1 TRIỂN KHAI BIỆN PHÁP AN NINH Phần 4. Bảo mật hạ tầng hệ thống thông tin Giảng viên: Trần Hồng Quang 2 Nội dung  Nguyên lý hoạt động của các thiết bị mạng và bảo mật  Khái niệm về phân vùng mạng và mạng ảo  Các cơ chế phát hiện và ngăn chặn xâm nhập  Bảo mật cho thiết bị mạng  Bảo mật cho hệ điều hành mạng và các dịch vụ mạng  Kiểm tra tình trạng mạng 3 I. Nguyên lý hoạt động của các thiết bị mạng và bảo mật  Tổng quan  Mô hình OSI  Mục tiêu  Chỉ ra một số thiết bị tại tầng vật lý, tầng liên kết dữ liệu, tầng mạng, …  Những khả năng mất an ninh  Nội dung nghiên cứu  Tầng vật lý (tầng 1): Cáp đồng trục, cáp xoắn, cáp quang, giao tiếp hồng ngoại, tín hiệu sóng, bộ điều chế tín hiệu.  Tầng liên kết dữ liệu (tầng 2): Thiết bị tập trung, thiết bị chuyển mạch, kết nối mạng không dây.  Tầng mạng (tầng 3): Thiết bị định tuyến, thiết bị điều khiển luồng và truy cập.  Các thiết bị trên tầng khác. 4 I.1. Tầng vật lý – Physical Layer  Cáp xoắn – Coaxial cable  Đặc điểm  Là loại cáp cổ điển, được sử dụng từ rất lâu, phổ biến dạng chuẩn 10Base2 (thin net) và 10Base5 (thick net).  Sử dụng đầu nối T-connector  Khả năng mất an ninh  Bị trích thông tin trong quá trình truyền  Phòng chống  Sử dụng thiết bị TDRs (Time-Domain Reflectometers) 5 I.1. Tầng vật lý – Physical Layer  Nguyên tắc hoạt động của TDRs  Giả thiết chất điện môi và cáp được chế tạo hoàn chỉnh, tạo ra hằng số khi tín hiệu lưu chuyển trên cáp.  Thiết bị gửi xung đi và đợi phản hồi, quá trình truyền xung khi xuất hiện vị trí lạ sẽ làm thay đổi tín hiệu, khoảng cách thời gian và tốc độ giữa các xung chúng cho ta biết vị trí lưu ý. 6 I.1. Tầng vật lý – Physical Layer  Cáp UTP – STP  Đặc điểm: Là loại cáp có độ an toàn cao 7 I.1. Tầng vật lý – Physical Layer  Cáp quang – Fiber  Khả năng mất an ninh: Bị trích thông tin từ các điểm kết nối  Phòng chống: Kiểm tra các điểm kết nối 8 I.1. Tầng vật lý – Physical Layer  Hồng ngoại – Infrared  Khả năng mất an ninh: ít khi xẩy ra do khoảng cách gần  Phòng chống: Yêu cầu xác nhận khi có thiết bị gửi hoặc nhận 9 I.1. Tầng vật lý – Physical Layer  Tần số radio – Radio Frequency  Khả năng mất an ninh: Rất mất an ninh, do tính đẳng hướng trong truyền thông và kết nối di động, phát sinh các kết nối lạ, nghe trộm,….  Phòng chống: Sử dụng mã hóa truyền thông, thiết lập tham số khóa truyền (WEP – Wireless Equivalency Privacy) hoặc sử dụng quản lý khóa tập trung, quản lý theo địa chỉ vật lý, tài khoản. 10 I.1. Tầng vật lý – Physical Layer  Bộ điều chế tín hiệu – Modem  Khả năng mất an ninh: Thường bị nghe trộm tín hiệu, tấn công chương trình điều khiển quay số.  Phòng chống: Kiểm tra khả năng bị nghe trộm qua thiết bị phát hiện. [...]... Access Server   Khả năng mất an ninh: Bị tấn công giả mạo kết nối Phòng chống: Xây dựng hệ thống xác thực kết nối an ninh 20 I.3 Tầng mạng– Network Layer  Bức tường lửa – Firewall   Khả năng mất an ninh: Bị tấn công giả mạo địa chỉ Phòng chống: Xây dựng hệ thống xác thực kết nối an ninh, theo dõi tấn công, phân tích luồng tin 21 II Phân vùng mạng và mạng ảo  Tổng quan   Mục tiêu      Tìm... công giả mạo với man in the middle 13 Minh họa tấn công Man in the Middle với kỹ thuật ARP Spoofing  Phương pháp thực thi 14 MAC Address trong LAN To Internet Ethernet Switch/Hub Broadband Modem D4-47-55-C4-B6-9F Server Access Router A1-44-D5-1F-AA-4C Client B2-CD-13-5B-E4-65 Client C3-2D-55-3B-A9-4F Server 15 Minh họa tấn công Man in the Middle với kỹ thuật ARP Spoofing  Triển khai   Phần mềm... vùng mạng Tìm hiểu phân vùng Intranet Tìm hiểu phân vùng Extranet Tìm hiểu phân vùng DMZ Tìm hiểu phân vùng VLAN Nội dung nghiên cứu    Sơ lược những khái niệm, ý nghĩa, mục tiêu của phân vùng mạng So sánh, tìm ra điểm mạnh và yếu của phân vùng mạng Phương pháp thiết kế phân vùng an ninh trong hệ thống mạng 22 II.1 Phân vùng Intranet  Đặc điểm   Các địa chỉ, mạng LAN trực thuộc chung một mạng của... dễ ràng Sử dụng đa giao thức 23 II.2 Phân vùng Extranet  Đặc điểm     Đặc điểm bên trong giống Intranet, tuy nhiên chúng có khả năng kết nối và sử dụng các nguồn tài nguyên bên ngoài Yêu cầu tính an ninh, an toàn, bảo mật Được sử dụng để trao đổi, chia sẻ, hợp tác thông tin giữa các hệ thống mạng Tăng cường an ninh    Sử dụng hạ tầng khóa công khai Sử dụng kết nối VPN Sử dụng phân vùng DMZ 24... năng mất an ninh: Rất mất an ninh, do tính đẳng hướng trong truyền thông và kết nối di động, phát sinh các kết nối lạ, nghe trộm,… Phòng chống: Sử dụng mã hóa truyền thông, thiết lập tham số khóa truyền (WEP – Wireless Equivalency Privacy) hoặc sử dụng quản lý khóa tập trung, quản lý theo địa chỉ vật lý, tài khoản 18 I.3 Tầng mạng– Network Layer  Thiết bị định tuyến – Routers   Khả năng mất an ninh: ... riêng với tốc độ chậm Công nghệ áp dụng: ATM, Frame Relay, X25 26 II.4 Phân vùng VLAN – Virtual LAN   Khái niệm VLAN: Là mạng phân phối thực thi tại tầng 2 thông qua các thiết bị mạng trong nhiều khu vực khác nhau Phân loại:   Logical VLAN: Được tạo ra bởi phần mềm, cấu hình phân lớp mạng qua địa chỉ Physical VLAN: Được tạo ra bởi cấu hình thiết bị tập trung, thiết bị chuyển mạch, thiết bị định... an ninh, an toàn, bảo mật những vị trí trọng yếu trong toàn bộ hệ thống mạng Là vùng đệm tập trung hệ thống phân luồng, kiểm soát gói tin, cung cấp dịch vụ cho bên trong và bên ngoài hệ thống Toàn bộ thông tin từ bên ngoài vào bên trong hoặc ngược lại đều phải đi qua DMZ và chịu sự quản lý, điều khiển của phân vùng này Các host trong khu vực DMZ được gọi duới tên Bastion Hosts 25 II.4 Phân vùng VLAN... Thiết bị tập trung tín hiệu – Hub Thiết bị cầu nối - Bridge   Khả năng mất an ninh: Thường bị nghe trộm tín hiệu, tấn công từ chối dịch vụ Phòng chống: Mã hóa dữ liệu trước khi truyền, yêu cầu kiểm tra tính xác thực thông tin 11 I.2 Tầng liên kết dữ liệu – Datalink Layer  Thiết bị chuyển mạch – Switch   Khả năng mất an ninh: Thường bị tấn công giả mạo, tấn công “phần sụn” của thiết bị Phòng chống:... trong khu vực DMZ được gọi duới tên Bastion Hosts 25 II.4 Phân vùng VLAN – Virtual LAN  Sơ lược về LAN – Local Area Network     Gồm một nhóm máy tính kết nối nhằm chia sẻ thông tin trên nền tảng tầng 2 Được sử dụng trong phạm vi, khu vực địa lý nhỏ Công nghệ thường sử dụng Ethernet, Token Ring, FDDI Sơ lược về WAN – Wire Area Network    Mạng được phủ trên một vùng rộng lớn Thường sử dụng các... tính đột biến về lưu lượng, bảng ánh xạ địa chỉ, luồng đi của thông tin 28 IV Bảo mật hệ điều hành mạng và dịch vụ mạng  Hệ thống NAT – Network address translation 29 IV Bảo mật hệ điều hành mạng và dịch vụ mạng  Hệ thống PAT – Port address translation 30 IV Bảo mật hệ điều hành mạng và dịch vụ mạng   Hệ thống VPN – Virtual Private Network Kỹ thuật Tunneling Layer 2 Forwarding Point to Point Tunneling . 1 TRIỂN KHAI BIỆN PHÁP AN NINH Phần 4. Bảo mật hạ tầng hệ thống thông tin Giảng viên: Trần Hồng Quang 2 Nội dung  Nguyên lý hoạt động của các thiết. Switch/Hub B2-CD-13-5B-E4-65 C3-2D-55-3B-A9-4F Broadband Modem Client Client Server Server MAC Address trong LAN 16 Minh họa tấn công Man in the Middle với kỹ thuật ARP Spoofing  Triển khai  Phần mềm giả mạo: WinARPSpoofing  Phần. dữ liệu – Datalink Layer  Thiết bị không dây – Wireless Access Points  Khả năng mất an ninh: Rất mất an ninh, do tính đẳng hướng trong truyền thông và kết nối di động, phát sinh các kết nối