Bài giảng Thiết kế hạ tầng máy tính - Chương 8: Thiết kế an ninh

Trong lĩnh vực Công Nghệ Thông Tin nói riêng, yêu cầu quan trọng nhất của người học đó chính là thực hành. Có thực hành thì người học mới có thể tự mình lĩnh hội và hiểu biết sâu sắc với lý thuyết. Với ngành mạng máy tính, nhu cầu thực hành được đặt lên hàng đầu. Tuy nhiên, trong điều kiện còn thiếu thốn về trang bị như hiện nay, người học đặc biệt là sinh viên ít có điều kiện thực hành. Đặc biệt là với các thiết bị đắt tiền như Router, Switch chuyên dụng

Chương 8 THIẾT KẾ AN NINH

TS Nguyễn Hồng Sơn

GIỚI THIỆU

Đảm bảo an ninh mạng là quá trình liên tục

Chu kỳ: thi công, giám sát, kiểm thử và cải tiến

Cập nhật liên tục các cơ chế an ninh để chống lại các kiểu tấn công mới nhất

Chia quá trình thiết kế an ninh thành các bước

THIẾT KẾ AN NINH MẠNG

Xác định tài nguyên cần bảo vệ

Phân tích các nguy cơ

Phân tích các yêu cầu an ninh và cân nhắc lợi hại

Xây dựng kế hoạch an ninh

Xây dựng chính sách an ninh

Xây dựng thủ tục và qui trình an ninh

Xác định tài nguyên cần bảo vệ và các nguy cơ

Tài nguyên mạng gồm: host, thiết bị nối mạng, data truyền trên mạng, sở hữu trí tuệ, bí mật thương mại và thương hiệu

Nguy cơ từ các hành vi xâm nhập cố ý cho đến

vô tình download các chương trình có chứa virus

Phân tích cân đối các lợi ích

Chi phí bảo vệ phải nhỏ hơn chi phí sửa chữa

Security ~ performance, affordability, usability, availability

Security thêm việc vào quản lý

Lọc gói và mật mã sẽ tiêu thụ công suất xử lý

và chiếm dụng bộ nhớ

Ảnh hưởng tính dự phòng

Khó cân bằng tải

Xây dựng security plan

Kế hoạch chỉ rõ thời gian, con người, các tài nguyên cần để phát triển chính sách an ninh và triển khai chính sách này

Security plan phải tham chiếu network topology và bao gồm một danh sách các dịch vụ mạng sẽ cung cấp (web, email, ftp ) Danh sách chỉ rõ ai cung cấp dịch

vụ, ai truy xuất dịch vụ, cách thức cung cấp và ai quản trị dịch vụ

Dịch vụ được bảo vệ bởi packet filter, firewall, quá trình xác thực user,

Xây dựng security policy

Security policy đưa ra qui định bảo vệ các tài nguyên mạng

Chính sách cũng chỉ ra cơ chế thực thi các qui định

Thủ tục cam kết

Khi tổ chức thay đổi, những nguy cơ mới xuất hiện, security policy phải được hiệu chỉnh và cập nhật

Cá c thành phần của một security policy (1/2)

Access policy: quyền truy xuất và đặc quyền

– Hướng dẫn kết nối với mạng ngoài

– Kết nối thiết bị vào mạng

– Cài đặt phần mềm mới vào hệ thống

– Phân loại số liệu (nội bộ, tối mật )

Accountability policy: định nghĩa các nghĩa vụ của account

– Ghi rõ khả năng kiểm định

– Hướng dẫn kiểm soát tai họa, chỉ rõ nếu điều gì xảy

ra thì phải báo với ai

Cá c thành phần của một security policy (2/2)

Authentication policy: thiết lập xác thực qua

chính sách mật khẩu hiệu quả

Privacy policy: các yêu cầu riêng tư

Hướng dẫn về đầu tư, cấu hình và kiểm định các hệ thống máy tính và mạng để tương thích với chính sách

Thủ tụ c an ninh

Thực hiện các security policy

Một thủ tục an ninh định nghĩa các quá trình:

Bả o vệ vật lý

Ngăn chặn thâm nhập vào các tài nguyên

mạng trọng yếu > bảo vệ phòng hệ thống

Đặt ở những nơi an toàn, phòng ngừa thiên tai

Các biện pháp cấp nguồn điện dự phòng, báo cháy, chống ẩm, giải nhiệt

Phương án cho các tình huống đột xuất

Xác thực dùng 2 yếu tố (two-factor

authentication)

Cấp quyền

Những gì có thể làm sau khi đã được xác thực

Security administrator điều khiển các phần của mạng

Nên dùng khái niệm principle of least privilege

Cấp quyền thay đổi tùy theo user, tùy theo tính chất công việc

Kiểm định

Để phân tích tình hình an ninh mạng và đối

phó với các tai họa, cần thu thập số liệu hoạt động mạng

Ghi lại các lần được xác thực và cấp quyền

của bất kỳ ai, thay đổi quyền

Đánh giá an ninh, đánh giá định kỳ các thương tổn của mạng ( >security plan, security policy)

Mật mã số liệu

Các thiết bị như router, server hay thiết bị

chuyên dụng có thể tác nghiệp như một thiết bị mật và giải mật

Lọ c gói

Được thiết lập trên router, firewall, server để chấp nhận hay từ chối các gói từ một địa chỉ hay dịch vụ nào đó

Tăng cường thêm vào cơ chế xác thực và cấp quyền

Thực hiện lọc theo một trong hai cách:

– Từ chối các loại gói nào đó và chấp nhận tất cả

– Chấp nhận các loại gói nào đó và từ chối tất cả

Firewall

Là nơi thi hành phần lớn các security policy tại biên giới mạng

Chứa tập luật chi phối lên traffic

Static packet-filter firewall

Statefull firewall

Proxy firewall

Firewall (DMZ) topology

nhiều ACL hơn, chạy phần mềm firewall trên các host trong DMZ

và cấu hình dịch vụ giới hạn.

Phá t hiện xâm nhập

IDS phát hiện các sự kiện xâm nhập và thông báo cho admin

Có hai loại IDS: host IDS và network IDS

Network IDS giám sát tất cả traffic mạng,

thường được đặt trên một subnet kết nối trực tiếp đến firewall

Một vấn đề của các IDS là mức độ phát ra các cảnh báo sai

MODULE HÓA THIẾT KẾ AN NINH

An ninh theo chiều sâu

Không có cơ chế an ninh nào là vạn năng, nên thiết kế nhiều tầng nhiều lớp bảo vệ.

Thiết kế an ninh theo module, Cisco System dùng

An ninh cho kết nối Internet (1/2)

Mạng nên có các ngõ vào/ra rõ ràng

Bảo vệ các kết nối Internet bằng các cơ chế an ninh như bảo vệ vật lý, firewall, packet filter, audit log, xác thực, cấp quyền.

Trên các router nối ra Internet phải có packet filter để chống lại DoS và các dạng tấn công khác.

Nên đặt packet filter dự phòng trên thiết bị firewall

Thiết lập các hệ thống IDS trên mạng và trên host

An ninh cho kết nối Internet (2/2)

Để chống lại các hoạt động do thám mạng các router

và thiết bị firewall ở hàng đầu nên khóa tất cả các kết nối đến, ngoại trừ các kết nối cần thiết đến các pubic server, cũng khóa các gói thường được dùng để do thám như ping.

Khi chọn giao thức định tuyến cho kết nối Internet hay Internet router cần dùng các giao thức có hỗ trợ xác thực như RIPv2, OSPF, EIGRP, BGP4 Nếu cần dùng định tuyến tĩnh.

Dùng NAT để ẩn dấu các địa chỉ bên trong

An ninh cho public server (1/)

Các public server được đặt trên DMZ và được bảo vệ qua firewall

Để chống DoS nên dùng OS tin cậy và các ứng dụng đã

vá hầu hết các lỗ hổng an ninh.

Trên server nên chạy các phần mềm kiểm tra các nội

dung được mang trong các giao thức

Nếu có điều kiện nên tách ftp server khỏi web server, cũng không nên cho phép kết nối Internet kết nối vào TFTP server

An ninh cho public server (2/2)

Đối với email server nên thường xuyên theo dõi cập nhật các lỗi an ninh

Phải điều khiển và giám sát DNS server cẩn thận Bảo

vệ bằng packet filter đặt trên router

Hiện nay chữ ký số và các đặc tính an ninh khác đã được bổ sung vào giao thức tên miền, cần chọn phần mềm DNS có tích hợp các đặc tính an ninh

Tham khảo RFC 2535 (Domain Name System Security Extensions )

An ninh cho e-commerce server

Tổn thất trên e-commerce server sẽ nghiệm trọng

Bảo vệ chống lại DoS bằng filtering rules, ngăn chặn các kết nối liên tiếp trong thời gian ngắn

Chấp nhận các phiên bảo mật từ client đến front-end web server, xử lý các request và truy vấn database server

Nên tách biệt các servers trên DMZ, ví dụ có firewall giữa database server và front-end web server

Nên tách biệt các server trên cùng segment bằng

An ninh cho remote-access

Các cơ chế có thể dùng bảo vệ các dialup access: firewall, vật lý, xác thực, cấp quyền, kiểm định và mật mã

Các remote user dùng PPP nên có xác thực bằng CHAP (Challenge Handshake

Authentication Protocol)

Có thể xác thực bằng RADIUS (Remote

Authentication Dial-In User/Server Protocol)

An ninh cho VPN

Cần ngăn ngừa các lợi dụng client hay remote site để tấn công vào enterprise network qua VPN Bản thân các hệ điều hành trên client phải có firewall và phần mềm chống virus

VPN thường dùng IPsec để bảo mật kênh qua mạng công cộng

RFC 2401, RFC 2402, RFC 2406 và RFC 2408

Giao thức trao đổi khóa IKE dùng: DES, Hellman, message digest 5 (MD5), Secure Hash Algorithm (SHA), RSA

An ninh cho các dịch vụ mạng

Bảo vệ các thiết bị nối mạng như router và

switch, tránh dùng các giao thức không an toàn như Telnet để truy xuất thiết bị qua mạng, nên chọn SSH (Security Shell)

Cẩn thận khi chọn truy xuất vào console port

từ modem

Để quản lý số lượng router và switch lớn có

thể dùng TACACS (Terminal Access Controller Access Control System )

An ninh cho quản lý mạng

Hạn chế dùng SNMP trên enterprise network,

An ninh cho server farm

Chứa hầu hết các ứng dụng bên trong campus

Performance là tiêu chí quan trọng, hạn chế các cơ chế

an ninh

IDS phải được triển khai

Chống tấn công dùng một server làm bàn đạp, cấu hình các bộ lọc nhằm hạn chế các kết nối từ server (ví dụ

An ninh cho các user service

Chính sách an ninh nên chỉ rõ các ứng dụng nào được phép chạy trên PC nối mạng và hạn chế download các ứng dụng từ Internet

Các PC phải có firewall và phần mềm chống virus,

cũng nên có qui trình cài đặt và cập nhật các phần mềm này trên các PC

Người dùng phải kết thúc phiên kết nối với server khi rời khỏi PC

Dùng thiết bị hỗ trợ xác thực theo IEEE 802.1X trên

port để ngăn chặn user cài thiết bị lạ

An ninh cho wireless network (1/2)

An ninh trên wireless network hiện lỏng lẻo

Nên đặt wireless LAN trên một subnet hay VLAN riêng

Tạo các ACL trên access point, switch và router chuyển tiếp tải bắt nguồn từ wireless network ACL chỉ cho phép các giao thức nhất định được ghi trong chính sách an ninh

Các máy tính phía user phải có firewall và phần mềm chống virus riêng, thường xuyên cập nhật các mảnh vá OS

An ninh cho wireless network (2/2)

Xác thực Open và shared key (dùng WEP (wireless

WPA (Wi-Fi Protected Access)

RSN (Robust Security Network )

Dùng VPN software trên wireless client

HẾT CHƯƠNG 8