Thiết kế giải pháp an toàn an ninh cho hệ thống

Một phần của tài liệu Nghiên cứu cơ chế thâm nhập hệ thống máy tính thông qua lỗ hổng bảo mật và ứng dụng trong công tác bảo đảm an ninh mạng (Trang 48)

3.1.1. Các chiến lược an toàn hệ thống

Đây là chiến lƣợc cơ bản nhất theo nguyên tắc này bất kỳ một đối tƣợng nào cũng chỉ có những quyền hạn nhất định đối với tài nguyên mạng, khi thâm nhập vào mạng đối tƣợng đó chỉ đƣợc sử dụng một số tài nguyên nhất định.

- Bảo vệ theo chiều sâu (Defence In Depth):

Nguyên tắc này nhắc nhở chúng ta: Không nên dựa và một chế độ an toàn nào dù cho là chúng mạnh nhất, mà tạo nhiều cơ chế an toàn để tƣơng hỗ lẫn nhau.

- Nút thắt (Choke Point):

Tạo ra một “cửa khẩu” hẹp, và chỉ cho phép thông tin đi vào hệ thống của mình bằng con đƣờng duy nhất chính là “cửa khẩu” này. Vì vậy, chúng ta phải tổ chức một cơ cấu kiểm soát và điều khiển thông tin đi qua cửa này.

- Điểm nối yếu nhất (Weakest Link):

Chiến lƣợc này dựa trên nguyên tắc: “Một dây xích chỉ chắc tại mắt duy nhất, một bức tƣờng chỉ cứng tại điểm yếu nhất”.

Kẻ phá hoại thƣờng tìm những chỗ yếu nhất của hệ thống để tấn công, do đó ta cần phải gia cố các yếu điểm của hệ thống. Thông thƣờng chúng ta chỉ cần quan tâm đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, do đó an toàn vật lý đƣợc coi là điểm yếu nhất trong hệ thống của chúng ta.

- Tính toàn cục:

Các hệ thống an toàn đòi hỏi phảo có tính toàn cục của hệ thống cục bộ. Nếu có một kẻ nào đó có thể bẻ gãy một cơ chế an toàn thì chúng có thể thành công bằng cách tấn công một hệ thống tự do của ai đó và sau đó tấn công hệ thống từ nội bộ bên trong.

- Tính đa dạng bảo vệ:

Chúng ta cần phải sử dụng nhiều biện pháp bảo vệ khác nhau cho hệ thống khác nhau, nếu không có kẻ tấn công vào đƣợc một hệ thống thì chúng cũng dễ dàng tấn công vào các hệ thống khác.

3.1.2. Các mức bảo vệ trên mạng

- Quyền truy nhập:

Quyền truy nhập là lớp bảo vệ trong cùng nhằm kiểm soát các tài nguyên của mạng và quyền hạn trên tài nguyên đó. Dĩ nhiên là kiểm soát đƣợc các cấu trúc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát thƣờng ở mức tệp.

- Đăng ký tên /mật khẩu:

Thực ra đây cũng là kiểm soát quyền truy nhập, nhƣng không phải truy nhập ở mức thông tin mà ở mức hệ thống. Đây là phƣơng pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và cũng rất hiệu quả. Mỗi ngƣời sử dụng muốn đƣợc tham gia vào mạng để sử dụng tài nguyên đều phải có đăng ký tên và mật khẩu trƣớc. Ngƣời quản trị mạng có

trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những ngƣời sử dụng khác theo thời gian và không gian (nghĩa là ngƣời sử dụng chỉ đƣợc truy nhập trong một khoảng thời gian nào đó tại một vị trí nhất định nào đó).

- Mã hóa dữ liệu:

Để bảo mật thông tin trên đƣờng truyền ngƣời ta sử dụng các phƣơng pháp mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức đƣợc sang dạng không nhận thức đƣợc theo một thuật toán nào đó và sẽ đƣợc biến đổi ngƣợc lại ở trạm nhận (giải mã). Đây là lớp bảo vệ thông tin rất quan trọng.

- Bảo vệ vật lý:

Đây là biện pháp nhằm ngăn cản các truy nhập vật lý vào hệ thống. Ở đây, chúng ta thƣờng sử dụng các biện pháp truyền thống nhƣ ngăn cấm tuyệt đối ngƣời không phận sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có chỗ để sao chép dữ liệu.

- Tường lửa:

Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi hoặc nhận vì các lý do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ (intranet).

- Quản trị mạng:

Trong thời đại phát triển của công nghệ thông tin, mạng máy tính quyết định toàn bộ hoạt động của một cơ quan, hay một công ty xí nghiệp. Vì vậy, việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra một sự cố là một công việc cấp thiết hàng đầu. Công tác quản trị mạng máy tính phải đƣợc thực hiện một cách khoa học đảm bảo các yêu cầu sau:

+ Toàn bộ hệ thống hoạt động bình thƣờng trong giờ làm việc.

+ Có hệ thống dự phòng khi có sự cố về phần cứng hoặc phần mềm xảy ra. + Sao lƣu dữ liệu quan trọng theo định kỳ.

+ Bảo dƣỡng hệ thống mạng theo định kỳ.

3.1.3. Các bước để xây dựng giải pháp tổng thể

Hình 3-1. Quy trình để xây dựng giải pháp cụ thể

Quá trình xây dựng giải pháp tổng thể để đảm bảo an ninh an toàn cho một hệ thống đƣợc tiến hành qua 9 bƣớc nhƣ sau

- Bước 1: Môt tả hệ thống

Trên cơ sở thống kê đƣợc các thành phần nhƣ: phần cứng, phần mềm, giao diện hệ thống, dữ liệu và thông tin, con ngƣời, tiêu chí của hệ thống hiện tại. Xác định đƣợc phạm vi, chức năng, độ quan trọng của dữ liệu và hệ thống, độ nhạy cảm của dữ liệu.

- Bước 2: Xác định nguy cơ của hệ thống

Dựa trên các tài liệu về các cuộc tấn công vào hệ thống, dữ liệu mà các cơ quan chức năng, ta phải đƣa ra đƣợc báo cáo về các nguy cơ trong hệ thống của mình.

- Bước 3: Xác định điểm yếu

Yêu cầu bảo mật và kết quả kiểm tra bảo mật.

- Bước 4: Phân tích biện pháp kiểm soát

Bƣớc này chúng ta phải lấy các kiểm soát hiện tại và các kiểm soát dự kiến để làm danh sách các phƣơng pháp kiểm soát hiện tại và dự kiến.

- Bước 5: Xác định khả năng

Đánh giá khả năng xảy ra đối với hệ thống trên cơ sở đánh giá nhƣ: nguyên nhân pháp sinh nguy cơ, khả năng nguy cơ, bản chất điểm yếu, giải pháp hiện tại.

- Bước 6: Phân tích ảnh hƣởng (Mất tính bí mật/ toàn vẹn/ sẵn sàng)

- Bước 7: Xác định rủi ro

- Bước 8: Giải pháp đề xuất

Trên đây là chín bƣớc để có thể xây dựng đƣợc giải pháp tổng thể để đảm bảo an ninh an toàn cho một hệ thống. Các bƣớc đều phải đƣợc thực hiện tỉ mỉ, cẩn thận để xác định đúng nguy cơ, rủi ro; đƣa ra giải pháp phù hợp.

3.2. Giải pháp Firewall

3.2.1. Khái niệm

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đƣợc tích hợp vào hệ thống để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.

Thông thƣờng Firewall đƣợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:

-Cho phép hoặc cấm những dịch vụ truy nhập ra bên ngoài (từ Intranet ra Internet).

-Cho phép hoặc cấm những dịch vụ truy nhập vào trong (từ Internet vào Intranet).

-Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

-Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

-Kiểm soát ngƣời sử dụng và việc truy nhập của ngƣời sử dụng.

-Kiểm soát nội dung thông tin lƣu chuyển trên mạng.

3.2.2. Phân loại Firewall

Firewall gồm nhiều loại khác nhau, mỗi loại có những ƣu và nhƣợc điểm riêng, tuy nhiên chún ta có thể chia thành hai loại chính:

- Packet filtering:

Đây là một hệ thống Firewall cho phép chuyển thông tin giữa hệ thống trong và ngoài mạng kiểm soát.

Kiểu Firewall chung nhất là kiểu dựa trên mức mạng trong mô hình OSI. Firewall mức thƣờng hoạt động theo nguyên tắc router hay còn gọi là router, nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên mức mạng.

Ở kiểu hoạt động này, các gói tin đều đƣợc kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn đƣợc xác định thì nó kiểm tra trên router.

Các Firewall hoạt động ở lớp mạng thƣờng cho phép tốc độ xử lý nhanh với nó chỉ kiểm tra địa chỉ IP nguồn mà không có một lệnh thực sự nào trên router, nó không cần khoảng thời gian nào để xác định xem là địa chỉ sai hay bị cấm.

Firewall kiểu lọc gói tin (Packet Filtering) có thể đƣợc phân thành 2 loại:

+ Packet filtering firewall: Hoạt động tại tầng mạng của mô hình OSI hay lớp IP trong mô hình giao thức TCP/IP.

Hình 3-2. Packet filtering firewall.

+ Circuitlevel gateway: Hoạt độn tại lớp phiên (session) của mô hình OSI hay lớp TCP trong mô hình TCP/IP.

Hình 3-3. Circuitlevel gateway - Application-Proxy Firewall:

Là một hệ thống Firewall thực hiện các kết nối thay cho các kết nối trực tiếp khác trên máy khách yêu cầu.

Kiểu Firewall này hoạt động dựa trên phần mềm.

Ƣu điểm của Firewall loại này là không có chức năng chuyển tiếp các gói tin IP và hơn nữa ta có thể điều khiển một cách chi tiết hơn các kết nối thông qua Firewall. Đồng thời nó còn đƣa ra nhiều công cụ cho phép ghi lại các quá trình kết nối.

Sự chuyển tiếp các gói tin IP xảy ra khi một máy chủ nhận đƣợc một yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong. Điều này tạo nên một lỗ hổng cho các kẻ phá hoại xâm nhập từ mạng ngoài vào mạng trong.

Firewall kiểu Application-proxy có thể đƣợc phân thành hai loại: + Application level gateway: Tính năng tƣơng tự nhƣ ciruit-level gateway nhƣng lại hoạt động ở lớp ứng dụng trong mô hình giao thức TCP/IP.

Hình 3-4. Application level gateway

+ Stateful mutilaye inspection Firewall

Hình 3-5. Stateful multilayer inspection Firewall.

3.2.3. Kiến trúc hệ thống mạng sử dụng Firewall

Kiến trúc của hệ thống mạng sử dụng Firewall nhƣ sau:

Firewall có thể bao gồm phần cứng hoặc phần mềm, nhƣng thƣờng là cả hai. Về mặt phần cứng thì Firewall có chức năng gần giống nhƣ một router, nó cho phép hiển thị các địa chỉ IP đang kết nối qua nó. Điều này cho phép ta xác định đƣợc các địa chỉ nào đƣợc phép và địa chỉ nào không đƣợc phép kết nối.

Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt hay từ chối truy cập dựa trên các địa chỉ nguồn.

Nhìn chung hệ thống Firewall đều có các thành phần sau:

Hình 3-7. Các thành phần của hệ thống Firewall

Theo hình trên thì các thành phần của một hệ thống Firewall bao gồm:

- Screening router: Là chặng kiểm soát đầu tiên cho LAN

- DMZ: Khu vực “phi quân sự” là vùng có nguy cơ bị tấn công từ Internet.

-Gateway: Là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật.

- IF1 (Interface 1): Là card giao tiếp với vùng DMZ.

- IF2 (Interface 2): Là card giao tiếp với vùng LAN.

-FTP gateway: Kiểm soát truy cập FTP giữa LAN và vùng DMZ. Các truy cập FTP từ mạng LAN ra Internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua máy chủ xác thực (Authentication Server).

-Máy chủ xác thực: Đƣợc sử dụng bởi các cổng giao tiếp, nhận diện các yêu cầu kết nối, dùng kỹ thuật xác thực mạnh nhƣ mật khẩu sử dụng một lần. Các máy chủ dịch vụ trong mạng LAN đƣợc bảo vệ an toàn, không có kết nối trực tiếp với Internet, tất cả các thông tin trao đổi đều đƣợc kiểm soát qua gateway.

3.3. Giải pháp mạng riêng ảo (VPN)

3.3.1. Khái niệm

Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thƣờng là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều ngƣời sử dụng từ xa. Thay cho việc sử dụng một kết nối thực, chuyên dụng nhƣ đƣờng leased line, mỗi VPN sử dụng các kết nối ảo đƣợc dẫn qua mạng Internet từ mạng riêng của cơ quan, tổ chức tới các site hay các nhân viên từ xa. Nói một cách khác, mạng riêng ảo giả lập một mạng riêng trên một mạng công cộng nhƣ Internet. Sở dĩ nó đƣợc gọi là “ảo” là bởi vì nó dựa trên các liên kết ảo (không có sự hiện diện vật lý của các liên kết này) khác với các liên kết thiết lập trên đƣờng thuê riêng. Các liên kết ảo thực chất là các dòng dữ liệu lƣu chuyển trên mạng công cộng. Nhƣ vậy, VPN cho phép chúng ta thiết lập một mạng riêng trên một mạng công cộng nhƣ Internet.

Các giải pháp VPN có thể đƣợc thực hiện nhờ phần mềm, phần cứng hoặc là sự kết hợp của cả hai để tạo ra các kết nối an toàn trên mạng công cộng. Các kỹ thuật căn bản của VPN là mã hóa, xác thực, đƣờng hầm, tƣờng lửa.

3.3.2. Các mô hình triển khai VPN

Công nghệ mạng riêng ảo VPN đã và đang đƣợc triển khai mạnh mẽ trên toàn cầu trong đó có Việt Nam. Đã có rất nhiều mô hình đƣợc đề xuất, chủ yếu dựa trên lớp 2 và lớp 3; các mô hình này đƣợc xây dựng dựa trên các yêu cầu, tiêu chuẩn bảo mật hệ thống mạng máy tính, an toàn dữ liệu.

Có hai mô hình chính thƣờng đƣợc triển khai, nhƣ sau:

- IPSec VPN:

IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật và thƣờng đƣợc liên kết với VPN. IPSec VPN cho phép việc truyền tải dữ liệu đƣợc mã hóa an toàn ở lớp mạng theo mô hình OSI thông qua các router mạng công cộng Internet đƣợc cung cấp phổ biến hiện nay nhƣ: ADSL router, FTTH router...

Hình 3-8. Giải pháp IPSec VPN

- SSL VPN:

Thuật ngữ SSL VPN đƣợc dùng để chỉ một dòng sản phẩm VPN mới và phát triển dựa trên giao thức SSL. Sử dụng SSL VPN để kết nối giữa ngƣời dùng từ xa vào tài nguyên mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng thay vì tạo đƣờng hầm ở lớp mạng nhƣ giải pháp IPSec. SSL VPN là một giải pháp dƣới dạng là một ứng dụng.

Hình 3-8. Giải pháp SSL VPN

3.4. Hệ thống phát hiện xâm nhập (IDS)

3.4.1. Khái niệm

Hệ thống phát hiện xâm nhập (Intruction Detection System - IDS) là một hệ thống giám sát lƣu lƣợng mạng, thông qua các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra, IDS cũng đảm nhận việc phản ứng lại các lƣu thông bất thƣờng hay có hại bằng các hành động đã đƣợc thiết lập trƣớc.

IDS cũng có thể phân biệt những tấn công bên trong từ bên trong hay tấn công từ bên ngoài. IDS phát hiện dựa trên những dấu hiệu đặc biệt về các nguy có đã biết hay dựa trên so sánh lƣu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thƣờng.

Hình 3-9. Hệ thống mạng sử dụng IDS

Tùy theo các tiêu chí khác nhau mà IDS đƣợc phân loại thành các loại IDS khác nhau nhƣ: Hệ thống phát hiện xâm nhập mạng (Network-based Intruction Detection System – NIDS), Hệ thống phát hiện xâm nhập cho máy (Host-based Intruction Detection System – HIDS)...

3.4.2. Chức năng của IDS

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng, hệ thống phát hiện xâm nhập trừ khi những đặc tính phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác... IDS có

Một phần của tài liệu Nghiên cứu cơ chế thâm nhập hệ thống máy tính thông qua lỗ hổng bảo mật và ứng dụng trong công tác bảo đảm an ninh mạng (Trang 48)

Tải bản đầy đủ (PDF)

(88 trang)