Đang tải... (xem toàn văn)
Phần 1 của giáo trình Quản trị mạng nâng cao cung cấp cho học viên những nội dung về: tổng quan về bảo mật mạng và các thiết bị hạ tầng mạng; tường lửa - Firewall; triển khai một số tính năng của ASA trong hệ thống mạng;... Mời các bạn cùng tham khảo!
BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP QUẢNG NINH GIÁO TRÌNH QUẢN TRỊ MẠNG NÂNG CAO DÙNG CHO BẬC ĐẠI HỌC (LƯU HÀNH NỘI BỘ) QUẢNG NINH - 2020 MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 1.1 Tổng quan bảo mật mạng 1.1.1 Nguy bảo mật mạng thông tin 1.1.2 Mục tiêu bảo mật 1.2 Tổng quan AAA 1.2.1 Điều khiển truy nhập – Access Control 1.2.2 Xác thực 1.2.3 Kiểm tra quản lý – Auditing 17 1.3 Các thiết bị hạ tầng mạng 18 1.3.1 Tường lửa - Firewall 18 1.2.2 Bộ định tuyến – Router 19 1.2.3 Bộ chuyển mạch – Switch 19 1.2.4 Bộ cân tải 19 1.2.5 Proxies 19 1.2.6 Cổng bảo vệ Web (Web Security Gateway) 20 1.2.7 Hệ thống phát xâm nhập 20 CHƯƠNG 2: TƯỜNG LỬA - FIREWALL 21 2.1 Tổng quan Firewall 21 2.1.1 Khái niệm Firewall 21 2.1.2 Mục đích Firewall 21 2.1.3 Phân loại FIREWALL 23 2.1.4 Mơ hình kiến trúc FIREWALL 27 2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables 33 2.2.1 ISA 2006 33 2.2.2 TMG 2010 39 2.2.3 Iptables 42 2.3 Tường lửa cứng ASA 45 2.3.1 Giới thiệu ASA 45 2.3.2 Triển khai số tính ASA hệ thống mạng 46 CHƯƠNG 3: CÔNG NGHỆ VPN 55 3.1 Tổng quan VPN 55 3.1.1 Khái niệm 55 3.1.2 Lợi ích VPN 56 3.1.3 Chức VPN 56 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN 57 3.1.5 Phân loại VPN 57 3.2 Một số giao thức mã hóa VPN 59 3.2.1 Giao thức định hướng lớp : L2F ( Layer Forwarding) 60 3.2.2 Giao thức đường hầm điểm điểm - PPTP 62 3.2.2.1 PPP PPTP 63 3.2.2.2 Cấu trúc gói PPTP 64 3.2.2.3 Đường hầm 67 Giao thức đường hầm lớp – L2TP 68 3.2.3 3.2.4 Giao thức IP Sec 73 CHƯƠNG 4: HỆ THỐNG MAIL SERVER 84 4.1 Tổng quan hệ thống Email 84 4.1.1 Khái niệm thành phần Email 84 4.1.2 Một số giao thức Email 88 4.2 MS.Exchange Server 2010 92 4.2.1 Giới thiệu MS.Exchange Server 2010 92 4.2.2 Một số đặc điểm MS.Exchange 2010 92 4.3 MailServer Mdaemon 96 CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG 98 5.1 Tổng quan giám sát mạng 98 5.1.1 Khái niệm 98 5.1.2 Các lĩnh vực cần phải giám sát hệ thống mạng 99 5.2 Giao thức quản lý mạng đơn giản – SNMP số phần mềm giám sát mạng 101 5.2.1 Giao thức quản lý mạng đơn giản – SNMP 101 5.2.2 Một số phần mềm giám sát mạng thường gặp 106 CHƯƠNG I: TỔ NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG MỤC TIÊU Học xong chương sinh viên có thể: o Trình bày số nguy mục tiêu bảo mật hệ thống công nghệ thông tin o Hiểu giải thích số phương thức chứng thực o Trình bày phân tích ba yếu tố AAA bảo mật hệ thống o Phân biệt thiết bị hạ tầng mạng thường gặp hệ thống mạng o Rèn luyện tính tư logic 1.1 Tổng quan bảo mật mạng 1.1.1 Nguy bảo mật mạng thông tin Nguy bảo mật (Threat) - một chuỗi kiện hành động gây hại ảnh hưởng không tốt cho mục tiêu bảo mật Thể thực tế nguy bảo mật công vào mạng Lỗ hổng bảo mật (Vulnerability Security) – Là “lỗi” phần mềm hệ thống mà bị kẻ công lợi dụng, khai thác ảnh hưởng tới an tồn thơng tin hệ thống 1.1.2 Mục tiêu bảo mật Mục tiêu bảo mật hay gọi đối tượng bảo mật Được định nghĩa tuỳ theo môi trường ứng dụng kỹ thuật thực 1.1.2.1 Theo mơi trường ứng dụng • Các tổ chức tài Chống nguy làm sai lệch thay đổi tình cờ giao dịch tài Xác nhận tính hợp pháp giao dịch khách hàng Bảo mật cho số nhận dạng cá nhân (PIN) Đảm bảo tính riêng tư cho khách hàng giao dịch • Thương mại điện tử Đảm bảo tính tồn vẹn giao dịch Đảm bảo tính riêng tư cho doanh nghiệp Cung cấp chữ ký điện tử (electronic signature) cho giao dịch điện tử Đảm bảo tính riêng tư, bí mật thơng tin khách hàng • Chính phủ Chống nguy rị rỉ thông tin nhạy cảm Cung cấp chữ ký điện tử cho tài liệu phủ • Các nhà cung cấp dịch vụ viễn thông công cộng Giới hạn quyền truy cập vào chức quản trị dành cho người có đủ thẩm quyền Đảm bảo dịch vụ ln sẵn sàng Bảo vệ tính riêng tư cho thuê bao • Các mạng riêng mạng doanh nghiệp Bảo vệ tính riêng tư cho doanh nghiệp cá nhân Đảm bảo khả xác nhận tin • Tất mạng Bảo vệ liệu chống lại xâm nhập bất hợp pháp 1.1.2.2 Theo kỹ thuật thực • Tính bí mật (confidentiality) Đảm bảo người có thẩm quyền xem liệu truyền lưu giữ • Tính tồn vẹn liệu (data integrity) Phát thay đổi liệu truyền lưu giữ Xác nhận người tạo thay đổi liệu • Tính kế tốn (accountability) Xác định trách nhiệm với kiện thơng tin • Tính sẵn sàng (availability) Các dịch vụ phải sẵn sàng đáp ứng nhu cầu sử dụng người dùng • Truy cập có điều khiển (controlled access) Chỉ thực thể có đủ thẩm quyền truy cập dịch vụ thông tin 1.2 Tổng quan AAA AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm tra quản lý– Auditing ) nhóm trình sử dụng để bảo vệ liệu, thiết bị, tính bí mật thuộc tính thơng tin AAA cung cấp: - Tính bí mật (Confidentiality): Một mục tiêu quan trọng bảo mật thông tin bảo đảm riêng tư liệu Điều có nghĩa liệu hay thơng tin người người biết người khác không quyền can thiệp vào Trong thực tế, khu vực riêng quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận miễn vào” hình thức bảo vệ tính riêng tư Đối với liệu truyền để bảo vệ tính riêng tư (Confidentiality) liệu thường mã hóa hay sử dụng giao thức truyền thơng an tịan SSH, SSL… Hình 1.1: Mục tiêu bảo mật hệ thống - Tính tồn vẹn (Integrity): Mục tiêu thứ hai bảo mật thông tin bảo vệ tính tồn vẹn cho liệu Nhằm bảo đảm liệu truyền không bị thay đổi tác nhân khác, ví dụ: email quan trọng gởi thường áp dụng thuật tốn bảo vệ tính tịan vẹn chữ ký số nhằm ngăn ngừa bị tác nhân thứ thay đổi cách chặn bắt thơng điệp - Tính sẵn dùng (Availability) : Các nội dung hay liệu phải ln sẵn sàng để người dùng truy cập sử dụng phép Ví dụ trang Web phải đảm bảo hoạt đông 24h/1ngày 7ngày /1tuần người dùng truy cập lúc Để đạt mục tiêu bảo mật AAA liệu tài nguyên cần phải thực ba công việc sau đây: 1.2.1 Điều khiển truy nhập – Access Control Quá trình điều khiển truy cập quan trọng Điều khiển truy cập định nghĩa cách thức người dùng hệ thống liên lạc theo cách Hay nói cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ thống, bao gồm liệu, bảo vệ thông tin khỏi truy cập trái phép Điều khiển truy cập bao gồm loại