Trước sựảnh hưởng và sự mất an toàn thông tin cho cổng thông tin điện tử/ trang thông tin điện tử. Bộ Thông tin và truyền thông, trung tâm ứng cứu VNCERT đã ban hành văn bản và hướng dẫn giải pháp tới các cơ quan về các biện pháp đảm bảo ATTT cho cổng thông tin điện tửnhư sau:
Hình 21 Nội dung đảm bảo ATTT cho cổng thông tin điện tử
Theo đó các cơ quan đơn vị cần: - Xác định cấu trúc web.
- Triển khai hệ thống phòng thủ.
- Thiết đặt và cấu hình hệ thống máy chủ an toàn. - Vận hành ứng dụng web an toàn.
- Thiết đặt và cấu hình cơ sở dữ liệu an toàn. - Cài đặt các ứng dụng bảo vệ.
- Thiết lập cơ chếsao lưu và phục hồi.
53
Trong đó, việc xác định cấu trúc web giúp cho người quản trị xác định được mô hình, và có cách khi có hình thức tấn công xảy ra.
Một ứng dụng web khi triển khai, về cơ bản sẽ có 3 lớp như sau: lớp trình diễn, lớp ứng dụng và lớp cơ sở dữ liệu.
Việc hoạch định tốt các lớp trong cấu trúc web không những giúp người quản trị dễ vận hành mà còn chủ động trong phòng, chống các nguy cơ tấn công từ tin tặc.
Hình 22 Các mô hình được triển khai cổng thông tin điện tử
Nhìn trên mô hình trên ta thấy nếu giữa các lớp không có sự tách biệt rõ ràng thì khi một lớp bị tin tặc tấn công và chiếm quyền kiểm soát có thể dẫn đến các lớp khác cũng bịảnh hưởng theo. Do vậy, khi triển khai thực tiễn nên thiết kế tách biệt độc lập theo mô hình 3 lớp để tránh tình trạng một lớp bị tấn công và chiếm quyền kiểm soát dẫn đến các lớp khác bị ảnh hưởng. Việc phân loại độc lập 3 lớp như trên sẽ tạo điều kiện thuận lợi cho việc vận hành, bảo trì hệ thống cũng như dễ dàng áp dụng các biện pháp bảo vệđối với mỗi lớp riêng biệt.
54
Việc tổ chức mô hình mạng hợp lý có ảnh hưởng lớn đến sự an toàn cho các cổng thông tin điện tử.
Hình 23 Mô hình mạng tổng quan
Khi xây dựng mô hình mạng: Đặt các máy chủ web, máy chủ thư điện tử (mail server), v.v...; Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực v.v...; Nên thiết lập các hệ thống phòng thủ như tường lửa (firewall) và hệ phát hiện tấn công và ngăn chặn tấn công IDPS để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép.
Khuyến cáo đặt firewall và IDPS ở các vịtrí như sau:
- Đặt firewall giữa đường nối mạng Internet với các vùng mạng khác nhằm hạn chế các tấn công từ mạng từ bên ngoài vào;
- Đặt firewall giữa các vùng mạng nội bộ và mạng DMZ nhằm hạn chế các tấn công giữa các vùng đó;
- Đặt IDPS tại vùng cần theo dõi và bảo vệ; Nên đặt một Router ngoài cùng (Router biên) trước khi kết nối đến nhà cung cấp dịch vụ internet
55
(ISP) để lọc một số lưu lượng không mong muốn và chặn những gói tin đến từ những địa chỉ IP không hợp lệ.
4.1.2. Giải pháp của cơ quan.
4.1.2.1. Mô hình cổng thông tinđiện tử cơ quan
Hình 24 Mô hình cổng thông tin điện tử tại cơ quan Bộ
Cổng thông tin điện tử Bộ Y tếđược xây dựng từ2009 để đáp ứng và thuận lợi cho việc trao đổi thông tin của cơ quan với người dân cũng như doanh nghiệp. Nó đáp ứng đầy đủ các yêu cầu tính năng cho cổng thông tin.
4.1.2.2. Giải pháp bảo mật đang được sử dụng tại cơ quan
Theo định hướng 112 - Văn phòng Chính phủ, mô hình hệ thống mạng của các Bộ phải được thiết kếnhư một thực thể thống nhất, cùng phối kết hợp và hỗ trợ lẫn nhau. Toàn bộ hệ thống mạng được chia làm 4 vùng:
56
- Vùng truy nhập: là vùng có chức năng truy cập với mạng CPNet của Chính phủ, các hệ thống mạng khác và cung cấp dịch vụ truy cập từ xa.
- Vùng DMZ: là vùng có chức năng cung cấp các dịch vụ công cho mạng bên ngoài và mạng bên trong. Vùng DMZ chứa các thành phần của hệ thống mạng mà người sử dụng từ xa qua mạng Internet và mạng CPNet có thể truy cập được thông tin. Các thiết bị và máy chủvùng này được thiết lập cung cấp các dịch vụnhư: Website, thư điện tử, ... các dịch vụ này sẽ phải hồi đáp các yêu cầu về truy cập Website, thư điện tử, ... từ người dùng ngoài mạng Internet, mạng khác và từ mạng nội bộ.
- Vùng quản trị (hay vùng an toàn): là vùng được dùng đểlàm nơi đặt các máy chủ CSDL, máy chủ Backup và các máy chủ ứng dụng phục vụ hoạt động của hệ thống mạng nội bộ.
- Vùng làm việc: là vùng trong đó phân bổ, bố trí các VLAN thuộc mạng nội bộ. Các VLAN này được kết nối trực tiếp với nhau thông qua thiết bị Firewall.
Firewall lớp ngoài là thiết bị bảo vệ, ngăn cách giữa vùng truy nhập và vùng DMZ. Thiết bị bảo vệ sẽ nhận yêu cầu kết nối từ lớp truy nhập rồi kiểm tra các nguy cơ có thể có từ các yêu cầu kết nối này.
- Ngăn mọi dịch vụ không cần thiết, các giao thức cho phép sẽ chỉ bao gồm giao thức IPSec VPN, các giao thức thư điện tử, các giao thức Website Http, ... và cấm tất cả các truy cập từ các địa chỉ không cho phép, tới các dịch vụ không được phép.
- Cho phép truy cập từ ngoài vào trong và từ trong ra ngoài một số giao thức: HTTP, DNS, SMTP, ...
- Mọi truy cập từ ngoài vào trong sẽ phải hướng qua các thiết bị tại vùng DMZ.
57
Hình 25 Mô tả sơ đồ hệ thống mạng của cơ quan
Firewall lớp trong Trong vùng quản trị, các máy chủ chạy các chương trình ứng dụng và các dịch vụđáp ứng nhu cầu khai thác của người dùng trong mạng nội bộ và Firewall lớp trong nằm giữa vùng DMZ và vùng quản trị.
Nhiệm vụ của Firewal này là bảo vệ, kiểm soát luồng dữ liệu đi từ trong mạng nội bộ ra mạng ngoài, mạng Internet và ngăn chặn sự truy cập không hợp pháp từ mạng ngoài và mạng Internet vào mạng nội bộ. Bên cạnh đó, trên firewall
58
này có các cổng Ethernet 10/100 Mbps kết nối với vùng làm việc của mạng nội bộ. Tại các cổng kết nối này, Firewall llớp trong có thể phân chia thành các VLAN (mạng LAN ảo) cho phép kiểm soát các miền thông tin trong mạng và kiểm soát an ninh thông tin. Hình 28 mô tả rõ hoạt động của mô hình kết nối đó.
4.1.2.3. Giải pháp đề xuất
Theo mô hình 28, tác giảxin đề xuất giải pháp đặt thiết bị IDPS nằm ở vùng DMZ phía sau firewall.
Nhiệm vụ của hệ phát hiện tấn công và phòng chống tấn công(IDPS) là tự động phòng chống các tấn công có tính nguy hại trong khi vẫn đảm bảo băng thông cho đường truyền.
Thông thường trong hệ thống mạng Firewall thường lớn hơn so với hệ phát hiện tấn công và phòng chống tấn công IDPS, tác gỉa đề xuất đặt hệ thống IDPS phía sau firewall nhằm giảm các băng thông tấn công từbên ngoài đã được hệ thống Firewall lọc.
Hệ thống IDPS được cấu hình ở mode Inline. Ở mode này các tấn công nguy hạn sẽ được scan và ngăn chặn trước khi gây ảnh hưởng đến hệ thống Server nằm trong vùng DMZ.
Trong các giải pháp về IDPS hiện nay ở Việt Nam có nhiều giải pháp của các hãng cung cấp như Cisco, Mcafee, Juniper, …
Trên cơ sở các giải pháp để đảm bảo yêu cầu bảo mật của cơ quan, tác giả xin giới thiệu giải pháp Mcafee cho hệ thống, nhằm nâng cao tính an toàn.
59
Hình 269 Mô tả giải pháp bảo mật được gắn thiết bị của Mcafee
Giải pháp được xây dựng theo mô hình Firewall kết hợp với hệ phát hiện tấn công và phòng chống tấn công IDPS nhằm đảm hạn chế ít nhất các cuộc tấn công từ bên trong và bên ngoài.
60
4.2. Giới thiệu và thử nghiệm sản phẩm Mcafee 1540 cho hệ thống mạng.
Mcafee-1450 là một sản phẩm trong chuỗi dòng sản phẩm IntruShied dòng M. Còn được gọi là hệ phát hiện tấn công và phòng chống tấn công(IDPS) thực hiện phòng chống và dò tìm tấn công theo thời gian thực, đạt tốc độ multi-gigabit.
IntruShield cho phép bảo vệ toàn diện trước các tấn công đã biết, hay chưa được nhận dạng và tấn công từ chối dịch vụ. Các module phần mềm được lập trình cứng trên chip ASIC, tăng khảnăng hoạt động phần cứng, Sensor có nhiều cổng, dễ sử dụng, quản lý hệ thống dựa trên trình duyệt.
IntruShield 1450 Sensor (M-1450): phù hợp với hệ thống mạng vừa, trụ sở hoặc mạng vành đai.
M-1450 có 8 cổng Gigabit Ethernet, tốc độ xử lý thời gian thực tối đa 200 Mbps
Trong đó :
- Thiết bị Peplink 710 đảm bảo việc cân bằng tải các đường truyền leaseline của nhiều ISP đảm bảo cho hệ thống hoạt động liên tục khi có sự cố xảy ra đối với nhà cung cấp dịch vụ.
- Thiết bị Firewall Paloalto: Thiết bị được xây dựng theo mô hình HA đảm bảo performance và khả năng cân bằng tải của thiết bị. Đây là thiết bị Firewall thế hệ mới, các Signature thường xuyên được cập nhật để chống các nguy cơ tấn công. Ngoài ra thiết bịcòn được thiết kếriêng module để chống tấn công DdoS.
- Thiết bị Firewall ASA: dùng để chặn các tấn công từ mạng WAN. Thiết bịcũng được thiết kếHA đểđảm bảo thiết bị luôn hoạt động liên tục. - Thiết bị swich-core: dùng thiết bị switch core của Cisco và cơ chế đảm
bảo hệ thống core hoạt động liên tục.
- Thiết bị IDPS Mcafee 1540: Đây là thiết IDPS hàng đầu trong hệ thống đánh giá của Gartner. Hệ thống dùng để bảo vệ vùng DMZ quan trọng
61
của hệ thống CNTT. Các Signature thường xuyên được cập nhật theo thời gian thực đểđảm bảo hạn chế mức thấp nhất các tấn công từ bên ngoài( sau khi lọt quảđược hệ thống Firewall).
- Hệ thống WEB được cấu hình HA để bảo bảo hoạt động liên tục, cân bằng tải tránh tình trạng quá tải khi bị tấn công.
4.2.1. Dưới đây là mô tả cấu hình của sản phẩm trên thiết bị Firewall:
Hình 30 Cấu hình lọc các tấn công cho các Webserver
Hình 31 Cấu hình thiết bị Firewall Paloalto
Cấu hình chống DoS, dựa vào khả năng phân tích packet bị tấn công chúng ta có thể cấu hình chống DdoS như sau :
62
Hình 32 Cấu hình trên thiết bị IDPS
63
64
4.2.2. Đánh giá về sản phẩm giới thiệu.
Ưu điểm của hệ thống phòng chống tấn công dựa trên các công nghệ phân tích chuyên sâu về tấn công của hãng McAfee có thể kể đến như: Giảm thiểu tối đa chi phí và thời gian, hiệu năng cao chi phí thấp, bảo mật chuyên sâu dễ dàng sử dụng và quản trị.
Tuy nhiên đối với cơ quan tác giả hiện đang công tác, thì hiện tại chưa có sử dụng giải pháp toàn diện nào cho phòng chống và ngăn chặn tấn công cho cổng thông tin điện tử. Giải pháp tác giả đưa ra cho hệ thống mạng tại cơ quan vẫn chỉ dừng trên giới thiệu và đề xuất.
65
KẾT LUẬN Những vấn đềđạt được qua đề tài
Luận văn được xây dựng với mục đích tìm hiểu giới thiệu mô hình cổng thông tin điện tử chính phủ đặc biệt là với cổng thông tin điện tử của các cơ quan Bộ/ngành tại Việt Nam. Qua những số liệu thống kê những năm gần đây, luận văn chỉ được những ảnh hưởng cũng như nguy cơ ảnh hưởng tới các trang cổng thông tin. Từ đó luận văn đi tìm hiểu cơ chế thực hiện tấn công DDoS, hiểu rõ cách thức tấn công của hình thức này đểđưa ra các phương án cũng như giải pháp an toàn cho hệ thống mạng cũng như bảm đảm an toàn cho hệ thống cổng thông tin.
Cuối cùng qua những kiến thức lý thuyết đã được học và các thông tin cập nhật thường xuyên trên mạng internet. Tác giả đã đề xuất xây dựng được giải pháp an toàn cho hệ thống mạng.
Hạn chế của đề tài.
Hạn chế lớn nhất trong đề tài chính là mới chỉđi tìm hiểu mang tính lý thuyết và trình bày những nội dung đã có sẵn hay cũng như nêu lên những giải pháp được cho là đề xuất cho hiện trạng hệ thống mạng. Chưa demo giả định được các hình thức tấn công để từ đó nhìn thấy được hiệu quả giải pháp mình để xuất. Bên cạnh đó, hình thức tấn công DDOS không mới, nhưng sức ảnh hưởng và nguy hại của nó với các tổ chức thì rất nhiều. Trong thời gian qua những nhà quản trị mạng đã nghiên cứu và cùng đưa ra được rất nhiều phương án để phòng thủ cho hệ thống.
Mặt khác, việc đưa ra giải pháp cũng như thực hiện giải pháp cần phải là người làm chuyên sâu và nghiên cứu thường xuyên về lĩnh vực này thì mới đạt được kết quả cao. Tác giả cũng mới chỉ giới thiệu và tìm hiểu về mô hình. Tuy nhiên đối với cơ quan của tác giả hiện đang công tác, về thực tếcũngchưa sử dụng giải pháp phòng chống và ngăn chặn tấn công IDPS nào cho nên việc để có dữ liệu hay con số cụ thể giới thiệu rất khó. Tác giả phải dùng một hệ thống mạng đã sử
66
dụng hệ thống có sẵn để demo và giới thiệu. Đây cũng là một trong những hạn chế về phát triển CNTT phổ biến tại các cơ quan nhà nước hiện nay.
Hướng phát triển
Trong phạm vi báo cáo của đềtài này thì báo cáo cơ bản đã đạt được các yêu cầu đặt ra. Tuy nhiên, kết quả còn khiêm tốn do còn nhiều hạn chế, bởi an toàn cho cổng thông tin hay hệ thống mạng đều là mảng lớn và cần có thời gian, cũng như thường xuyên làm về lĩnh vực quản trị mạng mới hiểu hết được đúng với nghĩa lý thuyết phải đi đôi với thực hành.
Nếu có điều kiện và khả năng kiến thức được nâng cao và là người làm trực tiếp trong môi trường quản trị mạng tác giả sẽ cố gắng phát triển thêm những nội dung sau:
- Nghiên cứu, phân tích và đưa vào xây dựng giải pháp phòng chống và ngăn chặn tấn công IDPS. Từ đó thử nghiệm trên mọi trường hợp và mọi vịtrí đặt thiết bị đó. Đểtìm ra được vị trí tốt nhất cho hệ thống - Tìm hiểu và demo kỹ thuật tấn công DDOS cho một cổng thông tin
điện tử, từđó hiểu đưa ra những lỗ hổng trong việc xây dựng cổng. - Sẽ thử nghiệm giải pháp hệ thống và có kết quả cụ thể về tính hiệu
quả của hệ thống.
Qua quá trình rất dài tìm hiểu về nội dung để hoàn thiện luận văn của mình. Tác giả cũng phần nào hiểu được các cơ chế hoạt động, các hình thức tấn công, những phương pháp ngăn chặn. Sau bài luận này tác giả sẽlàm đề xuất và tư vấn và xây dựng hệ thống mạng an toàn và đề xuất cho Lãnh đạo mình để xây dựng giải pháp tối ưu cho an toàn mạng ở cơ quan, và từ đó có thể phát triển CNTT của cơ quan đi lên tầm cao hơn.
67
TÀI LIỆU THAM KHẢO
[1] Bùi Trọng Tùng, giáo trình giảng dạy IT4260: Network Security.
[2]Nguyễn Khanh Văn , giáo trình cơ sở an toàn thông tin, Đại học Bách khoa Hà Nội
[3]Nguyễn Tấn Khôi.Giáo trình An toàn thông tin mạng, Khoa CNTT, Đại học Bách khoa Đà Nẵng
[4]VSIC, CEH toàn tập tiếng việt
[5]Brian Komar, Ronald Beekelaar, and Joern Wettern,PhD Firewall for
McClure, Joel Scambray, George Kurtz ,Hacking Expose, 1997
[6] Dummies – 2nd Edition, Wiley Publishing, Inc -2003