Cty M t Thành Viên Group 12bvl Page | 1 · Tăng tốc độ truyền thông mạng ... Cách proxy server hoạt ... Thay thế tiêu đề gốc bằng tiêu đề mới Chứa

Cty M ột Thành Viên Group 12bvl Page | 1

Ôn tập Triển Khai An Ninh Hệ Thống Mạng

Câu 1: Hãy phân tích vấn đề an ninh bảo mật của một hệ thống mà chúng ta biết nó ảnh hưởng đến xã

hội như thế nào?

Gợi ý:

- Biết hệ thống như thế nào? Ví dụ Trường ĐH Công Nghiệp thì an ninh của hệ thống là bảo mật

website, tính điểm cho sinh viên.

- Xem vấn đề an ninh này sẽ ảnh hưởng như thế nào đến xã hôi? Nếu bị tấn công thì sẽ ảnh hưởng như

thế nào?

- Thông tin website bị sai lệch, có những nội dung xấu khi người khác truy cập thì nước VN sẽ bị ảnh

hưởng.

Câu 2: Vai trò và chức năng của firewall?

Gợi ý:

- Vai trò trong hệ thống mạng của firewall là chống lại những cuộc tấn công từ bên ngoài cũng như từ

bên trong.

- Chức năng:

+ Lọc gói tin

+ Lọc theo địa chỉ IP

+ Lọc nội dung

Câu 3: Firewall khác proxy như thế nào?

Dịch nội dung Proxy có ở chương 10.

Giới thiệu về proxy server

- Proxy server

Phần mềm chuyển tiếp các gói tin trong và ngoài mạng đang được bảo vệ

Lưu trữ các trang web để tăng tốc hiệu suất mạng

Mục tiêu của proxy server

- Mục tiêu ban đầu

Tăng tốc độ truyền thông mạng

Thông tin được lấy từ bộ đệm (cache) proxy thay vì Internet Nếu thông tin không thay đổi gì cả


- Mục tiêu của proxy server hiện đại

Cung cấp bảo mật ở lớp Ứng dụng (application layer)

Bảo vệ máy chủ trên mạng nội bộ

Kiểm soát trang web người dùng được phép truy cập

1. Máy tính từ bên ngoài gửi yêu cầu về trang web cần truy cập từ web server

2. 2 proxy server nhận yêu cầu và kiểm tra bộ nhớ đệm trên đĩa (disk cache)

3. Proxy server trả về file theo yêu cầu nếu có sẵn trên cache

4. Nếu không có trên bộ nhớ đệm thì file sẽ được lấy từ web server

Cách proxy server hoạt động

- Mục tiêu proxy server

Ngăn chặn kết nối trực tiếp giữa máy tính bên ngoài và máy tính nội bộ (đứng giữa để kiểm soát)

- Proxy server hoạt động ở lớp Ứng dụng (application layer)

Mở gói và kiểm tra dữ liệu


Quyết định ứng dụng nào cần chuyển tiếp gói

Xây dựng lại gói và chuyển tiếp nó

Thay thế tiêu đề gốc bằng tiêu đề mới

Chứa địa chỉ IP của proxy

1. User gửi yêu cầu truy cập web có source ip 10.0.20.28, destination là web server 188.92.101.5 t

trong mạng nội bộ tới proxy server.

2. Proxy server nhận yêu cầu

3. Máy chủ web server nhận được yêu cầu, source ip 211.24.120.5 là từ proxy server, destination ip là

188.92.101.5.

4. Web server trả về trang web theo yêu cầu tới địa chỉ của proxy server 211.24.120.5

5. Proxy server nhận trang web

6. Trả về trang web cho user gửi yêu cầu, nhưng source ip không phải là từ web server mà là từ proxy

server.

Proxy server nhận lưu lượng truy cập trước khi truy cập Internet

Những chương trình của client được cấu hình để kết nối với proxy server thay vì Internet trình duyệt

web

Ứng dụng E-mail


Cấu hình chương trình máy client để kết nối với proxy server thay vì Internet

- Lợi ích:

Kiểm tra nội dung của gói tin và lọc nội dung

Bảo vệ địa chỉ ip của các máy chủ nội bộ

Bộ nhớ đệm giúp truy cập web nhanh hơn

Cung cấp một điểm đăng nhập

- Bất lợi:

Bảo vệ có thể yếu tùy thuộc vào khả năng cấu hình

Có thể làm giảm tốc độ của mạng


Có thể phải cấu hình nhiều chương trình từ máy client để sử dụng proxy server (tốn công nhiều)

Cung cấp 1 điểm lỗi (dịch sát nghĩa) (Single point of failure)

Chọn proxy server

- Các proxy server khác nhau thực hiện các chức năng khác nhau

- Proxy server phần mềm miễn phí

Thường được mô tả là bộ lọc nội dung

Hầu hết không có tính năng cho ứng dụng doanh nghiệp

Ví dụ: squid cho Linux

- Proxy server thương mại

Cung cấp bộ nhớ đệm cho web, dịch địa chỉ IP nguồn và đích, lọc nội dung và NAT

Ví dụ: Microsoft Forefront Threat Management Gateway

-Proxy server có thể bao gồm chức năng tường lửa

Có một chương trình all-in-one đơn giản hóa việc cài đặt, cập nhật sản phẩm và quản lý

Nhược điểm

Điểm duy nhất của thất bại (Single point of failure) (không biết nghĩa chính xác)

thử sử dụng một số sản phẩm phần mềm và phần cứng để bảo vệ mạng

Lọc nội dung

- Proxy server có thể mở và kiểm tra dữ liệu

- Proxy server có thể:

Lọc ra nội dung sẽ xuất hiện trong trình duyệt web của người dùng

Chặn các trang web có nội dung mà người dùng của bạn không nên xem

Dừng (drop) chương trình thực thi

Java applet

Điều khiển ActiveX


Trả lời câu hỏi:

Giống nhau:

Firewall và proxy server đều có thể lọc gói tin, lọc nội dung, ngăn chặn kết nối trực tiếp từ bên ngoài vào

mạng nội bộ.

Firewall và máy chủ proxy đều có thể giúp chặn virus và các dạng phần mềm độc hại khác lây nhiễm sang

máy tính.

Khác nhau:

1. Chức năng thường dùng là Firewall dùng chặn các kết nối còn Proxy Server tạo điều kiện cho các kết nối.

2. Firewall có thể chặn các chương trình chạy trên máy tính, proxy không làm được điều này, Firewall cũng

có thể block các dịch vụ hoặc tạo những ngoại lệ cho các chương trình mình cho phép.

3. Firewall thường tồn tại như một giao diện giữa Public (mạng công cộng) và Private network (mạng riêng

tư), trong khi đó các Proxy Server cũng có thể tồn tại với Public Network (mạng công cộng) trên cả 2 bên.

4. Firewall được sử dụng để bảo vệ một mạng nội bộ (internal network ) chống lại các cuộc tấn công trong

khi đó một Proxy Server được sử dụng để giấu tên ( như các máy bên ngoài không thể xác định được ip máy

chủ trong mạng nội bộ.

5. Có thể chặn các trang web thông qua firewall, firewall có thể chặn cổng 80, giao thức HTTP sử dụng để

truy cập các trang web, nhưng nếu thực hiện điều này, sẽ không thể truy cập vào bất kỳ trang web nào. Một

máy chủ proxy phù hợp hơn với nhiệm vụ này vì nó phân biệt tốt hơn trong việc lọc các trang web. Ví dụ:

có thể chọn chặn tất cả các trang web mạng xã hội trong giờ làm việc nhưng cho phép truy cập vào các trang

web đó trong giờ nghỉ trưa và sau giờ làm việc. Một số máy chủ proxy có tùy chọn phân loại trang web

Câu 4: Mô tả cơ chế hoạt động của firewall?

- Dựa trên trên rule (ghi chi tiết ra rule gồm những gì)

+ Source IP (Địa chỉ IP nguồn)

+ Source port

+ Destination IP (Địa chỉa IP đích)

+ Destination port

+ Action (Allow/Deny)


Câu 5: Internet and world wide web security?

- Khái niệm:

Kiểm tra tìm hiểu cấu trúc của Internet Understanding the Structure of the Internet

• Sử dụng Internet tăng lên theo cấp số nhân trong 10 - 15 năm qua

• Cơ hội tìm cách khai thác các hệ thống được thiết kế kém trên Internet

• Khi những kẻ tấn công khai thác được những điểm mới

- Nhà cung cấp sẽ thông báo và cung cấp các bản sửa lỗi để chống lại việc khai thác của kẻ tấn công

Khái niệm:

• Internet: nhóm các mạng kết nối với nhau để tạo thành một cơ sở hạ tầng cho truyền thông

- Đầu tiên được thành lập vào giữa những năm 1960

• World Wide Web: sử dụng Hypertext Transfer Protocol (HTTP) và chỉ là một trong những

dịch vụ mà Internet cung cấp

- E-mail (sử dụng SMTP) và chuyển tập tin (sử dụng FTP) là các dịch vụ khác được cung cấp bởi

Internet

- Sử dụng máy chủ web, trình duyệt web và trang web để truyền đạt thông tin qua Internet

• Hệ thống bậc

- Bắt đầu với một mạng xương sống được kết nối thông qua các điểm truy cập mạng (NAP) cho

các nhà cung cấp dịch vụ Internet khu vực (ISP)

