Mơ hình giải pháp giai đoạn 2

Một phần của tài liệu Kỹ thuật mạng riêng ảo và giải pháp nâng cao tính bảo mật cho hệ thống mạng cục bộ tần số vô tuyến điện (Trang 100)

5.3.2.1 Hệ thống ngăn chặn xâm nhập IPS

Khi virus, sâu hay trojan tấn cơng vào 1 tổ chức, nó khơng chỉ phá hoại những dữ liệu quan trọng mà còn gây ra sự ngừng trệ trong công việc, gây ra những thiệt hại về kinh tế nghiêm trọng. Với khả năng phát tán nhanh chóng, nó có thể tấn cơng vào sâu trong mạng, gây lên những khó khăn trong cơng việc và tiêu tốn nhiều tiền để khắc phục.

Giải pháp ngăn chặn xâm nhập của Cisco chống lại những mối đe dọa đó bằng cách:

+ Bảo vệ các tài sản quan trọng khỏi những mối đe dọa trong phạm vi rộng nhất

+ Bảo vệ mọi nơi trong hệ thống mạng

+ Ngăn chặn nhanh chóng những mối đe dọa mới được phát hiện ra. Hệ thống ngăn chăn chặn xâm nhập của Cisco là 1 giải pháp inline, ở lớp mạng, được thiết kế để xác định, phân loại, và ngăn chặn chính xác những lưu lượng nguy hiểm, bao gồm sâu, spyware/adware, sâu virus trước khi chúng ảnh hưởng đến hoạt động thương mại của tổ chức.

Sử dụng phần mềm Cisco IPS Sensor version 5, giải pháp ngăn chặn xâm nhập của Cisco kết hợp các dịch vụ ngăn chặn inline với các công nghệ tiên tiến đã cải thiện tính chính xác trong việc ngăn chặn các lưu lượng nguy hiểm mà không làm ảnh hưởng đến các lưu lượng hợp lệ.

Giải pháp ngăn chặn xâm nhập của Cisco giúp người sử dụng ngăn chặn được nhiều mối đe dọa hơn với tính tin cậy cao hơn bằng việc sử dụng các phương pháp sau:

+ Các cơng nghệ ngăn chặn inline chính xác: Cơng nghệ này đưa bản phân tích thơng minh và tự động dữ liệu của bạn và giúp bạn chắc chắn rằng đã ngăn chặn được các lưu lượng nguy hiểm mà không ảnh hưởng đến các lưu lượng hợp lệ.

+ Xác định mối đe dọa từ mọi phía: bảo vệ hệ thống mạng của bạn khỏi sự vi phạm các chính xách, sự do thám các lỗ hổng và các hoạt động bất thường thông qua việc kiểm tra chi tiết lưu lượng từ lớp 2 đến lớp 7.

+ Sự cộng tác mạng độc nhất: nâng cao khả năng co dãn thông qua sự cộng tác mạng, bao gồm các công nghệ thu lấy dữ liệu hiệu quả, khả năng chia tải và tính rõ trong lưu lượng được mã hóa.

+ Giải pháp triển khai toàn diện: cung cấp giải pháp từ mạng doanh nghiệp vừa và nhỏ đến các mạng doanh nghiệp lớn và mạng của nhà cung cấp dịch vụ.

+ Cisco Security Monitoring, Analysis, and Response System (MARS) xác định, cách ly và loại bỏ các yếu tố bị lỗi. Và Cisco Incident Control System ngăn chặn các virus và sâu mới.

Khi được kết hợp, những yếu tố này sẽ cung cấp 1 giải pháp ngăn chặn inline toàn diện, mang đến cho bạn sự tin tưởng để phát hiện và ngăn chặn các lưu lượng nguy hiểm trong phạm vi rộng nhất trước khi nó ảnh hưởng đến hoạt động của hệ thống.

Đối với hệ thống của Cục tần số, chúng tôi đưa ra thiết bị IPS 4240 của Cisco cho hệ thống phát hiện và ngăn chặn xâm nhập.

Đặc điểm kỹ thuật của IPS 4240 + Inline IPS ready: Yes

+ Performance: 250Mbps

+ Standard Monitoring Interface: Four 10/100/1000 BASE-TX

+ Standard Command and Control Interface: 10/100BASE-TX

+ Optional Interface: Four 10/100/1000 BASE-TX monitoring interfaces (copper) in the future. Four 1000 BASE-SX (fiber) in the future.

+ ACL Modifications on Switches, Routers, and Firewalls: Yes

+ Multiple Packet Drop Actions to Stop Worms and Viruses: Yes*…

5.3.2.2 Anti-virus

a. Các con đường để virus máy tính thâm nhập vào hệ thống mạng máy tính của Cục tần số.

