bài 5: quản trị một mạng an toàn và bảo mật các mạng không dây - giáo trình...
DESCRIPTION
Quản trị một mạng bảo mật Các giao thức mạng phổ biến Các nguyên tắc quản trị mạng Bảo mật cho các ứng dụng mạng (SV tự đọc) Bảo mật mạng không dây Tấn công vào mạng không dây Các điểm yếu trong bảo mật 802.1x Các giải pháp bảo mật mạng không dâyTRANSCRIPT
Bài 5:Quản trị một mạng an toàn
và Bảo mật các mạng không dây
Củng cố lại bài 4
Bảo mật cho máy chủ (host)Bảo mật ứng dụng (application)Bảo mật dữ liệu (data)Bảo mật mạng (network)
Bảo mật cho máy chủ (host)Bảo mật ứng dụng (application)Bảo mật dữ liệu (data)Bảo mật mạng (network)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 2
Mục tiêu bài học
Quản trị một mạng bảo mậtCác giao thức mạng phổ biếnCác nguyên tắc quản trị mạngBảo mật cho các ứng dụng mạng (SV tự đọc)
Bảo mật mạng không dâyTấn công vào mạng không dâyCác điểm yếu trong bảo mật 802.1xCác giải pháp bảo mật mạng không dây
Quản trị một mạng bảo mậtCác giao thức mạng phổ biếnCác nguyên tắc quản trị mạngBảo mật cho các ứng dụng mạng (SV tự đọc)
Bảo mật mạng không dâyTấn công vào mạng không dâyCác điểm yếu trong bảo mật 802.1xCác giải pháp bảo mật mạng không dây
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 3
Các giao thức mạng phổ biến
Giao thứcCác quy tắc ứng xử và giao tiếpRất quan trọng để quá trình giao tiếp giữa các thiết bịđược chính xác
Các giao thức mạng phổ biếnBộ giao thức TCP/IP (Transmission ControlProtocol/Internet Protocol)Giao thức ICMP (Internet Control Message Protocol) (SVtự đọc)Giao thức SNMP (Simple Network Management Protocol)(SV tự đọc)Hệ thống tên miền DNS (Domain Name System)Giao thức FTP (File Transfer Protocol)Giao thức IPv6 (IP version 6) (SV tự đọc)
Giao thứcCác quy tắc ứng xử và giao tiếpRất quan trọng để quá trình giao tiếp giữa các thiết bịđược chính xác
Các giao thức mạng phổ biếnBộ giao thức TCP/IP (Transmission ControlProtocol/Internet Protocol)Giao thức ICMP (Internet Control Message Protocol) (SVtự đọc)Giao thức SNMP (Simple Network Management Protocol)(SV tự đọc)Hệ thống tên miền DNS (Domain Name System)Giao thức FTP (File Transfer Protocol)Giao thức IPv6 (IP version 6) (SV tự đọc)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 4
Bộ giao thức TCP/IP
Giao thức điều khiển truyền tin/Giao thức Internet(Transmission Control Protocol/Internet Protocol – TCP/IP)
Bộ giao thức phổ biến nhất, sử dụng cho các mạng cụcbộ (LAN) và mạng Internet
IPGiao thức hoạt động chính ở tầng mạng (tầng 3) trongmô hình kết nối các hệ thống mở (OSI)
TCPGiao thức tầng giao vận (tầng 4)Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa cácthiết bị
TCP/IP sử dụng kiến trúc bốn tầngGiao diện mạng (Network Interface), Internet, Giao vận(Transport), Ứng dụng (Application)
Giao thức điều khiển truyền tin/Giao thức Internet(Transmission Control Protocol/Internet Protocol – TCP/IP)
Bộ giao thức phổ biến nhất, sử dụng cho các mạng cụcbộ (LAN) và mạng Internet
IPGiao thức hoạt động chính ở tầng mạng (tầng 3) trongmô hình kết nối các hệ thống mở (OSI)
TCPGiao thức tầng giao vận (tầng 4)Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa cácthiết bị
TCP/IP sử dụng kiến trúc bốn tầngGiao diện mạng (Network Interface), Internet, Giao vận(Transport), Ứng dụng (Application)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 5
Mô hình OSI và mô hình TCP/IP
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 6
Hệ thống tên miền (DNS) (1/2)
Hệ thống tên miền (Domain Name System - DNS)Giao thức TCP/IP phân giải một địa chỉ IP sang tên tượngtrưngLà một cơ sở dữ liệu, gồm tên gọi của từng Web site vàmã số IP tương ứngCơ sở dữ liệu DNS được phân tán cho nhiều server trênInternet
Hệ thống tên miền (Domain Name System - DNS)Giao thức TCP/IP phân giải một địa chỉ IP sang tên tượngtrưngLà một cơ sở dữ liệu, gồm tên gọi của từng Web site vàmã số IP tương ứngCơ sở dữ liệu DNS được phân tán cho nhiều server trênInternet
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 7
Tra cứu DNS
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 8
Hệ thống tên miền (DNS) (2/2)
DNS có thể là tiêu điểm của các cuộc tấn côngĐầu độc DNS thay thế địa chỉ IP giả mạo vào tên tượngtrưng
Có thể được thực hiện trong bảng danh sách máy chủ cụcbộ hoặc trên máy chủ DNS bên ngoàiPhiên bản mới nhất của phần mềm DNS ngăn chặn đầu độcDNS
Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếpcận được các thông tin về mạng, phần cứng và hệ điềuhành
DNS có thể là tiêu điểm của các cuộc tấn côngĐầu độc DNS thay thế địa chỉ IP giả mạo vào tên tượngtrưng
Có thể được thực hiện trong bảng danh sách máy chủ cụcbộ hoặc trên máy chủ DNS bên ngoàiPhiên bản mới nhất của phần mềm DNS ngăn chặn đầu độcDNS
Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếpcận được các thông tin về mạng, phần cứng và hệ điềuhành
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 9
Giao thức truyền file (FTP) (1/3)
Các giao thức TCP/IP được sử dụng để truyền fileGiao thức truyền file (FTP)Giao thức sao lưu an toàn (SCP)
Các phương pháp sử dụng giao thức FTP trên máy chủcục bộ
Từ dấu nhắc lệnh (command prompt)Sử dụng trình duyệt Web (Web browser)Sử dụng trình khách FTP (FTP client)
Sử dụng FTP phía sau tường lửa có thể ngăn chặnđược nhiều thử thách
Chế độ FTP chủ động (active mode)Chế độ FTP thụ động (passive mode)
Các giao thức TCP/IP được sử dụng để truyền fileGiao thức truyền file (FTP)Giao thức sao lưu an toàn (SCP)
Các phương pháp sử dụng giao thức FTP trên máy chủcục bộ
Từ dấu nhắc lệnh (command prompt)Sử dụng trình duyệt Web (Web browser)Sử dụng trình khách FTP (FTP client)
Sử dụng FTP phía sau tường lửa có thể ngăn chặnđược nhiều thử thách
Chế độ FTP chủ động (active mode)Chế độ FTP thụ động (passive mode)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 10
Ứng dụng FTP client
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 11
Giao thức truyền file (FTP) (2/3)
Các lỗ hổng của giao thức FTPFTP không sử dụng mật mãCác file được truyền bởi FTP là lỗ hổng đối với các vụ tấncông kẻ đứng giữa (man-in-the-middle)
Các tùy chọn truyền file bảo mật thay thế FTPFTP sử dụng tầng kết nối an toàn bảo mật (FTP usingSecure Sockets Layer - FTPS)FTP an toàn (Secure FTP - SFTP)
Các lỗ hổng của giao thức FTPFTP không sử dụng mật mãCác file được truyền bởi FTP là lỗ hổng đối với các vụ tấncông kẻ đứng giữa (man-in-the-middle)
Các tùy chọn truyền file bảo mật thay thế FTPFTP sử dụng tầng kết nối an toàn bảo mật (FTP usingSecure Sockets Layer - FTPS)FTP an toàn (Secure FTP - SFTP)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 12
Giao thức truyền file (FTP) (3/3)
Giao thức sao lưu an toàn (Secure Copy Protocol - SCP)Phiên bản nâng cao của giao thức sao lưu từ xa (RemoteCopy Protocol– RCP)Mã hóa các file và lệnhQuá trình truyền file không được phép gián đoạn và sauđó khôi phục lại trong cùng một phiênGặp chủ yếu trên các nền tảng Linux và UNIX
Giao thức sao lưu an toàn (Secure Copy Protocol - SCP)Phiên bản nâng cao của giao thức sao lưu từ xa (RemoteCopy Protocol– RCP)Mã hóa các file và lệnhQuá trình truyền file không được phép gián đoạn và sauđó khôi phục lại trong cùng một phiênGặp chủ yếu trên các nền tảng Linux và UNIX
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 13
Các quy tắc quản trị mạng
Quản trị mạng bảo mật là công việc đầy thử tháchPhương pháp quản lý dựa trên quy tắc
Dựa vào các thủ tục và quy tắcCác nguyên tắc có thể do bên ngoài (các bộ luật chi phối)hoặc nội bộ tổ chức qui địnhCác quy tắc thủ tục chỉ ra các quy tắc kỹ thuậtCác quy tắc kỹ thuật
Bảo mật thiết bịQuản lý thiết kế mạngBảo mật các cổng
Quản trị mạng bảo mật là công việc đầy thử tháchPhương pháp quản lý dựa trên quy tắc
Dựa vào các thủ tục và quy tắcCác nguyên tắc có thể do bên ngoài (các bộ luật chi phối)hoặc nội bộ tổ chức qui địnhCác quy tắc thủ tục chỉ ra các quy tắc kỹ thuậtCác quy tắc kỹ thuật
Bảo mật thiết bịQuản lý thiết kế mạngBảo mật các cổng
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 14
Bảo mật thiết bị
Bảo mật thiết bị gồm các nội dung sau:Cấu hình bộ định tuyến bảo mật (secure routerconfiguration)Phòng chống lũ (flood guard) (SV tự đọc)Phân tích nhật ký (log analysis) (SV tự đọc)
Bảo mật thiết bị gồm các nội dung sau:Cấu hình bộ định tuyến bảo mật (secure routerconfiguration)Phòng chống lũ (flood guard) (SV tự đọc)Phân tích nhật ký (log analysis) (SV tự đọc)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 15
Cấu hình bộ định tuyến bảo mật
Cấu hình bộ định tuyến bảo mậtBộ định tuyến hoạt động tại tầng mạng (tầng 3)
Chuyển tiếp các gói tin trên toàn bộ mạng máy tínhBộ định tuyến có thể thực hiện các chức năng bảo mật
Có thể được cấu hình để lọc ra các kiểu lưu lượng mạngxác định
Cấu hình bộ định tuyến bảo mậtBộ định tuyến hoạt động tại tầng mạng (tầng 3)
Chuyển tiếp các gói tin trên toàn bộ mạng máy tínhBộ định tuyến có thể thực hiện các chức năng bảo mật
Có thể được cấu hình để lọc ra các kiểu lưu lượng mạngxác định
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 16
Nhiệm vụ Giải thích
Tạo thiết kế Nên đưa ra một sơ đồ mạng để minh họa giao tiếpgiữa các bộ định tuyến; sơ đồ này nên thể hiện đượccả giao diện mạng cục bộ (LAN) và mạng diện rộng(WAN)
Đặt tên cho bộ địnhtuyến bằng một têncó nghĩa
Nên đặt tên có nghĩa cho router để thao tác gõ lệnhđược chính xác và đơn giản;
Các nhiệm vụ để cấu hìnhbảo mật cho bộ định tuyến
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 17
Đặt tên cho bộ địnhtuyến bằng một têncó nghĩa
Bảo mật cổng Tất cả các cổng kết nối tới bộ định tuyến phải đượcbảo mật; bao gồm cả cổng vật lý và các cổng gửi đếntừ các địa điểm ở xa
Thiết lập một mậtkhẩu quản trị đủmạnh
Cần phải có một mật khẩu để chuyển sang chế độprivileged mới có thể đưa ra các lệnh cấu hình
Thực hiện các thayđổi từ bảng điều khiển
Việc cấu hình router phải được thực hiện từ bảng điềukhiển, không được tiến hành tại một vị trí từ xa
Sơ đồ mạng biểudiễn các router
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 18
Quản lý thiết kế mạng
Việc mở rộng có thể làm phát sinh yêu cầu cần phảicấu hình lại mạngQuản lý thiết kế mạng gồm các công việc sau:
Tách mạng (network separation)Bảo vệ vòng lặp (loop protection) (SV tự đọc)Quản lý mạng LAN ảo (VLAN management)
Việc mở rộng có thể làm phát sinh yêu cầu cần phảicấu hình lại mạngQuản lý thiết kế mạng gồm các công việc sau:
Tách mạng (network separation)Bảo vệ vòng lặp (loop protection) (SV tự đọc)Quản lý mạng LAN ảo (VLAN management)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 19
Tách mạng
Tách mạng (network separation)Phân tách giữa các phần khác nhau của hệ thống mạngVí dụ: phân khúc mạng quản lý đơn hàng không đượcphép truy cập tới mạng quản lý nguồn nhân lực
Các lựa chọn thực hiện phân tách mạngPhân tách vật lý người dùng bằng cách kết nối họ tới cácbộ chuyển mạch và bộ định tuyến khác nhauBộ chuyển mạch khoảng cách không khí (Air gap switch)
Tách mạng (network separation)Phân tách giữa các phần khác nhau của hệ thống mạngVí dụ: phân khúc mạng quản lý đơn hàng không đượcphép truy cập tới mạng quản lý nguồn nhân lực
Các lựa chọn thực hiện phân tách mạngPhân tách vật lý người dùng bằng cách kết nối họ tới cácbộ chuyển mạch và bộ định tuyến khác nhauBộ chuyển mạch khoảng cách không khí (Air gap switch)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 20
Quản lý mạng LAN ảo (1/2)
Quản lý mạng LAN ảo (VLAN management)Mạng có thể được phân đoạn thành các nhóm thiết bị vậtlý thông qua VLANNgười dùng rải rác có thể được nhóm lại với nhau theocách lô gíc:
Không quan tâm tới việc người dùng được kết nối tới switchnào
Quản lý mạng LAN ảo (VLAN management)Mạng có thể được phân đoạn thành các nhóm thiết bị vậtlý thông qua VLANNgười dùng rải rác có thể được nhóm lại với nhau theocách lô gíc:
Không quan tâm tới việc người dùng được kết nối tới switchnào
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 21
Quản lý mạng LAN ảo (2/2)
Các nguyên tắc chung để quản lý mạng VLANMột mạng VLAN không nên giao tiếp với mạng VLAN khác,trừ khi chúng được kết nối tới cùng một bộ định tuyến(router)Cấu hình các cổng trống của switch để kết nối với mộtmạng VLAN không được sử dụngCác mạng VLAN khác nhau nên được kết nối tới các switchkhác nhauThay đổi tên mặc định của các mạng VLANCấu hình các cổng switch truyền các gói tin VLAN đượcgán nhãn để chuyển tiếp các thẻ xác định một cách tườngminhCấu hình mạng VLAN sao cho các thiết bị dùng chungkhông nằm trong một mạng VLAN riêng (private)
Các nguyên tắc chung để quản lý mạng VLANMột mạng VLAN không nên giao tiếp với mạng VLAN khác,trừ khi chúng được kết nối tới cùng một bộ định tuyến(router)Cấu hình các cổng trống của switch để kết nối với mộtmạng VLAN không được sử dụngCác mạng VLAN khác nhau nên được kết nối tới các switchkhác nhauThay đổi tên mặc định của các mạng VLANCấu hình các cổng switch truyền các gói tin VLAN đượcgán nhãn để chuyển tiếp các thẻ xác định một cách tườngminhCấu hình mạng VLAN sao cho các thiết bị dùng chungkhông nằm trong một mạng VLAN riêng (private)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 22
Bảo mật cổng
Bảo mật các cổng mạng gồm các hoạt động sau:Vô hiệu hóa các cổng không dùng (Disabling UnusedPorts)Hạn chế và lọc MAC (MAC Limiting and Filtering)IEEE 802.1x
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 23
Vô hiệu hóa cáccổng không dùng
Vô hiệu hóa các cổng không dùngTắt hết các cổng không cần thiết trên mạngKỹ thuật bảo mật này thường bị coi nhẹNhững switch không được bảo mật cổng cho phép kẻ tấncông kết nối đến các cổng không sử dụng và tấn công vàomạngTất cả các cổng phải được bảo mật trước khi triển khai vàomạngNhà quản trị mạng cần ra lệnh tắt hết các cổng không sửdụng
Vô hiệu hóa các cổng không dùngTắt hết các cổng không cần thiết trên mạngKỹ thuật bảo mật này thường bị coi nhẹNhững switch không được bảo mật cổng cho phép kẻ tấncông kết nối đến các cổng không sử dụng và tấn công vàomạngTất cả các cổng phải được bảo mật trước khi triển khai vàomạngNhà quản trị mạng cần ra lệnh tắt hết các cổng không sửdụng
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 24
Giới hạn và lọc địa chỉ MAC
Giới hạn và lọc địa chỉ MACLọc và giới hạn số lượng địa chỉ MAC (media accesscontrol address) cho phép trên một cổngCổng có thể được thiết lập giới hạn bằng 1Một địa chỉ MAC cụ thể có thể được gán cho một cổng
Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đếncổng
Giới hạn và lọc địa chỉ MACLọc và giới hạn số lượng địa chỉ MAC (media accesscontrol address) cho phép trên một cổngCổng có thể được thiết lập giới hạn bằng 1Một địa chỉ MAC cụ thể có thể được gán cho một cổng
Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đếncổng
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 25
Thiết lập cấuhình
Giải thích
Static Các địa chỉ MAC được nhập thủ công, sau đóđược lưu trên thiết bị
Dynamic Các địa chỉ MAC tự động được “học” và lưu trữ;khi switch khởi động lại, những thiết lập này sẽbị xóa
Các cấu hình tùy chọn đểgiới hạn và lọc địa chỉ MAC
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 26
Dynamic Các địa chỉ MAC tự động được “học” và lưu trữ;khi switch khởi động lại, những thiết lập này sẽbị xóa
Sticky Các địa chỉ MAC tự động được “học” và đượclưu trữ cùng với các địa chỉ đã “học” trước đósử dụng cấu hình Sticky; nhưng nếu cấu hìnhnày bị vô hiệu hóa, các địa chỉ sẽ được lưu giữtrong bộ nhớ sẽ bị loại bỏ khỏi bảng
IEEE 802.1x
IEEE 802.1xTiêu chuẩn đưa ra cấp độ cao nhất về bảo mật cổngThực hiện xác thực dựa trên cổngChặn tất cả các lưu lượng trên cơ sở lần lượt từng cổng:
Cho tới khi client được xác thực thành công
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 27
Tiến trình xác thựcIEEE 802.1x
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 28
Bảo mật mạng không dây
Giao tiếp không dây đã cách mạng hóa mạng máy tínhCác mạng không dây được bắt gặp hầu như ở mọi nơi
Các mạng không dây là mục tiêu của các cuộc tấn côngCác tiêu chuẩn ban đầu của mạng không dây đã có nhữnglỗ hổngNhững thay đổi về bảo mật mạng không dây mang lại sựbảo mật tương đương với các mạng có dây
Các nội dung về bảo mật mạng không dây:Tấn công mạng không dâyCác điểm yếu bảo mật của 802.1xCác giải pháp bảo mật mạng không dây
Giao tiếp không dây đã cách mạng hóa mạng máy tínhCác mạng không dây được bắt gặp hầu như ở mọi nơi
Các mạng không dây là mục tiêu của các cuộc tấn côngCác tiêu chuẩn ban đầu của mạng không dây đã có nhữnglỗ hổngNhững thay đổi về bảo mật mạng không dây mang lại sựbảo mật tương đương với các mạng có dây
Các nội dung về bảo mật mạng không dây:Tấn công mạng không dâyCác điểm yếu bảo mật của 802.1xCác giải pháp bảo mật mạng không dây
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 29
Tấn công mạng không dây
Hai dạng tấn công vào mạng không dâyTấn công trên các thiết bị bluetooth (SV tự đọc)Tấn công mạng LAN không dây
Hai dạng tấn công vào mạng không dâyTấn công trên các thiết bị bluetooth (SV tự đọc)Tấn công mạng LAN không dây
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 30
Tấn công mạn LAN không dây
Các mạng không dây là mục tiêu của những kẻ tấn côngKhông đòi hỏi dây cáp kết nối
Các kiểu tấn công mạng LAN không dâyPhát hiện mạngTấn công thông qua dải tần RF (SV tự đọc)Tấn công sử dụng điểm truy cập
Các mạng không dây là mục tiêu của những kẻ tấn côngKhông đòi hỏi dây cáp kết nối
Các kiểu tấn công mạng LAN không dâyPhát hiện mạngTấn công thông qua dải tần RF (SV tự đọc)Tấn công sử dụng điểm truy cập
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 31
Phát hiện mạng (1/3)
Phát hiện mạng (discovering the network)Một trong những bước đầu tiên để tấn công là phải pháthiện sự có mặt của một mạng
Dẫn đường (beaconing)Điểm truy cập liên tục gửi tín hiệu sau một khoảng thờigian nhất định để thông báo sự tồn tại của nó và cung cấpcác thông tin kết nốiThiết bị không dây quét các khung dẫn đường (beacon)
Phát hiện mạng (discovering the network)Một trong những bước đầu tiên để tấn công là phải pháthiện sự có mặt của một mạng
Dẫn đường (beaconing)Điểm truy cập liên tục gửi tín hiệu sau một khoảng thờigian nhất định để thông báo sự tồn tại của nó và cung cấpcác thông tin kết nốiThiết bị không dây quét các khung dẫn đường (beacon)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 32
Phát hiện mạng (2/3)
Dẫn dắt chiến sự (War driving)Quá trình phát hiện thụ động vị trí của mạng không dây
Công cụ Mục đíchThiết bị máy tính diđộng
Có thể là một máy tính di động, một máy tính bảng,hoặc một smartphone.
