Ngiên cứu, xây dựng hướng dẫn triển khai tiêu chuẩn quản lý rủi ro an toàn thông tin TCVN ISO 2700

- Các phân đoạn IP không được nối ghép lại trước khi kiểm tra các luật4.2 Firewall Stateful – Firewall nhiều lớp - Duy trì trạng thái của mỗi kết nối bằng cách giữ các chuỗi số - Phù hợp

Đề tài: Ngiên cứu, xây dựng hướng dẫn triển khai tiêu chuẩn quản lý rủi ro

an toàn thông tin TCVN ISO 27001:2009

1

Trị

Cấu hình

Firewall an toàn

ISSAF (46tr – tiếng anh)

- Các loại Firewall

- Xác định vị trí

- Nhận dạng Firewall

và kiến trúc của Firewall

- Kiểm tra các dịch vụ

và phiên bản của dịch

vụ chạy trên firewall

- Kiểm tra các cổng đang sử dụng

- Kiểm tra các chính sách của Firewall

Tương đối đầy đủ

- Proxy firewall

- IP tables fw

- Firewall ứng dụng

2

A.Trọng

Cấu hình

Switch an toàn

ISSAF (34tr – tiếng anh)

- Chống tràn bảng CAM

- Chống Vlan Hopping

- Đảm bảo an toàn cho SPT (Spanning tree protocol)

- Đảm bảo an toàn cho VTP (Vlan trunking protocol)

- Switch layer 2

- Switch layer 3

- Hub, bridge

3 Đảm bảo an ISSAF(75tr *Linux: - Cài đặt hệ Tương đối

toàn cho máy

chủ

Window/linux

– tiếng anh) điều hành

- Tối ưu hệ điều hành

- Cấu hình dịch vụ mạng

* Window: Đảm bảo

an toàn cho dịch vụ

- Đảm bảo an toàn cho giao thức

- Đảm bảo an toàn cho tài khoản

- Đảm bảo an toàn cho tập tin và thư mục

- Đảm bảo an toàn cho tài nguyên

- Đảm bảo an toàn cho các cổng

đầy đủ

4

T.A

Đảm bảo an

toàn thông tin

cho máy trạm

-Internet security (Firewall và AV) -Cài đặt OS

- Cách sử dụng những thiết bị di động an toàn

- mail an toàn

- sử dụng các web brower: Mozilla, ie

- Backup dữ liệu

Tương đối đầy đủ

5

T.A

Đảm bảo an

toàn thông tin

SP800_92 - Sự cần thiết sử dụng

an toàn cho dữ liệu

Tương đối đầy đủ

cho lưu trữ dự

liệu máy tính

(log)

- Cấu trúc của một log trong mạng LAN

- Thiết lập và thiết kế các chính sách bảo vệ cho log

- Các quy trình xử lý

và quản lý log

- Đánh giá một vài phương pháp lưu trữ

6

A.Trọng

Cấu hình Router

An toàn

ISSAF (46tr – tiếng anh)

- Kiểm tra hostname của router

- Quét các cổng mở mặc định trên router

- Kiểm tra hệ điều hành, phiên bản router đang sử dụng

- Kiểm tra các giao thức đang chạy trên router - Kiểm tra các lỗi trong file cấu hình router

Tương đối đầy đủ

7

T.A

Trị

A.Trọng

Thiết kế mạng

(lấy của Cisco)

Đảm bảo an

toàn mạng

- Băng thông và tốc

độ đường truyền

- Vị trí đặt: Firewall, model, switch, máy chủ, máy trạm

- Hướng dẫn triển khai VPN

- Cấu hình VLAN

- Áp dụng cho một vài

mô hình + Mạng nội

bộ không Internet + Mạng nội

bộ có internet

- Chính sách và quy định

- Phương án dự phòng

+ Mạng nội

bộ có chia VLAN + Mạng nội

bộ có dùng VPN

+ Mạng nội

bộ có sử dụng truy cập không dây

BẢNG THUẬT NGỮ VIẾT TẮT VÀ CẦN TRAO ĐỔI

1 Security An toàn, Bảo mật, an ninh

2 Explicitly Rõ ràng, dứt khoát

3 Communications Truyền thông, thông tin liên

lạc

Đánh giá Firewall an toàn

I Mô tả:

Các đoạn dưới đây đưa ra cho sự hiểu biết hơn về các Firewall thông thường như: Firewall là gì, tại sao sử dụng Firewall, các kiểu Firewall và lợi ích của các loại Firewall

1 Firewall là gì

Một thiết bị phần cứng hay một giải pháp phần mềm mà được đặt giữa 2 (hoặc nhiều hơn) mạng, phân tách chúng thành 2 phần tách biệt và đảm bảo rằng truy cập giữa chúng đã được kiểm soát

2 Tại sao là Firewall

- Giảm nguy cơ (rủi ro) bằng cách bảo vệ hệ thống từ việc cố gắng khai thác lỗ hổng (điểm yếu)

- Tăng tính bảo mật - Tạo sự khó khăn khi thu thập thông tin về mạng của bạn

- Thực thi chính sách bảo mật trong tổ chức của bạn

3 Lợi ích của Firewall

- Hạn chế các kết nối đi vào và chỉ các kết nối rõ ràng mới được phép

- Hạn chế các kết nối ra ngoài mạng và chỉ các kết nối rõ ràng mới được phép

- Thực hiện lọc theo chiều vào và chiều ra

- Thực hiện phát hiện sự xâm nhập cơ bản

- Lưu log tất cả các lưu lượng đến và đi qua mạng

4 Các kiểu Firewall

4.1 Firewall lọc gói

- Kiểm tra lưu lượng dựa trên ACL (danh sách điều khiển truy cập)

- Các kiểu lọc lưu lượng dựa trên

+ Địa chỉ IP nguồn và địa chỉ IP đích

+ Cổng nguồn và cổng đích

- Mức độ bảo mật cơ bản

- Các nội dung dữ liệu thông qua các bộ lọc gói tin không được kiểm tra

- Nhanh nhất

- Các phân đoạn IP không được nối ghép lại trước khi kiểm tra các luật

4.2 Firewall Stateful – Firewall nhiều lớp

- Duy trì trạng thái của mỗi kết nối bằng cách giữ các chuỗi số

- Phù hợp với yêu cầu ra ngoài và lưu lượng vào bên trong mạng

- 2 thực thi chính

+ Trạng thái kiểm tra – Checkpoint FW1

+ Cắt thông qua Proxy – Cisco PIX

+ IP Tables

+ IPT

+ Netscreen

- Trạng thái kiểm tra – Checkpoint FW1

+ Các trạng thái có nguồn gốc Ứng dụng

Trạng thái có nguồn gốc thông tin từ các ứng dụng khác

+ Các trạng thái có nguồn gốc từ thông tin liên lạc (truyền thông)

Trạng thái có nguồn gốc từ thông tin trước đó

+ Thao tác thông tin

Đánh giá độ linh hoạt của các biểu thức dựa trên tất cả các nhân tố phía trên

4.2 Mức độ mạch Gateways/Proxies

- Proxy có nghĩa là kết nối bị bẻ gẫy và các header được viết lại

- Thông thường nó không kiểm tra trên mức độ Ứng dụng

- Định tuyến không được phép từ khi tất cả các kết nối trên

4.3 Mức độ vi mạch Gateways/Proxies

- Proxy nghĩa là kết nối bị bẻ gãy và các header đó được viết lại

- Thông thường nó không kiểm tra mức độ trên ứng dụng

- Định tuyến không kích hoạt kể từ khi tất cả các kết nối được kết thúc trên Proxy

và tất cả các kết nối được bắt đầu từ Proxy

4.4 Gateway ứng dụng

- Tương tự với các mức độ vi mạch Gateway/Proxies

- Mức độ ứng dụng kiểm tra được thực hiện

- Duy trì hoàn thành các trạng thái kết nối và chuỗi thông qua 2 kết nối

+ Client đến Proxy

+ Proxy đến Server

- Không cho phép Client kết nối trực tiếp đến Server

- Chậm nhất

- Ví dụ

+ Gauntlet

+ Symantec Enterprise Firewall

+ Watchguard fireboxes

4.5 Stealth/Bridge Firewall

- Ẩn

- Bridge trong suốt

- Không cần địa chỉ IP

- Giao diện ở chế độ pha tạp

- Chỉ truy cập từ khung điều khiển hoặc thông qua 1 giao diện được thiết kế để quản lý

