Các giải pháp và công nghệ bảo mật mạng

CÁC GiẢI PHÁP VÀ CÔNG NGHỆ BẢO MẬT MẠNGNetwork Security Technologies© 2011, Vietnam-Korea Friendship IT CollegeCác biện pháp bảo mật mạngMã hóa, nhận dạng, chứng thực người dùng và phân quyền sử dụngBảo mật máy trạmBảo mật truyền thông: FTP, SSH, IM, Wireless,Bảo mật bằng VPN,Firewall, IDS, AD, NATBảo mật ứng dụng: e-mail, webThống kê tài nguyên© 2011, Vietnam-Korea Friendship IT CollegeBảo mật máy trạmThiết lập Automatic Updates (sử dụng GPO)Computer Configuration  Administrative Templates  Windows Components  UpdateVô hiệu hóa: User Configuration  Administrative Templates  Windows Components  Windows Update: "Remove access to use all Windows Update features." Theo dõi các File và các tiến trình đang hoạt độngSử dụng tiện ích Handle hoặc Autorun + Task Manager (www.sysinternals.com/utilities/handle.html)Command: handle –p © 2011, Vietnam-Korea Friendship IT CollegeBảo mật máy trạmTheo dõi dịch vụ và các cổng tương ứngCommand: netstat -aBật chức năng thống kê sự kiệnLocal Security Policies  Audit Policy© 2011, Vietnam-Korea Friendship IT CollegeBảo mật máy trạmCấm các ứng dụng không cần thiếtSử dụng GPO: gpedit.mscTắt các chia sẽ mặc định (C$, D$,) Sử dụng Personal FirewallZoneAlarmCoreForcePersonal Firewall Plus© 2011, Vietnam-Korea Friendship IT CollegeNet use w: \\172.168.1.29\C$ /user:administratorStart  Run: \\172.168.1.66User: administratorPass: Openmind123Thư mục Tools© 2011, Vietnam-Korea Friendship IT CollegeBảo mật truyền thông - FTPĐược tạo ra với mục đích chia sẻ, lưu trữ và truyền dữ liệu qua mạng LAN hoặc internetMọi dữ liệu được truyền dưới dạng “clear text”Sử dụng cổng TCP 21 cho điều khiển; cổng TCP 20 cho dữ liệu© 2011, Vietnam-Korea Friendship IT CollegeBảo mật truyền thông - FTPNguy cơCó khả năng bị nghe lén khi truyền fileLấy mật khẩu trong quá trình chứng thựcUser mặc định Anonymous không an toàn, mục tiêu của tấn công tràn bộ đệmBiện phápSử dụng S/FTPS/FTP = FTP + SSL/TSL; Chứng thực RSA/DSASử dụng cổng TCP 990 cho điều khiển; cổng TCP 989 cho dữ liệu© 2011, Vietnam-Korea Friendship IT CollegeBảo mật truyền thông - FTPBiện pháp (tt)Tắt chức năng Anonymous nếu không sử dụngSử dụng IDS để phát hiện tấn công tràn bộ đệmSử dụng IPSec để mã hóa dữ liệu© 2011, Vietnam-Korea Friendship IT CollegeBảo mật truyền thông - SSHTạo đường hầm (tunnel): giao thức SSH2© 2011, Vietnam-Korea Friendship IT CollegeThực hànhTạo đường hầm (SSH) để kết nối đến máy chủ web: www.google.com.vnClient: Internet Secure TunnelingServer: freeSSHdMôi trường: VMWare© 2011, Vietnam-Korea Friendship IT CollegeChia sẻ File (File Sharing)NetBIOSĐược dùng để chia sẽ file chủ yếu trong mạng LANChia sẽ file – tiện lợi nhưng cũng dễ bị khai thácNetBEUI (NetBIOS Extended User Interface)Giao thức lớp 2, tạo frame dạng chuẩn có thể chia sẽ file qua WAN© 2011, Vietnam-Korea Friendship IT CollegeChia sẻ File (File Sharing)Lưu ýTắt chức năng chia sẽ File mặc định© 2011, Vietnam-Korea Friendship IT CollegeInstant MessagingYahoo, Google, MS, AOL, làm cho IM trở nên phổ biếnGửi text thời gian thựcCó thể truyền file© 2011, Vietnam-Korea Friendship IT CollegeInstant Messaging (2)Nguy cơKhông an toànTruyền file, tạo điều kiện cho Trojan và Virus thâm nhậpMở nhiều cổng trên FirewallDữ liệu có thể bị nghe lén, mất cắpĐịa chỉ IP có thể bị lộ, Cracker có thể khai thác tấn công© 2011, Vietnam-Korea Friendship IT CollegeInstant Messaging (3)Biện phápChặn IM (cổng 5050, header msg.yahoo.com)Hướng dẫn người sử dụngKhông chấp nhận truyền file lạChỉ cài đặt IM Client phổ biếnThường xuyên quét virusThay đổi mật khẩu định kỳ© 2011, Vietnam-Korea Friendship IT CollegeMạng không dây (Wireless)Giao thức WEP (Wireless Encryption Protocol)Thiết kế cho 802.11bMã hóa dữ liệu không dây Có 2 loại 40 bit và 128 bit© 2011, Vietnam-Korea Friendship IT CollegeMạng không dây (Wireless)Nguy cơMã hóa chưa tốtCó thể giải mã đượcCó thể bị tấn công kiểu từ điển hoặc brute-forceBiện phápTriển khai 128 bit WEP/WPABổ sung thêm các biện pháp bảo mật khácIPSecKerberosSSL© 2011, Vietnam-Korea Friendship IT CollegeMạng không dây (Wireless)Giải pháp WPA (Wifi Protected Access)Mức bảo mật cao hơn WEPSử dụng giao thức TKIP (Temporal Key Integrity Protocol): áp dụng giải thuật băm để kiểm tra tính toàn vẹn của khóa© 2011, Vietnam-Korea Friendship IT CollegeMạng không dây (Wireless)Xây dựng máy chủ chứng thực RADIUS, sử dụng kỹ thuật chứng thực CHAP © 2011, Vietnam-Korea Friendship IT CollegeVPNVPN là một mạng riêng được kết nối thông qua mạng công cộng (internet), cung cấp cơ chế bảo mật trong một môi trường mạng không an toàn.© 2011, Vietnam-Korea Friendship IT CollegeVPNĐặc điểmDữ liệu được mã hóaNgười sử dụng đầu xa phải được chứng thựcSử dụng đa giao thức: IPSec, SSL, L2TPKết nối point-to-pointTiết kiệm chi phíPhân loại User VPN: sử dụng cho các nhân viên ở xa, đi công tácSite VPN: kết nối mạng nội bộ của 2 văn phòng có địa điểm làm việc cách xa nhau© 2011, Vietnam-Korea Friendship IT CollegeVPNUser VPNUser có thể truy cập vào hệ thống mail, file và các hệ thống khác trên mạng nội bộ.Giảm chi phíCó thể tấn công Trojan Horse, và truy nhập hệ thống nội bộ© 2011, Vietnam-Korea Friendship IT CollegeVPNSite VPNTiết kiệm chi phí, triển khai nhanhNếu sử dụng VPN để kết nối 2 tổ chức thì dễ xảy ra xung đột địa chỉ (nên sử dụng thêm NAT)© 2011, Vietnam-Korea Friendship IT CollegeVPNHardware VPNVPN ServerTốc độ dữ liệu và độ bảo mật caoSoftware VPNChạy trên hệ thống máy tínhWeb-based VPNKhông cần có phần mềm chạy trên máy clientHạn chế ứng dụng và kết nối© 2011, Vietnam-Korea Friendship IT CollegeVPNBảo mật cho VPNSử dụng các giao thức bảo mật mới nhất: L2TP, IPSecSử dụng thay thế cho các dịch vụ truy cập từ xa khác (Terminal Service, PC Anywhere, VNC)Thường xuyên cập nhật các bản vá lỗi cho phần mềm và HĐH© 2011, Vietnam-Korea Friendship IT CollegeThực hànhTriển khai VPN cho phép kết nối một user bên ngoài vào mạng LAN (User VPN)Môi trường: Vmware© 2011, Vietnam-Korea Friendship IT CollegeIDS (Phát hiện tấn công)Phát hiện các dấu hiệu tấn công(tích cực/thụ động)Quét cổngTấn công URL/WebTấn công tràn bộ đệmThường tích hợp với FirewallDấu hiệu tấn công phải cập nhật thường xuyên© 2011, Vietnam-Korea Friendship IT CollegeIDS – Network Based (NIDS)Ra lệnh cho Firewall chặn các cổng nghi vấnCó thể “ẩn” trong mạngMột NIDS có thể giám sát cho một hệ thống mạng lớnKiểm soát được dữ liệu trong toàn mạng© 2011, Vietnam-Korea Friendship IT CollegeIDS – Network Based (NIDS)Vấn đềChỉ cảnh báo theo các luật đã được định nghĩa trướcKhông hiệu quả khi luồng dữ liệu lớnKhông có tác dụng đối với các cuộc tấn công đã thực hiện được trước đóKhông thể giám sát được dữ liệu đã được mã hóaVới các mạng chuyển mạch phải có cấu hình riêng mới giám sát được toàn bộ dữ liệu© 2011, Vietnam-Korea Friendship IT CollegeIDS – Network Based (NIDS)Sản phẩmSnort ISSCisco Secure IDSDragon Enterasys© 2011, Vietnam-Korea Friendship IT CollegeIDS – Host Based (HIDS)Được cài vào máy tính để phát hiện tấn công trên máy tính đó. Chủ yếu là các máy tính quan trọng trong doanh nghiệpCó 5 loại: phân tích log, cảm biến chử ký đt, phân tích system call, phân tích đáp ứng ứng dụng, kiểm tra tính toàn vẹn của file.© 2011, Vietnam-Korea Friendship IT CollegeIDS – Host Based (HIDS)Vấn đềKhông có cái nhìn tổng quan về các cuộc tấn côngKhông có khả năng phân tích chi tiếtSản phẩmINTRUST Event admin AelitaELM 3.0 TNT softwareGFI LANguard S.E.L.M © 2011, Vietnam-Korea Friendship IT CollegeBức tường lửa (Firewall)Phân loại theo công nghệPacket filteringProxyStateful inspection© 2011, Vietnam-Korea Friendship IT CollegePacket filtering FirewallFirewall sẽ phân tích packet dựa vào tập hợp các luật kết nối trong firewall và trạng thái của kết nốiCác kết nối không kết thúc ở firewall mà được chuyển tiếp đến đích nhậnHỗ trợ NAT© 2011, Vietnam-Korea Friendship IT CollegePacket filtering Firewall© 2011, Vietnam-Korea Friendship IT CollegePacket filtering FirewallPhân tích gói IP và so sánh với 1 tập các luật đã thiết lập trước (ACL)Các gói tin có thể đi qua được bộ lọc theo từng đoạnFilter:Source IP addressSource portDestination IP addressDestination portProtocol (listed by name or IP protocol number)© 2011, Vietnam-Korea Friendship IT CollegePacket filtering FirewallƯuTốc độ nhanhNhượcACL rất phức tạp, rất khó thực thi và duy trì một cách đúng đắnMột số dịch vụ không thể lọc: dịch vụ đa phương tiện, Yahoo Messenger,.. © 2011, Vietnam-Korea Friendship IT CollegeProxy FirewallFirewall tầng ứng dụngCòn được gọi là Proxy ServerTất cả các kết nối đều được kết thúc ở FirewallBảo vệ hệ thống từ tầng ứng dụng© 2011, Vietnam-Korea Friendship IT CollegeProxy Firewall© 2011, Vietnam-Korea Friendship IT CollegeProxy FirewallFirewall tầng ứng dụng Độ an toàn cao Rất khó để thêm các dịch vụ mới vào tường lửa Thực thi các ứng suất chậm© 2011, Vietnam-Korea Friendship IT CollegeStateful packet firewallFirewall lọc gói theo trạng thái (stateful)Kỹ thuật này duy trì trạng thái phiên đầy đủ, mỗi khi một kết nối được thiết lập, thông tin này được lưu vào trong bảng trạng thái phiên (stateful session flow table)stateful session flow tableIP nguồn, đích, port, seq idFlag: cho mỗi kết nối tương ứng với phiên làm việc Bảng này được xem là một điểm tham chiếu để xác định gói tin thuộc về một kết nối đang tồn tại hay từ một nguồn trái phép© 2011, Vietnam-Korea Friendship IT CollegeStateful packet firewall© 2011, Vietnam-Korea Friendship IT CollegeBức tường lửa (Firewall)Cấu hình Firewall đơn© 2011, Vietnam-Korea Friendship IT CollegeBức tường lửa (Firewall)Cấu hình Firewall kép© 2011, Vietnam-Korea Friendship IT CollegeCấu hình tổng hợp© 2011, Vietnam-Korea Friendship IT CollegeNATNAT – Network Address TranslationPrivate AddressPublic AddressThường được tích hợp vào Firewall lọc gói dữ liệu (Packet Filtering Firewall)Static NATDynamic NAT© 2011, Vietnam-Korea Friendship IT CollegeNATStatic NATTraffic is addressed to Server’s external real addressTranslate to 192.168.0.15One – to – One Configuration© 2011, Vietnam-Korea Friendship IT CollegeNATDynamic NATMany – to – One Configuration- Dynamic NAT được sử dụng đối với mạng có cấu hình DHCP© 2011, Vietnam-Korea Friendship IT CollegeActive Directory (AD)AD là nền tảng quản trị & bảo mật của Windows Server 2000/2003, là một dịch vụ có cấu trúc thư mụcCác thành phần của nó gồm:GC (Global Catalog)SchemaDomainOUGroup PoliciesTrust RelationShip© 2011, Vietnam-Korea Friendship IT CollegeActive Directory (AD)Kiến trúc AD© 2011, Vietnam-Korea Friendship IT CollegeActive Directory (AD)Các tiện ích chính của ADAD Domains and TrustsAD Sites and ServicesAD Users and Computers© 2011, Vietnam-Korea Friendship IT CollegeActive Directory (AD)Thực hànhThiết lập Domain Controller trên Windows Server 2003 Đưa các máy trạm vào domainKhai báo OU, UserThiết lập chính sách cho người dùngGPO1: Giới hạn thời gian truy cập từ 7:00 – 17:00, thứ 2 – thứ 6 hàng tuầnGPO2: Cấm ứng dụng Internet ExplorerGPO3: Triển khai cài đặt phần mềm Open Office© 2011, Vietnam-Korea Friendship IT CollegeActive Directory (AD)Cài đặt AD - sử dụng lệnhStart  Run: dcpromo© 2011, Vietnam-Korea Friendship IT CollegeISAMicrosoft Internet Security & Acceleration Server © 2011, Vietnam-Korea Friendship IT CollegeISABức tường lửa (firewall)Hỗ trợ VPNIDS (Intrusion Detection System)Web CacheGatekeeper H.323Client Deployment (with SecureNAT)Dynamic IP filteringPolicy-based administration© 2011, Vietnam-Korea Friendship IT CollegeISA – Thực hànhTriển khai máy chủ ISA 2006Thiết lập các luật để truy cập các dịch vụ (DNS, WWW, E-mail, Ping)Thiết lập các luật giới hạn giờ truy cập, nội dung truy cập (giờ hành chính,)Thiết lập luật cấm ứng dụng (YM, IE,)Thiết lập luật giới hạn truy cập các mạng conThực hiện chức năng web cacheThực hiện chức năng IDSThống kê hệ thống © 2011, Vietnam-Korea Friendship IT College© 2011, Vietnam-Korea Friendship IT College© 2011, Vietnam-Korea Friendship IT CollegePIX FirewallASACut-throught Proxy© 2011, Vietnam-Korea Friendship IT CollegePIX FirewallĐặc điểm khácIDSAAA supportX.509 Certificate supportNAT/PATFirewall management: CLI/PDM/CiscoWorksSNMPSyslogVPN© 2011, Vietnam-Korea Friendship IT College© 2011, Vietnam-Korea Friendship IT CollegePIX FirewallSecurity levelPIX firewall gán mức security cho giao diệnOutside: 0Inside: 100Other: 1 – 99ASA cho phép dữ liệu đi từ miền security cao  thấp.Bất kỳ dữ liệu nào từ miều security thấp  cao đều phải được kiểm tra thông qua security policy (ACL, conduits)Nếu 2 giao diện có cùng mức security thì dữ liệu không thể đi qua 2 giao diện này© 2011, Vietnam-Korea Friendship IT CollegePIX FirewallCác lệnh thông dụnginterfacenameifip addressnatglobalroute© 2011, Vietnam-Korea Friendship IT CollegePIX Firewall (sample configure)© 2011, Vietnam-Korea Friendship IT CollegeNAT© 2011, Vietnam-Korea Friendship IT CollegePAT© 2011, Vietnam-Korea Friendship IT CollegeStatic© 2011, Vietnam-Korea Friendship IT CollegeLabPIX(config)# static (inside, outside) 192.168.0.9 10.10.10.9 LabPIX(config)# conduit permit tcp host 192.168.0.9 eq www any orLabPIX(config)# access-list 101 permit tcp any host 192.168.0.9 eq www LabPIX(config)# access-group 101 in interface outside © 2011, Vietnam-Korea Friendship IT CollegeAccess-listAccess-list acl-out permit tcp any host 192.168.1.4 eq smtpAccess-group acl-out in interface outsideaccess-list ACL_ID [deny|permit] protocol source_IP netmask [port] destination_ip netmask [port]access-group ACL_ID [in|out] interface [outside|inside]access-list acl-out permit tcp any host 192.168.1.10 eq www access-group acl-out in interface outside © 2011, Vietnam-Korea Friendship IT CollegeCấu hình access-list để ping Khai báo access-list cho phép giao thức ICMP đi qua giao diệnGán access-list vào giao diện outside theo chiều inboundAccess-list ping_acl permit icmp any anyAccess-group ping_acl in interface outside© 2011, Vietnam-Korea Friendship IT CollegeBức tường lửa (Firewall)Cisco PIX Firewall họ 500© 2011, Vietnam-Korea Friendship IT CollegeBức tường lửa (Firewall)PIX 501 PIX 506© 2011, Vietnam-Korea Friendship IT CollegeBức tường lửa (Firewall)PIX 515 PIX 520© 2011, Vietnam-Korea Friendship IT CollegeBức tường lửa (Firewall)PIX 525 PIX 535© 2011, Vietnam-Korea Friendship IT CollegeBức tường lửa (Firewall)Đặc điểmChuyên dụng, hiệu suất caoGiá thành cao© 2011, Vietnam-Korea Friendship IT CollegeBảo mật ứng dụngEmailWebWeb Traffic Web Client Web Server© 2011, Vietnam-Korea Friendship IT CollegeEmailKỹ thuật gửi thư điện tửGửi: giao thức SMTP (TCP 25)Nhận: giao thức POP3/IMAP (TCP 110/143)© 2011, Vietnam-Korea Friendship IT CollegeEmail (2)Vấn đềCó nhiều lỗi bảo mậtSpam mailSử dụng email để quảng cáoGửi kiểu bom thưHoax (mức độ nguy hiểm cao)Gửi theo hình thức thông báo/cảnh báo virus, bảo mật,Lây lan do sự lo sợ và kém hiểu biết của NSD.