0 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ̃ NGUYÊN KHÁNH TÙNG XÂY DƯNGG̣ PHƯƠNG PHÁP THU THÂPG̣ VÀPHÂN TÍCH ́ ̃ ́ SÔLIÊỤ LÔI CÂU HÌNH MANGG̣ MÁY TÍNH Ngành: Hê ̣thống thông tin Chuyên ngành: Hê t ̣ hống thông tin Ma ̃số: 60480104 ́ LṆ VĂN THACG̣ SĨHỆTHƠNG THƠNG TIN HàNơị- 2016 LỜI CAM ĐOAN Tôi cam đoan luâṇ văn này không chép của Nếu chép luâṇ văn của người khác, xin chiụ hoàn toàn moịtrách nhiêṃ Người cam đoan Nguyêñ Khánh Tùng MUCG̣ LUCG̣ LỜI CAM ĐOAN MUCG̣ LUCG̣ DANH MUCG̣ CÁC BẢNG ̀ DANH MUCG̣ HÌNH VẼVÀ ĐÔ THI G̣ ̉̉ ̉̀ CHƯƠNG TÔNG QUAN VÊ AN NINH MANGG̣ 5 1.1 Tổng quan vềan ninh mang ̣ 1.1.1 Sư p ̣ hat triển cua linh vưc ̣ an ninh mang ̣ ́́ ́̉ ́ ̃ 1.1.2 Môṭsốtổchưc an ninh mang ̣ 1.1.3 Cac linh vưc ̣ vềan ninh mang ̣ 1.1.4 Chinh sach an ninh mang ̣ 11 1.1.5 Khai niêṃ lỗi cấu hinh an ninh 11 ́́ ́́ ́ ̃ ́́ ́́ ́́ ́̀ 1.1.6Khai niêṃ vềđương sơ an ninh (Security Baseline) 12 ́́ ́̀ ́̉ 1.1.7 Khai niêṃ gia cốthiết bi ̣(device hardening) 14 ́́ 14 1.2 Ly lưạ choṇ đềtai ́́ ́̀ 1.2.1Phân tich môṭvai chi sốvềATTT taịViêṭNam năm 2015 ́́ ́̀ ́̉ 14 1.2.2Tầm quan ̣ cua viêc ̣ quan ly cấu hinh mang ̣ 16 ́̉ ́̉ ́́ ́̀ 1.2.3Các hình thức tấn công mạng khai thac lỗi cấu hinh 17 ́́ ́̀ 1.2.4Hâụ qua cua vu ̣tấn công mang ̣ lỗi cấu hinh 19 ́̉ ̉ ́ ̃ ́̀ 21 1.3 Phương phap nghiên cưu va kết qua đaṭđươc ̣ ́́ ́́ ́̀ ́̉ 1.3.1 Phương phap nghiên cưu 21 1.3.2Kết qua đaṭđươc ̣ cua luâṇ văn 23 ́́ ́́ ́̉ ́̉ ̉̉ 24 ĐIÊN HINH̀ 2.1 Mô hinh t ̣ hống mang ̣ doanh nghiêp ̣ 24 CHƯƠNG KHAỎ SAT́ MƠṬ MANGG̣ MAÝ TINH́ ́̀ 2.2 Nhưng lỡi quan tri ́ ̃ ́̉ ́̉ ́̀ ́ ̣viên găp ̣ phai cấu hinh t ̣ hống 26 mang ̣ 2.2.1 Các lỗi liên quan đến cấu hinh quan ly thiết bi ́ ̣ 26 2.2.2 Cac lỗi cấu hinh thiết bi t ̣ ầng truy nhâp ̣ 32 ́̀ ́́ ́̉ ́́ ́̀ 2.2.3Cac lỗi cấu hinh thiết bi t ̣ ầng phân phối va tầng loi 39 ́́ ́̀ ́̀ ́ ̃ ̉́ 42 CHƯƠNG PHƯƠNG PHÁP THU THÂPG̣ CÂU HÌNH 3.1 Yêu cầu cua viêc ̣ thu thâp ̣ sốliêụ cấu hinh 42 ́̉ ́̀ 3.2 Chuẩn bi ̣vềcon ngươi, quy trinh, phần cưng, phần mềm, dư liêụ 42 ́̀ ́̀ 3.3 Cach copy cấu hinh vềmay chu ́́ ́̀ ́́ ́́ ́ ̃ ́̉ 3.3.1 Quy đinḥ vềđăṭtên file cấu hinh ́̀ 46 47 3.3.2Phương phap lấy mâũ nếu sốlương ̣ thiết bi l ̣ ơn 47 ́́ ́́ 3.3.3 Kiểm tra cac file cấu hinh thu thâp ̣ đươc ̣ ́́ ́̀ ̉́ CHƯƠNG PHƯƠNG PHÁP ĐÁNH GIÁ CÂU HÌNH AN NINH 4.1 Phương phap chung đểđanh gia cấu hinh an ninh ́́ ́́ ́́ ́̀ 4.2 Tiêu chuẩn đo lương an ninh TCVN 10542:2014 ́̀ 47 49 49 50 4.3Đánh giá lỡi cấu hình quản lý 56 4.4Đánh giá lỡi cấu hình thiết bị tầng truy nhập 58 4.5Đánh giá lỡi cấu hình thiết bị tầng phân phới và tầng core 60 4.6 Chương trinh đanh gia lỗi cấu hinh ́̀ ́́ ́́ 63 ́̀ 4.6.1 Nhưng tinh chinh cua chương trinh 63 ́ ̃ ́́ ́́ ́̉ ́̀ 4.6.2 So sanh vơi môṭsốchương trinh đanh gia khac 66 ́́ ́́ ́̀ ́́ ́́ ́ ̉́ ̉̉ PHAT́ 70 CHƯƠNG KÊT LUÂṆ VÀHƯƠNG TRIÊN 5.1 Tầm quan ̣ cua đềtai 70 ́̉ 5.2Nhưng vấn đềđaṭđươc: ̣ ́ ̃ ́̀ 71 5.3 Nhưng vấn đềcon tồn taị 71 5.3 72 ́ ̃ ́̀ Hương phat triển ́́ ́́ TÀI LIÊỤ THAM KHẢO 73 DANH MUCG̣ CÁC BẢNG Bảng 1.1 Các kỹthuâṭtấn công vào ̣thống mang ̣ ViêṭNam năm 2015 Bảng 2.1 Những lỗi cấu hinh̀ an ninh quản lý Bảng 2.2 Cấu hinh̀ quản lýcólỡi vàcấu hình khún nghi ̣ Bảng 2.3 Lỗi cấu hinh̀ an ninh swich vàkhuyến nghi ̣ Bảng 2.4 Mẫu cấu hinh̀ an ninh khuyến nghi t ̣ rên switch Bảng 2.5 Tóm tắt các lỗi cấu hinh̀ thiết bi đ ̣ inḥ tuyến không dây Bảng 2.6 Bảng mô tảlỗi cấu hinh̀ vàcách cấu hinh̀ khuyến nghi ̣ Bảng 2.7 Mẫu cấu hinh̀ an ninh cho thiết bi tậ̀ng phân phối vàtầng lõi Bảng 3.1 Các bước copy file cấu hình từ thiết bi lêṇ máy chủ Bảng 4.1 Các thṭngữtrong mơ hình đo kiểm ATTT Bảng 4.2 Bảng đo kiểm các lỗi cấu hinh̀ quản lý Bảng 4.3 Bảng đo kiểm các lỗi cấu hinh̀ tầng truy nhâp ̣ Bảng 4.4 Đo kiểm các lỗi cấu hinh̀ tầng phân phối vàtầng lõi ̀ DANH MUCG̣ HÌNH VẼVÀĐÔTHI G̣ ̉̉ ̀ CHƯƠNG TƠNG QUAN VÊ AN NINH MANGG̣ 1.1 Tởng quan vềan ninh mangG̣ Đảm bảo an ninh mạng là yêu cầu cấp thiết viêc ̣ quản tri m ̣ ôṭ ̣ thống mang ̣ máy tinh́ An ninh mang ̣ liên quan đến các giao thức, công nghệ, thiết bị, công cụ và kỹ thuật để đảm bảo an toàn dữ liệu và giảm thiểu các mối đe dọa Ngay từ những năm 1960, vấn đềan ninh mạng đa đ ̃ ươc ̣ đềcâp ̣ đến chưa phát triển thành tập các giải pháp toàn diêṇ Cho đến những năm 2000, các giải pháp toàn diêṇ về an ninh mang ̣ mới thưc ̣ sư đ ̣ ươc ̣ công bố Các nỗlưc ̣ đảm bảo an ninh mạng xuất phát từviêc ̣ cần trước tin tặc (hacker) có ý đồ xấu bước Các chuyên gia an ninh mạng phải liên tuc ̣ tìm các dấu hiêụ tấn cơng, các lỡhởng, để ngăn chặn các tấn công tiềm giảm thiểu những ảnh hưởng của các tấn công Đảm bảo cho ̣thống hoaṭđông ̣ ổn đinh, ̣ sẵn sàng đáp ứng với các nghiêp ̣ vu k ̣ inh doanh cũng là môṭtrong những động lực dẫn đến viêc ̣ bảo đảm an ninh mạng Trên thếgiới, các tổchức an ninh mang ̣ đươc ̣ thành lâp ̣ Các tổchức này cung cấp môṭ môi trường hoaṭđông ̣ công ̣ đồng cho các chuyên gia nhằm trao đổi thông tin, xây dưng ̣ những giải ýtưởng, giải pháp vềan ninh Nguồn tài nguyên đươc ̣ cung cấp các tổ chức này (các tài liêu, ̣ khuyến nghi, ̣giải pháp…) làrất hữu ich́ cho công viêc ̣ hàng ngày của những người làm vềan ninh mang ̣ Chính sách an ninh mạng tạo các cơng ty và tở chức phủ để cung cấp khuôn khổ màcác nhân viên cần phải thưc ̣ hiêṇ công việc hằng ngày của họ Các chuyên gia an ninh mạng cấp quản lý phải chịu trách nhiệm cho việc tạo và trì các sách an ninh mạng Tất các biện pháp an ninh mạng liên quan đến và hướng dẫn các sách an ninh mạng Các kỹthṭtấn cơng mạng thường phân loại để tìm hiểu vàxử lýmột cách thích hợp Virus, sâu, và Trojan là loại hình cụ thể của các tấn cơng mạng Các tấn công mạng phân loại thành các hinh̀ thức: tấn công thám, tấn công truy cập, tấn công từ chối dịch vụ (DoS) Giảm nhẹ các tấn công mạng là công việc của chuyên gia an ninh mạng 1.1.1 Sư p G̣ hát triển của linh̃ vưcG̣ an ninh mangG̣ Năm 2011, sâu code red đa l ̃ ây lan ̣thống mang ̣ toàn thếgiới Ước tinh́ có khoảng 350 nghiǹ máy tinh́ bi l ̣ ây nhiễm Sâu code red làm cho các máy chủkhông thể truy câp ̣ đươc ̣ vàdo đólàm ảnh hưởng đến hàng triêụ người dùng Đây làmơṭvídu đ ̣ iển hinh̀ minh chứng cho thấy nếu quản tri ̣viên không luôn sát với t ̣ hống minh̀ quản lý, đăc ̣ biêṭlàtìm hiểu nhũng lỡhởng an ninh vàcâp ̣ nhâṭnhững válỡi, thìhâụ quảxảy cóthểlàkhơn lường Những hâụ quảthường xảy các vu t ̣ ấn công mang ̣ cóthểgây ra: - Mất mát dữliêụ - Lô l ̣ oṭthông tin - Thông tin bi sự̉a đổi - Không truy câp ̣ đươc ̣ dicḥ vu ̣ Năm 1985 các loaịsâu, virus phát triển manh, ̣ những người làm vềmang ̣ bắt đầu quan tâm đến viêc ̣ bảo vê ̣hê ̣thống mang ̣ Lúc đónhững tin tăc ̣ cókiến thức vàkỹnăng rất tốt những công cu ̣màtin tăc ̣ taọ còn thô sơ Nhưng đến nay, những công cu ̣ sử dung ̣ đểtấn công mang ̣ thường rất phức tap ̣ Kẻtấn công không cần nhiều kiến thức vàkỹnăng cũng cóthểgây những cuôc ̣ tấn công gây nhiều thiêṭhaịkhi sử dung ̣ những công cu ̣trên Cóthểliêṭkê môṭsốcông cu b ̣ ảo vê h ̣ ê ̣thống mang ̣ đươc ̣ xây dưng ̣ vàphát triển: - Năm 1990: DEC Packet Filter Firewall, AT&T Bell Labs Stateful Packet Firewall, - Năm 1995: CheckPoint Firewall, NetRanger IDS, RealSecure IDS - Năm 2000: Snort IDS - Năm 2005: Cisco Zonebase Policy Firewall - Năm 2010: Cisco Security Intelligent Operation Những năm gần với sư ̣ phát triển của công nghê ̣ điêṇ toán đám mây, sư ̣ bùng nổcủa các thiết bi dị đông, ̣ thiết bi IoT, ̣…cóthêm nhiều giải pháp an ninh mang ̣ toàn diêṇ đươc ̣ phát triển đểđáp ứng các yêu cầu bảo vê ̣ đa dang ̣ Các giải pháp không chỉngăn chăṇ những mối nguy từ bên ngoài, màcảnhững nguy xuất phát từ bên t ̣ hống mang ̣ nôịbô ̣ Hình 1.1 Mối nguy đến từbên ngoài vàbên Nguồn: CCNA Security Những nguy đến từ bên cóthểdo môṭnhân viên cókỹnăng bất mañ và cóýđồpháhoaị Các nguy xuất phát từ bên cóthểchia làm dang: ̣ giảmaọ (spoofing) hoăc ̣ tấn công DoS Giảmaọ làhình thức tấn cơng đómơṭmáy tinh́ thay đởi danh tinh́ đểtrởthành mơṭmáy tinh́ khác Vídu: ̣ giảmaọ điạ chỉMAC, giả maọ điạ chỉIP Tấn công từchối dicḥ vu l ̣ àm cho môṭmáy tinh́ (thường làmáy chủcung cấp dicḥ vu) ̣ không thểphuc ̣ vu đ ̣ ươc ̣ các yêu cầu từ phiá máy khách Những giải pháp vềtường lửa (Firewall), phát hiêṇ vàphòng chống xâm nhâp ̣ (IDS/IPS) cóđăc ̣ điểm làngăn chăṇ những luồng thông tin đôc ̣ haị(malicious traffic) Bên canḥ đó, viêc ̣ đảm bảo an ninh mang ̣ làphải bảo vê đ ̣ ươc ̣ dữliêụ Mâṭma đ ̃ ươc ̣ sử dung ̣ rất phổbiến viêc ̣ bảo đảm an ninh mang ̣ hiêṇ Các dang ̣ truyền tin khác đều cónhững giao thức vàkỹthuâṭđểche dấu các thông tin của dang ̣ truyền tin đó Vídu ̣ ma ̃hóa các cuôc ̣ goịđiêṇ thoaịtrên Internet, ma h ̃ óa các file đươc ̣ truyền mang ̣ v.v Mâṭma đ ̃ ảm bảo tính bímâṭcho dữliêụ Tinh́ bímâṭlàmơṭtrong ba tinh́ chất của đảm bảo an toàn thông tin đólà: tinh́ bímâṭ(Confidentiality), tinh́ toàn veṇ (Intergrity) và tinh́ sẵn sàng( Availability) Đểđảm bảo tinh́ bímâṭcủa dữliêụ thìphương pháp thường đươc ̣ sửdung ̣ làma h ̃ óa Đểđảm bảo tinh́ toàn ven, ̣ tức làđảm bảo dữliêụ không bi thaỵ đổi, phương pháp thường đươc ̣ sử dung ̣ làbăm (hashing mechanism) Đểđảm bảo tinh́ sẵn sàng, tức làluôn cóthểtruy câp ̣ đươc ̣ thông tin cần, phương pháp làgia cốhê ̣ thống vàsao lưu dư ̣phòng Môṭvài giải pháp bảo vê c ̣ ho dữliêụ cóthểkểđến: - Năm 1997: giải pháp site-to-site IPSec VPN - Năm 2001: giải pháp remote access IPSec VPN - Năm 2005: giải pháp SSL VPN - Năm 2009: GET VPN 1.1.2 Môṭsốtổchức an ninh mangG̣ Đặc thù công việc của các chuyên gia an ninh mạng là phải thường xuyên trao đổi, cập nhật thông tin với các đồng nghiệp và ngoài nước để nắm bắt tình hình an ninh mạng nươc và thế giới Có thể liệt kê số tổ chức nổi tiếng là: - Viện SANS (SysAdmin, Audit, Network, Security) Viện SANS thành lập vào năm 1989, tập trung vào việc đào tạo và cấp chứng chỉ về an toàn thông tin SANS xây dựng các tài liệu nghiên cứu về an toàn thông tin, sau đó công bố rộng rãi trang web của viện Các tài liệu này thường xuyên cập nhật và đóng góp ý kiến cộng đồng những người làm an ninh mạng Bên cạnh đó SANS xây dựng những khóa học về bảo mật từ cấp độ đến nâng cao để trang bị những kỹ chuyên nghiệp cho những người làm bảo mật, ví ví dụ các kỹ về giám sát an ninh, phát xâm nhập, điều tra thông tin, các kỹ thuật của hacker, sử dụng tường lửa bảo vệ hệ thớng mạng, lập trình ứng dụng an toàn… - Trung tâm Phản Ứng