1. Trang chủ
  2. » Luận Văn - Báo Cáo

BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA

106 413 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 106
Dung lượng 7,18 MB

Nội dung

BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA

Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall LỜI NÓI ĐẦU Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó. Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh… Với mục đích đó trong thời gian thực tập tôi đã tự tìm hiểu các khái niệm cơ bản về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của Cisco, tôi mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ firewall có nhiều tính ứng dụng trong thực tiễn. Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao Lớp Điện Tử 7 - K48 1 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật phổ biến nhất hiện nay. Phần cuối của đồ án tôi sẽ đưa ra phương pháp xây dựng một mô hình bảo mật bằng Firewall cho hệ thống mạng doanh nghiệp. Tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Đinh Hữu Thanh - giảng viên khoa Điện tử viễn thông Đại Học Bách Khoa Hà Nội , CCNP Trần Thanh Long giảng viên CCNA – Giám đốc học viện mạng Cisco - ĐH Công nghệ - ĐH Quốc gia Hà Nội , Giám đốc - giảng viên học viện ITLAB Nguyễn Anh Thao , Mr Christian Tusborg – IT manager Skills Group đã giúp tôi thực hiện đồ án này. Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những thiếu sót, tôi rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía hội đồng và các bạn. Trân trọng cảm ơn . Lớp Điện Tử 7 - K48 2 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall TÓM TẮT ĐỒ ÁN Bảo mật là một phạm trù rộng và phức tạp, trong lĩnh vực công nghệ thông tin nó là tổng hòa nhiều công nghệ khác nhau nhằm mang lại sự an toàn cho hệ thống thông tin của một tổ chức nào đó. Ngày nay bất kì một hệ thống thông tin nào cũng phải tuân theo các tiêu chuẩn mang tính chất quốc tế, đó là quy định bắt buộc khi phạm vi truyền thông có tính chất toàn cầu chứ không chỉ bó hẹp trong phạm vi của chính tổ chức đó hay phạm vi khu vực. Vì vậy để bảo đảm an toàn thông tin trong quá trình truyền thông thì các phương pháp bảo mật cũng cần tương thích với các chuẩn mang tính chất quốc tế đó. Phần I của đồ án này sẽ đưa ra một cái nhìn toàn diện về mô hình truyền thông trên mạng Internet và những hình dung chung nhất về các công nghệ bảo mật trong một bức tranh tổng thể. Trong các công nghệ bảo mật cơ bản và hiệu quả nhất hiện nay tôi sẽ đi sâu phân tích và đánh giá phương pháp bảo mật bằng công nghệ “bức tường lửa”, Phần II của đồ án sẽ tập trung giải quyết vấn đề này . Trên cơ sở lý luận đã nghiên cứu việc có thể đưa ra được phương án áp dụng thành công công nghệ đã lựa chọn là điều rất cần thiết. Với mong muốn đồ án là một sản phẩm mang tính thực tiễn cao tôi sẽ trình bày các phương pháp triển khai công nghệ bức tường lửa trong hệ thống thông tin của tổ chức, kèm theo đó là những minh họa có tính chất trực quan. Với những nội dung trên hy vọng mang lại cho người đọc một cái nhìn toàn cảnh về bức tranh bảo mật nói chung và công nghệ bức tưởng lửa nói riêng. Theo nhịp độ phát triển mau lẹ của công nghệ các biện pháp tấn công ngày càng tinh vi hơn, chính vì vậy các công nghệ cũng cần không ngừng được cải tiến không ngừng để đảm bảo cho một nền thông tin an toàn và bền vững. Lớp Điện Tử 7 - K48 3 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall THESIS SUMMARY Information security is a wide-reaching and complex term because it is made up of many high technologies in order to make our information system more secure. Today, most information systems must meet the international standards because information transportation takes place not only in a organization itseft or in a region but also all over the world. Therefore to secure information exchanged, the security technologies used must meet international standards. The first Part of my thesis will provide an overview of information transportation process in the Internet and a genaral picture of information security technologies. I will do a thorough research on firewall technology, one of the most popular and effective security methods in the second part of my thesis. It’s essential that research results be successfully applicable in real-life selected technologies. Bearing this in mind, I will clarify applications of firewall technology into information systems in enterprises in addition to visual illustrations. All of these are presented in third part. Hopefully, readers will have general understanding of security technologies in general and firewall technology in particular. As technological progresses take place nearly every minute, hacking activities have become increasingly damaging and seemingly uncontrollable. Hence, security technologies must be steadily improved for the sake of a well-sustained information system. Lớp Điện Tử 7 - K48 4 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall MỤC LỤC LỜI NÓI ĐẦU . Error: Reference source not found TÓM TẮT ĐỒ ÁN . Error: Reference source not found THESIS SUMMARY . Error: Reference source not found DANH SÁCH HÌNH VẼ Error: Reference source not found DANH SÁCH CÁC TỪ VIẾT TẮT . Error: Reference source not found LỜI MỞ ĐẦU . Error: Reference source not found PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT . Error: Reference source not found Chương 1 Error: Reference source not found MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP Error: Reference source not found 1.1. GIỚI THIỆU CHUNG Error: Reference source not found 1.2. MÔ HÌNH OSI Error: Reference source not found 1.3. KIẾN TRÚC TCP/IP Error: Reference source not found 1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP Error: Reference source not found 1.4.1. Giao thức IP (Internet Protocol) Error: Reference source not found 1.4.2. Giao thức UDP ( User Datagram Protocol ) Error: Reference source not found 1.4.3. Giao thức TCP ( Transmission Control Protocol ) Error: Reference source not found 1.5. QUÁ TRÌNH ĐÓNG MỞ GÓI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC LỚP 30 Chương 2 32 KHÁI NIỆM BẢO MẬT 32 2.1. KHÁI NIỆM BẢO MẬT 32 2.2. MỤC TIÊU CỦA BẢO MẬT THÔNG TIN Error: Reference source not found 2.3. BẢO MẬT LÀ MỘT QUY TRÌNH . 34 2.4. NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU. 36 Chương 3 45 CÁC CÔNG NGHỆ BẢO MẬT 45 3.1. CÔNG NGHỆ BẢO MẬT THEO LỚP . 45 3.1.1. Bảo mật ở mức vật lý . 46 3.1.2. Bảo mật sử dụng bức tường lửa . 47 3.1.3. Bảo mật sử dụng lọc gói dữ liệu 49 3.1.4. Bảo mật sử dụng các phương pháp mã hóa 50 3.1.5. Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê. . 53 3.2. CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI . 54 Phần II. 56 CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG . 56 Chương I . 56 CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL 56 1.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL . 56 Lớp Điện Tử 7 - K48 5 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall 1.2. ĐỊNH NGHĨA FIREWALL 58 1.3. PHÂN LOẠI FIREWALL 59 1.3.1. Firewall phần mềm . 59 1.3.2. Firewall phần cứng 59 1.4. CHỨC NĂNG CỦA FIREWALL . 59 1.4.1. Điều khiển truy nhập (Access Control) . 59 1.4.1.1. Vị trí xảy ra quá trình lọc gói . 59 1.4.1.2. Hoạt động lọc gói (Packet Filtering) . 61 1.4.1.3. Luật lọc ( Filtering Rules) 61 1.4.1.4. Hoạt động của tường lửa người đại diện ứng dụng ( Proxy Application) . 62 1.4.2. Quản lý xác thực (User Authentication). 64 1.4.3. Kiểm tra và Cảnh báo (Activity Logging and Alarms). . 65 1.4.3.1. Chức năng kiểm tra (Activity logging) . 65 1.4.3.2. Chức năng cảnh báo (Alarm) 65 Chương 2 66 CÁC KIẾN TRÚC FIREWALL CƠ BẢN . 66 2.1. FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) . 66 2.2. FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER) 67 2.2.1. Gateway mức mạng (Network Level Gateway) . 68 2.2.2. Gateway mức ứng dụng (Application level Gateway) . 