Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 75 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
75
Dung lượng
2,44 MB
Nội dung
0 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN KHÁNH TÙ NG XÂY DỰNG PHƯƠNG PHÁP THU THẬP VÀ PHÂN TÍ CH SỐ LIỆU LỖI CẤU HÌ NH MẠNG MÁY TÍ NH Ngành: Hê ̣ thố ng thông tin Chuyên ngành: Hê ̣ thố ng thông tin Mã số : 60480104 LUẬN VĂN THẠC SĨ HỆ THỚNG THƠNG TIN Hà Nơ ̣i - 2016 LỜI CAM ĐOAN Tôi cam đoan luâ ̣n văn này không chép của Nế u chép luâ ̣n văn của người khác, xin chiụ hoàn toàn mo ̣i trách nhiê ̣m Người cam đoan Nguyễn Khánh Tùng MỤC LỤC LỜI CAM ĐOAN MỤC LỤC DANH MỤC CÁC BẢNG DANH MỤC HÌ NH VẼ VÀ ĐỒ THI ̣ CHƯƠNG TỔNG QUAN VỀ AN NINH MẠNG 1.1 Tổ ng quan về an ninh ma ̣ng 1.1.1 Sự phát triể n của liñ h vực an ninh ma ̣ng 1.1.2 Mô ̣t số tổ chức an ninh ma ̣ng 1.1.3 Các liñ h vực về an ninh ma ̣ng 1.1.4 Chính sách an ninh ma ̣ng 11 1.1.5 Khái niê ̣m lỗi cấ u hình an ninh 11 1.1.6 Khái niê ̣m về đường sở an ninh (Security Baseline) 12 1.1.7 Khái niê ̣m gia cố thiế t bi ̣(device hardening) 14 1.2 Lý lựa cho ̣n đề tài 14 1.2.1 Phân tić h mô ̣t vài chỉ số về ATTT ta ̣i Viê ̣t Nam năm 2015 14 1.2.2 Tầ m quan tro ̣ng của viê ̣c quản lý cấ u hiǹ h ma ̣ng 16 1.2.3 Các hình thức cơng mạng khai thác lỗi cấ u hình 17 1.2.4 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng lỗi cấ u hình 19 1.3 Phương pháp nghiên cứu và kế t quả đa ̣t đươ ̣c 21 1.3.1 Phương pháp nghiên cứu 21 1.3.2 Kế t quả đa ̣t đươ ̣c của luâ ̣n văn 23 CHƯƠNG KHẢO SÁT MỘT MẠNG MÁY TÍ NH ĐIỂN HÌ NH 24 2.1 Mô hiǹ h ̣ thố ng ma ̣ng doanh nghiê ̣p 24 2.2 Những lỗi quản tri ̣viên gă ̣p phải cấ u hình ̣ thố ng ma ̣ng 26 2.2.1 Các lỗi liên quan đế n cấ u hình quản lý thiế t bi 26 ̣ 2.2.2 Các lỗi cấ u hiǹ h thiế t bi ̣tầ ng truy nhâ ̣p 32 2.2.3 Các lỗi cấ u hình thiế t bi ̣tầ ng phân phố i và tầ ng lõi 39 CHƯƠNG PHƯƠNG PHÁP THU THẬP CẤU HÌ NH 42 3.1 Yêu cầ u của viê ̣c thu thâ ̣p số liê ̣u cấ u hiǹ h 42 3.2 Chuẩ n bi ̣về người, quy trình, phầ n cứng, phầ n mề m, dữ liê ̣u 42 3.3 Cách copy cấ u hình về máy chủ 46 3.3.1 Quy đinh ̣ về đă ̣t tên file cấ u hiǹ h 47 3.3.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi ̣lớn 47 3.3.3 Kiể m tra các file cấ u hình thu thâ ̣p đươ ̣c 47 CHƯƠNG PHƯƠNG PHÁP ĐÁNH GIÁ CẤU HÌ NH AN NINH 49 4.1 Phương pháp chung để đánh giá cấ u hiǹ h an ninh 49 4.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 50 4.3 Đánh giá lỗi cấu hình quản lý 56 4.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập 58 4.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối tầng core 60 4.6 Chương triǹ h đánh giá lỗi cấ u hiǹ h 63 4.6.1 Những tính chính của chương trình 63 4.6.2 So sánh với mô ̣t số chương trình đánh giá khác 66 CHƯƠNG KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 70 5.1 Tầ m quan tro ̣ng của đề tài 70 5.2 Những vấ n đề đa ̣t đươ ̣c: 71 5.3 Những vấ n đề còn tồ n ta ̣i 71 5.3 Hướng phát triể n 72 TÀ I LIỆU THAM KHẢO 73 DANH MỤC CÁC BẢNG Bảng 1.1 Các kỹ thuâ ̣t tấ n công vào ̣ thố ng ma ̣ng Viê ̣t Nam năm 2015 Bảng 2.1 Những lỗi cấ u hiǹ h an ninh quản lý Bảng 2.2 Cấ u hiǹ h quản lý có lỗi và cấ u hình khuyế n nghi ̣ Bảng 2.3 Lỗi cấ u hình an ninh swich và khuyế n nghi ̣ Bảng 2.4 Mẫu cấ u hình an ninh khuyế n nghi ̣trên switch Bảng 2.5 Tóm tắ t các lỗi cấ u hình thiế t bi ̣đinh ̣ tuyế n không dây Bảng 2.6 Bảng mô tả lỗi cấ u hiǹ h và cách cấ u