Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

IPS hệ thống ngăn ngừa xâm nhập tường lửa thế hệ kế tiếp

27 129 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

GVHD: Nguyễn Hoàng Nam BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ HUTECH TP.HCM KHOA CNTT -o0o BÁO CÁO ĐỀ TÀI MƠN QUẢN TRỊ MẠNG SV: Nguyễn Hồng Ân GVHD: Nguyễn Hoàng Nam LỜI CẢM ƠN Để hoàn thành lab , em cám ơn quý Thầy Cô môn Trường Đại Học Công Nghệ TP.HCM giảng dạy , hỗ trợ kiến thức định hướng kiến thức q báu để em tìm hiểu tiếp cận với công nghệ lĩnh vực Do thời gian eo hẹp khả có hạn báo cáo khơng tránh thiếu sót Kính mong nhận ý kiến đóng góp , phê bình q thầy để lab ngày hồn thiện ! Em xin chân thành cám ơn ! SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam I./LINUX SERVER Linux tên gọi hệ điều hành máy tính tên hạt nhân hệ điều hành Nó có lẽ ví dụ tiếng củaphần mềm tự việc phát triển mã nguồn mở Phiên Linux Linus Torvalds viết vào năm 1991, lúc ơng sinh viên Đại học Helsinki Phần Lan Ông làm việc cách hăng say vòng năm liên tục cho đời phiên Linux 1.0 vào năm 1994 Bộ phận chủ yếu phát triển tung thị trường quyền GNU General Public License Do mà tải xem mã nguồn Linux Một cách xác, thuật ngữ "Linux" sử dụng để Nhân Linux, tên sử dụng cách rộng rãi để miêu tả tổng thể hệ điều hành giống Unix (còn biết đến tên GNU/Linux) tạo việc đóng gói nhân Linux với thư viện công cụ GNU, phân phối Linux Thực tế tập hợp số lượng lớn phần mềm máy chủ web, ngơn ngữ lập trình, hệ quản trị sở liệu, môi trường làm việc desktop GNOME KDE, ứng dụng thích hợp cho cơng việc văn phòng OpenOfficehay LibreOffice Khởi đầu, Linux phát triển cho dòng vi xử lý 386, hệ điều hành hỗ trợ số lượng lớn kiến trúc vi xử lý, sử dụng nhiều ứng dụng khác từ máy tính cá nhân siêu máy tính thiết bị nhúng máy điện thoại di động Ban đầu, Linux phát triển sử dụng người say mê Tuy nhiên, Linux có hỗ trợ công ty lớn IBM Hewlett-Packard, đồng thời bắt kịp phiên Unix độc quyền chí thách thức thống trị Microsoft Windows số lĩnh vực Sở dĩ Linux đạt thành công cách nhanh chóng nhờ vào đặc tính bật so với hệ thống khác: chi phí phần cứng thấp, tốc độ cao (khi so sánh với phiên Unix độc quyền) khả bảo mật tốt, độ tin cậy cao (khi so sánh với Windows) đặc điểm giá thành rẻ, không bị phụ thuộc vào nhà cung cấp Một đặc tính trội phát triển mơ hình phát triển phần mềm nguồn mở hiệu SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Tuy nhiên, số lượng phần cứng hỗ trợ Linux khiêm tốn so với Windows trình điều khiển thiết bị tương thích với Windows nhiều Linux Nhưng tương lai số lượng phần cứng hỗ trợ cho Linux tăng lên II./DNS SERVER DNS viết tắt từ Domain Name System (tạm dịch Hệ thống tên miền) Hệ thống phân giải tên phát minh vào năm 1984 cho Internet số chuẩn công nghiệp cổng bao gồm TCP/IP DNS chìa khóa chủ chốt nhiều dịch vụ mạng duyệt Internet, mail server, web server Có thể nói khơng có DNS, Internet mau chóng lụi tàn để bạn hình dung mức độ quan trọng DNS Các tài nguyên mạng định danh địa IP dạng 10.0.0.10 làm ví dụ Mỗi máy tính kết nối vào mạng Internet gán cho địa IP riêng biệt không trùng lẫn với máy tính khác giới Tương tự với website có địa IP riêng biệt Tuy nhiên, bạn đâu thể nhớ rõ số 8.8.8.8 dẫn đến SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hồng Nam website Google Online thay gõ www.google.com Đây lúc DNS "trổ tài chuyển đổi" (ánh xạ) số địa IP khô khan thành ký tự ABC thân thiện II./DHCP SERVER Dynamic Host Configuration Protocol (DHCP - giao thức cấu hình động máy chủ) giao thức cấu hình tự động địa IP Máy tính cấu hình cách tự động giảm việc can thiệp vào hệ thống mạng Nó cung cấp database trung tâm để theo dõi tất máy tính hệ thống mạng Mục đích quan trọng tránh trường hợp hai máy tính khác lại có địa IP Nếu khơng có DHCP, máy cấu hình IP thủ cơng Ngồi việc cung cấp địa IP, DHCP cung cấp thơng tin cấu hình khác, cụ thể DNS Hiện DHCP có version: cho IPv4 IPv6 DHCP định nghĩa RFC 1531 vào tháng 10/1993, phần mở rộng Bootstrap Protocol(BOOTP) Động để cải tiến BOOTP BOOTP đòi hỏi phải cấu hình thủ cơng để thêm thông tin cho máy client, không cung cấp chế tái sử dụng lại địa IP Năm 1997, RFC 2131 đời,vẫn chuẩn IPv4 năm 2011 SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam DHCPv6 định nghĩa RFC 3315 RFC 3633 thêm vào DHCPv6 chế prefix delegation Giao thức BOOTP lần định nghĩa RFC 951 thay thê cho RARP (Reverse Address Resolution Protocol), mà động thiết yếu để thay RARP BOOTP RARP hoạt động tầng data link, điều làm cho việc thực nhiều máy server trở nên khó khăn, đòi hỏi server xử lý riêng network BOOTP có đổi relay agent, cho phép forwarding đến gói BOOTP mạng cục bộ, BOOTP server phục vụ cho nhiều IP subnet DHCP tự động quản lý địa IP loại bỏ lỗi làm liên lạc Nó tự động gán lại địa chưa sử dụng DHCP cho thuê địa khoảng thời gian, có nghĩa địa nầy dùng cho hệ thống khác Bạn bị hết địa DHCP tự động gán địa IP thích hợp với mạng chứa máy trạm Cũng vậy, DHCP tự động gán địa cho người dùng di động mạng họ kết nối Trình tự thuê Địa IP DHCP giao thức Internet có nguồn gốc BOOTP (bootstrap protocol), dùng để cấu hình trạm khơng đĩa DHCP khai thác ưu điểm giao thức truyền tin kỹ thuật khai báo cấu hình định nghĩa BOOTP, có khả gán địa Sự tương tự nầy cho phép định tuyến chuyển tiếp thông điệp BOOTP mạng chuyển tiếp thơng điệp DHCP Vì thế, máy chủ DHCP đánh địa IP cho nhiều mạng Quá trình đạt địa IP mơ tả đây: Bước 1: Máy trạm khởi động với “địa IP rỗng” cho phép liên lạc với máy chủ DHCP giao thức TCP/IP Nó chuẩn bị thơng điệp chứa địa MAC (ví dụ địa card Ethernet) tên máy tính Thơng điệp nầy chứa địa IP trước thuê Máy trạm phát tán liên tục thông điệp lên mạng nhận phản hồi từ máy chủ Bước 2: Mọi máy chủ DHCP nhận thơng điệp chuẩn bị địa IP cho máy trạm Nếu máy chủ có cấu hình hợp lệ cho máy trạm, chuẩn bị thơng điệp “chào hàng” chứa địa MAC khách, địa IP “chào hàng”, mặt nạ mạng (subnet mask), địa IP máy chủ thời gian cho thuê Địa “chào hàng” đánh dấu “reserve” (để dành) Máy chủ DHCP phát tán thông điệp chào hàng nầy lên mạng SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Bước 3: Khi khách nhận thông điệp chào hàng chấp nhận địa IP, máy trạm phát tán thông điệp nầy để khẳng định chấp nhận địa IP từ máy chủ DHCP Bước 4: Cuối cùng, máy chủ DHCP khẳng định toàn việc với máy trạm Để ý lúc đầu máy trạm phát tán yêu cầu địa IP lên mạng, nghĩa máy chủ DHCP nhận thơng điệp nầy Do đó, có nhiều máy chủ DHCP tìm cách cho thuê địa IP cách gởi thông điệp chào hàng Máy trạm chấp nhận thơng điệp chào hàng, sau phát tán thơng điệp khẳng định lên mạng Vì thơng điệp nầy phát tán, tất máy chủ DHCP nhận Thơng điệp chứa địa IP máy chủ DHCP vừa cho thuê, máy chủ DHCP khác rút lại thông điệp chào hàng hồn trả địa IP vào vùng địa chỉ, để dành cho khách hàng khác III./ WEB SERVER Web Server (máy phục vụ Web): máy tính mà cài đặt phần mềm phục vụ Web, đơi người ta gọi phần mềm Web Server Tất Web Server hiểu chạy file *.htm *.html, nhiên Web Server lại phục vụ số kiểu file chuyên biệt chẳng hạn IIS Microsoft dành cho *.asp, *.aspx ; Apache dành cho *.php ; Sun Java System Web Server SUN dành cho *p Máy Web Server máy chủ có dung lượng lớn, tốc độ cao, dùng để lưu trữ thông tin ngân hàng liệu, chứa website thiết kế với thông tin liên quan khác (các mã Script, chương trình, file Multimedia) SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Web Server có khả gửi đến máy khách trang Web thông qua môi trường Internet (hoặc Intranet) qua giao thức HTTP - giao thức thiết kế để gửi file đến trình duyệt Web (Web Browser), giao thức khác Tất Web Server có địa IP (IP Address) có Domain Name Giả sử bạn đánh vào Address trình duyệt bạn dòng http://www.abc.com sau gõ phím Enter bạn gửi u cầu đến Server có Domain Name www.abc.com Server tìm trang Web có tên index.htm gửi đến trình duyệt bạn Bất kỳ máy tính trở thành Web Server việc cài đặt lên chương trình phần mềm Server Software sau kết nối vào Internet Khi máy tính bạn kết nối đến Web Server gửi đến yêu cầu truy cập thông tin từ trang Web đó, Web Server Software nhận yêu cầu gửi lại cho bạn thông tin mà bạn mong muốn Giống phần mềm khác mà bạn cài đặt máy tính mình, Web Server Software ứng dụng phần mềm Nó cài đặt, chạy máy tính dùng làm Web Server, nhờ có chương trình mà người sử dụng truy cập đến thông tin trang Web từ máy tính khác mạng (Internet, Intranet) Web Server Software tích hợp với CSDL (Database), hay điều khiển việc kết nối vào CSDL để truy cập kết xuất thông tin từ CSDL lên trang Web truyền tải chúng đến người dùng Server phải hoạt động liên tục 24/24 giờ, ngày tuần 365 ngày năm, để phục vụ cho việc cung cấp thơng tin trực tuyến Vị trí đặt server đóng vai trò quan trọng chất lượng tốc độ lưu chuyển thông tin từ server máy tính truy cập III./ FTP SERVER FTP (viết tắt File Transfer Protocol dịch "Giao thức truyền tập tin") thường dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giao thức TCP/IP (chẳng SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam hạn Internet - mạng ngoại - intranet - mạng nội bộ) Hoạt động FTP cần có hai máy tính, máy chủ máy khách) Máy chủ FTP, dùng chạy phần mềm cung cấp dịch vụ FTP, gọi trình chủ, lắng nghe yêu cầu dịch vụ máy tính khác mạng lưới Máy khách chạy phần mềm FTP dành cho người sử dụng dịch vụ, gọi trình khách, khởi đầu liên kết với máy chủ Một hai máy liên kết với nhau, máy khách xử lý số thao tác tập tin, tải tập tin lên máy chủ, tải tập tin từ máy chủ xuống máy mình, đổi tên tập tin, xóa tập tin máy chủ v.v Vì giao thức FTP giao thức chuẩn công khai, công ty phần mềm nào, hay lập trình viên viết trình chủ FTP trình khách FTP Hầu tảng hệ điều hành máy tính hỗ trợ giao thức FTP Điều cho phép tất máy tính kết nối với mạng lưới có TCP/IP, xử lý tập tin máy tính khác mạng lưới với mình, máy tính dùng hệ điều hành (nếu máy tính cho phép truy cập máy tính khác, dùng giao thức FTP) Hiện thị trường có nhiều trình khách trình chủ FTP, phần đơng trình ứng dụng cho phép người dùng lấy tự do, không tiền SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam FTP thường chạy hai cổng, 20 21, chạy riêng TCP Trình chủ FTP lắng nghe yêu cầu dịch vụ từ kết nối vào máy trình khách FTP, cổng 21 Đường kết nối cổng 21 tạo nên dòng truyền điều khiển, cho phép dòng lệnh chuyển qua trình chủ FTP Để truyền tải tập tin qua lại hai máy, cần phải có kết nối khác Tùy thuộc vào chế độ truyền tải sử dụng, trình khách (ở chế độ động - active mode) trình chủ (ở chế độ bị động -passive mode) lắng nghe yêu cầu kết nối đến từ đầu Trong trường hợp kết nối chế độ động, (trình chủ kết nối với trình khách để truyền tải liệu), trình chủ phải trước tiên đóng kết vào cổng 20, trước liên lạc kết nối với trình khách Trong chế độ bị động, hạn chế giải tỏa, việc đóng kết trước việc không cần phải làm Trong liệu truyền tải qua dòng liệu, dòng điều khiển đứng im Tình trạng gây số vấn đề, đặc biệt số lượng liệu đòi hỏi truyền tải số lượng lớn, đường truyền tải chạy thông qua tường lửa Bức tường lửa dụng cụ thường tự động ngắt phiên giao dịch sau thời gian dài im lặng Tuy tập tin truyền tải qua hồn thiện, song dòng điều khiển bị tường lửa ngắt mạch truyền thông quãng, gây báo lỗi Mục đích giao thức FTP, phác thảo RFC, là: Khuyến khích việc dùng chung tập tin (như chương trình ứng dụng vi tính liệu) Khuyến khích việc sử dụng máy tính xa cách gián tiếp / âm thầm (implicit) Che đậy khác biệt hệ thống lưu trữ tập tin máy chủ, hầu cho người dùng không cần phải quan tâm đến khác biệt riêng tư chúng Truyền tải liệu cách đáng tin cậy có hiệu cao III./ MRTG MRTG ? - Hệ thống mạng đơn vị bạn có thiết bị mạng Router, Switch Server bạn muốn giám sát traffic hàng ngày thiết bị mạng đó? MRTG phần mềm cho phép bạn thực công việc SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Nagios, ban đầu đặt tên NetSaint t, viết nghiên cứu "cải tiến" Ethan Galstad, với nhóm nhà phát triển tích cực trì hai thức khơng thức bổ sung N.A.G.I.O.S từ viết tắt đệ quy: "Không phải Gonna Nagios Luôn nhấn mạnh phong Thánh" , "phong Thánh" tham chiếu đến tên ban đầu phần mềm, mà thay đổi để đáp ứng với thách thức pháp lý chủ sở hữu nhãn hiệu tương tự "Agios" Nagios ban đầu thiết kế để chạy theo GNU / Linux, chạy tốt phiên Unix