intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Giáo trình Quản trị mạng nâng cao: Phần 1 - Trường ĐH Công nghiệp Quảng Ninh

Chia sẻ: Dương Hàn Thiên Băng | Ngày: | Loại File: PDF | Số trang:55

Thêm vào BST
Báo xấu
18
lượt xem 9
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Phần 1 của giáo trình "Quản trị mạng nâng cao" cung cấp cho học viên những nội dung về: tổng quan về bảo mật mạng và các thiết bị hạ tầng mạng; tường lửa - Firewall; triển khai một số tính năng của ASA trong hệ thống mạng;... Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Giáo trình Quản trị mạng nâng cao: Phần 1 - Trường ĐH Công nghiệp Quảng Ninh

  1. BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP QUẢNG NINH GIÁO TRÌNH QUẢN TRỊ MẠNG NÂNG CAO DÙNG CHO BẬC ĐẠI HỌC (LƯU HÀNH NỘI BỘ) QUẢNG NINH - 2020
  2. MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 4 1.1 Tổng quan về bảo mật mạng ................................................................................... 4 1.1.1 Nguy cơ bảo mật trong mạng thông tin ............................................................ 4 1.1.2 Mục tiêu bảo mật .............................................................................................. 4 1.2 Tổng quan về AAA ................................................................................................. 5 1.2.1 Điều khiển truy nhập – Access Control ............................................................ 6 1.2.2 Xác thực ............................................................................................................ 7 1.2.3 Kiểm tra quản lý – Auditing ........................................................................... 17 1.3 Các thiết bị hạ tầng mạng ...................................................................................... 18 1.3.1 Tường lửa - Firewall ....................................................................................... 18 1.2.2 Bộ định tuyến – Router ................................................................................... 19 1.2.3 Bộ chuyển mạch – Switch .............................................................................. 19 1.2.4 Bộ cân bằng tải ............................................................................................... 19 1.2.5 Proxies ............................................................................................................ 19 1.2.6 Cổng bảo vệ Web (Web Security Gateway) ................................................... 20 1.2.7 Hệ thống phát hiện xâm nhập ......................................................................... 20 CHƯƠNG 2: TƯỜNG LỬA - FIREWALL .............................................................................. 21 2.1. Tổng quan về Firewall ........................................................................................ 21 2.1.1 Khái niệm về Firewall .................................................................................... 21 2.1.2. Mục đích của Firewall ................................................................................... 21 2.1.3. Phân loại FIREWALL ................................................................................... 23 2.1.4. Mô hình kiến trúc của FIREWALL ............................................................... 27 2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables................................................ 33 2.2.1 ISA 2006 ......................................................................................................... 33 1
