Tải bản đầy đủ

Tài liệu đầy đủ về IPSec

Bài 1 : DIRECT ACCESS

DirectAccess vượt qua VPNs bằng cách thiết lập hai đường kết nối trực tiếp từ client
computer đến mạng công ty. DirectAccess được xây dựng dựa trên nền tảng của công
nghệ : Internet Protocol Security ( IPsec ) và Internet Protocol version 6 ( IPv6 ).
Client thiết lập một kênh IPsec cho lưu lượng IPv6 đến DirectAccess server- hoạt động
như một gateway đến mạng nội bộ. Hình dưới đây cho thấy DirectAccess client kết nói
đến DirectAccess server thông qua địa chỉ public IPv4 internet. Client có thể kết nối ngay
cả khi họ ở đằng sau firewall.
I.1 DirectAccess client truy cập đến mạng nội bộ bằng cách tự thiết lập hai đường

hầm sử dụng IPv6 và IPsec:
• Infrastructure tunnel (đường hầm cơ sở hạ tầng): sử dụng cả xác thực máy
tính và thông tin tài khoản máy tính.
Đường hầm này cung cấp truy cập đến DNS và domain controller, cho phép các
client computer download các GPO và yêu cầu chứng thực trên danh nghĩa ngươi
dung.


Intranet tunnel (đường hầm mạng nội bộ):sử dụng cả xác thực máy tính và
thông tin tài khoản người dùng.

Đường hầm này sẽ chứng thực users và cung cấp kết nối đến các tài nguyên
của mạng nội bộ.

Sau khi các đường hầm đến DirectAccess server được thiết lập, các clients có thể
gửi lưu lượng đến mạng nội bộ thông qua các đường hầm này. Admin có thể cấu
hình DirectAccess server cho phép các users từ xa sử dụng những chương trình
nào khi họ truy cập vào mạng nội bộ.


I.2 DirectAccess clients có thể kết nối đến mạng nội bộ bằng cách sử dụng hai loại

bảo vệ IPsec là : end-to-end và end-to-edge.


End-to-end:

Với End-to-end, DirectAccess client thiết lập một IPsec session thông qua
DirectAccess server đến các server khác trong mạng nội bộ, nơi mà họ được phép
truy cập. phương pháp này cung cấp khả năng bảo mật cao nhất bởi vì bạn có thể
cấu hình điều khiển truy cập trên DirectAccess server. Tuy nhiên, mô hình này đòi
hỏi các apps server phải chạy hệ điều hành Window server 2k8 hay Window
server 2k8 R2 và phải sử dụng cả IPv6 và IPsec.

Hình 1: Kết nối end-to-end trong IPsec



End-to-edge:

Với end-to-edge, DirectAccess client thiết lập một IPsec session đến IPsec
gateway- ở đây nó chính là DirectAccess server- sau đó gói tin sẽ được chuyển
tiếp đến các server khác trong mạng nội bộ, nhưng gói tín bên trong sẽ không
được bảo vệ. mô hình này thì không đòi hỏi gì ở các server bên trong mạng nội bộ.


Hình 2: Kết nối end-to-edge trong IPsec

Để nâng cao tính bảo mật của hệ thống mạng, cần triển khai IPv6 và IPsec trong
công ty, nâng cấp các apps server chạy hệ điều hành window 2k8 hay window 2k8
R2 để sử dụng cơ chế end-to-end. Cơ chế này cho phép chứng thực và mã hóa

thong tin từ DirectAccess client đến mạng nội bộ.
II.

Quá trình thực hiện kết nối

Hình 3: Sơ đồ quá trình thực hiện kết nối trong mạng DirectAccess
DirectAccess client phải tuân theo các bước sau để kết nối đến mạng nội bộ:


• DirectAccess client sử dụng hệ điều hành Windows 7 Enterprise or Windows 7

Ultimate
• DirectAccess client luôn xác định vị tri địa lý của nó.
o Nếu đang trong mạng nội bộ thì DirectAccess không được sử dụng.
o Nếu ngoài mạng nội bộ thì sẽ thực hiện kết nối DirectAccess .


