Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 202 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
202
Dung lượng
4,28 MB
Nội dung
Cơ sở lý thuyết về BẢO MẬT MẠNG Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 2 MỤC LỤC PHẦN 1: TỔNG QUAN AN NINH MẠNG 12 CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 13 1. Khái niệm 13 2. Phân loại mạng máy tính 13 2.1. Mạng quảng bá (broadcast network): 13 2.2. Mạng điểm nối điểm (point-to-point network): 13 2.3. LAN 14 2.4. MAN 15 2.5. WAN 15 2.6. Mạng không dây 17 2.7. Liên mạng 17 3. Mô hình tham chiếu OSI 17 4. Các thiết bị mạng cơ bản 21 5. Các dịch vụ mạng 23 5.1. Hệ thống tên miền DNS 23 5.2. Dịch vụ DHCP 27 5.3. Dịch vụ Web (HTTP) 29 5.4. Dịch vụ truyền tệp tin FTP 30 5.5. Dịch vụ thư điện tử 30 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 3 CHƯƠNG 2: GIỚI THIỆU VỀ AAA 33 1. Khái niệm: 33 2. Kiểm soát truy cập (Access Control) 33 2.1. Khái niệm 33 2.2. Các phương pháp kiểm soát truy cập 33 3. Xác thực truy cập (Authentication) 35 3.1. Khái niệm 35 3.2. Kerberos 35 3.3. Xác thực dựa trên username/password 39 3.4. CHAP (Challenge Handshake Authentication Protocol) 39 3.5. TOKEN 40 3.6. Chứng chỉ số (Certificates) 40 3.7. Sinh trắc học (Biometrics) 43 3.8. Xác thực kết hợp nhiều nhân tố (Multi-Factor) 43 3.9. Xác thực lẫn nhau (Mutual Authentication) 44 4. Giám sát thống kê (Accounting) 44 PHẦN 2: AN NINH HẠ TẦNG 45 CHƯƠNG 1: MÔ HÌNH MẠNG BẢO MẬT 46 1. Lời mở đầu 46 2. Phân đoạn mạng (Segmentation) 46 3. Các điểm truy cập (Network Access Points) 47 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 4 4. Router và Switch 48 5. Tường lửa 48 6. Thiết bị phát hiện/ngăn chặn xâm nhập 49 7. Truy cập từ xa (Remote Access) 50 8. Security Event Management (Thiết bị quản lý sự kiện tập trung) 51 9. Hệ thống dò tìm điểm yếu (Vulnerability Management) 51 CHƯƠNG 2: TƯỜNG LỬA 53 1. Khái niệm 53 2. Các công nghệ tường lửa 53 2.1. Packet Filtering (lọc gói tin) 53 2.2. Application Filtering (lọc ứng dụng) 56 2.3. Stateful Inspection Firewall 57 CHƯƠNG 3: THIẾT BỊ PHÁT HIỆN/NGĂN CHẶN XÂM NHẬP 59 1. Khái niệm 59 2. Các loại IDS/IPS 60 2.1. Phân loại theo phạm vi hoạt động 60 2.2. Phân loại theo nguyên lý hoạt động của IDS/IPS 62 CHƯƠNG 4. MẠNG RIÊNG ẢO 64 1. Khái niệm 64 2. Các loại VPN 65 2.1. VPN truy cập từ xa 65 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 5 2.2. VPN điểm-nối-điểm 65 CHƯƠNG 5. VLAN 67 1. Khái niệm 67 2. Ứng dụng của VLAN 67 2.1. Tiết kiệm chi phí 67 2.2. Tiết kiệm băng thông của hệ thống mạng 68 2.3. Tăng khả năng bảo mật 68 2.4. Dễ dàng thêm hay bớt máy tính vào VLAN 68 2.5. Giúp mạng có tính linh động cao 68 CHƯƠNG 6. NETWORK ADDRESS TRANSLATION 69 1. Khái niệm 69 2. Phân loại NAT 69 2.1. Static NAT (NAT tĩnh) 69 2.2. Dynamic NAT hay Pooled NAT (NAT động) 70 2.3. Port Address Translation (PAT) 70 CHƯƠNG 7. AN NINH TRUYỀN DẪN VÀ LƯU TRỮ 72 1. Cáp đồng trục 72 2. Cáp UTP/STP 73 3. Cáp Quang 73 4. Các thiết bị lưu trữ 75 CHƯƠNG 8. CHÍNH SÁCH AN NINH MẠNG 76 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 6 1. Khái niệm 76 2. Các thành phần của một chính sách an ninh mạng 77 CHƯƠNG 9. CÁC NGUYÊN TẮC CƠ BẢN 80 PHẦN 3: MÃ HÓA 81 CHƯƠNG 1. CĂN BẢN VỀ MÃ HÓA 83 CHƯƠNG 2. CÁC THUẬT TOÁN MÃ HÓA 85 1. Khái niệm 85 2. Phân loại các thuật toán mã hoá 86 2.1. Mã hóa cổ điển 86 2.2. Mã hóa đối xứng 87 2.3. Mã hóa bất đối xứng 90 2.4. Mã hóa hàm băm (Hash Function) 92 2.5. Chữ ký điện tử 93 CHƯƠNG 3. HẠ TẦNG KHÓA CÔNG KHAI PKI 97 1. Tổng quan về PKI 97 2. Các thành phần và hoạt động của PKI 97 3. Một số hệ thống PKI 100 4. Kết luận 101 CHƯƠNG 4. TIÊU CHUẨN VÀ CÁC GIAO THỨC 102 1. Tiêu chuẩn mã hóa 102 2. Các giao thức mã hóa 102 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 7 2.1. Khái niệm 102 2.2. Các giao thức mã hóa phổ biến 103 PHẦN 4: AN NINH ỨNG DỤNG 109 CHƯƠNG 1: AN NINH TRONG TRUY CẬP TỪ XA 110 1. 802.1x 110 1.1. Những vấn đề an ninh của mạng không dây 111 1.2. Các biện pháp bảo mật cho WLAN 111 2. Virtual Private Network 111 3. RADIUS 112 3.1. Khái niệm 112 3.2. Quá trình chứng thực của RADIUS 113 4. PPTP/L2TP 114 4.1. PPTP 115 4.2. L2TP 115 4.3. Những điểm khác biệt chính giữa PPTP và L2TP 115 5. SSH 116 5.1. Khái niệm 116 5.2. Hoạt động của SSH 116 6. IPSEC 117 7. Tóm tắt nội dung chương 118 CHƯƠNG 2: AN NINH WEB 119 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 8 1. Khái niệm ứng dụng Web 119 2. Hoạt động của một ứng dụng Web 120 3. Tổng quan về các kỹ thuật tấn công ứng dụng Web 121 2.1. Kiểm soát truy cập Web (Web Access Control) 121 2.2. Chiếm hữu phiên làm việc (Session Management) 121 2.3. Lợi dụng những lỗ hổng trong việc kiểm tra dữ liệu hợp lệ (Input Validation) 122 2.4. Để lộ thông tin (Informational) 123 2.5. Tấn công từ chối dịch vụ 124 4. Các kỹ thuật tấn công phổ biến 124 4.1. Thao tác trên tham số truyền 124 4.2. Cross Site Scripting 129 4.3. SQL Injection 131 5. Các biện pháp phòng chống chung 135 5.1. Đối với người quản trị hệ thống 135 5.2. Đối với người lập trình Web 136 5.3. Đối với người sử dụng 137 CHƯƠNG 3: THƯ ĐIỆN TỬ VÀ CÁC VẤN ĐỀ AN NINH 138 1. Khái niệm 138 2. Giao thức MIME 138 3. Giao thức bảo mật S/MIME 139 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 9 4. Phần mềm PGP 139 5. Những vấn đề an ninh với thư điện tử 139 5.1. SMTP Relay 140 5.2. Vấn đề đối với Virus 141 5.3. SPAM 141 CHƯƠNG 4: BUFFER OVERFLOWS 149 1. Khái niệm 149 2. Chống tràn bộ đệm 150 2.1. Lựa chọn ngôn ngữ lập trình 150 2.2. Sử dụng các thư viện an toàn 151 2.3. Chống tràn bộ nhớ đệm trên stack 152 2.4. Bảo vệ không gian thực thi 152 2.5. Ngẫu nhiên