Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây - Giáo trình FPT

  • 3,804 views
Uploaded on

Quản trị một mạng bảo mật ...

Quản trị một mạng bảo mật
Các giao thức mạng phổ biến
Các nguyên tắc quản trị mạng
Bảo mật cho các ứng dụng mạng (SV tự đọc)
Bảo mật mạng không dây
Tấn công vào mạng không dây
Các điểm yếu trong bảo mật 802.1x
Các giải pháp bảo mật mạng không dây

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
3,804
On Slideshare
3,664
From Embeds
140
Number of Embeds
1

Actions

Shares
Downloads
359
Comments
0
Likes
2

Embeds 140

http://forum.hoclaptrinhweb.com 140

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Bài 5: Quản trị một mạng an toàn và Bảo mật các mạng không dây
  • 2. Củng cố lại bài 4 Bảo mật cho máy chủ (host) Bảo mật ứng dụng (application) Bảo mật dữ liệu (data) Bảo mật mạng (network) Bảo mật cho máy chủ (host) Bảo mật ứng dụng (application) Bảo mật dữ liệu (data) Bảo mật mạng (network) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 2
  • 3. Mục tiêu bài học Quản trị một mạng bảo mật Các giao thức mạng phổ biến Các nguyên tắc quản trị mạng Bảo mật cho các ứng dụng mạng (SV tự đọc) Bảo mật mạng không dây Tấn công vào mạng không dây Các điểm yếu trong bảo mật 802.1x Các giải pháp bảo mật mạng không dây Quản trị một mạng bảo mật Các giao thức mạng phổ biến Các nguyên tắc quản trị mạng Bảo mật cho các ứng dụng mạng (SV tự đọc) Bảo mật mạng không dây Tấn công vào mạng không dây Các điểm yếu trong bảo mật 802.1x Các giải pháp bảo mật mạng không dây Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 3
  • 4. Các giao thức mạng phổ biến Giao thức Các quy tắc ứng xử và giao tiếp Rất quan trọng để quá trình giao tiếp giữa các thiết bị được chính xác Các giao thức mạng phổ biến Bộ giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) Giao thức ICMP (Internet Control Message Protocol) (SV tự đọc) Giao thức SNMP (Simple Network Management Protocol) (SV tự đọc) Hệ thống tên miền DNS (Domain Name System) Giao thức FTP (File Transfer Protocol) Giao thức IPv6 (IP version 6) (SV tự đọc) Giao thức Các quy tắc ứng xử và giao tiếp Rất quan trọng để quá trình giao tiếp giữa các thiết bị được chính xác Các giao thức mạng phổ biến Bộ giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) Giao thức ICMP (Internet Control Message Protocol) (SV tự đọc) Giao thức SNMP (Simple Network Management Protocol) (SV tự đọc) Hệ thống tên miền DNS (Domain Name System) Giao thức FTP (File Transfer Protocol) Giao thức IPv6 (IP version 6) (SV tự đọc) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 4
  • 5. Bộ giao thức TCP/IP Giao thức điều khiển truyền tin/Giao thức Internet (Transmission Control Protocol/Internet Protocol – TCP/IP) Bộ giao thức phổ biến nhất, sử dụng cho các mạng cục bộ (LAN) và mạng Internet IP Giao thức hoạt động chính ở tầng mạng (tầng 3) trong mô hình kết nối các hệ thống mở (OSI) TCP Giao thức tầng giao vận (tầng 4) Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa các thiết bị TCP/IP sử dụng kiến trúc bốn tầng Giao diện mạng (Network Interface), Internet, Giao vận (Transport), Ứng dụng (Application) Giao thức điều khiển truyền tin/Giao thức Internet (Transmission Control Protocol/Internet Protocol – TCP/IP) Bộ giao thức phổ biến nhất, sử dụng cho các mạng cục bộ (LAN) và mạng Internet IP Giao thức hoạt động chính ở tầng mạng (tầng 3) trong mô hình kết nối các hệ thống mở (OSI) TCP Giao thức tầng giao vận (tầng 4) Thiết lập kết nối và vận chuyển dữ liệu tin cậy giữa các thiết bị TCP/IP sử dụng kiến trúc bốn tầng Giao diện mạng (Network Interface), Internet, Giao vận (Transport), Ứng dụng (Application) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 5
  • 6. Mô hình OSI và mô hình TCP/IP Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 6
  • 7. Hệ thống tên miền (DNS) (1/2) Hệ thống tên miền (Domain Name System - DNS) Giao thức TCP/IP phân giải một địa chỉ IP sang tên tượng trưng Là một cơ sở dữ liệu, gồm tên gọi của từng Web site và mã số IP tương ứng Cơ sở dữ liệu DNS được phân tán cho nhiều server trên Internet Hệ thống tên miền (Domain Name System - DNS) Giao thức TCP/IP phân giải một địa chỉ IP sang tên tượng trưng Là một cơ sở dữ liệu, gồm tên gọi của từng Web site và mã số IP tương ứng Cơ sở dữ liệu DNS được phân tán cho nhiều server trên Internet Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 7
  • 8. Tra cứu DNS Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 8
  • 9. Hệ thống tên miền (DNS) (2/2) DNS có thể là tiêu điểm của các cuộc tấn công Đầu độc DNS thay thế địa chỉ IP giả mạo vào tên tượng trưng Có thể được thực hiện trong bảng danh sách máy chủ cục bộ hoặc trên máy chủ DNS bên ngoài Phiên bản mới nhất của phần mềm DNS ngăn chặn đầu độc DNS Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếp cận được các thông tin về mạng, phần cứng và hệ điều hành DNS có thể là tiêu điểm của các cuộc tấn công Đầu độc DNS thay thế địa chỉ IP giả mạo vào tên tượng trưng Có thể được thực hiện trong bảng danh sách máy chủ cục bộ hoặc trên máy chủ DNS bên ngoài Phiên bản mới nhất của phần mềm DNS ngăn chặn đầu độc DNS Chuyển vùng (zone transfer) cho phép kẻ tấn công tiếp cận được các thông tin về mạng, phần cứng và hệ điều hành Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 9
  • 10. Giao thức truyền file (FTP) (1/3) Các giao thức TCP/IP được sử dụng để truyền file Giao thức truyền file (FTP) Giao thức sao lưu an toàn (SCP) Các phương pháp sử dụng giao thức FTP trên máy chủ cục bộ Từ dấu nhắc lệnh (command prompt) Sử dụng trình duyệt Web (Web browser) Sử dụng trình khách FTP (FTP client) Sử dụng FTP phía sau tường lửa có thể ngăn chặn được nhiều thử thách Chế độ FTP chủ động (active mode) Chế độ FTP thụ động (passive mode) Các giao thức TCP/IP được sử dụng để truyền file Giao thức truyền file (FTP) Giao thức sao lưu an toàn (SCP) Các phương pháp sử dụng giao thức FTP trên máy chủ cục bộ Từ dấu nhắc lệnh (command prompt) Sử dụng trình duyệt Web (Web browser) Sử dụng trình khách FTP (FTP client) Sử dụng FTP phía sau tường lửa có thể ngăn chặn được nhiều thử thách Chế độ FTP chủ động (active mode) Chế độ FTP thụ động (passive mode) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 10
  • 11. Ứng dụng FTP client Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 11
  • 12. Giao thức truyền file (FTP) (2/3) Các lỗ hổng của giao thức FTP FTP không sử dụng mật mã Các file được truyền bởi FTP là lỗ hổng đối với các vụ tấn công kẻ đứng giữa (man-in-the-middle) Các tùy chọn truyền file bảo mật thay thế FTP FTP sử dụng tầng kết nối an toàn bảo mật (FTP using Secure Sockets Layer - FTPS) FTP an toàn (Secure FTP - SFTP) Các lỗ hổng của giao thức FTP FTP không sử dụng mật mã Các file được truyền bởi FTP là lỗ hổng đối với các vụ tấn công kẻ đứng giữa (man-in-the-middle) Các tùy chọn truyền file bảo mật thay thế FTP FTP sử dụng tầng kết nối an toàn bảo mật (FTP using Secure Sockets Layer - FTPS) FTP an toàn (Secure FTP - SFTP) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 12
  • 13. Giao thức truyền file (FTP) (3/3) Giao thức sao lưu an toàn (Secure Copy Protocol - SCP) Phiên bản nâng cao của giao thức sao lưu từ xa (Remote Copy Protocol– RCP) Mã hóa các file và lệnh Quá trình truyền file không được phép gián đoạn và sau đó khôi phục lại trong cùng một phiên Gặp chủ yếu trên các nền tảng Linux và UNIX Giao thức sao lưu an toàn (Secure Copy Protocol - SCP) Phiên bản nâng cao của giao thức sao lưu từ xa (Remote Copy Protocol– RCP) Mã hóa các file và lệnh Quá trình truyền file không được phép gián đoạn và sau đó khôi phục lại trong cùng một phiên Gặp chủ yếu trên các nền tảng Linux và UNIX Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 13
  • 14. Các quy tắc quản trị mạng Quản trị mạng bảo mật là công việc đầy thử thách Phương pháp quản lý dựa trên quy tắc Dựa vào các thủ tục và quy tắc Các nguyên tắc có thể do bên ngoài (các bộ luật chi phối) hoặc nội bộ tổ chức qui định Các quy tắc thủ tục chỉ ra các quy tắc kỹ thuật Các quy tắc kỹ thuật Bảo mật thiết bị Quản lý thiết kế mạng Bảo mật các cổng Quản trị mạng bảo mật là công việc đầy thử thách Phương pháp quản lý dựa trên quy tắc Dựa vào các thủ tục và quy tắc Các nguyên tắc có thể do bên ngoài (các bộ luật chi phối) hoặc nội bộ tổ chức qui định Các quy tắc thủ tục chỉ ra các quy tắc kỹ thuật Các quy tắc kỹ thuật Bảo mật thiết bị Quản lý thiết kế mạng Bảo mật các cổng Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 14