  3. 2.2.2 TMG 2010....................................................................................................... 39 2.2.3 Iptables ............................................................................................................ 42 2.3 Tường lửa cứng ASA ........................................................................................ 45 2.3.1 Giới thiệu về ASA ...................................................................................... 45 2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng...................... 46 CHƯƠNG 3: CÔNG NGHỆ VPN ............................................................................................. 55 3.1. Tổng quan về VPN ............................................................................................... 55 3.1.1 Khái niệm ........................................................................................................ 55 3.1.2 Lợi ích của VPN ............................................................................................. 56 3.1.3 Chức năng của VPN ....................................................................................... 56 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN ............................................... 57 3.1.5 Phân loại VPN ............................................................................................ 57 3.2. Một số giao thức mã hóa trong VPN ................................................................... 59 3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) ............................. 60 3.2.2 Giao thức đường hầm điểm điểm - PPTP .......................................................... 62 3.2.2.1 PPP và PPTP ................................................................................................ 63 3.2.2.2 Cấu trúc gói của PPTP ................................................................................. 64 3.2.2.3 Đường hầm .................................................................................................. 67 3.2.3 Giao thức đường hầm lớp 2 – L2TP .............................................................. 68 3.2.4 Giao thức IP Sec ......................................................................................... 73 CHƯƠNG 4: HỆ THỐNG MAIL SERVER ............................................................................. 84 4.1. Tổng quan về hệ thống Email ........................................................................... 84 4.1.1 Khái niệm và các thành phần của Email ......................................................... 84 4.1.2 Một số giao thức trong Email ......................................................................... 88 4.2 MS.Exchange Server 2010 .................................................................................... 92 4.2.1. Giới thiệu về MS.Exchange Server 2010 ...................................................... 92 2
  4. 4.2.2 Một số đặc điểm của MS.Exchange 2010 ...................................................... 92 4.3 MailServer Mdaemon............................................................................................ 96 CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG ....................................................................... 98 5.1 Tổng quan về giám sát mạng ................................................................................ 98 5.1.1 Khái niệm ........................................................................................................ 98 5.1.2 Các lĩnh vực cần phải giám sát trong hệ thống mạng ..................................... 99 5.2 Giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng ................................................................................................................................... 101 5.2.1 Giao thức quản lý mạng đơn giản – SNMP .................................................. 101 5.2.2 Một số phần mềm giám sát mạng thường gặp .............................................. 106 3
