1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Giáo trình quản trị mạng nâng cao

111 3 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Giáo trình Quản Trị Mạng Nâng Cao
Trường học Trường Đại Học Công Nghiệp Quảng Ninh
Chuyên ngành Quản trị mạng
Thể loại Giáo trình
Năm xuất bản 2020
Thành phố Quảng Ninh
Định dạng
Số trang 111
Dung lượng 2,35 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Cấu trúc

  • 1.1 Tổng quan về bảo mật mạng (5)
    • 1.1.1 Nguy cơ bảo mật trong mạng thông tin (5)
    • 1.1.2 Mục tiêu bảo mật (5)
  • 1.2 Tổng quan về AAA (6)
    • 1.2.1 Điều khiển truy nhập – Access Control (7)
    • 1.2.2 Xác thực (8)
    • 1.2.3 Kiểm tra quản lý – Auditing (18)
  • 1.3 Các thiết bị hạ tầng mạng (19)
    • 1.3.1 Tường lửa - Firewall (19)
    • 1.2.2 Bộ định tuyến – Router (0)
    • 1.2.3 Bộ chuyển mạch – Switch (0)
    • 1.2.4 Bộ cân bằng tải (0)
    • 1.2.5 Proxies (0)
    • 1.2.6 Cổng bảo vệ Web (Web Security Gateway) (0)
    • 1.2.7 Hệ thống phát hiện xâm nhập (0)
  • CHƯƠNG 2: TƯỜNG LỬA - FIREWALL (22)
    • 2.1. Tổng quan về Firewall (22)
      • 2.1.1 Khái niệm về Firewall (22)
      • 2.1.2. Mục đích của Firewall (22)
      • 2.1.3. Phân loại FIREWALL (24)
      • 2.1.4. Mô hình kiến trúc của FIREWALL (28)
    • 2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables (34)
      • 2.2.1 ISA 2006 (34)
      • 2.2.2 TMG 2010 (40)
      • 2.2.3 Iptables (43)
    • 2.3 Tường lửa cứng ASA (46)
      • 2.3.1 Giới thiệu về ASA (46)
      • 2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng (47)
  • CHƯƠNG 3: CÔNG NGHỆ VPN (56)
    • 3.1. Tổng quan về VPN (56)
      • 3.1.1 Khái niệm (56)
      • 3.1.2 Lợi ích của VPN (57)
      • 3.1.3 Chức năng của VPN (57)
      • 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN (58)
      • 3.1.5 Phân loại VPN (58)
    • 3.2. Một số giao thức mã hóa trong VPN (60)
      • 3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) (61)
      • 3.2.2 Giao thức đường hầm điểm điểm - PPTP (63)
        • 3.2.2.1 PPP và PPTP (64)
        • 3.2.2.2 Cấu trúc gói của PPTP (65)
        • 3.2.2.3 Đường hầm (68)
      • 3.2.3 Giao thức đường hầm lớp 2 – L2TP (69)
      • 3.2.4 Giao thức IP Sec (74)
  • CHƯƠNG 4: HỆ THỐNG MAIL SE RVER (85)
    • 4.1. Tổng quan về hệ thống Email (85)
      • 4.1.1 Khái niệm và các thành phần của Email (85)
      • 4.1.2 Một số giao thức trong Email (89)
    • 4.2 MS.Exchange Server 2010 (93)
      • 4.2.1. Giới thiệu về MS.Exchange Server 2010 (93)
      • 4.2.2 Một số đặc điểm của MS.Exchange 2010 (93)
    • 4.3 MailServer Mdaemon (97)
  • CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG (99)
    • 5.1 Tổng quan về giám sát mạng (99)
      • 5.1.1 Khái niệm (99)
      • 5.1.2 Các lĩnh vực cần phải giám sát trong hệ thống mạng (100)
    • 5.2 Giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng (102)
      • 5.2.1 Giao thức quản lý mạng đơn giản – SNMP (102)
      • 5.2.2 Một số phần mềm giám sát mạng thường gặp (107)

Nội dung

4 CHƯƠNG I: TÔ ̉NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ T ẦNG MẠNG M ỤC TIÊU H ọc xong chương này sinh viên có thể: o Trình bày được một số nguy cơ và mục tiêu trong bảo mật hệ th

Tổng quan về bảo mật mạng

Nguy cơ bảo mật trong mạng thông tin

Nguy cơ bảo mật (Threat) là một hoặc một chuỗi các sự kiện hoặc hành động có thể gây hại hoặc ảnh hưởng tiêu cực đến các mục tiêu bảo mật của hệ thống Thực tế của nguy cơ bảo mật thể hiện qua các cuộc tấn công mạng nhằm xâm nhập, đánh cắp dữ liệu, làm gián đoạn dịch vụ hoặc làm suy yếu tính toàn vẹn và sẵn sàng của hệ thống CNTT Hiểu đúng về nguy cơ bảo mật giúp nhận diện lỗ hổng, đánh giá mức độ rủi ro và ưu tiên biện pháp phòng ngự, từ đó nâng cao hiệu quả bảo vệ thông tin và tài sản số Vì vậy, threat thể hiện ở nhiều hình thức từ khai thác lỗ hổng phần mềm, tấn công bằng kỹ thuật xã hội cho người dùng đến các hành động xâm nhập trái phép nhằm đạt được mục tiêu bảo mật của tổ chức.

Lỗ hổng bảo mật là những điểm yếu trong phần mềm hoặc hệ thống mà kẻ tấn công có thể lợi dụng và khai thác, từ đó gây ảnh hưởng tới an toàn thông tin của hệ thống Các lỗ hổng này có thể tồn tại ở mức mã nguồn, cấu hình hệ thống hoặc quy trình vận hành, và khi bị khai thác có thể dẫn đến rò rỉ dữ liệu, xâm nhập trái phép hoặc gián đoạn dịch vụ Nhận diện và khắc phục lỗ hổng bảo mật là yếu tố then chốt để bảo đảm an toàn thông tin, giảm thiểu rủi ro và tăng cường bảo mật tổng thể cho tổ chức.

Mục tiêu bảo mật

Mục tiêu bảo mật hay còn gọi là đối tượng bảo mật Được định nghĩa tuỳ theo môi trường ứng dụng hoặc kỹ thuật thực hiện

1.1.2.1 Theo môi trường ứng dụng

• Các tổ chức tài chính

Chống nguy cơ làm sai lệch và thay đổi tình cờ trong các giao dịch tài chính

Xác nhận tính hợp pháp của các giao dịch của khách hàng

Bảo mật cho các số nhận dạng cá nhân (PIN) Đảm bảo tính riêng tư cho khách hàng trong giao dịch

• Thương mại điện tử Đảm bảo tính toàn vẹn trong giao dịch Đảm bảo tính riêng tư cho doanh nghiệp

Cung cấp chữ ký điện tử (electronic signature) cho các giao dịch điện tử Đảm bảo tính riêng tư, bí mật đối với các thông tin của khách hàng

Chống nguy cơ rò rỉ các thông tin nhạy cảm

Cung cấp chữký điện tử cho các tài liệu của chính phủ

• Các nhà cung cấp dịch vụ viễn thông công cộng

Giới hạn quyền truy cập vào các chức năng quản trị chỉ dành cho những người có đủ thẩm quyền Đảm bảo dịch vụ luôn sẵn sàng

Bảo vệ tính riêng tư cho các thuê bao

• Các mạng riêng và mạng doanh nghiệp

Bảo vệtính riêng tư cho doanh nghiệp và cá nhân Đảm bảo khả năng xác nhận bản tin

Bảo vệ dữ liệu chống lại sự xâm nhập bất hợp pháp

1.1.2.2 Theo kỹ thuật thực hiện

• Tính bí mật (confidentiality) Đảm bảo chỉ những người có thẩm quyền mới xem được dữ liệu khi truyền đi hoặc lưu giữ

• Tính toàn vẹn của dữ liệu (data integrity)

Phát hiện được bất cứ sự thay đổi nào trong dữ liệu trong khi truyền hoặc lưu giữ

Xác nhận được ai là người tạo ra hoặc thay đổi dữ liệu

Xác định trách nhiệm với bất kỳ sự kiện thông tin nào

Các dịch vụ phải luôn sẵn sàng đáp ứng nhu cầu sử dụng của người dùng

• Truy cập có điều khiển (controlled access)

Chỉ những thực thểcó đủ thẩm quyền mới có thể truy cập các dịch vụ hoặc thông tin

Tổng quan về AAA

Điều khiển truy nhập – Access Control

Điều khiển truy cập là quá trình rất quan trọng định nghĩa cách thức người dùng và hệ thống liên lạc với nhau và thực hiện các tương tác, nhằm đảm bảo an toàn cho hệ thống Nó giới hạn hoặc kiểm soát truy cập đến tài nguyên hệ thống, bao gồm dữ liệu, từ đó bảo vệ thông tin khỏi truy cập trái phép Điều khiển truy cập được chia thành 3 loại nhằm đảm bảo an toàn cho hệ thống và dữ liệu ở các mức độ khác nhau.

Mandatory Access Control (MAC) là một mô hình bảo mật tĩnh được dùng để xác định trước quyền truy cập cho các tệp và tài nguyên trên hệ thống Người quản trị hệ thống thiết lập quyền truy cập bằng cách nắm các tham số và kết hợp chúng với các tài khoản, tệp hoặc tài nguyên của hệ thống MAC sử dụng nhãn bảo mật để xác định mức độ nhạy và áp dụng cho các đối tượng Khi người dùng cố gắng truy cập một đối tượng, nhãn được kiểm tra để xác định xem quyền truy cập có được cấp hay bị từ chối Với phương thức điều khiển truy cập này, mọi đối tượng đều phải có nhãn bảo mật để xác định quyền truy cập.

 Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động

Trong mô hình dựa trên danh tính người dùng, quyền truy cập đối với các đối tượng như file và folder được gán dựa trên danh sách truy cập (ACL) Quyền này phụ thuộc vào sự phân quyền của chủ thể (owner) hoặc người tạo ra đối tượng (creator), nhằm kiểm soát truy cập và bảo vệ dữ liệu.

Điều khiển truy cập dựa trên vai trò (RBAC) hoạt động dựa trên công việc của người dùng, cấp quyền cho họ theo vai trò và nhiệm vụ Đây là mô hình rất phù hợp cho các môi trường làm việc có sự thay đổi nhân sự liên tục, vì cho phép quản lý quyền truy cập dễ dàng, hạn chế quyền không phù hợp và tăng hiệu quả vận hành.

Xác thực

Xác thực đóng vai trò như ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định ai đang truy cập và liệu người đó có phải là người dùng hợp lệ hay không Yếu tố xác thực là tập hợp thông tin được dùng để xác thực hoặc xác minh danh tính của một người Hiện nay, các hệ thống và phương thức xác thực thường dựa trên năm yếu tố: điều bạn biết (mật khẩu hoặc mã PIN), điều bạn sở hữu (token, thẻ thông minh), điều bạn là (nhận dạng sinh trắc học như vân tay hoặc khuôn mặt), nơi bạn đang ở (địa điểm hoặc IP/location-based xác thực), và hành vi bạn thể hiện (mẫu tương tác và cách dùng hệ thống) Việc kết hợp nhiều yếu tố này giúp tăng độ an toàn, giảm rủi ro bị xâm nhập và cung cấp cơ chế bảo mật linh hoạt phù hợp với từng ngữ cảnh.

 Những gì bạn biết Ví dụ mật khẩu, mã PIN (Personal Identification Number)

 Những gì bạn có Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ thông minh, hay các thiết bị dùng để định danh

 Những gì là chính bạn Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA

 Những gì bạn làm Ví dụ: một hành động hay chuỗi hành động cần phải thực hiện để hoàn thành xác thực

Xác thực dựa trên vị trí cho thấy một nơi nào đó bạn đang ở có thể được xem như một yếu tố xác thực bổ sung Ví dụ, hệ thống có thể dựa vào vị trí hiện tại của bạn để xác nhận danh tính khi truy cập từ một địa điểm quen thuộc Tuy nhiên, nhờ sự phát triển của tính toán di động, yếu tố xác thực dựa trên vị trí hiện nay thường ít được sử dụng hơn trong nhiều nền tảng, do các thách thức về quyền riêng tư và biến động vị trí.

Trên thực tế, xác thực chỉ với một yếu tố sẽ không an toàn bằng khi kết hợp nhiều yếu tố xác thực với nhau Xác thực đa yếu tố (MFA) tăng đáng kể mức độ bảo mật cho tài khoản và dữ liệu quan trọng Cũng như một căn nhà, cửa chính nên được khóa bằng nhiều ổ khóa để tăng cường lớp bảo vệ Nếu vô tình chúng ta mất một chiếc chìa khóa hoặc kẻ trộm có thể bẻ gãy một ổ khóa, thì vẫn còn những ổ khóa khác tồn tại, đủ làm nản lòng hoặc làm chậm thời gian của kẻ xấu khi phá cửa.

1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol)

Phương pháp xác thực PAP dựa trên hai yếu tố chính là tên đăng nhập và mật khẩu, là cách phổ biến nhất để xác thực người dùng có quyền đăng nhập hoặc quyền truy cập tài nguyên và hệ thống Trong thực tế, cơ chế này có ứng dụng đa dạng từ việc đăng nhập vào máy tính trên màn hình đăng nhập cho tới đăng nhập hộp thư điện tử, và được triển khai trong nhiều hệ thống và ứng dụng khác để đảm bảo an toàn truy cập.

Hình 1.2: Xác thực sử dụng PAP

Trong cơ chế này, khi người dùng cung cấp danh tính và thông tin tài khoản, dữ liệu đăng nhập được chuyển tới cơ sở dữ liệu để tra cứu và đối chiếu với các bản ghi trên hệ thống; nếu có sự trùng khớp thì người dùng được xác thực hợp lệ và đăng nhập, còn ngược lại sẽ bị hệ thống từ chối truy cập Ưu điểm của phương pháp này là hoạt động đơn giản và dễ triển khai Tuy nhiên, bảo mật còn yếu bởi thông tin như tên đăng nhập và mật khẩu được gửi ở dạng văn bản thuần qua các giao thức không mã hóa như Telnet, FTP, HTTP, POP, dễ bị bắt lại bởi các phần mềm sniffing như Cain, Ethercap, IMSniff, Password Sniff và bị xem trộm.

Một trong những yếu tố nguy hiểm của việc xác thực thông tin đăng nhập ở dạng rõ (cleartext) là các thông tin nhạy cảm như username/password có thể bị đánh cắp bằng các phương pháp nghe lén (sniffer), tấn công phát lại (replay attack) hoặc tấn công man in the middle, vì vậy một hệ thống xác thực mạnh và an toàn đã được nghiên cứu từ dự án Athena của MIT và ứng dụng thành công Kerberos trên các hệ thống Windows 2000/2003/2008/2012, Linux và Unix Kerberos là một hệ thống xác thực độc lập không phụ thuộc nền tảng, nhưng để tương thích giữa Windows và Linux cần có các dịch vụ hỗ trợ như SAMBA Với đặc tính này, người dùng chỉ cần chứng thực một lần với Trung tâm phân phối khóa (KDC – Key Distribution Center) và sau đó có thể sử dụng tất cả các dịch vụ tin cậy theo quyền hạn được cấp mà không cần chứng thực lại với máy chủ hay dịch vụ mà mình dùng Ví dụ trong mô hình Windows Server 2008 Active Directory, sau khi tham gia và đăng nhập domain, các domain user có thể sử dụng các dịch vụ chia sẻ được cấp quyền mà không phải đăng nhập lại với mỗi dịch vụ.

Trong các mạng có File Server hoặc Print Server, người dùng có thể kết nối tới các máy chủ này mà không cần cung cấp tên đăng nhập và mật khẩu như khi hoạt động trong môi trường Workgroup Đây là một ưu điểm lớn của Kerberos nói chung và của các mô hình mạng dựa trên Active Directory nói riêng, giúp xác thực và truy cập tài nguyên mạng một cách liền mạch và an toàn hơn.

Các thành phần chính và cơ bản của một hệ thống kerberos:

Client: Người dùng (user), dịch vụ (service), máy (machine)

KDC : Trung tâm phân phối khóa (Key Distribution Center)

Máy chủ tài nguyên hoặc máy chủ lưu trữ

Hình 1.3 mô tả các thành phần chính của hệ thống chứng thực Kerberos và giúp hình dung cơ chế hoạt động của nó Để hiểu rõ cách Kerberos xác thực, hãy xét một phiên đăng nhập khi người dùng đăng nhập vào hệ thống để truy cập các dịch vụ; quá trình này diễn ra qua các bước sau: người dùng xác thực với KDC, KDC cấp cho người dùng vé cấp phát (TGT) cùng khóa phiên, người dùng dùng TGT để yêu cầu vé dịch vụ từ KDC và nhận vé dịch vụ tương ứng, cuối cùng người dùng trình vé dịch vụ cho dịch vụ đích để được cấp quyền truy cập.

1 Subject (client –máy khách hay còn gọi là người dùng) cung cấp thông tin đăng nhập Ví dụ: username và password

2 Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data

Encryption Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC

3 KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket

TGT (Ticket-Granting Ticket) là giá trị hash của mật khẩu do người dùng (subject) cung cấp, đi kèm với timestamp xác định thời gian sống (lifetime) của phiên truy cập Giá trị TGT này được mã hóa và gửi về cho client để đảm bảo xác thực an toàn và duy trì quyền truy cập trong suốt thời gian hiệu lực.

4 Client nhận TGT Tại thời điểm này, người dùng (subject) xem như đã được chứng thực trong mô hình Kerberos

5 Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu

Service Ticket (ST) sẽ được gởi đến KDC

6 KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ

KDC sẽ cấp ST cho client, giá trị ST này cũng kèm theo một timestame quy định thời gian sử dụng

7 Client nhận ST từ KDC

8 Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ printer server

9 Network server (ex Print server) sẽ xác nhận ST Nếu hợp lệ, một kênh truyền thông sẽ được khởi tạo với client Tại thời điểm này Kerberos sẽ không can thiệp vào quá trình họat động của client và server nữa

Hình 1.4: Quá trình chứng thực bằng kerberos

Kerberos mang lại hiệu quả cao cho các mô hình mạng lớn nhờ cơ chế quản lý chứng thực tập trung và khả năng mở rộng Trên hệ thống Windows OS, bạn có thể áp dụng Kerberos cho tổ chức của mình bằng cách triển khai hệ thống Active Directory, từ đó tăng cường an toàn xác thực và quản lý danh tính ở quy mô doanh nghiệp.

1.2.2.3 Challenge Handshake Authentication Protocol (CHAP)

CHAP là giao thức xác thực được dùng chủ yếu trong các kết nối dial-up, thường là PPP, nhằm cung cấp một cơ chế truyền thông an toàn cho quá trình đăng nhập của người dùng CHAP sử dụng hàm băm một chiều để bảo vệ mật khẩu và tiến hành xác thực lại với các client theo chu kỳ định kỳ.

Hình 1.5 trình bày mô hình xác thực CHAP được thiết kế để hỗ trợ quá trình đăng nhập và đảm bảo client lẫn server có thể xác thực lẫn nhau CHAP khởi tạo một tiến trình xác thực riêng của nó theo trình tự được mô tả dưới đây, giúp tăng tính bảo mật và tin cậy cho phiên làm việc bằng cách thực hiện xác thực giữa hai bên theo các bước chuẩn hóa.

1 Sau khi người dùng nhập các thông tin đăng nhập và gởi đến server (client / server đều sử dụng CHAP), CHAP sẽ tiến hành chức năng one-way hash (MD5, SHA1) dựa trên password được cung cấp của người dùng (subject) Sau đó sẽ chuyển username và giá trị hash đến máy chủ xác thưc(authentication server)

2 Authentication server so sánh username với cơ sở dữ liệu chứa tài khoản cùng với giá trị hash để xác nhận người dùng có hợp lệ hay không

3 Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với cơ sở dữ liệu trên server thì server sẽ truyền một chuổi thử thách(challenge) đến client

4 Client đáp ứng dựa trên chalenge string và phản hồi đền server

5 Server phản hồi lại client

6 Server so sánh các đáp ứng mà nó nhận từ client

7 Nếu tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép truyền thông với server

Hình 1.6: Minh họa quá trình xác thực của CHAP

Kiểm tra quản lý – Auditing

Auditing cung cấp các phương pháp giám sát và ghi lại các hoạt động trên mạng và trong hệ thống, giúp nhận diện mọi hành động và sự kiện xảy ra Qua auditing, ta có thể xác định chính xác tài khoản người dùng nào đang hoạt động và nguồn tài nguyên nào đang được sử dụng, từ đó tăng cường an ninh và tuân thủ quy định Dữ liệu audit hỗ trợ phân tích sự cố, giám sát hiệu suất hệ thống và tối ưu quản trị hạ tầng CNTT.

Việc kiểm tra hệ thống chỉ nên tiến hành khi bạn hiểu rõ các tiến trình đang chạy và bối cảnh vận hành Khi xây dựng các thủ tục kiểm tra, bạn cần ghi lại và giám sát các sự kiện liên quan đến việc sử dụng và truy cập, đồng thời phân biệt giữa truy cập được ủy quyền và không được ủy quyền Cần xác định rõ các dịch vụ cần kiểm tra, kiểm tra đăng nhập thành công và quyền truy cập vào các tài nguyên để từ đó xây dựng các phương thức và thủ tục thực thi hợp lý và có thể áp dụng nhiều lần.

Ghi lại (logging) là chức năng phổ biến trên hầu hết các mạng và hệ thống, bao gồm việc ghi lại một phần hoặc toàn bộ hoạt động và sự kiện của tài nguyên Việc ghi lại giúp phân tích các vấn đề của hệ thống và rất hữu ích cho việc phát hiện các sự cố bảo mật, từ đó hỗ trợ theo dõi dấu hiệu bất thường và tăng cường an ninh và vận hành của hệ thống.

Quét hệ thống (System Scanning) là một phương pháp trong an ninh mạng, sử dụng phần mềm hoặc các câu lệnh script để xác định trạng thái hiện tại của hệ thống, nhận diện các cổng mở và dịch vụ đang kết nối ra ngoài, từ đó phát hiện lỗ hổng bảo mật và các bản vá lỗi còn thiếu Quá trình quét giúp quản trị viên đánh giá mức độ rủi ro, lên kế hoạch vá lấp và tăng cường bảo mật cho hệ thống nhằm giảm thiểu nguy cơ bị xâm nhập.

Các thiết bị hạ tầng mạng

Tường lửa - Firewall

Tường lửa là một trong những thiết bị đầu tiên bảo vệ trong hệ thống mạng

Có nhiều loại tường lửa khác nhau, có thể là hệ thống độc lập hoặc được tích hợp vào trong các thiết bị khác như máy chủ hoặc router Trên thị trường tồn tại các giải pháp tường lửa ở dạng cứng (hardware firewall) và mềm (software firewall), cùng với các tường lửa phần mềm được đính kèm sẵn trên máy chủ hay máy trạm Mục đích cơ bản của tường lửa là ngăn chặn giao tiếp giữa các mạng với nhau, bảo vệ tài nguyên và dữ liệu khỏi truy cập trái phép Chức năng chính của tường lửa bao gồm các chức năng như kiểm soát lưu lượng và lọc gói tin, nhằm đảm bảo an toàn cho mạng và hệ thống.

Lọc gói tin là quá trình cho phép hoặc từ chối gói tin đi qua dựa trên địa chỉ nguồn và đích của gói tin cũng như loại ứng dụng mà nó mang theo, mà không phân tích nội dung bên trong gói tin Với cơ chế này, firewall xem thông tin tiêu đề của gói tin như giao thức và cổng để quyết định xem gói tin có được cho phép hay không Ví dụ, nếu không cho phép giao thức Telnet, firewall sẽ chặn cổng 23 và ngăn lưu lượng Telnet.

Tường lửa Proxy là lớp bảo mật nằm ở giữa, nhận các yêu cầu từ mạng được bảo vệ và kiểm tra chúng trước khi tiếp xúc với các mạng khác Nó phân tích dữ liệu và đưa ra quyết định dựa trên các luật bảo mật được cấu hình sẵn trên hệ thống, giúp ngăn chặn lưu lượng độc hại và truy cập trái phép Một tường lửa Proxy tiêu chuẩn thường sử dụng hai card mạng riêng biệt để phân tách hai mạng khác nhau, tăng cường an ninh bằng cách kiểm soát lưu lượng và giảm thiểu rủi ro xâm nhập cho hệ thống.

Tường lửa sử dụng công nghệ kiểm tra trạng thái gói tin (SPI – Stateful Packet Inspection) để bảo vệ mạng hiệu quả hơn so với lọc dựa vào header thuần túy Với SPI, hệ thống tường lửa không chỉ xem các thông số trong header như địa chỉ IP và cổng TCP/UDP mà còn theo dõi trạng thái của từng phiên kết nối và duy trì một bảng trạng thái Khi nhận gói tin, SPI so khớp nó với trạng thái hiện tại của kết nối và chỉ cho phép những gói tin hợp lệ, ngăn chặn gói tin giả mạo hoặc các tấn công dựa trên giả mạo trạng thái Điều này giúp phát hiện và ngăn chặn các dạng tấn công như spoofing và hijacking phiên làm việc, đồng thời tối ưu hóa luồng lưu lượng bằng cách cho phép các gói tin thuộc phiên làm việc hợp lệ đi qua Nói ngắn gọn, SPI tăng cường bảo mật của tường lửa bằng cách kết hợp kiểm tra header với theo dõi trạng thái kết nối và xử lý các giao thức có kết nối như TCP.

Sequence và các flag code (mã cờ) là hai thành phần quan trọng để nhận diện và kiểm soát luồng dữ liệu trong mạng Việc kết hợp kiểm tra quá trình handshake và xác định xem gói tin thuộc kết nối mới hay đã được thiết lập trước đó cho phép lọc gói tin một cách hiệu quả hơn, giảm thiểu lưu lượng không hợp lệ và tăng cường an toàn cho hệ thống.

Bộ định tuyến có vai trò chính là kết nối hai hoặc nhiều mạng với nhau, biến chúng thành một hệ thống thông suốt Là một thiết bị thông minh, nó có thể lưu trữ và quản lý thông tin về các mạng mà nó kết nối trực tiếp, từ đó tối ưu hóa quá trình định tuyến dữ liệu Hầu hết các bộ định tuyến có thể được cấu hình để hoạt động như một tường l firewall lọc gói tin, dựa trên ACL do quản trị viên thiết lập nhằm kiểm soát luồng dữ liệu giữa các mạng Đây là lớp phòng thủ đầu tiên của hệ thống bảo vệ mạng, vì vậy cần được cấu hình để cho phép chỉ lưu lượng được ủy quyền bởi quản trị viên Với khả năng quản lý và bảo mật linh hoạt, bộ định tuyến đóng vai trò then chốt trong tối ưu hóa hiệu suất mạng và đảm bảo an toàn thông tin cho tổ chức.

Switch là thiết bị đa cổng giúp tăng hiệu năng hoạt động của hệ thống mạng, nhưng thường chứa ít thông tin về hệ thống mạng, chẳng hạn như bảng địa chỉ MAC Trong mạng LAN, việc sử dụng Switch mang lại hiệu quả cao về bảo mật so với Hub và hiệu suất chuyển mạch tốt hơn so với Router.

Thiết bị cân bằng tải là công cụ dùng để chuyển tải từ một thiết bị sang thiết bị khác nhằm tránh quá tải hệ thống Thông thường thiết bị này có thể là một máy chủ, nhưng thuật ngữ cân bằng tải cũng được áp dụng cho ổ đĩa cứng, CPU hoặc hầu hết bất kỳ thiết bị nào có nhu cầu phân bổ tải Việc cân bằng tải giữa nhiều máy chủ giúp giảm thời gian xử lý, tối đa hóa băng thông và phân bổ tài nguyên hệ thống một cách hiệu quả Thiết bị cân bằng tải có thể là giải pháp phần mềm hoặc phần cứng và thường được tích hợp trên các thiết bị mạng như router, tường lửa hoặc thiết bị NAT Ví dụ phổ biến nhất là cân bằng lưu lượng truy cập cho một trang web và luân chuyển đến các máy chủ khi chúng sẵn có.

Proxy là một máy chủ đóng vai trò trung gian, chuyển tiếp thông tin và kiểm soát truy cập nhằm tăng cường an toàn cho người dùng trong hệ thống mạng Việc sử dụng Proxy giúp truy cập web nhanh hơn và an toàn hơn nhờ cơ chế lưu trữ đệm (bộ nhớ đệm) và quản lý lưu lượng Tuy nhiên, Proxy cũng có thể bị lợi dụng để vượt qua các giới hạn truy cập hoặc truy cập vào một số trang web mà nhà cung cấp dịch vụ hoặc quản trị mạng ngăn cản.

1.3.6 Cổng bảo vệ Web (Web Security Gateway)

Một trong những thuật ngữ phổ biến và mới nhất về bảo vệ Web là cổng bảo vệ Web Cổng này hoạt động như một proxy có tính năng cache và được tích hợp thêm phần mềm bảo vệ bên trong, giúp kiểm tra và lọc lưu lượng truy cập Tùy thuộc vào nhà cung cấp, cổng bảo vệ Web có thể tích hợp một bộ quét virus tiêu chuẩn để kiểm tra các gói tin đến và giám sát lưu lượng đi ra của người dùng, từ đó tăng cường an toàn cho hệ thống và dữ liệu.

1.3.7 Hệ thống phát hiện xâm nhập

Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là phần mềm chạy trên máy trạm hoặc thiết bị mạng nhằm giám sát và theo dõi lưu lượng mạng Nhờ IDS, quản trị mạng có thể cấu hình hệ thống để phản hồi như một hệ thống báo động và cảnh báo khi phát hiện dấu hiệu xâm nhập IDS có thể kiểm tra logs, quan sát các hoạt động mạng đáng ngờ, và ngắt kết nối phiên nếu phát hiện vi phạm các thiết lập đã định Trên thị trường, nhiều nhà sản xuất cung cấp IDS tích hợp với tường lửa, một giải pháp đầy hứa hẹn cho việc tăng cường bảo mật Tuy nhiên, tường lửa vẫn ngăn chặn nhiều cuộc tấn công phổ biến nhưng không đủ khả năng báo cáo và giám sát toàn bộ lưu lượng mạng.

TƯỜNG LỬA - FIREWALL

Tổng quan về Firewall

Firewall là thuật ngữ có nguồn gốc từ kỹ thuật thiết kế xây dựng nhằm ngăn chặn hỏa hoạn và được tích hợp vào công nghệ mạng để ngăn chặn truy cập trái phép, bảo vệ nguồn thông tin nội bộ và hạn chế sự xâm nhập vào hệ thống Nó được hiểu như một cơ chế bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng bằng cách giám sát, lọc và kiểm soát lưu lượng dữ liệu giữa các mạng dựa trên các quy tắc bảo mật được thiết lập.

