• Packet-filtering firewall– Simple

• Packet-filtering firewall– Simplest firewall– Examines header of every entering packet– Can block traffic entering or exiting a LAN• Firewall default configuration– Blocks most common security threats– Preconfigured to accept and deny certain traffic types– Network administrators often customize settings• Firewalls (cont’d.)• Common packet-filtering firewall criteria– Source, destination IP addresses– Source, destination ports– Flags set in the IP header– Transmissions using UDP or ICMP protocols– Packet’s status as first packet in new data stream, subsequent packet– Packet’s status as inbound to, outbound from private network• Firewalls (cont’d.)• Port blocking– Prevents connection to and transmission completion through ports• Optional firewall functions– Encryption– User authentication– Central management– Easy rule establishment– Filtering based on data contained in packets• Firewalls (cont’d.)• Optional firewall functions (cont’d.)– Logging, auditing capabilities– Protect internal LAN’s address identity– Monitor data stream from end to end (stateful firewall)• Stateful firewall can determine whether a packet is part of an existing communication stream or a new stream• Content-filtering firewalls can block specific types of traffic based on application data contained within the packet– Responses from the a specific web site can be blocked—HTTP is a Layer 7 (Application) protocol• Proxy Servers
• Sits between clients and external servers
– Client computers never touch the outside servers and thus helps protect them from any unwanted activity
– Prevent outside world from discovering internal network addresses—like a NAT device
• Also called application layer gateway, application gateway, proxy
• Proxy server can prevent a web server from knowing where the client is located
– Proxy server forwards client requests using its own IP address
• HTTP proxy servers are common
– Caches web pages and therefore gives clients much faster response times
• Scanning Tools
• Used during posture assessment
– Duplicate hacker methods
• NMAP (Network Mapper)
– Designed to scan large networks
– Provides information about network and hosts
– Free to download
• Nessus
– Performs more sophisticated scans than NMAP
• Nessus and utilities like it are known as penetration-testing tools
– Metasploit: penetration-testing tool that combines known scanning techniques and exploits to result in potentially new hybrids of exploits
• Lures
• Honeypot
– Decoy system that is purposefully vulnerable
– Designed to fool hackers and gain information about their behavior
– Uses hidden monitoring software to record and track the intruder’s every command/move
• Honeynet
– Network of honeypots
• NOS (Network Operating System) Security
• Restrict user authorization
– Access to server files and directories
• File permissions
– Group users according to security levels
• Assign additional rights
– Can the user create a new user
– Can the user change a users password
– Can the user restart or shutdown the server
– Etc.
• Logon Restrictions
• Additional restrictions to strengthen security
– Time of day
– Total time logged on
– Source address
– Unsuccessful logon attempts
• Passwords
• Choosing secure password
– Guards against unauthorized access
– Easy, inexpensive security practice
• Communicate password guidelines
– Use security policy
– Stress importance of company’s financial, personnel data security
• Passwords (cont’d.)
• Tips
– Change system default passwords
– Do not use familiar information or dictionary words
• Dictionary attack
– Use long passwords
• Letters, numbers, special characters
– Do not write down or share
– Change frequently
– Do not reuse
– Use different passwords for different applications
• Encryption
• Cryptography: the science of encrypting
• Use of an algorithm to scramble data into a format that can be read only by reversing the algorithm—which decrypts the data
• Designed to keep information private
• Many encryption forms exist
• Provides assurances
– Data not modified between being sent and received
– Data can be viewed only by intended recipient
– Data was not forged by an intruder
• Key Encryption
• Key
– Random string of characters weaved into the original data bits
– Longer key is better
– 128-bit key (2128 possible character combinations)
• Ciphertext
– Scrambled data block
• Brute force attack
– Attempt to discover key
– Trying numerous possible character combinations
• Dictionary attack
• Key Encryption (cont’d.)
• Private key encryption
– Data encrypted using single key
• Known only by sender & receiver
– Symmetric encryption
• Same key used during both encryption and decryption
• DES (Data Encryption Standard)
– Most popular private key encryption
– IBM developed (1970s)
– 56-bit key: secure at the time
• Triple DES
– Weaves 56-bit key three times
• Key Encryption (cont’d.)
• AES (Advanced Encryption Standard)
– Weaves 128, 160, 192, 256 bit keys through data multiple times
– Popular form uses Rijndael algorithm
• More secure than DES
• Much faster than Triple DES
– Replaced DES in high security level situations
• Private key encryption drawback
– Sender must securely share private key with recipient
• Key Encryption (cont’d.)
• Public key encryption
– Data encrypted using two keys
– Private key: user knows
– Public key: anyone may request
• Public key server
– Publicly accessible host
– Freely provides users’ public keys
• Key pair
– Combination of public key and private key
• Asymmetric encryption
– Requires two different keys
• Key Encryption (cont’d.)
• Diffie-Hellman (1975)
– First public key algorithm
• RSA
– Most popular
– Key creation
• Choose two large prime numbers, multiplying together
– May be used in conjunction with RC4
• Weaves key with data multiple times, as computer issues data stream
• Key Encryption (cont’d.)
• RC4
– Key up to 2048 bits long
– Highly secure and fast
• Digital certificate
– Holds identification information
– Includes public key
– Digitally signed by the third-party issuer so that its authenticity can be verified
– Helps ensure that users are obtaining the correct public key
• Key Encryption (cont’d.)
• CA (certificate authority)
– Issues and maintains digital certificates
– Allows you to tell who the owner of the public key is
– Well known CAs: Verisign (Symantec), Thawte, GoDaddy
• PKI (public key infrastructure)
– Is the use of certificate authorities to associate public keys with certain users
• PGP (Pretty Good Privacy)
• Secures e-mail transmissions
• Developed by Phil Zimmerman (1990s)
• Public key encryption system
– Verifies e-mail sender authenticity
– Encrypts e-mail data in transmission
• Freely available
– Open source and proprietary
• Also used to encrypt storage device data
• http://www.mit.edu/~prz/EN/background/index.html
• http://www.symantec.com/theme.jsp?themeid=pg
• http://www.openpgp.org/
• SSL (Secure Sockets Layer)
• Encrypts TCP/IP transmissions
– Web pages and Web form data between client and server
– Uses public key encryption technology
• Web pages using HTTPS
– HTTP over Secure Sockets Layer, HTTP Secure
– Data transferred from server to client (vice versa) using SSL encryption
• HTTPS uses TCP port 443
• SSL (cont’d.)
• SSL session
– Association between client and server
• Defined by agreement
• Specific set of encryption techniques
– Created by SSL handshake protocol
– Handshake protocol
• Allows client and server to authenticate each other and establishes how they will securely exchange data
• Netscape originally developed SSL
– IETF attempted to standardize SSL
• TLS (Transport Layer Security) protocol
• Very similar to SSL
• SSH (Secure Shell)
• Collection of protocols
• Provides Telnet capabilities with security
• Guards against security threats
– Unauthorized host access
– IP spoofing
– Interception of data in transit
– DNS spoofing
• Encryption algorithm (depends on version)
– DES, Triple DES, RSA, Kerberos, others

• SSH (cont’d.)
• Developed by SSH Communications Security
– Version requires license fee
• Open source versions available: OpenSSH
• Secure connection requires SSH running on both machines
• Requires public and private key generation
• Configuration options
– Use one of several encryption types
– Require client password
– Perform port forwarding
• SCP (Secure CoPy) and SFTP (Secure File Transfer Protocol)
• SCP (Secure CoPy) utility
– Extension to OpenSSH
– Allows copying of files from one host to another securely
– Replaces insecure file copy protocols (FTP)
– Included with UNIX, Linux, and Macintosh OS X operating systems
• Windows operating systems
– Some SSH programs include SCP utility
– Separate freeware SCP application: WinSCP
• IPSec (Internet Protocol Security)
• Defines encryption, authentication, key management for TCP/IP transmissions
– Used to secure traffic as it travels within or between networks
– Transparent to the application. IPSec encrypts the information after it leaves the application
• Enhancement to IPv4
• Native IPv6 standard
• Different from other methods
– Encrypts data by adding security information to all IP packet headers
– Operates at Network layer (Layer 3)
• IPSec (cont’d.)
• Accomplishes authentication in two phases:
– First phase: key management
• Way two nodes agree on common parameters for the keys they will use
• IKE (Internet Key Exchange) used for key management (runs on UDP port 500)
– Second phase: type of encryption
• AH (authentication header)
– Encrypts just the payload of the IP packet—destination & source IP addresses and other IP header information are still readable
• ESP (Encapsulating Security Payload)
– Encrypts the entire IP packed for added security
• Can be used with any

• Packet-filtering firewall
- tường lửa đơn giản
- Xem xét header của mỗi gói dữ liệu vào
- Có thể chặn cách nhập giao thông hoặc thoát một mạng LAN
cấu hình mặc định • Firewall
- Ngăn chặn các mối đe dọa bảo mật phổ biến nhất
- cấu hình sẵn để chấp nhận và từ chối các loại lưu lượng nhất định
- Mạng quản trị viên thường tùy chỉnh cài đặt
• bức tường lửa (tt.)
• Common lọc gói tiêu chí tường lửa
- Source, địa chỉ đích IP
- Nguồn, cảng đích
- Flags đặt trong header IP
- Hộp sử dụng UDP hoặc ICMP giao thức
- Tình trạng gói như gói đầu tiên trong dòng dữ liệu mới, tiếp theo gói
- Packet tình trạng như inbound, outbound từ mạng riêng
• Tường lửa (tt.)
• Cảng chặn
- Ngăn chặn các kết nối và hoàn chỉnh truyền tải qua các cảng
• chức năng tường lửa tùy chọn
- Encryption
- Chứng thực người dùng
- Trung ương quản lý
- cơ sở quy tắc dễ dàng
- Lọc dựa trên dữ liệu chứa trong gói tin
• Tường lửa (tt.)
• chức năng tường lửa tùy chọn (tt.)
- Khai thác gỗ, khả năng kiểm toán
- Bảo vệ nội bộ danh tính địa chỉ LAN
- Màn hình luồng dữ liệu từ đầu đến cuối (tường lửa)
• Stateful tường lửa có thể xác định liệu một gói tin là một phần của một dòng giao tiếp hiện tại hoặc mới dòng
• tường lửa Content-lọc có thể chặn các loại cụ thể của lưu lượng truy cập dựa trên dữ liệu ứng dụng chứa trong các gói tin
- Responses từ một trang web cụ thể có thể bị chặn-HTTP là một lớp 7 (Application) giao thức
• Proxy Servers
• Ngồi giữa khách hàng và máy chủ bên ngoài
- các máy tính khách hàng không bao giờ chạm vào các máy chủ bên ngoài và do đó giúp bảo vệ chúng từ bất kỳ hoạt động không mong muốn
- Ngăn chặn thế giới bên ngoài từ khám phá nội mạng địa chỉ giống như một thiết bị NAT
• Cũng gọi là lớp ứng dụng gateway, gateway ứng dụng, proxy
• Proxy server có thể ngăn chặn một máy chủ web từ biết nơi mà các khách hàng nằm
- Proxy server chuyển tiếp các yêu cầu của khách hàng bằng cách sử dụng địa chỉ IP riêng của mình
• HTTP Proxy server rất phổ biến
- trang Caches web và do đó mang lại cho khách hàng nhiều thời gian đáp ứng nhanh hơn
• Công cụ quét
• Được sử dụng trong quá trình đánh giá tư thế
- Duplicate phương pháp của hacker
• Nmap (Network Mapper)
- Được thiết kế để quét các mạng lớn
- Cung cấp thông tin về mạng và máy chủ
- miễn phí để tải về
• Nessus
- Thực hiện quét tinh vi hơn NMAP
• Nessus và tiện ích như nó được biết đến như công cụ xâm nhập kiểm nghiệm
- Metasploit: công cụ thâm nhập thử nghiệm mà kết hợp được biết đến kỹ thuật quét và khai thác để gây giống lai có khả năng mới của khai thác
• Lures
• Honeypot
- hệ thống Decoy đó là mục đích dễ bị tổn thương
- Được thiết kế để đánh lừa tin tặc và tăng thông tin về hành vi của mình
- Sử dụng phần mềm theo dõi ẩn ghi lại và theo dõi của kẻ xâm nhập mỗi lệnh / di chuyển
• Honeynet
- Mạng lưới các honeypots
• NOS (Network Operating System) An ninh
• Hạn chế ủy quyền người dùng
- Truy cập vào các tập tin máy chủ và thư mục
• Quyền truy cập File
- Nhóm người dùng theo mức độ bảo mật
• Gán các quyền bổ sung
- người sử dụng có thể tạo một người dùng mới
- người sử dụng có thể thay đổi mật khẩu người sử dụng
- Có thể khởi động lại sử dụng hoặc tắt máy tính, máy chủ
- Vv
• Logon Hạn chế
• giới hạn bổ sung để tăng cường an ninh
- Thời gian trong ngày
- Tổng số lần đăng nhập
- Nguồn địa chỉ
- lần đăng nhập không thành công
• Mật khẩu
• Lựa chọn mật khẩu an toàn
- vệ chống truy cập trái phép
- Dễ dàng, thực hành bảo mật không tốn kém
• Giao tiếp hướng dẫn password
- Sử dụng chính sách bảo mật
- Căng thẳng quan trọng của việc bảo mật dữ liệu tài chính, nhân sự của công ty
• Mật khẩu (cont 'd).
• Mẹo
- Thay đổi hệ thống mật khẩu mặc định
- Không sử dụng thông tin quen thuộc hoặc các từ điển
• từ điển tấn công
- Sử dụng những mật khẩu dài
• Letters, số, ký tự đặc biệt
- Không viết hoặc chia sẻ
- Thay đổi thường xuyên
- Không sử dụng
- Sử dụng mật khẩu khác nhau cho các ứng dụng khác nhau
• Encryption
• Cryptography: khoa học về mã hóa
• Sử dụng một thuật toán để tranh giành dữ liệu sang một định dạng mà chỉ có thể được đọc bằng cách đảo ngược các thuật toán mà giải mã dữ liệu
• Được thiết kế để giữ cho thông tin cá nhân
• Rất nhiều hình thức mã hóa tồn tại
• Cung cấp sự đảm bảo
- Dữ liệu không bị thay đổi giữa việc gửi và nhận
- Dữ liệu có thể được xem bởi người nhận
- Dữ liệu không được rèn bởi một kẻ xâm nhập
• Key Encryption
• Key
- chuỗi ngẫu nhiên các ký tự dệt thành các bit dữ liệu gốc
- chìa khóa dài hơn là tốt hơn
- 128-bit key (2128 ký tự kết hợp có thể)
• ciphertext
- Scrambled khối dữ liệu
• lực tấn công Brute
- Cố gắng để khám phá chính
- Đang cố gắng rất nhiều nhân vật có thể kết hợp
• Từ điển tấn công
• Encryption Key (tt.)
• mã hóa khóa riêng
- Data được mã hóa bằng cách sử dụng chìa khóa duy nhất
• Được biết đến chỉ bởi người gửi và người nhận
- mã hóa đối xứng
• Cùng chính được sử dụng trong cả hai mã hóa và giải mã
• DES (Data Encryption Standard)
- Phổ biến nhất mã hóa khóa riêng
- IBM phát triển (năm 1970)
- 56-bit quan trọng: an toàn tại thời gian
• Triple DES
- dệt 56-bit key ba lần
• Encryption Key (tt.)
• AES (Advanced Encryption Standard)
- dệt 128, 160, 192, 256 bit phím thông qua các dữ liệu nhiều lần
- hình thức được ưa thích sử dụng thuật toán Rijndael
• Nhiều hơn an toàn hơn so với DES
• Nhanh hơn Triple DES
- Thay thế DES trong những tình huống cấp độ bảo mật cao
• Private key Hạn chế mã hóa
- Tên người gửi phải an toàn chia sẻ khóa riêng với người nhận
• Encryption Key (tt.)
• Mã hóa khóa công khai
- Dữ liệu được mã hóa bằng cách sử dụng hai phím
- key cá nhân: người sử dụng biết
- chìa khóa công cộng: bất cứ ai có thể yêu cầu
• Máy chủ chốt Công
- chủ Truy cập công cộng
- Tự do cung cấp khóa công khai của người sử dụng
• cặp Key
- Sự kết hợp của khóa công khai và khóa riêng
• mã hóa bất đối xứng
- Yêu cầu hai khóa khác nhau
• Encryption Key (tt.)
• Diffie-Hellman (1975)
- Đầu tiên thuật toán khóa công khai
• RSA
- Hầu hết các phổ biến
- sáng tạo chính
• Chọn hai số nguyên tố lớn, nhân với nhau
- Có thể được sử dụng kết hợp với RC4
• dệt phím với dữ liệu nhiều lần, như các vấn đề máy tính của các dòng dữ liệu
• Encryption Key (tt.)
• RC4
- Key lên đến 2048 bit dài
- Rất an toàn và nhanh chóng
• Giấy chứng nhận kỹ thuật số
- Giữ thông tin nhận dạng
- Bao gồm khóa công khai
- Digitally chữ ký của các bên thứ ba tổ chức phát hành để xác thực của nó có thể được xác nhận
- Giúp đảm bảo người dùng có được sự công chính xác
• Encryption Key (tt.)
