Bài giảng An ninh mạng - Chương 5: Bảo đảm an toàn mạng cung cấp đến các bạn với những kiến thức về tổng quan về an ninh mạng; một số phương thức tấn công mạng phổ biến; biện pháp đảm bảo an ninh mạng; mạng riêng ảo VPN (Virtual Private Networks).
CHƢƠNG BẢO ĐẢM AN TOÀN MẠNG CuuDuongThanCong.com https://fb.com/tailieudientucntt Nội dung I Tổng quan an ninh mạng II Một số phương thức công mạng phổ biến III Biện pháp đảm bảo an ninh mạng IV Mạng riêng ảo VPN (Virtual Private Networks) CuuDuongThanCong.com https://fb.com/tailieudientucntt V.1 Tổng quan an ninh mạng Khái niệm an ninh mạng Các đặc trưng kỹ thuật an toàn mạng Các lỗ hổng điểm yếu mạng Các biện pháp phát hệ thống bị công CuuDuongThanCong.com https://fb.com/tailieudientucntt V.1.1 Khái niệm an ninh mạng Mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác sử dụng chung tài nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tài nguyên thông tin mạng, tránh mát, xâm phạm cần thiết cấp bách An ninh mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng CuuDuongThanCong.com https://fb.com/tailieudientucntt An ninh mạng bao gồm: Xác định xác khả năng, nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an tồn mạng Đánh giá nguy cơng Hacker đến mạng, phát tán virus Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt Khó khăn việc bảo đảm an ninh mạng Một thách thức an tồn mạng xác định xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hổng khiến mạng bị xâm phạm thơng qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, bọ gián điệp , nguy xoá, phá hoại CSDL, ăn cắp mật khẩu, nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt CuuDuongThanCong.com https://fb.com/tailieudientucntt Hình thức cơng an ninh Về chất phân loại vi phạm thành hai loại vi phạm thụ động vi phạm chủ động Thụ động chủ động hiểu theo nghĩa có can thiệp vào nội dung luồng thơng tin có bị tráo đổi hay không Vi phạm thụ động nhằm mục đích nắm bắt thơng tin Vi phạm chủ động thực biến đổi, xoá bỏ thêm thông tin ngoại lai để làm sai lệch thơng tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường khó phát ngăn chặn hiệu Trái lại vi phạm chủ động dễ phát lại khó ngăn chặn CuuDuongThanCong.com https://fb.com/tailieudientucntt V.1.2 Các đặc trƣng kỹ thuật an tồn mạng a Tính xác thực (Authentification) b Tính khả dụng (Availability) c Tính bảo mật (Confidentialy) d Tính tồn vẹn (Integrity) e Tính khống chế (Accountlability) f Tính khơng thể chối cãi (Nonreputation) CuuDuongThanCong.com https://fb.com/tailieudientucntt a Tính xác thực (Authentification) Cơ chế xáccủa thực củathực thể phương bảo Kiểm trakiểm tính tra xáctính thực giao thức tiếp mật dựaMột vàothực mơthể hìnhcóchính mạng thể sau: người sử dụng, Đối tượng cần kiểmtính, tra cần phải cung cấpbị tin trước, ví chương trình máy thiết phầnthông cứng dụ Password, mã số thông số cá nhân PIN (Personal Information Number) Các hoạt động kiểm tra tính xác thực đánh giá Kiểm tra dựa vàotrong mơ hình có, đốiphương tượng kiểm tra quan trọng cácnhững hoạtthông độngtincủa thức phải thể thông tin mà chúng sở hữu, ví dụ bảocần mật Private Key, số thẻ tín dụng Kiểm tra dựathơng vào mơthường hình xác kiểm định tính nhất, Một hệ thống phảithơng thựctin tra tính xác đối tượng kiểm tra cần phải có thơng tin để định danh tính thực thực víthể qua thực thểnói, dấu thực kết duycủa nhấtmột dụ trước thông giọng vânhiện tay, chữ nốikývới hệ thống Có thể phân loại bảo mật VPN theo cách sau: mật truyền thống hay mật lần; xác thực thông qua giao thức (PAP, CHAP, RADIUS…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc) CuuDuongThanCong.com https://fb.com/tailieudientucntt Một số mức xác thực password password Level password identity Level One way function Level 10 One way function password identity timestamp Encryptio n Level CuuDuongThanCong.com https://fb.com/tailieudientucntt V.3.4 Kỹ thuật Firewall 38 Lọc khung (Frame Filtering): Lọc gói (Packet Filtering): Hoạt động tầng mơ hình OSI, lọc, kiểm tra đượchoạt mức bit nội dung củatựkhung tin - Một số Firewall động tầng mạng (tương Kiểu Firewall chung kiểu dựa tầng mạng (Ethernet/802.3, Token Ring 802.5, FDDI, ) Router) thường mơ hình OSI cho phép tốc độ xử lý nhanh kiểm tra địa IP nguồn mà khung không thực lệnh Router, Trong tầng liệuhiện không tin cậy bị từ chối Lọc gói cho phép hay từhay chốibịgói tin mà nhận không xác định địa sai cấm trước vào mạng Nósử kiểm trađịa tồn đoạn địnhgóixem - Nó dụng IP nguồn làmliệu để thị,quyết tin đoạnđịa dữchỉ liệunguồn có làthoả quyđược định mang địamãn giả số chiếm lọc hayhệ khơng quyền truyPacket nhập vào thống Cácnhiên quy tắc lọc Packet dựa kỹ vàothuật có thơng - Tuy có nhiều biện pháp thể tin áp Packet dụng cho Header việc lọc gói tin nhằm khắc phục nhược điểm trên, ngồi trường địa IP kiểm tra, cịn có thơng tin khác kiểm tra với quy tắc tạo Firewall, thông tin thời gian truy nhập, giao thức sử dụng, cổng CuuDuongThanCong.com https://fb.com/tailieudientucntt III.5 Kỹ thuật Proxy Ưuhệ điểm củaFirewall kiểu Firewall loại kết khơng cócho chức Là thống thực nối thay kết chuyển gói khách tin IP, thể điểu khiển cách chi nối trực tiếp tiếp từ máy ucócầu tiết kết nối thơng qua Firewall Cung cấp nhiều công cụ chođộng phépdựa ghi lại quámềm trình kết Proxy hoạt trêncác phần Khi nối Các kết gói nối tin từ chuyển quasửFirewall đềuđóđược kiểm sử tra dụng kỹ lưỡng người dụng đến mạng Proxyvới kết quy tắc Firewall, điều phải trả giá cho tốc độ xử lý nối bị chặn lại, sau Proxy kiểm tra trường có Khiliên mộtquan máy đến chủ u nhận gói tin từ mạng ngồi chuyển cầu kết nối chúng vào mạng trong, tạo lỗ hổng cho kẻ phá việc hoại kiểm (Hacker) xâmcơng, nhậpcótừnghĩa mạng ngồi vào thơng mạng Nếu tra thành trường tin đáp ứng quy tắc đặt ra, tạo cầu kết Nhược điểmhai kiểuvới Firewall nối node hoạt động dựa trình ứng dụng uỷ quyền (Proxy) 39 CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4 Mạng riêng ảo (VPN-Virtual Private Network) Khái niệm Kiến trúc mạng riêng ảo Những ưu điểm mạng VPN Giao thức PPTP (Point to Point Tunnelling Protocol) Giao thức L2F (Layer Two Forwarding Protocol) Giao thức L2TP (Layer Two Tunnelling Protocol) Giao thức IPSEC 40 CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4.1 Khái niệm mạng riêng ảo 41 Mạng máy tính ban đầu triển khai với kỹ thuật chính: đường thuê riêng (Leased Line) cho kết nối cố định đường quay số (Dial-up) cho kết nối không thường xuyên Các mạng có tính bảo mật cao, lưu lượng thay đổi đòi hỏi tốc độ cao nên thúc đẩy hình thành kiểu mạng liệu mới, mạng riêng ảo Mạng riêng ảo xây dựng kênh logic có tính “ảo” Xu hướng hội tụ mạng NGN tạo điều kiện cho xuất nhiều dịch vụ mới, có dịch vụ mạng riêng ảo Mạng riêng ảo mạng máy tính, điểm khách hàng kết nối với sở hạ tầng chia sẻ với sách truy nhập bảo mật mạng riêng CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4.1 Khái niệm mạng riêng ảo 42 Có dạng mạng riêng ảo VPN là: Remote Access VPN: cho phép thực kết nối truy nhập từ xa người sử dụng di động (máy tính cá nhân Personal Digital Assistant) với mạng (LAN WAN) qua đường quay số, ISDN, đường thuê bao số DSL Site- to - Site VPN: dùng để kết nối mạng vị trí khác thơng qua kết nối VPN Có thể chia thành loại khác: Intranet VPN kết nối văn phòng xa với trụ sở thường mạng LAN với Extranet VPN Intranet VPN khách hàng mở rộng kết nối với Intranet VPN khác CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4.1 Khái niệm mạng riêng ảo 43 Bảo mật yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn hiệu Kết hợp với thủ tục xác thực người dùng, liệu bảo mật thông qua kết nối đường hầm (Tunnel) tạo trước truyền liệu Tunnel kết nối ảo điểm - điểm (Point to Point) làm cho mạng VPN hoạt động mạng riêng Dữ liệu truyền VPN mã hoá theo nhiều thuật toán khác với độ bảo mật khác Người quản trị mạng lựa chọn tuỳ theo yêu cầu bảo mật tốc độ truyền dẫn Giải pháp VPN thiết kế phù hợp cho tổ chức có xu hướng tăng khả thông tin từ xa, hoạt động phân bố phạm vi địa lý rộng có sở liệu, kho liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4.2 Kiến trúc mạng riêng ảo Hai thành phần Internet tạo nên mạng riêng ảo VPN, là: Đường hầm (Tunnelling) cho phép làm “ảo” mạng riêng Các dịch vụ bảo mật đa dạng cho phép liệu mang tính riêng tư Đường hầm: 44 Là kết nối điểm cuối cần thiết Khi kết nối giải phóng khơng truyền liệu dành băng thơng cho kết nối khác Kết nối mang tính logic “ảo” không phụ thuộc vào cấu trúc vật lý mạng Nó che giấu các thiết bị định tuyến, chuyển mạch suốt người dùng CuuDuongThanCong.com https://fb.com/tailieudientucntt Cấu trúc đƣờng hầm 45 CuuDuongThanCong.com https://fb.com/tailieudientucntt Đƣờng hầm cấu trúc LAN Client 46 CuuDuongThanCong.com https://fb.com/tailieudientucntt Cách thức tạo đƣờng hầm 47 Đường hầm tạo cách đóng gói gói tin (Encapsulate) để truyền qua Internet Đóng gói mã hố gói gốc thêm vào tiêu đề IP cho gói Tại điểm cuối, dạng gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề liệu Đường hầm có loại: Thường trực (Permanent) tạm thời (Temporary hay Dynamic) Thông thường mạng riêng ảo VPN sử dụng dạng đường hầm động Đường hầm động hiệu cho VPN, khơng có nhu cầu trao đổi thơng tin huỷ bỏ Đường hầm kết nối điểm cuối theo kiểu LAN- to - LAN cổng bảo mật (Security Gateway), người dùng LAN dụng đường hầm Cịn trường hợp Client- to - LAN, Client phải khởi tạo việc xây dựng đường hầm máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4.3 Những ƣu điểm mạng VPN Chi phí: Cơng nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng gọi đường dài chi phí Truy nhập dễ dàng: gọi nội hạt Người sử dụng VPN, việc sử dụng tài Hơn nữa, sử dụng kết nối đến ISP cho phép vừa sử nguyên VPN sử dụng dịch vụ khác dụng VPN vừa truy nhập Internet Internet mà không cần quan tâm đến phần phức tạp Công tầngnghệ dưới.VPN cho phép sử dụng băng thông đạt hiệu cao Giảm nhiều chi phí quản lý, bảo trì hệ thống 48 CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4.4 Giao thức PPTP (Point to Point Tunnelling Protocol) 49 PPP giao thức tầng 2-Data link, truy nhập mạng WAN HDLC, SDLC, X.25, Frame Relay, Dial on Demand PPP sử dụng cho nhiều giao thức lớp TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP Network Control Protocol PPP sử dụng Link Control Protocol để thiết lập điều khiển kết nối PPP sử dụng giao thức xác thực PAP CHAP PPTP dựa PPP để thực thi chức sau: Thiết lập kết thúc kết nối vât lý Xác thực người dùng Tạo gói liệu PPP CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4.5 Giao thức L2F (Layer Two Forwarding Protocol) Tuy nhiên nghĩa giao phát thứctriển, tạo tunnel riêng Giao thức L2TP L2FP định hãng Cisco dùng để truyền nó, dựa cấu qua củaInternet L2F CơL2F cấuhoạt nàyđộng tiếp tụctầng định khungtrên SLIP/PPP nghĩa Link) việc truyềnmơ L2TP (Data hình qua OSI.các mạng chuyển mạch gói X25, Frame Relay ATM Cũng PPTP, L2F thiết kế giao thức Tunnel, Mặc dù sử nhiều cách vàoriêng việccủa sử dụng cácthực định nghĩaL2TP đóngtập góitrung liệu dụng thức mạng2.IP, ta có khả thiết để giao truyền cácUDP gói tin mức lập hệ thống L2TP không sử dụng IP Một khác PPTP L2F tạo Tunnel Một mạng sử dụng ATM Frame Relay giao thức L2F không phụ thuộc vào IP GRE, điều triển khai cho tunnel L2TP cho phép làm việc với mơi trường vật lý khác Giao thức L2TP sử dụng để xác thực người sử dụng Cũng PPTP, L2F sử dụng chức PPP để cung Dial-up Tunnel kết nối SLIP/PPP qua Internet Vì cấp kết nối truy cập từ xa kết nối L2TPmột giao thức lớpqua 2, nên hỗ trợ qua tunnel thông Internet đểcho tới người đích sử dụng khả mềm dẻo PPTP việc truyền tải giao thức IP, ví dụ IPX NETBEUI 50 CuuDuongThanCong.com https://fb.com/tailieudientucntt V.4.7 Giao thức IPSEC 51 IPSec bảo đảm tính tin cậy, tính tồn vẹn tính xác thực truyền liệu qua mạng IP công cộng IPSec định nghĩa loại tiêu đề cho gói IP điều khiển q trình xác thực mã hóa: Một xác thực tiêu đề Authentication Header (AH), hai đóng gói bảo mật tải Encapsulating Security Payload (ESP) Xác thực tiêu đề AH đảm bảo tính tồn vẹn cho tiêu đề gói liệu Đóng gói bảo mật tải ESP thực mã hóa đảm bảo tính tồn vẹn cho gói liệu khơng bảo vệ tiêu đề cho gói IP AH IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa thuận liên kết bảo mật SA hai thực thể trao đổi thơng tin khóa IKE cần sử dụng phần lớn ứng dụng thực tế để đem lại thơng tin liên lạc an tồn diện rộng CuuDuongThanCong.com https://fb.com/tailieudientucntt Thanksss 52 CuuDuongThanCong.com https://fb.com/tailieudientucntt ... bảo vệ tài nguyên thông tin mạng, tránh mát, xâm phạm cần thiết cấp bách An ninh mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo. .. https://fb.com/tailieudientucntt V.1 Tổng quan an ninh mạng Khái niệm an ninh mạng Các đặc trưng kỹ thuật an toàn mạng Các lỗ hổng điểm yếu mạng Các biện pháp phát hệ thống bị công CuuDuongThanCong.com https://fb.com/tailieudientucntt...Nội dung I Tổng quan an ninh mạng II Một số phương thức công mạng phổ biến III Biện pháp đảm bảo an ninh mạng IV Mạng riêng ảo VPN (Virtual Private Networks) CuuDuongThanCong.com https://fb.com/tailieudientucntt