Có nhiều cách dùng Firewall, có thể là phần mềm tích hợp ngay trên Router kết nối với mạng ngoài, có thể là phần mềm đƣợc cài trên một Server,
nhƣng thông dụng và an toàn nhất vẫn là loại Firewall chuyên dụng kết hợp cả phần cứng và phần mềm. PIX firewall là một thiết bị firewall bằng phần cứng của Cisco, nó lập ra ranh giới giữa mạng đƣợc bảo vệ và mạng không đƣợc bảo vệ. Tất cả những lƣu thông giữa mạng đƣợc bảo vệ và mạng không đƣợc bảo vệ đều đƣợc chạy qua Firewall để duy trì tính bảo mật. Hầu hết các PIX firewall đều có cho phép định một hoặc nhiều khu vực vành đai. PIX firewall cho phép bạn đặt những máy chủ chẳng hạn nhƣ máy chủ cho truy cập web, SNMP, hoặc email vào trong khu vực vành đai và kiểm soát ai ở bên ngoài có thể truy cập vào những server này.
PIX firewall cho phép thực hiện chính sách bảo mật cho kết nối đến mạng bên trong và từ mạng bên trong ra ngoài.
Mạng vành đai có thể đƣợc cấu hình bảo mật nhƣ mạng bên trong hoặc với những mức bảo mật khác nhau. Các mức bảo mật đƣợc gắn bằng giá trị số từ 0 đến 100 (từ thấp nhất đến cao nhất). Giao tiếp bên ngoài luôn luôn là 0 và giao tiếp bên trong luôn đƣợc định là 100. Giao tiếp vành đai đƣợc xác định từ 1 đến 99.
Trong phân hệ Internet thì Firewall đóng một vai trò khá quan trọng. Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống để bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tƣơng lai cũng cần phải đƣợc cân nhắc sao cho hợp lý. Trong hệ thống mạng của HVCSND ta chọn loại CiscoSecure PIX FireWall 515E làm thiết bị an ninh cho hệ thống với những lý do nhƣ sau:
- Trƣớc hết là phải đề cập đến tính tƣơng thích của Firewall với Router trong phân hệ Internet, mỗi một loại hình Firewall đều có những yêu cầu khác nhau cho việc hỗ trợ các router gateway, có thể Firewall loại này sẽ hỗ trợ tốt khi sử dụng router này nhƣng đối với router khác thì không phát huy đƣợc hết các tính năng. Cho nên CiscoSecure PIX FireWall 515E sẽ đƣợc chọn để làm việc chung với Cisco router Cisco 3725.
- CiscoSecure PIX Firewall 515E là một thiết bị phần cứng đã đƣợc tích hợp sẵn software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng nhƣ yêu cầu về cấu hình phần cứng, môi trƣờng ứng dụng (Windows, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị đƣợc dễ dàng hơn.
- Dễ dàng quản trị và phân cấp mức độ an ninh cho hệ thống mạng bên trong nhờ yếu tố sử dụng các giao tiếp vật lý để nối đến các mạng cấp thấp, cho
phép mở rộng thêm cổng giao tiếp vật lý bất kỳ lúc nào khi có nhu cầu trong tƣơng lai. Một điểm nữa cũng khá quan trọng cần đƣợc đề cập đến là khả năng mở rộng cao và mức độ đầu tƣ thấp.
- Việc dùng CiscoSecure PIX FireWall 515E sẽ an toàn hơn các dạng Firewall dựa trên các hệ điều hành hoặc Firewall dựa trên các phần mềm tích hợp trong router vì không phụ thuộc vào các yếu tố về nền tảng, khi các ứng dụng nền tảng hoạt động không tốt cũng không làm giảm mức độ an ninh của Firewall và không làm ảnh hƣởng đến hệ thống chung. Việc quản trị cũng sẽ đơn giản hơn, không đòi hỏi ngƣời quản trị phải có trình độ chuyên môn cao mới có thể điều hành cũng nhƣ xử lý khi có sự cố xảy ra cho Firewall.
- Một đặc tính nổi bật của PIX FireWall 515E là hỗ trợ Stateful Failover (cơ chế quét cho phép chịu lỗi). Lựa chọn cấu hình Stateful Failover bảo đảm tính sẵn sàng cao và làm giảm tối đa các hỏng hóc riêng lẻ ảnh hƣởng đến hoạt động của hệ thống. Với hai thiết bị PIX FireWall có cấu hình hoàn toàn giống nhau chạy song song, nếu PIX FireWall chính không hoạt động, quyền điều khiển sẽ đƣợc tự động chuyển sang PIX FireWall dự phòng.
Cache Engine: Đây là thiết bị lƣu trữ tạm các thông tin web thƣờng đƣợc sử dụng để giảm lƣu lƣợng truy cập Internet qua công ra vào. Điều này sẽ tiết kiệm đƣợc chi phí thuê bao Internet và gia tăng tốc độ truy cập Internet cho các thành viên trong Học viện sử dụng dịch vụ Internet trực tiếp và gián tiếp.
Cache Engine giải quyết các khó khăn sau:
Tắc nghẽn đƣờng truyền mạng
Tắc nghẽn thiết bị mạng
Tắc nghẽn máy chủ Web
Trễ do khoảng cách.
Thiết bị đƣợc sử dụng ở đây là sản phẩm phần cứng Cisco Cache Engine 500 series cho phép điều khiển các truy cập bằng cách sử dụng giao thức Web Cache Communication Protocol trong phần mềm Cisco IOS để tạo ra bộ nhớ ảo truy cập nhanh nhằm lƣu trữ các trang Web đã đƣợc tải trƣớc đó, giúp cho các router liên kết lại các địa chỉ Web thông qua bộ nhớ đệm. Ngoài ra, Cisco Cache Engine còn hỗ trợ việc kiểm tra đúng sai về lỗi và ngăn chặn các lỗi xảy ra trong quá trình load Web, cho phép nhận các đƣờng truyền tải từ một hoặc nhiều router. Với cổng ethernet 10/100 Base-TX trên Cisco Cache Engine đƣợc nối
trực tiếp đến Cisco 3725 router hiện có của phân hệ Internet, Web Cache Communication Protocol sẽ lọc các gói tin để xác định các gói tin nào sẽ đƣợc hoặc không đƣợc trả gián tiếp từ Cache Engine. Khi ngƣời dùng có một yêu cầu về tài nguyên từ một Web server, trƣớc hết Router sẽ gửi các yêu cầu đó đến Cache Engine, nếu các dữ liệu đó đã đƣợc ghi nhận trên bộ nhớ khi đó Cache Engine sẽ gửi lại các dữ liệu yêu cầu cho ngƣời dùng. Mặt khác trong quá trình truyền tải dữ liệu yêu cầu từ Web Server về đến ngƣời dùng song song đó Cache Engine cũng sẽ lƣu trữ một bản copy vào trong bộ nhớ đệm của nó, với những dữ liệu đƣợc lƣu trong bộ nhớ cache của nó, Cache Engine không những giải quyết các yêu cầu một cách nhanh chóng cho một ngƣời dùng mà cho cả nhiều ngƣời dùng muốn truy cập đồng thời đến cùng một tài nguyên lƣu trữ trên Cache Engine. Thiết bị này đƣợc cung cấp để góp phần tạo nên cân bằng tải cho hệ thống và tăng đƣợc tốc độ của ngƣời sử dụng khi hoạt động truy cập Internet cũng nhƣ một số dịch vụ qua Internet.
Với các yêu cầu nhƣ trên thì thiết bị đƣợc chọn bổ sung vào phân hệ Internet là thiết bị Cache Engine 565 của hãng Cisco.
Remote Access router: Để thiết lập hệ thống truy cập từ xa vào hệ thống mạng của Học viện, có thể sử dụng một router riêng chuyên làm chức năng này. Tuy vậy, chúng ta cũng có thể sử dụng Internet Router nhƣ một Remote Access router băng các trang bị thêm các module có modem gắn sẵn.
Có thể đầu tƣ Cisco Router 2611XM làm 1 Remote Access router. Cisco Router 2611XM gồm 1 slot network module hỗ trợ giao tiếp tích hợp 16 Analog modem và 2 cổng giao tiếp 10/100 Mbps để kết nối vào mạng LAN nội bộ. Ngoài ra Cisco Router 2611 cho phép thực hiện tính năng VPN và Firewall thông qua phần mềm hệ thống IOS để bảo vệ an ninh cho hệ thống mạng của Học viện.
3.5. Các giải pháp bảo mật hệ thống mạng LAN
Bảo mật hệ thống mạng là yêu cầu bắt buộc và hết sức quan trọng với một hệ thống mạng LAN bất kỳ đặc biệt với hệ thống mạng LAN của HVCSND. Để hệ thống đƣợc an toàn cao nhất phải sử dụng nhiều phƣơng pháp, trong đó có cả những phƣơng pháp thủ công, vật lý… mặt khác hệ thống mạng cần đƣợc trang bị các thiết bị và các phần mềm chuyên nghiệp, của các hãng có uy tín, đã đƣợc nhiều cơ quan, doanh nghiệp sử dụng và công nhận. Các thiết bị dùng để bảo mật hệ thống mạng LAN:
3.5.1. Cisco Secure Intrusion Detection System
Cisco Secure Intrusion Detection System hay Cisco Secure IDS là một thiết bị phần cứng kiểm tra các loại và nội dung của các packet trên mạng. Việc sử dụng và truy cập trái phép có thể đƣợc thực một trong hai cách: Phát hiện việc sử dụng sai bằng cách tìm những tấn công đã biết “chữ ký” nó rất giống cách mà một phần mềm diệt virus dò tìm virus; phát hiện sự truy cập bất bình thƣờng bằng cách tìm những hành động bất bình thƣờng dựa trên hiện trạng của ngƣời dùng và hoạt động của ứng dụng. Cisco Secure IDS có lợi thế là có thể bảo vệ cả hệ thống trên toàn bộ network segment. Khả năng này nói chung giúp việc triển khai Cisco Secure IDS dễ dàng và chi phí vừa phải.
Cisco Secure IDS phát hiện việc sử dụng sai bằng việc kiểm tra cả phần dữ liệu và phần tiêu đề của một gói tin. Các tấn công dựa trên nội dung xuất phát từ phần dữ liệu và các tấn công dựa trên phạm vi xuất phát từ phần tiêu đề của gói tin.
Cisco Secure Intrusion Detection System là hệ thống dò tìm xâm nhập mạng thời gian thực cho phép bảo vệ mạng bên trong, mạng nội bộ mở rộng. Hệ thống sử dụng các bộ cảm ứng là các thiết bị mạng tốc độ cao dùng để phân tích từng gói gói tin để dò tìm các hoạt động khả nghi trên mạng. Nếu luồng dữ liệu trên mạng thể hiện là một hoạt động trái phép hay một sự tấn công thì các bộ cảm ứng sẽ phát hiện sự sai phạm này ngay lập tức, chuyển cảnh báo đến nhà quản trị mạng và tống khứ kẻ phá hoạt này ra khỏi mạng.
Sản phẩm phù hợp với qui mô của Học viện là Cisco IDS 4250.
3.5.2. Cisco Security Agent
Cisco Security Agent – CSA bao gồm một cổng quản lý và điều khiển đặt ngay trên máy chủ Windows và các phân hệ đƣợc triển khai tại các Host nơi có các dữ liệu quan trọng nhƣ cơ sở dữ liệu, máy chủ, máy trạm. Các thực thể này dùng giao thức HTTP và Secure Sockets Layer-SSL cho các giao tiếp quản lý và cho sự trao đổi thông tin giữa các thực thể và cổng quản lý và điều khiển.
CSA đƣợc cài ngay trên hệ điều hành và nó có thể can thiệp và thẩm định những lệnh gọi phần mềm đƣợc làm trong hệ điều hành và hạt nhân hệ thống. Nói chung, CSA thực hiện việc giám sát xâm nhập thời gian thực, phát hiện, ngăn cản những hành động phá hoại bằng việc phân tích những sự kiện ở mức nhân, thông tin ghi nhớ của hệ thống, và những hành động mạng trên máy chủ. Cơ sở dữ liệu tấn công bao gồm những khả năng nhận diện tấn công sau đây:
Tấn công cá nhân – bảo vệ hệ thống những tấn công đơn giản nhằm khai thác dữ liệu sử dụng quá trình tìm kiếm những hành vi tác động vào hệ điều hành hoặc ứng dụng đã đƣợc biết, ví dụ, MDAC, GetAdmin.
Tấn công chung - bảo vệ nguyên cả loại tấn công „khai thác‟ trực tiếp đến hệ điều hành và ứng dụng, bao trùm cả những tấn công không biết lẫn đã biết.
Bảo vệ tài nguyên – ngăn cản sự truy cập phá hoại đến nguồn tài nguyên hệ thống, bao gồm những quá trình, dịch vụ, đăng ký khóa, password file, cơ chế xác thực, v.v…
CSA là phần mềm bảo vệ trên máy chủ do đó sẽ đƣợc cài trên những máy máy chủ nào cần đƣợc bảo vệ. Những máy máy chủ nào có dữ liệu mật hoặc có chứa thông tin nhạy cảm cần đƣợc bảo mật thì nên đƣợc cài CSA để phòng chống và phát hiện xâm nhập.