Với hệ thống mạng máy tính hiện tại của Cục tần số thì virus máy tính có thể xâm nhập vào bằng các con đường như sau:

+ Thâm nhập từ Internet vào máy tính bên trong mạng khi kết nối vào mạng Internet.

+ Thâm nhập qua hệ thống thư điện tử.

+ Thâm nhập do người dùng sao chép dữ liệu từ đĩa mềm, thiết bị lưu trữ bên ngồi có nhiễm Virus.

+ Từ chính các máy lây nhiễm trong mạng lây lan sang nhau.

Với sự gia tăng rất nhanh cả về số lượng, mức độ nguy hiểm, sự phát tán (lây nhiễm) của virus hiện nay, thì chúng ta cần đưa ra một giải pháp, một chính sách tổng thể để có thể phịng chống virus một cách có hiệu quả.

Với hệ thống thông tin như vậy, tôi đề xuất giải pháp phịng chống Virus máy tính bằng các sản phẩm của Trend Micro cho hệ thống như sau.

b. Giải pháp anti-virus trên mạng máy tính của Cục tần số bằng sản phẩm của TrendMicro.

Để phòng chống virus được hiệu quả thì chúng ta cần ngăn chặn và phòng chống virus trên tất cả các con đường mà virus có thể lây nhiễm và làm hỏng hệ thống, vì vậy với hệ thống mạng của Cục tần số và các con đường có thể lây nhiễm virus như đã nêu ở trên chúng tơi xin đưa ra giải pháp phịng chống virus:

+ Tại Gateway: Gateway của Cục tần số là ASA 5520. Để có thể cài đặt Interscan của Trendmicro, ASA 5520 phải mua thêm Module CSC-SSM.

+ Tại máy chủ Mail

+ Tại hệ thống máy chủ dữ liệu + Tại các máy trạm

Để làm được như vậy cần dùng bộ sản phẩm NeaTSuite Enterprise Edition của hãng Trend Micro. Bộ sản phẩm này bao gồm các modules sau:

+ InterScan Web Security Suite HTTP/FTP - IWSS HTTP/FTP + InterScan Messaging Security Suite – IMSS

+ OfficeScan Corporate Edition – OSCE + ScanMail for Exchange - SMEX Suite + ServerProtect – SP

+ Trend Micro Control Manager –TMCM

Các module trên cũng có thể được cài đặt, triển khai độc lập để bảo vệ các thành phần khác nhau trong mạng.

Hình 5-6: Giải pháp chống virus

InterScan Web Security Suite - Chống virus và bảo vệ nội dung tại mức Gateway:

+ InterScan Web Security SuiteTM là giải pháp bảo vệ doanh nghiệp tại mức Gateway với độ tin cậy cao và ổn định cho các luồng HTTP và

FTP. Được thiết kế để cải thiện khả năng sử dụng Web của người sử dụng, InterScan Web Security Suite chỉ ra những lỗi trình diễn tiềm ẩn khi quét virus.

+ InterScan Web Security Suite hỗ trợ cả việc quét độc lập và qua giao thức ICAP, đưa ra sự bảo vệ Web linh hoạt cho doanh nghiệp.

+ Được thiết kế cho việc cấu hình luân phiên và các ứng dụng tương lai, đặc tính này được thêm vào chiến lược của Trend Micro cho Enterprise, mở rộng khả năng quản lý chống bùng nổ virus trên các luồng Web, giảm chi phí và tăng khả năng đầu tư.

InterScan Messaging Security

+ Trend Micro™ InterScan™ Messaging Security Suite hỗ trợ việc đưa ra các cảnh báo trên gateway nhằm giúp cho việc thiết lập các chính sách phịng chống virus, chống spam và an toàn dữ liệu.

+ InterScan Messaging Security Suite giúp cho quản trị IT giảm thiểu tối đa thời gian cài đặt và cấu hình các cảnh báo cho các giải pháp bảo mật. Hơn nữa, việc gửi thông báo cho biết việc gửi thơng tin tới đích an tồn rất hữu ích trong việc tính chi phí và giúp cho quản trị IT nâng cao việc bảo vệ khỏi các tấn cơng từ nhiều hướng có thể xảy ra đồng thời ảnh hưởng nguy hại đến hoạt động của hệ thống.

+ Đi kèm với sản phẩm Trend Micro Control Manager™, nó cung cấp khả năng mở rộng hệ thống các cảnh báo trong mạng, cho phép xuất các báo cáo và cấu hình, cập nhật các file mẫu virus và máy quét và các dịch vụ chống bùng nổ của Trend Micro một tập chung cách - người quản trị hồn tồn có thể thực hiện các thao tác này từ xa.

OfficeScan Corporate Edition

+ OfficeScanTM Corporate Edition cung cấp giải pháp phịng chống virus tồn diện cho máy để bàn và máy xách tay. OfficeScan đưa ra chức

năng quản lý tập trung, cho phép người quản trị quản lý đầy đủ và thi hành các chính sách phịng chống virus thơng qua tồn bộ tổ chức. + Được thiết kế để quét và diệt virus một cách trong suốt và tin cậy,

OfficeScan kết hợp chặt chẽ với Damage Cleanup Service, dịch vụ này sẽ loại bỏ các đoạn mã nguy hiểm và sửa chữa hệ thống bị phá hoại bởi các đoạn mã nguy hiểm.

ScanMail for Microsoft Exchange

+ Bảo vệ môi trường Microsoft Exchange chống lại các tấn cơng nguy hiểm và nội dung khơng thích hợp

+ ScanMail™ for Microsoft™ Exchange phát hiện và diệt virus theo thời gian thực từ email và các file đính kèm trước khi chúng đến được các máy để bàn. Nó rất dễ dàng triển khai và cấu hình qua giao diện quản lý Windows hay Web-based.

+ Kết hợp với thành phần plug-in eManager cung cấp việc lọc nội dung để ngăn chặn các email không liên quan đến việc kinh doanh và lọc các nội dung khơng thích hợp trong email và các file đính kèm. ScanMail kết hợp chặt chẽ với các giao diện ứng dụng mới nhất của Microsoft và hỗ trợ cho Microsoft Exchange 5.5, Microsoft Exchange 2000, và bây giờ là Exchange 2003 servers.

ServerProtect for Microsoft Windows/Novell Netware

+ ServerProtectTM cung cấp giải pháp quét virus cho các server, phát hiện và diệt virus trong các file và các file nén theo thời gian thực trước khi chúng đến được người sử dụng cuối. Người quản trị có thể sử dụng giao diện dựa trên Windows để quản lý tập trung việc bùng nổ virus, quét virus, cập nhật các pattern file, cảnh báo và cài đặt từ xa.

+ ServerProtect hỗ trợ Microsoft™ Windows™ Server 2003, Microsoft Windows 2000, Microsoft Windows NT™ 4 và Novell™ NetWare™ server.

Trend Micro Control Manager™

+ Trend Micro Control Manager™ là phần sản phẩm quản lý tập chung các sản phẩm bảo mật thông tin và chống virus trên mạng của Trend Micro.

+ Control Manager tập hợp các thông tin về trạng thái bên trong hệ thống giúp cho người quản trị đưa ra những quyết định ở các mức khác nhau trên hệ thống mạng trong suốt quá trình bùng nổ.Thành phần chính của chiến lược bảo vệ cho các tổ chức, kết hợp các sản phẩm, dịch vụ và chuyên gia, Control Manager là trung tâm thực hiện các yêu cầu về thực hiện dịch vụ được hỗ trợ bởi các chuyên gia của Trend Micro trên mạng lưới toàn cầu.

5.3.3 Đề xuất một số thiết bị bảo mật khác

Bên cạnh các hệ thống bảo mật thiết yếu như trên, ta cũng nên triển khai các hệ thống bảo mật khác như: thiết bị quản lý băng thông, thiết bị Anti- Spam mail, thiết bị chống DDoS.

Đối với các các hệ thống bảo mật trên, tôi đề xuất thiết bị của các hãng: + Thiết bị quản lý băng thông: NetEnfocer của Allot

+ Thiết bị Anti-Spam mail: Barracuda Spam Firewall của Barracuda.

+ Thiết bị chống DDoS: Cisco Guard XT 5650 của Cisco.

5.4 Kết luận

Với giải pháp mà đề xuất, dưới đây là danh mục thiết bị mà Cục tần số cầnđầu tư:

GIAI ĐOẠN 1

Mô tả thiết bị lượngSố Ghi chú

Tại trung tâm Hà Nội

Cisco Firewall/VPN ASA 5520 1

Tại trung tâm TP Hồ CHÍ MINH

Cisco Firewall/VPN ASA 5510 1

Tại trung tâm Đà Nẵng

Cisco Firewall PIX 515E (thiết bị hiện đang được A

sử dụng tại trung tâm Hà Nội). 1

Các trung tâm cịn lại

Cisco® 877 Series Integrated Services Routers 5

Với danh mục thiết bị cần trang bị như trên, tổng mức đầu tư của Cục tần số ở giai đoạn 1 là 39.500USD. Khi mơ hình này hoạt động, chi phí hàng tháng mà Cục tần số phải chi trả để thuê đường leased line và ADSL cả hệ thống vào khoảng 7 triệu VNĐ (chưa kể cước tính theo dung lượng internet). Trong khi đó, nếu sử dụng thuê kênh leased line và MegaWan cả hệ thống thì chi phí hàng tháng này sẽ vào khoảng 23,7 triệu VNĐ (chưa kể cước dung lượng internet). Như vậy, mỗi tháng Cục Tần số sẽ tiết kiệm được 16,7 triệu VNĐ (tiết kiệm tới 70% chi phí hàng tháng). Và theo tính tốn, chỉ sau 3 năm số tiền tiết kiệm được này đã bằng với số tiền đầu tư ban đầu.

GIAI ĐOẠN 2

Mô tả thiết bị lượngSố Ghi chú

Cisco ASA 5500 Series CSC-SSM-20 1

TrendMicro Anti-virus 1

Cisco IPS 4240 1

Tổng mức đầu tư của Cục tần số trong giai đoạn 2 vào khoảng 30.000USD.

Như vậy, việc sử dụng công nghệ tạo VPN qua môi trường Internet trên nền ADSL là giải pháp tối ưu nhất cả về phuơng diện dễ dàng triển khai lẫn chi phí hoạt động hàng tháng.

KẾT LUẬN

Công nghệ mạng riêng ảo VPN cho phép tận dụng môi trường mạng công cộng Internet để xây dựng các mạng riêng đảm bảo an ninh. Với những ưu điểm về mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt trong triển khai và mở rộng, VPN là một công nghệ hứa hẹn triển vọng thị trường rất lớn.

Qua các chương trình bày, luận văn đã lần lượt nghiên cứu các nội dung cơ bản của kỹ thuật VPN như kỹ thuật mã hoá, định danh, xác thực. Các giao thức tạo đường hầm kết nối an toàn như PPTP, L2TP, IPSec. Quản lý hoạt động VPN. Cuối cùng là một số giải pháp đề xuất nhằm nâng cao tính bảo mật tại tục Quản lý tần số, giải pháp đã đáp ứng một cách tốt nhất yêu cầu đặt của Cục tần số là kết nối người dùng tại các chi nhánh tỉnh thành với trung tâm với chi phí thấp mà vẫn đảm bảo được sự tin cậy và an toàn cho mạng.

Hiện nay, tại Việt Nam có rất nhiều hãng đang cung cấp các giải pháp VPN cho các doanh nghiệp, mỗi hãng có một cấu hình VPN riêng và có những thế mạnh nhất định. Theo như đánh giá của nhiều cơng ty thì thị trường VPN Việt Nam ước tính có tốc độ phát triển từ 50-60% mỗi năm trong những năm tới.

Với sự tăng trưởng mạnh mẽ đó, VPN sẽ trở nên rất phổ biến trong tương lai gần và vì vậy nó rất cần phải được đầu tư nghiên cứu, phát triển mạnh nhằm đáp ứng nhu cầu ngày càng cao của người sử dụng.

TÀI LIỆU THAM KHẢO

[1] Cisco Secure Virtual Private Networks (Volume 1,2) Copyright © 2001, Cisco System, Inc.

[2] Security Protocols Overview

Copyright ©1999, RSA Data Security, Inc. [3] Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc. [4] Network Protocol Handbook

Matthew G.Naugle, McGraw-Hill, Inc.1994. [5] Building and Managing Virtual Private networks Dave kosiur, USA, 1998.

[6] VPN technologies: Definitions and Requirements Copyright © 2002, VPN Consortium.

[7] Understanding Virtual Private networking Copyright © 2001, ADTRAN, Inc.

Các Websites chính http:// www.vpnlabs.org http:// www.vpnc. org http:// www. ietf. Org http:// www.techguide.com http:// www.javvin.com http:// www.techRepublic.com Các chuẩn RFCs

RFC 2402- IP Authentication Header (AH)

RFC 2404- Encapsulation Security Payload (ESP) RFC 2341- layer 2 Forwarding Protocol (L2F)

RFC 2647- Point-to-Point Tunneling Protocol (PPTP) RFC 2661- Layer 2 Tunnling Protocol (L2TP)

Một phần của tài liệu Kỹ thuật mạng riêng ảo và giải pháp nâng cao tính bảo mật cho hệ thống mạng cục bộ tần số vô tuyến điện (Trang 100)

Tải bản đầy đủ (PDF)

(112 trang)