Các máy DirectAccess client trên internet kết nối đến DirectAccess server với
IPv6 và IPsec. Nếu môi trường mạng nơi đó chưa triển khai IPv6 thì các
DirectAccess client sẽ sử dụng công nghệ 6to4 hay teredo để gửi IPv4encapsulated IPv6 traffic .



Nếu firewall hay proxy server ngăn chặn các client computer sử dụng 6to4 hay
Teredo, các client tự động kết nối bằng gia thức IP-HTTPS. . IP-HTTPS uses
an IPv4-based Secure Sockets Layer (SSL) connection to encapsulate IPv6
traffic.



Là một phần của thiết lập các phiên IPsec cho đường hầm cơ sở hạ tầng để
tiếp cận với DNS server và DC , DirectAccess client và server xác thực nhau
bằng cách sử dụng computer certificates and computer account credentials.



Khi user log on vào hệ thống, DirectAccess client thiết intranet tunnel để truy
cập đến tài nguyên mạng nội bộ. DirectAccess client và server chứng thực lẫn
nhau bằng cách sử dụng một chứng chỉ máy tính và thông tin tài khoản ngươi
dung.



Cuối cùng, thì DirectAccess client có thể truy cập và sử dụng các tài nguyên
trong mạng nội bộ.

Chứng thực trong DirectAccess

III.


DirectAccess xác nhận máy tính trước khi người dùng đăng nhập vào.




Thông thường, máy tính xác thực chỉ cho phép truy cập Domain Controllers và
DNS servers. Sau khi người dùng đăng nhập , DirectAccess xác thực người sử



dụng, và người dùng có thể kết nối với bất kỳ tài nguyên mà họ có thể truy cập.
DirectAccess hỗ trợ xác thực người dùng tiêu chuẩn bằng cách sử dụng một tên
người dùng và mật khẩu.

 Có thể sử dụng một thẻ thông minh ngoài để đánh máy hoặc các thông tin của

người sử dụng.
 3 yêu cầu chứng thực smart card có thể config:
User authentication : yêu cầu cho người sử dụng quy định, bất kể máy
tính mà họ sử dụng.
Computer authentication : yêu cầu cho các máy tính quy định, bất kể
người dùng đăng nhập vào.
Gateway authentication : Các cổng IPsec yêu cầu xác thực thẻ thông minh
trước khi cho phép kết nối.
Lựa chọn tùy chọn này mà không có các tùy chọn trước cho phép người dùng truy cập tài
nguyên Internet mà không cần thẻ thông minh của họ, nhưng đòi hỏi một thẻ thông minh
trước khi người dùng máy tính có thể kết nối đến các tài nguyên nội bộ. Điều này có thể
được kết hợp với một trong các phương pháp thẩm định thực thi trước. Khi xác thực hai
yếu tố là cần thiết để xác thực end-to-end, bạn phải sử dụng Active Directory Domain
Services (AD DS) trong Windows Server 2008 R2


Bài 2 : IPv6
IPv6 sử dụng 128 bit địa chỉ, tăng gấp 4 lần số bit so với IPv4 (32bit). Nghĩa là trong
khi IPv4 chỉ có 232 ~ 4,3 tỷ địa chỉ, thì IPv6 có tới 2128~ 3,4 * 1038 địa chỉ IP. Gấp 296
lần so với địa chỉ IPv4. Với số địa chỉ của IPv6 nếu rãi đều trên bề mặt trái đất (diện tích
bề mặt trái đất là 511263 tỷ mét vuông) thì mỗi mét vuông có khoảng 665.570 tỷ tỷ địa
chỉ. Địa chỉ IPv6 được biểu diễn bởi ký tự Hexa với tổng cộng 8 Octet. Mỗi Octet chứa 4
ký tự Hexa tương ứng với 16 bit nhị phân. Dấu hai chấm ngăn cách giữa các octet.


