Xây dựng hệ thống bảo mật ngân hàng sacombank

ms Quản lý tập trung = Triển khai các pattern file và scan engine Kiểm soát các phần mềm diệt virus trong mạng Content Security (eManager) Threat Information Attack Prevention Notification and Assurance Pattern File Scan and Eliminate Assess And cleanup Restore and Post-mortem Doanh nghiệp bị giảm hiệu suất làm việc $$ $$$$ $$ $ $ $ $$ “Khoảng 80% phí tổn mà doanh nghiệp phải chịu từ những virus như ILOVEYOU… là trong công tác loại bỏ virus.” -- Computer Economics, 2001 Mô hình giải pháp của Trend Micro Hệ thống dò tìm lỗi bảo mật khuyến nghị cho tòan hệ thống (Scanner) Yêu cầu kỹ thuật cho hệ thống dò tìm lỗi bảo mật Các phân mềm Secure scanner là phần mềm yêu cầu sử dụng cho hệ thống mạng Trung tâm Sacombank nhằm đáp ứng yêu cầu kiểm tra và khảo cứu tính an toàn của hệ thống mạng . Là sản phẩm có tính năng quét các lỗ hổng trên mạng và sắp xếp lại hệ thống. Scanner cho phép chẩn đoán và xử lý các vấn đề an ninh trong môi trường mạng. Scanner trợ giúp Người quản trị mạng xác định và thông báo các lỗ hổng trên các máy chủ như các dịch vụ, các patch của hệ điều hành, CSDL,… và chính nhờ những lỗ hổng này mà Hacker có thể tận dụng để thâm nhập trái phép. Sáng kiến của giải pháp Scanner gồm 2 phần, phần thứ nhất được chèn vào bên trong cơ sở dữ liệu để xác định sự xâm nhập và đánh giá các lỗ hổng trên mạng theo thời gian thực. Phần thứ 2 bao gồm những qui định các luật cơ bản để phát hiện các lỗ hổng an ninh theo thời gian thực. Phân tích các giải pháp chọn phần mềm Scanner Các loại phần mềm Scanner là công cụ giúp các nhà quản trị đo được tính an ninh, các rũi ro và làm tăng độ an toàn trong môi trường mạng. phần mềm Scanner là công cụ phần mềm quan trọng trong giải pháp an toàn mạng. Yêu cầu đặt cho hệ thống phần mềm Scanner cho hệ thống phải tương thích hoàn toàn với hệ thống phần cứng và cấu trúc mạng, phải có chế độ tự update thông tin bảo mật mới từ bên ngoài. Chúng tôi khuyến nghị sử dụng hệ thống phần mềm Security Analyzer của hãng NetIQ. Đây là phần mềm tương thích hoàn toàn với các sản phẩm của Cisco và có hệ thống nhận diện lỗi bảo mật chuyên nghiệp được tự động cập nhật định kỳ. Ngòai ra có thể so sánh thêm với hệ thống Scanner của ISS. Giới thiệu giải pháp Scanner của NetIQ Hệ thống phần mềm Security Analyzer yêu cầu hệ thống máy chủ điều khiển (Console computer)như sau: • Microsoft Windows NT 4.0, Windows 2000 or Windows XP • Internet Explorer 4.0 or later • Microsoft Office 2000 or Office XP to produce reports in Word and XML formats • 64MB RAM or more. (256MB RAM recommended) • 100MB available disk space Security Analyzer có thể tìm kiếm và phát hiện các lỗi bảo mật trên các hệ thống hoạt động theo giao thức TCP/IP bao gồm cả các hệ thống không thuộc dòng Window: • Windows 95, Windows 98 or Windows Me • Windows NT, Windows 2000 or Windows XP • Sun Solaris 2.6, Solaris 7 or Solaris 8 • Red Hat Linux 6.x or 7.x Hệ thống sẽ tự động phân cấp tình trạng bảo mật phát hiện được thông qua Security Analyzer’s Scan Viewer cảnh báo những lỗi, mức độ nguy hiểm và đưa ra giải pháp sửa chữa ngay cho từng trường hợp. Các chức năng tiến tiến của hệ thống Security Analyzer: Nếu hệ thống có kết nối Internet, chức năng AutoSync sẽ tự động kết nối với trung tâm để cập nhật thư viện Security test mới nhất cùng với các phần cập nhật của hệ thống. An toàn tối đa cho hệ thống sử dụng NetBIOS Scans Windows XP computers Kiểm tra, phán đoán và bịt các lỗ hổng. Bỏ các dịch vụ không cần thiết trên hệ thống, chỉ cho phép chạy các dịch vụ cần thiết hoạt động. Exports data sang XML dùng cho database và reporting tools tuỳ chọn Cross-references CVE, CERT®/CC, BugTraq và Microsoft Bulletin ID systems Thiết kế hệ thống : Máy chủ quản trị cho Security Analyer sẽ cài đặt trong vùng máy chủ dành cho quản trị mạng. Do hệ thống được phân chia làm nhiều VLAN và PVLAN (private VLAN) do đó không cần thiết phải dùng đến hệ thống Security Analyer license cho cả một subnet. Chúng tôi khuyến nghị dùng phiên bản dành cho 100IP trong một lần quyét. Chi tiết phân mềm xin tham khảo bản danh sách thiết bị kèm theo. Giải pháp Scanner của ISS Module phần mềm Internet ScannerTM là thành phần trong hệ thống giải pháp bảo mật của ISS, đảm bảo việc phân tích dò tìm lỗ hỗng của hệ thống mạng trung tâm Sacombank: Dò quét và phân tích các nguy cơ bảo mật của các thiết bị trong hệ thống mạng Internet Scanner thực hiện việc quét các dịch vụ truyền thông, hệ điều hành, routers, e-mail, Web servers, firewalls và các ứng dụng. Đảm bảo độ chính xác của cấu hình an ninh, ngăn ngừa việc user bỏ qua các qui định về an ninh Giải pháp khuyến nghị : Module phần mềm dò tìm điểm yếu cơ sở dữ liệu Module phần mềm Database Scanner™ Thành phần này đảm bảo việc dò tìm lỗ hỗng bảo vệ hệ thống cơ sở dữ liệu chính Thiết lập và bắt buộc thực hiện chính sách an ninh đối với database Xác định các điểm yếu bảo mật của hệ thống database Kiểm tra trước các hành động xâm nhập. So sánh các giải pháp Công nghệ Scan của ISS và NetIQ hiện nay rất nổi tiếng trong lĩnh vực bảo mật mạng. Trong một chừng mực xét về phương diện tin cậy các giải pháp Scanner của ISS vượt trội hơn về khả năng nhận biết các yếu tố bảo mật với hệ thống cập nhật trực tuyến lớn nhất hiện nay. Và hệ thống ISS Internet Scanner có khả năng tích hợp tốt với hệ thống quản trị trung tâm. Đề xuất giải pháp của FPT cho Sacombank Nhằm đáp ứng tốt nhất khả năng dò tìm lỗi bảo mật của hệ thống cho cả hệ thống nói chung và hệ thống Cơ sở dữ liệu nói riêng chúng tôi khuyến nghị Sacombank cần trang bị và sử dụng hệ thống ISS Internet Scanner và Database scanner kết hợp module System Scanner. Hệ thống phần mềm Scanner dự kiến triển khai trên nền Intel với máy chủ HP dòng DL tối thiểu 380 G2 với 2 x 1.4 Ghz , 1G Ram. Khuyến nghị sử dụng hệ điều hành Window cho các Module Scanner chính nhằm đáp ứng khả năng theo dõi trực quan hệ thống, dễ cài đặt và vận hành. III. PHÂN CHIA QUÁ TRÌNH TRIỂN KHAI Việc triển khai hệ thống bảo mật cho hệ thống mạng của Sacombank rất phức tạp và đòi hỏi nhiều thời gian mới có thể xây dựng được các chính sách tối ưu, hơn nữa, bảo mật là một tiến trình chứ không phải là một sản phẩm phần mềm hay phần cứng cụ thể. Vì vậy, chúng tôi đề nghị phân chia tiến trình bảo mật thành các giai đoạn như sau. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN I Trong giai đọan I là giai đọan bắt đầu triển khai hệ thống Router cung cấp kết nối ra Internet. Trong giai đoạn này sẽ triển khai ngay hệ thống bức tường lửa tại tầng 1 (như đã đề cập ở trên), sử dụng thiết bị phần cứng Firewall để đảm bảo performance của các luồng giao dịch vào ra internet Firewall tại tầng 1: Sử dụng thiết bị PIX Firewall 515e theo công nghệ Firewall của hãng Cisco dùng ngăn cách mạng nội bộ Sacombank với internet. Tại tầng này ta cũng bố trí sử dụng thiết bị dò tìm thâm nhập bất hợp pháp ISS IDS để giám sát hoạt động của firewall 515e và router kết nối với Internet, nhằm phát hiện, ngăn chặn các cuộc tấn công và thâm nhập bất hợp pháp vào hệ thống. Tại tầng này, mạng DMZ sẽ có mức độ ưu tiên thấp hơn so với mạng nội bộ (internal Net) bên trong. Tất cả các kết nối từ mạng nội bộ bên trong sẽ được phép đi ra Public Net và internet không hạn chế và chỉ có một số Host nhất định mới được phép vào mạng Local trong khi không có bất kỳ một qui tắc nào cho phép kết nối ngược từ internet. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN II Internet gateway là điểm kết nối hệ thống mạng của Sacombank với môi trường Internet. Tại đây có thể xem như là một cách cửa rộng nhất để virus và các mã dụng ý xấu xâm nhập vào hệ thống. Chính vì thế việc triển khai giải pháp ngăn chặn từ cổng mạng này là thiết yếu bao gồm: Interscan VirusWall InterScanTM VirusWallTM là sản phẩm có chức năng phòng chống virus tại Gateway, sản phẩm này có chức năng quét và diệt virus trên tất cả các luồng Web, email, FTP trong thời gian thực. Các thành phần chính: SMTP VirusWall: thành phần này quét toàn bộ luồng SMTP vào cũng như ra để diệt virus theo thời gian thực. Thành phần này chỉ hỗ trợ cho Microsoft Exchange và Lotus Notes. HTTP VirusWall: thành phần này phát hiện các virus nhiễm vào file và bảo vệ người dùng Internet chống lại các đoạn mã Java và ActiveX có hại. FTP VirusWall: Có nhiệm vụ ngăn chặn việc lây nhiễm virus từ việc tải xuống các file từ các site bị nhiễm virus. Thành phần này cũng bảo vệ, chống virus khi download/upload từ các FTP server trong mạng. Các công cụ và tiện ích của giải pháp: InterScan AppletTrap Đây là công cụ quản lý tập trung dựa trên các chính sách để quản lý vấn đề an toàn của nội dung các trang Web tại Internet Gateway. Nó loại trừ các applet, ActiveX, JavaScript và VBScript có dụng ý xấu (gọi chung là mobile code) thâm nhập vào mạng trên đường lưu thông Internet với 3 mức bảo vệ: phân tích và kiểm tra các chứng thực số (digital certificate), lọc các mã dụng ý xấu đã được định danh tại server, giám sát các hành động của các mobile code chưa được định danh tại browser của client theo thời gian thực. Các đặc điểm nổi bật của InterScan AppletTrap: Tốc độ thực hiện nhanh hơn và ổn định hơn: cung cấp chức năng caching làm tăng thông lượng. Tính bảo mật được nâng cao: Quản lý chứng thực tập trung tại Internet gateway tạo nên một môi trường kinh doanh điện tử an toàn hơn. Quy mô triển khai của sản phẩm được nâng cao cho phép phục vụ trên 500 users truy cập đồng thời. Hỗ trợ Check Point FireWall-1, hoạt động tương thích với HTTP Proxy, có ưu điểm trong suốt (transparent) với người sử dụng. Người quản trị có thể điều khiển quá trình kiểm tra certificate đối với các Java Applet/ActiveX tại AppletTrap server. Dễ dàng triển khai trên Proxy server và chỉ cần cài đặt trên 1 server. Cập nhật trên giao diện Web: hỗ trợ cập nhật thủ công hoặc theo lịch qua Internet. Có thể gửi danh sách các Java, URL, và ActiveX cần chặn để Trend Micro nghiên cứu đưa vào danh sách ngăn chặn của Trend Micro. Cân bằng tải: Phân tán tải giữa Proxy server hoặc FireWall-1 server và các client giúp giảm nhẹ chi phí trên mỗi trạm. Theo dõi real-time các đoạn mã Java Applet trên các các máy trạm client. Sử dụng các công nghệ đã được công nhận rộng rãi của Trend Micro để theo dõi các hành vi đối với các Java Applet trên các máy trạm client theo thời gian thực (real-time). Cập nhật danh sách ngăn chặn thường xuyên. Bất kỳ một đoạn mã chứa virus nào được tìm thấy trong các Java Applet hay ActiveX đều được báo cáo một cách tự động về proxy server. Các chính sách có thể tuỳ biến để điều khiển hành vi của các applet trên các máy trạm client. Các chính sách này có thể được ánh xạ tới một nhóm người dùng dựa trên các địa chỉ IP hoặc domain của họ. Hỗ trợ cơ chế cảng báo: Gửi các thông báo email cho người quản trị mỗi khi có URL bị ngăn chặn, tìm thấy virus trong các applet hoặc khi cơ sở dữ liệu certificate của hệ thống được cập nhật. Cung cấp các tệp log đầy đủ nhất mà nó ghi lại được từ các sự kiện xảy ra. Có thể được quản lý tập trung dựa trên các chính sách Giải pháp cho hệ thống thư điện tử Để kiểm tra virus cho hệ thống thư điện tử, sử dụng sản phẩm InterScan Messaging Security Suite for SMTP (IMSS). Đây là giải pháp chống virus và quản lý nội dung ở mức gateway. Sản phẩm này được thiết kế dành riêng cho các mail server. Ngoài tính năng diệt virus bắt buộc phải có, IMSS còn có thể cấm mail dựa trên nội dung của nó cũng như là chặn spam. Có thể kể ra đây một số điểm đáng lưu ý của IMSS như sau: Diệt virus : IMSS phát hiện virus dựa trên cơ chế quét (scan engine) 32 bit của Trend Micro và một tiến trình được gọi là “tựa mẫu” (pattern matching). Scan engine sử dụng file định nghĩa virus (definition hay pattern file) để kiểm tra các file đi qua gateway. Nếu trong file có chứa các dấu hiệu tựa mẫu virus đã được định nghĩa trong file, nó sẽ tiến hành một số thao tác như clean (xoá bỏ đoạn mã virus trong file), quarantine (cách ly cách file bị nhiễm), delete (xóa file bị nhiễm)… các thao tác này có thể do quản trị viên định nghĩa. Ngoài ra, IMSS còn có khả năng phát hiện virus dựa trên hành vi. Quản lý nội dung: InterScan MSS for SMTP phân tích nội dung các email cũng như các file đính kèm, nếu email (hoặc file đính kèm) thoả mãn một số điều kiện chặn nào đó đã được quản trị viên định nghĩa trước, nó sẽ bị chặn lại. Bảo vệ tránh bị tấn công (DoS): Bằng việc làm tràn ngập một mail server với những file đính kèm có kích thước lớn hoặc gửi kèm theo virus trong email, hacker có thể làm chết hệ thống mail của một doanh nghiệp. InterScan MSS for SMTP bao gồm các tính năng cho phép quản trị viên định nghĩa các đặc điểm của những mail không được phép vào mạng nội bộ, chúng sẽ bị chặn ngay ở mức gateway. Ngăn chặn email có chứa virus: File đính kèm theo email cũng là một nguồn lây lan virus phổ biến hiện nay. Chúng có thể là các file thi hành chứa virus, các tài liệu có chứa macro. Ngoài ra, các file đính kèm dạng HTML script, HTML link, Java applet… cũng có thể gây ra những thảm hoạ không lường. InterScan MSS for SMTP cho phép quản trị viên thiết lập chính sách ngăn chặn dựa trên loại email. Giảm thiểu việc sử dụng hệ thống mail của công ty vào mục đích riêng: Các email không liên quan đến công việc cũng có thể làm ảnh hưởng đến hiệu quả hoạt động của hệ thống mail khi chúng được gửi đi nhiều làm chậm đường truyền. Cũng như vậy, vấn đề ngăn chặn spam cũng đang làm đau đầu các quản trị viên hệ thống. InterScan MSS for SMTP có khả năng ngăn chặn spam không cho thâm nhập vào mạng nội bộ làm ảnh hưởng đến công việc của các nhân viên, cũng như không cho phép các nhân viên sử dụng hệ thống mail của công ty vào mục đích cá nhân. Ngoài ra InterScan™ MSS for SMTP còn hỗ trợ các tính năng chính đặc biệt như: Chính sách ngăn chặn bùng nổ virus (Outbreak Prevention Policy - OPP): Dựa trên các thông tin thu thập được về một virus nào đó vừa mới xuất hiện, Trend Micro sẽ rất nhanh chóng đưa ra một chính sách ngăn chặn trước khi đưa ra một pattern file mới (thao tác này chỉ khoảng 15-20 phút sau khi virus xuất hiện). Chính sách này sẽ được IMSS tải về và triển khai. Nhờ đó, nó có thể ngăn chặn được virus ngay từ mức gateway. Đây là một tính năng rất hợp lý của IMSS giúp giảm tối đa thiệt hại cho doanh nghiệp. Quản trị dựa trên một tập các chính sách Hiệu suất làm việc cao Có thể quản trị dựa trên giao diện Web Có bộ lọc nội dung mail tích hợp Giải pháp cho File Server: Để rà soát và loại bỏ virus trong các file hệ thống, các thư mục trên Server, chúng tôi đề nghị sử dụng sản phẩm ServerProtect ServerProtectTM là thành phần bảo vệ file và các ứng dụng hệ thống của server khỏi sự tấn công của virus. Server Protect cho phép quản trị từ xa thông qua kiến trúc gồm 3 thành phần: Information Server: được cài trên 1 server với mục đích quản lý tập trung các Server Protect. Information Server sử dụng lời gọi thủ tục từ xa (Remote Procedure–RPC) để connect tới các server Windows NT và sử dụng Sequenced Packet Exchange (SPX) để connect tới các server Novell NetWare. Normal Server: được cài trên các server (có thể coi đây là bản client của Server Protect) và được quản lý bởi Information Server. Management Console: Công cụ quản trị sử dụng giao thức TCP/IP, quản trị viên có thể logon vào Information Server thông qua hình thức xác thực dựa trên username và password.để cài đặt ServerProtect cho các Server trong hệ thống (Normal Server) cũng như theo dõi tình hình phòng chống virus trong hệ thống. Information Server và tất cả các Normal Server đều có thể cài đặt và cập nhật mẫu virus mới một cách đồng thời qua một giao diện của Windows. Hệ thống có thể đưa ra các cảnh báo khi phát hiện thấy: đang bị nhiễm virus, cấu hình bị thay đổi, một dịch vụ nào đó bị gỡ bỏ, mẫu virus không được cập nhật kịp thời, hệ thống phòng chống đang bị sửa đổi. Các cảnh báo này được đưa đến cho quản trị viên theo nhiều con đường khác nhau: qua email, nhắn tin, in ra máy in, hoặc viết ra Windows Event Box Giải pháp cho các Client: Dùng sản phẩm Trend Micro OfficeScan OfficeScanTM là thành phần chống virus cho các máy trạm. Thành phần này hoạt động “trong suốt” đối với người sử dụng . Các thao tác như quét virus định kỳ, cập nhật mẫu virus mới diễn ra hoàn toàn theo chính sách của quản trị viên hệ thống. Người dùng sẽ không phải thực hiện các thao tác trên. Việc cài đặt OfficeScanTM cho từng client hoàn toàn thông qua giao diện Web, kết nối vào một server quản trị tập trung, điều này rất thuận tiện khi triển khai hệ thống trong mạng LAN. Trong trường hợp vị trí triển khai chỉ có đường kết nối có băng thông hẹp, TrendMicro có giải pháp riêng để đảm bảo triển khai và cập nhật cho các client này. Người dùng không thể tự ý gỡ bỏ chương trình chống virus trên máy tính nếu không có sự đồng ý của quản trị mạng, chức năng này cho phép giữ vững chính sách phòng chống virus trong mạng. Giải pháp trên định hướng sẽ triển khai trong giai đọan 4. Thành phần quản lý tập trung: Sử dụng sản phẩm Trend Micro Control Manager Chức năng của TMCM: Cung cấp khả năng nhận diện và phân tích về tình hình nhiễm virus trong mạng diện rộng. Cho phép cập nhật mẫu virus một cách tự động và thống nhất., cho phép người quản trị hệ thống có quyền bắt buộc các thành phần trong hệ thống thực hiện một chính sách chống virus một cách thống nhất. Việc cài đặt và triển khai các agent xuống các thành phần khác trong hệ thống thực hiện một cách tập trung trên một máy chủ Windows. Chống lại việc “bùng nổ” virus ở trong mạng một cách hữu hiệu hơn. Hỗ trợ nhiều tính năng cho người quản trị mạng để giảm thời gian và chi phí trong việc vận hành và duy trì hệ thống Mô hình triển khai giải pháp phòng chống virus cho hệ thống mạng của SacomBank Mô hình triển khai giải pháp phòng chống virus tại toà nhà trung tâm như sau: Mô tả: Tại điểm kết nối hệ thống mạng Sacombank với Internet (gateway) : Giải pháp: Đặt một server trong vùng DMZ để cài các thành phần sau: Cài đặt InterScan viruswall để kiểm tra và trừ virus trên các giao thức HTTP, FTP và SMTP Cài đặt InterScan AppletTrap để kiểm tra và loại trừ các ActiveX, JavaScript, VBScript . Giải pháp cho thư điện tử: Cài đặt IMSS lên một server trong vùng DMZ để kiểm tra và loại trừ virus trên các luồng email vào ra hệ thống. IMSS sẽ nhận các incoming mail từ bên ngoài, sau đó sẽ chuyển cho Mail server Mailserver sẽ nhận outgoing mail và chuyển cho IMSS server để ra ngoài. Tại các Server: Cài đặt thành phần Server Protect – Information Server lên một server. Các server khác trong hệ thống mạng sẽ được cài thành phần ServerProtect – Nomal Server để kiểm tra và loại trừ virus. Information server là thành phần quản lý các Normal Server Tại các client: Cài đặt thành phần OfficeScan Server lên một Server. Các máy trạm trong hệ thống được cài đặt thành phần OfficeScan Client. OfficeScan Server sẽ quản lý các OfficeScan Client. Thành Phần Quản trị: Cài đặt Trend Micro Control Manager lên một server để quản lý tất cả các thành phần khác (TMCM Agents) của Trend Micro trên hệ thống mạng Sacombank. Thao tác cập nhật: Mẫu virus và engine mới được cập nhật theo định kỳ đến máy chủ TMCM. Từ máy chủ TMCM, mẫu virus mới sẽ được tự động cập nhật cho máy chủ có thành phần TMCM Agent. Các NormalServer sẽ tự động update mẫu virus và engine từ Information Server Các OfficeScan Client sẽ tự động update mẫu virus và engine từ OfficeScan Server Quá trình cập nhật là hoàn toàn tự động, quản trị viên hệ thống chỉ cần qui định lịch để cập nhật mẫu virus mới. Ngoài ra người quản trị cũng có thể quy định chính sách ngăn chặn, đối phó với các nguy cơ bùng nổ virus (virus outbreak) với TMCM hoặc download chính sách này từ TrendMicro website. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN III Giai đọan ba chúng tôi khuyến nghị các thiết bị và phần mềm nhằm tăng cường khả năng bảo mật cho hệ thống mạng riêng các ứng dụng Cơ sở dữ liệu trung tâm và các phân mạng ứng dụng nội bộ, chúng tôi khuyến nghị trang bị hệ thống Proventia IDS và phần mềm ứng dụng Scanner đảm bảo mức độ an tòan cao nhất cho các traffic trên mạng và giữa các phân nhánh. Giải pháp khuyến nghị thêm, trong giai đọan này chúng tôi khuyến nghị trang bị Firewall lớp thứ hai cho hệ thống Database Firewall khuyến nghị tầng thứ 2: Tầng này khuyến nghị sử dụng thiết bị (phần cứng) Nokia Firewall kết hợp Checkpoint hoặc hệ thống Sidewinder G2 firewall. Đây là sản phẩm tích hợp công nghệ của hai hãng bảo mật hàng đầu thế giới: thiết bị phần cứng của Nokia với công nghệ Firewall của Checkpoint Firewall-1, SideWinder G2 với các chức năng bảo mật chuyên dụng cao cấp. Sản phẩm này vẫn đảm bảo tính năng performance cho mạng. Nokia Firewall/Sidewinder G2 sẽ làm nhiệm vụ phân tách mạng nội bộ của Sacombank thành ba phần có mức độ ưu tiên khác nhau. Ngoài ra hệ thống IDS tích hợp với firewall Nokia/SideWinder sẽ cho phép giám sát hoạt động trên từng phân vùng mạng, ngăn chặn, phát hiện kịp thời các cuộc tấn công, thâm nhập vào các vùng thông tin nhạy cảm. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV Bước tiếp theo để hoàn thiện giải pháp bảo mật là tiếp tục nâng cao khả năng bảo mật phía các chi nhánh bao gồm các giải pháp antivirus và giai đọan này dự kiến sẽ đặt thiết bị firewall tích hợp thêm tính năng VPN. Chúng tôi cũng dự kiến trong giai đoạn này thiết lập các kênh VPN giữa chi nhánh và các VLAN tại văn phòng với mạng Databasse để tăng cường mức độ an ninh dữ liệu trong trường hợp Firewall bị đánh thủng thì các máy chủ dữ liệu cũng không bị đe doạ bởi mọi truy nhập tới chúng đều được kiểm soát và điều khiển bởi công nghệ VPN. Như vậy thì tiếp theo giải pháp Firewall, việc sử dụng công nghệ VPN như là bức tường lửa thứ 3 ngăn chặn các cuộc tấn công xâm nhập bất hợp pháp, bảo vệ các máy chủ dữ liệu. Đồng thời trong giai đoạn này, tất cả các chi nhánh sẽ được trang bị tiếp thiết bị Firewall để chặn các truy nhập bất hợp pháp (có thể) xuất phát từ dưới chi nhánh lên Như vậy sau khi hoàn thành hai giai đoạn triển khai, hệ thống mạng Sacombank sẽ được bảo vệ bởi nhiều tầng, nhiều lớp với những công nghệ firewall khác nhau cho phép bảo đảm an ninh tuyệt đối với các người dùng cũng như cơ sở dữ liệu. Trong phân hệ giai đọan 4 là giai đọan hòan thiện hệ thống bảo mật cho tòan bộ WAN bao gồm các giải pháp bảo mật đường truyền bang VPN cho tất cả các chi nhánh nối về, do đó trong phân hệ này chúng tôi khuyến nghị tiểu giải pháp cho công nghệ VPN đáp ứng cho kết nối WAN của Sacombank như sau: Sử dụng VPN cho các kết nối từ người dùng và chi nhánh vào các máy chủ dữ liệu Đảm bảo mức độ an toàn tối ưu cho các kết nối từ người dùng có thẩm quyền tại hội sở cũng như từ các chi nhánh lên, chúng tôi đề nghị các kết nối đó sử dụng công nghệ VPN cho cổng Firewall 3 (FW3). Đây là vòng bảo mật trong cùng, trường hợp hệ thống Firewall bị đánh thủng thì những xâm nhập bất hợp pháp cũng không thể thành công khi tiếp cận máy chủ dữ liệu bởi các kết nối tới đều được xác thực, điều khiển luồng truy nhập, mã hoá riêng theo công nghệ VPN. Một số kiểu kết nối của VPN Có nhiều kiểu triển khai kết nối VPN, với mỗi cách thức đều yêu cầu một tập hợp các công nghệ phù hợp. Tuy nhiên có thể phân thành 3 nhóm chính: Intranet VPNs: kết nối nội bộ giữa các bộ phận hoặc chi nhánh của một công ty lớn với nhau Extranet VPNs kết nối giữa một công ty lớn và các đối tác, khách hàng , nhà cung cấp Remote Access VPNs kết nối giữa các mạng liên kết với những người dùng ở xa Trong mạng Intranet, công nghệ chính yêu cầu là mã hoá dữ liệu thật tốt để bảo vệ các thông tin mang tính nhạy cảm như các văn bản trao đổi, quản lý dữ liệu khách hàng ..v.v Remote Access VPNs giữa một mạng liên kết và những người xử dụng ở xa có những yêu cầu khác: Công nghệ xác thực thật mạnh (strong Authentication) các kết nối vào mạng Cuối cùng, Extranet VPNs giữa công ty lớn với các đối tác kinh doanh, khách hàng và nhà cung cấp thì yêu cầu một giải pháp chuẩn, có tính mở để đảm bảo chắc chắn cho sự liên kết hoạt động với nhiều giải pháp khác nhau của các đối tác có thể được thực hiện. Chuẩn cơ bản chung là IPSec. Điều quan trọng nữa là điều khiển luồng giao dịch trên mạng để tránh hiện tượng tắc nghẽn cổ chai tại điểm truy nhập và đảm bảo nhanh chóng các dữ liệu cần thiết Hiện nay, các công ty, xí nghiệp không chỉ có mối liên hệ chặt chẽ với nhau, với khách hàng mà luôn có sự truy nhập từ xa bởi các nhân viên đi công tác, thực hiện văn phòng ảo, làm việc tại nhà hoặc liên lạc với các chi nhánh ở khắp mọi nơi trên thế giới. Các nhà cung cấp giải pháp bảo mật không chỉ cung cấp những sản phẩm VPN riêng rẽ mà luôn tích hợp với nhiều chính sách, kiểu thực hiện khác nhau để đảm bảo được một giải pháp hoàn chỉnh đạt dược cái gọi là “one size fits all” Đề xuất thiết kế VPN cho mạng Sacombank Như đã đề cập ở trên, hệ thống mạng của Sacombank rất lớn và phức tạp, trải rộng trên phạm vi địa lý lớn với nhiều hoạt động nghiệp vụ phức tạp và chồng chéo. Các máy trạm (nhưng không phải tất cả) tại chi nhánh đều phải kết nối về máy chủ dữ liệu trên Trung tâm để trao đổi dữ liệu và trong khi (cũng không phải tất cả) cũng có nhiều máy trạm đặt tại văn phòng Trung tâm cần phải trao đổi dữ liệu với những máy chủ này. Tất cả các kết nối đó có thể thông qua mạng LAN tại Văn phòng Trung tâm và thông qua đường điện thoại công cộng và qua Firewall ngăn chặn. Hiện tại các giải pháp thực hiện VPN được qui lại làm hai loại chính + Stand-alone gateway + Tích hợp VPN gateway Trong hai lớp này, chỉ có giải pháp tích hợp VPN/Firewall là được thiết kế cho một giải pháp bảo mật internet hoàn chỉnh. Stand-alone VPN gateway không tích hợp với firewall sẽ tạo ra nhiều khoá khăn phức tạp không cần thiết trong công tác bảo mật và quản trị. Thêm nữa, với stand-alone VPNs, việc đặt VPN Gateway trong mối liên quan tới Firewall trở nên không thể bởi vì Firewall không thể điều khiển luồng truy nhập (access control) với các dữ liệu đã bị mã hoá một cách riêng rẽ Vì vậy chúng tôi đề nghị sử dụng giải pháp tích hợp VPN/Firewall tại tầng thứ 2 của hệ thống mạng Sacombank để tạo ra các kết nối VPN giữa tầng này tới các chi nhánh và tới các VLAN tại văn phòng TW. Giải pháp tích hợp VPN/Firewall sẽ đáp ứng được tất cả các yêu cầu an ninh : Chống lại các mối đe doạ xuất phát từ mạng bên ngoài, ngay cả các cuộc tấn công kiểu DoS có thể làm tổn thương một stand-alone gateway sẽ bị phát hiện và loại trừ nhờ firewall Điều khiển luồng truy nhập với tất cả các luồng dữ liệu vào ra: Đặt VPN gateway với thiết bị điều khiển truy nhập cho phép tăng cường khả năng an ninh với các luồng dữ liệu. Từ Firewall và VPN gateway chia sẻ các thông tin người dùng, phân chia định nghĩa các nhóm có thể sử dụng tài nguyên, dịch vụ mà họ được phép và tất cả các luồng dữ liệu trên VPN đều được mã hoá kiểm tra để đảm bảo chắc chắn rằng chỉ có những nội dung (content) phù hợp mới được đi qua Firewall Quản lý tập trung: Tích hợp VPN làm đơn giản đi khi thực hiện các chính sách an ninh mạng trong trường hợp có yêu cầu thực hiện cả VPN và Firewall. Các dữ liệu cập nhật và các thay đổi trong chính sách an ninh mạng có thể đồng thời áp dụng tới tất cả các VPN/Firewall, tối thiểu hoá khả năng xảy ra lỗi do cấu hình. Thêm vào đó, các thông tin người dùng được chia sẻ trong nhiều ứng dụng mạng bao gồm cả VPN và Firewall. Theo cách này, quản trị mạng không cần phải duy trì các thông tin người dùng dự phòng Consolidate Logging: theo đó tất cả các thông tin kiểm soát được hợp nhất trong các file log Scaleable Architecture: Với sự tăng cường, mở rộng thêm chi nhánh, hoạt động của mạng vẫn không bị ngắt quãng. Đây là ưu điểm đặc biệt cho mạng Sacombank cần có tính sẵn sàng cao (High Available) Simplified Routing: Khi dữ liệu chuyển tải qua các thiết bị mạng, mỗi đường dẫn được phản ảnh như những entry của bảng định tuyến. Khi các resources được đưa vào mạng, bảng định tuyến phải hướng luồng dữ liệu thẳng tới Firewall và gateway. Việc tích hợp VPN/Firewall đơn giản hoá việc này bằng việc tìm ra các đường định tuyến tới các thiết bị. Performance: giải pháp tích hợp VPN/Firewall có thể Optimize performance mạng qua các yếu tố như tăng tốc độ mã hoá (Cryptographic Acceleration), quản lý thông lượng (bandwidth Management). Bảng dưới đây tổng kết những ưu điểm của giải pháp tích hợp VPN/Firewall Tổng kết mô hình khuyến nghị triển khai hệ thống bảo vệ mạng Sacombank Chúng tôi khuyến nghị tách các máy chủ chứa các dữ liệu quan trọng(Database server, Web server phục vụ khách hàng,…) ra một mạng riêng - Server Farm và các máy chủ truy cập public (Web server, mail server,…) ra một mạng riêng-DMZ. Giải pháp này cho phép tạo chính sách bảo mật chặt chẽ hơn và tăng tính bảo mật của toàn bộ hệ thống Các máy chủ quan trọng được bảo vệ bằng cách cài phần mềm phát hiện thâm nhập Server Sensor. Phần mềm này ngăn chặn kẻ tấn công tìm cách lợi dụng các điểm yếu, lỗ hổng bảo mật của hệ điều hành và các ứng dụng chạy trên đó, phát hiện các tấn công từ bên trong và bên ngoài như tấn công tràn bộ đệm, trojan, worm… Chúng tôi khuyến nghị cài phần mềm này trên tất cả các máy chủ trong vùng Server Farm và trong vùng DMZ. Các điểm mạng quan trọng được bảo vệ bằng appliance Proventia A201. Thành phần phát hiện xâm nhập này sẽ phát hiện các tấn công, thâm nhập trái phép trước khi nó gây hậu quả đến các máy chủ bên trong. Khuyến nghị sử dụng thêm hệ thống dò quét và phát hiện các điểm yếu của máy chủ CSDL- Database Scanner nếu có điều kiện. Thành phần này sẽ phát hiện các lỗ hổng bảo mật , lỗi đặt mật khẩu trắng hoặc dễ đoán,… và được cài trên một máy riêng. Chúng tôi khuyến nghị cài Database Scanner trên Management Point. Một thành phần dò quét và phát hiện các điểm yếu của các máy chủ trên mạng Internet Scanner. Thành phần này sẽ phát hiện các lỗ hổng bảo mật của hệ điều hành, các dịch vụ trên máy được quét và được cài trên một máy riêng. Chúng tôi khuyến nghị cài Internet Scanner trên Management Point. Mạng của trung tâm được bảo vệ bởi thành phần Firewall PIX đặt phía bên ngoài. Pix có nhiệm vụ bảo vệ mạng trung tâm khỏi các tấn công từ bên ngoài, xác thực người dùng, bảo vệ các mạng khác nhau(Server Farm, DMZ, LAN) với các chính sách bảo mật mềm dẻo. Chức năng VPN có nhiệm vụ mã hoá dữ liệu truyền giữa trung tâm với các chi nhánh Các client trong mạng LAN muốn truy cập vào hệ thống máy chủ quan trọng trong cùng Server Farm thì phải thông qua lớp Firewall Checkpoint thứ 2 và có thể áp dụng hệ thống VPNClient để mã hoá dữ liệu truyền giữa máy trạm đó với máy chủ III. ĐÁNH GIÁ GIẢI PHÁP Với thiết kế này, mạng của ngân hàng SacomBank đạt được các yếu tố an ninh sau : Giải pháp an ninh tổng thể: Mạng ngân hàng SacomBank được cấu thành từ thiết kế kiến trúc phân tầng nhiều lớp với chiến lược, chính sách và các sản phẩm bảo mật của những nhà cung cấp giải pháp hàng đầu trên thế giới. Hệ thống được tích hợp, phối hợp chặt chẽ hỗ trợ cho nhau: mạng và an ninh mạng ; an ninh mạng và quản trị mạng sẽ làm tăng mức độ an ninh hệ thống. Kiến trúc phân tầng, cho phép mạng được tổ chức thành nhiều mạng nhỏ độc lập nhau với các chính sách an ninh khác nhau. An ninh vành đai: Mạng được tổ chức thành nhiều vành đai an ninh có độ sâu khác nhau. Mỗi độ sâu an ninh sẽ thích hợp với các module khác nhau, tuỳ thuộc vào độ quan trọng của các module. Thực hiện chính sách an ninh giữa các vành đai là các Firewall với đầy đủ các tính năng và công nghệ tiên tiến, thông lượng cao. An ninh kết nối: Các kết nối từ các chi nhánh lên trung ương đều được thực hiện qua Site-to-Site VPN và được mã hoá an toàn trên đường truyền Leased Line. Các kết nối từ người dùng của các chi nhánh tới Trung tâm sẽ thực hiện nhờ VPN client. Kiểm soát được truy nhập vào hệ thống của người sử dụng thông qua hệ thống xác thực truy nhập RSA SecurID. Phát hiện, ngăn chặn sự thâm nhập bất hợp pháp vào hệ thống mạng cũng như sự lan truyền của virus trên mạng thông qua hệ thống IDS và Virus Scan gateway. Có khả năng giám sát hoạt động của toàn bộ hệ thống và có khả năng tự động thay đổi cấu hình, khắc phục các kẽ hở nhanh chóng. IV. PHỤ LỤC Các phương thức mô tả sau đây dựa trên các kiểu tấn công thông dụng nhất thường xảy ra tại Gateway và các nguyên tác khắc chế đơn giản với tính năng sẳn có của Cisco IOS và Cisco IOS có Firewall/IDS. CÁC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG Phương pháp tấn công: Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính trên mạng dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một khối lượng dữ liệu lớn truyền đến hệ thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ thống là nạn nhân bị tấn công. Agents Victim Attacker Handlers traffic flood Mô hình tổng quát cuộc tấn công D.o.S của Hacker Các phương thức tấn công thường dựa trên việc phát sinh các gói dữ liệu từ hệ thống email , broadcast echo request … Các công cụ thường dùng của tin tặc: Công cụ Thời điểm xuất hiện tấn công Phương thức sử dụng để tấn công Trinoo Oct 21 1999 UDP Tribe Flood Network Oct 21 1999 UDP, ICMP, SYN, Smurf Stacheldracht Dec 31 1999 UDP, ICMP, SYN , Smurf TFN 2K Feb 10 2000 UDP, ICMP, SYN, Smurf Shaft March 13 2000 UDP, ICMP, SYN, combo Mstream May 1 2000 Stream (ACK) Trinity Sep 5 2000 UDP, Fragment, SYN, RST, RandomFlag, ACK, Establish, NULL Khả năng tấn công có thể xảy ra từ các hướng cổng Internet, PSTN, WAN và nội bộ. Đối với cổng PSTN và Internet đều đi qua Router do đó khả năng phát sinh các cuốc tấn công D.o.S vào địa điểm này là rất lớn. Phương pháp phòng chống Với giải pháp Cisco Access List thiết lập thêm có thể phân tích và ngăn chặn các cuộc tấn làm Overload trên các Interface như sau: Explicitly permit flood traffic in access list: access-list 110 permit icmp any any echo access-list 110 permit icmp any any echo-reply View access list "hit counts" to determine flood type: permit icmp any any echo (2 matches) permit icmp any any echo-reply (21374 matches) Log information about flood packets: access-list 110 permit icmp any any echo access-list 110 permit icmp any any echo-reply log-input Anti-Spoofing Packet Filters Block inbound traffic sourced from your own address space: access-list 110 deny ip 192.200.0.0 0.0.255.255 any Block outbound traffic not sourced from your own address space: access-list 111 permit ip 192.200.0.0 0.0.255.255 any Block inbound traffic sourced from unroutable IP addresses: access-list 110 deny ip 10.0.0.0 0.255.255.255 any access-list 110 deny ip 172.16.0.0 0.15.255.255 any access-list 110 deny ip 192.168.0.0 0.0.255.255 any access-list 110 deny ip 127.0.0.0 0.255.255.255 any access-list 110 deny ip 255.0.0.0 0.255.255.255 any access-list 110 deny ip 1.0.0.0 0.255.255.255 any ... more ... Nhận dạng các cuộc tấn công D.o.S thông qua log file giả lập như sau: PHƯƠNG THỨC TẤN CÔNG IP SPOOFING DẠNG SMURF Tấn công dạng này xảy ra khi một IP bên trong, hay nên ngoài mạng giả như là một máy được xác thực. Hacker có thể làm theo một trong hai cách sau: dùng một địa chỉ IP nằm trong pool địa chỉ cho phép, hoặc một địa chỉ IP được xác thực từ phía bên ngoài truy cập vào mạng. Có thể làm giảm tấn công IP spoofing theo cách Smurf vào Router bằng cách sau: Network sniffer filters: Monitor all broadcast traffic except specific expected types (for example, RIP) will disable the translation of directed broadcasts to physical broadcasts Cisco Configuration (interface command): no ip directed-broadcast Cisco ACLs: access-list 110 deny ip any host 192.168.255.255 access-list 110 deny ip any host 192.168.0.0 explicitly denies traffic destined for broadcast addresses behind the router Một giải pháp khác nhằm bảo vệ hệ thống là ứng dụng khả năng committed access rate(CAR). CAR là chức năng nằm trong hệ thống IOS còn gọi là Cisco Express Forwarding, có mặt trong các dòng 11.1CC, 11.1CE, và 12.0. Giải pháp này cho phép hạn chế traffic đến các nguồn hoặc đích khác nhau Ví dụ sau mô tả ứng dụng CAR để giới hạn tốc độ ICMP echo và echo-reply traffic tại gateway ở mức 512 Kbps: ! traffic we want to limit access-list 102 permit icmp any any echo access-list 102 permit icmp any any echo-reply ! interface configurations for borders interface Serial3/0/0 rate-limit input access-group 102 512000 8000 8000 conform-action transmit exceed-action drop CÁC PHƯƠNG THỨC KHÁC VÀ NGUYÊN TẮC PHÒNG CHỐNG Các phương thức tấn công thông dụng Phương thức ăn cắp thống tin bằng Packet Sniffers Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành phần khác của mạng. Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN. Ta có thể cấm packet sniffer bằng một số cách như sau: Authentication Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng. Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng. Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hoá dữ liệu. Phương thức tấn công mật khẩu Password attack Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute-force để lấy user account hơn. Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork. Phương pháp giảm thiểu tấn công password: Giới han số lần login sai Đặt password dài Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa. Phương thức tấn công bằng Mail Relay Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó. Phương pháp giảm thiểu : Giới hạn dung lương Mail box Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP. Sử dụng gateway SMTP riêng Phương thức tấn công hệ thống DNS DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng. - Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS - Cài đặt hệ thống IDS Host cho hệ thống DNS - Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS. Phương thức tấn công Man-in-the-middle attack Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer. Tấn công dạng này có thể hạng chế bằng cách mã hoá dữ liệu được gởi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa. Phương thức tấn công để thăm dò mạng Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như DNS queries, ping sweep, hay port scan. Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng. Phương thức tấn công Trust exploitation Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall. Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng. Phương thức tấn công Port redirection Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở DMZ có thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside. Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó. Phương thức tấn công lớp ứng dụng Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail, HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25. Một số phương cách để hạn chế tấn công lớp ứng dụng: Lưu lại log file, và thường xuên phân tích log file Luôn cập nhật các patch cho OS và các ứng dụng Dùng IDS, có 2 loại IDS: HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên server đó. NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát cảnh báo, hay cắt session đó. Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một signature nào đó, nó sẽ phát cảnh báo. Phương thức tấn Virus và Trojan Horse Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó. Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn cập nhật chương trình chống virus mới. Các phương thức bảo mật ứng dụng Cisco IOS Từ các phân tích các kiểu tấn công thông dụng trên chúng tôi khuyến nghị các cấu hình căn bản dựa trên các tính năng thông dụng Firewall Cisco IOS với hai mô hình mạng chính : Public và Private, Các khả năng nâng cao bảo mật với tính năng mới của Cisco IOS có Firewall/IDS cho các giải pháp phòng ngừa các kiểu tấn công nêu trên. Ví dụ 1: Ví dụ sau mô tả hệ thống cấu hình cho môi trường bảo mật Private, với ví dụ trên chỉ cho phép các luồng dữ liệu từ trong ra và các luồng về của dữ liệu yêu cầu, không sử dụng cho các hệ thống bao gồm Public server. Cấu hình sau được thiết kế cho Cisco IOS version 12 trở lên của Router no ip source-route no service tcp-small-servers no service udp-small-servers no service finger interface serial 0 ip access-group filterin in ip access-group filterout out no cdp enable ntp disable no snmp no ip direct-broadcast no ip redirects no ip unreachables ip access-list extended filterin deny ip 190.190.190.0 0.0.0.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 224.0.0.0 15.255.255.255 any deny ip host 0.0.0.0 any permit icmp any any packet-too-big evaluate packets ip access-list extended filterout permit tcp any any eq 21 reflect packets permit tcp any any eq 22 reflect packets permit tcp any any eq 23 reflect packets permit tcp any any eq 25 reflect packets permit tcp any any eq 53 reflect packets permit tcp any any eq 80 reflect packets permit tcp any any eq 110 reflect packets permit tcp any any eq 119 reflect packets permit tcp any any eq 143 reflect packets permit tcp any any eq 443 reflect packets permit udp any any eq 53 reflect packets permit icmp any any packet-too-big interface ethernet 0 ip access-group 12 in access-list 12 permit 190.190.190.0 0.0.0.255 Mô tả : Chúng tả giả lập trên hai interface của Router, serial 0 interface kết nối Internet , ethernet 0 interface kết nối private network. Ví dụ về khả năng giới hạn outbound traffic (và return traffic) với các dịch vụ chọn lọc , phòng chống các kiểu tấn công D.o.S thông thường. Phòng chống khả năng ngập mạng với ICMP, FTP traffic… Ví dụ 2: Ví dụ sau mô tả khả năng thiết lập cấu hình bảo mật mạng cho các hệ thống mạng Public với các tính năng đáp ứng bảo mật bằng Firewall cho inbound access , vùng mạng dịch vụ web, mail và DNS servers. no service finger no ip source-route no service tcp-small-servers no service udp-small-servers interface serial 0 ip access-group filterin in ip access-group filterout out ntp disable no snmp no ip direct-broadcast no ip redirects no ip unreachables no cdp enable ip access-list extended filterin deny ip 190.190.190.0 0.0.0.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 224.0.0.0 15.255.255.255 any deny ip host 0.0.0.0 any permit tcp any host 200.200.200.2 eq 80 permit tcp any host 200.200.200.3 eq 25 permit udp any host 200.200.200.4 eq 53 permit icmp any any packet-too-big evaluate packets ip access-list extended filterout permit tcp host 200.200.200.2 any gt 1023 est permit tcp host 200.200.200.3 any gt 1023 est permit udp host 200.200.200.4 any gt 1023 est permit tcp any any eq 21 reflect packets permit tcp any any eq 22 reflect packets permit tcp any any eq 23 reflect packets permit tcp any any eq 25 reflect packets permit tcp any any eq 53 reflect packets permit tcp any any eq 80 reflect packets permit tcp any any eq 110 reflect packets permit tcp any any eq 119 reflect packets permit tcp any any eq 143 reflect packets permit tcp any any eq 443 reflect packets permit udp any any eq 53 reflect packets permit icmp any any packet-too-big interface ethernet 0 ip access-group filterin1 in ip access-list extended filterin1 permit ip 190.190.190.0 0.0.0.255 any permit icmp any any packet-too-big interface ethernet 1 ip access-group filterout2 out ip access-group filterin2 in ip access-list extended filterout2 permit tcp any host 200.200.200.2 eq 80 permit tcp any host 200.200.200.3 eq 25 permit udp any host 200.200.200.4 eq 53 permit icmp any 200.200.200.0 0.0.0.255 packet-too-big ip access-list extended filterin2 permit tcp host 200.200.200.2 any gt 1023 est permit tcp host 200.200.200.3 any gt 1023 est permit udp host 200.200.200.4 any gt 1023 est permit icmp 200.200.200.2 0.0.0.255 any packet-too-big deny ip any 190.190.190.0 0.0.0.255 permit tcp host 200.200.200.4 any eq 53 permit udp host 200.200.200.4 any eq 53 permit tcp host 200.200.200.3 any eq 25 Mô tả : Với các thiết kế ví dụ trên đáp ứng giảm thiểu khả năng làm ngập mạng với ICMP, FTP traffic, D.o.S request đến hệ thống DNS, Mail Bomb… Đối với các hệ thống IOS hỗ trợ tính năng Firewall và IDS thì một ví dụ sau sẽ mô tả khả năng phòng chống và nhận diện các kiểu tấn công mới như: Instruder attack, Virus, Broute force attack… Với các chức năng tiên tiến dựa trên kiểm định Log và thời lượng truy cập. Khả năng này còn có khả năng khống chế các kiểu thăm dò mạng với các công cụ Scanner. ip subnet-zero (enables networks on the 0 boundary) ip classless (allows for CIDR netmasks) If you are using the IOS Firewall/IDS Feature Set... ip inspect max-incomplete low 100 ip inspect max-incomplete high 300 ip inspect dns-timeout 8 ip inspect tcp idle-time 7200 ip inspect tcp finwait-time 8 ip inspect tcp max-incomplete host 100 block-time 1 ip inspect name Internet tcp alert on audit-trail on timeout 7200 ip inspect name Internet udp alert on audit-trail on timeout 60 ip inspect name Internet http alert on audit-trail on timeout 120 ip inspect name Internet smtp alert on audit-trail on timeout 30 ip inspect name Internet ftp alert on audit-trail on timeout 120 ip inspect name Internet fragment maximum 250 timeout 15 ip audit attack action alarm drop ip audit notify log ip audit po max-events 50 ip audit protected x.y.z.0 to x.y.z.255 ip audit smtp spam 100 ip audit name Internet attack action alarm drop interface fastethernet 1/0 ip access-group 101 out ip access-group 102 in ip inspect Internet in ip audit Internet in Phụ lục sau sẽ mô tả chi tiết các quy trình bảo mật hệ thống với các tính năng của IOS Cisco và ứng dụng bảo mật cho các dịch vụ mạng khác. END.