intTypePromotion=1
ADSENSE

Giáo trình An toàn mạng (Ngành: Quản trị mạng) - CĐ Công nghiệp Hải Phòng

Chia sẻ: Agatha25 Agatha25 | Ngày: | Loại File: PDF | Số trang:31

16
lượt xem
4
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

(NB) Giáo trình An toàn mạng cung cấp cho người học những kiến thức như: Tổng quan về bảo mật và an toàn, mã hóa thông tin, NAT (network address translation), bảo vệ mạng bằng tường lửa, danh sách điều khiển truy cập;...Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Giáo trình An toàn mạng (Ngành: Quản trị mạng) - CĐ Công nghiệp Hải Phòng

  1. UBND TỈNH HẢI PHÒNG TRƯỜNG CĐ CÔNG NGHIỆP HẢI PHÒNG GIÁO TRÌNH Tên mô đun: AN TOÀN MẠNG NGHỀ: QUẢN TRỊ MẠNG Hải Phòng, năm 2020 1
  2. TUYÊN BỐ BẢN QUYỀN Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Giáo trình lưu hành nội bộ. 2
  3. LỜI GIỚI THIỆU Để thực hiện biên soạn giáo trình đào tạo nghề Quản trị mạng ở trình độ Trung cấp Nghề, giáo trình Mạch điện tử là một trong những giáo trình môn học đào tạo chuyên ngành được biên soạn theo nội dung chương trình tạo trường Cao đẳng Nghề Công nghệ Việt – Hàn Bắc Gian. Nội dung biên soạn ngắn gọn, dễ hiểu, tích hợp kiến thức và kỹ năng chặt chẽ với nhau, logíc. Khi biên soạn, tác giả đã cố gắng cập nhật những kiến thức mới có liên quan đến nội dung chương trình đào tạo và phù hợp với mục tiêu đào tạo, nội dung lý thuyết và thực hành được biên soạn gắn với nhu cầu thực tế trong sản xuất đồng thời có tính thực tiển cao. Nội dung giáo trình được biên soạn với dung lượng thời gian đào tạo. Trong quá trình sử dụng giáo trình, tuỳ theo yêu cầu cũng như khoa học và công nghệ phát triển có thể điều chỉnh thời gian và bổ sung những kiên thức mới cho phù hợp. Trong giáo trình, chúng tôi có đề ra nội dung thực tập của từng bài để người học cũng cố và áp dụng kiến thức phù hợp với kỹ năng. Tuy nhiên, tùy theo điều kiện cơ sở vật chất và trang thiết bị, các trường có thề sử dụng cho phù hợp. Mặc dù đã cố gắng tổ chức biên soạn để đáp ứng được mục tiêu đào tạo nhưng không tránh được những khiếm khuyết. Rất mong nhận được đóng góp ý kiến của các thầy, cô giáo, bạn đọc để nhóm biên soạn sẽ hiệu chỉnh hoàn thiện hơn. Tổ bộ môn Tin học 3
  4. Chương 1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG 1. Các khái niệm chung 1.1. Đối tượng tấn công mạng (Intruder) - Là những cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép. Một số đối tượng tấn công mạng là: - Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy nhập trên hệ thống. - Masquerader: Là những kẻ giả mạo thông tin trên mạng. Một số hình thức giả mạo như: Giả mạo địa chỉ IP, tên miền, định danh người dùng… - Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị. Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như: ăn cắp những thông tin có giá trị về kinh tế, phá hoạt hệ thống mạng có chủ định hoặc cũng có thể là hành động vô ý thức, thử nghiệm các chương trình không kiểm tra cẩn thận… 1.2. Lỗ hổng bảo mật Các lỗ hổng bảo mật là những điểm yếu kém trên hệ thống hoặc ẩn chứa một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp. Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi của bản thân hệ thống, phần mềm cung cấp hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp… Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng nghiêm trọng tới toàn bộ hệ thống. 2. Nhu cầu bảo vệ thông tin Mục tiêu: - Trình bày được các nhu cầu cần bảo vệ trên nền hệ thống mạng 2.1. Nguyên nhân Tài nguyên đầu tiên mà chúng ta nói đến chính là dữ liệu. Đối với dữ liệu, chúng ta cần quan tâm những yếu tố sau: 2.2. Bảo vệ dữ liệu Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau: - Bảo mật: Những thông tin có giá trị về kinh tế, quân sự, chính sách… cần được bảo vệ và không lộ thông tin ra bên ngoài. - Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo. - Tính kịp thời: Yêu cầu truy cập thông tin vào đúng thời điểm cần thiết 2.3. Bảo vệ tài nguyên sử dụng trên mạng Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công hệ thống khác. 2.4. Bảo vệ danh tiếng của cơ quan 4
  5. Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà nước. Trong trường hợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài. Câu hỏi, bài tập: Câu 1: Trình bày các đối tượng tấn công hệ thống mạng Câu 2: Đối với dữ liệu, chúng ta cần quan tâm những yếu tố nào? Chương 2: MÃ HÓA THÔNG TIN Mục tiêu: - Liệt kê và phân biệt được các kiểu mã hóa dữ liệu - Áp dụng được việc mã hóa và giải mã với một số phương pháp cơ bản - Mô tả về hạ tầng ứng dụng khóa công khai - Thực hiện các thao tác an toàn với máy tính 1. Cơ bản về mã hóa (Cryptography) Mục tiêu: - Trình bày được nhu cầu sử dụng mã hóa - Mô tả được quá trình mã hóa và giải mã Những điều căn bản về mã hóa Khi bắt đầu tìm hiểu về mã hóa, chúng ta thường đặt ra những câu hỏi chẳng hạn như: Tại sao cần phải sử dụng mã hóa? Tại sao lại có quá nhiều thuật toán mã hóa?... 1.1. Tại sao cần phải sử dụng mã hóa Thuật toán Cryptography đề cập tới ngành khoa học nghiên cứu về mã hóa và giải mã thông tin. Cụ thể hơn là nghiên cứu các cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mờ (cipher text) và ngược lại. Đây là một phương pháp hỗ trợ rất tốt trong việc chống lại những truy cập bất hợp pháp tới dữ liệu được truyền đi trên mạng, áp dụng mã hóa sẽ khiến cho nội dung không tin được truyền đi dưới dạng mờ và không thể đọc được đối với bất kỳ ai cố tình muốn lấy thông tin đó. 1.2. Nhu cầu sử dụng kỹ thuật mã hóa Không phải ai hay bất kỳ ứng dụng nào cũng phải mã hóa. Nhu cầu về sử dụng mã hóa xuất hiện khi các bên tham gia trao đổi thông tin muốn bảo vệ các tài liệu quan trọng có thể là: tài liệu quân sự, tài chính, kinh doanh hoặc đơn giản là một thông tin nào đó mang tính riêng tư. Như chúng ta đã biết Internet hình thành và phát triển từ yêu cầu từ chính phủ Mỹ nhằm phục vụ cho mục đích quân sự. Khi chúng ta tham gia trao đổi thông tin thì môi trường Internet là môi trường không an toàn, đầy rủi ro và nguy hiểm, không có gì đảm bảo rằng thông tin mà chúng ta truyền đi không bị đọc trộm trên đường truyền. Tại sao lại có quá nhiều thuật toán mã hóa? Hệ thống mã hóa hiện nay đã giải quyết vấn đề trên thông qua khóa (key) là một yếu tố có liên quan nhưng tách rời ra khỏi thuật toán mã hóa do các thuật toán hầu như được công khai cho nên tính an toàn của mã hóa giờ đây phụ thuộc vào khóa. Khóa này có thể là bất kỳ một giá trị chữ hoặc số nào. 5
