NETWORK SECURITY
Trang 3AN TOÀN THÔNG TIN Ở ĐÂU
Giáo dục
- Smart School
- Đào tạo từ xa Quân sự
- Điều khiển tên lửa
- Mã hoá Kinh tế
- Thương mại điện tử
- Thị trường chứng khoán Quản lý
- GIS (Geographic Information System) , ERP (Enterprise Resource Planning), SID
Trang 4Định hướng khóa học
Tại sao lại cần nghiên cứu về ATTT
- Tầm quan trọng của thông tin
- Sự lệ thuộc vào công nghệ
Bảo mật thông tin có từ bao giờ
Các mối đe dọa xung quanh chúng ta
4
Network Security Course
Trang 5Branch Office
Business Partner
Internet-Based Extranet (VPN )
PSTN
Internet-Based Intranet (VPN)
Branch Office
Open Network
Trang 7Định hướng khóa học
Đối tượng nghiên cứu của an ninh mạng
- An toàn xác thực, thiết lập phiên làm việc
- An toàn dữ liệu trên đường truyền
Trang 8AN TOÀN XÁC THỰC
Hello , It’s Me…
Really?
“On the Internet, no ones knows you’re a dog.” – cartoon
in the June 1993 issue of New Yorker magazine.
Network Security Course 8
Message
Interne t
?
Trang 9AN TOÀN DỮ LIỆU TRÊN
ĐƯỜNG TRUYỀN
Trudy
Making data un-readable by protocol
analyzers and other “man-in-the-middle” methods on the network.
Trang 10AN TOÀN KẾT NỐI
Sniffing unsecured wireless network
WEP ( wired Equivalent Privacy)
Trang 11Nội dung khóa học
Trang 12 Dennis Huges, FBI
Trang 13CƠ BẢN VỀ AN NINH MẠNG
Bài Tập 1
Hãng máy bay Boing đang lưu trữ thông tin
về sản phẩm sẽ tham gia hội chợ hàng không quốc tế 9/2009 Thông tin này được đánh giá 1 triệu $ Bạn hãy lựa chọn phương pháp bảo vệ cho Boing.
- Giải pháp mã hóa trị giá 800.000 với khả bảo mật 5 năm
- Giải pháp mã hóa trị giá 500.000 với khả năng bảo mật 2 năm
- Giải pháp mã hóa trị giá 100.000 với khả năng bảo mật 10 tháng
13
Trang 14Network Security Course
Như thế nào là hệ thống an toàn ?
Yếu tố nào là quan trọng nhất trong quy tắc CIA ?
Trang 16CƠ BẢN VỀ AN NINH MẠNG
Các thành phần của An Ninh Mạng
- Authentication (chứng thực/xác thực)
- Auditing (kiểm toán)
- Strong Encrytion (bảo mật mạnh)
- Security Policies (chính sách an ninh)
16
Network Security Course
Trang 19CƠ BẢN VỀ AN NINH MẠNG
Bài Tập 2
Công ty AFC có mạng máy domain w2k
-Mỗi người phải có PW riêng
- Admin sẽ kiểm tra độ dài của từng PW
- Mạng xảy ra sự cố và bạn được mời đến xem xét, bạn
điều tra và phát hiện kẻ phá hoại, sau đó bạn đánh giá lại toàn bộ hệ thống.
Câu hỏi:
1.Điều đầu tiên bạn làm là gì ?
2.Những khái niệm nào được sử dụng trong hòan
cảnh này
19
Trang 20MÔ HÌNH PHÁO ĐÀI
VLAN, IPS, IDS
Application Control, Antivirus Access Control, Encryption, backup
Trang 22OSI VÀ TCP/IP
Trang 23CÁC GIAO THỨC THÔNG DỤNG
APPLICATION HTTP, FPT, SMTP, SSL,
DNS
TRANSPORT UDP, TCP INTERNET IP, IPSEC
N ACCESS ARP
Trang 24Introduction 1-24
source
application transport Internet N.Acc
message M
Ht M
Hn
frame
Trang 25IPV4 ADDRESSING
202.155.43.2/24
11001010.10011011.00101011.00000010
Trang 29BÀI TẬP 3
Công ty ABC có 5 Branches Offices Theo yêu cầu mỗi Office phải VLAN riêng với địa chỉ Public IP Biết rằng ABC có sở hữu địa chỉ 163.134.0.0
1 Phải sử dụng thêm bao nhiêu bits cho subnet
mask để có đủ 5 VLAN?