hóa sơ đồ không gian địa chỉ 153 2.6. Kiểm tra sâu đối với gói tin 153 2.7. Thường xuyên cập nhật, cài đặt các bản vá lỗi. 153 2.8. Đánh giá mức độ an toàn của chương trình phần mềm 153 CHƯƠNG 5: AN NINH ỨNG DỤNG – NHỮNG NGUYÊN TẮC CƠ BẢN 154 PHẦN 5: CÔNG CỤ BẢO MẬT MẠNG 156 Yêu cầu kiến thức 156 CHƯƠNG 1. KIỂM TRA KẾT NỐI TRÊN MÁY TÍNH 157 1. Công cụ NETSTAT 157 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 10 2. Phần mềm TCPView 158 CHƯƠNG 2. QUÉT CỔNG 161 1. Công cụ SuperScan 161 2. Network Mapper (NMAP) 164 CHƯƠNG 3. PHÂN TÍCH DỮ LIỆU MẠNG 171 1. Phần mềm Ethereal 171 2. Microsoft Network Monitor 178 CHƯƠNG 4. QUÉT LỖ HỔNG MÁY TÍNH 183 1. Microsoft Baseline Security Analyzer 183 2. GFI LanGuard Network Security Scanner 187 PHẦN 6: CASE-STUDY 195 Case-Study 1 196 Case-study 2 197 Case-Study 3 198 Case-Study 4 199 PHẦN 7: TÀI LIỆU THAM KHẢO 200 [...]...Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 11 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 PHẦN 1 TỔNG QUAN AN NINH MẠNG 12 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 1 Khái niệm Về cơ bản, một mạng máy tính là một nhóm máy tính nối nhau với nhau theo một số cách sao cho người ta có thể chia sẻ thông tin và thiết bị Các máy tính có thể kết nối... tượng chính của phần cứng mạng: 13 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 2.3 LAN LAN (local area network), hay còn gọi là "mạng cục bộ", là mạng tư nhân trong một toà nhà, một khu vực (trường học hay cơ quan chẳng hạn) có cỡ chừng vài km Chúng nối các máy chủ và các máy trạm trong các văn phòng và nhà máy để chia sẻ tài nguyên và trao đổi thông tin LAN có 3 đặc điểm: Giới hạn về tầm cỡ phạm vi hoạt động... lại, đảm bảo mức tín hiệu cần thiết Smart Hub (Intelligent Hub) có chức năng tương tự như Active Hub, nhưng có tích hợp thêm chip có khả năng tự động dò lỗi - rất hữu ích trong trường hợp dò tìm và phát hiện lỗi trong mạng 21 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 Bridge Bridge là thiết bị mạng thuộc lớp 2 của mô hình OSI (Data Link Layer) Bridge được sử dụng để ghép nối 2 mạng để tạo thành một mạng lớn... tới SMTP 32 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 CHƯƠNG 2: GIỚI THIỆU VỀ AAA 1 Khái niệm: - AAA là một khái niệm cơ bản nhất khi tìm hiểu về an ninh mạng máy tính, nó là tổ hợp viết tắt của 3 từ: Access Control (kiểm soát truy cập), Authentication (Xác thực truy cập) và Accounting (hoặc Auditing) (Giám sát thống kê) - AAA là một nhóm các tiến trình dùng để bảo vệ dữ liệu, tài nguyên hệ thống và sự an... cuối lại được nối ngược trở lại với máy đầu tiên tạo thành vòng kín Thí dụ mạng vòng thẻ bài IBM (IBM token ring) Mạng sao Mạng tuyến tính và mạng vòng trong LAN 14 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 2.4 MAN MAN (từ Anh ngữ: metropolitan area network), hay còn gọi là "mạng đô thị", là mạng có cỡ lớn hơn LAN, phạm vi vài km Nó có thể bao gồm nhóm các văn phòng gần nhau trong thành phố, nó có thể là... sở lý thuyết về BẢO MẬT MẠNG 2008 2.6 Mạng không dây Các thiết bị cầm tay hay bỏ túi thường có thể liên lạc với nhau bằng phương pháp không dây và theo kiểu LAN Một phương án khác được dùng cho điện thoại cầm tay dựa trên giao thức CDPD (Cellular Digital Packet Data) hay là dữ liệu gói kiểu cellular số Các thiết bị không dây hoàn toàn có thể nối vào mạng thông thường (có dây) tạo thành mạng hỗn hợp... chuyển đổi các thông tin từ cú pháp người sử dụng sang cú pháp để truyền dữ liệu, ngoài ra nó có thể nén dữ liệu truyền và mã hóa chúng trước khi truyền đễ bảo mật. Nói đơn giản thì tầng này sẽ định dạng dữ liệu từ lớp 7 đưa xuống rồi gửi đi đảm bảo sao cho bên thu có thể đọc được dữ liệu của bên phát Các chuẩn định dạng dữ liệu của lớp 6 là GIF, JPEG, PICT, MP3, MPEG … Tầng giao dịch (Session layer... lớp 2): tầng liên kết dữ liệu có nhiệm vụ xác định cơ chế truy nhập thông tin trên mạng, các dạng thức chung trong các gói tin, đóng gói và phân phát các gói tin Lớp 2 có liên quan đến địa chỉ vật lý của các thiết bị mạng, topo mạng, truy nhập mạng, các cơ chế sửa lỗi và điều khiển luồng 20 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 Tầng vật lý (Phisical layer – lớp 1): tầng vật lý cung cấp phương thức truy... ngoài ra nó cung cấp các chuẩn về điện, dây cáp, đầu nối, kỹ thuật nối mạch điện, điện áp, tốc độ cáp truyền dẫn, giao diện nối kết và các mức nối kết 4 Các thiết bị mạng cơ bản Để hệ thống mạng làm việc trơn tru, hiệu quả và khả năng kết nối tới những hệ thống mạng khác đòi hỏi phải sử dụng những thiết bị mạng chuyên dụng Những thiết bị mạng này rất đa dạng và phong phú về chủng loại nhưng đều dựa trên... gia tăng nhanh chóng theo tốc độ phát triển của các mạng viễn thông và kiến thức về tin học của cộng đồng dân cư 2 Phân loại mạng máy tính Trong kỹ thuật mạng, việc quan trọng nhất là vận chuyển dữ liệu giữa các máy Nói chung sẽ có hai phương thức là: 2.1 Mạng quảng bá (broadcast network): bao gồm một kênh truyền thông được chia sẻ cho mọi máy trong mạng Mẫu thông tin ngắn gọi là gói (packet) được gửi . thuyết về BẢO MẬT MẠNG Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 2 MỤC LỤC PHẦN 1: TỔNG QUAN AN NINH MẠNG 12 CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 13 1. Khái niệm 13 2. Phân loại mạng. 7: TÀI LIỆU THAM KHẢO 200 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 11 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 12 PHẦN 1 TỔNG QUAN AN NINH MẠNG. 45 CHƯƠNG 1: MÔ HÌNH MẠNG BẢO MẬT 46 1. Lời mở đầu 46 2. Phân đoạn mạng (Segmentation) 46 3. Các điểm truy cập (Network Access Points) 47 Cơ sở lý thuyết về BẢO MẬT MẠNG 2008 4 4.