Đang tải... (xem toàn văn)
Phần I : Tổng Quan 4 1.1. Tổng quan về đề tài 4 1.2. Tổng quan về an ninh mạng 5 1.3. Các chính sách an ninh mạng 9 Phần II : ASA 17 2.1. Lịch sử ra đời. 17 2.2. Các sản phẩm tường lửa của Cisco 17 2.3. Điều khiển truy cập mạng (NAC) 18 2.4. Lọc gói (Packet Filtering) 18 2.5. Lọc nội dung và URL (Content and URL Filtering) 21 2.5.1. Content Filtering 21 2.5.2. ActiveX Filtering 22 2.6. Chuyển đổi địa chỉ. 22 2.6.1. Network Address Translation (NAT) 22 2.6.2. Port Address Translation (PAT). 23 2.7. Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA. 24 2.7.1. Remote Authentication DialIn User Service (Radius). 26 4.2. Terminal Access Controller AccessControl System (Tacacs+) 28 2.8. Định dạng TACACS và các giá trị tiêu đề 29 2.9. Kiểm tra ứng dụng 30 2.10. Khả năng chịu lỗi và dự phòng (failover and redundancy) 31 2.10.1 Kiến trúc chịu lỗi 31 2.10.2. Điều kiện kích hoạt khả năng chịu lỗi 32 2.11. Chất lượng dịch vụ (QoS) 33 2.11.1 Traffic Policing 34 2.11.2. Traffic Prioritization 35 2.12. Phát hiện xâm nhập (IDS) 35 2.12.1. Networkbased intrusion detection systems (NIDS) 35 2.12.2. Hostbased intrusion detection systems (HIDS) 38 Tài liệu tham khảo: 39 Tổng quan về đề tài Mục tiêu của việc nghiên cứu về Firewall ASA + Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn + Nghiên cứu về hệ thống firewall ASA. + Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều. + Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống. + ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trong một và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tài này là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứng dụng của nó trong việc bảo mật hệ thống mạng.Ket quả đạt được qua việc nghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào trong một số hệ thống mạng bất kỳ. +Nghiên cứu về AAA server. +Nghiên cứu về cách tổ chức giám sát hoạt động của người dừng cuối như thời gian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quan trọng.Yới mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng, có thể định nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành nhiệm vụ của họ và theo dõi những thay đổi trong mạng. Với khả năng log lại các sự kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra. Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng. Với thông tin thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian. Yêu cầu bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server. 1.2. Tổng quan về an ninh mạng 1. Mục tiêu an ninh mạng Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lại cho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những hacker mạng. Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục tiêu hàng đầu của an ninh mạng: > Bảo đảm mạng nội bộ không bị xâm nhập trái phép. > Các tài liệu và thông tin quan trọng không bị rò ri và bị mất. > Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được thực hiện. > Các cuộc mua bán trên mạng diễn ra đứng với yêu cầu người dùng. > Người dừng làm việc trên mạng không bị mạo danh, lừa đảo. 2. Các phương thức tấn công > Virus > Worm > Trojan > Từ chối dịch vụ > Phân phối từ chối dịch vụ > Zombies > Spyware > Phishing > Dựa vào yếu tố con người • Virus Một virus máy tính được thiết kế để tấn công một máy tính và thường phá các máy tính khác và các thiết bị mạng. Một virus thường có thể là một tập tin đính kèm trong email, và chọn các tập tin đính kèm có thể gây ra các mã thực thi để chạy và tái tạo virus. Một virus phải được thực hiện hoặc chạy trong bộ nhớ để chạy và tìm kiếm các chương trình khác hoặc máy chủ để lây nhiễm và nhân rộng. Như tên của nó, virus cần một máy chủ như là một bảng tính hoặc email để đính kèm, lây nhiễm, và nhân rộng. Có một số hiệu ứng chung của vi rút. Một số viras lành tính, và chỉ cần thông báo cho nạn nhân của họ rằng họ đã bị nhiễm bệnh. Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính. • Worm Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mật trên các máy tính khác để khai thác các điểm yếu và nhân rộng. Worm có thể tái tạo độc lập và rất nhanh chóng. Worm khác với virus trong hai cách chính: Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một máy chủ. Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt. Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập tin quan trọng trên máy tính bị nhiễm bệnh. Tuy nhiên, Worms có xu hướng mạng trung tâm hơn so với máy tính trung tầm. Worms có thể tái tạo một cách nhanh chóng bằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu. Worms cũng có thể chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể giao một máy tính mục tiêu cho các trạng thái của một zombie. Zombie là một máy tính có bị xâm phạm và hiện đang được kiểm soát bởi những kẻ tấn công mạng. Zombies thường được sử dụng để khởi động các cuộc tấn công mạng khác. Một bộ sưu tập lớn các zombie dưới sự điều khiển của kẻ tấn công được gọi là một botnet. Botnets có thể phát triển được khá lớn. Botnet được xác định đã lớn hơn 100.000 máy tính zombie. • Trojan horse Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trang chính nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệ màn hình. Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi vô thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạt động gây tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng. Trojan thường không tự sao chép .Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến, chẳng hạn như iTunes của Apple, để triển khai một Trojan. Ví dụ, một cuộc tấn công mạng sẽ gửi một email với một liên kết có mục đích để tải về một bài hát iTunes miễn phí. Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài và bắt đầu một cuộc tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí rõ ràng. • Từ chối dịch vụ. Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quả trong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web. Có một vài cơ chế để tạo ra một cuộc tấn công DoS. Các phương pháp đơn giản nhất là tạo ra một lượng lớn những gì xuất hiện để được giao thông mạng họrp lệ. Đây là loại tấn công DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng để sử dụng hợp lệ không thể có được thông qua kết nối mạng. Tuy nhiên, loại DoS thông thường cần phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo ra các cuộc tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệ thống mục tiêu như các máy chủ phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dự kiến nội dung gói tin mạng cho các ứng dụng cụ thể. Một cuộc tấn công DoS có thể khai thác lỗ hổng này bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không như mong đợi của các ứng dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm các cuộc tấn công Teardrop và Ping of Death, mà gửi các gói thủ công mạng khác nhau từ những ứng dụng dự kiến và có thể gây ra sụp đổ các ứng dụng và máy chủ. Những cuộc tấn công DoS trên một máy chủ không được bảo vệ, chẳng hạn như một máy chủ thương mại điện tử, có thể gây ra các máy chủ bị lỗi và ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm của họ. • Distributed DenialofService DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấn công DDoS tạo ra nhiều nguồn tấn công. Ngoài ra để tăng lượng truy cập mạng từ nhiều kẻ tấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thức của yêu cầu bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối. • Spyware Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấn công mạng. Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặc máy tính xách tay mục tiêu. Một khi các ứng dụng phần mềm gián điệp đã được bí mật cài đặt, phần mềm gián điệp bắt thông tin về những gì người dừng đang làm với máy tính của họ. Một số thông tin bị bắt bao gồm các trang web truy cập, email gửi đi, và mật khẩu sử dụng. Những kẻ tấn công có thể sử dụng các mật khẩu và thông tin bắt được để đi vào được mạng để khởi động một cuộc tấn công mạng. Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng, phần mềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể được bán một cách bí mật Thông tin này, một lần mua, có thể được sử dụng bởi một kẻ tấn công khác đó là khai thác dữ liệu để sử dụng trong việc lập kế hoạch cho một cuộc tấn công mạng khác. • Phishing Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi email để người dùng không nghi ngờ. Các email lừa đảo cố gắng để trông giống như một thư điện tử hợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một trang web ngân hàng, thương mại điện tử. Email giả này cố gắng thuyết phục người dùng rằng một việc gì đó đã xảy ra, chẳng hạn như hoạt động đáng ngờ về tài khoản của họ, và người sử dụng phải thực hiện theo các liên kết trong email và đăng nhập vào trang web để xem thông tin người dừng của họ. Các liên kết trong email này thường là một bản sao giả của ngân hàng hoặc trang web thương mại điện tử thực sự và các tính năng tương tự nhìnvàcảm nhận các trang web thực sự. Các cuộc tấn công lừa đảo được thiết kế để lừa người dùng cung cấp thông tin có giá trị như tên người dùng và mật khẩu của họ. • Dựa vào yểu tố con người Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác.Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ
Mục lục Mở đầu ta nhìn sâu khái niệm, chức năng, cách thức bảo mật cụ thể Firewall Trong thực tế bảo mật thông tin đóng vai trò thiết yếu không “thứ yếu” hoạt động liên quan đến việc ứng dụng công nghệ thông tin Tôi muốn nói đến vai trò to lớn việc ứng dụng CNTT diễn sôi động, không túy công cụ (Hardware, software), mà thực xem giải pháp cho nhiều vấn đề Khởi động từ năm đầu thập niên 90,với số chuyên gia CNTT, hiểu biết hạn chế đưa CNTT ứng dụngtrong hoạt động sản xuất, giao dịch, quản lý khiêm tốn dừng lại mức công cụ, nhận thấy công cụ “đắt tiền” gây số cản trở, không đem lại hiệu thiết thực cho Tổ chức sử dụng Internet cho phép truy cập tới nơi giới thông qua số dịch vụ Ngồi trước máy tính bạn biết thông tin toàn cầu,nhưng mà hệ thống máy tính bạn bị xâm nhập vào lúc mà bạn trước Do việc bảo vệ hệ thống vấn đề