Tải bản đầy đủ

S tit 60 giao vien TS vu mnh tun h

Số tiết: 60
Giáo viên: TS. Vũ Mạnh Tuấn
E-mail: vutuankeio@gmail.com

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT – Bộ môn An ninh mạng

1


Nội dung








Giới thiệu
Windows Firewall
IPSec
Bảo vệ truy cập mạng (Network Access Protection)
RODC
Các công cụ khác: BitLocker, Terminal Services…

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

2


Bảo vệ vá lỗi cho lõi
(Kernel patch protection)
Ngăn ngừa thực hiện dữ
liệu (Data execution
prevention)
BitLocker

October 7, 2013

DirectAccess

BitLocker To Go

AppLocker

Nhiều Profile cho
Firewall
Streamlined UAC

Enhanced Storage
Access
DNSSEC
Enhanced Auditing
Suite-B for EFS,
Keberos, TLS v1.2…

Học viện Kỹ thuật Quân sự

Windows 7

Củng cố dịch vụ
(Service hardening)

Windows Server 2008

Cơ sở an ninh

Phần 1: Công nghệ an ninh với Windows

Biometric Framework
HTTP PKI Enroll
PVI smartcard

Khoa CNTT - An ninh mạng

3


An ninh trong Windows Server 2008
 Windows Server 2008 được tạo ra để nhấn mạnh khía

cạnh an ninh mạng:
 Làm giảm môi trường tấn công của nhân hệ điều hành








(kernel) thông qua Server Core.
Mở rộng chính sách nhóm.
Windows Firewall
Bảo vệ truy cập mạng (NAP).
Hướng dẫn cấu hình an ninh.
Kiểm soát tài khoản người dùng.
Mã hóa ổ đĩa với BitLocker

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

4


An ninh trong Windows Server 2008
 Server Core là một giải pháp phù hợp cho máy chủ Web hoặc

một máy chủ khác trong vùng phi quân sự (DMZ) của mạng.

 Vùng phi quân sự (DMZ)
 Là một phần của mạng nằm giữa 2 mạng, ví dụ, nằm giữa
mạng riêng và mạng Internet.
 Phân loại các chính sách nhóm mới bao gồm:
 Quản lý năng lượng
 Gán máy in theo vị trí
 Giao quyền để cài đặt driver cho máy in
 Thiết lập cấu hình an ninh
 Thiết lập cấu hình cho Internet Explorer
October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

5


Tăng cường an ninh trong WS 2008
 Phương thức an ninh và tăng cường chính sách
 Network Location Awareness
 NAP
 Giao thức an ninh trên Internet (Internet Security Protocol)
 Cô lập Server và Domain
 Active Directory Domain Services Auditing

 RODC
 Kiểm soát cài đặt ổ đĩa tháo rời
 PKI cho doanh nghiệp

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

6


Phần 2: Windows Firewall
 What is a firewall?
 Firewall types

 How a firewall works
 Default firewall behavior
 Windows 7 firewall features
 Configuring Windows 7 firewall

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

7


Firewall là gì?
 Một thiết bị lọc các gói tin đi vào hoặc đi ra thông qua nó để







trợ giúp việc chặn các dữ liệu không được phép.
Mục đích của tường lửa là loại bỏ các luồng dữ liệu không
mong muốn như luồng dữ liệu từ worm trong khi cho qua các
luồng dữ liệu hợp lệ.
Việc lọc có thể dựa trên IP, TCP, UDP và các tiêu chí khác liên
quan đến gói tin cũng như liên quan đến xác thực.
Các tiêu chí được cụ thể hóa trong tập luật của firewall.
Tập luật của firewall tương tự như danh sách kiểm soát truy
cập
 Ví dụ: permit host 172.16.1.1 host 180.50.1.1 eq Telnet

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

8


Các dạng Firewall
 Lọc gói, trạng thái (stateful) và proxy
 Lọc gói đưa ra quyết định dựa trên từng gói tin mà không
cần quan tâm đến các gói tin trước đó theo bất kỳ hướng
nào (vào hay ra).
 Firewall trạng thái giữ vết của các gói tin và lọc dựa trên
thông tin của chuỗi các gói tin.
 Proxy firewall hoạt động trên cở sở mỗi ứng dụng. Người
dùng gửi tới proxy và proxy tạo ra các gói tin mới xuất
phát từ proxy.

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

9


Các dạng Firewall
 Firewall chạy trên mạng (network-based) và chạy trên thiết bị

đầu cuối (host-based)
 Firewall chạy trên mạng chạy trên một router, trên một switch nhiều

lớp (multi-layer switch) hoặc trên firewall chuyên dụng.
 Firewall chạy trên thiết bị đầu cuối chạy trên một máy tính sử dụng một
hệ điều hành nào đó như Windows 7 hay UNIX.

 Firewall cứng và firewall mềm
 Firewall cứng là một thiết bị phần cứng chuyên dụng được thiết kế để

hoạt động với hiệu suất cao nhất.

 Firewall mềm, trạng thái, dựa trên thiết bị đầu cuối
 Đánh giá mỗi gói tin khi nó đến hoặc đi và xác định gói tin đó được đi

qua hay không dựa trên thông tin của các gói tin tương tự trước đó.

 Firewall trong Windows Server 2008 là phiên bản nâng cấp

của firewall trong Windows XP và Windows Server 2003
October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

10


Quy tắc mặc định của Firewall
 Mặc định, firewall:
 Cho phép mọi gói tin đi ra và các gói tin trả lời tương
ứng đi vào;
 Cấm tất cả các gói tin khác đi vào.

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

11


Firewall hoạt động như thế nào?
 Các gói tin đi vào được kiểm tra và so sánh với một

dánh sách các gói tin được phép.
 Nếu gói tin nằm trong danh sách, gói tin được huyển tới

giao thức TCP/IP để tiếp tục xử lý.
 Nếu gói tin không nằm trong danh sách, gói tin bị hủy
bỏ.


Nếu phần ghi nhật ký ddwowjc bật, Windows tạo ra một dòng
trong file nhật ký của Firewall và ghi thông tin về việc gói tin
bị hủy bỏ.

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

12


Profile của tường lửa
 Khi tạo ra các luật trong firewall để cho phép hoặc chặn luồng

dữ liệu, có thể áp dụng các quy định trong các profile cho
domain, private hoặc public. Các profile cho phép thiết bị di
động chấp nhận luồng dữ liệu đi vào khi kết nối trong mạng
domain (ví du, khi cho phép kết nối Remote Desktop), nhưng
cấm kết nối trong các mạng ít đảm bảo an toàn.
 Domain profile: áp dụng khi máy tính kết nối với vùng trong
Active Directory log in to a domain)
 Private profile: áp dụng khi máy tính kết nối tới mạng riêng
 Public profile: đây là profile ngầm định áp dụng cho mọi mạng
khi không có DC. Ví dụ, khi kết nối tới mạng Wifi ở sân bay
hoặc quán cà fê. Ngầm định, nó cho phép luồng dữ liệu ra
nhưng chặn mọi luồng dữ liệu vào.
October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

13


Lọc luồng dữ liệu vào
 Ngầm định, Windows Firewall chặn mọi luồng dữ liệu vào

(public profile) hoặc cho phép 1 vài kết nối vào như kết nối cho
chia sẻ file và máy in (domain và private profile).
 Nếu muốn cho phép luồng dữ liệu vào, bạn phải tạo ra quy tắc
để chỉ chính xác cho phép cái gì (chương trình nào, giao thức
nào và cổng nào).
 Trên Windows Server 2008 có sẵn 1 bộ các quy tắc ngầm định
cho các luồng dữ liệu vào.
 Tùy theo nhu cầu, có thể sửa các quy tắc ngầm định hoặc tạo ra
các quy tắc mới.

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

14


Lọc luồng dữ liệu ra
 Ngầm định, Windows Firewall cho phép mọi luồng dữ liệu ra vì

nó ít có rủi ro hơn dữ liệu vào.
 Cần cân nhắc 1 số tình huống:




Nếu malware nhiễm vào 1 máy tính, nó có thể gửi ra các dữ liệu nhạy
cảm (như email, danh sách mật khẩu hay nội dung trong CSDL)
Sâu và virus tím cách lây sang máy khác
Người dùng có thể sử dụng các chương trình chưa được xác thực để
gửi dữ liệu nhạy cảm ra ngoài (cố tình hoặc vô ý)

 Windows Server 2008 có sẵn 1 số bộ lọc cho dữ liệu ra của các

dịch vụ mạng cơ bản. Ngầm định, quy tắc cho dữ liệu ra gồm:







Yêu cầu cho DHCP
Yêu cầu phân giải tên DNS
Liên lạc cho Group Policy
IGMP
IPv6 và các giao thức có liên quan

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

15


Thiết lập phạm vi ảnh hưởng
 Bằng cách thiết lập phạm vi ảnh hưởng, có thể cho phép kết nối







từ mạng cục bộ ra ngoài trong khi hạn chế kết nối từ ngoài vào.
Đối với máy chủ kết nối Intenet, có thể cho phép người dùng ở
bất kỳ đâu kết nối tới các dịch vụ công cộng như máy chủ Web
trong khi chỉ cho phép người dùng trong mạng nội bộ truy cập
tới các dịch vụ dành riêng như Remote Desktop.
Đối với máy chủ bên trong, có thể chỉ cho phép các kết nối từ 1
số mạng con cụ thể. Chú ý, cho phép cả mạng con truy cập từ xa
Đối với kết nối từ trong ra, có thể cho phép 1 ứng dụng kết nối
tới các máy chủ trên các mạng con nhất định bên trong. Ví dụ,
có thể cho phép SNMP trap gửi tới máy chủ quản lý SNMP.
Đối với thiết bị di động, có thể chỉ cho phép các kết nối cụ thể
như Remote Desktop từ mạng con do bạn chỉ định

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

16


Cấp quyền cho kết nối
 Nếu sử dụng kết nối IPSec trong môi trường Active Directory,

có thể yêu cầu máy tính hoặc người dùng ở đầu xa được cho
phép trước khi kết nối được thiết lập.
 Ví dụ, tổ chức của bạn có 1 ứng dụng kế toán dùng cổng TCP
1073, nhưng ứng dụng không có cơ chế kiểm soát truy cập. – bất
kỳ ai kết nối tới dịch vụ mạng có thể truy cập tới dữ liệu kế toán
nhạy cảm. Sử dụng Windows Firewall, có thể hạn chế kết nối
vào tới những người dùng là cán bộ trong phòng kế toán.
 Phần lớn ứng dụng mạng có cơ chế kiểm soát truy cập. Ví dụ,
IIS (Web server) có thể kiểm soát để chỉ cho phép 1 số user có
quyền được truy cập. Hoặc khi chia sẻ file, có thể dùng quyền để
hạn chế những người được truy cập.

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

17


Firewall trong Windows Server 2008
 Đặc điểm của Windows Firewall:
 Lọc các gói tin đi vào (Inbound filtering)
 Lọc các gói tin đi ra (Outbound filtering)
 Tập luật của Firewall kết hợp với tập luật của IPsec
 Hỗ trợ các luật phức tạp
 Hỗ trợ ghi nhật ký

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

18


Cấu hình nâng cao của Firewall
 Cho phép người quản trị cấu hình nhiều luật phức tạp,

lọc các gói tin đi ra và luật liên quan đến IPsec.
 IPsec là hệ thống nhằm đảm bảo an ninh và xác thực
cho cá kết nối trong mạng IP.
 Mặc định, người quản trị có thể cấu hình với Ipsec:




Giao thức trao đổi khóa
Giao thức bảo vệ dữ liệu
Phương thức xác thực

 Xem và sửa tập luật của Firewall
 Một số lượng lớn các luật vào và ra được tạo sẵn cho
Windows Server 2008.
October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

19


Cấu hình nâng cao của Firewall

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

20


Cấu hình nâng cao của Firewall
 Tạo ra luật mới cho Firewall
 Dạng của luật có thể tạo ra sử dụng Outbound Rule Wizard





Ứng dụng (Program)
Cổng (Port)
Định nghĩa trước
Tùy biến

 Hành động cho một luật




Cho phép kết nối
Cho phép kết nối nếu nó đảm bảo an toàn
Ngăn chặn kết nối

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

21


Cấu hình nâng cao của Firewall
 Tạo mới luật đảm bảo an ninh khi kết nối máy tính
 Sử dụng IPsec để xác thực và đảm bảo an ninh cho phiên
liên lạc giữa 2 máy tính.
 Các dạng luật an ninh






Cô lập (Isolation)
Miễn xác thực (Authentication exemption)
Server-to-server
Đường hầm (Tunnel)
Tùy biến

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

22


Phần 3: IPSec
 Bài toán:
 Công ty CMaC là một công ty dược chuyên về nghiên cứu phát
triển các sản phẩm thuốc chữa bệnh. CMaC có trụ sở chính tại
thành phố HCM và các chi nhánh và phòng nghiên cứu tại nhiều
thành phố trong cả nước.
 Do dữ liệu được truyền giữa các chi nhánh mang tính nhạy cảm,
nên CEO của công ty rất quan tâm đến vấn đề bảo vệ thông tin
chống lại các nguy cơ rò rỉ thông tin quan trọng trên mạng.
 Do đó, ban Công nghệ thông tin của CMaC được giao nhiệm vụ tạo
ra một kế hoạch bảo vệ dữ liệu truyền giữa các chi nhánh của công
ty.

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

23


Bảo vệ dữ liệu trên mạng với IPSec
 Trong mô hình phân tầng TCP/IP có 2 giao thức tại tầng

Transport là TCP và UDP. Mỗi packet của TCP và UDP đều chứa
trường checksum trong header. Nếu dữ liệu truyền bị lỗi,
checksum cho phép nhận biết và thông báo cho máy nhận.
 Tuy nhiên, thuật toán tính trường checksum được phổ biến
rộng rãi, nên nếu hacker chặn dữ liệu, thay đổi nội dung và tính
lại checksum thì máy gửi và máy nhận đều không thể biết được.
 Trước đây, việc đảm bảo ann toàn truyền dữ liệu trên mạng do
các công ty tự cài đặt trong ứng dụng của mình. Tuy nhiên, điều
đó dẫn tới sự không tương thích trên mạng
 Tập giao thức IPSec được đưa ra để đảm bảo vấn đề an toàn cho
các máy tính trên Internet tại tầng Internet (network layer) mà
không quan tâm đến ứng dụng cụ thể gửi và nhận dữ liệu.
October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

24


Mục tiêu của IPSec
 IPSec có 2 mục tiêu cơ bản:
 Bảo vệ nội dung của gói dữ liệu IP
 Cung cấp biện pháp bảo vệ chống lại các cuộc tấn công mạng thông quan

lọc gói và nâng cao tính xác thực trong việc truyền dữ liệu

 Các mục tiêu trên được đảm bảo thông qua việc sử dụng các

dịch vụ bảo vệ trên cơ sở mã hóa.

October 7, 2013

Học viện Kỹ thuật Quân sự

Khoa CNTT - An ninh mạng

25


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×

×