intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bài giảng An ninh mạng: Bài 3 - ThS. Phạm Đình Tài

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:24

Thêm vào BST
Báo xấu
25
lượt xem 6
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng An ninh mạng: Bài 3 cung cấp cho người học những kiến thức như: Một số nguy cơ tấn công mạng; Tổng quan về Firewall; Các chức năng cơ bản của Firewall; Các mô hình triển khai Firewall; Các hình thức giao tiếp mạng qua Firewall; Chứng thực trên Firewall. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng An ninh mạng: Bài 3 - ThS. Phạm Đình Tài

  1. TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: AN NINH MẠNG Số tín chỉ: 3 Giảng viên: ThS. Phạm Đình Tài Tổng số tiết: 60 tiết Tel: 0985.73.39.39 (30 LT + 30 TH) Email: pdtai@ntt.edu.vn
  2. Môn học: AN NINH MẠNG Bài 1 Các kỹ thuật tấn công mạng. Bài 2 Các kỹ thuật mã hóa và xác thực Bài 3 Triển khai hệ thống Firewall Bài 4 Chứng thực trên Firewall Bài 5 Thiết lập các chính sách truy cập Bài 6 Bảo vệ Server công cộng Bài 7 Bảo mật truy cập từ xa -2-
  3. Bài 3: Triển khai hệ thống Firewall Một số nguy cơ tấn công mạng Tổng quan về Firewall Các chức năng cơ bản của Firewall Các mô hình triển khai Firewall Các hình thức giao tiếp mạng qua Firewall Chứng thực trên Firewall
  4. Một số nguy cơ tấn công mạng • Scanning: • Dò tìm thông tin của Victim. Các thông tin cần tìm: tên và Version của Hệ điều hành, các Services và Port đang mở, các điểm yếu, lỗ hỏng bảo mật (vulnerability) của hệ thống,… • Vulnerability Exploit: • Khai thác điểm yếu / lỗ hỏng bảo mật của Hệ điều hành, dịch vụ… • DoS và DDoS: • Deny of Service (tấn công từ chối dịch vụ) • Distribution DoS (tấn công DoS phân tán) • Trojan & backdoor: • Trojan: là 1 phần mềm, nhiễm vào máy người dùng. Phần mềm này sẽ thực thi các lệnh tử Trojan Client gởi đến. • Backdoor: là port (TCP/UDP) do Trojan mở ra để nhận lệnh và truyền dữ liệu với Trojan Client • Ad-ware: chương trình tự mở các web quảng cáo • … 4
  5. Một số nguy cơ tấn công mạng • Các nguy cơ từ bên trong • Sniffer: đánh cắp thông tin truyền giữa các máy tính, thiết bị mạng. • Sử dụng máy Client của doanh nghiệp để tấn công các máy khác trong mạng nội bộ. • Sử dụng máy Client của doanh nghiệp để tấn công các máy chủ dịch vụ trong nội bộ. • Sử dụng máy Client của doanh nghiệp để tấn công các máy bên ngoài. • Người dùng nội bộ truy cập các trang web nguy hại. • Người dùng bị nhiễm Trojan, malware... từ web, USB drive… • … -5-
  6. Khái niệm về Firewall • Firewall: • Là 1 hệ thống máy tính hoặc thiết bị chốt chặn giữa các khu vực mạng khác nhau, thông thường là giữa mạng nội bộ và internet. • Các luồng dữ liêu (traffic) ra / vào các khu vực mạng phải đi ngang qua Firewall. • Firewall sẽ quyết định cho / không cho các traffic di chuyển ngang qua nó. -6-
  7. Khái niệm về Firewall • Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm • Firewall cứng là những Firewall được tích hợp trên Router. • Không được linh hoạt như Firewall mềm: không thể thêm chức năng, thêm quy tắc như Firewall mềm. • Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (tầng Network và tầng Transport) • Firewall cứng không thể kiểm tra nội dung của một gói tin. • Một số Firewall cứng thông dụng: Fortinet, Juniper Networks, Cisco ASA 5500, Barracuda … -7-
  8. Khái niệm về Firewall • Firewall cứng Fortinet Cisco ASA 5500 Barracuda Juniper Networks -8-
  9. Khái niệm về Firewall • Firewall mềm là những Firewall được cài đặt trên các Server • Tính linh hoạt cao: có thể thêm, bớt các quy tắc, các chức năng. • Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (Tầng Applycation) • Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa) • Một số Firewall mềm thông dụng: Zone Alarm, Microsoft ISA Server 2006, Norton Firewall,…. -9-
  10. Khái niệm về Firewall (https://www.imedita.com/blog/top-10-best-firewalls-in-2020/) Xem video về firewall - 10 -
  11. Các chức năng của Firewall • Routing: • LAN route: định tuyến giữa các mạng. Traffic 2 chiều. • NAT: định tuyến giữa mạng nội bộ 🡪 internet. Traffic 1 chiều • Packet Filtering: lọc gói tin outbound và inbound • Lọc Header: Source IP, Destination IP, Protocol (port), Domain Name, URL • Lọc Content: Picture, Video, EXE, DLL, ZIP,… • Proxy Server: • Tiếp nhận yêu cầu truy cập từ Client. • Proxy server đích thân truy cập đến server cung cấp dịch vụ. • Trả kết quả truy cập về Client. • => Proxy che giấu Client khi truy cập dịch vụ bên ngoài. - 11 -