sau: Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) mơ hình tĩnh sử dụng để thiết lập, xác định trước quyền truy cập cho tệp hệ thống Người quản trị hệ thống thiết lập quyền truy cập với tham số kết hợp chúng với tài khoản, tệp hay tài nguyên hệ thống MAC sử dụng nhãn để xác định mức độ quan trọng áp dụng cho đối tượng Khi người dùng cố gắng truy cập vào đối tượng, nhãn kiểm tra để xác định truy cập phép xảy hay bị từ chối Khi sử dụng phương thức điều khiển truy cập này, tất đối tượng phải có nhãn để xác định quyền truy cập Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động dựa định danh người dùng, mơ hình người dùng gán quyền truy cập với đối tượng file, folder thông qua danh sách truy cập (ACL), dựa phân quyền chủ thể (owner) hay người tạo đối tượng (creator) Điều khiển truy cập dựa vai trò: Role – Based Access Control (RBAC) : RBAC họat động dựa công việc người dùng Người dùng cấp quyền tùy theo vai trị cơng việc mơ hình thích hợp cho mơi trường làm việc mà nhân có nhiều thay đổi 1.2.2 Xác thực Xác thực ngưỡng cửa hệ thống bảo mật, có nhiệm vụ xác định truy cập vào hệ thống, có người sử dụng hợp lệ hay không Yếu tố xác thực phần thông tin dùng để xác thực xác minh nhân dạng (identity) người Hệ thống xác thực hay phương thức xác thực dựa năm yếu tố sau: Những bạn biết Ví dụ mật khẩu, mã PIN (Personal Identification Number) Những bạn có Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ thông minh, hay thiết bị dùng để định danh Những bạn Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA Những bạn làm Ví dụ: hành động hay chuỗi hành động cần phải thực để hồn thành xác thực Một nơi bạn Ví dụ dựa vào vị trí bạn (hiện nhiều hệ thống sử dụng tính tốn di động, nên yếu tố xác thực sử dụng) Trên thực tế, dùng yếu tố để xác thực, độ an toàn không cao kết hợp nhiều yếu tố với Cũng giống nhà, cửa nên khóa nhiều ổ khóa Nếu lỡ may đánh rơi chìa khóa, hay kẻ trộm bẻ gãy ổ khóa, cịn ổ khóa khác, đủ làm nản lịng chí làm thời gian kẻ trộm phá cửa 1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol) Phương pháp xác thực PAP dựa hai yếu tố chính: tên đăng nhập/mật khẩu(username/password) cách thông dụng để kiểm tra người dùng có quyền đăng nhập có quyền sử dụng tài nguyên hệ thống hay không Các ứng dụng thực tế chế có nhiều việc đăng nhập máy tính hình logon, đăng nhập hộp thư điện tử… Hình 1.2: Xác thực sử dụng PAP Theo chế người dùng cung cấp định danh, thông tin tài khỏan họ chuyển đến sở liệu để tìm so sánh vơi ghi (record) hệ thống, có trùng lặp xảy người dùng hợp lệ đăng nhập hệ thống Trong trường hợp ngược lạ bị hệ thống từ chối cho phép truy cập Những thuận lợi phương pháp chế họat động đơn giản, dễ ứng dụng Nhưng an tồn thông tin Username & Password gởi dạng văn thông thường (clear text) theo giao thức khơng mã hóa Telnet, FTP, HTTP, POP dễ dàng bị bắt lấy (bằng việc sử dụng phần mềm sniffer Cain, Ethercap, IMSniff, Password ACE Sniff ) bị xem trộm 1.2.2.2 Kerberos Một điểm yếu việc xác thực thông tin đăng nhập khơng mã hóa (Cleartext) thơng tin nhạy cảm (username/password) dễ dàng bị đánh cắp phương pháp nghe (Sniffer), công phát lại (Replay attack) hay người đàn ông (Man in the middle), hệ thống xác thực mạnh mẽ an toàn nghiên cứu học viện MIT(Massachusetts Institute of Technology) dự án Athena ứng dụng thành công Kerberos hệ thống Windows 2000/2003/2008/2012, Linux, Unix Mặc dù hệ thống họat động độc lập không phụ thuộc vào hệ thống cần có tinh chỉnh riêng để tương thích hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows Linux cần có dịch vụ hổ trợ chẳng hạn SAMBA Với đặc tính này, người dùng cần chứng thực lần với Trung tâm phân phối khóa (KDC – Key Distribution Center ) sau sử dụng tất dịch vụ khác tin cậy (trust) theo quyền hạn thích hợp mà khơng cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà sử dụng Ví dụ mơ hình Windows Server 2008 Active Directory, sau tham gia đăng nhập domain domain user sử dụng dịch vụ chia sẻ mạng File hay Print Server mà không cần phải cung cấp tên đăng nhập mật (username password) kết nối đến máy chủ họat động môi trường WorkGroup Đây ưu điểm lớn việc ứng dụng Kerberos nói chúng hay mơ hình mạng sử dụng Active Directory nói riêng Các thành phần hệ thống kerberos: Client: Người dùng (user), dịch vụ (service), máy (machine) KDC : Trung tâm phân phối khóa (Key Distribution Center) Máy chủ tài nguyên máy chủ lưu trữ Hình 1.3: Các thành phần hệ thống chứng thực Kerberos Để hiểu rõ chế làm việc kerberos, xét phiên chứng thực người dùng đăng nhập vào hệ thống để sử dụng dịch vụ hệ thống Bao gồm bước sau đây: Subject (client –máy khách hay gọi người dùng) cung cấp thơng tin đăng nhập Ví dụ: username password Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption Standard (DES) sau truyền thơng tin mã hóa đến KDC KDC xác nhận thơng tin đăng nhập tạo Ticket Granting Ticket (TGT— giá trị hash password người dùng (subject) cung cấp với giá trị timestamp định thời gian sống (lifetime) phiên truy cập Giá trị TGT mã hóa gửi cho client) Hình 0.13: Mơ hình tổng quan lớp mạng tường lửa Cùng với Forefront Unified Access Gateway (UAG), TMG bổ sung cho sản phẩm Forefront Edge TMG chủ yếu nhắm mục tiêu vào tình bên ngồi, chẳng hạn người tạo Host mạng bảo vệ; UAG chủ yếu nhắm mục tiêu vào tình bên trong, trường hợp Microsoft SharePoint Exchange, Web Publishing Hai phiên TMG là: - TMG Medium Business Edition (MBE) có sẵn phiên độc lập với Windows Essential Bussiness Server(EBS) - TMG 2010 cho tất triển khai khác Bảng 0-1: So sánh tính TMG MBE TMG FULL 40 Các tính TMG 2010 Hình 0.11: Các tính Forefront TMG 2010 Hình 0.12: Những tính bật Forefront TMG 2010 Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua TMG ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều đường truyền Internet Web Anti-Malware - Quét Virus, phần mềm độc hại & mối đe dọa khác truy cập Web URL Filtering - Cho phép cấm truy cập trang Web theo danh sách phân loại nội dung sẵn có như: nội dung không lành mạnh, mua bán 41 HTTPS Inspection - Kiểm sốt gói tin mã hóa HTTPS để phịng chống phần mềm độc hại & kiểm tra tính hợp lệ SSL Certificate E-mail Protection Subscription Service - Tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát Virus, Malware, Spam E-mail hệ thống Mail Exchange Network Inspection System (NIS) - Ngăn chặn công dựa vào lỗ hổng bảo mật Network Access Protection (NAP) Integration - Tích hợp với NAP để kiểm tra tình trạng an tồn Client trước cho phép Client kết nối VPN Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN-SSTP Windows Server 2008 with 64-bit Support - Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit 2.2.3 Iptables Iptables tường lửa ứng dụng lọc gói liệu mạnh, miễn phí có sẵn Linux Netfilter/Iptables gồm phần Netfilter nhân Linux Iptables nằm nhân Iptables chịu trách nhiệm giao tiếp người dùng Netfilter để đẩy luật người dùng vào cho Netfiler xử lí Netfilter tiến hành lọc gói liệu mức IP Netfilter làm việc trực tiếp nhân, nhanh không làm giảm tốc độ hệ thống Iptables chia làm bảng (table): bảng filter dùng để lọc gói liệu, bảng nat dùng để thao tác với gói liệu NAT nguồn hay NAT đích, bảng mangle dùng để thay đổi thơng số gói IP bảng contrack dùng để theo dõi kết nối Mỗi table gồm nhiều mắc xích (chain) 42 Chain gồm nhiều luật (rule) để thao tác với gói liệu Rule ACCEPT (chấp nhận gói liệu), DROP (thả gói), REJECT (loại bỏ gói) tham chiếu (reference) đến chain khác 43 Hình 2.16: Quá trình xử lý gói tin Iptables Gói liệu (packet) chạy chạy cáp mạng sau vào card mạng (chẳng hạn eth0) Đầu tiên packet qua chain PREROUTING (trước định tuyến) Tại đây, packet bị thay đổi thông số (mangle) bị đổi địa IP đích (DNAT) Đối với packet vào máy, qua chain INPUT Tại chain INPUT, packet chấp nhận bị hủy bỏ Tiếp theo packet chuyển lên cho ứng dụng (client/server) xử lí chuyển chain OUTPUT Tại chain OUTPUT, packet bị thay đổi thông số bị lọc chấp nhận hay bị hủy bỏ Đối với packet forward qua máy, packet sau rời chain PREROUTING qua chain FORWARD Tại chain FORWARD, bị lọc ACCEPT DENY Packet sau qua chain FORWARD chain OUTPUT đến chain POSTROUTING (sau định tuyến) Tại chain POSTROUTING, packet đổi địa IP nguồn (SNAT) MASQUERADE Packet sau card mạng chuyển lên cáp để đến máy tính khác mạng 44 2.3 Tường lửa cứng ASA 2.3.1 Giới thiệu ASA Cisco ASA viết tắt từ: Cisco Adaptive Security Appliance ASA giải pháp bảo mật hàng đầu Cisco Hiện ASA sản phẩm bảo mật dẫn đầu thị trường hiệu cung cấp mơ hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng khác VPN, IPS, IDS … Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai cho doanh nghiệp Nó bao gồm thuộc tính sau: + Bảo mật thời gian thực, hệ điều hành độc quyền Cisco; + Cơng nghệ Stateful firewall sử dụng thuật tốn SA Cisco; + Sử dụng Cut through proxy để chứng thực telnet, http ftp; + Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa có khả tùy chỉnh sách xây dựng lên sách riêng doanh nghiệp; + VPN: hỗ trợ phương thức mã hóa IPSec, SSL L2TP; + Tích hợp hệ thống ngăn ngừa phát xâm nhập IDS/IPS; + NAT động, NAT tĩnh, NAT port (PAT) ; + Sử dụng đặc tính SNR (Sequence Number Randomization) để tăng bảo mật cho phiên kết nối + Ảo hóa sách sử dụng Context Cisco ASA có tất model khác Dịng sản phẩm phân loại khác cho tổ chức nhỏ đến mơ hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP Mơ hình cao thơng lượng, số port, chi phí cao Sản phẩm bao gồm : ASA 5505, 5510, 5520, 5540, 5550, 5580, 5585-x Hình 2.17 Sản phẩm ASA 5550 Ví dụ thơng số dịng ASA 5550 Bảng 2.2 Các đặc tính ASA 5550 45 2.3.2 Triển khai số tính ASA hệ thống mạng 2.3.2.1 Chuyển đổi địa - NAT Để giải vấn đề tiết kiệm không gian địa chỉ, giải vấn đề sử dụng địa IP Private truy cập mạng Public, tổ chức IETF phát triển RFC 1631 RFC 1631 định nghĩa trình thực NAT Điều cho phép dịch chuyển từ địa Private mào đầu gói tin IP đến địa IP Public khác ngược lại Một lợi ích NAT việc thoải mái sử dụng số lượng địa ip private rộng lớn, 17 triệu địa chỉ/ Điều bao gồm lớp địa mạng lớp A, 16 địa mạng lớp B 256 địa mạng lớp C Khi sử dụng địa Ip private dù có đổi nhà cung cấp dịch vụ, không cần phải đánh lại địa cho thiết bị mạng cục mà phải thay đổi cấu hình NAT firewall để trùng với địa IP public Bởi tất lưu lượng phải firewall để đến thiết bị có địa IP private, điều khiển điều cách sau: - Những nguồn mà Internet truy cập vào mạng bên (LAN) - User mạng Inside phép truy cập Internet 46 a Một số thuật ngữ sử dụng NAT Để hiểu tốt câu lệnh sử dụng firewall để cấu hình NAT, cần phải hiểu vài thuật ngữ thường sử dụng NAT - Inside: Những địa translate, thường địa Ip private cho thiết bị bên mạng LAN hay địa public mua từ ISP - Outside: Những địa cấp phát Internet - Inside Local: Những địa Private gán cho host nằm bên mạng LAN - Inside Global: Những địa public gán cho Inside host Thường pool địa cấp ISP - Outside Global: Những địa gán cho thiết bị Outside device b Một số mơ hình ví dụ triển khai 47 Hình 2.18 Ví dụ cấu hình NAT tĩnh 48 Hình 2.19 Ví dụ cấu hình PAT 2.3.2.2 Điều khiển truy cập – Access Control Access control list (ACL) tập hợp quy tắc hay sách bảo mật dùng phép (permit) từ chối (deny) gói tin dựa vào phần header thuộc tính khác gói tin Mỗi dòng permit deny ACL gọi Access Control Entry (ACE) Sau cấu hình xong ACL ta phải áp vào interface ACL phát huy tác dụng Có điểm khác biệt ACL router ACL ASA Điểm thứ nhất, có gói tin bị xử lý ACL ASA Đối với giao thức ASA thực stateful inspection, sau kết nối ACL cho phép tất gói tin (của kết nối đó) không bị kiểm tra ACL Trên Cisco IOS router tất gói tin bị xử lý ACL Điểm thứ hai cú pháp ACL router sử dụng wildcard mask, ACL ASA sử dụng cú pháp subnet mask Bảng 2.3 So sánh ACL ASA Cisco Router 49 a) Standard ACL Giống IOS Router, Firewall ASA hỗ trợ Standard ACL để lọc packet dựa địa IP Tuy nhiên với Standard ACL, Firewall sử dụng để lọc traffic vào Interface Cú pháp b) Extended ACL Có thể lọc lưu lượng vào interface dựa vào địa IP nguồn đích, giao thức sử dụng Lọc địa nguồn địch, giao thức, ứng dụng 50 c) ACL theo thời gian ACL theo thời gian thực thi vơ hiệu phụ thuộc vào thời gian mà ta cấu hình Ví dụ bạn cần cho phép truy cập vào Server từ 8h00 am đến 6h00 pm Tạo time ranges d) Kiểm tra cấu hình ACL Để liệt kê câu lệnh ACL có hai lựa chọn Đầu tiên Show run access-list show run access-group để hiển thị cấu hình running-config -ciscoasa(config)# show running-config Nếu khơng muốn xem ACL đơn, xem toàn ACL sử dụng lệnh - ciscoasa(config)# show access-list 2.3.2.3 Web content Ở phần ta tìm hiểu khả lọc thiết bị có ACLs Nhưng hạn chế ACLs lọc địa lớp network transport mơ hình tham chiếu OSI Mà chúng đọc nội dung thông tin (những thông tin tải về) Trong trường hợp Hacker muốn công cách tạo applet Java độc hại ActiveX mà người dùng tải để tạo chạy ưng dụng Một vấn đề ACLs ACL chấp nhận hay từ chối cổng TCP 80, có bao gồm applet Java nói Nó khơng thể lọc ứng dụng apple Java Tương tự vậy, ACL có vấn đề giao dịch với lọc nội dung trang web Có ba giải pháp cho vấn đề Các giải pháp khả thiết bị lọc Java kịch ActiveX nhúng vào kết nối HTTP Giải pháp thứ hai cho lọc nội dung cho phép thiết bị để làm việc với 51 phần mềm lọc nội dung bên thứ ba để lọc HTTP FTP Giải pháp thứ ba hỗ trợ cho Web Cache giao thức truyền thông (WCCP), cho phép thiết bị để chuyển hướng yêu cầu web tới máy chủ web bên nhớ cache để tải nội dung Nội dung phần bao gồm: ▼ Lọc JavaScript ActiveX ■ Web content ▲ Web caching a Giải pháp lọc Java ActiveX Các thiết bị lọc Javascript kịch activeX mà không cần phần mềm bổ sung hay thành phần phần cứng Về thiết bị cho nhúng HTML với lệnh thay chúng với phản hồi Một số lệnh bao gồm: , , CLASSID> .Tính lọc cho phép bạn ngăn chặn việc tải applet độc hại kịch cho máy tínhcủa người dùng cho phép tải nội dung trang web Một lợi việc sử dụng thiết bị chúng cung cấp điểm trung tâm cho sách lọc bạn Tuy nhiên, lọc thực dựa địa IP máy chủ web.Vì vậy, khơng có khả lọc trình duyệt lọc nội dung có động xấu, sử dụng thiết bị kết hợp với cơng cụ khác, cài đặt trình duyệt an tồn nội dung cơng cụ lọc, để cung cấp bảo mật tối đa cho hệ thống mạng Hai phần sau thảo luận làm để lọc Java applet kịch ActiveX thiết bị bạn b Web content Một mối quan tâm nhiều công ty kết nối với Internet loại thông tin mà nhân viên họ tải máy tính để bàn họ.Tuy nhiên có vài nghiên cứu thực hiện, trung bình 30-40% lưu lượng truy cập Internet cơng ty mục đích khơng phục vụ cho việc kinh doanh họ.Trong số trường hợp, thông tin mà nhân viên tải gây khó chịu cho nhân viên khác Thơng tin từ nội dung khiêu dâm tới nội dung trị hay tôn giáo Rất nhiều nội dung tải báo giá cổ phiếu truyền âm video vơ hại, sử dụng băng thơng đắt tiền Các thiết bị có khả hạn chế ngắt kết nối lọc nội dung web Một giải pháp khả mở rộng nhiều phải có thiết bị làm việc với sản phẩm bên thứ ba để cung cấp tính lọc web tồn diện Các phần bao gồm thiết bị sản phẩm lọc web tương tác nào, sản phẩm lọc bên thứ ba mà thiết bị hỗ trợ, cấu hình thiết bị lọc web Tiến trình lọc web 52 Để thực lọc nội dung web, đơi cịn gọi lọc web, có hai cơng việc là: - Chính sách phải xác định xác định khơng phép người sử dụng - Các sách phải thi hành Hai phương pháp thực trình thường triển khai mạng ứng dụng proxy thay đổi Proxy Ứng dụng proxy Với proxy ứng dụng, hai thành phần định nghĩa thực thi sách thực máy chủ Trình duyệt web người sử dụng cấu hình để trỏ đến proxy, lưu lượng truy cập họ chuyển hướng đến proxy Với proxy ứng dụng, bước sau xảy người dùng muốn tải nội dung trang web: Người sử dụng mở trang web Tất kết nối