Bài giảng An ninh mạng: Bài 6 Bảo vệ Server công cộng, cung cấp cho người học những kiến thức như: Nguy cơ bảo mật của các Publish Server; Bảo mật bằng phương pháp cô lập; Networks và Network Rules; Publish Server qua Firewall; Đánh giá mức độ bảo mật. Mời các bạn cùng tham khảo!
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN NINH MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Giảng viên: ThS Phạm Đình Tài Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn Môn học: AN NINH MẠNG Bài Các kỹ thuật công mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài Bảo mật truy cập từ xa -2- Bài 6: Bảo vệ Server công cộng Nguy bảo mật Publish Server Bảo mật phương pháp cô lập Networks Network Rules Publish Server qua Firewall Đánh giá mức độ bảo mật Nguy bảo mật mơ hình Bastion Host • Mơ hình Bastion Host • Các máy Server phục vụ cơng cộng đặt chung mạng với máy thuộc mạng nội • Khi Server bị cơng xâm nhập => Attacker dễ dàng xâm nhập vào máy khác hệ thống mạng nội -4- Bảo mật phương pháp lập mạng • Cơ lập mạng (Network Isolation) • Là phương pháp tách rời máy tính thành nhiều mạng riêng • Các mạng riêng kết nối qua Firewall • Firewall filter / drop / forward… gói tin di chuyển mạng • Firewall hệ thống dùng Network Isolation • Firewall định danh mạng riêng Network Object • Network Rule phương thức định tuyến Networks dạng: ROUTE NAT • Các luật truy cập (access rules) sử dụng cho việc sàng lọc gói tin di chuyển mạng ngang qua Firewall -5- Bảo mật phương pháp cô lập • Cơ lập mạng mơ hình Back-End Firewall: • Mơ hình khắc phục nhược điểm Bastion host đặt Server (cho phép truy cập từ bên vào) thành mạng riêng, đặt Firewall • Các Client mạng nội bảo vệ lớp Firewall • Chi phí cho mơ hình tốn ✔ Internal Network: khu vực mạng cần Firewall bảo vệ ✔ DMZ (hay Perimeter Network): khu vực mạng chứa Server cho phép bên (External) truy cập Khả bị công khu vực cao ✔ External Network: khu vực bên hệ thống Firewall (Internet) -6- Bảo mật phương pháp lập • Cơ lập mạng mơ hình Three-leg (Three-home): • Firewall có interface kết nhánh mạng: • DMZ interface: kết nối mạng Publishing Servers • Internal interface: kết nối mạng cá máy nội • Internet interface: kết nối mạng Internet -7- Bảo mật phương pháp lập • Một số ngun tắc bảo mật: • Mạng Internal: • Ngăn chặn inbound traffic trái phép từ mạng khác vào internal • Kiểm sốt cho phép truy cập (outbound traffic ) dịch vụ External DMZ • Mạng DMZ: • Kiểm sốt cho phép truy cập (outbound traffic ) dịch vụ External • Kiểm sốt cho phép cung cấp dịch vụ đáp ứng yêu cầu truy xuất gởi đến từ mạng External Internal -8- Networks Network Rules • Networks: • Network đối tượng mạng định nghĩa Firewall • Một Network định nghĩa thơng tin bản: • Network Name: tên Mạng • IP addresses: dãy IP addresses mạng • Phân loại Network theo tính chất: • Internal Network - mạng nội bộ, cần bảo vệ tối đa • Perimeter Network - mạng máy Server cung cấp dịch vụ cho bên truy cập Nguy cơng từ ngồi vào mạng cao Mạng cịn có tên DMZ (Demilitarized Zone) • VPN Clients - mạng riêng ảo cá nhân kết nối từ xa vào hệ thống mạng nội • External – mạng cịn lại (trừ mạng định nghĩa) -9- Networks Network Rules • Network Rule: • Network Rule luật cho Firewall xác định việc chuyển tiếp gói tin mạng phương thức: ROUTE relation