hin ̀ h khuyế n nghi ̣ Bảng 2.7 Mẫu cấ u hiǹ h an ninh cho thiế t bi ̣tầ ng phân phố i và tầ ng lõi Bảng 3.1 Các bước copy file cấ u hình từ thiế t bi ̣lên máy chủ Bảng 4.1 Các thuâ ̣t ngữ mô hình đo kiể m ATTT Bảng 4.2 Bảng đo kiể m các lỗi cấ u hin ̀ h quản lý Bảng 4.3 Bảng đo kiể m các lỗi cấ u hin ̀ h tầ ng truy nhâ ̣p Bảng 4.4 Đo kiể m các lỗi cấ u hình tầ ng phân phố i và tầ ng lõi DANH MỤC HÌ NH VẼ VÀ ĐỒ THI ̣ CHƯƠNG TỞNG QUAN VỀ AN NINH MẠNG 1.1 Tở ng quan về an ninh ma ̣ng Đảm bảo an ninh mạng yêu cầ u cấ p thiế t viê ̣c quản tri ̣ mô ̣t ̣ thố ng ma ̣ng máy tiń h An ninh ma ̣ng liên quan đến giao thức, công nghệ, thiết bị, công cụ kỹ thuật để đảm bảo an toàn liệu giảm thiểu mối đe dọa Ngay từ những năm 1960, vấ n đề an ninh mạng đã đươ ̣c đề câ ̣p đế n chưa phát triển thành tập giải pháp toàn diê ̣n Cho đế n năm 2000, các giải pháp toàn diê ̣n về an ninh ma ̣ng mới thực sự đươ ̣c công bố Các nỗ lực đảm bảo an ninh mạng xuấ t phát từ viê ̣c cầ n trước tin tặc (hacker) có ý đồ xấu bước Các chuyên gia an ninh mạng phải liên tu ̣c tìm các dấ u hiê ̣u tấ n công, các lỗ hổ ng, để ngăn chặn công tiềm giảm thiểu ảnh hưởng công Đảm bảo cho ̣ thố ng hoa ̣t đô ̣ng ổ n đinh, ̣ sẵn sàng đáp ứng với các nghiê ̣p vu ̣ kinh doanh cũng mơ ̣t những động lực dẫn đế n viê ̣c bảo đảm an ninh mạng Trên thế giới, các tổ chức an ninh ma ̣ng đươ ̣c thành lâ ̣p Các tổ chức này cung cấ p mô ̣t môi trường hoa ̣t đô ̣ng cô ̣ng đồ ng cho các chuyên gia nhằ m trao đổ i thông tin, xây dựng những giải ý tưởng, giải pháp về an ninh Nguồ n tài nguyên đươ ̣c cung cấ p bởi các tổ chức này (các tài liê ̣u, khuyế n nghi,̣ giải pháp…) là rấ t hữu ić h cho công viê ̣c hàng ngày của những người làm về an ninh ma ̣ng Chính sách an ninh mạng tạo công ty tổ chức phủ để cung cấp khuôn khổ mà các nhân viên cầ n phải thực hiê ̣n công việc ngày họ Các chuyên gia an ninh mạng cấp quản lý phải chịu trách nhiệm cho việc tạo trì sách an ninh mạng Tất biện pháp an ninh mạng liên quan đến hướng dẫn sách an ninh mạng Các kỹ thuâ ̣t công mạng thường phân loại để tìm hiểu và xử lý cách thích hợp Virus, sâu, Trojan loại hình cụ thể công mạng Các công mạng phân loại thành các hin ̀ h thức: tấ n công thám, tấ n công truy cập, công từ chối dịch vụ (DoS) Giảm nhẹ công mạng công việc chuyên gia an ninh mạng 1.1.1 Sự phát triể n của linh ̃ vực an ninh ma ̣ng Năm 2011, sâu code red đã lây lan ̣ thố ng ma ̣ng toàn thế giới Ước tính có khoảng 350 nghiǹ máy tiń h bi ̣lây nhiễm Sâu code red làm cho các máy chủ không thể truy câ ̣p đươ ̣c và đó làm ảnh hưởng đế n hàng triê ̣u người dùng Đây là mô ̣t ví du ̣ điể n hin ̀ h minh chứng cho thấ y nế u quản tri ̣viên không luôn sát với ̣ thố ng ̀ h quản lý, đă ̣c biê ̣t là tìm hiể u nhũng lỗ hổ ng an ninh và câ ̣p nhâ ̣t những bản vá lỗi, thì hâ ̣u quả xảy có thể là khôn lường Những hâ ̣u quả thường xảy các vu ̣ tấ n công ma ̣ng có thể gây ra: - Mấ t mát dữ liê ̣u - Lô ̣ lo ̣t thông tin - Thông tin bi ̣sửa đổ i - Không truy câ ̣p đươ ̣c dich ̣ vu ̣ Năm 1985 các loa ̣i sâu, virus phát triể n ma ̣nh, những người làm về ma ̣ng bắ t đầ u quan tâm đế n viê ̣c bảo vê ̣ ̣ thố ng ma ̣ng Lúc đó những tin tă ̣c có kiế n thức và kỹ rấ t tố t những công cu ̣ mà tin tă ̣c ta ̣o còn thô sơ Nhưng đế n nay, những công cu ̣ sử du ̣ng để tấ n công ma ̣ng thường rấ t phức ta ̣p Kẻ tấ n công không cầ n nhiề u kiế n thức và kỹ cũng có thể gây những cuô ̣c tấ n công gây nhiề u thiê ̣t ̣i sử du ̣ng những công cu ̣ Có thể liê ̣t kê mô ̣t số công cu ̣ bảo vê ̣ ̣ thố ng ma ̣ng đươ ̣c xây dựng và phát triể n: - Năm 1990: DEC Packet Filter Firewall, AT&T Bell Labs Stateful Packet Firewall, DEC SEAL Application Firewall - Năm 1995: CheckPoint Firewall, NetRanger IDS, RealSecure IDS - Năm 2000: Snort IDS - Năm 2005: Cisco Zonebase Policy Firewall - Năm 2010: Cisco Security Intelligent Operation Những năm gầ n với sự phát triể n của công nghê ̣ điê ̣n toán đám mây, sự bùng nổ của các thiế t bi di ̣ đô ̣ng, thiế t bi IoT,…co ̣ ́ thêm nhiề u giải pháp an ninh ma ̣ng toàn diê ̣n đươ ̣c phát triể n để đáp ứng các yêu cầ u bảo vê ̣ đa da ̣ng Các giải pháp không chỉ ngăn chă ̣n những mố i nguy từ bên ngoài, mà cả những nguy xuấ t phát từ bên ̣ thố ng ma ̣ng nô ̣i bô ̣ Hình 1.1 Mố i nguy đế n từ bên ngoài và bên Nguồ n: CCNA Security Những nguy đế n từ bên có thể mô ̣t nhân viên có kỹ bấ t mañ và có ý đồ phá hoa ̣i Các nguy xuấ t phát từ bên có thể chia làm da ̣ng: giả ma ̣o (spoofing) hoă ̣c tấ n công DoS Giả ma ̣o là hình thức tấ n công đó mô ̣t máy tính thay đổ i danh tiń h để trở thành mô ̣t máy tin ́ h khác Ví du ̣: giả ma ̣o điạ chỉ MAC, giả ma ̣o điạ chỉ IP Tấ n công từ chố i dich ̣ vu ̣ làm cho mô ̣t máy tính (thường là máy chủ cung cấ p dich ̣ vu ̣) không thể phu ̣c vu ̣ đươ ̣c các yêu cầ u từ phiá máy khách Những giải pháp về tường lửa (Firewall), phát hiê ̣n và phòng chố ng xâm nhâ ̣p (IDS/IPS) có đă ̣c điể m là ngăn chă ̣n những luồ ng thông tin đô ̣c ̣i (malicious traffic) Bên ca ̣nh đó, viê ̣c đảm bảo an ninh ma ̣ng là phải bảo vê ̣ đươ ̣c dữ liê ̣u Mâ ̣t mã đươ ̣c sử du ̣ng rấ t phổ biế n viê ̣c bảo đảm an ninh ma ̣ng hiê ̣n Các da ̣ng truyề n tin khác đề u có những giao thức và kỹ thuâ ̣t để che dấ u các thông tin của da ̣ng truyề n tin đó Ví du ̣ mã hóa các cuô ̣c go ̣i điê ̣n thoa ̣i Internet, mã hóa các file đươ ̣c truyề n ma ̣ng v.v Mâ ̣t mã đảm bảo tính bí mâ ̣t cho dữ liê ̣u Tính bí mâ ̣t là mô ̣t ba tính chấ t của đảm bảo an toàn thông tin đó là: tiń h bí mâ ̣t (Confidentiality), tin ́ h toàn ve ̣n (Intergrity) và tính sẵn sàng( Availability) Để đảm bảo tính bí mâ ̣t của dữ liê ̣u thì phương pháp thường đươ ̣c sử du ̣ng là mã hóa Để đảm bảo tin ̣ ́ h toàn ve ̣n, tức là đảm bảo dữ liê ̣u không bi thay đổ i, phương pháp thường đươ ̣c sử du ̣ng là băm (hashing mechanism) Để đảm bảo tin ́ h sẵn sàng, tức là có thể truy câ ̣p đươ ̣c thông tin cầ n, phương pháp là gia cố ̣ thố ng và lưu dự phòng Mô ̣t vài giải pháp bảo vê ̣ cho dữ liê ̣u có thể kể đế n: - Năm 1997: giải pháp site-to-site IPSec VPN - Năm 2001: giải pháp remote access IPSec VPN - Năm 2005: giải pháp SSL VPN - Năm 2009: GET VPN 1.1.2 Mô ̣t số tổ chức an ninh ma ̣ng Đặc thù công việc chuyên gia an ninh mạng phải thường xuyên trao đổi, cập nhật thông tin với đồng nghiệp ngồi nước để nắm bắt tình hình an ninh mạng nươc giới Có thể liệt kê số tổ chức tiếng là: - Viện SANS (SysAdmin, Audit, Network, Security) Viện SANS thành lập vào năm 1989, tập trung vào việc đào tạo cấp chứng an tồn thơng tin SANS xây dựng tài liệu nghiên cứu an tồn thơng tin, sau cơng bố rộng rãi trang web viện Các tài liệu thường xuyên cập nhật đóng góp ý kiến cộng đồng người làm an ninh mạng Bên cạnh SANS xây dựng khóa học bảo mật từ cấp độ đến nâng cao để trang bị kỹ chuyên nghiệp cho người làm bảo mật, ví ví dụ kỹ giám sát an ninh, phát xâm nhập, điều tra thông tin, kỹ thuật hacker, sử dụng tường lửa bảo vệ hệ thống mạng, lập trình ứng dụng an tồn… - Trung tâm Phản Ứng Nhanh Sự Cố Máy Tính (Computer Emergency Response Team – CERT) Tháng 12/1988, sau xảy cố sâu MORRIS phát tán lây lan, văn phòng DARPA thuộc quốc phòng Mỹ định thành lập Trung tâm Phản Ứng Nhanh Sự Cố Máy Tính, viết tắt CERT CERT giải cố an ninh lớn phân tích lỗ hổng phát Từ việc phát này, CERT phát triển giải pháp kỹ thuật công nghệ, giải pháp quản lý để chống lại làm giảm thiệt hại vụ công tương lai Bằng kinh nghiệm có được, CERT sớm phát công hỗ trợ quan an ninh truy bắt kẻ công Hiện CERT tập trung vào mảng là: bảo hiểm phần mềm, bảo mật hệ thống, an tồn thơng tin tổ chức, phối hợp tác chiến, giáo dục đào tạo - (ISC)2: International Information Systems Security Certification Consortium Đây tổ chức tiếng với chứng CISSP danh giá, coi hàng đầu số chứng quốc tế an ninh mạng Tuy nhiên nhiệm vụ (ISC)2 góp phần làm cho khơng gian mạng toàn cầu trở nên an toàn việc nâng cao nhận 59 Đối tượng Cấ u hin ̀ h an ninh trên thiế t bi ̣ma ̣ng ở tầ ng truy nhâ ̣p (switch lớp 2, thiế t bi ̣đinh ̣ tuyế n không dây) Thuộc tính Các cấ u hình quản lý đề câ ̣p mu ̣c 3.6.2 Bảng số Thông tin đặc tả số đo (cho số đo [từ đ n n]) Số đo Đố i với switch lớp acc-shutdown acc-dhcpsnooping acc-DAI acc-portsecurity acc-IPSouceGuard acc-IPv6 acc-BPDUGuard Đố i với thiế t bi ̣ nh ̣ tuyế n không dây wl-SSID wl-SimplePass wl-MAC wl-Default Phương pháp đo So sánh cấ u hin ̀ h mẫu (khuyế n nghi)̣ với cấ u hin ̀ h hiê ̣n ta ̣i xem có khớp hay không Loại phương pháp đo Khách quan: định lượng dựa quy tắc số học Thang giá trị Có/Không Có: tức là có thực hiê ̣n cấ u hin ̀ h tham số quản lý thiế t bi ̣ Không: là không thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả báo Chỉ báo Có/Không 60 Mơ hình phân tích Thơng tin đặc tả tiêu chí quy t đ nh Tiêu chí định Theo thang giá tri ̣là “Có”/”Không” K t đo Giải thích báo Mơ tả ý nghiã từng tham số cấ u hình thiế t bi ̣tầ ng truy nhâ ̣p Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm Nhân viên phòng ATTT đo Người xem xét kết Trưởng phòng ATTT; Người phu ̣ trách về CNTT đo doanh nghiê ̣p Người sở hữu thông tin Phòng ATTT Bộ phận thu thập thông Phòng vâ ̣n hành tin Bộ phận trao đổi thông Phòng vâ ̣n hành; Phòng ATTT tin Tần suất thực Tần suất thu thập Tùy theo chin ́ h sách an ninh của tổ chức liệu Tần suất phân tích Tùy theo chin ́ h sách an ninh của tổ chức liệu Tần suất hồ sơ đo Tần suất sửa đổi đo Tần suất thực đo Bảng 4.3 Bảng đo kiể m các lỗi cấ u hình tầ ng truy nhập 4.5 Đánh giá lỗi cấu hình thi t b tầng phân phối tầng core Đối với cấu hình thiết bị tầng phân phối/lõi, thực kiểm tra vấn đề lỗi sau: TÊN CÁC THÀNH PHẦN GIẢI THÍCH 61 Thơng tin chung đo Tên đo Đo các tham số về cấ u hin ̣ ̉ tầ ng ̀ h an ninh thiế t bi phân phớ i/tầ ng lõi Số hiệu Distribution-Core-Device-Check Mục đích Kiể m tra các cấ u hin ̀ h an ninh các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chính sách an ninh hay không Mục tiêu biện pháp Kiể m tra các cấ u hình an ninh các thiế t bi ̣tầ ng truy quản lý nhâ ̣p xem có tuân thủ theo chin ́ h sách an ninh hay không, để từ đó có biê ̣n pháp khắ c phu ̣c Biện pháp quản lý (1) Có sự tham gia của Phòng ATTT và Phòng vâ ̣n hành Phòng vâ ̣n hành: thu thâ ̣p cấ u hin ̀ h Phòng ATTT: đánh giá cấ u hin ̀ h an ninh Biện pháp quản lý (2) Đối tượng đo thu c tính Đối tượng Cấ u hình an ninh trên thiế t bi ̣ma ̣ng ở tầ ng phân phố i/tầ ng lõi (thiế t bi ̣đinh ̣ tuyế n, thiế t bi ̣chuyể n ma ̣ch lớp 3) Thuộc tính Các cấ u hình quản lý đề câ ̣p mu ̣c 3.6.3 Bảng số Thông tin đặc tả số đo (cho số đo [từ đ n n]) Số đo Core-Passive-Int Core-Routing-Info Phương pháp đo So sánh cấ u hin ̀ h mẫu (khuyế n nghi)̣ với cấ u hin ̀ h hiê ̣n ta ̣i xem có khớp hay không Loại phương pháp đo Khách quan: định lượng dựa quy tắc số học Thang giá trị Có/Không - Có: tức là có thực hiê ̣n cấ u hin ̀ h tham số quản lý thiế t bi ̣ - Không: là không thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ Loại thang giá trị Đơn vị đo Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất 62 Hàm đo lường Thông tin đặc tả báo Chỉ báo Có/Không Mơ hình phân tích Thơng tin đặc tả tiêu chí quy t đ nh Tiêu chí định Theo thang giá tri ̣là “Có”/”Không” K t đo Giải thích báo Mơ tả ý nghiã từng tham số cấ u hình thiế t bi ̣tầ ng phân phố i và tầ ng lỗi Định dạng hồ sơ đo Báo cáo dưới da ̣ng văn bản Các bên liên quan Người trách nhiệm Nhân viên phòng ATTT đo Người xem xét kết Trưởng phòng ATTT; Người phu ̣ trách về CNTT đo doanh nghiê ̣p Người sở hữu thông tin Phòng ATTT Bộ phận thu thập thông Phòng vâ ̣n hành tin Bộ phận trao đổi thông Phòng vâ ̣n hành; Phòng ATTT tin Tần suất thực Tần suất thu thập Tùy theo chin ́ h sách an ninh của tổ chức liệu Tần suất phân tích Tùy theo chính sách an ninh của tổ chức liệu Tần suất hồ sơ đo Tần suất sửa đổi đo Tần suất thực đo Bảng 4.4 Đo kiểm các lỗi cấ u hình tầ ng phân phố i và tầ ng loĩ 63 4.6 Chương trin ̀ h đánh giá lỗi cấ u hin ̀ h 4.6.1 Những tính chính của chương trin ̀ h Để hỗ trơ ̣ cho viê ̣c đánh giá, luâ ̣n văn đề xuấ t xây dựng mô ̣t chương trình ứng du ̣ng phân tić h cấ u hiǹ h tự đô ̣ng Đầ u vào của chương trình là mô ̣t thư mu ̣c chứa các file cấ u hình của các thiế t bi ̣ma ̣ng mô ̣t ̣ thố ng ma ̣ng Đầ u là kế t quả báo cáo tổ ng hơ ̣p về tin ̀ h tra ̣ng cấ u hin ̀ h an ninh của ̣ thố ng ma ̣ng đó Ngoài chương triǹ h còn xuấ t báo cáo chi tiế t những lỗi cấ u hin ̀ h an ninh từng thiế t bi ̣ma ̣ng Hình 4.4 Đầ u vào của chương trình là thư mục chứa các cấ u hình cầ n đánh giá 64 Hình 4.5 Đầ u của chương trin ̀ h là đánh giá cấ u hình an ninh từng Router Hình 4.6 Báo cáo thố ng kê thiế t bi ̣ nào có lỗ i gì 65 Hình 4.7 Điều chỉnh các quy đinh ̣ về cấ u hình vào file XML Công cu ̣ phát triể n: Java Swing: cơng cụ tiện ích, phần ngơn ngữ lập trình Java tổng thể Java Swing phần Java Foundation Classes (JFC) sử dụng để tạo ứng dụng Window-Based Lý lựa cho ̣n công cu ̣ này là Java Swing cung cấ p các thành phầ n phát triể n go ̣n nhe ̣, đô ̣c lâ ̣p Do vâ ̣y chương trình biên dich ̣ nhỏ go ̣n và cha ̣y nhiề u nề n tảng (hê ̣ điề u hành) khác - Ưu điể m của chương trình: Cho phép thêm các quy đinh ̣ về an ninh cầ n Go ̣n nhe ̣, xử lý nhanh, dễ sử du ̣ng Cha ̣y đa nề n tảng Cho phép hiê ̣u chỉnh các quy đinh ̣ về cấ u hình - Nhược điể m: Các báo cáo đưa cầ n cải thiê ̣n về giao diê ̣n để dễ quan sát Chưa có giao diê ̣n quản lý các luâ ̣t (thêm, sửa, xóa) để điề u chỉnh cho phù hơ ̣p với từng doanh nghiê ̣p 66 Mới chỉ thực hiê ̣n đánh giá đươ ̣c cấ u hình thiế t bi ̣hãng Cisco 4.6.2 So sánh với mô ̣t số chương trin ̀ h đánh giá khác Cisco Configuration Professional Hiê ̣n hañ g Cisco đưa chương trin ̀ h Cisco Configuration Professional Chương trình này mu ̣c tiêu chính là hỗ trơ ̣ quản tri ̣viên cấ u hình ̣ thố ng ma ̣ng bằ ng giao diê ̣n web Trong mu ̣c Security Audit cho phép quản tri viên so sánh cấ u hin ̣ ̀ h hoa ̣t đô ̣ng mô ̣t thiế t bi ̣ma ̣ng với cấ u hình mẫu, từ đó đưa đánh giá Hình 4.8 Tính Security Audit ứng dụng CCP của Cisco 67 Hình 4.9 Báo cáo các lỗi cấ u hình và cho phép tự động sửa lỗi - Ưu điể m: Giao diê ̣n thiế t kế tố t, dễ sử du ̣ng; Tính tự đô ̣ng tìm kiế m lỗi cấ u hình và sửa lỗi cấ u hình hoa ̣t đô ̣ng tố t - Nhược điể m: Chỉ cho phép đánh giá cấ u hin ̀ h và sửa lỗi cấ u hin ̀ h từng thiế t bi.̣ Không cho phép sửa đổ i quy đinh ̣ cấ u hình Router Audit Tool Đây là mô ̣t chương trình miễn phí, cho phép kiể m tra cấ u hình các thiế t bi ̣ ma ̣ng Chương triǹ h này có đầ u vào là các file cấ u hin ̀ h, đầ u là các báo cáo tổ ng hơ ̣p và các báo cáo chi tiế t về các lỗi cấ u hình 68 Hình 4.10 Giao diê ̣n báo cáo tổ ng hợp Hình 4.11 Báo cáo chi tiế t lỗi cấ u hình từng Router - Ưu điể m: 69 Go ̣n nhe ̣, cha ̣y chính xác Các báo cáo đánh giá lỗi cấ u hin ̀ h rõ ràng và khoa ho ̣c - Nhược điể m: Chỉ đánh giá đươ ̣c cấ u hình thiế t bi ̣Cisco Người dùng không thể tự thêm các quy đinh ̣ về cấ u hình Sau so sánh cấu hình hoạt động cấu hình mẫu, biết cấu hình thiết bị có tn thủ với sách an ninh doanh nghiệp/ tổ chức đặt hay không Kết báo cáo có trạng thái “Đạt” “Không đạt” Mẫu báo cáo đường an ninh sở tùy thuô ̣c vào từng tổ chức Trong báo cáo này, cầ n có kế t quả của bài đo kiể m tra cấ u hình an ninh Cô ̣t “Lý do” để lưu la ̣i những lý ta ̣i không đa ̣t yêu cầ u về viê ̣c cấ u hình Đây là kế t quả của buổ i làm viê ̣c giữa Phòng vâ ̣n hành và Phòng ATTT Phòng vâ ̣n hành có trách nhiê ̣m giải trin ̀ h ta ̣i những thuô ̣c tính an ninh đó không đươ ̣c thực hiê ̣n; nào thì sẽ thực hiê ̣n Từ báo cáo trên, người quản trị mạng xem xét thực cấu hình lại lỗi để đảm bảo cấu hình an ninh chạy tuân thủ theo sách an toàn bảo mâ ̣t thơng tin mà công ty đề 70 CHƯƠNG KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 5.1 Tầ m quan tro ̣ng của đề tài Theo báo cáo Hiê ̣p hô ̣i an toàn thông tin Viê ̣t Nam VNISA năm 2015, vấ n đề quản lý lỗi cấ u hình ̣ thố ng ma ̣ng là mô ̣t vấ n đề khó khăn quá trình quản lý ma ̣ng máy tính của doanh nghiê ̣p Trên thế giới, vấ n đề này đươ ̣c đánh giá là “bắ t buô ̣c phải làm” vì nế u không quản lý đươ ̣c cấ u hin ̀ h thì ̣ thố ng ma ̣ng đó đươ ̣c coi là bỏ ngỏ đố i với kẻ tấ n công ma ̣ng10 Những ̣ thố ng không đươ ̣c quản lý cấ u hình còn đươ ̣c go ̣i là ̣ thố ng quản lý tồ i (mismanagement network) Và đã phân tić h thực tra ̣ng an ninh ma ̣ng Viê ̣t Nam năm 2015, các vu ̣ khai thác lỗ hổ ng liên quan đế n lỗi cấ u hin ̀ h ma ̣ng đã gây những vu ̣ viê ̣c mấ t an toàn thông tin nghiêm tro ̣ng Từ nhu cầ u thực tiễn viê ̣c quản lý cấ u hin ̀ h đã nêu ở trên, luâ ̣n văn “Xây dựng phương pháp thu thập và phân tích số liê ̣u lỗi cấ u hình của mạng máy tính” tâ ̣p trung vào viê ̣c phân tích và đánh giá xem cấ u hình an ninh các thiế t bi ̣ha ̣ tầ ng ma ̣ng của mô ̣t tổ chức, doanh nghiê ̣p có tuân thủ theo chính sách an ninh của tổ chức đó hay không Để giải quyế t vấ n đề trên, luâ ̣n văn khảo sát mô ̣t mô hình ma ̣ng máy tính điể n hình, đươ ̣c sử du ̣ng phổ biế n ta ̣i các doanh nghiê ̣p Tiế p đó luâ ̣n văn liê ̣t kê những lỗi cấ u hin ̀ h an ninh mà người quản tri ̣ ma ̣ng thường mắ c phải cấ u hình các thiế t bi ̣ ma ̣ng; những lỗi cấ u hình này sẽ ta ̣o những điể m yế u gì; cách thức kẻ tấ n công khai thác những điể m yế u này thế nào; hâ ̣u quả xảy là gi.̀ Sau đã chỉ những điể m yế u nêu trên, luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p số liê ̣u cấ u hiǹ h từ các thiế t bi ̣thố ng ma ̣ng, đảm bảo tin ̣ ́ h đơn giản, thuâ ̣n tiê ̣n, chính xác Phương pháp thu thâ ̣p cấ u hin ̀ h đươ ̣c đưa dựa giải pháp về quy trin ̀ h, người, kỹ thuâ ̣t Sau đã thu thâ ̣p đươ ̣c số liê ̣u cấ u hin ̀ h luâ ̣n văn đề xuấ t phương pháp đánh giá cấ u hình để xem cấ u hình đó có tuân thủ theo các khuyế n nghi an ̣ ninh hay không Luâ ̣n văn đề xuấ t cách tiế p câ ̣n đánh giá theo Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 ISO/IEC 27004:2014 Tiêu chuẩn cung cấp hướng dẫn việc phát triển sử dụng số đo đo để đánh giá hiệu lực hệ thống quản lý an tồn thơng tin 10 https://forum.whitehat.vn/forum/thao-luan/tin-tuc/57141-hon-300-nghin-he-thong-mang-tai-viet-nam-dang- trong-tinh-trang bo-ngo - 71 Phương pháp chung là so sánh cấ u hin ̀ h hoa ̣t đô ̣ng với mẫu cấ u hin ̀ h an ninh khuyế n nghi.̣ Nế u có sự khác biê ̣t thì đánh dấ u la ̣i và cầ n có giải trin ̀ h 5.2 Những vấ n đề đa ̣t đươ ̣c: - Phân tić h đươ ̣c tầ m quan tro ̣ng của viê ̣c quản lý cấ u hình công tác đảm bảo an toàn cho ̣ thố ng ma ̣ng máy tính của doanh nghiê ̣p - Làm rõ đươ ̣c những lỗi cấ u hiǹ h an ninh thiế t bi ̣ma ̣ng; những nguy có thể xảy để tồ n ta ̣i những lỗi này; cách cấ u hin ̀ h khắ c phu ̣c lỗi - Đề xuấ t đươ ̣c phương pháp thu thâ ̣p cấ u hình tâ ̣p trung Phương pháp này đã đươ ̣c kiể m đinh ̣ thực tế làm viê ̣c của tác giả luâ ̣n văn Khi tuân thủ đúng phương pháp này thì viê ̣c thu thâ ̣p cấ u hình sẽ đa ̣t đươ ̣c các yêu cầ u ở Mu ̣c 3.1 - Đề xuấ t đươ ̣c phương pháp đánh giá lỗi cấ u hình Phương pháp đánh giá là so sánh cấ u hin ̀ h hoa ̣t đô ̣ng với cấ u hình khuyế n nghi.̣ Đây cũng là phương pháp mà các hañ g thiế t bi,̣ các hañ g phầ n mề m ứng du ̣ng thường sử du ̣ng muố n đánh giá lỗi cấ u hình thiế t bi ̣ma ̣ng - Xây dựng chương trình đánh giá cấ u lỗi cấ u hình Đầ u vào của chương trình là mô ̣t thư mu ̣c chứa các file cấ u hiǹ h của các thiế t bi ̣ma ̣ng mô ̣t ̣ thố ng ma ̣ng Đầ u là kế t quả báo cáo tổ ng hơ ̣p và chi tiế t về tin ̀ h tra ̣ng cấ u hin ̀ h an ninh của ̣ thố ng ma ̣ng đó Ưu điể m chính của chương trình so với các phầ n mề m khác là cho phép người đánh giá hiê ̣u chin̉ h các quy đinh ̣ về cấ u hin ̀ h an ninh, cho phù hơ ̣p với từng ̣ thố ng ma ̣ng 5.3 Những vấ n đề còn tồ n ta ̣i - Luâ ̣n văn mới chỉ đề câ ̣p đế n mô hin ̀ h ma ̣ng ta ̣i mô ̣t điạ điể m, chưa mở rô ̣ng viê ̣c khảo sát ̣ thố ng ma ̣ng có nhiề u chi nhánh - Thiế t bi đề ̣ câ ̣p đế n luâ ̣n văn là của hañ g Cisco Thực tế ở Viê ̣t Nam hiê ̣n các doanh nghiê ̣p sử du ̣ng thiế t bi cu ̣ ̉ a nhiề u hãng, ví du ̣ Juniper v.v Vì vâ ̣y cầ n xem xét đế n đă ̣c điể m cấ u hiǹ h an ninh các thiế t bi cu ̣ ̉ a các hañ g khác Luâ ̣n văn cũng mới đề câ ̣p đế n các thiế t bi ̣ bản (Switch, Router, wireless router) Trong ̣ thố ng ma ̣ng còn những thiế t bi Firewall, Server,…Vì vâ ̣y cầ n tiế p tu ̣c nghiên cứu những thiế t bi ̣ ̣ này để đưa cấ u hiǹ h an ninh phù hơ ̣p 72 - Những lỗi cấ u hiǹ h đươ ̣c chỉ luâ ̣n văn là những lỗi cấ u hin ̀ h bản, thường gă ̣p Còn nhiề u các tham số cấ u hin ̀ h an ninh cầ n đươ ̣c bổ sung thêm để tăng cường tin ́ h an ninh cho thiế t bi.̣ 5.3 Hướng phát triể n - Tiế p tu ̣c tham khảo thêm những lỗi cấ u hình an ninh đươ ̣c đề câ ̣p các tài liê ̣u của hañ g thiế t bi,̣ các khuyế n nghi ̣ từ các tổ chức an ninh ma ̣ng, các tiêu chuẩ n Từ đó câ ̣p nhâ ̣t thêm vào sơ dữ liê ̣u lỗi cấ u hin ̀ h luâ ̣n văn - Mở rô ̣ng viê ̣c đánh giá lỗi cấ u hình các thiế t bi ̣ ở biên của ma ̣ng (Firewall, VPN gateway…) Cầ n nghiên cứu những yêu cầ u về cấ u hin ̣ ̀ y, ̀ h an ninh cho những thiế t bi na từ đó bổ sung thêm mô ̣t tầ ng kế t nố i ma ̣ng biên (Border network) cho mô hình ma ̣ng đã đề câ ̣p ở Chương Đây là cách tiế p câ ̣n mô ̣t mô hin ̀ h ma ̣ng doanh nghiê ̣p hoàn chỉnh để đánh giá Mô hình ma ̣ng hoàn chỉnh cầ n có thêm các kế t nố i với các chi nhánh, kế t nố i ngoài Internet Hướng tới xây dựng mô ̣t quy trình đánh giá lỗi cấ u hình an ninh cho ̣ thố ng ma ̣ng hoàn chin ̉ h; từ đó áp du ̣ng vào các ̣ thố ng ma ̣ng thực tế - Nghiên cứu thêm về cấ u hiǹ h thiế t bi ̣ hañ g Juniper, đươ ̣c sử du ̣ng khá phổ biế n các doanh nghiê ̣p vừa và lớn ở Viê ̣t Nam Từ đó tić h hơ ̣p vào chương trin ̀ h ứng du ̣ng để đánh giá các lỗi cấ u hình an ninh các dòng thiế t bi ̣hañ g này Để hoàn thiê ̣n luâ ̣n văn này, xin chân thành cám ơn sự chỉ bảo hướng dẫn nhiê ̣t tình của TS Lê Đức Phong – giảng viên hướng dẫn và sự quan tâm chỉ bảo giúp đỡ của các thầ y cô Trường ĐHCN-ĐHQGHN 73 TÀ I LIỆU THAM KHẢO Tiế ng Viêṭ PGS.TS Trinh ̣ Nhâ ̣t Tiế n (2014), Giáo trình mâ ̣t mã và an toàn dữ liê ̣u, Đa ̣i ho ̣c công nghê ̣, ĐHQGHN TS Nguyễn Đa ̣i Tho ̣ (2013), Bài giảng an toàn ma ̣ng, Đa ̣i ho ̣c công nghê ̣, ĐHGHN Bô ̣ khoa ho ̣c công nghê ̣ (2014), Tiêu chuẩ n quố c gia TCVN 10542:2014, công nghệ thông tin - kỹ thuật an tồn - quản lý an tồn thơng tin - đo lường https://forum.whitehat.vn/forum/thao-luan/tin-tuc/57141-hon-300-nghin-hethong-mang-tai-viet-nam-dang-trong-tinh-trang bo-ngo http://antoanthongtin.vn/Detail.aspx?NewsID=29d680af-9286-4f19-9c404a32db7de523&CatID=e1999c9a-5eeb-418c-9ea8-ae4c5e850d0c http://www.vncert.gov.vn/baiviet.php?id=1 http://vnreview.vn/tin-tuc-an-ninh-mang/-/view_content/content/1861042/thitruong-cho-den-dang-rao-ban-hon-841-may-chu-viet-nam-bi-hack Tiế ng Anh Jing Zhang, Zakir Durumeric, Michael Bailey, Mingyan Liu, Manish Karir (2014), On the mismanagement and maliciousness of networks Rostyslav Barabanov (2011), Information Security Metrics - State of the Art 10 Cisco CCNA Security 2.0 (2016), Cisco certified Network Association Security 11 “Hackers focus on misconfigured networks,” http://forums.cnet.com/7726-6132 102-3366976.html 12 https://security.web.cern.ch/security/rules/en/baselines.shtml 13 https://en.wikipedia.org/wiki/Universal_Plug_and_Play#Problems_with_UPnP 14 https://tools.ietf.org/html/rfc2577 15 CompTIA Security+ 16 https://en.wikipedia.org/wiki/File_Transfer_Protocol 17 http://k12linux.mesd.k12.or.us/cascadelink/text7.htm 18 http://www.cisco.com/c/dam/en/us/td/docs/solutions/CRD/Sep2015/WPEnterprise-Security-Baseline-Sep15.pdf ... http://vnreview.vn/tin-tuc-an-ninh-mang/-/view_content/content/1861042/thi-truong-cho-den-dang-rao-ban- hon-841-may-chu-viet-nam-bi-hack https://forum.whitehat.vn/forum/thao -luan/ tin-tuc/57141-hon-300-nghin-he-thong-mang-tai-viet-nam-dang- trong-tinh-trang bo-ngo - 21