chúngta đáng phải quan tâm Người ta đưa khái niệm FireWall để giải vấn đề này.Cũng có nhiều kiểu, loại firewall Cisco đưa công nghệ bảo mật vớifirewall hữu hiệu Để làm rõ vấn đề tập lớn “Tìm hiểu cấu hình tính năm firewall ASA( dùng GNS3)” cho chúng Nhóm Page Phần I : Tổng Quan 1.1 Tổng quan đề tài Mục tiêu việc nghiên cứu Firewall ASA + Việc nghiên cứu giúp cho khả tự học ,tìm hiểu nghiên cứu độc lập ngày tốt + Nghiên cứu hệ thống firewall ASA + Triển khai hệ thống phất hiện, ngăn chặn lưu lượng vào hệ thống cần thiết cho doanh nghiệp có nhu cầu an toàn hệ thống trước hành vi xâm nhập trái phép Trước phát triển internet hiểu biết ngày sâu người việc truy cập phá hoại hệ thống mạng doanh nghiệp ,công ty củng theo đà phát triển internet mà tăng lên nhiều + Việc nghiên cứu đáp ứng cho lãnh vực bảo mật an ninh hệ thống + ASA(Adaptive Security Appliance) thiết bị tường lửa mạnh tất ưa chuộng Cisco.Chính mục tiêu đề tài nhằm nghiên cứu tìm hiểu cách thức hoạt động,phương pháp cấu hình ứng dụng việc bảo mật hệ thống mạng.Ket đạt qua việc nghiên cứu thiết bị hiểu cách thức hoạt động có khả triển khai thiết bị vào số hệ thống mạng +Nghiên cứu AAA server +Nghiên cứu cách tổ chức giám sát hoạt động người dừng cuối thời gian bắt đầu hay kết thúc người dùng (accounting).Bảo mật vấn đề quan trọng.Yới mức độ điều khiển, thật dễ dàng để cài đặt bảo mật quản trị mạng, định nghĩa vai trò (role) đưa cho user lệnh mà họ cần để hoàn thành nhiệm vụ họ theo dõi thay đổi mạng Với khả log lại kiện, ta có điều chỉnh thích hợp với yêu cầu đặt Tất thành phần cần thiết để trì tính an toàn, bảo mật cho mạng Với thông tin Nhóm Page thu thập được, tiên đoán việc cập nhật cần thiết theo thời gian Yêu cầu bảo mật liệu, gia tăng băng thông, giám sát vấn đề mạng thông AAA server 1.2 Tổng quan an ninh mạng Mục tiêu an ninh mạng Việc phát triển ngày tăng mạng internet thuận tiện mà đem lại cho người nhiên kéo theo nhiều mối nguy hiểm rình rập hacker mạng Đảm bảo cho người dùng an toàn làm việc mạng mục tiêu hàng đầu an ninh mạng: > Bảo đảm mạng nội không bị xâm nhập trái phép > Các tài liệu thông tin quan trọng không bị rò ri bị > Các dịch vụ thực nhanh chóng không bị trì trệ không thực > Các mua bán mạng diễn đứng với yêu cầu người dùng > Người dừng làm việc mạng không bị mạo danh, lừa đảo Các phương thức công > Virus > Worm > Trojan > Từ chối dịch vụ > Phân phối từ chối dịch vụ > Zombies > Spyware > Phishing > Dựa vào yếu tố người Nhóm Page • Virus Một virus máy tính thiết kế để công máy tính thường phá máy tính khác thiết bị mạng Một virus thường tập tin đính kèm e-mail, chọn tập tin đính kèm gây mã thực thi để chạy tái tạo virus Một virus phải thực chạy nhớ để chạy tìm kiếm chương trình khác máy chủ để lây nhiễm nhân rộng Như tên nó, virus cần máy chủ bảng tính e-mail để đính kèm, lây nhiễm, nhân rộng Có số hiệu ứng chung vi rút Một số viras lành tính, cần thông báo cho nạn nhân họ họ bị nhiễm bệnh Các virus ác tính tạo hủy hoại cách xóa tập tin không gây lỗi cho máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn hình ảnh, tài liệu, mật khẩu, báo cáo tài • Worm Worm chương trình phá hoại quét điểm yếu lỗ hổng bảo mật máy tính khác để khai thác điểm yếu nhân rộng Worm tái tạo độc lập nhanh chóng Worm khác với virus hai cách chính: Virus cần máy chủ để đính kèm thực hiện, sâu không yêu cầu máy chủ Virus sâu thường gây loại khác hủy diệt Virus, chúng cư trú nhớ, thường xóa sửa đổi tập tin quan trọng máy tính bị nhiễm bệnh Tuy nhiên, Worms có xu hướng mạng trung tâm so với máy tính trung tầm Worms tái tạo cách nhanh chóng cách bắt đầu kết nối mạng để nhân rộng gửi số lượng lớn liệu Worms chứa hành khách mang theo, trọng tải liệu, mà giao máy tính mục tiêu cho trạng thái zombie Zombie máy tính có bị xâm phạm kiểm soát kẻ công mạng Zombies thường sử dụng để khởi động công mạng khác Một sưu tập lớn Nhóm Page zombie điều khiển kẻ công gọi "botnet" Botnets phát triển lớn Botnet xác định lớn 100.000 máy tính zombie • Trojan horse Một ngựa Trojan, Trojan, phần mềm nguy hại tìm cách ngụy trang ứng dụng đáng tin cậy trò chơi trình bảo vệ hình Một người dùng tin cậy cố gắng để truy cập trò chơi vô thưởng vô phạt trình bảo vệ hình, Trojan bắt đầu hoạt động gây tổn hại xóa tập tin định dạng lại ổ đĩa cứng Trojan thường không tự chép Những kẻ công mạng cố gắng sử dụng ứng dụng phổ biến, chẳng hạn iTunes Apple, để triển khai Trojan Ví dụ, công mạng gửi e-mail với liên kết có mục đích để tải hát iTunes miễn phí Trojan sau bắt đầu kết nối đến máy chủ web bên bắt đầu công người dùng cố gắng để tải hát miễn phí rõ ràng • Từ chối dịch vụ Một công từ chối dịch vụ (DoS) công mạng có kết việc từ chối dịch vụ ứng dụng yêu cầu máy chủ web Có vài chế để tạo công DoS Các phương pháp đơn giản tạo lượng lớn xuất để giao thông mạng họrp lệ Đây loại công DoS mạng cố gắng để làm nghẽn ống dẫn lưu lượng truy cập mạng để sử dụng hợp lệ có thông qua kết nối mạng Tuy nhiên, loại DoS thông thường cần phải phân phối thường đòi hỏi nhiều nguồn để tạo