4.1.4.1.Hệ thống bảo vệ, chống tấn công
Hệ thống bảo vệ chống tấn công ISS gồm 2 modul phần mềm chính:
– Modul quản lý ISS thực hiện giao diện giữa người sử dụng và phần tử ISS. Modul này cho phép cài đặt chiến lược bảo vệ, lưu trữ các thông số của các hiện tượng bất bình thường và thông báo lên màn hình khi cần thiết.
– Phần tử ISS, được cài đặt trên máy giữa mạng ngoài và mạng được bảo vệ. Phần tử này kiểm soát từng gói tin đi qua, quyết định gói tin nào cho qua, gói tin nào bị loại tuỳ theo chiến lược bảo vệ. Để tăng độ an toàn, tất cả liên lạc giữa phần tử ISS và chương trình quản lý đều được mã hoá.
Mạng nội bộ sẽđược đánh địa chỉ theo một hệ thống riêng. Mạng nội bộ kết nối với mạng bên ngoài qua một số các địa chỉ IP chính thức (public). Phần tử ISS có chức năng chuyển đổi địa chỉ mạng Network Address Translation_NAT) theo nguyên tắc sau:
– Truyền thông tin trong mạng nội bộ sẽ sử dụng địa chỉ IP riêng của mạng nội bộ.
– Truyền thông tin giữa các máy nội bộ với mạng ngoài được thực hiện như
sau:
+ Các gói tin từ máy được cấp địa chỉ IP tĩnh sẽ được đi ra mạng ngoài với một địa chỉ IP chính thức. Cơ chế gắn địa chỉ này có thể dùng cho Web Server, Mail Server hay đối với một số trạm làm việc đặc biệt.
+ Các gói tin từ máy gắn địa chỉđộng sẽ được chuyển đổi địa chỉ thông qua phần tử ISS. Phần tử này sẽ sửa gói tin để thay thế địa chỉ IP nội bộ bằng một địa chỉ IP chính thức.
Do sử dụng NAT, chúng ta sẽ có được một số tính năng sau: – Sử dụng tối đa các địa chỉ IP chính thức được cấp.
89
– Địa chỉ IP nội bộ được giữ bí mật, mạng bên ngoài không thể nhìn thấy
được.
– Có thể cấu hình lại mạng mà không cần thay đổi việc đánh địa chỉ TCP/IP. – Cho phép thay đổi địa chỉ IP chính thức mà không phải thay IP riêng của
mạng nội bộ cho từng máy trạm.
– Có thể mở rộng mạng mà không cần phải thêm các địa chỉ IP chính thức.
4.1.4.2.Hệ thống xác thực người sử dụng
Xác thực người sử dụng cung cấp cơ chế cho phép người sử dụng ở xa với địa chỉ thay đổi có thể truy nhập vào nguồn tài nguyên của mạng nội bộđối với một số dịch vụ.
Tuy nhiên khi xây dựng chiến lược bảo vệ, ta vẫn chưa biết địa chỉ IP của người sử dụng. Mặt khác, địa chỉ IP sẽ thay đổi khi người sử dụng đi công tác tới các
địa điểm khác nhau.
Đối với những người sử dụng quay sốđể truy nhập vào các tài nguyên hệ thống, ta có thể sử dụng một máy chủ lưu cơ sở dữ liệu về những người dùng để xác thực cho họ thông qua username và password quay số(RADIUS Server). Tín hiệu quay số vào Firewall ASA được truyền đến các Server này để xác thực bằng phương pháp challenge/password.
4.1.4.3.Hệ thống giám sát nột bộ
Việc giám sát, bảo vệ mạng nội bộ dựa trên hệ thống giám sát IMS(Intranet Monitoring System). Hệ thống này giám sát một cách trực tuyến các hoạt động trên mạng TCP/IP như truy nhập hệ thống máy phục vụ, trao đổi thư điện tử, Web, truyền files, đăng nhập từ xa và tra cứu cơ sở dữ liệu. Việc giám sát này cho phép nhà quản trị mạng có đầy đủ thông tin và tức thời về các hoạt động diễn ra trên mạng, từđó có những xử lý, tác động thích hợp đối với các trường hợp vi phạm nguyên tắc an toàn mạng.
Từ mô hình tổng quát đó ta có thể xây dựng được các mô hình của một hệ thống máy tính bảo mật, tuỳ thuộc vào từng tổ chức, từng hệ thống và chức năng của
90
nó mà cấu trúc mạng sẽ có các dạng phù hợp.