Tải bản đầy đủ (.pdf) (17 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Bài giảng An ninh mạng: Bài 6 - ThS. Phạm Đình Tài

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (579.92 KB, 17 trang )

TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN

Bài giảng mơn học:

AN NINH MẠNG

Số tín chỉ: 3
Tổng số tiết: 60 tiết
(30 LT + 30 TH)

Giảng viên: ThS. Phạm Đình Tài
Tel: 0985.73.39.39
Email:


Môn học: AN NINH MẠNG
Bài 1

Các kỹ thuật tấn công mạng.

Bài 2

Các kỹ thuật mã hóa và xác thực

Bài 3

Triển khai hệ thống Firewall

Bài 4


Chứng thực trên Firewall

Bài 5

Thiết lập các chính sách truy cập

Bài 6

Bảo vệ Server cơng cộng

Bài 7

Bảo mật truy cập từ xa
-2-


Bài 6: Bảo vệ Server công cộng
Nguy cơ bảo mật của các Publish Server
Bảo mật bằng phương pháp cô lập
Networks và Network Rules
Publish Server qua Firewall
Đánh giá mức độ bảo mật


Nguy cơ bảo mật của mơ hình Bastion Host
• Mơ hình Bastion Host
• Các máy Server phục vụ cơng cộng đặt chung mạng với các máy
thuộc mạng nội bộ.
• Khi Server bị tấn công xâm nhập => Attacker dễ dàng xâm nhập
vào những máy khác trong cùng hệ thống mạng nội bộ.


-4-


Bảo mật bằng phương pháp cơ lập mạng
• Cơ lập mạng (Network Isolation)
• Là phương pháp tách rời các máy tính ra thành nhiều mạng riêng.
• Các mạng riêng kết nối nhau qua Firewall.
• Firewall sẽ filter / drop / forward… các gói tin di chuyển giữa các
mạng.

• Firewall trong hệ thống dùng Network Isolation
• Firewall định danh từng mạng riêng bằng Network Object.
• Network Rule là phương thức định tuyến giữa các Networks bằng
1 trong 2 dạng: ROUTE hoặc NAT
• Các luật truy cập (access rules) sẽ được sử dụng cho việc sàng lọc
các gói tin di chuyển giữa các mạng ngang qua Firewall.

-5-


Bảo mật bằng phương pháp cơ lập
• Cơ lập mạng bằng mơ hình Back-End Firewall:
• Mơ hình này khắc phục nhược điểm của Bastion host khi nó đặt
các Server (cho phép truy cập từ bên ngoài vào) ra thành 1 mạng
riêng, đặt giữa 2 Firewall..
• Các Client trong mạng nội bộ sẽ được bảo vệ bởi 2 lớp Firewall.
• Chi phí cho mơ hình này là tốn kém nhất
✔ Internal Network: khu vực mạng
cần được Firewall bảo vệ.

✔ DMZ (hay Perimeter Network):
khu vực mạng chứa các Server cho
phép bên ngoài (External) truy cập.
Khả năng bị tấn công của khu vực
này rất cao.
✔ External Network: khu vực bên
ngoài hệ thống Firewall (Internet)
-6-


Bảo mật bằng phương pháp cơ lập
• Cơ lập mạng bằng mơ hình Three-leg (Three-home):
• Firewall có 3 interface kết nổi nhánh mạng:
• DMZ interface: kết nối mạng của các Publishing Servers.
• Internal interface: kết nối mạng của cá máy nội bộ.
• Internet interface: kết nối mạng Internet.

-7-


Bảo mật bằng phương pháp cơ lập
• Một số ngun tắc bảo mật:
• Mạng Internal:
• Ngăn chặn các inbound traffic trái phép từ mạng khác vào internal.
• Kiểm sốt và cho phép truy cập (outbound traffic ) các dịch vụ trên
External và DMZ.

• Mạng DMZ:
• Kiểm sốt và cho phép truy cập (outbound traffic ) các dịch vụ trên
External.

• Kiểm soát và cho phép cung cấp
các dịch vụ đáp ứng các yêu cầu
truy xuất gởi đến từ mạng
External và Internal.

-8-


Networks và Network Rules
• Networks:
• Network là đối tượng mạng được định nghĩa trên Firewall.
• Một Network được định nghĩa bằng 2 thơng tin cơ bản:
• Network Name: tên của Mạng.

• IP addresses: dãy IP addresses của mạng đó.