công.Một công DoS lợi dụng thực tế hệ thống mục tiêu máy chủ phải trì thông tin trạng thái có kích thước đệm dự kiến nội dung gói tin mạng cho ứng dụng cụ thể Một công DoS khai thác lỗ hổng cách gửi gói có giá trị kích cỡ liệu mà không mong đợi ứng dụng nhận được.Một số loại công DoS tồn tại, bao gồm công Teardrop Ping of Death, mà gửi gói thủ công mạng khác Nhóm Page từ ứng dụng dự kiến gây sụp đổ ứng dụng máy chủ Những công DoS máy chủ không bảo vệ, chẳng hạn máy chủ thương mại điện tử, gây máy chủ bị lỗi ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm họ • Distributed Denial-of-Service DDoS tương tự ý định công DoS, ngoại trừ công DDoS tạo nhiều nguồn công Ngoài để tăng lượng truy cập mạng từ nhiều kẻ công phân phối, công DDoS đưa thách thức yêu cầu bảo vệ mạng để xác định ngăn chặn kẻ công phân phối • Spyware Spyware lớp ứng dụng phần mềm tham gia vào công mạng Spyware ứng dụng cài đặt để ẩn máy tính máy tính xách tay mục tiêu Một ứng dụng phần mềm gián điệp bí mật cài đặt, phần mềm gián điệp bắt thông tin người dừng làm với máy tính họ Một số thông tin bị bắt bao gồm trang web truy cập, e-mail gửi đi, mật sử dụng Những kẻ công sử dụng mật thông tin bắt để vào mạng để khởi động công mạng Ngoài việc sử dụng để trực tiếp tham gia vào công mạng, phần mềm gián điệp sử dụng để thu thập thông tin bán cách bí mật Thông tin này, lần mua, sử dụng kẻ công khác "khai thác liệu" để sử dụng việc lập kế hoạch cho công mạng khác • Phishing Phishing kiểu công mạng thường bắt đầu cách gửi e-mail để người dùng không nghi ngờ Các e-mail lừa đảo cố gắng để trông giống thư điện tử hợp pháp từ tổ chức biết đến đáng tin cậy trang web ngân hàng, thương mại điện tử E-mail giả cố gắng thuyết phục người dùng việc xảy ra, chẳng hạn hoạt động đáng ngờ tài khoản họ, Nhóm Page người sử dụng phải thực theo liên kết e-mail đăng nhập vào trang web để xem thông tin người dừng họ Các liên kết e-mail thường giả ngân hàng trang web thương mại điện tử thực tính tương tự nhìn-và-cảm nhận trang web thực Các công lừa đảo thiết kế để lừa người dùng cung cấp thông tin có giá trị tên người dùng mật họ • Dựa vào yểu tố người Kẻ công liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác.Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi.Nói chung yếu tố người điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ 1.3 Các sách an ninh mạng Hai hình thức sách bảo mật có liên quan đến tường lửa: Các sách an ninh văn (đôi gọi sách an ninh thông tin) để xác định mục tiêu an ninh cho tổ chức (bao gồm tường lửa họ) Các sách quản lý lọc nguồn đích (đôi gọi sách tường lửa thiết lập quy tắc tường lửa) để xác định cấu hình thực tế thiết bị • Các sách an ninh văn Chính sách an ninh văn tồn để cung cấp lộ trình cấp cao cần phải thực để đảm bảo tổ chức có chiến lược an ninh xác định tốt sức tưởng tượng Đó quan niệm sai lầm phổ biến mà tổ chức có sách an ninh Trong thực tế, sách bảo mật tổng thể Nhóm Page tổ chức thường bao gồm nhiều sách bảo mật cá nhân, mà ghi vào địa mục tiêu cụ thể, thiết bị, sản phẩm. Mục tiêu sách an ninh xác định cần phải bảo vệ, người có trách nhiệm bảo vệ, tong số trường hợp bảo vệ xảy Chức cuối thường tách thành tài liệu thủ tục độc lập lọc nguồn, lọc đích, quản lý truy Tóm lại, sách bảo mật đơn giản xác nên vạch yêu cầu cụ thể, quy tắc, mục tiêu phải đáp ứng, để cung cấp phương pháp đo lường đặc điểm an ninh chứng thực tổ chức tường lửa điều khoản lớp bảo mật, với lớp có lĩnh vực cụ thể hoạt động Hình 1-1 minh họa lớp tường lửa Như hình bên cho thấy, tường lửa chia thành bốn thành phần riêng biệt Hình 1: Các lớp bảo mật tường lửa Tại trung tâm lớp toàn vẹn vật lý tường lửa, mà chủ yếu liên quan tới quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào thiết bị, chẳng hạn thông qua kết nối cứng cổng console Lớp cấu hình tường lửa tĩnh, mà chủ yếu liên quan tới truy cập vào phần mềm tường lửa cấu hình tĩnh chạy (ví dụ, hệ điều hành PIX cấu hình khởi động) Tại lớp này, sách bảo mật cần tập trung vào việc xác định Nhóm Page hạn chế yêu cầu để hạn chế truy cập quản trị, bao gồm cập nhật phần mềm thực cấu hình tường lửa Lớp thứ ba cấu hình tường lửa động, bổ sung cấu hình tĩnh việc có liên quan tới cấu hình động tường lửa thông qua việc sử dụng công nghệ giao thức định tuyến, lệnh ARP, giao diện tình trạng thiết bị, kiểm toán, nhật ký, lệnh tránh Mục tiêu sách an ninh điểm để xác định yêu cầu xung quanh loại cấu hình động cho phép Cuối lưu lượng mạng qua tường lửa, mà thực mà tường lửa tồn để bảo vệ tài nguyên Lớp có liên quan tới chức ACL thông tin dịch vụ proxy Các sách an ninh lớp có trách nhiệm xác định yêu cầu chứng liên quan đến lưu lượng qua tường lửa Định dạng sách an ninh: Đe thực mục tiêu xác định trước đó, hầu hết sách bảo mật tuân theo định dạng bố trí cụ thể chia sẻ yếu tố thông thường Nói chung, hầu hết sách an ninh chia sẻ bảy phần: • Tổng quan: Phần tổng quan cung cấp giải thích ngắn gọn địa sách • Mục đích: phần mục đích giải thích sách cần thiết • Phạm vi: Phần phạm vi xác định sách