  • 15. Bảo mật thiết bị Bảo mật thiết bị gồm các nội dung sau: Cấu hình bộ định tuyến bảo mật (secure router configuration) Phòng chống lũ (flood guard) (SV tự đọc) Phân tích nhật ký (log analysis) (SV tự đọc) Bảo mật thiết bị gồm các nội dung sau: Cấu hình bộ định tuyến bảo mật (secure router configuration) Phòng chống lũ (flood guard) (SV tự đọc) Phân tích nhật ký (log analysis) (SV tự đọc) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 15
  • 16. Cấu hình bộ định tuyến bảo mật Cấu hình bộ định tuyến bảo mật Bộ định tuyến hoạt động tại tầng mạng (tầng 3) Chuyển tiếp các gói tin trên toàn bộ mạng máy tính Bộ định tuyến có thể thực hiện các chức năng bảo mật Có thể được cấu hình để lọc ra các kiểu lưu lượng mạng xác định Cấu hình bộ định tuyến bảo mật Bộ định tuyến hoạt động tại tầng mạng (tầng 3) Chuyển tiếp các gói tin trên toàn bộ mạng máy tính Bộ định tuyến có thể thực hiện các chức năng bảo mật Có thể được cấu hình để lọc ra các kiểu lưu lượng mạng xác định Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 16
  • 17. Nhiệm vụ Giải thích Tạo thiết kế Nên đưa ra một sơ đồ mạng để minh họa giao tiếp giữa các bộ định tuyến; sơ đồ này nên thể hiện được cả giao diện mạng cục bộ (LAN) và mạng diện rộng (WAN) Đặt tên cho bộ định tuyến bằng một tên có nghĩa Nên đặt tên có nghĩa cho router để thao tác gõ lệnh được chính xác và đơn giản; Các nhiệm vụ để cấu hình bảo mật cho bộ định tuyến Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 17 Đặt tên cho bộ định tuyến bằng một tên có nghĩa Bảo mật cổng Tất cả các cổng kết nối tới bộ định tuyến phải được bảo mật; bao gồm cả cổng vật lý và các cổng gửi đến từ các địa điểm ở xa Thiết lập một mật khẩu quản trị đủ mạnh Cần phải có một mật khẩu để chuyển sang chế độ privileged mới có thể đưa ra các lệnh cấu hình Thực hiện các thay đổi từ bảng điều khiển Việc cấu hình router phải được thực hiện từ bảng điều khiển, không được tiến hành tại một vị trí từ xa
  • 18. Sơ đồ mạng biểu diễn các router Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 18
  • 19. Quản lý thiết kế mạng Việc mở rộng có thể làm phát sinh yêu cầu cần phải cấu hình lại mạng Quản lý thiết kế mạng gồm các công việc sau: Tách mạng (network separation) Bảo vệ vòng lặp (loop protection) (SV tự đọc) Quản lý mạng LAN ảo (VLAN management) Việc mở rộng có thể làm phát sinh yêu cầu cần phải cấu hình lại mạng Quản lý thiết kế mạng gồm các công việc sau: Tách mạng (network separation) Bảo vệ vòng lặp (loop protection) (SV tự đọc) Quản lý mạng LAN ảo (VLAN management) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 19
  • 20. Tách mạng Tách mạng (network separation) Phân tách giữa các phần khác nhau của hệ thống mạng Ví dụ: phân khúc mạng quản lý đơn hàng không được phép truy cập tới mạng quản lý nguồn nhân lực Các lựa chọn thực hiện phân tách mạng Phân tách vật lý người dùng bằng cách kết nối họ tới các bộ chuyển mạch và bộ định tuyến khác nhau Bộ chuyển mạch khoảng cách không khí (Air gap switch) Tách mạng (network separation) Phân tách giữa các phần khác nhau của hệ thống mạng Ví dụ: phân khúc mạng quản lý đơn hàng không được phép truy cập tới mạng quản lý nguồn nhân lực Các lựa chọn thực hiện phân tách mạng Phân tách vật lý người dùng bằng cách kết nối họ tới các bộ chuyển mạch và bộ định tuyến khác nhau Bộ chuyển mạch khoảng cách không khí (Air gap switch) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 20
  • 21. Quản lý mạng LAN ảo (1/2) Quản lý mạng LAN ảo (VLAN management) Mạng có thể được phân đoạn thành các nhóm thiết bị vật lý thông qua VLAN Người dùng rải rác có thể được nhóm lại với nhau theo cách lô gíc: Không quan tâm tới việc người dùng được kết nối tới switch nào Quản lý mạng LAN ảo (VLAN management) Mạng có thể được phân đoạn thành các nhóm thiết bị vật lý thông qua VLAN Người dùng rải rác có thể được nhóm lại với nhau theo cách lô gíc: Không quan tâm tới việc người dùng được kết nối tới switch nào Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 21
  • 22. Quản lý mạng LAN ảo (2/2) Các nguyên tắc chung để quản lý mạng VLAN Một mạng VLAN không nên giao tiếp với mạng VLAN khác, trừ khi chúng được kết nối tới cùng một bộ định tuyến (router) Cấu hình các cổng trống của switch để kết nối với một mạng VLAN không được sử dụng Các mạng VLAN khác nhau nên được kết nối tới các switch khác nhau Thay đổi tên mặc định của các mạng VLAN Cấu hình các cổng switch truyền các gói tin VLAN được gán nhãn để chuyển tiếp các thẻ xác định một cách tường minh Cấu hình mạng VLAN sao cho các thiết bị dùng chung không nằm trong một mạng VLAN riêng (private) Các nguyên tắc chung để quản lý mạng VLAN Một mạng VLAN không nên giao tiếp với mạng VLAN khác, trừ khi chúng được kết nối tới cùng một bộ định tuyến (router) Cấu hình các cổng trống của switch để kết nối với một mạng VLAN không được sử dụng Các mạng VLAN khác nhau nên được kết nối tới các switch khác nhau Thay đổi tên mặc định của các mạng VLAN Cấu hình các cổng switch truyền các gói tin VLAN được gán nhãn để chuyển tiếp các thẻ xác định một cách tường minh Cấu hình mạng VLAN sao cho các thiết bị dùng chung không nằm trong một mạng VLAN riêng (private) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 22
  • 23. Bảo mật cổng Bảo mật các cổng mạng gồm các hoạt động sau: Vô hiệu hóa các cổng không dùng (Disabling Unused Ports) Hạn chế và lọc MAC (MAC Limiting and Filtering) IEEE 802.1x Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 23
  • 24. Vô hiệu hóa các cổng không dùng Vô hiệu hóa các cổng không dùng Tắt hết các cổng không cần thiết trên mạng Kỹ thuật bảo mật này thường bị coi nhẹ Những switch không được bảo mật cổng cho phép kẻ tấn công kết nối đến các cổng không sử dụng và tấn công vào mạng Tất cả các cổng phải được bảo mật trước khi triển khai vào mạng Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử dụng Vô hiệu hóa các cổng không dùng Tắt hết các cổng không cần thiết trên mạng Kỹ thuật bảo mật này thường bị coi nhẹ Những switch không được bảo mật cổng cho phép kẻ tấn công kết nối đến các cổng không sử dụng và tấn công vào mạng Tất cả các cổng phải được bảo mật trước khi triển khai vào mạng Nhà quản trị mạng cần ra lệnh tắt hết các cổng không sử dụng Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 24
  • 25. Giới hạn và lọc địa chỉ MAC Giới hạn và lọc địa chỉ MAC Lọc và giới hạn số lượng địa chỉ MAC (media access control address) cho phép trên một cổng Cổng có thể được thiết lập giới hạn bằng 1 Một địa chỉ MAC cụ thể có thể được gán cho một cổng Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đến cổng Giới hạn và lọc địa chỉ MAC Lọc và giới hạn số lượng địa chỉ MAC (media access control address) cho phép trên một cổng Cổng có thể được thiết lập giới hạn bằng 1 Một địa chỉ MAC cụ thể có thể được gán cho một cổng Chỉ cho phép duy nhất một máy chủ hợp lệ được kết nối đến cổng Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 25
  • 26. Thiết lập cấu hình Giải thích Static Các địa chỉ MAC được nhập thủ công, sau đó được lưu trên thiết bị Dynamic Các địa chỉ MAC tự động được “học” và lưu trữ; khi switch khởi động lại, những thiết lập này sẽ bị xóa Các cấu hình tùy chọn để giới hạn và lọc địa chỉ MAC Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 26 Dynamic Các địa chỉ MAC tự động được “học” và lưu trữ; khi switch khởi động lại, những thiết lập này sẽ bị xóa Sticky Các địa chỉ MAC tự động được “học” và được lưu trữ cùng với các địa chỉ đã “học” trước đó sử dụng cấu hình Sticky; nhưng nếu cấu hình này bị vô hiệu hóa, các địa chỉ sẽ được lưu giữ trong bộ nhớ sẽ bị loại bỏ khỏi bảng
  • 27. IEEE 802.1x IEEE 802.1x Tiêu chuẩn đưa ra cấp độ cao nhất về bảo mật cổng Thực hiện xác thực dựa trên cổng Chặn tất cả các lưu lượng trên cơ sở lần lượt từng cổng: Cho tới khi client được xác thực thành công Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 27
  • 28. Tiến trình xác thực IEEE 802.1x Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 28
  • 29. Bảo mật mạng không dây Giao tiếp không dây đã cách mạng hóa mạng máy tính Các mạng không dây được bắt gặp hầu như ở mọi nơi Các mạng không dây là mục tiêu của các cuộc tấn công Các tiêu chuẩn ban đầu của mạng không dây đã có những lỗ hổng Những thay đổi về bảo mật mạng không dây mang lại sự bảo mật tương đương với các mạng có dây Các nội dung về bảo mật mạng không dây: Tấn công mạng không dây Các điểm yếu bảo mật của 802.1x Các giải pháp bảo mật mạng không dây Giao tiếp không dây đã cách mạng hóa mạng máy tính Các mạng không dây được bắt gặp hầu như ở mọi nơi Các mạng không dây là mục tiêu của các cuộc tấn công Các tiêu chuẩn ban đầu của mạng không dây đã có những lỗ hổng Những thay đổi về bảo mật mạng không dây mang lại sự bảo mật tương đương với các mạng có dây Các nội dung về bảo mật mạng không dây: Tấn công mạng không dây Các điểm yếu bảo mật của 802.1x Các giải pháp bảo mật mạng không dây Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 29
