DirectAccess vượt qua VPNs bằng cách thiết lập hai đường kết nối trực tiếp từ client computer đến mạng công ty. DirectAccess được xây dựng dựa trên nền tảng của công nghệ : Internet Protocol Security ( IPsec ) và Internet Protocol version 6 ( IPv6 ). Client thiết lập một kênh IPsec cho lưu lượng IPv6 đến DirectAccess server hoạt động như một gateway đến mạng nội bộ. Hình dưới đây cho thấy DirectAccess client kết nói đến DirectAccess server thông qua địa chỉ public IPv4 internet. Client có thể kết nối ngay cả khi họ ở đằng sau firewall.
Bài : DIRECT ACCESS DirectAccess vượt qua VPNs cách thiết lập hai đường kết nối trực tiếp từ client computer đến mạng công ty DirectAccess xây dựng dựa tảng công nghệ : Internet Protocol Security ( IPsec ) Internet Protocol version ( IPv6 ) Client thiết lập kênh IPsec cho lưu lượng IPv6 đến DirectAccess server- hoạt động gateway đến mạng nội Hình cho thấy DirectAccess client kết nói đến DirectAccess server thông qua địa public IPv4 internet Client kết nối họ đằng sau firewall I.1 DirectAccess client truy cập đến mạng nội cách tự thiết lập hai đường hầm sử dụng IPv6 IPsec: • Infrastructure tunnel (đường hầm sở hạ tầng): sử dụng xác thực máy tính thông tin tài khoản máy tính Đường hầm cung cấp truy cập đến DNS domain controller, cho phép client computer download GPO yêu cầu chứng thực danh nghĩa dung • Intranet tunnel (đường hầm mạng nội bộ):sử dụng xác thực máy tính thông tin tài khoản người dùng Đường hầm chứng thực users cung cấp kết nối đến tài nguyên mạng nội Sau đường hầm đến DirectAccess server thiết lập, clients gửi lưu lượng đến mạng nội thông qua đường hầm Admin cấu hình DirectAccess server cho phép users từ xa sử dụng chương trình họ truy cập vào mạng nội I.2 DirectAccess clients kết nối đến mạng nội cách sử dụng hai loại bảo vệ IPsec : end-to-end end-to-edge • End-to-end: Với End-to-end, DirectAccess client thiết lập IPsec session thông qua DirectAccess server đến server khác mạng nội bộ, nơi mà họ phép truy cập phương pháp cung cấp khả bảo mật cao bạn cấu hình điều khiển truy cập DirectAccess server Tuy nhiên, mô hình đòi hỏi apps server phải chạy hệ điều hành Window server 2k8 hay Window server 2k8 R2 phải sử dụng IPv6 IPsec Hình 1: Kết nối end-to-end IPsec • End-to-edge: Với end-to-edge, DirectAccess client thiết lập IPsec session đến IPsec gateway- DirectAccess server- sau gói tin chuyển tiếp đến server khác mạng nội bộ, gói tín bên không bảo vệ mô hình không đòi hỏi server bên mạng nội Hình 2: Kết nối end-to-edge IPsec Để nâng cao tính bảo mật hệ thống mạng, cần triển khai IPv6 IPsec công ty, nâng cấp apps server chạy hệ điều hành window 2k8 hay window 2k8 R2 để sử dụng chế end-to-end Cơ chế cho phép chứng thực mã hóa thong tin từ DirectAccess client đến mạng nội II Quá trình thực kết nối Hình 3: Sơ đồ trình thực kết nối mạng DirectAccess DirectAccess client phải tuân theo bước sau để kết nối đến mạng nội bộ: • DirectAccess client sử dụng hệ điều hành Windows Enterprise or Windows Ultimate • DirectAccess client xác định vị tri địa lý o Nếu mạng nội DirectAccess không sử dụng o Nếu mạng nội thực kết nối DirectAccess • Các máy DirectAccess client internet kết nối đến DirectAccess server với IPv6 IPsec Nếu môi trường mạng nơi chưa triển khai IPv6 DirectAccess client sử dụng công nghệ 6to4 hay teredo để gửi IPv4encapsulated IPv6 traffic • Nếu firewall