Phân tích chính sách an toàn an ninh: phải phân tích được chính sách an ninh hiện
hành và cung cấp các cảnh báo đối với việc mất an toàn hoặc không hoàn thiện chính
sách. Đánh giá này bao gồm:
• Đánh giá rủi ro và kếhoạch hoạt động liên tục
• Đánh giá vềthủtục và chính sách đối với quyền của quản trịviên
• Đánh giá độan toàn vềchính sách của FW và router
• Đánh giá chính sách truy nhập từxa.
• Đánh giá chính sách tìm kiếm và lưu trữchứng cứ
• Đánh giá tình hình phát hiện xâm nhập
• Đềxuất chính sách an ninh
16 trang |
Chia sẻ: aloso | Lượt xem: 2421 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Đề xuất một số giải pháp an ninh mạng và phòng chống virus cho trung tâm tích hợp dữ liệu 112, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
MÔT SỐ ĐỊNH HƯỚNG XÂY DỰNG
HỆ THỐNG BẢO ĐẢM AN TOÀN AN NINH
CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU
CHƯƠNG TRÌNH 112
Tháng 6-2004
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
2
MÔT SỐ ĐỊNH HƯỚNG XÂY DỰNG
HỆ THỐNG BẢO ĐẢM AN TOÀN AN NINH CHO
TRUNG TÂM TÍCH HỢP DỮ LIỆU
1. Hệ thống kiểm soát truy nhập
1.1. Các nguyên tắc định hướng để lựa chọn hệ thống kiểm
soát truy nhập:
• Hệ thống có khả năng kiểm soát chính sách truy nhập hệ thống trên cơ sở kiểm
tra IP nguồn, IP đích hoặc trên cơ sở kiểm tra Username và Password
• Kiểm soát gói tin từ mức 3 đến mức 7 theo mô hình OSI, đảm bảo kiểm soát gói
tin từ lớp mạng đến cả trên tầng ứng dụng.
• Hệ thống kiểm soát có tính bảo mật cao, có nhiều tính năng an toàn an ninh.
• Có tính năng quản lý, quản trị tập trung về chính sách an ninh và cảnh báo, log.
• Đảm bảo bảo vệ theo chiều sâu với nhiều tầng kiểm soát.
• Cung cấp khả năng chuyển địa chỉ nội bộ thành địa chỉ public (NAT)
• Cung cấp tính năng tạo cổng mã hoá VPN.
• Tích hợp trên nền phần cứng chuyên dụng để giảm thiểu nguy cơ bị xâm nhập và
phá hoại do lỗ hổng bảo mật của hệ điều hành, đồng thời giảm chi phí bảo hành,
bảo trì hệ điều hành.
• Có khả năng phòng chống các tấn công như DoS, DDoS, SYNFlood, ... từ phía
mạng không tin cậy.
• Lọc nội dung, kiểm soát truy nhập trên cơ sở lọc URL.
• Có độ sẵn sàng cao (High Avaibility)
• Đảm bảo băng thông cho hệ thống trong trường hợp có áp dụng VPN
• Tích hợp tốt với các thành phần an ninh khác của hệ thống như hệ thống phòng
chống virus (anti-virus), hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS)
• Có khả năng thay thế nhanh cả phần cứng và phần mềm.
• Có sự hỗ trợ tốt nhất của nhà cung cấp về cài đặt, triển khai, sửa lỗi bảo trì bảo
hành
1.2. Giải pháp đề nghị áp dụng:
1.2.1. Mô hình trung tâm nhỏ
1.2.1.1. Vị trí lắp đặt:
Sử dụng 02 firewall bảo vệ:
1. Firewall thứ nhất chuyên để quản lý truy cập Internet
2. Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
3
CPNet
Internet
SWITCH
Server ServerServer
Internal Network
Firewall1
Safe@225U
PC PCLaptop
Firewall2
Safe@225U
DE XUAT MO HINH BAO VE MANG BANG FIREWALL
CHO DUONG INTERNET VA CPNET
Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị. Khi một firewall bị
lỗi vẫn không ảnh hưởng đến các kết nối trên firewall còn lại
1.2.1.2. Các tính năng đạt được:
Các tính năng firewall
• Thông lượng firewall đạt tốc độ tới 150Mbps
• Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps. Hỗ trợ cả hai mô hình
kết nối VPN client-to-site và site-to-site
• Hỗ trợ tới 8000 kết nối đồng thời
• Hỗ trợ khả năng sẵn sàng cao High Availability
Các tính năng kĩ thuật:
• Kiểm soát truy cập
o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng
o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)
• Biên dịch địa chỉ:
o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài
o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa
chỉ card mạng bên ngoài
1.2.2. Mô hình trung tâm trung bình
1.2.2.1. Vị trí lắp đặt
Sử dụng 03 firewall bảo vệ:
1. Firewall thứ nhất chuyên để quản lý truy cập Internet
2. Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet
3. Firewall thứ ba chuyên để bảo vệ các máy bên trong mạng
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
4
CPNet Internet
SWITCH
FTP Server Mail ServerWeb Server
DMZ Network
Firewall3
Celestix
FV930
SWITCH
Admin PointComputer Computer
ComputerComputer Laptop
Internal Network
Firewall1
Safe@225U
Firewall2
Safe@225U
DE XUAT MO HINH BAO VE MANG BANG FIREWALL
CHO VUNG DMZ, DUONG INTERNET VA CPNET
Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị. Khi một firewall bị
lỗi vẫn không ảnh hưởng đến các kết nối trên firewall còn lại. Ngoài ra, firewall thứ ba sẽ làm
tăng độ bảo mật của hệ thống, tạo thêm một lớp bảo vệ nữa cho các máy bên trong mạng
1.2.2.2. Các tính năng đạt được
Các tính năng firewall
1. Firewall bảo vệ bên ngoài:
o Thông lượng firewall đạt tốc độ tới 150Mbps
o Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps. Hỗ trợ cả hai mô
hình kết nối VPN client-to-site và site-to-site
o Hỗ trợ tới 8000 kết nối đồng thời
o Hỗ trợ khả năng sẵn sàng cao High Availability
2. Firewall bảo vệ bên trong:
o Thông lượng firewall đạt tốc độ tới 220Mbps
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
5
o Firewall có sẵn tính năng VPN với tốc độ xử lý đến 54 Mbps. Hỗ trợ cả hai
mô hình kết nối VPN client-to-site và site-to-site
o Chạy trên phần cứng chuyên dụng với hệ điều hành đã được làm cứng hoá.
Các tính năng kĩ thuật:
• Kiểm soát truy cập
o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng
o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)
• Biên dịch địa chỉ:
o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài
o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa
chỉ card mạng bên ngoài
• Chống tấn công
o Chống lại các tấn công mới nhất tại tầng ứng dụng. Firewall lớp 2 phải có khả
năng cập nhật các mẫu tấn công mới nhất.
1.2.3. Mô hình trung tâm lớn
1.2.3.1. Vị trí lắp đặt
Sử dụng 03 firewall bảo vệ:
1. Firewall thứ nhất chuyên để quản lý truy cập Internet
2. Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet
3. Firewall thứ ba chuyên để bảo vệ các máy bên trong mạng, bảo vệ vùng máy chủ
quan trọng
CPNet Internet
Firewall1
Safe@225U
Firewall2
Safe@225U
SWITCH
FTP Server Mail ServerWeb Server
DMZ Network
Firewall3
Resilience
4510
SWITCH
May chu quan tri
tap trung
cua Check Point
Computer Computer
ComputerComputer
Laptop
PC Zone
DataBase Server APP Server
SWITCH
DE XUAT MO HINH BAO VE MANG BANG FIREWALL
CHO VUNG DMZ, VUNG CAC MAY CHU, DUONG INTERNET VA CPNET
Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị. Firewall thứ ba sẽ
làm tăng độ bảo mật của hệ thống, tạo thêm một lớp bảo vệ nữa cho các máy bên trong mạng,
các máy chủ quan trọng
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
6
1.2.3.2. Các tính năng đạt được
Các tính năng firewall
Firewall bảo vệ bên ngoài:
o Thông lượng firewall đạt tốc độ tới 150Mbps
o Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps. Hỗ trợ cả hai mô
hình kết nối VPN client-to-site và site-to-site
o Hỗ trợ tới 8000 kết nối đồng thời
o Hỗ trợ khả năng sẵn sàng cao High Availability
Firewall bảo vệ bên trong:
Đảm bảo hoạt động với tốc độ cao, khả năng sẵn sàng cao
o Thông lượng firewall đạt tốc độ tới 600Mbps
o Firewall có sẵn tính năng VPN với tốc độ xử lý đến 200 Mbps AES/MD5. Hỗ
trợ cả hai mô hình kết nối VPN client-to-site và site-to-site
o Chạy trên phần cứng chuyên dụng với hệ điều hành đã được làm cứng hoá.
Các tính năng kĩ thuật:
• Kiểm soát truy cập
o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng
o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)
• Biên dịch địa chỉ:
o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài
o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa
chỉ card mạng bên ngoài
• Chống tấn công
Firewall lớp 2 phải có khả năng chống lại các tấn công mới nhất tại tầng ứng
dụng, khả năng cập nhật các mẫu tấn công mới nhất.
• Khả năng sẵn sàng cao: Firewall lớp 2 phải gồm hai module chạy theo chế độ active-
standby. Khi một module bị hỏng, module còn lại sẽ tự động thay thế mà không cần
sự can thiệp của người quản trị. Khi cần có thể nâng cấp lên hoạt động với mô hình
active-active
2. Hệ thống phát hiện và phòng chống xâm nhập
2.1. Các nguyên tắc lựa chọn hệ thống phát hiện và phòng
chống xâm nhập
• Phát hiện và phòng chống được các kiểu xâm nhập trái phép, luôn luôn được cập
nhật các kỹ thuật phòng chống xâm nhập mới nhất
• Có khả năng bố trị tại nhiều vùng khác nhau trong hệ thống: vùng DMZ, vùng
Core, vùng LAN ... hoặc theo dõi xâm nhập tại gateway, tại server, tại từng PC.
• Có khả năng kiểm soát nhiều giao thức khác nhau
• Không ảnh hưởng/Ảnh hưởng ít nhất đến băng thông của hệ thống
• Có khả năng chủ động chống lại các tấn công, xâm nhập một cách tự động.
• Không đưa ra/Ít đưa ra các cảnh báo sai về xâm nhập (low false positive)
• Quản trị tập trung hệ thống phát hiện và phòng chống xâm nhập, có khả năng
thực hiện đánh giá tương quan giữa các sự kiện về an toàn an ninh tại các vị trí
khác nhau trong hệ thống.
• Tích hợp tốt với các thành phần an ninh khác của hệ thống như hệ thống phòng
chống virus (anti-virus), hệ thống kiểm soát truy nhập (firewall)
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
7
• Tích hợp trên nền phần cứng chuyên dụng để giảm thiểu nguy cơ bị xâm nhập và
phá hoại do lỗ hổng bảo mật của hệ điều hành, đồng thời giảm chi phí bảo hành,
bảo trì hệ điều hành.
• Có khả năng thay thế nhanh cả phần cứng và phần mềm.
• Có sự hỗ trợ tốt nhất của nhà cung cấp về cài đặt, triển khai, sửa lỗi, bảo trì bảo
hành
2.2. Giải pháp đề nghị áp dụng
2.2.1. Mô hình trung tâm nhỏ
2.2.1.1. Vị trí lắp đặt
Sử dụng thiết bị phát hiện và phòng chống xâm nhập đặt ở mức gateway, phía trước
mạng LAN
Internet/CPNet
SWITCH
Server ServerServer
Internal Network
Firewall
PC PCLaptop
Proventia
M30
2.2.1.2. Các tính năng đạt được
• Sử dụng kỹ thuật phát hiện và ngăn chặn tấn công hơn 2500 kiểu kiểm tra để ngăn
chặn các tấn công mà không ảnh hưởng tới các traffic thông thường.
• Chống báo động giả.
• Chính sách an ninh mặc định bao gồm 160 luật thiết lập sẵn, có khả năng chống các
tấn công hỗn hợp của virus như MS Blaster, SQL Slammer, Nimda, Code Red… mà
không cần đến trình độ cao của người quản trị.
• Đáp ứng được cho mạng có quy mô đến 500 người sử dụng
• Hoạt động với tốc độ lên tới 200 Mbps
• Thiết bị phần cứng trên nền Intel, theo chuẩn Rack- Mount
• Hệ thống quạt, nguồn dự phòng đảm bảo an toàn cho dữ liệu trước các lỗi phần cứng.
• Triển khai quản trị mềm dẻo : quản trị riêng lẻ qua WebUI , quản trị tập trung bởi
phần mềm Site Protector
• Có thể mở rộng thêm các tính năng an ninh ở gateway như lọc nội dung hoặc chống
thư rác.
2.2.2. Mô hình trung tâm trung bình
2.2.2.1. Vị trí lắp đặt
Sử dụng một thiết bị phát hiện và phòng chống xâm nhập đặt sau firewall, các thiết bị
này có nhiệm vụ kiểm soát các tấn công và xâm nhập ở mức gateway. Thiết bị dạng
này sẽ ngặn chặn được các tấn công vào máy chủ mail, máy chủ web, máy chủ cơ sở
dữ liệu ...
Khi các xâm nhập lọt qua, các thiết bị này sẽ tự động loại bỏ các kết nối hoặc block
các gói tin được sử dụng để tấn công.
Các thiết bị dạng này có thể hoạt động ở chế độ chặn bắt các gói tin được cho là nguy
hiểm hoặc ở chế độ chỉ đưa ra các cảnh báo cho quản trị viên hệ thống về các tấn công
và xâm nhập đã xảy ra.
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
8
Internet/CPNet
SWITCH
FTP Server Mail ServerWeb Server
DMZ Network
Proventia
G200
Firewall
SWITCH
Admin PointComputer Computer
ComputerComputer Laptop
Internal Network
Firewall
Server
Sensor
Server
Sensor
Server
Sensor
Site Protector
2.2.2.2. Các tính năng đạt được
A-Thiết bị phòng chống xâm nhập hoạt động ở mức gateway:
• Thiết bị hoạt động trong chế độ inline để đưa ra các cảnh báo về xâm nhập và tự động
có các hành động chống lại xâm nhập, không cần tác động của quản trị viên hệ thống
• Đảm bảo hoạt động với tốc độ lên tới 200 Mbps
• Phân tích và lọc dữ liệu ở lớp Application
• Bảo vệ 1 Segment 10/100/1000
• Kích cỡ 1U rack-mount
• Đảm bảo tính ổn định với nguồn dự phòng
• Thiết bị không có địa chỉ IP trên mạng, hạn chế được các tấn công vào chính thiết bị
• Ngăn chặn các tấn công không ngăn chặn được bằng các firewall thông thường như:
Kazaa , Gnutella, Grokster, Morpheus, iMesh, các tấn công tận dụng điểm yếu bảo
mật của AOL Instant Messenger, MSN Messenger, Yahoo Messenger...
• Phát hiện các xâm nhập lọt qua sự kiểm soát của firewall
B-Phần mềm phòng chống xâm nhập cho máy chủ
• Chống lại các tấn công vào hệ điều hành của server
• Phát hiện các dò tìm bất hợp pháp, các thay đổi cấu hình dẫn tới mất an toàn hệ thống,
các hành vi thay đổi nội dung trang Web, các cuộc tấn công DoS, các hành vi tạo ra
backdoor...
• Chặn các tấn công không theo giao thức IP
• Chống các tấn công dạng DoS, DDoS
• Chống lại các hành vi trinh sát tấn công, thu thập thông tin bất hợp pháp.
• Các hình thức đáp trả tấn công:
o Ngắt session gây ra tấn công
o Cấm user hoạt động
o Thực hiện các chương trình được định nghĩa trước để chống tấn công
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
9
o Block các gói tin bị nghi là dùng để tấn công, trinh sát
C-Phần mềm phòng chống xâm nhập cho máy trạm
• Tính năng Firewall: kiểm soát các luồng thông tin vào và ra khỏi máy được cài để
phát hiện các dấu hiệu khả nghi.
• Phát hiện xâm nhập
• Thông báo tới người sử dụng những tấn công và ngăn chặn các mối nguy hiểm
cho máy tính hay cho toàn bộ mạng.
• Thu thập các thông tin về kẻ tấn công và ghi lại như những bằng chứng về tấn
công.
• Kiểm soát ứng dụng: chống lại các ứng dụng chưa biết và những ứng dụng mang
tính phá hoại mà không làm ảnh hưởng tới các ứng dụng hay các dịch vụ bình
thưòng khác.
• Kiểm soát kết nối: chống lại các kết nối trái phép, ngăn cản những kẻ xâm nhập
trong khi những kết nối thông thường tới mạng nội bộ hoặc ra internet không bị
ảnh hưởng.
• Quản trị từ xa: làm việc với một module quản trị và thông báo tới các những
người quản trị an ninh mạng các thông tin về các sự kiện xảy ra trên từng máy cá
nhân.
• Nâng cấp, cập nhật cho từng máy được thực hiện tập trung.
• Ngăn chặn các luồng thông tin ra ngoài
• Cho phép người sử dụng hay người quản trị tập trung kiểm soát các luồng thông
tin đi ra ngoài từ các client dựa trên cổng, địa chỉ IP hay dựa trên giao thức
• Hỗ trợ sửa lỗi:
• Hỗ trợ VPN:
9 Cấm các Client không được truy cập VPN nếu các Client không cài
chương trình diệt virus hoặc các chương trình diệt Virus trên máy quá cũ,
không được cập nhật.
9 Thiết lập chính sách an ninh bắt buộc cho các VPN Client truy nhập vào
mạng.
2.2.3. Mô hình trung tâm lớn
2.2.3.1. Vị trí lắp đặt
Sử dụng hai thiết bị phát hiện và phòng chống xâm nhập đặt sau mỗi firewall, các thiết bị này
có nhiệm vụ kiểm soát các tấn công và xâm nhập ở mức gateway. Thiết bị dạng này sẽ ngặn
chặn được các tấn công vào máy chủ mail, máy chủ web, máy chủ cơ sở dữ liệu ... trong vùng
DMZ và cùng core.
Khi các xâm nhập lọt qua, các thiết bị này sẽ tự động loại bỏ các kết nối hoặc block các gói
tin được sử dụng để tấn công.
Các thiết bị dạng này có thể hoạt động ở chế độ chặn bắt các gói tin được cho là nguy hiểm
hoặc ở chế độ chỉ đưa ra các cảnh báo cho quản trị viên hệ thống về các tấn công và xâm
nhập đã xảy ra.
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
10
Internet/CPNet
SWITCH
FTP Server Mail ServerWeb Server
DMZ Network
Proventia
G200
Firewall
SWITCH
Admin PointComputer Computer
ComputerComputer Laptop
PC Zone
Firewall
Server
Sensor
Server
Sensor
Server
Sensor
Site Protector
DataBase Server APP Server
SWITCH
Third party moduleFusion Module
Server
Sensor
Server
Sensor
Desktop
Protector
Desktop
Protector
Desktop
Protector
Proventia
G200
DB & APP Zone
2.2.3.2. Các tính năng đạt được
A-Thiết bị phòng chống xâm nhập hoạt động ở mức gateway:
• Thiết bị hoạt động trong chế độ inline để đưa ra các cảnh báo về xâm nhập và tự động
có các hành động chống lại xâm nhập, không cần tác động của quản trị viên hệ thống
• Đảm bảo hoạt động với tốc độ lên tới 200 Mbps
• Phân tích và lọc dữ liệu ở lớp Application
• Bảo vệ 1 Segment 10/100/1000
• Kích cỡ 1U rack-mount
• Đảm bảo tính ổn định với nguồn dự phòng
• Thiết bị không có địa chỉ IP trên mạng, hạn chế được các tấn công vào chính thiết bị
• Ngăn chặn các tấn công không ngăn chặn được bằng các firewall thông thường như:
Kazaa , Gnutella, Grokster, Morpheus, iMesh, các tấn công tận dụng điểm yếu bảo
mật của AOL Instant Messenger, MSN Messenger, Yahoo Messenger...
• Phát hiện các xâm nhập lọt qua sự kiểm soát của firewall
B-Phần mềm phòng chống xâm nhập cho máy chủ
• Chống lại các tấn công vào hệ điều hành của server
• Phát hiện các dò tìm bất hợp pháp, các thay đổi cấu hình dẫn tới mất an toàn hệ thống,
các hành vi thay đổi nội dung trang Web, các cuộc tấn công DoS, các hành vi tạo ra
backdoor...
• Chặn các tấn công không theo giao thức IP
• Chống các tấn công dạng DoS, DDoS
• Chống lại các hành vi trinh sát tấn công, thu thập thông tin bất hợp pháp.
• Các hình thức đáp trả tấn công:
o Ngắt session gây ra tấn công
o Cấm user hoạt động
o Thực hiện các chương trình được định nghĩa trước để chống tấn công
o Block các gói tin bị nghi là dùng để tấn công, trinh sát
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
11
C-Phần mềm phòng chống xâm nhập cho máy trạm
• Tính năng Firewall: kiểm soát các luồng thông tin vào và ra khỏi máy được cài để
phát hiện các dấu hiệu khả nghi.
• Phát hiện xâm nhập
• Thông báo tới người sử dụng những tấn công và ngăn chặn các mối nguy hiểm
cho máy tính hay cho toàn bộ mạng.
• Thu thập các thông tin về kẻ tấn công và ghi lại như những bằng chứng về tấn
công.
• Kiểm soát ứng dụng: chống lại các ứng dụng chưa biết và những ứng dụng mang
tính phá hoại mà không làm ảnh hưởng tới các ứng dụng hay các dịch vụ bình
thưòng khác.
• Kiểm soát kết nối: chống lại các kết nối trái phép, ngăn cản những kẻ xâm nhập
trong khi những kết nối thông thường tới mạng nội bộ hoặc ra internet không bị
ảnh hưởng.
• Quản trị từ xa: làm việc với một module quản trị và thông báo tới các những
người quản trị an ninh mạng các thông tin về các sự kiện xảy ra trên từng máy cá
nhân.
• Nâng cấp, cập nhật cho từng máy được thực hiện tập trung.
• Ngăn chặn các luồng thông tin ra ngoài
• Cho phép người sử dụng hay người quản trị tập trung kiểm soát các luồng thông
tin đi ra ngoài từ các client dựa trên cổng, địa chỉ IP hay dựa trên giao thức
• Hỗ trợ sửa lỗi:
• Hỗ trợ VPN:
9 Cấm các Client không được truy cập VPN nếu các Client không cài
chương trình diệt virus hoặc các chương trình diệt Virus trên máy quá cũ,
không được cập nhật.
• Thiết lập chính sách an ninh bắt buộc cho các VPN Client truy nhập vào mạng.
3. Hệ thống phòng chống virus
3.1. Các nguyên tắc lựa chọn hệ thống phòng chống virus
3.1.1. Phân tích nguy cơ
Phòng chống virus là một trong những nhiệm vụ quan trọng nhất của hệ thống bảo
đảm an toàn-an ninh cho hệ thống mạng máy tính. Hiện nay, virus được xếp trong
những nguy cơ hàng đầu ảnh hưởng an ninh của hệ thống mạng. Các nguy cơ đối với
mạng máy tính do virus gây ra bao gồm:
• Phá hủy, làm sai lệch các file dữ liệu, các cơ sở dữ liệu.
• Phá hoại các file hệ thống, làm ngừng trệ sự hoạt động của hệ thống.
• Tạo ra backdoor trên hệ thống, tạo điều kiện để hacker thâm nhập hoặc sử
dụng hệ thống một cách bất hợp pháp.
• Đánh cắp mật khẩu.
• Gây tắc nghẽn trên mạng.
Hậu quả của các nguy trên trên gây ra cho một cơ quan, một tổ chức là:
• Ảnh hưởng đến chất lượng làm việc, chất lượng công tác chuyên môn của
cơ quan do hệ thống CNTT ngừng hoạt động.
• Gây thất thoát thông tin, lộ bí mật công tác, bí mật kinh doanh.
• Tốn kém về chi phí, trong đó bao gồm chi phí để khôi phục hệ thống, chi
phí do việc ngừng trệ sự hoạt động của hệ thống, chi phí về đường truyền.
• Làm mất uy tín do việc dừng phục vụ của hệ thống.
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
12
Một số hậu quả trên có thể định lượng được bằng chi phí nhưng một số hậu quả
không thể định lượng bằng chi phí.
3.1.2. Các nguyên tắc để lựa chọn:
Để lựa chọn sử dụng sản phẩm chống virus cho TTTH, cần xem xét các tính năng sau
đây, đặc biệt là các tính năng về bảo mật và quản trị
• Có khả năng ngăn chặn và diệt virus tại toàn bộ các thành phần của mạng trong
hệ thống:
9 Ngăn chặn sự lan truyền và lây nhiễm các đoạn mã có hại qua cổng internet.
9 Bảo vệ hệ thống server trước sự tấn công của virus.
9 Ngăn chặn sự lây nhiễm virus qua thư điện tử.
9 Ngăn chặn lây nhiễm virus qua FTP server.
9 Bảo vệ các PC trước sự tấn công của virus.
9 Ngặn chặn sự lan truyền của virus trong mạng LAN/WAN.
9 Chống thư rác (Spam)
• Có giải pháp quản trị hệ thống chống virus một cách tập trung, đồng bộ tại
TTTH, tuy nhiên vẫn có các quản trị viên cấp dưới với một số quyền hạn nhất
định.
• Hệ thống chống virus phải được cập nhật kịp thời, nhanh chóng, có dịch vụ tốt từ
nhà cung cấp.
• Có các giải pháp phòng chống, ngăn chặn việc bùng nổ và lây lan virus trước khi
có mẫu diệt virus của nhà cung cấp sản phẩm.
• Hệ thống chống virus thường xuyên được kiểm tra, kiểm soát tính toàn vẹn.
• Có giải pháp cập nhật, nâng cấp tập trung.
3.2. Giải pháp đề nghị áp dụng
3.2.1. Mô hình trung tâm nhỏ
3.2.1.1. Vị trí lắp đặt
Internet/CP net
SWITCH
Mail Server ServerServer
Internal Network
Firewall
PC PCLaptop
ScanMail
TMCM+ IWSS
+OSCE Server
AV Server
IMSS+
Information Server
AV Server
ServerProtect ServerProtect
OfficeScan
S¬ ®å l«gic hÖ thèng AV cho mét tØnh cã quy m« hÖ thèng m¹ng ë møc nhá
Đối với mô hình trung tâm nhỏ chúng ta bố trí 2 máy tính để làm máy chủ antivirus
1 máy: để cài
o Thành phần chống virus tại gate way cho luồng HTTP và FTP;
o Thành phần server của chương trình phòng chống virus cho các máy trạm
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
13
o Thành phần trị trị tập trung toàn bộ hệ thống Antivirus
1 máy: để cài
o Thành phần chống virus tại gate way cho luồng SMTP;
o Thành phần server của chương trình phòng chống virus cho các Server
Triển khai thành phần bảo vệ Mail Server trên chính máy Mail Server.
Triển khai thành phần bảo vệ cho các Server trên chính các máy Server cần được bảo
vệ.
Triển khai thành phần bảo vệ cho các máy trạm trên chính các máy trạm.
3.2.1.2. Các tính năng đạt được
Phòng chống virus tại cả 4 lớp mạng: Gateway, Mail Server, các Server, các máy
trạm.
Quản trị tập trung được cả hệ thống Antivirus, quản lý áp đặt các chính sách phòng
chống virus một cách tập trung thống nhất.
Với các máy trạm là một trong những thành phần có số lượng đông đảo trong mạng
và cũng khó quản lý nhất, thì với giải pháp này ngoài chống virus trên các máy trạm theo các
chế độ quét: theo thời gian thực, quét theo lịch, quét bằng tay, thậm chí có thể quét cả luồng
mail POP3 tại máy trạm. Và còn có khả năng phân quyền cho không sử dụng để đảm bảo họ
không tự ý gỡ bỏ hoặc không sử dụng chương trình phòng chống virus.
Cập nhật tự động, tiết kiệm được chi phí truy cập internet khi cập nhật
Có thể tạo được các báo cáo tự động về tình trạng của hệ thống phòng chống virus
cũng như tình trạng phòng chống virus trong cả hệ thống mạng.
3.2.2. Mô hình trung tâm trung bình
3.2.2.1. Vị trí lắp đặt
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
14
Internet/CP net
SWITCH
FTP Server Mail ServerWeb Server
DMZ Network
Firewall
SWITCH
Computer Computer
ComputerComputer Laptop
Internal Network
Firewall
ServerProtect IMSS
AV Server
TMCM
+ IWSS
AV Server
OSCE Server+
Information Server
AV Server
ServerProtect ScanMail
OfficeScan
OfficeScan
S¬ ®å l«gic hÖ thèng AV cho mét tØnh cã quy m« hÖ thèng m¹ng ë møc trung b×nh
Đối với mô hình trung tâm trung bình chúng ta bố trí 3 máy tính để làm máy chủ
antivirus
1 máy: để cài
o Thành phần chống virus tại gate way cho luồng SMTP;
1 máy: để cài
o Thành phần chống virus tại gate way cho luồng HTTP và FTP;
o Thành phần trị trị tập trung toàn bộ hệ thống Antivirus
1 máy: để cài
o Thành phần server của chương trình phòng chống virus cho các máy trạm;
o Thành phần server của chương trình phòng chống virus cho các Server
Triển khai thành phần bảo vệ Mail Server trên chính máy Mail Server.
Triển khai thành phần bảo vệ cho các Server trên chính các máy Server cần được bảo
vệ.
Triển khai thành phần bảo vệ cho các máy trạm trên chính các máy trạm.
3.2.2.2. Các tính năng đạt được
Phòng chống virus tại cả 4 lớp mạng: Gateway, Mail Server, các Server, các
máy trạm.
Quản trị tập trung được cả hệ thống Antivirus, quản lý áp đặt các chính sách
phòng chống virus một cách tập trung thống nhất.
Với các máy trạm là một trong những thành phần có số lượng đông đảo trong
mạng và cũng khó quản lý nhất, thì với giải pháp này ngoài chống virus trên các máy
trạm theo các chế độ quét: theo thời gian thực, quét theo lịch, quét bằng tay, thậm chí
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
15
có thể quét cả luồng mail POP3 tại máy trạm. Và còn có khả năng phân quyền cho
không sử dụng để đảm bảo họ không tự ý gỡ bỏ hoặc không sử dụng chương trình
phòng chống virus.
Cập nhật tự động, tiết kiệm được chi phí truy cập internet khi cập nhật
Có thể tạo được các báo cáo tự động về tình trạng của hệ thống phòng chống
virus cũng như tình trạng phòng chống virus trong cả hệ thống mạng.
4. Bộ công cụ đánh giá mức độ an toàn an ninh cho hệ
thống
1. Đánh giá điểm yếu an toàn - an ninh của các dịch vụ chuyên
nghiệp của tổ chức:
9 Tấn công trắc nghiệm hệ thống mạng từ bên ngoài: sản phẩm phải đánh giá được
độ an toàn an ninh của một mạng máy tính có kết nối Internet. để xác định nguy cơ bị
tấn công từ xa của hệ thống này. Sản phẩm phải cung cấp thông tin chi tiết về các
điểm yếu được phát hiện và phương thức để khác phục các điểm yếu đó. Sản phẩm
phải có khả năng:
• Khảo sát mạng, tìm dấu vết:
Liệt kê các hành động của mạng
Thiết lập topology của mạng trên cơ sở việc quét DNS, IP và host name.
Nhận diện các host
Dò quét các dịch vụ trên các host
• Dò quét các máy chủ nhằm:
Phát hiện các điểm yếu an ninh của máy chủ mail
Phát hiện các điểm nhậy cảm là mục tiêu của các tấn công ác ý
Phát hiện các thực thi TFTP và FTP không an toàn
Phát hiện các điểm yếu NetBIOS, SMB
Phát hiện các điểm yếu của dịch vụ RPC
Phát hiện các điểm yếu của HTTP, CGI
• Đánh giá về mặt an ninh các cố gắng truy nhập vào máy chủ với quyền quản
trị.
• Đánh giá về mặt an ninh các cố gắng nâng quyền truy nhập vào máy chủ của
các user.
9 Đánh giá độ an toàn an ninh của các ứng dụng Web: phải đánh giá được các mức
độ an ninh của các ứng dụng Web đang thực thi. Có phương pháp để kiểm tra và
đánh giá một giải rộng các điểm yếu an ninh. Các tác vụ phải phát hiện hoặc có khả
năng:
• Xác định quyền hạn sử dụng thư mục ảo
• Các cố gắng khai thác lỗi ký tự đặc biệt, các bug trong hệ thống
• Xác định các tấn công kiểu: meta character, buffer overflows, hex value ...
• Xác định và nhận diện các vấn đề tiềm ẩn làm mất tính riêng tư do sử dụng
cookie
• Xác định và nhận diện các vấn đề tiềm ẩn làm mất tính riêng tư do sử dụng dữ
liệu không mã hoá
9 Đánh giá các lỗ hổng do các kết nối dial-up: phải đánh giá được các kết nối dialup
không có quyền trong hệ thống. Các kết nối này thường sẽ gây ra các lỗ hổng bảo mật
(back door) cho hệ thống. Tất cả các modem đã được nhận diện sẽ được kiểm tra để
xác định các chế độ bảo mật thích hợp, các điểm yếu đã được nhận diện sẽ được
report kịp thời. Kỹ thuật này phải bao gồm:
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - intecom@minhvietco.com, thachvb@misoft.com.vn
”Security Made Easy”
16
• Xác định dấu vết của số điện thoại để nhận diện vùng tấn công
• Phân loại các số tham gia tấn công bởi xác định domain
• Kiểm tra an ninh để nhận diện các số bị lợi dụng
• Thể hiện log của các tấn công
9 Phân tích chính sách an toàn an ninh: phải phân tích được chính sách an ninh hiện
hành và cung cấp các cảnh báo đối với việc mất an toàn hoặc không hoàn thiện chính
sách. Đánh giá này bao gồm:
• Đánh giá rủi ro và kế hoạch hoạt động liên tục
• Đánh giá về thủ tục và chính sách đối với quyền của quản trị viên
• Đánh giá độ an toàn về chính sách của FW và router
• Đánh giá chính sách truy nhập từ xa.
• Đánh giá chính sách tìm kiếm và lưu trữ chứng cứ
• Đánh giá tình hình phát hiện xâm nhập
• Đề xuất chính sách an ninh
2. Thực hiện dịch vụ quản lý điểm yếu: công cụ phải đánh giá điểm yếu theo
chu kỳ. Phải quản lý được lỗ hổng bảo mật cho host để đánh giá điểm yếu bảo
mật khi mạng đương đầu với tấn công từ Internet. Có khả năng lượng hoá để
đánh giá mức độ an toàn của hệ thông theo thang điểm FoundScore.
3. Bảo đảm vận hành cho hệ thống:
9 Hệ thống phải được cập nhật thường xuyên
9 Phải có chứng nhận của một đối tác độc lập về mức độ an toàn an ninh của hệ
thống.
Các file đính kèm theo tài liệu này:
- MỘT SỐ HƯỚNG ĐÃN XÂY DỰNG HỆ THỐNG BẢO ĐẢM AN TOÀN, AN NINH CHO TRUNG TÂM TÍCH HỢP DỰ LIỆU chương trình 112.pdf