NETWORK SECURITY Phần IV Application Security
NETWORK SECURITY
Phần IV
Application Security
Đảm bảo an ninh phần ứng dụng
Mục 1: An ninh cho truy cập từ xa – Remote Access Security Mục 2: An ninh dịch vụ web – Security web traffic Mục 3: An ninh dịch vụ thư điện tử - Email Security Mục 4: Application Security Baselines
An ninh cho truy cập từ xa – Remote Access Security
Mạng không dây Mạng riêng ảo VPN RADIUS TACACS PPTP L2TP SSH IPSec
Mạng không dây (wireless LAN)
TỔNG QUAN VỀ MẠNG WIRELESSS
Các loại wireless networks Có thể phân chia tạm như sau:
Wireless LAN (Wifi) Wireless MAN (WiMax)
Các chuẩn của mạng wireless
IEEE 802.15: Bluetooth, được sử dụng trong mạng Personal Area Network (PAN).
IEEE 802.11: Wifi, được sử dụng cho mạng Local Area Network (LAN).
IEEE 802.16: WiMax ( Worldwide Interoperability for Microwave Access ), được sử dụng cho Metropolitan Area Network (MAN).
IEEE 802.20: được sử dụng cho Wide Area Network (WAN).
WLAN
Mạng dựa trên công nghệ 802.11 nên đôi khi còn được gọi là 802.11 network Ethernet. Và hiện tại còn được gọi là mạng Wireless Ethernet hoặc Wi-Fi (Wireless Fidelity).
Chuẩn 802.11 được IEEE phát triển và đưa ra vào năm 1997. Gồm có: 802.11, 802.11a, 802.11b, 802.11b+, 802.11g, 802.11h
WLAN
802.11: Tốc độ truyền khoảng từ 1 đến 2 Mbps, hoạt động ở băng tần
2.4GHz. Tầng vật lí sử dụng phương thức DSSS ( Direct Sequence
Spread Spectrum ) hay FHSS ( Frequency Hoping Spread Spectrum ) để truyền.
802.11a: Cung cấp tốc độ truyền lên tới 54 Mbps, hoạt động ở dải băng
tần 5 GHz. Sử dụng phương pháp điều chế ghép kênh theo vùng tần số vuông góc Orthogonal Frequency Division Multiplexing ( OFDM ).
Có thể sử dụng đến 8 Access Point đặc điểm này ở dải tần 2.4GHz, chỉ sử dụng được đến 3 Access Point
WLAN
802.11b, 802.11b+: Cung cấp tốc độ truyền là 11 Mpbs ( 802.11b ) hay 22 Mbps
( 802.11b+), hoạt động ở dải băng tần 2.4 GHz. Có thể tương thích với 802.11 và 802.11g. Tốc độ có thể ở 1, 2, hay 5,5 Mbps.
802.11g: Cung cấp tốc độ truyền khoảng 20+Mbps, hoạt động ở dải băng tần 2.4GHz. Phương thức điều chế: có thể dùng 1 trong 2 phương thức:
OFDM ( giống 802.11a ) : tốc độ truyền có thể lên tới 54 Mbps. DSSS: tốc độ giới hạn ở 11 Mbps.
802.11h: Được sử dụng ở châu Âu, hoạt động ở băng tần 5 GHz.
WLAN
Ưu điểm của WLAN so với mạng có dây truyền thống Mạng Wireless cung cấp tất cả các tính năng của công nghệ
mạng LAN như là Ethernet và Token Ring mà không bị giới hạn về kết nối vật lý (giới hạn về cable).
Sự thuận lợi đầu tiên của mạng Wireless đó là tính linh động. Mạng WLAN sử dụng sóng hồng ngoại (Infrared Light) và
sóng Radio (Radio Frequency) để truyền nhận dữ liệu thay vì dùng Twist-Pair và Fiber Optic Cable.
WLAN
Hạn chế của WLAN Tốc độ mạng Wireless bị phụ thuộc vào băng thông. Bảo mật trên mạng Wireless là mối quan tâm hàng đầu hiện
nay.
Đặc tính kỹ thuật mạng Wireless
WLAN hoạt động như thế nào ? Wireless LAN sử dụng sóng điện từ (Radio hoặc sóng Hồng
ngoại - Infrared) để trao đổi thông tin giữa các thiết bị mà không cần bất kỳ một kết nối vật lý nào (cable).
Trong cấu hình của mạng WLAN thông thường, một thiết bị phát và nhận (transceiver) được gọi là Access Point (AP) và được kết nối với mạng có dây thông thường thông qua cáp theo chuẩn Ethernet.
AP thực hiện chức năng chính đó là nhận thông tin, nhớ lại và gửi dữ liệu giữa mạng WLAN và mạng có dây thông thường. Một AP có thể hổ trợ một nhóm người dùng và trong một khoảng cách nhất định (tuỳ theo loại AP).
Đặc tính kỹ thuật mạng Wireless
Người dùng mạng WLAN truy cập vào mạng thông qua Wireless NIC, thông thường có các chuẩn sau: PCMCIA - Laptop, Notebook ISA, PCI, USB – Desktop Tích hợp sẵn trong các thiết bị cầm tay
Đặc tính kỹ thuật mạng Wireless
Công nghệ chính được sử dụng cho mạng Wireless là dựa trên chuẩn IEEE 802.11. Hầu hết các mạng Wireless hiện nay đều sử dụng tầng số 2.4GHz.
Wireless Network Standards: IEEE 802.11 standard Bluetooth
Đặc tính kỹ thuật mạng Wireless
802.11 Standard Mạng WLANs hoạt động dựa trên chuẩn 802.11 chuẩn
này được xem là chuẩn dùng cho các thiết bị di động có hỗ trợ Wireless, phục vụ cho các thiết bị có phạm vi hoạt động tầm trung bình.
Cho đến hiện tại IEEE 802.11 gồm có 4 chuẩn trong họ 802.11 và 1 chuẩn đang thử nghiệm:
Đặc tính kỹ thuật mạng Wireless
802.11 - là chuẩn IEEE gốc của mạng không dây (hoạt động ở tầng số 2.4GHz, tốc độ 1 Mbps – 2Mbps)
802.11b - (phát triển vào năm 1999, hoạt động ở tầng số 2.4-2.48GHz, tốc độ từ 1Mpbs - 11Mbps)
802.11a - (phát triển vào năm 1999, hoạt động ở tầng số 5GHz – 6GHz, tốc độ 54Mbps)
802.11g - (một chuẩn tương tự như chuẫn b nhưng có tốc độ cao hơn từ 20Mbps - 54Mbps, hiện đang phổ biến nhất)
802.11e - là 1 chuẩn đang thử nghiệm: đây chỉ mới là phiên bản thử nghiệm cung cấp đặc tính QoS (Quality of Service) và hỗ trợ Multimedia cho gia đình và doanh nghiệp có môi trường mạng không dây
Đặc tính kỹ thuật mạng Wireless
Bluetooth Bluetooth là một giao thức đơn giản dùng để kết nối những thiết
bị di động như Mobile Phone, Laptop, Handheld computer, Digital Camera, Printer, v.v..
Bluetooth sử dụng chuẩn IEEE 802.15 với tần số 2.4GHz – 2.5GHz
Bluetooth là công nghệ được thiết kế nhằm đáp ứng một cách nhanh chóng việc kết nối các thiết bị di động và cũng là giải pháp tạo mạng WPAN, có thể thực hiện trong môi trường nhiều tầng số khác nhau.
Kênh trong mạng Wireless
Kênh trong mạng Wireless
Các mô hình mạng Wireless
Independent Basic Service sets – IBSSBasic Service sets – BSSExtended Service sets - ESS
Các mô hình mạng Wireless
Mô hình independent BSS/Ad-hoc network
Các mô hình mạng Wireless
Mô hình Infracstructure BSS
Các mô hình mạng Wireless
Mô hình ESS network
CÁC KIỂU TẤN CÔNG TRÊN MẠNG WLAN
Hacker có thể tấn công mạng WLAN bằng các cách sau: Passive Attack (eavesdropping) Active Attack (kết nối, thăm dò và cấu hình mạng) Jamming Attack Man-in-the-middle Attack
Tấn công bị động (Passive Attack)
WLAN sniffer có thể được sử dụng để thu thập thông tin về mạng không dây ở khoảng cách xa bằng cách sử dụng anten định hướng.
Phương pháp này cho phép hacker giữ khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu thập được những thông tin quý giá.
Ví dụ: Tấn công bị động
Tấn công chủ động (Active Attack )
Ví dụ: Một hacker có thể sửa đổi để thêm MAC address của hacker vào danh sách cho phép của MAC filter trên AP hay vô hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng hơn.
Ví dụ: Kiểu tấn công chủ động
Tấn công chèn ép (Jamming)
Để loại bỏ kiểu tấn công này thì yêu cầu đầu tiên là phải xác định được nguồn tín hiệu RF. Việc này có thể làm bằng cách sử dụng một Spectrum Analyzer (máy phân tích phổ) Tấn công jamming
Tấn công bằng cách thu hút (Man in the Middle)
Hacker muốn tấn công theo kiểu Man-in-the-middle này trước tiên phải biết được giá trị SSID là các client đang sử dụng (giá trị này rất dễ dàng có được). Sau đó, hacker phải biết được giá trị WEP key nếu mạng có sử dụng WEP
Tấn công Man in the Middle
TỔNG QUAN BẢO MẬT CHO MẠNG KHÔNG DÂY
Tại sao phải bảo mật mạng không dây?
Tại sao phải bảo mật mạng không dây?
Các thiết lập bảo mật trong WLAN
Mã hóa Mã hóa là biến đổi dữ liệu
để chỉ có các thành phần được xác nhận mới có thể giải mã được nó. Quá trình mã hóa là kết hợp plaintext với một khóa để tạo thành văn bản mật (Ciphertext).
Sự giải mã được bằng cách kết hợp Ciphertext với khóa để tái tạo lại plaintext
Quá trình xắp xếp và phân bố các khóa gọi là sự quản lý khóa.
Quá trình mã hóa và giải mã
Mã hóa Có hai phương pháp mã:
Mã dòng (stream ciphers) Mã khối ( block ciphers)
Cả hai loại mật mã này hoạt động bằng cách sinh ra một chuỗi khóa ( key stream) từ một giá trị khóa bí mật. Chuỗi khóa sau đó sẽ được trộn với dữ liệu (plaintext) để sinh dữ liệu đã được mã hóa.
Hai loại mật mã này khác nhau về kích thước của dữ liệu mà chúng thao tác tại một thời điểm
Bảo mật Lan không dây
Một WLAN gồm có 3 phần: Wireless Client, Access Points và Access Server. Wireless Client: Điển hình là một chiếc laptop với NIC
(Network Interface Card) không dây được cài đặt để cho phép truy cập vào mạng không dây.
Access Points (AP): Cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó và kết nối đến mạng không dây.
Access Server: Điều khiển việc truy cập. Một Access Server (như là Enterprise Access Server (EAS) ) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise .
Mã dòng Mã dòng phương thức mã hóa
theo từng bit, mã dòng phát sinh chuỗi khóa liên tục dựa trên giá trị của khóa
Ví dụ: một mã dòng có thể sinh ra một chuỗi khóa dài 15 byte để mã hóa một frame và môt chuỗi khóa khác dài 200 byte để mã hóa một frame khác.
Mật mã dòng là một thuật toán mã hóa rất hiệu quả, ít tiêu tốn tài nguyên (CPU).
Hoạt động của mã dòng
Mã khối Mã khối sinh ra một chuỗi khóa
duy nhất và có kích thước cố định(64 hoặc 128 bit).
Chuỗi kí tự chưa được mã hóa( plaintext) sẽ được phân mảnh thành những khối(block) và mỗi khối sẽ được trộn với chuỗi khóa một cách độc lập.
Nếu như khối plaintext nhỏ hơn khối chuỗi khóa thì plaintext sẽ được đệm thêm vào để có được kích thước thích hợp
Hoạt động của mã khối
WEP – Wired Equivalent Privacy
WEP là một hệ thống mã hóa dùng cho việc bảo mật dữ liệu cho mạng Wireless. WEP là một phần của chuẩn 802.11 và dựa trên thuật toán mã hóa RC4, mã hóa dữ liệu 40 bit.
Đặc tính kỹ thuật của WEP Điều khiển việc truy cập, ngăn chặn sự truy cập của
những Client không có khóa phù hợp Bảo mật nhằm bảo vệ dữ liệu trên mạng bằng mã hóa
chúng và chỉ cho những client có khóa WEP đúng giải mã
Thuật toán WEP
Thuật toán mã hóa RC4 là thuật toán mã hóa đối xứng( thuật toán sử dụng cùng một khóa cho việc mã hóa và giải mã).
WEP là thuật toán mã hóa được sử dụng bởi tiến trình xác thực khóa chia sẻ để xác thực người dùng và mã hóa dữ liệu trên phân đoạn mạng không dây.
Frame được mã hóa bởi WEP
Thuật toán WEP
Chuẩn 802.11 yêu cầu khóa WEP phải được cấu hình trên cả client và AP khớp với nhau thì chúng mới có thể truyền thông được.
Mã hóa WEP chỉ được sử dụng cho các frame dữ liệu trong suốt tiến trình xác thực khóa chia sẻ. WEP mã hóa những trường sau đây trong frame dữ liệu: Phần dữ liệu (payload) Giá trị kiểm tra tính toàn vẹn của dữ liệu ICV (Integrity Check
value) Tất cả các trường khác được truyền mà không được mã
hóa. Giá trị IV được truyền mà không cần mã hóa để cho trạm nhận sử dụng nó để giải mã phần dữ liệu và ICV
Intergrity Algorithm
Integrity Check Value (ICV)
Message
Ciphertext
Key SequenceSeed
Initalization Vector
IV
Secret Key
Plaintext
WEP PRNG
IV
SƠ ĐỒ QUÁ TRÌNH MÃ HÓA SỬ DỤNG WEP
Message
Ciphertext
IV
Intergrity Algorithm
Key Sequence
Seed
Secret Key
WEP PRNG
Plaintext
ICV’
ICV ICV = ICV’?
SƠ ĐỒ QUÁ TRÌNH GIÃI MÃ WEP
WPA - Wi-fi Protected Access
WPA được thiết kế nhằm thay thế cho WEP vì có tính bảo mật cao hơn. Temporal Key Intergrity Protocol (**IP), còn được gọi là WPA key hashing là một sự cải tiến dựa trên WEP, nó tự động thay đổi khóa, điều này gây khó khăn rất nhiều cho các Attacker dò thấy khóa của mạng.
Mặt khác WPA cũng cải tiến cả phương thức chứng thực và mã hóa. WPA bảo mật mạnh hơn WEP rất nhiều. Vì WPA sử dụng hệ thống kiểm tra và bảo đảm tính toàn vẹn của dữ liệu tốt hơn WEP
WPA2 – Wi-fi Protected Access 2
WPA2 là một chuẩn ra đời sau đó và được kiểm định lần đầu tiên vào ngày 1/9/2004. WPA2 được National Institute of Standards and Technology (NIST) khuyến cáo sử dụng, WPA2 sử dụng thuật toán mã hóa Advance Encryption Standar (AES).
WPA2 cũng có cấp độ bảo mật rất cao tương tự như chuẩn WPA, nhằm bảo vệ cho người dùng và người quản trị đối với tài khoản và dữ liệu.
Trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn so với WPA, WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu như **IP, RC4, AES và một vài thuật toán khác. Những hệ thống sử dụng WPA2 đều tương thích với WPA.
Những giải pháp dựa trên EAS
Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay “Controller Mode”.
Trong Gateway Mode EAS được đặt ở giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây và thực hiện như một tường lửa
Những giải pháp dựa trên AES
Trong Controll Mode, EAS quản lý các AP và điều khiển việc truy cập đến mạng không dây, nhưng nó không liên quan đến việc truyền tải dữ liệu người dùng.
Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise.
Mô hình Enterprise Access Server trong chế độ Controller Mode
Mạng riêng ảo (VPN)
Là phương thức đảm bảo an ninh truy cập từ xa Dựa trên các phương thức mã hóa và cơ chế chứng thực Cung cấp cơ chế “tunnel” cho phép truyền thông tin từ hệ
thống mạng này sang hệ thống khác
Mạng riêng ảo (VPN)
Có hai hình thức hoạt động
Site to Site VPN Remote Access
Mạng riêng ảo (VPN)
Các công nghệ sử dụng: Point-to-Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) IPSec Public Key Infrastructure (PKI) Phần mềm Remote Control
Các vấn đề về VPN
Làm tăng thông lượng sử dụng của mạngCác vấn đề về cài đặt và duy trì hệ thốngCác vấn đề về cơ chế an ninhVấn đề về trình độ người sử dụngVấn đề về khả năng tương thích
An ninh cho VPN
Sử dụng giao thức an ninh mới nhất (L2TP, IPSec) Sử dụng thay thế cho các dịch vụ truy cập từ xa
(Terminal Services, PC Anywhere, VNC) Thường xuyên cập nhật các bản vá lỗi cho phần
mềm và cho hệ điều hành Lập kế hoạch triển khai thật cẩn thận
RADIUS
Romote Access Dial-In User Service Được các ISP sử dụng trong việc chứng thực trong dịch vụ Dial-in Được sử dụng trong việc thực hiện chứng thực giữa các thiết bị mạng
như Router với Domain Controller (Active Directory, iPlannet...)
RADIUS
Tính chất Chỉ mã hóa password Phạm vi sử dụng rộng Cài đặt tương đối phức tạp Mã nguồn mở Sử dụng cổng UDP 1812
RADIUS
An ninh Sử dụng mã hóa Kerberos để chứng thực Thường xuyên cập nhật phần mềm cho các ứng
dụng sử dụng RADIUS
TACACS
Terminal Access controller Access Control System.
Giao thức chứng thực của UNIX Quản lý tập chung việc chứng
thực người dùng
TACACS
Tính chất Không phổ biến Giao thức TACACS+ không tương thích với các phiên
bản trước đó Sử dụng cổng TCP 49
PPTP
Point-to-Point Tunnelling Protocol (PPTP) Hoạt động trên mô hình Client/Server Nén dữ liệu các gói tin PPP Sử dụng cổng 1723 TCP để khởi tạo
PPTP
Tính chất Là giao thức không thể mở rộng việc mã hóa Dễ bị lợi dụng tấn công Việc chứng thực là một nguy cơ dễ bị tấn công
L2TP
Kết hợp giữa giao thức PPTP và giao thức L2P (Layer 2 Protocol, Cisco)
Có thể mở rộng phương thức mã hóa Có thể sử dụng giấy phép trong cả việc chứng thực
và mã hóa
L2TP
Tính chất Cài đặt phức tạp Một số thiết bị không tương thích Chi phí đắt Không tương thích với NAT (Network Address
Translation)
SSH
Secure Shell Là một công cụ quản trị
truy nhập từ xa sử dụng dòng lệnh (CLI – Command Line Interface)
Thường được sử dụng thay thế cho Telnet và rlogin
SSH
4 Bước khởi tạo một giao dịch của SSH
SSH
Tính chất Sử dụng mã hóa công khai trong việc chứng thực
và mã hóa Cung cấp các tính năng copy file và FTP Được phát triển bởi một số nhà sản xuất và có mã
nguồn mở (Open SSH) Giao tiếp giữa Client và Server thông qua tunnel Các dịch vụ (mail, web...) có thể sử dụng để trao
đổi thông tin thông qua tunnel.
SSH
Một số vấn đề Sử dụng cơ chế “chìa khóa” để chứng thực Những phiên bản đầu tiên có nhiều lỗi Hiện nay các lỗi security vẫn được tìm thấy Giao diện dạng CLI vẫn là trở ngại cho người quản
trị
IPSec
IPSec là gì?
IPSec (Internet Protocol Security). Nó có quan hệ tới một số bộ giao thức (AH, ESP, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF).
Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPSec là gì? Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên
các giao thức IP. Khi một cơ chế bảo mật được tích hợp với giao thức IP,
toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3.
với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích.
IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuổi các hoạt động.
IPSec Security Associations (SA)
Security Associations (SAs) là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec. Các giao thức xác thực, các khóa, và các thuật toán Phương thức và các khóa cho các thuật toán xác thực được dùng
bởi các giao thức Authentication Header (AH) hay Encapsulation Security Payload (ESP) của bộ IPSec.
Thuật toán mã hóa và giải mã và các khóa. Thông tin liên quan khóa, như khoảng thời gian thay đổi hay
khoảng thời gian làm tươi của các khóa. Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ
nguồn SA và khoảng thời gian làm tươi. Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng,
nếu có.
IPSec Security Associations (SA)
IPSec SA gồm có 3 trường: SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận
dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol. SPI thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA.
Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast.
Security protocol. Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặc ESP.
IPSec Security Protocols
Bộ IPSec đưa ra 3 khả năng chính bao gồm : Tính xác thực và Tính toàn vẹn dữ liệu (Authentication and
data integrity). IPSec cung cấp một cơ chế xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi nội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ.
Sự bí mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén.
IPSec Security Protocols Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba,
Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu.
Hai tính năng đầu tiên của bộ IPSec, xác thực và toàn vẹn, và bí mật, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec. Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload (ESP).
Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE.
