Giải pháp bảo mật cho các doanh nghiệp khối ngân hàng

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI -o0o— - LUẬN VĂN THẠC SỸ KHOA HỌC GIẢI PHÁP BẢO MẬT MẠNG CHO CÁC DOANH NGHIỆP KHỐI NGÂN HÀNG NGÀNH: KỸ THUẬT ĐIỆN TỬ MÃ SỐ: NGUYỄN DUY KHÁNH Người hướng dẫn khoa học: PGS.TS NGUYỄN THỊ VIỆT HƯƠNG Hà Nội 2007 -1- Mục lục Mục lục .1 Các hình vẽ bảng biểu Lời nói đầu Phần Công nghệ bảo mật Chương Cơ sở lý thuyết 1.1 Tổng quan về mô hình TCP/IP 1.2 Cấu trúc tiêu đề gói tin IP 10 1.3 Cấu trúc gói tin TCP 18 1.4 Cấu trúc gói tin UDP 24 1.5 Cấu trúc gói tin ICMP .26 Chương Công nghệ firewall 29 2.1 Tổng quan vể firewall .29 2.1.1 Định nghĩa 29 2.1.2 Chức 29 2.1.3 Các thành phần của firewall 30 2.2 Các công nghệ sử dụng firewall 29 2.2.1 Cơng nghệ lọc gói tin (Packet filtering) 31 2.2.2 Công nghệ lọc gói có lưu trạng thái kết nới (Stateful filtering) 32 2.2.3 Công nhệ Application proxy 32 2.3 Kiến trúc của firewall .33 2.4 Một số mô hình triển khai firewall 34 2.4.1 Mô hình mạng nhỏ dùng một firewall .34 2.4.2 Mơ hình mợt firewall có cung cấp dịch vụ ngoài ( Basic Network, Single Firewall, and Bastion Host) 35 2.4.3 Mô hình một firewall với một vùng DMZ 36 2.4.4 Mô hình hai firewall với một vùng DMZ 38 Chương Hệ thống phát hiện xâm nhập IDS 40 3.1 Khái niệm hệ thống phát hiện xâm nhập IDS 40 3.2 Cơ chế hoạt động của IDS 41 3.2.1 Phân tích gói tin 41 3.2.2 Phát hiện xâm nhập 44 3.2.3 Phản ứng 46 3.3 Phân loại IDS 47 3.3.1 Host-Based Intrusion Detection System (HIDS) .47 3.3.2 Network-Based Intrusion Detection Systems (NIDS) .50 3.3.3 Application-Based Intrusion Detection (AIDS) 53 Phần Ứng dụng triển khai 54 Chương Vấn đề bảo mật mạng của ngân hàng 55 4.1 Hạ tầng mạng tổng quan của ngân hàng 55 4.2 Phân tích các nguy an ninh 58 4.2.1 Nguy an ninh WAN 61 4.2.2 Nguy an ninh mạng LAN 61 4.3 Các công nghệ bảo mật sử dụng 62 Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -2- 4.3.1 Bảo mật mức vật lý 62 4.3.2 Bảo mật dùng xác thực, cấp quyền truy cập và thống kê .63 4.3.3 Bảo mật dùng các phương pháp mã hóa 64 4.3.4 Bảo mật sử dụng cơng nghệ lọc gói tin 65 4.3.5 Bảo mật dùng tường lửa 65 4.3.6 Hệ thống phát hiện công .66 4.3.7 Công nghệ Anti-Virus, anti-spam, anti-phishing 67 Chương Giải pháp triển khai 68 5.1 Một số vấn đề thiết kế triển khai bảo mật mạng 68 5.1.1 Thiết kế theo kiến trúc phòng vệ có chiều sâu 68 5.1.2 Các yêu cầu thiết kế triển khai 69 5.1.3 Thiết kế an ninh tiêu chuẩn 70 5.2 Quy hoạch an ninh tổng thể 72 5.2.1 Quy hoạch về chính sách an ninh 73 5.2.2 Quy hoạch về an ninh WAN .73 5.2.3 Quy hoạch an ninh LAN 78 5.3 Thiết kế triển khai 81 5.3.1 Mô hình thiết kế tại Hội sở .82 5.3.2 Các Trung tâm Miền 89 5.3.3 Các chi nhánh cấp 91 5.3.4 Mô hình cho các phòng giao dịch 92 Kết luận 94 Tài liệu tham khảo .95 Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -3- Các hình vẽ bảng biểu Hình 1.1 Mơ hình TCP/IP và các giao thức bộ giao thức TCP/IP Hình 1.2 Cấu trúc tiêu đề gói tin IP Bảng 1.1 Giá trị TTL các hệ điều hành Bảng 1.2 Ý nghĩa giá trị trường Protocol Bảng 1.3 Ý nghĩa giá trị trường option Hình 1.3 Cấu trúc tiêu đề gói tin TCP Hình 1.4 Vị trí các cờ TCP Header Bảng 1.4 Ý nghĩa các cờ TCP Header Hình 1.5 TCP pseudo-header Bảng 1.5 Ý nghĩa các giá trị TCP option Hình 1.6 Cấu trúc gói tin UDP Hình 1.7 Cấu trúc ICMP Header Hình 2.1 Sơ đồ chức hệ thống firewall Hình 2.2 Mô hình mạng nhỏ dùng một firewall Hình 2.3 Lưu lượng dữ liệu mô hình mạng nhỏ dùng mợt firewall Hình 2.4 Mơ hình mợt firewall có cung cấp dịch vụ ngoài Hình 2.5 Lưu lượng mô hình một firewall cung cấp dịch vụ ngoài Hình 2.6 Mô hình một firewall với một vùng DMZ Hình 2.7 Lưu lượng mô hình một firewall với một vùng DMZ Hình 2.8 Mô hình hai firewall với một vùng DMZ Hình 2.9 Lưu lượng mô hình hai firewall với một vùng DMZ Hình 3.1 Các thành phần hệ thống IDS Hình 3.2 Cấu trúc tiêu đề gói tin ICMP Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -4- Hình 3.3 Mô hình hệ thống HIDS Hình 3.4 Mô hình hệ thống NIDS Hình 4.1 Mô hình mạng tổng quan ngân hàng Hình 4.2 Mô hình mạng tại Hội sở Ngân hàng Hình 4.3 Mô hình kết nối mạng cho các chi nhánh, phòng giao dịch Hình 5.1 Mô hình vòng vệ theo chiều sâu Hình 5.2 Mô hình kiến trúc an ninh tiêu ch̉n Hình 5.3 Mã hóa bằng cơng nghệ IPSec Hình 5.4 Mô hình khuyến nghị cho Hội sở Hình 5.5 Mô hình khuyến nghị cho các chi nhánh Hình 5.6 Mơ hình thiết kế cho Hợi sở Hình 5.7 Module outbound Internet Hình 5.8 Module Inbound Internet Hình 5.9 Module Extranet Hình 5.10 Module WAN Hình 5.11 Module Server Farm Hình 5.12 Module LAN Hình 5.13 Module NOC Hình 5.14 Sơ đồ tại Trung tâm miền Hồ Chí Minh Hình 5.15 Sơ đồ tại Trung tâm miền Đà Nẵng Hình 5.16 Sơ đồ tại chi nhánh Hình 5.17 Mô hình thiết kế cho các phòng giao dịch đã có sẵn router Hình 5.18 Mơ hình cho phòng giao dịch Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -5- Lời nói đầu Sự phát triển và mở rộng của hệ thống mạng toàn cầu (mạng Internet) đã đem lại nhiều thay đổi quan trọng đời sống của cộng đồng, đặc biệt là việc trao đởi thơng tin Giờ có thể trao đổi thông tin, làm việc bất kỳ vị trí nào thế giới Sự bùng nổ của mạng Internet và các ứng dụng đã đem lại những hội kinh doanh hấp dẫn cho các doanh nghiệp, thông qua Internet các doanh nghiệp ngày càng cung cấp cho khách hàng của mình nhiều dịch vụ đa dạng, các dịch vụ mua sắm và đặt hàng qua mạng, toán trực tuyến…Ngoài ra, các dữ liệu Internet còn là một kho dữ liệu khổng lồ, bổ ích cho việc học tập nghiên cứu và kinh doanh Bên các các tiện ích mà Internet đem lại cho chúng ta, các doanh nghiệp đối mặt với những rủi ro tiểm ẩn từ Internet, các hành động lấy cắp thông tin, bí quyết kinh doanh của các đổi thủ, hành động phá hoại của hacker Như vậy, mợt vấn đề đặt và có tính chất sống còn đối với phát triển của các doanh nghiệp là xây dựng một hệ thống mạng vừa đảm bảo cung cấp các dịch vụ thuận tiện cho khách hàng, vừa đảm bảo tính an toàn và bảo mật Lĩnh vực tài chính ngân hàng là một lĩnh vực nhạy cảm, tin cậy và uy tín lòng khách hàng quyết đinh lớn đến tồn tại của các doanh nghiệp Trong các doanh nghiệp này ln có mợt đòi hỏi khắt khe về an toàn các giao dịch khách hàng, hoạt động của hệ thống hạ tầng công nghệ triển khai các dịch vụ phục vụ khách hàng Chỉ cần một sơ hở nhỏ việc bảo mật và an toàn hệ thơng tin cũng có thể dẫn đến thiệt hại nhiều tỷ đồng và nguy hiểm là ảnh hưởng đến uy tín của doanh nghiệp, từ có thể dẫn đến phá sản của các ngân hàng Từ yêu cầu thực tế trên, đồ án này em sẽ nghiên cứu và đưa “ Giải pháp bảo mật mạng cho doanh nghiệp khối ngân hàng” Về mặt nội dung đồ án được chia thành hai phần, : Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -6- Phần Công nghệ bảo mật: Bao gồm các chương Chương Cơ sở lý thuyết TCP/IP : Nghiên cứu bộ giao thức TCP/IP, tập trung vào việc phân tích các giá trị và ý nghĩa các trường các gói TCP, IP, ICMP Chương Công nghệ tường lửa Firewall: Nghiên cứu công nghệ tường lửa (firewall), các công nghệ lọc gói (packet filtering), Application Proxy, statefull filtering Tìm hiểu kiến trúc của tường lửa từ đưa các mơ hình triển khai tiêu biểu Chương Công nghệ phát hiện tấn công IDS: Định nghĩa và phân tích hoạt động của hệ thống phát hiện công (IDS- Inspection Detection System), phân loại các hệ thống IDS khác có thể sử dụng bảo mật mạng Phần Ứng dụng triển khai: Bao gồm hai chương Chương Vấn đề bảo mật hệ thống mạng ngân hàng: Chương này sẽ phân tích hệ thống mạng của một ngân hàng Thương mại cổ phần, chỉ các lỗ hởng hệ thớng mạng từ các khún nghị về các công nghệ bảo mật mạng cần được sử dụng để triển khai Chương Thiết kế triển khai: Từ các phân tích nêu và khuyến nghị chương 4, chương này sẽ đưa giải pháp an ninh tởng thể cho toàn bợ hệ thớng, bao gồm các thiết kế cho trung tâm Hội sở, các chi nhánh vùng và các phòng giao dich Cuối cùng cho em gửi lời cảm ơn chân thành đến PGS.TS Nguyễn Thị Việt Hương – Khoa Điện tử Viễn thông, người đã hướng dẫn em tận tình quá trình làm đồ án Em cũng gửi lời cảm ơn đến các thầy, cô Khoa Điện tử viễn thông – Trường Đại học Bách khoa Hà Nội, đã truyền đạt những kiến thức quý báo suốt bảy năm qua Xin chân thành cảm ơn ! Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -7- Phần Công nghệ bảo mật Chương Cơ sở lý thuyết Bộ giao thức được dùng phổ biến mạng hiện này là bộ giao thức TCP/IP, là một bộ giao thức bao gồm nhiều giao thức hoạt động nhiều lớp mô hình OSI Như hình 1.1 ta thấy TCP/IP gồm các giao thức phổ biến mạng : IP, TCP, UDP, FTP, HTTP, DNS các giao thức IP, TCP, UDP là quan trọng và sẽ được đề cập chi tiết chương này Trong quá trình trao đổi thông tin mạng, dư liệu từ lớp ứng dụng sẽ được đóng gói ( encapsulation ) thành các gói dữ liệu để truyền mạng, dữ liệu ứng với lớp bớn của mơ hình OSI được gọi là các phân đoạn ( Segment ), dữ liệu ứng với lớp ba gọi là gói ( Packet ) Các gói này sau sẽ được đóng gói x́ng các lớp dưới và trùn dưới dạng bit môi trường truyền dẫn mạng Việc vận chuyển các gói tin mạng bị quyết định nhiều các trường các gói tin và các kiểu công cũng nhằm vào các trường này Đối với các kỹ sư làm việc lĩnh vực an ninh mạng, cần xây dựng cho mình một kỹ quan là kỹ phân tích các gói tin Bởi vì thơng qua phân tích các gói tin ta có thể xác định các hoạt đợng diễn mạng, từ đưa các chính sách thích hợp nhằm tăng tính bảo mật của hệ thống Do việc phân tích gói tin có ý nghĩa quan trọng việc xây dựng một hệ thống mạng an toàn và bảo mật nên chương này sẽ vào nghiên cứu kỹ về cấu trúc các gói tin TCP, IP, UDP là các gói phở biến được vận chủn mạng Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -8- 1.1 Tởng quan về mơ hình TCP/IP Hình 1.1 Mô hình TCP/IP và các giao thức bộ giao thức TCP/IP Ta thấy mô hình TCP/IP gồm bốn lớp : - Lớp Ứng dụng (Application layer): Đây là lớp cao nhất, cung cấp giao diện với người sử dụng Các trình duyệ Web, chương trình gửi mail là các ứng dụng hoạt động lớp này - Lớp vận chuyển (Transport layer): Nằm dưới tầng Ứng dụng, cung cấp dịch vụ vận chuyển tin cậy hay không tin cậy cho các ứng dụng Hai giao thức chính hoạt động lớp này là TCP ( Transmission Control Protocol ) và UDP ( User Datagram Protocol ), TCP cung cấp dịch vụ vần chuyển tin cậy còn UDP cung cấp dịch vụ vận chuyển không tin cậy - Lớp liên kết mạng (Internet layer): Nằm dưới tầng Truyền vận, lớp này có vai trò quyết định đến đường của gói tin mạng, các chức tìm đường ngắn và chuyển tiếp gói tin làm việc lớp này Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -9- - Lớp truy cập mạng (Network Access): Nằm dưới cùng mô hình TCP/IP Nó quy định các đặc tả kỹ thuật cho các phương tiện truyền dẫn, các chuẩn đấu nối giữa các thiết bị mạng, dạng bit được truyền các phương tiện truyền dẫn Việc truyền dữ liệu mạng diễn theo trình tự sau : Tại máy gửi dữ liệu từ các chương trình ứng dụng ( chương trình gửi mail hoặc duyệt web, các chương trình ứng dụng khác ) được đưa từ lớp ứng dụng xuống lớp vận chuyển Tại lớp vân chuyển dữ liệu được đóng gói thành các phân đoạn (segmnet) có bở sung mợt sớ thơng tin vào nhằm đảm bảo vận chuyển tin dữ liệu chính xác Các segment này được đóng gói x́ng lớp liên kết mạng dưới dạng các gói (packet) Tại lớp này, các thơng tin về địa chỉ nguồn, đích được thêm vào nhằm cung cấp thơng tin cho quá trình định tún gói tin mạng Các gói tin lớp liên kết mạng sau được đóng gói thành các khung dữ liệu lớp truy cập mạng và sau được truyền dưới dạng các bit các môi trường truyền dẫn Tại máy nhận, diễn quá trình tháo gói (de-encapsulation) Dữ liệu từ các l̀ng bit được đóng gói thành các khung lớp truy cập mạng, các khung này sau sẽ được gỡ bỏ mợt sớ thành phần và đưa lên lớp liên kết mạng dưới dạng các gói tin Lớp mạng lọc bỏ phần tiêu đề thêm vào, chuyển dữ liệu lên lớp vân chuyển Lớp vận chuyển thực hiện tái hợp các phân đoạn (segment) theo thứ tự, xác nhận dữ liệu tính toàn vẹn của dữ liệu sau chuyển lên lớp Ứng dụng Lớp Ứng dụng chuyển hoá các ngôn ngữ máy thành dạng dữ liệu mà người sử dụng có thể đọc được Về mặt cấu trúc dữ liệu mạng bao gồm hai phần :  Phần tiêu đề (Header): Chứa các thông tin liên quan đến việc điều khiển hoạt đợng của các gói tại các lớp tương ứng, tại mỗi tầng Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -82-  Có nhiều các chi nhánh chưa có điều kiện trang bị hệ thớng kiểm soát truy cập, bắt buộc phải tổ chức phòng vệ từ xa thông qua các Firewall tại Trung tâm miền nhằm tránh ảnh hưởng tới các lưu lượng trước truyền dữ liệu về hội sở Với việc truy cập Internet thoải mái không kiểm soát tại các chi nhánh thì việc bi lây lan virus, backdoor, worms là cao, nếu không kiểm soát và ngăn chặn từ xa dễ làm ảnh hưởng tới lưu lượng đường truyền Backbone, gây nên hiện tượng nghẽn mạch làm ảnh hưởng tới việc giao dịch  Cách ly hoàn toàn Module Intranet đấu nối các đối tác và ngân hàng khác Việc cách ly này là hoàn toàn bắt buộc và sử dụng firewall để kiểm soát truy nhập tại vùng này  Toàn bộ hạ tầng an ninh mạng sẽ được quản lý chặt chẽ hệ thống quản lý trung tâm tại Hội sở Điều này sẽ giúp dễ dàng cho người quản trị  Tất các vị trí phải được thiết kế mức độ dự phòng cao về kết nối và thiết bị phần cứng 5.3.1 Mơ hình thiết kế tại Hội sở Mô hình thiết kế cho Hội sở chính sau: Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -83- HANOI Internet module (OUT-BOUND) PROXY INTERNET ADSL Data Center Application Servers ADSL, DI, AV,SPAM IN-BOUND ISP DMZ Database Servers Web/FTP/E-mail servers Management EXTRANET Si i c WAN module Building Distribution/Access Branches (Provinces) WAN Backbone Hình 5.6 Mơ hình thiết kế cho Hợi sở 5.3.1.1 Module Internet Tách biệt thành module internet inbound internet outbound với chức riêng biệt Internet Outbound: Để phục vụ cho kết nối truy cập internet của tồn bợ nhân viên ngân hàng tại trụ sở Module khơng cho phép kết nới được khởi tạo từ internet nhằm làm tăng cường an ninh tối đa từ nguy internet Trong module này, sẽ có hệ thớng gateway kết nới internet qua công nghệ ADSL,2 đường, load-balancing giám sát Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -84- nguy cơng mức ứng dụng Ngịai ra, thiết bị firewall tại vùng này cịn tích hợp tính an ninh khác anti- viru, anti-spam IDS theo kiến trúc phòng vệ đa lớp tại mức gateway được kiểm sóat tập trung bời hệ thớng quản lý Với thiết kế này, có thể kiểm sốt đầy đủ nguy từ internet Hệ thống PROXY cũng được đề nghị triển khai tại gateway để tăng thêm mức kiểm sóat truy cập internet cho nhân viên Việc kiểm sóat bằng giải pháp PROXY kết hợp hệ thống DOMAIN CONTROLLER để xác thực quyền hạn của nhân viên có nhu cầu truy cập internet Hệ thớng PROXY của ISA cũng có khả logging cho phép việc truy tìm cớ mợt cách dễ dàng có sở INTERNET ADSL Internet module (OUT-BOUND) PROXY ADSL, DI, AV,SPAM Hình 5.7 Module outbound Internet Inbound Internet: Module này sẽ đảm đương các chức sau:  Cung cấp các dịch công cộng cho khách hàng như: mail, web, E-Banking…  Cung cấp kết nối Internet cho người dùng tại Hội sở, tương lai có thể là các chi nhánh tại miền Bắc Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -85-  Cung cấp các kết nối bảo mật (sử dụng VPN, SSL) cho người dùng từ xa công ty cũng các đối tác thông qua mạng Internet Như Module này phải đáp ứng được các yêu cầu:  Độ ổn định cao  Khả bảo đảm an ninh tốt Chi tiết thiết kế của Module này sau:  Sử dụng Router kết nối Leased Line nhà cung cấp dịch vụ khác để đảm bảo độ ổn định và dự phòng Chúng ta sẽ sử dụng dải địa chỉ đăng ký từ VNNIC và dùng giao thức định tuyến BGP để chia tải và dự phòng giữa đường kết nối  02 Firewall trung tâm làm nhiệm vụ kiểm soát lưu lượng vào Internet, Firewall sẽ phân chia Module này làm khu vực khác nhau: Inside là người dùng phía trong, Outside phía ngồi Internet, DMZ vùng server công cộng như: Mail, WEB, FTP  Vùng DMZ: là vùng cung cấp các dịch vụ cho khác hàng và người dùng thông qua mạng Internet như: Mail, WEB, FTP Mặc dù được kiểm soát và bảo vệ các Firewall để tăng thêm chiều sâu cũng bổ sung thêm khả kiểm soát lưu lượng sử dụng thêm IDS tại IN-BOUND ISP DMZ Web/FTP/E-mail servers Hình 5.8 Module Inbound Internet Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -86- 5.3.1.2 Module Extranet T hực hiện kết nối đến đối tác hệ thống ngân hàng đối tác Cũng theo quan điểm thiết kế an ninh, nguồn không tin cậy phải được kiểm sóat thơng tin mức ứng dụng Do vậy, cách thiết kế truyền thồng chỉ thiết bị router cho kết nối WAN sẽ không đảm bảo an ninh, an tồn thơng tin Do vậy, cấu anh ninh phải được thiết kế cho module bao gồm router + firewall + IPsec mã hóa thơng tin hệ thống IDS EXTRANET i c Hình 5.9 Module Extranet 5.3.1.3 Module WAN WAN module có chức đấu nới tới các chi nhánh cấp tại miền Bắc cũng đấu nối các Trung tâm miền Như đã trình bày phía trên, tại các chi nhánh hiện khơng có khả kiểm soát việc truy cập Internet vì bắt ḅc phải có biện pháp phòng vệ từ xa bằng Firewall kết hợp IDS đặt trước vào Campus LAN nhằm kiểm soát chặt chẽ các lưu lượng từ các chi nhánh trước truy cập vào vùng Server Farm Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -87- Branches (Provinces) WAN Backbone Hình 5.10 Module WAN 5.3.1.4 Module Server Farm Hiện tại hệ thống các Server được đấu nối trực tiếp vào Core Switch Trong thiết kế này, em khuyến nghị tách toàn bộ vùng Server Farm riêng về mặt vật lý nhằm đơn giải việc kiểm soát truy cập cũng bảo vệ Hơn nữa sẽ làm tiền đề cho việc xây dựng vùng Server Farm với đầy đủ cấu trúc lớp (WEB, Application Database) Do tầm quan trọng của Server Farm nên tăng cường thềm một Module Firewall để chạy song song chia tải và dự phòng Hơn nữa, lưu lượng trước vào các Server còn bị kiểm soát hệ thống IPS đặt sau Firewall, điều này tạo nên nhiều lớp bảo vệ cũng những phương thức bảo vệ hỗ trợ cho Các IDS đặt tại vị trí này yêu cầu performance cao vì phải xử lý một lượng lưu lượng lớn Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -88- Data Center Application Servers Database Servers Hình 5.11 Module Server Farm 5.3.1.5 Module LAN Là module cung cấp kết nối LAN cho máy tính tại trụ sở của Ngân hàng Hiện tại sử dụng hai switch layer chạy mode dự phòng layer switch cho phịng ban Các phân tích nguy cho thấy tốc độ kết nối đến datacenter từ user mạng LAN lớn, tốc độ 100/1000 Mbps Do đó, sẽ thật thảm họa nếu công xuất phát từ đối tượng Kiến trúc an ninh khuyến nghị phải tách biệt phòng ban mạng LAN bằng công nghệ VLAN phải được kiểm sốt hệ thớng firewall Chính vậy, chúng tơi khuyến nghị tận dụng hệ thống FW blade module sẵn có hệ thớng core switch để giám sát module trước truy cập vào core switch module khác Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -89- Hình 5.12 Module LAN 5.3.1.6 Module NOC Đây module thực hiện kiểm sóat an ninh tập trung cho tồn bợ mạng Trong module sẽ bao gờm hệ thống quản lý mạng tập trung bao gồm : quản lý thiết bị mạng, quản lý server, quản lý an ninh, hệ thống giám sát Thiết kế an ninh được khuyến nghị sử dụng lại module FW blade sẵn có hệ thớng hiện tại để bảo vệ module hình vẽ sau đây: Hình 5.13 Module NOC Nhờ module này hệ thống nâng cao được khả kiểm sóat nguy mợt cách tập trung 5.3.2 Các Trung tâm Miền Các trung tâm miền sẽ được đầu tư một cặp Firewall chạy song song và dự phòng cho nhằm phòng chống và kiểm soát dữ liệu các chi nhánh từ xa trước dữ liệu được đưa lên Backbone và truy cập vào hệ thống Server tại Hội sở Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -90- Một yêu cầu bắt buộc phải tách các khu vực: người dùng, Server, truy cập Internet, Core và WAN Access riêng biệt để dễ dàng việc kiểm soát và tăng cường nữa an ninh cho toàn mạng INTERNET ADSL Internet Proxy LAN WAN module Branches/ ATMs 2950 CORE Backbone router WAN Backbone Hình 5.14 Sơ đồ tại Trung tâm miền Hồ Chí Minh Hình 5.15 Sơ đồ tại Trung tâm miền Đà Nẵng Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -91- Như sẽ:  Đầu tư 02 Firewall tại mỗi trung tâm miền nhằm phân chia các vùng rõ ràng và tạo nên hành lang kiểm soát lưu lượng từ xa đối với Hội sở  Tổ chức lại việc kết nối Internet thông qua hệ thống kiểm soát bằng ISA  Riêng Hồ Chí Minh phải đầu tư thêm một Router để tách hệ thống Core Router khỏi Access Router đối nối xuống các chi nhánh 5.3.3 Các chi nhánh cấp Các chi nhánh cấp sẽ được thiết kế với mô hình sau: Hình 5.16 Sơ đồ tại các chi nhánh Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -92- Đối với các chi nhánh, nên kiểm soát chặt chẽ việc kết nối Internet Tối ưu nên tập trung các kết nối về trung tâm miền Nhưng để làm được điều này là khó khăn, ưu cầu khả quản lý chất lượng dịch vụ (QoS) phải thực tốt Trong giai đoạn đầu, chủ yếu triển khai thí điểm tại một số chi nhánh lớn đã trình bày Việc triển khai sẽ bao gồm:  Hệ thống Firewall sẽ phân chia và quản lý lưu lượng truy cập giữa các vùng với  Tách riêng vùng truy cập Internet và quản lý bằng hệ thống ISA Server  Firewall không chỉ kiểm soát lưu lượng giữa các vùng tại chi nhánh mà còn giúp lập nên một vành đai kiểm soát từ xa đối với các Trung tâm miền cũng Hợi sở 5.3.4 Mơ hình cho phòng giao dịch Chúng ta phân biệt thành lọai phòng giao dịch có sẵn router phịng giao dịch mới, chưa có hệ thớng router với giả thiết thứ 2, có thể tận dụng ln firewall router để thực hiện đơn giản hóa thiết kế mạng Hình 5.17 Mô hình thiết kế cho các phòng giao dịch đã có sẵn router Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -93- Hình 5.18 Mô hình cho phòng giao dịch Như vậy, thông qua chương ta đã xây dựng được một mô hình mạng với thiết kế an ninh tổng thể cho các vùng cụ thể hệ thống mạng của Ngân hàng Mô hình thiết kế đáp ứng được các yêu cầu các yêu cầu về mặt an ninh, tính linh hoạt, khả mở rợng Mơ hình này có thể sử dụng bất kỳ sản phẩm của các nhà sản xuất nào thế giới, có mợt khún nghị là nên sử dụng kết hợp các sản phẩm của nhiều hãng khác mơ hinh Bởi vì mỡi hãng sẽ có các thế mạnh khác nhau, và việc kết hợp sẽ tận dụng được các thế mạnh của các hãng cho một hệ thống Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -94- Kết luận Các kết đạt được kiến nghị Về mặt lý thuyết Luận văn đã tìm hiểu về bộ giao thức được sử dụng rộng rãi mạng hiện nay, bộ giao thức TCP/IP Trong đó, đặc biệt ý đến việc tìm hiểu cấu trúc các gói tin TCP, IP, ICMP Việc tìm hiểu về cấu trúc các gói giữ mợt vai trò quan trọng quá trình xủ lý của các công nghệ firewall, IDS và đối với các kỹ sư làm việc lĩnh vực mạng và bảo mật mạng Tìm hiểu về các công nghệ firewall: công nghệ lọc gói, cơng nghệ Application Proxy, cơng nghệ statefull filtering Phân tích kiến trúc của firewall, từ đưa một số mô hình triển khai tiêu biểu Nghiên cứu công nghệ IDS: Nguyên lý hoạt động và vai trò của công nghệ IDS việc bảo vệ an ninh của hệ thống mạng Phân loại và định nghĩa các kiểu hệ thống IDS Về áp dụng thực tiễn Luận văn vào phân tích các nguy an ninh mạng cho hệ thớng mạng của Ngân hàng, từ đưa giải pháp an ninh tổng thể triển khai cho toàn hệ thớng Trong đó, đưa mơ hình thiết kế an ninh cụ thể cho Hội sở chính, các chi nhánh vùng và các chi nhánh cấp một và phòng giao dịch Hệ thống được thiết kế theo thiết kế an ninh tiêu chuẩn được khuyến nghị và đáp ứng được các yêu cầu trao đổi dữ liệu an toàn của Ngân hàng Kiến nghị Bảo mật mạng là một quá trình khép kín không ngừng giữa ba yếu tố công nghệ, người và các chính sách Luận văn mới tập trung vào yêu tố công nghệ, hướng phát triển tiếp theo của đề tài là tìm hiểu các tiêu chuẩn bảo mật ISO 27001, từ xây dựng các chính sách, quy định phù hợp cho hoạt động của Ngân hàng Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -95- Tài liệu tham khảo [1] Richard steven , TCP/IP illustrated volume [2] Robert J Shimonski (2003), The Best Damn Firewall Book Period, Syngress [3] Cisco Systems, Inc.(2004), CSIDS Student Guide V4.0-Cisco Secure Intrusion Detection, [4] Kerry J.Cox (2004), Managing security with snort and tool, O’Reilly [5] www.securityfocus.org [6] www.cccure.org [7] www.sans.org [8] www.juniper.net [9] www.cisco.com [10] www.net130.com Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -96- Tóm tắt đồ án Về mặt nội dung đồ án bao gồm hai phần sau: Phần Công nghệ bảo mật: Bao gồm các chương Chương Cơ sở lý thuyết TCP/IP : Nghiên cứu bợ giao thức TCP/IP, tập trung vào việc phân tích các giá trị và ý nghĩa các trường các gói TCP, IP, ICMP Chương Cơng nghệ tường lửa Firewall: Nghiên cứu công nghệ tường lửa (firewall), các cơng nghệ lọc gói (packet filtering), Application Proxy, statefull filtering Tìm hiểu kiến trúc của tường lửa từ đưa các mơ hình triển khai tiêu biểu Chương Công nghệ phát hiện tấn công IDS: Định nghĩa và phân tích hoạt động của hệ thống phát hiện công (IDS- Inspection Detection System), phân loại các hệ thớng IDS khác có thể sử dụng bảo mật mạng Phần Ứng dụng triển khai: Bao gồm hai chương Chương Vấn đề bảo mật hệ thống mạng ngân hàng: Chương này sẽ phân tích hệ thống mạng của một ngân hàng Thương mại cổ phần, chỉ các lỗ hổng hệ thống mạng từ các khún nghị về các cơng nghệ bảo mật mạng cần được sử dụng để triển khai Chương Thiết kế triển khai: Từ các phân tích nêu và khuyến nghị chương 4, chương này sẽ đưa giải pháp an ninh tổng thể cho toàn bợ hệ thớng, bao gờm các thiết kế cho trung tâm Hội sở, các chi nhánh vùng và các phòng giao dich Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học ... dẫn đến phá sản của các ngân hàng Từ yêu cầu thực tế trên, đồ án này em sẽ nghiên cứu và đưa “ Giải pháp bảo mật mạng cho doanh nghiệp khối ngân hàng? ?? Về mặt nội dung đồ... truy cập và thống kê .63 4.3.3 Bảo mật dùng các phương pháp mã hóa 64 4.3.4 Bảo mật sử dụng cơng nghệ lọc gói tin 65 4.3.5 Bảo mật dùng tường lửa 65... dựng một hệ thống mạng vừa đảm bảo cung cấp các dịch vụ thuận tiện cho khách hàng, vừa đảm bảo tính an toàn và bảo mật Lĩnh vực tài chính ngân hàng là mợt lĩnh vực nhạy