  5. CHƯƠNG I: TỔ NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG MỤC TIÊU Học xong chương này sinh viên có thể: o Trình bày được một số nguy cơ và mục tiêu trong bảo mật hệ thống công nghệ thông tin. o Hiểu và giải thích được một số phương thức chứng thực o Trình bày và phân tích được ba yếu tố AAA trong bảo mật hệ thống o Phân biệt được các thiết bị hạ tầng mạng thường gặp trong một hệ thống mạng. o Rèn luyện tính tư duy logic. 1.1 Tổng quan về bảo mật mạng 1.1.1 Nguy cơ bảo mật trong mạng thông tin Nguy cơ bảo mật (Threat) - là một hoặc một chuỗi các sự kiện hoặc hành động nào đó có thể gây hại hoặc ảnh hưởng không tốt cho các mục tiêu bảo mật. Thể hiện thực tế của nguy cơ bảo mật là một cuộc tấn công vào mạng. Lỗ hổng bảo mật (Vulnerability Security) – Là các “lỗi” của phần mềm hoặc hệ thống mà có thể bị kẻ tấn công lợi dụng, khai thác và ảnh hưởng tới an toàn thông tin của hệ thống. 1.1.2 Mục tiêu bảo mật Mục tiêu bảo mật hay còn gọi là đối tượng bảo mật. Được định nghĩa tuỳ theo môi trường ứng dụng hoặc kỹ thuật thực hiện. 1.1.2.1 Theo môi trường ứng dụng • Các tổ chức tài chính Chống nguy cơ làm sai lệch và thay đổi tình cờ trong các giao dịch tài chính. Xác nhận tính hợp pháp của các giao dịch của khách hàng. Bảo mật cho các số nhận dạng cá nhân (PIN) . Đảm bảo tính riêng tư cho khách hàng trong giao dịch. • Thương mại điện tử Đảm bảo tính toàn vẹn trong giao dịch. Đảm bảo tính riêng tư cho doanh nghiệp. Cung cấp chữ ký điện tử (electronic signature) cho các giao dịch điện tử. Đảm bảo tính riêng tư, bí mật đối với các thông tin của khách hàng. • Chính phủ Chống nguy cơ rò rỉ các thông tin nhạy cảm. Cung cấp chữ ký điện tử cho các tài liệu của chính phủ. • Các nhà cung cấp dịch vụ viễn thông công cộng 4
  6. Giới hạn quyền truy cập vào các chức năng quản trị chỉ dành cho những người có đủ thẩm quyền. Đảm bảo dịch vụ luôn sẵn sàng. Bảo vệ tính riêng tư cho các thuê bao. • Các mạng riêng và mạng doanh nghiệp Bảo vệ tính riêng tư cho doanh nghiệp và cá nhân. Đảm bảo khả năng xác nhận bản tin. • Tất cả các mạng Bảo vệ dữ liệu chống lại sự xâm nhập bất hợp pháp. 1.1.2.2 Theo kỹ thuật thực hiện • Tính bí mật (confidentiality) Đảm bảo chỉ những người có thẩm quyền mới xem được dữ liệu khi truyền đi hoặc lưu giữ. • Tính toàn vẹn của dữ liệu (data integrity) Phát hiện được bất cứ sự thay đổi nào trong dữ liệu trong khi truyền hoặc lưu giữ. Xác nhận được ai là người tạo ra hoặc thay đổi dữ liệu. • Tính kế toán (accountability) Xác định trách nhiệm với bất kỳ sự kiện thông tin nào. • Tính sẵn sàng (availability) Các dịch vụ phải luôn sẵn sàng đáp ứng nhu cầu sử dụng của người dùng. • Truy cập có điều khiển (controlled access) Chỉ những thực thể có đủ thẩm quyền mới có thể truy cập các dịch vụ hoặc thông tin 1.2 Tổng quan về AAA AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm tra quản lý– Auditing ) là một nhóm các quá trình được sử dụng để bảo vệ dữ liệu, thiết bị, tính bí mật của các thuộc tính và thông tin. AAA cung cấp: - Tính bí mật (Confidentiality): Một trong những mục tiêu quan trọng nhất của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu. Điều này có nghĩa là dữ liệu hay thông tin của người nào thì chỉ người đó được biết và những người khác không được quyền can thiệp vào. Trong thực tế, ở những khu vực riêng của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận sự miễn vào” cũng là một hình thức bảo vệ tính riêng tư. Đối với dữ liệu truyền để bảo vệ tính riêng tư (Confidentiality) thì dữ liệu thường được mã hóa hay sử dụng các giao thức truyền thông an tòan như SSH, SSL… 5
