Nhóm giải pháp phần cứng

Hệ thống tường lửa Firewall

Cũng như nhiều doanh nghiệp khác Firewall là sự lựa chọn phổ biến trong công tác bảo mật an ninh mạng, MobiFone hiện nay với mỗi vùng mạng tại phòng máy gồm đều được trang bị thiết bị phần cứng Firewall như PaloAlto 5020, CheckPoint X80, CheckPoint 12400… Ngoài thiết bị Firewall phần cứng hiện nay MobiFone còn sử dụng Firewall phần mềm sử dụng trên các thiết bị mạng lõi core router và core switch.Về mặt kết nối logic Firewall được đặt sau core switch và core route đồng thời trước các switch access layer 2 để bảo vệ cho các thiết bị được kết nối trực tiếp với switch access layer 2.

Firewall Palo Alto là hãng đầu tiên đưa ra khái niệm tường lửa thế hệ mới. Không chỉ hoạt động ở layer 4 như các loại tường lửa thế hệ trước mà Palo Alto Firewall hoạt động được cả ở tầng ứng dụng, cung cấp một giải pháp toàn diện cho người quản trị cả về đảm bảo an ninh và quản lý hệ thống.

Hình 3. 1 Thiết bị Firewall Palo Alto

(Nguồn: https://www.bmt-tech.vn/) [15]

Palo Alto là thiết bị tường lửa dựa trên việc xác thực người dùng (User-ID), xác thực dựa trên ứng dụng (App-ID) và xác thực thông qua nội dung (Content-ID). Với

các ứng dụng và công cụ tấn công ngày càng đa dạng và với những thiết bị tường lửa thông thường dựa trên IP và Port… thì không thể xác định và ngăn chặn, mặt khác với cơ chế xác thực dựa theo User-ID, App-ID, Content-ID giúp cho người quản trị dễ dàng nhận dạng các ứng dụng, nội dung bên trong luồng dữ liệu với các mức độ nguy hiểm từ đó có thể ngăn chặn kịp thời, có khả năng xác định rõ các mối nguy cơ đe dọa xuất phát từ người sử dụng nào chính vì thế mà nó được đặt với cái tên tường lửa thế hệ mới (Next-generation Firewall). Với những ưu điểm nổi bật này MobiFone đã trang bị thiết bị Firewall Palo Alto để bảo vệ các vùng mạng của của Tổng công ty. [1]

Ngoài Firewall Palo Alto, hiện nay MobiFone còn sử dụng thiết bị Firewall của hãng Check Point. Check Point là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo mật Internet. Đặc biệt là các dòng sản phẩm Firewall cho các doanh nghiệp cá nhân và các công nghệ mạng riêng ảo VPN. Đặc biệt các dòng sản phẩm của Check Point cho phép việc tích hợp với hàng loạt các dòng sản phẩm của hơn 350 hãng sản xuất thiết bị bảo mật nổi tiếng trên thế giới.

Firewall Check Point thường được đặt ở khu vực biên của hệ thống cần bảo vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và đi vào mạng, quản trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật được triển khai bằng tập hợp những quy tắc (Rules) trong cơ sở bảo mật (Security Base), nguyên lý cơ bản của Security Base là tất cả các hành động không được phép sẽ bị chặn, Rule Base là tập hợp những quy tắc định ra luồng dữ liệu nào được phép đi qua và luồng dữ liệu nào bị cấm.

Thiết bị Check Point 12400 với tính năng bảo mật cao và khả năng mở rộng tuyệt vời, Check Point 12400 là một nền tảng trung tâm dữ liệu cung cấp khả năng dự phòng và module cao cấp. Ngoài hai cổng Ethernet Gigabit đồng trên bo mạch, ba khe cắm mở rộng có sẵn có thể được sử dụng để cấu hình nhiều tùy chọn mạng như đồng 1 Gigabit Ethernet, cáp Ethernet 1 Gigabit và kết nối cáp quang 10 Gigabit.

