Dự án giải pháp bảo mật mạng ngân hàng pot

o Hệ thống tổng đài IP phục vụ liên lạc của công ty - Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như: E-Mail, Web site thông tin thị trường, Online B

DỰ ÁN

GIẢI PHÁP BẢO MẬT MẠNG

NGÂN HÀNG

Nhóm sinh viên thực hiện :

Phạm Thế Thao – 507101065 Nguyễn Thị Hạnh Trang – 507104042.

Chu Công Thái – 507104033.

1) Các mục chính :

- Mục đích yêu cầu , sơ đồ logic

- Cái Nhìn Tổng Quan Về Bảo Mật

- Một Số Loại Tấn Công Thường Gặp

- Security Blueprint

- Firewall và IDS

- Antivirus System

- Security Scanner System

- Security Central Managament Sysment

- Kết Luận

2) Yêu cầu và sơ đồ logic của ngân hàng

- Bảo đảm an toàn cho toàn bộ thông tin trên mạng, chống lại mọi sự truy nhập bất hợp pháp vào mạng khi ngân hàng kết nối ra internet

- Kiểm soát được mọi hành động truy nhập vào mạng của người sử dụng Đảm bảo an ninh từ những người sử dụng bên trong ngân hàng

- Có khả năng bảo đảm an toàn dữ liệu truyền, nhận qua các dịch vụ đường truyền do bưu điện cung cấp (PSTN)

- Chi phí phù hợp với dự trù kinh phí của ngân hàng

- Đáp ứng được khả năng mở rộng của mạng trong tương lai: mở rộng về số lượng máy trạm, số lượng máy chủ, các mạng LAN và các ứng dụng

Sơ đồ logic mạng ngân hàng :

Hình 1 : Sơ đồ logic của ngân hàng sau thiết kế

Phân tích sơ đồ

Năm phân vùng trong mô hình bảo mật tổng thể là:

- Vùng mạng LAN bên trong toà nhà của ngân hàng , vùng này bao gồm:

o Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp

vụ tư vấn tài chính, môigiới mua bán ngân hàng

o Hệ thống tổng đài IP phục vụ liên lạc của công ty

- Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như: E-Mail, Web site thông tin thị trường, Online Brokerage,

Online OTC…

- Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống quản lý các giao dịch ngân hàng

- Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của công ty, vùng này bao gồm:

o Nhân viên của ngân hànghoạt động tại 2 trung tâm 1 và các nơi khác truy cập VPN (Client to Site) về mạng của công ty

o Các nhà đầu tư truy cập vào Web site và dịch vụ ngân hàng trực tuyến (Online Brokerage, Online OTC) của công ty

- Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào hệ thống mạng của công ty Đây cũng là vùng kết nối mạng thông tin từ ngân hàngtới mạng của các Ngân hàng thanh toán, lưu kí trong tương lai

a) Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall

Mạng trong phạm vi toà nhà của công ty sẽ được chia làm ba vùng chính:

- Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email, các ứng dụng Online Brokerage, Online OTC…

- Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL khách hàng, giao dịch, lưu kí… Đây là vùng các Servers chính vận hành toàn bộ hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán ngân hàng

- Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống tổng đài IP

b) Thiết lập và bảo vệ các kết nối VPN

Hình 4 : Sơ đồ diễn tả cho Topology

3) Cái nhìn tổng quan về bảo mật

- Là một tiến trình dần hoàn thiện chứ không phải một sản phần hoàn thiện 100%

- An ninh mạng là một hệ thống tích hợp của nhiều yếu tố chứ không phải riếng 1 thiết bị

- An ninh mạng bao gồm các yếu tố

o Firewalls - router access control lists (ACLs)

o Mạng – Hệ thống phát hiện xâm nhập trên máy chủ (NIDS and HIDS)

o Trung tâm bảo mật và các chính sách quản lý

o Chứng thực , ủy quyển , cấp phép (AAA) điều khiển truy cập

o Mã hóa và các mạng riêng ảo (VPNs)

- Tất cả đều là mục tiêu tấn công

o Routers , switches , hosts , networks , applications , information, management tools

o Tất cả các tấn công không thể bị chặn bởi 1 thiết bị

o An ninh mạng đòi hỏi hệ thống tích hợp

o Yêu cầu bảo mật mạng theo nhiều lớp

o Nhúng bảo mật trên toàn mạng

o Bảo mật trên từng thiết bị

o Mạng của quản lý và người dùng phải luôn được an toàn

4) Một số phương pháp tấn công thường gặp

- Phương Pháp Listener

o Khai thác lỗi và sửa hệ thống (Bugs SQL)

o Làm tràn bộ nhớ (Buffer Overflow)

o Đánh lừa khách hàng (Trojan)

- Tấn công ngăn xếp vào các gói tin bị hỏng

(Oversize, Fragmentation)

- Lan tràn (DDoS , SYN)

5) Sercurity Blueprint (Đưa ra giải pháp dự kiến)

Hình 2 : Vòng tròn an ninh mạng mà các doanh nghiệp gặp phải

a) Đưa ra các vùng dữ liệu cần bảo vệ

Vấn đề quan trọng là phải xác định được các tài nguyên của mạng ngân hàng có thể bị tác động bởi hệ thống bảo mật Các tài nguyên cần được bảo vệ:

- Phần cứng: Các máy chủ của mạng, các máy trạm, các thiết bị mạng (Routers, Access Servers)

- Phần mềm: Do đặc thù của ngân hàng là phục vụ hoạt động kinh doanh tiền tệ trên toàn lãnh thổ Việt Nam và liên hệ chặt chẽ với các ngân hàng nước ngoài, các tổ chức tín dụng quốc tế nên các phần mềm cần được bảo vệ: Hệ điều hành của các máy chủ UNIX, Windows NT, Novell Ngoài ra các chương trình ứng dụng: quản lý hệ thống tài khoản, tín dụng, các chương trình kế toán, tự động hoá văn phòng, truyền dữ liệu, ATM

- Dữ liệu: Đây là phần quan trọng cân được bảo vệ nhất của ngân hàng Dữ liệu này sẽ gồm có các dữ liệu tài khoản liên quan đến khách hàng, dữ liệu kế toán, thẻ tín dụng, ATM Các dữ liệu này rất quan trọng đối với ngân hàng nên sẽ phải được bảo vệ an toàn nhất

- Tài liệu: Các công văn, báo cáo, tài liệu, sách vở, tài liệu hướng dẫn sử dụng,

b) Các nguy cơ tấn công hệ thống

Sau khi xác định tất cả các tài nguyên phải được bảo vệ,cần phải xác định mối đe dọa đối với các tài nguyên đó Các mối đe doạ đó gồm có:

- Những truy nhập bất hợp pháp Đặc thù của mối đe doạ này là sử dụng tên của người khác để truy nhập vào mạng và tài nguyên của nó Có thể

có một số kiểu truy nhập bất hợp pháp như:

o Sử dụng những chương trình dò tìm mật khẩu Những chương trình này nằm thường trú và bị che khuất trên mạng, nó ghi lại những lần người sử dụng vào mạng cùng với các mật khẩu Các mật khẩu này sau đó được cất giữ trong một tệp tin bí mật, sau một tuần lễ, tệp này

có thể chứa tới hàng trăm tên người dùng tin và các mật khẩu riêng để sau này có thể lấy cắp những thông tin bí mật

o Hút nạp dữ liệu (Spooling): Đây là kỹ thuật nhằm có được sự truy nhập mạng từ xa bằng cách bịa ra một địa chỉ của một máy đã có tín nhiệm hay "thân quen" Bằng cách này, việc khai thác những nhược điểm về an ninh từ bên trong của hệ thống trở nên dễ dàng hơn nhiều

so với từ phía ngoài ở trạng thái này, kẻ xâm nhập trái phép có thể cài đặt được một chương trình dò tìm mật khẩu hay một phần mềm giả, giống như một "ô cửa hậu" - là một đường dẫn ngược lại vào trong máy tính

o Sử dụng lỗ hổng trong phần mềm: Không có phần mềm nào là không

có lỗi Một lỗi trong phần mềm là mối đe doạ chung của việc truy nhập bất hợp pháp Chính đây là lỗ hổng cho phép những kẻ thâm nhập trái phép làm được bất kể những gì mà người chủ máy tính đã làm Cách này hay áp dụng với hệ điều hành UNIX vì mã nguồn của

nó được phổ biến rộng rãi

- Mối đe doạ bởi sự khai thác rộng rãi thông tin Trước khi công bố hay cho phép mọi người khai thác rộng rãi vào một nguồn thông tin nào cần phải xác định giá trị của các thông tin đó.Việc công bố file chứa mật khẩu của người truy nhập vào mạng sẽ gây ra một mối đe doạ lớn cho mạng Thông tin có thể bị xâm phạm khi:

o Thông tin được lưu giữ trên máy tính

o Thông tin được truyền từ hệ thống này sang hệ thống khác

o Thông tin được lưu giữ trong tệp sao lưu (backup)

- Mối đe doạ ảnh hưởng đến hoạt động bình thường của hệ thống (Denial

of Service) Mạng thông tin ngân hàng Ngân hàng kết nối các tài nguyên

có giá trị như máy tính, CSDL và cung cấp dịch vụ cho mọi thành viên của mạng Tất cả người sử dụng của mạng đều tin rằng mọi hoạt động của mạng đều làm cho công việc của họ trở nên có hiệu quả Nếu mạng không làm việc thì sẽ có những mất mát trong hoạt động kinh doanh Do

đó mối đe doạ ảnh hưởng đến hoạt động bình thường của mạng cũng cần được xem xét:

o Mạng trở nên không hoạt động được bởi một khối dữ liệu lang thang

o Mạng trở nên kém hiệu quả bởi quá tải của dữ liệu

o Mạng có thể bị chia nhỏ do sự ngừng hoạt động của một thiết bị

mạng

o Virus làm phá hoại dữ liệu hay hỏng một máy nào đó

o Thiết bị dùng để bảo vệ mạng có thể bị phá vỡ

- Mối đe doạ từ bên trong Người sử dụng bên trong mạng có nhiều cơ hội hơn để truy nhập vào các tài nguyên của hệ thống Đối với ngân hàng có đặc thù lớn là do nhiều mạng LAN của trung tâm, chi nhánh kết nối vào,

do đó nếu người sử dụng trong mạng có ý muốn truy cập vào những tài nguyên của hệ thống thì họ sẽ gây nên một mối đe doạ cho mạng Người

sử dụng bên trong có thể được gán những quyền không cần thiết, có thể

bị mất mật khẩu và đó sẽ là mối đe doạ lớn đối với hệ thống an toàn mạng

- Nguy cơ bị nghe trộm, thay đổi thông tin truyền đi trên mạng công cộng (PSTN) Đây là một nguy cơ tiềm ẩn và ảnh hưởng trực tiếp đến hoạt động kinh doanh của ngân hàng Hacker có thể sử dụng các công cụ, thiết

bị đặc biệt để móc nối vào hệ thống cáp truyền thông của ngân hàng để nghe trộm thông tin nguy hiểm hơn hacker có thể sửa chữa, thay đổi nội

dung thông tin đó - ví dụ nội dung của điện chuyển tiền, thanh toán gây

ra những tổn thất, mất mát nghiêm trọng

6) Giải pháp bảo mật.

- Bảo mật mức mạng: Bảo mật đường truyền - bảo mật các thông tin lưu truyền trên mạng, việc này được thực hiện bằng các hình thức mã hoá thông tin trên đường truyền, các công cụ xác định tính toàn vẹn và xác thực của thông tin

- Bảo mật lớp truy cập bao gồm:

o Bảo mật cho các đường truy nhập của người dùng quay số (dial-up): thường áp dụng các hình thức xác thực người dùng, tạo các kênh VPN cho các kết nối dial-up …

o Firewall/IDS : Tại các khu vực cung cấp các máy chủ truy nhập cần

bố trí các bức tường lửa (Firewall) kèm các bộ dò tìm tấn công (IDS) đảm bảo ngăn chặn các truy nhập trái phép hay các dạng tấn công ngay từ cổng vào mạng, điều này là rất cần thiết bởi việc sử dụng các thiết bị hỗ trợ cho các kết nối truy nhập đồng thời lại có kết nối đi Internet

- Bảo mật mức thiết bị: Các thiết bị mạng như Router và switch, firewall…

là các điểm nút của mạng hết sức quan trọng và cần được bảo vệ, sử dụng các ACL để điều khiển truy nhập trên toàn bộ các thiết bị này, đồng thời

sử dụng các thiết bị dò tìm lỗ hổng (IDS) để dò tìm xác định các dấu hiệu tấn công vào các thiết bị mạng và các nguồn tài nguyên khác và có các biện pháp ngăn chặn kịp thời

- Bảo mật mức máy chủ: Hệ thống máy chủ thực hiện các công việc dịch

vụ khác nhau trong mạng, có thể nói đây là nguồn tài nguyên chính hết sức quan trọng và là mục tiêu của nhiều cuộc tấn công từ bên trong cũng như bên ngoài cũng như ăn cắp hay phá huỷ các thông tin có giá trị được chứa trong các máy chủ này Việc bảo mật hệ thống máy chủ liên quan tới các công việc như:

o Bảo mật thông tin trên máy chủ : đảm bảo tính mã hoá, tính toàn vẹn

và xác thực của thông tin

o Quản trị truy nhập vào máy chủ: áp dụng các công nghệ tiên tiến như smart card, Token…

o Chống truy nhập trái phép: sử dụng các bộ dò tìm IDS để phát hiện và báo động kịp thời khi có tấn công hay truy nhập trái phép vào hệ thống máy chủ

- Bảo mật mức Hệ Điều Hành(HĐH): Việc bảo mật cho HĐH máy chủ đảm bảo cho hệ thống làm việc ổn định,việc hoạch định xây dựng các chính sách cài đặt, cập nhật, backup dữ liệu hay sử dụng các phần mềm

bổ sung (Patch) bịt lỗ hổng trên các HĐH là hết sức cần thiết để đảm bảo cho các HĐH và các ứng dụng chạy trên nó được bảo vệ an ninh ngăn chặn các cuộc tấn công có thể xảy ra

- Bảo mật ở mức ứng dụng: Đảm bảo việc truy nhập vào các dịch vụ và phần mềm (WEB, Email, CSDL), nên thực hiện các kênh bảo mật từ người dùng đầu cuối tới các máy chủ ứng dụng để đảm bảo các tính bảo mật, toàn vẹn và xác thực của thông tin

- Bảo mật mức CSDL: Có thể nói CSDL là lõi của toàn bộ hệ thống bảo mật thông tin, toàn bộ thông tin quan trọng mang tính chất sống còn được tập trung trên các CSDL, trong thiết kế của chúng tôi CSDL được đặt ở mức ưu tiên cao nhất

7) Firewall và IDS

a) Công nghệ firewall

Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các

hệ điều hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống với yêu cầu về khả năng hoạt động mạnh, bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai

b) PIX Firewall 525E

Sử dụng hệ thống Pix firewall phiên bản 525E cho phân hệ mạng lớp ngoài và phân mạng của trung tâm ngân hàng làm 3 vùng mạng riêng

1 Vùng mạng DMZ : Web server(Public), mail server

2 Vùng server farm chứa server quan trọng của hệ thống như Database

server, Application server, Report server, Web Server (Dự kiến vùng này sẽ sữ dụng Firewall riêng )

3 Vùng mạng Lan :bao gồm các máy trạm đặt tại trung tâm và các truy

cập từ các chi nhánh về

Sơ đồ PIX Firewall (ver.525E)

Hình 3 : PIX Firewall Topology Giao diện sử dụng

Hình 5 : Giao diện sử dụng PIX Firewall PIX Firewall 525E gần 100% các giao thức và giải pháp có trên thị trường :

- Nhúng Software hoạt động không phụ thuộc bên ngoài

- Sử dụng giao tiếp vật lý

- Hỗ trợ các thủ tục DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2,

Database, SIP, H323

- Hỗ trợ tất cả các giao thức : TCP/IP , HTTPS , DNS

- Chống tấn công và tự bịt các lỗ hổng an ninh

- Giao diện quản lý bằng Soft

c) PIX Firewall 525E cho các Server

- Giải pháp sử dụng Checkpoint FW1/VPN1

- Giải pháp sử dụng Sidewinder G2

d) Intrusion Detection System

Hệ thống kiểm tra xâm nhập (Intrusion Detection System - IDS) kiểm soát tài nguyên và hoạt động của hệ thống hay mạng, sử dụng thông tin thu thập được

từ những nguồn này, thông báo cho những người có trách nhiệm khi nó xác định được khả năng có sự xâm nhập

Nếu coi Firewall là hệ thống bảo vệ của cổng truy cập mạng chính thì IDS

(Intruder Detection System) là các camera giám sát, theo dõi và phát hiện các hành

động tấn công xâm nhập

Để đảm bảo an toàn cho hệ thống ,Ngân hàng nên trang bị thêm thiết bị ProventiaTM 201 của công ty hàng đầu về phần mềm và thiết bị giám sát, phát hiện

và ngăn chặn xâm nhập: Internet Security System (ISS) Dựa trên kỹ thuật như phân tích protocol, đánh dấu mẫu, kỹ thuật phát hiện thông minh để đánh giá và kiểm soát các gói dữ liệu lưu thông qua mạng của Ngân hàng nhằm phát hiện, phòng chống và đưa ra những cảnh báo đối người quản trị hệ thống thông qua phần mềm trực quan SiteProtectorTM

Giải pháp IDS tích hợp có thể giới thiệu giải pháp chuẩn tích hợp phần mềm IDS Real-secure của ISS với phần cứng của hãng Nokia và Proventia

Giải pháp tích hợp trên được đánh giá cao trong thực tế triển khai về mặt bảo mật

và khả năng thực thi

- Thiết bị Proventia A201 được tổ chức NSS xếp loại 1 trong các dòng sản phẩm Appliant tích hợp với phần mềm IDS hoạt động trên đường truyền tốc

độ 100MB

- Thiết bị Proventia A201 hoạt động thử nghiệm trên mạng 100Mbps do NSS Group thực hiện, có thể phát hiện 100% các kiểu tấn công

- Tương tự khi sử dụng phần mềm ISS Real-secure trên server sẽ sử dụng phần mềm SiteProtector để quản lý tập trung, thiết bị Appliant cho ISS Real-secure dễ dàng quản lý bằng phần mềm SiteProtector

- Có khả năng cập nhật thường xuyên với hệ thống lưu trữ các đặc điểm bảo mật mới nhất X-Force của tổ chức ISS

- Các dòng sản phẩm Proventia A có khả năng hổ trợ tốc từ 100Mb/s đến 2000Mb/s và phục

Giải pháp phát hiện chống xâm nhập mạng sử dụng ProventiaTM

A201 Đặt điểm của thiết bị ProventiaTMA201

- Hoạt động trong môi trường tốc độ cao Gbps

- Được phát triển dựa trên kỹ thuật RealSecure nên có khả năng phát hiện khoảng 1700 dấu hiệu tấn công biết được đồng thời hỗ trợ phát hiện những dấu hiệu tấn công chưa được biết trước đó