68 2.3. KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 70 2.4. FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL ) 71 2.4.1. Dạng thứ nhất là máy phòng thủ có hai card mạng 71 2.4.2. Dạng thứ hai là máy phòng thủ có một card mạng 71 Chương 3 7 2 NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL 72 3.1. HOẠT ĐỘNG CỦA FIREWALL “MỀM” 72 3.2. HOẠT ĐỘNG CỦA FIREWALL “CỨNG” . 75 3.2.1. Cơ chế lọc gói tin : . 75 3.2.2. Một số đặc điểm ACL: . 75 3.2.3. Phân loại ACL 76 3.2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control Lists) 76 3.2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists) . 77 3.2.3.3. So sánh giữa standard ACL và extended ACL . 78 3.2.4. Ứng dụng ACL . 79 3.3. NAT 79 3.3.1. Cấu hình NAT trên nhiều cổng . 83 3.3.2. Phiên dịch địa chỉ động . 84 3.3.3. Phiên dịch địa chỉ tĩnh . 85 3.3.4. Cơ chế phiên dịch thông qua địa chỉ cổng (Port Address Translation) 85 Lớp Điện Tử 7 - K48 6 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall 3.4. Cơ chế điều khiển và giám sát các kết nối qua Firewall . 86 3.4.1. Vận chuyển giao thức TCP 86 3.4.2. Vận chuyển giao thức UDP 88 3.5. Một số kỹ thuật khác được sử dụng trong Firewall . 89 3.5.1. Kỹ thuật thẩm kế an toàn . 89 3.5.2. Kỹ thuật lõi an toàn 89 3.5.3. Kỹ thuật cân bằng phụ tải 90 3.6. Sự kết hợp các biện pháp kỹ thuật . 90 Chương 4 91 CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL 91 4.1. CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN NINH MẠNG . 92 4.1.1. Mạng bên trong(Inside Network) . 92 4.1.2. Mạng bên ngoài (Outside Network) . 92 4.1.3. Vùng phi quân sự (Demilitarized Zone -DMZ) . 92 4.2. CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP 93 4.2.1. Kiến trúc cơ bản . 93 4.2.2. Dual-Homed System 94 4.2.3. Kiến trúc Screening Host . 95 4.2.4. Kiến trúc Screened Subnet . 96 4.3. CÁC MÔ HÌNH FIREWALL PHỨC TẠP . 97 4.4. Đánh giá Firewall 100 KẾT LUẬN . 103 TÀI LIÊỤ THAM KHẢO . 105 Lớp Điện Tử 7 - K48 7 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall DANH SÁCH HÌNH VẼ Hình 1.1 . Mô hình tham chiếu OSI 15 Hình 1.2. Kiến trúc TCP/IP 16 Hình 1.3. Khuôn dạng IP datagram 19 Hình1. 4. Phân lớp địa chỉ IP 21 Hình 1.6. Khuôn dạng UDP datagram .23 Hình 1.7. Khuôn dạng TCP datagram .25 .26 Hình 1.8. Thiết lập và giải phóng liên kết .26 Hình 1.9. Cơ chế cửa sổ trượt .28 Hình 1.11 . Mục tiêu CIA .33 Hình 1.12 . Quy trình bảo mật 34 Hình 1.13.Tấn công kẻ trung gian 38 Hình 1.14. Mô hình bảo mật theo lớp 45 Hình 1.15 Bảo mật sử dụng bức tường lửa 46 Hình 1.16 . Các loại IPS .48 Hình 1.17. Bảo mật sử dụng lọc gói dữ liệu 49 Hình 1.18 . Kết nối từ xa sử dụng VPN 51 57 Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet 57 Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức .59 Hình 2.3. Các thông tin được sử dụng trong luật lọc của gói tin IP .60 Hình 2.4. Hoạt dộng của người đại diện ứng dụng 61 Hình 2.5 Tưởng lửa lọc gói tin .66 Hình 2.6. Tường lửa dịch vụ ủy thác .66 Hình 2.7. Giao tiếp trên mạng thông qua proxy server 68 Hình 2.8. Pháo đài phòng ngự 70 Hình 2.9. Sơ đồ hoạt động của ISA Server .73 Hình 2.10. Hoạt động của Standard ACL 75 Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau 78 Hình 2.12. Chức năng phân vùng của firewall .79 Hình 2.13 . Quá trình phiên dich địa chỉ 81 Hình 2.14 . Cấu hình NAT trên nhiều cổng .82 Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngoài 83 Hình 2.16 Quá trình tạo một kết nối TCP từ bên trong ra bên ngoài 86 Hình 2.17. Kiến trúc 3 vùng cơ bản trong thiết kế an ninh mạng 90 4.2.1.Kiến trúc cơ bản 92 Lớp Điện Tử 7 - K48 8 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall Trong kiến trúc firewall cơ bản, firewall có vai trò điều khiển lưu lượng từ trong mạng nội bộ (Inside Network) đi ra các mạng phía ngoài (Outside Network) và ngược lại .92 Trong kiến trúc này firewall sử dụng cấu hình mặc định của nó là 3 cổng: một cổng nối với mạng phía trong có độ an toàn cao nhất, một cổng nối với vùng đệm DMZ có độ anh toàn thấp hơn và cổng thứ 3 có độ an toàn thấp nhất được nối với mạng ngoài. Và như đã nói ở trên thì mặc định tất cả lưu