• Mục tiêu của chương này là để giúp chúng ta làm việc với khách hàng để thiết kế hệ thống mạng của mình trong việc phát triển các chiến lược bảo mật hiệu quả.. • Chương này mô tả các bư[r]
(1)(2)• Chương 2,"Phân tích mục tiêu kỹ thuật Cân hệ thống mạng" xác định tài sản mạng, phân tích rủi ro an ninh, phát triển yêu cầu bảo mật
• Mục tiêu chương để giúp làm việc với khách hàng để thiết kế hệ thống mạng việc phát triển chiến lược bảo mật hiệu
• Chương mô tả bước để phát triển chiến lược an ninh bao gồm số nguyên tắc bảo mật
2
(3)Network Security Design The 12 Step Program
Có nhiều chiến lược an ninh phát triển cách bừa bãi khơng thực an tồn tài sản để đáp ứng mục tiêu khách hàng để bảo mật Phá vỡ quy trình bảo mật, bước sau giúp có kế hoạch hiệu thực chiến lược an ninh:
1 Xác định tài sản mạng Phân tích rủi ro an ninh
3 Phân tích yêu cầu an ninh cân Xây dựng kế hoạch an ninh
(4)Network Security Design The 12 Step Program
6 Xây dựng quy trình áp dụng sách bảo mật Xây dựng chiến lược thực kỹ thuật
8 Đạt từ người sử dụng, quản lý, cán kỹ thuật Người sử dụng, nhà quản lý nhân viên kỹ thuật 10 Thực qui trình chiến lược an ninh kỹ thuật 11 Kiểm tra an ninh cập nhật có vấn đề tìm
thấy
12 Duy trì an ninh
(5)Xác định tài sản mạng
• Phần cứng
• Phần mềm úng dụng
• Dữ liệu
• Sở hữu trí tuệ
• Bí mật thương mại
(6)Security Risks (rủi ro an ninh)
• Thiết bị mạng Hacked
- Dữ liệu bị chặn, phân tích, thay đổi, xóa
- Mật người dùng bị tổn hại
- Cấu hình thiết bị thay đổi
• Tấn cơng trinh sát
(7)Security Tradeoffs (Cân an ninh)
Cân phải thực mục tiêu an ninh mục tiêu khác:
- Khả chi trả - Khả sử dụng - Hiệu suất
(8)Phát triển kế hoạch an ninh
• Tài liệu đề xuất tổ chức làm để đáp ứng yêu cầu bảo mật
• Quy định cụ thể thời gian, người nguồn lực khác yêu cầu để phát triển sách an ninh thực sách
• Đối với kế hoạch an ninh có ích, cần phải có hỗ trợ tất cấp độ nhân viên tổ chức
(9)Phát triển sách bảo mật
• Bảo mật vật lý • Xác thực
• Ủy quyền
• Cơng nghệ máy tính mạng lưới kiểm tốn • Mã hóa liệu
• Bộ lọc gói tin • Tường lửa
(10)Bảo mật vật lý.
• Bảo mật vật lý dùng để hạn chế quyền truy cập vào tài nguyên mạng
• Tùy thuộc vào khách hang ta thiết kế mạng, bảo mật vật lý nên cài đặt để bảo vệ định tuyến, điểm phân giới cắm mốc, cáp, modem, máy chủ, máy chủ, lưu trữ dự phòng
10
(11)Xác thực.
• Xác định người yêu cầu dịch vụ mạng
• Xác thực truyền thống dựa ba cách sau: Để người sử dụng password, mã PIN
khóa mật mã riêng
2 Người sử dụng có thẻ mật khẩu, thẻ an ninh
3 Xác minh đặc tính vật lý độc đáo người sử dụng, chẳng hạn dấu vân tay, hình võng mạc, giọng nói, khn mặt
(12)Kiểm tốn.
• Để phân tích hiệu an ninh mạng lưới ứng phó cố an ninh, thủ tục cần thiết lập để thu thập liệu hoạt động mạng gọi kiểm tốn
• Đối với mạng sách an ninh nghiêm ngặt, liệu kiểm tốn phải bao gồm tất xác thực ủy quyền người
• Q trình kiểm tốn khơng nên thu thập mật Thu thập mật tạo tiềm cho vi phạm an ninh
• Một phần mở rộng kiểm toán khái niệm đánh giá an ninh Với đánh giá an ninh, mạng kiểm tra từ bên chuyên gia
12
(13)Mã hóa liệu.
