Đang tải... (xem toàn văn)
Cung cấp cho người học một cái nhìn tổng quan về cách thức để đảm bảo an toàn cho các thiết bị mạng hoạt động trên các tầng khác nhau của mô hình OSI. Sau khi hoàn tất chương, sinh viên có những khả năng: Xác định được các điểm truy nhập của hệ thống mạng. Hiểu được các điểm yếu của đường truyền mạng. Mô tả được các điểm yếu của switch, bridge và access point; trình bày được các điểm yếu của router, Server truy cập từ xa và tường lửa trên tầng 3,...
Chương An tồn cho thiết bị mạng • Các điểm truy nhập tầng • Các điểm truy nhập tầng • Các điểm truy nhập tầng • Các điểm truy nhập tầng trở lên Bộ môn HTMT&TT 14/05/2010 Mục tiêu • Cung cấp cho người học nhìn tổng quan cách thức để đảm bảo an toàn cho thiết bị mạng hoạt động tầng khác mơ hình OSI • Sau hồn tất chương, sinh viên có khả năng: ▫ Xác định điểm truy nhập hệ thống mạng ▫ Hiểu điểm yếu đường truyền mạng ▫ Mô tả điểm yếu switch, bridge access point; ▫ Trình bày điểm yếu router, Server truy cập từ xa tường lửa tầng ▫ Phân biệt điểm yếu proxy server, máy trạm, máy chủ thiết bị lưu trữ ngồi ▫ Trình bày cách thức để bảo vệ thiết bị Bộ môn MMT&TT 14/05/2010 Phần Các điểm truy cập tầng • Khái niệm • Cáp đồng: cáp đồng trục, cáp xoắn • Cáp quang • Mạng khơng dây • Modem Bộ môn HTMT&TT 14/05/2010 Các điểm truy cập tầng • Khái niệm Các Các điểm điểm truy truy nhập nhập (access (access points) points) là nơi nơi người người dùng dùng hợp hợp lệ lệ và cả không không hợp hợp lệ lệ truy truy cập cập vào vào mạng mạng để để truy truy xuất xuất các tài tài nguyên nguyên trên mạng mạng Những Những vấn vấn đề đề an an toàn toàn trên tầng tầng vật vật lý: lý: •• Các Các loại loại cáp cáp •• Mạng Mạng khơng khơng dây dây •• Modem Modem Bộ môn MMT&TT 14/05/2010 Các điểm truy cập tầng • Cáp đồng trục Cách Cách 11 Gắn Gắn trực trực tiếp tiếp 11 T-connector T-connector vào vào đó trên cáp, cáp, sau đặt đặt thiết thiết bị bị nghe nghe lén vào vào Dễ Dễ bị bị phát phát hiện vì khi lắp lắp thiết thiết bị bị sẽ làm làm gián gián đoạn đoạn hoạt hoạt động động của mạng mạng Bộ môn MMT&TT Cách Cách 22 Dùng Dùng vòi vòi quỉ quỉ (vampire (vampire tab) tab) gắn gắn trực trực tiếp tiếp vào vào đường đường cáp, cáp, xuyên xuyên qua qua các vỏ vỏ bọc bọc và tiếp tiếp xúc xúc đến đến đường đường trục trục chính của cáp cáp Khó Khó phát phát hiện nhưng vẫn có thể dò dò tìm tìm ra 14/05/2010 Cách Cách 33 Dùng Dùng 11 thiết thiết bị bị cảm cảm ứng ứng bao bao xung xung quanh quanh đường đường cáp, cáp, thu thu nhận nhận và khuyếch khuyếch đại đại các tín tín hiệu hiệu ítít ỏi ỏi nhận nhận được khi tín tín hiệu hiệu di di chuyển chuyển bên bên trong Không Không phát phát hiện được Cách Cách bảo bảo vệ vệ •• Cơ Cơ lập lập đường đường cáp cáp •• Khơng Không cho cho tiếp tiếp xúc xúc trực trực tiếp tiếp với với cáp cáp Các điểm truy cập tầng • Cáp xoắn đơi (UTP – STP) Cách thâm nhập vào gắn trực tiếp vào switch qua patch-panel Cô Cô lập lập các đường đường kết kết nối nối chính đến đến hệ hệ thống thống cáp: cáp: •• Tách Tách riêng riêng các switch switch trung trung tâm tâm vào vào phòng phòng quản quản trị trị mạng mạng •• Gắn Gắn các tủ tủ có có khóa khóa để để bảo bảo vệ vệ các switch switch và các patch-panel patch-panel Bộ môn MMT&TT 14/05/2010 Các điểm truy cập tầng • Cáp quang Khó Khó bị bị xâm xâm nhập nhập bằng cách cách gắn gắn trộm trộm các thiết thiết bị bị nghe nghe lén trực trực tiếp tiếp vào vào đường đường cáp cáp •• Điểm Điểm yếu yếu của hệ hệ thống thống cáp cáp quang quang là các đầu đầu nối nối (connector) (connector) •• Có Có thể thể chèn chèn vào vào mối mối nối nối 11 bộ chia chia (splitter) (splitter) và nghe nghe lén các tín tín hiệu hiệu tại đây Vì Vì phải phải đi kèm kèm với với các bộ thu thu phát phát tín tín hiệu hiệu nên nên dễ dễ dàng dàng bị bị để để phát phát hiện Bộ môn MMT&TT 14/05/2010 Các điểm truy cập tầng • Mạng không dây – Hồng ngoại Giới Giới hạn hạn của hồng hồng ngoại ngoại bắt bắt buộc buộc 22 thiết thiết bị bị phải phải “nhìn “nhìn thấy thấy nhau” nhau” (line (line of of sigh) sigh) và khoảng khoảng cách cách giữa 22 thiết thiết bị bị cũng phải phải gần gần nhau Bộ môn MMT&TT xâm xâm nhập nhập hay hay nghe nghe lén sẽ rất khó khó khăn khăn 14/05/2010 Các điểm truy cập tầng • Mạng khơng dây – Sóng radio •• Wireless Wireless LAN LAN hiện đang được dùng dùng rộng rộng rãi rãi trong cuộc sống sống •• Mạng Mạng khơng khơng dây dây dùng dùng sóng sóng radio radio (RF) (RF) này rất khơng khơng an an tồn tồn vì trong phạm phạm vi vi phủ phủ sóng, sóng, ai cũng có thể nhận nhận được tín tín hiệu hiệu Cài Cài đặt đặt cơ chế chế bảo bảo mật mật cho cho mạng mạng khơng khơng dây: dây: •• Cài Cài khóa khóa (key) (key) theo theo 22 cách cách WEP WEP và WPA WPA để để mã mã hóa hóa dữ liệu liệu Bộ môn MMT&TT 14/05/2010 Các điểm truy cập tầng • Modem Các Các hệ hệ thống thống phục phục vụ vụ cho cho kết kết nối nối bằng Modem Modem (RAS (RAS –– Remote Remote Acces Acces Service) Service) thông thông thường thường được cấu cấu hình hình khá an an tồn tồn Nguy cơ: lắp Modem vào hệ thống máy tính đặt quan Dùng chương trình gọi War Dialer để kết nối (gọi đến) Modem xâm nhập vào máy tính gắn trực tiếp vào Modem •• Giới Giới hạn hạn sử sử dụng dụng Modem Modem •• Cấu Cấu hình hình Modem Modem chỉ cho cho phép phép hướng hướng gọi gọi đi Bộ môn MMT&TT 14/05/2010 10 Các điểm truy cập tầng • Wireless Access Point Hacker dò tìm kết nối vào Access Point để gia nhập vào mạng WLAN khơng mã hóa mà khơng cần phải có tài khoản Cài Cài đặt đặt khóa khóa có có độ độ dài dài lớn lớn (chẳng (chẳng hạn hạn 128 128 bits) bits) và thường thường xuyên xuyên thay thay đổi đổi khóa khóa để để tránh tránh bị bị tấn cơng cơng Bộ mơn MMT&TT Cấu Cấu hình hình các cơ chế chế bảo bảo mật mật tại Access Access Point Point •• Ẩn Ẩn đi định định danh danh của mạng mạng (hide (hide SSID) SSID) •• Cài Cài đặt đặt khóa khóa (key) (key) cho cho mạng mạng •• Tạo Tạo bộ lọc lọc MAC MAC (filter) (filter) chỉ cho cho phép phép các thiết thiết bị bị trong danh danh sách sách cho cho trước trước tham tham gia gia vào vào mạng mạng 14/05/2010 15 Phần Các điểm truy cập tầng • Khái niệm • Router • Remote Access Server • Layer Firewall Bộ môn HTMT&TT 14/05/2010 16 Các điểm truy cập tầng • Khái niệm Các Các thiết thiết bị bị trên tầng tầng 33 •• Vạch Vạch đường đường cho cho các gói gói tin tin •• Sử Sử dụng dụng địa địa chỉ luận luận lý lý •• Có Có nhiều nhiều các cơ chế chế bảo bảo mật mật để để chứng chứng thực thực người người dùng dùng và điều điều khiển khiển lưu lưu thông thông trên mạng mạng Những Những vấn vấn đề đề an an toàn toàn trên tầng tầng 33 bao bao gồm: gồm: •• Bộ Bộ định định tuyến tuyến (Router) (Router) •• Máy Máy chủ chủ phục phục vụ vụ từ từ xa xa (Remote (Remote Access Access Server) Server) •• Tường Tường lửa lửa trên tầng tầng 33 (Layer (Layer 33 firewall) firewall) Bộ môn MMT&TT 14/05/2010 17 Các điểm truy cập tầng • Router Router Router dùng dùng để để tìm tìm đường đường đi tốt tốt nhất cho cho các gói gói tin, tin, có có khả khả năng ngăn ngăn được broadcast broadcast Router Router cung cung cấp cấp số tính tính năng bảo bảo mật: mật: •• Danh Danh sách sách điều điều khiển khiển truy truy cập cập (ACL): (ACL): cho cho phép phép chặn chặn gói gói tin tin dựa dựa theo theo địa địa chỉ, chỉ, loại loại dịch dịch vụ vụ (cổng) (cổng) •• Lọc Lọc gói gói tin tin dựa dựa theo theo loại loại gói gói hay hay nội nội dung dung gói gói •• Quality Quality of of Service Service (QoS): (QoS): điều điều khiển khiển lưu lưu thông thông trên mạng mạng dựa dựa theo theo độ độ ưu ưu tiên tiên của dịch dịch vụ vụ Bộ môn MMT&TT 14/05/2010 18 Các điểm truy cập tầng • Router Router Router có thể bị bị tấn công công thông thông qua qua đường đường Telnet Telnet (dùng (dùng để để cấu cấu hình hình thiết thiết bị bị từ từ xa xa qua qua cổng cổng 23) 23) vì mật mật khẩu không không được mã mã hóa hóa Tấn Tấn cơng cơng tính tính năng vạch vạch đường đường động động (dynamic (dynamic routing) routing) •• Giả Giả mạo mạo địa địa chỉ của 11 router router trong mạng mạng •• Gửi Gửi các thông thông tin tin vạch vạch đường đường cho cho router router mục mục tiêu tiêu Cách Cách ngăn ngăn ngừa ngừa •• Dùng Dùng giao giao thức thức vạch vạch đường đường có có mã mã hóa hóa •• Cài Cài đặt đặt chứng chứng thực thực trong giao giao thức thức vạch vạch đường đường Bộ môn MMT&TT 14/05/2010 19 Các điểm truy cập tầng • Server truy cập từ xa (RAS) Cung Cung cấp cấp kết kết nối nối cho cho những người người dùng dùng ở xa xa thông thông qua qua đường đường điện điện thoại thoại (dial-up) (dial-up) hay hay VPN VPN Những Những cách cách chứng chứng thực thực thông thông dụng dụng là: là: •• PAP PAP (Password (Password Authentication Authentication Protocol) Protocol) oo Truyền Truyền mật mật khẩu dạng dạng Plain-Text Plain-Text trên đường đường truyền truyền => => không không an an tồn tồn •• SPAP SPAP (Shiva (Shiva hay hay Secure Secure PAP): PAP): an an toàn toàn hơn PAP PAP vì có có sử sử dụng dụng mã mã hóa hóa •• CHAP CHAP (Challenge (Challenge Handshake Handshake Authentication Authentication Protocol) Protocol) và MS-CHAP MS-CHAP (Microsoft (Microsoft CHAP) CHAP) oo An An toàn toàn hơn vì có có mã mã hóa hóa và không không truyền truyền mật mật khẩu trên đường đường truyền truyền •• EAP EAP (Extensible (Extensible Authentication Authentication Protocol) Protocol) oo Kết Kết hợp hợp với với phương phương pháp pháp chứng chứng thực thực thứ thứ 33 như smartcard, smartcard, sinh sinh trắc trắc học học •• Chứng Chứng thực thực tập tập trung trung (qua (qua RADIUS): RADIUS): an an toàn toàn và hiệu hiệu quả hơn Bộ môn MMT&TT 14/05/2010 20 Các điểm truy cập tầng • Server truy cập từ xa (RAS) Mandatory callback • Chỉ kết nối đến Server từ số điện thoại cho trước • Chứng thực chiều: sau chứng thực thành cơng, Server kết nối ngược lại Client • Chỉ thích hợp với người dùng cố định RAS RAS cho cho phép phép người người quản quản trị trị cài cài đặt đặt các tính tính năng bảo bảo mật mật để để điều điều khiển khiển đúng loại loại giao giao thức thức đang sử sử dụng dụng => => khóa khóa các giao giao thức thức khác khác để để giảm giảm băng băng thông thông và giảm giảm nguy nguy cơ tấn công công Bộ môn MMT&TT 14/05/2010 21 Các điểm truy cập tầng • Tường lửa (Firewall) Firewall Firewall sẽ ngăn ngăn chặn chặn truy truy cập cập trái trái phép phép từ từ bên bên ngoài vào vào bên bên trong mạng mạng và khóa khóa người người dùng dùng bên bên trong mạng mạng truy truy cập cập các tài tài nguyên nguyên nguy nguy hại hại bên bên ngoài mạng mạng Firewall Firewall được chia chia thành thành 33 dạng dạng chính: chính: •• Lọc Lọc gói: gói: hoạt hoạt động động trên tầng tầng 33 •• Lọc Lọc nội nội dung: dung: hoạt hoạt động động trên tầng tầng ứng ứng dụng dụng •• Duyệt Duyệt tất trạng trạng thái: thái: hoạt hoạt động động trên tất các tầng tầng Bộ môn MMT&TT 14/05/2010 22 Các điểm truy cập tầng • Firewall tầng Firewall Firewall lọc lọc gói gói được cấu cấu hình hình để để từ từ chối chối hay hay cho cho phép phép truy truy cập cập từ từ (hoặc (hoặc đến) đến) 11 địa địa chỉ IP IP xác xác định định hoặc 11 cổng cổng cho cho trước trước 22 cơ chế chế thực thực hiện: hiện: •• Mặc Mặc nhiên nhiên cho cho phép phép (allow (allow by by default) default) •• Mặc Mặc nhiên nhiên cấm cấm (deny (deny by by default) default) Mặc Mặc nhiên nhiên cấm cấm là chính sách sách bảo bảo mật mật tốt tốt hơn Bộ môn MMT&TT 14/05/2010 23 Các điểm truy cập tầng • Firewall tầng Các Các router router mạnh mạnh gần gần như đều có có tùy tùy chọn chọn hỗ hỗ trợ trợ loại loại firewall firewall lọc lọc gói gói Những ưu điểm Firewall tầng • Tốc độ nhanh: cần kiểm tra header gói • Dễ sử dụng: rule định nghĩa rõ ràng • Trong suốt (Transparency) với thiết bị mạng người dùng Những hạn chế Firewall tầng • Khó mở riêng cổng cho ứng dụng • Khơng quan tâm đến nội dung gói: bỏ sót gói độc hại Bộ môn MMT&TT 14/05/2010 24 Phần Các điểm truy cập tầng cao • Khái niệm • Proxy Server • Máy trạm • Máy chủ Bộ mơn HTMT&TT 14/05/2010 25 Các điểm truy cập tầng • Khái niệm Tầng Tầng 44 và các tầng tầng cao cao hơn là nơi nơi mà mà hệ hệ điều điều hành hành và ứng ứng dụng dụng hiện diện diện cần cần phải phải có có các tính tính năng bảo bảo mật mật để để cung cung cấp cấp cho cho từng hệ hệ điều điều hành hành và ứng ứng dụng dụng riêng riêng biệt biệt Những Những vấn vấn đề đề an an toàn toàn trên tầng tầng 44 và cao cao hơn gồm: gồm: •• Proxy Proxy Server Server •• Máy Máy trạm trạm (Workstation) (Workstation) •• Máy Máy chủ chủ (Server) (Server) Bộ môn MMT&TT 14/05/2010 26 Các điểm truy cập tầng • Proxy Server cho cho phép phép hệ hệ thống thống bên bên trong môi mơi trường trường được bảo bảo vệ vệ có thể truy truy xuất xuất tài tài nguyên nguyên ở bên bên ngoài Đặc Đặc điểm điểm •• Làm Làm tăng tăng tốc tốc độ độ truy truy xuất xuất Web: Web: do đã lưu lưu cache cache •• Giám Giám sát sát các lưu lưu thông thông trên mạng: mạng: lưu lưu log log file file các truy truy cập cập •• Lọc Lọc thơng thơng tin: tin: dựa dựa theo theo giao giao thức, thức, theo theo địa địa chỉ, chỉ, … … •• Ngăn Ngăn chặn chặn hiệu hiệu quả sự xâm xâm nhập nhập không không mong mong muốn muốn vào vào hệ hệ thống thống mạng mạng Proxy Proxy Server Server có có điểm điểm yếu yếu nếu ta ta dùng dùng server server đó với với các chức chức năng khác khác có thể sẽ tạo tạo ra các lổ lổ hổng hổng Bộ môn MMT&TT Sử Sử dụng dụng 11 Server Server chuyên chuyên dùng dùng chỉ với với chức chức năng Firewall Firewall và Proxy Proxy 14/05/2010 27 Các điểm truy cập tầng • Máy trạm (Workstation) Chúng an toàn so với Server thường dễ bị cơng quan tâm đến vấn đề bảo mật Các Các điểm điểm yếu yếu thường thường bị bị khai khai thác thác •• Giao Giao thức thức TCP/IP TCP/IP là giao giao thức thức khơng khơng an an tồn tồn •• Dịch Dịch vụ vụ chia chia sẻ sẻ file file trên hệ hệ điều điều hành hành Windows Windows Người Người dùng dùng thường thường tự tự mình tạo tạo ra các lổ lổ hổng: hổng: •• Khơng Không thường thường xuyên xuyên thay thay đổi đổi mật mật khẩu •• Khơng Khơng cập cập nhật nhật các bản diệt diệt virus virus mới nhất •• Cài Cài đặt đặt các phần phần mềm mềm không không đáng đáng tin tin cậy cậy •• Mở Mở các file file đính đính kèm kèm không không rõ rõ nguồn nguồn gốc gốc trong email email Bộ mơn MMT&TT 14/05/2010 •• Gỡ Gỡ bỏ bỏ tất các dịch dịch vụ vụ khơng khơng cần cần thiết thiết •• Không Không cài cài đặt đặt các phần phần mềm mềm chưa chưa rõ rõ nguồn nguồn gốc gốc •• Cập Cập nhật nhật các bản vá vá lỗi lỗi và anti-virus anti-virus •• Cài Cài đặt đặt 11 tường tường lửa lửa •• Có Có chính sách sách sử sử dụng dụng riêng riêng cho cho từng đối đối tượng tượng 28 Các điểm truy cập tầng • Máy chủ (Server) Server Server thường thường là đối đối tượng tượng bị bị tấn cơng cơng vì nó chứa chứa các thông thông tin tin quan quan trọng trọng mà mà các hacker hacker muốn muốn có có •• Server Server càng có có nhiều nhiều chức chức năng càng có có nhiều nhiều nguy nguy cơ tấn công công từ từ chính các dịch dịch vụ vụ mà mà nó cung cung cấp cấp •• Server Server cũng có thể có có các điểm điểm yếu yếu đáng đáng quan quan tâm tâm như máy máy trạm trạm nếu người người quản quản trị trị không không cẩn cẩn thận thận Bộ mơn MMT&TT •• Đặt Đặt Server Server phía phía sau sau 11 hay hay nhiều nhiều Firewall Firewall •• Có Có lớp lớp bảo bảo vệ vệ (vật (vật lý) lý) giữa những server server này và mơi mơi trường trường bên bên ngồi ngồi •• Luôn Luôn cập cập nhật nhật hệ hệ điều điều hành, hành, ứng ứng dụng dụng và các chương chương trình trình diệt diệt virus virus 14/05/2010 29 ... bên ngoài vào vào bên bên trong mạng mạng và khóa khóa người người dùng dùng bên bên trong mạng mạng truy truy cập cập các tài tài nguyên nguyên nguy nguy hại hại bên bên ngoài mạng mạng Firewall... an an tồn tồn Nguy cơ: lắp Modem vào hệ thống máy tính đặt quan Dùng chương trình gọi War Dialer để kết nối (gọi đến) Modem xâm nhập vào máy tính gắn trực tiếp vào Modem •• Giới Giới hạn hạn sử... người dùng dùng hợp hợp lệ lệ và cả không không hợp hợp lệ lệ truy truy cập cập vào vào mạng mạng để để truy truy xuất xuất các tài tài nguyên nguyên trên mạng mạng Những Những vấn vấn đề đề