  7. Hình 1.1: Mục tiêu của bảo mật hệ thống - Tính toàn vẹn (Integrity): Mục tiêu thứ hai trong bảo mật thông tin là bảo vệ tính toàn vẹn cho dữ liệu. Nhằm bảo đảm khi dữ liệu truyền đi không bị thay đổi bởi một tác nhân khác, ví dụ: khi một email quan trọng được gởi đi thì thường được áp dụng các thuật toán bảo vệ tính tòan vẹn như chữ ký số nhằm ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên. - Tính sẵn dùng (Availability) : Các nội dung hay dữ liệu phải luôn sẵn sàng để người dùng có thể truy cập và sử dụng nếu được phép. Ví dụ đối với một trang Web phải luôn đảm bảo hoạt đông 24h/1ngày và 7ngày /1tuần để cho người dùng có thể truy cập bất cứ lúc nào. Để đạt được mục tiêu bảo mật AAA đối với dữ liệu và tài nguyên chúng ta cần phải thực hiện ba công việc chính sau đây: 1.2.1 Điều khiển truy nhập – Access Control Quá trình điều khiển truy cập là rất quan trọng. Điều khiển truy cập định nghĩa cách thức người dùng và hệ thống liên lạc như thế nào và theo cách nào. Hay nói cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ thống, bao gồm dữ liệu, và do đó bảo vệ thông tin khỏi những truy cập trái phép. Điều khiển truy cập bao gồm 3 loại sau:  Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) là một mô hình tĩnh sử dụng để thiết lập, xác định trước những quyền truy cập cho các tệp trên hệ thống. Người quản trị hệ thống thiết lập quyền truy cập với những tham số và kết hợp chúng với một tài khoản, các tệp hay các tài nguyên của hệ thống. MAC sử dụng các nhãn để xác định mức độ quan trọng và áp dụng cho các đối tượng. Khi một người dùng cố gắng truy cập vào một đối tượng, nhãn sẽ được kiểm tra để xác định truy cập được phép xảy ra hay bị từ chối. Khi sử dụng phương thức điều khiển truy cập này, tất cả các đối tượng đều phải có một nhãn để xác định quyền truy cập.  Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động 6
  8. dựa trên định danh của người dùng, trong mô hình này người dùng được gán quyền truy cập với các đối tượng như file, folder thông qua danh sách truy cập (ACL), dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng (creator).  Điều khiển truy cập dựa trên vai trò: Role – Based Access Control (RBAC) : RBAC họat động dựa trên công việc của người dùng. Người dùng được cấp quyền tùy theo vai trò và công việc. đây là mô hình rất thích hợp cho các môi trường làm việc mà nhân sự có nhiều thay đổi. 1.2.2 Xác thực Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định được ai đang truy cập vào hệ thống, và đó có là một người sử dụng hợp lệ hay không. Yếu tố xác thực là phần thông tin dùng để xác thực hoặc xác minh nhân dạng (identity) của một người. Hệ thống xác thực hay phương thức xác thực dựa trên năm yếu tố sau:  Những gì bạn biết. Ví dụ mật khẩu, mã PIN (Personal Identification Number).  Những gì bạn có. Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ thông minh, hay các thiết bị dùng để định danh .  Những gì là chính bạn. Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA.  Những gì bạn làm. Ví dụ: một hành động hay chuỗi hành động cần phải thực hiện để hoàn thành xác thực.  Một nơi nào đó bạn ở. Ví dụ như dựa vào vị trí đang ở của bạn (hiện nay nhiều hệ thống sử dụng tính toán di động, nên yếu tố xác thực này ít được sử dụng). Trên thực tế, nếu chỉ dùng một yếu tố để xác thực, độ an toàn sẽ không cao bằng kết hợp nhiều yếu tố với nhau. Cũng giống như căn nhà, cửa chính nên được khóa bằng nhiều ổ khóa. Nếu lỡ may chúng ta đánh rơi một chiếc chìa khóa, hay kẻ trộm có thể bẻ gãy một ổ khóa, thì vẫn còn đó những ổ khóa khác, đủ làm nản lòng hoặc chí ít là làm mất thời gian của kẻ trộm hơn khi phá cửa. 1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol) Phương pháp xác thực PAP dựa trên hai yếu tố chính: tên đăng nhập/mật khẩu(username/password) là cách thông dụng nhất để kiểm tra một người dùng có được quyền đăng nhập hoặc có quyền sử dụng tài nguyên hoặc hệ thống hay không. Các ứng dụng thực tế của cơ chế này có rất nhiều như việc đăng nhập máy tính trên màn hình logon, đăng nhập hộp thư điện tử… 7
