Phân mạng bảo vệ

Một phần của tài liệu Nghiên cứu xây dựng hệ thống mạng truy cập Internet băng rộng qua hạ tầng mạng truyền hình cáp (Trang 55)

a) F ire w a ll: Dứng làm gateway bảo vệ mạng của ISP với Internet, chống lại

các cuộc tấn công xâm phạm bất hợp pháp từ Internet cùng như kiêm soát

việc sử dụng Internet cùa người dùng trong mạng và nội bộ nhà cung cấp dịch

Firewall có nhiệm vụ ngăn cách và bảo vệ phần mans, 1SP với m ạnc Internet toàn cầu và cả các cuộc tấn công xuất phát từ trong mạng cua ISP. Nỏ làm nhiệm vụ đàm bảo an ninh, an toàn thông tin trao đổi giữa mạng Internet toàn cầu và mạng Internet ISP. Do kiến trúc và vị trí của Firewall, lưu lượng thông tin trao đôi qua đày là rất lớn. Vì vậy việc lựa chọn yêu cầu kỹ thuật đối với Firewall phải gan kết chặt chẽ với việc lựa chọn kiến trúc Firewall cho phù

hợp. Khi muốn đáp ứng được độ an toàn cao thì càna đòi hỏi khâ năng xử lý của CPU của Firewall, có thể kết hợp cả Firewall bằng phần cứng ví dụ như PIX của Cisco hoặc thiết bị của hãng Netscreen.

Đối với mạng ISP được thiết kế tại đây. Firewall sẽ hoạt động dưới kiến trúc thanh tra trạng thái đầy đù (statefulI inspection). Khi đó tất cá các

gói tin IP khi di qua Firewall sẽ được giám sát chặt chẽ và ghi nhật ký đầy đủ. Để tránh tình trạng tắc nghẽn, hệ thống Firewall dược tổ chức bao gồm nhiều

thiết bị Firewall bàng phần cứng hoặc nhiều máy chủ (Firewall bằng phần m ềm) chạy song song nhàm nâng cao năng lực xử lý, tăng độ sẵn sàng và tin cậy cho hệ thống.

+ Phần cứng: c ấ u hình tối thiểu dự kiến cùa hệ thống Firewall :

- Có 02 CPU công nghệ RISC.

- Có 04 X 18 Gbyte ổ cứng (HDD).

- Có 04 giao tiếp GE.

- Có Bộ nhớ trong (RAM ) ít nhất là 1Gbyte. + Phần mềm F ire w a ll:

Phan mềm Firewall phải đáp ứng được các yêu cầu về kiểm tra, kiểm

soát theo quy định cùa các cơ quan hữu trách, đảm bảo an ninh, an toàn mạng trước các hiếm hoạ tấn công. Đây là một nhiệm vụ không nhó và là yêu tô

quyết định sự thành công hay thất bại của toàn mạng.

- Công nghệ Statelull ínspcction (thanh soát trạng thái đầ> dữ).

- Có khả năng ngăn chặn, phân quyền truy cập theo sự kết hợp của nhiều yếu tố: theo host, theo dịch vụ, theo người truv nhập, theo từng nhóm URL, nhóm địa chỉ email.

- Có khả năna ghi nhật ký toàn bộ quv trình truy nhập tài nguvên trên Internet một cách cẩn thiết.

- Kết nối tới CSDL người dùng. - Khả năng chuyển đổi địa chỉ (NAT).

- Mã hoá theo nhiều thuật toán phổ biến.

HỒ trợ VPN. neăn chặn các kiểu tấn cône như DOS. D D O S ....

b) H ệ íltống p h á t lìiện và phòng vệ sớm I D S :

Hệ thống giám sát các hoạt động trên mạng và phát hiện các biểu hiện nghi vấn (IDS - Intruder Detection System) đã được phát triển tương đối mạnh trong thời gian gần đây. Nguyên lý hoạt động cùa các hệ thống này là chuyển card giao tiếp mạng vào một chế độ đặc biệt, cho phép nó nhận tât cả

các gói tin được truyền trên hệ thống dây mạng, kể cả những gói tin không nham địa chi đích là hệ thốne, giám sát. Thông qua việc phân tích các gói tin thu nhận được, so sánh với những dấu hiệu đặc trưng của các biện pháp tấn

công hệ thống mạng, hệ thốnc giám sát ỈDS có thể phát hiện dược các cuộc tấn công hệ thống mạng khi chúng đang diễn ra, và tùy theo chính sách cùa

người quản trị mà tiến hành các biện pháp thích hợp như cảnh báo, gây nhiễu hoặc cắt đứt các phiên làm việc thù địch.

Các hệ thống giám sát mạng cũng cung cấp khả năng quan sát các

phiên làm việc dã hoặc đang diền ra, giúp người quán trị mạng xác định chính xác nhữne, thông tin được gửi/nhận từ hệ thống mạng.

Cấu hình tối thiểu dự kiến: - 01 CPU công nghệ RISC.

- 02 X 18 GB HDD. - 01 giao tiếp FE. (adsbygoogle = window.adsbygoogle || []).push({});

- 512MB RAM.

c) An ninh và bảo mật mạng lưới

Đẻ bảo vệ hệ thống và bảo vệ người sử dụng khỏi các tấn công của tin tặc. mặt khác đê đảm bảo an ninh quốc gia, ISP phải được trang bị tối da các cône cụ nhàm thực hiện các công việc theo dõi kiểm tra để nhàm loại trừ, hạn chế những rủi ro từ những hiểm họa đe doạ hệ thống, mạng và dịch vụ:

/. Những hiêrn họa mức hệ thung:

- Những truy nhập hệ thống bất hợp pháp do lồi bất cẩn của người sử dụng, do lỗi cùa hệ điều hành.

- Lỗi trone, cơ chế xác thực, quản lý truy nhập. - Lồi trone các eiao thức.

- Rò rỉ thông tin người sử d ụ n g ....

//. Những hiểm họa mức mạng:

- Ping o f Death: dùng giao thức ICMP liên tục gửi các gói dữ liệu lớn làm nghẽn dường truyền và quá tải xử lý của giao tiếp mạng, CPU.

- Gia mạo địa chi IP (IP Spooling).

- Bắt cóc phiên (Session Hijacking).

- Già yêu cầu thiết lập kết nối: tấn công bằng gửi một lượng lớn các gỏi yêu cầu đồng bộ SYN.

- Tấn công phân đoạn IP.

- Tấn công bàng cách lừa máy chủ tự trao đổi với chính m ình.... ///. Những hiêm họa mức dịch vụ:

- Hiểm hoạ dịch vụ thư điện tử, tấn công bằng giao thức không có cơ chế

- Hiểm hoạ dịch vụ Web: thay đổi số liệu Web trên trang Web tương ứng hoặc truy nhập vào hệ điều hành của máy chủ phục vụ Web.

- Hiểm hoạ dịch vụ lelnet, I I P . . . .

- Từ chối dịch vụ (DOS. DDOS): tấn côna bàng cách kích hoạt nhiều máy đồne, thời yêu cầu dịch vụ của máy chủ khiến cho máy chủ này bị quá tải.

* Nguyên tắc ứng phó.

i. Kiểm soát quyền truy cập:

Là một lớp bảo vệ trong cùng, nhàm kiểm soát các tài nguyên của mạne. và quyền hạn thao tác trên các tài nguyên đó. Việc kiểm soát cấu trúc dừ liệu càng chi tiết càng tốt. Hiện nay việc kiểm soát thường ở múc tệp (file).

//. Kiếm soát tầng mạng:

Chu yếu dựa trên những tính nãne an toàn an ninh cua Router va Firewall.

///. Kiêm soát tầng ímg dụng:

- Ngăn chặn các Website bị cấm bàng cách lọc URL cũng như cấm hẳn truy nhập vào các máy khôns dược phép này nhờ Firewall và Proxy Server. - Naăn chặn, xem xét nội dung (nếu cần) của các thư trao đổi với các địa chỉ

cấm nhờ tính năng lọc cùa Mail Server cho phép Xoá, Sao chép thông qua tiêu đề, nội dung thư.

- Theo dõi trực tiếp cũng như lịch sử truy cập của từng người dùng qua khả

năng xem nhật ký cua Hrewall.

- Theo dõi phiên làm việc cùa một người sử dụng khi các cơ quan an ninh

có nhu cầu giám sát đặc biệt. (adsbygoogle = window.adsbygoogle || []).push({});

d) Phư on g án quản lý và giám sát mạng lưới và dịch vụ.

Lọc gỏi: các gói dữ liệu khi truyền qua mạne sẽ được xác đinh địa chỉ IP nơi xuất phát và đích đến. Dựa trên thông tin này hệ thống sẽ quyết định cho phép hay từ chối việc chuyển tiếp gói dữ liệu đó đi hay không. Việc lọc

RÓi được thực hiện trên cà Router và Firewall dể neăn chặn mọi truy nhập đến từ một máy trên Internet, chống việc tẩn công kiểu Pine o f Death.

Chống giả mạo 1P bàng tính năng chỉ dịnh IP của gói theo giao diện card mạng (chỉ chấp nhận nhừne, IP nào đến từ giao diện nào). Tính năng này có trên hầu hết các thiết bị mạng như Firewall, Switch. ..

Ket hợp giữa lọc gói và công nghệ ihanh tra irạng ihai dau du chu phep xem xét cả nội du n a thông tin cùa gói để quyết dịnh có cho gói tiếp tục tồn tại trên mạng hay không. Tính năng này thường dược thực hiện trên Firewall.

Firewall cho phép lưu lại toàn bộ quá trình các gói tin đi qua mạng và báo dộng ngay cho người quản trị mạne dưới nhiều hình thức, do đó mọi truy nhập mạng bất hợp pháp sẽ bị neăn chặn kịp thời, bào vệ an ninh tuyệt đối

cho các máy chủ.

* Giám sát và tlieo dõi m ức m ọng:

+ Quàn lý xác thực truy nhập

- Việc quan lý iruy nhập sẽ thực hiện thông qua Access Server va qua Firewall với ne,ười sử dụng mạng LAN. AAA Server sẽ giúp cho việc xác thực, tính cước và cấp quyền được thuận lợi.

- Hệ thống này cũng cho phép giới hạn quyền truy nhập theo từng cấu hình với các hạn chế về thời RÌan, thời điểm truy nhập và các tài nguyên dược sử dụng.

+ Quàn lý và kiểm soát thẩm quyền

- Sau khi đăng ký sử dụng dịch vụ Internet, người dùng sẽ đăng ký sử dụng

các dịch vụ cụ thể. Các thông tin này sẽ được cập nhật tại máy chủ quân lý dịch vụ. Khi người dùng kết nối vào mạng và cỏ yêu câu sư dụng dịch vụ,

các máy chủ này sẽ liên kết với máy chủ quản lý người dùng để quyết định xem có cho phép người dùng kết nối dịch vụ hay không.

* Giám sát và theo dõi m ức ứng (tụng: + D ịch vụ Web

- Thông qua dịch vụ này. người sử dụne mạng Internet có thể tiếp cận một lượnc dừ liệu khổne lồ trên thế giới. Đối với dịch vụ này, ta có thể ngăn chặn những truy cập vào những website có nội dung xâu thông qua việc sử dụng Proxy, Firewall tạo ra các tầng lớp ngăn chặn tuân theo cơ chế cấm hẳn truy nhập theo địa chỉ IP hoặc theo URL.

- Việc ngăn chặn các website cần phải có sự phối hợp chặt chẽ với các cơ quan an ninh để liên tục cập nhật danh sách nsăn chặn do tính hiến động liên tục cả về nội dung lẫn vị trí các website trên thế giới.

+ D ịch vụ thư điện tử E-m aiỉ và truyền tệp

- Đây là dịch vụ phổ thông nhất trên Internet, được s ử dụng rất rộng rãi. Mọi rmười tham gia kết nổi với mạng Internet toàn cầu đều có khả năng gưi/nhận thư điện tư cùng như trao đôi thông tin với nhau một cách nhanh chóng và hiệu quả. Chính vì tính phổ cập và tiện dụng của dịch vụ này, các

lỗ hổng về an ninh và an toàn mạne, rất dỗ bị lợi dụng vào các mục đích như tuyên truyền phản động, quàng cáo độc hại, các bí mật quốc gia, quân sự. kinh tế cũne dễ bị rò rì. Do đó cần thiết phải thiết lập các cơ ché giám sát chặt chẽ nội dung thông tin trao đổi qua mạng.

- Các mail server mạnh hiện nay đã có tính năng hỗ trợ rất nhiều cho việc

này. Có thể xem xét tiêu đề (nơi gửi, nơi nhận...) cũng như nội dung thư

mà quyết định hành động phải làm tiếp theo (huỷ bỏ, copy tới địa chỉ khác...). Ngoài ra có thỏ ngăn chặn tiêu cực băng cách câm hăn những

Domain thư độc hại qua tính năng cấm cả mạng Domain của Firewall. Danh sách cấm này cũng liên tục được cập nhật theo yêu cầu của cơ quan an ninh hay người quản trị mạng.

- Hiện nay trên Internet có rất nhiều Mail Server cho phép dùng miễn phí, do vậy việc ngăn cấm các thông tin độc hại gửi đến/đi từ những địa chì thư này là rất khó khăn. Bên cạnh tính năne lọc cùa Mail Server phải kết hợp

với việc thanh tra giao thức của Firewall đế ngăn chặn. + Các dịch vụ Internet khóc

- Với nhu cầu sử dụng Internet như hiện nay cộng với số lượng các dịch vụ mới trên mạng ngày càng nhiều, việc quàn lý sử dụng cũng như quản lý

thông tin trên các dịch vụ dòi hỏi các nhà IXP và ISP phải liên tục nâng

cao. (adsbygoogle = window.adsbygoogle || []).push({});

- Các dịch vụ như Chat, Forum, Mailling List, WebCall... phải dược giám sát chặt chẽ. Các thông tin nhạy cảm (như các thông tin mật, thông tin quản trị...) phải được mã hoá trên đường truyền.

e) Giải p há p theo dõi và đảm bảo an ninh thông tin

+ Giảm sát s ử dụng dịch vụ :

Cung cấp đầy đủ các thông tin về việc khai thác dịch vụ của người sử

dụns. Phối hợp chặt chẽ về quy trình đăng ký, sử dụng dịch vụ để có đầy đù thông tin về người sử dụng, việc đăng ký sừ dụng cá nhân khi cần.

Các thông tin đầy đù về người dùng, các dịch vụ đăng ký sừ dụng, xu hướng cùng tần xuất sử dụng được thống kê và lưu trữ đầu đủ, đồng thời cũng giữ bí mật tuyệt đối các thông tin này cho người dùng, chỉ sử dụng khi có yêu cầu của các cơ quan an ninh.

Các địa chì email, các Website, địa chì FTP, Telnet... bị cấm sẽ liên tục được cập nhật theo yêu cầu cùa các cơ quan an ninh. Việc truy nhập vào các

địa chỉ này sẽ bị module thanh tra kiểm soát và ngắt tức thời, đồng thời có lưu

lại sự kiện và cành báo với quản trị. Chức năng này thường được thực hiện bàng các sản phâm Firewall và các cơ quan an ninh có thê theo dõi, phân tích

+ Can th iệp:

Tạo các khả nărm can thiệp, theo dõi từng người sử dụns. từne phiên làm việc, từng dịch vụ khi có yêu cầu.

Danh sách các địa chi email cần kiểm soát được cập nhật vào Mail

Server. Thư tới và đi từ các địa chỉ này sẽ bị kiểm soát: có thể bị loại bò, chuyển hưởng hoặc eop> tói mội dịa chi khúc dẻ XC111 \é i. Dicu nà) clio phcp quàn lý, eiám sát không chi dịa chỉ tiêu đề mà cả nội du n a thư và không bị giới hạn sổ lượng, địa chỉ email cần theo dõi.

Trước khi chuyển bất cứ thư nào đi hoặc nhận được thư trước khi trà về

hòm thư của người nhận. Mail Server đều so sánh với các luật trong danh sách định trước để quyết định hành động tiếp theo.

Các Domain có nhiều địa chỉ chuyển/aửi thư độc hại cũng được cập nhật vào Firewall để cấm tiêu cực khi thấy cần thiết và giảm lưu lượng trên mạng.

Danh sách các dịa chi Website, 1- IP, leinet, Chat, v.v... càn kiem soat phải được cập nhật vào Firewall, các truy nhập vào địa chi' này thường bị huỷ bỏ hay có yêu cầu chứng thực, chỉ những người được phép mới cỏ thể tiếp tục kết nối.

Neoài Firewall, máv chù Proxy nhận chức nñne UV quyền để truy nhâp ra ngoài Internet cũng đảm nhận luôn cả việc kiểm tra, so sánh địa chỉ cân kết

nổi với danh sách các địa chỉ cấm. Điều này không chỉ làm tăng băng thông hữu dụng cho mạng mà còn tăng độ sâu của tầng Firewall và chia tải làm việc với Firewall.

Các dịch vụ trao đôi thông tin côna cộng như Chat, Forum... đêu được

kiểm soát bởi quản trị mạng; ngừng ngay phiên kết nổi và từ chối cung cấp dịch vụ với những người gây rối.

Một phần của tài liệu Nghiên cứu xây dựng hệ thống mạng truy cập Internet băng rộng qua hạ tầng mạng truyền hình cáp (Trang 55)

(72 trang)