  • 30. Tấn công mạng không dây Hai dạng tấn công vào mạng không dây Tấn công trên các thiết bị bluetooth (SV tự đọc) Tấn công mạng LAN không dây Hai dạng tấn công vào mạng không dây Tấn công trên các thiết bị bluetooth (SV tự đọc) Tấn công mạng LAN không dây Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 30
  • 31. Tấn công mạn LAN không dây Các mạng không dây là mục tiêu của những kẻ tấn công Không đòi hỏi dây cáp kết nối Các kiểu tấn công mạng LAN không dây Phát hiện mạng Tấn công thông qua dải tần RF (SV tự đọc) Tấn công sử dụng điểm truy cập Các mạng không dây là mục tiêu của những kẻ tấn công Không đòi hỏi dây cáp kết nối Các kiểu tấn công mạng LAN không dây Phát hiện mạng Tấn công thông qua dải tần RF (SV tự đọc) Tấn công sử dụng điểm truy cập Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 31
  • 32. Phát hiện mạng (1/3) Phát hiện mạng (discovering the network) Một trong những bước đầu tiên để tấn công là phải phát hiện sự có mặt của một mạng Dẫn đường (beaconing) Điểm truy cập liên tục gửi tín hiệu sau một khoảng thời gian nhất định để thông báo sự tồn tại của nó và cung cấp các thông tin kết nối Thiết bị không dây quét các khung dẫn đường (beacon) Phát hiện mạng (discovering the network) Một trong những bước đầu tiên để tấn công là phải phát hiện sự có mặt của một mạng Dẫn đường (beaconing) Điểm truy cập liên tục gửi tín hiệu sau một khoảng thời gian nhất định để thông báo sự tồn tại của nó và cung cấp các thông tin kết nối Thiết bị không dây quét các khung dẫn đường (beacon) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 32
  • 33. Phát hiện mạng (2/3) Dẫn dắt chiến sự (War driving) Quá trình phát hiện thụ động vị trí của mạng không dây Công cụ Mục đích Thiết bị máy tính di động Có thể là một máy tính di động, một máy tính bảng, hoặc một smartphone. Card giao tiếp mạng không dây Card giao tiếp mạng không dây kết nối thông qua USB hay một cổng khác và có một ổ cắm ăng ten ngoài Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 33 Card giao tiếp mạng không dây Card giao tiếp mạng không dây kết nối thông qua USB hay một cổng khác và có một ổ cắm ăng ten ngoài Ăng ten Gắn thêm ăng ten ngoài giúp tăng đáng kể khả năng phát hiện và bắt được tín hiệu không dây Phần mềm Những kẻ dẫn dắt chiến sự nguy hiểm sử dụng nhiều phần mềm chuyên dụng hơn Bộ thu tín hiệu định vị toàn cầu (GPS) Thiết bị này giúp xác định vị trí chính xác hơn, nếu thông tin được ghi lại hoặc chia sẻ với nhau
  • 34. Phát hiện mạng (3/3) Gieo mầm chiến tranh (War chalking) Tổ chức tài liệu sau đó quảng cáo địa điểm mạng LAN không dây cho những người khác cùng sử dụng Trước kia hành động này được thực hiện bằng cách vẽ lên tường vỉa hè xung quanh khu vực có mạng Hiện nay, vị trí của mạng được tung lên các Web site Các biểu tượng của gieo mầm chiến tranh: Gieo mầm chiến tranh (War chalking) Tổ chức tài liệu sau đó quảng cáo địa điểm mạng LAN không dây cho những người khác cùng sử dụng Trước kia hành động này được thực hiện bằng cách vẽ lên tường vỉa hè xung quanh khu vực có mạng Hiện nay, vị trí của mạng được tung lên các Web site Các biểu tượng của gieo mầm chiến tranh: Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 34
  • 35. Tấn công sử dụng điểm truy cập (1/3) Tấn công sử dụng các điểm truy cập (attack using access point) Điểm truy cập lừa đảo Kẻ sinh đôi ma quỷ (Evil twins) Điểm truy cập lừa đảo Truy cập trái phép cho phép kẻ tấn công qua mặt các cấu hình bảo mật mạng Có thể được thiết lập sau một tường lửa, mở đường cho tấn công Tấn công sử dụng các điểm truy cập (attack using access point) Điểm truy cập lừa đảo Kẻ sinh đôi ma quỷ (Evil twins) Điểm truy cập lừa đảo Truy cập trái phép cho phép kẻ tấn công qua mặt các cấu hình bảo mật mạng Có thể được thiết lập sau một tường lửa, mở đường cho tấn công Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 35
  • 36. Tấn công sử dụng điểm truy cập (2/3) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 36
  • 37. Tấn công sử dụng điểm truy cập (3/3) Kẻ sing đôi ma quỷ (evil twins) Điểm truy cập do kẻ tấn công cài đặt Cố gắng bắt chước điểm truy cập hợp lệ Kẻ tấn công chụp lại quá trình truyền nhận từ người dùng đến điểm truy cập kẻ sinh đôi ma quỷ. Kẻ sing đôi ma quỷ (evil twins) Điểm truy cập do kẻ tấn công cài đặt Cố gắng bắt chước điểm truy cập hợp lệ Kẻ tấn công chụp lại quá trình truyền nhận từ người dùng đến điểm truy cập kẻ sinh đôi ma quỷ. Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 37
  • 38. Các điểm yếu bảo mật của IEEE 802.11 Ngay từ ban đầu, hội đồng IEEE 802.11 đã sớm nhận ra rằng truyền nhận không dây có thể bị tấn công Thực thi một số biện pháp bảo mật mạng không dây trong bộ tiêu chuẩn Những lỗ hổng khác của mạng WLAN dành cho nhà cung cấp tự giải quyết Các biện pháp bảo vệ vẫn để lộ nhiều sơ hở dẫn tới nhiều vụ tấn công đã xảy ra Các điểm yếu bảo mật của IEEE 802.11 được giới thiệu: Lọc địa chỉ MAC Lan truyền SSID Quyền riêng tư tương đương có dây (WEP) (SV tự đọc) Ngay từ ban đầu, hội đồng IEEE 802.11 đã sớm nhận ra rằng truyền nhận không dây có thể bị tấn công Thực thi một số biện pháp bảo mật mạng không dây trong bộ tiêu chuẩn Những lỗ hổng khác của mạng WLAN dành cho nhà cung cấp tự giải quyết Các biện pháp bảo vệ vẫn để lộ nhiều sơ hở dẫn tới nhiều vụ tấn công đã xảy ra Các điểm yếu bảo mật của IEEE 802.11 được giới thiệu: Lọc địa chỉ MAC Lan truyền SSID Quyền riêng tư tương đương có dây (WEP) (SV tự đọc) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 38
  • 39. Lọc địa chỉ MAC (1/2) Phương pháp kiểm soát truy cập mạng WLAN Giới hạn truy cập của thiết bị tới điểm truy cập AP Lọc địa chỉ MAC Hầu hết các nhà cung cấp AP đều sử dụng lọc địa chỉ MAC Cho phép hoặc chặn thiết bị dựa trên địa chỉ MAC Những lỗ hổng bảo mật của phương pháp lọc địa chỉ MAC Các địa chỉ được trao đổi ở dạng chưa mã hóa Kẻ tấn công có thể nhìn thấy địa chỉ của một thiết bị hợp lệ và sử dụng địa chỉ đó để thay thế cho địa chỉ thiết bị của hắn Việc quản lý một số lượng lớn các địa chỉ thực sự là một thử thách Phương pháp kiểm soát truy cập mạng WLAN Giới hạn truy cập của thiết bị tới điểm truy cập AP Lọc địa chỉ MAC Hầu hết các nhà cung cấp AP đều sử dụng lọc địa chỉ MAC Cho phép hoặc chặn thiết bị dựa trên địa chỉ MAC Những lỗ hổng bảo mật của phương pháp lọc địa chỉ MAC Các địa chỉ được trao đổi ở dạng chưa mã hóa Kẻ tấn công có thể nhìn thấy địa chỉ của một thiết bị hợp lệ và sử dụng địa chỉ đó để thay thế cho địa chỉ thiết bị của hắn Việc quản lý một số lượng lớn các địa chỉ thực sự là một thử thách Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 39
  • 40. Lọc địa chỉ MAC (2/2) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 40
  • 41. Lan truyền SSID (1/2) Mỗi thiết bị phải được xác thực trước khi kết nối tới mạng WLAN Hệ thống xác thực mở Thiết bị phát hiện thấy mạng không dây và gửi một khung dữ liệu yêu cầu liên kết tới AP Khung dữ liệu chứa danh tính của tập dịch vụ (Service Set Identifier - SSID) Là tên của mạng do người dùng cung cấp Có thể là một chuỗi bất kỳ chứa chữ cái hoặc chữ số, có độ dài từ 2 – 32 ký tự AP so sánh giá trị SSID này với SSID thực sự của mạng Nếu hai giá trị này trùng khớp, thiết bị sẽ được xác thực Mỗi thiết bị phải được xác thực trước khi kết nối tới mạng WLAN Hệ thống xác thực mở Thiết bị phát hiện thấy mạng không dây và gửi một khung dữ liệu yêu cầu liên kết tới AP Khung dữ liệu chứa danh tính của tập dịch vụ (Service Set Identifier - SSID) Là tên của mạng do người dùng cung cấp Có thể là một chuỗi bất kỳ chứa chữ cái hoặc chữ số, có độ dài từ 2 – 32 ký tự AP so sánh giá trị SSID này với SSID thực sự của mạng Nếu hai giá trị này trùng khớp, thiết bị sẽ được xác thực Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 41
  • 42. Hệ thống xác thực mở Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 42
  • 43. Lan truyền SSID (2/2) Hệ thống xác thực mở là một cơ chế yếu Chỉ dựa trên đối chiếu các giá trị SSID Kẻ tấn công có thể đợi một SSID được AP quảng bá Người dùng có thể cấu hình AP để ngăn việc phát đi các khung beacon chứa SSID Chỉ đem lại mức độ bảo mật yếu Có thể bị phát hiện khi SSID được truyền trong các khung dữ liệu khác Các phiên bản Windows XP cũ có thêm một lỗ hổng nếu phương pháp xác thực mở được áp dụng Hệ thống xác thực mở là một cơ chế yếu Chỉ dựa trên đối chiếu các giá trị SSID Kẻ tấn công có thể đợi một SSID được AP quảng bá Người dùng có thể cấu hình AP để ngăn việc phát đi các khung beacon chứa SSID Chỉ đem lại mức độ bảo mật yếu Có thể bị phát hiện khi SSID được truyền trong các khung dữ liệu khác Các phiên bản Windows XP cũ có thêm một lỗ hổng nếu phương pháp xác thực mở được áp dụng Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 43
