Bài giảng bảo mật cho hệ thống (chương 4)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.18 MB, 38 trang )
Security
Awareness
Presented by:
ATHENA Security Team
ATHENA
Security Awareness
ATHENA
Bảo mật cho hệ thống
ATHENA
Chương 4: Bảo mật cho hệ thống
Topologies Management
Mạng cục bộ?
Mạng diện rộng?
Mô hình mạng bảo mật?
Bảo vệ cho Hệ điều hành?
Bảo vệ hệ thống mạng?
Bảo vệ các ứng dụng?
Bảo vệ Web server?
Bảo vệ E-mail Server?
ATHENA
Chương 4: Bảo mật cho hệ thống
Devices and Media Management
Bảo mật trên trang thiết bị mạng
– Tường lửa,
– bộ định tuyến,
– Hub/Switch,
– Access point
Bảo mật trong truyền dẫn
– Cáp UTP
– Cáp quang (Fiber Optic)
– Công nghệ không dây
(Wireless)
ATHENA
Topology Management
ATHENA
Khái niệm về mạng cục bộ (LAN)
Các máy tnh cá nhân và các máy tnh khác
trong phạm vi một khu vc hạn chế đưc nối
vi nhau bng các dây cáp cht lưng tốt.
Người sử dụng c th trao đi thông tin.
Dng chung các thiết bị ngoại vi, và sử dụng
các chương trình.
ATHENA
Khái niệm mạng diện rộng (WAN)
Là mạng kết nối các mạng LAN lại vi nhau.
Cho phép trao đi dữ liệu trên một phạm vi
rộng ln .
V dụ về mạng WAN:
Mạng truyền dữ liệu của các ngân hàng
Mạng truyền dữ liệu của bưu điện
Mạng internet….
ATHENA
Khái niệm mô hình bảo mật
HR Servers
Web
Server
User
Users
Finance
Servers
Firewall
Server
Hệ thống mạng kết nối
trực tiếp với internet.
Nguy cơ tấn công cao
Có thể làm ngưng sự hoạt
động của hệ thống
ATHENA
HR
Servers
Khái niệm mô hình bảo mật
LAN Switch
SPAN
LAN
Firewall
Web
Server
User
Users
Finance
Servers
Firewall
Server
Protected network
Internet
IDP
Victim
Mail Server
Attacker
Hệ thống mạng có các
thiết bị bảo vệ, chống
xâm nhập từ bên ngoài
ATHENA
Bảo vệ Hệ Điều Hành
Hệ điều hành c rt nhiều lỗ hỏng:
V dụ: Microsoft windows c
Hacker c th sử dụng các lỗ hỏng này đ tn công
Chiếm quyền điều khin hệ thống
Làm bàn đạp tn công hệ thống khác.
ATHENA
Bảo vệ các ứng dụng
Các ứng dụng hiện nay cũng c rt nhiều lỗ
hỏng.
V dụ : Các ứng dụng web c sử dụng database
SQL Server thường bị lỗi SQL injection.
Hacker c th sử dụng lỗi SQL injection đ khai
thác, thay đi nội dung website.
Ảnh hưởng đến các giao dịch điện tử trên mạng
ATHENA
Bảo vệ e-mail
Chống lại các mail c virus
Spam
Đảm bảo hệ thống mail server chạy tốt.
Độ n định cao
ATHENA
Bảo vệ Web server
Web server c nhiều lỗ hỏng.
Vi dụ: Web server IIS của Microsoft c lỗi Unicode.
Hacker c th khai thác lỗi hỏng này
Chiếm quyền điều khin hệ thống.
Thay đi cơ sở dữ liệu.
ATHENA
Device & Media Management
ATHENA
Bảo mật dựa trên thiết bị
Hầu hết hệ thống bảo mật
hiện nay đều da trên các
thiết bị phần cứng như:
Firewall, IDS, IDP,…
Cu hình các thiết bị phần
cứng này hp lý và chnh xác,
gp phần giảm các lỗ hỏng
cho phép hacker khai thác.
Hiu rõ cu trúc của thiết bị ,
c th đưa ra những cu hình
ph hp .
