Giáo trình An ninh mạng trang bị cho học sinh, sinh viên đầy đủ các kiến thức và kỹ năng về bảo mật hệ thống mạng. Nhận biết được các kiểu tấn công trên mạng, các phần mềm độc hại cũng như nắm vững được các phương pháp phát hiện thâm nhập trên máy đơn, trên hệ thống mạng hay trên hệ phân tán. Mời các bạn cùng tham khảo!
ỦY BAN NHÂN DÂN TỈNH AN GIANG TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG GIÁO TRÌNH An ninh mạng NGHỀ : QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ CAO ĐẲNG (Ban hành theo Quyết định số: /QĐ-CĐN, ngày tháng Hiệu trưởng trường Cao đẳng nghề An Giang) An Giang, Năm ban hành: 2019 năm 20 TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng ngun trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Giáo trình phục vụ cho sinh viên hệ cao đẳng chun ngành Quản trị mạng máy tính Giáo trình giúp cho sinh viên hiểu khái niệm hệ thống an ninh mạng, nhận biết kiểu công mạng, phần mềm độc hại nắm vững phương pháp phát thâm nhập máy đơn, hệ thống mạng hay hệ phân tán Giáo trình gồm nội dung sau: Bài : Tổng quan bảo mật mạng Với sinh viên có nhìn khái qt thống bảo mật, phần mềm độc hại loại lỗ hỏng bảo mật hệ thống mạng Bài : Mã hóa Với học khái quát vấn đề mã hóa liệu, cách mã hóa được áp dụng vào thực tế Bài : Bảo mật hạ tầng mạng Với trình bày cách thức bảo mật hệ thống hạ tầng mạng công nghệ phổ biến Proxy, NAT, IPSec, VLAN Giáo trình khơng đề cập đến vấn đề sở lý luận mà cịn trình bày số kỹ năng, kinh nghiệm cần thiết để thiết kế bảo mật hệ thống mạng máy tính Hy vọng giáo trình có ích cho em sinh viên người muốn xây dựng hệ thống an toàn, bảo mật cao phục vụ cho sản xuất, quản lý doanh nghiệp Có thể cịn nhiều thiếu sót trình bày biên soạn khả năng, trình độ, người biên soạn mạnh dạn giới thiệu tài liệu mong nhận góp ý người An Giang, ngày tháng năm 2019 Tham gia biên soạn Thái Kim Ngân Huỳnh Thị Mỹ Ngọc MỤC LỤC ĐỀ MỤC TRANG Lời giới thiệu Mục lục Bài 1: Tổng quan bảo mật mạng Tổng quan bảo mật mạng máy tính Phân loại lỗ hổng bảo mật a Giới thiệu loại lỗ hỏng bảo mật b Phân loại lỗ hổng bảo mật c Tác hại lỗ hổng bảo mật 11 Phần mềm độc hại 12 a Các kiểu phần mềm độc hại 12 b Kiểu lan truyền theo lây nhiễm nội dung 12 c Kiểu lan truyền theo khai thác lỗ hổng 13 d Kiểu lan truyền theo kỹ nghệ xã hội 13 e Kiểu hành vi hủy hoại hệ thống 13 f Kiểu hành vi tác tử công 13 g Kiểu hành vi đánh cắp thông tin 13 h Kiểu hành vi tàng hình 14 i Các biện phòng chống 14 Tấn công từ chối dịch vụ .14 a Các công phát tràn .14 b Các công từ chối dịch vụ phân tán .16 c Các công băng thông dựa vào ứng dụng .16 d Các công phản xạ khuếch đại .17 e Phịng thủ trước cơng từ chối dịch vụ 17 f Phản ứng lại công từ chối dịch vụ 19 Bài 2: mã hóa .21 Căn mã hóa 21 a Khái niệm mã hóa .21 b Nhu cầu mã hóa thơng tin 22 Một số kỹ thuật mã hóa 23 a Mã hóa cổ điển 23 b Mã hóa đối xứng 24 c Mã hóa bất đối xứng 25 d Hệ thống mã khóa lai 26 Ứng dụng mã hóa .31 a Securing Email 31 b Authentication System 35 c Secure E-Commerce .36 d Virtual Private Network 36 e Wireless Encryption .37 Bài 3: Bảo mật hạ tầng mạng 38 Giới thiệu 38 Proxy .41 a Giới thiệu Proxy 41 b Minh họa hệ thống Proxy 46 VLAN 48 a Giới thiệu VLAN 48 b Bảo mật hệ thống với VLAN 51 NAT 55 a Giới thiệu 55 b Nat Windows Server 58 IPSec 64 a Các sách IPSec mặc định 65 b Tạo quy tắc IPSec 65 c Cấu hình chứng thực quy tắc IPSec 69 Các thuật ngữ chuyên môn 73 Tài liệu tham khảo 75 GIÁO TRÌNH MƠ ĐUN Tên mơ đun: AN NINH MẠNG Mã mơ đun: MĐ 27 Vị trí, tính chất, ý nghĩa vai trị mơ đun: - Vị trí: Mơ đun bố trí sau sinh viên học môn chung , mô đun sở chuyên ngành Quản trị mạng - Tính chất: Mơ đun chun nghành bắt buộc - Ý nghĩa vai trò mô đun: trang bị cho học sinh, sinh viên đầy đủ kiến thức kỹ bảo mật hệ thống mạng Nhận biết kiểu công mạng, phần mềm độc hại nắm vững phương pháp phát thâm nhập máy đơn, hệ thống mạng hay hệ phân tán Mục tiêu mô đun: - Về kiến thức: + Hiểu khái niệm hệ thống an ninh mạng + Nhận biết kiểu công mạng, phần mềm độc hại thảm họa chúng gây + Nắm vững phương pháp phát thâm nhập máy đơn, hệ thống mạng, hệ phân tán + Trình bày phương thức bảo mật hạ tầng mạng - Về kỹ năng: + Đánh giá lựa chọn giải pháp an ninh mạng phù hợp cho mạng thực tế + Cấu hình phương pháp bảo mật hạ tầng mạng như: Proxy, NAT, IPSec, VLAN + Bảo mật hệ thống mạng theo mơ hình thực tế đặt + Xây dựng giải pháp an ninh xử lý lỗi trình cài đặt cấu hình - Về lực tự chủ trách nhiệm: + Làm việc nhóm + Tăng tính chia sẻ làm việc cộng đồng BÀI 1: TỔNG QUAN VỀ BẢO MẬT MẠNG Giới thiệu: Với giới thiệu nhìn khái quát trình hình thành hệ thống mạng, quy trình vận hành hệ thống mạng Bên cạnh cho nhìn đầy đủ loại phần mềm độc hại loại lỗ hỏng bảo mật hệ thống mạng Mục tiêu: - Trình bày nguyên nhân cơng mạng máy tính - Phân loại trình bày đặc điểm lỗ hổng hệ thống mạng - Trình bày loại phần mềm độc hại - Phân loại trình bày loại công từ chối dịch vụ - Đưa biện pháp phòng chống Nội dung chính: TỔNG QUAN VỀ MẠNG MÁY TÍNH - Giới thiệu mạng máy tính Nói cách ngắn gọn mạng máy tính tập hợp máy tính độc lập kết nối với thông qua đường truyền vật lý tuân theo quy ước truyền thơng Khái niệm máy tính độc lập hiểu máy tính khơng có máy có khả khởi động đình máy khác) Các đường truyền vật lý hiểu mơi trường truyền tín hiệu vật lý (có thể hữu tuyến vô tuyến) Các quy ước truyền thông sở để máy tính "nói chuyện" với yếu tố quan trọng hàng đầu nói cơng nghệ mạng máy tính - Mơ hình OSI Mơ hình OSI mơ hình khơng thể thiếu q trình trao đổi liệu mạng Bất kỳ trao đỗi liệu, kết nối liệu thực thi xây dựng tảng mơ hình OSI Mơ hình OSI chia thành tầng (lớp), tầng bao gồm hoạt động, thiết bị giao thức mạng khác Application Layer: cung cấp ứng dụng truy xuất đến dịch vụ mạng Nó bao gồm ứng dụng người dùng Presentation Layer (lớp trình bày): thoả thuận khn dạng trao đổi liệu Session Layer (lớp phiên): cho phép người dùng thiết lập kết nối Transport Layer (lớp vận chuyển): đảm bảo truyền thông hai hệ thống Network Layer (lớp mạng): định hướng liệu truyền môi trường liên mạng Data link Layer (lớp liên kết liệu): xác định việc truy xuất đến thiết bị Physical Layer (lớp vật lý): chuyển đổi liệu thành bit truyền Các chức tầng mơ hình OSI - Tầng 1: Tầng vật lý (Physical Layer): Điều khiển việc truyền tải thật bit đường truyền vật lý Nó định nghĩa tín hiệu điện, trạng thái đường truyền, phương pháp mã hóa liệu, loại đầu nối sử dụng Tầng chuyển đổi liệu thành bit truyền - Tầng 2: Tầng liên kết liệu (Tầng kết nối liệu) (Data-Link Layer): Tầng đảm bảo truyền tải khung liệu (Frame) hai máy tính Nó cài đặt chế phát Hình 1: Mơ Hình OSI xử lý lỗi liệu nhận.Tầng