  6. Nói đến mã hóa tức là nói đến việc che dấu thông tin bằng cách sử dụng thuật toán. Che dấu ở đây không phải là làm thông tin biến mất mà là cách thức chuyển từ dạng tỏ sang dạng mờ. Một thuật toán là một tập hợp của các câu lệnh mà theo đó chương trình phải biết làm thế nào để xáo trộn hay phục hồi lại dữ liệu. Chẳng hạn một thuật toán rất đơn giản mã hóa thông điệp cần gửi đi như sau: Bước 1: Thay thế toàn bộ chữ cái "e" thành số "3" Bước 2: Thay thế toàn bộ chữ cái "a" thành số "4" Bước 3: Đảo ngược thông điệp Trên đây là một ví dụ rất đơn giản mô phỏng cách làm việc của một thuật toán mã hóa. Sau đây là các thuật ngữ cơ bản nhất giúp chúng ta nắm được các khái niệm: Sender/Receiver: Người gửi/Người nhận dữ liệu - Plaintext (Cleartext): Thông tin trước khi được mã hoá. Đây là dữ liệu ban đầu ở dạng rõ - Ciphertext: Thông tin, dữ liệu đã được mã hoá ở dạng mờ - Key: Thành phần quan trọng trong việc mã hoá và giải mã - CryptoGraphic Algorithm: Là các thuật toán được sử dụng trong việc mã hoá hoặc giải mã thông tin - CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá, Plaintext, Ciphertext Kí hiệu chung: P là thông tin ban đầu, trước khi mã hoá. E() là thuật toán mã hoá. D() là thuật toán giải mã. C là thông tin mã hoá. K là khoá. 1.3. Quá trình mã hoá và giải mã như sau: - Quá trình mã hoá được mô tả bằng công thức: EK(P)=C - Quá trình giải mã được mô tả bằng công thức: DK(C)=P 2. Độ an toàn của thuật toán Tại một thời điểm, độ an toàn của một thuật toán phụ thuộc: - Nếu chi phí hay phí tổn cần thiết để phá vỡ một thuật toán lớn hơn giá trị của thông tin đã mã hóa thuật toán thì thuật toán đó tạm thời được coi là an toàn. - Nếu thời gian cần thiết dùng để phá vỡ một thuật toán là quá lâu thì thuật toán đó tạm thời được coi là an toàn. - Nếu lượng dữ liệu cần thiết để phá vỡ một thuật toán quá lơn so với lượng dữ liệu đã được mã hoá thì thuật toán đó tạm thời được coi là an toàn 6
  7. 3. Phân loại các thuật toán mã hoá Có rất nhiều các thuật toán mã hoá khác nhau. Từ những thuật toán được công khai để mọi người cùng sử dụng và áp dụng như là một chuẩn chung cho việc mã hoá dữ liệu; đến những thuật toán mã hoá không được công bố. Có thể phân loại các thuật toán mã hoá như sau: Phân loại theo các phương pháp: - Mã hoá cổ điển (Classical cryptography) - Mã hoá đối xứng (Symetric cryptography) - Mã hoá bất đối xứng(Asymetric cryptography) - Hàm băm (Hash function) Phân loại theo số lượng khoá: - Mã hoá khoá bí mật (Private-key Cryptography) - Mã hoá khoá công khai (Public-key Cryptography) 3.1 Mã hoá cổ điển: - Mã hoá thay thế (Substitution Cipher): Là phương pháp mà từng kí tự (hay từng nhóm kí tự) trong bản rõ (Plaintext) được thay thế bằng một kí tự (hay một nhóm kí tự) khác để tạo ra bản mờ (Ciphertext). Bên nhận chỉ cần đảo ngược trình tự thay thế trên Ciphertext để có được Plaintext ban đầu. Mã hóa thay thế sẽ chọn một hoán vị p: Z26Z26 làm khóa Ví dụ: Mã hóa ep(a)=X A B C D E F G H I J K L M d l r y v o h e z x w p t n o p q r s t u v w x y z S F L R C V M U E K J D I Giải mã dp(A)=d A B C D E F G H I J K L M d l r y v o h e z x w p t N O P Q R S T U V W X Y Z b g f j q n m u s k a c i Clear Text: "chuvanluong" Cipher Text: "YGUEXBUFSH" - Mã hoá hoán vị (Transposition Cipher): Mã hóa hoán vị sẽ chuyển đổi vị trí bản thân các chữ cái trong văn bản gốc từng khối m chữ cái: Mã hóa: e (x1,…,xm)=(x (1),…,x (m)) Giải mã: d (y1,…,ym)=(y '(1),…,y '(m)) Trong đó: : Z26 Z26 là một hoán vị ':= -1 là nghịch đảo của . Hoán vị: 7
  8. x 1 2 3 4 5 6 (x) 3 5 1 6 4 2 x 1 2 3 4 5 6 -1 (x) 3 6 1 5 2 4 "shesellsseashellsbytheseashore". shesel | lsseas | hellsb | ythese | ashore EESLSH | SALSES | LSHBLE | HSYEET | HRAEOS "EESLSHSALSESLSHBLEHSYEETHRAEOS" - Mã hóa Caesar Chú ý: hàm mã hóa Ek(x)=(x+k) mod n Hàm giải mã Dk(x)=(x-k) mod n Bảng mã Caesar A B C D E F G H I J K L M 0 1 2 3 4 5 6 7 8 9 10 11 12 N O P Q R S T U V W X Y Z 13 14 15 16 17 18 19 20 21 22 23 24 25 - Mã hóa Affine Mã hóa: Ek(x)=(a*x+b) mod n Giải mã: Dk(x)=a*(y-b) mod n - Mã hóa Vigenere Ek(x)=(x1+k1,x2+k2,…,xm+km)mod n Dk(x)=(y1-k1,y2-k2,…,ym-km) mod n 3.2 Mã hoá đối xứng: Ở phần trên, chúng ta đã tìm hiểu về mã hoá cổ điển, trong đó có nói rằng mã hoá cổ điển không dùng khoá. Nhưng trên thực nếu chúng ta phân tích một cách tổng quát, chúng ta sẽ thấy được như sau: - Mã hoá cổ điển có sử dụng khoá. Bằng chứng là trong phương pháp Ceaser Cipher thì khoá chính là phép dịch ký tự, mà cụ thể là phép dịch 3 ký tự. Trong phương pháp mã hoá hoán vị thì khóa nằm ở số hàng hay số cột mà chúng ta qui định. Khoá này có thể được thay đổi tuỳ theo mục đích mã hoá của chúng ta, nhưng nó phải nằm trong một phạm vi cho phép nào đó. - Để dùng được mã hoá cổ điển thì bên mã hoá và bên giải mã phải thống nhất với nhau về cơ chế mã hoá cũng như giải mã. Nếu như không có công việc này thì hai bên sẽ không thể làm việc được với nhau. 8
  9. Mã hoá đối xứng còn có một số tên gọi khác như Secret Key Cryptography (hay Private Key Cryptography), sử dụng cùng một khoá cho cả hai quá trình mã hoá và giải mã. Quá trình thực hiện như sau: Trong hệ thống mã hoá đối xứng, trước khi truyền dữ liệu, 2 bên gửi và nhận phải thoả thuận về khoá dùng chung cho quá trình mã hoá và giải mã. Sau đó, bên gửi sẽ mã hoá bản rõ (Plaintext) bằng cách sử dụng khoá bí mật này và gửi thông điệp đã mã hoá cho bên nhận. Bên nhận sau khi nhận được thông điệp đã mã hoá sẽ sử dụng chính khoá bí mật mà hai bên thoả thuận để giải mã và lấy lại bản rõ (Plaintext). Mã hoá đối xứng có thể được phân thành 02 loại: - Loại thứ nhất tác động trên bản rõ theo từng nhóm bits. Từng nhóm bits này được gọi với một cái tên khác là khối (Block) và thuật toán được áp dụng gọi là Block Cipher. Theo đó, từng khối dữ liệu trong văn bản ban đầu được thay thế bằng một khối dữ liệu khác có cùng độ dài. Đối với các thuật toán ngày nay thì kích thước chung của một Block là 64 bits. - Loại thứ hai tác động lên bản rõ theo từng bit một. Các thuật toán áp dụng được gọi là Stream Cipher. Theo đó, dữ liệu của văn bản được mã hoá từng bit một. Các thuật toán mã hoá dòng này có tốc độ nhanh hơn các thuật toán mã hoá khối và nó thường được áp dụng khi lượng dữ liệu cần mã hoá chưa biết trước. Một số thuật toán nổi tiếng trong mã hoá đối xứng là: DES, Triple DES(3DES), RC4, AES… C = EK3(DK2(EK1(P))) P = DK1(EK2(DK3(C))) 3.3 Mã hoá bất đối xứng: Hay còn được gọi với một cái tên khác là mã hoá khoá công khai (Public Key Cryptography), nó được thiết kế sao cho khoá sử dụng trong quá trình mã hoá khác biệt với khoá được sử dụng trong quá trình giải mã. Hơn thế nữa, khoá sử dụng trong quá trình giải mã không thể được tính toán hay luận ra được từ khoá được dùng để mã hoá và ngược lại, tức là hai khoá này có quan hệ với nhau về mặt toán học nhưng không thể suy diễn được ra nhau. Thuật toán này được gọi là mã hoá công khai vì khoá dùng cho việc mã hoá được công khai cho tất cả mọi người. Một người bất kỳ có thể dùng khoá này để mã hoá dữ liệu nhưng chỉ duy nhất người mà có khoá giải mã tương ứng mới có thể đọc được dữ liệu mà thôi. Do đó trong thuật toán này có 2 loại khoá: Khoá để mã hoá được gọi là Public Key, khoá để giải mã được gọi là Private Key. 9
  10. - Bên gửi yêu cầu cung cấp hoặc tự tìm khoá công khai của bên nhận trên một server chịu trách nhiệm quản lý khoá. - Sau đó hai bên thống nhất thuật toán dùng để mã hoá dữ liệu, bên gửi sử dụng khoá công khai của bên nhận cùng với thuật toán đã thống nhất để mã hoá thông tin được gửi đi. - Khi nhận được thông tin đã mã hoá, bên nhận sử dụng khoá bí mật của mình để giải mã và lấy ra thông tin ban đầu. Một số thuật toán mã hoá công khai nổi tiếng: Diffle-Hellman, RSA,… 3.4 Hệ thống mã hoá khoá lai (Hybrid Cryptosystems): Dưới đây là mô hình của hệ thống mã hoá lai: Nhìn vào mô hình chúng ta có thể hình dung được hoạt động của hệ thống mã hoá này như sau: - Bên gửi tạo ra một khoá bí mật dùng để mã hoá dữ liệu. Khoá này còn được gọi là Session Key. - Sau đó, Session Key này lại được mã hoá bằng khoá công khai của bên nhận dữ liệu. - Tiếp theo dữ liệu mã hoá cùng với Session Key đã mã hoá được gửi đi tới bên nhận. - Lúc này bên nhận dùng khoá riêng để giải mã Session Key và có được Session Key ban đầu. - Dùng Session Key sau khi giải mã để giải mã dữ liệu. 4. Một số ứng dụng của mã hoá trong Security Một số ứng dụng của mã hoá trong đời sống hằng ngày nói chung và trong lĩnh vực bảo mật nói riêng. Đó là: - Securing Email - Authentication System 10
  11. - Secure E-commerce - Virtual Private Network - Wireless Encryption Giới thiệu Bài viết này sẽ trình bày các vấn đề được xem là nền tảng của an toàn, bảo mật trong một tổ chức, doanh nghiệp. Các vần đề được trình bày bao gồm cả bảo mật ở mức hệ thống và ứng dụng sẽ là cơ sở cho các tổ Chương 3: NAT (NETWORK ADDRESS TRANSLATION) 3.1. Giới thiệu về NAT NAT (Network Address Translation) là một kỹ thuật cho phép chuyển đổi từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường, NAT được dùng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy cập đến mạng công cộng (Internet). Vị trí thực hiện NAT là router biên kết nối giữa hai mạng. * Địa chỉ private và địa chỉ public Địa chỉ private: Địa chỉ private được định nghĩa trong RFC 1918. Private IP là các địa chỉ được cấp phát bởi InterNIC cho phép các công ty, tổ chức có thể tạo cho họ một mạng cục bộ riêng. Có ba dãy IP ở class A, class B và class C được IANA (Tổ chức cấp phát số hiệu trên Internet) dành riêng để đánh địa chỉ private IP.  Địa chỉ public: Public IP là địa chỉ được ISP (nhà cung cấp dịch vụ Internet) cấp và có thế được "nhìn thấy" và truy cập từ Internet. Giống như địa chỉ nhà dùng để nhận thư tín, bưu phẩm vậy. Mỗi public IP chỉ tồn tại độc nhất trên mạng Internet cho cả toàn cầu, vì đó không thể tồn tại hai thiết bị (server, máy tính, router,...) có cùng địa chỉ public IP. 11
  12. * Một số thuật ngữ cần biết  Địa chỉ inside local: là địa chỉ IP gán cho một thiết bị ở mạng bên trong. Địa chỉ này hầu như không phải địa chỉ được cung cấp bởi NIC (Network Information Center) hay nhà cung cấp dịch vụ.   Địa chỉ inside global: là địa chỉ đã được đăng ký với NIC, dùng để thay thế một hay nhiều địa chỉ IP inside local.   Địa chỉ outside local: là địa chỉ IP của một thiết bị bên ngoài khi nó xuất hiện bên trong mạng. Địa chỉ này không nhất thiết là địa chỉ được đăng ký, nó được lấy từ không gian địa chỉ bên trong.   Địa chỉ outside global: là địa chỉ IP gán cho một thiết bị ở mạng bên ngoài. Địa chỉ này được lấy từ địa chỉ có thể dùng để định tuyến toàn cầu từ không gian địa chỉ mạng.   Vì không tồn tại trên Internet nên các admin trong các mạng LAN có thể dùng lại các IP private cho mạng của cơ quan, tổ chức.   Máy tính chỉ ra ngoài internet được khi nó có địa chỉ public vì địa chỉ public là duy nhất, do vậy cần phải có một kỹ thuật để chuyển đổi các IP private trong mạng LAN thành IP public để ra ngoài internet và ngược lại để các máy Internet có thể gửi trả dữ liệu cho các máy trong LAN à NAT(Network Address Translation) ra đời để giải quyết vấn để này. 3.2. Các kỹ thuật NAT cổ điển. 3.2.1. NAT tĩnh (Static NAT) Static NAT được dùng để chuyển đổi một địa chỉ IP này sang một địa chỉ khác một cách cố định, thông thường là từ một địa chỉ cục bộ sang một địa chỉ công cộng và quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ ánh xạ chỉ định rõ ràng tương ứng duy nhất.  Cấu hình Static NAT   Ví dụ: 12
  13. Router (config) # ip nat inside source static 192.168.1.100 202.1.1.10 Router (config) # interface fa0/0 Router (config-if) # ip nat inside Router (config) # interface s0/0/0 Router (config-if) # ip nat outside 3.2.2. NAT động (Dynamic NAT) Dynamic NAT được dùng để ánh xạ một địa chỉ IP này sang một địa chỉ khác một cách tự động, thông thường là ánh xạ từ một địa chỉ cục bộ sang một địa chỉ được đăng ký. Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng đã được định trước đều có thể được gán một thiết bị bên trong mạng.  Cấu hình Dynamic NAT   Ví dụ: Cấu hình cho mô hình trong hình trên Router (config) # ip nat pool abc 202.1.1.177 202.1.1.185 netmask 255.255.255.0 Router (config) # access-list 1 permit 192.168.1.0 0.0.0.255 Router (config) # ip nat inside source list 1 pool abc Router (config) # interface fa0/0 Router (config-if) # ip nat inside Router (config) # interface s0/0/0 Router (config-if) # ip nat outside 13
  14. 3.2.2. NAT Overload Nat Overload là một dạng của Dynamic NAT, nó thực hiện ánh xạ nhiều địa chỉ IP thành một địa chỉ (many - to - one) và sử dụng các địa chỉ số cổng khác nhau để phân biệt cho từng chuyển đổi. NAT Overload còn có tên gọi là PAT (Port Address Translation). 3.3. NAT trong Windows server.  Hệ thống gồm các client và 1 máy làm NAT Server. NAT Server có 2 card mạng là : Local Area Network : 10.0.0.2 (giao diện kết nối với mạng LAN) Externel Interface : 192.168.1.2 (giao diện kết nối với Internet hay còn gọi là cross card)  Yêu cầu: Cấu hình NAT cho Server để các máy trong mạng LAN có thể truy cập Internet?  Các bước thực hiện Bước 1: Kết nối vật lý theo mô hình Bước 2: Đặt địa chỉ IP và kiểm tra Bước 3: Cài đặt Routing and Remote Access (RRAS) Bước 4: Cấu hình RRAS Bước 5: Cấu hình cho giao diện LAN Bước 6: Cấu hình giao diện Internet 14
  15. Chương 4: BẢO VỆ MẠNG BẰNG TƯỜNG LỬA 4.1. Các kiểu tấn công 4.1.1. Tấn công trực tiếp 4.1.2. Nghe trộm Nghe trộm hay nghe lén trên mạng (sniffer) là một phần của kỹ thuật tấn công Man In The Middle (kẻ đứng giữa) trong thế giới bảo mật máy tính. Đây là kỹ thuật tấn công phổ biến, nguy hiểm và khó phòng chống bậc nhất hiện nay. Dưới đây là một số biện pháp phòng chống tổng hợp: - Thay thế thiết bị tập trung Hub bằng Switch, và giám sát chặt chẽ sự thay đổi địa chỉ MAC (Media Access Control) của card mạng - Áp dụng cơ chế one-time password – thay đổi password liên tục - Mã hóa dữ liệu truyền dẫn bằng các cơ chế truyền thông dữ liệu an toàn SSL (Secure Sockets Layer), thiết lập IPSec và mạng riêng ảo VNP (Virtual Private Network),… Hạn chế hay thay thế các chương trình không chức năng mã hóa dữ liệu hay mã hóa mật khẩu, như: sử dụng SSH (Secure Shell Host) thay cho Telnet, Rlogin; dùng SFTP (secure FTP) thay vì FTP; dùng Trillian (http://trillian.cc) hay Jabber (http:// jabber.org) làm chương trình chat; dùng giao thức https thay cho http v.v… - Sử dụng các phần mềm phát hiện sự hoạt động của các chương trình nghe lén trên mạng như AntiSniff, PromiScan, Promqry and PromqryUI, ARPwatch, Ettercap… Riêng với Ettercap (http://ettercap.sourceforge.net), chương trình này vừa dùng để nghe trộm, nhưng cũng vừa có khả năng phát hiện nghe trộm nhờ được hỗ trợ các plugin như arp_cop (phát hiện trạng thái ARP posioning); find_ettercap (phát hiện các trình ettercap khác đang chạy); scan_poisoner (phát hiện máy đang thực hiện posioning); seach_promisc (phát hiện máy đang nghe trộm ở chế độ “hỗn tạp”),… - Dùng các chương trình giám sát hoạt động của mạng. Thiết lập hệ thống phát hiện xâm nhập IDS (Intrution Detection System) như trình miễn phí Snort (http://www.snort.org) nhằm phát hiện những hiện tượng lạ trong mạng, trong đó có ARP spoofing, để có biện pháp đối phó thích hợp 15
  16. Quá trình nghe trộm diễn ra như thế nào?  Trong môi trường Hub   Trong môi trường Switch  Tóm lại:   Mục tiêu: - Thu nhận thông tin truyền  - Nhận được các thông tin truyền không mã hóa - Nhận được các thông tin đã mã hóa, từ đó phục vụ các tấn công khác (replay attack)  Không để dấu vết   Khó phòng chống 4.1.3. Giả mạo địa chỉ  Ta có 2 loại giả mạo địa chỉ IP:   Giả mạo bằng cách bắt gói (nonblind spoofing), phân tích số thứ tự, cho máy cùng mạng.   Giả mạo địa chỉ IP từ xa (blind spoofing ): khác mạng, có được số TCP sequence chính xác là rất khó.Tuy nhiên , với một số kĩ thuật, chẳng hạn như định tuyến theo địa chỉ nguồn,máy tấn công cũng có thể xác định chính xác được chỉ số đó.   Chống giả mạo địa chỉ Để làm giảm nguy cơ tấn công giả mạo địa chỉ IP cho một hệ thống mạng,ta có thể sử dụng các phương pháp sau:  Dùng danh sách kiểm tra truy cập (Access Control ListACL) trên các interface của router. Một ACL có thể dc dùng để loại bỏ những traffic từ bên ngoài mà lại được đóng gói bởi một địa chỉ trong mạng cục bộ khi bị lôi cuốn vào một cuộc tấn công Ddos.   Dùng mật mã xác thực.Nếu cả hai đầu của cuộc nói chuyện đã được xác thực, khả năng tấn công theo kiểu Maninthemiddle có thể được ngăn cản. Mã hoá traffic giữa các thiết bị (giữa 2 router,hoặc giữa 2 hệ thống cuối và router) bằng một IPSec tunnel IP giả mạo là một vấn đề khó khăn để giải quyết, bởi vì nó liên quan đến cấu trúc gói tin IP. 4.1.4. Vô hiệu hoá các chức năng của hệ thống 4.1.5. Lỗi của người quản trị hệ thống 4.1.6. Tấn công vào yếu tố con người 4.2. Các mức bảo vệ an toàn 16
  17. 4.3. Internet Firwall 4.3.1. Định nghĩa Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức, doanh nghiệp. 4.3.2. Những chức năng chính của firewall Về cơ bản firewall có khả năng thực hiện các nhiệm vụ sau đây: - Quản lý và điều khiển luồng dữ liệu trên mạng. - Xác thực quyền truy cập - Hoạt động như một thiết bị trung gian - Bảo vệ tài nguyên - Ghi nhận và báo cáo các sự kiện 4.3.3. Phân loại firewall 17
  18. 2.2.2 Các công nghệ firewall Dựa vào công nghệ sử dụng trong firewall người ta chia firewall thành các loại như sau: - Personal firewalls + Packet filters - Network Address Translations (NAT) firewalls + Circuit-level firewalls + Proxy firewalls + Stateful firewalls + Transparent firewall + Virtual firewalls 4.3.3. Kiến trúc của Firewall  Kiến trúc Dual – homed Host Ưu điểm của Dual-homed host: – Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. – Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do đó trên các hệ điều hành linux chỉ cần cấu hình lại nhân của hệ điều hành là đủ. Nhược điểm của Dual-homed host: – Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những phần mềm mới được tung ra trên thị trường. – Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân của dual-homed host, và khi dual-homed host bị đột nhập nó sẽ trở thành nơi lý tưởng 18
  19. để tấn công vào mạng nội bộ, người tấn công (attacker) sẽ thấy được toàn bộ lưu lượng trên mạng.  Kiến trúc Screened Host   Kiến trúc Screened Subnet Host Ưu điểm của Screened Subnet Host: – Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong. – Bởi vì router ngoài chỉ quảng bá Bastion host tới internet nên hệ thống mạng nội bộ không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server). – Bởi vì router trong chỉ quảng bá Bastion host tới mạng nội bộ nên các hệ thống bên trong mạng nội bộ không thể truy cập trực tiếp tới Internet. Điều này đảm bảo rằng những user bên trong bắt buộc phải truy cập qua Internet qua dịch vụ Proxy. – Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sử dụng đồng thời nâng cao khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên là phù hợp. – Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụng thêm một dạng ngoại vi (perimeter network) để che phần nào lưu thông bên trong internal network, tách biệt internal network với internet. Ngoài ra, còn có những kiến trúc biến thể khác như sử dụng nhiều Bastion host, ghép chung router trong và router ngoài, ghép chung Bastion host và router ngoài.  Sử dụng nhiều Bastion Host   Kiến trúc ghép chung router trong và router ngoài   Kiến trúc ghép chung Bastion host và router ngoài 4.3.4. Các thành phần của Firewall và cơ chế hoạt động Một firewall bao gồm một hoặc nhiều thành phần sau đây:  Packet Filtering – Bộ lọc gói tin   Application Gateway – Cổng ứng dụng   Circuit Level Gate – Cổng mạch 4.3.4.1. Bộ lọc Paket ( Paket filtering router)  Nguyên lý hoạt động Bộ lọc gói tin cho phép hay từ chối packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các số các rules 19
  20. hay không. Các rules này dựa trên các thông tin ở packet header bao gồm các thông tin sau:  Địa chỉ IP nguồn (IP Source Address).   Địa chỉ IP đích (IP Destination Address).   Protocol (TCP, UDP, ICMP, IP tunnel)   TCP/UDP source port   TCP/UDP destination port   Dạng thông báo ICMP (ICMP message type)   Cổng gói tin đến (Incomming interface of packet)   Cổng gói tin đi (Outcomming interface of packet) Packet filtering router  Ưu điềm và nhược điểm  Ưu điểm:  – Đa số các hệ thống firewall đều được sử dụng bộ lọc gói tin. Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã có sẵn trong các router.  – Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng vì vậy nó không yêu cầu người sử dụng phải thao tác gì cả. Nhược điểm: – Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet, các dạng packet header. Khi yêu cầu về lọc gói tin càng lớn, các rules càng trở nên phức tạp do đó rất khó quản lý và điều khiển. – Do làm việc dựa trên header của các packet nên bộ lọc không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. 4.3.4.2. Cổng ứng dụng (Application- Level Getway)  Nguyên lý hoạt động   Ưu điểm và nhược điểm 4.3.4.3. Cổng vòng (Circult-level Getway) 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2