Khóa luận tốt nghiệp: Xây dựng Firewall & IPS trên checkpoint

Khóa luận tốt nghiệp

Xây dựng Firewall & IPS trên checkpoint

PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP

1. Mỗi sinh viên phải viết riêng một báo cáo

2. Phiếu này phải dán ở trang đầu tiên của báo cáo

1. Họ và tên sinh viên/ nhòm sinh viên được giao đề tài (sĩ số trong nhóm: 2)

(1) Ngô Hiệp Toàn ...................... MSSV: 081652 ................. khóa: 2008-2011

(2) Nguyễn Thị Phương Ngọc..... MSSV: 081651 ................. khóa: 2008-2011

Chuyên ngành : Mạng máy tính Khoa : Khoa Học - Công Nghệ.........

2. Tên đề tài : Xây dựng Firewall & IPS trên Checkpoint .

3. Các dữ liệu ban đầu:

Firewall và IPS là thành phần bảo mật không thể thiếu trong hệ thống mạng máy tính, Checkpoint là sản phẩm firewall hàng đầu được dùng rất nhiều trong các mạng máy tính mà yêu cầu bảo mật được ưu tiên hàng đầu như ngân hàng.

4. Các yêu cầu đặc biệt:

Sinh viên ngành mạng máy tính, có kiến thức bảo mật.

5. Kết quả tối thiểu phải có:

1.Trình bày hoạt động Firewall & IPS

2.Đưa ra giải pháp xây dựng Firewall&IPS trường Hoasen

Ngày giao đề tài:……../………./……… Ngày nộp báo cáo: .…/……/……..

Họ tên GV hướng dẫn 1: Đinh Ngọc Luyện…….……Chữ ký: ………………

Ngày …. tháng … năm

Đinh Ngọc Luyện

i

TRÍCH YẾU

Trong đề án tốt nghiệp về đề tài “Xây dựng Firewall & IPS trên Checkpoint”. Tôi đã nghiên cứu về sản phẩm Checkpoint, các tính năng quản lí cũng như bảo mật bằng IPS (Intrusion Prevention Systems). Khác với phiên bản R65, phiên bản R70 đã có nhiều cải tiến trong giao diện cũng như tính năng nhằm cung cấp một môi trường làm việc hiệu quả hơn cho người quản trị hệ thống. Triển khai các tính năng tăng cường bảo mật như “User Authentication”,”Client Authentication”,”Session Authentication”, hay sử dụng một Module xác thực “Radius” chứng thực user. Cấu hình các rule để client trong mạng nội bộ có thể truy xuất dữ liệu vùng DMZ và cho phép client truy xuất web, thông qua những chính sách mà người quản trị cấu hình trên giao diện Smart Console. Sử dụng một máy Window Server 2003 kết nối trực tiếp vào Firewall dùng hệ điều hành Linux, mọi dữ liệu cấu hình thay đổi diễn ra tại giao diện Smart Console sẽ được tự động cập nhật trực tiếp lên Firewall Linux. Người quản trị cấu hình các chính sách(rule) nhằm hạn chế tầm hoạt động của người dùng mạng nội bộ. Sử dụng triệt để chức năng Chechpoint cung cấp:“IPS”, thay vì “SmartDefense” ở R65, thiết lập phát hiện và ngăn chặn những phương thức tấn công mạng như HPING, DDoS, LAND Attack ..v.v..

Theo dõi trạng thái cũng như những diến biến xảy ra trên Firewall thông qua giao diện SmartView Tracker, và SmartView Monitor. Để phát hiện kịp thời những truy nhập trái phép hay diễn biến bất thường thông qua tần suất truy nhập đến server.

II

MỤC LỤC TRÍCH YẾU ................................................................................................................... II NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN............................................................ 5

NHẬP ĐỀ ........................................................................................................................ 6

GIỚI THIỆU TỔNG QUAN ............................................................................................ 7 LỜI CẢM ƠN.................................................................................................................. 8 CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT ................................................................... 9 1.1 Định nghĩa bảo mật mạng.......................................................................................... 9

1.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng ...................................... 10 1.1.2 Các yếu tố cần được bảo vệ.............................................................................. 11 1.2 Các kiểu tấn công mạng .......................................................................................... 11 1.2.1 Thăm dò(reconnaissance) ................................................................................. 11 1.2.2 Đánh cắp thống tin bằng Packet Sniffers .......................................................... 11 1.2.3 Đánh lừa (IP spoofing) ..................................................................................... 12 1.2.4 Tấn công từ chối dịch vụ (Denial of services) .................................................. 13 1.2.5 Tấn công trực tiếp password............................................................................. 13

1.2.6 Thám thính(agent)............................................................................................ 13 1.2.7 Tấn công vào yếu tố con người: ....................................................................... 13 1.2.8 Các phương thức tấn công D.O.S thông thường ............................................... 14 1.2.9 Phương thức tấn công bằng Mail Relay ............................................................ 16 1.2.10 Phương thức tấn công hệ thống DNS .............................................................. 16 1.2.11 Phương thức tấn công Man-in-the-middle attack ............................................ 17 1.2.12 Phương thức tấn công Trust exploitation ........................................................ 17 1.2.13 Phương thức tấn công Port redirection ........................................................... 17 1.2.14 Phương thức tấn công lớp ứng dụng ............................................................... 18

1.2.15 Phương thức tấn Virus và Trojan Horse ......................................................... 18 1.3 Các mức độ bảo mật................................................................................................ 19

1.3.1 Quyền truy nhập:.............................................................................................. 19 1.3.2 Đăng nhập/Mật khẩu(login/password).............................................................. 19 1.3.3 Mã hóa dữ liệu(Data encryption)...................................................................... 19 1.3.5 Bức tường lửa (firewall)................................................................................... 20 1.4 Các biện pháp bảo vệ an toàn hệ thống.................................................................... 20 1.4.1 Quyền hạn tối thiểu (Least Privilege) ............................................................... 20

1.4.2 Bảo vệ theo chiều sâu (Defense in Depth) ....................................................... 20 1.4.3 Nút thắt (choke point) ..................................................................................... 21

1.4.4 Điểm xung yếu nhất (Weakest point) ............................................................... 21 1.4.5 Hỏng trong an toàn (Fail–Safe Stance) ............................................................. 21 1.4.6 Sự tham gia toàn cầu ........................................................................................ 22 1.4.7 Kết hợp nhiều biện pháp bảo vệ ....................................................................... 22 1.4.8 Đơn giản hóa.................................................................................................... 22 1.5 Các chính sách bảo mật ........................................................................................... 22

1.5.1 Kế hoạch bảo mật mạng ................................................................................... 23 1.5.2 Chính sách bảo mật nội bộ ............................................................................... 23 1.5.3 Phương thức thiết kế ........................................................................................ 24 1.6 Thiết kế chính sách bảo mật mạng........................................................................... 24 1.6.1 Phân tích nguy cơ mất an ninh ......................................................................... 24 1.6.2 Xác định tài nguyên cần bảo vệ ........................................................................ 24 1.6.3 Xác định các mối đe dọa bảo mật mạng ........................................................... 25 1.6.4 Xác định trách nhiệm người sử dụng mạng ...................................................... 26 1.6.5 Kế hoạch hành động khi chính sách bị vi phạm ................................................ 27

1.6.6 Xác định các lỗi an ninh ................................................................................... 28

1.7 Secure Sockets Layer (SSL) .................................................................................... 29 1.7.1 Mở đầu.............................................................................................................. 29 1.7.2 Nhiệm vụ và cấu trúc của SSL ......................................................................... 30 1.7.3 Phiên SSL và kết nối SSL ................................................................................. 32

1.7.4 SSL Record Protocol........................................................................................ 33 1.7.5 Alert Protocol.................................................................................................... 35 1.7.6 Change CipherSpec Protocol............................................................................ 35 1.7.7 Handshake Protocol ......................................................................................... 36

CHƯƠNG 2 : CHECKPOINT ....................................................................................... 37 2.1 Tổng quan về Checkpoint........................................................................................ 37 2.2 Access Control của Checkpoint Firewall ................................................................. 38 2.3 Các thành phần của Rule ......................................................................................... 38 2.4 Công dụng đặc biệt của Access Control .................................................................. 39 2.5 Authentication......................................................................................................... 39 2.5.1 Vai trò của User Authentication ........................................................................ 39 2.5.2. Tổng quan về User Authentication của Check Point Firewall ........................... 39

2.5.3. Các phương thức xác thực của Check Point Firewall........................................ 40 2.5.4. Các cơ chế xác thực sử dụng trên Firewall Check Point ................................... 40 2.5.4.1 VPN-1 & Firewall-1 Password.................................................................. 41 2.5.4.2 Operating System Password (OS Password).............................................. 42

2.5.4.3 RADIUS ................................................................................................... 43 2.5.4.4 TACACS .................................................................................................. 45 2.5.4.5 S/Key ........................................................................................................ 45 2.5.4.6 SecurID..................................................................................................... 47 CHƯƠNG 3 : FIREWALL ............................................................................................ 48 3.1 Công nghệ FIREWALL ......................................................................................... 48

a. Giải pháp Firewall của Checkpoint ....................................................................... 51 3.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý các thành phần của NGX. Các client của Smart Console bao gồm: ..................................................................... 53

3.1.2 Smart Center Server ......................................................................................... 54

3.1.3 Security Gateway ............................................................................................. 55 3.2 Firewall Inspect Engine ........................................................................................... 55 3.3 SVN FOUNDATION.............................................................................................. 56 3.3.1 Secure Internal Communication ....................................................................... 56 3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS .............................. 59

CHƯƠNG 4 : IPS .......................................................................................................... 60 4.1 Hệ thống ngăn chăn xâm nhập(IPS): ....................................................................... 60 4.1.1 Khái niệm IPS .................................................................................................. 60 4.1.2 Chức năng của IPS ........................................................................................... 61 4.2 Phân loại IPS.......................................................................................................... 65

4.2.1 NIPS ................................................................................................................ 65 4.2.1a Các khả năng của hệ thống xâm nhập mạng cơ sở ...................................... 67 4.2.1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS......... 69 4.2.2 HIPS ................................................................................................................ 69

4.2.2a Các khả năng của hệ thống ngăn chặn xâm nhập từ máy chủ(HIPS)........... 71 4.2.2b Các thành phần của HIPS:.......................................................................... 72 4.2.2.1 Gói phần mềm để cài đặt tại điểm cuối...................................................... 73 4.2.2.2 Hạ tầng quản lý để quản lý các agents này ................................................ 74

1. Trung tâm quản lý: ....................................................................................... 74

2. Giao diện quản lý: ........................................................................................ 75

4.3 Công nghệ ngăn chặn xâm nhập IPS ....................................................................... 78 4.3.1 Signature - Based IPS (Nhận diện dấu hiệu)...................................................... 78 4.3.2 Anomaly-Based IPS (Nhận diện bất thường)..................................................... 81

4.3.3 Policy-Based IPS .............................................................................................. 83 4.3.4 Protocol Analysis-Based IPS............................................................................ 83

PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN ...................................... 84 PHẦN 6: TÀI LIỆU THAM KHẢO .............................................................................. 89

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

...................................................................................................

NHẬP ĐỀ

Xã hội phát triển kéo theo sự tiến bộ của khoa học kĩ thuật. Những chiếc máy tính thông

minh dần chiếm vai trò rất quan trọng trong cuộc sống ngày nay. Bất kỳ lĩnh vực

nào cũng cần đến máy tính, một thiết bị xử lý và hơn thế nữa là không thể thiếu. Cùng

với sự

ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn

chặn sự xâm nhập và đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp và gián

tiếp. Phát hiện và ngăn chặn sự tấn công của các Hacker nhằm đánh cắp dữ liệu và phá

hoại tư liệu quan trọng là rất cần thiết.

Thông qua đề án : “Xây dựng Firewall & IPS trên Checkpoint “. Chúng tôi giới thiệu

tổng quan về xu hướng quản trị và bảo mật mạng hiện nay, cùng với nội dung tổng quan

về Checkpoint, Firewall, IPS bằng các bước cấu hình và triển khai mô hình mạng. Giải

pháp an toàn chúng tôi giới thiệu đến trong đề tài này là một sản phẩm của Checkpoint

dựa trên nền tảng NGX, NGX là một cấu trúc cung cấp tính năng bảo mật cho end-

to- end network, giúp cho doanh nghiệp bảo vệ các luồng traffic trong intranet,

extranet… Ngoài ra còn làm cho network của enterprice được bảo mật và được quản lý

bằng một

Security Policy đơn cho toàn network.

GIỚI THIỆU TỔNG QUAN



CHECKPOINT

CheckPoint là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo mật Internet. Đặc biệt là các dòng sản phẩm firewall cho các doanh nghiệp, cá nhân và các công nghệ mạng riêng ảo VPN. Với nền tảng NGX, CheckPoint cung cấp một kiến trúc bảo mật thống nhất cho một lọat các giải pháp bảo mật: bảo mật cho truy cập Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng nhằm bảo vệ các tài nguyên thông tin, quá trình truyền thông, các ứng dụng của doanh nghiệp.



FIREWALL

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông

tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).



IPS

Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các

ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. IPS không dơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng.

LỜI CẢM ƠN

Chúng tôi xin cảm ơn Thầy Đinh Ngọc Luyện đã hướng dẫn chúng tôi trong suốt quá trình thực hiện đề án: “Xây dựng Firewall & IPS trên Checkpoint”. Đề án trình bày những vấn đề tổng quan về bảo mật mạng, firewall, giới thiệu IPS - Hai hệ thống bảo vệ mạng hiệu quả hiện nay.

CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT

1.1 Định nghĩa bảo mật mạng

Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trước những hoạt

động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài.

Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài nguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài nguyên mạng và cơ sở dữ liệu của hệ thống.

Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệ thống

mạng. Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đạt lên hàng đầu.

Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề

bảo mật mạng ở các cấp độ sau:

 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.

 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận dạng

người dùng, phân quyền truy cập, cho phép các tác vụ

 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi cơ sở dữ liệu.

 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường dữ liệu

chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền truy cập khác nhau.

 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó và chỉ cho

phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu.

Theo quan điểm hệ thống, một xí nghiệp (đơn vị kinh tế cơ sở) được thiết lập từ ba

hệ thống sau:

- Hệ thống thông tin quản lý.

- Hệ thống trợ giúp quyết định.

- Hệ thống các thông tin tác nghiệp.

Trong đó hệ thống thông tin quản lý đóng vai trò trung gian giữa hệ thống trợ giúp quyết định và hệ thống thông tin tác nghiệp với chức năng chủ yếu là thu thập, xử lý và truyền tin.

Hình 3.1 Sơ đồ mạng thông dụng hiện nay.

1.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng

+ Vấn đề con người: Trong bảo mật mạng yếu tố con người cũng rất quan trọng. Khi nghiên cứu đến vấn đề bảo mật mạng cần quan tâm xem ai tham gia vào hệ thống mạng,

họ có tránh nhiệm như thế nào. Ở mức độ vật lý khi một người không có thẩm quyền vào

phòng máy họ có thể thực hiện một số hành vi phá hoại ở mức độ vật lý.

+ Kiến trúc mạng: Kiến trúc mạng cũng là một vấn đề mà chúng ta cần phải quan tâm khi nghiên cứu, phân tích một hệ thống mạng. Chúng ta cần nghiên cứu hiện trạng mạng khi xây dựng và nâng cấp mạng đưa ra các kiểu kiến trúc mạng phù hợp với hiện trạng và cơ sở hạ tầng ở nơi mình đang định xây dựng….

+ Phần cứng & phần mềm: Mạng được thiết kế như thế nào. Nó bao gồm những phần cứng và phần mềm nào và tác dụng của chúng. Xây dựng một hệ thống phần cứng và phần mềm phù hợp với hệ thống mạng cũng là vấn đề cần quan tâm khi xây dựng hệ

thống mạng. Xem xét tính tương thích của phần cứng và phần mềm với hệ thống và tính tương thích giữu chúng.

1.1.2 Các yếu tố cần được bảo vệ

+ Bảo vệ dữ liệu (tính bảo mật, tính toàn vẹn và tính kịp thời).

+ Bảo vệ tài nguyên sử dụng trên mạng để tránh sử dụng tài nguyên này vào mục

đính tấn công của kẻ khác.

+ Bảo vệ danh tiếng.

1.2 Các kiểu tấn công mạng

Cùng với sự phát triển nhanh chóng của mạng thì nó cũng để lại nhiều lỗ hổng để hacker có thể tấn công. Các thủ đoạn tấn công ngày càng trở nên tinh vi hơn. Các phương

pháp tấn công thường gặp:

1.2.1 Thăm dò(reconnaissance)

Đó chính là hình thức hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc domain name bằng hình thức này hacker có thể lấy được thông tin về địa chỉ IP và domain name

từ đó thực hiện các biện pháp tấn công khác…

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như DNS queries, ping sweep, hay port scan.

Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu.

NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.

1.2.2 Đánh cắp thống tin bằng Packet Sniffers

Packet sniffer là phần mềm sử dụng NIC card ở chế độ “promiseous” để bắt tất cả các

gói tin trong cùng miền xung đột. Nó có thể khai thác thông tin dưới dạng clear Text.

Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành phần khác của mạng.

Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN.

Ta có thể cấm packet sniffer bằng một số cách như sau:

- Authentication

- Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.

- Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng.

- Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hoá dữ liệu.

1.2.3 Đánh lừa (IP spoofing)

Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng nhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc thay đổi bản

tin định tuyến để thu nhận các gói tin cần thiết.

• NGX R65 đã phát triển một cơ chế để giám sát các packet bằng cách yêu cầu các

Anti spoofing thẩm định các xem các packet này đến từ đâu, đi đến đâu, gateway • chính xác của nó sẽ là gì ? Nó sẽ khẳng định rõ gói tin này mang IP là internal network này thật sự xuất phát từ internal network. Nó cũng thẩm định cho ta biết khi packet này

interface mà các packet phải đi qua cho biết IP tương ứng với cổng của nó.

được route thì nó sẽ đi thông qua cổng nào.

Để cấu hình anti spoofing, thì trước hết các network phải có thể thấy được nhau.

• Các network được định nghĩa đúng theo sơ đồ. Anti spoofing sẽ phát huy hiệu quả tốt

nhất khi ta cấu hình nó trên các interface của gateway. Sau khi kích hoạt tính năng

spoofing xong ta nên tiếp tục cấu hình spoofing tracking trên cổng đó luôn nhằm mục

đích giúp cho việc phát hiện xâm nhập và ghi lại file log.

Anti spoofing rule được cấu hình trong phần properties của đối tượng firewall • trong smartdashboard. Rule này sẽ được cưỡng ép thực thi trước bất kỳ rule nào được định nghĩa trong phần Security Policy Rule Base.

1.2.4 Tấn công từ chối dịch vụ (Denial of services)

Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tin với tốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết băng thông sử dụng.

1.2.5 Tấn công trực tiếp password

Đó là kiểu tấn công trực tiếp vào username và password của người sử dụng nhằm ăn cắp tài khoải sử dụng vào mục đích tấn công. Hacker dùng phần mềm để tấn công (vị dụ như Dictionary attacks).

Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute- force để lấy user account hơn.

Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork.

Phương pháp giảm thiểu tấn công password:

- Giới han số lần login sai

- Đặt password dài

- Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa.

1.2.6 Thám thính(agent)

Hacker sử dụng các các phần mềm vius, trojan thường dùng để tấn công vào máy trạm làm bước đệm để tấn công vào máy chủ và hệ thống. Kẻ tấn công có thể nhận được

các thông tin hữu ích từ máy nạn nhân thông qua các dịch vụ mạng.

1.2.7 Tấn công vào yếu tố con người:

Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạc với

nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password.

1.2.8 Các phương thức tấn công D.O.S thông thường

a. Phương pháp tấn công:

Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính trên mạng dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một khối lượng dữ liệu lớn truyền đến hệ thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ thống là nạn nhân bị tấn công.

Hình - Mô hình tổng quát cuộc tấn công D.o.S của Hacker

Các phương thức tấn công thường dựa trên việc phát sinh các gói dữ liệu từ hệ thống email , broadcast echo request …

Các công cụ thường dùng của tin tặc:

Công cụ

Phương thức sử dụng để tấn công

1

Trinoo

UDP

2

Tribe Flood Network

UDP, ICMP, SYN, Smurf

3

Stacheldracht

UDP, ICMP, SYN , Smurf

4

TFN 2K

UDP, ICMP, SYN, Smurf

5

Shaft

UDP, ICMP, SYN, combo

6

Mstream

Stream (ACK)

7

Trinity

UDP, Fragment, SYN, RST, RandomFlag, ACK, Establish, NULL

Khả năng tấn công có thể xảy ra từ các hướng cổng Internet, PSTN, WAN và nội bộ.

Đối với cổng PSTN và Internet đều đi qua Router do đó khả năng phát sinh các cuốc tấn công D.o.S vào địa điểm này là rất lớn.

b. Với giải pháp Cisco Access List thiết lập thêm có thể phân tích và ngăn chặn các cuộc tấn làm Overload trên các Interface như sau:

Explicitly permit flood traffic in access list:

access-list 110 permit icmp any any echo

access-list 110 permit icmp any any echo-reply

View access list "hit counts" to determine flood type:

permit icmp any any echo (2 matches)

permit icmp any any echo-reply (21374 matches)

Log information about flood packets:

access-list 110 permit icmp any any echo

access-list 110 permit icmp any any echo-reply log-input

Anti-Spoofing Packet Filters

Block inbound traffic sourced from your own address space:

access-list 110 deny ip 192.200.0.0 0.0.255.255 any

Block outbound traffic not sourced from your own address space:

access-list 111 permit ip 192.200.0.0 0.0.255.255 any

Block inbound traffic sourced from unroutable IP addresses:

access-list 110 deny ip 10.0.0.0 0.255.255.255 any

access-list 110 deny ip 172.16.0.0 0.15.255.255

any access-list 110 deny ip 192.168.0.0 0.0.255.255

any access-list 110

deny ip 127.0.0.0 0.255.255.255 any access-list

110 deny ip 255.0.0.0 0.255.255.255 any access-

list 110 deny ip 1.0.0.0 0.255.255.255 any

... more ...

Nếu cấu hình trên Smart Console thì ta thiết lập Rule tương tự các chức năng ta muốn thực hiện, như Allow hay Deny dịch vụ từ đâu đến đâu và các giao thức được định nghĩa trên từng Rule.

1.2.9 Phương thức tấn công bằng Mail Relay

Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó.

Phương pháp giảm thiểu : - Giới hạn dung lương Mail box

- Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP. - Sử dụng gateway SMTP riêng

1.2.10 Phương thức tấn công hệ thống DNS

DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ.

Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy

hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.

- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

- Cài đặt hệ thống IDS Host cho hệ thống DNS

- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.

1.2.11 Phương thức tấn công Man-in-the-middle attack

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.

Tấn công dạng này có thể hạng chế bằng cách mã hoá dữ liệu được gởi ra.

Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.

1.2.12 Phương thức tấn công Trust exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với

hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần

theo quan hệ đó để tấn công vào bên trong firewall.

Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng.

1.2.13 Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở DMZ có

thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside.

Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó.

1.2.14 Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail, HTTP, hay FTP.

Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port

80, mail server bằng TCP port 25.

Một số phương cách để hạn chế tấn công lớp ứng dụng:

- Lưu lại log file, và thường xuên phân tích log file

- Luôn cập nhật các patch cho OS và các ứng dụng

- Dùng IDS, có 2 loại IDS:

o HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên server đó.

o NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát cảnh báo, hay cắt session đó.

Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một signature nào đó, nó sẽ phát cảnh báo.

1.2.15 Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn

giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽ

gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò

chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó.

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn cập nhật chương trình chống virus mới.

1.3 Các mức độ bảo mật

Khi phân tích hệ thống bảo mật mạng người ta chia ra làm các mức độ an toàn sau:

Bức tường lửa (Firewall) Bảo vệ vật lý (Physical Protect)

Mã hóa dữ liệu(Data Encryption)

Đăng nhập/Mật khẩu (Login/Password)

Quyền truy nhập (Access Right)

Thông tin (Information)

Hình 3.3 Các mức độ bảo mật mạng.

1.3.1 Quyền truy nhập:

Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ở mức độ

file và việc xác định quyền hạn của người dùng do nhà quản trị quyết định như: chỉ đọc( only read), chỉ ghi (only write), thực thi(execute).

1.3.2 Đăng nhập/Mật khẩu(login/password)

Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống. Đây là mức độ bảo vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém. Nhà quản trị cung cấp cho mỗi người dùng một username và password và kiểm soát mọi hoạt động của mạng thông qua hình thức đó. Mỗi lần truy nhập mạng người dùng phải đăng nhập nhập username và

password hệ thống kiểm tra thấy hợp lệ mới cho đăng nhập.

1.3.3 Mã hóa dữ liệu(Data encryption)

Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải mã ở

bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát cung cấp.

1.3.4 Bảo vệ vật lý (Physical protect)

Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệ thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống ...

1.3.5 Bức tường lửa (firewall)

Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ thông qua firewall. ). Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sách

truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó. Phương thức bảo vệ này được dùng nhiều trong môi trường liên mạng Internet.

1.4 Các biện pháp bảo vệ an toàn hệ thống

Đối với mỗi hệ thống mạng, không nên cài đặt và chỉ sử dụng một chế độ an toàn cho dù nó có thể rất mạnh, mà nên lắp đặt nhiều cơ chế an toàn khác nhau để chúng có

thể hỗ trợ lẫn nhau và có thể đẳm bảo an toàn ở mức độ cao.

1.4.1 Quyền hạn tối thiểu (Least Privilege)

Một nguyên tắc cơ bản nhất của an toàn nói chung là trao quyền tối thiểu. Có nghĩa là: Bất kỳ một đối tượng nào trên mạng chỉ nên có những quyền hạn nhất định mà đối tượng đó cần phải có để thực hiện các nhiệm vụ của mình và chỉ có những quyền đó mà thôi. Như vậy, mọi người sử dụng đều không nhất thiết được trao quyền truy nhập mọi dich vụ Internet, đọc và sửa đổi tất cả các file trong hệ thống… Người quản trị hệ thống không nhất thiết phải biết các mật khẩu root hoặc mật khẩu của mọi người sử dụng …

Nhiều vấn đề an toàn trên mạng Internet bị xem là thất bại khi thực hiện nguyên tắc Quyền hạn tối thiểu. Vì vậy, các chương trình đặc quyền phải được đơn giản đến mức có thể và nếu một chương trình phức tạp, ta phải tìm cách chia nhỏ và cô lập từng phần mà nó yêu cầu quyền hạn.

1.4.2 Bảo vệ theo chiều sâu (Defense in Depth)

Đối với mỗi hệ thống, không nên cài đặt và chỉ sử dụng một chế độ an toàn cho dù nó

có thể rất mạnh, mà nên lắp đặt nhiều cơ chế an toàn để chúng có thể hỗ trợ lẫn nhau.

1.4.3 Nút thắt (choke point)

Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một lối hẹp mà chúng ta có thể kiểm soát và điều khiển được. Trong cơ chế an toàn mạng, Firewall nằm giữa hệ thống mạng của ta và mạng Internet, nó chính là một nút thắt. Khi đó, bất kỳ ai muốn truy nhập vào hệ thống cũng phải đi qua nó, vì vậy, ta có thể theo dõi, quản lý được.

Nhưng một nút thắt cũng sẽ trở nên vô dụng nếu có một đường khác vào hệ thống mà

không cần đi qua nó (trong môi trường mạng, còn có những đường Dial–up không được bảo vệ khác có thể truy nhập được vào hệ thống)

1.4.4 Điểm xung yếu nhất (Weakest point)

Một nguyên tắc cơ bản khác của an toàn là: “Một dây xích chỉ chắc chắn khi mắt nối yếu nhất được làm chắc chắn”. Khi muốn thâm nhập vào hệ thống của chúng ta, kẻ đột nhập thường tìm điểm yếu nhất để tấn công vào đó. Do vậy, với từng hệ thống, cần phải biết điểm yếu nhất để có phương án bảo vệ.

1.4.5 Hỏng trong an toàn (Fail–Safe Stance)

Nếu một hệ thống chẳng may bị hỏng thì nó phải được hỏng theo một cách nào đó để ngăn chặn những kẻ lợi dụng tấn công vào hệ thống hỏng đó. Đương nhiên, việc hỏng

trong an toàn cũng hủy bỏ sự truy nhập hợp pháp của người sử dụng cho tới khi hệ thống được khôi phục lại.

Nguyên tắc này cũng được áp dụng trong nhiều lĩnh vực. Chẳng hạn, cửa ra vào tự động được thiết kế để có thể chuyển sang mở bằng tay khi nguồn điện cung cấp bị ngắt

để tránh giữ người bên trong.

Dựa trên nguyên tắc này, người ta đưa ra hai quy tắc để áp dụng vào hệ thống an toàn:

- Default deny Stance: Chú trọng vào những cái được phép và ngăn chặn tất cả những cái

còn lại.

- Default permit Stance: Chú trọng vào những cái bị ngăn cấm và cho phép tất cả

những cái còn lại. Những gì không bị ngăn cấm thì được phép.

Theo quan điểm về vấn đề an toàn trên thì nên dùng quy tắc thứ nhất, còn theo quan

điểm của các nhà quản lý thì lại là quy tắc thứ hai.

1.4.6 Sự tham gia toàn cầu

Để đạt được hiệu quả an toàn cao, tất cả các hệ thống trên mạng toàn cầu phải tham gia vào giải pháp an toàn. Nếu tồn tại một hệ thống có cơ chế an toàn kém, người truy nhập bất hợp pháp có thể truy nhập vào hệ thống này và sau đó dùng chính hệ thống này

để truy nhập vào các hệ thống khác.

1.4.7 Kết hợp nhiều biện pháp bảo vệ

Trên liên mạng, có nhiều loại hệ thống khác nhau được sử dụng, do vậy, phải có nhiều biện pháp bảo vệ để đảm bảo chiến lược bảo vệ theo chiều sâu. Nếu tất cả các hệ thống của chúng ta đều giống nhau và một người nào đó biết cách thâm nhập vào một hệ thống thì cũng có thể thâm nhậo được vào các hệ thống khác.

1.4.8 Đơn giản hóa

Nếu ta không hiểu một cái gì đó, ta cũng không thể biết được liệu nó có an toàn hay không. Chính vì vậy, ta cần phải đơn giản hóa hệ thống để có thể áp dụng các biện pháp

an toàn một cách hiệu quả hơn.

1.5 Các chính sách bảo mật

 Kế hoạch an toàn thông tin phải tính đến các nguy cơ từ bên ngoài và từ trong nội bộ, đồng thời phải kết hợp cả các biện pháp kỹ thuật và các biện pháp quản lý. Sau đây là các bước cần tiến hành:

 Xác định các yêu cầu và chính sách an toàn thông tin: Bước đầu tiên trong kế hoạch an toàn thông tin là xác định các yêu cầu truy nhập và tập hợp những dịch vụ cung cấp cho người sử dụng trong và ngoài cơ quan, trên cơ sở đó có được các chính sách tương ứng.

 Thiết kế an toàn vòng ngoài: Việc thiết kế dựa trên các chính sách an toàn được xác định trước. Kết quả của bước này là kiến trúc mạng cùng với các thành phần phần cứng và phần mềm sẽ sử dụng. Trong đó cần đặc biệt chú ý hệ thống truy cập từ xa và cơ chế xác thực người dùng.

 Biện pháp an toàn cho các máy chủ và máy trạm: Các biện pháp an toàn vòng

ngoài, dù đầy đủ đến đâu, cũng có thể không đủ để chống lại sự tấn công, đặc biệt là sự

tấn công từ bên trong. Cần phải kiểm tra các máy chủ và máy trạm để phát hiện những sơ

hở về bảo mật. Đối với Filewall và các máy chủ ở ngoài cần kiểm tra những dạng tấn công (denial of service).

 Kiểm tra thường kỳ: Cần có kế hoạch kiểm tra định kỳ toàn bộ hệ thống an toàn

thông tin, ngoài ra cần kiểm tra lại mỗi khi có sự thay đổi về cấu hình.

1.5.1 Kế hoạch bảo mật mạng

Có một chính sách bảo mật mạng đúng đắn và hiệu quả để có thể bảo vệ các thông tin, các tài nguyên của một công ty, tổ chức nói riêng hay của một bộ, ngành, của một quốc gia nói chung là vấn đề hết sức quan trọng. Nếu như các tài nguyên và thông tin mà công ty đó có trên mạng là đáng được bảo vệ thì một chính sách bảo mật mạng là đáng được thực hiện. Hầu hết các cơ quan đều có các thông tin nhạy cảm và các bí mật cạnh tranh trên mạng máy tính của họ, vì vậy chúng ta sẽ cần một chính sách bảo mật mạnng đề bảo vệ

tài nguyên và thông tin của công ty.

Để có một chính sách bảo mật mạng hiệu quả thì chúng ta phải trả lời được câu hỏi: loại dịch vụ nào, loại tài nguyên nào người dùng được phép truy nhập và loại nào thì bị

cấm?

1.5.2 Chính sách bảo mật nội bộ

Một tổ chức có thể có nhiều bộ phận ở nhiều nơi, mỗi bộ phận có mạng riêng. Nếu tổ chức lớn thì mỗi mạng phải có ít nhất một người quản trị mạng. Nếu các nơi không nối với nhau thành mạng nội bộ thì chính sách an ninh cũng có những điểm khác nhau.

Thông thường thì tài nguyên mạng ở mỗi nơi bao gồm:

• Các trạm làm việc • Các thiết bị kết nối: Gateway, Router, Bridge, Repeater • Các Server • Phần mềm mạng và phần mềm ứng dụng

• Cáp mạng • Thông tin trong các tệp và các CSDL

Chính sách an ninh tại chỗ phải cân nhắc đến việc bảo vệ các tài nguyên này. Đồng thời cũng phải cân nhắc giữa các yêu cầu an ninh với các yêu cầu kết nối mạng bởi vì một chính sách bảo vệ tốt cho mạng này lại bất lợi cho mạng khác.

1.5.3 Phương thức thiết kế

Tạo ra một chính sách mạng có nghĩa là lập lên các thủ tục và kế hoạch bảo vệ tài nguyên của chúng ta khỏi mất mát và hư hại. Một hướng tiếp cận khả thi là trả lời các câu

hỏi sau :

• • • Chúng ta muốn bảo vệ tài nguyên nào ? Chúng ta cần bảo vệ tài nguyên trên khỏi những người nào ? Có các mối đe doạ như thế nào ?

Tài nguyên quan trọng tới mức nào ? Chúng ta sẽ dùng cách nào để bảo vệ tài nguyên theo cách tiết kiệm và

• • hợp lý nhất .

• Kiểm tra lại chính sách theo chu kỳ nào để phù hợp với các thay đổi về mục đích

cũng như về hiện trạng của mạng ?

1.6 Thiết kế chính sách bảo mật mạng

1.6.1 Phân tích nguy cơ mất an ninh

Trước khi thiết lập chính sách ta cần phải biết rõ tài nguyên nào cần được bảo vệ, tức là tài nguyên nào có tầm quan trọng lớn hơn để đi đến một giải pháp hợp lý về kinh tế. Đồng thời ta cũng phải xác định rõ đâu là nguồn đe doạ tới hệ thống. Nhiều nghiên cứu cho thấy rằng, thiệt hại do những kẻ “đột nhập bên ngoài” vẫn còn nhỏ hơn nhiều so với

sự phá hoại của những “người bên trong”. Phân tích nguy cơ bao gồm những việc :

• Ta cần bảo vệ những gì ?

• Ta cần bảo vệ những tài nguyên khỏi những gì ?

• Làm thế nào để bảo vệ ?

1.6.2 Xác định tài nguyên cần bảo vệ

Khi thực hiện phân tích ta cũng cần xác định tài nguyên nào có nguy cơ

bị xâm phạm. Quan trọng là phải liệt kê được hết những tài nguyên mạng có thể bị ảnh hưởng

khi gặp các vấn đề về an ninh.

- Phần cứng: Vi xử lý, bản mạch, bàn phím, terminal, trạm làm việc, máy tính các

nhân, máy in, ổ đĩa, đường liên lạc, server, router

- Phần mềm: Chương trình nguồn, chương trình đối tượng, tiện ích, chương trình

khảo sát, hệ điều hành, chương trình truyền thông.

- Dữ liệu: Trong khi thực hiện, lưu trữ trực tuyến, cất giữ off–line, backup, các nhật

ký kiểm tra, CSDL truyền trên các phương tiện liên lạc.

- Con người: Người dùng, người cần để khởi động hệ thống.

- Tài liệu: Về chương trình , về phần cứng, về hệ thống, về thủ tục quản trị cục bộ.

- Nguồn cung cấp: giấy in, các bảng biểu, băng mực, thiết bị từ.

1.6.3 Xác định các mối đe dọa bảo mật mạng

 Truy nhập bất hợp pháp

Sau khi đã xác định những tài nguyên nào cần được bảo vệ, chúng ta cũng cần xác định xem có các mối đe doạ nào nhằm vào các tài nguyên đó. Có thể có những mối đe dọa sau:

Chỉ có những người dùng hợp pháp mới có quyền truy nhập tài nguyên mạng, khi đó ta gọi là truy nhập hợp pháp. Có rất nhiều dạng truy nhập được gọi là bất hợp pháp chẳng hạn như dùng tài khoản của người khác khi không được phép. Mức độ trầm trọng của việc truy nhập bất hợp pháp tuỳ thuộc vào bản chất và mức độ thiệt hại do truy nhập đó

 Để lộ thông tin

gây nên.

 Từ chối cung cấp dịch vụ

Để lộ thông tin do vô tình hay cố ý cũng là một mối đe dọa khác. Chúng ta nên định ra các giá trị để phản ánh tầm quan trọng của thông tin. Ví dụ đối với các nhà sản xuất phần mềm thì đó là: mã nguồn, chi tiết thiết kế, biểu đồ, thông tin cạnh tranh về sản phẩm... Nếu để lộ các thông tin quan trọng, tổ chức của chúng ta có thể bị thiệt hại về các mặt như uy tín, tính cạnh tranh, lợi ích khách hàng ...

Mạng thường gồm những tài nguyên quý báu như máy tính, CSDL ... và cung cấp các dịch vụ cho cả tổ chức. Đa phần người dùng trên mạng đều phụ thuộc vào các dịch vụ để

thực hiện công việc được hiệu quả.

Chúng ta rất khó biết trước các dạng từ chối của một dịch vụ. Có thể tạm thời liệt kê ra một số lỗi mạng bị từ chối: do một gói gay lỗi, do quá tải đường truyền, router bị vô hiệu hóa, do virus..

 Ai được quyền dùng tài nguyên mạng

1.6.4 Xác định trách nhiệm người sử dụng mạng

Ta phải liệt kê tất cả người dùng cần truy nhập tới tài nguyên mạng. Không nhất thiết

liệt kê toàn bộ người dùng. Nếu phân nhóm cho người dùng thì việc liệt kê sẽ đơn giản

 Sử dụng tài nguyên thế nào cho đúng

hơn. Đồng thời ta cũng phải liệt kê một nhóm đặc biệt gọi là các người dùng bên ngoài, đó là những người truy nhập từ một trạm đơn lẻ hoặc từ một mạng khác.

Sau khi xác định những người dùng được phép truy nhập tài nguyên mạng, chúng ta phải tiếp tục xác định xem các tài nguyên đó sẽ được dùng như thế nào. Như vậy ta phải

 Ai có quyền cấp phát truy nhập

đề ra đường lối cho từng lớp người sử dụng như: Những nhà phát triển phần mềm, sinh viên, những người sử dụng ngoài.

Chính sách an ninh mạng phải xác định rõ ai có quyền cấp phát dịch vụ cho người

dùng. Đồng thời cũng phải xác định những kiểu truy nhập mà người dùng có thể cấp phát

lại. Nếu đã biết ai là người có quyền cấp phát truy nhập thì ta có thể biết được kiểu truy nhập đó được cấp phát, biết được người dùng có được cấp phát quá quyền hạn không. Ta phải cân nhắc hai điều sau:

- Truy nhập dịch vụ có được cấp phát từ một điểm trung tâm không? - Phương thức nào được dùng để tạo tài khoản mới và kết thúc truy nhập?

 Người dùng có quyền hạn và trách nhiệm gì

Nếu một tổ chức lớn mà không tập trung thì tất nhiên là có nhiều điểm trung tâm để cấp phát truy nhập, mỗi điểm trung tâm phải chịu trách nhiệm cho tất cả các phần mà nó cấp phát truy nhập.

Cần phải xác định rõ quyền lợi và nghĩa vụ của người sử dụng nhằm đảm bảo cho

việc quản lý và hoạt động bình thường của mạng. Đảm bỏa tính minh bạch và riêng tư cho người dùng, cũng như người dùng phải có trách nhiệm bảo tài khoản của mình.

 Người quản trị hệ thống có quyền hạn và trách nhiệm gì

 Làm gì với các thông tin quan trọng

Người quản trị hệ thống thường xuyên phải thu thập thông tin về các tệp trong các thư mục riêng của người dùng để tìm hiểu các vấn đề hệ thống. Ngược lại, người dùng phải giữ gìn bí mật riêng tư về thông tin của họ. Nếu an ninh có nguy cơ thì người quản trị phải có khả năng linh hoạt để giải quyết vấn đề.

Theo quan điểm an ninh, các dữ liệu cực kỳ quan trọng phải được hạn chế, chỉ một số ít máy và ít người có thể truy nhập. Trước khi cấp phát truy nhập cho một người dùng, phải cân nhắc xem nếu anh ta có khả năng đó thì anh ta có thể thu được các truy nhập khác không. Ngoài ra cũng phải báo cho người dùng biết là dịch vụ nào tương ứng với việc lưu trữ thông tin quan trọng của anh ta.

1.6.5 Kế hoạch hành động khi chính sách bị vi phạm

 Phản ứng khi có vi phạm

Mỗi khi chính sách bị vi phạm cũng có nghĩa là hệ thống đứng trước nguy cơ mất an ninh. Khi phát hiện vi phạm, chúng ta phải phân loại lý do vi phạm chẳng hạn như do người dùng cẩu thả, lỗi hoặc vô ý, không tuân thủ chính sách...

Khi vi phạm xảy ra thì mọi người dùng có trách nhiệm đều phải liên đới. Ta phải định ra các hành động tương ứng với các kiểu vi phạm. Đồng thời mọi người đều phải biết các quy định này bất kể người trong tổ chức hoặc người ngoài đến sử dụng máy. Chúng ta phải lường trước trường hợp vi phạm không cố ý để giải quyết linh hoạt, lập các sổ ghi chép và định kỳ xem lại để phát hiện các khuynh hướng vi phạm cũng như để điều chỉnh

 Phản ứng khi người dùng cục bộ vi phạm

các chính sách khi cần.

Người dùng cục bộ có các vi phạm sau:

- Vi phạm chính sách cục bộ.

- Vi phạm chính sách của các tổ chức khác.

 Chiến lược phản ứng

Trường hợp thứ nhất chính chúng ta, dưới quan điểm của người quản trị hệ thống sẽ tiến hành việc xử lý. Trong trường hợp thứ hai phức tạp hơn có thể xảy ra khi kết nối Internet, chúng ta phải xử lý cùng các tổ chức có chính sách an ninh bị vi phạm.

Chúng ta có thể sử dụng một trong hai chiến lược sau:

- Bảo vệ và xử lý.

- Theo dõi và truy tố.

Trong đó, chiến lược thứ nhất nên được áp dụng khi mạng của chúng ta dễ bị xâm phạm. Mục đích là bảo vệ mạng ngay lập tức xử lý, phục hồi về tình trạng bình thường để người dùng tiếp tục sử dụng được, như thế ta phải can thiệp vào hành động của người vi phạm và ngăn cản không cho truy nhập nữa. Đôi khi không thể khôi phục lại ngay thì chúng ta phải cách ly các phân đoạn mạng và đóng hệ thống để không cho truy nhập bất hợp pháp tiếp tục.

1.6.6 Xác định các lỗi an ninh

Ngoài việc nêu ra những gì cần bảo vệ, chúng ta phải nêu rõ những lỗi gì gây ra mất an ninh và làm cách nào để bảo vệ khỏi các lỗi đó. Trước khi tiến hành các thủ tục an

ninh, nhất định chúng ta phải biết mức độ quan trọng của các tài nguyên cũng như mức

độ của nguy cơ.

a. Lỗi điểm truy nhập

Lỗi điểm truy nhập là điểm mà những người dùng không hợp lệ có thể đi vào hệ

thống, càng nhiều điểm truy nhập càng có nguy có mất an ninh.

b. Lỗi cấu hình hệ thống

Khi một kẻ tấn công thâm nhập vào mạng, hắn thường tìm cách phá hoại các máy trên hệ thống. Nếu các máy được cấu hình sai thì hệ thống càng dễ bị phá hoại. Lý do của việc cấu hình sai là độ phức tạp của hệ điều hành, độ phức tạp của phần mềm đi kèm và hiểu biết của người có trách nhiệm đặt cấu hình. Ngoài ra, mật khẩu và tên truy nhập dễ đoán

cũng là một sơ hở để những kẻ tấn công có cơ hội truy nhập hệ thống.

c. Lỗi phần mềm

Phần mềm càng phức tạp thì lỗi của nó càng phức tạp. Khó có phần mềm nào mà

không gặp lỗi. Nếu những kẻ tấn công nắm được lỗi của phần mềm, nhất là phần mềm hệ thống thì việc phá hoại cũng khá dễ dàng. Người quản trị cần có trách nhiệm duy trì các bản cập nhật, các bản sửa đổi cũng như thông báo các lỗi cho người sản xuất chương trình.

d. Lỗi người dùng nội bộ

Người dùng nội bộ thường có nhiều truy nhập hệ thống hơn những người bên ngoài, nhiều truy nhập tới phần mềm hơn phần cứng do đó đễ dàng phá hoại hệ thống. Đa số các dịch vụ TCP/IP như Telnet, tfp, … đều có điểm yếu là truyền mật khẩu trên mạng mà

không mã hoá nên nếu là người trong mạng thì họ có khả năng rất lớn để có thể dễ dàng nắm được mật khẩu với sự trợ giúp của các chương trình đặc biệt.

e. Lỗi an ninh vật lý

Các tài nguyên trong các trục xương sống (backbone), đường liên lạc, Server quan trọng ... đều phải được giữ trong các khu vực an toàn về vật lý. An toàn vật lý có nghĩa là máy được khoá ở trong một phòng kín hoặc đặt ở những nơi người ngoài không thể truy nhập vật lý tới dữ liệu trong máy.

f. Lỗi bảo mật

Bảo mật mà chúng ta hiểu ở đây là hành động giữ bí mật một điều gì, thông tin rất dễ

 Khi thông tin lưu trên máy tính.

 Khi thông tin đang chuyển tới một hệ thống khác.

 Khi thông tin lưu trên các băng từ sao lưu.

lộ ra trong những trường hợp sau:

1.7 Secure Sockets Layer (SSL)

1.7.1 Mở đầu

Ngày nay, người dùng Internet trao đổi rất nhiều loại thông tin trên mạng từ trao đổi

thư điện tử thông thường đến các thông tin chi tiết trong thẻ tín dụng của mình, do đó họ muốn những dữ liệu đó phải được bảo mật khi truyền trên mạng công cộng.

Để làm được điều này người ta đã ứng dụng giao thức SSL để bảo vệ các dữ liệu trong quá trình trao đổi giữa tất cả các dịch vụ mạng sử dụng TCP/IP để hỗ trợ các tác vụ truyền thông mạng giữa máy chủ và máy khách.

Giao thức SSL đầu tiên do Netscape phát triển, mục đích để bảo mật dữ liệu gửi/nhận

trên Internet của các giao thức thuộc lớp ứng dụng như HTTP, LDAP hay POP3.

SSL sử dụng giao thức TCP để cung cấp các kết nối bền vững, bảo mật và được xác thực giữa các điểm cuối với nhau (ví dụ như giữa client và server). Mặc dù có thể sử dụng SSL để bảo vệ dữ liệu liên quan đến bất kỳ dịch vụ nào, nhưng SSL chủ yếu được dùng trong các ứng dụng HTTP (server và client). Ngày nay hầu hết các HTTP server đều hỗ trợ các phiên SSL, ở phía client các trình duyệt Internet Explorer và Netscape Navigator đều hỗ trợ SSL.

Hình 1: SSL giữa tầng ứng dụng và tầng TCP/IP

1.7.2 Nhiệm vụ và cấu trúc của SSL

Những mục đích chính của việc phát triển SSL là:

• Xác thực server và client với nhau: SSL hỗ trợ sử dụng các kỹ thuật mã hoá khoá

chuẩn (mã hoá sử dụng khoá công khai) để xác thực các đối tác truyền thông với

nhau. Hầu hết các ứng dụng hiện nay xác thực các client bằng cách sử dụng chứng chỉ

số, SSL cũng có thể sử dụng phương pháp này để xác thực client.

• Đảm bảo toàn vẹn dữ liệu: trong một phiên làm việc, dữ liệu không thể bị làm hỏng

dù vô tình hay cố ý.

• Bảo vệ tính riêng tư: dữ liệu trao đổi giữa client và server phải được bảo vệ, tránh bị

đánh cắp trên đường truyền và chỉ có đúng người nhận mới có thể đọc được các dữ

liệu đó. Các dữ liệu được bảo vệ bao gồm các những dữ liệu liên quan đến chính hoạt

động giao thức (các thông tin trao đổi trong quá trình thiết lập phiên làm việc SSL) và

các dữ liệu thực trao đổi trong phiên làm việc.

Thực tế SSL không phải là một giao thức đơn mà là một bộ các giao thức, có thể được chia làm 2 lớp:

1. Giao thức đảm bảo sự an toàn và toàn vẹn dữ liệu: lớp này chỉ có một giao thức là

SSL Record Protocol

2. Các giao thức thiết kế để thiết lập kết nối SSL: lớp này gồm có 3 giao thức: SSL

Handshake Protocol, SSL ChangeCipherSpecProtocol và SSL Alert Protocol.

Hình 2: Các lớp giao thức SSL

SSL sử dụng các giao thức này để thực hiện các nhiệm vụ được đề cập ở trên. SSL Record Protocol chịu trách nhiệm mã hoá và đảm bảo toàn vẹn dữ liệu. Như ta thấy trong hình 2, giao thức này còn chịu trách nhiệm đóng gói các dữ liệu của các giao thức SSL khác tức là cũng liên quan đến các tác vụ kiểm tra dữ liệu SSL.

Ba giao thức còn lại chịu trách nhiệm quản lý các phiên, quản lý các tham số mã hoá

và truyền các thông điệp SSL giữa client và server. Trước khi đi vào chi tiết về vai trò của từng giao thức chúng ta hãy xem xét hai khái niệm mang tính nền tảng liên quan tới

việc sử dụng SSL.

1.7.3 Phiên SSL và kết nối SSL

Các khái niệm đề cập ở trên là các khái niệm cơ bản của công nghệ SSL. Ngoài ra còn

có rất nhiều thuộc tính khác của SSL mà chúng ta sẽ xem xét ở đây:

 Connection (kết nối): là một liên kết client/server logic với những kiểu dịch vụ

thích hợp. SSL connection là một kết nối điểm nối điểm giữa 2 nút mạng.

 Session (phiên): là một sự kết hợp giữa một client và một server xác định bằng một bộ các tham số ví dụ thuật toán sẽ sử dụng, số hiệu phiên v.v... Khi một phiên SSL giữa một client và một server được thiết lập bằng giao thức SSL Handshake Protocol thì tất cả các kết nối sau này được thiết lập giữa cặp server/client đó sẽ sử dụng chung bộ

tham số đó mà không phải tiến hành thoả thuận lại.

Điều đó có nghĩa là trong một phiên SSL giữa một client và một server có thể có nhiều kết nối giữa client và server đó. Về lý thuyết cũng có thể có nhiều phiên SSL dùng chung một kết nối, nhưng trên thực tế không sử dụng đến khả năng này. Khái niệm phiên và kết

nối SSL liên quan đến nhiều tham số sử dụng trong truyền thông hỗ trợ SSL giữa client và server. Trong quá trình thoả thuận của giao thức handshake ngoài việc chọn các phương pháp mã hoá dữ liệu thì một loạt các tham số của Session State cũng được chọn, Session State bao gồm:

Session identifier: là định danh do server tạo ra và gán cho mỗi phiên làm việc

 với một client nhất định,

 Peer certificate: chứng chỉ X.509 của nút còn lại của phiên, phương pháp nén: xác

định phương pháp nén dữ liệu trước khi mã hoá.

 Mô tả thuật toán CipherSpec: xác định thuật toán để mã hoá dữ liệu (ví dụ: thuật

toán DES) và thuật toán băm dữ liệu (ví dụ MD5) sẽ sử dụng trong phiên.

 Master secret: là một số bí mật 48 byte được server và client dùng chung,

Cờ “is resumable”: cho biết có thể sử dụng phiên này để khởi tạo các kết nối mới được không. Ngoài ra còn có một số tham số khác:

Số ngẫu nhiên của Server và client: dữ liệu ngẫu nhiên do cả client và server sinh ra

cho mỗi kết nối.

Server write MAC secret: chìa khoá bí mật do server sử dụng để mã hoá dữ liệu

 của server.

Client write MAC secret: chìa khoá bí mật do client sử dụng để mã hoá dữ liệu

 của client.

Server write key: chìa khoá mà server dùng để mã hoá và client dùng để giải mã dữ liệu.

Client write key: chìa khoá mà client dùng để mã hoá và server dùng để giải mã dữ liệu. Sequence number (số thứ tự): server và client quản lý một cách riêng rẽ các số thứ tự để đánh số các thông điệp gửi và nhận cho mỗi kết nối.

1.7.4 SSL Record Protocol

SSL Record Protocol sử dụng để trao đổi tất cả các kiểu dữ liệu trong một phiên – bao

gồm các thông điệp, dữ liệu của các giao thức SSL khác và dữ liệu của ứng dụng.

SSL Record Protocol liên quan đến việc bảo mật và đảm bảo toàn vẹn dữ liệu.

Mục đích của SSR Record Protocol là thu nhận những thông điệp mà ứng dụng chuẩn bị gửi, phân mảnh dữ liệu cần truyền, đóng gói, bổ xung header tạo thành một đối tượng gọi là bản ghi (record), bản ghi đó được mã hoá và có thể truyền bằng giao thức TCP. Bước đầu tiên của quá trình chuẩn bị truyền dữ liệu là phân mảnh dữ liệu, tức là chia nhỏ dòng dữ liệu thành các mảnh kích thước 16KB (hoặc nhỏ hơn). Những mảnh dữ liệu này

sau đó có thể được nén trước khi truyền. Sau đó bắt đầu quá trình tạo các bản ghi cho mỗi đơn vị dữ liệu bằng cách bổ xung thêm header, một số byte cho đủ kích thước qui định của bản ghi nếu kích thước bản ghi chưa đủ và cuối cùng là phần MAC.

MAC (Message Authentication Code) là mã xác thực thông điệp sử dụng để khi phát dữ liệu trong các phiên SSL. Phần header của mỗi bản ghi chứa 2 thông tin quan trọng đó là độ dài của bản ghi và độ dài của khối dữ liệu thêm vào phần dữ liệu gốc. Phần dữ liệu của một bản ghi gồm: dữ liệu gốc, các byte bổ xung cho đủ kích thước gói tin qui định,

giá trị MAC được sử dụng để kiểm chứng sự toàn vẹn của thông điệp chứa trong bản ghi gửi cùng với MAC đó. MAC là kết quả của một của một hàm băm theo một thuật toán băm được qui định trước (ví dụ MD5 hoặc SHA-1).MAC được tính toán dựa trên việc áp dụng hàm băm trên các dữ liệu sau: khoá bí mật, dữ liệu gốc, phần thông tin bổ xung, số

thứ tự.

Khoá bí mật ở đây có thể là khoá ghi MAC của client (client write MAC secret) hoặc

của server (server write MAC secret) tuỳ thuộc vào ai là người tạo gói tin.

Sau khi nhận được một gói tin thì bên nhận tự tính lại giá trị MAC và so sánh với giá trị MAC chứa trong gói tin đó. Nếu hai giá trị MAC đó giống nhau có nghĩa là dữ liệu hông bị thay đổi trong quá trình truyền trên mạng. Độ dài của trường MAC phụ thuộc vào phương pháp để tính ra nó.

Tiếp theo, phần dữ liệu cộng với MAC sẽ được mã hoá sử dụng phương pháp mã hoá (đối xứng) đã thoả thuận trước ví dụ DES hoặc triple DES. Như vậy là cả dữ liệu và MAC đều được mã. Phần dữ liệu đã được mã hoá đó được gắn thêm header bao gồm các trường sau:

Kiểu nội dung (content type): xác định dữ liệu nào chứa trong gói tin để quyết định xem giao thức nào ở lớp cao hơn sẽ chịu trách nhiệm xử lý dữ liệu của gói tin đó. Các giá

trị có thể của trường này là: change_cipher_spec, alert, handshake và application_data tham chiếu đến các giao thức tương ứng ở mức cao hơn.

Phiên bản chính (major version): phần chỉ số chính của phiên bản SSL đang sử dụng.

Ví dụ với SSL 3.0 thì giá trị trường này là 3.

Phiên bản phụ (minor version): phần chỉ số phụ của phiên bản SSL đang sử dụng. Ví

dụ với SSL 3.0 thì giá trị trường này là 0.

Sau khi tính toán xong các trường này, bản ghi đã được tạo xong và sẵn sàng để gửi đến cho máy đích. Toàn bộ quá trình chuẩn bị bản ghi trước khi gửi được mô tả trong hình 3.

Hình 3: Quá trình tạo một bản ghi của SSL Record Protocol

1.7.5 Alert Protocol

Alert Protocol được các bên sử dụng để mang các thông điệp của phiên liên quan tới việc trao đổi dữ liệu và hoạt động của các giao thức. Mỗi thông điệp của giao thức này gồm 2 byte. Byte thứ nhất chứa một trong hai giá trị là warning (1) và fatal (2) xác định tính nghiêm trọng của thông điệp. Khi một trong 2 bên gửi thông điệp có giá trị bít đầu tiên là fatal (2) thì phiên làm việc giữa 2 bên sẽ kết thúc ngay lập tức. Byte tiếp theo của thông điệp chứa mã lỗi xảy ra trong phiên giao dịch SSL.

1.7.6 Change CipherSpec Protocol

Đây là giao thức SSL đơn giản nhất. Nó chỉ chứa một thông điệp mang giá trị 1. Mục đích duy nhất của thông điệp này là làm chuyển trạng thái của một phiên từ “đang chờ” (pending) sang “bền vững” (fixed). Ví dụ khi 2 bên qui ước bộ giao thức nào sẽ sử dụng.

Cả client và server đều phải gửi thông điệp loại này cho bên đối tác, sau khi đã trao đổi xong thì coi như hai bên đã đồng ý với nhau.

1.7.7 Handshake Protocol

Handshake protocol là bộ giao thức SSL phức tạp nhất. Giao thức này được sử dụng để khởi tạo phiên SSL giữa client và server. Thông điệp của giao thức này chứa rất nhiều loại thông tin, ví dụ các thuật toán mã hoá và các khoá mã mà 2 bên sẽ phải thoả thuận

với nhau. Nhờ giao thức này các bên sẽ xác thực lẫn nhau và thoả thuận các tham số cho phiên làm việc sẽ được thiết lập. Quy trình thoả thuận giữa client và server được mô tả trong hình 4. Có thể chia quy trình này thành 4 pha.

Trong pha thứ nhất: một kết nối logic được thiết lập giữa client và server để thoả thuận các tham số của kết nối. Phía client gửi cho server một thông điệp client_hello chứa các dữ liệu như:

Version: phiên bản SSL cao nhất mà client có thể hỗ trợ, Random: dữ liệu chứa

 một tem thời gian 32 bít và một số ngẫu nhiên dài 28 byte.

Session ID: một giá trị số dùng làm định danh cho phiên. Nếu giá trị này khác 0  thể hiện client muốn cập nhật các thông số cho kết nối hiện tại hay muốn khởi tạo kết nối mới. Còn nếu bằng 0 thể hiện rằng client muốn khởi tạo một kết nối mới.

CipherSuite: danh sách các thuật toán mã hoá và phương pháp trao đổi khoá mà

 phía client hỗ trợ.

Phía server sẽ phản hồi lại bằng thông điệp server_hello có cấu trúc giống với thông điệp client_hello với các thông tin của server:

 Version: phiên bản SSL thấp nhất mà server hỗ trợ.

 Random: được sinh một cách độc lập với số ngẫu nhiên của client.

session ID: nếu session ID của client là khác 0 thì session ID của server sẽ giống của

 client. Nếu session ID của client bằng 0 thì trường session ID của server sẽ chứa định danh của phiên làm việc mới.

CHƯƠNG 2 : CHECKPOINT

2.1 Tổng quan về Checkpoint

CheckPoint là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo mật

Internet. Cung cấp một giải pháp toàn diện cho việc quản lý các thiết bị an toàn bảo mật với các tính năng: cấu hình các chính sách bảo mật, theo dõi các thiết bị, logging, quản lý các sự kiện và cung cấp cho nhà quản trị các báo cáo ở các mức độ khác nhau, đặc biệt là các dòng sản phẩm firewall dùng trong các doanh nghiệp, cá nhân và các công nghệ mạng riêng ảo VPN. Với nền tảng NGX, ngoài ra CheckPoint cung cấp một kiến trúc bảo mật thống nhất cho một lọat các giải pháp bảo mật: bảo mật cho truy cập Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng… nhằm bảo vệ các tài nguyên thông tin, quá trình truyền thông, các ứng dụng…của doanh nghiệp. Đặc biệt các sản phẩm của CheckPoint cho phép việc tích hợp với hàng lọat các dòng sản phẩm của hơn

350 hãng sản xuất thiết bị bảo mật nổi tiếng trên thế giới.

 Tổng quan các sản phẩm bảo mật của CheckPoint.

- Eventia Analyzer: giúp đỡ người quản trị trong việc quản lý các sự kiện liên quan đến bảo mật. Eventia Analyzer cho phép quản lý tập trung, thời gian thực các thiết bị bảo mật Gateway của CheckPoint và sản phẩm của các đối tác của Checkpoint. Eventia tự động thu thập dữ liệu thông tin về các sự kiện, tình hình tấn công…, tối ưu hóa cách trình bày và cung cấp cho nhà quản trị một cái đầy đủ nhất về tình hình an ninh trên mạng.

- Eventia Report: Thu thập dữ liệu, thông tin từ các thiết bị bảo mật trên mạng sau đó

trình bày một cách có hệ thống, dưới dạng báo cáo giúp cho tổ chức có thể sử dụng làm căn cứ để đánh giá, xác định xem hiệu quả của chính sách bảo mật, tình hình an toàn bảo mật trên mạng …từ đó tối ưu hóa hiệu quả đầu tư. Eventia Reporter tập trung hóa việc báo cáo về các hoạt động của người dùng, các thiết bị bảo mật và thiết bị mạng.

- SmartCenter: Để đối phó với sự tấn công của tin tặc ngày càng phức tạp, chúng ta phải xây dụng hệ thống an ninh bảo mật theo chiều sâu bao gồm nhiều lớp: bảo mật vòng ngoài, bảo mật bên trong, bảo mật người dùng…CheckPoint đưa ra giải phép cho phép người quản trị có thể quản lý được môi trường phức tạp đó. Thông qua SmartCenter, nhà quản trị có thể thực hiện được tất cả các khía cạnh quản lý liên quan đến vấn đề bảo mật.

- SmartPortal: Cho phép người dùng, người kiểm tra… có thể xem được các chính

sách bảo mật, tình trạng các thiết bị bảo mật và hoạt động quản lý của nhà quản trị.

- SmartView Monitor: Cho phép nhà quản trị có một cái nhìn tổng quan về hiệu năng hoạt động của các thiết bị mạng và thiết bị bảo mật từ đó, cho phép đưa ra những biện pháp kịp thời. Nó cho phép nhà quản trị xác định được tức thời những thay đổi lớn về traffic trên mạng, đặc biệt là những thay đổi nguy hiểm.

Các sản phẩm bảo mật vòng ngoài của CheckPoint, chủ yếu là các thiết bị VPN, cho phép kiểm soát việc truy cập vào các tài nguyên mạng nội bộ của doanh nghiệp từ bên ngoài. Đảm bảo chỉ những người được phép mới có quyền truy cập. Nổi bật nhất trong đó

là dòng sản phẩm: Check Point VPN-1/firewall 1 Pro.

2.2 Access Control của Checkpoint Firewall

Check Point Security Gateway thường được đặt ở khu vực biên của hệ thống cần bảo vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng. Người quản trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật để bảo vệ an toàn cho hệ thống cũng như quản lý sự truy cập trong mạng. Chính sách bảo mật được triển khai bằng tập hợp có thứ tự những quy tắc (rules) trong Security Rule Base, một chính sách tốt là cơ sở

tất yếu cho một hệ thống an toàn. Nguyên lý cơ bản của Rule Base là tất cả những hành động không được cho phép sẽ bị chặn. Rule Base là tập hợp những quy tắc (rules) định ra luồng dữ liệu nào được phép đi qua và luồng dữ liệu nào bị cấm.

2.3 Các thành phần của Rule



 Source và Destination: chỉ ra nơi xuất phát và nơi đến của luồng dữ liệu, theo quy tắc của rule thì kết nối được thiết lập sẽ chấp nhận cả 2 chiều dữ liệu đi và về. Service: đưa ra những giao thức, dịch vụ sẽ áp dụng thông qua Rule.



 Action: hành động đưa ra cho kết nối được đề cập đến thông qua Rule. Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule



Install On: đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của người quản trị. Thành phần này chỉ ra nơi người quản trị cần triển khai Rule vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ thống.

 Time: định ra thời gian có hiệu lực của Rule.

Ngoài những Rule được tạo bởi người quản trị, Security Gateway cũng tạo ra những Rule mặc định. Rule mặc định thường được dành cho những kết nối từ Security Gateway cho

các dịch vụ điều khiển, cấu hình.

2.4 Công dụng đặc biệt của Access Control

Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ

IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống. Cơ chế

chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến đúng với mỗi cổng

trên Security Gateway. Một ví dụ về giả mạo địa chỉ đó là người tấn công từ ngoài

Internet, tức là cổng external của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên

trong mạng nội bộ thì cơ chế chống giả địa chỉ sẽ ngay lập tức chặn gói tin vì nó

không xuất phát từ cổng bên trong mà là bên ngoài.

2.5 Authentication

2.5.1 Vai trò của User Authentication

User Authentication đảm bảo việc xác thực người dùng trong các kết nối tới tài nguyên của hệ thống công ty. Người dùng được cấp quyền truy cập đúng với chức trách và nhiệm

vụ của họ đối với hệ thống mạng.

2.5.2. Tổng quan về User Authentication của Check Point Firewall

Check Point Security Gateway xác thực người dùng thông qua nhiều cơ chế xác thực khác nhau. Đa số các cơ chế xác thực đều dựa trên nguyên tắc yêu cầu cung cấp tên người dùng và mật khẩu nhưng khác nhau ở vị trí lưu trữ thông tin

xác thực, có cơ chế hông tin được lưu ngay trên Security Gateway trong khi số còn lại lưu thông tin trên các server chứng thực như RADIUS, TACACS…

2.5.3. Các phương thức xác thực của Check Point Firewall

 User Authentication: Quản trị viên có thể cấp quyền cho một người dung trong mạng nội bộ truy cập bất kể dử dụng trên một máy tính riêng lẻ nào mà không ảnh hưởng đến các người dùng khác sử dụng cùng máy tính. User Authentication hoạt động trên các giao thức Telnet, FTP, HTTP và dịch vụ RLOGIN.

hỏi trên máy riêng của người dùng phải cài đặt phần mềm hỗ trợ, do đó phương pháp này không thích hợp cho các dịch vụ chứng thực HTTP khi họ mở nhiều kết nối cho mỗi phiên. Cơ chế này chỉ thực hiện được trên những máy cá nhân, tức chỉ có một

 Session Authentication: Cung cấp cơ chế xác thực cho bất cứ dịch vụ nào và yêu cầu người dùng cung cấp thông tin của họ trong mỗi phiên xác thực. Phương thức này đòi

người sử dụng, có thể xác thực được 1 IP trong 1 thời điểm nhất định.

+ Những phương pháp xác thực này cũng có thể được sử dụng cho truyền thông không được mã hóa. Chứng thực là điều cần thiết cho truyền thông truy cập từ xa bằng cách sử dụng SecuRemote / SecureClient.

 Client Authentication: phương thức này cho phép nhiều người dùng kết nối cùng lúc từ những IP được ủy quyền từ máy chủ. Việc ủy quyền được triển khai trên mỗi máy đơn. Ưu điểm chính của phương thức này là không hạn chế kết nối trên bất kì dịch vụ nào và cơ chế xác thực được thiết lập trong một khoảng thời gian nhất định. Giống với Session authentication, Client Authentication cũng được triển khai trên những máy đơn.

2.5.4. Các cơ chế xác thực sử dụng trên Firewall Check Point

Cơ chế xác thực định nghĩa loại cơ sở dữ liệu xác thực cũng như giao thức cần để kết nối với cơ sở dữ liệu. Sau đây là những cơ chế có hỗ trợ trong Firewall Check Point.

      VPN-1 & Firewall-1 Password OS Password RADIUS TACACS S/Key SecurID

Trong danh sách nêu trên chỉ có VPN-1 & Firewall-1 Password và S/Key là có cơ sở dữ liệu xác thực nằm trên Security Gateway, còn lại các cơ chế khác đều có cơ sở dữ liệu nằm bên ngoài

2.5.4.1 VPN-1 & Firewall-1 Password

Đây là cơ chế xác thực do Firewall Check Point cung cấp, cơ chế này xác thực user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway. Chiều dài tên user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4 tới 8 ký tự.

Hình trên cho thấy mỗi Module của hệ thống đều có lưu một bản sao của cơ sở dữ liệu và có khả năng tự xác thực user mà không cần chuyển yêu cầu xác thực cho cơ sở dữ liệu chính, điều đó cho thấy cơ sở dữ liệu xác thực user không chỉ nằm trên Management Server. Điều này giúp tăng hiệu suất hoạt động của hệ thống khi xác thực user.

2.5.4.2 Operating System Password (OS Password)

CheckPoint Security Gateway có thể xác thực bằng cách sử dụng tên người dùng và

mật khẩu được lưu trữ trên hệ điều hành của máy mà trên đó Check Point Security Gateway được cài đặt. User cũng có thể sử dụng mật khẩu được lưu trữ trong một miền Windows. Không có phần mềm bổ sung.

Cơ chế xác thực thông qua OS Password cho phép các Module xác thực sử dụng chính cơ sở dữ liệu xác thực của hệ điều hành để xác thực cho user. Một ví dụ đó là Module xác thực sẽ lấy dữ liệu về user thông qua Security Account Management (SAM) nếu Module đó đang hoạt động trên hệ điều hành Window Server.

Ta có thể thấy thông tin về user được lưu trên Management Server nhưng phần

password chỉ hiển hiện cơ chế là OS Password. Thông qua việc sử dụng cơ chế xác thực là OS Password thì khi một user kết nối và khai báo một user name trùng với user name có cơ chế OS Password thì các Module xác thực sẽ chuyển user name và password của user đó cho hệ điều hành để xác thực dựa trên cơ sở dữ liệu của chính nó.

Cơ chế này không được khuyến khích sử dụng vì hai nguyên nhân:

+ Cơ sở dữ liệu xác thực của user nằm trên hệ điều hành nên có thể được sử dụng để kết nối thẳng vào Module xác thực gây nguy hiểm cho hoạt động của hệ thống.

+ Việc đồng bộ dữ liệu user trên các Module nếu hệ thống có nhiều Module sẽ gây khó khăn trong việc cấu hình triển khai cơ chế này, gây bất lợi cho người quản trị.

2.5.4.3 RADIUS

RADIUS là một cơ chế xác thực tập trung với cơ sở dữ liệu không nằm trên các Module xác thực mà nằm trên một Module riêng biệt (RADIUS Server). Ưu điểm chính của cơ chế RADIUS chính là xác thực tập trung khi hệ thống có nhiều Module xác thực, tức là

người quản trị chỉ cần cấu hình cơ sở dữ liệu user trên RADIUS Server và các Module xác thực sẽ xác thực user dựa trên RADIUS Server.

Tương tự như cơ chế OS Password, dữ liệu user vẫn xuất hiện trên cơ sở dữ liệu chính trên Management Server nhưng phần Password và chỉ đề cập đến cơ chế xác thực là RADIUS. Khi một user kết nối với user name trùng với user name có cơ chế xác thực là RADIUS thì các Module xác thực sẽ chuyển user name và password cho RADIUS Server thông qua các giao thức được định nghĩa trước và có sử dụng Shared Secret Key để bảo vệ thông tin chuyển qua.

2.5.4.4 TACACS

Xác thực user bằng cơ chế TACACS hoàn toàn tương tự với cơ chế RADIUS như. TACACS và RADIUS đều nằm trong dịch vu AAA (Authentication Authorization Accounting) nhưng TACACS, ngoài khả năng xác thực tập trung, còn có thể quản lý và phân quyền trên những câu lệnh mà người dùng cấu hình các Server đầu cuối như kết nối Telnet đến các router Cisco.

2.5.4.5 S/Key

S/Key là một cơ chế xác thực One-Time Password (OTP), là “Mật

khẩu dùng một lần” nhằm hạn chế những rủi ro có thể xảy đối với tài khoản. Người dùng sẽ sử dụng password khác nhau cho mỗi lần xác thực. OTP đảm bảo an toàn cho việc chuyển

dữ liệu trong qua trình xác thực đặc biệt là trong những môi trường broadcast và thông

tin được gửi dưới dạng cleartext, nói cách khác OTP làm cho việc Sniffing trở nên vô nghĩa.

Khi user kết nối tới một thiết bị có yêu cầu xác thực bằng cơ chế S/Key thì S/Key Server sẽ gửi lại một giá trị số và một nguyên liệu để thực hiện phép băm cùng với Secret Key. Hai giá trị do S/Key Server gửi sẽ được đưa vào phần mềm tạo S/Key đặt trên máy

người dùng đang kết nối. Giá trị số định ra số lần thực hiện phép toán bămvà giá trị này

sẽ luôn kém một đơn vị so với lần xác thực trước. Còn nguyên liệu băm sẽ được gộp chung với Secret Key nhập bởi người dùng để thực hiện phép băm.

Ưu điểm: tính bảo mật cao hơn so với các cơ chế khác vì mật khẩu người dùng sẽ thay đổi sau mỗi lần xác thực. Hơn thế nữa đây là cơ chế mà dữ liệu về password không nằm trong cơ sở dữ liệu xác thực nên nếu có xảy ra sự cố gì với cơ sở dữ liệu thì cũng sẽ

không ảnh hưởng đến secret key của người dùng. Tuy nhiên thì S/Key vẫn có nhược điểm, đó là máy khách truy cập cần phải có một chương trình để tạo key (băm secret key và nguyên liệu).

2.5.4.6 SecurID

SecurID cũng là một cơ chế sử dụng One-Time Password (OTP) thế nhưng cơ chế này hoàn toàn khác với S/Key. Cơ chế SecurID hoạt động dựa trên nguyên tắc là user phải cung cấp một thiết bị điện tử với mã PIN để SecurID Server có thể cung cấp OTP dùng cho xác thực. Đây chính là cơ chế được xem là tối tân và rất bảo mật vì người dùng cần

một thiết bị đặc biệt đồng thời phải cung cấp mã PIN để đăng nhập vào hệ thống.

CHƯƠNG 3 : FIREWALL

3.1 Công nghệ FIREWALL

Thuật ngữ Firewall có nguồn gôc từ một kỹ thuật được thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống để chống lại các truy cập trái phép, nhằm bảo vệ các nguồn thôn tin nội

bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Firewall được miêu tả như một hệ thống phòng thủ, có thể kiểm soát việc truy cập giữa hai hệ thông tin cậy (Trust network).

Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống

với yêu cầu về khả năng hoạt động mạnh, bảo đảm tính an ninh, độ tin cậy cao, khả năng

dễ mở rộng trong tương lai là một việc rất quan trọng.

Hình : Mô tả các thành phần của FIREWALL 1-NGX

Chúng tôi khuyến nghị sử dụng giải pháp Firewall có tốc độ và độ an tòan cao của ba

hãng cung cấp giải pháp Firewall mạnh nhất hiện nay sau cho hệ thống Firewall lớp ngoài:

 Hỗ trợ NAT và PAT:

Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network Address Translation) dùng để chuyển đổi một địa chỉ Internet thành một địa chỉ riêng (Private) theo dạng địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi n địa chỉ Internet thành m địa chỉ Private dưới dạng địa chỉ động (dynamic) với n

chỉ Private (kết hợp với NAT – ánh xạ 1- n). nguyên lý hoạt động này rất thích hợp cho việc sử dụng nhiều giao tiếp kết nối trên PIX Firewall.

Hình – Cấu hình NAT tĩnh cho webserver

Hình – Cấu hình NAT động cho mạng LAN

Với khả năng cho phép chuyển đổi tự động địa chỉ như thế rất hữu ích cho nhiều người dùng mà không cần thiết phải quan tâm đến việc cấp địa chỉ Internet. Đối với các host của hệ thống mạng khu vực cũng không cần thiết đăng ký với NIC (Network Information Center) vẫn có thể dùng TCP/IP để truy cập trực tiếp vào Internet bằng cách mở chế độ chuyển đổi bên trong PIX Firewall. Cách này cho phép hệ thống mở rộng dịch vụ cung

cấp truy cập từ xa kết nối qua hệ thống truy cập vào Internet trong tương lai.

Hoạt động với mức độ hoạt động sẵn sàng cao nhất:

Mức độ ổn định: khả năng làm việc cực kỳ ổn định với mean time between failure (MTB)

lớn hơn 60000 giờ.

Ngoài ra CiscoSecure PIX Firewall software giới hạn mức độ người dùng cùng lúc thông qua các cổng giao tiếp vật lý của nó, tránh được tình trạng xử lý quá tải làm tắt nghẽn hệ thống truy cập Internet chung cho toàn hệ thống.

Trong tương lai khi có khả năng nâng cấp lên chạy dự phòng 2 thiết bị PIX – có thể sử dụng chức năng dự phòng tiên tiến của sản phẩm PIX – Stateful failover cho phép cung cấp khả năng dự phòng thay thế nóng giữa 2 thiết bị PIX - UR hoặc giữa 1 thiết bị PIX- UR và một thiết bị PIX-FO, khi một thiết bị gặp sự cố thì thiết bị còn lại sẽ thay thế thiết

bị đó để tiếp nhận và xử lý các yêu cầu đang tồn tại cũng như các yêu cầu mới, do vậy

việc một trong hai thiết bị gặp sự cố không ảnh hưởng gì đến các dịch vụ đang chạy trên mạng.

Hỗ trợ quản lý thông qua Web:

Hỗ trợ bới tính năng Cisco PIX Device manager (PDM): Hệ thống quản trị thiết bị PIX riêng lẻ, sử dụng Java applet để chứng thực và Secure Hypertext Transfer Protocol để bảo mật thông tin giữa PDM và PIX firewall. PDM cung cấp các chức năng sau:

+ Hỗ trợ cấu hình PIX firewall qua WEB, mà không cần sử dụng các giao diện dòng lệnh

PIX firewall Command-line Interface (CLI)

+ Hỗ trợ các bước cấu hình sử dụng các wizard (start-up Wizard, VPN Wizard)

+ Cho phép quản lý PIX với các lưu đồ và dữ liệu thời gian thực, bao gồm các kết nối,

IDS, thông tin về băng thông. Cho phép theo dõi thông số trong vòng 5 ngày trở lại.

+ Quản trị và cấu hình PIX tách biệt , nhưng có thể sử dụng nhiều browser trên cùng một

trạm để cấu hình nhiều PIX khác nhau.

a. Giải pháp Firewall của Checkpoint

Checkpoint hiện là một trong những công ty hàng đầu trong công nghệ Firewall. Checkpoint chiếm ưu thế trong thị trường firewall với sản phẩm cùng tên.

Phần mềm Checkpoint với ưu thế cạnh tranh, là sản phẩm đáng tín cậy cho bất kỳ cơ quan nào. Bộ sản phẩm của CheckPoint gồm nhiều Module kết hợp tạo nên một giải pháp Firewall an ninh hiệu quả cho các hình thức mạng khác nhau

Firewall:

- Sử dụng công nghệ “Stateful Inspection” bảo vệ được từ mức network đến mức

ứng dụng trong mô hình OSI.

- Kỹ thuật phòng chống thông minh “SmartDefense” cho phép bảo vệ tấn công ở

mức ứng dụng

- SmartDefense cho phép dễ dàng cập nhật và cấu hình các phương pháp tấn công

mới

- Hỗ trợ phân quyền theo nhiều yếu tố host, dịch vụ hay người truy cập

- Hỗ trợ phân tích log

- Quản lý tập trung cho phép quản lý nhiều firewall trên một máy tính

- Quản lý thiết lập chính sách dễ dàng bằng các công cụ trực quan GUI

- Hỗ trợ việc xác thực người sử dụng bằng nhiều phương pháp S/key, SecurID, OS

password, RADIUS, TACACS hay những phương pháp chứng thực khác

- Tính năng quản lý (SmartCenter và GUI Client):

- Quản lý tập trung với người quản trị bằng một giao diện đồ họa duy nhất

- Tất cả dữ liệu log sẽ được quản lý tập trung dễ dàng phân tích và theo dõi

bởi người quản trị hệ thống

- Khả năng quản lý nhiều firewall trên một giao diện đồ họa duy nhất

- Tính năng quản lý log:

- Log sẽ được định hướng đến server chuyên dụng xử lý log

- Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ reset lại log theo những

thông số do người quản trị định nghĩa

- Đặt thời gian chuyển file log đến server xử lý log theo chu kỳ

- Thông tin log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến, độ dài

phiên kết nối, hành động …

- Người quản trị có thể lọc file log để định những sự kiện lưu tâm đến bảo mật của

hệ thống

Tính linh động và liên tác:

Người sử dụng có thể chọn lựa giải pháp của Checkpoint linh động dựa trên hệ điều hành như WinNT, Linux, Solaris hay những thiết bị phần cứng chuyên dụng của Celestix, Resilience, Nokia ..

Hỗ trợ cơ cấu mở ( OPSEC ) cho phép liên kết giải pháp CheckPoint với những ứng dụng an ninh khác như ISS, TrendMicro. Raibow, RSA, Websense…

Giới thiệu phần mềm đảm bảo tính sẵn sàng cao Rainfinity RainWall dành cho hệ thống Checkpoint

Raiwall là phần mềm đảm bảo tính sẵn sàng cao của hệ thống ứng dụng bảo mật

- trên Gateway được phát triển dựa trên chuẩn OPSEC của CheckPoint.

Tích hợp với phần mềm CheckPoint VPN-1/FireWall-1 và các ứng dụng bảo mật

- trên Gateway như Antivirus và các phần mềm bảo mật nội dung khác

- Tích hợp tính cân bằng tải cho hệ thống bảo mật

- Tăng hiệu suất thực thi của FireWall và VPN

- Tích hợp dễ dàng với bất kỳ kiến trúc nào của hệ thống bảo mật

- Kỹ thuật thông minh để xử lý lỗi xảy ra cho firewall và VPN gateway đảm bảo hệ

thống hoạt động trong suốt

- Quản lý tập trung cho hệ thống bảo mật

3.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý các thành phần của

NGX. Các client của Smart Console bao gồm:

+ Smart Dashboard: được dùng để định nghĩa và quản lý các chính sách bảo mật với quyền Security Administrator. Smart Dashboard cung cấp cho người quản trị một giao diện đồ họa đơn giản, dễ dàng định nghĩa và quản lý nhiều yếu tố của Secure Virtual Network. Ví dụ như Firewall Policy, VPN client Security gateway, Network Address Translation, Quality of Service.. Quản lý tất cả các object như user, host, network, service…. mà nó được chia sẻ giữa các ứng dụng.

+ SmartView Tracker: được dùng để quản lý, theo dõi log và thực hiện cảnh báo. Kiểm tra các quá trình kết nối vào server bằng thời gian thực. Ngoài ra, SmartView Tracker cũng ghi lại các hành động của người quản trị để giúp cho quá trình troubleshoot nhanh hơn. Nếu có sự tấn công mạng từ môi trường bên ngoài hay bên trong thì người quản trị có thể dùng SmartView Tracker để hủy hoặc tạm dừng các tiến trình này để theo dõi.

+ SmartView Monitor: Cung cấp chức năng theo dõi và thông báo về cho server.

+ Eventia Report: dùng để tạo report về traffic trong mạng theo nhiều hướng khác nhau. Để quản lý network một cách hiệu quả hay khi cần đưa ra một quyết định nào đó thì Security Administrator cần phải thu thập đầy đủ thông tin về hình dạng sơ đồ các traffic trong network. Eventia Report cung cấp cho người dùng một giải pháp thân thiện cho việc theo dõi và thẩm định traffic. Người admin có thể dùng Eventia Report để tạo ra bảng tóm tắt các traffic với nhiều định dạng khác nhau trên NGX, VPN-1 Pro, Secure Client, Smart Defense.

+ SmartLSM: dùng để quản lý nhiều Security Gateway bằng cách dùng Smart Center

Server.

+ SmartUpdate: dùng để quản lý và duy trì license. Ngoài ra nó còn giúp cho việc

update các software của CheckPoint.

3.1.2 Smart Center Server

Smart Center Server dùng để lưu trữ và phân phối Security Policy đến nhiều Security Gateway. Các Policy được định nghĩa bằng cách Smart Dashboard và được lưu trữ vào Smart Center Server. Sau đó Smart Center Server sẽ duy trì NGX database bao gồm

các network object, định nghĩa user, Security Policy, log file cho Firewall Gateway.

Khi cấu hình NGX được tích hợp tất cả vào Security Policy. Tất cả các policy được tạo ra hay định dạng sau đó được phân phối đến Security Gateway. Việc quản lý chính sách nhóm một cách tập trung nâng cao hiệu quả.

3.1.3 Security Gateway

• Security Gateway chính là firewall machine mà ở đó NGX được cài đặt vào dựa trên Stateful Inspection. Smart Console và SmartCenter Server có thể triển khai trên một hay nhiều máy tính khác nhau theo mô hình client/server.

• NGX Security Gateway có thể triển khai trên một Internet Gateway và một điểm truy cập khác. Security Policy được định nghĩa bằng SmartDashboard và được

lưu trữ vào SmartCenter Server. Sau đó một Inspection Script được tạo ra từ những policy. Inspection Code được biên dịch ra từ script và nạp vào Security Gateway để bảo vệ network.

3.2 Firewall Inspect Engine

Khi install trên một Security Gateway thì Inspect Engine điều khiển traffic tryền qua lại giữa các network. Inspect Engine được load vào OS một cách tự động và nó sẽ hoạt động giữa layer 2 và layer 3. Mô hình hoạt động khi không có Firewall Inspect Engine như sau:

Hình 3: Mô hình hoạt động khi không có Firewall Inspect Engine

Mô hình hoạt động khi có Firewall Inspect Engine như sau:

Hình 4: Mô hình hoạt động khi có Firewall Inspect Engine

3.3 SVN FOUNDATION

Nền tảng của CHECKPOINT SVN (CPSHARED) là một hệ điều

hành của Checkpoint và CHECKPOINT SVN được tích hợp trong mỗi sản phẩm của Checkpoint. Nền tảng của SVN bao gồm những thành phần sau:

 SIC ( Secure Internal Communication)

 CheckPoint Registry

 CPShared Daemon

 Watch Dog dùng cho critical Service

 Cpconfig

 License Utilities

 SNMP Daemon

3.3.1 Secure Internal Communication

- Checkpoint Secure Internal Communication là một tính năng nâng cao tính

bảo mật cho network. Nó thực hiện bằng cách bảo mật quá trình quản trị giữa các thành

phần

trong Checkpoint NGX. Quá trình quản trị giữa các thành phần trong NGX bao gồm các yếu tố sau:

 Smart Center Server

 Smart Console

 Security Gateway

 Các ứng dụng OPSEC

- Ngoài ra thì SIC cũng góp phần làm cho quá trình quản trị đơn giản hơn, giảm bớt

đi các tác vụ. Người admin chỉ cần làm một số thủ tục ban đầu đơn giản. Những lợi điểm về vấn đề bảo mật: SIC cho phép người Security Administrator xác nhận rằng một Smart Console nào đó đang connect đến Smart Center Server thì Smart Console đó được cho phép đã được thẩm định có quyền hạn connect đến Smart Center Server đó. Ngoài ra SIC cũng cho phép người administrator có thể xác nhận những chính sách bảo mật được load trên Security Gateway là được một Smart Center Server đã được thẩm định chuyển đến.

SIC cũng bảo đảm những yếu tố thông tin đi trên đường truyền không bị thay đổi và được bảo đảm toàn vẹn.SIC Certificate: Secure Internal Communication được dùng trong các thành phần của Checkpoint SVN đều sử dụng certificate cho quá trình chứng thực và quá trình mã hóa. SIC certificate được tạo ra bởi một engine của Checkpoint hay bởi những ứng dụng OPSEC và nó được truyền qua hệ thống Checkpoint NGX. Certificate được tạo

bởi một Internal Certificate Authoriy (ICA) được cài đặt sẵn trên Smart Center Server. ICA có nhiệm vụ là tạo ra certificate phục vụ cho quá trình truyền dữ liệu giữa các thành phần trong hệ thống Checkpoint và được quản lý bởi Smart Center Server. Mỗi một certificate sẽ được cấp cho một máy. VPN certificate ví dụ như certificate

dùng cho IKE dùng trong kết nối VPN thì khác so với SIC certificate. Ta không nên nhầm lẫn giữa hai dạng certificate này. Tóm lại SIC certificate chỉ dùng để secure quá trình truyền thông giữa các thành phần thành phần bên trong internal mà thôi. Ta hãy xem xét quá trình hoạt động của nó theo sơ đồ bên dưới :

Hình 6: Quá trình hoạt động của certificate trong mô hình client/server

-

ICA ( Internal Certificate Authority) có nhiệm vụ tạo ra Certificate cho Smart Center Server trong quá trình Smart Center Server được cài đặt vào Smart Center Server trong quá trình cài đặt một cách tự động.

- Những Certificate dùng cho các NGX Security Gateway và bất kỳ quá trình trao đổi giữa các thành phần đều được tạo ra thông qua quá trình khởi tạo đơn giản lúc ban đầu từ Smart Console. Thông qua quá trình lúc ban đầu, ICA được tạo ra, được kí xác nhận và phân bổ một certificate đến các thành phần giao tiếp. Mỗi module có thể thẩm

định certificate cho quá trình chứng thực.

- Quá trình liên lạc giữa Smart Center Server và các thành phần của nó được chứng thực bằng cách sử dụng các certificate và nó còn tùy thuộc vào chính sách bảo mật được định rõ trong file chính sách bảo mật trong mỗi máy. Quá trình liên lạc có thể xảy ra giữa

các thành phần bằng cách sử dụng Certificate thì ta phải dùng phiên bản thích hợp và phải chấp nhận phương pháp chứng thực và mã hóa. Smart Center Server và các thành phần của nó được định dạng bởi tên SIC của chính nó, nó cũng được biết đến như là Distinguished Name (tên dùng để phân biệt)

3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS

- Để thực hiện quá trình truyền thông SIC giữa Smart Center Server và Smart

Console, thì Smart Console phải được định nghĩa giống như việc xác định thẩm quyền để sử dụng Smart Center Server. Khi có nhu cầu sử dụng Smart Dash Board trên Smart

Console ta cần phải thông qua một số bước như sau:

 Security Administrator được yêu cầu thẩm định chính bản thân mình.

 Administrator xác định địa chỉ IP của Smart Center Server.

Smart Console vào thời điểm kết nối lúc ban đầu kết nối Smart Center Server dựa

 trên SSL.

 Smart Center Server thẩm định địa chỉ IP đó thuộc Smart Console có thẩm quyền.

 Sau đó Smart Center Server sẽ gửi một Certificate.

- Dựa trên quá trình chứng thực bằng Certificate của Smart Center Server, Secuirty Administrator bị yêu cầu thẩm định quyền hạn Smart Center Server mà Admin được connect đến. Quá trình thẩm định này được làm bằng cách sử dụng

fingerprint của Smart Center Server. Nó thực chất là một chuỗi text, nó đại diện cho giá trị hash được tính toán

từ Smart Center Server Certificate. Sau đó Administrator chấp nhận giá trị thẩm định của Smart Center Server, Administrator name và passrword được gửi về một cách bảo mật đến Smart Center Server. Username Administrator và password được dùng tiếp theo để nhận dạng và đê chứng thực user. Vào lần đầu tiên administrator tạo kết nối theo dạng SIC đến một network object nào đó thì sẽ được đệ trình một certificate và quá trình này chỉ được làm một lần. Administrator không thể thay đổi tên các network object.

CHƯƠNG 4 : IPS

4.1 Hệ thống ngăn chăn xâm nhập(IPS):

4.1.1 Khái niệm IPS

Hệ thống xâm nhập IPS(Instrusion prevention systems) là bất kỳ một thiết bị phần cứng hay phần mềm nào có khả năng phát hiện và ngăn ngừa các nguy cơ mất an ninh mạng.

IPS là thiết bị tích hợp IDS và hệ thống ngăn chặn nhằm khắc phục điểm yếu của

IDS. IPS gồm hai phần chính :

 Phần phát hiện xâm nhập chính là IDS.

 Phần ngăn ngừa xâm nhập: nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục.

 Các phương thức ngăn ngừa: Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sách điều khiển truy nhập (access control lists).

- Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử

dụng các bộ lọc gói tốc độ cao.

- Sự lạm dụng giao thức và những hành động lảng tránh những thao tác giao thức

mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits)

- Thông qua sự ráp lại thông minh.

- Các tấn công từ chối dịch vụ (DOS/DDOS) như “lụt” các gói tin SYN và ICMP

bởi việc sử dụng các thuật toán lọc dựa trên cơ sở ngưỡng.

- Sự lạm dụng các ứng dụng và những thao tác giao thức – các cuộc tấn công đã biết và chưa biết chống lại HTTP, FTP, DNS, SMTP .v.v. qua việc sử dụng những quy tắc giao thức ứng dụng và chữ ký.

- Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn

tiêu thụ tài nguyên dựa trên cơ sở ngưỡng.

4.1.2 Chức năng của IPS

Ngăn chặn xâm nhập cung cấp nhiều khả năng ở mức độ host và cả mức độ mạng và từ các mức độ khác nhau, khả năng cung cấp bởi hệ thống ngăn chặn xâm nhập gồn các thành phần chủ yếu sau:

 Phát hiện và ngăn ngừa:

Nhìn bề ngoài, các giải pháp phát hiện xâm nhập và ngăn ngừa xâm nhập xuất hiện theo kiểu cạnh tranh nhau. Về bản chất, chúng chia sẻ một danh sách các chức năng giống nhau như kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn, ráp lại các TCP- segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứng chữ ký.

Hình – Hệ thống ghi nhận lại khi có hành động scan vào ip firewall

 Phát hiện xâm nhập:

Mục đích của “phát hiện xâm nhập” là cung cấp sự giám sát, kiểm tra, tính pháp lý và báo cáo về các hoạt động của mạng. Nó hoạt động trên các gói tin được cho phép thông qua một thiết bị kiểm soát truy nhập. Do những hạn chế về độ tin cậy và những đe dọa bên trong, “Ngăn ngừa Xâm nhập” phải cho phép một số “vùng xám” (gray area) tấn công để tránh các trường hợp báo động giả. Mặt khác, những giải pháp IDS được “nhồi”

trí thông minh có sử dụng nhiều kỹ thuật khác nhau để nhận biết những cuộc xâm nhập, những khai thác, lạm dụng bất chính và các cuộc tấn công tiềm tàng. Một IDS có thể thực hiện các hoạt động mà không làm ảnh hưởng đến các kiến trúc tính toán và kết nối mạng.

Hình – Hành động scan port bị phát hiện và ghi nhận bởi hệ thống IPS

Hình – Hệ thống IPS ghi nhận hành động Ping of Death (Hping)

Bản chất bị động của IDS nằm ở chỗ cung cấp sức mạnh để chỉ đạo phân tích thông

minh các lưu lượng gói tin. Những vị trí IDS này có thể nhận ra:

- Các cuộc tấn công quen biết theo đường chữ ký (singature) và các quy tắc. - Những biến thiên trong lưu lượng và phương hướng sử dụng những quy tắc và

phân tích thống kê phức tạp.

- Những biến đổi mẫu lưu lượng truyền thông có sử dụng phân tích luồng.

- Phát hiện hoạt động bất thường có sử dung phân tích độ lệch đường cơ sở

(baseline deviation analysis).

- Phát hiện các hoạt động đáng nghi nhờ phân tích luồng, các kỹ thuật thống kê và

phát hiện sự bất bình thường.

 Ngăn ngừa xâm nhập

Các giải pháp“Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hoàn hảo – không có những báo động giả nào làm giảm năng suất người dùng cuối và không có những từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường mạng. Có lẽ một vai trò cốt yếu hơn sẽ là cần thiết để tin tưởng, để thực hiện theo cách mong muốn dưới bất kỳ điều kiện nào. Điều này có nghĩa các giải pháp

“Ngăn ngừa Xâm nhập” được đặt vào đúng vị trí để phục vụ với:

- Những ứng dụng không mong muốn và những cuộc tấn công “Trojan horse” nhằm vào các mạng và các ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và các danh sách điều khiển truy nhập (access control lists).

- Các gói tin tấn công giống như những gói tin từ LAND và WinNuke qua việc sử

dụng các bộ lọc gói tốc độ cao.

- Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) – thông qua sự ráp lại thông minh.

- Những cuộc tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng các hữu hạn

tiêu thụ tài nguyên dựa trên cơ sở ngưỡng.

Hình – Hệ thống ghi nhận lại khi có tiến trình LAND attack diễn ra trên cổng IP Firewall

Tất cả các cuộc tấn công và trạng thái dễ bị tấn công cho phép chúng tình cờ xảy ra

đều được chứng minh bằng tài liệu. Ngoài ra, những khác thường trong các giao thức

truyền thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưu lượng hợp pháp nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định.

4.2 Phân loại IPS

4.2.1 NIPS

NIPS (Network-based IPS) là loại IPS được dùng để lắp đặt vào mạng để ngăn chặn

sự xâm nhập từ ngoài mạng vào nội mạng.

Network IPS cung cấp các thành phần thực hiện trước mà có hiệu quả toàn diện trong toàn bộ khung bảo mật mạng của bạn. Sự kết hợp giữa NIPS với các thành phần như HIPS, IDS và firewall vành đai cung cấp giải pháp bảo mật phòng ngừa chiều sâu mạnh mẽ.

Việc sử dụng NIDS đặt ra một vấn đề lớn đối với mạng được xây dựng dựa trên các switch nếu không cho phép mở rộng cổng. Bằng thiết kế một chức năng chuyển mạch dựa trên nguyên lý truy cập trực tiếp tốc độ cao, chỉ truyền tải các gói một cách trực tiếp đến người nhận mà không phải toàn bộ mạng giống như mạng được xây dựng dựa vào Hub. Một số mạng bảo mật hoạt động theo cách như vậy thì không thể mở rộng cổng và

điều đó phải cần đến các bộ cảm biến, “các báo hiệu hoặc kiểm tra” được cài đặt trên từng đoạn mà không thể mở rộng cổng. Đây là một trong những điểm mà HIDS có ưu thế hơn so với NIDS vì NIDS dựa trên nền tảng mạng còn HIDS dựa trên nền tảng máy chủ. Nếu mạng của bạn không có profile chặt chẽ thì bạn hoàn toàn có thể mở rộng cổng và làm thành một bản sao tất cả lưu lượng được truyền tải trên switch đến cổng đã được mở rộng. Lưu ý, việc kích hoạt mở rộng cổng không có sẵn đối với thiết bị switch và biểu thị

khác nhau đối với từng nhà sản xuất. Việc kích hoạt chế độ mở rộng cổng cũng có thể gặp phải rủi ro nếu cổng được mở rộng đó bị kẻ xâm phạm xâm nhập theo đường này. Chỉ một số hành động nhỏ như việc mở rộng cổng cũng có thể bị kẻ tấn công thu thập được những thông tin cần thiết, từ đó có thể đột nhập vào mạng của bạn.

Một NIDS phải được mô tả như các thiết bị chuẩn có khả năng phát hiện xâm nhập mạng. NIDS cũng có thể là một gói phần mềm bạn cài đặt trên máy trạm chuyên dụng, máy trạm này được kết nối đến mạng hoặc một thiết bị có phần mềm nhúng trong và thiết

bị này cũng được kết nối vào mạng. Sau khi kết nối như vậy, NIDS có thể quét tất cả lưu lượng được truyền tải trên đoạn mạng đó; NIDS hoạt động trong rất nhiều cách

giống nhau như trong ứng dụng chống virus và phải có các file mẫu hoặc file dấu hiệu để so sánh với gói được truyền tải. IDS hoạt động theo một phương pháp phù hợp để tăng thông lượng gói, vì khi kiểm tra, các gói có thể gây ra chậm mạng. Sau đó nó sẽ sử dụng phương pháp tường lửa khi kiểm tra gói bằng cách cho qua các gói mà nó cho rằng không nguy hiểm. Quá trình này được thực hiện bởi các bộ lọc tiền xử lý.

 Lợi thế của Network-Based IDSs

- Quản lý được cả một network segment (gồm nhiều host)- "Trong suốt" với người

sử dụng lẫn kẻ tấn công

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng- Tránh DoS ảnh hưởng

tới một host nào đó.Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với OS

 Hạn chế của Network-Based IDSs - Có thể xảy ra trường hợp báo động giả (false positive),tức không có intrusion mà NIDS báo là có intrusion.Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)

- NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại.Không cho biết việc attack có thành công hay không.Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất

cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật

tốt nhất.

Một cách mà các hacker cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói

dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện

hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng.

Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.

4.2.1a Các khả năng của hệ thống xâm nhập mạng cơ sở

Kỹ thuật ngăn chặn xâm nhập có thể dừng các đường truyền xâm nhập trước khi nó xâm nhập vào mạng bởi việc đặt sensor ở lớp 2 thiết bị forwading (Switch) trong mạng.

Hình 5.2.3.1a: Triển khai Intrusion Prevention Sensor

NIPS có thể hủy đường truyền theo các cách sau :

 Hủy một gói tin: Kiểu đơn giản nhất của NIPS bao gồm việc xác định một gói tin khả nghi và hủy chúng. Các gói tin xấu sẽ không tới các hệ thống đích bởi thế mạng của bạn sẽ được bảo vệ. Tuy nhiên kẻ tấn công có thể gửi lại các gói tin xấu. Đối với mỗi gói

tin IPS cần phân tích gói tin mạng và nơi mà đường truyền cho qua hay từ chối, chi phối tài nguyên trong thiết bị IPS.

 Hủy tất cả các gói tin trong kết nối: Thay vì hủy từng gói tin một, hệ thống IPS có thể hủy toàn bộ các gói tin trong kết nối đặc biệt đối với cấu hình theo chu kỳ thời gian.

Sự kết nối được xác định tính toán các thành phần:

- - - - Địa chỉ nguồn. Địa chỉ đích. Cổng đích. Cổng nguồn (không bắt buộc).

Ưu điểm của ngắt kết nối là các gói tin đến sau tính toán kết nối có thể ngắt tự động mà không cần phân tích. Về mặt hạn chê, tuy nhiên kẻ tấn công vẫn có khả năng gửi

đường truyền mà không cần tính toán kết nối có thể ngắt.

 Hủy tất cả các đường truyền từ địa chỉ nguồn:

Cơ chế ngắt cuối cùng là ngắt tất cả các đường truyền từ địa chỉ nguồn

đặc biệt. Trong một số trường hợp, khi các gói tin khả nghi được phát hiện, nó sẽ được ngắt, cùng

với tất cả đường truyền tương ứng với địa chỉ nguồn đối với cấu hình trong chu kỳ thời gian. Bởi vì tất cả đường truyền từ host tấn công có thể bị ngắt trong vài phiên.Thiết bị IPS sử dụng ít tài nguyên. Hạn chế chính là nếu kẻ tấn công có thể giả mạo địa chỉ nguồn

và giả vờ là hệ thống quan trọng như phần thương mại, nếu bắt đầu đăng ký là khả năng

lỗi và đường truyền sẽ từ chối mạng của bạn.

Lợi ích chính của việc sử dụng NIPS là ngăn chặn tấn công đảm bảo đường truyền

bình thường và thực thi các chính sách bảo mật có hiệu quả.

4.2.1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS

Sản phẩm ngăn chặn xâm nhập mạng cơ sở dùng sensor để phân tích đường truyền mạng tại một số vị trí thông qua mạng. Các sensor này phát triển từ các kiểu nhân tố như:

Các thiết bị sensor độc lập (Standalone appliance sensors): Các thiết bị sensor độc lập cung cấp tính linh hoạt nhất khi phát tiển sensor IPS trong mạng. Các sensor này có thể triển khai tại hầu như nhiều vị trí trong mạng. Yếu điểm chính của thiết bị sensor là phải

tạo khoảng trống trong việc đặt sensor. Sensor 4200 series là một minh chứng.

Blade-based sensors: có thể tạo ưu thế của các thiết bị hạ tầng tồn tại khi triển khai thiết bị IPS. Blade-based sensors không cần khoảng trống lớn để đặt và có nhiều ưu thế của hướng đường truyền nhận từ đường đi của thiết bị hạ tầng nơi mà nó được triển khai. Một yếu điểm của Blade-based sensors là nó có thể có giá nếu như đã tồn tại thiết bị hạ tầngtrong mạng. Prevention Security Service Module (AIP-SSM).

Phần mềm Intrusion Prevention System (IPS) tích hợp trong hệ điều hành (OS) trong thiết bị hạ tầng: Khi mà phần mềm IPS được tích hợp trong thiết bị hệ tầng đang tồn tại.Các chức năng được cung cấp thường được so sánh với Blade-based sensors bởi vì thiết bị hạ tầng mang lại nhiều tránh nhiệm và đáp ứng. Sự phụ thuộc

vào môi trường mạng nó làm giảm nhiều chức năng không phải là vấn đề.

Không quan tâm đến các tác nhân trong mạng, sensor phải nhận được đường truyền mạng mà cần được phân tích. Việc bắt đường truyền biến đổi phụ thuôc vào nơi mà bạn sử dụng mode inline hay mode ngẫu nhiên. Sau khi bắt được đường truyền, sensor sẽ phân tích đường truyền phân theo các kiểu đường chữ ký sử dụng trong đường truyền mạng.

Kết quả phân tích đường truyền thực hiện bởi các sensors IPS được dùng để kiểm tra thông qua bảng hiển thị kiểm soát. Giống như các ứng dụng kiểm soát có thể cấu hình có hiệu quả đối với số lượng lớn các sensors IPS trong mạng. Việc quản lý sensor IPS thông

qua hai kiểu: Triển khai sensor nhỏ và triển khai sensor rộng lớn.

4.2.2 HIPS

Hệ thống phát hiện xâm nhập HIPS là một loại kỹ thuật tương đối mới trong thị trường bảo mật. Ngay từ ngày đầu, nó đã có nhiều lợi ích được chấp thuận và sự sử dụng và được dự đoán là sẽ phát triển nhanh chóng trong tương lai. Mặc dù có được lợi thế đó, song loại thiết bị này không được xác định rõ ràng hơn các kỹ thuật được thiết lập như

firewall và antivirus. Các tài liệu kỹ thuật còn mơ hồ, các thuật ngữ mơ hồ và sự phát triển sản phẩm nhanh chóng làm đảo lộn thị trường tới điểm mà thật là khó để xác định các sản phẩm thực sự là hệ thống phát hiện xâm nhập HIPS (Host Intrusion Prevention Systems).

HIDS được cài đặt cục bộ trên một máy tính làm cho nó trở nên linh hoạt hơn nhiều so với NIDS. HIDS có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm, máy tính notebook. HIDS cho phép bạn thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS không thể thực hiện được. Lưu lượng đã gửi tới host được phân tích và chuyển qua host nếu chúng không tiềm ẩn mã nguy hiểm. HIDS ưu việt hơn NIDS ở việc thay đổi các máy tính cục bộ. Trong khi đó NIDS tập trung vào cả mạng lớn có các host đó. HIDS cụ thể hơn đối với các nền ứng dụng và phục vụ mạnh

mẽ cho thị trường Windows trong thế giới máy tính, mặc dù vậy vẫn có các sản phẩm hoạt động trong nền ứng dụng UNIX và nhiều hệ điều hành khác.

4.2.2a Các khả năng của hệ thống ngăn chặn xâm nhập từ máy chủ(HIPS)

 Ngăn chặn các tác động có hại: Một HIPS phải có khả năng làm nhiều hơn việc

cảnh báo hay tác động vào khi các đoạn mã nguy hiểm tấn công tới các host. Nó sẽ phải có hành động ngắt các tác động của các đoạn mã nguy hiểm. Nếu các hành động này được ngăn chặn các tấn công sẽ thất bại. HIPS cũng có thể giữ việc truy nhập và

có khả năng cảnh báo bởi thế mà người dùng sẽ biết HIPS làm gì nhưng với các yêu cầu khác nhau làm cho HIPS cũng có khả năng mang lại các tác động.

 Không phá vỡ các hoạt động bình thường: Một cách khác bảo vệ các host là gỡ nó ra khỏi mạng. Không kết nối nó với mạng sẽ tạo ra sự bảo vệ nó tốt hơn nhưng host lại

lấy đi ở nó sự đáp ứng các dịch vụ thương mại trong mạng. Ngắt kết nối không phải là cách bảo mật thường dùng bởi vì nó cũng ngắt các hoạt động bình thường.

 Phân biệt giữa trạng thái tấn công và trạng thái bình thường: Sản phẩm HIPS phải đủ xác thực để xác định đúng đắn đâu là trạng thái bị tấn công và đâu là trạng thái bình

thường để từ đó mới phát hiện ra lỗi hay các cuộc tấn công kịp thời ngăn chặn.

 Dừng các tấn công mới và các tấn công không biết: Với mỗi nguy hại và tấn công mới bạn sẽ phải cần update hay xử lý cấu hình lại. Sản phẩm HIPS phải có khả năng dừng các tấn công mới và các tấn công không biết mà không cần cấu hình lại hay update đây là cách mà sản phẩm HIPS dừng các tấn công.

 Bảo vệ ngăn chặn các lỗ hổng của các ứng dụng được cho phép: Bằng một vài dấu

hiệu, HIPS phải không cho phép các ứng dụng được cho phép bị làm hại bởi các kẻ tấn công. Tuy vậy sản phẩm HIPS cũng có khả năng bảo vệ ngăn chặn các lỗ hổng của các ứng dụng được cho phép.

 Ngoài ra HIPS còn có các lợi ích khác như :

 Ngăn chặn các tấn công có hại.

 Sửa chữa đường dẫn.

 Ngăn chặn sự nhân các tấn công nội bộ.

 Đưa ra các chính sách có hiệu lực.

 Điều chỉnh các yêu cầu.

Tuy nhiên HIPS cũng có những yếu điểm đó là không tương thích với tất cả các công việc nó chỉ là phần triển khai các phòng ngừa chiều sâu và có những yếu điểm sau:

 Vấn đề về xáo trộn người dùng.

 Thiếu việc đưa thông tin hoàn thành.

 Các tấn công không nhằm vào các host.

4.2.2b Các thành phần của HIPS:

Sản phẩm HIPS có hai thành phần cơ bản:

4.2.2.1 Gói phần mềm để cài đặt tại điểm cuối

Dùng để bảo vệ nó còn gọi là client hay agent.Về bản chất HIPS agents cũng ứng dụng xử lý điều khiển truy nhập giống như vậy tới các máy tính. Sự xử lý này được tác động khi hoạt đỗngyar ra trong hệ thống và có thể chia theo các phase dưới đây:

 Nhận dạng kiểu tài nguyên được phép truy nhập: Các angets nhận dạng nguồn tài

nguyên được truy nhập. Các nhận dạng nguồn tài nguyên chung bao gồm: tài nguyên mạng, bộ nhớ, thực thi ứng dụng, cấu hình hệ thống.

 Thu thập dữ liệu về hoạt động: Sản phẩm HIPS thu thậm dữ liệu dùng một hay

nhiều cách thức: sự biến đổi nhân, sự chặn hệ thống cuộc gọi, các hệ điều hành ảo, các phân tích đường truyền mạng,

 xác định trạng thái của hệ thống: các trạng thái hệ thống bao gồm: location, user,

system.

 Tham khảo các chính sách bảo mật: Dữ liệu sẽ tập hợp về sự tấn công tài nguyên

truy nhập và trạng thái hệ thống được so sánh một hay nhiều chính sách sau:

1. Anomaly-based

2. Atomic rule-based

3. Pattern-based

4. Behavioral

5. Access control matrix

 Thực thi tác động: Đó là các trạng thái: cho phép truy nhập vào mạng hay từ chối truy nhập, trong thái nhập vào (log state), hủy gói tin, tắt máy chủ và truy vấn người dùng.

Hình 5.2.3.2 : Xử lý điều khiển truy nhập.

4.2.2.2 Hạ tầng quản lý để quản lý các agents này

HIPS agents mà có thể có một giao diện sử dụng tốt và đôi khi hoạt động không cùng

kiểu quản lý trung tâm. Tuy nhiên các lớp hoạt động HIPS yêu cầu một hạ tầng quản lý. Kiểu đặc trưng, hạ tầng bao gồm trung tâm quản lý hay điểm đầu cuối và giao diện được dùng để truy nhập vào các trạm quản lý.

1. Trung tâm quản lý:

 Trung tâm quản lý gồm 3 thành phần cơ bản. Thành phần đầu tiên đó là cơ sở dữ liệu nơi mà lưu trữ các trạng thái, chính sách, agent và các dữ liệu cấu hình khác. Thành phần thứ hai đó là khả năng trình bày trạng thái. Thành phần cuối cùng đó là chính sách quản lý. Chúng phụ thuộc vào mô hình quản lý mỗi thành phần được cài đặt trên các thành phần vật lý khác nhau.

 Cơ sở dữ liệu là thành phần quan trọng nhất của trung tâm quản lý. Nó là nơi lưu

tất cả các thông tin chính sách. Nó phải đủ mạnh để hỗ trợ các agents sử dụng nó mà không cần xâm nhập và bảo vệ đủ để chống lại kẻ tấn công. Đó là lý do mà tất cả các

công ty hoạt động cần phải có nhiều các kiểu cơ sở dữ liệu hoạt động như SQL hay ORACLE

 Điều khiển cảnh báo và trạng thái đó là điều khiển sự phân chia các trạng thái ở các trạm quản lý và bao gồm trạng thái mang và phát sinh cảnh báo.Nhờ hai trạnh thái

này mà chúng ta biết được tình trạnh mạng hoạt động ra sao, có xâm nhập hai không.

 Quản lý chính sách: đó là việc chỉnh sửa các chính sách, các chính sách bảo mật thực thi thông qua thời gian trong các đáp ứng môi trường và thay đổi trong quan hệ bảo mật. Vì vậy cần chỉnh sửa chúng cho phù hợp với sự phân phối chúng tới các agents.

2. Giao diện quản lý:

Công cụ quản lý HIPS được dùng tương tác với trung tâm quản lý được gọi là giao



diện sử dụng và có hai kiểu: được cài đặt trên giao diện người sử dụng client và giao diện web. Mặc dù giao diện người dùng thường có nhiều chức năng hơn, giao diện web thích ứng tốt hơn với nhà quản lý từ xa. Trong cả hai trường hợp sự giao tiếp giữa giao diện quản lý và trung tâm quản lý cũng được bảo vệ một các cẩn thận như sự giao tiếp giữa gents và MC.

Lợi thế của HIDS:

- Có khả năng xác đinh user liên quan tới một event.

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này.

- Có thể phân tích các dữ liệu mã hoá.



- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

Hạn chế của HIDS:

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.

- Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).

- HIDS cần tài nguyên trên host để hoạt động.

- HIDS có thể không hiệu quả khi bị DOS.

- Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên

UNIX và những hệ điều hành khác.

Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà quản trị khi nâng cấp phiên bản, bảo trì phần mềm, và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và

là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả.



Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành.

Phân tích so sánh giữa HIDS và NIDS:



Vấn đề dùng NIDS hay HIDS:

Nên dử dụng HIDS cho một giải pháp hoàn tất và NIDS cho giải pháp LAN. Khi quản lý một giải pháp HIDS yêu cầu ít hơn các kiến thức về chuyên sâu, trong khi đó NIDS lại yêu cầu nhiều đến sự quan tâm của người quản trị.

Tuy nhiên nếu cài đặt phần mềm chống virus không chỉ trên tường lửa của bạn mà nó còn được cài đặt trên tất cả các client. Đây không phải là lý do tại sao cả NIDS và HIDS không thể được sử dụng kết hợp thành một chiến lược IDS mạnh. Hoàn toàn có thể nhận thấy rằng NIDS dễ dàng bị vô hiệu hóa trong bối cảnh kẻ tấn công. Nên cài đặt nhiều nút phát hiện trong mạng doanh nghiệp của bạn bằng HIDS hơn với việc chỉ có một NIDS với một vài nút phát hiện mà chỉ quét được một đoạn. Nếu bạn quan tâm đến các máy tính cụ thể, sợ kẻ tấn công sẽ tấn công thì nên sử dụng HIDS, vì nó sẽ là một quyết định an toàn hơn và cũng tương đương như việc cài đặt một cảnh báo an toàn cho bạn.

IDS hỗ trợ bản ghi một cách chi tiết, nhiều sự kiện được ghi hàng ngày, bảo đảm chỉ có dữ liệu thích hợp được chọn lọc và bạn không bị ngập trong những dữ liệu không cần thiết. HIDS có nhiều ưu điểm về vấn đề này hơn NIDS khi sử dụng một tài khoản để ghi cho tất cả máy trên mạng. Nếu đang xem xét HIDS hoặc NIDS thì bạn phải chắc chắn rằng có một hãng chuyên đưa ra các file mẫu và kỹ thuật backup khi có lỗ hổng mới. Nếu có một băng tần LAN hạn chế thì bạn nên quan tâm đến HIDS. Nếu giá cả là một vấn đề thì bạn cũng nên xem xét đến các giải pháp. Giải pháp NIDS thường tốn kém hơn so với HIDS.

4.3 Công nghệ ngăn chặn xâm nhập IPS

4.3.1 Signature - Based IPS (Nhận diện dấu hiệu)

Một Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu biểu.Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển những Signature đề dò

tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng của mình. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là một cuộc tấn công.

Hình - Một Signature based IDS

- Signature-based IDS hiện nay rất thông dụng vì chúng dễ phát triển, IPS đi lên từ nền tảng của IDS và cách thức phát hiện các đợt tấn công cũng tương tự nhau.

Để xác định được một attacks signature, khi đó phải thường xuyên biết được kiểu dáng của attacks, một Signature-Based IPS sẽ xem packets header hoặc data payloads.

Ví dụ, một Signature có thể là chuỗi gồm nhiều sự kiện hoặc một chuỗi các bytes trong một ngữ cảnh nào đó.

Một Signature-Based IPS là một tập những nguyên tắc sử dụng để xác định những hoạt động xâm nhập thông thường. Những nghiên cứu về những kỹ thuật khéo léo nhằm tìm

ra sự tấn công, những mẫu và những phương pháp để viết file dấu hiệu.

Khi mà càng nhiều phương pháp tấn công cũng như phương pháp khai thác được khám phá, những nhà sản xuất IPS phải cung cấp những bản cập nhật (update) file dấu hiệu, giống như những nhà cung cấp phần mềm diệt virus khác cũng phải cung cấp những bản cập nhật cho phần mềm của họ.

Khi đã cập nhật file dấu hiệu thì hệ thống IPS có thể phân tích tất cả các lưu lượng. Nếu có những lưu lượng nào trùng với dấu hiệu thì cảnh báo được khởi tạo. Những hệ thống IPS điển hình thường kèm theo dữ liệu của file dấu hiệu.

 Lợi ích của việc dùng Signature-Based IPS

Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó nếu có sự trùng lắp thì xác suất xảy ra một cuộc tấn công là rất cao. Phát hiện

sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường. Phát hiện dựa trên dấu hiệu không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường. Thay vào đó nó theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng.

Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu- không phải những

mẫu lưu lượng - hệ thống IPS có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay

lập tức. Những dấu hiệu trong cơ sở dữ liệu chứa những hoạt động xâm nhập đã biết và bản mô tả của những dấu hiệu này. Mỗi dấu hiệu trong cơ sở dữ liệu có thể được thấy cho phép, không cho phép những mức độ cảnh báo khác nhau cũng như những hành động ngăn cản khác nhau, có thể được định dạng cho những dấu hiệu riêng biệt. Phát hiện sử dụng sai dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện sự bất thường.

File dấu hiệu có thể dễ dàng được người quản trị thấy và hiểu hành động nào phải được tương xứng cho một tín hiêu cảnh báo. Người quản trị bảo mật có thể có thể bật những dấu hiệu lên, sau đó họ thực hiện cuộc kiểm tra trên toàn mạng và xem xem có cảnh báo nào không.

Chính vì phát hiện sử dụng sai dễ hiểu ,bổ sung, kiểm tra, do đó nhà quản trị có những khả năng to lớn trong việc điều khiển cũng như tự tin vào hệ thống IPS của họ.

 Những hạn chế của Signature-Based IPS

Bên cạnh những lợi điểm của cơ chế phát hiện sử dụng sai thì nó cũng tồn tại nhiều hạn chế. Phát hiện sử dụng sai dễ dàng hơn trong định dạng và hiểu, nhưng chính sự giản đơn này trở thành cái giá phải trả cho sự mất mát những chức năng và overhead. Đây là những hạn chế:

Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết : Hệ thống IPS sử dụng phát hiện sử dụng sai phải biết trước những hoạt động tấn công để nó có thể nhận ra đợt tấn công đó. Những dạng tấn công mới mà chưa từng được biết hay khám phá trước đây thường sẽ không bị phát hiện.

Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết : Những file dấu hiệu là những file tĩnh tức là chúng không thích nghi với một vài hệ thống dựa

trên sự bất thường. Bằng cách thay đổi cách tấn công, một kẻ xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện(false negative).

Khả năng quản trị cơ sở dữ liệu những dấu hiệu : Trách nhiệm của nhà quản trị bảo mật là bảo đảm file cơ sở dữ liệu luôn cập nhật và hiện hành. Đây là công việc mất nhiều thời gian cũng như khó khăn.

Những bộ bộ cảm biến phải duy trì tình trạng thông tin : Giống như tường lửa , bộ cảm biến phải duy trì trạng thái dữ liệu. Hầu hết những bộ cảm biến giữ trạng thái thông tin trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn.

4.3.2 Anomaly-Based IPS (Nhận diện bất thường)

Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động ủa mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự chệch hướng hay đi

khỏi những thứ tự, dạng, nguyên tắc thông thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group profiles). Bản mô tả sơ lược nhóm người dùng thể hiện ranh giới giữa những hoạt động cũng như những lưu lượng mạng trên một nhóm người dùng cho trước.

Những nhóm người dùng được định nghĩa bởi kỹ sư bảo mật và được dùng để thể hiện những chức năng công việc chung. Một cách điển hình , những nhóm sử dụng nên được chia theo những hoạt động cũng như những nguồn tài nguyên mà nhóm đó sử dụng. Một web server phải có bản mô tả sơ lược của nó dựa trên lưu lượng web, tương tự như vậy đối với mail server. Bạn chắc chắn không mong đợi lưu lượng telnet với web server của mình cũng như không muốn lưu lượng SSH đến với mail server của bạn . Chính vì lý do này mà bạn nên có nhiều bản mô tả sơ lược khác nhau cho mỗi dạng dịch vụ có trên mạng của bạn.

Đa dạng những kỹ thuật được sử dụng để xây dựng những bản mô tả sơ lược người dùng và nhiều hệ thống IPS có thể được định dạng để xây dựng những profile của chúng. Những phương pháp điển hình nhằm xây dựng bản mô tả sơ lược nhóm người

dùng là lấy mẫu thống kê (statistical sampling) , dựa trên những nguyên tắc và những mạng neural. Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định nghĩa trong profile, hệ thống IPS sẽ phát sinh cảnh báo.

 Lợi ích của việc dùng Anomaly-Based IPS:

Với phương pháp này, kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công.

Những profile nhóm người dùng rất giống cơ sở dữ liệu dấu hiệu động luôn thay đổi khi mạng của bạn thay đổi . Với phương pháp dựa trên những dấu hiệu, kẻ xâm nhập có thể kiểm tra trên hệ thống IPS của họ cái gì làm phát sinh tín hiệu cảnh báo.

File dấu hiệu được cung cấp kèm theo với hệ thống IPS, vì thế kẻ xâm nhập có thể sử dụng hệ thống IPS đó để thực hiện kiểm tra Một khi kẻ xâm nhập hiểu cái gì tạo ra cảnh báo thì họ có thể thay đổi phương pháp tấn công cũng như công cụ tấn công để đánh bại

hệ IPS.

Chính vì phát hiên bất thường không sử dụng những cơ sở dữ liệu dấu hiệu định dạng trước nên kẻ xâm nhập không thể biết chính xác cái gì gây ra cảnh báo. Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn công từ bên trong sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account). Nếu tài khoản người dùng là sở hữu của một phụ tá quản trị đang được sử dụng để thi

hành quản trị hệ thống, hệ IPS sử dụng phát hiện bất thường sẽ gây ra một cảnh báo miễn

là tài khoản đó không được sử dụng để quản trị hệ thống một cách bình thường. Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết Profile

có thể là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường. Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là nó chệch khỏi profile bình thường. Phát hiện dựa trên profile được sử dụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát hiện được.

 Hạn chế của việc dùng Anomaly-Based IPS:

Nhiều hạn chế của phương pháp phát hiện bất thường phải làm với việc

sáng tạo những profile nhóm người dùng , cũng như chất lượng của những profile này.

 Thời gian chuẩn bị ban đầu cao.

 Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu.

 Thường xuyên cập nhật profile khi thói quen người dùng thay đổi. Khó khăn trong việc định nghĩa cách hành động thông thường : Hệ IPS chỉ thật sự tốt

được khi nó định nghĩa những hành động nào là bình thường. Định nghĩa những

hoạt

động bình thường thậm chí còn là thử thách khi mà môi trường nơi mà công việc của người dùng hay những trách nhiệm thay đổi thường xuyên.

 Cảnh báo nhầm: Những hệ thống dựa trên sự bất thường có xu hứng có nhiều false

positive bởi vì chúng thường tìm những điều khác thường.

 Khó hiểu : Hạn chế cuối cùng của phương pháp phát hiện dựa trên sự bất thường là sự phức tạp. Lấy mẫu thống kê, dựa trên nguyên tắc, và mạng neural là những

phương cách nhằm tạo profile mà thật khó hiểu và giải thích.

4.3.3 Policy-Based IPS

Một Policy-Based IPS nó sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của

một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều phương thức được ưu chuộng để ngăn chặn.

 Lợi ích của việc dùng Policy-Based IPS

 Ta có thể policy cho từng thiết bị một trong hệ thống mạng.

 Một trong những tính năng quan trọng của Policy-Based là xác thực và phản

ứng nhanh, rất ít có những cảnh báo sai. Đây là những lợi ích có thể chấp nhận được bởi vì người quản trị hệ thống đưa các security policy tới IPS một cách chính xác

nó là gì và nó có được cho phép hay không

 Hạn chế của việc dùng Policy-Based IPS.

 Khi đó công việc của người quản trị cực kỳ là vất vả.

 Khi một thiết bị mới được thêm vào trong mạng thì lại phải cấu hình.

 Khó khăn khi quản trị từ xa.

4.3.4 Protocol Analysis-Based IPS

Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các

giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload. Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức.

 Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không.

 Kiểm tra nội dung trong Payload (pattern matching).  Thực hiện những cảnh cáo không bình thường.

PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN

 MÔ HÌNH CẤU TRÚC DNS:

HÌNH – DNS TRƯỜNG ĐẠI HỌC HOA SEN

 Mô hình đề nghị đóng góp thiết lập có hỗ trợ của Firewall Checkpoint cho

trường Đại Học Hoa Sen

Hình – Mô hình đề nghị cho trường Đại Học Hoa Sen

Đặc điểm về sơ đồ mạng kiến nghị

1. Có hai cách thiết lập vùng DMZ:

+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các luồng thông tin vào mạng cục bộ.

+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng cục bộ.

Mục đích khi thiết lập một vùng DMZ để tránh sự tấn công từ bên ngoài và từ trong mạng nội bộ.

2. Cấu hình Firewall bên ngòai (External)

+ Trong trường hợp này, chúng ta có thể sử dụng 2 loại Firewall của 2 hãng khác nhau. External là Firewall Checkpoint, Internal là Firewall của 1 hãng khác.

+ Trên Firewall External, nên dùng 1 NIC nối với Switch, qua Switch kết nối với 2 line của 2 nhà cung cấp khác nhau để thiết lập cơ chế cân bằng tải, tăng sự linh hoạt và đảm bảo quy trình kết nối đến Trường Đại Học Hoa Sen, giữa các cơ sở Trường Hoa Sen, và người dùng có thể truy xuất Web của trường.

+ 1 NIC kết nối với vùng DMZ. Địa chỉ mạng IP của DMZ nên khác với mạng LAN, có thể quản lý truy cập bằng qui tắc (rule) Web and Server publishing.

Tổng quát, những yêu cầu (request) Internet và trả lời là của mạng cục bộ. Điều này giúp bảo vệ lưu lượng Internet được thực hiện tốt hơn.

Ngoài ra, việc quan trọng không thể thiếu là cấu hình IPS để phát hiện và ngăn chặn những đợt tấn công từ bên ngoài. Kích hoạt tính năng bảo vệ hệ thống bằng những rule

và tính năng được định nghĩa trong giao diện cấu hình tại Smart Console.

Kích hoạt những tính năng đã được đề cập trong phần IPS của đề án. Chúng ta có thể

phát triển thêm nếu áp dụng vào mô hình thực tế.

Chú ý : Trên Firewall Checkpoint được đặt ở biên hệ thống là Firewall cứng. Trên Firewall Checkpoint chúng ta chỉ nên cấu hình những giao thức được cho phép ra vào mạng. Những vấn đề liên quan đến user sẽ do Firewall ISA đảm nhiệm.

3. Cấu hình Firewall bên trong (Internal)

- Cho phép DMZ truy cập mạng cục bộ. Chúng ta có thể cấu hình rule cho phép chỉ có Server Smart Console có quyền kết nối và cấu hình các server vùng DMZ. Trong trường hợp có WebServer trên DMZ, cần truy cập với SQL Server mạng cục bộ. Chúng ta nên

tạo range Client gồm những địa chỉ IP của Web Server và chỉ cho những địa chỉ client được thiết lập truy cập.

Hình – Cấu hình rule trên Firewall Internal

- Chúng ta cấu hình để các Client trong mạng chứng thực bằng Radius Server Lưu ý : Tôi xin phép được đề xuất 2 trường hợp chứng thực user

- Máy Firewall không join domain, nhiệm vụ chứng thực sẽ được gửi yêu cầu đến

cho RADIUS Server đảm nhiệm.

- Máy Firewall join domain, dùng cơ sở dữ liệu trên domain để chứng thực user. Khi

đó chúng ta không cần dựng thêm 1 Radius Server. Ở mô hình này chúng tôi đề xuất phương án dựng thêm 1 Radius Serer để tăng tính bảo mật vì Firewall được đặt ở biên hệ thống Internal, dù hacker có truy xuất đến được ISA nhưng vẫn không tìm được toàn vẹn cơ sở dữ liệu bên trong vì cơ sở dữ liệu user

được đặt ở máy Domain Controller.

.

Chúng tôi xin phép được khái quát về áp dụng các tính năng bảo mật tối ưu của

Firewall Checkpoint cho hệ thống mạng:

1) Thiết lập các Rule, Security Policy quản lý các mạng con trong hệ thống của trường. Bảo mật hơn cho mạng wifi bằng các tính năng ngăn chặn tru nhập những website độc,

và giới hạn thời gian, quyền truy nhập của Users…

2) Tính năng đáng kể IPS (Instrusion prevention systems) cần được sử dụng bảo vệ các

Server hệ thống, nhằm phát hiện và ngăn chặn sự tấn công của tội phạm an ninh mạng, những tác nhân có nguy cơ gây ảnh hưởng đến uy tính nhà trường cũng như lợi dụng Website Hoa Sen để phát tán mã độc hại.Chúng ta có thể thiết lập Module đặt trước WebSever, MailServer và một Module đặt tại biên hệ thống.

3) Sử dụng chức năng ISP Redundancy để đảm bảo tính sẵn sàng của hệ thống

cũng như đảm bảo điều kiện kết nối Internet cho sinh viên và giảng viên nhằm tăng chất lượng dạy và học của trường.

4) Cơ chế Load Balancing cũng không kém phần quan trọng, cần được áp dụng triệt để để tăng năng suất làm việc cho các Server, đặt trưng là Server đăng ký môn học trực

tuyến. Tránh tình trạng tắt nghẽn và quá tải lượng truy cập mạng.

5) Web nội bộ trường Đại Học Hoa Sen chỉ có thể được truy cập đối với những cá nhân có chức trách. Sử dụng tính năng bảo mật của Firewall Checkpoint để luôn đảm bảo sự nghiêm ngặt trong mỗi lần truy cập.

PHẦN 6: TÀI LIỆU THAM KHẢO

1. CheckPoint_R70_ReleaseNotes, August 27, 2009.

2. CP_R70_Firewall_AdminGuide, March 5, 2009.

3. CP_R70_IPS_AdminGuide, 701682 March 8, 2009.

4. CP_R70_PerformancePack_AdminGuide, March 8, 2009.

5. CP_R70_Security_Management_AdminGuide, 701676 March 8, 2009.

6. CP_R70_UserAuthority_AdminGuide, March 8, 2009.

 Công cụ hỗ trợ:

1. Check_Point_SmartConsole_R75_Windows