Bài giảng An ninh mạng: Bài 6 - ThS. Phạm Đình Tài

Bài giảng An ninh mạng: Bài 6 Bảo vệ Server công cộng, cung cấp cho người học những kiến thức như: Nguy cơ bảo mật của các Publish Server; Bảo mật bằng phương pháp cô lập; Networks và Network Rules; Publish Server qua Firewall; Đánh giá mức độ bảo mật. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng An ninh mạng: Bài 6 - ThS. Phạm Đình Tài TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: AN NINH MẠNG Số tín chỉ: 3 Tổng số tiết: 60 tiết Giảng viên: ThS. Phạm Đình Tài (30 LT + 30 TH) Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn Môn học: AN NINH MẠNG Bài 1 Các kỹ thuật tấn công mạng. Bài 2 Các kỹ thuật mã hóa và xác thực Bài 3 Triển khai hệ thống Firewall Bài 4 Chứng thực trên Firewall Bài 5 Thiết lập các chính sách truy cập Bài 6 Bảo vệ Server công cộng Bài 7 Bảo mật truy cập từ xa -2- Bài 6: Bảo vệ Server công cộng Nguy cơ bảo mật của các Publish Server Bảo mật bằng phương pháp cô lập Networks và Network Rules Publish Server qua Firewall Đánh giá mức độ bảo mật Nguy cơ bảo mật của mô hình Bastion Host • Mô hình Bastion Host • Các máy Server phục vụ công cộng đặt chung mạng với các máy thuộc mạng nội bộ. • Khi Server bị tấn công xâm nhập => Attacker dễ dàng xâm nhập vào những máy khác trong cùng hệ thống mạng nội bộ. -4- Bảo mật bằng phương pháp cô lập mạng • Cô lập mạng (Network Isolation) • Là phương pháp tách rời các máy tính ra thành nhiều mạng riêng. • Các mạng riêng kết nối nhau qua Firewall. • Firewall sẽ filter / drop / forward… các gói tin di chuyển giữa các mạng. • Firewall trong hệ thống dùng Network Isolation • Firewall định danh từng mạng riêng bằng Network Object. • Network Rule là phương thức định tuyến giữa các Networks bằng 1 trong 2 dạng: ROUTE hoặc NAT • Các luật truy cập (access rules) sẽ được sử dụng cho việc sàng lọc các gói tin di chuyển giữa các mạng ngang qua Firewall. -5- Bảo mật bằng phương pháp cô lập • Cô lập mạng bằng mô hình Back-End Firewall: • Mô hình này khắc phục nhược điểm của Bastion host khi nó đặt các Server (cho phép truy cập từ bên ngoài vào) ra thành 1 mạng riêng, đặt giữa 2 Firewall.. • Các Client trong mạng nội bộ sẽ được bảo vệ bởi 2 lớp Firewall. • Chi phí cho mô hình này là tốn kém nhất ✔ Internal Network: khu vực mạng cần được Firewall bảo vệ. ✔ DMZ (hay Perimeter Network): khu vực mạng chứa các Server cho phép bên ngoài (External) truy cập. Khả năng bị tấn công của khu vực này rất cao. ✔ External Network: khu vực bên ngoài hệ thống Firewall (Internet) -6- Bảo mật bằng phương pháp cô lập • Cô lập mạng bằng mô hình Three-leg (Three-home): • Firewall có 3 interface kết nổi nhánh mạng: • DMZ interface: kết nối mạng của các Publishing Servers. • Internal interface: kết nối mạng của cá máy nội bộ. • Internet interface: kết nối mạng Internet. -7- Bảo mật bằng phương pháp cô lập • Một số nguyên tắc bảo mật: • Mạng Internal: • Ngăn chặn các inbound traffic trái phép từ mạng khác vào internal. • Kiểm soát và cho phép truy cập (outbound traffic ) các dịch vụ trên External và DMZ. • Mạng DMZ: • Kiểm soát và cho phép truy cập (outbound traffic ) các dịch vụ trên External. • Kiểm soát và cho phép cung cấp các dịch vụ đáp ứng các yêu cầu truy xuất gởi đến từ mạng External và Internal. -8- Networks và Network Rules • Networks: • Network là đối tượng mạng được định nghĩa trên Firewall. • Một Network được định nghĩa bằng 2 thông tin cơ bản: • Network Name: tên của Mạng. • IP addresses: dãy IP addresses của mạng đó. • Phân loại Network theo tính chất: • Internal Network - mạng nội bộ, cần được bảo vệ tối đa. • Perimeter Network - mạng của những máy Server cung cấp dịch vụ cho bên ngoài truy cập. Nguy cơ tấn công từ ngoài vào mạng này là cao. Mạng này còn có tên là DMZ (Demilitarized Zone). • VPN Clients - mạng riêng ảo của những cá nhân kết nối từ xa vào hệ thống mạng nội bộ. • External – những mạng còn lại (trừ những mạng đã định nghĩa). -9- Networks và Network Rules • Network Rule: • Network Rule là luật cho Firewall xác định việc chuyển tiếp các gói tin giữa các mạng bằng 1 trong 2 phương thức: ROUTE relation hoặc NAT relation . • ROUTE relation: • Firewall định tuyến 2 chiều cho các gói tin giữa Source Network và Destination Network • Firewall làm Gateway cho cả 2 mạng => 2 mạng giao tiếp trực tiếp nhau qua Firewall. • NAT (Network Address Translation) relation: • Firewall định tuyến 1 chiều: Source Network ???? Destination network • Firewall chỉ làm Gateway cho Source Network => Destination Network không giao tiếp được Source Network => Destination Network chỉ giao tiếp được tới Firewall - 10 - Networks và Network Rules • So sánh ROUTE và NAT: Route NAT • Destination phải trỏ Gateway về • Destination không cần trỏ Firewall. Gateway về Firewall. • Source và Destination giao tiếp 2 • Source giao tiếp 1 chiều về chiều (bidirectional). Destination. • Destination. host nhận biết Source • Destination. host không nhận biết Host. Source Host • Firewall dùng Routing Table để chọn • Firewall dùng Routing Table và đường đi. NAT Table để chuyển gói. - 11 - Publish Server qua Firewall • Dẫn nhập: • Tất cả các mạng bên ...