intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Giáo trình Xây dựng hệ thống firewall (Nghề: Quản trị mạng máy tính - Trình độ Cao đẳng) - Trường Cao đẳng Nghề An Giang

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:68

Thêm vào BST
Báo xấu
27
lượt xem 8
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giáo trình Xây dựng hệ thống firewall gồm các nội dung chính như: Giới thiệu Firewall; Tăng cường bảo mật cho thiết bị; Triển khai hệ thống Firewall; Giới thiệu về Forefront Threat Managerment Gateway (TMG). Mời các bạn cùng tham khảo.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Giáo trình Xây dựng hệ thống firewall (Nghề: Quản trị mạng máy tính - Trình độ Cao đẳng) - Trường Cao đẳng Nghề An Giang

  1. ỦY BAN NHÂN DÂN TỈNH AN GIANG TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG GIÁO TRÌNH D H T NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH T ì độ c o đẳ (Ban hành theo Quyết định số: /QĐ-CĐN ngày tháng năm 20 của Hiệu trưởng trường Cao đẳng nghề An Giang) Tên tác giả : Lê Thị Ngọc Trâm Năm ban hành: 2019
  2. TUYÊN BỐ BẢN QUYỀN Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm.
  3. LỜI GIỚI THIỆU An toàn thông tin là nhu cầu rất quan trọng đối với các cá nhân cũng như xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến hành thông qua các phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời sống. Bên cạnh đó người sử dụng phải đối mặt với các hiềm họa do thông tin trên mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng. An toàn thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và tphức tạp. Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công thông tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lệch, lấy cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong các mạng máy tính. Tường lửa (Firewall) không chỉ là một dạng phần mềm (như tường lửa trên Windows) mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp. Các tường lửa là phần cứng này giúp máy tính của các công ty có thể phân tích dữ liệu ra để đảm bảo rằng malware không thể thâm nhập vào mạng, kiểm soát hoạt động trên máy tính mà nhân viên của họ đang sử dụng. Nó cũng có thể lọc dữ liệu để chỉ cho phép một máy tính chỉ có thể lướt web, vô hiệu hóa việc truy cập vào các loại dữ liệu khác. Nội dung cuốn sách được dùng để giảng dạy bậc cao đẳng và trung cấp chuyên ngành công nghệ thông tin. Giúp cho sinh viên có kiến thức cơ bản nhất về tường lửa (Firewall). Tài liệu gồm các nội dung chính sau: - Bài 1: Giới thiệu Firewall - Bài 2: Tăng cường bảo mật cho thiết bị - Bài 3: Triển khai hệ thống Firewall - Bài 4: Giới thiệu về Forefront Threat Managerment Gateway (TMG) Do thời gian còn hạn chế, tài liệu chắc chắn không thể tránh khỏi những thiếu sót. Rất mong nhận được các ý kiến đóng góp và xây dựng của bạn đọc. Xin chân thành cảm ơn! An Giang, ngày tháng năm 2019 Tham gia biên soạn 1. Chủ biên: Lê Thị Ngọc Trâm 2. Phản biện: Phương Phương Thúy 1
  4. MỤC LỤC ĐỀ MỤC TRANG Lời giới thiệu ...................................................................................................... 1 Mục lục ............................................................................................................... 2 BÀI 1: GIỚI THIỆU FIREWALL .......................................................... 4 I. Mô hình triển khai. ............................................................................................. 4 II. Các thành phần cơ bản của Firewall. .................................................................. 