Firewall thường được đặt giữa mạng nội bộ (Intranet) của một công ty, tổ chức, ngành hoặc quốc gia và mạng Internet để bảo vệ an ninh mạng Vai trò chính của firewall là bảo mật thông tin, ngăn chặn truy cập trái phép từ Internet và cấm truy cập từ bên trong tới một số địa chỉ nhất định trên Internet Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm được dùng để kiểm tra và giám sát lưu lượng đi qua nó.

Firewall giúp người dùng yên tâm rằng dữ liệu truyền thông giữa máy tính của họ và các máy tính hay hệ thống khác được giám sát và kiểm soát chặt chẽ Nhờ cơ chế giám sát này, lưu lượng mạng được phân tích để ngăn ngừa truy cập trái phép, bảo vệ an toàn thông tin và quyền riêng tư của người dùng Việc Firewall thực thi quyền giám sát dữ liệu truyền thông giữa máy tính cá nhân và các hệ thống từ xa được thực hiện một cách có hệ thống và hiệu quả.

Firewall đóng vai trò là người bảo vệ máy tính, thực hiện nhiệm vụ kiểm tra “giấy thông hành” của mọi gói dữ liệu đi vào và ra khỏi thiết bị người dùng, chỉ cho phép những gói dữ liệu hợp lệ đi qua đồng thời loại bỏ các gói dữ liệu không hợp lệ hoặc có nguy cơ gây hại Nhờ chức năng này, firewall ngăn chặn các mối đe dọa từ mạng, bảo vệ quyền riêng tư và hiệu suất hệ thống, đồng thời đảm bảo giao tiếp dữ liệu an toàn cho người dùng.

Firewall bảo đảm mọi dữ liệu vào hệ thống là hợp lệ và an toàn, ngăn ngừa người dùng bên ngoài đoạt quyền kiểm soát máy tính của bạn Với chức năng kiểm soát truy cập, firewall phân tích lưu lượng mạng, chặn các kết nối độc hại và chỉ cho phép các kết nối hợp lệ đi vào và ra khỏi hệ thống Nhờ đó, bảo mật dữ liệu được tăng cường, quyền kiểm soát máy tính được bảo vệ và hiệu suất mạng được tối ưu hóa nhờ quản lý lưu lượng một cách có kiểm soát.

Dữ liệu đi ra của firewall đóng vai trò quan trọng trong bảo vệ hệ thống mạng Việc lọc và kiểm soát lưu lượng ra giúp ngăn chặn các xâm nhập trái phép và ngăn cản việc cấy virus có hại vào máy tính, từ đó giảm nguy cơ bị chiếm quyền điều khiển và phát động các cuộc tấn công cửa hậu tới các máy tính khác trên Internet Quản trị firewall và phân tích lưu lượng ra là phần thiết yếu của chiến lược an toàn mạng và bảo vệ dữ liệu cho toàn bộ hạ tầng IT.

Firewall thường có ít nhất hai giao diện mạng: giao diện chung kết nối với Internet và giao diện riêng chứa dữ liệu được bảo vệ Giao diện chung là phía dễ bị truy cập từ bên ngoài, còn giao diện riêng đảm bảo an toàn cho dữ liệu nhạy cảm Tùy vào nhu cầu tách các phân đoạn mạng, một firewall có thể có nhiều giao diện riêng Với mỗi giao diện, hệ thống firewall áp dụng một bộ quy tắc bảo vệ riêng để xác định loại lưu thông được phép qua lại giữa mạng chung và mạng riêng.

Firewall có thể đảm nhận nhiều chức năng hơn ngoài vai trò bảo vệ mạng, song đi kèm là những thuận lợi và thách thức riêng biệt Thông thường, nhà quản trị mạng sử dụng firewall như một thiết bị đầu nối VPN, một máy chủ xác thực hoặc một máy chủ DNS Tuy nhiên, như bất kỳ thiết bị mạng nào khác, khi nhiều dịch vụ cùng hoạt động trên một máy chủ thì rủi ro sẽ tăng lên Vì vậy, firewall nên giới hạn số lượng dịch vụ chạy trên cùng một thiết bị để giảm thiểu các rủi ro bảo mật và tăng hiệu quả vận hành.

Firewall có ích cho việc bảo vệ những mạng khỏi lưu lượng không mong muốn Nếu một mạng không có các máy chủ công cộng, firewall là công cụ rất tốt để từ chối lưu lượng đi vào, đặc biệt là những lưu lượng bắt nguồn từ bên ngoài hoặc không thuộc mạng của bạn Việc triển khai firewall giúp giảm thiểu rủi ro bảo mật, ngăn chặn các cuộc tấn công từ bên ngoài và bảo vệ các máy chủ cùng dịch vụ nội bộ khỏi truy cập trái phép, đồng thời duy trì hiệu suất mạng bằng cách lọc lưu lượng dựa trên các quy tắc an toàn.

Hình 2.1.Firewall được đặt ở giữa mạng riêng và mạng công cộng

23 sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS

Sức mạnh của firewall (tường lửa) nằm ở khả năng lọc lưu lượng dựa trên tập hợp quy tắc bảo vệ do các quản trị viên thiết lập, giúp ngăn chặn lưu lượng độc hại và bảo vệ hệ thống mạng Tuy nhiên, đây cũng có thể là nhược điểm lớn nhất của firewall: nếu bộ quy tắc được viết kém hoặc thiếu sót, nó có thể mở lối cho kẻ tấn công và khiến mạng không được an toàn.

2.1.3.1 Phân loại theo nguyên lý hoạt động

- Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có kiểm soát

- Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các máy khách và các host

Hình 2.2.Mạng gồm có Firewall và các máy chủ

Packet Filtering Firewall là kiểu firewall phổ biến hoạt động ở tầng 3 của mô hình OSI Nó lọc gói tin dựa trên các luật truy cập mạng ở mức tầng mạng, trong đó mọi gói tin đều được kiểm tra địa chỉ IP nguồn trước khi quyết định cho phép hay từ chối Sau khi địa chỉ IP nguồn được xác định, gói tin sẽ được đối chiếu với bộ luật đã thiết lập trên firewall để xác định xem có được phép đi tiếp hay không, giúp kiểm soát hiệu quả lưu lượng mạng theo địa chỉ nguồn và các quy tắc mạng đã định.

Với phương thức hoạt động này, firewall ở lớp mạng có tốc độ xử lý nhanh vì chỉ kiểm tra địa chỉ IP nguồn mà không xác định xem địa chỉ đó có hợp lệ hay bị cấm Đây là hạn chế của kiểu firewall này, vì nó không đảm bảo tính tin cậy khi chỉ dựa vào IP nguồn mà bỏ qua các yếu tố bảo mật khác và trạng thái kết nối.

Kiểu firewall này có lỗ hổng nghiêm trọng ở chỗ chỉ dựa vào địa chỉ IP nguồn để xác định truy cập; khi gói tin mang địa chỉ nguồn giả mạo, nó có thể vượt qua nhiều mức kiểm soát và xâm nhập mạng bên trong Vì vậy, bảo mật mạng cần được tăng cường với các lớp xác thực bổ sung, kiểm tra nguồn gói tin ở cả tầng mạng và ứng dụng, cũng như giám sát lưu lượng bất thường để giảm thiểu rủi ro từ việc giả mạo địa chỉ IP.

Firewall kiểu packet filtering chia làm hai loại:

Firewall lọc gói (packet filtering firewall) hoạt động ở lớp mạng của mô hình OSI Các luật lọc gói tin được xác định dựa trên các trường trong IP header và transport header, đồng thời dựa trên địa chỉ IP nguồn và địa chỉ IP đích, cho phép hoặc từ chối lưu lượng mạng dựa trên các tiêu chí như địa chỉ nguồn, địa chỉ đích, giao thức và cổng nguồn/cổng đích.

- Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình OSI Mô hình này không cho phép các kết nối end to end

Inside host in in in out out out outside connection inside connection

Circuit level gateway b Application-proxy firewall

Khi một người dùng kết nối đến mạng được bảo vệ bởi firewall kiểu này, kết nối đó sẽ bị chặn ban đầu Sau đó firewall tiến hành kiểm tra các trường liên quan của gói tin yêu cầu kết nối; nếu các trường thông tin phù hợp với các quy tắc của firewall, gói tin sẽ được cho phép và firewall sẽ thiết lập đường dẫn kết nối cho gói tin đi qua.

- Không có chức năng chuyển tiếp các gói tin IP

- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall

- Đưa ra công cụ cho phép ghi lại quá trình kết nối

- Tốc độ xử lý khá chậm

Tường lửa mềm ISA2006, TMG 2010 & IPtables

ISA 2006 (Internet Security and Acceleration) được thiết kế chủ yếu như một tường lửa nhằm chặn mọi lưu lượng từ Internet không mong đợi bên ngoài mạng của tổ chức, từ đó tăng cường bảo mật mạng Đồng thời, ISA Server có thể cho phép các kết nối và dịch vụ hợp lệ được truy cập, đồng thời áp dụng các quy tắc bảo mật nghiêm ngặt để kiểm soát luồng dữ liệu giữa Internet và mạng nội bộ Nó cũng tối ưu hóa hiệu suất mạng thông qua các tính năng như caching và quản lý đường truyền, giúp tăng tốc truy cập cho người dùng cuối Nhờ tích hợp các chức năng bảo mật và tăng tốc, ISA 2006 đóng vai trò là lớp phòng thủ đầu tiên cho hạ tầng CNTT của doanh nghiệp và có thể hỗ trợ VPN cùng với kiểm soát truy cập từ xa một cách an toàn.

Trong mạng của tổ chức, người dùng nội bộ được cấp quyền truy cập có chọn lọc vào các tài nguyên theo các quy tắc (rules) của ISA Server Người dùng trên Internet có thể truy cập vào các tài nguyên trong mạng tổ chức miễn sao phù hợp với các quy tắc này, như máy chủ Web hoặc Mail của tổ chức Hình dung ISA Server được triển khai tại vòng biên quanh mạng tổ chức, nơi nó kết nối với một mạng bên ngoài, ví dụ Internet, để quản lý và kiểm soát lưu lượng truy cập giữa mạng nội bộ và mạng ngoài.

ISA Server được thiết kế để bảo vệ vành đai mạng của tổ chức, hoạt động như lớp tường lửa và công cụ quản lý lưu lượng giúp kiểm soát truy cập và giám sát kết nối Trong hầu hết trường hợp, vành đai này nằm giữa mạng LAN của tổ chức và mạng dùng chung như Internet, ngăn chặn các mối đe dọa từ bên ngoài đồng thời tối ưu hóa băng thông và đảm bảo an toàn dữ liệu cho người dùng và hệ thống.

Hình 2.10 Kiến trúc Screened Subnet

(như Internet) Hình bên dưới cho chúng ta một ví dụ đơn giản về việc triển khai một ISA Server

Hình 2.11 Vị trí của ISA trong hệ thống mạng

Mạng nội bộ, hay còn gọi là internal network, là hệ thống mạng được bảo vệ đặt trong tổ chức và chịu sự giám sát của đội ngũ CNTT Mạng nội bộ được xem là an toàn ở mức tương đối vì chỉ những người dùng đã được xác thực mới có quyền truy cập vật lý và sử dụng tài nguyên mạng Bên cạnh đó, đội ngũ CNTT có thể quyết định loại lưu lượng (traffic) được cho phép trên mạng nội bộ nhằm đảm bảo an toàn và tối ưu hóa hiệu suất hệ thống.

Ngay cả khi mạng nội bộ được coi là an toàn hơn Internet, đừng nghĩ rằng chỉ cần bảo vệ vành đai mạng là đủ Để bảo vệ mạng của bạn một cách đầy đủ, hãy xây dựng kế hoạch bảo vệ theo chiều sâu với nhiều lớp phòng thủ và các biện pháp đồng bộ — từ quản lý truy cập, vá lỗi định kỳ và phân đoạn mạng đến giám sát liên tục, sao lưu và diễn tập phản ứng sự cố Những khối bảo vệ này giúp đảm bảo an toàn cho hệ thống ngay cả khi biên giới mạng bị xâm nhập hoặc gặp sự cố, đồng thời nâng cao khả năng phát hiện và đối phó với các mối đe dọa.

Trong bối cảnh an ninh mạng ngày càng phức tạp, nhiều cuộc tấn công mạng gần đây như virus và worm đã phá vỡ các lớp bảo vệ và tấn công tường lửa ISA Server là giải pháp bảo vệ tường lửa và an ninh mạng quan trọng, giúp tăng cường lớp phòng thủ và giảm thiểu rủi ro cho mạng doanh nghiệp Tuy nhiên, sau khi triển khai ISA Server, bạn đừng cho rằng công việc bảo mật đã xong; quản trị bảo mật mạng là quá trình liên tục đòi hỏi cập nhật, giám sát và tối ưu hóa để đối phó với mối đe dọa mới.

Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các

Lưu lượng mạng trên Internet có thể bị theo dõi và khai thác, bởi bất kỳ ai có kết nối Internet với quyền truy cập vào các kết nối khác bằng hầu như mọi giao thức và ứng dụng Các gói tin được gửi qua mạng không được bảo vệ đầy đủ nên có thể bị bắt lại và xem trộm bởi bất kỳ ai đang chạy packet sniffer trên một phân đoạn mạng Packet sniffer là một ứng dụng cho phép người dùng bắt và xem toàn bộ lưu lượng mạng (traffic) trên một mạng nhất định, từ đó làm nổi lên nguy cơ tiềm ẩn về an ninh mạng.

35 mạng, điều kiện để bắt được ‘traffic’ mạng là ‘packet sniffer’ phải kết nối được đến phân đoạn mạng giữa hai ‘router’

Internet là một phát minh đầy sức hút với nhiều lợi ích như tra cứu thông tin hữu ích, gặp gỡ và trao đổi sở thích với người khác Tuy nhiên, Internet cũng mang đến rủi ro vì ai cũng có thể truy cập và khó phân biệt giữa người dùng vô hại và tội phạm mạng, dẫn đến nguy cơ bị lộ dữ liệu hoặc tấn công từ bên ngoài Khi tổ chức kết nối với Internet, mọi luồng truy cập có thể bị phơi bày trước các đối tượng xấu, có thể là người dùng hợp pháp tìm kiếm thông tin trên website của tổ chức hoặc kẻ xấu cố gắng deface website hoặc đánh cắp dữ liệu khách hàng Bản chất của Internet khiến việc bảo mật và an ninh mạng khó đạt được tuyệt đối Vì vậy bước đầu tiên để bảo vệ kết nối Internet là xem mọi người kết nối đến hệ thống của bạn như những mối đe dọa tiềm ẩn cho tới khi danh tính của họ được xác thực.

ISA Server ho ạt động như một tườ ng l ử a

Tường lửa (firewall) là thiết bị được đặt giữa hai phân đoạn mạng trong một hệ thống mạng, có chức năng kiểm soát và lọc lưu lượng dữ liệu đi qua để ngăn chặn truy cập trái phép Firewall được cấu hình bằng các quy tắc lọc (rules), cho phép hoặc chặn các kết nối dựa trên nguồn đích, địa chỉ IP, cổng, giao thức và thời gian truy cập, từ đó tăng cường an toàn cho mạng và tài nguyên doanh nghiệp Việc triển khai firewall có thể ở nhiều cấp độ, từ firewall biên (perimeter) tới firewall nội bộ nhằm bảo vệ từng phân đoạn mạng và tối ưu hóa hiệu suất hệ thống Để duy trì hiệu quả bảo mật, quản trị viên cần thường xuyên rà soát và cập nhật các quy tắc lọc nhằm đối phó với các mối đe dọa mới và đảm bảo tuân thủ các chuẩn an toàn thông tin.

Trong bảo mật mạng và quản trị hệ thống, 'traffic' được định nghĩa là các loại lưu lượng mạng được phép đi qua Việc xác định và quản lý các loại traffic giúp kiểm soát truy cập, tăng cường bảo mật và tối ưu hóa hiệu suất mạng Firewall có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng, đồng thời phân tách và giám sát lưu lượng giữa các khu vực an toàn và khu vực nhạy cảm.

Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng và có chức năng chính là đảm bảo không có traffic từ Internet tới mạng nội bộ của tổ chức trừ khi được cho phép; ví dụ, nếu tổ chức có một Web Server nội bộ để người dùng Internet có thể truy cập, firewall có thể được cấu hình để chỉ cho phép traffic từ Internet truy cập tới Web Server đó, trong khi các traffic khác bị chặn.

ISA Server đóng vai trò như một firewall cho hệ thống mạng Khi được triển khai, ISA Server mặc định khóa tất cả lưu lượng giữa các mạng mà nó quản lý, đồng nghĩa với việc mọi kết nối giữa các mạng bị chặn trừ khi có quy tắc cho phép Để cho phép lưu lượng đi qua, bạn cần thiết lập các rule (Access Rule hoặc Firewall Policy) và các đối tượng mạng; quá trình này gồm tạo các đối tượng mạng, xác lập các rule cho phép và có thể cấu hình NAT nếu cần Việc quản lý policy giúp kiểm soát luồng dữ liệu giữa các phân đoạn mạng, đồng thời cung cấp chức năng ghi log và giám sát lưu lượng để nâng cao bảo mật.

ISA Server 2006 uses three types of filtering rules to control network traffic between the internal network, the DMZ, and the Internet: packet filtering, stateful filtering, and application-layer filtering Packet filtering checks packet headers to make permit/deny decisions based on IP addresses and ports Stateful filtering tracks the state of active connections to allow only packets that match existing connections Application-layer filtering inspects the data payloads to enforce policies at the application level, enabling deeper control over protocols and services By combining these three filtering approaches, ISA Server 2006 provides a layered security model that blocks unauthorized traffic while permitting legitimate communication across the internal network, DMZ, and Internet.

Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng

‘network packet’ đi tới firewall Khi ‘packet’ đi tới giao tiếp mạng của ISA Server, ISA Server mở ‘header’ của ‘packet’ và kiểm tra thông tin (địa chỉ nguồn và đích, ‘port’ nguồn và đích) ISA Server so sánh thông tin này dựa vào các ‘rule’ của firewall, đã định nghĩa ‘packet’ nào được cho phép Nếu địa chỉ nguồn và đích được cho phép, và nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua firewall để đến đích Nếu địa chỉ và ‘port’ không chính xác là những gì được cho phép, ‘packet’ sẽ bị đánh rớt và không được đi qua firewall

Stateful Filtering – L ọ c tr ạ ng thái

Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với ‘network packet’ để dẫn đến quyết định có cho qua hay là không Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một ‘packet’ bên trong nội dung của những

‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (‘session’) TCP

Tường lửa cứng ASA

Cisco ASA, viết tắt của Cisco Adaptive Security Appliance, là giải pháp bảo mật hàng đầu của Cisco trên thị trường an ninh mạng Hiện nay, ASA nổi bật với hiệu năng cao và danh mục mô hình phù hợp cho doanh nghiệp ở nhiều quy mô Sản phẩm tích hợp các giải pháp bảo mật mạng quan trọng như VPN, IPS và IDS, giúp tối ưu hóa an toàn và quản lý lưu lượng dữ liệu Với tính linh hoạt và khả năng mở rộng, Cisco ASA đáp ứng nhu cầu bảo vệ hạ tầng CNTT và kết nối an toàn cho mạng doanh nghiệp.

Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai cho các doanh nghiệp

Nó bao gồm các thuộc tính sau:

+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco;

+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco;

+ Sử dụng Cut through proxy để chứng thực telnet, http ftp;

Chính sách bảo mật mặc định tăng cường mức bảo vệ tối đa cho hệ thống và cung cấp khả năng tùy chỉnh các quy định bảo mật để phù hợp với nhu cầu của từng doanh nghiệp, từ đó xây dựng lên một chính sách bảo mật riêng và hiệu quả cho tổ chức.

+ VPN: hỗ trợ các phương thức mã hóa như IPSec, SSL và L2TP;

+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS;

+ NAT động, NAT tĩnh, NAT port (PAT) ;

+ Sử dụng đặc tính SNR (Sequence Number Randomization) để tăng bảo mật cho phiên kết nối

+ Ảo hóa các chính sách sử dụng Context

Cisco ASA có 7 mẫu khác nhau, được phân loại phù hợp cho các tổ chức từ nhỏ đến doanh nghiệp vừa và nhà cung cấp dịch vụ ISP Dòng sản phẩm này cho phép lựa chọn theo nhu cầu sử dụng: mô hình càng cao thì thông lượng lớn hơn, số cổng nhiều hơn và chi phí cũng cao hơn Các phiên bản tiêu biểu gồm ASA 5505, 5510, 5520, 5540, 5550, 5580 và 5585-x.

Ví dụnhư thông số của dòng ASA 5550

Bảng 2.2 Các đặc tính của ASA 5550

2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng

2.3.2.1 Chuyển đổi địa chỉ - NAT Để giải quyết vấn đề tiết kiệm không gian địa chỉ, cũng như giải quyết vấn đề sử dụng địa chỉ IP Private và truy cập mạng Public, tổ chức IETF đã phát triển RFC 1631 RFC 1631 định nghĩa quá trình thực hiện NAT Điều này cho phép dịch chuyển từ địa chỉ Private trong mào đầu của gói tin IP đến một địa chỉ IP Public khác và ngược lại Một trong những lợi ích chính của NAT là việc thoải mái sử dụng số lượng địa chỉ ip private rộng lớn, hơn 17 triệu địa chỉ/ Điều này bao gồm 1 lớp địa chỉ mạng lớp A, 16 địa chỉ mạng lớp B và 256 địa chỉ mạng lớp C Khi sử dụng địa chỉ Ip private dù có đổi nhà cung cấp dịch vụ, cũng sẽ không cần phải đánh lại địa chỉ cho các thiết bị trong mạng cục bộ mà chỉ phải thay đổi cấu hình NAT trên firewall để trùng với địa chỉ IP public mới Bởi vì tất cả các lưu lượng phải đi firewall để đến các thiết bị có địa chỉ IP private, có thể điều khiển điều này bằng cách sau:

- Những nguồn mà Internet truy cập vào mạng bên trong (LAN)

- User nào trên mạng Inside được phép truy cập Internet

Trong bài viết này, chúng ta sẽ làm rõ một số thuật ngữ quan trọng liên quan đến NAT (Network Address Translation) nhằm hiểu rõ các câu lệnh được sử dụng trên firewall để cấu hình NAT Việc nắm vững các thuật ngữ NAT giúp bạn nhận diện đúng các khái niệm như địa chỉ nguồn và đích bị dịch, các loại NAT (static NAT, dynamic NAT, NAT overload hay PAT), bảng NAT và cơ chế port forwarding, từ đó tối ưu hóa việc thiết lập và quản lý NAT trên firewall một cách hiệu quả.

- Inside: Những địa chỉ được translate, thường là địa chỉ Ip private cho các thiết bị bên trong mạng LAN hay địa chỉ public mua từ ISP

- Outside: Những địa chỉ được cấp phát trên Internet

- Inside Local: Những địa chỉ Private được gán cho các host nằm bên trong mạng LAN

- Inside Global: Những địa chỉ public được gán cho Inside host Thường thì đây là pool địa chỉ được cấp bởi ISP

- Outside Global: Những địa chỉ được gán cho các thiết bị Outside device b Một số mô hình và ví dụ triển khai

Hình 2.18 Ví dụ cấu hình NAT tĩnh

Hình 2.19 Ví dụ về cấu hình PAT

2.3.2.2Điều khiển truy cập – Access Control

Access control list (ACL) là tập hợp các quy tắc bảo mật dùng để cho phép (permit) hoặc từ chối (deny) các gói tin dựa vào header và các thuộc tính khác của gói tin Mỗi dòng permit hoặc deny được gọi là Access Control Entry (ACE) Sau khi cấu hình xong ACL thì ta áp nó vào một interface để ACL phát huy tác dụng Có hai điểm khác biệt chính giữa ACL trên router và ACL trên ASA: thứ nhất, chỉ có gói tin đầu tiên mới bị xử lý bởi ACL trên ASA; đối với các giao thức được ASA thực hiện stateful inspection, sau khi kết nối được ACL cho phép thì tất cả các gói tin tiếp theo của cùng kết nối đều không bị kiểm tra bởi bất kỳ ACL nào Trên Cisco IOS router thì tất cả các gói tin đều bị xử lý bởi ACL Thứ hai, cú pháp ACL trên router sử dụng wildcard mask, trong khi ACL trên ASA sử dụng đúng cú pháp subnet mask.

Bảng 2.3 So sánh giữa ACL trong ASA và Cisco Router

Like Cisco IOS routers, the ASA firewall supports Standard ACLs to filter packets by IP address However, Standard ACLs cannot be used to filter traffic entering or leaving an interface on the ASA.

Có thể lọc lưu lượng vào ra trên một interface dựa vào địa chỉ IP nguồn và đích, giao thức đang sử dụng và ứng dụng đang chạy Việc lọc theo IP nguồn và đích cho phép chặn hoặc cho phép các kết nối dựa trên phạm vi địa chỉ và hướng lưu lượng đi qua interface Đồng thời, lọc theo giao thức và theo ứng dụng giúp kiểm soát các loại lưu lượng cụ thể, tối ưu hóa hiệu suất mạng và tăng cường an ninh cho hệ thống.

ACL theo thời gian có thể được thực thi hoặc vô hiệu phụ thuộc vào thời gian mà ta cấu hình

Ví dụ bạn cần cho phép truy cập vào Server từ 8h00 am đến 6h00 pm

Define time ranges and verify the ACL configuration To list the commands in an ACL, there are two options: "show run access-list" and "show run access-group," which display the ACL configuration in the running-config.

-ciscoasa(config)# show running-config

Nếu không muốn xem ACL đơn, có thể xem toàn bộ các ACL sử dụng lệnh

- ciscoasa(config)# show access-list

2.3.2.3 Web content Ở phần trên ta đã tìm hiểu về các khả năng lọc của các thiết bị trong đó có cả ACLs Nhưng hạn chế của ACLs là nó chỉ có thể lọc địa chỉ lớp network và transport trong mô hình tham chiếu OSI Mà chúng không thể đọc được nội dung thông tin (những thông tin được tải về) Trong trường hợp các Hacker muốn tấn công bằng cách tạo ra các applet Java độc hại hoặc ActiveX mà người dùng sẽ tải về để tạo hoặc chạy các ưng dụng đó Một vấn đề của ACLs là một ACL có thể chấp nhận hay từ chối cổng TCP 80, trong đó có bao gồm cả applet Java nói ở trên Nó không thể lọc chỉ một ứng dụng apple Java được Tương tự như vậy, ACL cũng có vấn đề khi giao dịch với bộ lọc nội dung các trang web Có ba giải pháp cho những vấn đề này Các giải pháp đầu tiên là khả năng các thiết bị lọc trên Java và kịch bản ActiveX được nhúng vào trong các kết nối HTTP Giải pháp thứ hai cho lọc nội dung cho phép các thiết bị để làm việc với

52 phần mềm lọc nội dung của bên thứ ba được thiết kế để lọc lưu lượng HTTP và FTP Giải pháp thứ ba là hỗ trợ Web Cache qua các giao thức truyền thông (WCCP), cho phép các thiết bị chuyển hướng các yêu cầu web tới máy chủ web ngoài bộ nhớ cache để tải nội dung nhanh hơn.

Nội dung trong phần này bao gồm:

▲ Web caching a Giải pháp lọc Java và ActiveX

Các thiết bị bảo mật hiện có khả năng lọc cả Javascript và kịch bản ActiveX mà không cần phần mềm bổ sung hay phần cứng mới; chúng hoạt động bằng cách nhúng HTML với thẻ và thay thế các thành phần độc hại bằng các phản hồi an toàn, trong đó một số lệnh như APPLET, OBJECT và CLASSID cho phép ngăn tải các applet và kịch bản độc hại trong khi vẫn tải nội dung trang web Tính năng lọc này mang lại lợi ích là tập trung quản lý và thực thi chính sách lọc tại một điểm duy nhất Tuy nhiên, bộ lọc chỉ có thể dựa trên địa chỉ IP của máy chủ web, nên không thể lọc theo trình duyệt hoặc nội dung động, và để tăng cường bảo mật có thể kết hợp thiết bị với các công cụ khác như cài đặt trình duyệt an toàn và hệ thống lọc nội dung bổ sung Hai phần tiếp theo sẽ thảo luận cách lọc Java applet và kịch bản ActiveX trên các thiết bị của bạn, đồng thời nhấn mạnh nội dung Web.

Một trong những mối quan tâm hàng đầu của các doanh nghiệp khi kết nối Internet là lưu lượng tải về trên máy tính để bàn của nhân viên Các nghiên cứu cho thấy trung bình 30-40% lượng truy cập Internet của công ty không phục vụ cho mục đích kinh doanh Thông tin tải về có thể gây phiền hà cho đồng nghiệp và có thể chứa các nội dung nhạy cảm như khiêu dâm, hay nội dung chính trị hoặc tôn giáo Mặc dù nhiều nội dung như báo giá cổ phiếu hoặc các luồng âm thanh và video có thể vô hại, chúng vẫn tiêu tốn băng thông đắt tiền Các thiết bị lọc web có khả năng hạn chế và ngắt kết nối khi phát hiện nội dung không phù hợp; một giải pháp mở rộng là kết hợp các thiết bị này với các sản phẩm của bên thứ ba để cung cấp lọc web toàn diện Các phần dưới đây giới thiệu cách các thiết bị lọc web tương tác hoạt động, những sản phẩm lọc của bên thứ ba được hỗ trợ, và cách cấu hình thiết bị lọc web để tối ưu hóa hiệu suất và an toàn cho mạng công ty.

53 Để thực hiện lọc nội dung web, đôi khi còn được gọi là lọc web, có hai công việc chính là:

- Chính sách phải được xác định là xác định những gì được hoặc là không được phép của người sử dụng

- Các chính sách phải được thi hành

Hai phương pháp thực hiện các quá trình này thường được triển khai trong các mạng là ứng dụng proxy và thay đổi Proxy Ứng dụng proxy

Trong một ứng dụng proxy, cả hai thành phần định nghĩa và thực thi chính sách đều được thực hiện trên một máy chủ duy nhất Trình duyệt hoặc người dùng có thể được cấu hình để trỏ tới proxy, hoặc lưu lượng truy cập của họ có thể được chuyển hướng qua proxy nhằm quản lý và áp dụng các chính sách đã được định nghĩa.

Với một proxy ứng dụng, các bước sau đây xảy ra khi người dùng muốn tải về nội dung trang web:

1 Người sử dụng sẽ mở ra một trang web

2 Tất cả các kết nối được chuyển hướng đến các máy chủ proxy ứng dụng, mà có thể yêu cầu người dùng xác thực trước khi truy cập bên ngoài được cho phép

3 Proxy ứng dụng kiểm tra một (nhiều) kết nối và so sánh nó với danh sách của các chính sách cấu hình

4 Nếu kết nối là không được phép, người sử dụng thường được hiển thị một trang web về vi phạm chính sách

CÔNG NGHỆ VPN

HỆ THỐNG MAIL SE RVER

GIÁM SÁT HỆ THỐNG MẠNG

Ngày đăng: 29/12/2022, 16:32

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm