Link xem tivi trực tuyến nhanh nhất xem tivi trực tuyến nhanh nhất xem phim mới 2023 hay nhất xem phim chiếu rạp mới nhất phim chiếu rạp mới xem phim chiếu rạp xem phim lẻ hay 2022, 2023 xem phim lẻ hay xem phim hay nhất trang xem phim hay xem phim hay nhất phim mới hay xem phim mới link phim mới

Link xem tivi trực tuyến nhanh nhất xem tivi trực tuyến nhanh nhất xem phim mới 2023 hay nhất xem phim chiếu rạp mới nhất phim chiếu rạp mới xem phim chiếu rạp xem phim lẻ hay 2022, 2023 xem phim lẻ hay xem phim hay nhất trang xem phim hay xem phim hay nhất phim mới hay xem phim mới link phim mới

intTypePromotion=1
ADSENSE

Giáo trình môn An toàn mạng

Chia sẻ: Tram Van Hien | Ngày: | Loại File: DOC | Số trang:38

130
lượt xem
15
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giáo trình gồm 5 chương tổng quan về bảo mật mạng, bảo mật với lọc gói IP, IPSEC, NAT, Virus và cách phòng chống. Với một số nội dung xác định những rủi ro và những mối đe dọa Computer, thiết kế Security cho các Computer, làm thế nào để tạo và quản lý Account an toàn, phân tích và thiết kế các chính sách an toàn cho Account, bảo mật với lọc gói IP, các tác động bảo mật, các bộ lọc IPSec, thiết lập NAT trên Windows Server 2003, cách thức lây lan và phòng chống virus... Mời các bạn cùng tham khảo giáo trình để tham khảo nội dung chi tiết.

Chủ đề:
Lưu

Nội dung Text: Giáo trình môn An toàn mạng

  1. Giáo trình môn An Toàn Mạng Chương 1 TỔNG QUAN VỀ BẢO MẬT MẠNG Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ liệu quý báu. Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle) Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình "sống" của Computer. A. Xác định những rủi ro và những mối đe dọa Computer. Bảo mật suốt chu kì "sống" của một computer: Vòng đời của một computer trải qua những giai đoạn sau: Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-in ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password của tổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set password null (không đặt pssword) Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server , Database Server. Căn cứ trên chính sách bảo mật chuẩn, các security admin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers. Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông thường sẽ update các Service packs, securiry updates) Đây là điều bắt buộc để nâng cao hơn nữa baseline security đã được thiết lập Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computer này vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này.Tầm quan trọng của việc bảo mật cho Computer Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một computer mới, một Virus có thể lây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác Trang 1
  2. Giáo trình môn An Toàn Mạng lỗ hổng đã xác định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết rằng Computer có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ chức Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài đặt (unattended Installation) , cách cài đặt này nhanh chóng và tỏ ra rất "professional". Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan Local administrator của các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu của các Manager rất important và hầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ. Những mối đe dọa phổ biến: Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với Computer. Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng, đặc biệt là những ứng dung connecting với Internet như Chat, Internet Browser, E-mail… B. Thiết kế Security cho các Computer Những phương thức chung bảo mật Computer Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng dụng theo hướng dẫn: Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ: không cài lung tung các ứng dụng và triễn khai những dich vụ không cần thiết trên Mail, Web server của tổ chức..) Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tài khoản mặc định Administrator nên được rename vì tên này ai cũng biết, và set password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trong những cuộc tấn công dạng Brute force password) Những file cài đặt cho HDH và application phải an toàn, phải được xác nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm tra vấn đề này , ví dụ Sign verification… Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức. Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành cho việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account như Administrator được tạo ra qua Mạng từ các unattended installation scripts không bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ các Service packs, security updates (vá lỗi ngay trong quá trình cài đặt) Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ chức (Security baseline) Trước khi triển khai Computer cho tổ chức, cần xác định các security baseline. Các security admin có thể triển khai những security baseline này trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và Microsoft Windows XP, các admin có thể taọ và triển khai các security templates để đạt được những yêu cầu bảo mật cần thiết. Tuân thủ những hướng dẫn sau để tạo security baseline cho các Computer : Tạo một chính sách security baseline cho các Computer theo đúng những quy định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng nghiệp vụ… Trang 2
  3. Giáo trình môn An Toàn Mạng Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service (DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò của Computer cần bảo vệ.. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống được những cuộc tấn công kiểu này. Vận hành thử và Kiểm tra các security templates này. Mỗi security template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich vụ khác, hoặc xung đột với các ứng dụng Triển khai các security templates cho Computer thông qua những công cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng loạt Computer thông qua các Group Policy của Active Directory Domain (GPO) Security cho các Computer có vai trò đặc biệt như thế nào. Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò của những Computer đó. Như vậy những Computer đặc biệt này cần có những Security baseline tương đối khác nhau để phù hợp với dịch vụ đang vận hành. Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một Windows 2000 administrator có thể không có những kiến thức để hiểu được cách hoạt động của một database server như Microsoft SQL Server 2000, cho dù nó được cài đặ trên một Windows 2000. Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các yêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có những chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúng thay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành một Web server. Những Phương pháp chung để áp dụng Security Updates (cập nhật security) Có thể dùng những phương pháp sau để tiến hành cập nhật security cho các Computer trên Mạng. Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả security updates mới nhất, các thành phần liên quan đến Windows (Windows components) , và các driver cho thiết bị đã được cài đặt. Để sử dụng Windows Update phải là thành viên của nhóm Administrators. Nếu phải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA (Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner của Microsoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàn diện có thể dùng GFI Languard network security scanner của GFI, rất phổ biến với Admin. Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan trong mà các Security admin cần chú ý. Chỉ thành viên nhóm Administrators mới đuợc dùng tính năng này Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các Computer trong môi trường Active directory domain, các admin sẽ sử dụng các chính sách của Domain hoặc GPO cho các OU trong Domain. Khi dùng Group Policy, User không cần phải làm bất cứ động tác nào vì thông qua Active Directory service, Group Policy có thể thực hiện hoàn toan 2 tự động Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security updateas cho các Computer Trang 3
  4. Giáo trình môn An Toàn Mạng trên Mạng. Admin có thể cấu hình trên các Computer để tự động download security updates hoặc lập lịch biểu (scheduling) download từ WSUS server này Dùng tính năng Feature Pack (Microsoft Systems Management Server (SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến các Computer thông qua kho lưu trữ Software Inventory.Windows Update: Cập nhật service pack, security updates cho HDH. Dùng cho môi trường nhỏ SOHO.Office Update: Cập nhật service pack, security updates cho Office 2000/XP. Dùng cho môi trường nhỏ SOHO. Group Policy: Triển khai cho các Computer dùng Windows 2000 /Windows XP trong Active Directory Domain. Đóng gói các service packs và security updates (thành định dang file .MSI) Bằng cách dùng các chính sách software installation policies. WSUS: Câp nhật Security updates dựa trên chính sách Group Policy của Domain, cho các Computer dùng Windows 2000/Windows XP SMS update services feature pack: Tất cả các SMS client Computer có thể kết nối đến SMS update services feature pack trên SMS server để cập nhật Service packs và security updateschính sách an toàn Account cho Computer (Security Account Policies) Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề cập đến vấn đề an ninh account (account security) và cách thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của những công cụ phù thủy… Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent virus, worm, spyware, ad-ware..), triển khai hệ thống phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro này. Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp bách. C. Làm thế nào để tạo và quản lý Account an toàn Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao cho an toàn Account phải được bảo vệ bằng password phức hợp ( password length, password complexity) Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa) Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ) Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt trên những hệ thống an toàn và được mã hóa) Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account trên các stick-notes rồi gián bừa bãi trên Monitorhoặc Keyboard..), Khóa (lock) ngay Computer khi không sử dụng, mặc định trên các máy tính thường cũng có chính sách tự động lock computer sau môt thời gian không sử dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa) Những người tạo và quản lý account (đặc biệt là những account hệ thống – System accounts, và account vận hành, kiểm soát các dịch vụ - service accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN TUYỆT ĐỐI. Trang 4
  5. Giáo trình môn An Toàn Mạng Disable những account tạm thời chưa sử dụng, delete những account không còn sử dụng. Tránh việc dùng chung Password cho nhiều account Khóa (lock) account sau một số lần người sử dụng log-on không thành công vào hệ thống. Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không được log- on từ xa (remote location log-on), vì những hệ thống và dịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị và support từ xa Security Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu. Các Security admin khi log-on vào Server chỉ nên dùng account có quyền hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account System hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service để cho phép độc lập quản trị các thành phần của hệ thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng account admin). Điều này giúp chúng ta tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền admin, khi đó các admin thật sự của Computer sẽ gặp nhiều rắc rối. Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công "đặc quyền leo thang" (bắt đầu lọt vào hệ thống với account thông thường và sau đó leo thang đến quyền cao nhất) Trên đây là những phần trực quan nhất mà Admin Security cần hình dung cụ thể khi thiết kế chính sách bảo mật account (account security policies). Một trong những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các con đường xâm nhập vào hệ thống đều qua khai thác Credentials (có được thông tin account), attacker nắm được vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác rất hiệu quả. D. Phân tích và thiết kế các chính sách an toàn cho account. Phân tích những rủi ro và xác định các mối đe dọa đối với account: Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện. Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau. Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản: + User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho phép thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ thống…) Trên Windows các bạn có thể type command secpol.msc tại RUN, để open Local Security Settings local policies User rights assignment là nơi xác lập các User rights của hệ thống + Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary access control lists) của hệ thống, được phép truy cập vào các File/Folder hay Active Directory objects (trong Domain) (ví dụ User A được quyền Read/Modify đối với Folder C:Data, User B được Full Control đối với OU Business..) Chú ý trong việc cấp phát Permission cho account, nên đưa account vào Group để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho một account nào đó. Điều này tăng cường khả năng kiểm soát account, vì khi số lượng account của hệ thống (Local hay Domain) tăng lên thì việc tổ chức này tạo sự an toàn và dễ kiểm soát hơn. Những kẽ hở từ Account có thể tạo cơ hội cho attacker: Password: Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt cho password). Dùng cùng password cho nhiều account. password được dán bừa bãi lên Monitor/Keyboard, hoặc lưu password vào một text file không bảo vệ. Chia sẽ password hệ thống của mình cho bạn đồng nghiệp… Cấp phát đặc quyền: Trang 5
  6. Giáo trình môn An Toàn Mạng Cấp phát đặc quyền Administrator cho các User. Các services của hệ thống không dùng Service account. Cấp phát User right không cần thiết cho account. Việc sử dụng account: Log-on vào máy với account Administrators khi thi hành những tác vụ thông thường. Tạo những User account cho phép quyền quản trị các tài khoản khác. Kích hoạt những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉ việc, tài khỏan vẫn được lưu hành trên hệ thống..) Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account: Chính sách tạo password sao cho an toàn thực sư là một trong những yếu tố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính như sau: + Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa của password trước khi user phải thay đổi password. Thay đổi password theo định kì sẽ giúp tăng cường an toàn cho tài khoản + Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi (minimum password age). Admin có thể thiết lập thờigian này khoảng vài ngày, trước khi cho phép user thay đổi password của họ. + Thực thi password history: Số lần các password khác biệt nhau phải sử dụng qua, trước khi quay lại dùng password cũ. Số Password history càng cao thì độ an toàn càng lớn. + Chiều dài password tối thiểu (minimum password length) cần phải đặt. Càng dài càng an toàn + Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt giữa password và P@ssW0rd) Khi dùng password phức hợp cần quan tâm: + Không sử dụng họ và tên + Chứa ít nhất 6 kí tự + Có thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như: !