• Truy cập có điều khiển controlled access Chỉ những thực thể có đủ thẩm quyền mới có thể truy cập các dịch vụ hoặc thông tin 1.2 Tổng quan về AAA AAAĐiều khiển truy nhập – Access Cont
Trang 1BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP QUẢNG NINH
GIÁO TRÌNH
QUẢN TRỊ MẠNG NÂNG CAO
DÙNG CHO BẬC ĐẠI HỌC (LƯU HÀNH NỘI BỘ)
QUẢNG NINH - 2020
Trang 2MỤC LỤC
CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 4
1.1 Tổng quan về bảo mật mạng 4
1.1.1 Nguy cơ bảo mật trong mạng thông tin 4
1.1.2 Mục tiêu bảo mật 4
1.2 Tổng quan về AAA 5
1.2.1 Điều khiển truy nhập – Access Control 6
1.2.2 Xác thực 7
1.2.3 Kiểm tra quản lý – Auditing 17
1.3 Các thiết bị hạ tầng mạng 18
1.3.1 Tường lửa - Firewall 18
1.2.2 Bộ định tuyến – Router 19
1.2.3 Bộ chuyển mạch – Switch 19
1.2.4 Bộ cân bằng tải 19
1.2.5 Proxies 19
1.2.6 Cổng bảo vệ Web (Web Security Gateway) 20
1.2.7 Hệ thống phát hiện xâm nhập 20
CHƯƠNG 2: TƯỜNG LỬA - FIREWALL 21
2.1 Tổng quan về Firewall 21
2.1.1 Khái niệm về Firewall 21
2.1.2 Mục đích của Firewall 21
2.1.3 Phân loại FIREWALL 23
2.1.4 Mô hình kiến trúc của FIREWALL 27
2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables 33
Trang 32.2.2 TMG 2010 39
2.2.3 Iptables 42
2.3 Tường lửa cứng ASA 45
2.3.1 Giới thiệu về ASA 45
2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng 46
CHƯƠNG 3: CÔNG NGHỆ VPN 55
3.1 Tổng quan về VPN 55
3.1.1 Khái niệm 55
3.1.2 Lợi ích của VPN 56
3.1.3 Chức năng của VPN 56
3.1.4 Các thành phần cần thiết tạo nên kết nối VPN 57
3.1.5 Phân loại VPN 57
3.2 Một số giao thức mã hóa trong VPN 59
3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) 60
3.2.2 Giao thức đường hầm điểm điểm - PPTP 62
3.2.2.1 PPP và PPTP 63
3.2.2.2 Cấu trúc gói của PPTP 64
3.2.2.3 Đường hầm 67
3.2.3 Giao thức đường hầm lớp 2 – L2TP 68
3.2.4 Giao thức IP Sec 73
CHƯƠNG 4: HỆ THỐNG MAIL SERVER 84
4.1 Tổng quan về hệ thống Email 84
4.1.1 Khái niệm và các thành phần của Email 84
4.1.2 Một số giao thức trong Email 88
4.2 MS.Exchange Server 2010 92
4.2.1 Giới thiệu về MS.Exchange Server 2010 92
Trang 44.2.2 Một số đặc điểm của MS.Exchange 2010 92
4.3 MailServer Mdaemon 96
CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG 98
5.1 Tổng quan về giám sát mạng 98
5.1.1 Khái niệm 98
5.1.2 Các lĩnh vực cần phải giám sát trong hệ thống mạng 99
5.2 Giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng 101
5.2.1 Giao thức quản lý mạng đơn giản – SNMP 101
5.2.2 Một số phần mềm giám sát mạng thường gặp 106
Trang 5CHƯƠNG I: TÔ ̉NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ
TẦNG MẠNG
MỤC TIÊU
Học xong chương này sinh viên có thể:
o Trình bày được một số nguy cơ và mục tiêu trong bảo mật hệ thống công nghệ thông tin
o Hiểu và giải thích được một số phương thức chứng thực
o Trình bày và phân tích được ba yếu tố AAA trong bảo mật hệ thống
o Phân biệt được các thiết bị hạ tầng mạng thường gặp trong một hệ thống
mạng
o Rèn luyện tính tư duy logic
1.1 Tổng quan về bảo mật mạng
1.1.1 Nguy cơ bảo mật trong mạng thông tin
Nguy cơ bảo mật (Threat) - là một hoặc một chuỗi các sự kiện hoặc hành động nào đó có thể gây hại hoặc ảnh hưởng không tốt cho các mục tiêu bảo mật Thể hiện thực tế của nguy cơ bảo mật là một cuộc tấn công vào mạng
Lỗ hổng bảo mật (Vulnerability Security) – Là các “lỗi” của phần mềm hoặc hệ thống mà có thể bị kẻ tấn công lợi dụng, khai thác và ảnh hưởng tới an toàn thông tin của hệ thống
1.1.2 Mục tiêu bảo mật