lượng đi từ cổng có độ an toàn cao hơn ra cổng có độ an toàn thấp hơn trên firewall đều được phép nhưng khi đi từ cổng có độ an toàn thấp đến cổng có độ an toàn cao thì đều bị cấm. Đôi khi có những ngoại lệ (Exception) là do chủ ý của người quản trị .92 Trong kiến trúc trên các router ngăn cách giữa mạng trong với firewall và mạng ngoài với firewall không chỉ giữ vai trò định tuyến và là cửa ngõ đi ra khỏi mạng mà còn giữ vai trò là bộ lọc gói (Packet filtering) không có trạng thái hoặc có trạng thái. Các server trong vùng đệm DMZ không chỉ là các server cung cấp các ứng dụng giao tiếp với người trên Internet mà còn giữ vai trò là proxy server. . 92 Hình 2.18 . Kiến trúc firewall cơ bản .93 Đây là cấu hình cơ bản nhất của một mạng thông thường khi giao tiếp với Internet, ở đây firewall có cấu hình mặc định là 3 cổng. Khi quy mô và số mạng trong vùng nội bộ tăng lên có nhu cầu bảo mật khác nhau thì ta sử dụng số cổng nhiều hơn với cấu hình độ bảo mật trên các cổng khác nhau. Không chỉ có thế firewall còn được sử dụng với các công nghệ bảo mật khác nhằm mang lại hiểu quả an toàn cao nhất. Sau đây ta xét kiến trúc an ninh mở rộng sử dụng firewall kết hợp với một công nghệ bảo mật khác 93 4.2.2. Dual – Homed System .93 Hệ thống là một máy tính có ít nhất 2 card mạng được chỉ ra trong hình 2.19. Trường hợp này thì việc định tuyến giữa các side tương ứng với các side của card mạng được ngắt do vậy việc kiểm soát lưu lượng mạng hoàn toàn có thể được một các thủ công .Giả sử rằng hệ thống đang chạy WEB server .Nếu định tuyến bị ẩn thì các gói tin không thể được trao đổi giữa các mạng khác nhau được .Ví dụ ,nếu một vài bộ phận trong một tổ chức cần chia sẻ cùng 1 web server nhưng bạn không muốn tạo một bảng định tuyến giữa các bộ phận thì bạn có thể sử dụng cấu hình hệ thống này .Tuy nhiên ,các hacker có thể tấn công vào sơ hở này (nếu trường hợp các ứng dụng và bản vá lỗi chưa được cài đặt ) 93 94 Hình 2.19. Hệ thống Dual – Homed có 2 card mạng .94 4.2.3. Kiến trúc Screen Host 94 Trường hợp này thì Router chỉ cho phép người dung Internet kết nối tới một hệ thống đã được định nghĩa trước trong pháo đài phòng ngự .Cổng getway sẽ đóng vai trò kiểm soát toàn bộ gói tin vào ra .94 Lớp Điện Tử 7 - K48 9 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall 94 Hình 2.20. Kiến trúc Screening Host .94 Router lọc tin sẽ làm việc rất nhiều trong cấu trúc này ,không chỉ làm việc với các gói tin để hướng chúng vào các hệ thống bên trong mạng mà nó còn cho phép hay không cho phép mạng nội bộ mở kết nối với Internet .Bạn có thể cài đặt cấu hình này dựa trên yêu cầu bảo mật của hệ thống của bạn .Chapman và Zwicky đã lưu ý rằng cấu trúc này có thể bị hỏng vì nó cho phép các gói tin từ Internet vào mạng nội bộ ,không giống với Dual – Homed sẽ khóa tất cả gói tin từ mạng ngoài vào nội bộ 94 4.2.4. Kiến trúc Screeded Subnet .95 Trường hợp này tương tự với Screening Host ,ngoại trừ một lớp phụ của bảo mật được thêm vào giữa vùng ưu tiên và vùng nội bộ 95 95 hình 2.21. Kiến trúc Screened Subnet 95 Lý do cho cấu trúc này là để bảo vệ mạng nội bộ trong trường hợp pháo đài phòng ngự không thể chống lại được tấn công từ hacker .95 DANH SÁCH CÁC TỪ VIẾT TẮT Từ viết tắt Từ đầy đủ Chú thích FW Firewall Bức tường lửa VPN Virtual Private Network Mạng riêng ảo NAT Network Address Translation Phiên dịch địa chỉ mạng OSI Open Systems Interconnection Mô hình liên kết các hệ thống mở CSU/DSU Chanel Service Unit/ Digital Service Unit Đơn vị dịch vụ kênh và đơn vị dịch vụ số LAN Local Area Network Mạng cục bộ MAN Metropolitan Area Network Mạng đô thị GAN Global Area Network Mạng toàn cầu CAN Campus Area Network Mạng trường học WAN Wide Area Network Mạng diện rộng SAN Storage Area Network Mạng lưu trữ VPN Vitual Private Network Mạng riêng ảo IEEE Institue of Electrical and Electronic Engineers Tổ chức chuẩn IEEE Lớp Điện Tử 7 - K48 10 [...]