1. Trang chủ
  2. Luận Văn - Báo Cáo

Bài giảng Thiết kế hạ tầng máy tính - Chương 8: Thiết kế an ninh

37 0 0
Bài giảng Thiết kế hạ tầng máy tính - Chương 8: Thiết kế an ninh

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Trong lĩnh vực Công Nghệ Thông Tin nói riêng, yêu cầu quan trọng nhất của người học đó chính là thực hành. Có thực hành thì người học mới có thể tự mình lĩnh hội và hiểu biết sâu sắc với lý thuyết. Với ngành mạng máy tính, nhu cầu thực hành được đặt lên hàng đầu. Tuy nhiên, trong điều kiện còn thiếu thốn về trang bị như hiện nay, người học đặc biệt là sinh viên ít có điều kiện thực hành. Đặc biệt là với các thiết bị đắt tiền như Router, Switch chuyên dụng

Chương THIẾT KẾ AN NINH TS Nguyễn Hồng Sơn NỘI DUNG     GIỚI THIỆU THIẾT KẾ AN NINH MẠNG CÁC CƠ CHẾ AN NINH MODULE HÓA THIẾT KẾ AN NINH GIỚI THIỆU     Đảm bảo an ninh mạng trình liên tục Chu kỳ: thi cơng, giám sát, kiểm thử cải tiến Cập nhật liên tục chế an ninh để chống lại kiểu công Chia trình thiết kế an ninh thành bước THIẾT KẾ AN NINH MẠNG       Xác định tài nguyên cần bảo vệ Phân tích nguy Phân tích yêu cầu an ninh cân nhắc lợi hại Xây dựng kế hoạch an ninh Xây dựng sách an ninh Xây dựng thủ tục qui trình an ninh Xác định tài nguyên cần bảo vệ nguy   Tài nguyên mạng gồm: host, thiết bị nối mạng, data truyền mạng, sở hữu trí tuệ, bí mật thương mại thương hiệu Nguy từ hành vi xâm nhập cố ý vô tình download chương trình có chứa virus Phân tích cân đối lợi ích       Chi phí bảo vệ phải nhỏ chi phí sửa chữa Security ~ performance, affordability, usability, availability Security thêm việc vào quản lý Lọc gói mật mã tiêu thụ công suất xử lý chiếm dụng nhớ Ảnh hưởng tính dự phịng Khó cân tải Xây dựng security plan    Kế hoạch rõ thời gian, người, tài nguyên cần để phát triển sách an ninh triển khai sách Security plan phải tham chiếu network topology bao gồm danh sách dịch vụ mạng cung cấp (web, email, ftp ) Danh sách rõ cung cấp dịch vụ, truy xuất dịch vụ, cách thức cung cấp quản trị dịch vụ Dịch vụ bảo vệ packet filter, firewall, trình xác thực user, Xây dựng security policy     Security policy đưa qui định bảo vệ tài nguyên mạng Chính sách chế thực thi qui định Thủ tục cam kết Khi tổ chức thay đổi, nguy xuất hiện, security policy phải hiệu chỉnh cập nhật Các thành phần security policy (1/2)  Access policy: quyền truy xuất đặc quyền – – – –  Accountability policy: định nghĩa nghĩa vụ account – – Hướng dẫn kết nối với mạng Kết nối thiết bị vào mạng Cài đặt phần mềm vào hệ thống Phân loại số liệu (nội bộ, tối mật ) Ghi rõ khả kiểm định Hướng dẫn kiểm soát tai họa, rõ điều xảy phải báo với Các thành phần security policy (2/2)    10 Authentication policy: thiết lập xác thực qua sách mật hiệu Privacy policy: yêu cầu riêng tư Hướng dẫn đầu tư, cấu hình kiểm định hệ thống máy tính mạng để tương thích với sách MODULE HĨA THIẾT KẾ AN NINH     An ninh theo chiều sâu Khơng có chế an ninh vạn năng, nên thiết kế nhiều tầng nhiều lớp bảo vệ Thiết kế an ninh theo module, Cisco System dùng SAFE Blueprint Các module: – – – – 23 – Kết nối Internet Remote access VPN Dịch vụ mạng quản lý mạng Server farm user service Wireless network An ninh cho kết nối Internet (1/2)      24 Mạng nên có ngõ vào/ra rõ ràng Bảo vệ kết nối Internet chế an ninh bảo vệ vật lý, firewall, packet filter, audit log, xác thực, cấp quyền Trên router nối Internet phải có packet filter để chống lại DoS dạng công khác Nên đặt packet filter dự phòng thiết bị firewall Thiết lập hệ thống IDS mạng host An ninh cho kết nối Internet (2/2)    25 Để chống lại hoạt động thám mạng router thiết bị firewall hàng đầu nên khóa tất kết nối đến, ngoại trừ kết nối cần thiết đến pubic server, khóa gói thường dùng để thám ping Khi chọn giao thức định tuyến cho kết nối Internet hay Internet router cần dùng giao thức có hỗ trợ xác thực RIPv2, OSPF, EIGRP, BGP4 Nếu cần dùng định tuyến tĩnh Dùng NAT để ẩn dấu