CHƯƠNG 1: PHÂN ĐOẠN CỤ THỂ GIẢI PHÁP AN TOÀN TRONG THIẾT KẾ MẠNG AN TOÀN1.1. Đảm bảo an toàn kết nối Internet1.1.1. An toàn kết nốiNguy cơ khi kết nối internet là bị thu thập thông tin trái phép như thông tin về dịch vụ của hệ thống, thông tin người dùng, dữ liệu trên hệ thống,v.v…vì vậy cần cấu hình tường lửa để ngăn chặn kết nối từ bên ngoài vào, ngoại trừ những kết nối đến những dịch vụ được cho phép được cung cấp bởi máy chủ công cộng. Hơn nữa kết nối internet sẽ an toàn với các cơ chế an toàn bao gồm bộ lọc gói tin, an toàn vật lý, kiểm toán, xác thực và cấp quyền. Ngoài ra giao thức định tuyến cho router biên nên đặt ở chế độ static và default routing vì như vậy router sẽ không cập nhật bẳng định tuyến nên khó có thể bị thỏa hiệp.Đồng thời với các giải pháp trên thì nên sử dụng NAT để chuyển đổi địa chỉ mạng, bảo vệ hệ thống mạng bên trong.
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN
Hà Nội, 5/2018
Trang 2LỜI MỞ ĐẦU
Ngày nay mạng máy tính đã trở lên phổ biến và mang lại những lời ích thiếtthực và được ứng dụng trong nhiều lĩnh vực để giải quyết các vấn đề của cuộcsống Mạng máy tính đã tạo ra sự chuyển biến có tính chất cách mạng trong vấn đề
tổ chức, khai thác và sử dụng các hệ thống máy tính
Mạng máy tính có thể giúp con người gần nhau hơn vì nhờ có mạng máy tính
mà những người các xa nhau hàng nghìn kilomet vẫn có thể liên lạc thuận tiện vớinhau được Mạng máy tính giúp ngành viễn thông nói riêng và ngành công nghiệpnói chung trên thế giới chuyển sang một bước ngoặt mới
Cùng với sự phát triển của mạng máy tính và những lời ích mang lại, thìnhiều vấn đề liên quan nguy cơ gây mất an toàn trong mạng máy tính cũng nảysinh Để phòng tránh những nguy cơ gây mất an toàn đó, các doanh nghiệp, tổchức cần phải xây dựng những mạng máy tính an toàn Để an toàn và rõ ràng thìcần phải phân chia an toàn cho từng khu
Chính vì vậy, nhóm chúng em lựa chọn đề tài “ Tìm hiểu về Phân đoạn cụ thểgiải pháp an toàn trong thiết kế mạng an toàn” để tìm hiểu nguyên tắc đảm bảo antoàn cho từng phân đoạn là gì từ đó mô phỏng với mạng Học viện kỹ thuật mật mã.Bài báo cáo gồm 2 chương:
Chương 1: Phân đoạn cụ thể giải pháp an toàn trong thiết kế mạng an toànChương 2: Ứng dụng phân đoạn cụ thể giải pháp an toàn vào mạng Học viện
kỹ thuật mật mã
Đề tài “Tìm hiểu về Phân đoạn cụ thể giải pháp an toàn trong thiết kế mạng
an toàn” còn nhiều thiếu sót, rất mong nhận được sự góp ý của thầy cô và các bạnsinh viên để bài báo cáo chuyên sâu và hoàn thiện hơn
Chúng em xin chân thành cảm ơn!
Trang 3MỤC LỤC
Trang 4DANH MỤC HÌNH ẢNH
Trang 5CHƯƠNG 1: PHÂN ĐOẠN CỤ THỂ GIẢI PHÁP AN TOÀN TRONG
THIẾT KẾ MẠNG AN TOÀN 1.1 Đảm bảo an toàn kết nối Internet
1.1.1 An toàn kết nối
Nguy cơ khi kết nối internet là bị thu thập thông tin trái phép như thông tin vềdịch vụ của hệ thống, thông tin người dùng, dữ liệu trên hệ thống,v.v…vì vậy cầncấu hình tường lửa để ngăn chặn kết nối từ bên ngoài vào, ngoại trừ những kết nốiđến những dịch vụ được cho phép được cung cấp bởi máy chủ công cộng Hơn nữakết nối internet sẽ an toàn với các cơ chế an toàn bao gồm bộ lọc gói tin, an toànvật lý, kiểm toán, xác thực và cấp quyền
Ngoài ra giao thức định tuyến cho router biên nên đặt ở chế độ static vàdefault routing vì như vậy router sẽ không cập nhật bẳng định tuyến nên khó có thể
Về mặt địa lý và con người, thì DMZ ( Demilitarized Zone – vùng phi quânsự) là một khu vực mà tại đó sự hiện diện của các lực lượng quân đội ( gồm binhlính, vũ khí, đạn dược… ) cũng như các hoạt động quân sự ( như do thám, tậptrận, đánh nhau…) đều không được phép
Vì vậy, DMZ được coi như là một vùng ranh giới chia tách hai bênh mà là thùđịch của nhau và vùng DMZ thường được tạo nên sau những hiệp ước hòa bình,những thỏa thuận đình chiến.Trong thế giới thực, dải đất cắt ngang bán đảo TriềuTiên và phân tách bán đảo này ra thành hai nước là Hàn Quốc và Triều Tiên chính
Trang 6là một ví dụ về DMZ.Còn trong lịch sử chiến tranh Việt Nam thì sông Bến Hải chiatách hai miền nam bắc cũng là một ví dụ khác về DMZ.
Cũng giống như nhiều thuật ngữ tin học khác được vay mượn từ thế giới thực,DMZ cũng là một thuật ngữ được dùng trong lĩnh vực bảo mật mạng máy tính.Vậythì ý nghĩa và mục đích của từ DMZ trong tin học có giống với từ DMZ trong quân
sự hay không?
Trước khi đi vào giải thích DMZ là gì cũng như tác dụng của nó thì tôi xin
đưa ra một tình huống như thế này Hệ thống mạng nội bộ (internal network) của
một tổ chức thường bao gồm các server cung cấp các dịch vụ cơ bản
như: Directory Service (Active Directory, OpenLDAP…), DNS, DHCP, File/Print
Sharing, Web, Mail, FTP Trong đó thì các server Web, Mail, FTP thường phải
cung cấp các dịch vụ của chúng cho cả những người dùng nằm bên trong lẫn bênngoài mạng nội bộ của tổ chức
Nếu trường hợp bạn đặt tất cả các server này nằm trong cùng một lớp mạngvới các máy trạm của người dùng trong tổ chức thì sẽ như thế nào nếu hacker từmạng bên ngoài (external network – ví dụ như Internet) kiểm soát được (các)
“public server” như Web, Mail, FTP? Rất có thể hacker sẽ dựa vào các server đã bịchiếm đoạt này để đánh vào các server khác (như DNS, DHCP, DirectoryService…) cũng như thâm nhập sâu hơn vào các máy trạm bên trong.Thế nên ởđây, ta cần có một giải pháp nào đó để hạn chế khả năng mạng internal bị tổnthương khi các public server trên bị tấn công.Và DMZ là một câu trả lời cho vấn đềnày
Để đảm bảo an toàn máy chủ dịch vụ Internet ta sử dụng DMZ Vậy DMZ là
gì và tại sao lại sử dụng DMZ?
DMZ là một mạng tách biệt với mạng nội bộ vì DMZ sử dụng đường mạng( hoặc có subnet) khác với mạng nội bộ Các máy chủ Web, Mail, FTP, VoIP,…được đặt trong DMZ cung cấp các dịch vụ của tổ chức cho phép người dùng có thểtruy cập và sử dụng từ mạng Internet Còn các máy chủ phục vụ cho các mục đíchnội bộ như DNS, DHCP, File/Print vẫn được đặt trong vùng nội bộ
Giữa DMZ và mạng ngoài có thể đặt một firewall để cho phép các kết nối từ
Trang 7một firewall khác để kiểm soát các lưu lượng từ DMZ đi vào nội bộ.Như vậy, cũnggiống với vùng DMZ trong quân sự, DMZ ở đây đã tạo ra sự phân tách giữa haiphân đoạn là mạng nội bộ và mạng ngoài Và có thể nói rằng DMZ đã bổ sungthêm một lớp bảo vệ cách ly cho mạng nôi bộ khi mà kẻ tấn công từ mạng ngoàichỉ có thể tiếp cận tới các máy nằm trong DMZ mà thôi.
Hình 1.1: Mô hình tường lửa 2 lớp 1.1.2.2 Kiến trúc xây dựng DMZ
DMZ được tạo nên bởi hai thành phần cơ bản là các địa chỉ IP và các firewall
Có hai đặc điểm nhận dạng quan trọng của DMZ là:
- Nó có một network ID khác so với mạng nội bộ
- Nó bị phân tách khỏi mạng Internet và cả mạng nội bộ bởi firewall
Dưới đây sẽ chỉ rõ 2 đặc điểm của DMZ
• Địa chỉ IP dùng trong DMZ
Tùy vào kiến trúc của DMZ và cấu hình trên firewall mà một DMZ có thể sửdụng địa chỉ IP công cộng hoặc địa chỉ IP dùng cho mạng nội bộ cho các máy chủtrong DMZ Nếu sử dụng địa chỉ IP công cộng cho DMZ, thường sẽ cần chia mạngcon khối địa chỉ IP mà ISP cấp cho để có được hai network ID tách biệt Một tronghai network ID này sẽ được dùng cho giao diện ngoài( cạc mạng nối trực tiếp tớiISP) của firewall và network ID còn lại được dùng cho mạng DMZ Lưu ý khi chiasubnet khối địa chỉ IP công cộng này, phải cấu hình cho router để các gói tin từngoài Internet đi vào sẽ tới được DMZ
Trang 8Có thể tạo một DMZ có network ID giống với mạng nội bộ nhưng vẫn đảmbảo có sự cách ly giữa DMZ và mạng nội bộ bằng cách sử dụng VLAN Tagging(IEEE 802.1q) Lúc này các máy chủ trong DMZ và các máy trạm trong mạng nội
bộ đều được kết nối chung vào một switch hoặc khác switch nhưng các switch nàyđược nối với nhau nhưng được gán vào các VLAN khác nhau
Còn nếu sử dụng địa chỉ IP cho mạng nội bộ cho DMZ, sẽ cần đến NAT( một
số firewall hỗ trợ sẵn tính năng này) để chuyển các địa chỉ IP mạng nội bộ nàysang một địa chỉ IP công cộng ( mà được gán cho ngoài giao diện của firewall nằmgiữa Internet và DMZ) Vì một số ứng dụng không làm việc tốt với NAT ( ví dụ,Java RMI) nên cân nhắc việc chọn cấu hình NAT hay định tuyến giữa Internet vàDMZ
• Các firewall:
Thiết kế đảm bảo an toàn cho các máy chủ web như sau:
Đặt các máy chủ web trong vùng DMZ, thiết lập firewall không cho các kếtnối tới máy chủ web trên toàn bộ các cổng, ngoại trừ cổng 80 (http), cổng 443(https) và các cổng dịch vụ sử dụng
Có nhiều cách thiết kế một hệ thống mạng có sử dụng DMZ Hai mô hình cơbản và thường gặp nhất là single firewall( hay three legged firewall) và dualfirewall
• Single firewall:
Chỉ cần tới một thiết bị có ba giao diện mạng NIC.Trong đó, một NIC nối vớimạng ngoài, NIC thứ hai nối với mạng DMZ, và NIC còn lại nói với mạng nội bộ
Trang 9Hình 1.2: Kiến trúc single firewall
Đó là lý do tại sao gọi là “three legged firewall” ( mỗi giao diện của firewallchính là một card mạng của nó) Lúc này three legged firewall phải có khả năngkiểm soát toàn bộ traffic vào/ra giữa ba mạng nội bộ, ngoài và DMZ và nó trởthành điểm chịu lỗi duy nhất cho toàn bộ hệ thống mạng Nếu có sự cố xảy ra vớithree legged firewall này thì cả DMZ và mạng nội bộ đều không còn được bảo vệnhưng bù lại không phải tốn chi phí đầu tư thêm một firewall nữa như trong môhình dual firewall
Khi sử dụng single firewall để tạo DMZ, có khái niệm trihome DMZ Ta cũng
có thể tạo ra hai ( hoặc nhiều hơn) vùng DMZ tách biệt có các network ID khácnhau bằng cách trang bị thêm số NIC tương ứng cho single firewall
Trang 10- Firewall thứ hai ( còn được gọi là back – end firewall) có một NIC nối vớiDMZ và NIC còn lại nối với mạng nội bộ Back – end firewall này có nhiệm vụkiểm soát traffic từ DMZ và Internet tới mạng nội bộ.
Hình 1.3: Kiến trúc dual firewall
Rõ ràng, so với single firewall thì giải pháp này tuy tốn kém hơn về chi phítriển khai khi phải đầu tư tới hai thiết bị firewall tách biệt nhưng về mặt hiệu suất
và độ an toàn cho hệ thống mạng sẽ được cải thiện Vậy nên, tùy vào tổ chức vàmôi trường của từng hệ thống mạng mà nên xem xét lựa chọn giữa singhle firewallhay dual firewall cho thích hợp Chú ý rằng nên chọn hai firewall từ hai nhà pháttriển khác nhau vì rằng nếu kẻ tấn công có thể bẻ gãy firewall đầu tiên thì hắn cũngkhó khăn hơn trong việc phớ vỡ firewall thứ hai bởi chúng được phát triển theonhững cách khác nhau
- Cấu hình và quản trị máy chủ an toàn:
Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi máy chủ web ngay cả dịch
vụ FTP, máy chủ mail và các máy chủ khác, chỉ giữa lại nếu thật cần thiết Mỗidịch vụ không cần thiết sẽ bị lợi dụng dễ tấn công hệ thống nếu không có chế độđảm bảo an toàn tốt
- Không cho phép quản trị hệ thống từ xa, trừ khi nó được đăng nhập theokiểu mật khẩu chỉ sử dụng một lần hay đường kết nối đã được mã hóa
Trang 11- Giới hạn số người có quyền quản trị hay truy cập mức tối cao.
- Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log filenày trong môi trường được mã hóa
- Loại bỏ toàn bộ cac file không cần thiết khỏi thư mực chứa các file kịch bảnthi hành
- Đăng ký và cập nhật định kỳ các bản vá lỗi hổng phần mềm từ các nhà cungcấp
- Nếu hệ thống phải quản trị từ xa, thì cần áp dụng cơ chế bảo mật như bảomật shell, được sử dụng để tạo ra một kết nối bảo mật Không sử dụng telnet hayftp với user là anynomous từ bất cứ site không được chứng thực nào Đồng thờigiới hạn số kết nối trong các hệ thống bảo mật và các hệ thống bên trong mạngIntranet của thiết kế
- Chạy máy chủ web trong các thư mục đã được đặt quyền truy cập và quyền
sử dụng, và chỉ có người quản trị mới có thể truy cập hệ thống
- Chạy máy chủ FTP và cho sử dụng tài khoản anonymous nếu hệ thống phảicung cấp một thư mục dùng cho mọi người và thư mục này phải khác với thư mụcđược sử dụng bởi máy chủ web
- Thực hiện toàn bộ việc cập nhật từ mạng Intranet Duy trì trang web ban đầutrên mỗi máy chủ trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ởđây, sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL
- Quét máy chủ web theo định kỳ với các công cụ quét lỗ hổng bảo mật
Trang bị phần mềm phát hiện truy cập trái phép tới các máy chủ, thiết lậpphần mềm này cảnh báo các hành động nguy hiểm và ghi lại các phiên làm việccủa chúng lại để phân tích Thông tin này có thể giúp lấy được thông tin về cáchthức phá hoại mạng, cũng như mức độ đảm bảo an toàn trong hệ thống đã thiết kế
1.2 Đảm bảo an toàn truy cập từ xa và mạng riêng ảo
1.2.1 An toàn truy cập từ xa
An toàn là yếu tố có tính quyết định cho công nghệ truy cập từ xa và để đảmbảo an toàn sử dụng các biện pháp an toàn như tường lửa, an toàn vật lý, cơ chếxác thực và cấp quyền, kiểm toán và có thể là mã hóa
Trang 12Người dùng từ xa dùng giao thức PPP ( Point to Point Protocol) nên sử dụngxác thực bằng CHAP.
Một tùy chọn khác cho xác thực, cấp quyền và kiểm toán ( AAA –Authentication, Authorization, Accounting) là RADIUS RADIUS sử dụng một cơ
sở dữ liệu tập trung cho thông tin người dùng Cơ sở dữ liệu bao gồm thông tin đểxác thực và thông tin cấu hình trong đó chỉ rõ loại dịch vụ được cho phép đối vớingười dùng ( ví dụ: PPP, Telnet, rlogin)
1.2.2 An toàn mạng riêng ảo
Thông thường các tổ chức sử dụng mạng riêng ảo (VPN) để kết nối các site
và người dùng cuối qua mạng công cộng như internet sử dụng các kỹ thuật NAT,tường lửa, xác thực mạnh và mã hóa dữ liệu
Để tránh người dùng cuối bị tấn công dẫn đến hệ thống bị thỏa hiệp thì cầncài các phần mềm diệt virus, tường lửa cá nhân trên máy client
Trong mô hình VPN, dữ liệu cần được mã hóa, phần lớn các giải pháp mã hóacho mạng VPN sử dụng giao thức IP Security (IPSec).IPSec cung cấp tính bí mật,toàn vẹn và xác thực cho dữ liệu được truyền đi Ngoài ra cũng có thể triển khaiVPN SSL để đảm bảo an toàn cho kết nối VPN, giải pháp này sử dụng trình duyệt
để kết nối VPN
1.3 Đảm bảo an toàn cho các dịch vụ mạng và quản lý mạng
Để bảo vệ dịch vụ mạng bên trong, cần bảo vệ các thiết bị mạng như router,switch Việc truy cập tới các thiết bị này được giới hạn theo địa chỉ IP, có cơ chếxác thực phù hợp Khi truy cập tới switch, router thì phải sử dụng SSH
Để quản trị một lượng lớn các thiết bị như router và switch, có thể sử dụngTACACS(Terminal Access Controller Access Control System), với ID và mật khẩuđược quản trị trong cơ sở dữ liệu tập trung, đưa ra việc kiểm toán Hoặc sử dụngSNMP(Simple Network Management Protocol) thì nên sử dụng SNMPv3 vì nó hỗtrợ xác thực và mã hóa trên đường truyền
Để tối thiểu nguy cơ, hệ thống quản trị mạng nên được đặt ở DMZ, đằng sautường lửa, với hệ điều hành thường xuyên được cập nhật đây đủ các bản vá, các
Trang 13dịch vụ không cần thiết phải được vô hiệu hóa, đồng thời nên sử dụng xác thực hainhân tố.
1.4 Đảm bảo an toàn cho máy chủ nội bộ
1.4.1 Một số chú ý khi tổ chức mô hình mạng
Nên đặt các máy chủ web, máy chủ thư điện tử v.v cung cấp dịch vụ kết nốimạng Internet trong vùng DMZ, nhằm tránh các tấn công mạng nội bộ hoặc gâyảnh hưởng tới an toàn mạng nội bộ nếu các máy chủ này bị cướp quyền điều khiển.Chú ý không đặt máy chủ web, máy chủ mail hoặc các máy chủ chỉ cung cấp dịch
vụ cho nội bộ cơ quan trong vùng mạng này
Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực v.v nên đặt trong vùng máychủ nội bộ để tránh các tấn công trực diện từ Internet và từ mạng nội bộ Đối vớicác hệ thống thông tin yêu cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủkhác nhau có thể chia vùng máy chủ thành các vùng nhỏ hơn và độc lập với nhau
để nâng cao tính an toàn
Nên thiết lập các hệ thống phòng thủ như tường lửa và thiết bị pháthiện/phòng chống xâm nhập để bảo vệ hệ thống, chống tấn công và xâm nhập tráiphép.Phân hệ tường lửa nội bộ đóng vai trò quan trọng là chốt chặn cuối cùng bảo
vệ toàn bộ hệ thống dữ liệu của doanh nghiệp.Phân hệ này đồng thời là cửa ngõkiểm soát trước khi đi vào khu vực nhạy cảm nhất trong hệ thống, là khu vực cácmáy chủ trung tâm Điểm đặc biệt tại đây là ngoài việc ngăn chặn các tấn công từmôi trường bên ngoài xâm nhập vào hệ thống, các thiết bị tường lửa còn phải kiểmsoát cả các truy cập từ cả trong mạng LAN, lọc và ngăn chặn được những tấn côngxuất phát từ trong nội bộ Hơn nữa do tầm quan trọng như vậy, các thiết bị tườnglửa tại phân hệ này phải là loại có thông lượng cao và đặc biệt là có khả năng hoạtđộng như là thiết bị ngăn chặn xâm nhập IPS
Nên đặt router ngoài cùng (Router biên) trước khi kết nối đến nhà cung cấpdịch vụ internet (ISP) để lọc một số lưu lượng không mong muốn và chặn nhữnggói tin đến từ những địa chỉ IP không hợp lệ
Trang 141.4.2 Giải pháp an toàn vật lý cho các phòng máy chủ
- Có hệ thống sàn nâng, vách ngăn chống cháy
- Có hệ thống chống sét lan truyền, nước, ngập, phòng và chữa cháy
- Có hệ thống làm lạnh, hệ thống điện dự phòng (UPS, máy phát điện)
- Hệ thống các tủ rack được đặt liên tiếp nhau
- Có hệ thống bảo mật vật lý: cửa ra vào, camera quan sát
- Có hệ thống cảnh báo và quản lý tự động
1.4.3 Giải pháp an toàn kết nối
- Sử dụng các dịch vụ truy cập từ xa như Remote Desktop, SSL để quản lý từxa
- Khi các máy chủ trong server farm bị tấn công, kẻ tấn công có thể sử dụngcác máy chủ này tấn công các máy chủ còn lại Để quản lý rủi ro này, cần cấu hình
bộ lọc để giới hạn các kết nối đến máy chủ
- Việc kết nối từ máy khách tới máy chủ farm, có thể bảo vệ dữ liệu qua mạngbằng việc mã hóa đường truyền
1.4.4 Sử dụng phần mềm phòng chống virus cho máy trạm
Server farm được sử dụng cho các người dùng nôị bộ trong công ty, vì vậycác giải pháp cho người dùng đầu cuối rất quan trọng, việc cài đặt các phần mềmdiệt virus cho các end-user là rất quan trọng Đây là thành phần không thể thiếucho một hệ thống có khả năng phong chống thâm nhập cao, nhằm chống lại các lâynhiễm từ môi trường bên trong do người dùng gây ra
Một số phần mềm diệt virus hiệu quả hiện nay:
• Kaspersky Anti-Virus: Phần mềm mới được phát triển vài năm gần đây, tuy
không có lịch sử như các đại gia khác nhưng cũng đã vươn lên đứng trong danhsách các phần mềm diệt virus loại tốt, thuộc hãng Kaspersky Phần mềm khôngmiễn phí, tuy nhiên cũng có phần cho phép quét virus trực tuyến
• McAfee:Phần mềm diệt virus và các phần mềm độc hại Của hãng McAfee,
phát triển khá lâu và có uy tín Đây là phần mềm thương mại
Trang 15• Norton AntiVirus: Phần mềm diệt virus và các phần mềm độc hại của
hãng Symantec, được phát triển từ khá lâu, và được đánh giá tốt Đây là phầnmềm thương mại
• Symantec Antivirus: Một phần mềm diệt virus khác cũng của hãng Symantec,
được đánh giá là "nhẹ", ít chiếm tài nguyên hơn so với Norton Antivirus Phầnmềm này thường thích hợp với mạng nội bộ (các máy trạm cài bản client) với
sự quản lý của một máy chủ (được cài bản server) Phần mềm này có phiên bảnmiễn phí
• Trend Micro Antivirus: Là phần mềm của hãng Trend Micro, phần mềm này
dùng công nghệ điện toán đám mây xử lý nhanh chóng mọi virus hiện nay, thựcthi ngầm và ít tốn tài nguyên, mọi dữ liệu sẽ được truyền tải lên máy chủ giúpcho người dùng sử dụng một cách an toàn không bị gián đoạn Đây là một phầnmềm hàng đầu Nhật Bản Xử lý rất tốt khi người dùng kết nối Internet và ngănchặn mọi dữ liệu có ảnh hưởng đến máy trạm
• Avast! Pro AntiVirus: Là một trong những phiên bản diệt virus trả phí của
hãng Avast! Là một trong 3 phần mềm được cấp chứng chỉ VB100 đầu tiêntrên thế giới
1.4.5 Giải pháp ngăn chặn mất mát dữ liệu
Để giảm thiểu tối đa khả năng bị đánh cắp thông tin quan trọng hoặc
“lộ”thông tin với các đối thủ cạnh tranh.Cần mã hóa dữ liệu trên ổ đĩa đảm bảochống sao chép thông tin ra khỏi hệ thống, chống gửi mail kèm tập tin nhạy cảm đãđược định trước
Năm phương pháp ngăn chặn mất mát dữ liệu trong tình hình an toàn mạnghiện nay:
1.4.5.1 Xác định các dữ liệu quan trọng
Các doanh nghiệp, tổ chức, nhà trường phải xác định xem dữ liệu nào cầnđược bảo vệ nhất, và sử dụng phần mềm chống mất mát dữ liệu (DLP) để bảo vệcác thông tin nhạy cảm Tùy thuộc vào ngành công nghiệp, các thông tin này có thể
là thông tin y tế được bảo vệ, báo cáo, kế hoạch tài chính hoặc báo cáo chiếnlược…
Trang 16DLP(Data Leak Prevention-ngăn ngừa rò rỉ dữ liệu) chủ yếu phụ thuộc vào
sự phân loại hợp lý của thông tin, nên các tổ chức cần thực hiện chiến lược bảo mật
dữ liệu tập trung vào các tài liệu quan trọng Trước hết, dữ liệu cần được phân loạitheo chính sách của tổ chức Ưu tiên từng phần nhỏ một, tập trung vào các điểmcuối (endpoint) quan trọng, giúp người dùng trong doanh nghiệp có cơ hội học tập,trước khi triển khai rộng hơn.Sau đó, dành một khoảng thời gian để đánh giá kếtquả ban đầu một cách khách quan
1.4.5.2 Giám sát truy cập và hoạt động
Bước tiếp theo trong việc ngăn chặn rò rỉ dữ liệu là giám sát chặt chẽ các lượttruy cập trên toàn bộ hệ thống thông tin Khả năng tự động phát hiện, định vị vàtheo dõi các hoạt động trên toàn bộ cơ sở hạ tầng sẽ cung cấp một bức tranh toàncảnh về hệ thống theo thời gian thực
Thông thường, tin tặc sẽ tiến hành thăm dò mạng lưới trong vòng 6 thángtrước khi thực sự xâm phạm hệ thống, nên các doanh nghiệp cần phải biết pháthiện hành vi bất thường trước khi xảy ra xâm phạm Công cụ giám sát sẽ theo dõicác lượt truy cập và hoạt động, thông báo cho quản trị viên bằng cách gắn cờ đỏmỗi khi nhân viên tải về, sao chép hoặc xóa thông tin
Giải pháp giám sát hoạt động dữ liệu (DAM) cung cấp thêm một lớp bảo vệkhác bằng cách phát hiện các hoạt động trái phép Trong khi mục tiêu của DLP làmạng lưới và điểm cuối, thì DAM tập trung vào hoạt động cơ sở dữ liệu Sử dụngđồng thời cả hai giải pháp sẽ cung cấp khả năng bảo vệ tốt hơn thông qua nhiều lớpgiám sát và cảnh báo, ngăn chặn từ xa những người dùng có hoạt động khả nghi
1.4.5.3 Sử dụng mã hóa
Các doanh nghiệp, tổ chức, nhà trường nên mã hóa các thông tin cá nhân, bímật hoặc nhạy cảm.Mã hóa không phải là giải pháp tối ưu nhất, nhưng vẫn là mộttrong những cách tốt nhất để bảo mật dữ liệu Nếu quá trình mã hóa và quản lýkhóa được thực hiện cẩn thận, thì dữ liệu bị ăn cắp sẽ không thể đọc được và trởnên vô dụng
Sử dụng mã hóa tại các điểm khác nhau trên hệ thống – bao gồm dữ liệu tĩnh
và dữ liệu động – có thể cung cấp khả năng bảo vệ đáng kể, chống lại được cả các
Trang 17cuộc tấn công tiên tiến nhất; nên thực hiện hệ thống phòng thủ nhiều lớp bằng việc
mã hóa, chủ động theo dõi và quản lý các mạng lưới
1.4.5.4 Khóa mạng
Một trong những điểm quan trọng trong các phương pháp ngăn chặn rò rỉ dữliệu là khả năng khóa mạng.Với sự nổi lên của công nghệ di động, rò rỉ dữ liệucũng đang ngày một gia tăng Trong khi nhiều người dùng hiểu rõ các bước phảithực hiện để bảo vệ các dữ liệu nhạy cảm, thì một số người khác không nhận rabiện pháp của họ là không an toàn Vấn đề này có thể được giảm nhẹ bằng cáchhướng dẫn thường xuyên và kiểm tra thực tiễn các biện pháp tốt, đặc biệt là vềkhóa mạng
1.4.5.5 An ninh điểm cuối
Dữ liệu rời hệ thống qua các điểm ra trong cơ sở hạ tầng CNTT, nên cácdoanh nghiệp có thể quản lý rủi ro mất dữ liệu hiệu quả hơn bằng cách chọn cácgiải pháp DLP có giám sát và hành động tại các điểm ra Điều này cho phép nhânviên CNTT có thể xác định được các thông tin bí mật nào đang được truyền đi, khinào và thông qua kênh, thiết bị cụ thể nào
Với xu hướng Bring Your Own Device (BYOD) – sử dụng thiết bị cá nhântrong công việc – ngày càng phát triển trong mọi doanh nghiệp, thì việc quản lýđiểm cuối cần đóng vai trò quan trọng trong hệ thống an toàn của tổ chức An toànBYOD đang trở nên khó khăn hơn do sự đa dạng về địa lý và nền tảng hỗ trợ,nhưng nếu có giải pháp kiểm soát hiệu quả, thì vẫn có thể giúp các tổ chức theo dõiđược hoạt động của dữ liệu
Với khả năng giám sát các thiết bị cá nhân kết nối mạng, phần trung tâm điềukhiển sẽ cung cấp khả năng quan sát hệ thống mạng một cách tổng thể Nếu không
có an toàn điểm cuối, sự xâm phạm dữ liệu có thể sẽ không bị phát hiện trong thờigian dài hơn, làm trầm trọng thêm các lỗ hổng
Ngoài các bước cơ bản để bảo mật dữ liệu như bức tường lửa mạng, hệ thốngngăn ngừa xâm nhập (IPS), cổng web an toàn và công cụ an toàn điểm cuối, thìphản ứng với đe dọa sẽ hiệu quả hơn với các biện pháp giám sát an toàn tiên tiến
Trang 18như đã đề cập ở trên Sử dụng công nghệ bảo mật hiệu quả và áp dụng các biệnpháp tốt nhất sẽ dễ dàng ngăn chặn được rò rỉ dữ liệu.
Giải pháp phối hợp
Giải pháp ngăn chặn mất mát dữ liệu tối ưu là phải qua nhiều bước an toàn.Xác định các dữ liệu quan trọng, giám sát truy cập và hoạt động, kết hợp với giảipháp DLP hay DAM, sử dụng mã hóa, duy trì kiểm soát mạng, thực hiện các biệnpháp an toàn điểm cuối, tất cả các biện pháp trên phối hợp với nhau sẽ trở thànhmột chương trình tinh chỉnh và có thể tùy chỉnh để bảo mật dữ liệu cho toàn bộ tổchức
1.4.6 Giải pháp về xác thực và cấp quyền cho tài khoản và nhóm người dùng
- Gỡ bỏ các tài khoản không sử dụng khỏi máy chủ
- Vô hiệu hóa các tài khoản Guest, anonymous
- Phải giới hạn truy cập từ xa
- Tắt chức năng Null session:
Một phiên truy cập từ xa được tạo lập khi người dùng đăng nhập từ xa vàomột máy tính sử dụng một tên người dùng và mật khẩu có quyền truy cập vào tàinguyên hệ thống.Tiến trình đăng nhập này được thực hiện qua giao thức SMB(Server Message Block) và dịch vụ Windows Server.Những kết nối này hoàn toànhợp pháp khi những thông tin đăng nhập chính xác được sử dụng
Một Null Session xảy ra khi người dùng thực hiện kết nối tới một hệ thốngWindows mà không sử dụng tên người dùng hay mật khẩu Hình thức kết nối nàykhông thể thực hiện trên bất kỳ hình thức chia sẻ Windows thông thường nào, tuynhiên lại có thể thực hiện trên chia sẻ quản trị IPC (InterprocessCommunication).Chia sẻ IPC được các tiến trình của Windows sử dụng (với tên
Trang 19người dùng là SYSTEM) để giao tiếp với các tiến trình khác qua mạng này.Chia sẻIPC chỉ được giao thức SMB sử dụng.
Chia sẻ không yêu cầu thông tin đăng nhập IPC thường được sử dụng chonhững chương trình giao tiếp với một chương trình khác, tuy nhiên không có gìđảm bảo rằng người dùng không thể kết nối tới một máy tính bằng kết nối IPC này.Kết nối IPC không chỉ cho phép truy cập không giới hạn vào máy tính, mà còn traoquyền truy cập vào tất cả các máy tính trên mạng, và đó là những gì mà tin tặc cần
để xâm nhập hệ thống
Cho nên chúng ta cần tắt chức năng Null session
- Sử dụng hệ thống xác thực Kerberos cung cấp xác thực người dùng khi sử dụngcác dịch vụ trên máy chủ Kerberos dựa trên một cơ sở dữ liệu khóa đối xứng sửdụng một trung tâm phân phối khóa KDC
Kerberos được thiết kế dựa trên giao thức Needham-Schroeder Kerberos sửdụng một bên thứ ba tham gia vào quá trình nhận thực gọi là "trung tâm phân phốikhóa" ( key distribution center - KDC) KDC bao gồm hai chức năng: "máy chủxác thực" (authentication server - AS) và "máy chủ cung cấp vé" (ticket grantingserver - TGS) "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minhnhân dạng của người sử dụng
1.5 Đảm bảo an toàn cho dịch vụ người dùng
Một chính sách an toàn sẽ chỉ rõ ứng dụng được phép chạy trên mạng và hạnchế việc tải các ứng dụng từ Internet về Máy tính cá nhân phải cài đặt tường lửa
và phần mềm diệt virus, được cập nhật đầy đủ
Khuyến nghị người dùng đăng xuất khi không sử dụng phiên, tắt máy tính khikhông sử dụng, khóa màn hình khi đi ra ngoài
1.6 Đảm bảo an toàn cho mạng không dây
• Kiến trúc mạng điển hình với WLAN:
Mạng LAN cần được bảo về từ những ngưới sử dụng trên các AP vôtuyến.Hình 3.13 biểu diễn một dạng kiến trúc hạ tầng mạng, mạng Internet kết nốivới một router trên WAN biên.Trong mạng LAN không dây, người sử dụng có thểkết nối vào bất kì một máy chủ nào trong vùng DMZ