intTypePromotion=1

Luận văn: “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim”

Chia sẻ: Phamxuan Tuong | Ngày: | Loại File: DOC | Số trang:82

0
283
lượt xem
134
download

Luận văn: “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim”

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo luận văn - đề án 'luận văn: “thiết kế mạng an toàn sử dụng pix firewall cho trường cao đẳng cơ khí luyện kim”', luận văn - báo cáo, công nghệ thông tin phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:
Lưu

Nội dung Text: Luận văn: “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim”

  1. TRƯỜNG …………………. KHOA………………………. ---------- Báo cáo tốt nghiệp Đề tài: Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim 1
  2. MỤC LỤC LỜI NÓI ĐẦU .............................................................................................................. 4 LỜI CẢM ƠN ............................................................................................................... 5 LỜI CAM ĐOAN ................................................................ ................................ ......... 6 MỤC LỤC .................................................................................................................... 2 CHƯƠNG 1 ................................ ................................ ................................ .................. 7 TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH................................. 7 1. Sự cần thiết của an ninh mạng ............................................................................... 7 2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng ............................................... 8 3. Các mối đe dọa và tấn công mạng máy tính ................................ ........................... 9 3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc) ............................... 9 3.2. Structured Threats (Các mối đe dọa có cấu trúc) ................................ ............. 9 3.3. External Threats (Các mối đe dọa bên ngoài) ................................ ................ 10 3.4. Internal Threats (Các mối đe dọa bên trong) .................................................. 10 4. Các cách thức tấn công mạng máy tính ................................................................ 10 4.1 Sự thăm dò - Reconnaisance .......................................................................... 10 4.2 Truy nhập - Access ........................................................................................ 11 4.3. Cấm các dịch vụ (DoS) - Denial of Service ................................................... 11 4.4. Worms, Virus và Trojan Horses ....................................................................12 5. Chính sách an ninh ................................................................ .............................. 13 5.1 The Security Wheel (bánh xe an ninh)............................................................ 13 5.2 Bảo vệ và qu ản lý các điểm cuối ....................................................................17 5.3. Bảo vệ và quản lý mạng ................................ ................................ ................ 19 CHƯƠNG 2 ................................ ................................ ................................ ................ 23 TƯỜNG LỬA CISCO PIX FIREWALL ..................................................................... 23 I. Firewall và các kỹ thuật firewall ................................ ................................ ........... 23 1. Firewall ............................................................................................................... 23 2. Các kỹ thuật tường lửa ................................ ................................ ......................... 23 2.1. Kỹ thuật packet filtering................................ ................................ ................ 24 2.1. Kỹ thuật Proxy Server ................................................................................... 25 2.3. Kỹ thuật stateful packet filtering ...................................................................26 II. Tổng quan về PIX Firewall ................................................................................. 