Nó miễn phí phần mềm, cấp phép theo điều khoản GNU General Public License phiên xuất Tổ chức Phần mềm Tự SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Nagios phần mềm nguồn mở cấp phép theo chuẩn V3 GNU GPL Giám sát dịch vụ mạng (SMTP, POP3, HTTP, NNTP, ICMP, SNMP, FTP, SSH) Giám sát tài nguyên máy chủ (tải xử lý, đĩa sử dụng, hệ thống ghi) phần lớn hệ điều hành mạng, bao gồm Microsoft Windows với plugin NSClient + + Check_MK Giám sát điều khác thăm dò (nhiệt độ, báo động ) có khả gửi liệu thu thập thông qua mạng lưới để bổ sung cụ thể văn Giám sát thông qua kịch từ xa, chạy qua Nagios Remote Plugin chấp hành viên Giám sát từ xa hỗ trợ thông qua SSH SSL mã hóa đường hầm Plugin thiết kế đơn giản cho phép người dùng dễ dàng phát triển dịch vụ kiểm tra riêng họ tùy thuộc vào nhu cầu, cách sử dụng công cụ lựa chọn (kịch shell, C + +, Perl, Ruby, Python, PHP, C #, vv) Plugins sẵn sàng cho đồ họa liệu (Nagiosgraph, Nagiosgrapher, PNP4Nagios, người khác có sẵn) Song song dịch vụ kiểm tra sẵn Khả để xác định máy chủ lưu trữ mạng cách sử dụng hệ thống cấp bậc "phụ huynh" máy chủ, cho phép phát phân biệt máy xuống người unreachable Liên hệ thông báo dịch vụ máy chủ lưu trữ vấn đề xảy có giải (qua e-mail, máy nhắn tin, SMS, hay phương pháp người dùng định nghĩa thông qua plugin hệ thống) SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Khả xử lý kiện để xác định chạy thời gian dịch vụ máy chủ lưu trữ kiện chủ động giải vấn đề Tự động log file quay Hỗ trợ cho triển khai thực giám sát dự phòng máy chủ Tùy chọn giao diện web để xem tình trạng mạng tại, thơng báo, vấn đề lịch sử, tập tin đăng nhập V./ Công nghệ MPLS dịch vụ MPLS đầy tiềm Hiện hầu hết mạng diện rộng Việt Nam tổ chức với kết nối sử dụng dịch vụ thuê đường truyền riêng (Leased Line), Frame Relay X.25 thông qua nhà SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam cung cấp dịch vụ viễn thông Hầu hết hệ thống mạng hoạt động theo cách thức định tuyến IP truyền thống với khơng nhược điểm, đáp ứng chậm có yêu cầu xử lý luồng lưu lượng lớn mạng Ngay áp dụng số kỹ thuật fast-table lookup policy-based routing việc xử lý router thường bị tải Hậu lưu lượng, kết nối, chí giảm đặc tính mạng Ngồi phải kể đến chi phí khơng nhỏ dành cho việc th dịch vụ viễn thông để kết nối mạng Công nghệ MPLS (Multi Protocol Label Switching) dịch vụ MPLS VPN (mạng riêng ảo MPLS) xem giải pháp cho vấn đề Điểm bật công nghệ chuyển tiếp lưu lượng nhanh, khả linh hoạt, đơn giản điều khiển phân luồng MPLS có khả phục vụ linh hoạt dịch vụ định tuyến, tận dụng đường truyền giúp giảm chi phí Hạn chế định tuyến IP truyền thống Với hệ thống mạng hoạt động theo cách thức định tuyến IP truyền thống, node mạng (router) phải thực hai chức chính: định tuyến (routing) chuyển tiếp (switching forwarding) Quá trình định tuyến chuyển tiếp gặp phải ba hạn chế lớn: - Phải dựa vào giao thức định tuyến để phân bố thông tin định tuyến SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam - Việc thực trình chuyển tiếp dựa địa đích gói tin; khơng thể dựa tham số QoS (chất lượng dịch vụ) - Mỗi node mạng phải thực việc tìm kiếm thơng tin định tuyến Công Nghệ Mpls Để hiểu nguyên tắc hoạt động MPLS, trước hết ta phải làm quen với số khái niệm dùng MPLS • MPLS domain: Là tập hợp node mạng MPLS quản lý điều khiển quản trị mạng, hay nói cách đơn giản MPLS domain, coi hệ thống mạng tổ chức (chẳng hạn nhà cung cấp dịch vụ) • LSR (Label Switching Router): Là node mạng MPLS Có hai loại LSR chính: - LSR cạnh (gồm LSR hướng vào, LSR hướng ra): LSR nằm biên MPLS domain kết nối trực tiếp với mạng người dùng - LSR chuyển tiếp (Transit LSR): LSR nằm bên MPLS domain, LSR định tuyến lõi (core router) nhà cung cấp dịch vụ • Nhãn (Label): Thường tổ chức dạng ngăn xếp nhãn (Label Stack), có độ dài 32 bit thể sau: Trường Label: Có độ dài 20 bit, giá trị nhãn Trường Exp (Experimental): Có độ dài bit dùng cho mục đích dự trữ nghiên cứu phân chia lớp dịch vụ (COS - Class Of Service) Trường S: Có độ dài bit, dùng định nhãn cuối Label Stack Với nhãn cuối cùng, S=1 Trường TTL (Time To Live): Có mục đích trường TTL gói tin IP • FEC: MPLS khơng thực định chuyển tiếp với gói liệu lớp (datagram) mà sử dụng khái niệm gọi FEC (Forwarding Equivalence Class) Mỗi FEC tạo nhóm gói tin có chung yêu cầu truyền tải dịch vụ (thoại, data, video, VPN ) yêu cầu QoS Hay nói cách khác, MPLS thực phân lớp liệu để chuyển tiếp qua mạng • LSP (Label Switching Path): Là tuyến bắt đầu LSR hướng vào thông qua nhiều chí khơng LSR chuyển tiếp cuối kết thúc LSR hướng LSP đường FEC thông qua mạng MPLS Khái niệm LSP tương tự khái niệm kênh ảo (Virtual Channel) mạng IP, ATM, Frame Relay • LDP (Label Distribution Protocol): Là giao thức phân bổ nhãn dùng MPLS để phân bổ nhãn thiết lập LSP thơng qua mạng MPLS SV: Nguyễn Hồng Ân GVHD: Nguyễn Hồng Nam Có điểm cần lưu ý, FEC chuyển tiếp nhiều LSP khác nhau, ưu điểm trội MPLS so với mạng định tuyến thông thường Dịch Vụ Mpls Vpn Có thể nói VPN ứng dụng quan trọng MPLS Kỹ thuật MPLS VPN đưa thay đổi cơng nghệ VPN sử dụng khái niệm Virtual Router thay cho Dedicated Router Shared Router Trong khuôn khổ viết không đề cập nhiều đến công nghệ MPLS VPN mà đưa lợi ích so với dịch vụ VPN truyền thống SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Riêng biệt bảo mật: MPLS VPN giữ thông tin định tuyến riêng biệt cho VPN, đảm bảo người dùng liên lạc với địa lập sẵn cho VPN Độc lập với khách hàng: MPLS VPN có cách đánh địa (gán nhãn mạng MPLS) linh hoạt, người dùng sử dụng dải địa (kể địa kiểm tra địa khơng đăng ký) sử sụng NAT (Network Address Translation) Mặt khác, người dùng sử dụng dải địa trùng giống Một điểm bật khác mạng người dùng không yêu cầu thiết bị hỗ trợ MPLS, thiết bị đắt tiền VPN Router với IP Sec yêu cầu đặc biệt khác IP Linh hoạt khả phát triển: Với dịch vụ VPN dựa IP, số lượng router mạng tăng nhanh chóng theo số lượng VPN VPN phải chứa bảng định tuyến ngày lớn MPLS VPN sử dụng tập BGP (Border Gateway Protocol) ngang hàng LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm VPN site (chỉ cần thực router site mới) Kết Luận MPLS giải pháp mạng đường trục cho mạng hệ mới, xu hướng phát triển MPLS ATOM (Any traffic Over MPLS), nghĩa có khả đáp ứng loại dịch vụ nào: thoại, video, fax, data MPLS VPN thị trường đầy tiềm hứa hẹn mang lại nhiều lợi ích cho người dùng nhà cung cấp dịch vụ viễn thông II/.IPS hệ thống ngăn ngừa xâm nhập tường lửa hệ Thuật ngữ an ninh “Ngăn ngừa Xâm nhập” (Intrusion Prevention) xuất từ điển chuyên ngành an ninh bảo mật Chắc chắn có ý nghĩa lớn lao lời tiếp thị lôi Tuy vậy, mô tả công nghệ bảo mật mang tính cách mạng số nhà tiếp thị chuyên nghiệp cho IPS bước đại nhảy vọt “Ngăn ngừa Xâm nhập” viết hiểu hàm chứa khía cạnh nhiều cơng nghệ bảo mật hữu bao gồm chống virus, phát xâm nhập, tường lửa lọc truy nhập Internet, v.v Ngăn ngừa xâm nhậpchính giới bảo mật CNTT SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Ý tưởng công nghệ công chống lại thành phần môi trường bảo vệ bị làm chệch hướng giải pháp ngăn ngừa xâm nhập Với “quyền tối thượng”, Hệ thống Ngăn ngừa Xâm nhập “nắm” lấy lưu lượng gói tin mạng đưa định có chủ ý – liệu có phải cơng hay sử dụng hợp pháp – sau thực hành động thích hợp để hồn thành tác vụ cách trọn vẹn Kết cuối nhu cầu có hạn định cho giải pháp phát hay giám sát thâm nhập tất liên quan đến mối đe doạ bị ngăn chặn Bài viết phân tích hạn chế hệ thống nhu cầu cấp bách có giải pháp hồn thiện đắn tương lai Tiếp đến, đặc tính hai giải pháp phát xâm nhập tường lửa vốn hình thành nên giải pháp “Ngăn ngừa Xâm nhập” đưa bàn thảo Chúng ta ghi nhận tính hữu ích nêu bật yêu cầu mặt kiến trúc cho thiết bị an ninh có ý định nội tuyến (inline) mạng Cuối cùng, viết đề xuất cách tiếp cận Top Layer để ngăn ngừa xâm nhập – phương pháp thiết thực chuyển hóa khả tường lửa thành giải pháp kiểm tra nội dung sâu Nhu cầu hiển nhiên đằng sau quảng cáo “Ngăn ngừa xâm nhập” Lời bàn tán xung quanh thuật ngữ “Ngăn ngừa Xâm nhập” truyền SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam nỗ lực tiếp thị số công ty, số thông tin gây sửng sốt đưa mà chủ đề lấy từ nhà phân tích Gartner báo giới Các sản