... công nghệ bảo mật Lớp Điện Tử 7 - K48 12 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall Tìm hiểu các công nghệ bảo mật thường được sử dụng và các biện pháp kết hợp để bảo mật hệ thống PHẦN II: BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA Phần này trình bày bảo mật sử dụng công nghệ Bức tường lửa, với các nội dung chi tiết liên quan đến công nghệ này Nội dung đó nằm trong các chương sau: Chương 4: Bức. .. 4: Bức tường lửa Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng loại Chương 5: Ứng dụng Bức tường lửa trong các doanh nghiệp Một số ứng dụng của bức tường lửa trong bảo mật thông tin cho các doanh nghiệp KẾT LUẬN PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT Chương 1 MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP Truyền thông tin trên mạng là một quá trình phức tạp đòi nhiều công nghệ hỗ... Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được thêm bởi tầng ứng dụng 4 Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP bao gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng Có rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà phổ biến là: Telnet sử dụng trong việc... niệm bảo mật và giới thiệu các công nghệ bảo mật trên nền bộ giao thức đó Các nội dung được trình theo các chương sau: Chương 1: Mô hình OSI và bộ giao thức TCP/IP Trình bày mô hình truyền thông tin trên mạng Internet theo các lớp và đi sâu tìm hiểu 3 giao thức cơ bản IP, UDP, TCP Chương 2: Khái niệm bảo mật Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương pháp tấn công. .. Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall luôn tìm cách để khai thác các lỗ hổng trong hệ thống bảo mật đó bằng các biện pháp tinh vi hơn Để phòng ngừa và đối phó được thì những người xây dựng các chiến lược bảo mật cũng phải luôn luôn vạch ra các chiến lược mới và sử dụng công nghệ tiên tiến hơn Hình 1.12 Quy trình bảo mật Như hình vẽ ta thấy chu trình bảo mật quy định 4 quá trình rất rõ ràng... chuẩn IETF Lớp Điện Tử 7 - K48 11 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall LỜI MỞ ĐẦU Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall, bản đồ án này được tôi chia thành 3 phần với những nội dung như sau: PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT Phần này trình bày các khái niệm về mô hình... thuật và quy trình sử dụng để đánh giá độ tin cậy, Lớp Điện Tử 7 - K48 34 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall cũng như mức độ tổn thất, để từ đó có chiến lược thay thế phù hợp Việc kiểm thử cần được diễn ra định kì đều đặn Nâng cấp (Improve): đó là các kế hoạch nâng cấp cải tạo các công nghệ bảo mật mới để đáp ứng được nhu cầu thay đổi, thay thế các kế hoạch bảo mật mới, việc này cần... không được sử dụng Đối với UDP, TCP port unreachable được sinh ra để thông báo cho người sử dụng còn đối với TCP, yêu cầu thiết lập lại liên kết được sử dụng thay vào đó Ngoài ra trạm gửi có thể hủy bỏ liên kết sau khi đã xếp dữ liệu vào hàng đợi bằng cách gửi RTS segment Hủy bỏ liên kết cung cấp cho tầng ứng dụng hai đặc điểm sau : Lớp Điện Tử 7 - K48 27 Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall... kiểu tấn công này cần phải có các công cụ ngăn chặn, phát hiện và lọc các gói tin… Mục tiêu của bảo mật thông tin là đảm bảo được 3 yêu cầu trên, trong kĩ thuật bảo mật gọi là mục tiêu CIA Để đạt được mục tiêu CIA không chỉ đơn giản là thực hiện một vài biện pháp phòng chống, triển khai một vài thiết bị hay phần mềm cho hệ thống mà bảo mật là một Chu trình liên tục theo thời gian 2.3 BẢO MẬT LÀ MỘT... dĩ bảo mật phải được tổ chức và thực hiện theo chu trình là để đảm bảo tính chặt chẽ và hiệu quả Hơn thế nữa chu trình đó còn có tính kế thừa và phát triển vì các kĩ thuật tấn công phá hoại ngày càng tinh vi hiện đại, một hệ thống bảo mật được cho là tối ưu trong thời điểm hiện tại vẫn có thể nảy sinh các vấn đề trong tương lai vì kẻ tấn công Lớp Điện Tử 7 - K48 33 Nguyễn Bá Hiếu Bảo mật mạng bằng công . mật thường được sử dụng và các biện pháp kết hợp để bảo mật hệ thống. PHẦN II: BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA Phần này trình bày bảo mật sử dụng. niệm bảo mật Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương pháp tấn công thường gặp. Chương 3: Các công nghệ bảo