hay proxy server ngăn chặn client computer sử dụng 6to4 hay Teredo, client tự động kết nối gia thức IP-HTTPS IP-HTTPS uses an IPv4-based Secure Sockets Layer (SSL) connection to encapsulate IPv6 traffic • Là phần thiết lập phiên IPsec cho đường hầm sở hạ tầng để tiếp cận với DNS server DC , DirectAccess client server xác thực cách sử dụng computer certificates and computer account credentials • Khi user log on vào hệ thống, DirectAccess client thiết intranet tunnel để truy cập đến tài nguyên mạng nội DirectAccess client server chứng thực lẫn cách sử dụng chứng máy tính thông tin tài khoản dung • Cuối cùng, DirectAccess client truy cập sử dụng tài nguyên mạng nội Chứng thực DirectAccess III • DirectAccess xác nhận máy tính trước người dùng đăng nhập vào • Thông thường, máy tính xác thực cho phép truy cập Domain Controllers DNS servers Sau người dùng đăng nhập , DirectAccess xác thực người sử • dụng, người dùng kết nối với tài nguyên mà họ truy cập DirectAccess hỗ trợ xác thực người dùng tiêu chuẩn cách sử dụng tên người dùng mật Có thể sử dụng thẻ thông minh để đánh máy thông tin người sử dụng yêu cầu chứng thực smart card config: User authentication : yêu cầu cho người sử dụng quy định, máy tính mà họ sử dụng Computer authentication : yêu cầu cho máy tính quy định, người dùng đăng nhập vào Gateway authentication : Các cổng IPsec yêu cầu xác thực thẻ thông minh trước cho phép kết nối Lựa chọn tùy chọn mà tùy chọn trước cho phép người dùng truy cập tài nguyên Internet mà không cần thẻ thông minh họ, đòi hỏi thẻ thông minh trước người dùng máy tính kết nối đến tài nguyên nội Điều kết hợp với phương pháp thẩm định thực thi trước Khi xác thực hai yếu tố cần thiết để xác thực end-to-end, bạn phải sử dụng Active Directory Domain Services (AD DS) Windows Server 2008 R2 Bài : IPv6 IPv6 sử dụng 128 bit địa chỉ, tăng gấp lần số bit so với IPv4 (32bit) Nghĩa IPv4 có 232 ~ 4,3 tỷ địa chỉ, IPv6 có tới 2128~ 3,4 * 1038 địa IP Gấp 296 lần so với địa IPv4 Với số địa IPv6 rãi bề mặt trái đất (diện tích bề mặt trái đất 511263 tỷ mét vuông) mét vuông có khoảng 665.570 tỷ tỷ địa Địa IPv6 biểu diễn ký tự Hexa với tổng cộng Octet Mỗi Octet chứa ký tự Hexa tương ứng với 16 bit nhị phân Dấu hai chấm ngăn cách octet So sánh Header IPv4 IP6 Header IPv6 có 40 octet (hay độ lớn 40 byte) trái ngược với 20 octet IPv4 Tuy nhiên IPv6 có số lượng trường hơn, nên giảm thời gian xử lý Header, tăng độ linh hoạt Trường địa lớn lần so với IPv4 Không có Header checksum, trường checksum IPv4 bỏ Các trường có IPv6 Header : + Version : Trường chứa bit 0110 ứng với số phiên IP + Traffic Class : Trường bit tương ứng với Trường Type of Service (ToS) IPv4 Trường sử dụng để biểu diễn mức ưu tiên gói tin, ví dụ có nên truyền với tốc độ nhanh hay thông thường, cho phép thiết bị xử lý gói cách tương ứng + Flow Label : Trường hoàn toàn IPv6, có 20 bit chiều dài Trƣờng biểu diễn luồng cho gói tin đƣợc sử dụng kỹ thuật chuyển mạch đa lớp (multilayer switching), nhờ gói tin đƣợc chuyển mạch nhanh trước + Payload Length : Trường 16 bit Tƣơng tự trƣờng Toal Length IPv4, xác định tổng kích thƣớc gói tin IPv6 (không chứa header) + Next Header : Trường bit Trƣờng xác định xem extension header có tồn hay không, không đƣợc sử dụng, header chứa thông tin tầng IP Nó đƣợc theo sau header tầng cao hơn, tức header TCP hay UDP, trường Next Header loại header theo sau + Hop Limit : Trường bit Trường tường tự Trường Time to live IPv4 Nó có tác dụng số hop tối đa mà gói tin IP đƣợc qua Qua hop hay router, giá trị Trường giảm + Source Address : Trường gồm 16 octet (hay 128 bit), định danh địa nguồn gói tin + Destination Address : Trường gồm 16 octet (hay 128 bit), định danh đích gói tin Các quy tắc biểu diễn : 128 bit IPv6, đƣợc chia thành Octet, Octet chiếm byte (4 bit), gồm số đƣợc viết dƣới hệ số Hexa, nhóm đƣợc ngăn cách dấu hai chấm IPv6 địa nên không xài hết 128 bit, có nhiều số bit đầu nên ta viết rút gọn để lƣợc bỏ số Ví dụ địa : 1088:0000:0000:0000:0008:0800:200C:463A Ta viết thay phải viết 0000, viết thay phải viết 0008, viết 800 thay phải viết 0800 Địa đƣợc rút gọn:1088:0:0:0:8:800:200C:463A IPv6 có nguyên tắc nhóm số lại thành dấu hai chấm “::”, địa trên, viết lại nhƣ sau: 1088::8:800:200C:463A Qua ví dụ trên, ta rút đƣợc nguyên tắc: + Trong dãy địa IPv6, có số đứng đầu loại bỏ Ví dụ 0800 đƣợc viết thành 800, 0008 đƣợc viết thành + Trong dãy địa IPv6, có nhóm số liên tiếp, đơn giản nhóm dấu :: (chỉ áp dụng dãy liên tiếp nhau) + Trong IPv6, sử dụng dấu hai chấm lần với địa Không đƣợc viết ::AB65:8952::, viết nhƣ gây nhầm lần dịch đầy đủ Unicast Address + Global Unicast Address: Địa đƣợc ISP cấp cho ngƣời sử dụng có nhu cầu kết nối Internet Global Unicast Address giống nhƣ địa Public IPv4 + Link-local Addresses: Đây loại địa dùng cho host chúng muốn giao tiếp với host khác mạng LAN Tất IPv6 interface có địa link local 10 bits đầu giá trị cố định 1111 1110 10 (Prefix FE80::/10) 54 bits có giá trị 64 bits cuối : địa interface Kết luận : Trong Link Local Address: 64 bit đầu giá trị cố định không thay đổi tƣơng ứng với prefix FE80::/10 Có lƣu ý Router chuyển gói tin có địa nguồn địa đích Link Local Address + Site-Local Addresses đƣợc sử dụng hệ thống nội (Intranet) tƣơng tự địa Private IPv4 (10.X.X.X, 172.16.X.X, 192.168.X.X) Phạm vi sử dụng SiteLocal Addresses Site 10 bits đầu giá trị cố định 1111 1110 11 (Prefix FEC0::/10) 38 bits toàn bit 16 bits giá trị Subnet ID 64 bits cuối địa interface REMEDIATION Remediation trình hỗ trợ thiết bị cuốiđể đạt mức độ cần thiế tcủaviệc tuân thủvàsau đóbù đắp hạn chếvào mạng Để giới hạn trình remediation thủ công, vấn đề với thiết bị cuối hoạt động user nên giải cách tự động giải bới người dùng dồn hết cho người quản trị cách triển khai Remediation thường gặp quarantine and captive portals QUARANTINE Một mạng quarantine mạng IP giới hạn cung cấp cho user kết nối đến hosts ứng dụng định admin Quarantine thường thực nhờ việc gán VLAN Khi NAC định thiết bị người dùng không đủ điều kiện để truy cập vào mạng (chưa update antivirus, hệ điều hành,…) port switch mà họ/thiết bị kết nối vào gán vào VLAN mà truy cập đến server cung cấp cập nhật thứ cần thiết để user/thiết bị có quyền truy cập vào mạng 2.CAPTIVE PORTALS Ngăn chặn truy cập đến trang web, redirecting users đến trang web cung cấp hướng dẫn tool cần thiết để update máy tính họ Cho đến thiết bị cập nhật đáp ứng đầy đủ điều kiện để truy cập mạng truy cập đến nơi khác MONITORING (GIÁM SÁT) • • Có nên kiểm tra, đánh giá thiết bị chúng kết nối vào mạng không? Lúc nên kiểm tra lại thiết bị (ví dụ, sau ngày, sau tuần,…) • Trong trinh kiểm tra, đánh giá, client có phép trì kết nối không? Bài : IPS Các kiểu công : 1) Thăm dò (Reconnaissance): - Thăm dò việc thu thập liệu