Tiêu chuẩn nghiệm thu hệ thống

Một phần của tài liệu Báo cáo luận văn: Xây dựng hệ thống phòng, chống, ngăn chặn thư rác (Trang 63 - 71)

- Thống kê số lượng tin nhắn nhận được

k) Tiêu chuẩn nghiệm thu hệ thống

• Hệ thống được thiết kế và vận hành theo như mô tả trong tài liệu này, đồng thời đáp ứng các yêu cầu kỹ thuật chi tiết như trong tài liệu này.

• Hệ thống được hiệu chỉnh sau khi triển khai thử nghiệm. • Tổ chức đào tạo hướng dẫn sử dụng đối với người dùng.

• Người sử dụng thao tác tốt trên hệ thống sau khi qua khóa đào tạo của nhà cung cấp.

• Tất cả tài liệu và source chương trình được bàn giao đầy đủ.

VI.3.3. Phân hệ phòng chống, ngăn chặn thư điện tử rác

VI.3.3.1 Hệ thống phát hiện và thu thập thư điện tử rác

Hệ thống phát hiện, giám sát tình trạng thư điện tử rác tại các ISP.

Hiện nay theo thống kê của các tổ chức Antispam trên thế giới thì Việt Nam nằm trong top 10 quốc gia có số lượng thư điện tử rác gửi ra ngoài nhiều nhất. Các cổng kết nối ra Internet thế giới được đặt tại các ISP do đó các ISP là nơi tốt nhất cho việc phát hiện, giám sát tình trạng gửi thư điện tử rác của Việt Nam. Tuy nhiên việc giám sát thư điện tử rác tại các ISP cần đảm bảo các yếu tố sau:

Do có lưu lượng traffic rất lớn nên phải sử dụng những biện pháp đơn giản, linh hoạt tại các ISP. Điều này đảm bảo chất lượng dịch vụ của các ISP.

Vì đây là các cổng kết nối Internet ra quốc tế nên có rất nhiều thông tin nhạy cảm trao đổi qua ISP. Việc giám sát thư điện tử rác phải đảm bảo không xâm phạm tính riêng tư của người dùng như việc không đọc và lưu trữ nội dung thư điện tử.

Việc cài đặt và vận hành hệ thống phải đảm bảo tính ổn định, sẵn sàng không gây ảnh hưởng làm gián đoạn dịch vụ.

Có rất nhiều nhà cung cấp sản phẩm chống thư điện tử rác trên thế giới như PineApp, Vade Retro, SpamTitan... trong đó các giải pháp của các nhà cung cấp khác nhau đều có các kỹ thuật công nghệ phù hợp với từng đối tượng riêng biệt.

Giải pháp của Vade Retro đưa ra các đặc điểm chính để phát hiện thư rác như sử dụng một MTA làm proxy, bộ lọc spam tốc độ cao, dịch vụ unsubcribe cho người dùng. Tuy nhiên giải pháp này chỉ phù hợp với các ISP có lượng khách hàng nhỏ. Đối với các ISP tại Việt Nam với dải IP của mỗi ISP lên đến hàng triệu IP và băng thông hàng chục Gbps thì giải pháp này không thể thực hiện được.

Giải pháp của PineApp có các đặc điểm kỹ thuật chính như sau:

Để đảm bảo các yếu tố trên, các biện pháp kỹ thuật phát hiện thư điện tử rác được sử dụng là:

IP rate limit: Giới hạn số lượng email/ ip/ khoảng thời gian. Những máy chủ email

của các công ty lớn có số lượng email trao đổi với bên ngoài trung bình là 100.000 email / server/ ngày. Vậy trong mỗi giây mỗi máy chủ thư điện tử gửi được 1,2 email. Trong khi đó các botnet gửi spam liên tục gửi email với tần suất lên đến 2,3 email/ giây. Dựa vào đặc tính liên tục gửi spam này của botnet ta có thể tách biệt rõ ràng botnet và máy chủ email thông thường.

HELO check: Với các mail server, tên miền trong cú pháp HELO phải trùng với tên

miền máy chủ gửi thư ( RFC 5321 - Phần 4.1.4). Hệ thống phát hiện thư rác cần đọc 3 dòng lệnh đầu tiên của kết nối smtp để phát hiện các thông tin: HELO/EHLO , RCPT TO ( người nhận), MAIL FROM (người gửi). Việc giám sát chỉ 3 dòng lệnh đầu tiên này sẽ rất đơn giản và không tốn hiệu năng của hệ thống giám sát khi phải sử lý thông tin.

PTR, MX, SPF record: Tính năng này kiểm tra bản ghi ngược của các IP đạt tần suất

tối đa mà ta đã xác định ở kỹ thuật IP rate limit. Sau kỹ thuật IP rate limit, ta đã xác định được các IP gửi smtp với số lượng lớn. Các IP này thuộc vào các thành phần sau: SMTP server của các công ty lớn, SMTP server của các công ty email markerting (commercial emails) và các botnet. Các SMTP server sẽ được đăng ký các bản ghi PTR( bản ghi ngược), MX(bản ghi máy chủ nhận thư điên tử), SPF(bản ghi giới hạn danh sách máy chủ gửi thư đi của domain). Vì các botnet lây nhiễm trong máy người dùng và số lượng rất ít lây nhiễm trong các máy chủ nên việc kiểm tra các bản ghi nói trên sẽ loại bỏ được các botnet và các máy chủ không phải máy chủ thư điện tử. Các máy chủ vượt quá rate limit mà đáp ứng đủ các điều kiên về bản ghi PTR, MX, SPF sẽ tạm thời được chấp nhận và sẽ được kiểm duyệt bằng quản trị hệ thống.

ISP của Thái Lan là Telecom of Thailand (TOT) có hơn 4 triệu khách hàng với tổng kết nối ra internet là 70GBps. Trước khi triển khai hệ thống phát hiện thư rác ở TOT thì Thailand là quốc gia đứng thứ 10 về gửi email spam ( thống kê của Kaspersky Labs). Chỉ vài tháng sau triển khai thì Thailand đã ra khỏi top 20 quốc gia gửi email

Việc triển khai OSG làm sensor ở các ISP sẽ được thiết lập ở chế độ theo dõi đường truyền ra quốc tế từ các ISP. Thiết bị sensor này sẽ phát hiện thư điện tử rác và gửi thông tin về trung tâm dữ liệu tại VNCERT. Mô hình triển khai như dưới đây:

Hệ thống thu thập thư rác qua Spampots

Spampots là hệ thống có mục đích giống như honeypots, mỗi spampot là một máy chủ thư điện tử có nhiệm vụ nhận email spam gửi đến. Các địa chỉ email của các máy chủ thư điện tử sẽ được đưa lên mạng internet. Có những máy tính chuyên tìm kiếm địa chỉ email trên internet sẽ thu thập địa chỉ email này và chuyển cho các máy tính chuyên gửi email spam. Số lượng email spam gửi đến spampots sẽ phụ thuộc vào độ quảng bá các địa chỉ email này trên mạng internet.

Vì một số mục đích đặc thù cho hệ thống nên Vncert có thể tự triển khai hệ thống spampots bằng cách sử dụng một số ứng dụng mã nguồn mở và xây dựng một hệ thống quản lý chung cho các spampot.

Hệ thống thu thập thư rác từ phản hồi người dùng, các tổ chức antispam và bộ lọc thư rác của các tổ chức.

Trong tổng thể của việc phát hiện thư điện tử rác thì một trong những nguồn dữ liệu quan trọng đó chính là các thông báo từ người sử dụng dịch vụ thư điện tử. Vì vậy, một hệ thống tiếp nhận các thông báo thư rác từ người sử dụng cũng sẽ được xây dựng. Người dùng thư điện tử sẽ được khuyến khích, tuyên truyền để có ý thức gửi một bản sao thư điện tử rác về hệ thống tiếp nhận. Hệ thống này được xây dựng giống như một hệ thống thư điện tử thông thường.

Hiện nay trên thế giới có nhiều tổ chức antispam, trong đó có một số tổ chức chia sẻ thông tin về tình trạng spam trên thế giới hoặc riêng một quốc gia như Spamcop, Spamhaus, Uceprotect. Những tổ chức này có số lượng sensor rất lớn nên những thông tin thu thập được rất hữu dụng cho hệ thống thống kê thư rác. Do đó việc thu thập thông tin từ các tổ chức này là việc rất quan trọng.

Trên các máy chủ thư điện tử hiện nay đều được trang bị bộ lọc chống thư rác. Thông tin thu thập từ các bộ lọc này sẽ hữu ích như một sensor thu thập spam. Các thông tin này nếu được chuyển về hệ thống xử lý trung tâm sẽ gia tăng đáng kể dữ liệu thư rác. Để triển khai hệ thống này chỉ cần các bộ lọc chống thư rác của các tổ chức chuyển tiếp các dữ liệu này đến địa chỉ thu thập của ASS là các thư rác này sẽ được hệ thống tiếp nhận và xử lý.

Vì nhu cầu trên nên VNCERT cần xây dựng một hệ thống thu thập được thư điện tử rác từ nhiều nguồn. Hệ thống này mang tính đặc thù nên VNCERT sẽ tự xây dựng một

VI.3.3.2 Hệ thống xử lý và lưu trữ thông tin thư điện tử rác

Hệ thống trung tâm xử lý thông tin thư điện tử rác

Mục đích của hệ thống xử lý thư điện tử rác là lọc ra các thông tin cần thiết liên quan đến thư điện tử rác trước khi lưu vào cơ sở dữ liệu. Các thông tin này sẽ được sử dụng để thực hiện tác vụ báo cáo, thống kê, điều phối.

Hiện nay có rất nhiều công cụ cho phép phân tích thư điện tử, trong đó có cả các công cụ trực tuyến như emailTrackerPro, Magic NetTrace, DNS Stuff,... Người dùng chỉ cần đưa một mẫu thư điện tử vào lập tức các công cụ sẽ phân tích để lấy ra các thông tin về địa chỉ gửi, máy chủ, IP, tên miền, ....chủ yếu là các thông tin trong phần header của email. Tuy nhiên đây chỉ là các sản phẩm phân tích email đơn lẻ, phục vụ công tác điều tra, nghiên cứu.

Hình VI.3.2.1

Với yêu cầu đặc thù cần phải phân tích thư rác với số lượng lớn mẫu và mỗi mẫu cần phân tích toàn bộ cả nội dung email để có thể lấy được những thông tin quan trọng nhất liên quan tới thư rác phục vụ cho công tác báo cáo, thống kê thì hiện nay cũng chưa tìm được các sản phẩm thương mại nào. Vì vậy VNCERT cần chủ trì xây dựng, phát triển công cụ trên dựa trên các yêu cầu nghiệp vụ đối với toàn bộ hệ thống, tương tự như dưới đây:

Hệ thống lưu trữ thông tin thư điện tử rác

Đây là hệ thống trung tâm của toàn bộ các phân hệ. Có nhiệm vụ lưu trữ dữ liệu thu thập được từ đó đưa ra các cảnh báo và hỗ trợ ngăn chặn thư điện tử rác. Có nhiều sản phẩm thương mại để phục vụ mục đích lưu trữ dữ liệu như Oracle, MSSQL... Nhưng để lưu trữ các dữ liệu liên quan đến email, kết nối giữa việc thu thập từ các sensor OSG và hệ thống IP Reputation thì sử dụng hệ thống lưu trữ trung tâm của PineApp là thuận tiện nhất. Như vậy các dữ liệu từ Spampots, người dùng, các tổ chức antispam sau khi

xử lý chỉ cần gửi theo định dạng tiêu chuẩn của PineApp là có thể lưu trữ vào cơ sở dữ liệu.

Hình VI.3.2.1

VI.3.3.3 Hệ thống điều phối và ngăn chặn thư điện tử rác

Hệ thống thống kê, điều phối ngăn chặn thư điện tử rác.

Các thông tin thu thập được về thư điện tử rác là rất lớn và rất hữu ích trong việc đánh giá tình trạng thực tế về thư rác ở Việt Nam. Kết quả này cũng đánh giá hiệu quả của việc chống thư rác tại các đơn vị. Nhất là ta có thể theo dõi trực tiếp diễn biến thư rác tại Việt Nam từ đó đưa ra các biện pháp xử lý phù hợp.

Sau khi có các thông tin tổng hợp về tình trạng thư rác và cơ sở dữ liệu về các địa chỉ gửi thư rác thì cần có một hệ thống điều phối việc phối hợp các đơn vị ngăn chặn thư rác. Hệ thống này sẽ có nhiệm vụ điều phối các đơn vị liên quan như ISP, các hệ thống thư điện tử của cơ quan nhà nước ngăn chặn việc gửi thư rác từ cơ sở dữ liệu đã có. Các thư rác sau khi được thu thập, xử lý và lưu trữ sẽ được phân loại để điều phối cho các cơ quan chức năng liên quan. Các nội dung lừa đảo, xuyên tạc được chuyển cho các cơ quan chức năng chuyên ngành. Các nội dung rác chứa tệp tin đính kèm sẽ được chuyển cho các trung tâm phân tích mã độc.

Hình VI.3.3.1

Đây là các giải pháp mà trên thế giới không có các sản phẩm thương mại nào. Giải pháp này được xây dựng nhằm mục đích phục vụ hoạt động giám sát và điều phối phòng chống, ngăn chặn thư rác cho VNCERT nên sẽ có những yêu cầu riêng đặc thù phù hợp với môi trường Việt Nam cũng như chức năng, nhiệm vụ của VNCERT.

Hệ thống hỗ trợ ngăn chặn thư điện tử rác từ danh sách đen.

Mô tả

Danh sách đen hay còn gọi là DNSBL (DNS Blackhole List) là một danh sách chứa thông tin các địa chỉ thư điện tử , IP, tên miền được xác nhận là nguồn phát tán thư rác. DNSBL có thể tồn tại dưới dạng các tệp tin hoặc dưới dạng một có sở dữ liệu để tích hợp vào các máy chủ DNS hoặc cho các máy chủ DNS truy vấn vào. Các máy chủ thư điện tử sẽ thực hiện việc loại bỏ hoặc đánh dấu đổi với các thư điện tử có nguồn gốc nằm trong DNSBL. Danh sách đen được mô tả chi tiết trong RFC5782.

Trên thế giới có nhiều tổ chức chuyên về lĩnh vực thu thập và cung cấp danh sách đen của các máy chủ mail được kẻ phát tán thư rác sử dụng. Một số danh sách danh sách

vụ băng thông rộng sử dụng để lọc thư rác được gửi vào mạng của họ hay những người dùng dịch vụ của họ.

Có nhiều loại danh sách danh sách đen khác nhau (IP, DNS,...) đưa đến nhiều mức độ lọc khác nhau trong cộng đồng mạng, cho các ISP tự do lựa chọn chính sách lọc thư rác phù hợp với mình. Các danh sách đen có thể do cá nhân, các ESP, ISP hoặc một tổ chức cung cấp dịch vụ xây dựng. Dữ liệu trong danh sách đen có thể được cung cấp công khai hoặc có thu phí tùy từng trường hợp cụ thể. Mỗi danh sách đen có một tập luật và điều kiện khác nhau để xác định thư rác. Một vài danh sách quá khắt khe và quá nhiều điều kiện dẫn đến rủi ro các thư điện tử hợp lệ bị mất rất cao.

Tuy nhiên, trong dự án này, hệ thống danh sách đen được xây dựng dựa trên dữ liệu từ các mẫu thư rác nhận được. Một bộ tiêu chí đối với danh sách đen sẽ được xây dựng và được áp dụng đối với cơ sở dữ liệu thư rác, qua đó xác định được danh sách các tên miền, IP, ... phát tán thư rác. Các tổ chức, cá nhân có thể cập nhật danh sách này vào hệ thống máy chủ thư điện tử của mình để nâng cao hiệu quả lọc thư rác.

Giải pháp

Hiện nay trên thế giới có rất nhiều các hệ thống danh sách đen được xây dựng với mục đích cung cấp dịch vụ cho người sử dụng hoặc các tổ chức, doanh nghiệp như Spamhaus, spamcop,... Một số giải pháp được xây dựng chủ yếu hướng tới khách hàng là các ISP, ESP.

Một số quốc gia trên thế giới cũng đã triển khai hệ thống danh sách đen, danh sách trắng như Trung Quốc, Úc,... Để triển khai hệ thống IP Reputation ta có thể sử dụng sản phẩm của một số tổ chức như PineApp( antispam), Antonakakis.. Trong đó PineApp là một công ty chuyên về các sản phầm bảo mật như antispam, antivirus. Sản phẩm Ip Reputation của PineApp đã xây dựng giống như các hệ thống của Spamcop,

Sản phẩm Ip Reputaion của PineApp dễ dàng tương thích với các thiết bị sensor và các mẫu dữ liệu thu thập được từ spampots, người dùng.

Một phần của tài liệu Báo cáo luận văn: Xây dựng hệ thống phòng, chống, ngăn chặn thư rác (Trang 63 - 71)

Tải bản đầy đủ (DOC)

(96 trang)
w