CHƯƠNG 5 XÂY DỰNG HỆ THỐNG BẢO MẬT XÂY DỰNG HỆ THỐNG BẢO MẬT
12. Bảo mật hệ thống mạng nên thực hiện theo một quá trình liên tục
5.7 Các module bảo mật
Bảo mật các kết nối cho Internet - Securing Internet Connections
Các kết nối internet nên sử dụng tổ hợp các cơ chế bảo mật, bao gồm các firewall, lọc gói tin, bảo mật vật lý, và giám sát quyền nhận thực, quá trình cấp quyền. Trên các router Internet nên thêm khả năng lọc gói tin để ngăn các tấn công DoS và các loại tấn công khác vào hệ thống.
Đối với những hệ thống quan trọng khi quản bá các dịch vụ ra ngoài internet cần được bảo vệ thông qua hệ thống networks và host IDS, với những hệ thống mạng có các chi nhánh cần có các phương thức bảo vệ và lọc gói tin.
Bảo mật cho các server public - Securing Public Servers
Hầu hết các công ty đều cần các server public các dịch vụ ra ngoài internet bao gồm: Web, FTP, DNS, email và e-commerce servers. Các server này nên được đặt trong miền DMZ và được bảo về thông qua các tường lửa trước khi thực hiện các dịch vụ ra ngoài internet
Để bảo vệ các public servers khỏi các tấn công DoS cần sử dụng các bản security fix mới nhất để thực hiện vá các lỗ hổng bảo mật trên các server.Trên các
server public này nên cấu hình các firewall mềm và thực hiện cấu hình bảo vệ chống khỏi các tần công DoS. Ví dụ các server nên được cấu hình giới hàn số kết nối mà có thể tồn tại trong một thời điểm. Các Servers cũng nên chạy các phần mềm mà có thể kiểm tra và quyeeets những ứng dụng nguy hiểm thực hiện trên hệ thống để có thể phát hiện được các virus cũng như các mã nguồn có hại xâm nhập vào phá hoại dịch vụ.Nếu một server thực hiện đa chức năng, ví dụ thực hiện cùng lúc 2 dịch vụ, cho phép khách hàng có khả năng truy xuất tới, không nên thực hiện cùng lúc hai dịch vụ web và ftp trên cùng một server, nếu không có thể tạo cơ hội cho các hacker xâm nhập vào mã nguồn và thay đổi nội dung của trang web.Không nên cho phép các kết nối tới TFTP được upload ra ngoài internet bởi các phiên TFTP không yêu cầu về khả năng nhận thực truy nhập.
E-mail server có nguồn dữ liệu đi lòng vòng trên mạng trong một thời gian dài do đó nó dễ dàng bị các hacker bắt được và giải mã thông tin. Để thực hiện bảo mật cho email server cần có các chính sách bảo mật liên tục tìm ra các lỗ hổng bảo mật trên mạng và cập nhật bản vá cũng như các chương trình thực hiện chống virus và spam. Đối với mỗi thuê bao cần chỉ ra cá thông tin bảo mật riêng và chi tiết.
DNS server nên được giám sát và điều khiển. Một hacker có khả năng tấn công vào DNS server để thực hiện gây ra các lỗ hổng trên hệ thống. Một cách hiệu quả để bảo mật cho hệ thống DNS đó thực hiện lọc gói tin ngay từ router.
Securing Remote-Access and Virtual Private Networks
Để hỗ trợ cho các người dùng di động, nhiều mạng công ty trang bị hệ thống quay số và remote-access VPN concentrator và site-to-site VPN gateway nhằm truyền lưu lượng public qua mạng như là PSTN và Internet để bảo vệ các thành phần này cần phần quyền cho các người dùng được log vào hệ thống. Việc xác thực có thể được thực hiện thông qua các username/password để nhận thực, phương thức mã hóa các thông tin nhận thực có thể sử dụng CHAP hoặc IPsec trên hệ thống.
Bảo mật cho hệ thống mạng dịch vụ và mạng quản lý - Securing Network Services and Network Management
Để thực hiện nhiệm vụ bảo mật cho hệ thống mạng dịch vụ điều quan trọng là chỉ ra các thiết bị mạng như router, switch và các server thực hiện việc cung cấp dich vụ để thực hiện các phương thức nhận thực và cấp quền. Trên các thiết bị mạng đó là thực hiện thông qua các username/password. Các giao thức đinh tuyến cũng nên sử dụng các giao thức có khả năng nhận thực trong quá trình trao đổi thông tin.
Đối với hệ thống quản lý mạng việc cung cấp thông tin cho các SNM cũng cần được thực hiện thông qua các giao thức có khả năng nhận thực và mã hóa thông tin khi đi qua những môi trường không tin cậy. Ví dụ sử dụng SNMPv3. Các máy chủ quản lý cần có phương thức nhận thực khi truy nhập thông qua các username/pasword.
Bảo mật cho hệ thống Server Farms - Securing Server Farms
Thực hiện phương thức bảo mật cho các máy chủ trong server farm được thực hiện thông qua các luật về phân quyền trên các thiết bị mạng. Ví dụ sử dụng access- list để cho phép một vài địa chỉ có quyên truy xuất trực tiếp đến các máy chủ để cung cấp dịch vụ hay thông qua các phương thức phân quyền và nhận thực trực tiếp trong cung domain name hoặc các user được cấu hình trực tiếp trên máy chủ.
Các máy chủ được cài đặt các phần mềm mã hóa dữ liệu với những ứng dụng quan trọng.
Miền server farm cũng cần được bảo về bởi một hệ thống IDS đặt trước đầu vào để nhận dạng các tấn công vào hệ thống.
Securing Wireless Networks
Để đảm bảo cho khả năng an toàn của các dữ liệu được truyền trong mạng Wireless cần thực hiện phương thức nhận thực và cấp quyền truy xuất cho các
client khi tham gia vào trong mạng. Dữ liệu truyền đi trong mạng wireless có thể được mã hóa trên những tunnel VPN, một phương thức nữa có thể tăng cường thêm khả năng bảo mật đó là chia WLAN VLAN. Các thiết bị tham gia vào mạng WLAN nên được cập nhật một cách thường xuyên các bản update về bảo mật mật.