Bộ giáo dục đào tạo Trường Đại học Bách khoa Hà Nội =====*****===== Nguyễn Tú Anh Đề tài Bảo vệ thông tin mạng tcp/ip Luận văn thạc sỹ Ngành: điện tử viễn thông Người hướng dẫn khoa học: TS Nguyễn viết nguyên Hà nội, 11-2004 Mục lục LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ MẠNG TCP/IP I GIỚI THIỆU MẠNG TCP/IP I.1 Cấu trúc phân tầng họ giao thức TCP/IP I.2 Giao thức liên mạng IP I.2.1 Cấu trúc gói IP I.2.2 Cấu trúc địa IP 11 I.2.3 Phân đoạn khối liệu 11 I.2.4 Cơ chế truyền gói IP 11 I.3 Giao thức TCP 12 I.3.1 Cấu trúc đoạn liệu TCP 13 I.3.2 Chức TCP 14 II ĐÁNH GIÁ CÁC ĐIỂM YẾU VỀ AN NINH BẢO MẬT TRONG MẠNG TCP/IP 18 II.1 Tại mạng TCP/IP có nhiều điểm yếu 18 II.2 Các điểm yếu mạng TCP/IP 19 II.3 Các giao thức dịch vụ dễ công 20 CHƯƠNG 2: AN TỒN THƠNG TIN TRÊN MẠNG I AN TỒN MẠNG 22 II CÁC HÀNH ĐỘNG TẤN CÔNG TRÊN MẠNG 24 II.1 Hành động thăm dò (Probe) 25 II.2 Hành động quét (Scan) 25 II.3 Hành động hút nạp liệu (Spooling) 25 II.4 Hành động cướp quyền điều khiển hệ thống 25 II.5 Hành động thu thập gói tin (Packet Sniffer) 26 II.6 Hành động công tứ chối dịch vụ (Denial of Service) 26 II.7 Hành động giả mạo 26 III YÊU CẦU ĐẶT RA ĐỐI VỚI HỆ THỐNG BẢO MẬT 26 IV BẢO MẬT TRONG MẠNG TCP/IP 27 IV.1 Bảo mật lớp ứng dụng 27 IV.1.1 Mật mã khóa cá nhân PGP 27 IV.1.2 S-HTTP (Secure HTTP) 28 IV.2 Bảo mật lớp giao vận 28 IV.2.1 SSL (Security Socket Layer) 28 IV.2.2 SSH (Secure Shell) 29 IV.2.3 Lọc (Filtering) 29 IV.3 Bảo mật lớp mạng 30 IV.3.1 Giao thức bảo mật IP 30 IV.3.2 ACL (Access Control List) 31 IV.4 Bảo mật lớp liên kết liệu 31 V CÁC CÔNG NGHỆ BẢO MẬT CHO MẠNG TCP/IP 32 CHƯƠNG 3: MỘT SỐ GIẢI PHÁP AN NINH MẠNG CỤ THỂ I GIẢI PHÁP BỨC TƯỜNG LỬA - FIREWALL 35 I.1 Tại phải dùng Firewall 35 I.2 Bức tường lửa 36 I.2.1 Khái niệm 36 I.2.2 Các biện pháp bảo vệ liên quan đến Firewall 37 I.3 Các thành phần hệ thống Firewall 38 I.3.1 Bộ lọc gói liệu 38 I.3.2 Bộ lọc phiên kiểm sốt có trạng thái 39 I.3.3 Các cổng ứng dụng 39 I.4 Các kiến trúc Firewall thông dụng 40 I.4.1 Kiến trúc Dual-Homed 40 I.4.2 Kiến trúc che dấu Host 41 I.4.3 Kiến trúc che dấu mạng 43 II CƠNG NGHỆ MÃ HĨA VÀ CƠ SỞ HẠ TẦNG KHĨA CƠNG KHAI 45 II.1 Bảo vệ thơng tin mật mã 45 II.1.1 Mã hóa đối xứng 46 II.1.2 Mã hóa khơng đối xứng – khóa mã cơng khai 48 II.1.2.1 Thuật tốn trao đổi khóa Diffie-Hellman 49 II.1.2.2 Thuật tốn mã hóa RSA 50 II.1.3 Chuẩn chữ ký điện tử- DSS (Digital Signaling Standard) 50 II.1.4 Đánh giá ưu nhược điểm loại mã hóa 52 II.2 Cơ sở hạ tầng khóa cơng khai – PKI (Public Key Infrastructure) 54 II.2.1 Cơ sở hạ tầng khóa cơng khai gì? 55 II.2.2 Các khái niệm PKI 56 II.2.2.1 Khóa cặp khóa 57 II.2.2.2 Chứng 57 II.2.3 Cơng nghệ PKI tích hợp ứng dụng 59 II.2.4 Các kỹ thuật bảo mật PKI 61 II.2.4.1 Mã hóa khóa cơng khai 61 II.2.4.2 Chữ ký điện tử PKI 61 II.2.5 Các thành phần PKI 63 II.2.5.1 Certificate Authorities 63 II.2.5.2 Registration Authorities 65 II.2.5.3.Ứng dụng PKI 67 II.2.6 Lựa chọn giải pháp PKI 67 II.2.7 Ứng dụng PKI cho mạng riêng ảo VPN 69 CHƯƠNG 4: ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG MẠNG NGÂN HÀNG ĐẦU TƯ VÀ PHÁT TRIỂN VIỆT NAM -BIDV I An toàn mạng ngân hàng 72 I.1 Tầm quan trọng việc an ninh cho hệ thông ngân hàng 72 I.2 Tiêu chuẩn an ninh đối hệ thống ngân hàng thương mại điện tử 72 II Hiện trạng yêu cầu bảo mật hệ thống mạng BIDV 73 II.1 Hiện trạng mức độ an ninh bảo mật mạng BIDV 73 II.2 Yêu cầu giải pháp bảo mật cho mạng BIDV 81 III Giải pháp bảo mật cụ thể cho mạng BIDV 82 III.1 Mô hình bảo mật tổng quát mạng BIDV 82 III.2 Hệ thống tường lửa 83 IV.3 Thiết lập mạng riêng ảo VPN cho truy nhập hệ thống từ xa 86 IV.4 Hệ thống dị tìm xâm nhập bất hợp pháp 91 IV.4 Hệ thống xác thực truy nhập 93 IV.5 Mã hóa thơng tin đường truyền cơng cộng 98 IV.6 Sử dụng