Post on 27-Dec-2015
Ph�m Minh Thu�n – Khoa An toàn thông tin
Ch��ng 4Chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 1
Chính sách an ninh t��ng l�a
2
3
1
Các nguy c� có th� x�y ��n �i vi t��ng l�a
Chi�n l��c an toàn cho h� thng m ng
Xây d�ng chính sách an ninh
t��ng l�a
Các nguy c� có th� x�y ��n �i vi t��ng l�a
Nguy c� t� bên ngoài1
Nguy c� t� bên trong2
Các nguy c� khác3
Ph�m Minh Thu�n – Khoa ATTT 3
� T�n công không ch� ��nh� Nh�ng k� bu�n chán vi công vic hàng ngày, mu�n gi�i trí b ng cách ��t nh�p vào các
h th�ng m�ng.� Các ��i t��ng lo�i này không ch� ��nh phá ho�i, nh�ng nh�ng hành vi xâm nh�p và vic
chúng xoá d�u v�t khi rút lui có th� vô tình làm cho h th�ng b� tr�c tr�c.
� K� phá ho�i� Chúng ch� ��nh phá ho�i h th�ng.� Gây ra nh�ng tác h�i ln cho h th�ng
� K� mu�n kh�ng ��nh b�n thân� Nh�ng k� mu�n kh�ng ��nh mình qua nh�ng ki�u t�n công mi, s� l��ng h th�ng chúng
�ã thâm nh�p...� Chúng thích ��t nh�p nh�ng n�i n�i ti�ng, canh phòng c�n m�t.
� Gián �ip� Truy nh�p �� �n c�p tài liu �� ph�c v� nh�ng m�c �ích khác nhau, �� mua bán, trao
��i...
Nguy c� t� bên ngoài
Ph�m Minh Thu�n – Khoa ATTT 4
�Nh�ng k� x�u trong công ty�Nh�ng k� x�u l�i d�ng �i�m y�u trong công ty ��
th�c hin hành vi xâm nh�p vào h th�ng m�ng và t�n công t� bên trong
�S� b�t c�n c�a nh�ng ng��i s� d�ng m�ng bên trong
Nguy c� t� bên trong
Ph�m Minh Thu�n – Khoa ATTT 5
�Virus và mã ��c h�i� Gây ra t�c ngh n b�ng thông m�ng, gi�m hiu su�t làm
vic� Thay ��i, xoá n�i dung d� liu� !ánh c�p d� liu, account� Làm h"ng hóc máy tính, thi�t b� m�ng� T�o ra các back door
�L# h�ng b�o m�t� Các l# h�ng trong b�o v v�t lý � Các l# h"ng trong ph$n m%m
Các nguy c� khác
Ph�m Minh Thu�n – Khoa ATTT 6
Chính sách an ninh t��ng l�a
2
3
1
Các nguy c� có th� x�y ��n �i vi t��ng l�a
Chi�n l��c an toàn cho h� thng m ng
Xây d�ng chính sách an ninh
t��ng l�a
Chi�n l��c an toàn cho h� thng m ng
��c quy�n t�i thi�u1
B�o v có chi�u sâu2
�i�m nút3
Mt xích y�u nh�t4
Ph�m Minh Thu�n – Khoa ATTT 8
Tham gia t ng th� & �a d�ng vic b�o v5
�!ây là nguyên t�c an ninh c�n b�n nh�t (b�t k& lo�i an ninh nào, không ch' an ninh máy tính và an ninh m�ng)
�Nguyên t�c: m(i ��i t��ng (ng��i dùng, ng��i qu�n tr�, ch��ng trình, h th�ng...) ch' nên có �� ��c quy%n �� ��i t��ng th�c hin nhim v� c�a chúng.
�H�n ch� l�i d�ng m) r�ng t�n công và h�n ch� tác h�i c�a t�n công
��c quy�n ti thi�u
Ph�m Minh Thu�n – Khoa ATTT 9
�Không nên s� d�ng m�t bin pháp duy nh�t (ngay c� khi �ó là bin pháp r�t m�nh)
�S� d�ng nhi%u bin pháp h# tr� nhau, khi m�t bin pháp b� v��t qua thì có bin pháp khác b�o v => toàn b� h th�ng b�o v khó b� s�p ��
B�o v� có chi�u sâu
Ph�m Minh Thu�n – Khoa ATTT 10
�Thi�t k� bu�c k� t�n công s� d�ng kênh h*p mà b�n có th� theo dõi và ki�m soát.