Ngày đăng: 26/04/2013, 10:08

HÌNH ẢNH LIÊN QUAN

Hình 1.1. Mô hình tham chiếu OSI - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.1. Mô hình tham chiếu OSI (Trang 15)
Hình 1.2. Kiến trúc TCP/IP - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.2. Kiến trúc TCP/IP (Trang 16)
Hình 1.2. Kiến trúc TCP/IP - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.2. Kiến trúc TCP/IP (Trang 16)
Khuôn dạng đơn vị dữ liệu dùng trong IP được thể hiện như trong hình 1.3 - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
hu ôn dạng đơn vị dữ liệu dùng trong IP được thể hiện như trong hình 1.3 (Trang 19)
Hình1. 4. Phân lớp địa chỉ IP - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1. 4. Phân lớp địa chỉ IP (Trang 21)
Khuôn dạng của TCP được mô tả trong hình 1.7 : - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
hu ôn dạng của TCP được mô tả trong hình 1.7 : (Trang 24)
Hình 1.8. Thiết lập và giải phóng liên kết - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.8. Thiết lập và giải phóng liên kết (Trang 26)
Hình 1.8.  Thiết lập và giải phóng liên kết - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.8. Thiết lập và giải phóng liên kết (Trang 26)
Hình 1.9. Cơ chế cửa sổ trượt - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.9. Cơ chế cửa sổ trượt (Trang 28)
Hình 1.10. Quá trình đóng /mở gói dữ liệu - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.10. Quá trình đóng /mở gói dữ liệu (Trang 30)
Hình 1.1 1. Mục tiêu CIA - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.1 1. Mục tiêu CIA (Trang 33)
Hình 1.12 . Quy trình bảo mật - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.12 Quy trình bảo mật (Trang 34)
Hình 1.13.Tấn công kẻ trung gian - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.13. Tấn công kẻ trung gian (Trang 38)
Hình 1.13.Tấn công kẻ trung gian - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.13. Tấn công kẻ trung gian (Trang 38)
Hình 1.14. Mô hình bảo mật theo lớp - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.14. Mô hình bảo mật theo lớp (Trang 45)
Hình 1.15 Bảo mật sử dụng bức tường lửa - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.15 Bảo mật sử dụng bức tường lửa (Trang 46)
Hình 1.17. Bảo mật sử dụng lọc gói dữ liệu - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.17. Bảo mật sử dụng lọc gói dữ liệu (Trang 49)
Hình 1.1 8. Kết nối từ xa sử dụng VPN - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 1.1 8. Kết nối từ xa sử dụng VPN (Trang 51)
Hình 2.1. Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.1. Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet (Trang 57)
Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.1 Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet (Trang 57)
Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức (Trang 59)
Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức (Trang 59)
Hình 2.4. Hoạt dộng của người đại diện ứng dụng - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.4. Hoạt dộng của người đại diện ứng dụng (Trang 61)
Hình 2.4. Hoạt dộng của người đại diện ứng dụng - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.4. Hoạt dộng của người đại diện ứng dụng (Trang 61)
Hình 2.5 Tưởng lửa lọc gói tin. - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.5 Tưởng lửa lọc gói tin (Trang 66)
Hình 2.6. Tường lửa dịch vụ ủy thác - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.6. Tường lửa dịch vụ ủy thác (Trang 66)
Hình 2.5 Tưởng lửa lọc gói tin. - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.5 Tưởng lửa lọc gói tin (Trang 66)
Hình 2.7. Giao tiếp trên mạng thông qua proxy server - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.7. Giao tiếp trên mạng thông qua proxy server (Trang 68)
Hình 2.8. Pháo đài phòng ngự - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.8. Pháo đài phòng ngự (Trang 70)