5 III. Nguyên lý hoạt động của Firewall ..........................................................................9 IV. Các loại Firewall .....................................................................................................9 BÀI 2: TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ ....................................... 11 I. Các loại tấn công vào hệ thống mạng ................................................................ 11 II. Cấu hình bảo mật ............................................................................................ 17 BÀI 3: TRIỂN KHAI HỆ THỐNG FIREWALL . . . . … … … … … … … . 2 0 I. Giới thiệu Cisco IOS Firewall ........................................................................... 20 II. Cấu hình Cisco IOS Firewall ........................................................................... 24 BÀI 4: GIỚI THIỆU VỀ FOREFRONT THREAT MANAGERMENT GATEWAY (TMG) ........................................................................................... 32 I. Tìm Hiểu Forefrent TMG ................................................................................ 32 II. Triển khai cài đặt TMG ......................................................................................... 36 Thuật ngữ chuyên môn ................................................................................... 65 Tài liệu tham khảo........................................................................................... 66 2
  5. GIÁO TRÌNH MÔN HỌC/MÔ ĐUN Tên mô đun: XÂY DỰNG HỆ THỐNG FIREWALL Mã mô đun: MĐ 24 Vị trí, tính chất, ý nghĩa và vai trò của môn học/mô đun: - Vị trí: Mô đun được bố trí sau khi sinh viên học xong môn học, mô đun Mạng máy tính, Quản trị mạng 1, Công nghệ mạng không dây, Cấu hình và quản trị thiết bị mạng. - Tính chất: Là môn học chuyên ngành bắt buộc. - Ý nghĩa và vai trò của môn học/mô đun: Mục tiêu của môn học/mô đun: - Về Kiến thức: + Nhận biết được các thành phần cơ bản Firewall, mô hình triển khai thực tế.. + Trình bày các loại tấn công vào hệ thống mạng. + Trình bày được vai trò các kỹ thuật packet filtering. + Trình bày được vai trò và ứng dụng của proxy. + Trình bày được tầm quan trọng của TMG trong việc bảo vệ hệ thống mạng + Hiểu được các tính năng trên TMG + Hiểu được khái quát các khả năng và nét đặc trưng của TMG - Về kỹ năng: + Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiện chính xác thao tác sao lưu cấu hình mặc định của Firewall; + Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file; + Cài đặt và cấu hình được ISA Server trên windows Server. + Cài đặt được TMG trên Windows Server theo đúng qui định + Thiết lập được các rule để bảo mật cho hệ thống + Thiết lập Web Client Protection để bảo vệ các mối đe dọa duyệt Web + Thiết lập E-mail Protection để bảo vệ người dùng khỏi các mối đe dọa từ e-mail + Thiết lập Network Intrusion System để bảo vệ máy tính và các máy chủ khỏi các nổ lực xâm nhập - Về năng lực tự chủ và trách nhiệm: Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập. Nội dung của môn học/mô đun: được thể hiện qua các bài sau: - Bài 1: Giới thiệu Firewall - Bài 2: Tăng cường bảo mật cho thiết bị - Bài 3: Triển khai hệ thống Firewall - Bài 4: Giới thiệu về Forefront Threat Managerment Gateway (TMG) 3
