Tải bản đầy đủ (.pdf) (68 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

Giáo trình Xây dựng hệ thống firewall (Nghề Quản trị mạng máy tính - Trình độ Cao đẳng)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.28 MB, 68 trang )

ỦY BAN NHÂN DÂN TỈNH AN GIANG

TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG

GIÁO TRÌNH
D

H T

NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH
T ì

độ c o đẳ

(Ban hành theo Quyết định số:

/QĐ-CĐN ngày tháng năm 20

của Hiệu trưởng trường Cao đẳng nghề An Giang)

Tên tác giả : Lê Thị Ngọc Trâm
Năm ban hành: 2019


TUYÊN BỐ BẢN QUYỀN

Tài liệu này thuộc loại sách giáo trình nên các nguồn thơng tin có thể được
phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh
doanh thiếu lành mạnh sẽ bị nghiêm cấm.



LỜI GIỚI THIỆU
An tồn thơng tin là nhu cầu rất quan trọng đối với các cá nhân cũng như
xã hội và các quốc gia trên thế giới. Mạng máy tính an tồn thơng tin được tiến
hành thơng qua các phương pháp vật lý và hành chính. Từ khi ra đời cho đến
nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực
của đời sống. Bên cạnh đó người sử dụng phải đối mặt với các hiềm họa do
thông tin trên mạng của họ bị tấn cơng. An tồn thơng tin trên mạng máy tính
bao gồm các phương pháp nhằm bảo vệ thơng tin được lưu giữ và truyền trên
mạng. An tồn thơng tin trên mạng máy tính là một lĩnh vực đang được quan
tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và tphức tạp.
Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn cơng
thơng tin trong q trình xử lý, truyền và lưu giữ thông tin. Những tác động bất
hợp pháp lên thơng tin với mục đích làm tổn thất, sai lệch, lấy cắp các tệp lưu
giữ tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thơng tin
trong các mạng máy tính.
Tường lửa (Firewall) không chỉ là một dạng phần mềm (như tường lửa
trên Windows) mà nó cịn có thể là phần cứng chun dụng trong các mạng
doanh nghiệp. Các tường lửa là phần cứng này giúp máy tính của các cơng ty có
thể phân tích dữ liệu ra để đảm bảo rằng malware khơng thể thâm nhập vào
mạng, kiểm sốt hoạt động trên máy tính mà nhân viên của họ đang sử dụng. Nó
cũng có thể lọc dữ liệu để chỉ cho phép một máy tính chỉ có thể lướt web, vơ
hiệu hóa việc truy cập vào các loại dữ liệu khác.
Nội dung cuốn sách được dùng để giảng dạy bậc cao đẳng và trung cấp
chuyên ngành công nghệ thông tin. Giúp cho sinh viên có kiến thức cơ bản nhất
về tường lửa (Firewall).
Tài liệu gồm các nội dung chính sau:
- Bài 1: Giới thiệu Firewall
- Bài 2: Tăng cường bảo mật cho thiết bị
- Bài 3: Triển khai hệ thống Firewall

- Bài 4: Giới thiệu về Forefront Threat Managerment Gateway (TMG)
Do thời gian cịn hạn chế, tài liệu chắc chắn khơng thể tránh khỏi những
thiếu sót. Rất mong nhận được các ý kiến đóng góp và xây dựng của bạn đọc.
Xin chân thành cảm ơn!
An Giang, ngày tháng
năm 2019
Tham gia biên soạn
1. Chủ biên: Lê Thị Ngọc Trâm
2. Phản biện: Phương Phương Thúy

1


MỤC LỤC

ĐỀ MỤC
TRANG
Lời giới thiệu ...................................................................................................... 1
Mục lục ............................................................................................................... 2
BÀI 1: GIỚI THIỆU FIREWALL ..........................................................
4
I. Mơ hình triển khai. ............................................................................................. 4
II. Các thành phần cơ bản của Firewall. .................................................................. 5
III. Nguyên lý hoạt động của Firewall ..........................................................................9

IV. Các loại Firewall .....................................................................................................9
BÀI 2: TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ ....................................... 11
I. Các loại tấn công vào hệ thống mạng ................................................................ 11
II. Cấu hình bảo mật ............................................................................................ 17
BÀI 3: TRIỂN KHAI HỆ THỐNG FIREWALL . . . . … … … … … … … . 2 0

