Tactical Perimeter Defense Designing Firewall Thiết kế tường lửa Mục tiêu - Xem xét những nguyên tắc thiết kế tường lửa - Tạo một chính sách tường lửa dựa trên những yếu tố đã được cung cấp. - Tạo ra những quy tắc được cài đặt để lọc gói tin - Mô tả chức năng của một máy chủ proxy - Mô tả bastion host trong bảo mật mạng - Mô tả chức năng của một honeypot trong một môi trường mạng. Những thành phần của tường lửa Từ chối hay chấp nhận truy cập dựa trên những điều luật được cấp phát bởi người quản trị mạng Các dịch vụ: – Network Address Translation (NAT) – Đệm dữ liệu (Data caching) – Hạn chế nội dung Ví dụ về tường lửa đơn giản Hai phương pháp sử dụng trong tường lửa Lọc gói tin • Được thiết kế chỉ để xem thông tin tiêu đề của gói tin Sử dụng máy chủ proxy (cổng ứng dụng) • Proxy nhận các yêu cầu và thay mặt cho client gửi yêu cầu đến server • Có thể từ chối gói tin dựa vào dữ liệu bên trong Những thứ tường lửa không làm được Dò tìm virus – Tường lửa không thể dò tìm virus,chúng ta phải luôn cài đặt phần mềm chống virus bên trong Sai sót của nhân viên – Nhân viên mở email/chương trình một cách vô tình Kết nối thứ hai – Một số nhân viên sử dụng modem trong máy tính cá nhân để ra ngoài internet Vấn đề xã hội – Nhân viên đem thông tin ra ngoài Chính sách bảo mật kém – Cần phải có một chính sách bảo mật tốt Tạo một chính sách tường lửa Có 2 cách phổ biến: - Cho phép mọi thứ trừ những cái bị cấm - Ngăn cấm mọi thứ trừ những cái được cho phép (cách này thường được sử dụng hơn) Chính sách tường lửa Các khoản mục có thể có trong một chính sách bảo mật: – Acceptable Use Statement – Network Connection Statement – Contracted Worker Statement – Firewall Administrator Statement Các điều luật(Rule) và bộ lọc gói tin (Packet filter) Bộ lọc gói tin – Thường được triển khai dưới dạng danh sách kiểm soát truy cập(access control list-ACL) được cài đặt trên các router. Vị trí của các bộ lọc gói tin [...]... sách tường lửa (firewall policy) trước khi cài đặt các điều luật Có thể đặt các câu hỏi để có thể đưa ra các điều luật chẳng hạn: • Những dịch vụ nào trên Internet được phép truy cập từ mạng nội bộ? • Những dịch vụ nào trong mạng nội bộ được phép truy cập từ Internet? • Những máy nào được phép truy cập đặc biệt mà các máy khác không có? Những điều cần xem xét về thiết bị lọc gói • Giao tiếp mạng nào sẽ... hưởng đến cả hệ thống, cần bảo vệ proxy server cẩn thận Proxy cho mỗi dịch vụ – Chắc chắn proxy vẫn an toàn cho mỗi dịch vụ được cộng thêm Cấu hình mặc định – Mất thời gian để thực hiện các quy luật và giới hạn Bastion Host Máy tính được cấu hình an toàn hơn nhiều so với bất kỳ máy tính nào khác trong mạng Tất cả các tùy chọn về bảo mật đi kèm với hệ điều hành được sử dụng một cách tối đa Tất cả tài... ở tầng trên (trong mô hình OSI).Luật này dựa trên UDP hay TCP? Các quy luật được xây dựng cho firewall Bit ACK Được cài đặt để trả lời các yêu cầu Tường lửa có thể kiểm tra bit này để đảm bảo rằng gói tin là một trả lời truyền thông có nguồn gốc từ bên trong mạng Bit ACK khiến tường lửa của chúng ta trở nên an toàn hơn Ví dụ cho điều luật số 4 có cài đặt thêm bit ACK: Kiểm duyệt gói tin phi trạng thái... gói tin phi trạng thái Đa số các bộ lọc gói tin đưa ra các quyết định dựa trên những thông tin quan trọng trong phần đầu của gói tin: – Lọc địa chỉ IP – Số hiệu cổng UDP/TCP – Loại giao thức – Sự phân mảnh Bộ lọc gói tin có trạng thái Tăng cường bảo mật bằng cách ghi nhớ trạng thái của những kết nối trong mạng và những phiên kết nối khi chúng đi qua bộ lọc Không đưa ra quyết định đơn giản chỉ dựa trên... không sử dụng như Modem, card âm thanh… • Sử dụng những phương pháp xác thực mạnh • Sử dụng tiện ích kiểm tra những tập tin giả mạo như Tripwire Khi Bastion Host bị tấn công • Khôi phục lại dữ liệu đã sao lưu nhưng cách này không chắc là dữ liệu này đã bị lây nhiễm trước hay chưa • Cách giải quyết tốt nhất là tạo lại bastion host từ đầu.Cách này thì tốn nhiều thời gian The Honeypot Honeypot là gì? –... cố - Nếu nhận biết được những kẻ tấn công đang tấn công honeypot, chúng ta có thể chuẩn bị tốt hơn để phòng thủ và ngăn chặn việc hệ thống bí tấn công Cấu hình Honeypot Cung cấp hầu hết các dịch vụ thông thường như WWW,SMTP,POP3,Telnet…nhưng honeypot phải nới lỏng phân quyền,kiểm tra đăng nhập… Nhóm sinh viên thực hiện • • • • • Nhóm 22: Trần Triệu Hoàng Anh Võ Hoàng Tuấn Lê Huy Tiên Hội Tô Văn Tuấn... để những phân đoạn khác đi qua – Chỉ khóa những cổng theo chiều đi vào nhưng mở những cổng đi ra Máy chủ proxy Không có sự truyền thông trực tiếp giữa máy khách và máy chủ Hiểu rõ ứng dụng hay dịch vụ đang được sử dụng Tiến trình proxy Những lợi ích của proxy Ẩn máy khách – Địa chỉ IP của máy khách không bao giờ xuất hiện trên Internet Lọc nội dung – Lọc được nội dung của gói dữ liệu Đơn điểm đăng nhập . mật mạng - Mô tả chức năng của một honeypot trong một môi trường mạng. Những thành phần của tường lửa Từ chối hay chấp nhận truy cập dựa trên những điều luật được cấp phát bởi người quản trị mạng Các. Tactical Perimeter Defense Designing Firewall Thiết kế tường lửa Mục tiêu - Xem xét những nguyên tắc thiết kế tường lửa - Tạo một. Statement – Contracted Worker Statement – Firewall Administrator Statement Các điều luật(Rule) và bộ lọc gói tin (Packet filter) Bộ lọc gói tin – Thường được triển khai dưới dạng danh sách kiểm soát truy cập(access