hệ thống giám sát tình trạng an ninh mạng 99 IV.7 Phương pháp bố trí máy chủ có độ an tồn cao cho ứng dụng Internet 100 IV Bảo mật cho ứng dụng dịch vụ mạng BIDV 104 CHƯƠNG 5: NHẬN XÉT VÀ ĐÁNH GIÁ GIẢI PHÁP Mức độ an ninh bảo mật giải pháp 110 Khả mở rộng tương lai 110 3.Hạn chế giải pháp 111 Giải pháp bảo mật nâng cao cho dịch vụ mạng BIDV tương lai 111 KẾT LUẬN TÀI LIỆU THAM KHẢO TÀI LIỆU THAM KHẢO Network and Internetwork Security - William Stallings < Prientice Hall International Editions -1995> Firewall Complete - Marcus Goncalves < McGraw-Hill International - 1998> Bức tường lửa Internet an ninh mạng - Ths.Trần Quang Cường, PTS.Hồ Khánh Lâm – NXB Bưu điện, 01-2000 Secure Electronic Commerce - Warwick Ford & Michael S.baum < Prentice Hall International Editions – 1997> Mission Critical Internet Security < Source: www.syngress.com> Virtual Private Network - Charlie Scott.Paul Wolfe & Mike Erwin < Source: www.vpnguide.com> Cisco Network Security - Cisco System, Inc < Source: www.cisco.com> Public Key Infrastructure - RSA Security Inc < www.rsasecurity.com> Tạp chí tin học ngân hàng – NXB Cục công nghệ tin học ngân hàng -1Bảo mật thông tin mạng TCP/IP LỜI MỞ ĐẦU Trong thời đại hội nhập kinh tế toàn cầu, vấn đề trao đổi thông tin trở nên quan trọng cấp thiết, việc có thơng tin xác kịp thời quan trọng cá nhân, tổ chức doanh nghiệp Mạng máy tính đặc biệt mạng kết nối dùng công nghệ IP giúp cho người tiếp cận, trao đổi thơng tin cách nhanh chóng, thuận tiện mà cụ thể mạng Internet, Intranet, Extranet, dịch vụ mang lại cho người lợi ích khơng thể phủ nhận Tuy nhiên vấn đề cần phải giải cho cá nhân, hay tổ chức dùng công nghệ IP để kết nối mạng có đảm bảo vấn đề an ninh bảo mật thông tin hệ thống mạng họ hay không? Vấn đề an ninh bảo mật thông tin mạng TCP/IP cần giải thiết kế, xây dựng để đưa dịch vụ mạng hay mạng vào hoạt động Đặc biệt mà hàng ngày liệt kê nhiều vụ thử công, hay công tin tặc vào mạng cài đặt, hay trang web đưa Tin tặc ln tìm dùng nhiều loại công khác nhau, phương thức khác mạng Internet vào hàng trăm trạm máy lớn nhỏ mạng Số lượng công hàng năm không giảm mà ngày tăng mức độ vi phạm thiệt hại ngày trầm trọng Hiện có nhiều cơng nghệ giải pháp an ninh mạng TCP/IP, vấn đề đặt cho người thiết kế tích hợp hệ thống người quản trị cần phải chọn xây dựng giải pháp phù hợp với yêu cầu kinh tế, kỹ thuật Trong luận văn tơi trình bày số công nghệ an ninh bảo mật mạng TCP/IP sử dụng việc đề xuất giải pháp xây dựng hệ thống an ninh bảo mật cho mạng dùng riêng Nội dung luận văn gồm chương: Chương 1: Tổng quan mạng TCP/IP Chương 2: An tồn thơng tin mạng Nguyễn Tú Anh – Cao học ĐTVT 2002 -2Bảo mật thông tin mạng TCP/IP Chương 3: Các giải pháp bảo mật cho mạng nội Chương 4: Đề xuất giải pháp bảo mật mạng BIDV Chương 5: Nhận xét đánh giá giải pháp Vấn đề mà luận văn đề cập liên quan đến nhiều lĩnh vực khác rộng Tơi cố gắng trình bày vấn đề cần thiết phục vụ cho việc an ninh mạng dùng cơng nghệ IP nói chung mạng cung cấp dịch vụ mạng ngân hàng, khuôn khổ luận văn cao học, nên trách khỏi khiếm khuyết, mong đóng góp thầy bạn đồng nghiệp Tôi xin chân thành cảm ơn thầy giáo TS Nguyễn Viết Nguyên, thầy giáo TS Hồ Khánh Lâm thầy giáo khoa ĐTVT, Trung tâm sau đại học trường đại học Bách Khoa Hà Nội đồng nghiệp giúp đỡ tơi q trình học tập hoàn thành luận văn Nguyễn Tú Anh – Cao học ĐTVT 2002 -3Bảo mật thông tin mạng TCP/IP CHƯƠNG 1: TỔNG QUAN VỀ MẠNG TCP/IP I TỔNG QUAN VỀ MẠNG TCP/IP I.1 Cấu trúc phân tầng giao thức TCP/IP Mạng Internet mạng thông tin liên kết máy tính khắp giới với thông qua mạng điện thoại hay kênh chun dùng đặc biệt Thơng qua Internet, người dùng liên lạc với nhau, chia tài nguyên, tìm kiếm thông tin truy xuất nhiều dịch vụ khác Mạng Internet coi