Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN MẠNH KHỞI Chuyên ngành: Kỹ Thuật Viễn Thông Mã số: 8.52.02.08 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2018 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Nguyễn Quý Sỹ Phản biện 1: ……………………………………………………… Phản biện 2: ……………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Với xu hướng phát triển công nghệ mạng Internet, tình hình an ninh mạng diễn biến phức tạp, xuất nhiều vụ công mạng, xâm nhập hệ thống công nghệ thông tin nhằm thám, trục lợi, phá hoại liệu, ăn cắp tài sản gia tăng mức báo động số lượng, đa dạng hình thức, tinh vi cơng nghệ Tấn cơng mạng qua hình thức spam dần trở nên phổ biến bối cảnh Việt Nam nằm top danh sách nước phát tán spam nhiều giới Với gánh nặng gia tăng này, nhà cung cấp dịch vụ phải đối mặt với thách thức nghiêm trọng từ mạng máy tính độc hại có tổ chức, gọi Botnets Botnets hoạt động bên mạng, sử dụng sở hạ tầng nhà cung cấp dịch vụ để phân phối số lượng lớn thư rác Botnets phân phối lên tới 90% lượng thư rác toàn giới hoạt động bên mạng nhà cung cấp dịch vụ, sử dụng địa IP băng thông nhà cung cấp Các mạng botnets hoạt động cách lây nhiễm malware vào máy tính sau sử dụng máy tính để gửi spam Hậu việc gửi spam nhiều, tổ chức chống spam giới đưa dải địa IP nhà cung cấp dịch vụ vào danh sách blacklist họ Nguy hiểm nguy toàn AS number nhà cung cấp dịch vụ bị blacklist Các nhà cung cấp dịch vụ tìm kiếm giải pháp để kiểm sốt tình trạng blacklist botnet phá hoại bên mạng họ Việc lợi dụng hạ tầng mạng nhà cung cấp dịch vụ để phát tán khối lượng lớn email spam ảnh hưởng tới chất lượng dịch vụ cung cấp cho khách hàng Cụ thể, khách hàng gặp nhiều khó khăn việc gửi/nhận mail, thường xuyên nhận thư rác, thư kèm link nhiễm mã độc, phishing… Các nhà cung cấp dịch vụ khơng nhiều tài ngun IP để cung cấp cho khách hàng lớn Việc bóc gỡ dải IP khỏi danh sách blacklist tổ chức chống spam quốc tế phương pháp nhân công, hiệu không cao khách hàng sau đưa khỏi blacklist không quản trị tốt bị đưa lại vào blacklist Vấn đề đặt cần có giải pháp chống spam hiệu quả, phát giảm lượng spam khỏi mạng nhà cung cấp dịch vụ, vơ hiệu hóa hoạt động botnet, giảm số lượng địa IP bị blacklist giảm lượng băng thông không mong muốn Đã có nhều phương pháp kỹ thuật đưa để giảm số lượng thư rác Như việc đưa luật lệ để hạn chế việc gửi thư rác, đưa phương pháp kĩ thuật lọc thư rác như: lọc dựa địa IP (whitelist, blacklist), lọc dựa danh tính người gửi, lọc dựa chuỗi hỏi đáp, phương pháp lọc dựa mạng xã hội phương pháp lọc nội dung…Mỗi phương pháp có ưu nhược điểm riêng, khơng có phương pháp hồn hảo để có lọc thư rác tốt cần phải kết hợp phương pháp với Trong trình nghiên cứu học viên lựa chọn đề tài “Nghiên cứu giải pháp chống spam lựa chọn giải pháp áp dụng VNPT” Đề tài bao gồm nội dung sau: Chương I: Giới thiệu tổng quan spam email Chương II: Các giải pháp chống spam email Chương III: Lựa chọn giải pháp chống spam email áp dụng VNPT Do khả hạn chế nên luận văn chắn không tránh khỏi thiếu sót Học viên mong nhận bảo góp ý thầy cô giáo để đề tài hoàn thiện CHƯƠNG 1: TỔNG QUAN VỀ SPAM EMAIL 1.1 Giới thiệu tổng quan an toàn bảo mật hệ thống thông tin Hệ thống thông tin (IS-Information System) hệ thống tích hợp thành phần nhằm phục vụ việc thu thập, lưu trữ, xử lý thông tin chuyển giao thông tin, tri thức sản phẩm số Một hệ thống thông tin bảo mật (Secure Information System) hệ thống mà thông tin xử lý phải đảm bảo đặc trưng sau (theo mơ hình C.I.A): - Tính bí mật thơng tin (Confidentiality) - Tính tồn vẹn thơng tin (Integrity) - Tính khả dụng thơng tin (Availability) 1.1.1 Một số hình thức cơng hệ thống thông tin phổ biến Một số phương thức, hành vi đánh giá nguy gây ảnh hưởng đến an tồn bảo mật hệ thống thơng tin: - Nghe (snooping) - Tấn công xen Man-in-the-middle - Giả danh (spoofing) - Phủ nhận hành vi (repudiation) - Tấn công từ chối dịch vụ (DoS/DDoS) - Chiếm quyền điều khiển hệ thống 1.1.2 Các giải pháp đảm bảo an tồn bảo mật hệ thống thơng tin Để xây dựng hệ thống mạng đảm bảo tính an tồn cần phải có lộ trình xây dựng hợp lý u cầu chi phí chi trả để từ lựa chọn giải pháp Giải pháp phù hợp phải cân yếu tố: - Tính yêu cầu - Giá thành giải pháp - Hiệu hệ thống Bảng 1.1: Những giải pháp bảo mật hệ thống mạng 1.2 Tổng quan thư rác, blacklist 1.2.1 Định nghĩa thư rác Thư rác (spam) từ điển bách khoa toàn thư Wikipedia định nghĩa sau: Thư rác (spam) loại hình sử dụng phương tiện điện tử để phát tán thông điệp hàng loạt Thư rác gửi có nội dung giống gần giống tới hàng nghìn (hoặc hàng triệu) người dùng thư điện tử Thư rác gửi đến mà không mong đợi người nhận 1.2.2 Định nghĩa blacklist Blacklist danh sách địa mail, IP, domain lập để có chế kiểm sốt người dùng sử dụng dịch vụ mail Khi địa người dùng nằm danh sách blacklist không sử dụng gửi/nhận email Danh sách blacklist cập nhật thường xuyên sở liệu tham chiếu cho nhà cung cấp mạng khách hàng Mỗi tổ chức đưa danh sách khác nên danh sách khơng hoàn toàn giống 1.2.3 Các đặc trưng thư rác Một số đặc điểm thư rác khác với thư hợp lệ: - Để ý trường To tiêu đề (header) thư điện tử, không thấy tên địa thư điện tử, thư điện tử giả mạo - Để ý lời chào hỏi, không thấy câu chào hỏi nghi vấn để xem thư điện tử giả mạo Bởi kẻ giả mạo thư điện tử thường khơng biết xác tên người nhận Khi không thấy lời chào thấy lời chào mang tính chung chung nghi vấn Không phải tất thư điện tử giả mạo, dấu hiệu quan trọng để nhận biết thư điện tử giả mạo - Xem URL xuất thư điện tử so với trạng thái trình duyệt, di chuột URL khơng cần kích vào chúng, sau quan sát trạng thái bên so sánh hai liên kết Để ý giao thức an toàn hiển thị URL https:// thay http:// Nếu phát thấy URL thị http:// thư điện tử giả mạo - Mang nội dung mà người nhận không mong muốn nhận phát tán người gửi mục đích quảng cáo, có nội dung không lành mạnh - Số lượng thư điện tử lớn có nội dung gửi từ địa IP vòng 24h (thơng thường vượt 500 thư) - Các thư rác gửi cho nạn nhân thường có nội dung giống gần giống tạo tự động để gửi cho nhiều khách hàng - Lời giới thiệu thư (subject) thường không giới thiệu nội dung thư để vượt qua kiểm duyệt người đọc (thường trình duyệt trang web phần kiểm tra thư trước thức xem thư) lọc - Các thư rác thường chứa đoạn mã ẩn dạng HTML chứa đoạn mã Javascript tự chạy mở thư tạo cửa sổ quảng cáo 1.2.4 Phương pháp hệ thống phát tán thư rác Để thực trình gửi thư rác với số lượng lớn spammer phải thực theo bước: Tạo tài khoản để gửi thư Thu thập địa mail Phát tán thư rác - Phương pháp sử dụng Open Mail Relay - Sử dụng Open Web Proxy - Sử dụng open proxy - Sử dụng tài khoản Webmail Hệ thống phát tán thư rác Cách spammer sử dụng botnet để gửi thư rác: Hình 1.5: Hoạt động gửi thư rác qua mạng botnet - Kẻ lập botnet phát tán virus sâu máy tính, làm nhiễm máy tính cá nhân chạy Windows người dùng bình thường, liệu virus hay sâu ứng dụng trojan - bot - Tại máy tính bị nhiễm, bot đăng nhập vào server IRC (hay web server) Server coi command-and-control server (C&C) - Spammer mua quyền truy nhập botnet từ kẻ lập botnet - Spammer gửi lệnh qua IRC server tới máy tính bị nhiễm, làm cho máy tính gửi thông điệp rác tới máy chủ thư điện tử 1.2.5 Các nguyên nhân IP gây spam bị list danh sách blacklist - IP mail server danh sách Blacklist tổ chức chống SPAM - Chưa trỏ PTR record - Chưa cấu hình SPF record - Chưa cấu hình DKIM - Mail bị đánh dấu SPAM - Mail bị chiếm quyền - IP vô tình bị blacklist IP dải thực spam - Nội dung mail bị liệt vào nội dung spam Tổng kết chương Chương trình bày khái quát an toàn bảo mật hệ thống thơng tin giúp ta có nhìn tổng qt khái niệm, phương thức đánh giá an toàn bảo mật hệ thống thông tin Chương giới thiệu hình thức cơng mạng phương thức spam, nguyên nhân gây spam, dấu hiệu nhận biết cách thức tổ chức chống Spam quốc tế đưa danh sách IP vào blacklist CHƯƠNG 2: CÁC GIẢI PHÁP CHỐNG SPAM 2.1 Giải pháp DNS Blacklist/Whitelist 2.1.1 DNS Blacklist Giới thiệu Blacklist hay gọi DNSBL (DNS Blackhole List) danh sách chứa thông tin địa thư điện tử, IP, tên miền xác nhận nguồn phát tán thư rác DNSBL tồn dạng tệp tin dạng sở liệu để tích hợp vào máy chủ DNS cho máy chủ DNS truy vấn vào Các máy chủ thư điện tử thực việc loại bỏ đánh dấu thư điện tử có nguồn gốc nằm DNSBL Có nhiều loại danh sách blacklist khác (IP blacklist, DNS blacklist, thư điện tử blacklist) đưa đến nhiều mức độ lọc khác cộng đồng mạng, cho ISP tự lựa chọn sách lọc thư rác phù hợp với Các blacklist cá nhân, ESP, ISP tổ chức cung cấp dịch vụ xây dựng Ưu, nhược điểm - Ưu điểm: Dễ cài đặt, dễ dành chia sẻ danh sách cho người khác sử dụng - Nhược điểm: Cần thời gian lan truyền để cập nhật danh sách nên để lọt thư rác từ host sử dụng tài khoản dialup bị đánh cắp, open relays hay proxy server; Tốn nhiều cơng sức để trì danh sách blacklist Hoạt động Hình 2.1: Hoạt động Blacklist 10 người dùng cần độ xác cao mà khơng bận tâm đến rủi ro thư điện tử mang lại hội nghề nghiệp hay hội kinh doanh Ưu, nhược điểm - Ưu điểm: Kết xác, khơng phải dựa việc học nội dung thơng điệp - Nhược điểm: Có thể giả mạo địa danh sách whitelist; Tất người dùng phải tin cậy gửi thư điện tử vào inbox được; Người dùng cần phải cấu hình danh sách whitelist cách thủ cơng Một số hệ thống Whitelist - DNSWL - Spamhaus 2.2 Kỹ thuật chứng thực thư điện tử Việc gửi thư điện tử sử dụng giao thức SMTP Tuy nhiên SMTP có nhược điểm từ thiết kế không cân nhắc đến yếu tố bảo mật dẫn tới việc dễ dàng giả mạo địa thư người gửi Để khắc phục yếu điểm này, giao thức chứng thực thư điện tử sử dụng Kỹ thuật chứng thực qua thư điện tử chia làm 02 loại: - Chứng thực dựa IP Sender Policy Framework (SPF) Sender ID Framework (SIDF) - Chứng thực dựa tảng mã hóa Identified Internet Mail (IIM) DomainKeys Hai giao thức kết hợp lại để trở thành chuẩn DKIM (DomainKeys Identified Mail) 2.2.1 Kỹ thuật Sender Policy Framework (SPF) Sender Policy Framework (SPF) kỹ thuật ngăn chặn spam thuộc nhóm phương pháp xác thực địa người gửi (sender authentication) Kỹ thuật giúp người nhận xác thực địa người gửi thật hay giả, tác dụng SPF để ngăn chặn khả giả mạo thư điện tử 11 Phương pháp yêu cầu xác lập DNS, khai báo máy chủ gửi thư từ tên miền Internet định Phía người nhận thơng qua truy vấn DNS để xác thực địa người gửi địa IP có phù hợp với khơng, từ biết địa người gửi thật hay giả Hình 2.7: Mơ hình làm việc SPF Ưu, nhược điểm - Ưu điểm: SPF giao thức hướng tới việc loại bỏ thư rác Mục đích lớn SPF chống lại việc giả mạo địa thư điện tử SPF cho phép nhận biết thư điện tử tin cậy trước thư gửi - Nhược điểm: Khơng ngăn chặn spammer SPF SPF yêu cầu xác thực máy chủ thư điện tử, tên miền với địa IP tĩnh thực tế nhiều tên miền sử dụng địa IP động Việc dẫn tới nhiều máy chủ thư điện tử có kết xác nhận không tin cậy 2.2.2 Sender ID Framework Giới thiệu SIDF giao thức dựa kết hợp SPF CallerID Microsoft, mô tả RFC4406 SIDF chứng thực khoảng 12 triệu tên miền, chiếm khoảng gần 50% thư điện tử hợp pháp giới Về SIDF giống với SPF, bổ sung số thay đổi nhằm hoàn thiện SPF Cả SPF SIDF giao thức xác thực địa người gửi, phải công khai ghi DNS cấu trúc ghi tương tự Vì nói SIDF phiên SPF 12 Hoạt động Hình 2.10: Mơ hình làm việc SIDF Bước 1: Sender gửi thư điện tử cho Receiver Bước 2: Máy chủ thư điện tử bên nhận thư thực truy vấn DNS Bước 3: Máy chủ thư điện tử bên nhận kiểm tra kết SPF trả Thủ tục kiểm tra thực tương tự SPF Kết trả thủ tục kiểm tra tương tự SPF Bước 4: Máy chủ thư điện tử xử lý thư điện tử dựa vào kết trả Ưu điểm, nhược điểm Cũng giống SPF, SIDF công cụ chống thư rác SIDF hỗ trợ cho hệ thống chống thư rác giảm lượng thư rác thông qua việc ngăn chặn thư điện tử giả mạo, lừa đảo Một nhược điểm khác SIDF đưa xác nhận nhầm thư điện tử tin cậy việc từ chối nhận thư điện tử chuyển tiếp 2.2.3 DomainKeys Identified Mail (DKIM) Giới thiệu DKIM hỗ trợ người nhận thư điện tử xác thực người gửi DKIM hoạt động dựa mơ hình khóa cơng khai Người gửi bổ sung chữ ký điện tử DKIM vào tiêu đề thư điện tử, người nhận thông qua truy vấn DNS để lấy khóa cơng khai xác thực chữ ký thư điện tử 13 Hình 2.11: Mơ hình làm việc DKIM Hoạt động DKIM Chữ ký DKIM tạo người gửi thư điện tử tổ chức cung cấp dịch vụ độc lập DKIM coi dịch vụ bổ sung, có nghĩa người dùng hồn tồn lựa chọn khơng sử dụng DKIM Phía gửi: - Cặp khóa cơng khai (public key) riêng tư (private key) người quản trị máy chủ thư điện tử tạo - Khóa cơng khai khai báo ghi DNS, khóa riêng tư máy chủ gửi thư điện tử sử dụng - Khi gửi thư điện tử, máy chủ sử dụng khóa riêng tư để tạo chữ ký điện tử gắn kèm vào tiêu đề thư điện tử Phía nhận: - Máy chủ nhận thư điện tử nhận thư, đọc chữ ký điện tử thực truy vấn DNS để tìm khóa cơng khai - Với khóa cơng khai nội dung thư nhận được, máy chủ nhận thư điện tử xác thực chữ ký điện tử thư có hay không - Nếu máy chủ nhận thư điện tử nhận thư khơng có chữ ký DKIM, máy chủ thực truy vấn DNS xác định tất thư gửi ký máy nhận biết thư gửi đến không tin cậy Ưu, nhược điểm DKIM Ưu điểm: 14 - DKIM sử dụng để lọc thư rác, đặc biệt chặn thư lừa đảo - DKIM triển khai hạ tầng DNS sẵn có nên DKIM tương thích với hệ thống thư điện tử DKIM suốt hoàn toàn hệ thống thư điện tử không triển khai DKIM - Việc bổ sung chữ ký DKIM vào tiêu đề thư điện tử làm việc tính tốn, xử lý nhiều thời gian Tuy nhiên việc giúp hạn chế gửi thư điện tử số lượng lớn, đặc tính chủ yếu thư rác Nhược điểm: - DKIM không ngăn chặn việc spammer đăng ký chữ ký DKIM hợp pháp chuyển tiếp thư rác tới nhiều người sử dụng - Chữ ký DKIM bị thay đổi trình chuyển thư điện tử 2.3 Kỹ thuật Challenge-Response Challenge/response (C/R) cách tiếp cận tương tự với kỹ thuật danh sách trắng (whitelisting) C/R tự động gửi thông điệp challenge tới người gửi thư Hệ thống Challenge-Response hệ thống chống thư rác cho phép phía nhận gửi phản hồi lại nhận thư điện tử Thông điệp phản hồi yêu cầu bên gửi thực số thao tác nhằm xác thực phía gửi Nếu bên gửi thực theo thơng điệp yêu cầu, thư điện tử chấp nhận, ngược lại bị loại bỏ Hình 2.12: Mơ hình làm việc hệ thống C/R 15 Hệ thống C/R tạo phương thức thử thách dễ dàng thư điện tử hợp pháp dựa khác biệt người gửi hợp lệ spammer: - Người gửi hợp lệ có địa thư điện tử hợp lệ spammer thường dùng địa thư điện tử mạo danh - Spammer thường gửi thư điện tử với số lượng lớn nên hầu hết spammer không thực việc nhận thông điệp thử thách mà đơn giản hệ thống tự động đẩy thư điện tử 2.4 Kỹ thuật lọc thống kê Bayesian Lọc thư rác Beysian kỹ thuật lọc thống kê dựa lý thuyết xác suất có điều kiện Bayes Lý thuyết xác định khả xảy kiện có kiện khác, có nghĩa xác định khả xảy kiện tương lai biết số lần xảy kiện khứ Phương pháp lọc thống kê chủ yếu dựa việc dạy cho lọc biết để phân biệt hai loại thư khác “thư rác (spam)” “thư hợp lệ (nonspam)” Kỹ thuật lọc Bayesian dựa định lý Bayes tính xác suất thư điện tử có phải thư rác khơng biết từ xuất thư điện tử Ưu điểm: - Bộ lọc Bayesian “đào tạo” người sử dụng - Đối với từ xuất nhiều thư điện tử thông thường, lọc đăng ký xác suất thư rác thấp - Xác suất từ khác biệt người sử dụng đánh giá thơng qua q trình “học”, tinh chỉnh lọc phân loại sai Bộ lọc Bayesian hiệu việc tránh lọc nhầm thư điện tử tin cậy - Theo đánh giá, kỹ thuật lọc Bayesian đạt hiệu lọc thư rác lên tới 99.7% lọc nhầm Nhược điểm: - Spammer sử dụng hình ảnh thay chữ, chèn ảnh trực tiếp gián tiếp qua đường liên kết (link) Toàn thư điện tử phần thay hình ảnh Khi lọc khơng thể phân tích nội dung thư điện tử Tuy nhiên, 16 thức lúc hiệu spammer Một số phần mềm thư điện tử tắt chức hiển thị hình ảnh chí loại bỏ thư điện tử có nhiều hình ảnh - Spammer chèn thêm kí tự vào từ làm khó nhận 2.5 Phương pháp kiểm tra email người nhận Tấn công spam kiểu “từ điển” sử dụng địa email tên miền biết để tạo địa email hợp lệ khác Bằng kỹ thuật spammer gửi spam tới địa email sinh cách ngẫu nhiên Một số địa email số có thực, nhiên lượng lớn địa không tồn chúng gây tượng nghẽn máy chủ mail Phương pháp kiểm tra người nhận ngăn chặn kiểu công cách chặn lại email gửi tới địa không tồn Active Directory máy chủ mail server cơng ty Tính sử dụng Active Directory LDAP server để xác minh địa người nhận có tồn hay khơng Nếu số địa người nhận không tồn vượt ngưỡng (do người quản trị thiết lập) email gửi tới bị coi spam chặn lại 2.6 Biện pháp phòng chống cho người dùng Ngồi việc sử dụng phương pháp phòng chống spam, người sử dụng đóng vai trò quan trọng việc chống lại “đại dịch” thư rác Bởi người dùng cần tuân theo số nguyên tắc sau: - Luôn cập nhật vá phần mềm cài đặt máy - Đảm bảo tất máy cập nhật phần mềm chống virus chống spam - Sử dụng firewall để bảo vệ hệ thống - Không trả lời email lạ không rõ nguồn gốc - Không gửi thông tin cá nhân bạn (số thẻ tín dụng, mật khẩu, tài khoản ngân hàng, v.v ) thư điện tử - Không hồi đáp email cách nhấn lên từ “loại bỏ” (remove) “ngừng đăng ký” (unsubscribe) dòng tiêu đề nội dung thư trừ nguồn đáng tin cậy 17 - Không bấm vào liên kết URL địa trang web ghi spam hướng dẫn người nhận ngừng đăng ký - Sử dụng hai địa email khác nhau, địa sử dụng cho việc riêng bạn bè, công việc - Không nên đăng địa email bạn nơi công cộng (ví dụ diễn đàn, bảng tin, chat room ) nơi spammer thường sử dụng tiện ích để thu thập tìm kiếm địa email - Không chuyển tiếp spam cho người khác - Chuyển spam nhận đến người quản trị hệ thống email Quản trị viên thay đổi chương trình lọc để lần sau hệ thống chặn lại email tương tự 2.7 Tổng kết chương Chương giới thiệu tổng quan phương pháp chống spam giới Giới thiệu sâu chi tiết kỹ thuật chống spam DNSBL, SURBL, SPF, chặn lọc IP… đánh giá ưu, nhược điểm giải pháp tiền đề để lựa chọn giải pháp kỹ thuật chống spam chương 18 CHƯƠNG 3: GIẢI PHÁP CHỐNG SPAM ÁP DỤNG TẠI VNPT 3.1 Thống kê tình hình spam, blacklist mạng VNPT Theo thống kê trang Securelist.com, quý II/2017, Việt Nam đứng đầu danh sách nước phát tán spam nhiều giới với tỷ lệ 12,37%, vượt qua Mỹ (10,1%) Trung Quốc (8,96%) Nguyên nhân dẫn đến tình trạng bảo mật ngày đáng báo động phần phát triển nhanh phần mềm độc hại Năm 1996, tần suất xuất virus virus giờ, đến lên tới 13.459 virus Tập đồn Bưu viễn thơng Việt Nam (VNPT) nhà cung cấp dịch vụ internet số Việt Nam chiếm 46% thị phần Tuy nhiên VNPT không tránh khỏi vấn nạn spam ngày gia tăng Theo đánh giá tổ chức Uceprotect, VNPT đứng thứ top 20 ISP giới gây spam Nguyên nhân lớn trạng số lượng máy tính bị nhiễm mã độc Việt Nam lớn tình trạng sử dụng phần mềm khơng có quyền phổ biến Những máy tính bị điều khiển để tiến hành phát tán email rác email chứa mã độc 3.2 Phân tích, lựa chọn giải pháp Đối với VNPT nhà cung cấp dịch vụ internet khác Việt Nam gặp phải khó khăn việc cung cấp dịch vụ sạch, an toàn bảo mật bối cảnh người dùng đầu cuối chưa quen với việc sử dụng phần mềm có quyền Trong tình trạng botnet hoạt động bên mạng phát tán spam ngày gia tăng Hậu việc gửi spam nhiều, tổ chức SPAM lớn đưa dải địa IP nhà cung cấp dịch vụ vào danh sách họ Hầu hết MTAs Internet từ chối mail từ địa IP bị blacklist Hiện vấn đề nghiêm trọng VNPT địa IP bị list danh sách blacklist hàng ngày chí AS number bị blacklist Thực trạng VNPT chưa quy hoạch dải IP AS number tách biệt cho khách hàng VIP (có sử dụng mail server) khách hàng phổ thông sử dụng IP động Để giải vấn đề nêu đặt hai giải pháp: 19 - Giải pháp 1: Xử lý blacklist đầu cuối khách hàng, trang bị phần mềm diệt virus có quyền kết hợp với với bóc gỡ nhân công blacklist từ nhà cung cấp dịch vụ Giải pháp phát sinh thêm chi phí từ khách hàng khó thực diện rộng khách hàng có mức độ nhận thức khác Nhà cung cấp dịch vụ ép buộc khách hàng sử dụng gói dịch vụ bảo mật họ - Giải pháp 2: Sử dụng giải pháp kỹ thuật đặt thiết bị suốt đứng nhà cung cấp dịch vụ khách hàng có chức proxy để ngăn chặn lưu lượng spam Đây giải pháp khả thi phù hợp với mạng quy mô lớn Khách hàng không cần phải cấu hình mail server, DNS tác động đầu cuối giải pháp sử dụng Firewall gateway kỹ thuật SPF, DKIM Qua giải pháp chống spam học viên nghiên cứu trình bày chương 2, đứng góc độ nhà cung cấp dịch vụ internet VNPT lựa chọn giải pháp DNSBL phối hợp rà quét theo danh sách dải IP cấp cho khách hàng phù hợp với mục tiêu đặt ra: Gỡ địa IP nhà cung cấp dịch vụ khỏi danh sách blacklist tổ chức quốc tế UCEPROTECT Phát giảm lượng spam khỏi mạng nhà cung cấp dịch vụ - Giảm phàn nàn khách hàng việc mail không gửi - Ít phải dành thời gian quản trị để giải phàn nàn khách hàng - Ít phải dành thời gian quản trị để xác định gỡ dải địa khỏi blacklist nhân công - - Ít khách hàng rời khỏi mạng để chuyển sang ISP khác 3.3 Giải pháp hãng Cybonet thử nghiệm mạng băng rộng VNPT Giới thiệu Giải pháp Cybonet OSG trang bị chế bảo vệ vành đai (Perimeter Security engine), tập trung ngăn chặn mối đe dọa dựa vào kết đánh giá mức độ tin cậy nguồn gửi email, trước chúng thâm nhập vào hệ thống mạng Phương pháp giúp bảo vệ nguồn tài nguyên hệ thống mà chưa phải dùng đến giải pháp lọc nội dung Nhờ giải pháp Cybonet OSG đạt chứng nhận Anti - Spam Checkmark mức Premium level, với tỉ lệ phát ngăn chặn lên tới 99% 20 Cybonet OSG áp dụng giải pháp DNSBL áp dụng mạng băng rộng VNPT có khả năng: - Lọc có hiệu số lượng lớn outbound email traffic mà khơng làm ảnh hưởng đến chất lượng dịch vụ mà người sử dụng mong đợi CYBONET OSG không để lại chút dấu vết email message dễ dàng tích hợp hệ thống mạng nhà cung cấp dịch vụ - Lọc ngăn chặn lên tới 99% tất outbound email traffic độc hại Dễ dàng triển khai, OSG hoạt động giống transparent proxy, cảnh báo cho nhà cung cấp dịch vụ, theo thời gian thực, địa IP hệ thống mạng họ bị kiểm soát botnets - Xử lý lên tới 40 triệu email sessions Không làm ảnh hưởng đến chất lượng thông suốt dịch vụ, OSG ngăn chặn xác 99%, hay nhiều hơn, tất outgoing email messages không mong muốn Mơ hình thử nghiệm Hình 3.4: Mơ hình thử nghiệm hệ thống OSG mạng VNPT CYBONET OSG cài đặt máy chủ Máy chủ kết nối đến thiết bị PE Juniper Switch EX3200 Interface 1Gbps hình vẽ Thiết bị PE CYBONET 21 tương ứng thuộc Subnet cấu hình PBR (Policy Base Routing) để chuyển lưu lượng SMTP CYBONET xử lý Trong mơ hình này, CYBONET OSG đóng vai trò transparent proxy nhận lưu lượng SMTP từ thiết bị router CYBONET OSG khơng đóng vai trò SMTP route hop mà xem Network route hop, kết nối thông qua card mạng Router đóng vai trò network gateway cho CYBONET OSG CYBONET OSG thực kiểm tra địa IP, địa email người gửi người nhận tùy chọn sử dụng tính kiểm tra nội dung với công nghệ RPD Sau tiến hành lọc spam xong CYBONET OSG trả gói tin tới PE PE gửi SMTP traffic ngồi Internet Mơ hình triển khai thử nghiệm Tỉnh/Tp Hình 3.5: Mơ hình thử nghiệm hệ thống OSG Tỉnh/Tp Tính hệ thống Cybonet OSG - IP rate limit: Nếu có cơng thư điện tử nghi ngờ từ nguồn IP không đáng tin cậy hệ thống tự động blacklist lưu lượng Hệ thống cho phép giới hạn tối đa số lượng message session từ IP theo giây/phút/giờ - RBL (Real time Blackhole list): Thiết lập danh sách DNS Blacklist tham chiếu theo tổ chức UCEPROTECT - IP Reputation: Hệ thống định danh IP sử dụng công nghệ phát mẫu định kỳ RPD (Recurrent Pattern Detection) gọi Commtouch 22 - DHA attack (Directory Harvest Attack): Phát nguồn lưu lượng từ địa email khơng có thực theo kiểu cơng vét cạn dựa từ điển - DoS attack: Ngăn chặn cống từ chối dịch vụ Kết hệ thống OSG sau xử lý: Hình 3.16: Lưu lượng SMTP sau triển khai OSG Bảng 3.2: Báo cáo thống kê trạng thái dải IP sau đưa qua OSG IP Range 113.160.8.0/24 113.160.9.0/24 113.160.10.0/24 113.160.14.0/24 113.160.24.0/24 113.160.26.0/24 113.160.28.0/22 113.160.48.0/24 113.160.49.0/24 113.160.50.0/23 113.160.50.0/24 113.160.51.0/24 113.160.60.0/22 113.160.103.0/24 113.160.118.0/24 113.160.120.0/21 113.160.128.0/24 113.160.134.0/24 113.160.143.0/24 113.160.155.0/24 113.160.160.0/24 113.160.162.0/24 Trạng thái NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED Số IP gây spam Ngưỡng để dải IP bị list vào SPAM 1 0 0 0 0 0 0 1 5 5 5 15 5 10 5 15 5 25 5 5 5 23 113.160.167.0/24 113.160.168.0/23 113.160.179.0/24 113.160.182.0/24 113.160.184.0/24 113.160.190.0/24 113.160.191.0/24 113.160.192.0/24 113.160.197.0/24 113.160.199.0/24 113.160.209.0/24 113.160.212.0/24 113.160.213.0/24 113.160.216.0/24 113.160.218.0/24 113.160.219.0/24 113.160.231.0/24 113.160.232.0/24 NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED NOT LISTED 0 0 0 0 0 0 0 10 5 5 5 5 5 5 5 5 Đánh giá kết quả: - Băng thông SMTP giảm trung bình 1,5 Gbps tháng sau triển khai hệ thống OSG (từ 5Gbps cao điểm xuống 3.5 Gbps) - Các địa chỉ, dải địa IP đưa khỏi danh sách blacklist UCEPROTECT: + Số lượng đưa vào hệ thống lúc đầu 212 IP gây spam (9 dải IP bị list spam, 13 dải bị cảnh báo nguy spam) + Số lượng sau xử lý qua hệ thống OSG 12 IP gây spam Khơng dải IP bị UCEPROTECT list spam - Phát số lượng lớn địa IP phát tán email spam 3.4 Tổng kết chương Chương giới thiệu khái quát tình hình spam, blacklist VNPT; trình bày giải pháp chống spam hãng Cybonet OSG phương pháp chặn lọc lưu lượng SMTP chiều quốc tế theo hành vi IP nguồn gửi tham chiếu danh sách DNSBL tổ chức UCEPROTECT áp dụng mạng băng rộng VNPT; so sánh đánh giá kết thử nghiệm VNPT-Tỉnh/TP 24 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI Sau trình tìm hiểu nghiên cứu thực luận văn tốt nghiệp, với nỗ lực thân, với hướng dẫn tận tình TS Nguyễn Quý Sỹ, trợ giúp đồng nghiệp, người thân tồn thể bạn tơi hồn thành luận văn đáp ứng yêu cầu đặt Luân văn đạt kết đạt sau - Luận văn tìm hiểu tổng quan phương thức công mạng spam, nguyên nhân giải pháp phòng chống cho người dùng cuối - Luận văn nghiên cứu giải pháp chống spam phổ biến giới, đánh giá ưu nhược điểm giải pháp - Luận văn tìm hiểu giải pháp để thử nghiệm chống spam cho lưu lượng SMTP outbound áp dụng mạng băng rộng VNPT đạt kết tích cực Trên sở nghiên cứu triển khai giải pháp thử nghiệm chống spam cho mạng băng rộng VNPT Tỉnh/Tp, tập trung nghiên cứu tiếp giải pháp, cụ thể: - Tiếp tục nghiên cứu kết hợp DNSBL với giải pháp Firewall gateway, SPF, DKIM cho khách hàng doanh nghiệp nhỏ, khách hàng VIP Data center - Nghiên cứu giải pháp chống spam lưu lượng inbound mạng VNPT ... trình nghiên cứu học viên lựa chọn đề tài Nghiên cứu giải pháp chống spam lựa chọn giải pháp áp dụng VNPT Đề tài bao gồm nội dung sau: Chương I: Giới thiệu tổng quan spam email Chương II: Các giải. .. cuối giải pháp sử dụng Firewall gateway kỹ thuật SPF, DKIM Qua giải pháp chống spam học viên nghiên cứu trình bày chương 2, đứng góc độ nhà cung cấp dịch vụ internet VNPT lựa chọn giải pháp DNSBL... sở nghiên cứu triển khai giải pháp thử nghiệm chống spam cho mạng băng rộng VNPT Tỉnh/Tp, tập trung nghiên cứu tiếp giải pháp, cụ thể: - Tiếp tục nghiên cứu kết hợp DNSBL với giải pháp Firewall