�T��ng l�a là m�t ví d� v% �i�m nút, m(i d� liu �i vào/�i ra �%u ph�i thông qua.
�i�m nút
Ph�m Minh Thu�n – Khoa ATTT 11
�!� an toàn c�a c� h th�ng an ninh b ng �� an toàn c�a m�t xích y�u nh�t
�Phát hin, t�p trung b�o v các �i�m y�u trong h th�ng.
�Ví d�: khi k�t n�i Internet, ng��i ta t�p trung b�o v d�ch v� Telnet mà ít quan tâm ti FTP. Trong khi hai d�ch v� này �%u có nh�ng �i�m y�u t��ng t� nhau.
M�t xích y�u nh�t
Ph�m Minh Thu�n – Khoa ATTT 12
�Xem xét t�ng th� t�t c� nh�ng ng��i trong m�ng �ó ph�i tham gia� Xét tr��ng h�p: h th�ng ���c b�o v b)i t��ng l�a,
nh�ng m�t ng��i trong m�ng t� thi�t l�p liên k�t cá nhân ra bên ngoài. Nh� v�y, hacker hoàn toàn có th� xâm nh�p vào m�ng thông qua liên k�t �ó.
�Không ch' b�o v nhi%u lp mà còn ph�i có nhi%u ph��ng pháp b�o v khác nhau� Ví d�: ki�n trúc t��ng l�a có hai h th�ng l(c gói tin,
chúng ta có th� nâng cao �a d�ng vic b�o v b ng cách s� d�ng h th�ng t� các nhà cung c�p khác nhau.
Tham gia t�ng th� & �a d ng vi�c b�o v�
Ph�m Minh Thu�n – Khoa ATTT 13
Chính sách an ninh t��ng l�a
2
3
1
Các nguy c� có th� x�y ��n �i vi t��ng l�a
Chi�n l��c an toàn cho h� thng m ng
Xây d�ng chính sách an ninh
t��ng l�a
�Thu�t ng� chính sách an ninh (security policy) mang nhi%u hàm ý:� Chính sách ���c vi�t ra mô t� m�t t� ch+c qu�n lý an ninh các
tài nguyên c�a h( nh� th� nào.� M�t khác, c�u hình trên th�c t� c�a m�t thi�t b� (ví d� nh� danh
sách �i%u khi�n truy c�p ACL)
�Chính sách an ninh t��ng l�a:� Chính sách an ninh thông tin xác ��nh nh�ng ��i t��ng an ninh
nào b�o v cho h th�ng (bao g�m c� t��ng l�a)� Chính sách l(c �$u vào, l(c �$u ra, truy c�p vic qu�n lý (chính
sách t��ng l�a hay t�p lu�t t��ng l�a) xác ��nh c�u hình th�c t� c�a thi�t b�
Xây d�ng chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 15
�Chính sách t��ng l�a “ch' ��o” t��ng l�a ph�i x� lý nh� th� nào ��i vi các lu�ng truy c�p +ng d�ng nh� web, email ho�c telnet.
�K�t qu� c�a vic �ánh giá, phân tích ) các ph$n trên s ��a ra ���c các thông tin sau: � Danh sách các +ng d�ng m�ng � Danh sách các �i�m y�u c�a +ng d�ng� Phân tích chi phí và l�i ích c�a ph��ng pháp b�o m�t +ng d�ng� B�ng ma tr�n g�m các +ng d�ng và ph��ng pháp b�o v
�Vic xây d�ng các lu�t t��ng l�a b�t bu�c ph�i d�a trên các thông tin ) trên.
Xây d�ng chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 16
� No.: S� th+ t� c�a lu�t� Name: Tên lu�t� Source Address: !�a ch' ngu�n c�a gói tin� Destination Address: !�a ch' �ích c�a gói tin� Source Port: C�ng ngu�n c�a gói tin� Destination Address: C�ng �ích c�a gói tin� Action: Hành ��ng th�c hin� Description: Mô t� rõ h�n v% lu�t
Xây d�ng chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 17
No. Name Source Address
Source Port
DestinationAddress
DestinationPort Action Description
3 Accept Weberver Any Any 10.10.10.10 80 Allow
Cho phép truy c�p vào máy
ch� Webserver
�Các tr��ng t�i thi�u trong lu�t t��ng l�a:
�Chính sách m�c ��nh ��i vi t��ng l�a là c$n ph�i ch�n t�t c� m(i gói tin và k�t n�i
Xây d�ng chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 18
No. Name Source Address
Source Port
DestinationAddress
DestinationPort Action Description
3 Accept Weberver Any Any 10.10.10.10 80 Allow
Cho phép truy c�p vào máy
ch� Webserver
… … … … … … … …
10 Cleanup Rule Any Any Any Any Deny
C�m t�t c� các truy c�p trái phép không phù h�p vi
b�t k& lu�t nào ) trên
�Các lu�t t��ng l�a ph�i luôn luôn ng�n c�m các ki�u k�t n�i nh� sau:� Truy c�p t� h th�ng ngu�n không xác th�c vi ��a ch'
�ích là chính ��a ch' c�a t��ng l�a.
Xây d�ng chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 19
No. Name Source Address
Source Port
DestinationAddress
DestinationPort Action Description
1 Stealth Rule Any Any 192.168.1.1 Any Deny
C�m t�t c� các truy c�p trái
phép vào t��ng l�a
�Các lu�t t��ng l�a ph�i luôn luôn ng�n c�m các ki�u k�t n�i nh� sau:� Truy c�p t� bên ngoài vi ��a ch' ngu�n c� th� hin là gói
tin b�t ngu�n t� m�t m�ng phía sau t��ng l�a -> Hình th+c gi� m�o (spoofing)
� Các truy c�p t� bên ngoài s� d�ng giao th+c ICMP � Các truy c�p t� bên ngoài vi ��a ch' ngu�n n m trong d�i
��a ch' dành riêng -> T�n công t� ch�i d�ch v� DoS• 10.0.0.0 to 10.255.255.255 (LpA) • 172.16.0.0 to 172.31.255.255 (Lp B) • 192.168.0.0 to 192.168.255.255 (Lp C)
Xây d�ng chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 20
�Các lu�t t��ng l�a ph�i luôn luôn ng�n c�m các ki�u k�t n�i nh� sau:� Truy c�p vào m�ng bên trong t� h th�ng ngu�n không xác
th�c s� d�ng SNMP -> K� xâm nh�p �ang dò quét m�ng� Truy c�p ch+a thông tin IP Source Routing -> Bypass
Firewall� Truy c�p m�ng ch+a ��a ch' ngu�n ho�c �ích là 127.0.0.1 -
> T�n công lên chính h th�ng t��ng l�a� Truy c�p có ch+a ��a ch' h�ng qu�ng bá (directed
broadcast) -> T�n công phát tán qu�ng bá: SMURF
Xây d�ng chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 21
� Xây d�ng b�ng t�p lu�t th�c hin các yêu c$u:� C�m t�t c� các truy c�p trái phép vào t��ng l�a� T�t c� các truy c�p t� m�ng bên trong ���c phép �i ra t�t c� các �ích bên ngoài � Các email t� bên ngoài g�i vào qua giao th+c SMTP ���c chuy�n ��n SMTP
Server sau �ó ���c chuy�n ti�p vào bên trong.� Nh�ng ng��i dùng bên ngoài ch' có th� truy c�p vào HTTP Server thông qua giao
th+c HTTP, HTTPS.� Các k�t n�i t� bên ngoài t� h th�ng t� xa ���c phép ti c�ng VPN, và ���c
chuy�n ti�p vào h th�ng bên trong� T�t c� các k�t n�i khác �%u b� ng�n c�m
Xây d�ng chính sách an ninh t��ng l�a
Ph�m Minh Thu�n – Khoa ATTT 22
Ví d�:�Cho mô hình m�ng nh� sau: