Slide 1 1 TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Chuyên đề tốt nghiệp MMT TT 1 Chủ đề BẢO MẬT MẠNG VÀ THIẾT BỊ bcdsjksjksjksjksjknjkcnskjcndsmcnscklsndcsjkncsjdahdjkahdauidhlajdhajkcnaudhadjkladc
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Chuyên đề tốt nghiệp MMT & TT #1 Chủ đề: BẢO MẬT MẠNG VÀ THIẾT BỊ Bài 2: BẢO MẬT TRUY CẬP THIẾT BỊ MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Biên soạn: ThS Nguyễn Văn Thành Email : nvanthanh@ntt.edu.vn Bài 2: Bảo mật truy cập thiết bị Tổng quan bảo mật mạng Truy cập quản trị thiết bị Các nguy truy cập thiết bị Bảo mật truy cập mật Quy tắc bảo mật AAA Tổng quan Bảo mật mạng Nguyên tắc bảo mật CIA: Confidentiality Integrity Availability of systems Tổng quan Bảo mật mạng Một vài thuật ngữ: Asset: t6at1 thứ có giá trị cơng ty / tổ chức Vulnerability: lỗ hổng bảo mật hệ thống vật lý, phần mềm, hệ điều hành… bị khai thác Threat Threat (mối đe dọa) tác nhân (chắc chắn) gây tổn hại đến tổ chức mục tiêu Risk: rủi ro mà tổ chức gặp phải Vulnerability bị khai thác (Exploited) kẻ công Exploit: công khai thác điểm yếu Countermeasure (safeguard) biện pháp bảo vệ nhằm giảm thiểu rủi ro xảy Tổng quan Bảo mật mạng Bảo mật mạng: Mục tiêu: chống lại / hạn chế nguy / rủi ro Reduce: giảm rủi ro Limitation/avoidance: hạn chế / né tránh rủi ro Detection: phát rủi ro Recovery: khôi phục rủi ro Đối thủ bảo mật mạng: Government agencies (tổ chức phủ) Terrorists (tổ chức khủng bố) / Criminals (tội phạm) Hackers (tin tặc) Corporate competitors (đối thủ cạnh tranh) Disgruntled employees (nhân viên bất mãn) Tổng quan Bảo mật mạng Bảo mật mạng: Phương thức công thông dụng: Bước 1: lần theo dấu vết (Footprinting) điều tra (Enumeration) Bước 2: nhận dạng ứng dụng hệ điều hành Bước 3: tìm cách để users có quyền truy cập Bước 4: tìm cách nâng đặc quyền Bước 5: thu thập mật liệu Bước 6: đặt backdoor Bước 7: tận dụng hệ thống bị xâm nhập Tổng quan Bảo mật mạng Bảo mật mạng: Phân loại kiểu công: Enumeration and fingerprinting Spoofing and impersonation Man-in-the-middle Confidentiality Password attacks Blended threats and malware Exploitation of privilege and trust Denial of service (DoS) Botnet Availability attacks Physical security attacks Forces of nature Truy cập quản lý thiết bị mạng Kết nối truy cập thiết bị qua cổng Console: Thiết bị: cổng Console RJ-45 Máy tính cổng: USB to COM (DB-9p) Thiết bị: cổng Console RJ-45 Máy tính cổng: USB Thiết bị: cổng Console mini-USB Máy tính cổng: USB -8- Truy cập quản lý thiết bị mạng Kết nối truy cập thiết bị từ xa qua mạng: Giao thức: Telnet SSH -9- Truy cập quản lý thiết bị mạng Các cơng cụ cấu hình: Terminal: cấu hình qua cổng COM Putty, Secure-CRT… : cấu hình qua cổng COM, Telnet, SSH… Web console: cấu hình trình duyệt Web Device Application: cấu hình ứng dung nhà cung cấp thiết bị - 10 - Truy cập quản lý thiết bị mạng Giao diện dòng lệnh (CLI) Cisco IOS: Command Line Interface (CLI) giao diện quản trị cấu hình thiết bị hãng Cisco Truy cập vào CLI thiết bị: qua cổng Console qua đường mạng (Telnet SSH) Các chế độ dòng lệnh Cisco IOS: UserEXEC Mode (dấu nhắc: Device-name >_ ): chế độ cho phép thực thi số câu lệnh hiển thị thông tin thiết bị Privileged Mode (dấu nhắc: Device-name #_ ): chế độ cho phép thực tất câu lệnh thiết bị Global Configuration Mode (dấu nhắc: Device-name (config)#_ ): chế độ tiếp nhận thực thi lệnh cấu hình thiết bị Truy cập quản lý thiết bị mạng Các lệnh chuyển đổi chế độ: Các nguy truy cập thiết bị mạng Nguy kẻ gian truy cập vào thiết bị: Xóa tồn thơng tin cấu hình => thiết bị khơng hoạt động Sửa đổi cấu hình: Mở port (port forwarding): cho phép bên ngồi xâm nhập vào máy tính mạng nội Chuyển hướng truy cập: chuyển yêu cầu truy cập mạng nội Server giả mạo Chuyển hướng liệu: định tuyến lại luồng liệu nơi khác (kẻ cơng lợi dụng) Thay đổi cấu hình bảo mật => tạo điều kiện công dễ dàng Nguy truy cập thiết bị từ xa: Tài khoản (user/pass) bị đánh cắp đường truyền Thơng tin cấu