Giáo trình Xây dựng hệ thống firewall (Nghề Quản trị mạng máy tính - Trình độ Cao đẳng)

Các tường lửa là phần cứng này giúp máy tính của các công ty có thể phân tích dữ liệu ra để đảm bảo rằng malware không thể thâm nhập vào mạng, kiểm soát hoạt động trên máy tính mà nhân v

ỦY BAN NHÂN DÂN TỈNH AN GIANG TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG

(Ban hành theo Quyết định số: /QĐ-CĐN ngày tháng năm 20

của Hiệu trưởng trường Cao đẳng nghề An Giang)

Tên tác giả : Lê Thị Ngọc Trâm Năm ban hành: 2019

LỜI GIỚI THIỆU

An toàn thông tin là nhu cầu rất quan trọng đối với các cá nhân cũng như

xã hội và các quốc gia trên thế giới Mạng máy tính an toàn thông tin được tiến hành thông qua các phương pháp vật lý và hành chính Từ khi ra đời cho đến nay mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời sống Bên cạnh đó người sử dụng phải đối mặt với các hiềm họa do thông tin trên mạng của họ bị tấn công An toàn thông tin trên mạng máy tính bao gồm các phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng An toàn thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng thời cũng là một công việc hết sức khó khăn và tphức tạp Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công thông tin trong quá trình xử lý, truyền và lưu giữ thông tin Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lệch, lấy cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong các mạng máy tính

Tường lửa (Firewall) không chỉ là một dạng phần mềm (như tường lửa trên Windows) mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghiệp Các tường lửa là phần cứng này giúp máy tính của các công ty có thể phân tích dữ liệu ra để đảm bảo rằng malware không thể thâm nhập vào mạng, kiểm soát hoạt động trên máy tính mà nhân viên của họ đang sử dụng Nó cũng có thể lọc dữ liệu để chỉ cho phép một máy tính chỉ có thể lướt web, vô hiệu hóa việc truy cập vào các loại dữ liệu khác

Nội dung cuốn sách được dùng để giảng dạy bậc cao đẳng và trung cấp chuyên ngành công nghệ thông tin Giúp cho sinh viên có kiến thức cơ bản nhất

về tường lửa (Firewall)

Tài liệu gồm các nội dung chính sau:

- Bài 1: Giới thiệu Firewall

- Bài 2: Tăng cường bảo mật cho thiết bị

- Bài 3: Triển khai hệ thống Firewall

- Bài 4: Giới thiệu về Forefront Threat Managerment Gateway (TMG)

Do thời gian còn hạn chế, tài liệu chắc chắn không thể tránh khỏi những thiếu sót Rất mong nhận được các ý kiến đóng góp và xây dựng của bạn đọc

Xin chân thành cảm ơn!

An Giang , ngày tháng năm 2019 Tham gia biên soạn

1 Chủ biên: Lê Thị Ngọc Trâm

2 Phản biện: Phương Phương Thúy

MỤC LỤC

ĐỀ MỤC

TRANG Lời giới thiệu 1

Mục lục 2

BÀI 1: GIỚI THIỆU FIREWALL 4

I Mô hình triển khai 4

II Các thành phần cơ bản của Firewall 5

III Nguyên lý hoạt động của Firewall 9

IV Các loại Firewall 9

BÀI 2: TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ 11

I Các loại tấn công vào hệ thống mạng 11

II Cấu hình bảo mật 17

BÀI 3: TRIỂN KHAI HỆ THỐNG FIREWALL … … … 2 0 I Giới thiệu Cisco IOS Firewall 20

II Cấu hình Cisco IOS Firewall 24

BÀI 4: GIỚI THIỆU VỀ FOREFRONT THREAT MANAGERMENT GATEWAY (TMG) 32

I Tìm Hiểu Forefrent TMG 32

II Triển khai cài đặt TMG 36

Thu ật ngữ chuyên môn 65

T ài liệu tham khảo 66

GIÁO TRÌNH MÔ N HỌC/MÔ ĐUN Tên mô đun: XÂY DỰNG HỆ THỐNG FIREWALL

Mã mô đun: MĐ 24

Vị trí, tính chất, ý nghĩa và vai trò của môn học/mô đun:

- Vị trí: Mô đun được bố trí sau khi sinh viên học xong môn học, mô đun Mạng máy tính, Quản trị mạng 1, Công nghệ mạng không dây, Cấu hình và quản trị thiết bị mạng