26 III. Các dòng PIX Firewall và nguyên tắc hoạt động. ............................................... 27 1. Các dòng PIX Firewall ........................................................................................ 27 2. Nguyên tắc hoạt động của PIX Firewall ............................................................... 31 IV. Các lệnh duy trì thông thường của PIX Firewall ................................ ................ 33 1. Các chế độ truy cập ................................ ............................................................. 33 2. Các lệnh duy trì thông thường của PIX Firewall .................................................. 34 2.1. Lệnh enable ................................ ................................ ................................ ..34 2.2. Lệnh enable password ................................................................................... 34 2.3. Lệnh write.....................................................................................................35 2.4. Lệnh telnet ....................................................................................................35 2.5. Lệnh hostname và ping ................................................................................. 37 2.6. Lệnh show ....................................................................................................38 2.7. Lệnh name ....................................................................................................38 CHƯƠNG 3 ................................ ................................ ................................ ................ 40 CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX FIREWALL ................................ ................................ ................................ ................ 40 2
  3. I. Các lệnh cấu hình cơ bản PIX Firewall .................................................................40 1. Lệnh nameif .....................................................................................................40 2. Lệnh interface ................................ ................................ ................................ ..41 3. Lệnh ip addresss ................................................................ .............................. 42 4. Lệnh nat ................................ ................................ ................................ ........... 42 5. Lệnh global................................ ...................................................................... 43 6. Lệnh route ................................................................ ................................ ....... 44 II. Dịch chuyển địa chỉ trong PIX Firewall ................................ .............................. 45 1. Tổng quan về NAT ................................................................ .............................. 45 1.1. Mô tả NAT ...................................................................................................45 1.2. Nat control ....................................................................................................46 2. Các kiểu NAT................................ ...................................................................... 47 2.1 Dynamic NAT ............................................................................................... 47 2.2. PAT .............................................................................................................. 48 2.3. Static NAT ....................................................................................................48 2.3. Static PAT ....................................................................................................48 3. Cấu hình Nat Control ........................................................................................... 49 4. Sử dụng Dynamic NAT và PAT .......................................................................... 49 5. Sử dụng lệnh Static NAT ..................................................................................... 54 6. Sử dụng Static PAT ................................ ............................................................. 55 III. ACCESS LIST ................................ ................................ ................................ ..55 1. Tổng quan về access list ...................................................................................... 55 1.1. Thứ tự các ACE ............................................................................................ 56 1.2. Access Control Implicit Deny ................................ ................................ ....... 56 1.3. Địa chỉ IP đ ược sử dụng cho access list khi sử dụng NAT ............................. 56 2. Cấu hình access list................................................................ .............................. 58 2.1. Câu lệnh access – list. ................................................................................... 58 2.2. Câu lệnh access – group ................................ ................................ ................ 59 CHƯƠNG 4 ................................ ................................ ................................ ................ 60 THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG ................................ ......................... 60 CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL ............................. 60 I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp. ............................. 60 1. Hiện trạng hệ thống ................................ ............................................................. 60 2. Đánh giá hiệu năng và mức an toàn của hệ thống ................................................. 61 3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường .....................................62 II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall. ......................................... 63 1. Sơ đồ thiết kế hệ thống mới. ................................ ................................ ................ 63 2. Cấp phát địa chỉ ...................................................................................................65 3. Cấu hình mô phỏng hệ thống ............................................................................... 67 3.1. Các phần mềm đ ược sử dụng cho cấu hình mô phỏng ................................ ....... 67 3.2. Các câu lệnh cấu hình ....................................................................................... 69 4. Kiểm tra cấu hình ................................................................................................ 76 KẾT LUẬN................................................................................................................. 78 TÀI LIỆU THAM KHẢO ........................................................................................... 79 3
  4. LỜI NÓI ĐẦU Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của cuộc sống. Có thể thấy máy tính và m ạng internet là thành phần không thể thiếu của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc h àng n gày và các giao dịch. Tuy nhiên, sự phát triển n ày cũng kèm theo vấn đề an ninh máy tính đang n gày càng trở n ên nóng bỏng. Tội phạm máy tính là một trong những hành vi phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy, việc xây dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả n ăng kiểm soát rủi do liên quan đến việc sử dụng máy tính trở thành đòi hỏi không th ể thiếu ở nhiều lĩnh vực. Kịp thời nắm bắt xu h ướng này, trong thời gian làm đồ án thực tập tốt n ghiệp em đã lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim”. Đồ án đề cập đến các nguy cơ cũng như sự cần thiết của an ninh mạng, các đặc trưng và cấu h ình cơ b ản PIX firewall. Và cuối cùng là ứng dụng PIX firewall thiết kế mô hình m ạng cho trường Cao đẳng cơ khí luyện kim. 4
  5. LỜI CẢM ƠN Sau thời gian 5 năm học tập và rèn luyện tại Khoa Công nghệ thông tin và truyền thông – Đại học Thái Nguyên, đ ến nay em đ ã hoàn thành đồ án tốt nghiệp và kết thúc khóa học. Em xin gửi lời cảm ơn chân thành đ ến lãnh đạo khoa, toàn th ể các thầy cô giáo đ ã tận tình giảng dạy trang bị cho chúng em những kiến thức quý báu làm hành trang cho chúng em sau này. Đặc biệt em xin gửi lời cảm ơn chân thành đến cô giáo Bùi Thị Mai Hoa – Bộ môn Kỹ thuật máy tính đ ã trực tiếp hướng dẫn, giúp đỡ em có thể hoàn thành đồ án này. Các ơn sự đóng góp ý kiến của các thầy cô, bạn b è để em có thể hoàn thành đồ án này. Thái Nguyên, tháng 06 năm 2009. Sinh viên Trần Giáo 5