4.6 Các thiết bị Firewall phần cứng

- Tích hợp giải pháp phần cứng

- Tất cả các phần mềm bao gồm OS đến tải trọng đặt trên platform

- Mạng “Hộp đen” tiếp cận để bảo mật

- Đóng kín, giới hạn mở các cổng dịch vụ làm giảm lỗ hổng và tăng mức độ bảo mật

- Nhanh hơn bởi vì tất cả mọi thứ bên được nhúng bên trong phần cứng (ví dụ không có ổ cứng)

- Ví dụ

+ Netscreen (Mọi thứ bên trong ASICs)

4.7 Firewall mức ứng dụng

- Bảo vệ các ứng dụng đơn (giống như http)

- Các ví dụ

+ Sanctum Appshield

+ DMZ Shield (Ubizen)

5 Chống lại những gì có thể một tường lửa không bảo vệ

- Nguồn gốc tấn công từ mạng được bảo vệ (từ bên trong)

- Ủy quyền truy cập độc hại

- Tấn công và khai thác trên các cổng được mở thông qua Firewall (Nếu Firewall không phải là một Firewall mức ứng dụng)

- Tấn công không cần đi qua Firewall

- Nguồn gốc tấn công từ các điểm truy cập backdoor (Điểm truy cập không dây, môdem)

6 Làm việc với các Firewall như thế nào

- Các gói tin mà vượt qua các luật(quy định) được cho phép

- Các gói tin không phù hợp bị từ chối (tốt nhất là loại bỏ)

- Các cuộc tấn công nguy hiểm làm sai lệch thông tin đều nằm trong các gói tin bị

từ chối

Hầu hết lọc gói tin và các Firewall nhiều lớp đều làm việc bên trong kiểu “top -down” trong khi Proxy không dựa trên các Firewall

- Hầu hết các Firewall có 1 luật drop mặc định (Một cách rõ ràng từ chối tất cả những gì không được cho phép)

7 Thực hành tốt nhất cho việc đăng nhập

- Đăng nhập tối thiểu cho lưu lượng thông thường

- Không đăng nhập cho lưu lượng ồn ào

- Đăng nhập tối đa cho phần còn lại

8 Dịch chuyển địa chỉ

Có 2 kiểu dịch chuyển địa chỉ: Dịch chuyển địa chỉ cổng (PAT) và dịch chuyển địa chỉ mạng (NAT)

PAT cũng được biết như là “Hide NAT” Mọi thứ được ẩn đằng sau địa chỉ IP Firewall mở rộng

NAT cũng được biết như là “Static NAT” Tất cả địa chỉ IP mà đã được dịch là ánh

xạ 1-1 trên bảng địa chỉ IP Điều này đôi khi cần định tuyến tới công việc

Checkpoint hiện nay có 1 cách mới làm việc với NAT tĩnh Dịch chuyển địa chỉ thực hiện trên máy khách bởi vậy các định tuyến tĩnh là không cần thiết nữa

H.2 Mục đích

Mục đích của tài liệu này là thêm vào việc đánh giá sự an toàn của một Firewall

H.3 Yêu cầu

H.3.1 Hiểu về môi trường làm việc của tổ chức

Trước khi đánh giá có thể đưa ra địa điểm, một nghiên cứu về môi trường mạng của tổ chức nên được thực hiện

H3.2 Yêu cầu công nghệ

Thực hiện kiểm tra sự xâm nhập trong phần đánh giá, liệt kê danh sách tất cả địa chỉ IP kết nối với nhau với một sơ đồ mạng là điều phải làm

Thực hiện đánh giá an ninh hệ thống, truy cập tới Firewall và phải cấu hình chúng (Thông qua giao diện điều khiên hoặc thông qua giải pháp quản lý)

H.4 Thuật ngữ

H.5 Lịch sử

H.6 Mục tiêu

H.6.1 Tiến độ 1

Đánh giá về an toàn/ kiểm tra tiến độ

H.6.2 Tiến độ 2

Quản trị hệ thống

H.7 Kết quả mong đợi

Một danh sách với tất cả pro’s and con’s của Firewall hiện thời được cài đặt

H.8 Phương thức / Quá trình

Xác định vị trí Firewall

Xác định lỗi cấu hình sai thông thường

Kiểm tra các tấn công phổ biến trên Firewall

Kiểm tra các vấn đề cụ thể của sản phẩm

Vị trí Firewall

- Thực hiện đảo nghịch DNS tra cứu theo dải IP đích (Đôi khi Firewall được đăng

kí lại trên DNS)

- Thực hiện traceroute thường xuyên về hướng dải IP đích

- Thực hiện tìm dấu vết TCP theo hướng một hệ thống đằng sau Firewall

- Thực hiện quét kiểu Hping tới 1 hệ thống Firewall (máy chủ web/mail chủ mail)

- Tìm kiếm thông điệp ICMP trả lại từ Firewall Có thể dẫn tới phát hiện ra địa chỉ

IP trên Firewall

* Xác định các lỗi cấu hình sai thông thường

- Điều này được áp dung cho tất cả các kiểm tra mà được đề cập trong đoạn cầu hình lỗi Router

+ Thiết lập bản đồ luật cho Firewall (Firewalk)

+ Quét cổng trên hệ thống đằng sau Firewall cũng có thể có ích

* Kiểm tra các tấn công phổ biến trên các Firewall

+ Đổi hướng cổng

+ Cổng sau Firewall

* Kiểm tra các vấn đề cụ thể của Sản phẩm

- CheckPoint Firewall-1

- CheckPoint NG

- Nokia IPSO

- Cisco PIX

- Microsoft ISA

- Microsoft Proxy

- Borderware

- Gauntlet

- IP Table/Chains

- Others

H.9 Vị trí của Firewall

H.9.1 Ngăn cản các gói tin mong đợi của người quản trị với nguồn của Firewall Miêu tả: Bẳng cách sử dụng Hping hoặc bất kì công cụ thủ công khác để gửi gói tin SYN đến firewall Nếu hping báo cáo nhận một ICMP unreachable type 13 với một nguồn địa chỉ IP của thiết bị kiểm soát truy cập thì nguồn IP đó có thể là firewall lọc gói tin Một ICMP type 13 là một gói tin lọc bị ICMP admin ngăn cấm

Điều kiện tiên quyết

Ví dụ/Các kết quả

Hping www.target.com –c2 –S –p23 –n

HPING www.yourcompany.com (eth0 192.168.0.1): S set, 40 data

ICMP Unreachable type 13 from 192.168.100.100

Phân tích/ kết luận/ theo dõi

- Nó đưa ICMP type 13 từ 192.168.100.100

- Đấy là gói bị tin bị admin ngăn cấm

- Đầy đủ quyền truy cập hệ thống quan trọng (Firewall/Router)

Biện pháp đối phó

Admin vô hiệu hóa các gói tin bị cấm (ICMP type 13 messages) ở router biên Không đưa ra được địa chỉ IP đích

Đề cập tới sản phẩm thông thường

Lưu lượng gói (khối) theo chiều ra có nguồn gốc từ Firewall

Công cụ (Tools)

- Hping

- TCP Traceroute

H.9.2 Xác định dải mạng bằng Traceroute

Traceroute sẽ bảo cho bạn biết một số thông tin về mạng như:

- Đường đi dẫn tới mạng

- Các thiết bị định tuyến trung gian

- Thông tin tiềm năng về các thiết bị lọc có khả năng được các giao thức cho phép

- Xem xét một số sự kiện

+ Firewall thông thường sẽ không trả lại ICMP TTL của thông điệp hết hạn

+ Trong các mạng cỡ nhỏ và trung bình Firewall được xác định vị trí là 1 hop trước đích

+ Trong các mạng có lớn bạn sẽ nhận dải mạng lớn và rất khó để xác định Firewall

Mặc định hệ thống Window sửa dụng gói ICMP và hệ Unix/Linux sử dụng gói UDP trong khi thực hiện trace route

Các bước thực hiện:

- Traceroute trên ICMP, UDP và TCP hướng mục tiêu

- Phân tích kết quả

+ Xác định nơi gói ICMP bị dropper/rejected (loại bỏ)

+ Xác định nơi gói UDP bị dropper/rejected (loại bỏ)

+ Xác định nơi gói TCP bị dropper/rejected (loại bỏ)

- Có thể xác định dải mạng

Phân tích/kết luận/theo dõi

ICMP yêu cầu bị blocked ngoại trừ hop 18 có địa chỉ IP (xxx.xxx.90.9)

UDP yêu cầu bị Blocked ngoại trừ hop 19 có đị chỉ IP (xxx.xxx.100.10)

TCP yêu cầu sử dụng HTTP trên cổng 80 thông qua đích trên host 22 có địa chỉ IP (xxx.xxx.110.11)

- Nó đã quan sát thấy các host trung gian (hop số 20 và 21) không tiết lộ địa chỉ IP/ tên thiết bị/tên miền

Cố gắng đoán địa chỉ IP của thiết bị tại hop 20 và 21 nhưng không thành công trong dải xxx.xxx.110.x to xxx.xxx.110.x

Các tool

Tiện ích tracerout (Traceroute trên *nix và tracert trên Window)

Biện pháp đối phó

Prevention Mechanism

Cơ chế ngăn chặn

- Hạn chế điều khiển truy cập trái phép (Router/Firewall) để phán ứng chống lại gói TTL đã hết hạn

> acces-list 151 deny ip any any 110! Ttl-trả lời

Cơ chế phát hiện

Cơ chế cấu hình pháp hiện xâm nhập cho các gói ICMP, UDP và TCP với TTL =1

H.9.3 Thực hiện PortScan trên các cổng mặc định của Firewall và chiếm đoạt các cổng này

- Quét cổng dễ dàng thực hiện nhưng nó rất ồn vẫn đưa ra kết quả tốt có thể đạt được bởi một cấu trúctiếp cận

- Sử dụng thu thập thông tin từ các nguồn công cộng sẵn có trên firewall thực thi bên trong mạng đích và chỉ quét trên các cổng firewall mặc định

- Đưa mức ưu tiên tới thông tin màn bạn cảm thấy đáng tin cậy

- Gửi các kết nối rất nhỏ(2 kết nối trên 1 host hoặc xấp xỉ) để tránh phát hiện (Mặc dầu các firewall tốt không nên có bất cứ một vấn đề nào việc mất kết nối ngày nay)

- Nếu bạn may mắn và tìm thấy cổng mở, xác định được dịch vụ bởi các thiết lập kết nối trên các dịch vụ có liên quan đến cổng này

- Nếu bạn không tìn thấy các cổng mặc định, quét ngẫu nhiên (Sử dụng nhiều cổng

và host nguồn/đích) nhiều và thực hiện chúng trên tất các các cổng mặc định của firewall đề cập ở mục lục của firewall danh sách các cổng mặc định và nếu bạn biết bất cứ cái gì nhiều hơn

- Cuối cùng nếu bạn không có bất cứ thành công nào từ các bước trên, các quét trên toàn bộ dải mạng trên tất cả các cổng sử dụng công nghệ quét dưới đây

9.4 Thực hiện quét cổng trên các cổng mặc định của firewall và chộp các biểu ngữ- quét cổng

Miêu tả:

Hầu hết firewall thực thi các cổng mặc định sử dụng cho các mục đích kết nối từ

xa hoặc cho các mục đích khác (giống như xác thực người dùng, các giải pháp VPN…)

Điều kiện tiên quyết

None

Các ví dụ/các kết quả

- nmap –n –vv –P0 –p256, 1080 www.target.com

Các phân tích/ kết luận/nhận xét

- PO không cho phép các gói tin ICMP đi qua

- vv đưa đầu ra rất dài Nó giúp việc xác định kiến trúc/hệ thống firewall

Các biện pháp đối phó

- Ngăn chặn việc quét cổng chống lại Firewall, chặn quét trên gateway của bản thân nó

- Trong trường hợp Cisco sử dụng chặn quét này để chống lại 1 hệ thống Firewall CheckPoint

Access-list 101 deny tcp any any equal 256 log

Access-list 101 deny tcp any any equal 257 log

Access-list 101 deny tcp any any equal 258 log

Access-list 101 deny tcp any any equal 259 log

Sử dụng 1 “stealth” luật với chặn tất cả các traffic theo hướng về firewall

- Ngoài ra sử dụng cơ chế phát hiện để bắt giữ chống lại việc quét trộm Điều chỉnh mạng của bạn hệ thống phát hiện xâm nhập để phát hiện quét chậm hơn Điều chỉnh “kích hoạt”- số x của các cổng bên trong thời gian y và số các host bên trong thời gian y để phát hiện quét host

- Vô hiệu hóa tất cả các cổng mặc định trên firewall nếu không có yêu cầu làm việc của Firewall

Các công cụ:

- Nmap

- Hping