Đăng ký

3.3Đề xuất giải pháp

Một phần của tài liệu THIẾT kế, cài đặt và QUẢN TRỊ MẠNG đề tài xây dựng, thiết kế hệ thống mạng cho công ty kiểm toán an việt (Trang 29 - 38)

3.3.1. Firewall

nhằm ngăn chặn các truy cập thông tin không mong muốn từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằm trong mạng nội bộ xuất ra ngồi internet mà khơng được cho phép. Firewall có thể là thiết bị phần cứng hoặc phần mềm. Nhiệm vụ cơ bản của firewall là kiểm sốt giao thơng dữ liệu giữa hai vùng có độ tin cậy khác nhau. Các vùng tin cậy điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm sốt giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mơ hình kết nối dựa trên nguyên tắc quyền tối thiểu.

Có hai loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá

nhân hay mạng cục bộ, tránh sự xâm nhập, tấn cơng từ bên ngồi và tường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ ngăn chặn khơng cho máy tính truy cập một số trang web hay máy chủ nhất định, thường dùng với mục đích kiểm duyệt Internet.

Đề xuất giải pháp Firewall cho cơng ty An Việt sử dụng firewall CISCO ASA5520-BUN-K9 là giải pháp hợp lý, với các ưu điểm về an ninh:

- Bảo vệ mạng nội bộ với các mạng bên ngoài và internet.

- Lọc nội dung thông tin web khi các user truy cập ra bên ngồi Internet để hạn chế và kiểm sốt các users theo quy định sử dụng Internet của doanh nghiệp.

- Xây dựng hệ thống phịng chống virus cho tồn hệ thống mạng khi truy cập ra bên ngoài Internet.

- Ngăn chặn và phịng chống thư rác (spam email) thơng qua địa chỉ IP, dị tìm địa chỉ email khi các cuộc tấn cơng bên ngồi internet truy cập vào Server Farm DMZ. - Kiểm soát và nhận dạng các thiết bị di động (Device Manager) dựa trên các nền tảng

di động phổ biến hiện nay như Android, IOS, Windowphone... với các thiết bị như Tablet hay

Smartphone, cho phép thực thi các chính sách cho từng loại thiết bị, đem lại khả năng bảo mật

cao nhất cho hệ thống.

- Ngăn chặn các dữ liệu nhạy cảm bị rò rỉ từ bên trong hệ thống mạng ra bên ngồi Internet (DLP).

- Kiểm sốt và ngăn chặn một số ứng dụng (như Instant Message, P2P, ứng dụng

download, các chương trình remote access ..) khi các users cục bộ truy cập ra bên ngồi Internet.

- Có thể bảo vệ các biến cố có thể gây nguy hại cho hệ thống mạng cao. Có thể đưa ra các xác lập ưu tiên cho các mối nguy hiểm cần xử lý.

- Ghi các thông tin cho mỗi cảnh báo và cách giải quyết các vấn đề đó từ trước, trong và sau khi vấn đề được giải quyết xong.

3.3.2.. Hệ thống phát hiện chống xâm nhập (IDS/IPS)

Hệ thống phát hiện xâm nhập IDS (intrusion detection system) là hệ thống giám sát lưu lượng mạng nhằm phát hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống. IDS có thể phân biệt được những tấn công từ bên trong hay tấn cơng từ bên ngồi. IDS có thể là 1 phần mềm, 1 phần cứng hoặc kết hợp giữa phần mềm và phần cứng.

IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết hay dựa trên so sánh lưu thơng mạng hiện tại với baseline để tìm ra các dấu hiệu khác thường.

Tính năng quan trọng nhất của IDS là:

- Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hồn chỉnh.

Có hai loại chính là:

- NIDS: hệ thống phát hiện xâm nhập mạng. Hệ thống sẽ tập hợp gói tin để phân tích sâu bên trong mà khơng làm thay đổi cấu trúc gói tin. NIDS có thể là phần mềm triển

khai trên

server hoặc dạng thiết bị tích hợp appliance.

- HIDS: hệ thống phát hiện xâm nhập host. Theo dõi các hoạt động bất thường trên các host riêng biệt. HIDS được cài đặt trực tiếp trên các máy (host) cần theo dõi.

IPS( Intrusion prevention system): khi hệ thống IDS có khả năng ngăn chặn các nguy cơ xâm nhập mà hệ thống phát hiện thì được gọi là hệ thống phòng chống xâm nhập hay IPS.

Đề xuất giải pháp cho công ty An Việt sử dụng hệ thống chống xâm nhập với mã nguồn mở Snort. Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở miễn phí, được sử dụng để quét dữ liệu di chuyển trên mạng. Snort cung cấp khả năng phát hiện xâm nhập theo thời gian thực. Snort là HIDS khi cài đặt trên một host cụ thể và chỉ để phát hiện các sự tấn cơng nhắm đến host đó.

Snort lưu giữ tất cả các gói tin và cho phép thực hiện nhiều tác vụ một khi bắt được gói tin, có thể sử dụng Snort như một chương trình bắt gói tin, lưu giữ và kiểm tra về sau hoặc sắp xếp các gói tin để phát hiện các hiểm họa xâm nhập.

Snort sử dụng các luật được lưu trữ trong các file text, quản trị viên có thể sửa. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại được lưu trong các file khác nhau. File cấu hình chính của Snort là Snort.conf. Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật nhằm bắt giữ dữ liệu. Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành động xâm nhập. Các luật của Snort có thể tạo, sửa, xóa.

Snort có 4 chế độ hoạt động khác nhau:

- Sniffer mode: ở chế độ này snort sẽ lắng nghe và đọc các gói tin trên mạng sau đó sẽ trình bày kết quả trên giao diện hiển thị.

- Packet Logger mode: lưu trữ các gói tin trong các tập tin log.

- Network instruction detect system (NIDS): đây là chế hoạt động mạnh mẽ và

được áp dụng nhiều nhất, khi hoạt động ở NIDS mode Snort sẽ phân tích các gói tin ln chuyển trên mạng và so sánh với các thông tin được định nghĩa của người dùng để từ đó có những hành động tương ứng như thông báo cho quản trị mạng khi xảy ra tình huống quét lỗi do các hacker /attacker tiến hành hay cảnh báo virus..

- Inline mode: khi triển khai snort trên linux thì chúng ta có thể cấu hình snort để

phân tích các gói tin từ iptables thay vì Libpcap do đó Iptable có thể drop hoặc pass các gói tin theo snort rule.

3.3.3. Phần mềm Anti-Virus (AV)

Với yêu cầu xây dựng hệ thống mạng cho công ty An Việt với một hệ thống bảo mật toàn diện, bảo vệ người dùng trước những mối nguy hại thường xuyên của virus và các loại mã độc. Chúng tôi đề xuất sử dụng phần mềm Anti-Virus Kaspersky Security For Bussiness. Kaspersky là một phần mềm diệt virus có thể mang lại những lợi ích rất thiết thực với một tập hợp các tính năng phong phú và khả năng tương thích cực kì mềm dẻo với các platform khác nhau: Windows, Linux và Novell. Kaspersky được sử dụng trong hệ thống mạng công ty ABC bằng cách cài trực tiếp lên các máy tính của nhân viên và quản lý.

Các tính năng nổi bật của phần mềm Anti-Virus Kaspersky:

- Quét và diệt virus theo thời gian thực: phần mềm Kaspersky ln hoạt động ở chế độ nền có khả năng kiểm soát và bảo vệ các dữ liệu trong máy tính bao gồm ổ cứng, bộ nhớ cà

các thiết bị cắm ngoài theo thời gian thực.

- Qt và diệt virus thơng minh: Phần mềm Kaspersky có khả năng diệt tất cả các loại virus và mã độc với bốn chế độ quét tiện dụng và linh hoạt là: quét toàn bộ, quét nhanh, quét

chọn lọc, quét thiết bị gắn ngoài.

- Cập nhật dữ liệu tự động: Nhờ khả năng cập nhật dữ liệu tự động từ máy chủ nên kaspersky có khả năng đối phó, ngăn chặn và tiêu diệt tất cả các loại virus nguy hiểm, virus

mới xuất hiện.

- Khả năng tự phịng vệ: Kaspersky có khả năng tự vệ khơng cho phép các phần mềm khác thay đổi, truy cập hay tấn cơng vào các file quan trọng của mình. Nhờ đó mà Kaspersky

khi được cài vào máy tính ln hoạt động rất ổn định và bền bỉ.

- Dễ sử dụng, hỗ trợ tiếng Việt: giao diện của Kaspersky rất là thân thiện và dễ sử dụng. Đặc biệt chương trình có hỗ trợ cả tiếng Việt giúp mọi thao tác trở lên dễ dàng hơn bao giờ hết.

VPN (Virtual Private Network) là một mạng dành riêng để kết nối các máy tính lại với nhau thơng qua Internet cơng cộng, các máy tính tham gia VPN sẽ thấy nhau như trong một mạng cục bộ LAN. Internet là một môi trường công cộng, việc chia sẻ dữ liệu có tính riêng tư qua Internet là cực kỳ nguy hiểm do có thể dễ dàng bị rị rỉ, ăn cắp. Vì vậy lựa chọn sử dụng VPN là phương án tốt, giúp kết nối các máy tính lại với nhau thông qua một kênh truyền dẫn dữ liệu (tunnel) riêng đã được mã hóa theo cơng nghệ IPSec VPN, SSL VPN, các máy tính khác khơng thể kết nối vào VPN. VPN phù hợp với các doanh nghiệp có nhiều chi nhánh ở xa, tiết kiệm chi phí hơn việc phải kết nối mạng có dây giữa các chi nhánh. Thông thường, các chi nhánh ở cùng một công ty phải chia sẻ dữ liệu, tài nguyên với nhau mà không được thơng qua các kênh chat, mạng xã hội vì gây mất khả năng quản lý tài nguyên và gặp các vấn đề về bảo mật. Sử dụng VPN trong suốt với người dùng với cấu hình dễ dàng, người quản trị có thể thiết lập các chính sách, điều khoản và áp dụng các dịch vụ thống nhất trên toàn mạng VPN, tức làáp dụng cho cả các nhân viên trong tồn cơng ty, bất kể họ đang làm việc ở đâu. Chẳng hạn

như hệ thống quản trị tài khoản tập trung Active Directory, NAP, Antivirus.

Đề xuất giải pháp VPN cho công ty An Việt, chúng tôi lựa chọn VPN Draytek là một trong những hãng lớn, đáp ứng nhu cầu về khả năng mở rộng của doanh nghiệp, giảm thiểu các chi phí đầu tư, sử dụng môi trường Internet truyền tải dữ liệu, kết nối riêng. Cơng ty An Việt giảm được chi phí đầu tư và khả năng mở rộng các chi nhánh và các hệ thống cửa hàng ngày càng dễ dàng hơn.

3.3.5. Hệ thống giám sát an toàn mạng (SIEM)

Hệ thống giám sát an toàn mạng (Security information and event management - SIEM) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung. Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an tồn mạng của tổ chức. Kết quả phân tích này có thể được dùng để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phương pháp thơng thường. Một số sản phẩm SIEM cịn có khả năng ngăn chặn các cuộc tấn công phát hiện được.

Đối với công ty An Việt là một công ty lớn, việc thu thập, phân tích và lưu trữ các sự kiện là rất cần thiết. Giải quyết tình trạng số lượng thơng tin lớn với các định dạng khác nhau rất khó cho việc thu thập và phân tích dữ liệu, chúng tơi đề xuất sử dụng SIEM giúp việc thu thập dữ liệu đầu cuối thiết bị dễ dàng và lưu trữ dữ liệu một cách tập trung. Hệ thống giám sát mạng cho công ty An Việt sử dụng là công cụ Splunk Enterprise. Splunk là cơng cụ tồn năng cho các chuyên gia giám sát an ninh mạng, giám sát mạng dựa trên sức mạnh của việc phân tích Log. Splunk thực hiện các cơng việc tìm kiếm, giám sát và phân tích dữ liệu logs lớn được sinh ra từ các ứng dụng, các hệ thống và các thiết bị hạ tầng mạng. Nó có thể thao tác tốt với nhiều loại định dạng dữ liệu khác nhau (Syslog, csv, apache-log, access_combine ...). Splunk được xây dựng dựa trên nền tảng Lucene and MongoDB với một giao diện web rất trực quan. Tính năng của Splunk:

- Định dạng Log: Splunk hỗ trợ hầu như tất cả các loại log của hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register của các máy trạm. Các hình thức

thu thập dữ liệu: Splunk có thể thực hiện việc thu thập log từ rất nhiều nguồn khác nhau: + Từ một file hoặc thư mục (kể cả file nén) trên server.

+ Qua các kết nối UDP, TCP từ các Splunk Server khác trong mơ hình Splunk phân tán.

+ Từ các Event Logs, Registry của Windows.

- Splunk cũng kết hợp rất tốt với các công cụ thu thập log khác để tăng hiệu năng của hệ thống.

- Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên tục khi có thay đổi trong thời gian thực. Giúp cho việc phát hiện và cảnh báo chính xác trong thời gian thực.

- Đánh chỉ mục dữ liệu: Splunk được xây dựng trên Lucene, có thể đánh chỉ mục dữ liệu với một khối lượng dữ liệu rất lớn trong một khoảng thời gian ngắn. Giúp việc tìm kiếm

diễn ra nhanh chóng và thuận tiện.

- Tìm kiếm thơng tin: Splunk làm việc rất tốt với dữ liệu lớn và cập nhật liên tục. Nó cung cấp cơ chế tìm kiếm với một “Splunk Language” cực kỳ thơng minh bao gồm các từ

khóa, các hàm và cấu trúc tìm kiếm giúp người sử dụng có thể truy xuất mọi thứ, theo rất nhiều

tiêu chí từ tập dữ liệu rất lớn. Những nhà quản trị mạng cao cấp và chuyên nghiệp thường gọi

Splunk với cái tên “Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên sức

mạnh của Splunk.

- Giám sát và cảnh báo: Splunk cung cấp cho người dùng một cơ chế cảnh báo dựa trên việc tìm kiếm các thơng tin do chính người sử dụng đặt ra. Khi có vấn đề liên quan tới hệ

thống phù hợp với các tiêu chí mà người dùng đã đặt ra thì hệ thống sẽ cảnh báo ngay tới người dùng (cảnh bảo trực tiếp qua giao diện, gửi Email).

- Khắc phục sự cố: Splunk còn cung cấp một cơ chế tự động khắc phục với các vấn đề xảy ra bằng việc cấu hình để tự động chạy các file Script mà người dùng tự tạo (Ví dụ như:

Chặn IP, ...) khi có các cảnh báo xảy ra.

- Hiển thị thông tin: Splunk cung cấp một cơ chế hiển thị trực quan giúp người sử dụng có thể dễ dàng hình dung về tình trạng của hệ thống, đưa ra các đánh giá về hệ thống. Splunk

còn từ động kết xuất ra các báo cáo với nhiều loại định dạng một cách chuyên nghiệp. - Phát triển: Cũng cung cấp các API hỗ trợ việc tạo các ứng dụng trên Splunk của người

dùng. Một số bộ API điển hình như Splunk SDK (Cung cấp các SDK trên nền tảng Python,

Java, JS, PHP), Shep (Splunk Hadoop Integration - Đây là sự kết hợp giữa Splunk và Hadoop), Shuttle (Là một sản phẩm hỗ trợ việc sao lưu dữ liệu trong Splunk), Splunk Git

(Giúp bạn hình dung dữ liệu tốt hơn), Splunk powershell resource Kit (Bộ công cụ hỗ trợ việc

Một phần của tài liệu THIẾT kế, cài đặt và QUẢN TRỊ MẠNG đề tài xây dựng, thiết kế hệ thống mạng cho công ty kiểm toán an việt (Trang 29 - 38)

Tải bản đầy đủ (DOCX) (63 trang)
w