• Packet-filtering firewall– Simple

• Lọc gói tường lửa-Đơn giản nhất tường lửa-Kiểm tra các tiêu đề của mỗi gói nhaäp-Có thể chặn lưu lượng truy cập vào hoặc ra khỏi một mạng LAN• Firewall cấu hình mặc định-Mối đe dọa an ninh phổ biến nhất khối-Cấu hình sẵn để chấp nhận và từ chối một số loại lưu lượng truy cập-Quản trị mạng thường tùy chỉnh cài đặt• Tường lửa (cont 'd)• Phổ biến gói lọc tường lửa tiêu chí-Nguồn, đích IP địa chỉ-Nguồn, điểm đến cổng-Cờ nằm trong tiêu đề IP-Bộ truyền bằng cách sử dụng giao thức UDP hoặc ICMP-Gói tình trạng như gói đầu tiên trong dòng dữ liệu mới, sau đó gói-Trạng thái gói như trong nước, đi từ mạng riêng• Tường lửa (cont 'd)• Chặn cổng-Ngăn chặn kết nối đến và truyền dẫn hoàn thành thông qua cổng• Tùy chọn tường lửa chức năng-Mã hóa-Người dùng xác thực-Trung tâm quản lý-Dễ dàng quy tắc thành lập-Lọc dựa trên dữ liệu chứa trong gói• Tường lửa (cont 'd)• Tùy chọn tường lửa chức năng (cont 'd)-Khai thác gỗ, kiểm định khả năng-Bảo vệ danh tính địa chỉ nội bộ mạng LAN-Theo dõi dòng dữ liệu từ đầu đến kết thúc (tường lửa trạng thái)• Tường lửa trạng thái có thể xác định liệu một gói tin là một phần của một dòng giao tiếp hiện tại hoặc một dòng mới• Lọc nội dung tường lửa có thể chặn các loại hình cụ thể của lưu lượng truy cập Dựa trên ứng dụng dữ liệu chứa trong gói-Phản ứng từ các trang web cụ thể có thể bị chặn — HTTP là một giao thức lớp 7 (ứng dụng)• Máy chủ proxy• Nằm giữa khách hàng và máy chủ bên ngoài-Khách hàng máy tính không bao giờ chạm vào các máy chủ bên ngoài và do đó giúp bảo vệ chúng từ bất kỳ hoạt động không mong muốn-Ngăn chặn thế giới bên ngoài từ phát hiện địa chỉ nội bộ mạng — như một thiết bị NAT• Cũng được gọi là ứng dụng lớp cổng, ứng dụng cổng, proxy• Máy chủ proxy có thể ngăn chặn một máy chủ web từ biết nơi khách hàng có vị trí-Máy chủ proxy chuyển tiếp yêu cầu khách hàng sử dụng địa chỉ IP của riêng nóMáy chủ proxy • HTTP được phổ biến-Lưu trữ trang web và do đó cung cấp cho khách hàng nhiều thời gian trả lời nhanh hơn• Chức năng quét công cụ• Sử dụng trong tư thế đánh giá-Lặp lại phương pháp hacker• NMAP (mạng công cụ bản đồ)-Được thiết kế để quét mạng lớn-Cung cấp thông tin về mạng và máy chủ-Miễn phí tải về• Nessus-Thực hiện phức tạp hơn quét hơn NMAP• Nessus và tiện ích như nó được gọi là thâm nhập thử nghiệm công cụ-Metasploit: công cụ thâm nhập thử nghiệm kết hợp được biết đến kỹ thuật quét và khai thác kết quả trong các giống lai có khả năng mới của khai thác• Lures• Honeypot-Hệ thống decoy là mục đích dễ bị tổn thương-Được thiết kế để đánh lừa tin tặc và đạt được thông tin về hành vi của họ-Sử dụng ẩn phần mềm theo dõi để ghi lại và theo dõi những kẻ xâm nhập của mỗi lệnh/di chuyển• Honeynet-Mạng lưới honeypots• NOS (hệ điều hành mạng) an ninh• Hạn chế người dùng ủy quyền-Truy cập vào máy chủ tập tin và thư mục• Quyền hạn tập tin-Nhóm người dùng theo mức bảo mật• Gán quyền bổ sung-Có thể người dùng tạo một người dùng mới-Có thể người dùng thay đổi mật khẩu người dùng-Có thể người dùng khởi động lại hoặc tắt máy chủ-Vv.• Đăng nhập hạn chế• Hạn chế bổ sung để tăng cường an ninh-Thời gian trong ngày-Tổng thời gian đăng nhập-Nguồn địa chỉ-Nỗ lực đăng nhập không thành công• Mật khẩu• Chọn mật khẩu an toàn-Bảo vệ chống truy cập trái phép-Dễ dàng, không tốn kém an ninh thực hành• Giao tiếp hướng dẫn mật khẩu-Sử dụng chính sách bảo mật-Nhấn mạnh tầm quan trọng của an ninh dữ liệu của công ty tài chính, nhân sự• Mật khẩu (cont 'd)• Mẹo-Thay đổi mật khẩu mặc định hệ thống-Làm không sử dụng quen thuộc thông tin hoặc từ điển các từ• Tấn công từ điển-Sử dụng mật khẩu dài• Chữ cái, số, ký tự đặc biệt-Không phải viết hoặc chia sẻ-Thay đổi thường xuyên-Không tái sử dụng-Sử dụng mật khẩu khác nhau cho các ứng dụng khác nhau• Mã hóa• Mật mã: khoa học của mật mã hóa• Sử dụng một thuật toán để tranh giành dữ liệu vào một định dạng mà có thể được đọc chỉ bằng cách đảo ngược thuật toán — mà decrypts các dữ liệu• Thiết kế để giữ thông tin riêng tư• Nhiều mã hóa hình thức tồn tại• Cung cấp sự bảo đảm-Không thay đổi giữa được gửi và nhận dữ liệu-Dữ liệu có thể được xem bởi người nhận-Dữ liệu không được rèn bởi một kẻ xâm nhập• Key Encryption• Key– Random string of characters weaved into the original data bits– Longer key is better– 128-bit key (2128 possible character combinations)• Ciphertext– Scrambled data block• Brute force attack– Attempt to discover key– Trying numerous possible character combinations• Dictionary attack• Key Encryption (cont’d.)• Private key encryption– Data encrypted using single key• Known only by sender & receiver– Symmetric encryption• Same key used during both encryption and decryption• DES (Data Encryption Standard)– Most popular private key encryption– IBM developed (1970s)– 56-bit key: secure at the time• Triple DES– Weaves 56-bit key three times• Key Encryption (cont’d.)• AES (Advanced Encryption Standard)– Weaves 128, 160, 192, 256 bit keys through data multiple times– Popular form uses Rijndael algorithm• More secure than DES• Much faster than Triple DES– Replaced DES in high security level situations• Private key encryption drawback– Sender must securely share private key with recipient• Key Encryption (cont’d.)• Public key encryption– Data encrypted using two keys– Private key: user knows– Public key: anyone may request• Public key server– Publicly accessible host– Freely provides users’ public keys• Key pair– Combination of public key and private key• Asymmetric encryption-Yêu cầu hai khóa khác nhau• Mã hóa khóa (cont 'd)• Diffie-Hellman (1975)-Đầu tiên thuật toán khóa công cộng• RSA-Đặt phổ biến-Chính sáng tạo• Chọn hai số nguyên tố lớn, nhân với nhau-Có thể được sử dụng kết hợp với RC4• Weaves phím với dữ liệu nhiều lần, như dòng dữ liệu máy tính vấn đề• Mã hóa khóa (cont 'd)• RC4-Key tối đa 2048 bit dài-Cao an toàn và nhanh chóng• Giấy chứng nhận kỹ thuật số-Chứa thông tin nhận dạng-Bao gồm các khóa công khai-Kỹ thuật số chữ ký của công ty phát hành bên thứ ba để tính xác thực của nó có thể được kiểm chứng-Giúp đảm bảo rằng người dùng đang có các khóa công khai chính xác• Mã hóa khóa (cont 'd)• CA (chứng)-Các vấn đề và duy trì giấy chứng nhận kỹ thuật số-Cho phép bạn để nói cho những người sở hữu các khóa công khai-CAs nổi tiếng: Verisign (Symantec), Thawte, GoDaddy • PKI (cơ sở hạ tầng quan trọng công cộng)-Là việc sử dụng của nhà chức trách chứng chỉ để kết hợp khóa công cộng với một số người dùng• PGP (Pretty Good Privacy)• Đóng chặt e-mail truyền• Phát triển bởi Phil Zimmerman (thập niên 1990)• Hệ thống mã hóa khóa công khai-Xác minh tính xác thực người gửi e-mail-Mã hóa dữ liệu e-mail trong truyền tải• Sẵn sàng tự do -Mở nguồn và độc quyền• Cũng được sử dụng để mã hóa dữ liệu thiết bị lưu trữ• http://www.mit.edu/~prz/EN/background/index.html• http://www.symantec.com/theme.jsp?themeid=pg• http://www.openpgp.org/• SSL (Secure Sockets Layer)• Encrypts TCP/IP transmissions– Web pages and Web form data between client and server– Uses public key encryption technology• Web pages using HTTPS– HTTP over Secure Sockets Layer, HTTP Secure– Data transferred from server to client (vice versa) using SSL encryption• HTTPS uses TCP port 443• SSL (cont’d.)• SSL session– Association between client and server• Defined by agreement• Specific set of encryption techniques– Created by SSL handshake protocol– Handshake protocol• Allows client and server to authenticate each other and establishes how they will securely exchange data• Netscape originally developed SSL– IETF attempted to standardize SSL• TLS (Transport Layer Security) protocol• Very similar to SSL• SSH (Secure Shell)• Collection of protocols• Provides Telnet capabilities with security• Guards against security threats– Unauthorized host access– IP spoofing– Interception of data in transit– DNS spoofing• Encryption algorithm (depends on version)– DES, Triple DES, RSA, Kerberos, others• SSH (cont’d.)• Developed by SSH Communications Security– Version requires license fee• Open source versions available: OpenSSH• Secure connection requires SSH running on both machines• Requires public and private key generation• Configuration options– Use one of several encryption types– Require client password– Perform port forwarding• SCP (Secure CoPy) and SFTP (Secure File Transfer Protocol)• SCP (Secure CoPy) utility– Extension to OpenSSH– Allows copying of files from one host to another securely– Replaces insecure file copy protocols (FTP)– Included with UNIX, Linux, and Macintosh OS X operating systems• Windows operating systems– Some SSH programs include SCP utility– Separate freeware SCP application: WinSCP• IPSec (Internet Protocol Security)• Defines encryption, authentication, key management for TCP/IP transmissions– Used to secure traffic as it travels within or between networks– Transparent to the application. IPSec encrypts the information after it leaves the application• Enhancement to IPv4• Native IPv6 standard• Different from other methods– Encrypts data by adding security information to all IP packet headers– Operates at Network layer (Layer 3)• IPSec (cont’d.)• Accomplishes authentication in two phases:– First phase: key management• Way two nodes agree on common parameters for the keys they will use• IKE (Internet Key Exchange) used for key management (runs on UDP port 500)– Second phase: type of encryption• AH (authentication header)– Encrypts just the payload of the IP packet—destination & source IP addresses and other IP header information are still readable• ESP (Encapsulating Security Payload)– Encrypts the entire IP packed for added security• Can be used with any

• Packet-filtering firewall
- tường lửa đơn giản
- Xem xét header của mỗi gói dữ liệu vào
- Có thể chặn cách nhập giao thông hoặc thoát một mạng LAN
cấu hình mặc định • Firewall
- Ngăn chặn các mối đe dọa bảo mật phổ biến nhất
- cấu hình sẵn để chấp nhận và từ chối các loại lưu lượng nhất định
- Mạng quản trị viên thường tùy chỉnh cài đặt
• bức tường lửa (tt.)
• Common lọc gói tiêu chí tường lửa
- Source, địa chỉ đích IP
- Nguồn, cảng đích
- Flags đặt trong header IP
- Hộp sử dụng UDP hoặc ICMP giao thức
- Tình trạng gói như gói đầu tiên trong dòng dữ liệu mới, tiếp theo gói
- Packet tình trạng như inbound, outbound từ mạng riêng
• Tường lửa (tt.)
• Cảng chặn
- Ngăn chặn các kết nối và hoàn chỉnh truyền tải qua các cảng
• chức năng tường lửa tùy chọn
- Encryption
- Chứng thực người dùng
- Trung ương quản lý
- cơ sở quy tắc dễ dàng
- Lọc dựa trên dữ liệu chứa trong gói tin
• Tường lửa (tt.)
• chức năng tường lửa tùy chọn (tt.)
- Khai thác gỗ, khả năng kiểm toán
- Bảo vệ nội bộ danh tính địa chỉ LAN
- Màn hình luồng dữ liệu từ đầu đến cuối (tường lửa)
• Stateful tường lửa có thể xác định liệu một gói tin là một phần của một dòng giao tiếp hiện tại hoặc mới dòng
• tường lửa Content-lọc có thể chặn các loại cụ thể của lưu lượng truy cập dựa trên dữ liệu ứng dụng chứa trong các gói tin
- Responses từ một trang web cụ thể có thể bị chặn-HTTP là một lớp 7 (Application) giao thức
• Proxy Servers
• Ngồi giữa khách hàng và máy chủ bên ngoài
- các máy tính khách hàng không bao giờ chạm vào các máy chủ bên ngoài và do đó giúp bảo vệ chúng từ bất kỳ hoạt động không mong muốn
- Ngăn chặn thế giới bên ngoài từ khám phá nội mạng địa chỉ giống như một thiết bị NAT
• Cũng gọi là lớp ứng dụng gateway, gateway ứng dụng, proxy
• Proxy server có thể ngăn chặn một máy chủ web từ biết nơi mà các khách hàng nằm
- Proxy server chuyển tiếp các yêu cầu của khách hàng bằng cách sử dụng địa chỉ IP riêng của mình
• HTTP Proxy server rất phổ biến
- trang Caches web và do đó mang lại cho khách hàng nhiều thời gian đáp ứng nhanh hơn
• Công cụ quét
• Được sử dụng trong quá trình đánh giá tư thế
- Duplicate phương pháp của hacker
• Nmap (Network Mapper)
- Được thiết kế để quét các mạng lớn
- Cung cấp thông tin về mạng và máy chủ
- miễn phí để tải về
• Nessus
- Thực hiện quét tinh vi hơn NMAP
• Nessus và tiện ích như nó được biết đến như công cụ xâm nhập kiểm nghiệm
- Metasploit: công cụ thâm nhập thử nghiệm mà kết hợp được biết đến kỹ thuật quét và khai thác để gây giống lai có khả năng mới của khai thác
• Lures
• Honeypot
- hệ thống Decoy đó là mục đích dễ bị tổn thương
- Được thiết kế để đánh lừa tin tặc và tăng thông tin về hành vi của mình
- Sử dụng phần mềm theo dõi ẩn ghi lại và theo dõi của kẻ xâm nhập mỗi lệnh / di chuyển
• Honeynet
- Mạng lưới các honeypots
• NOS (Network Operating System) An ninh
• Hạn chế ủy quyền người dùng
- Truy cập vào các tập tin máy chủ và thư mục
• Quyền truy cập File
- Nhóm người dùng theo mức độ bảo mật
• Gán các quyền bổ sung
- người sử dụng có thể tạo một người dùng mới
- người sử dụng có thể thay đổi mật khẩu người sử dụng
- Có thể khởi động lại sử dụng hoặc tắt máy tính, máy chủ
- Vv
• Logon Hạn chế
• giới hạn bổ sung để tăng cường an ninh
- Thời gian trong ngày
- Tổng số lần đăng nhập
- Nguồn địa chỉ
- lần đăng nhập không thành công
• Mật khẩu
• Lựa chọn mật khẩu an toàn
- vệ chống truy cập trái phép
- Dễ dàng, thực hành bảo mật không tốn kém
• Giao tiếp hướng dẫn password
- Sử dụng chính sách bảo mật
- Căng thẳng quan trọng của việc bảo mật dữ liệu tài chính, nhân sự của công ty
• Mật khẩu (cont 'd).
• Mẹo
- Thay đổi hệ thống mật khẩu mặc định
- Không sử dụng thông tin quen thuộc hoặc các từ điển
• từ điển tấn công
- Sử dụng những mật khẩu dài
• Letters, số, ký tự đặc biệt
- Không viết hoặc chia sẻ
- Thay đổi thường xuyên
- Không sử dụng
- Sử dụng mật khẩu khác nhau cho các ứng dụng khác nhau
• Encryption
• Cryptography: khoa học về mã hóa
• Sử dụng một thuật toán để tranh giành dữ liệu sang một định dạng mà chỉ có thể được đọc bằng cách đảo ngược các thuật toán mà giải mã dữ liệu
• Được thiết kế để giữ cho thông tin cá nhân
• Rất nhiều hình thức mã hóa tồn tại
• Cung cấp sự đảm bảo
- Dữ liệu không bị thay đổi giữa việc gửi và nhận
- Dữ liệu có thể được xem bởi người nhận
- Dữ liệu không được rèn bởi một kẻ xâm nhập
• Key Encryption
• Key
- chuỗi ngẫu nhiên các ký tự dệt thành các bit dữ liệu gốc
- chìa khóa dài hơn là tốt hơn
- 128-bit key (2128 ký tự kết hợp có thể)
• ciphertext
- Scrambled khối dữ liệu
• lực tấn công Brute
- Cố gắng để khám phá chính
- Đang cố gắng rất nhiều nhân vật có thể kết hợp
• Từ điển tấn công
• Encryption Key (tt.)
• mã hóa khóa riêng
- Data được mã hóa bằng cách sử dụng chìa khóa duy nhất
• Được biết đến chỉ bởi người gửi và người nhận
- mã hóa đối xứng
• Cùng chính được sử dụng trong cả hai mã hóa và giải mã
• DES (Data Encryption Standard)
- Phổ biến nhất mã hóa khóa riêng
- IBM phát triển (năm 1970)
- 56-bit quan trọng: an toàn tại thời gian
• Triple DES
- dệt 56-bit key ba lần
• Encryption Key (tt.)
• AES (Advanced Encryption Standard)
- dệt 128, 160, 192, 256 bit phím thông qua các dữ liệu nhiều lần
- hình thức được ưa thích sử dụng thuật toán Rijndael
• Nhiều hơn an toàn hơn so với DES
• Nhanh hơn Triple DES
- Thay thế DES trong những tình huống cấp độ bảo mật cao
• Private key Hạn chế mã hóa
- Tên người gửi phải an toàn chia sẻ khóa riêng với người nhận
• Encryption Key (tt.)
• Mã hóa khóa công khai
- Dữ liệu được mã hóa bằng cách sử dụng hai phím
- key cá nhân: người sử dụng biết
- chìa khóa công cộng: bất cứ ai có thể yêu cầu
• Máy chủ chốt Công
- chủ Truy cập công cộng
- Tự do cung cấp khóa công khai của người sử dụng
• cặp Key
- Sự kết hợp của khóa công khai và khóa riêng
• mã hóa bất đối xứng
- Yêu cầu hai khóa khác nhau
• Encryption Key (tt.)
• Diffie-Hellman (1975)
- Đầu tiên thuật toán khóa công khai
• RSA
- Hầu hết các phổ biến
- sáng tạo chính
• Chọn hai số nguyên tố lớn, nhân với nhau
- Có thể được sử dụng kết hợp với RC4
• dệt phím với dữ liệu nhiều lần, như các vấn đề máy tính của các dòng dữ liệu
• Encryption Key (tt.)
• RC4
- Key lên đến 2048 bit dài
- Rất an toàn và nhanh chóng
• Giấy chứng nhận kỹ thuật số
- Giữ thông tin nhận dạng
- Bao gồm khóa công khai
- Digitally chữ ký của các bên thứ ba tổ chức phát hành để xác thực của nó có thể được xác nhận
- Giúp đảm bảo người dùng có được sự công chính xác
• Encryption Key (tt.)
• CA (Certificate Authority)
- Các vấn đề và duy trì giấy chứng nhận kỹ thuật số
- Cho phép bạn biết ai là chủ sở hữu của khóa công khai là
- CA Nổi tiếng: Verisign (Symantec), Thawte, GoDaddy
• PKI (cơ sở hạ tầng khóa công khai)
- Là việc sử dụng của các cơ quan chứng nhận để liên kết các khóa công khai với một số người sử dụng
• PGP (Pretty Good Privacy)
• chặt truyền e-mail
• Phát triển bởi Phil Zimmerman (1990)
• Hệ thống mã hóa khóa công cộng
- Thẩm tra e-mail người gửi xác thực
- Mã hóa dữ liệu e-mail trong truyền dẫn
• Tự do có sẵn
- Mã nguồn mở và độc quyền
• Cũng được sử dụng để mã hóa dữ liệu thiết bị lưu trữ
• http: // www .mit.edu / ~ prz / EN / nền / index.html
• http://www.symantec.com/theme.jsp?themeid=pg
• http://www.openpgp.org/
• SSL (Secure Sockets Layer )
• Mã hóa TCP / truyền IP
- các trang web và các dữ liệu dạng Web giữa máy khách và máy chủ
- Sử dụng công nghệ mã hóa khóa
• Các trang web sử dụng HTTPS
- HTTP trên Secure Sockets Layer, HTTP an toàn
- Dữ liệu được chuyển từ máy chủ cho khách hàng (ngược lại) bằng cách sử dụng mã hóa SSL
• HTTPS sử dụng cổng TCP 443
• SSL (tt.)
• session SSL
- Hiệp hội giữa máy khách và máy chủ
• Được xác định bởi thỏa thuận
• tập cụ thể của kỹ thuật mã hóa
- Được tạo bởi giao thức bắt tay SSL
- Handshake protocol
• Cho phép client và máy chủ để xác nhận lẫn nhau và thiết lập như thế nào an toàn sẽ trao đổi dữ liệu
• Netscape SSL ban đầu được phát triển
- IETF đã cố gắng chuẩn hóa SSL
• TLS (Transport Layer Security) giao thức
• Rất giống với SSL
• SSH (Secure Shell)
• Bộ sưu tập các giao thức
• Cung cấp khả năng Telnet với an ninh
• Guards chống lại các mối đe dọa an ninh
- truy cập máy chủ trái phép
- IP spoofing
- Đánh chặn của dữ liệu trong quá cảnh
- DNS spoofing
thuật toán • Mã hoá (phụ thuộc vào phiên bản)
- DES, Triple DES, RSA, Kerberos, những người khác • SSH (tt.) • Phát triển bởi SSH Communications An ninh - Phiên bản đòi hỏi lệ phí cấp giấy phép • phiên bản mã nguồn mở có sẵn: OpenSSH • Kết nối an toàn đòi hỏi SSH chạy trên cả hai máy • Yêu cầu hệ chính công và tư • Cấu hình tùy chọn - Sử dụng một trong những loại mã hóa - Yêu cầu mật khẩu khách hàng - Thực hiện các cổng chuyển tiếp • SCP (Secure Copy) và SFTP (Secure File Transfer Protocol) • SCP (Secure Copy) tiện ích - Extension để OpenSSH - Cho phép sao chép các tập tin từ một máy chủ khác một cách an toàn - Thay thế các giao thức sao chép tập tin không an toàn (FTP) - Kèm với UNIX , Linux, và Mac OS hệ thống X điều hành • Hệ thống điều hành Windows - Một số chương trình SSH bao gồm tiện ích SCP - riêng biệt ứng dụng SCP phần mềm miễn phí: WinSCP • IPSec (Internet Protocol Security) • Xác định mã hóa, xác thực, quản lý chủ chốt cho TCP / truyền IP - Được sử dụng để an toàn giao thông khi nó di chuyển trong hoặc giữa các mạng - Trong suốt đến các ứng dụng. IPSec mã hóa các thông tin sau khi nó rời khỏi ứng dụng Enhancement • IPv4 chuẩn • Native IPv6 • Khác với các phương pháp khác - Mã hóa dữ liệu bằng cách thêm thông tin an ninh cho tất cả các tiêu đề gói tin IP - Hoạt động ở lớp mạng (lớp 3) • IPSec (tt. ) • Đạt được chứng thực trong hai giai đoạn: - Giai đoạn thứ nhất: quản lý chủ chốt • Way hai nút đồng ý về các thông số chung cho các phím họ sẽ sử dụng • IKE (Internet Key Exchange) được sử dụng để quản lý chủ chốt (chạy trên UDP port 500) - Giai đoạn thứ hai: kiểu mã hóa • AH (authentication header) - Mã hóa chỉ payload của gói-đích và nguồn địa chỉ IP IP và thông tin tiêu đề IP khác vẫn có thể đọc được • (Payload Encapsulating Security) ESP - Mã hóa toàn bộ IP được đóng gói để tăng cường bảo mật • Can được sử dụng với bất kỳ