Card giao tiếp mạngkhông dây
Card giao tiếp mạng không dây kết nối thông quaUSB hay một cổng khác và có một ổ cắm ăng tenngoài
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 33
Card giao tiếp mạngkhông dây
Card giao tiếp mạng không dây kết nối thông quaUSB hay một cổng khác và có một ổ cắm ăng tenngoài
Ăng ten Gắn thêm ăng ten ngoài giúp tăng đáng kể khả năngphát hiện và bắt được tín hiệu không dây
Phần mềm Những kẻ dẫn dắt chiến sự nguy hiểm sử dụngnhiều phần mềm chuyên dụng hơn
Bộ thu tín hiệu định vịtoàn cầu (GPS)
Thiết bị này giúp xác định vị trí chính xác hơn, nếuthông tin được ghi lại hoặc chia sẻ với nhau
Phát hiện mạng (3/3)
Gieo mầm chiến tranh (War chalking)Tổ chức tài liệu sau đó quảng cáo địa điểm mạng LANkhông dây cho những người khác cùng sử dụngTrước kia hành động này được thực hiện bằng cách vẽ lêntường vỉa hè xung quanh khu vực có mạngHiện nay, vị trí của mạng được tung lên các Web siteCác biểu tượng của gieo mầm chiến tranh:
Gieo mầm chiến tranh (War chalking)Tổ chức tài liệu sau đó quảng cáo địa điểm mạng LANkhông dây cho những người khác cùng sử dụngTrước kia hành động này được thực hiện bằng cách vẽ lêntường vỉa hè xung quanh khu vực có mạngHiện nay, vị trí của mạng được tung lên các Web siteCác biểu tượng của gieo mầm chiến tranh:
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 34
Tấn công sử dụngđiểm truy cập (1/3)
Tấn công sử dụng các điểm truy cập (attack usingaccess point)
Điểm truy cập lừa đảoKẻ sinh đôi ma quỷ (Evil twins)
Điểm truy cập lừa đảoTruy cập trái phép cho phép kẻ tấn công qua mặt các cấuhình bảo mật mạngCó thể được thiết lập sau một tường lửa, mở đường chotấn công
Tấn công sử dụng các điểm truy cập (attack usingaccess point)
Điểm truy cập lừa đảoKẻ sinh đôi ma quỷ (Evil twins)
Điểm truy cập lừa đảoTruy cập trái phép cho phép kẻ tấn công qua mặt các cấuhình bảo mật mạngCó thể được thiết lập sau một tường lửa, mở đường chotấn công
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 35
Tấn công sử dụngđiểm truy cập (2/3)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 36
Tấn công sử dụngđiểm truy cập (3/3)
Kẻ sing đôi ma quỷ (evil twins)Điểm truy cập do kẻ tấn công cài đặtCố gắng bắt chước điểm truy cập hợp lệKẻ tấn công chụp lại quá trình truyền nhận từ người dùngđến điểm truy cập kẻ sinh đôi ma quỷ.
Kẻ sing đôi ma quỷ (evil twins)Điểm truy cập do kẻ tấn công cài đặtCố gắng bắt chước điểm truy cập hợp lệKẻ tấn công chụp lại quá trình truyền nhận từ người dùngđến điểm truy cập kẻ sinh đôi ma quỷ.
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 37
Các điểm yếu bảo mật củaIEEE 802.11
Ngay từ ban đầu, hội đồng IEEE 802.11 đã sớm nhận rarằng truyền nhận không dây có thể bị tấn công
Thực thi một số biện pháp bảo mật mạng không dây trongbộ tiêu chuẩnNhững lỗ hổng khác của mạng WLAN dành cho nhà cungcấp tự giải quyếtCác biện pháp bảo vệ vẫn để lộ nhiều sơ hở dẫn tới nhiềuvụ tấn công đã xảy ra
Các điểm yếu bảo mật của IEEE 802.11 được giới thiệu:Lọc địa chỉ MACLan truyền SSIDQuyền riêng tư tương đương có dây (WEP) (SV tự đọc)
Ngay từ ban đầu, hội đồng IEEE 802.11 đã sớm nhận rarằng truyền nhận không dây có thể bị tấn công
Thực thi một số biện pháp bảo mật mạng không dây trongbộ tiêu chuẩnNhững lỗ hổng khác của mạng WLAN dành cho nhà cungcấp tự giải quyếtCác biện pháp bảo vệ vẫn để lộ nhiều sơ hở dẫn tới nhiềuvụ tấn công đã xảy ra
Các điểm yếu bảo mật của IEEE 802.11 được giới thiệu:Lọc địa chỉ MACLan truyền SSIDQuyền riêng tư tương đương có dây (WEP) (SV tự đọc)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 38
Lọc địa chỉ MAC (1/2)
Phương pháp kiểm soát truy cập mạng WLANGiới hạn truy cập của thiết bị tới điểm truy cập AP
Lọc địa chỉ MACHầu hết các nhà cung cấp AP đều sử dụng lọc địa chỉ MACCho phép hoặc chặn thiết bị dựa trên địa chỉ MAC
Những lỗ hổng bảo mật của phương pháp lọc địa chỉMAC
Các địa chỉ được trao đổi ở dạng chưa mã hóaKẻ tấn công có thể nhìn thấy địa chỉ của một thiết bị hợplệ và sử dụng địa chỉ đó để thay thế cho địa chỉ thiết bịcủa hắnViệc quản lý một số lượng lớn các địa chỉ thực sự là mộtthử thách
Phương pháp kiểm soát truy cập mạng WLANGiới hạn truy cập của thiết bị tới điểm truy cập AP
Lọc địa chỉ MACHầu hết các nhà cung cấp AP đều sử dụng lọc địa chỉ MACCho phép hoặc chặn thiết bị dựa trên địa chỉ MAC
Những lỗ hổng bảo mật của phương pháp lọc địa chỉMAC
Các địa chỉ được trao đổi ở dạng chưa mã hóaKẻ tấn công có thể nhìn thấy địa chỉ của một thiết bị hợplệ và sử dụng địa chỉ đó để thay thế cho địa chỉ thiết bịcủa hắnViệc quản lý một số lượng lớn các địa chỉ thực sự là mộtthử thách
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 39
Lọc địa chỉ MAC (2/2)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 40
Lan truyền SSID (1/2)
Mỗi thiết bị phải được xác thực trước khi kết nối tớimạng WLANHệ thống xác thực mở
Thiết bị phát hiện thấy mạng không dây và gửi mộtkhung dữ liệu yêu cầu liên kết tới APKhung dữ liệu chứa danh tính của tập dịch vụ (ServiceSet Identifier - SSID)
Là tên của mạng do người dùng cung cấpCó thể là một chuỗi bất kỳ chứa chữ cái hoặc chữ số, có độdài từ 2 – 32 ký tự
AP so sánh giá trị SSID này với SSID thực sự của mạngNếu hai giá trị này trùng khớp, thiết bị sẽ được xác thực
Mỗi thiết bị phải được xác thực trước khi kết nối tớimạng WLANHệ thống xác thực mở
Thiết bị phát hiện thấy mạng không dây và gửi mộtkhung dữ liệu yêu cầu liên kết tới APKhung dữ liệu chứa danh tính của tập dịch vụ (ServiceSet Identifier - SSID)
Là tên của mạng do người dùng cung cấpCó thể là một chuỗi bất kỳ chứa chữ cái hoặc chữ số, có độdài từ 2 – 32 ký tự
AP so sánh giá trị SSID này với SSID thực sự của mạngNếu hai giá trị này trùng khớp, thiết bị sẽ được xác thực
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 41
Hệ thống xác thực mở
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 42
Lan truyền SSID (2/2)
Hệ thống xác thực mở là một cơ chế yếuChỉ dựa trên đối chiếu các giá trị SSIDKẻ tấn công có thể đợi một SSID được AP quảng bá
Người dùng có thể cấu hình AP để ngăn việc phát đi cáckhung beacon chứa SSID
Chỉ đem lại mức độ bảo mật yếuCó thể bị phát hiện khi SSID được truyền trong các khungdữ liệu khácCác phiên bản Windows XP cũ có thêm một lỗ hổng nếuphương pháp xác thực mở được áp dụng
Hệ thống xác thực mở là một cơ chế yếuChỉ dựa trên đối chiếu các giá trị SSIDKẻ tấn công có thể đợi một SSID được AP quảng bá
Người dùng có thể cấu hình AP để ngăn việc phát đi cáckhung beacon chứa SSID
Chỉ đem lại mức độ bảo mật yếuCó thể bị phát hiện khi SSID được truyền trong các khungdữ liệu khácCác phiên bản Windows XP cũ có thêm một lỗ hổng nếuphương pháp xác thực mở được áp dụng
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 43
Các giải pháp bảo mậtmạng không dây
Cần phải có một phương pháp thống nhất để bảo mậtmạng WLAN
IEEE và liên minh Wi-Fi đã bắt đầu xây dựng giải pháp bảomật cho mạng không dây
Kết quả là các tiêu chuẩn vẫn được sử dụng cho tới ngàynay IEEE 802.11iCác giải pháp bảo mật mạng không dây hiện dùng
Truy cập Wi-Fi được bảo vệ (Wi-Fi Protected Access -WPA)Truy cập Wi-Fi được bảo vệ 2 (Wi-Fi Protected Access 2 –WPA2)Các bước bảo mật không dây khác (SV tự đọc)
Cần phải có một phương pháp thống nhất để bảo mậtmạng WLAN
IEEE và liên minh Wi-Fi đã bắt đầu xây dựng giải pháp bảomật cho mạng không dây
Kết quả là các tiêu chuẩn vẫn được sử dụng cho tới ngàynay IEEE 802.11iCác giải pháp bảo mật mạng không dây hiện dùng
Truy cập Wi-Fi được bảo vệ (Wi-Fi Protected Access -WPA)Truy cập Wi-Fi được bảo vệ 2 (Wi-Fi Protected Access 2 –WPA2)Các bước bảo mật không dây khác (SV tự đọc)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 44
Truy cập Wi-Fi đượcbảo vệ (WPA) (1/3)
Được liên minh Wi-fi giới thiệu vào năm 2003Là một tập con của IEEE 802.11iMục đích thiết kế: bảo vệ các thiết bị không dây hiện tạivà trong tương laiPhương pháp mã hóa sử dụng Temporal Key IntegrityProtocol (TKIP – giao thức toàn vẹn khóa tạm thời)
Được sử dụng trong WPASử dụng khóa có độ dài lớn hơn 128 bit so với WEPĐược sinh tự động cho mỗi gói tin mới
Được liên minh Wi-fi giới thiệu vào năm 2003Là một tập con của IEEE 802.11iMục đích thiết kế: bảo vệ các thiết bị không dây hiện tạivà trong tương laiPhương pháp mã hóa sử dụng Temporal Key IntegrityProtocol (TKIP – giao thức toàn vẹn khóa tạm thời)
Được sử dụng trong WPASử dụng khóa có độ dài lớn hơn 128 bit so với WEPĐược sinh tự động cho mỗi gói tin mới
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 45
Truy cập Wi-Fi đượcbảo vệ (WPA) (2/3)
Xác thực sử dụng khóa chia sẻ trước (Preshared Key –PSK)
Sau khi AP được cấu hình, thiết bị client phải có khóagiống với giá trị khóa được nhậpKhóa được chia sẻ trước khi quá trình giao tiếp diễn raSử dụng một mật khẩu để sinh ra khóa mã hóa
Mật khẩu phải được nhập trước vào từng AP và thiết bịkhông dây
Mật khẩu không được sử dụng cho mã hóaMật khẩu đóng vai trò như một xuất phát điểm cho việctính toán để sinh ra các khóa mã hóa
Xác thực sử dụng khóa chia sẻ trước (Preshared Key –PSK)
Sau khi AP được cấu hình, thiết bị client phải có khóagiống với giá trị khóa được nhậpKhóa được chia sẻ trước khi quá trình giao tiếp diễn raSử dụng một mật khẩu để sinh ra khóa mã hóa
Mật khẩu phải được nhập trước vào từng AP và thiết bịkhông dây
Mật khẩu không được sử dụng cho mã hóaMật khẩu đóng vai trò như một xuất phát điểm cho việctính toán để sinh ra các khóa mã hóa
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 46
Truy cập Wi-Fi đượcbảo vệ (WPA) (3/3)
Các lỗ hổng bảo mật trong WPAQuản lý khóa
Việc chia sẻ khóa được thực hiện thủ công mà không có biệnpháp đảm bảo an toànCác khóa phải được thay đổi định kỳ thường xuyênKhóa phải được tiết lộ cho những người dùng khách
Mật khẩuCác mật khẩu PSK ít hơn 20 ký tự là mục tiêu của hành vi bẻkhóa
Các lỗ hổng bảo mật trong WPAQuản lý khóa
Việc chia sẻ khóa được thực hiện thủ công mà không có biệnpháp đảm bảo an toànCác khóa phải được thay đổi định kỳ thường xuyênKhóa phải được tiết lộ cho những người dùng khách
Mật khẩuCác mật khẩu PSK ít hơn 20 ký tự là mục tiêu của hành vi bẻkhóa
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 47
Truy cập Wi-Fi đượcbảo vệ 2 (WPA2) (1/4)
Thế hệ thứ hai của WPA được gọi là WPA2Được giới thiệu vào năm 2004Dựa trên tiêu chuẩn IEEE 802.11i sau cùngSử dụng tiêu chuẩn mã hóa nân cao (Advanced EncryptionStandard - AES)Hỗ trợ cả xác thực PSK và IEEE 802.11x
Phương pháp mã hóa AES-CCMPChuẩn giao thức mã hóa dành choWPA2CCM là thuật toán bảo mật dữ liệuThành phần CBC-MAC của CCMP cung cấp sự thống nhấtdữ liệu và xác thực
Thế hệ thứ hai của WPA được gọi là WPA2Được giới thiệu vào năm 2004Dựa trên tiêu chuẩn IEEE 802.11i sau cùngSử dụng tiêu chuẩn mã hóa nân cao (Advanced EncryptionStandard - AES)Hỗ trợ cả xác thực PSK và IEEE 802.11x
Phương pháp mã hóa AES-CCMPChuẩn giao thức mã hóa dành choWPA2CCM là thuật toán bảo mật dữ liệuThành phần CBC-MAC của CCMP cung cấp sự thống nhấtdữ liệu và xác thực
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 48
Truy cập Wi-Fi đượcbảo vệ 2 (WPA2) (2/4)
Mã hóa và giải mã AESNên được thực hiện trong phần cứng do khả năng tínhtoán mạnh
Xác thực IEEE 802.1xBan đầu được phát triển cho các mạng dùng dâyĐem lại cấp độ bảo mật tốt hơn thông qua việc thực hiệnbảo mật cổngChặn tất cả các lưu lượng trên từng cổng cho tới khi clientđược xác thực thành công
Mã hóa và giải mã AESNên được thực hiện trong phần cứng do khả năng tínhtoán mạnh
Xác thực IEEE 802.1xBan đầu được phát triển cho các mạng dùng dâyĐem lại cấp độ bảo mật tốt hơn thông qua việc thực hiệnbảo mật cổngChặn tất cả các lưu lượng trên từng cổng cho tới khi clientđược xác thực thành công
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 49
Truy cập Wi-Fi đượcbảo vệ 2 (WPA2) (3/4)
Giao thức xác thực mở rộng (Extensible AuthenticationProtocol - EAP)
Nền tảng cho việc vận chuyển các giao thức xác thựcĐịnh nghĩa định dạng gói tinSử dụng bốn kiểu gói tin
Request (yêu cầu)Response (phản hồi)Success (thành công)Failure (thất bại)
Giao thức xác thực mở rộng (Extensible AuthenticationProtocol - EAP)
Nền tảng cho việc vận chuyển các giao thức xác thựcĐịnh nghĩa định dạng gói tinSử dụng bốn kiểu gói tin
Request (yêu cầu)Response (phản hồi)Success (thành công)Failure (thất bại)
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 50
Truy cập Wi-Fi đượcbảo vệ 2 (WPA2) (4/4)
EAP gọn nhẹ (LEAP)Là phương pháp độc quyền do Cisco System phát triểnYêu cầu xác thực qua lại được sử dụng cho mã hóa WLANbằng phần mềm client của CiscoCó thể bị xuyên phá đối với một số kiểu tấn công
Cisco đã khuyến cáo không nên sử dụng LEAP
EAP được bảo vệ (PEAP)Đơn giản hóa việc triển khai 802.1x bằng cách sử dụng tàikhoản và mật khẩu đăng nhập WindowsTạo ra một kênh mã hóa giữa client và máy chủ xác thực
EAP gọn nhẹ (LEAP)Là phương pháp độc quyền do Cisco System phát triểnYêu cầu xác thực qua lại được sử dụng cho mã hóa WLANbằng phần mềm client của CiscoCó thể bị xuyên phá đối với một số kiểu tấn công
Cisco đã khuyến cáo không nên sử dụng LEAP
EAP được bảo vệ (PEAP)Đơn giản hóa việc triển khai 802.1x bằng cách sử dụng tàikhoản và mật khẩu đăng nhập WindowsTạo ra một kênh mã hóa giữa client và máy chủ xác thực
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 51
Tổng kết (1/2)
TCP/IPGiao thức thông dụng nhất cho mạng LAN và Internet
Các giao thức truyền fileFTP, FTPS, SFTP, SCP
Cấu hình bộ định tuyến phải cung cấp một môi trườngmạng bảo mậtTách mạng có thể làm tăng độ bảo mậtBảo mật cổng là một bước quan trọng trong quản lýmạng
TCP/IPGiao thức thông dụng nhất cho mạng LAN và Internet
Các giao thức truyền fileFTP, FTPS, SFTP, SCP
Cấu hình bộ định tuyến phải cung cấp một môi trườngmạng bảo mậtTách mạng có thể làm tăng độ bảo mậtBảo mật cổng là một bước quan trọng trong quản lýmạng
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 52
Tổng kết (2/2)
Kẻ tấn công có thể xác định sự có mặt của một mạngkhông dây sử dụng kỹ thuật dẫn dắt chiến sự hoặc gieomầm chiến tranh.Kẻ tấn công có thể tấn công vào mạng LAN không dâydùng điểm truy cập lừa đảo hoặc kẻ sinh đôi ma quỷ.Các điểm yếu bảo mật của 802.11 nằm ở Lọc địa chỉMAC và Lan truyền SSID.Truy cập Wi-Fi được bảo vệ (WPA) và Truy cập Wi-Fiđược bảo vệ 2 (WPA2) đã trở thành nền tảng bảo mậtcho các mạng không dây ngày nay.
Kẻ tấn công có thể xác định sự có mặt của một mạngkhông dây sử dụng kỹ thuật dẫn dắt chiến sự hoặc gieomầm chiến tranh.Kẻ tấn công có thể tấn công vào mạng LAN không dâydùng điểm truy cập lừa đảo hoặc kẻ sinh đôi ma quỷ.Các điểm yếu bảo mật của 802.11 nằm ở Lọc địa chỉMAC và Lan truyền SSID.Truy cập Wi-Fi được bảo vệ (WPA) và Truy cập Wi-Fiđược bảo vệ 2 (WPA2) đã trở thành nền tảng bảo mậtcho các mạng không dây ngày nay.
Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 53