III. PHÂN CHIA QUÁ TRÌNH TRIỂN KHAI
4. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV
4.3 XUấT THIếT Kế VPN CHO MạNG SACOMBANK
Như đã đề cập ở trên, hệ thống mạng của Sacombank rất lớn và phức tạp, trải rộng trên phạm vi địa lý lớn với nhiều hoạt động nghiệp vụ phức tạp và chồng chéo. Các máy trạm (nhưng không phải
tất cả) tại chi nhánh đều phải kết nối về máy chủ dữ liệu trên Trung tâm để trao đổi dữ liệu và trong khi (cũng không phải tất cả) cũng có nhiều máy trạm đặt tại văn phòng Trung tâm cần phải trao đổi dữ liệu với những máy chủ này. Tất cả các kết nối đó có thể thông qua mạng LAN tại Văn
phòng Trung tâm và thông qua đường điện thoại công cộng và qua Firewall ngăn chặn. Hiện tại
các giải pháp thực hiện VPN được qui lại làm hai loại chính
+ Stand-alone gateway + Tích hợp VPN gateway
Trong hai lớp này, chỉ có giải pháp tích hợp VPN/Firewall là được thiết kế cho một giải pháp bảo
mật internet hoàn chỉnh. Stand-alone VPN gateway không tích hợp với firewall sẽ tạo ra nhiều khoá khăn phức tạp không cần thiết trong công tác bảo mật và quản trị. Thêm nữa, với stand-alone VPNs, việc đặt VPN Gateway trong mối liên quan tới Firewall trở nên không thể bởi vì Firewall không thể điều khiển luồng truy nhập (access control) với các dữ liệu đã bị mã hoá một cách riêng rẽ
Vì vậy chúng tôi đề nghị sử dụng giải pháp tích hợp VPN/Firewall tại tầng thứ 2 của hệ thống mạng
Sacombank để tạo ra các kết nối VPN giữa tầng này tới các chi nhánh và tới các VLAN tại văn phòng
TW. Giải pháp tích hợp VPN/Firewall sẽ đáp ứng được tất cả các yêu cầu an ninh :
Chống lại các mối đe doạ xuất phát từ mạng bên ngoài, ngay cả các cuộc tấn công kiểu
http://kinhte24h.org
Điều khiển luồng truy nhập với tất cả các luồng dữ liệu vào ra: Đặt VPN gateway với thiết bị
điều khiển truy nhập cho phép tăng cường khả năng an ninh với các luồng dữ liệu. Từ
Firewall và VPN gateway chia sẻ các thông tin người dùng, phân chia định nghĩa các nhóm
có thể sử dụng tài nguyên, dịch vụ mà họ được phép và tất cả các luồng dữ liệu trên VPN
đều được mã hoá kiểm tra để đảm bảo chắc chắn rằng chỉ có những nội dung (content)
phù hợp mới được đi qua Firewall
Quản lý tập trung: Tích hợp VPN làm đơn giản đi khi thực hiện các chính sách an ninh
mạng trong trường hợp có yêu cầu thực hiện cả VPN và Firewall. Các dữ liệu cập nhật và
các thay đổi trong chính sách an ninh mạng có thể đồng thời áp dụng tới tất cả các
VPN/Firewall, tối thiểu hoá khả năng xảy ra lỗi do cấu hình. Thêm vào đó, các thông tin
người dùng được chia sẻ trong nhiều ứng dụng mạng bao gồm cả VPN và Firewall. Theo
cách này, quản trị mạng không cần phải duy trì các thông tin người dùng dự phòng
Consolidate Logging: theo đó tất cả các thông tin kiểm soát được hợp nhất trong các file
log
Scaleable Architecture: Với sự tăng cường, mở rộng thêm chi nhánh, hoạt động của mạng
vẫn không bị ngắt quãng. Đây là ưu điểm đặc biệt cho mạng Sacombank cần có tính sẵn
sàng cao (High Available)
Simplified Routing: Khi dữ liệu chuyển tải qua các thiết bị mạng, mỗi đường dẫn được phản
ảnh như những entry của bảng định tuyến. Khi các resources được đưa vào mạng, bảng
định tuyến phải hướng luồng dữ liệu thẳng tới Firewall và gateway. Việc tích hợp
VPN/Firewall đơn giản hoá việc này bằng việc tìm ra các đường định tuyến tới các thiết bị.
Performance: giải pháp tích hợp VPN/Firewall có thể Optimize performance mạng qua các
http://kinhte24h.org
(bandwidth Management). Bảng dưới đây tổng kết những ưu điểm của giải pháp tích hợp
VPN/Firewall
4.4 Tổng kết mô hình khuyến nghị triển khai hệ thống bảo vệ mạng Sacombank
Chúng tôi khuyến nghị tách các máy chủ chứa các dữ liệu quan trọng(Database server,
Web server phục vụ khách hàng,…) ra một mạng riêng - Server Farm và các máy chủ truy
cập public (Web server, mail server,…) ra một mạng riêng-DMZ. Giải pháp này cho phép tạo
chính sách bảo mật chặt chẽ hơn và tăng tính bảo mật của toàn bộ hệ thống
Các máy chủ quan trọng được bảo vệ bằng cách cài phần mềm phát hiện thâm nhập Server
Sensor. Phần mềm này ngăn chặn kẻ tấn công tìm cách lợi dụng các điểm yếu, lỗ hổng bảo
mật của hệ điều hành và các ứng dụng chạy trên đó, phát hiện các tấn công từ bên trong
và bên ngoài như tấn công tràn bộ đệm, trojan, worm… Chúng tôi khuyến nghị cài phần
mềm này trên tất cả các máy chủ trong vùng Server Farm và trong vùng DMZ.
Các điểm mạng quan trọng được bảo vệ bằng appliance Proventia A201. Thành phần phát
hiện xâm nhập này sẽ phát hiện các tấn công, thâm nhập trái phép trước khi nó gây hậu
quả đến các máy chủ bên trong.
Khuyến nghị sử dụng thêm hệ thống dò quét và phát hiện các điểm yếu của máy chủ CSDL- Database Scanner nếu có điều kiện. Thành phần này sẽ phát hiện các lỗ hổng bảo mật , lỗi đặt mật khẩu trắng hoặc dễ đoán,… và được cài trên một máy riêng. Chúng tôi khuyến nghị
cài Database Scanner trên Management Point.
Một thành phần dò quét và phát hiện các điểm yếu của các máy chủ trên mạng Internet
http://kinhte24h.org
Mạng của trung tâm được bảo vệ bởi thành phần Firewall PIX đặt phía bên ngoài. Pix có nhiệm vụ bảo vệ mạng trung tâm khỏi các tấn công từ bên ngoài, xác thực người dùng, bảo
vệ các mạng khác nhau(Server Farm, DMZ, LAN) với các chính sách bảo mật mềm dẻo.
Chức năng VPN có nhiệm vụ mã hoá dữ liệu truyền giữa trung tâm với các chi nhánh
Các client trong mạng LAN muốn truy cập vào hệ thống máy chủ quan trọng trong cùng Server Farm thì phải thông qua lớp Firewall Checkpoint thứ 2 và có thể áp dụng hệ thống VPNClient để mã hoá dữ liệu truyền giữa máy trạm đó với máy chủ
http://kinhte24h.org
III. ĐÁNH GIÁ GIẢI PHÁP
Với thiết kế này, mạng của ngân hàng SacomBank đạt được các yếu tố an ninh sau :
Giải pháp an ninh tổng thể: Mạng ngân hàng SacomBank được cấu thành từ thiết kế kiến trúc phân
tầng nhiều lớp với chiến lược, chính sách và các sản phẩm bảo mật của những nhà cung cấp giải pháp hàng đầu trên thế giới. Hệ thống được tích hợp, phối hợp chặt chẽ hỗ trợ cho nhau: mạng và an ninh mạng ; an ninh mạng và quản trị mạng sẽ làm tăng mức độ an ninh hệ thống.
