Thiết kế tường lửa
Tactical Perimeter DefenseDesigning FirewallThiết kế tường lửa Mục tiêu- Xem xét những nguyên tắc thiết kế tường lửa- Tạo một chính sách tường lửa dựa trên những yếu tố đã được cung cấp.- Tạo ra những quy tắc được cài đặt để lọc gói tin- Mô tả chức năng của một máy chủ proxy- Mô tả bastion host trong bảo mật mạng- Mô tả chức năng của một honeypot trong một môi trường mạng. Những thành phần của tường lửaTừ chối hay chấp nhận truy cập dựa trên những điều luật được cấp phát bởi người quản trị mạngCác dịch vụ:–Network Address Translation (NAT)–Đệm dữ liệu (Data caching)–Hạn chế nội dung Ví dụ về tường lửa đơn giản Hai phương pháp sử dụng trong tường lửaLọc gói tin•Được thiết kế chỉ để xem thông tin tiêu đề của gói tinSử dụng máy chủ proxy (cổng ứng dụng)•Proxy nhận các yêu cầu và thay mặt cho client gửi yêu cầu đến server•Có thể từ chối gói tin dựa vào dữ liệu bên trong Những thứ tường lửa không làm đượcDò tìm virus–Tường lửa không thể dò tìm virus,chúng ta phải luôn cài đặt phần mềm chống virus bên trongSai sót của nhân viên–Nhân viên mở email/chương trình một cách vô tìnhKết nối thứ hai–Một số nhân viên sử dụng modem trong máy tính cá nhân để ra ngoài internetVấn đề xã hội–Nhân viên đem thông tin ra ngoàiChính sách bảo mật kém–Cần phải có một chính sách bảo mật tốt Tạo một chính sách tường lửaCó 2 cách phổ biến:- Cho phép mọi thứ trừ những cái bị cấm- Ngăn cấm mọi thứ trừ những cái được cho phép (cách này thường được sử dụng hơn) Chính sách tường lửaCác khoản mục có thể có trong một chính sách bảo mật:–Acceptable Use Statement–Network Connection Statement–Contracted Worker Statement–Firewall Administrator Statement Các điều luật(Rule) và bộ lọc gói tin (Packet filter)Bộ lọc gói tin–Thường được triển khai dưới dạng danh sách kiểm soát truy cập(access control list-ACL) được cài đặt trên các router. Vị trí của các bộ lọc gói tin [...]... Honeypot Mục tiêu - Xem xét những nguyên tắc thiết kế tường lửa - Tạo một chính sách tường lửa dựa trên những yếu tố đã được cung cấp. - Tạo ra những quy tắc được cài đặt để lọc gói tin - Mơ tả chức năng của một máy chủ proxy - Mô tả bastion host trong bảo mật mạng - Mô tả chức năng của một honeypot trong một môi trường mạng. Những điều cần xem xét về thiết bị lọc gói • Giao tiếp mạng nào sẽ áp dụng... cập từ Internet? • Những máy nào được phép truy cập đặc biệt mà các máy khác khơng có? Những thứ tường lửa khơng làm được Dị tìm virus – Tường lửa khơng thể dị tìm virus,chúng ta phải ln cài đặt phần mềm chống virus bên trong Sai sót của nhân viên – Nhân viên mở email/chương trình một cách vơ tình Kết nối thứ hai – Một số nhân viên sử dụng modem trong máy tính cá nhân để ra ngoài internet Vấn đề... được sử dụng để ra quyết định (cổng nguồn, cổng đích hay cả hai) • Các giao thức ở tầng trên (trong mơ hình OSI).Luật này dựa trên UDP hay TCP? Tactical Perimeter Defense Designing Firewall Thiết kế tường lửa Cách kẻ tấn cơng tránh bộ lọc gói tin Những lỗ hổng bảo mật: – Chỉ loại bỏ những phân đoạn được đánh dấu là 0 và để những phân đoạn khác đi qua – Chỉ khóa những cổng theo chiều đi vào nhưng... sử dụng Kiểm duyệt gói tin phi trạng thái và có trạng thái Có hai loại bộ lọc gói tin: – Bộ lọc gói tin phi trạng thái – Bộ lọc gói tin có trạng thái Hai phương pháp sử dụng trong tường lửa Lọc gói tin • Được thiết kế chỉ để xem thông tin tiêu đề của gói tin Sử dụng máy chủ proxy (cổng ứng dụng) • Proxy nhận các yêu cầu và thay mặt cho client gửi yêu cầu đến server • Có thể từ chối gói tin dựa... những kết nối trong mạng và những phiên kết nối khi chúng đi qua bộ lọc Không đưa ra quyết định đơn giản chỉ dựa trên phần tiêu đề của gói tin Bộ lọc gói tin phi trạng thái Đa số các bộ lọc gói tin đưa ra các quyết định dựa trên những thơng tin quan trọng trong phần đầu của gói tin: – Lọc địa chỉ IP – Số hiệu cổng UDP/TCP – Loại giao thức – Sự phân mảnh Các quy luật được xây dựng cho firewall Thiết. .. firewall Thiết lập một Bastion Host • Loại bỏ các ứng dụng khơng được sử dụng • Loại bỏ các dịch vụ khơng được sử dụng • Loại bỏ các tài khoản người dùng khơng cần thiết Tiến trình proxy THE END Các điều luật (Rules) Cần tham khảo chính sách tường lửa( firewall policy) trước khi cài đặt các điều luật. Có thể đặt các câu hỏi để có thể đưa ra các điều luật chẳng hạn: • Những dịch vụ nào trên Internet được... dữ liệu đã sao lưu nhưng cách này không chắc là dữ liệu này đã bị lây nhiễm trước hay chưa • Cách giải quyết tốt nhất là tạo lại bastion host từ đầu.Cách này thì tốn nhiều thời gian. Ví dụ về tường lửa đơn giản Nhóm sinh viên thực hiện • Nhóm 22: • Trần Triệu Hồng Anh • Võ Hồng Tuấn • Lê Huy Tiên Hội • Tơ Văn Tuấn Cấu trúc bộ lọc gói tin có trạng thái Các điều luật(Rule) và bộ lọc gói tin... proxy server cẩn thận Proxy cho mỗi dịch vụ – Chắc chắn proxy vẫn an tồn cho mỗi dịch vụ được cộng thêm Cấu hình mặc định – Mất thời gian để thực hiện các quy luật và giới hạn Tạo một chính sách tường lửa Có 2 cách phổ biến: - Cho phép mọi thứ trừ những cái bị cấm - Ngăn cấm mọi thứ trừ những cái được cho phép (cách này thường được sử dụng hơn) . Perimeter DefenseDesigning FirewallThiết kế tường lửa Mục tiêu- Xem xét những nguyên tắc thiết kế tường lửa- Tạo một chính sách tường lửa dựa trên những yếu tố. caching)–Hạn chế nội dung Ví dụ về tường lửa đơn giản Hai phương pháp sử dụng trong tường lửaLọc gói tin•Được thiết kế chỉ để xem thông tin tiêu đề của