Mục tiêu bảo mật hay còn gọi là đối tượng bảo mật Được định nghĩa tuỳ theo môi trường ứng dụng hoặc kỹ thuật thực hiện
1.1.2.1 Theo môi trường ứng dụng
• Các tổ chức tài chính
Chống nguy cơ làm sai lệch và thay đổi tình cờ trong các giao dịch tài chính
Xác nhận tính hợp pháp của các giao dịch của khách hàng
Bảo mật cho các số nhận dạng cá nhân (PIN)
Đảm bảo tính riêng tư cho khách hàng trong giao dịch
• Thương mại điện tử
Đảm bảo tính toàn vẹn trong giao dịch
Đảm bảo tính riêng tư cho doanh nghiệp
Cung cấp chữ ký điện tử (electronic signature) cho các giao dịch điện tử
Đảm bảo tính riêng tư, bí mật đối với các thông tin của khách hàng
• Chính phủ
Chống nguy cơ rò rỉ các thông tin nhạy cảm
Cung cấp chữ ký điện tử cho các tài liệu của chính phủ
• Các nhà cung cấp dịch vụ viễn thông công cộng
Trang 6Giới hạn quyền truy cập vào các chức năng quản trị chỉ dành cho những người có đủ thẩm quyền
Đảm bảo dịch vụ luôn sẵn sàng
Bảo vệ tính riêng tư cho các thuê bao
• Các mạng riêng và mạng doanh nghiệp
Bảo vệ tính riêng tư cho doanh nghiệp và cá nhân
Đảm bảo khả năng xác nhận bản tin
• Tất cả các mạng
Bảo vệ dữ liệu chống lại sự xâm nhập bất hợp pháp
1.1.2.2 Theo kỹ thuật thực hiện
• Tính bí mật (confidentiality)
Đảm bảo chỉ những người có thẩm quyền mới xem được dữ liệu khi truyền đi hoặc lưu giữ
• Tính toàn vẹn của dữ liệu (data integrity)
Phát hiện được bất cứ sự thay đổi nào trong dữ liệu trong khi truyền hoặc lưu giữ
Xác nhận được ai là người tạo ra hoặc thay đổi dữ liệu
• Tính kế toán (accountability)
Xác định trách nhiệm với bất kỳ sự kiện thông tin nào
• Tính sẵn sàng (availability)
Các dịch vụ phải luôn sẵn sàng đáp ứng nhu cầu sử dụng của người dùng
• Truy cập có điều khiển (controlled access)
Chỉ những thực thể có đủ thẩm quyền mới có thể truy cập các dịch vụ hoặc thông tin
1.2 Tổng quan về AAA
AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm tra quản lý– Auditing ) là một nhóm các quá trình được sử dụng để bảo vệ dữ liệu, thiết bị, tính bí mật của các thuộc tính và thông tin AAA cung cấp:
- Tính bí mật (Confidentiality): Một trong những mục tiêu quan trọng nhất của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu Điều này có nghĩa là dữ liệu hay thông tin của người nào thì chỉ người đó được biết và những người khác không được quyền can thiệp vào Trong thực tế, ở những khu vực riêng của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận sự miễn vào” cũng là một hình thức bảo vệ tính riêng tư Đối với dữ liệu truyền để bảo vệ tính riêng tư (Confidentiality) thì dữ liệu thường được mã hóa hay sử dụng các giao thức truyền thông an tòan như SSH, SSL…
Trang 7Hình 1.1: Mục tiêu của bảo mật hệ thống
- Tính toàn vẹn (Integrity): Mục tiêu thứ hai trong bảo mật thông tin là bảo vệ tính toàn vẹn cho dữ liệu Nhằm bảo đảm khi dữ liệu truyền đi không bị thay đổi bởi một tác nhân khác, ví dụ: khi một email quan trọng được gởi đi thì thường được áp dụng các thuật toán bảo vệ tính tòan vẹn như chữ ký số nhằm ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên
- Tính sẵn dùng (Availability) : Các nội dung hay dữ liệu phải luôn sẵn sàng để người dùng có thể truy cập và sử dụng nếu được phép Ví dụ đối với một trang Web phải luôn đảm bảo hoạt đông 24h/1ngày và 7ngày /1tuần để cho người dùng có thể truy cập bất cứ lúc nào
Để đạt được mục tiêu bảo mật AAA đối với dữ liệu và tài nguyên chúng ta cần phải thực hiện ba công việc chính sau đây:
1.2.1 Điều khiển truy nhập – Access Control
Quá trình điều khiển truy cập là rất quan trọng Điều khiển truy cập định nghĩa cách thức người dùng và hệ thống liên lạc như thế nào và theo cách nào Hay nói cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ thống, bao gồm dữ liệu, và do đó bảo vệ thông tin khỏi những truy cập trái phép Điều khiển truy cập bao gồm 3 loại sau:
Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) là một mô hình tĩnh sử dụng để thiết lập, xác định trước những quyền truy cập cho các tệp trên hệ thống Người quản trị hệ thống thiết lập quyền truy cập với những tham
số và kết hợp chúng với một tài khoản, các tệp hay các tài nguyên của hệ thống MAC sử dụng các nhãn để xác định mức độ quan trọng và áp dụng cho các đối tượng Khi một người dùng cố gắng truy cập vào một đối tượng, nhãn sẽ được kiểm tra để xác định truy cập được phép xảy ra hay bị từ chối Khi sử dụng phương thức điều khiển truy cập này, tất cả các đối tượng đều phải có một nhãn
để xác định quyền truy cập
Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động
Trang 8dựa trên định danh của người dùng, trong mô hình này người dùng được gán quyền truy cập với các đối tượng như file, folder thông qua danh sách truy cập (ACL), dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng (creator)
Điều khiển truy cập dựa trên vai trò: Role – Based Access Control (RBAC) :
RBAC họat động dựa trên công việc của người dùng Người dùng được cấp quyền tùy theo vai trò và công việc đây là mô hình rất thích hợp cho các môi trường làm việc mà nhân sự có nhiều thay đổi
1.2.2 Xác thực
Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định được ai đang truy cập vào hệ thống, và đó có là một người sử dụng hợp lệ hay không Yếu tố xác thực là phần thông tin dùng để xác thực hoặc xác minh nhân dạng (identity) của một người Hệ thống xác thực hay phương thức xác thực dựa trên năm yếu tố sau:
Những gì bạn biết Ví dụ mật khẩu, mã PIN (Personal Identification Number)
Những gì bạn có Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ thông minh, hay các thiết bị dùng để định danh
Những gì là chính bạn Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA
Những gì bạn làm Ví dụ: một hành động hay chuỗi hành động cần phải thực hiện để hoàn thành xác thực
Một nơi nào đó bạn ở Ví dụ như dựa vào vị trí đang ở của bạn (hiện nay nhiều hệ thống sử dụng tính toán di động, nên yếu tố xác thực này ít được sử dụng)
Trên thực tế, nếu chỉ dùng một yếu tố để xác thực, độ an toàn sẽ không cao bằng kết hợp nhiều yếu tố với nhau Cũng giống như căn nhà, cửa chính nên được khóa bằng nhiều ổ khóa Nếu lỡ may chúng ta đánh rơi một chiếc chìa khóa, hay kẻ trộm
có thể bẻ gãy một ổ khóa, thì vẫn còn đó những ổ khóa khác, đủ làm nản lòng hoặc chí ít là làm mất thời gian của kẻ trộm hơn khi phá cửa
1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol)
Phương pháp xác thực PAP dựa trên hai yếu tố chính: tên đăng nhập/mật khẩu(username/password) là cách thông dụng nhất để kiểm tra một người dùng có được quyền đăng nhập hoặc có quyền sử dụng tài nguyên hoặc hệ thống hay không Các ứng dụng thực tế của cơ chế này có rất nhiều như việc đăng nhập máy tính trên màn hình logon, đăng nhập hộp thư điện tử…
Trang 9Hình 1.2: Xác thực sử dụng PAP Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của
họ sẽ được chuyển đến một cơ sở dữ liệu để tìm và so sánh vơi các bản ghi (record) trên hệ thống, nếu có sự trùng lặp xảy ra thì đây là người dùng hợp lệ và được đăng nhập hệ thống Trong trường hợp ngược lạ sẽ bị hệ thống từ chối cho phép truy cập Những thuận lợi của phương pháp này là cơ chế họat động đơn giản, dễ ứng dụng Nhưng kém an toàn vì các thông tin như Username & Password được gởi đi dưới dạng văn bản thông thường (clear text) theo các giao thức không mã hóa như Telnet, FTP, HTTP, POP dễ dàng bị bắt lấy (bằng việc sử dụng các phần mềm sniffer như Cain, Ethercap, IMSniff, Password ACE Sniff ) và sẽ bị xem trộm
1.2.2.2 Kerberos
Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa (Cleartext) là thông tin nhạy cảm (username/password) dễ dàng bị đánh cắp bằng các phương pháp nghe lén (Sniffer), tấn công phát lại (Replay attack) hay người đàn ông ở giữa (Man in the middle), vì vậy một hệ thống xác thực mạnh mẽ và an toàn
đã được nghiên cứu bởi học viện MIT(Massachusetts Institute of Technology) trong
dự án Athena và ứng dụng thành công là Kerberos trên các hệ thống Windows 2000/2003/2008/2012, Linux, Unix Mặc dù đây là một hệ thống họat động độc lập không phụ thuộc vào nền của hệ thống nhưng cần có những sự tinh chỉnh riêng để
có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ chẳng hạn SAMBA Với đặc tính này, người dùng chỉ cần chứng thực một lần với Trung tâm phân phối khóa (KDC – Key Distribution Center ) và sau đó có thể sử dụng tất cả các dịch vụ khác đã được tin cậy (trust) theo những quyền hạn thích hợp
mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà mình sử dụng Ví dụ trong mô hình Windows Server 2008 Active Directory, sau khi tham gia và đăng nhập domain các domain user có thể sử dụng các dịch vụ chia sẻ trên
Trang 10mạng như File hay Print Server mà không cần phải cung cấp tên đăng nhập và mật
khẩu (username và password) khi kết nối đến các máy chủ này như khi họat động
trong môi trường WorkGroup Đây là một ưu điểm lớn của việc ứng dụng Kerberos
nói chúng hay mô hình mạng sử dụng Active Directory nói riêng
Các thành phần chính và cơ bản của một hệ thống kerberos:
Client: Người dùng (user), dịch vụ (service), máy (machine) KDC : Trung tâm phân phối khóa (Key Distribution Center) Máy chủ tài nguyên hoặc máy chủ lưu trữ
Hình 1.3: Các thành phần chính của hệ thống chứng thực Kerberos
Để hiểu rõ về cơ chế làm việc của kerberos, chúng ta hãy xét một phiên chứng thực khi một người dùng đăng nhập vào hệ thống để sử dụng các dịch vụ của hệ
thống đó Bao gồm các bước sau đây:
1 Subject (client –máy khách hay còn gọi là người dùng) cung cấp thông tin đăng nhập Ví dụ: username và password
2 Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC
3 KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket (TGT— là giá trị hash của password do người dùng (subject) cung cấp với giá trị
timestamp chỉ định thời gian sống (lifetime) của phiên truy cập Giá trị TGT này sẽ
được mã hóa và gửi về cho client)
Trang 114 Client nhận TGT Tại thời điểm này, người dùng (subject) xem như đã được chứng thực trong mô hình Kerberos
5 Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu Service Ticket (ST) sẽ được gởi đến KDC
6 KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ KDC sẽ cấp ST cho client, giá trị ST này cũng kèm theo một timestame quy định
thời gian sử dụng
7 Client nhận ST từ KDC
8 Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ printer server
9 Network server (ex Print server) sẽ xác nhận ST Nếu hợp lệ, một kênh truyền thông sẽ được khởi tạo với client Tại thời điểm này Kerberos sẽ không can thiệp
vào quá trình họat động của client và server nữa
Hình 1.4: Quá trình chứng thực bằng kerberos