Bài giảng Thiết kế hạ tầng máy tính - Chương 8: Thiết kế an ninh - Nguyễn Hồng Sơn

1Chương 8 THIẾT KẾ AN NINH TS. Nguyễn Hồng Sơn 2NỘI DUNG
GIỚI THIỆU
THIẾT KẾ AN NINH MẠNG
CÁC CƠ CHẾ AN NINH
MODULE HÓA THIẾT KẾ AN NINH 3GIỚI THIỆU
Đảm bảo an ninh mạng là quá trình liên tục
Chu kỳ: thi công, giám sát, kiểm thử và cải tiến
Cập nhật liên tục các cơ chế an ninh để chống lại các kiểu tấn công mới nhất
Chia quá trình thiết kế an ninh thành các bước 4THIẾT KẾ AN NINH MẠNG
Xác định tài nguyên cần bảo vệ
Phân tích các nguy cơ
Phân tích các yêu cầu an ninh và cân nhắc lợi hại
Xây dựng kế hoạch an ninh
Xây dựng chính sách an ninh
Xây dựng thủ tục và qui trình an ninh 5Xác định tài nguyên cần bảo vệ và các nguy cơ
Tài nguyên mạng gồm: host, thiết bị nối mạng, data truyền trên mạng, sở hữu trí tuệ, bí mật thương mại và thương hiệu
Nguy cơ từ các hành vi xâm nhập cố ý cho đến vô tình download các chương trình có chứa virus 6Phân tích cân đối các lợi ích
Chi phí bảo vệ phải nhỏ hơn chi phí sửa chữa
Security ~ performance, affordability, usability, availability
Security thêm việc vào quản lý
Lọc gói và mật mã sẽ tiêu thụ công suất xử lý và chiếm dụng bộ nhớ
Ảnh hưởng tính dự phòng
Khó cân bằng tải 7Xây dựng security plan
Kế hoạch chỉ rõ thời gian, con người, các tài nguyên cần để phát triển chính sách an ninh và triển khai chính sách này
Security plan phải tham chiếu network topology và bao gồm một danh sách các dịch vụ mạng sẽ cung cấp (web, email, ftp...). Danh sách chỉ rõ ai cung cấp dịch vụ, ai truy xuất dịch vụ, cách thức cung cấp và ai quản trị dịch vụ
Dịch vụ được bảo vệ bởi packet filter, firewall, quá trình xác thực user,... 8Xây dựng security policy
Security policy đưa ra qui định bảo vệ các tài nguyên mạng.
Chính sách cũng chỉ ra cơ chế thực thi các qui định
Thủ tục cam kết
Khi tổ chức thay đổi, những nguy cơ mới xuất hiện, security policy phải được hiệu chỉnh và cập nhật 9Các thành phần của một security policy (1/2)
Access policy: quyền truy xuất và đặc quyền – Hướng dẫn kết nối với mạng ngoài – Kết nối thiết bị vào mạng – Cài đặt phần mềm mới vào hệ thống – Phân loại số liệu (nội bộ, tối mật...)
Accountability policy: định nghĩa các nghĩa vụ của account – Ghi rõ khả năng kiểm định – Hướng dẫn kiểm soát tai họa, chỉ rõ nếu điều gì xảy ra thì phải báo với ai 10 Các thành phần của một security policy (2/2)
Authentication policy: thiết lập xác thực qua chính sách mật khẩu hiệu quả.
Privacy policy: các yêu cầu riêng tư
Hướng dẫn về đầu tư, cấu hình và kiểm định các hệ thống máy tính và mạng để tương thích với chính sách 11 Thủ tục an ninh
Thực hiện các security policy
Một thủ tục an ninh định nghĩa các quá trình: – Cấu hình – Đăng nhập – Kiểm định – Bảo trì
Được viết cho từng chủ thể tham gia mạng: – User – Network administrator – Security administrator 12 CÁC CƠ CHẾ AN NINH
Bảo vệ mức vật lý
Xác thực
Cấp quyền
Kiểm định
Mật mã số liệu
Lọc gói
Firewall
Phát hiện xâm nhập 13 Bảo vệ vật lý
Ngăn chặn thâm nhập vào các tài nguyên mạng trọng yếu--> bảo vệ phòng hệ thống
Đặt ở những nơi an toàn, phòng ngừa thiên tai
Các biện pháp cấp nguồn điện dự phòng, báo cháy, chống ẩm, giải nhiệt
Phương án cho các tình huống đột xuất 14 Xác thực
Thường dùng để xác thực user
Cũng có thể xác thực giữa các thiết bị mạng
Hầu hết các chính sách an ninh đều yêu cầu user phải nhập ID và mật khẩu vào một server bảo mật để có thể truy nhập tài nguyên
Xác thực dùng 2 yếu tố (two-factor authentication) 15 Cấp quyền
Những gì có thể làm sau khi đã được xác thực
Security administrator điều khiển các phần của mạng
Nên dùng khái niệm principle of least privilege
Cấp quyền thay đổi tùy theo user, tùy theo tính chất công việc... 16 Kiểm định
Để phân tích tình hình an ninh mạng và đối phó với các tai họa, cần thu thập số liệu hoạt động mạng
Ghi lại các lần được xác thực và cấp quyền của bất kỳ ai, thay đổi quyền.
Đánh giá an ninh, đánh giá định kỳ các thương tổn của mạng (-->security plan, security policy) 17 Mật mã số liệu
Các thiết bị như router, server hay thiết bị chuyên dụng có thể tác nghiệp như một thiết bị mật và giải mật
Mật mã luôn có 2 phần: – Thuật toán mật mã – Khóa mật: là mã được dùng bởi thuật toán mật mã để mật và giải mật số liệu
Khóa đối xứng
Khóa bất đối xứng 18 Lọc gói
Được thiết lập trên router, firewall, server để chấp nhận hay từ chối các gói từ một địa chỉ hay dịch vụ nào đó
Tăng cường thêm vào cơ chế xác thực và cấp quyền
Thực hiện lọc theo một trong hai cách: – Từ chối các loại gói nào đó và chấp nhận tất cả – Chấp nhận các loại gói nào đó và từ chối tất cả
Cisco dùng cách thứ hai dưới dạng ACL 19 Firewall
Là nơi thi hành phần lớn các security policy tại biên giới mạng
Chứa tập luật chi phối lên traffic
Static packet-filter firewall
Statefull firewall
Proxy firewall 20 Firewall (DMZ) topology 21 Three-Part firewall topology
Cấu hình phức tạp
Traffic của Enterprise chạy qua DMZ , DMZ có thể bị thỏa hiệp làm bàn đạp tấn công Enterprise.
Giải pháp: dùng các ACL tại các router, dùng firewall với cấu hình nhiều ACL hơn, chạy phần mềm firewall trên các host trong DMZ và cấu hình dịch vụ giới hạn. 22 Phát hiện xâm nhập
IDS phát hiện các sự kiện xâm nhập và thông báo cho admin
Có hai loại IDS: host IDS và network IDS
Network IDS giám sát tất cả traffic mạng, thường được đặt trên một subnet kết nối trực tiếp đến firewall
Một vấn đề của các IDS là mức độ phát ra các cảnh báo sai 23 MODULE HÓA THIẾT KẾ AN NINH
An ninh theo chiều sâu
Không có cơ chế an ninh nào là vạn năng, nên thiết kế nhiều tầng nhiều lớp bảo vệ.
Thiết kế an ninh theo module, Cisco System dùng SAFE Blueprint
Các module: – Kết nối Internet – Remote access và VPN – Dịch vụ mạng và quản lý mạng – Server farm và user service – Wireless network 24 An ninh cho kết nối Internet (1/2)
Mạng nên có các ngõ vào/ra rõ ràng
Bảo vệ các kết nối Internet bằng các cơ chế an ninh như bảo vệ vật lý, firewall, packet filter, audit log, xác thực, cấp quyền.
Trên các router nối ra Internet phải có packet filter để chống lại DoS và các dạng tấn công khác.
Nên đặt packet filter dự phòng trên thiết bị firewall
Thiết lập các hệ thống IDS trên mạng và trên host 25 An ninh cho kết nối Internet (2/2)
Để chống lại các hoạt động do thám mạng các router và thiết bị firewall ở hàng đầu nên khóa tất cả các kết nối đến, ngoại trừ các kết nối cần thiết đến các pubic server, cũng khóa các gói thường được dùng để do thám như ping.
Khi chọn giao thức định tuyến cho kết nối Internet hay Internet router cần dùng các giao thức có hỗ trợ xác thực như RIPv2, OSPF, EIGRP, BGP4. Nếu cần dùng định tuyến tĩnh.
Dùng NAT để ẩn dấu các địa chỉ bên trong 26 An ninh cho public server (1/)
Các public server được đặt trên DMZ và được bảo vệ qua firewall
Để chống DoS nên dùng OS tin cậy và các ứng dụng đã vá hầu hết các lỗ hổng an ninh.
Trên server nên chạy các phần mềm kiểm tra các nội dung được mang trong các giao thức
Nếu có điều kiện nên tách ftp server khỏi web server, cũng không nên cho phép kết nối Internet kết nối vào TFTP server 27 An ninh cho public server (2/2)
Đối với email server nên thường xuyên theo dõi cập nhật các lỗi an ninh
Phải điều khiển và giám sát DNS server cẩn thận. Bảo vệ bằng packet filter đặt trên router
Hiện nay chữ ký số và các đặc tính an ninh khác đã được bổ sung vào giao thức tên miền, cần chọn phần mềm DNS có tích hợp các đặc tính an ninh.
Tham khảo RFC 2535 (Domain Name System Security Extensions ) 28 An ninh cho e-commerce server
Tổn thất trên e-commerce server sẽ nghiệm trọng
Bảo vệ chống lại DoS bằng filtering rules, ngăn chặn các kết nối liên tiếp trong thời gian ngắn
Chấp nhận các phiên bảo mật từ client đến front-end web server, xử lý các request và truy vấn database server
Nên tách biệt các servers trên DMZ, ví dụ có firewall giữa database server và front-end web server
Nên tách biệt các server trên cùng segment bằng VLAN 29 An ninh cho remote-access
Các cơ chế có thể dùng bảo vệ các dialup access: firewall, vật lý, xác thực, cấp quyền, kiểm định và mật mã.
Các remote user dùng PPP nên có xác thực bằng CHAP (Challenge Handshake Authentication Protocol)
Có thể xác thực bằng RADIUS (Remote Authentication Dial-In User/Server Protocol) 30 An ninh cho VPN
Cần ngăn ngừa các lợi dụng client hay remote site để tấn công vào enterprise network qua VPN. Bản thân các hệ điều hành trên client phải có firewall và phần mềm chống virus
VPN thường dùng IPsec để bảo mật kênh qua mạng công cộng.
RFC 2401, RFC 2402, RFC 2406 và RFC 2408
Giao thức trao đổi khóa IKE dùng: DES, Diffie- Hellman, message digest 5 (MD5), Secure Hash Algorithm (SHA), RSA 31 An ninh cho các dịch vụ mạng
Bảo vệ các thiết bị nối mạng như router và switch, tránh dùng các giao thức không an toàn như Telnet để truy xuất thiết bị qua mạng, nên chọn SSH (Security Shell)
Cẩn thận khi chọn truy xuất vào console port từ modem
Để quản lý số lượng router và switch lớn có thể dùng TACACS (Terminal Access Controller Access Control System ) 32 An ninh cho quản lý mạng
Hạn chế dùng SNMP trên enterprise network, có thể dùng SNMPv3 có hỗ trợ xác thực
Nên đặt các hệ thống quản lý mạng trên DMZ phía sau firewall
Chống hành vi mạo danh administrator bằng cách cung cấp cho administrator cơ chế xác thực mạnh ví dụ two-factor dùng card 33 An ninh cho server farm
Chứa hầu hết các ứng dụng bên trong campus
Performance là tiêu chí quan trọng, hạn chế các cơ chế an ninh
IDS phải được triển khai
Chống tấn công dùng một server làm bàn đạp, cấu hình các bộ lọc nhằm hạn chế các kết nối từ server (ví dụ active FTP)
Cập nhật dữ liệu về virus mới nhất và vá ngay các lỗ hổng trên OS
Có thể dùng Kerberos để hỗ trợ an ninh cho giao thức lớp ứng dụng như FTP hay Telnet (xác thực và mật mã) 34 An ninh cho các user service
Chính sách an ninh nên chỉ rõ các ứng dụng nào được phép chạy trên PC nối mạng và hạn chế download các ứng dụng từ Internet
Các PC phải có firewall và phần mềm chống virus, cũng nên có qui trình cài đặt và cập nhật các phần mềm này trên các PC
Người dùng phải kết thúc phiên kết nối với server khi rời khỏi PC
Dùng thiết bị hỗ trợ xác thực theo IEEE 802.1X trên port để ngăn chặn user cài thiết bị lạ 35 An ninh cho wireless network (1/2)
An ninh trên wireless network hiện lỏng lẻo
Nên đặt wireless LAN trên một subnet hay VLAN riêng
Tạo các ACL trên access point, switch và router chuyển tiếp tải bắt nguồn từ wireless network. ACL chỉ cho phép các giao thức nhất định được ghi trong chính sách an ninh
Các máy tính phía user phải có firewall và phần mềm chống virus riêng, thường xuyên cập nhật các mảnh vá OS 36 An ninh cho wireless network (2/2)
Xác thực Open và shared key (dùng WEP (wireless equivalent privacy))
Xác thực bằng SSID (service set Indentifier), user phải biết
Xác thực bằng MAC address
Dùng 802.1X với EAP (Extensible Authentication Protocol)
802.11i
WPA (Wi-Fi Protected Access)
RSN (Robust Security Network )
Dùng VPN software trên wireless client 37 HẾT CHƯƠNG 8