Technical details
Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin:
IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực.
IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu.
Thuật toán mã hoá được sử dụng trong IPsec bao gồm: HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection) TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ
an toàn của gói tin.
Authentication Header (AH) AH được sử dụng trong các kết nối không có tính đảm
bảo dữ liệu. AH là lựa chọn nhằm chống lại các tấn công replay attack
bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets.
AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum.
AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP.
Authentication Header (AH)
Next header: Nhận dạng giao thức trong sử dụng truyền thông tin.
Payload length: Độ lớn của gói tin AH. RESERVED: Sử dụng trong tương lai (cho
tới thời điểm này nó được biểu diễn bằng các số 0).
Security parameters index (SPI): Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin.
Sequence number: Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay attacks.
Authentication data: Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực. Mô hình AH header
Encapsulating Security Payload (ESP)
Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin.
ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần tính năng mã hoá hoặc xác thực.
Encapsulating Security Payload (ESP)
Security parameters index (SPI): Nhận ra các thông số được tích hợp với địa chỉ IP.
Sequence number:Tự động tăng có tác dụng chống tấn công kiểu replay attacks.
Payload data: Dữ liệu truyền đi Padding: Sử dụng vài block mã hoá Pad length: Độ lớn của padding. Next header: Nhận ra giao thức được sử
dụng trong quá trình truyền thông tin. Authentication data: Bao gồm dữ liệu để
xác thực cho gói tin.
Mô hình ESP
Các chế độ IPSec
SAs trong IPSec hiện tại được triển khai bằng 2 chế độ. Transport. Tunnel.
Cả AH và ESP có thể làm việc với một trong hai chế độ này
Hai chế độ IPSec
Transport Mode Transport mode bảo
vệ giao thức tầng trên và các ứng dụng.
Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên Biểu diễn của IPSec Transport Modes
AH Transport mode
ESP Transport mode
Tunnel Mode Tunnel mode bảo vệ
toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu IP
được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP
Biểu diển chung của IPSec Tunnel Modes
AH Tunnel mode
Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới và phần header nguyên bản, như hình bên dưới
ESP Tunnel mode
Internet Key Exchange Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của
Internet Security Association and Key Management Protocol. IKE giúp các bên giao tiếp thỏa thuận các tham số bảo mật và khóa xác
nhận trước khi một phiên bảo mật IPSec được triển khai. Ngoài việc thỏa thuận và thiết lập các tham số bảo mật và khóa mã hóa,
IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một
phiên giao dịch hoàn thành.
Internet Key Exchange Chức năng chủ yếu của IKE là thiết lập và duy trì các SA.
Các thuộc tính sau đây là mức tối thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP. Thuật toán mã hóa được dùng Thuật toán băm được dùng Phương thức xác thực được dùng Thông tin về nhóm và giải thuật Diffie-Hellman
IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý vào trao đổi khóa.
Sau khi dò tìm thành công, các thông số SA hợp lệ sẽ được lưu trong cơ sở dữ liệu của SA.
Internet Key Exchange
Thuận lợi chính của IKE include bao gồm: IKE không phải là một công nghệ độc lập, do đó nó có
thể dùng với bất kỳ cơ chế bảo mật nào. Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao
bởi vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.
IKE Phases Giai đoạn I và II là hai giai đoạn
tạo nên phiên làm việc dựa trên IKE.
Trong một phiên làm việc IKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra. Hai IKE phases – Phase I và Phase II
Giai đoạn I của IKE
Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác thực, mã khóa.
Giai đoạn I của IKE
Sau khi cơ chế mã hóa và hàm băm đã được thỏa thuận, một khóa chia sẽ bí mật được tạo. Theo sau là những thông tin được dùng để tạo khóa bí mật : Giá trị Diffie-Hellman SPI của ISAKMP SA ở dạng cookies Số ngẩu nhiên - nonces
Nếu hai bên đồng ý sử dụng phương pháp xác thực dựa trên public key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng.
Giai đoạn II của IKE
Giai đoạn II giải quyết việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP).
Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.
IKE Modes
4 chế độ IKE phổ biến thường được triển khai : Chế độ chính (Main mode) Chế độ linh hoạt (Aggressive mode) Chế độ nhanh (Quick mode) Chế độ nhóm mới (New Group mode)
Main Mode Main mode xác nhận và bảo vệ tính
đồng nhất của các bên có liên quan trong qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm: 2 thông điệp đầu tiên dùng để thỏa
thuận chính sách bảo mật cho sự thay đổi.
2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces. Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa.
Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.
Aggressive Mode Aggressive mode về bản chất giống
Main mode. Chỉ khác nhau thay vì main mode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode nhanh hơn mai mode. Các thông điệp đó bao gồm : Thông điệp đầu tiên dùng để đưa ra
chính sách bảo mật, trao đổi nonces cho việc ký và xác minh tiếp theo.
Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa.
Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc).
Quick Mode
Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuận SA cho các dịch vụ bảo mật IPSec.
New Group Mode
New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều kiện trao đổi Diffie-Hellman key được dễ dàng.
Mặc dù chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộc giai đoạn II.
Secure Web TrafficSecure Sockets Layer
Bảo mật trong mô hình TCP/IP
Giao thức bảo mật SSL(Secure Sockets Layer)
Được phát triển bởi Netscape Phiên bản đầu tiên (SSL 1.0): Không công bố SSL 2.0: Công bố năm 1994, chứa nhiều lỗi bảo
mật. SSL 3.0: Công bố năm 1996. SSL 3.1: Năm 1999, được chuẩn hóa thành TLS
1.0 (Transport Layer Security) Hiện nay: SSL 3.2 (Tương đương TLS 1.1)
Công dụng của SSL
Mã hóa dữ liệu và xác thực cho dịch vụ web.Mã hóa dữ liệu và xác thực cho dịch vụ mail
(SMTP và POP)Bảo mật cho FTP và các ứng dụng khác
Thực thi SSL không “trong suốt” với ứng dụng như IPSec.
Cấu trúc SSL
Cấu trúc SSL
SSL Handshake protocol: Giao thức bắt tay, thực hiện khi bắt đầu kết nối.
SSL Change Cipher Spec protocol: Giao thức cập nhật thông số mã hóa.
SSL Alert protocol: Giao thức cảnh báo. SSL Record protocol: Giao thức chuyển dữ liệu
( thực hiện mã hóa và xác thực)
Connection và session
Kết nối (connection): quan hệ truyền dữ liệu giữa hai hệ thống ở lớp vận chuyển dữ liệu.
Phiên (session): Quan hệ bảo mật giữa hai hệ thống. Mỗi quan hệ có thể khởi tạo nhiều connection.
Giữa hai hệ thống có thể tồn tại nhiều connection => có thể tồn tại nhiều session theo lý thuyết.
Session state
Trạng thái của phiên làm việc được xác định bằng các thông số:
Session identifier:nhận dạng phiên. Peer Certificate: Chứng chỉ số của đối tác. Compression method: thuật toán nén. Cipher spec: thông số mã hóa và xác thực. Master secret: khóa dùng chung. Is resumable: có phục hồi kết nối không.
Connection state
Trạng thái kết nối xác định với các thông số: Server and client random: Chuỗi byte ngẫu nhiên. Server write MAC secret: Khóa dùng chung cho
thao tác MAC phía server. Server write key: Khóa mã hóa phía server. Client write key: Khóa mã hóa phía client. IV và sequence number.
Giáo thức SSL record
Cung cấp hai dịch vụ cơ bản: Confidentiality Message integrity
Giao thức SSL record
Giao thức SSL record
Phân đoạn (fragmentation): mỗi khối dữ liệu gốc được chia thành đoạn, kích thước mỗi đoạn tối đa = 214 byte.
Nén (compression): có thể sử dụng các thuật toán nén để giảm kích thước dữ liệu truyền đi, tuy nhiên trong các phiên bản thực thi ít chấp nhận thao tác này
Giao thức SSL record
Tạo mã xác thực MAC
Giao thức SSL record
Mã hóa
Giao thức SSL record
Cấu trúc tiêu đề SSL record
Giao thức SSL Change Cipher Spec
Có chức năng cập nhật thông số mã hóa cho kết nối hiện tại.
Chỉ gồm một message duy nhất có kích thước 1 byte được gửi đi cùng giao thức SSL record.
Giao thứ SSL Alert
Một số bản tin cảnh báo trong SSL: Unexpected_message: bản tin không phù hợp. Bad_record_mac: MAC không đúng. Decompression_failure: giải nén không thành công. Handshake_failure: không thương lượng được các
thông số bảo mật. Illegal_parameter: bản tin bắt tay không hợp lệ. Close_notify: thông báo kết thúc kết nối
Giao thức SSL Alert
Một số bản tin cảnh báo trong SSL (tt): No_certificate: Không có certificate để cung cấp theo yêu cầu. Bad_certificate: Certificate không hợp lệ (chữ ký sai). Unsupported_certificate: Kiểu certificate không chuẩn. Certificate_revoked: Certificate bị thu hồi. Certificate_expired: Certificate hết hạn. Certificate_unknown: Không xử lý được certificate (khác
với các lý do ở trên)
Giao thức SSL handshake
Là phần quan trọng nhất của SSL. Có chức năng thỏa thuật các thông số bảo mật
giữa hai thực thể. Thủ tục bắt tay phải được thực hiện trước khi trao
đổi dữ liệu. SSL handshake gồm 4 giai đoạn (phase).
Giao thức SSL handshake
Phase 1:
Giao thức SSL handshake
Phase 2: Certificate: Chứng chỉ của server. Server_key_exchange: Thông số
trao đổi khóa (***). Certificate_request: yêu cầu client
gửi chứng chỉ. Server_hello_done: kết thúc
thương lượng phía server.
Giao thức SSL handshake
Phase 3: Certificate: Chứng chỉ của client. Client_key_exchange: Thông số
trao đổi khóa (***). Certificate_verify: Thông tin xác
minh chứng chỉ của client (xác thực khóa PR của client).
Giao thức SSL handshake
Phase 4: Chang_cipher_spec: cập nhật
thông số mã. Finish: Kết thúc quá trình bắt
tay thành công.
Giao thức SSL handshake
Trao đổi khóa trong SSL handshake: Dùng RSA (certificate chứa PU) Fixed Diffie-Hellman: Dùng Diffie-Hellman với khóa cố
định. Ephemeral Diffie-Hellman: Dùng Diffie-Hellman với khóa
tức thời. Anonymous Diffie-Hellman: Dùng khóa Diffie-Hellman
nguyên thủy.
Tấn công kết nối SSL
Nếu chặn được các thông số của quá trình trao đổi khóa Diffie-Hellman, có thể thu được khóa bí mật bằng kỹ thuật Man-in-the-midle.
Dùng khóa bí mật để giải mã thông tin của giao thức SSL record.
Triển khai SSL với dịch vụ web
Các web client (internet browser) đã tích hợp sẵn giao thức SSL.
Phía server: Đảm bảo hỗ trợ của server đối với SSL (IIS,
Apache,…) Tạo và cài đặt certificate cho server. Ràng buộc SSL đối với tất cả các giao dịch.
Các vấn đề về SSL
Trong quá trình chứng thực cả Client và Server đều phải cần PKI Cần phải thiết lập các qui định chung cho hệ thống
Ảnh hưởng đến Performance của hệ thống mạng Việc triển khai tiềm tàng một số vấn đề: Cách
triển khai, cấu hình hệ thống, chọn phần mềm.... Kiểu tấn công Man-in-the-Middle
Đảm bảo an ninh trong SSL
Triển khai PKI Thường xuyên cập nhật, vá lỗi phần mềm sử dụng Cài đặt việc chứng thực trong giao dịch giữa Client
và Server Hướng dẫn người sử dụng dấu hiệu nhận biết tấn
công Man-in-the-Middle
Các điểm yếu của Web Client
javaScript ActiveX Cookies Applets
JavaScript
Là một đoạn mã lệnh được tích hợp trong trang web và được thực thi bởi trình duyệt web.
Được sử dụng rất phổ biến và hữu ích
JavaScript
Các nguy cơ: Ăn trộm địa chỉ Email Ăn trộm thông tin người sử dụng Kill một số tiến trình Chiếm tài nguyên CPU và bộ nhớ Shutdown hệ thống Relay email để phục vụ cho gửi spam Phục vụ cho việc chiếm đoạt website
JavaScript
Các biện pháp phòng chống
Disable chức năng chạy JavaScript trong trình duyệt.
Thường xuyên cập nhập phiên bản mới của trình duyệt
Kiểm tra kỹ mã lệnh của web Server
ActiveX
ActiveX cung cấp những nội dung động cho trình duyệt web
ActiveX có thể giao tiếp với những ứng dụng khác, tiếp nhận các thông số từ người dùng, cung cấp các ứng dụng hữu ích cho người sử dụng.
ActiveX
Các nguy cơ: Ăn cắp thông tin Kẻ tấn công có thể lợi dụng các lỗ hổng bảo mật
của các trình ứng dụng ActiveX để xâm nhập, tấn công hệ thống
ActiveX
Các biện pháp phòng chống
Disable ActiveX trên trình duyệt web và mail client
Lọc các ActiveX từ firewall Hướng dẫn người sử dụng
chỉ sử dụng các ActiveX đã được chứng thực
Cookies
File cookies lưu trữ một số các thông tin cá nhân của người dùng: Số thẻ tín dụng Username/Password
Có thế sử dụng chung cho nhiều website khác nhau
Trình duyệt có thể cho phép web server lưu trữ thông tin trên đó
Cookies
Các nguy cơ: Kẻ tấn công có thể sử dụng Telnet để gửi các dạng
cookies mà chúng muốn để đánh lừa web server. Kẻ tấn công có thể lợi dụng cookies để lấy trộm các
thông tin về người dùng, về tổ chức và câu hình Security của mạng nội bộ
Kẻ tấn công có thể lợi dụng lỗi Script Injection để cài các script nguy hiểm lên hệ thống nhằm chuyển các cookies về hệ thống thay vì phải chuyển lên web server
Cookies
Các biện pháp phòng chống: Disable Cookies trên trình duyệt web Sử dụng những trình xóa cookies không cần thiết Cấu hình web server không được “tin tưởng” vào các
cookies dạng yêu cầu cung cấp thông tin, yêu cầu điều khiển hoặc yêu cầu dịch vụ.. Được lưu ở client
Không lưu trữ các thông tin nhạy cảm trên cookies Sử dụng SSL/TLS
Applets
Là những chương trình Java nhỏ, có thể thực thi trên các trình duyệt.
Java Applets chạy trên những client dựa vào Java Virtual Machine (VM) được hầu hết các hệ điều hành hỗ trợ.
Applets
Các nguy cơ: Các chương trình Applets có thể truy cập các tài
nguyên hệ thống Có thể sử dụng để giả mạo chữ ký Có thể dùng để cài đặt Virus, Trojan, worm Có thể sử dụng tài nguyên mạng để tấn công, thăm
dò hệ thống mạng khác.
Applets
Các biện pháp phòng chống: Không sử dụng Applets, tắt hỗ trợ Java trên các
trình duyệt Tuyên truyền, hướng dẫn người sử dụng
Email Security
Email Security
E-mail MIME S/MIME Các vấn đề về S/MIME PGP Các vấn đề về PGP Các nguy cơ Bảo vệ hệ thống E-mail
Kỹ thuật gửi thư điện tử đến SMTP Server
Có rất nhiều lỗi bảo mật Sử dụng giao thức SMTP
(TCP 25) để gửi mail Sử dụng giao thức
POP3/IMAP (TCP 110/143) để nhận mail
MIME
Sử dụng text để mã hóa e-mail RFC 1521, và RFC 1522
S/MIME
Là một chuẩn mới của MIME (Multipurpose Internet mail Extentions)
Mã hóa và số hóa các dấu hiệu nhận biết của email Sử dụng mã hóa công khai Được tích hợp với các trình mail client thông dụng
Các vấn đề về S/MIME
Người gửi phải có Public key của người nhận nếu muốn mã hóa
Người nhận phải có Public Key của người gửi nếu muốn chứng thực người gửi
Người sử dụng phải mất thêm thời gian cho các bước truy vấn, kiểm hóa khóa với PKI (Public Key Infrashtructure).
PGP
Pretty Good Privacy Phương thức mã hóa công khai Cung cấp khả năng mã hóa chữ kí điện tử, nội
dung và các thông tin khác của email Người dùng được cung cấp một Public Key và 1
Private key. Các tiện ích hỗ trợ PGP thường được tích hợp vào
mail client hoặc sử dụng riêng biệt
Các vấn đề về PGP
Hiện nay có nhiều phiên bản ứng dụng khác nhau nên đôi khi không tương thích.
Một số các trình ứng dụng mail client không còn được phát triển nữa nhưng vẫn được người dùng sử dụng
Để triển khai cần có người phụ trách việc quản lý key
Các nguy cơ
Spam Sử dụng email để quảng cáo Gửi kiểu bomb thư Người gửi không hề biết người nhận Người nhận phải chịu sự phiền phức, khó chịu Cấu hính mail server không tốt sẽ tiếp tay cho spam.
Các nguy cơ
Hoax (Lừa đảo) Hình thức: Gửi thông báo cảnh báo virus, các vấn đề an
ninh, bảo mật.... Lây lan dựa vào sự lo sợ và kém hiểu biết của người
dùng. Mức độ: Khá nguy hiểm
Các nguy cơ
Virus, worm, Trojan Hầu hết các loại virus và trojan hiện nay đều lây qua
email Lây lan dựa trên sự mất cảnh giác và thiếu kiến thức của
người sử dụng. Mức độ: rất nguy hiểm
Các nguy cơ
Mail relay Cho phép gửi mail không cần kiểm tra Giả mạo Lợi dụng để gửi spam
Bảo vệ hệ thống Email
Sử dụng S/MIME nếu có thể Sử dụng phần mềm Mail gateway Scan Cấu hình mail server tốt, không bị open relay Ngăn chặn spam trên Server Hướng dẫn sử dụng cho người dùng Cảnh giác với những email lạ, có nội dung đáng nghi
Security Baselines – Ghi tài liệu
Ghi tài liệu cụ thể về cấu hình security mạng Nên xem lại và sửa chữa mỗi khi có một sự thay
đổi trong mạng
Security Baselines
Liệt kê những thứ cần thiết Các dịch vụ Các giao thức Các ứng dụng Tài khoản người dùng Quyền truy nhập file Quyền truy nhập hệ thống
Security Baselines – OS Update
Kiểm tra các bản update của hệ điều hành thường xuyên.
Triển khai WSUS (Windows Update Services)
Security Baselines – Bản vá (patching)
Bản vá lỗi cả cho OS và phần mềm Ví dụ:
Bản và windows chống Blaster và Sasser Bản vá Oracle chống 80 lỗ hổng (10/2005)
Các bản và được đưa ra nhanh để vá những lỗ hổng nào đó. Có thể chưa được kiểm nghiệm
Security Baselines – Service Packs
Khi có quá nhiều bản vá nhà sản xuất tập hợp chúng lại và đưa ra bản SP
Security Baselines – Network Hardening
Cập nhật các bản sửa lỗi Bước bảo mật quan trọng sau bước duy trì là diệt virus Là sản phẩm của các nhà sản xuất Đăng kí mailing list của nhà sản xuất để nhận được
thông tin sớm, đầy đủ Cập nhật định kỳ
Security Baselines – Network Hardening
Đóng những dịch vụ không cần thiết Dịch vụ mạng ứng dụng mạng Cổng Giao thức
Security Baselines – Application Hardening
Quản lý tất cả các phần mềm đang chạy Đảm bảo chúng đã được cập nhật và sử lỗi đầy đủ Mức độ bảo mật của máy chủ bằng với mức độ
bảo mật thấp nhất của một ứng dụng chạy trên máy đó
Security Baselines – web server
Xóa những mã ví dụ mẫu Triển khai tường lửa/IDS trên server Ghi lại log Áp dụng cảnh báo thời gian thực Có hệ thống sao lưu để cân bằng tải và đề phòng
hỏng hóc
Security Baselines – Email
Là hệ thống quan trọng, chứa rất nhiều thông tin của công ty
Cài đặt chương trình quét mail Đề phòng spam Cập nhật bản vá lỗi thường xuyên
Security Baselines – FTP
Là ứng dụng không có bảo mật Nên triển khai VPN hoặc SSH Nên để hệ thống tài khoản do server khác quản lý Kiểm tra virus thường xuyên
Security Baselines – DNS
DNS trên nền UNIX hay có điểm yếu Cập nhật các bản vá thường xuyên Triển khai hệ thống DNS dự phòng (secondary)
Security Baselines – Cấu hình
Nên được ghi lại thành tài liệu Thử nghiệm kỹ trước khi đưa vào triển khai thật Tuân theo hướng dẫn của nhà sản xuất
Security Baselines – Cấu hình
Tắt/bật các dịch vụ và giao thức Hầu hết các cuộc tấn công mạng đều dựa vào
điểm yếu của dịch vụ hay giao thức nào đó Vá những lỗ hổng an ninh mạng Đóng những dịch vụ không cần thiết để giảm độ
phức tạp
Security Baselines – Cấu hình
Access Control List Tăng cường cho xác thực Qui định quyền hạn cho mỗi cá nhân Dùng để ghi lại các truy cập mạng