- Chất lượng của dịch vụ (QoS)
3.3.3Đánh giá về hệ thống đảm bảo an ninh
Ngày nay, hầu như doanh nghiệp nào có kết nối Internet cũng sử dụng các Firewall để tự bảo vệ mình trước thế giới nhiều biến động bên ngoài. Và đây chính là lớp phòng vệ bên ngoài của các doanh nghiệp. Với sự tiến bộ vượt bậc của công nghệ, các công cụ, kỹ thuật tấn công ngày dễ dàng hơn, có vô số những website hướng dẫn và cung cấp miễn phí các công cụ tấn công trên Internet. Do đó, phòng thủ vòng ngoài hoặc chỉ phòng thủ một lớp không thôi thì không đủ để đảm bảo các vấn đề an ninh mạng.
Cho đến nay, các doanh nghiệp buộc phải triển khai nhiều thứ trong công nghệ bảo mật để đối phó với một mối đe dọa mới khi nó xuất hiện. Phòng ngừa virus, các bộ lọc chống thư rác (spam mail), tường lửa để kiểm soát truy cập, phát hiện xâm nhập để chống hacker, ... Toàn bộ quá trình này rất tốn kém, cồng kềnh và dư thừa. Mục tiêu thực hiện bảo mật là đưa ra giải pháp bảo mật tốt với chi phí đầu tư thấp nhất.
Hình 3.27 Kiến trúc bảo mật đề xuất
Kiến trúc bảo mật bao gồm nhiều phân lớp bảo mật:
Phân lớp bảo vệ: sử dụng các công nghệ bảo mật như Firewall, IDS, IPS để chống lại các tấn công xuất phát từ bên trong lẫn bên ngoài.
Bảo mật các kết nối mạng: đảm bảo các thông tin quan trọng được bảo mật trên đường truyền.
Xác thực và nhận dạng, và cấp quyền truy cập tới các tài nguyên hệ thống. Kiểm soát truy cập, đảm bao an ninh tại phân lớp ứng dụng
Áp dụng vào hệ thống mạng Bộ tài chính, việc đảm bảo an ninh cho toàn bộ hệ thống được chia ra thành các phần chính:
An ninh cho các kết nối WAN
An ninh cho phần mạng trục MPLS Bộ tài chính
An ninh giữa các đơn vị sử dụng dịch vụ MPLS VPN nội bộ ngành Tài chính An ninh hệ thống cho cổng kết nối Internet ( Internet gateway)
3.3.3.1 An ninh cho các kết nối WAN
Trên hạ tầng mạng Bộ tài Chính ( Bao gồm các TTT & TTM), đối với các kết nối sử dụng MPLS VPN của các nhà cung cấp dịch vụ công cộng, đã sử dụng phương
thức mã hóa IPSec cho các GRE tunnel theo như đã mô tả ở trên do đó hoàn toàn đảm bảo tính an toàn.
Đối với các kết nối WAN truyền thống ( hiện sử dụng leased-lines), sử dụng các thiết bị mã hóa đường truyền Layer-1 cho các đường leased-lines, Layer-2 cho Frame-Relay. Hình vẽ dưới đây mô tả việc sử dụng các thiết bị mã hóa Layer-1 điểm- điểm cho các kết nối Leased-lines từ TTT, trụ sở chính các Ngành lên thiết bị TTM-2. Ưu điểm của việc sử dụng các thiết bị mã hóa Layer-1 điểm-điểm ở đây là không làm phức tạp hóa cấu trúc lôgíc của toàn bộ hệ thống.
Hình 3.28 Mã hoá đường truyền Leased – lines giữa TTT - TTM
3.3.3.2 An ninh cho phần mạng trục của MPLS VPN của bộ tài chính
MPLS cung cấp khả năng tách biệt định tuyến, địa chỉ mạng đầy đủ như các dịch vụ layer-2 VPN truyền thống khác. MPLS dấu các cấu trúc địa chỉ lớp mạng core và các VPN khác.
Cần thực hiện biện pháp chống giả mạo địa chỉ (IP Spoofing): Yêu cầu triển khai trên tất cả các PE router để chống IP spoofing. Cho phép kiểm tra từng gói tin
nhận được của một giao diện. Căn cứ vào địa chỉ IP nguồn của gói tin, nếu trong bảng định tuyến không có đường định tuyến nào trỏ tới cùng một cổng giao tiếp nơi mà gói tin đã đến, thì router sẽ loại bỏ gói tin này.
Có biện pháp chống tấn công từ chối dịch vụ kiểu phân bố (DDoS): Lọc, giới hạn các route.
Áp dụng các bước ingress & egress filter (xem RFC 2267) bằng các access lists (ACLs).
Các PE router cần được cấu hình chỉ chấp nhận các gói tin đi vào từ phía CE khi gói tin đó thuộc về các CE. Kết quả là các PE router sẽ loại bỏ bất kỳ gói tin nào đi vào PE từ CE với địa chỉ nguồn trùng với địa chỉ trên mạng Core hoặc thuộc về CE khác.
3.3.3.3 An ninh cho các đơn vị sử dụng dịch vụ MPLS VPN riêng ngành tài chính
Hình vẽ dưới đây thể hiện mô hình phân tách các lớp mạng, đảm bảo an ninh cho các ngành trực thuộc khi sử dụng dịch vụ MPLS VPN trên cùng hạ tầng mạng của Bộ tài chính.
Trong đó, mạng nội bộ của các ngành trực thuộc như Thuế, KB, HQ,... được tách biệt bởi các VPN khác nhau, có thể sử dụng dải địa chỉ IP trùng nhau ( ví dụ 10.1.x.x như trên hình vẽ). Giữa các mạng nội bộ này không thể có sự trao đổi số liệu trực tiếp với nhau.
Để có thể tách riêng Server dùng chung của các đơn vị thành 1 VRF riêng, có thể áp dụng tính năng Multi-VRF trên các CE router. ( Multi-VRF là một tính năng cho phép cấu hình nhiều bảng VRF trên cùng 1 CE router vật lý, ứng dụng được mô tả như hình vẽ dưới đây:
Trong chính sách đánh số RD, RT đưa ra ở đây, mạng nội bộ của ngành này không truy cập trực tiếp được tới phân hệ Server dùng chung của ngành khác, mà phải thông qua phân hệ Server dùng chung của ngành mình.
Ví dụ, User ở mạng trong của Thuế không trực tiếp truy cập tới Servers dùng chung của KB, mà phải gián tiếp thông qua các Servers dùng chung của Thuế.
Địa chỉ IP sử dụng trên sơ đồ mang tính chất mô tả, theo đó, mạng nội bộ thuộc các ngành hoàn toàn tách biệt với nhau, việc trao đổi số liệu giữa các ngành được thực hiện thông qua các phân hệ Server dùng chung. Do đó, việc bảo vệ an ninh giữa các ngành với nhau, chống các loại hình tấn công xuất phát từ bên trong sang các ngành khác, chống việc lan tràn virus, worm trên hệ thống được thực hiện bởi các thiết bị đảm bảo an ninh hệ thống trên kết nối giữa CE-Router của một đơn vị ( kết nối tới mạng MPLS BTC) và phân hệ Server dùng chung của đơn vị đó. Các thiết bị đảm bảo an ninh hệ thống này bao gồm các Firewall, IDS/IPS, Anti-virus, Anti-worm, ngoài ra, trên các Server ứng dụng quan trọng có thể bổ sung thêm các phần mềm bảo vệ H-IPS
3.3.3.4 An ninh hệ thống cho kết nối Internet (adsbygoogle = window.adsbygoogle || []).push({});
Việc bảo vệ an ninh hệ thống chống lại các mối đe dọa từ bên ngoài Internet được thực hiện thông qua nhiều mức bảo vệ khác nhau.
Anti Virus, worm Internet IPS Firewall BTC Hình 3.30 An ninh vòng ngoài
Bắt đầu từ kết nối Internet, Internet router thực hiện các công việc bảo vệ chống các tấn công cơ bản từ bên ngoài dựa vào các danh sách điều khiển truy cập ( Access- Control-List), sau đó trước khi lưu lượng đến được firewall, hệ thống chống xâm nhập (IPS) được đặt ngay tại vòng ngoài. Hệ thống IPS được đặt trước tường lửa làm lớp bảo vệ đầu tiên và phản ứng lại với các cuộc xâm nhập, không cần sự can thiêp của người quản trị hệ thống
Kiểm soát truy cập từ Internet được bảo vệ bởi tường lửa. Đây là lớp phòng vệ đầu tiên trước các mạng không có độ tin cậy cao về mạng an ninh hệ thống như BTC.
Hệ thống Firewall vòng ngoài này được nối thẳng tới PE-router của mạng MPLS BTC, hệ thống firewall này cần hỗ trợ khả năng phân chia VLAN trên các giao diện Ethernet, khả năng tạo nhiều ‘virtual-firewall’, để qua đó có thể gán mỗi ‘virtual- firewall’ cho một ngành trực thuộc, gán các VLAN các VRF tương ứng với VPN của các ngành. Như vậy, khi các ngành sử dụng kết nối ra ngoài Internet trên hạ tầng chung của BTC, các ngành này sẽ có thể được trao quyền quản lý ‘virtual-firewall’ đó cho các ngành trực thuộc tự thiết lập các chính sách bảo mật riêng phù hợp với đặc thù của từng ngành.
Hình 3.31 Bảo vệ các hệ thống ứng dụng
Tường lửa thứ hai của bộ tài chánh là lớp phòng vệ thứ hai và phòng vệ chiều sâu để bảo vệ hệ thống những ứng dụng.
Một đặc điểm của các ứng dụng ngành Tài chính là việc sử dụng giao thức https cho các ứng dụng quan trọng, do đó các thiết bị chống xâm nhập IDS cần hỗ trợ khả năng phân tích giám sát lưu lượng dạng mã hóa SSL.
Phân hệ các Server cơ sở dữ liệu ( backend server)
Được bảo vệ bởi tầng firewall thứ ba. Firewall thuộc các tầng khác nhau được sử dụng của các hãng khác nhau nhằm mục đích giảm thiểu khả năng bị tấn công do lỗ hổng bảo mật trên tại một thời điểm của một chủng loại firewall nào đó.
Ngoài ra, cần có các hệ thống chống Virus, Worm, lọc URL làm việc với các Firewall, cho phép hoạt động trong suốt đối với người sử dụng.
Xác thực và Nhận dạng
Các truy cập từ bên ngoài vào một số Server ứng dụng đặc biệt nào đó trên vùng DMZ cần được xác thực username/password và cấp quyền truy cập. Việc này được thực hiện nhờ các RADIUS Server. Các firewall có khả năng xác thực & cấp quyền truy cập sẽ làm việc với các RADIUS Server. RADIUS Server được đặt trong phân hệ quản trị mạng.