Số tiết: 60
Giáo viên: TS. Vũ Mạnh Tuấn
E-mail:
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT – Bộ môn An ninh mạng
1
Nội dung
Giới thiệu
Windows Firewall
IPSec
Bảo vệ truy cập mạng (Network Access Protection)
RODC
Các công cụ khác: BitLocker, Terminal Services…
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
2
Bảo vệ vá lỗi cho lõi
(Kernel patch protection)
Ngăn ngừa thực hiện dữ
liệu (Data execution
prevention)
BitLocker
October 7, 2013
DirectAccess
BitLocker To Go
AppLocker
Nhiều Profile cho
Firewall
Streamlined UAC
Enhanced Storage
Access
DNSSEC
Enhanced Auditing
Suite-B for EFS,
Keberos, TLS v1.2…
Học viện Kỹ thuật Quân sự
Windows 7
Củng cố dịch vụ
(Service hardening)
Windows Server 2008
Cơ sở an ninh
Phần 1: Công nghệ an ninh với Windows
Biometric Framework
HTTP PKI Enroll
PVI smartcard
Khoa CNTT - An ninh mạng
3
An ninh trong Windows Server 2008
Windows Server 2008 được tạo ra để nhấn mạnh khía
cạnh an ninh mạng:
Làm giảm môi trường tấn công của nhân hệ điều hành
(kernel) thông qua Server Core.
Mở rộng chính sách nhóm.
Windows Firewall
Bảo vệ truy cập mạng (NAP).
Hướng dẫn cấu hình an ninh.
Kiểm soát tài khoản người dùng.
Mã hóa ổ đĩa với BitLocker
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
4
An ninh trong Windows Server 2008
Server Core là một giải pháp phù hợp cho máy chủ Web hoặc
một máy chủ khác trong vùng phi quân sự (DMZ) của mạng.
Vùng phi quân sự (DMZ)
Là một phần của mạng nằm giữa 2 mạng, ví dụ, nằm giữa
mạng riêng và mạng Internet.
Phân loại các chính sách nhóm mới bao gồm:
Quản lý năng lượng
Gán máy in theo vị trí
Giao quyền để cài đặt driver cho máy in
Thiết lập cấu hình an ninh
Thiết lập cấu hình cho Internet Explorer
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
5
Tăng cường an ninh trong WS 2008
Phương thức an ninh và tăng cường chính sách
Network Location Awareness
NAP
Giao thức an ninh trên Internet (Internet Security Protocol)
Cô lập Server và Domain
Active Directory Domain Services Auditing
RODC
Kiểm soát cài đặt ổ đĩa tháo rời
PKI cho doanh nghiệp
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
6
Phần 2: Windows Firewall
What is a firewall?
Firewall types
How a firewall works
Default firewall behavior
Windows 7 firewall features
Configuring Windows 7 firewall
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
7
Firewall là gì?
Một thiết bị lọc các gói tin đi vào hoặc đi ra thông qua nó để
trợ giúp việc chặn các dữ liệu không được phép.
Mục đích của tường lửa là loại bỏ các luồng dữ liệu không
mong muốn như luồng dữ liệu từ worm trong khi cho qua các
luồng dữ liệu hợp lệ.
Việc lọc có thể dựa trên IP, TCP, UDP và các tiêu chí khác liên
quan đến gói tin cũng như liên quan đến xác thực.
Các tiêu chí được cụ thể hóa trong tập luật của firewall.
Tập luật của firewall tương tự như danh sách kiểm soát truy
cập
Ví dụ: permit host 172.16.1.1 host 180.50.1.1 eq Telnet
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
8
Các dạng Firewall
Lọc gói, trạng thái (stateful) và proxy
Lọc gói đưa ra quyết định dựa trên từng gói tin mà không
cần quan tâm đến các gói tin trước đó theo bất kỳ hướng
nào (vào hay ra).
Firewall trạng thái giữ vết của các gói tin và lọc dựa trên
thông tin của chuỗi các gói tin.
Proxy firewall hoạt động trên cở sở mỗi ứng dụng. Người
dùng gửi tới proxy và proxy tạo ra các gói tin mới xuất
phát từ proxy.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
9
Các dạng Firewall
Firewall chạy trên mạng (network-based) và chạy trên thiết bị
đầu cuối (host-based)
Firewall chạy trên mạng chạy trên một router, trên một switch nhiều
lớp (multi-layer switch) hoặc trên firewall chuyên dụng.
Firewall chạy trên thiết bị đầu cuối chạy trên một máy tính sử dụng một
hệ điều hành nào đó như Windows 7 hay UNIX.
Firewall cứng và firewall mềm
Firewall cứng là một thiết bị phần cứng chuyên dụng được thiết kế để
hoạt động với hiệu suất cao nhất.
Firewall mềm, trạng thái, dựa trên thiết bị đầu cuối
Đánh giá mỗi gói tin khi nó đến hoặc đi và xác định gói tin đó được đi
qua hay không dựa trên thông tin của các gói tin tương tự trước đó.
Firewall trong Windows Server 2008 là phiên bản nâng cấp
của firewall trong Windows XP và Windows Server 2003
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
10
Quy tắc mặc định của Firewall
Mặc định, firewall:
Cho phép mọi gói tin đi ra và các gói tin trả lời tương
ứng đi vào;
Cấm tất cả các gói tin khác đi vào.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
11
Firewall hoạt động như thế nào?
Các gói tin đi vào được kiểm tra và so sánh với một
dánh sách các gói tin được phép.
Nếu gói tin nằm trong danh sách, gói tin được huyển tới
giao thức TCP/IP để tiếp tục xử lý.
Nếu gói tin không nằm trong danh sách, gói tin bị hủy
bỏ.
Nếu phần ghi nhật ký ddwowjc bật, Windows tạo ra một dòng
trong file nhật ký của Firewall và ghi thông tin về việc gói tin
bị hủy bỏ.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
12
Profile của tường lửa
Khi tạo ra các luật trong firewall để cho phép hoặc chặn luồng
dữ liệu, có thể áp dụng các quy định trong các profile cho
domain, private hoặc public. Các profile cho phép thiết bị di
động chấp nhận luồng dữ liệu đi vào khi kết nối trong mạng
domain (ví du, khi cho phép kết nối Remote Desktop), nhưng
cấm kết nối trong các mạng ít đảm bảo an toàn.
Domain profile: áp dụng khi máy tính kết nối với vùng trong
Active Directory log in to a domain)
Private profile: áp dụng khi máy tính kết nối tới mạng riêng
Public profile: đây là profile ngầm định áp dụng cho mọi mạng
khi không có DC. Ví dụ, khi kết nối tới mạng Wifi ở sân bay
hoặc quán cà fê. Ngầm định, nó cho phép luồng dữ liệu ra
nhưng chặn mọi luồng dữ liệu vào.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
13
Lọc luồng dữ liệu vào
Ngầm định, Windows Firewall chặn mọi luồng dữ liệu vào
(public profile) hoặc cho phép 1 vài kết nối vào như kết nối cho
chia sẻ file và máy in (domain và private profile).
Nếu muốn cho phép luồng dữ liệu vào, bạn phải tạo ra quy tắc
để chỉ chính xác cho phép cái gì (chương trình nào, giao thức
nào và cổng nào).
Trên Windows Server 2008 có sẵn 1 bộ các quy tắc ngầm định
cho các luồng dữ liệu vào.
Tùy theo nhu cầu, có thể sửa các quy tắc ngầm định hoặc tạo ra
các quy tắc mới.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
14
Lọc luồng dữ liệu ra
Ngầm định, Windows Firewall cho phép mọi luồng dữ liệu ra vì
nó ít có rủi ro hơn dữ liệu vào.
Cần cân nhắc 1 số tình huống:
Nếu malware nhiễm vào 1 máy tính, nó có thể gửi ra các dữ liệu nhạy
cảm (như email, danh sách mật khẩu hay nội dung trong CSDL)
Sâu và virus tím cách lây sang máy khác
Người dùng có thể sử dụng các chương trình chưa được xác thực để
gửi dữ liệu nhạy cảm ra ngoài (cố tình hoặc vô ý)
Windows Server 2008 có sẵn 1 số bộ lọc cho dữ liệu ra của các
dịch vụ mạng cơ bản. Ngầm định, quy tắc cho dữ liệu ra gồm:
Yêu cầu cho DHCP
Yêu cầu phân giải tên DNS
Liên lạc cho Group Policy
IGMP
IPv6 và các giao thức có liên quan
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
15
Thiết lập phạm vi ảnh hưởng
Bằng cách thiết lập phạm vi ảnh hưởng, có thể cho phép kết nối
từ mạng cục bộ ra ngoài trong khi hạn chế kết nối từ ngoài vào.
Đối với máy chủ kết nối Intenet, có thể cho phép người dùng ở
bất kỳ đâu kết nối tới các dịch vụ công cộng như máy chủ Web
trong khi chỉ cho phép người dùng trong mạng nội bộ truy cập
tới các dịch vụ dành riêng như Remote Desktop.
Đối với máy chủ bên trong, có thể chỉ cho phép các kết nối từ 1
số mạng con cụ thể. Chú ý, cho phép cả mạng con truy cập từ xa
Đối với kết nối từ trong ra, có thể cho phép 1 ứng dụng kết nối
tới các máy chủ trên các mạng con nhất định bên trong. Ví dụ,
có thể cho phép SNMP trap gửi tới máy chủ quản lý SNMP.
Đối với thiết bị di động, có thể chỉ cho phép các kết nối cụ thể
như Remote Desktop từ mạng con do bạn chỉ định
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
16
Cấp quyền cho kết nối
Nếu sử dụng kết nối IPSec trong môi trường Active Directory,
có thể yêu cầu máy tính hoặc người dùng ở đầu xa được cho
phép trước khi kết nối được thiết lập.
Ví dụ, tổ chức của bạn có 1 ứng dụng kế toán dùng cổng TCP
1073, nhưng ứng dụng không có cơ chế kiểm soát truy cập. – bất
kỳ ai kết nối tới dịch vụ mạng có thể truy cập tới dữ liệu kế toán
nhạy cảm. Sử dụng Windows Firewall, có thể hạn chế kết nối
vào tới những người dùng là cán bộ trong phòng kế toán.
Phần lớn ứng dụng mạng có cơ chế kiểm soát truy cập. Ví dụ,
IIS (Web server) có thể kiểm soát để chỉ cho phép 1 số user có
quyền được truy cập. Hoặc khi chia sẻ file, có thể dùng quyền để
hạn chế những người được truy cập.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
17
Firewall trong Windows Server 2008
Đặc điểm của Windows Firewall:
Lọc các gói tin đi vào (Inbound filtering)
Lọc các gói tin đi ra (Outbound filtering)
Tập luật của Firewall kết hợp với tập luật của IPsec
Hỗ trợ các luật phức tạp
Hỗ trợ ghi nhật ký
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
18
Cấu hình nâng cao của Firewall
Cho phép người quản trị cấu hình nhiều luật phức tạp,
lọc các gói tin đi ra và luật liên quan đến IPsec.
IPsec là hệ thống nhằm đảm bảo an ninh và xác thực
cho cá kết nối trong mạng IP.
Mặc định, người quản trị có thể cấu hình với Ipsec:
Giao thức trao đổi khóa
Giao thức bảo vệ dữ liệu
Phương thức xác thực
Xem và sửa tập luật của Firewall
Một số lượng lớn các luật vào và ra được tạo sẵn cho
Windows Server 2008.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
19
Cấu hình nâng cao của Firewall
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
20
Cấu hình nâng cao của Firewall
Tạo ra luật mới cho Firewall
Dạng của luật có thể tạo ra sử dụng Outbound Rule Wizard
Ứng dụng (Program)
Cổng (Port)
Định nghĩa trước
Tùy biến
Hành động cho một luật
Cho phép kết nối
Cho phép kết nối nếu nó đảm bảo an toàn
Ngăn chặn kết nối
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
21
Cấu hình nâng cao của Firewall
Tạo mới luật đảm bảo an ninh khi kết nối máy tính
Sử dụng IPsec để xác thực và đảm bảo an ninh cho phiên
liên lạc giữa 2 máy tính.
Các dạng luật an ninh
Cô lập (Isolation)
Miễn xác thực (Authentication exemption)
Server-to-server
Đường hầm (Tunnel)
Tùy biến
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
22
Phần 3: IPSec
Bài toán:
Công ty CMaC là một công ty dược chuyên về nghiên cứu phát
triển các sản phẩm thuốc chữa bệnh. CMaC có trụ sở chính tại
thành phố HCM và các chi nhánh và phòng nghiên cứu tại nhiều
thành phố trong cả nước.
Do dữ liệu được truyền giữa các chi nhánh mang tính nhạy cảm,
nên CEO của công ty rất quan tâm đến vấn đề bảo vệ thông tin
chống lại các nguy cơ rò rỉ thông tin quan trọng trên mạng.
Do đó, ban Công nghệ thông tin của CMaC được giao nhiệm vụ tạo
ra một kế hoạch bảo vệ dữ liệu truyền giữa các chi nhánh của công
ty.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
23
Bảo vệ dữ liệu trên mạng với IPSec
Trong mô hình phân tầng TCP/IP có 2 giao thức tại tầng
Transport là TCP và UDP. Mỗi packet của TCP và UDP đều chứa
trường checksum trong header. Nếu dữ liệu truyền bị lỗi,
checksum cho phép nhận biết và thông báo cho máy nhận.
Tuy nhiên, thuật toán tính trường checksum được phổ biến
rộng rãi, nên nếu hacker chặn dữ liệu, thay đổi nội dung và tính
lại checksum thì máy gửi và máy nhận đều không thể biết được.
Trước đây, việc đảm bảo ann toàn truyền dữ liệu trên mạng do
các công ty tự cài đặt trong ứng dụng của mình. Tuy nhiên, điều
đó dẫn tới sự không tương thích trên mạng
Tập giao thức IPSec được đưa ra để đảm bảo vấn đề an toàn cho
các máy tính trên Internet tại tầng Internet (network layer) mà
không quan tâm đến ứng dụng cụ thể gửi và nhận dữ liệu.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
24
Mục tiêu của IPSec
IPSec có 2 mục tiêu cơ bản:
Bảo vệ nội dung của gói dữ liệu IP
Cung cấp biện pháp bảo vệ chống lại các cuộc tấn công mạng thông quan
lọc gói và nâng cao tính xác thực trong việc truyền dữ liệu
Các mục tiêu trên được đảm bảo thông qua việc sử dụng các
dịch vụ bảo vệ trên cơ sở mã hóa.
October 7, 2013
Học viện Kỹ thuật Quân sự
Khoa CNTT - An ninh mạng
25