- ISP dịch vụ điểm hiện diện (POP) của các ISP kết nối với mạng doanh nghiệp, giáo dục hoặc mạng

gia đình

• Bộ định tuyến và đường trục giao tiếp Internet

- Đường trục giao tiếp Internet: mạng lưới xương sống thuộc sở hữu của các doanh nghiệp

hoặc nhà cung cấp dịch vụ mạng (NSP)

- Router định tuyến lưu lượng mạng đến đích thông qua bảng định tuyến

- Bộ định tuyến trong NSP backbones khác với LAN router bởi số lượng lưu lượng truy cập

cao mà chúng được thiết kế để xử lý

• Bộ nhớ vật lý, tốc độ CPU, giao diện và hệ điều hành có thể giúp lưu lượng truy cập khổng lồ

• Điểm truy cập mạng (NAP)

- Các cơ sở công cộng có độ an toàn cao, nơi backbones được kết nối với nhau

- Cung cấp không gian vật lý, sức mạnh và kết nối mạng giữa các cấp tầng Internet khác nhau

- Định vị ở mỗi quốc gia để cung cấp khả năng kết nối

• Nhà cung cấp dịch vụ Internet (ISP)

- ISP cục bộ hoặc POP cung cấp quyền truy cập Internet trực tiếp cho người tiêu dùng hoặc

doanh nghiệp

- ISP khu vực bán băng thông cho các ISP địa phương


- Backbone ISP hoặc NSP cung cấp cho các ISP trong khu vực quyền truy cập ackbone

• Hệ thống tên miền (DNS)

- Dịch vụ phân giải tên dịch các tên miền đủ điều kiện sang địa chỉ IP

- DNS là một hệ thống phân cấp

• Máy chủ gốc biết được các máy chủ trên mạng Internet là trách nhiệm domain cấp cao nhất

• Mỗi tên miền cấp cao nhất có các máy chủ riêng của mình, người đó chịu trách nhiệm phân

giải địa chỉ tên miền thành địa chỉ IP với các máy chủ định danh thấp hơn

- Địa chỉ Anycast cho phép bất kỳ nhóm máy chủ nào hoạt động như một máy chủ gốc

- Phân tích những điểm yếu trên mạng internet liên quan đến:

o IP Spoofing

o Routing Security

o DNS Security

o Internet Host Security

Trả lời:

– Những kẻ tấn công liên tục khám phá những cách thức khai thác cơ sở hạ tầng Internet mới.

– IP Spoofing (gải mạo IP): Khi kẻ tấn công thay đổi địa chỉ IP nguồn trong tiêu đề của các gói

độc hại họ đang gửi để khớp với địa chỉ IP của máy chủ đáng tin cậy

o Kẻ tấn công gửi các gói ping vào mạng để tìm địa chỉ IP hợp lệ

o Được sử dụng thường xuyên nhất trong các cuộc tấn công từ chối dịch vụ (DoS).

o Mục tiêu là làm ngập mạng bằng các gói tin ( gửi nhiều gói tin đến) và khiến nó bị hỏng.

o Lọc gói thông qua các bộ định tuyến là một biện pháp phòng thủ chính.

– Routing Security

o Giao thức định tuyến được sử dụng để truyền thông tin cập nhật cho các bảng định tuyến

o Thông tin định tuyến không được xác thực dễ bị công kích

– DNS Security

– Thông tin DNS không được xác thực

_ Bộ nhớ đệm nhiễm độc DNS (DNS giả mạo): kẻ tấn công có thể gửi dữ liệu sai đến một tên máy

chủ. Chỉ định các nạn nhân không ngờ đến máy chủ mà kẻ tấn công chọn sẵn.

– Rò rỉ thông tin DNS: Kẻ tấn công có quyền truy cập vào các mục cơ sở dữ liệu DNS

– Internet Host Security

– Những kẻ tấn công chiếm quyền điều khiển máy tính không được bảo vệ và sử dụng chúng

làm máy tính “zombie” để gửi thư rác, tấn công DoS và mã độc hại

– Botnet: mạng máy tính zombie

o Được tập hợp bởi những kẻ tấn công để phóng đại phạm vi và cường độ tấn công của họ

– Theo phòng thí nghiệm bảo mật M86:


o 91% e-mail spam được gửi vào tháng 5 năm 2012 được cung cấp bởi các máy tính zombie bị

tấn công.

– Thực tiễn để giảm thiểu rủi ro:

o Phần mềm chống vi-rút, tường lửa và cập nhật bản vá lỗi hệ thống.