So sánh Header của IPv4 và IP6
Header của IPv6 có 40 octet (hay độ lớn 40 byte) trái ngược với 20 octet trong
IPv4. Tuy nhiên IPv6 có một số lượng các trường ít hơn, nên giảm được thời gian
xử lý Header, tăng độ linh hoạt. Trường địa chỉ lớn hơn 4 lần so với IPv4. Không
có Header checksum, trường checksum của IPv4 được bỏ đi.
Các trường có trong IPv6 Header :
+ Version : Trường chứa 4 bit 0110 ứng với số 6 chỉ phiên bản của IP.
+ Traffic Class : Trường 8 bit tương ứng với Trường Type of Service (ToS) trong
IPv4. Trường này được sử dụng để biểu diễn mức ưu tiên của gói tin, ví dụ có nên được
truyền với tốc độ nhanh hay thông thường, cho phép thiết bị có thể xử lý gói một cách
tương ứng.
+ Flow Label : Trường hoàn toàn mới trong IPv6, có 20 bit chiều dài. Trƣờng
này biểu diễn luồng cho gói tin và đƣợc sử dụng trong các kỹ thuật chuyển mạch
đa lớp (multilayer switching), nhờ đó các gói tin đƣợc chuyển mạch nhanh hơn
trước.
+ Payload Length : Trường 16 bit. Tƣơng tự trƣờng Toal Length trong IPv4, xác
định tổng kích thƣớc của gói tin IPv6 (không chứa header).


+ Next Header : Trường 8 bit. Trƣờng này sẽ xác định xem extension header có tồn
tại hay không, nếu không đƣợc sử dụng, header cơ bản chứa mọi thông tin tầng IP. Nó sẽ
đƣợc theo sau bởi header của tầng cao hơn, tức là header của TCP hay UDP, và trường
Next Header chỉ ra loại header nào sẽ theo sau.
+ Hop Limit : Trường 8 bit. Trường này tường tự Trường Time to live của IPv4. Nó
có tác dụng chỉ ra số hop tối đa mà gói tin IP đƣợc đi qua. Qua mỗi hop hay router, giá
trị của Trường sẽ giảm đi 1.
+ Source Address : Trường này gồm 16 octet (hay 128 bit), định danh địa chỉ nguồn
của gói tin.
+ Destination Address : Trường này gồm 16 octet (hay 128 bit), định danh chỉ đích
của gói tin.

Các quy tắc biểu diễn :
128 bit của IPv6, đƣợc chia ra thành 8 Octet, mỗi Octet chiếm 2 byte (4 bit), gồm 4
số đƣợc viết dƣới hệ cơ số Hexa, và mỗi nhóm đƣợc ngăn cách nhau bằng dấu hai chấm.
IPv6 là 1 địa chỉ mới nên chúng ta không xài hết 128 bit, vì vậy sẽ có nhiều số 0 ở các bit
đầu nên ta có thể viết rút gọn để lƣợc bỏ số 0 này.
Ví dụ địa chỉ : 1088:0000:0000:0000:0008:0800:200C:463A
Ta có thể viết 0 thay vì phải viết là 0000, viết 8 thay vì phải viết 0008, viết 800 thay
vì phải viết là 0800. Địa chỉ đã đƣợc rút gọn:1088:0:0:0:8:800:200C:463A
IPv6 còn có một nguyên tắc nữa là chúng ta có thể nhóm các số 0 lại thành 2 dấu hai
chấm “::”, địa chỉ ở trên, chúng ta có thể viết lại nhƣ sau: 1088::8:800:200C:463A
Qua ví dụ trên, ta sẽ rút ra đƣợc 3 nguyên tắc:
+ Trong dãy địa chỉ IPv6, nếu có số 0 đứng đầu có thể loại bỏ. Ví dụ 0800 sẽ đƣợc
viết thành 800, hoặc 0008 sẽ đƣợc viết thành 8.
+ Trong dãy địa chỉ IPv6, nếu có các nhóm số 0 liên tiếp, có thể đơn giản các nhóm
này bằng 2 dấu :: (chỉ áp dụng khi dãy 0 liên tiếp nhau).
+ Trong IPv6, chúng ta chỉ có thể sử dụng 2 dấu hai chấm một lần với địa chỉ.
Không đƣợc viết ::AB65:8952::, vì nếu viết nhƣ thế sẽ gây nhầm lần khi dịch ra đầy đủ.


.1 Unicast Address
+ Global Unicast Address: Địa chỉ này đƣợc các ISP cấp cho ngƣời sử dụng có
nhu cầu kết nối Internet. Global Unicast Address giống nhƣ địa chỉ Public của IPv4.

+ Link-local Addresses: Đây là loại địa chỉ dùng cho các host khi chúng muốn
giao tiếp với các host khác trong cùng mạng LAN. Tất cả IPv6 của các interface đều có
địa chỉ link local


10 bits đầu là giá trị cố định 1111 1110 10 (Prefix FE80::/10)
54 bits kế tiếp có giá trị bằng 0
64 bits cuối : là địa chỉ của interface.
Kết luận : Trong Link Local Address: 64 bit đầu là giá trị cố định không thay đổi tƣơng
ứng với prefix là FE80::/10
Có một lƣu ý là Router không thể chuyển bất kỳ gói tin nào có địa chỉ nguồn hoặc địa
chỉ đích là Link Local Address.
+ Site-Local Addresses đƣợc sử dụng trong hệ thống nội bộ (Intranet) tƣơng tự
các địa chỉ Private IPv4 (10.X.X.X, 172.16.X.X, 192.168.X.X). Phạm vi sử dụng SiteLocal Addresses là trong cùng 1 Site.

10 bits đầu là giá trị cố định 1111 1110 11 (Prefix FEC0::/10).
38 bits kế tiếp toàn bộ là bit 0.
16 bits kế tiếp là giá trị Subnet ID.
64 bits cuối là địa chỉ của interface.


Kết luận: Trong Site-local Address: 10 bit đầu là giá trị cố định không thay đổi
tương ứng với prefix là FEC0::/10
2.2 Multicast Address

Địa chỉ IPv6 Multicast được định nghĩa với prefix là FF::/8
Từ FF00:: đến FF0F:: là địa chỉ dành riêng đƣợc quy định bởi IANA để sử dụng
cho mục đích multicast.
Octet thứ hai chỉ ra cờ (flag) và phạm vi (Scope) của địa chỉ multicast. Flag xác
định thời gian sống của địa chỉ. Có 2 giá trị của flag :
+ Flag = 0 : Địa chỉ multilcast vĩnh viễn.
+ Flag = 1 : Địa chỉ multilcast tạm thời.
Scope chỉ ra phạm vi hoạt động của địa chỉ. Có 7 giá trị của Scope
+ Scope = 1 : Interface-local.
+ Scope = 2 : Link-local.
+ Scope = 3 : Subnet-local.
+ Scope = 4 : Admin-local.
+ Scope = 5 : Site-local.
+ Scope = 8 : Organization
+ Scope = E : Global.


2.3 Anycast Address
Anycast là địa chỉ hoàn toàn mới trong IPv6. Còn được gọi là địa chỉ One-tonearest (một đến gần nhất).

+ Địa chỉ Anycast là một địa chỉ Global Unicast đƣợc gán cho nhiều interface của
nhiều Router khác nhau trong cùng một WAN Scope, gói tin chuyển đến Anycast
Address sẽ được hệ thống định tuyến chuyển đến router có metric tốt nhất (router gần
nhất).
+ Hiện nay, địa chỉ Anycast đƣợc sử dụng rất hạn chế, rất ít tài liệu nói về cách sử
dụng loại địa chỉ này. Hầu nhƣ Anycast addresss chỉ đƣợc dùng để đặt cho Router,
không đặt cho Host, lý do là bởi vì hiện nay địa chỉ này chỉ được sử dụng vào mục đích
cân bằng tải.
+ Địa chỉ Anycast không bao giờ được sử dụng như là địa chỉ nguồn của một gói
tin.


Ba công nghệ chuyển đổi đƣợc sử dụng phổ biến hiện nay là :

1. Dual-stack :
Dual-stack là hình thức thực thi TCP/IP bao gồm cả tầng IP của IPv4 và IP của
IPv6. Thiết bị hỗ trợ cả 2 giao thức IPv4 và IPv6, cho phép hệ điều hành hay ứng dụng
lựa chọn một trong hai giao thức cho từng phiên liên lạc.
2. Tunnelling
Công nghệ tunneling là một phương pháp sử dụng cơ sở hạ tầng sẵn có của
mạng IPv4 để thực hiện các kết nối IPv6 bằng cách sử dụng các thiết bị mạng có khả
năng hoạt động dual-stack tại hai điểm đầu và cuối nhất định.