phẩm “Web firewall” bắt đầu định giá thảo luận nóng dần Một tỷ lệ phần trăm lớn lưu lượng thời truyền qua Port 80, (Web port) phần lớn sản phẩm tường lửa thiếu khả áp dụng ép buộc sách lớp ứng dụng lên lưu lượng lớn Và bây giờ, Port 80 trở thành biểu tượng thiếu hụt nghiêm trọng tường lửa kiểm tra trạng thái đơn giản thành công công tốc độ triển khai ngày tăng dự án B2B, dịch vụ Web “tạo đường hầm” đối tượng SOAP thông qua Port 80 Các giám đốc thông tin (CIO) giám đốc an ninh thông tin (CISO) công ty phân tích xem liệu họ có cần thiết bổ sung thêm biện pháp đối phó lớp đe doạ hoàn toàn chuyên biệt ứng dụng xẩy hay không Trong thực tế họ triển khai tường lửa, phần mềm diệt virus hệ thống phát xâm nhập mạng họ, cảm thấy khơng an tồn Khi đối mặt với đe doạ hữu, rủi ro phải đánh giá cẩn thận kế hoạch giảm thiểu cần phải đưa cho hệ thống Yêu cầu cho truy nhập mở hơn, mối quan tâm khách hàng điều chỉnh tăng thêm Do vậy, nhà chuyên bảo mật mong chờ bổ sung thêm giải pháp an ninh để hỗ trợ nhu cầu theo đơn vị doanh nghiệp: - Những giám đốc doanh nghiệp theo đuổi ứng dụng mở nỗ lực đạt suất cao - Các điểm truy nhập mạng đặc biệt thông qua IPsec mạng riêng ảo (VPN) “clientless” “móc” vào vành đai mạng để mở rộng dịch vụ ngày phân tán - Người tiêu dùng phải chịu đựng đòn từ chối dịch vụ gây hacker dẫn đến giao dịch Internet thất bại thiếu tin cậy Các số thẻ tín dụng liệu riêng khác bị lấy cắp Do yêu cầu cấp bách bảo vệ hệ thống, công ty quan phủ tích cực tập trung vào vấn đề gây tranh cãi Các nhà cung cấp an ninh kiểm tra sản phẩm họ Các công ty xây dựng hệ thống cân tải có tính sẵn sàng cao “Web farm” chí kích thích số áp lực thị trường để nhận họ phải cung cấp để xử lý mối đe doạ ứng dụng mạng lưới Các công ty lên với sản phẩm dự định cung cấp giải pháp khắc phục nhanh chóng phi thường Những dự định nhìn chung tốt đạt tiến triển định giải pháp quan trọng chưa hữu An ninh CNTT thiết phải cung cấp giải pháp chống lại mối đe doạ biết chưa biết SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam Trong nhiều mối đe dọa tiềm tàng ẩn chứa, chuyên gia bảo mật phải đối mặt với thách thức nhiều mặt trận: Cung cấp bảo vệ chống lại mối đe doạ chuyên biệt ứng dụng biết có khả vượt qua thiết bị tường lửa khơng có khả phát xâm nhập chuyên biệt ứng dụng Hiện nay, cổng vào chống vi rút hỗ trợ CSDL chữ ký virút dịch vụ cập nhật cung cấp số giải pháp bảo vệ cần có nhiều giải pháp Cung cấp nhiều khả bảo vệ với lọc cho tất giao thức, khơng phải có HTTP (“Ngăn ngừa Xâm nhập” đa giao thức) Một vài kiểu đe doạ xử lý tường lửa uỷ quyền ứng dụng lai ghép Cung cấp kỹ thuật lọc, ngăn chặn xác nhận tính hợp lệ chuyên biệt ứng dụng với điều khiển nội dung cho mục đích loại trừ tối đa cơng biết chưa biết Mục đích làm giảm nguy mối đe doạ chưa biết trở thành “Code Red” Những tường lửa lai ghép, có khả chế an ninh lớp tới lớp cung cấp tảng thích hợp cho phát triển Quy mô cho yêu cầu băng thông lớn Sự tiến triển bao gồm cải thiện hiệu suất thực phần cứng đóng gói, card mạng (NIC) lập trình, cổng (gateway) dựa vào ASIC (mạch tích hợp chuyên biệt ứng dụng) công cụ quản lý tốt cho giải pháp cổng theo nhóm dung lượng cao Những đặc điểm công mức ứng dụng điều khiển đổi công nghệ bảo mật Các hệ thống an ninh mở rộng sáng kiến thương mại điện tử vượt xa khả tự nhiên chúng Sự mở rộng để ngỏ hệ thống ứng dụng cho tin tặc khám phá sau khai thác kẽ hở bị phát bên q trình truyền thơng khách/chủ ứng dụng Tin tặc chứng minh tìm nhiều điểm yếu để khai thác hai phiên cũ ứng dụng tạo cơng cụ lập trình tự động hố phương pháp đánh giá phần mềm khơng cân nhắc cẩn thận, chẳng hạn, liệu đầu vào người dùng ứng dụng Web điểm nhạy cảm (dễ bị công) Việc xây dựng khả tự bảo vệ trước công thời gian sử dụng vào ứng dụng thường mục tiêu nhà thiết kế ứng dụng Và công xuất thời gian sử dụng ứng dụng, công đặc thù theo ứng dụng không cần thiết phải vi phạm chuẩn RFC hay thân giao thức Kết là, cơng thường vơ hình (khơng nhìn thấy được) tường (bộ lọc) an ninh nhiều hệ thống có khả “ẩn” dòng lưu lượng thơng thường Sự tiến triển công khơn