TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN

Bài giảng mơn học:

AN NINH MẠNG

Số tín chỉ: 3
Tổng số tiết: 60 tiết
(30 LT + 30 TH)

Giảng viên: ThS. Phạm Đình Tài
Tel: 0985.73.39.39
Email:


Môn học: AN NINH MẠNG
Bài 1

Các kỹ thuật tấn công mạng.

Bài 2

Các kỹ thuật mã hóa và xác thực

Bài 3

Triển khai hệ thống Firewall

Bài 4

Chứng thực trên Firewall

Bài 5

Thiết lập các chính sách truy cập

Bài 6

Bảo vệ Server cơng cộng

Bài 7

Bảo mật truy cập từ xa
-2-


Bài 3: Triển khai hệ thống Firewall
Một số nguy cơ tấn công mạng
Tổng quan về Firewall
Các chức năng cơ bản của Firewall
Các mơ hình triển khai Firewall
Các hình thức giao tiếp mạng qua Firewall
Chứng thực trên Firewall


Một số nguy cơ tấn cơng mạng
• Scanning:
• Dị tìm thơng tin của Victim. Các thơng tin cần tìm: tên và Version của
Hệ điều hành, các Services và Port đang mở, các điểm yếu, lỗ hỏng bảo
mật (vulnerability) của hệ thống,…


• Vulnerability Exploit:
• Khai thác điểm yếu / lỗ hỏng bảo mật của Hệ điều hành, dịch vụ…

• DoS và DDoS:
• Deny of Service (tấn cơng từ chối dịch vụ)
• Distribution DoS (tấn cơng DoS phân tán)

• Trojan & backdoor:
• Trojan: là 1 phần mềm, nhiễm vào máy người dùng. Phần mềm này sẽ
thực thi các lệnh tử Trojan Client gởi đến.
• Backdoor: là port (TCP/UDP) do Trojan mở ra để nhận lệnh và truyền
dữ liệu với Trojan Client

• Ad-ware: chương trình tự mở các web quảng cáo
• …
4


Một số nguy cơ tấn cơng mạng
• Các nguy cơ từ bên trong
• Sniffer: đánh cắp thơng tin truyền giữa các máy tính, thiết bị
mạng.
• Sử dụng máy Client của doanh nghiệp để tấn công các máy khác
trong mạng nội bộ.
• Sử dụng máy Client của doanh nghiệp để tấn cơng các máy chủ
dịch vụ trong nội bộ.
• Sử dụng máy Client của doanh nghiệp để tấn công các máy bên
ngồi.
• Người dùng nội bộ truy cập các trang web nguy hại.

• Người dùng bị nhiễm Trojan, malware... từ web, USB drive…
• …

-5-


Khái niệm về Firewall
• Firewall:
• Là 1 hệ thống máy tính hoặc thiết bị chốt chặn giữa các khu vực
mạng khác nhau, thông thường là giữa mạng nội bộ và internet.
• Các luồng dữ liêu (traffic) ra / vào các khu vực mạng phải đi
ngang qua Firewall.
• Firewall sẽ quyết định cho / không cho
các traffic di chuyển ngang qua nó.

-6-


Khái niệm về Firewall
• Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall
mềm
• Firewall cứng là những Firewall được tích hợp trên Router.

• Khơng được linh hoạt như Firewall mềm: không thể thêm chức năng,
thêm quy tắc như Firewall mềm.
• Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (tầng Network
và tầng Transport)
• Firewall cứng khơng thể kiểm tra nội dung của một gói tin.
• Một số Firewall cứng thông dụng: Fortinet, Juniper Networks, Cisco
ASA 5500, Barracuda …

-7-


Khái niệm về Firewall
• Firewall cứng

Fortinet
Cisco ASA 5500

Barracuda

Juniper Networks

-8-


Khái niệm về Firewall
• Firewall mềm là những Firewall được cài đặt trên các
Server

• Tính linh hoạt cao: có thể thêm, bớt các quy tắc, các chức năng.
• Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (Tầng
Applycation)
• Firewall mềm có thể kiểm tra được nội dung của gói tin (thơng
qua các từ khóa)
• Một số Firewall mềm thơng dụng: Zone Alarm, Microsoft ISA
Server 2006, Norton Firewall,….

-9-



Khái niệm về Firewall

( />Xem video về firewall

- 10 -


Các chức năng của Firewall
• Routing:
• LAN route: định tuyến giữa các mạng. Traffic 2 chiều.
• NAT: định tuyến giữa mạng nội bộ 🡪 internet. Traffic 1 chiều

• Packet Filtering: lọc gói tin outbound và inbound
• Lọc Header: Source IP, Destination IP, Protocol (port), Domain
Name, URL
• Lọc Content: Picture, Video, EXE, DLL, ZIP,…

• Proxy Server:
• Tiếp nhận yêu cầu truy cập từ Client.
• Proxy server đích thân truy cập đến server cung cấp dịch vụ.
• Trả kết quả truy cập về Client.
• => Proxy che giấu Client khi truy cập dịch vụ bên ngoài.
- 11 -


Các chức năng của Firewall (tt)
• Virtual Server:
• Tiếp nhận u cầu truy cập dịch vụ từ bên ngồi.
• Chuyển u cầu đó về máy Server nội bộ.

• => máy bên ngoài sẽ cho rằng Firewall là Server cung cấp dịch vụ (máy
chủ ảo).

• VPN Server:
• VPN (Virtual Private Network – mạng riêng ảo) - Tạo hệ thống mạng
riêng) giữa 2 mạng nội bộ khác nhau kết nối qua internet.
• VPN Server: máy cho phép máy tính ở xa kết nối vào như là mạng nội
bộ.

• Internet Authentication:
• Chứng thực khi người dùng (tài khoản) truy cập internet qua Firewall
• Tài khoản có thể dùng Domain User hoặc Local User (tạo trên
Firewall).
- 12 -


Các chức năng của Firewall (tt)
• IDS (Intrusion Detection System):
• Hệ thống nhận dạng xâm nhập trái phép / nguy hại. Thơng
thường là các kiểu xâm nhập: Scanning, DoS, DDoS,…
• IDS chỉ nhận dạng và thông báo (alert / report) cho người quản
tri. Nó khơng có khả năng tự chống đỡ (Prevention).

• IPS (Intrusion Prevention System:
• Hệ thống phịng chống xâm nhập trái phép / nguy hại.
• Cơ sở dữ liệu chứa các phương thức phịng chống phải lng được
cập nhật cho Firewall. Cơ sở dữ liệu này do nhà cung cấp Firewal
hỗ trợ (có phí / miễn phí)

- 13 -



Các mơ hình kết nối Firewall
• Mơ hình Bastion Host
• Firewall sẽ bảo vệ các Client trong mạng nội bộ trước những nguy
cơ tấn cơng từ internet vào.
• Nếu trong mạng nội bộ có Server cho phép bên ngồi internet
truy cập vào (ví dự như: Web, Mail, FTP server…) thì đây chính là
điểm yếu cho các cuộc tấn cơng từ internet vào hệ thống mạng nội
bộ.

- 14 -


Các mơ hình kết nối Firewall (tt)
• Mơ hình Back-End:
• Mơ hình này khắc phục nhược điểm của Bastion host khi nó đặt
các Server (cho phép truy cập từ bên ngồi vào) ra thành 1 mạng
riêng, đặt giữa 2 Firewall..
• Các Client trong mạng nội bộ sẽ được bảo vệ bởi 2 lớp Firewall.
• Chi phí cho mơ hình này là tốn kém nhất
✔ Internal Network: khu vực mạng
cần được Firewall bảo vệ.
✔ DMZ (hay Perimeter Network): khu
vực mạng chứa các Server cho
phép bên ngoài (External) truy cập.
Khả năng bị tấn công của khu vực
này rất cao.
✔ External Network: khu vực bên
ngoài hệ thống Firewall (xem như

Internet)

- 15 -


Các mơ hình kết nối Firewall (tt)
• Mơ hình Three-leg (Three-home):

- 16 -


Giao tiếp mạng qua Firewall
• SecureNAT Client:
• Các máy Clients khai báo Default Gateway là IP address của
Firewall.
• Clients xem Firewall như là Router hỗ trợ NAT.
• Ưu điểm / nhược điểm của SecureNAT:
• Tất cả các ứng dụng mạng tại Client đều giao tiếp được internet.
• Firewall thực thi các cơ chế bảo mật kiểu Packet Filter.
• Firewall khơng có khả năng chứng thực người dùng mạng.