áp dụng cho xác định người chịu trách nhiệm sách • Chính sách: phần sách thân sách thực tế • Thực thi: Phần thực thi định nghĩa cách sách cần thực thi hậu việc không theo sách • Định nghĩa: Phần định nghĩa bao gồm định nghĩa từ khái niệm sử dụng sách • Xem lại lịch sử: Phần xem lại lịch sử nơi mà thay đổi sách ghi lại theo dõi Nhóm Page Mỗi tổ chức có yêu cầu an ninh riêng biệt có sách bảo mật riêng độc đáo họ Tuy nhiên, hầu hết tất môi trường đòi hỏi số sách an ninh chung, bao gồm: • Chính sách quản lý truy cập • Chính sách lọc • Chính sách định tuyến • Chính sách Remote-access/VPN • Chính sách giám sát / ghi nhận • Chính sách vùng phi quân (DMZ) • Chính sách áp dụng thông thường • Chính sách quản lý truy cập: Chính sách quản lý truy cập tồn để xác định phương pháp cho phép cách truy cập quản lý tường lửa Chính sách có xu hướng giải toàn vẹn vật lý tường lửa lớp bảo mật cấu hình tường lửa tĩnh Các sách quản lý truy cập cần phải định nghĩa cho hai giao thức quản lý từ xa cục sẽđược cho phép, người dừng kết nối với tường lửa có quyền truy cập để thực tác vụ Ngoài ra, sách quản lý truy cập cần xác định yêu cầu giao thức quản lý Network Time Protocol (NTP), syslog, TFTP, FTP, Simple Network Management Protocol (SNMP), bat kỳ giao thức khác sử dụng để quản lý trì thiết bị • Chính sách lọc: Nhóm Page 10 Hình 3: Mô tả kiến trúc cho NAS/Radius/Tacacs+/AAA Sau giao thức chứng thực AAA máy chủ lưu trữ sỡ liệu nằm bên ngoài: > Remote Authentication Dial-In User Service (Radius) > Terminal Access Controller Access-Control System (Tacacs+) > Rsa SecurlD(SID) > WinNT > Kerberos > Lightweight Dừectory Access Protocol (LDAP) 2.7.1 Remote Authentication Dial-In User Service (Radius) RADIUS giao thức xác thực sử dụng rộng rãi định nghĩa RFC 2865 "Remote Authentication Dial-In User Service (RADIUS)." RADIUS hoạt động mô hình khách hàng / máy chủ Một khách hàng RADIUS thường gọi máy chủ truy cập mạng (network access server :NAS).một máy NAS có trách nhiệm truyền thông tin người dùng tới máy chủ RADIUS Cisco ASA hoạt động NAS xác thực người dùng dựa phản ứng máy chủ RADIUS Cisco ASA hỗ trợ vài máy chủ RADIUS sau: > CiscoSecure ACS Nhóm Page 23 > Cisco Access Registrar > Livingston > Merit > Funk Steel Belted > Microsoft Internet Authentication Server Đối với mạng xác thực, khóa bí mật trao đổi máy chủ AAA/RADIUS khách hàng AAA Các khóa bí mật chia sẻ không gửi qua liên kết thiết bị để đảm bảo tính toàn vẹn Khi RADIUS xác thực người sử dụng, phương pháp xác thực sử dụng nhiều, RADIUS hỗ trợ xác thực qua Point-to-Point Protocol Challenge Handshake Authentication Protocol (PPP CHAP) ppp Password Authentication Protocol (PAP),RADIUS giao thức mở rộng cho phép nhà cung cấp khả thêm giá trị thuộc tính mà không tạo vấn đề thuộc tính giá trị Một khác biệt lớn TACACS RADIUS RADIUS không xác thực ủy quyền riêng biệt RADIUS cung cấp cho kế toán tốt RADIUS hoạt động theo giao thức UDP RADIUS sử dụng cổng 1645 1812 để xác thực 1646 1813 cho kế toán Các cổng 1812 1813 tạo việc triển khai RADIUS Việc sử dụng cổng RADIUS 1645 lúc triển khai đạ gây xung đột với dịch vụ "datametrics" Do đó, cổng thức 1812.Giao thức RADIUS xem dịch vụ kết nối Các vấn đề liên quan đến máy chủ sẵn sàng, phát lại, hết xử lý thiết bị giao thức truyền tải Chức khác với TACACS + độ tin cậy giao thức phụ thuộc vào giao thức TCP Hoạt động RADIUS Sau trình hoạt động RADIUS quản lý đăng nhập: Bước Một thông tin đăng nhập người dùng tạo truy vấn (AccessRequest) từ AAA khách hàng đến máy chủ RADIUS Nhóm Page 24 Bước Một phản ứng cho phép loại bỏ(Access-Accept AccessReject) trả từ máy chủ Các gói tin Access-Request chứa tên người dừng, mật mã hóa, địa IP khách hàng AAA, cổng định dạng gói tin RADIUS: gói tin RADIUS gồm thông tin sau đây: + Code: octet, định nghĩa loại packet + Identifier: octet, Kiểm tra yêu cầu, trả lời phát trùng lặp yêu cầu từ RADIUS server + Length: octet, xác định độ dài toàn gói + Request Authenticator: 16 octet, Các octet quan trọng truyền đầu tiên, xác nhận trả lời từ máy chủ RADIUS Hai loại authenticators sau: -Request-Authenticator có sẵn gói Access-Request AccountingRequest -Response-Authenticator có sẵn gói Access-Accept, Access-Reject, Access-Challenge, Accounting-Response + Attributes: Thuộc tính bổ sung vào RADIUS hỗ trợ nhà cung cấp cụ thể Các máy chủ RADIUS nhận yêu cầu xác thực người dừng sau tó thông tin cấu hình cần thiết cho khách hàng để hỗ trợ dịch vụ cụ thể cho người dùng Các máy chủ RADIUS thực điều cách gửi Internet Engineering Task Force (IETF) thuộc tính nhà cung cấp cụ thể (Các thuộc tfnh RADIUS chứng thực định nghĩa RFC 28Ố5.) Cisco ASA hoạt động NAS máy chủ RADIUS Cisco Secure Access Control Server (ACS) Người dùng cố gắng để kết nối với Cisco ASA (để quản trị,vpn,thực tính cut-though proxy) Các Cisco ASA nhắc nhở người dừng, yêu cầu tên người dừng mật Người sử dụng gửi thông tin cho ASA Cisco Nhóm Page 25 Các Cisco ASA gửi yêu cầu xác thực (Access-Request) đến máy chủ RADIUS Các máy chủ RADIUS gửi message Access-Accept người dừng xác thực thành công Access-Reject người dùng không xác thực thảnh công Cisco ASA đáp ứng cho người sử dụng cho phép truy cập vào dịch vụ cụ thể Lưu ý: Các máy chủ RADIUS gửi thuộc tính nhà cung cấp cụ thể cho Cisco ASA tùy thuộc vào việc thực dịch vụ sử dụng Những thuộc tính chứa thông tin địa IP để gán thông tin khách hàng ủy quyền RADIUS server xác thực ủy quyền kết họrp giai đoạn thành yêu cầu chu kỳ liên kết đáp ứng 4.2 Terminal Access Controller Access-Control System (Tacacs+) TACACS + giao thức bảo mật AAA cung cấp xác thực tập trung người dùng cố gắng để truy cập vào NAS, giao thức TACACS + hỗ trợ cho AAA cách linh hoạt TACACS + sử dụng cổng 49 chạy UDP TCP Cisco ASA sử dụng giao thức TCP để giao tiếp TACACS+ 2.8 Định dạng TACACS giá trị tiêu đề Các ID TACACS định nghĩa tiêu đề 12-byte xuất tất gói TACACS tiêu đề luôn gửi định dạng văn rõ ràng Hình Định dạng gói tin Nhóm Page 26 Majorversion Day la so phien ban chinh cua TACACS gia tri xuat hien tieu de nhu TACPLUS MAJOR VER = Oxc Minor_version:cung cap so serial cho giao thuc TACACS No cung cung cap cho kha nang tuomg thich cua giao thuc Mot gia tri mac dinh, cung nhu phien ban mot, dugc dinh nghia cho mot so lenh Nhung gia tri xuat hien tieu de TACACS nhu T ACPLU SMIN ORVERDEF AULT = 0x0 TACPLU SMINORVERONE = 0x1 Neu mot may chu AAA chay TACACS nhan dugc mot goi TACACS xac dinh mot phien ban nho horn khac phien ban hien tai, no se gui mot trang thai loi tra lai va yeu cau cac minor version voi phien ban gan nhat dugc ho trg Loai phan biet cac loai goi tin Chi co mot so loai la hgp phap Cac loai goi hgp phap nhu sau: - TAC PLUS AUTHEN = 0x01 day la loai goi nghia xac thuc - TAC_PLUS_AUTHOR-0x02 day la loai goi tin ma nghia uy quyen - TAC PLUS ACCT = 0x03 day la loai goi tin ma nghia ke toan Seq_no : xac dinh so thu tu cho cac phien lam viec TACACS co the khoi tao mot hoac nhieu phien TACACS cho moi khach hang AAA Flags: co cor +TAC PLUS UNENCRYPTED FLAG :xac dinh ma hoa cuagoi TACACS Gia tri la chua ma hoa, gia tri la goi tin da dugc ma hoa +TAC PLUS_SINGLE_CONNECT_FLAG:Xac dinh ghep hoac khong ghep cac phien tacacs tren mot ket noi tcp Session id Đây giá trị ngẫu nhiên định phiên khách hàng máy chủ AAA chạy TACACS Giá trị giữ nguyên suốt thời gian phiên làm việc Lengh: tổng chiều dài gói TACACS, không bao gồm tiêu đề 12-byte Nhóm Page 27 Khái niệm xác thực TACACS + tương tự RADIUS NAS gửi yêu cầu chứng thực với TACACS + server Các máy chủ cuối gửi thông điệp sau trở NAS: ACCEPT - Người dùng xác thực thành công dịch vụ yêu cầu cho phép Nếu chế cấp quyền yêu cầu,tiến trình cấp quyền thực thi REJECT - xác thực người dùng bị từ chối Người sử dụng nhắc để thử lại chứng thực tùy thuộc vào TACACS + server NAS ERROR - Một số lỗi xảy trình xác thực Nguyên nhân gây lỗi vấn đề kết nối vi phạm chế bảo mật CONTINUE - Người dùng nhắc nhở để cung cấp thông tin xác thực Sau trình xác thực hoàn tất, uỷ quyền yêu cầu TACACS + server với xử lý giai đoạn xác thực thành công 2.9 Kiểm tra ứng dụng Cơ chế kiểm tra ứng dụng Cisco sử dụng để kiểm tra độ an ninh ứng dụng dịch vụ hệ thống Các công cụ kiểm tra trạng thái thông tin kết nối qua interface thiết bị an ninh đảm bảo chúng hợp lệ Trạng thái ứng dụng kiểm tra xem xét không tiêu đề gói tin mà lọc nội dung gói tin thông qua tầng ứng dụng Một số ứng dụng yêu cầu xử lý đặc biệt gói liệu chứng qua thiết bị Layer Bao gồm ứng dụng giao thức nhúng vào địa IP trình truyền tải liệu gói tin mở kênh thứ hai cho phép 2.10 Khả chịu lỗi dự phòng (failover and redundancy) 2.10.1 Kiến trúc chịu lỗi Khi hai ASA thiết lập chế độ failover, Cisco ASA gọi chủ động (active ) có trách nhiệm tạo trạng thái chuyển đổi địa chỉ, chuyển giao gói liệu, giám sát hoạt động khác,một ASA khác gọi chế Nhóm Page 28 độ chờ(standby),có trách nhiệm theo dõi tình trạng chế độ chủ động Chế độ chủ động chế độ chờ trao đổi thông tin chịu lỗi với thông qua đường link kết nối biết link chịu lỗi (link failover).Khi có cố xảy chế độ chủ động chế độ chờ thực vai trò chế độ chủ động chế độ chủ động khôi phục lại trạng thái Đường chịu lỗi hai ASA trao đổi thông tin: > Trạng thái chủ động trạng thái chờ Hình Minh họa kiến trúc chịu lỗi 2.10.2 Điều kiện kích hoạt khả chịu lỗi Khả chịu lỗi xảy Khi người quản trị thiết lập chuyển đổi từ chế độ chủ động sang chế độ chờ Khi ASA đảm nhiệm chế độ chờ không nhận gói tin keepalive từ chế độ chủ động, sau hai lần không thấy liên lạc từ chế độ chủ động chế độ chờ xem chế độ chủ động bị lỗi chuyển sang đóng vai trò chế độ chủ động chế độ chủ động hoạt động trở lại Nhóm Page 29 Khi liên kết cổng nhận lệnh down Kiểm tra trạng thái cổng chịu lỗi Đe biết trạng thái chịu lỗi thông qua liên kết chế độ chủ động chế độ chờ trao đổi thông điệp hello 15 giây.Thông diệp hello bao gồm trạng thái hoạt động liên kết cấu hình.Traớc chuyển sang từ chế độ chờ sang chủ động ASA kiểm tra bốn trạng thái sau : > Kiểm tra trạng thái up/down cổng không hoạt động xủ lý trình chịu lỗi. > Kiểm tra hoạt động hệ thống sau năm giây mà không nhân gói tin chuyển sang chế độ chịu lỗi bắt đầu > Kiểm tra hoạt động hệ thống cách gửi gói ARP sau năm giây không nhận tín hiệu tò lởi xem cổng bị lỗi xủ lý trình chịu lỗi > Kiểm tra hoạt động hệ thống cách ping broadcast thử nghiệm sau năm giây không nhận tín hiệu tó lởi xem cổng bị lỗi xủ lý trình chịu lỗi 2.10.3 Trạng thái chịu lỗi Khi kết nối thiết lập thông qua cisco ASA ,cisco ASA cập nhật bảng kết nối.Trong mục kết nối bao gồm:địa chị nguốn,địa đích,giao thức,trạng thái kết nối,gắn với interface so byte truyền Tùy thuộc vào cấu hình failover, Cisco AS A có trạng thái sau đây; Stateless failover: Duy trì kết nối không đồng với trạn thái chờ.Trong trường hợp trạng thái hoạt động không gửi bảng cập nhật trạng thái cho chế độ chờ.Khi trạng thái hoạt động bị lỗi thi trạng thái chờ kích hoát phải thiết lập lại kết nối,tất lưu lượng bị phá vỡ Stateful failover:Duy trì kết nối đồng với chế độ chờ Ở trường họrp trạng thái kết nối đồng từ trạng thái hoạt động sang trạng thái chờ Nhóm Page 30 trạng thái chờ kích hoạt thiết lập dại bảng kết nối tồn sở liệu 2.11 Chất lượng dịch vụ (QoS) Trong mạng IP chuẩn, tất gói liệu xử lý giống theo cách tốt Các thiết bị mạng thường bỏ qua tầm quan trọng thời gian liệu truyền qua mạng Để ưu tiên cho gói liệu quan hay đáp ứng thời gian thực gói thoại video áp dụng sách quản lý chất lượng dịch vụ cho loại gói Có nhiều cớ chế quản lý dịch vụ khác mà có sẵn thiết bị cisco như: > Traffic policing > Traffic prioritization > Traffic shaping > Traffic marking Tuy nhiên cisco ASA hỗ trợ hai loại traffic policing,traffic prioritization 2.11.1 Traffic Policing Chính sách lưu lượng biết giới hạn lưu lượng cho phép kiểm soát tốc độ tối đa đủ điều kiện để qua interface Các lưu lượng nằm cấu hình qui định phép thông qua lưu lượng vượt ngưỡng giới hạn bị đánh rớt hết.Trong cisco ASA lưu lượng không định nghĩa ưu tiên xử lý thông qua đánh giá giới hạn gói tin phù hợp với mức cấu hình QoS cho phép truyền,nếu không đủ mức cho phép gói tin chờ bổ sung điều chỉnh sách cho phép thấp xuống phù hợp với cấu hình gói tin đưa vào hang đợi không ưu tiên “nonpriority” Nhóm Page 31 Hình 5: Minh họa cách gói xử lý thiết bị an ninh qua công cụ QoS Khi rời khỏi chế QoS gói tin chuyển đến interface cho việc chuyển đổi liệu.Thiết bị an ninh thực QoS cho gói mức độ khác để đảm bảo cho việc truyền nhận mà nói tin danh sách ưu tiên Quá trình xử lý gói tin dựa vào độ sâu hàng đợi ưu tiên thấp điều kiện vòng truyền.Vòng truyền có không gian đệm thiết bị an ninh sử dụng để giử gói tin trước truyền chứng cho cấp độ điều khiển.Neu có tắc nghẽn xảy gói tin hàng đợi chuyển xuống hàng đợi ưu tiên thấp gói tin hàng đợi ưu tiên cao trống,nếu hàng đợi ưu tiên cao có lưu lượng truy cập phục vụ trước.Thông qua việc giới hạn lưu lượng thiết bị an ninh thực chế nhỏ giọt gói tin không phù hợp với thông tin cấu hình QoS.Cisco ASA ghi lai kiện thông qua máy chủ lưu trữ syslog thiết bị 2.11.2 Traffic Prioritization Lưu lượng ưu tiên gọi lớp dịch vụ hàng đợi có độ trễ thấp ,được sử dụng để cung cấp cho độ ưu tiên cho gói tin quan trọng phép truyền trước ,nó gán mức ưu tiên cho loại gói khác có độ ưu tiên khác bất lợi cho gói có mức ưu tiên thấp dễ bị tắc nghẽn.Trên thiết bị an ninh cisco ASA hai loại ưu tiên hỗ trợ “priority” “nonprioritÿ’.Priority có nghĩa gói tin ưu tiên lưu lượng truy cập thường xuyên, QoS nonpriority có nghĩa gói liệu xử lý giới hạn tốc độ, Nhóm Page 32 Khi giao thông phân loại ưu tiên, nhanh chóng chuyển tiếp mà không thông qua giới hạn tốc độ Giao thông sau gắn cờ chuyển vào hàng đợi ưu tiên truyền khỏi thiết bị an ninh Đe đảm bảo việc chuyển tiếp lưu lượng ưu tiên interface,thiết bị an ninh đánh cờ hàng đợi ưu tiên gửi chúng truyền trực tiếp có tắc nghẽn lưu lượng đưa vào hàng đợi ưu tiên cao truyền vòng truyền sẵn sang 2.12 Phát xâm nhập (IDS) Đối với an ninh, hệ thống phát xâm nhập (IDS) thiết bị cố gắng phát kẻ công truy cập trái phép vào mạng hay máy chủ để tạo cố rớt mạng để ăn cắp thông tin IDS phát công DDoS, sâu, đợt bừng phát virus Số lượng phức tạp mối đe dọa an ninh tăng vọt năm gần Đe đạt hiệu an ninh mạng chống xâm nhập quan trọng cần phải trì mức độ bảo vệ Thận trọng,an toàn, tránh rủi ro giảm chi phí thiệt hại gián đoạn hệ thống thiết bị tường lửa asa cisco hỗ trợ hai loại khác hệ thống phát xầm nhập: > Network-based intrusion detection systems (NIDS) > Host-based intrusion detection systems(HIDS) 2.12.1.Network-based intrusion detection systems (NIDS) Đối hệ thong mạng hệ thống phát xâm nhập thiết kế để xác định xác, phân loại, bảo vệ chống lại mối đe dọa chưa biết nhắm mục tiêu hệ thống Những mối đe dọa bao gồm sâu, công DoS, phát lỗ hổng khác Một số phương pháp phát triển khai rộng rãi với đặc diểm sau: > Trạng thái ghi lại mẫu trạng thái > Phân tích giao thức > Phân tích dựa bình thường > Phân tích dựa bất thường Nhóm Page 33 Hệ thống IDS dựa mạng sử dụng dò bộ cảm biến cài đặt toàn mạng Những dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Những