trái phép tài nguyên, lổ hổng dịch vụ hệ thống Các cách công truy cập hay DoS thường tiến hành kiểu công thăm dò 2) Truy cập ( Access) -Truy cập thuật ngữ rộng miêu tả kiểu công đòi hỏi người xâm nhập lấy quyền truy cập trái phép hệ thống bảo mật với mục đích thao túng liệu, nâng cao đặc quyền, hay đơn giản truy cập vào hệ thống 3) Từ chối dịch vụ (Denial of Service) - DoS attack (dịch công từ chối dịch vụ ) kiểu công lợi hại, với loại công này, bạn cần máy tính kết nối Internet thực việc công máy tính đốI phương thực chất DoS attack hacker chiếm dụng lượng lớn tài nguyên server (tài nguyên băng thông, nhớ, cpu, đĩa cứng, ) làm cho server đáp ứng yêu cầu từ máy nguời khác (máy người dùng bình thường ) server nhanh chóng bị ngừng hoạt động, crash reboot 4) Malicious Code Attacks( Tấn công mã độc) Phần mềm độc hại chèn vào máy chủ để gây thiệt hại, làm hỏng hệ thống từ chối truy cập vào mạng, hệ thống, dịch vụ Tên gọi chung cho loại phần mềm Worms, Viruses Trojan Horses Các hệ thống ngăn chặn xâm nhập: IDS (Intrusion Detection System- hệ thống phát xâm nhập) hệ thống phần cứng phần mềm có chức giám sát, phân tích lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Chức IDS : - Chức quan trọng là: giám sát – cảnh báo – bảo vệ Giám sát: lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại Tường lửa (firewall) hệ thống gồm phần cứng phần mềm làm nhiệm vụ ngăn chặn truy nhập "không mong muốn" từ bên từ bên vào Tường lửa thường đặt cổng giao tiếp hai hệ thống mạng, ví dụ mạng nước mạng quốc tế, mạng nội doanh nghiệp mạng Internet công cộng v.v để lọc thông tin theo nguyên tắc định trước 3/ Hệ thống ngăn chặn xâm nhập IPS (intrusion prevention system) Hệ thống IPS (intrusion prevention system) kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật firewall với hệ thống phát xâm nhập IDS (intrusion detection system), có khả phát xâm nhập, công tự động ngăn chặn công IPS không đơn giản dò công, chúng có khả ngăn chặn cản trở công Chúng cho phép tổ chức ưu tiên, thực bước để ngăn chặn lại xâm nhập Phần lớn hệ thống IPS đặt vành đai mạng, dủ khả bảo vệ tất thiết bị mạng Hệ thống IPS gồm module chính: module phân tích luồng liệu, module phát công, module phản ứng * Module phân tích luồng liệu: Module có nhiệm vụ lấy tất gói tin đến mạng để phân tích, Bộ phân tích đọc thông tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ Các thông tin chuyển đến modul phát công * Module phát công: Đây module quan trọng hệ thống có nhiệm vụ phát công Phương pháp dò dấu hiệu : Phương pháp phân tích hoạt động hệ thống, tìm kiếm kiện giống với mẫu công biết trước ưu điểm phát công nhanh xác, không đưa cảnh báo sai làm giảm khả nǎng hoạt động mạng giúp người quản trị xác định lỗ hổng bảo mật hệ thống Tuy nhiên, phương pháp có nhược điểm không phát công sở liệu, kiểu công Phương pháp dò không bình thường: Đây kỹ thuật dò thông minh, nhận dạng hành động không bình thường mạng, * Modul phản ứng : Khi có dấu hiệu công thâm nhập, modul phát công gửi tín hiệu báo hiệu có công thâm nhập đến modul phản ứng Lúc modul phản ứng kích hoạt tường lửa thực chức nǎng ngǎn chặn công hay cảnh báo tới người quản trị III : Kỹ thuật ngăn chặn mô hình hệ thống IPS : 1/ Signature-Based IPS : kỹ thuật dựa so sánh lựu lượng mạng có dấu hiệu trùng với dấu hiệu cảnh báo (database) biết trước nhà sản xuất IPS phải cung cấp cập nhật (update) file