Quan điểm xõy dựng chớnh sỏch bảo mật
Quan điểm của chỳng tụi trong vấn đề an ninh mạng là:
1. An ninh mạng là một tiến trỡnh lặp đi lặp lại, bao gồm cỏc bƣớc xoay vũng nhƣ sau:
2. Xỏc định cỏc đối tƣợng cần đƣợc bảo vệ (mỏy chủ, cỏc tài nguyờn, cỏc ứng dụng, cỏc thiết bị mạng, mỏy trạm, ngƣời dựng,. v. v. ).
3. Xỏc định cỏc hiểm họa cú thể gõy nờn cho mạng và hệ thống.
4. Thiết lập chớnh sỏch an ninh cho mạng, bao gồm cỏc nhà lónh đạo, quản lý và tin học, quản trị mạng và ngƣời dựng.
5. Thiết lập cỏc chớnh sỏch an ninh mạng bằng cỏc phƣơng phỏp điện tử và hành chớnh. Cỏc phƣơng phỏp điện tử bao gồm: thiết kế quy hoạch lại mạng, Firewall, VPN, IDS, ACS và quản trị an ninh mạng.
6. Theo dừi an ninh mạng và phản ứng lại cỏc biểu hiện bất thƣờng. 7. Kiểm tra lại chớnh sỏch an ninh và cỏc thiết bị an ninh mạng để đỏp ứng
lại cỏc thay đổi.
8. Tiếp tục theo dừi và quản lý an ninh mạng, thay đổi chớnh sỏch an ninh và cấu hỡnh cỏc thiết bị an ninh mạng để phự hợp với ngữ cảnh an ninh mới.
Nguyờn lý xõy dựng chớnh sỏch bảo mật
An ninh mạng phải đƣợc thiết lập dựa trờn nguyờn tắc
Bảo vệ cú chiều sõu (defense in depth): Hệ thống phải đƣợc bảo vệ theo chiều sõu, phõn thành nhiều tầng và tỏch thành nhiều lớp khỏc nhau. Mỗi tầng và lớp đú sẽ đƣợc thực hiện cỏc chớnh sỏch bảo mật hay ngăn chặn khỏc nhau. Mặt khỏc cũng là để phũng ngừa khi một tầng hay một lớp nào đú bị xõm nhập thỡ xõm nhập trỏi phộp đú chỉ bú hẹp trong tầng hoặc lớp đú thụi và khụng thể ảnh hƣởng sang cỏc tầng hay lớp khỏc. Sử dụng nhiều cụng nghệ khỏc nhau: Khụng nờn tin cậy vào chỉ một
cụng nghệ hay sản phẩm cụng nghệ bảo đảm an ninh cho mạng của một hóng nào đú. Bởi nếu nhƣ sản phẩm của hóng đú bị hacker tỡm ra lỗ hổng thỡ dễ dàng cỏc sản phẩm tƣơng tự của hóng đú trong mạng cũng sẽ bị xuyờn qua và việc phõn tầng, phõn lớp trong chớnh sỏch phũng vệ là vụ nghĩa. Vỡ vậy khi tiến hành phõn tầng, tỏch lớp, nờn sử dụng nhiều sản phẩm cụng nghệ của nhiều hóng khỏc nhau để hạn chế nhƣợc điểm trờn. Đồng thời sử dụng nhiều cộng nghệ và giải phỏp bảo mật kết hợp để tăng cƣờng sức mạnh hệ thống phũng vệ nhƣ phối hợp Firewall làm cụng cụ ngăn chặn trực tiếp, IDS/IPS làm cụng cụ "đỏnh hơi", phản ứng phũng vệ chủ động, Anti-virus để lọc virus...
3. 4. 3. Đề xuất phƣơng ỏn thiết kế hệ thống bảo mật tại Liễu Giai
Sau khi khảo sỏt và phõn tớch hiện trang hệ thống an ninh mạng của MB và căn cứ trờn nguyờn tắc thiết kế bảo mật, chỳng tụi đề xuất giải phỏp an ninh cho hệ
thống mạng của MB tại hội sở Liễu Giai – Hà Nội nhƣ sau:
Đặt một firewall tại lớp ngoài với chức năng ngăn chặn khả năng tấn cụng hoặc truy cập trỏi phộp từ bờn ngoài vào hệ thống.
Đặt một firewall tại lớp trong với mục đớch bảo vệ 2 vựng mỏy chủ ở bờn trong.
Đặt một thiết bị ngăn chặn sự xõm nhập (IPS), tấn cụng vào vựng server2 quan trọng bao gồm database server, application server... Ngoài ra với phần kết nối internet, chỳng tụi đề xuất sử dụng một
internet router chuyờn dụng, kiểm soỏt truy cập vào internet và phỏt hiện và chống lại những cuộc tấn cụng từ internet
3. 4. 3. 1 Bảo mật kết nối Internet- Sử dụng thiết bị Cisco 2811 Security Bundle
Về cơ bản, Internet Router cú vai trũ chớnh là cung cấp kết nối đến cỏc dịch vụ Internet cho ngƣời dựng bờn trong mạng của MB. Tuy nhiờn, nhằm tăng cƣờng khả năng bảo mật cho hệ thống ngay tại điểm ra Internet và giảm thiểu nguy cơ cỏc cuộc tấn cụng cơ bản nhất, chỳng tụi đề xuất triển khai một số biện phỏp bảo mật ngay tại Internet Router nhƣ:
1. Kiểm soỏt truy cập trỏi phộp thụng qua cơ chế lọc cơ bản (ACL) đối với cỏc địa chỉ và dịch vụ IP.
2. Chống giả mạo IP với cơ chế lọc RFC 2827 và RFC 1918.
Để đỏp ứng cỏc mục tiờu tăng cƣờng kiểm soỏt bảo mật ở trờn, đồng thời dựa trờn sự phỏt triển của hệ thống mạng MB trong giai đoạn này, Internet Router đƣợc đề xuất là Cisco 2811 Security Bundle hỗ trợ phần mềm Cisco IOS Advanced IP Services Image – bao gồm tập cỏc chức năng IP Base, và cỏc chức năng bảo mật cao cấp khỏc nhƣ Cisco IOS Firewall, Intrusion Detection System (IDS), Secure Shell (SSHv1), và cỏc cụng nghệ mó húa DES và 3DES.
Về mặt kết nối logic, Cisco router 2811 đƣợc đặt trƣớc thiết bị Firewall mà tỏch biệt toàn bộ mạng nội bộ MB với mạng ngoài – Internet, thuộc cựng một VLAN riờng đƣợc tạo bởi Cisco Catalyst 4500. Về mặt kết nối vật lý, Cisco router 2811 và Firewall đƣợc kết nối đến Cisco Catalyst 4500 thụng qua cỏc giao tiếp Fast Ethernet.
3. 4. 3. 2. Bảo mật vựng LAN lớp ngoài- Sử dụng thiết bị Cisco ASA 5520 Security Appliances
Nếu Internet Router – Cisco 2811 Security Bundle cung cấp truy cập Internet và ngăn chặn cỏc dạng tấn cụng cơ bản, thỡ Internet Firewall là thiết bị giữ vai trũ quan trọng trong việc bảo vệ an ninh tại phớa rỡa mạng MB. Internet Firewall chịu trỏch nhiệm:
1. Tạo và tỏch biệt cỏc vựng mạng (Zones) của MB theo cỏc cấp độ an ninh khỏc nhau.
2. Ngăn chặn lƣu thụng trỏi phộp, kiểm soỏt và giỏm sỏt cỏc luồng lƣu thụng theo đỳng mục đớch và ý muốn hƣớng vào và hƣớng ra giữa cỏc vựng mạng của MB theo một chớnh sỏch an ninh cụ thể.
Để cú khả năng kiểm soỏt và xử lý toàn bộ luồng lƣu thụng tại rỡa mạng MB, Internet Firewall đƣợc đề xuất là Cisco ASA 5520 Firewall cú hiệu năng cao, thụng lƣợng lờn tới 450 Mbps, 4 giao tiếp Gigabit Ethernet và 1 Fast Ethernet, hỗ trợ khả năng hoạt động ở mức sẵn sàng cao nhƣ Active/Active and Active/Standby và hỗ trợ mó húa 3DES/AES
Hỡnh 3.7: Firewall bảo vệ lớp ngoài
Về mặt kết nối logic, Cisco ASA 5520 Firewall tạo ra cỏc vựng mạng tại cỏc giao tiếp trờn Firewall, tạm đặt tờn là Inside, Inside1 (mạng WAN của MB), Outside, và DMZ. Cỏc giao tiếp thuộc mỗi vũng sẽ nằm trong một VLAN riờng biệt đƣợc tạo bởi Cisco Catalyst 4500. (Khuyến nghị MB sử dụng cỏc Switch độc lập thay vỡ tạo cỏc VLAN trờn cựng một Switch dựng chung). Về mặt kết nối vật lý, giao tiếp Fast Ethernet trờn Cisco ASA 5520 Firewall là giao tiếp Outside, nằm trong cựng VLAN với Cisco router 2811. Cỏc giao tiếp 4 Gigabit Ethernet cũn lại là cỏc giao tiếp Inside, Inside1 và DMZ, tƣơng ứng thuộc cỏc vựng MB campus, MB
WAN, và DMZ. Tất cả cỏc giao tiếp này đƣợc kết nối vật lý đến Cisco Catalyst 4500 thụng qua cỏc cổng Gigabit Ethernet hoặc Fast Ethernet sẵn cú.
3. 4. 3. 3. Bảo mật vựng LAN lớp trong- Sử dụng thiết bị Nokia IP560
Trong hệ thống mạng, vựng mỏy chủ vụ cựng quan trọng. Vựng mỏy chủ phục vụ cỏc ứng dụng, nơi lƣu trữ cỏc nguồn tài nguyờn. Vỡ vậy cần kiểm soỏt truy cập vào vựng mỏy chủ từ cỏc vựng khỏc để trỏnh mất tài nguyờn, tài nguyờn bị lạm dụng,
Giải phỏp đề xuất
Để bảo về truy cập giữa vựng mỏy chủ và cỏc vựng mạng LAN user của MB, chỳng tụi đề xuất sử dụng Nokia IP560 chạy phần mềm firewall Checkpoint Power nổi tiếng với cỏc tớnh năng cũng nhƣ cỏc yếu tố kỹ thuật đỏp ứng tốt cho cỏc yờu cầu bảo vệ vựng server.
Nokia IP560 với hiệu năng cao, hỗ trợ tốt cỏc yờu cầu phức tạm và tinh vi về lƣu lƣợng cũng nhƣ cỏc dịch vụ mạng. Nú chuyờn dụng cho việc bảo vệ truy cập giữa cỏc vựng trong mạng WAN.
Nokia IP560 lý tƣởng cho cỏc ứng dụng cho cỏc doanh nghiệp lớn và cỏc trung tõm dữ liệu cú mức khả dụng cao ở mức chi phớ trung bỡnh. No đƣa ra cỏc lựa chọn phần cứng dự phũng và tớnh khả dụng cao về hệ thống theo Nokia VRRP hoặc Nokia IP clustering để đỏp ứng cỏc yờu cầu của khỏch hàng một cỏch tối đa.
Với dung lƣợng mở rộng, Nokia IP560 cú thể phục vụ vụ số cỏc phần của mạng cho cơ sở hạ tầng mạng lớn và đang tăng trƣởng lờn tới 4 kết nối 10/100 Ethernet và 16 kết nối1000 GigE. Khi kết hợp với phần mềm Checkpoint VPN-1, Nokia IP560 cung cấp:
6 Gbps thụng lƣợng firwall 58, 000 kết nối firewall/1s
7 Gbps thụng lƣợng AES256 VPN
Hỡnh 3.9: Sơ đồ bố trớ thiết bị Firewall lớp 2 Nokia IP560 trong hệ thống mạng MB
Một tớnh năng quan trọng khỏc của Nokia IP 560 bao gồm là tớnh năng mó húa on-board và tuỳ chọn cú thể thờm card mó húa đem lại hiệu năng cao hơn. Bờn cạnh đú, Nokia IP 560 hỗ trợ đồng bộ firewall cho mụi trƣờng đũi hỏi tớnh sẵn sàng cao cựng với hệ điều hành Nokia IPSO vững chắc cú giao diện web cũng nhƣ giao diện dũng lệnh. Nokia IPSO đem lại rất nhiều tớnh năng rất giỏ trị nhƣ Nokia patented IP Clustering. Hơn nữa, Nokia IP 560 cựng với Nokia IPSO hỗ trợ cỏc ứng dụng khỏc nhƣ Nokia Horizon Manager và cỏc ứng dụng mới của đối tỏc trong Developer Alliance từ Tripwire, SurfControl, Open Service… Nokia IPSO hỗ trợ một dải lớn cỏc giao thức nhƣ RADIUS client và server, TACACS+ Client…
3. 5. Giải phỏp an toàn bảo mật thụng tin trờn cỏc kết nối mạng WAN
Vấn đề bảo mật thụng tin luụn đƣợc quan tõm đối với những hệ thống mạng mà dữ liệu cú giỏ trị rất cao, đặc biệt là của những tổ chức liờn quan đến tài chớnh, ngõn hàng bởi dữ liệu của họ khụng đƣợc phộp lộ ra bờn ngoài.
3. 5. 1. Phõn tớch cỏc giải phỏp mó húa dữ liệu đƣờng truyền
Vấn đề mó húa đƣờng truyền luụn đƣợc quan tõm đối với những hệ thống mạng mà dữ liệu cú giỏ trị rất cao, đặc biệt là của những tổ chức liờn quan đến tài chớnh ngõn hàng bởi dữ liệu của họ khụng đƣợc phộp lộ ra bờn ngoài.
Hiện nay cú hai xu hƣớng sử dụng mó húa đƣờng truyền: Mó húa luồng lớp 2 sử dụng trờn đƣờng truyền và mó húa IPSec lớp 3. Hai phƣơng phỏp mó húa này đƣợc so sỏnh nhƣ sau:
Mó húa luồng lớp 2 (Link Encryption)
Khả năng linh hoạt thấp: Với việc mó húa lớp 2, cỏc thiết bị mó húa sẽ phụ thuộc vào loại đƣờng truyền và loại đúng gúi dữ liệu lớp 2 (Data-Link Encapsulation). Ngoài ra, cỏc thiết bị hai đầu phải cựng đƣợc sản xuất từ một hóng, nếu mỗi đầu kết nối là một thiết bị của một hóng khỏc nhau thỡ việc mó húa và giải mó khụng thực hiện đƣợc.
Khả năng mở rộng thấp: Do việc mó húa lớp 2 đƣợc thực hiện ở hai đầu kết nối nờn cứ mỗi khi thờm thiết bị vào mạng lại cần phải bổ sung thờm thiết bị mó húa.
Tăng thờm khả năng xảy ra sự cố: khi sử dụng mó húa lớp 2 chỳng ta phải thờm thiết bị vật lý vào mạng (2 thiết bị cho một kết nối), nhƣ vậy xỏc suất xảy ra sự cố trờn đƣờng truyền sẽ cao hơn bởi càng cú nhiều thiết bị trung gian trờn kết nối thỡ việc xảy ra sự cố sẽ nhiều hơn. Khi một đầu thiết bị gặp sự cố thỡ phải cấu hỡnh thiết bị cũn lại bằng tay để bỏ chế độ mó húa đi, khi đú kết nối mới hoạt động đƣợc. Việc này thƣờng mất thời gian và khụng hiệu quả lắm.
Khụng thực hiện đƣợc mó húa theo chớnh sỏch: Mó húa tất cả những gúi dữ liệu IP đƣợc gửi trờn đƣờng truyền.
Tốc độ mó húa và giải mó khỏ cao: Do chỉ hoạt động ở lớp 2 nờn tốc độ mó húa của thiết bị Link Encryptor núi chung là khỏ nhanh
Hỡnh 3.10: Mó hoỏ luồng lớp 2
Mó húa IPSec lớp 3
Khả năng bảo mật cực tốt: mó húa IPSec lớp 3 là việc mó húa theo tiờu chuẩn IP Security quốc tế, việc mó húa này đảm bảo đạt đƣợc những yờu cầu sau về an ninh mạng:
i. Khả năng xỏc thực (Authentication): xỏc định ngƣời gửi dữ liệu đỳng
là ngƣời đƣợc phộp gửi và ngƣời nhận dữ liệu đỳng là ngƣời đƣợc phộp nhận.
ii. Mó húa dữ liệu (Data Encryption): Đảm bảo dữ liệu đƣợc chuyển thành dạng khụng đọc đƣợc theo những thuật toỏn mó húa xỏc định nhƣ DES (56-bit), 3DES (168-bit), AES 128-bit / 192-bit / 256-bit
iii. Tớnh vẹn toàn dữ liệu (Data Integrity): Đảm bảo dữ liệu khụng bị sửa đổi trong quỏ trỡnh truyền qua mạng cụng cộng
iv. Ngăn chặn việc tỏi sử dụng dữ liệu bất hợp phỏp (Anti-replay)
Khả năng mở rộng lớn: Do IPSec là một chuẩn an ninh dữ liệu IP chung nờn đƣợc sử dụng bởi tất cả cỏc hóng cung cấp giải phỏp bảo mật, do đú việc ỏp dụng IPSec trờn những hệ thống mạng phức tạp, đa dạng về thiết bị là điều hoàn toàn khả thi.
