CHƯƠNG 5 XÂY DỰNG HỆ THỐNG BẢO MẬT XÂY DỰNG HỆ THỐNG BẢO MẬT
12. Bảo mật hệ thống mạng nên thực hiện theo một quá trình liên tục
5.6 Các mức và kỹ thuật bảo mật triển khai trên hệ thống a. Mức vật lý
Bảo mật mức vật lý liên quan đến việc giới hạn quyền truy nhập vào tài nguyên của mạng bằng cách giữ tài nguyên mạng sau một cánh của bị khóa. Bảo mật mức vật lý giúp bảo vệ mạng khỏi những lỗi vô ý về các thiết bị mạng bởi người dùng không hiểu biết về mạng hay các hacker và các đối thủ cố ý phá hoại hay thay đổi cấu hình thiết bị.
Phụ thuộc vào mức độ bảo vệ, bảo mật mức vật lý có thể bảo vệ mạng khỏi các nguy cơ như: Bom, phóng xạ .... các thảm họa như: bão, lụt, động đất.
Phụ thuộc vào từng mạng mà bảo mật mức vật lý cần lắp đặt giúp bảo vệ router ở lớp core, các điểm biên, cáp, modem, server, host, backup storage ... đảm bảo các thiết bị trong phòng máy có bảo vệ và chìa khóa mới vào được. Phòng máy phải được trang bị các thiết bị như nguồn, chuông báo động, báo cháy, hệ thống cứu hỏa.
Để tránh trường hợp bị động đất và gió bão to, thiết bị nên được đặt trên các rack gắn trên tường hoặc trần nhà.
Bảo mật mức vật lý là một yờu cầu rừ ràng nờn dễ bị bỏ qua trong quỏ trỡnh lập kế hoạch nhưng không được phép xem nhẹ nó hơn các cơ chế bảo mật khác.
b. Bảo mật mức cho mô hình mạng
` Các chính sách bảo mật thực hiện trên các thiết bị mạng nhằm thực thi các chính sách về quản lý các luồng lưu lượng trong hệ thống truyền qua mô hình mạng. Thực thi các chính sách này thông qua các thiết bị mạng router là switch được thiết lập các luật thực hiện điều khiển và giám sát luồng lưu lượng.
Các chính sách thực hiện trên mô hình thường mang tính tổng quan nhằm bảo vệ các gói tin của những ứng dụng dịch vụ nhậy cảm trong hệ thống, phương thức thực hiện trên các router và switch có thể thông qua Access-list hoặc sử dụng các firewall.
Các chính sách bảo mật trên mức mô hình mạng có khả năng phân quyền truy xuất cho các dải địa chỉ và nhóm người dùng. Việc phân quyền và cấp quyền truy xuất cho các nhóm người dùng và các dải địa chỉ có thể được thực hiện thông qua nhiều phương thức khác nhau như: thực hiện nhận thực và phân quyền thông qua AAA server, thực hiện đồng bộ với các account trên các server Domain Controller, hay thực hiện xác thực và phân quyền bảo mật cho các nhóm người dùng thông qua các account local trên các thiết bị mạng.
Các chính sách bảo mật cho hệ thống theo mô hình phải được thực hiện theo quy hoạch kỹ lưỡng luồng lưu lượng và độ quan trong của các luồng lưu lượng.
c. Các phương thức bảo mật mức ứng dụng
Xác thực (Authentication)
Xỏc thực chỉ rừ ai đang yờu cầu sử dụng dịch vụ mạng, xỏc thực chỉ rừ người dùng, cũng có thể là các thiết bị và phần mềm. Hầu hết các chính sách bảo mật chỉ ra rằng kẻ đăng nhập vào một mạng và sử dụng các tài nguyên mạng, một user phải gừ tài khoản đăng nhập và password được xỏc thực bởi một security server.
Để tối đa tính bảo mật sử dụng one-time password với hệ thống one-time pass, password của người dùng nên thay đổi. Quá trình này thường đi kèm với một thẻ bảo mật (security card) gọi là smart card. Một security card là một thiết bị vật lý mà
người dựng phải gừ vào số nhận dạng cỏ nhõn (PIN) trờn thẻ. Mó PIN là mức bảo mật đầu tiên chỉ đơn giản cho phép người dùng được sử dụng card. Card này cung cấp password sử dụng một lần dùng để đăng nhập vào mạng trong một khoảng thời gian hữu hạn. Password được đồng bộ với hệ thống bảo mật trên server đặt trong mạng. Security card thườn được sử dụng bởi người dùng di động.
Nhiều hệ thống sử dụng quá trình xác thực sử dụng 2 yếu tố nhận thực đòi hỏi người dùng phải có hai yếu tố nhận thực như: security card và Password.
Phân quyền (Authorization)
Quỏ trỡnh xỏc thực chỉ rừ ai được phộp truy nhập vào tài nguyờn mạng thỡ quỏ trỡnh phõn quyền (authorization) chỉ rừ rằng người dựng được phộp làm những gỡ sau khi được phép truy nhập vào tài nguyên mạng.
Quá trình phân quyền được thay đỏi từ người này sang người khác, phục thuộc một phần vào tính chất công việc của người dùng.
Các chuyên gia bảo mật khuyến cáo rằng: Nên sử dụng nguyên tắc tối thiểu quyền (principle of least privilige) trong quá trình cấp phép. Do đó một cơ chế phân quyền sẽ cấp quyền cho người dùng một cách tối thiểu mức cần thiết. Liệt kê các quyền cho mỗi user đăng nhập vào từng tài nguyên rất khó do đó phải sử dụng các kỹ thuật làm đơn giản quá trình. Ví dụ: người quản lý có thể tạo ra một nhóm các users với các quyền giống nhau.
Thông kê (Auditing – Accounting)
Thu thập dữ liệu cần thiết cho quá trình phân tích mạng một cách hiệu quả để có thể đưa ra một chính sách bảo mật tốt. Quá trình này gọi là accouting hay auditing.
Đối với các mạng có cơ chế bảo mật chặt chẽ, quá trình thống kê dữ liệu nên bao gồm quá trình nhận thực và cấp phép cho người dùng. Dữ liệu thu thập bao gồm, user/hostname cho quá trình đăng nhập và thoát khỏi hệ thống, các quyền truy nhập trước đó cũng như các quyền mới. Tuy nhiên, quá trình thống kê dữ liệu
không nên thu thập password vì nếu quá trình đăng nhập sai, dữ liệu sai có thể được thu thập.
Mã hóa dữ liệu
Các công cụ mã hóa thực hiện mã dữ liệu trước khi truyền chúng vào trong mạng, một thiết bị khác sẽ thực hiện giải mã dữ liệu trước khi đưa vào ứng dụng.
Một router, server, end-system hay một thiết bị dành riêng có thể thực hiện việc mã hóa hay giải mã dữ liệu. Dữ liệu mã hóa được gọi là ciphered data (hay encrypted data). Dữ liệu chưa được mã hóa được gọi là plain text hay clear text.
Mã hóa rất có ích cho bảo mật dữ liệu. Nó cũng được sử dụng để xác định người gửi dữ liệu. Quá trình mã hóa dữ liệu gồm có hai phần:
- Thuật toán mã hóa: cho biết cách mã hóa và giải mã dữ liệu
- Khóa mã hóa: là loại mã được sử dụng bởi thuật toán để mã hóa và giải mã dữ liệu.
Public/Private Key Encryption
Public / Private Key Encryption là một ví dụ điển hình về hệ thống mã hóa bất đối xứng, trong đó bên gửi dữ liệu có public key để thực hiện mã hóa dữ liệu và gửi đi.
Bên nhận sẽ sử dụng private key để thực hiện giải mã dữ liệu. Do không có thiết bị nào khác có private key ngoài thiết bị ngoài bên nhận có private key nên khả năng bảo mật được duy trì ở mức cao.
Cũng có thể thực hiện mã hóa dữ liệu theo chiều ngược lại, bên gửi mã hóa dữ liệu bằng private key còn bên nhận sẽ sử dụng public key để thực hiện giải mã dữ liệu.
Lọc gói tin (Packet filter)
Lọc gói tin có thể được thực hiện trên router, firewall, và server cho phép từ chối các gói tin đến một đích hoặc dịch vụ nào đó. Lọc gói tin có thể thực hiện dựa trên việc xác thực hoặc cho phép. Cho phép bảo về gói tin khỏi những đăng nhập
trái phép vào hệ thống nhằm phá hoại, lấy cắp thông tin hoặc tấn công DoS (Deny of Service)
Lọc gói tin có thể được thực hiện theo một trong 2 cách sau:
- Từ chối các loại gói tin đặc biệt và chấp nhận tất cả các gói tin còn lại - Chấp nhận tất cả các gói tin đặc biệt và lọc tất cả các gói tin còn lại.
Cách thứ nhất yêu cầu phải biết được đầy đủ các mối đe dọa cho mạng. Cách thứ hai dễ thực thi hơn và bảo mật hơn vì người quản trị không cần đoán xem các mối đe dọa để xác định gói tin nào nên bị từ chối. Để làm tốt được theo cách thứ hai đũi hỏi phải nắm rừ cỏc yờu cầu về mạng, nờn làm việc với người quản trị để biết rừ các gói tin nào được phép đăng nhập vào các nguồn tài nguyên nào.
Firewall
Firewall là một thiết bị đưa ra có chế bảo mật ở biên giữa hai hay nhiều mạng.
Một firewall có thể là một router có ACL, một dedicated hardware box hay phần mềm chạy trên các máy Pc hoặc Unix. Firewall đặc biệt quan trọng trong khu vực giữa enterprise network và Internet.
Một firewall đưa ra các luật xác định lưu lượng nào được phép hay từ chối, một static packet filter firewall xem xét từng gói tin, loại firewall này được đề cao về tốc đồ xử lý và sự đơn giản của cấu hình.
Một state-full firewall có thể kiểm tra từng phiên kết nối và cho phép hay từ chối các gói tin một cách thông minh.
Một firewall nữa là proxy firewall. Đây là loại firewall mới nhất nhwung ít phổ biến nhất. Một proxy firewall đóng vai trò trung gian giữa các host, chặn một số hoặc toàn bộ các lưu lượng giữa các client cục bộ và server bên ngoài. Proxy có thể chặn các gói tin với tính chất phá hoại cũng như những nội dung không được phép.
Hệ thống phát hiện xâm nhập (Intrution Detection System – IDS)
Một hệ thống phát hiện xâm nhập (IDS) có khả năng dò tìm các xâm phạm trái phép và thông báo cho người quản trị băng các email, báo cáo hay thoát khỏi hệ thống. IDS cũng có cơ chế đưa ra các phân tích mang tính thống kê các phân tích bất thường. Một sô IDS có thể báo cáo về cơ sở dữ liệu với các thông tin liên quan thu thập được từ nhiều server cho phép người quản trị có một cái nhìn tổng quan về hệ thống bảo mật theo thời gian thực của một mạng. Một số hệ thống tiên tiến IDS còn có thể tự động chặn được các lưu lượng theo các luật trên firewall nhưng đặc tính này hơi nguy hiểm vì nó có thể bị hacker thâm nhập vào IDS và thay đổi cấu hình firewall.