Wireless

NETWORK SECURITY

Phần IV

Application Security

Đảm bảo an ninh phần ứng dụng

Mục 1: An ninh cho truy cập từ xa – Remote Access Security Mục 2: An ninh dịch vụ web – Security web traffic Mục 3: An ninh dịch vụ thư điện tử - Email Security Mục 4: Application Security Baselines

An ninh cho truy cập từ xa – Remote Access Security

Mạng không dây Mạng riêng ảo VPN RADIUS TACACS PPTP L2TP SSH IPSec

Mạng không dây (wireless LAN)

TỔNG QUAN VỀ MẠNG WIRELESSS

Các loại wireless networks Có thể phân chia tạm như sau:

Wireless LAN (Wifi) Wireless MAN (WiMax)

Các chuẩn của mạng wireless

IEEE 802.15: Bluetooth, được sử dụng trong mạng Personal Area Network (PAN).

IEEE 802.11: Wifi, được sử dụng cho mạng Local Area Network (LAN).

IEEE 802.16: WiMax ( Worldwide Interoperability for Microwave Access ), được sử dụng cho Metropolitan Area Network (MAN).

IEEE 802.20: được sử dụng cho Wide Area Network (WAN).

WLAN

Mạng dựa trên công nghệ 802.11 nên đôi khi còn được gọi là 802.11 network Ethernet. Và hiện tại còn được gọi là mạng Wireless Ethernet hoặc Wi-Fi (Wireless Fidelity).

Chuẩn 802.11 được IEEE phát triển và đưa ra vào năm 1997. Gồm có: 802.11, 802.11a, 802.11b, 802.11b+, 802.11g, 802.11h

WLAN

802.11: Tốc độ truyền khoảng từ 1 đến 2 Mbps, hoạt động ở băng tần

2.4GHz. Tầng vật lí sử dụng phương thức DSSS ( Direct Sequence

Spread Spectrum ) hay FHSS ( Frequency Hoping Spread Spectrum ) để truyền.

802.11a: Cung cấp tốc độ truyền lên tới 54 Mbps, hoạt động ở dải băng

tần 5 GHz. Sử dụng phương pháp điều chế ghép kênh theo vùng tần số vuông góc Orthogonal Frequency Division Multiplexing ( OFDM ).

Có thể sử dụng đến 8 Access Point đặc điểm này ở dải tần 2.4GHz, chỉ sử dụng được đến 3 Access Point

WLAN

802.11b, 802.11b+: Cung cấp tốc độ truyền là 11 Mpbs ( 802.11b ) hay 22 Mbps

( 802.11b+), hoạt động ở dải băng tần 2.4 GHz. Có thể tương thích với 802.11 và 802.11g. Tốc độ có thể ở 1, 2, hay 5,5 Mbps.

802.11g: Cung cấp tốc độ truyền khoảng 20+Mbps, hoạt động ở dải băng tần 2.4GHz. Phương thức điều chế: có thể dùng 1 trong 2 phương thức:

OFDM ( giống 802.11a ) : tốc độ truyền có thể lên tới 54 Mbps. DSSS: tốc độ giới hạn ở 11 Mbps.

802.11h: Được sử dụng ở châu Âu, hoạt động ở băng tần 5 GHz.

WLAN

Ưu điểm của WLAN so với mạng có dây truyền thống Mạng Wireless cung cấp tất cả các tính năng của công nghệ

mạng LAN như là Ethernet và Token Ring mà không bị giới hạn về kết nối vật lý (giới hạn về cable).

Sự thuận lợi đầu tiên của mạng Wireless đó là tính linh động. Mạng WLAN sử dụng sóng hồng ngoại (Infrared Light) và

sóng Radio (Radio Frequency) để truyền nhận dữ liệu thay vì dùng Twist-Pair và Fiber Optic Cable.

WLAN

Hạn chế của WLAN Tốc độ mạng Wireless bị phụ thuộc vào băng thông. Bảo mật trên mạng Wireless là mối quan tâm hàng đầu hiện

nay.

Đặc tính kỹ thuật mạng Wireless

WLAN hoạt động như thế nào ? Wireless LAN sử dụng sóng điện từ (Radio hoặc sóng Hồng

ngoại - Infrared) để trao đổi thông tin giữa các thiết bị mà không cần bất kỳ một kết nối vật lý nào (cable).

Trong cấu hình của mạng WLAN thông thường, một thiết bị phát và nhận (transceiver) được gọi là Access Point (AP) và được kết nối với mạng có dây thông thường thông qua cáp theo chuẩn Ethernet.

AP thực hiện chức năng chính đó là nhận thông tin, nhớ lại và gửi dữ liệu giữa mạng WLAN và mạng có dây thông thường. Một AP có thể hổ trợ một nhóm người dùng và trong một khoảng cách nhất định (tuỳ theo loại AP).

Đặc tính kỹ thuật mạng Wireless

Người dùng mạng WLAN truy cập vào mạng thông qua Wireless NIC, thông thường có các chuẩn sau: PCMCIA - Laptop, Notebook ISA, PCI, USB – Desktop Tích hợp sẵn trong các thiết bị cầm tay

Đặc tính kỹ thuật mạng Wireless

Công nghệ chính được sử dụng cho mạng Wireless là dựa trên chuẩn IEEE 802.11. Hầu hết các mạng Wireless hiện nay đều sử dụng tầng số 2.4GHz.

Wireless Network Standards: IEEE 802.11 standard Bluetooth

Đặc tính kỹ thuật mạng Wireless

802.11 Standard Mạng WLANs hoạt động dựa trên chuẩn 802.11 chuẩn

này được xem là chuẩn dùng cho các thiết bị di động có hỗ trợ Wireless, phục vụ cho các thiết bị có phạm vi hoạt động tầm trung bình.

Cho đến hiện tại IEEE 802.11 gồm có 4 chuẩn trong họ 802.11 và 1 chuẩn đang thử nghiệm:

Đặc tính kỹ thuật mạng Wireless

802.11 - là chuẩn IEEE gốc của mạng không dây (hoạt động ở tầng số 2.4GHz, tốc độ 1 Mbps – 2Mbps)

802.11b - (phát triển vào năm 1999, hoạt động ở tầng số 2.4-2.48GHz, tốc độ từ 1Mpbs - 11Mbps)

802.11a - (phát triển vào năm 1999, hoạt động ở tầng số 5GHz – 6GHz, tốc độ 54Mbps)

802.11g - (một chuẩn tương tự như chuẫn b nhưng có tốc độ cao hơn từ 20Mbps - 54Mbps, hiện đang phổ biến nhất)

802.11e - là 1 chuẩn đang thử nghiệm: đây chỉ mới là phiên bản thử nghiệm cung cấp đặc tính QoS (Quality of Service) và hỗ trợ Multimedia cho gia đình và doanh nghiệp có môi trường mạng không dây

Đặc tính kỹ thuật mạng Wireless

Bluetooth Bluetooth là một giao thức đơn giản dùng để kết nối những thiết

bị di động như Mobile Phone, Laptop, Handheld computer, Digital Camera, Printer, v.v..

Bluetooth sử dụng chuẩn IEEE 802.15 với tần số 2.4GHz – 2.5GHz

Bluetooth là công nghệ được thiết kế nhằm đáp ứng một cách nhanh chóng việc kết nối các thiết bị di động và cũng là giải pháp tạo mạng WPAN, có thể thực hiện trong môi trường nhiều tầng số khác nhau.

Kênh trong mạng Wireless

Kênh trong mạng Wireless

Các mô hình mạng Wireless

Independent Basic Service sets – IBSSBasic Service sets – BSSExtended Service sets - ESS

Các mô hình mạng Wireless

Mô hình independent BSS/Ad-hoc network

Các mô hình mạng Wireless

Mô hình Infracstructure BSS

Các mô hình mạng Wireless

Mô hình ESS network

CÁC KIỂU TẤN CÔNG TRÊN MẠNG WLAN

Hacker có thể tấn công mạng WLAN bằng các cách sau: Passive Attack (eavesdropping) Active Attack (kết nối, thăm dò và cấu hình mạng) Jamming Attack Man-in-the-middle Attack

Tấn công bị động (Passive Attack)

WLAN sniffer có thể được sử dụng để thu thập thông tin về mạng không dây ở khoảng cách xa bằng cách sử dụng anten định hướng.

Phương pháp này cho phép hacker giữ khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu thập được những thông tin quý giá.

Ví dụ: Tấn công bị động

Tấn công chủ động (Active Attack )

Ví dụ: Một hacker có thể sửa đổi để thêm MAC address của hacker vào danh sách cho phép của MAC filter trên AP hay vô hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng hơn.

Ví dụ: Kiểu tấn công chủ động

Tấn công chèn ép (Jamming)

Để loại bỏ kiểu tấn công này thì yêu cầu đầu tiên là phải xác định được nguồn tín hiệu RF. Việc này có thể làm bằng cách sử dụng một Spectrum Analyzer (máy phân tích phổ) Tấn công jamming

Tấn công bằng cách thu hút (Man in the Middle)

Hacker muốn tấn công theo kiểu Man-in-the-middle này trước tiên phải biết được giá trị SSID là các client đang sử dụng (giá trị này rất dễ dàng có được). Sau đó, hacker phải biết được giá trị WEP key nếu mạng có sử dụng WEP

Tấn công Man in the Middle

TỔNG QUAN BẢO MẬT CHO MẠNG KHÔNG DÂY

Tại sao phải bảo mật mạng không dây?

Tại sao phải bảo mật mạng không dây?

Các thiết lập bảo mật trong WLAN

Mã hóa Mã hóa là biến đổi dữ liệu

để chỉ có các thành phần được xác nhận mới có thể giải mã được nó. Quá trình mã hóa là kết hợp plaintext với một khóa để tạo thành văn bản mật (Ciphertext).

Sự giải mã được bằng cách kết hợp Ciphertext với khóa để tái tạo lại plaintext

Quá trình xắp xếp và phân bố các khóa gọi là sự quản lý khóa.

Quá trình mã hóa và giải mã

Mã hóa Có hai phương pháp mã:

Mã dòng (stream ciphers) Mã khối ( block ciphers)

Cả hai loại mật mã này hoạt động bằng cách sinh ra một chuỗi khóa ( key stream) từ một giá trị khóa bí mật. Chuỗi khóa sau đó sẽ được trộn với dữ liệu (plaintext) để sinh dữ liệu đã được mã hóa.

Hai loại mật mã này khác nhau về kích thước của dữ liệu mà chúng thao tác tại một thời điểm

Bảo mật Lan không dây

Một WLAN gồm có 3 phần: Wireless Client, Access Points và Access Server. Wireless Client: Điển hình là một chiếc laptop với NIC

(Network Interface Card) không dây được cài đặt để cho phép truy cập vào mạng không dây.

Access Points (AP): Cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó và kết nối đến mạng không dây.

Access Server: Điều khiển việc truy cập. Một Access Server (như là Enterprise Access Server (EAS) ) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise .

Mã dòng Mã dòng phương thức mã hóa

theo từng bit, mã dòng phát sinh chuỗi khóa liên tục dựa trên giá trị của khóa

Ví dụ: một mã dòng có thể sinh ra một chuỗi khóa dài 15 byte để mã hóa một frame và môt chuỗi khóa khác dài 200 byte để mã hóa một frame khác.

Mật mã dòng là một thuật toán mã hóa rất hiệu quả, ít tiêu tốn tài nguyên (CPU).

Hoạt động của mã dòng

Mã khối Mã khối sinh ra một chuỗi khóa

duy nhất và có kích thước cố định(64 hoặc 128 bit).

Chuỗi kí tự chưa được mã hóa( plaintext) sẽ được phân mảnh thành những khối(block) và mỗi khối sẽ được trộn với chuỗi khóa một cách độc lập.

Nếu như khối plaintext nhỏ hơn khối chuỗi khóa thì plaintext sẽ được đệm thêm vào để có được kích thước thích hợp

Hoạt động của mã khối

WEP – Wired Equivalent Privacy

WEP là một hệ thống mã hóa dùng cho việc bảo mật dữ liệu cho mạng Wireless. WEP là một phần của chuẩn 802.11 và dựa trên thuật toán mã hóa RC4, mã hóa dữ liệu 40 bit.

Đặc tính kỹ thuật của WEP Điều khiển việc truy cập, ngăn chặn sự truy cập của

những Client không có khóa phù hợp Bảo mật nhằm bảo vệ dữ liệu trên mạng bằng mã hóa

chúng và chỉ cho những client có khóa WEP đúng giải mã

Thuật toán WEP

Thuật toán mã hóa RC4 là thuật toán mã hóa đối xứng( thuật toán sử dụng cùng một khóa cho việc mã hóa và giải mã).

WEP là thuật toán mã hóa được sử dụng bởi tiến trình xác thực khóa chia sẻ để xác thực người dùng và mã hóa dữ liệu trên phân đoạn mạng không dây.

Frame được mã hóa bởi WEP

Thuật toán WEP

Chuẩn 802.11 yêu cầu khóa WEP phải được cấu hình trên cả client và AP khớp với nhau thì chúng mới có thể truyền thông được.

Mã hóa WEP chỉ được sử dụng cho các frame dữ liệu trong suốt tiến trình xác thực khóa chia sẻ. WEP mã hóa những trường sau đây trong frame dữ liệu: Phần dữ liệu (payload) Giá trị kiểm tra tính toàn vẹn của dữ liệu ICV (Integrity Check

value) Tất cả các trường khác được truyền mà không được mã

hóa. Giá trị IV được truyền mà không cần mã hóa để cho trạm nhận sử dụng nó để giải mã phần dữ liệu và ICV

Intergrity Algorithm

Integrity Check Value (ICV)

Message

Ciphertext

Key SequenceSeed

Initalization Vector

IV

Secret Key

Plaintext

WEP PRNG

IV

SƠ ĐỒ QUÁ TRÌNH MÃ HÓA SỬ DỤNG WEP

Message

Ciphertext

IV

Intergrity Algorithm

Key Sequence

Seed

Secret Key

WEP PRNG

Plaintext

ICV’

ICV ICV = ICV’?

SƠ ĐỒ QUÁ TRÌNH GIÃI MÃ WEP

WPA - Wi-fi Protected Access

WPA được thiết kế nhằm thay thế cho WEP vì có tính bảo mật cao hơn. Temporal Key Intergrity Protocol (**IP), còn được gọi là WPA key hashing là một sự cải tiến dựa trên WEP, nó tự động thay đổi khóa, điều này gây khó khăn rất nhiều cho các Attacker dò thấy khóa của mạng.

Mặt khác WPA cũng cải tiến cả phương thức chứng thực và mã hóa. WPA bảo mật mạnh hơn WEP rất nhiều. Vì WPA sử dụng hệ thống kiểm tra và bảo đảm tính toàn vẹn của dữ liệu tốt hơn WEP

WPA2 – Wi-fi Protected Access 2

WPA2 là một chuẩn ra đời sau đó và được kiểm định lần đầu tiên vào ngày 1/9/2004. WPA2 được National Institute of Standards and Technology (NIST) khuyến cáo sử dụng, WPA2 sử dụng thuật toán mã hóa Advance Encryption Standar (AES).

WPA2 cũng có cấp độ bảo mật rất cao tương tự như chuẩn WPA, nhằm bảo vệ cho người dùng và người quản trị đối với tài khoản và dữ liệu.

Trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn so với WPA, WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu như **IP, RC4, AES và một vài thuật toán khác. Những hệ thống sử dụng WPA2 đều tương thích với WPA.

Những giải pháp dựa trên EAS

Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay “Controller Mode”.

Trong Gateway Mode EAS được đặt ở giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây và thực hiện như một tường lửa

Những giải pháp dựa trên AES

Trong Controll Mode, EAS quản lý các AP và điều khiển việc truy cập đến mạng không dây, nhưng nó không liên quan đến việc truyền tải dữ liệu người dùng.

Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise.

Mô hình Enterprise Access Server trong chế độ Controller Mode

Mạng riêng ảo (VPN)

Là phương thức đảm bảo an ninh truy cập từ xa Dựa trên các phương thức mã hóa và cơ chế chứng thực Cung cấp cơ chế “tunnel” cho phép truyền thông tin từ hệ

thống mạng này sang hệ thống khác

Mạng riêng ảo (VPN)

Có hai hình thức hoạt động

Site to Site VPN Remote Access

Mạng riêng ảo (VPN)

Các công nghệ sử dụng: Point-to-Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) IPSec Public Key Infrastructure (PKI) Phần mềm Remote Control

Các vấn đề về VPN

Làm tăng thông lượng sử dụng của mạngCác vấn đề về cài đặt và duy trì hệ thốngCác vấn đề về cơ chế an ninhVấn đề về trình độ người sử dụngVấn đề về khả năng tương thích

An ninh cho VPN

Sử dụng giao thức an ninh mới nhất (L2TP, IPSec) Sử dụng thay thế cho các dịch vụ truy cập từ xa

(Terminal Services, PC Anywhere, VNC) Thường xuyên cập nhật các bản vá lỗi cho phần

mềm và cho hệ điều hành Lập kế hoạch triển khai thật cẩn thận

RADIUS

Romote Access Dial-In User Service Được các ISP sử dụng trong việc chứng thực trong dịch vụ Dial-in Được sử dụng trong việc thực hiện chứng thực giữa các thiết bị mạng

như Router với Domain Controller (Active Directory, iPlannet...)

RADIUS

Tính chất Chỉ mã hóa password Phạm vi sử dụng rộng Cài đặt tương đối phức tạp Mã nguồn mở Sử dụng cổng UDP 1812

RADIUS

An ninh Sử dụng mã hóa Kerberos để chứng thực Thường xuyên cập nhật phần mềm cho các ứng

dụng sử dụng RADIUS

TACACS

Terminal Access controller Access Control System.

Giao thức chứng thực của UNIX Quản lý tập chung việc chứng

thực người dùng

TACACS

Tính chất Không phổ biến Giao thức TACACS+ không tương thích với các phiên

bản trước đó Sử dụng cổng TCP 49

PPTP

Point-to-Point Tunnelling Protocol (PPTP) Hoạt động trên mô hình Client/Server Nén dữ liệu các gói tin PPP Sử dụng cổng 1723 TCP để khởi tạo

PPTP

Tính chất Là giao thức không thể mở rộng việc mã hóa Dễ bị lợi dụng tấn công Việc chứng thực là một nguy cơ dễ bị tấn công

L2TP

Kết hợp giữa giao thức PPTP và giao thức L2P (Layer 2 Protocol, Cisco)

Có thể mở rộng phương thức mã hóa Có thể sử dụng giấy phép trong cả việc chứng thực

và mã hóa

L2TP

Tính chất Cài đặt phức tạp Một số thiết bị không tương thích Chi phí đắt Không tương thích với NAT (Network Address

Translation)

SSH

Secure Shell Là một công cụ quản trị

truy nhập từ xa sử dụng dòng lệnh (CLI – Command Line Interface)

Thường được sử dụng thay thế cho Telnet và rlogin

SSH

4 Bước khởi tạo một giao dịch của SSH

SSH

Tính chất Sử dụng mã hóa công khai trong việc chứng thực

và mã hóa Cung cấp các tính năng copy file và FTP Được phát triển bởi một số nhà sản xuất và có mã

nguồn mở (Open SSH) Giao tiếp giữa Client và Server thông qua tunnel Các dịch vụ (mail, web...) có thể sử dụng để trao

đổi thông tin thông qua tunnel.

SSH

Một số vấn đề Sử dụng cơ chế “chìa khóa” để chứng thực Những phiên bản đầu tiên có nhiều lỗi Hiện nay các lỗi security vẫn được tìm thấy Giao diện dạng CLI vẫn là trở ngại cho người quản

trị

IPSec

IPSec là gì?

IPSec (Internet Protocol Security). Nó có quan hệ tới một số bộ giao thức (AH, ESP, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF).

Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.

IPSec là gì? Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên

các giao thức IP. Khi một cơ chế bảo mật được tích hợp với giao thức IP,

toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3.

với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích.

IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuổi các hoạt động.

IPSec Security Associations (SA)

Security Associations (SAs) là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec. Các giao thức xác thực, các khóa, và các thuật toán Phương thức và các khóa cho các thuật toán xác thực được dùng

bởi các giao thức Authentication Header (AH) hay Encapsulation Security Payload (ESP) của bộ IPSec.

Thuật toán mã hóa và giải mã và các khóa. Thông tin liên quan khóa, như khoảng thời gian thay đổi hay

khoảng thời gian làm tươi của các khóa. Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ

nguồn SA và khoảng thời gian làm tươi. Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng,

nếu có.

IPSec Security Associations (SA)

IPSec SA gồm có 3 trường: SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận

dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol. SPI thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA.

Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast.

Security protocol. Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặc ESP.

IPSec Security Protocols

Bộ IPSec đưa ra 3 khả năng chính bao gồm : Tính xác thực và Tính toàn vẹn dữ liệu (Authentication and

data integrity). IPSec cung cấp một cơ chế xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi nội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ.

Sự bí mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén.

IPSec Security Protocols Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba,

Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu.

Hai tính năng đầu tiên của bộ IPSec, xác thực và toàn vẹn, và bí mật, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec. Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload (ESP).

Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE.

Technical details

Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin:

IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực.

IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu.

Thuật toán mã hoá được sử dụng trong IPsec bao gồm: HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection) TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ

an toàn của gói tin.

Authentication Header (AH) AH được sử dụng trong các kết nối không có tính đảm

bảo dữ liệu. AH là lựa chọn nhằm chống lại các tấn công replay attack

bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets.

AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum.

AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP.

Authentication Header (AH)

Next header: Nhận dạng giao thức trong sử dụng truyền thông tin.

Payload length: Độ lớn của gói tin AH. RESERVED: Sử dụng trong tương lai (cho

tới thời điểm này nó được biểu diễn bằng các số 0).

Security parameters index (SPI): Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin.

Sequence number: Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay attacks.

Authentication data: Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực. Mô hình AH header

Encapsulating Security Payload (ESP)

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin.

ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần tính năng mã hoá hoặc xác thực.

Encapsulating Security Payload (ESP)

Security parameters index (SPI): Nhận ra các thông số được tích hợp với địa chỉ IP.

Sequence number:Tự động tăng có tác dụng chống tấn công kiểu replay attacks.

Payload data: Dữ liệu truyền đi Padding: Sử dụng vài block mã hoá Pad length: Độ lớn của padding. Next header: Nhận ra giao thức được sử

dụng trong quá trình truyền thông tin. Authentication data: Bao gồm dữ liệu để

xác thực cho gói tin.

Mô hình ESP

Các chế độ IPSec

SAs trong IPSec hiện tại được triển khai bằng 2 chế độ. Transport. Tunnel.

Cả AH và ESP có thể làm việc với một trong hai chế độ này

Hai chế độ IPSec

Transport Mode Transport mode bảo

vệ giao thức tầng trên và các ứng dụng.

Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên Biểu diễn của IPSec Transport Modes

AH Transport mode

ESP Transport mode

Tunnel Mode Tunnel mode bảo vệ

toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu IP

được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP

Biểu diển chung của IPSec Tunnel Modes

AH Tunnel mode

Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới và phần header nguyên bản, như hình bên dưới

ESP Tunnel mode

Internet Key Exchange Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của

Internet Security Association and Key Management Protocol. IKE giúp các bên giao tiếp thỏa thuận các tham số bảo mật và khóa xác

nhận trước khi một phiên bảo mật IPSec được triển khai. Ngoài việc thỏa thuận và thiết lập các tham số bảo mật và khóa mã hóa,

IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một

phiên giao dịch hoàn thành.

Internet Key Exchange Chức năng chủ yếu của IKE là thiết lập và duy trì các SA.

Các thuộc tính sau đây là mức tối thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP. Thuật toán mã hóa được dùng Thuật toán băm được dùng Phương thức xác thực được dùng Thông tin về nhóm và giải thuật Diffie-Hellman

IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý vào trao đổi khóa.

Sau khi dò tìm thành công, các thông số SA hợp lệ sẽ được lưu trong cơ sở dữ liệu của SA.

Internet Key Exchange

Thuận lợi chính của IKE include bao gồm: IKE không phải là một công nghệ độc lập, do đó nó có

thể dùng với bất kỳ cơ chế bảo mật nào. Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao

bởi vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.

IKE Phases Giai đoạn I và II là hai giai đoạn

tạo nên phiên làm việc dựa trên IKE.

Trong một phiên làm việc IKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra. Hai IKE phases – Phase I và Phase II

Giai đoạn I của IKE

Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác thực, mã khóa.

Giai đoạn I của IKE

Sau khi cơ chế mã hóa và hàm băm đã được thỏa thuận, một khóa chia sẽ bí mật được tạo. Theo sau là những thông tin được dùng để tạo khóa bí mật : Giá trị Diffie-Hellman SPI của ISAKMP SA ở dạng cookies Số ngẩu nhiên - nonces

Nếu hai bên đồng ý sử dụng phương pháp xác thực dựa trên public key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng.

Giai đoạn II của IKE

Giai đoạn II giải quyết việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP).

Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.

IKE Modes

4 chế độ IKE phổ biến thường được triển khai : Chế độ chính (Main mode) Chế độ linh hoạt (Aggressive mode) Chế độ nhanh (Quick mode) Chế độ nhóm mới (New Group mode)

Main Mode Main mode xác nhận và bảo vệ tính

đồng nhất của các bên có liên quan trong qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm: 2 thông điệp đầu tiên dùng để thỏa

thuận chính sách bảo mật cho sự thay đổi.

2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces. Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa.

Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.

Aggressive Mode Aggressive mode về bản chất giống

Main mode. Chỉ khác nhau thay vì main mode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode nhanh hơn mai mode. Các thông điệp đó bao gồm : Thông điệp đầu tiên dùng để đưa ra

chính sách bảo mật, trao đổi nonces cho việc ký và xác minh tiếp theo.

Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa.

Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc).

Quick Mode

Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuận SA cho các dịch vụ bảo mật IPSec.

New Group Mode

New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều kiện trao đổi Diffie-Hellman key được dễ dàng.

Mặc dù chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộc giai đoạn II.

Secure Web TrafficSecure Sockets Layer

Bảo mật trong mô hình TCP/IP

Giao thức bảo mật SSL(Secure Sockets Layer)

Được phát triển bởi Netscape Phiên bản đầu tiên (SSL 1.0): Không công bố SSL 2.0: Công bố năm 1994, chứa nhiều lỗi bảo

mật. SSL 3.0: Công bố năm 1996. SSL 3.1: Năm 1999, được chuẩn hóa thành TLS

1.0 (Transport Layer Security) Hiện nay: SSL 3.2 (Tương đương TLS 1.1)

Công dụng của SSL

Mã hóa dữ liệu và xác thực cho dịch vụ web.Mã hóa dữ liệu và xác thực cho dịch vụ mail

(SMTP và POP)Bảo mật cho FTP và các ứng dụng khác

Thực thi SSL không “trong suốt” với ứng dụng như IPSec.

Cấu trúc SSL

Cấu trúc SSL

SSL Handshake protocol: Giao thức bắt tay, thực hiện khi bắt đầu kết nối.

SSL Change Cipher Spec protocol: Giao thức cập nhật thông số mã hóa.

SSL Alert protocol: Giao thức cảnh báo. SSL Record protocol: Giao thức chuyển dữ liệu

( thực hiện mã hóa và xác thực)

Connection và session

Kết nối (connection): quan hệ truyền dữ liệu giữa hai hệ thống ở lớp vận chuyển dữ liệu.

Phiên (session): Quan hệ bảo mật giữa hai hệ thống. Mỗi quan hệ có thể khởi tạo nhiều connection.

Giữa hai hệ thống có thể tồn tại nhiều connection => có thể tồn tại nhiều session theo lý thuyết.

Session state

Trạng thái của phiên làm việc được xác định bằng các thông số:

Session identifier:nhận dạng phiên. Peer Certificate: Chứng chỉ số của đối tác. Compression method: thuật toán nén. Cipher spec: thông số mã hóa và xác thực. Master secret: khóa dùng chung. Is resumable: có phục hồi kết nối không.

Connection state

Trạng thái kết nối xác định với các thông số: Server and client random: Chuỗi byte ngẫu nhiên. Server write MAC secret: Khóa dùng chung cho

thao tác MAC phía server. Server write key: Khóa mã hóa phía server. Client write key: Khóa mã hóa phía client. IV và sequence number.

Giáo thức SSL record

Cung cấp hai dịch vụ cơ bản: Confidentiality Message integrity

Giao thức SSL record

Giao thức SSL record

Phân đoạn (fragmentation): mỗi khối dữ liệu gốc được chia thành đoạn, kích thước mỗi đoạn tối đa = 214 byte.

Nén (compression): có thể sử dụng các thuật toán nén để giảm kích thước dữ liệu truyền đi, tuy nhiên trong các phiên bản thực thi ít chấp nhận thao tác này

Giao thức SSL record

Tạo mã xác thực MAC

Giao thức SSL record

Mã hóa

Giao thức SSL record

Cấu trúc tiêu đề SSL record

Giao thức SSL Change Cipher Spec

Có chức năng cập nhật thông số mã hóa cho kết nối hiện tại.

Chỉ gồm một message duy nhất có kích thước 1 byte được gửi đi cùng giao thức SSL record.

Giao thứ SSL Alert

Một số bản tin cảnh báo trong SSL: Unexpected_message: bản tin không phù hợp. Bad_record_mac: MAC không đúng. Decompression_failure: giải nén không thành công. Handshake_failure: không thương lượng được các

thông số bảo mật. Illegal_parameter: bản tin bắt tay không hợp lệ. Close_notify: thông báo kết thúc kết nối

Giao thức SSL Alert

Một số bản tin cảnh báo trong SSL (tt): No_certificate: Không có certificate để cung cấp theo yêu cầu. Bad_certificate: Certificate không hợp lệ (chữ ký sai). Unsupported_certificate: Kiểu certificate không chuẩn. Certificate_revoked: Certificate bị thu hồi. Certificate_expired: Certificate hết hạn. Certificate_unknown: Không xử lý được certificate (khác

với các lý do ở trên)

Giao thức SSL handshake

Là phần quan trọng nhất của SSL. Có chức năng thỏa thuật các thông số bảo mật

giữa hai thực thể. Thủ tục bắt tay phải được thực hiện trước khi trao

đổi dữ liệu. SSL handshake gồm 4 giai đoạn (phase).

Giao thức SSL handshake

Phase 1:

Giao thức SSL handshake

Phase 2: Certificate: Chứng chỉ của server. Server_key_exchange: Thông số

trao đổi khóa (***). Certificate_request: yêu cầu client

gửi chứng chỉ. Server_hello_done: kết thúc

thương lượng phía server.

Giao thức SSL handshake

Phase 3: Certificate: Chứng chỉ của client. Client_key_exchange: Thông số

trao đổi khóa (***). Certificate_verify: Thông tin xác

minh chứng chỉ của client (xác thực khóa PR của client).

Giao thức SSL handshake

Phase 4: Chang_cipher_spec: cập nhật

thông số mã. Finish: Kết thúc quá trình bắt

tay thành công.

Giao thức SSL handshake

Trao đổi khóa trong SSL handshake: Dùng RSA (certificate chứa PU) Fixed Diffie-Hellman: Dùng Diffie-Hellman với khóa cố

định. Ephemeral Diffie-Hellman: Dùng Diffie-Hellman với khóa

tức thời. Anonymous Diffie-Hellman: Dùng khóa Diffie-Hellman

nguyên thủy.

Tấn công kết nối SSL

Nếu chặn được các thông số của quá trình trao đổi khóa Diffie-Hellman, có thể thu được khóa bí mật bằng kỹ thuật Man-in-the-midle.

Dùng khóa bí mật để giải mã thông tin của giao thức SSL record.

Triển khai SSL với dịch vụ web

Các web client (internet browser) đã tích hợp sẵn giao thức SSL.

Phía server: Đảm bảo hỗ trợ của server đối với SSL (IIS,

Apache,…) Tạo và cài đặt certificate cho server. Ràng buộc SSL đối với tất cả các giao dịch.

Các vấn đề về SSL

Trong quá trình chứng thực cả Client và Server đều phải cần PKI Cần phải thiết lập các qui định chung cho hệ thống

Ảnh hưởng đến Performance của hệ thống mạng Việc triển khai tiềm tàng một số vấn đề: Cách

triển khai, cấu hình hệ thống, chọn phần mềm.... Kiểu tấn công Man-in-the-Middle

Đảm bảo an ninh trong SSL

Triển khai PKI Thường xuyên cập nhật, vá lỗi phần mềm sử dụng Cài đặt việc chứng thực trong giao dịch giữa Client

và Server Hướng dẫn người sử dụng dấu hiệu nhận biết tấn

công Man-in-the-Middle

Các điểm yếu của Web Client

javaScript ActiveX Cookies Applets

JavaScript

Là một đoạn mã lệnh được tích hợp trong trang web và được thực thi bởi trình duyệt web.

Được sử dụng rất phổ biến và hữu ích

JavaScript

Các nguy cơ: Ăn trộm địa chỉ Email Ăn trộm thông tin người sử dụng Kill một số tiến trình Chiếm tài nguyên CPU và bộ nhớ Shutdown hệ thống Relay email để phục vụ cho gửi spam Phục vụ cho việc chiếm đoạt website

JavaScript

Các biện pháp phòng chống

Disable chức năng chạy JavaScript trong trình duyệt.

Thường xuyên cập nhập phiên bản mới của trình duyệt

Kiểm tra kỹ mã lệnh của web Server

ActiveX

ActiveX cung cấp những nội dung động cho trình duyệt web

ActiveX có thể giao tiếp với những ứng dụng khác, tiếp nhận các thông số từ người dùng, cung cấp các ứng dụng hữu ích cho người sử dụng.

ActiveX

Các nguy cơ: Ăn cắp thông tin Kẻ tấn công có thể lợi dụng các lỗ hổng bảo mật

của các trình ứng dụng ActiveX để xâm nhập, tấn công hệ thống

ActiveX

Các biện pháp phòng chống

Disable ActiveX trên trình duyệt web và mail client

Lọc các ActiveX từ firewall Hướng dẫn người sử dụng

chỉ sử dụng các ActiveX đã được chứng thực

Cookies

File cookies lưu trữ một số các thông tin cá nhân của người dùng: Số thẻ tín dụng Username/Password

Có thế sử dụng chung cho nhiều website khác nhau

Trình duyệt có thể cho phép web server lưu trữ thông tin trên đó

Cookies

Các nguy cơ: Kẻ tấn công có thể sử dụng Telnet để gửi các dạng

cookies mà chúng muốn để đánh lừa web server. Kẻ tấn công có thể lợi dụng cookies để lấy trộm các

thông tin về người dùng, về tổ chức và câu hình Security của mạng nội bộ

Kẻ tấn công có thể lợi dụng lỗi Script Injection để cài các script nguy hiểm lên hệ thống nhằm chuyển các cookies về hệ thống thay vì phải chuyển lên web server

Cookies

Các biện pháp phòng chống: Disable Cookies trên trình duyệt web Sử dụng những trình xóa cookies không cần thiết Cấu hình web server không được “tin tưởng” vào các

cookies dạng yêu cầu cung cấp thông tin, yêu cầu điều khiển hoặc yêu cầu dịch vụ.. Được lưu ở client

Không lưu trữ các thông tin nhạy cảm trên cookies Sử dụng SSL/TLS

Applets

Là những chương trình Java nhỏ, có thể thực thi trên các trình duyệt.

Java Applets chạy trên những client dựa vào Java Virtual Machine (VM) được hầu hết các hệ điều hành hỗ trợ.

Applets

Các nguy cơ: Các chương trình Applets có thể truy cập các tài

nguyên hệ thống Có thể sử dụng để giả mạo chữ ký Có thể dùng để cài đặt Virus, Trojan, worm Có thể sử dụng tài nguyên mạng để tấn công, thăm

dò hệ thống mạng khác.

Applets

Các biện pháp phòng chống: Không sử dụng Applets, tắt hỗ trợ Java trên các

trình duyệt Tuyên truyền, hướng dẫn người sử dụng

Email Security

Email Security

E-mail MIME S/MIME Các vấn đề về S/MIME PGP Các vấn đề về PGP Các nguy cơ Bảo vệ hệ thống E-mail

E-Mail

Kỹ thuật gửi thư điện tử đến SMTP Server

Có rất nhiều lỗi bảo mật Sử dụng giao thức SMTP

(TCP 25) để gửi mail Sử dụng giao thức

POP3/IMAP (TCP 110/143) để nhận mail

MIME

Sử dụng text để mã hóa e-mail RFC 1521, và RFC 1522

S/MIME

Là một chuẩn mới của MIME (Multipurpose Internet mail Extentions)

Mã hóa và số hóa các dấu hiệu nhận biết của email Sử dụng mã hóa công khai Được tích hợp với các trình mail client thông dụng

Các vấn đề về S/MIME

Người gửi phải có Public key của người nhận nếu muốn mã hóa

Người nhận phải có Public Key của người gửi nếu muốn chứng thực người gửi

Người sử dụng phải mất thêm thời gian cho các bước truy vấn, kiểm hóa khóa với PKI (Public Key Infrashtructure).

PGP

Pretty Good Privacy Phương thức mã hóa công khai Cung cấp khả năng mã hóa chữ kí điện tử, nội

dung và các thông tin khác của email Người dùng được cung cấp một Public Key và 1

Private key. Các tiện ích hỗ trợ PGP thường được tích hợp vào

mail client hoặc sử dụng riêng biệt

Các vấn đề về PGP

Hiện nay có nhiều phiên bản ứng dụng khác nhau nên đôi khi không tương thích.

Một số các trình ứng dụng mail client không còn được phát triển nữa nhưng vẫn được người dùng sử dụng

Để triển khai cần có người phụ trách việc quản lý key

Các nguy cơ

Spam Sử dụng email để quảng cáo Gửi kiểu bomb thư Người gửi không hề biết người nhận Người nhận phải chịu sự phiền phức, khó chịu Cấu hính mail server không tốt sẽ tiếp tay cho spam.

Các nguy cơ

Hoax (Lừa đảo) Hình thức: Gửi thông báo cảnh báo virus, các vấn đề an

ninh, bảo mật.... Lây lan dựa vào sự lo sợ và kém hiểu biết của người

dùng. Mức độ: Khá nguy hiểm

Các nguy cơ

Virus, worm, Trojan Hầu hết các loại virus và trojan hiện nay đều lây qua

email Lây lan dựa trên sự mất cảnh giác và thiếu kiến thức của

người sử dụng. Mức độ: rất nguy hiểm

Các nguy cơ

Mail relay Cho phép gửi mail không cần kiểm tra Giả mạo Lợi dụng để gửi spam

Bảo vệ hệ thống Email

Sử dụng S/MIME nếu có thể Sử dụng phần mềm Mail gateway Scan Cấu hình mail server tốt, không bị open relay Ngăn chặn spam trên Server Hướng dẫn sử dụng cho người dùng Cảnh giác với những email lạ, có nội dung đáng nghi

Security Baselines – Ghi tài liệu

Ghi tài liệu cụ thể về cấu hình security mạng Nên xem lại và sửa chữa mỗi khi có một sự thay

đổi trong mạng

Security Baselines

Liệt kê những thứ cần thiết Các dịch vụ Các giao thức Các ứng dụng Tài khoản người dùng Quyền truy nhập file Quyền truy nhập hệ thống

Security Baselines – OS Update

Kiểm tra các bản update của hệ điều hành thường xuyên.

Triển khai WSUS (Windows Update Services)

Security Baselines – Bản vá (patching)

Bản vá lỗi cả cho OS và phần mềm Ví dụ:

Bản và windows chống Blaster và Sasser Bản vá Oracle chống 80 lỗ hổng (10/2005)

Các bản và được đưa ra nhanh để vá những lỗ hổng nào đó. Có thể chưa được kiểm nghiệm

Security Baselines – Service Packs

Khi có quá nhiều bản vá nhà sản xuất tập hợp chúng lại và đưa ra bản SP

Security Baselines – Network Hardening

Cập nhật các bản sửa lỗi Bước bảo mật quan trọng sau bước duy trì là diệt virus Là sản phẩm của các nhà sản xuất Đăng kí mailing list của nhà sản xuất để nhận được

thông tin sớm, đầy đủ Cập nhật định kỳ

Security Baselines – Network Hardening

Đóng những dịch vụ không cần thiết Dịch vụ mạng ứng dụng mạng Cổng Giao thức

Security Baselines – Application Hardening

Quản lý tất cả các phần mềm đang chạy Đảm bảo chúng đã được cập nhật và sử lỗi đầy đủ Mức độ bảo mật của máy chủ bằng với mức độ

bảo mật thấp nhất của một ứng dụng chạy trên máy đó

Security Baselines – web server

Xóa những mã ví dụ mẫu Triển khai tường lửa/IDS trên server Ghi lại log Áp dụng cảnh báo thời gian thực Có hệ thống sao lưu để cân bằng tải và đề phòng

hỏng hóc

Security Baselines – Email

Là hệ thống quan trọng, chứa rất nhiều thông tin của công ty

Cài đặt chương trình quét mail Đề phòng spam Cập nhật bản vá lỗi thường xuyên

Security Baselines – FTP

Là ứng dụng không có bảo mật Nên triển khai VPN hoặc SSH Nên để hệ thống tài khoản do server khác quản lý Kiểm tra virus thường xuyên

Security Baselines – DNS

DNS trên nền UNIX hay có điểm yếu Cập nhật các bản vá thường xuyên Triển khai hệ thống DNS dự phòng (secondary)

Security Baselines – Cấu hình

Nên được ghi lại thành tài liệu Thử nghiệm kỹ trước khi đưa vào triển khai thật Tuân theo hướng dẫn của nhà sản xuất

Security Baselines – Cấu hình

Tắt/bật các dịch vụ và giao thức Hầu hết các cuộc tấn công mạng đều dựa vào

điểm yếu của dịch vụ hay giao thức nào đó Vá những lỗ hổng an ninh mạng Đóng những dịch vụ không cần thiết để giảm độ

phức tạp

Security Baselines – Cấu hình

Access Control List Tăng cường cho xác thực Qui định quyền hạn cho mỗi cá nhân Dùng để ghi lại các truy cập mạng