Kiến trúc phân tầng, cho phép mạng được tổ chức thành nhiều mạng nhỏ độc lập nhau với các
chính sách an ninh khác nhau.
An ninh vành đai: Mạng được tổ chức thành nhiều vành đai an ninh có độ sâu khác nhau. Mỗi độ
sâu an ninh sẽ thích hợp với các module khác nhau, tuỳ thuộc vào độ quan trọng của các module.
Thực hiện chính sách an ninh giữa các vành đai là các Firewall với đầy đủ các tính năng và công
nghệ tiên tiến, thông lượng cao.
An ninh kết nối: Các kết nối từ các chi nhánh lên trung ương đều được thực hiện qua Site-to-Site
VPN và được mã hoá an toàn trên đường truyền Leased Line. Các kết nối từ người dùng của các chi
nhánh tới Trung tâm sẽ thực hiện nhờ VPN client.
Kiểm soát được truy nhập vào hệ thống của người sử dụng thông qua hệ thống xác thực truy nhập
RSA SecurID.
Phát hiện, ngăn chặn sự thâm nhập bất hợp pháp vào hệ thống mạng cũng như sự lan truyền của
virus trên mạng thông qua hệ thống IDS và Virus Scan gateway.
Có khả năng giám sát hoạt động của toàn bộ hệ thống và có khả năng tự động thay đổi cấu hình, khắc phục các kẽ hở nhanh chóng.
http://kinhte24h.org
IV. PHỤ LỤC
Các phương thức mô tả sau đây dựa trên các kiểu tấn công thông dụng nhất thường xảy ra tại
Gateway và các nguyên tác khắc chế đơn giản với tính năng sẳn có của Cisco IOS và Cisco IOS có
Firewall/IDS.
1 CÁC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG
a. Phương pháp tấn công:
Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính trên mạng
dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một khối lượng dữ liệu lớn truyền đến hệ
thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ thống là nạn nhân bị tấn công.
Mô hình tổng quát cuộc tấn công D.o.S của Hacker
Các phương thức tấn công thường dựa trên việc phát sinh các gói dữ liệu từ hệ thống email ,
broadcast echo request …
Các công cụ thường dùng của tin tặc:
Công cụ Thời điểm xuất hiện tấn công
Phương thức sử dụng để tấn công
Trinoo Oct 21 1999 UDP
Agent
Victim Attacker
Handlers
http://kinhte24h.org
Tribe Flood Network Oct 21 1999 UDP, ICMP, SYN, Smurf
Stacheldracht Dec 31 1999 UDP, ICMP, SYN , Smurf
TFN 2K Feb 10 2000 UDP, ICMP, SYN, Smurf
Shaft March 13 2000 UDP, ICMP, SYN, combo
Mstream May 1 2000 Stream (ACK)
Trinity Sep 5 2000 UDP, Fragment, SYN, RST,
RandomFlag, ACK, Establish, NULL
Khả năng tấn công có thể xảy ra từ các hướng cổng Internet, PSTN, WAN và nội bộ.
Đối với cổng PSTN và Internet đều đi qua Router do đó khả năng phát sinh các cuốc tấn công
D.o.S vào địa điểm này là rất lớn.
b. Phương pháp phòng chống
Với giải pháp Cisco Access List thiết lập thêm có thể phân tích và ngăn chặn các cuộc tấn làm
Overload trên các Interface như sau:
Explicitly permit flood traffic in access list:
access-list 110 permit icmp any any echo access-list 110 permit icmp any any echo-reply
View access list "hit counts" to determine flood type:
permit icmp any any echo (2 matches)
permit icmp any any echo-reply (21374 matches)
Log information about flood packets:
access-list 110 permit icmp any any echo
access-list 110 permit icmp any any echo-reply log-input
Anti-Spoofing Packet Filters
Block inbound traffic sourced from your own address space:
access-list 110 deny ip 192.200.0.0 0.0.255.255 any
Block outbound traffic not sourced from your own address space:
access-list 111 permit ip 192.200.0.0 0.0.255.255 any
Block inbound traffic sourced from unroutable IP addresses:
access-list 110 deny ip 10.0.0.0 0.255.255.255 any access-list 110 deny ip 172.16.0.0 0.15.255.255 any access-list 110 deny ip 192.168.0.0 0.0.255.255 any
http://kinhte24h.org
access-list 110 deny ip 1.0.0.0 0.255.255.255 any ... more ...
http://kinhte24h.org
2 PHƯƠNG THỨC TẤN CÔNG IP SPOOFING DẠNG SMURF
Tấn công dạng này xảy ra khi một IP bên trong, hay nên ngoài mạng giả như là một máy được xác
thực. Hacker có thể làm theo một trong hai cách sau: dùng một địa chỉ IP nằm trong pool địa chỉ
cho phép, hoặc một địa chỉ IP được xác thực từ phía bên ngoài truy cập vào mạng.
Có thể làm giảm tấn công IP spoofing theo cách Smurf vào Router bằng cách sau:
Một giải pháp khác nhằm bảo vệ hệ thống là ứng dụng khả năng
Network sniffer filters:
Monitor all broadcast traffic except specific expected types (for example, RIP)
will disable the translation of directed broadcasts to physical broadcasts
Cisco Configuration (interface command):
no ip directed-broadcast
CiscoACLs:
access-list 110 deny ip any host 192.168.255.255 access-list 110 deny ip any host 192.168.0.0
explicitly denies traffic destined for broadcast addresses behind the router
http://kinhte24h.org
committed access rate(CAR). CAR là chức năng nằm trong hệ thống IOS còn gọi là Cisco Express Forwarding, có mặt trong các dòng 11.1CC, 11.1CE, và 12.0. Giải pháp này cho phép hạn chế traffic đến các nguồn hoặc đích khác nhau
Ví dụ sau mô tả ứng dụng CAR để giới hạn tốc độ ICMP echo và echo-reply traffic tại gateway ở
mức 512 Kbps:
! traffic we want to limit
access-list 102 permit icmp any any echo access-list 102 permit icmp any any echo-reply ! interface configurations for borders
interface Serial3/0/0
rate-limit input access-group 102 512000 8000 8000 conform-action transmit exceed- action drop
3 CÁC PHƯƠNG THỨC KHÁC VÀ NGUYÊN TẮC PHÒNG CHỐNG
3.1 Các phương thức tấn công thông dụng
3.1.1 Phương thức ăn cắp thống tin bằng Packet Sniffers
Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic.
Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP,
POP3,...) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là
username, password, và từ đó có thể truy xuất vào các thành phần khác của mạng.
Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ, các kết
nối RAS hoặc phát sinh trong WAN.
Ta có thể cấm packet sniffer bằng một số cách như sau:
- Authentication
- Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.
- Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng.
- Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker
dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức
http://kinhte24h.org
3.1.2 Phương thức tấn công mật khẩu Password attack
Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute-force để lấy user account hơn.
Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng
login vào các phần share trên server băng phương pháp “thử và sai” passwork.
Phương pháp giảm thiểu tấn công password:
- Giới han số lần login sai
- Đặt password dài
- Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn như
FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa.
3.1.3 Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/
password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập
mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm các đoạn script trong mail
hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy
chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó. Phương pháp giảm thiểu :
- Giới hạn dung lương Mail box
- Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP.
- Sử dụng gateway SMTP riêng
3.1.4 Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan
trọng nhất trong hệ thống máy chủ.
Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên
quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.
- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
3.1.5 Phương thức tấn công Man-in-the-middle attack
Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ về tấn
công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của công ty khách
hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp
thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. Tấn công dạng