xác định việc truy xuất đến thiết bị - Tầng 3: Tầng mạng (Network Layer): Tầng đảm bảo gói tin liệu (Packet) truyền từ máy tính đến máy tính cho dù khơng có đường truyền vật lý trực tiếp chúng Nó nhận nhiệm vụ tìm đường cho liệu đến đích khác mạng.Tầng định hướng liệu truyền môi trường liên mạng - Tầng 4: Tầng vận chuyển (Tầng chuyển tải)(Transport Layer): Tầng đảm bảo truyền tải liệu trình Dữ liệu gởi đảm bảo khơng có lỗi, theo trình tự, khơng bị mất, trùng lắp Đối với gói tin có kích thước lớn, tầng phân chia chúng thành phần nhỏ trước gởi đi, tập hợp lại chúng nhận được)Tầng đảm bảo truyền thông hai hệ thống - Tầng 5: Tầng giao dịch (Tầng phiên làm việc) (Session Layer): Tầng cho phép ứng dụng thiết lập, sử dụng xóa kênh giao tiếp chúng (được gọi giao dịch) Nó cung cấp chế cho việc nhận biết tên chức bảo mật thông tin truyền qua mạng Tầng cho phép người dùng thiết lập kết nối - Tầng 6: Tầng trình bày (Presentation Layer): Tầng đảm bảo máy tính có kiểu định dạng liệu khác trao đổi thơng tin cho Thơng thường máy tính thống với kiểu định dạng liệu trung gian để trao đổi thông tin máy tính Một liệu cần gởi tầng trình bày chuyển sang định dạng trung gian trước truyền lên mạng Ngược lại, nhận liệu từ mạng, tầng trình bày chuyển liệu sang định dạng riêng Tầng thoả thuận khuôn dạng trao đổi liệu - Tầng 7: Tầng ứng dụng (Application Layer): Đây tầng cùng, cung cấp ứng dụng truy xuất đến dịch vụ mạng Nó bao gồm ứng dụng người dùng, ví dụ Web Browser (Netscape Navigator, Internet Explorer), Mail User Agent (Outlook Express, Netscape Messenger, ) hay chương trình làm server cung cấp dịch vụ mạng Web Server (Netscape Enterprise, Internet Information Service, Apache, ), Các FTP Server, Mail server (Send mail, MDeamon) Người dùng mạng giao tiếp trực tiếp với tầng Về nguyên tắc, tầng n hệ thống giao tiếp, trao đổi thông tin với tầng n hệ thống khác) Mỗi tầng có đơn vị truyền liệu riêng: Tầng vật lý: bit Tầng liên kết liệu: Khung (Frame) Tầng Mạng: Gói tin (Packet) Tầng vận chuyển: Đoạn (Segment) - Giao thức TCP/IP - Ưu giao thức khả liên kết hoạt động nhiều loại máy tính khác TCP/IP trở thành tiêu chuẩn thực tế cho kết nối liên mạng kết nối Internet toàn cầu TCP/IP thiết kế hoàn toàn độc lập với phương pháp truy cập mạng, cấu trúc gói liệu (data frame), mơi trường truyền, mà TCP/IP dùng để liên kết dạng mạng khác mạng LAN Ethernet, LAN Token Ring hay dạng WAN như: Frame Relay, X.25 Hình 2: Phương thức hoạt động TCP/IP Ngày nay, TCP/IP sử dụng rộng rãi mạng cục mạng Internet toàn cầu TCP/IP xem giản lược mơ hình tham chiếu OSI với bốn tầng sau: - Tầng liên kết mạng (Network Access Layer Network Interface and Hardware ) - Tầng Internet (Internet Layer) - Tầng vận chuyển (Host-to-Host Transport Layer) - Tầng ứng dụng (Application Layer) Chức tầng giao thức TCP/IP - Tầng liên kết: Tầng liên kết (còn gọi tầng liên kết liệu tầng giao tiếp mạng) tầng thấp mơ hình TCP/IP, bao gồm thiết bị giao tiếp mạng chương trình cung cấp thơng tin cần thiết để hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng - Tầng Internet: Tầng Internet (cịn gọi tầng mạng) xử lý q trình truyền gói tin mạng Các giao thức tầng bao gồm: IP (Internet Protocol), ICMP (Internet Control Message Protocol), IGMP (Internet Group Messages Protocol) - Tầng vận chuyển: Tầng vận chuyển phụ trách luồng liệu hai trạm thực ứng dụng tầng Tầng có hai giao thức chính: TCP (Transmission Control Protocol) UDP (User Datagram Protocol) TCP cung cấp luồng liệu tin cậy hai trạm, sử dụng chế chia nhỏ gói tin tầng thành gói tin có kích thước thích hợp cho tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian time-out để đảm bảo bên nhận biết gói tin gửi Do tầng đảm bảo tính tin cậy, tầng khơng cần quan tâm đến nữa) UDP cung cấp dịch vụ đơn giản cho tầng ứng dụng Nó gửi gói liệu từ trạm tới trạm mà khơng đảm bảo gói tin đến tới đích Các chế đảm bảo độ tin cậy cần thực tầng - Tầng ứng dụng: Tầng ứng dụng tầng mơ hình TCP/IP bao gồm tiến trình ứng dụng cung cấp cho người sử dụng để truy cập mạng Có nhiều ứng dụng cung cấp tầng này, mà phổ biến là: Telnet: sử dụng việc truy cập mạng từ xa, FTP (File Transfer Protocol): dịch vụ truyền tệp, Email: dịch vụ thư tín điện tử, WWW (World Wide Web) Hình 3: Hoạt động tầng ứng dụng TCP/IP PHÂN LOẠI CÁC LỖ HỔNG BẢO MẬT a Giới thiệu loại lỗ hỏng bảo mật Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng nằm dịch vụ cung cấp send mail, web, ftp Ngồi lỗ hổng cịn tồn tại hệ điều hành Windows XP, Windows NT, UNIX; ứng dụng mà người sử dụng thường xuyên sử dụng Word processing, Các hệ databases b Phân loại lỗ hổng bảo mật Có nhiều tổ chức khác tiến hành phân loại dạng lỗ hổng đặc biệt Theo cách phân loại Bộ quốc phòng Mỹ, loại lỗ hổng bảo mật hệ thống chia sau: B2 Cài đặt Nat Server Khởi chạy Add Roles Wizard từ Server Manager hayOOBE.exe bổ sung role Network Policy and Access Services Click Next Hình 37: Quá trình cài đặt NAT server Lựa chọn Routing and Remote Access Services để cài đặt hai dịch vụ chức năng, gồm Remote Access Service Routing Hình 38: Quá trình cài đặt NAT server 61 B3 Cấu hình Nat Server Khởi động RAS từ Administrative tools chọn Routing and Remote Access, click phải chuột lên máy cục chọn Configure and Enable Routing and Remote Access để khởi chạy Routing and Remote Access Server Setup Wizard Sau lựa chọn tùy chọn Network Address Translation (NAT) trang Configuration Wizard nhấn Next Hình 39: Quá trình cấu hình NAT server Tiếp theo, trang NAT Internet Connection, lựa chọn giao tiếp mạng mạng LAN làm việc mà giao tiếp công cộng router NAT Hình 40: Quá trình cấu hình NAT server 62 Chọn tùy chọn I will set up name and address services later Hình 41: Quá trình cấu hình NAT server - Cấu hình LAN card Chọn Private interface… - Cấu hình NET card Chọn Public interface… Hình 42: Quá trình cấu hình NAT server 63 B4 Kiểm tra Trên máy client khởi động trình duyệt Web -> truy cập trang google.com Hình 43: Q trình truy cập thành cơng từ máy client IPSEC Kiến trúc IP Security (viết tắt IPsec) bao gồm giao thức phát triển để đảm bảo tính tồn vẹn, bảo mật xác thực truyền liệu qua mạng IP cho máy tính Mặc dù tính linh hoạt tiêu chuẩn IPsec thu hút quan tâm khu vực thương mại điện, tính linh hoạt dẫn đến việc xác định số vấn đề với giao thức phức tạp chúng Cũng hệ thống an ninh khác, việc bảo dưỡng dễ dẫn tới thất bại hệ thống bảo mật IPSec IPsec sử dụng ba lĩnh vực bảo mật khác nhau: mạng riêng ảo (Private Virtual Network VPN), bảo mật cấp ứng dụng bảo mật định tuyến Vào thời điểm này, IPsec sử dụng chủ yếu ứng dụng vượt tường lửa VPN Khi sử dụng bảo mật định tuyến, IPsec khơng phải giải pháp hồn chỉnh phải kết hợp với biện pháp bảo mật khác để có hiệu quả, gây cản trở việc triển khai IPSec lĩnh vực Cách thức hoạt động IPsec gì? IPsec có hai chế độ hoạt động, chế độ vận chuyển (transport) chế độ phân luồng (tunnel) Khi hoạt động chế độ vận chuyển, máy chủ nguồn đích phải trực tiếp thực tất thao tác mã hố Dữ liệu mã hóa gửi qua kết nối tạo với công nghệ L2TP Dữ liệu (bản mã) tạo máy chủ lưu trữ nguồn lấy từ máy chủ đích Phương thức hoạt động thiết lập tính an tồn từ đầu đến cuối đường truyền Khi IPsec hoạt động chế độ phân luồng, cổng đặc biệt thực q trình xử lý mật mã ngồi máy chủ nguồn đích Ở đây, nhiều ‗đường hầm‖ 64 tạo theo hàng loạt cổng kết nối gateway, thiết lập an ninh theo dạng gateway-to-gateway Khi sử dụng hai chế độ này, điều quan trọng phải cung cấp tất cổng thông tin gateway khả xác minh gói tin thực để tiến hành mã hóa giải mã tập tin hai đầu kết nối Bất kỳ gói tin khơng hợp lệ phải bỏ Hai loại mã hố gói liệu (DPE) u cầu sử dụng công nghệ IPsec: Authentication Header (AH) Encapsulating Security Payload (ESP) Các loại mã hóa cung cấp bảo mật cấp độ mạng cho liệu truyền IPsec Chuẩn mã hóa AH cung cấp tính xác thực tồn vẹn gói tập tin chuyển Việc xác thực thực thông qua chức kỹ thuật gọi MAC (mã xác thực tin nhắn) Cơng nghệ mã hóa này cấm sửa đổi bất hợp pháp có tùy chọn cung cấp bảo mật chống phản chiếu, thiết lập bảo mật nhiều máy chủ, nhiều gateway, nhiều host gateway Mã hóa ESP cung cấp cơng nghệ mã hóa, đóng gói liệu bảo mật liệu Tính bảo mật liệu cung cấp thơng qua mã hóa khóa đối xứng Tuy vào mục đích mà kỹ sư mạng thiết kế xem hạ tầng họ nên sử dụng loại bảo mật cho IPsec họ a Các sách IPSec mặc định Kể từ Windows 2000 trở IPSEC cấu hình sẵn sách, tạo thuận tiện triển khai IPSEC - Client (Respond only) : sách thụ động, phản hồi sử dụng IPSEC partner có yêu cầu, thường enable Workstation Chính sách mặc định có rule gọi Default Respond Rule Rule cho phép Computer phản hồi đến yêu cầu IPSEC ESP từ Computer tin cậy Active directory domain ESP chế độ IPSEC cung cấp độ tin cậy cho việc xác thực, tích hợp, chống Replay attack - Server (Request Security): Computer hoạt động với sách chủ động dùng IPSEC giao tiếp, nhiên đối tác khơng dùng IPSEC, cho phép giao tiếp khơng bảo mật Chính sách dùng cho Server Workstation Chính sách có Rules: Default respond rule (như trình bày trên), Permit ICMP (internet ControlMessage Protocol) rule cho phép giao tiếp dùng giao thức ICMP, ví dụ Ping (mặc dù ICMP giao thức kiểm tra thông báo tình trạng kết nối Mạng, phục vụ cho xử lý cố, disable để tăng tính bảo mật cho Mạng, có số cách thức công phổ biến nhắm vào điểm yếu cuqả ICMP.), Yêu cầu ESP cho tất IP traffic - Secure Server (require security): Bắt buộc dùng IPSEC cho giao tiếp Mạng Có thể dùng sách cho Server, Workstation Nếu sách xác lập, khơng cho phép giao tiếp khơng bảo mật sách có Rules: sách đầu tương tự Default Respond rule Permit ICMP, sách thứ quy định: Tất giao tiếp (trừ ICMP) phải mã hóa với ESP, ngược lại Server không giao tiếp b Tạo quy tắc IPSec Trong hệ thống Windows Server 2003 trở lên không hỗ trợ cơng cụ riêng cấu hình IPSec, để triển khai IPSec dùng công cụ thiết lập 65 sách dành cho máy cục dùng cho miền Để mở cơng cụ cấu hình IPSec ta nhấp chuột vào: Start -> Run gõ secpol.msc Hoặc nhấp chuột vào Start -> Programs -> Administrative Tools -> Local Security Policy, cơng cụ chọn IP Security Policies on Local Machine Hình 44: Cửa sổ IPSEC Tóm lại, điều mà ta cần nhớ triển khai IPSec: - Khi triển khai IPSec Windows Server 2003 thơng qua sách, máy tính vào thời điểm có sách IPSec hoạt động - Mỗi sách IPSec gồm nhiều qui tắc (rule) phương pháp chứng thực Mặc dù qui tắc permit block khơng dùng đến chứng thực Windows địi định phương pháp chứng thực - IPSec cho phép chứng thực thông qua Active Directory, chứng PKI khóa chia sẻ trước - Mỗi qui tắc (rule) gồm hay nhiều lọc (filter) hay nhiều tác động bảo mật (action) - Có bốn tác động mà qui tắc dùng là: block, encrypt, sign permit Tạo quy tắc ngăn chặn Trong khung cửa sổ cơng cụ cấu hình IPSec, bên phải thấy xuất ba sách tạo sẵn tên là: Client, Server Secure Cả ba sách trạng thái chưa áp dụng (assigned) Nhưng ý thời điểm có sách áp dụng hoạt động, có nghĩa áp dụng sách sách hoạt động trở trạng thái không hoạt động Sau khảo sát chi tiết ba sách tạo sẵn - Client (Respond Only): sách qui định máy tính khơng chủ động dùng IPSec trừ nhận yêu cầu dùng IPSec từ máy đối tác Chính sách cho phép kết nối với máy tính dùng IPSec khơng dùng IPSec 66 - Server (Request Security): sách qui định máy server chủ động cố gắng khởi tạo IPSec thiết lập kết nối với máy tính khác, máy client khơng thể dùng Pse Server chấp nhận kết nối không dùng IPSec - Secure Server (Require Security): sách qui định khơng cho phép trao đổi liệu với Server mà không dùng IPSec Tạo quy tắc cấp phép Tạo sách IPSec đảm bảo kết nối mã hóa Trong phần bắt tay vào thiết lập sách IPSec nhằm đảm bảo kết nối mã hóa hai máy tính Chúng ta có hai máy tính, máy A có địa 203.162.100.1 máy B có địa 203.162.100.2 Chúng ta thiết lập sách IPSec máy thêm hai qui tắc (rule), trừ hai qui tắc hệ thống gồm: qui tắc áp dụng cho liệu truyền vào máy qui tắc áp dụng cho liệu truyền khỏi máy Ví dụ qui tắc máy A bao gồm: - Bộ lọc (filter): kích hoạt qui tắc có liệu truyền đến địa 203.162.100.1, qua cổng - Tác động bảo mật (action): mã hóa liệu - Chứng thực: chìa khóa chia sẻ trước chuỗi ―quantri‖ Qui tắc thứ hai áp dụng cho máy A tương tự lọc có nội dung ngược lại ―dữ liệu truyền từ địa 203.162.100.1‖ Chú ý: cách dễ để tạo qui tắc trước tiên phải qui định lọc tác động bảo mật, sau tạo qui tắc từ lọc tác động bảo mật Các bước để thực sách IPSec theo yêu cầu trên: Trong công cụ Domain Controller Security Policy, nhấp phải chuột mục IP Security Policies on Active Directory, chọn Manage IP filter lists and filter actions Hình 45: Tạo quy tắc IPSEC Hộp thoại xuất hiện, nhấp chuột vào nút add để thêm lọc Chúng ta nhập tên cho lọc này, ví dụ đặt tên ―Connect to 203.162.100.1‖ Chúng ta nhấp chuột tiếp vào nút Ad để hệ thống hướng dẫn khai báo thông tin cho lọc 67 Hình 46: Tạo quy tắc IPSEC Cấu hình chế độ khởi động IPSec theo hướng dẫn hệ thống để khai báo thông tin, ý nên đánh dấu vào mục Mirrored để qui tắc có ý nghĩa hai chiều khơng phải tốn công để tạo hai qui tắc Mục Source address chọn My IP Address, mục Destination address chọn A specific IP Address nhập địa ―203.162.100.1‖ vào, mục IP Protocol Type để mặc định Cuối chọn Finish để hoàn thành phần khai báo, nhấp chuột tiếp vào nút OK để trở lại hộp thoại Hình 47: Tạo quy tắc IPSEC 68 Tiếp theo chuyển sang Tab Manage Filter Actions để tạo tác động bảo mật Chúng ta nhấp chuột vào nút Add hệ thống hướng dẫn khai báo thông tin tác động Trước tiên đặt tên cho tác động này, ví dụ Encrypt.Tiếp tục mục Filter Action chọn Negotiate security, mục IP Traffic Security chọn Integrity and encryption Đến hoàn thành việc tạo tác động bảo mật c Cấu hình chứng thực quy tắc IPSec Công việc sách IPSec có chứa qui tắc kết hợp lọc tác động vừa tạo phía Trong cơng cụ Domain Controller Security Policy, nhấp phải chuột mục IP Security Policies on Active Directory, chọn Create IP Security Policy, theo hướng dẫn nhập tên vào, ví dụ First IPSec, phải bỏ đánh dấu mục Active the default response rule Các giá trị cịn lại để mặc định qui tắc Dynamic không dùng tạo qui tắc Hình 48: Cấu hình IPSEC chứng thực Trong hộp thoại sách IPSec, nhấp chuột vào nút Add để tạo qui tắc Hệ thống hướng dẫn bước thực hiện, đến mục chọn lọc chọn lọc vừa tạo phía tên ―Connect to 203.162.100.1‖, mục chọn tác động chọn tác động vừa tạo tên Encypt Đến mục chọn phương pháp chứng thực chọn mục Use this string to protect the key exchange nhập chuỗi làm khóa để mã hóa liệu vào, ví dụ ―quantri‖ 69 Hình 49: Cấu hình IPSEC chứng thực 70 CÂU HỎI ƠN TẬP Trình bày số tiêu chí đánh giá an toàn mạng theo Microsoft, Cisco, juniper? Trình bày giải pháp để bảo mật hạ tầng mạng, giải pháp giải pháp tối ưu nhất? Các giải pháp bảo mật hạ tầng mạng nêu có giải pháp giải cách triệt để cơng phát tràn (DDOS) hay khơng? Vì sao? Cho hệ thống mạng gồm 228 Host địa IP thiết lập lớp 192.168.1.1/24 Hãy chia hệ thống mạng thành bốn mạng (Net 1: có 120 Host, Net 2: có 60 Host, Net 3: có 30 Host Net 4: có 18 Host) gồm thơng tin: Network ID (địa lớp mạng con), Subnet Mask (mặt nạ mạng con), Start IP Address(địa IP bắt đầu mạng con), End IP Address(địa IP kết thúc mạng con), Broadcast IP(địa IP quảng bá mạng con) Với hệ thống mạng đưa câu thực yêu cầu sau: Với net chia câu Net có domain net1@edu.vn, net có domain net2@edu.vn, net net3@edu.vn, net Hãy thiết lập quy tắc IPSEC cho: - Không cho phép tất máy net truy cập Internet - Các máy Net không gửi nhận liệu từ net2 ngược lại - Không cho máy net4 gửi mail bên - Các máy net thực việc gửi nhận liệu nội Cho sơ đồ hình Yêu cầu : Cấu hình NAT server cho máy A truy cập Internet 71 Cho sơ đồ IP hình sau : Yêu cầu : Cấu hình NAT server cho máy A, máy C truy cập Internet 72 CÁC THUẬT NGỮ CHUN MƠN STT Thuật ngữ chun mơn Ý nghĩa 01 Spam Một chương trình phá hại hệ thống Hệ điều hành mã nguồn mở sử dụng phổ 02 UNIX biến so với loại lại 03 HĐH Viết tắt từ hệ điều hành Là công cụ hỗ trợ cho phát triển website 04 Plugin WordPress Certified Ethical Hacker chứng 05 CEH Hacker mũ trắng 06 BKAV Mộ hãng chuyên sản xuất phần mềm diệt virus Là mạng lưới liên kết lỏng lẻo tầm quốc tế 07 Anonymous nhà hoạt động tổ chức hacker xã hội ẩn danh peer-to-peer network gọi mạng đồng 08 P2P đẳng 09 Backlogs Tồn đọng Là phương pháp công DDOS vào phần cứng 10 SYN cache phần mềm lưu trữ liệu tạm thời mơi trường máy tính Là phương pháp cơng DDoS Cookies khai 11 SYN Cookies thác khả kết nối TCP máy chủ SYN Flood phương pháp công DDoS lớp 12 SYN Flood khai thác khả kết nối TCP máy chủ HyperText Transfer Protocol giao thức truyền tải siêu văn sử dụng www dùng 13 HTTP để truyền tải liệu Web server đến trình duyệt Web ngược lại 14 SSL Secure Socket Layer: Lớp socket bảo mật Transport Layer Security giống SSL 15 TLS SSl không sử dụng thay vào TLS Là giao thức truyền tải thư tín đơn giản 16 POP/SMTP chuẩn truyền tải thư điện tử qua mạng Internet Simple Mail Transfer Protocol: Giao thức 17 IMAP/SMTP truyền tải thư tín đơn giản hóa giao thức thực nhiệm vụ gửi mail 18 Exchange Một chương trình tạo hệ thống Mail nội Pretty Good Privacy (PGP) giao thức bảo 19 OpenPGP mật doanh nghiệp tổ chức sử dụng để mã hóa liệu qua mạng 20 BlackBerry Hãng sản xuất điện thoại Mỹ 21 iOS Hệ điều hành hãng Apple 22 SSID Service Set Identifier tên mạng 73 23 WEP 24 WPA 25 WPA2 26 juniper 27 IDS 28 ICSA 29 ISP 30 OST 31 TOR 32 Netsim 33 Tunnel 34 Attack 35 IP traffic 36 L2TP cục khơng dây (WLAN) gồm mạng gia đình hotspot công cộng Wired Equivalent Privacy giao thức an ninh mạng không dây Wi-Fi protected access giao thức an ninh mạng không dây Wi-Fi protected access giao thức an ninh mạng không dây mạnh bảo mật tốt WPA Hãng sản xuất thiết bị mạng tiếng giống Cisco Hệ thống phát xâm nhập intrusion detection system Hội an ninh tin học quốc tế Internet Service Provider (ISP) thuật ngữ dùng cho cơng ty cung cấp cho ta quyền truy cập sử dụng Internet, thường từ máy tính VNPT, FPT, Nền tảng Là dạng phần mềm miễn phí hoạt động khơng hạn chế thơng qua internet Là ứng dụng giả lập phần cứng phần mềm mạng hệ thống Cisco thiết kế để hỗ trợ người dùng việc học cấu trúc lệnh Cisco Luồng hay đường hầm bí mật để tạo kết nối an toàn PSEC hay VPN Định nghĩa cho kiểu giao thức hay kiểu kết nối Thuật ngữ dùng để hình ảnh hóa việc truy cập qua lại địa IP với Giao thức đường hầm lớp - (Layer tunneling protocol) 74 TÀI LIỆU THAM KHẢO Nguyễn Hoàng Việt, Bài giảng Mạng máy tính, Khoa CNTT, 1998 Phạm Hồng Dũng, Nguyễn Đình Tê, Hồng Đức Hải, Giáo trình Mạng máy tính, nhà xuất giáo dục, 1996, Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, Nhà xuất giáo dục, 1999 Andrew S Tanenbeau,Computer Networks, Fourth Edition, Prentice Hall Inc, 2003 William Stallings, Data & Computer Communication, Sixth Edition, Prentice Hall Inc, 2000 Behrouz A) Forouzan,Data Communications and Networking, Third Edition, Mc Graw Hill, 2003 Larry L Peterson & Bruce S Davie, Computer Networks A System Approach, Third Edition, Morgan Haufmann, 2003 Phan Đình Diệu, Lý thuyết mật mã an tồn thơng tin, NXB đại học quốc gia hà nội – 2002 TS Thái Thanh Tùng, Giáo trình mật mã an tồn thơng tin, NXB Thông tin truyền thông 10 TS Nguyễn Khanh Văn, Giáo trình An tồn bảo mật thơng tin, Viện CNTT-TT Đại học bách khoa HÀ NỘI 11 ThS Huỳnh Nguyên Chính, An Ninh Mạng, Trường đại học SPKT, Khoa CNTT 75 ... THIỆU Giáo trình phục vụ cho sinh viên hệ cao đẳng chuyên ngành Quản trị mạng máy tính Giáo trình giúp cho sinh viên hiểu khái niệm hệ thống an ninh mạng, nhận biết kiểu công mạng, phần mềm độc... loại trình bày loại cơng từ chối dịch vụ - Đưa biện pháp phịng chống Nội dung chính: TỔNG QUAN VỀ MẠNG MÁY TÍNH - Giới thiệu mạng máy tính Nói cách ngắn gọn mạng máy tính tập hợp máy tính độc... phần mềm độc hại loại lỗ hỏng bảo mật hệ thống mạng Mục tiêu: - Trình bày ngun nhân cơng mạng máy tính - Phân loại trình bày đặc điểm lỗ hổng hệ thống mạng - Trình bày loại phần mềm độc hại - Phân