Tải bản đầy đủ (.pdf) (111 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Đề cương quản trị mạng nâng cao (ĐHCQ)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.67 MB, 111 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN

GIÁO TRÌNH QUẢN TRỊ
MẠNG NÂNG CAO
TRÌNH ĐỘ ĐÀO TẠO:

ĐẠI HỌC

NGÀNH ĐÀO TẠO:

CÔNG NGHỆ THÔNG TIN
(INFORMATION TECHNOLOGY)

JULY 6, 2016
FIT-UTEHY
(LƯU HÀNH NỘI BỘ)


MỤC LỤC
CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 4

1.1 Tổng quan về bảo mật mạng ................................................................................... 4
1.1.1 Nguy cơ bảo mật trong mạng thông tin ............................................................ 4
1.1.2 Mục tiêu bảo mật .............................................................................................. 4
1.2 Tổng quan về AAA ................................................................................................. 5
1.2.1 Điều khiển truy nhập – Access Control ............................................................ 6
1.2.2 Xác thực ............................................................................................................ 7
1.2.3 Kiểm tra quản lý – Auditing ........................................................................... 17
1.3 Các thiết bị hạ tầng mạng ...................................................................................... 18
1.3.1 Tường lửa - Firewall ....................................................................................... 18


1.2.2 Bộ định tuyến – Router ................................................................................... 19
1.2.3 Bộ chuyển mạch – Switch .............................................................................. 19
1.2.4 Bộ cân bằng tải ............................................................................................... 19
1.2.5 Proxies ............................................................................................................ 19
1.2.6 Cổng bảo vệ Web (Web Security Gateway) ................................................... 20
1.2.7 Hệ thống phát hiện xâm nhập ......................................................................... 20
CHƯƠNG 2: TƯỜNG LỬA - FIREWALL .............................................................................. 21

2.1. Tổng quan về Firewall ........................................................................................ 21
2.1.1 Khái niệm về Firewall .................................................................................... 21
2.1.2. Mục đích của Firewall ................................................................................... 21
2.1.3. Phân loại FIREWALL ................................................................................... 23
2.1.4. Mô hình kiến trúc của FIREWALL ............................................................... 27
2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables................................................ 33
2.2.1 ISA 2006 ......................................................................................................... 33
1


2.2.2 TMG 2010....................................................................................................... 39
2.2.3 Iptables ............................................................................................................ 42
2.3

Tường lửa cứng ASA ........................................................................................ 45

2.3.1

Giới thiệu về ASA ...................................................................................... 45

2.3.2


Triển khai một số tính năng của ASA trong hệ thống mạng...................... 46

CHƯƠNG 3: CÔNG NGHỆ VPN ............................................................................................. 55

3.1. Tổng quan về VPN ............................................................................................... 55
3.1.1 Khái niệm ........................................................................................................ 55
3.1.2 Lợi ích của VPN ............................................................................................. 56
3.1.3 Chức năng của VPN ....................................................................................... 56
3.1.4 Các thành phần cần thiết tạo nên kết nối VPN ............................................... 57
3.1.5

Phân loại VPN ............................................................................................ 57

3.2. Một số giao thức mã hóa trong VPN ................................................................... 59
3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) ............................. 60
3.2.2 Giao thức đường hầm điểm điểm - PPTP .......................................................... 62
3.2.2.1 PPP và PPTP ................................................................................................ 63
3.2.2.2 Cấu trúc gói của PPTP ................................................................................. 64
3.2.2.3 Đường hầm .................................................................................................. 67
Giao thức đường hầm lớp 2 – L2TP .............................................................. 68

3.2.3
3.2.4

Giao thức IP Sec ......................................................................................... 73

CHƯƠNG 4: HỆ THỐNG MAIL SERVER ............................................................................. 84

4.1.


Tổng quan về hệ thống Email ........................................................................... 84

4.1.1 Khái niệm và các thành phần của Email ......................................................... 84
4.1.2 Một số giao thức trong Email ......................................................................... 88
4.2 MS.Exchange Server 2010 .................................................................................... 92
4.2.1. Giới thiệu về MS.Exchange Server 2010 ...................................................... 92
2


4.2.2 Một số đặc điểm của MS.Exchange 2010 ...................................................... 92
4.3 MailServer Mdaemon............................................................................................ 96
CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG ....................................................................... 98

5.1 Tổng quan về giám sát mạng ................................................................................ 98
5.1.1 Khái niệm ........................................................................................................ 98
5.1.2 Các lĩnh vực cần phải giám sát trong hệ thống mạng ..................................... 99
5.2 Giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng
................................................................................................................................... 101
5.2.1 Giao thức quản lý mạng đơn giản – SNMP .................................................. 101
5.2.2 Một số phần mềm giám sát mạng thường gặp .............................................. 106

3


CHƯƠNG I: TỔ NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ
TẦNG MẠNG
MỤC TIÊU
Học xong chương này sinh viên có thể:
o Trình bày được một số nguy cơ và mục tiêu trong bảo mật hệ thống công nghệ
thông tin.

o Hiểu và giải thích được một số phương thức chứng thực
o Trình bày và phân tích được ba yếu tố AAA trong bảo mật hệ thống
o Phân biệt được các thiết bị hạ tầng mạng thường gặp trong một hệ thống
mạng.
o Rèn luyện tính tư duy logic.
1.1 Tổng quan về bảo mật mạng
1.1.1 Nguy cơ bảo mật trong mạng thông tin
Nguy cơ bảo mật (Threat) - là một hoặc một chuỗi các sự kiện hoặc hành động
nào đó có thể gây hại hoặc ảnh hưởng không tốt cho các mục tiêu bảo mật. Thể hiện
thực tế của nguy cơ bảo mật là một cuộc tấn công vào mạng.
Lỗ hổng bảo mật (Vulnerability Security) – Là các “lỗi” của phần mềm hoặc hệ
thống mà có thể bị kẻ tấn công lợi dụng, khai thác và ảnh hưởng tới an toàn thông
tin của hệ thống.
1.1.2 Mục tiêu bảo mật
Mục tiêu bảo mật hay còn gọi là đối tượng bảo mật. Được định nghĩa tuỳ theo
môi trường ứng dụng hoặc kỹ thuật thực hiện.
1.1.2.1 Theo môi trường ứng dụng
• Các tổ chức tài chính
Chống nguy cơ làm sai lệch và thay đổi tình cờ trong các giao dịch tài chính.
Xác nhận tính hợp pháp của các giao dịch của khách hàng.
Bảo mật cho các số nhận dạng cá nhân (PIN) .
Đảm bảo tính riêng tư cho khách hàng trong giao dịch.
• Thương mại điện tử
Đảm bảo tính toàn vẹn trong giao dịch.
Đảm bảo tính riêng tư cho doanh nghiệp.
Cung cấp chữ ký điện tử (electronic signature) cho các giao dịch điện tử.
Đảm bảo tính riêng tư, bí mật đối với các thông tin của khách hàng.
• Chính phủ
Chống nguy cơ rò rỉ các thông tin nhạy cảm.
Cung cấp chữ ký điện tử cho các tài liệu của chính phủ.

• Các nhà cung cấp dịch vụ viễn thông công cộng

4


Giới hạn quyền truy cập vào các chức năng quản trị chỉ dành cho những người có đủ thẩm
quyền.
Đảm bảo dịch vụ luôn sẵn sàng.
Bảo vệ tính riêng tư cho các thuê bao.
• Các mạng riêng và mạng doanh nghiệp
Bảo vệ tính riêng tư cho doanh nghiệp và cá nhân.
Đảm bảo khả năng xác nhận bản tin.
• Tất cả các mạng
Bảo vệ dữ liệu chống lại sự xâm nhập bất hợp pháp.

1.1.2.2 Theo kỹ thuật thực hiện
• Tính bí mật (confidentiality)
Đảm bảo chỉ những người có thẩm quyền mới xem được dữ liệu khi truyền đi hoặc lưu giữ.
• Tính toàn vẹn của dữ liệu (data integrity)
Phát hiện được bất cứ sự thay đổi nào trong dữ liệu trong khi truyền hoặc lưu giữ.
Xác nhận được ai là người tạo ra hoặc thay đổi dữ liệu.
• Tính kế toán (accountability)
Xác định trách nhiệm với bất kỳ sự kiện thông tin nào.
• Tính sẵn sàng (availability)
Các dịch vụ phải luôn sẵn sàng đáp ứng nhu cầu sử dụng của người dùng.
• Truy cập có điều khiển (controlled access)
Chỉ những thực thể có đủ thẩm quyền mới có thể truy cập các dịch vụ hoặc thông tin

1.2 Tổng quan về AAA
AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm

tra quản lý– Auditing ) là một nhóm các quá trình được sử dụng để bảo vệ dữ liệu,
thiết bị, tính bí mật của các thuộc tính và thông tin. AAA cung cấp:
- Tính bí mật (Confidentiality): Một trong những mục tiêu quan trọng nhất của
bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu. Điều này có nghĩa là dữ
liệu hay thông tin của người nào thì chỉ người đó được biết và những người
khác không được quyền can thiệp vào. Trong thực tế, ở những khu vực riêng
của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng
cấm “không phận sự miễn vào” cũng là một hình thức bảo vệ tính riêng tư.
Đối với dữ liệu truyền để bảo vệ tính riêng tư (Confidentiality) thì dữ liệu
thường được mã hóa hay sử dụng các giao thức truyền thông an tòan như
SSH, SSL…

