Bài giảng bảo mật cho hệ thống (chương 4)

Chương 4: Bảo mật cho hệ thống – Cáp quang Fiber Optic – Công nghệ không dây... Khái niệm mô hình bảo mật HR Servers Web Server User Users Finance Servers Firewall Mail Server Hệ

Security Awareness

Bảo mật cho hệ thống

Chương 4: Bảo mật cho hệ thống

Chương 4: Bảo mật cho hệ thống

– Cáp quang (Fiber Optic)

– Công nghệ không dây

Topology Management

Khái niệm về mạng cục bộ (LAN)

trong phạm vi một khu vực hạn chế được nối với nhau bằng các dây cáp chất lượng tốt

các chương trình

Khái niệm mạng diện rộng (WAN)

rộng lớn

 Mạng truyền dữ liệu của các ngân hàng

 Mạng truyền dữ liệu của bưu điện

 Mạng internet…

Khái niệm mô hình bảo mật

HR Servers

Web Server

User

Users

Finance Servers

Firewall

Mail Server

Hệ thống mạng kết nối

trực tiếp với internet

Nguy cơ tấn công cao

Có thể làm ngưng sự hoạt

động của hệ thống

HR Servers

Khái niệm mô hình bảo mật

LAN Switch

SPAN

Firewall

Web Server

User

Users

Finance Servers

Firewall

Mail Server

Protected network Internet

IDP Victim

Mail Server Attacker

Hệ thống mạng có các

thiết bị bảo vệ, chống

xâm nhập từ bên ngoài

Bảo vệ Hệ Điều Hành

 Ví dụ: Microsoft windows có

 Hacker có thể sử dụng các lỗ hỏng này để tấn công

 Chiếm quyền điều khiển hệ thống

 Làm bàn đạp tấn công hệ thống khác

Bảo vệ Web server

 Vi dụ: Web server IIS của Microsoft có lỗi Unicode

 Hacker có thể khai thác lỗi hỏng này

 Chiếm quyền điều khiển hệ thống

 Thay đổi cơ sở dữ liệu

Bảo mật dựa trên thiết bị

cho phép hacker khai thác

có thể đưa ra những cấu hình phù hợp

Khái niệm về tường lửa- Firewall

để bảo vệ hệ thống mạng bên trong chống lại

kẻ xâm nhập bên ngoài

sử dụng một dịch vụ mạng nào đó

 Ví dụ: Trong một công ty có kết nối internet Firewall có thể cho phép user truy cập các website nhưng không cho sử dụng dịch vụ chat của yahoo

messenger, không cho dùng dịch vụ Telnet,…

Khái niệm về tường lửa- Firewall

 Lọc gói dữ liệu ( Packet filtering) Kỹ thuật này dựa chủ yếu vào địa chỉ IP của các máy tính Cho phép/

từ chối máy tính có địa chỉ IP này giao tiếp với máy tính có địa chỉ IP khác

 Lọc các ứng dụng (Application filtering) Kỹ thuật này cho phép định nghĩ các ứng dụng được cho phép truy xuất từ trong ra ngoài và ngược lại

– Ví dụ: Firewall chỉ cho phép ứng dụng Website, FTP và không cho phép ứng dụng Telnet

Khái niệm về tường lửa-Firewall

 Tường lửa kiểm soát trạng thái- Stateful Inspection

Firewall(SIF) Kỹ thuật SIF thu thập nhiều thông tin khác nhau trong đoạn mã mào đầu(header) của các gói lưu lượng, như địa chỉ IP nguồn và đích, số hiệu cổng nguồn và cổng đích ,… Và “duy trì” trạng thái của mỗi phiên TCP hoặc UDP đi qua tường lửa

 Khi có một gói đi tới, tường lửa SIF sẽ so sánh thông tin chứa trong header của gói đó với trạng thái của phiên làm việc tương ứng lưu trong bảng phân tích

 Nếu thông tin khớp nhau, gói lưu lượng đó được đi

qua

Ngược lại, gói lưu lượng sẽ bị loại bỏ

Khái niệm về Firewall (tt)

Filtering)

 Tường lửa SIF có mức độ an toàn cao hơn công nghệ lọc gói vì nó chỉ mở ra những “lỗ” nhỏ hơn để lưu lượng đi qua

– Ví dụ: thay vì cho tất cả các máy tính gửi bất kỳ dữ liệu nào trên cổng 80(cổng duyệt web) mà không có kiểm duyệt,

tường lửa SIF sẽ phải đảm bảo rằng gói dữ liệu được truyền tải thuộc về một phiên làm việc đã xác định trước

Khái niệm bộ định tuyến (Router)

các gói dữ liệu, chọn đường dẫn tốt nhất cho chúng xuyên qua mạng, sau đó dẫn chúng đến các đích thích hợp

 Ví dụ: Router định tuyến để dữ liệu đi từ Việt Nam đến đến các nước khác như Mỹ, Úc, Singapore,…

Khái niệm bộ định tuyến (router)

Có rất nhiều loại router của nhiều hãng khác

nhau : Cisco, Juniper, Nortel,…

Khái niệm về Hub/Switch

các máy tính lại với nhau

nhiễu

So sánh Hub và Switch

chống lại có kỹ thuật tấn công nghe lén

Bộ phát sóng wireless - Access point

Tương tư như Hub/Switch trong mạng có dây

Chuyển tiếp sóng trong mạng không dây

Bảo mật dựa trên phương tiện

truyền dẫn

quan trọng cấu thành hệ thống network

này sang nơi khác

địa hình phức tạp

truyền cao

truyền làm thông tin bị sai lệch Hoặc hacker tiến hành nghe lén trên đường truyền,…

Giải pháp tăng cường độ an toàn trên đường truyền

nhiễu tốt hơn cáp UTP

Cáp quang (Fiber Optic)

liệu dạng số ở hình thái xung ánh sáng điều biến

cáp sợi quang nên không thể lắp thiết bị nghe trộm vào cáp sợi

quang để đánh cắp dữ liệu

lượng lớn dữ liệu với vận tốc cao

do tín hiệu không bị suy yếu trong

Công nghệ không dây (Wireless)

Corporate Firewall Internet

Hệ thống bên trong trong bảo mật

Hệ thống bên ngoài không có

Công nghệ không dây (Wireless)

Giải pháp bảo mật

Kẻ tấn công có thể vượt qua tường lửa băng cách truy xuất vào các access-point Sau đó vào hệ thống mạng chính

Tấn công hệ thống Wireless

?

Rogue AP

Honeypot

Công nghệ không dây(wireless)

quá trình truyền của hệ thống wireless

64bit, 128bit,256bit

Kiểu tấn công War driving trong wireless

sóng chuyên dùng

được phát ra từ các access-point

tiến hành nghe lén và tấn công mạng

Hệ Thống Xác Định Xâm Nhập-

Intrusion Detection System (IDS)

xâm nhập bất hợp pháp vào hệ thống

và xây dựng một database các “hành động”

của user Khi có các “hành động” khác thường

mà không được định nghĩa trong database, thiết bị IDS sẽ hủy ngay các “hành động” đó

một tập luật các “hành động” cho phép cố định

Tóm tắt chương

 Quản lý các mô hình mạng

 Các thiết bị sử dụng thường xuyên trong mạng

 Các phương tiện truyền dẫn

Hỏi - Đáp

Q&A