- Các dạng tấn công trang web:

+ Buffer overflow attacks (Tấn công tràn bộ đệm)

Tấn công tràn bộ đệm

• Khai thác lỗ hổng phần mềm mà người sử dụng và nhân viên an ninh mạng có ít hoặc không có

quyền kiểm soát

• Cuộc tấn công thường đi kèm với không có cảnh báo và hầu như không thể phát hiện và sửa chữa

• Mã nguồn được bọc trong một "hộp đen" để bảo vệ nó từ giả mạo, Nhiều kẻ tấn công có kỹ năng

xử lý theo nhiều cách

• Vấn đề an ninh bắt đầu khi phát hiện mã code viết kém bảo mật, đó là nguyên nhân làm cho tràn bộ

đệm, kẻ tấn công sẽ nhúng mã độ vào chương trình đó gấy nên tràn bộ đệm

• Đệm: phần của bộ nhớ truy cập ngẫu nhiên được chia sẻ bởi quá trình ứng dụng phụ thuộc vào một

trong những cách dưới đây.

- Phối hợp dữ liệu dành cho sử dụng bởi các hoạt động riêng biệt

- Thành phần đệm quan trọng cho sự phối hợp là function stack ( là chức năng sắp xếp)

• Kẻ tấn công bộ đệm thông thường sử dụng mục đích này

- Ngăn xếp được phân bổ một kích thước cố định trong bộ nhớ.

• Nếu quá trình đẩy instructions ở trên stack tiêu thụ tất cả các khoảng không gian cho stack sẽ xảy ra

tràn bộ đệm

• Sụ Bảo Vệ chống lại tấn công bộ đệm thường không được kích hoạt

• Bảo vệ tốt nhất là cài đặt các bản vá lỗi và bản cập nhật sớm khi có sẵn.

- Hầu hết các thiệt hại tấn công tràn bộ đệm gây ra trên hệ thống không được vá lỗi.

• Cài đặt phần mềm phát hiện và phòng chống sự xâ nhập có thể cũng có lợi

+ SQL injection (Tấn công cơ sở dữ liệu)

Đa số ứng dụng web ngày này đều quản lý và đáp ứng các yêu cầu truy xuất dữ liệu thông qua ngôn

ngữ truy vấn cấu trúc SQL. Các hệ quản trị cơ sở dữ liệu thông dụng như Oracle, MS SQL hay

MySQL đều có chung một đặc điểm này, chính vì vậy những dạng tấn công liên quan đến SQL

thường được xếp hàng đầu trong danh sách các lỗ hổng nguy hiểm nhất, và dạng tấn công vào những

lỗi này gọi là SQL injection.

Vào tháng 12 năm 2010 một đợt tấn công SQl injection đã lấy đi hàng trăm ngàn thông tin khách

hàng, hoặc tin về hacker Albert Gonzalez được cho là đã lấy cắp 130 triệu thông tin thẻ tín dụng

thông qua tấn công SQL injection vào các website và cài đặt công cụ sniffer để đánh cắp dữ liệu, đây

được xem là một đợt trộm cắp thông tin người dùng được lớn nhất trong lịch sử Hoa Kỳ


Chúng ta thấy, các tấn công dạng này của hacker thường đánh vào các trang web chứa thông tin tài

khoản quan trọng của người dùng trên các trang web thương mại điện tử, kết quả thu được có giá trị

kinh tế cao, và khả năng thành công lớn, dễ tiến hành là những đặc điểm khiến cho SQL injection

được xếp hàng số 1 trong danh sách những lỗi bị ảnh hưởng nhiều nhất trong năm 2010

“SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ

liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để

inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp, Sql injection có thể cho phép những kẻ

tấn công thực hiện các thao tác, delete, insert, update,… trên cơ sỡ dữ liệu của ứng dụng, thậm chí là

server mà ứng dụng đó đang chạy, lỗi này thường xãy ra trên các ứng dụng web có dữ liệu được

quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase...

+ Attack Techniques Against Web Users (Tấn công chống lại các trang mạng xã hội)

Kỹ thuật xã hội tấn công nạn nhân dựa vào những cảm xúc như tính tò mò, sợ hãi, tham lam,… Hầu

như tất cả các cuộc tấn công chống lại người dùng Web có thể được ngăn chặn

- Các cuộc tấn công vào người dùng Web:

- Hành vi trộm cắp danh tính

- Hành vi nguy hiểm đơn giản

- Người dùng Web được thông báo nên hiểu các phương pháp tấn công và biết cách ngăn chặn

chúng

+ Phishing Attacks (Tấn công lừa đảo)

• Lừa đảo: tấn công thông qua trình duyệt web hiển thị thông tin giả mạo, giả mạo dưới dạng

dữ liệu hợp pháp

- Được thiết kế để ăn cắp thông tin cá nhân như dữ liệu thẻ tín dụng, số tài khoản, tên người

dùng và mật khẩu

• Hình thức lừa đảo đơn giản là lừa đảo tiền Nigeria

Thủ phạm gửi e-mail yêu cầu giúp đỡ trong việc chuyển tiền từ Nigeria sang Mỹ

- Một hình thức khác liên quan đến việc lừa đảo từ trang web

- Kẻ tấn công gửi email có vẻ như đến từ các nguồn đáng tin cậy (ngân hàng, công ty bảo

hiểm, v.v ...)

• Email lừa đảo có các đặc điểm sau :

- Email không được yêu cầu và không mong muốn

- Logo và đồ họa là bản sao hình ảnh của công ty

- Tin nhắn sử dụng lời chào chung, chẳng hạn như "Kính gửi quý khách hàng" hoặc "Người

dùng ngân hàng doanh nghiệp"

- Thông báo truyền đạt cảm giác cấp bách, chẳng hạn như “Vui lòng trả lời ngay lập tức”

- Thông tin tài khoản cá nhân được yêu cầu

- Chứa liên kết dường như là liên kết HTTPS an toàn


- Thông thường, liên kết mà bạn được chuyển hướng sẽ không còn hoạt động sau vài giờ nữa.

Kẻ tấn công chơi trò chơi đánh và chạy để tránh các nhà chức trách

• Mục tiêu của cuộc tấn công lừa đảo là lôi kéo người nhận e-mail nhấp vào liên kết không có

thật, truy cập trang web giả mạo và nhập thông tin cá nhân

• Các dạng lừa đảo:

- Pharming: lưu lượng dữ liệu truy cập đến một trang web hợp pháp được chuyển hướng đến

Web server của kẻ tấn công

- Spear phishing: kẻ tấn công xác định người dùng hoặc nhóm trong tổ chức bằng cách sử dụng

các cách khác nhau:

Chẳng hạn như e-mail, điện thoại, Facebook và các trang web của công ty

Sau đó gắn kết một cuộc tấn công để khai thác thông tin đăng nhập xác thực của nhân viên

• Đào tạo nhân viên tuân theo các nguyên tắc đơn giản này để ngăn chặn các cuộc tấn công lừa

đảo:

- Kiểm tra thanh địa chỉ và chân trang của trình duyệt. Nếu không có địa chỉ hoặc biểu tượng

khóa HTTPS, nó được cho là không an toàn.

- Nếu bạn nhận được một e-mail từ một công ty quen thuộc. Gọi để kiểm tra xem e-mail có

hợp pháp không

- Chuyển tiếp bất kỳ email lừa đảo rõ ràng nào cho công ty được mô tả trong nỗ lực lừa đảo.

PayPal và eBay có địa chỉ chuyển tiếp được thiết lập cho mục đích này

- Xóa mọi email không mong muốn về ngân hàng nước ngoài.

File Attachment Attacks (Tấn công dưới dạng file)

• Cuộc tấn công đầu tiên xảy ra vào năm 2002

- Tệp đính kèm JPEG có mã độc được nhúng trong mã tiêu đề tệp

• Tấn công đòi hỏi hai thành phần virus:

- Phần đầu tiên lan truyền dưới dạng virus thực thi Win32 truyền thống

Virus thực hiện các thay đổi đối với Registry để các tệp JPEG được chạy thông qua trình

trích xuất

Cảnh báo vi-rút là người dùng cố gắng xem hình ảnh JPEG

- Qua trình trích xuất nó tìm thành phần vi-rút thứ hai trong tiêu đề tệp đồ họa

• Người dùng nên thận trọng khi xem tệp đính kèm tệp hình ảnh từ các nguồn không xác định

ActiveX Control Attacks (Tấn công dưới dạng ActiveX)

• Điều khiển ActiveX: một đối tượng Windows được mã hóa bằng các ngôn ngữ như C ++,

Visual Basic và Java

- Mục đích là cung cấp nội dung động, tương tác cho các trang Web

• Những kẻ tấn công phát hiện ra rằng một điều khiển ActiveX có thể được lập trình để chạy

mã độc trên trình duyệt web của người dùng


- Chúng tự động chạy khi trình duyệt tải và có quyền truy cập gần như đầy đủ vào hệ điều hành

Windows

- Có thể truy cập và tải xuống các tệp, tạo chương trình Trojan và sâu, hoặc phá hủy các

chương trình hệ thống

• Bảo vệ chống lại các điều khiển ActiveX độc hại:

- Sử dụng cài đặt bảo mật trên trình duyệt Web để chặn điều khiển ActiveX chạy

- Điều chỉnh cài đặt trình duyệt để cho phép một số loại điều khiển ActiveX nhất định chạy và

chặn các loại khác

Java Applet (Tấn công dạng Java Applet)

• Java applet: chương trình nhỏ đôi khi được sử dụng làm mã nhúng trong các trang Web

• Trong các cuộc tấn công của Internet Explorer:

- Mã độc hại được nhúng trong một applet Java được sử dụng để khai thác kết nối mạng máy

chủ proxy

Phiên của người dùng đã được chuyển hướng để kẻ tấn công có thể nắm bắt thông tin của

người dùng

• Trong các cuộc tấn công của Netscape

- Mã Java applet có quyền truy cập vào các tệp cục bộ và từ xa trái phép

Bằng cách mở một kết nối đến một URL

• Vá hệ thống của bạn với các bản cập nhật và bản sửa lỗi mới nhất

Bảo mật tài nguyên web và internet

_ • Sự Thiết lập và duy trì một mạng lưới bảo mật với máy chủ an toàn cần cảnh giác với các thông

tin Cập Nhật

• Phiên bản mới của phần mềm, phần cứng, và mạng lưới truyền thông phải được phát hành thường

xuyên.

- Mối đe dọa đối với mạng lưới phải thay đổi thường xuyên.

• Tranh thủ giúp đỡ của các chuyên gia bảo mật và áp dụng một lập trường phòng ngừa đối với an

ninh mạng

• Kiểm tra với nhà cung cấp của tường lửa và phần mềm chống vi-rút cho các hướng dẫn trên để làm

thế nào tốt nhất để sử dụng sản phẩm.

-Thiết lập tự động download trinh duyệt virus mới nhất có đăng ký cơ sở dữ liệu.

• Bảo mật DNS Server.

• Máy chủ DNS chính – uỷ quyền domain và DNS zone file

- Zone file: tập hợp các hướng dẫn để giải quyết các domain thành địa chỉ IP

• Bên trong khu vực tập tin chứa tất cả mục nội bộ máy chủ trên mạng

• Bên ngoài khu vực tập tin chứa chỉ máy chủ lưu trữ mục Hiển thị cho công chúng

• Secondary DNS server-nhận được bản sao chỉ đọc tập tin khu vực


• Zone transfer : xảy ra khi một khu vực tập tin được gửi từ tiểu học đến trung học các máy chủ DNS

• Nếu chuyển vùng không được bảo đảm

- Những kẻ tấn công có thể đánh chặn và truy xuất một danh sách đầy đủ các tài nguyên mạng và các

mục tiêu có thể tấn công

• Nên cho phép chuyển giữa các máy chủ DNS chính và phụ.

- Các quản trị viên là những người cho phép người sử dụng Internet không đáng tin cậy để thực hiện

giao dịch chuyển vùng đang phạm một sai lầm lớn

• Nếu máy chủ DNS không sử dụng phương pháp phân tách để tách thông tin DNS đại chỉ IP nội bộ

và thông tin tên máy chỉ có thể được hiển thị

• Bảo mật chuyển vùng là cấu hình đơn giản:

- cấu hình tất cả các máy chủ DNS để hạn chế chuyển vùng các máy chủ, được ủy quyền cụ thể là

máy chủ DNS

• Nếu một tổ chức có một máy chủ DNS là uỷ quyền cho domain của mình trên Internet

- Máy chủ DNS nắm trong DMZ bằng cách sử dụng một kiến trúc DNS - Split DNS kiến trúc : vật lý

tách máy chủ DNS công cộng từ máy chủ DNS nội bộ của tổ chức

- Split não kiến trúc DNS : vật lý tách biệt tồn tại giữa bên trong và bên ngoài máy chủ DNS, nhưng

cả hai hệ thống DNS sử dụng cùng một tên miền

Câu 6 : Bảo mật trên mạng không dây cần làm những gì là quan trọng ?

(Chỉ quan tâm đến những cách bảo mật cho mạng không dây nó nằm rải rác nên ghi theo ý của mình)

chương 7

1. Chính sách bảo mật

Phạm vi và mục đích của chính sách

Chịu trách nhiệm có vai trò thông tin user có nên bảo mật hay không

Thủ tục yêu cầu, thử nghiệm, cài đặt, và cấu hình phần cứng và phần mềm

Gán trách nhiệm cho ai đó liên quan đến bảo mật

Có hướng dẫn và chính sách khi phát hiện ai đó truy cập một cách bừa bãi

Có những văn bản tính toán kết nối, cách bảo vệ tránh tấn công từ bên ngoài

Huấn luyện bảo mật phòng chống tấn công của mạng không dây

Huấn luyện nhân viên truy cập internet để tránh những nguy hiểm tìm ẩn

Gán trách nhiệm cho ai đó bảo vệ dữ liệu quản lý thông tin hay thiết bị

2. Bảo mật vật lý

Bảo vệ vị trí đặt của mạng không dây đảm bảo an toàn

Đặt những AP nơi an toàn


3. Thay đổi thông tin cấu hình mặc định phần cứng và phần mềm.

Thay đổi cấu hình mặc định của SSID

Thay đổi pass admin

Cấm tín hiệu băng truyền

Thay đổi khóa nhà sản xuất

Thay đổi băng tần mặc định

Phương pháp thắt chặc liên quan AP

4. Quản lý mạng không dây

Báo cáo rõ ràng về hoạt động thông tin liên lạc không dây, bao gồm cả các biện pháp để bảo

vệ phần còn lại của mạng từ thiệt hại tiềm năng.

Đào tạo an ninh, nâng cao nhận thức cho người dùng về mạng không dây

Phải được thực hiện nhận thức được tiềm năng cho các hành vi trộm cắp và hậu quả của việc

bị đánh cắp các thiết bị.

Nên được đào tạo không để thiết bị không dây, đăng nhập vào mạng

Bao gồm hướng dẫn cho việc bảo vệ các thiết bị di động từ thiệt hại ưa ra các hình phạt cho

việc cố gắng phá vỡ các biện pháp an ninh.

5. Xác thực và mã hóa theo chuẩn

WPA : Wi-Fi Protected Access

WPA2 : Wi-Fi Protected Access version 2

WPS (Wi-Fi Protected Setup)

Filltering (lọc)

Câu 7 : Cơ chế bắt tay 3 chiều ?

Chu trình sống của TCP và Handshake TCP ba bước

Thiết lập giao tiếp theo hướng kết nối bằng cách sử dụng một cái bắt tay ba cách:

- Host A gửi một số thứ tự ban đầu trong gói tin đầu tiên đến Host B. Gọi là một gói tin SYN

- Host B nhận gói SYN - đáp ứng với SYN ACK với một số thứ tự ban đầu cho Host B. Bao gồm một

số xác nhận là một trong nhiều hơn so với số thứ tự ban đầu

- Host A gửi một gói ACK tới Host B. Tăng số thứ tự của máy chủ B lên một

Kích thước cửa sổ trượt: xác định số lượng các gói có thể được gửi trước khi ACKs phải được nhận

- Kiểm soát dòng chảy và hiệu quả của truyền thông

- Sender điều khiển kích thước của cửa sổ trượt

Cờ FIN được đặt khi một trong hai bên đã sẵn sàng để kết thúc phiên

- Trạm nhận được cờ ban đầu gửi một gói tin trả lời có cờ ACK và cờ FIN của nó thiết lập để xác nhận

nhận và cho biết nó đã sẵn sàng để kết thúc phiên


Câu 8 : Để bảo mật một hệ thống mạng theo mô hình OSI hoặc TCP/IP thì chúng ta phải làm gì ?

(Dựa trên mô hình nghĩ ra cách bảo mật, dựa theo kiến thức bào mật trên firewall, mạng không dây để làm

câu này)

Tài liệu chỉ mang tính chất tham khảo mỗi người một ý tự làm câu này.

Mô hình TCP/IP

Tầng giao vận - Transport Layer (tầng 3)

Tầng giao vận phân phát dữ liệu giữa hai tiến trình khác nhau trên các máy tính host. Một giao thức đầu vào

tại đây cung cấp một kết nối logic giữa các thực thể cấp cao.Các dịch vụ có thể bao gồm việc điều khiển lỗi

và điều khiển luồng. Tại tầng này bao gồm các giao thức Transmission Control Protocol ( TCP ) và User

Datagram Protocol ( UDP )

Tầng ứng dụng – Application Layer (tầng 4)

Tầng này bao gồm các giao thức phục vụ cho việc chia sẻ tài nguyên và điều khiển từ xa ( remote access ).

Tầng này bao gồm các giao thức cấp cao mà chúng được sử dụng để cung cấp các giao diện với người sử

dụng hoặc các ứng dụng. Một số giao thức quan trọng như File Transfer Protocol ( FTP ) cho truyền thông,

HyperText Transfer Protocol (HTTP ) cho dịch vụ World Wide Web, và Simple Network Management

Protocol (SNMP ) cho điều khiển mạng. Ngoài ra còn có : Domain Naming Service ( DNS ), Simple Mail

Transport Protocol ( SMTP ), Post Office Protocol ( POP ). Internet Mail Access Protocol ( IMAP ), Internet

Control Message Protocol ( ICMP )….

Firewall hoạt động ở tầng 3 và tầng 4:


Tầng 3 firewall bảo mật dựa vào các chức năng cơ bản: Filtering, Proxying, Logging

Tầng 4 firewall bảo mật dựa vào chức năng lọc các ứng dụng là chính, ngoài ra còn có antivirus, malware,…

Tham khảo câu trả lời của Đào Thanh Quý

Để bảo mật một hệ thống mạng theo mô hình OSI hoặc TCP/IP thì chúng ta phải làm gì ?

I. Bảo mật trên firewall

1. Bảo mật thiết bị: gồm các nội dung sau

Cấu hình bộ định tuyến bảo mật

- Đặt tên dễ nhớ cho các router để thao tác gõ lệnh được chính xác và đơn giản.