© 2011, Vietnam-Korea Friendship IT CollegeEmail (3)Vấn đề Virus, Worm, Trojan (mức độ nguy hiểm cao)Lây lan dựa trên sự mất cảnh giác và thiếu kiến thức.Hầu hết virus, worm, trojan hiện nay đều lâu qua mailMail RelayCho phép người gửi mail không cần kiểm traGiả mạoLợi dụng để gửi Spam© 2011, Vietnam-Korea Friendship IT CollegeEmail (4)Bảo vệ hệ thống emailSử dụng S/MIME nếu có thểSử dụng phần mềm Mail Gateway ScanCấu hình Mail Server tốt, không bị open relayNgăn chặn Spam trên Mail ServerHướng dẫn sử dụng cho người dùngCảnh giác với email lạ.© 2011, Vietnam-Korea Friendship IT CollegeWeb Traffic Giao thức truyền siêu văn bản, giao tiếp giữa web server và web browserSử dụng cổng 80Thông tin được truyền dẫn không mã hóa (Clear Text)© 2011, Vietnam-Korea Friendship IT CollegeWeb TrafficHTTPS = HTTP + SSL/TSLGiao dịch bảo mật, thông tin được mã hóaSử dụng mã hóa công khaiKết hợp public/private key + chử ký điện tửSử dụng cổng TCP 443© 2011, Vietnam-Korea Friendship IT CollegeWeb trafficVấn đềTrong quá trình chứng thực cả Client và Server đều phải cần triển khai PKI, ảnh hưởng đến hiệu suất hoạt độngViệc triển khai tiềm tàng một số vấn đề: phương thức triển khai, cấu hình hệ thống, lựa chọn phần mềm,© 2011, Vietnam-Korea Friendship IT CollegeWeb Client Các điểm yếu của Web ClientJavaScriptActiveXCookies (C:\Documents and Settings\[username]\Cookies\ )Applets© 2011, Vietnam-Korea Friendship IT CollegeWeb ServerLỗi tràn bộ đệmCGI/ Server Script© 2011, Vietnam-Korea Friendship IT CollegeLỗi tràn bộ đệmLỗi tràn bộ đệm© 2011, Vietnam-Korea Friendship IT CollegeLỗi tràn bộ đệm (2)Biện phápLập trình an toànCài đặt IDSGiới hạn quyền thực thi của NSD đối với các phần mềm cung cấp dịch vụThường xuyên cập nhật các bản vá lỗi© 2011, Vietnam-Korea Friendship IT CollegeCGI (Common Gateway Interface)Được Web Server sử dụng để cung cấp các nội dung độngThường được dùng để truyền dữ liệu từ ứng dụng cho web serverCác chương trình CGI được thực thi trên web server© 2011, Vietnam-Korea Friendship IT CollegeCGI (2)Vấn đềBất cứ user nào cũng có thể chạy CGI Script trên ServerCó thể lợi dụng các lỗ hổng của CGI Script để tấn côngBiện phápHạn chế sử dụng CGIGỡ bỏ các CGI default trên web serverKiểm tra các lỗi bảo mật của CGI sử dụngCấu hình CGI Script với quyền hạn tối thiểu© 2011, Vietnam-Korea Friendship IT CollegeThống kê tài nguyênLà khả năng kiểm soát (kiểm kê) hệ thống mạng, bao gồm Logging Scanning Monitoring© 2011, Vietnam-Korea Friendship IT CollegeThống kê tài nguyên (2) LoggingGhi lại các hoạt động, phục vụ cho việc thống kê các sự kiện trên mạngVí dụ: muốn kiểm soát xem những ai đã truy cập file server, trong thời điểm nào, làm gì (Event Viewer)© 2011, Vietnam-Korea Friendship IT CollegeThống kê tài nguyên (3) ScanningQuyét hệ thống để kiểm soát những dịch vụ gì đang chạy trên mạng, phân tích các nguy cơ của hệ thống mạng.Ví dụ: Task manager© 2011, Vietnam-Korea Friendship IT CollegeThống kê tài nguyên (4) MonitoringPhân tích logfile để kiểm tra các tài nguyên mạng được sử dụng như thế nào Ví dụ: các syslog server© 2011, Vietnam-Korea Friendship IT College