17


Giao tiếp mạng qua Firewall
• Web Proxy Client:
• Các máy Clients khai báo Web Proxy là IP address của Firewall
• Client gởi yêu cầu truy cập dịch vụ mạng ngoài tới Proxy Server.
• Proxy Server (Firewall) thay mặt Client giao tiếp với các server dịch vụ
bên ngồi internet.


• Ưu / nhược điểm của Web Proxy:
• Những ứng dụng khơng hỗ trợ giao tiếp mạng qua Web Proxy Server
(HTTP) sẽ không dùng được hình thức này.
• Firewall có khả năng chứng thực người dùng mạng.
• Firewall che dấu các
Clients.

18


Giao tiếp mạng qua Firewall
• Firewall Client:
• Một phần mềm của Firewall dành cho Client được cài đặt lên máy
tính nội bộ.
• IP address (tên máy) của Firewall khai báo cho phần mềm này.
• Khai báo bằng tay (manually)
• Khai báo tự động (automatically) (*).

• Firewall Client sẽ tự động tạo giao tiếp giữa Client và Firewall cho
hầu hết các ứng dụng / dịch vụ.
• Tương tự Web Proxy, máy tính dùng Firewall Client, khơng cần
khai báo Default Gateway / DNS Server).
Ghi chú: (*)
- WPAD (Web Proxy Auto Discovery) là một phương thức triến khai tự
động thông số của Firewall cho phần mềm Firewall Client.
- WPAD có thể thực hiện trên nền dịch vụ DHCP hoặc DNS.
19



Chứng thực trên Firewall
Firewall có khả năng: chỉ tiếp nhận và xử lý gói tin của những người
dùng đã được chứng thực.

• Đối với SecureNAT Clients :
• Firewall đóng vai trị là một Router kiểu NAT.
• Firewall khơng thể nhận biết thông tin người dùng (user)
=> tất cả người dùng SecureNAT Client sẽ được Firewall xem là All
Users.

• Đối với Web Proxy Clients hay Firewall Clients:
• Firewall đóng vai trị là một Proxy Server.
• Firewall có quyền u cầu người dùng cung cấp thơng tin tài
khoản (user name / password).
• Những người dùng cung cấp thông tin tài khoản hợp lệ sẽ được
ISA xem như là All Authenticated Users.
- 20 -


Phương thức chứng thực của Firewall
• Integrated Authentication:
• Chứng thực bằng tài khoản của chính máy Firewall.
• Thơng tin tài khoản được mã hóa bởi hàm băm NT Hash.

• Basic Authentication:
• Tương tự như Integrated, nhưng khơng sử dụng mã hóa thơng tin
user / password truyền trên mạng.

• Digest Authentication:
• Chứng thực bằng tài khoản của Active Directory (tài khoản

Domain).
• Thơng tin tài khoản được mã hóa bởi hàm băm NTLM Hash.
• Yêu cầu Firewall phải là thành viên (đã join) của Domain.

- 21 -


Phương thức chứng thực của Firewall
• RADIUS Authentication:
• Chứng thực bằng tài khoản của chính máy RADIUS Server.
• RADIUS Server thơng dụng là Domain Controller
• Phương thức mã hóa teo tiêu chuẩn của RADIUS Server.

• SSL Certificate Authentication:
• Chứng thực dựa trên “Chứng chỉ bảo mật”
• Firewall cài đặt SSL Certificate cung cấp bởi Certificate Authority
Server (CA Server)
• Khi Client gởi yêu cầu kết nối: FW cung cấp Certificate cho Client.
• Client xác minh Certificate với CA Server. Nếu được xác minh
đúng, Client sẽ mã hóa user/password bằng Cert của FW.

- 22 -


Cấu hình chứng thực trên ISA Server
• Các bước cấu hình chứng thực trên ISA Server:
• Thiết lập Access Rule (luật truy cập) cho “All Authenticated Users”
thay vì “All Users”.
• Lựa chọn phương thức chứng thực (Authentication Methods).
• Tạo các tài khoản (Local Users) dùng cho phương thức Integrated

hoặc Basic Authentication.

• Tại các máy Clients nội bộ:
• Khai báo Proxy Server: <IP address of ISA > Port: 8080
• Hoặc: cài đặt ISA Firewall Client và khai báo tương tự trên.
• Lưu ý: Clients khai báo IP address hay tên máy của ISA tùy thuộc
ISA quy định.

Demo
- 23 -


Thảo Luận

Cấu trúc MT – ThS. Vương Xuân Chí

Trang 24