An toàn cho các thiết bị mạng

An toàn cho các thiết bị mạng • Các điểm truy nhập trên tầng 1 • Các điểm truy nhập trên tầng 2 • Các điểm truy nhập trên tầng 3 • Các điểm truy nhập trên tầng 4 trở lên Chương 2 14/05/2010 1Bộ môn HTMT&TT 14/05/2010Bộ môn MMT&TT 2 Mục tiêu • Cung cấp cho người học một cái nhìn tổng quan về cách thức để đảm bảo an toàn cho các thiết bị mạng hoạt động trên các tầng khác nhau của mô hình OSI. • Sau khi hoàn tất chương, sinh viên có những khả năng: ▫ Xác định được các điểm truy nhập của hệ thống mạng. ▫ Hiểu được các điểm yếu của đường truyền mạng. ▫ Mô tả được các điểm yếu của switch, bridge và access point; ▫ Trình bày được các điểm yếu của router, Server truy cập từ xa và tường lửa trên tầng 3. ▫ Phân biệt được các điểm yếu của proxy server, máy trạm, máy chủ và thiết bị lưu trữ ngoài. ▫ Trình bày được những cách thức để bảo vệ được các thiết bị trên. Các điểm truy cập trên tầng 1 Phần 1 14/05/2010 3Bộ môn HTMT&TT • Khái niệm • Cáp đồng: cáp đồng trục, cáp xoắn • Cáp quang • Mạng không dây • Modem 14/05/2010Bộ môn MMT&TT 4 Các điểm truy cập trên tầng 1 • Khái niệm Các điểm truy nhập (access points) là nơi người dùng hợp lệ và cả không hợp lệ truy cập vào mạng để truy xuất các tài nguyên trên mạng. i t ( i t ) l i i l l tr tr t t i tr . Những vấn đề an toàn trên tầng vật lý: • Các loại cáp • Mạng không dây • Modem t tr t t l : • l i • • 14/05/2010Bộ môn MMT&TT 5 Các điểm truy cập trên tầng 1 • Cáp đồng trục Cách 1 Gắn trực tiếp 1 T-connector vào đâu đó trên cáp, sau đó đặt thiết bị nghe lén vào tr ti - t tr , t t i t ị l Dễ bị phát hiện vì khi lắp thiết bị sẽ làm gián đoạn hoạt động của mạng ị t i ì i l t i t ị l i t Cách 2 Dùng vòi quỉ (vampire tab) gắn trực tiếp vào đường cáp, xuyên qua các vỏ bọc và tiếp xúc đến đường trục chính của cáp i ỉ ( i t ) tr ti , ti tr í Khó phát hiện nhưng vẫn có thể dò tìm ra t i t tì r Cách 3 Dùng 1 thiết bị cảm ứng bao xung quanh đường cáp, thu nhận và khuyếch đại các tín hiệu ít ỏi nhận được khi tín hiệu di chuyển bên trong. t i t ị , t i tí i ít i i tí i i tr . Không phát hiện được t i Cách bảo vệ • Cô lập đường cáp • Không cho tiếp xúc trực tiếp với cáp. • l • ti tr ti i . 14/05/2010Bộ môn MMT&TT 6 Các điểm truy cập trên tầng 1 • Cáp xoắn đôi (UTP – STP) Cách thâm nhập vào cũng chỉ là gắn trực tiếp vào các switch hoặc qua các patch-panel Cô lập các đường kết nối chính đến hệ thống cáp: • Tách riêng các switch trung tâm vào phòng quản trị mạng • Gắn các tủ có khóa để bảo vệ các switch và các patch-panel l t i í t : • ri it tr t trị • t it t - l 14/05/2010Bộ môn MMT&TT 7 Các điểm truy cập trên tầng 1 • Cáp quang Khó bị xâm nhập bằng cách gắn trộm các thiết bị nghe lén trực tiếp vào đường cáp. ị tr t i t ị l tr ti . • Điểm yếu của hệ thống cáp quang là các đầu nối (connector) • Có thể chèn vào mối nối 1 bộ chia (splitter) và nghe lén các tín hiệu tại đây. • i t l i ( t r) • t i i