I. Giới thiệu Cisco IOS Firewall ........................................................................... 20
II. Cấu hình Cisco IOS Firewall ........................................................................... 24
BÀI 4: GIỚI THIỆU VỀ FOREFRONT THREAT MANAGERMENT
GATEWAY (TMG) ........................................................................................... 32
I. Tìm Hiểu Forefrent TMG ................................................................................ 32
II. Triển khai cài đặt TMG ......................................................................................... 36

Thuật ngữ chuyên môn ................................................................................... 65
Tài liệu tham khảo........................................................................................... 66

2


GIÁO TRÌNH MƠN HỌC/MƠ ĐUN
Tên mơ đun: XÂY DỰNG HỆ THỐNG FIREWALL
Mã mơ đun: MĐ 24
Vị trí, tính chất, ý nghĩa và vai trị của mơn học/mơ đun:
- Vị trí: Mơ đun được bố trí sau khi sinh viên học xong mơn học, mơ đun
Mạng máy tính, Quản trị mạng 1, Cơng nghệ mạng khơng dây, Cấu hình và
quản trị thiết bị mạng.
- Tính chất: Là mơn học chun ngành bắt buộc.
- Ý nghĩa và vai trị của mơn học/mơ đun:
Mục tiêu của môn học/mô đun:
- Về Kiến thức:
+ Nhận biết được các thành phần cơ bản Firewall, mơ hình triển khai thực
tế..
+ Trình bày các loại tấn cơng vào hệ thống mạng.
+ Trình bày được vai trị các kỹ thuật packet filtering.
+ Trình bày được vai trị và ứng dụng của proxy.
+ Trình bày được tầm quan trọng của TMG trong việc bảo vệ hệ thống

mạng
+ Hiểu được các tính năng trên TMG
+ Hiểu được khái quát các khả năng và nét đặc trưng của TMG
- Về kỹ năng:
+ Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực
hiện chính xác thao tác sao lưu cấu hình mặc định của Firewall;
+ Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành
file;
+ Cài đặt và cấu hình được ISA Server trên windows Server.
+ Cài đặt được TMG trên Windows Server theo đúng qui định
+ Thiết lập được các rule để bảo mật cho hệ thống
+ Thiết lập Web Client Protection để bảo vệ các mối đe dọa duyệt Web
+ Thiết lập E-mail Protection để bảo vệ người dùng khỏi các mối đe dọa
từ e-mail
+ Thiết lập Network Intrusion System để bảo vệ máy tính và các máy chủ
khỏi các nổ lực xâm nhập
- Về năng lực tự chủ và trách nhiệm: Bố trí làm việc khoa học đảm bảo an
tồn cho người và phương tiện học tập.
Nội dung của môn học/mô đun: được thể hiện qua các bài sau:
- Bài 1: Giới thiệu Firewall
- Bài 2: Tăng cường bảo mật cho thiết bị
- Bài 3: Triển khai hệ thống Firewall
- Bài 4: Giới thiệu về Forefront Threat Managerment Gateway (TMG)

3


BÀI 1: GIỚI THIỆU FIREWALL
--------------


Giới thiệu
Qua bài này trình bày được giới thiệu Firewall, các mơ hình triển khai và
ngun lý hoạt động của Firewall.
Mục tiêu:
- Nhận biết được các thành phần cơ bản của Firewall, mơ hình triển khai
thực tế
- Trình bày được vai trị và các kỹ thuật packet filtering
- Trình bày được vai trị và ứng dụng của proxy
- Thực hiện các thao tác an toàn với máy tính.
Nội dung chính:
I. MƠ HÌNH TRIỂN KHAI
1. Mơ hình Bastion Host:

Bastion Host Firewall là một trạm được cấu hình để chặn đứng mọi cuộc tấn
cơng từ phía bên ngồi vào. Đây là điểm giao tiếp trực tiếp với mạng khơng tin cậy
bên ngồi, do đó dễ bị tấn cơng nhất. Có hai dạng của máy phịng thủ:
Máy phịng thủ có hai card mạng, một nối với hệ thống bên trong (mạng nội bộ)
và card còn lại nối với bên ngồi mạng Internet. Đây là dạng tường lửa có từ rất sớm,
nó yêu cầu người sử dụng bên trong phải kết nối với tường lửa trước khi làm việc với
mạng bên ngồi. Với giải pháp này tường lửa đã cơ lập được mạng bên trong với mạng
bên ngoài bằng những máy phịng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự
nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài.
Dạng thứ hai của cơ cấu phịng thủ này là máy phịng thủ có một card mạng
được nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức ứng dụng. Gateway
này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu
hình này. Nó khơng chỉ định hướng các gói đến hệ nội bộ, mà cịn cho phép các hệ
thống nội mở kết nối với Internet hoặc khơng cho phép kết nối. Kiến trúc screening
subnet cịn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm
việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập.