địa bên An ninh cho public server (1/)     26 Các public server đặt DMZ bảo vệ qua firewall Để chống DoS nên dùng OS tin cậy ứng dụng vá hầu hết lỗ hổng an ninh Trên server nên chạy phần mềm kiểm tra nội dung mang giao thức Nếu có điều kiện nên tách ftp server khỏi web server, không nên cho phép kết nối Internet kết nối vào TFTP server An ninh cho public server (2/2)     27 Đối với email server nên thường xuyên theo dõi cập nhật lỗi an ninh Phải điều khiển giám sát DNS server cẩn thận Bảo vệ packet filter đặt router Hiện chữ ký số đặc tính an ninh khác bổ sung vào giao thức tên miền, cần chọn phần mềm DNS có tích hợp đặc tính an ninh Tham khảo RFC 2535 (Domain Name System Security Extensions ) An ninh cho e-commerce server      28 Tổn thất e-commerce server nghiệm trọng Bảo vệ chống lại DoS filtering rules, ngăn chặn kết nối liên tiếp thời gian ngắn Chấp nhận phiên bảo mật từ client đến front-end web server, xử lý request truy vấn database server Nên tách biệt servers DMZ, ví dụ có firewall database server front-end web server Nên tách biệt server segment VLAN An ninh cho remote-access    29 Các chế dùng bảo vệ dialup access: firewall, vật lý, xác thực, cấp quyền, kiểm định mật mã Các remote user dùng PPP nên có xác thực CHAP (Challenge Handshake Authentication Protocol) Có thể xác thực RADIUS (Remote Authentication Dial-In User/Server Protocol) An ninh cho VPN     30 Cần ngăn ngừa lợi dụng client hay remote site để công vào enterprise network qua VPN Bản thân hệ điều hành client phải có firewall phần mềm chống virus VPN thường dùng IPsec để bảo mật kênh qua mạng công cộng RFC 2401, RFC 2402, RFC 2406 RFC 2408 Giao thức trao đổi khóa IKE dùng: DES, DiffieHellman, message digest (MD5), Secure Hash Algorithm (SHA), RSA An ninh cho dịch vụ mạng    31 Bảo vệ thiết bị nối mạng router switch, tránh dùng giao thức khơng an tồn Telnet để truy xuất thiết bị qua mạng, nên chọn SSH (Security Shell) Cẩn thận chọn truy xuất vào console port từ modem Để quản lý số lượng router switch lớn dùng TACACS (Terminal Access Controller Access Control System ) An ninh cho quản lý mạng    32 Hạn chế dùng SNMP enterprise network, dùng SNMPv3 có hỗ trợ xác thực Nên đặt hệ thống quản lý mạng DMZ phía sau firewall Chống hành vi mạo danh administrator cách cung cấp cho administrator chế xác thực mạnh ví dụ two-factor dùng card An ninh cho server farm       33 Chứa hầu hết ứng dụng bên campus Performance tiêu chí quan trọng, hạn chế chế an ninh IDS phải triển khai Chống cơng dùng server làm bàn đạp, cấu hình lọc nhằm hạn chế kết nối từ server (ví dụ active FTP) Cập nhật liệu virus vá lỗ hổng OS Có thể dùng Kerberos để hỗ trợ an ninh cho giao thức lớp ứng dụng FTP hay Telnet (xác thực mật mã) An ninh cho user service     34 Chính sách an ninh nên rõ ứng dụng phép chạy PC nối mạng hạn chế download ứng dụng từ Internet Các PC phải có firewall phần mềm chống virus, nên có qui trình cài đặt cập nhật phần mềm PC Người dùng phải kết thúc phiên kết nối với server rời khỏi PC Dùng thiết bị hỗ trợ xác thực theo IEEE 802.1X port để ngăn chặn user cài thiết bị lạ An ninh cho wireless network (1/2)     35 An ninh wireless network lỏng lẻo Nên đặt wireless LAN subnet hay VLAN riêng Tạo ACL access point, switch router chuyển tiếp tải bắt nguồn từ wireless network ACL cho phép giao thức định ghi sách an ninh Các máy tính phía user phải có firewall phần mềm chống virus riêng, thường xuyên cập nhật mảnh vá OS An ninh cho wireless network (2/2)         36 Xác thực Open shared key (dùng WEP (wireless equivalent privacy)) Xác thực SSID (service set Indentifier), user phải biết Xác thực MAC address Dùng 802.1X với EAP (Extensible Authentication Protocol) 802.11i WPA (Wi-Fi Protected Access) RSN (Robust Security Network ) Dùng VPN software wireless client HẾT CHƯƠNG 37

Ngày đăng: 02/07/2023, 11:17

Xem thêm:

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan