Bài 5:
Quản trị một mạng an toàn
và Bảo mật các mạng không dây
Củng cố lại bài 4
Bảo mật cho máy chủ (host)
Bảo mật ứng dụng (application)
Bảo mật dữ liệu (data)
Bảo mật mạng (network)
Bảo mật cho máy chủ (host)
Bảo mật ứng dụng (application)
Bảo mật dữ liệu (data)
Bảo mật mạng (network)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
2
Mục tiêu bài học
Quản trị một mạng bảo mật
Các giao thức mạng phổ biến
Các nguyên tắc quản trị mạng
Bảo mật cho các ứng dụng mạng (SV tự đọc)
Bảo mật mạng không dây
Tấn công vào mạng không dây
Các điểm yếu trong bảo mật 802.1x
Các giải pháp bảo mật mạng không dây
Quản trị một mạng bảo mật
Các giao thức mạng phổ biến
Các nguyên tắc quản trị mạng
Bảo mật cho các ứng dụng mạng (SV tự đọc)
Bảo mật mạng không dây
Tấn công vào mạng không dây
Các điểm yếu trong bảo mật 802.1x
Các giải pháp bảo mật mạng không dây

Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
3
Các giao thức mạng phổ biến
Giao thức
Các quy tắc ứng xử và giao tiếp
Rất quan trọng để quá trình giao tiếp giữa các thiết bị
được chính xác
Các giao thức mạng phổ biến
Bộ giao thức TCP/IP (Transmission Control
Protocol/Internet Protocol)
Giao thức ICMP (Internet Control Message Protocol) (SV
tự đọc)
Giao thức SNMP (Simple Network Management Protocol)
(SV tự đọc)
Hệ thống tên miền DNS (Domain Name System)
Giao thức FTP (File Transfer Protocol)
Giao thức IPv6 (IP version 6) (SV tự đọc)
Giao thức
Các quy tắc ứng xử và giao tiếp
Rất quan trọng để quá trình giao tiếp giữa các thiết bị
được chính xác
Các giao thức mạng phổ biến
Bộ giao thức TCP/IP (Transmission Control
Protocol/Internet Protocol)
Giao thức ICMP (Internet Control Message Protocol) (SV
tự đọc)
Giao thức SNMP (Simple Network Management Protocol)
(SV tự đọc)
Hệ thống tên miền DNS (Domain Name System)
Giao thức FTP (File Transfer Protocol)

Giao thức IPv6 (IP version 6) (SV tự đọc)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
4
Bộ giao thức TCP/IP
Giao thức điều khiển truyền tin/Giao thức Internet
(Transmission Control Protocol/Internet Protocol – TCP/IP)
Bộ giao thức phổ biến nhất, sử dụng cho các mạng cục
bộ (LAN) và mạng Internet
IP
Giao thức hoạt động chính ở tầng mạng (tầng 3) trong
mô hình kết nối các hệ thống mở (OSI)
TCP
Giao thức tầng giao vận (tầng 4)
Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa các
thiết bị
TCP/IP sử dụng kiến trúc bốn tầng
Giao diện mạng (Network Interface), Internet, Giao vận
(Transport), Ứng dụng (Application)
Giao thức điều khiển truyền tin/Giao thức Internet
(Transmission Control Protocol/Internet Protocol – TCP/IP)
Bộ giao thức phổ biến nhất, sử dụng cho các mạng cục
bộ (LAN) và mạng Internet
IP
Giao thức hoạt động chính ở tầng mạng (tầng 3) trong
mô hình kết nối các hệ thống mở (OSI)
TCP
Giao thức tầng giao vận (tầng 4)
Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa các
thiết bị
TCP/IP sử dụng kiến trúc bốn tầng

Giao diện mạng (Network Interface), Internet, Giao vận
(Transport), Ứng dụng (Application)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
5
Mô hình OSI và mô hình TCP/IP
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
6
Hệ thống tên miền (DNS) (1/2)
Hệ thống tên miền (Domain Name System - DNS)
Giao thức TCP/IP phân giải một địa chỉ IP sang tên tượng
trưng
Là một cơ sở dữ liệu, gồm tên gọi của từng Web site và
mã số IP tương ứng
Cơ sở dữ liệu DNS được phân tán cho nhiều server trên
Internet
Hệ thống tên miền (Domain Name System - DNS)
Giao thức TCP/IP phân giải một địa chỉ IP sang tên tượng
trưng
Là một cơ sở dữ liệu, gồm tên gọi của từng Web site và
mã số IP tương ứng
Cơ sở dữ liệu DNS được phân tán cho nhiều server trên
Internet
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
7
Tra cứu DNS
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
8
Hệ thống tên miền (DNS) (2/2)
DNS có thể là tiêu điểm của các cuộc tấn công
Đầu độc DNS thay thế địa chỉ IP giả mạo vào tên tượng

trưng
Có thể được thực hiện trong bảng danh sách máy chủ cục
bộ hoặc trên máy chủ DNS bên ngoài
Phiên bản mới nhất của phần mềm DNS ngăn chặn đầu độc
DNS
Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếp
cận được các thông tin về mạng, phần cứng và hệ điều
hành
DNS có thể là tiêu điểm của các cuộc tấn công
Đầu độc DNS thay thế địa chỉ IP giả mạo vào tên tượng
trưng
Có thể được thực hiện trong bảng danh sách máy chủ cục
bộ hoặc trên máy chủ DNS bên ngoài
Phiên bản mới nhất của phần mềm DNS ngăn chặn đầu độc
DNS
Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếp
cận được các thông tin về mạng, phần cứng và hệ điều
hành
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
9
Giao thức truyền file (FTP) (1/3)
Các giao thức TCP/IP được sử dụng để truyền file
Giao thức truyền file (FTP)
Giao thức sao lưu an toàn (SCP)
Các phương pháp sử dụng giao thức FTP trên máy chủ
cục bộ
Từ dấu nhắc lệnh (command prompt)
Sử dụng trình duyệt Web (Web browser)
Sử dụng trình khách FTP (FTP client)
Sử dụng FTP phía sau tường lửa có thể ngăn chặn

được nhiều thử thách
Chế độ FTP chủ động (active mode)
Chế độ FTP thụ động (passive mode)
Các giao thức TCP/IP được sử dụng để truyền file
Giao thức truyền file (FTP)
Giao thức sao lưu an toàn (SCP)
Các phương pháp sử dụng giao thức FTP trên máy chủ
cục bộ
Từ dấu nhắc lệnh (command prompt)
Sử dụng trình duyệt Web (Web browser)
Sử dụng trình khách FTP (FTP client)
Sử dụng FTP phía sau tường lửa có thể ngăn chặn
được nhiều thử thách
Chế độ FTP chủ động (active mode)
Chế độ FTP thụ động (passive mode)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
10
Ứng dụng FTP client
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
11
Giao thức truyền file (FTP) (2/3)
Các lỗ hổng của giao thức FTP
FTP không sử dụng mật mã
Các file được truyền bởi FTP là lỗ hổng đối với các vụ tấn
công kẻ đứng giữa (man-in-the-middle)
Các tùy chọn truyền file bảo mật thay thế FTP
FTP sử dụng tầng kết nối an toàn bảo mật (FTP using
Secure Sockets Layer - FTPS)
FTP an toàn (Secure FTP - SFTP)
Các lỗ hổng của giao thức FTP

FTP không sử dụng mật mã
Các file được truyền bởi FTP là lỗ hổng đối với các vụ tấn
công kẻ đứng giữa (man-in-the-middle)
Các tùy chọn truyền file bảo mật thay thế FTP
FTP sử dụng tầng kết nối an toàn bảo mật (FTP using
Secure Sockets Layer - FTPS)
FTP an toàn (Secure FTP - SFTP)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
12
Giao thức truyền file (FTP) (3/3)
Giao thức sao lưu an toàn (Secure Copy Protocol - SCP)
Phiên bản nâng cao của giao thức sao lưu từ xa (Remote
Copy Protocol
–
RCP)
Mã hóa các file và lệnh
Quá trình truyền file không được phép gián đoạn và sau
đó khôi phục lại trong cùng một phiên
Gặp chủ yếu trên các nền tảng Linux và UNIX
Giao thức sao lưu an toàn (Secure Copy Protocol - SCP)
Phiên bản nâng cao của giao thức sao lưu từ xa (Remote
Copy Protocol
–
RCP)
Mã hóa các file và lệnh
Quá trình truyền file không được phép gián đoạn và sau
đó khôi phục lại trong cùng một phiên
Gặp chủ yếu trên các nền tảng Linux và UNIX
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
13

Các quy tắc quản trị mạng
Quản trị mạng bảo mật là công việc đầy thử thách
Phương pháp quản lý dựa trên quy tắc
Dựa vào các thủ tục và quy tắc
Các nguyên tắc có thể do bên ngoài (các bộ luật chi phối)
hoặc nội bộ tổ chức qui định
Các quy tắc thủ tục chỉ ra các quy tắc kỹ thuật
Các quy tắc kỹ thuật
Bảo mật thiết bị
Quản lý thiết kế mạng
Bảo mật các cổng
Quản trị mạng bảo mật là công việc đầy thử thách
Phương pháp quản lý dựa trên quy tắc
Dựa vào các thủ tục và quy tắc
Các nguyên tắc có thể do bên ngoài (các bộ luật chi phối)
hoặc nội bộ tổ chức qui định
Các quy tắc thủ tục chỉ ra các quy tắc kỹ thuật
Các quy tắc kỹ thuật
Bảo mật thiết bị
Quản lý thiết kế mạng
Bảo mật các cổng
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
14
Bảo mật thiết bị
Bảo mật thiết bị gồm các nội dung sau:
Cấu hình bộ định tuyến bảo mật (secure router
configuration)
Phòng chống lũ (flood guard) (SV tự đọc)
Phân tích nhật ký (log analysis) (SV tự đọc)
Bảo mật thiết bị gồm các nội dung sau:

Cấu hình bộ định tuyến bảo mật (secure router
configuration)
Phòng chống lũ (flood guard) (SV tự đọc)
Phân tích nhật ký (log analysis) (SV tự đọc)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
15
Cấu hình bộ định tuyến bảo mật
Cấu hình bộ định tuyến bảo mật
Bộ định tuyến hoạt động tại tầng mạng (tầng 3)
Chuyển tiếp các gói tin trên toàn bộ mạng máy tính
Bộ định tuyến có thể thực hiện các chức năng bảo mật
Có thể được cấu hình để lọc ra các kiểu lưu lượng mạng
xác định
Cấu hình bộ định tuyến bảo mật
Bộ định tuyến hoạt động tại tầng mạng (tầng 3)
Chuyển tiếp các gói tin trên toàn bộ mạng máy tính
Bộ định tuyến có thể thực hiện các chức năng bảo mật
Có thể được cấu hình để lọc ra các kiểu lưu lượng mạng
xác định
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
16
Nhiệm vụ Giải thích
Tạo thiết kế Nên đưa ra một sơ đồ mạng để minh họa giao tiếp
giữa các bộ định tuyến; sơ đồ này nên thể hiện được
cả giao diện mạng cục bộ (LAN) và mạng diện rộng
(WAN)
Đặt tên cho bộ định
tuyến bằng một tên
có nghĩa
Nên đặt tên có nghĩa cho router để thao tác gõ lệnh

được chính xác và đơn giản;
Các nhiệm vụ để cấu hình
bảo mật cho bộ định tuyến
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
17
Đặt tên cho bộ định
tuyến bằng một tên
có nghĩa
Bảo mật cổng Tất cả các cổng kết nối tới bộ định tuyến phải được
bảo mật; bao gồm cả cổng vật lý và các cổng gửi đến
từ các địa điểm ở xa
Thiết lập một mật
khẩu quản trị đủ
mạnh
Cần phải có một mật khẩu để chuyển sang chế độ
privileged
mới có thể đưa ra các lệnh cấu hình
Thực hiện các thay
đổi từ bảng điều khiển
Việc cấu hình router phải được thực hiện từ bảng điều
khiển, không được tiến hành tại một vị trí từ xa
Sơ đồ mạng biểu
diễn các router
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
18
Quản lý thiết kế mạng
Việc mở rộng có thể làm phát sinh yêu cầu cần phải
cấu hình lại mạng
Quản lý thiết kế mạng gồm các công việc sau:
Tách mạng (network separation)

Bảo vệ vòng lặp (loop protection) (SV tự đọc)
Quản lý mạng LAN ảo (VLAN management)
Việc mở rộng có thể làm phát sinh yêu cầu cần phải
cấu hình lại mạng
Quản lý thiết kế mạng gồm các công việc sau:
Tách mạng (network separation)
Bảo vệ vòng lặp (loop protection) (SV tự đọc)
Quản lý mạng LAN ảo (VLAN management)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
19
Tách mạng
Tách mạng (network separation)
Phân tách giữa các phần khác nhau của hệ thống mạng
Ví dụ: phân khúc mạng quản lý đơn hàng không được
phép truy cập tới mạng quản lý nguồn nhân lực
Các lựa chọn thực hiện phân tách mạng
Phân tách vật lý người dùng bằng cách kết nối họ tới các
bộ chuyển mạch và bộ định tuyến khác nhau
Bộ chuyển mạch khoảng cách không khí (Air gap switch)
Tách mạng (network separation)
Phân tách giữa các phần khác nhau của hệ thống mạng
Ví dụ: phân khúc mạng quản lý đơn hàng không được
phép truy cập tới mạng quản lý nguồn nhân lực
Các lựa chọn thực hiện phân tách mạng
Phân tách vật lý người dùng bằng cách kết nối họ tới các
bộ chuyển mạch và bộ định tuyến khác nhau
Bộ chuyển mạch khoảng cách không khí (Air gap switch)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
20
Quản lý mạng LAN ảo (1/2)

Quản lý mạng LAN ảo (VLAN management)
Mạng có thể được phân đoạn thành các nhóm thiết bị vật
lý thông qua VLAN
Người dùng rải rác có thể được nhóm lại với nhau theo
cách lô gíc:
Không quan tâm tới việc người dùng được kết nối tới switch
nào
Quản lý mạng LAN ảo (VLAN management)
Mạng có thể được phân đoạn thành các nhóm thiết bị vật
lý thông qua VLAN
Người dùng rải rác có thể được nhóm lại với nhau theo
cách lô gíc:
Không quan tâm tới việc người dùng được kết nối tới switch
nào
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
21
Quản lý mạng LAN ảo (2/2)
Các nguyên tắc chung để quản lý mạng VLAN
Một mạng VLAN không nên giao tiếp với mạng VLAN khác,
trừ khi chúng được kết nối tới cùng một bộ định tuyến
(router)
Cấu hình các cổng trống của switch để kết nối với một
mạng VLAN không được sử dụng
Các mạng VLAN khác nhau nên được kết nối tới các switch
khác nhau
Thay đổi tên mặc định của các mạng VLAN
Cấu hình các cổng switch truyền các gói tin VLAN được
gán nhãn để chuyển tiếp các thẻ xác định một cách tường
minh
Cấu hình mạng VLAN sao cho các thiết bị dùng chung

không nằm trong một mạng VLAN riêng (private)
Các nguyên tắc chung để quản lý mạng VLAN
Một mạng VLAN không nên giao tiếp với mạng VLAN khác,
trừ khi chúng được kết nối tới cùng một bộ định tuyến
(router)
Cấu hình các cổng trống của switch để kết nối với một
mạng VLAN không được sử dụng
Các mạng VLAN khác nhau nên được kết nối tới các switch
khác nhau
Thay đổi tên mặc định của các mạng VLAN
Cấu hình các cổng switch truyền các gói tin VLAN được
gán nhãn để chuyển tiếp các thẻ xác định một cách tường
minh
Cấu hình mạng VLAN sao cho các thiết bị dùng chung
không nằm trong một mạng VLAN riêng (private)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
22
Bảo mật cổng
Bảo mật các cổng mạng gồm các hoạt động sau:
Vô hiệu hóa các cổng không dùng (Disabling Unused
Ports)
Hạn chế và lọc MAC (MAC Limiting and Filtering)
IEEE 802.1x
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
23
Vô hiệu hóa các
cổng không dùng
Vô hiệu hóa các cổng không dùng
Tắt hết các cổng không cần thiết trên mạng
Kỹ thuật bảo mật này thường bị coi nhẹ

Những switch không được bảo mật cổng cho phép kẻ tấn
công kết nối đến các cổng không sử dụng và tấn công vào
mạng
Tất cả các cổng phải được bảo mật trước khi triển khai vào
mạng
Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử
dụng
Vô hiệu hóa các cổng không dùng
Tắt hết các cổng không cần thiết trên mạng
Kỹ thuật bảo mật này thường bị coi nhẹ
Những switch không được bảo mật cổng cho phép kẻ tấn
công kết nối đến các cổng không sử dụng và tấn công vào
mạng
Tất cả các cổng phải được bảo mật trước khi triển khai vào
mạng
Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử
dụng
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
24
Giới hạn và lọc địa chỉ MAC
Giới hạn và lọc địa chỉ MAC
Lọc và giới hạn số lượng địa chỉ MAC (media access
control address) cho phép trên một cổng
Cổng có thể được thiết lập giới hạn bằng 1
Một địa chỉ MAC cụ thể có thể được gán cho một cổng
Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đến
cổng
Giới hạn và lọc địa chỉ MAC
Lọc và giới hạn số lượng địa chỉ MAC (media access
control address) cho phép trên một cổng

Cổng có thể được thiết lập giới hạn bằng 1
Một địa chỉ MAC cụ thể có thể được gán cho một cổng
Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đến
cổng
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây
25