Với việc áp dụng một số thiết bị, giải pháp ở trên thì mô hình giải pháp mạng của HN Portal trong thời gian tới sẽ được thực hiện như sau:
Việc thiết kế phân chia mạng thành các phân đoạn, và module hoá các khối chức năng sẽ tạo điều kiện dễ dàng cho việc triển khai mạng, công tác quản trị và vận hành bảo dưỡng sau này, đồng thời tăng cường an toàn, an ninh toàn mạng.
Hệ thống Cổng giao tiếp điện tử Hà Nội được xây dựng trên mô hình DMZ (Demilitarized Zone ) có tính đến việc lắp đặt hệ thống liên thông với hệ thống mạng của Trung tâm giao dịch CNTT Hà Nội đặt tại K1 Hào Nam, Đống Đa, Hà Nội.
Mạng được phân chia làm 3 khu vực chính (DMZ, LAN, Dial-Up) được bảo mật bằng firewall và được chia thành các VLAN riêng bởi switch trung tâm để tăng cường tính bảo mật và mở rộng của hệ thống sau này. Khu vực mạng nội bộ – LAN và khu vực Dial-Up là vùng mạng được bảo vệ và không thể nhìn thấy từ bên ngoài. Khu vực DMZ được chia đôi thành hai khu vực là front-end và back-end có chức năng và mức bảo vệ khác nhau.
54
1/. Khu vực DMZ
Khu vực mạng DMZ bao gồm hai vùng với mức bảo mật khác nhau là front-end và back-end.
Khu vực mạng Front_end là khu vực cung cấp các dịch vụ Public, các trang Web cung cấp dịch vụ thông tin của trung tâm Hà Nội Portal hoặc web server của các sở ban ngành; và các máy chủ cung cấp các dịch vụ Internet ISP(Mail Relay, DNS). Các trang Web cung cấp dịch vụ chủ yếu thường thiết kế là các máy chủ Web bao gồm các trang Web tĩnh, các công cụ móc nối dữ liệu đến các máy chủ dữ liệu ở khu vực Databaser Server bên trong.
Mục đích của khu vực Front_end là nơi đặt các máy chủ web dùng chung cho các đơn vị thành viên và máy chủ chính cho web site chính của Hà Nội Portal. Những đơn vị thành viên không có khả năng mua sắm máy chủ riêng sẽ đặt website của họ ở đây.
Các máy chủ tại khu vực Front-End và cổng giao tiếp bên trong của Firewall được gán các địa chỉ IP dùng riêng (private IP, RFC 1918) gọi là các địa chỉ giả. Sử dụng kỹ thuật NAT (Network Address Tranlation) trên Firewall để ánh xạ các địa chỉ IP thật vào địa chỉ IP giả tương ứng của các máy chủ . Như vậy người dùng từ bên ngoài truy cập vào các dịch vụ trên các máy chủ qua địa chỉ thật, tính năng NAT trên Firewall sẽ biên dịch địa chỉ này thành địa chỉ giả đã được thực sự gán cho máy chủ đó.
- Từ ngoài Internet có thể đến được khu vực mạng Front-end
- Từ mạng Front-end có thể ra ngoài Internet, và có thể truy nhập đến khu vực Databaser Server.
Thường các cổng dịch vụ cho phép truyền thông giữa khu vực Front-end và mạng Internet là: HTTP (80), FTP(21), POP3(110), SMTP (25). Trong quá trình vận hành, nếu có các dịch vụ đặc biệt cần các cổng dịch vụ khác thì người quản trị mạng sẽ xem xét và mở dịch vụ đó trên Firewall.
55
56 Khu vực Back_end của DMZ có mức độ bảo mật cao hơn khu vực Front_end. Đây là khu vực chứa các máy chủ lưu trữ CSDL cho các dịch vụ của toàn bộ hệ thống, máy chủ DNS cho mạng nội bộ, máy chủ xác thực truy nhập... Khu vực này cũng có thể để các máy CSDL của các sở ban ngành, và mở các cổng như FTP để các đơn vị có thể truyền dữ liệu về máy này.
Khu vực Back-end còn là nơi cho phép các đơn vị thành viên có máy chủ riêng có thể đặt máy chủ CSDL của họ ở đây. Các đơn vị thành viên có thể được cấp nhiều quyền hơn để quản trị máy chủ của mình từ xa, ví dụ như có thể mở cổng 22 truy xuất vào Back_end cho các nhà quản trị của đơn vị thành viên thực hiện công việc quản trị máy chủ của mình thông qua dịch vụ SSH (điều này có thể thiết lập trên firewall bằng cách chỉ mở một cổng nào đó với một địa chỉ IP xác định cho người quản trị mạng của sở ban ngành).
Máy chủ mail (POP3, IMAP) phục vụ các thuê bao của Hà Nội Portal được đặt ở vùng Back-end vì lý do bảo mật cao. Quá trình gửi và nhận mail với bên ngoài phải chạy qua mail relay ở khu vực Front-End. Việc gửi và nhận mail của thuê bao sẽ được Mail Transfer Agent kiểm chứng thông tin xác thực thuê bao qua kho dữ liệu thư mục LDAP. Do tần suất truy vấn có thể rất cao, bản LDAP chính (master LDAP) sẽ được cài đặt trên máy chủ Mail với cấu hình mạnh. Không cần thiết phải đầu tư một máy chủ chỉ để phục vụ dịch vụ thư mục (LDAP).
Nhằm bảo vệ an toàn, các quy tắc sau sẽ được áp dụng với khu vực này:
- Từ ngoài Internet không thể truy nhập đến khu vực mạng Database Server và ngược lại.
- Từ khu vực mạng này có thể truy nhập đến khu vực Front-end và khu vực mạng nội bộ (để đề phòng tấn công từ mạng nội bộ chỉ những máy hạn chế được mở các cổng cho phép kết nối với các máy database server).
Các cổng dịch vụ cho phép truyền thông giữa khu vực mạng này với các mạng khác là:
- Các cổng giao thức truyền CSDL (chẳng hạn: SQL 1433, Oracle 1521,...) - Các cổng cần thiết cho việc quản trị các Server từ khu vực mạng nội bộ (SSH
57
2/. Khu vực mạng Dial-up
Có một số phương thức kết nối từ các sở ban ngành về trung tâm mạng như: Sử dụng đường leased line ISDN hoặc ASDL nhưng phương thức này cần thiết bị đầu cuối đặt tại đơn vị (router hoặc modem NT1), hơn nữa phương thức này được sử dụng khi lưu lượng truyền thông là rất lớn (2M). Đối với các sở ban ngành thì lưu lượng thông tin trao đổi với mạng trung tâm không lớn lắm và không liên tục nên phương thức này không kinh tế và không khả thi.
Các sở ban ngành kết nối về trung tâm mạng bằng đường PSTN là hợp lý nhất, đối với các đơn vị yêu cầu trao đổi thông tin lớn có thể sử dụng đường leased line quay số 64K.
Để bảo đảm an toàn, các máy chủ trong vùng dial-up được cấp một dải ip riêng, không nhìn thấy các máy trong mạng LAN và các máy chủ ở khu vực Back-End, nhưng nhìn thấy các máy public trong vùng Front-End. Chức năng của khu vực Dial- up như sau:
- Cung cấp dịch vụ truy cập từ xa qua điện thoại vào hệ thống. Qua dịch vụ này người dùng sử dụng được các dịch vụ Internet/Intranet của hệ thống.
- Cung cấp dịch vụ cập nhật thông tin cho các đơn vị thành viên tham gia Hà Nội Portal để cập nhật dữ liệu lên mạng.
- Cung cấp dịch vụ e-mail cho thuê bao của Hà Nội Portal , thực chất là các đơn vị thành viên.
- Cung cấp dịch vụ truy cập Internet cho các đơn vị thành viên.
- Các đơn vị thành viên kết nối vào vùng Dial-Up hình thành nên một mạng diện rộng liên ngành.
Thiết bị RAS cho phép các đơn vị thành viên quay số trực tiếp vào Hà Nội Portal. Đây là kết nối dùng riêng, ưu tiên chỉ cấp tài khoản cho các đơn vị thành viên. Các đơn vị thành viên vẫn có thể truy xuất, cập nhật dữ liệu, quản trị máy chủ của mình từ hướng Internet hoặc quay số vào RAS. Tuy nhiên vẫn cần đầu tư một thiết bị RAS dung lượng nhỏ tạo một cửa kết nối ưu tiên. Thiết bị RAS dự kiến sẽ có 16 cổng analog
58
3/. Khu vực mạng LAN
Khu vực mạng LAN là khu vực có mức security cao nhất, an toàn nhất. Các máy chủ trong mạng này cũng sử dụng địa chỉ Internet dùng riêng (Private IP). Mạng này giữ các chức năng :
- Kiểm soát hoạt động toàn hệ thống.
- Sao lưu (back up) dữ liệu trên các máy chủ của mạng DMZ. - Các máy làm việc (work station) trong mạng nội bộ.
Máy chủ Backup vừa là chỗ sao lưu trung tâm cho toàn mạng, vừa lưu giữ trên đĩa cứng một phiên bản tốt nhất có thể cho website của từng đơn vị thành viên. Trong trường hợp website của đơn vị thành viên bị tấn công, xóa mất dữ liệu, sẽ khôi phục lại dữ liệu cho website đó từ dữ liệu trên máy Backup trong thời gian nhanh nhất.
59
2.2.2 Bảo mật qua các thiết bị phần cứng
Để đảm bảo an toàn cho mạng IP, ngoài việc thiết kế mạng phân chia thành các khối module thực hiện các chức năng khác nhau, hệ thống mạng cũng cần phải được phân thành các lớp an toàn mạng khác nhau.
Việc phân lớp an toàn mạng khác nhau nhằm phân định các quyền truy cập đến các vùng dịch vụ (vùng Front-End, Back-End), các máy chủ CSDL, mạng quay số RAS và khu vực mạng nội bộ của Hà Nội - Portal. Việc kiểm soát truy nhập, dịch vụ giữa các vùng mạng được thực hiện bởi thiết bị FireWall.
Với nguyên tắc đảm bảo an toàn của hệ thống mạng, FireWall sẽ kiểm soát thông tin truy nhập từ Internet, kiểm soát truy nhập từ mạng này sang mạng khác. Với khả năng cung cấp các tính năng VPN, NAT, PAT FireWall sẽ che dấu các địa chỉ thật của mạng trong. Firewall đặt trong mạng thực hiện các công việc sau
- Cho phép hệ thống có thể được cấu hình để chỉ mở một số cổng dịch vụ cần thiết truy xuất đến các máy chủ dịch vụ bên trong vùng Front-End, Back-End.
- Firewall được sử dụng cùng với hệ thống IDS tạo thành hệ thống an ninh phát hiện và chống các kiểu tấn công DoS, Bomb Mail từ bên ngoài, kể cả các cuộc tấn công xuất phát từ các máy tính. IDS được đặt trước Firewall hoạt động như một camera giám sát cửa trước, nó sẽ giúp phát hiện ra việc có ai đó đang đột nhập vào mạng kể cả trường hợp đột nhập không thành công. Có thể tăng cường bảo mật trong các vùng DMZ bằng cách đặt các hệ thống IDS khác vào vùng này. Tuy nhiên, hiện tại chưa cần thiết phải đầu tư thêm IDS cho các vùng DMZ vì giá phần cứng của thiết bị này không nhỏ. Có thể tính đến khả năng này trong dự án nâng cấp mở rộng hệ thống.
- Tách vùng LAN và vùng Dial-up đối với các truy xuất từ Internet.
- Bảo vệ cho vùng LAN của Hà Nội Portal (nơi cất giữ các thông tin nhạy cảm ví dụ như CSDL LDAP - bản chính, mail box của thuê bao, dữ liệu sao lưu của các website) đối với các vùng còn lại kể cả vùng Dial-up.Hạn chế đúng quyền với các dial-up users khi truy xuất vào các vùng mạng khác nhau.
60 Để tăng độ bảo mật, người quản trị có thể thực hiện dịch vụ NAT, che dấu toàn bộ các địa chỉ IP riêng bên trong. Có một số cơ chế NAT như sau:
- NAT tĩnh: 1 địa chỉ IP Internet tương ứng với 1 địa chỉ mạng trong.
- NAT động: Mỗi một cổng của địa chỉ IP Internet tương ứng với 1 cổng nào đó của 1 địa chỉ IP mạng bên trong. Với giải pháp này ta có thể tận dụng được khoảng địa chỉ IP Internet, và che dấu được cấu trúc thực sự của mạng bên trong. Ví dụ: với 1 địa chỉ IP Internet 203.162.10.120, ta có thể gán dịch vụ HTTP (80) cho địa chỉ bên trong 192.168.1.1 (80), dịch vụ POP3 (110) cho địa chỉ 192.168.1.10(110), dịch vụ SMTP(25) cho địa chỉ 192.168.1.11 (25),… Internet M¹ng m¸y chñ DMZ thùc sù 192.168.X.Y (203.162.X.Y) FireWall (NAT) M¹ng DMZ FireWall thùc hiÖn c¬ chÕ NAT
Hình vẽ: Cơ chế NAT của Firewall
FIREWALL THỰC HIỆN CƠ CHẾ NAT FIREWALL NAT MÁY CHỦ DMZ THỰC SỰ MẠNG DMZ
61
Chƣơng 3. THỬ NGHIỆM CÔNG NGHỆ SSL
TRONG VIỆC ĐẢM BẢO ATTT TRÊN ĐƢỜNG TRUYỀN
3.1 GIAO THỨC SSL 3.1.1 Giới thiệu về SSL
SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin gửi/ nhận. Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgamal và nay đã trở thành chuẩn bảo mật cài đặt trên Internet.
SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ giữa webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá phiên (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng thứ ba (CA) thông qua chứng chỉ điện tử (digital certificate) dựa trên mật mã công khai (ví dụ RSA).
62 SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các ứng dụng tầng cao hơn như là HTTP (HyperText Transfer Protocol), LDAP (Lightweight Directory Access Protocol) hoặc IMAP (Internet Messaging Access Protocol). Hiện nay SSL được sử dụng chính cho các giao dịch trên Web.
SSL cho phép một server có hỗ trợ SSL tự xác thực với một Client cũng hỗ trợ SSL, cho phép client tự xác thực với server, và cho phép cả hai máy thiết lập một kết nối được mã hoá.
Các phiên bản
SSLv2: phiên bản đầu tiên của giao thức SSL do Netscape Corporation thiết kế. SSLv3: phiên bản SSL version 3.0 do Netscape Corporation thiết kế, đã có trợ giúp chain certificate (chứng chỉ nhóm) và được hỗ trợ cho tất cả các trình duyệt phổ thông.
TLSv1: giao thức Transport Layer Security version 1.0 dựa trên cơ sở của SSLv3, thiết kế bởi IETF, nhưng hiện chưa hỗ trợ cho tất cả các trình duyệt thông dụng.
63
3.1.2 Các khả năng của SSL 1/. Chứng thực SSL
Chứng thực Server:
Cho phép client xác thực được server muốn kết nối. Lúc này, phía trình duyệt sử dụng các kỹ thuật mã hóa công khai để chắc chắn rằng chứng chỉ và publicID của server là có giá trị và được cấp phát bởi một CA (Certificate Authority) trong danh sách các CA đáng tin cậy của client.
Chứng thực Client:
Cho phép server xác thực được client muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá khoá công khai để kiểm tra chứng chỉ của client và publicID là đúng, được cấp phát bởi một CA trong danh sách các CA đáng tin cậy của Server.
2/. Mã hoá kết nối
Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngoài ra tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu.
Giao thức SSL gồm hai tầng. Tầng thấp nhất là tầng SSL Record Protocol. SSL Record Protocol được sử dụng để đóng gói một vài giao thức ở mức cao hơn. Một trong những giao thức được đóng gói đó là SSL Handshake Protocol, giao thức này cho phép server và client thực hiện việc xác thực lẫn nhau, thoả thuận một thuật toán mã hoá và các khoá mật mã trước khi giao thức ứng dụng gửi hoặc nhận dữ liệu.
3/. Các thuộc tính cơ bản Kết nối an toàn
Quá trình mã hóa dữ liệu được áp dụng sau khi quá trình bắt tay (handshake) đầu tiên xác định được một khoá bí mật. Mật mã đối xứng được sử dụng cho quá trình mã hoá dữ liệu (ví dụ DES, RC4…). Đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba.
Danh tính của người bên kia có thể được xác thực bằng mật mã khoá công khai (ví dụ RSA, DSS…).
64
Kết nối tin cậy
Việc vận chuyển các thông điệp bao gồm một quá trình kiểm tra tính toàn vẹn