1.4.1. Bảo mật bằng firewall
Là một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia, đối với những doanh nghiệp cỡ vừa là lớn thì việc sử dụng firewall là rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và Internet thông qua các chính sách truy cập đã đƣợc thiết lập.
Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có các tính năng nhƣ dự phòng trong trƣờng hợp xảy ra lỗi hệ thống.
28
Hình 1-13 Mô hình tổng quát firewall
Do đó việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trƣờng, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall nhƣ tính năng lọc địa chỉ, gói tin..
1.4.2. Bảo mật bằng VPN
VPN (Virtual Private Network) là một mạng riêng ảo đƣợc kết nối thông qua mạng công cộng cung cấp cơ chế bảo mật trong một môi trƣờng mạng không an toàn. Đặc điểm của VPN là dữ liệu trong quá trình truyền đƣợc mã hóa, ngƣời sử dụng đầu xa đƣợc chứng thực, VPN sử dụng đa giao thức nhƣ IPSec, SSL nhằm tăng thêm tính bảo mật của hệ thống, bên cạnh đó tiết kiệm đƣợc chi phí trong việc triển khai.
29
Hình 1-14 Bảo mật bằng VPN
1.4.3. Bảo mật bằng IDS (Phát hiện tấn công)
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống bảo mật bổ sung cho firewall với công nghệ cao tƣơng đƣơng với hệ thống chuông báo động đƣợc cấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự xâm nhập của các attacker. Có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vƣợt qua đƣợc firewall. Có hai dạng chính đó là network based và host based
Hình 1-15 Hệ thống chống xâm nhập IDS
1.4.4. Bảo mật ứng dụng
1.4.4.1. Hệ thống thư điện tử
Thƣ điện tử hay email là một hệ thống chuyển nhận thƣ từ qua các mạng máy tính, là một phƣơng tiện thông tin rất nhanh. Một mẫu thông tin (thƣ từ) có thể đƣợc gửi đi ở dạng mã hoá hay dạng thông thƣờng và đƣợc chuyển qua các mạng máy tính đặc biệt là mạng Internet. Nó có thể chuyển mẫu thông tin từ một máy nguồn tới một hay rất nhiều máy nhận trong cùng lúc.
30
Ngày nay, email chẳng những có thể truyền gửi đƣợc chữ, nó còn có thể truyền đƣợc các dạng thông tin khác nhƣ hình ảnh, âm thanh, phim, và đặc biệt các phần mềm thƣ điện tử kiểu mới còn có thể hiển thị các email dạng sống động tƣơng thích với kiểu tệp HTML.
o Gửi: giao thức SMTP (TCP 25)
-Nhận: giao thức POP3/IMAP (TCP 110/143)
Hình 1-16 Thư điện tử
Lợi ích của thƣ điện tử nhƣ tốc độ di chuyển cao, chi phí rẻ và tiện lợi. Tuy nhiên có những vấn đề về bảo mật, spam mail, sự lây lan của virus, trojan..
Bảo vệ hệ thống email
Sử dụng S/MIME nếu có thể
Cấu hình Mail Server tốt, không bị open relay
Ngăn chặn Spam trên Mail Server
Cảnh giác với email lạ
1.4.4.2. Bảo mật ứng dụng Web
o Web traffic: Sử dụng giao thức bảo mật SSL/TSL để mã hóa thông tin giữa Client và Server, hoạt động tầng Transport, sử dụng mã hóa không đối xứng và MD5, sử dụng Public Key để chứng thực và mã hóa giao dịch giữa Client và Server và TSL bảo mật tốt hơn.
Vấn đề đặt ra là trong quá trình chứng thực cả Client và Server đều phải cần triển khai PKI, ảnh hƣởng đến Performance, việc triển khai tiềm tàng một số vấn đề: phƣơng thức triển khai, cấu hình hệ thống, lựa chọn phần mềm.
31
o Web Client: Trong mô hình client/server, máy client là một máy trạm mà chỉ đƣợc sử dụng bởi 1 ngƣời dùng với để muốn thể hiện tính độc lập cho nó. Các điểm yếu của Client nhƣ JavaScript, ActiveX, Cookies, Applets.
o Web Server: Server cung cấp và điều khiển các tiến trình truy cập vào tài nguyên của hệ thống. Vai trò của server nhƣ là một nhà cung cấp dịch vụ cho các clients yêu cầu tới khi cần, các dịch vụ nhƣ cơ sở dữ liệu, in ấn, truyền file, hệ thống... Các lỗi thƣờng xảy ra trong WEB Server: lỗi tràn bộ đệm, CGI/ Server Script và HTTP, HTTPS
1.4.5. Thống kê tài nguyên
Hình 1-17 Thống kê tài nguyên bằng Monitoring
Là khả năng kiểm soát (kiểm kê) hệ thống mạng, bao gồm:
Logging: Ghi lại các hoạt động phục vụ cho việc thống kê các sự kiện trên mạng. Ví dụ muốn kiểm soát xem những ai đã truy cập file server, trong thời điểm nào, làm gì (Event Viewer).
Scanning: Quét hệ thống để kiểm soát những dịch vụ gì đang chạy trên mạng, phân tích các nguy cơ của hệ thống mạng. Ví dụ Task manager.
Monitoring: Phân tích logfile để kiểm tra các tài nguyên mạng đƣợc sử dụng nhƣ thế nào. Ví dụ các syslog server.
32
Chƣơng 2 - TỔNG QUAN VỀ VPN
2.1.Định nghĩa VPN
VPN đƣợc hiểu đơn giản nhƣ là sự mở rộng của một mạng riêng ( Private Network) thông qua các mạng công cộng . Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thƣờng là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều ngƣời sử dụng từ xa[3] . Thay cho việc sử dụng kết nối thực, chuyên dùng nhƣ đƣờng leased-line, mỗi VPN sử dụng các kết nối ảo đƣợc dẫn đƣờng qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa.
Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đƣờng truyền tạo ra một đƣờng ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống nhƣ một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đƣờng ống bảo mật đó, dữ liệu phải đƣợc mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đƣờng đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng.
Dữ liệu đƣợc mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đƣờng truyền công cộng cũng không thể đọc đƣợc nội dùng vì không có khoá để giải mã. Liên kết với dữ liệu đƣợc mã hoá và đóng gói đƣợc gọi là kết nối VPN. Các đƣờng kết nối VPN thƣờng đƣợc gọi là đƣờng ống VPN (Tunnel)
33 2.2.Lợi ích của VPN
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng leased-line. Những lợi ích đầu tiên bao gồm:
• Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80%.
• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển, bằng cách đó nó có thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối mở rộng. Theo cách này VPN có thể dễ dàng kết nối hoặc ngắt kết nối từ xa của những văn phòng, những vị trí ngoài quốc tế,những ngƣời truyền thông, những ngƣời dùng điện thoại di động, những ngƣời hoạt động kinh doanh bên ngoài nhƣ những yêu cầu kinh doanh đã đòi hỏi.
• Đơn giản hóa những gánh nặng.
• Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hƣớng những giao thức nhƣ là Frame Rely và ATM.
• Tăng tính bảo mật: các dữ liệu quan trọng sẽ đƣợc che giấu đối với những ngƣời không có quyền truy cập và cho phép truy cập đối với những ngƣời dùng có quyền truy cập.
• Hỗ trợ các giao thức mạng thông dụng nhất hiện nay nhƣ TCP/IP
• Bảo mật địa chỉ IP: bởi vì thông tin đƣợc gửi đi trên VPN đã đƣợc mã hóa do đó các địa chỉ bên trong mạng riêng đƣợc che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.
2.3.Các thành phần cần thiết để tạo kết nối VPN
User Authentication: cung cấp cơ chế chứng thực ngƣời dùng, chỉ cho phép ngƣời dùng hợp lệ kết nối và truy cập hệ thống VPN.
Address Management: cung cấp địa chỉ IP hợp lệ cho ngƣời dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tƣ và toàn vẹn dữ liệu.
Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.
2.4.Các giao thức VPN
Các giao thức để tạo nên cơ chế đƣờng ống bảo mật cho VPN là L2TP, Cisco GRE và IPSec.
34 2.4.1. L2TP
Trƣớc khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2 Forwarding (L2F) nhƣ là giao thức chuẩn để tạo kết nối VPN. L2TP ra đời sau với những tính năng đƣợc tích hợp từ L2F.
L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản WindowNT và 2000
L2TP đƣợc sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network). L2TP cho phép ngƣời dùng có thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN nhƣ là sự mở rộng của mạng nội bộ công ty.
L2TP không cung cấp mã hóa.
Hình 2-2 Mô hình L2TP
L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các mạng truy cập từ xa khác. Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi những ngƣờI sử dụng từ xa.
2.4.2. GRE
Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên trong đƣờng ống IP (IP tunnel).
Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trƣng chỉ định trong gói IP header, tạo một đƣờng kết nối ảo (virtual point-to-point) tới Cisco router cần đến. Và khi gói dữ liệu đến đích IP header sẽ đƣợc mở ra.
Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trƣờng có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP.
35
Hình 2-3 Mô hình IPSEC
IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao gồm bảo mật dữ liệu (data confidentiality), tính toàn vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu.
IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật toán trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực đƣợc sử dụng trong IPSec.
2.4.4. Point to Point Tunneling Protocol (PPTP)
Đƣợc sử dụng trên các máy client chạy HĐH Microsoft for NT4.0 và
Windows 95+ . Giao thức này đƣợc sử dụng để mã hóa dữ liệu lƣu thông trên Mạng LAN. Giống nhƣ giao thức NETBEUI và IPX trong một pác két gửi lên Internet. PPTP dựa trên chuẩn RSA RC4 và hỗ trợ bởi sự mã hóa 40-bit hoặc 128-bit.
Hình 2-4 Mô hình PPTP
Nó không đƣợc phát triển trên dạng kết nối LAN-to-LAN và giới hạn 255 kết nối tới 1 server chỉ có một đƣờng hầm VPN trên một kết nối. Nó không cung
36
cấp sự mã hóa cho các công việc lớn nhƣng nó dễ cài đặt và triển khai và là một giải pháp truy cập từ xa chỉ có thể làm đƣợc trên mạng MS. Giao thức này thì đƣợc dùng tốt trong Window 2000. Layer 2 Tunneling Protocol thuộc về IPSec.
37
Chƣơng 3 - TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN
CISCO ASA FIREWALL
3.1. Định nghĩa AAA
Hình 3-1 Mô hình AAA chung
AAA cho phép nhà quản trị mạng biết đƣợc các thông tin quan trọng về tình hình cũng nhƣ mức độ an toàn trong mạng. Nó cung cấp việc xác thực
(authentication) ngƣời dùng nhằm bảo đảm có thể nhận dạng đúng ngƣời dùng. Một khi đã nhận dạng ngƣời dùng, ta có thể giới hạn uỷ quyền (authorization) mà ngƣời dùng có thể làm. Khi ngƣời dùng sử dụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm. AAA với ba phần xác thực (authentication), uỷ quyền (authorization) và kiểm toán (accounting) là các phần riêng biệt mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng và bảo mật mạng.
AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng. Ta có thể kích hoạt các dịch vụ AAA trên router, switch, firewall, các thiết bị VPN, server…
Các dịch vụ AAA bao gồm ba phần, xác thực (authentication), Uỷ quyền (Authorization) và kiểm toán (accounting). Ta sẽ tìm hiểu sự khác nhau của ba phần này và cách thức chúng làm việc nhƣ thể nào.
38 3.1.1. Xác thực (Authentication)
Xác thực dùng để nhận dạng (identify) ngƣời dùng. Trong suốt quá trình xác thực, username và password của ngƣời dùng đƣợc kiểm tra và đối chiếu với cơ sở dữ liệu lƣu trong AAA Server. Tất nhiên, tuỳ thuộc vào giao thức mà AAA hỗ trợ mã hoá đến đâu, ít nhất thì cũng mã hoá username và password.
Xác thực sẽ xác định ngƣời dùng là ai. Ví dụ: Ngƣời dùng có username là LINH và mật khẩu là L!nh@nq sẽ là hợp lệ và đƣợc xác thực thành công với hệ thống. Sau khi xác thực thành công thì ngƣời dùng đó có thể truy cập đƣợc vào mạng. Tiến trình này chỉ là một trong các thành phần để điều khiển ngƣời dùng với AAA. Một khi username và password đƣợc chấp nhận, AAA có thể dùng để định nghĩa thẩm quyền mà ngƣời dùng đƣợc phép làm trong hệ thống.
3.1.2. Uỷ quyền (Authorization)
Uỷ quyền cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng ngƣời dùng cụ thể hay trên từng giao thức. AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của ngƣời dùng đƣợc phép thao tác vào tài nguyên. Do đó, ngƣời dùng phải đƣợc xác thực trƣớc khi uỷ quyền cho ngƣời đó.
Uỷ quyền trong AAA làm việc giống nhƣ một tập các thuộc tính mô tả những gì mà ngƣời dùng đã đƣợc xác thực có thể có.
Ví dụ: Ngƣời dùng LINH sau khi đã xác thực thành công có thể chỉ đƣợc
phép truy cập vào server LINHNQ_SERVER thông qua FTP. Những thuộc tính này đƣợc so sánh với thông tin chứa trong cơ sở dữ liệu của ngƣời dùng đó và kết quả đƣợc trả về AAA để xác định khả năng cũng nhƣ giới hạn thực tế của ngƣời đó. Điều này yêu cầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nối đến thiết bị truy cập từ xa (RAS).
Uỷ quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để quyết định những gì một ngƣời sử dụng đã chứng thực có thể làm trên hệ thống.
Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu nào có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ. Ví dụ: Một máy khách quay số kết nối và yêu cầu nhiều liên kết. Một máy chủ AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhƣng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ đƣợc phép một kết nối dial-up, và cấp một kênh trong khi từ chối các yêu cầu khác.
39 3.1.3. Kiểm toán (Accounting)
Kiểm toán cho phép nhà quản trị có thể thu thập thông tin nhƣ thời gian bắt đầu, thời gian kết thúc ngƣời dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lƣu lƣợng, việc sử dụng tài nguyên và sau đó lƣu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ. Nói cách khác, kiểm toán cho phép giám sát dịch vụ và