CHƯƠNG 1: PHÂN ĐOẠN CỤ THỂ GIẢI PHÁP AN TOÀN TRONG THIẾT KẾ MẠNG AN TOÀN1.1. Đảm bảo an toàn kết nối Internet1.1.1. An toàn kết nốiNguy cơ khi kết nối internet là bị thu thập thông tin trái phép như thông tin về dịch vụ của hệ thống, thông tin người dùng, dữ liệu trên hệ thống,v.v…vì vậy cần cấu hình tường lửa để ngăn chặn kết nối từ bên ngoài vào, ngoại trừ những kết nối đến những dịch vụ được cho phép được cung cấp bởi máy chủ công cộng. Hơn nữa kết nối internet sẽ an toàn với các cơ chế an toàn bao gồm bộ lọc gói tin, an toàn vật lý, kiểm toán, xác thực và cấp quyền. Ngoài ra giao thức định tuyến cho router biên nên đặt ở chế độ static và default routing vì như vậy router sẽ không cập nhật bẳng định tuyến nên khó có thể bị thỏa hiệp.Đồng thời với các giải pháp trên thì nên sử dụng NAT để chuyển đổi địa chỉ mạng, bảo vệ hệ thống mạng bên trong.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - BÀI TẬP LỚN ĐỀ TÀI:Tìm hiểu Phân đoạn cụ thể giải pháp an tồn thiết kế mạng an toàn Lớp: L01 Sinh viên thực hiện: Trần Thị Thanh Huyền Vũ Thị Hương Nguyễn Thị Bích Phượng Giảng viên: Vũ Thị Vân Hà Nội, 5/2018 LỜI MỞ ĐẦU Ngày mạng máy tính trở lên phổ biến mang lại lời ích thiết thực ứng dụng nhiều lĩnh vực để giải vấn đề sống Mạng máy tính tạo chuyển biến có tính chất cách mạng vấn đề tổ chức, khai thác sử dụng hệ thống máy tính Mạng máy tính giúp người gần nhờ có mạng máy tính mà người xa hàng nghìn kilomet liên lạc thuận tiện với Mạng máy tính giúp ngành viễn thơng nói riêng ngành cơng nghiệp nói chung giới chuyển sang bước ngoặt Cùng với phát triển mạng máy tính lời ích mang lại, nhiều vấn đề liên quan nguy gây an tồn mạng máy tính nảy sinh Để phòng tránh nguy gây an tồn đó, doanh nghiệp, tổ chức cần phải xây dựng mạng máy tính an tồn Để an tồn rõ ràng cần phải phân chia an tồn cho khu Chính vậy, nhóm chúng em lựa chọn đề tài “ Tìm hiểu Phân đoạn cụ thể giải pháp an toàn thiết kế mạng an tồn” để tìm hiểu ngun tắc đảm bảo an tồn cho phân đoạn từ mơ với mạng Học viện kỹ thuật mật mã Bài báo cáo gồm chương: Chương 1: Phân đoạn cụ thể giải pháp an toàn thiết kế mạng an toàn Chương 2: Ứng dụng phân đoạn cụ thể giải pháp an toàn vào mạng Học viện kỹ thuật mật mã Đề tài “Tìm hiểu Phân đoạn cụ thể giải pháp an toàn thiết kế mạng an toàn” nhiều thiếu sót, mong nhận góp ý thầy cô bạn sinh viên để báo cáo chuyên sâu hoàn thiện Chúng em xin chân thành cảm ơn! Page | MỤC LỤC Page | DANH MỤC HÌNH ẢNH Page | CHƯƠNG 1: PHÂN ĐOẠN CỤ THỂ GIẢI PHÁP AN TOÀN TRONG THIẾT KẾ MẠNG AN TOÀN 1.1 Đảm bảo an toàn kết nối Internet 1.1.1 An toàn kết nối Nguy kết nối internet bị thu thập thông tin trái phép thông tin dịch vụ hệ thống, thông tin người dùng, liệu hệ thống,v.v…vì cần cấu hình tường lửa để ngăn chặn kết nối từ bên vào, ngoại trừ kết nối đến dịch vụ cho phép cung cấp máy chủ công cộng Hơn kết nối internet an toàn với chế an tồn bao gồm lọc gói tin, an tồn vật lý, kiểm tốn, xác thực cấp quyền Ngồi giao thức định tuyến cho router biên nên đặt chế độ static default routing router khơng cập nhật bẳng định tuyến nên khó bị thỏa hiệp Đồng thời với giải pháp nên sử dụng NAT để chuyển đổi địa mạng, bảo vệ hệ thống mạng bên 1.1.2 An toàn máy chủ dịch vụ Internet thương mại điện tử 1.1.2.1 DMZ Cũng giống nhiều thuật ngữ tin học khác vay mượn từ giới thực, DMZ thuật ngữ dùng lĩnh vực bảo mật máy tính.Vậy ý nghĩa mục đích từ DMZ tin học có giống với từ DMZ quân hay không? Về mặt địa lý người, DMZ ( Demilitarized Zone – vùng phi quân sự) khu vực mà diện lực lượng quân đội ( gồm binh lính, vũ khí, đạn dược… ) hoạt động quân ( thám, tập trận, đánh nhau…) khơng phép Vì vậy, DMZ coi vùng ranh giới chia tách hai bênh mà thù địch vùng DMZ thường tạo nên sau hiệp ước hòa bình, thỏa thuận đình chiến.Trong giới thực, dải đất cắt ngang bán đảo Triều Tiên phân tách bán đảo thành hai nước Hàn Quốc Triều Tiên Page | ví dụ DMZ.Còn lịch sử chiến tranh Việt Nam sơng Bến Hải chia tách hai miền nam bắc ví dụ khác DMZ Cũng giống nhiều thuật ngữ tin học khác vay mượn từ giới thực, DMZ thuật ngữ dùng lĩnh vực bảo mật mạng máy tính.Vậy ý nghĩa mục đích từ DMZ tin học có giống với từ DMZ quân hay khơng? Trước vào giải thích DMZ tác dụng tơi xin đưa tình Hệ thống mạng nội (internal network) tổ chức thường bao gồm server cung cấp dịch vụ như: Directory Service (Active Directory, OpenLDAP…), DNS, DHCP, File/Print Sharing, Web, Mail, FTP Trong server Web, Mail, FTP thường phải cung cấp dịch vụ chúng cho người dùng nằm bên lẫn bên mạng nội tổ chức Nếu trường hợp bạn đặt tất server nằm lớp mạng với máy trạm người dùng tổ chức hacker từ mạng bên ngồi (external network – ví dụ Internet) kiểm soát (các) “public server” Web, Mail, FTP? Rất hacker dựa vào server bị chiếm đoạt để đánh vào server khác (như DNS, DHCP, Directory Service…) thâm nhập sâu vào máy trạm bên trong.Thế nên đây, ta cần có giải pháp để hạn chế khả mạng internal bị tổn thương public server bị công.Và DMZ câu trả lời cho vấn đề Để đảm bảo an toàn máy chủ dịch vụ Internet ta sử dụng DMZ Vậy DMZ lại sử dụng DMZ? DMZ mạng tách biệt với mạng nội DMZ sử dụng đường mạng ( có subnet) khác với mạng nội Các máy chủ Web, Mail, FTP, VoIP,… đặt DMZ cung cấp dịch vụ tổ chức cho phép người dùng truy cập sử dụng từ mạng Internet Còn máy chủ phục vụ cho mục đích nội DNS, DHCP, File/Print đặt vùng nội Giữa DMZ mạng đặt firewall phép kết nối từ ngồi đến DMZ mà thơi.Còn mạng nội DMZ đặt thêm Page | firewall khác để kiểm soát lưu lượng từ DMZ vào nội bộ.Như vậy, giống với vùng DMZ quân sự, DMZ tạo phân tách hai phân đoạn mạng nội mạng ngồi Và nói DMZ bổ sung thêm lớp bảo vệ cách ly cho mạng nôi mà kẻ cơng từ mạng ngồi tiếp cận tới máy nằm DMZ mà thơi Hình 1.1: Mơ hình tường lửa lớp 1.1.2.2 Kiến trúc xây dựng DMZ DMZ tạo nên hai thành phần địa IP firewall Có hai đặc điểm nhận dạng quan trọng DMZ là: - Nó có network ID khác so với mạng nội - Nó bị phân tách khỏi mạng Internet mạng nội firewall Dưới rõ đặc điểm DMZ • Địa IP dùng DMZ Tùy vào kiến trúc DMZ cấu hình firewall mà DMZ sử dụng địa IP công cộng địa IP dùng cho mạng nội cho máy chủ DMZ Nếu sử dụng địa IP công cộng cho DMZ, thường cần chia mạng khối địa IP mà ISP cấp cho để có hai network ID tách biệt Một hai network ID dùng cho giao diện ngoài( cạc mạng nối trực tiếp tới ISP) firewall network ID lại dùng cho mạng DMZ Lưu ý chia subnet khối địa IP công cộng này, phải cấu hình cho router để gói tin từ ngồi Internet vào tới DMZ Page | Có thể tạo DMZ có network ID giống với mạng nội đảm bảo có cách ly DMZ mạng nội cách sử dụng VLAN Tagging (IEEE 802.1q) Lúc máy chủ DMZ máy trạm mạng nội kết nối chung vào switch khác switch switch nối với gán vào VLAN khác Còn sử dụng địa IP cho mạng nội cho DMZ, cần đến NAT( số firewall hỗ trợ sẵn tính này) để chuyển địa IP mạng nội sang địa IP công cộng ( mà gán cho giao diện firewall nằm Internet DMZ) Vì số ứng dụng khơng làm việc tốt với NAT ( ví dụ, Java RMI) nên cân nhắc việc chọn cấu hình NAT hay định tuyến Internet DMZ • Các firewall: Thiết kế đảm bảo an toàn cho máy chủ web sau: Đặt máy chủ web vùng DMZ, thiết lập firewall không cho kết nối tới máy chủ web toàn cổng, ngoại trừ cổng 80 (http), cổng 443 (https) cổng dịch vụ sử dụng Có nhiều cách thiết kế hệ thống mạng có sử dụng DMZ Hai mơ hình thường gặp single firewall( hay three legged firewall) dual firewall • Single firewall: Chỉ cần tới thiết bị có ba giao diện mạng NIC.Trong đó, NIC nối với mạng ngoài, NIC thứ hai nối với mạng DMZ, NIC lại nói với mạng nội Page | Hình 1.2: Kiến trúc single firewall Đó lý gọi “three legged firewall” ( giao diện firewall card mạng nó) Lúc three legged firewall phải có khả kiểm sốt tồn traffic vào/ra ba mạng nội bộ, ngồi DMZ trở thành điểm chịu lỗi cho toàn hệ thống mạng Nếu có cố xảy với three legged firewall DMZ mạng nội khơng bảo vệ bù lại khơng phải tốn chi phí đầu tư thêm firewall mơ hình dual firewall Khi sử dụng single firewall để tạo DMZ, có khái niệm trihome DMZ Ta tạo hai ( nhiều hơn) vùng DMZ tách biệt có network ID khác cách trang bị thêm số NIC tương ứng cho single firewall • Dual firewall: Sẽ cần tới hai thiết bị firewall, firewall có hai NIC bố trí sau: - Firewall thứ ( gọi front – end firewall) có NIC nối với mạng ngồi NIC lại nối với DMZ Front – end firewall có nhiệm vụ kiểm sốt traffic từ Internet tới DMZ mạng nội Page | - Firewall thứ hai ( gọi back – end firewall) có NIC nối với DMZ NIC lại nối với mạng nội Back – end firewall có nhiệm vụ kiểm sốt traffic từ DMZ Internet tới mạng nội Hình 1.3: Kiến trúc dual firewall Rõ ràng, so với single firewall giải pháp tốn chi phí triển khai phải đầu tư tới hai thiết bị firewall tách biệt mặt hiệu suất độ an toàn cho hệ thống mạng cải thiện Vậy nên, tùy vào tổ chức môi trường hệ thống mạng mà nên xem xét lựa chọn singhle firewall hay dual firewall cho thích hợp Chú ý nên chọn hai firewall từ hai nhà phát triển khác kẻ cơng bẻ gãy firewall khó khăn việc phớ vỡ firewall thứ hai chúng phát triển theo cách khác - Cấu hình quản trị máy chủ an tồn: Loại bỏ tồn dịch vụ khơng cần thiết khỏi máy chủ web dịch vụ FTP, máy chủ mail máy chủ khác, lại thật cần thiết Mỗi dịch vụ không cần thiết bị lợi dụng dễ công hệ thống khơng có chế độ đảm bảo an tồn tốt - Không cho phép quản trị hệ thống từ xa, trừ đăng nhập theo kiểu mật sử dụng lần hay đường kết nối mã hóa Page | 10 1.6.2 Xác thực sử dụng 802.1x 802.1x đưa cách thức điều khiển truy cập mạng bản, sử dụng EAP máy chủ RADIUS.802.1x không đưa giao thức xác thực cách cụ thể rõ sử dụng EAP