Nhanh Sự Cớ Máy Tính (Computer Emergency Response Team – CERT) Tháng 12/1988, sau xảy cố sâu MORRIS phát tán và lây lan, văn phòng DARPA thuộc quốc phòng Mỹ quyết định thành lập Trung tâm Phản Ứng Nhanh Sự Cớ Máy Tính, viết tắt là CERT CERT giải qút những cớ an ninh lớn và phân tích các lỗ hổng phát Từ việc phát này, CERT phát triển các giải pháp kỹ thuật công nghệ, các giải pháp quản lý để chống lại và làm giảm thiệt hại các vụ tấn công tương lai Bằng những kinh nghiệm có được, CERT có thể sớm phát tấn công và hỗ trợ quan an ninh truy bắt kẻ tấn công Hiện CERT tập trung vào mảng đó là: bảo hiểm phần mềm, bảo mật hệ thống, an toàn thông tin tổ chức, phối hợp tác chiến, giáo dục đào tạo - (ISC)2: International Information Systems Security Certification Consortium Đây là tổ chức nổi tiếng với chứng chỉ CISSP danh giá, có thể coi là hàng đầu số các chứng chỉ quốc tế về an ninh mạng Tuy nhiên nhiệm vụ của (ISC)2 là góp phần làm cho không gian mạng toàn cầu trở nên an toàn bằng việc nâng cao nhận 59 Đối tượng Cấu hinh an ninh trên thiết bi ̣mang ̣ tầng truy nhâp ̣ ́̀ (switch lơp 2, thiết bi Thuộc tính ́́ ́̉ ́ ̣đinḥ tún khơng dây) Cac cấu hinh quan ly đềcâp ̣ muc ̣ 3.6.2 Bang số ́́ ́̀ ́̉ ́́ ́̉ Thông tin đặc tả về số đo (cho mỗi số đo [từ đ n n]) Số đo Đối vơi switch lơp ̉́ ̉́ acc-shutdown acc-dhcpsnooping acc-DAI acc-portsecurity acc-IPSouceGuard acc-IPv6 acc-BPDUGuard Đối vơi thiết bi địnḥ tuyến không dây ̉́ wl-SSID wl-SimplePass wl-MAC wl-Default Phương pháp đo So sanh cấu hinh mẫu (khuyến nghi) ̣vơi cấu hinh hiêṇ taị ́́ ́̀ xem co khơp hay không ́́ ́́ ́̀ ́́ Loại phương pháp đo Khách quan: định lượng dựa các quy tắc số học Thang giá trị Co/Không ́́ Co: tưc la co thưc ̣ hiêṇ cấu hinh tham sốquan ly thiết bi ̣ ̀́ ́ ́̀ ́́ ́̀ ́̉ ́́ Không: la không thưc ̣ hiêṇ cấu hinh tham sốquan ly thiết ́̀ ́̀ ́̉ ́́ bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả về chỉ báo Chỉ báo Co/Không ́́ 60 Mô hình phân tích Thơng tin đặc tả về tiêu chí quy t đ nh Tiêu chí quyết định Theo thang gia tri ̣la “Co”/”Không” ́́ ́̀́ K t bài đo Giải thích chỉ báo Mơ ta y nghia tưng tham sốcấu hinh thiết bi t ̣ ầng truy nhâp ̣ Định dạng hồ sơ đo ́̉ ́ ́ ̃ ́̀ ́̀ Bao cao dươi dang ̣ văn ban ́́ ́ ́́ ́̉ Các bên liên quan Người trách nhiệm bài Nhân viên phong ATTT ́̀ đo Người xem xét kết Trương phong ATTT; Ngươi phu ̣trach vềCNTT đo doanh nghiêp ̣ ́̉ ́̀ ́̀ ́́ Người sở hữu thông tin Phong ATTT ́̀ Bộ phận thu thập thông Phong vâṇ hanh ́̀ tin Bộ phận trao đổi thông tin ́̀ Phong vâṇ hanh; Phong ATTT ́̀ ́̀ ́̀ Tần suất thực hiên Tần suất thu thập dữ liệu Tần suất phân tích dữ liệu Tuy theo chinh sach an ninh cua tổchưc ́̀ ́́ ́́ ́̉ ́́ Tuy theo chinh sach an ninh cua tổchưc ́̀ ́́ ́́ ́̉ ́́ Tần suất và hồ sơ đo Tần suất sửa đổi bài đo Tần suất thực bài đo Bảng 4.3 Bảng đo kiểm các lỗi cấu hình tầng truy nhâpc̣ 4.5 Đánh giá lỡi cấu hình thi t b tầng phân phối và tầng core Đối với cấu hình thiết bị tầng phân phới/lõi, thực kiểm tra những vấn đề lỗi sau: TÊN CÁC THÀNH PHẦN GIẢI THÍCH 61 Thông tin chung của bài đo Tên bài đo Đo cac tham sốvềcấu hinh an ninh thiết bi ợ tầng ̉́ ̉̀ phân phối/tầng loi ̉̉ ̉̃ Sớ hiệu Distribution-Core-Device-Check Mục đích Kiểm tra cac cấu hinh an ninh cac thiết bi ́ ̣tầng truy ́́ ́̀ ́́ nhâp ̣ xem co tuân thu theo chinh sach an ninh hay không Mục tiêu biện pháp Kiểm tra cac cấu hinh an ninh cac thiết bi ́ ̣tầng truy ́́ ́̀ ́́ nhâp ̣ xem co tuân thu theo chinh sach an ninh hay không, quản lý ́́ ́̉ ́́ ́́ ́́ ́̉ ́́ ́́ đểtư đo co biêṇ phap khắc phuc ̣ Biện pháp quản lý (1) ́̀ ́́ ́́ ́́ Co sư ̣tham gia cua Phong ATTT va Phong vâṇ hanh ́́ ́̉ ́̀ ́̀ ́̀ ́̀ Phong vâṇ hanh: thu thâp ̣ cấu hinh Phong ATTT: đanh gia cấu hinh an ninh ́̀ ́̀ ́̀ ́̀ ́́ ́́ ́̀ Biện pháp quản lý (2) Đối tượng của bài đo và các thu c tính Đối tượng Cấu hinh an ninh trên thiết bi ̣mang ̣ tầng phân ́̀ ́̉ phối/tầng loi (thiết bi đ ̣ inḥ tuyến, thiết bi c ̣ huyển macḥ lơp ́ ̃ ́́ 3) Thuộc tính Cac cấu hinh quan ly đềcâp ̣ muc ̣ 3.6.3 Bang số ́́ ́̀ ́̉ ́́ ́̉ Thông tin đặc tả về số đo (cho mỗi số đo [từ đ n n]) Số đo Core-Passive-Int Core-Routing-Info Phương pháp đo So sanh cấu hinh mẫu (khuyến nghi) ̣vơi cấu hinh hiêṇ taị ́́ ́̀ ́́ ́̀ xem co khơp hay không Loại phương pháp đo Khách quan: định lượng dựa các quy tắc số học Thang giá trị Co/Không ́́ - Co: tưc la co thưc ̣ hiêṇ cấu hinh tham sốquan ly thiết bi ̣ ̀́ ́́ ́̀ ́́ ́̀ ́̉ ́́ - Không: la không thưc ̣ hiêṇ cấu hinh tham sốquan ly thiết ́̀ ́̀ ́̉ ́́ bi ̣ ́́ Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất ́́ 62 Hàm đo lường Thông tin đặc tả về chỉ báo Chỉ báo Co/Không ́́ Mơ hình phân tích Thơng tin đặc tả về tiêu chí quy t đ nh Tiêu chí quyết định Theo thang gia tri ̣la “Co”/”Không” ́́ ́̀́ K t bài đo Giải thích chỉ báo Mơ ta y nghia tưng tham sốcấu hinh thiết bi t ̣ ầng ́̉ ́ ́ ̃ ́̀ ́̀ phân phối vàtầng lỗi Định dạng hồ sơ đo Bao cao dươi dang ̣ văn ban ́́ ́ ́́ ́̉ Các bên liên quan Người trách nhiệm bài đo Người xem xét kết đo Nhân viên phong ATTT ́̀ Trương phong ATTT; Ngươi phu ̣trach vềCNTT ́̉ ́̀ ́̀ ́́ doanh nghiêp ̣ Người sở hữu thông tin Phong ATTT ́̀ Bộ phận thu thập thông Phong vâṇ hanh ́̀ ́̀ tin Bộ phận trao đổi thông tin Phong vâṇ hanh; Phong ATTT ́̀ ́̀ ́̀ Tần suất thực hiên Tần suất thu thập dữ liệu Tần suất phân tích dữ liệu Tuy theo chinh sach an ninh cua tổchưc ́̀ ́́ ́́ ́̉ ́́ Tuy theo chinh sach an ninh cua tổchưc ́̀ ́́ ́́ ́̉ ́́ Tần suất và hồ sơ đo Tần suất sửa đổi bài đo Tần suất thực bài đo Bang 4.4 Đo kiểm cac lỗi cấu hinh tầng phân phối va tầng loi ̉̉ ̉́ ̉̀ ̉̀ ̉̃ 63 4.6 Chương trinh̀ đánh giálỗi cấu hinh̀ 4.6.1 Những tin ́ h chiń h của chương trinh̀ Đểhỗtrơ ̣cho viêc ̣ đánh giá, luâṇ văn đềx́t xây dưng ̣ mơṭchương trình ứng dung ̣ phân tich́ cấu hinh̀ tư đ ̣ ông ̣ Đầu vào của chương trinh̀ làmôṭthư muc ̣ chứa các file cấu hinh̀ của các thiết bi ̣mang ̣ môṭhê ̣ thống mang ̣ Đầu làkết quảbáo cáo tổng hơp ̣ vềtinh̀ trang ̣ cấu hinh̀ an ninh của t ̣ hống mang ̣ đó Ngoài chương trinh̀ còn xuất báo cáo chi tiết những lỗi cấu hinh̀ an ninh từng thiết bi ̣mang ̣ Hình 4.4 Đầu vào của chương trình làthư mucc̣ chứa các cấu hình cần đánh giá 64 Hình 4.5 Đầu của chương trinh̀ làđánh giá cấu hình an ninh từng Router Hình 4.6 Báo cáo thống kê thiết bi c̣nào cólỡi gì 65 Hình 4.7 Điều chỉnh các quy đinḥ vềcấu hình vào file XML Công cu p G̣ hát triển: Java Swing: là công cụ tiện ích, là phần của ngơn ngữ lập trình Java tổng thể Java Swing là phần của Java Foundation Classes (JFC) sử dụng để tạo các ứng dụng Window-Based Lýdo lưạ choṇ công cu ̣ này làdo Java Swing cung cấp các thành phần phát triển goṇ nhe, ̣đơc ̣ lâp ̣ Do vâỵ chương trình biên dicḥ nhỏ goṇ vàchaỵ nhiều nền tảng (hê đ ̣ iều hành) khác - Ưu điểm của chương triǹ h: Cho phép thêm các quy đinḥ vềan ninh cần Goṇ nhe, ̣xử lýnhanh, dễsử dung ̣ Chaỵ đa nền tảng Cho phép hiêụ chỉnh các quy đinḥ vềcấu hinh̀ - Nhươc ̣ điểm: Các báo cáo đưa cần cải thiêṇ vềgiao diêṇ đểdễquan sát Chưa cógiao diêṇ quản lýcác luâṭ(thêm, sửa, xóa) đểđiều chinh̉ cho phù hơp ̣ với từng doanh nghiêp ̣ 66 Mới chỉthưc ̣ hiêṇ đánh giáđươc ̣ cấu hinh̀ thiết bi hạng ̃ Cisco 4.6.2 So sánh với môṭsốchương trinh̀ đánh giákhác Cisco Configuration Professional Hiêṇ hang ̃ Cisco đưa chương trinh̀ Cisco Configuration Professional Chương trinh̀ này muc ̣ tiêu chinh́ làhỗtrơ ̣quản tri ̣viên cấu hinh̀ ̣thống mang ̣ bằng giao diêṇ web Trong muc ̣ Security Audit cho phép quản tri viêṇ so sánh cấu hinh̀ hoaṭđông ̣ môṭthiết bi m ̣ ang ̣ với cấu hình mẫu, từ đóđưa đánh giá Hình 4.8 Tính Security Audit ứng dungc̣ CCP của Cisco 67 Hình 4.9 Báo cáo các lỗi cấu hình vàcho phép tư c̣đôngc̣ sửa lỗi - Ưu điểm: Giao diêṇ thiết kếtốt, dễsử dung; ̣ Tinh́ tư đ ̣ ơng ̣ tìm kiếm lỡi cấu hinh̀ vàsửa lỡi cấu hình hoaṭđơng ̣ tớt - Nhươc ̣ điểm: Chỉcho phép đánh giácấu hinh̀ vàsửa lỗi cấu hinh̀ từng thiết bi ̣ Không cho phép sửa đởi quy đinḥ cấu hình Router Audit Tool Đây làmơṭchương trình miễn phi,́ cho phép kiểm tra cấu hinh̀ các thiết bi ̣ mang ̣ Chương trinh̀ này cóđầu vào làcác file cấu hinh,̀ đầu làcác báo cáo tổng hơp ̣ vàcác báo cáo chi tiết vềcác lỗi cấu hinh̀ 68 Hình 4.10 Giao diêṇ báo cáo tổng hơpc̣ Hình 4.11 Báo cáo chi tiết lỗi cấu hình từng Router - Ưu điểm: 69 Goṇ nhe, ̣chaỵ chinh́ xác Các báo cáo đánh giálỗi cấu hinh̀ rõràng vàkhoa hoc ̣ - Nhươc ̣ điểm: Chỉđánh giáđươc ̣ cấu hinh̀ thiết bi Ciscọ Người dùng không thểtư t ̣ hêm các quy đinḥ vềcấu hinh̀ Sau so sánh giữa cấu hình hoạt động và cấu hình mẫu, chúng ta biết cấu hình các thiết bị có tuân thủ đúng với sách an ninh của doanh nghiệp/ tở chức đặt hay không Kết báo cáo có trạng thái là “Đạt” “Không đạt” Mẫu báo cáo đường an ninh sởtùy thuôc ̣ vào từng tổchức Trong báo cáo này, cần cókết quảcủa bài đo kiểm tra cấu hinh̀ an ninh Côṭ“Lýdo” đểlưu laịnhững lýdo taịsao khơng đaṭu cầu vềviêc ̣ cấu hình Đây làkết quảcủa buổi làm viêc ̣ giữa Phòng vâṇ hành vàPhòng ATTT Phòng vâṇ hành cótrách nhiêṃ giải trinh̀ taịsao những thuôc ̣ tinh́ an ninh đókhông đươc ̣ thưc ̣ hiên; ̣ nào thìse t ̃ hưc ̣ hiêṇ Từ báo cáo trên, quản trị mạng xem xét thực cấu hình lại lỗi để đảm bảo cấu hình an ninh chạy tuân thủ theo sách an tồn bảo mâṭthơng tn mà cơng ty đề 70 ̉́ PHAT́ ̉̉ CHƯƠNG KÊT LUÂṆ VÀHƯƠNG TRIÊN 5.1 Tầm quan trongG̣ cua đềtai ̉̉ ̉̀ Theo bao cao Hiêp ̣ hôịan toan thông tin ViêṭNam VNISA năm 2015, vấn đềquan ly ́́ ́ ́̀ ́̉ ́́ lỡi cấu hình ̣thớng mang ̣ làmơṭ vấn đềkhókhăn quátrình quản lýmang ̣ máy tính của doanh nghiêp ̣ Trên thếgiới, vấn đềnày đươc ̣ đánh giálà“bắt bc ̣ phải làm” vìnếu khơng quản lýđươc ̣ cấu hinh̀ thìhê t ̣ hớng mang ̣ đóđươc ̣ coi làbỏngỏđối với kẻtấn 10 công mang ̣ Những t ̣ hống không đươc ̣ quản lýcấu hinh̀ còn đươc ̣ goịlà ̣thống quản lýtồi (mismanagement network) Vànhư đa ̃phân tich́ thưc ̣ trang ̣ an ninh mang ̣ ViêṭNam năm 2015, các vu ̣khai thác lỗhổng liên quan đến lỗi cấu hinh̀ mang ̣ gây những vu ̣viêc ̣ mất an toàn thông tin nghiêm troṇg Từ nhu cầu thưc ̣ tiễn viêc ̣ quản lýcấu hinh̀ đa ̃ nêu ởtrên, luâṇ văn “Xây dưng ̣ phương pháp thu thâp ̣ và phân ti ć h sốliêụ lỗi cấu hiǹ h của mang ̣ máy tiń h” tâp ̣ trung vào viêc ̣ phân tich́ vàđánh giáxem cấu hinh̀ an ninh các thiết bi ̣ha ̣tầng mang ̣ của môṭtổchức, doanh nghiêp ̣ cótuân thủtheo sách an ninh của tổchức đóhay không Đểgiải quyết vấn đềtrên, luâṇ văn khảo sát môṭmô hinh̀ mang ̣ máy tinh́ điển hinh,̀ đươc ̣ sử dung ̣ phổbiến taịcác doanh nghiêp ̣ Tiếp đóluâṇ văn liêṭkê những lỗi cấu hinh̀ an ninh màngười quản tri ̣ mang ̣ thường mắc phải cấu hinh̀ các thiết bi ̣ mang; ̣ những lỗi cấu hinh̀ này se ̃ taọ những điểm yếu gi;̀ cách thức kẻtấn công khai thác những điểm yếu này thếnào; hâụ quảxảy làgi.̀ Sau đa ̃ chỉra những điểm yếu nêu trên, luâṇ văn đềxuất phương pháp thu thâp ̣ số liêụ cấu hinh̀ từcác thiết bi trêṇ ̣ thống mang, ̣ đảm bảo tinh́ đơn giản, thuâṇ tiên, ̣ xác Phương pháp thu thâp ̣ cấu hinh̀ đươc ̣ đưa dưạ giải pháp vềquy trinh,̀ người, kỹthuâṭ Sau đa ̃ thu thâp ̣ đươc ̣ sốliêụ cấu hinh̀ luâṇ văn đềxuất phương pháp đánh giácấu hinh̀ đểxem cấu hinh̀ đócótuân thủtheo các khuyến nghi aṇ ninh hay không Luâṇ văn đềxuất cách tiếp câṇ đánh giátheo Tiêu chuẩn đo lường an ninh TCVN 10542:2014 ISO/IEC 27004:2014 Tiêu chuẩn này cung cấp hướng dẫn về việc phát triển và sử dụng các số đo và bài đo để đánh giáhiệu lực của hệ thống quản lý an toàn thông tin 10 https://forum.whitehat.vn/forum/thao-luan/tin-tuc/57141-hon-300-nghin-he-thong-mang-tai-viet-namdang-trong-tinh-trang bo-ngo - 71 Phương pháp chung làso sánh cấu hinh̀ hoaṭđông ̣ với mẫu cấu hinh̀ an ninh khuyến nghi ̣Nếu cósư ̣khác biêṭthìđánh dấu laịvàcần cógiải trinh̀ 5.2 Những vấn đềđaṭđươc:G̣ - Phân tich́ đươc ̣ tầm quan ̣ của viêc ̣ quản lýcấu hình cơng tác đảm bảo an toàn cho t ̣ hống mang ̣ máy tinh́ của doanh nghiêp ̣ - Làm rõđươc ̣ những lỗi cấu hiǹh an ninh thiết bi mạng; ̣ những nguy cóthểxảy đểtồn taịnhững lỗi này; cách cấu hinh̀ khắc phuc ̣ lỗi - Đềxuất đươc ̣ phương pháp thu thâp ̣ cấu hình tâp ̣ trung Phương pháp này đa ̃ đươc ̣ kiểm đinḥ thưc ̣ tếlàm viêc ̣ của tác giảluâṇ văn Khi tuân thủđúng phương pháp này thìviêc ̣ thu thâp ̣ cấu hinh̀ se đ ̃ aṭđươc ̣ các yêu cầu ởMuc ̣ 3.1 - Đềxuất đươc ̣ phương pháp đánh giálỗi cấu hình Phương pháp đánh giálàso sánh cấu hinh̀ hoaṭđơng ̣ với cấu hình khún nghi ̣Đây cũng làphương pháp màcác hang ̃ thiết bi, ̣các hang ̃ phần mềm ứng dung ̣ thường sử dung ̣ muốn đánh giálỗi cấu hinh̀ thiết bi m ̣ ang ̣ - Xây dưng ̣ chương trình đánh giácấu lỡi cấu hinh̀ Đầu vào của chương trinh̀ làmôṭ thư muc ̣ chứa các file cấu hinh̀ của các thiết bi ̣mang ̣ môṭhê t ̣ hống mang ̣ Đầu làkết quảbáo cáo tổng hơp ̣ vàchi tiết vềtinh̀ trang ̣ cấu hinh̀ an ninh của t ̣ hống mang ̣ đó Ưu điểm chinh́ của chương trinh̀ so với các phần mềm khác làcho phép người đánh giáhiêụ chinh̉ các quy đinḥ vềcấu hinh̀ an ninh, cho phùhơp ̣ với từng t ̣ hống mang ̣ 5.3 Những vấn đềcòn tồn taị - Luâṇ văn mới chỉđềcâp ̣ đến mô hinh̀ mang ̣ taịmôṭđiạ điểm, chưa mởrông ̣ viêc ̣ khảo sát t ̣ hống mang ̣ cónhiều chi nhánh - Thiết bi đệ̀câp ̣ đến luâṇ văn làcủa hang ̃ Cisco Thưc ̣ tếởViêṭNam hiêṇ các doanh nghiêp ̣ sửdung ̣ thiết bi cụ̉a nhiều hang, ̃ vídu J ̣ uniper v.v Vìvâỵ cần xem xét đến đăc ̣ điểm cấu hinh̀ an ninh các thiết bi cụ̉a các hang ̃ khác Luâṇ văn cũng mới đềcâp ̣ đến các thiết bi ̣cơ (Switch, Router, wireless router) Trong ̣thống mang ̣ còn những thiết bi nhự Firewall, Server,…Vìvâỵ cần tiếp tuc ̣ nghiên cứu những thiết bi ̣ này đểđưa cấu hinh̀ an ninh phùhơp ̣ 72 - Những lỗi cấu hinh̀ đươc ̣ chỉra luâṇ văn lànhững lỗi cấu hinh̀ bản, thường găp ̣ Còn nhiều các tham sốcấu hinh̀ an ninh cần đươc ̣ bổsung thêm đểtăng cường tinh́ an ninh cho thiết bi ̣ 5.3 Hướng phát triển - Tiếp tuc ̣ tham khảo thêm những lỡi cấu hình an ninh đươc ̣ đềcâp ̣ các tài liêụ của hang ̃ thiết bi, ̣các khuyến nghi ̣ từ các tổchức an ninh mang, ̣ các tiêu chuẩn Từ đócâp ̣ nhâṭthêm vào sơ dữliêụ lỗi cấu hinh̀ luâṇ văn - Mởrông ̣ viêc ̣ đánh giálỗi cấu hinh̀ các thiết bi ̣ biên của mang ̣ (Firewall, VPN gateway…) Cần nghiên cứu những yêu cầu vềcấu hinh̀ an ninh cho những thiết bi nạ̀y, từ đóbổsung thêm môṭtầng kết nối mang ̣ biên (Border network) cho mô hinh̀ mang ̣ đềcâp ̣ ởChương Đây làcách tiếp câṇ môṭmô hinh̀ mang ̣ doanh nghiêp ̣ hoàn chỉnh đểđánh giá Mơ hình mang ̣ hoàn chinh̉ cần cóthêm các kết nối với các chi nhánh, kết nối ngoài Internet Hướng tới xây dưng ̣ môṭquy trinh̀ đánh giálỗi cấu hinh̀ an ninh cho ̣thống mang ̣ hoàn chinh;̉ từ đóáp dung ̣ vào các t ̣ hống mang ̣ thưc ̣ tế - Nghiên cứu thêm vềcấu hinh̀ thiết bi ̣ hang ̃ Juniper, đươc ̣ sử dung ̣ kháphổbiến các doanh nghiêp ̣ vừa vàlớn ởViêṭNam Từ đótich́ hơp ̣ vào chương trinh̀ ứng dung ̣ đểđánh giácác lỗi cấu hinh̀ an ninh các dòng thiết bi h ̣ ang ̃ này Đểhoàn thiêṇ luâṇ văn này, xin chân thành cám ơn sư ̣chỉbảo hướng dẫn nhiêṭtinh̀ của TS Lê Đức Phong – giảng viên hướng dẫn vàsư q ̣ uan tâm chỉbảo giúp đỡcủa các thầy cô Trường ĐHCN-ĐHQGHN 73 TÀI LIÊỤ THAM KHẢO Tiếng Viêṭ PGS.TS Trinḥ NhâṭTiến (2014), Giáo trinh̀ mâṭma ̃vàan toàn dữliêụ, Đaịhoc ̣ công nghê, ̣ĐHQGHN TS Nguyễn ĐaịTho ( ̣ 2013), Bài giảng an toàn mang, ̣ Đaịhoc ̣ công nghê, ̣ ĐHGHN Bô ̣khoa hoc ̣ công nghê ( ̣ 2014), Tiêu chuẩn quốc gia TCVN 10542:2014, công nghệ thông tin - các kỹ thuật an toàn - quản lý an toàn thông tin - đo lường https://forum.whitehat.vn/forum/thao-luan/tin-tuc/57141-hon-300-nghin-hethong-mang-tai-viet-nam-dang-trong-tinh-trang bo-ngo http://antoanthongtin.vn/Detail.aspx?NewsID=29d680af-9286-4f19-9c404a32db7de523&CatID=e1999c9a-5eeb-418c-9ea8-ae4c5e850d0c http://www.vncert.gov.vn/baiviet.php?id=1 http://vnreview.vn/tin-tuc-an-ninh-mang/-/view_content/content/1861042/thitruong-cho-den-dang-rao-ban-hon-841-may-chu-viet-nam-bi-hack Tiếng Anh Jing Zhang, Zakir Durumeric, Michael Bailey, Mingyan Liu, Manish Karir (2014), On the mismanagement and maliciousness of networks Rostyslav Barabanov (2011), Information Security Metrics - State of the Art 10 Cisco CCNA Security 2.0 (2016), Cisco certified Network Association Security 11 “Hackers focus on misconfigured networks,” http://forums.cnet.com/77266132 102-3366976.html 12 https://security.web.cern.ch/security/rules/en/baselines.shtml 13 https://en.wikipedia.org/wiki/Universal_Plug_and_Play#Problems_with_UPnP 14 https://tools.ietf.org/html/rfc2577 15 CompTIA Security+ 16 https://en.wikipedia.org/wiki/File_Transfer_Protocol 17 http://k12linux.mesd.k12.or.us/cascadelink/text7.htm 18 http://www.cisco.com/c/dam/en/us/td/docs/solutions/CRD/Sep2015/WPEnterprise-Security-Baseline-Sep15.pdf ... kế mạng phân thành tầng Cấu trúc mạng thường thiết kế theo mơ hình tầng hình Thiết kế này nếu tuân thu? ? đảm bảo cho hệ thớng mạng có tính sẵn sàng, linh hoạt, an ninh, tính. .. bảo viêc ̣ thu thâp ̣ diễn thành công, thỏa mañ các yêu cầu đềra từ đầu Hình 1.6 Phương pháp thu thâpc̣ cấu hình Sau đa ? ?thu thâp ̣ cấu hinh̀ tâp ̣ trung, luâṇ văn đềxuất phương pháp... ß So nh Cấu hình hoạt đ ng (Running-config) Cấu hình khuy n ngh (đường an ninh s ) Hin ̀ h 4.1 Phương pháp đánh giá cấu hiǹ h an ninh Phương pháp này cóthểcoi làmôt? ?phương pháp