ATHENA
Khái niệm về tường lửa- Firewall
Firewall là thiết bị ph biến nht hiện nay dng
đ bảo vệ hệ thống mạng bên trong chống lại
kẻ xâm nhập bên ngoài.
Firewall c th cho phép/ không cho phép user
sử dụng một dịch vụ mạng nào đ.
V dụ: Trong một công ty c kết nối internet. Firewall
c th cho phép user truy cập các website nhưng
không cho sử dụng dịch vụ chat của yahoo
messenger, không cho dng dịch vụ Telnet,…
ATHENA
Khái niệm về tường lửa- Firewall
Firewall sử dụng 3 công nghệ chnh:
Lọc gi dữ liệu ( Packet filtering) . Kỹ thuật này da
chủ yếu vào địa chỉ IP của các máy tnh. Cho phép/
từ chối máy tnh c địa chỉ IP này giao tiếp vi máy
tnh c địa chỉ IP khác.
Lọc các ứng dụng (Application filtering). Kỹ thuật
này cho phép định nghĩ các ứng dụng đưc cho
phép truy xut từ trong ra ngoài và ngưc lại.
– V dụ: Firewall chỉ cho phép ứng dụng Website, FTP và
không cho phép ứng dụng Telnet
ATHENA
Khái niệm về tường lửa-Firewall
Tường lửa kim soát trạng thái- Stateful Inspection
Firewall(SIF). Kỹ thuật SIF thu thập nhiều thông tin
khác nhau trong đoạn mã mào đầu(header) của các gi
lưu lưng, như địa chỉ IP nguồn và đch, số hiệu cng
nguồn và cng đch ,…. Và “duy trì” trạng thái của mỗi
phiên TCP hoặc UDP đi qua tường lửa.
Khi c một gi đi ti, tường lửa SIF sẽ so sánh thông
tin chứa trong header của gi đ vi trạng thái của
phiên làm việc tương ứng lưu trong bảng phân tch.
Nếu thông tin khp nhau, gi lưu lưng đ đưc đi
qua.
Ngưc lại, gi lưu lưng sẽ bị loại bỏ.
ATHENA
Khái niệm về Firewall (tt)
So sánh tường lửa SIF vi lọc gi (Packet
Filtering)
Tường lửa SIF c mức độ an toàn cao hơn công
nghệ lọc gi vì n chỉ mở ra những “lỗ” nhỏ hơn đ
lưu lưng đi qua.
– V dụ: thay vì cho tt cả các máy tnh gửi bt kỳ dữ liệu nào
trên cng 80(cng duyệt web) mà không c kim duyệt,
tường lửa SIF sẽ phải đảm bảo rng gi dữ liệu đưc
truyền tải thuộc về một phiên làm việc đã xác định trưc
ATHENA
Khái niệm bộ định tuyến (Router)
Router là thiết bị định tuyến dng đ kim tra
các gi dữ liệu, chọn đường dẫn tốt nht cho
chúng xuyên qua mạng, sau đ dẫn chúng đến
các đch thch hp.
V dụ: Router định tuyến đ dữ liệu đi từ Việt Nam
đến đến các nưc khác như Mỹ, Úc, Singapore,….
ATHENA
Khái niệm bộ định tuyến (router)
Có rất nhiều loại router của nhiều hãng khác
nhau : Cisco, Juniper, Nortel,…
ATHENA
Khái niệm về Hub/Switch
Hub/Switch là thiết bị đưc thiết kế đ kết nối
các máy tnh lại vi nhau.
Tái sinh và định thời lại tn hiệu.
Giúp tn hiệu truyền đi xa hơn mà không bị
nhiễu.
ATHENA
So sánh Hub và Switch
Hub là thiết bị lp 1 trong mô hình OSI
Switch là thiết bị lp 2 trong mô hình OSI
Switch thông minh hơn Hub
Switch c tốc độ xử lý nhanh hơn Hub.
Switch bảo mật hơn Hub. Switch c khả năng
chống lại c kỹ thuật tn công nghe lén.
ATHENA
Bộ phát sóng wireless - Access
point
Tương tư như Hub/Switch
trong mạng có dây.
Chuyển tiếp sóng trong mạng
không dây.
