Bài giảng Xây dựng hệ thống Firewall - Bài 1 trình bày các nguyên tắc bảo mật mạng. Mục tiêu của bài này giúp người học: Nhận biết được các nguy cơ bị tấn công của hệ thống mạng, giải thích được các bước để hack một hệ thống mạng, trình bày được các loại tấn công vào hệ thống mạng,... Mời các bạn tham khảo.
MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn http://fit.ispace.edu.vn @Email: fit@ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS @Email: fit@ispace.edu.vn BÀI 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG Cấu hình cho thiết bị các tính tự bảo mật, giảm nguy bị công, truy cập thiết bị trái phép Suy nghĩ Hacker Giảm nguy bị công mạng Tắt dịch vụ mạng Interface không sử dụng Bảo mật truy cập quản trị cấu hình Cisco Router Giảm mối đe dọa công với ACL Bảo mật cho tính Management Reporting Câu hỏi & tập @Email: fit@ispace.edu.vn MỤC TIÊU BÀI HỌC Nhận biết nguy bị cơng hệ thống mạng Giải thích bước để hack hệ thống mạng Trình bày loại cơng vào hệ thống mạng Cấu hình giảm nguy bị công mạng Cisco Router Cấu hình bảo mật cho tính management reporting Cisco Routers Cấu hình tính AAA Cisco Routers Cấu hình bảo mật cho Cisco Routers sử dụng tính AutoSecure @Email: fit@ispace.edu.vn Suy Nghĩ Như Một Hacker Luôn đóng vai trò một Hacker để tìm các phương thức phòng vệ và bảo mật cho hệ thống bước để công hệ thống mạng: B1: Thực phân tích dấu vết hay thông tin ban đầu B2: Chi tiết thông tin B3: Ghi nhận thao tác người dùng truy cập B4: Chiếm dụng quyền hạn cao hơn.(leo thang đặc quyền) B5: Bổ sung mật thu thập bí mật B6: Cài đặt back doors B7: Tận dụng hệ thống bị xâm nhập @Email: fit@ispace.edu.vn Suy Nghĩ Như Một Hacker Các gợi ý bảo vệ mạng chống lại các hacker Cập nhật vá lỗi Đóng dịch vụ khơng cần thiết port Sử dụng mật (đủ phức tạp) thường xuyên thay đổi chúng Kiểm soát truy cập vào hệ thống vật lý Cắt giảm đầu vào không cần thiết Thực lưu hệ thống kiểm tra chúng cách thường xuyên Cảnh báo người social engineering Mã hóa mật bảo vệ liệu nhạy cảm Sử dụng thích hợp bảo mật phần cứng phần mềm Phát triển sách an ninh văn cho công ty @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Tìm hiểu các phương thức công và cách phòng chống, làm giảm nguy hệ thống mạng bị công Các loại công mạng: Minimal Intelligence: Reconnaissance Access attacks DoS and DDoS @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Reconnaissance: khám phá trái phép lập bản đồ hệ thống, dịch vụ, lỗ hổng Reconnaissance: gọi thu thập thơng tin, hầu hết trường hợp, đứng trước một cuộc công truy cập hay DoS Các cơng Reconnaissance bao gồm: Packet sniffers o Mợt Packet sniffer phần mềm ứng dụng sử dụng card mạng chế đô promiscuous để bắt tất cả gói tin mạng o Khai thác thơng tin dạng Plaintext , giao thức sử dụng Plaintext : Telnet, FTP, SNMP, POP HTTP o Phải nằm mợt colision domain o Có thể sử dụng hợp pháp thiết kế đặc biệt để công @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy và phòng chống Packet sniffers: Dùng các kỹ thuật và các công cụ bao gồm: o Chứng thực (Authentication) o Mật mã (Cryptography) o Các công cụ Antisniffer o Thay đổi sở hạ tầng (Switched infrastructure) @Email: fit@ispace.edu.vn Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Các cơng Reconnaissance bao gồm: Port scans và Ping sweeps o Một hacker sử dụng các công cụ để scan các port và ping quét dò xét qua Internet o Là công cụ hợp pháp dùng để scan port và ping quét các ứng dụng các máy chủ hay các thiết bị để xác định các dịch vụ dễ bị tổn thương o Thông tin thu thập cách kiểm tra địa chỉ IP và port ứng dụng chạy cả UDP hay TCP @Email: fit@ispace.edu.vn 10 Cấu Hình AAA Trên Cisco Router Để tăng cường bảo mật cho thiết bị chúng ta cần cấu hình tính Authentication, Authorization và Accounting thiết bị Cisco Routers Giới thiệu về AAA: Quản trị bảo mật truy cập mạng môi trường Cisco dựa kiến trúc module có ba thành phần chức năng: Authentication Authorization Accounting Những dịch vụ AAA cung cấp mức độ cao khả mở rộng line-level, chứng thực-EXEC privileged cho thành phần mạng Sử dụng Cisco AAA cho phép kiến trúc phù hợp, bảo mật truy cập hệ thống khả mở rộng @Email: fit@ispace.edu.vn 81 Cấu Hình AAA Trên Cisco Router Giới thiệu về AAA: Authentication: Cung cấp các phương pháp xác định người sử dụng, bao gồm cả tên đăng nhập và mật và cá tuỳ chọn giao thức bảo mật, mã hoá Authorization: Cung cấp phương pháp để kiểm soát truy cập từ xa, bao gồm tài khoản ủy quyền hay dịch vụ ủy quyền Accounting: Cung cấp các phương pháp thu thập và gửi thông tin bảo mật đến máy chủ để toán, kiểm toán và báo cáo Chẳng hạn kiểm toán danh tính người dùng, số lần bắt đầu, kết thúc… @Email: fit@ispace.edu.vn 82 Cấu Hình AAA Trên Cisco Router Giới thiệu về AAA: Administrative access: Console, Telnet và AUX access Remote user network access: Dialup VPN access @Email: fit@ispace.edu.vn 83 Cấu Hình AAA Trên Cisco Router Router access modes: Tất các lệnh AAA (ngoại trừ hệ thống accounting) áp dụng character mode hay packet mode Character mode: cho phép một quản trị viên hệ thống với số lượng lớn các router một mạng xác thực tài khoản người dùng một lần, sau đó truy cập vào các router khác cấu hình phương pháp @Email: fit@ispace.edu.vn 84 Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS Authentication và Authorization: Ví dụ cho thấy cách trao đổi RADIUS client, Router và ACS (ACS sở hữu tên người dùng mật khẩu) Các ACS có thể trả lời với tin nhắn Access-Accept xác thực thành công, Access-Reject xác thực không thành công @Email: fit@ispace.edu.vn 85 Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS messages: Có bốn loại thông điệp tham gia vào việc trao đổi xác thực RADIUS: Access-Request, Access-Accept, Access-Reject và Access-Challenge @Email: fit@ispace.edu.vn 86 Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ RADIUS attributes: RADIUS một tiêu chuẩn giao thức IETF - RFC 2865 Tḥc tính Standard có thể tăng cường tḥc tính đợc quyền Sử dụng UDP port chuẩn (Microsoft RADIUS UDP Port 1812 cho Authentication, Port 1813 cho Accounting; Cisco RADIUS UDP Port 1645 cho Authetication và Port 1646 cho Authorization) Bao gồm chỉ có hai tính bảo mật o Mật mã pasword (MD5) o Xác thực gói tin (MD5 fingerpriting) Authorization chỉ một phần Authentication @Email: fit@ispace.edu.vn 87 Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Authentication: @Email: fit@ispace.edu.vn 88 Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Network Authorization: @Email: fit@ispace.edu.vn 89 Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Command Authorization: @Email: fit@ispace.edu.vn 90 Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ TACACS+ Attributes và Features: TACACS+ giao thức linh hoạt nhiều so với giao thức RADIUS TACACS+ server cho phép giao thức TACACS+ sử dụng hộp thoại ảo để thu thập đủ thông tin người dùng chứng thực TACACS+ messages chứa AV-pairs, ADDR, CMD, Interfaceconfig, Priv-Lvl, Route… TACACS+ sử dụng TCP port 49 TACACS+ thiết lập một phiên làm việc TCP dành riêng cho hoạt đợng AAA Cisco Secure ACS có thể sử dụng một phiên liên tục TCP cho tất cả hoạt động Giao thức bảo mật bao gồm chứng thực mã hóa tất cả datagrams TACACS+ @Email: fit@ispace.edu.vn 91 Cấu Hình AAA Trên Cisco Router AAA protocols: RADIUS và TACASC+ Cấu hình AAA Servers: Các bước cấu hình Network Access Server (NAS): o Tại chế độ global configuration ta enable AAA để sử dụng tất cả thành phần AAA Bước một điều kiện tiên cho tất cả lệnh AAA khác o Chỉ định Cisco Secure ACS cung cấp dịch vụ AAA cho network access server o Cấu hình khố, mật mã sử dụng để mã hóa việc chuyển liệu NAS Cisco Secure ACS @Email: fit@ispace.edu.vn 92 Câu hỏi bài tập Có các nguy công hệ thống mạng nào? Có bước để hack hệ thống mạng? Nếu các bước để hack hệ thống mạng Bạn hãy liệt kê các loại công vào hệ thống mạng Những cấu hình nào làm giảm nguy bị công mạng Cisco Router Thực cấu hình bảo mật cho tính management và reporting Cisco Routers @Email: fit@ispace.edu.vn 93 TÓM LƯỢC BÀI HỌC Tiến hành khảo sát, dò tìm lỗ hổng hệ thống mạng để khắc phục, giảm nguy thống mạng bị cơng Các lỗ hổng bảo mật ở các giao thức thuộc tính Management và Reporting Cấu hình bảo mật các tính Management và Reporting Cấu hình chứng thực AAA để tăng cường bảo mật cho hệ thống giảm rủi ro và nguy công truy cập trái phép Kết luận: Bài học hay giúp ta hình dung tổng quan hệ thống an ninh Ứng dụng học vào thực tiễn xây dựng chế tăng cường bảo mật cho thiết bị DN @Email: fit@ispace.edu.vn 94 @Email: fit@ispace.edu.vn 95 ...MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER Bài 5: TRIỂN... #nc -h connect to somewhere: nc [-options] hostname port[s] [ports] listen for inbound: nc -l -p port [-options] [hostname] [port] options: -g gateway source-routing hop point[s], up to -G num... source-routing pointer: 4, 8, 12 , -i secs delay interval for lines sent, ports scanned -l listen mode, for inbound connects -n numeric-only IP addresses, no DNS -o file hex dump of traffic -p port