Đang tải... (xem toàn văn)
Bài giảng An ninh mạng: Bài 4 cung cấp cho người học những kiến thức như: Giao tiếp mạng khác qua Firewall; Chứng thực người dùng qua Firewall; Các phương thức chứng thực của FW; Cấu hình chứng thực trong ISA Firewall; Triển khai Firewall Client bằng WPAD. Mời các bạn cùng tham khảo!
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN NINH MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Giảng viên: ThS Phạm Đình Tài Tel: 0985.73.39.39 Email: pdtai@ntt.edu.vn Môn học: AN NINH MẠNG Bài Các kỹ thuật công mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài Bảo mật truy cập từ xa -2- Bài 4: Chứng thực Firewall Giao tiếp mạng khác qua Firewall Chứng thực người dùng qua Firewall Các phương thức chứng thực FW Cấu hình chứng thực ISA Firewall Triển khai Firewall Client WPAD Giao tiếp mạng khác qua Firewall • Tính mặc định Firewall: • Firewall Router, bao gồm ROUTE NAT • Firewall Proxy Server • Các phương thức truy cập mạng khác qua Firewall từ Client mạng nội bộ: • SecureNAT: • Web Proxy: • Firewall Client: Giao tiếp mạng khác qua Firewall • SecureNAT Client: • Các máy Clients khai báo Default Gateway IP address Firewall • Clients xem Firewall Router hỗ trợ NAT • Ưu điểm / nhược điểm SecureNAT: • Tất ứng dụng mạng Client giao tiếp internet • Firewall thực thi chế bảo mật kiểu Packet Filter • Firewall khơng có khả chứng thực người dùng mạng Giao tiếp mạng khác qua Firewall • Web Proxy Client: • Các máy Clients khai báo Web Proxy IP address Firewall • Client gởi yêu cầu truy cập dịch vụ mạng ngồi tới Proxy Server • Proxy Server (Firewall) thay mặt Client giao tiếp với server dịch vụ bên ngồi internet • Ưu / nhược điểm Web Proxy: • Những ứng dụng khơng hỗ trợ giao tiếp mạng qua Web Proxy Server (HTTP) khơng dùng hình thức • Firewall có khả chứng thực người dùng mạng • Firewall che dấu Clients Giao tiếp mạng khác qua Firewall • Firewall Client: • Một phần mềm Firewall dành cho Client cài đặt lên máy tính nội • IP address (tên máy) Firewall khai báo cho phần mềm • Khai báo tay (manually) • Khai báo tự động (automatically) (*) • Firewall Client tự động tạo giao tiếp Client Firewall cho hầu hết ứng dụng / dịch vụ • Tương tự Web Proxy, máy tính dùng Firewall Client, khơng cần khai báo Default Gateway / DNS Server) Ghi chú: (*) - WPAD (Web Proxy Auto Discovery) phương thức triến khai tự động thông số Firewall cho phần mềm Firewall Client - WPAD thực dịch vụ DHCP DNS Chứng thực Firewall • Đối với SecureNAT Clients : • Firewall đóng vai trị Router kiểu NAT • Firewall khơng thể nhận biết thông tin người dùng (user) => tất người dùng SecureNAT Client Firewall xem All Users • Đối với Web Proxy Clients hay Firewall Clients: • Firewall đóng vai trị Proxy Server • Firewall có quyền u cầu người dùng cung cấp thơng tin tài khoản (user name / password) • Những người dùng cung cấp thông tin tài khoản hợp lệ ISA xem All Authenticated Users -8- Phương thức chứng thực Firewall • Integrated Authentication: • Chứng thực tài khoản máy Firewall • Thơng tin tài khoản mã hóa hàm băm NT Hash • Basic Authentication: • Tương tự Integrated, khơng sử dụng mã hóa thơng tin user / password truyền mạng • Digest Authentication: • Chứng thực tài khoản Active Directory (tài khoản Domain) • Thơng tin tài khoản mã hóa hàm băm NTLM Hash • Yêu cầu Firewall phải thành viên (đã join) Domain -9- Phương thức chứng thực Firewall • RADIUS Authentication: • Chứng thực tài khoản máy RADIUS Server • RADIUS Server thơng dụng Domain Controller • Phương thức mã hóa teo tiêu chuẩn RADIUS Server • SSL Certificate Authentication: • Chứng thực dựa “Chứng bảo mật” • Firewall cài đặt SSL Certificate cung cấp Certificate Authority Server (CA Server) • Khi Client gởi yêu cầu kết nối: FW cung cấp Certificate cho Client • Client xác minh Certificate với CA Server Nếu xác minh đúng, Client mã hóa user/password Cert FW - 10 - Cấu hình chứng thực ISA Server • Các bước cấu hình chứng thực ISA Server: • Thiết lập Access Rule (luật truy cập) cho “All Authenticated Users” thay “All Users” • Lựa chọn phương thức chứng thực (Authentication Methods) • Tạo tài khoản (Local Users) dùng cho phương thức Integrated Basic Authentication • Tại máy Clients nội bộ: • Khai báo Proxy Server: Port: 8080 • Hoặc: cài đặt ISA Firewall Client khai báo tương tự • Lưu ý: Clients khai báo IP address hay tên máy ISA tùy thuộc ISA quy định - 11 - Cấu hình WPAD • WPAD (Web Proxy Auto Discovery) • WPAD phương thức triến khai tự động thông số khai báo cho phần mềm Firewall Client cho tất máy tính mạng • WPAD thực dịch vụ DHCP DNS • Triển khai DHCP Service: • WPAD Option dịch vụ DHCP (mã: 252) • Name: WPAD • Data Type: String • Code: 252 • Value String: http://IP_address_of_ISA_Server:8080/wpad.dat • Thêm Option “WPAD” cho Scope cấp thông số IP cho mạng • Các máy Client nhận thông số WPAD “xin” thông số IP tự động (Dynamic IP) - 12 - Thảo Luận Cấu trúc MT – ThS Vương Xuân Chí Trang 13 ... học: AN NINH MẠNG Bài Các kỹ thuật cơng mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài. .. Authentication: • Chứng thực tài khoản Active Directory (tài khoản Domain) • Thơng tin tài khoản mã hóa hàm băm NTLM Hash • Yêu cầu Firewall phải thành viên (đã join) Domain -9 - Phương thức chứng thực... cầu người dùng cung cấp thông tin tài khoản (user name / password) • Những người dùng cung cấp thông tin tài khoản hợp lệ ISA xem All Authenticated Users -8 - Phương thức chứng thực Firewall •