NAT relation • ROUTE relation: • Firewall định tuyến chiều cho gói tin Source Network Destination Network • Firewall làm Gateway cho mạng => mạng giao tiếp trực tiếp qua Firewall • NAT (Network Address Translation) relation: • Firewall định tuyến chiều: Source Network 🡪 Destination network • Firewall làm Gateway cho Source Network => Destination Network không giao tiếp Source Network => Destination Network giao tiếp tới Firewall - 10 - Networks Network Rules • So sánh ROUTE NAT: Route NAT • Destination phải trỏ Gateway Firewall • Destination khơng cần trỏ Gateway Firewall • Source Destination giao tiếp chiều (bidirectional) • Source giao tiếp chiều Destination • Destination host nhận biết Source Host • Destination host khơng nhận biết Source Host • Firewall dùng Routing Table để chọn đường • Firewall dùng Routing Table NAT Table để chuyển gói - 11 - Publish Server qua Firewall • Dẫn nhập: • Tất mạng bên giao tiếp internet qua Firewall phương thức NAT • Nếu mạng nội có Server cung cấp dịch vụ, người dùng bên ngồi khơng thể truy cập vào Server • Server Publishing kỹ thuật “xuất Server” cho người dùng bên ngồi truy cập dịch vụ • Publish Server: • Mỗi dịch vụ server có TCP (hay UDP) port riêng • Publish Server dùng kỹ thuật NAT port (còn gọi là: Open Port, Port Forwarding, Virtual Server…) • Người dùng truy cập dịch vụ Server IP address outside interface Firewall - 12 - Publish Server qua Firewall • Mơ tả q trình NAT Port: • Firewall tiếp nhận u cầu truy cập từ Client Nhận dạng dịch vụ yêu cầu giá trị TCP/UDP Port • Chuyển tiếp u cầu vào Server bên • Server bên xử lý yêu cầu trả kết Client qua NAT Firewall - 13 - Publish Server qua Firewall • Triển khai Server Publishing Firewall: • Cơ lập tất Servers cung cấp dịch vụ ngồi mạng vật lý • Kết nối mạng Server Firewall theo mơ hình Three-leg mơ hình Back-End Front-End • Trên Firewall: tạo “Network Object” thuộc loại “Perimeter” (vành đai) • Thiết lập Network Rule Perimeter mạng khác cho độ an tồn cao có thể: • Internal => NAT => Perimeter • VPN Clients => NAT => Perimeter • Perimeter => NAT (hoặc ROUTE) => External Dùng NAT Firewall kết nối trực tiếp internet Dùng ROUTE Firewall kết nối internet qua Router khác • Triển khai Access Rule có liên quan tới Perimeter - 14 - Publish Server qua Firewall • Server Publishing mơ hình Firewall: • Three-leg Firewall kết nối internet trực tiếp: • NAT Perimeter External • Three-leg Firewall kết nối internet qua Router: • ROUTE Perimeter External • Định tuyến cho Router DMZ - 15 - Publish Server qua Firewall • Server Publishing mơ hình Firewall: • Back-end Front-end Firewall kết nối internet trực tiếp: • Front-end Firewall: NAT Perimeter External • Back-end Firewall: Perimeter External - 16 - Thảo Luận Cấu trúc MT – ThS Vương Xuân Chí Trang 17 ... học: AN NINH MẠNG Bài Các kỹ thuật cơng mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài. .. khu vực bên hệ thống Firewall (Internet) -6 - Bảo mật phương pháp lập • Cơ lập mạng mơ hình Three-leg (Three-home): • Firewall có interface kết nhánh mạng: • DMZ interface: kết nối mạng Publishing... DMZ - 15 - Publish Server qua Firewall • Server Publishing mơ hình Firewall: • Back-end Front-end Firewall kết nối internet trực tiếp: • Front-end Firewall: NAT Perimeter External • Back-end