An toàn hệ thống và an ninh mạng - Chương 6: Các mô hình mạng an toàn

Nội dung text: An toàn hệ thống và an ninh mạng - Chương 6: Các mô hình mạng an toàn

1. Chương 6 CCáácc mômô hhììnhnh mmngng anan totoàànn • DMZ (vùng phi quân s ) • VLAN (mng LAN o) • NAT (d ch đa ch ) B môn MMT&TT 14/05/2010 1
2. MMcc tiêutiêu • Cung cấp cho người học một cái nhìn tổng quan về cách thức xây dựng các mô hình mạng an toàn. • Sau khi hoàn tất chương, sinh viên có những khả năng: ▫ Phân biệt được khái niệm về Intranet, Extranet và vùng DMZ. ▫ Trình bày mô hình mạng an toàn với vùng DMZ. ▫ Hiểu được khái niệm VLAN, ích lợi và kỹ thuật xây dựng mô hình mạng với VLAN. ▫ Trình bày được khái niệm NATPAT và ứng dụng của NATPAT trong việc xây dựng mô hình mạng an toàn. B môn MMT&TT 14/05/2010 2
3. MôMô hhììnhnh mmngng anan totoàànn • Khái niệm MôMô hìnhhình mm ngng anan toàntoàn baobao gg mm nhinhiuu vùngvùng vv tt lýlý vàvà lu lu nn lýlý vv ii nhinhiuu mmcc bb oo mm tt kháckhác nhau.nhau. B môn MMT&TT 14/05/2010 3
4. VVùùngng anan ninhninh • Khái niệm VùngVùng anan ninhninh (( securitysecurity zonezone )) làlà mmtt phph nn cc aa mm ngng đưđưcc đđnhnh VùngVùng anan ninhninh thth ưưngng nghngh ĩĩaa chungchung 11 mm cc anan ninh.ninh. đưđưcc chiachia rara làmlàm 33 lolo i:i: •• Intranet Intranet •• Extranet Extranet •• DMZ DMZ B môn MMT&TT 14/05/2010 4
5. VVùùngng anan ninhninh • Intranet IntranetIntranet •T•Tcc đđ caocao •• Là Là m mtt mm ngng dùngdùng riêngriêng •D•D dàngdàng truytruy xuxu tt cáccác tàitài nguyênnguyên •S•S ddngng cáccác giaogiao thth cc vàvà d dchch •S•S ddngng cáccác dd ngng mm ngng nhnh ưư:: vv thôngthông tintin tươngtương tt Internet.Internet. ++ EthernetEthernet •• Cung Cung cc pp cáccác dd chch vv nhưnhư ++ FastFast Ethernet,Ethernet, GigabitGigabit EthernetEthernet Web,Web, FTP,FTP, Email,Email, ++ TokenToken ringring ++ ATMATM B môn MMT&TT 14/05/2010 5
6. VVùùngng anan ninhninh • Extranet ExtranetExtranet •• Là Là m mtt IntranetIntranet cócó k ktt nn ii vv ii •• Yêu Yêu cc uu tínhtính riêngriêng tt ưư vàvà b boo mm tt mmngng dùngdùng ngoàingoài nhnh ưư cáccác kháchkhách •• Có Có th th dùngdùng PKIPKI hoho cc kk thuthu tt VPNVPN hàng,hàng, đđii tác,tác, nhànhà cung cung cc p,p, đđ thithitt llpp nn uu cc nn đđ anan toàntoàn cao.cao. •S•S ddngng đđ traotrao đđii thôngthông tin,tin, hhpp táctác hoho cc chiachia ss cáccác dd liliuu đđcc bibit.t. •• Có Có th th nnii kk tt đưđưcc vv ii Internet.Internet. B môn MMT&TT 14/05/2010 6
7. VVùùngng anan ninhninh • DMZ (Demilitarized Zone) DMZDMZ làlà 1 1 vùngvùng cc aa mm ngng đưđưcc thithitt kk đđcc bibit,t, chocho phépphép nhnh ngng ngng ưưii dùngdùng bênbên ngoàingoài truytruy xuxu tt vào.vào. TruyTruy cc pp vàovào vùngvùng DMZDMZ luônluôn đưđưcc đđiiuu khikhinn vàvà gi giii hh nn bb ii FirewallFirewall vàvà h h thth ngng Router.Router. NNuu vùngvùng DMZDMZ bb ttnn côngcông vàvà gây gây hhii thìthì v vnn khôngkhông nhnh hh ưưngng đđnn mmngng riêngriêng cc aa tt chch c.c. B môn MMT&TT 14/05/2010 7