  9. Hình 1.2: Xác thực sử dụng PAP Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của họ sẽ được chuyển đến một cơ sở dữ liệu để tìm và so sánh vơi các bản ghi (record) trên hệ thống, nếu có sự trùng lặp xảy ra thì đây là người dùng hợp lệ và được đăng nhập hệ thống. Trong trường hợp ngược lạ sẽ bị hệ thống từ chối cho phép truy cập. Những thuận lợi của phương pháp này là cơ chế họat động đơn giản, dễ ứng dụng. Nhưng kém an toàn vì các thông tin như Username & Password được gởi đi dưới dạng văn bản thông thường (clear text) theo các giao thức không mã hóa như Telnet, FTP, HTTP, POP... dễ dàng bị bắt lấy (bằng việc sử dụng các phần mềm sniffer như Cain, Ethercap, IMSniff, Password ACE Sniff....) và sẽ bị xem trộm. 1.2.2.2 Kerberos Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa (Cleartext) là thông tin nhạy cảm (username/password) dễ dàng bị đánh cắp bằng các phương pháp nghe lén (Sniffer), tấn công phát lại (Replay attack) hay người đàn ông ở giữa (Man in the middle), vì vậy một hệ thống xác thực mạnh mẽ và an toàn đã được nghiên cứu bởi học viện MIT(Massachusetts Institute of Technology) trong dự án Athena và ứng dụng thành công là Kerberos trên các hệ thống Windows 2000/2003/2008/2012, Linux, Unix. Mặc dù đây là một hệ thống họat động độc lập không phụ thuộc vào nền của hệ thống nhưng cần có những sự tinh chỉnh riêng để có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ chẳng hạn SAMBA. Với đặc tính này, người dùng chỉ cần chứng thực một lần với Trung tâm phân phối khóa (KDC – Key Distribution Center ) và sau đó có thể sử dụng tất cả các dịch vụ khác đã được tin cậy (trust) theo những quyền hạn thích hợp mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà mình sử dụng. Ví dụ trong mô hình Windows Server 2008 Active Directory, sau khi tham gia và đăng nhập domain các domain user có thể sử dụng các dịch vụ chia sẻ trên 8
  10. mạng như File hay Print Server mà không cần phải cung cấp tên đăng nhập và mật khẩu (username và password) khi kết nối đến các máy chủ này như khi họat động trong môi trường WorkGroup. Đây là một ưu điểm lớn của việc ứng dụng Kerberos nói chúng hay mô hình mạng sử dụng Active Directory nói riêng. Các thành phần chính và cơ bản của một hệ thống kerberos: Client: Người dùng (user), dịch vụ (service), máy (machine) KDC : Trung tâm phân phối khóa (Key Distribution Center) Máy chủ tài nguyên hoặc máy chủ lưu trữ. Hình 1.3: Các thành phần chính của hệ thống chứng thực Kerberos Để hiểu rõ về cơ chế làm việc của kerberos, chúng ta hãy xét một phiên chứng thực khi một người dùng đăng nhập vào hệ thống để sử dụng các dịch vụ của hệ thống đó. Bao gồm các bước sau đây: 1. Subject (client –máy khách hay còn gọi là người dùng) cung cấp thông tin đăng nhập. Ví dụ: username và password. 2. Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC. 3. KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket (TGT— là giá trị hash của password do người dùng (subject) cung cấp với giá trị timestamp chỉ định thời gian sống (lifetime) của phiên truy cập. Giá trị TGT này sẽ được mã hóa và gửi về cho client). 9
  11. 4. Client nhận TGT. Tại thời điểm này, người dùng (subject) xem như đã được chứng thực trong mô hình Kerberos. 5. Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu Service Ticket (ST) sẽ được gởi đến KDC. 6. KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ KDC sẽ cấp ST cho client, giá trị ST này cũng kèm theo một timestame quy định thời gian sử dụng 7. Client nhận ST từ KDC. 8. Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ printer server. 9. Network server (ex. Print server) sẽ xác nhận ST. Nếu hợp lệ, một kênh truyền thông sẽ được khởi tạo với client. Tại thời điểm này Kerberos sẽ không can thiệp vào quá trình họat động của client và server nữa. Hình 1.4: Quá trình chứng thực bằng kerberos 10
