intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Bài giảng Xây dựng hệ thống Firewall: Bài 1 - Cao đẳng Nghề CNTT iSPACE

Chia sẻ: Kiếp Này Bình Yên | Ngày: | Loại File: PDF | Số trang:95

80
lượt xem
15
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng Xây dựng hệ thống Firewall - Bài 1 trình bày các nguyên tắc bảo mật mạng. Mục tiêu của bài này giúp người học: Nhận biết được các nguy cơ bị tấn công của hệ thống mạng, giải thích được các bước để hack một hệ thống mạng, trình bày được các loại tấn công vào hệ thống mạng,... Mời các bạn tham khảo.

Chủ đề:
Lưu

Nội dung Text: Bài giảng Xây dựng hệ thống Firewall: Bài 1 - Cao đẳng Nghề CNTT iSPACE

  1. MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn http://fit.ispace.edu.vn @Email: fit@ispace.edu.vn 1
  2. MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS @Email: fit@ispace.edu.vn 2
  3. BÀI 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG Cấu hình cho thiết bị các tính năng tự bảo mật, giảm nguy cơ bị tấn công, truy cập thiết bị trái phép. Suy nghĩ như một Hacker Giảm nguy cơ bị tấn công mạng Tắt các dịch vụ mạng và các Interface không sử dụng Bảo mật truy cập quản trị và cấu hình Cisco Router Giảm mối đe dọa và tấn công với ACL Bảo mật cho tính năng Management và Reporting Câu hỏi & bài tập @Email: fit@ispace.edu.vn 3
  4. MỤC TIÊU BÀI HỌC Nhận biết được các nguy cơ bị tấn công của hệ thống mạng. Giải thích được các bước để hack một hệ thống mạng. Trình bày được các loại tấn công vào hệ thống mạng. Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router. Cấu hình bảo mật cho tính năng management và reporting trên Cisco Routers. Cấu hình được tính năng AAA trên Cisco Routers. Cấu hình bảo mật được cho Cisco Routers sử dụng tính năng AutoSecure. @Email: fit@ispace.edu.vn 4
  5. Suy Nghĩ Như Một Hacker Luôn luôn đóng vai trò như một Hacker để tìm ra các phương thức phòng vệ và bảo mật cho hệ thống. 7 bước để tấn công một hệ thống mạng: B1: Thực hiện phân tích các dấu vết hay các thông tin ban đầu. B2: Chi tiết thông tin. B3: Ghi nhận các thao tác người dùng truy cập. B4: Chiếm dụng những quyền hạn cao hơn.(leo thang đặc quyền). B5: Bổ sung mật khẩu và thu thập bí mật. B6: Cài đặt back doors. B7: Tận dụng hệ thống bị xâm nhập. @Email: fit@ispace.edu.vn 5
  6. Suy Nghĩ Như Một Hacker Các gợi ý bảo vệ mạng chống lại các hacker Cập nhật các bản vá lỗi . Đóng các dịch vụ không cần thiết và các port. Sử dụng mật khẩu (đủ phức tạp) và thường xuyên thay đổi chúng . Kiểm soát truy cập vào hệ thống vật lý. Cắt giảm đầu vào không cần thiết. Thực hiện sao lưu hệ thống và kiểm tra chúng một cách thường xuyên . Cảnh báo mọi người về social engineering. Mã hóa và mật khẩu bảo vệ dữ liệu nhạy cảm Sử dụng thích hợp bảo mật phần cứng và phần mềm Phát triển một chính sách an ninh bằng văn bản cho công ty @Email: fit@ispace.edu.vn 6
  7. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Tìm hiểu các phương thức tấn công và cách phòng chống, làm giảm nguy cơ hệ thống mạng bị tấn công Các loại tấn công mạng: Minimal Intelligence: Reconnaissance Access attacks DoS and DDoS @Email: fit@ispace.edu.vn 7
  8. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Reconnaissance: là khám phá trái phép và lập bản đồ của các hệ thống, dịch vụ, hoặc các lỗ hổng. Reconnaissance: còn được gọi là thu thập thông tin, và trong hầu hết trường hợp, đứng trước một cuộc tấn công truy cập hay DoS. Các cuộc tấn công Reconnaissance có thể bao gồm: Packet sniffers o Một Packet sniffer là phần mềm ứng dụng sử dụng card mạng trong chế đô promiscuous để bắt những tất cả các gói tin trong mạng. o Khai thác thông tin dạng Plaintext , các giao thức sử dụng Plaintext như : Telnet, FTP, SNMP, POP và HTTP o Phải nằm trên cùng một colision domain o Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn công @Email: fit@ispace.edu.vn 8
  9. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Packet sniffers: Dùng các kỹ thuật và các công cụ bao gồm: o Chứng thực (Authentication). o Mật mã (Cryptography). o Các công cụ Antisniffer. o Thay đổi cơ sở hạ tầng (Switched infrastructure). @Email: fit@ispace.edu.vn 9
  10. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Các cuộc tấn công Reconnaissance có thể bao gồm: Port scans và Ping sweeps o Một hacker sử dụng các công cụ để scan các port và ping quét dò xét qua Internet. o Là công cụ hợp pháp dùng để scan port và ping quét các ứng dụng trên các máy chủ hay các thiết bị để xác định các dịch vụ dễ bị tổn thương. o Thông tin được thu thập bằng cách kiểm tra địa chỉ IP và port của ứng dụng chạy trên cả UDP hay TCP. @Email: fit@ispace.edu.vn 10
  11. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Các cuộc tấn công Reconnaissance có thể bao gồm: Port scans và Ping sweeps @Email: fit@ispace.edu.vn 11
  12. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Port scans và Ping sweeps: Dùng các kỹ thuật và các công cụ bao gồm: o Network-based IPS (NIPS) và Host-based IPS (HIPS) thường có thể thông báo cho bạn biết khi có một cuộc tấn công reconnaissance. o IPS so sánh lưu lượng truy cập đến hệ thống phát hiện xâm nhập (IDS) hoặc dấu hiệu nhận dạng tấn công (signatures) trong cơ sở dữ liệu IPS. o Một dấu hiệu nhận dạng, như "một số gói tin đến các port đích khác nhau từ cùng một nguồn địa chỉ trong một thời gian ngắn có thể được dùng để phát hiện scan port." @Email: fit@ispace.edu.vn 12
  13. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Reconnaissance Attacks và cách phòng chống: Giảm nguy cơ và phòng chống Port scans và Ping sweeps: @Email: fit@ispace.edu.vn 13
  14. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Access Attacks và cách phòng chống: Access attacks: Man-in-middle attacks: o Các kẻ tấn công đứng ở giữa lắng nghe thông tin giữa người gửi và người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi đến hai bên. Buffer overflow: o Một chương trình ghi dữ liệu vượt quá giới hạn kết thúc của bộ đệm trong bộ nhớ. o Việc tràn bộ đệm có thể dẫn đến dữ liệu hợp lệ bị ghi đè. @Email: fit@ispace.edu.vn 14
  15. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: DoS và DDoS attacks: Ví dụ DDoS: @Email: fit@ispace.edu.vn 15
  16. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: IP Spoofing trong DoS và DDoS attacks: Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập trái phép vào máy tính. o Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên ngoài mạng đóng vai trò như máy tính tin cậy đang liên lạc. o Giả mạo địa chỉ bao gồm:  Thêm những dữ liệu độc hại hoặc các lệnh và luồng dữ liệu hiện có  Thay đổi bảng định tuyến. o Giả mạo địa chỉ là một một trong các bước cơ bản trong kiểu tấn công DoS hay DDoS. @Email: fit@ispace.edu.vn 16
  17. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công DoS, DDoS attacks và cách phòng chống: Các phòng chống DoS và DDoS attacks: Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác định gói tin giả mạo, vô hiệu hoá các tuỳ chọn con đường nguồn. Anti-DoS: tính năng này giới hạn số lượng half-open các kết nối TCP mà hệ thống cho phép ở bất kỳ thời điểm nào. Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao tiếp với ISP. @Email: fit@ispace.edu.vn 17
  18. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Các loại tấn công mạng: Intelligence: @Email: fit@ispace.edu.vn 18
  19. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Worm, Virus, Trojan Horse Attacks và cách phòng chống: Worm, Virus và Trojan attacks: Các loại worm, virus hay trojan horse dựa vào các lỗ hổng để chúng xâm nhập và tự cài đặt vào hệ thống. Sau khi tiếp cận được mục tiêu chúng chuyển hướng dò tìm các mục tiêu mới theo điều khiển của hacker. Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm được đặc quyền truy cập và khai thác hệ thống. @Email: fit@ispace.edu.vn 19
  20. Giảm Nguy Cơ Hệ Thống Mạng Bị Tấn Công Worm, Virus, Trojan Horse Attacks và cách phòng chống: Giảm nguy cơ Worm, Virus và Trojan attacks: Sử dụng các phần mềm Anti-Virus. Cập nhật các bản vá lỗi mới nhất của phần mềm, ứng dụng và kể cả hệ điều hành. Triển khai hệ thống chống xâm nhập trên các host (ví dụ: Cisco Security Agent). Cập nhật kiến thức những phát triển mới nhất về các phương pháp tấn công dựa vào Worm, Virus hay Trojan Horse. Ngăn chặn sự lây lan của Worm hay Virus trong hệ thống mạng, thực hiện cách ly để kiểm dịch, quét sạch các worm hay virus thậm chí là cài đặt lại hệ thống. @Email: fit@ispace.edu.vn 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2