Tiểu luận xây dựng chính sách an toàn thông tin chủ đề Cyberoam

*IT Resource Optimization:2.Chi tiết các chức năng của Cyberoam: Cyberoam, bảo mật dựa trên cơ sở xác thực người sử dụng, cung cấp khả năng bảo vệ trong thời gian thực Real-time network

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

-o0o -BÀI TẬP LAB 3

Bộ Môn: Xây dựng chính sách an toàn thông tin

*Giáo viên hướng dẫn:

Nguyễn Duy

*Nhóm thực hiện:

Trần Tuấn Anh 08520010 Trần Hoàng Hiệp 08520540 Trần Quang Khánh 08520552

Cyberoam

I.Phần cứng:

Thiết bị Cyberoam UTM tích hợp nhiều tính năng bảo mật như tường lửa, VPN, hệ thống ngăn chặn xâm nhập, Anti-Virus & Anti-Spyware, Anti-Spam, Web Filtering,Layer 7 Visibility & Control, quản lý băng thông, Quản lý liên kết nhiều, và nhiều hơn nữa trên một nền tảng duy nhất Kiến trúc bảo mật mở rộng cùng với bộ xử lý đa lõi cho phép nó sẵn sàng cung cấp cho an ninh trong tương lai và thông lượng nhanh hơn

1.Một và nét về CR300i:(cho người dùng có cái nhìn tổng quan hơn về thiết bị cyberoam vì có demo trên trang chủ http://demo.cyberoam.com/)

*Network Security:

-Fire wall-Intrusion Prevention System-Wireless security

*Content security:

-Anti-Virus/Anti-Spyware-Anti-Spam

*IT Resource Optimization:

2.Chi tiết các chức năng của Cyberoam:

Cyberoam, bảo mật dựa trên cơ sở xác thực người sử dụng, cung cấp khả năng bảo vệ trong thời gian thực (Real-time network protection) đối với những dạng tấn công và những mối đe dọa với các hệ thống máy chủ, hệ thống mạng và các ứng dụng cũng như dịch vụ như: Web Server, Mail Server, FTP Server, ERP Hơn nữa, Cyberoam còn cung cấp tính năng chống mất cắp dữ liệu (End-Point Data Protection), đây cũng là chức năng làm cho giải pháp bảo mật của Cyberoamđược hoàn thiện và toàn diện hơn

Hầu hết các hệ thống phải đối mặt với sự tấn công từ nhiều phía khác nhau nhưng

có thể quy về hai phía đó là bên trong và bên ngoài (Internal và External ) Giải pháp bảo mật toàn diện của Cyberoam giúp ngăn chặn các mối đe dọa trên, đồng thời tối ưu hoá, tiết kiệm chi phí và rất dễ quản lý, xuất báo cáo khi cần thiết.Cyberoam cung cấp giải pháp bảo mật toàn diện phù hợp với từng quy mô doanh nghiệp, doanh nghiệp nhỏ, vừa và lớn với các dòng sản phẩm khác nhau tương ứng Giải pháp toàn diện được biết đến với công nghệ Stateful Inspection Firewall(một kỹ thuật sử dụng bảng trạng thái để theo dõi các trạng thái và hành vi của các gói tin, kết nối đi qua thiết bị, đảm bảo an toàn trước và sau khi thiết lập các kênh thông tin), tích hợp các tính năng VPN, Gateway Anti-virus, Anti-Spyware, Gateway Anti-spam, hệ thống phòng chống xâm nhập trái phép (Intrusion

Prevention System - IPS), lọc nội dung (Content Filtering), quản lý băng thông (Bandwidth Management), quản lý đa kết nối (Multiple Link Management), hệ thống báo cáo toàn diện và cơ chế quản lý tập trung thiết bị với Cyberoam Center Console

Ngoài ra, Cyberoam không chỉ bảo mật, kiểm soát và nhận dạng dựa trên gói tin

IP mà còn tích hợp nhận dạng người sử dụng (User) Với giải pháp bảo mật nhận dạng User, việc quản lý các vấn đề bảo mật trở nên thuận tiện hơn và tin tưởng hơn trong mạng sử dụng DHCP và Wi-Fi

Tính Năng Stateful Inspection Firewall (Sử dụng bảng trạng thái kiểm soát các gói tin)

-Ngăn chặn dịch vụ(DoS ) và tấn công dồn dập từ các nguồn bên ngoài vào và bên trong ra

-Nhận dạng người sử dụng & kiểm soát các ứng dụng ( P2P, IM)

-Bảo vệ lớp ứng dụng

-Dễ dàng thiết lập chính sách cho từng cá nhân hoặc nhóm người sử dụng-Tính linh hoạt cao

Thiết lập kết nối mạng riêng ảo (VPN)

-Hỗ trợ các giao thức kết nối VPN như: IPSec, L2TP, PPTP, SSL VPN

-Độ sẵn sàng cao cho các kết nối VPN IPSec, L2TP

-Dual VPNC Certifications - Basic and AES Interop

-Bảo mật cho các kết nối đến văn phòng chi nhánh

-Chi phí thấp

-Quản lý hiệu quả chế độ dự phòng dựa vào mức độ ưu tiên của các kết nối

Gateway Anti-Virus

-Sử dụng bộ máy tìm kiếm và quét của Kaspersky

-Theo dõi các luồng HTTP, FTP, IMAP, POP3 and SMTP

-Phát hiện và loại bỏ viruses, worms, Trojans

-Kiểm soát các email vào ra hệ thống bằng chính sách

-Kiểm soát các file trao đổi dựa trên từ khóa

-Nhận dạng người dung tức thời trong trường hợp bị tấn công

-Bảo vệ toàn bộ các lưu lượng thông qua các giao thức

-Tính linh hoạt cao

-Bảo vệ các thông tin quan trọng

-Bảo vệ theo thời gian thực

-Cập nhật tự động dấu hiệu nhận dạng

Gateway Anti-Spam

-Sử dụng bỗ máy tìm kiếm và quét với Kaspersky

-Theo dõi và nhận dạng tấn công spam qua cổng SMTP, POP3 và IMAP cách ly hoặc đính kèm nội dung dựa trên chính sách (Policy) hoặc các danh sách (black list & white list)

-Bảo vệ khỏi sự phát tán lây nhiêm virus

-Bảo vệ khỏi các hình thức spam bao gồm spam ảnh (image-spam) bằng việc sử dụng công nghệ dò tìm mẫu (Recurrent Pattern Detection RPD)

-Tăng hiệu suất làm việc

-Tính linh hoạt cao

-Tính sẵn sàng cao

-Việc cập nhật tức thời tránh lây nhiễm của mối đe dọa mới

-Hỗ trợ đa ngôn ngữ, đa cấu trúc trong việc nhận dạng tấn công spam

-Cập nhật tự động các dấu hiệu nhận dạng

Hệ thống phòng chống xâm nhập trái phép - IDP

-Cơ sở dữ liệu bao gồm hơn 4500 signatures

-Hỗ trợ khả năng đa chính sách dựa trên signature

-Nhận dạng và phòng chống xâm nhập sử dụng dấu hiệu do người sử dụng thiết lập dựa trên hành vi

-Phòng chống xâm nhập dựa trên phương pháp thử sai (Attempts), từ chối dịch vụ(DoS), attacks, chèn mã độc (malicious code), backdoor, và các dạng tấn công trên lớp mạng, kiểm soát sử dụng proxy mạo danh bằng HTTP signatures, -Bảo mật theo thời gian thực trong môi trường động (DHCP-Wifi)

-Cung cấp khả năng nhận dạng các tấn công từ bên trong mạng nội bộ

-Áp dụng chính sách IPS trên từng cá nhân

Bộ lọc nội dung và lọc ứng dụng (Content & Application Filtering)

-Tự động hóa phân loại web theo nhóm, các nhóm bao gồm hàng triệu các trang web được phân loại sẵn trong 82 nhóm nội dung

-Bộ lọc URL được sử dụng cho các ứng dụng HTTP & HTTPS

-Phân cấp chính sách theo nhóm, phòng ban, người sử dụng, thời gian sử dụng, -Kiểm soát download streaming media, gaming, tickers, …

-Hỗ trợ tiêu chuẩn CIPA được sử dụng cho các trường học, thư viện,

-Ngăn chặn tấn công từ bên ngoài

-Khóa việc truy cập vào những website bị cấm

-Đảm bảo việc tuân thủ các chính sách

-Tiết kiệm băng thông và tăng tính hiệu quả sử dụng đường truyền

-Đảm bảo tính pháp lý

-Đảm bảo độ an toàn và bảo mật cho những ứng dụng trực tuyến

Quản lý băng thông (Bandwidth Management)

-Đảm bảo băng thông tối thiểu và tối đa bằng việc phân cấp theo phòng ban, nhóm người sử dụng hoặc theo từng cá nhân riêng lẻ, theo ứng dụng hoặc giao thức sử dụng

-Ngăn ngừa tắc nghẽn băng thông

-Đặt mức độ ưu tiên cho những ứng dụng quan trọng

Quản lý đa kết nối (Multiple Link Management)

-Bảo mật thông qua việc quản lý đa kết nối (multiple ISP links) trên một thiết bị đơn

-Phân tải dựa trên việc đánh giá luồng (Weighted round robin distribution)

-Tự động chuyển mạch khi có lỗi xảy ra trên cổng kết nối (Link Failover )

-Dễ dàng quản lý việc tắc ngẽn đường truyền thông qua đa kết nối

-Tối ưu hóa việc sử dụng các đường truyền đảm bảo tính liên tục

Hệ thống báo cáo tích hợp (On-Appliance Reporting)

-Hệ thống báo cáo hoàn thiện có sẵn trên thiết bị

-Báo cáo theo thời gian thực các lưu lượng

-Báo cáo theo người dùng

-Giảm chi phí đầu tư (Total cost of ownership-TCO)

-Các mẫu báo cáo rõ ràng, đầy đủ và tức thời

-Nhận dạng victims và attakers tức thời bên trong mạng

2.CHỨNG CHỈ BẢO MẬT CYBEROAM

Các chương trình đào tạo Cyberoam gồm có ba cấp độ - CCNSP, CCNSE và CCT Cyberoam Certified Network & Security Professional (CCNSP) và Certified Network & Security Expert (CCNSE) cung cấp kiến thức về kỹ năng thiết kế cho đến nâng cao trong identity-based và security như triển khai, cấu hình và quản trị các Giải Pháp Bảo Mật Cyberoam (Cyberoam Security Solutions)

2.1 Chứng chỉ CCNSP:

Cyberoam Certified Network & Security Professional (CCNSP) là bước khởi đầu của cái thang các chứng chỉ nghiệp vụ Cyberoam, đề cập đến việc tăng cường kỹ năng thiết kế, triển khai và quản trị các giải pháp bảo mật Cyberoam

Chứng chỉ CCNSP giúp các chuyên gia bảo mật làm quen với bảo mật mạng bằng UTM

và thực hành cơ chế triển khai, cấu hình và quản trị các thiết bị Cyberoam identity-based UTM trong các tình huống phức tạp của mạng doanh nghiệp Các học viên sẽ học:

*Tăng cường bảo mật mạng doanh nghiệp:

-Firewall tăng cường thành UTM

-Giảm sát các hiểm hoạ từ bên trong

-Xác định người dùng dưa vào UTM

-Quản trị bảo mật tập trung

*Triển khai các thiết bị Cyberoam hệ thống mạng:

-Cấu hình và quản trị các Firewall Policyment

-Chứng thực người dùng (User Authentication)

-Xác định người dùng dựa trê các chính sách truy cập và dấu hiệu nhận dạng

-Cấu hình các tính năng – Content & Application Filtering, Anti-virus and Anti-spam, IPS, VPN, Bandwidth and Multiple Link Management

-Xác định người dùng dựa vào báo cáo từ các mối hiểm hoạ của nó

-Các khái niệm định tuyến

hệ thống mạng doanh nghiệp, học các cách sửa lỗi, xử lý sự cố và hiểu biết sâu về kiến trúc định danh của Cyberoam UTM mà các học viên đã được học trong CCNSP

Các bài Labs cho phép học viên thực hành trực tiếp các tinh huống thiết lập mạng doanh nghiệp với Cyberoam - cài đặt sản phẩm, tích hợp vào hệ thống mạng, cấu hình nhiều tính năng Cyberoam khác nhau như anti-virus, anti-spam, content filtering, VPN, IPS, High Availability v.v và cung cấp hỗ trợ/xử lý sự cố

Chứng chỉ CCNSE cho phép các chuyên gia CCNSP nâng cao kiến thức về các thiết bị

Cyberoam Unified Threat Management, và trang bị các kỹ năng nâng cao triển khai, hoạch định và xử lý sự cố trong việc bảo mật hệ thống mạng doanh nghiệp

Khoá học được mở cho cả các cá nhân và cộng tác viên, và được hoàn tất trong hai ngày học sau đó học viên phải hoàn thành bài thi cuối khoá Học viên se học xuyên suốt các module liệt kê dưới đây:

Module 1 - Ôn tập CCNSP

Module 2 - Kiến trúc Cyberoam

Module 3 - Các tình huống triển khai sản phẩm phức tạp và nâng cao

Module 4 - Chứng thực nâng cao và xác thực dựa trên các chính sách

Module 5 - Các khái niệm nâng cao và cấu hình với nhiều chế độ khác nhau

Module 6 - Cấu hình VPN nâng cao trong tình huống triển khai phức tạp

Module 7 - High Availability

Module 8 - Định tuyến

Module 9 - Xử lý sự cố & khắc phục lỗi

*Chứng chỉ CCNSE có hiệu lực trong vòng 2 năm

2.3 Chứng chỉ CCT:

Cyberoam Certified Trainer (CCT) là chương trình đào tạo chứng nhận cho Cyberoam Authorized Training Partners (CATP) và Cyberoam Authorized Distributors để trở thành các Đào Tạo Viên cho các chương trình chứng nhận Cyberoam (Cyberoam Certification Programs)

Chương trình CCNSE là phương tiện để các partner nắm bắt các giải pháp đào tạo và có thể trình bày các kiến thức tổng quát về các dòng sản phẩm Cyberoam và kỹ thuật bảo trì cũng như thành thạo kỹ năng hướng dẫn công nghệ bảo mật định danh của Cyberoam

Chứng chỉ CCT cho phép các Cyberoam Distributor hoặc Authorized Training Partner đểtruyền đạt các chương trình chứng nhận cấp độ chuyên viên Cyberoam như Cyberoam Certified Network & Security Professional (CCNSP)

Chương trình chứng nhận CCT chuẩn bị cho các chuyên gia bảo mật và các giảng viên

IT nắm bắt các chương trình chứng nhận cấp độ chuyên viên Cybproam và truyền tải kiếnthức thực hành trong các lớp đào tạo giảng viên

Người học sẽ học cách đào tạo các sinh viên hiệu quả về các dòng sản phẩm và các công nghệ của Cyberoam trong tài liệu khoá học Cyberoam đã uỷ quyền

*Chứng chỉ CCT có hiệu lực trong vòng 1 năm.

Encryption, Device Management, Application Management và Asset Management.

Data Protection and Encryption giúp cho người quản trị có thể quản lý được dữ liệu khi dữ

liệu đó bị thay đổi, xóa hoặc chuyển đi thông qua các ứng dụng như upload site, email, IM, in ấn,chia sẻ file, thiết bị USB Ngoài ra chức năng này còn mã hóa được dữ liệu khi dữ liệu được chép vào các thiết bị lưu trữ gắn ngoài

Device Management giúp người quản trị có thể cho phép hoặc không cho phép người dùng sử

dụng các thiết bị như USB, CD/DVD, serial port, parallel port, Bluetooth, Wireless card, …

Application Management cho phép người quản trị quản lý các ứng dụng đang chạy trên máy

của người dùng (IM, P2P, gaming, … )

Asset Management cho phép người quản trị quản lý, theo dõi, thống kê các thiết bị, ứng dụng,

bản vá Window của các PC trong mạng, triển khai một ứng dụng hoặc một tập tin thực thi

Giao diện chính:

Start All Programs  Endpoint Data ProtectionEndpoint Data Protection Console

-Mặc định Account Administrator là Admin là auditor trong Audit

-Password mặc định của Admin là empty vì thế cần phải change password vào Tools Change Password

Sau khi log vào thì sẽ thấy được giao diện chính như sau:

Export / Import Policy:

-Export/Export Selected/Export All to save the policies in XML file

-Right click Import in the policy setting panel

Sau đó save import lại:

Basic Event Log

Startup / Shutdown : The startup and shutdown status of agent computers

Login / Logoff : Every user login / logoff status

Dialup : Every time when the user dialup, the corresponding action will be logged

Patches : When System administrator requests patches installation, the related patches will be

installed automatically The installation status such as Patch scanning and Patch installation will

be logged, and the details will be showed in the Description column

Deployment : When System administrator create software distribution task, it will be executed

on target agent computers Those tasks will be logged

Application:Giám sát quá trình mở tắt các ứng dụng

Document:Theo dõi quá trình tạo,xóa,copy,cut các tập tin

Shared File: Bao gồm tạo, chỉnh sửa, đổi tên, sao chép, và xóa các thao tác Các thao tác truy cập, sao chép và di chuyển không được hỗ trợ.

Printing:

Removable-storage Log:Theo dõi hoạt động của các thiết bị gắn ngoài

Assets Change Log:Xem phần cứng phần mềm và các thay đổi chức năng

System Log:hiển thị thời gian bắt đầu kết thúc và lỗi kết nối của system

Policy:

1 Ví dụ về mail:

Alert Policy:Chính sách cảnh báo sẽ được sử dụng để giám sát những thay đổi phần

mềm,phần cứng,và các thiết lập hệ thống khác để người quản trị có thể nắm bắt tình hình để thựchiện các biện pháp thích hợp và bảo trì hệ thống nhanh chóng

Mail Policy: Chính sách email này đang được sử dụng để ngăn chặn rò rỉ thông tin / dữ liệu doanh nghiệp nội bộ trong quá trình gửi email

IM File Policy: Chính sách IM được sử dụng để kiểm soát các thông tin liên lạc bằng cách

sử dụng công cụ IM và giám sát / kiểm soát tất cả các tập tin gửi đi được gửi thông qua các công

cụ IM để ngăn chặn rò rỉ thông tin thông qua các kênhIM

Document Operation Policy: sử dụng để kiểm soát và hạn chế người sử

dụng truy cập thông tin bí mật hoặc chỉ định các quyền khác nhau cho người sử dụng ở các máy khác nhau

Printing Policy:Sử dụng kiểm soát các loại user có quyền in ấn khác nhau như local, shared, network and virtual printers để ngăn chặn rò rỉ thông tin

Removable-Storage Policy:Để ngăn chặn rò rỉ thông tin thông qua các thiết

bị di động, quản trị hệ thốngcó thể áp dụng chính sách lưu trữ di động để chỉ định các

quyền khác nhau ngoài ra các tập tin còn được giải mã và có những máy tính chỉ định để giải mã tập tin

Monitoring