Đang tải... (xem toàn văn)
Giải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông Mobifone
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ VĂN TÚ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO DOANH NGHIỆP VÀ ỨNG DỤNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE Chuyên ngành: KỸ THUẬT VIỄN THÔNG Mã số: 8.52.02.08 TÓM TẮT LUẬN VĂN THẠC SĨ ( Theo định hướng ứng dụng) HÀ NỘI – 2019 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Lê Ngọc Thúy Phản biện1:……………………………………………………………………… Phản biện 2:……………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thông LỜI MỞ ĐẦU An ninh mạng phòng chống ngăn chặn truy cập trái phép, sử dụng sai mục đích, chống lại sửa đổi, hủy hoại đánh cắp, tiết lộ thông tin hiểu q trình thực biện pháp phòng chống lỗ hổng bảo mật virus có phần mềm, ứng dụng, website, server, liệu… nhằm bảo vệ hạ tầng mạng Bảo mật an ninh mạng đặt lên hàng đầu với doanh nghiệp có hệ thống mạng đủ lớn hay quy mơ nhỏ, hacker ngồi nước ln tìm cách công xâm nhập vào hệ thống doanh nghiệp để lấy thông tin nội bộ, thông tin mật Chính nhà quản trị mạng ln cố gắng bảo vệ hệ thống mạng cách tốt ln cố gắng hồn thiện hệ thống để tránh lỗ hổng bị công Các công mạng có chủ đích gây thiệt hại lớn, an ninh mạng vấn đề cấp thiết quan tâm Bản thân công việc học viên làm việc có liên quan trực tiếp tới hệ thống bảo mật, an ninh mạng, với mục đích tìm hiểu vấn đề cấp thiết phục vụ thực tiễn cho công việc học viên, học viên đăng ký đề tài luận văn nghiên cứu “Giải pháp nâng cao an ninh mạng cho doanh nghiệp ứng dụng Tổng công ty Viễn thông MobiFone” Nội dung luận văn trình bày 03 chương: Chương 1: Thực trạng an ninh mạng doanh nghiệp Chương 2: Một số giải pháp nâng cao an ninh mạng cho doanh nghiệp viễn thông Chương 3: Giải pháp nâng cao an ninh mạng tải Tổng cơng ty viễn thơng MobiFone Trong q trình nghiên cứu thực luận văn, luận văn không tránh khỏi thiếu sót Tác giả mong nhận đóng góp q báu từ q Thầy Cơ bạn để luận văn hoàn thiện Tác giả xin chân thành cảm ơn 2 CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC DOANH NGHIỆP Thực trạng an ninh mạng doanh nghiệp giới 1.1 Có thể thấy thời đại ngày với phát triển vượt bậc khoa học, công nghệ có đóng góp vơ quan trọng làm thay đổi mặt đời sống kinh tế xã hội quốc gia Đặc biệt đời phát triển máy tính mạng Internet tạo nên đột phá kết nối, chia sẻ thông tin, thúc đẩy phát triển kinh tế, giao lưu văn hóa Mối nguy hiểm từ tội phạm mạng : với ưu vượt trội máy tính Internet tác động đến mặt, lĩnh vực đời sống xã hội, nhờ có Internet mà xã hội phát triển nhanh hơn, mạnh hơn, xã hội phát triển vai trò máy tính Internet thể rõ hơn, người khó làm việc thiếu máy tính Internet Tuy nhiên, bên cạnh thuận lợi đóng góp tích cực giới đứng trước khơng thách thức, nguy ảnh hưởng tiêu cực tới đời sống cá nhân, nhà nước, xã hội, chí đe dọa nghiêm trọng tới hòa bình an ninh giới từ Internet Internet dần trở thành phương tiện hữu hiệu tội phạm sử dụng công nghệ cao công cụ sử dụng để can thiệp vào an ninh, trị quốc gia doanh nghiệp Trong thời gian vừa qua, giới có khơng xâm nhập, cơng trái phép cho có tổ chức vào sở hạ tầng thông tin quốc gia doanh nghiệp môi trường mạng Xu ngày gia tăng, diễn biến phức tạp, khó lường Theo chuyên gia, kết nối mạng không phân chia biên giới nên rủi ro không gian mạng không phân biệt biên giới quốc gia, không phân biệt giới hạn tổ chức An ninh mạng, an ninh thông tin (ANTT) đồng thời đặt vấn đề với tổ chức, doanh nghiệp, cá nhân Đặc biệt, với đặc trưng có mặt khắp nơi, có khả cảm biến, liên tục thu thập thông tin hoạt động người, môi trường xung quanh liên tục kết nối, hàng chục tỷ thiết bị IoT hoạt động giới bị lợi dụng để tạo mạng lưới thu thập thông tin với phạm vi hoạt động cực rộng, len lỏi vào khía cạnh đời sống người, tạo nguy chưa có với doanh nghiệp, cá nhân trước hoạt động tội phạm mạng Có thể nói, đề tài bảo đảm an ninh thông tin quốc tế vấn đề ưu tiên toàn cầu, khu vực quốc gia doanh nghiệp Điển hình gần vụ lây lan mã độc tống tiền WannaCry hồi tháng năm 2017 gây ảnh hưởng đến khoảng 200.000 hệ thống mạng 150 quốc gia vùng lãnh thổ giới Mã độc WannaCry làm tê tiệt hệ thống máy tính nhiều ngân hàng, bệnh viện, trường học theo đó, người sử dụng mạng truy cập liệu đồng ý trả cho tin tặc khoản tiền ảo Bitcoin, trị giá từ 300 - 600 USD 1.2 Thực trạng an ninh mạng doanh nghiệp Việt Nam Việt Nam trở thành quốc gia có tốc độ phát triển ứng dụng Internet cao giới với khoảng 58 triệu người dùng Internet (chiếm 62,76% dân số) đứng đầu Đông Nam Á số lượng tên miền quốc gia xếp thứ khu vực Đông Nam Á, thứ khu vực Châu Á, thứ 30 giới địa IPv4 (số liệu tính đến tháng 12/2016) Hoạt động công mạng vào sở hạ tầng thông tin trọng yếu ngày gia tăng quy mơ tính chất nguy hiểm riêng năm 2016, có tới gần 7.000 trang/cổng thơng tin điện tử nước ta bị công Nhiều thiết bị kết nối Internet IoT tồn lỗ hổng bảo mật dẫn đến nguy tin tặc khai thác, chiếm đoạt sử dụng làm bàn đạp cho công mạng giới, hệ thống thông tin trọng yếu, hàng khơng, ngân hàng, viễn thơng có nguy bị phá hoại nghiêm trọng cơng mạng, điển hình là vụ cơng mạng vào ngành hàng không Việt Nam ngày 29/7/2016 Các vụ công mạng Việt Nam ngày nghiêm trọng phức tạp tháng đầu năm 2017 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam ghi nhận có gần 10 nghìn cố cơng mạng nước, có gần nửa cố phát tán mã độc Các vụ công mạng tăng số lượng, quy mơ, hình thức ngày tinh vi, nhiều cơng có chủ đích nhằm vào quan Chính phủ, hệ thống thông tin quan trọng nhiều lĩnh vực viễn thơng, cơng nghệ thơng tin, tài chính, ngân hàng, điện lực Chỉ số An ninh mạng toàn cầu số tổng hợp đánh giá so sánh mức độ cam kết đảm bảo an ninh mạng nước thành viên dựa yếu tố: công nghệ, tổ chức, luật pháp, hợp tác tiềm phát triển Mục đích để phân loại, xếp thứ hạng sau đánh giá, dự báo, định hướng trình phát triển tầm khu vực quy mơ tồn cầu Việt Nam gia nhập tổ chức từ năm 1951 Theo báo cáo nửa đầu năm 2017 tổ chức Việt Nam xếp thứ 101 tổng số 193 nước thành viên khả đảm bảo an ninh mạng Trên phạm vi giới Singapore xếp hạng cao với 0.925 điểm xếp Mỹ Cũng theo báo cáo Singapore có kinh nghiệm lịch sử phát triển an ninh mạng lâu dài năm 2005 Một nước châu Á khác có mặt top 10 quốc gia Malaysia xếp thứ ba với 0.893 điểm 1.3 Các mối đe dọa tới an ninh mạng doanh nghiệp viễn thông Với đặc thù doanh nghiệp viễn thông lưu trữ nhiều thông tin liệu quan trọng mà thường xuất hình thức cơng cơng từ bên ngồi mạng, mã hóa liệu, đánh cắp liệu, công phần mềm độc hại, công rà quét, công Dos, DDoS công lừa đảo mật Đánh cắp liệu tống tiền xu hướng cơng hacker thời điểm doanh nghiệp viễn thông không nạn nhân ngoại lệ, hình thức cơng mang lại lợi nhuận cao cho tội phạm, cá nhân, doanh nghiệp, tổ chức bị công bị yêu cầu khoản tiền lớn, mối đe dọa tới an ninh mạng doanh nghiệp 1.3.1 Tấn cơng từ bên ngồi mạng Hình thức cơng từ bên mạng sử dụng cá nhân có quyền truy cập cách dễ dàng, hacker đứng mạng nội để công hệ thống họ cơng từ bên ngồi vào mạng bạn Các công phổ biến công website, sở liệu, lợi dụng lỗ hổng bảo mật web, lỗ hổng bảo mật Microsoft, Adobe để cài phần mềm gián điệp, điều khiển từ xa để xâm nhập nhằm phá hoại trộm cắp thông tin bất hợp pháp Sự thay đổi liên tục nhiều kiểu công mạng từ khắp giới cộng thêm tính phức tạp lỗ hổng sở hạ tầng mạng khiến tảng web trở nên dễ bị tổn thương trước công Những xu hướng đe dọa an ninh mạng hàng đầu bao gồm: cài đặt spyware, keylogger, backdoor, sniffer, công từ chối dịch vụ DDoS Hiện hàng loạt phần mềm độc hại (Malware) nguy hiểm như: Zeus, SpyEye, Filon, Clod Bugat, Kraken, Grum, Bobax, Pushdo, Rustock…đã thiết kế để tạo loại mạng botnet với chức khác nhau: Botnet để công DDoS, lấy cắp thông tin thẻ ngân hàng gửi thư rác spam 1.3.2 Mã hóa liệu Mã hóa liệu chuyển liệu từ dạng sang dạng khác sang dạng code mà có người có quyền truy cập vào khóa giải mã có mật đọc nó, cách sử dụng thuật tốn lồng nhau, thường dựa khóa để mã hóa liệu Ransomware – mã độc mã hóa liệu có tính nguy hiểm cao nhân viên văn phòng mã hóa tồn file word, excel tập tin khác máy tính làm cho nạn nhân khơng thể mở file, Việt Nam trường hợp bị lây nhiễm nhiều thành viên Ransomware – Trojan-Ransom.Win32.Onion gây nên Gần điển hình mã độc WannaCry loại mã độc xâm nhập thiết bị máy tính người dùng hệ thống doanh nghiệp tự động mã hóa tồn tập tin theo định dạng văn tài liệu, hình ảnh Người dùng phải trả khoản tiền không hệ nhỏ muốn mở khóa lấy lại liệu Ransomware sử dụng cơng nghệ mã hóa Public-Key vốn phương pháp đáng tin cậy nhằm bảo vệ liệu nhạy cảm Tội phạm lợi dụng cơng nghệ tạo chương trình độc hại để mã hóa liệu người dùng, liệu bị mã hóa có chìa khóa đặc biệt bí mật giải mã được, lợi dụng yếu tố Hacker thường tống tiền người dùng để trao đổi chìa khóa bí mật này, nguy hiểm chỗ có chìa khóa bí mật giải mã phục hồi liệu, số Ransomware tạo với mục đích liệu bị mã hóa hồn tồn khơng phục hồi lại dù có chìa khóa mở khóa Lưu ý Ransomware hoạt động sau cài đặt máy tính 1.3.3 Đánh cắp liệu Dữ liệu doanh nhiệp viễn thơng có giá trị lớn thông tin bảo mật điều đồng nghĩa với việc hacker bỏ qua nạn nhân doanh nghiệp viễn thơng Trong vòng đời an tồn liệu gồm chu kỳ tạo liệu, lưu trữ liệu, sử dụng liệu, chia sẻ liệu, phá hủy liệu mấu chốt từ lúc tạo liệu phải đảm bảo môi trường tạo liệu “sạch” Sau ngoại trừ sử dụng phá hủy tất chu kỳ lại đòi hỏi liệu phải mã hóa, đảm bảo người ta phải trả giá đắt để lấy cắp liệu, tất pha đòi hỏi phải phân quyền truy cập sử dụng thông tin thành viên tổ chức cách chặt chẽ để theo dõi quản lý “ đường nước bước liệu” việc cần cân nhắc xem nên bảo vệ liệu cụ thể khối lượng mật lớn giá để bảo vệ lớn Hướng tiếp cận đưa đến hai gợi ý quan trọng cần có giải pháp phần mềm bao gồm từ hệ điều hành, cơng cụ văn phòng phần mềm soạn thảo văn bản, email để hình thành “môi trường sạch” cho việc tạo ra, lưu trữ liệu đồng thời phải đầu tư cho nghiên cứu bảo mật để tạo công nghệ mã hóa hiệu 1.3.4 Tấn cơng phần mềm độc hại Phần mềm độc hại hay gọi mã độc Malware (viết tắt Malicious Software), dễ dàng mô tả phần mềm không mong muốn cài đặt hệ thống bạn mà không cho phép bạn, với mục đích lây lan phát tán hệ thống máy tính Internet nhằm thực hành vi bất hợp pháp nhằm vào người dùng cá nhân, quan, tổ chức để thực hành vi chuộc lợi cá nhân, kinh tế, trị đơn giản để thỏa mãn ý tưởng sở thích người viết Virus phần mềm trojan ví dụ phần mềm độc hại thường xếp nhóm với gọi phần mềm độc hại Đặc điểm Malware - Không thể tự tồn độc lập mà phải dựa vào ứng dụng - Tự nhân ứng dụng kích hoạt - Có thời kỳ nằm chờ (giống ủ bệnh) Trong thời gian không gây hậu - Sau thời kỳ “ nằm vùng” bắt đầu phát tác Phân loại đặc tính mã độc Tùy thuộc vào chế, hình thức lây nhiễm phương pháp phá hoại mà người ta phân biệt mã độc thành nhiều loại khác : virus, trojan, backdoor, adware, spyware… Nổi bật gần Ransomware (phần mềm độc hại mã hóa tống tiền) Đặc điểm chung dòng mã độc sau lây nhiễm mã hóa tất liệu quan trọng người dùng yêu cầu tiền chuộc để lấy lại liệu, điển hình mã độc WannaCry hồi tháng năm 2017 1.3.5 Tấn công rà quét Nếu kẻ trộm trước đột nhập nhà gia chủ trước hết ta phải thăm dò, quan sát nhà, đường lối lại điểm yếu sơ hở Tương tự cơng mạng kiểu thăm dò, kẻ cơng thu thập thông tin hệ thống định công (nạn nhân), dịch vụ chạy lỗ hổng Các công cụ mà kẻ công thường sử dụng kiểu công công cụ chặn bắt gói tin (packet sniffer), quét cổng (port scanner), truy vấn thông tin Internet, Ping sweep (kỹ thuật quét dải IP để phát xem có thiết bị sở hữu địa IP dải đó) Các cách phòng chống cơng rà qt: Trong thực tế sống người bảo vệ phát kẻ thường xun qua lại rình mò trước nhà người nghi vấn cảnh giác Tương tự hệ thống mạng bạn cần có hệ thống phát ngăn ngừa xâm nhập IDS IPS Hệ thống thấy số lượng gói tin ICMP echo requets nhiều bất thường Ping sweep cảnh báo đến người quản trị 1.3.6 Tấn công Dos, DDoS Denial of Service hay công từ chối dịch vụ phân tán DDoS viết tắt Distributed Denial of Service nỗ lực làm cho người dùng sử dụng tài nguyên máy tính hệ thống máy chủ hay hệ thống mạng sử dụng, làm gián đoạn, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Thủ phạm công từ chối dịch vụ thường nhắm vào trang mạng hay server tiêu biểu ngân hàng, cổng toán thẻ tín dụng chí DNS root servers Một kiểu DoS rõ ràng phổ biến kẻ công "tuồn" ạt lưu lượng truy cập vào máy chủ, hệ thống mạng, làm cạn kiệt tài nguyên nạn nhân, khiến người dùng hợp pháp gặp khó khăn chí khơng thể sử dụng chúng Cụ thể hơn, bạn nhập vào URL website vào trình duyệt, lúc bạn gửi yêu cầu đến máy chủ trang để xem Máy chủ xử lý số yêu cầu định khoảng thời gian, kẻ công làm gửi ạt nhiều yêu cầu đến máy chủ làm bị tải yêu cầu bạn không xử lý Đây kiểu “từ chối dịch vụ” làm cho bạn khơng thể truy cập đến trang Trong công từ chối dịch vụ phân tán (DDoS), kẻ cơng sử dụng máy tính bạn để cơng vào máy tính khác Bằng cách lợi dụng lỗ hổng bảo mật khơng hiểu biết, kẻ giành quyền điều khiển máy tính bạn Sau chúng sử dụng máy tính bạn để gửi số lượng lớn liệu đến website gửi thư rác đến địa hòm thư 1.3.7 Tấn cơng lừa đảo mật Đứng thứ hai số lượng công lừa đảo mật Khoảng 60-70% email spam, phần lớn số cơng tìm cách lừa người sử dụng để lấy thông tin đăng nhập họ Khi có thơng tin tài khoản mật hacker truy cập vào hòm thư có hành động xấu đánh cắp liệu, phá hủy liệu, thay đổi liệu Hình thức cơng khơng phải bẻ khóa hacker dụ dỗ người dùng thông qua số mánh khóe lừa đảo thủ đoạn thường gặp hình thức lừa đảo qua email Đầu tiên hacker gửi nhiều email tới người dùng danh nghĩa tập đồn hay tổ chức lớn có danh tiếng uy tín thực tế đường dẫn liên kết tới trang đăng nhập giả mạo thiết kế giống y hệt trang đăng nhập thực tế, người nhận email không hay biết điền thông tin cá nhân vào thơng tin cá nhân gửi cho hacker bị đem bán để chuộc lợi sử dụng vào mục đích xấu khác Cách đề phòng hạn chế cho hình thức cơng tăng mức độ lọc spam dịch vụ sử dụng lên mức cao luôn kiểm tra kỹ đường dẫn trước click vào đó, khơng nhập thơng tin cá nhân, thông tin account mật trường hợp khả nghi 1.4 Kết luận chương Trên giới nói chung Việt Nam nói riêng, vấn đề an toàn an ninh mạng vấn đề quan trọng quốc gia doanh nghiệp, thực trạng chung cho thấy vấn đề an toàn an ninh mạng doanh nghiệp mức thấp, nguy ATTT cao Trong chương luận văn học viên nêu hình thức cơng thường công vào mạng doanh nghiệp cơng từ bên ngồi mạng, mã hóa liệu, đánh cắp liệu, công phần mềm độc hại, công rà quét, công Dos, DDoS công lừa đảo mật Sang chương luận văn trình bày chi tiết giải pháp thường áp dụng để tăng cường an ninh mạng cho doanh nghiệp nói chung doanh nghiệp viễn thơng nói riêng CHƯƠNG 2: MỘT SỐ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO CÁC DOANH NGHIỆP VIỄN THƠNG Với hình thức cơng thường xảy với doanh nghiệp học viên trình bày chương doanh nghiệp viễn thông không ngoại lệ Với đặc thù nơi lưu trữ nhiều thơng tin có giá trị thơng tin tài khoản khách hàng, thông tin chi tiết cước, thông tin nạp thẻ…các doanh nghiệp viễn thông thường phải đối mặt với mối đe dọa an ninh mạng như: cơng từ bên ngồi mạng, mã hóa liệu, đánh cắp liệu, công phần mềm độc hại, công rà quét, công DoS DDoS, công lửa đảo mật số hình thức công khác 8 Các doanh nghiệp viễn thông có giải pháp để hạn chế ngăn chặn mối đe dọa như: giải pháp an ninh cho lớp trung gian, giải pháp phần mềm, giải pháp bảo mật thông qua Firewall, giải pháp bảo mật IDS/IPS đồng thời với đặc thù làm việc dựa quy trình quy định giải pháp phi kỹ thuật cần áp dụng 2.1 Giải pháp an ninh cho lớp trung gian Lớp an ninh thực kiểm soát giao thức, ứng dụng, dịch vụ trao đổi qua lại cửa ngõ mạng, ngăn chặn tình trạng tắc nghẽn mạng, đảm bảo chất lượng ổn định cho dịch vụ, ứng dụng mạng, Access Control List hạn chế truy cập người dùng cuối qua phân vùng, ứng dụng khơng thuộc phạm vi truy xuất Thiết lập quyền truy cập thông qua username, password Hạn chế kết nối vào hệ thống (kết nối vật lý) vị trí khơng phép thơng qua tính Port security, VLAN access control list thiết bị mạng Phân vùng VLAN hạn chế liệu vô ích (Broadcast, ARP signal…) từ khu vực qua khu vực khác, tận dụng tối đa băng thông cho thông tin có ích hệ thống Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới trường hợp không ổn định hệ thống phần cứng từ vùng qua vùng khác Để bảo mật cho lớp trung gian, cần quan tâm đặc biệt tới thiết bị mạng, hệ điều hành, trang web truy cập, vùng LAN Ví dụ thực tính cho lớp trung gian như: - Hạn chế truy cập trái phép qua Access Control hạn chế truy cập người dùng cuối qua phân vùng, ứng dụng không thuộc phạm vị truy xuất nâng cao bảo mật thơng qua mật mạnh (password strong) - Hạn chế tràn ngập liệu từ khu tới khu khác đảm bảo lưu thơng mạng ln trì giúp khách hàng dễ dàng truy cập hệ thống website - Ngăn ngừa kết nối trái phép thông qua kết nối vật lý như: Port security, VLAN access control list, Private VLAN… thiết bị mạng 2.2 Giải pháp phần mềm Sử dụng phần mềm diệt virus cho máy trạm end - user thành phần thiếu hệ thống mạng hay hệ thống website đồng thời rà quét lỗ hổng thường xuyên Giải pháp phần mềm phương pháp linh hoạt hơn, nhằm mục đích mã hóa hay sử dụng mạng riêng ảo VPN, hệ thống Firewall phần mềm… sử dụng phương pháp kiểm sốt trao đổi thơng tin, hay mát xảy ra…Chi phí thường rẻ Mạng riêng ảo VPN (Virutual Private Networks) VPN hiểu đơn giản mở rộng mạng riêng (Private Network) thông qua mạng công cộng Về VPN mạng riêng sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực chuyên dụng đường liệu thuê VPN sử dụng kết nối ảo dẫn đường quan Internet từ mạng riêng doanh nghiệp tới site hay nhân viên từ xa để gửi nhận liệu thông qua mạng công cộng mà đảm bảo an tồn bí mật 2.3 Giải pháp bảo mật thơng qua Firewall Firewall hay gọi tưởng lửa thuật ngữ chuyên ngành mạng máy tính hệ thống an ninh mạng dự phần cứng phần mềm, sử dụng quy tắc để kiểm tra lưu lượng liệu (traffic) vào hệ thống, chống lại truy cập trái phép, ngăn chặn virus để đảm bảo nguồn thông tin nội an toàn, tránh bị đánh cắp Ngắn gọn dễ hiểu Firewall ranh giới bảo mật bên bên ngồi hệ thống mạng máy tính Chức Firewall : Kiểm sốt luồng thơng tin từ Intranet Internet Thiết lập chế điều khiển dòng thơng tin mạng bên (Intranet) mạng Internet, cụ thể : - Cho phép cấm dịch vụ truy cập (từ Intranet Internet) - Cho phép cấm dịch vụ truy cập vào bên (từ Internet vào Intranet) - Theo dõi luồng liệu mạng Internet Intranet - Kiểm soát địa truy cập, cấm địa truy cập - Kiểm soát người dùng việc truy cập người dùng - Kiểm sốt nội dung thơng tin lưu chuyển mạng 2.4 Giải pháp IDS/IPS Khái niệm IDS (Hệ thống phát xâm nhập) hệ thống phòng chống, nhằm phát hành động cơng vào mạng Mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống, hành động tiến trình cơng sưu tập, qt cổng Một tính hệ thống cung cấp thông tin nhận biết hành động khơng bình thường đưa báo cảnh thơng báo cho quản trị viên hệ thống mạng khóa kết nối công IDS phát triển đa dạng phần mềm phần cứng, mục đích chung của IDS quan sát kiện hệ thống mạng thông báo cho quản trị hệ thống biết an ninh của kiện cảm biến cho đáng báo động cần theo dõi xử lý Khái niệm IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập khơng mong muốn Chức IPS xác định hoạt động nguy hại, lưu giữ thơng tin Sau kết hợp với Firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự Điểm khác hệ thống IPS khả theo dõi, giám sát có chức ngăn chặn kịp thời 10 hoạt động nguy hại hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS 2.5 Giải pháp phi kỹ thuật Doanh nghiệp cần có sách đánh giá mức độ an tồn thơng tin thơng qua phần mềm, phần cứng người Xây dựng sách an tồn thơng tin cho doanh nghiệp đồng thời có chế tải xử lý nghiêm khắc cá nhân không tuân thủ quy định an toàn bảo mật doanh nghiệp đề 2.3 Kết luận chương Chương luận văn học viên trình bày số giải pháp nâng cao an ninh mạng cho doanh nghiệp viễn thông áp dụng phát huy hiệu quả, để đảm bảo đạt hiệu cao cần phối hợp triển khai giải pháp cho phù hợp với thực trạng tảng sở vật chất Chương cuối luận văn học viên nghiên cứu tìm hiểu giới thiệu giải pháp nâng cao an ninh mạng áp dụng Tổng công ty viễn thông MobiFone đồng thời từ đặc thù, sở vật chất hệ thống tảng thiết bị Tổng công ty Viễn thông MobiFone học viên nghiên cứu đưa đề xuất để tăng cường bảo mật an ninh mạng cho Tổng cơng ty Viễn thơng MobiFone nói riêng doanh nghiệp hoạt động kinh doanh lĩnh vực viễn thơng nói chung CHƯƠNG 3: GIẢI PHÁP NÂNG CAO AN NINH MẠNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE 3.1 Nghiên cứu giải pháp nâng cao an ninh mạng áp dụng Tổng công ty viễn thông MobiFone Tại Tổng công ty Viễn thông MobiFone vấn đề bảo mật an ninh mạng Lãnh đạo Tổng công ty Lãnh đạo trung tâm trực thuộc, Lãnh đạo công ty khu vực quan tâm đánh giá vấn đề quan trọng MobiFone vận hành khai thác nhiều hệ thống liên quan liệu tính cước, thơng tin th bao, tài khoản khách hàng, thông tin thẻ nạp, thông tin gọi, giao dịch toán điện tử, đăng ký gói cước… việc đảm bảo an tồn tuyệt đối cho liệu quan trọng, việc bị cơng đánh cắp, rò rỉ liệu ảnh hưởng lớp tới uy tín thương hiệu MobiFone ảnh hưởng trực tiếp tới khách hàng sử dụng dịch vụ MobiFone Thực tế MobiFone áp dụng nhiều biện pháp tăng cường bảo mật an ninh mạng không giải pháp phần cứng, giải pháp phần mềm mà có giải pháp phi kỹ thuật, giải pháp có 11 ưu điểm riêng áp dụng triển khai thực tế tùy thuộc vào quy mô, sở hạ tầng cụ thể hệ thống Các giải pháp sử dụng sau : Giải pháp phần cứng - Hệ thống tường lửa Firewall - Hệ thống phát ngăn ngừa xâm nhập IDS/IPS - Hệ thống giám sát bảo mật tập trung SCB - Hệ thống giám sát, quản lý điều hành tập trung Polestar - Hệ thống mạng riêng ảo VPN Giải pháp phần mềm - Sử dụng phần mềm diệt virus - Firewall phần mềm Giải pháp chống liệu - Xây dựng hệ thống dự phòng, phòng ngừa thảm họa DR (Disaster Recovery) Giải pháp khác : - Giải pháp phi kỹ thuật nâng cao nhận thức, xây dựng quy chế an toàn bảo mật thơng tin áp dụng cho tồn Tổng cơng ty 3.1.1 Nhóm giải pháp phần cứng Hệ thống tường lửa Firewall Cũng nhiều doanh nghiệp khác Firewall lựa chọn phổ biến công tác bảo mật an ninh mạng, MobiFone với vùng mạng phòng máy gồm thiết bị mạng, máy chủ, thiết bị hệ thống SAN… trang bị thiết bị phần cứng Firewall PaloAlto 5020, CheckPoint X80, CheckPoint 12400… thiết bị Firewall phần cứng MobiFone sử dụng Firewall phần mềm sử dụng thiết bị mạng lõi core router core switch Về mặt kết nối logic Firewall đặt sau core switch core route đồng thời trước switch access layer để bảo vệ cho thiết bị kết nối trực tiếp với switch access layer Hệ thống phát ngăn ngừa xâm nhập IDS/IPS MobiFone sử dụng thiết bị IBM Security Network IPS XGS 7100 thiết bị triển khai nội tuyến (Inline) hệ thống mạng, thực bảo vệ cho nhiều vùng mạng, thiết bị thực phân tích tồn gói tin qua theo chiều (Inbound Outbound) Khi phát công thiết bị thực việc ngăn chặn theo sách định nghĩa thiết bị Tồn thơng tin nhật ký công lưu trữ thiết bị phần toàn thành phần quản trị tập trung Hệ thống bảo vệ hệ thống mạng IBM Security Network IPS – giải pháp ngăn chặn phát mối đe dọa hệ IBM - Next generation Intrusion Prevention System (IPS) Đây hệ thống cho phép ngăn chặn mối đe dọa xuất phát từ bên từ 12 bên mạng thơng qua việc phân tích sâu vào phần nội dung gói tin với cơng nghệ nghiên cứu phát triển IBM X-Force Hệ thống Cổng giám sát bảo mật tập trung SCB Hệ thống Cổng giám sát bảo mật tập trung SCB hệ thống cho phép kiểm tra, giám sát kiểm soát thao tác người dùng vào hệ thống phục vụ SXKD thông qua giao thức Telnet, SSH, Remote Desktop, X11, VNC, SCP SFTP Hệ thống gồm thiết bị chuyên dụng (Appliance) gọi Shell Control Box (SCB) Nguyên lý hoạt động : Thay phương thức truy cập trực tiếp người dùng vào hệ thống phương pháp truy cập gián tiếp thông qua hệ thống cổng giám sát cách thay đổi lại địa IP cổng truy cập Hoạt động hệ thống cổng giám sát hoàn toàn suốt người dùng Tuy nhiên, tất thao tác người dùng hệ thống ghi lại, đồng thời ngăn chặn thời gian thực thao tác định nghĩa không hợp lệ hệ thống cổng giám sát bảo vệ Hệ thống giám sát, quản lý điều hành tập trung Polestar Hệ thống Polestar tên thương mại hệ thống giám sát, quản lý điều hành tập trung triển khai Tổng Công ty Viễn thông MobiFone, cho phép giám sát hoạt động toàn hạ tầng công nghệ thông tin doanh nghiệp Nguyên lý hoạt động hệ thống sau : hệ thống giám sát toàn máy chủ, thiết bị lưu trữ, thiết bị mạng, sở liệu, ứng dụng, weblogic thông số giám sát gồm: trạng thái hoạt động, tải, hiệu năng, cảnh báo, thông báo lỗi từ thành phần giám sát Các phương thức giám sát bao gồm giám sát thơng qua hình giám sát, âm cảnh báo, tin nhắn SMS, email Khi bị công xâm nhập gây down hệ thống, tăng tải đột biến, sở liệu tăng bất thường hệ thống cảnh báo email sms tới quản trị hệ thống để nắm thơng tin xử lý, ngồi mức cảnh báo xuất hình giám sát tập trung nhân viên trực ca hệ thống giám sát 24/7 Hệ thống lắp đặt site Hà Nội HCM Phần cứng hệ thống gồm Máy chủ IBM Power 740 (16 core Power7+ 3.6 GHz, 256GB RAM, 6x600GB 10K SAS HDD, port 1Gb ethernet, port 8Gb FC, AIX 7.1 Standard, PowerVM Enterprise, hình giám sát TV Giao diện Event Console cho phép hiển thị kiểm tra thơng tin tồn kiện xảy hệ thống Tất kiện hệ thống cập nhật hiển thị theo thời gian thực, cấp độ kiện mã mầu giúp người dùng dễ dàng theo dõi Các mức độ kiện định nghĩa phần thiết lập ngưỡng cảnh báo Hiện hệ thống có mức độ ngưỡng cảnh báo theo mức độ nguy hiểm cho hệ thống tăng dần sau : INFO, MINOR, MAJOR, CRITICAL, DOWN 13 Hệ thống mạng riêng ảo VPN Hệ thống cho phép người dùng thiết lập mạng riêng ảo với mạng khác Internet VPN sử dụng để truy cập trang web bị hạn chế truy cập mặt vị trí địa lý, bảo vệ hoạt động duyệt web mạng Wifi công cộng cách thiết lập mạng riêng ảo, VPN chuyển tiếp tất lưu lượng mạng (network traffic) tới hệ thống - nơi truy cập từ xa tài nguyện mạng cục bỏ qua (bypass) việc kiểm duyệt Internet (Internet censorship) Hầu hết hệ điều hành tích hợp hỗ trợ VPN Hệ thống VPN MobiFone gồm có thành phần VPN Site to Site: đặt Công ty khu vực VPN Client to Site: đặt VPCT Trung tâm trực thuộc Phần cứng hệ thống sử dụng thiết bị : SSL VPN SA6500, SSL VPN SA4500, Site to Site VPN tập trung SSG550, VPN tập trung SSG550, site to Site VPN SRX110, SRX650, VPN Junos Pulse Gateway 6610 3.1.2 Nhóm giải pháp phần mềm Sử dụng phần mềm diệt virus, Firewall mềm hệ điều hành Windows cho máy Client, máy chủ hệ thống, thiết bị mạng, thiết bị lưu trữ SAN có quyền thường xuyên cập nhật vá lỗi giải pháp phần mềm áp dụng MobiFone Firewall mềm phần mềm tích hợp sẵn theo kèm theo hệ điều hành với chức phân định kiểm soát tất liệu trao đổi máy chủ bên mạng nội Internet Ưu điểm hình thức phần mềm sẵn có theo hệ điều hành TCP Wapper, IP Table, Firewall Windows server sử dụng đơn giản khơng tốn thêm chi phí để đầu tư thiết bị quyền phần mềm để vận hành Tuy nhiên nhược điểm loại Firewall độ bảo mật khơng cao hoạt động phụ thuộc vào hệ điều hành Ngoài thiết bị mạng lõi Core switch, core route có số tính tăng cường bảo mật Port Security, Arp Spoofing, Dynamic ARP Inspection, IP Source Guard, DHCP Snoop, Private VLAN, ACL, VLAN ACL, nội dung học viên xin trình bày chi tiết vào phần 3.1.3 Nhóm giải pháp chống liệu Xây dựng hệ thống dự phòng active – stanby, hệ thống phòng ngừa thảm họa DR (Disaster Recovery) Hệ thống dự phòng hệ thống khơng thể thiếu an tồn thơng tin, quan trọng an tồn hệ thống, nhiệm vụ chia sẻ tài nguyên thông tin với hệ thống chia sẻ tải thay hệ thống cần thiết đảm bảo hoạt động suốt hệ thống, với yêu cầu hệ thống dự phòng cần vận hành song song với hệ thống liệu đồng liên tục với hệ thống ngồi hệ thống dự phòng phải có đầy đủ sở vật chất kỹ thuật lực xử lý để đảm bảo hoạt động chia sẻ thay hệ thống cần thiết, hệ thống dự 14 phòng sử dụng cho mục đích đào tạo, chuyển giao thử nghiệm công nghệ mới, test thử nghiệm trước đưa vào áp dụng hệ thống hoạt động mà không ảnh hưởng tới hoạt động hệ thống 3.1.4 Nhóm giải pháp khác Ngồi nhóm giải pháp nêu số giải pháp phi kỹ thuật nâng cao nhận thức, giải pháp xây dựng quy chế an tồn bảo mật thơng tin MobiFone coi trọng thực giám sát thường xuyên xuyên suốt, cụ thể nội dung giải pháp sau: - Thực soát hệ thống tháng lần để loại bỏ user khơng sử dụng - Khi thực phát triển nâng cấp hệ thống cần kiểm tra xác nhận đủ điều kiện bảo mật thông tin trước đưa vào sử dụng - Thực kiểm tra đánh giá việc tuân thủ quy chế an toàn thông tin đơn vị định kỳ, cá nhân đơn vị vi phạm bị xử lý theo quy định - Xây dựng sách quy trình thực an tồn thơng tin áp dụng cho tồn Tổng công ty, chi nhánh đơn vị thành lập tổ an toàn bảo mật thường xuyên nghiên cứu cơng nghệ đồng thời thực rà sốt lỗ hổng hệ thống thường xuyên để kịp thời cập nhật khắc phục lỗ hổng - Với CSDL quan trọng liên quan tới thông tin khách hàng, chi tiết gọi, thông tin thẻ cào, thẻ nạp data giao dịch toán điện tử, đăng ký dịch vụ khách hàng, thơng tin tài Tổng cơng ty, thơng tin sách, báo cáo số liệu Tổng công ty cần thiết lập ghi log giám sát truy cập, giám sát tác động vào bảng liệu quan trọng - Bên cạnh giải pháp kỹ thuật giải pháp phi kỹ thuật MobiFone áp dụng tuyên truyền mạnh mẽ nâng cao nhận thức cá nhân phòng ban thuộc chi nhánh, Trung tâm trực thuộc công ty khu vực Áp dụng hình thức kiểm điểm kỷ luật cá nhân, đơn vị không thực nghiêm túc quy định an toàn bảo mật mà Tổng công ty đề 3.2 Nghiên cứu đề xuất biện pháp tăng cường an ninh mạng cho Tổng công ty viễn thông MobiFone Qua nghiên cứu tìm hiểu số cơng nghệ bảo mật tăng cường an ninh mạng khảo sát thực trạng hệ thống bảo mật MobiFone học viên nhận thấy phương pháp hệ thống đảm bảo vấn đề bảo mật cho tồn Tổng cơng ty Tuy nhiên với phát triển khoa học kỹ thuật hacker có hình thức phương pháp công nguy hiểm, tinh vi mà tảng an tồn bảo mật chưa thể phòng chống ngăn chặn : công vào ứng dụng sở liệu hệ thống thông qua SQL Injection loại hình cơng 15 vượt qua tất chế bảo mật hệ thống mạng cần ngăn ngừa tức thời công trái phép vào CSDL cần thiết Mặt khác hình thức cơng qua thiết bị mạng : công vào port thiết bị mạng port kết nối thiết bị mạng không bị giới hạn địa MAC đầu vào nguy hiểm cần ngăn chặn từ thiết bị mạng không cho phép sâu vào hệ thống Với hệ điều hành tất IP kết nối tới máy chủ mà không bị hạn chế nguy hiểm dễ dàng tạo hội cho hacker công Học viên nhận thấy việc bảo mật nâng cao an ninh mạng khơng dừng lại cần tiếp tục áp dụng hệ thống phương pháp tăng cường bảo mật dựa tảng hệ thống sử dụng đầu tư trang bị thêm hệ thống phương pháp tăng cường bảo mật để tăng cường cho an toàn an ninh mạng MobiFone 3.2.1 Triển khai hệ thống giám sát bảo vệ sở liệu Impreva Với quy mô mở rộng ngày lớn, để đáp ứng tốt yêu cầu SXKD, MobiFone đầu tư mở rộng hạ tầng CNTT mạnh với nhiều hệ thống ứng dụng lớn Trong đó, có nhiều hệ thống xử lý lưu trữ thông tin quan trọng, nhạy cảm thông tin liệu khách hàng, chi tiết gọi, thông tin thẻ nạp giao dịch toán điện tử, đăng ký dịch vụ khách hàng Dữ liệu mạng MobiFone nguồn liệu giá trị đối tượng từ tổ chức đến cá nhân Xác định bảo mật thông tin khách hàng yêu cầu bắt buộc Imperva công ty chuyên giải pháp bảo vệ cho sở liệu Khác với giải pháp khác triển khai bảo vệ mạng vành đai điểm cuối, giải pháp Imperva giám sát bảo vệ trực tiếp ứng dụng liệu quan trọng trung tâm liệu, cung cấp khả giám sát, ghi log chi tiết truy cập/tác động liệu, ngăn chặn công hành động trái quyền Tường lửa mạng, hệ thống phòng chống xâm nhập (Network Firewall, IDS/IPS) giải pháp bảo đảm an ninh chủ yếu cho mức mạng, hạ tầng Nó khơng hoạt động mức ứng dụng liệu, hệ thống tồn lỗ hổng an ninh trang bị giải pháp Thực tế cho thấy xuất nhiều công khai thác điểm yếu ứng dụng Web để từ xâm nhập vào liệu back - end công từ người dùng nội phép truy cập liệu Vì vậy, xu hướng bảo vệ tập trung mức mạng, hạ tầng chưa đủ giải pháp bảo vệ, giám sát an ninh chuyên biệt vào dịch vụ, ứng dụng liệu MobiFone nghiên cứu sử dụng hệ thống Imperva cung cấp giải pháp an ninh chuyên biệt từ ứng dụng tới liệu Imperva có khả hiểu rõ ứng dụng Web cấu trúc ứng dụng hành vi người dùng Giải pháp kiểm soát tới mức liệu, thao tác (đọc/xóa/sửa), câu lệnh query (Select, Insert, Update) từ người dùng ứng dụng lên đối tượng liệu (file liệu, bảng & cột CSDL) hành động người dùng có đặc quyền DBA (Database Administrator) lên hệ thống 16 Hệ thống Impreva có ưu điểm như: - Chống cơng vượt qua Firewall mức mạng IDS/IPS để xâm nhập sâu vào ứng dụng hệ thống - Giám sát cảnh báo cách độc lập hành động thao tác chi tiết người dùng quản trị hệ thống Cơ sở liệu - Ngăn chặn hành động trái phép sở liệu giúp nâng cao an ninh liệu tuân thủ tiêu chuẩn an toàn thông tin đồng thời giải vấn đề giám sát bảo vệ mức ứng dụng, liệu thơng tin Ngồi Impreva tự động dò quét định vị liệu nhạy cảm, chẳng hạn thơng tin thẻ tín dụng, giao dịch tốn, tài khoản, thông tin cá nhân khác theo chuẩn người quản trị định nghĩa cách dò quét theo tên (name based) nội dung (content based), theo dòng theo cột Q trình phân loại tự động giúp xác định rõ loại liệu nhạy cảm theo dõi nơi liệu nhạy cảm lưu trữ đối tượng CSDL liên quan 3.2.2 Triển khai tính bảo mật thiết bị mạng Qua nghiên cứu tìm hiểu thiết bị mạng lõi (core switch), thiết bị định tuyến lõi (core router), switch access layer khai thác thêm bảo mật cách mở rộng bật tính (enable policy) thiết bị mạng Cissco : - Port security - Dynamic ARP Inspection - IP Source Guard - DHCP Snooping - Private VLAN - ACL, VLAN ACL Port security Sử dụng tính Port security với mục đích giới hạn đầu vào interface cách hạn chế xác định địa MAC máy trạm phép truy cập vào, kết nối khác tới port Switch khơng với MAC cấu hình kết nối bị từ chối, cổng mạng không chuyển tiếp gói tin với địa nguồn bên ngồi nhóm nhóm địa MAC cấu hình sẵn Nếu hạn chế số lượng địa secure MAC tới cổng định địa MAC máy trạm thuộc port đảm bảo đầy đủ băng thông Nếu port secure với số lượng tối đa địa secure MAC đạt tới MAC máy trạm lại cố gắng truy cập vào cổng mà khác với địa secure MAC xác định vi phạm bảo mật xảy ARP (Address Resolution Protocol) giao thức truyền thơng sử dụng rộng rãi để tìm địa tầng liên kết liệu từ địa tầng mạng 17 Lỗ hổng ARP: Khi gói tin (datagram) giao thức Internet (IP) gửi từ máy đến máy khác mạng cục bộ, địa IP đích giải thành địa MAC để truyền qua tầng liên kết liệu Khi biết địa IP máy đích địa MAC cần truy cập, gói tin broadcast gửi mạng cục bộ, gói tin gọi ARP request, máy đích với IP ARP request trả lời vơi ARP reply chứa địa MAC cho IP ARP giao thức phi trạng thái, máy chủ mạng tự động lưu trữ ARP reply mà chúng nhận được, máy khác có yêu cầu hay không mục ARP chưa hết hạn bị ghi đè nhận gói tin ARP reply Khơng có phương pháp giao thức ARP mà giúp máy xác nhận máy mà từ gói tin bắt nguồn, hành vi lỗ hổng cho phép ARP spoofing xảy Trong mạng máy tính ARP spoofing, ARP cahe poisoning hay ARP poison routing kỹ thuật qua hacker công giả thông điệp ARP mạng cục bộ, mục tiêu kết hợp địa MAC kẻ tân công với địa IP máy chủ khác, chẳng hạn cổng mặc định default gateway làm cho lưu lượng truy cập dành cho địa IP gửi đến kẻ cơng ARP spoofing cho phép hacker chặn khung liệu mạng, sửa đổi lưu lượng dừng tất lưu lượng Kẻ cơng gửi thơng tin giả mạo để đánh lừa switch hay máy chủ nhằm chuyển tiếp luồng liệu đến người dùng đến gateway giả Mục đích hacker trở thành người máy tính máy chủ người dùng gửi liệu tới gateway để mạng bên ngồi máy tính hacker trở thành gateway trường hợp này, hacker phân tích nội dung gói liệu gửi đến trước chuyển thực chuyển tiếp thơng thường Với tính Cisco Catalyst DHCP Snooping, IP Source guard dynamic ARP cho phép ngăn chặn hình thức cơng DHCP Snooping Một server DHCP thông thường cung cấp thơng tin cho máy tính hoạt động mạng, ví dụ máy tính người dùng nhận IP, gateway, DNS giả sử hacker xây dựng DHCP giả mạng máy tính với người dùng máy tính gửi tin DHCP Request server DHCP giả gửi thơng tin trả lời máy tính người dùng dùng DHCP giả làm gateway tồn luồng liệu gửi mạng bên qua gateway giả hacker phân tích nắm thơng tin nội dung liệu, liệu sau chuyển tiếp bình thường Đây dạng công người (man-in-the-middle), hacker thay đổi đường gói liệu mà người dùng khơng thể nhận biết Với DHCP Snoop giúp ngăn chặn loại cơng này, DHCP kích hoạt cổng Switch phân loại thành cổng tin cậy (trusted) không tin cậy (unstrusted) Cổng tin cậy cho phép nhận DHCP Relay hay cổng kết nối với server DHCP 18 cổng không tin cậy cho phép nhận DHCP hay cổng kết nối với máy tính người dùng, server DHCP giả gắn vào cổng không tin cậy gửi DHCP request hay cổng kết nối với máy tính người dùng Nếu DHCP giả gắn vào cổng khơng tin cậy gửi DHCP Relay gói Relay bị loại bỏ DHCP Snooping thực phân tích gói DHCP Reply xây dựng bảng sở liệu địa IP cấp, địa MAC, thơng tin cổng mà máy tính thuộc Dynamic ARP Inspection PC thường dùng ARP để phân giải địa MAC địa IP biết Khi địa MAC cần để gói gởi PC gửi broadcast ARP request mà chứa địa IP PC cần tìm địa MAC Nếu có PC dùng địa IP đó, trả lời địa MAC tương ứng Tuy nhiên ARP reply tạo mà khơng cần ARP request hay gọi (gratuituos ARP), PC khác mạng cập nhật bảng ARP có thay đổi xảy Lợi dụng điều kẻ tân cống thực gởi gratuituos ARP với thông tin giả, thay thể địa MAC với địa IP gateway thay địa MAC gateway, điều buộc máy nạn nhân thay đổi lại bảng ARP với thông tin sai, dạng cơng “ARP spoofing” xem man-inthe-middle, gói liệu đến gateway giả trước chuyến tiếp đến đích Tính DAI ( Dynamic ARP Inspection) ngăn chặn loại cơng DAI làm việc tương tự với DHCP Snooping, tất cà cổng phân loại thành tin cậy không tin cậy Switch thực phân tích hợp lệ ARP request reply cổng không tin cập nơi mà cở sở liệu DHCP Snooping xây dựng trước đó, nội dung gói ARP request hay reply bao gồm MAC IP mà khác so với giá trị sở liệu xây dựng trước gói bị loại bỏ Cổng tin cậy khơng thực kiểm tra gói ARP request reply Hành động ngăn chặn không hợp lệ hay gói ARP giả mạo gửi Private VLAN Như biết VLAN miền quảng bá (broadcast) VLAN giao tiếp với mà cần có thiết bị layer để chuyển gói tin broadcast domain với PVLAN chia nhỏ domain thành nhiều subdomain riêng biệt giống VLAN VLAN Do subdomain domain riêng biệt nên cần thiết bị layer để chuyển gói router, router ngăn chặn cho phép giao tiếp sub-VLAN dùng access-list VLAN PVLAN có khác biệt sau: Mỗi VLAN có subnet khác nhau, nên host thuộc VLAN khác có subnet khác Còn ta chia nhỏ VLAN thành PVLAN host thuộc PVLAN khác thuộc subnet Mục đích PVLAN 19 Mục đích việc phát triển sử dụng PVLAN nâng cao tính bảo mật, an tồn cho hệ thống mạng PVLAN cho phép tạo thêm hàng rào bảo vệ thiết bị bên VLAN cách quy định luồng liệu cho phép (permit) hay từ chối (deny) port VLAN với Việc chia host VLAN khác dẫn đến yêu cầu dùng routers multilayer switch subnets kiểu thiết bị thường có thêm nhiều chức bảo mật Với nhu cầu tăng tính bảo mật cách tách thiết bị bên VLAN nhỏ xung đột với mục đích thiết kế sử dụng địa IP sẵn có => Tính private VLAN Cisco giúp giải vấn đề VLAN ACL VLAN ACL (VACL) dịch vụ cho phép tạo quản lý danh sách truy cấp dựa vào địa MAC, IP Bạn cấu hình VACL để kiểm tra gói tin lưu thông nội VLAN, VLAN với VACL khơng quản lý truy cập theo hướng (in, out) VACL dùng Access Map để chứa danh sách nhiều mẫu tin (entry) việc quản lý truy cập Mỗi mẫu tin đồ truy cấp mơ tả việc kiểm tra gói tin dựa vào IP MAC để áp cho hành động gói tin Các mẫu tin đánh số thứ tự nên ta cấu hình ưu tiên cho mẫu tin phù hợp với yêu cầu Khi gói tin qua thiết bị kiểm tra thông qua VACL dựa vào đồ truy cấp cấu hình mà thiết bị định có chuyển tiếp gói tin hay khơng Những mẫu tin VLAN Access Map cung cấp hành động : - Forward: Hành động cho phép gói tin chuyển qua SW - Redirect: Gói tin chuyển hướng sang nhiều giao diện định - Drop: Với gói tin vi phạm hành động cho phép hủy gói tin lưu trạng thái (logs) việc hủy gói tin 3.2.3 Triển khai tính bảo mật hệ điều hành Đối với hệ điều hành cho máy chủ khai thác sử dụng tính TCP Wapper, IP Table hệ điều hành Sun solaris, linux, xác thực truy cập hệ điều hành qua OTP cho hệ điều hành Sun Solaris 10 trở lên Cụ thể sau : - TCP Wapper cho solaris Red Hat - IP Table cho centos, linux - Xác thực truy cập qua điều hành Solaris qua OTP TCP Wrapper hệ thống mạng ACL dựa máy chủ, sử dụng để lọc truy cập mạng tới máy chủ Giao thức Internet hệ điều hành giống Unix Linux Nó cho phép máy chủ lưu trữ danh sách IP kết nối tới máy chủ giao thức ssh, telnet, fpt, sftp tnhằm mục đích kiểm soát truy cập 20 Khi so sánh với thị kiểm soát truy cập máy chủ thường thấy tập tin cấu hình trình nền, TCP Wrappers có lợi ích việc cấu hình lại ACL thời gian chạy (nghĩa dịch vụ nạp lại khởi động lại) cách tiếp cận chung cho quản trị mạng IP Table Firewall cấu hình hoạt động điều khiển nhỏ tiện dụng IP Netfilter Organiztion viết để tăng tính bảo mật hệ thống Linux Iptables có tính sau : có khả phân tích gói tin hiệu quả, lọc gói tin dựa vào địa MAC số cờ hiệu TCP Header Cung cấp chi tiết tùy chọn để ghi nhận kiện hệ thống, cung cấp kỹ thuật NAT có khả ngăn chặn số chế công theo kiểu DoS OTP Sun solaris: OTP cung cấp nhận dạng thứ hai đăng nhập vào Hệ điều hành Oracle Sun Solaris Việc sử dụng chứng nhận dạng thứ hai gọi xác thực hai yếu tố Hệ thống nhắc bạn mật truy cập máy chủ, sau cho OTP từ ứng dụng xác thực di động bạn Sau hệ thống xác minh hai xác thực kết nối tới máy chủ giao thức ssh, telnet được, hiểu cách đơn truy cập ssh, telnet vào máy chủ hệ thống gửi mã OTP xác thực tới quản trị hệ thống việc ngăn ngừa truy cập trái phép từ quản trị hệ thống Để sử dụng tính xác thực lớp cần cài đặt kho Repository server chạy hệ điều hành Sun Solaris, cần cài đặt OpenSSH set OpenSSH làm mặc định thay SunSSH mặc định sẵn có hệ điều hành, việc cấu hình xác thực file /etc/ssh/sshd_config, công việc cuối cần thực máy chủ cài đặt gói OTP Trên smartphone cần cài đặt phần mềm sinh OTP cấu hình user IP kết nối máy chủ phần mềm sử dụng có tên Google authenticator 3.2.4 Triển khai tính bảo mật sở liệu Đối với sở liệu oracle áp dụng tính kiểm tra kết nối IP user kết nối database phiên sở liệu oracle phiên 10g áp dụng tính kết xuất log tác động vào hệ thống FGA ghi log tác động user sys tồn quyền quản trị database Áp dụng tính kiểm tra kết nối IP user kết nối database Trên oracle sqlnet.ora tệp cấu hình văn có chứa thơng tin (như tùy chọn truy tìm, mã hóa, tuyến đường kết nối, tham số đặt tên bên ngoài) cách máy chủ Oracle máy khách Oracle phải sử dụng Oracle Net (trước Net8 SQL * Net) khả truy cập sở liệu nối mạng Tham số cấu hình file sqlnet.ora Đối với sở liệu MongoDB áp dụng Authentication Security Thực chất tính xác nhận tài khoản xác thực có sẵn MongoDB nhiên mặc định cài đặt ban đầu tính khơng bật 21 Để kích hoạt tính bảo mật truy cập vào CSDL MongoDB với quyền administrator sau cần sửa file mongod.conf để bật chế độ enable security Thiết lập tính ghi log tác động FGA số bảng quan trọng sở liệu oracle: việc thực ghi log tác động sử dụng trực tiếp proceduce database, đồng thời quản trị hệ thống cấu hình liệu cần ghi log tùy chọn tác động vào bảng liệu select, insert, update, drop, truncate Việc thực tính cần thêm Policy giám sát cho bảng liệu Thiết lập tính ghi log tác động user sys: Tính ghi log tác động vào bảng liệu FGA có nhược điểm không ghi log giám sát từ user sys tác động, việc tác động từ user sys toàn quyền cần cấu hình độc lập với FGA sau : Mục đích : Ghi lại tồn log tác động vào hệ thống user sys với quyền quản trị DB cao nhất, sau cấu hình ta ghi lại toàn log tác động từ user sys sau: 3.2.5 Triển khai áp dụng thêm tính hệ thống giám sát bảo mật tập trung SCB Hệ thống giám sát bảo mật tập trung ngồi tính giám sát học viên trình bày có thêm số tính hữu ích cơng tác bảo mật xác thực với kết nối sử dụng tính ủy quyền, enable policy ngăn chặn tác động trái phép, để thực tính cần phải upgrade fireware hệ thống, việc cần downtime hệ thống khoảng 2h, cần cân nhắc rà soát ảnh hưởng hệ thống downtime Xác thực với kết nối sử dụng tính ủy quyền: Tính ủy quyền cho phép cán vận hành xác thực người dùng cần truy cập vào máy chủ làm việc Tính áp dụng để giám sát, tăng cường bảo mật với máy chủ quan trọng Để bật tính này, cán vận hành cần liên hệ với cán quản trị có quyền để thực khai báo hệ thống Cổng giám sát Khi người dùng thực kết nối vào máy chủ, hệ thống SCB chặn phiên kết nối người dùng Cán vận hành cần thực thao tác xác thực phép phiên kết nối thành công 3.3 Kết luận chương Chương cuối luận văn nghiên cứu trình bày giải pháp bảo mật an ninh mạng MobiFone giải pháp phần cứng, giải pháp phần mềm, giải pháp chống liệu nhóm giải pháp khác Mỗi giải pháp có ưu điểm nhược điểm riêng, MobiFone linh hoạt sử dụng giải pháp cho sở hạ tầng phòng máy, thiết bị … để đạt hiệu tốt tối ưu nguồn lực phần cứng chi phí cho vấn đề bảo mật Học viên nghiên cứu tìm hiểu đưa số giải pháp bảo mật đưa vào triển khai áp dụng cho hệ thống MobiFone như: triển khai hệ thống giám sát bảo vệ cho sở liệu, triển khai thêm tính bảo mật thiết bị mạng, triển khai 22 tính bảo mật hệ điều hành, triển khai tính bảo mật sở liệu Do đặc điểm đầu tư trang bị không đồng thời nâng cấp theo pha nên việc áp dụng toàn phương pháp hệ thống bảo mật nêu khó thực tất đồng thời, nguyên nhân tương thích phần cứng phần mềm sở hạ tầng khơng áp dụng được, việc áp dụng gây downtime hệ thống Vì vậy, việc áp dụng giải pháp mở rộng khai thác thêm tính hệ thống có sẵn cần rà soát kỹ phạm vi ảnh hưởng, cần chạy thử nghiệm đồng thời việc thực cần tiến hành cho thời gian downtime hệ thống ngắn nhất, hạn chế tối đa việc gây ảnh hưởng tới dịch vụ khách hàng 23 KẾT LUẬN Qua chương luận văn, học viên khái quát vấn đề an ninh mạng vấn đề quan trọng quốc gia doanh nghiệp nói chung doanh nghiệp viễn thơng nói riêng Thực trạng chung cho thấy vấn đề an toàn an ninh mạng mức thấp có nguy an tồn cao, học viên trình bày số hình thức cơng thường xảy doanh nghiệp Với phát triển khoa học công nghệ ngày xuất hình thức quy mơ cơng phức tạp tinh vi mà tảng bảo mật cũ trước khơng phòng chống Để đạt kết tốt việc tăng cường an ninh mạng cho doanh nghiệp với sở hạ tầng có tảng đặc điểm bảo mật khác nhau, cần áp dụng linh hoạt phù hợp giải pháp bảo mật tảng sẵn có đồng thời cần triển khai giải pháp bảo mật để đạt tính bảo mật tốt Các doanh nghiệp viễn thơng nói chung MobiFone nói riêng học viên trình bày giải pháp áp dụng để tăng cường bảo mật an ninh mạng cho doanh nghiệp hoạt động lĩnh vực viễn thơng, giải pháp có ưu nhược điểm riêng kết hợp triển khai giải pháp tăng cường bảo mật Với nghiên cứu tìm hiểu học viên, học viên xin đề xuất thêm số giải pháp để tăng cường bảo mật an ninh mạng cho MobiFone nói riêng áp dụng cho doanh nghiệp viễn thơng nói chung trang bị hệ thống bảo mật mới, bổ sung tính bảo mật hệ thống thiết bị sẵn có hoạt động, việc áp dụng mở rộng khai thác tính bảo mật đồng nghĩa với việc tốn chi phí đầu tư thiết bị, tốn nhân lực quản trị vận hành, ảnh hưởng trực tiếp tới hệ thống live tăng tải hệ thống, làm chậm hoạt động hệ thống… việc thực cần rà soát lên phương án chi tiết kỹ lưỡng đảm bảo việc áp dụng không gây downtime hệ thống không làm gián đoạn tới hoạt động hệ thống dịch vụ khách hàng ... Thực trạng an ninh mạng doanh nghiệp Chương 2: Một số giải pháp nâng cao an ninh mạng cho doanh nghiệp viễn thông Chương 3: Giải pháp nâng cao an ninh mạng tải Tổng công ty viễn thông MobiFone. .. mật an ninh mạng cho Tổng công ty Viễn thơng MobiFone nói riêng doanh nghiệp hoạt động kinh doanh lĩnh vực viễn thông nói chung CHƯƠNG 3: GIẢI PHÁP NÂNG CAO AN NINH MẠNG TẠI TỔNG CÔNG TY VIỄN THÔNG... THÔNG MOBIFONE 3.1 Nghiên cứu giải pháp nâng cao an ninh mạng áp dụng Tổng công ty viễn thông MobiFone Tại Tổng công ty Viễn thông MobiFone vấn đề bảo mật an ninh mạng Lãnh đạo Tổng công ty Lãnh