- Bảo mật tất cả các cổng: Tất cả các cổng kết nối tới bộ định tuyến phải được bảo mật, bao gồm cả cổng vật

lý và các cổng gửi đến từ các địa điểm ở xa

- Đặt mật khẩu mạnh cho quản trị viên

- Tạo thay đổi từ giao diện điều khiển (console): Việc cấu hình router phải được thực hiện từ giao diện điều

khiển, không được tiến hành tại một vị trí từ xa

2. Quản lý thiết kế mạng

2.1. Tách mạng:

Phân tách giữa các phần khác nhau của hệ thống mạng, ví dụ như phân khúc mạng quản lý đơn hàng không

được phép truy cập tới mạng quản lý nguồn nhân lực.

2.2. Quản lý mạng LAN ảo:

Phân đoạn mạng bằng cách nhóm các thiết bị vật lý thành các đơn vị lôgíc thông qua VLAN.

Người dùng có thể được nhóm lại với nhau theo cách lôgíc và không phân biệt kết nối với switch nào

Một mạng VLAN không nên giao tiếp với mạng VLAN khác, trừ khi chúng được kết nối tới cùng một bộ

định tuyến (router)

Cấu hình các cổng trống của switch để kết nối với một mạng VLAN không được sử dụng

Các mạng VLAN khác nhau nên được kết nối tới các switch khác nhau

Thay đổi tên mặc định của các mạng VLAN


Cấu hình các cổng switch truyền các gói tin VLAN được gán nhãn để chuyển tiếp các thẻ xác định một

cách tường minh

Cấu hình mạng VLAN sao cho các thiết bị dùng chung không nằm trong một mạng VLAN riêng (private)

3. Bảo mật cổng

Vô hiệu hóa các cổng không dùng

Tắt hết các cổng không cần thiết trên mạng

Những switch không được bảo mật cổng cho phép kẻ tấn công kết nối đến các cổng không sử dụng và tấn

công vào mạng

Tất cả các cổng phải được bảo mật trước khi triển khai vào mạng

Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử dụng

Giới hạn và lọc địa chỉ MAC

Lọc và giới hạn số lượng địa chỉ MAC (media access control address) cho phép trên một cổng

Cổng có thể được thiết lập giới hạn bằng 1 địa chỉ MAC cụ thể có thể gán cho cổng đó

Một địa chỉ MAC cụ thể có thể được gán cho một cổng: Chỉ cho phép duy nhất một máy chủ hợp lệ được

kết nối đến cổng

II. Bảo mật mạng không dây

Các giải pháp bảo mật mạng không dây

Cần phải có một phương pháp thống nhất để bảo mật mạng WLAN: IEEE và liên minh Wi-Fi đã bắt đầu

xây dựng giải pháp bảo mật cho mạng không dây -> Chuẩn 802.11i được sử dụng cho tới ngày nay.

Các giải pháp bảo mật mạng không dây hiện nay

Giải pháp WPA (Wi-Fi Protected Access – WPA)

WPA thay đổi khóa cho mỗi gói tin. Các công cụ thu thập các gói tin để khóa phá mã hóa đều không thể

thực hiện được với WPA. Bởi WPA thay đổi khóa liên tục nên hacker không bao giờ thu thập đủ dữ liệu

mẫu để tìm ra mật khẩu

Giải pháp WPA2 (Wi-Fi Protected Access 2 – WPA2) : AES sử dụng thuật toán mã hóa đối xứng theo

khối Rijndael, sử dụng khối mã hó 128 bit, và 192 bit hoặc 256 bit


LỌC (Filltering)

Có 3 kiểu lọc cơ bản có thể sử dụng trong wireless lan:

– Lọc SSID

– Lọc địa chỉ MAC: Nếu client có địa chỉ MAC không nằm trong danh sách lọc địa chỉ MAC của AP thì AP

sẽ ngăn chặn không cho phép client đó kết nối vào mạng.

– Lọc giao thức Mạng Lan không dây có thể lọc các gói đi qua mạng dựa trên các giao thức từ lớp 2 đến lớp

7

END

– Với người dùng sử dụng mạng WLAN cho gia đình, một phương thức bảo mật với WPA passphare hay

preshared key được khuyến cáo sử dụng.

– Với giải pháp doanh nghiệp, để tối ưu quá trình bảo mật với 802.1x EAP làm phương thức xác thực và

TKIP hay AES làm phương thức mã hóa. Được dựa theo chuẩn WPA hay WPA2 vf 802.11i security. Với

các doanh nghiệp đòi hỏi bảo mật, quản lý người dùng chặc chẽ và tập trung, một giải pháp tối ưu được đặt

ra đó là sử dụng dịch vụ chứng thực RADIUS kết hợp với WPA2. Với dịch vụ chứng thực này, người dùng

không dùng chung một “share key” mà có tên đăng nhập và mật khẩu riêng, được quản lý bởi server AAA.

Documents

Cty M t Thành Viên Group 12bvl Page | 1 · Tăng tốc độ truyền thông mạng ... Cách proxy server hoạt ... Thay thế tiêu đề gốc bằng tiêu đề mới Chứa