  6. BÀI 1: GIỚI THIỆU FIREWALL -------------- Giới thiệu Qua bài này trình bày được giới thiệu Firewall, các mô hình triển khai và nguyên lý hoạt động của Firewall. Mục tiêu: - Nhận biết được các thành phần cơ bản của Firewall, mô hình triển khai thực tế - Trình bày được vai trò và các kỹ thuật packet filtering - Trình bày được vai trò và ứng dụng của proxy - Thực hiện các thao tác an toàn với máy tính. Nội dung chính: I. MÔ HÌNH TRIỂN KHAI 1. Mô hình Bastion Host: Bastion Host Firewall là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào. Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài, do đó dễ bị tấn công nhất. Có hai dạng của máy phòng thủ: Máy phòng thủ có hai card mạng, một nối với hệ thống bên trong (mạng nội bộ) và card còn lại nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụng bên trong phải kết nối với tường lửa trước khi làm việc với mạng bên ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài. Dạng thứ hai của cơ cấu phòng thủ này là máy phòng thủ có một card mạng được nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức ứng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này. Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập. 4
  7. 2. Mô hình Back-End Firewall: Back-End Firewall có một NIC nối với external interface và NIC còn lại nối với mạng internal interface. Back-end firewall này có nhiệm vụ kiểm soát traffic từ external và Internet tới mạng internal. 3. Mô hình 3-leg (Three-homed) Cần tới một thiết bị có ba NIC (network interface card). Trong đó, một NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối với mạng internal. Đó là lý do tại sao người ta gọi nó là “3-legged firewall” (mỗi “chân” của firewall chính là một NIC của nó). Lúc này “3- legged firewall” phải có khả năng kiểm soát toàn bộ traffic vào/ra giữa ba mạng (internal, external và DMZ) và nó trở thành điểm chịu lỗi duy nhất (single point of failure) cho toàn hệ thống mạng. Nếu có sự cố xảy ra với “3- legged firewall” này thì cả DMZ và mạng internal đều không còn được bảo vệ nhưng bù lại không phải tốn chi phí đầu tư thêm một firwewall nữa. II. CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL 1. Packet Filter: - Là chức năng chính của Firewall, điều khiển truy cập mạng bằng phân tích các gói tin đi vào/ đi ra. - Thành phần quan trọng trong bảo mật ở mạng vành đai (Perimeter Security) - Ưu điểm: Không làm tốn băng thông - Packets bao gồm 2 loại nội dung chính: Thông tin điều khiển (Header), dữ liệu (Data). - Nội dung Header trong Packet được dùng để cho phép hoặc cấm packet đó khi đi qua firewall trên 5
  8. cơ sở Port, IP address và Protocol. a. Các thiết bị hỗ trợ Packet Filtering - Router: Packet Filter ngăn chặn các traffic xâm nhập trái phép. - Hệ điều hành: Windows và Linux xây dựng sẵn công cụ thực thi Packet Filtering trên chồng giao thức TCP/IP. Ví dụ: ZoneAlarm, Check Point Firewall – 1 đều hỗ trợ packet filtering. b. Các loại Packet Filtering - Stateless (static) packet filtering + Xem nội dung trong header của packet và quyết định cho phép hoặc loại bỏ packet đó. + Cấm traffic từ một subnet. - Stateful Packet Filtering (Stateful Inspection): duy trì trạng thái của kết nối trong khi thực thi tất cả chức năng của Stateful Packet Filtering . - Không quan tâm đến kết nối đã được thiết lập hay không. - Kỹ thuật này thường dùng khi muốn ngăn cấm hoàn toàn một traffic xác định. - Cấu hình Stateful Packet Filtering dựa trên: + Thông tin IP header + TCP/UDP Port number + ICMP message type + Fragmentation flags (ACK, SYN) - Duy trì bảng trạng thái của các kết nối hiện tại. - Kiểm tra tính hợp lệ của gói tin trên cơ sở bảng trạng thái và các luật. - Cho phép các Packets trên cơ sở các Packets mới trước đây đã được chấp nhận. 6
  9. 2. Proxy Server (Application Proxy, Application-level Gateway) Theo dõi và làm việc trên dữ liệu của gói dữ liệu IP, chặn tất cả các yêu cầu tới Server thực sự và cố gắng xử lý yêu cầu của Client. a. Nguyên lý hoạt động: Proxy chặn các yêu cầu từ các máy tính trong mạng nội bộ(internal network) và chuyển các yêu cầu đó đến máy tính đích trên mạng Internet. b. Phân loại - Dạng kết nối trực tiếp: Người dùng Client gửi yêu cầu trực tiếp tới Proxy Server để thực thi và trả kết quả về Client. - Dạng dùng phần mềm Proxy Client: Người dùng cài đặt Proxy Client tại máy của họ. Khi có nhu cầu giao tiếp với Internet Server, Proxy Client gửi tới Proxy Server. - Transparent Proxy: Một loại Proxy phát triển gần đây, là sự kết hợp giữa Gateway và Proxy Server. Những Packets đi vào Gateway tự động được đổi hướng đến Proxy Server. Proxy Server giao tiếp với Internet Server để thực thi. c. Vai trò của Proxy: - Che dấu các máy nội bộ khỏi các người dùng bên ngoài muốn tìm cách truy cập vào các máy bên trong mạng nội bộ. - Block URL: Ngăn chặn các người dùng truy cập các website có nội dung không hợp lệ được thiết lập bởi người quản trị. - Block và Filter Content: Kiểm tra nội dung của gói tin và ngăn chặn nếu nội dung độc hại. d. Ứng dụng của Proxy Server: Chia sẻ mạng Internet & bảo mật cho mạng nội bộ: Là giải pháp dùng máy có kết nối Internet (Proxy Server) thực thi các nhu cầu giao tiếp Internet do các Proxy Client gửi đến. Trả kết quả về Client sau khi thực thi xong. 7
  10. 3. Authentication System: a. Nguyên lý hoạt động: Trong môi trường máy tính, xác thực được dùng ở nhiều ngữ cảnh khác nhau, ví dụ: xác thực tên đăng nhập và mật khẩu của người sử dụng trước khi cho phép người sử dụng thao tác trên hệ thống máy tính (xác thực của hệ điều hành), xác thực tên đăng nhập và mật khẩu trước khi cho phép người dùng kiểm tra hộp thư điện tử (xác thực của Mail server); trong giao dịch ngân hàng, thủ tục xác thực dùng để xác định người đang ra lệnh thanh toán có phải là chủ tài khoản hay không; trong trao đổi thông tin, thủ tục xác thực dùng để xác định chính xác nguồn gốc của thông tin. Khi việc xác thực được thực hiện thông qua mạng, một số hệ thống thực hiện việc mật mã hoá tên đăng nhập và mật khẩu trước khi truyền đi để tránh bị tiết lộ, nhưng cũng có nhiều hệ thống gởi trực tiếp những thông tin nhạy cảm này trên mạng (ví dụ như các dịch vụ FTP, Telnet, …) gọi là cleartext authentication. b. Vai trò: Chứng thực người dùng trên cơ sở username và password. c. Ứng dụng: dùng trong xác thực như thẻ thông minh (Smartcard), chứng thực số (digital certificate), các thiết bị nhận dạng sinh trắc học (biometric devices),… Để tăng độ tin cậy của cơ chế xác thực, nhiều kỹ thuật được sử dụng phối hợp nhau gọi là multi-factor authentication. Ví dụ: xác thực dùng thẻ thông 8
  11. minh kèm với mật khẩu, nghĩa là người sử dụng vừa có thẻ vừa phải biết mật khẩu thì mới đăng nhập được, tránh trường hợp lấy cắp thẻ của người khác để đăng nhập 4. Network Address Translation (NAT): a. Nguyên lý hoạt động: Chuyển đổi địa chỉ trong header gói tin trong khi được vẫn chuyển ngang qua thiết bị b. Vai trò: - Chia sẻ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP của WAN. - NAT như một Firewall, nó giúp che dấu tất cả IP bên trong LAN với thế giới bên ngoài bằng public IP. - Tính linh hoạt và sự dễ dàng trong việc quản lý. - Giảm chi phí thiết lập một mô hình mạng. c. Ứng dụng: dùng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy cập đến mạng công cộng (Internet). III. NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL 1. Cơ chế Tạo các Rule để quản lý việc truy xuất mạng trong hệ thống. Giám sát hoạt động của hệ thống đảm bảo an toàn cho hệ thống. 2. Ứng dụng - Firewall đáp ứng các yêu cầu an toàn dữ liệu + Bảo mật + Tính toàn vẹn + Tính kịp thời + Tài nguyên hệ thống - Firewall bảo vệ chống lại những sự tấn công từ bên ngoài: + Tấn công trực tiếp + Nghe trộm + Giả mạo địa chỉ IP + Từ chối dịch vụ (Deny ò Service) IV. CÁC LOẠI FIREWALL 1. Firewall cứng: Firewall cứng là những firewall được tích hợp trên Router hay các thiết bị firewall phần cứng chuyên biệt như Cisco ASA, Cisco PIX, Nokia Checkpoint, Juniper, Crossbeam, Fortigate, Virgo… 2. Firewall mềm: Firewall mềm là những phần mềm Firewall được cài đặt trên Server như ZoneAlarm, Norton Firewall, ISA Server, Winroute. 9
  12. CÂU HỎI ÔN TẬP 1. Giới thiệu các mô hình triển khai hệ thống có Firewall? 2. Các thành phần cơ bản của Firewall? 3. Nêu nguyên tắc hoạt động của Firewall? 4. Phân biệt Stateful và Staless Packet Filtering? 5. Nêu vai trò của Proxy và ứng dụng của Proxy vào thực tế như thế nào? 10
  13. BÀI 2: TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ ------------------- Giới thiệu: Trong bài này trình bày được tăng cường bảo mật cho thiết bị, các loại tấn công vào hệ thống mạng và cách phòng chống các cuộc tấn công vào hệ thống mạng. Mục tiêu: - Nhận biết các nguy cơ bị tấn công của hệ thống mạng - Giải thích được các bước để hack một hệ thống mạng - Trình bày được các loại tấn công vào hệ thống mạng - Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router - Thực hiện các thao tác an toàn với máy tính. Nội dung chính: I. CÁC LOẠI TẤN CÔNG VÀO HỆ THỐNG MẠNG 1. Trình bày các loại tấn công vào hệ thống mạng a. Minimal Intelligence: Reconnaissance: Khám phá trái phép và lập bản đồ của các hệ thống, dịch vụ hoặc các lỗ hổng. Thu thập thông tin và trong hầu hết trường hợp, đứng trước một cuộc tấn công truy cập hay Dos. Các cuộc tấn công Reconnaissance có thể bao gồm: - Packet sniffers: + Một Packet sniffers là phần mềm ứng dụng sử dụng card mạng trong chế độ promiscuous để bắt những tất cả các gói tin trong mạng. + Khai thác thông tin dạng Plaintext, các giao thức sử dụng Plaintext như: Telnet, FTP, SNMP, POP và HTTP + Phải nằm trên cùng một colision domain. + Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn công. - Port scans và Ping sweeps: + Một hacker sử dụng các công cụ để scan các port và ping quét dò xét qua Internet. 11
  14. + Là công cụ hợp pháp dùng để scan port và ping quét các ứng dụng trên các máy chủ hay các thiết bị để xác định các dịch vụ dễ bị tổn thương. + Thông tin được thu thập bằng cách kiểm tra địa chỉ IP và port của ứng dụng chạy trên cả UDP hay TCP. Access attacks: Man-in-middle attacks: các kè tấn công đứng ở giữa lắng nghe thông tin giữa người gửi và người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi đến hai bên. Buffer overflow: - Một chương tình ghi dữ liệu vượt quá giới hạn kết thúc của bộ đệm trong bộ nhớ. - Việc tràn bộ đệm có thể dẫn đến dữ liệu hợp lệ bị ghi đè. Dos và Ddos attacks: điển hình là IP Spoofing Ví dụ DDos 12
  15. Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập trái phép vào máy tính. - Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên ngoài mạng đóng vai trò như máy tính tin cậy đang liên lạc. - Giả mạo địa chỉ IP bao gồm: thêm những dữ liệu độc hại hoặc các lệnh và luồng dữ liệu hiện có. Thay đổi bảng định tuyến. - Giả mạo địa chỉ là một trong các bước cơ bản trong kiểu tấn công Dos hay Ddos. Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác định gói tin giả mạo, vô hiệu hóa các tùy chọn con đường nguồn. Anti-Dos: tính năng này giới hạn số lượng half-open các kết nối TCP mà hệ thống cho phép ở bất kỳ thời điểm nào. Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao tiếp với ISP. b. Worm, Virus, Trojan Horse Attacks: - Dựa vào các lỗ hổng để chúng xâm nhập và tự cài đặt vào hệ thống. - Sau khi tiếp cận được mục tiêu chúng chuyển hường dò tìm các mục tiêu mới theo điều khiển của hacker. - Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm được đặc quyền truy cập và khai thác hệ thống. c. Application Layer attacks: - Khai thác các ứng dụng như: mail, http và fpt,… - Thường sử dụng các port được phép đi qua các tường lửa (ví dụ: TCP port 80 được dùng trong tấn công máy chủ Web đằng sau một tường lửa). - Loại tấn công này thường khó loại bỏ hoàn toàn vì nó luôn dò tìm sử dụng lỗ hổng mới. - Công cụ điển hình trong Application Layer attacks là Netcat, là công cụ mà đọc hoặc ghi dữ liệu trên bất kỳ kết nối TCP/UDP, chuyển tiếp các kết nối TCP và có thể hành động như một máy chủ TCP/UDP. - Ví dụ về Netcat: 13
  16. d. Nguy cơ từ các giao thức quản trị mạng (Management Protocols) - Các giao thức quản trị mạng có thể là nguy cơ cho các cuộc tấn công như: SNMP, Syslog, NTP,TFTP. + SNMP: sử dụng cơ chế xác thực đơn giản, gửi dữ liệu dạng chữ thô (plaintext). + Syslog: dữ liệu được gửi dưới dạng chữ thô giữa các thiết bị quản lý và các host. + TFTP: dữ liệu được gửi dưới dạng chữ thô giữa các máy chủ yêu cầu và máy chủ TFTP. + NTP: với giao thức đồng bộ thời gian, các máy chủ trên internet không cần sự chứng thực của các máy ngang hàng. e. Xác định rủi ro và mối đe dọa: - Có một số công cụ và kỹ thuật mà có thể được sử dụng để tìm các lỗ hỏng trong mạng. - Sau khi xác định được lỗ hỏng hay các nguy cơ, chúng ta luôn có thể tìm ra cách bảo vệ và phòng chống nguy cơ bị tấn công mạng. 14
  17. + Nmap f. Các rủi ro của Router Service và Interface: - Router Cisco có thể được sử dụng như: thiết bị Edge Firewall hay router nội bộ. Các lỗ hỏng có thể được khai thác bất kỳ ở router nào, không phụ thuộc vào vị trí của router đó. - Lỗ hỏng có thể từ các dịch vụ không được bảo mật trên router hay các intreface router không được sử dụng. g. Looking Down Router với AutoSecure: - Tính năng AutoSecure được tích hợp từ dòng Cisco IOS phiên bản 12.3 trở về sau này. - AutoSecure: là công cụ built-in cho phép loại bỏ các mối hiểm họa tồn tại trên router một cách nhanh chóng và dễ dàng. - AutoSecure hoạt động ở hai chế độ: + Interactive mode: dựa vào những câu hỏi, trả lời tương tác để các bạn lựa chọn cấu hình các dịch vụ trên router và các tính năng liên quan đến bảo mật. + None-interactive mode: cấu hình bảo mật cho các thiết bị chỉ dựa vào những thông số mặc định của cisco IOS mà không có sự thay đổi chỉnh sửa nào. 2. Cách phòng chống a. Minimal Intelligence - Reconnaissance: dùng các kỹ thuật và các công cụ bao gồm: Chứng thực (Authentication), mật mã (Crytography), các công cụ Antisniffer, thay đối cơ sở hạ tầng (Switched infrastructure). + Port scans và Ping sweeps: dùng các kỹ thuật và các công cụ bao gồm: Network-based IPS (NIPS) và Host-based IPS(HIPS) thường có thể thông báo 15
  18. cho bạn biết khi có một cuộc tấn công reconnaissance. IPS so sánh lưu lượng truy cập đến hệ thống phát hiện xâm nhập (IDS) hoặc dấu hiệu nhận dạng tấn công (signatures) trong cơ sở dữ liệu IPS. Dấu hiệu nhận dạng như “một số gói tin đến các port đích khác nhau từ cùng một nguồn địa chỉ trong một thời gian ngắn có thể được dùng để phát hiện scan port. - Access attacks: + Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác định gói tin giả mạo, vô hiệu hóa các tùy chọn con đường nguồn. + Anti-Dos: tính năng này giới hạn số lượng half-open các kết nối TCP mà hệ thống cho phép ở bất kỳ thời điểm nào. + Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao tiếp với ISP. h. Worm, Virus, Trojan Horse Attacks: - Sử dụng các phần mềm Anti-Virus. - Cập nhật các bản vá lỗi mới nhất của phần mềm, ứng dụng và cả hệ điều hành. - Triển khai hệ thống chống xâm nhập trên các host (ví dụ: Cisco Sercurity Agent). - Cập nhật kiến thức những phát triển mới nhất về các phương pháp tấn công dựa vào Worm, Virus hay Trojan Horse Attacks. - Ngăn chặn sự lây lan của Worm hay Virus trong hệ thống mạng, thực hiện cách ly để kiểm dịch, quét sạch các Worm hay Virus thậm chí là cài đặt lại hệ thống. i. Application Layer attacks: - Tìm hiểu hệ điều hành mạng và các tập tin đăng nhâp mạng. - Cập nhật các bản vá lỗi mới nhất cho các ứng dụng và kể cả hệ điều hành. - Sử dụng hệ thống IPS/IDS để theo dõi, phát hiện và ngăn chặn các cuộc tấn công. j. Nguy cơ từ các giao thức quản trị mạng (Management Protocols) - Cấu hình quản trị mạng sử dụng cơ chế SSL/SSH. - Sử dụng ACL để xác định danh sách truy cập đến máy chủ quản lý và chỉ cho phép truy cập đến các máy chủ quản lý thông qua SSH hay HTTPS,… - Sử dụng các giao thức quản trị an toàn và bảo vệ dữ liệu với IPSec. - Thực hiện RFC 3.704 lọc tại router để làm giảm cơ hội của các hacker từ bên ngoài giả mạo các địa chỉ quản lý của các máy chủ. k. Xác định rủi ro và mối đe dọa: - Có một số công cụ và kỹ thuật mà có thể được sử dụng để tìm các lỗ hỏng trong mạng. - Một số công cụ phổ biến hiện nay: + Blue’s PortScanner: là công cụ quét mạng khá nhanh, có thể quét hơn 300 port trong một giây. Cung cấp tính năng quét TCP/UDP với Anti-flood và Ping check. 16
  19. + Wireshark (trước đây là Ethereal): là công cụ quét và phân tích traffic hàng đầu. + Microsoft Baseline Security Analyzer II. CẤU HÌNH BẢO MẬT 1. Cấu hình AutoSecure với SDM (Security Device Manager) - SDM là một trình thuật giao diện đồ họa điều khiển cấu hình Cisco Router một cách đơn giản. - SDM cũng cho phép cấu hình tường lửa trên Cisco Router khá hiệu quả thông qua Cisco IOS Firewall. - SDM cung cấp tính năng Security Audit wizard thực hiện tiến trình kiểm soát sự an ninh trên Cisco Router, ghi nhận đánh giá các lỗ hỏng để giúp ta nhanh chóng tìm cách khắc phục. - SDM còn có thể thực hiện hầu như tất cả các cấu hình mà AutoSecure cung cấp với tính năng One-Step Lockdown. 2. Cấu hình Router Passwords: - Cisco IOS cung cấp một số tính năng cải tiến cho phép tăng độ bảo mật hệ thống với password bao gồm: chiều dài mật khẩu tối thiểu, mã hóa mật khẩu, chứng từ với user. - Để thiết lập chiều dài tối thiểu của mật khẩu ta thực hiện lệnh dưới đây: - Ví dụ: Cấu hình cho độ dài mật khẩu yêu cầu tối thiểu là 10 - Mã hóa tất cả các password trong file cấu hình của Router. - Nâng cao tính năng bảo mật router với username và password. 17
  20. 3. Cấu hình Banner Message: - Banner message được sử dụng để cảnh báo những kẻ xấu xâm nhập không được chào đón vào hệ thống mạng của bạn. - Có bốn biến lệnh được sử dụng trong banner message: + $hostname): hiển thị tên router + $(domain): hiển thị domain của router. + $(line): hiển thị số line vty hay tty + $(line-desc): hiển thị mô tả của line vty hay tty - Ví dụ: 8. Bảo mật tập tin cấu hình: - Bật tính năng phục hồi Cisco IOS Image: - Tạo bản sao cho running configuration - Hiển thị thông tin trạng thái khả năng phục hồi image hay tập tin cấu hình. CÂU HỎI ÔN TẬP 1. Nêu các loại tấn công vào hệ thống mạng? 2. Nêu cấu hình Router Passwords? 3. Nêu cấu hình AutoSecure với SDM (Security Device Manager)? 4. Nêu thiết lập Login Failure Rate? 5. Nêu thiết lập Multiple Privilege Levels? 18
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2