  6. LỜI CAM ĐOAN Đồ án tốt nghiệp này đã hoàn thành đúng thời gian quy định và đáp ứng được yêu cầu đề ra nhờ sự cố gắng nghiên cứu, học tập của bản thân và dưới sự hướng dẫn trực tiếp của Th.s Bùi Thị Mai Hoa. Em đã tham khảo một số tài liệu n êu trong phần “ Tài liệu tham khảo ” và không hề sao chép nội dung từ bất kỳ đồ án n ào khác. Mọi sao chép không hợp lệ, vi phạm quy chế đ ào tạo, hay gian trá, em xin chịu hoàn toàn trách nhiệm trước hội đồng 6
  7. CHƯƠNG 1 TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH 1 . Sự cần thiết của an ninh mạng An ninh m ạng là vấn đề cần thiết bởi vì Internet là một mạng của các m ạng có mối liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ chức có thể được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào trên th ế giới. Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới sẽ phát sinh từ những người mà không cần thiết phải truy cập đến tài nguyên máy tính của công ty thông qua môi trường vật lý. Trong m ột nghiên cứu gần đây của Computer Security Institute (CIS), 70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60% trong số đó nguyên nhân là do chính trong nội bộ công ty của họ. Cùng với sự phát triển của máy tính, mạng LAN và mạng Internet, hệ thống m ạng ngày nay càng được mở rộng. Khi thương m ại điện tử và nhiều ứng dụng trên Internet phát triển, việc tìm ra các phương thức an toàn thông tin là điều vô cùng quan trọng, kèm theo đó là kh ả năng tìm và nhận dạng những mối nguy hiểm gây h ại cho hệ thống thông tin. Hơn nữa sự phát triển của thế giới mạng di động và m ạng không dây đã đánh d ấu những bư ớc tiến vượt bậc trong thế giới công ngh ệ thông tin, loại bỏ những mô h ình cũ đồng thời yêu cầu có những giải pháp bảo mật linh hoạt hơn, hiệu quả h ơn. Việc sử dụng máy tính đã trở nên phổ biến, số lượng máy tính ngày càng tăng, hệ thống mạng LAN theo đó cũng tăng theo, mạng to àn cầu Internet được sử dụng rộng rãi kéo theo đó là sự xuất hiện những nguy cơ mới về bảo mật, khó kiểm soát hơn. Để giải qu yết những nguy cơ này, giải pháp được đưa ra là sử dụng thiết b ị tường lửa (firewall), công nghệ này giúp cho các doanh nghiệp khả thi hơn trong b ảo mật thông tin của m ình khi truy cập Internet. Ngày nay những yêu cầu đặt ra cho hệ thống bảo mật bao gồm : 7
  8.  Người sử dụng chỉ có thể thực thi những quyền lợi được cấp phép.  Người sử dụng chỉ có được những thông tin, dữ liệu được cho phép.  Người sử dụng không thể phá hủy dữ liệu, thông tin hay những ứng dụng m à h ệ thống sử dụng. 2 . Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng Việc phân tích các rủi ro có thể xác định được các mối nguy cơ đối với m ạng, tài nguyên mạng và dữ liệu mạng. Mục đích của việc làm này là xác đ ịnh các thành ph ần của mạng, đánh giá tầm quan trọng của mỗi thành ph ần và sau đó áp dụng mức độ bảo mật phù h ợp. + Asset Identification (nhận diện tài sản trong mạng) Trước khi ta tiến hành bảo mật cho mạng, cần phải xác định các thành phần có trong m ạng. Mỗi cơ quan hay tổ chức nên tiến h ành kiểm kê tài sản tồn tại trong m ạng của mình.Các tài sản đó bao gồm cả các thiết bị m ạng và các điểm cuối ( endpoint) như host, server. + Vulnerability Assenssment ( đánh giá các lỗ hổng hệ thống ) Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn công từ những kẻ xấu. Nguyên nhân có thể do sự yếu kém về công nghệ, về các cấu h ình hoặc do chính sách an ninh chưa thỏa đáng. Tuy nhiên, có thể hạn chế hay khống chế các cuộc tấn công n ày bằng nhiều phương thức khác nhau như: sử dụng phần m ềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó (Firewall, phần mềm Anti-virus ). + Threat Identification ( nhận diện các mối đe dọa ) Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạng m áy tính và là nguyên nhân của các tác động không tốt trên mạng. Vì vậy, việc xác đ ịnh các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liên quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm. 8
  9. 3. Các mối đe dọa và tấn công mạng máy tính Có 4 m ối đe dọa chính đối với an ninh mạng Hình 1. Các mối đe dọa đối với an ninh mạng 3 .1. Unstructured Threats (Các mối đe dọa không có cấu trúc) Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh n ghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc d ạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí ó c và rất tầm thường. Phần lớn họ không phải là những người tài giỏi hoặc là những attacker có kinh nghiệm, nhưng họ có những động cơ thúc đẩy, m à những động cơ đó đều quan trọng. 3 .2. Structured Threats (Các mối đe dọa có cấu trúc) Mối đe dọa có cấu trúc bao gồm các attacker, những người có động cơ cao h ơn và có kỹ thuật thành th ạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống m ạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn m ã đ ể thâm nhập vào những hệ thống mạng này 9
  10. 3 .3. External Threats (Các mối đe dọa bên ngoài) Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên n goài công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy tính của công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ m ạng Internet hoặc mạng quay số truy cập vào servers 3 .4. Internal Threats (Các mối đe dọa bên trong) Mối đe dọa từ b ên trong xảy ra khi một số ngư ời có quyền truy cập đến hệ thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông qua môi trường vật lý. Thông thường những người n ày đang có b ất bình với những thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty hoặc các chính sách của công ty. 4 . Các cách thức tấn công mạng máy tính Có 4 cách thức tấn công mạng máy tính Hình 2. Các kiểu tấn công vào mạng máy tính 4 .1 Sự thăm dò - Reconnaisance Thăm dò là một h ình thức tính toán, khám phá bất hợp pháp hệ thống, các dịch vụ hoặc những điểm dễ bị tấn công nhất. Nó còn được biết đến nh ư là việc 10
  11. thu thập thông tin. Trong hầu hết các trường hợp nó xảy ra trước so với các hành động truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS. Kẻ thâm nhập đầu tiên sẽ quét mạng đích để xác định các địa chỉ IP còn ho ạt động. Sau khi hoàn thành việc này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các đ ịa chỉ IP này. Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứng dụng và phiên b ản cũng như là kiểu và phiên bản của hệ điều h ành đang ch ạy trên host đích. 4 .2 Truy nhập - Access Truy cập là m ột hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy cập hệ thống hoặc tiến vào chế độ đặc quyền. Truy tìm dữ liệu trái phép thông thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không th ể được sử dụng bởi những kẻ thâm nhập. Truy cập hệ thống là khả năng của kẻ thâm nhập d ành qu yền truy cập vào một máy mà nó không được phép truy cập (ví dụ như kẻ thâm nh ập không có tài khoản hoặc mật khẩu). Nhập hoặc truy cập vào hệ thống mà nó không có quyên truy cập thông thường bao gồm việc chạy các h ack, các đoạn kịch bản hoặc các công cụ để khai thác các lỗ hổng của hệ thống hoặc các ứng dụng. Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền. Việc này đư ợc thực hiện bởi những người sử dụng hợp pháp với quyền truy cập th ấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu th ập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập h iện tại. Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập m à không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò hoặc là do không biết gì. 4 .3. Cấm các dịch vụ (DoS) - Denial of Service Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy 11
  12. cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là m ột người trên m ạng sử dụng chương trình đ ẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận đư ợc gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đ ến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đ ến trạm không được phụ c vụ. Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn m à vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy lo ại h ình tấn công n ày còn được gọi là kiểu tấn công không cân xứng (asymmetric attack). Ch ẳng h ạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp. 4 .4. Worms, Virus và Trojan Horses Worm (sâu máy tính) là m ột loại virus máy tính chuyên tìm kiếm mọi dữ liệu trong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp. Hành động thay đổi n ày có thể là chuyển các ký tự th ành các con số hoặc là trao đổi các byte được lưu trữ trong bộ nhớ. Những dữ liệu bị hỏng thường không khô i phục được. Virus hay chương trình virus là một ch ương trình máy tính được thiết kế m à có th ể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành các thao tác vô ích, vô ngh ĩa, đôi khi là phá hoại. Khi virus phát tác chúng gây nhiều hậu quả n ghiêm trọng: từ những thông báo sai lệch đến những tác động làm lệch lạc khả n ăng thực hiện của phần mềm hệ thống hoặc xóa sạch mọi thông tin trên đĩa cứng. Trojan Horse (con ngựa th ành Troa) là một chương trình xuất hiện để thực h iện chức năng có ích, đồng th ời có chứa các mã hoặc các lệnh ẩn gây hỏng đối với h ệ máy đang chạy nó. Các phần mềm nguy hiểm trên đư ợc cài đặt vào các máy tính nhằm phá hủy, hư hại hệ thống hoặc ngăn chặn các dịch vụ, các truy nhập tới mạng. Bản chất và mức độ nguy hiểm của những mối đe dọa này thay đổi theo thời gian. Những virus đ ơn giản từ những năm 80 đ ã trở n ên phức tạp hơn và là những virus phá hủy, là công cụ tấn công hệ thống trong những năm gần đây. Khả năng tự lan rộng của “sâu m áy tính” đem lại những mối nguy hiểm mới. Như trước đây chúng cần tới vài ngày h ay vài tuần để tự lan rộng th ì ngày nay chúng có th ể lan rộng trên toàn th ế giới chỉ 12
  13. trong vòng vài phút. Một ví dụ là “sâu” Slammer bắt đầu từ tháng 01/2003, đã nhân rộng trên toàn thế giới chỉ dưới 10 phút. Ngư ời ta cho rằng các thế hệ tiếp theo của virus có thể tấn công chỉ trong vài giây. Những loại “sâu máy tính” và virus này có th ể làm được nhiều nhiệm vụ khác nữa, không chỉ đơn thuần là phá hủy tài nguyên m ạng, chúng còn được sử dụng để phá hủy những thông tin đang truyền trên mạng hoặc xóa ổ cứng. Vì vậy trong tương lai sẽ có một mối đe dọa rất lớn ảnh hưởng trực tiếp tới cơ sở hạ tầng của hệ thống mạng. 5 . Chính sách an ninh Những nguy cơ đe d ọa hệ thống mạng không thể bị loại trừ hay ngăn chặn hoàn toàn. Tuy nhiên, việc đánh giá và quản lý ảnh hưởng của những nguy cơ trên sẽ góp phần giảm thiểu số lượng cuộc tấn công và những thiệt hại kèm theo chúng. Mức độ rủi ro chấp nhận được phụ thuộc vào khả năng của từng doanh nghiệp. Một chính sách an ninh là thành ph ần quan trọng trong việc quyết định nguy cơ này được quản lý như thế nào. Chính sách an ninh đư ợc hiểu là những phát biểu h ình thức của những quy tắc m à theo đó những người có quyền truy nhập vào các công nghệ, tài sản, và thông tin của một tổ chức n ào đó phải tuân theo. 5 .1 The Security Wheel (bánh xe an ninh) An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các chính sách an ninh. Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi 13
  14. vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ sở liên tục. Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel. Để bắt đầu tiến trình liên tục này cần phải tạo một chính sách an ninh mà nó cho phép b ảo mật các ứng dụng. Một chính sách an ninh cần phải thực hiện những nhiệm vụ sau:  Nhận dạng mục đích bảo mật của tổ chức  Tài liệu về tài nguyên cần bảo vệ.  Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt. Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, cần phải xác định cái mà ta muốn bảo vệ và bảo vệ nó như thế nào. Cần phải có hiểu biết vể các điểm yếu hệ thống mạng và cách mà người ta có thể khai thác nó. Cũng cần phải hiểu về các ch ức năng thông thường của hệ thống vì thế mà chúng ta phải biết là chúng ta cần cái gì và nó cũng giống với cách m à các thiết bị thông thư ờng được sử dụng. Cuối cùng là cân nh ắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệ nó. Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thể m ang lại cho người sử dụng kh ả năng tổng điều khiển trên toàn bộ thiết bị. Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an n inh ở phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào: Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật như tường lửa, hệ thống chứng thực, m ã hóa,…với mục đích là ngăn ch ặn sự truy cập trái phép đến hệ thống mạng. Đây chính là điểm m à các thiết bị tường lửa bảo m ật của Cisco có hiệu quả nhất. Bước 2: Theo dõi hệ thống mạng về các vi phạm và sự tấn công chống lại chính sách b ảo mật của công ty. Các vi phạm có thể xảy ra từ bên trong vành đai an ninh của mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do các attacker. Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intruction Detection System ( hệ thống phát hiện sự thâm nhập bảo m ật của Cisco) có thể đảm bảo các thiết bị bảo mật trong b ước 1 được cấu hình đúng. Bước 3: Kiểm tra hiệu quả của hệ thống bảo mật. Sử dụng thiết bị quét bảo mật của Cisco ( Cisco Secure Scanner) để nhận dạng tình trạng an toàn của mạng. 14
  15. Bước 4: Hoàn thiện an ninh của công ty. Sưu tầm và phân tích các thông tin từ các pha kiểm tra, thử nghiệm để hoàn thiện h ơn Cả bốn bước – Bảo mật, theo dõi, kiểm tra và hoàn thiện – cần được lặp đi lặp lại liên tục và cần phải kết hợp chặt chẽ với các phiên bản cập nhật chính sách an ninh của công ty 5 .1.1. Bảo mật hệ thống Bảo mật mạng bằng cách áp dụng các chính sách an ninh và th ực thi các chính sách an ninh dưới đây:  Chứng thực: chỉ đem lại quyền truy cập của người sử dụng  Mã hóa: Ẩn các luồng nội dung nhằm ngăn cản sự phát hiện không mong muốn đối với các cá nhân có âm mưu phá hoại hoặc cá nhân trái phép  Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và d ịch vụ h ợp pháp truyền qua  Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗ hổng được phát hiện. Công việc n ày bao gồm việc tắt các dịch vụ không cần thiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăn cho việc truy cập của attacker. Ngoài ra chúng ta cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cản việc truy cập trái phép mặt vật lý đến hệ thống mạng 15
  16. 5.1.2 . Theo dõi sự an toàn Viểm theo dõi h ệ thống mạng đối với sự xâm nhập trái phép và các cuộc tấn công chống lại chính sách an ninh của công ty. Các cuộc tấn công này có th ể xảy ra trong vành đai an ninh của hệ thống mạng từ những người lao động có âm mưu hoặc từ bên ngoài hệ thống mạng. Việc kiểm tra hệ thống mạng cũng cần thực hiện với các thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intrusion Detection System (CSIDS). Những thiết bị này trợ giúp bạn trong việc phát hiện ra các ph ần trái phép và nó cũng có vai trò nh ư là một hệ thống kiểm tra – cân bằng (check – balance system) đ ể đảm bảo rằng các thiết bị trong bước 1 của Security Wheel được cấu h ình và làm việc đúng đắn. 5 .1.3 . Kiểm tra 16
  17. Việc kiểm tra là cần thiết. Bạn có thể có một hệ thống an ninh mạng tinh vi nhất, nhưng n ếu nó không làm việc thì h ệ thống mạng của bạn có th ể bị tấn công. Điều này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1 và bước 2 để đảm bảo chúng thực hiện đúng chức năng. Cisco Secure Scanner (thiết b ị quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng 5 .1.4 . Hoàn thiện Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổng h ợp từ hai pha kiểm tra và chạy thử nghiệm. Kỹ thuật phát triển và hoàn thiện nó phục vụ cho chính sách an ninh của chúng ta và nó b ảo mật cho pha tron g bước 1. Nếu muốn duy trì h ệ thống mạng được bảo mật thì cần phải lặp lại chu trình của Security Wheel b ởi vì lỗ hổng và nguy cơ bị xâm phạm của hệ thống mạng luôn được tạo ra hàng ngày. 5 .2 Bảo vệ và quản lý các điểm cuối 5 .2.1 Công nghệ và các thành phầ n an ninh cơ bản trên host và server Các máy tính và server cần được bảo vệ khi chúng tham gia vào mạng. Phần m ềm chống virus, firewall và dò tìm xâm nhập là nh ững công cụ hữu ích đư ợc sử dụng để đảm bảo an to àn cho các máy, server. Device hardening Khi một hệ điều hành mới đ ược cài đặt trên máy tính, các thiết đặt về bảo m ật là nh ững giá trị mặc định. Trong phần lớn trường hợp, những mức độ bảo mật n ày là chưa đ ủ. Các hệ điều h ành nên áp dụng một số bư ớc đơn giản sau: 17
  18.  Nên thay đổi ngay tên người dùng và mật khẩu.  Hạn chế những truy nhập vào tài nguyên hệ thống, chỉ cho phép những cá nhân có quyền hợp pháp truy nhập.  Bất kỳ dịch vụ hay ứng dụng nào không cần thiết nên tắt đi và gỡ bỏ cài đ ặt khi có th ể. Bức tường lửa cá nhân Máy tính cá nhân kết nối Internet thông qua kết nối quay số, DSL, hoặc cáp modem cũng có thể bị nguy hiểm như những mạng lớn. Bức tường lửa cá nhân cư trú trên máy tính của người dùng và cố gắng ngăn chặn các cuộc tấn công. Một số phần mềm đóng vai trò bức tường lửa cá nhân là McAfee, Norton, Symatec, Zone Labs… Phần mềm kháng virus – Antivirus Cài đặt phần mềm kháng virus để bảo vệ hệ thống tránh khỏi sự tấn công của virus đã biết. Các phần mềm này có thể phát hiện hầu hết virus và nhiều ứng dụng của chương trình Trojan horse, ngăn chặn chúng phát tán trên m ạng. Những “miếng vá” hệ điều hành Một cách hiệu quả để giảm nhẹ ảnh hưởng của “sâu máy tính” và những biến th ể của nó là sửa chữa tất cả các hệ thống đã bị xâm phạm. Đây là điều rất khó đối với những hệ thống người dùng không kiểm soát được và càng khó khăn hơn nếu những hệ thống n ày là kết nối từ xa tới mạng thông qua mạng riêng ảo (VPN) hay server truy nhập từ xa (RAS). Việc điều hành nhiều hệ thống đòi hỏi tạo ra một ảnh phần mềm chuẩn mà được triển khai trên những hệ thống mới hay nh ững hệ thống đ ã được nâng cấp. Những ảnh n ày có thể không lưu trữ sự sửa chữa mới nhất và quá trình liên tục làm lại ảnh sẽ làm tốn thời gian quản trị. Dò tìm và ngăn chặn xâm nhập Dò tìm xâm nhập là kh ả năng phát hiện ra các cuộc tấn công vào một m ạng, gửi những ghi chép tới nơi quản lý và cung cấp cơ chế phòng ngừa sau: Ngăn chặn xâm nhập là khả năng ngăn cản các cuộc tấn công vào một mạng và cung cấp những cơ ch ế phòng ngừa sau: 18
  19.  Dò tìm: xác định các cuộc tấn công nguy hiểm trên m ạng và tài nguyên trên m áy  Ngăn chặn: dừng lại các cuộc tấn công bị phát hiện  Ph ản ứng: phòng ngừa hệ thống trước các cuộc tấn công trong tương lai. 5 .2.2 Quản lý máy tính cá nhân (PC) Kiểm k ê máy và bảo trì Những người có trách nhiệm nên duy trì các cuộc kiểm kê chi tiết tất cả các m áy tính trên mạng như các trạm làm việc, server, laptop…Có thể kiểm kê số serial của máy; kiểu phần cứng, phần mềm được cài đ ặt, tên các cá nhân được nhận phản hồi từ máy. Khi các thành phần phần cứng, phần mềm hoặc các thiết bị lưu trữ được thay thế thì quá trình kiểm kê cũng phải cập nhật những thay đổi. Một việc làm cần thiết nữa là đào tạo những người làm trong tổ chức để họ có thể giữ an toàn cho m áy. Cập nhật phần mềm kháng virus Khi virus mới hoặc những ứng dụng mới dạng ch ương trình “những chú n gựa thành Troa” được phát hiện, doanh nghiệp cần cập nhật phần mềm kháng virus m ới nhất và phiên bản mới nhất của ứng dụng. Để quá trình quét virus thành công, nên hoàn thành những việc sau:  Quét những file thư ờng dùng trong máy  Cập nhật danh sách virus và các dấu hiệu  Theo dõi thường xuyên nh ững cảnh báo từ những máy scanner 5 .3. Bảo vệ và quản lý mạng 5 .3.1 Các thành phần và công nghệ cơ sở của an ninh mạng Firewall trên nền trang thiết bị (Appliance-based Firewalls) Firewall trên n ền trang thiết bị được thiết kế với nền tảng không có ổ cứng. Điều này cho phép quá trình Boot nhanh h ơn, kiểm tra giao thông ở tốc độ dữ liệu b ậc cao và giảm nhẹ thất bại. Giải pháp của Cisco bao gồm một IOS Firewall được tích h ợp và một thiết bị PIX chuyên dụng. Đặc tính của IOS Firewall có thể được 19
  20. cài đ ặt và cấu hình trên Router của Cisco. PIX là một giải pháp bảo mật phần cứng và phần mềm cung cấp công nghệ lọc gói và proxy server. Một số nh à cung cấp Firewall trên nền trang thiết bị là Juniper, Nokia, Symatec, Watchguard và Nortel Networks. Đối với những mạng trong phạm vi gia đ ình thì thích hợp với Linksys, Dlink, Netgear, SonicWALL. Firewall trên nền server Giải pháp Firewall trên n ền server chạy trên hệ điều hành mạng như UNIX, NT hay WIN2K, Novell. Nó là giải pháp mà kết hợp một firewall, điều khiển truy nhập và những đặc điểm của mạng riêng ảo trong một gói.Ví dụ về các giải pháp trên là Microsoft ISA Server, Linux, Novell, BorderManager, Checkpoint Firewall- 1. Mức độ bảo mật của Firewall trên nền server có th ể nhỏ hơn của Firewall trên n ền trang thiết bị. Mạng riêng ảo VPN Một mạng riêng ảo là b ất kỳ mạng máy tính nào được xây dựng trên một m ạng công cộng và được phân chia sử dụng cho các cá nhân riêng lẻ. FrameRelay, X25 và ATM được xem là các VPN lớp 2 trong mô hình OSI. Nh ững dạng khác của VPN là các IP VPN, được xem là các VPN lớp 3. Về căn bản, có 3 dạng khác nhau của VPN mà doanh nghiệp sử dụng  Remote-access VPNs  Site-to-site extranet and intranet VPNs  Campus VPNs Hình 2.6. Remote-access VPNs 20
ADSENSE
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2