Hình 2.9. Sơ đồ hoạt động của ISA Server - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.9. Sơ đồ hoạt động của ISA Server (Trang 73)
Hình 2.9. Sơ đồ hoạt động của ISA Server - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.9. Sơ đồ hoạt động của ISA Server (Trang 73)
Hình 2.10. Hoạt động của Standard ACL - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.10. Hoạt động của Standard ACL (Trang 75)
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau (Trang 78)
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau (Trang 78)
Hình 2.12. Chức năng phân vùng của firewall - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.12. Chức năng phân vùng của firewall (Trang 79)
Hình 2.12. Chức năng phân vùng của firewall - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.12. Chức năng phân vùng của firewall (Trang 79)
Hình 2.1 3. Quá trình phiên dich địa chỉ - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.1 3. Quá trình phiên dich địa chỉ (Trang 81)
Hình 2.13 . Quá trình phiên dich địa chỉ - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.13 Quá trình phiên dich địa chỉ (Trang 81)
3.3. Cấu hình NAT - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
3.3. Cấu hình NAT (Trang 82)
Hình 2.14 . Cấu hình NAT trên nhiều cổng - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.14 Cấu hình NAT trên nhiều cổng (Trang 82)
Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngoài - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngoài (Trang 83)
Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngoài - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngoài (Trang 83)
Hình 2.16 Quá trình tạo một  kết nối TCP từ bên trong ra bên ngoài - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.16 Quá trình tạo một kết nối TCP từ bên trong ra bên ngoài (Trang 86)
Hình vẽ sau minh họa 3 vùng cơ bản trong thiết kế an ninh mạng và các vị trí đặt firewall. - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình v ẽ sau minh họa 3 vùng cơ bản trong thiết kế an ninh mạng và các vị trí đặt firewall (Trang 90)
Hình vẽ sau minh họa 3 vùng cơ bản trong thiết kế an ninh mạng và các vị trí đặt  firewall. - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình v ẽ sau minh họa 3 vùng cơ bản trong thiết kế an ninh mạng và các vị trí đặt firewall (Trang 90)
Hình 2.18 .Kiến trúc firewall cơ bản - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.18 Kiến trúc firewall cơ bản (Trang 93)
Hình 2.18 . Kiến trúc firewall cơ bản - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.18 Kiến trúc firewall cơ bản (Trang 93)
Hình 2.20. Kiến trúc Screening Host - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.20. Kiến trúc Screening Host (Trang 94)
Hình 2.19. Hệ thống Dual – Homed có 2 card mạng - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.19. Hệ thống Dual – Homed có 2 card mạng (Trang 94)
Hình 2.20. Kiến trúc Screening Host - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.20. Kiến trúc Screening Host (Trang 94)
Hình 2.19. Hệ thống Dual – Homed có 2 card mạng - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.19. Hệ thống Dual – Homed có 2 card mạng (Trang 94)
Hình 2.21. Kiến trúc Screened Subnet - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.21. Kiến trúc Screened Subnet (Trang 95)
Hình 2.20. Sơ đồ hạ tầng mạng bộ tài chính - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.20. Sơ đồ hạ tầng mạng bộ tài chính (Trang 96)
Hình 2.20.  Sơ đồ hạ tầng mạng bộ tài chính - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.20. Sơ đồ hạ tầng mạng bộ tài chính (Trang 96)
Hình 2.21 sơ đồ hạ tầng mạng ngân hàng Techcombank - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.21 sơ đồ hạ tầng mạng ngân hàng Techcombank (Trang 100)
Hình 2.21 sơ đồ hạ tầng mạng ngân hàng Techcombank - BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Hình 2.21 sơ đồ hạ tầng mạng ngân hàng Techcombank (Trang 100)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w