KUNGFU TECH

0
0
Lập trình
NM
Nguyen Minhtamdehmivor

Hướng Dẫn Bảo Mật Thiết Bị Mạng CompTIA Network+ N10-009

Đăng vào 2 tuần trước

• 11 phút đọc

Chủ đề:

#beginners#cybersecurity#networking#comptia

Hướng Dẫn Bảo Mật Thiết Bị và Mạng theo CompTIA Network+ N10-009 4.3

Hướng dẫn này tổng hợp các khái niệm quan trọng từ miền 4.3 của CompTIA Network+, tập trung vào việc bảo mật các thiết bị mạng và triển khai các quy tắc bảo mật mạnh mẽ. Bằng cách nắm vững các nguyên tắc này, bạn sẽ được chuẩn bị tốt để bảo vệ mạng khỏi sự truy cập trái phép và các hoạt động độc hại.

Mục Lục

  1. Khái Niệm Cốt Lõi về Bảo Mật Thiết Bị
  2. Quy Tắc Bảo Mật và Chính Sách Mạng
  3. Thực Hành Tốt Nhất
  4. Cạm Bẫy Thường Gặp
  5. Mẹo Tối Ưu Hiệu Suất
  6. Khắc Phục Sự Cố

Khái Niệm Cốt Lõi về Bảo Mật Thiết Bị

Bảo mật các thiết bị riêng lẻ trên một mạng - từ máy chủ đến switch - là hàng rào phòng thủ đầu tiên. Hiểu cách để bảo vệ các thành phần này là điều cơ bản để xây dựng một tư thế bảo mật toàn diện.

Quản Lý và Bảo Mật Cổng

Mỗi dịch vụ trên mạng chạy trên một máy tính sử dụng một "cổng" được đánh số để giao tiếp. Những cổng này, nằm trong khoảng từ 0 đến 65,535, hoạt động như là điểm vào của hệ thống.

  • Rủi Ro: Một cổng mở là một lỗ hổng tiềm ẩn. Nếu một dịch vụ không được sử dụng một cách chủ động và có chủ ý, cổng mà nó sử dụng nên được đóng lại để ngăn chặn truy cập trái phép.
  • Kiểm Soát Truy Cập: Tường lửa (firewall) là công cụ chính để kiểm soát thiết bị nào có thể kết nối với các cổng mở của bạn. Bạn có thể tạo các quy tắc để cho phép truy cập chỉ từ các phần tin cậy của mạng hoặc mở rộng hơn nếu cần thiết.
  • Khám Phá: Thường thì, các dịch vụ chạy ngầm mà không có sự biết đến trực tiếp của người dùng, để lại các cổng mở một cách bất ngờ. Các công cụ như Nmap có thể được sử dụng để quét hệ thống và xác định tất cả các số cổng mở, cho phép quản trị viên quyết định xem có nên tắt dịch vụ liên quan và đóng cổng hay không.

Phân Tích Thế Giới Thực: Hãy tưởng tượng các cổng của máy tính giống như cửa ra vào và cửa sổ của một ngôi nhà. Mỗi cái đều cung cấp một cách để vào nhà. Nếu bạn không sử dụng một cửa cụ thể, bạn nên giữ nó khóa. Tường lửa giống như một bảo vệ kiểm tra giấy tờ tại cổng chính, chỉ cho phép những khách mời được phê duyệt tiếp cận ngôi nhà.

Quản Lý Tài Khoản và Truy Cập

Cài đặt mặc định trên phần cứng mạng là một rủi ro bảo mật lớn cần được giải quyết ngay lập tức sau khi cài đặt.

  • Thông Tin Đăng Nhập Mặc Định: Các thiết bị mạng như switch, router và tường lửa thường được cung cấp với các tên người dùng và mật khẩu mặc định, công khai (ví dụ: "admin"/"password"). Để nguyên các mặc định này giống như để chìa khóa của bạn dưới thảm.
  • Mối Đe Dọa: Kẻ tấn công có thể sử dụng các thông tin đăng nhập mặc định này để có toàn quyền quản trị trên một thiết bị. Các cơ sở dữ liệu như routerpasswords.com tổng hợp các thông tin đăng nhập mặc định này, khiến việc tìm kiếm trở nên đơn giản đến mức đáng ngạc nhiên cho một kẻ xâm nhập.
  • Thực Hành Tốt Nhất: Bước đầu tiên sau khi cài đặt bất kỳ thiết bị mạng mới nào là thay đổi thông tin đăng nhập mặc định. Nhiều thiết bị hiện đại giờ đây yêu cầu thay đổi này ngay khi đăng nhập lần đầu.

Bảo Mật Switch

Các switch là mục tiêu chính cho các cuộc tấn công mạng nội bộ. May mắn thay, chúng có các tính năng tích hợp để giảm thiểu những rủi ro này.

Bảo Mật Cổng Switch

Tính năng này ngăn chặn một người dùng không được phép đơn giản là rút phích cắm thiết bị đã được phê duyệt và kết nối thiết bị của họ để có được quyền truy cập vào mạng.

  • Cách Hoạt Động: Bảo mật cổng hoạt động bằng cách theo dõi Địa Chỉ MAC (MAC address) của các thiết bị kết nối với mỗi giao diện switch vật lý. Địa chỉ MAC là một định danh phần cứng duy nhất cho một bộ điều hợp mạng.
  • Cấu Hình: Một quản trị viên có thể cấu hình bảo mật cổng bằng cách:
    1. Chỉ định số lượng tối đa địa chỉ MAC được phép trên một giao diện.
    2. Định nghĩa rõ ràng các địa chỉ MAC cụ thể được phép kết nối.
  • Phản Ứng Vi Phạm: Nếu switch phát hiện một địa chỉ MAC mới, không mong đợi trên một cổng được bảo mật, nó sẽ kích hoạt giao thức bảo mật của mình. Hành động mặc định thường là vô hiệu hóa giao diện ngay lập tức và gửi thông báo đến quản trị viên mạng.

Phân Tích Thế Giới Thực: Bảo mật cổng switch giống như có các chỗ đậu xe được chỉ định trong một bãi đậu xe an toàn. Mỗi chỗ được dành cho một chiếc xe có biển số cụ thể (địa chỉ MAC). Nếu một chiếc xe khác cố gắng đậu ở chỗ đó, bảo vệ sẽ được báo động và lối vào chỗ đó sẽ bị chặn lại.

Vô Hiệu Hóa Các Giao Diện Không Sử Dụng

Bất kỳ cổng mạng hoạt động nào cũng là một điểm vào tiềm ẩn. Một biện pháp bảo mật đơn giản nhưng hiệu quả là vô hiệu hóa hành chính bất kỳ cổng switch vật lý nào không được sử dụng. Điều này đặc biệt quan trọng đối với các cổng có thể truy cập công khai, chẳng hạn như trong các phòng họp hoặc phòng nghỉ. Mặc dù điều này yêu cầu nhiều nỗ lực quản lý hơn để bật và tắt các cổng khi cần thiết, nó nâng cao đáng kể bảo mật mạng.

Kiểm Soát Truy Cập Mạng (NAC)

Để đạt được mức độ bảo mật cao hơn, các tổ chức có thể triển khai Kiểm Soát Truy Cập Mạng (NAC), thường sử dụng tiêu chuẩn 802.1x. NAC yêu cầu người dùng xác thực trước khi thiết bị của họ được cấp quyền truy cập vào mạng. Khi một thiết bị kết nối (có dây hoặc không dây), nó yêu cầu thông tin đăng nhập. Chỉ sau khi xác thực thành công, thiết bị mới được phép giao tiếp.

Lọc Địa Chỉ MAC

Kỹ thuật này liên quan đến việc tạo ra một danh sách các địa chỉ MAC được phê duyệt để kiểm soát các thiết bị vật lý nào được phép trên mạng.

  • Giới Hạn: Lọc MAC được coi là bảo mật qua sự mập mờ. Mặc dù nó có thể ngăn chặn những kẻ xâm nhập bình thường, một kẻ tấn công tinh vi có thể dễ dàng vượt qua nó. Địa chỉ MAC trên một bộ điều hợp mạng có thể được thay đổi trong phần mềm ("spoofed"). Một kẻ tấn công có thể lắng nghe lưu lượng mạng, xác định một địa chỉ MAC được ủy quyền, và sau đó thay đổi địa chỉ MAC của thiết bị của họ để khớp với nó, vượt qua bộ lọc.

Quản Lý Khóa Tập Trung

Môi trường CNTT hiện đại phụ thuộc vào một số lượng lớn thông tin xác thực bảo mật, bao gồm chứng chỉ, khóa mã hóa và khóa SSH. Một hệ thống quản lý khóa cung cấp một bảng điều khiển tập trung để quản lý cơ sở hạ tầng quan trọng này.

  • Chức Năng Chính:
    • Tạo & Liên Kết: Tạo khóa cho các dịch vụ, nhà cung cấp đám mây, người dùng hoặc ứng dụng cụ thể.
    • Quản Lý Vòng Đời: Theo dõi ngày hết hạn của khóa, gia hạn khóa trước khi chúng hết hạn và thu hồi các khóa bị xâm phạm.
    • Giám Sát & Báo Cáo: Giám sát việc sử dụng khóa để xem ai đang truy cập hệ thống và tạo báo cáo về hoạt động của khóa.
  • Lợi Ích: Cách tiếp cận tập trung này đơn giản hóa quản lý chứng chỉ SSL cho máy chủ web và khóa SSH cho quyền truy cập máy chủ, cung cấp một điểm kiểm soát và hiển thị cho tất cả các khóa mã hóa.

Quy Tắc Bảo Mật và Chính Sách Mạng

Trong khi việc bảo vệ thiết bị là rất quan trọng, việc kiểm soát lưu lượng truy cập qua mạng cũng quan trọng không kém. Điều này được thực hiện thông qua các chính sách và bộ quy tắc.

Danh Sách Kiểm Soát Truy Cập (ACL)

Một Danh Sách Kiểm Soát Truy Cập (ACL) là một tập hợp các quy tắc được các bộ định tuyến và tường lửa sử dụng để cho phép hoặc từ chối lưu lượng truy cập. ACL có thể đưa ra quyết định dựa trên sự kết hợp của các tiêu chí:

  • Địa chỉ IP nguồn và đích
  • Số cổng nguồn và đích
  • Thời gian trong ngày
  • Ứng dụng cụ thể

Quy Tắc Tường Lửa

Tường lửa sử dụng một tập hợp phức tạp các ACL, thường được gọi là chính sách bảo mật hoặc bộ quy tắc, để quản lý lưu lượng truy cập.

  • Thứ Tự Xử Lý: Quy tắc tường lửa được xử lý từ trên xuống dưới. Tường lửa kiểm tra lưu lượng đến với quy tắc đầu tiên, sau đó là quy tắc thứ hai, và cứ thế cho đến khi tìm thấy một quy tắc phù hợp.
  • Độ Cụ Thể của Quy Tắc: Thực hành tốt nhất quy định rằng các quy tắc cụ thể hơn nên được đặt ở đầu danh sách, trong khi các quy tắc tổng quát hơn được đặt dưới. Điều này đảm bảo rằng lưu lượng mục tiêu được xử lý chính xác trước khi một quy tắc rộng hơn có thể phân loại sai nó.
  • Mặc Định Từ Chối: Một nguyên tắc cơ bản trong bảo mật tường lửa là mặc định từ chối. Nếu lưu lượng đi qua toàn bộ bộ quy tắc và không khớp với bất kỳ quy tắc nào cho phép nó một cách rõ ràng, tường lửa sẽ tự động chặn lưu lượng đó. Không cần phải có một quy tắc "từ chối tất cả" cụ thể ở cuối; đó là hành vi mặc định.

Phân Tích Bộ Quy Tắc Tường Lửa Ví Dụ

Lọc Nội Dung và URL

Ngoài địa chỉ IP và cổng, các chính sách bảo mật hiện đại có thể kiểm tra nội dung thực tế của dữ liệu.

  • Lọc URL: Điều này cho phép quản trị viên chặn hoặc cho phép truy cập vào các trang web cụ thể (URL) hoặc toàn bộ các danh mục trang web (ví dụ: hack, đấu giá, du lịch). Đây là một tính năng phổ biến trong các tường lửa thế hệ tiếp theo và thường được kết hợp với các quy tắc tường lửa khác để ngăn chặn việc lách luật.
  • Lọc Nội Dung: Đây là một kỹ thuật rộng hơn kiểm tra dữ liệu trong lưu lượng mạng. Nó có thể được sử dụng để:
    • Ngăn chặn tài liệu nội bộ nhạy cảm hoặc dữ liệu tài chính rời khỏi mạng.
    • Chặn nội dung không an toàn cho công việc (NSFW).
    • Thực hiện kiểm soát của phụ huynh.
    • Quét và chặn virus hoặc phần mềm độc hại (một chức năng của phần mềm diệt virus).

Phân Đoạn Mạng với Các Subnet Được Kiểm Soát và Các Khu Vực Bảo Mật

Phân đoạn mạng thành các khu vực khác nhau với các mức độ tin cậy khác nhau là một chiến lược bảo mật mạnh mẽ.

Subnet Được Kiểm Soát

Còn được gọi là Vùng Phi Quân Đội (DMZ), một subnet được kiểm soát là một phần riêng biệt, cách ly của mạng được thiết kế để lưu trữ các dịch vụ công khai như máy chủ web hoặc máy chủ email. Nó cho phép công chúng truy cập những dịch vụ này mà không cho họ quyền truy cập vào mạng nội bộ an toàn hơn.

Phân Tích Thế Giới Thực: Một subnet được kiểm soát giống như sảnh của một tòa nhà an toàn. Khách có thể vào sảnh để truy cập các dịch vụ công khai (như quầy lễ tân hoặc một quán café nhỏ), nhưng họ không thể vượt qua bảo vệ để vào các văn phòng riêng, nơi công việc nhạy cảm được thực hiện.

Các Khu Vực Bảo Mật

Các tường lửa dựa trên khu vực hiện đại cho phép quản trị viên nhóm các phân đoạn mạng thành các khu vực bảo mật để đơn giản hóa việc tạo quy tắc. Thay vì viết các quy tắc phức tạp dựa trên phạm vi địa chỉ IP, bạn có thể tạo các chính sách rộng hơn dựa trên các khu vực.

  • Ví Dụ Về Các Khu Vực:
    • Tin Cậy: Mạng nội bộ an toàn của công ty.
    • Không Tin Cậy: Internet công cộng.
    • Subnet Kiểm Soát (DMZ): Khu vực cho các máy chủ công khai.
    • Khu Vực Máy Chủ: Một khu vực cho các máy chủ chỉ nội bộ.
  • Chính Sách Đơn Giản Hóa: Điều này cho phép quy tắc rõ ràng, cấp cao như, "Cho phép tất cả lưu lượng từ khu vực Tin Cậy đến khu vực Không Tin Cậy," hoặc "Từ chối tất cả lưu lượng phát sinh từ khu vực Không Tin Cậy đến khu vực Tin Cậy." Càng nhiều khu vực riêng biệt, quản trị viên càng có nhiều quyền kiểm soát chi tiết hơn về lưu lượng truy cập.

Các khái niệm về quản lý cổng, ACL, mặc định từ chối, và phân đoạn mạng không chỉ là lý thuyết; chúng là các công cụ thực tế được sử dụng hàng ngày để bảo vệ các mạng thế giới thực khỏi những mối đe dọa không ngừng.

Hãy áp dụng kiến thức này, khám phá sâu hơn vào từng khái niệm, và thực hành cấu hình các quy tắc này trong môi trường lab bằng cách sử dụng các công cụ như Cisco Packet Tracer. Chứng chỉ CompTIA Network+ là bước tiếp theo của bạn để trở thành một chuyên gia mạng có khả năng và tự tin. Tiếp tục học hỏi, duy trì sự tò mò, và tiếp tục xây dựng kỹ năng của bạn để bảo vệ các mạng của tương lai.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào