intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bài giảng An ninh mạng: Bài 6 - ThS. Phạm Đình Tài

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:17

Thêm vào BST
Báo xấu
19
lượt xem 5
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng An ninh mạng: Bài 6 Bảo vệ Server công cộng, cung cấp cho người học những kiến thức như: Nguy cơ bảo mật của các Publish Server; Bảo mật bằng phương pháp cô lập; Networks và Network Rules; Publish Server qua Firewall; Đánh giá mức độ bảo mật. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng An ninh mạng: Bài 6 - ThS. Phạm Đình Tài

  1. TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: AN NINH MẠNG Số tín chỉ: 3 Tổng số tiết: 60 tiết Giảng viên: ThS. Phạm Đình Tài (30 LT + 30 TH) Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn
  2. Môn học: AN NINH MẠNG Bài 1 Các kỹ thuật tấn công mạng. Bài 2 Các kỹ thuật mã hóa và xác thực Bài 3 Triển khai hệ thống Firewall Bài 4 Chứng thực trên Firewall Bài 5 Thiết lập các chính sách truy cập Bài 6 Bảo vệ Server công cộng Bài 7 Bảo mật truy cập từ xa -2-
  3. Bài 6: Bảo vệ Server công cộng Nguy cơ bảo mật của các Publish Server Bảo mật bằng phương pháp cô lập Networks và Network Rules Publish Server qua Firewall Đánh giá mức độ bảo mật
  4. Nguy cơ bảo mật của mô hình Bastion Host • Mô hình Bastion Host • Các máy Server phục vụ công cộng đặt chung mạng với các máy thuộc mạng nội bộ. • Khi Server bị tấn công xâm nhập => Attacker dễ dàng xâm nhập vào những máy khác trong cùng hệ thống mạng nội bộ. -4-
  5. Bảo mật bằng phương pháp cô lập mạng • Cô lập mạng (Network Isolation) • Là phương pháp tách rời các máy tính ra thành nhiều mạng riêng. • Các mạng riêng kết nối nhau qua Firewall. • Firewall sẽ filter / drop / forward… các gói tin di chuyển giữa các mạng. • Firewall trong hệ thống dùng Network Isolation • Firewall định danh từng mạng riêng bằng Network Object. • Network Rule là phương thức định tuyến giữa các Networks bằng 1 trong 2 dạng: ROUTE hoặc NAT • Các luật truy cập (access rules) sẽ được sử dụng cho việc sàng lọc các gói tin di chuyển giữa các mạng ngang qua Firewall. -5-
  6. Bảo mật bằng phương pháp cô lập • Cô lập mạng bằng mô hình Back-End Firewall: • Mô hình này khắc phục nhược điểm của Bastion host khi nó đặt các Server (cho phép truy cập từ bên ngoài vào) ra thành 1 mạng riêng, đặt giữa 2 Firewall.. • Các Client trong mạng nội bộ sẽ được bảo vệ bởi 2 lớp Firewall. • Chi phí cho mô hình này là tốn kém nhất ✔ Internal Network: khu vực mạng cần được Firewall bảo vệ. ✔ DMZ (hay Perimeter Network): khu vực mạng chứa các Server cho phép bên ngoài (External) truy cập. Khả năng bị tấn công của khu vực này rất cao. ✔ External Network: khu vực bên ngoài hệ thống Firewall (Internet) -6-
  7. Bảo mật bằng phương pháp cô lập • Cô lập mạng bằng mô hình Three-leg (Three-home): • Firewall có 3 interface kết nổi nhánh mạng: • DMZ interface: kết nối mạng của các Publishing Servers. • Internal interface: kết nối mạng của cá máy nội bộ. • Internet interface: kết nối mạng Internet. -7-
  8. Bảo mật bằng phương pháp cô lập • Một số nguyên tắc bảo mật: • Mạng Internal: • Ngăn chặn các inbound traffic trái phép từ mạng khác vào internal. • Kiểm soát và cho phép truy cập (outbound traffic ) các dịch vụ trên External và DMZ. • Mạng DMZ: • Kiểm soát và cho phép truy cập (outbound traffic ) các dịch vụ trên External. • Kiểm soát và cho phép cung cấp các dịch vụ đáp ứng các yêu cầu truy xuất gởi đến từ mạng External và Internal. -8-
  9. Networks và Network Rules • Networks: • Network là đối tượng mạng được định nghĩa trên Firewall. • Một Network được định nghĩa bằng 2 thông tin cơ bản: • Network Name: tên của Mạng. • IP addresses: dãy IP addresses của mạng đó. • Phân loại Network theo tính chất: • Internal Network - mạng nội bộ, cần được bảo vệ tối đa. • Perimeter Network - mạng của những máy Server cung cấp dịch vụ cho bên ngoài truy cập. Nguy cơ tấn công từ ngoài vào mạng này là cao. Mạng này còn có tên là DMZ (Demilitarized Zone). • VPN Clients - mạng riêng ảo của những cá nhân kết nối từ xa vào hệ thống mạng nội bộ. • External – những mạng còn lại (trừ những mạng đã định nghĩa). -9-
  10. Networks và Network Rules • Network Rule: • Network Rule là luật cho Firewall xác định việc chuyển tiếp các gói tin giữa các mạng bằng 1 trong 2 phương thức: ROUTE relation hoặc NAT relation . • ROUTE relation: • Firewall định tuyến 2 chiều cho các gói tin giữa Source Network và Destination Network • Firewall làm Gateway cho cả 2 mạng => 2 mạng giao tiếp trực tiếp nhau qua Firewall. • NAT (Network Address Translation) relation: • Firewall định tuyến 1 chiều: Source Network 🡪 Destination network • Firewall chỉ làm Gateway cho Source Network => Destination Network không giao tiếp được Source Network => Destination Network chỉ giao tiếp được tới Firewall - 10 -
  11. Networks và Network Rules • So sánh ROUTE và NAT: Route NAT • Destination phải trỏ Gateway về • Destination không cần trỏ Firewall. Gateway về Firewall. • Source và Destination giao tiếp 2 • Source giao tiếp 1 chiều về chiều (bidirectional). Destination. • Destination. host nhận biết Source • Destination. host không nhận biết Host. Source Host • Firewall dùng Routing Table để chọn • Firewall dùng Routing Table và đường đi. NAT Table để chuyển gói. - 11 -
  12. Publish Server qua Firewall • Dẫn nhập: • Tất cả các mạng bên trong sẽ giao tiếp internet qua Firewall bằng phương thức NAT. • Nếu trong mạng nội bộ có các Server cung cấp dịch vụ, người dùng bên ngoài sẽ không thể truy cập vào các Server này. • Server Publishing là kỹ thuật “xuất bản Server” sao cho người dùng bên ngoài truy cập được các dịch vụ của nó. • Publish Server: • Mỗi dịch vụ trên server sẽ có TCP (hay UDP) port riêng. • Publish Server dùng kỹ thuật NAT port (còn gọi là: Open Port, Port Forwarding, Virtual Server…) • Người dùng sẽ truy cập dịch vụ của Server bằng IP address của outside interface trên Firewall. - 12 -
  13. Publish Server qua Firewall • Mô tả quá trình NAT Port: • Firewall tiếp nhận yêu cầu truy cập từ Client ngoài. Nhận dạng dịch vụ yêu cầu bằng giá trị TCP/UDP Port. • Chuyển tiếp yêu cầu đó vào Server bên trong. • Server bên trong sẽ xử lý yêu cầu và trả kết quả về Client ngoài qua NAT trên Firewall. - 13 -
  14. Publish Server qua Firewall • Triển khai Server Publishing trên Firewall: • Cô lập tất cả Servers cung cấp dịch vụ ra ngoài trong một mạng vật lý mới. • Kết nối mạng của các Server trên về Firewall theo mô hình Three-leg hoặc mô hình Back-End Front-End. • Trên Firewall: tạo mới “Network Object” thuộc loại “Perimeter” (vành đai). • Thiết lập các Network Rule giữa Perimeter và các mạng khác sao cho độ an toàn cao nhất có thể: • Internal => NAT => Perimeter • VPN Clients => NAT => Perimeter • Perimeter => NAT (hoặc ROUTE) => External Dùng NAT khi Firewall kết nối trực tiếp internet. Dùng ROUTE khi Firewall kết nối internet qua Router khác • Triển khai các Access Rule có liên quan tới Perimeter. - 14 -
  15. Publish Server qua Firewall • Server Publishing trên các mô hình Firewall: • Three-leg Firewall kết nối internet trực tiếp: • NAT giữa Perimeter và External. • Three-leg Firewall kết nối internet qua Router: • ROUTE giữa Perimeter và External. • Định tuyến cho Router về DMZ. - 15 -
  16. Publish Server qua Firewall • Server Publishing trên các mô hình Firewall: • Back-end Front-end Firewall kết nối internet trực tiếp: • Front-end Firewall: NAT giữa Perimeter và External. • Back-end Firewall: Perimeter chính là External - 16 -
  17. Thảo Luận Cấu trúc MT – ThS. Vương Xuân Chí Trang 17
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2