cộng đồng mạng LAN nối với giao thức TCP/IP Giao thức TCP giao thức IP hai giao thức quan trọng Internet Giao thức TCP giao thức lớp mơ hình lớp OSI, cung cấp phương tiện truyền liệu tin cậy, xác cho phép truyền lại gói liệu bị Giao thức IP giao thức lớp mơ hình OSI, cung cấp phương thức truyền linh hoạt, tạo liên kết ảo truyền gói liệu Giao thức TCP/IP thực chất họ giao thức làm việc với để cung cấp phương tiện truyền thông liên mạng Cấu trúc phân tầng TCP/IP so với mơ hình tham chiếu OSI Hình 1.1: Mơ hình giao thức TCP/IP Nguyễn Tú Anh – Cao học ĐTVT 2002 -4Bảo mật thông tin mạng TCP/IP - Tầng ứng dụng (Application Layer): bao gồm ứng dụng tiến trình sử dụng mạng như: Telnet, FTP, SMTP - Tầng truyền vận (Transport Layer): cung cấp dịch vụ truyền liệu liên tục giao thức TCP, UDP - Tầng liên mạng (Internet Layer): xác định đơn vị truyền tìm đường bao gồm giao thức IP, ARP - Tầng truy nhập mạng (Network access Layer): có nhiệm vụ truy nhập mạng vật lý, chuẩn thường dùng là: Ethernet (IEEE802.3), Token bus (IEEE802.4), Token ring (IEEE802.5) Telnet FTP Transmistion Control Protocaol (TCP) SMTP DNS User Datagram Protocol (UDP) SNMP RIP ICMP ARP Internet Protocol (IP) Ethernet Tokenbus Tokenring IEEE 802.3 IEEE802.4 IEEE802.5 FDDI ANSI X3 T95 Hình 1.2: Họ giao thức TCP/IP Trong cấu trúc phân tầng này, liệu truyền từ tầng ứng dụng đến tầng vật lý tầng thêm phần header tầng vào Các header chứa thông tin điều khiển việc truyền liệu xác Mỗi tầng xem tất thơng tin mà nhận từ tầng liệu thêm phần header vào trước liệu truyền xuống tầng Quá trình truyền liệu từ tầng lên tầng diễn theo chiều ngược lại, tức tầng tách phần header trước truyền liệu lên tầng Mỗi tầng có cấu trúc liệu độc lập với tầng tầng Tức tầng có cấu trúc liệu riêng thuật tốn riêng để mơ tả cấu trúc Nguyễn Tú Anh – Cao học ĐTVT 2002 -98Bảo mật thơng tin mạng TCP/IP III.6 MÃ HĨA THƠNG TIN TRÊN CÁC ĐƯỜNG TRUYỀN CÔNG CỘNG Để đảm bảo an toàn cho liệu truyền đường truyền kết nối WAN để ngăn chặn khả trộm cắp sửa chữa thông tin truyền mạng công cộng, hệ thống mã hoá đường truyền lắp đặt cổng kết nối chi nhánh với mạng Trung tâm Thiết bị mã hoá (Link Encryptor) thiết kế nhằm bảo vệ liệu truyền đường truyền thuê riêng (lease-line, X.25, Frame Relay) Thiết bị mã hoá kiểm tra xác thực thiết bị từ xa mã hoá / giải mã liệu truyền qua thiết bị Tuỳ vào tốc độ đường truyền mạng trung tâm chi nhánh mà ta sử dụng thiết bị mã hoá liệu đường truyền tốc độ khác từ 64kbps, 128kbps… đến 512Kbps, 2048Kbps chí 8Mbps Thiết bị sử dụng thuật toán mã hoá DES, Triple DES, Rijndael Advanced Encription Standard (AES), thuật toán trao đổi khóa Diffine-Hellman Trong khung luồng T1/E1, kênh chia thành kênh logic riêng với trạng thái bảo mật riêng đảm bảo thông tin truyền mạng mã hoá, bảo vệ cách tối đa Mơ hình kết nối mạng sử dụng thiết bị mã hố đường truyền hình 4.13 Hình 4.13: Mơ hình kết nối thiết bị mã hố đường truyền Nguyễn Tú Anh - Cao học ĐTVT 2002 -99Bảo mật thông tin mạng TCP/IP III.7 SỬ DỤNG CÁC HỆ THỐNG GIÁM SÁT AN NINH TRÊN MẠNG Những an tồn thơng tin hơm chưa an toàn cho ngày mai, kỹ nghệ an tồn thơng tin phát triển theo ngày Như đòi hỏi việc quản trị vận hành hệ thống an tồn thơng tin kỹ sư chun nghiệp, có khả hiểu thay đổi cơng nghệ an tồn thay đổi hệ thống phù hợp với thay đổi chung Song song với việc triển khai lắp đặt thiết bị bảo mật việc quản lý, giám sát bảo dưỡng trì hoạt động hệ thống an tồn thơng tin cần thiết Do việc triển khai hệ thống bảo mật cần có cơng cụ, phần mềm để thực chức giám sát quản lý hệ thống bảo mật mạng nhằm phát khắc phục kịp thời lỗ hổng mạng Phần lớn người quản trị hệ thống thừa nhận họ khơng thể quản lý hết ngóc ngách hệ thống mạng, thay đổi cấu hình thiết bị mạng không phát người sử dụng dùng thiết bị riêng (modem quay số chẳng hạn) để truy nhập Internet trực tiếp Đây mối nguy tiềm ẩn hệ thống ta sức bảo vệ đầu hợp pháp lại có cổng kết nối trực tiếp bên ngồi khơng quản lý – Như việc xây dựng hệ thống bảo mật ta khơng cịn ý nghĩa Cũng lỗ hổng nguyên nhân tiểm ẩn gây tổn thất thông tin không đáng có lân lan, lan truyền virus mạng Chính để tăng cường độ an tồn bảo mật cho tồn hệ thống cần phải có hệ thống quản lý mạng song song với hệ thống quản lý mạng diện rộng có - HP OpenView với Cisco work Hệ thống quản lý mạng không sử dụng biện pháp tìm kiếm mạng thơng thường mà sử dụng chế dị tìm thơng minh cho phép nhanh chóng kiểm sốt hoạt động mạng các chi nhánh, công ty trực thuộc, đối tác kinh doanh, mà không chiếm nhiều băng thông, không cần biết hết mật định tuyến (Router) mạng Hệ thống quản lý mạng có khả dị tìm, phân tích quản lý địa mạng khả dị tìm lỗ hổng mạng cho phép kiểm sốt thay đổi cấu hình, phát địa IP bất Nguyễn Tú Anh - Cao học ĐTVT 2002 -100Bảo mật thông tin mạng TCP/IP hợp pháp mạng kết nối bất hợp pháp từ máy trạm bên (hoặc Internet) Một chức hệ thống quản lý giám sát hoạt động an ninh cần phải phối hợp chặt chẽ với hệ thống giám sát cấu hình hoạt động firewall, cho phép mô phỏng, giả lập để kiểm tra tính xác, độ an tồn firewall Hệ thống giám sát hoạt động firewall có tính cho phép phân tích luật firewall, kiểm sốt hoạt động firewall có khả thay đổi lại cấu hình firewall cần thiết Hệ thống quản trị tập trung thiết lập toàn policy Firewall Danh sách lỗ hổng an ninh nguy công hàng ngày ghi nhận lại, chí lỗ hổng hay nguy cơng xảy chuyên gia bàn thảo biện pháp đối phó Để quản trị việc này, địi hỏi phải có thường xun cập nhật bảo trì mạng lưới, có hệ thống phân tích an ninh trước giao dịch nghi ngờ hệ thống cảnh báo Hiện giới có số trung tâm thường xuyên làm nhiệm vụ Họ tổ chức quét lỗ hổng thông tin cho mạng Doanh nghiệp, đưa gói (patch) để hàn gắn lại lỗ hổng thông tin, đưa khuyến cáo nguy công cho nhà quản trị mạng III.8 PHƯƠNG PHÁP BỐ TRÍ CÁC MÁY CHỦ CĨ ĐỘ AN TỒN CAO CHO CÁC ỨNG DỤNG INTERNET Do nằm lớp thường xuyên tiếp xúc, trao đổi thông tin với giới bên nên máy chủ web server, mail server điểm yếu hệ thống mạng máy tính Mặc dù đặt DMZ cho dù bị công, phá huỷ máy chủ web server không gây ảnh hưởng trực tiếp đến hệ thống máy chủ lớp bên trong, web server quan ngôn luận, mặt ngân hàng nên việc máy chủ web bị công, phá hoại khiến khách hàng nghi ngờ vào độ an toàn hệ thống, gây ảnh hưởng xấu đến uy tín ngân hàng Nguyễn Tú Anh - Cao học ĐTVT 2002 -101Bảo mật thông tin mạng TCP/IP a Giải pháp Web Server độ an toàn cao Mặc dù bảo vệ tầng bảo vệ firewall, hệ thống IDS nhiên máy chủ Web bị công theo kiểu mới, kiểu công theo kiểu tràn đệm, kiểu công nhằm vào lỗ hổng bảo mật Firewall cho phép tất luồng thông tin chuyển đến máy chủ web nên firewall bảo vệ máy chủ web IDS bảo vệ máy chủ web hacker sử dụng SSL để mã hoá cơng IDS khơng thể phát Thơng thường hệ thống cung cấp dịch vụ web chia làm 02 máy chủ khác nhau, đặt lớp tiếp nhận yêu cầu truy vấn, yêu cầu kiểm duyệt qua công cụ đặc biệt (thường gọi web sensor hay Host sensor) trước gửi đến máy chủ thứ hai đặt lớp bên mạng Máy chủ thứ hai làm nhiệm vụ xử lý theo yêu cầu máy chủ thứ mà không cho phép người dùng truy cập trực tiếp Hots sensor cài đặt máy chủ web thứ Hệ hoạt động ngăn chặn công theo thời gian thực, xác định công ngăn chặn truy nhập vào tài nguyên quan trọng trước xuất giao dịch bất hợp pháp Thông qua tập hợp dấu hiệu công, hệ thống bảo vệ máy chủ web ngăn chặn công dạng tràn đệm; không cho phép hacker cài đặt, kích hoạt cơng cụ phá hoại; bảo vệ file quan trọng, registry; không cho phép hacker chiếm quyền quản trị hệ thống; phân tích tồn luồng thông tin HTTP để kiểm tra dấu hiệu công; ngăn chặn không cho sửa chữa, thay đổi, thay file máy chủ web; ngăn chặn công hacker sử dụng kỹ thuật mã hoá SSL b Giải pháp tạo Server ảo Nguyên tắc chung máy chủ ảo tạo máy chủ trung gian bảo vệ đặc biệt nằm bên lớp bảo vệ Máy chủ tạo vùng đệm không cho truy nhập trực tiếp vào kho liệu - máy chủ kho liệu, dùng thiết bị phần cứng đặc biệt đảm bảo thông tin theo chiều hay khống chế số quyền hạn tối thiểu theo chức cụ thể Điều Nguyễn Tú Anh - Cao học ĐTVT 2002 -102Bảo mật thông tin mạng TCP/IP tạo thêm vành đai cho vùng thông tin nhạy cảm, hacker tạo phương thức có khả phá vỡ máy chủ ảo, thơng tin thực máy chủ thực hoạt động bình thường- sau thời gian ngắn ta lại khôi phục hoạt động hệ thống thiết bị lưu trữ dự phòng Trên thực tế giải pháp máy chủ ảo thường áp dụng với hệ thống mail server máy chủ cung cấp dịch vụ Internet banking Về gồm cặp, máy chủ Replicate Server làm nhiệm vụ cập nhật liệu, tạo thành máy chủ liệu bảo vệ bên Khi có thao tác liên quan tới truy vấn cập nhật thông tin, máy chủ replicate tiếp nhận, lưu giữ thông tin giao dịch, thay đổi sau máy chủ đích thực từ mạng bên truy vấn ngược để update thay đổi đó, truy vấn có giới hạn lệnh định kiểm soát nhờ thiết bị phần cứng đặt luật theo policy riêng c Phương pháp tạo Server lọc nội dung Giải pháp an ninh bảo mật tổng thể cần phải có phương pháp lọc nội dung (content) cho kết nối trao đổi thông tin với mạng Internet Các công cụ làm chức lọc nội dung phần mềm cài đặt máy chủ chúng có chức lọc thư có virus hay lọc số thư có hình ảnh khiêu dâm, quảng cáo tố chức, công ty khác gửi đến khơng phải mục đích cơng việc Hiện có nhiều cơng cụ làm cơng việc này, điển Mime Sweeper, Web Sense… Hệ thống lọc nội dung nằm ngồi phần DMZ, làm việc theo số luật định kết hợp với firewall Router để ngăn chặn thư virus, thư nội dung xấu, trước chuyển thư vào máy chủ bên mạng Nguyễn Tú Anh - Cao học ĐTVT 2002 -103Bảo mật thơng tin mạng TCP/IP Hình 4.14 Nguyễn Tú Anh - Cao học ĐTVT 2002 -104Bảo mật thông tin mạng TCP/IP IV BẢO MẬT CHO CÁC ỨNG DỤNG VÀ DỊCH VỤ CỦA BIDV  Bảo mật cho mạng nội Đây phần bảo mật quan trọng hệ thống cung cấp dịch vụ Đảm bảo an ninh chống lại cơng từ bên ngồi, bên trong, hình thức Để bảo vệ cho mạng nội giải pháp tổng thể kết hợp tất giải pháp phân tích phần Bao gồm hệ thống tường lửa, kết nối VPN, hệ thống IDS, hệ thống xác thực truy nhập, hệ thống an ninh giám sát, phương pháp an toàn cho máy chủ ứng dụng Internet Như vậy, với tin tặc (hacker) bên ngoài, muốn truy nhập vào hệ thống máy chủ, hacker buộc phải phá vỡ ba tầng lớp cửa bảo vệ (firewall) với nhiều công nghệ tích hợp điều gần khơng làm hệ thống dị tìm xâm nhập bất hợp pháp, hệ thống xác thực truy nhập nhanh chóng phát ngăn chặn đường hacker, đồng thời tạo cảnh báo cho người quản trị hệ thống để có biện pháp tăng cường bảo mật, an ninh mạng Ngoài để thâm nhập vào hệ thống máy chủ để trộm cắp thông tin kênh liên lạc với máy chủ, hacker buộc phải phá vỡ kênh ảo VPN, tự tạo cho kênh ảo VPN riêng, điều khơng thể kênh VPN có chế bảo mật mã hố cao passcode SecureID Card tạo cách ngẫu nhiên khoảng thời gian ngắn (60’’) nên đốn biết dị tìm Ngồi việc bảo vệ an ninh cho mạng nội bộ, mạng ngân hàng mạng cung cấp dịch vụ nên cần thiết phải thực giải pháp bảo mật cho loại dịch vụ  Bảo mật cho dịch vụ khách hàng Thực chất mạng BIDV tất chương trình ứng dụng nghiệp vụ ngân hàng, sản phẩm dịch vụ, thực giao dịch với khách hàng diễn chi nhánh Sau liệu truyền trực tiếp mạng trung tâm Để đảm bảo an toàn cho loại liệu phải thực hiện: - An ninh cho mạng chi nhánh : Thiết lập tường lửa để thực ngăn chặn luồng thông tin không cần thiết kết nối vào hệ thống, điều khiển luồng liệu cho loại ứng dụng, dịch vụ khác nhau, tạo nên vành đai người dùng, máy Nguyễn Tú Anh - Cao học ĐTVT 2002 -105Bảo mật thông tin mạng TCP/IP chủ kết nối lên mạng trung tâm - Mã hóa đường truyền cơng cộng : Đảm bảo an toàn cho liệu đường truyền, sử dụng thiết bị mã hóa với thuật tốn mã hóa DES trình bày phần Ngoài đường truyền dialup qua mạng PSTN tạo kênh VPN firewall thực với chế xác thực mã hóa an tồn với cơng nghệ VPN - Xác thực truy nhập vào hệ thống : Đối với chương trình địi hỏi truy nhập trực tiếp vào sở liệu khách hàng, thân chương trình phân quyền mức truy nhập hệ thống, đòi hỏi người truy nhập phải thực nhập username password Tuy nhiên để đảm bảo an tồn cách tối đa cho liệu quan trọng cần thiết phải thực cần xác thực người dùng với thẻ bảo mật tích hợp hồn toàn với hệ thống xác thực mạng trung tâm 3-DES Chi nhánh Truy nhập đường hầm Thẻ cứng Firewall/ VPN - Dò quét lỗ hổng bảo mật -Lọc theo nội dung -Đưa báo cáo bảo mật Mạng trung tâm Hình 4.15: Giải pháp bảo mật cho dịch vụ từ mạngchi nhánh  Bảo mật cho dịch vụ cung cấp mạng Internet Dịch vụ truy vấn thông tin, giao dịch qua hệ thống Web site ngân hàng, với nguy công vào loại dịch vụ bao gồm hai loại: Thứ nhất, loại có liên quan đến rủi ro làm tổn hại đến Web Server site, ví dụ, văn liệu đưa đến người khơng có thẩm quyền kẻ xâm nhập trái phép, có Nguyễn Tú Anh - Cao học ĐTVT 2002 -106Bảo mật thông tin mạng TCP/IP khả bị đặt code nguy hiểm vào server Thứ hai, loại có liên quan đến nguy hiểm làm tổn hại cho người dùng, số thẻ tín dụng, thơng tin cá nhân, mật truy nhập bị đánh cắp Web site giả mạo đánh lừa người dùng Hiện hai giao thức bảo mật sử dụng hổ biến cho việc bảo mật Web Secure Sockets Layer (SSL) hãng Netcape phát triển Secure HTTP (S-HTTP) EIT tạo lập Mạng BIDV sử dụng công nghệ SSL để bảo mật cho Web SSL đảm bảo kênh truyền thơng an tồn cho phạm vi rộng giao thức ứng dụng Internet Trong SSL coi giao thức bảo mật Web Bảo mật web quan trọng mà ngân hàng thực giao dịch trực tuyến mạng, tức dịch vụ Internet banking Việc đòi hỏi chứng thực lẫn client Web site ngân hàng Dữ liệu phiên giao dịch mã hóa để bảo vệ khỏi lấy cắp phương tiện lấy cắp điện tử, điều quan trọng giao dịch thương mại điện tử qua trang Web có nhiều thơng tin khách hàng cần phải giữ bí mật khỏi bị lấy cắp số thẻ tín dụng… Tuy nhiên để đảm bảo an toàn tối đa cho loại dịch vụ phía ngân hàng cần sử dụng phương pháp an tồn máy chủ Web trình bày phần Hình 4.16: Ví dụ bảo mật Web mã hóa SSL Nguyễn Tú Anh - Cao học ĐTVT 2002 -107Bảo mật thông tin mạng TCP/IP Trong tương lai BIDV triển khai dịch vụ Internet Banking, ví dụ tóan điện tử khoản chi thường xun, tóan thẻ tín dụng, thương mại điện tử cần có giải pháp bảo mật cao hơn, mang tính tổng thể khơng thực cho việc bảo mật đơn lẻ, chẳng hạn thực cơng nghệ mã hóa khóa cơng khai chữ ký điện tử để xây dựng hệ thống chứng thực số, đảm bảo an ninh cho giao dịch Internet  Bảo mật cho dịch vụ toán thẻ Các dịch vụ thực hệ thống toán thẻ điện tử Bao gồm dịch vụ thẻ ATM, dịch vụ POS Cơ chế mã hóa cho dịch vụ theo chuẩn 3DES, việc mã hóa xác thực thực thiết bị phần cứng HSM (Host Security Module) Module bảo mật xác thực khách hàng (HSM) thiết bị phần cứng có độ an tồn vật lý, khả chống cậy phá cao hãng Thales eSecurity - hãng chuyên lĩnh vực thiết bị bảo mật, đặc biệt lĩnh vực ngân hàng thương mại điện tử Module HSM có nhiều chủng loại khác cho phép làm việc với nhiều loại giao thức truyền thông khác TCP/IP, UDP, Ethernet, Async, SNA/SDLC, RS-449, V.35, RS-232 cung cấp chế mã hoá cần thiết nhằm đảm bảo an toàn cho giao dịch thương mại hệ thống khác bao gồm từ ATM, POS giao dịch liên ngân hàng, hệ thống bn bán tín dụng, cổ phiếu Thơng thường, module HSM hoạt động online, độc lập với máy chủ Host mà không cần hoạt động giám sát, can thiệp Máy chủ Host gửi messages chứa mã lệnh trường thông tin cần thiết đến module HSM Module HSM nhận thông tin thực tiến trình mã hố tương ứng với lệnh nhận từ máy chủ Host gửi trả thông tin máy chủ Host Nguyễn Tú Anh - Cao học ĐTVT 2002 -108Bảo mật thông tin mạng TCP/IP Hình 4.17: Minh hoạ vai trị module HSM hệ thống giao dịch Một số tính nhiệm vụ hệ thống HSM:  Tạo key cho hệ thống EFTPoS, quản lý key hệ thống giao dịch khác  Tạo mã số PIN, mã hoá kiểm tra xác thực số PIN  Tạo kiểm tra mã xác thực thông điệp MAC (Message Authentication Code)  Hỗ trợ tính hệ thống thẻ VISA, Master Card, American Express  Ngồi nhiệm vụ trên, module HSM cịn có chức để mã hố thơng tin truyền hệ thống ATM chia sẻ liên ngân hàng (shared ATM) Nói chung với thiết bị bảo mật HSM đảm bảo an toàn cho dịch vụ hệ thống toán thẻ tới thực hệ thống toán thẻ liên ngân hàng  Bảo mật cho dịch vụ truy nhập dialup từ xa Đây dịch vụ sử dụng phổ biến, hướng phát triển dịch vụ tương lai, BIDV triển khai dịch vụ HomeBanking Là dịch vụ thực Nguyễn Tú Anh - Cao học ĐTVT 2002 -109Bảo mật thông tin mạng TCP/IP giao dịch ngân hàng nhà, với máy tính kết nối vào hệ thống tốn ngân hàng, khách hàng thực giao dịch vấn tin tài khoản, chuyển tiền, toán tiền hàng… với loại hình dịch vụ tính an toàn chưa cao nên BIDV thực cho số khách hàng lớn, chưa thực hết đầy đủ dịch vụ hệ thống Trong tương lai với việc phát triển dịch vụ, mở rộng khách hàng, cho khách hàng có nhu cầu Đòi hỏi hệ thống phải co giải pháp bảo mật mạnh để đảm bảo an toàn, tin cậy, tính tồn vẹn liệu Các cơng nghệ đảm bảo cho dịch vụ bao gồm công nghệ VPN thiết lập đường hầm bảo mật đảm bảo an toàn đường truyền, thực giải pháp xác thực truy nhập mạng để xác thực truy nhập vào thiết bị NAS, hệ thống chứng thực số tích hợp với VPN để chứng thực người dùng tham gia vào mạng Hình 4.18:Ví dụ mơ hình xác thực truy nhập mạng Nguyễn Tú Anh - Cao học ĐTVT 2002 -110Bảo mật thông tin mạng TCP/IP CHƯƠNG 5: NHẬN XÉT VÀ ĐÁNH GIÁ GIẢI PHÁP Mức độ an toàn bảo mật giải pháp Giải pháp an ninh bảo mật cho mạng BIDV đảm bảo số yêu cầu sau:  Bảo đảm an toàn cho tồn thơng tin mạng, chống lại truy nhập bất hợp pháp vào mạng Sự truy nhập tiến hành có kết nối từ mạng nội máy tính mạng bên Internet Với hệ thống kiến trúc phân tầng, cho phép mạng tổ chức thành nhiều mạng nhỏ độc lập với sách an ninh áp dụng phù hợp cho mối vị trí cụ thể khác  Hệ thống an ninh tổ chức thành nhiều vành đai an ninh có độ sâu khác hệ thống Firewall nhiều lớp, vành đai an ninh thích hợp với module khác nhau, tùy thuộc vào độ quan trọng tài nguyên thông tin cần bảo vệ Các vành đai thiết kế thành lớp bao bọc lẫn nhau, lớp sau khó phá vỡ lớp trước  Giải pháp đảm bảo an ninh trọng điểm cho điểm có nguy bị cơng cao, hạy cảm với tác động an toàn khách quan đưa đến Đảm bảo an toàn cho dịch vụ số dịch vụ  Đảm bảo an ninh kết nối, giao dịch từ chi nhánh lên trung tâm thực qua kết nối VPN site-to-site mã hóa an tồn dự liệu truyền qua đường truyền công cộng  Kiểm soát truy nhập vào hệ thống người sử dụng, thông qua hệ thống xác thực truy nhập sử dụng thẻ thông minh  Với hệ thống dị tìm thâm nhập IDS phát hiện, ngăn chặn thâm nhập bất hợp pháp vào hệ thống mạng phát ngăn chặn lan truyền virus mạng Khả mở rộng tương lai Trong tương lai ngân hàng mở rộng nhiều dịch vụ, ngân hàng thực giao dịch trực tuyến qua mạng Internet, với việc sử dụng sở hạ tầng PKI kết hợp với VPN giải pháp đảm bảo yêu cầu bảo mật, khả mở Nguyễn Tú Anh - Cao học ĐTVT 2002 -111Bảo mật thông tin mạng TCP/IP rộng người dùng tăng số lượng máy trạm mở rộng mạng WAN thông qua kết nối VPN Với thiết bị chuyên dùng lựa chọn giải pháp có khả nâng cấp phần mềm, hay IOS để đối phó với phương pháp công ngày tinh vi với kỹ thuật phức tạp Hạn chế giải pháp Giải pháp đưa có nhiều vướng mắc triển khai cụ thể, lý khả hoạt động đồng thành phần bảo mật Với mạng lõi ngân hàng hoàn toàn thiết bị cisco, nên việc hoạt động kết hợp với thiết bị hãng khác chưa có hiệu Nhưng ngược lại việc sử dụng hoàn toàn thiết bị bảo mật Cisco hạn chế lớn mà công nghệ bảo mật tiên tiến không thuộc hãng cisco Một hạn chế khác giải pháp kinh tế giải pháp, giải pháp không tối ưu kinh tế, nhiên ngân hàng việc bảo mật cho liệu quan trọng mục tiêu hàng đầu Bảo mật nâng cao cho dịch vụ mạng BIDV tương lai Giải pháp an ninh cho mạng BIDV đề xuất chưa đảm bảo an toàn mà ngân hàng cung cấp nhiều loại dịch vụ tương lai, dịch vụ Internet Banking, Tel-Banking, ngân hàng điện tử, tham gia hệ thống toán điện tử thương mại điện tử với đầy đủ dịch vụ Để đảm bảo an toàn cho dịch vụ sử dụng cơng nghệ chứng thực số với tảng sở hạ tầng khóa cơng khai- PKI Cơng nghệ kết hợp hai công nghệ mã hóa ký số Xác nhận việc gắn người tham dự với chữ ký số riêng họ, cung cấp xác nhận đặc tính riêng trao đổi, kỹ thuật mã hóa đồng thời cung cấp tính tồn vẹn bảo mật thông điệp trao đổi đảm bảo không từ chối tham gia trao đổi thông tin Trong tương lai mạng cung cấp dịch vụ ngân hàng, giải pháp bảo mật giảm tính lập, chuyển dần từ thành phần riêng biệt thành thành phần phân tán suốt qua mạng Các hệ thống bảo vệ cho mạng nội tích hợp vào loại dịch vụ, ứng dụng Giải pháp bảo mật khơng cịn theo hướng sản phẩm mà theo hướng dịch vụ Nguyễn Tú Anh - Cao học ĐTVT 2002 -112Bảo mật thông tin mạng TCP/IP KẾT LUẬN Ngày mà công nghệ thông tin ngày phát triển, đem lại cho người nhiều thuận lợi sống, với nhu cầu trao đổi thơng tin có nhiều cơng ty khơng với mục đích trao đổi thơng tin mà cịn sử dụng với mục đích kinh doanh, thực giao dịch thương mại điện tử Đặc biệt ngân hàng với xu phát triển hội nhập kinh tế nay, đòi hỏi nhà lãnh đạo ngân hàng cần có sách hoạch định tương lai, với việc ứng dụng công nghệ thơng tin làm nịng cốt cho việc định hướng phát triển Tuy nhiên mạng Internet ngày có nhiều kẻ công, virus, gian trá điện tử chuyên xâm nhập trái phép vào mạng nội bộ, chúng dựa vào kẻ hở hệ điều hành, dị tìm lỗ hổng an ninh, bất cẩn người sử dụng để xâm nhập sâu vào mạng nội quan, tổ chức với nhiều mục đích khác Vấn đề an ninh bảo mật cho mạng TCP/IP vấn đề quan trọng đưa mạng vào hoạt động phục vụ, mà luận văn bước đầu cố gắng đề cập đến Trong luận văn có đề cập đến cơng nghệ bảo mật cho mạng nội bao gồm công nghệ firewall, mã hóa sở hạ tầng khóa cơng khai công nghệ áp dụng nhiều cho việc an ninh mạng ngân hàng Luận văn có đề xuất giải pháp cụ thể để bảo mật cho mạng ngân hàng với nhiều cơng nghệ khác từ có nhìn chung để thực bảo mật cho dịch vụ tương lại mà ngân hàng cung cấp An ninh mạng vấn đề rộng, bao gồm nhiều công nghệ, nhiều cơng cụ, thiết bị thị trường, có nhiều giải pháp bảo mật hãng đưa Tuy nhiên chưa có giải pháp tuyệt đối đảm bảo an toàn cho tài nguyên mạng Do việc tiếp tục nghiên cứu, tìm hiểu giải pháp tối ưu cho cơng nghệ mạng nói chung mạng cung cấp dịch vụ Ngân hàng nói riêng cần thiết Đó hướng tiếp tục nghiên cứu vấn đề an ninh cho mạng cung cấp dịch vụ Nguyễn Tú Anh - Cao học ĐTVT 2002 ... Cao học ĐTVT 2002 - 3Bảo mật thông tin mạng TCP/ IP CHƯƠNG 1: TỔNG QUAN VỀ MẠNG TCP/ IP I TỔNG QUAN VỀ MẠNG TCP/ IP I.1 Cấu trúc phân tầng giao thức TCP/ IP Mạng Internet mạng thơng tin liên kết máy... TCP/ IP Xử lý thông báo trạng thái cho gói tin IP lỗi thay đổi phần cứng mạng ảnh hưởng đến định tuyến thông tin truyền mạng Nguyễn Tú Anh – Cao học ĐTVT 2002 -2 0Bảo mật thông tin mạng TCP/ IP II.3.2... chắn” hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thông tin cất giữ máy tính, đặc biệt máy chủ mạng Bởi vậy, số biện pháp bảo vệ chống thất thoát thông tin đường truyền, cố gắng