Chương 3: Các giải pháp an toàn trong Internet Banking
3.2.2. Lựa chọn hệ thống tường lửa cho internet banking như thế nào?
Trên thị trường có rất nhiều thiết bị cũng như phần mềm tường lửa khác nhau khiến cho việc lựa chọn một sản phầm phù hợp không phải điều dễ dàng, chúng ta hãy cùng tìm hiểu các tiêu chí lựa chọn tường lửa cho hệ thống internet banking.
a. Hiệu năng của tường lửa
Tốc độ là một trong những tiêu chí lựa chọn hàng đầu khi so sánh các tường lửa với nhau. Tốc độ của tường lửa thể hiện qua băng thông xử lý của nó (throughput) trong một đơn vị thời gian được các nhà sản xuất tính toán trong điều kiện lí tưởng dưới đơn vị Mbps (mega bit per second) hay Gbps(giga bit per second). Do tốc độ trong thực tế thường nhỏ hơn 50% so với tốc độ lí tưởng do nhà sản xuất công bố nên khi lựa chọn cần cân nhắc tới lưu lượng mạng của hệ thống và khả năng mở rộng nâng cấp hệ thống trong tương lai. Số kết nối đồng thời cũng là một thông số cần quan tâm, một tường lửa chỉ hoạt động hiệu quả khi nó đáp ứng được tất cả các kết nối với độ trễ nhỏ, nếu số kết nối đồng thời mà tường lửa đáp ứng được thấp sẽ làm tăng độ trễ của hệ thống đồng thời làm tăng nguy cơ bị tấn công từ chối dịch vụ DDoS. b. Kết nối
Số lượng kết nối cần đảm bảo cho các nhu cầu sau :
• Cổng kết nối đến các vùng mạng.
• Cổng quản lý theo dõi hoạt động của hệ thống.
• Cổng mạng dự phòng cho các cổng trên.
• Một cổng để đồng bộ trạng thái giữa các thiết bị. c. Tính năng
Hiện nay các tường lửa không chỉ đơn thuần giữ vài trò tường lửa như khi mới xuất hiện mà thường được các nhà sản xuất tích hợp thêm nhiều chức năng khác nhằm đem lại sự thuận tiện cho người sử dụng khi triển khai các thiết bị. Một số tính năng thường được tích hợp trong các thiết bị tường lửa như:
• Mạng riêng ảo (VPN): thường sử dụng công nghệ SSL hay IPSec, cung cấp kết nối an toàn được mã hóa dưới dạng site to site hay hay dưới dạng remote access.
• Quản lý băng thông (Quality of Services): giúp cấu hình băng thông cho phù hợp với nhu cầu của từng thiết bị hay đối tượng người dùng cụ thể.
• Tường lửa riêng cho các ứng dụng web: có cơ chế kiểm soát sâu hơn với các ứng dụng web cụ thể giúp các ứng dụng web hoạt động an toàn và hiệu quả .
• Phòng chống xâm nhập: giúp người quản trị ngăn ngừa các cuộc tấn công vào hệ thống một cách hiệu quả.
• Một số tính năng khác như chống virus, spam, URL fillter… giúp người quản lý có thêm tùy chọn để tăng cường an ninh cho hệ thống.
Việc lựa chọn tường lửa phù hợp với hệ thống của mình không chỉ xem xét các tính năng trên mà còn phải xem xét mốt số đặc điểm quan trọng giúp tường lửa bảo vệ hệ thống của mình hiệu quả trong thực tế:
• Tường lửa có khả năng hiểu vầ phân biệt các giao thức và ứng dụng mạng càng nhiều thì càng tăng mức độ an ninh cho hệ thống. Các tường lửa hiện đại có khả năng phân biệt tới hơn 200 ứng dụng và giao thức khác nhau, các giao thức và ứng dụng được hỗ trợ tăng theo tốc độ phát triển của các ứng dụng trong thực tế. Một số ứng dụng cơ bản được các tường lửa phân biệt như MSN, Yahoo, Skype, Torrent, Google Talk… Việc hỗ trợ nhiều ứng dụng giúp người quản trị có thể định ra các luật một cách chặt chẽ giúp quản lý hoạt động của nhân viên trong hệ thống cũng như các khách hàng .
• Tường lửa kiểm soát trạng thái ngoài việc phần biệt được nhiều ứng dụng và giao thức cần phải có khả năng kiểm soát trạng thái cho các giao thức khác TCP như UDP, IP…
• Kiểm soát các kết nối theo các rule thiết lập sẵn nhằm tăng tính an toàn cho hệ thống. Các luật này phải được kiểm soát một cách chặt chẽ, ví du như rule xác định chỉ cho phép người dùng duyệt web khi truy cập vào trang web internet
banking với giao thức tcp cổng 443 với chuẩn TLS 1.0 thì tất cả các truy cập không dùng đúng cổng, giao thức và chuẩn trên đều bị drop.
d. Hỗ trợ cân bằng tải và sẵn sàng cao
Đối với một mạng nhỏ với các ứng dụng thông thường thì người ta có thể chỉ sử dụng một tường lửa đơn nhất là có thể đáp ứng được nhu cầu của người sử dụng nhưng với một hệ thống Internet Banking lớn của một ngân hàng thì một tường lửa duy nhất là không đủ cho yêu cầu của người quản trị. Với các hệ thống Internet Banking quan trọng cần triển khai nhiều tường lửa chạy song song nhằm tăng tốc độ xử lý và phòng tránh trường hợp một trong nhiều thiết bị ngừng hoạt động. Các tường lửa có khả năng hoạt động đồng thời với nhau sẽ là ưu thế đối với hệ thống lớn và sẵn sàng cho khả năng mở rộng trong tương lai. Để đảm bảo cho nhu cầu về tốc độ với lượng người sử dụng lớn và có thể truy cập đồng thời như hệ thống Internet Banking thì các ngân hàng thường thuê cùng lúc nhiều đường truyền tốc độ cao từ các ISP khác nhau nên tường lửa cần có khả năng cân bằng tải và luôn sẵn sàng kết nối với đường truyền dự phòng khi các đường truyền khác gặp sự cố.
e. Quản trị trực quan dễ dàng
Chức năng quản trị là thành phần đi kèm rất cần thiết cho một tường lửa mạnh, tuy nhiên lại chưa được coi trọng đúng mức trong thực tế. Nhiều người quản trị hệ thống cho rằng chức năng quản trị là không cần thiết bởi tường lửa chỉ cần thiết lập một lần và chạy, không cần thiết phải quản trị và theo dõi thường xuyên. Tuy nhiên nhận định trên là hoàn toàn sai lầm, một tường lửa tốt bao giờ cũng đi kèm với một hệ quản trị mạnh và làm gia tăng sức mạng cho tường lửa nếu người quản trị có kiến thức và kỹ năng tốt. Một số tính năng cơ bản mà các hệ quản trị tường lửa phải có như:
• Quản lý chính sách: cung cấp chế độ quản lý các chính sách đơn giản hiệu quả, các chính sách được soạn thảo và lưu trữ tập trung giúp các chính sách có sự đồng nhất trên toàn hệ thống. Các tính năng bổ sung như anti virus, anti spam, VPN, IPS cũng cần được quản trị trên cùng một hệ thống quản trị nhằm thống nhất về chính sách và dễ dàng cho người quản lý.
• Ghi nhật ký (Log): Cần cung cấp chế độ ghi nhật ký và theo dõi nhật ký trực quan theo thời gian thực cho mọi kết nối vào hệ thống, tường lửa cũng cần có khả năng ngăn chặn các kết nối khả nghi từ giao diện theo dõi nhật ký này. Nhật ký này cần có chế độ lưu trữ và backup phục vụ công việc điều tra khi có sự cố.
• Quan sát theo dõi hệ thống: cung cấp chức năng theo dõi tình trạng hoạt động của tường lửa, các kết nối đang diễn ra trên tường lửa theo thời gian thực, người quản trị dựa vào các thống số này có thể ra lệnh ngăn chặn các kết nối khả nghi mà không cần thay đổi các chính sách bảo mật.
• Đáp ứng nhanh: sẵn sàng triển khai các thành phần quản trị, đáp ứng tốt các thao tac quản trị với tốc độ nhanh.
f. Vận hành, hỗ trợ kỹ thuật và bảo trì
Một tường lửa tốt cần giúp người sử dụng dễ dàng vận hành gỡ lỗi bằng các công cụ như công cụ soạn thảo chính sách, quan sát theo dõi, backup... Tường lửa cần hỗ trợ sao chép cấu hình, hỗ trợ cấu hình tường lửa giả lập trên máy tính để có thể thử nghiệm các chính sách trước khi áp dụng vào thực tế. Tường lửa cần dễ dàng bảo trì khi có sự cố, nên sử dụng các tường lửa phổ biến để có thể nhận được sự hỗ trợ rộng rãi từ cộng đồng mạng khi xảy ra sự cố.
g. Khác
Ngoài các tiêu chí kể trên khi lựa chọn tường lửa cho hệ thống Internet Banking cần xem xét các vấn đề sau:
• Sự tương thích với các thiết bị khác trong hệ thống, một hệ thống sử dụng các thiết bị từ các ít hãng thì càng ổn định.
• Nên tham khảo trước đánh giá về thiết bị mình lựa chọn của các tổ chức uy tín đã kiểm nghiệm chúng trong thực tế bởi giữa quảng cáo của nhà sản xuất và thực tế sản phẩm là cả một khoảng cách xa.