Khả năng mó húa theo chớnh sỏch: Cho phộp thiết lập danh mục những loại traffic đƣợc mó húa và những loại traffic khụng cần mó húa. Điều này giỳp tiết kiệm năng lực xử lý của thiết bị và tăng tốc độ truyền dữ liệu.
Tốc độ mó húa: Tốc độ mó húa và giải mó tựy thuộc vào khả năng xử lý của thiết bị. Thụng thƣờng với những thiết bị cú bộ xử lý mạnh và nhiều bộ nhớ thỡ tốc độ mó húa sẽ rất nhanh. Ngoài ra ngƣời ta cú thể tăng thờm tốc độ mó húa nhờ cỏc module mó húa bằng phần cứng (Hardware-based Encryption Acceleration Module).
3. 5. 2. Đề xuất phƣơng ỏn
Sau khi phõn tớch ở trờn chỳng tụi xin đề xuất sử dụng phƣơng ỏn mó hoỏ luồng lớp 3 để bảo mật dữ liệu trờn cỏc đƣờng kết nối WAN, với cỏc lý do cơ bản nhƣ sau:
1. Kờnh thuờ riờng leased line/cable ngày càng giảm giỏ, vỡ vậy sẽ dễ dàng thuờ đƣợc đƣờng tốc độ cao hơn để đủ băng thụng khi cấu hỡnh VPN. 2. Cỏc thiết bị router mới của Cisco, đều hỗ trợ những tớnh năng cao nhất
để cấu hỡnh bảo mật VPN.
3. Cấu hỡnh VPN linh hoạt trong mọi mụi trƣờng kết nối: Leased line/ Frame-Relay/ MPLS/Internet…
3. 6. Giải phỏp chia tỏch mạng ATM sử dụng chung cỏc kết nối mạng WAN WAN
3. 6. 1. Mụ tả hệ thống kết nối ATM
Hệ thống cỏc mỏy mỏy rỳt tiền tự động ATM kết nối vào hệ thống mạng WAN thụng qua cỏc chi nhỏnh để cú thể trao đổi cỏc giao dịch với mỏy ATM của VCB. Dữ liệu của cỏc mỏy ATM sẽ sử dụng chung đƣờng kết nối WAN với cỏc loại dữ liệu giao dịch nội bộ khỏc của MB.
3. 6. 2. Đề xuất chia tỏch riờng mạng ATM
Để hệ thống cỏc mỏy mỏy rỳt tiền tự động ATM kết nối vào hệ thống mạng WAN thụng qua cỏc chi nhỏnh cú thể hoạt động ổn định, độc lập và bảo mật với cỏc loại dữ liệu giao dịch nội bộ khỏc của MB, chỳng tụi đề xuất phƣơng ỏn mạng LAN tại mỗi chi nhỏnh cũng chia thành cỏc VLANs. Hệ thống mỏy ATM sẽ là 1 VLAN riờng, hệ thống ngƣời sử dụng sẽ là 1 VLAN riờng nữa, và 2 hệ thống VLAN đú khụng đƣợc định tuyến sang nhau. Trờn cỏc thiết bị Router tại chi nhỏnh và trung tõm vựng sẽ sử dụng bảo mật Access-list để ngăn cỏch 2 VLAN đú.
Để thoả món yờu cầu này, cỏc thiết bị Router tại cỏc chi nhỏnh phải cú ớt nhất 02 cổng LAN 10/100Mbps. để chia VLAN, (cụ thể sẽ làm ở những giai đoạn nõng cấp tiếp theo)
3. 7. Giải phỏp dự phũng cho cỏc kết nối mạng WAN liờn mạng 3. 7. 1 Dự phũng kết nối WAN mạng trục backbone 3. 7. 1 Dự phũng kết nối WAN mạng trục backbone
Để việc truyền tải dữ liệu từ cỏc chi nhỏnh miền đi qua trục mạng WAN