@#$%^&*() Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu như sau một số lần log-on không thành công vào hệ thống. Mục đích của chính sách này nhằm ngăn chặn các cuộc tấn công dạng brute force vào account để dò password. Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho an toàn, nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toàn thông tin của tổ chức và đối với các Security Admin thiết nghĩ vấn đề này không nên chễnh mãng hoặc thờ ơ, vì đây là "ngõ vào" đầu tiên mà attacker luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống. Trang 6
  7. Giáo trình môn An Toàn Mạng Chương 2 BẢO MẬT VỚI LỌC GÓI IP 1. Giới thiệu gói lọc Static fillter packet: Nói chung, một router (bộ định tuyến) là một thiết bị liên mạng chuyên dụng vốn chạy một hệ điều hành chuyên biệt (Ví dụ như Cisco IOS) để chuyển các gói giữa hai hoặc nhiều đoạn mạng được tách biệt. Nó hoạt động tại lớp network của mô hình tham chiếu OSI hoặc lớp Internet của mô hình TCP/IP. Do đó, nó định tuyến các gói IP bằng cách tham khảo các bảng vốn chỉ định đường dẫn tốt nhất mà gói IP sẽ đi qua để tiến đến đích của nó Chính xác hơn, một router nhận một gói IP trên một giao diện mạng và chuyển tiếp nó trên một giao diện mạng khác. Nếu router biết giao diện nào để chuyển tiếp gói trên đó, nó sẽ là như vậy. Nếu không, nó không thể định tuyến gói. Trong trường hợp này, router thường trả về gói bằng cách sử dụng thông báo ICMP destination unreachable đến địa chỉ IP nguồn. Bởi vì mọi gói IP chứa một địa chỉ IP nguồn và đích, các gói bắt nguồn hoặc được chỉ định cho một host hoặc đoạn mạng cụ thể có thể được lọc một cách có chọn lựa bởi một thiết lọc gói. Cũng vậy, các giao thức lớp Transport chẳng hạn như TCP hoặc UDP thêm một số cổng nguồn và đích vào mỗi đoạn hoặc khối dữ liệu dưới dạng một phần thông tin tiêu đề của chúng. Những số cổng này chỉ định những tiến trình nào mà mỗi host sau cùng sẽ nhận được dữ liệu được đóng gói trong gói IP. Thông tin này cũng có thể được sử dụng để lọc các gói IP một cách có chọn lọc. Vào cuối những năm 1980 và đầu những năm 1990, một số bà tham luận và bài báo khoa học đã được xuất bản mô tả cách sử dụng các bộ lọc gói nhằm cung cấp các dịch vụ kiểm soát truy cập cho các intranet công ty. Một số bài tham luận này thực sự mô tả việc sử dụng tính năng lọc gói trong các mô hình firewall ban đầu tại AT&T và Digital Equiment Corporation (DEC). Ngày nay, hầu hết các sản phẩm router thương mại (ví dụ như các router Cisco) cung cấp khả năng trắng các gói IP và lọc chúng phù hợp với một tập hợp qui tắc bộ lọc gói. Các router như vậy đôi khi còn được gọi là các router trắng. Nói chung, các router trắng có thể cung cấp một cơ chế hiệu quả để kiểm soát loại lưu lượng mạng vốn có thể vào hoặc ra một đoạn mạng cụ thể. Bằng cách kiểm soát loại lưu lượng mạng vốn có thể vào hoặc ra một đoạn mạng, có thể kiểm soát các loại dịch vụ vốn có thể hiện hữu. Các dịch vụ mà sau cùng làm tổn hại đến sự bảo mật của đoạn mạng có thể được giới hạn một cách hiệu quả. Như đã đề cập ở trên, các gói IP thường được lọc dựa vào thông tin được tìm thấy trong các tiêu đề gói: - Các số giao thức - Các địa chỉ IP nguồn và đích - Các số cổng nguồn và đích - Các cờ nối kết TCP - Một số tùy chọn khác. Chú ý rằng những router thường không xem xét các số cổng (TCP hoặc UDP) khi đưa ra các quyết định về đường truyền, nhưng thực hiện đối với các mục đích lọc, biết rằng số cổng nguồn và đích cho phép lọc có chọn lựa dựa vào dịch vụ đang được sử dụng. Ví dụ, một server Telnet lắng nghe tại cổng 23, trong khi server SMTP thường lắng nghe tại cổng 25. Tính năng lọc có chọn lựa theo các số cổng cũng tận dụng cách các cổng được gán. Mặc dù một server Telnet sử dụng công 23 phần lớn thời gian, nhưng một số cổng client Telnet Trang 7
  8. Giáo trình môn An Toàn Mạng không cố định nhưng được gán động. Trong một môi trường UNIX hoặc Linux chẳng hạn, cổng client được gán một số lớn hơn 1023. Cũng chú ý rằng các router trắng cũng có thể lọc trên bất kỳ cờ kết nối TCP, nhưng các cờ SYN và ACK là những cờ thường được sử dụng nhiều nhất để lọc gói (đây là do hai cờ này xác định chung việc một kết nối TCP có thể được thiết lập nội biên hoặc ngoại biên hay không). Ví dụ, tất cả đoạn TCP ngoại trừ đoạn đầu tiên (nghĩa là thông báo yêu cầu kết nối TCP) mang một cờ ACK. Thật không may, không phải tất cả router trắng đều có thể lọc các gói IP dựa vào tất cả trường tiêu đề được đề cập ở trên. Ví dụ, một số router trắng không thể xem xét cổng nguồn của một gói IP. Điều này làm cho những qui tắc lọc gói trở lên