i ( litt r) l tí i t i . Vì phải đi kèm với các bộ thu phát tín hiệu nên dễ dàng bị để phát hiện ì i i i t t tí i ị t i 14/05/2010Bộ môn MMT&TT 8 Các điểm truy cập trên tầng 1 • Mạng không dây – Hồng ngoại Giới hạn của hồng ngoại chính là bắt buộc 2 thiết bị phải “nhìn thấy nhau” (line of sigh) và khoảng cách giữa 2 thiết bị cũng phải gần nhau i i i í l t t i t ị i “ ì t ” (li f i ) i t i t ị i xâm nhập hay nghe lén sẽ rất khó khăn l r t 14/05/2010Bộ môn MMT&TT 9 Các điểm truy cập trên tầng 1 • Mạng không dây – Sóng radio • Wireless LAN hiện đang được dùng rộng rãi trong cuộc sống. • Mạng không dây dùng sóng radio (RF) này rất không an toàn vì trong phạm vi phủ sóng, ai cũng có thể nhận được tín hiệu. • ir l i r r i tr . • r i ( ) t t ì tr i , i t tí i . Cài đặt cơ chế bảo mật cho mạng không dây: • Cài khóa (key) theo 2 cách chính là WEP và WPA để mã hóa dữ liệu. i t t : • i ( ) t í l li . 14/05/2010Bộ môn MMT&TT 10 Các điểm truy cập trên tầng 1 • Modem Các hệ thống phục vụ cho kết nối bằng Modem (RAS – Remote Acces Service) thông thường được cấu hình khá an toàn t t i ( t r i ) t t ì t Nguy cơ: lắp Modem vào 1 hệ thống máy tính đặt tại cơ quan. Dùng 1 chương trình gọi là War Dialer để kết nối (gọi đến) Modem này và xâm nhập vào máy tính đang gắn trực tiếp vào Modem. • Giới hạn sử dụng Modem • Cấu hình Modem chỉ cho phép hướng gọi đi • i i • ì ỉ i i Các điểm truy cập trên tầng 2 Phần 2 14/05/2010 11Bộ môn HTMT&TT • Khái niệm • Bridge và switch • Wireless Access Point 14/05/2010Bộ môn MMT&TT 12 Các điểm truy cập trên tầng 2 • Khái niệm Các thiết bị trên tầng 2 bắt đầu đã có 1 mức độ “thông minh” nhất định như chúng có thể ghi nhận được địa chỉ vật lý của thiết bị mạng và chuyển dữ liệu đi dựa trên các địa chỉ vật lý này (MAC address). t i t ị tr t t “t i ” t ị t i ị ỉ t l t i t ị li i tr ị ỉ t l ( ). Những vấn đề an toàn trên tầng 2 bao gồm: • Bridge và Switch • Wireless Access Point t t t : • ri it • ir l i t 14/05/2010Bộ môn MMT&TT 13 Các điểm truy cập trên tầng 2 • Cầu nối (Bridge) và bộ chuyển mạch (switch) • Switch là một thiết bị mạng an toàn hơn Hub • Mỗi cổng của switch chỉ có thể nhận được đúng thông tin của riêng mình và thông tin quảng bá • it l t t i t ị t • i it ỉ t t ti ri ì t ti Khai thác tính năng SPAN SPAN (Switched Port Analyzer) • Là 1 tính năng được người quản trị mạng dùng trong khắc phục sự cố. • Copy tất cả các gói đi vào và đi ra 1 hoặc nhiều cổng gửi đến 1 cổng đặc biệt nào đó. ( it t l ) • tí i trị tr . • t t i i i r i i i t . Nếu có được tài khoản quản trị switch, hacker có thể lợi dụng tính năng SPAN để nghe lén trên mạng switch. t i trị it , r t l i tí l tr it . 