Tải bản đầy đủ (.ppt) (77 trang)

triển khai biện pháp an ninh

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.72 MB, 77 trang )

1
TRIỂN KHAI
BIỆN PHÁP AN NINH
Phần 4. Bảo mật hạ tầng hệ thống thông tin
Giảng viên: Trần Hồng Quang
2
Nội dung

Nguyên lý hoạt động của các thiết bị mạng và bảo
mật

Khái niệm về phân vùng mạng và mạng ảo

Các cơ chế phát hiện và ngăn chặn xâm nhập

Bảo mật cho thiết bị mạng

Bảo mật cho hệ điều hành mạng và các dịch vụ
mạng

Kiểm tra tình trạng mạng
3
I. Nguyên lý hoạt động của các thiết bị mạng
và bảo mật

Tổng quan

Mô hình OSI

Mục tiêu


Chỉ ra một số thiết bị tại tầng vật lý, tầng liên kết dữ liệu, tầng mạng,


Những khả năng mất an ninh

Nội dung nghiên cứu

Tầng vật lý (tầng 1): Cáp đồng trục, cáp xoắn, cáp quang, giao tiếp
hồng ngoại, tín hiệu sóng, bộ điều chế tín hiệu.

Tầng liên kết dữ liệu (tầng 2): Thiết bị tập trung, thiết bị chuyển mạch,
kết nối mạng không dây.

Tầng mạng (tầng 3): Thiết bị định tuyến, thiết bị điều khiển luồng và
truy cập.

Các thiết bị trên tầng khác.
4
I.1. Tầng vật lý – Physical Layer

Cáp xoắn – Coaxial cable

Đặc điểm

Là loại cáp cổ điển, được sử dụng từ rất lâu,
phổ biến dạng chuẩn 10Base2 (thin net) và
10Base5 (thick net).

Sử dụng đầu nối T-connector


Khả năng mất an ninh

Bị trích thông tin trong quá trình truyền

Phòng chống

Sử dụng thiết bị TDRs (Time-Domain
Reflectometers)
5
I.1. Tầng vật lý – Physical Layer

Nguyên tắc hoạt động của TDRs

Giả thiết chất điện môi và cáp được chế tạo hoàn
chỉnh, tạo ra hằng số khi tín hiệu lưu chuyển trên
cáp.

Thiết bị gửi xung đi và đợi phản hồi, quá trình
truyền xung khi xuất hiện vị trí lạ sẽ làm thay đổi
tín hiệu, khoảng cách thời gian và tốc độ giữa các
xung chúng cho ta biết vị trí lưu ý.
6
I.1. Tầng vật lý – Physical Layer

Cáp UTP – STP

Đặc điểm: Là loại cáp có độ an toàn cao
7
I.1. Tầng vật lý – Physical Layer


Cáp quang – Fiber

Khả năng mất an ninh: Bị trích thông tin từ các điểm kết nối

Phòng chống: Kiểm tra các điểm kết nối
8
I.1. Tầng vật lý – Physical Layer

Hồng ngoại – Infrared

Khả năng mất an ninh: ít khi xẩy ra do khoảng cách gần

Phòng chống: Yêu cầu xác nhận khi có thiết bị gửi hoặc nhận
9
I.1. Tầng vật lý – Physical Layer

Tần số radio – Radio Frequency

Khả năng mất an ninh: Rất mất an ninh, do tính đẳng hướng trong
truyền thông và kết nối di động, phát sinh các kết nối lạ, nghe trộm,….

Phòng chống: Sử dụng mã hóa truyền thông, thiết lập tham số khóa
truyền (WEP – Wireless Equivalency Privacy) hoặc sử dụng quản lý
khóa tập trung, quản lý theo địa chỉ vật lý, tài khoản.
10
I.1. Tầng vật lý – Physical Layer

Bộ điều chế tín hiệu – Modem

Khả năng mất an ninh: Thường bị nghe trộm tín hiệu, tấn công

chương trình điều khiển quay số.

Phòng chống: Kiểm tra khả năng bị nghe trộm qua thiết bị phát
hiện.
11
I.2. Tầng liên kết dữ liệu – Datalink Layer

Thiết bị tập trung tín hiệu – Hub

Thiết bị cầu nối - Bridge

Khả năng mất an ninh: Thường bị nghe trộm tín hiệu, tấn
công từ chối dịch vụ.

Phòng chống: Mã hóa dữ liệu trước khi truyền, yêu cầu kiểm
tra tính xác thực thông tin.
12
I.2. Tầng liên kết dữ liệu – Datalink Layer

Thiết bị chuyển mạch – Switch

Khả năng mất an ninh: Thường bị tấn công giả mạo, tấn
công “phần sụn” của thiết bị.

Phòng chống: Kiểm tra bảng ARP trong quá trình truyền tin,
cập nhật “phần sụn” từ nhà cung cấp thiết bị.
13
Tấn công giả mạo với man in the middle
14
Minh họa tấn công Man in the Middle với kỹ

thuật ARP Spoofing

Phương pháp thực thi
15
Access Router
A1-44-D5-1F-AA-4C
D4-47-55-C4-B6-9F
To Internet
Ethernet Switch/Hub
B2-CD-13-5B-E4-65
C3-2D-55-3B-A9-4F
Broadband
Modem
Client
Client
Server
Server
MAC Address trong LAN
16
Minh họa tấn công Man in the Middle với kỹ
thuật ARP Spoofing

Triển khai

Phần mềm giả mạo: WinARPSpoofing

Phần mềm phân tích: AcePassword
Router
Router
IP Address: 10.1.1.2/24

Network: 10.1.1.0/24
MAC Address
Hacker
Hacker
IP Address: 10.1.1.242/24
Network: 10.1.1.0/24
MAC Address
17
Phòng chống ARP Spoofing
18
I.2. Tầng liên kết dữ liệu – Datalink Layer

Thiết bị không dây – Wireless Access Points

Khả năng mất an ninh: Rất mất an ninh, do tính đẳng hướng trong
truyền thông và kết nối di động, phát sinh các kết nối lạ, nghe
trộm,….

Phòng chống: Sử dụng mã hóa truyền thông, thiết lập tham số
khóa truyền (WEP – Wireless Equivalency Privacy) hoặc sử dụng
quản lý khóa tập trung, quản lý theo địa chỉ vật lý, tài khoản.
19
I.3. Tầng mạng– Network Layer

Thiết bị định tuyến – Routers

Khả năng mất an ninh: Bị tấn công giả mạo, tấn công bản
chọn đường, tấn công “phần sụn” của thiết bị, tấn công từ
chối dịch vụ.


Phòng chống: Nâng cấp “phần sụn” từ nhà cung cấp thiết bị,
xác nhận tin tức qua bảng ánh xạ ARP, kiểm tra năng lực
của thiết bị.
20
I.3. Tầng mạng– Network Layer

Thiết bị truy cập từ xa – Remote Access Server

Khả năng mất an ninh: Bị tấn công giả mạo kết nối.

Phòng chống: Xây dựng hệ thống xác thực kết nối an ninh.
21
I.3. Tầng mạng– Network Layer

Bức tường lửa – Firewall

Khả năng mất an ninh: Bị tấn công giả mạo địa chỉ.

Phòng chống: Xây dựng hệ thống xác thực kết nối an ninh,
theo dõi tấn công, phân tích luồng tin.
22
II. Phân vùng mạng và mạng ảo

Tổng quan

Tìm hiểu, phân tích các loại phân vùng mạng

Mục tiêu

Tìm hiểu phân vùng Intranet


Tìm hiểu phân vùng Extranet

Tìm hiểu phân vùng DMZ

Tìm hiểu phân vùng VLAN

Nội dung nghiên cứu

Sơ lược những khái niệm, ý nghĩa, mục tiêu của phân vùng mạng

So sánh, tìm ra điểm mạnh và yếu của phân vùng mạng

Phương pháp thiết kế phân vùng an ninh trong hệ thống mạng
23
II.1. Phân vùng Intranet

Đặc điểm

Các địa chỉ, mạng LAN trực thuộc chung một mạng của một tổ chức.

Các địa chỉ được phân phối có quy tắc

Class A: 10.x.x.x/8

Class B: 172.16.x.x/12 đến 172.16.31.x/12

Class C: 192.168.x.x/16

Sử dụng chung tài nguyên với tốc độ cao, độ trễ thấp, tạo khả năng kết

nối dễ ràng

Sử dụng đa giao thức
24
II.2. Phân vùng Extranet

Đặc điểm

Đặc điểm bên trong giống Intranet, tuy nhiên chúng có khả năng kết nối
và sử dụng các nguồn tài nguyên bên ngoài.

Yêu cầu tính an ninh, an toàn, bảo mật

Được sử dụng để trao đổi, chia sẻ, hợp tác thông tin giữa các hệ thống
mạng

Tăng cường an ninh

Sử dụng hạ tầng khóa công khai

Sử dụng kết nối VPN

Sử dụng phân vùng DMZ
25
II.3. Phân vùng DMZ – DeMilitary Zone

Đặc điểm

Được sử dụng nhằm nâng cao tính an ninh, an toàn, bảo mật những vị trí
trọng yếu trong toàn bộ hệ thống mạng.


Là vùng đệm tập trung hệ thống phân luồng, kiểm soát gói tin, cung cấp
dịch vụ cho bên trong và bên ngoài hệ thống.

Toàn bộ thông tin từ bên ngoài vào bên trong hoặc ngược lại đều phải đi
qua DMZ và chịu sự quản lý, điều khiển của phân vùng này.

Các host trong khu vực DMZ được gọi duới tên Bastion Hosts

×