Các mô hình mạng an toàn

Các mô hình mạng an toàn • DMZ (vùng phi quân sự) • VLAN (mạng LAN ảo) • NAT (dịch địa chỉ) Chương 6 14/05/2010 1Bộ môn MMT&TT 14/05/2010Bộ môn MMT&TT 2 Mục tiêu • Cung cấp cho người học một cái nhìn tổng quan về cách thức xây dựng các mô hình mạng an toàn. • Sau khi hoàn tất chương, sinh viên có những khả năng: ▫ Phân biệt được khái niệm về Intranet, Extranet và vùng DMZ. ▫ Trình bày mô hình mạng an toàn với vùng DMZ. ▫ Hiểu được khái niệm VLAN, ích lợi và kỹ thuật xây dựng mô hình mạng với VLAN. ▫ Trình bày được khái niệm NAT-PAT và ứng dụng của NAT-PAT trong việc xây dựng mô hình mạng an toàn. 14/05/2010Bộ môn MMT&TT 3 Mô hình mạng an toàn • Khái niệm Mô hình mạng an toàn bao gồm nhiều vùng vật lý và luận lý với nhiều mức bảo mật khác nhau. ì t i t l l l i i t . 14/05/2010Bộ môn MMT&TT 4 Vùng an ninh • Khái niệm Vùng an ninh (security zone) là một phần của mạng được định nghĩa chung 1 mức an ninh. i ( it ) l t ị ĩ i . Vùng an ninh thường được chia ra làm 3 loại: • Intranet • Extranet • DMZ i t i r l l i: • I tr t • tr t • 14/05/2010Bộ môn MMT&TT 5 Vùng an ninh • Intranet Intranet • Là một mạng dùng riêng • Sử dụng các giao thức và dịch vụ thông tin tương tự Internet. • Cung cấp các dịch vụ như Web, FTP, Email, I t t • t ri • i t ị t ti t t I t r t. • ị , , il, • Tốc độ cao • Dễ dàng truy xuất các tài nguyên • Sử dụng các dạng mạng như: + Ethernet + Fast Ethernet, Gigabit Ethernet + Token ring + ATM • • tr t t i • : t r t t t r t, i it t r t ri 14/05/2010Bộ môn MMT&TT 6 Vùng an ninh • Extranet Extranet • Là một Intranet có kết nối với mạng dùng ở ngoài như các khách hàng, đối tác, nhà cung cấp, • Sử dụng để trao đổi thông tin, hợp tác hoặc chia sẻ các dữ liệu đặc biệt. • Có thể nối kết được với Internet. t t • t I tr t t i i i , i t , , • tr i t ti , t i li i t. • t i t i I t r t. • Yêu cầu tính riêng tư và bảo mật • Có thể dùng PKI hoặc kỹ thuật VPN để thiết lập nếu cần độ an toàn cao. • tí ri t t • t I t t t i t l t . 14/05/2010Bộ môn MMT&TT 7 Vùng an ninh • DMZ (Demilitarized Zone) DMZ là 1 vùng của mạng được thiết kế đặc biệt, cho phép những người dùng bên ngoài truy xuất vào. l t i t i t, i i tr t . Truy cập vào vùng DMZ luôn được điều khiển và giới hạn bởi Firewall và hệ thống Router. r l i i i i i ir ll t t r. Nếu vùng DMZ bị tấn công và gây hại thì vẫn không ảnh hưởng đến mạng riêng của tổ chức. ị t i t ì ri t . 14/05/2010Bộ môn MMT&TT 8 Vùng an ninh • DMZ - Cách thiết kế Phân lớp DMZ (Layered DMZ) • Đặt giữa 2 firewall có các quy định khác nhau. • Cho phép bên ngoài Internet nối kết vào, nhưng chặn không cho truy cập vào mạng cục bộ bên trong. l ( ) • t i fir ll ị . • i I t r t i t , tr tr . Tường lửa nhiều giao diện DMZ (Multiple Interface Firewall DMZ) • Dùng thiết bị Firewall mạnh có thể quản lý các lưu thông trên nhiều cổng • Hiện nay, mô hình này được sử dụng nhiều hơn. l i i i ( lti l I t f i ll ) • t i t ị ir ll t l l t tr i • i , ì i . 14/05/2010Bộ môn MMT&TT 9 Vùng an ninh • DMZ - Cách thiết kế Mạng nội bộ phải được Firewall bảo vệ cả từ mạng bên ngoài (Internet) và cả từ vùng DMZ vì vùng DMZ có khả năng bị tấn công và khai thác. i i ir ll t i (I t r t) t ì ị t i t . Phải gia cố hệ thống DMZ, chẳng hạn : • Gở bỏ các dịch vụ ít sử dụng • Gở bỏ các thành phần không cần thiết. i i t , : • ị ít • t t i t. Các máy tính trong vùng DMZ: • Được gọi là Bastion host. • Có thể được truy xuất từ mạng nội bộ bên trong và cả mạng bên ngoài. tí tr : • i l ti t. • t tr t t i tr i. 14/05/2010Bộ môn MMT&TT 10 Vùng an ninh • DMZ – Các dịch vụ bên trong vùng Các dịch vụ trong vùng DMZ: • Web, Email, FTP • DNS • IDS (hệ thống phát hiện xâm nhập) ị tr : • , il, • • I ( t t i ) Một số hệ thống yêu cầu phải đảm bảo an toàn cho vùng DMZ bằng cách sử dụng các giao thức bảo mật như SSL, TLS. t t i t i t t , . 14/05/2010Bộ môn MMT&TT 11 Vùng an ninh • DMZ – Nhiều vùng trong vùng DMZ Đặc thù yêu cầu của từng hệ thống khác nhau ⇒ Phải thiết lâp nhiều vùng an ninh khác nhau ⇒ Các mức bảo mật cho từng vùng thiết kế cũng khác nhau. t t t i t i t l i i t t t i t . Một hệ thống E-Commerce hiện đại Các vấn đề: • Phức tạp khi cài đặt, bảo vệ và quản trị. • Các luật trong Firewall phải lớn => dễ nhầm lẫn. : • t i i t, trị. • l t tr ir ll i l l . Giải pháp: • Dùng chiến thuật cấm tất cả (deny all) • Chỉ cho phép từng dịch vụ riêng biệt có yêu cầu i i : • i t t t t ( ll) • ỉ t ị ri i t 14/05/2010Bộ môn MMT&TT 12 VLAN • Khái niệm VLAN là 1 nhóm luận lý các máy tính, thiết bị mạng mà không bị giới hạn vị trí địa lý hay kết nối vật lý giữa chúng. l l l tí , t i t ị ị i i ị trí ị l t i t l i . • Phân mạng lớn thành nhiều mạng nhỏ theo chức năng. • Dùng switch có hỗ trợ tính năng VLAN • Muốn liên lạc giữa các máy tính trong các VLAN khác nhau phải dùng 1 router. • l t i t . • it tr tí • li l i tí tr i r t r. 14/05/2010Bộ môn MMT&TT 13 VLAN • Ích lợi • Ngăn broadcast làm tăng hiệu năng mạng • Tiết kiệm thiết bị switch • Nâng cao tính bảo mật trong mạng. • Dễ dàng triển khai và quản lý các nhóm làm việc theo từng VLAN. • r t l t i • i t i t i t ị it • tí t tr . • tri i l l i t t . 14/05/2010Bộ môn MMT&TT 14 VLAN • Trunk (Trunk link) Sử dụng giao thức ISL hoặc 802.1Q cho đường trunk i t I . tr Switch tự động thêm Tag điều khiển để chỉ rõ Frame thuộc VLAN nào khi Frame đi vào đường trunk. it t t i i ỉ r r t i r i tr . 14/05/2010Bộ môn MMT&TT 15 NAT (Network Address Translation) • Khái niệm Dãy địa chỉ dùng riêng cho các mạng cục bộ ị ỉ ri NAT che dấu địa chỉ bên trong mạng cục bộ (địa chỉ private) khi giao tiếp với máy tính ở mạng Internet (public) ị ỉ tr ( ị ỉ ri t ) i i ti i tí I t r t ( li ) Máy tính bên trong mạng LAN có thể nối kết trực tiếp với máy tính ở ngoài, nhưng máy tính ở ngoài không “thấy” được máy tính bên trong LAN. tí tr t i t tr ti i tí i, tí i “t ” tí tr . 14/05/2010Bộ môn MMT&TT 16 NAT • Static NAT NAT ánh xạ 1 địa chỉ cục bộ (192.168.10.10) sang 1 địa chỉ thực (209.165.200.226) ị ỉ ( . . . ) ị ỉ t ( . . . ) Thường dùng cho các Server r r 14/05/2010Bộ môn MMT&TT 17 NAT • Dynamic NAT Dynamic NAT tự động ánh xạ 1 địa chỉ priavte (192.168.10.10) sang 1 địa chỉ trong dãy (pool) địa chỉ public cho trước (209.165.200.226 - 230) i t ị ỉ ri t ( . . . ) ị ỉ tr ( l) ị ỉ li tr ( . . . - ) Dùng khi có được nhiều địa chỉ thực ở ngoài. i i ị ỉ t i. 14/05/2010Bộ môn MMT&TT 18 NAT • PAT (Port Address Translation) PAT ánh xạ nhiều địa chỉ cục bộ (192.168.10.11– 192.168.10.12) sang 1 địa chỉ thực với các cổng khác nhau (209.165.200.226 cổng 1444 và 1445) i ị ỉ ( . . . . . . ) ị ỉ t i ( . . . ) PAT còn gọi là NAT Overload i l rl Thích hợp cho dạng mạng có nhiều máy cục bộ dùng chung đường truyền Internet (như ADSL chẳng hạn) í i tr I t r t ( )