Download miễn phí Đề tài Xây dựng giải pháp an ninh mạng cho các doanh nghiệp vừa và nhỏ dựa trên phần mềm mã nguồn mở
MỤC LỤC
CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG
I.1 An toàn – an ninh mạng là gi ?. 3
I.2 Các đặc trưng kỹ thuật của an toàn- an ninh mạng 4
I.3 Đánh giá về sự đe doạ, các điểm yếu hệ thống và các kiểu tấn công . 6
I.3.1 Đánh giá về sự đe doạ .6
I.3.2 Các lỗ hỏng và điểm yếu của hệ thống 6
I.3.3 Các kiểu tấn công .7
I.3.4 Các biện pháp phát hiện hệ thống bị tấn công .9
I.4 Một số công cụ an ninh-an toàn mạng 12
I.5 Một số giải pháp dùng cho doanh nghiệp vừa và nhỏ .14
CHƯƠNG II : GIẢI PHÁP AN TOÀN- AN NINH MẠNG 17
II.1 Thực hiện an ninh mạng với tường lửa 17
II.1.1 Khái niệm Firewall .17
II.1.2 Chức năng .18
II.1.3 Cấu trúc .19
II.1.4 Các thành phần của Firewall và cơ chế hoạt động .19
1. Thành phần 19
2. Cơ chế hoạt động .19
II.1.5 Các loại Firewall .24
II.1.6 Kỹ thuật Firewall 24
II.1.7 Những hạn chế của Firewall 25
II.1.8 Một số mô hình Firewall .26
1. Packet-Filtering Ruoter .26
2. Screened Host Firewall . .27
3. Demilitarized Zone hay Screened-subnet Firewall . . .29
4. Proxy server 30
II.2 Mạng riêng ảo – VPN .32
II.2.1 Giới thiệu về VPN 32
1. Khái niệm VPN .32
2. Ưu điểm của VPN .33
II.2.2 Kiến trúc của VPN .33
II.2.3 Các loại VPN 34
II.2.4 Các yêu cầu cơ bản đối với một giải pháp VPN .40
CHƯƠNG III : MỘT SỐ CÔNG CỤ AN NINH MẠNG MÃ NGUỒN MỞ .42
III.1 Giới thiệu .42
III.2 Netfilter và Iptable .43
1. Giới thiệu 43
2. Cấu trúc của Iptable .43
3. Quá trình chuyển gói dữ liệu qua tường lửa .43
4. Targets và Jump .44
5. Thực hiện lệnh trong Iptable .45
III.3 OpenVPN .47
III.4 Webmin .49
http://s1.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-01-07-de_tai_xay_dung_giai_phap_an_ninh_mang_cho_cac_doa.BD9QX1wQrH.swf /tai-lieu/de-tai-ung-dung-tren-liketly-54118/Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
m tra sự xuất hiện của các tập tin lạ. Người quản trị hệ thống nên có thói quen đặt tên tập theo mẫu nhất định để dễ dàng phát hiện tập tin lạ.
Kiểm tra thời gian thay đổi trên hệ thống.
Kiểm tra hiệu năng của hệ thống : Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống.
Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp.
Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát được.
Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần thiết.
Kiểm tra các phiên bản của sendmaill, /bin/mail, ftp,.. tham gia các nhóm tin về bảo mật để có thông tin về lỗ hỏng của dịch vụ sử dụng.
Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống.
Một số công cụ an ninh –an toàn mạng
Thực hiện an ninh – an toàn từ cổng truy nhập dùng tường lửa
Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sách đồng ý hay từ chối dịch vụ và lưu lượng đi vào hay đi ra khỏi mạng. Tường lửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng là người như họ đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng.
Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thời tường lửa còn có thể hạn chế lưu lượng và điều khiển lưu lượng chỉ cho phép chúng đến những nơi chúng được phép đến.
Chúng ta sẽ đi tìm hiểu kỹ hơn về phần này trong các chương sau.
Mã mật thông tin
Mật mã (Cryptography) là quá trình chuyển đổi thông tin gốc sang dạng mã hoá. Có hai cách tiếp cận để bảo vệ thông tin bằng mật mã : theo đường truyền và từ mút-đến-mút (End-to-End).
Trong cách thứ nhất, thông tin được mã hoá để bảo vệ trên đường truyền giữa hai nút không quan tâm đến nguồn và đích của thông tin đó. Ưu điểm của cách này là có thể bí mật được luồng thông tin giữa nguồn và đích và có thể ngăn chặn được toàn bộ các vi phạm nhằm phân tích thông tin trên mạng. Nhược điểm là vì thông tin chỉ được mã hoá trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt.
Ngược lại, trong cách thứ hai, thông tin được bảo vệ trên toàn đường đi từ nguồn tới đích. Thông tin được mã hoá ngay khi mới được tạo ra và chỉ được giải mã khi đến đích. Ưu điểm của tiếp cận này là người sử dụng có thể dùng nó mà không ảnh hưởng gì tới người sử dụng khác. Nhược điểm của phương pháp này là chỉ có dữ liệu người sử dụng được mã hoá, còn thông tin điều khiển phải giữ nguyên để có thể xử lý tại các nút.
Giải thuật DES mã hoá các khối 64bits của văn bản gốc thành 64 bits văn bản mật bằng một khoá. Khoá gồm 64 bits trong đó 56 bits được dùng mã hoá và 8 bits còn lại được dùng để kiểm soát lỗi. Một khối dữ liệu cần mã hoá sẽ phải trải qua 3 quá trình xử lý : Hoán vị khởi đầu, tính toán phụ thuộc khoá và hoán vị đảo ngược hoán vị khởi đầu.
Hình 1.1 : Mô hình mật mã đối xứng
Phương pháp sử dụng khoá công khai : Các phương pháp mật mã chỉ dùng một khoá cho cả mã hoá lẫn giải mã, đòi hỏi người gửi và người nhận phải biết khoá và giữ bí mật. Tồn tại chính của các phương pháp này là làm thế nào để phân phối khoá một cách an toàn, đặc biệt trong môi trường nhiều người sử dụng. Để khắc phục, người ta thường sử dụng phương pháp mã hoá 2 khoá, một khoá công khai để mã hoá và một mã bí mật để giải mã. Mặc dù hai khoá này thực hiện các thao tác ngược nhau nhưng không thể suy ra khoá bí mật từ khoá công khai và ngược lại nhờ các hàm toán học đặc biệt gọi là các hàm sập bẫy một chiều. Đặc điểm các hàm này là phải biết được cách xây dựng hàm thì mới có thể suy ra được nghịch đảo của nó.
Giải thuật RSA dựa trên nhận xét sau : phân tích ra thừa số nguyên tố của tích 2 số nguyên tố rất lớn cựu kỳ khó khăn. Vì vậy, tích của hai số nguyên tố có thể công khai còn hai số nguyên tố lớn có thể dùng để tạo khoá giải mã mà không sợ bị mất an toàn. Trong giải thuật RSA mỗi trạm lựa chọn ngẫu nhiên 2 số nguyên tố lớn p, q và nhân chúng với nhau để có tích n=p.q (p,q được giữu bí mật).
Hình 1.2 : Mô hình mật mã không đối xứng
Một số giải pháp dùng cho doanh nghiệp vừa và nhỏ
Với các doanh nghiệp nhỏ việc trang bị một mạng tác nghiệp vừa phải đảm bảo an ninh an toàn, vừa phải phù hợp chi phí, và dễ triển khai và bảo trì là điều rất cần thiết. Ở đây chúng ta đưa ra giải pháp dùng một thiết bị PC đa chức năng làm tường lửa để bảo vệ vành đai, chạy IDS để thông báo tấn công, chạy NAT để che cấu trúc logic của mạng, chạy VPN để hỗ trợ kết nối xa bảo mật với các cấu hình cơ bản sau:
Intel x86 based hardware: CPU 1GHz, SDRAM 512MB, HDD/Flash 1GB
Ethernet 10/100Mbps: 1xLAN, 2xWAN, 1xDMZ
Firewall: Policy based, NAT/NATPT, SPI
Kết nối mạng: PPPoE, Static Route, RIPv2
Cân bằng tải: Policy-based routing, Round-Robin
VPN: 1000 tunnels, PPTP/IPSec, DES/3DES/AES, SHA-1/MD5, Client-to-Site/Site-to-Site
Quản lý băng thông: Policy-based
Network servers: DDNS, DHCP, SIP Proxy
Quản trị/cấu hình hệ thống: Web-GUI (Tiếng Việt/Anh), SNMP, Telnet/Console.
Hình 1.3: Sơ đồ mạng cho doanh nghiệp cỡ nhỏ
Với các doanh nghiệp vừa thì sơ đồ trên phù hợp cho các chi nhánh của họ. Còn tại trung tâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như:
Hình 1.4: Sơ đồ mạng cho doanh nghiệp cỡ vừa
CHƯƠNG II : GIẢI PHÁP AN TOÀN- AN NINH MẠNG
Thực hiện an ninh mạng với tường lửa
Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng.
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một số địa chỉ nhất định trên Internet.
Hình 2.1: Mô hình tường lửa đơn giản
Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.
Firewall có thể là hệ thống phần cứng, phần mềm hay kết hợp cả hai.
Firewall cứng : Là những firewall được tích hợp trên Router.
Đặc điểm của Firewall cứng:
Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)
Firewal...
