Đang tải... (xem toàn văn)
Bài giảng An ninh mạng: Bài 3 cung cấp cho người học những kiến thức như: Một số nguy cơ tấn công mạng; Tổng quan về Firewall; Các chức năng cơ bản của Firewall; Các mô hình triển khai Firewall; Các hình thức giao tiếp mạng qua Firewall; Chứng thực trên Firewall. Mời các bạn cùng tham khảo!
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN NINH MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Giảng viên: ThS Phạm Đình Tài Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn Môn học: AN NINH MẠNG Bài Các kỹ thuật công mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài Bảo mật truy cập từ xa -2- Bài 3: Triển khai hệ thống Firewall Một số nguy công mạng Tổng quan Firewall Các chức Firewall Các mô hình triển khai Firewall Các hình thức giao tiếp mạng qua Firewall Chứng thực Firewall Một số nguy cơng mạng • Scanning: • Dị tìm thơng tin Victim Các thơng tin cần tìm: tên Version Hệ điều hành, Services Port mở, điểm yếu, lỗ hỏng bảo mật (vulnerability) hệ thống,… • Vulnerability Exploit: • Khai thác điểm yếu / lỗ hỏng bảo mật Hệ điều hành, dịch vụ… • DoS DDoS: • Deny of Service (tấn công từ chối dịch vụ) • Distribution DoS (tấn cơng DoS phân tán) • Trojan & backdoor: • Trojan: phần mềm, nhiễm vào máy người dùng Phần mềm thực thi lệnh tử Trojan Client gởi đến • Backdoor: port (TCP/UDP) Trojan mở để nhận lệnh truyền liệu với Trojan Client • Ad-ware: chương trình tự mở web quảng cáo • … Một số nguy cơng mạng • Các nguy từ bên • Sniffer: đánh cắp thơng tin truyền máy tính, thiết bị mạng • Sử dụng máy Client doanh nghiệp để cơng máy khác mạng nội • Sử dụng máy Client doanh nghiệp để công máy chủ dịch vụ nội • Sử dụng máy Client doanh nghiệp để công máy bên ngồi • Người dùng nội truy cập trang web nguy hại • Người dùng bị nhiễm Trojan, malware từ web, USB drive… • … -5- Khái niệm Firewall • Firewall: • Là hệ thống máy tính thiết bị chốt chặn khu vực mạng khác nhau, thông thường mạng nội internet • Các luồng liêu (traffic) / vào khu vực mạng phải ngang qua Firewall • Firewall định cho / khơng cho traffic di chuyển ngang qua -6- Khái niệm Firewall • Firewall chia làm loại, gồm Firewall cứng Firewall mềm • Firewall cứng Firewall tích hợp Router • Khơng linh hoạt Firewall mềm: thêm chức năng, thêm quy tắc Firewall mềm • Firewall cứng hoạt động tầng thấp Firewall mềm (tầng Network tầng Transport) • Firewall cứng khơng thể kiểm tra nội dung gói tin • Một số Firewall cứng thơng dụng: Fortinet, Juniper Networks, Cisco ASA 5500, Barracuda … -7- Khái niệm Firewall • Firewall cứng Fortinet Cisco ASA 5500 Barracuda Juniper Networks -8- Khái niệm Firewall • Firewall mềm Firewall cài đặt Server • Tính linh hoạt cao: thêm, bớt quy tắc, chức • Firewall mềm hoạt động tầng cao Firewall cứng (Tầng Applycation) • Firewall mềm kiểm tra nội dung gói tin (thơng qua từ khóa) • Một số Firewall mềm thông dụng: Zone Alarm, Microsoft ISA Server 2006, Norton Firewall,… -9- Khái niệm Firewall (https://www.imedita.com/blog/top-10-best-firewalls-in-2020/) Xem video firewall - 10 - Các chức Firewall • Routing: • LAN route: định tuyến mạng Traffic chiều • NAT: định tuyến mạng nội 🡪 internet Traffic chiều • Packet Filtering: lọc gói tin outbound inbound • Lọc Header: Source IP, Destination IP, Protocol (port), Domain Name, URL • Lọc Content: Picture, Video, EXE, DLL, ZIP,… • Proxy Server: • Tiếp nhận yêu cầu truy cập từ Client • Proxy server đích thân truy cập đến server cung cấp dịch vụ • Trả kết truy cập Client • => Proxy che giấu Client truy cập dịch vụ bên - 11 - Các chức Firewall (tt) • Virtual Server: • Tiếp nhận yêu cầu truy cập dịch vụ từ bên ngồi • Chuyển u cầu máy Server nội • => máy bên ngồi cho Firewall Server cung cấp dịch vụ (máy chủ ảo) • VPN Server: • VPN (Virtual Private Network – mạng riêng ảo) - Tạo hệ thống mạng riêng) mạng nội khác kết nối qua internet • VPN Server: máy cho phép máy tính xa kết nối vào mạng nội • Internet Authentication: • Chứng thực người dùng (tài khoản) truy cập internet qua Firewall • Tài khoản dùng Domain User Local User (tạo Firewall) - 12 - Các chức Firewall (tt) • IDS (Intrusion Detection System): • Hệ thống nhận dạng xâm nhập trái phép / nguy hại Thông thường kiểu xâm nhập: Scanning, DoS, DDoS,… • IDS nhận dạng thông báo (alert / report) cho người quản tri Nó khơng có khả tự chống đỡ (Prevention) • IPS (Intrusion Prevention System: • Hệ thống phòng chống xâm nhập trái phép / nguy hại • Cơ sở liệu chứa phương thức phịng chống phải lng cập nhật cho Firewall Cơ sở liệu nhà cung cấp Firewal hỗ trợ (có phí / miễn phí) - 13 - Các mơ hình kết nối Firewall • Mơ hình Bastion Host • Firewall bảo vệ Client mạng nội trước nguy cơng từ internet vào • Nếu mạng nội có Server cho phép bên ngồi internet truy cập vào (ví dự như: Web, Mail, FTP server…) điểm yếu cho cơng từ internet vào hệ thống mạng nội - 14 - Các mơ hình kết nối Firewall (tt) • Mơ hình Back-End: • Mơ hình khắc phục nhược điểm Bastion host đặt Server (cho phép truy cập từ bên vào) thành mạng riêng, đặt Firewall • Các Client mạng nội bảo vệ lớp Firewall • Chi phí cho mơ hình tốn ✔ Internal Network: khu vực mạng cần Firewall bảo vệ ✔ DMZ (hay Perimeter Network): khu vực mạng chứa Server cho phép bên (External) truy cập Khả bị công khu vực cao ✔ External Network: khu vực bên hệ thống Firewall (xem Internet) - 15 - Các mơ hình kết nối Firewall (tt) • Mơ hình Three-leg (Three-home): - 16 - Giao tiếp mạng qua Firewall • SecureNAT Client: • Các máy Clients khai báo Default Gateway IP address Firewall • Clients xem Firewall Router hỗ trợ NAT • Ưu điểm / nhược điểm SecureNAT: • Tất ứng dụng mạng Client giao tiếp internet • Firewall thực thi chế bảo mật kiểu Packet Filter • Firewall khơng có khả chứng thực người dùng mạng 17 Giao tiếp mạng qua Firewall • Web Proxy Client: • Các máy Clients khai báo Web Proxy IP address Firewall • Client gởi yêu cầu truy cập dịch vụ mạng ngồi tới Proxy Server • Proxy Server (Firewall) thay mặt Client giao tiếp với server dịch vụ bên ngồi internet • Ưu / nhược điểm Web Proxy: • Những ứng dụng không hỗ trợ giao tiếp mạng qua Web Proxy Server (HTTP) khơng dùng hình thức • Firewall có khả chứng thực người dùng mạng • Firewall che dấu Clients 18 Giao tiếp mạng qua Firewall • Firewall