2 Số lượng tối đa IP thật mà mỗi office có thể có?
Trang 31TCP HEADER
0 - 15 16 - 31
Sequence Number Acknowledgment number IHL Resrve
d
u r g
a c k
p s h
r s t
s y n
f i n
Windows size
Option
Trang 32TCP FLAG
SYN – Khởi tạo kết nối
ACK – phản hồi
FIN – Kết thúc phiên kết nối
RESET – khởi tạo lại
PUSH – chuyển dữ liệu không qua buffer
URG – Thể hiện quyền ưu tiên của dữ liệu
Sequence number : 32 bit sinh ra từng 4ms
Acknowledgment number: 32 bit
Trang 33ID PROTOCOL
TCP- 6
Trang 35KẾT THÚC KẾT NỐI
1 FIN=1, ACK=1, SN=x, ACKN=y
2 FIN=0, ACK=1, ACKN=x+1
3 FIN=1, ACK=1, SN=y, ACKN=x+1
4 FIN=0, ACK=1, ACKN=y+1
Trang 39IP HEADERS
0-7 8-15 16 - 31
Indenfitication Flags Fragment offset Time to Live Protocol Header checksum
Source Address Destination Address
Options Data
Trang 40IP HEADERS
IHL – Số word (32 bits) của Header thông thường IHL =5
Type Of Services – chất lượng dịch vụ
Length – chiều dài headers tính theo bytes
Identification – Số thứ tự Datagram (packets)
Flags – 3 bits, 0, DF=Don’t fragment, MF = More Fragment
Fragment Offset – Số thứ tự FM trong Datagram (bắt đầu từ 0)
TTL – Thời gian sống tạo bởi sender và giảm dần khi đi qua từng gateways
Option – dữ liệu bổ sung và được chèn thêm cho đủ
32 bits
Trang 42ICMP HEADERS
0 - 15 16 - 31
Contents
Trang 43Type Code description
0 0 echo reply (ping)
3 0 dest network unreachable
3 1 dest host unreachable
3 2 dest protocol unreachable
3 3 dest port unreachable
3 6 dest network unknown
3 7 dest host unknown
4 0 source quench (congestion control - not used)
8 0 echo request (ping)
9 0 route advertisement
10 0 router discovery
11 0 TTL expired
Trang 44BÀI TẬP 5 Type Code description
0 0 echo reply (ping)
3 0 dest network unreachable
3 1 dest host unreachable
3 2 dest protocol unreachable
3 3 dest port unreachable
3 6 dest network unknown
3 7 dest host unknown
4 0 source quench (congestion
control - not used)
8 0 echo request (ping)
Bạn phải set lệnh deny
ICMP với tham số nào?
Trang 45PACKET FRAGMENTATION
MTU – Maximum Transmission Unit
MDS – Maximum Datagram Size
MSS – Maximum Segment Size
Trang 46ARP – ADDRESS
RESOLUTION PROTOCOL
MAC – Media Access Control
MAC Address – 48 bits địa chỉ
Trang 47LAN Addresses and ARP
Each adapter on LAN has unique LAN address
Broadcast address = FF-FF-FF-FF-FF-FF
Trang 48LAN ADDRESS (MORE)
MAC address allocation administered by IEEE
manufacturer buys portion of MAC address space
(to assure uniqueness)
Analogy:
(a) MAC address: like Social Security Number
(b) IP address: like postal address
MAC flat address ➜ portability
can move LAN card from one LAN to another
IP hierarchical address NOT portable
depends on IP subnet to which node is attached
Trang 49 Each IP node (Host, Router) on LAN has
ARP table
ARP Table: IP/MAC address mappings for some LAN nodes
< IP address; MAC address; TTL>
◦ TTL (Time To Live): time after which address
mapping will be forgotten (typically 20 min)
Trang 50ARP PROTOCOL: SAME LAN
A wants to send datagram to
B, and B’s MAC address not
in A’s ARP table.