4


2. Mơ hình Back-End Firewall:

Back-End Firewall có một NIC nối với external interface và NIC còn lại
nối với mạng internal interface. Back-end firewall này có nhiệm vụ kiểm sốt
traffic từ external và Internet tới mạng internal.
3. Mô hình 3-leg (Three-homed)

Cần tới một thiết bị có ba NIC (network interface card). Trong đó, một
NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối
với mạng internal. Đó là lý do tại sao người ta gọi nó là “3-legged firewall” (mỗi
“chân” của firewall chính là một NIC của nó). Lúc này “3- legged firewall” phải
có khả năng kiểm sốt tồn bộ traffic vào/ra giữa ba mạng (internal, external và
DMZ) và nó trở thành điểm chịu lỗi duy nhất (single point of failure) cho toàn
hệ thống mạng. Nếu có sự cố xảy ra với “3- legged firewall” này thì cả DMZ và
mạng internal đều khơng cịn được bảo vệ nhưng bù lại khơng phải tốn chi phí
đầu tư thêm một firwewall nữa.
II. CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL
1. Packet Filter:
- Là chức năng chính của Firewall, điều khiển
truy cập mạng bằng phân tích các gói tin đi vào/ đi ra.
- Thành phần quan trọng trong bảo mật ở mạng
vành đai (Perimeter Security)
- Ưu điểm: Không làm tốn băng thông
- Packets bao gồm 2 loại nội dung chính:
Thơng tin điều khiển (Header), dữ liệu (Data).
- Nội dung Header trong Packet được dùng để
cho phép hoặc cấm packet đó khi đi qua firewall trên

5


cơ sở Port, IP address và Protocol.
a. Các thiết bị hỗ trợ Packet Filtering
- Router: Packet Filter ngăn chặn các traffic xâm nhập trái phép.
- Hệ điều hành: Windows và Linux xây dựng sẵn công cụ thực thi Packet
Filtering trên chồng giao thức TCP/IP.
Ví dụ: ZoneAlarm, Check Point Firewall – 1 đều hỗ trợ packet filtering.
b. Các loại Packet Filtering
- Stateless (static) packet filtering
+ Xem nội dung trong header của packet và quyết định cho phép hoặc loại
bỏ packet đó.
+ Cấm traffic từ một subnet.
- Stateful Packet Filtering (Stateful Inspection): duy trì trạng thái của kết
nối trong khi thực thi tất cả chức năng của Stateful Packet Filtering .
- Không quan tâm đến kết nối đã được thiết lập hay không.
- Kỹ thuật này thường dùng khi muốn ngăn cấm hồn tồn một traffic xác
định.
- Cấu hình Stateful Packet Filtering dựa trên:
+ Thông tin IP header
+ TCP/UDP Port number
+ ICMP message type
+ Fragmentation flags (ACK, SYN)
- Duy trì bảng trạng thái của các kết nối hiện tại.
- Kiểm tra tính hợp lệ của gói tin trên cơ sở bảng trạng thái và các luật.
- Cho phép các Packets trên cơ sở các Packets mới trước đây đã được
chấp nhận.

6



2. Proxy Server (Application Proxy, Application-level Gateway)
Theo dõi và làm việc trên dữ liệu của gói dữ liệu IP, chặn tất cả các yêu
cầu tới Server thực sự và cố gắng xử lý yêu cầu của Client.
a. Nguyên lý hoạt động:
Proxy chặn các yêu cầu từ các máy tính trong mạng nội bộ(internal
network) và chuyển các yêu cầu đó đến máy tính đích trên mạng Internet.
b. Phân loại
- Dạng kết nối trực tiếp: Người dùng Client gửi yêu cầu trực tiếp tới
Proxy Server để thực thi và trả kết quả về Client.
- Dạng dùng phần mềm Proxy Client: Người dùng cài đặt Proxy Client tại
máy của họ. Khi có nhu cầu giao tiếp với Internet Server, Proxy Client gửi tới
Proxy Server.
- Transparent Proxy: Một loại Proxy phát triển gần đây, là sự kết hợp giữa
Gateway và Proxy Server. Những Packets đi vào Gateway tự động được đổi
hướng đến Proxy Server. Proxy Server giao tiếp với Internet Server để thực thi.
c. Vai trò của Proxy:
- Che dấu các máy nội bộ khỏi các người dùng bên ngồi muốn tìm cách
truy cập vào các máy bên trong mạng nội bộ.
- Block URL: Ngăn chặn các người dùng truy cập các website có nội
dung không hợp lệ được thiết lập bởi người quản trị.
- Block và Filter Content: Kiểm tra nội dung của gói tin và ngăn chặn nếu
nội dung độc hại.
d. Ứng dụng của Proxy Server:
Chia sẻ mạng Internet & bảo mật cho mạng nội bộ: Là giải pháp dùng
máy có kết nối Internet (Proxy Server) thực thi các nhu cầu giao tiếp Internet do
các Proxy Client gửi đến. Trả kết quả về Client sau khi thực thi xong.
7



3. Authentication System:
a. Nguyên lý hoạt động:

Trong môi trường máy tính, xác thực được dùng ở nhiều ngữ cảnh khác
nhau, ví dụ: xác thực tên đăng nhập và mật khẩu của người sử dụng trước khi
cho phép người sử dụng thao tác trên hệ thống máy tính (xác thực của hệ điều
hành), xác thực tên đăng nhập và mật khẩu trước khi cho phép người dùng kiểm
tra hộp thư điện tử (xác thực của Mail server); trong giao dịch ngân hàng, thủ
tục xác thực dùng để xác định người đang ra lệnh thanh tốn có phải là chủ tài
khoản hay không; trong trao đổi thông tin, thủ tục xác thực dùng để xác định
chính xác nguồn gốc của thơng tin.
Khi việc xác thực được thực hiện thông qua mạng, một số hệ thống thực
hiện việc mật mã hoá tên đăng nhập và mật khẩu trước khi truyền đi để tránh bị
tiết lộ, nhưng cũng có nhiều hệ thống gởi trực tiếp những thơng tin nhạy cảm
này trên mạng (ví dụ như các dịch vụ FTP, Telnet, …) gọi là cleartext
authentication.
b. Vai trò: Chứng thực người dùng trên cơ sở username và password.
c. Ứng dụng: dùng trong xác thực như thẻ thông minh (Smartcard), chứng
thực số (digital certificate), các thiết bị nhận dạng sinh trắc học (biometric
devices),… Để tăng độ tin cậy của cơ chế xác thực, nhiều kỹ thuật được sử dụng
phối hợp nhau gọi là multi-factor authentication. Ví dụ: xác thực dùng thẻ thông
8


minh kèm với mật khẩu, nghĩa là người sử dụng vừa có thẻ vừa phải biết mật
khẩu thì mới đăng nhập được, tránh trường hợp lấy cắp thẻ của người khác để
đăng nhập
4. Network Address Translation (NAT):
a. Nguyên lý hoạt động:

Chuyển đổi địa chỉ trong header gói tin trong khi được vẫn chuyển ngang
qua thiết bị
b. Vai trò:
- Chia sẻ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP
của WAN.
- NAT như một Firewall, nó giúp che dấu tất cả IP bên trong LAN với thế
giới bên ngồi bằng public IP.
- Tính linh hoạt và sự dễ dàng trong việc quản lý.
- Giảm chi phí thiết lập một mơ hình mạng.
c. Ứng dụng: dùng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy
cập đến mạng cơng cộng (Internet).
III. NGUN LÝ HOẠT ĐỢNG CỦA FIREWALL
1. Cơ chế
Tạo các Rule để quản lý việc truy xuất mạng trong hệ thống. Giám sát
hoạt động của hệ thống đảm bảo an toàn cho hệ thống.
2. Ứng dụng
- Firewall đáp ứng các yêu cầu an toàn dữ liệu
+ Bảo mật
+ Tính tồn vẹn
+ Tính kịp thời
+ Tài nguyên hệ thống
- Firewall bảo vệ chống lại những sự tấn cơng từ bên ngồi:
+ Tấn cơng trực tiếp
+ Nghe trộm
+ Giả mạo địa chỉ IP
+ Từ chối dịch vụ (Deny ò Service)
IV. CÁC LOẠI FIREWALL
1. Firewall cứng:
Firewall cứng là những firewall được tích hợp trên Router hay các
thiết bị firewall phần cứng chuyên biệt như Cisco ASA, Cisco PIX, Nokia

Checkpoint, Juniper, Crossbeam, Fortigate, Virgo…
2. Firewall mềm:
Firewall mềm là những phần mềm Firewall được cài đặt trên Server
như ZoneAlarm, Norton Firewall, ISA Server, Winroute.

9


CÂU HỎI ƠN TẬP
1. Giới thiệu các mơ hình triển khai hệ thống có Firewall?
2. Các thành phần cơ bản của Firewall?
3. Nêu nguyên tắc hoạt động của Firewall?
4. Phân biệt Stateful và Staless Packet Filtering?
5. Nêu vai trò của Proxy và ứng dụng của Proxy vào thực tế như thế nào?

10


BÀI 2: TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ
------------------Giới thiệu:
Trong bài này trình bày được tăng cường bảo mật cho thiết bị, các loại tấn
công vào hệ thống mạng và cách phịng chống các cuộc tấn cơng vào hệ thống
mạng.
Mục tiêu:
- Nhận biết các nguy cơ bị tấn công của hệ thống mạng
- Giải thích được các bước để hack một hệ thống mạng
- Trình bày được các loại tấn cơng vào hệ thống mạng
- Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router
- Thực hiện các thao tác an tồn với máy tính.
Nội dung chính:

I. CÁC LOẠI TẤN CÔNG VÀO HỆ THỐNG MẠNG
1. Trình bày các loại tấn công vào hệ thống mạng
a. Minimal Intelligence:

Reconnaissance:
Khám phá trái phép và lập bản đồ của các hệ thống, dịch vụ hoặc các
lỗ hổng.
Thu thập thông tin và trong hầu hết trường hợp, đứng trước một cuộc
tấn công truy cập hay Dos.
Các cuộc tấn cơng Reconnaissance có thể bao gồm:
- Packet sniffers:
+ Một Packet sniffers là phần mềm ứng dụng sử dụng card mạng trong
chế độ promiscuous để bắt những tất cả các gói tin trong mạng.
+ Khai thác thông tin dạng Plaintext, các giao thức sử dụng Plaintext như:
Telnet, FTP, SNMP, POP và HTTP
+ Phải nằm trên cùng một colision domain.
+ Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn công.
- Port scans và Ping sweeps:
+ Một hacker sử dụng các công cụ để scan các port và ping quét dò xét
qua Internet.
11


+ Là công cụ hợp pháp dùng để scan port và ping quét các ứng dụng trên
các máy chủ hay các thiết bị để xác định các dịch vụ dễ bị tổn thương.
+ Thông tin được thu thập bằng cách kiểm tra địa chỉ IP và port của ứng
dụng chạy trên cả UDP hay TCP.

Access attacks:
Man-in-middle attacks: các kè tấn công đứng ở giữa lắng nghe thông

tin giữa người gửi và người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi
đến hai bên.
Buffer overflow:
- Một chương tình ghi dữ liệu vượt quá giới hạn kết thúc của bộ đệm
trong bộ nhớ.
- Việc tràn bộ đệm có thể dẫn đến dữ liệu hợp lệ bị ghi đè.
Dos và Ddos attacks: điển hình là IP Spoofing
Ví dụ DDos

12


Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập trái
phép vào máy tính.
- Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên ngồi
mạng đóng vai trị như máy tính tin cậy đang liên lạc.
- Giả mạo địa chỉ IP bao gồm: thêm những dữ liệu độc hại hoặc các
lệnh và luồng dữ liệu hiện có. Thay đổi bảng định tuyến.
- Giả mạo địa chỉ là một trong các bước cơ bản trong kiểu tấn công
Dos hay Ddos.
Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính
năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác
định gói tin giả mạo, vơ hiệu hóa các tùy chọn con đường nguồn.
Anti-Dos: tính năng này giới hạn số lượng half-open các kết nối TCP
mà hệ thống cho phép ở bất kỳ thời điểm nào.
Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao
tiếp với ISP.
b. Worm, Virus, Trojan Horse Attacks:
- Dựa vào các lỗ hổng để chúng xâm nhập và tự cài đặt vào hệ thống.
- Sau khi tiếp cận được mục tiêu chúng chuyển hường dị tìm các mục tiêu

mới theo điều khiển của hacker.
- Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm được đặc
quyền truy cập và khai thác hệ thống.
c. Application Layer attacks:
- Khai thác các ứng dụng như: mail, http và fpt,…
- Thường sử dụng các port được phép đi qua các tường lửa (ví dụ: TCP
port 80 được dùng trong tấn công máy chủ Web đằng sau một tường lửa).
- Loại tấn cơng này thường khó loại bỏ hồn tồn vì nó ln dị tìm sử
dụng lỗ hổng mới.
- Cơng cụ điển hình trong Application Layer attacks là Netcat, là công cụ
mà đọc hoặc ghi dữ liệu trên bất kỳ kết nối TCP/UDP, chuyển tiếp các kết nối
TCP và có thể hành động như một máy chủ TCP/UDP.
- Ví dụ về Netcat:

13


d. Nguy cơ từ các giao thức quản trị mạng (Management Protocols)
- Các giao thức quản trị mạng có thể là nguy cơ cho các cuộc tấn công
như: SNMP, Syslog, NTP,TFTP.
+ SNMP: sử dụng cơ chế xác thực đơn giản, gửi dữ liệu dạng chữ thô
(plaintext).
+ Syslog: dữ liệu được gửi dưới dạng chữ thô giữa các thiết bị quản lý và
các host.
+ TFTP: dữ liệu được gửi dưới dạng chữ thô giữa các máy chủ yêu cầu và
máy chủ TFTP.
+ NTP: với giao thức đồng bộ thời gian, các máy chủ trên internet không
cần sự chứng thực của các máy ngang hàng.
e. Xác định rủi ro và mối đe dọa:
- Có một số cơng cụ và kỹ thuật mà có thể được sử dụng để tìm các lỗ

hỏng trong mạng.
- Sau khi xác định được lỗ hỏng hay các nguy cơ, chúng ta ln có thể tìm
ra cách bảo vệ và phịng chống nguy cơ bị tấn cơng mạng.

14


+ Nmap

f. Các rủi ro của Router Service và Interface:
- Router Cisco có thể được sử dụng như: thiết bị Edge Firewall hay router
nội bộ. Các lỗ hỏng có thể được khai thác bất kỳ ở router nào, không phụ thuộc
vào vị trí của router đó.
- Lỗ hỏng có thể từ các dịch vụ không được bảo mật trên router hay các
intreface router không được sử dụng.
g. Looking Down Router với AutoSecure:
- Tính năng AutoSecure được tích hợp từ dịng Cisco IOS phiên bản 12.3
trở về sau này.
- AutoSecure: là công cụ built-in cho phép loại bỏ các mối hiểm họa tồn
tại trên router một cách nhanh chóng và dễ dàng.
- AutoSecure hoạt động ở hai chế độ:
+ Interactive mode: dựa vào những câu hỏi, trả lời tương tác để các bạn
lựa chọn cấu hình các dịch vụ trên router và các tính năng liên quan đến bảo
mật.
+ None-interactive mode: cấu hình bảo mật cho các thiết bị chỉ dựa vào
những thông số mặc định của cisco IOS mà không có sự thay đổi chỉnh sửa nào.
2. Cách phịng chống
a. Minimal Intelligence
- Reconnaissance: dùng các kỹ thuật và các công cụ bao gồm: Chứng
thực (Authentication), mật mã (Crytography), các công cụ Antisniffer, thay đối

cơ sở hạ tầng (Switched infrastructure).
+ Port scans và Ping sweeps: dùng các kỹ thuật và các công cụ bao gồm:
Network-based IPS (NIPS) và Host-based IPS(HIPS) thường có thể thơng báo
15


cho bạn biết khi có một cuộc tấn cơng reconnaissance. IPS so sánh lưu lượng
truy cập đến hệ thống phát hiện xâm nhập (IDS) hoặc dấu hiệu nhận dạng tấn
công (signatures) trong cơ sở dữ liệu IPS. Dấu hiệu nhận dạng như “một số gói
tin đến các port đích khác nhau từ cùng một nguồn địa chỉ trong một thời gian
ngắn có thể được dùng để phát hiện scan port.
- Access attacks:
+ Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính
năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác
định gói tin giả mạo, vơ hiệu hóa các tùy chọn con đường nguồn.
+ Anti-Dos: tính năng này giới hạn số lượng half-open các kết nối
TCP mà hệ thống cho phép ở bất kỳ thời điểm nào.
+ Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao
tiếp với ISP.
h. Worm, Virus, Trojan Horse Attacks:
- Sử dụng các phần mềm Anti-Virus.
- Cập nhật các bản vá lỗi mới nhất của phần mềm, ứng dụng và cả hệ điều
hành.
- Triển khai hệ thống chống xâm nhập trên các host (ví dụ: Cisco
Sercurity Agent).
- Cập nhật kiến thức những phát triển mới nhất về các phương pháp tấn
công dựa vào Worm, Virus hay Trojan Horse Attacks.
- Ngăn chặn sự lây lan của Worm hay Virus trong hệ thống mạng, thực
hiện cách ly để kiểm dịch, quét sạch các Worm hay Virus thậm chí là cài đặt lại
hệ thống.