  12. Với cơ chế quản lý chứng thực tập trung và có khả năng mở rộng, Kerberos mang lại hiệu quả cao cho các mô hình mạng lớn. Trên hệ thống Windows OS, các bạn có thể áp dụng Kerberos cho tổ chức của mình bằng cách triển khai hệ thống Active Directory. 1.2.2.3 Challenge Handshake Authentication Protocol (CHAP) CHAP là giao thức chứng thực được dùng chủ yếu trong các kết nối dial -up (thường là PPP) với mục đích cung cấp một cơ chế truyền thông an tòan cho quá trình đăng nhập của người dùng. CHAP sử dụng one-way hash để bảo vệ passwords và tiến hành xác thực lại (reauthenticates)với các client một cách định kỳ. Hình 1.5: Mô hình xác thực CHAP Để hổ trợ quá trình đăng nhập và giúp cho client/server có thể xác thực lẫn nhau CHAP khởi tạo một tiến trình xác thực của riêng nó theo trình tư như mô tả dưới đây: 1. Sau khi người dùng nhập các thông tin đăng nhập và gởi đến server (client / server đều sử dụng CHAP), CHAP sẽ tiến hành chức năng one-way hash (MD5, SHA1) dựa trên password được cung cấp của người dùng (subject). Sau đó sẽ chuyển username và giá trị hash đến máy chủ xác thưc(authentication server). 2. Authentication server so sánh username với cơ sở dữ liệu chứa tài khoản cùng với giá trị hash để xác nhận người dùng có hợp lệ hay không. 3. Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với cơ sở dữ liệu trên server thì server sẽ truyền một chuổi thử thách(challenge) đến client. 4. Client đáp ứng dựa trên chalenge string và phản hồi đền server. 5. Server phản hồi lại client. 6. Server so sánh các đáp ứng mà nó nhận từ client. 11
  13. 7. Nếu tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép truyền thông với server Hình 1.6: Minh họa quá trình xác thực của CHAP Một khi client đã được chứng thực, CHAP sẽ gởi các chuổi ký tự thử thách với thời gian ngẫu nhiên và client có nhiệm vụ phản hồi lại các chuỗi này với các đáp ứng thích hợp nếu không kết nối sẽ tự động ngắt . Việc kiểm tra kết nối thông qua các challenge string này giúp cho quá trình truyền thông không bị ảnh hưởng bởi các dạng tấn công cướp phiên(Session Hijacking). 1.2.2.4 Thẻ bài – Token Token hay thẻ bài là một thành phần vật lý như thẻ thông minh(smartcard) lưu giữ các thông tin xác thực của người dùng. Trong các thẻ bài này sẽ chứa các thông tin như mã PIN của người dùng, thông tin và mật mã đăng nhập. Chứng thực bằng thẻ bài được cung cấp bởi phần cứng hoặc phần mềm. Quá trình chứng thực khi sử dụng thẻ bài bao gồm một số bước:  Khởi đầu, tại một thời điểm bạn phải có một giá trị thẻ bài ngẫu nhiên(có thể được sinh ra bởi phần cứng, hoặc phần mềm thông qua một thuật toán nào đó).  Người dùng khi đăng nhập vào hệ thống sẽ phải điền giá trị thẻ bài tại thời điểm đó.  Hệ thống sẽ kiểm tra giá trị đó có trùng với giá trị tại thời điểm đó mà hệ thống sinh ra hay không(sử dụng cùng một thuật toán với token của người dùng).  Nếu trùng khớp, quá trình chứng thực sẽ hoàn tất và người dùng có thể sử dụng dịch vụ của hệ thống. Nếu không người dùng sẽ không đăng nhập vào hệ thống được. 12
  14. Hình 1.7: Xác thực sử dụng thẻ bài 1.2.2.5 Sinh trắc học – Biometric Phương pháp xác thực dựa trên sinh trắc học là một phương pháp xác thực an toàn nhất nhưng cũng tôn kém nhất.. Phương pháp này sẽ xác thực người dùng dựa trên dấu vân tay, mắt, giọng nó hay khuôn mặt của người dùng. Người ta chia phương thức xác thực bằng sinh trắc học ra làm các loại sau:  Xác thực bằng khuôn mặt  Xác thực bằng quét con ngươi mắt  Dấu vân tay  Nhận dạng bằng giọng nói 13
  15. Hình 1.8: Xác thực bằng sinh trắc học Hình 1.9: Xác thực bằng dấu vân tay Hình 1.10: Xác thực bằng bàn tay 14
  16. Hình 1.11: Xác thực bằng mống mắt Hình1.12: Nhận dạng bằng khuôn mặt Hình 1.13: Nhận dạng bằng giọng nói 15
  17. 1.2.2.6 Chứng chỉ - Certificate Các chứng chỉ - Certificates được tạo ra và cung cấp bởi một bên đáng tin cậy thứ 3 gọi là cơ quan chứng thực (CA – Certificate Authority). Quá trình xử lý (cấp chứng chỉ số cho người dùng) là một phần của hệ thống sử dụng cấu trúc khóa công khai (PIK – Public Infrastructure Key). Sau đây là một mô hình đơn CA. Hình 1.14: Mô hình CA đơn 1.2.2.7 Chứng thực đa nhân tố - Multi factor Authentication Là phương thức xác thực dựa trên 2 hay nhiều yếu tố của đối tượng. Một ví dụ điển hình của cơ chế xác thực này là khi các bạn muốn rút tiền từ các trạm ATM thì chúng ta cần có ít nhất 2 thành phần để máy ATM xác thực đó là thẻ ATM và mã PIN đăng nhập của bạn (sử dụng 2 nhân tố đó là những gì bạn có – Thẻ ATM và những gì bạn biết – PIN). Hình 1.15: Chứng thực đa nhân tố 16
  18. Khi sử dụng phương thức này hệ thống sẽ trải qua nhiều bước xử lý để chứng thực người dùng. Sử dụng phương thức này thì an toàn hơn khi sử dụng chứng thực một nhân tố. Tuy nhiên thời gian xử lý của hệ thống thường lâu và đôi khi gây khó chịu với người dùng. 1.2.2.8 Đa chứng thực – Mutual Authentication Mutual Authentication là một kỹ thuật xác thực mà cả hai phía đều có thể xác nhận lẫn nhau , đầu tiên một dịch vụ hay tài nguyên sẽ xác nhận các thông tin của client hay người dùng, máy trạm. Sau đó client sẽ xác nhận các đặc tính của máy chủ hay nơi cung cấp dịch vụ. Hình 1.16: Đa chứng thực Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của mình cho các dịch vụ thiếu tin cậy. 1.2.3 Kiểm tra quản lý – Auditing Auditing cung cấp các phương thức để theo dõi, ghi lại các hoạt động ở trên mạng và trong hệ thống, và xác định xem tài khoản người dùng nào hoặc tài nguyên nào đang hoạt động.  Kiểm tra hệ thống: Việc kiểm tra phải xảy ra khi mà bạn đã hiểu hoàn toàn các tiến trình đang chạy trên hệ thống. Khi bạn tạo ra các thủ tục để kiểm tra, bạn phải ghi lại, giám sát các sự kiện theo dõi việc sử dụng và truy nhập cả được ủy quyền và không được ủy quyền. Bạn phải xác định rõ là cần kiểm tra dịch vụ nào, kiểm tra việc đăng nhập thành công, kiểm tra việc truy xuất vào một tài nguyên…để có các phương thức, thủ tục thực hiện cho hợp lý.  Ghi lại (logging): Được cung cấp hầu hết trên các mạng và các hệ thống bao gồm việc ghi lại một phần hay tất cả các hoạt động các sự kiện của tài nguyên. Việc ghi lại này thường được sủ dụng để phân tích những vấn đề của hệ thống, và nó cũng rất có ích trong việc tìm kiếm sự phát sinh về bảo mật. 17
  19.  Quét hệ thống (System Scanning): Là một phương thức sử dụng phần mềm hoặc các câu lệnh (các script) dùng để xác định hiện trạng (cổng nào đang mở và dịch vụ nào đang kết nối ra ngoài) và phát hiện ra các lỗ hổng bảo mật, các bản vá lỗi còn thiếu của hệ thống. 1.3 Các thiết bị hạ tầng mạng Các công ty, doanh nghiệp hay các tập đoàn đa quốc gia đang xây dựng hệ thống mạng ngày càng phức tạp với quy mô ngày càng lớn. Các hệ thống mạng này hoạt động sử dụng cả hai công nghệ có dây và không dây. Mặc dù sử dụng công nghệ mạng có dây như cáp quang hay công nghệ mạng không dây thì các phương thức truyền dữ liệu từ nơi này đến nơi khác ẩn chứa nhiều lỗ hổng và các nguy cơ dễ bị khai thác. Nội dung phần này sẽ mô tả ngắn gọn về nhiệm vụ và chức năng của các thiết bị thường gặp ở trong mạng.( Nhiều thiết bị mạng sử dụng firmware có thể cấu hình. Vì mục đích bảo mật phải chứng thực với thiết bị khi cấu hình. Thông thường chúng ta nên thay đổi những thông tin xác thực mặc định của thiết bị cho lần sau đăng nhập) 1.3.1 Tường lửa - Firewall Tường lửa là một trong những thiết bị đầu tiên bảo vệ trong hệ thống mạng. Có nhiều loại tường lửa khác nhau, chúng có thể là các hệ thống độc lập hay được tích hợp vào trong một số thiết bị khác như máy chủ hoặc Router. Chúng ta có thể tìm thấy các giải pháp về tường lửa ở trên thị trường như là tường lửa cứng hay tường lửa mềm. Nhiều loại tường lửa có thể là các phần mềm được đính kèm và sẵn có trên các máy chủ hay máy trạm. Mục đích cơ bản của tường lửa là ngăn chặn giữa mạng này với mạng khác. Chức năng chính của tường lửa bao gồm một trong những chức năng sau. Lọc gói tin: Cho phép hay từ chối gói tin đi qua dựa vào địa chỉ (các loại ứng dụng) của gói tin mà không phân tích nội dung cụ thể của gói tin. Ví dụ không cho phép giao thức Telnet đi qua thì tường lửa sẽ chặn cổng 23. Tường lửa Proxy: Thường sẽ đứng ở giữa và xử lý những yêu cầu từ mạng cần được bảo vệ với những mạng khác. Tường lửa Proxy kiểm tra dữ liệu và đưa ra những quyết định dựa vào những luật được thiết lập trên nó. Một tường lửa Proxy tiêu chuẩn thường sử dụng hai card mạng tách rời hai mạng khác nhau để tăng cường bảo mật cho hệ thống. Tường lửa kiểm tra trạng thái của gói tin (SPI- Statefull Packet Inspection): Với công nghệ SPI, hệ thống tường lửa không chỉ dựa vào các thông số trong Header như địa chỉ IP, TCP port, UDP Port mà nó còn dựa trên cả thông số 18
  20. Sequence và các flag code (mã cờ). Việc kết hợp kiểm tra mào đầu và xét xem gói tin có thuộc kết nối mới hay thuộc một kết nối đã được thiết lập từ trước sẽ giúp lọc một cách hiệu quả hơn. 1.3.2 Bộ định tuyến – Router Tính năng chính của bộ định tuyến là được sử dụng để kết nối hai hay nhiều mạng với nhau. Bộ định tuyến là một thiết bị thông minh, chúng có thể lưu những thông tin về các mạng mà chúng kết nối trực tiếp tới. Hầu hết, các bộ định tuyến có thể cấu hình để hoạt động như một tường lửa lọc gói tin (dựa vào các ACL mà người quản trị cấu hình). Bộ định tuyến là thiết bị đầu tiên của hệ thống bảo vệ mạng và chúng phải được cấu hình để cho phép duy nhất lưu lượng mà được người quản trị ủy quyền. 1.3.3 Bộ chuyển mạch – Switch Switch là thiết bị đa cổng làm tăng hiệu năng hoạt động của hệ thống mạng. Switch thường chứa ít thông tin về hệ thống mạng như bảng địa chỉ MAC. Thông thường trong mạng LAN, việc sử dụng Switch mang lại hiệu quả cao hơn về bảo mật(so với Hub) và hiệu năng chuyển mạch tốt hơn(so với Router). 1.3.4 Bộ cân bằng tải Thiết bị Cân bằng tải dùng để chuyển “tải” từ một thiết bị này tới một thiết bị khác. Thông thường các thiết bị cân bằng tải có thể là một máy chủ, nhưng thuật ngữ này có thể được sử dụng cho một ổ đĩa cứng, CPU, hoặc hầu như bất kỳ thiết bị nào muốn dùng để tránh quá tải. Cân bằng tải giữa nhiều máy chủ làm giảm thời gian xử lý, tối đa hóa băng thông đi qua, và cho phép phân bổ tài nguyên hệ thống tốt hơn. Thiết bị cân bằng tải có thể là một giải pháp phần mềm hoặc phần cứng và nó thường được tích hợp vào trong một số thiết bị như router, tường lửa, thiết bị NAT. Một ví dụ phổ biến nhất của thiết bị Cân bằng tải là tách các lưu lượng dành cho một trang web sau đó luân chuyển đến các máy chủ khi chúng trở nên có sẵn. 1.3.5 Proxies Proxy là một máy chủ làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo sự an toàn cho việc truy cập của người dùng. Trong hệ thống mạng, việc sử dụng Proxy giúp người dùng truy cập web nhanh hơn và an toàn hơn (do proxy có sử dụng bộ nhớ đệm). Có thể lợi dụng Proxy để truy cập một số trang web mà nhà cung cấp dịch vụ không cho vào. 19
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
5=>2