ngoan, chun biệt cho SV: Nguyễn Hồng Ân GVHD: Nguyễn Hồng Nam ứng dụng khó nhận biết Mặc dù việc bảo vệ triệt để thực được, khơng nghi ngờ nữa, giải pháp “Ngăn ngừa Xâm nhập” đòi hỏi tất yếu cho kiến trúc an ninh Về bản, giải pháp “Ngăn ngừa Xâm nhập” thay thế hệ tường lửa trước tiên chúng phải hoạt động tường lửa muốn thành công Một Hệ thống Ngăn ngừa xâm nhập (IPS) ? Các Hệ thống Ngăn ngừa Xâm nhập Hai kiểu IPS biết thị trường “dựa vào máy chủ” “nội tuyến” (dựa vào mạng) Các hệ thống “dựa vào máy chủ” phần mềm ngăn ngừa xâm nhập viết để “móc” trực tiếp vào ứng dụng hay cài đặt trực tiếp máy chủ ứng dụng Bài viết tập trung vào bảo mật “nội tuyến” Bảo mật “nội tuyến” tương tự kiến trúc tường lửa di trú kép hay cổng chống vi rút đặt ngược chiều từ ứng dụng bảo vệ áp dụng dịch vụ ngăn ngừa xâm nhập cho nhiều ứng dụng xuôi chiều IPS Theo nghĩa khái niệm này, ta định nghĩa sau“Một Hệ thống Ngăn ngừa Xâm nhập “nội tuyến” (inline) thiết bị phần cứng hay phần mềm có khả phát ngăn ngừa cơng quen biết” Thậm chí đơn giản hơn, “Ngăn ngừa Xâm nhập” đề cập đến việc phát sau ngăn chặn cơng chuyên biệt ứng dụng biết Thuật ngữ “Hệ thống Ngăn ngừa Xâm nhập” (Intrusion Prevention System) thân sử dụng để hợp hai khái niệm “Hệ thống Phát hiện” (detection system) “Hệ thống Ngăn ngừa” (prevention system) cấu trúc Chú ý định nghĩa nhằm vào công quen biết Phát ngăn ngừa Nhìn bề ngồi, giải pháp phát xâm nhập ngăn ngừa xâm nhập xuất theo kiểu cạnh tranh Rốt cuộc, chúng chia sẻ danh sách chức giống kiểm tra gói tin, phân tích có trạng thái, ráp lại đoạn, ráp lại TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức thích ứng chữ ký Một IPS hoạt động giống người bảo vệ gác cổng cho khu dân cư, cho phép từ chối truy nhập dựa sở uỷ nhiệm tập quy tắc nội quy Một IDS (hệ thống phát xâm nhập) làm việc giống xe tuần tra bên khu dân cư, giám sát hoạt động tìm tình bất bình thường Dù mức độ an ninh cổng vào khu dân cư mạnh đến mức nào, xe tuần tra tiếp tục hoạt động hệ thống giám sát cân Phát xâm nhập Mục đích “phát xâm nhập” cung cấp giám sát, kiểm tra, tính pháp lý SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam báo cáo hoạt động mạng Nó hoạt động gói tin cho phép thơng qua thiết bị kiểm soát truy nhập Do hạn chế độ tin cậy đe doạ bên trong, “Ngăn ngừa Xâm nhập” phải cho phép số “vùng xám” (gray area) công để tránh trường hợp báo động giả Mặt khác, giải pháp IDS “nhồi” trí thơng minh có sử dụng nhiều kỹ thuật khác để nhận biết xâm nhập, khai thác, lạm dụng bất cơng tiềm tàng Một IDS thực hoạt động mà không làm ảnh hưởng đến kiến trúc tính tốn kết nối mạng Bản chất bị động IDS nằm chỗ cung cấp sức mạnh để đạo phân tích thơng minh lưu lượng gói tin Những vị trí IDS nhận : - Các công quen biết theo đường chữ ký (signature) quy tắc - Những biến thiên lưu lượng phương hướng sử dụng quy tắc phân tích thống kê phức tạp - Những biến đổi mẫu lưu lượng truyền thơng có sử dụng phân tích luồng - Phát hoạt động bất bình thường có sử dụng phân tích độ lệch đường sở (baseline deviation analysis) - Phát hoạt động đáng nghi nhờ phân tích luồng, kỹ thuật thống kê phát bất bình thường Ngăn ngừa xâm nhập Như đề cập trước đây, giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hồn hảo – khơng có báo động giả làm giảm suất người dùng cuối từ chối sai tạo rủi ro q mức bên mơi trường Có lẽ vai trò cốt yếu cần thiết để tin tưởng, để thực theo cách mong muốn điều kiện Điều có nghĩa giải pháp “Ngăn ngừa Xâm nhập” đặt vào vị trí để phục vụ với: - Những ứng dụng khơng mong muốn công “Trojan horse” nhằm vào mạng ứng dụng cá nhân, qua việc sử dụng nguyên tắc xác định danh sách điều khiển truy nhập (access control lists) - Các gói tin cơng giống gói tin từ LAND WinNuke qua việc sử dụng lọc gói tốc độ cao - Sự lạm dụng giao thức hành động lảng tránh – thao tác giao thức mạng SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam giống Fragroute khảo sát lấn TCP (TCP overlap exploits) – thông qua ráp lại thông minh - Các công từ chối dịch vụ (DOS/DDOS) “lụt” gói tin SYN ICMP việc sử dụng thuật toán lọc dựa sở ngưỡng - Sự