Xây dựng hệ thống giám sát tài nguyên và chính sách an ninh mạng trên môi trường linux

LỜI MỞ ĐẦU Ngày nay khi mạng IP là một hạ tầng công nghệ thông tin cần thiết cho từ cá nhân đến các tổ chức và doanh nghiệp trong hoạt động thường ngày thì vấn đề tin cậy và tính sẵn sàn

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

-

NGUYỄN XUÂN HUY

XÂY DỰNG HỆ THỐNG GIÁM SÁT TÀI NGUYÊN VÀ CHÍNH SÁCH

AN NINH MẠNG TRÊN MÔI TRƯỜNG LINUX

LUẬN VĂN THẠC SĨ KHOA HỌC Chuyên ngành : Điện tử viễn thông

NGƯỜI HƯỚNG DẪN KHOA HỌC :

LÊ BÁ DŨNG

Hà Nội – 2007

MỤC LỤC

DANH MỤC HÌNH VẼ 5

DANH MỤC CÁC BẢNG 6

BẢNG CHỮ TIẾNG ANH VIẾT TẮT 7

LỜI MỞ ĐẦU… 8

CHƯƠNG 1 TỔNG QUAN VỀ AN NINH MẠNG IP 11

1.1 An ninh-an toàn mạng là gì ? 11

1.2 Đánh giá về sự đe dọa, các điểm yếu hệ thống và các kiểu tấn công 12

1.2.1 Những kẻ tấn công mạng là ai? 12

1.2.2 Lỗ hổng an ninh 14

1.2.3 Tin tặc tấn công mạng như thế nào? 16

1.3 Một số công cụ an ninh – an toàn mạng IP 18

1.3.1 Thực hiện an ninh – an toàn từ cổng truy nhập dùng tường lửa 18

1.3.2 Hệ phát hiện đột nhập mạng là gì? 18

1.3.3 Giám sát và thực hiện an ninh – an toàn từ bên trong dùng IPS 19

1.3.4 Mã mật thông tin 20

1.3.5 Mô hình bảo vệ mạng bốn lớp 21

1.4 Một số tiêu chuẩn đánh giá an ninh – an toàn mạng IP 22

1.4.1 An ninh – an toàn mạng tại Hoa Kỳ 23

1.4.2 An ninh – an toàn mạng tại Nhật Bản 24

1.4.3 An ninh – an toàn mạng tại Hàn Quốc 25

1.4.4 An ninh – an toàn mạng tại Australia 27

1.4.5 Sự phối hợp khu vực 27

1.4.6 Sự phối hợp toàn cầu 28

1.4.7 Hướng đi cần xem xét 29

CHƯƠNG 2 ĐÁNH GIÁ AN NINH – AN TOÀN MẠNG IP 31

2.1 Giới thiệu 31

2.2 Xây dựng phương pháp đánh giá an ninh mạng 32

2.2.4 Phương pháp đánh giá từ trên xuống 34

2.2.5 Phương pháp đánh giá từ dưới lên 37

2.2.6 Đánh giá tổng quan 37

2.2.7 Xây dựng kế hoạch kiểm tra 38

2.2.8 Xây dựng bộ công cụ phục vụ kiểm tra 38

2.2.9 Định hướng sử dụng các công cụ và quản lý các đánh giá 38

2.2.10 Phân tích 39

2.2.11 Làm thành tài liệu 39

2.3 Mô hình dùng để đánh giá an ninh mạng 39

2.4 Một số giải pháp dùng cho các doanh nghiệp vừa và nhỏ 40

CHƯƠNG 3 GIẢI PHÁP AN TOÀN – AN NINH MẠNG IP 42

3.1 Thực hiện an ninh mạng với tường lửa 42

3.1.1 Khái niệm 42

3.1.2 Chức năng 43

3.1.3 Cấu trúc 43

3.1.4 Các thành phần của Firewall và cơ chế hoạt động 43

3.1.5 Những hạn chế của Firewall 48

3.1.6 Các ví dụ về Firewall 49

3.2 Hệ thống phát hiện đột nhập – IDS 52

3.2.1 Một số khái niệm 52

3.2.2 Phân loại IDS 53

3.2.3 Mô hình chức năng của một hệ IDS 54

3.2.4 Network based IDS – NIDS 55

3.2.5 Host based IDS – HIDS 58

3.3 Hệ thống quản lý và giám sát tài nguyên mạng 59

3.3.1 Vai trò của hệ thống quản trị mạng 59

3.3.2 Các nguyên tắc cơ bản của việc quản lý mạng 59

3.3.3 Mô hình Manager/ Agent 60

3.3.4 SNMP - Simple Network Management Protocol 61

3.4 Mã hóa thông tin 67

3.4.1 Bảo vệ thông tin bằng mật mã 67

3.4.2 Cơ sở hạ tầng khóa công khai - PKI 76

3.4.3 Mạng riêng ảo – VPN 79

CHƯƠNG 4 MỘT SỐ CÔNG CỤ AN NINH MẠNG MÃ NGUỒN MỞ 86

4.1 Giới thiệu 86

4.2 Công cụ xây dựng chính sách an ninh cho tường lửa .87

4.2.1 Netfilter và Iptables 87

4.2.2 Fwbuilder 93

4.3 Công cụ quản lý và giám sát hệ thống 95

4.3.1 Cacti 95

4.3.2 Nagios 96

4.3.3 Jffnms - Just for Fun Network Management System 96

4.3.4 Kismet 97

4.4 Công cụ phân tích đánh giá mạng 97

4.4.1 Hệ thống quét lỗ hổng an ninh mạng – Nessus 98

4.4.2 Công cụ quét chính sách an ninh cho máy chủ Web - Nikto 99

4.4.3 Công cụ quét cổng – Nmap 100

4.5 Hệ thống phát hiện đột nhập mạng - Snort 103

4.5.1 Giới thiệu 103

4.5.2 Các thành phần của hệ Snort 104

4.6 Hệ thống mạng riêng ảo với OpenVPN 106

CHƯƠNG 5 TRIỂN KHAI CÁC HỆ THỐNG 108

5.1 Giới thiệu 108

5.2 Thiết kế từ đầu cho xây dựng mạng mới 109

5.2.1 Thực hiện an ninh an toàn mạng từ bước thiết kế 109

5.2.2 Thực hiện an ninh an toàn mạng từ bước cài đặt mạng 110

5.3 Quy hoạch lại cho hệ thống mạng đã có 110

5.4 Đề xuất mô hình giải pháp thực hiện an toàn an ninh mạng 111

5.4.1 Thiết kế sơ đồ khối 111

5.5.2 Kết quả xây dựng hệ giám sát tài nguyên mạng 117

5.5.3 Kết quả đánh giá an toàn – an ninh mạng 120

KẾT LUẬN…… 124

TÀI LIỆU THAM KHẢO 125

DANH MỤC HÌNH VẼ

Hình 1-1Mô hình tường lửa đơn giản 18

Hình 1-2 Vị trí đặt IDS 19

Hình 1-3 Mô hình bảo vệ mạng bốn lớp 21

Hình 1-4 Hệ thống an ninh nhiều tầng 22

Hình 2-1 Minh họa phương pháp đánh giá 33

Hình 2-2 Sơ đồ mạng cho doanh nghiệp cỡ nhỏ 40

Hình 2-3 Sơ đồ mạng cho doanh nghiệp cỡ vừa 41

Hình 3-1 Mô hình tổng quát của một tường lửa .42

Hình 3-2 Circui-Level gateway 48

Hình 3-3 Packet-filtering router 49

Hình 3-4 Single- Homed Bastion Host 50

Hình 3-5 Dual- Homed Bastion Host 51

Hình 3-6 Minh họa hệ thống NIDS 55

Hình 3-7 Vị trí các IDS trong mạng 57

Hình 3-8 NIDS và HIDS 58

Hình 3-9 Mô hình Manager/Agent 60

Hình 3-10 Mô hình quản lý dựa trên giao thức SNMP 62

Hình 3-11 Kiến trúc của hệ thống SNMP 64

Hình 3-12 Gửi các messages giữa một Manager và một Agent 65

Hình 3-13 Mã hóa đối xứng 69

Hình 3-14 Mã hóa công khai 70

Hình 3-17 Mô hình một mạng VPN điển hình 80

Hình 3-18 Remote Access VPNs 81

Hình 3-19 Kết nối Internet sử dụng Backbone WAN 82

Hình 3-20 Thiết lập Intranet dựa trên VPN 82

Hình 3-21 Mô hình mạng Extranet thông thường 84

Hình 3-22 Mô hình Extranet VPN 84

Hình 4-1 Giải pháp OpenVPN cho doanh nghiệp nhỏ 107

Hình 5-1 Thiết kế sơ đồ khối của hệ thống 111

Hình 5-2 Kết nối lớp mạng dịch vụ vào mạng lõi 112

Hình 5-3 Kết nối lớp Access vào mạng lõi 113

Hình 5-4 Sơ đồ thiết kế một mạng an ninh nhiều tầng 114

Hình 5-5 Bảng quản lý chính sách trên Firewall 116

Hình 5-6 Bảng quản lý NAT trên Firewall 116

Hình 5-7 Cacti – giao diện console 117

Hình 5-8 Cacti – Giám sát lưu lượng mạng 118

Hình 5-9 Cacti – Giám sát trạng thái của các máy quan trọng 118

Hình 5-10 Weathermap - vẽ bản đồ mạng 119

Hình 5-11 Smokeping – kiểm tra độ mất gói đường truyền 119

DANH MỤC CÁC BẢNG Bảng 2-1 Một số tiêu chuẩn đánh giá theo ISO 1779 34

Bảng 3-1 Bảng so sánh DES và Triple DES 69

Bảng 4-1 Chức năng các Chain của mỗi bảng .88

Bảng 4-2 Các tham số chuyển mạch (switching) quan trọng của Iptables 92

Bảng 5-1 Kết quả đánh giá điểm yếu bằng Nessus 121

BẢNG CHỮ TIẾNG ANH VIẾT TẮT

1 IDS Instrusion Detection System Hệ thống phát hiện đột

nhập

2 NIDS Network based Instrusion Detection

System

Hệ thống phát hiện đột nhập mạng

3 HIDS Host based Instrusion Detection

System

4 DNS Domain Name System Hệ thống tên miền

5 DMZ Demilitarized Zone Khu vực bất khả xâm

phạm

6 IETF Internet Engineering Task Force Tiểu ban kỹ thuật Internet

của Ban kiến trúc Internet

8 ISO International Organization for

Standardization

Tổ chức quốc tế cho sự tiêu chuẩn hóa

9 MIB Management Information Base Cơ sở thông tin quản lý

10 NMS Network Management Station Trạm quản lý mạng

11 PDU Protocol Data Unit Đơn vị dữ liệu giao thức

12 SMI Structure of Management Information Cấu trúc thông tin quản lý

13 SNMP Simple Network Management

Protocol

Giao thức quản lý mạng đơn giản

14 TCP Transmission Control Protocol Giao thức điều khiển

truyền dẫn

LỜI MỞ ĐẦU

Ngày nay khi mạng IP là một hạ tầng công nghệ thông tin cần thiết cho từ cá nhân đến các tổ chức và doanh nghiệp trong hoạt động thường ngày thì vấn đề tin cậy và tính sẵn sàng cao của hệ thống được đặt ra và do vậy an ninh mạng IP cần được nghiên cứu xây dựng một cách hệ thống

Trên thế giới năm 1999, bắt đầu xuất hiện kiểu tấn công từ chối dịch vụ DOS, một năm sau, các trang web hàng đầu như CNN, Yahoo bị tấn công bằng phương pháp DoS, năm 2002 một loạt các doanh nghiệp bị kiểu tấn công biến thể DDoS Tháng 1 năm 2003, sâu khai thác các câu lệnh SQL làm ngưng trệ lưu lượng Internet trên thế giới Tháng 8, 2003, Internet lại bị sâu W32/Blaster tấn công…

Ở Việt nam các kiểu tấn công từ chối dịch vụ, spam, spyware, kiểm soát cơ sở dữ liệu chứa các thông tin khách hàng, lấy cắp mã thẻ tín dụng, thông tin dữ liệu cá nhân đã và sẽ tiếp tục hoành hành trong bối cảnh chúng ta còn yếu kém về an ninh mạng IP

Ngày 01/03/2006 Luật Thương Mại Điện Tử của Việt nam có hiệu lực, là nền móng phát triển thương mại điện tử ở Việt Nam Các hệ thống Thương Mại Điện Tử non trẻ, các doanh mới bắt đầu sử dụng công cụ hạ tầng mạng sẽ phải gánh chịu các hậu quả nghiêm trọng nếu không được chuẩn bị các vấn đề về an ninh - an toàn thông tin Một lý do quan trọng là các doanh nghiệp ngày càng đưa ra nhiều dịch vụ trên mạng, ngày một phụ thuộc vào hệ thống mạng Khi doanh nghiệp triển khai những dịch vụ đó thì đương nhiên nguy cơ an ninh ngày một tăng Và nhu cầu được an ninh hơn, giảm thiểu các rủi ro là một thực tế hiện hữu Vấn đề trở nên bức thiết hơn khi những tổ chức tài chính, ngân hàng cũng cung cấp dịch vụ qua mạng Internet là nhu cầu tất yếu, và cũng là yêu cầu của hội nhập

Cùng với thế giới, xu hướng làm việc di động của nhân viên thì ranh giới giữa trong

và ngoài hệ thống không rõ ràng như trước nữa, do vậy nguy cơ đe dọa an ninh càng tăng

Với chủ đề an ninh mạng, chúng ta quả là có nhiều điều cần thảo luận, về đe dọa của virus, của sâu máy tính, đe dọa của các loại hình tấn công, và về những cách thức phản ứng, cách thức phòng ngừa hữu hiệu hơn

Việt Nam sẽ bị tấn công nghiêm trọng bởi các công cụ tự động do mắc các lỗi bảo mật phổ biến Các dịch vụ viễn thông, trong đó có điện thoại di động với nền tảng công nghệ tích hợp với mạng máy tính và các thiết bị sử dụng hệ điều hành sẽ nằm trong tầm ngắm của hacker và chịu sự tác động của các hình thái tấn công mạng Để ứng phó với tình hình này, thị trường bảo mật ở Việt Nam sẽ phát triển nóng, nhu cầu các chuyên gia bảo mật sẽ tăng mạnh, hàng loạt các công ty nước ngoài đổ bộ vào thị trường bảo mật Việt Nam với rất nhiều sản phẩm và loại hình dịch vụ chuyên nghiệp

Có thể điểm qua hầu hết các tên tuổi lớn trên thế giới đã có mặt tại Việt Nam: Bitdefender, McAfee, RSA, Checkpoint, Cisco, Symantec, Juniper, Astaro …

Song hành với thị trường này là nhu cầu về tiêu chuẩn thẩm định và quản lý các sản phẩm bảo mật được đặt ra cho các cấp quản lý

Các hệ thống lớn và xung yếu của Việt Nam cũng rất cần nhân lực có trình độ cao trong lĩnh vực an ninh mạng để vận hành an toàn trên Internet

Trong hoàn cảnh này chúng tôi cùng các đồng nghiệp ở công ty NetNam - Viện công nghệ thông tin đã nhiều năm nghiên cứu tìm hiểu về các công cụ an ninh-an toàn mạng trên mã nguồn mở nhằm đưa ra một số mô hình hỗ trợ:

− Thiết kế hệ thống mạng an toàn và bảo mật

− Các công cụ phát hiện, ngăn chặn tấn công hiệu quả

− Các công cụ giám sát hoạt động hệ thống mạng và phát hiện bất thường

− Các công cụ kiểm tra lỗ hổng của hệ thống mạng

− Các công cụ mã hóa phổ biến

ninh toàn diện, đồng thời sử dụng các công cụ mã nguồn mở trong các khâu thực hiện chính sách an ninh của hệ thống

Nội dung luận văn gồm 5 chương:

Chương 1: Tổng quan về an ninh mạng

Chương 2: Đánh giá an toàn – an ninh mạng IP

Chương 3: Giải pháp thực hiện an toàn – an ninh mạng IP

Chương 4: Một số công cụ an ninh mạng mã nguồn mở

Chương 5: Triển khai các hệ thống

Vấn đề mà luận văn này đề cập liên quan đến nhiều khía cạnh của an toàn an ninh mạng IP và khá rộng Vì vậy chúng tôi cố gắng trình bày những vấn đề cơ bản nhất trong việc xây dựng chính sách an ninh và quy trình đánh giá mức độ an toàn của hệ thống mạng Trong quá trình xây dựng và trình bày có thể không tránh khỏi những khiếm khuyết, rất mong nhận được sự đóng góp của các thầy và các đồng nghiệp

Tôi xin chân thành cảm ơn thầy giáo PGS.TS Lê Bá Dũng (Viện công nghệ thông tin), Th.S Lý Thành Trung (Công ty NetNam) cùng các thầy cô giáo trong khoa

Điện Tử Viễn Thông, Trung tâm sau đại học trường đại học Bách Khoa Hà Nội đã giúp đỡ tôi trong quá trình học tập và hoàn thành luận văn này

Chương 1 TỔNG QUAN VỀ AN NINH MẠNG IP

1.1 An ninh-an toàn mạng là gì ?

An ninh-an toàn mạng dùng riêng, hay mạng nội bộ là thực hiện được cơ chế giám sát và đảm bảo không cho ai làm cái mà mạng nội bộ đó không muốn cho làm Vậy khi thiết kế và triển khai mạng phải tạo ra các cơ chế nào để giám sát và để hạn chế các hoạt động truy nhập, sử dụng tài nguyên mạng đảm bảo yêu cầu an ninh-an toàn mạng Chúng ta gọi đó là cơ chế an ninh-an toàn mạng

Tài nguyên mà chúng ta muốn bảo vệ là gì ?

− Là các dịch vụ mà mạng đang triển khai

− Là các thông tin quan trọng mà mạng đó đang lưu giữ, hay cần lưu chuyển

− Là các tài nguyên phần cứng và phần mềm mà hệ thống mạng đó có, để cung ứng cho những người dùng mà nó cho phép,

Nhìn từ một phía khác thì vấn đề an ninh - an toàn mạng còn được thể hiện qua tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn dùng (availability) của các tài nguyên về phần cứng, phần mềm, dữ liệu và các dịch vụ của hệ thống mạng Vấn đề an ninh - an toàn còn thể hiên qua mối quan hệ giữa người dùng với hệ thống mạng và tài nguyên trên mạng Các quan hệ này được xác định, được đảm bảo qua phương thức xác thực (authentication), xác định được phép (authorization) dùng, và

bị từ chối (repudiation)

Các khái niệm này sẽ được thảo luận và trình bày dưới đây:

− Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị sử dụng bởi

những người không có thẩm quyền Chẳng hạn dữ liệu truyền trên mạng

− Tính toàn vẹn: Đảm bảo không có việc sử dụng, và sửa đổi nếu không

được phép, ví dụ như lấy hay sửa đổi dữ liệu, cũng như thay đổi cấu hình hệ thống bởi những người không được phép hoặc không có quyền Thông tin lưu hay truyền trên mạng và các tệp cấu hình hệ thống luôn được đảm bảo giữ toàn vẹn Chúng chỉ được sử dụng và được sửa đổi bởi những người chủ của nó hay được cho phép

− Tính sẵn sàng: Tài nguyên trên mạng luôn được bảo đảm không thể bị

chiếm giữ bởi người không có quyền Các tài nguyên đó luôn sẵn sàng phục

vụ những người được phép sử dụng Những người có quyền có thể dùng bất

cứ khi nào, bất cứ lúc nào Thuộc tính này rất quan trọng, nhất là trong các dịch vụ mạng phục vụ công cộng (ngân hàng, tư vấn, chính phủ điện tử, )

− Việc xác thực: Thực hiện xác định người dùng được quyền dùng một tài

nguyên nào đó như thông tin hay tài nguyên phần mềm và phần cứng trên mạng Việc xác thực thường kết hợp với sự cho phép, hay từ chối phục vụ Xác thực thường dùng là mật khẩu (password), hay căn cước của người dùng như vân tay hay các dấu hiệu đặc dụng Sự cho phép xác định người dùng được quyền thực hiện một hành động nào đó như đọc/ghi một tệp (lấy thông tin), hay chạy chương trình (dùng tài nguyên phần mềm), truy nhập vào một đoạn mạng (dùng tài nguyên phần cứng), gửi hay nhận thư điện tử, tra cứu cơ sở dữ liệu - dịch vụ mạng, Người dùng thường phải qua giai đoạn xác thực bằng mật khẩu (password, RADIUS, ) trước khi được phép khai thác thông tin hay một tài nguyên nào đó trên mạng

1.2 Đánh giá về sự đe dọa, các điểm yếu hệ thống và các kiểu tấn công

1.2.1 Những kẻ tấn công mạng là ai?

Kẻ tấn công, còn được gọi là hacker hay tin tặc, ngoài ra chúng còn được gọi kẻ tấn công (attacker) hay những kẻ xâm nhập (intruder) Người ta chia những kẻ gọi là hacker ra làm làm 3 loại đó là:

− Hacker mũ đen: Đây là những tội phạm mạng thật sự Mục tiêu của chúng

là đột nhập vào hệ thống máy tính của đối tượng và lấy cắp thông tin vì mục

đích vụ lợi hoặc phá hoại, hủy bỏ dữ liệu của một tổ chức hay cá nhân do cạnh tranh hay tư thù

− Hacker mũ trắng: Là những nhà bảo mật và bảo vệ hệ thống Họ đột nhập

vào hệ thống tìm ra những lỗ hổng an ninh trong hệ thống sau đó tìm cách thông báo cho quản trị mạng

− Hacker mũ xám: Là sự kết hợp giữa hacker mũ đen và hacker mũ trắng

Thông thường, họ là những người còn trẻ, muốn thể hiện mình Trong một thời điểm, họ có thể đột nhập vào hệ thống để phá phách Nhưng trong một lúc khác, họ có thể gửi thông báo đến quản trị hệ thống về những lỗ hổng

an ninh mà họ phát hiện được Ranh giới giữa các dạng hacker là rất mong manh Một kẻ tấn công có thể là hacker mũ trắng vào thời điểm này nhưng tại một thời điểm khác, chúng là một tay trộm chuyên nghiệp

Xét về phương diện khác, những tin tặc được chia ra làm những loại sau :

− Người qua đường: đây là những người có kiến thức về công nghệ thông tin

khá cao, trong lúc buồn chán với công việc hàng ngày, chúng tìm cách đột nhập vào một nơi nào đó trên hệ thống mạng để giải trí Những người này thích đột nhập vào máy tính mà không được phép nhưng chúng không có ý phá hoại Tuy nhiên, việc chúng đột nhập và thực hiện xóa dấu vết khi rút lui cũng như tạo một cổng sau có thể làm cho hệ thống trục trặc hoặc vô tình tạo một cổng sau cho các hacker khác

− Kẻ muốn ghi điểm: đây là những người có tuổi đời còn rất trẻ và muốn thể

hiện mình thông qua các cuộc tấn công Nếu hệ thống càng nổi tiếng và có chế độ bảo mật cao thì nguy cơ bị tấn công bởi những kẻ này càng cao

− Những kẻ phá hoại: có chủ định phá hoại hệ thống và cảm thấy vui thú về

điều này Chúng thường gây ra những tác hại lớn cho hệ thống bị tấn công Rất may là những kẻ phá hoại như thế này thực tế rất ít

các thông tin mật nhằm phục vụ những mục đích khác nhau như trao đổi, mua bán thông tin,…

Ngoài ra, giới tin tặc còn có những kẻ phá hoại tổng thể bằng các con virus hay những kẻ bẻ khóa phần mềm Đây là những kẻ rất am hiểu về hệ thống và có kiến thức về lập trình Đôi khi chúng chỉ sử dụng những phần mềm sẵn có để đột nhập hệ thống, bẻ khóa phần mềm và tạo những con virus phá hoại

1.2.2 Lỗ hổng an ninh

Lỗ hổng an ninh là gì?

Các lỗ hổng an ninh trên một hệ thống là các điểm yếu để hệ thống có thể bị tấn công làm dừng dịch vụ, hoặc thay đổi quyền đối với người sử dụng hoặc tạo khả năng cho phép truy cập bất hợp pháp vào hệ thống

Các lỗ hổng an ninh có thể nằm ngay các dịch vụ cung cấp như web, mail, ftp, … Ngoài ra các chương trình ứng dụng, các hệ cơ sở dữ liệu, …

Phân loại lỗ hổng an ninh:

Có nhiều cách khác nhau để phân loại các lỗ hổng an ninh Dựa theo tiêu chuẩn của

Bộ Quốc phòng Mỹ, các loại lỗ hổng an ninh trên một hệ thống gồm 3 cấp độ:

a) Các lỗ hổng loại A:

Là loại rất nguy hiểm, nó đe dọa tính toàn vẹn và bảo mật của hệ thống Nó có khả năng cho phép người sử dụng bên ngoài truy cập bất hợp pháp vào hệ thống, gây ra việc phá hỏng toàn bộ hệ thống Lỗ hổng loại này thường gặp ở các hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng Chẳng hạn, đối với các Web Server chạy trên hệ điều hành Novell Các Web server này có một scripts là convert.bat Khi người tấn công chạy file này, có thể đọc được toàn bộ nội dung các file trên hệ thống

b) Các lỗ hổng loại B:

Là lỗ hổng có mức độ nguy hiểm trung bình Nó tạo khả năng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện bước kiểm tra tính

hợp lệ Loại này thường gặp trong các ứng dụng, dịch vụ trên hệ thống Hậu quả của

nó có thể dẫn đến việc mất hay rò rỉ thông tin yêu cầu bảo mật

Một trong những lỗ hổng loại B thường gặp nhất là trong ứng dụng SendMail, một chương trình khá phổ biến trên hệ thống Linux để thực hiện gởi thư điện tử cho những người sử dụng trong mạng nội bộ Thông thường, SendMail là một deamon chạy ở chế độ nền được kích hoạt khi khởi động hệ thống Trong trạng thái hoạt động, chương trình mở cổng 25 đợi một yêu cầu đến sẽ thực hiện nó hoặc gửi chuyển tiếp thư đến cấp cao hơn SendMail khi được kích hoạt sẽ chạy dưới quyền root hoặc quyền tương ứng vì liên quan đến hành động tạo file và ghi file đăng nhập Lợi dụng đặc điểm này và một số lỗ hổng phát sinh từ các đoạn mã của sendmail mà các đối tượng tấn công có thể dùng sendmail để đoạt quyền “root” trong hệ thống

c) Các lỗ hổng loại C:

Là lỗ hổng có mức độ nguy hiểm thấp, chỉ ảnh hưởng đến chất lượng dịch vụ hoặc làm gián đoạn hệ thống Loại này tạo khả năng cho phép thực hiện các phương thức tấn công từ chối dịch vụ (Denial of Services) gọi tắt là DoS

Nó ít gây ra việc phá hỏng dữ liệu hay cho phép quyền truy cập bất hợp pháp vào máy tính

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng hệ thống đó từ chối người sử dụng sử dụng dịch vụ hệ thống một cách hợp pháp Cách thức thông thường là một lượng lớn các gói tin sẽ được gửi đến máy chủ liên tục trong một khoảng thời gian, làm quá tải hệ thống

Chẳng hạn, trên một máy chủ Web có những website trong đó nó có chứa các đoạn

mã Java hay JavaScript Người ta sẽ làm treo hệ thống của người sử dụng trình duyệt Web của Nescape bằng những bước sau :

− Viết đoạn mã để nhận biết được trình quyệt Web sử dụng là của Nescape

Tóm lại, lỗ hổng an ninh khá nguy hiểm, là cơ sở để tin tặc tấn công hệ thống mạng Tin tặc có thể lợi dụng những lỗ hổng này để trục lợi hay phá hoại Không những thế, họ có thể sử dụng các lỗ hổng này để tạo ra các lỗ hổng mới và tạo ra một chuỗi mắc xích các lỗ hổng

1.2.3 Tin tặc tấn công mạng như thế nào?

Ở đây chúng ta cũng phải đề cập đến các hành động tin tặc khác nhau có thể gặp phải khi kết nối mạng, thử liệt kê một số loại hành động tin tặc sau:

Hành động thăm dò (probe), hành động quét (scan), hành động thử vào một tài khoản (account compromise), hành động thử vào làm quản trị hệ thống (root compromise), hành động thu lượm các gói tin (packet sniffer), hành động tấn công

từ chối dịch vụ (denial of service), hành động khai thác quyền (exploitation of trust), hành động làm mã giả (malicious code),

Hành động thăm dò (Probe)

Hành động thăm dò được đặc trưng bằng việc thử truy nhập từ xa vào một hệ thống hay sau khi vào được hệ thống thử tìm các thông tin của một hệ thống mà không được phép Thăm dò thường là kết quả của sự tò mò hay sự nhầm lẫn khi truy nhập mạng Hậu quả của sự thăm dò có khi rất lớn, nhất là khi truy nhập được vào mạng với quyền lớn, hay mò ra các thông tin quan trọng

Hành động quét (Scan)

Hành động quét là việc dùng một công cụ tự động để thực hiện thăm dò tìm lỗ hổng

an ninh của hệ thống với một số lượng lớn Hành động quét đôi khi là kết quả của một lỗi hệ thống như hỏng hay mất cấu hình của một dịch vụ Nhưng cũng có thể là giai đoạn đầu mà tin tặc dùng để tìm các lỗ hổng an ninh mạng chuẩn bị cho một cuộc tấn công Quản trị hệ thống cũng có thể dùng phương pháp quét để phát hiện các điểm yếu về an ninh - an toàn trong hệ thống mạng của mình

Hành động vào một tài khoản (Account Compromise)

Hành động vào một tài khoản là hành động dùng một tài khoản không được phép Hành động này có thể gây mất dữ liệu quan trọng, hay là hành động dùng trộm dịch

vụ, lấy cắp dữ liệu Người dùng mạng bị tin tặc lấy cắp mật khẩu Cách vào một máy tính dễ nhất là có được mật khẩu và vào máy bằng lệnh login; rào cản tin tặc đầu tiên là mật khẩu Nếu mật khẩu bị mất, thì tin tặc có thể làm mọi thứ mà người dùng

đó được phép

Hành động vào quyền quản trị (Root Compromise)

Hành động vào quyền quản trị là hành động vào một tài khoản có quyền lớn nhất của hệ thống, do vậy có thể gây ra những hậu quả rất nghiêm trọng cho hệ thống Từ việc thay đổi toàn bộ cấu hình của hệ thống, đến việc cài đặt các công cụ phá hoại, lấy cắp thông tin, cho đến việc tổ chức các cuộc tấn công lớn

Hành động thu lượm các gói tin (Packet Sniffer)

Hành động thu lượm các gói tin là việc thực hiện chương trình bắt các gói dữ liệu đang truyền trên mạng do vậy bắt được cả thông tin người dùng, mật khẩu và cả các thông tin riêng tư ở dạng văn bản Dựa vào các thông tin thu lượm được tin tặc có thể thực hiện tấn công hệ thống

Hành động tấn công từ chối dịch vụ (Denial of Service)

Mục đích của hành động tấn công từ chối dịch vụ là ngăn cản không cho người dùng hợp pháp sử dụng dịch vụ Tấn công từ chối dịch vụ có thể thực hiện bằng nhiều cách, như tạo tìm cách sử dụng bất hợp pháp tất cả các tài nguyên mạng như treo các kết nối, tạo luồng dữ liệu lớn, gây tắc nghẽn tại các cổng kết nối,

Hành động tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi Nói

1.3 Một số công cụ an ninh – an toàn mạng IP

1.3.1 Thực hiện an ninh – an toàn từ cổng truy nhập dùng tường lửa Tường lửa là gì?

Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sách đồng

ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng Tường lửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng là người như họ đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng

Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn đồng thời tường lửa còn có thể hạn chế lưu lượng và điều khiển lưu lượng chỉ cho phép chúng đến những nơi chúng được phép đến

Hình 1-1 Mô hình tường lửa đơn giản

Các khái niệm liên quan đến tường lửa, các loại tường lửa và các mô hình tường lửa

sẽ được trình bày một cách chi tiết trong chương 3 của luận văn này

1.3.2 Hệ phát hiện đột nhập mạng là gì?

Tại sao cần phải có hệ thống phát hiện đột nhập?

Như chúng ta đã biết, công nghệ tường lửa không thể bảo vệ an ninh – an toàn mạng một cách đầy đủ, mà chúng chỉ là một phần trong công nghệ an ninh – an toàn

mạng Tường lửa không tự nhận ra được các cuộc tấn công và cũng không tự ngăn chặn được các cuộc tấn công đó

Nếu tường lửa là các trạm gác, thì hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) được xem như các hệ thống camera/video theo dõi, giám sát và là hệ thống báo động đặt ngay tại các trạm gác, hay đặt ngay ở các vị trí quan trọng bên trong mạng

Hình 1-2 Vị trí đặt IDS

Hệ thống phát hiện đột nhập có thể kiểm tra việc thay đổi cấu hình tường lửa, phát hiện các cuộc tấn công vào máy chủ Web, Mail,… phát hiện virus hay các cuộc thử xâm nhập, các cuộc phá hoại hay lạm dụng hệ thống từ bên trong tường lửa

Các hệ thống phát hiện đột nhập giúp người quản trị hệ thống thực hiện được yêu cầu an ninh – an toàn hệ thống mạng theo chiều sâu

Các kỹ thuật và mô hình triển khai hệ thống phát hiện đột nhập sẽ được tiếp tục trình bày chi tiết trong chương 3 của luận văn này

1.3.3 Giám sát và thực hiện an ninh – an toàn từ bên trong dùng IPS

IPS dựa trên việc tích hợp những thế mạnh của tường lửa SIF và IDS để tạo nên khả năng bảo vệ các dịch vụ trên toàn mạng Do được phát triển dựa trên ưu điểm của cả hai công cụ SIF và IDS IPS được xem như một đội bảo vệ IPS vừa có khả năng nhận dạng tấn công, vừa có vai trò đưa ra những hành động cụ thể với những tấn công đó IPS có thể thực hiện rất hiệu quả các chức năng an ninh mạng cũng như các phép phân tích các gói tin đi trong mạng để đưa ra quyết định chấp nhận hay từ chối

danh định hoá để chuyển đổi các gói lưu lượng mạng thành các gói tin lớp ứng dụng truyền tải giữa máy trạm và máy chủ IPS sau đó sẽ tìm kiếm sự tương thích về giao thức và tách dữ liệu từ những “trường dịch vụ” trong ứng dụng, những nơi nhạy cảm với tấn công và áp dụng so sánh mẫu tấn công Sau đó nó sẽ quyết định chấp nhận hoặc từ chối lưu lượng dựa trên những bất thường về giao thức hoặc bất kỳ một mẫu tấn công nào tồn tại trong những “trường dịch vụ” của các ứng dụng này IPS có thể chặn những tấn công lớp ứng dụng tại các cổng Internet và nhờ có IPS những tấn

công này không bao giờ phá hoại được đích tấn công

IPS có thể đảm bảo an ninh cho một phần mạng nhỏ nằm trong mạng của một tổ chức, nơi được xem là điểm trọng yếu trong toàn bộ chiến lược an ninh mạng, vì thế giải phóng và cho phép các hệ thống ngăn chặn tấn công, ngăn chặn xâm nhập trái phép tập trung vào phát hiện các dạng tấn công phức tạp trên các phân đoạn mạng có phạm vi rộng hơn

1.3.4 Mã mật thông tin

Trên đây chúng ta mới chỉ quan tâm phân tích được một chiều của vấn đề an ninh –

an toàn mạng, nhưng đối tượng được bảo vệ an ninh không chỉ là các vật thể vật chất cụ thể, mà đặc biệt chú ý đến các tài nguyên thông tin số hoá và sự lưu chuyển

và lưu trữ của các thông tin này cũng cần được bảo vệ Mục tiêu của việc này là bảo

vệ sự bí mật, tính nguyên vẹn, sự có giá trị của hệ thống và xác minh những người

sử dụng Theo TS Eugene Spafford - Giáo sư về công nghệ máy tính của Đại học Purdue và chuyên gia bảo mật máy tính, khẳng định: “ Bảo vệ thông tin là mối quan tâm chính khi nó liên quan đến an ninh quốc gia, thương mại và thậm chí là cả cuộc sống riêng tư của mọi người ”

Bảo vệ các kênh giao dịch: Bảo vệ các kênh giao dịch điện tử là cung cấp một kênh giao dịch thương mại trực tuyến an toàn Chỉ có một cách hữu hiệu nhất là mã hoá chúng trước khi lưu chuyển và lưu trữ Mã hoá dữ liệu hoặc mã hoá các giao dịch thương mại cũng giống như là việc viết một thông điệp trong thư bằng một ngôn ngữ chỉ bạn và người nhận hiểu Không ai khác trên toàn thế giới có thể hiểu ngôn ngữ đó, vì vậy thậm chí dù người khác có thể chặn lại bức thông điệp, nó sẽ không còn có ý nghĩa đối với họ trừ khi họ chính là người nhận

Nếu như không có tính bí mật thì mọi giao dịch trên mạng đều có thể bị lộ và có thể được dùng để chống lại các đối tác tham gia giao dịch

Mật mã (Encryption) là quá trình dịch thông tin từ dạng nguồn dễ đọc sang dạng mã khó hiểu Giải mã (Decryption) là quá trình ngược lại Việc dùng mật mã sẽ đảm bảo tính bảo mật của thông tin truyền trên mạng, cũng như bảo vệ tính toàn vẹn, tính xác thực của thông tin khi lưu trữ

Mã mật được xây dựng để đảm bảo tính bảo mật (confidentiality), khi dữ liệu lưu chuyển trên mạng Khi dữ liệu đã được mã hóa thì chỉ khi biết cách giải mã mới có khả năng sử dụng dữ liệu đó Hiện nay các kỹ thuật mã hóa đã phát triển rất mạnh với rất nhiều thuật toán mã hóa khác nhau

1.3.5 Mô hình bảo vệ mạng bốn lớp

Hình 1-3 minh họa một mô hình bảo vệ mạng bốn lớp

Hình 1-3 Mô hình bảo vệ mạng bốn lớp a) Bảo vệ từ vành đai dùng tường lửa (lớp 1)

Bảo vệ vòng ngoài cho toàn hệ thống mạng Để triển khai lớp bảo vệ đầu tiên này,

ngăn chặn các tấn công tầng mạng, loại bỏ các hành vi dò quét các điểm yếu bảo mật của các hệ điều hành trên các máy chủ

b) Bảo vệ từ bên trong dùng IDS/IPS(lớp 2)

Thành phần phát hiện đột nhập (IDS) như hệ thống camera giám sát thường trực, và hoặc thành phần ngăn chặn xâm nhập (IPS) như đội bảo vệ cơ động giúp loại bỏ các tấn công khai thác các điểm yếu của các phần mềm chạy dịch vụ, và các lỗ hổng an ninh của hệ điều hành máy chủ,

c) Thành phần quét virus tại gateway (lớp 3)

Công cụ quét virus ngay tại các gateway sẽ giúp hệ thống được an toàn hơn

d) Mã mật thông tin trước khi lưu chuyển, và lưu trữ (lớp 4)

Hình 1-4 Hệ thống an ninh nhiều tầng

1.4 Một số tiêu chuẩn đánh giá an ninh – an toàn mạng IP

Đánh giá an ninh thông tin là việc dựa vào các tiêu chuẩn quốc tế về an ninh an toàn mạng xác định mức độ an ninh an toàn của mạng đó, đồng thời cũng thực hiện việc

tìm kiếm các lỗ hổng an ninh và đánh giá mức độ ảnh hưởng của các lỗ hổng an ninh tới an ninh an toàn của hệ thống mạng

1.4.1 An ninh – an toàn mạng tại Hoa Kỳ

Tại Hoa Kỳ trung tâm phối hợp thực hiện xử lý sự cố nhanh là “Nhóm công tác phản ứng trong trường hợp khẩn cấp trong không gian điện tử “CERT/CC” Trung tâm này được hình thành từ Trường đại học Carnegie Mellon và Văn phòng Thứ trưởng

Bộ quốc phòng Hoa Kỳ (nghiên cứu và kỹ thuật) là dạng trung tâm nghiên cứu và phát triển do Chính phủ Liên bang tài trợ có chức năng hình thành “Chương trình cứu hộ các hệ thống nối mạng” Cấu thành của chương trình bao gồm công nghệ mạng được duy trì, CERT/CC, quản trị doanh nghiệp, đào tạo và phát triển các phương án thực tế

Trung tâm CERT/CC thực hiện ba nhiệm vụ chính:

− Xử lý các lỗ hổng an ninh: phân tích các thiếu sót, sai lầm trong các hệ thống Internet

− Phân tích các hoạt động liên quan đến trí tuệ nhân tạo: nghiên cứu các mã

do kẻ xâm nhập phát triển để khai thác các lỗ hổng an ninh

− Xử lý sự cố: tính toán khả năng lợi dụng khai thác các thiếu sót sai lầm trợ giúp việc khắc phục

Các nguyên tắc của CERT/CC:

− Đảm bảo sự bí mật và không chia tách: Trung tâm không xác định các nạn nhân cụ thể, song có thể chuyển thông tin nặc danh và mô tả các hoạt động

mà không đưa ra kết luận

− Cung cấp các thông tin trung thực và không có thành kiến Trung tâm không thực hiện dịch vụ tư vấn hoặc bán các phần mềm, không cường điệu hoặc hạ thấp các rủi ro về các thiếu sót hoặc các sự cố bất thường

các cuộc đối thoại nhằm thuyết phục người bán hàng đi đến có nhận thức đầy đủ về một vấn đề, xác định vấn đề theo phương thức phù hợp nhất Cộng tác với các cơ quan tổ chức và các chuyên gia như các cơ sở đào tạo, chính phủ, công ty hình thành nên các mô hình về các đội xử lý sự cố

− Xây dựng các kênh thông tin với các doanh nghiệp: thiết lập quan hệ với khoảng 450 doanh nghiệp phần cứng và phần mềm Hàng chục chuyên gia

về công nghệ và an ninh, với khoảng 30 chính phủ và tổ chức an ninh công nghiệp Trong quá trình giao tiếp liên lạc sử dụng các thông tin đã được mã mật

− Xây dựng hệ thống thông tin đại chúng: thiết lập hệ thống thư điện tử tự động với khoảng 150.000 thành viên, nhiều thành viên có hệ thống tái chuyển thư tự động theo danh sách

− Xây dựng hệ thống WEBSITE: có khoảng 500 nghìn lượt truy cập mỗi ngày, số lượng này gia tăng khi xảy ra các sự kiện lớn

− Xây dựng hệ thống truyền thông: tham gia liên tục vào các cuộc phỏng vấn, cung cấp các thông tin kỹ thuật chính xác không thổi phồng sự thật

− Trung tâm phối hợp với sự tham gia của các thành phần: cơ quan thực thi luật pháp FBI, cơ quan Xử lý thông tin liên bang (theo dõi 24/24), CSIRT, Nhà cung cấp, các chuyên gia an ninh Internet, người sử dụng tại nhà, các học viện các ngành công nghiệp ISA, CERT của Bộ quốc phòng

1.4.2 An ninh – an toàn mạng tại Nhật Bản

Bộ Kinh tế, Thương mại và Công nghiệp Nhật Bản (METI) chịu trách nhiệm về vấn

đề này tại Nhật Bản METI chịu trách nhiệm về một diện rộng các vấn đề thuộc các lĩnh vực khác nhau liên quan đến an ninh thông tin METI phối hợp chặt chẽ với các

cơ quan như Văn phòng Nội các, hình thành các chương trình hành động:

− Chương trình quản trị an ninh thông tin (ISO 17779)

− Chương trình đánh giá an ninh thông tin (ISO 15408)

− Phát triển nguồn nhân lực (Sơ đồ kỹ năng cần có của các kỹ sư an ninh)

− Các giao dịch điện tử (Luật chữ ký điện tử)

− Tội phạm mạng và khủng bố mạng (Công ước về Tội phạm mạng)

− Hợp tác quốc tế (G8, OECD, APEC)

METI ưu tiên cho các hoạt động của CERT Các biện pháp mà CERT có thể thực hiện nhằm bảo đảm an ninh thông tin:

− Các biện pháp ngăn chặn như thu thập thông tin về các vấn đề an ninh Internet Cung cấp các chỉ dẫn trên cơ sở các hoàn cảnh cụ thể khi bị tấn công hoặc xâm nhập Phổ biến các thông tin tài liệu kỹ thuật liên quan đến

an ninh mạng

− Các biện pháp xử lý khẩn cấp: đánh giá các tổn hại trên cơ sở thông tin do các site bị tấn công cung cấp Xác định các sai sót lỗ hổng an ninh và cung cấp các thông tin kỹ thuật có liên quan

Meti cũng thúc đẩy sự hợp tác trong khu vực Châu Á thông qua việc chia sẻ thông tin, thu thập, phân tích và phổ biến Hỗ trợ những nơi chưa có CERT, hỗ trợ các sáng kiến khu vực Trong năm tài chính 2003, METI cung cấp 5 triệu USD cho JPCERT nhằm tăng cường khả năng thu thập, phân tích và phổ biến thông tin có liên quan, xây dựng một hệ thống thu thập thông tin số liệu tự động tại các điểm cố định

1.4.3 An ninh – an toàn mạng tại Hàn Quốc

Chiến lược của Bộ Công nghệ thông tin và Viễn thông Hàn Quốc xác định: cần tăng cường bảo vệ cơ sở hạ tầng thông tin trong xã hội thông tin và tri thức Năm 1996

Bộ Công nghệ thông tin và Viễn thông Hàn Quốc thành lập Cơ quan an ninh thông tin Hàn Quốc với tên gọi là KISA Mục đích là nhằm tạo ra một môi trường an toàn

và an ninh đảm bảo các thông tin được phổ biến thông qua một cách thức an toàn Chức năng của các Ban:

− Ban Bảo vệ cơ sở hạ tầng thông tin: Nhóm Tiêu chuẩn hoá công nghệ an

đánh giá độ tin cậy của mã mật Nhóm phát triển công nghệ an ninh mạng lưới và các hệ thống tiên tiến chịu trách nhiệm phát triển các công nghệ dò tìm các hành vi sai trái và bất thường xảy ra trên mạng lưới, phát triển các công nghệ khắc phục và phản ứng với các hành vi xâm nhập, xây dựng các công nghệ mô phỏng và các mẫu hình về an ninh cơ sở hạ tầng

− Ban Chứng thực và đánh giá an ninh Công nghệ Thông tin: thẩm định các

hệ thống an ninh Công nghệ Thông tin thông qua xây dựng các yếu tố cơ bản cho việc thẩm định đánh giá cụ thể như đánh giá về tường lửa 1998, IDS năm 2000 Xây dựng cơ sở hạ tầng cho việc đánh giá các sản phẩm công nghệ thông tin trên nền các tiêu chí cơ bản chung và các thoả thuận thừa nhận các tiêu chí chung

− Ban Bảo vệ cơ sở hạ tầng thông tin: phân tích các lỗ hổng an ninh, đánh giá các cơ sở hạ tầng thông tin cơ bản thiết yếu Cung cấp các thông tin công nghệ hỗ trợ cho việc bảo vệ cơ sở hạ tầng thông tin thiết yếu, chứng nhận quản trị an ninh thông tin

− Trung tâm Hỗ trợ an ninh thông tin: thực hiện việc đo kiểm thông các sản phẩm an ninh thông tin qua phòng đo kiểm

− CERTCC-KR: mục tiêu bảo vệ thông tin trên cơ sở hạ tầng mạng lưới trong nước theo chiến lược của Bộ Công nghệ Thông tin và Viễn thông Hàn Quốc Thực hiện việc ngăn chặn các sự số trên các mạng lưới thông tin thông qua hoạt động chủ động và phối hợp Phân tích các hệ thống bị tổn hại

và hỗ trợ Khắc phục các tổn thất và phân tích dò tìm Duy trì việc giáo dục tuyên truyền và thông tin để ngăn chặn các sự cố Xuất bản và phân phối các tài liệu công nghệ để ngăn chặn việc xâm nhập của tin tặc cũng như ngăn chặn virus Xây dựng các công nghệ ngăn chặn các sự cố

Sự phối hợp hệ thống giữa Bộ Công nghệ thông tin và Viễn thông với CERT

Trong thực tế, hoạt động của Trung tâm điều phối là thường xuyên liên tục, đồng thời khi có các sự kiện đặc biệt việc phối hợp cũng được tiến hành chặt chẽ hơn Một hệ thống an ninh cung cấp các thông tin về công nghệ nhằm phân tích, phản

ứng và xử lý các sự cố đồng thời thiết lập kênh giao tiếp 24 giờ của các công ty an ninh và các cơ quan chính phủ trong trường hợp khẩn cấp Trung tâm cũng thực hiện kiểm tra các sai sót, lỗ hổng tại các cơ sở kinh tế thông qua thanh tra các hệ thông thông tin sử dụng tại các doanh nghiệp, trường học

1.4.4 An ninh – an toàn mạng tại Australia

Nhóm chuyên gia phản ứng khẩn cấp về điện toán (CERT) của Australia được thành lập từ năm 1992 với các nhiệm vụ chung là

− Giải quyết các sự cố

− Thiết lập mối quan hệ giữa nhóm với các cơ quan thực thi pháp luật, chính phủ

− Cơ quan xử lý tập trung

− Cung cấp các thông tin an ninh như cảnh báo, cố vấn, ảnh hưởng với kinh doanh và các danh mục kiểm tra

− Đào tạo thông qua hội thảo, huấn luyện

Với nền tảng ban đầu của CERT là một đơn vị thuộc Trường Đại học Queesland, CERT được lập ra với mục đích phi lợi nhuận Tháng 09/2001, Chính phủ AUSTRALIA công bố chính sách với mục tiêu chiến lược là: “Tạo lập một môi trường khai thác điện tử an ninh và đáng tin cậy cho các cơ quan nhà nước và tư nhân” Vai trò của CERT tại Australia liên tục được tăng cường

1.4.5 Sự phối hợp khu vực

Liên quan đến việc tổ chức các nhóm công tác phản ứng trong trường hợp khẩn cấp các quốc gia và các vùng lãnh thổ đã nhận thức được tầm quan trọng của vấn đề, do vậy đã và đang hình thành những cơ chế phối hợp với mục tiêu ban đầu là trao đổi thông tin hỗ trợ, đào tạo

tác được thành lập từ các bên quan tâm và đến tháng 02/2003 Hội nghị thành lập APCERT đầu tiên đã được tiến hành tại Đài Loan APCERT đã hình thành Hội đồng Thường trực và một số nhóm công tác nhằm nghiên cứu và chuẩn hoá các hoạt động của tổ chức này Hiện thời APCERT có 15 thành viên đầy đủ và một số thành viên khác từ 12 nền kinh tế thuộc APEC Các thành viên đầy đủ của APCERT bao gồm : AusCert của Australia; BKIS của Việt Nam; CCert của Trung Quốc; CertCC-KR của Hàn Quốc; CNCert của Trung Quốc; HKCERT của Hồng Kông; IDCERT của Indonesia; SecurityMap.net CERT; JPCERT của Nhật Bản; MyCERT của Malaysia; PH-CERT của Philippines; SingCERT của Singapore; ThaiCERT của Thái Lan; TWCERT/CC của Đài Loan; TW-CIRC của Đài Loan

APCERT đã tiến hành một số hội thảo nhằm cung cấp thông tin và kêu gọi sự quan tâm của các bên tiến tới hình thành một cơ chế hợp tác trong khu vực Châu Á - Thái Bình Dương

1.4.6 Sự phối hợp toàn cầu

Hiện thời tồn tại ở cấp độ toàn cầu có diễn đàn của các Nhóm an ninh và phản ứng với sự cố gọi tắt là FIRST Diễn đàn được thành lập từ năm 1990 với 11 thành viên ban đầu, đến năm 2002 đã có hơn 100 nhóm an ninh và phản ứng trên toàn thế giới tham gia vào các hoạt động thường xuyên của diễn đàn này

Các mục tiêu của FIRST

− Thúc đẩy xây dựng hợp tác giữa các thành viên nhằm ngăn chặn, dò quét và khôi phục hệ thống sau các sự cố an ninh điện toán

− Cung cấp phương tiện liên lạc nhằm mục đích cảnh báo và cung cấp các lời khuyên, cố vấn về những mối đe doạ tiềm tàng cũng như các sự cố khẩn cấp

− Thuận lợi hoá các hoạt động và hành động của các thành viên thuộc diễn đàn thông qua hoạt động nghiên cứu cùng phối hợp hành động

− Thuận lợi hoá công tác chia sẻ thông tin, công cụ và kỹ năng liên quan đến

an ninh thông tin

Các sự cố an ninh điện toán không phụ thuộc vào không gian, thời gian trong môi trường Internet toàn cầu Một khi xảy ra sự cố vấn đề thường liên quan đến nhiều trang chủ và máy chủ đặt tại nhiều vị trí khác nhau trên thế giới Mỗi một đội an ninh và xử lý sự cố có sự hoạt động khác nhau nhằm hỗ trợ tại khu vực địa lý mình phụ trách song đồng thời cũng cần có sự phối hợp đồng bộ với các nhóm khác trên toàn cầu Diễn đàn này cung cấp các thông tin trao đổi giữa các nhóm phản ứng thông qua giao tiếp giữa nhóm với Nhóm hoặc trên cơ sở dùng chung các thông tin Diễn đàn cũng thường tổ chức các hội nghị xử lý các sự cố an ninh điện toán nhằm tập trung vào các vấn đề liên quan đến an ninh cách xử lý sự cố thông qua trao đổi kinh nghiệm giữa các chuyên gia Một số hoạt động hạn chế như các hội nghị kỹ thuật mang tính bảo mật cao như lỗ hổng an ninh, sự cố, công cụ giải quyết được tổ chức khoảng 2 đến 3 lần một năm nhằm tăng cường khả năng tích hợp kiến thức chung

1.4.7 Hướng đi cần xem xét

Vấn đề an ninh và an toàn mạng IP là một vấn đề chung của cả thế giới Ở Việt nam

nó đã được xác định trong Chiến lược phát triển Công nghệ thông tin và Viễn thông Gần đây các cơ quan quản lý nhà nước Việt Nam bắt đầu nghiên cứu nhằm hình thành một hạ tầng mạng thông tin, trong đó có các cấu thành quan trọng như Chính phủ điện tử, Thương mại điện tử Về phương diện quốc tế Việt Nam cũng đã tham gia vào Hiệp định về không gian điện tử ASEAN, gọi tắt là e-ASEAN Cần khẳng định rằng là nếu không có các kế hoạch hoặc phương án triển khai nhằm đảm bảo an ninh, an toàn hệ thống cụ thể thì không thể triển khai được các dịch vụ trên mạng, hoặc khi tổn thất xẩy ra thì không thể lường hết được hậu quả

Hiện thời đã có Trung tâm Thông tin Mạng quốc gia trực thuộc Bộ Bưu chính Viễn thông - VNNIC, cũng đã đến lúc các nhà quản lý cần nghĩ tới một Trung tâm phản ứng với các sự cố mạng, sự cố điện toán Với các kinh nghiệm quốc tế, chúng ta thấy rằng về cơ bản chức năng của một Trung tâm An ninh mạng hoặc Trung tâm xử

các hoạt động nghiệp vụ thích hợp như rà quét lỗ hổng an ninh, đào tạo, tuyên truyền

Chức năng xác định các tiêu chuẩn an toàn, an ninh mạng: điều này tại các văn bản quy phạm pháp luật của Việt Nam đã có song cần được thường xuyên chuẩn hoá và cập nhật

Chức năng phối hợp các hoạt động quốc tế: an ninh mạng là vấn đề toàn cầu cần có

sự phối hợp với các hiệp hội, tổ chức quốc tế thông qua một đầu mối tập trung Các chức năng khác như kiểm tra, thanh tra, giám sát

Việc đánh giá các lỗ hổng an ninh của mạng phải được thực hiện ngay từ khi thiết kế mạng, nó sẽ hỗ trợ xây dựng được kiến trúc mạng an ninh an toàn ngay từ đầu Mặt khác trong quá trình hình thành thì mạng cũng như các yêu cầu sử dụng tài nguyên cũng thay đổi do vậy các lỗ hổng và nguy cơ về an ninh an toàn mới lại xuất hiện Cái gì, và khi nào ta phát hiện ra các điểm yếu và lỗ hổng về an ninh đó?

Trong chương này chúng ta cùng thảo luận về vấn đề đánh giá các nguy cơ, các điểm yếu và các lỗ hổng an ninh và cách quản lý nó Chúng ta đưa ra các cách tiếp cận, các phương pháp đánh giá khác nhau, và từ đó đưa ra một số mô hình đánh giá,

và cũng lựa chọn một số công cụ đánh giá mã nguồn mở hỗ trợ cho quản trị hệ thống trong quá trình quản trị của mình xác định được nguyên nhân, nhận diện đối tượng, động cơ, cách thức kẻ tấn công xâm nhập dữ liệu hệ thống Xác định mục tiêu, mối nguy hiểm thường trực về an ninh máy tính của tổ chức Đồng thời đưa ra thủ tục về quản lý an ninh an toàn cho một hệ thống mạng như: xây dựng nhận thức về bảo mật cho người sử dụng; phương cách xác định và đánh giá rủi ro hệ thống; xây dựng chính sách bảo mật thông tin; xây dựng quy trình xử lý khi có sự cố; xây dựng thủ tục sao lưu và phục hồi dữ liệu; đánh giá và nâng cao khả năng chịu lỗi và tính sẵn sàng của hệ thống; xây dựng chính sách phân chia quyền hạn cho nhà quản trị và người sử dụng; thủ tục và công cụ thường xuyên thu thập chứng cứ xâm nhập hệ thống

2.2 Xây dựng phương pháp đánh giá an ninh mạng

2.2.1 Quy trình đánh giá độ an ninh – an toàn mạng

Dựa trên các số liệu về tội phạm mạng, và các gợi ý về yêu cầu cần đánh giá về an ninh an toàn mạng do tổ chức CIAC(Computer Incident Advisory Capabilit), và CERT(Computer Emergency Response Team (network, Internet, security)).

Ở đây chúng tôi đưa ra quy trình đánh giá độ an ninh an toàn mạng cho một công ty hay một tổ chức bao gồm các phần sau:

1) Phân tích đánh giá cấu hình vật lý và kiến trúc logic của mạng

2) Đánh giá về phiên bản về các thành phần của các hệ điều hành dùng cho các máy chủ, và các máy của người dùng trên mạng

3) Đánh giá về các bộ giao thức hiện hành đang được sử dụng trên mạng

4) Đánh giá về các kết nối mạng diện rộng, mạng internet đang dùng trên mạng 5) Kiểm tra các dữ liệu và thông tin được truyền trên các kết nối mạng diện rộng, mạng internet đang dùng trên mạng

6) Kiểm tra các thủ tục và quy trình dùng để truy cập vào các tài nguyên của mạng

7) Phân tích các dữ liệu nhạy cảm di chuyển trên mạng xương sống (main

network backbone)

8) Kiểm tra các kết nối từ xa vào mạng

9) Xác định chính sách truy cập cho các tài nguyên quan trọng trong mạng 10) Phân tích các quyền truy cập cho các tài nguyên quan trọng trong mạng

11) Phân tích đánh giá các trách nhiệm quản trị hệ thống

2.2.2 Tiêu chuẩn đánh giá

Để đảm bảo cho việc đánh giá chúng ta dùng các chuẩn quốc tế về an ninh an toàn thông tin ISO 17799, 27002 (Information security standards) Các chuẩn này cũng

đề cập đến các vấn đề như: lập chính sách an toàn an ninh cho tổ chức hoặc công ty;

xây dựng hạ tầng an ninh có tổ chức ; kiểm soát và phân loại các đánh giá; an ninh

cá nhân; an ninh môi trường và an ninh vật lý; quản lý các hoạt động về thông tin và truyền thông; kiểm soát việc truy cập tài nguyên; bảo trì và phát triển hệ thống; quản

lý tính liên tục của các hoạt động của tổ chức hoặc công ty

2.2.3 Phương pháp đánh giá

Bởi vì mỗi tổ chức hay mỗi công ty thường có các yêu cầu về an ninh an toàn thông tin khác nhau nên chúng ta cần phải đưa ra cách đánh giá mà bắt buộc phải thực hiện

Đồng thời chúng ta cũng phải đánh giá trong môi trường đang hoạt động và thực tế công việc đang diễn ra, để đảm bảo khi thực hiện các yêu cầu về an ninh an toàn hệ thống mà không ảnh hưởng gì đến các hoạt động và công việc của công ty hay tổ chức đó

Chúng ta có các đánh giá từ chính sách, văn hóa về an ninh an toàn, ý thức của các

cá nhân trong tổ chức (phương pháp đánh giá từ trên xuống), đồng thời có cách đánh giá bằng các phương pháp nghiệp vụ, các công cụ kỹ thuật (phương pháp đánh giá

từ dưới lên), và nhiều khi phải phối hợp cả hai phương pháp mới có kết quả tốt

Hình 2-1 Minh họa phương pháp đánh giá

2.2.4 Phương pháp đánh giá từ trên xuống

Trong phần này của luận văn đưa ra một đề xuất phân tích đánh giá an ninh - an toàn mạng cho một tổ chức hay công ty từ trên xuống dựa theo chuẩn ISO 17799 bằng phương pháp đánh giá từ trên xuống

Dưới đây là bảng liệt kê các công việc cần thực hiện, các nhóm công tác chịu trách nhiệm Đây chỉ là đề xuất giả định, do vậy trong thực tế với từng hệ thống mạng, và với từng công ty cụ thể chúng ta phải thay đổi bằng cách lược bớt hay bổ sung cho phù hợp với yêu cầu về an ninh an toàn mạng của công ty đó

Bảng 2-1 Một số tiêu chuẩn đánh giá theo ISO 1779

trách nhiệm

3.1.1 Chính sách an

ninh thông tin

Xây dựng chính sách an ninh thông tin An ninh

thông tin 4.1.1 Quản lý diễn

đàn an ninh thông tin

Hợp tác với quốc tế về an ninh thông tin Ban an ninh

thông tin 4.1.2 Hợp tác về an

ninh thông tin

Thực hiện hợp tác về an ninh thông tin An ninh

thông tin 4.2.1 Xác định các

nguy cơ bên thứ 3

Thực hiện phân tích các kết nối từ bên thứ 3 đến An ninh

thông tin 4.3.1 Các yêu cầu an

ISO 17799 Mô tả Nhóm chịu

trách nhiệm

/Phục vụ 7.2.4 Bảo hành thiết

Thực hiện theo chuẩn để đảm bảo an ninh an toàn về

dữ liệu, và bảo vệ các dịch vụ kết nối khỏi những truy cập bất hợp pháp

Quản trị mạng

gây ra mất an ninh an toàn từ hệ thống điện của văn phòng

An ninh thông tin

Thực hiện theo chuẩn các chính sách về sử dụng dịch

vụ mạng với từng cá nhân trong công ty , đảm bảo chính sách giám sát truy cập các tài nguyên mạng

Mạng

9.4.2 Quy định tuyến Thực hiện theo chuẩn về hạn chế các tuyến truy Mạng

ISO 17799 Mô tả Nhóm chịu

Vận hành

9.5.2 Ghi nhật ký Thực hiện theo chuẩn ghi nhật ký người login vào hệ

thống

Vận hành

Chúng ta biết rằng tùy thuộc vào mức độ và yêu cầu của công ty mới có đầy đủ hay

bổ sung các nhóm công tác mà đã liệt kê ở trên, mặt khác các đầu mục công việc về đánh giá an ninh cũng có thể bổ sung hay lược bớt

2.2.5 Phương pháp đánh giá từ dưới lên

Đây là phương pháp dùng các công cụ kỹ thuật để đánh giá, chúng ta cần phải thực hiện các bước sau:

− Bước 1: Đánh giá tổng quan

− Bước 2: Xây dựng kế hoạch kiểm tra

− Bước 3: Xây dựng bộ công cụ phục vụ kiểm tra

− Bước 4: Định hướng và quản lý các đánh giá

vi đánh giá vì nó liên quan đến thời gian và chi phí cho việc đánh giá, cũng như các hoạt động thực tế của mạng Cuối cùng là phải quan tâm đến các hệ điều hành (OS) đang được dùng trên mạng, nếu dùng các OS như (Win9x, NT, 200x, hoặc XP) của Microsoft, hoặc Linux cùng các giao thức mạng đang dùng như TCP/IP thì dễ dàng tìm các công cụ để kiểm tra đánh giá Còn dùng các OS không phổ biến như Novell

2.2.7 Xây dựng kế hoạch kiểm tra

Khi xây dựng kế hoạch kiểm tra đánh giá các lỗ hổng của mạng, cần phải dựa trên đánh giá ở bước 1, kết hợp cùng với phương pháp đánh giá từ trên xuống theo các chuẩn về an ninh an toàn đã trình bày ở trên, kết hợp với các mục tiêu an ninh an toàn của công ty hay tổ chức đó Đồng thời xem xét trước các cấu hình, các gói vá lỗ hổng đã dùng, các ứng dụng đang chạy trên mạng, các khả năng tạo ra các cổng hậu

”backdoor”

2.2.8 Xây dựng bộ công cụ phục vụ kiểm tra

Ở bước này chúng ta phải thực hiện sưu tầm và lựa chọn các công cụ phục vụ việc kiểm tra, đánh giá từ các công cụ mã nguồn mở “freeware tools”, các công cụ cho phép dùng thử “shareware tools”, đến phải tự phát triển hay đặt mua

Một số địa chỉ tìm kiếm công cụ an ninh mạng:

http://sectools.org/ (liệt kê 100 công cụ an ninh mạng được ưa chuộng nhất)

2.2.9 Định hướng sử dụng các công cụ và quản lý các đánh giá

Như đã trình bày ở trên chúng ta có rất nhiều loại công cụ để kiểm tra và đánh giá, nhưng tựu chung lại có thể phân làm hai loại , đó là công cụ kiểm tra chủ động và công cụ kiểm tra thụ động Công cụ kiểm tra chủ động như thực hiện thăm dò để phát hiện lỗ hổng như Nessus Công cụ phá khóa để tìm mật, công cụ kiểm tra Wireless Loại công cụ thứ hai sẽ được dùng kiểm tra long hổng khi mạng đang hoạt động được gọi là công cụ kiểm tra lỗ hổng thụ động như các công cụ giám sát hoạt

động dựa trên các giao thức quản lý mạng SNMP, và RMON, các công cụ thu thập thông tin trên mạng để phân tích như các sniffer, netflow,cacti, nagios,

Điều quan trọng ở đây là phải sử dụng các công cụ nào? Sử dụng khi nào? Để đảm bảo phát hiện ra các lỗ hổng an ninh và các điểm yếu của mạng, và trong khi mạng đang hoạt động thì không được làm ảnh hưởng đến hiệu năng, và các dịch vụ mạng Đặc biệt là khi kiểm tra DoS

2.2.10 Phân tích

Sau bước dùng các công cụ để kiểm tra thì phải thực hiện phân tích các dữ liệu đã thu thập được để xác định được các lỗ hổng trên các máy chủ và các điểm yếu trong mạng

2.2.11 Làm thành tài liệu

Là bước cuối cùng của quá trình kiểm tra và đánh giá, cần tư liệu hóa để dùng cho quá trình vận hành, bảo trì và quản lý mạng

2.3 Mô hình dùng để đánh giá an ninh mạng

Mô hình dùng cho việc kiểm tra đánh giá an ninh an toàn mạng bao gồm 5 bước như sau:

− Bước 1 Dựng quy trình: dựa vào mục tiêu an ninh – an toàn mạng của công

ty, và quy trình mẫu để xây dựng quy trình đánh giá cho mạng hiện tại

− Bước 2 Chọn tiêu chuẩn đánh giá: dựa vào mục tiêu an ninh – an toàn mạng của công ty, và các chuẩn về an ninh an toàn của quốc gia, quốc tế, đưa ra các tiêu chuẩn dựa vào đó để đánh giá

− Bước 3 Xây dựng khung đánh giá từ trên xuống

− Bước 4 Lựa chọn các công cụ cho việc đánh giá từ dưới lên

− Bước 5 Dùng các kết quả của các bước trên để thực hiện việc kiểm tra đánh