A broadcasts ARP query
packet, containing B's IP
address
Dest MAC address =
FF-FF-FF-FF-FF-FF
all machines on LAN
receive ARP query
B receives ARP packet, replies
to A with its (B's) MAC
ARP is play”:
“plug-and- nodes create their ARP tables without
intervention from net administrator
Trang 51walkthrough: send datagram from A to B via R
assume A know’s B IP address
Two ARP tables in router R, one for each IP network (LAN)
In routing table at source Host, find router
Trang 52 Bạn set deny ICMP
Trang 54 Là công cụ mềm nhằm kiểm sóat lưu lượng thông thương giữa các vùng mạng có độ tin cậy khác nhau
- khái niệm Trust Level
- Internet có Trust level = 0
Có thể là Hardware hay Software
- Checkpoint, ISA, PIX Cisco, Juniper
Làm việc trên cơ sở tập luật mà quản trị mạng cấu hình trước
Trang 55TRUSTED SIDE
Trang 56VAI TRÒ TƯỜNG LỬA
Làm được
- Kiểm sóat luồng dữ
liệu đi qua nó
Trang 57STATELESS PACKET FILTERING
Đưa ra quyết định cho phép hoặc cấm gói dữ liệu dựa trên phân tích Protocol Header
Những số liệu được xem xét chủ yếu:
Trang 5858
Trang 59STATEFUL PACKET FILTERING
Lưu lại dấu kết nối giữa các host, network
Lưu vết trạng thái kết nối vào file “state table”
Cho phép gói dữ liệu từ Internet đi qua chỉ khi nào có host nội bộ đã gửi yêu cầu trước đó.
Trang 61ÍN
Trang 62BÀI TẬP 7
- Website cung cấp thông tin trên Internet
có địa chỉ 203.162.4.115
- Mail Server phục vụ nhân viên của mình qua giao thức POP3 và SMTP với địa chỉ 203.162.4.116
- Các users phải dùng SSL trong quá trình xác thực
HÃY SETUP TẬP LUẬT CHO ABC
Trang 63APPLICATION CONTROL
Firewalls cho phép kiểm sóat các ứng dụng trong quá trình trao đổi dữ liệu.
Phân biệt ứng dụng
Không thông qua cổng dịch vụ (port)
Họat động trên nguyên tắc Proxy
Trang 69DESIGNING FIREWALL SYSTEMS
Firewalls có thể thiết kế theo các cách sau:
Trang 70Screening Router
70
Những gì Screening Router không làm đươc?
Trang 78THIẾT LẬP TẬP LUẬT CHO
Dựa vào nguyên lý của FW
Đơn giản, ngắn gọn, khả khi
Kiểm soát truy cập
Kiểm soát ứng dụng
78
Trang 79MỘT SỐ LUẬT CƠ BẢN CHO
Trang 80192.168.0.10
BÀI TẬP 8
Trang 8282
Trang 83HARDENING THE BASTION HOST
Chọn lọc những dịch vụ cần thiết
Đóng các port không cần thiết
Disable các users (accounts) và các dịch vụ không cần thiết
Tối thiểu cơ hội tấn công dành cho hackers
Disable routing or IP forwarding services
Để lại các dịch vụ cần thiết cho hoạt động mà hệ thống đang đảm nhiệm
System needs them to function correctly
Trang 84HARDENING THE BASTION HOST
Disabling users accounts
Disable all user default accounts from the bastion host
Users should not be able to connect to it
Đổi tên Administrator account
Passwords phải có ít nhất 6-8 alphanumeric
characters
Trang 86BACKUPS AND AUDITING
Essential steps in hardening a computer
Audit failed và successful attempts khi log on
và các attempts nhằm mở hoặc thay đổi files trong bastion host và honeypot
86
Trang 88INTRUSION DETECTION SYSTEM
COMPONENTS
Network intrusion
Hành vi (Attempt) xâm nhập (trái phép) vào tài
nguyên mạng
Intrusion Detection System (IDS)
Hệ thống bao gồm 1 hay nhiều ứng dụng , thiết bị phục vụ việc phát hiện xâm nhập
Intrusion Detection
Bao gồm “ngăn chặn, phát hiện, phản ứng”
(prevention, detection, response)
88
Trang 89INTRUSION DETECTION SYSTEM
Trang 90NETWORK SENSORS
Sensor (Cảm ứng)
Mắt điện tử (Electronic “eyes”)
Hardware hoặc software theo dõi các traffic trong mạng để chuẩn bị cảnh báo
Attacks được phát hiện bởi sensor
Single-session attacks
Multiple-session attacks
90
Trang 91NETWORK SENSORS
Cảm ứng được đặt tại các common-entry points
Internet gateways (cổng kết nối với bên ngoài)
Connections between LANs (mối kết nối giữa các LAN)
Remote access server that receives dial-up connections from remote users (server đăng nhập từ xa thông qua dial-up)
Virtual private network (VPN) devices (các thiết bị mạng riêng ảo)
Cần có phần quản trị và điều khiển các Sensors
Sensors cần được bảo vệ và đặt sau firewall, hay bên mặt trong devices.
Trang 93ALERT SYSTEMS
Trigger
Tình huống mà cảnh báo sẽ được gửi đi
Types of triggers (các kiểu trigger)
Detection of an anomaly (phát hiện sự không bình thường)
Detection of misuse (phát hiện sự sai phạm)
Trang 94ALERT SYSTEMS
Anomaly detection
Đòi hỏi sự thống kê, theo dõi, định nghĩa (Make profile)
authorized user, group of users
Services, resources normally accessed by users
Một số IDSs có thể tự thiết lập user profiles
Đòi hỏi tự học “training period”
Các hiện tượng khác
False negatives
False positives
94
Trang 97COMMAND CONSOLE
Phần giao diện front-end để điều khiển IDS cho phép administrators nhận và phân tích alert messages và quản trị log files
IDS có thể nhận và phân tích thông tin từ nhiều nguồn khác nhau thông qua mạng
Command console nên chạy trên máy tính riêng biệt để đảm bảo tốc độ và tính độc lập trong phản ứng
Trang 9898
Trang 99DATABASE OF ATTACK SIGNATURES OR BEHAVIORS
IDSs không thể tự đưa ra quyết định nếu không có
nguồn thông tin gốc để so sánh
Misuse detection
Database mẫu dựa trên dấu hiệu các tấn công đã nhận biết (References a database of known attack signatures)
Nếu một dấu hiệu được so trùng với lưu thông mạng thì cảnh báo được đưa ra
Phải bảo đảm database được cập nhật thường xuyên
Anomaly-based IDS
Lưu giữ thông tin chuẩn về users trong việc phân tích hành vi.
Trang 100100
Trang 101INTRUSION DETECTION STEP BY
STEP
Steps
Cài đặt - Installing the IDS database
Thu thập - Gathering data
Gửi cảnh báo - Sending alert messages
Phản ứng -The IDS responds
Định lượng ảnh hưởng
Tuân thủ các quy trình khắc phục nếu có
Ghi nhật ký và xem lại các sự kiện xảy ra -Logging and reviewing the event
Trang 103STEP 1: INSTALLING THE IDS
DATABASE – CÀI ĐẶT IDS
IDS uses the database to compare traffic
detected by sensors – IDS dùng database để so sánh với lưu thông mạng phát hiện bởi các
sensor
Anomaly-based systems
Yêu cầu thời gian huấn luyện
IDS quan sát lưu thông và biên dịch các hoạt động cơ sở của mạng
Misuse-based IDS
Có thể dùng ngay database
Có thể dùng với database tự xây dựng riêng
Trang 104STEP 2: GATHERING DATA – THU
Trang 105STEP 3: SENDING ALERT MESSAGES –
GỬI THÔNG ĐIỆP CẢNH BÁO
Sensors bắt các gói tin
IDS software so sánh các gói đã bắt với thông tin trong database của nó
IDS gửi thông điệp cảnh báo
Nếu gói đã bắt so trùng với dấu hiệu trong database
Cách hành xử mạng không được bình thường
Trang 106STEP 4: THE IDS RESPONDS –
PHẢN ỨNG CỦA IDS
Command console nhận các thông điệp cảnh báo
Thông báo cho người quản trị
IDS có thể được cấu hình để hành xử phù hợp khi có gói tin khả nghi được nhận
Gửi thông điệp cảnh báo
Bỏ gói tin
Dừng và khởi động lại lưu thông mạng
106
Trang 107STEP 5: THE ADMINISTRATOR
ASSESSES DAMAGE – NGƯỜI QUẢN TRỊ XÁC ĐỊNH THIỆT HẠI/NGUY CƠ
Quản trị phải kiểm soát các cảnh báo
Và xác định có/không dùng biện pháp cần thiết
Quản trị phải tinh chỉnh/cập nhật database
Mục tiêu là tránh các false negatives
Không dễ phân biệt được các mạng có thể chấp nhận và không chấp nhận
Trang 109STEP 6: FOLLOWING ESCALATION
Trang 110STEP 7: LOGGING AND REVIEWING THE EVENT – GHI NHẬT KÝ VÀ XEM LẠI CÁC
SỰ KIỆN ĐÃ XẢY RA
IDS events được lưu trong các log files
Hoặc trong databases
Administrator phải xem lại logs
110
Trang 112OPTIONS FOR IMPLEMENTING INTRUSION DETECTION
Trang 113NETWORK-BASED
INTRUSION DETECTION
SYSTEMS
NIDS được đặt và hoạt động trên thiết bị ngoại vi
và dùng cơ chế sniff để lắng nghe
Network-based IDS (NIDS)
Theo dõi network traffic
Những vị trí thông thường để đặt cảm ứng
NIDS sensors
Sau firewall và trước mạng LAN
Giữa các firewalls và các DMZ
Giữa các network segment
Phần quản trị và phân tích cần đặt trên PC
riêng biệt
Trang 115HOST-BASED INTRUSION
DETECTION SYSTEMS
Host-based IDS (HIDS)
Triển khai trên một host của mạng LAN
Thông thường sẽ được bảo vệ bởi các Firewall
Theo dõi và đánh giá các traffic đi qua host
Tập hợp cả những thông tin khác của hệ thống
Trang 116HOST-BASED INTRUSION
DETECTION SYSTEMS
Cấu hình HIDS
Cấu hình tập trung (Centralized configuration)
HIDS gửi dữ liệu về trung tâm
IDS ít ảnh hưởng đến Host’s level of performance is
unaffected by the IDS
Alert messages that are generated do not occur in real time
Distributed configuration
Processing of events is distributed between host and console
Host generates and analyzes it in real time
Performance reduction in host
116
Trang 119HOST-BASED INTRUSION DETECTION SYSTEMS
Choosing the host computer
Trang 120HOST-BASED INTRUSION
DETECTION SYSTEMS
Advantages and disadvantages of HIDSs
Advantages
Detect events on host systems
Can process encrypted traffic
Not affected by use of switched network protocols
Can compare records stored in audit logs
120
Trang 121HOST-BASED INTRUSION DETECTION SYSTEMS
Disadvantages
More management issues
Vulnerable to direct attacks and attacks against host
Susceptible to some denial-of-service attacks
Can use large amounts of disk space
Could cause increased performance overhead on host
