Tài liệu Các giải pháp công nghệ bảo mật

CÁC GiẢI PHÁP VÀ CÔNG NGHỆ BẢO MẬT MẠNG Network Security Technologies © 2011, Vietnam-Korea Friendship IT College Các biện pháp bảo mật mạng       Mã hóa, nhận dạng, chứng thực người dùng và phân quyền sử dụng Bảo mật máy trạm Bảo mật truyền thông: FTP, SSH, IM, Wireless,… Bảo mật bằng VPN,Firewall, IDS, AD, NAT Bảo mật ứng dụng: e-mail, web Thống kê tài nguyên © 2011, Vietnam-Korea Friendship IT College Bảo mật máy trạm  Thiết lập Automatic Updates (sử dụng GPO) Computer Configuration  Administrative Templates  Windows Components  Update  Vô hiệu hóa: User Configuration  Administrative Templates  Windows Components  Windows Update: "Remove access to use all Windows Update features."   Theo dõi các File và các tiến trình đang hoạt động Sử dụng tiện ích Handle hoặc Autorun + Task Manager (www.sysinternals.com/utilities/handle.html)  Command: handle –p  © 2011, Vietnam-Korea Friendship IT College Bảo mật máy trạm  Theo dõi dịch vụ và các cổng tương ứng  Command:  netstat -a Bật chức năng thống kê sự kiện  Local Security Policies  Audit Policy © 2011, Vietnam-Korea Friendship IT College Bảo mật máy trạm  Cấm các ứng dụng không cần thiết  Sử dụng GPO: gpedit.msc  Tắt các chia sẽ mặc định (C$, D$,…)  Sử dụng Personal Firewall  ZoneAlarm  CoreForce  Personal Firewall Plus © 2011, Vietnam-Korea Friendship IT College  Net use w: \\172.168.1.29\C$ /user:administrator  Start  Run: \\172.168.1.66 User: administrator Pass: Openmind123 Thư mục Tools    © 2011, Vietnam-Korea Friendship IT College Bảo mật truyền thông - FTP -Được tạo ra với mục đích chia sẻ, lưu trữ và truyền dữ liệu qua mạng LAN hoặc internet -Mọi dữ liệu được truyền dưới dạng “clear text” -Sử dụng cổng TCP 21 cho điều khiển; cổng TCP 20 cho dữ liệu © 2011, Vietnam-Korea Friendship IT College Bảo mật truyền thông - FTP  Nguy cơ  Có khả năng bị nghe lén khi truyền file  Lấy mật khẩu trong quá trình chứng thực  User mặc định Anonymous không an toàn, mục tiêu của tấn công tràn bộ đệm  Biện pháp  Sử dụng S/FTP S/FTP = FTP + SSL/TSL; Chứng thực RSA/DSA  Sử dụng cổng TCP 990 cho điều khiển; cổng TCP 989 cho dữ liệu  © 2011, Vietnam-Korea Friendship IT College Bảo mật truyền thông - FTP  Biện pháp (tt)  Tắt chức năng Anonymous nếu không sử dụng  Sử dụng IDS để phát hiện tấn công tràn bộ đệm  Sử dụng IPSec để mã hóa dữ liệu © 2011, Vietnam-Korea Friendship IT College Bảo mật truyền thông - SSH  Tạo đường hầm (tunnel): giao thức SSH2 © 2011, Vietnam-Korea Friendship IT College Thực hành     Tạo đường hầm (SSH) để kết nối đến máy chủ web: www.google.com.vn Client: Internet Secure Tunneling Server: freeSSHd Môi trường: VMWare © 2011, Vietnam-Korea Friendship IT College Chia sẻ File (File Sharing)  NetBIOS Được dùng để chia sẽ file chủ yếu trong mạng LAN  Chia sẽ file – tiện lợi nhưng cũng dễ bị khai thác   NetBEUI (NetBIOS Extended User Interface)  Giao thức lớp 2, tạo frame dạng chuẩn có thể chia sẽ file qua WAN © 2011, Vietnam-Korea Friendship IT College Chia sẻ File (File Sharing)  Lưu ý  Tắt chức năng chia sẽ File mặc định © 2011, Vietnam-Korea Friendship IT College Instant Messaging    Yahoo, Google, MS, AOL,… làm cho IM trở nên phổ biến Gửi text thời gian thực Có thể truyền file © 2011, Vietnam-Korea Friendship IT College Instant Messaging (2)  Nguy cơ  Không an toàn  Truyền file, tạo điều kiện cho Trojan và Virus thâm nhập  Mở nhiều cổng trên Firewall  Dữ liệu có thể bị nghe lén, mất cắp  Địa chỉ IP có thể bị lộ, Cracker có thể khai thác tấn công © 2011, Vietnam-Korea Friendship IT College Instant Messaging (3)  Biện pháp  Chặn IM (cổng 5050, header msg.yahoo.com)  Hướng dẫn người sử dụng Không chấp nhận truyền file lạ  Chỉ cài đặt IM Client phổ biến   Thường xuyên quét virus  Thay đổi mật khẩu định kỳ © 2011, Vietnam-Korea Friendship IT College Mạng không dây (Wireless)  Giao thức WEP (Wireless Encryption Protocol) Thiết kế cho 802.11b  Mã hóa dữ liệu không dây  Có 2 loại 40 bit và 128 bit  © 2011, Vietnam-Korea Friendship IT College Mạng không dây (Wireless)  Nguy cơ  Mã hóa chưa tốt  Có thể giải mã được  Có thể bị tấn công kiểu từ điển hoặc brute-force  Biện pháp  Triển khai 128 bit WEP/WPA  Bổ sung thêm các biện pháp bảo mật khác IPSec  Kerberos  SSL  © 2011, Vietnam-Korea Friendship IT College Mạng không dây (Wireless)  Giải pháp WPA (Wifi Protected Access)  Mức bảo mật cao hơn WEP  Sử dụng giao thức TKIP (Temporal Key Integrity Protocol): áp dụng giải thuật băm để kiểm tra tính toàn vẹn của khóa © 2011, Vietnam-Korea Friendship IT College Mạng không dây (Wireless) Xây dựng máy chủ chứng thực RADIUS, sử dụng kỹ thuật chứng thực CHAP Wired Lan ut he nt ic at io n 192.168.1.100 Wireless client A  192.168.1.2 RADIUS server 192.168.1.1 Access Point © 2011, Vietnam-Korea Friendship IT College