• Phân loại Network theo tính chất:
• Internal Network - mạng nội bộ, cần được bảo vệ tối đa.
• Perimeter Network - mạng của những máy Server cung cấp dịch
vụ cho bên ngồi truy cập. Nguy cơ tấn cơng từ ngồi vào mạng
này là cao. Mạng này cịn có tên là DMZ (Demilitarized Zone).
• VPN Clients - mạng riêng ảo của những cá nhân kết nối từ xa vào
hệ thống mạng nội bộ.
• External – những mạng cịn lại (trừ những mạng đã định nghĩa).
-9-


Networks và Network Rules
• Network Rule:
• Network Rule là luật cho Firewall xác định việc chuyển tiếp các gói

tin giữa các mạng bằng 1 trong 2 phương thức: ROUTE relation
hoặc NAT relation .
• ROUTE relation:
• Firewall định tuyến 2 chiều cho các gói tin giữa Source Network và
Destination Network
• Firewall làm Gateway cho cả 2 mạng => 2 mạng giao tiếp trực tiếp
nhau qua Firewall.

• NAT (Network Address Translation) relation:
• Firewall định tuyến 1 chiều: Source Network 🡪 Destination network
• Firewall chỉ làm Gateway cho Source Network
=> Destination Network không giao tiếp được Source Network
=> Destination Network chỉ giao tiếp được tới Firewall
- 10 -


Networks và Network Rules
• So sánh ROUTE và NAT:
Route NAT

• Destination phải trỏ Gateway về
Firewall.

• Destination khơng cần trỏ
Gateway về Firewall.

• Source và Destination giao tiếp 2
chiều (bidirectional).

• Source giao tiếp 1 chiều về

Destination.

• Destination. host nhận biết Source
Host.

• Destination. host khơng nhận biết
Source Host

• Firewall dùng Routing Table để chọn
đường đi.

• Firewall dùng Routing Table và
NAT Table để chuyển gói.
- 11 -


Publish Server qua Firewall
• Dẫn nhập:
• Tất cả các mạng bên trong sẽ giao tiếp internet qua Firewall bằng
phương thức NAT.
• Nếu trong mạng nội bộ có các Server cung cấp dịch vụ, người dùng
bên ngồi sẽ khơng thể truy cập vào các Server này.
• Server Publishing là kỹ thuật “xuất bản Server” sao cho người
dùng bên ngoài truy cập được các dịch vụ của nó.

• Publish Server:
• Mỗi dịch vụ trên server sẽ có TCP (hay UDP) port riêng.
• Publish Server dùng kỹ thuật NAT port (còn gọi là: Open Port, Port
Forwarding, Virtual Server…)
• Người dùng sẽ truy cập dịch vụ của Server bằng IP address của

outside interface trên Firewall.

- 12 -


Publish Server qua Firewall
• Mơ tả q trình NAT Port:
• Firewall tiếp nhận yêu cầu truy cập từ Client ngoài. Nhận dạng dịch vụ
yêu cầu bằng giá trị TCP/UDP Port.
• Chuyển tiếp u cầu đó vào Server bên trong.
• Server bên trong sẽ xử lý yêu cầu và trả kết quả về Client ngoài qua NAT
trên Firewall.

- 13 -


Publish Server qua Firewall
• Triển khai Server Publishing trên Firewall:
• Cô lập tất cả Servers cung cấp dịch vụ ra ngồi trong một mạng vật
lý mới.
• Kết nối mạng của các Server trên về Firewall theo mơ hình
Three-leg hoặc mơ hình Back-End Front-End.
• Trên Firewall: tạo mới “Network Object” thuộc loại “Perimeter”
(vành đai).
• Thiết lập các Network Rule giữa Perimeter và các mạng khác sao
cho độ an toàn cao nhất có thể:
• Internal => NAT => Perimeter
• VPN Clients => NAT => Perimeter
• Perimeter => NAT (hoặc ROUTE) => External
Dùng NAT khi Firewall kết nối trực tiếp internet.

Dùng ROUTE khi Firewall kết nối internet qua Router khác

• Triển khai các Access Rule có liên quan tới Perimeter.
- 14 -


Publish Server qua Firewall
• Server Publishing trên các mơ hình Firewall:
• Three-leg Firewall kết nối internet trực tiếp:
• NAT giữa Perimeter
và External.

• Three-leg Firewall kết nối internet qua Router:
• ROUTE giữa
Perimeter
và External.
• Định tuyến
cho Router
về DMZ.
- 15 -


Publish Server qua Firewall
• Server Publishing trên các mơ hình Firewall:
• Back-end Front-end Firewall kết nối internet trực tiếp:
• Front-end Firewall: NAT giữa Perimeter và External.
• Back-end Firewall: Perimeter chính là External

- 16 -



Thảo Luận

Cấu trúc MT – ThS. Vương Xuân Chí

Trang 17



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×