Tiêu chuẩn nghiệm thu hệ thống

- Thống kê số lượng tin nhắn nhận được

k) Tiêu chuẩn nghiệm thu hệ thống

• Hệ thống được thiết kế và vận hành theo như mô tả trong tài liệu này, đồng thời đáp ứng các yêu cầu kỹ thuật chi tiết như trong tài liệu này.

• Hệ thống được hiệu chỉnh sau khi triển khai thử nghiệm. • Tổ chức đào tạo hướng dẫn sử dụng đối với người dùng.

• Người sử dụng thao tác tốt trên hệ thống sau khi qua khóa đào tạo của nhà cung cấp.

• Tất cả tài liệu và source chương trình được bàn giao đầy đủ.

VI.3.3. Phân hệ phòng chống, ngăn chặn thư điện tử rác

VI.3.3.1 Hệ thống phát hiện và thu thập thư điện tử rác

Hệ thống phát hiện, giám sát tình trạng thư điện tử rác tại các ISP.

Hiện nay theo thống kê của các tổ chức Antispam trên thế giới thì Việt Nam nằm trong top 10 quốc gia có số lượng thư điện tử rác gửi ra ngoài nhiều nhất. Các cổng kết nối ra Internet thế giới được đặt tại các ISP do đó các ISP là nơi tốt nhất cho việc phát hiện, giám sát tình trạng gửi thư điện tử rác của Việt Nam. Tuy nhiên việc giám sát thư điện tử rác tại các ISP cần đảm bảo các yếu tố sau:

Do có lưu lượng traffic rất lớn nên phải sử dụng những biện pháp đơn giản, linh hoạt tại các ISP. Điều này đảm bảo chất lượng dịch vụ của các ISP.

Vì đây là các cổng kết nối Internet ra quốc tế nên có rất nhiều thông tin nhạy cảm trao đổi qua ISP. Việc giám sát thư điện tử rác phải đảm bảo không xâm phạm tính riêng tư của người dùng như việc không đọc và lưu trữ nội dung thư điện tử.

Việc cài đặt và vận hành hệ thống phải đảm bảo tính ổn định, sẵn sàng không gây ảnh hưởng làm gián đoạn dịch vụ.

Có rất nhiều nhà cung cấp sản phẩm chống thư điện tử rác trên thế giới như PineApp, Vade Retro, SpamTitan... trong đó các giải pháp của các nhà cung cấp khác nhau đều có các kỹ thuật công nghệ phù hợp với từng đối tượng riêng biệt.

Giải pháp của Vade Retro đưa ra các đặc điểm chính để phát hiện thư rác như sử dụng một MTA làm proxy, bộ lọc spam tốc độ cao, dịch vụ unsubcribe cho người dùng. Tuy nhiên giải pháp này chỉ phù hợp với các ISP có lượng khách hàng nhỏ. Đối với các ISP tại Việt Nam với dải IP của mỗi ISP lên đến hàng triệu IP và băng thông hàng chục Gbps thì giải pháp này không thể thực hiện được.

Giải pháp của PineApp có các đặc điểm kỹ thuật chính như sau:

Để đảm bảo các yếu tố trên, các biện pháp kỹ thuật phát hiện thư điện tử rác được sử dụng là:

IP rate limit: Giới hạn số lượng email/ ip/ khoảng thời gian. Những máy chủ email

của các công ty lớn có số lượng email trao đổi với bên ngoài trung bình là 100.000 email / server/ ngày. Vậy trong mỗi giây mỗi máy chủ thư điện tử gửi được 1,2 email. Trong khi đó các botnet gửi spam liên tục gửi email với tần suất lên đến 2,3 email/ giây. Dựa vào đặc tính liên tục gửi spam này của botnet ta có thể tách biệt rõ ràng botnet và máy chủ email thông thường.

HELO check: Với các mail server, tên miền trong cú pháp HELO phải trùng với tên

miền máy chủ gửi thư ( RFC 5321 - Phần 4.1.4). Hệ thống phát hiện thư rác cần đọc 3 dòng lệnh đầu tiên của kết nối smtp để phát hiện các thông tin: HELO/EHLO , RCPT TO ( người nhận), MAIL FROM (người gửi). Việc giám sát chỉ 3 dòng lệnh đầu tiên này sẽ rất đơn giản và không tốn hiệu năng của hệ thống giám sát khi phải sử lý thông tin.

PTR, MX, SPF record: Tính năng này kiểm tra bản ghi ngược của các IP đạt tần suất

tối đa mà ta đã xác định ở kỹ thuật IP rate limit. Sau kỹ thuật IP rate limit, ta đã xác định được các IP gửi smtp với số lượng lớn. Các IP này thuộc vào các thành phần sau: SMTP server của các công ty lớn, SMTP server của các công ty email markerting (commercial emails) và các botnet. Các SMTP server sẽ được đăng ký các bản ghi PTR( bản ghi ngược), MX(bản ghi máy chủ nhận thư điên tử), SPF(bản ghi giới hạn danh sách máy chủ gửi thư đi của domain). Vì các botnet lây nhiễm trong máy người dùng và số lượng rất ít lây nhiễm trong các máy chủ nên việc kiểm tra các bản ghi nói trên sẽ loại bỏ được các botnet và các máy chủ không phải máy chủ thư điện tử. Các máy chủ vượt quá rate limit mà đáp ứng đủ các điều kiên về bản ghi PTR, MX, SPF sẽ tạm thời được chấp nhận và sẽ được kiểm duyệt bằng quản trị hệ thống.

ISP của Thái Lan là Telecom of Thailand (TOT) có hơn 4 triệu khách hàng với tổng kết nối ra internet là 70GBps. Trước khi triển khai hệ thống phát hiện thư rác ở TOT thì Thailand là quốc gia đứng thứ 10 về gửi email spam ( thống kê của Kaspersky Labs). Chỉ vài tháng sau triển khai thì Thailand đã ra khỏi top 20 quốc gia gửi email

Việc triển khai OSG làm sensor ở các ISP sẽ được thiết lập ở chế độ theo dõi đường truyền ra quốc tế từ các ISP. Thiết bị sensor này sẽ phát hiện thư điện tử rác và gửi thông tin về trung tâm dữ liệu tại VNCERT. Mô hình triển khai như dưới đây:

Hệ thống thu thập thư rác qua Spampots

Spampots là hệ thống có mục đích giống như honeypots, mỗi spampot là một máy chủ thư điện tử có nhiệm vụ nhận email spam gửi đến. Các địa chỉ email của các máy chủ thư điện tử sẽ được đưa lên mạng internet. Có những máy tính chuyên tìm kiếm địa chỉ email trên internet sẽ thu thập địa chỉ email này và chuyển cho các máy tính chuyên gửi email spam. Số lượng email spam gửi đến spampots sẽ phụ thuộc vào độ quảng bá các địa chỉ email này trên mạng internet.

Vì một số mục đích đặc thù cho hệ thống nên Vncert có thể tự triển khai hệ thống spampots bằng cách sử dụng một số ứng dụng mã nguồn mở và xây dựng một hệ thống quản lý chung cho các spampot.

Hệ thống thu thập thư rác từ phản hồi người dùng, các tổ chức antispam và bộ lọc thư rác của các tổ chức.

Trong tổng thể của việc phát hiện thư điện tử rác thì một trong những nguồn dữ liệu quan trọng đó chính là các thông báo từ người sử dụng dịch vụ thư điện tử. Vì vậy, một hệ thống tiếp nhận các thông báo thư rác từ người sử dụng cũng sẽ được xây dựng. Người dùng thư điện tử sẽ được khuyến khích, tuyên truyền để có ý thức gửi một bản sao thư điện tử rác về hệ thống tiếp nhận. Hệ thống này được xây dựng giống như một hệ thống thư điện tử thông thường.

Hiện nay trên thế giới có nhiều tổ chức antispam, trong đó có một số tổ chức chia sẻ thông tin về tình trạng spam trên thế giới hoặc riêng một quốc gia như Spamcop, Spamhaus, Uceprotect. Những tổ chức này có số lượng sensor rất lớn nên những thông tin thu thập được rất hữu dụng cho hệ thống thống kê thư rác. Do đó việc thu thập thông tin từ các tổ chức này là việc rất quan trọng.

Trên các máy chủ thư điện tử hiện nay đều được trang bị bộ lọc chống thư rác. Thông tin thu thập từ các bộ lọc này sẽ hữu ích như một sensor thu thập spam. Các thông tin này nếu được chuyển về hệ thống xử lý trung tâm sẽ gia tăng đáng kể dữ liệu thư rác. Để triển khai hệ thống này chỉ cần các bộ lọc chống thư rác của các tổ chức chuyển tiếp các dữ liệu này đến địa chỉ thu thập của ASS là các thư rác này sẽ được hệ thống tiếp nhận và xử lý.

Vì nhu cầu trên nên VNCERT cần xây dựng một hệ thống thu thập được thư điện tử rác từ nhiều nguồn. Hệ thống này mang tính đặc thù nên VNCERT sẽ tự xây dựng một

VI.3.3.2 Hệ thống xử lý và lưu trữ thông tin thư điện tử rác

Hệ thống trung tâm xử lý thông tin thư điện tử rác

Mục đích của hệ thống xử lý thư điện tử rác là lọc ra các thông tin cần thiết liên quan đến thư điện tử rác trước khi lưu vào cơ sở dữ liệu. Các thông tin này sẽ được sử dụng để thực hiện tác vụ báo cáo, thống kê, điều phối.

Hiện nay có rất nhiều công cụ cho phép phân tích thư điện tử, trong đó có cả các công cụ trực tuyến như emailTrackerPro, Magic NetTrace, DNS Stuff,... Người dùng chỉ cần đưa một mẫu thư điện tử vào lập tức các công cụ sẽ phân tích để lấy ra các thông tin về địa chỉ gửi, máy chủ, IP, tên miền, ....chủ yếu là các thông tin trong phần header của email. Tuy nhiên đây chỉ là các sản phẩm phân tích email đơn lẻ, phục vụ công tác điều tra, nghiên cứu.

Hình VI.3.2.1

Với yêu cầu đặc thù cần phải phân tích thư rác với số lượng lớn mẫu và mỗi mẫu cần phân tích toàn bộ cả nội dung email để có thể lấy được những thông tin quan trọng nhất liên quan tới thư rác phục vụ cho công tác báo cáo, thống kê thì hiện nay cũng chưa tìm được các sản phẩm thương mại nào. Vì vậy VNCERT cần chủ trì xây dựng, phát triển công cụ trên dựa trên các yêu cầu nghiệp vụ đối với toàn bộ hệ thống, tương tự như dưới đây:

Hệ thống lưu trữ thông tin thư điện tử rác

Đây là hệ thống trung tâm của toàn bộ các phân hệ. Có nhiệm vụ lưu trữ dữ liệu thu thập được từ đó đưa ra các cảnh báo và hỗ trợ ngăn chặn thư điện tử rác. Có nhiều sản phẩm thương mại để phục vụ mục đích lưu trữ dữ liệu như Oracle, MSSQL... Nhưng để lưu trữ các dữ liệu liên quan đến email, kết nối giữa việc thu thập từ các sensor OSG và hệ thống IP Reputation thì sử dụng hệ thống lưu trữ trung tâm của PineApp là thuận tiện nhất. Như vậy các dữ liệu từ Spampots, người dùng, các tổ chức antispam sau khi

xử lý chỉ cần gửi theo định dạng tiêu chuẩn của PineApp là có thể lưu trữ vào cơ sở dữ liệu.

Hình VI.3.2.1

VI.3.3.3 Hệ thống điều phối và ngăn chặn thư điện tử rác

Hệ thống thống kê, điều phối ngăn chặn thư điện tử rác.

Các thông tin thu thập được về thư điện tử rác là rất lớn và rất hữu ích trong việc đánh giá tình trạng thực tế về thư rác ở Việt Nam. Kết quả này cũng đánh giá hiệu quả của việc chống thư rác tại các đơn vị. Nhất là ta có thể theo dõi trực tiếp diễn biến thư rác tại Việt Nam từ đó đưa ra các biện pháp xử lý phù hợp.

Sau khi có các thông tin tổng hợp về tình trạng thư rác và cơ sở dữ liệu về các địa chỉ gửi thư rác thì cần có một hệ thống điều phối việc phối hợp các đơn vị ngăn chặn thư rác. Hệ thống này sẽ có nhiệm vụ điều phối các đơn vị liên quan như ISP, các hệ thống thư điện tử của cơ quan nhà nước ngăn chặn việc gửi thư rác từ cơ sở dữ liệu đã có. Các thư rác sau khi được thu thập, xử lý và lưu trữ sẽ được phân loại để điều phối cho các cơ quan chức năng liên quan. Các nội dung lừa đảo, xuyên tạc được chuyển cho các cơ quan chức năng chuyên ngành. Các nội dung rác chứa tệp tin đính kèm sẽ được chuyển cho các trung tâm phân tích mã độc.

Hình VI.3.3.1

Đây là các giải pháp mà trên thế giới không có các sản phẩm thương mại nào. Giải pháp này được xây dựng nhằm mục đích phục vụ hoạt động giám sát và điều phối phòng chống, ngăn chặn thư rác cho VNCERT nên sẽ có những yêu cầu riêng đặc thù phù hợp với môi trường Việt Nam cũng như chức năng, nhiệm vụ của VNCERT.

Hệ thống hỗ trợ ngăn chặn thư điện tử rác từ danh sách đen.

Mô tả

Danh sách đen hay còn gọi là DNSBL (DNS Blackhole List) là một danh sách chứa thông tin các địa chỉ thư điện tử , IP, tên miền được xác nhận là nguồn phát tán thư rác. DNSBL có thể tồn tại dưới dạng các tệp tin hoặc dưới dạng một có sở dữ liệu để tích hợp vào các máy chủ DNS hoặc cho các máy chủ DNS truy vấn vào. Các máy chủ thư điện tử sẽ thực hiện việc loại bỏ hoặc đánh dấu đổi với các thư điện tử có nguồn gốc nằm trong DNSBL. Danh sách đen được mô tả chi tiết trong RFC5782.

Trên thế giới có nhiều tổ chức chuyên về lĩnh vực thu thập và cung cấp danh sách đen của các máy chủ mail được kẻ phát tán thư rác sử dụng. Một số danh sách danh sách

vụ băng thông rộng sử dụng để lọc thư rác được gửi vào mạng của họ hay những người dùng dịch vụ của họ.

Có nhiều loại danh sách danh sách đen khác nhau (IP, DNS,...) đưa đến nhiều mức độ lọc khác nhau trong cộng đồng mạng, cho các ISP tự do lựa chọn chính sách lọc thư rác phù hợp với mình. Các danh sách đen có thể do cá nhân, các ESP, ISP hoặc một tổ chức cung cấp dịch vụ xây dựng. Dữ liệu trong danh sách đen có thể được cung cấp công khai hoặc có thu phí tùy từng trường hợp cụ thể. Mỗi danh sách đen có một tập luật và điều kiện khác nhau để xác định thư rác. Một vài danh sách quá khắt khe và quá nhiều điều kiện dẫn đến rủi ro các thư điện tử hợp lệ bị mất rất cao.

Tuy nhiên, trong dự án này, hệ thống danh sách đen được xây dựng dựa trên dữ liệu từ các mẫu thư rác nhận được. Một bộ tiêu chí đối với danh sách đen sẽ được xây dựng và được áp dụng đối với cơ sở dữ liệu thư rác, qua đó xác định được danh sách các tên miền, IP, ... phát tán thư rác. Các tổ chức, cá nhân có thể cập nhật danh sách này vào hệ thống máy chủ thư điện tử của mình để nâng cao hiệu quả lọc thư rác.

Giải pháp

Hiện nay trên thế giới có rất nhiều các hệ thống danh sách đen được xây dựng với mục đích cung cấp dịch vụ cho người sử dụng hoặc các tổ chức, doanh nghiệp như Spamhaus, spamcop,... Một số giải pháp được xây dựng chủ yếu hướng tới khách hàng là các ISP, ESP.

Một số quốc gia trên thế giới cũng đã triển khai hệ thống danh sách đen, danh sách trắng như Trung Quốc, Úc,... Để triển khai hệ thống IP Reputation ta có thể sử dụng sản phẩm của một số tổ chức như PineApp( antispam), Antonakakis.. Trong đó PineApp là một công ty chuyên về các sản phầm bảo mật như antispam, antivirus. Sản phẩm Ip Reputation của PineApp đã xây dựng giống như các hệ thống của Spamcop,

Sản phẩm Ip Reputaion của PineApp dễ dàng tương thích với các thiết bị sensor và các mẫu dữ liệu thu thập được từ spampots, người dùng.

Một phần của tài liệu BÁO CÁO LUẬN VĂN: XÂY DỰNG HỆ THỐNG PHÒNG, CHỐNG, NGĂN CHẶN THƯ RÁC (Trang 63 -71 )

- Thống kê số lượng tin nhắn nhận được

k) Tiêu chuẩn nghiệm thu hệ thống

Mục lục

Tài liệu bạn tìm kiếm đã sẵn sàng tải về