dấu hiệu, giống nhà cung cấp phần mềm diệt virus phải cung cấp cập nhật cho phần mềm họ * Ưu điểm : - Ít cảnh báo nhầm : file dấu hiệu tạo nên từ hoạt động phương pháp công biết, có trùng lắp xác suất xảy công cao - Phát nhanh bảo vệ hệ thống mạng * Khuyết điểm : - Không có khả phát ngăn chặn công - Không có khả phát thay đổi công biết - Đòi hỏi trách nhiệm lực nhà quản trị bảo mật cao Phải đảm bảo đảm file sở liệu cập nhật Đây công việc nhiều thời gian khó khăn 2/ Anomaly-Based IPS: phát dựa bất thường hay mô tả sơ lược phân tích hoạt động mạng máy tính lưu lượng mạng nhằm tìm kiếm bất thường * Ưu điểm : - Với phương pháp này, kẻ xâm nhập lúc có, lúc không phát sinh cảnh báo biết xác gây cảnh báo họ quyền truy cập vào profile sử dụng để phát công - Phát dựa profile không dựa dấu hiệu biết, thực phù hợp cho việc phát công chưa biết trước miễn chệch khỏi profile bình thường Phát dựa profile sử dụng để phát phương pháp công mà phát dấu hiệu không phát * Khuyết điểm : - Thời gian chuẩn bị ban đầu cao - Không có bảo vệ suốt thời gian khởi tạo ban đầu - Thường xuyên cập nhật profile thói quen người dùng thay đổi - Khó khăn việc định nghĩa cách hành động thông thường : định nghĩa hoạt động bình thường thử thách mà môi trường nơi mà công việc người dùng thay đổi thường xuyên - Cảnh báo nhầm: chúng thường tìm điều khác thường - Tạo profile phương pháp lấy mẫu thống kê lấy mẫu không thống kê khó hiểu giải thích 3/ Policy-Based IPS Một Policy-Based IPS phản ứng có hành động có vi phạm cấu hình policy xảy Bởi vậy, Policy-Based IPS cung cấp nhiều phương thức để ngăn chặn * Ưu điểm việc dùng Policy-Based IPS - Có thể áp policy cho thiết bị hệ thống mạng - Một tính quan trọng Policy-Based xác thực phản ứng nhanh, có cảnh báo sai Đây lợi ích chấp nhận người quản trị hệ thống đưa security policy tới IPS cách xác * Khuyết điểm việc dùng Policy-Based IPS - Công việc người quản trị vất vả - Khi thiết bị thêm vào mạng lại phải cấu hình - Khó khăn quản trị từ xa 4./ Protocol Analysis-Based IPS Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) việc chống xâm nhập tương tự Signature-Based IPS, sâu việc phân tích giao thức gói tin(packets) * Chức : -Kiểm tra khả giao thức để xác định gói tin có hợp pháp hay không hợp pháp - Kiểm tra nội dung Payload (pattern matching) - Thực cảnh cáo không bình thường Bài : CÂN BẰNG TẢI : 1.2.Các giải pháp chia tải giới 1.2.1 Chia tải phần mềm cài máy chủ Kết hợp nhiều server cách chặt chẽ tạo thành server ảo (virtual server) Các hệ điều hành cho máy chủ hệ hãng Microsoft, IBM, HP hầu hết cung cấp khả này, số hãng phần mềm khác Veritas(Symantec) cung cấp giải pháp theo hướng 1.2.2 Chia tải nhờ proxy Nhóm thường tận dụng khả chia tải sẵn có phần mềm proxy ISA Proxy Microsoft hay Squid Proxy thực nhiệm vụ chia tải server cho hợp lý Giải pháp hoạt động mức ứng dụng nên có khả caching (là công nghệ lưu trữ cục liệu truy cập với tần suất cao) khả firewall tầng ứng dụng 1.2.3 Chia tải nhờ thiết bị chia kết nối Nhóm thường sử dụng mođun cắm thêm thiết bị chuyên dụng Bộ định tuyến (Router) hay hay chuyển mạch (Switch) để chia tải theo luồng, thường hoạt động từ layer trở xuống 1.3 Các thành phần SLB Server Load Balancers: Load Balancer thiết bị phân phối tải máy tính với máy tính xuất máy tính Phần thảo luận chi tiết thành phần thiết bị SLB VIPs: Virtual IP (VIP): Là địa IP thường gán Load balancer Tất yêu cầu client gởi tới IP ảo Các máy chủ (Servers): Máy chủ chạy dịch vụ chia sẻ tải dịch vụ khác Nhóm (Groups): Dùng để nhóm máy chủ cân tải Các thuật ngữ “farm” “server farm” có ý nghĩa với thuật ngữ Cấp độ người dùng truy nhập (User - Access Levels): Là nhóm quyền gán cho người dùng đăng nhập vào thiết bị cân tải • Read-only: Cấp độ truy cập đọc (Read-only) không cho phép thay đổi thực • Superuser: Superuser cấp độ truy cập cho phép người dùng có đầy đủ quyền điều khiển hệ thống Superuser thêm tài khoản khác, xóa file, cấu hình lại hệ thống với tham số • Các cấp độ khác: Rất nhiều sản phẩm cung cấp thêm vài cấp độ người dùng trung gian hai cấp độ trên, có quyền giới hạn hệ thống Giải pháp dự phòng (Redundancy) Giải pháp dự phòng đơn giản: thiết bị gặp trục trặc, thiết bị thay thiết bị khác mà không gây ảnh hưởng đến hoạt động toàn hệ thống • - Active - Standby • Kịch dự phòng hoạt động - chờ cách dễ để thực Một thiết bị nhận toàn luồng liệu đến, thiết bị lại chờ tình trục trặc • • • Hình 2.1: Kịch Active – Standby • • Nếu thiết bị hoạt động gặp trục trặc, thiết bị xác định trục trặc nhận xử lý toàn luồng liệu đến • • Hình 2.2: Hoạt động kịch Active - Standby • - Kịch Active - Active • Trong tất trường hợp, hai thiết bị chấp nhận xử lý luồng liệu đến Trong tình hai thiết bị gặp trục trặc thiết bị lại nhận thực thi chức thiết bị gặp trục trặc • • Hình 2.3: Kịch Active-Active DSR (Direct server return) DSR phương pháp phân phối lưu lượng thiết bị cân tải từ kết nối bên Phương pháp phân phối làm tăng thực thi thiết bị cân tải việc giảm cách đáng kể lưu lượng qua thiết bị trình xử lý viết lại thông tin điều khiển gói liệu bước phần DSR làm điều việc bỏ qua giai đoạn bảng xử lý Bởi việc lợi dụng máy chủ thực phía gửi gói liệu với địa nguồn viết lại địa nguồn VIP DSR thực điều cách điều khiển khung liệu lớp để thực SLB Xử lý biết đến MAT (MAC Address Translation) NLB(Network load balancing) NLB dễ dàng cài đặt, cấu hình bảo dưỡng Có thể sử dụng phần cứng phần mền có máy tính không cần cài thêm phần mền Chúng ta sử dụng ứng dụng Network load balancing windows server để tạo,quản lí,điều khiển nhóm Một nhóm NLB bao gồm tối đa 32 server,được xem host.Mỗi host chạy ứng dụng giống để cung cấp tới client.NLB làm việc cách tạo host card mạng ảo đại diện cho nhóm(còn gọi card nhóm) Bài : EFS • EFS sử dụng lớp bảo vệ liệu bên lớp bảo vệ NTFS EFS chất sử dụng chứng điện tử (digital certificate) tảng khóa công khai PKI cung cấp để kiểm soát việc truy cập vào tập tin/ thư mục EFS bảo vệ • • Nguyên lý hoạt động : EFS Component Driver kiểm tra tính tương tác với NTFS EFS Driver tìm kiếm chữ kí Private Key người mã hóa tài liệu Local • Cert Store Nếu ko tìm thấy EFS Driver đăng kí để lấy chữ kí private key cho người dùng • từ CA Nếu EFS Driver tiếp tục ko kết nối với CA tự tạo chứng (self-signing) • EFS tạo khóa FEK mã hóa nội dung tài liệu với thuật toán • DESX/3DES/AES… EFS tiếp tục dùng khóa công khai người dùng đễ mã hóa tiếp khóa FEK với • thuật toán RSA EFS lưu khóa FEK mã hóa Header DDF tập tin mã hóa Nếu quản trị cấu hình DRA (data recovery agent) khóa agent lưu • DRF Khi người dùng truy cập tập tin mã hóa pải có sẵn chứng private key • xem tập tin DRA phải import Private key mở mã hóa tài liệu bảo vệ EFS Cấu trúc file DFS : • EFS có hai mức cấu hình : – Mức thiết lập máy, mức tuyên bố có sử dụng hay không (mặc định active) – Mức thứ hai mức file thư mục, mức thực mã hóa liệu – Bài : IRON PORT 1) Iron Port Senderbase Network SenderBase mạng lướigiámsátlưu lượng truy cập web emailđầu tiên vàlớnnhấtcủa ngành công nghiệpvà.SenderBase theo dõicác thông sốmạngkhácnhauvề bất kỳđịa IPnhấtđịnhgửimail trênInternet.Những thông sốnàybao gồmkhối lượngmail toàn cầu gửibởibất kỳ địa chỉIPnào,bao lâuIPđóđãđượcgửi thư, quốc giaxuất xứ,proxy mở rộnghoặc phát hiệnrelaymở, xuất bất kỳdanh sách đenhoặcdanh sách trắng, cấu hìnhDNS phù hợp,khả người gửi để nhận thưtrong trở lại Có hai lợi ích SenderBase Iron Port ngăn chặn 90% SPAM trước vào mạng khách hàng Mail chặn cách quan sát địa IP thay việc quét toàn emails, nhờ giúp cho hiệu suất cao 2) Bộ lọc Outer Layer Phòng chống từ bên ngoài: Cisco IronPort tiên phong kỹ thuật lọc Outer Layer mạnh mẽ việc phòng thư rác Bộ lọc ngăn chặn đến 90% thư rác gửi đến mức độ kết nối đầu vào Thiết bị hỗ trợ khả hạn chế tốc độ gửi cách thông minh nhằm làm chậm trễ người gửi đáng ngờ, giảm nhiều thư rác mà không làm giảm chất lượng nội dung Phòng chống Virus: Ironport cho biết trung bình hãng diệt virus gần ngày để sản xuất "thuốc giải độc" tính từ virus lạ xuất Đôi khi, trình nâng cấp diễn nhanh chóng nói chung, hệ thống máy tính người sử dụng thường không an toàn nhiều 3) Các tính khác Cisco IronPort Case + Cập nhật tự động điều khiển toàn diện, hệ thống thời gian thực báo cáo tập trung + Phát thông báo quảng cáo, cho phép quản trị viên cấu hình giải thông điệp tiếp mong muốn + Cập nhật quy tắc (rule) tự động, kịp thời, an toàn loại bỏ cần thiết phải cấu hình update thù công để cập nhật mối đe dọa lên Dịch vụ cập nhật tự động giúp đảm bảo thiết bị Cisco IronPort chạy lúc Cisco IronPort Email Security Manager Được sử dụng để thiết lập người dùng nhóm sách cụ thể.Quản trị viên dễ dàng cấu hình giải pháp mức độ toàn cầu Cisco IronPort Spam Quarantine Cung cấp cho người dùng cuối truy cập trực tiếp để kiểm tra quản lý tin nhắn xem email gợi ý gửi cho họ theo định kỳ Một plug-in báo cáo thư rác mạnh mẽ cho Microsoft Outlook, cho phép người dùng gửi thư rác trực tiếp đến IronPort Cisco để xem xét IronPort Email Security Monitor Cung cấp khả hiển thị đầy đủ theo thời gian thực người gửi email Nó gây cảnh báo cho quản trị viên lưu lượng truy cập đáng ngờ để họ hành động Bài : RADIUS SERVER RADIUS giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền kiểm toán truy cập cho mạng Radius sử dụng UDP Để chứng thực Radius mã hoá password gửi radius client Radius server Radius không hỗ trợ nhiều giao thức làm việc mạng IP Radius không cung cấp khả điều khiển dòng lệnh thực thi Router TACACS+ sử dụng TCP TACACS+ mã hoá toàn packet TACACS+ hỗ trợ nhiều protocol Lệnh Router định TACACS+ server phép user sử dụng lệnh [...]... Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lổ hổng hoặc dịch vụ của hệ thống Các cách tấn công truy cập hay DoS thường được tiến hành bởi kiểu tấn công thăm dò 2) Truy cập ( Access) -Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền, hay... dụng như một lớp bảo vệ dữ liệu bên ngoài lớp bảo vệ NTFS EFS về bản chất sử dụng chứng chỉ điện tử (digital certificate) do nền tảng khóa công khai PKI cung cấp để kiểm soát việc ai được truy cập vào tập tin/ thư mục được EFS bảo vệ • • Nguyên lý hoạt động : EFS Component Driver sẽ kiểm tra tính tương tác với NTFS EFS Driver tìm kiếm chữ kí Private Key của người mã hóa tài liệu trong Local • Cert Store... mẽ cho Microsoft Outlook, cho phép người dùng gửi thư rác trực tiếp đến IronPort Cisco để xem xét IronPort Email Security Monitor Cung cấp khả năng hiển thị đầy đủ theo thời gian thực về người gửi email Nó cũng gây cảnh báo cho quản trị viên về lưu lượng truy cập đáng ngờ để họ có thể hành động ngay lập tức Bài 8 : RADIUS SERVER RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung,... quá trình xử lý viết lại thông tin điều khiển trong gói dữ liệu như các bước ở phần trên DSR làm điều đó bởi việc bỏ qua giai đoạn 3 trong bảng xử lý ở trên Bởi việc lợi dụng một máy chủ thực phía trong gửi ra ngoài một gói dữ liệu với địa chỉ nguồn đã được viết lại là địa chỉ nguồn của VIP DSR thực hiện điều đó bằng cách điều khiển khung dữ liệu tại lớp 2 để thực hiện SLB Xử lý đó được biết đến như... một WAN Scope, gói tin chuyển đến Anycast Address sẽ được hệ thống định tuyến chuyển đến router có metric tốt nhất (router gần nhất) + Hiện nay, địa chỉ Anycast đƣợc sử dụng rất hạn chế, rất ít tài liệu nói về cách sử dụng loại địa chỉ này Hầu nhƣ Anycast addresss chỉ đƣợc dùng để đặt cho Router, không đặt cho Host, lý do là bởi vì hiện nay địa chỉ này chỉ được sử dụng vào mục đích cân bằng tải + Địa... thì • mới xem được tập tin DRA phải import Private key mới có thể mở mã hóa của tài liệu được bảo vệ bởi EFS Cấu trúc file DFS : • EFS có hai mức cấu hình : – Mức đầu tiên được thiết lập ở máy, đây là mức tuyên bố có được sử dụng hay không (mặc định active) – Mức thứ hai là mức file và thư mục, mức này thực hiện mã hóa dữ liệu – Bài 7 : IRON PORT 1) Iron Port Senderbase Network SenderBase mạng lướigiámsátlưu... tải • Read-only: Cấp độ truy cập chỉ đọc (Read-only) không cho phép bất kỳ một thay đổi nào được thực hiện • Superuser: Superuser là cấp độ truy cập cho phép người dùng có đầy đủ quyền điều khiển hệ thống Superuser có thể thêm các tài khoản khác, xóa file, cấu hình lại hệ thống với bất kỳ tham số nào • Các cấp độ khác: Rất nhiều sản phẩm cung cấp thêm một vài cấp độ người dùng trung gian ở giữa hai... PORTALS Ngăn chặn truy cập đến các trang web, redirecting users đến các trang web cung cấp các hướng dẫn và các tool cần thiết để update máy tính của họ Cho đến khi thiết bị được cập nhật và đáp ứng đầy đủ các điều kiện để truy cập mạng thì nó không thể truy cập đến các nơi khác MONITORING (GIÁM SÁT) • • Có nên kiểm tra, đánh giá các thiết bị mỗi khi chúng kết nối vào mạng không? Lúc nào nên kiểm tra... hoạt động - chờ là cách dễ nhất để thực hiện Một thiết bị sẽ nhận toàn bộ luồng dữ liệu đến, trong khi đó thiết bị còn lại sẽ chờ trong các tình huống trục trặc • • • Hình 2.1: Kịch bản Active – Standby • • Nếu thiết bị đang hoạt động gặp trục trặc, một thiết bị kia sẽ xác định trục trặc và nhận xử lý toàn bộ luồng dữ liệu đến • • Hình 2.2: Hoạt động của kịch bản Active - Standby • - Kịch bản Active... (IDENTITY-BASED) • Kiểm tra độ an toàn cần thiết của thiết bị mà người dùng đang sử dụng (PRECONNECT) Đảm bảo rằng người dùng đáp ứng các chính sách đã định nghĩa xem tài nguyên nào người dùng được phép sử dụng và các điều kiện cần thoả để được sử dụng các tài nguyên đó Sau đó thực hiện việc đánh giá và cấp quyền truy cập cho thiết bị • POST-CONNECT sẽ theo định kỳ kiểm tra lại xem thiết bị có còn đáp ứng được