Bài giảng môn học AN NINH MẠNG TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Số tín chỉ 3 Tổng số tiết 60 tiết (30 LT + 30 TH) Giảng viên ThS Phạm Đình Tài Tel 0985 73 39 39 Email pdtai@ntt[.]
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN NINH MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Giảng viên: ThS Phạm Đình Tài Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn Môn học: AN NINH MẠNG Bài Các kỹ thuật công mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài Bảo mật truy cập từ xa -2- Bài 6: Bảo vệ Server công cộng Truy cập từ xa nguy bảo mật Giới thiệu Mạng riêng ảo (VPN) Các giao thức VPN thông dụng VPN Client to Site VPN Site to Site Truy cập từ xa mối nguy hiểm • Truy cập từ xa (Remote Access) • Là phương pháp cho phép người dùng truy cập từ xa vào máy tính / dịch vụ mạng nội • Các ví dụ: • Remote Desktop: diều khiển máy tính từ xa • FTP: truy cập tập tin / thư mục từ xa • Các ứng dụng dạng Server – Client • Phương pháp truy cập từ xa: • Port Forwarding / NAT port / Open port: dùng giao thức tầng Transport (layer 4) • Routing: dùng giao thức định tuyến mạng (layer 3) -4- Truy cập từ xa mối nguy hiểm • Port forwarding: • Gói Request nhận Public IP Router chuyển tiếp vào Server mạng • Phân loại gói Request địa Port (UDP TCP) -5- Truy cập từ xa mối nguy hiểm • Nguy Port Forwarding: • Khi người dùng bên gởi yêu cầu Router: dễ bị đánh cắp gói tin (sniffer) / cướp phiên (session hijacking)… • Lợi dụng TCP port mở Router để tạo backdoor cho Trojan -6- Giới thiệu Mạng riêng ảo (VPN) • VPN (Virtual Private Network) • VPN hệ thống mạng riêng ảo kết nối máy tính dựa mơi trường internet • Trên đường truyền internet, VPN tạo đường hầm (tunnel) để kết nối mạng riêng người dùng • Có dạng VPN: • VPN Client to Site (Client to Gateway) • VPN Site to Site (Gateway to Gateway) -7- Giới thiệu Mạng riêng ảo (VPN) • Các giao thức VPN thơng dụng: • PPTP (Point-to-Point Tunneling Protocol): tạo đường hầm kết nối VPN Client VPN Server • L2TP (Layer Tunneling Protocol): cải tiến từ PPTP, có sử dụng phương thức mã hóa IPSec (IP Security) • GRE (Generic Routing Encapsulation): Router nhận dạng kiểu đóng gói riêng phép gói tin vào mạng • IPSec VPN: tương tự GRE, gói tin nhận dạng đóng gói có mã hóa IPSec • DM-VPN (Dynamic Multipoint-VPN): cải tiến từ GRE, cho phép VPN đa điểm • MPLS-VPN (Multi-Protocol Label Switching – VPN): ứng dụng công nghệ “chuyển mạch nhãn đa giao thức” để tạo VPN -8- Giới thiệu Mạng riêng ảo (VPN) • Giao thức PPTP (Point-to-Point Tunneling Protocol) : • PPTP giao thức tạo “đường hầm” (tunnel) kết nối Client Server dựa đường truyền internet • PPTP phát sinh interface ảo VPN Client VPN Server • IP address VPN interface (ảo) phải Network address • Hoạt động PPTP: • Client tạo gọi (dial-up) Server (xác định Server Public IP address Domain name) • Server tiếp nhận yêu cầu chứng thực (Authentication) • Client gởi thông tin tài khoản: User (dạng Plan text) password (dạng NTLM Hash) cho Server • Server chứng thực thành cơng: • Gởi Key cho Client mã hóa liệu trao đổi với Server => tunnel • Cấp IP address cho VPN Client interface -9- Giới thiệu Mạng riêng ảo (VPN) • Ưu nhược điểm giao thức PPTP: • Ưu điểm: liệu truyền mã hóa thành kênh riêng => bảo mật thơng tin q trình truyền • Nhược điểm: Thơng tin chứng thực (user / password) gởi plan-text => Attacker dễ dàng đánh cắp đường truyền • Giao thức L2TP (Layer Tunneling Protocol) • L2TP dùng giao thức IPSec (IP Security) để mã hóa thơng tin Client trao đổi với Server • Để mã hóa giải mã, L2TP dùng phương thức Pre-shared key (PSK) để Client Server thống Khóa mã trước với • Các thơng tin trao đổi (như user / password, liệu…) đóng gói theo IPSec truyền đường hầm (tunnel) tương tự PPTP - 10 - ... học: AN NINH MẠNG Bài Các kỹ thuật cơng mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài. .. tầng Transport (layer 4) • Routing: dùng giao thức định tuyến mạng (layer 3) -4- Truy cập từ xa mối nguy hiểm • Port forwarding: • Gói Request nhận Public IP Router chuyển tiếp vào Server mạng. .. • Lợi dụng TCP port mở Router để tạo backdoor cho Trojan -6- Giới thiệu Mạng riêng ảo (VPN) • VPN (Virtual Private Network) • VPN hệ thống mạng riêng ảo kết nối máy tính dựa mơi trường internet