Manual tunnel - đường hầm bằng tay Đƣờng hầm đƣợc cấu hình bằng tay tại
các thiết bị điểm đầu và điểm cuối đƣờng hầm. Phƣơng thức này có thể đƣợc áp dụng
với các mạng có ít phân mạng hoặc cho một số lƣợng hạn chế các kết nối từ xa.
Automatic tunnel - đường hầm tự động Trong công nghệ đƣờng hầm tự động,
không đòi hỏi cấu hình địa chỉ IPv4 của điểm bắt đầu và kết thúc đƣờng hầm bằng tay.
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) là công nghệ
chuyển đổi qua lại giữa các IPv4 node sang IPv6 node trong mạng Intranet, các địa chỉ
đƣợc chuyển đổi là địa chỉ dành riêng (private) IPv4 và IPv6 link-local.
+ Teredo tunneling sử dụng cho các địa chỉ private IPv4, kỹ thuật này đóng gói
gói tin IPv6 bên trong các gói UDP của IPv4 để có thể đƣợc định tuyến hay đi qua các
thiết bị NAT trong mạng IPv4.
+ 6to4 tunneling : Công nghệ hiện nay đƣợc sử dụng khá rộng rãi. IANA giành
riêng dãi địa chỉ 2002::/16 để sử dụng cho 6to4 tunneling.
+ Configured tunnel - đường hầm đƣợc cấu hình Configured tunnel là công
nghệ đường hầm trong đó các điểm kết thúc đƣờng hầm được thực hiện bằng một thiết bị
gọi là Tunnel Broker. Đƣờng hầm cấu hình có độ tin cậy, tính ổn định tốt hơn đường
hầm tự động, do vậy đƣợc khuyến nghị sử dụng cho những mạng lớn, quản trị tốt. Đặc
biệt cho các ISP để cấp địa chỉ IPv6 và kết nối các khách hàng chỉ có đƣờng kết nối IPv4
tới mạng Internet IPv6.
Tunnel Broker là những máy chủ dịch vụ làm nhiệm vụ quản lý thông tin đăng ký,
cho phép sử dụng dịch vụ, quản lý việc tạo đƣờng hầm, thay đổi thông tin đƣờng hầm
cũng nhƣ xóa đƣờng hầm
3. NAT-PT
Network Address Translation-Protocol Translation (NAT-PT) là một giải pháp
đóng vai trò quan trọng giúp cho nguời dùng chuyển đổi từ mạng IPv4 sẵn có lên IPv6,
Thiết bị cung cấp dịch vụ NAT-PT sẽ biên dịch lại header và địa chỉ cho phép mạng IPv6
giao tiếp với mạng IPv4.


Bài 3 : NAC

 FIREWALL không ngăn chặn được các cuộc tấn công từ bên trong, luồng

thông tin nội bộ không qua FIREWALL. Hay nói cách khác, FIREWALL
không ngăn chặn được các cuộc tấn công mà không qua nó.
 FIREWALL không phản ứng kịp thời với các kiểu tấn công mới và không
ngăn chặn được virus/malware lưu thông qua mạng.
 NAC hạn chế được những cuộc tấn công từ bên trong.
 NAC ngăn chặn được virus/malware và các mối đe doạ mới.

NAC hoạt động bằng cách xử lý trên tất cả các thiết bị cuối. Nghĩa là chúng chỉ được truy
cập vào hệ thống sau khi:


Thiết bị đã được NAC chứng thực sự tồn tại của user (IDENTITY-BASED)



Kiểm tra độ an toàn cần thiết của thiết bị mà người dùng đang sử dụng (PRECONNECT). Đảm bảo rằng người dùng đáp ứng các chính sách đã định nghĩa
xem tài nguyên nào người dùng được phép sử dụng và các điều kiện cần thoả để
được sử dụng các tài nguyên đó. Sau đó thực hiện việc đánh giá và cấp quyền truy
cập cho thiết bị.



POST-CONNECT sẽ theo định kỳ kiểm tra lại xem thiết bị có còn đáp ứng được
các yêu cầu trước đó hay không, có hành động nào bất thường, trái phép hay
không? Sau đưa ra quyết định cho thiết bị tiếp tục truy cập vào mạng hay không?




PHÁT HIỆN VÀ CHỨNG THỰC (DETECT AND AUTHENTICATE) :
PHƯƠNG PHÁP 802.1X :
Phương thức chứng thực bảo mật nhất là phương pháp phát hiện các end system
tại switch port sử dụng phương pháp chứng thực 802.1X. Phương pháp này yêu


cầu khả năng của switch, client, và các thực thể chứng thực local (RADIUS
server).

PHƯƠNG PHÁP MAC BASE AUTHENTICATION (VIA RADIUS)
MAC base authentication sử dụng giống như các thành phần cơ bản của 802.1X. Sự khác
biệt ở đây là nó bỏ đi dữ liệu chứng nhận hay đăng kí. Các switch sử dụng MAC address
của các end system để kiểm tra tất cả các end system thông qua RADIUS server.

PHƯƠNG PHÁP WEB BASE AUTHENTICATION
Phương pháp này chuyển các supplicant tới một website nơi mà user phải đăng nhập. Với
phương pháp này guest và các end system không thực hiện các yêu cầu cho việc truy cập
mạng có thể cũng đăng kí vào hệ thống mạng. Guest truy cập vào hệ thống mạng yêu cầu
một đăng kí rất cơ bản.


Một giải pháp NAC được thiết kế tốt có thể đặt nhiều nơi khác nhau. Lưu lượng có thể
phân loại dựa trên mô hình OSI từ layer 2 đến layer 4, cho phép firewall thi hành các
chính sách cho từng lưu lượng trên hệ thống mạng.

KIỂM ĐỊNH THIẾT BỊ (ASSESSMENT)
AGENT-LESS:



Network Based – Một thiết bị scan kiểm tra thiết bị cuối từ xa thông qua mạng
Applet Based – một đoạn mã Java (một chương trình nhỏ truyền qua mạng) được
sử dụng để thực thi việc kiểm định trên thiết bị cuối (dựa trên trình duyệt web)

AGENT-BASED:




Thin Agent – một phần mềm tạm thời (có thể được load hoặc không cần load trên

thiết bị cuối dùng các kĩ thuật của các nhà sản xuất khác nhau)
• Fat Agent – một bộ phần mềm ổn định dùng cho việc kiểm định, firewall, phát
hiện sự xâm nhập thiết bị được cài đặt trên thiết bị cuối

AUTHORIZATION (QUẢN LÝ TRUY CẬP MẠNG)
1. (PORT) VLAN ALLOCATION – CHỈ DỊNH VLAN DỰA VÀO PORT DƯỢC
DÙNG :
Mặc định mỗi port được xem như dành cho guest, hay còn gọi là VLAN cách ly. Sau khi
đã authentication và asessment thành công, quá trình authorization sẽ di chuyển port đến
một VLAN thích hợp.


2. POLICIES
Hệ thống mạng dựa trên Policy và NAC cung cấp khả năng tường lửa tự động ở các port
Switch trong hệ thống mạng. Các Policy xác định cái gì được phép và không được phép,
độ ưu tiên của một thiết bị, một người dùng hay một ứng dụng có thể có trong mạng, và
lượng băng thông được sử dụng cho từng đối tượng. không cần thiết phải chia VLANs
khi dùng Policy.

3. VÔ HIỆU HOÁ PORTS
Vô hiệu ports là 1 cách authorization ít được dùng hơn cách ép buộc tuân theo các Policy.
Vô hiệu 1 port sẽ ngắt kết nối của thiết bị cuối với hệ thống mạng và không thể tự bật lại
port đó.


REMEDIATION
Remediation là quá trình hỗ trợ các thiết bị cuốiđể đạt được mức độ cần thiế tcủaviệc
tuân thủvàsau đóbù đắp hạn chếvào mạng. Để giới hạn quá trình remediation thủ công,
các vấn đề với các thiết bị cuối và hoạt động của user nên được giải quyết 1 cách tự động
hoặc giải quyết bới người dùng hơn là dồn hết cho người quản trị.
2 cách triển khai Remediation thường gặp là quarantine and captive portals
1. QUARANTINE
Một mạng quarantine là một mạng IP giới hạn chỉ cung cấp cho user kết nối đến các
hosts và các ứng dụng chỉ định bởi admin. Quarantine thường được thực hiện nhờ việc
gán VLAN. Khi NAC quyết định một thiết bị hoặc người dùng không đủ điều kiện để
truy cập vào mạng (chưa update antivirus, hệ điều hành,…) thì port switch mà họ/thiết bị
kết nối vào sẽ được gán vào một VLAN mà chỉ có thể truy cập đến các server cung cấp
các bản cập nhật và các thứ cần thiết để user/thiết bị có quyền truy cập vào mạng.
2.CAPTIVE PORTALS
Ngăn chặn truy cập đến các trang web, redirecting users đến các trang web cung cấp các
hướng dẫn và các tool cần thiết để update máy tính của họ. Cho đến khi thiết bị được cập
nhật và đáp ứng đầy đủ các điều kiện để truy cập mạng thì nó không thể truy cập đến các
nơi khác.

MONITORING (GIÁM SÁT)



Có nên kiểm tra, đánh giá các thiết bị mỗi khi chúng kết nối vào mạng không?
Lúc nào nên kiểm tra lại các thiết bị (ví dụ, sau mỗi ngày, sau mỗi tuần,…)




Trong quá trinh kiểm tra, đánh giá, các client có được phép duy trì kết nối không?

Bài 4 : IPS

Các kiểu tấn công :
1) Thăm dò (Reconnaissance):
- Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lổ hổng hoặc dịch vụ của
hệ thống. Các cách tấn công truy cập hay DoS thường được tiến hành bởi kiểu tấn công
thăm dò.
2) Truy cập ( Access)
-Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi người xâm nhập
lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ
liệu, nâng cao đặc quyền, hay đơn giản chỉ là truy cập vào hệ thống.
3) Từ chối dịch vụ (Denial of Service)
- DoS attack (dịch là tấn công từ chối dịch vụ ) là kiểu tấn công rất lợi hại, với loại tấn
công này, bạn chỉ cần một máy tính kết nối Internet là đã có thể thực hiện việc tấn công
được máy tính của đốI phương . thực chất của DoS attack là hacker sẽ chiếm dụng một
lượng lớn tài nguyên trên server (tài nguyên đó có thể là băng thông, bộ nhớ, cpu, đĩa
cứng, ... ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của nguời khác
(máy của những người dùng bình thường ) và server có thể nhanh chóng bị ngừng hoạt
động, crash hoặc reboot .
4) Malicious Code Attacks( Tấn công mã độc)


Phần mềm độc hại có thể được chèn vào một máy chủ để gây thiệt hại, làm hỏng một hệ
thống hoặc từ chối truy cập vào mạng, hệ thống, hoặc các dịch vụ. Tên gọi chung cho
loại phần mềm này là Worms, Viruses và Trojan Horses
Các hệ thống ngăn chặn xâm nhập:
1. IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là hệ thống phần cứng
hoặc phần mềm có chức năng giám sát, phân tích lưu thông mạng, các hoạt động khả
nghi và cảnh báo cho hệ thống, nhà quản trị.
Chức năng của IDS :
- Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
Giám sát: lưu lượng mạng và các hoạt động khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành
động thiết thực chống lại kẻ xâm nhập và phá hoại.
2. Tường lửa (firewall) là hệ thống gồm cả phần cứng và phần mềm làm nhiệm vụ ngăn
chặn các truy nhập "không mong muốn" từ trong ra bên ngoài hoặc từ bên ngoài vào
trong. Tường lửa thường được đặt ở cổng giao tiếp giữa hai hệ thống mạng, ví dụ giữa
mạng trong nước và mạng quốc tế, giữa mạng nội bộ của doanh nghiệp và mạng Internet
công cộng v.v... để lọc thông tin theo các nguyên tắc được định trước.
3/ Hệ thống ngăn chặn xâm nhập IPS (intrusion prevention system)
Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu
điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection
system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các
cuộc tấn công đó.
IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc
hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước


để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng, dủ khả
năng bảo vệ tất cả các thiết bị trong mạng.
Hệ thống IPS gồm 3 module chính: module phân tích luồng dữ liệu, module phát hiện tấn
công, module phản ứng.
* Module phân tích luồng dữ liệu:
Module này có nhiệm vụ lấy tất các gói tin đi đến mạng để phân tích, Bộ phân tích
đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ
gì... Các thông tin này được chuyển đến modul phát hiện tấn công.

* Module phát hiện tấn công:
Đây là module quan trọng nhất trong hệ thống có nhiệm vụ phát hiện các cuộc tấn công.
Phương pháp dò dấu hiệu : Phương pháp này phân tích các hoạt động của hệ thống, tìm
kiếm các sự kiện giống với các mẫu tấn công đã biết trước.
ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo
sai làm giảm khả nǎng hoạt động của mạng và giúp các người quản trị xác định các lỗ
hổng bảo mật trong hệ thống của mình. Tuy nhiên, phương pháp này có nhược điểm là
không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công
mới.
Phương pháp dò sự không bình thường: Đây là kỹ thuật dò thông minh, nhận dạng ra
các hành động không bình thường của mạng, *
Modul phản ứng :
Khi có dấu hiệu của sự tấn công hoặc thâm nhập, modul phát hiện tấn công sẽ gửi
tín hiệu báo hiệu có sự tấn công hoặc thâm nhập đến modul phản ứng. Lúc đó modul
phản ứng sẽ kích hoạt tường lửa thực hiện chức nǎng ngǎn chặn cuộc tấn công hay cảnh
báo tới người quản trị.


III : Kỹ thuật ngăn chặn và mô hình hệ thống IPS :
1/ Signature-Based IPS : là kỹ thuật dựa trên sự so sánh những lựu lượng mạng có
những dấu hiệu trùng với những dấu hiệu cảnh báo (database) đã được biết trước . những
nhà sản xuất IPS phải cung cấp những bản cập nhật (update) file dấu hiệu, giống như
những nhà cung cấp phần mềm diệt virus cũng phải cung cấp những bản cập nhật cho
phần mềm của họ.
* Ưu điểm :
- Ít cảnh báo nhầm : những file dấu hiệu được tạo nên từ những hoạt động và
phương pháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một
cuộc tấn công là rất cao.
- Phát hiện nhanh có thể bảo vệ hệ thống mạng ngay lập tức.
* Khuyết điểm :
- Không có khả năng phát hiện và ngăn chặn những cuộc tấn công mới.
- Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã
biết.
- Đòi hỏi trách nhiệm và năng lực của nhà quản trị bảo mật cao. Phải đảm bảo đảm
file cơ sở dữ liệu luôn cập nhật. Đây là công việc mất nhiều thời gian cũng như khó khăn.

2/ Anomaly-Based IPS: phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích
những hoạt động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường.
* Ưu điểm :
- Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không
phát sinh cảnh báo và không thể biết chính xác cái gì gây ra cảnh báo bởi vì họ không có
quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công.
- Phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực
sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là
nó chệch khỏi profile bình thường. Phát hiện dựa trên profile được sử dụng để phát hiện
những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát hiện được.
* Khuyết điểm :


- Thời gian chuẩn bị ban đầu cao.
- Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.
- Thường xuyên cập nhật profile khi thói quen người dùng thay đổi.
- Khó khăn trong việc định nghĩa cách hành động thông thường : định nghĩa
những hoạt động bình thường là thử thách khi mà môi trường nơi mà công việc
của người dùng thay đổi thường xuyên.
- Cảnh báo nhầm: vì chúng thường tìm những điều khác thường.
- Tạo profile bằng phương pháp lấy mẫu thống kê và lấy mẫu không thống kê khó
hiểu và giải thích.
3/ Policy-Based IPS
Một Policy-Based IPS nó sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của
một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều
phương thức để ngăn chặn.
* Ưu điểm của việc dùng Policy-Based IPS.
- Có thể áp policy cho từng thiết bị một trong hệ thống mạng.
- Một trong những tính năng quan trọng của Policy-Based là xác thực và phản ứng
nhanh, rất ít có những cảnh báo sai. Đây là những lợi ích có thể chấp nhận được bởi vì
người quản trị hệ thống đưa các security policy tới IPS một cách chính xác .
* Khuyết điểm của việc dùng Policy-Based IPS.
- Công việc của người quản trị cực kỳ vất vả.
- Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình.
- Khó khăn khi quản trị từ xa.
4./ Protocol Analysis-Based IPS.
Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì
cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các
giao thức trong gói tin(packets).


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×