  12. Các chức năng của Firewall (tt) • Virtual Server: • Tiếp nhận yêu cầu truy cập dịch vụ từ bên ngoài. • Chuyển yêu cầu đó về máy Server nội bộ. • => máy bên ngoài sẽ cho rằng Firewall là Server cung cấp dịch vụ (máy chủ ảo). • VPN Server: • VPN (Virtual Private Network – mạng riêng ảo) - Tạo hệ thống mạng riêng) giữa 2 mạng nội bộ khác nhau kết nối qua internet. • VPN Server: máy cho phép máy tính ở xa kết nối vào như là mạng nội bộ. • Internet Authentication: • Chứng thực khi người dùng (tài khoản) truy cập internet qua Firewall • Tài khoản có thể dùng Domain User hoặc Local User (tạo trên Firewall). - 12 -
  13. Các chức năng của Firewall (tt) • IDS (Intrusion Detection System): • Hệ thống nhận dạng xâm nhập trái phép / nguy hại. Thông thường là các kiểu xâm nhập: Scanning, DoS, DDoS,… • IDS chỉ nhận dạng và thông báo (alert / report) cho người quản tri. Nó không có khả năng tự chống đỡ (Prevention). • IPS (Intrusion Prevention System: • Hệ thống phòng chống xâm nhập trái phép / nguy hại. • Cơ sở dữ liệu chứa các phương thức phòng chống phải luông được cập nhật cho Firewall. Cơ sở dữ liệu này do nhà cung cấp Firewal hỗ trợ (có phí / miễn phí) - 13 -
  14. Các mô hình kết nối Firewall • Mô hình Bastion Host • Firewall sẽ bảo vệ các Client trong mạng nội bộ trước những nguy cơ tấn công từ internet vào. • Nếu trong mạng nội bộ có Server cho phép bên ngoài internet truy cập vào (ví dự như: Web, Mail, FTP server…) thì đây chính là điểm yếu cho các cuộc tấn công từ internet vào hệ thống mạng nội bộ. - 14 -
  15. Các mô hình kết nối Firewall (tt) • Mô hình Back-End: • Mô hình này khắc phục nhược điểm của Bastion host khi nó đặt các Server (cho phép truy cập từ bên ngoài vào) ra thành 1 mạng riêng, đặt giữa 2 Firewall.. • Các Client trong mạng nội bộ sẽ được bảo vệ bởi 2 lớp Firewall. • Chi phí cho mô hình này là tốn kém nhất ✔ Internal Network: khu vực mạng cần được Firewall bảo vệ. ✔ DMZ (hay Perimeter Network): khu vực mạng chứa các Server cho phép bên ngoài (External) truy cập. Khả năng bị tấn công của khu vực này rất cao. ✔ External Network: khu vực bên ngoài hệ thống Firewall (xem như Internet) - 15 -
  16. Các mô hình kết nối Firewall (tt) • Mô hình Three-leg (Three-home): - 16 -
  17. Giao tiếp mạng qua Firewall • SecureNAT Client: • Các máy Clients khai báo Default Gateway là IP address của Firewall. • Clients xem Firewall như là Router hỗ trợ NAT. • Ưu điểm / nhược điểm của SecureNAT: • Tất cả các ứng dụng mạng tại Client đều giao tiếp được internet. • Firewall thực thi các cơ chế bảo mật kiểu Packet Filter. • Firewall không có khả năng chứng thực người dùng mạng. 17
  18. Giao tiếp mạng qua Firewall • Web Proxy Client: • Các máy Clients khai báo Web Proxy là IP address của Firewall • Client gởi yêu cầu truy cập dịch vụ mạng ngoài tới Proxy Server. • Proxy Server (Firewall) thay mặt Client giao tiếp với các server dịch vụ bên ngoài internet. • Ưu / nhược điểm của Web Proxy: • Những ứng dụng không hỗ trợ giao tiếp mạng qua Web Proxy Server (HTTP) sẽ không dùng được hình thức này. • Firewall có khả năng chứng thực người dùng mạng. • Firewall che dấu các Clients. 18
  19. Giao tiếp mạng qua Firewall • Firewall Client: • Một phần mềm của Firewall dành cho Client được cài đặt lên máy tính nội bộ. • IP address (tên máy) của Firewall khai báo cho phần mềm này. • Khai báo bằng tay (manually) • Khai báo tự động (automatically) (*). • Firewall Client sẽ tự động tạo giao tiếp giữa Client và Firewall cho hầu hết các ứng dụng / dịch vụ. • Tương tự Web Proxy, máy tính dùng Firewall Client, không cần khai báo Default Gateway / DNS Server). Ghi chú: (*) - WPAD (Web Proxy Auto Discovery) là một phương thức triến khai tự động thông số của Firewall cho phần mềm Firewall Client. - WPAD có thể thực hiện trên nền dịch vụ DHCP hoặc DNS. 19
  20. Chứng thực trên Firewall Firewall có khả năng: chỉ tiếp nhận và xử lý gói tin của những người dùng đã được chứng thực. • Đối với SecureNAT Clients : • Firewall đóng vai trò là một Router kiểu NAT. • Firewall không thể nhận biết thông tin người dùng (user) => tất cả người dùng SecureNAT Client sẽ được Firewall xem là All Users. • Đối với Web Proxy Clients hay Firewall Clients: • Firewall đóng vai trò là một Proxy Server. • Firewall có quyền yêu cầu người dùng cung cấp thông tin tài khoản (user name / password). • Những người dùng cung cấp thông tin tài khoản hợp lệ sẽ được ISA xem như là All Authenticated Users. - 20 -
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
6=>0