Thiết bị phần mềm Chạy trên các máy tính và máy chủ tương thích với chip Intel Giá cả được tính theo số lượng IP hoặc User Sản phẩm phần mềm Sophos UTM có thể cài đặt từ CD nguồn cà
Trang 1GIẢI PHÁP BẢO MẬT TƯỜNG LỬA TÍCH HỢP SOPHOS UNIFIED THREAT MANAGEMENT
- 2016 -
Trang 2THÔNG TIN KIỂM SOÁT Đơn vị chịu trách nhiệm
Công ty cổ phần tích hợp hệ thống Nam Trường Sơn
Địa chỉ : 20 Tăng Bạt Hổ, P.11, Q Bình Thạnh, TP HCM
Điện thoại : +84 08 6680 5046
Fax : +84 08 3841 5555
Website : http://ntssi.vn
Phiên bản
Thời hạn hiệu lực
Phạm vi lưu hành Dành riêng cho nội bộ NTS và khách hàng liên quan
Tài liệu thay thế cho
Trang 3MỤC LỤC
1 TỔNG QUAN 3
2 GIẢI PHÁP SOPHOS UTM 4
2.1 SOPHOSUTM: 4
2.2 MÔHÌNHTRIỂNKHAI 5
2.3 GIỚITHIỆUSOPHOSUTM 6
2.3.1 Điểm mạnh 6
2.3.2 Sản phẩm 6
2.4 THÔNGTINKỸTHUẬT 10
2.4.1 Bảo mật cho hệ thống mạng (Network Protection) 10
2.4.2 Bảo mật hệ thống thư điện tử ( UTM Mail Protection ) 17
2.4.3 Bảo mật cho Web (UTM Web Protection) 21
2.4.4 Bảo vệ máy chủ ứng dụng web (UTM WebSever Protection) 24
2.4.5 Bảo mật thiết bị đầu cuối ( UTM Endpoind Protection) 28
2.4.6 Bảo mật không dây ( UTM Wireless Protection) 30
2.4.7 Sophos RED ( Sophos Remote Ethernet Device) 32
Trang 41 TỔNG QUAN
Những thách thức về bảo mật trong ngành công nghệ thông tin ngày nay là gì ?
Trong những năm gần đây, số lượng và sự đa dạng của các nguy cơ đến từ Internet đã phát triển đáng kể Vì vậy, đòi hỏi phải có các công cụ để chống lại các nguy cơ này Bên cạnh đó hiện nay bùng nổ mạnh mẽ việc nhân viên sử dụng những thiết bị di động cá nhân (smartphone, tablet ) kết nối vào hệ thống mạng và dễ dàng sao chép mọi dữ liệu của công ty, không loại trừ những tiện ích sao lưu trực tuyến (Dropbox, Box, Skydrive )
sẽ làm ảnh hưởng không nhỏ đến mức độ bảo mật cho công ty
Để bảo vệ hệ thống mạng khỏi các nguy cơ tấn công đa dạng từ môi trường internet, các
tổ chức thường sử dụng nhiều thiết bị bảo mật khác nhau như: Hệ thống IPS, VPN Router
và Firewall Những thiết bị này yêu cầu cấu hình, bảo trì và quản lý phức tạp, trong khi người dùng mong muốn có một thiết bị có đầy đủ tính năng và bảo vệ mạng một cách toàn diện
Hình 1: Bảo mật càng cao, càng mất nhiều tiền và thời gian
Trang 5Tích hợp là chìa khóa cho vấn đề này
Một thiết bị được tích hợp tất cả các tính năng bảo mật và quản lý nhằm mang lại hiệu quả tốt, nhanh và tiện lợi nhất, là chìa khóa để giải quyết vấn đề về thời gian và tiền bạc Đó mong muốn của hầu hết tất cả các nhà quản trị mạng bây giờ
Trang 6Hình 3 Quá trình phát triển của SOPHOS UTM
2.2 MÔ HÌNH TRIỂN KHAI
Hình 4 Mô hình triển khai SOPHOS UTM
Trang 72.3 GIỚI THIỆU SOPHOS UTM
2.3.1 Điểm mạnh
- Bảo mật cao
- Dễ dàng triển khai
- Tất cả tính năng được tích hợp sẵn trên một thiết bị duy nhất
- Quản lý đơn giản tất cả chỉ duy nhất qua giao diện Web-base
- Khả năng mở rộng hệ thống cực kỳ linh hoạt
Trang 8Hình 5 Các dòng sản phẩm phần cứng của Sophos UTM
2 FleXi Port modules các loại
o Loại dành cho dòng Medium 1U rack mount appliance
Trang 9o Loại dành cho dòng Large 2U rack mount appliance
3 Thông tin chi tiết cấu hình thiết bị Sophos SG Series
sophos-sg-series-a ppliances.pdf
4 Thiết bị phần mềm
Chạy trên các máy tính và máy chủ tương thích với chip Intel
Giá cả được tính theo số lượng IP hoặc User
Sản phẩm phần mềm Sophos UTM có thể cài đặt từ CD (nguồn cài đặt có thể tải trực tiếp từ máy chủ của hãng) Hiệu suất hoạt động còn phụ thuộc vào phần cứng của thiết bị
Yêu cầu phần cứng tối thiểu:
Trang 10 Chạy trên tất cả máy ảo VMware
Giá được tính theo số lượng IP hoặc số
người dùng
Ứng dụng ảo của Sophos UTM hướng đến
các nhà quản trị mạng muốn đặt nhiều ứng
dụng trên một máy chủ nhằm giảm chi phí cho phần cứng, phần mềm và bảo trì
Cấu hình phần cứng tối thiểu:
2 GB RAM
Ổ cứng 40 GB chuẩn IDE hoặc SCSI
3 Card mạng (Internet, Local Net, Demilitarized Zone)
Hình 6 Các dạng triển khai hệ thống tường lửa linh hoạt
Trang 112.4 THÔNG TIN KỸ THUẬT
2.4.1 Bảo mật cho hệ thống mạng (Network Protection)
Mô hình triển khai Network Protection tham khảo
2.4.1.1 Tường lửa ( Firewall )
Hê thống tường lửa của các sản phẩm Sophos UTM kết hợp nhiều công cụ có tính năng mạnh mẽ cho phép quản lý luồng lưu lượng từ Internet vào mạng nội bộ và ngược lại
Bộ lọc gói tin
Bộ lọc các ứng dụng chạy ẩn
Quản lý Rules linh hoạt
o Có thể quản lý rules theo từng máy, từng nhóm, từng lớp mạng và nhóm người dùng VPN
o Tự động áp Rules cho các ứng dụng và dịch vụ nội bộ
o Kích hoạt theo thời gian thực
o Chuyển mạch dựa theo Policy
o Tạo được quy định trên từng cổng mạng
Trang 12 Chuyển đổi địa chỉ mạng ( NAT )
o Hỗ trợ SNAT/DNAT/FullNAT/1:1
o Masquerading
2.4.1.2 Hệ thống phòng chống xâm nhập kết hợp với chức năng ATP
Hệ thống phòng chống xâm nhập của Sophos UTM chặn đứng kẻ xâm nhập và bảo vệ hệ thống trước những mối đe dọa tinh vi nhất nhờ công nghệ quét tích hợp
Nhận diện và ngăn chặn các giao thức,ứng dụng tấn công vào hệ thống thông qua các gói tin ẩn
Cơ sở dữ liệu với hơn 18,000+ rules :
o Tìm kiếm, quét port, thẩm vấn và quét host
o Các ứng dụng có nguy cơ tấn công hệ thống mạng
o Các giao thức có thể bị lợi dụng để xâm nhập
Phát hiện xâm nhập và ngăn chặn
o Cảnh báo cho người quản lý hoặc khóa xâm nhập ngay lập tức
Giao diện quản lý dễ dùng
o Bạn chỉ cần 1 cú click chuột để tắt hoặc mở một chức năng trên Sophos UTM
Advanced Threat Protection (ATP)
o Phát hiện và chặn các traffic có chứa các mẫu lệnh và điều khiển dịch vụ như DNS, AFC, HTTP Proxy and firewall
o Định danh được các máy tính bị nhiễm hoặc có chứa các biểu hiện hành vi trong mạng bất thường
o Cơ chế phát hiện Sandboxing giúp chọn lọc các mã nhúng đáng ngờ để nhằm xác định mục đích nguy hiểm
2.4.1.3 Bảo vệ tấn công từ chối dịch vụ ( DoS )
Hệ thống bảo vệ tấn công từ chối dịch vụ của Sophos UTM cho bạn sự mềm dẻo và linh hoạt trong việc bảo vệ hệ thống mạng trước các dạng tấn công qua cổng mạng vào máy chủ
Trang 13DoS and DDoS (Distributed Denial of Service) / Flooding Protection
o TCP SYN Flood Protection
o UDP Flood Protection
o ICMP Flood Protection
o Based on Source and/or Destination IP Address
o Adjustable maximum allowed packet rates
o Adjustable logging level
Port-Scan Protection
o Log, drop or reject detected port scan traffic
o Adjustable logging level
2.4.1.4 Quản lý băng thông
QoS của Sophos UTM là sự kết hợp giữa hai cơ chế ưu tiên và cơ chế dành riêng băng thông cho các dịch vụ và giao thức chạy trong mạng Trong đó có một số tính năng:
Hạn chế băng thông đi ra mạng ngoài (Mức băng thông tối thiểu,tối đa và giới hạn tổng số lưu lượng) dựa trên:
o Địa chỉ nguồn/đích của máy chủ hoặc mạng
o Dịch vụ hoặc cổng mạng
o Các giá trị TOS/DSCP
o Quản lý lưu lượng của các ứng dụng (hơn 900 ứng dụng)
Tối ưu hóa băng thông đi vào dựa trên các cơ chế:
o Stochastic Fairness Queuing (SFQ)
o Random Early Detection (RED)
o Proportional bandwidth shaping
o Dynamically adapts amount of reserved bandwidth to available link speeds
Tùy chỉnh lưu lượng tải xuống
Trang 14o Làm giảm tốc độ tải gói tin một cách thông minh để chống nghẽn mạng
Tối ưu hóa lưu lượng tải lên
o Tăng tốc các gói tin TCP (SYN, ACK, …)
2.4.1.5 Truy cập từ xa dùng SSL
Công nghệ truy cập từ xa sử dụng SSL của Sophos UTM cho phép người dùng có thể thực hiện truy cập vào hệ thống chỉ với một cú click và dễ dàng kết nối các thiết bị điện thoại thông minh vào mạng của công ty
Có thể truy cập vào tất cả các tài nguyên trong hệ thống mạng
Phương pháp chứng thực và mã hóa của SSL:
o DES, 3DES and AES (lên đến 256 bts)
o MD5, SHA
Hỗ trợ nhiều tính năng:
o Phần mềm miễn phí Sophos SSL VPN Client (dựa trên OpenVPN Client
có thể chạy trên Windows, Linux, MacOSX, và nhiều hệ thống UNIX khác)
o Hỗ trợ các nền tảng hệ điều hành di động IOS và Andorid
Cấu hình đơn giản thông qua Sophos’s UserPortal:
o Bạn có thể tải về phần mềm Sophos SSL client, các file cấu hình, chìa khóa và chứng nhận chỉ với một cú nhấp chuột
o Tự động cài đặt và cấu hình phần mềm SSL client software chỉ trong vài phút
Tự động tạo đường kết nối
Trang 152.4.1.6 Truy cập từ xa sử dụng IPSec
Công nghệ truy cập từ xa sử dụng IPSec của Sophos cho phép người dùng có thể thực hiện truy cập vào hệ thống chỉ với một cú click và dễ dàng kết nối các thiết bị điện thoại thông minh vào mạng của công ty:
Hỗ trợ tất cả các chứng thực và mã hóa của IPSec:
o DES, 3DES, AES, Serpent, Blowfish, Twofish
o Cisco IPSec client
Cấu hình đơn giản thông qua Sophos’s UserPortal:
o Bạn có thể tải về phần mềm SSL client, các file cấu hình, chìa khóa và chứng nhận chỉ với một cú nhấp chuột
o Tự động cài đặt và cấu hình phần mềm SSL client software chỉ trong vài phút
2.4.1.7 Truy cập từ xa qua Windows
Có thể kết nối các người dùng sử dụng điện thoại vào mạng công ty dễ dàng bằng cách sử dụng các giao thức của Windows:
PPTP (Point-To-Point Tunneling Protocol)
o Hỗ trợ mã hóa cao (128 bit)
o Chứng thực nội bộ hoặc thông qua RADIUS
o Các giao thức chứng thực: MSCHAPv2
o Gán địa chỉ IP thông qua máy chủ DHCP hoặc một dãy IP đươc gán sẵn
o Hỗ trợ cả Windows và Apple iPhone client
Trang 16 L2TP (Layer-2-Tunneling Protocol) over IPSec
o Chứng thực thông qua một chìa khóa chung hoặc chứng chỉ X.509
o Chứng thực nội bộ hoặc thông qua RADIUS
o Các giao thức chứng thực: PAP, CHAP, MSCHAP, MSCHAPv2
o Gán địa chỉ IP thông qua máy chủ DHCP hoặc một dãy IP đươc gán sẵn
o Hỗ trợ cả Windows và Apple iPhone client
HTML5
o Dễ dàng kết nối thông qua trình duyệt web, không đòi hỏi cài đặt Java,
Active-X
o Hỗ trợ FDP, VNC, SSH, Telnet, WebUI và WebApps
o Hỗ trợ các thiết bị di động (IOS, Android)
2.4.1.8 Xác thực qua danh bạ (Directory )
Sophos UTM có thể xác thực dễ dàng với các hệ thống khác nhờ công nghệ tích hợp nhiều hệ thống như :
Trang 17 Hỗ trợ Windows Server 2008
2.4.1.9 Hệ thống UserPortal
Tính năng UserPortal trên web của Sophos UTM đưa ra nhiều tùy chọn cho người dùng cuối để theo dõi và giám sát, do đó giúp giảm thiểu khối lượng công việc của quản trị viên trong việc giải quyết các truy vấn của người dùng
Mục cách ly Mail SMTP / POP3
o Tìm kiếm, xem, phát hành, tải về, xóa thư rác và thư của bạn trong phần cách ly
cá nhân
Mục báo cáo thư cá nhân
o Dẽ dàng có được cái nhìn tổng quan về lưu lượng mail
Mục danh sách trắng cho cá nhân
o Các địa chỉ trong danh sách trắng sẽ được gửi đi mà không cần phải qua bộ quét
Mục quản lý tài khoản POP3
o Các tài khoản sẽ được quản lý thông qua Sophos UTM để lọc spam và quét virus
Mục tải về gói truy cập từ xa bao gồm phần mềm VPN Client, tập tin cấu hình
và giấy chứng nhận cho:
o L2TP, PPTP, SSL, IPSec
Toàn diện Hỗ trợ Ngôn ngữ
o Có sẵn 15 ngôn ngữ địa phương
o Có thể tùy chỉnh trang đăng nhập
Trang 18Hình 6 Mail Management
2.4.2 Bảo mật hệ thống thư điện tử ( UTM Mail Protection )
Trang 19Ngăn chặn virus, thư rác, các dạng lừa đảo qua mạng và chống mât mát thông tin
các email nhạy cảm từ internet
Mô hình mail flow tham khảo
Tính năng Mail Protection giúp lọc thư rác và quét virus trước khi mail đi đến người dùng cuối giúp người dùng tránh được các nguy cơ đến từ thư rác, virus, các dạng lừa đảo qua mạng (phishing) và chống mất mát thông tin của email nhạy cảm thông qua tính năng mã hóa email
2.4.2.1 Chống thư rác và Antiphishing
Sophos UTM tích hợp nhiều công cụ lọc uy tín và mẫu thư rác, làm tăng độ dò tìm chính xác khi quét thư rác
Phát hiện và sắp xếp các email SMTP và POP3 không được yêu cầu
Có khả năng xác định thư rác cao nhất thông qua việc sử nhiều phương pháp để xác định thư rác:
o Reputation service with spam outbreak monitoring based
on patented Recurrent-Pattern-Detection technology
o Advanced spam detection techniques: RBL, heuristics, SPF checking, BATV, URL scanning, grey listing, RDNS/HELO checks, expression filter and recipient verification
o Block spam and malware during the SMTP transaction
o Global & per-user domain and address black/white lists
o Recipient Verification against Active Directory account
Trang 20o E-mail scanning with SMTP and POP3 support
o Dual antivirus engines (Sophos & Avira)
o Archived and compressed attachment scanning with deep-level support
o Scan embedded mail formats: Block malicious and unwanted files with MIME type checking
o Quarantine unscannable or over-sized messages
o Filter mail for unlimited domains and mailboxes
o Automatic signature and pattern updates
o SPF (Sender Policy Framework) record checking*
Quản lý linh hoạt
o User-quarantine reports mailed out daily at customizable times
o Log Management service support
o Customizable User Portal for end-user mail management, in 15 languages
o Anonymization of reporting data to enforce privacy policy
o Over 50 Integrated reports
o PDF and CSV exporting of reports
o Customizable email footers and disclaimers
o Setup wizard and context sensitive online help
Chống lừa đảo qua mạng (Antiphishing)
o Chống thư rác lừa đảo thông qua các signature có sẵn trong danh mục được xem là nguy hiểm
o Phát hiện và ngăn chặn các URL mới nhất giả mạo ngay trong email
o Ngăn chặn tự động tải về các tập tin, hình ảnh, quảng cáo ngay trong email
Giao diện quản lý người dùng UserPortal với trên 15 ngôn ngữ giúp báo cáo cho người dùng biết các email đã bị chặn và cho phép người dùng tự chọn hành động đối với email đó
2.4.2.2 Quét virus
Công nghệ chống virus đáng tin cậy của Sophos và Avira quét và phát hiện ngay cả bên trong tập tin đính kèm giúp ngăn chặn virus, sâu, trojan, và phần mềm độc hại trong email trước khi chúng đi đến máy chủ hoặc người dùng cuối
Sử dụng nhiều phương pháp nhận diện Virus
o Phân tích hành động
o Dựa trên database có sẵn
Quét HTTP, HTTPS, FTP, SMTP và POP3
Quét SMTP có mã hóa
Trang 21 Cơ sở dữ liệu khổng lồ :
o Hơn 800.000 mẫu virus
o Thường xuyên cập nhật tự động qua hệ thống Up2Date
Quản lý linh hoạt
o Có thể chỉ định định dạng file và nội dung để ngăn chặn
o Email và file đính kèm có thể bị chặn, với các tin nhắn phản hồi đến người gửi
để người gửi có thể kiểm tra lại
2.4.2.3 Mã hóa thư điện tử và chống thất thoát dữ liệu (Email Encryption and DLP)
Công nghệ mã hóa thư điện tử của Sophos UTM cho phép các doanh nghiệp có thể mã hóa các mail nhạy cảm trước khi gửi ra ngoài
Mã hóa và chữ ký điện tử cho email SMTP
o Hỗ trợ OpenPGP và S/MIME
o Patent-pending SPX encryption for oneway message encryption
Ẩn hoàn toàn với người dùng
o Transparent en-/decryption and digital signing for SMTP e-mails
o Không yêu cầu cài đặt phần mềm trên máy tính người dùng
Dễ dàng cài đặt
o Chỉ cần ba bước để cấu hình
Trung tâm quản lý các key và chứng nhận
o Không cần phải có key và chứng nhận tại máy người dùng
Cho phép quét Virus các SMTP email đã mã hóa
DLP engine với chức năng tự động scan emails và file đính kèm với nội dung nhạy cảm
Pre-packaged sensitive data type content control lists (CCLs) for PII, PCI,
HIPAA, and more, maintained by SophosLabs
Hỗ trợ đầy đủ chuẩn X.509
Hình 7 Email Encryption
