Bài giảng An ninh mạng: Bài 4 - ThS. Phạm Đình Tài

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:13

Thêm vào BST

Báo xấu

12
lượt xem 5
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng An ninh mạng: Bài 4 cung cấp cho người học những kiến thức như: Giao tiếp mạng khác qua Firewall; Chứng thực người dùng qua Firewall; Các phương thức chứng thực của FW; Cấu hình chứng thực trong ISA Firewall; Triển khai Firewall Client bằng WPAD. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng An ninh mạng: Bài 4 - ThS. Phạm Đình Tài

TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: AN NINH MẠNG Số tín chỉ: 3 Giảng viên: ThS. Phạm Đình Tài Tổng số tiết: 60 tiết Tel: 0985.73.39.39 (30 LT + 30 TH) Email: pdtai@ntt.edu.vn
Môn học: AN NINH MẠNG Bài 1 Các kỹ thuật tấn công mạng. Bài 2 Các kỹ thuật mã hóa và xác thực Bài 3 Triển khai hệ thống Firewall Bài 4 Chứng thực trên Firewall Bài 5 Thiết lập các chính sách truy cập Bài 6 Bảo vệ Server công cộng Bài 7 Bảo mật truy cập từ xa -2-
Bài 4: Chứng thực trên Firewall Giao tiếp mạng khác qua Firewall Chứng thực người dùng qua Firewall Các phương thức chứng thực của FW Cấu hình chứng thực trong ISA Firewall Triển khai Firewall Client bằng WPAD
Giao tiếp mạng khác qua Firewall • Tính năng mặc định của Firewall: • Firewall là một Router, bao gồm ROUTE và NAT. • Firewall là một Proxy Server. • Các phương thức truy cập mạng khác qua Firewall từ Client mạng nội bộ: • SecureNAT: • Web Proxy: • Firewall Client: 4
Giao tiếp mạng khác qua Firewall • SecureNAT Client: • Các máy Clients khai báo Default Gateway là IP address của Firewall. • Clients xem Firewall như là Router hỗ trợ NAT. • Ưu điểm / nhược điểm của SecureNAT: • Tất cả các ứng dụng mạng tại Client đều giao tiếp được internet. • Firewall thực thi các cơ chế bảo mật kiểu Packet Filter. • Firewall không có khả năng chứng thực người dùng mạng. 5
Giao tiếp mạng khác qua Firewall • Web Proxy Client: • Các máy Clients khai báo Web Proxy là IP address của Firewall • Client gởi yêu cầu truy cập dịch vụ mạng ngoài tới Proxy Server. • Proxy Server (Firewall) thay mặt Client giao tiếp với các server dịch vụ bên ngoài internet. • Ưu / nhược điểm của Web Proxy: • Những ứng dụng không hỗ trợ giao tiếp mạng qua Web Proxy Server (HTTP) sẽ không dùng được hình thức này. • Firewall có khả năng chứng thực người dùng mạng. • Firewall che dấu các Clients. 6
Giao tiếp mạng khác qua Firewall • Firewall Client: • Một phần mềm của Firewall dành cho Client được cài đặt lên máy tính nội bộ. • IP address (tên máy) của Firewall khai báo cho phần mềm này. • Khai báo bằng tay (manually) • Khai báo tự động (automatically) (*). • Firewall Client sẽ tự động tạo giao tiếp giữa Client và Firewall cho hầu hết các ứng dụng / dịch vụ. • Tương tự Web Proxy, máy tính dùng Firewall Client, không cần khai báo Default Gateway / DNS Server). Ghi chú: (*) - WPAD (Web Proxy Auto Discovery) là một phương thức triến khai tự động thông số của Firewall cho phần mềm Firewall Client. - WPAD có thể thực hiện trên nền dịch vụ DHCP hoặc DNS. 7
Chứng thực trên Firewall • Đối với SecureNAT Clients : • Firewall đóng vai trò là một Router kiểu NAT. • Firewall không thể nhận biết thông tin người dùng (user) => tất cả người dùng SecureNAT Client sẽ được Firewall xem là All Users. • Đối với Web Proxy Clients hay Firewall Clients: • Firewall đóng vai trò là một Proxy Server. • Firewall có quyền yêu cầu người dùng cung cấp thông tin tài khoản (user name / password). • Những người dùng cung cấp thông tin tài khoản hợp lệ sẽ được ISA xem như là All Authenticated Users. -8-
Phương thức chứng thực của Firewall • Integrated Authentication: • Chứng thực bằng tài khoản của chính máy Firewall. • Thông tin tài khoản được mã hóa bởi hàm băm NT Hash. • Basic Authentication: • Tương tự như Integrated, nhưng không sử dụng mã hóa thông tin user / password truyền trên mạng. • Digest Authentication: • Chứng thực bằng tài khoản của Active Directory (tài khoản Domain). • Thông tin tài khoản được mã hóa bởi hàm băm NTLM Hash. • Yêu cầu Firewall phải là thành viên (đã join) của Domain. -9-
Phương thức chứng thực của Firewall • RADIUS Authentication: • Chứng thực bằng tài khoản của chính máy RADIUS Server. • RADIUS Server thông dụng là Domain Controller • Phương thức mã hóa teo tiêu chuẩn của RADIUS Server. • SSL Certificate Authentication: • Chứng thực dựa trên “Chứng chỉ bảo mật” • Firewall cài đặt SSL Certificate cung cấp bởi Certificate Authority Server (CA Server) • Khi Client gởi yêu cầu kết nối: FW cung cấp Certificate cho Client. • Client xác minh Certificate với CA Server. Nếu được xác minh đúng, Client sẽ mã hóa user/password bằng Cert của FW. - 10 -
Cấu hình chứng thực trên ISA Server • Các bước cấu hình chứng thực trên ISA Server: • Thiết lập Access Rule (luật truy cập) cho “All Authenticated Users” thay vì “All Users”. • Lựa chọn phương thức chứng thực (Authentication Methods). • Tạo các tài khoản (Local Users) dùng cho phương thức Integrated hoặc Basic Authentication. • Tại các máy Clients nội bộ: • Khai báo Proxy Server: Port: 8080 • Hoặc: cài đặt ISA Firewall Client và khai báo tương tự trên. • Lưu ý: Clients khai báo IP address hay tên máy của ISA tùy thuộc ISA quy định. - 11 -
Cấu hình WPAD • WPAD (Web Proxy Auto Discovery) • WPAD là một phương thức triến khai tự động thông số khai báo cho phần mềm Firewall Client cho tất cả máy tính trong mạng. • WPAD có thể thực hiện trên nền dịch vụ DHCP hoặc DNS. • Triển khai bằng DHCP Service: • WPAD là một Option của dịch vụ DHCP (mã: 252) • Name: WPAD • Data Type: String • Code: 252 • Value String: http://IP_address_of_ISA_Server:8080/wpad.dat • Thêm Option “WPAD” cho Scope cấp thông số IP cho mạng. • Các máy Client sẽ nhận thông số WPAD này mỗi khi “xin” thông số IP tự động (Dynamic IP) - 12 -
Thảo Luận Cấu trúc MT – ThS. Vương Xuân Chí Trang 13