Client: • Một phần mềm Firewall dành cho Client cài đặt lên máy tính nội • IP address (tên máy) Firewall khai báo cho phần mềm • Khai báo tay (manually) • Khai báo tự động (automatically) (*) • Firewall Client tự động tạo giao tiếp Client Firewall cho hầu hết ứng dụng / dịch vụ • Tương tự Web Proxy, máy tính dùng Firewall Client, không cần khai báo Default Gateway / DNS Server) Ghi chú: (*) - WPAD (Web Proxy Auto Discovery) phương thức triến khai tự động thông số Firewall cho phần mềm Firewall Client - WPAD thực dịch vụ DHCP DNS 19 Chứng thực Firewall Firewall có khả năng: tiếp nhận xử lý gói tin người dùng chứng thực • Đối với SecureNAT Clients : • Firewall đóng vai trị Router kiểu NAT • Firewall khơng thể nhận biết thơng tin người dùng (user) => tất người dùng SecureNAT Client Firewall xem All Users • Đối với Web Proxy Clients hay Firewall Clients: • Firewall đóng vai trị Proxy Server • Firewall có quyền u cầu người dùng cung cấp thông tin tài khoản (user name / password) • Những người dùng cung cấp thơng tin tài khoản hợp lệ ISA xem All Authenticated Users - 20 - Phương thức chứng thực Firewall • Integrated Authentication: • Chứng thực tài khoản máy Firewall • Thơng tin tài khoản mã hóa hàm băm NT Hash • Basic Authentication: • Tương tự Integrated, khơng sử dụng mã hóa thơng tin user / password truyền mạng • Digest Authentication: • Chứng thực tài khoản Active Directory (tài khoản Domain) • Thơng tin tài khoản mã hóa hàm băm NTLM Hash • u cầu Firewall phải thành viên (đã join) Domain - 21 - Phương thức chứng thực Firewall • RADIUS Authentication: • Chứng thực tài khoản máy RADIUS Server • RADIUS Server thơng dụng Domain Controller • Phương thức mã hóa teo tiêu chuẩn RADIUS Server • SSL Certificate Authentication: • Chứng thực dựa “Chứng bảo mật” • Firewall cài đặt SSL Certificate cung cấp Certificate Authority Server (CA Server) • Khi Client gởi yêu cầu kết nối: FW cung cấp Certificate cho Client • Client xác minh Certificate với CA Server Nếu xác minh đúng, Client mã hóa user/password Cert FW - 22 - Cấu hình chứng thực ISA Server • Các bước cấu hình chứng thực ISA Server: • Thiết lập Access Rule (luật truy cập) cho “All Authenticated Users” thay “All Users” • Lựa chọn phương thức chứng thực (Authentication Methods) • Tạo tài khoản (Local Users) dùng cho phương thức Integrated Basic Authentication • Tại máy Clients nội bộ: • Khai báo Proxy Server: Port: 8080 • Hoặc: cài đặt ISA Firewall Client khai báo tương tự • Lưu ý: Clients khai báo IP address hay tên máy ISA tùy thuộc ISA quy định Demo - 23 - Thảo Luận Cấu trúc MT – ThS Vương Xuân Chí Trang 24 ... 2006, Norton Firewall,… -9 - Khái niệm Firewall (https://www.imedita.com/blog/top-10-best-firewalls-in-2020/) Xem video firewall - 10 - Các chức Firewall • Routing: • LAN route: định tuyến mạng... học: AN NINH MẠNG Bài Các kỹ thuật cơng mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài. .. External Network: khu vực bên hệ thống Firewall (xem Internet) - 15 - Các mơ hình kết nối Firewall (tt) • Mơ hình Three-leg (Three-home): - 16 - Giao tiếp mạng qua Firewall • SecureNAT Client: • Các