3Com gọi là RAP (Roving Analysis Port) i l ( i l i rt) 14/05/2010Bộ môn MMT&TT 14 Các điểm truy cập trên tầng 2 • Cầu nối (Bridge) và bộ chuyển mạch (switch) Tấn công switch bằng cách giả mạo ARP • Kẻ xâm nhập sẽ gửi gói ARP đến Client1 với địa chỉ nguồn là địa chỉ IP của Client2 nhưng với địa chỉ MAC của mình (Intruder). • Tương tự, kẻ xâm nhập cũng sẽ gửi gói ARP đến Client2 với địa chỉ nguồn là địa chỉ IP của Client1 nhưng với địa chỉ MAC của mình. • Khi đó, Client1 và Client2 đều lưu trữ trong ARP Cache của mình IP của nhau nhưng với MAC của kẻ xâm nhập. • Do đó, khi Client1 và Client2 gửi dữ liệu cho nhau đều đi qua máy của kẻ xâm nhập mà không hề hay biết. it i • i i li t i ị ỉ l ị ỉ I li t i ị ỉ ì (I tr r). • t , i i li t i ị ỉ l ị ỉ I li t i ị ỉ ì . • i , li t li t l tr tr ì I i . • , i li t li t i li i i t. 14/05/2010Bộ môn MMT&TT 15 Các điểm truy cập trên tầng 2 • Wireless Access Point Hacker có thể dò tìm và kết nối vào 1 Access Point để gia nhập vào 1 mạng WLAN không được mã hóa mà không cần phải có bất kỳ tài khoản nào. Cấu hình các cơ chế bảo mật tại Access Point • Ẩn đi định danh của mạng (hide SSID). • Cài đặt khóa (key) cho mạng. • Tạo bộ lọc MAC (filter) chỉ cho phép các thiết bị trong danh sách cho trước tham gia vào mạng. ì t t i i t • i ị ( i I ). • i t ( ) . • l (filt r) ỉ t i t ị tr tr t i . Cài đặt khóa có độ dài lớn (chẳng hạn 128 bits) và thường xuyên thay đổi khóa để tránh bị tấn công. i t i l ( it ) t t i tr ị t . Các điểm truy cập trên tầng 3 Phần 3 14/05/2010 16Bộ môn HTMT&TT • Khái niệm • Router • Remote Access Server • Layer 3 Firewall 14/05/2010Bộ môn MMT&TT 17 Các điểm truy cập trên tầng 3 • Khái niệm Các thiết bị trên tầng 3 • Vạch đường cho các gói tin • Sử dụng địa chỉ luận lý • Có nhiều các cơ chế bảo mật để chứng thực người dùng và điều khiển lưu thông trên mạng t i t ị t t • i ti • ị ỉ l l • i t t i i i l t tr Những vấn đề an toàn trên tầng 3 bao gồm: • Bộ định tuyến (Router) • Máy chủ phục vụ từ xa (Remote Access Server) • Tường lửa trên tầng 3 (Layer 3 firewall) t t t : • ị t ( t r) • t ( t r r) • l tr t ( r fir ll) 14/05/2010Bộ môn MMT&TT 18 Các điểm truy cập trên tầng 3 • Router Router dùng để tìm đường đi tốt nhất cho các gói tin, có khả năng ngăn được broadcast. t r tì i t t t i ti , r t. Router cung cấp một số tính năng bảo mật: • Danh sách điều khiển truy cập (ACL): cho phép chặn gói tin dựa theo địa chỉ, loại dịch vụ (cổng). • Lọc gói tin dựa theo loại gói hay nội dung gói. • Quality of Service (QoS): điều khiển lưu thông trên mạng dựa theo độ ưu tiên của dịch vụ. t t tí t: • i i tr ( ): i ti t ị ỉ, l i ị ( ). • i ti t l i i i i. • lit f r i ( ): i i l t tr t ti ị . 14/05/2010Bộ môn MMT&TT 19 Các điểm truy cập trên tầng 3 • Router Router có thể bị tấn công thông qua đường Telnet (dùng để cấu hình thiết bị từ xa qua cổng 23) vì mật khẩu không được mã hóa. t r t ị t t l t ( ì t i t ị t ) ì t . Tấn công tính năng vạch đường động (dynamic routing) • Giả mạo địa chỉ của 1 router trong mạng • Gửi các thông tin vạch đường cho router mục tiêu tí ( i r ti ) • i ị ỉ r t r tr • i t ti r t r ti Cách ngăn ngừa • Dùng giao thức vạch đường có mã hóa • Cài đặt chứng thực trong giao thức vạch đường • i t • i t t tr i t 14/05/2010Bộ môn MMT&TT 20 Các điểm truy cập trên tầng 3 • Server truy cập từ xa (RAS) Cung cấp kết nối cho những người dùng ở xa thông qua đường điện thoại (dial-up) hay VPN. t i i t i t i ( i l- ) . Những cách chứng thực thông dụng là: • PAP (Password Authentication Protocol) o Truyền mật khẩu dạng Plain-Text trên đường truyền => không an toàn • SPAP (Shiva hay Secure PAP): an toàn hơn PAP vì có sử dụng mã hóa. • CHAP (Challenge Handshake Authentication Protocol) và MS-CHAP (Microsoft CHAP) o An toàn hơn vì có mã hóa và không truyền mật khẩu trên đường truyền. • EAP (Extensible Authentication Protocol) o Kết hợp với phương pháp chứng thực thứ 3 như smartcard, sinh trắc học. • Chứng thực tập trung (qua RADIUS): an toàn và hiệu quả hơn. t t l : • ( r t ti ti r t l) r t l i - t tr tr t • ( i r ): t ì . • ( ll t ti ti r t l) - ( i r ft ) t ì tr t tr tr . • ( t i l t ti ti r t l) t i t t rt r , i tr . • t t tr ( I ): t i . 14/05/2010Bộ môn MMT&TT 21 Các điểm truy cập trên tầng 3 • Server truy cập từ xa (RAS) Mandatory callback • Chỉ kết nối đến Server từ 1 số điện thoại cho trước. • Chứng thực 2 chiều: sau khi chứng thực thành công, Server sẽ kết nối ngược lại Client. • Chỉ thích hợp với người dùng cố định. RAS cho phép người quản trị cài đặt các tính năng bảo mật để điều khiển đúng loại giao thức đang sử dụng => khóa các giao thức khác để giảm băng thông và giảm nguy cơ tấn công. i trị i t tí t i i l i i t i t i t i t . 14/05/2010Bộ môn MMT&TT 22 Các điểm truy cập trên tầng 3 • Tường lửa (Firewall) Firewall sẽ ngăn chặn truy cập trái phép từ bên ngoài vào bên trong mạng và khóa người dùng bên trong mạng truy cập các tài nguyên nguy hại bên ngoài mạng. ir ll tr tr i t i tr i tr tr t i i i . Firewall được chia thành 3 dạng chính: • Lọc gói: hoạt động trên tầng 3 • Lọc nội dung: hoạt động trên tầng ứng dụng • Duyệt tất cả trạng thái: hoạt động trên tất cả các tầng ir ll i t í : • i: t tr t • i : t tr t • t t t tr t i: t tr t t t 14/05/2010Bộ môn MMT&TT 23 Các điểm truy cập trên tầng 3 • Firewall trên tầng 3 Firewall lọc gói được cấu hình để từ chối hay cho phép truy cập từ (hoặc đến) 1 địa chỉ IP xác định hoặc 1 cổng cho trước ir ll l i ì t i tr t ( ) ị ỉ I ị tr 2 cơ chế thực hiện: • Mặc nhiên cho phép (allow by default) • Mặc nhiên cấm (deny by default) t i : • i ( ll f lt) • i ( f lt) Mặc nhiên cấm là chính sách bảo mật tốt hơn i l í t t t 14/05/2010Bộ môn MMT&TT 24 Các điểm truy cập trên tầng 3 • Firewall trên tầng 3 Các router mạnh hiện nay gần như đều có tùy chọn hỗ trợ loại firewall lọc gói r t r i t tr l i fir ll l i Những ưu điểm của Firewall trên tầng 3 • Tốc độ nhanh: vì chỉ cần kiểm tra header của gói • Dễ sử dụng: các rule định nghĩa rõ ràng. • Trong suốt (Transparency) với các thiết bị mạng và người dùng Những hạn chế của Firewall trên tầng 3 • Khó mở riêng 1 cổng cho 1 ứng dụng. • Không quan tâm đến nội dung gói: bỏ sót gói độc hại Các điểm truy cập trên tầng 4 và cao hơn Phần 4 14/05/2010 25Bộ môn HTMT&TT • Khái niệm • Proxy Server • Máy trạm • Máy chủ 14/05/2010Bộ môn MMT&TT 26 Các điểm truy cập trên tầng 4 • Khái niệm Những vấn đề an toàn trên tầng 4 và cao hơn gồm: • Proxy Server • Máy trạm (Workstation) • Máy chủ (Server) t t t : • r r r • tr ( r t ti ) • ( r r) Tầng 4 và các tầng cao hơn là nơi mà hệ điều hành và ứng dụng hiện diện t l i i i i cần phải có các tính năng bảo mật để cung cấp cho từng hệ điều hành và ứng dụng riêng biệt i tí t t i ri i t 14/05/2010Bộ môn MMT&TT 27 Các điểm truy cập trên tầng 4 • Proxy Server cho phép hệ thống bên trong môi trường được bảo vệ có thể truy xuất tài nguyên ở bên ngoài t tr i tr t tr t t i i Đặc điểm • Làm tăng tốc độ truy xuất Web: do đã lưu cache • Giám sát các lưu thông trên mạng: lưu log file các truy cập • Lọc thông tin: dựa theo giao thức, theo địa chỉ, • Ngăn chặn hiệu quả sự xâm nhập không mong muốn vào hệ thống mạng i • t t tr t : l • i t l t tr : l l fil tr • t ti : t i t , t ị ỉ, • i t Proxy Server có điểm yếu nếu ta dùng server đó với các chức năng khác có thể sẽ tạo ra các lổ hổng. r r r i t r r i t t r l . Sử dụng 1 Server chuyên dùng chỉ với chức năng Firewall và Proxy. r r ỉ i ir ll r . 14/05/2010Bộ môn MMT&TT 28 Các điểm truy cập trên tầng 4 • Máy trạm (Workstation) Chúng rất kém an toàn hơn so với Server và thường dễ bị tấn công vì ít quan tâm đến vấn đề bảo mật. Người dùng thường tự mình tạo ra các lổ hổng: • Không thường xuyên thay đổi mật khẩu • Không cập nhật các bản diệt virus mới nhất • Cài đặt các phần mềm không đáng tin cậy • Mở các file đính kèm không rõ nguồn gốc trong email i t t ì t l : • t t i t • t i t ir i t • i t ti • fil í r tr il Các điểm yếu thường bị khai thác • Giao thức TCP/IP là giao thức không an toàn • Dịch vụ chia sẻ file trên hệ điều hành Windows i t ị i t • i t /I l i t t • ị i fil tr i i • Gỡ bỏ tất cả các dịch vụ không cần thiết • Không cài đặt các phần mềm chưa rõ nguồn gốc • Cập nhật các bản vá lỗi và anti-virus. • Cài đặt 1 tường lửa • Có chính sách sử dụng riêng cho từng đối tượng • t t ị t i t • i t r • t l i ti- ir . • i t t l • í ri t i t 14/05/2010Bộ môn MMT&TT 29 Các điểm truy cập trên tầng 4 • Máy chủ (Server) Server thường là đối tượng bị tấn công vì nó chứa các thông tin quan trọng mà các hacker muốn có. r r t l i t ị t ì t ti tr r . • Server càng có nhiều chức năng càng có nhiều nguy cơ tấn công từ chính các dịch vụ mà nó cung cấp • Server cũng có thể có các điểm yếu đáng quan tâm như máy trạm nếu người quản trị không cẩn thận. • r r i i t t í ị • r r t i t tr i trị t . • Đặt Server phía sau 1 hay nhiều Firewall • Có lớp bảo vệ (vật lý) giữa những server này và môi trường bên ngoài. • Luôn cập nhật hệ điều hành, ứng dụng và các chương trình diệt virus. • t r r í i ir ll • l ( t l ) i r r i tr i. • t i , trì i t ir .