BÀI GIẢNG TƯỜNG LỬA CHƯƠNG 4

Ph�m Minh Thu�n – Khoa An toàn thông tin

Ch��ng 4Chính sách an ninh t��ng l�a

Ph�m Minh Thu�n – Khoa ATTT 1

Chính sách an ninh t��ng l�a

2

3

1

Các nguy c� có th� x�y ��n �i vi t��ng l�a

Chi�n l��c an toàn cho h� thng m ng

Xây d�ng chính sách an ninh

t��ng l�a


Nguy c� t� bên ngoài1

Nguy c� t� bên trong2

Các nguy c� khác3


� T�n công không ch� ��nh� Nh�ng k� bu�n chán vi công vic hàng ngày, mu�n gi�i trí b ng cách ��t nh�p vào các

h th�ng m�ng.� Các ��i t��ng lo�i này không ch� ��nh phá ho�i, nh�ng nh�ng hành vi xâm nh�p và vic

chúng xoá d�u v�t khi rút lui có th� vô tình làm cho h th�ng b� tr�c tr�c.

� K� phá ho�i� Chúng ch� ��nh phá ho�i h th�ng.� Gây ra nh�ng tác h�i ln cho h th�ng

� K� mu�n kh�ng ��nh b�n thân� Nh�ng k� mu�n kh�ng ��nh mình qua nh�ng ki�u t�n công mi, s� l��ng h th�ng chúng

�ã thâm nh�p...� Chúng thích ��t nh�p nh�ng n�i n�i ti�ng, canh phòng c�n m�t.

� Gián �ip� Truy nh�p �� n c�p tài liu �� ph�c v� nh�ng m�c �ích khác nhau, �� mua bán, trao

��i...

Nguy c� t� bên ngoài


�Nh�ng k� x�u trong công ty�Nh�ng k� x�u l�i d�ng �i�m y�u trong công ty ��

th�c hin hành vi xâm nh�p vào h th�ng m�ng và t�n công t� bên trong

�S� b�t c�n c�a nh�ng ng��i s� d�ng m�ng bên trong

Nguy c� t� bên trong


�Virus và mã ��c h�i� Gây ra t�c ngh n b�ng thông m�ng, gi�m hiu su�t làm

vic� Thay ��i, xoá n�i dung d� liu� !ánh c�p d� liu, account� Làm h"ng hóc máy tính, thi�t b� m�ng� T�o ra các back door

�L# h�ng b�o m�t� Các l# h�ng trong b�o v v�t lý � Các l# h"ng trong ph$n m%m

Các nguy c� khác



2

3

1




t��ng l�a


��c quy�n t�i thi�u1

B�o v có chi�u sâu2

�i�m nút3

Mt xích y�u nh�t4


Tham gia t ng th� & �a d�ng vic b�o v5

�!ây là nguyên t�c an ninh c�n b�n nh�t (b�t k& lo�i an ninh nào, không ch' an ninh máy tính và an ninh m�ng)

�Nguyên t�c: m(i ��i t��ng (ng��i dùng, ng��i qu�n tr�, ch��ng trình, h th�ng...) ch' nên có �� c quy%n �� i t��ng th�c hin nhim v� c�a chúng.

�H�n ch� l�i d�ng m) r�ng t�n công và h�n ch� tác h�i c�a t�n công

��c quy�n ti thi�u


�Không nên s� d�ng m�t bin pháp duy nh�t (ngay c� khi �ó là bin pháp r�t m�nh)

�S� d�ng nhi%u bin pháp h# tr� nhau, khi m�t bin pháp b� v��t qua thì có bin pháp khác b�o v => toàn b� h th�ng b�o v khó b� s�p ��

B�o v� có chi�u sâu


�Thi�t k� bu�c k� t�n công s� d�ng kênh h*p mà b�n có th� theo dõi và ki�m soát.

�T��ng l�a là m�t ví d� v% �i�m nút, m(i d� liu �i vào/�i ra �%u ph�i thông qua.

�i�m nút


�!� an toàn c�a c� h th�ng an ninh b ng �� an toàn c�a m�t xích y�u nh�t

�Phát hin, t�p trung b�o v các �i�m y�u trong h th�ng.

�Ví d�: khi k�t n�i Internet, ng��i ta t�p trung b�o v d�ch v� Telnet mà ít quan tâm ti FTP. Trong khi hai d�ch v� này �%u có nh�ng �i�m y�u t��ng t� nhau.

M�t xích y�u nh�t


�Xem xét t�ng th� t�t c� nh�ng ng��i trong m�ng �ó ph�i tham gia� Xét tr��ng h�p: h th�ng ��c b�o v b)i t��ng l�a,

nh�ng m�t ng��i trong m�ng t� thi�t l�p liên k�t cá nhân ra bên ngoài. Nh� v�y, hacker hoàn toàn có th� xâm nh�p vào m�ng thông qua liên k�t �ó.

�Không ch' b�o v nhi%u lp mà còn ph�i có nhi%u ph��ng pháp b�o v khác nhau� Ví d�: ki�n trúc t��ng l�a có hai h th�ng l(c gói tin,

chúng ta có th� nâng cao �a d�ng vic b�o v b ng cách s� d�ng h th�ng t� các nhà cung c�p khác nhau.

Tham gia t�ng th� & �a d ng vi�c b�o v�



2

3

1




t��ng l�a

�Thu�t ng� chính sách an ninh (security policy) mang nhi%u hàm ý:� Chính sách ��c vi�t ra mô t� m�t t� ch+c qu�n lý an ninh các

tài nguyên c�a h( nh� th� nào.� M�t khác, c�u hình trên th�c t� c�a m�t thi�t b� (ví d� nh� danh

sách �i%u khi�n truy c�p ACL)

�Chính sách an ninh t��ng l�a:� Chính sách an ninh thông tin xác ��nh nh�ng ��i t��ng an ninh

nào b�o v cho h th�ng (bao g�m c� t��ng l�a)� Chính sách l(c �$u vào, l(c �$u ra, truy c�p vic qu�n lý (chính

sách t��ng l�a hay t�p lu�t t��ng l�a) xác ��nh c�u hình th�c t� c�a thi�t b�

Xây d�ng chính sách an ninh t��ng l�a


�Chính sách t��ng l�a “ch' ��o” t��ng l�a ph�i x� lý nh� th� nào ��i vi các lu�ng truy c�p +ng d�ng nh� web, email ho�c telnet.

�K�t qu� c�a vic �ánh giá, phân tích ) các ph$n trên s ��a ra ��c các thông tin sau: � Danh sách các +ng d�ng m�ng � Danh sách các �i�m y�u c�a +ng d�ng� Phân tích chi phí và l�i ích c�a ph��ng pháp b�o m�t +ng d�ng� B�ng ma tr�n g�m các +ng d�ng và ph��ng pháp b�o v

�Vic xây d�ng các lu�t t��ng l�a b�t bu�c ph�i d�a trên các thông tin ) trên.



� No.: S� th+ t� c�a lu�t� Name: Tên lu�t� Source Address: !�a ch' ngu�n c�a gói tin� Destination Address: !�a ch' �ích c�a gói tin� Source Port: C�ng ngu�n c�a gói tin� Destination Address: C�ng �ích c�a gói tin� Action: Hành ��ng th�c hin� Description: Mô t� rõ h�n v% lu�t



No. Name Source Address

Source Port

DestinationAddress

DestinationPort Action Description

3 Accept Weberver Any Any 10.10.10.10 80 Allow

Cho phép truy c�p vào máy

ch� Webserver

�Các tr��ng t�i thi�u trong lu�t t��ng l�a:

�Chính sách m�c ��nh ��i vi t��ng l�a là c$n ph�i ch�n t�t c� m(i gói tin và k�t n�i




Source Port

DestinationAddress


3 Accept Weberver Any Any 10.10.10.10 80 Allow

Cho phép truy c�p vào máy

ch� Webserver

… … … … … … … …

10 Cleanup Rule Any Any Any Any Deny

C�m t�t c� các truy c�p trái phép không phù h�p vi

b�t k& lu�t nào ) trên

�Các lu�t t��ng l�a ph�i luôn luôn ng�n c�m các ki�u k�t n�i nh� sau:� Truy c�p t� h th�ng ngu�n không xác th�c vi ��a ch'

�ích là chính ��a ch' c�a t��ng l�a.




Source Port

DestinationAddress


1 Stealth Rule Any Any 192.168.1.1 Any Deny

C�m t�t c� các truy c�p trái

phép vào t��ng l�a

�Các lu�t t��ng l�a ph�i luôn luôn ng�n c�m các ki�u k�t n�i nh� sau:� Truy c�p t� bên ngoài vi ��a ch' ngu�n c� th� hin là gói

tin b�t ngu�n t� m�t m�ng phía sau t��ng l�a -> Hình th+c gi� m�o (spoofing)

� Các truy c�p t� bên ngoài s� d�ng giao th+c ICMP � Các truy c�p t� bên ngoài vi ��a ch' ngu�n n m trong d�i

��a ch' dành riêng -> T�n công t� ch�i d�ch v� DoS• 10.0.0.0 to 10.255.255.255 (LpA) • 172.16.0.0 to 172.31.255.255 (Lp B) • 192.168.0.0 to 192.168.255.255 (Lp C)



�Các lu�t t��ng l�a ph�i luôn luôn ng�n c�m các ki�u k�t n�i nh� sau:� Truy c�p vào m�ng bên trong t� h th�ng ngu�n không xác

th�c s� d�ng SNMP -> K� xâm nh�p �ang dò quét m�ng� Truy c�p ch+a thông tin IP Source Routing -> Bypass

Firewall� Truy c�p m�ng ch+a ��a ch' ngu�n ho�c �ích là 127.0.0.1 -

> T�n công lên chính h th�ng t��ng l�a� Truy c�p có ch+a ��a ch' h�ng qu�ng bá (directed

broadcast) -> T�n công phát tán qu�ng bá: SMURF



� Xây d�ng b�ng t�p lu�t th�c hin các yêu c$u:� C�m t�t c� các truy c�p trái phép vào t��ng l�a� T�t c� các truy c�p t� m�ng bên trong ��c phép �i ra t�t c� các �ích bên ngoài � Các email t� bên ngoài g�i vào qua giao th+c SMTP ��c chuy�n ��n SMTP

Server sau �ó ��c chuy�n ti�p vào bên trong.� Nh�ng ng��i dùng bên ngoài ch' có th� truy c�p vào HTTP Server thông qua giao

th+c HTTP, HTTPS.� Các k�t n�i t� bên ngoài t� h th�ng t� xa ��c phép ti c�ng VPN, và ��c

chuy�n ti�p vào h th�ng bên trong� T�t c� các k�t n�i khác �%u b� ng�n c�m



Ví d�:�Cho mô hình m�ng nh� sau:

BÀI GIẢNG TƯỜNG LỬA CHƯƠNG 4

Documents