i. Application Layer attacks:
- Tìm hiểu hệ điều hành mạng và các tập tin đăng nhâp mạng.
- Cập nhật các bản vá lỗi mới nhất cho các ứng dụng và kể cả hệ điều
hành.
- Sử dụng hệ thống IPS/IDS để theo dõi, phát hiện và ngăn chặn các cuộc
tấn công.
j. Nguy cơ từ các giao thức quản trị mạng (Management Protocols)
- Cấu hình quản trị mạng sử dụng cơ chế SSL/SSH.
- Sử dụng ACL để xác định danh sách truy cập đến máy chủ quản lý và
chỉ cho phép truy cập đến các máy chủ quản lý thông qua SSH hay HTTPS,…
- Sử dụng các giao thức quản trị an toàn và bảo vệ dữ liệu với IPSec.
- Thực hiện RFC 3.704 lọc tại router để làm giảm cơ hội của các hacker
từ bên ngoài giả mạo các địa chỉ quản lý của các máy chủ.
k. Xác định rủi ro và mối đe dọa:
- Có một số cơng cụ và kỹ thuật mà có thể được sử dụng để tìm các lỗ
hỏng trong mạng.
- Một số công cụ phổ biến hiện nay:
+ Blue’s PortScanner: là cơng cụ qt mạng khá nhanh, có thể quét hơn
300 port trong một giây. Cung cấp tính năng quét TCP/UDP với Anti-flood và
Ping check.

16


+ Wireshark (trước đây là Ethereal): là công cụ quét và phân tích traffic
hàng đầu.
+ Microsoft Baseline Security Analyzer
II. CẤU HÌNH BẢO MẬT
1. Cấu hình AutoSecure với SDM (Security Device Manager)
- SDM là một trình thuật giao diện đồ họa điều khiển cấu hình Cisco

Router một cách đơn giản.
- SDM cũng cho phép cấu hình tường lửa trên Cisco Router khá hiệu quả
thông qua Cisco IOS Firewall.
- SDM cung cấp tính năng Security Audit wizard thực hiện tiến trình kiểm
sốt sự an ninh trên Cisco Router, ghi nhận đánh giá các lỗ hỏng để giúp ta
nhanh chóng tìm cách khắc phục.
- SDM cịn có thể thực hiện hầu như tất cả các cấu hình mà AutoSecure
cung cấp với tính năng One-Step Lockdown.
2. Cấu hình Router Passwords:
- Cisco IOS cung cấp một số tính năng cải tiến cho phép tăng độ bảo mật
hệ thống với password bao gồm: chiều dài mật khẩu tối thiểu, mã hóa mật khẩu,
chứng từ với user.
- Để thiết lập chiều dài tối thiểu của mật khẩu ta thực hiện lệnh dưới đây:

- Ví dụ: Cấu hình cho độ dài mật khẩu yêu cầu tối thiểu là 10
- Mã hóa tất cả các password trong file cấu hình của Router.

- Nâng cao tính năng bảo mật router với username và password.

17


3. Cấu hình Banner Message:
- Banner message được sử dụng để cảnh báo những kẻ xấu xâm nhập
không được chào đón vào hệ thống mạng của bạn.
- Có bốn biến lệnh được sử dụng trong banner message:
+ $hostname): hiển thị tên router
+ $(domain): hiển thị domain của router.
+ $(line): hiển thị số line vty hay tty
+ $(line-desc): hiển thị mô tả của line vty hay tty

- Ví dụ:

8. Bảo mật tập tin cấu hình:
- Bật tính năng phục hồi Cisco IOS Image:
- Tạo bản sao cho running configuration
- Hiển thị thông tin trạng thái khả năng phục hồi image hay tập tin cấu
hình.

CÂU HỎI ƠN TẬP
1. Nêu các loại tấn cơng vào hệ thống mạng?
2. Nêu cấu hình Router Passwords?
3. Nêu cấu hình AutoSecure với SDM (Security Device Manager)?
4. Nêu thiết lập Login Failure Rate?
5. Nêu thiết lập Multiple Privilege Levels?

18


BÀI TẬP:

u cầu:
1. Thiết lập mơ hình như hình vẽ và cấu hình định tuyến RIPv2 để tất cả
các PC và Server ping thấy nhau.
2. Cấu hình secret password để bảo mật tất cả các router.
3. Cấu hình chứng thực Local AAA khi truy cập cổng console trên R1.
4. Cấu hình chứng thực Local AAA khi truy cập telnet từ xa đến R1.
5. Cấu hình ACL để chặn tất cả các truy cập từ xa đến R1, R2 và R3 ngoại
trừ PC-C

19



BÀI 3: TRIỂN KHAI HỆ THỐNG FIREWALL
Giới thiệu:
Qua bài này trình bày được các đặc điểm về Cisco IOS Firewall, phân loại
và cấu hình từng loại Cisco IOS Firewall.
Mục tiêu:
- Trình bày được đặc điểm của Cisco IOS Firewall.
- Giải thích được chiến lược phịng thủ theo từng tầng.
- Trình bày được các kỹ thuật Firewall.
- Cấu hình được Cisco IOS Firewall.
- Thực hiện các thao tác an toàn với máy tính.
Nội dung:
I. GIỚI THIỆU CISCO IOS FIREWALL
1. Tổng quan về Cisco IOS Firewall
- Cisco IOS Firewall là loại Firewall dựa trên router sử dụng IOS hỗ trợ
tính năng Firewall.
- Các gói tin sẽ được Cisco IOS Firewall kiểm tra nếu gói tin khơng bị
ngăn cấm bởi ACL.
- Cisco IOS Firewall cho phép hay ngăn cấm traffic TCP hay UDP xác
định đi qua.
- Cisco IOS Firewall xây dựng bảng state table để duy trì thơng tin
session.
- ACL được tạo hay xóa một cách linh hoạt.
- Cisco IOS Firewall ngăn chặn kiểu tấn công Dos

2. Phân loại về Cisco IOS Firewall
a. Cisco IOS Firewall Feature Set
Cisco IOS Firewall Authentication Proxy
- Chứng thực HTTP, HTTPS, FTP, Telnet.

- Cung cấp cơ chế chứng thực linh hoạt, chứng thực user và xác thực qua
các giao thức TACACS + RADIUS

20


Cisco IOS Firewall IPS
- Là một bộ tìm kiếm và ngăn chặn xâm nhập.
- Khi kẻ tấn công được phát hiện, bộ tìm kiếm có thể thực thi những hành
động sau:
+ Alarm: gửi 1 cảnh báo đến SDM hoặc syslog server.
+ Drop: hủy bỏ gói tin
+ Reset: gửi tín hiệu TCP reset để kết thúc session
+ Block: khóa IP kẻ tấn công hoặc session trong thời gian xác định.
- Nhận biết hơn 700 kiểu tấn công phổ biến

Cisco IPS Signature Actions

Cisco IOS ACLs Revisited
- ACL cung cấp bộ lọc traffic theo những tiêu chuẩn sau:
+ Theo địa chỉ IP nguồn và đích
+ Theo port nguồn và đích
- ACL có thể được sử dụng để triển khai một bộ lọc firewall, tuy nhiên sẽ
có một số hạn chế sau:
+ Các port phải được mở cố định để cho phép traffic, tạo ra một cơ hội để
tấn công.
+ Các ACL không hoạt động với những ứng dụng có q trình thương
thuyết port linh động.
+ Cisco IOS Firewall sẽ khắc phục những hạn chế của các ACL


21


b. Cisco IOS Firewall Function
Cisco IOS Firewall TCP Handling

Cisco IOS Firewall UDP Handling

22


c. Cisco IOS Firewall Process
- Cách thức hoạt động của Cisco IOS Firewall

- Timeout and Threshold Value

- Alerts và Audit Trails
+ Cisco IOS Firewall đưa ra các cảnh báo thời gian thực và giám sát các
dấu vết.
+ Tính năng Audit Trail sử dụng syslog để ghi nhận tất cả nhật ký mạng.
+ Với các luật kiểm tra trong Cisco IOS Firewall, bạn có thể cấu hình các
thơng tin cảnh báo và giám sát dấu vết trên 1 giao thức ứng dụng cơ bản.

23


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×