hình bị đánh cắp 13 Bảo mật truy cập Password Các hình thức yêu cầu mật truy cập CLI: Console password: yêu cầu mật truy cập CLI thiết bị qua cổng Console Virtual Tele-Type (VTY) password: yêu cầu mật truy cập CLI qua kết nối từ xa (Telnet hay SSH) Enable password: yêu cầu mật truy cập vào Privilege mode CLI thiết bị Mật lưu trữ dạng Text Secret password: tương tự Enable password mật bảo mật cách lưu trữ dạng mã hóa Ngoại trừ Secret password, tất mật cấu hình CLI lưu dạng Text Do vậy, nhằm tăng tính bảo mật, lệnh: service password-encrypt thực hiên mã hóa (băm) tất mật dạng MD5 Bảo mật truy cập Password Lệnh đặt mật cho thiết bị Cisco: Quy tắc bảo mật AAA AAA (Authentication – Authorization – Accounting): AAA quy tắc bảo mật truy cập đáp ứng yếu tố: Authentication (yếu tố chứng thực): Áp đặt truy cập vào thiết bị Cisco phải chứng thực Phương thức chứng thực: password only user/password Authorization (yếu tố phân quyền / ủy quyền): Mỗi người dùng truy cập vào thiết bị có quyền hạn thao tác thiết bị theo mức độ (level) khác Cisco IOS định nghĩa 16 privileged levels Accounting (yếu tố ghi nhận / kiểm toán): Tất hoạt động người dùng thiết bị phải ghi nhận (logging) Dữ liệu logs đáp ứng cho việc kiểm soát, điều tra sau cần 16 Quy tắc bảo mật AAA Các phương thức chứng thực (Authentication) bản: Password-Only: Phương thức chứng thực dùng mật (khơng có username) Đây phương thức yếu bảo mật Local database: chứng thực tài khoản (user password) tạo nội thiết bị (local users) Server database: Phương thức chứng thực tài khoản tạo Server khác RADIUS Server, TACACS Server 17 Quy tắc bảo mật AAA Authorization (ủy quyền): Quyền thực thi lệnh người dùng thiết bị Cisco lệ thuộc cấp độ (Privilege level) mà người dùng kích hoạt (enable) Cisco IOS định nghĩa 16 level, từ level đến level 15 Có level mặc định (Default Privilege Levels): Level (Privilege-zero): cho phép thực thi lệnh: logout, enable, disable, help, exit Level (User level): cho phép thực thi lệnh dạng read-only, không cho xóa, sửa, cấu hình thiết bị khơng cho xem cấu hình chạy (running-config) Level 15 (Full Privilege level): có đầy đủ quyền thiết bị Các level từ đến 14 mặc định có sẵn quyền thực thi lệnh level 18 Quy tắc bảo mật AAA Authorization (ủy quyền): Người dùng truy cập vào User-EXEC mode: quyền mặc định level Lệnh enable dùng chuyển vào Privilege level từ level -> 15: Lệnh R> enable (không tham số): chuyển vào Privilege level 15 Lệnh R> enable chuyển vào Privilege level tương ứng Kích hoạt cho Privilege level thiết bị cách đặt password cho level đó: Lệnh R(config)# enable secret level password 19 Quy tắc bảo mật AAA Authorization (ủy quyền): Các Privileged level từ đến 14 mặc định có sẵn quyền thực thi lệnh level Người quản trị cấp phát thêm quyền thực thi cho level Có loại quyền: execute: lệnh thực thi Privileged mode configure: quyền cấu hình thiết bị, thực thi Configured mode Cú pháp chung lệnh cấp thêm quyền cho Privilege level: Lệnh R(config)# privilege exec [all] level Lệnh R(config)# privilege configure [all] level 20 10 Quy tắc bảo mật AAA Accounting: Kiểm toán (ghi nhận lại) hoạt động user đăng nhập thao tác thiết bị Lưu trữ thơng tin kiểm tốn: Cisco khơng lưu trữ thơng tin kiểm tốn thiết bị Chỉ lưu trữ vào TACACS Server hay RADIUS server Thơng thường, thơng tin kiểm tốn gởi Server vào cuối phiên đăng nhập (từ khóa: stop-only) 21 11 ... quản lý thiết bị mạng Kết nối truy cập thiết bị qua cổng Console: Thiết bị: cổng Console RJ-45 Máy tính cổng: USB to COM (DB-9p) Thiết bị: cổng Console RJ-45 Máy tính cổng: USB Thiết bị: cổng... cấp thiết bị - 10 - Truy cập quản lý thiết bị mạng Giao diện dòng lệnh (CLI) Cisco IOS: Command Line Interface (CLI) giao diện quản trị cấu hình thiết bị hãng Cisco Truy cập vào CLI thiết bị: ... thiết bị mạng Nguy kẻ gian truy cập vào thiết bị: Xóa tồn thơng tin cấu hình => thiết bị khơng hoạt động Sửa đổi cấu hình: Mở port (port forwarding): cho phép bên ngồi xâm nhập vào máy tính mạng