BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI PHAN THỊ HẰNG NGHIÊN CỨU XÂY DỰNG HỆ THÔNGD MẠNG BẢO MẬT TẠI CHI NHÁNH NGÂN HÀNG TMCP CÔNG THƯƠNG VIỆT NAM LUẬN VĂN THẠC SĨ KHOA HỌC NGƯỜI HƯỚNG DẪN : TS PHẠM VĂN BÌNH HÀ NỘI – 2010 LỜI CAM ĐOAN Em cam đoan Luận văn nghiên cứu em Các số liệu, kết nêu luận văn trung thực chưa công bố Luận văn khác Các số liệu mô thích, trích dẫn tham khảo từ báo, tài liệu gốc cụ thể Học viên thực Phan Thị Hằng DANH MỤC VIẾT TẮT Một số thuật ngữ viết tắt: TÊN TÊN ĐẦY ĐỦ VIẾT TẮT Ý NGHĨA LAN Local Area Network Mạng cục WAN Wide Area Network Mạng diện rộng OSI Open System Interconnect Mô hình kết nối hệ thống mở IP Internet Protocol Giao thức liên mạng TCP Transmission Control Protocol Giao thức truyền dẫn hướng kết nối UDP User Datagram Protocol Giao thức truyền dẫn không hướng kết nối ICMP Internet Control Message Protocol Giao thức điều khiển thông báo lỗi ARP Address Resolution Protocol Giao thức phân giải địa SMTP Simple Mail Transmission Giao thức truyền thư điện tử đơn giản Protocol SNMP Simple Network Management Giao thức quản lý mạng đơn giản Protocol HTTP Hyper Text Transmission Protocol Giao thức truyền siêu ký tự (Web) FTP File Transfer Protocol Giao thức truyền file DoS Denial Of Service Tấn công từ chối dịch vụ DDoS Distributed DoS Tấn công từ chối dịch vụ phân tán DES Digital Encrypt Standard Chuẩn mã hoá đối xứng RSA Ronald Rivest, Adi Shamir, and Thuật toán mã hoá công khai Leonard Adleman AH Authentication Header Header IPv6 nhằm bảo đảm tính chân thực toàn vẹn gói tin trình truyền ESP Encapsulating Security Payload Hệ tự quản, tập hợp thiết bị định tuyến có hệ quản trị MAC Message Authentication Code Mã chứng thực tin CA Certificate Authority Tổ chức chứng thực SA Security Association Mối liên hệ bảo mật hai thực thể giao tiếp IKE Internet Key Exchange Giao thức trao đổi khoá sử dụng giao thức IP Sec SSL PKI Public Key Infastructure Kiến trúc khoá công khai SSL Secure Socket Layer Giao thức bảo mật lớp truyền dẫn IPSec Internet Protocol Security Giao thức bảo mật Internet IPS Intrusion Prevention System Hệ thống phòng chống thâm nhập IDS Intrusion Detection System Hệ thống phát thâm nhập ACL Access Control List Danh sách điều khiển truy nhập NAT Network Address Translation Dịch địa mạng RADIUS Remote Authentication Dial-up Dịch vụ chứng thực người sử dụng quay số từ User Service xa DNS Domain Name Service Dịch vụ tên miền NHCT VN Vietnam Joint Stock Commercial Ngân hàng TMCP Công Thương Việt Nam BDS Bank for Industry and Trade (Vietinbank) Branch Delivery System Hệ thống xử lý giao dịch Vietinbank NHĐT Ngân hàng điện tử DANH MỤC HÌNH Hình 1.1: Cấu trúc mạng máy tính đơn giản Hình 1.2: Cấu trúc phân lớp mô hình OSI Hình 1.3: Mô hình TCP/IP OSI Hình 1.4: Chồng giao thức tương ứng mô hình TCP/IP .2 Hình 1.5: Giao tiếp vật lý logic lớp Hình 1.6: Cấu trúc liệu tầng OSI .2 Hình 1.7: Nguyên tắc phân mảnh gói số liệu IP Hình 1.8: Thiết lập kết nối TCP/IP Hình 1.9: Kết thúc kết nối TCP/IP .2 Hình 1.10: Dịch vụ định tuyến lại (ICMP Redirect) Hình 2.1: Mô hình công DDoS Hình 3.1: Quá trình mã hoá lưu lượng IP Sec Hình 3.2: Cấu trúc Authentication Header Hình 3.3: Khuôn dạng gói IP mode truyền Hình 3.4: Cấu trúc ESP .2 Hình 3.5: Một gói IP bảo vệ ESP Transport mode Hình 3.6: Một gói IP bảo vệ ESP Tunnel mode .2 Hình 3.7: Vị trí SSL chồng giao thức TCP/IP Hình 3.8: Cấu trúc tin SSL Handshake Protocol .2 Hình 3.9: Quá trình bắt tay hai thực thể giao tiếp IP Sec Hình 3.10: Cấu trúc tin SSL Record Protocol Hình 3.11: Các bước xử lý phần liệu .2 Hình 3.12: NAT thay địa nguồn cổng nguồn .2 Hình 3.13: Hoạt động Web Proxy Hình 4.1: Quy trình bảo mật mạng .2 Hình 4.2: Cấu trúc hệ thống mạng bảo mật Hình 4.3: Cấu trúc hệ thống mạng bảo mật cho chi nhánh NHCT VN DANH MỤC BẢNG Bảng 1-1: Bảng so sánh giao thức TCP UDP Bảng 4-1: Phân địa cho VLAN MỞ ĐẦU Ngày nay, với tốc độ phát triển mạnh mẽ mạng toàn cầu đem lại lơi ích to lớn mặt kinh tế xã hội, giúp cho doanh nghiệp làm việc, giao dịch trao đổi thông tin với cách nhanh chóng; kết nối người với người cộng đồng Internet Tuy nhiên, lợi nên nơi lý tưởng để tội phạm, hacker sử dụng, khai thác với nhiều mục đích khác Hacker cộng đồng gồm nhiều tin tặc thường không lộ diện, động mục đích công vào hệ thống mạng họ thay đổi nhiều, từ việc muốn tiếng, gây phiền toái trêu chọc người chuyển sang mục đích công để ăn cắp thông tin, tiền bạc, thay đổi cấu hình hệ thống với mục đích đánh sập hệ thống, nhằm cạnh tranh với đối thủ kinh doanh, kể lĩnh vực quân Vì mức độ nguy hiểm lớn lường hết Do vậy, vấn đề bảo mật trở thành chủ đề nóng bỏng Internet! Xuất phát từ thực tiễn hàng loạt vấn đề thông tin an toàn thông tin đặt thách thức vô lớn Việc tìm hiểu, nghiên cứu, xây dựng, quản lý hệ thống mạng đảm bảo an ninh vấn đề cần thiết công ty/tổ chức để đảm bảo trình làm việc, giao dịch trao đổi thông tin liên tục Tuy nhiên, trình độ phát triển hacker ngày giỏi hệ thống chậm chạp việc xử lý lỗ hổng Điều đòi hỏi người quản trị mạng phải có kiến thức tốt bảo mật để giữ vững an toàn thông tin cho hệ thống Trong khuôn khổ đề tài, giúp đỡ thầy giáo TS Phạm Văn Bình, em tìm hiểu số vấn đề an ninh mạng máy tính, trình giao tiếp thực thể mạng máy tính, điểm yếu mạng vai trò quan trọng phương pháp mã hoá Các dấu hiệu công số phương án, biện pháp đối phó với công Từ đưa phương pháp thiết kế mạng bảo mật, ứng dụng chi nhánh NHCT VN Do đó, nội dung luận văn bao gồm nội dung sau: – Trình bày khái quát mạng máy tính Giới thiệu kiến trúc phân tầng OSI, từ đề cập chồng giao thức quan trọng TCP/IP, giao thức liên mạng IP, TCP UDP; giao thức điều khiển ICMP ARP – Giới thiệu số dịch vụ thông tin mạng lĩnh vực ngân hàng – Trình bày lĩnh vực an ninh mạng máy tính, loại hình công xâm nhập bất hợp pháp mạng máy tính, phân tích loại hình công mạng để từ đưa phương pháp đối phó phù hợp thông qua giao thức tăng cường bảo mật, công nghệ bảo vệ mạng – Thực thiết kế mô hình mạng có khả đảm bảo an toàn chi nhánh NHCT VN – Phân tích, đánh giá mô hình mạng đưa Em xin gửi lời cảm ơn sâu sắc đến thầy giáo TS Phạm Văn Bình tận tình bảo, hướng dẫn em hoàn thành luận văn Tuy nhiên, thời gian hạn chế, vấn đề nêu luận văn vấn đề phức tạp, nên luận văn không tránh khỏi thiếu sót Nhiều dấu hiệu công phức tạp chưa giải Trong thời gian tới, với bổ sung đầy đủ kiến thức, em hy vọng hoàn thiện thêm nghiên cứu sâu đề tài Kính mong nhận thông cảm đóng góp ý kiến thầy cô bạn bè, đồng nghiệp CHƯƠNG LÝ THUYẾT CHUNG VỀ MẠNG MÁY TÍNH 1.1 KHÁI QUÁT MẠNG MÁY TÍNH Mạng máy tính kết hợp hai hay nhiều máy tính với thông qua thiết bị xử lý (hub, switch ) phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo kiến trúc nhằm mục đích thông tin, chia sẻ tài nguyên (phần mềm, liệu ), thiết bị ngoại vi (máy in, máy quét ) sức mạnh xử lý Hình 1.1: Cấu trúc mạng máy tính đơn giản Mạng máy tính bao gồm thành phần sau: – Máy phục vụ (Server): Chia sẻ tài nguyên dịch vụ nói chung cho mạng: + Các tài nguyên (Resources): Dữ liệu, ứng dụng phần cứng cung cấp Servers mạng cho Client + Các dịch vụ mạng (Network services): thư điện tử (email), in ấn, chia sẻ file, truy xuất Internet, truy cập từ xa (Remote Access), quay số từ xa (remote dial-in), giao tiếp (communication) dịch vụ quản trị (management services) – Máy khách (Client): Sử dụng dịch vụ mạng mà Servers cung cấp – Giao thức mạng (Network protocol): Ngôn ngữ cho phép thực thể mạng, hệ thống giao tiếp trao đổi liệu với nhau, ví dụ: Sequence Packet Exchange/Internetwork Packet Exchange (SPX/IPX), Transmission Control Protocol/Internetwork Protocol (TCP/IP), NetBIOS Exchange User Interface (NEtBEUI) – Cấu trúc mạng (Network topology): Topo mạng cách kết nối máy tính với mặt hình học nên gọi tôpô mạng – Môi trường truyền dẫn (Transmission media): Kết nối vật lý máy tính cho phép chúng truyền tín hiệu tín hiệu qua lại với nhau: Cáp mạng, wireless Mạng máy tính tạo môi trường làm việc với nhiều người sử dụng phân tán, cho phép nâng cao hiệu khai thác tài nguyên chung nhiều so với máy hoạt động đơn lẻ Mạng máy tính có ưu điểm so với sử dụng máy tính riêng rẻ: – Chia sẻ liệu: Những liệu dùng chung cho nhiều người mạng tập trung máy Nếu lựa chọn máy tính để lưu trữ cho phép máy tính khác mạng sử dụng liệu làm tăng khả tập trung trì thông tin Máy tính có tính gọi máy chủ phục vụ (server) có phần mềm hệ điều hành đặc biệt dành riêng Điều cho phép: + Nhiều người sử dụng chung phần mềm tiện ích + Một nhóm người thực đề án dùng chung liệu, dùng chung tập tin (master file) đề án, giúp họ trao đổi thông tin với cách dễ dàng – Chia sẻ tài nguyên phần cứng: Mạng máy tính chia sẻ tài nguyên phần cứng: fax, modems, máy quét (scanners), đĩa cứng (hard - disks), đĩa mềm (floppy - disks), ổ đĩa CD (CD- ROMS), Băng từ (Tape), máy vẽ 4.1.4 Chức thành phần hệ thống 4.1.4.1 Hệ thống bảo vệ, chống công Hệ thống bảo vệ chống công ISS gồm modul phần mềm chính: – Modul quản lý ISS thực giao diện người sử dụng phần tử ISS Modul cho phép cài đặt chiến lược bảo vệ, lưu trữ thông số tượng bất bình thường thông báo lên hình cần thiết – Phần tử ISS, cài đặt máy mạng mạng bảo vệ Phần tử kiểm soát gói tin qua, định gói tin cho qua, gói tin bị loại tuỳ theo chiến lược bảo vệ Để tăng độ an toàn, tất liên lạc phần tử ISS chương trình quản lý mã hoá Mạng nội đánh địa theo hệ thống riêng Mạng nội kết nối với mạng bên qua số địa IP thức (public) Phần tử ISS có chức chuyển đổi địa mạng Network Address Translation_NAT) theo nguyên tắc sau: – Truyền thông tin mạng nội sử dụng địa IP riêng mạng nội – Truyền thông tin máy nội với mạng thực sau: + Các gói tin từ máy cấp địa IP tĩnh mạng với địa IP thức Cơ chế gắn địa dùng cho Web Server, Mail Server hay số trạm làm việc đặc biệt + Các gói tin từ máy gắn địa động chuyển đổi địa thông qua phần tử ISS Phần tử sửa gói tin để thay địa IP nội địa IP thức Do sử dụng NAT, có số tính sau: – Sử dụng tối đa địa IP thức cấp 88 – Địa IP nội giữ bí mật, mạng bên nhìn thấy – Có thể cấu hình lại mạng mà không cần thay đổi việc đánh địa TCP/IP – Cho phép thay đổi địa IP thức mà thay IP riêng mạng nội cho máy trạm – Có thể mở rộng mạng mà không cần phải thêm địa IP thức 4.1.4.2 Hệ thống xác thực người sử dụng Xác thực người sử dụng cung cấp chế cho phép người sử dụng xa với địa thay đổi truy nhập vào nguồn tài nguyên mạng nội số dịch vụ Tuy nhiên xây dựng chiến lược bảo vệ, ta chưa biết địa IP người sử dụng Mặt khác, địa IP thay đổi người sử dụng công tác tới địa điểm khác Đối với người sử dụng quay số để truy nhập vào tài nguyên hệ thống, ta sử dụng máy chủ lưu sở liệu người dùng để xác thực cho họ thông qua username password quay số(RADIUS Server) Tín hiệu quay số vào Firewall ASA truyền đến Server để xác thực phương pháp challenge/password 4.1.4.3 Hệ thống giám sát nột Việc giám sát, bảo vệ mạng nội dựa hệ thống giám sát IMS(Intranet Monitoring System) Hệ thống giám sát cách trực tuyến hoạt động mạng TCP/IP truy nhập hệ thống máy phục vụ, trao đổi thư điện tử, Web, truyền files, đăng nhập từ xa tra cứu sở liệu Việc giám sát cho phép nhà quản trị mạng có đầy đủ thông tin tức thời hoạt động diễn mạng, từ có xử lý, tác động thích hợp trường hợp vi phạm nguyên tắc an toàn mạng Từ mô hình tổng quát ta xây dựng mô hình hệ thống máy tính bảo mật, tuỳ thuộc vào tổ chức, hệ thống chức 89 mà cấu trúc mạng có dạng phù hợp 4.2 THIẾT KẾ MÔ HÌNH MẠNG CÓ KHẢ NĂNG ĐẢM BẢO AN TOÀN CHO MỘT CHI NHÁNH CỦA VIETINBANK 4.2.1 Môi trường mạng có – Có kết nối từ chi nhánh đến trung tâm tích hợp liệu thông qua đường Leased Line 512kbps – Có 2-3 server chạy Windows 2003 Server – Các Server chạy ứng dụng có trao đổi liệu với trung tâm tích hợp liệu – Kết nối mạng LAN theo mô hình Star Có 2-6 switch lớp 2, switch lớp 3, có Router dùng kết nối lên trung tâm chi nhánh, phòng giao dịch quỹ tiết kiệm – Để tăng cường bảo mật cho hệ thống mạng chi nhánh sử dụng ASA5520 Firewall (Có Module IPS kèm) firewall Checkpoint Nokia N390 – Các phần mềm diệt Virus có quyền Trendmicro, Windows 2000 Advanced Server, XP, Windows 2000 Professional 4.2.2 Yêu cầu Với thiết bị mạng mà chi nhánh có, yêu cầu thiết kế mô hình mạng đảm bảo yêu cầu sau: – Lưu lượng từ quỹ, phòng giao dịch trao đổi với trung tâm tích hợp liệu với trụ sở chi nhánh phải kiểm soát – Hạn chế tối đa truy nhập không phép từ bên mạng – Kết nối Internet phải kiểm soát, có khả đảm bảo an toàn cho mạng riêng tốt – Có khả hạn chế việc phát tán Virus, Worm số đoạn mã độc hại mạng tham gia kết nối Internet – Đảm bảo cho băng thông mạng tốt 90 – Kỹ thuật đánh địa mạng riêng chi nhánh không bị phơi bày cho quỹ, phòng giao dịch, trung tâm tích hợp liệu – Hạn chế tối đa việc sử dụng Sniffer để nghe thông tin quan trọng mạng 4.2.3 Thiết kế mô hình mạng Thiết mô hình mạng (topology mạng) đóng vai trò quan trọng việc đảm bảo an toàn thông tin hiệu hoạt động hệ thống máy tính Việc thiết kế tốt mô hình mạng giúp mạng máy tính hoạt động cách hiệu Kẻ công khó thâm nhập vào hệ thống Tuỳ vào mức độ yêu cầu bảo mật hệ thống nhu cầu truy xuất Internet, mạng mà mô hình mạng thay đổi phù hợp Với môi trường mạng yêu cầu có, mô hình hệ thống mạng bảo mật thiết kế hình (3.3) Hình 4.3: Cấu trúc hệ thống mạng bảo mật cho chi nhánh NHCT VN 91 4.2.4 Cấu hình bảo mật cho hệ thống Việc cấu hình bảo mật cho hệ thống mạng vấn đề phức tạp đòi hỏi nhà thiết kế phải có hiểu biết sâu sắc mạng bảo mật mạng Công việc cấu hình bảo mật cho hệ thống bao gồm nhiều phần nhằm chống lại nguy sau: – Các công từ chối dịch vụ (DoS) từ bên vào mạng, – Các công xâm nhập không phép vào mạng thông qua việc khai thác điểm yếu hệ điều hành, lỗi chương trình ứng dụng – Sự lây lan Virus, Worm hay Trojan mạng Để chống lại nguy bị công từ chối dịch vụ từ bên xâm nhập không phép vào mạng, cần triển khai Firewall hợp lý cấu hình sách truy nhập đắn Để hạn chế lây lan Worm Virus từ bên vào mạng, cần triển khai hệ thống phần mềm chống Virus, cập nhật thường xuyên mẩu Virus mới, vá hệ điều hành Ngoài ra, mạng việc chứng thực, cấp phép phân quyền cho đối tượng cụ thể cần thực nhằm tránh truy nhập trái phép vào tài nguyên chia sẻ Bảng phân bố địa cho VLAN Switch Layer Bảng 4-1: Phân địa cho VLAN VLAN ID VLAN Name IP Address Subnet System 172.20.0.17 255.255.255.224 Server Không dùng địa ATM 172.20.0.65 255.255.255.224 PC 172.20.2.1 255.255.255.0 PGD-QUI 172.20.0.129 255.255.255.128 92 L3-ASA 172.20.0.98 ASA-ROUTER Không dùng địa 255.255.255.224 – Đặt tên cho interfaces ASA firewall: CTXXX(config)#interface Ethernet0vx CTXXX(config-if)# nameif outside CTXXX(config-if)#security-level CTXXX(config-if)#ip address 10.0.0.3 255.255.255.0 Để tránh phơi bày kỹ thuật đánh địa mạng bên (từ phía trung tâm, quỹ tiết kiệm, phòng giao dịch) cần cấu hình NAT Interfaces – Cấu hình NAT Inside Outsite: Kết nối từ Inside DMZ1, Inside Outside quan trọng đảm bảo hệ thống hoạt động hay không CTXXX(config)# nat (inside) 172.20.2.0 255.255.255.0 CTXXX(config)#global (outside) 172.20.1.50-172.20.1.254 CTXXX(config)# static (inside, outside) 172.20.1.47 172.20.0.67 Ở cấu hình cho phép 204 kết nối đồng thời từ bên tới trung tâm tích hợp liệu Nếu số lượng kết nối tăng mạng chi nhánh phát triển mạng sử dụng thêm PAT với địa 172.20.1.3 địa Interface kết nối mạng CTXXX(config)#global (outside) interface – Cấu hình NAT Inside DMZ1(Server Farm) Các máy client mạng Inside kết nối đến Server ứng dụng, File Web Các server nhu cầu bắt đầu kết nối đến mạng bên CTXXX(config)# nat (inside) 172.20.2.0 255.255.255.0 93 CTXXX(config)# global(dmz1) 172.20.0.45-172.20.0.60 – Cấu hình NAT DMZ1 Outside Với yêu cầu kết nối phía trung tâm tích hợp liệu từ Server vùng DMZ1, nghĩa hai phía nhìn thấy CTXXX(config)# static (dmz1,outside) 172.20.1.35 172.20.0.35 CTXXX(config)# static (dmz1,outside) 172.20.1.36 172.20.0.36 CTXXX(config)# static (dmz1,outside) 172.20.1.37 172.20.0.37 – Cấu hình NAT DMZ2 DMZ1 Các client vùng DMZ2 có nhu cầu truy cập thông tin vùng DMZ1 truyền file ta sử dụng lại NAT ID CTXXX(config)# nat (dmz2) 172.20.3.0 255.255.255.0 – Cấu hình NAT DMZ2 trung tâm tích hợp liệu CTXXX(config)# nat (dmz2) 172.20.3.0 255.255.255.0 – Các dịch vụ mà từ phía trung tâm tích hợp liệu ITC cần giao tiếp với Server, ta nhóm lại : object-group service TW-ServerCN tcp description Nhung services server tu TW truy cap ve server chi nhanh group-object oracle port-object eq telnet port-object eq domain port-object eq ssh port-object eq smtp port-object eq ftp-data 94 port-object eq www port-object eq ftp port-object eq https – Tương tự dịch vụ mà Server chi nhánh cần giao tiếp với ITC: object-group service ServerCN-TW tcp description Nhung service server chi nhanh duoc truy cập len TW group-object INCAS group-object PC-CN group-object oracle port-object eq domain port-object eq smtp port-object eq ftp-data port-object eq hostname port-object eq www port-object eq ftp port-object eq https port-object eq sqlnet Như vậy, việc cấu hình danh sách điều khiển truy nhập sau: – Từ outside vào DMZ1(Server chi nhánh): CTXXX(config)#access-list outside_access_server permit tcp any 172.20.17.32 255.255.255.224 object-group TW-ServerCN – Từ Server chi nhánh(DMZ1) outside: CTXXX(config)#access-list inside_out permit 255.255.255.224 any object-group ServerCN-TW 95 tcp 172.20.16.32 … Để hạn chế xâm nhập thông qua việc khai thác lỗi hệ điều hành, hạn chế khả phát tán Virus, Worm hay đoạn mã độc hại, mạng có Server (được cài đặt phần mềm SUS/WSUS Trendmicro Server) có nhiệm vụ download vá lỗi từ nhà sản xuất hệ điều hành (như Microsoft) mẫu virus sau tự động cập nhật vá cho Client mạng Ngoài việc triển khai hệ thống diệt Virus tự động, cấu hình mạng chi nhánh tiến hành phân chia thành VLAN riêng biệt Việc phân chia mạng LAN chi nhánh thành VLAN khác nhằm hạn chế vùng broadcast mạng, dễ quản lý tránh việc sử dụng phần mềm hoạt động lớp để nghe thông tin mạng 4.2.5 Phân tích đánh giá mô hình Tại trụ sở chi nhánh, mạng chia thành nhiều VLAN khác theo chức Việc chia VLAN làm tăng hiệu hệ thống, giảm cố Virus, giảm vùng broadcast, phân tách hệ thống rỏ ràng để thuận tiện cho việc quản lý giám sát cụ thể Do đặc điểm hoạt động chi nhánh ngân hàng Vietinbank có kết nối từ chi nhánh lên trung tâm vùng, từ trung tâm vùng DC DR Không có kết nối trực tiếp internet Do việc công từ mạng internet Các kết nối Internet hạn chế Chỉ truy cập web qua Proxy Server đặt trung ương Những kẻ công bên muốn truy nhập vào hệ thống bên phải qua vùng sau vượt qua tường lửa thứ nhất(Proxy) cho dù có khống chế Proxy Server xâm nhập vào mạng bên Hệ thống giám sát bên đặt vùng DMZ có khả giám sát lưu lượng vùng DMZ với bên vùng DMZ với mạng bên 96 Do giám sát cách cẩn thận công hay thâm nhập vào hệ thống bên phát Từ mô hình ta thấy rằng, nguy công hệ thống xuất phát từ vị trí sau: – Người dùng mạng nội – Người dùng từ mạng khác hệ thống – Tấn công mạng từ Internet Đối với nguồn công xuất phát từ bên trong, việc kiểm soát công khó khăn, vậy, việc giáo dục ý thức đưa hình thức kỹ luật nghiêm khắc phương án đối phó hữu hiệu Để hạn chế công bên thông qua việc phát tán virus, worm hay trojan từ mạng khác công ty, biện phát tối ưu sử dụng phần mềm diệt virus Các phần mềm diệt virus dùng Synmatec, Trendmicro, Norton Antivirus hay BKAV Tuy nhiên, quy mô đặc điểm mạng chi nhánh ngân hàng, nên sử dụng phần mền nước Trenmicro hay Synmatec phần mềm viết dựa chế Client/Server, có khả bảo vệ máy trạm khỏi nguy bị Virus , Worm cách hiệu đặc biệt viết dựa mô hình Client /Server nên máy trạm client cập nhật mẫu Virus, Worm cách nhanh chóng bảo vệ máy trạm hiệu Để hạn chế việc công từ chối dịch vụ xuất phát từ mạng khác, chi nhánh con, biện pháp tối ưu cấu hình router Firewall ASA Với sách cho qua lưu lượng cần thiết, rõ ràng từ chối tất lại Do hạn chế việc sử dụng địa giả hay không tồn nhằm thực công DoS hay DDoS Từ mô hình thấy rằng, để đảm bảo an toàn cao cho hệ thống việc nhà quản trị mạng phải có hiểu biết tốt bảo mật 97 người phải có ý thức tốt đòi hỏi phải sử dụng nhiều thành phần, công nghệ khác Vấn đề đặt dung hoà nhu cầu an toàn mạng chi phí để đạt Điều phải tuỳ thuộc vào công ty, tổ chức cụ thể, mục đích chế hoạt động mà từ có thay đổi phù hợp Các tính đạt mô hình mạng trên: Các tính Firewall: – Thông lượng Firewall cao, đạt 150Mbps – Có thể hỗ trợ 10.000 kết nối đồng thời – Firewall có tích hợp sẵn tính IPS chống đánh phá Các tính kỹ thuật: – Kiểm soát truy cập o Kiểm soát truy nhập vào từ bên (các partner) vào mạng ngược lại o Kiểm soát truy nhập vào từ mạng chi nhánh – Biên dịch địa o Dịch địa máy bên mạng DMZ sang địa thực bên o Dịch địa máy bên mạng nội địa mạng địa card mạng bên Firewall – Chống công o Có thể hạn chế công DoS, DDoS số loại công khác o Các mẫu virus cập nhật tự động cho toàn mạng o Các vá lỗi cho hệ điều hành(WINDOWS) tự động cập nhật cho tất client mạng Do tránh công cách khai thác điểm yếu hiệu 98 KẾT LUẬN Qua luận văn em tìm hiểu số vấn đề an minh mạng máy tính, trình giao tiếp thực thể mạng máy tính, điểm yếu mạng vai trò quan trọng phương pháp mã hoá Các phương pháp, dấu hiệu công số phương án biện pháp đối phó với công Tuy nhiên, thời gian hạn chế, vấn đề nêu luận văn vấn đề phức tạp, nên luận văn không tránh khỏi thiếu sót Nhiều dấu hiệu công phức tạp chưa giải Trong thời gian tới, với bổ sung đầy đủ kiến thức thời gian, em hy vọng hoàn thiện thêm nghiên cứu sâu đề tài Một lần nữa, em xin chân thành cảm ơn thầy giáo TS Phạm Văn Bình tận tình hướng dẫn, giúp đỡ em thực luận văn tốt nghiệp Cảm ơn thầy cô, bạn bè, đồng nghiệp đóng góp ý kiến để luận văn hoàn thiện 99 TÀI LIỆU THAM KHẢO [1] Dương Bảo Ninh: Mạng máy tính, Giáo trình mạng máy tính năm 2009 [2] Vũ Quốc Thành: Dự báo an toàn thông tin 2009 vấn đề doanh nghiệp cần quan tâm, Hiệp hội An toàn thông tin Việt Nam (VNISA) [3] Tổng cục kỹ thuật – Bộ công an: An ninh mạng máy tính năm 2008, an ninh mạng ngành tài ngân hàng Nguyễn Thúc Hải: Mạng máy tính hệ thống mở, Nhà xuất giáo dục năm 1997 [4] Vũ Duy Lợi: Mạng thông tin máy tính, Kiến trúc, nguyên tắc hiệu suất hoạt động, Nhà xuất giới năm 2002 [5] VN-GUIDE: Bảo mật mạng, Bí Giải pháp, Nhà xuất thống kê [6] David R Mirza Amrza, Ido Dubrawsky: Hack Proofing your Network [7] Stuart McClure, Joel Scambray and George Kurtz: Hacking Exposed (Fourth Edition) [8] Syngress Mission Critical Internet Security Các Website: http://us.trendmicro.com/us/products/enterprise/interscan-web-security-suite/ http://us.trendmicro.com/us/products/enterprise/interscan-messaging-security-suite/ http://forum.athena.edu.vn/iso-17799-27001/146-tieu-chua-n-iso-17799-a.html http://www.hvaonline.net http://www.quantrimang.com http://www.codeguru.com http://www.codeproject.com http://www.cisco.com 100 MỤC LỤC LỜI CAM ĐOAN .1 DANH MỤC VIẾT TẮT DANH MỤC HÌNH DANH MỤC BẢNG MỞ ĐẦU… CHƯƠNG LÝ THUYẾT CHUNG VỀ MẠNG MÁY TÍNH .2 1.1 KHÁI QUÁT MẠNG MÁY TÍNH 1.2 GIAO THỨC MẠNG TCP/IP 1.3 MỘT SỐ DỊCH VỤ MẠNG TRONG LĨNH VỰC NGÂN HÀNG 1.3.1 Dịch vụ Home-banking 1.3.2 Dịch vụ Internet-banking 1.3.3 Dịch vụ Chuyển tiền kiều hối online 1.3.4 Dịch vụ SMS-banking CHƯƠNG CÁC VẤN ĐỀ VỀ AN NINH MẠNG MÁY TÍNH 2.1 TÌNH HÌNH AN NINH MẠNG MÁY TÍNH HIỆN NAY 2.2 AN NINH MẠNG NGÀNH TÀI CHÍNH NGÂN HÀNG 2.2.1 Vấn đề an ninh website ngành ngân hàng 2.2.2 Tội phạm thẻ gia tăng 2.2.3 Virus ảnh hưởng lớn đến hoạt động nghiệp vụ Ngành 2.3 CÁC LĨNH VỰC AN NINH MẠNG MÁY TÍNH 2.3.1 An toàn mạng(Network Security) 2.3.2 An toàn ứng dụng(Application Security) 2.3.3 An toàn hệ thống(System Security) 2.4 CÁC HÌNH THỨC TẤN CÔNG MẠNG 2.4.1 Do thám mạng .2 2.4.2 Xâm nhập bất hợp pháp 2.4.3 Tấn công từ chối dịch vụ(Denial of Service) 2.4.4 Distributed DoS(DDoS) CHƯƠNG CÁC GIAO THỨC VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG 3.1 CÁC GIAO THỨC TĂNG CƯỜNG BẢO MẬT CHO TCP/IP 3.1.1 Mã hoá 101 3.1.2 Giao thức bảo mật IPSec .2 3.1.3 Secure Socket Layer 3.2 MỘT SỐ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG .2 3.2.1 Bức tường lửa (Firewall) .2 3.2.2 Máy chủ uỷ quyền (Proxy Server) CHƯƠNG THIẾT KẾ BẢO MẬT CHO HỆ THỐNG MẠNG TẠI CHI NHÁNH VIETINBANK .2 4.1 THIẾT KẾ BẢO MẬT CHO MỘT HỆ THỐNG MẠNG .2 4.1.1 Chính sách an ninh mạng (network security policy) 4.1.2 Các yêu cầu an ninh cần đảm bảo 4.1.3 Kiến trúc chung hệ thống bảo mật 4.1.4 Chức thành phần hệ thống 4.2 THIẾT KẾ MÔ HÌNH MẠNG CÓ KHẢ NĂNG ĐẢM BẢO AN TOÀN CHO MỘT CHI NHÁNH CỦA VIETINBANK 4.2.1 Môi trường mạng có 4.2.2 Yêu cầu 4.2.3 Thiết kế mô hình mạng 4.2.4 Cấu hình bảo mật cho hệ thống .2 4.2.5 Phân tích đánh giá mô hình KẾT LUẬN TÀI LIỆU THAM KHẢO 102 ... tích loại hình công mạng để từ đưa phương pháp đối phó phù hợp thông qua giao thức tăng cường bảo mật, công nghệ bảo vệ mạng – Thực thiết kế mô hình mạng có khả đảm bảo an toàn chi nhánh NHCT VN... thông tin đặt thách thức vô lớn Việc tìm hiểu, nghiên cứu, xây dựng, quản lý hệ thống mạng đảm bảo an ninh vấn đề cần thiết công ty/tổ chức để đảm bảo trình làm việc, giao dịch trao đổi thông tin... không đồng nhất, nghĩa kết nối hệ thống có kiến trúc phần cứng, phần mềm hệ thống cấu trúc số liệu không giống Mô hình mức OSI mô hình kết nối mở hệ thống tính toán xây dựng nguyên tắc phân mức chức