Luận văn Xây dựng phương pháp thu thập và phân tích số liệu lỗi cấu hình mạng máy tính tập trung vào việc phân tích và đánh gái xem cấu hình an ninh trên các thiết bị hạ tầng mạng của một tổ chức, doanh nghiệp có tuân thủ theo chính sách an toàn bảo mật thông tin của tổ chức đó hay không.
0 MỤC LỤC Tổ ng quan về an toàn thông tin 1.1 Ta ̣i cầ n bảo đảm an toàn thông tin? 1.2 Mu ̣c tiêu của an toàn thông tin 1.3 Các nô ̣i dung an toàn thông tin Phân tích tin ̀ h hin ̀ h an toàn thông tin ta ̣i Viêṭ Nam năm 2015 2.1 Các chỉ số an toàn thông tin 2.2 Các hình thức cơng mạng khai thác lỗi cấ u hình 2.3 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng lỗi cấ u hiǹ h 2.4 Tầ m quan tro ̣ng của viê ̣c quản lý cấ u hiǹ h 3 Vấ n đề quản lý cấ u hin ̣ ̣ng doanh nghiêp̣ ̀ h thiế t bi ma 3.1 Mu ̣c tiêu và pha ̣m vi nghiên cứu 3.2 Khái niê ̣m lỗi cấ u hiǹ h an ninh 3.3 Khái niê ̣m về đường sở an ninh (Security Baseline) 3.4 Khái niê ̣m gia cố thiế t bi ̣(device hardening) 3.5 Khảo sát mô ̣t ma ̣ng máy tiń h điể n hiǹ h doanh nghiê ̣p 3.6 Những lỗi quản tri ̣viên gă ̣p phải cấ u hình ̣ thố ng ma ̣ng 3.6.1 Các lỗi liên quan đế n cấ u hình quản lý thiế t bi ̣ 3.6.2 Các lỗi cấ u hiǹ h thiế t bi ̣tầ ng truy nhâ ̣p 3.6.3 Các lỗi cấ u hiǹ h thiế t bi ̣tầ ng phân phố i và tầ ng lõi Phương pháp thu thâ ̣p cấ u hin ̣ ̣ng ̀ h từ các thiế t bi ma 4.1 Yêu cầ u của viê ̣c thu thâ ̣p số liê ̣u cấ u hiǹ h 4.2 Chuẩ n bi ̣về người, quy triǹ h, phầ n cứng, phầ n mề m, dữ liê ̣u 4.2 Cách copy cấ u hình về máy chủ 4.2.1 Quy đinh ̣ về đă ̣t tên file cấ u hình 10 4.2.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi ̣lớn 10 4.3 Kiể m tra các file cấ u hình thu thâ ̣p đươ ̣c 10 Phương pháp đánh giá cấ u hin ̣ ̣ng 10 ̀ h an ninh thiế t bi ma 5.1 Phương pháp chung để đánh giá cấ u hiǹ h an ninh 10 5.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 11 5.3 Đánh giá lỗi cấu hình quản lý 14 5.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập 15 5.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối tầng core 17 5.5 Xuấ t báo cáo đường sở an ninh 18 5.6 Những vấ n đề đa ̣t đươ ̣c của luâ ̣n văn và những tồ n ta ̣i 19 Kế t luâ ̣n 20 TÀ I LIỆU THAM KHẢO 21 1 Tổ ng quan về an toàn thông tin1 1.1 Ta ̣i cầ n bảo đảm an toàn thông tin? Ngày nay, sự xuấ t hiê ̣n Internet và ma ̣ng máy tính ̣ đã giúp cho viê ̣c trao đổ i thông tin trở nên nhanh gọn, dễ dàng E-mail cho phép người ta nhâ ̣n hay gửi thư máy tiń h của miǹ h, E-business cho phép thực hiê ̣n các giao dich ̣ buôn bán ma ̣ng, Tuy nhiên la ̣i phát sinh vấ n đề mới Thông tin quan tro ̣ng nằ m ở kho dữ liê ̣u hay đường truyề n có thể bi trô ̣ ̣m cắ p, có thể bi la ̣ ̀ m sai lê ̣ch, có thể bi gia ̣ ̉ ma ̣o Điề u đó có thể ảnh hưởng tới các tổ chức, các công ty hay cả mô ̣t quố c gia Những bí mâ ̣t kinh doanh, tài chin ́ h là mu ̣c tiêu của các đố i thủ ca ̣nh tranh Những tin tức về an ninh quố c gia là mu ̣c tiêu của các tổ chức tiǹ h báo và ngoài nước Để giải quyế t tình hình trên, vấn đề bảo đảm an toàn thông tin (ATTT) đã đươ ̣c đă ̣t lý luận thực tiễn 1.2 Mu ̣c tiêu của an toàn thông tin * Bảo đảm bí mâ ̣t (Bảo mâ ̣t): Thông tin không bi ̣lô ̣ đố i với người không đươ ̣c phép * Bảo đảm toàn ve ̣n (Bảo toàn): Ngăn chă ̣n hay ̣n chế viê ̣c bổ sung, loa ̣i bỏ và sửa dữ liê ̣u không đươ ̣c phép * Bảo đảm xác thực (Chứng thực): Xác thực đúng thực thể cầ n kế t nố i, giao dịch Xác thực đúng thực thể có trách nhiê ̣m nô ̣i dung thông tin (Xác thực nguồ n gố c thông tin.) * Bảo đảm sẵn sàng: Thông tin sẵn sàng cho người dùng hơ ̣p pháp 1.3 Các nô ̣i dung an toàn thông tin a) Nô ̣i dung chin ́ h: * An toàn máy tin ̣ bên máy tiń h ́ h (Computer Security): là sự bảo vê ̣ các thông tin cố đinh (Static Informations), là khoa ho ̣c về bảo đảm an toàn thông tin máy tính * An toàn truyề n tin (Communication Security): là sự bảo vê ̣ thông tin đường truyề n tin (Dynamic Informations) (Thông tin đươ ̣c truyề n từ ̣ thố ng này sang ̣ thố ng khác) Là khoa ho ̣c về bảo đảm an toàn thông tin đường truyề n tin b) Nô ̣i dung chuyên ngành (Nô ̣i dung ̣ quả từ nô ̣i dung chính): Để bảo vê ̣ thông tin bên máy tính hay đường truyề n tin, phải nghiên cứu nội dung chuyên ngành sau: + An toàn Dữ liê ̣u (Data Security) + An toàn Cơ sở dữ liê ̣u (CSDL) (Data base Security) + An toàn Hê ̣ điề u hành (Operation system Security) + An toàn ma ̣ng máy tin ́ h (Network Security) PGS.TS Tri ̣nh Nhật Tiế n - Giáo trình mật mã và an toàn dữ liê ̣u, ĐHCN, ĐHQGHN 2 Phân tích tin ̀ h hin ̀ h an toàn thông tin ta ̣i Viêṭ Nam năm 2015 2.1 Các chỉ số an toàn thông tin Tại Hội thảo Ngày An tồn thơng tin Việt Nam 2015, Hiệp hội An tồn thơng tin Việt Nam (VNISA) công bố báo cáo Kết khảo sát thực trạng an tồn thơng tin Việt Nam năm 2015 đưa Chỉ số An tồn thơng tin Việt Nam 2015 - VNISA Index 2015 Mô ̣t vài thố ng kê đáng lưu tâm báo cáo trên: - Khi hỏi: Hệ thống tổ chức có kiểm tra, đánh giá an toàn thông tin (ATTT) hay không? 53% trả lời có 47% trả lời khơng Hình 1.1 Tỉ lê ̣ đánh giá ATTT tổ chức doanh nghiê ̣p - Khi hỏi cán vận hành, khai thác, sử dụng hệ thống tổ chức tn thủ sách ATTT hay khơng: Có 61% cho có tn thủ 39% khơng tn thủ Hình 1.2 Tỉ lê ̣ tuân thủ các chính sách ATTT - Quy trình đánh giá, quản lý xử lý nguy ATTT TC/DN nhiều hạn chế, 62% đánh giá khơng theo quy trình, có 28% tn thủ theo quy trình - Mợt vấn đề khó khăn mà TC/DN gặp phải việc bảo đảm ATTT cho thông tin hệ thống đó là việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management) Qua các thông tin ở có thể thấ y rằ ng: Cầ n phải đẩ y ma ̣nh công tác đánh giá sự an toàn của mô ̣t ̣ thố ng CNTT Làm thế nào để quản lý đươ ̣c cấ u hình ma ̣ng 2.2 Các hình thức cơng mạng khai thác lỡi cấ u hin ̀ h Theo thống kê của VNCERT cho thấy, năm 2015, có nhiều hình thức cơng với kỹ thuật khác nhau, phổ biến kỹ thuật: Tấn cơng dò qt điểm yếu dịch vụ UPNP, công gây từ chối dịch vụ phân giải tên miền DNS, cơng dò mật dịch vụ FTP phương pháp vét cạn (brute force login attempt) Qua phân tić h ở có thể thấ y rằ ng nế u quản tri ̣viên không tuân thủ các khuyế n nghi ̣về an ninh cấ u hình ̣ thố ng thì có thể dẫn đế n ̣ thố ng đó có những điể m yế u và bi ̣khai thác bởi kẻ tấ n công 3 2.3 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng lỗi cấ u hin ̀ h Tại Việt Nam năm 2015 2016, theo thố ng kê của công ty an ninh ma ̣ng BKAV, xảy số vụ việc an tồn thơng tin việc cấu hình thiết bị mạng: - Tháng 06/2016, có 70.624 máy chủ Remote Desktop Protocol (RDP) rao bán thị trường chợ đen xDedic giá USD cho quyền truy cập, có 841 máy chủ Việt Nam Sau đơn vị an ninh mạng Việt Nam tiến hành tìm hiểu kiểm tra thực tế thông tin máy chủ Remote Desktop Protocol (RDP) Việt Nam rao bán thị trường chợ đen xDedic, kết cho thấy, 153 máy chủ mở cổng 3389 (RDP), có 51 máy chủ mở cổng 3389 (RDP) 80 (HTTP) - Cũng tháng đầu năm 2015, theo báo cáo bảo mật từ công ty bảo mật BKAV, sau ghi nhận từ hệ thống phòng vệ DDoS cho thấy có nhiều cơng-từ chối-dịch vụ (DDoS) xuất phát từ nhiều địa IP thuộc nhiều nhà cung cấp dịch vụ Internet (ISP) nhiều quốc gia Những địa IP xuất phát từ router (bộ định tuyến mạng) kết nối Internet dùng gia đình hay doanh nghiệp nhỏ bị hack Và tất router "thây ma" không người dùng thay đổi mật mặc định tài khoản quản trị (admin) từ nhà sản xuất Vâ ̣y vấ n đề đă ̣t ở là làm thế nào để đánh giá mô ̣t ̣ thố ng đươ ̣c cấ u hình có tuân thủ các khuyế n nghi hoă ̣ ̣c tiêu chuẩ n an toàn hay không? Từ đó có các biê ̣n pháp khắ c phu ̣c những điể m yế u về cấ u hiǹ h, làm giảm khả bi ̣hacker khai thác 2.4 Tầ m quan tro ̣ng của viêc̣ quản lý cấ u hin ̀ h Năm 2011, mô ̣t báo cáo của hañ g phân tić h Gartner chỉ rằ ng, viê ̣c quản lý cấ u hình an ninh là mô ̣t viê ̣c bắ t buô ̣c phải làm, và là ưu tiên số danh sách các công viê ̣c bảo vê ̣ cho máy chủ.2 Năm 2012, ta ̣p chí an toàn thông tin SANS đã đưa 20 mức đô ̣ cấ p thiế t quản lý an ninh cho mô ̣t tổ chức (SANS 20 Critical Security Control), đó xế p ̣ng mức đô ̣ cấ p thiế t của viê ̣c quản lý cấ u hình an ninh cho máy chủ, ̣ thố ng, thiế t bi đầ ̣ u cuố i có mức đô ̣ 3; xế p ̣ng mức đô ̣ cấ p thiế t viê ̣c quản lý cấ u hình an ninh các thiế t bi ̣ma ̣ng là cấ p đô ̣ 10.3 Qua những số liê ̣u nêu trên, có thể thấ y rằ ng viê ̣c quản lý cấ u hiǹ h để ngăn ngừa những lỗi có thể xảy là mô ̣t vấ n đề rấ t cầ n đươ ̣c quan tâm công tác quản tri ̣ma ̣ng Mặc dù viê ̣c này không đơn giản cầ n có những giải pháp để kiể m tra, đánh giá một ̣ thố ng có tồ n tại những lỗi cấ u hình hay không, và từ đó đưa cách khắ c phục Neil MacDonald and Peter Firstbrook, “How To Devise a Server Protection Strategy,” December 2011 www.gartner.com/id=1866915 http://www.networkworld.com/article/2992503/security/sans-20-critical-security-controls-you-need-toadd.html Vấ n đề quản lý cấ u hin ̣ ̣ng doanh nghiêp̣ ̀ h thiế t bi ma 3.1 Mu ̣c tiêu và pha ̣m vi nghiên cứu Luâ ̣n văn này tâ ̣p trung vào viê ̣c phân tích và đánh giá xem cấ u hình an ninh các thiế t bi ̣ hạ tầ ng mạng của một tổ chức, doanh nghiê ̣p có tuân thủ theo chính sách an toàn bảo mật thông tin của tổ chức đó hay không Thiế t bi ̣ha ̣ tầ ng ma ̣ng đề câ ̣p đế n luâ ̣n văn là thiế t bi ̣đinh ̣ tuyế n - Router, thiế t bi ̣chuyể n ma ̣ch switch, thiế t bi ̣ đinh ̣ tuyế n không dây - wireless router Lựa cho ̣n hañ g thiế t bi ̣ là hañ g Cisco, đươ ̣c sử du ̣ng phổ biế n ma ̣ng của các công ty, tổ chức ta ̣i Viê ̣t Nam Pha ̣m vi phân tích là ma ̣ng máy tính của mô ̣t doanh nghiê ̣p ta ̣i tru ̣ sở chiń h của doanh nghiê ̣p đó Tức là không bao gồ m ̣ thố ng ma ̣ng diê ̣n rô ̣ng (WAN) Đầ u tiên, luâ ̣n văn khảo sát mô ̣t mô hiǹ h ma ̣ng máy tiń h điể n hiǹ h, đươ ̣c sử du ̣ng phổ biế n ta ̣i các doanh nghiê ̣p Sau đó luâ ̣n văn chỉ những cấ u hiǹ h an ninh thiế t bi ̣ là gi;̀ ta ̣i phải thực hiê ̣n những cấ u hình đó; những hâ ̣u quả có thể xảy nế u không thực hiê ̣n, hoă ̣c thực hiê ̣n sai các cấ u hình an ninh cho thiế t bi ̣(lỗi cấ u hình) ; cách khắ c phu ̣c từng lỗi cấ u hình thế nào? Tiế p theo luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p file cấ u hiǹ h của các thiế t bi.̣ Sau đã thu thâ ̣p các file cấ u hin ̀ h, luâ ̣n văn đề xuấ t phương pháp phân tić h so sánh những cấ u hiǹ h thu thâ ̣p đươ ̣c với cấ u hình đươ ̣c khuyế n nghi ̣trong chính sách an toàn bảo mâ ̣t thông tin của tổ chức Sau bước so sánh này, kế t quả thu đươ ̣c là mô ̣t báo cáo đánh giá về những lỗi cấ u hình an ninh các thiế t bi ̣ha ̣ tầ ng ma ̣ng Dựa cáo cáo này người quản tri ̣ viên ̣ thố ng sẽ tiế n hành những biê ̣n pháp khắ c phu ̣c những lỗi cấ u hiǹ h đó Cuố i cùng là những vấ n đề đã thực hiê ̣n đươ ̣c và những vấ n đề tồ n ta ̣i của luâ ̣n văn, hướng nghiên cứu mở rô ̣ng tiế p theo 3.2 Khái niêm ̣ lỗi cấ u hin ̀ h an ninh Cấ u hình an ninh là cấ u hiǹ h nhằ m bảo vê ̣ an toàn cho thiế t bi.̣ Mơ ̣t vài ví dụ về cấ u hiǹ h an ninh: - Những dịch vụ mạng không sử dụng nên tắt; - Phải đổi mật tài khoản quản trị mặc định thiết bị; - Khi tạo kết nối quản lý từ xa tới thiết bị nên sử dụng giao thức an toàn SSH (Secure Shell) thay sử dụng giao thức an tồn Telnet… Một ̣ thớ ng mạng đươ ̣c xem là quản lý yế u kém mạng mà thiết bị khơng cấu hình đầ y đủ các chính sách về an ninh Từ thiết bị mạng có lỗ hổng, dẫn đến bị kẻ công khai thác thực hành vi có chủ đích 5 3.3 Khái niêm ̣ về đường sở an ninh (Security Baseline) Đường sở an ninh là mô ̣t danh sách kiể m tra (checklist) mà theo đó các ̣ thố ng đươ ̣c đánh giá và kiể m toán đố i với tình hình an ninh mô ̣t tổ chức Đường sở phác thảo những yế u tố an ninh chính đố i với mô ̣t ̣ thố ng, và trở thành điể m xuấ t phát cho viê ̣c bảo vê ̣ ̣ thố ng đó.4 3.4 Khái niêm hardening) ̣ gia cố thiế t bi (device ̣ Mu ̣c đić h của viê ̣c gia cố thiế t bi la ̣ ̀ làm giảm càng nhiề u rủi ro càng tố t, và làm cho ̣ thố ng an toàn Thiế t bi ̣ ̣ tầ ng ma ̣ng mua về đề u có các thông số cấ u hình mă ̣c đinh ̣ từ nhà sản xuấ t (ví du ̣: tài khoản và mâ ̣t khẩ u mă ̣c đinh, Khi đưa vào sử du ̣ng, quản tri ̣ viên cầ n cấ u ̣ dich ̣ vu ̣ cha ̣y mă ̣c đinh…) ̣ hiǹ h la ̣i những tham số này cho phù hơ ̣p với các tiêu chuẩ n an ninh đươ ̣c đề câ ̣p đế n chiń h sách an toàn bảo mâ ̣t thông tin của tổ chức 3.5 Khảo sát mô ̣t ma ̣ng máy tính điể n hin ̣ ̀ h doanh nghiêp Hình 3.2 Thiết kế mạng phân thành tầng Cấu trúc mạng thường thiết kế theo mơ hình tầng hình Thiết kế tuân thủ đảm bảo cho hệ thống mạng có tính sẵn sàng, linh hoạt, an ninh, tính quản lý Đươ ̣c phân thành các tầ ng: - Tầng truy nhập (Access layer): để kết nối thiết bị đầu cuối người dùng vào mạng - Tầng phân phối (Distribution layer): thực hiê ̣n gom lưu lươ ̣ng từ tầ ng truy nhâ ̣p và gửi tới tầ ng lõi để tầ ng lõi thực hiê ̣n đinh ̣ tuyế n tới đích Theo giáo trình CompTIA Security+ - Tầng loĩ : thực hiê ̣n gom lưu lươ ̣ng từ tấ t cả các thiế t bi ̣ ở tầ ng phân phố i và chuyể n tiế p lưu lươ ̣ng này tới các trung tâm dữ liê ̣u, trung tâm dich ̣ vu ̣, hoă ̣c ma ̣ng diê ̣n rô ̣ng 3.6 Những lỗi quản tri viên gă ̣p phải cấ u hin ̣ ̀ h ̣ thố ng ma ̣ng 3.6.1 Các lỗi liên quan đế n cấ u hin ̀ h quản lý thiế t bi ̣ Bảng dưới tóm tắ t những lỗi gă ̣p phải cấ u hiǹ h quản lý thiế t bi ̣và cấ u hiǹ h khuyế n nghi.̣ STT Mã số lỗi Mô tả về lỗi Khuyế n nghi ̣ mnt-TELNET Sử du ̣ng giao thức TELNET để truy Sử du ̣ng giao thức SSH (SecureShell) câ ̣p thiế t bi ̣từ xa TEL NET không mã để truy câ ̣p tới thiế t bi ̣từ xa hóa thông tin nên có thể bi ̣lô ̣ mâ ̣t khẩ u mnt-HTTP Sử du ̣ng giao thức HTTP để truy câ ̣p Sử du ̣ng giao thức HTTPS để truy câ ̣p giao diê ̣n quản lý thiế t bi.̣ HTTP không vào thiế t bi ̣để quản lý mã hóa thông tin nên có thể bi ̣xem trô ̣m mnt-TFTP Sử du ̣ng giao thức truyề n file đơn giản Sử du ̣ng SCP (Secure Copy Protocol) TFTP hoă ̣c FTPS (FTP Secure) mnt-int-ACL- Không ngăn chă ̣n các máy tính người Sử du ̣ng kỹ thuâ ̣t điề u khiể n truy câ ̣p BLK dùng truy câ ̣p tới giao diê ̣n quản lý thiế t bi ̣ mnt-SNMP Sử du ̣ng giao thức quản tri ̣ma ̣ng đơn Sử du ̣ng giao thức SNMPv3 giản SNMPv1 hoă ̣c SNMPv2c mnt- Cài đă ̣t mâ ̣t khẩ u xác thực cu ̣c bô ̣ Thực hiê ̣n xác thực tâ ̣p trung máy PasswordLocal thiế t bi ̣ chủ AAA mnt- Không mã hóa các mâ ̣t khẩ u lưu Mã hóa mâ ̣t khẩ u PassENCRYPT thiế t bi ̣ mnt-NTP Không cấ u hình đồ ng bô ̣ về thời gian Cầ n lấ y đồ ng bô ̣ thời gian theo máy chủ NTP mnt-SYSLOG Không lưu nhâ ̣t ký hoa ̣t đô ̣ng (log) Cấ u hình để thiế t bi ̣ gửi các cảnh báo đế n mô ̣t máy chủ lưu syslog tâ ̣p trung Bảng 3.2 Những lỗi cấ u hình an ninh quản lý thiế t bi ̣ Bảng dưới mô tả mô ̣t mẫu cấ u hình an ninh tiêu chuẩ n cho viê ̣c quản lý thiế t bi ̣ STT Mã số Cấu hình thiết bị Cấu hình khuyế n nghi ̣ line vty 15 line vty 15 password [string] transport input ssh mnt-TELNET login mnt-HTTP ip http server no ip http server ip http secure-server mnt-FTPTFTP N/A Ip ftp server mnt-int-ACL-BLK n/a Access-list mnt-SNMP N/A username - password/secret mnt-PasswordLocal N/A AAA new-model AAA authentication AAA authorize AAA accounting mnt- Service-password encryption PasswordENCRYPT mnt-NTP N/A Ntp server [IP] mnt-SYSLOG N/A Logging [IP] Bảng 3.3 Cấ u hình lỗi và cấ u hình khuyế n nghi ̣ 3.6.2 Các lỗi cấ u hin ̣ ng truy nhâ ̣p ̀ h thiế t bi tầ Như đã đề câ ̣p, vai trò của tầ ng truy nhâ ̣p mô hiǹ h thiế t kế tầ ng là để kết nối thiết bị đầu cuối người dùng vào mạng Thông thường các thiế t bi tầng truy nhâ ̣p là thiết bị chuyển mạch (switch ̣ lớp 2), thiết bị định tuyến không dây (wireless router) 3.6.2.1 Lỗi cấ u hin lớp ̣ ̀ h thiế t bi switch Bảng dưới tóm tắ t la ̣i những lỗi cấ u hiǹ h an ninh thiế t bi switch và cấ u hiǹ h khuyế n nghi.̣ ̣ STT Mã lỗi Mô tả lỗi Khuyế n nghi ̣ acc-shutdown Không tắ t các cổ ng switch mà Tắ t các cổ ng không sử du ̣ng không sử du ̣ng acc-dhcpsnooping Không bâ ̣t chế đô ̣ ngăn chă ̣n các bản Bâ ̣t DHCP Snooping tin DHCP giả ma ̣o acc-DAI Không bâ ̣t chế đô ̣ giám sát các gói tin Bâ ̣t tính giám sát gói tin ARP - Dynamic ARP ARP Inspection acc-portsecurity Không bâ ̣t chế đô ̣ an ninh cổ ng acc-IPSouceGuard Không bâ ̣t chế đô ̣ chố ng giả ma ̣o IP Bâ ̣t chế đô ̣ bảo vê ̣ IP nguồ n - IP Source Guard nguồ n acc-IPv6 Không bâ ̣t chế đô ̣ ngăn chă ̣n các bản Bâ ̣t chế đô ̣ ngăn chă ̣n IPv6 RA giả ma ̣o - IPV6 First Hop tin IPv6 RA giả ma ̣o Security acc-BPDUGuard Không bâ ̣t tính BPDU Guard Bâ ̣t BPDU guard các cổ ng Port Fast các cổ ng Port Fast Bâ ̣t chế đô ̣ an ninh cổ ng Bảng 3.4 Lỗi cấ u hình an ninh swich và khuyế n nghi ̣ 3.6.2.2 Lỗi cấ u hin ̣ nh ̣ tuyế n không dây ̀ h thiế t bi Mã lỗi Mô tả Khuyế n nghi ̣ wl-SSID Không ẩ n tên ma ̣ng không dây ẩ n tên ma ̣ng không dây wl-SimplePass Đă ̣t mâ ̣t khẩ u truy câ ̣p ma ̣ng không dây đơn gian Đă ̣t mâ ̣t khẩ u ma ̣nh ̉ wl-MAC Không cấ u hin ̀ h lo ̣c điạ chỉ MAC: Cấ u hiǹ h lo ̣c điạ chỉ MAC wl-Default Không đổ i tài khoản quản tri ̣mă ̣c đinh: ̣ Đổ i tài khoản quản tri mă ̣ ̣c đinh ̣ Bảng 3.5 Tóm tắ t các lỗi cấ u hình thiế t bi ̣ đinh ̣ tuyế n không dây 3.6.3 Các lỗi cấ u hin ̣ ng phân phố i và tầ ng loĩ ̀ h thiế t bi tầ STT Mã lỗi Mô tả lỗi Khuyế n nghi ̣ core-PassiveInt Không đă ̣t các cổ ng nố i với tầ ng Access là cổ ng chế đô ̣ Passive Đă ̣t các cổ ng nố i với tầ ng Access là cổ ng chế đô ̣ Passive Core-RoutingInfo Không xác thực thông tin đinh ̣ tuyế n Cấ u hình xác thực thông tin đinh ̣ tuyế n Bảng 3.6 Lỗi cấ u hin ̀ h tầ ng phân phố i Phương pháp thu thâ ̣p cấ u hin ̣ ̣ng ̀ h từ các thiế t bi ma 4.1 Yêu cầ u của viêc̣ thu thâ ̣p số liêụ cấ u hin ̀ h Phải thu thâ ̣p và lưu trữ tâ ̣p trung số liê ̣u cấ u hình từ các thiế t bi ma ̣ ̣ng về mô ̣t máy chủ để thuâ ̣n tiê ̣n cho viê ̣c đánh giá cấ u hình; Bảo đảm cấ u hình đươ ̣c thu thâ ̣p là cấ u hiǹ h hiê ̣n thời hoa ̣t đô ̣ng các thiế t bi ̣(không phải là cấ u hiǹ h cũ) Bảo đảm các file cấ u hin ̀ h không bi ̣lỗi thu thâ ̣p Phân biê ̣t đươ ̣c các file cấ u hin ̀ h từ các thiế t bi ̣khác 4.2 Chuẩ n bi về ̣ người, quy trin ̀ h, phầ n cứng, phầ n mề m, dữ liêụ - Con người: Người thực hiê ̣n công viê ̣c thu thập số liê ̣u: nhân viên phòng vâ ̣n hành ̣ thố ng, nhân viên phòng an toàn thông tin - Quy trình: sau nhâ ̣n đươ ̣c yêu cầ u từ phòng an toàn thông tin, nhân viên phòng vâ ̣n hành cầ n thu thâ ̣p số liê ̣u cấ u hình mới nhấ t các thiế t bi ̣ma ̣ng về mô ̣t thiế t bi ̣lưu trữ tâ ̣p trung - Phầ n cứng: phòng vâ ̣n hành phải trang bi ̣mô ̣t máy chủ (server) lưu trữ tâ ̣p trung cấ u hình - Phầ n mề m: + Hê ̣ điề u hành cho Server có thể là Windows hoă ̣c Linux + Phầ n mề m FTP: - Dữ liê ̣u cấ u hình: nhân viên phòng vâ ̣n hành cầ n truy câ ̣p vào các thiế t bi ̣ để kiể m tra cấ u hình hoa ̣t đô ̣ng thiế t bi để ̣ copy về server 4.2 Cách copy cấ u hin ̀ h về máy chủ FTP FTP Server Các thiết bị mạng Hình 4.1 Phương pháp thu thập cấ u hình Bước Câu lênh ̣ Mu ̣c đích 10 Router# configure terminal Truy câ ̣p vào chế đô ̣ cấ u hiǹ h Router(config)# ip ftp username username Khai báo FTP username (trên Filezilla) Router(config)# ip ftp password password Khai báo FTP Password (trên Filezilla) Router(config)# end Thoát khỏi chế đô ̣ cấ u hiǹ h Router# copy system:running-config Copy cấ u hình running-config lên FTP ftp:[[[//[username[:password]@]location] server Lưu ý tên file cấ u hình phải khác /directory]/filename] Bảng Các bước copy file cấ u hình từ thiế t bi ̣lên máy chủ Lưu ý quý tắ c đă ̣t tên file 4.2.1 Quy đinh ̣ về đă ̣t tên file cấ u hin ̀ h Ở bước số bảng trên, thiế t bi se nhâ ̣p tên file cấ u hình sẽ lưu ở máy chủ FTP, ̣ ̃ yêu cầ u quản tri viên ̣ cầ n đă ̣t tên file cấ u hin ̀ h sau: [Mã tầ ng-Tên-thiế t-bi ̣-config] 4.2.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi lơ ̣ ́ n Trong trường hơ ̣p số lươ ̣ng thiế t bi ̣lớn (>1000 thiế t bi)̣ thì có thể sử du ̣ng phương pháp lấ y mẫu ngẫu nhiên để đánh giá Theo phương pháp này, có thể lấ y danh sách các thiế t bi,̣ sau đó thu thâ ̣p cấ u hiǹ h ngẫu nhiên của 20% thiế t bi.̣ Như vâ ̣y tổ ng cô ̣ng sẽ lấ y cấ u hiǹ h của khoảng 200 thiế t bi.̣ Đây là mẫu đủ lớn để đánh giá đươ ̣c hiê ̣n tra ̣ng cấ u hình an ninh các thiế t bi ̣ha ̣ tầ ng ma ̣ng 4.3 Kiể m tra các file cấ u hin ̀ h thu thâ ̣p đươ ̣c Sau copy cầ n kiể m tra la ̣i số lươ ̣ng file đã copy lên máy chủ FTP Server đã đầ y đủ và chiń h xác hay chưa Phương pháp kiể m tra về : số lươ ̣ng file, tên file, nô ̣i dung file Phương pháp đánh giá cấ u hin ̣ ̣ng ̀ h an ninh thiế t bi ma 5.1 Phương pháp chung để đánh giá cấ u hin ̀ h an ninh Để thực hiê ̣n đánh giá cấ u hình an ninh thiế t bi ̣ma ̣ng có tuân thủ theo chính sách an toàn bảo mâ ̣t thông tin hay không, thì cầ n so sánh cấ u hình hiê ̣n ta ̣i hoa ̣t đô ̣ng với cấ u hình an ninh khuyế n nghi ̣ (đường sở an ninh) ß So Cấu hình hoạt đ ng (Running-config) nh Cấu hình khuyến nghị (đường an ninh s ) Hình Phương pháp đánh giá cấ u hình an ninh 11 5.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 Mô hiǹ h đo lường an toàn thông tin cấu trúc liên kết nhu cầu thông tin tới đối tượng có liên quan đo thuộc tính chúng Đối tượng đo lường bao gồm kế hoạch định quy trình, thủ tục, dự án nguồn lực triển khai Mơ hình đo lường an tồn thơng tin mơ tả để thuộc tính liên quan định lượng chuyển đổi thành báo cung cấp sở cho việc định Trong đó: TÊN CÁC THÀNH PHẦN GIẢI THÍCH Thông tin chung đo Tên đo Tên đo Số hiệu Số định danh nhất, tùy ý theo quy định tổ chức Mục đích Mơ tả lý dẫn đến cần thiết đo Mục tiêu biện pháp quản lý Quản lý đối tượng đo (đã có kế hoạch triển khai) Biện pháp quản lý (1) Biện pháp quản lý cần đo lường Biện pháp quản lý (2) Tùy chọn: biện pháp quản lý/ quy trình cao nhóm bao gồm đo, áp dụng (đã có kế hoạch triển khai) Đối tượng đo thu c tính 12 Đối tượng Đối tượng (thực thể) đặc trưng thông qua đo thuộc tính Một đối tượng bao gồm quy trình, kế hoạch, dự án, nguồn lực, hệ thống, thành phần Thuộc tính Tính chất đặc trưng đối tượng đo phân biệt số lượng chất lượng người tự động Thông tin đặc tả số đo (cho số đo [từ đến n]) Số đo Một số đo xác định theo thuộc tính phương pháp đo cụ thể để định lượng thuộc tính (ví dụ số người đào tạo, số lượng điểm/sites, chi phí tính đến nay) Theo liệu thu thập, giá trị gán nhận cho số đo Phương pháp đo Trình tự hoạt động sử dụng định lượng thuộc tính phạm vi cụ thể Loại phương pháp đo Dựa chất hoạt động sử dụng để định lượng thuộc tính, phân thành hai Phương pháp đo: Thang giá trị - Chủ quan: định lượng liên quan tới chủ định người - Khách quan: định lượng dựa quy tắc số học Tập hợp giá trị có thứ tự, tập danh mục ánh xạ tới thuộc tính số đo Loại thang giá trị Dựa chất mối quan hệ giá trị, phân thành bốn loại thang giá trị phố biến: Danh định; thứ tự; khoảng đoạn; tỷ lệ Đơn vị đo Số lượng cụ thể, xác định phù hợp theo quy ước, với số lượng khác loại so sánh theo thứ tự để diễn tả mối tương quan với số lượng Thơng tin đặc tả số đo dẫn xuất Số đo dẫn xuất Một số đo rút từ hai nhiều số đo Hàm đo lường Thuật tốn tính tốn thực để kết hợp hai nhiều số đo Thang giá trị đơn vị số đo dẫn xuất dựa thang giá trị số đo mà bao gồm cách kết hợp hàm đo lường với Thông tin đặc tả báo Chỉ báo Số đo mà cung cấp ước tính hay định lượng thuộc tính xác định thơng qua mơ hình phân tích với thơng tin cần thiết Các báo sở để phân tích đưa định Mơ hình phân tích Thuật tốn việc kết hợp tính tốn nhiều số đo số đo dẫn xuất với tiêu chí định phù hợp; Điều dựa hiểu biết kiện, mối quan hệ dự tính số đo số đo dẫn xuất trạng thái chúng Nhờ mô hình phân 13 tích giúp ước lượng hay định lượng mối quan hệ để xác định thông tin cần thiết Thơng tin đặc tả tiêu chí định Tiêu chí định Ngưỡng, mục tiêu, mẫu sử dụng để xác định cần thiết phải hành động hay điều tra thêm, để mô tả mức độ xác kết đo định Tiêu chí định giúp làm rõ kết đo Kết đo Giải thích báo Mô tả báo, để báo hiểu rõ ràng Định dạng hồ sơ đo Định dạng hồ sơ đo nên đánh nhãn lưu thành tài liệu Mô tả theo dõi, nhận xét tổ chức người sở hữu thông tin cần ghi lại Định dạng hồ sơ đo trực quan miêu tả đánh giá cung cấp giải thích rõ ràng dẫn Định dạng hồ sơ đo nên tùy chỉnh theo thông tin khách hàng Các bên liên quan Người trách nhiệm đo Ban quản lý bên quan tâm yêu cầu cần thông tin hiệu lực hệ thống ISMS, biện pháp quản lý nhóm biện pháp quản lý Người xem xét kết đo Cá nhân tổ chức mà kiểm tra tính hợp lệ cho cấu trúc đo tiến hành đủ điều kiện cho việc đánh giá hiệu lực hệ thống ISMS, biện pháp quản lý nhóm biện pháp quản lý Người sở hữu thông tin Cá nhận tổ chức sở hữu thông tin đổi tượng đo chịu trách nhiệm đo Bộ phận thu thập thông tin Cá nhân tổ chức chịu trách nhiệm thu thập, ghi chép lưu trữ liệu Bộ phận trao đổi thông tin Cá nhân tổ chức chịu trách nhiệm phân tích liệu trao đổi kết đo Tần suất thực Tần suất thu thập liệu Mức độ thường xuyên thu thập liệu Tần suất phân tích liệu Mức độ thường xuyên phân tích liệu Tần suất hồ sơ đo Mức độ thường xuyên kết đo lập hồ sơ (mức độ thấp Tần suất thu thập liệu) Tần suất sửa đổi đo Ngày sửa đổi đo (thời hạn hiệu lực tính hợp lệ đo thay đổi đo) Tần suất thực đo Xác định định đo 14 5.3 Đánh giá lỗi cấu hình quản lý GIẢI THÍCH TÊN CÁC THÀNH PHẦN Thơng tin chung đo Tên đo Đo các tham số về cấ u hin ̀ h an ninh viêc̣ quản lý thiế t bi ̣ Số hiệu Device-Management-Check Mục đích Kiể m tra các cấ u hình quản lý thiế t bi xem có tuân thủ theo chính ̣ sách an toàn bảo mâ ̣t thông tin hay không Mục tiêu biện pháp quản lý Kiể m tra đươ ̣c cấ u hiǹ h quản lý thiế t bi ̣xem có lỗi hay không để từ đó có biê ̣n pháp khắ c phu ̣c Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành Biện pháp quản lý (2) Phòng vâ ̣n hành: thu thâ ̣p cấ u hình Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh Đối tượng đo thu c tính Đối tượng Cấ u hiǹ h quản lý thiế t bi ̣ma ̣ng Thuộc tính Các cấ u hình quản lý đề câ ̣p mu ̣c 3.6.1 Thông tin đặc tả số đo (cho số đo [từ đến n]) Số đo mnt-TELNET mnt-HTTP mnt-TFTP mnt-int-ACL-BLK mnt-SNMP mnt-PasswordLocal mnt-PasswordENCRYPT mnt-NTP mnt-SYSLOG Phương pháp đo So sánh cấ u hiǹ h mẫu (khuyế n nghi)̣ với cấ u hiǹ h hiê ̣n ta ̣i xem có khớp hay không Loại phương pháp đo Khách quan: định lượng dựa quy tắc số học Thang giá trị Có/Không Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Không: là không thực hiê ̣n cấ u hiǹ h tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất 15 Hàm đo lường Thông tin đặc tả báo Chỉ báo Có/Khơng Mơ hình phân tích Thơng tin đặc tả tiêu chí định Tiêu chí định Theo thang giá tri ̣là “Có”/”Khơng” Kết đo Giải thích báo Mơ tả ý nghiã từng tham số cấ u hiǹ h quản lý thiế t bi.̣ Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm đo Nhân viên phòng An toàn thông tin Người xem xét kết đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT doanh nghiê ̣p Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực Tần suất thu thập liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tở chức Tần suất phân tích liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tở chức 5.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập GIẢI THÍCH TÊN CÁC THÀNH PHẦN Thông tin chung đo Tên đo Đo các tham số về cấ u hin ̣ ̉ tầ ng truy nhâ ̣p ̀ h an ninh thiế t bi Số hiệu Access-Device-Check Mục đích Kiể m tra các cấ u hiǹ h an ninh các thiế t bi tầ ̣ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không Mục tiêu biện pháp quản lý Kiể m tra các cấ u hiǹ h an ninh các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không, để từ đó có biê ̣n pháp khắ c phu ̣c Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành Biện pháp quản lý (2) Phòng vâ ̣n hành: thu thâ ̣p cấ u hiǹ h Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh Đối tượng đo thu c tính Đối tượng Cấ u hình an ninh trên thiế t bi ̣ma ̣ng ở tầ ng truy nhâ ̣p (switch lớp 2, thiế t bi ̣đinh ̣ tuyế n khơng dây) 16 Thuộc tính Các cấ u hiǹ h quản lý đề câ ̣p mu ̣c 3.6.2 Thông tin đặc tả số đo (cho số đo [từ đến n]) Số đo Đố i với switch lớp acc-shutdown acc-dhcpsnooping acc-DAI acc-portsecurity acc-IPSouceGuard acc-IPv6 acc-BPDUGuard Đố i với thiế t bi ̣ nh ̣ tuyế n không dây wl-SSID wl-SimplePass wl-MAC wl-Default Phương pháp đo So sánh cấ u hình mẫu (khuyế n nghi)̣ với cấ u hình hiê ̣n ta ̣i xem có khớp hay không Loại phương pháp đo Khách quan: định lượng dựa quy tắc số học Thang giá trị Có/Không Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Không: là không thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả báo Chỉ báo Có/Khơng Mơ hình phân tích Thơng tin đặc tả tiêu chí định Tiêu chí định Theo thang giá tri ̣là “Có”/”Khơng” Kết đo Giải thích báo Mơ tả ý nghiã từng tham số cấ u hình thiế t bi tầ ̣ ng truy nhâ ̣p Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm đo Nhân viên phòng An toàn thông tin 17 Người xem xét kết đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT doanh nghiê ̣p Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực Tần suất thu thập liệu Tùy theo chiń h sách an toàn bảo mâ ̣t thông tin của tổ chức Tần suất phân tích liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức 5.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối tầng loĩ Đối với cấu hình thiết bị tầng phân phối/lõi, thực kiểm tra vấn đề lỗi sau: GIẢI THÍCH TÊN CÁC THÀNH PHẦN Thơng tin chung đo Tên đo Đo các tham số về cấ u hin ̣ ̉ tầ ng phân ̀ h an ninh thiế t bi phố i/tầ ng lõi Số hiệu Distribution-Core-Device-Check Mục đích Kiể m tra các cấ u hiǹ h an ninh các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không Mục tiêu biện pháp quản lý Kiể m tra các cấ u hiǹ h an ninh các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chiń h sách an toàn bảo mâ ̣t thông tin hay không, để từ đó có biê ̣n pháp khắ c phu ̣c Biện pháp quản lý (1) Có sự tham gia của Phòng An toàn thông tin và Phòng vâ ̣n hành Biện pháp quản lý (2) Phòng vâ ̣n hành: thu thâ ̣p cấ u hiǹ h Phòng An toàn thông tin: đánh giá cấ u hiǹ h an ninh Đối tượng đo thu c tính Đối tượng Cấ u hình an ninh trên thiế t bi ̣ma ̣ng ở tầ ng phân phố i/tầ ng lõi (thiế t bi n ma ̣ch lớp 3) ̣ nh ̣ tuyế n, thiế t bi chuyể ̣ Thuộc tính Các cấ u hiǹ h quản lý đề câ ̣p mu ̣c 3.6.3 Thông tin đặc tả số đo (cho số đo [từ đến n]) Số đo Core-Passive-Int Core-Routing-Info Phương pháp đo So sánh cấ u hình mẫu (khuyế n nghi)̣ với cấ u hình hiê ̣n ta ̣i xem có khớp hay không Loại phương pháp đo Khách quan: định lượng dựa quy tắc số học Thang giá trị Có/Không - Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ 18 - Không: là không thực hiê ̣n cấ u hiǹ h tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả báo Chỉ báo Có/Không Mô hình phân tích Thơng tin đặc tả tiêu chí định Tiêu chí định Theo thang giá tri ̣là “Có”/”Khơng” Kết đo Giải thích báo Mô tả ý nghiã từng tham số cấ u hiǹ h thiế t bi tầ ̣ ng phân phố i và tầ ng lỗi Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm đo Nhân viên phòng An toàn thông tin Người xem xét kết đo Trưởng phòng An toàn thông tin; Người phu ̣ trách về CNTT doanh nghiê ̣p Người sở hữu thông tin Phòng An toàn thông tin Bộ phận thu thập thông tin Phòng vâ ̣n hành Bộ phận trao đổi thông tin Phòng vâ ̣n hành; Phòng An toàn thông tin Tần suất thực Tần suất thu thập liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tở chức Tần suất phân tích liệu Tùy theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức 5.5 Xuấ t báo cáo đường sở an ninh Sau so sánh cấu hình hoạt động cấu hình mẫu, biết cấu hình thiết bị có tuân thủ với sách an ninh doanh nghiệp/ tổ chức đặt hay không Kết báo cáo có trạng thái “Đạt” “Khơng đạt” Luâ ̣n văn có xây dựng công cu ̣ đánh giá cấ u hình an ninh Ưu điể m của công cu ̣ này so với các công cu ̣ của Cisco đó là: - Có thể đánh giá cấ u hình an ninh của nhiề u thiế t bi ̣ - Xuấ t báo cáo tổ ng hợp phân tích tình trạng cấ u hình an ninh của toàn bộ mạng 19 5.6 Những vấ n đề đa ̣t đươ ̣c của luâ ̣n văn và những tồ n ta ̣i Những vấ n đề đa ̣t đươ ̣c: - Phân tích đươ ̣c tầ m quan tro ̣ng của viê ̣c quản lý cấ u hình công tác đảm bảo an toàn cho ̣ thố ng ma ̣ng máy tính của doanh nghiê ̣p - Làm rõ đươ ̣c những lỗi cấ u hin ̣ ̣ng, những nguy có thể xảy ̀ h an ninh thiế t bi ma để tồ n ta ̣i những lỗi này; cách cấ u hin ̀ h khắ c phu ̣c lỗi - Đề xuấ t đươ ̣c phương pháp thu thâ ̣p cấ u hình tâ ̣p trung - Đề xuấ t đươ ̣c phương pháp đánh giá lỗi cấ u hình - Xây dựng chương trin ̀ h đánh giá cấ u lỗi cấ u hiǹ h Những vấ n đề còn tồ n ta ̣i - Luâ ̣n văn mới chỉ đề câ ̣p đế n mô hình ma ̣ng ta ̣i mô ̣t điạ điể m, chưa mở rô ̣ng viê ̣c khảo sát ̣ thố ng ma ̣ng có nhiề u chi nhánh - Thiế t bi ̣đề câ ̣p đế n luâ ̣n văn là của hañ g Cisco Thực tế ở Viê ̣t Nam hiê ̣n các doanh nghiê ̣p sử du ̣ng thiế t bi ̣ của nhiề u hãng, ví du ̣ Juniper v.v Vì vâ ̣y cầ n xem xét đế n đă ̣c điể m cấ u hiǹ h an ninh các thiế t bi ̣ của các hañ g khác Luâ ̣n văn cũng mới đề câ ̣p đế n các thiế t bi ̣ bản (Switch, Router, wireless router) Trong ̣ thố ng ma ̣ng còn những thiế t bi ̣ Firewall, Server,…Vì vâ ̣y cầ n tiế p tu ̣c nghiên cứu những thiế t bi na ̣ ̀ y để đưa cấ u hiǹ h an ninh phù hơ ̣p - Những lỗi cấ u hin ̀ h đươ ̣c chỉ luâ ̣n văn là những lỗi cấ u hiǹ h bản, thường gă ̣p Còn nhiề u các tham số cấ u hình an ninh cầ n đươ ̣c xem xét thêm để tăng cường tính an ninh cho thiế t bi.̣ 20 Những tồ n ta ̣i của luâ ̣n văn cũng chính là những vấ n đề mà luâ ̣n văn cầ n nghiên cứu phát triể n thêm để hoàn thiê ̣n Kế t luâ ̣n Luâ ̣n văn “Xây dựng phương pháp thu thập và đánh giá số liê ̣u lỗi cấ u hình của mạng máy tính” tâ ̣p trung vào viê ̣c phân tích và đánh giá xem cấ u hình an ninh các thiế t bi ̣ ̣ tầ ng ma ̣ng của mô ̣t tổ chức, doanh nghiê ̣p có tuân thủ theo chính sách an toàn bảo mâ ̣t thông tin của tổ chức đó hay không Để giải quyế t vấ n đề trên, luâ ̣n văn khảo sát mô ̣t mô hiǹ h ma ̣ng máy tiń h điể n hiǹ h, đươ ̣c sử du ̣ng phổ biế n ta ̣i các doanh nghiê ̣p Tiế p đó luâ ̣n văn liê ̣t kê những lỗi cấ u hiǹ h an ninh mà người quản tri ̣ma ̣ng thường mắ c phải cấ u hiǹ h các thiế t bi ma ̣ ̣ng; những lỗi cấ u hình này sẽ ta ̣o những điể m yế u gì; cách thức kẻ tấ n công khai thác những điể m yế u này thế nào; hâ ̣u quả xảy là gì Sau đã chỉ những điể m yế u nêu trên, luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p số liê ̣u cấ u hiǹ h từ các thiế t bi ̣ thố ng ma ̣ng, đảm bảo tiń h đơn giản, thuâ ̣n tiê ̣n, chiń h xác Phương pháp thu thâ ̣p cấ u ̣ hình đươ ̣c đưa dựa giải pháp về quy trình, người, kỹ thuâ ̣t Sau đã thu thâ ̣p đươ ̣c số liê ̣u cấ u hình luâ ̣n văn đề xuấ t phương pháp đánh giá cấ u hình để xem cấ u hiǹ h đó có tuân thủ theo các khuyế n nghi ̣an ninh hay không Luâ ̣n văn đề xuấ t cách tiế p câ ̣n đánh giá theo Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 ISO/IEC 27004:2014 Tiêu chuẩn cung cấp hướng dẫn việc phát triển sử dụng số đo đo để đánh giá hiệu lực hệ thống quản lý an tồn thơng tin Phương pháp chung là so sánh cấ u hình hoa ̣t đô ̣ng với mẫu cấ u hình an ninh khuyế n nghi.̣ Nế u có sự khác biê ̣t thì đánh dấ u la ̣i và cầ n có giải triǹ h Để hoàn thiê ̣n luâ ̣n văn này, xin chân thành cám ơn sự chỉ bảo hướng dẫn nhiê ̣t tình của giảng viên hướng dẫn là TS Lê Đức Phong , sự quan tâm chỉ bảo giúp đỡ của các thầ y cô Trường ĐHCN-ĐHQGHN 21 TÀ I LIỆU THAM KHẢO Tiế ng Viêṭ PGS.TS Trinh ̣ Nhâ ̣t Tiế n (2014), Giáo trình mâ ̣t mã và an toàn dữ liê ̣u, Đa ̣i ho ̣c công nghê ̣, ĐHQGHN TS Nguyễn Đa ̣i Tho ̣ (2013), Bài giảng an toàn ma ̣ng, Đa ̣i ho ̣c công nghê ̣, ĐHGHN Bô ̣ khoa ho ̣c công nghê ̣ (2014), Tiêu chuẩ n quố c gia TCVN 10542:2014, công nghệ thông tin - kỹ thuật an toàn - quản lý an tồn thơng tin - đo lường https://forum.whitehat.vn/forum/thao-luan/tin-tuc/57141-hon-300-nghin-he-thong-mang-taiviet-nam-dang-trong-tinh-trang bo-ngo http://antoanthongtin.vn/Detail.aspx?NewsID=29d680af-9286-4f19-9c404a32db7de523&CatID=e1999c9a-5eeb-418c-9ea8-ae4c5e850d0c http://www.vncert.gov.vn/baiviet.php?id=1 http://vnreview.vn/tin-tuc-an-ninh-mang/-/view_content/content/1861042/thi-truong-cho-dendang-rao-ban-hon-841-may-chu-viet-nam-bi-hack Tiế ng Anh Jing Zhang, Zakir Durumeric, Michael Bailey, Mingyan Liu, Manish Karir (2014), On the mismanagement and maliciousness of networks “Hackers focus on misconfigured networks,” http://forums.cnet.com/7726-6132 1023366976.html 10 https://security.web.cern.ch/security/rules/en/baselines.shtml 11 https://en.wikipedia.org/wiki/Universal_Plug_and_Play#Problems_with_UPnP 12 https://tools.ietf.org/html/rfc2577 13 CompTIA Security+ 14 https://en.wikipedia.org/wiki/File_Transfer_Protocol 15 http://k12linux.mesd.k12.or.us/cascadelink/text7.htm 16 http://www.cisco.com/c/dam/en/us/td/docs/solutions/CRD/Sep2015/WP-Enterprise-SecurityBaseline-Sep15.pdf ... đo phân biệt số lượng chất lượng người tự động Thông tin đặc tả số đo (cho số đo [từ đến n]) Số đo Một số đo xác định theo thu c tính phương pháp đo cụ thể để định lượng thu c tính (ví dụ số. .. trữ liệu Bộ phận trao đổi thông tin Cá nhân tổ chức chịu trách nhiệm phân tích liệu trao đổi kết đo Tần suất thực Tần suất thu thập liệu Mức độ thường xuyên thu thập liệu Tần suất phân tích liệu. .. thu c tính xác định thơng qua mơ hình phân tích với thơng tin cần thiết Các báo sở để phân tích đưa định Mơ hình phân tích Thu t tốn việc kết hợp tính tốn nhiều số đo số đo dẫn xuất với tiêu chí định