5


Hình 1.1: Mục tiêu của bảo mật hệ thống
-

Tính toàn vẹn (Integrity): Mục tiêu thứ hai trong bảo mật thông tin là bảo vệ
tính toàn vẹn cho dữ liệu. Nhằm bảo đảm khi dữ liệu truyền đi không bị thay
đổi bởi một tác nhân khác, ví dụ: khi một email quan trọng được gởi đi thì
thường được áp dụng các thuật toán bảo vệ tính tòan vẹn như chữ ký số nhằm
ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên.
- Tính sẵn dùng (Availability) : Các nội dung hay dữ liệu phải luôn sẵn sàng để
người dùng có thể truy cập và sử dụng nếu được phép. Ví dụ đối với một
trang Web phải luôn đảm bảo hoạt đông 24h/1ngày và 7ngày /1tuần để cho
người dùng có thể truy cập bất cứ lúc nào.
Để đạt được mục tiêu bảo mật AAA đối với dữ liệu và tài nguyên chúng ta cần
phải thực hiện ba công việc chính sau đây:
1.2.1 Điều khiển truy nhập – Access Control

Quá trình điều khiển truy cập là rất quan trọng. Điều khiển truy cập định nghĩa
cách thức người dùng và hệ thống liên lạc như thế nào và theo cách nào. Hay nói
cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ
thống, bao gồm dữ liệu, và do đó bảo vệ thông tin khỏi những truy cập trái phép.
Điều khiển truy cập bao gồm 3 loại sau:
 Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) là một mô
hình tĩnh sử dụng để thiết lập, xác định trước những quyền truy cập cho các tệp
trên hệ thống. Người quản trị hệ thống thiết lập quyền truy cập với những tham
số và kết hợp chúng với một tài khoản, các tệp hay các tài nguyên của hệ thống.
MAC sử dụng các nhãn để xác định mức độ quan trọng và áp dụng cho các đối
tượng. Khi một người dùng cố gắng truy cập vào một đối tượng, nhãn sẽ được
kiểm tra để xác định truy cập được phép xảy ra hay bị từ chối. Khi sử dụng
phương thức điều khiển truy cập này, tất cả các đối tượng đều phải có một nhãn
để xác định quyền truy cập.
 Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động
6


dựa trên định danh của người dùng, trong mô hình này người dùng được gán
quyền truy cập với các đối tượng như file, folder thông qua danh sách truy cập
(ACL), dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng
(creator).
 Điều khiển truy cập dựa trên vai trò: Role – Based Access Control (RBAC) :
RBAC họat động dựa trên công việc của người dùng. Người dùng được cấp
quyền tùy theo vai trò và công việc. đây là mô hình rất thích hợp cho các môi
trường làm việc mà nhân sự có nhiều thay đổi.
1.2.2 Xác thực
Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định
được ai đang truy cập vào hệ thống, và đó có là một người sử dụng hợp lệ hay
không. Yếu tố xác thực là phần thông tin dùng để xác thực hoặc xác minh nhân dạng

(identity) của một người. Hệ thống xác thực hay phương thức xác thực dựa trên năm
yếu tố sau:
 Những gì bạn biết. Ví dụ mật khẩu, mã PIN (Personal Identification
Number).
 Những gì bạn có. Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ
thông minh, hay các thiết bị dùng để định danh .
 Những gì là chính bạn. Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA.
 Những gì bạn làm. Ví dụ: một hành động hay chuỗi hành động cần phải thực
hiện để hoàn thành xác thực.
 Một nơi nào đó bạn ở. Ví dụ như dựa vào vị trí đang ở của bạn (hiện nay
nhiều hệ thống sử dụng tính toán di động, nên yếu tố xác thực này ít được sử
dụng).
Trên thực tế, nếu chỉ dùng một yếu tố để xác thực, độ an toàn sẽ không cao bằng
kết hợp nhiều yếu tố với nhau. Cũng giống như căn nhà, cửa chính nên được khóa
bằng nhiều ổ khóa. Nếu lỡ may chúng ta đánh rơi một chiếc chìa khóa, hay kẻ trộm
có thể bẻ gãy một ổ khóa, thì vẫn còn đó những ổ khóa khác, đủ làm nản lòng hoặc
chí ít là làm mất thời gian của kẻ trộm hơn khi phá cửa.
1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol)
Phương pháp xác thực PAP dựa trên hai yếu tố chính: tên đăng nhập/mật
khẩu(username/password) là cách thông dụng nhất để kiểm tra một người dùng có
được quyền đăng nhập hoặc có quyền sử dụng tài nguyên hoặc hệ thống hay không.
Các ứng dụng thực tế của cơ chế này có rất nhiều như việc đăng nhập máy tính trên
màn hình logon, đăng nhập hộp thư điện tử…

7


Hình 1.2: Xác thực sử dụng PAP
Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của
họ sẽ được chuyển đến một cơ sở dữ liệu để tìm và so sánh vơi các bản ghi (record)

trên hệ thống, nếu có sự trùng lặp xảy ra thì đây là người dùng hợp lệ và được đăng
nhập hệ thống. Trong trường hợp ngược lạ sẽ bị hệ thống từ chối cho phép truy cập.
Những thuận lợi của phương pháp này là cơ chế họat động đơn giản, dễ ứng dụng.
Nhưng kém an toàn vì các thông tin như Username & Password được gởi đi dưới
dạng văn bản thông thường (clear text) theo các giao thức không mã hóa như Telnet,
FTP, HTTP, POP... dễ dàng bị bắt lấy (bằng việc sử dụng các phần mềm sniffer như
Cain, Ethercap, IMSniff, Password ACE Sniff....) và sẽ bị xem trộm.
1.2.2.2 Kerberos
Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa
(Cleartext) là thông tin nhạy cảm (username/password) dễ dàng bị đánh cắp bằng
các phương pháp nghe lén (Sniffer), tấn công phát lại (Replay attack) hay người đàn
ông ở giữa (Man in the middle), vì vậy một hệ thống xác thực mạnh mẽ và an toàn
đã được nghiên cứu bởi học viện MIT(Massachusetts Institute of Technology) trong
dự án Athena và ứng dụng thành công là Kerberos trên các hệ thống Windows
2000/2003/2008/2012, Linux, Unix. Mặc dù đây là một hệ thống họat động độc lập
không phụ thuộc vào nền của hệ thống nhưng cần có những sự tinh chỉnh riêng để
có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng thực
cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ
chẳng hạn SAMBA. Với đặc tính này, người dùng chỉ cần chứng thực một lần với
Trung tâm phân phối khóa (KDC – Key Distribution Center ) và sau đó có thể sử
dụng tất cả các dịch vụ khác đã được tin cậy (trust) theo những quyền hạn thích hợp
mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà mình sử
dụng. Ví dụ trong mô hình Windows Server 2008 Active Directory, sau khi tham
gia và đăng nhập domain các domain user có thể sử dụng các dịch vụ chia sẻ trên
8


mạng như File hay Print Server mà không cần phải cung cấp tên đăng nhập và mật
khẩu (username và password) khi kết nối đến các máy chủ này như khi họat động
trong môi trường WorkGroup. Đây là một ưu điểm lớn của việc ứng dụng Kerberos

nói chúng hay mô hình mạng sử dụng Active Directory nói riêng.
Các thành phần chính và cơ bản của một hệ thống kerberos:
Client: Người dùng (user), dịch vụ (service), máy (machine)
KDC : Trung tâm phân phối khóa (Key Distribution Center)
Máy chủ tài nguyên hoặc máy chủ lưu trữ.

Hình 1.3: Các thành phần chính của hệ thống chứng thực Kerberos
Để hiểu rõ về cơ chế làm việc của kerberos, chúng ta hãy xét một phiên chứng
thực khi một người dùng đăng nhập vào hệ thống để sử dụng các dịch vụ của hệ
thống đó. Bao gồm các bước sau đây:
1. Subject (client –máy khách hay còn gọi là người dùng) cung cấp thông tin
đăng nhập. Ví dụ: username và password.
2. Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data
Encryption Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC.
3. KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket
(TGT— là giá trị hash của password do người dùng (subject) cung cấp với giá trị
timestamp chỉ định thời gian sống (lifetime) của phiên truy cập. Giá trị TGT này sẽ
được mã hóa và gửi về cho client).

9


4. Client nhận TGT. Tại thời điểm này, người dùng (subject) xem như đã được
chứng thực trong mô hình Kerberos.
5. Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu
Service Ticket (ST) sẽ được gởi đến KDC.
6. KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ
KDC sẽ cấp ST cho client, giá trị ST này cũng kèm theo một timestame quy định
thời gian sử dụng
7. Client nhận ST từ KDC.

8. Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ
printer server.
9. Network server (ex. Print server) sẽ xác nhận ST. Nếu hợp lệ, một kênh truyền
thông sẽ được khởi tạo với client. Tại thời điểm này Kerberos sẽ không can thiệp
vào quá trình họat động của client và server nữa.

Hình 1.4: Quá trình chứng thực bằng kerberos
10


Với cơ chế quản lý chứng thực tập trung và có khả năng mở rộng, Kerberos
mang lại hiệu quả cao cho các mô hình mạng lớn. Trên hệ thống Windows OS, các
bạn có thể áp dụng Kerberos cho tổ chức của mình bằng cách triển khai hệ thống
Active Directory.
1.2.2.3 Challenge Handshake Authentication Protocol (CHAP)
CHAP là giao thức chứng thực được dùng chủ yếu trong các kết nối dial -up
(thường là PPP) với mục đích cung cấp một cơ chế truyền thông an tòan cho quá
trình đăng nhập của người dùng. CHAP sử dụng one-way hash để bảo vệ passwords
và tiến hành xác thực lại (reauthenticates)với các client một cách định kỳ.

Hình 1.5: Mô hình xác thực CHAP
Để hổ trợ quá trình đăng nhập và giúp cho client/server có thể xác thực lẫn nhau
CHAP khởi tạo một tiến trình xác thực của riêng nó theo trình tư như mô tả dưới
đây:
1. Sau khi người dùng nhập các thông tin đăng nhập và gởi đến server (client /
server đều sử dụng CHAP), CHAP sẽ tiến hành chức năng one-way hash (MD5,
SHA1) dựa trên password được cung cấp của người dùng (subject). Sau đó sẽ
chuyển username và giá trị hash đến máy chủ xác thưc(authentication server).
2. Authentication server so sánh username với cơ sở dữ liệu chứa tài khoản cùng
với giá trị hash để xác nhận người dùng có hợp lệ hay không.

3. Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với
cơ sở dữ liệu trên server thì server sẽ truyền một chuổi thử thách(challenge) đến
client.
4. Client đáp ứng dựa trên chalenge string và phản hồi đền server.
5. Server phản hồi lại client.
6. Server so sánh các đáp ứng mà nó nhận từ client.
11


7. Nếu tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép
truyền thông với server

Hình 1.6: Minh họa quá trình xác thực của CHAP
Một khi client đã được chứng thực, CHAP sẽ gởi các chuổi ký tự thử thách với
thời gian ngẫu nhiên và client có nhiệm vụ phản hồi lại các chuỗi này với các đáp
ứng thích hợp nếu không kết nối sẽ tự động ngắt . Việc kiểm tra kết nối thông qua
các challenge string này giúp cho quá trình truyền thông không bị ảnh hưởng bởi
các dạng tấn công cướp phiên(Session Hijacking).
1.2.2.4 Thẻ bài – Token
Token hay thẻ bài là một thành phần vật lý như thẻ thông minh(smartcard) lưu
giữ các thông tin xác thực của người dùng. Trong các thẻ bài này sẽ chứa các thông
tin như mã PIN của người dùng, thông tin và mật mã đăng nhập. Chứng thực bằng
thẻ bài được cung cấp bởi phần cứng hoặc phần mềm. Quá trình chứng thực khi sử
dụng thẻ bài bao gồm một số bước:
 Khởi đầu, tại một thời điểm bạn phải có một giá trị thẻ bài ngẫu nhiên(có thể
được sinh ra bởi phần cứng, hoặc phần mềm thông qua một thuật toán nào đó).
 Người dùng khi đăng nhập vào hệ thống sẽ phải điền giá trị thẻ bài tại thời điểm
đó.
 Hệ thống sẽ kiểm tra giá trị đó có trùng với giá trị tại thời điểm đó mà hệ thống
sinh ra hay không(sử dụng cùng một thuật toán với token của người dùng).

 Nếu trùng khớp, quá trình chứng thực sẽ hoàn tất và người dùng có thể sử dụng
dịch vụ của hệ thống. Nếu không người dùng sẽ không đăng nhập vào hệ thống
được.
12


Hình 1.7: Xác thực sử dụng thẻ bài
1.2.2.5 Sinh trắc học – Biometric
Phương pháp xác thực dựa trên sinh trắc học là một phương pháp xác thực an
toàn nhất nhưng cũng tôn kém nhất.. Phương pháp này sẽ xác thực người dùng dựa
trên dấu vân tay, mắt, giọng nó hay khuôn mặt của người dùng.
Người ta chia phương thức xác thực bằng sinh trắc học ra làm các loại sau:





Xác thực bằng khuôn mặt
Xác thực bằng quét con ngươi mắt
Dấu vân tay
Nhận dạng bằng giọng nói

13


Hình 1.8: Xác thực bằng sinh trắc học

Hình 1.9: Xác thực bằng dấu vân tay

Hình 1.10: Xác thực bằng bàn tay


14


Hình 1.11: Xác thực bằng mống mắt

Hình1.12: Nhận dạng bằng khuôn mặt

Hình 1.13: Nhận dạng bằng giọng nói

15


1.2.2.6 Chứng chỉ - Certificate
Các chứng chỉ - Certificates được tạo ra và cung cấp bởi một bên đáng tin cậy
thứ 3 gọi là cơ quan chứng thực (CA – Certificate Authority). Quá trình xử lý (cấp
chứng chỉ số cho người dùng) là một phần của hệ thống sử dụng cấu trúc khóa công
khai (PIK – Public Infrastructure Key). Sau đây là một mô hình đơn CA.

Hình 1.14: Mô hình CA đơn
1.2.2.7 Chứng thực đa nhân tố - Multi factor Authentication
Là phương thức xác thực dựa trên 2 hay nhiều yếu tố của đối tượng. Một ví dụ
điển hình của cơ chế xác thực này là khi các bạn muốn rút tiền từ các trạm ATM thì
chúng ta cần có ít nhất 2 thành phần để máy ATM xác thực đó là thẻ ATM và mã
PIN đăng nhập của bạn (sử dụng 2 nhân tố đó là những gì bạn có – Thẻ ATM và
những gì bạn biết – PIN).

Hình 1.15: Chứng thực đa nhân tố
16



Khi sử dụng phương thức này hệ thống sẽ trải qua nhiều bước xử lý để chứng
thực người dùng. Sử dụng phương thức này thì an toàn hơn khi sử dụng chứng thực
một nhân tố. Tuy nhiên thời gian xử lý của hệ thống thường lâu và đôi khi gây khó
chịu với người dùng.
1.2.2.8 Đa chứng thực – Mutual Authentication
Mutual Authentication là một kỹ thuật xác thực mà cả hai phía đều có thể xác
nhận lẫn nhau , đầu tiên một dịch vụ hay tài nguyên sẽ xác nhận các thông tin của
client hay người dùng, máy trạm. Sau đó client sẽ xác nhận các đặc tính của máy
chủ hay nơi cung cấp dịch vụ.

Hình 1.16: Đa chứng thực
Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của
mình cho các dịch vụ thiếu tin cậy.
1.2.3 Kiểm tra quản lý – Auditing
Auditing cung cấp các phương thức để theo dõi, ghi lại các hoạt động ở trên
mạng và trong hệ thống, và xác định xem tài khoản người dùng nào hoặc tài nguyên
nào đang hoạt động.
 Kiểm tra hệ thống: Việc kiểm tra phải xảy ra khi mà bạn đã hiểu hoàn toàn các
tiến trình đang chạy trên hệ thống. Khi bạn tạo ra các thủ tục để kiểm tra, bạn
phải ghi lại, giám sát các sự kiện theo dõi việc sử dụng và truy nhập cả được ủy
quyền và không được ủy quyền. Bạn phải xác định rõ là cần kiểm tra dịch vụ
nào, kiểm tra việc đăng nhập thành công, kiểm tra việc truy xuất vào một tài
nguyên…để có các phương thức, thủ tục thực hiện cho hợp lý.
 Ghi lại (logging): Được cung cấp hầu hết trên các mạng và các hệ thống bao
gồm việc ghi lại một phần hay tất cả các hoạt động các sự kiện của tài nguyên.
Việc ghi lại này thường được sủ dụng để phân tích những vấn đề của hệ thống,
và nó cũng rất có ích trong việc tìm kiếm sự phát sinh về bảo mật.
17



 Quét hệ thống (System Scanning): Là một phương thức sử dụng phần mềm hoặc
các câu lệnh (các script) dùng để xác định hiện trạng (cổng nào đang mở và dịch
vụ nào đang kết nối ra ngoài) và phát hiện ra các lỗ hổng bảo mật, các bản vá lỗi
còn thiếu của hệ thống.
1.3 Các thiết bị hạ tầng mạng
Các công ty, doanh nghiệp hay các tập đoàn đa quốc gia đang xây dựng hệ
thống mạng ngày càng phức tạp với quy mô ngày càng lớn. Các hệ thống mạng
này hoạt động sử dụng cả hai công nghệ có dây và không dây. Mặc dù sử dụng
công nghệ mạng có dây như cáp quang hay công nghệ mạng không dây thì các
phương thức truyền dữ liệu từ nơi này đến nơi khác ẩn chứa nhiều lỗ hổng và các
nguy cơ dễ bị khai thác. Nội dung phần này sẽ mô tả ngắn gọn về nhiệm vụ và
chức năng của các thiết bị thường gặp ở trong mạng.( Nhiều thiết bị mạng sử
dụng firmware có thể cấu hình. Vì mục đích bảo mật phải chứng thực với thiết bị
khi cấu hình. Thông thường chúng ta nên thay đổi những thông tin xác thực mặc
định của thiết bị cho lần sau đăng nhập)
1.3.1 Tường lửa - Firewall
Tường lửa là một trong những thiết bị đầu tiên bảo vệ trong hệ thống mạng.
Có nhiều loại tường lửa khác nhau, chúng có thể là các hệ thống độc lập hay
được tích hợp vào trong một số thiết bị khác như máy chủ hoặc Router. Chúng ta
có thể tìm thấy các giải pháp về tường lửa ở trên thị trường như là tường lửa
cứng hay tường lửa mềm. Nhiều loại tường lửa có thể là các phần mềm được
đính kèm và sẵn có trên các máy chủ hay máy trạm. Mục đích cơ bản của tường
lửa là ngăn chặn giữa mạng này với mạng khác. Chức năng chính của tường lửa
bao gồm một trong những chức năng sau.
Lọc gói tin: Cho phép hay từ chối gói tin đi qua dựa vào địa chỉ (các loại
ứng dụng) của gói tin mà không phân tích nội dung cụ thể của gói tin. Ví dụ
không cho phép giao thức Telnet đi qua thì tường lửa sẽ chặn cổng 23.
Tường lửa Proxy: Thường sẽ đứng ở giữa và xử lý những yêu cầu từ mạng
cần được bảo vệ với những mạng khác. Tường lửa Proxy kiểm tra dữ liệu và đưa

ra những quyết định dựa vào những luật được thiết lập trên nó. Một tường lửa
Proxy tiêu chuẩn thường sử dụng hai card mạng tách rời hai mạng khác nhau để
tăng cường bảo mật cho hệ thống.
Tường lửa kiểm tra trạng thái của gói tin (SPI- Statefull Packet Inspection):
Với công nghệ SPI, hệ thống tường lửa không chỉ dựa vào các thông số trong
Header như địa chỉ IP, TCP port, UDP Port mà nó còn dựa trên cả thông số
18


Sequence và các flag code (mã cờ). Việc kết hợp kiểm tra mào đầu và xét xem
gói tin có thuộc kết nối mới hay thuộc một kết nối đã được thiết lập từ trước sẽ
giúp lọc một cách hiệu quả hơn.
1.3.2 Bộ định tuyến – Router
Tính năng chính của bộ định tuyến là được sử dụng để kết nối hai hay
nhiều mạng với nhau. Bộ định tuyến là một thiết bị thông minh, chúng có thể lưu
những thông tin về các mạng mà chúng kết nối trực tiếp tới. Hầu hết, các bộ định
tuyến có thể cấu hình để hoạt động như một tường lửa lọc gói tin (dựa vào các
ACL mà người quản trị cấu hình). Bộ định tuyến là thiết bị đầu tiên của hệ thống
bảo vệ mạng và chúng phải được cấu hình để cho phép duy nhất lưu lượng mà
được người quản trị ủy quyền.
1.3.3 Bộ chuyển mạch – Switch
Switch là thiết bị đa cổng làm tăng hiệu năng hoạt động của hệ thống mạng.
Switch thường chứa ít thông tin về hệ thống mạng như bảng địa chỉ MAC.
Thông thường trong mạng LAN, việc sử dụng Switch mang lại hiệu quả cao hơn
về bảo mật(so với Hub) và hiệu năng chuyển mạch tốt hơn(so với Router).
1.3.4 Bộ cân bằng tải
Thiết bị Cân bằng tải dùng để chuyển “tải” từ một thiết bị này tới một thiết
bị khác. Thông thường các thiết bị cân bằng tải có thể là một máy chủ, nhưng
thuật ngữ này có thể được sử dụng cho một ổ đĩa cứng, CPU, hoặc hầu như bất
kỳ thiết bị nào muốn dùng để tránh quá tải. Cân bằng tải giữa nhiều máy chủ làm

giảm thời gian xử lý, tối đa hóa băng thông đi qua, và cho phép phân bổ tài
nguyên hệ thống tốt hơn. Thiết bị cân bằng tải có thể là một giải pháp phần mềm
hoặc phần cứng và nó thường được tích hợp vào trong một số thiết bị như router,
tường lửa, thiết bị NAT. Một ví dụ phổ biến nhất của thiết bị Cân bằng tải là tách
các lưu lượng dành cho một trang web sau đó luân chuyển đến các máy chủ khi
chúng trở nên có sẵn.
1.3.5 Proxies
Proxy là một máy chủ làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo
sự an toàn cho việc truy cập của người dùng. Trong hệ thống mạng, việc sử dụng
Proxy giúp người dùng truy cập web nhanh hơn và an toàn hơn (do proxy có sử
dụng bộ nhớ đệm). Có thể lợi dụng Proxy để truy cập một số trang web mà nhà
cung cấp dịch vụ không cho vào.

19


1.3.6 Cổng bảo vệ Web (Web Security Gateway)
Một trong những thuật ngữ thông dụng và mới nhất là cổng bảo vệ Web.
Cổng bảo vệ Web hoạt động như Proxy (với tính năng cache sử dụng) được tích
hợp thêm phần mềm bảo vệ ở bên trong. Tùy thuộc vào các nhà cung cấp khác
nhau, Cổng bảo vệ Web có thể tích hợp một bộ quét virus tiêu chuẩn để kiểm tra
những gói tin đến và giám sát những lưu lượng đi ra của người dùng.
1.3.7 Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là phần
mềm chạy trên máy trạm hoặc trên các thiết bị mạng để giám sát và theo dõi các
hoạt động mạng. Bằng cách sử dụng một IDS, một quản trị mạng có thể cấu hình
hệ thống để hồi đáp giống như một hệ thống báo động. IDS có thể được cấu hình
để kiểm tra các bản ghi hệ thống, quan sát các hoạt động mạng đáng ngờ, và ngắt
kết nối phiên nếu xuất hiện vi phạm thiết lập mà người quản trị đưa ra. Trên thị
trường, nhiều nhà sản xuất đang bán IDS tích hợp với tường lửa và phương thức

này cho thấy nhiều hứa hẹn. Tường lửa có thể ngăn chặn nhiều cuộc tấn công
phổ biến, nhưng tường lửa không đủ khả năng để báo cáo và giám sát toàn bộ
lưu lượng mạng..

20


CHƯƠNG 2: TƯỜNG LỬA - FIREWALL
MỤC TIÊU
Học xong chương này sinh viên có thể:
o Trình bày được khái niệm và nhiệm vụ của tường lửa trong hệ thống mạng.
o Giải thích được nguyên lý hoạt động của tường lửa.
o Triển khai, cài đặt, cấu hình và quản lý một tường lửa mềm/cứng cơ
bản_ISA/TMG, Iptables, ASA.
o Tư vấn cho khách hàng lắp đặt một hệ thống tường lửa.
o Rèn luyện khả năng tư duy logic.
2.1. Tổng quan về Firewall
2.1.1 Khái niệm về Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng
có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các
mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,
tổ chức, ngành hay một quốc gia, và mạng Internet. Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ
bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Firewall là một giải pháp
dựa trên phần cứng hoặc phần mềm dùng để kiểm tra và giám sát các lưu lượng đi qua
nó.

2.1.2. Mục đích của Firewall
Với Firewall, người sử dụng có thể yên tâm là đang được thực thi quyền giám
sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác.
Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của
bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ
cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ.
Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người
sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng kiểm soát
21


các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập
trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công
cửa sau tới những máy tính khác trên mạng Internet.

Hình 2.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng
Thông thường, một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng,
giao diện chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện
riêng là phía mà chứa các dữ liệu được bảo vệ. Trên một Firewall có thể có nhiều giao
diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời. Ứng với mỗi giao diện có
một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng
chung và mạng riêng.
Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó
khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN,
máy chủ xác thực hoặc máy chủ DNS. Tuy nhiên như bất kì một thiết bị mạng khác,
nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều .Do đó, một
Firewall không nên chạy nhiều dịch vụ.
Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong
muốn. Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt
để từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở

22


sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng
ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS.

Hình 2.2. Mạng gồm có Firewall và các máy chủ
Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp
các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào. Đây cũng có
thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở
lối cho kẻ tấn công, và mạng có thể không được an toàn.
2.1.3. Phân loại FIREWALL
2.1.3.1 Phân loại theo nguyên lý hoạt động
-

Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên
trong mạng và bên ngoài mạng có kiểm soát.

-

Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các
máy khách và các host.
23


a. Packet Filtering Firewall
Đây là kiểu Firewall thông dụng hoạt động dựa trên lớp 3 trong mô hình OSI.
Firewall mức mạng thường hoạt động theo nguyên tắc lọc gói tin dựa các luật lệ về
quyền truy cập mạng dựa trên mức mạng. Ở kiểu hoạt động này các gói tin đều được
kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định, nó

sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên Firewall.
Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc
độ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa
chỉ sai hay bị cấm. Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo
tính tin cậy.
Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị.
Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức
truy nhập để vào bên trong mạng.
Firewall kiểu packet filtering chia làm hai loại:
-

Packet filtering firewall: Hoạt động tại lớp mạng (Network Layer) của mô
hình OSI. Các luật lọc gói tin dựa trên các trường trong IP header, transport
header, địa chỉ IP nguồn và địa chỉ IP đích …

Securityperimeter
Private
Network

Internet
Packet
filtering
router

Hình 2.3. Packet filtering firewall

-

Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình
OSI. Mô hình này không cho phép các kết nối end to end.


24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×