phức tạp hơn và ngay cả tạo ra những lổ hổng trong toàn bộ sơ đồ lọc gói. Ví dụ, có một sự cố như vậy nếu một site muốn cho phép lưu lượng SMTP cả nội lẫn ngoại biên cho email. Hãy nhớ rằng trong trường hợp một client thiết lập một kết nối SMTP với một server, số cổng nguồn của client này sẽ được chọn ngẫu nhiên tại hoặc trên 1024 và số cổng đích sẽ là 25, cổng mà một server SMTP thường được đặt ở đó. Kết quả, server SMTP đã trả về các gói IP với một số cổng nguồn là 25 và một số cổng đích bằng với số cổng được chọn ngẫu nhiên bởi client. Trong tình huống này, một bộ lọc gói phải được cấu hình để cho phép các số cổng đích và nguồn lớn hơn 1023 đi qua theo một trong hai hướng. Nếu router có thể lọc trên cổng nguồn, nó có thể ngăn chặn lưu lượng SMTP đến bằng một cổng đích lớn hơn 1023 và một cổng nguồn ngoại trừ 25. Tuy nhiên, nếu không có khả năng này, router không thể xem xét cổng nguồn và do đó phải cho phép lưu lượng SMTP đến bằng một cổng đích lớn hơn 1023 và một số cổng nguồn tùy ý. Kết quả, những người dùng hợp lệ nhưng có ý đồ xấu có thể lợi dụng tình huống này và chạy các server tại cổng lớn hơn 1023 để tránh chính sách truy cập dịch vụ được áp đặt bởi bộ lọc gói. Ví dụ, server Telnet vốn thường lắng nghe tại cổng 23 có thể được yêu cầu lắng nghe tại cổng 7777. Những người dùng trên Internet sau đó có thể sử dụng một client Telnet thông thường để kết nối với server nội bộ này ngay cả nếu bộ lọc gói ngăn chặn cổng đích 23. Ngoài thông tin tiêu đề được tuân theo hạng mục ở trên, một số thiết bị lọc gói cũng cho phép nhà quản trị xác định các qui tắc lọc gói dựa vào giao diện mạng nào mà một gói thực sự đi vào và giao diện nào mà gói được chỉ định để rời khỏi. Khả năng xác định các bộ lọc trên các giao diện nội biên và ngoại biên cho phép một nhà quản trị có sự kiểm soát đáng kể đối với nơi mà bộ lọc gói xuất hiện trong toàn bộ sơ đồ và rất tiện lợi cho việc lọc hữu dụng trên các router trắng có hơn hai giao diện mạng. Thật không may, vì những lý do hiệu suất, không phải tất các router trắng đều có thể lọc trên những giao diện nội biên và ngoại biên và nhiều router thực thi những tính năng lọc gói chỉ trên giao diện ngoại biên. Chú ý rằng đối với các gói IP đi, các qui tắc lọc có thể quyết định giao diện để tiếp tục gửi gói đi. Tuy nhiên, vào thời điểm này router không còn biết giao diện nào mà gói đi vào, nó đã làm mất một số thông tin quan trọng. Các router trắng lọc các gói IP theo một tập hợp qui tắc lọc gói. Một cách chính xác hơn, khi một gói IP đi đến một giao diện mạng của một thiết bị lọc, các tiêu đề cố được phân tích. Mỗi qui tắc lọc gói được áp dụng vào gói theo thứ tự mà các qui tắc lọc gói được lưu trữ. Nếu một qui tắc ngăn chặn việc truyền hoặc nhận một gói, gói này không được cho phép. Nếu một qui tắc cho phép truyền hoặc nhận một gói, gói này được cho phép tiến hành. Nếu một gói không đáp ứng bất kỳ qui tắc, nó được phép hoặc bị ngăn chặn phụ thuộc vào qui tắc "mặc định" của firewall. Nói chung, client có một qui tắc vốn ngăn chặn các gói IP không phù hợp với bất kỳ qui tắc khác. Các bộ lọc gói không có trạng thái nghĩa là mỗi gói IP phải được kiểm tra tách biệt với những gì đã xuất hiện trước đây (và những gì sẽ xảy ra sau này), buộc bộ lọc đưa ra một quyết định để cho phép hoặc từ chối mỗi gói một cách riêng lẻ dựa vào qui tắc lọc gói. Các router thường được tối ưu hóa để xáo trộn nhanh các gói IP. Các bộ lọc gói của một router trắng mất thời gian và có thể làm thất bại toàn bộ những lỗ lực tối ưu hóa. Thực tế, việc lọc gói là một hoạt động chậm vốn có thể giảm đáng kể lưu lượng định tuyến. Việc ghi chép các gói IP cũng xuất hiện mà không liên quan đến lịch sử và cho phép ghi chép các kết quả trong Trang 8
  9. Giáo trình môn An Toàn Mạng một hit khác theo hiệu suất. Việc lọc và ghi chép gói thường không được kích hoạt trong các router chủ yếu để đạt thông lượng và hiệu suất tốt hơn. Nếu được kích hoạt và được sử dụng, việc lọc và ghi chép gói thường được cài đặt giao diện giữa các miền quản lý khác nhau. 2. Một số ví dụ về gói lọc Cấu hình bảo mật IP: Cấu trúc IP gồm toàn bộ một giao thức bảo mật. Bộ giao thức này bao gồm các giao thức IPSec và giao thức IKE. Các giao thức IPSec gồm hai giao thức: AH (Authentication Header) và ESP (Encapsulating Security Payload). Tương tự, giao thức IKE đã phát triển từ hai đề xuất giao thức quản lý khóa chính (là ISAKMP và OAKLEY). Một tổng quan cấp cao về cấu trúc bảo mật IP được trình bầy ở hình bên. Tóm lại, một module IPSec là một module (phần cứng hoặc phần mềm) vốn thực thi cấu trúc IPsec và các giao thức của nó. Mục đích chính của một monitor IPsec là bảo vệ lưu lượng IP vốn được gửi đến hoặc được nhận từ một module IPsec khác. Về cơ bản điều này có nghĩa theo các dịch vụ bảo mật và cơ chế bảo mật được xác định trong liên kết bảo mật (SA) tương ứng IPsec là sử dụng những SA này. Ở một trong hai phía của một SA, các tham số bảo mật của SA đó (ví dụ thuật toán mã hóa và khóa session) được lưu trữ trong một cơ sở dữ liệu liên kết bảo mật (SAD). Một SA và mục tương ứng trong SAD được tạo index với ba giá trị: - Một index các tham số bảo mật (SPI); - Một địa chỉ đích IP; - Một bộ nhận dạng giao thức bảo mật (là AH hoặc ESP) Hình 2.1: Tổng quan cấp cao về cấu trúc bảo mật IP Cấu trúc IPsec cho phép người dùng hoặc nhà quản trị hệ thống kiểm soát độ chi tiết hóa mà tại đó các dịch vụ bảo mật được cung cấp. Trong chuỗi RFC đầu tiên, ba phương pháp hướng đến cách cung cấp cho các SA những tham số bảo mật và các khóa mật mã được phân biệt: Trang 9
  10. Giáo trình môn An Toàn Mạng - Việc tạo khóa định hướng host yêu cầu tất cả người dùng trên host chi sẻ cùng một khóa session để sử dụng trên lưu lượng được chỉ định cho tất cả người dùng trên một host khác. - Việc tạo khóa định hướng người dùng cho phép mỗi người dùng trên một host có một hoặc nhiều khóa session duy nhất cho lưu lượng được chỉ định cho một host khác (chẳng hạn như các khóa session không được chia sẻ với những người dùng khác.) - Việc tạo khóa session duy nhất có một khóa session được gán vào một địa chỉ IP, giao thức lớp trên và bội ba số cổng (trong trường hợp này, session FTP của một người dùng có thể sử dụng một khóa khác với session Telnet của cùng một người dùng). SPD của một phần thực thi IPsec xác định tại một mức trừu tượng cao các yêu cầu bảo mật cho các gói IP vốn được chuyển tiếp hoặc được định tuyến. Do đó, SPD được thiết lập và được duy trì bởi một người dùng hoặc nhà quản trị hệ thống (hoặc bởi một trình ứng dụng hoạt động trong một giới hạn được thiết lập bởi một trong số họ). Một trong số SPD sẽ xác định lưu lượng cần được bảo vệ, cách bảo vệ nó và sự bảo vệ được chia sẻ với ai. Đối với mỗi gói IP vào hoặc ra phần thực thi IPsec, SPD phải được tham khảo để ứng dụng các dịch vụ bảo mật IPsec. Cụ thể hơn, một mục SPD có thể xác định một trong ba hoạt động để thực hiện đối với một sự tương hợp lưu lượng: + Loại bỏ: Một gói không được cho vào hoặc cho ra. + Bỏ qua: Một gói được cho vào và cho ra mà không áp dụng dịch vụ bảo mật Ipsec + Áp dụng: Một gói chỉ được cho vào hoặc cho ra sau khi đã áp dụng các dịch vụ bảo mật Ipsec. Do đó, SPD cung cấp sự áp đặt kiểm soát truy cập tương đương như một bộ lọc gói (tĩnh) Nói chung, các giao thức AH và ESP phần lớn độc lập với SA đi kèm và các kỹ thuật và giao thức quản lý khóa, mặc dù những kỹ thuật và giao thức có liên quan ảnh hưởng đến một số dịch vụ bảo mật được cung cấp bởi các giao thức. Trang 10
  11. Giáo trình môn An Toàn Mạng Chương 3 IPSEC 1. Giới thiệu: IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết nối an toàn dựa trên IP. Giao thức này hoạt động ở tầng ba (Network) trong mô hình OSI do đó nó an toàn và tiện lợi hơn các giao thức an toàn khác ở tầng Application như SSL. IPSec cũng là một thành phần quan trọng hỗ trợ giao thức L2TP trong công nghệ mạng riêng ảo VPN (Virtual Private Network). Để sử dụng IPSec bạn phải tạo ra các qui tắc (rule), một qui tắc IPSec là sự kết hợp giữa hai thành phần là các bộ lọc IPSec (filter) và các tác động IPSec (action). 2. Các tác động bảo mật. IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật, các tác động bảo mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thông tin giữa các máy được an toàn. Danh sách các tác động bảo mật trong hệ thống Windows Server 2003 như sau:  Block transmissons: có chức năng ngăn chận những gói dữ liệu được truyền, ví dụ bạn muốn IPSec ngăn chận dữ liệu truyền từ máy A đến máy B, thì đơn giản là chương trình IPSec trên máy B loại bỏ mọi dữ liệu truyền đến từ máy A.  Encrypt transmissions: có chức năng mã hóa những gói dữ liệu được truyền, ví dụ chúng ta trên đường truyền nối kết mạng giữa hai máy A và B. Cho nên chúng ta cần cấu hình cho IPSec sử dụng giao thức ESP (encapsulating security payload) để mã hóa dữ liệu cần truyền trước khi đưa lên mạng. Lúc này những người xem trộm sẽ thấy những dòng byte ngẫu nhiên và không hiểu được dữ liệu thật. Do IPSec hoạt động ở tầng Network nên hầu như việc mã hóa được trong suốt đối với người dùng, người dùng có thể gởi mail, truyền file hay telnet như bình thường.  Sign transmissions: có chức năng ký tên vào các gói dữ liệu truyền, nhằm tránh những kẻ tấn công trên mạng giả dạng những gói dữ liệu được truyền từ những máy mà bạn đã thiết lập quan hệ tin cậy, kiểu tấn công này còn có cái tên là main-in-the- middle. IPSec cho phép bạn chống lại điều này bằng một giao thức authentication header. Giao thức này là phương pháp ký tên số hóa (digitally signing) vào các gói dữ liệu trước khi truyền, nó chỉ ngăn ngừa được giả mạo và sai lệnh thông tin chứ không ngăn được sự nghe trộm thông tin. Nguyên lý hoạt động của phương pháp này là hệ thống sẽ thêm một bit vào cuối mỗi gói dữ liệu truyền qua mạng, từ đó chúng ta có thể kiểm tra xem dữ liệu có bị thay đổi khi truyền hay không.  Permit transmissions: có chức năng là cho phép dữ liệu được truyền qua, chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều khác. Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”. Chú ý: đối với hai tác động bảo mật theo phương pháp ký tên và mã hóa thì hệ thống còn yêu cầu bạn chỉ ra IPSec dùng phương pháp chứng thực nào. Microsoft hỗ trợ ba phương pháp chứng thực: Kerberos, chứng chỉ (certificate) hoặc một khóa dựa trên sự thỏa thuận (agreed-upon key). Phương pháp Kerberos chỉ áp dụng được giữa các máy trong cùng một miền Active Directory hoặc trong những miền Active Directory có ủy quyền cho nhau. Phương pháp dùng các chứng chỉ cho phép bạn sử dụng các chứng chỉ PKI (public key infrastructure) để nhận diện một máy. Phương pháp dùng chìa khóa chia sẻ trước thì cho phép bạn dùng một chuỗi ký tự văn bản thông thường làm chìa khóa (key). 3. Các bộ lọc IPSec. Để IPSec hoạt động linh hoạt hơn, Microsoft đưa thêm khái niệm bộ lọc (filter) IPSec, bộ lọc có tác dụng thống kê các điều kiện để qui tắc hoạt động. Đồng thời chúng cũng giới Trang 11
  12. Giáo trình môn An Toàn Mạng hạn tầm tác dụng của các tác động bảo mật trên một phạm vị máy tính nào đó hay một số dịch vụ nào đó. Bộ lọc IPSec chủ yếu dự trên các yếu tố sau:  Địa chỉ IP, subnet hoặc tên DNS của máy nguồn.  Địa chỉ IP, subnet hoặc tên DNS của máy đích.  Theo số hiệu cổng (port) và kiển cổng (TCP, UDP, ICMP…) 4. Ví dụ: Bảo vệ thư mục dùng chung với IPSec Giải pháp VLAN (Virtual LAN) thường được triển khai để cách ly các máy tính nối mạng nhưng trong thực tế nhiều đơn vị không có điều kiện trang bị switch hỗ trợ VLAN. Trong trường hợp này, dùng IPSec là giải pháp hữu hiệu để bảo vệ tài nguyên mạng chẳng hạn như thư mục dùng chung. Trong mô hình ví dụ có 2 nhóm máy tính, gọi là nhóm 1 và nhóm 2. Ta sẽ thực hiện cấu hình IPSec để chỉ có các máy tính ở trong cùng 1 nhóm có thể truy cập thư mục dùng chung của nhau. Để truy cập thư mục dùng chung, hệ điều hành XP/2000/2003 dùng giao thức TCP port 139 và port 445. Như vậy ta sẽ tạo 1 policy để lọc các cổng này. 1. Tạo mới và cấu hình IP Secutity Policy cho máy tính đầu tiên Bước 1: Chọn Start, Run và gõ MMC, nhấn Enter để mở trình Microsoft Manangement Console. Bước 2: Trong cửa sổ Console, chọn File, rồi chọn Add/Remove Snap-in. Bước 3: Trong hộp thoại mới mở, nhấn Add. Trong hộp thoại Add Stanalone Snap-in ta chọn IP Security Policy Management rồi nhấn Add. Bước 4: Trong hộp thoại Select Computer or Domain ta chọn Local computer rồi nhấn Finish. Trang 12
  13. Giáo trình môn An Toàn Mạng Bước 5: Tiếp theo nhấn Finish -> Close, rồi OK để trở về màn hình của MMC Bước 6: Nhấn phải chuột vào mục IP Security Policies on Local Computer và chọn Create IP Security Policy. Nhấn Next để tiếp tục. Bước 7: Tiếp theo, gõ tên của Policy cần tạo vào ô name, ví dụ "Lọc cổng 445 và 139". Nhấn Next để tiếp tục. Trang 13
  14. Giáo trình môn An Toàn Mạng Bước 8: Chọn Activate the default response rule, rồi nhấn Next. Tiếp theo, tại Default Response Rule Authentication Method, bạn chọn Use this string to protect the key exchange (preshared key) và gõ vào "1234". Nhấn Next để tiếp tục. Bước 9: Chọn Edit properties, rồi nhấn Finish để hoàn tất. Trang 14
  15. Giáo trình môn An Toàn Mạng Bước 10: Trong hộp thoại "Lọc cổng 445 và 139", bạn bỏ mục chọn ở phần và nhấn Add. Tiếp tục, bạn chọn Next và chọn This rule does not specify a tunnel. Nhấn Next, chọn All Connection, rồi nhấn Next; bạn chọn Use this string to protect the key exchange (preshared key) và gõ vào "1234". Nhấn Next để tiếp tục. Trang 15
  16. Giáo trình môn An Toàn Mạng Bước 11: Trong hộp thoại IP Filter List, bạn chọn Add. Tại mục name, bạn gõ vào tên của danh sách, ví dụ "Cổng 445, 139 ra - vào" (nên đặt tên cho dễ nhớ). Nhấn Add, rồi Next -> Next để tiếp tục. Bước 12: Trong hộp thoại IP Filter Wizard, bạn gõ mô tả vào ô Description, ví dụ "445 ra". Nhấn Next để tiếp tục. Bước 13: - Tại mục IP Traffic Source Address bạn chọn My IP Address. Nhấn Next để tiếp tục. - Tại mục IP Traffic Destination Address bạn chọn Any IP Address. Nhấn Next để tiếp tục. - Tại mục Select a protocol type bạn chọn TCP. Nhấn Next để tiếp tục. - Tại mục hộp thoại IP Protocol Port bạn chọn To this port và gõ vào giá trị 445.Nhấn Next rồi Finish để hoàn tất. Trang 16
  17. Giáo trình môn An Toàn Mạng Bước 14: Lặp lại từ bước 12 đến bước 13 thêm 3 lần nữa với các tham số như sau: Lần 1: - Descripton : Cổng 445 vào - Source Address : My IP Address - Destination Address: Any IP Address - Protocol Type: TCP - IP Protocol Port: Chọn From this port giá trị 445 Lần 2: - Descripton: Cổng 139 ra - Source Address: My IP Address - Destination Address: Any IP Address - Protocol Type: TCP - IP Protocol Port: Chọn To this port giá trị 139 Lần 3: - Descripton: Cổng 139 vào - Source Address: My IP Address - Destination Address: Any IP Address - Protocol Type: TCP - IP Protocol Port: Chọn From this port giá trị 139 Kết thúc ta thu được kết quả như hình. Nhấn OK để tiếp tục. Bước 15: Trong hộp thoại Security Rile Wizard, ta chọn mục Cổng 445, 139 ra - vào. Nhấn Next để tiếp tục. Bước 16: Tại hộp thoại Filter Action ta chọn mục Require Security. Nhấn Edit để thay đổi tham số của Filter Action. Trang 17
  18. Giáo trình môn An Toàn Mạng Bước 17: Trong hộp thoại Require Security Properties, ta chọn mục Use session key perfect forward secrecy (PFS). Nhấn OK để quay trở lại rồi nhấn Next để tiếp tục. Bước 18: Tiếp theo trong hộp thoại Authentication Method, bạn chọn Use this string to protect the key exchange (preshared key) và gõ vào "1234". Trang 18
  19. Giáo trình môn An Toàn Mạng Bạn có thể dùng chuỗi khác phức tạp hơn, tuy nhiên phải nhớ rằng các máy tính trong cùng 1 nhóm sẽ có preshared key giống nhau. Tại hộp thoại này còn có 2 mục trên chúng ta không chọn có ý nghĩa như sau: - Active Directory default (Kerberos V5 protocol): Chỉ chọn khi máy tính của bạn là thành viên được đăng nhập vào máy chủ (Windows Server 2000/2003) có cài Active Directory (hay còn gọi tắt là AD). Kerberos V5 là giao thức được mã hóa dữ liệu sử dụng giữa các user nằm trong AD. - Use a certificate from this certification authority (CA): Sử dụng phương thức xác thực dựa trên Certificate Authority (CA). Muốn dùng phương thức này, bạn cần kết nối đến một máy chủ có cài Certificate Service để thực hiện yêu cầu và cài đặt CA dùng cho IPSec. Nhấn Next tiếp tục, rồi Finish để trở về. Bước 19: Trong hộp thoại Edit Rule Properties bạn chọn mục "Cổng 445, 139 ra - vào" và nhấn Apply rồi OK để trở về. Bước 20: Nhấn phải chuột vào mục IP Security Policy vừa tạo (Lọc cổng 445 và 139) và chọn Assign. 2. Sao chép IP Security cho máy tiếp theo Ta có thể tiến hành 20 bước trên cho máy 2, rồi máy 3. Tuy nhiên, như vậy sẽ rất mất thời gian và có thể xảy ra nhầm lẫn dẫn đến không thể liên lạc được với nhau. Ta dùng công cụ netsh để thực hiện thao tác Export IPsec Policy để xuất policy ra 1 file, sau đó nhập (Import) file này vào máy tính khác. Cách thực hiện như sau: Bước 1: Chuẩn bị Chọn Start, Run và gõ cmd và ấn Enter. Tại dấu nhắc của DOS ta gõ lệnh sau để tạo ra thư mục Ipsec ở ổ đĩa C: md C:\Ipsec (tạo thư mục Ipsec ở ổ đĩa C) Bước 2: Xuất IPSec policy ra file có tên Loc445va139.ipsec Gõ lệnh sau: netsh ipsec static exportpolicy file = c:\Ipsec\Loc445va139 (phần mở rộng ipsec do netsh tự thêm vào) Bước 3: Nhập IPSec Policy từ file Loc445va139.ipsec Chép file Loc445va139.ipsec vào thư mục C:\IPsec ở máy 2 và gõ lệnh sau: netsh ipsec static importpolicy file = c:\Ipsec\Loc445va139.ipsec Tại máy 2, tiếp tục các bước từ 1 đến 5 ở mục 1, để có được màn hình quản lý IP Security Management. Nhấn phải chuột vào mục IP Security Policy (Lọc cổng 445 và 139) và chọn Assign. Tiếp tục bước 3 với máy 3. 3. Thực hiện với nhóm 2 Đối với máy 4, 5 trong nhóm 2, ta tiến hành tương tự với nhóm 1 như đã trình bày ở trên. Tuy nhiên giá trị preshared key phải khác là giá trị của nhóm 1 Trang 19
  20. Giáo trình môn An Toàn Mạng Chương 4 NAT 1. Giới Thiệu: Như đã được biết, địa chỉ IP được chia thành hai loại: địa chỉ private chỉ được sử dụng trong mạng LAN, không được hiểu khi đi ra ngoài Internet, và địa chỉ Public được sử dụng trong mạng Internet. Như vậy khi một gói tin được gửi đi từ trong mạng LAN của bạn ra ngoài Internet cần phải có một cơ cấu phiên dịch địa chỉ Private ra địa chỉ Public để có thể được vận chuyển trong mạng. Đây chính là chức năng của Network Address Translation (NAT). 2. Thiết lập NAT trên Windows Server2003 NAT có thể hoạt động theo các cách sau: Static NAT: Một địa chỉ private được map với một địa chỉ public Dynamic NAT: Một địa chỉ private được map với một địa chỉ public từ một nhóm các dịa chỉ public. Ví dụ 1 máy tính trong một mạng LAN có địa chỉ 192.168.10.121 được “phiên dịch” thành 1 địa chỉ public trong dải 212.156.98.100 đến 212.156.98.150 khi gửi tin ra ngoài Internet. Overloading: Một hình thức của dynamic NAT, nó map nhiều địa chỉ Private đến một địa chỉ Public, việc phân biệt các địa chỉ Private này được dựa theo port, ví dụ IP address 192.168.10.121 sẽ được map đến ip address 212.56.128.122:port_number (212.56.128.122:1080). NAT làm việc như thế nào? Để thực hiện được công việc của mình, NAT duy trì một bảng thông tin về mỗi gói tin được gửi qua. Khi một PC trên mạng kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay đổi và thay thế bằng địa chỉ Public mà đã được cấu hình sẵn trên NAT server , sau khi có gói tin trở về NAT dựa vào bảng record mà nó đã lưu về các gói tin, thay đổi địa chỉ IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi. Thông qua cơ chế đó quản trị mạng có khả năng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể. Điều này có nghĩa NAT cũng có chức năng như một fire wall cơ bản. 2.1 Setup NAT Để setup NAT bước đầu tiên bạn phải mở Configure your server wizard trong administrative tool và lựa chọn chức năng RRAS/VPN Server->next-> RRAS setup winrad . Lựa chọn như trong hình ở dưới: Trang 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2