1. Trang chủ
  2. » Luận Văn - Báo Cáo

Giải pháp bảo mật cho các doanh nghiệp khối ngân hàng

97 4 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 97
Dung lượng 2,62 MB

Nội dung

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI -o0o— - LUẬN VĂN THẠC SỸ KHOA HỌC GIẢI PHÁP BẢO MẬT MẠNG CHO CÁC DOANH NGHIỆP KHỐI NGÂN HÀNG NGÀNH: KỸ THUẬT ĐIỆN TỬ MÃ SỐ: NGUYỄN DUY KHÁNH Người hướng dẫn khoa học: PGS.TS NGUYỄN THỊ VIỆT HƯƠNG Hà Nội 2007 -1- Mục lục Mục lục .1 Các hình vẽ bảng biểu Lời nói đầu Phần Công nghệ bảo mật Chương Cơ sở lý thuyết 1.1 Tổng quan về mô hình TCP/IP 1.2 Cấu trúc tiêu đề gói tin IP 10 1.3 Cấu trúc gói tin TCP 18 1.4 Cấu trúc gói tin UDP 24 1.5 Cấu trúc gói tin ICMP .26 Chương Công nghệ firewall 29 2.1 Tổng quan vể firewall .29 2.1.1 Định nghĩa 29 2.1.2 Chức 29 2.1.3 Các thành phần của firewall 30 2.2 Các công nghệ sử dụng firewall 29 2.2.1 Cơng nghệ lọc gói tin (Packet filtering) 31 2.2.2 Công nghệ lọc gói có lưu trạng thái kết nới (Stateful filtering) 32 2.2.3 Công nhệ Application proxy 32 2.3 Kiến trúc của firewall .33 2.4 Một số mô hình triển khai firewall 34 2.4.1 Mô hình mạng nhỏ dùng một firewall .34 2.4.2 Mơ hình mợt firewall có cung cấp dịch vụ ngoài ( Basic Network, Single Firewall, and Bastion Host) 35 2.4.3 Mô hình một firewall với một vùng DMZ 36 2.4.4 Mô hình hai firewall với một vùng DMZ 38 Chương Hệ thống phát hiện xâm nhập IDS 40 3.1 Khái niệm hệ thống phát hiện xâm nhập IDS 40 3.2 Cơ chế hoạt động của IDS 41 3.2.1 Phân tích gói tin 41 3.2.2 Phát hiện xâm nhập 44 3.2.3 Phản ứng 46 3.3 Phân loại IDS 47 3.3.1 Host-Based Intrusion Detection System (HIDS) .47 3.3.2 Network-Based Intrusion Detection Systems (NIDS) .50 3.3.3 Application-Based Intrusion Detection (AIDS) 53 Phần Ứng dụng triển khai 54 Chương Vấn đề bảo mật mạng của ngân hàng 55 4.1 Hạ tầng mạng tổng quan của ngân hàng 55 4.2 Phân tích các nguy an ninh 58 4.2.1 Nguy an ninh WAN 61 4.2.2 Nguy an ninh mạng LAN 61 4.3 Các công nghệ bảo mật sử dụng 62 Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -2- 4.3.1 Bảo mật mức vật lý 62 4.3.2 Bảo mật dùng xác thực, cấp quyền truy cập và thống kê .63 4.3.3 Bảo mật dùng các phương pháp mã hóa 64 4.3.4 Bảo mật sử dụng cơng nghệ lọc gói tin 65 4.3.5 Bảo mật dùng tường lửa 65 4.3.6 Hệ thống phát hiện công .66 4.3.7 Công nghệ Anti-Virus, anti-spam, anti-phishing 67 Chương Giải pháp triển khai 68 5.1 Một số vấn đề thiết kế triển khai bảo mật mạng 68 5.1.1 Thiết kế theo kiến trúc phòng vệ có chiều sâu 68 5.1.2 Các yêu cầu thiết kế triển khai 69 5.1.3 Thiết kế an ninh tiêu chuẩn 70 5.2 Quy hoạch an ninh tổng thể 72 5.2.1 Quy hoạch về chính sách an ninh 73 5.2.2 Quy hoạch về an ninh WAN .73 5.2.3 Quy hoạch an ninh LAN 78 5.3 Thiết kế triển khai 81 5.3.1 Mô hình thiết kế tại Hội sở .82 5.3.2 Các Trung tâm Miền 89 5.3.3 Các chi nhánh cấp 91 5.3.4 Mô hình cho các phòng giao dịch 92 Kết luận 94 Tài liệu tham khảo .95 Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -3- Các hình vẽ bảng biểu Hình 1.1 Mơ hình TCP/IP và các giao thức bộ giao thức TCP/IP Hình 1.2 Cấu trúc tiêu đề gói tin IP Bảng 1.1 Giá trị TTL các hệ điều hành Bảng 1.2 Ý nghĩa giá trị trường Protocol Bảng 1.3 Ý nghĩa giá trị trường option Hình 1.3 Cấu trúc tiêu đề gói tin TCP Hình 1.4 Vị trí các cờ TCP Header Bảng 1.4 Ý nghĩa các cờ TCP Header Hình 1.5 TCP pseudo-header Bảng 1.5 Ý nghĩa các giá trị TCP option Hình 1.6 Cấu trúc gói tin UDP Hình 1.7 Cấu trúc ICMP Header Hình 2.1 Sơ đồ chức hệ thống firewall Hình 2.2 Mô hình mạng nhỏ dùng một firewall Hình 2.3 Lưu lượng dữ liệu mô hình mạng nhỏ dùng mợt firewall Hình 2.4 Mơ hình mợt firewall có cung cấp dịch vụ ngoài Hình 2.5 Lưu lượng mô hình một firewall cung cấp dịch vụ ngoài Hình 2.6 Mô hình một firewall với một vùng DMZ Hình 2.7 Lưu lượng mô hình một firewall với một vùng DMZ Hình 2.8 Mô hình hai firewall với một vùng DMZ Hình 2.9 Lưu lượng mô hình hai firewall với một vùng DMZ Hình 3.1 Các thành phần hệ thống IDS Hình 3.2 Cấu trúc tiêu đề gói tin ICMP Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -4- Hình 3.3 Mô hình hệ thống HIDS Hình 3.4 Mô hình hệ thống NIDS Hình 4.1 Mô hình mạng tổng quan ngân hàng Hình 4.2 Mô hình mạng tại Hội sở Ngân hàng Hình 4.3 Mô hình kết nối mạng cho các chi nhánh, phòng giao dịch Hình 5.1 Mô hình vòng vệ theo chiều sâu Hình 5.2 Mô hình kiến trúc an ninh tiêu ch̉n Hình 5.3 Mã hóa bằng cơng nghệ IPSec Hình 5.4 Mô hình khuyến nghị cho Hội sở Hình 5.5 Mô hình khuyến nghị cho các chi nhánh Hình 5.6 Mơ hình thiết kế cho Hợi sở Hình 5.7 Module outbound Internet Hình 5.8 Module Inbound Internet Hình 5.9 Module Extranet Hình 5.10 Module WAN Hình 5.11 Module Server Farm Hình 5.12 Module LAN Hình 5.13 Module NOC Hình 5.14 Sơ đồ tại Trung tâm miền Hồ Chí Minh Hình 5.15 Sơ đồ tại Trung tâm miền Đà Nẵng Hình 5.16 Sơ đồ tại chi nhánh Hình 5.17 Mô hình thiết kế cho các phòng giao dịch đã có sẵn router Hình 5.18 Mơ hình cho phòng giao dịch Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -5- Lời nói đầu Sự phát triển và mở rộng của hệ thống mạng toàn cầu (mạng Internet) đã đem lại nhiều thay đổi quan trọng đời sống của cộng đồng, đặc biệt là việc trao đởi thơng tin Giờ có thể trao đổi thông tin, làm việc bất kỳ vị trí nào thế giới Sự bùng nổ của mạng Internet và các ứng dụng đã đem lại những hội kinh doanh hấp dẫn cho các doanh nghiệp, thông qua Internet các doanh nghiệp ngày càng cung cấp cho khách hàng của mình nhiều dịch vụ đa dạng, các dịch vụ mua sắm và đặt hàng qua mạng, toán trực tuyến…Ngoài ra, các dữ liệu Internet còn là một kho dữ liệu khổng lồ, bổ ích cho việc học tập nghiên cứu và kinh doanh Bên các các tiện ích mà Internet đem lại cho chúng ta, các doanh nghiệp đối mặt với những rủi ro tiểm ẩn từ Internet, các hành động lấy cắp thông tin, bí quyết kinh doanh của các đổi thủ, hành động phá hoại của hacker Như vậy, mợt vấn đề đặt và có tính chất sống còn đối với phát triển của các doanh nghiệp là xây dựng một hệ thống mạng vừa đảm bảo cung cấp các dịch vụ thuận tiện cho khách hàng, vừa đảm bảo tính an toàn và bảo mật Lĩnh vực tài chính ngân hàng là một lĩnh vực nhạy cảm, tin cậy và uy tín lòng khách hàng quyết đinh lớn đến tồn tại của các doanh nghiệp Trong các doanh nghiệp này ln có mợt đòi hỏi khắt khe về an toàn các giao dịch khách hàng, hoạt động của hệ thống hạ tầng công nghệ triển khai các dịch vụ phục vụ khách hàng Chỉ cần một sơ hở nhỏ việc bảo mật và an toàn hệ thơng tin cũng có thể dẫn đến thiệt hại nhiều tỷ đồng và nguy hiểm là ảnh hưởng đến uy tín của doanh nghiệp, từ có thể dẫn đến phá sản của các ngân hàng Từ yêu cầu thực tế trên, đồ án này em sẽ nghiên cứu và đưa “ Giải pháp bảo mật mạng cho doanh nghiệp khối ngân hàng” Về mặt nội dung đồ án được chia thành hai phần, : Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -6- Phần Công nghệ bảo mật: Bao gồm các chương Chương Cơ sở lý thuyết TCP/IP : Nghiên cứu bộ giao thức TCP/IP, tập trung vào việc phân tích các giá trị và ý nghĩa các trường các gói TCP, IP, ICMP Chương Công nghệ tường lửa Firewall: Nghiên cứu công nghệ tường lửa (firewall), các công nghệ lọc gói (packet filtering), Application Proxy, statefull filtering Tìm hiểu kiến trúc của tường lửa từ đưa các mơ hình triển khai tiêu biểu Chương Công nghệ phát hiện tấn công IDS: Định nghĩa và phân tích hoạt động của hệ thống phát hiện công (IDS- Inspection Detection System), phân loại các hệ thống IDS khác có thể sử dụng bảo mật mạng Phần Ứng dụng triển khai: Bao gồm hai chương Chương Vấn đề bảo mật hệ thống mạng ngân hàng: Chương này sẽ phân tích hệ thống mạng của một ngân hàng Thương mại cổ phần, chỉ các lỗ hởng hệ thớng mạng từ các khún nghị về các công nghệ bảo mật mạng cần được sử dụng để triển khai Chương Thiết kế triển khai: Từ các phân tích nêu và khuyến nghị chương 4, chương này sẽ đưa giải pháp an ninh tởng thể cho toàn bợ hệ thớng, bao gồm các thiết kế cho trung tâm Hội sở, các chi nhánh vùng và các phòng giao dich Cuối cùng cho em gửi lời cảm ơn chân thành đến PGS.TS Nguyễn Thị Việt Hương – Khoa Điện tử Viễn thông, người đã hướng dẫn em tận tình quá trình làm đồ án Em cũng gửi lời cảm ơn đến các thầy, cô Khoa Điện tử viễn thông – Trường Đại học Bách khoa Hà Nội, đã truyền đạt những kiến thức quý báo suốt bảy năm qua Xin chân thành cảm ơn ! Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -7- Phần Công nghệ bảo mật Chương Cơ sở lý thuyết Bộ giao thức được dùng phổ biến mạng hiện này là bộ giao thức TCP/IP, là một bộ giao thức bao gồm nhiều giao thức hoạt động nhiều lớp mô hình OSI Như hình 1.1 ta thấy TCP/IP gồm các giao thức phổ biến mạng : IP, TCP, UDP, FTP, HTTP, DNS các giao thức IP, TCP, UDP là quan trọng và sẽ được đề cập chi tiết chương này Trong quá trình trao đổi thông tin mạng, dư liệu từ lớp ứng dụng sẽ được đóng gói ( encapsulation ) thành các gói dữ liệu để truyền mạng, dữ liệu ứng với lớp bớn của mơ hình OSI được gọi là các phân đoạn ( Segment ), dữ liệu ứng với lớp ba gọi là gói ( Packet ) Các gói này sau sẽ được đóng gói x́ng các lớp dưới và trùn dưới dạng bit môi trường truyền dẫn mạng Việc vận chuyển các gói tin mạng bị quyết định nhiều các trường các gói tin và các kiểu công cũng nhằm vào các trường này Đối với các kỹ sư làm việc lĩnh vực an ninh mạng, cần xây dựng cho mình một kỹ quan là kỹ phân tích các gói tin Bởi vì thơng qua phân tích các gói tin ta có thể xác định các hoạt đợng diễn mạng, từ đưa các chính sách thích hợp nhằm tăng tính bảo mật của hệ thống Do việc phân tích gói tin có ý nghĩa quan trọng việc xây dựng một hệ thống mạng an toàn và bảo mật nên chương này sẽ vào nghiên cứu kỹ về cấu trúc các gói tin TCP, IP, UDP là các gói phở biến được vận chủn mạng Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -8- 1.1 Tởng quan về mơ hình TCP/IP Hình 1.1 Mô hình TCP/IP và các giao thức bộ giao thức TCP/IP Ta thấy mô hình TCP/IP gồm bốn lớp : - Lớp Ứng dụng (Application layer): Đây là lớp cao nhất, cung cấp giao diện với người sử dụng Các trình duyệ Web, chương trình gửi mail là các ứng dụng hoạt động lớp này - Lớp vận chuyển (Transport layer): Nằm dưới tầng Ứng dụng, cung cấp dịch vụ vận chuyển tin cậy hay không tin cậy cho các ứng dụng Hai giao thức chính hoạt động lớp này là TCP ( Transmission Control Protocol ) và UDP ( User Datagram Protocol ), TCP cung cấp dịch vụ vần chuyển tin cậy còn UDP cung cấp dịch vụ vận chuyển không tin cậy - Lớp liên kết mạng (Internet layer): Nằm dưới tầng Truyền vận, lớp này có vai trò quyết định đến đường của gói tin mạng, các chức tìm đường ngắn và chuyển tiếp gói tin làm việc lớp này Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -9- - Lớp truy cập mạng (Network Access): Nằm dưới cùng mô hình TCP/IP Nó quy định các đặc tả kỹ thuật cho các phương tiện truyền dẫn, các chuẩn đấu nối giữa các thiết bị mạng, dạng bit được truyền các phương tiện truyền dẫn Việc truyền dữ liệu mạng diễn theo trình tự sau : Tại máy gửi dữ liệu từ các chương trình ứng dụng ( chương trình gửi mail hoặc duyệt web, các chương trình ứng dụng khác ) được đưa từ lớp ứng dụng xuống lớp vận chuyển Tại lớp vân chuyển dữ liệu được đóng gói thành các phân đoạn (segmnet) có bở sung mợt sớ thơng tin vào nhằm đảm bảo vận chuyển tin dữ liệu chính xác Các segment này được đóng gói x́ng lớp liên kết mạng dưới dạng các gói (packet) Tại lớp này, các thơng tin về địa chỉ nguồn, đích được thêm vào nhằm cung cấp thơng tin cho quá trình định tún gói tin mạng Các gói tin lớp liên kết mạng sau được đóng gói thành các khung dữ liệu lớp truy cập mạng và sau được truyền dưới dạng các bit các môi trường truyền dẫn Tại máy nhận, diễn quá trình tháo gói (de-encapsulation) Dữ liệu từ các l̀ng bit được đóng gói thành các khung lớp truy cập mạng, các khung này sau sẽ được gỡ bỏ mợt sớ thành phần và đưa lên lớp liên kết mạng dưới dạng các gói tin Lớp mạng lọc bỏ phần tiêu đề thêm vào, chuyển dữ liệu lên lớp vân chuyển Lớp vận chuyển thực hiện tái hợp các phân đoạn (segment) theo thứ tự, xác nhận dữ liệu tính toàn vẹn của dữ liệu sau chuyển lên lớp Ứng dụng Lớp Ứng dụng chuyển hoá các ngôn ngữ máy thành dạng dữ liệu mà người sử dụng có thể đọc được Về mặt cấu trúc dữ liệu mạng bao gồm hai phần :  Phần tiêu đề (Header): Chứa các thông tin liên quan đến việc điều khiển hoạt đợng của các gói tại các lớp tương ứng, tại mỗi tầng Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -82-  Có nhiều các chi nhánh chưa có điều kiện trang bị hệ thớng kiểm soát truy cập, bắt buộc phải tổ chức phòng vệ từ xa thông qua các Firewall tại Trung tâm miền nhằm tránh ảnh hưởng tới các lưu lượng trước truyền dữ liệu về hội sở Với việc truy cập Internet thoải mái không kiểm soát tại các chi nhánh thì việc bi lây lan virus, backdoor, worms là cao, nếu không kiểm soát và ngăn chặn từ xa dễ làm ảnh hưởng tới lưu lượng đường truyền Backbone, gây nên hiện tượng nghẽn mạch làm ảnh hưởng tới việc giao dịch  Cách ly hoàn toàn Module Intranet đấu nối các đối tác và ngân hàng khác Việc cách ly này là hoàn toàn bắt buộc và sử dụng firewall để kiểm soát truy nhập tại vùng này  Toàn bộ hạ tầng an ninh mạng sẽ được quản lý chặt chẽ hệ thống quản lý trung tâm tại Hội sở Điều này sẽ giúp dễ dàng cho người quản trị  Tất các vị trí phải được thiết kế mức độ dự phòng cao về kết nối và thiết bị phần cứng 5.3.1 Mơ hình thiết kế tại Hội sở Mô hình thiết kế cho Hội sở chính sau: Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -83- HANOI Internet module (OUT-BOUND) PROXY INTERNET ADSL Data Center Application Servers ADSL, DI, AV,SPAM IN-BOUND ISP DMZ Database Servers Web/FTP/E-mail servers Management EXTRANET Si i c WAN module Building Distribution/Access Branches (Provinces) WAN Backbone Hình 5.6 Mơ hình thiết kế cho Hợi sở 5.3.1.1 Module Internet Tách biệt thành module internet inbound internet outbound với chức riêng biệt Internet Outbound: Để phục vụ cho kết nối truy cập internet của tồn bợ nhân viên ngân hàng tại trụ sở Module khơng cho phép kết nới được khởi tạo từ internet nhằm làm tăng cường an ninh tối đa từ nguy internet Trong module này, sẽ có hệ thớng gateway kết nới internet qua công nghệ ADSL,2 đường, load-balancing giám sát Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -84- nguy cơng mức ứng dụng Ngịai ra, thiết bị firewall tại vùng này cịn tích hợp tính an ninh khác anti- viru, anti-spam IDS theo kiến trúc phòng vệ đa lớp tại mức gateway được kiểm sóat tập trung bời hệ thớng quản lý Với thiết kế này, có thể kiểm sốt đầy đủ nguy từ internet Hệ thống PROXY cũng được đề nghị triển khai tại gateway để tăng thêm mức kiểm sóat truy cập internet cho nhân viên Việc kiểm sóat bằng giải pháp PROXY kết hợp hệ thống DOMAIN CONTROLLER để xác thực quyền hạn của nhân viên có nhu cầu truy cập internet Hệ thớng PROXY của ISA cũng có khả logging cho phép việc truy tìm cớ mợt cách dễ dàng có sở INTERNET ADSL Internet module (OUT-BOUND) PROXY ADSL, DI, AV,SPAM Hình 5.7 Module outbound Internet Inbound Internet: Module này sẽ đảm đương các chức sau:  Cung cấp các dịch công cộng cho khách hàng như: mail, web, E-Banking…  Cung cấp kết nối Internet cho người dùng tại Hội sở, tương lai có thể là các chi nhánh tại miền Bắc Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -85-  Cung cấp các kết nối bảo mật (sử dụng VPN, SSL) cho người dùng từ xa công ty cũng các đối tác thông qua mạng Internet Như Module này phải đáp ứng được các yêu cầu:  Độ ổn định cao  Khả bảo đảm an ninh tốt Chi tiết thiết kế của Module này sau:  Sử dụng Router kết nối Leased Line nhà cung cấp dịch vụ khác để đảm bảo độ ổn định và dự phòng Chúng ta sẽ sử dụng dải địa chỉ đăng ký từ VNNIC và dùng giao thức định tuyến BGP để chia tải và dự phòng giữa đường kết nối  02 Firewall trung tâm làm nhiệm vụ kiểm soát lưu lượng vào Internet, Firewall sẽ phân chia Module này làm khu vực khác nhau: Inside là người dùng phía trong, Outside phía ngồi Internet, DMZ vùng server công cộng như: Mail, WEB, FTP  Vùng DMZ: là vùng cung cấp các dịch vụ cho khác hàng và người dùng thông qua mạng Internet như: Mail, WEB, FTP Mặc dù được kiểm soát và bảo vệ các Firewall để tăng thêm chiều sâu cũng bổ sung thêm khả kiểm soát lưu lượng sử dụng thêm IDS tại IN-BOUND ISP DMZ Web/FTP/E-mail servers Hình 5.8 Module Inbound Internet Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -86- 5.3.1.2 Module Extranet T hực hiện kết nối đến đối tác hệ thống ngân hàng đối tác Cũng theo quan điểm thiết kế an ninh, nguồn không tin cậy phải được kiểm sóat thơng tin mức ứng dụng Do vậy, cách thiết kế truyền thồng chỉ thiết bị router cho kết nối WAN sẽ không đảm bảo an ninh, an tồn thơng tin Do vậy, cấu anh ninh phải được thiết kế cho module bao gồm router + firewall + IPsec mã hóa thơng tin hệ thống IDS EXTRANET i c Hình 5.9 Module Extranet 5.3.1.3 Module WAN WAN module có chức đấu nới tới các chi nhánh cấp tại miền Bắc cũng đấu nối các Trung tâm miền Như đã trình bày phía trên, tại các chi nhánh hiện khơng có khả kiểm soát việc truy cập Internet vì bắt ḅc phải có biện pháp phòng vệ từ xa bằng Firewall kết hợp IDS đặt trước vào Campus LAN nhằm kiểm soát chặt chẽ các lưu lượng từ các chi nhánh trước truy cập vào vùng Server Farm Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -87- Branches (Provinces) WAN Backbone Hình 5.10 Module WAN 5.3.1.4 Module Server Farm Hiện tại hệ thống các Server được đấu nối trực tiếp vào Core Switch Trong thiết kế này, em khuyến nghị tách toàn bộ vùng Server Farm riêng về mặt vật lý nhằm đơn giải việc kiểm soát truy cập cũng bảo vệ Hơn nữa sẽ làm tiền đề cho việc xây dựng vùng Server Farm với đầy đủ cấu trúc lớp (WEB, Application Database) Do tầm quan trọng của Server Farm nên tăng cường thềm một Module Firewall để chạy song song chia tải và dự phòng Hơn nữa, lưu lượng trước vào các Server còn bị kiểm soát hệ thống IPS đặt sau Firewall, điều này tạo nên nhiều lớp bảo vệ cũng những phương thức bảo vệ hỗ trợ cho Các IDS đặt tại vị trí này yêu cầu performance cao vì phải xử lý một lượng lưu lượng lớn Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -88- Data Center Application Servers Database Servers Hình 5.11 Module Server Farm 5.3.1.5 Module LAN Là module cung cấp kết nối LAN cho máy tính tại trụ sở của Ngân hàng Hiện tại sử dụng hai switch layer chạy mode dự phòng layer switch cho phịng ban Các phân tích nguy cho thấy tốc độ kết nối đến datacenter từ user mạng LAN lớn, tốc độ 100/1000 Mbps Do đó, sẽ thật thảm họa nếu công xuất phát từ đối tượng Kiến trúc an ninh khuyến nghị phải tách biệt phòng ban mạng LAN bằng công nghệ VLAN phải được kiểm sốt hệ thớng firewall Chính vậy, chúng tơi khuyến nghị tận dụng hệ thống FW blade module sẵn có hệ thớng core switch để giám sát module trước truy cập vào core switch module khác Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -89- Hình 5.12 Module LAN 5.3.1.6 Module NOC Đây module thực hiện kiểm sóat an ninh tập trung cho tồn bợ mạng Trong module sẽ bao gờm hệ thống quản lý mạng tập trung bao gồm : quản lý thiết bị mạng, quản lý server, quản lý an ninh, hệ thống giám sát Thiết kế an ninh được khuyến nghị sử dụng lại module FW blade sẵn có hệ thớng hiện tại để bảo vệ module hình vẽ sau đây: Hình 5.13 Module NOC Nhờ module này hệ thống nâng cao được khả kiểm sóat nguy mợt cách tập trung 5.3.2 Các Trung tâm Miền Các trung tâm miền sẽ được đầu tư một cặp Firewall chạy song song và dự phòng cho nhằm phòng chống và kiểm soát dữ liệu các chi nhánh từ xa trước dữ liệu được đưa lên Backbone và truy cập vào hệ thống Server tại Hội sở Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -90- Một yêu cầu bắt buộc phải tách các khu vực: người dùng, Server, truy cập Internet, Core và WAN Access riêng biệt để dễ dàng việc kiểm soát và tăng cường nữa an ninh cho toàn mạng INTERNET ADSL Internet Proxy LAN WAN module Branches/ ATMs 2950 CORE Backbone router WAN Backbone Hình 5.14 Sơ đồ tại Trung tâm miền Hồ Chí Minh Hình 5.15 Sơ đồ tại Trung tâm miền Đà Nẵng Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -91- Như sẽ:  Đầu tư 02 Firewall tại mỗi trung tâm miền nhằm phân chia các vùng rõ ràng và tạo nên hành lang kiểm soát lưu lượng từ xa đối với Hội sở  Tổ chức lại việc kết nối Internet thông qua hệ thống kiểm soát bằng ISA  Riêng Hồ Chí Minh phải đầu tư thêm một Router để tách hệ thống Core Router khỏi Access Router đối nối xuống các chi nhánh 5.3.3 Các chi nhánh cấp Các chi nhánh cấp sẽ được thiết kế với mô hình sau: Hình 5.16 Sơ đồ tại các chi nhánh Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -92- Đối với các chi nhánh, nên kiểm soát chặt chẽ việc kết nối Internet Tối ưu nên tập trung các kết nối về trung tâm miền Nhưng để làm được điều này là khó khăn, ưu cầu khả quản lý chất lượng dịch vụ (QoS) phải thực tốt Trong giai đoạn đầu, chủ yếu triển khai thí điểm tại một số chi nhánh lớn đã trình bày Việc triển khai sẽ bao gồm:  Hệ thống Firewall sẽ phân chia và quản lý lưu lượng truy cập giữa các vùng với  Tách riêng vùng truy cập Internet và quản lý bằng hệ thống ISA Server  Firewall không chỉ kiểm soát lưu lượng giữa các vùng tại chi nhánh mà còn giúp lập nên một vành đai kiểm soát từ xa đối với các Trung tâm miền cũng Hợi sở 5.3.4 Mơ hình cho phòng giao dịch Chúng ta phân biệt thành lọai phòng giao dịch có sẵn router phịng giao dịch mới, chưa có hệ thớng router với giả thiết thứ 2, có thể tận dụng ln firewall router để thực hiện đơn giản hóa thiết kế mạng Hình 5.17 Mô hình thiết kế cho các phòng giao dịch đã có sẵn router Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -93- Hình 5.18 Mô hình cho phòng giao dịch Như vậy, thông qua chương ta đã xây dựng được một mô hình mạng với thiết kế an ninh tổng thể cho các vùng cụ thể hệ thống mạng của Ngân hàng Mô hình thiết kế đáp ứng được các yêu cầu các yêu cầu về mặt an ninh, tính linh hoạt, khả mở rợng Mơ hình này có thể sử dụng bất kỳ sản phẩm của các nhà sản xuất nào thế giới, có mợt khún nghị là nên sử dụng kết hợp các sản phẩm của nhiều hãng khác mơ hinh Bởi vì mỡi hãng sẽ có các thế mạnh khác nhau, và việc kết hợp sẽ tận dụng được các thế mạnh của các hãng cho một hệ thống Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -94- Kết luận Các kết đạt được kiến nghị Về mặt lý thuyết Luận văn đã tìm hiểu về bộ giao thức được sử dụng rộng rãi mạng hiện nay, bộ giao thức TCP/IP Trong đó, đặc biệt ý đến việc tìm hiểu cấu trúc các gói tin TCP, IP, ICMP Việc tìm hiểu về cấu trúc các gói giữ mợt vai trò quan trọng quá trình xủ lý của các công nghệ firewall, IDS và đối với các kỹ sư làm việc lĩnh vực mạng và bảo mật mạng Tìm hiểu về các công nghệ firewall: công nghệ lọc gói, cơng nghệ Application Proxy, cơng nghệ statefull filtering Phân tích kiến trúc của firewall, từ đưa một số mô hình triển khai tiêu biểu Nghiên cứu công nghệ IDS: Nguyên lý hoạt động và vai trò của công nghệ IDS việc bảo vệ an ninh của hệ thống mạng Phân loại và định nghĩa các kiểu hệ thống IDS Về áp dụng thực tiễn Luận văn vào phân tích các nguy an ninh mạng cho hệ thớng mạng của Ngân hàng, từ đưa giải pháp an ninh tổng thể triển khai cho toàn hệ thớng Trong đó, đưa mơ hình thiết kế an ninh cụ thể cho Hội sở chính, các chi nhánh vùng và các chi nhánh cấp một và phòng giao dịch Hệ thống được thiết kế theo thiết kế an ninh tiêu chuẩn được khuyến nghị và đáp ứng được các yêu cầu trao đổi dữ liệu an toàn của Ngân hàng Kiến nghị Bảo mật mạng là một quá trình khép kín không ngừng giữa ba yếu tố công nghệ, người và các chính sách Luận văn mới tập trung vào yêu tố công nghệ, hướng phát triển tiếp theo của đề tài là tìm hiểu các tiêu chuẩn bảo mật ISO 27001, từ xây dựng các chính sách, quy định phù hợp cho hoạt động của Ngân hàng Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -95- Tài liệu tham khảo [1] Richard steven , TCP/IP illustrated volume [2] Robert J Shimonski (2003), The Best Damn Firewall Book Period, Syngress [3] Cisco Systems, Inc.(2004), CSIDS Student Guide V4.0-Cisco Secure Intrusion Detection, [4] Kerry J.Cox (2004), Managing security with snort and tool, O’Reilly [5] www.securityfocus.org [6] www.cccure.org [7] www.sans.org [8] www.juniper.net [9] www.cisco.com [10] www.net130.com Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học -96- Tóm tắt đồ án Về mặt nội dung đồ án bao gồm hai phần sau: Phần Công nghệ bảo mật: Bao gồm các chương Chương Cơ sở lý thuyết TCP/IP : Nghiên cứu bợ giao thức TCP/IP, tập trung vào việc phân tích các giá trị và ý nghĩa các trường các gói TCP, IP, ICMP Chương Cơng nghệ tường lửa Firewall: Nghiên cứu công nghệ tường lửa (firewall), các cơng nghệ lọc gói (packet filtering), Application Proxy, statefull filtering Tìm hiểu kiến trúc của tường lửa từ đưa các mơ hình triển khai tiêu biểu Chương Công nghệ phát hiện tấn công IDS: Định nghĩa và phân tích hoạt động của hệ thống phát hiện công (IDS- Inspection Detection System), phân loại các hệ thớng IDS khác có thể sử dụng bảo mật mạng Phần Ứng dụng triển khai: Bao gồm hai chương Chương Vấn đề bảo mật hệ thống mạng ngân hàng: Chương này sẽ phân tích hệ thống mạng của một ngân hàng Thương mại cổ phần, chỉ các lỗ hổng hệ thống mạng từ các khún nghị về các cơng nghệ bảo mật mạng cần được sử dụng để triển khai Chương Thiết kế triển khai: Từ các phân tích nêu và khuyến nghị chương 4, chương này sẽ đưa giải pháp an ninh tổng thể cho toàn bợ hệ thớng, bao gờm các thiết kế cho trung tâm Hội sở, các chi nhánh vùng và các phòng giao dich Nguyễn Duy Khánh Luận văn Thạc sỹ khoa học ... dẫn đến phá sản của các ngân hàng Từ yêu cầu thực tế trên, đồ án này em sẽ nghiên cứu và đưa “ Giải pháp bảo mật mạng cho doanh nghiệp khối ngân hàng? ?? Về mặt nội dung đồ... truy cập và thống kê .63 4.3.3 Bảo mật dùng các phương pháp mã hóa 64 4.3.4 Bảo mật sử dụng cơng nghệ lọc gói tin 65 4.3.5 Bảo mật dùng tường lửa 65... dựng một hệ thống mạng vừa đảm bảo cung cấp các dịch vụ thuận tiện cho khách hàng, vừa đảm bảo tính an toàn và bảo mật Lĩnh vực tài chính ngân hàng là mợt lĩnh vực nhạy

Ngày đăng: 20/07/2022, 08:05

w