• Là q trình mã hóa liệu để bảo vệ khỏi bị đọc
• Mã hóa tính bảo mật hữu ích để bảo mật liệu Nó sử dụng để xác định người gửi liệu
• Trên mạng nội mạng sử dụng Internet đơn giản để duyệt web, email, chuyển tập tin, mã hóa thường khơng cần thiết Đối với tổ chức kết nối trang web tư nhân thông qua Internet, sử dụng mạng riêng ảo (VPN), mã hóa khuyến khích để bảo vệ tính bảo mật liệu tổ chức
(14)Mã hóa cho bảo mật, tồn vẹn
14 Figure 8-1 Public/Private Hệ thống quan trọng cho đảm bảo bảo mật liệu
(15)Firewalls “tường lửa”
• firewallis thiết bị dùng để thi hành sách an ninh ranh giới hai nhiều mạng
• Một tường lửa router, thiết bị phần cứng, phần mềm chạy máy tính hệ thống Linux Tường lửa đặc biệt quan trọng ranh giới mạng doanh nghiệp Internet
(16)Modularizing Security Design (thiết kế bảo mật)
• Mạng lưới an ninh nên nhiều lớp với nhiều kỹ thuật khác sử dụng để bảo vệ mạng
• Bảo vệ tất thành phần thiết kế mô đun: - Kết nối Internet
- Máy chủ thông tin máy chủ thương mại điện tử.
- Mạng truy cập từ xa mạng riêng ảo VPN - Các dịch vụ mạng quản lý mạng
- Các mạng không dây
(17)Bảo mật kết nối Internet
• Kết nối Internet phải bảo đảm tập hợp chồng chéo chế bảo mật, bao gồm tường lửa, lọc gói tin, bảo mật vật lý, ghi kiểm toán, xác thực ủy quyền
(18)Đảm bảo truy cập từ xa mạng riêng ảo VPN
• Vật lý an ninh • Tường lửa
• Xác thực, cấp phép kiểm tốn • Mã hóa
• Giao thức bảo mật - CHAP
- RADIUS - IPSec
(19)Đảm bảo dịch vụ mạng
• Hãy đối xử với thiết bị mạng (router, switch, …) máy chủ có giá trị cao làm vững chống lại xâm nhập
• u cầu đăng nhập ID mật để truy cập thiết bị Yêu cầu ủy quyền thêm cho lệnh cấu hình nguy hiểm
(20)Đảm bảo máy chủ
• Triển khai mạng lưới tổ chức IDS để giám sát mạng máy chủ cá nhân
• Sửa chữa lỗi bảo mật biết đến hệ thống điều hành máy chủ
• Yêu cầu xác thực ủy quyền để truy cập quản lý máy chủ
(21)Dịch vụ bảo vệ
- Xác định ứng dụng phép chạy máy tính mạng sách bảo mật
- Yêu cầu tường lửa cá nhân phần mềm chống virus máy tính
- Thực thủ tục văn để định rõ phần mềm cài đặt lưu giữ
- Khuyến khích người dùng đăng xuất rời khỏi bàn làm việc
(22)Bảo mật mạng không dây
• Mạng LAN khơng dây Place (WLAN) subnet
VLAN
• Đơn giản hóa việc giải làm cho dễ dàng để cấu hình lọc gói tin
• u cầu tất máy tính xách tay khơng dây (và có dây) để chạy tường lửa cá nhân phần mềm chống virus
• Vơ hiệu hố cảnh báo phát sóng SSID, yêu cầu xác thực địa MAC
(23)Xác thực mạng không dây
• Các tiêu chuẩn IEEE 802.11 cung cấp phương pháp cho thiết bị để thẩm định điểm truy cập khơng dây
• Q trình khởi tạo 802.11 khách hàng bao gồm bước sau:
• Bước Các khách hang, chương trình phát sóng khung thăm dị u cầu kênh
(24)Xác thực mạng không dây
• Q trình khởi tạo 802,11 khách hàng bao gồm bước sau:
Bước Các khách hàng định điểm truy cập tốt cho việc truy cập gửi khung chứng thực
Bước Các điểm truy cập gửi khung chứng thực
Bước Sau xác thực thành công, khách hàng gửi yêu cầu tới khung hình đến điểm truy cập
Bước Các điểm truy cập trả lời với khung hình Bây khách hàng chuyển giao cho điểm truy cập
(25)VPN Software on Wireless Clients
“Phần mềm VPN khách hàng không dây”
• Khách hàng khơng dây địi hỏi phần mềm VPN
• Kết nối với VPN tập trung
• Tạo đường hầm để gửi tất lưu lượng truy cập bảo mật VPN cung cấp:
(26)Summary
• Sử dụng phương pháp tiếp cận từ xuống
• Chương đàm phán kế hoạch an ninh, sách thủ tục bao gồm chế bảo mật chọn chế phù hợp với thành phần khác thiết kế hệ thống mạng
(27)Review Questions
• Làm để nên kế hoạch an ninh khác với sách bảo mật?
• Tại quan trọng để đạt từ người sử dụng , quản lý, cán kỹ thuật cho sách bảo mật ?
• Một số phương pháp để giữ cho hacker xem thay đổi router cấu hình chuyển đổi thơng tin gì?