Bài giảng An ninh mạng: Bài 4 - ThS. Phạm Đình Tài
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (504.85 KB, 13 trang )
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN
Bài giảng mơn học:
AN NINH MẠNG
Số tín chỉ: 3
Tổng số tiết: 60 tiết
(30 LT + 30 TH)
Giảng viên: ThS. Phạm Đình Tài
Tel: 0985.73.39.39
Email:
Môn học: AN NINH MẠNG
Bài 1
Các kỹ thuật tấn công mạng.
Bài 2
Các kỹ thuật mã hóa và xác thực
Bài 3
Triển khai hệ thống Firewall
Bài 4
Chứng thực trên Firewall
Bài 5
Thiết lập các chính sách truy cập
Bài 6
Bảo vệ Server cơng cộng
Bài 7
Bảo mật truy cập từ xa
-2-
Bài 4: Chứng thực trên Firewall
Giao tiếp mạng khác qua Firewall
Chứng thực người dùng qua Firewall
Các phương thức chứng thực của FW
Cấu hình chứng thực trong ISA Firewall
Triển khai Firewall Client bằng WPAD
Giao tiếp mạng khác qua Firewall
• Tính năng mặc định của Firewall:
• Firewall là một Router, bao gồm ROUTE và NAT.
• Firewall là một Proxy Server.
• Các phương thức truy cập mạng khác qua Firewall từ
Client mạng nội bộ:
• SecureNAT:
• Web Proxy:
• Firewall Client:
4
Giao tiếp mạng khác qua Firewall
• SecureNAT Client:
• Các máy Clients khai báo Default Gateway là IP address của
Firewall.
• Clients xem Firewall như là Router hỗ trợ NAT.
• Ưu điểm / nhược điểm của SecureNAT:
• Tất cả các ứng dụng mạng tại Client đều giao tiếp được internet.
• Firewall thực thi các cơ chế bảo mật kiểu Packet Filter.
• Firewall khơng có khả năng chứng thực người dùng mạng.
5
Giao tiếp mạng khác qua Firewall
• Web Proxy Client:
• Các máy Clients khai báo Web Proxy là IP address của Firewall
• Client gởi yêu cầu truy cập dịch vụ mạng ngồi tới Proxy Server.
• Proxy Server (Firewall) thay mặt Client giao tiếp với các server dịch vụ
bên ngồi internet.
• Ưu / nhược điểm của Web Proxy:
• Những ứng dụng khơng hỗ trợ giao tiếp mạng qua Web Proxy Server
(HTTP) sẽ khơng dùng được hình thức này.
• Firewall có khả năng chứng thực người dùng mạng.
• Firewall che dấu các
Clients.
6
Giao tiếp mạng khác qua Firewall
• Firewall Client:
• Một phần mềm của Firewall dành cho Client được cài đặt lên máy
tính nội bộ.
• IP address (tên máy) của Firewall khai báo cho phần mềm này.
• Khai báo bằng tay (manually)
• Khai báo tự động (automatically) (*).
• Firewall Client sẽ tự động tạo giao tiếp giữa Client và Firewall cho
hầu hết các ứng dụng / dịch vụ.
• Tương tự Web Proxy, máy tính dùng Firewall Client, khơng cần
khai báo Default Gateway / DNS Server).
Ghi chú: (*)
- WPAD (Web Proxy Auto Discovery) là một phương thức triến khai tự
động thông số của Firewall cho phần mềm Firewall Client.
- WPAD có thể thực hiện trên nền dịch vụ DHCP hoặc DNS.
7
Chứng thực trên Firewall
• Đối với SecureNAT Clients :
• Firewall đóng vai trị là một Router kiểu NAT.
• Firewall khơng thể nhận biết thông tin người dùng (user)
=> tất cả người dùng SecureNAT Client sẽ được Firewall xem là All
Users.
• Đối với Web Proxy Clients hay Firewall Clients:
• Firewall đóng vai trị là một Proxy Server.
• Firewall có quyền u cầu người dùng cung cấp thông tin tài
khoản (user name / password).
• Những người dùng cung cấp thơng tin tài khoản hợp lệ sẽ được
ISA xem như là All Authenticated Users.
-8-
Phương thức chứng thực của Firewall
• Integrated Authentication:
• Chứng thực bằng tài khoản của chính máy Firewall.
• Thơng tin tài khoản được mã hóa bởi hàm băm NT Hash.
• Basic Authentication:
• Tương tự như Integrated, nhưng khơng sử dụng mã hóa thơng tin
user / password truyền trên mạng.
• Digest Authentication:
• Chứng thực bằng tài khoản của Active Directory (tài khoản
Domain).
• Thơng tin tài khoản được mã hóa bởi hàm băm NTLM Hash.
• Yêu cầu Firewall phải là thành viên (đã join) của Domain.
-9-
Phương thức chứng thực của Firewall
• RADIUS Authentication:
• Chứng thực bằng tài khoản của chính máy RADIUS Server.
• RADIUS Server thơng dụng là Domain Controller
• Phương thức mã hóa teo tiêu chuẩn của RADIUS Server.
• SSL Certificate Authentication:
• Chứng thực dựa trên “Chứng chỉ bảo mật”
• Firewall cài đặt SSL Certificate cung cấp bởi Certificate Authority
Server (CA Server)
• Khi Client gởi yêu cầu kết nối: FW cung cấp Certificate cho Client.
• Client xác minh Certificate với CA Server. Nếu được xác minh
đúng, Client sẽ mã hóa user/password bằng Cert của FW.
- 10 -
Cấu hình chứng thực trên ISA Server
• Các bước cấu hình chứng thực trên ISA Server:
• Thiết lập Access Rule (luật truy cập) cho “All Authenticated Users”
thay vì “All Users”.
• Lựa chọn phương thức chứng thực (Authentication Methods).
• Tạo các tài khoản (Local Users) dùng cho phương thức Integrated
hoặc Basic Authentication.
• Tại các máy Clients nội bộ:
• Khai báo Proxy Server: <IP address of ISA > Port: 8080
• Hoặc: cài đặt ISA Firewall Client và khai báo tương tự trên.
• Lưu ý: Clients khai báo IP address hay tên máy của ISA tùy thuộc
ISA quy định.
- 11 -
Cấu hình WPAD
• WPAD (Web Proxy Auto Discovery)
• WPAD là một phương thức triến khai tự động thông số khai báo
cho phần mềm Firewall Client cho tất cả máy tính trong mạng.
• WPAD có thể thực hiện trên nền dịch vụ DHCP hoặc DNS.
• Triển khai bằng DHCP Service:
• WPAD là một Option của dịch vụ DHCP (mã: 252)
• Name: WPAD
• Data Type: String
• Code: 252
• Value String: http://IP_address_of_ISA_Server:8080/wpad.dat
• Thêm Option “WPAD” cho Scope cấp thơng số IP cho mạng.
• Các máy Client sẽ nhận thông số WPAD này mỗi khi “xin” thông số
IP tự động (Dynamic IP)
- 12 -
Thảo Luận
Cấu trúc MT – ThS. Vương Xuân Chí
Trang 13
