4. Kết luận chương 2
1.2 Triển khai giải pháp hệ thống tường lửa
Hệ thống tường lửa nhằm chống xâm nhập từ bên ngoài: Giải pháp được thực hiện bằng việc đặt các tập luật chặn các cổng kết nối hoặc các địa chỉ IP đã được xác định là nguồn tấn công. Chỉ cho phép kết nối tới các dịch vụ máy chủ tin tưởng. Ngoài ra các thiết lập VPN và kết nối khác được xây dựng nhằm tránh các máy nhân viên khi bị tấn công gửi thông tin dữ liệu ra ngoài tới máy chủ của tin tặc.
Hình 3.2: Chính sách tường lửa giới hạn cổng dịch vụ ra internet
Trong hình 3.2. là một số tập luật/ chính sách đã được đặt tại công ty Cổng Vàng. Ở chính sách tường lửa đầu tiên: Các thiết bị có kết nối mạng thuộc VLAN 192.168.244.0/22 được phép truy cập internet với các dịch vụ giới hạn như NTP, PING,
35
TRACEROUTE, VNC, Email access, Exchange server, Voip, web access… Các thiết bị có kết nối mạng thuộc Vlan_Guest thì sẽ được truy nhập mạng internet với tất cả các dịch vụ nhưng bị giới hạn về băng thông. Tất cả các chính sách trên tường lửa đều được lưu log để dễ dàng kiểm tra và theo dõi các sự cố mạng.
Bên cạnh đó có sử dụng các chính sách kiểm soát, ngăn chặn thêm như ngăn chặn truy nhập các file dạng video/hình ảnh như netflix/youtube/facebook (Block media) trên các máy chủ bên ngoài mạng internet. Trong hình 3.3 thể hiện chính sách ngăn chặn thêm trên tường lửa áp dụng Application control, các ứng dụng như social media, video, game và các ứng dụng proxy phi pháp, sai quy định của công ty.
Hình 3.3: Chính sách Application control trên tường lửa Fortigate
Ngoài ra, những người dùng có tài khoản VPN để làm việc từ xa tương tác với hệ thống công ty cũng được quản lý và phân quyền theo đúng chức năng truy nhập cơ sở dữ liệu lưu trữ trên máy chủ của công ty. Trong hình 3.4 , user có quyền VPN tên tinhvan chỉ có quyền truy nhập các server có địa chỉ 172.16.1.15 và 172.16.1.16 mà không được truy nhập toàn bộ dải server có subnet 172.16.1.0/24.
36
Hình 3.4: Người dùng bị giới hạn quyền truy nhập hệ thống qua VPN
Tương tự, các user thuộc dải LAN của công ty cũng được bảo đảm an toàn tránh tấn công Phishing từ các máy chủ của tin tặc bên ngoài vào hệ thống dữ liệu của công ty. Trong hình 3.5, danh sách các máy chủ Phishing email liên tục được cập nhật và đưa vào chính sách ngăn chặn (DENY) nhằm tránh khi các máy nhân viên nhiễm loại virus này gửi thông tin tới các máy chủ của tin tặc nằm bên ngoài internet.
Hình 3.5: Chặn kết nối tới các máy chủ trong blacklist
Trong hình 3.6 cũng là một trong các chính sách được thiết lập trên tường lửa để ngăn chặn tấn công wannacry vào hệ thống các máy trạm của tin tặc. Danh sách các máy chủ wannacry cũng liên tục được cập nhật và ngăn chặn (DENY) tất cả các dịch vụ. Việc kết nối tất cả các dịch vụ tới các nhóm máy chủ wannacry từ hệ thống mạng LAN của công ty cũng được ngăn chặn, tránh trường hợp các máy trạm đã bị tấn công virus có thể gửi thông tin dữ liệu tới máy chủ của tin tặc.
Hình 3.6: Chính sách ngăn chặn tấn công Wannacry vào hệ thống dữ liệu
Tương tự ở hình 3.7, các máy chủ trong danh mục HN_SERVER_LAN được phép kết nối (ACCEPT) tới tất cả các dịch vụ tại các máy chủ của nhà cung cấp Microsoft để sử dụng các dịch vụ như cập nhật bản vá lỗi, nâng cấp features, các bản bảo mật… đối với các dịch vụ khác bên ngoài internet thì các máy chủ này bị ngăn chặn. Với chính sách tường lửa thứ hai, tại văn phòng Hà Nội có 2 máy chủ chạy dịch vụ Active Directory chỉ được sử dụng dịch vụ DNS mà không được truy nhập hay sử dụng các dịch vụ khác.
37
Bên cạnh các chính sách truy nhập VPN thì các thiết lập kết nối VPN site to site cũng được cấu hình bảo mật theo các phương thức như có Pre-shared key riêng, Encryption 3DES, authentication SHA1 và các thông tin khác như key lifetime, local address/remote address chính xác tới các dải mạng nội bộ của từng chi nhánh được thể hiện trong hình 3.8.
Hình 3.8: Các phương thức mã hóa được áp dụng trên VPN
Các user sử dụng VPN cũng được phân chia thành từng nhóm riêng biệt nhằm giám sát, quản trị và phân quyền truy nhập phù hợp tới hệ thống cơ sở dữ liệu của công ty. Trong hình 3.9, các user được phân loại theo các loại hình (Type) và thuộc các nhóm (Group) khác nhau.
Hình 3.9: Phân quyền user sử dụng VPN theo các nhóm
Giữa các văn phòng lớn của công ty Cổng Vàng được kết nối với trung tâm dữ liệu bằng kênh truyền số liệu riêng MPLS. Giữa các kết nối kênh truyền riêng này có thiết lập các hệ thống tường lửa nội bộ (internal firewall) để ngăn chặn tấn công giữa các văn phòng lớn tới trung tâm dữ liệu và ngược lại. Trên internal firewall có thiết lập các chính sách kết nối như hình 3.10, trong đó ở chính sách đầu tiên một số máy chủ từ trung
38
tâm dữ liệu (DC) kết nối với một số máy chủ tại văn phòng Hà Nội (HN) chỉ truy nhập được các dịch vụ như MS-SQL (cổng TCP 1433-1434); PING (ICMP/8); Cổng 3009 (port 3009); kết nối máy chấm công (cổng TCP/UDP 4370, MCC_HN). Hay ở chính sách thứ hai trên tường lửa nội bộ cho phép máy chủ đang chạy dịch vụ Data loss prevention (ngăn ngừa, chống rò rỉ thông tin) được kết nối tới các máy trạm thuộc 2 dải mạng LAN là LAN wire_172.16.4.0/22 và Lan_Wireless_172.16.28.0/22. Tương ứng với các dịch vụ SMB (TCP 445) và nhóm các cổng có tên DLP_POC_port (TCP8080/10443/9081/9082/8443/8444/443).
Hình 3.10: Chính sách an ninh trên tường lửa nội bộ