạng về tính năng và mức giá hơn

Bitdefender

Trong hơn 18 năm, công ty an ninh mạng toàn cầu này đã bảo vệ hơn 500 triệu hệ thống ở cả hộ gia đình và nơi làm việc. Cung cấp giải pháp bảo mật miễn phí và trả phí, Bitdefender có sẵn trên Windows PC và macOS.

Nhưng sự khác biệt giữa 2 phiên bản là gì?

Phiên bản miễn phí và trả phí của giải pháp bảo mật Windows PC có nhiều tính năng hơn phiên bản macOS. Đối với những người không muốn trả tiền, nếu họ sở hữu máy Mac, họ chỉ có thể nhận được trình quét virus miễn phí, còn gói cho Windows có nhiều thứ hơn để cung cấp. Các tính năng bao gồm:

  • Bảo vệ cho Windows với tốc độ vượt trội
  • Hoàn thành bảo vệ dữ liệu thời gian thực
  • Phòng thủ nâng cao trước các mối đe dọa
  • Phòng chống tấn công web
  • Chống phishing và lừa đảo
  • Bitdefender Photon – thích ứng với cấu hình phần cứng và phần mềm để cải thiện tốc độ và hiệu suất
  • Mạng bảo vệ toàn cầu, có nghĩa là quá trình quét nặng diễn ra trên đám mây thay vì sử dụng chính thiết bị

Khi nhìn vào các gói trả phí, chắc chắn PC chạy Windows có nhiều tính năng hơn so với Mac.

Giải pháp Bitdefender Total Security bao gồm tất cả các thiết bị, mang đến khả năng bảo vệ tốt mà không làm chậm chúng. Điều này có nghĩa là bạn có thể sở hữu laptop, máy tính bảng Android và điện thoại iPhone mà vẫn có thể sử dụng phần mềm diệt virus trên tất cả các thiết bị của mình. Tuy nhiên, bất kỳ gói nào khác rẻ hơn chỉ chạy trên Windows, như Internet Security và Antivirus Plus.

Avira

Công ty bảo mật của Đức này chú trọng về quyền riêng tư và khả năng bảo vệ – điều này được phản ánh trong số lượng lớn các cấp gói và tính năng mà nó cung cấp. Tuy nhiên, có sự khác biệt giữa phiên bản Windows PC và macOS không?

Giống như Bitdefender, PC Windows được cung cấp nhiều tính năng cũng như mức giá hơn. Đối với Windows, Avira cung cấp giải pháp miễn phí và 3 gói đăng ký trả phí: Antivirus Pro, Internet Security và Avira Prime. Phiên bản duy nhất trong số 3 phiên bản này có sẵn trên máy Mac là Avira Prime – phiên bản đắt nhất.

Thật không may, do các thông số mà Avira được phép hoạt động, trên macOS, các tính năng bị thiếu so với Windows. Cả hai tùy chọn đều bao gồm tính năng dọn dẹp thiết bị, quản lý mật khẩu, bảo vệ chống virus và bảo mật VPN. Tuy nhiên, phiên bản Windows giữ cho phần mềm và driver tự động cập nhật, cũng như tối ưu hóa cài đặt bảo mật.

Cả hai đều bảo vệ tối đa 5 hoặc 25 thiết bị, tùy thuộc vào gói đăng ký được chọn.

McAfee

Là một thương hiệu nổi tiếng trong lĩnh vực an ninh mạng, một số laptop đã được cài đặt phần mềm diệt virus McAfee, chẳng hạn như máy tính Lenovo. Tuy nhiên, sự khác biệt giữa các gói diệt virus cho Windows và macOS là gì?

Một lần nữa, chủ sở hữu PC Windows có nhiều tùy chọn hơn về gói và tính năng. Ví dụ, McAfee Gamer Security mang lại trải nghiệm chơi game nhanh hơn, yên tĩnh, an toàn hơn với các công nghệ nâng cao hiệu suất, chỉ khả dụng trên Windows PC. Nhưng phiên bản phần mềm diệt virus macOS cũng được điều chỉnh tốt cho các thiết bị.

Gói diệt virus bao gồm khả năng phát hiện mối đe dọa virus, quét thời gian thực và bảo vệ tường lửa có thể tùy chỉnh. Đăng ký McAfee Total Protection cũng có thể sử dụng trên nhiều thiết bị.

Tuy nhiên, PC chạy Windows có nhiều cấp tính năng và giá cả hơn. Đối với gói Total Security, các tính năng bao gồm:

  • Phần mềm diệt virus từng đoạt giải thưởng
  • VPN an toàn
  • Tối ưu hóa hiệu suất
  • Bảo mật mạng gia đình
  • Chuyên gia bảo mật và hỗ trợ trực tuyến
  • Khả năng tương thích với nhiều thiết bị
  • Trình quản lý mật khẩu
  • Duyệt web an toàn
  • McAfee Shredder
  • Bộ nhớ được mã hóa
  • Tính năng Safe Family

PC chạy Windows linh hoạt hơn về giá cả

Mặc dù nhiều người thích sở hữu một chiếc máy Mac, nhưng khi nói đến các gói bảo mật và diệt virus, giả cả luôn là một vấn đề cần xem xét.

Các thiết bị Windows PC nhận được nhiều tính năng và mức giá hơn, cho phép mọi người chọn giải pháp nào tốt nhất cho mình. Trong ví dụ của McAfee, PC Windows cũng đi kèm với các giải pháp khác nhau cho nhiều mục đích như chơi game và dùng trong doanh nghiệp nhỏ.

Về mặt tích cực, máy Mac dường như không thu hút nhiều sự chú ý của tin tặc bằng PC Windows. Vì vậy, đối với những người mua có ý định mua máy Mac, các gói phần mềm diệt virus miễn phí vẫn có thể thực hiện tốt công việc.