với giao thức CHAP, MD5, TLS Kerberos.EAP mở rộng giao thức hỗ trợ phiên sau EAP đưa để hoạt động giao thức Point-to-Point (PPP); để tương thích với giao thức lớp liên kết liệu khác Token Ring 802.5 hay Wireless LANs 802.11 EAP Over LANs (EAPOL) phát triển Hình 1.10 : Mơ hình xác thực 802.1x EAP-TLS sử dụng mơi trường u cầu an tồn cao Sự trao đổi message EAP-TLS cung cấp xác nhận lẫn nhau, bắt tay giao thức mã hóa trao đổi khóa bảo vệ máy trạm không dây mạng EAP-TLS sử dụng kỹ thuật cung cấp khóa mã hóa động cho người dùng session.Điều cải thiện cách đáng kể khắc phục nhiều điểm yếu mạng khơng dây Hình chuỗi kiện xuất máy trạm xác nhận 802.1x EAP-TLS Hai chứng số yêu cầu đây: Page | 25 máy chủ RADIUS máy trạm không dây Việc truy cập không dây phép xác thực thành cơng khóa WEP động thiết lập Hình 1.11: Xác thực 802.1x EAP-TSL 1.6.3 Mã hóa liệu truyền WEP (Wired Equivalent Privacy): Khi thiết kế kỹ thuật cho mạng không dây, chuẩn 802.11 IEEE tính đến vấn đề bảo mật liệu đường truyền qua phương thức mã hóa WEP.Phương thức đa số nhà sản xuất thiết bị không dây hỗ trợ phương thức bảo mật mặc định Tuy nhiên, phát gần điểm yếu chuẩn 802.11 WEP gia tăng nghi ngờ mức độ an toàn WEP thúc đẩy phát triển chuẩn 802.11i Tuy vậy, đa phần thiết bị không dây sử dụng WEP tồn lâu trước chuẩn 802.11i triển khai rộng rãi Giao thức WEP: WEP phương thức bảo mật tương đương với mạng có dây.Khái niệm phần chuẩn IEEE 802.11.Theo định nghĩa, WEP thiết kế để đảm bảo tính bảo mật cho mạng không dây đạt mức độ mạng nối cáp truyền thống Đối với mạng LAN (định nghĩa theo chuẩn IEEE 802.3), bảo mật liệu đường truyền cơng bên ngồi đảm bảo qua biện pháp giới hạn • Page | 26 vật lý, tức kẻ công truy xuất trực tiếp đến hệ thống đường truyền cáp Do chuẩn 802.3 khơng đặt vấn đề mã hóa liệu để chống lại truy cập trái phép Đối với chuẩn 802.11, vấn đề mã hóa liệu ưu tiên hàng đầu đặc tính mạng khơng dây giới hạn mặt vật lý truy cập đến đường truyền, vòng phủ sóng truy cập liệu khơng bảo vệ Hình 1.12: Quy trình mã hóa WEP sử dụng RC4 Như vậy, WEP cung cấp bảo mật cho liệu mạng không dây qua phương thức mã hóa sử dụng thuật tốn đối xứng RC4 (Hình 1.12), Ron Rivest, thuộc hãng RSA Security Inc tiếng phát triển.Thuật toán RC4 cho phép chiều dài khóa thay đổi lên đến 256 bit Chuẩn 802.11 đòi hỏi bắt buộc thiết bị WEP phải hỗ trợ chiều dài khóa tối thiểu 40 bit, đồng thời đảm bảo tùy chọn hỗ trợ cho khóa dài Hiện nay, đa số thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit 128 bit Với phương thức mã hóa RC4, WEP cung cấp tính bảo mật tồn vẹn thơng tin mạng khơng dây, đồng thời xem phương thức kiểm soát truy cập đến Access Point (AP).Một máy nối mạng không dây khơng có khóa WEP xác khơng thể truy cập đến AP giải mã thay đổi liệu đường truyền Tuy nhiên, có phát giới phân tích an ninh cho thấy bắt số lượng lớn định liệu mã hóa sử dụng WEP sử dụng cơng cụ thích hợp, dò tìm xác khóa WEP thời gian Page | 27 ngắn Điểm yếu lỗ hổng cách thức WEP sử dụng phương pháp mã hóa RC4 Hạn chế WEP: Do WEP sử dụng RC4, thuật tốn sử dụng phương thức mã hóa dòng cần chế đảm bảo hai liệu giống không cho kết giống sau mã hóa hai lần khác nhau.Đây yếu tố quan trọng vấn đề mã hóa liệu nhằm hạn chế khả suy đốn khóa kẻ cơng.Để đạt mục đích trên, giá trị vector khởi tạo IV sử dụng để cộng thêm với khóa nhằm tạo khóa khác lần mã hóa IV giá trị có chiều dài 24 bit chuẩn IEEE 802.11 đề nghị (không bắt buộc) phải thay đổi theo gói liệu Vì máy gửi tạo IV khơng theo luật hay tiêu chuẩn, IV bắt buộc phải gửi đến máy nhận dạng khơng mã hóa Máy nhận dử dụng giá trị IV khóa để giải mã gói liệu Cách sử dụng giá trị IV nguồn gốc đa số vấn đề với WEP Do giá trị IV truyền dạng khơng mã hóa đặt header gói liệu 802.11 nên lấy liệu mạng thấy Với độ dài 24 bit, giá trị IV dao động khoảng 16,777,216 trường hợp Những chuyên gia bảo mật đại học Califomia-Berkeley phát giá trị IV sử dụng với khóa gói liệu mã hóa, kẻ cơng bắt gói liệu tìm khóa WEP.Thêm vào đó, ba nhà phân tích mã hóa Fluhrer, Matin Shamir (FMS) phát thêm nhữnng điểm yếu thuật toán IV cho RC4.FMS đưa phương pháp phát sử dụng IV lỗi nhằm tìm khóa WEP Thêm vào đó, mối nguy hiểm lớn cách công dùng hai phương pháp nêu dạng thụ động Có nghĩa kẻ cơng cần thu nhận gói liệu đường truyền mà không cần liên lạc tới Access Point Điều khiến khả phát cơng tìm khóa WEP đầy khó khăn gần khơng thể phát Hiện nay, Internet sẵn có cơng cụ có khả tìm khóa WEP AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab Page | 28 Tuy nhiên, để sử dụng nhắn cơng cụ đòi hỏi nhiều kiến thức chun sâu chúng có hạn chế số lượng gói liệu cần bắt Giải pháp WEP tối ưu: Với điểm yếu nghiêm trọng WEP phát tán rộng rãi cơng cụ dò tìm khóa WEP Internet, giao thức khơng giải pháp bảo mật chọn cho mạng có mức độ nhạy cảm thơng tin cao Tuy nhiên nhiều thiết bị mạng không dây nay, giải pháp bảo mật liệu hỗ trợ phổ biến WEP Dù nữa, lỗ hổng WEP giảm thiểu cấu hình đúng, đồng thời sử dụng biện pháp an ninh khác mang tính chất hỗ trợ Để gia tăng mức độ bảo mật cho WEP gây khó khăn cho kẻ cơng, biện pháp sau nên sử dụng: • Sử dụng khóa WEP có độ dài 128 bit: Thường thiết bị WEP cho phép cấu hình khóa ba độ dài: 40 bit, 64 bit, 128 bit Sử dụng khóa với độ dài 128 bit gia tăng số lượng gói liệu kẻ cơng cần phải có để phân tích IV, gây khó khăn kéo dài thời gian giải mã khóa WEP Nếu thiết bị khơng dây hỗ trợ WEP mức 40 bit (thường gặp thiết bị không dây cũ), cần liên lạc với nhà sản xuất để tải phiên cập nhật firmware • Thực thi sách thay đổi khóa WEP định kỳ: Do WEP khơng hỗ trợ phương thức thay đổi khóa tự động nên thay đổi khóa định kỳ gây khó khăn cho người sử dụng Tuy nhiên, khơng đổi khóa WEP thường xun nên thực lần tháng nghi ngờ có khả bị lộ khóa • Sử dụng cơng cụ theo dõi số liệu thống kê liệu đường truyền không dây: Do cơng cụ dò khóa WEP cần bắt số lượng lớn gói liệu kẻ cơng phải sử dụng cơng cụ phát sinh liệu nên đột biến lưu lượng liệu dấu hiệu công WEP, đánh động người quản trị mạng phát áp dụng biện pháp phòng chống kịp thời • WPA (Wifi Protected Access): Wi-Fi Alliance đưa giải pháp gọi Wi-Fi Protected Access (WPA).Một cải tiến quan trọng WPA sử dụng hàm thay đổi khóa TKIP (Temporal Key Integrity Protocol).WPA sử dụng thuật toán RC4 WEP, Page | 29 mã hóa đầy đủ 128 bit.Và đặc điểm khác WPA thay đổi khóa cho gói tin Các cơng cụ thu thập gói tin để phá khóa mã hóa khơng thể thực với WPA Bởi WPA thay đổi khóa liên tục nên kẻ công không thu thập đủ liệu mẫu để tìm mật Khơng thế, WPA bao gồm kiểm tra tính tồn vẹn thơng tin liệu khơng thể bị thay đổi đường truyền Một điểm hấp dẫn WPA không yêu cầu nâng cấp phần cứng.Các nâng cấp miễn phí phần mềm cho hầu hết card mạng điểm truy cập sử dụng WPA dễ dàng có sẵn Tuy nhiên, WPA khồn hỗ trợ thiết bị cầm tay máy quét mã vạch Theo Wi-Fi Alliance, có khoảng 200 thiết bị cấp chứng nhận tương thích WPA WPA có sẵn hai lựa chọn: WPA Personal WPA Enterprise Cả lựa chọn sử dụng giao thức TKIP, khác biệt khóa khởi tạo mã hóa lúc đầu.WPA Personal thích hợp cho gia đình mạng văn phòng nhỏ, khóa khởi tạo sử dụng điểm truy cập thiết bị máy trạm.Trong đó, WPA cho doanh nghiệp cần máy chủ xác thực 802.1x để cung cấp khóa khở tạo cho phiên làm việc Trong Wi-Fi Alliance đưa WPA, coi loại trừ lỗ hổng dễ bị công WEP, người sử dụng khơng thực tin tưởng vào WPA.Có lỗ hổng WPA lỗi xảy với WPA Personal Khi mà sử dụng hàm thay đổi khóa TKIP sử dụng để tạo khóa mã hóa bị phát hiện, kẻ cơng đốn khóa khởi tạo phần mật khẩu, họ xác định tồn mật khẩu, giải mã liệu Tuy nhiên, lỗ hổng sé bị loại bỏ sử dụng khóa khởi khơng dễ đốn Điều có nghĩa kỹ thuật TKIP WPA giải pháp tạm thời, chưa cung cấp phương thức bảo mật cao WPA thích hợp với côn ty mà không truyền liệu thương mại quan trọng, hay thông tin nhạy cảm…WPA thích hợp với hoạt động hàng ngày mang tính thử nghiệm cơng nghệ • 802.11i (WPA2): Page | 30 Một giải pháp lâu dài sử dụng 802.11i tương đương với WPA2, chứng nhận Wi-Fi Alliance Chuẩn sử dụng thuật tốn mã hóa mạnh mẽ gọi chuẩn mã hóa nâng cao AES sử dụng thuật tốn mã hóa đối xứng theo khối Rijndael, sử dụng khối mã hóa 128 bit, 192 bit 256 bit Để đánh giá chuẩn mã hóa này, Viện nghiên cứu quốc gia Chuẩn Công nghệ Mỹ NIST thông qua thuật tốn mã đối xứng này.Và chuẩn mã hóa sử dụng cho quan phủ Mỹ để bảo vệ thông tin nhạy cảm AES xem bảo mật tốt nhiều so với WEP 128 bit 168 bit DES Để đảm bảo mặt hiệu năng, q trình mã hóa cần thực thiết bị phần cứng tích hợp vào chip.Tuy nhiên, người sử dụng mạng không dây quan tâm tới vấn đề Hơn , hầu hết thiết bị cầm tay Wi-Fi máy qt mã vách khơng tương thích với chuẩn 802.11i Page | 31 CHƯƠNG 2: ỨNG DỤNG PHÂN ĐOẠN CỤ THỂ GIẢI PHÁP AN TOÀN TRONG THIẾT KẾ MẠNG HỌC VIỆN KỸ THUẬT MẬT MÃ 2.1 Yêu cầu toán Học viện Kỹ thuật mật mã gồm: sở: Học viện đường Chiến Thắng Hà Nội (cơ sở 1), Trung tâm nghiên cứu Nguyễn Chí Thanh – Hà Nội (cơ sở 2), sở học viện phía Nam TP Hồ Chí Minh (cơ sở 3) Cơ sở 1: Gồm có phòng ban học viện: hành chính, đào tạo, thư viện, khoa, có phòng thực hành cho sinh viên, khu vực DMZ (hiện chưa triển khai dịch vụ gì) Cơ sở 2: gồm phòng nghiên cứu, mạng văn phòng Cơ sở 3: gồm phòng thực hành, mạng văn phòng sở Hình 2.1: Mơ hình khảo sát mạng học viên Page | 32 • • • • • • Yêu cầu: Áp dụng Phân đoạn cụ thể giải pháp an toàn thiết kế mạng an toàn, cụ thể: Đảm bảo an toàn kết nối Internet Đảm bảo an toàn truy cập từ xa mạng riêng ảo Đảm bảo an toàn cho dịch vụ mạng quản lý mạng Đảm bảo an toàn cho máy chủ nội Đảm bảo an toàn cho dịch vụ người dùng Đảm bảo an tồn cho mạng khơng dây 2.2 Thiết kế Phân đoạn cụ thể giải pháp an toàn thiết kế mạng Học viện 2.2.1 Thiết kế đảm bảo an toàn kết nối Internet Ở phân đoạn sử dụng DMZ cho LAN gồm dịch vụ : IDS/IPS, Mail, Web Server, Web App Database LAN có tường lửa bảo vệ Hình 2.2 : Mơ hình an tồn kết nối Internet cho mạng học viện Page | 33 2.2.2 Thiết kế đảm bảo an toàn truy cập từ xa mạng riêng ảo Hình 2.3: Mơ hình an tồn truy cập từ xa mạng riêng ảo cho mạng học viện Để đảm bảo cho truy cập từ xa, sử dụng máy chủ RADIUS đặt mạng nội bộ.Khi người dùng từ xa kết nối, máy chủ RADIUS có nhiệm vụ xác thực, cấp quyền cho người dùng Để đảm bảo an toàn mạng riêng ảo (VPN) sử dụng giao thức IPSec cho mạng VPN để đảm bảo tính bí mật, tồn vẹn xác thực liệu truyền 2.2.3 Đảm bảo an toàn cho máy chủ nội Học Viện a, Giải pháp xác thực cấp quyền cho tài khoản nhóm người dùng Page | 34 • Cài đặt dịch vụ kerberos máy chủ Học Viện để xác thực người dùng (sinh viên, giảng viên…) sử dụng dịch vụ máy chủ • Giới hạn số lượng tài khoản truy cập từ xa để dễ dàng quản lý khơng bị q tải • Thiết lập mật mạnh cho tài khoản sinh viên, giảng viên,…, mật phải từ kí tự trở lên bao gồm: kí tự hoa, kí tự thường, kí tự đặc biệt chữ số giúp tránh hacker đoán mật sử dụng tài khoản truy cập vào hệ thống Học Viện b, Sử dụng phần mềm phòng chống virus cho máy trạm Học Viện • Cài đặt phần mềm diệt virus có quyền ( đề xuất cài đặt phần mềm Trend Micro Antivirus) cho máy trạm Học Viện, phần mềm thường xuyên cập nhật đầy đủ vá để phát hiện, loại bỏ virus máy tính, khắc phục phần tồn hậu virus gây Phòng chống thâm nhập, chống lại lây nhiễm virus từ môi trường bên Học Viện c, Giải pháp an tồn vật lý cho phòng máy chủ Học Viện • Lắp đặt camera quan sát phòng máy chủ Học Viện: Đảm bảo camera ghi lại biến cố ban ngày đêm Dữ liệu quan sát phải lưu trữ vào máy tính xem lại theo thời gian Có thể truy cập, điều khiển xem hoạt động từ xa Người quản trị theo dõi toàn diển biến trung tâm lúc đâu qua Internet Giúp phòng chống xâm nhập bất hợp pháp kẻ gian • Lắp đặt hệ thống giám sát cửa phòng máy chủ Học Viện: Hệ thống lắp đặt cửa phòng máy chủ kết nối quản trị tập trung với hệ thống giám sát chung Giám sát cửa vào thông qua việc xác thực vân tay, thẻ cảm ứng, mật khẩu, khuôn mặt v.v… thiết bị nhận dạng • Lắp đặt hệ thống sàn nâng, vách ngăn chống cháy: Sàn nâng phải chống tĩnh điện, chống ẩm ướt chống cháy, chịu lực cao, đảm bảo phân tải • Lắp đặt hệ thống chống sét lan truyền, nước, ngập, phòng chữa cháy: đảm bảo chức ngắt sét lan truyền mặt nguồn điện, từ hệ thống khác Page | 35 • Lắp - - đặt hệ thống làm lạnh, hệ thống điện dự phòng (UPS, máy phát điện): mạng điện bên ngồi khơng cung cấp điện, hệ thống UPS giải phóng điện dự trữ pin ắc quy, phòng tránh kiểm soát thiết bị, cung cấp điện dự phòng cho hệ thống chiếu sáng, báo cháy điện • Lắp đặt hệ thống tủ rack: Tủ rack có cửa phía trước sau thơng thống có khả mở rộng cho yêu cầu làm mát ứng dụng d, Giải pháp an toàn kết nối • Sử dụng dịch vụ truy cập từ xa SSL để quản lý từ xa SSL (Secure Sockets Layer) cơng nghệ chuẩn để giữ an tồn kết nối internet bảo vệ liệu nhạy cảm gửi hai hệ thống, ngăn chặn tội phạm đọc sửa đổi thông tin Hai hệ thống máy chủ máy khách máy chủ đến máy chủ đảm bảo tất liệu trao đổi máy chủ web trình duyệt ln bảo mật an tồn SSL mã hóa q trình trao đổi thơng tin hai bên cung cấp riêng tư bí mật, ngăn chặn tin tặc đọc nó gửi qua kết nối Thơng tin thơng tin nhạy cảm cá nhân bao gồm tài khoản sinh viên, giảng viên, SSL đảm bảo tính xác thực, riêng tư bí mật đảm bảo tính tồn vẹn liệu giúp cho q trình kết nối an tồn 2.2.4 Đảm bảo an toàn cho dịch vụ mạng quản lý mạng Học Viện • Để - - bảo vệ dịch vụ mạng bên trong, cần bảo vệ thiết bị mạng router, switch… Để quản trị lượng lớn thiết bị router switch…, sử dụng hệ thống quản trị SNMP với phiên SNMPv3 cho Học Viện Giao thức SNMP sử dụng phổ biến để giám sát điều khiển thiết bị mạng SNMPv3 bổ sung thêm hai hướng bảo mật so với SNMPv2 SNMPv2c: xác thực mã hóa SNMPv3 sử dụng MD5 SHA để tạo giá trị hash cho thông điệp snmp Thao tác giúp cho phép xác thực đầu cuối ngăn ngừa thay đổi liệu kiểu công Thêm vào đó, phần mềm quản trị SNMPv3 agent dùng DES để mã hóa gói tin, cho phép bảo mật tốt Page | 36 • Đặt hệ thống quản trị mạng DMZ, đằng sau tường lửa, với hệ điều hành thường xuyên cập nhật đầy đủ vá 2.2.5 Đảm bảo an toàn cho dịch vụ người dùng cho mạng Học viện - Hạn chế việc tải ứng dụng từ trang web lạ Máy tính cá nhân phải cài đặt tường lửa phần mềm diệt virus, cập nhật đầy đủ Khuyến nghị người dùng đăng xuất không sử dụng phiên, tắt máy tính khơng sử dụng, khóa hình ngồi 2.2.6 Đảm bảo an tồn cho mạng không dây Học viện Để đảm bảo an tồn cho mạng khơng dây Học viện khơng thể sử dụng phương pháp kiểm sốt truy cập lọc SSID hay lọc địa MAC, phù hợp với tổ chức nhỏ, việc trì cập nhật liên tục bảng địa MAC khó khăn nên khó mang lại kết mong muốn.Vì vậy, ta đề xuất giải pháp sử dụng phương pháp bảo mật mã hóa WPA có đủ điều kiện sử dụng phương pháp xác thực RADIUS Server WPA đánh giá an toàn so với WPA2 Tuy nhiên lợi WPA không yêu cầu cao phần cứng Do WPA sử dụng TKIP mã hóa theo thuật tốn RC4 giống WEP nên hầu hết card mạng không dây cũ hỗ trợ WEP cần nâng cấp phần mềm sở có thêt hoạt động tương thích với tiêu chuẩn WPA Còn WPA2 cần phải nâng cấp mặt phần cứng, tốn nhiều so với việc cập nhật firmware WPA Tuy nhiên với hệ thống mạng yêu cầu mức độ an ninh cao khuyến nghị nên sử dụng WPA2 Page | 37 KẾT LUẬN Với phát triển mạng máy tính lợi ích mà đem lại, theo nguy an toàn hệ thống mạng nảy sinh Việc phân đoạn cụ thể khu mạng để đảm bảo an toàn hữu ích việc thiết kế mạng an toàn Việc áp dụng nguyên tắc đảm bảo an toàn cho phân đoạn cụ thể giúp cho hệ thống mạng rõ ràng, chặt chẽ hết an toàn Bài báo cáo đạt mục tiêu sau: - Tìm hiểu ngun tắc đảm bảo an tồn cho phân đoạn cụ thể Áp dụng nguyên tắc vào hệ thống mạng thật Học viện Kỹ thuật mật mã Tuy nhiên, trình tìm hiểu, hạn chế kiến thức thời gian mà báo cáo dừng lại mức giới thiệu bản, chưa sâu vào dạng nâng cao áp dụng vào thực tế Hi vọng tương lai, có thời gian hội, chúng em tiếp tục phát triển vấn đề nâng cao Page | 38 TÀI LIỆU THAM KHẢO [1] Giáo trình Phân tích thiết kế an tồn mạng máy tính – Học viện Kỹ thuật mật mã – Ths Vũ Đình Thu- Ks Lê Khắc An Page | 39