bộ cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa NIDS tập nhiều sensor đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát công hay không Được đặt kết nối hệ thống mạng bên mạng bên để giám sát toàn lưu lượng vào Có thể thiết bị phần cứng riêng biệt thiết lập sẵn hay phần mềm cài đặt máy tính Chủ yếu dừng để đo lưu lượng mạng sử dụng Tuy nhiên xảy tượng nghẽn cổ chai lưu lượng mạng hoạt động mức cao • Lợi Network-Based IDSs > Quản lý network segment (gồm nhiều host) > Trong suốt" với người sử dụng lẫn kẻ công > Cài đặt bảo trì đơn giản, không ảnh hưởng tới mạng > Tránh DOS ảnh hưởng tới host > Có khả xác định lỗi tang Network (trong mô hình OSI) > Độc lập với OS • Hạn chế Network-Based IDSs > Có thể xảy trường họrp báo động giả (false positive), tức intrusion mà NIDS báo có intrusion > Không thể phân tích traffic encrypt (vd: SSL, SSH, IPSec ) > NIDS đòi hỏi phải cập nhật signature để thực an toàn Nhóm Page 34 - Có độ trễ thời điểm bị attack với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại > Không cho biết việc attack có thành công hay không > Một hạn chế giới hạn băng thông Những dò mạng phải nhận tất lưu lượng mạng, xếp lại lưu lượng phân tích chúng Khi tốc độ mạng tăng lên khả đầu dò Một giải pháp bảo đảm cho mạng thiết kế xác phép đặt nhiều đầu dò Khi mà mạng phát triển, nhiều đầu dò lắp thêm vào để bảo đảm truyền thông bảo mật tốt > Một cách mà kẻ xâm nhập cố gắng nhằm che đậy cho hoạt động họ gặp hệ thống IDS dựa mạng phân mảnh gói thông tin họ Mỗi giao thức có kích cỡ gói liệu giới hạn, liệu truyền qua mạng lớn kích cỡ gói liệu phân mảnh Phân mảnh đơn giản trình chia nhỏ liệu mẫu nhỏ Thứ tự việc xếp lại không thành vấn đề miễn không xuất hiện tượng chồng chéo Neu có tượng phân mảnh chồng chéo, cảm biến phải biết trình tái hợp lại cho đứng Nhiều hacker cố gắng ngăn chặn phát cách gởi nhiều gói liệu phân mảnh chồng chéo Một cảm biến không phát hoạt động xâm nhập cảm biến xếp lại gói thông tin cách xác 2.12.2.Host-based intrusion detection systems (HIDS) Bang cách cài đặt phần mềm tất máy tính chủ, IDS dựa máy chủ quan sát tất hoạt động hệ thống, file log lưu lượng mạng thu thập Hệ thống dựa máy chủ theo dõi OS, gọi hệ thống, lịch sử sổ sách (audit log) thông điệp báo lỗi hệ thống máy chủ Trong đầu dò mạng phát công, có hệ thống dựa máy chủ xác định xem công có thành công hay không Thêm là, hệ thống dựa máy chủ ghi nhận việc mà người công làm máy chủ bị công (compromised host) Nhóm Page 35 Không phải tất công thực qua mạng Bằng cách giành quyền truy cập mức vật lý (physical access) vào hệ thống máy tính, kẻ xâm nhập công hệ thống hay liệu mà không cần phải tạo lưu lượng mạng (network traffic) Hệ thống dựa máy chủ phát công mà không qua đường công cộng hay mạng theo dõi, hay thực từ cổng điều khiển (console), với kẻ xâm nhập có hiểu biết, có kiến thức hệ IDS nhanh chóng tắt tất phần mềm phát có quyền truy cập vật lý Một ưu điểm khác IDS dựa máy chủ ngăn chặn kiểu công dùng phân mảnh TTL Vỉ host phải nhận tái hợp phân mảnh xử lí lưu lượng nên IDS dựa host giám sát chuyện HIDS thường cài đặt máy tính đinh Thay giám sát hoạt động network segment, HIDS giám sát hoạt động máy tính HIDS thường đặt host xung yếu tổ chức, server vùng DMZ - thường mục tiêu bị công Nhiêm vụ HIDS giám sát thay đổi hệ thống, bao gồm (not all): - Các tiến trình - Các mục Registry - Mức độ sử dụng CPU - Kiểm tra tính toàn vẹn truy cập hệ thống file - Một vài thông số khác Các thông số vượt qua ngưỡng định trước thay đổi khả nghi hệ thống file gây báo động • Lợi HIDS - Có khả xác đinh user liên quan tới kiện (event) - HIDS có khả phát công diễn máy, NIDS khả Nhóm Page 36 - Có thể phân tích liệu mã hoá - Cung cấp thông tin host lúc công diễn host • Hạn chế HIDS - Thông tin từ HIDS không đáng tin cậy công vào asa thành công - Khi tường lửa asa bị "hạ" công, đồng thời HIDS bị "hạ" - HIDS phải thiết lập host cần giám sát - HIDS khả phát dò quét mạng (Nmap, Netcat ) - HIDS cần tài nguyên host để hoạt động - HIDS không hiệu bị DOS Phần III: Mô sline PowerPoint Tài liệu tham khảo: • RFC 2865: Remote Authentication Dial In User Service (RADIUS) Link: http://www.ietf org/rfc/rfc2865.txt • RFC 2866: RADIUS Accounting Link: http ://www.ietf org/rfc/rfc2866.txt • Firewall Fundamentals by Wes Noonan, Ido Dubrawsky Publisher: Cisco Press - 2/Ố/200Ố • RADIUS by Jonathan Hassell Nhóm Page 37 ... 3000 Concentrator, tích họrp đồng thời nhóm chức cho hạ tầng bảo vệ Firewall, IPS VPN Thông qua việc tích hợp tính trên, Cisco ASA chuyển giao giải pháp hiệu Nhóm Page 14 việc bảo mật hoá giao tiếp... access control lists (ACL) để giảm lưu Nhóm Page 15 lượng truy cập không mong muốn cố gắng để vào mạng đáng tin cậy Một ACL danh sách quy tắc an ninh, sách nhóm lại với cho phép từ chối gói tin... lọc gói thiết bị bảo mạng hoạt động chế độ định tuyến,ngăn truy cập từ mạng đến mạng khác Nhóm Page 17 Extended ACL: Chuẩn Extended chuẩn phổ biết nhất,có thể phân loại gói liệu dựa đặc tính