Cấu hình mặc định Check Point 12400 bao gồm card mở rộng 8 Gigabit Ethernet, hỗ trợ tới 24 cổng Gigabit Ethernet, nguồn cấp điện có thể thay thế nóng và các ổ đĩa dự phòng có thể thay thế trực tiếp mà không cần tắt thiết bị.[1]

Hình 3. 2 Thiết bị Firewall Check Point 12400

(Nguồn: https://www.bmt-tech.vn/) [15]

Thiết bị Check Point 12400 cung cấp hiệu năng vượt trội so với thông lượng là 9,1 Gbps và thông lượng IPS bình thường là 2,1 Gbps.

Năng lực xử lý của Firewall Check Point 12400: - Thông lượng tường lửa sản xuất 9,1 Gbps - Thông lượng IPS sản xuất 2,1 Gbps - Mật độ cổng cao lên tới 26 cổng

- Nguồn cung cấp năng lượng thay thế nóng gấp đôi dự phòng kép. Lợi ích chính mang lại:

- Thiết bị bảo mật trọn gói.

- Đơn giản hóa quản trị với một giao diện điều khiển quản lý tích hợp duy nhất. - Kiến trúc phần mềm mở rộng.

- Đảm bảo bảo mật dữ liệu cho truy cập từ xa và thông tin liên lạc từ trang này tới trang khác. [1]

Hệ thống phát hiện và ngăn ngừa xâm nhập IPS

MobiFone hiện đang sử dụng thiết bị IBM Security Network IPS XGS 7100 thiết bị này được triển khai nội tuyến (Inline) trong hệ thống mạng, thực hiện bảo vệ cho 1 hoặc nhiều vùng mạng, thiết bị này thực hiện phân tích toàn bộ các gói tin đi

thực hiện việc ngăn chặn theo chính sách được định nghĩa trên thiết bị. Toàn bộ thông tin nhật ký về tấn công sẽ được lưu trữ trên thiết bị một phần và toàn bộ trên thành phần quản trị tập trung.

Hệ thống bảo vệ hệ thống mạng IBM Security Network IPS – là giải pháp ngăn chặn và phát hiện các mối đe dọa thế hệ mới của IBM - Next generation Intrusion Prevention System (IPS). Đây là hệ thống cho phép ngăn chặn các mối đe dọa xuất phát từ bên ngoài cũng như từ bên trong mạng thông qua việc phân tích sâu vào phần nội dung của gói tin với các công nghệ được nghiên cứu và phát triển bởi IBM X-Force. [1]

Không giống như các thiết bị IPS truyền thống, sản phẩm IBM Security Network IPS không chỉ cung cấp các tính năng như IPS, sản phẩm này còn cho phép nâng cấp thêm các tính năng như: cho phép phân tích đối với các kết nối sử dụng SSL/TLS, kiểm soát URL và Application, tích hợp IP-reputation…

Sản phẩm IBM Security Network IPS được thiết kế cho phép tổ chức triển khai một cách linh hoạt và dễ dàng như: các giao diện mạng được thiết kế linh hoạt, tích hợp sẵn tính năng bypass và ở dạng module, năng lực xử lý IPS trên thiết bị có thể được nâng cấp thông qua giấy phép (license) của hãng.

Vẫn như các thiết bị IPS trước đây của IBM, sản phẩm IBM Security Network IPS được triển khai và hoạt động ở lớp 2 trong mô hình OSI nên không làm thay đổi mô hình mạng trong khi triển khai. Việc quản trị các thiết bị này cũng được thực hiện thông qua phần mềm quản trị tập trung SiteProtector.

Hệ thống khi triển khai bao gồm 2 thành phần chính:

Thiết bị IBM Security Network IPS: được triển khai nội tuyến (Inline) trong hệ thống mạng, thực hiện bảo vệ cho 1 hoặc nhiều vùng mạng của MobiFone.

Thành phần quản trị tập trung SiteProtector: thực hiện quản lý cấu hình các chính sách cho các thiết bị IBM Security Network IPS, cung cấp giao diện cho việc phân tích, điều tra và theo dõi tình hình an ninh trong hệ thống; cung cấp các công cụ tạo báo cáo... Mỗi một thành phần quản trị tập cho cho phép quản trị nhiều thiết bị IBM Security Network IPS cùng lúc.

Thiết bị này có khả năng phát hiện và ngăn chặn các loại tấn công sau:

 Các loại tấn công DOS/DDoS

 Zero-day

 Botnet.

 Sâu Worm

 Spyware

 P2P

 Buffer Overflow attacks

 Tấn công vào lớp ứng dụng như SQL Injection, XSS, CSRF, PHP File- Includes…

 Khả năng nâng cấp tính năng kiểm soát truy cập ứng dụng Web, non-Web của người dùng hoặc các nhóm người dùng.

 Khả năng nâng cấp hỗ trợ giải mã SSL với thông lượng nội mạng tối thiểu 12 Gbps.

 Có công nghệ bản vá ảo – Virtual patching nhằm bảo vệ các lỗ hổng khi chưa có bản vá.

 Khả năng bảo vệ các ứng dụng của người dùng đầu cuối như Microsoft office, Adobe PDF, Multi-Media file và web browser.

 Khả năng giám sát và xác định các thông tin cá nhân không được mã hóa, các thông tin nhạy cảm và khả năng thăm dò luồng dữ liệu trên mạng nhằm xác định các rủi ro.

 Khả năng bảo vệ các ứng dụng web chống lại các tấn công như: SQL Injection, XSS, PHP, CSRF.

 Khả năng kiểm soát các ứng dụng không được phép và các rủi ro trong hệ thống mạng như ActiveX fingerprinting, Peer To Peer, Instant Messaging, và tunneling.

 Có khả năng thực hiện khóa lưu lượng (block traffic) từ giao diện hệ thống Qradar SIEM khi hệ thống Qradar SIEM phát hiện rủi ro.

Thiết bị quản trị tập trung Site Protector có khả năng quản trị đến ≥ 10 thiết bị IPS, cung cấp các tính năng như sau:

- Cho phép quản lý tập trung và phân tích các sự kiện từ các thiết bị IPS được quản lý theo thời gian thực.

- Cung cấp khả năng tạo báo cáo, cho phép tạo báo cáo theo dạng thủ công (manual) hoặc đặt lịch tự động (schedule Daily, Weely, Monthly)…

- Cho phép tùy chỉnh báo cáo theo yêu cầu của người dùng.

- Cho phép quản lý các tài khoản và truy cập của người dùng quản trị. Thành phần quản trị tập trung cần phải có khả năng cung cấp nhiều cấp độ đối người dùng quản trị.[1]

Hệ thống Cổng giám sát bảo mật tập trung SCB

Hệ thống Cổng giám sát bảo mật tập trung SCB là hệ thống cho phép kiểm tra, giám sát và kiểm soát các thao tác của người dùng vào các hệ thống phục vụ SXKD thông qua các giao thức Telnet, SSH, Remote Desktop, X11, VNC, SCP và SFTP.

Hệ thống gồm các thiết bị chuyên dụng (Appliance) gọi là Shell Control Box (SCB) với mô hình hoạt động như hình dưới:

Hình 3. 3 Mô hình hoạt động của hệ thống SCB

Nguyên lý hoạt động:

Thay thế phương thức truy cập trực tiếp của người dùng vào các hệ thống bằng phương pháp truy cập gián tiếp thông qua hệ thống cổng giám sát bằng cách thay đổi lại địa chỉ IP và cổng truy cập. Hoạt động của hệ thống cổng giám sát hoàn toàn trong suốt đối với người dùng. Tuy nhiên, tất cả các thao tác của người dùng trên hệ thống đều được ghi lại, đồng thời có thể ngăn chặn thời gian thực các thao tác được định nghĩa là không hợp lệ trên hệ thống được cổng giám sát bảo vệ.

Hình 3. 4 Mô hình kết nối tới hệ thống qua SCB theo IP và port

(Nguồn: Tài liệu vận hành và khai thác hệ thống SCB của MobiFone) [1]

Hình 3. 5 Luồng kết nối giữa client và hệ thống qua SCB

(Nguồn: Tài liệu vận hành và khai thác hệ thống SCB của MobiFone) [1]

Phần cứng hệ thống xử lý: Server Model: N1000d

- Hai nguồn dự phòng nóng (Redundant Power Supply) - Bộ vi xử lý (CPU): 2x INTEL XEON E5620 2,4GHz - Bộ nhớ (RAM): 6x 4GB DDR3

- Ổ cứng lưu trữ (HDD): 2x 1TB SATA, tốc độ 10Krpm

- Hỗ trợ cấu hình RAID: RAID 1 (Dữ liệu được ghi vào 2 ổ giống hệt nhau Mirroring) để đảm bảo dự phòng.

- Cổng mạng: 04 cổng mạng hỗ trợ tốc độ 10/100/1000Mbps.

Bản quyền phần mềm SCB giám sát tối đa cho 1000 máy chủ đồng thời.

Theo nguyên lý hoạt động của hệ thống, thay vì kết nối trực tiếp vào thiết bị như bình thường, người sử dụng (quản trị hệ thống hoặc đối tác hỗ trợ) sẽ kết nối vào IP và port tương ứng trên hệ thống giám sát theo quy tắc ánh xạ IP và port chi tiết như phía dưới.

Quy định ánh xạ IP và port cụ thể như sau:

Để truy cập quản trị, vận hành các hệ thống, người dùng sử dụng các giao thức Remote Desktop, Telnet, SSH, VNC...) với 2 thông tin là IP thiết bị và port kết nối theo mẫu:

Remote Desktop/Telnet/SSH IP:ABCDE

Cách 1: Sử dụng dải port theo quy định không phân biệt giao thức kết nối Kết nối đến hệ thống, trên chương trình client nhập các thông số kết nối sau : + IP đích: IP của máy chủ hệ thống SCB ví dụ 10.50.132.80

+ Port đích: port tương ứng với kết nối được khai báo và map cho từng thiết bị được giám sát.

+ Username: thêm thông tin server giám sát vào sau username vẫn dùng (dùng ký tự @ hoặc % để phân cách).

+ Password: không thay đổi so với truy cập trực tiếp vào thiết bị giám sát.[1] Ví dụ: để ssh tới máy chủ có IP 10.50.135.152, user: root. Trên phần mềm client (Putty, Secure CRT, Xshell… nhập các thông số: IP đích: 10.50.132.80, Port: 31043, Username: root@10.50.135.152

Hình 3. 6 Ví dụ thông số kết nối tới máy chủ qua SCB map theo port

(Nguồn: Tài liệu vận hành và khai thác hệ thống SCB của MobiFone) [1]

Trong đó:

Hostname: IP của thiết bị hệ thống SCB.

Port: port được khai báo trên hệ thống SCB để kết nối tới máy chủ tương ứng đã được khai báo trên SCB.

User: user kết nối tới thiết bị được giám sát.

Cách 2: Sử dụng kết nối theo quy định của giao thức và dải mạng. Trong đó:

 IP: là địa chỉ IP của thiết bị giám sát tại các site theo bảng dưới:

 ABCDE: là số hiệu cổng, được xác định theo quy tắc dưới đây:

o A: là số thứ tự xác định dải mạng của server cần truy cập, ví dụ:

Bảng 3. 1 Ví dụ số thứ tự dải mạng xác định port kết nối

STT Dải mạng A 1 10.50.132.x 1 2 10.50.133.x 2 3 10.50.134.x 3 4 10.50.135.x 4 5 10.50.136.x 5 6 10.50.137.x 6

o BCD: là 3 chữ số cuối cùng của IP của server cần truy cập. Ví dụ:

Cần truy cập server 10.50.135.152 thì BCD là 152 Server 10.50.133.57 thì BCD là 057.

o E: là số thứ tự xác định giao thức sử dụng để truy cập server, xác định theo bảng dưới:

Bảng 3. 2 Ví dụ số thứ tự giao thức tương ứng port kết nối

Giao thức Số thứ tự giao thức Telnet 1 SSH 2 RDP (Remote Desktop) 3 VNC 4 Vmware 5 Citrix 6 TN3270 7 TS Gateway 8

Ví dụ muốn telnet tới server 10.50.136.87 bằng user oracle qua SCB 10.50.132.80 ta thực hiện kết nối qua IP và port như sau 10.50.132.80 port 50871.

Hệ thống giám sát, quản lý điều hành tập trung Polestar

Hệ thống Polestar là tên thương mại của hệ thống giám sát, quản lý điều hành tập trung hiện đang triển khai tại Tổng Công ty Viễn thông MobiFone, cho phép giám sát hoạt động của toàn bộ hạ tầng CNTT tin doanh nghiệp.

Nguyên lý hoạt động của hệ thống như sau: hệ thống giám sát toàn bộ máy chủ, thiết bị lưu trữ, thiết bị mạng, CSDL, ứng dụng, weblogic các thông số giám sát gồm: trạng thái hoạt động, tải, hiệu năng, các cảnh báo, thông báo lỗi từ các thành phần được giám sát. Các phương thức giám sát bao gồm giám sát thông qua các màn hình giám sát, âm thanh cảnh báo, tin nhắn SMS, email. Khi bị tấn công hoặc xâm nhập gây down hệ thống, tăng tải đột biến, CSDL tăng bất thường... hệ thống sẽ ngay lập tức cảnh báo bằng email và sms tới quản trị hệ thống để nắm thông tin và xử lý, ngoài ra các mức cảnh báo sẽ xuất hiện trên màn hình giám sát tập trung được nhân viên trực ca hệ thống giám sát 24/7.

Hệ thống Polestar là sản phẩm của hãng NKIA Hàn Quốc được MobiFone mua sản phẩm và bản quyền đưa vào sử dụng từ năm 2013.

Hệ thống được lắp đặt tại 2 site Hà Nội và HCM.

Phần cứng hệ thống gồm 4 Máy chủ IBM Power 740 (16 core Power7+ 3.6 GHz, 256GB RAM, 6x600GB 10K SAS HDD, 4 port 1Gb ethernet, 2 port 8Gb FC, AIX 7.1 Standard, PowerVM Enterprise, 2 màn hình giám sát TV.

Tất cả các sự kiện trong hệ thống được cập nhật và hiển thị theo thời gian thực, cấp độ của các sự kiện được mã mầu giúp người dùng dễ dàng theo dõi. Các mức độ của sự kiện đã được định nghĩa trong phần thiết lập ngưỡng cảnh báo.

Hiện tại hệ thống có 5 mức độ ngưỡng cảnh báo theo mức độ nguy hiểm cho hệ thống tăng dần như sau: INFO, MINOR, MAJOR, CRITICAL, DOWN.[1]

Hình 3. 8 Mô hình giao diện các mức cảnh báo của hệ thống Polestar

(Nguồn: Tài liệu vận hành và khai thác hệ thống Polestart của MobiFone) [1]

Khi có tấn công vào hệ thống gây tăng tải ngay lập tức hệ thống sẽ gửi email, sms và cảnh báo sẽ hiển thị trên giao diện giám sát tập trung của hệ thống, việc này sẽ giúp quản trị hệ thống ngay lập tức phát hiện được cảnh báo bất thường để đưa ra phương án xử lý và ngăn chặn kịp thời.