chuyển hướng đến máy chủ proxy ứng dụng, mà yêu cầu người dùng xác thực trước truy cập bên cho phép Proxy ứng dụng kiểm tra (nhiều) kết nối so sánh với danh sách sách cấu hình Nếu kết nối không phép, người sử dụng thường hiển thị trang web vi phạm sách Nếu kết nối cho phép, proxy mở kết nối cần thiết đểtải nội dung Nội dung sau truyền lại qua ban đầu người dùng kết nối hiển thị trình duyệt web người dùng Thay đổi Proxy Một proxy đổi chia tách hai thành phần sách: máy chủ bên ngồi có danh sách luật, thiết bị mạng thực sách lưu lượng truy cập web thơng qua Các thiết bị hỗ trợ phương pháp tiếp cận proxy sửa đổi: lọc nội dung web, thiết bị phải tương thích với máy chủ nội dung web bên ngồi Hình cho thấy tương tác người sử dụng thực tế, thiết bị, sách máy chủ, máy chủ web bên c Web caching Bộ nhớ đệm Web sử dụng để giảm độ trễ số tiền lưu lượng tải nội dung trang web Giả sử nhớ cache web máy chủ triển khai, người dùng truy cập trang web,nội dung tải lưu trữ máy chủ cache Sau truy cập nội dung sau cung cấp từ máy chủ nhớ cache địa phương so với tải nội dungtừ máy chủ gốc Truyền thông Web Cache Protocol (WCCP) cho phép thiết bị an ninh tương tác với nhớ cache web bên / máy chủ lọc Tiến trình WCCP 53 Để hiểu lợi ích mà WCCP cung cấp, ta qua trình thiết bị qua sử dụng WCCP: Người sử dụng mở trang web, nơi kết nối (hoặc kết nối) tạo cách để đến thiết bị Các thiết bị chặn kết nối yêu cầu web lại, đóng gói Generic Routing Encapsulation (GRE) gói tin để ngăn chặn thay đổi thiết bị trung gian chuyển tiếp đến nhớ cache web máy chủ Nếu nội dung lưu trữ máy chủ, trùng với u cầu trả lại trực tiếp nội dung cho người sử dụng Nếu nội dung không lưu trữ máy chủ, yêu cầu gửi đến thiết bị, thiết bị cho phép kết nối người dùng tới máy chủ web gốc Đối với bước suốt q trình chuyển hướng, thiết bị khơng thêm kết nối bảng liên kết khơng thực theo dõi trạng thái TCP, không ngẫu nhiên số thứ tự TCP tiêu đề TCP, không thực Cut-through Proxy 2.3.2.4 Modular Policy Framework Modular Policy Framework (MPF) cấu trúc mà ASA dùng để định nghĩa sách kiểm tra (inspection policies) cho lưu lượng Với MPF, ta định nghĩa tập hợp sách để phân loại lưu lượng, sau đưa hành động lưu lượng phân loại MPF khơng thay cho ACL, mà đơn giản cho phép ASA thực thêm nhiều hành động khác lưu lượng MPF gồm có thành phần sau: Class map: Dùng để phân loại lưu lượng, cấu hình lệnh classmap Policy map: Đưa hành động với lưu lượng phân loại, cấu hình lệnh policy-map Service policy: Áp sách cấu hình vào nhiều giao diện ASA, cấu hình lệnh service-policy 54 ... nói 13 Hình 1. 8: Xác thực sinh trắc học Hình 1. 9: Xác thực dấu vân tay Hình 1. 10: Xác thực bàn tay 14 Hình 1. 11: Xác thực mống mắt Hình1 .12 : Nhận dạng khn mặt Hình 1. 13: Nhận dạng giọng nói 15 1. 2.2.6... MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 1. 1 Tổng quan bảo mật mạng 1. 1 .1 Nguy bảo mật mạng thông tin 1. 1.2 Mục tiêu bảo mật 1. 2 Tổng quan AAA 1. 2 .1 Điều... Control 1. 2.2 Xác thực 1. 2.3 Kiểm tra quản lý – Auditing 17 1. 3 Các thiết bị hạ tầng mạng 18 1. 3 .1 Tường lửa - Firewall 18 1. 2.2 Bộ định tuyến