  • 44. Các giải pháp bảo mật mạng không dây Cần phải có một phương pháp thống nhất để bảo mật mạng WLAN IEEE và liên minh Wi-Fi đã bắt đầu xây dựng giải pháp bảo mật cho mạng không dây Kết quả là các tiêu chuẩn vẫn được sử dụng cho tới ngày nay IEEE 802.11i Các giải pháp bảo mật mạng không dây hiện dùng Truy cập Wi-Fi được bảo vệ (Wi-Fi Protected Access - WPA) Truy cập Wi-Fi được bảo vệ 2 (Wi-Fi Protected Access 2 – WPA2) Các bước bảo mật không dây khác (SV tự đọc) Cần phải có một phương pháp thống nhất để bảo mật mạng WLAN IEEE và liên minh Wi-Fi đã bắt đầu xây dựng giải pháp bảo mật cho mạng không dây Kết quả là các tiêu chuẩn vẫn được sử dụng cho tới ngày nay IEEE 802.11i Các giải pháp bảo mật mạng không dây hiện dùng Truy cập Wi-Fi được bảo vệ (Wi-Fi Protected Access - WPA) Truy cập Wi-Fi được bảo vệ 2 (Wi-Fi Protected Access 2 – WPA2) Các bước bảo mật không dây khác (SV tự đọc) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 44
  • 45. Truy cập Wi-Fi được bảo vệ (WPA) (1/3) Được liên minh Wi-fi giới thiệu vào năm 2003 Là một tập con của IEEE 802.11i Mục đích thiết kế: bảo vệ các thiết bị không dây hiện tại và trong tương lai Phương pháp mã hóa sử dụng Temporal Key Integrity Protocol (TKIP – giao thức toàn vẹn khóa tạm thời) Được sử dụng trong WPA Sử dụng khóa có độ dài lớn hơn 128 bit so với WEP Được sinh tự động cho mỗi gói tin mới Được liên minh Wi-fi giới thiệu vào năm 2003 Là một tập con của IEEE 802.11i Mục đích thiết kế: bảo vệ các thiết bị không dây hiện tại và trong tương lai Phương pháp mã hóa sử dụng Temporal Key Integrity Protocol (TKIP – giao thức toàn vẹn khóa tạm thời) Được sử dụng trong WPA Sử dụng khóa có độ dài lớn hơn 128 bit so với WEP Được sinh tự động cho mỗi gói tin mới Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 45
  • 46. Truy cập Wi-Fi được bảo vệ (WPA) (2/3) Xác thực sử dụng khóa chia sẻ trước (Preshared Key – PSK) Sau khi AP được cấu hình, thiết bị client phải có khóa giống với giá trị khóa được nhập Khóa được chia sẻ trước khi quá trình giao tiếp diễn ra Sử dụng một mật khẩu để sinh ra khóa mã hóa Mật khẩu phải được nhập trước vào từng AP và thiết bị không dây Mật khẩu không được sử dụng cho mã hóa Mật khẩu đóng vai trò như một xuất phát điểm cho việc tính toán để sinh ra các khóa mã hóa Xác thực sử dụng khóa chia sẻ trước (Preshared Key – PSK) Sau khi AP được cấu hình, thiết bị client phải có khóa giống với giá trị khóa được nhập Khóa được chia sẻ trước khi quá trình giao tiếp diễn ra Sử dụng một mật khẩu để sinh ra khóa mã hóa Mật khẩu phải được nhập trước vào từng AP và thiết bị không dây Mật khẩu không được sử dụng cho mã hóa Mật khẩu đóng vai trò như một xuất phát điểm cho việc tính toán để sinh ra các khóa mã hóa Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 46
  • 47. Truy cập Wi-Fi được bảo vệ (WPA) (3/3) Các lỗ hổng bảo mật trong WPA Quản lý khóa Việc chia sẻ khóa được thực hiện thủ công mà không có biện pháp đảm bảo an toàn Các khóa phải được thay đổi định kỳ thường xuyên Khóa phải được tiết lộ cho những người dùng khách Mật khẩu Các mật khẩu PSK ít hơn 20 ký tự là mục tiêu của hành vi bẻ khóa Các lỗ hổng bảo mật trong WPA Quản lý khóa Việc chia sẻ khóa được thực hiện thủ công mà không có biện pháp đảm bảo an toàn Các khóa phải được thay đổi định kỳ thường xuyên Khóa phải được tiết lộ cho những người dùng khách Mật khẩu Các mật khẩu PSK ít hơn 20 ký tự là mục tiêu của hành vi bẻ khóa Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 47
  • 48. Truy cập Wi-Fi được bảo vệ 2 (WPA2) (1/4)  Thế hệ thứ hai của WPA được gọi là WPA2 Được giới thiệu vào năm 2004 Dựa trên tiêu chuẩn IEEE 802.11i sau cùng Sử dụng tiêu chuẩn mã hóa nân cao (Advanced Encryption Standard - AES) Hỗ trợ cả xác thực PSK và IEEE 802.11x Phương pháp mã hóa AES-CCMP Chuẩn giao thức mã hóa dành choWPA2 CCM là thuật toán bảo mật dữ liệu Thành phần CBC-MAC của CCMP cung cấp sự thống nhất dữ liệu và xác thực  Thế hệ thứ hai của WPA được gọi là WPA2 Được giới thiệu vào năm 2004 Dựa trên tiêu chuẩn IEEE 802.11i sau cùng Sử dụng tiêu chuẩn mã hóa nân cao (Advanced Encryption Standard - AES) Hỗ trợ cả xác thực PSK và IEEE 802.11x Phương pháp mã hóa AES-CCMP Chuẩn giao thức mã hóa dành choWPA2 CCM là thuật toán bảo mật dữ liệu Thành phần CBC-MAC của CCMP cung cấp sự thống nhất dữ liệu và xác thực Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 48
  • 49. Truy cập Wi-Fi được bảo vệ 2 (WPA2) (2/4) Mã hóa và giải mã AES Nên được thực hiện trong phần cứng do khả năng tính toán mạnh Xác thực IEEE 802.1x Ban đầu được phát triển cho các mạng dùng dây Đem lại cấp độ bảo mật tốt hơn thông qua việc thực hiện bảo mật cổng Chặn tất cả các lưu lượng trên từng cổng cho tới khi client được xác thực thành công Mã hóa và giải mã AES Nên được thực hiện trong phần cứng do khả năng tính toán mạnh Xác thực IEEE 802.1x Ban đầu được phát triển cho các mạng dùng dây Đem lại cấp độ bảo mật tốt hơn thông qua việc thực hiện bảo mật cổng Chặn tất cả các lưu lượng trên từng cổng cho tới khi client được xác thực thành công Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 49
  • 50. Truy cập Wi-Fi được bảo vệ 2 (WPA2) (3/4) Giao thức xác thực mở rộng (Extensible Authentication Protocol - EAP) Nền tảng cho việc vận chuyển các giao thức xác thực Định nghĩa định dạng gói tin Sử dụng bốn kiểu gói tin Request (yêu cầu) Response (phản hồi) Success (thành công) Failure (thất bại) Giao thức xác thực mở rộng (Extensible Authentication Protocol - EAP) Nền tảng cho việc vận chuyển các giao thức xác thực Định nghĩa định dạng gói tin Sử dụng bốn kiểu gói tin Request (yêu cầu) Response (phản hồi) Success (thành công) Failure (thất bại) Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 50
  • 51. Truy cập Wi-Fi được bảo vệ 2 (WPA2) (4/4) EAP gọn nhẹ (LEAP) Là phương pháp độc quyền do Cisco System phát triển Yêu cầu xác thực qua lại được sử dụng cho mã hóa WLAN bằng phần mềm client của Cisco Có thể bị xuyên phá đối với một số kiểu tấn công Cisco đã khuyến cáo không nên sử dụng LEAP EAP được bảo vệ (PEAP) Đơn giản hóa việc triển khai 802.1x bằng cách sử dụng tài khoản và mật khẩu đăng nhập Windows Tạo ra một kênh mã hóa giữa client và máy chủ xác thực EAP gọn nhẹ (LEAP) Là phương pháp độc quyền do Cisco System phát triển Yêu cầu xác thực qua lại được sử dụng cho mã hóa WLAN bằng phần mềm client của Cisco Có thể bị xuyên phá đối với một số kiểu tấn công Cisco đã khuyến cáo không nên sử dụng LEAP EAP được bảo vệ (PEAP) Đơn giản hóa việc triển khai 802.1x bằng cách sử dụng tài khoản và mật khẩu đăng nhập Windows Tạo ra một kênh mã hóa giữa client và máy chủ xác thực Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 51
  • 52. Tổng kết (1/2) TCP/IP Giao thức thông dụng nhất cho mạng LAN và Internet Các giao thức truyền file FTP, FTPS, SFTP, SCP Cấu hình bộ định tuyến phải cung cấp một môi trường mạng bảo mật Tách mạng có thể làm tăng độ bảo mật Bảo mật cổng là một bước quan trọng trong quản lý mạng TCP/IP Giao thức thông dụng nhất cho mạng LAN và Internet Các giao thức truyền file FTP, FTPS, SFTP, SCP Cấu hình bộ định tuyến phải cung cấp một môi trường mạng bảo mật Tách mạng có thể làm tăng độ bảo mật Bảo mật cổng là một bước quan trọng trong quản lý mạng Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 52
  • 53. Tổng kết (2/2) Kẻ tấn công có thể xác định sự có mặt của một mạng không dây sử dụng kỹ thuật dẫn dắt chiến sự hoặc gieo mầm chiến tranh. Kẻ tấn công có thể tấn công vào mạng LAN không dây dùng điểm truy cập lừa đảo hoặc kẻ sinh đôi ma quỷ. Các điểm yếu bảo mật của 802.11 nằm ở Lọc địa chỉ MAC và Lan truyền SSID. Truy cập Wi-Fi được bảo vệ (WPA) và Truy cập Wi-Fi được bảo vệ 2 (WPA2) đã trở thành nền tảng bảo mật cho các mạng không dây ngày nay. Kẻ tấn công có thể xác định sự có mặt của một mạng không dây sử dụng kỹ thuật dẫn dắt chiến sự hoặc gieo mầm chiến tranh. Kẻ tấn công có thể tấn công vào mạng LAN không dây dùng điểm truy cập lừa đảo hoặc kẻ sinh đôi ma quỷ. Các điểm yếu bảo mật của 802.11 nằm ở Lọc địa chỉ MAC và Lan truyền SSID. Truy cập Wi-Fi được bảo vệ (WPA) và Truy cập Wi-Fi được bảo vệ 2 (WPA2) đã trở thành nền tảng bảo mật cho các mạng không dây ngày nay. Bài 5 - Quản trị một mạng an toàn và Bảo mật các mạng không dây 53