• CA (Certificate Authority)
- Các vấn đề và duy trì giấy chứng nhận kỹ thuật số
- Cho phép bạn biết ai là chủ sở hữu của khóa công khai là
- CA Nổi tiếng: Verisign (Symantec), Thawte, GoDaddy
• PKI (cơ sở hạ tầng khóa công khai)
- Là việc sử dụng của các cơ quan chứng nhận để liên kết các khóa công khai với một số người sử dụng
• PGP (Pretty Good Privacy)
• chặt truyền e-mail
• Phát triển bởi Phil Zimmerman (1990)
• Hệ thống mã hóa khóa công cộng
- Thẩm tra e-mail người gửi xác thực
- Mã hóa dữ liệu e-mail trong truyền dẫn
• Tự do có sẵn
- Mã nguồn mở và độc quyền
• Cũng được sử dụng để mã hóa dữ liệu thiết bị lưu trữ
• http: // www .mit.edu / ~ prz / EN / nền / index.html
• http://www.symantec.com/theme.jsp?themeid=pg
• http://www.openpgp.org/
• SSL (Secure Sockets Layer )
• Mã hóa TCP / truyền IP
- các trang web và các dữ liệu dạng Web giữa máy khách và máy chủ
- Sử dụng công nghệ mã hóa khóa
• Các trang web sử dụng HTTPS
- HTTP trên Secure Sockets Layer, HTTP an toàn
- Dữ liệu được chuyển từ máy chủ cho khách hàng (ngược lại) bằng cách sử dụng mã hóa SSL
• HTTPS sử dụng cổng TCP 443
• SSL (tt.)
• session SSL
- Hiệp hội giữa máy khách và máy chủ
• Được xác định bởi thỏa thuận
• tập cụ thể của kỹ thuật mã hóa
- Được tạo bởi giao thức bắt tay SSL
- Handshake protocol
• Cho phép client và máy chủ để xác nhận lẫn nhau và thiết lập như thế nào an toàn sẽ trao đổi dữ liệu
• Netscape SSL ban đầu được phát triển
- IETF đã cố gắng chuẩn hóa SSL
• TLS (Transport Layer Security) giao thức
• Rất giống với SSL
• SSH (Secure Shell)
• Bộ sưu tập các giao thức
• Cung cấp khả năng Telnet với an ninh
• Guards chống lại các mối đe dọa an ninh
- truy cập máy chủ trái phép
- IP spoofing
- Đánh chặn của dữ liệu trong quá cảnh
- DNS spoofing
thuật toán • Mã hoá (phụ thuộc vào phiên bản)
- DES, Triple DES, RSA, Kerberos, những người khác • SSH (tt.) • Phát triển bởi SSH Communications An ninh - Phiên bản đòi hỏi lệ phí cấp giấy phép • phiên bản mã nguồn mở có sẵn: OpenSSH • Kết nối an toàn đòi hỏi SSH chạy trên cả hai máy • Yêu cầu hệ chính công và tư • Cấu hình tùy chọn - Sử dụng một trong những loại mã hóa - Yêu cầu mật khẩu khách hàng - Thực hiện các cổng chuyển tiếp • SCP (Secure Copy) và SFTP (Secure File Transfer Protocol) • SCP (Secure Copy) tiện ích - Extension để OpenSSH - Cho phép sao chép các tập tin từ một máy chủ khác một cách an toàn - Thay thế các giao thức sao chép tập tin không an toàn (FTP) - Kèm với UNIX , Linux, và Mac OS hệ thống X điều hành • Hệ thống điều hành Windows - Một số chương trình SSH bao gồm tiện ích SCP - riêng biệt ứng dụng SCP phần mềm miễn phí: WinSCP • IPSec (Internet Protocol Security) • Xác định mã hóa, xác thực, quản lý chủ chốt cho TCP / truyền IP - Được sử dụng để an toàn giao thông khi nó di chuyển trong hoặc giữa các mạng - Trong suốt đến các ứng dụng. IPSec mã hóa các thông tin sau khi nó rời khỏi ứng dụng Enhancement • IPv4 chuẩn • Native IPv6 • Khác với các phương pháp khác - Mã hóa dữ liệu bằng cách thêm thông tin an ninh cho tất cả các tiêu đề gói tin IP - Hoạt động ở lớp mạng (lớp 3) • IPSec (tt. ) • Đạt được chứng thực trong hai giai đoạn: - Giai đoạn thứ nhất: quản lý chủ chốt • Way hai nút đồng ý về các thông số chung cho các phím họ sẽ sử dụng • IKE (Internet Key Exchange) được sử dụng để quản lý chủ chốt (chạy trên UDP port 500) - Giai đoạn thứ hai: kiểu mã hóa • AH (authentication header) - Mã hóa chỉ payload của gói-đích và nguồn địa chỉ IP IP và thông tin tiêu đề IP khác vẫn có thể đọc được • (Payload Encapsulating Security) ESP - Mã hóa toàn bộ IP được đóng gói để tăng cường bảo mật • Can được sử dụng với bất kỳ