- Tính chất: Là môn học chuyên ngành bắt buộc

- Ý nghĩa và vai trò của môn học/mô đun:

Mục tiêu của môn học/mô đun:

- Về Kiến thức:

+ Nhận biết được các thành phần cơ bản Firewall, mô hình triển khai thực tế

+ Trình bày các loại tấn công vào hệ thống mạng

+ Trình bày được vai trò các kỹ thuật packet filtering

+ Trình bày được vai trò và ứng dụng của proxy

+ Trình bày được tầm quan trọng của TMG trong việc bảo vệ hệ thống mạng

+ Hiểu được các tính năng trên TMG

+ Hiểu được khái quát các khả năng và nét đặc trưng của TMG

+ Cài đặt và cấu hình được ISA Server trên windows Server

+ Cài đặt được TMG trên Windows Server theo đúng qui định

+ Thiết lập được các rule để bảo mật cho hệ thống

+ Thiết lập Web Client Protection để bảo vệ các mối đe dọa duyệt Web + Thiết lập E-mail Protection để bảo vệ người dùng khỏi các mối đe dọa

Nội dung của môn học/mô đun: được thể hiện qua các bài sau:

- Bài 1: Giới thiệu Firewall

- Bài 2: Tăng cường bảo mật cho thiết bị

- Bài 3: Triển khai hệ thống Firewall

- Bài 4: Giới thiệu về Forefront Threat Managerment Gateway (TMG)

BÀI 1: GIỚI THIỆU FIREWALL

- Giới thiệu

Qua bài này trình bày được giới thiệu Firewall, các mô hình triển khai và

nguyên lý hoạt động của Firewall

Mục tiêu:

- Nhận biết được các thành phần cơ bản của Firewall, mô hình triển khai thực tế

- Trình bày được vai trò và các kỹ thuật packet filtering

- Trình bày được vai trò và ứng dụng của proxy

- Thực hiện các thao tác an toàn với máy tính

N ội dung chính:

I MÔ HÌNH TRIỂN KHAI

1 Mô h ình Bastion Host:

Bastion Host Firewall l à một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài, do đó dễ bị tấn công nhất Có hai dạng của máy phòng thủ:

Máy phòng thủ có hai card mạng, một nối với hệ thống bên trong (mạng nội bộ)

và card còn lại nối với bên ngoài mạng Internet Đây là dạng tường lửa có từ rất sớm,

nó yêu cầu người sử dụng bên trong phải kết nối với tường lửa trước khi làm việc với mạng bên ngoài Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài

Dạng thứ hai của cơ cấu phòng thủ này là máy phòng thủ có một card mạng được nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức ứng dụng Gateway

n ày cung cấp điều khiển vào ra Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này N ó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ

th ống nội mở kết nối với Internet hoặc không cho phép kết nối Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập

2 Mô h ình Back-End Firewall:

Back-End Firewall có một NIC nối với external interface và NIC còn lại nối với mạng internal interface Back-end firewall này có nhiệm vụ kiểm soát traffic từ external và Internet tới mạng internal

3 Mô h ình 3-leg (Three-homed)

Cần tới một thiết bị có ba NIC (network interface card) Trong đó, một

NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối với mạng internal Đó là lý do tại sao người ta gọi nó là “3-legged firewall” (mỗi

“chân” của firewall chính là một NIC của nó) Lúc này “3- legged firewall” phải

có khả năng kiểm soát toàn bộ traffic vào/ra giữa ba mạng (internal, external và

DMZ) và nó trở thành điểm chịu lỗi duy nhất (single point of failure) cho toàn

hệ thống mạng Nếu có sự cố xảy ra với “3- legged firewall” này thì cả DMZ và mạng internal đều không còn được bảo vệ nhưng bù lại không phải tốn chi phí đầu tư thêm một firwewall nữa

II CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL

1 Packet Filter:

- Là chức năng chính của Firewall, điều khiển

truy cập mạng bằng phân tích các gói tin đi vào/ đi ra

- Thành phần quan trọng trong bảo mật ở mạng

vành đai (Perimeter Security)

- Ưu điểm: Không làm tốn băng thông

- Packets bao gồm 2 loại nội dung chính:

Thông tin điều khiển (Header), dữ liệu (Data)

- Nội dung Header trong Packet được dùng để

cho phép hoặc cấm packet đó khi đi qua firewall trên

cơ sở Port, IP address và Protocol

a Các thiết bị hỗ trợ Packet Filtering

- Router: Packet Filter ngăn chặn các traffic xâm nhập trái phép

- Hệ điều hành: Windows và Linux xây dựng sẵn công cụ thực thi Packet Filtering trên chồng giao thức TCP/IP

Ví dụ: ZoneAlarm, Check Point Firewall – 1 đều hỗ trợ packet filtering

b Các loại Packet Filtering

- Stateless (static) packet filtering

+ Xem nội dung trong header của packet và quyết định cho phép hoặc loại

bỏ packet đó

+ Cấm traffic từ một subnet

- Stateful Packet Filtering (Stateful Inspection): duy trì trạng thái của kết nối trong khi thực thi tất cả chức năng của Stateful Packet Filtering

- Không quan tâm đến kết nối đã được thiết lập hay không

- Kỹ thuật này thường dùng khi muốn ngăn cấm hoàn toàn một traffic xác định

- Cấu hình Stateful Packet Filtering dựa trên:

+ Thông tin IP header

+ TCP/UDP Port number

+ ICMP message type

+ Fragmentation flags (ACK, SYN)

- Duy trì bảng trạng thái của các kết nối hiện tại

- Kiểm tra tính hợp lệ của gói tin trên cơ sở bảng trạng thái và các luật

- Cho phép các Packets trên cơ sở các Packets mới trước đây đã được chấp nhận

2 Proxy Server (Application Proxy, Application-level Gateway)

Theo dõi và làm việc trên dữ liệu của gói dữ liệu IP, chặn tất cả các yêu

cầu tới Server thực sự và cố gắng xử lý yêu cầu của Client

a Nguyên lý hoạt động:

Proxy chặn các yêu cầu từ các máy tính trong mạng nội bộ(internal

network) và chuyển các yêu cầu đó đến máy tính đích trên mạng Internet

b Phân loại

- Dạng kết nối trực tiếp: Người dùng Client gửi yêu cầu trực tiếp tới Proxy Server để thực thi và trả kết quả về Client

- Dạng dùng phần mềm Proxy Client: Người dùng cài đặt Proxy Client tại

máy của họ Khi có nhu cầu giao tiếp với Internet Server, Proxy Client gửi tới Proxy Server

- Transparent Proxy: Một loại Proxy phát triển gần đây, là sự kết hợp giữa Gateway và Proxy Server Những Packets đi vào Gateway tự động được đổi hướng đến Proxy Server Proxy Server giao tiếp với Internet Server để thực thi

c Vai trò của Proxy:

- Che dấu các máy nội bộ khỏi các người dùng bên ngoài muốn tìm cách truy cập vào các máy bên trong mạng nội bộ

- Block URL: Ngăn chặn các người dùng truy cập các website có nội dung không hợp lệ được thiết lập bởi người quản trị

- Block và Filter Content: Kiểm tra nội dung của gói tin và ngăn chặn nếu

nội dung độc hại

d Ứng dụng của Proxy Server:

Chia sẻ mạng Internet & bảo mật cho mạng nội bộ: Là giải pháp dùng

máy có kết nối Internet (Proxy Server) thực thi các nhu cầu giao tiếp Internet do

các Proxy Client gửi đến Trả kết quả về Client sau khi thực thi xong

3 Authentication System:

a Nguyên lý hoạt động:

Trong môi trường máy tính, xác thực được dùng ở nhiều ngữ cảnh khác nhau, ví dụ: xác thực tên đăng nhập và mật khẩu của người sử dụng trước khi cho phép người sử dụng thao tác trên hệ thống máy tính (xác thực của hệ điều hành), xác thực tên đăng nhập và mật khẩu trước khi cho phép người dùng kiểm tra hộp thư điện tử (xác thực của Mail server); trong giao dịch ngân hàng, thủ tục xác thực dùng để xác định người đang ra lệnh thanh toán có phải là chủ tài khoản hay không; trong trao đổi thông tin, thủ tục xác thực dùng để xác định chính xác nguồn gốc của thông tin

Khi việc xác thực được thực hiện thông qua mạng, một số hệ thống thực hiện việc mật mã hoá tên đăng nhập và mật khẩu trước khi truyền đi để tránh bị tiết lộ, nhưng cũng có nhiều hệ thống gởi trực tiếp những thông tin nhạy cảm này trên mạng (ví dụ như các dịch vụ FTP, Telnet, …) gọi là cleartext authentication

b Vai trò: Chứng thực người dùng trên cơ sở username và password

c Ứng dụng: dùng trong xác thực như thẻ thông minh (Smartcard), chứng thực số (digital certificate), các thiết bị nhận dạng sinh trắc học (biometric devices),… Để tăng độ tin cậy của cơ chế xác thực, nhiều kỹ thuật được sử dụng phối hợp nhau gọi là multi-factor authentication Ví dụ: xác thực dùng thẻ thông

minh kèm với mật khẩu, nghĩa là người sử dụng vừa có thẻ vừa phải biết mật khẩu thì mới đăng nhập được, tránh trường hợp lấy cắp thẻ của người khác để đăng nhập

4 Network Address Translation (NAT):

- Tính linh hoạt và sự dễ dàng trong việc quản lý

- Giảm chi phí thiết lập một mô hình mạng

c Ứng dụng: dùng phổ biến trong mạng sử dụng địa chỉ cục bộ, cần truy cập đến mạng công cộng (Internet)

III NGUYÊN L Ý HOẠT ĐỘNG CỦA FIREWALL

1 Cơ chế

Tạo các Rule để quản lý việc truy xuất mạng trong hệ thống Giám sát

hoạt động của hệ thống đảm bảo an toàn cho hệ thống

+ Từ chối dịch vụ (Deny ò Service)

IV CÁC LOẠI FIREWALL

1 Firewall cứng:

Firewall cứng là những firewall được tích hợp trên Router hay các thiết bị firewall phần cứng chuyên biệt như Cisco ASA, Cisco PIX, Nokia Checkpoint, Juniper, Crossbeam, Fortigate, Virgo…

2 Firewall m ềm:

Firewall mềm là những phần mềm Firewall được cài đặt trên Server như ZoneAlarm, Norton Firewall, ISA Server, Winroute

CÂU H ỎI ÔN TẬP

1 Giới thiệu các mô hình triển khai hệ thống có Firewall?

2 Các thành phần cơ bản của Firewall?

3 Nêu nguyên tắc hoạt động của Firewall?

4 Phân biệt Stateful và Staless Packet Filtering?

5 Nêu vai trò của Proxy và ứng dụng của Proxy vào thực tế như thế nào?

BÀI 2: TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ

- Giới thiệu:

Trong bài này trình bày được tăng cường bảo mật cho thiết bị, các loại tấn công vào hệ thống mạng và cách phòng chống các cuộc tấn công vào hệ thống

mạng

Mục tiêu:

- Nhận biết các nguy cơ bị tấn công của hệ thống mạng

- Giải thích được các bước để hack một hệ thống mạng

- Trình bày được các loại tấn công vào hệ thống mạng

- Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router

- Thực hiện các thao tác an toàn với máy tính

Nội dung chính:

I CÁC LOẠI TẤN CÔNG VÀO HỆ THỐNG MẠNG

1 Trình bày các loại tấn công vào hệ thống mạng

+ Một Packet sniffers là phần mềm ứng dụng sử dụng card mạng trong

chế độ promiscuous để bắt những tất cả các gói tin trong mạng

+ Khai thác thông tin dạng Plaintext, các giao thức sử dụng Plaintext như: Telnet, FTP, SNMP, POP và HTTP

+ Phải nằm trên cùng một colision domain

+ Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn công

- Port scans và Ping sweeps:

+ Một hacker sử dụng các công cụ để scan các port và ping quét dò xét qua Internet

+ Là công cụ hợp pháp dùng để scan port và ping quét các ứng dụng trên các máy chủ hay các thiết bị để xác định các dịch vụ dễ bị tổn thương

+ Thông tin được thu thập bằng cách kiểm tra địa chỉ IP và port của ứng dụng chạy trên cả UDP hay TCP

Access attacks:

Man-in-middle attacks: các kè tấn công đứng ở giữa lắng nghe thông tin giữa người gửi và người nhận, thậm chí sửa đổi các dữ liệu trước khi gửi đến hai bên

Buffer overflow:

- Một chương tình ghi dữ liệu vượt quá giới hạn kết thúc của bộ đệm trong bộ nhớ

- Việc tràn bộ đệm có thể dẫn đến dữ liệu hợp lệ bị ghi đè

Dos và Ddos attacks: điển hình là IP Spoofing

Ví dụ DDos

Giả mạo địa chỉ IP là một kỹ thuật hacker sử dụng để truy cập trái phép vào máy tính

- Giả mạo địa chỉ IP xảy ra khi một hacker bên trong hay bên ngoài mạng đóng vai trò như máy tính tin cậy đang liên lạc

- Giả mạo địa chỉ IP bao gồm: thêm những dữ liệu độc hại hoặc các lệnh và luồng dữ liệu hiện có Thay đổi bảng định tuyến

- Giả mạo địa chỉ là một trong các bước cơ bản trong kiểu tấn công Dos hay Ddos

Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác định gói tin giả mạo, vô hiệu hóa các tùy chọn con đường nguồn

Anti-Dos: tính năng này giới hạn số lượng half-open các kết nối TCP

mà hệ thống cho phép ở bất kỳ thời điểm nào

Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao tiếp với ISP

b Worm, Virus, Trojan Horse Attacks:

- Dựa vào các lỗ hổng để chúng xâm nhập và tự cài đặt vào hệ thống

- Sau khi tiếp cận được mục tiêu chúng chuyển hường dò tìm các mục tiêu mới theo điều khiển của hacker

- Khi hacker đã đạt được mục tiêu cũng là lúc hacker đã chiếm được đặc quyền truy cập và khai thác hệ thống

c Application Layer attacks:

- Khai thác các ứng dụng như: mail, http và fpt,…

- Thường sử dụng các port được phép đi qua các tường lửa (ví dụ: TCP port 80 được dùng trong tấn công máy chủ Web đằng sau một tường lửa)

- Loại tấn công này thường khó loại bỏ hoàn toàn vì nó luôn dò tìm sử

dụng lỗ hổng mới

- Công cụ điển hình trong Application Layer attacks là Netcat, là công cụ

mà đọc hoặc ghi dữ liệu trên bất kỳ kết nối TCP/UDP, chuyển tiếp các kết nối TCP và có thể hành động như một máy chủ TCP/UDP

- Ví dụ về Netcat:

d Nguy cơ từ các giao thức quản trị mạng (Management Protocols)

- Các giao thức quản trị mạng có thể là nguy cơ cho các cuộc tấn công như: SNMP, Syslog, NTP,TFTP

+ SNMP: sử dụng cơ chế xác thực đơn giản, gửi dữ liệu dạng chữ thô (plaintext)

+ Syslog: dữ liệu được gửi dưới dạng chữ thô giữa các thiết bị quản lý và các host

+ TFTP: dữ liệu được gửi dưới dạng chữ thô giữa các máy chủ yêu cầu và máy chủ TFTP

+ NTP: với giao thức đồng bộ thời gian, các máy chủ trên internet không cần sự chứng thực của các máy ngang hàng

e Xác định rủi ro và mối đe dọa:

- Có một số công cụ và kỹ thuật mà có thể được sử dụng để tìm các lỗ

hỏng trong mạng

- Sau khi xác định được lỗ hỏng hay các nguy cơ, chúng ta luôn có thể tìm

ra cách bảo vệ và phòng chống nguy cơ bị tấn công mạng

+ Nmap

f Các rủi ro của Router Service và Interface:

- Router Cisco có thể được sử dụng như: thiết bị Edge Firewall hay router nội bộ Các lỗ hỏng có thể được khai thác bất kỳ ở router nào, không phụ thuộc vào vị trí của router đó

- Lỗ hỏng có thể từ các dịch vụ không được bảo mật trên router hay các intreface router không được sử dụng

g Looking Down Router với AutoSecure:

- Tính năng AutoSecure được tích hợp từ dòng Cisco IOS phiên bản 12.3

trở về sau này

- AutoSecure: là công cụ built-in cho phép loại bỏ các mối hiểm họa tồn tại trên router một cách nhanh chóng và dễ dàng

- AutoSecure hoạt động ở hai chế độ:

+ Interactive mode: dựa vào những câu hỏi, trả lời tương tác để các bạn lựa chọn cấu hình các dịch vụ trên router và các tính năng liên quan đến bảo mật

+ None-interactive mode: cấu hình bảo mật cho các thiết bị chỉ dựa vào những thông số mặc định của cisco IOS mà không có sự thay đổi chỉnh sửa nào

2 C ách phòng chống

a Minimal Intelligence

- Reconnaissance: dùng các kỹ thuật và các công cụ bao gồm: Chứng thực (Authentication), mật mã (Crytography), các công cụ Antisniffer, thay đối

cơ sở hạ tầng (Switched infrastructure)

+ Port scans và Ping sweeps: dùng các kỹ thuật và các công cụ bao gồm: Network-based IPS (NIPS) và Host-based IPS(HIPS) thường có thể thông báo

cho bạn biết khi có một cuộc tấn công reconnaissance IPS so sánh lưu lượng truy cập đến hệ thống phát hiện xâm nhập (IDS) hoặc dấu hiệu nhận dạng tấn công (signatures) trong cơ sở dữ liệu IPS Dấu hiệu nhận dạng như “một số gói tin đến các port đích khác nhau từ cùng một nguồn địa chỉ trong một thời gian ngắn có thể được dùng để phát hiện scan port

- Access attacks:

+ Anti-spoof: một bộ lọc chứa danh sách truy cập thích hợp với tính năng unicast reverse path forwarding nhằm dựa vào bảng định tuyến để xác định gói tin giả mạo, vô hiệu hóa các tùy chọn con đường nguồn

+ Anti-Dos: tính năng này giới hạn số lượng half-open các kết nối TCP mà hệ thống cho phép ở bất kỳ thời điểm nào

+ Hạn chế tỉ số traffic: mọi tổ chức có thể thực hiện hạn chế tỉ số giao tiếp với ISP

h Worm, Virus, Trojan Horse Attacks:

- Ngăn chặn sự lây lan của Worm hay Virus trong hệ thống mạng, thực

hiện cách ly để kiểm dịch, quét sạch các Worm hay Virus thậm chí là cài đặt lại

hệ thống

i Application Layer attacks:

- Tìm hiểu hệ điều hành mạng và các tập tin đăng nhâp mạng

- Cập nhật các bản vá lỗi mới nhất cho các ứng dụng và kể cả hệ điều hành

- Sử dụng hệ thống IPS/IDS để theo dõi, phát hiện và ngăn chặn các cuộc

tấn công

j Nguy cơ từ các giao thức quản trị mạng (Management Protocols)

- Cấu hình quản trị mạng sử dụng cơ chế SSL/SSH

- Sử dụng ACL để xác định danh sách truy cập đến máy chủ quản lý và chỉ cho phép truy cập đến các máy chủ quản lý thông qua SSH hay HTTPS,…

- Sử dụng các giao thức quản trị an toàn và bảo vệ dữ liệu với IPSec

- Thực hiện RFC 3.704 lọc tại router để làm giảm cơ hội của các hacker

từ bên ngoài giả mạo các địa chỉ quản lý của các máy chủ

k Xác định rủi ro và mối đe dọa:

- Có một số công cụ và kỹ thuật mà có thể được sử dụng để tìm các lỗ hỏng trong mạng

- Một số công cụ phổ biến hiện nay:

+ Blue’s PortScanner: là công cụ quét mạng khá nhanh, có thể quét hơn

300 port trong một giây Cung cấp tính năng quét TCP/UDP với Anti-flood và Ping check

+ Wireshark (trước đây là Ethereal): là công cụ quét và phân tích traffic hàng đầu

+ Microsoft Baseline Security Analyzer

II CẤU HÌNH BẢO MẬT

1 C ấu hình AutoSecure với SDM (Security Device Manager)

- SDM là một trình thuật giao diện đồ họa điều khiển cấu hình Cisco Router một cách đơn giản

- SDM cũng cho phép cấu hình tường lửa trên Cisco Router khá hiệu quả thông qua Cisco IOS Firewall

- SDM cung cấp tính năng Security Audit wizard thực hiện tiến trình kiểm soát sự an ninh trên Cisco Router, ghi nhận đánh giá các lỗ hỏng để giúp ta nhanh chóng tìm cách khắc phục

- SDM còn có thể thực hiện hầu như tất cả các cấu hình mà AutoSecure cung cấp với tính năng One-Step Lockdown

2 C ấu hình Router Passwords:

- Cisco IOS cung cấp một số tính năng cải tiến cho phép tăng độ bảo mật

hệ thống với password bao gồm: chiều dài mật khẩu tối thiểu, mã hóa mật khẩu, chứng từ với user

- Để thiết lập chiều dài tối thiểu của mật khẩu ta thực hiện lệnh dưới đây:

- Ví dụ: Cấu hình cho độ dài mật khẩu yêu cầu tối thiểu là 10

- Mã hóa tất cả các password trong file cấu hình của Router

- Nâng cao tính năng bảo mật router với username và password

3 C ấu hình Banner Message:

- Banner message được sử dụng để cảnh báo những kẻ xấu xâm nhập không được chào đón vào hệ thống mạng của bạn

- Có bốn biến lệnh được sử dụng trong banner message:

+ $hostname): hiển thị tên router

+ $(domain): hiển thị domain của router

+ $(line): hiển thị số line vty hay tty

+ $(line-desc): hiển thị mô tả của line vty hay tty

- Ví dụ:

8 B ảo mật tập tin cấu hình:

- Bật tính năng phục hồi Cisco IOS Image:

- Tạo bản sao cho running configuration

- Hiển thị thông tin trạng thái khả năng phục hồi image hay tập tin cấu

hình

CÂU H ỎI ÔN TẬP

1 Nêu các loại tấn công vào hệ thống mạng?

2 Nêu cấu hình Router Passwords?

3 Nêu cấu hình AutoSecure với SDM (Security Device Manager)?

4 Nêu thiết lập Login Failure Rate?

5 Nêu thiết lập Multiple Privilege Levels?

B ÀI TẬP:

Yêu cầu:

1 Thiết lập mô hình như hình vẽ và cấu hình định tuyến RIPv2 để tất cả

các PC và Server ping thấy nhau

2 Cấu hình secret password để bảo mật tất cả các router

3 Cấu hình chứng thực Local AAA khi truy cập cổng console trên R1

4 Cấu hình chứng thực Local AAA khi truy cập telnet từ xa đến R1

5 Cấu hình ACL để chặn tất cả các truy cập từ xa đến R1, R2 và R3 ngoại trừ PC-C

BÀI 3: TRI ỂN KHAI HỆ THỐNG FIREWALL Giới thiệu:

Qua bài này trình bày được các đặc điểm về Cisco IOS Firewall, phân loại

và cấu hình từng loại Cisco IOS Firewall

Mục tiêu:

- Trình bày được đặc điểm của Cisco IOS Firewall

- Giải thích được chiến lược phòng thủ theo từng tầng

- Trình bày được các kỹ thuật Firewall

- Cấu hình được Cisco IOS Firewall

- Thực hiện các thao tác an toàn với máy tính

Nội dung:

I GIỚI THIỆU CISCO IOS FIREWALL

1 Tổng quan về Cisco IOS Firewall

- Cisco IOS Firewall là loại Firewall dựa trên router sử dụng IOS hỗ trợ tính năng Firewall

- Các gói tin sẽ được Cisco IOS Firewall kiểm tra nếu gói tin không bị ngăn cấm bởi ACL

- Cisco IOS Firewall cho phép hay ngăn cấm traffic TCP hay UDP xác định đi qua

- Cisco IOS Firewall xây dựng bảng state table để duy trì thông tin

session

- ACL được tạo hay xóa một cách linh hoạt

- Cisco IOS Firewall ngăn chặn kiểu tấn công Dos

2 Phân loại về Cisco IOS Firewall

a Cisco IOS Firewall Feature Set

Cisco IOS Firewall Authentication Proxy

- Chứng thực HTTP, HTTPS, FTP, Telnet

- Cung cấp cơ chế chứng thực linh hoạt, chứng thực user và xác thực qua

các giao thức TACACS + RADIUS

Cisco IOS Firewall IPS

- Là một bộ tìm kiếm và ngăn chặn xâm nhập

- Khi kẻ tấn công được phát hiện, bộ tìm kiếm có thể thực thi những hành động sau:

+ Alarm: gửi 1 cảnh báo đến SDM hoặc syslog server

+ Drop: hủy bỏ gói tin

+ Reset: gửi tín hiệu TCP reset để kết thúc session

+ Block: khóa IP kẻ tấn công hoặc session trong thời gian xác định

- Nhận biết hơn 700 kiểu tấn công phổ biến

Cisco IPS Signature Actions

Cisco IOS ACLs Revisited

- ACL cung cấp bộ lọc traffic theo những tiêu chuẩn sau:

+ Theo địa chỉ IP nguồn và đích

+ Theo port nguồn và đích

- ACL có thể được sử dụng để triển khai một bộ lọc firewall, tuy nhiên sẽ

b Cisco IOS Firewall Function

Cisco IOS Firewall TCP Handling

Cisco IOS Firewall UDP Handling

c Cisco IOS Firewall Process

- Cách thức hoạt động của Cisco IOS Firewall

- Timeout and Threshold Value

- Alerts và Audit Trails

+ Cisco IOS Firewall đưa ra các cảnh báo thời gian thực và giám sát các dấu vết

+ Tính năng Audit Trail sử dụng syslog để ghi nhận tất cả nhật ký mạng + Với các luật kiểm tra trong Cisco IOS Firewall, bạn có thể cấu hình các thông tin cảnh báo và giám sát dấu vết trên 1 giao thức ứng dụng cơ bản

II CẤU HÌNH CISCO IOS FIREWALL

1 Cấu hình Basic Firewall

- Cấu hình Basic Firewall Interface

- Triển khai cấu hình Basic Firewall Interface

- Click Next

- Reviewing the Basic Firewall for the Originating Traffic

- Reviewing the Basic Firewall for the Originating Traffic

- Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule

- Kiểm tra kết quả cấu hình Basic Firewall ACL

- Kiểm tra kết quả cấu hình Basic Firewall Interface

2 Cấu hình Interfaces trên Advanced Firewall

- Cấu hình Advanced Firewall Interface

- Cấu hình vùng DMZ trên Advanced Firewall

- Cấu hình vùng DMZ trên Advanced Firewall

- Advanced Firewall DMZ Service Configuration: TCP

- Advanced Firewall DMZ Service Configuration: UDP

CÂU H ỎI ÔN TẬP

1 Nêu tổng quan về Cisco IOS Firewall ?

2 Nêu phân loại Cisco IOS Firewall ?

3 Nêu các bước cấu hình Basic Firewall Interface ?

4 Nêu các bước câu hình Advanced Firewall Interface ?

B ÀI TẬP

Hệ thống mạng công ty A được xây dựng dựa trên sơ đồ sau Để tăng tính bảo mật cho hệ thống mạng sử dụng nhiều thiết bị định tuyến ở Layer 3, công ty yêu cầu bạn sử dụng chế độ Auto Secure để cấu hình context – Based Access Control (CBAC) Firewall, và sử dụng SDM để cấu hình Zone – Based Policy Firewall (ZBF, ZPF, ZFW)

Bảng hoạch định địa chỉ IP :

1 Cấu hình hostname theo sơ đồ

2 Cấu hình địa chỉ IP trên từng cổng của router theo bảng hoạch định địa chỉ IP

3 Cấu hình tắt chức năng phân giải tên miền

4 Cấu hình định tuyến trên 3 router sử dụng giao thức định tuyến động EIGRP

5 Tương tự đối với R2, R3

6 Sử dụng phần mềm Nmap trên PC-A và PC-C

BÀI 4: GIỚI THIỆU VỀ FOREFRONT THREAT MANAGERMENT

GATEWAY (TMG) Giới thiệu:

Qua bài này trình bày được giới thiệu về Forefront Threat Managerment Gateway (TMG), cài đặt và triển khai các mô hình cấu hình Forefront Threat

Managerment Gateway

Mục tiêu:

- Trình bày được tầm quan trọng của TMG trong việc bảo vệ hệ thống mạng

- Hiểu được các tính năng trên TMG

- Hiểu được khái quát các khả năng và nét đặc trưng của TMG

- Cài đặt được TMG trên Windows Server theo đúng qui định

- Cài đặt và cấu hình được các Access Rule trên TMG

- Thực hiện các thao tác an toàn với máy tính

Nội dung:

I T ÌM HIỂU FOREFRONT TMG

1 Các tính năng của TMG

Forefront Threat Management Gateway (TMG) 2010 là phiên bản

“Firewall” mới của Microsoft thay thế cho sản phẩm ISA Server 2006 Với những tính năng bảo mật hệ thống được nâng cao đáng kể, các bạn có thể yên tâm vì nhân viên trong công ty có thể truy cập internet một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại (malware) & các mối đe dọa khác

a Các chức năng chính của Forefront TMG 2010