lạm dụng ứng dụng thao tác giao thức – công biết chưa biết chống lại HTTP, FTP, DNS, SMTP v.v – qua việc sử dụng quy tắc giao thức ứng dụng chữ ký - Những công tải hay lạm dụng ứng dụng việc sử dụng hữu hạn tiêu thụ tài nguyên dựa sở ngưỡng Tất công trạng thái dễ bị công cho phép chúng tình cờ xảy chứng minh tài liệu Ngoài ra, khác thường giao thức truyền thông từ mạng qua lớp ứng dụng chỗ cho loại lưu lượng hợp pháp nào, làm cho lỗi trở thành tự chọn lọc ngữ cảnh xác định Tình trạng cơng nghệ IPS Trạng thái cơng nghệ IPS chưa chín muồi bạn xem xét góc độ sản phẩm nhà cung cấp đơn lẻ với tất tính phát hiện, giám sát, ngăn ngừa, cập nhật báo cáo truyền tải cho truy nhập vào qua điểm nghẽn (choke-point) mạng đặc biệt Gần đây, doanh nghiệp tiêu tốn hàng triệu đô la vào sản phẩm để giúp đỡ họ bảo vệ an toàn mạng họ Các sản phẩm IPS ngày tập trung chủ yếu dành riêng cho Port 80 chúng không thay hệ thống Thay vào chúng làm tăng thêm giá trị hệ thống Một giải pháp IPS đa giao thức bao hàm tất phải phát triển chứng tỏ trước hệ thống coi thay thực tế cho hệ thống triển khai Các mục tiêu dài hạn Trong tương lai, giải pháp cổng an ninh nội tuyến (inline) phải đạt mục tiêu : - Khả phát ngăn chặn công dựa sở sử dụng lôgic vật lý nhiều công nghệ ép buộc Rộng hơn, điều bao gồm khả ngăn ngừa hai dạng công biết chưa biết có sử dụng biện pháp phòng thủ ứng dụng (Application Defenses) - Khả hoạt động với sở hạ tầng an ninh triển khai cho SV: Nguyễn Hoàng Ân GVHD: Nguyễn Hoàng Nam mục đích hỗ trợ tập hợp liệu, chứng điện tử, giám sát theo dõi phục tùng điều chỉnh cần - Khả không phá vỡ hoạt động kinh doanh thiếu tính sẵn sàng, hiệu kém, khẳng định sai hay khơng có khả hoạt động với sở hạ tầng chứng thực quy định - Khả hỗ trợ chuyên gia an ninh CNTT việc chuyển giao kế hoạch quản lý rủi ro tổ chức họ bao gồm chi phí cho thực hiện, hoạt động kết làm việc từ cảnh báo báo cáo từ hệ thống Những thách thức để đạt mục đích - Hiện thời khơng có nghiên cứu đối tác thứ ba chấp nhận tính hiệu IPS giải pháp Sự quảng cáo thổi phồng xung quanh “Ngăn ngừa Xâm nhập” làm lẫn lộn cơng nghệ cung cấp hứa hẹn - Cách tiếp cận nhiều lớp cho an ninh CNTT tiếp tục có giá trị cơng nghiệp phát triển Nó khơng di trú xa khỏi phòng thủ chiều sâu phân lớp tổ chức - Nhiều giải pháp IPS đòi hỏi yêu cầu giống IDS để điều chỉnh, giám sát báo cáo Một cách nhìn thực dụng tương lai Hiện khơng có sản phẩm thích hợp cho tất làm việc phù hợp với nhu cầu thị trường rộng lớn mức mà thay tường lửa tại, NIDS (Network Intrusion Detection System), chuyển mạch lớp thành phần khác hay khơng thể trở thành cổng an ninh nội tuyến ngày mai Tuy vậy, sản phẩm xuất hiện, phải phù hợp với mục tiêu thảo luận trước tài liệu này, bao gồm khả “phòng thủ ứng dụng” (Application Defenses) Tiếp theo gì? Một cách mạng khơng phải đốn trước nói chung gồm nhiều bước tương lai Những mối đe doạ tương lai mà ngày hôm chưa biết điều khiển phương hướng giải pháp tương lai Có thể có mối đe doạ tính dễ bị tổn thương phát tác động đến khái niệm an ninh “Ngăn ngừa Xâm nhập” ngày hôm theo cách Nhưng phát triển “Hệ thống Ngăn ngừa Xâm nhập” phần nhiều giống hoà trộn bước qua thời gian khái niệm an ninh khác vào mơ hình phòng thủ ứng dụng đích thực SV: Nguyễn Hồng Ân GVHD: Nguyễn Hoàng Nam SV: Nguyễn Hoàng Ân ... Ngăn ngừa Xâm nhập đòi hỏi tất yếu cho kiến trúc an ninh Về bản, giải pháp Ngăn ngừa Xâm nhập thay thế hệ tường lửa trước tiên chúng phải hoạt động tường lửa muốn thành công Một Hệ thống Ngăn. .. Ngăn ngừa xâm nhập (IPS) ? Các Hệ thống Ngăn ngừa Xâm nhập Hai kiểu IPS biết thị trường “dựa vào máy chủ” “nội tuyến” (dựa vào mạng) Các hệ thống “dựa vào máy chủ” phần mềm ngăn ngừa xâm nhập. .. II/ .IPS hệ thống ngăn ngừa xâm nhập tường lửa hệ Thuật ngữ an ninh Ngăn ngừa Xâm nhập (Intrusion Prevention) xuất từ điển chuyên ngành an ninh bảo mật Chắc chắn có ý nghĩa lớn lao lời tiếp

Ngày đăng: 19/11/2017, 19:47

Xem thêm:

TỪ KHÓA LIÊN QUAN

Mục lục

    II/.IPS hệ thống ngăn ngừa xâm nhập tường lửa thế hệ kế tiếp

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w