4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO VIỆT NHÂN THỌ 4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG NGHỆ ACTIVE DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI NHỮNG CHÍNH SÁCH BẢO MẬT
Trang 1XÂY DỰNG GIẢI PHÁP BẢO MẬT
Version 1.0
Trang 2MỤC LỤC
1 GIỚI THIỆU 3
2 PHẠM VI NỘI DUNG TÀI LIỆU 4
3 HIỆN TRẠNG HỆ THỐNG MẠNG CỦA BẢO VIỆT NHÂN THỌ 4
4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO VIỆT NHÂN THỌ 4
4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG NGHỆ ACTIVE DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI NHỮNG CHÍNH SÁCH BẢO MẬT CHUNG (GROUP POLICY) CHO TÒAN BỘ HỆ THỐNG 4
4.1.1 Lên kế họach và thiết lập OUs 6
4.1.2 Hiệu chỉnh và tối ưu hóa Group Policy cho hệ thống của Bảo Việt Nhân Thọ 7 4.1.3 Cài đặt phần mềm thông qua chính sách (Group Policy) cho tòan bộ hệ thống… 9
4.2 XÂY DỰNG GIẢI PHÁP BẢO MẬT DÀNH CHO VIỆC KẾT NỐI RA INTERNET 11 4.3 XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VIRUS, SPYWARE, TROJAN, VÀ NHỮNG ĐỌAN MÃ PHÁT TÁN NGUY HIỂM 15
4.3.1 Giới thiệu 15
4.3.2 Giải pháp thực hiện 15
Giải pháp phòng chống virus cho mạng doanh nghiệp 16
4.3.3 Sử dụng dịch vụ WSUS (Windows Software Update Services) dành cho việc tự động cập nhật các bản vá lỗi mới nhất của hệ điều hành Microsoft kết hợp với bộ sản phẩm GFI LANguard N.S.S 16
4.4 SỬ DỤNG NHỮNG CÔNG CỤ HỖ TRỢ CHO VIỆC QUẢN TRỊ VÀ THU THẬP THÔNG TIN HỆ THỐNG 22
4.4.1 Các công cụ và chính sách trong việc theo dõi thu thập sự kiện 22
4.4.1.1 Công cụ EventCombMT 22
4.4.1.2 Sản phẩm Microsoft Operations Manager 2005 23
4.4.1.3 Sản phẩm Microsoft Systems Management Server 2003 23
4.5 THU THẬP PHÂN TÍCH THÔNG TIN TỪ CÁC SỰ KIỆN CẢNH BÁO 24
4.5.1 Theo dõi vấn đề an ninh và phát hiện các cuộc tấn công 25
4.5.1.1 Truy cập vào những máy tính không được xác thực 25
4.5.1.2 Trojans, Rootkits, và Malware 26
4.5.1.3 Truy cập vào tài nguyên bằng cách thay đổi quyền hạn bảo mật 26
4.5.1.4 Truy cập vào tài nguyên bằng việc thay đổi thông tin mật khẩu 26
4.5.1.5 Sự thay đổi tài khỏan người dùng 27
4.5.1.6 Sự thay đổi thành viên trong nhóm tổ chức 27
4.5.1.7 Sự đăng nhập trái phép của những tài khỏan không được xác thực và tồn tại trong hệ thống 27
4.5.1.8 Đăng nhập trái phép bằng những tài khỏan dịch vụ có quyền hạn 28
4.5.1.9 Thực thi những chương trình không được xác thực 28
4.5.1.10 Truy cập vào những nguồn tài nguyên không được phép 28
4.5.1.11 Sử dụng những hệ điều hành khác không được xác thực trong hệ thống 28
4.5.1.12 Tạo hoặc xóa các mối quan hệ tin tưởng trong việc truy cập tài nguyên hệ thống29 4.5.1.13 Thay đổi những chính sách bảo mật 29
4.5.1.14 Tấn công và dò quét bằng những tài khỏan hợp lệ 29
4.5.1.15 Thực thi những đọan mã nguy hiểm 30
4.5.1.16 Đánh lạc hướng các sự kiện theo dõi của hệ thống 30
5 LỢI ÍCH CỦA VIỆC XÂY DỰNG GIẢI PHÁP BẢO MẬT HỆ THỐNG MẠNG 31
Trang 31 GIỚI THIỆU
Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm Một khi Internet ra đời và phát triển thì nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu của việc nối mạng là để cho mọi người có thể dùng chung tài nguyên từ những
vị trí địa lý khác nhau Cũng chính vì vậy mà các tài nguyên sẽ rất dễ bị phân tán, dẫn đến một điều hiển nhiên là chúng sẽ dễ bị xâm phạm gây mất mát dữ liệu cũng như các thông tin có giá trị khác Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật
Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện, bảo mật ra đời
Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin
mà còn nhiều phạm vi khác như kiểm duyệt Web, bảo mật Internet, bảo mật thư điện tử, các hệ thống thanh tóan điện tử và giao dịch trực tuyến khác, ngay cả trong hệ thống mạng nội bộ của một doanh nghiệp v.v…
Mọi nguy cơ trên mạng đều là một mối nguy hiểm tiềm tàng Từ một lỗ hổng bảo mật nhỏ của các hệ thống, nhưng nếu được lợi dụng với tần suất cao và kỹ thuật tấn công điêu luyện thì cũng sẽ trở thành một tai họa
Theo số liệu thống kê của tổ chức bảo mật nổi tiếng CERT (Computer Emegency Response Team) thì số các vụ tấn công ngày càng tăng, cụ thể là:
• Năm 1989, có khỏang 200 vụ tấn công và truy cập trái phép trên mạng Internet được báo cáo
• Năm 1991 là 400 vụ
• Năm 1993 là 1400 vụ
• Năm 1994 là 1300 vụ
• Những năm 200x là hàng chục nghìn vụ trên mỗi năm
Nói chung, số vụ tấn công trên mạng ngày càng tăng lên với tốc độ chóng mặt Cũng thật dễ hiểu vì công nghệ phát triển ngày một nhanh và ý thức của người sử dụng cũng hạn chế nên nạn đánh cắp thông tin và phá hoại cũng phát triển theo chiều hướng chung
Vậy chúng ta cần bảo vệ những tài nguyên nào? Câu trả lời đầu tiên đó chính là dữ liệu Liên quan đến dữ liệu thì chúng ta cần tâm đến những vấn đề sau đây:
Yếu tố con người chính là tài nguyên thứ ba, cũng là vấn đề khá quan trọng trong lĩnh vực bảo mật Chúng ta cũng có thể trở thành thủ phạm bất đắc dĩ nếu như một hacker nào đó lợi dụng uy tín của mình để khai thác và tấn công những mục tiêu khác
Do đó, ngòai việc thiết lập hạ tầng cho vững chắc chúng ta còn phải lên kế hoạch và đưa ra các chính sách chung cho tòan bộ hệ thống, nhằm tăng khả năng bảo vệ từ phía
Trang 4bên ngòai, mà còn tăng cường độ an tòan và tránh thất thóat thông tin từ phía bên trong của người dùng đầu cuối, kể cả việc bảo vệ an tòan cho hệ thống mạng nội bộ
2 PHẠM VI NỘI DUNG TÀI LIỆU
Trong tài liệu này chúng tôi sẽ trình bày những vấn đề liên quan sau:
• Xem xét, đánh giá lại toàn bộ hạ tầng truyền thông hiện tại quý công ty
• Trình bày giải pháp bảo mật tổng thể bằng việc đưa ra các chính sách chung và quản trị tập trung bằng các công cụ và sản phẩm nổi tiếng đã được áp dụng cho rất nhiều doanh nghiệp và tập đòan lớn trên thế giới
3 HIỆN TRẠNG HỆ THỐNG MẠNG CỦA BẢO VIỆT NHÂN THỌ
Qua khảo sát thực tế, chúng tôi nhận thấy những băn khoăn về việc bảo mật cho hạ tầng mạng bên trong của công ty là có cơ sở Với những hệ thống máy tính người dùng hiện tại vẫn đang ở trạng thái không quản lý được Việc cài đặt các phần mềm linh tinh khác vẫn đang diễn ra và khó kiểm sóat Khi gặp vẫn đề trục trặc thì người quản trị lại bị quá tải trong việc xử lý máy tính của từng nhân viên Và quan trọng nhất là tình trạng tấn công từ phía bên ngòai và virus lây qua đường email tràn lan trong hệ thống
Dựa theo sự việc trên, trong tài liệu này, chúng tôi cung cấp những giải pháp mà thiết nghĩ Bảo Việt Nhân Thọ nên quan tâm, dò quét và thiết lập việc cài đặt lại hệ thống sao cho có thể hạn chế tối đa việc thất thóat thông tin và tăng cường thêm tính năng bảo mật phòng thủ cho hệ thống
4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO VIỆT NHÂN THỌ
4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG NGHỆ ACTIVE DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI NHỮNG CHÍNH SÁCH BẢO MẬT CHUNG (GROUP POLICY) CHO TÒAN BỘ HỆ THỐNG
Dựa theo những yêu cầu và mục tiêu của Bảo Việt Nhân Thọ, cũng như những mô hình quản trị tập trung khác, tòan bộ hệ thống của chúng ta phải là một thể thống nhất, qua
đó mới có thể đưa ra được những sách chung cho việc quản lý và phân phối tài nguyên,
kể cả việc “ép buộc” ngòai ý muốn, y như tổ chức của một mô hình doanh nghiệp bên ngòai thực tế Hãng phần mềm khổng lồ của thế giới từ lâu nay vẫn tự hào kiến trúc công nghệ Active Directory của họ là một sản phẩm không thể thiếu trong việc quản trị, phân quyền trên tài nguyên cho người sử dụng và dễ dàng nâng cấp song song với sự phát triển của doanh nghiệp, từ mô hình cỡ trung, vừa và kể cả vĩ mô
Kiến trúc hạ tầng của dịch vụ Active Directory có thể sử dụng trong việc quản lý người dùng và các máy tính, máy in, tài nguyên chia sẽ v.v… Qua đó chúng ta có thể thấy thế mạnh của dịch vụ này là sẽ tăng cường tính bảo mật cho hệ thống mạng bên trong Mỗi lần phát triển và cải tiến một hệ điều hành máy chủ, từ dòng Windows NT Server 4.0, rồi Windows 2000 Server, Windows 2003 Server, dịch vụ Active Directory cũng phát triển theo một cách nhanh chóng, tăng cường khả năng bảo mật hơn, dễ thích nghi với cấu trúc phát triển của doanh nghiệp, và dễ dàng hơn trong việc cấu hình quản trị Thế mạnh của nó bao gồm những tính năng sau đây:
• Sử dụng đơn vị tổ chức (Organization Units): OUs cung cấp một cơ sở dữ liệu tập trung cho tất cả các nguồn tài nguyên trong hệ thống, bao gồm tài khỏan
Trang 5người dùng, máy tính của người sử dụng, máy in, tài nguyên chia sẽ và những
đối tượng (Object) khác Điều này cho phép người quản trị có thể tạo và nhóm
các đối tượng có cùng một tính chất chung về mặt luận lý, qua đó dễ dàng trong
việc phân chia và nhóm những đối tượng có cùng tính chất, phù hợp với mô hình
tổ chức của công ty
• Chính sách nhóm (Group Policy): chính sách này có thể sử dụng trên một phạm
vi rất rộng Nó giống như một luật lệ, chính sách mà khi sống tại một quốc gia
nào, chúng ta đều phải tuân theo và đồng thuận Qua đó, nó có thể đưa ra việc
ép những đối tượng trong hệ thống phải tuân thủ những quy định do người quản
trị đặt ra Nó được sử dụng trong việc ép buộc các chính sách về việc cấu hình,
cài đặt và giới hạn quyền sử dụng trên cấp độ tài khỏan (Users) và máy tính
người của người sử dụng (Computers) trong tòan bộ hệ thống
• Roaming Profiles: đây là một tính năng khá hay, nó cho phép những người dùng
hay đi công tác xa, hoặc không ngồi cố định một vị trí, thì tài nguyên, hay những
cài đặt cá nhân của họ, sẽ được giữ y nguyên khi họ di chuyển sang sử dụng trên bất kỳ một máy tính nào khác, giống như họ đang ngồi trên chính máy tính của
mình vậy Việc này chúng ta cũng có thể làm thông qua Group Policy
Mô hình tồng thể với dịch vụ Active Directory
Trang 6Do đó, để quản trị tập trung và nhằm tăng cường tính bảo mật cho hệ thống, dựa theo
mô hình trên, tòan bộ những hệ thống máy chủ và máy trạm sẽ tham gia vào một
domain với cùng một cơ sở dữ liệu AD chung Chúng ta sẽ có hai máy chủ dùng để chứa cơ sở dữ liệu Active Directory, trong đó sẽ có một máy sử dụng trong việc backup một khi máy chủ chính bị ngưng họat động Chúng ta cũng sẽ có những máy chủ cung cấp các dịch vụ khác cho hệ thống như dịch vụ cung cấp địa chỉ động DHCP, DNS, Web Server, Mail Server, Proxy Server, dịch vụ chứng thực điện tử CA, RADIUS Server v.v……
Ngoài ra, cũng nhằm tăng cường về an ninh, chúng tôi cũng khuyến cáo sử dụng thêm vùng DMZ và hệ thống sẽ bao gồm hai tường lửa, như theo mô hình trên Mục đích khi cung cấp các sản phẩm về dịch vụ và thiết kế, chúng tôi thường theo quan điểm trong
hệ thống không nên sử dụng thuần sản phẩm của một hãng nào đó, mà nên là đa hãng (Multi-Vendor), vì khi những kẻ tấn công xâm nhập vào hệ thống, nếu đã vượt qua được một thiết bị hay máy chủ của một hãng, thì chúng sẽ gặp rắc rối với những thiết bị của một hãng khác vì lỗi xảy ra ở một thiết bị của nhà cung cấp này, chưa chắc đã là lỗi của một thiết bị của nhà cung cấp kia Do đó, ngay tại đầu ngòai, chúng ta nên đặt một thiết
bị tường lửa sử dụng thiết bị phần cứng, ví dụ như PIX của Cisco, hay CheckPoint Nokia v.v… Còn tường lửa phía bên trong, có thể sử dụng những sản phẩm mềm khá hay và nổi tiếng như sản phẩm ISA của Microsoft, hay IPCOP, hoặc Linux Firewall v.v……
Ngoài việc tập trung hệ thống vào cơ sở dữ liệu AD, sẽ có những trường hợp ngọai lệ không cho phép một máy tính người dùng nào đó tham gia vào mô hình Do đó chúng ta
sẽ phải đưa ra những luật lệ tối thiểu cho việc đưa ra những chính sách chung ngay từ đầu, có như thế việc quản trị về sau sẽ đỡ phức tạp cho người Admin
4.1.1 Lên kế họach và thiết lập OUs
Trước khi thông qua việc lên kế họach và thiết lập OUs, thì người quản trị đã phải có và nắm rõ hệ thống sẽ bao gồm bao nhiêu Site, mỗi Site sẽ có bao nhiêu người dùng, bao nhiêu máy tính, hệ thống domain hiện tại đã có chưa, với tên miền là gì? Phòng ban có tổng cộng là bao nhiêu trực thuộc bộ phận nào? v.v…… Vì họat động của GP là nó sẽ
áp từ cấp độ domain xuống, và tuân theo quy luật áp sẽ là Site Æ Domain Æ OUs
Hệ thống của quý công ty sẽ có một hay nhiều máy chủ được cài đặt bộ cơ sở dữ liệu Active Directory dùng để tập trung và quản lý tòan bộ đối tượng và tài nguyên trong hệ thống Trên đó chúng ta sẽ lên kế họach định hình và tổ chức các nhóm OU, tương ứng với từng nơi, từng bộ phận, và từng phòng ban cùng với những người sử dụng máy tính trong công ty
Sau đây là một ví dụ điển hình tổ chức OUs của một công ty có tên miền
BusinessName.com:
Trang 7Sau khi người quản trị nắm rõ cấu trúc và mô hình tòan thể của doanh nghiệp mình, lúc
đó mới có thể lên kế họach tạo ra cấu trúc OUs theo ví dụ như trên
Như đã nói ở phần 4.1, thế mạnh khi tổ chức OUs của Microsoft là chúng ta sẽ hoàn
toàn có thể điều khiển và quản trị tập trung những đối tượng nằm trong nó, thông qua các chính sách mà người quản trị đặt ra (Group Policy)
Việc cài đặt và áp dụng Group Policy sẽ được áp từ trên xuống theo mô hình cây phả
hệ Lấy ví dụ nếu một nhân viên nằm trong OUs tên là Sales theo như mô hình trên, nếu chúng ta tạo và áp chính sách (Group Policy) trên domain chính có tên
BusinessName.com với việc sẽ khóa tài khỏan khi người dùng đăng nhập quá ba lần với việc điền sai mật khẩu, mà OU Sales lại nằm trong OU Internal, Internal lại nằm trong Users, Users lại nằm trong BusinessName, như vậy những người dùng trong nhóm
Sales sẽ chịu một chính sách bị khóa mật khẩu giống như trên Ngòai ra chúng ta còn có thể tùy biến trong việc cấu hình Group Policy với những tính năng mà hầu như đáp ứng được mọi nhu cầu khó khăn nhất mà người quản trị hệ thống cần
4.1.2 Hiệu chỉnh và tối ưu hóa Group Policy cho hệ thống của Bảo Việt Nhân Thọ
Như chúng tôi đã nêu ở phần trên, chính sách của người quản trị đặt ra cho các đối
tượng trong hệ thống, thì thứ tự áp của nó sẽ trôi từ trên xuống theo cấp độ Site Æ
Domain Æ OUs Và tùy theo từng cấp độ , chúng ta có thể cấu hình các chính sách sao
cho phù hợp với yêu cầu và quy mô của công ty, và đây là những cấu hình Group Policy thao khảo dành cho Bảo Việt Nhân Thọ:
Domain:
Cấu hình Giá trị cho cấu hình
Trang 8Cấu hình Giá trị cho cấu hình
• Passwords must meet complexity
• Reset account lockout counter after • 30 minutes
Bảng 1 Group Policy Settings dành cho cấp độ Domain
• Cấp độ những OU nhóm các hệ thống máy chủ (Servers OU):
Cấu hình Giá trị cho cấu hình
• Interactive logon: Do not display last
user name
• Enabled
• Network access: Do not allow
anonymous enumeration of SAM accounts and shares
• Enabled
• Shutdown: Allow system to be shut
notification for install
• Automatically publish new printers in
Active Directory
• Enabled
Bảng 2 Group Policy Settings dành cho Servers OU
• Cấp độ OU dành cho việc nhóm các máy tính người dùng trong hệ thống:
Cấu hình Giá trị cho cấu hình
• Interactive logon: Do not display last
user name
• Enabled
Trang 9Cấu hình Giá trị cho cấu hình
message
• Network access: Do not allow
anonymous enumeration of SAM accounts and shares
• Enabled
and install
with Service Pack 1 (SP1) and earlier
• Enabled, with specific exceptions, for Windows
XP with SP2 and later
Bảng 3 Group Policy Settings dành cho Computers OU
• Khi lên kế họach triển khai OUs, Microsoft cung cấp rất nhiều tùy chọn cho việc cài đặt các chính sách bảo mật này, tùy cấu trúc của doanh nghiệp, sẽ có nhiều lọai OU dành cho các nhóm máy tính, nhưng đối với BVNT, chúng tôi đưa ra hai lọai chính sau đây:
o Desktops OU: OU này sẽ có tất cả những cấu hình bảo mật chính dành cho tất cả các máy tính trạm của văn phòng chính Chính sách GPOs sẽ áp đặt cho OU này theo những mục đích sau:
Cho phép người dùng cấu hình các việc cơ bản trên máy tính, nhưng không cho phép hiệu chỉnh thiết lập thông số kết nối mạng, cài đặt cấu hình phần cứng và những cấu hình quan trọng của hệ thống
Cho phép người dùng có thể đăng nhập và lấy dữ liệu của chính mình
từ bất cứ máy tính nào trong mạng, nhưng không lưu lại những trạng thái sử dụng đó khi người dùng thóat và rời khỏi chỗ ngồi của mình ngay tại máy
Ngăn chặn việc ghi dữ liệu của người dùng trên nội tại của một máy tính để người dùng sẽ lưu vào chính thư mục của mình ngay trên mạng, mang tính chất dễ dàng sao lưu về sau
Các thiết lập độ bảo mật khác cũng phải ở mức cao
o Mobiles OU: OU này mang tính chất dùng cho người hay sử dụng thiết
bị xách tay hoặc thiết bị di động khác Qua đó chúng ta cũng sẽ thiết lập các chính sách GPOs để áp việc bảo mật vào cho OUs này
Ngòai ra chúng ta còn có thể tạo thêm và tùy biến để cấu hình Group Policy cho các đối tượng OU khác trong hệ thống tùy theo nhu cầu và sự tổ chức hợp lý trong hệ thống của quý công ty
4.1.3 Cài đặt phần mềm thông qua chính sách (Group Policy) cho tòan bộ
hệ thống
Một trong những thế mạnh mà Group Policy của AD cung cấp đó là khả năng triển khai cài đặt phần mềm tập trung đến các máy trạm mà người quản trị không phải đến từng máy để thiết lập việc đưa đĩa chương trình vào ổ CD tại máy đó
Trang 10Việc thực hiện cài đặt này cho chúng ta hai giải pháp Thứ nhất là cài đặt theo cơ chế
Publish mà người sử dụng có thể tự cài đặt phần mềm theo ý thích bằng cách vào công
cụ Add/remove Programs trong Control Panel để tự thiết lập riêng cho mình Cách thứ
hai được gọi là Assign, Group Policy sẽ tự động cài đặt phần mềm vào máy tính của
người dùng một cách tự động khi máy tính đó tham gia và người dùng đăng nhập vào
hệ thống
Hiện nay đã và đang có rất nhiều những phần mềm dành cho phía máy trạm mà được cài đặt thông qua Group Policy dùng để quản lý việc cập nhật các bản vá lỗi cho hệ điều hành, hoặc cập nhật các nhận dạng virus mới, hay các chương trình dùng trong việc bảo mật tập trung đối với hệ thống máy trạm khi những máy này đi đến Gateway để ra ngòai Internet, v.v…
Trang 114.2 XÂY DỰNG GIẢI PHÁP BẢO MẬT DÀNH CHO VIỆC KẾT NỐI RA INTERNET
Ngòai việc thiết lập các chính sách quản trị tập trung bằng AD, phần lớn đã giải quyết được việc bảo vệ tài nguyên bên trong hệ thống mạng, chúng ta còn phải xem xét việc thiết lập những chính sách liên quan đến việc kết nối ra bên ngòai Internet cho công ty
Vì vấn đề này là một vấn đề rất nhạy cảm khi hệ thống có kết nối ra môi trường công cộng Khi các rule của hạ tầng được siết chặt một cách thống nhất, ban quản trị có thể yên tâm hơn vì đôi khi chỉ do một vấn đề nhỏ nào đó ngay tại vùng kết nối ra bên ngòai
bị bỏ qua, nó cũng là nguyên nhân gây nên tai họa khôn lường
Các chính sách chúng tôi có thể đưa ra tổng thể sau đây:
• Cung cấp cho người dùng truy cập Internet bên trong với việc bảo mật thông qua
hệ thống Proxy, nó hành động như một bộ máy dò quét gói tin đi ra đi vào
• Thiết lập hệ thống phòng thủ và cảnh báo IDS/IPS bên trong nhằm tránh việc dò quét và xâm nhập từ bên ngòai Internet Ngòai ra chúng còn có thể phát hiện và ngăn chặn những dạng xâm nhập trái phép ở hệ thống bên trong một khi chúng không biết xuất nguồn từ những gói tin đó và cảnh báo đến ban quản trị
• Xây dựng những dịch vụ về tường lửa dùng để thực thi việc kiểm tra gói tin và sử dụng công nghệ chuyển dịch địa chỉ (NAT) nhằm ẩn dấu các hệ thống địa chỉ luận
lý nội bộ mạng LAN bên trong
• Xây dựng những hệ thống lọc tín hiệu ra vào ở tầng ứng dụng (Application Layer) như SMTP, HTTP và FTP nhằm phát hiện ra những đọan mã độc hại
• Thiết lập hệ thống Web caching nhằm tăng cường độ ổn định và tốc độ truy cập đến những site sử dụng giao thức HTTP và FTP cho người dùng theo hai lọai:
o Người dùng ở mạng nội bộ truy cập những site ngoài Internet
o Người dùng ngòai Internet truy cập vào hệ thống site nội bộ
• Xây dựng và đưa ra những dịch vụ cung cấp về việc quan sát và thu thập phân tích thông tin dựa trên lưu lượng của tòan bộ hệ thống, như lưu lượng truy cập Internet của người dùng trong ngày trong tháng trong năm là bao nhiêu, những giao thức chính nào mà người dùng hay sử dụng trong việc giao tiếp, những cảnh báo nào hay được đưa ra nhiều nhất v.v…… Qua đó người quản trị có thể phân tích để đưa ra các giải pháp thích hợp để giải quyết tình trạng đang gặp phải, nhằm mang lại sự ổn định cho hệ thống và tăng thêm độ an tòan cho cả mạng
Trang 12Sơ đồ cấu trúc mẫu về bảo mật hạ tầng bên trong
• Giải pháp được đưa ra dựa trên hạ tầng Bảo Việt Nhân Thọ:
Để bảo vệ cho hệ thống kết nối ra Internet, những dịch vụ tối thiểu cần phải có trong
hệ thống bao gồm những thành phần sau đây:
o Hệ thống tường lửa
o Hệ thống phát hiện chống xâm nhập IDS/IPS
o Hệ thống lọc gói tin ở tầng ứng dụng (Application filtering)
o Hệ thống lưu thông tin, quan sát và gửi cảnh báo đến người quản trị
o Và cuối cùng là dịch vụ ủy quyền Proxy và Caching Web
Những thành phần trên có thể được tích hợp thông qua hai loại :
o Thiết bị phần cứng trong việc tích hợp cho mục đích chuyên biệt
(Dedicated hardware devices) Các thiết bị này bao gồm tính năng tường lửa, phát hiện chống xâm nhập, tính năng Proxy v.v… Ngòai ra nếu có sử dụng mô hình kết nối VPN thì chúng ta cũng có thể đưa vào những thiết bị quản lý và cung cấp các truy cập thông qua VPN
o Máy chủ tường lửa tích hợp Theo cách này, chúng ta cũng có thể cung cấp những dịch vụ trên, và hiện tại đã và đang có nhiều tổ chức áp dụng kiểu lọai này dựa trên sản phẩm của các hãng nổi tiếng như CheckPoint, NetScreen, SonicWall, ISA của Microsoft v.v…
Nếu thiết lập chính sách chặt chẽ trên những thiết bị này, chúng ta có thể hạn chế được phần lớn các lọai tấn công và truy cập trái phép vào hệ thống bên trong thông qua đường HTTP, FTP và email Trên đó, người quản trị chỉ cung cấp và mở những cổng cần thiết, tương ứng với từng mục đích và từng dịch vụ được cung cấp cho người dùng Những gì không cần thiết, chúng ta phải đóng và tắt hết các cổng
Trang 13Sau đây là những chính sách khuyến cáo được thiết lập tại tường lửa mặt ngoài:
Application Ports Direction
office systems, VPN clients, and branch office systems
Home and mobile users and business partners
Internet Internal users in the
main office and branch offices
Internal and Internet SMTP servers
Internal and Internet SMTP servers
Home and mobile
Trang 14users and business partners
All other
Trang 154.3 XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VIRUS, SPYWARE, TROJAN, VÀ NHỮNG ĐỌAN MÃ PHÁT TÁN NGUY HIỂM
• Dịch vụ bảo mật trong việc kết nối ra Internet
• Dịch vụ tập tin (File Services)
• Dịch vụ đa cộng tác(Collaboration services)
Nhưng trình tự chung của việc cài đặt vẫn tuân theo một quy chuẩn sau đây:
1 Cài đặt hệ thống Antivirus và những thành phần liên quan trên máy chủ phụ của
hệ thống
2 Cho phép máy chủ này cập nhật các bản vá lỗi và danh sách virus mới nhất từ chính máy chủ của hãng cung cấp dịch vụ này để hệ thống có thể nhận dạng và tiêu diệt những lọai virus hiện tại, cho đến thời điểm chúng được cập nhật
3 Cài đặt chương trình antivirus dùng cho máy trạm lên tất cả những thành phần còn lại trong hệ thống như các máy tính để bàn, máy chủ dịch vụ, kể cả những thiết bị di động liên quan
4 Cài đặt những chương trình cung cấp việc nhận dạng các lọai Spyware và
Adware trên các máy trạm và máy chủ thích hợp trong hệ thống
5 Cấu hình việc lọc các lọai Spam-mail trên các máy chủ mail
6 Cài đặt thêm các thành phần ứng dụng trong việc lọc nội dung gói tin tại hệ thống tường lửa hay những thiết bị liên quan, dùng để kiểm sóat toàn bộ lưu thông trong mạng
Sau đây là sơ đồ mô tả cụ thể các bước trên
