Chương I: Tổng quan về an toàn thông tin Trong chương này em tìm hiểu tổng quan về an toàn thông tin hiện nay và các ứng dụng rộng lớn của nó. Chương II: Tổng quan về hệ thống thư điện tử Trong chương này em tìm hiểu cơ bản về khái niệm thư điện tử, cấu trúc hoạt động của một bức thư điện tử là như thế nào và các khái niệm cơ bản về các giao thức truyền nhận mail. Chương III: Bảo mật Mail Sever
TRƯỜNG ĐẠI HỌC KỸ THUẬT HẬU CẦN CAND KHOA ĐIỆN TỬ - VIỄN THƠNG BÁO CÁO HỌC PHẦN: “AN TỒN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN” ĐỀ TÀI: “BẢO MẬT MAIL SEVER” LỚP D2C – KHÓA D2 – T36 (Nhóm) Học viên thực hiện: Nguyễn Lê Hồng Anh Nguyễn Hồng Nam Nguyễn Ngọc Hải Đỗ Văn Tuấn NHĨM: Giáo viên hướng dẫn: TS Phạm Thế Quế Bắc Ninh – Năm 2016 MỤC LỤC Trang MỤC LỤC HÌNH ẢNH Trang LỜI NÓI ĐẦU Ngày nay, mạng Internet trở thành tảng cho trao đổi thơng tin tồn cầu Có thể thấy cách rõ ràng Internet tác động lên nhiều mặt đời sống từ việc tìm kiếm thơng tin, trao đổi liệu đến việc hoạt động thương mại, học tập nghiên cứu làm việc trực tuyến Nhờ Internet mà việc trao đổi thông tin ngày tiện lợi, nhanh chóng Thư điện tử dịch vụ phổ biến tiện lợi mạng Internet Khái niệm thư điện tử khơng xa lạ với người Thư điện tử giúp người sử dụng máy tính kết nối Internet trao đổi thơng tin với Mọi giao dịch, trao đổi thơng qua thư điện tử Vấn đề bảo mật thông tin doanh nghiệp lên đến mức báo động , việc quản lý hệ thống CNTT nói chung hệ thống mail nói riêng khơng vững mát thông tin mà doanh nghiệp nhiều năm xây dựng Các hệ thống Mail Server chuyên dụng chi phí cao hoạt động ổn định, nhanh bảo mật cao thường triển khai cho doanh nghiệp lớn Đối với doanh nghiệp vừa nhỏ giải pháp thường triển khai hệ thống Linux-Unix Microsoft Linux-Unix: Ưu điểm miễn phí mã nguồn mở, yêu cầu phần cứng thấp, nhanh ổn định Nhược điểm khó triển khai quản trị Microsoft: Ưu điểm dễ dàng triển khai quản trị, thân thiện với người dùng Nhược điểm giá thành tương đối yêu cầu phần cứng cao Việc đảm bảo an toàn với hệ thống mail Server phải trọng từ khâu thiết thi công Phải an tồn từ mơ hình mạng đến ứng dụng Server Ngoài ra, vấn đề Virus Spam nguy đe dọa đến vận hành ổn định hệ thống, đồng thời nguy mát bị đánh cắp liệu cao, điều ảnh hưởng trực tiếp đến lợi ích người dùng doanh nghiệp Vì triển khai xây dựng hệ thống mail cho doanh nghiệp cần phải tính tới vấn đề bảo mật chống Spam, Virus Tuy nhiên, việc thiết lập biện pháp an toàn cho hệ thống mail giải pháp sử dụng linux Microsoft sử dụng giải pháp bảo mật bên thứ như: Symantec, Norton, Kapersky,… hay giải pháp công ty Việt nam: CMC, BKIS, FPT, … Nắm bắt vấn đề đó, nên chúng em tìm hiểu nghiên cứu vấn đề liên quan đến an toàn bảo mật hệ điều hành Windows Nhằm hỗ trợ việc đảm bảo an toàn Mail Server Đề tài chúng em gồm chương: Chương I: Tổng quan an tồn thơng tin Trong chương em tìm hiểu tổng quan an tồn thơng tin ứng dụng rộng lớn Chương II: Tổng quan hệ thống thư điện tử Trong chương em tìm hiểu khái niệm thư điện tử, cấu trúc hoạt động thư điện tử khái niệm giao thức truyền nhận mail Chương III: Bảo mật Mail Sever Trong chương em tìm hiểu vấn đề thường gặp Mail server nay, Spam, virus, hay giả mạo địa hướng giải vấn đề cụ thể Chúng em xin chân thành cảm ơn thầy cô tạo điều kiện giúp đỡ để em hoàn thành báo cáo Chúng em xin gửi lời cảm ơn chân thành tới thầy giáo TS Phạm Thế Quế hướng dẫn giúp đỡ chúng em nhiều để em thực đề tài: “Bảo mật Mail Server” CHƯƠNG I TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 Các tính chất an tồn Tính tồn vẹn (integrity): Tính chất đảm bảo chống lại công sửa đổi thông tin q trình truyền tải Tính chất khơng đảm bảo cho thơng điệp đơn lẻ mà u cầu mở rộng cho luồng thơng điệp Điều có nghĩa nguồn thơng điệp tính chất đảm bảo khơng có thơng điệp bị mất, giả mạo chống lại công dùng lại Tính tồn vẹn khơng tính chất an tồn mà tính chất quan trọng cần phải có vấn đề bảo mật, thơng điệp cần đảm bảo an tồn tồn vẹn mà phải chống lại lỗi q trình truyền tin Tính bí mật (Confidentiality): Tính chất đảm bảo chống lại công truy nhập trái phép liệu công phân tích luồng liệu Tính sẵn sàng (Avaiability): Tính sẵn sàng hệ thống thông tin yêu cầu tài nguyên hệ thông phải khả dụng Bất lúc thơng tin truyền tải kênh truyền phải sẵn sàng đáp ứng, người nhận phải sẵn sàng xử lý thông tin nhận Authentication: Thẩm định quyền tính chất nhằm đảm bảo thông tin xác thực Hệ thống đảm bảo thực thi trình thẩm định quyền phải đảm bảo chắn người nhận liệu 1.2 Nguyên tắc hoạt động mạng theo mơ hình Client/ server 1.2.1 Mơ hình Client Server Hình 1.1 Client/Server model Mơ hình client-server máy tính kiến trúc ứng dụng phân tán nhiệm vụ phân vùng khối lượng công việc việc cung cấp tài nguyên dịch vụ, gọi server, yêu cầu dịch vụ gọi client Thông thường Client server làm việc với thơng qua mạng máy tính phần cứng riêng biệt, máy client server nằm hệ thống Một cỗ máy server máy chủ chạy hay nhiều chương trình server mà chia sẻ tài nguyên chúng với máy client Một máy client không chia sẻ tài nguyên nó, yêu cầu nội dung chức dịch vụ Do máy client bắt đầu phiên giao tiếp với server đợi yêu cầu đến Internet suy cho kiến trúc Client/server Máy tính bạn chạy phần mềm gọi client tương tác với phần mềm khác biết server, server đặt máy tính từ xa Máy client thường trình duyệt Internet Explorer, Netscape Navigator or Mozilla Các trình duyệt tương tác với server mà sử dụng lệnh gọi giao thức Các giao thức giúp liệu chuyển tiếp xác thơng tin thơng qua u cầu từ trình duyệt hồi đáp đến server Có nhiều giao thức sẵn có Internet Trình World wide web, phần internet, đem tất giao thức gốc Bởi mà bạn sử dụng HTTP, FTP, Telnet, email, từ tảng -trình duyệt web bạn Đặc tính client server mơ tả mối quan hệ chương trình kết hợp ứng dụng Thành phần server cung cấp chức dịch vụ cho nhiều máy client nơi bắt đầu yêu cầu dịch vụ Chương trình chuyển tiếp u cầu chương trình máy khác sở liệu gửi yêu cầu đến máy chủ sở liệu máy tính ngân hàng khác Chức email exchange, truy cập web, truy nhập sở liệu, xây dựng mơ hình hình client-server Người dùng truy cập vào dịch vụ ngân hàng từ máy tính họ sử dụng máy trình duyệt web để gửi yêu cầu đến máy chủ web ngân hàng để khôi phục thông tin tài khoản Cân trả cho máy khách sở liệu ngân hàng, nơi mà quay trở lại máy client trình duyệt web hiển thị kết người dùng Mơ hình client-server trở thành ý tưởng mạng máy tính Ngày nhiều ứng dụng kinh doanh viết sử dụng mơ hình client-server Nên giao thức ứng dụng Internet HTTP, SMTP, telnet DNS Tương tác client server thường mơ tả sử dụng sơ đồ trình tự Sơ đồ trình tự theo chuẩn Unified Modeling Language Các loại hình cụ thể máy khách bao gồm trình suyệt web, email, chat Các loại hình cụ thể máy chủ bao gồm web server, ftp server, database servers, name servers, file servers, print servers Hầu hết dịch vụ web loại servers 1.2.2 Nhiệm vụ máy server client 1.2.2.1 Nhiệm vụ máy Client Là thi hành dịch vụ cho người dùng, cách kết nối chương trình ứng dụng máy Server, dựa vào chuối nhập để chuyển yêu cầu đến Server nhận kết trả từ Server thị thông tin nhận cho người dùng 1.2.2.2 Nhiệm vụ máy Server Luôn lắng nghe kết nối đến cổng liên quan đến giao thức mà Server phục vụ Khi máy Client khởi tạo kết nối, máy server chấp nhận tạo luồng riêng biệt phục vụ cho máy Client Ngồi máy Server phải quản lý hoạt động mạng phân chia tài nguyên chung (hay gọi tài nguyên mạng) Trong việc trao đổi thơng tin Client,…máy Server đóng vai trò máy trạm(Client) Server phải đảm bảo hai yêu cầu chức Server: cho phép truyền liệu nhanh chóng, đảm bảo an tồn bảo mật khơng mát liệu 1.2.2.3 Mơ hình Client/Server Là mơ hình ảnh hưởng lớn tới ngành cơng nghệ thơng tin Mơ hình biến máy tính riêng lẻ có khả xử lý thấp thành mạng máy chủ máy trạm có khả xử lý gấp hàng trăm ngàn lần máy tính mạnh Mơ hình giúp cho việc giải toàn phức tạp cách dễ dàng hơn, cách phân chia toàn lớn thành nhiều toàn giải toàn a Ưu điểm - Các tài nguyên quản lý tập trung - Có thể tạo kiểm soát chặt chẽ truy cập file liệu - Giảm nhẹ gánh nặng quản lý máy Client - Bảo mật back up liệu từ Server b Nhược điểm - Khá đắt tiền so với mạng ngang hàng (peer to peer) Giá lắp đặt server cao - Server chở thàng điểm yếu hệ thống, nghĩa Server hỏng tồn hệ thống chết theo, tính để kháng lỗi yêu cầu quan trọng mơ hình 1.3 Các ứng dụng Client/Server Internet 1.3.1 World Wide Web(www) World Wide Web dịch vụ Internet Nó chưa thơng tin bao gồm văn bản, hình ảnh, âm chí video kết hợp Web kho thông tin khổng lồ: phong phú nội dung, đa dạng hình thức, thường xuyên cập nhật, đổi phát triển khơng ngừng Khả đặt hình ảnh lên Web Site bất ngờ làm cho thông tin Web trở nên hấp dẫn Ngoài HTTP (Hypertext Transfer Protocol) cho phép trang Web kết nối với qua siêu liên kết (hyperlink), nhờ mà người dùng dễ dàng "nhảy" qua Website nằm hai đầu trái đất, World Wide Web phần cấu thành nên Internet ngồi có nhiều thành phần khác như: E-mail, Gopher, Telnet, Usenet Các trình duyệt máy Client thay mặt người sử dụng yêu cầu tập tin HTML từ Server Web cách thiết lập kết nối với máy Server web đưa yêu cầu tập tin đến Server Server nhận yêu cầu này, lấy tập tin gởi chúng đến cửa sổ trình duyệt Client Web Server web cung cấp thông tin dạng siêu văn bản, biểu diễn dạng trang Các trang có chứa liên kết tham chiếu đến trang khác đến tài nguyên khác Web Server Web Server khác Các trang tư liệu siêu văn sau soạn thảo quản lý chương trình Web Server chạy máy Server hệ thống mạng 1.3.2 Thư điện tử (E-Mail) Electronic mail (Email ): Là dịch vụ Internet giúp cho việc trao đổi thơng điệp người dùng hay nhóm người dùng mạng Là dịch vụ phổ biến thông dụng mạng Internet/Intranet thiếu Internet/Intranet Dựa giao thức chuẩn Internet: Simple Mail Transfer Protocol (SMTP) Nó dịch vụ kiểu lưu chuyển tiếp (store and forward) thư chuyển từ máy sang máy khác máy đích nhận Người nhận thực số thao tác đơn giản để lấy thư, đọc thư cần cho in Thư điện tử có khả gửi tới nhiều người thời điểm Chuyển giao tài liệu cách nhanh chóng với chi phí cực thấp Giao thức liên lạc : gửi thư Internet sử dụng nhiều giao thức khác nhau, giao thức SMTP (Single Message Transfer Protocol) dùng việc vận chuyển mail trạm Là giao thức để chuyển thư máy Client, SMTP có gửi thư, nhận thư, tập hợp lệnh dùng để gởi thư từ người gửi đến người nhận Giao thức SMTP hoạt động theo mơ hình khách/chủ (Client/ Server) với tập lệnh đơn giản, trình khách (SMTP mail Client) bắt tay với trình chủ (SMTP mail Server) gửi yêu cầu tiếp nhận mail Trình chủ đọc nội dung mail trình khách gửi đến lưu vào thư mục định tương ứng với user máy chủ Phần làm rõ chương sau Cứ trạm e-mail thường bao gồm hai dịch vụ: POP3 (Post Office Protocol Version 3) có nhiệm vụ nhận/trả thư từ/tới e-mail client dịch vụ SMTP (Simple E-mail Transfer Protocol) có nhiệm vụ nhận/phân phối thư từ/đến POP3 đồng thời trao đổi thư với trạm e-mail trung gian IMAP (INTERNET MESSAGE ACCESS PROTOCOL - VERSION rev1) thực chất giao thức bổ sung mở rộng giao thức POP3 thiếu IMAP cho phép đọc, xoá, gửi, di chuyển mail máy chủ Điều thuận tiện cho người nhận mail phải thường xuyên di chuyển mail từ máy sang máy khác trình làm việc Phần khác ứng dụng thư điện tử cho phép người sử dụng đính kèm (attachments) theo thư tập tin Như để gởi/nhận thư người sử dụng cần quan tâm tới cách sử dụng chương trình e-mail client Hiện có nhiều chương trình e-mail client Microsoft Outlook Express, Eudora Pro, Peagasus mail, 1.3.3 Dịch vụ FTP (File Transfer Protocol) FTP (viết tắt File Transfer Protocol) thường dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giao thức TCP/IP (chẳng hạn Internet mạng ngoại - intranet - mạng nội bộ) Máy chủ FTP, dùng chạy phần mềm cung cấp dịch vụ FTP, gọi server, lắng nghe yêu cầu dịch vụ máy tính khác mạng lưới Máy khách chạy phần mềm FTP dành cho người 10 b Mail server nằm hệ thống tường lửa mạng Hình 3.6 Mail Server nằm hệ thống tường lửa Đối với phương pháp này, hệ thống tường lửa mạng sử dụng để bảo vệ mail server Hiển nhiên, hệ thống phải có khả xử lý thơng điệp giao tiếp email - Ưu điểm cách xây dựng sử dụng nhiều server, tận dụng tài nguyên có - Nhược điểm phương pháp việc đòi hỏi lực xử lý hệ thống phải lớn 36 c Mail server đặt vùng DMZ Hình 3.7 Mail server đặt vùng DMZ Nằm vùng DMZ mạng đặc biệt, cấu hình cho thành phần mạng tách riêng khỏi mạng ngồi Internet, mạng bên (internal network) Các thành phần DMZ server có tần suất truy cập cao: Mail server, FTP server, Web server DMZ thiết kế giúp nâng cao tính bảo mật mạng, server bảo vệ tập trung Dưới hình mơ tả DMZ Tường lửa cấu tạo cho phép truy cập từ bên đến server thuộc DMZ mà không cho phép truy cập đến mạng bên Với phương pháp này, kẻ công khó tiếp cận với mạng Lan tổ chức Ưu điểm đặt vùng DMZ : - Mail server bảo vệ tốt, giao thơng mạng vào mail server kiểm sốt - Khi mail server bị tổn thương khơng trực tiếp đe dọa đến mạng nội - Kiểm sốt tốt bảo mật mail server - Ít khó khăn việc quản trị máy chủ mail cập nhật an toàn nội dung mail server - Cấu hình mạng DMZ tối ưu hóa hỗ trợ bảo mật mail 37 server Nhược điểm: - Tấn cơng DoS nhắm vào mail server ảnh hưởng đến mạng bên - Tùy thuộc vào giao thông phép vào DMZ mạng nội bộ, khả làm cho mail server bị lợi dụng để cơng thỏa hiệp với máy chủ mạng nội d Xây dựng Mail Gateways Sử dụng mail gateway vùng DMZ cộng thêm tính bảo mật cho mail server Tầng thêm làm cho mail server trở nên khó cơng Một mail server gateway hành động proxy mail server Internet Tất tin nhắn giao tiếp phải qua proxy trước chúng chuyển đến cho mail server, phá vỡ đường trực tiếp giao tiếp Internet mail server làm cho trở nên khó khắn để cơng mail server Hình đay cung cấp ví dụ cho việc sử dụng mail gateway để củng cố chắn cho mail server mạng nội Hình 3.8: Mơ hình Mail Gateways e Hệ thống phát xâm nhập IDS (intrusion detection system) hệ thống dò tìm giám sát xâm nhập tài ngun mạng cơng Vì sử dụng hệ thống phát xâm nhập,hệ thống mail server trở nên an toàn Để bảo vệ thành cơng mail server, hệ thống IDS phải đảm bảo có khả cấu sau: 38 - IDS phải cấu hình để kiểm sốt giao thơng mạng trước tường lửa lọc định tuyến - Kiểm soát giao thông mạng vào e-mail server sau tường lửa - Kiểm soát thay đổi tập tin quan trọng mail server - Ngăn ngặn địa IP subnets công vào mạng tổ chức - Kiểm soát tài nguyên hệ thống mail server - Thông báo cho người quản trị mạng quản trị mail server cơng - Dò tìm cơng DoS quét cổng - Cấu hình để ghi log kiện - Thường xuyên update kiểu cơng 3.2.2 An tồn hệ điều hành 3.2.2.1 Cài đặt an tồn Mail server Trong nhiều khía cạnh, cài đặt cấu hình an tồn cho ứng dụng mail server thực quan trọng Nếu thấy ứng dụng, dịch vụ hay scrips không cần thiết loại bỏ tiến trình cài đặt hồn thành Trong suốt trình cài đặt mail server, phải thực bước sau: - Cài đặt phần mềm server máy chủ chuyên dụng - Tối thiểu cài đặt dịch vụ mạng yêu cầu - Áp dụng vá lỗi nâng cấp cho với tổn thương biết đến - Khởi tạo đĩa vật lý chuyên dụng phân chia hợp lý (tách rời hệ điều hành ứng dụng server) cho mail box - Gỡ bỏ vơ hiệu hóa tất dịch vụ cài đặt ứng dụng mail server mà không yêu cầu (Webmail, FTP, quản trị từ xa) - Gỡ bỏ vơ hiệu hóa tất tài khoản đăng nhập mặc định không cần thiết - Gỡ bỏ tất văn không rõ nguồn gốc từ server - Gỡ bỏ tất tài liệu nhà sản suất từ server - Áp dụng mẫu bảo mật thích hợp tập lệnh an tồn cho server - Cấu hình lại dịch vụ SMTP, POP, IMAP(và dịch vụ khác 39 yêu cầu) không để thông báo phiên loại mail server hệ điều hành - Vơ hiệu hóa lệnh mail khơng cần thiết nguy hiểm (ví dụ VRFY EXPN) 3.2.2.2 Kiểm sốt truy cập mail server cấu hình bảo mật hệ điều hành Hầu hết hệ điều hành máy chủ mail server cung cấp khả phân quyền truy cập đặc biệt cho cá nhân vào tệp tin thiết bị tài nguyên máy tính khác máy chủ Người quản trị mail server nên xem xét làm để cấu hình điều khiển truy cập cách tốt để bảo vệ thông tin lưu trũ mail server công cộng từ trường hợp: - Giới hạn truy cập ứng dụng mail server để tập hợp tài nguyên điện toán - Giới hạn truy cập người dùng thông qua việc thực thi điều khiển truy cập bổ sung mail server, nơi mà có nhiều mức chi tiết điều khiển truy cập yêu cầu Thiết lập thích hợp điều khiển truy cập giúp ngăn chặn việc tiết lộ thông tin nhạy cảm bị giới hạn, mà không mong đợi công khai Thêm vào đó, điều khiển truy cập dùng để giới hạn sử dụng tài nguyên chí chống lại công DoS mail server Đảm bảo ứng dụng mail server thực thi cá nhân người dùng nhóm cụ thể với điều khiển truy cập bị hạn chế Bởi vậy, người dùng nhóm người dùng sử dụng độc quyền phần mềm mail server cần thiết thành lập Thêm vào đó, sử dụng hệ điều hành mail server để giới hạn tập tin truy cập tiến trình dịch vụ mail Sử dụng điều khiển truy cập hệ điều hành máy chủ mail server để thực thi việc sau: - Ứng dụng mail server viết log vào tập tin, file log đọc server Chỉ có root/system/administrative processes đọc file log server - Các tập tin tạm thời khỏi tạo ứng dụng mail server bị hạn chế thư mục cụ thể bảo vệ thích hợp - Truy cập vào tập tin tạm thời khởi tạo ứng dụng mail server bị giới hạn tiến trình mail server Nó cần thiết để đảm bảo mail server lưu tập tin bên cấu trúc file cụ thể định đến mail server Đây 40 lựa chọn cấu hình phần mềm server lựa chọn tiến trình server điều khiển hệ điều hành Đảm bảo người điều khiển tập tin bị truy cập, chí người dùng biết vị trí tập tin Để làm giảm hiệu kiểu cơng DoS, cấu hình mail server để giới hạn lượng tài nguyên hệ thống bị tiêu thụ hết Một vài ví dụ bao gồm: - Cài đặt người dùng mail box ổ cứng khác phân chia hợp lý hệ điều hành ứng dụng mail server - Giới hạn kích cỡ thành phần kèm cho phép - Đảm bảo file log lưu trữ vị trí có kích cỡ thích hợp Hành động bảo vệ vài kiểu công mà cố gắng làm đầy hệ thống file hệ điều hành máy chủ mail server với thông tin không khơng liên quan ngun nhân hệ thống bị sập Thông tin đăng nhập phát sinh hệ điều hành máy chủ mail server giúp nhận cơng 3.2.3 An tồn phần mềm máy chủ email 3.2.3.1 Bảo vệ email khỏi mã độc hại Gần email ngày sử dụng làm phương tiện để gửi tập tin nhị phân dạng tập tin đính kèm Điều khơng gây rủi ro bảo mật tập tin đính kèm hết hết tài liệu hình ảnh xử lý thành nhỏ Ngày này, nhiều tin nhắn email gửi dạng tập tin đính kèm chương trình thực thi, hình ảnh, nhạc, âm Vấn đề tổ chức cần để giải loại tập tin đính kèm cho phép có Virus sâu mạng truyền tải qua email dạng virus email, virus đính kèm Nếu mail server khơng cài đặt phần mềm chống virut, phần mềm khơng hiệu quả, nguy bảo mật bị đe dọa tăng lên cho người dùng cuối Một vài máy khách mail phổ biến dễ bị lây nhiễm lan truyền virus email sinh a Quét virut Bảo vệ khỏi nội dụng hoạt động bước việc bảo vệ người dùng Bước bảo khỏi virus sinh file đính kèm Để bảo vệ chống lại virus mã độc hại khác, quét virus trở nên cần thiết để thực thi quét nhiều điểm tiến trình phân phát mail server 41 Quét virus thực firewall liệu thư vào mạng tổ chức, mail server chuyển tiếp mail máy chủ người dùng Quét virus tường lửa ( ứng ụng proxy) chuyển tiếp mail tùy chọn phổ biến Tường lửa chuyển tiếp thư chặn tin nhắn trước chúng chạm đến mail server tổ chức Tường lửa chuyển tiếp mail lắng nghe TCP port 25 kết nối SMTP, nhận tin nhắn, quét tin nhắn, sau chuyển hướng tin nhắn lên mail server người dùng Một nhược điểm phương pháp chức qt khơng đổi dòng SMTP làm giảm hiệu suất chuyển tiếp mail tường lửa Một biện pháp khắc phục để cải thiện hiệu suất giảm tải quét virus xuống server chuyên dụng Lợi ích việc quét thư tường lửa hoạc chuyển tiếp mail là: - Thư quét hướng (hướng vào ra) - Virus bị chặn lại trước vào mạng - Quét đầu vào thư thực thi với thay đổi nhỏ tồn cấu hình mail server - Quét đầu mail nên xem xét - Q trình qt quản lý để đảm bảo yêu cầu với sách bảo mật tổ chức ứng dụng thường xuyên cập nhật tin hiệu virus mã độc hại - Các tường lửa hỗ trợ nhiều giao thức nên ứng dụng máy quét ứng dụng để quét giao thức khác - Quét virus tường lửa chuyển tiếp mail có số điểm yếu sau: - Có thể yêu cầu sửa đổi quan trọng việc cấu hình mail server quét mail đầu - Không thể quét email mã hóa - Có thể yêu cầu server mạnh đắt tiền để xử lý việc tải tổ chức lớn b Lọc nội dung Lọc nội dung làm việc tương tự kiểu quét virus tường lửa mail server Khi thực thi quét virus ngăn cấm loại tệp đảm bảo mức độ an tồn Thực tế chứng minh khả gây tổn hại cho hệ thống xuất phát từ nội dung thư tệp đính kèm, lớn nhiều so với virus hay loại mã phá hoại khác Chính thế, số biện pháp lọc nội dung cần triển khai hệ thống thư điện tử Dưới số thành phần tiêu biểu bị chặn xử lý 42 lọc: - Các tập tin đính kèm email bị nhiễm độc virus Trojan làm cách ly - Các Email có chứa nội dung đáng ngờ (ActiveX, JavaScript) gỡ bỏ phần mã gây nên nghi ngờ sau chuyển đến người nhận - Spam Email bị xóa - Các tệp tin có dung lượng lớn bị dừng phát tán không cao điểm Một đặc điểm khác gói lọc nội dung cho phép quét liệu bên ngồi Phân tích từ vựng thực việc quét từ cụm từ email Thêm vào việc phân tích từ bao gồm tìm kiếm từ cụm từ khóa biểu thị liệu đáng ngờ chuyển rời khỏi hệ thống 3.2.3.2 Ngăn chặn việc gửi mail hàng loạt Hầu hết người sử dụng thư điện tử lần nhận thư điện tử không mong muốn Để khắc phục tượng nhà quản trị buộc phải quản lý lưu lượng thư qua server Lợi ích việc thự kiểm sốt thư rác giảm dung lượng hộp thư từ giảm yêu cầu không gian lưu trữ mail server Để kiểm sốt thơng điệp thư rác cần phải giải vấn đề sau: - Đảm bảo thư rác gửi đến mail server - Thực thi việc lọc thư rác cho thông điệp vào - Chặn tin nhắn từ máy chủ gửi spam biết 3.2.3.3 Xác thực Mail relay Có phương pháp hỗ trợ việc quản lý thư chuyển tiếp Phương pháp thứ điều khiển mạng tên miền từ thông điệp gửi đến Các thức hiệu hệ thống thư điện tử thiết lập dải địa cho trước nhiên, người dùng từ xa có hệ thống với dải địa khác, việc áp dụng phương pháp không hiệu Để giải vấn đề người dùng từ xa, cần có cấu hình mạnh Phương pháp thứ hai để yêu cầu người dùng xác thực họ trước gửi thơng điệp Phương pháp gọi chuyển tiếp thư có xác nhận SMTP AUTH, mở rộng giao thức SMTP nhằm hỗ trợ việc xác thực người sử dụng Nhưng cấu hình mặc định hầu hết mý chủ thư không thực thi việc xác 43 nhận chuyển tiếp Do đó, người quản trị mail server phải tự thiết lập cấu hình chức Xác nhận chuyển tiếp tính sử dụng tác dụng việc nâng cao độ an toàn cho mail server lớn 3.2.3.4 Truy cập an toàn Như nhiều giao thức Internet khác, hầu hết giao thức chưa tích hợp sẵn chức mã hóa xác thực Việc chưa tích hợp tính bảo mật xác thực dẫn đến ba vấn đề người sử dụng gặp phải Thứ nhất, người dùng gửi thơng điệp, nội dung chúng bị chặn đọc bất hợp pháp đường truyền, chí nội dung dos bị giả mạo thay đổi Thứ hai người nhận kiểm tra xuất sứ tính tồn vẹn thơng điệp điện tử Thứ ba không sử dụng chế thông tin xác thực sử dụng lần người dùng truy cập vào hộp thư thơng tin sử dụng để đăng nhập gửi dạng rõ mạng, đối tượng công nghe sử dụng lại Vấn đề cuối giải thơng qua việc áp dụng phương pháp thường sử dụng để bảo vệ dịch vụ Web-sử dụng giao thức bảo mật tầng vận tải (TLS-Transport) TLS thiết kế dựa giao thức bảo mật tâng socket phiên 3(SSLv3- Secure Socket Layer version 3) Chúng ta có thẻ sử dụng TLS kết hợp vói giao thức POP, IMAP, SMTP để đảm bảo liệu giao dịch máy khách thư điện tử máy chủ thư điện tử 3.2.4 An toàn quản trị mail server 3.2.4.1 Nhật ký Ghi nhật ký yếu tố quan trọng lĩnh vực an tồn nói chung Việc ghi nhật ký xác theo dõi thông tin ghi nhật ký cần thiết Các tệp nhật ký thường ghi lại kiện đáng ngờ Lập chế ghi lại thông tin sử dụng thơng tin để tạo sở cho việc phát xâm nhập trái phép Nhật ký mạng hệ thống cảnh báo cho người quản trị biết kiện xuất cách đáng ngờ yêu cầu điều tra Phần mềm mail server cung cấp thêm nhật ký liệu để ghi kiện thư cụ thể Ghi nhật ký mail server cung cấp : - Cảnh bảo hoạt động đáng ngờ mà cần điều tra - Ghi lại dấu vết hoạt động kẻ xâm nhập 44 - Hỗ trợ việc khôi phục lại hệ thống - Hỗ trợ việc điều tra kiện - Yêu cầu thông tin cho việc xử lý tranh chấp - Việc lựa chọn thực thi phần mềm mail server cụ thể xác định hướng dẫn chi tiết mà người quản trị mail server nên cấu hình theo 3.2.4.2 Backup Mail server Một chức quan trọng người quản trị mail server trì tính tồn vẹn của liệu mail server Điều quan trọng mail server thường server dễ bị công quan trọng tổ chức Người quản trị mail server cần thực backup cho mail server cách thường xuyên Dữ liệu mail server nên backup tảng đặn Ba kiểu tồn backup : đầy đủ, dự phòng tăng, dự phòng sai khác Back up đầy đủ bảo gồm hệ điều hành, ứng dụng lưu trữ liệu server (một hình ảnh mẩu liệu lưu trữ ổ cứng mail server) Ưu điểm backup đầy đủ dễ dàng khôi phục liệu Nhược điểm backup đầy đủ chúng thời gian đáng kể tài nguyên để thực Backup dự phòng tăng làm giảm va chạm cách backup liệu thay đổi từ lần backup trước Backup dự phòng sai khác giảm số lượng cài backup phải đươc truy cập để khôi phục cấu hình cách backup tất liệu thay đổi từ lần cuối backup đầy đủ Tuy nhiên, thời gian sai sót từ lần cuối backup đầy đủ, backup sai khác trở thành tăng cách đáng kể Làm thời gian xử lý lưu trữ backup dự phòng tăng Nhìn chung backup đầy đủ thực thường xuyên (tuần đến tháng thay đổi quan trọng xuất hiện), backup dự phòng tăng sai khác thực thường xuyên (ngày đến tuần) Một loạt yếu tố xác định backup thường xuyên: - Sự thay đổi thông tin tham số cấu hình mail server - Lượng liệu lưu dự phòng - Thời gian sẵn có cho việc lưu liệu 45 - Mức đe dọa mà máy chủ thư gặp phải - Khả khôi phục lại liệu mà không cần đến liệu lưu dự phòng - Các cơng cụ lưu dự phòng khác Khi lưu trữ backup liệu email, tổ chức nên thực theo dấn sau: - Phát triển phương tiện viết lần, đọc nhiều lần (để ngăn chặn biến đổi xóa bỏ liệu thơng tin lưu trữ) - Chứa khả kiểm tra để đảm bảo liệu backup lưu trữ cách đắn - Bao gồm khả xuất lưu trữ thông tin theo ngày - Cung cấp khả khai thác, tìm kiếm thống kê dễ dàng thơng tin backup - Duy trì copy hai địa điểm địa lý khác 3.2.4.3 Kiểm tra bảo mật mail server Kiểm tra bảo mật cho mail server công khai thực cần thiết Nếu khơng có giai đoạn kiểm tra, không khẳng định biện pháp an tồn hoạt động, biện pháp lấp lỗ hổng người quản trị áp dụng có thực quảng cáo hay khơng? Hiện có nhiều cơng nghệ kiểm tra an toàn, phương pháp quét lỗ hổng biết đến phương pháp phổ thông a Quét lỗ hổng Quét lỗ hổng công cụ hoạt động tự động, sử dụng để xác định lỗ hổng cấu hình sai máy chủ Các công cụ quét lỗ hổng cố gắng xác địn lỗ hổng máy quét Các lỗ hổng phiên phần mềm hạn, lỗi lấp lỗ hổng, lỗi nâng cấp hệ thống… Để hoàn thành chức trên, công cụ quét lỗ hổng trước hết thường xác định cụ thể hệ điều hành ứng dụng phần mềm có máy chủ sau kiểm tra lỗ hổng phát trước chúng Việc kiểm tra thực sở liệu lớn lưu lỗ hổng phát hệ điều hành ứng dụng phổ thông Các công cụ quét lỗ hổng thường hiệu việc phát cac lỗ hổng biết đến nhiều lỗ hổng xuất khơng thể có sản 46 phẩm lại định danh tất lỗ hổng biết khoảng thời gian định Các cơng cụ qt lỗ hổng cung cấp khả sau: - Định danh hoạt động máy chủ mạng - Định danh cổng dịch vụ máy chủ - Định danh ứng dụng - Định danh hệ điều hành - Đinh danh lỗ hổng tương ứng với hệ điều hành ứng dụng phát - Kiểm tra việc tuân thủ sách an toàn ứng dụng máy chủ Việc quét lỗ hổng cần trợ giúp từ người có trình độ cao việc giải thích kết q trình qt Nó gây tổn hại đến hoạt động mạng trình quét b Tấn công thử Tấn công thử phép kiểm tra an tồn, nhà đánh giá độ an tồn cố gắng tân cơng tính an toàn hệ thống sở hiểu biết họ thiết kế quy trình triển khai hệ thống Mục đích việc cơng thử nhằm đánh giá sức chịu đựng biện pháp bảo vệ hệ thống, thông qua việc sử dụng công cụ kỹ thuật chung hacker phát triển Tấn công thử yêu cầu thiếu hệ thống mạng quan trọng phức tạp Việc cơng thử khơng có ý nghĩa chương trình an tồn thơng tin tổ chức Tuy nhiên, cơng việc u cầu trình độ cao nhằm tối thiểu hóa rủi ro cho hệ thống sử dụng làm mục tiêu cơng Q trình tần cơng thử làm cho mạng hoạt động chậm, chí bị phá hủy Tấn cơng thử đem lại cho lợi ích sau: - Kiểm tra mạng sử dụng phương pháp công cụ mà hacker thường sử dụng để công - Kiểm tra tồn lỗ hổng - Không dừng lại việc xác định lỗ hổng mà giải thích cho việc khai thác lỗ hổng để công 47 - Chứng minh lỗ hổng không tồn đơn lý thuyết - Hỗ trợ mặt phương pháp luận cho việc giải vấn đề an toàn 48 KẾT LUẬN "Email Server" - hay gọi Máy chủ thư điện tử máy chủ dùng để gửi nhận thư điện tử, giải pháp Email Server dành cho doanh nghiệp để quản lý truyền thông nội bộ, thực giao dịch thương mại yêu cầu ổn định, tính liên tục với tốc độ nhanh, đồng thời đảm bảo tính an toàn liệu, khả backup cao Hệ thống thư điện tử Email Server giải vấn đề mail bị virus, spam, bị đưa vào blacklist, không check webmail, check online/offline, hkiểm soát nội dung Ngày nay, thư điện tử (email) cơng cụ vơ hữu ích thiết thực đời sống hàng ngày công việc kinh doanh doanh nghiệp Bên cạnh tên miền thưđiện tử đại diện thương hiệu cho doanh nghiệp, tổ chức, thể chuyên nghiệp tơn trọng khách hàng thay địa mail cá nhân Do việc xây dựng hệ thống thư điện tử với tên miền riêng quan trọng công ty, doanh nghiệp Với hệ thống nhà quản trị tự quản lý địa mail, truyền thông nội vô hiệu an toàn bảo mật 49 TÀI LIỆU THAM KHẢO [1] Các công cụ chiến thuật an ninh số, http://securityinabox.org [2] Giáo trình giảng học phần “An tồn bảo mật hệ thống thơng tin” thầy Phạm Thế Quế lớp D2C trường Đại học Kỹ thuật – Hậu cần CAND 50 ... đề bảo mật thông tin doanh nghiệp lên đến mức báo động , việc quản lý hệ thống CNTT nói chung hệ thống mail nói riêng khơng vững mát thông tin mà doanh nghiệp nhiều năm xây dựng Các hệ thống Mail. .. II: Tổng quan hệ thống thư điện tử Trong chương em tìm hiểu khái niệm thư điện tử, cấu trúc hoạt động thư điện tử khái niệm giao thức truyền nhận mail Chương III: Bảo mật Mail Sever Trong chương... giải địa Trong phần tìm hiểu hệ thống tên miền DNS tác dụng việc truyền nhận email Đến năm 1984, Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát triển hệ thống quản lý tên