Chương 8 THIẾT KẾ AN NINH
TS. Nguyễn Hồng Sơn
1
NỘI DUNG
(cid:1) GIỚI THIỆU (cid:1) THIẾT KẾ AN NINH MẠNG (cid:1) CÁC CƠ CHẾ AN NINH (cid:1) MODULE HÓA THIẾT KẾ AN NINH
2
GIỚI THIỆU
lại các kiểu tấn công mới nhất
(cid:1) Đảm bảo an ninh mạng là quá trình liên tục (cid:1) Chu kỳ: thi công, giám sát, kiểm thử và cải tiến (cid:1) Cập nhật liên tục các cơ chế an ninh để chống
(cid:1) Chia quá trình thiết kế an ninh thành các bước
3
THIẾT KẾ AN NINH MẠNG
hại
(cid:1) Xác định tài nguyên cần bảo vệ (cid:1) Phân tích các nguy cơ (cid:1) Phân tích các yêu cầu an ninh và cân nhắc lợi
(cid:1) Xây dựng kế hoạch an ninh (cid:1) Xây dựng chính sách an ninh (cid:1) Xây dựng thủ tục và qui trình an ninh
4
Xác định tài nguyên cần bảo vệ và các nguy cơ
(cid:1) Tài nguyên mạng gồm: host, thiết bị nối mạng, data truyền trên mạng, sở hữu trí tuệ, bí mật thương mại và thương hiệu
(cid:1) Nguy cơ từ các hành vi xâm nhập cố ý cho đến vô tình download các chương trình có chứa virus
5
Phân tích cân đối các lợi ích
availability
(cid:1) Chi phí bảo vệ phải nhỏ hơn chi phí sửa chữa (cid:1) Security ~ performance, affordability, usability,
và chiếm dụng bộ nhớ (cid:1) Ảnh hưởng tính dự phòng (cid:1) Khó cân bằng tải
(cid:1) Security thêm việc vào quản lý (cid:1) Lọc gói và mật mã sẽ tiêu thụ công suất xử lý
6
Xây dựng security plan
(cid:1) Kế hoạch chỉ rõ thời gian, con người, các tài nguyên cần để phát triển chính sách an ninh và triển khai chính sách này
(cid:1) Security plan phải tham chiếu network topology và bao gồm một danh sách các dịch vụ mạng sẽ cung cấp (web, email, ftp...). Danh sách chỉ rõ ai cung cấp dịch vụ, ai truy xuất dịch vụ, cách thức cung cấp và ai quản trị dịch vụ
(cid:1) Dịch vụ được bảo vệ bởi packet filter, firewall, quá trình
xác thực user,...
7
Xây dựng security policy
nguyên mạng.
(cid:1) Security policy đưa ra qui định bảo vệ các tài
định
(cid:1) Chính sách cũng chỉ ra cơ chế thực thi các qui
(cid:1) Thủ tục cam kết (cid:1) Khi tổ chức thay đổi, những nguy cơ mới xuất hiện, security policy phải được hiệu chỉnh và cập nhật
8
Các thành phần của một security policy (1/2)
– Hướng dẫn kết nối với mạng ngoài – Kết nối thiết bị vào mạng – Cài đặt phần mềm mới vào hệ thống – Phân loại số liệu (nội bộ, tối mật...)
(cid:1) Access policy: quyền truy xuất và đặc quyền
của account – Ghi rõ khả năng kiểm định – Hướng dẫn kiểm soát tai họa, chỉ rõ nếu điều gì xảy
ra thì phải báo với ai
(cid:1) Accountability policy: định nghĩa các nghĩa vụ
9
Các thành phần của một security policy (2/2)
chính sách mật khẩu hiệu quả.
(cid:1) Authentication policy: thiết lập xác thực qua
các hệ thống máy tính và mạng để tương thích với chính sách
(cid:1) Privacy policy: các yêu cầu riêng tư (cid:1) Hướng dẫn về đầu tư, cấu hình và kiểm định
10
Thủ tục an ninh
– Cấu hình – Đăng nhập – Kiểm định – Bảo trì
(cid:1) Thực hiện các security policy (cid:1) Một thủ tục an ninh định nghĩa các quá trình:
(cid:1) Được viết cho từng chủ thể tham gia mạng:
11
– User – Network administrator – Security administrator
CÁC CƠ CHẾ AN NINH
(cid:1) Bảo vệ mức vật lý (cid:1) Xác thực (cid:1) Cấp quyền (cid:1) Kiểm định (cid:1) Mật mã số liệu (cid:1) Lọc gói (cid:1) Firewall (cid:1) Phát hiện xâm nhập
12
Bảo vệ vật lý
(cid:1) Ngăn chặn thâm nhập vào các tài nguyên mạng trọng yếu--> bảo vệ phòng hệ thống
cháy, chống ẩm, giải nhiệt
(cid:1) Đặt ở những nơi an toàn, phòng ngừa thiên tai (cid:1) Các biện pháp cấp nguồn điện dự phòng, báo
(cid:1) Phương án cho các tình huống đột xuất
13
Xác thực
user phải nhập ID và mật khẩu vào một server bảo mật để có thể truy nhập tài nguyên
(cid:1) Thường dùng để xác thực user (cid:1) Cũng có thể xác thực giữa các thiết bị mạng (cid:1) Hầu hết các chính sách an ninh đều yêu cầu
authentication)
(cid:1) Xác thực dùng 2 yếu tố (two-factor
14
Cấp quyền
mạng
(cid:1) Những gì có thể làm sau khi đã được xác thực (cid:1) Security administrator điều khiển các phần của
chất công việc...
(cid:1) Nên dùng khái niệm principle of least privilege (cid:1) Cấp quyền thay đổi tùy theo user, tùy theo tính
15
Kiểm định
phó với các tai họa, cần thu thập số liệu hoạt động mạng
(cid:1) Để phân tích tình hình an ninh mạng và đối
của bất kỳ ai, thay đổi quyền.
(cid:1) Ghi lại các lần được xác thực và cấp quyền
(cid:1) Đánh giá an ninh, đánh giá định kỳ các thương tổn của mạng (-->security plan, security policy)
16
Mật mã số liệu
chuyên dụng có thể tác nghiệp như một thiết bị mật và giải mật
(cid:1) Các thiết bị như router, server hay thiết bị
để mật và giải mật số liệu
(cid:1) Khóa đối xứng (cid:1) Khóa bất đối xứng
(cid:1) Mật mã luôn có 2 phần: – Thuật toán mật mã – Khóa mật: là mã được dùng bởi thuật toán mật mã
17
Lọc gói
(cid:1) Được thiết lập trên router, firewall, server để chấp nhận hay từ chối các gói từ một địa chỉ hay dịch vụ nào đó
quyền
(cid:1) Tăng cường thêm vào cơ chế xác thực và cấp
– Từ chối các loại gói nào đó và chấp nhận tất cả – Chấp nhận các loại gói nào đó và từ chối tất cả
(cid:1) Thực hiện lọc theo một trong hai cách:
(cid:1) Cisco dùng cách thứ hai dưới dạng ACL
18
Firewall
biên giới mạng
(cid:1) Là nơi thi hành phần lớn các security policy tại
(cid:1) Chứa tập luật chi phối lên traffic (cid:1) Static packet-filter firewall (cid:1) Statefull firewall (cid:1) Proxy firewall
19
Firewall (DMZ) topology
20
Three-Part firewall topology
(cid:1) Cấu hình phức tạp (cid:1) Traffic của Enterprise chạy qua DMZ , DMZ có thể bị thỏa hiệp
làm bàn đạp tấn công Enterprise.
(cid:1) Giải pháp: dùng các ACL tại các router, dùng firewall với cấu hình nhiều ACL hơn, chạy phần mềm firewall trên các host trong DMZ và cấu hình dịch vụ giới hạn.
21
Phát hiện xâm nhập
báo cho admin
(cid:1) IDS phát hiện các sự kiện xâm nhập và thông
thường được đặt trên một subnet kết nối trực tiếp đến firewall
(cid:1) Có hai loại IDS: host IDS và network IDS (cid:1) Network IDS giám sát tất cả traffic mạng,
cảnh báo sai
(cid:1) Một vấn đề của các IDS là mức độ phát ra các
22
MODULE HÓA THIẾT KẾ AN NINH
(cid:1) An ninh theo chiều sâu (cid:1) Không có cơ chế an ninh nào là vạn năng, nên thiết kế
nhiều tầng nhiều lớp bảo vệ.
(cid:1) Thiết kế an ninh theo module, Cisco System dùng
SAFE Blueprint
(cid:1) Các module:
– Kết nối Internet – Remote access và VPN – Dịch vụ mạng và quản lý mạng – Server farm và user service – Wireless network
23
An ninh cho kết nối Internet (1/2)
(cid:1) Mạng nên có các ngõ vào/ra rõ ràng (cid:1) Bảo vệ các kết nối Internet bằng các cơ chế an ninh như bảo vệ vật lý, firewall, packet filter, audit log, xác thực, cấp quyền.
(cid:1) Trên các router nối ra Internet phải có packet filter để
chống lại DoS và các dạng tấn công khác.
(cid:1) Nên đặt packet filter dự phòng trên thiết bị firewall (cid:1) Thiết lập các hệ thống IDS trên mạng và trên host
24
An ninh cho kết nối Internet (2/2)
(cid:1) Để chống lại các hoạt động do thám mạng các router và thiết bị firewall ở hàng đầu nên khóa tất cả các kết nối đến, ngoại trừ các kết nối cần thiết đến các pubic server, cũng khóa các gói thường được dùng để do thám như ping.
(cid:1) Khi chọn giao thức định tuyến cho kết nối Internet hay Internet router cần dùng các giao thức có hỗ trợ xác thực như RIPv2, OSPF, EIGRP, BGP4. Nếu cần dùng định tuyến tĩnh.
(cid:1) Dùng NAT để ẩn dấu các địa chỉ bên trong
25
An ninh cho public server (1/)
(cid:1) Các public server được đặt trên DMZ và được bảo vệ
qua firewall
(cid:1) Để chống DoS nên dùng OS tin cậy và các ứng dụng đã
vá hầu hết các lỗ hổng an ninh.
(cid:1) Trên server nên chạy các phần mềm kiểm tra các nội
dung được mang trong các giao thức
(cid:1) Nếu có điều kiện nên tách ftp server khỏi web server, cũng không nên cho phép kết nối Internet kết nối vào TFTP server
26
An ninh cho public server (2/2)
(cid:1) Đối với email server nên thường xuyên theo dõi cập
nhật các lỗi an ninh
(cid:1) Phải điều khiển và giám sát DNS server cẩn thận. Bảo
vệ bằng packet filter đặt trên router
(cid:1) Hiện nay chữ ký số và các đặc tính an ninh khác đã
được bổ sung vào giao thức tên miền, cần chọn phần mềm DNS có tích hợp các đặc tính an ninh.
(cid:1) Tham khảo RFC 2535 (Domain Name System Security
Extensions )
27
An ninh cho e-commerce server
(cid:1) Tổn thất trên e-commerce server sẽ nghiệm trọng (cid:1) Bảo vệ chống lại DoS bằng filtering rules, ngăn chặn
các kết nối liên tiếp trong thời gian ngắn
(cid:1) Chấp nhận các phiên bảo mật từ client đến front-end web server, xử lý các request và truy vấn database server
(cid:1) Nên tách biệt các servers trên DMZ, ví dụ có firewall
giữa database server và front-end web server (cid:1) Nên tách biệt các server trên cùng segment bằng
VLAN
28
An ninh cho remote-access
access: firewall, vật lý, xác thực, cấp quyền, kiểm định và mật mã.
(cid:1) Các cơ chế có thể dùng bảo vệ các dialup
bằng CHAP (Challenge Handshake Authentication Protocol)
(cid:1) Các remote user dùng PPP nên có xác thực
Authentication Dial-In User/Server Protocol)
(cid:1) Có thể xác thực bằng RADIUS (Remote
29
An ninh cho VPN
(cid:1) Cần ngăn ngừa các lợi dụng client hay remote site để tấn công vào enterprise network qua VPN. Bản thân các hệ điều hành trên client phải có firewall và phần mềm chống virus
(cid:1) VPN thường dùng IPsec để bảo mật kênh qua mạng
công cộng.
(cid:1) RFC 2401, RFC 2402, RFC 2406 và RFC 2408 (cid:1) Giao thức trao đổi khóa IKE dùng: DES, Diffie- Hellman, message digest 5 (MD5), Secure Hash Algorithm (SHA), RSA
30
An ninh cho các dịch vụ mạng
(cid:1) Bảo vệ các thiết bị nối mạng như router và switch, tránh dùng các giao thức không an toàn như Telnet để truy xuất thiết bị qua mạng, nên chọn SSH (Security Shell)
từ modem
(cid:1) Cẩn thận khi chọn truy xuất vào console port
thể dùng TACACS (Terminal Access Controller Access Control System )
(cid:1) Để quản lý số lượng router và switch lớn có
31
An ninh cho quản lý mạng
có thể dùng SNMPv3 có hỗ trợ xác thực
(cid:1) Hạn chế dùng SNMP trên enterprise network,
phía sau firewall
(cid:1) Nên đặt các hệ thống quản lý mạng trên DMZ
(cid:1) Chống hành vi mạo danh administrator bằng cách cung cấp cho administrator cơ chế xác thực mạnh ví dụ two-factor dùng card
32
An ninh cho server farm
(cid:1) Chứa hầu hết các ứng dụng bên trong campus (cid:1) Performance là tiêu chí quan trọng, hạn chế các cơ chế
an ninh
(cid:1) IDS phải được triển khai (cid:1) Chống tấn công dùng một server làm bàn đạp, cấu hình các bộ lọc nhằm hạn chế các kết nối từ server (ví dụ active FTP)
(cid:1) Cập nhật dữ liệu về virus mới nhất và vá ngay các lỗ
hổng trên OS
(cid:1) Có thể dùng Kerberos để hỗ trợ an ninh cho giao thức
33
lớp ứng dụng như FTP hay Telnet (xác thực và mật mã)
An ninh cho các user service
(cid:1) Chính sách an ninh nên chỉ rõ các ứng dụng nào được phép chạy trên PC nối mạng và hạn chế download các ứng dụng từ Internet
(cid:1) Các PC phải có firewall và phần mềm chống virus, cũng nên có qui trình cài đặt và cập nhật các phần mềm này trên các PC
(cid:1) Người dùng phải kết thúc phiên kết nối với server khi
rời khỏi PC
(cid:1) Dùng thiết bị hỗ trợ xác thực theo IEEE 802.1X trên
port để ngăn chặn user cài thiết bị lạ
34
An ninh cho wireless network (1/2)
riêng
(cid:1) An ninh trên wireless network hiện lỏng lẻo (cid:1) Nên đặt wireless LAN trên một subnet hay VLAN
(cid:1) Tạo các ACL trên access point, switch và router chuyển tiếp tải bắt nguồn từ wireless network. ACL chỉ cho phép các giao thức nhất định được ghi trong chính sách an ninh
35
(cid:1) Các máy tính phía user phải có firewall và phần mềm chống virus riêng, thường xuyên cập nhật các mảnh vá OS
An ninh cho wireless network (2/2)
(cid:1) Xác thực Open và shared key (dùng WEP (wireless
equivalent privacy))
(cid:1) Xác thực bằng SSID (service set Indentifier), user phải biết (cid:1) Xác thực bằng MAC address (cid:1) Dùng 802.1X với EAP (Extensible Authentication Protocol) (cid:1) 802.11i (cid:1) WPA (Wi-Fi Protected Access)
(cid:1) RSN (Robust Security Network ) (cid:1) Dùng VPN software trên wireless client