8. VVùùngng anan ninhninh • DMZ Cách thiết kế PhânPhân ll pp DMZDMZ (Layered(Layered DMZ)DMZ) TTưưngng ll aa nhinhi uu giaogiao didi nn DMZDMZ •• ĐĐtt gigiaa 22 firewallfirewall cócó các các quyquy (Multiple(Multiple InterfaceInterface FirewallFirewall DMZ)DMZ) đđnhnh kháckhác nhau.nhau. •• Dùng Dùng thithitt bb FirewallFirewall mm nhnh cócó th th ququ nn •• Cho Cho phépphép bênbên ngoàingoài InternetInternet nn ii lýlý cáccác llưưuu thôngthông trêntrên nhinhiuu cc ngng kktt vào,vào, nhnh ưưngng chch nn khôngkhông chocho •• Hi Hinn nay,nay, mômô hìnhhình nàynày đưđưcc ss ddngng truytruy cc pp vàovào mm ngng cc cc bb bênbên nhinhiuu hh ơơn.n. trong.trong. B môn MMT&TT 14/05/2010 8
9. VVùùngng anan ninhninh • DMZ Cách thiết kế MMngng nn ii bb phph ii đưđưcc FirewallFirewall bb oo vv cc tt mmngng bênbên ngoàingoài (Internet)(Internet) vàvà c c tt vùngvùng DMZDMZ vìvì vùng vùng DMZDMZ cócó kh kh năngnăng bb ttnn côngcông vàvà khai khai thác.thác. PhPh ii giagia cc hh thth ngng DMZ,DMZ, chch ngng hh nn :: •G•G bb cáccác dd chch vv ítít ss ddngng •G•G bb cáccác thànhthành phph nn khôngkhông cc nn thithit.t. CácCác máymáy tínhtính trongtrong vùngvùng DMZ:DMZ: •• ĐưĐưcc gg ii làlà Bastion Bastion host.host. •• Có Có th th đưđưcc truytruy xuxu tt tt mmngng nn ii bb bênbên trongtrong vàvà c c mmngng bênbên ngoài.ngoài. B môn MMT&TT 14/05/2010 9
10. VVùùngng anan ninhninh • DMZ – Các dịch vụ bên trong vùng CácCác dd chch vv trongtrong vùngvùng DMZ:DMZ: MMtt ss hh thth ngng yêuyêu cc uu phph ii đđmm bb oo anan •• Web, Web, Email,Email, FTPFTP toàntoàn chocho vùngvùng DMZDMZ bb ngng cáchcách ss ddngng •• DNS DNS cáccác giaogiao thth cc bb oo mm tt nhnh ưư SSL,SSL, TLS.TLS. •• IDS IDS (h(h thth ngng phátphát hihinn xâmxâm nhnh p)p) B môn MMT&TT 14/05/2010 10
11. VVùùngng anan ninhninh • DMZ – Nhiều vùng trong vùng DMZ ĐĐcc thùthù yêu yêu c c uu c c aa t t ngng hhthth ngng kháckhác nhaunhau ⇒⇒ PhPh ii thithitt lâplâp nhinhiuu CácCác vv nn đđ:: vùngvùng anan ninhninh kháckhác nhaunhau •• Ph Ph cc tt pp khikhi càicài đđt,t, bb oo ⇒⇒ CácCác m m cc b b oo m m tt chocho vv vàvà qu qu nn trtr ttngng vùngvùng thithitt k k ccũũngng •• Các Các lulu tt trongtrong FirewallFirewall kháckhác nhau.nhau. phph ii llnn =>=> dd nhnh mm lln.n. GiGi ii pháp:pháp: •• Dùng Dùng chichinn thuthu tt ccmm tt tt cc (deny(deny all)all) •• Ch Ch chocho phépphép tt ngng dd chch vv riêngriêng bibitt cócó yêu yêu cc uu Mt h th ng E -Commerce hi n đi B môn MMT&TT 14/05/2010 11
12. VLANVLAN • Khái niệm •• Phân Phân mm ngng llnn thànhthành nhinhiuu mm ngng nhnh theotheo chch cc nn ăăng.ng. •• Dùng Dùng switchswitch cócó h h trtr tínhtính nn ăăngng VLANVLAN •• Mu Mu nn liênliên llcc gigiaa cáccác máymáy tínhtính trongtrong cáccác VLANVLAN kháckhác nhaunhau phph ii dùngdùng 11 router.router. VLANVLAN làlà 1 1 nhómnhóm lulu nn lýlý cáccác máymáy tính,tính, thithitt bb mmngng màmà khôngkhông bb gigiii hh nn vv trítrí đđaa lýlý hayhay kk tt nn ii vv tt lýlý gigiaa chúng.chúng. B môn MMT&TT 14/05/2010 12
13. VLANVLAN • Ích lợi •• NgănNgăn broadcastbroadcast llàmàm tt ăăngng hihiuu nn ăăngng mm ngng •• Ti Titt kikimm thithitt bb switchswitch •• Nâng Nâng caocao tínhtính bb oo mm tt trongtrong mm ng.ng. •D•D dàngdàng tritrinn khaikhai vàvà qu qu nn lýlý cáccác nhómnhóm làmlàm vivicc theotheo tt ngng VLAN.VLAN. B môn MMT&TT 14/05/2010 13
14. VLANVLAN • Trunk SS ddngng giaogiao thth cc ISLISL hoho cc 802.1Q802.1Q chocho đưđưngng trunktrunk (Trunk link) SwitchSwitch tt đđngng thêmthêm TagTag đđiiuu khikhinn đđ chch rõrõ FrameFrame thuthu cc VLANVLAN nàonào khikhi FrameFrame đđii vàovào đưđưngng trunk.trunk. B môn MMT&TT 14/05/2010 14
15. NATNAT (Network(Network AddressAddress Translation)Translation) • Khái niệm NATNAT cheche dd uu đđaa chch bênbên trongtrong mm ngng cc cc bb (đ(đaa chch private)private) khikhi giaogiao titipp vvii máymáy tínhtính mmngng InternetInternet (public)(public) MáyMáy tínhtính bênbên trongtrong m m ngng LANLAN cócó th th nnii k k tt trtr cc titipp v v ii máymáy tínhtính ngoài,ngoài, nhnh ưưngng máymáy tínhtính ngoàingoài khôngkhông “th“th y”y” đưđưcc máymáy tínhtính bênbên trongtrong LAN.LAN. DãyDãy đđaa chch dùngdùng riêngriêng chocho cáccác mm ngng cc cc bb B môn MMT&TT 14/05/2010 15
16. NATNAT • Static NAT NATNAT ánhánh xx 11 đđaa chch cccc bb (192.168.10.10)(192.168.10.10) sangsang 11 đđaa ThTh ưưngng dùngdùng chch thth cc (209.165.200.226)(209.165.200.226) chocho cáccác ServerServer B môn MMT&TT 14/05/2010 16
17. NATNAT • Dynamic NAT DynamicDynamic NATNAT tt đđngng ánhánh xx 11 đđaa Dùng khi có đưc nhi u chch priavtepriavte (192.168.10.10)(192.168.10.10) sangsang 11 Dùng khi có đưc nhi u đa ch th c ngoài. đđaa chch trongtrong dãydãy (pool)(pool) đđaa chch publicpublic đa ch th c ngoài. chocho trtr ưưcc (209.165.200.226(209.165.200.226 230) 230) B môn MMT&TT 14/05/2010 17
18. NATNAT • PAT (Port Address Translation) PATPAT còncòn gg ii làlà NATNAT OverloadOverload PATPAT ánhánh x x nhinhiuu đđaa chch cccc b b (192.168.10.11–(192.168.10.11– 192192 .168.10.12).168.10.12) sangsang 1 1 đđaa chch thth cc v v ii cáccác c c ngng kháckhác nhaunhau (209.165.200.226(209.165.200.226 c c ngng 14441444 vàvà 1445) 1445) ThíchThích hh pp chocho dd ngng mmngng cócó nhi nhiuu máymáy cc cc bb dùngdùng chungchung đưđưngng truytruy nn InternetInternet (nh(nh ưư ADSLADSL chch ngng hh n)n) B môn MMT&TT 14/05/2010 18