- Quyền truy nhập:
Quyền truy nhập là lớp bảo vệ trong cùng nhằm kiểm soát các tài nguyên của mạng và quyền hạn trên tài nguyên đó. Dĩ nhiên là kiểm soát đƣợc các cấu trúc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát thƣờng ở mức tệp.
- Đăng ký tên /mật khẩu:
Thực ra đây cũng là kiểm soát quyền truy nhập, nhƣng không phải truy nhập ở mức thông tin mà ở mức hệ thống. Đây là phƣơng pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và cũng rất hiệu quả. Mỗi ngƣời sử dụng muốn đƣợc tham gia vào mạng để sử dụng tài nguyên đều phải có đăng ký tên và mật khẩu trƣớc. Ngƣời quản trị mạng có
trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những ngƣời sử dụng khác theo thời gian và không gian (nghĩa là ngƣời sử dụng chỉ đƣợc truy nhập trong một khoảng thời gian nào đó tại một vị trí nhất định nào đó).
- Mã hóa dữ liệu:
Để bảo mật thông tin trên đƣờng truyền ngƣời ta sử dụng các phƣơng pháp mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức đƣợc sang dạng không nhận thức đƣợc theo một thuật toán nào đó và sẽ đƣợc biến đổi ngƣợc lại ở trạm nhận (giải mã). Đây là lớp bảo vệ thông tin rất quan trọng.
- Bảo vệ vật lý:
Đây là biện pháp nhằm ngăn cản các truy nhập vật lý vào hệ thống. Ở đây, chúng ta thƣờng sử dụng các biện pháp truyền thống nhƣ ngăn cấm tuyệt đối ngƣời không phận sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có chỗ để sao chép dữ liệu.
- Tường lửa:
Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi hoặc nhận vì các lý do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ (intranet).
- Quản trị mạng:
Trong thời đại phát triển của công nghệ thông tin, mạng máy tính quyết định toàn bộ hoạt động của một cơ quan, hay một công ty xí nghiệp. Vì vậy, việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra một sự cố là một công việc cấp thiết hàng đầu. Công tác quản trị mạng máy tính phải đƣợc thực hiện một cách khoa học đảm bảo các yêu cầu sau:
+ Toàn bộ hệ thống hoạt động bình thƣờng trong giờ làm việc.
+ Có hệ thống dự phòng khi có sự cố về phần cứng hoặc phần mềm xảy ra. + Sao lƣu dữ liệu quan trọng theo định kỳ.
+ Bảo dƣỡng hệ thống mạng theo định kỳ.
3.1.3. Các bước để xây dựng giải pháp tổng thể
Hình 3-1. Quy trình để xây dựng giải pháp cụ thể
Quá trình xây dựng giải pháp tổng thể để đảm bảo an ninh an toàn cho một hệ thống đƣợc tiến hành qua 9 bƣớc nhƣ sau
- Bước 1: Môt tả hệ thống
Trên cơ sở thống kê đƣợc các thành phần nhƣ: phần cứng, phần mềm, giao diện hệ thống, dữ liệu và thông tin, con ngƣời, tiêu chí của hệ thống hiện tại. Xác định đƣợc phạm vi, chức năng, độ quan trọng của dữ liệu và hệ thống, độ nhạy cảm của dữ liệu.
- Bước 2: Xác định nguy cơ của hệ thống
Dựa trên các tài liệu về các cuộc tấn công vào hệ thống, dữ liệu mà các cơ quan chức năng, ta phải đƣa ra đƣợc báo cáo về các nguy cơ trong hệ thống của mình.
- Bước 3: Xác định điểm yếu
Yêu cầu bảo mật và kết quả kiểm tra bảo mật.
- Bước 4: Phân tích biện pháp kiểm soát
Bƣớc này chúng ta phải lấy các kiểm soát hiện tại và các kiểm soát dự kiến để làm danh sách các phƣơng pháp kiểm soát hiện tại và dự kiến.
- Bước 5: Xác định khả năng
Đánh giá khả năng xảy ra đối với hệ thống trên cơ sở đánh giá nhƣ: nguyên nhân pháp sinh nguy cơ, khả năng nguy cơ, bản chất điểm yếu, giải pháp hiện tại.
- Bước 6: Phân tích ảnh hƣởng (Mất tính bí mật/ toàn vẹn/ sẵn sàng)
- Bước 7: Xác định rủi ro
- Bước 8: Giải pháp đề xuất
Trên đây là chín bƣớc để có thể xây dựng đƣợc giải pháp tổng thể để đảm bảo an ninh an toàn cho một hệ thống. Các bƣớc đều phải đƣợc thực hiện tỉ mỉ, cẩn thận để xác định đúng nguy cơ, rủi ro; đƣa ra giải pháp phù hợp.
3.2. Giải pháp Firewall
3.2.1. Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đƣợc tích hợp vào hệ thống để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.
Thông thƣờng Firewall đƣợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
-Cho phép hoặc cấm những dịch vụ truy nhập ra bên ngoài (từ Intranet ra Internet).
-Cho phép hoặc cấm những dịch vụ truy nhập vào trong (từ Internet vào Intranet).
-Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
-Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
-Kiểm soát ngƣời sử dụng và việc truy nhập của ngƣời sử dụng.
-Kiểm soát nội dung thông tin lƣu chuyển trên mạng.
3.2.2. Phân loại Firewall
Firewall gồm nhiều loại khác nhau, mỗi loại có những ƣu và nhƣợc điểm riêng, tuy nhiên chún ta có thể chia thành hai loại chính:
- Packet filtering:
Đây là một hệ thống Firewall cho phép chuyển thông tin giữa hệ thống trong và ngoài mạng kiểm soát.
Kiểu Firewall chung nhất là kiểu dựa trên mức mạng trong mô hình OSI. Firewall mức thƣờng hoạt động theo nguyên tắc router hay còn gọi là router, nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên mức mạng.
Ở kiểu hoạt động này, các gói tin đều đƣợc kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn đƣợc xác định thì nó kiểm tra trên router.
Các Firewall hoạt động ở lớp mạng thƣờng cho phép tốc độ xử lý nhanh với nó chỉ kiểm tra địa chỉ IP nguồn mà không có một lệnh thực sự nào trên router, nó không cần khoảng thời gian nào để xác định xem là địa chỉ sai hay bị cấm.
Firewall kiểu lọc gói tin (Packet Filtering) có thể đƣợc phân thành 2 loại:
+ Packet filtering firewall: Hoạt động tại tầng mạng của mô hình OSI hay lớp IP trong mô hình giao thức TCP/IP.
Hình 3-2. Packet filtering firewall.
+ Circuitlevel gateway: Hoạt độn tại lớp phiên (session) của mô hình OSI hay lớp TCP trong mô hình TCP/IP.
Hình 3-3. Circuitlevel gateway - Application-Proxy Firewall:
Là một hệ thống Firewall thực hiện các kết nối thay cho các kết nối trực tiếp khác trên máy khách yêu cầu.
Kiểu Firewall này hoạt động dựa trên phần mềm.
Ƣu điểm của Firewall loại này là không có chức năng chuyển tiếp các gói tin IP và hơn nữa ta có thể điều khiển một cách chi tiết hơn các kết nối thông qua Firewall. Đồng thời nó còn đƣa ra nhiều công cụ cho phép ghi lại các quá trình kết nối.
Sự chuyển tiếp các gói tin IP xảy ra khi một máy chủ nhận đƣợc một yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong. Điều này tạo nên một lỗ hổng cho các kẻ phá hoại xâm nhập từ mạng ngoài vào mạng trong.
Firewall kiểu Application-proxy có thể đƣợc phân thành hai loại: + Application level gateway: Tính năng tƣơng tự nhƣ ciruit-level gateway nhƣng lại hoạt động ở lớp ứng dụng trong mô hình giao thức TCP/IP.
Hình 3-4. Application level gateway
+ Stateful mutilaye inspection Firewall
Hình 3-5. Stateful multilayer inspection Firewall.
3.2.3. Kiến trúc hệ thống mạng sử dụng Firewall
Kiến trúc của hệ thống mạng sử dụng Firewall nhƣ sau:
Firewall có thể bao gồm phần cứng hoặc phần mềm, nhƣng thƣờng là cả hai. Về mặt phần cứng thì Firewall có chức năng gần giống nhƣ một router, nó cho phép hiển thị các địa chỉ IP đang kết nối qua nó. Điều này cho phép ta xác định đƣợc các địa chỉ nào đƣợc phép và địa chỉ nào không đƣợc phép kết nối.
Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt hay từ chối truy cập dựa trên các địa chỉ nguồn.
Nhìn chung hệ thống Firewall đều có các thành phần sau:
Hình 3-7. Các thành phần của hệ thống Firewall
Theo hình trên thì các thành phần của một hệ thống Firewall bao gồm:
- Screening router: Là chặng kiểm soát đầu tiên cho LAN
- DMZ: Khu vực “phi quân sự” là vùng có nguy cơ bị tấn công từ Internet.
-Gateway: Là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật.
- IF1 (Interface 1): Là card giao tiếp với vùng DMZ.
- IF2 (Interface 2): Là card giao tiếp với vùng LAN.
-FTP gateway: Kiểm soát truy cập FTP giữa LAN và vùng DMZ. Các truy cập FTP từ mạng LAN ra Internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua máy chủ xác thực (Authentication Server).
-Máy chủ xác thực: Đƣợc sử dụng bởi các cổng giao tiếp, nhận diện các yêu cầu kết nối, dùng kỹ thuật xác thực mạnh nhƣ mật khẩu sử dụng một lần. Các máy chủ dịch vụ trong mạng LAN đƣợc bảo vệ an toàn, không có kết nối trực tiếp với Internet, tất cả các thông tin trao đổi đều đƣợc kiểm soát qua gateway.
3.3. Giải pháp mạng riêng ảo (VPN)
3.3.1. Khái niệm
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thƣờng là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều ngƣời sử dụng từ xa. Thay cho việc sử dụng một kết nối thực, chuyên dụng nhƣ đƣờng leased line, mỗi VPN sử dụng các kết nối ảo đƣợc dẫn qua mạng Internet từ mạng riêng của cơ quan, tổ chức tới các site hay các nhân viên từ xa. Nói một cách khác, mạng riêng ảo giả lập một mạng riêng trên một mạng công cộng nhƣ Internet. Sở dĩ nó đƣợc gọi là “ảo” là bởi vì nó dựa trên các liên kết ảo (không có sự hiện diện vật lý của các liên kết này) khác với các liên kết thiết lập trên đƣờng thuê riêng. Các liên kết ảo thực chất là các dòng dữ liệu lƣu chuyển trên mạng công cộng. Nhƣ vậy, VPN cho phép chúng ta thiết lập một mạng riêng trên một mạng công cộng nhƣ Internet.
Các giải pháp VPN có thể đƣợc thực hiện nhờ phần mềm, phần cứng hoặc là sự kết hợp của cả hai để tạo ra các kết nối an toàn trên mạng công cộng. Các kỹ thuật căn bản của VPN là mã hóa, xác thực, đƣờng hầm, tƣờng lửa.
3.3.2. Các mô hình triển khai VPN
Công nghệ mạng riêng ảo VPN đã và đang đƣợc triển khai mạnh mẽ trên toàn cầu trong đó có Việt Nam. Đã có rất nhiều mô hình đƣợc đề xuất, chủ yếu dựa trên lớp 2 và lớp 3; các mô hình này đƣợc xây dựng dựa trên các yêu cầu, tiêu chuẩn bảo mật hệ thống mạng máy tính, an toàn dữ liệu.
Có hai mô hình chính thƣờng đƣợc triển khai, nhƣ sau:
- IPSec VPN:
IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật và thƣờng đƣợc liên kết với VPN. IPSec VPN cho phép việc truyền tải dữ liệu đƣợc mã hóa an toàn ở lớp mạng theo mô hình OSI thông qua các router mạng công cộng Internet đƣợc cung cấp phổ biến hiện nay nhƣ: ADSL router, FTTH router...
Hình 3-8. Giải pháp IPSec VPN
- SSL VPN:
Thuật ngữ SSL VPN đƣợc dùng để chỉ một dòng sản phẩm VPN mới và phát triển dựa trên giao thức SSL. Sử dụng SSL VPN để kết nối giữa ngƣời dùng từ xa vào tài nguyên mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng thay vì tạo đƣờng hầm ở lớp mạng nhƣ giải pháp IPSec. SSL VPN là một giải pháp dƣới dạng là một ứng dụng.
Hình 3-8. Giải pháp SSL VPN
3.4. Hệ thống phát hiện xâm nhập (IDS)
3.4.1. Khái niệm
Hệ thống phát hiện xâm nhập (Intruction Detection System - IDS) là một hệ thống giám sát lƣu lƣợng mạng, thông qua các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Ngoài ra, IDS cũng đảm nhận việc phản ứng lại các lƣu thông bất thƣờng hay có hại bằng các hành động đã đƣợc thiết lập trƣớc.
IDS cũng có thể phân biệt những tấn công bên trong từ bên trong hay tấn công từ bên ngoài. IDS phát hiện dựa trên những dấu hiệu đặc biệt về các nguy có đã biết hay dựa trên so sánh lƣu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác thƣờng.
Hình 3-9. Hệ thống mạng sử dụng IDS
Tùy theo các tiêu chí khác nhau mà IDS đƣợc phân loại thành các loại IDS khác nhau nhƣ: Hệ thống phát hiện xâm nhập mạng (Network-based Intruction Detection System – NIDS), Hệ thống phát hiện xâm nhập cho máy (Host-based Intruction Detection System – HIDS)...
3.4.2. Chức năng của IDS
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng, hệ thống phát hiện xâm nhập trừ khi những đặc tính phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác... IDS có đƣợc chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống.
Một số lý do tại sao nên sử dụng IDS:
- Bảo vệ tính toàn vẹn của dữ liệu.
- Bảo vệ tính bí mật.
- Bảo vệ tính riêng tƣ.
-Cung cấp thông tin về sự xâm nhập, đƣa ra cách đối phó, khôi phục, sửa chữa... Chức năng của IDS : Giám sát – Cảnh báo – Bảo vệ.
- Giám sát: Giám sát các lƣu lƣợng mạng và các hoạt động khả nghi.
- Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
-Bảo vệ: Chống lại kẻ xâm nhập và phá hoại.
-Ngoài ra, IDS còn có một số chức năng mở rộng: phân biệt nguồn gốc tấn công, phát hiện những dấu hiệu bất thƣờng, ngăn chặn sự gia tăng của tấn công...
3.4.3. Kiến trúc của hệ thống IDS
Ngày nay, ngƣời ta thƣờng phân biệt các hệ thống IDS khác nhau thông qua việc phân tích và kiểm tra khác nhau của hệ thống. Mỗi hệ thống có những ƣu điểm cũng nhƣ khuyết điểm riêng nhƣng các hệ thống có thể đƣợc mô tả dƣới dạng tổng quát sau:
Hình 3-10. Kiến trúc hệ thống IDS
Thông thƣờng một IDS gồm có 3 module chính: module phân tích gói, module phát hiện tấn công, module phản ứng.
-Module phân tích gói: Module này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin. Card mạng (NIC) của máy giám sát đƣợc đặt ở chế độ hỗn tạp (promiscuous), tất cả các gói tin qua chúng đều đƣợc bắt lại và chuyển lên lớp trên. Bộ phân tích đọc thông tin từng trƣờng trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các thông tin này đƣợc chuyển đến module phát hiện tấn công.
-Module phát hiện tấn công: Đây là module quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn công.
-Module phản ứng: Khi có dấu hiệu của sự tấn công hoặc xâm nhập, module phát