1
TRIỂN KHAI
BIỆN PHÁP AN NINH
Phần 4. Bảo mật hạ tầng hệ thống thông tin
Giảng viên: Trần Hồng Quang
2
Nội dung

Nguyên lý hoạt động của các thiết bị mạng và bảo
mật

Khái niệm về phân vùng mạng và mạng ảo

Các cơ chế phát hiện và ngăn chặn xâm nhập

Bảo mật cho thiết bị mạng

Bảo mật cho hệ điều hành mạng và các dịch vụ
mạng

Kiểm tra tình trạng mạng
3
I. Nguyên lý hoạt động của các thiết bị mạng
và bảo mật

Tổng quan

Mô hình OSI

Mục tiêu


Chỉ ra một số thiết bị tại tầng vật lý, tầng liên kết dữ liệu, tầng mạng,
…

Những khả năng mất an ninh

Nội dung nghiên cứu

Tầng vật lý (tầng 1): Cáp đồng trục, cáp xoắn, cáp quang, giao tiếp
hồng ngoại, tín hiệu sóng, bộ điều chế tín hiệu.

Tầng liên kết dữ liệu (tầng 2): Thiết bị tập trung, thiết bị chuyển mạch,
kết nối mạng không dây.

Tầng mạng (tầng 3): Thiết bị định tuyến, thiết bị điều khiển luồng và
truy cập.

Các thiết bị trên tầng khác.
4
I.1. Tầng vật lý – Physical Layer

Cáp xoắn – Coaxial cable

Đặc điểm

Là loại cáp cổ điển, được sử dụng từ rất lâu,
phổ biến dạng chuẩn 10Base2 (thin net) và
10Base5 (thick net).

Sử dụng đầu nối T-connector


Khả năng mất an ninh

Bị trích thông tin trong quá trình truyền

Phòng chống

Sử dụng thiết bị TDRs (Time-Domain
Reflectometers)
5
I.1. Tầng vật lý – Physical Layer

Nguyên tắc hoạt động của TDRs

Giả thiết chất điện môi và cáp được chế tạo hoàn
chỉnh, tạo ra hằng số khi tín hiệu lưu chuyển trên
cáp.

Thiết bị gửi xung đi và đợi phản hồi, quá trình
truyền xung khi xuất hiện vị trí lạ sẽ làm thay đổi
tín hiệu, khoảng cách thời gian và tốc độ giữa các
xung chúng cho ta biết vị trí lưu ý.
6
I.1. Tầng vật lý – Physical Layer

Cáp UTP – STP

Đặc điểm: Là loại cáp có độ an toàn cao
7
I.1. Tầng vật lý – Physical Layer


Cáp quang – Fiber

Khả năng mất an ninh: Bị trích thông tin từ các điểm kết nối

Phòng chống: Kiểm tra các điểm kết nối
8
I.1. Tầng vật lý – Physical Layer

Hồng ngoại – Infrared

Khả năng mất an ninh: ít khi xẩy ra do khoảng cách gần

Phòng chống: Yêu cầu xác nhận khi có thiết bị gửi hoặc nhận
9
I.1. Tầng vật lý – Physical Layer

Tần số radio – Radio Frequency

Khả năng mất an ninh: Rất mất an ninh, do tính đẳng hướng trong
truyền thông và kết nối di động, phát sinh các kết nối lạ, nghe trộm,….

Phòng chống: Sử dụng mã hóa truyền thông, thiết lập tham số khóa
truyền (WEP – Wireless Equivalency Privacy) hoặc sử dụng quản lý
khóa tập trung, quản lý theo địa chỉ vật lý, tài khoản.
10
I.1. Tầng vật lý – Physical Layer

Bộ điều chế tín hiệu – Modem

Khả năng mất an ninh: Thường bị nghe trộm tín hiệu, tấn công

chương trình điều khiển quay số.

Phòng chống: Kiểm tra khả năng bị nghe trộm qua thiết bị phát
hiện.
11
I.2. Tầng liên kết dữ liệu – Datalink Layer

Thiết bị tập trung tín hiệu – Hub

Thiết bị cầu nối - Bridge

Khả năng mất an ninh: Thường bị nghe trộm tín hiệu, tấn
công từ chối dịch vụ.

Phòng chống: Mã hóa dữ liệu trước khi truyền, yêu cầu kiểm
tra tính xác thực thông tin.
12
I.2. Tầng liên kết dữ liệu – Datalink Layer

Thiết bị chuyển mạch – Switch

Khả năng mất an ninh: Thường bị tấn công giả mạo, tấn
công “phần sụn” của thiết bị.

Phòng chống: Kiểm tra bảng ARP trong quá trình truyền tin,
cập nhật “phần sụn” từ nhà cung cấp thiết bị.
13
Tấn công giả mạo với man in the middle
14
Minh họa tấn công Man in the Middle với kỹ

thuật ARP Spoofing

Phương pháp thực thi
15
Access Router
A1-44-D5-1F-AA-4C
D4-47-55-C4-B6-9F
To Internet
Ethernet Switch/Hub
B2-CD-13-5B-E4-65
C3-2D-55-3B-A9-4F
Broadband
Modem
Client
Client
Server
Server
MAC Address trong LAN
16
Minh họa tấn công Man in the Middle với kỹ
thuật ARP Spoofing

Triển khai

Phần mềm giả mạo: WinARPSpoofing

Phần mềm phân tích: AcePassword
Router
Router
IP Address: 10.1.1.2/24

Network: 10.1.1.0/24
MAC Address
Hacker
Hacker
IP Address: 10.1.1.242/24
Network: 10.1.1.0/24
MAC Address
17
Phòng chống ARP Spoofing
18
I.2. Tầng liên kết dữ liệu – Datalink Layer

Thiết bị không dây – Wireless Access Points

Khả năng mất an ninh: Rất mất an ninh, do tính đẳng hướng trong
truyền thông và kết nối di động, phát sinh các kết nối lạ, nghe
trộm,….

Phòng chống: Sử dụng mã hóa truyền thông, thiết lập tham số
khóa truyền (WEP – Wireless Equivalency Privacy) hoặc sử dụng
quản lý khóa tập trung, quản lý theo địa chỉ vật lý, tài khoản.
19
I.3. Tầng mạng– Network Layer

Thiết bị định tuyến – Routers

Khả năng mất an ninh: Bị tấn công giả mạo, tấn công bản
chọn đường, tấn công “phần sụn” của thiết bị, tấn công từ
chối dịch vụ.


Phòng chống: Nâng cấp “phần sụn” từ nhà cung cấp thiết bị,
xác nhận tin tức qua bảng ánh xạ ARP, kiểm tra năng lực
của thiết bị.
20
I.3. Tầng mạng– Network Layer

Thiết bị truy cập từ xa – Remote Access Server

Khả năng mất an ninh: Bị tấn công giả mạo kết nối.

Phòng chống: Xây dựng hệ thống xác thực kết nối an ninh.
21
I.3. Tầng mạng– Network Layer

Bức tường lửa – Firewall

Khả năng mất an ninh: Bị tấn công giả mạo địa chỉ.

Phòng chống: Xây dựng hệ thống xác thực kết nối an ninh,
theo dõi tấn công, phân tích luồng tin.
22
II. Phân vùng mạng và mạng ảo

Tổng quan

Tìm hiểu, phân tích các loại phân vùng mạng

Mục tiêu

Tìm hiểu phân vùng Intranet


Tìm hiểu phân vùng Extranet

Tìm hiểu phân vùng DMZ

Tìm hiểu phân vùng VLAN

Nội dung nghiên cứu

Sơ lược những khái niệm, ý nghĩa, mục tiêu của phân vùng mạng

So sánh, tìm ra điểm mạnh và yếu của phân vùng mạng

Phương pháp thiết kế phân vùng an ninh trong hệ thống mạng
23
II.1. Phân vùng Intranet

Đặc điểm

Các địa chỉ, mạng LAN trực thuộc chung một mạng của một tổ chức.

Các địa chỉ được phân phối có quy tắc

Class A: 10.x.x.x/8

Class B: 172.16.x.x/12 đến 172.16.31.x/12

Class C: 192.168.x.x/16

Sử dụng chung tài nguyên với tốc độ cao, độ trễ thấp, tạo khả năng kết

nối dễ ràng

Sử dụng đa giao thức
24
II.2. Phân vùng Extranet

Đặc điểm

Đặc điểm bên trong giống Intranet, tuy nhiên chúng có khả năng kết nối
và sử dụng các nguồn tài nguyên bên ngoài.

Yêu cầu tính an ninh, an toàn, bảo mật

Được sử dụng để trao đổi, chia sẻ, hợp tác thông tin giữa các hệ thống
mạng

Tăng cường an ninh

Sử dụng hạ tầng khóa công khai

Sử dụng kết nối VPN

Sử dụng phân vùng DMZ
25
II.3. Phân vùng DMZ – DeMilitary Zone

Đặc điểm

Được sử dụng nhằm nâng cao tính an ninh, an toàn, bảo mật những vị trí
trọng yếu trong toàn bộ hệ thống mạng.


Là vùng đệm tập trung hệ thống phân luồng, kiểm soát gói tin, cung cấp
dịch vụ cho bên trong và bên ngoài hệ thống.

Toàn bộ thông tin từ bên ngoài vào bên trong hoặc ngược lại đều phải đi
qua DMZ và chịu sự quản lý, điều khiển của phân vùng này.

Các host trong khu vực DMZ được gọi duới tên Bastion Hosts