Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006

Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006 Chương I: Tổng quan về xây dựng và triễn khai bảo mật mạng hệ thống. Chương này sẽ đề cập đến tầm quan trọng của việc bảo mật mạng xuất phát từ nhu cầu thực tế cũng như về mặt chuyên môn của quản trị mạng doanh nghiệp cũng như mô hình bảo mật tổng quan chung nhất của doanh nghiệp đó là các phương thức về kĩ thuật cơ bản như Firewall, IDS, Antivirus …

MỤC LỤC

MỤC LỤC 1

LỜI CẢM ƠN 5

TÓM TẮT CỦA BÁO CÁO 7

MỞ ĐẦU 8

TỔNG QUAN 9

NGHIÊN CỨU THỰC NGHIỆM HOẶC LÍ THUYẾT 17

TRÌNH BÀY, ĐÁNH GIÁ BÀN LUẬN VỀ CÁC KẾT QUẢ 19

CHƯƠNG 1:TỔNG QUAN VỀ XÂY DỰNG VÀ TRIỂN KHAI BẢO MẬT MẠNG HỆ THỐNG 21

1.1 Tầm quan trọng của việc bảo mật mạng 21

1.1.1 Nhu cầu thực tế 21

1.1.2 Khảo sát thực tế 21

1.1.3 Những nền tảng cơ bản 22

1.1.4 Phương thức tấn công phổ biến 22

1.1.5 Giải pháp 23

1.2 Mô hình bảo mật cho một hệ thống bất kì: 25

1.2.1 Thành lập một nhóm chuyên giám sát sự an toàn của hệ thống: 25

1.2.2 Thẩm định tính rủi ro của hệ thống: 26

1.2.3 Xây dựng giải pháp: 26

1.2.4 Firewall: 26

1.2.5 Hệ thống kiểm tra xâm nhập mạng (IDS): 27

1.2.6 Hệ thống kiểm tra xâm nhập dựa theo vùng (H-IDS): 27

1.2.7 Hệ thống kiểm tra xâm nhập dựa theo ứng dụng (App-IDS): 28

1.2.8 Phần mềm Anti-Virus (AV) 28

1.2.9 Mạng riêng ảo (VPN) 28

1.2.10 Sinh trắc học trong bảo mật: 29

1.2.11 Các thế hệ thẻ thông minh: 29

1.2.12 Kiểm tra máy chủ: 29

1.2.13 Kiểm soát ứng dụng: 30

1.2.14 Các hệ điều hành: 30

1.2.15 Thực hiện và đào tạo: 31

1.2.16 Tiếp tục kiểm tra, phân tích và thực hiện: 31

1.2.17 Các gợi ý bảo mật cho hệ thống và mạng: 31

1.2.18 Windows 2003-2008, IIS 7.0 32

1.2.18.1 Windows Server 2003 32

1.2.18.2 Windows Server 2008 32

1.2.18.3 Microsoft Corp.'s Internet Information Server 7 (IIS 7) 33

1.2.19 Quy định chung về cầu hình firewall: 34

1.2.20 Kiểm soát Firewall-1: 35

1.2.21 DNS bên trong: 35

CHƯƠNG 2: CÁC KHÁI NIỆM CƠ BẢN: FIREWALL – PROXY SERVER 36

1

2.1.Tìm hiểu về Firewall: 36

2.1.1 Khái niệm Firewall 36

2.1.2 Phân loại và đặc điểm Firewall 36

2.1.2.1 Firewall cứng 36

2.1.2.2 Firewall mềm 37

2.1.3 Vì sao cần Firewall 37

2.1.4 Chức năng 38

2.1.5 Cấu trúc của Firewall 38

2.1.6 Những hạn chế của firewall 42

2.1.7 Nhiệm vụ Firewall 43

2.1.8 FireWall chống lại những sự tấn công từ bên ngoài 43

2.1.9 Firewall client là gì 44

2.1.9.1 Cho phép thông tin  người dùng và ứng dụng  được ghi trong các file bản ghi của ISA 2006 Firewall 47

2.1.9.2 Cung cấp khả năng hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợp yêu cầu kết nối thứ cấp 47

2.1.9.3 Cung cấp hỗ trợ “Proxy” DNS cho Firewall Client 48

2.1.9.4 Cơ sở hạ tầng định tuyến mạng trong suốt đối với Firewall Client: 49

2.1.9.5 Firewall Client làm việc như thế nào ? 50

2.2 Tìm hiểu về proxy: 52

2.2.1 Khái niệm về Proxy 52

2.2.2 Tại sao cần Proxy 52

2.2.3 Sự cần thiết của Proxy 53

2.2.4 Chức năng 53

2.2.5 Cơ chế thực hiện của Proxying 55

2.2.6 Các dạng proxy system 57

2.2.7 Các loại proxy và sự khác nhau 59

2.2.8 Các mức độ ẩn danh của proxy 59

CHƯƠNG III: TRIỄN KHAI HỆ THỐNG FIREWALL TRÊN ISA 2006 61

3.1 Tìm hiểu về ISA Standard và Enterprise 2006 61

3.1.1 ISA server 2006 Standard 61

3.1.2 ISA server 2006 Enterprise 61

3.2 Một số tính năng của ISA 62

3.2.1 Cách thức làm việc của ISA Server 2006 62

3.2.2 ISA Server hoạt động như một tường lửa 66

3.2.2.1 Packet Filtering – Lọc gói tin 67

3.2.2.2 Stateful Filtering – Lọc trạng thái 67

3.2.2.3 Application-Layer Filtering – Lọc lớp ứng dụng 68

3.3 Cơ chế ISA Server bảo mật truy cập internet 69

3.4 ISA Server 'publishing' các nguồn tài nguyên trong mạng nội bộ 70

3.5 ISA Server hoạt động như một VNP Server 71

3.6 So sánh giữa 2 phiên bản ISA Standard Edition và ISA Enterprise Edition 72

3.7 Một số tính năng của ISA 2006 so với ISA 2004 74

2

3.8 Cảnh báo bảo mật ISA FIREWALL 76

3.9 Mô hình giải pháp 77

3.10 Tiến hành bảo mật với ISA Server 2006 80

3.10.1 Cài đặt Windows Server 2003: 80

3.10.2 Cài đặt và cấu hình DNS service: 82

3.10.3 Tạo Forward lookup zone: 96

3.10.4 Nâng Computer này lên thành Domain controller 110

3.10.5 Cài đặt WINS Service 124

3.10.6 Cài đặt và cấu hình dịch vụ DHCP 129

3.10.7 Cài đặt Microsoft Exchange trên Domain Controller 150

3.10.7.1 Tiến hành các bước sau để cài đặt ASP.NET (IIS) 151

3.10.7.2 Tiến hành các bước sau để cài đặt Microsoft NET Framework v2.0: 155

3.10.7.3 Tiến hành các bước sau để cài đặt Windows PowerShell: 159

3.10.7.4 Tiến hành các bước sau để Upgrade DC Server lên Domain Functional Level: 164

3.10.7.5 Tiến hành các bước sau để cài đặt Exchange Server 2007 : 167

3.10.8 Cấu hình gửi mail nội bộ trong Microsoft Exchange Server 2007 179

3.10.9 Cài đặt ISA SERVER 2006 Standard 197

3.10.10 Thiết lập các Access Rule để bảo mật ISA 2006 210

3.10.10.1 Tạo access rule cho internal và ISA ra internet 210

3.10.10.2 Cài Đặt Máy Client theo cách Secure NAT 223

3.10.10.3 Cài Đặt Máy Client theo cách Web Proxy client 225

3.10.10.4 Cài Đặt Máy Client theo cách Firewall Client: 229

3.10.10.5 Tiến hành Back-up cấu hình mặc định ngay sau cài đặt ISA 2006 241

3.10.10.5 Tiến hành Restore 245

3.10.10.6 Cấu hình Access Rules để tạo Group KD và Sếp 251

3.10.10.7 Tạo rule Internal Network truy cập Local Host 252

3.10.10.8 Tạo rule DNS 260

3.10.10.9 Tạo rule cho Group Kinh Doanh bị giới hạn trang web và thời gian truy cập 272

3.10.10.10 Tạo rule cho group Sep được toàn quyền truy cập 294

3.10.10.11 Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express .297

3.10.10.12 Tạo rule cấm Sếp truy cập Web đen: 317

3.2.10.13 Tạo bảng thông báo cấm truy cập 328

3.10.10.14 Tạo Modify Rule cho Group chỉ xem được văn bản text khi truy cập Web 332

3.10.10.15 Tạo rule cấm user chat trong giờ làm việc (cấu hình HTTP Filter) 337

3.10.10.16 Tiến hành khảo sát một số tính năng khác của ISA Server 2006 348

3.10.10.17 Tiến hành giả lập tấn công ISA Server 2006 (Cấu hình Intrusion Detection) 358

3.10.10.18 Report trong ISA Server 2006 369

3.10.10.19 Publish Web Server trong ISA 2006 378

3.10.10.20 Tạo Publishing Rule để Publish RDP(Remote Desktop Protocol) 402

3

3.10.10.21 Cấu hình NAT Inbound trên Router ADSL (Thực hiện trên ISA) 409

3.10.10.22 VPN Clients to Gateway 415

3.10.10.23 Cấu hình Accesspoint 443

KẾT LUẬN 450

DANH MỤC TÀI LIỆU THAM KHẢO 453

PHỤ LỤC 454

1 Tổng quan về Microsoft Exchange Server 2007 454

2 Tìm hiểu các Server Roles trong Microsoft Exchange Server 2007 454

2.1 Khái niệm về Server Role 454

2.2 Những Server Roles có trong Microsoft Exchange Server 2007 455

2.2.1 Mailbox Server Role 455

2.2.2 Client Access Server Role 456

2.2.3 Hub Transport Server Role 456

2.2.4 Edge Transport Server Role 457

2.2.5 Unified Messaging Server Role 457

2.2.6 Clustered Mailbox Server Role 457

2.2.7 Unified Messaging Server Role: 458

2.2.8 Outlook Voice Access 458

2.2.9 Tương thích và các khả năng không dây 459

3 Những yêu cầu phần cứng và phần mềm trước khi triển khai Microsoft Exchange Server 2007 459

3.1 Yêu cầu phần cứng 459

3.2 Yêu cầu phần mềm 460

3.3 Cài đặt và cấu hình 460

4

LỜI CẢM ƠN

Trong sự phát triễn của ngành công nghệ thông tin và xu hướng gia nhập thếgiới của Viêt Nam thì yêu cầu về trao đổi thông tin liên lạc là vô cùng quan trọng vàcần thiết Nhận thấy yêu cầu đó, ngành công nghệ thông tin đã phát triễn và cho đếnngày nay vẫn không ngừng vươn lên để bắt kịp thời đại Để có được những thành tựu

đó chính là sự đóng góp vô cùng to lớn của vô số người làm nên Do công nghệ thôngtin có tính chất kế thừa, để có thể kế thừa và phát triễn, người làm công nghệ thông tinluôn kế thừa hướng dẫn cho những người sau Họ chính là những người thầy hướngdẫn chỉ bày cho thế hệ sinh viên Chính vì lẽ đó, ta luôn thể hiện lời tri ân chân thànhđến những người thầy của mình

Công nghệ thông tin luôn phát triễn đa ngành và đa lĩnh vực: Web, Mạng, Lậptrình … và luôn đòi hỏi phải có những người chuyên môn hóa cho mỗi ngành khácnhau…

Bên cạnh sự phát triễn bất tận của ngành Công nghệ thông tin đó cũng có khánhiều cạm bẫy nguy hiểm luôn rình rập… Hacker, các mã độc tấn công, virus, worm

….luôn lợi dụng vào các lỗ hỏng để phá hoại xâm nhập vào hệ thống để thực hiện cáchành vi nguy hiểm Đó cũng chính là một bài toán lớn cho doanh nghiệp trong thời đạingày nay

Để giải quyết được bài toán đó cần đòi hỏi rất nhiều giải pháp khác nhau Đề tài

“Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA 2006”, sinhviên thực hiện: Lê Minh Hiệu và Lê Hương Giang – ĐH GTVT TP.HCM Để thựchiện được đề tài này, đó là nhờ vào thầy Lê Quốc Tuấn đã giúp chúng em thực hiệnthành công đề tài này Chúng em xin chân thành cảm ơn thầy Tuấn đã hướng dẫn và tưvấn cho chúng em để chúng em có thể thực hiện một đề tài rất thiết thực và rất tâm đắckhông những cho hôm nay để chúng em tốt nghiệp mà còn cho ngày mai chúng em đilàm cũng rất cần Đề tài “Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệpvới ISA 2006” trang bị cho riêng mình, và chúng em có được những hành trang ratrường để giúp ích cho gia đình xã hội hôm nay và mai sau

Đề tài “Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA2006” là một chủ đề mà chúng em vô cùng tâm đắc và yêu thích ….Chúng em xin chânthành cám ơn thầy Tuấn đã cho chúng em một đề tài rất bổ ích này

Chúng em cũng xin chân thành cám ơn thầy Nguyễn Văn Thành –Trưởng phòngđào tạo Trường CĐ Nghề CNTT iSPACE Q.4 TP.HCM, các Bác sĩ máy tính thực thụ,các anh chị KTV nơi đây đã tư vấn kĩ thuật cũng như cung cấp các thiết bị thực hànhnhằm hỗ trợ chúng em thực hiện đề tài dễ dàng hơn

5

Trong quá trình thực hiện đề tài, chúng em không thể tránh khỏi những thiếu sótchưa hoàn thiện, em rất mong thầy Tuấn thông cảm Chúng em cũng rất mong sự đónggóp của thầy Tuấn để giúp đề tài chúng em được hoàn thiện hơn.

Một lần nữa, chúng em xin chân thành cám ơn thầy đã giúp chúng em thực hiện thànhcông đề tài thiết thực này

Chúng em xin chúc sức khỏe đến thầy Tuấn để có thể tiếp tục dìu dắt dạy bảochúng em trở thành những người có ích cho cuộc đời

TP.HCM, Thứ 2, Ngày 10 Tháng 5 Năm 2010

ĐH Giao Thông Vận Tải – TP.HCM (Trụ sở chính)

Hệ Cao Đẳng – Khoa CNTTSinh viên thực hiện đề tài

Lê Minh Hiệu MSSV: CNC07021

Lê Hương Giang MSSV: CNC07016

6

TÓM TẮT CỦA BÁO CÁO

Đề tài báo cáo “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệpvới ISA 2006” gồm ba chương:

Chương I: Tổng quan về xây dựng và triễn khai bảo mật mạng hệ thống.

Chương này sẽ đề cập đến tầm quan trọng của việc bảo mật mạng xuất phát từ nhu cầuthực tế cũng như về mặt chuyên môn của quản trị mạng doanh nghiệp cũng như môhình bảo mật tổng quan chung nhất của doanh nghiệp đó là các phương thức về kĩthuật cơ bản như Firewall, IDS, Antivirus …

Chương II: Các khái niệm cơ bản về Firewall và Proxy Server Firewall và

Proxy là hai định nghĩa quan trọng trong việc xây dựng và bảo mạng doanh nghiệp.Nhận thấy Firewall và Proxy Server là hai yếu tố cần có trong mô hình bảo mât nênChương II sẽ làm rõ các khái niệm, phân loại, chức năng, nhiệm vụ cũng như tầm quantrọng của Firewall và Proxy Server trong mô hình bảo mật mạng doanh nghiệp trênthực tế

Chương III: Triễn khai hệ thống Firewall trên ISA Server 2006 Đây là

chương trọng tâm và quan trọng nhất trong để tài báo cáo “Xây dựng và triễn khai việcbảo mật mạng cho doanh nghiệp với ISA 2006” Trong Chương III sẽ tập trung vào môhình giải pháp bảo mật của ISA Server 2006 và tiến hành thực hiện các yêu cầu cơ bảntrước khi bắt đầu cài đặt phần mềm ISA 2006 và thiết lập rule cơ bản cho việc bảo mật

và quản trị mạng doanh nghiệp… đó là cấu hình DNS, DHCP, nâng cấp Domain.Trong doanh nghiệp, việc xây dựng mail nội bộ là vô cùng cần thiết và quan trọngtrong việc liên lạc nội bộ, báo cáo, tiến hành các thủ tục giao dịch với khách hàng … vìthế, ta cũng thực hiện cài đặt và cấu hình Mail Exchange Server 2007 kết hơpMicrosoft Outlook 2007 và tiến hành gửi mail thử nghiệm

7

MỞ ĐẦU

Ngày nay, cùng với sự phát triễn của khoa học kĩ thuật, ngành Công nghệ thôngtin đã phát triễn một cách vượt bật, nó đã đi vào cuộc sống như một nhu cầu thiết yếunhằm đáp ứng sự giải trí thông tin liên lạc nâng cao kiến thức và quan trọng nhất là sựphát triễn của một quốc gia và vi mô là sự phát triễn của một doanh nghiệp nhờ Côngnghệ thông tin, nó đã giúp con người cải thiện đời sống, tiền bạc, thời gian, sức khỏe.Trong công nghiệp, Công nghệ thông tin quyết định sự thành công của một doanhnghiệp, nó giúp doanh nghiệp nắm bắt thông tin một cách nhanh chóng và bảo mậtthông tin

Bảo mật thông tin trong doanh nghiệp rất quan trọng, chính vì lẽ đó, em chọn đềtài: “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006” Đây

là đề tài tốt nghiệp cho sinh viên ở trên ghế nhà trường, nhưng nó rất quan trọng đốivới các doanh nghiệp hiện nay, nó giúp ích cho em khi ra trường không ngỡ ngàngtrước công việc tương lai Là một cử nhân tin học, kiến thức về bảo mật mạng chodoanh nghiệp hoàn toàn bổ ích cho bản thân cũng như cho doanh nghiệp nơi mình làmviệc

Đề tài này, em đã cố gắng hoàn thành một cách hoàn chỉnh nhất cũng như sựtrải nghiệp thực tế Trong quá trình thực hiện, em mong sự góp ý của thầy, các bạn để

đề tài hoàn thiện một cách sâu sắc nhất Em xin chân thành cảm ơn sự góp ý chân tình

và các bạn

Sinh viên thực hiện:

Lê Hương Giang

Lê Minh Hiệu

8

Những cuộc tấn công thành công sẽ mang lại rất nhiều lợi nhuận, điều đó khiến xuấthiện nhiều kẻ viết mã độc hơn, cũng như nhiều tổ chức hơn trong thế giới ngầm thuêmướn các lập trình viên với mục đích duy nhất là phát triển các loại mã độc.

Việc quản lý và bảo vệ doanh nghiệp tránh khỏi các mối đe dọa bảo mật lớn như vậytạo ra một sức ép khá lớn đối với hệ thống mạng, ngân sách và hiệu suất suất lao độngcủa nhân viên Trong khi hình thái đe dọa bảo mật Internet liên tục thay đổi và chứađầy hiểm họa, thì các doanh nghiệp thường cho rằng những nhân tố sau là rào cản để

có được một hệ thống bảo mật CNTT cần thiết:

+ Chi phí quản lý các thiết bị đầu cuối: Chi phí để mua, bản quyền, quản lý và quản trịcác thiết bị đầu cuối riêng biệt ngày càng tăng

+ Công nghệ bảo mật phức tạp: Việc quản lý những công nghệ bảo vệ thiết bị đầu cuốiphức hợp (nhiều loại khác nhau) sẽ rất phức tạp và tốn thời gian

+ Các mối đe dọa bảo mật ngày càng tinh vi hơn: Các mối đe dọa bảo mật Internetngày nay rất tinh vi và thường hướng tới ăn cắp thông tin, đòi hỏi các doanh nghiệpphải áp dụng biện pháp bảo mật nhiều hơn một tính năng diệt virus đơn thuần

Tuy nhiên, giờ đây có nhiều phương pháp đơn giản và hiệu quả về chi phí nhằm bảo vệdoanh nghiệp tránh khỏi các loại mã độc, virus và thư rác

Bảo mật thiết bị đầu cuối

Do phạm vi mạng doanh nghiệp ngày nay càng mở rộng và vô hạn nên các thiết bị đầucuối càng yêu cầu có độ bảo mật cao hơn Ngày nay các thiết bị đầu cuối đóng vai trò

9

quan trọng bởi các doanh nghiệp và con người ngày càng trở nên di động hơn, khiếntăng nguy cơ rủi ro nếu họ không có những giải pháp bảo vệ toàn diện Doanh nghiệpnên coi mỗi thiết bị đầu cuối là một hạ tầng thu nhỏ, cần có hệ thống kiểm soát truynhập mạng, tường lửa, phương thức mã hóa dữ liệu và phương pháp bảo vệ chống thấtthoát dữ liệu riêng.

Vậy thì các doanh nghiệp vừa và nhỏ (DNVVN) nên giải quyết những nhu cầu về bảomật thiết bị đầu cuối như thế nào? Ba thành phần quan trọng nhất mà họ cần có trongcác thiết bị đầu cuối là:

+ Khả năng bảo mật dựa trên nhận dạng chữ ký - chống virus và chống spyware

+ Khả năng chống truy nhập trái phép (Intrusion prevention) nhằm phân tích hành vicủa ứng dụng cũng như truyền thông trên mạng, nhờ đó phát hiện và ngăn ngừa nhữnghoạt động đáng ngờ

+ Khả năng kiểm soát ứng dụng và thiết bị: từ chối những hoạt động của một ứng dụnghay thiết bị cụ thể nếu có nguy cơ rủi ro lớn cho công việc kinh doanh của bạn

Ngoài ra cũng cần phải chú trọng tới vấn đề thư điện tử (email) nhằm ngăn chặn hoàntoàn các mối đe dọa từ sớm Các tính năng tích hợp như phòng chống virus và chốngthư rác, cũng như các công nghệ về lọc nội dung đều nằm trong danh mục những yêucầu hàng đầu trong bảo vệ email

Bảo vệ đa lớp với sự kết hợp hợp lý

Các giải pháp tích hợp đồng nghĩa với sự tiết kiệm chi phí khá lớn cho các doanhnghiệp – không chỉ về mặt phí bản quyền hay phí quản trị, mà còn mang ý nghĩa là mộtcông cụ hợp nhất hiệu quả chống lại các mối đe dọa bảo mật, giảm thiểu thời gianngưng trệ hệ thống Những giải pháp như vậy thường là những gói giải pháp toàn diệntất cả trong một, dễ dàng sử dụng và có khả năng bảo vệ những tài sản quý giá củadoanh nghiệp trước các phần mềm mã độc, virus hay thư rác, đồng thời cho phép khôiphục nhanh chóng các dữ liệu cũng như hệ thống máy tính nếu gặp phải thảm họa hoặc

sự cố hệ thống

10

Điều quan trọng là phải triển khai những giải pháp bảo mật mà kết hợp những chứcnăng cần thiết một cách hiệu quả, đồng thời phải lưu ý về hình thái đe dọa bảo mật hiệnnay DNVVN nên tìm kiếm những gói giải pháp bảo mật có tích hợp các công cụ bảomật thiết bị đầu cuối, bảo mật tin nhắn và công nghệ khôi phục hệ thống Giải pháp bảomật đa lớp này sẽ giúp giảm thiểu những rủi ro, đồng thời giúp doanh nghiệp hoàn toànyên tâm rằng những thông tin quan trọng và tài sản doanh nghiệp của mình được bảo

vệ an toàn Những giải pháp như vậy cũng cần phải được thiết kế sao cho tương thíchvới nhiều nền tảng khác nhau, bao gồm cả các hệ điều hành cho thiết bị di động Hơnnữa, một khía cạnh khác mà các doanh nghiệp cũng nên lưu tâm tới là vấn đề thực thicác chính sách nội bộ, mà khởi đầu là chính sách với dịch vụ email thông dụng

Dù rằng hình thái đe dọa bảo mật luôn biến đổi đầy rẫy nguy hiểm, nhưng hầu hết cácDNVVN đều rất hạn chế cả thời gian lẫn tiền của khi đầu tư vào các giải pháp bảo mật.Đội ngũ CNTT thực sự bị dàn trải, và việc theo dõi cập nhật thông tin về những mối đedọa bảo mật mới nhất sẽ trở nên ngày càng mệt mỏi nếu không được tự động hóa Trênthực tế, nhiều DNVVN ngày nay có các giải pháp bảo mật khá phức tạp, không đượctối ưu hóa cho môi trường hoạt động của họ

Nhờ triển khai các giải pháp tích hợp, đa lớp, các doanh nghiệp có thể giảm chiphí vận hành và các rủi ro về bảo mật Với giải pháp bảo mật toàn vẹn và đa lớp,DNVVN có thể loại bỏ quy trình mua cũng như quản lý những cấu phần riêng biệt cho

hệ thống bảo mật CNTT của mình Các giải pháp bảo mật tích hợp sẽ giúp giảm tổngchi phí sở hữu cho họ một cách hiệu quả, có khả năng chịu lỗi tốt hơn nhằm chống lạivới những mối đe dọa bảo mật trực tuyến mới và ngày càng gia tăng Một giải pháptoàn diện, dễ sử dụng, mang lại hiệu năng cao và khả năng bảo vệ vô song sẽ cho phépcác doanh nghiệp tiết kiệm được thời gian và tiền của, tốn ít công sức quản trị đối vớicác quá trình cài đặt, triển khai và quản lý Nói tóm lại, phương pháp phòng thủ đa lớp

là phương pháp phòng thủ tốt nhất

11

B/ Vấn đề bảo mật hệ thống dưới góc nhìn của các chuyên gia an ninh mạng quốc tế thì “Năm 2010, bảo mật là ưu tiên hàng đầu của doanh nghiệp”

Năm 2010, bảo mật là ưu tiên hàng đầu của doanh nghiệp Thực vậy, Symantecvừa chính thức công bố kết quả nghiên cứu toàn cầu về hiện trạng bảo mật doanhnghiệp năm 2010, theo đó 42% tổ chức coi vấn đề bảo mật là một trong những ưu tiênhàng đầu

“Vấn đề bảo mật thông tin ngày nay trở nên phức tạp hơn bao giờ hết Nếu triển khai một giải pháp bảo mật toàn diện cho phép bảo vệ hạ tầng và thông tin trong doanh nghiệp, thực thi các chính sách CNTT và giúp quản lý các hệ thống hiệu quả hơn, thì các doanh nghiệp có thể đẩy mạnh lợi thế cạnh tranh của họ trong thế giới thông tin hiện đại”, Francis deSouza, Phó chủ tịch cao cấp phụ trách mảng Bảo mật doanh

nghiệp tại Symantec nhận định

Theo các chuyên gia nghiên cứu về bảo mật mạng đã nhận định, bảo mật là mốiquan tâm lớn nhất đối với các doanh nghiệp trên toàn cầu 42% các doanh nghiệp coicác rủi ro an ninh mạng là vấn đề quan tâm lớn nhất của họ, hơn cả những vấn đề khácnhư thảm họa thiên nhiên, khủng bố và kết hợp với kiểu tội phạm truyền thống Vớinhận thức như vậy, CNTT ngày càng chú trọng nhiều hơn vào vấn đề bảo mật doanhnghiệp

Bảo mật trong doanh nghiệp ngày càng trở nên phức tạp do rất nhiều yếu tố khác nhau.Thứ nhất, bảo mật trong doanh nghiệp thiếu thốn về nhân lực, những lĩnh vực bị ảnhhưởng nhiều nhất bởi yếu tố này là bảo mật mạng (chiếm 44%), bảo mật thiết bị đầucuối (chiếm 44%), và bảo mật tin nhắn (chiếm 39%)

Thứ hai, các doanh nghiệp hiện đang ứng dụng những sáng kiến, phương thứcmới khiến cho việc bảo mật trở nên khó khăn hơn bội phần Những sáng kiến, phươngthức mới được bộ phận CNTT (trên quan điểm về bảo mật) cho là trở ngại lớn nhất bao

gồm: hạ tầng là dịch vụ (infrastructure-as-a-service), nền tảng là dịch vụ

(platform-as-12

a-service), ảo hóa máy chủ, ảo hóa thiết bị đầu cuối, và phần mềm là dịch vụ (software-as-a-service).

Yếu tố cuối cùng, tuân thủ CNTT cũng là một nhiệm vụ hết sức quan trọng Mộtdoanh nghiệp thông thường sẽ phải lựa chọn khoảng 19 chuẩn CNTT hoặc cơ cấu(framework) khác nhau, và họ hầu hết đều đang triển khai 8 trong số 19 chuẩn này.Những chuẩn CNTT hàng đầu gồm có: chuẩn ISO, HIPAA, Sarbanes-Oxley, CIS, PCI,

ty Các tổ chức cũng cần phải có khả năng bao quát, bảo mật thông minh nhằm giảiquyết những mối đe dọa bảo mật một cách nhanh chóng

Các nhà quản trị CNTT cần phải bảo vệ thông tin một cách chủ động bằng cách ápdụng phương pháp tiếp cận hướng thông tin nhằm bảo vệ cả thông tin và những hoạtđộng tương tác tới hệ thống Ứng dụng phương pháp nhận biết nội dung (content-aware) để bảo vệ thông tin là chìa khóa cho phép nhận biết những thông tin nhạy cảmnằm ở đâu, ai có quyền truy nhập vào thông tin đó và những thông tin đó đến cũng nhưđược đưa ra khỏi tổ chức của bạn bằng cách nào

Các tổ chức cần phải triển khai và thực thi các chính sách CNTT cũng như tự động hóanhững quy trình tuân thủ CNTT của họ Với việc phân loại những rủi ro và xây dựngchính sách áp dụng trên mọi khu vực, khách hàng có thể áp dụng những chính sách nàythông qua trình tự công việc và quy trình tự động hóa được xây dựng sẵn, điều nàykhông chỉ giúp họ nhận dạng ra những rủi ro mà còn giúp họ khắc phục những sự cốkhi xảy ra hoặc lường trước các sự cố trước khi chúng xảy ra

13

Các tổ chức cần phải quản lý các hệ thống của họ bằng cách áp dụng các môitrường hệ điều hành bảo mật, sắp xếp và triển khai các cấp độ vá lỗi, tự động hóa cácquy trình nhằm mang lại hiệu quả thông suốt, và giám sát cũng như báo cáo về hiệntrạng hệ thống của mình.

C/ Các vấn đề còn tồn động về việc bảo mật mạng doanh nghiệp

Vấn đề bảo mật chưa được quan tâm đúng mức từ doanh nghiệp

Các cơ quan, công ty lớn nhỏ đều xây dựng hệ thống mạng máy tính để làmviệc, giao dịch; đặc biệt trong thời gian gần đây, số lượng các website thương mại, báochí, chính phủ điện tử phát triển khá nhanh Các cơ quan, doanh nghiệp sẵn sàng đầu

tư tiền tỉ để xây dựng và phát triển một website thương mại, một tờ báo điện tử, nhưnglại vô tình quên hoặc đầu tư chưa đúng mức cho vấn đề bảo mật

Quản trị mạng “chậm chân” hơn các hacker

Có một thực tế: các hacker luôn đi trước các quản trị mạng trong việc cập nhật thôngtin và download các bản sửa lỗi về các lỗ hổng bảo mật mới được phát hiện Jal(admin-quản trị website- của tổ chức HVA) cho biết: “ Do tham gia vào các diễn đànhacker, diễn đàn CNTT thế giới nên các lỗi bảo mật được cộng đồng CNTT và giớihacker trên thế giới tìm thấy, chỉ trong vòng vài ngày hay một tuần là các hacker ViệtNam đã có thể nắm trong tay mã (code) khai thác và chỉ cần ngồi một chỗ có thể khaithác thông tin trên nhiều server (máy chủ) Việt Nam” Trong khi đó, ngược lại, cácquản trị mạng trong nước dường như ít cập nhật thường xuyên các lỗi bảo mật mớiđược phát hiện này để kịp thời sửa lỗi , nên không không khó để lý giải vì sao cáchacker có thể ung dung “mở cửa” đi vào hệ thống mạng ngay các trước mắt các “chủnhà” tại hai cuộc hội thảo bảo mật trong nước vào tháng 10 và tháng 11

Ngoài ra do các website trong nước thường được đặt thiết kế, xây dựng bởi một vàinhóm lập trình viên nhất định nên mã (code) của các website thường giống nhau, do

đó, lỗi bảo mật ở site này có thể được áp dụng dùng để khai thác tấn công với nhiều

14

site khác Theo cảnh báo của các hacker, các cuộc tấn công phổ biến hiện nay đượcthực hiện bằng cách: các hacker sẽ tấn công vào một trang web hay một hệ thống yếunhất được host (nơi lưu trữ web) trong cùng một máy chủ, từ đó có thể tấn công vàomáy chủ và các trang web hosting trong cùng máy chủ đó dễ dàng Điều đáng lo hơn,trước đây, khi bị hack, các hacker sẽ deface (làm biến dạng nội dung trang đó) nênquản trị mạng biết ngay Còn bây giờ, bị hacker đột nhập nhiều khi cả tháng hay 3tháng sau, khi trở vào vẫn thấy backdoor (một chương trình được hacker cài vào máy

để sau đó có thể quay lại xâm nhập vào dễ dàng hơn) vẫn còn đó Điều này cho thấycác quản trị mạng các site Việt Nam không tập trung check log (kiểm tra quá trình hoạtđộng của máy) và check server (kiểm tra máy chủ) mỗi ngày

D/ Đề tài “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006” tập trung giải quyết các vấn đề sau:

Thành lập mô hình giải pháp bảo mật của ISA Server 2006 và tiến hành thựchiện các yêu cầu cơ bản trước khi bắt đầu cài đặt phần mềm ISA 2006 và thiết lập rule

cơ bản cho việc bảo mật và quản trị mạng doanh nghiệp… đó là cấu hình DNS, DHCP,nâng cấp Domain

Thiết lập rule cơ bản cho việc bảo mật và quản trị mạng doanh nghiệp với ISAServer 2006 bao gồm:

- Thực hiện Backup và Restore các thiết lập rule đã có trong ISA Server 2006

- Cài đặt máy Client theo các phương pháp Secure NAT, Web Proxy client,Firewall Proxy Client

- Tạo chính sách cho các nhân viên thuộc cấp quản lí có thể toàn quyền truycập web, tạo chính sách cho nhân viên có thể gửi mail yahoo bằng OutlookExpress trong doanh nghiệp

- Thiết lập rule để giới hạn trang web được phép truy cập cũng như khống chếthời gian sử dụng web cho nhân viên thuộc nhóm Kinh doanh

15

- Thiết lập rule cho nhân viên không được sử dụng dịch vụ Yahoo Chat tronggiờ làm việc

- Thiết lập chính sách cho nhân viên không được truy cập web đen cũng nhưtạo bảng thông báo cấm truy cập vào những trang web chỉ định

- Thiết lập xây dựng mail nội bộ nhằm đáp ứng yêu cầu trong việc liên lạc nội

bộ, báo cáo, tiến hành các thủ tục giao dịch với khách hàng bằng việc cài đặt

và cấu hình Mail Exchange Server 2007 kết hơp Microsoft Outlook 2007

- Ngoài ra còn thực hiện những điều khoảng cấm khác như chỉ cho phép xemnội dung các file text khi truy cập webside

- Đối với nhân viên làm việc ngoài công ty, Đề tài “Xây dựng và triển khaiviệc bảo mật mạng cho doanh nghiệp với ISA 2006” sẽ tiến hành PublishWeb Server, publish RDP Server và VPN Client to Gateway để cho nhânviên có thể truy cập webserver và RDP Server từ xa để thực hiện làm việctrao đổi với nội bộ doanh nghiệp

- Cấu hình Accesspint để khách hành có thể đến doanh nghiệp và truy cậpinternet

16

NGHIÊN CỨU THỰC NGHIỆM HOẶC LÍ THUYẾT

Đề tài “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006”,được triễn khai theo mô hình dưới

Được sự tài trợ của thầy Trưởng phòng Đào tạo Nguyễn Văn Thành Trường CĐNghề CNTT iSPACE Q.4, TP.HCM, đề tài được nghiên cứu theo phương pháp thựcnghiệm trên máy tính và các thiết bị mạng thật bao gồm:

- Máy Server cài Windows Server 2003 SP2, được cài Domain

- Máy ISA cài Windows Server 2003 SP2, được nâng lên Doman từ máy Server

17

- Máy Client cài trên Windows XP có thể nâng Doman hoặc để nguyên workroup theonhu cầu.

- Router ADSL DSL-2540T

- AccessPoint WRT160N

- Laptop học viên

18

TRÌNH BÀY, ĐÁNH GIÁ BÀN LUẬN VỀ CÁC KẾT QUẢ

Công việc triển khai mô hình mạng bảo mật cho doanh nghiệp dùng ISA Server 2006 được tiến hành như sau:

Về kết nối theo sơ đồ đi dây

- Máy ISA Server có 2 card mạng: External được nối ra modem rồi ra Internet,

Internal được nối vào Switch

- Máy Server và các máy Client nối vào Switch.

- Access Point được nối vào Modem.

Về thiết lập các rule trên ISA

- Thiết lập các chính sách cho ra Internet, chính sách truy cập internet cho cấpquản lý và cấp nhân viên và việc gửi nhận Mail nội bộ cũng như gửi nhậnMail ra internet

- Cấu hình truy cập tài nguyên từ xa cho nhân viên làm việc ngoài công ty:Publish RDP, Publish Web, VPN Client to Gateway

Kết quả thực nghiệm

19

- Thực hiện được các yêu cầu cài đặt và cấu hình cơ bản cho một hệ

thống Server – Client – Mail và ISA Server Firewall 2006

- Thiết lập được các rule ISA Server 2006 để đáp ứng cho các yêu cầu về

quản lí và bảo mật cho doanh nghiệp vừa và nhỏ

20

CHƯƠNG 1:TỔNG QUAN VỀ XÂY DỰNG VÀ TRIỂN KHAI BẢO MẬT MẠNG HỆ THỐNG

1.1 Tầm quan trọng của việc bảo mật mạng.

1.1.1 Nhu cầu thực tế

Trong khi công nghệ mạng và Internet mang lại nhiều cơ hội phát triển và cạnhtranh mới cho các doanh nghiệp vừa và nhỏ (SMB) thì cũng là lúc nó làm dấy lên nhucầu cần phải bảo vệ hệ thống máy tính trước các đe doạ về bảo mật

1.1.2 Khảo sát thực tế

Theo một cuộc khảo sát được Viện Bảo mật máy tính CSI tiến hành năm 2003,

có tới 78% máy tính bị tấn công qua mạng Internet (năm 2000 là 59%) Ngày nay,thậm chí cả những doanh nghiệp nhỏ nhất cũng cảm thấy họ cần phải thực hiện cáchoạt động kinh doanh trực tuyến, và kéo theo đó nhiều nhân tố cần phải đảm bảo cho

mô hình này

Tuy nhiên, theo Jim Browning, phó chủ tịch kiêm giám đốc nghiên cứu SMBcủa Gartner, hầu hết các doanh nghiệp không nhìn nhận đúng mực tầm quan trọng củabảo mật, họ thường xem nhẹ chúng trong khi đáng ra đó phải là ưu tiên hàng đầu khitiến hành các hoạt động trực tuyến

Nếu không được bảo vệ đúng mực, mỗi phần của hệ thống mạng đều trở thànhmục tiêu tấn công của tin tặc, của đối thủ cạnh tranh, hay thậm chí là cả nhân viêntrong công ty Mặc dù trong năm 2005 có tới 40% SMB thực hiện quản lý mạng bảomật và sử dụng Internet nhiều hơn nhưng theo thống kê của Gartner, hơn một nửatrong số họ thậm chí không biết là mình bị tin tặc tấn công

Bảo mật Internet có thể ảnh hưởng trực tiếp tới doanh thu và tình hình kinhdoanh của doanh nghiệp Một cuộc khảo sát của CSI và Đội chống xâm nhập máy tínhFBI năm 2003 cho thấy, trong số 75% doanh nghiệp được khảo sát đều cho rằng họphải gánh chịu thiệt hại về tài chính từ sự cố bảo mật; 47% doanh nghiệp cho biết cóthể đánh giá chính xác thiệt hại bảo mật; và 23% cho biết thất thu khoảng 10 triệu USDmỗi năm do các hành vi đột nhập tấn công

Một thiệt hại khác rất khó đánh giá nhưng lại cực kỳ quan trọng đối với SMB,

đó là khoảng thời gian trục trặc về hệ thống (downtime) và thiệt hại sản phẩm do phảnứng chậm chạm đối với sự cố bảo mật Trong rất nhiều trường hợp, doanh nghiệp phảitạm thời gỡ bỏ các máy chủ quan trọng, hệ thống desktop và dây chuyền liên quan tới

sự cố bảo mật Tuy phải đối mặt với những thiệt hại tiềm tàng nhưng rất nhiều doanhnghiệp nhỏ vẫn chưa chú trọng tới nguy cơ này

21

1.1.3 Những nền tảng cơ bản

Cũng như nhiều loại hình tội phạm khác, các đe doạ về mạng và tài nguyênInternet xuất phát từ cộng đồng nhỏ Tuy nhỏ như nhân tố này lại không ngừng lớnmạnh bởi ít có chế tài nào kiềm chế nó một cách hiệu quả, chỉ cần một công cụ tấncông được phát tán lên mạng là ngay lập tức rất nhiều hệ thống máy tính trở thành mụctiêu tấn công thông qua các lỗ hổng phần mềm Những kẻ đứng đằng sau các vụ tấncông này có thể là tin tặc, bẻ khoá phần mềm hoặc "nội gián"

Tin tặc (hacker): Phần lớn là những người am hiểu về bảo mật và các nguyên lývận hành mạng Internet và máy tính Trước đây, mục đích của tin tặc khi đột nhập vàomáy tính thường mang màu sắc phi lợi nhuận, chỉ để chứng tỏ tay nghề hay khoe

"thành tích" Ngày nay, mục đích này đã dần biến mất và thay vào đó là các động cơlớn hơn: tiền, thù hằn cá nhân, chính trị Khái niệm và quan niệm về hacker cũng rất

đa dạng, tuy nhiên, có thể chia tin tặc thành 3 dạng: mũ trắng, mũ đen và mũ xám

Hacker "mũ trắng" thường là các chuyên gia bảo mật, những người vì sự an toànchung của cộng đồng trong cuộc chiến chống lại hacker "mũ đen" "Mũ xám" là cụm từmới ám chỉ những tin tặc "nửa trắng nửa đen" (vừa chính lại vừa tà), những nhân tố cóthể thay đổi theo hoàn cảnh)

* Bẻ khoá (cracker): Cũng rất nguy hiểm và gây thiệt hại lớn đối với doanh nghiệp.Những công việc "ưu thích" của loại người này là bẻ khoá phần mềm, sửa đổi trangWeb, đánh cắp thông tin thẻ tín dụng, phá huỷ dữ liệu

* Nội gián: Đó chính là nhân viên trong công ty, những người muốn có được thông tin

cá nhân của người khác để thoả mãn tính tò mò hoặc phục vụ cho mục đích khác

Những đe doạ bảo mật thường thấy là tấn công mạng, tấn công tâm lý (socialengineering), virus, sâu và phần mềm gián điệp Những phi vụ tấn công mạng phức tạp

có động cơ chính trị hoặc tài chính thường chỉ nhắm tới một công ty hoặc hệ thốngmáy tính cụ thể Mục đích không nằm ngoài ý định sửa đổi cơ sở dữ liệu, đánh cắp tàikhoản hoặc thông tin cá nhân, cài đặt các chương trình do thám để cho phép kẻ độtnhập có thể khởi phát các cuộc tấn công từ chính hệ thống máy tính nạn nhân

1.1.4 Phương thức tấn công phổ biến

* Tấn công do thám: Là phương pháp tấn công thu thập thông tin để khởi phát cuộc tấncông thực sự sau này vào mạng lưới

22

* Tấn công truy nhập: Là phương pháp lợi dụng điểm yếu của mạng (thường là lỗihoặc lỗ hổng bảo mật).

* Tấn công từ chối dịch vụ: Là phương pháp tấn công mạnh tay nhất hiện nay bằngcách gửi một số lượng lớn truy vấn thông tin tới máy chủ, gây ra hiện tượng quá tải,khiến máy tính không thể (hoặc khó có thể) truy cập từ bên ngoài

Quản trị hệ thống cần phải đánh giá đúng mực mức độ của các cuộc tấn công để

từ đó đề ra biện pháp chống trả và bảo vệ hợp lý

Phương pháp "social engineering" thường được sử dụng để đánh cắp thông tinnhạy cảm của doanh nghiệp Đây là phương pháp tấn công ít tốn sức lực nhất như lạirất hiệu quả trong nhiều trường hợp Đôi khi chỉ cần một cú điện thoại là kẻ tấn công

có thể lấy được thứ mình muốn, chẳng hạn như hỏi thông tin mật khẩu để nâng cấp hệthống từ bộ phận hỗ trợ kỹ thuật

Virus, Trojan, sâu và các mối đe doạ khác có thể kết hợp cùng nhau để tạo ranguy cơ lớn đối với sự an toàn của một doanh nghiệp Những đe doạ này thường tấncông vào một mục tiêu định trước, được tung lên mạng và tìm kiếm lỗ hổng trong hệthống máy tính nạn nhân để xâm nhập Virus và Trojan thường đòi hỏi sự tương táccủa người dùng mới có thể lây nhiễm, trong khi sâu máy tính lại không cần; chúng cókhả năng tự phát tán qua e-mail để lây nhiễm tới những hệ thống máy tính "kém antoàn" chỉ trong vài giờ, hoặc thậm chí là vài phút Theo thống kê của hãng bảo mậtphần mềm PestPartrol, số lượng đe doạ bảo mật đã tăng từ 27.000 (2000) lên 60.500trong năm 2003

1.1.5 Giải pháp

Để giảm thiểu thiệt hại từ các vụ tấn công lợi dụng lỗ hổng bảo mật, doanhnghiệp cần phải thực hiện nghiêm túc quy trình phát hiện -> giải quyết triệt để hoặcngăn chặn tối đa lỗ hổng Thường bước đầu tiên cần thực hiện là thảo ra một chínhsách bảo mật và thông báo rộng rãi tới các nhân viên trong công ty Chính sách này cầnquy định rõ quyền và nghĩa vụ từng người khi tiếp xúc với tài nguyên kỹ thuật doanhnghiệp

Khi đã có chính sách và quy định rõ ràng, bước tiếp theo cần kết hợp các biệnpháp nghiệm vụ để giảm thiểu hoặc thậm chí xoá bỏ rất nhiều "cơn đau đầu" về bảomật hiện nay Những biện pháp này có thể bao gồm việc triển khai kỹ thuật để phát

23

hiện và ngăn chặn các hành vi lạm dụng và phá hoại; đào tạo nhân viên và áp dụng triệt

để, thông suốt chính sách bảo mật đề ra

Đe doạ bảo mật và việc triển khai công nghệ để giảm thiểu chúng luôn có quan

hệ mật thiết với nhau Để bảo mật thành công đòi hỏi phải có bước tiếp cận và quytrình xử lý xuyên suốt:

- Tiến hành đánh giá định kỳ về chính sách bảo mật

- Triển khai công nghệ bảo mật để cung cấp các kết nối an toàn, ngăn chặn các nguy cơ

và quản lý việc nhận dạng, đánh giá ở những thời điểm và bộ phận hợp lý

- Sửa chữa và bảo vệ các điểm đầu cuối, máy chủ và desktop trước những đe doạ đãđược nhận dạng hoặc chưa được nhận dạng Cần ý thức rằng trên thực tế không có mộtcông nghệ bảo mật đơn lẻ nào là hoàn hảo, mà cần kết hợp nhiều biện pháp và côngnghệ khác nhau

Có rất nhiều bước bảo mật cơ bản không đòi hỏi nhiều tiền hoặc nỗ lực bỏ ra.SMB có thể thực hiện cá bước đơn giản và dễ áp dụng để cải thiện môi trường bảo mậtcủa doanh nghiệp mình SMB tuy có thể là mục tiêu nhỏ nhưng không phải vì thế họ ít

bị tấn công mà ngược lại doanh nghiệp loại này cần phải bảo vệ mình trước các nguy

cơ bằng cách triển khai những hoạt động ngăn chặn, thông dụng và dễ triển khai

24

1.2 Mô hình bảo mật cho một hệ thống bất kì:

1.2.1 Thành lập một nhóm chuyên giám sát sự an toàn của hệ thống:

Nhóm này có nhiệm vụ kiểm tra, thông báo và kịp thời khống chế những nguy

cơ nguy hiểm có thể gây ra cho hệ thống, hạn chế những rủi ro đáng tiếc cho hệ thống.Nhóm này còn có nhiệm vụ tìm hiểu và đưa ra các giải pháp, các cơ chế bảo mật mớicho toàn hệ thống Cuối cùng, nhiệm vụ của nhóm này là nghiên cứu để thay đổi cáchhoạt động để nâng cao hiệu quả cũng như tính an toàn của hệ thống Trước khi đưa racác thông báo về bảo mật, phải lường trước được mọi tình huống sẽ xảy ra

Để kiểm tra mức độ yếu kém của hệ thống, hãy bắt đầu với những vấn đề có thểdẫn tới độ rủi ro cao nhất trong hệ thống mạng, như các nguy cơ tấn công từ bên ngoài(Internet) Hãy sử dụng cơ chế bảo mật bên ngoài bằng một sản phẩm của một hãng códanh tiếng, có thể cung cấp thông tin cần thiết để ước lượng mức bảo mật hiện tại của

hệ thống khi bị tấn công từ Internet Sự kiểm tra này không chỉ bao gồm việc kiểm tracác lỗ hổng, mà còn gồm cả các phân tích từ người sử dụng, hệ thống được kết nốibằng VPN, mạng và các phân tích về thông tin công cộng sẵn có

Một trong những chú ý mang tính quan trọng nhất là kiểm tra nguy cơ tấn công

từ bên ngoài vào Đây chính là điểm mấu chốt trong việc đánh giá hệ thống mạng.Nhưng nếu một hệ thống sử dụng cơ chế bảo mật bên ngoài (cung cấp các dịch vụemail, Web), theo cơ chế đó chúng ta nhận ra rằng, không phải toàn bộ các nguy cơ tấncông đều đến từ Internet Việc cung cấp lớp bảo mật theo account, hệ thống mạng phảiđược bảo vệ từ chính những người sử dụng VPN và các người dùng khác và tạo ra cácmạng riêng rẽ từ các cổng truy cập đầu cuối là toàn bộ các ưu thế của cơ chế này

Cơ chế bảo mật bên trong cũng giúp việc quản lý bảo mật hệ thống được tốthơn Bằng cách kiểm tra toàn bộ hoạt động hệ thống, các cơ chế chính sách bảo mậtđược xây dựng, các quá trình xử lý thông tin, cơ chế bảo mật bên trong cung cấp thôngtin một cách chi tiết tương tự như việc khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm

25

chí bao gồm cả việc tự phá mã mật khẩu và dùng các công cụ phân tích hệ thống đểkiểm tra tính tương thích về chính sách bảo mật mới trong tương lai.

- Cơ chế bảo mật cũ của hệ thống có được đề ra rõ ràng và cung cấp đủ biện pháp bảomật chưa?

- Kết quả từ cơ chế bảo mật bên ngoài có đồng bộ so với chính sách bảo mật của toàn

hệ thống không?

- Có mục nào cần sửa lại trong cơ chế bảo mật mà không được chỉ rõ trong chính sáchbảo mật mới không?

- Hệ thống bảo mật sẽ mất tác dụng trong hoàn cảnh rủi ro cao nhất nào?

- Giá trị, thông tin gì mang tính rủi ro cao nhất? Nguy cơ bị tấn công nhất?

Các câu trả lời cung cấp cái nhìn toàn diện cho việc phân tích về toàn bộ chính sáchbảo mật của Hệ thống Có lẽ, thông tin quan trọng được lấy trong quá trình kết hợp cácgiá trị kiểm tra và tính rủi ro tương ứng Theo giá trị thông tin, có thể tìm thấy các giảipháp mô tả được toàn bộ các yêu cầu, bạn có thể tạo ra một danh sách quan tâm về lỗhổng bảo mật

1.2.3 Xây dựng giải pháp:

Trên thực tế không tồn tại giải pháp an toàn Không có một ai, một tài liệu nào

có thể cung cấp hết được mọi lỗ hổng trong hệ thống và cũng không có nhà sản xuấtnào có thể cung cấp đủ các công cụ cần thiết Cách tốt nhẫt vẫn là sử dụng kết hợp cácgiải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật đa năng, đa tầng

1.2.4 Firewall:

26

Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa vào hoạt động phùhợp với chính sách bảo mật của hệ thống là một trong những việc đầu tiên trong quátrình bảo mật hệ thống Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kếthợp cả hai Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các thông tinquan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống Việc lựa chọnfirewall thích hợp cho một hệ thống không phải là dễ dàng Các firewall đều phụ thuộctrên một môi trường, cấu hình mạng, ứng dụng cụ thể Khi xem xét lựa chọn mộtfirewall, cần tập trung tìm hiểu tập các chức năng của firewall, tính năng lọc địa chỉ,gói tin

1.2.5 Hệ thống kiểm tra xâm nhập mạng (IDS):

Một firewall được gọi là tốt chỉ khi nó có thể lọc và tạo khả năng kiểm soát cácgói tin khi chúng đi qua nó Và đây cũng chính là nơi mà hệ thống IDS nhập cuộc Nếuxem firewall như một con đập ngăn nước, thì thì có thể ví IDS như một hệ thống điềukhiển luồng nước trên các hệ thống xả nước khác nhau Một IDS, không liên quan tớicác công việc điều khiển hướng đi của các gói tin, mà nó chỉ có nhiệm vụ phân tích cácgói tin mà firewall cho phép đi qua, tìm kiếm các dấu hiệu tấn công đã biết (các dấuhiệu tấn công chính là các đoạn mã đã được biết mang tính nguy hiểm cho hệ thống)

mà không thể kiểm tra hay ngăn chặn bởi firewall IDS tương ứng với việc bảo vệ đằngsau của firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắc chắncho firewall hoạt động hiệu quả

1.2.6 Hệ thống kiểm tra xâm nhập dựa theo vùng (H-IDS):

Lựa chọn, thực hiện và sử dụng một hệ thống kiểm tra sự xâm nhập trên máychủ dựa trên nhiều hệ điều hành và môi trường ứng dụng Một hàm chức năng đầy đủcủa H-IDS có thể cung cấp các thông báo đều đặn theo thời gian của bất kỳ sự thay đổinào tới máy chủ do tác động bên trong hay bên ngoài Nó là một trong những cách tốtnhất để giảm thiểu sự tổn thương của hệ thống Việc tìm kiếm hệ thống mà hỗ trợ được

27

hầu hết các hệ điều hành nên được xem như một trong những đặc điểm chính cho mỗiH-IDS.

1.2.7 Hệ thống kiểm tra xâm nhập dựa theo ứng dụng (App-IDS):

Số lượng App-IDS xuất hiện trên thị trường ngày càng nhiều Các công cụ nàythực hiện việc phân tích các thông điệp từ một ứng dụng cụ thể hay thông tin qua proxytới ứng dụng đó Trong lúc chúng có mục đích cụ thể, chúng có thể cung cấp mức bảomật tăng lên theo từng mảng ứng dụng cụ thể Khi được kết hợp với một H-IDS, chúngđảm bảo rằng sự xâm nhập tới một máy chủ sẽ giảm thiểu Một App-IDS nên đượcxem như một chức năng hỗ trợ bảo mật trong suốt, mặc dù không đúng trong một sốtrường hợp đặc biệt

1.2.8 Phần mềm Anti-Virus (AV)

Phần mềm AV nên được cài trên toàn bộ máy trạm (workstation), máy chủ(server), hệ thống hỗ trợ dịch vụ và hầu hết những nơi chứa dữ liệu quan trọng vào ra.Hai vấn đề quan trọng nhất để xem xét khi đặt yêu cầu cho một nhà sản xuất AV quản

lý nhiều máy chủ và máy trạm trên phạm vi toàn bộ hệ thống là khả năng nhà cung cấp

đó có đối phó được các đe doạ từ virus mới hay không, có thường xuyên kiểm tra cácphiên bản của virus và các file cập nhật cho virus mới không)

1.2.9 Mạng riêng ảo (VPN)

Việc sử dụng VPN để cung cấp cho các thành viên truy cập tới các tài nguyêncủa hệ thống từ nhà hay nơi làm việc khác với mức bảo mật cao, hiệu quả nhất trongquá trình truyền thông và làm tăng hiệu quả hoạt động của thành viên Tuy nhiên,không có điều gì không đi kèm sự rủi ro Bất kỳ tại thời điểm nào khi một VPN đượcthiết lập, cần phải mở rộng phạm vi kiểm soát bảo mật của hệ thống tới toàn bộ các nútđược kết nối với VPN

Để đảm bảo mức bảo mật cho hệ thống này, người sử dụng phải thực hiện đầy

đủ các chính sách bảo mật của hệ thống Điều này có thể thực hiện được qua việc sửdụng các hướng dẫn của nhà sản xuất về dịch vụ VPN như hạn chế các ứng dụng có thể

28

chạy ở nhà, cổng mạng có thể mở, loại bỏ khả năng chia kênh dữ liệu, thiết lập hệthống bảo vệ virus khi chạy hệ thống từ xa, tất cả công việc này giúp giảm thiểu tínhrủi ro Điều này rất quan trọng đối với các hệ thống phải đối mặt với những đe doạtrong các nguy cơ bị tấn công từ các hệ thống khác.

1.2.10 Sinh trắc học trong bảo mật:

Sinh trắc học đã được biết đến từ một số năm trước đây, nhưng cho đến nay vẫn

có rất nhiều khó khăn cho việc nhân rộng để áp dụng cho các hệ thống bảo mật thươngmại Dấu tay, tròng mắt, giọng nói cung cấp bảo mật mức cao hơn các mật khẩuthông thường, nhưng cho đến hiện tại chúng cũng vẫn được coi như phương thức tốtnhất để truy cập vào hệ thống

1.2.11 Các thế hệ thẻ thông minh:

Các hệ thống gần đây đã sử dụng thẻ thông minh như một phương thức bảo mậthữu hiệu Windows 2000 cung cấp cơ chế hỗ trợ thẻ thông minh như một phương tiệnchính trong việc chứng thực quyền đăng nhập hệ thống Nói chung, sự kết hợp đa côngnghệ (như tròng mắt, thẻ thông minh, dấu tay) đang dần hoàn thiện và mở ra một thờiđại mới cho việc chứng thực quyền truy cập trong hệ thống bảo mật

1.2.12 Kiểm tra máy chủ:

Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủyếu vào sự quản lý Mọi máy chủ ở trong một hệ thống nên được kiểm tra từ Internet

để phát hiện lỗ hổng bảo mật Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩmđịnh máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khifirewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc

Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tốithiểu và có rất nhiều lỗ hổng bảo mật Trước khi một máy chủ đưa vào sản xuất, sẽ cómột quá trình kiểm tra theo một số bước nhất định Toàn bộ các bản sửa lỗi phải đượccài đặt trên máy chủ và bất cứ dịch vụ không cần thiết nào phải được loại bỏ Điều này

sẽ tránh được độ rủi ro xuống mức thấp nhất cho hệ thống

29

Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng Chúng sẽcung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật Trong rấtnhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một cuộctấn công vào máy chủ.

1.2.13 Kiểm soát ứng dụng:

Vấn đề an toàn bảo mật trong mã nguồn của các ứng dụng hầu hết không đượcquan tâm Điều này không được thể hiện trên các sản phẩm nhưng liệu nó có đượcmua, được download miễn phí hay được phát triển từ một mã nguồn nào đó Để giúp

đỡ giảm thiểu sự rủi ro bảo mật trong các ứng dụng nên kiểm tra lại giá trị của ứngdụng trong hệ thống, như công việc phát triển bên trong của các ứng dụng Điều nàycũng có thể bao gồm các đánh giá của các thực thể bên ngoài như thành viên hay cáckhách

Việc điều khiển cấu hình bảo mật các ứng dụng có thể làm tăng mức bảo mật.Hầu hết các ứng dụng được cấu hình tại mức tối thiểu của tính năng bảo mật, nhưngqua các công cụ cấu hình, mức bảo mật của hệ thống có thể được tăng lên Lượngthông tin kiểm soát được cung cấp bởi ứng dụng cũng có thể được cấu hình Nơi màcác ứng dụng cung cấp thông tin về quy mô bảo mật, thời gian kiểm soát và sự phântích thông tin này sẽ là chìa khoá để kiểm tra các vấn đề bảo mật thông tin

1.2.14 Các hệ điều hành:

Sự lựa chọn hệ điều hành và ứng dụng là quá trình đòi hỏi phải có sự cân nhắc

kỹ càng Chọn cái gì giữa hệ điều hành Microsoft hay UNIX, trong rất nhiều trườnghợp, điều thường do ấn tượng cá nhân về sản phẩm Khi lựa chọn một hệ điều hành,thông tin về nhà sản xuất không quan trọng bằng những gì nhà sản xuất đó làm đượctrong thực tế, về khả năng bảo trì hay dễ dàng thực hiện với các tài liệu đi kèm Bất kỳmột hệ điều hành nào từ 2 năm trước đây đều không thể đảm bảo theo những chuẩnngày nay và việc các máy chủ, ứng dụng của bạn được cập nhật thường xuyên sẽ đảmbảo giảm thiểu khả năng rủi ro của hệ thống

30

Khi lựa chọn một hệ điều hành, hãy tìm hiểu không chỉ các tiêu chuẩn thôngthường như (quản trị, hiệu năng, tính chứng thực), mà còn phải xem xét khả năng ápdụng được của hệ điều hành với hệ thống hiện tại Một hệ điều hành có thể cung cấp cơchế bảo mật tốt hơn khi nó tương thích với các ứng dụng chạy bên trong nó như DNShay WebServer, trong khi các hệ điều hành khác có thể có nhiều chức năng tốt hơn nhưmột hệ thống application, database hay email server.

1.2.15 Thực hiện và đào tạo:

Ban đầu, sự hỗ trợ cần thiết sẽ được đúc rút lại và lên kế hoạch hoàn chỉnh cho dự

án bảo mật Đây chính là bước đi quan trọng mang tính chiến lược của mỗi hệ thống vềvấn đề bảo mật Các chi tiết kỹ thuật của bất kỳ sự mô tả nào cũng sẽ thay đổi theo môitrường, công nghệ, và các kỹ năng liên quan, ngoài ra có một phần không nằm trongviệc thực thi bảo mật nhưng chúng ta không được coi nhẹ, đó chính là sự đào tạo Đểđảm bảo sự thành công bảo mật ngay từ lúc đầu, người sử dụng phải có được sự hiểubiết cần thiết về chính sách bảo mật, gồm có:

- Kỹ năng về các hệ thống bảo mật mới, các thủ tục mới

- Hiểu biết về các chính sách mới về tài sản, dữ liệu quan trọng của hệ thống

- Hiểu các quy trình bắt buộc mới, chính sách bảo mật hệ thống

Nói tóm lại, không chỉ đòi hỏi người sử dụng có các kỹ năng cơ bản, mà đòi hỏi họphải biết tại sao và cái gì họ đang làm là cần thiết với chính sách bảo mật của hệ thống

1.2.16 Tiếp tục kiểm tra, phân tích và thực hiện:

Hầu hết những gì mong đợi của một hệ thống bảo mật bất kỳ là chạy ổn định, điềukhiển được hệ thống và nắm bắt được các luồng dữ liệu của hệ thống Quá trình phântích, tổng hợp các thông tin, sự kiện từ firewall, IDS’s, VPN, router, server và các ứngdụng là cách duy nhất để kiểm tra hiệu quả của một hệ thống bảo mật và cũng là cáchduy nhất để kiểm tra hầu hết sự vi phạm về chính sách bảo mật cũng như các lỗi thôngthường mắc phải với hệ thống

1.2.17 Các gợi ý bảo mật cho hệ thống và mạng:

31

Dựa trên kết quả của việc sử dụng các phương thức bảo mật bên ngoài và bảo mậtbên trong của hệ thống có thể chia thành các vấn đề nhỏ tuỳ theo từng công cụ như sau:Đặc điểm của bảo mật:

+ Tạo bộ phận chuyên trách bảo mật để xem xét toàn bộ các vấn đề liên quan tớibảo mật - Thực hiện các thông báo bảo mật tới người sử dụng để đảm bảo mọingười hiểu và thực hiện theo các yêu cầu cũng như sự cần thiết của việc thực hiệncác yêu cầu đó

+ Tạo, cập nhật, theo dõi toàn bộ chính sách bảo mật của hệ thống

1.2.18 Windows 2003-2008, IIS 7.0

1.2.18.1 Windows Server 2003

Một trong số các tính năng mới được thiết kế cho hệ điều hành Windows Server

2003 là khả năng hỗ trợ sâu rộng cho chuẩn bảo mật Kerberos Chuẩn này cho phép sửdụng các nguồn lực điện toán cụ thể trong một khoảng thời gian định sẵn Ngoài ra, đócòn là những thay đổi trong việc thực thi khoá công khai (PKI), chẳng hạn như khảnăng lưu trữ và nhận các khoá riêng (private keys) theo một cách thức logic hơn

Hơn thế nữa, Microsoft còn cho phép người sử dụng chỉ phải đăng nhập một lầnbằng mật khẩu của mình khi họ truy cập từ mạng của mình đến các mạng khác Khảnăng đăng nhập một lần (single sign-on) được thực hiện thông qua một công nghệ gọi

là Forrest Trusts Công nghệ này liên kết các Active Directory chạy trên các máy tínhkhác nhau

1.2.18.2 Windows Server 2008

Windows Server 2008 là máy phục vụ Windows bảo mật nhất từ trước đến nay.  Những cải tiến về bảo mật và hệ điều hành qua bao tôi luyện, dày dạn, gồm NetworkAccess Protection, Federated Rights Management, và Read-Only Domain Controller cónhiều cấp độ bảo vệ mạng, bảo vệ dữ liệu và nghiệp vụ chưa từng có

32

Bảo vệ Truy cập Mạng: Một khung làm việc mới cho phép các nhà quản trị

CNTT xác định các yêu cầu về quản lý hoạt động cho mạng và chặn không cho cácmáy tính không tuân thủ yêu cầu này liên lạc với mạng.  Tính năng Bảo vệ Truy cậpMạng buộc mọi người phải tuân thủ chính sách - do nhà quản trị xác định - miêu tả cácyêu cầu về quản lý hoạt động.  Ví dụ như, yêu cầu về quản lý hoạt động có thể là phảicài các phần cập nhật hệ điều hành, hoặc phải cài và cập nhật thường xuyên các phầnmềm diệt vi-rút chẳng hạn.  Làm như vậy, các nhà quản trị mạng có thể định các cấp

độ bảo vệ cho mọi máy tính muốn nối mạng

Microsoft BitLocker mang lạ̣i khả năng bảo mật dữ liệu bằng cách mã hoá toàn bộ bộnhớ đĩa của nhiều ổ cứng, thậm chí khi hệ thống đang nằm trong tay người dùng bấthợp lệ hay đang chạy những hệ điều hành, dữ liệu và kiểm soát khác

Read-Only Domain Controller (RODC): Một cách cấu hình domain controller

mới của hệ điều hành Windows Server 2008 giúp cho tổ chức có thể triển khai dễ dàngmột domain controller ở những nơi không bảo mật được về mặt vật lý RODC đưa lênmạng một bản sao chỉ-đọc cơ sở dữ liệu của dịch vụ thư mục Active Directory củadomain đã định.  Trước đây, người dùng phải xác thực với domain controller, nhưng ởvăn phòng chi nhánh thì không thể bảo mật tốt được cho domain controller, nên phảixác thực người dùng qua mạng WAN.  Trong nhiều trường hợp, đây không phải là mộtcách làm tốt.  Nhờ đặt một bản sao CSDL Active Directory chỉ-đọc gần người dùng ởchi nhánh hơn, nên những người dùng này có thể đăng nhập và xác thực nhanh hơn đểtruy cập được vào các nguồn lực trên mạng, dù môi trường không đủ an toàn về mặtvật lý để triển khai domain controller theo kiểu thông thường

Kết cụm chống lỗi: Các cải tiến để cấu hình cụm máy phục vụ dễ dàng hơn mà

vẫn bảo vệ được dữ liệu và ứng dụng cũng như tính sẵn sàng của dữ liệu và ứng dụng. Nhờ dùng Validate Tool mới trong cụm máy chống lỗi, ta có thể kiểm tra để xác địnhxem cấu hình của hệ thống, nơi lưu trữ và mạng có phù hợp với cụm máy hay không. Với cụm máy chống lỗi trong Windows Server 2008, nhà quản trị mạng có thể thựchiện những tác vụ thiết lập, dời chuyển, cũng như tác vụ vận hành và quản lý dễ dànghơn.  Những cải tiến trong cơ sở hạ tầng cụm máy phục vụ giúp các nhà quản trị luôn

có sắn dịch vụ để cung cấp cho người dùng, lưu trữ tốt hơn, hiệu suất mạng cao hơn vàbảo mật hơn

1.2.18.3 Microsoft Corp.'s Internet Information Server 7 ( IIS 7)

IIS 7 đưa ra kiểu mô hình modul, một khái niệm dường như không phổ biến lắm

so với phần mềm Apache Web server Cấu trúc modul cung cấp khả năng hoạt độngriêng rẽ đối với từng bộ phận trong IIS Nghĩa là các bộ phần này gần như có thể được

33

load trong bất cứ mối liên kết không phụ thuộc nào Bạn có thể chỉ cho phép các modulcần thiết nhất trên server hoạt động, các modul còn lại có thể đặt ở trạng thái nghỉ:unload, untouch

Đây là một cải tiến tuyệt vời trong công tác bảo mật bởi vì ít modul hơn thìtương ứng sẽ có ít cuộc tấn công hơn,do có ít lỗ hổng phát sinh hơn Ngoài ra bạn cóthể thấy IIS 7 hoạt động gọn hơn trước đây rất nhiều

Cấu trúc modul cũng có nhiều tính năng mở rộng Bạn có thể viết các đoạn mãtuỳ chọn và tự tích hợp vào (workflow) bên trong IIS, tính năng mở rộng này dễ dàngthực hiện khi bạn cần Các modul có thể đặt ở chế độ enable (được sử dụng) và disable(không sử dụng) Bạn không bị giới hạn khi cấu hình server trong thời gian cài đặt, bạn

có thể thay đổi một số thành phần IIS 7 trong hầu hết các khu vực hoạt động của nó tạigiao diện người dùng

IIS 6 được biết đến với sự cải tiến cao về bảo mật thông qua thành phần Swiss

đã có từ IIS 5 và Microsoft hi vọng rằng IIS 7 sẽ tiếp tục theo khuynh hướng đó Hầuhết mọi công ty đều sử dụng IIS với các ứng dụng web trên nền Net IIS 7 thậm chícòn được gói trong khung làm việc nhỏ gọn hơn, nó sử dụng các ứng dụng Net mộtcách trực tiếp bên trong lõi tiến trình IIS, không định tuyến các ứng dụng này với phần

mở rộng của Internet Server Application Programming Interface

IIS 7 thể hiện sự thống nhất của Active Server Pages Net với IIS Các dạngthẩm định ngày càng phong phú hơn về nội dung Hiện giờ chức năng thẩm định khôngchỉ gói gọn trong một kiểu ứng dụng Net nữa, mà còn mở rộng với cả dữ liệu lưu trữtrong cơ sở dữ liệu bạn cung cấp

Thêm nữa, các chức năng kiểu URLScan được tích hợp trong IIS một cách tựnhiên Nó sẽ lọc các yêu cầu web và xử lý yêu cầu nào có mục đích bất chính haymuốn khai thác lỗ hổng bảo mật IIS 7 cũng có nhiều cải tiến trong dịch vụ LonghomServer, cung cấp nhiều bảng, làm cho hệ thống cũng như dịch vụ an toàn hơn

1.2.19 Quy định chung về cầu hình firewall:

Cấu hình của firewall nên có các luật nghiêm ngặt Chỉ rõ các luật đối với từngloại truy nhập cả bên ngoài lẫn bên trong

Giảm thiểu các truy nhập từ xa tới firewall

Cung cấp hệ thống kiểm soát tập luật của firewall

Kiểm tra lại các luật

34

1.2.20 Kiểm soát Firewall-1:

Loại bỏ các luật mặc định cho phép mã hoá và quản lý của firewall, thay thế cácluật không rõ ràng bằng các luật phân biệt rạch ròi trong công việc thực thi

Không sử dụng mặc định “allow DNS traffic” - chấp nhận luật này chỉ cho cácmáy chủ cung cấp DNS cho bên ngoài

CHƯƠNG 2: CÁC KHÁI NIỆM CƠ BẢN: FIREWALL – PROXY SERVER

2.1.Tìm hiểu về Firewall:

2.1.1 Khái niệm Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng đểngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹthuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệcác nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng(Trusted network) khỏi các mạng không tin tưởng (Untrusted network)

Thông thường Firewall đựơc đặt giữa mạng bên trong (Intranet) của một công

ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin,ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từbên trong (Intranet) tới một số địa chỉ nhất định trên Internet

2.1.2 Phân loại và đặc điểm Firewall

Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm:

2.1.2.1 Firewall cứng

- Khái niệm Firewall cứng: Là những firewall được tích hợp trên Router

- Đặc điểm của Firewall cứng:

+ Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêmquy tắc như firewall mềm)

36

+ Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network vàtầng Transport).

+ Firewall cứng không thể kiểm tra được nột dung của gói tin

- Ví dụ Firewall cứng: NAT (Network Address Translate)

2.1.2.2 Firewall mềm

- Khái niệm Firewall mềm: Là những Firewall được cài đặt trên Server

- Đặc điểm của Firewall mềm:

+ Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

+ Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

+ Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từkhóa)

- Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…

2.1.3 Vì sao cần Firewall

37

Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả cácgiao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập

và lấy cắp thông tin cá nhân cuả bạn trên máy tính Chúng có thể cài đặt các đoạn mã

để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tính cuả bạn để tấncông một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet Một firewall

có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến

2.1.4 Chức năng

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet.Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạngInternet Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vàoIntranet)

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

2.1.5 Cấu trúc của Firewall

Một FireWall bao gồm một hay nhiều thành phần sau:

Bộ lọc packet (packet- filtering router);

Cổng ứng dụng (Application-level gateway hay proxy server);

Cổng mạch (Circuite level gateway)

- Bộ lọc packet (packet- filtering router):

+Nguyên lý :

38

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewallthì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giaothức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trênmạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP,DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các paket nàynhững địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loạiFirewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộđoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệcủa lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầumỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng Đó là:Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destinationaddress) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơixuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destinationport) Dạng thông báo ICMP ( ICMP message type) Giao diện packet đến ( incomminginterface of packet) Giao diện packet đi ( outcomming interface of packet) Nếu luật lệlọc packet được thoả mãn thì packet được chuyển qua firewall Nếu không packet sẽ bị

bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặcmạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từnhững địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall cókhả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặcchỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệthống mạng cục bộ

+ Ưu điểm:

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưuđiểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được

39

bao gồm trong mỗi phần mềm router Ngoài ra, bộ lọc packet là trong suốt đối với

ngư-ời sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

-Cổng ứng dụng (application-level getway):

+ Nguyên lý:

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt độngcủa nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệtcài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxycode cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đókhông thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấuhình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấpnhận được trong khi từ chối những đặc điểm khác

Một cổng ứng dụng thường đợc coi như là một pháo đài (bastion host), bởi vì nóđược thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo

an ninh của một bastion host là: Bastion host luôn chạy các version an toàn (secureversion) của các phần mềm hệ thống (Operating system) Các version an toàn này đượcthiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như làđảm bảo sự tích hợp firewall Chỉ những dịch vụ mà người quản trị mạng cho là cầnthiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được

40