sacombank security solution 2.0

Sacombank ProjectDƯ AN XÂY DƯNG

HỆ THỐNG BẢO MẬT

C O N F I D E N T I A L T O F P T A N D S A C O M B A N K ,

04/12/23

Sacombank Network security Security network solution for Sacombank

Saved: 12/04/2023Version: 2.0

I.MỤC LỤC

I. MỤC LỤC..........................................................................................................................................................I

II. HIỆN TRẠNG VÀ MỤC TIÊU DƯ AN.......................................................................................................................1

1 GIỚI THIỆU TỔNG THỂ......................................................................................................................................1

1.1 Xác định các kẽ hở và nguy cơ của hệ thống mạng................................................................................1

1.2 Mô tả cấu trúc tổng quát hệ thống...........................................................................................................2

1.3 Phân hệ máy chủ ứng dụng........................................................................................................................2

2 MÔ TẢ CẤU TRÚC MẠNG SACOMBANK...............................................................................................................2

3 CAC MỐI ĐE DỌA TIỀM NĂNG VỚI HỆ THỐNG....................................................................................................5

4 PHÂN TÍCH CHÍNH SACH BẢO MẬT CHO SACOMBANK.........................................................................................6

4.1 Xác định trách nhiệm của mọi người trong hệ thống với chính sách bảo mật...................................6

4.2 Xác định các tài nguyên cần được bảo vệ................................................................................................7

4.3 Xác định các mối đe doạ đối với hệ thống...............................................................................................7

4.4 Xác định trách nhiệm và mức độ sử dụng của từng người sử dụng trong mạng................................9

4.5 Xác định các công cụ để thực thi các chính sách bảo mật...................................................................10

4.6 Xác định các hành động khi chính sách bảo mật bị xâm phạm..........................................................10

5 ĐỀ XUẤT GIẢI PHAP BẢO MẬT.........................................................................................................................10

6 CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT ĐỀ NGHỊ.....................................................................................................14

6.1 Công nghệ và giải pháp Firewall khuyến nghị......................................................................................14

6.2 Giải pháp Firewall đề nghị cho SACOMBANK.........................................................................................19

6.3 Giải pháp phát hiện và chống xâm nhập IDS.........................................................................................22

6.4 Giải pháp phát hiện và phòng chống Virus............................................................................................25

6.5 Giải pháp sử dụng InterScan VirusWall khuyến nghị cho Sacombank...............................................28

6.6 Hệ thống dò tìm lỗi bảo mật khuyến nghị cho tòan hệ thống (Scanner)..........................................33

III. PHÂN CHIA QUA TRÌNH TRIỂN KHAI.................................................................................................................36

1. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN I.................................................................................................................36

2. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN II................................................................................................................36

3. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN III...............................................................................................................41

4. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV...............................................................................................................42

4.1 Sử dụng VPN cho các kết nối từ người dùng và chi nhánh vào các máy chủ dữ liệu.......................42

4.2 Một số kiểu kết nối của VPN....................................................................................................................42

Commercial in confidence to Sacombank and FPT HCM Branch.Not for distribution without express prior approval from FPT Corp Page I



4.3 Đề xuất thiết kế VPN cho mạng Sacombank.........................................................................................45

4.4 Tổng kết mô hình khuyến nghị triển khai hệ thống bảo vệ mạng Sacombank................................47

III. ĐANH GIA GIẢI PHAP......................................................................................................................................49

IV. PHỤ LỤC........................................................................................................................................................50

1 CAC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG.....................................................................................50

2 PHƯƠNG THỨC TẤN CÔNG IP SPOOFING DẠNG SMURF...................................................................................53

3 CAC PHƯƠNG THỨC KHAC VÀ NGUYÊN TẮC PHÒNG CHỐNG..............................................................................54

3.1 Các phương thức tấn công thông dụng..................................................................................................54

3.1.1 Phương thức ăn cắp thống tin bằng Packet Sniffers...................................................................................................54

3.1.2 Phương thức tấn công mật khẩu Password attack.......................................................................................................55

3.1.3 Phương thức tấn công bằng Mail Relay...............................................................................................................................55

3.1.4 Phương thức tấn công hệ thống DNS....................................................................................................................................55

3.1.5 Phương thức tấn công Man-in-the-middle attack..........................................................................................................55

3.1.6 Phương thức tấn công để thăm dò mạng...........................................................................................................................55

3.1.7 Phương thức tấn công Trust exploitation...........................................................................................................................56

3.1.8 Phương thức tấn công Port redirection...............................................................................................................................56

3.1.9 Phương thức tấn công lớp ứng dụng.....................................................................................................................................56

3.1.10 Phương thức tấn Virus và Trojan Horse...............................................................................................................................56

3.2 Các phương thức bảo mật ứng dụng Cisco IOS......................................................................................57

3.2.1 Ví dụ 1:..................................................................................................................................................................................................... 57

3.2.2 Ví dụ 2:..................................................................................................................................................................................................... 58

Commercial in confidence to Sacombank and FPT HCM Branch.Not for distribution without express prior approval from FPT Corp Page II



II. HIỆN TRẠNG VÀ MỤC TIÊU DƯ AN

1 GIỚI THIỆU TỔNG THỂ

Cho đến hết năm 2003, Ngân hàng Sacombank đã hình thành triển khai kết nối mạng WAN tới nhiều Tỉnh và Thành phố gần 12 đơn vị cấp Quận thuộc 03 Thành Phố lớn ( Hà nội, TP HCM và Đà Nẵng), Sacombank đang từng bước xây dựng hệ thống mạng trục chính kết nối 3 trung tâm – 3 Thành phố lớn Hà nội, Đà Nẵng, TP HCM, kết nối xuống các chi nhánh cấp dưới theo mô hình phân cấp, do yêu cầu phát triển các dịch vụ ngân hàng mới, mạng WAN này cần phải kết nối và trao đổi thông tin với mạng Internet toàn cầu và với mạng của các đơn vị khác ở Việt nam. Do vậy Sacombank đã quyết định xây dựng 2 cổng kết nối ra Internet và các tổ chức bên ngoài. Trong đó cổng chính lắp đặt tại TP HCM là trọng điểm phát triển công nghệ nền tảng cho toàn bộ công đọan phát triển mạng WAN trong tương lai của Sacombank .

Công tác chuẩn hoá và tăng cường ANTH chủ yếu sẽ gồm có 3 nhóm nhiệm vụ lớn với những nội dung sau đây:

1.1 Xác định các kẽ hở và nguy cơ của hệ thống mạng

-Tìm ra vị trí chính xác của những kẽ hở, nơi có khả năng tự phát sinh sự cố từ bên trong hoặc bị lợi dụng tấn công từ bên ngoài

-Chỉ ra cụ thể nhưng mối đe dọa hoặc tiềm tàng nguy hiểm đối với sự an toàn của hệ thống thông tin

-Rà soát lại hàng rào pháp lý ANTH

Thi hành các biện pháp kỹ thuật và tổ chức

-Xây dựng và thi hành các luật, chính sách, quy chế về thông tin và ANTH

-Tuyên truyền giáo dục ANTH, nâng cao nhận thức của lãnh đạo và mọi người

-Trang bị kiến thức và các thiết bị, phần mềm an ninh tin học

-Áp dụng các tiêu chuẩn ANTH trước khi các nguy hiểm có thể bùng phát

-Thường xuyên kiểm tra hoạt động ở mọi khâu của hệ thống thông tin

-Thành lập trung tâm cứu hộ, sẵn sàng đối phó các tai họa

-Sao chép và lưu trữ dữ liệu ở vài nơi an toàn

Commercial in confidence to Sacombank and FPT HCM Branch.Not for distribution without express prior approval from FPT Corp Page 1



1.2 Mô tả cấu trúc tổng quát hệ thống

Cấu trúc bảo mật mạng dự kiến xây dựng sẽ dựa trên cấu trúc mạng bao gồm các phần sau:

Phân hệ kết nối Internet và truy cập từ xa

Phần này được trang bị các thiết bị kết nối Gateway Cisco Router riêng kết nối với mạng Internet, cho phép mở rộng và nâng cấp tốc độ cổng kết nối Internet tuỳ theo nhu cầu phát triển. Người dùng truy nhập vào mạng được xác thực tuỳ theo quyền truy nhập để vào mạng nội bộ hoặc Internet và CSDL dùng để xác thực được quản lý tập trung trên máy chủ ACS đặt ở vùng quản trị hệ thống.

Phân hệ mạng DMZ

Gồm hệ thống máy chủ Web, E-mail, dành cho khách hàng, nội bộ truy nhập, trên máy chủ Web gồm có các hệ thống giao dịch trên WEB của Ngân hàng, Internet Banking, home Banking, các thông tin quảng cáo, tra cứu các sản phẩm của Sacombank, các hệ thống đào tạo, dạy học điện tử nội bộ. Máy chủ Email của các tài khoản nội bộ hay khách hàng, máy chủ Web được cài các bộ lọc theo các nội dung, các địa chỉ trang WEB, ngoài ra tại khu vực này còn có các máy chủ Virus để kiển tra Virus đối với các thông tin vào ra Internet.

1.3 Phân hệ máy chủ ứng dụng

Các máy chủ ứng dụng chứa các CSDL dành cho các ứng dụng , hết sức quan trọng do vậy khu vực này cần được đảm bảo mức độ an ninh bảo mật cao.

Phân hệ quản trị mạng

Bao gồm các máy chủ quản trị an ninh, máy chủ xác thực , máy chủ quét các dịch vụ trên mạng (IDS)

Phân hệ kết nối ra bên ngoài (EXTRANET)

Dành cho các kết nối từ các đơn vị bên ngoài hoặc bên ngòai truy cập vào mạng của Ngân hàng Sacombank

Phân hệ máy chủ CSDL

Các máy chủ ứng dụng chứa các CSDL chính, hết sức quan trọng do vậy khu vực này cần được đảm bảo mức độ an ninh bảo mật cao nhất.

Phân hệ kết nối WAN của SACOMBANK

Phần kết nối vào cổng Gateway Firewall, nhằm bảo vệ các giao dịch từ bên ngoài vào




2 MÔ TẢ CẤU TRÚC MẠNG SACOMBANK

Hệ thống mạng của Sacombank là một hệ thống WAN lớn, có khuynh hướng mở rộng rất cao. Đây là một hệ thống mạng kết nối xuyên suốt giữa hội sở chính, 15 chi nhánh và phòng giao dịch với nhau, đồng thời kết nối ra Internet để thực hiện các giao dịch với khách hàng. Cơ sở dữ liệu ngày càng phát triển lớn hơn cùng với nhu cầu ứng dụng công nghệ thông tin cao đòi hỏi nhất thiết phải có các giải pháp để bảo đảm an toàn an ninh cho toàn bộ hệ thống mạng.

Hội sở chính hiện đã có 2 đường leased line 2048 Kbps đến bưu điện. Các chi nhánh kết nối với Data Center qua kênh riêng leased line 128 Kbps và theo 2 đường leased line 2048Kbps đề kết nối về hội sở. Ngoài ra, còn có đường backup để kết nối các chi nhánh với hội sở chính qua mạng PSTN. Khi đường leased line xảy ra sự cố, đường backup này được bật lên đảm bảo liên lạc trao đổi thông tin liên tục giữa chi nhánh và trung tâm của Sacombank. Các phòng giao dịch kết nối với chi nhánh qua mạng PSTN.

Sơ đồ chi tiết kết nối mạng Sacombank:

Hệ thống mạng trung tâm của Sacombank là trung tâm tích hợp dữ liệu hệ thống ,trung tâm lưu trữ cũng như giao dịch của toàn bộ hệ thống của Sacombank.

Cấu trúc hệ thống mạng Sacombank:




Hội sở (trung tâm):

Đây là trung tâm tin học của Sacombank., khu vực này tập trung toàn bộ cơ sở dữ liệu của Sacombank. Toàn bộ các server cũng được tập trung tại đây. Hiện có khoảng 5 Servers và 200 clients.

Sơ đồ như sau:

Chi nhánh loại I:

Có khoảng 15 chi nhánh. Mỗi chi nhánh là một mạng LAN kết nối với trung tâm. Cơ sở dữ liệu được tập trung về chi nhánh. Các giao dịch tại chi nhánh đều phải qua trung tâm. Mỗi chi nhánh có khoảng 30-40 users (tại Thành Phố HCM) và khoảng 10-15 users đối với các chi nhánh ngoại tỉnh.




Chi nhánh loại II (Phòng giao dịch):

Tại phòng giao dịch có một số máy để thực hiện công tác giao dịch với khách hàng

Đặc điểm của hệ thống mạng SacomBank:

Hệ điều hành và các ứng dụng chính:

Hệ điều hành: Hiện tại các server đang chạy hệ điều hành Windows 2000 Theo định hướng của Cục tin học ngân hàng tương lai các hệ thống máy chủ Ngân hàng sẽ xây dựng trên nền tảng Unix

Cơ sở dữ liệu : Hiện tại đang sử dụng MicroSoft SQL Server, tương lai sẽ chuyển sang sử dụng Oracle.

Các máy tính cá nhân: Chủ yếu chạy hệ điều hành Windows9x, Windows2000, WindowsXP. Không có PC chạy hệ điều hành cũ hơn Windows9x.

Thư điện tử: Sử dụng mail nội bộ có cổng offline ra ngoài, thuê dịch vụ của FPT, sử dụng phần mềm Mail Daemon. Sắp tới, hệ thống thư điện tử cũng sẽ được chuyển sang online.

Các ứng dụng an toàn thông tin: Hiện tại chưa triển khai ứng dụng hay thiết bị nào để đảm bảo an toàn an ninh mạng, ngoại trừ phần mềm chống virus Norton Corporation. Phần mềm chống virus này có một số hạn chế về việc update thông tin virus mới cũng như là các dịch vụ hỗ trợ. Đây chỉ là giải pháp tạm thời trên các PC đơn lẻ trong hệ thống mạng.

Hệ thống đề xuất cần xác định các giai đọan xây dựng nhằm đảm bảo xây dựng hệ thống ngày càng tòan diện đi đôi với khả năng nâng cao khả năng quản trị cho nhân viên quản trị theo từng quy trình đồng bộ hiệu quả cao.

3 CAC MỐI ĐE DỌA TIỀM NĂNG VỚI HỆ THỐNG

Hoạt động của ngân hàng SacomBank trải dài khắp miền đất nước với số lượng nhân viên lớn. Khối lượng thông tin xử lý trong hoạt động nghiệp vụ rất lớn. Tuy nhiên không phải ai cũng có quyền truy nhập những kho thông tin này. Do đó ngân hàng SacomBank có nhu cầu xây dựng một hệ thống bảo mật cho mạng tin học phục vụ điều hành, kinh doanh. Hệ thống bảo mật này phải đảm bảo các yêu cầu sau:

Bảo đảm an toàn cho toàn bộ thông tin trên mạng, chống lại mọi sự truy nhập

bất hợp pháp vào mạng. Sự truy nhập ở đây sẽ được tiến hành khi ngân hàng

SacomBank kết nối ra Internet.

Kiểm soát được mọi hành động truy nhập vào mạng của người sử dụng. Đảm bảo

an ninh từ những người sử dụng bên trong ngân hàng SacomBan.




Có khả năng bảo đảm an toàn dữ liệu truyền, nhận qua các dịch vụ đường

truyền do bưu điện cung cấp (PSTN). Có giải pháp hữu hiệu ngay khi mạng ngân

hàng SacomBan bị thăm dò để truy nhập.

Chi phí phù hợp với dự trù kinh phí của ngân hàng SacomBank.

Đáp ứng được khả năng mở rộng của mạng ngân hàng SacomBank trong tương

lai: mở rộng về số lượng máy trạm, số lượng máy chủ, các mạng LAN và các ứng

dụng.

Tuy nhiên, hiện tại vấn đề an ninh của mạng ngân hàng SacomBank vẫn chưa đạt được những yếu tố đó:

Ngân hàng SacomBank chưa có một chính sách an ninh mạng thực sự nào được

áp dụng. Điều này dẫn đến việc tổ chức, quản lý và sử dụng mạng không đúng

theo ý muốn của quản trị mạng và dễ dàng gây nên các thiệt hại không lường

trước.

Mạng tin học ngân hàng SacomBank hiện tại có kiến trúc an ninh là kiến trúc

phẳng một lớp. Kiến trúc này hoàn toàn không có độ sâu bảo vệ. Nếu một điểm

nhạy cảm bị tấn công thì toàn mạng sẽ bị đột nhập tiếp tục theo phản ứng dây

chuyền một cách nhanh chóng.

Trên toàn mạng không có một cơ chế đảm bảo an ninh mạng nào. Điều này dẫn

đến việc mạng không có khả năng phân cấp, điều khiển truy nhập, không có khả

năng xác thực cấp phép người dùng, không các khả năng phản ứng lại các tấn

công và không có khả năng theo dõi toàn bộ hoạt động của mạng.

Trên toàn mạng có rất nhiều các điểm có kết nối với bên ngoài, như kết nối

chính đi Internet, kết nối với các tổ chức ngân hàng bạn và các tổ chức thanh

toán khác, kết nối với các chi nhánh nội bộ và kết nối quay số đi Internet từ các

máy trạm đơn lẻ của người dùng. Nếu không có phân loại, quy hoạch, tổ chức lại

các kết nối này thì hacker có thể lợi dụng các kết nối này để thâm nhập vào

mạng.

Quản trị mạng và người dùng chưa được đào tạo để quản lý và khai thác mạng

một cách hiệu quả, an ninh

4 PHÂN TÍCH CHÍNH SACH BẢO MẬT CHO SACOMBANK

Để phân tích chính sách bảo mật cho ngân hàng Sacombank, chúng ta phải phân tích được các vấn đề sau trong hệ thống thông tin của ngân hàng Sacombank:




4.1 Xác định trách nhiệm của mọi người trong hệ thống với chính sách bảo mật

Trách nhiệm của mỗi người phải xác định và phân tích cụ thể. Đối với mạng ngân hàng Sacombank, có thể chia nhiều mức trách nhiệm:

Người đưa ra chính sách đó phải là cán bộ phụ trách tin học của Trung tâm tin

học, cán bộ chuyên trách mảng bảo mật của trung tâm tin học và các cán bộ

phụ trách tin học tại các chi nhánh.

Tuy nhiên chính sách này còn phải phù hợp với chính sách quản lý của ngân

hàng Sacombank. Do đó còn một cấp nữa đó là những người có trách nhiệm

chấp nhận các chính sách bảo mật: Đó là những người lãnh đạo của ngân hàng,

các chi nhánh, các phòng chức năng, nghiệp vụ.

Do đặc thù của ngân hàng Sacombank nên về mặt quản trị mạng có thể có

người quản trị chính có quyền cao nhất áp dụng cho toàn bộ hệ thống và có

quyền tại tất cả các tài nguyên của hệ thống, sau đó tại mỗi chi nhánh sẽ có

quyền quản trị ít hơn phục vụ hoạt động trong mạng LAN của mình. Việc phân

tích quyền hạn của từng cấp quản trị sẽ được thực hiện khi triển khai dự án này.

Còn lại với người sử dụng thì phải xác định rõ trách nhiệm của người dùng. Họ

phải có trách nhiệm giữ gìn mật khẩu truy nhập vào mạng của họ cũng như ý

thức giữ gìn các tài nguyên thông tin khác.

4.2 Xác định các tài nguyên cần được bảo vệ

Vấn đề quan trọng là phải xác định được các tài nguyên của mạng ngân hàng Sacombank có thể bị tác động bởi hệ thống bảo mật. Các tài nguyên cần được bảo vệ:

Phần cứng: Các máy chủ của mạng, các máy trạm, các thiết bị mạng (Routers,

Access Servers).

Phần mềm: Do đặc thù của ngân hàng Sacombank là phục vụ hoạt động kinh

doanh tiền tệ trên toàn lãnh thổ Việt Nam và liên hệ chặt chẽ với các ngân hàng

nước ngoài, các tổ chức tín dụng quốc tế nên các phần mềm cần được bảo vệ:

Hệ điều hành của các máy chủ UNIX, Windows NT, Novell. Ngoài ra các chương

trình ứng dụng: quản lý hệ thống tài khoản, tín dụng, các chương trình kế toán,

tự động hoá văn phòng, truyền dữ liệu, ATM ...

Dữ liệu: Đây là phần quan trọng cân được bảo vệ nhất của ngân hàng

Sacombank. Dữ liệu này sẽ gồm có các dữ liệu tài khoản liên quan đến khách

hàng, dữ liệu kế toán, thẻ tín dụng, ATM. Các dữ liệu này rất quan trọng đối với

ngân hàng Sacombank nên sẽ phải được bảo vệ an toàn nhất.




Con người: Đó là người sử dụng tham gia vào mạng.

Tài liệu: Các công văn, báo cáo, tài liệu, sách vở, tài liệu hướng dẫn sử dụng,...

4.3 Xác định các mối đe doạ đối với hệ thống

Sau khi xác định tất cả các tài nguyên phải được bảo vệ,cần phải xác định mối đe dọa đối với các tài nguyên đó. Các mối đe doạ đó gồm có:

Những truy nhập bất hợp pháp. Việc truy nhập vào các tài nguyên của mạng chỉ

nên được thực hiện bởi những người đã xác định. Mối đe doạ chung mà mọi

người quan tâm là việc truy nhập bất hợp pháp. Đặc thù của mối đe doạ này là

sử dụng tên của người khác để truy nhập vào mạng và tài nguyên của nó. Có thể

có một số kiểu truy nhập bất hợp pháp như:

Sử dụng những chương trình dò tìm mật khẩu. Những chương trình này

nằm thường trú và bị che khuất trên mạng, nó ghi lại những lần người sử

dụng vào mạng cùng với các mật khẩu. Các mật khẩu này sau đó được

cất giữ trong một tệp tin bí mật, sau một tuần lễ, tệp này có thể chứa tới

hàng trăm tên người dùng tin và các mật khẩu riêng để sau này có thể

lấy cắp những thông tin bí mật.

Hút nạp dữ liệu (Spooling): Đây là kỹ thuật nhằm có được sự truy nhập

mạng từ xa bằng cách bịa ra một địa chỉ của một máy đã có tín nhiệm

hay "thân quen". Bằng cách này, việc khai thác những nhược điểm về an

ninh từ bên trong của hệ thống trở nên dễ dàng hơn nhiều so với từ phía

ngoài. ở trạng thái này, kẻ xâm nhập trái phép có thể cài đặt được một

chương trình dò tìm mật khẩu hay một phần mềm giả, giống như một "ô

cửa hậu" - là một đường dẫn ngược lại vào trong máy tính.

Sử dụng lỗ hổng trong phần mềm: Không có phần mềm nào là không có

lỗi. Một lỗi trong phần mềm là mối đe doạ chung của việc truy nhập bất

hợp pháp. Chính đây là lỗ hổng cho phép những kẻ thâm nhập trái phép

làm được bất kể những gì mà người chủ máy tính đã làm. Cách này hay

áp dụng với hệ điều hành UNIX vì mã nguồn của nó được phổ biến rộng

rãi.

Đối với ngân hàng Sacombank cả 3 cách này đều có thể xảy ra. Và đây là mối quan tâm lớn nhất của lãnh đạo cũng như cán bộ Tin học ngân hàng Sacombank .

Mối đe doạ bởi sự khai thác rộng rãi thông tin. Trước khi công bố hay cho phép

mọi người khai thác rộng rãi vào một nguồn thông tin nào cần phải xác định giá

trị của các thông tin đó.Việc công bố file chứa mật khẩu của người truy nhập vào




mạng sẽ gây ra một mối đe doạ lớn cho mạng. Thông tin có thể bị xâm phạm

khi:

Thông tin được lưu giữ trên máy tính.

Thông tin được truyền từ hệ thống này sang hệ thống khác.

Thông tin được lưu giữ trong tệp sao lưu (backup).

Mối đe doạ ảnh hưởng đến hoạt động bình thường của hệ thống (Denial of

Service). Mạng thông tin ngân hàng Sacombank kết nối các tài nguyên có giá trị

như máy tính, CSDL và cung cấp dịch vụ cho mọi thành viên của mạng. Tất cả

người sử dụng của mạng đều tin rằng mọi hoạt động của mạng đều làm cho

công việc của họ trở nên có hiệu quả. Nếu mạng không làm việc thì sẽ có những

mất mát trong hoạt động kinh doanh. Do đó mối đe doạ ảnh hưởng đến hoạt

động bình thường của mạng cũng cần được xem xét:

Mạng trở nên không hoạt động được bởi một khối dữ liệu lang thang.

Mạng trở nên kém hiệu quả bởi quá tải của dữ liệu.

Mạng có thể bị chia nhỏ do sự ngừng hoạt động của một thiết bị mạng.

Virus làm phá hoại dữ liệu hay hỏng một máy nào đó.

Thiết bị dùng để bảo vệ mạng có thể bị phá vỡ.

Mối đe doạ từ bên trong. Người sử dụng bên trong mạng có nhiều cơ hội hơn để

truy nhập vào các tài nguyên của hệ thống. Đối với ngân hàng Sacombank có

đặc thù lớn là do nhiều mạng LAN của trung tâm, chi nhánh kết nối vào, do đó

nếu người sử dụng trong mạng có ý muốn truy cập vào những tài nguyên của hệ

thống thì họ sẽ gây nên một mối đe doạ cho mạng. Người sử dụng bên trong có

thể được gán những quyền không cần thiết, có thể bị mất mật khẩu... và đó sẽ là

mối đe doạ lớn đối với hệ thống an toàn mạng.

Nguy cơ bị nghe trộm, thay đổi thông tin truyền đi trên mạng công cộng (PSTN).

Đây là một nguy cơ tiềm ẩn và ảnh hưởng trực tiếp đến hoạt động kinh doanh

của ngân hàng. Hacker có thể sử dụng các công cụ, thiết bị đặc biệt để móc nối

vào hệ thống cáp truyền thông của ngân hàng để nghe trộm thông tin nguy

hiểm hơn hacker có thể sửa chữa, thay đổi nội dung thông tin đó - ví dụ nội dung

của điện chuyển tiền, thanh toán... gây ra những tổn thất, mất mát nghiêm

trọng.




4.4 Xác định trách nhiệm và mức độ sử dụng của từng người sử dụng trong mạng

Trên cơ sở phân tích ở trên chính sách bảo mật của ngân hàng Sacombank phải tiếp tục trả lời các câu hỏi sau:

Ai được phép sử dụng các tài nguyên của hệ thống? Ví dụ như dữ liệu liên quan

tới tài khoản khách hàng, dữ liệu kế toán chỉ có thể do nhân viên kế toán sử

dụng.

Mức độ sử dụng thích hợp của từng người sử dụng? Cùng một sự truy nhập vào

dữ liệu tài khoản khách hàng thì có người chỉ được khai thác, có người chỉ được

cập nhất, có người chỉ được đọc một phần... tương ứng với dữ liệu kế toán. Ai

được sửa, ai kiểm soát, ai khai thác...

Ai có trách nhiệm gán quyền và mức độ sử dụng của người dùng? Do ngân hàng

Sacombank có nhiều mạng LAN và một số ứng dụng quan trọng nên người có

trách nhiệm về mặt gán quyền truy cập có thể phân cho các phòng ban liên

quan, nhưng đối với các dữ liệu quan trọng thì nên tập trung.

Ai có quyền quản trị mạng? Cả mạng ngân hàng Sacombank nên có một người

quản trị mạng có quyền lớn nhất. Mỗi mạng LAN có một người quản trị ít quyền

hơn. Tuy nhiên đối với các CSDL quan trọng thì quyền quản trị sẽ là tập trung.

Trách nhiệm của từng người sử dụng là gì? Trách nhiệm này tương ứng với trách

nhiệm về mặt công việc.

Trách nhiệm của người quản trị? Trách nhiệm người quản trị của mạng là gì

Trách nhiệm của người quản trị ở các mạng LAN của các phòng ban như thế

nào?

Cần phải làm gì với các dữ liệu quan trọng? Người quản trị phải xác định các

công việc phải làm với dữ liệu quan trọng (tài khoản khách hàng và kế toán).

Các công việc có thể là sao lưu, khôi phục dữ liệu, in ấn,...

4.5 Xác định các công cụ để thực thi các chính sách bảo mật

Ngân hàng Sacombank sẽ phải lựa chọn các công cụ để thực thi chính sách bảo mật của mình. Các công cụ này sẽ được trình bày trong giải pháp kỹ thuật.




4.6 Xác định các hành động khi chính sách bảo mật bị xâm phạm

Mỗi lần chính sách bảo mật bị xâm phạm thì hệ thống sẽ có thể bị đe doạ. Nếu không có sự thay đổi trong chính sách bảo mật thì sẽ có thể gây ra những thiệt hại đáng tiếc. Do đó chính sách bảo mật của ngân hàng Sacombank cũng nên có thêm vấn đề này.

5 ĐỀ XUẤT GIẢI PHAP BẢO MẬT

Việc đảm bảo an ninh bảo mật hệ thống là hết sức quan trọng nhất là đối với các đơn vị

kinh doanh như của Ngân hàng Sacombank , đồng thời khả năng bảo vệ nhiều lớp để

tăng cường tính bảo mật các các khu vực bên trong, nơi lưu giữ các nguồn tài nguyên

mạng có giá trị nhất. Sau đây chúng tôi xin đưa ra thiết kế mô hình bảo mật nhiều lớp

bao gồm:

- Bảo mật mức mạng: Bảo mật đường truyền - bảo mật các thông tin lưu truyền

trên mạng, việc này được thực hiện bằng các hìng thức mã hoá thông tin trên

đường truyền, các công cụ xác định tính toàn vẹn và xác thực của thông tin. Việc

này có thể thực hiện được bằng phần mềm hay phần cứng, tuy nhiên việc thực

hiện trên phần cứng (card mã hoá trên router hay thiết bị mã hoá cứng cắm

ngoài trên đường truyền) có ưu điểm hơn là giảm độ trễ của các gói tin, sử dụng

băng thông trên đường truyền hiệu quả hơn (nhất là trên WAN).

- Bảo mật lớp truy cập bao gồm:

o Bảo mật cho các đường truy nhập của người dùng quay số (dial-up):

thường áp dụng các hình thức xác thực người dùng, tạo các kênh VPN cho

các kết nối dial-up …

o Firewall/IDS : Tại các khu vực cung cấp các máy chủ truy nhập cần bố trí

các bức tường lửa (Firewall) kèm các bộ dò tìm tấn công (IDS) đảm bảo

ngăn chặn các truy nhập trái phép hay các dạng tấn công ngay từ cổng

vào mạng, điều này là rất cần thiết bởi việc sử dụng các thiết bị hỗ trợ

cho các kết nối truy nhập đồng thời lại có kết nối đi Internet.

- Bảo mật mức thiết bị: Các thiết bị mạng như Router và switch, firewall… là các

điểm nút của mạng hết sức quan trọng và cần được bảo vệ, chúng tôi khuyến

nghị sử dụng các ACL để điều khiển truy nhập trên toàn bộ các thiết bị này, đồng

thời sử dụng các thiết bị dò tìm lỗ hổng (IDS) để dò tìm xác định các dấu hiệu




tấn công vào các thiết bị mạng và các nguồn tài nguyên khác và có các biện

pháp ngăn chặn kịp thời

- Bảo mật mức máy chủ: Hệ thống máy chủ thực hiện các công việc dịch vụ khác

nhau trong mạng, có thể nói đây là nguồn tài nguyên chính hết sức quan trọng

và là mục tiêu của nhiều cuộc tấn công từ bên trong cũng như bên ngoài cũng

như ăn cắp hay phá huỷ các thông tin có giá trị được chứa trong các máy chủ

này. Việc bảo mật hệ thống máy chủ liên quan tới các công việc như:

o Bảo mật thông tin trên máy chủ : đảm bảo tính mã hoá, tính toàn vẹn và

xác thực của thông tin

o Quản trị truy nhập vào máy chủ: áp dụng các công nghệ tiên tiến như

smart card, Token…

o Chống truy nhập trái phép: sử dụng các bộ dò tìm IDS để phát hiện và

báo động kịp thời khi có tấn công hay truy nhập trái phép vào hệ thống

máy chủ.

- Bảo mật mức Hệ Điều Hành(HĐH): Việc bảo mật cho HĐH máy chủ đảm bảo cho

hệ thống làm việc ổn định,việc hoạch định xây dựng các chính sách cài đặt, cập

nhật, backup dữ liệu hay sử dụng các phần mềm bổ sung (Patch) bịt lỗ hổng trên

các HĐH là hết sức cần thiết để đảm bảo cho các HĐH và các ứng dụng chạy

trên nó được bảo vệ an ninh ngăn chặn các cuộc tấn công có thể xảy ra.

- Bảo mật ở mức ứng dụng: Đảm bảo việc truy nhập vào các dịch vụ và phần mềm

(WEB, Email, CSDL), chúng tôi khuyến nghị thực hiện các kênh bảo mật từ người

dùng đầu cuối tới các máy chủ ứng dụng để đảm bảo các tính bảo mật, toàn vẹn

và xác thực của thông tin.

Bảo mật mức CSDL: Có thể nói CSDL là lõi của toàn bộ hệ thống bảo mật thông tin, toàn bộ thông tin quan trọng mang tính chất sống còn được tập trung trên các CSDL, trong thiết kế của chúng tôi CSDL được đặt ở mức ưu tiên cao nhất

Theo dữ liệu khảo sát hệ thống mạng hiện tại của Sacombank chúng tôi khuyến nghị hệ thống tổng thể của WAN Sacombank sẽ bố trí theo mô hình sau:




Từ mô hình họach định trên chúng tôi khuyến nghị các ứng dụng và công nghệ bảo mật tiên tiến và phổ biến hiện nay nhằm đáp ứng các nhu cầu xây dựng hệ thống bảo mật chuyên dụng cho Sacombank.




6 CÔNG NGHỆ VÀ THIẾT BỊ BẢO MẬT ĐỀ NGHỊ

6.1 Công nghệ và giải pháp Firewall khuyến nghị

Công nghệ FIREWALL

Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các hệ điều hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các Router, Firewall dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall thích hợp cho hệ thống với yêu cầu về khả năng hoạt động mạnh, bảo đảm tính an ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai.

Chúng tôi khuyến nghị sử dụng giải pháp Firewall có tốc độ và độ an tòan cao của ba hãng cung cấp giải phá Firewall mạnh nhất hiện nay sau cho hệ thống Firewall lớp ngoài:

a. Giới thiệu công nghệ Firewall của Cisco

Để đáp ứng được yêu cầu đặt ra đối với thiết bị firewall lớp ngòai và với mục đích xây dựng mạng an toàn tốc độ chuyển mạch tốt nhất, chúng tôi giới thiệu các dòng sản phẩm Firewall mạnh nhất hiện nay của Cisco là dòng PIX với khả năng cung cấp khả năng an ninh, bảo mật cũng như khả năng hoạt động và độ ổn định cao cho hệ thống, hỗ trợ mạng riêng ảo - Ipsec VPN…

Độ bảo mật cao nhất : So với các hình thức bảo mật hiện nay như Proxy-based firewall chạy ở lớp ứng dụng có, thì PIX là sản phẩm có khả năng hoạt động rất mạnh mẽ, mức độ an toàn cao.

CiscoSecure PIX Firewall là một thiết bị phần cứng đã được tích hợp sẵn software bên trong và hoạt động một cách độc lập không phụ thuộc vào các yếu tố về nền tảng ứng dụng như yêu cầu về cấu hình phần cứng, môi trường hệ điều hành (Windows NT, Unix…) vì thế làm đơn giản hoá hệ thống và quản trị thiết bị được dễ dàng hơn, đồng thời nâng cao khả năng bảo mật so với các hệ thống bảo mật chạy trên các hệ thống bảo mật khác (Check point, Gardian…)

Dễ dàng quản trị và phân cấp mức độ an ninh cho hệ thống mạng bên trong nhờ yếu tố sử dụng các giao tiếp vật lý (ports) để nối đến các mạng cấp thấp, cho phép mở rộng thêm cổng giao tiếp vật lý bất kỳ lúc nào khi có nhu cầu trong tương lai. Một điểm nữa cũng khá quan trọng cần được đề cập đến là khả năng mở rộng cao và mức độ đầu tư thấp.

Hỗ trợ các thủ tục DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2, Database, SIP, H323.

Hỗ trợ cho các ứng dụng và các giao thức sau: Internet Protocol (IP), Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP), Generic Route Encapsulation (GRE), Address Resolution Protocol (ARP), Domain Name System (DNS), Simple Network Management Protocol 2(SNMP2), Boot Protocol, HyperText Transport Protocol (HTTP), Secure hypertext transport protocol (HTTPS), File Transfer protocol (FTP), Trivial File Transfer protocol (TFTP), Archie, Gopher, Telnet,POP, NetBIOS over IP (Microsoft Networking), Point-to-Point Tunneling Protocol (PPTP), SQL*Net (Oracle client/server protocol), Sun Remote Procedure Call




(RPC) services, including Network File System (NFS), Berkeley Standard Distribution (BSD)-Rcmds,AAA Server Groups.

Hỗ trợ cho các ứng dụng Multimedia, bao gồm: Microsoft NetShow, White Pine CU-SeeMe, RealNetworks RealAudio and RealVideo, Xing StreamWorks, VDOnet VDOLive, VXtreme WebTheater, VocalTec Internet Phone theo chuẩn SIP và H.323.

Hỗ trợ cho các ứng dụng Videoconferencing (H.323): Microsoft NetMeeting, Intel Internet Video Phone, White Pine Meeting Point .

Khả năng chống lại các dạng tấn công thông thường, khả năng tự bịt các lỗ hổng an ninh.

Hỗ trợ phát hiện và chống tấn công: Phát hiện các loại tấn công theo kiểu Denial Of Service, chống lại các hình thức tấn công như sync flooding, port scans, làm hỏng, thay đổi nội dung các gói dữ liệu.

Hỗ trợ Intrusion Detection System (IDS): hệ thống lưu giữ và xác định các mẫu tấn công từ đó phát hiện và đối phó với các hình thức tấn công này. Tự động phát hiện và bịt các lỗ hổng an ninh

Để tăng cường bảo mật, khả năng an ninh, PIX còn hỗ trợ các phương thức xác thực phổ biến như RADIUS và TACACS+ tích hợp với các hệ thống phần mềm khác như WebSENSE để quản lý, truy nhập các địa chỉ Internet dựa trên cơ sở dữ liệu URL, đảm bảo các kết nối vào hệ thống cần phải được xác thực trước, tăng cường khả năng xử lý đối phó với các tấn công thông thường như thăm dò, phát hiện lỗ hổng và tận dụng các lỗ hổng sẵn có để phá huỷ hệ thống.

Hỗ trợ VPN sử dụng IPSec: Phối hợp hoạt động với VPN: Khả năng điều khiển trạng thái đầy đủ (stateful control), thực hiện chức năng firewall cho các dịch vụ VPN, với dịch vụ VPN các người dùng truy nhập từ xa hoặc các văn phòng chi nhánh có thể truy nhập vào mạng của công ty qua mạng công cộng (internet) nhưng vẫn đảm bảo bảo mật và giảm chi phí kết nối, giảm tiền đầu tư thiết bị. Cisco PIX cho phép bảo mật các kết nối qua internet bằng cách tích hợp các tính năng chính của VPN như công nghệ đường hầm, mã hoá dữ liệu, bảo mật, và firewall – cung cấp một môi trường tích hợp vừa đảm bảo an ninh thông tin vừa đảm bảo tính hiệu quả cho các kết nối từ xa, các văn phòng xa, các kết nối ra mạng ngoài thông qua môi trường Internet. PIX hỗ trợ mã hoá cho IPSec – DES, 3DES. Chúng tôi khuyến nghị đối với đối tượng khách hàng, người dùng truy nhập vào mạng nội bộ qua đường kết nối quay số (đường Internet hoặc Extranet) cần thiết phải sử dụng công nghệ kênh riêng ảo (VPN) để đảm bảo tính bảo mật, toàn vẹn và xác thực của thông tin – các kết nối VPN này sẽ kết thúc tại các firewall đối với truy nhập từ Internet vào cũng như đối với những kết nối từ mạng Extranet vào

Hỗ trợ NAT và PAT:

Nguyên lý hoạt động của PIX Firewall theo hai dạng NAT và PAT. NAT (Network Address Translation) dùng để chuyển đổi một địa chỉ Internet thành một địa chỉ riêng (Private) theo dạng địa chỉ tĩnh (static) với ánh xạ 1-1, ngoài ra cho phép đổi n địa chỉ Internet thành m địa chỉ Private dưới dạng địa chỉ động (dynamic) với n<m. PAT (Port Address Translation) dùng để chuyển đổi một địa chỉ Internet thành nhiều địa chỉ Private (kết hợp với NAT – ánh xạ 1- n). nguyên lý hoạt động này rất thích hợp cho việc sử dụng nhiều giao tiếp kết nối trên PIX Firewall.




Với khả năng cho phép chuyển đổi tự động địa chỉ như thế rất hữu ích cho nhiều người dùng mà không cần thiết phải quan tâm đến việc cấp địa chỉ Internet. Đối với các host của hệ thống mạng khu vực cũng không cần thiết đăng ký với NIC (Network Information Center) vẫn có thể dùng TCP/IP để truy cập trực tiếp vào Internet bằng cách mở chế độ chuyển đổi bên trong PIX Firewall. Cách này cho phép hệ thống mở rộng dịch vụ cung cấp truy cập từ xa kết nối qua hệ thống truy cập vào Internet trong tương lai.

Hoạt động với mức độ hoạt động sẵn sàng cao nhất:

Mức độ ổn định: khả năng làm việc cực kỳ ổn định với mean time between failure (MTB) lớn hơn 60000 giờ.

Ngoài ra CiscoSecure PIX Firewall software giới hạn mức độ người dùng cùng lúc thông qua các cổng giao tiếp vật lý của nó, tránh được tình trạng xử lý quá tải làm tắt nghẽn hệ thống truy cập Internet chung cho toàn hệ thống.

Trong tương lai khi có khả năng nâng cấp lên chạy dự phòng 2 thiết bị PIX – có thể sử dụng chức năng dự phòng tiên tiến của sản phẩm PIX – Stateful failover cho phép cung cấp khả năng dự phòng thay thế nóng giữa 2 thiết bị PIX - UR hoặc giữa 1 thiết bị PIX-UR và một thiết bị PIX-FO, khi một thiết bị gặp sự cố thì thiết bị còn lại sẽ thay thế thiết bị đó để tiếp nhận và xử lý các yêu cầu đang tồn tại cũng như các yêu cầu mới, do vậy việc một trong hai thiết bị gặp sự cố không ảnh hưởng gì đến các dịch vụ đang chạy trên mạng.

Hỗ trợ giao diện quản lý qua WEB:

Hỗ trợ bới tính năng Cisco PIX Device manager (PDM): Hệ thống quản trị thiết bị PIX riêng lẻ, sử dụng Java applet để chứng thực và Secure Hypertext Transfer Protocol để bảo mật thông tin giữa PDM và PIX firewall. PDM cung cấp các chức năng sau:

+ Hỗ trợ cấu hình PIX firewall qua WEB, mà không cần sử dụng các giao diện dòng lệnh PIX firewall Command-line Interface (CLI)

+ Hỗ trợ các bước cấu hình sử dụng các wizard (start-up Wizard, VPN Wizard)

+ Cho phép quản lý PIX với các lưu đồ và dữ liệu thời gian thực, bao gồm các kết nối, IDS, thông tin về băng thông. Cho phép theo dõi thông số trong vòng 5 ngày trở lại.

+ Quản trị và cấu hình PIX tách biệt , nhưng có thể sử dụng nhiều browser trên cùng một trạm để cấu hình nhiều PIX khác nhau.

b. Giải pháp Firewall của Checkpoint

Checkpoint hiện là một trong những công ty hàng đầu trong công nghệ Firewall. Checkpoint chiếm ưu thế trong thị trường firewall với sản phẩm cùng tên.

Phần mềm Checkpoint với ưu thế cạnh tranh, là sản phẩm đáng tín cậy cho bất kỳ cơ quan nào. Bộ sản phẩm của CheckPoint gồm nhiều Module kết hợp tạo nên một giải pháp Firewall an ninh hiệu quả cho các hình thức mạng khác nhau

FireWall:




Sử dụng công nghệ “Stateful Inspection” bảo vệ được từ mức network đến mức ứng dụng trong mô hình OSI

Kỹ thuật phòng chống thông minh “SmartDefense” cho phép bảo vệ tấn công ở mức ứng dụng

SmartDefense cho phép dễ dàng cập nhật và cấu hình các phương pháp tấn công mới

Hỗ trợ phân quyền theo nhiều yếu tố host, dịch vụ hay người truy cập

Hỗ trợ phân tích log :

Quản lý tập trung cho phép quản lý nhiều firewall trên một máy tính

Quản lý thiết lập chính sách dễ dàng bằng các công cụ trực quan GUI

Hỗ trợ việc xác thực người sử dụng bằng nhiều phương pháp S/key, SecurID, OS password, RADIUS, TACACS hay những phương pháp chứng thực khác

VPN:

VPN hỗ trợ thuật toán mã hóa 3DES, AES. VPN hỗ trợ site- to site đảm bảo kênh truyền an toàn giữa các mạng Lan và an toàn giữa các mạng Lan và client –to site tạo kênh truyền an toàn giữa các máy truy cập từ xa và trung tâm. Module Secure Client cho phép bảo vệ máy truy cập từ xa tránh trường hợp tạo “backdoors” cho hacker xâm nhập vào hệ thống

Chính sách VPN và Firewall tích hợp định hướng chính sách firewall và VPN

Hỗ trợ truy cập VPN qua SSL hay Microsoft Windows L2TP/IPSec VPN Client

Tính năng quản lý(SmartCenter và GUI Client):

Quản lý tập trung với người quản trị bằng một giao diện đồ họa duy nhất

Tất cả dữ liệu log sẽ được quản lý tập trung dễ dàng phân tích và theo dõi bởi người quản trị hệ thống

Khả năng quản lý nhiều firewall trên một giao diện đồ họa duy nhất

Tính năng quản lý log:

Log sẽ được định hướng đến server chuyên dụng xử lý log

Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ reset lại log theo những thông số do người quản trị định nghĩa

Đặt thời gian chuyển file log đến server xử lý log theo chu kỳ




Thông tin log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến, độ dài phiên kết nối, hành động …

Người quản trị có thể lọc file log để định những sự kiện lưu tâm đến bảo mật của hệ thống

Tính linh động và liên tác:

Người sử dụng có thể chọn lựa giải pháp của Checkpoint linh động dựa trên hệ điều hành như WinNT, Linux, Solaris hay những thiết bị phần cứng chuyên dụng của Celestix, Resilience, Nokia ..

Hỗ trợ cơ cấu mở ( OPSEC ) cho phép liên kết giải pháp CheckPoint với những ứng dụng an ninh khác như ISS, TrendMicro. Raibow, RSA, Websense…

Giới thiệu phần mềm đảm bảo tính sẵn sàng cao Rainfinity RainWall dành cho hệ thống Checkpoint

- Raiwall là phần mềm đảm bảo tính sẵn sàng cao của hệ thống ứng dụng bảo mật trên Gateway được phát triển dựa trên chuẩn OPSEC của CheckPoint.

- Tích hợp với phần mềm CheckPoint VPN-1/FireWall-1 và các ứng dụng bảo mật trên Gateway như Antivirus và các phần mềm bảo mật nội dung khác

- Tích hợp tính cân bằng tải cho hệ thống bảo mật

- Tăng hiệu suất thực thi của FireWall và VPN

- Tích hợp dễ dàng với bất kỳ kiến trúc nào của hệ thống bảo mật

- Kỹ thuật thông minh để xử lý lỗi xảy ra cho firewall và VPN gateway đảm bảo hệ thống hoạt động trong suốt

- Quản lý tập trung cho hệ thống bảo mật

c. Giải pháp firewall Sidewinder G2 của SecureComputing

Sản phẩm Firewall Sidewinder của công ty Secure Computing được biết đến là một trong 4 sản phẩm Firewall phổ biến nhất hiện nay là : Pix firewall của Cisco, Checkpoint, Sonicwall, Sidewinder G2.

Khác với hệ thống firewall Pix và Sonicwall thông thường sử dụng cho các cổng kết nối mạng tốc độ cao, Checkpoint là dòng Firewall có thể tác động và hoạt động bảo mật cho lớp ứng dụng thì Sidewinder là sản phẩm được thiết kế có tất cả các khả năng giống các sản phẩm trên.

Hệ thống Firewall Sidewinder G2 là sản phẩm được ưa chuộng nhất hiện nay khu vực Châu Mỹ với lịch sử lâu đời về thành tích bảo vệ các hệ thống mạng có độ tin cậy cao của các tổ chức lớn tại Mỹ như:US Bank, Federal Reserve Bank, Goldman Sachs, Amgen, Southwestern Bell ,Bank of Missouri, Bank One Leasing, New York Stock Exchange, Securities Exchange Commission, Northwest Airlines, United Airlines




CERT @ Carnegie Mellon University, Government: GAO, DFAS, CIA, NSA, FBI, USAF, US Army, SPAWAR

Các tổ chức quốc tế đang sử dụng Sidewinder là :Credit-Suisse-First-Boston, Deutsche Bank, Sanwa Bank, Safra Bank, Banamex,Redbank across South America, Mexican Government (the tax division) , Japan widely deployed in organizations/government

Schroders, Swedish Government , France Telecom,Alcatel, Cap Gemini E&Y, World Health Organization…

Hệ thống Frewall Sidewinder sử dụng công nghệ lọc và ngăn chặn Hybrid khác với công nghệ Stateful Inspection mà Checkpoint, Pix đang sử dụng hiện nay. Công nghệ Hybrid là tích hợp của 5 thành phần : Packet Filter, Stateful inspection(Công nghệ tương tự Checkpoint và Pix), Generic Proxy, application proxy (khả năng bảo đảm an tòan cho lớp ứng dụng)và splitserver (Công nghệ phân tải cho firewall).

Sidewinder G2 gồm các phiên bản 25,100,250,1000,2000 và 4000. Hệ thống Sidewinder có thể triển khai dễ dàng với sản phẩm phần mềm cài lên các thiết bị máy chủ như Checkpoint hoặc cũng có thể sử dụng thiết bị bảo mật tích hợp sẳn với sản phầm SecureOS phát triển từ nền tảng Unix. Hệ thống có khả năng cung cấp dịch vụ cung lúc cho 1.000.000 kết nối cùng lúc với băng thống tối đa là 1Gb.

Sidewinder hỗ trợ các giao thức (SNMP, OSPF, RIP, NTP, ICMP, PING, etc.).và dễ dàng quản lý tập trung với các phần mềm quản lý chuyên dụng như Tivoli, Webtrend.

Hệ thống Sidewinder G2 dễ dàng triển khai so với các hệ thống Firewall khác với công nghệ Power-It-On đơn giản. Hệ thống bảo mật nội tại được thiết kế giảm thiểu tối đa chi phí quản trị và cập nhật vá lỗi.

Dễ dàng thiết lập các cơ chế tạo VPN. Cung cấp sẳn hệ thống Strikeback® intrusion detection system bên trong sản phẩm.Cung cấp giải pháp tích hợp quản trị truy cập SmartFilter tương tư giải pháp Websense.Dễ dàng thiết lập chế độ dự phòng nóng cho các thiết bị phần cứng cũng như phần mềm lõi. Đảm bảo giải pháp quản trị dễ dàng từ xa với giao diện đồ họa trên nền Windows.

Đến thời diểm hiện nay Sidewinder G2 đã được Hiệp hội bảo mật quốc tế ICSA (www.icsalabs.com) công nhận là sản phẩm bảo mật có nhiều tính năng và đảm bảo nhất với chứng chỉ mức độ : EAL 4+ mạnh nhất hiện nay.

6.2 Giải pháp Firewall đề nghị cho SACOMBANK

Giải pháp FireWall/VPN cho mạng máy tính trung tâm và Internet Gateway (Firewall lớp ngòai):

Theo cấu trúc mạng của Sacombank đã thiết kế ở phần trước . Để đảm bảo chính sách bảo mật dễ dàng và hiệu quả cho FireWall cũng như chi phí đầu tư thấp và đạt hiệu quả cao về băng thông. Giải pháp chúng tôi kiến nghị với Sacombank là sử dụng hệ thống Pix firewall phiên bản 515E cho phân hệ mạng lớp ngoài và phân mạng của trung tâm Sacombank làm 3 vùng mạng riêng

1. Vùng mạng DMZ : Web server(Public), mail server




2. Vùng server farm chứa server quan trọng của hệ thống như Database server, Application server, Report server, Web Server (Dự kiến vùng này sẽ sữ dụng Firewall riêng )

3. Vùng mạng Lan :bao gồm các máy trạm đặt tại trung tâm và các truy cập từ các chi nhánh về

Mỗi vùng mạng có tính chất khác nhau nên chính sách bảo mật khác nhau,việc phân vùng bảo mật giúp người quản trị định hướng chính sách bảo mật nhanh chóng thuận lợi.Đảm bảo hệ thống được bảo vệ tốt nhất

Ngoài ra do số lương truy cập từ nội bộ ra gateway Internet và từ các chi nhánh nối VPN về đều thông qua Firewall này do đó số lượng Licence tính chung để đầu tư cho Firewall lớp này là rất cao nếu ứng dụng Hệ thống Checkpoint cũng như Sidewinder G2 tại Vị trí này. Trong giai đọan đầu tư thứ I việc sử dụng Pix cho Internetgateway và tòan hệ thống sẽ đáp ứng các khả năng sau:

- Bảo vệ vốn đầu tư ban đầu

- Khả năng cung cấp bảo mật cao và khả năng truyền thông cao do tương thích với nền tảng mạng sử dụng thiết bị Cisco đã đầu tư trong phân hệ kết nối mạng chúng tôi đã cung cấp.

- Khả năng quản trị và thiết lập dễ dàng nắm bắt đối với nhân viên quản trị cũng như giảm chi phí chuyển giao công nghệ trong giai đọan I.

Cisco PIX Firewall 515E là sự lựa chọn phù hợp với nhu cầu của Sacombank để thiết lập hệ thống an ninh cho mạng nội bộ và cho hệ thống các máy chủ khi tiếp cận với môi trường bên ngoài qua Internet. Cisco PIX Firewall 515E hổ trợ 3 cổng giao tiếp 10/100 đủ khả năng đáp ứng cho 3 phân vùng kết nối riêng biệt gồm phân vùng bên ngoài kết nối với Router, phân vùng bên trong mạng nội bộ kết nối với Switch trung tâm và phân vùng DMZ dành cho kết nối với server cung cấp các dịch vụ công cộng như web, hosting, và FTP.

Cisco PIX Firewall cho phép lọc những địa chỉ inbound và outbound để ngăn cản việc giả mạo IP bằng việc kiểm tra địa chỉ IP nguồn của những gói dữ liệu (packet). Tính năng Flood Guard và Flood Defender giúp ngăn cản những tấn công DoS (Denial of Service) vào dịch vụ AAA hoặc thông qua giao thức TCP. Ngoài ra, PIX firewall ngăn chặn ActiveX được chèn vào những trang web hoặc ứng dụng khác và lọc những đoạn code Java nguy hiểm và Java applets bằng việc không cho download về hệ thống. Ngoài ra Cisco PIX Firewall hổ trợ nhiều giao thức khác nhau và các ứng dụng cụ thể giúp bảo vệ những truy cập SMTP từ bên ngoài vào hệ thống messaging server ở bên trong thông qua chức năng Mail Guard. PIX cũng hỗ trợ những ứng dụng multimedia như RealAudio, Streamworks, CU-SeeMe, VDO Live, Internet phone, IRC, Vxtreme và những giao thức Real Time Streaming Protocol (RTSP).

Để đảm bảo tính sẵn sàng cao (HA) cho hệ thống mạng hoạt động trong suốt tức là khi có một firewall lỗi thì hoạt động của hệ thống vẫn bình thường. Chúng tôi kiến nghị giải pháp với SaccomBank là đầu tư hai thiết bị Pix firewall 515E chạy song hành đảm bảo hệ thống hoạt động trong suốt, gia tăng hiệu suất của hệ thống bảo mật trên gateway.




Chi tiết hệ thống phần cứng thiết bị đề nghị xin tham khảo danh mục phần cứng kèm theo

Giải pháp FireWall cho hệ thống máy chủ (Server Farm Firewall):

Do tính chất quan trọng của khu vực này cũng như việc ứng dụng các ứng dụng mạng, Cơ sở dữ liệu quan trọng của Hội sở việc thiết kế hệ thống Firewall cho khu vực này cần đáp ứng các yêu cầu chính sau:

- Khả năng quản trị dễ dàng và khả năng vận hành thông suốt hiệu quả độ an tòan cao về khả năng hoạt động

- Đảm bảo khả năng bảo vệ tới lớp Application

- Khả năng mở rộng và thiết kế tính năng dự phòng nóng, phân tải trong tương lai

Hiện tại tòan bộ hệ thống Server Farm (kể cả hệ thống dự kiến sẽ mở rộng trong tương lai) sẽ khỏang 25 thiết bị do đó trong phân hệ này chúng tôi khuyến nghị hai giai pháp thích hợp và đáp ứng cao với các yêu cầu nêu ra trên là :

- Giải pháp sử dụng Checkpoint FW1/VPN1

- Giải pháp sử dụng Sidewinder G2

Giải pháp sử dụng Checkpoint Firewall

Để đảm bảo chính sách bảo mật dễ dàng và hiệu quả cho FireWall sử dụng cho khu vực Server Farm cũng như chi phí đầu tư thấp và đáp ứng khả năng quản trị chuyên sâu và chi tiết cho các ứng dụng. Giải pháp thứ I chúng tôi kiến nghị với Sacombank là sử dụng hệ thống Checkpoint Firewall cho phân hệ mạng máy chủ ứng dụng và máy chủ Database của trung tâm Sacombank làm 2 vùng mạng riêng

1. Vùng mạng DMZ : CA server (Cung cấp ứng dụng quản trị chử ký số cho các ứng dụng Ngân hàng và thiết bị mạng ), Intranet/DNS server bên trong…

2. Vùng server farm chứa server quan trọng của hệ thống như Database server, Application server, Report server, Web Server

Để đảm bảo tính sẵn sàng cao (HA) cho hệ thống mạng hoạt động trong suốt tức là khi có một firewall lỗi thì hoạt động của hệ thống vẫn bình thường. Chúng tôi kiến nghị giải pháp với SaccomBank trong giai đọan II là sử dụng hai thiết bị chạy firewall CheckPoint song hành với phần mềm HA là Rainfinity Rainwall-E RainWall sẽ dò tìm lỗi phần cứng, phần mềm, mạng đảm bảo hệ thống hoạt động trong suốt, gia tăng hiệu suất của hệ thống bảo mật trên gateway.

Giải pháp sử dụng Sidewinder G2 Firewall

Tính năng hoàn tòan tương ứng với các tính năng của hệ thống Firewall checkpoint và còn nhiều khả năng vượt trội.




Hệ thống Firewall Sidewinder hỗ trợ cài đặt sẳn trên hệ thống các thiết bị chuyên dụng hoặc cài đặt trên các dòng Server Intel thông thường với tính năng cài đặt đơn giản nhất trong các loại Firewall với công nghệ Power-It-On..

Hệ thống Firewall Sidewinder hỗ trợ sẳn công nghệ dự phòng cao đáp ứng khả năng mở rộng sau này.

Trong giải pháp này chúng tôi khuyến nghị giải pháp sử dụng thiết bị Sidewinder Firewall dòng 25 với khả năng phục vụ cùng lúc cho 50.000 transaction cùng lúc.

Danh mục thiết bị tham khảo tài liệu đính kèm

6.3 Giải pháp phát hiện và chống xâm nhập IDS

Giải pháp IDS cho mạng trung tâm

Hệ thống kiểm tra xâm nhập (Intrusion Detection System - IDS) kiểm soát tài nguyên và hoạt động của hệ thống hay mạng, sử dụng thông tin thu thập được từ những nguồn này, thông báo cho những người có trách nhiệm khi nó xác định được khả năng có sự xâm nhập.Nếu coi Firewall là hệ thống bảo vệ của cổng truy cập mạng chính thì IDS (Intruder Detection System) là các camera giám sát, theo dõi và phát hiện các hành động tấn công xâm nhập. Để đảm bảo an toàn cho hệ thống ,Sacombank nên trang bị thêm thiết bị ProventiaTM 201 của công ty hàng đầu về phần mềm và thiết bị giám sát, phát hiện và ngăn chặn xâm nhập: Internet Security System (ISS). Dựa trên kỹ thuật như phân tích protocol, đánh dấu mẫu, kỹ thuật phát hiện thông minh để đánh giá và kiểm soát các gói dữ liệu lưu thông qua mạng của Sacombank nhằm phát hiện, phòng chống và đưa ra những cảnh báo đối người quản trị hệ thống thông qua phần mềm trực quan SiteProtectorTM.

Giải pháp IDS tích hợp có thể giới thiệu giải pháp chuẩn tích hợp phần mềm IDS Real-secure của ISS với phần cứng của hãng Nokia và Proventia.

Giải pháp tích hợp trên được đánh giá cao trong thực tế triển khai về mặt bảo mật và khả năng thực thi.

- Thiết bị Proventia A201 được tổ chức NSS xếp loại 1 trong các dòng sản phẩm Appliant tích hợp với phần mềm IDS hoạt động trên đường truyền tốc độ 100MB.

- Thiết bị Proventia A201 hoạt động thử nghiệm trên mạng 100Mbps do NSS Group thực hiện, có thể phát hiện 100% các kiểu tấn công.

- Tương tự khi sử dụng phần mềm ISS Real-secure trên server sẽ sử dụng phần mềm SiteProtector để quản lý tập trung, thiết bị Appliant cho ISS Real-secure dễ dàng quản lý bằng phần mềm SiteProtector.

- Có khả năng cập nhật thường xuyên với hệ thống lưu trữ các đặc điểm bảo mật mới nhất X-Force của tổ chức ISS




- Các dòng sản phẩm Proventia A có khả năng hổ trợ tốc từ 100Mb/s đến 2000Mb/s và phục

Giải pháp phát hiện chống xâm nhập mạng sử dụng ProventiaTM A201

Đặt điểm của thiết bị ProventiaTMA201

Hoạt động trong môi trường tốc độ cao Gbps

Được phát triển dựa trên kỹ thuật RealSecure nên có khả năng phát hiện khoảng 1700 dấu hiệu tấn công biết được đồng thời hỗ trợ phát hiện những dấu hiệu tấn công chưa được biết trước đó.

Phát hiện và tự động đáp trả các hành động tấn công

Phân tích gói tin ở mức application

Đảm bảo tính toàn vẹn

Nhận diện tấn công một cách chính xác

Không làm giảm thông luợng

Dễ dàng triển khai và quản lý

Phân tích và lọc các gói đã được mã hóaĐược quản lý tập trung và thiết lập policy dễ dàng bằng phần mềm SiteProtectorTM

Giải pháp bảo vệ và phát hiện xâm nhập cho máy chủ

Module phần mềm RealSecure Server Sensor đảm bảo phát hiện xâm nhập và bảo vệ máy chủ khỏi xâm nhập trái phép

Theo dõi file log để phát hiện xâm nhập

Theo dõi hoạt động của các tiến trình và các user trên hệ thống

Chống lại các tấn công vào hệ điều hành của server

Phát hiện các dò tìm bất hợp pháp, các thay đổi cấu hình dẫn tới mất an toàn hệ thống, các hành vi thay đổi nội dung trang Web, các cuộc tấn công DoS, các hành vi tạo ra backdoor...

Không làm ảnh hưởng đến tốc độ xử lý của CPU

Hoạt động của RealSecure Server Sensor

Làm cứng hệ thống để chống lại các hành động tấn công

Chặn các tấn công không theo giao thức IP




Chống các tấn công dạng DoS, DDoS

Chống lại các hành vi trinh sát tấn công, thu thập thông tin bất hợp pháp.

Các hình thức đáp trả tấn công:

Ngắt session gây ra tấn công

Cấm user hoạt động

Thực hiện các chương trình được định nghĩa trước để chống tấn công

Block các gói tin bị nghi là dùng để tấn công, trinh sát

Giải pháp dò tìm bảo vệ cho máy truy cập từ xa và máy tính quan trọng trong mạng

Module phần mềm RealSecure Desktop đảm bảo dò tìm và bảo vệ máy truy cập từ xa hay máy có nguy cơ bị tấn công trong hệ thống mạng SacomBank

Tường lửa cá nhân

Ngăn chăn các tấn công phá họai.

Ngăn chặn đánh cắp mật khẩu.

Ngăn chặn việc kích hoạt các ứng dụng không được phép

Ngặn chặn các phá hoại đã vượt qua được hệ thống FW và anti-virus

Giải pháp dò tìm lỗ hỗng trong hệ thống mạng

Module phần mềm Internet ScannerTM thành phần này đảm bảo việc phân tích dò tìm lỗ hỗng của hệ thống mạng trung tâm Sacombank

Dò quét và phân tích các nguy cơ bảo mật của các thiết bị trong hệ thống mạng

Internet Scanner thực hiện việc quét các dịch vụ truyền thông, hệ điều hành, routers, e-mail, Web servers, firewalls và các ứng dụng.

Đảm bảo độ chính xác của cấu hình an ninh, ngăn ngừa việc user bỏ qua các qui định về an ninhGiải pháp dò tìm điểm yếu cơ sở dữ liệu khuyến nghị thêmModule phần mềm Database Scanner™ Thành phần này đảm bảo việc dò tìm lỗ hỗng bảo vệ Thiết lập và bắt buộc thực hiện chính sách an ninh đối với database

Xác định các điểm yếu bảo mật của hệ thống database

Kiểm tra trước các hành động xâm nhập.




6.4 Giải pháp phát hiện và phòng chống Virus

Công nghệ Antivirus chuyên dụng:

Hầu hết những người phụ trách IT trong các công ty hàng đầu trên thế giới đều nhận ra

rằng virus máy tính là mối đe doạ chính hiện nay trong lĩnh vực bảo mật thông tin.

Nhiều người trong số họ tin rằng việc lây nhiễm virus có thể dẫn đến thiệt hại nặng nề

về mặt năng suất lao động (productivity). Tuy nhiên, tất cả trong số họ đều không biết

làm cách nào để đối phó hữu hiệu với virus. Trước đây, đa số người dùng thường chỉ

quan tâm đến việc phòng trừ virus trên desktop. Ngày nay, Internet là nguồn lây nhiễm

virus chính, đặc biệt là email. Theo ICSA (Tổ chức quốc tế về bảo mật máy tính -

International Computer Security Association), trong năm 2000, 87% trường hợp lây

nhiễm virus là thông qua emai. Do đó, các sản phẩm anti-virus thế hệ thứ hai dành cho

server sẽ là thứ vũ khí tăng cường đáng tin cậy nhất để bảo vệ doanh nghiệp chống lại

mối đe doạ về virus - một giải pháp tập trung và thống nhất trong việc phòng chống

virus và phòng chống virus trên desktop chỉ là mức cuối cùng của hệ thống anti-virus.

Trước đây, rất nhiều công ty phải đối mặt với các lỗ hổng bảo mật do không có các chính sách bảo mật (security policy) thích hợp. Chính vì vậy, Trend Micro đã tập trung nghiên cứu và đưa ra giải pháp quản lý và bảo vệ tập trung dành cho tất cả các nút mạng từ Internet gateway, email server cho tới các LAN server và desktop thông qua trình duyệt Web browser.

Tổng quan giải pháp công nghệ của Trend Micro

Trend Micro đưa ra dòng sản phẩm anti-virus dành cho doanh nghiệp. Nó bảo vệ doanh nghiệp tại tất cả các điểm trong mạng. Sử dụng nhiều công nghệ quét, bao gồm cả so mẫu, kiểm soát hành vi dựa vào tập luật (rules-based behavior monitoring), các sản phẩm này có thể bảo vệ doanh nghiệp khỏi các loại virus, các vi trình (applet) Java và ActiveX. Công cụ Trend Virus Control System được thiết kế nhằm quản lý các sản phẩm của Trend Micro một cách tập trung, thậm chí ở một chừng mực nào đó nó còn có thể quản lý được cả các sản phẩm diệt virus của hãng thứ 3 có mặt trong LAN. Các sản phẩm của Trend Micro có thể được triển khai trên nhiều hệ điều hành khác nhau như Netware, HP-UX, Sun, AS/4000…

- Trend Virus Control System (TVCS) - Ðây là hệ thống quản lý giúp người quản trị thiết lập cấu hình, kiểm soát, điều khiển và duy trì tất cả các sản phẩm diệt virus của Trend Micro được cài trên toàn bộ mạng của doanh nghiệp một cách tập trung. Nhờ có VCS, công tác quản trị đưa ra chính sách anti-virus có thể được thực hiện một cách tập trung từ một server. Hiện nay Trend Micro đã đưa ra một phiên bản mới của TVCS được gọi là Control Manager. Điểm cải tiến nổi bật của Control Manager là được tích hợp công nghệ mới OPP (Outbreak Prevention Policies) - công nghệ này sẽ được giới thiệu sau.

- InterScan VirusWall - Ðây là công cụ quét được thiết kế nhằm ngăn chặn virus và các đoạn mã chương trình có khả năng phá hoại ngay từ cổng Internet. Nó gồm có 3 thành phần: FTP VirusWall, HTTP VirusWall và Email VirusWall. Mỗi thành phần tương ứng với tên gọi sẽ quét dựa trên một số các giao thức Internet phổ biến nhất hiện nay




như File Transfer Protocol - FTP, Hipertext Transfer Protocol - HTTP, Simple Mail Transfer Protocol - SMTP. Phần mềm này tự động quét các file, thư điện tử, các kết nối Web nhằm phát hiện, diệt trừ virus và các đoạn mã chương trình xấu.

Ðể tăng thêm tính năng hoạt động cho InterScan VirusWall, Trend đưa ra thêm một module phần mềm plug-in có tên là InterScan eManager. Module này cho phép lọc email theo nội dung, loại bỏ các spam mail không mong muốn. Nó bao gồm 2 thành phần:

• Content Management: lọc spam và lọc theo nội dung

• E-mail Management: quản lý băng thông và báo cáo trạng thái SMTP.

- InterScan AppletTrap - Ðây là phần mềm dùng để chặn các vi trình Java (Java applet), các HTML script cũng như là các điều khiển ActiveX không an toàn hoặc có khả năng phá hoại trên gateway Internet. InterScan AppletTrap có 2 phiên bản:

• Standard HTTP proxy version

• Check Point FireWall-1 version

- InterScan WebManager - Một ứng dụng hoạt động tại các cổng Internet, quản lý việc truy cập của các máy trạm vào Internet, dò tìm và loại bỏ virus lây nhiễm trong các File trước khi đi vào hệ thống LAN. InterScan WebManager còn giám sát lưu thông HTTP.

- InterScan WebProtect - InterScan WebProtect là một tập hợp các chương trình hoạt động trên Internet gateway. Hệ thống này hoạt động giống như 1 gateway đứng giữa LAN và Internet. InterScan WebProtect quét tất cả các file được truyền theo giao thức HTTP…

- InterScan Messaging Security Suite (IMSS): được dùng cho các SMTP server. Đây là phiên bản nâng cấp của thành phần InterScan Email VirusWall do đó, ngoài tính năng quét email tương tự như Email VirusWall, nó còn có thêm tính năng của InterScan eManager và được tích hợp công nghệ OPP.

- ScanMail - Phần mềm này được thiết kế dành riêng cho các Mail Server. Nó dò tìm virus trong các mail box trên server và có thể được sử dụng cho các Mail Server như MS Exchange, HP OpenMail,…

Ðể tăng thêm tính năng cho ScanMail, Trend đã đưa ra một sản phẩm tích hợp có tên là ScanMail eManager. Cũng giống như InterScan eManager, ScanMail eManager được thiết kế để tăng tính năng chống Spam cho các Mail Server.

- ServerProtect - Phần mềm này dò tìm, ngăn chặn virus cho các máy server Microsoft Windows NT và Novell NetWare. Kiến trúc 3 lớp của nó cho phép quản trị viên có thể quản lý chính sách diệt virus trong doanh nghiệp một cách tập trung, thuận tiện và hợp lý, do đó không làm ảnh hưởng nhiều đến hiệu suất hoạt động của từng server trong hệ thống.




- OfficeScan Corporate Edition - Ðây là phần mềm được thiết kế để triển khai giải pháp anti-virus của doanh nghiệp đến từng nhân viên trực thuộc doanh nghiệp. Phần mềm này cho phép quản lý tập trung, rất linh hoạt trong cách lựa chọn cấu hình, giao diện thân thiện và tập trung cho phép quản trị viên quản lý hệ thống diệt virus hoạt động hiệu quả và không tốn kém về mặt thời gian cũng như về tính năng hoạt động của từng desktop trong môi trường mạng.

- PC-Cillin - Một công cụ diệt virus cho các máy tính cá nhân sử dụng các hệ điều hành Windows 95, 98, 2000 và XP. Phiên bản mới PC-Cillin 2003 có một số tính năng mới rất đáng chú ý như Personal Firewall, ScriptTrap Technology, …

Điểm mạnh và tính năng các giải pháp Anti virus của Trend

Dẫn đầu về công nghệ

Với hơn 54% thị phần, InterScan VirusWall của Trend Micro được IDC xếp hạng nhất trong thị trường sản phẩm anti-virus cho các Internet gateway cũng như trong công nghệ bảo mật dựa vào nội dung.

Đưa ra nhiều giải pháp cho doanh nghiệp

Trend Micro đưa ra các giải pháp cho phép bảo mật từ các máy chủ gateway Internet, các máy chủ mail, file server cho đến các desktop.

Các hãng liên kết

Trend Micro hợp tác với rất nhiều các hãng hàng đầu trong lĩnh vực công nghệ thông tin như Openwave, SendMail, Sun, Microsoft, Cisco, Lucent, Stonebeat, Checkpoint, …

Chứng chỉ

Trend Micro được nhiều tổ chức có uy tín trên thế giới như SunTone, OPSEC, iCAP, ICSA, … công nhận

Giải thưởng

Các giải pháp của Trend Micro đã và vẫn tiếp tục nhận được nhiều giải thưởng trong các lần bình chọn của các tạp chí lớn như PC Magazine, InfoWorld, Secure Computing, ...

Tốc độ hoạt động (Performance)

Các đánh giá từ nhiều hãng khác nhau đã chỉ ra rằng các sản phẩm của Trend Micro luôn hoạt động ở tốc độ khá cao so với các sản phẩm cùng loại của nhiều hãng khác.

Quy mô (Scalability) và Độ tin cậy

Các công nghệ của Trend Micro được thiết kế để có thể xử lý hàng triệu email mỗi ngày

Trend Micro đã được chứng minh là hãng có các công nghệ hoại ổn định, liền mạch, không bị trục trặc - 24x7x365.




6.5 Giải pháp sử dụng InterScan VirusWall khuyến nghị cho Sacombank

InterScan VirusWall (ISVW) là giải pháp bảo vệ doanh nghiệp chống lại virus từ cổng Internet gateway. ISVW có tốc độ xử lý cao và gồm 3 thành phần:

- InterScan Email VirusWall

- InterScan FTP VirusWall

- InterScan HTTP VirusWall

Ngoài ra Trend Micro còn đưa ra thành phần plug-in eManager nhằm giúp doanh nghiệp tránh khỏi Spam và kiểm soát nội dung mail một cách chặt chẽ.

Chế độ bảo vệ Real-time từ mức Gateway

Chế độ này cho phép phát hiện và loại bỏ virus trong dòng dữ liệu ra vào theo thời gian thực

SMTP VirusWall đi kèm với Mail Server để quét luồng SMTP vào và ra.

HTTP VirusWall không cho phép virus lây lan từ các file do người sử dụng download, đồng thời nó cho phép người quản trị xác định các chuẩn an toàn chung thống nhất trong toàn hệ thống mạng đối với Java và Authenticode, do đó nó có thể chống lại các đoạn mã Java và ActiveX có mục đích xấu.

FTP VirusWall hoạt động một cách trong suốt để đảm bảo người dùng không load phải những file bị nhiễm virus.

Có khả năng tương tác nhuần nhuyễn với hầu hết các loại tường lửa chính hiện nay, đặc biệt là với Firewall-1 của Check Point

Tự động update các pattern file (chứa định nghĩa về các virus mới)

Sử dụng thuận tiện nhờ có cả giao diện Web và Windows-based

Mềm dẻo khi đặt cấu hình và có thể quản lý thông qua Browser InterScan VirusWall có thể được cấu hình để khi phát hiện thấy virus sẽ:

Thông báo cho quản trị viên hệ thống (thông qua Mail nội bộ…)

Cô lập file lây nhiễm

Xoá file lây nhiễm

Chỉ cho phép người sử dụng download file khi đã thoả mãn một số điều kiện nào đó được đặt ra trước đó.

Ngoài ra, InterScan VirusWall có cả giao diện Windows và giao diện Web-based




Dễ dàng quản lý

InterScan VirusWall thường xuyên ghi nhật ký một cách rõ ràng về các file lây nhiễm: tên file, vị trí file, ngày nhận file, tên virus bị lây nhiễm và hành động gì được thực thi khi phát hiện ra virus.

Cơ chế quét (Scan Engine)InterScan VirusWall sử dụng cơ chế quét 32 bit đa tuyến do đó đẩy nhanh được tốc độ

Tương tác tốt với tường lửa InterScan VirusWall sử dụng các hàm API CVP (Content Vectoring Protocol) của Check Point để có thể hoạt động thông suốt với FireWall-1. Để quét virus, quản trị viên chỉ cần thêm dịch vụ quét virus của ISVW vào tập luật của Check Point, khi quét, dòng thông tin mạng không bị ảnh hưởng nhiều.

eManager - thành phần tăng cường cho VirusWall

Giải pháp bảo mật nội dung dựa trên các chính sáchTrend Micro InterScan eManager được tích hợp với InterScan VirusWall để chặn Spam và các thông điệp có nội dung không mong muốn.

Có tính năng lọc nội dung thông minh Sử dụng các toán tử như AND, OR, NOT, …, eManager lọc nội dung dựa vào danh sách các từ khoá

Chặn Spam và các file đính kèm không mong muốnInterScan eManager tự động update các từ khoá để chặn Spam…

Bảo mật nội dung được quản lý dựa trên các chính sácheManager cho phép quản trị viên đặt ra nhiều chính sách Email khác nhau trong mạng của doanh nghiệp.

Bộ lọc file đính kèmeManager cho phép đặt lọc đối với nhiều loại file đính kèm khác nhau

Quản lý truyền thưĐược thiết kế để quản lý hoạt động của email server, eManager có khả năng kiểm soát dòng SMTP, nó có thể bắt tạm ngừng thao tác truyền file có kích thước lớn để không làm ảnh hưởng tới tốc độ mạng.

Hệ thống cảnh báo và ghi nhật ký

Server Protect for NT/Novell/Linux

Server Protect có thể bảo vệ các server một cách hiệu quả. Đây là thế hệ thứ 2 của dòng các sản phẩm diệt virus.




Quản lý domain tập trungServerProtect cho phép quản trị viên từ một điểm có thể quản lý được tất cả các phiên bản ServerProtect được cài trên các server trong mạng thông qua một công cụ quản trị riêng. Công cụ này cũng cho phép quản trị viên cùng một lúc cấu hình các server trong cùng một domain, cũng như là đưa ra các báo cáo về tình trạng của chúng.

Quản lý từ xa theo mô hình 3 lớpServerProtect cho phép quản trị từ xa thông qua kiến trúc gồm 3 thành phần:

Information Server: Được cài trên 1 server với mục đích quản lý tập trung các ServerProtect. Information Server sử dụng lời gọi thủ tục từ xa (Remote Procedure Call - RPC) để connect tới các server Windows NT và sử dụng Sequenced Packet Exchange (SPX) để connect tới các server Novell NetWare.

Normal Server: Được cài trên các server (có thể coi đây là bản client của ServerProtect) và được quản lý bởi Information Server

Management Console: Công cụ quản trị sử dụng giao thức TCP/IP, quản trị viên có thể logon vào Informtion Server thông qua hình thức xác thực dựa trên username và password.

Các chức năng quản trị từ xa bao gồm:

Update các tệp pattern, scan engine, và các bản sửa lỗi

Quét virus trên các server

Thiết lập cấu hình diệt virus cụ thể trên từng server từ xa

Cảnh báo

Ghi nhật ký và báo cáo

Chế độ quét Real-timeServerProtect sử dụng cả 2 công nghệ phát hiện virus: dựa vào hành vi và dựa vào pattern. Dựa vào những công nghệ mới của mình, Trend Micro đã nâng được tốc độ hoạt động của ServerProtect lên hơn 70% kể từ phiên bản ServerProtect 4.6

Chức năng update ServerProtect có thể được đặt cấu hình để tự động cập nhật các bản pattern và scan engine

Hoạt động hướng tác vụ (Task-oriented Operation)ServerProtect sử dụng phương pháp hướng tác vụ để lựa chọn chức năng nào thật cần thiết để thi hành. Quản trị viên có thể tạo ra những tác vụ riêng của mình, do đó đơn giản hoá được thao tác quản lý và duy trì hoạt động thường xuyên.

Office Scan Corporate Edition




OfficeScan là giải pháp diệt virus dành cho desktop trên môi trường mạng LAN, được thiết kế theo mô hình client/server.

Quản lý và cấu hình tập trung OfficeScan Corporate Edition là giải pháp diệt virus trên desktop đầu tiên trong môi trường LAN cho phép quản lý tập trung dựa trên giao diện Web và bảo vệ theo thời gian thực. Nó cho phép giảm thiểu các thao tác quản trị như đặt cấu hình, update, …

Tự động cài đặt và triển khaiOfficeScan được cài đặt trên server và rất thuận tiện khi triển khai thông qua Web và các công cụ cũng như công nghệ mới.

Tự động cập nhật virus pattern - Quản lý dựa trên domainOfficeScan có thể gộp nhóm các client vào một domain chung để dễ quản lý. Trong domain này, quản trị viên có thể thực hiện việc lập cấu hình cho từng client hay cho toàn bộ domain.

Cảnh báo nguy cơ về virusOfficeScan có thể kiểm soát các hành vi tựa virus (virus behaviour) trên các client và thông báo cho quản trị viên qua email.

Mềm dẻo trong quy mô triển khaiOfficeScan Server có thể được cài đặt trên nhiều server khác nhau để có thể kiểm soát được một số lượng lớn client. Nếu doanh nghiệp có nhiều chi nhánh ở xa, mỗi OfficeScan Server có thể được cài đặt trên mỗi server trong mạng địa phương để tăng hiệu suất làm việc. Doanh nghiệp có thể triển khai Trend Virus Control System (Trend VCS™) để có thể quản lý tập trung các OfficeScan server này trên duy nhất một giao diện Web tập trung.

ScanMail

Quét luồng vào và ra Mail Server để ngăn chặn bùng nổ virus

Tiến trình quét đa luồng do đó không ảnh hưởng nhiều đến tốc độ của Mail Server

Quét email và các file đính kèm trong mailbox

Mềm dẻo khi đặt cấu hình

Quét virus với tốc độ cao

Có thể quét các loại file đính kèm khác nhau

Có bộ lọc thông điệp dùng để chặn và xoá bỏ các mail dính virus

Trend Micro Control Manager

Cho phép quản trị viên đặt cấu hình, kiểm soát các chương trình diệt virus chỉ từ một vị trí vật lý.




Quản lý tập trung- Sử dụng giao diện Web nên không phụ thuộc vào platform- Thông tin hiển thị chi tiết, thuận tiện cho việc phân tích

Cập nhật tập trung - Dễ dàng cài đặt- Hiệu quả, tiết kiệm được chi phí quản trị- Đưa ra được chính sách tổng thể trong toàn mạng doanh nghiệp

Mô hình giải pháp của Trend Micro


Threat Information

Attack Prevention

Notificationand

Assurance

Pattern File

Scan and Eliminate

AssessAnd

cleanup

Restoreand Post-

mortem

Doanh nghiệp bị giảm hiệu suất làm việc

$$ $$$$

$$$ $$ $$

“Khoảng 80% phí tổn mà doanh nghiệp phải chịu từ những virus như ILOVEYOU… là

trong công tác loại bỏ virus.” -- Computer Economics, 2001

Support Programs

Quản lý tập trung = Triển khai các pattern file và scan engine Kiểm soát các phần mềm diệt virus trong mạng

Content Security

(eManager)



6.6 Hệ thống dò tìm lỗi bảo mật khuyến nghị cho tòan hệ thống (Scanner)

Yêu cầu kỹ thuật cho hệ thống dò tìm lỗi bảo mật

Các phân mềm Secure scanner là phần mềm yêu cầu sử dụng cho hệ thống mạng Trung tâm Sacombank nhằm đáp ứng yêu cầu kiểm tra và khảo cứu tính an toàn của hệ thống mạng .

Là sản phẩm có tính năng quét các lỗ hổng trên mạng và sắp xếp lại hệ thống. Scanner cho phép chẩn đoán và xử lý các vấn đề an ninh trong môi trường mạng. Scanner trợ giúp Người quản trị mạng xác định và thông báo các lỗ hổng trên các máy chủ như các dịch vụ, các patch của hệ điều hành, CSDL,… và chính nhờ những lỗ hổng này mà Hacker có thể tận dụng để thâm nhập trái phép. Sáng kiến của giải pháp Scanner gồm 2 phần, phần thứ nhất được chèn vào bên trong cơ sở dữ liệu để xác định sự xâm nhập và đánh giá các lỗ hổng trên mạng theo thời gian thực. Phần thứ 2 bao gồm những qui định các luật cơ bản để phát hiện các lỗ hổng an ninh theo thời gian thực.Phân tích các giải pháp chọn phần mềm Scanner

Các loại phần mềm Scanner là công cụ giúp các nhà quản trị đo được tính an ninh, các rũi ro và làm tăng độ an toàn trong môi trường mạng. phần mềm Scanner là công cụ phần mềm quan trọng trong giải pháp an toàn mạng.

Yêu cầu đặt cho hệ thống phần mềm Scanner cho hệ thống phải tương thích hoàn toàn với hệ thống phần cứng và cấu trúc mạng, phải có chế độ tự update thông tin bảo mật mới từ bên ngoài. Chúng tôi khuyến nghị sử dụng hệ thống phần mềm Security Analyzer của hãng NetIQ. Đây là phần mềm tương thích hoàn toàn với các sản phẩm của Cisco và có hệ thống nhận diện lỗi bảo mật chuyên nghiệp được tự động cập nhật định kỳ. Ngòai ra có thể so sánh thêm với hệ thống Scanner của ISS.

Giới thiệu giải pháp Scanner của NetIQ




Hệ thống phần mềm Security Analyzer yêu cầu hệ thống máy chủ điều khiển (Console computer)như sau:

• Microsoft Windows NT 4.0, Windows 2000 or Windows XP

• Internet Explorer 4.0 or later

• Microsoft Office 2000 or Office XP to produce reports in Word and XML formats

• 64MB RAM or more. (256MB RAM recommended)

• 100MB available disk space

Security Analyzer có thể tìm kiếm và phát hiện các lỗi bảo mật trên các hệ thống hoạt động theo giao thức TCP/IP bao gồm cả các hệ thống không thuộc dòng Window:

• Windows 95, Windows 98 or Windows Me

• Windows NT, Windows 2000 or Windows XP

• Sun Solaris 2.6, Solaris 7 or Solaris 8

• Red Hat Linux 6.x or 7.x

Hệ thống sẽ tự động phân cấp tình trạng bảo mật phát hiện được thông qua Security Analyzer’s Scan Viewer cảnh báo những lỗi, mức độ nguy hiểm và đưa ra giải pháp sửa chữa ngay cho từng trường hợp.

Các chức năng tiến tiến của hệ thống Security Analyzer:

Nếu hệ thống có kết nối Internet, chức năng AutoSync sẽ tự động kết nối với

trung tâm để cập nhật thư viện Security test mới nhất cùng với các phần cập

nhật của hệ thống.

An toàn tối đa cho hệ thống sử dụng NetBIOS

Scans Windows XP computers

Kiểm tra, phán đoán và bịt các lỗ hổng. Bỏ các dịch vụ không cần thiết trên hệ

thống, chỉ cho phép chạy các dịch vụ cần thiết hoạt động.

Exports data sang XML dùng cho database và reporting tools tuỳ chọn

Cross-references CVE, CERT®/CC, BugTraq và Microsoft Bulletin ID systems

Thiết kế hệ thống : Máy chủ quản trị cho Security Analyer sẽ cài đặt trong vùng máy chủ dành cho quản trị mạng. Do hệ thống được phân chia làm nhiều VLAN và PVLAN (private VLAN) do đó không cần thiết phải dùng đến hệ thống Security Analyer license cho cả một subnet. Chúng tôi khuyến nghị dùng phiên bản dành cho 100IP trong một lần quyét. Chi tiết phân mềm xin tham khảo bản danh sách thiết bị kèm theo.

Giải pháp Scanner của ISSModule phần mềm Internet ScannerTM là thành phần trong hệ thống giải pháp bảo mật của ISS, đảm bảo việc phân tích dò tìm lỗ hỗng của hệ thống mạng trung tâm Sacombank:

Dò quét và phân tích các nguy cơ bảo mật của các thiết bị trong hệ thống mạng Internet Scanner thực hiện việc quét các dịch vụ truyền thông, hệ điều hành,

routers, e-mail, Web servers, firewalls và các ứng dụng. Đảm bảo độ chính xác của cấu hình an ninh, ngăn ngừa việc user bỏ qua các qui

định về an ninhGiải pháp khuyến nghị : Module phần mềm dò tìm điểm yếu cơ sở dữ liệuModule phần mềm Database Scanner™ Thành phần này đảm




bảo việc dò tìm lỗ hỗng bảo vệ hệ thống cơ sở dữ liệu chínhThiết lập và bắt buộc thực hiện chính sách an ninh đối với database

Xác định các điểm yếu bảo mật của hệ thống database Kiểm tra trước các hành động xâm nhập.

So sánh các giải phápCông nghệ Scan của ISS và NetIQ hiện nay rất nổi tiếng trong lĩnh vực bảo mật mạng. Trong một chừng mực xét về phương diện tin cậy các giải pháp Scanner của ISS vượt trội hơn về khả năng nhận biết các yếu tố bảo mật với hệ thống cập nhật trực tuyến lớn nhất hiện nay. Và hệ thống ISS Internet Scanner có khả năng tích hợp tốt với hệ thống quản trị trung tâm.

Đề xuất giải pháp của FPT cho Sacombank

Nhằm đáp ứng tốt nhất khả năng dò tìm lỗi bảo mật của hệ thống cho cả hệ thống nói chung và hệ thống Cơ sở dữ liệu nói riêng chúng tôi khuyến nghị Sacombank cần trang bị và sử dụng hệ thống ISS Internet Scanner và Database scanner kết hợp module System Scanner.Hệ thống phần mềm Scanner dự kiến triển khai trên nền Intel với máy chủ HP dòng DL tối thiểu 380 G2 với 2 x 1.4 Ghz , 1G Ram. Khuyến nghị sử dụng hệ điều hành Window cho các Module Scanner chính nhằm đáp ứng khả năng theo dõi trực quan hệ thống, dễ cài đặt và vận hành.




III. PHÂN CHIA QUA TRÌNH TRIỂN KHAIViệc triển khai hệ thống bảo mật cho hệ thống mạng của Sacombank rất phức tạp và đòi hỏi nhiều thời gian mới có thể xây dựng được các chính sách tối ưu, hơn nữa, bảo mật là một tiến trình chứ không phải là một sản phẩm phần mềm hay phần cứng cụ thể.Vì vậy, chúng tôi đề nghị phân chia tiến trình bảo mật thành các giai đoạn như sau.

1.TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN I

Trong giai đọan I là giai đọan bắt đầu triển khai hệ thống Router cung cấp kết nối ra Internet.Trong giai đoạn này sẽ triển khai ngay hệ thống bức tường lửa tại tầng 1 (như đã đề cập ở trên), sử dụng thiết bị phần cứng Firewall để đảm bảo performance của các luồng giao dịch vào ra internet

Firewall tại tầng 1: Sử dụng thiết bị PIX Firewall 515e theo công nghệ Firewall của hãng Cisco dùng ngăn cách mạng nội bộ Sacombank với internet. Tại tầng này ta cũng bố trí sử dụng thiết bị dò tìm thâm nhập bất hợp pháp ISS IDS để giám sát hoạt động của firewall 515e và router kết nối với Internet, nhằm phát hiện, ngăn chặn các cuộc tấn công và thâm nhập bất hợp pháp vào hệ thống.Tại tầng này, mạng DMZ sẽ có mức độ ưu tiên thấp hơn so với mạng nội bộ (internal Net) bên trong. Tất cả các kết nối từ mạng nội bộ bên trong sẽ được phép đi ra Public Net và internet không hạn chế và chỉ có một số Host nhất định mới được phép vào mạng Local trong khi không có bất kỳ một qui tắc nào cho phép kết nối ngược từ internet.

2.TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN II

Internet gateway là điểm kết nối hệ thống mạng của Sacombank với môi trường Internet. Tại đây có thể xem như là một cách cửa rộng nhất để virus và các mã dụng ý xấu xâm nhập vào hệ thống. Chính vì thế việc triển khai giải pháp ngăn chặn từ cổng mạng này là thiết yếu bao gồm:

Interscan VirusWall

InterScanTM VirusWallTM là sản phẩm có chức năng phòng chống virus tại Gateway, sản phẩm này có chức năng quét và diệt virus trên tất cả các luồng Web, email, FTP trong thời gian thực.

Các thành phần chính:

SMTP VirusWall: thành phần này quét toàn bộ luồng SMTP vào cũng như ra để diệt virus theo thời gian thực. Thành phần này chỉ hỗ trợ cho Microsoft Exchange và Lotus Notes.

HTTP VirusWall: thành phần này phát hiện các virus nhiễm vào file và bảo vệ người dùng Internet chống lại các đoạn mã Java và ActiveX có hại.




FTP VirusWall: Có nhiệm vụ ngăn chặn việc lây nhiễm virus từ việc tải xuống các file từ các site bị nhiễm virus. Thành phần này cũng bảo vệ, chống virus khi download/upload từ các FTP server trong mạng.

Các công cụ và tiện ích của giải pháp:

InterScan AppletTrap

Đây là công cụ quản lý tập trung dựa trên các chính sách để quản lý vấn đề an toàn của nội dung các trang Web tại Internet Gateway. Nó loại trừ các applet, ActiveX, JavaScript và VBScript có dụng ý xấu (gọi chung là mobile code) thâm nhập vào mạng trên đường lưu thông Internet với 3 mức bảo vệ: phân tích và kiểm tra các chứng thực số (digital certificate), lọc các mã dụng ý xấu đã được định danh tại server, giám sát các hành động của các mobile code chưa được định danh tại browser của client theo thời gian thực. Các đặc điểm nổi bật của InterScan AppletTrap:

Tốc độ thực hiện nhanh hơn và ổn định hơn: cung cấp chức năng caching làm tăng thông lượng.

Tính bảo mật được nâng cao: Quản lý chứng thực tập trung tại Internet gateway tạo nên một môi trường kinh doanh điện tử an toàn hơn.

Quy mô triển khai của sản phẩm được nâng cao cho phép phục vụ trên 500 users truy cập đồng thời.

Hỗ trợ Check Point FireWall-1, hoạt động tương thích với HTTP Proxy, có ưu điểm trong suốt (transparent) với người sử dụng.

Người quản trị có thể điều khiển quá trình kiểm tra certificate đối với các Java Applet/ActiveX tại AppletTrap server.

Dễ dàng triển khai trên Proxy server và chỉ cần cài đặt trên 1 server.

Cập nhật trên giao diện Web: hỗ trợ cập nhật thủ công hoặc theo lịch qua Internet. Có thể gửi danh sách các Java, URL, và ActiveX cần chặn để Trend Micro nghiên cứu đưa vào danh sách ngăn chặn của Trend Micro.

Cân bằng tải: Phân tán tải giữa Proxy server hoặc FireWall-1 server và các client giúp giảm nhẹ chi phí trên mỗi trạm.

Theo dõi real-time các đoạn mã Java Applet trên các các máy trạm client. Sử dụng các công nghệ đã được công nhận rộng rãi của Trend Micro để theo dõi các hành vi đối với các Java Applet trên các máy trạm client theo thời gian thực (real-time).

Cập nhật danh sách ngăn chặn thường xuyên. Bất kỳ một đoạn mã chứa virus nào được tìm thấy trong các Java Applet hay ActiveX đều được báo cáo một cách tự động về proxy server.

Các chính sách có thể tuỳ biến để điều khiển hành vi của các applet trên các máy trạm client. Các chính sách này có thể được ánh xạ tới một nhóm người dùng dựa trên các địa chỉ IP hoặc domain của họ.




Hỗ trợ cơ chế cảng báo: Gửi các thông báo email cho người quản trị mỗi khi có URL bị ngăn chặn, tìm thấy virus trong các applet hoặc khi cơ sở dữ liệu certificate của hệ thống được cập nhật.

Cung cấp các tệp log đầy đủ nhất mà nó ghi lại được từ các sự kiện xảy ra.

Có thể được quản lý tập trung dựa trên các chính sách

Giải pháp cho hệ thống thư điện tử

Để kiểm tra virus cho hệ thống thư điện tử, sử dụng sản phẩm InterScan Messaging Security Suite for SMTP (IMSS). Đây là giải pháp chống virus và quản lý nội dung ở mức gateway. Sản phẩm này được thiết kế dành riêng cho các mail server. Ngoài tính năng diệt virus bắt buộc phải có, IMSS còn có thể cấm mail dựa trên nội dung của nó cũng như là chặn spam. Có thể kể ra đây một số điểm đáng lưu ý của IMSS như sau:

Diệt virus : IMSS phát hiện virus dựa trên cơ chế quét (scan engine) 32 bit của Trend Micro và một tiến trình được gọi là “tựa mẫu” (pattern matching). Scan engine sử dụng file định nghĩa virus (definition hay pattern file) để kiểm tra các file đi qua gateway. Nếu trong file có chứa các dấu hiệu tựa mẫu virus đã được định nghĩa trong file, nó sẽ tiến hành một số thao tác như clean (xoá bỏ đoạn mã virus trong file), quarantine (cách ly cách file bị nhiễm), delete (xóa file bị nhiễm)… các thao tác này có thể do quản trị viên định nghĩa. Ngoài ra, IMSS còn có khả năng phát hiện virus dựa trên hành vi.

Quản lý nội dung: InterScan MSS for SMTP phân tích nội dung các email cũng như các file đính kèm, nếu email (hoặc file đính kèm) thoả mãn một số điều kiện chặn nào đó đã được quản trị viên định nghĩa trước, nó sẽ bị chặn lại.

Bảo vệ tránh bị tấn công (DoS): Bằng việc làm tràn ngập một mail server với những file đính kèm có kích thước lớn hoặc gửi kèm theo virus trong email, hacker có thể làm chết hệ thống mail của một doanh nghiệp. InterScan MSS for SMTP bao gồm các tính năng cho phép quản trị viên định nghĩa các đặc điểm của những mail không được phép vào mạng nội bộ, chúng sẽ bị chặn ngay ở mức gateway.

Ngăn chặn email có chứa virus: File đính kèm theo email cũng là một nguồn lây lan virus phổ biến hiện nay. Chúng có thể là các file thi hành chứa virus, các tài liệu có chứa macro. Ngoài ra, các file đính kèm dạng HTML script, HTML link, Java applet… cũng có thể gây ra những thảm hoạ không lường. InterScan MSS for SMTP cho phép quản trị viên thiết lập chính sách ngăn chặn dựa trên loại email.

Giảm thiểu việc sử dụng hệ thống mail của công ty vào mục đích riêng: Các email không liên quan đến công việc cũng có thể làm ảnh hưởng đến hiệu quả hoạt động của hệ thống mail khi chúng được gửi đi nhiều làm chậm đường truyền. Cũng như vậy, vấn đề ngăn chặn spam cũng đang làm đau đầu các quản trị viên hệ thống. InterScan MSS for SMTP có khả năng ngăn chặn spam không cho thâm nhập vào mạng nội bộ làm ảnh hưởng đến công việc của các nhân viên, cũng như không cho phép các nhân viên sử dụng hệ thống mail của công ty vào mục đích cá nhân.




Ngoài ra InterScan™ MSS for SMTP còn hỗ trợ các tính năng chính đặc biệt như:

Chính sách ngăn chặn bùng nổ virus (Outbreak Prevention Policy - OPP): Dựa trên các thông tin thu thập được về một virus nào đó vừa mới xuất hiện, Trend Micro sẽ rất nhanh chóng đưa ra một chính sách ngăn chặn trước khi đưa ra một pattern file mới (thao tác này chỉ khoảng 15-20 phút sau khi virus xuất hiện). Chính sách này sẽ được IMSS tải về và triển khai. Nhờ đó, nó có thể ngăn chặn được virus ngay từ mức gateway. Đây là một tính năng rất hợp lý của IMSS giúp giảm tối đa thiệt hại cho doanh nghiệp.

Quản trị dựa trên một tập các chính sách

Hiệu suất làm việc cao

Có thể quản trị dựa trên giao diện Web

Có bộ lọc nội dung mail tích hợp

Giải pháp cho File Server:

Để rà soát và loại bỏ virus trong các file hệ thống, các thư mục trên Server, chúng tôi đề nghị sử dụng sản phẩm ServerProtect

ServerProtectTM là thành phần bảo vệ file và các ứng dụng hệ thống của server khỏi sự tấn công của virus. Server Protect cho phép quản trị từ xa thông qua kiến trúc gồm 3 thành phần:

Information Server: được cài trên 1 server với mục đích quản lý tập trung các Server Protect. Information Server sử dụng lời gọi thủ tục từ xa (Remote Procedure–RPC) để connect tới các server Windows NT và sử dụng Sequenced Packet Exchange (SPX) để connect tới các server Novell NetWare.

Normal Server: được cài trên các server (có thể coi đây là bản client của Server Protect) và được quản lý bởi Information Server.

Management Console: Công cụ quản trị sử dụng giao thức TCP/IP, quản trị viên có thể logon vào Information Server thông qua hình thức xác thực dựa trên username và password.để cài đặt ServerProtect cho các Server trong hệ thống (Normal Server) cũng như theo dõi tình hình phòng chống virus trong hệ thống.

Information Server và tất cả các Normal Server đều có thể cài đặt và cập nhật mẫu virus mới một cách đồng thời qua một giao diện của Windows.

Hệ thống có thể đưa ra các cảnh báo khi phát hiện thấy: đang bị nhiễm virus, cấu hình bị thay đổi, một dịch vụ nào đó bị gỡ bỏ, mẫu virus không được cập nhật kịp thời, hệ thống phòng chống đang bị sửa đổi. Các cảnh báo này được đưa đến cho quản trị viên theo nhiều con đường khác nhau: qua email, nhắn tin, in ra máy in, hoặc viết ra Windows Event Box

Giải pháp cho các Client: Dùng sản phẩm Trend Micro OfficeScan




OfficeScanTM là thành phần chống virus cho các máy trạm. Thành phần này hoạt động “trong suốt” đối với người sử dụng . Các thao tác như quét virus định kỳ, cập nhật mẫu virus mới diễn ra hoàn toàn theo chính sách của quản trị viên hệ thống. Người dùng sẽ không phải thực hiện các thao tác trên.

Việc cài đặt OfficeScanTM cho từng client hoàn toàn thông qua giao diện Web, kết nối vào một server quản trị tập trung, điều này rất thuận tiện khi triển khai hệ thống trong mạng LAN.

Trong trường hợp vị trí triển khai chỉ có đường kết nối có băng thông hẹp, TrendMicro có giải pháp riêng để đảm bảo triển khai và cập nhật cho các client này.

Người dùng không thể tự ý gỡ bỏ chương trình chống virus trên máy tính nếu không có sự đồng ý của quản trị mạng, chức năng này cho phép giữ vững chính sách phòng chống virus trong mạng.

Giải pháp trên định hướng sẽ triển khai trong giai đọan 4.

Thành phần quản lý tập trung: Sử dụng sản phẩm Trend Micro Control Manager

Chức năng của TMCM:

- Cung cấp khả năng nhận diện và phân tích về tình hình nhiễm virus trong mạng diện rộng.

- Cho phép cập nhật mẫu virus một cách tự động và thống nhất., cho phép người quản trị hệ thống có quyền bắt buộc các thành phần trong hệ thống thực hiện một chính sách chống virus một cách thống nhất.

- Việc cài đặt và triển khai các agent xuống các thành phần khác trong hệ thống thực hiện một cách tập trung trên một máy chủ Windows.

- Chống lại việc “bùng nổ” virus ở trong mạng một cách hữu hiệu hơn.

Hỗ trợ nhiều tính năng cho người quản trị mạng để giảm thời gian và chi phí trong việc vận hành và duy trì hệ thống

Mô hình triển khai giải pháp phòng chống virus cho hệ thống mạng của SacomBank

Mô hình triển khai giải pháp phòng chống virus tại toà nhà trung tâm như sau:

Mô tả:

Tại điểm kết nối hệ thống mạng Sacombank với Internet (gateway) :

Giải pháp: Đặt một server trong vùng DMZ để cài các thành phần sau:

Cài đặt InterScan viruswall để kiểm tra và trừ virus trên các giao thức HTTP, FTP và SMTP

Cài đặt InterScan AppletTrap để kiểm tra và loại trừ các ActiveX, JavaScript, VBScript .




Giải pháp cho thư điện tử:

Cài đặt IMSS lên một server trong vùng DMZ để kiểm tra và loại trừ virus trên các luồng email vào ra hệ thống.

IMSS sẽ nhận các incoming mail từ bên ngoài, sau đó sẽ chuyển cho Mail server

Mailserver sẽ nhận outgoing mail và chuyển cho IMSS server để ra ngoài.

Tại các Server:

Cài đặt thành phần Server Protect – Information Server lên một server.

Các server khác trong hệ thống mạng sẽ được cài thành phần ServerProtect – Nomal Server để kiểm tra và loại trừ virus.

Information server là thành phần quản lý các Normal Server

Tại các client:

Cài đặt thành phần OfficeScan Server lên một Server.

Các máy trạm trong hệ thống được cài đặt thành phần OfficeScan Client.

OfficeScan Server sẽ quản lý các OfficeScan Client.

Thành Phần Quản trị:

Cài đặt Trend Micro Control Manager lên một server để quản lý tất cả các thành phần khác (TMCM Agents) của Trend Micro trên hệ thống mạng Sacombank.

Thao tác cập nhật:

Mẫu virus và engine mới được cập nhật theo định kỳ đến máy chủ TMCM. Từ máy chủ TMCM, mẫu virus mới sẽ được tự động cập nhật cho máy chủ có thành phần TMCM Agent.

Các NormalServer sẽ tự động update mẫu virus và engine từ Information Server

Các OfficeScan Client sẽ tự động update mẫu virus và engine từ OfficeScan Server

Quá trình cập nhật là hoàn toàn tự động, quản trị viên hệ thống chỉ cần qui định lịch để cập nhật mẫu virus mới.

Ngoài ra người quản trị cũng có thể quy định chính sách ngăn chặn, đối phó với các nguy cơ bùng nổ virus (virus outbreak) với TMCM hoặc download chính sách này từ TrendMicro website.

3.TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IIIGiai đọan ba chúng tôi khuyến nghị các thiết bị và phần mềm nhằm tăng cường khả năng bảo mật cho hệ thống mạng riêng các ứng dụng Cơ sở dữ liệu trung tâm và các phân mạng ứng dụng nội bộ, chúng tôi khuyến nghị trang bị hệ thống Proventia IDS và




phần mềm ứng dụng Scanner đảm bảo mức độ an tòan cao nhất cho các traffic trên mạng và giữa các phân nhánh.

Giải pháp khuyến nghị thêm, trong giai đọan này chúng tôi khuyến nghị trang bị Firewall lớp thứ hai cho hệ thống Database

Firewall khuyến nghị tầng thứ 2: Tầng này khuyến nghị sử dụng thiết bị (phần cứng) Nokia Firewall kết hợp Checkpoint hoặc hệ thống Sidewinder G2 firewall. Đây là sản phẩm tích hợp công nghệ của hai hãng bảo mật hàng đầu thế giới: thiết bị phần cứng của Nokia với công nghệ Firewall của Checkpoint Firewall-1, SideWinder G2 với các chức năng bảo mật chuyên dụng cao cấp. Sản phẩm này vẫn đảm bảo tính năng performance cho mạng. Nokia Firewall/Sidewinder G2 sẽ làm nhiệm vụ phân tách mạng nội bộ của Sacombank thành ba phần có mức độ ưu tiên khác nhau. Ngoài ra hệ thống IDS tích hợp với firewall Nokia/SideWinder sẽ cho phép giám sát hoạt động trên từng phân vùng mạng, ngăn chặn, phát hiện kịp thời các cuộc tấn công, thâm nhập vào các vùng thông tin nhạy cảm.

4.TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV

Bước tiếp theo để hoàn thiện giải pháp bảo mật là tiếp tục nâng cao khả năng bảo mật phía các chi nhánh bao gồm các giải pháp antivirus và giai đọan này dự kiến sẽ đặt thiết bị firewall tích hợp thêm tính năng VPN. Chúng tôi cũng dự kiến trong giai đoạn này thiết lập các kênh VPN giữa chi nhánh và các VLAN tại văn phòng với mạng Databasse để tăng cường mức độ an ninh dữ liệu trong trường hợp Firewall bị đánh thủng thì các máy chủ dữ liệu cũng không bị đe doạ bởi mọi truy nhập tới chúng đều được kiểm soát và điều khiển bởi công nghệ VPN. Như vậy thì tiếp theo giải pháp Firewall, việc sử dụng công nghệ VPN như là bức tường lửa thứ 3 ngăn chặn các cuộc tấn công xâm nhập bất hợp pháp, bảo vệ các máy chủ dữ liệu.Đồng thời trong giai đoạn này, tất cả các chi nhánh sẽ được trang bị tiếp thiết bị Firewall để chặn các truy nhập bất hợp pháp (có thể) xuất phát từ dưới chi nhánh lên Như vậy sau khi hoàn thành hai giai đoạn triển khai, hệ thống mạng Sacombank sẽ được bảo vệ bởi nhiều tầng, nhiều lớp với những công nghệ firewall khác nhau cho phép bảo đảm an ninh tuyệt đối với các người dùng cũng như cơ sở dữ liệu.

Trong phân hệ giai đọan 4 là giai đọan hòan thiện hệ thống bảo mật cho tòan bộ WAN bao gồm các giải pháp bảo mật đường truyền bang VPN cho tất cả các chi nhánh nối về, do đó trong phân hệ này chúng tôi khuyến nghị tiểu giải pháp cho công nghệ VPN đáp ứng cho kết nối WAN của Sacombank như sau:

4.1 Sử dụng VPN cho các kết nối từ người dùng và chi nhánh vào các máy chủ dữ liệu

Đảm bảo mức độ an toàn tối ưu cho các kết nối từ người dùng có thẩm quyền tại hội sở cũng như từ các chi nhánh lên, chúng tôi đề nghị các kết nối đó sử dụng công nghệ VPN cho cổng Firewall 3 (FW3). Đây là vòng bảo mật trong cùng, trường hợp hệ thống Firewall bị đánh thủng thì những xâm nhập bất hợp pháp cũng không thể thành công khi tiếp cận máy chủ dữ liệu bởi các kết nối tới đều được xác thực, điều khiển luồng truy nhập, mã hoá riêng theo công nghệ VPN.

4.2 Một số kiểu kết nối của VPNCó nhiều kiểu triển khai kết nối VPN, với mỗi cách thức đều yêu cầu một tập hợp các công nghệ phù hợp. Tuy nhiên có thể phân thành 3 nhóm chính:




Intranet VPNs: kết nối nội bộ giữa các bộ phận hoặc chi nhánh của một công ty

lớn với nhau

Extranet VPNs kết nối giữa một công ty lớn và các đối tác, khách hàng , nhà

cung cấp

Remote Access VPNs kết nối giữa các mạng liên kết với những người dùng ở xa

Trong mạng Intranet, công nghệ chính yêu cầu là mã hoá dữ liệu thật tốt để bảo vệ các thông tin mang tính nhạy cảm như các văn bản trao đổi, quản lý dữ liệu khách hàng ..v.v

Remote Access VPNs giữa một mạng liên kết và những người xử dụng ở xa có những

yêu cầu khác: Công nghệ xác thực thật mạnh (strong Authentication) các kết nối vào

mạng




Cuối cùng, Extranet VPNs giữa công ty lớn với các đối tác kinh doanh, khách hàng và

nhà cung cấp thì yêu cầu một giải pháp chuẩn, có tính mở để đảm bảo chắc chắn cho

sự liên kết hoạt động với nhiều giải pháp khác nhau của các đối tác có thể được thực

hiện. Chuẩn cơ bản chung là IPSec. Điều quan trọng nữa là điều khiển luồng giao dịch

trên mạng để tránh hiện tượng tắc nghẽn cổ chai tại điểm truy nhập và đảm bảo nhanh

chóng các dữ liệu cần thiết




Hiện nay, các công ty, xí nghiệp không chỉ có mối liên hệ chặt chẽ với nhau, với khách

hàng mà luôn có sự truy nhập từ xa bởi các nhân viên đi công tác, thực hiện văn phòng

ảo, làm việc tại nhà hoặc liên lạc với các chi nhánh ở khắp mọi nơi trên thế giới. Các

nhà cung cấp giải pháp bảo mật không chỉ cung cấp những sản phẩm VPN riêng rẽ mà

luôn tích hợp với nhiều chính sách, kiểu thực hiện khác nhau để đảm bảo được một giải

pháp hoàn chỉnh đạt dược cái gọi là “one size fits all”

4.3 Đề xuất thiết kế VPN cho mạng Sacombank

Như đã đề cập ở trên, hệ thống mạng của Sacombank rất lớn và phức tạp, trải rộng

trên phạm vi địa lý lớn với nhiều hoạt động nghiệp vụ phức tạp và chồng chéo. Các máy

trạm (nhưng không phải tất cả) tại chi nhánh đều phải kết nối về máy chủ dữ liệu trên

Trung tâm để trao đổi dữ liệu và trong khi (cũng không phải tất cả) cũng có nhiều máy

trạm đặt tại văn phòng Trung tâm cần phải trao đổi dữ liệu với những máy chủ này. Tất

cả các kết nối đó có thể thông qua mạng LAN tại Văn phòng Trung tâm và thông qua

đường điện thoại công cộng và qua Firewall ngăn chặn. Hiện tại các giải pháp thực hiện

VPN được qui lại làm hai loại chính

+ Stand-alone gateway

+ Tích hợp VPN gateway

Trong hai lớp này, chỉ có giải pháp tích hợp VPN/Firewall là được thiết kế cho một giải

pháp bảo mật internet hoàn chỉnh. Stand-alone VPN gateway không tích hợp với firewall




sẽ tạo ra nhiều khoá khăn phức tạp không cần thiết trong công tác bảo mật và quản trị.

Thêm nữa, với stand-alone VPNs, việc đặt VPN Gateway trong mối liên quan tới Firewall

trở nên không thể bởi vì Firewall không thể điều khiển luồng truy nhập (access control)

với các dữ liệu đã bị mã hoá một cách riêng rẽ

Vì vậy chúng tôi đề nghị sử dụng giải pháp tích hợp VPN/Firewall tại tầng thứ 2 của hệ

thống mạng Sacombank để tạo ra các kết nối VPN giữa tầng này tới các chi nhánh và

tới các VLAN tại văn phòng TW. Giải pháp tích hợp VPN/Firewall sẽ đáp ứng được tất cả

các yêu cầu an ninh :

Chống lại các mối đe doạ xuất phát từ mạng bên ngoài, ngay cả các cuộc tấn

công kiểu DoS có thể làm tổn thương một stand-alone gateway sẽ bị phát hiện

và loại trừ nhờ firewall

Điều khiển luồng truy nhập với tất cả các luồng dữ liệu vào ra: Đặt VPN gateway

với thiết bị điều khiển truy nhập cho phép tăng cường khả năng an ninh với các

luồng dữ liệu. Từ Firewall và VPN gateway chia sẻ các thông tin người dùng,

phân chia định nghĩa các nhóm có thể sử dụng tài nguyên, dịch vụ mà họ được

phép và tất cả các luồng dữ liệu trên VPN đều được mã hoá kiểm tra để đảm bảo

chắc chắn rằng chỉ có những nội dung (content) phù hợp mới được đi qua

Firewall




Quản lý tập trung: Tích hợp VPN làm đơn giản đi khi thực hiện các chính sách an

ninh mạng trong trường hợp có yêu cầu thực hiện cả VPN và Firewall. Các dữ liệu

cập nhật và các thay đổi trong chính sách an ninh mạng có thể đồng thời áp

dụng tới tất cả các VPN/Firewall, tối thiểu hoá khả năng xảy ra lỗi do cấu hình.

Thêm vào đó, các thông tin người dùng được chia sẻ trong nhiều ứng dụng mạng

bao gồm cả VPN và Firewall. Theo cách này, quản trị mạng không cần phải duy

trì các thông tin người dùng dự phòng

Consolidate Logging: theo đó tất cả các thông tin kiểm soát được hợp nhất trong

các file log

Scaleable Architecture: Với sự tăng cường, mở rộng thêm chi nhánh, hoạt động

của mạng vẫn không bị ngắt quãng. Đây là ưu điểm đặc biệt cho mạng

Sacombank cần có tính sẵn sàng cao (High Available)

Simplified Routing: Khi dữ liệu chuyển tải qua các thiết bị mạng, mỗi đường dẫn

được phản ảnh như những entry của bảng định tuyến. Khi các resources được

đưa vào mạng, bảng định tuyến phải hướng luồng dữ liệu thẳng tới Firewall và

gateway. Việc tích hợp VPN/Firewall đơn giản hoá việc này bằng việc tìm ra các

đường định tuyến tới các thiết bị.

Performance: giải pháp tích hợp VPN/Firewall có thể Optimize performance mạng

qua các yếu tố như tăng tốc độ mã hoá (Cryptographic Acceleration), quản lý

thông lượng (bandwidth Management). Bảng dưới đây tổng kết những ưu điểm

của giải pháp tích hợp VPN/Firewall




4.4 Tổng kết mô hình khuyến nghị triển khai hệ thống bảo vệ mạng Sacombank

Chúng tôi khuyến nghị tách các máy chủ chứa các dữ liệu quan trọng(Database server, Web server phục vụ khách hàng,…) ra một mạng riêng - Server Farm và các máy chủ truy cập public (Web server, mail server,…) ra một mạng riêng-DMZ. Giải pháp này cho phép tạo chính sách bảo mật chặt chẽ hơn và tăng tính bảo mật của toàn bộ hệ thống

Các máy chủ quan trọng được bảo vệ bằng cách cài phần mềm phát hiện thâm nhập Server Sensor. Phần mềm này ngăn chặn kẻ tấn công tìm cách lợi dụng các điểm yếu, lỗ hổng bảo mật của hệ điều hành và các ứng dụng chạy trên đó, phát hiện các tấn công từ bên trong và bên ngoài như tấn công tràn bộ đệm, trojan, worm… Chúng tôi khuyến nghị cài phần mềm này trên tất cả các máy chủ trong vùng Server Farm và trong vùng DMZ.

Các điểm mạng quan trọng được bảo vệ bằng appliance Proventia A201. Thành phần phát hiện xâm nhập này sẽ phát hiện các tấn công, thâm nhập trái phép trước khi nó gây hậu quả đến các máy chủ bên trong.

Khuyến nghị sử dụng thêm hệ thống dò quét và phát hiện các điểm yếu của máy chủ CSDL- Database Scanner nếu có điều kiện. Thành phần này sẽ phát hiện các lỗ hổng bảo mật , lỗi đặt mật khẩu trắng hoặc dễ đoán,… và được cài trên một máy riêng. Chúng tôi khuyến nghị cài Database Scanner trên Management Point.

Một thành phần dò quét và phát hiện các điểm yếu của các máy chủ trên mạng Internet Scanner. Thành phần này sẽ phát hiện các lỗ hổng bảo mật của hệ điều hành, các dịch vụ trên máy được quét và được cài trên một máy riêng. Chúng tôi khuyến nghị cài Internet Scanner trên Management Point.

Mạng của trung tâm được bảo vệ bởi thành phần Firewall PIX đặt phía bên ngoài. Pix có nhiệm vụ bảo vệ mạng trung tâm khỏi các tấn công từ bên ngoài, xác




thực người dùng, bảo vệ các mạng khác nhau(Server Farm, DMZ, LAN) với các chính sách bảo mật mềm dẻo. Chức năng VPN có nhiệm vụ mã hoá dữ liệu truyền giữa trung tâm với các chi nhánh

Các client trong mạng LAN muốn truy cập vào hệ thống máy chủ quan trọng trong cùng Server Farm thì phải thông qua lớp Firewall Checkpoint thứ 2 và có thể áp dụng hệ thống VPNClient để mã hoá dữ liệu truyền giữa máy trạm đó với máy chủ




III. ĐANH GIA GIẢI PHAP

Với thiết kế này, mạng của ngân hàng SacomBank đạt được các yếu tố an ninh sau :

Giải pháp an ninh tổng thể: Mạng ngân hàng SacomBank được cấu thành từ thiết kế kiến trúc phân tầng nhiều lớp với chiến lược, chính sách và các sản phẩm bảo mật của những nhà cung cấp giải pháp hàng đầu trên thế giới. Hệ thống được tích hợp, phối hợp chặt chẽ hỗ trợ cho nhau: mạng và an ninh mạng ; an ninh mạng và quản trị mạng sẽ làm tăng mức độ an ninh hệ thống.

Kiến trúc phân tầng, cho phép mạng được tổ chức thành nhiều mạng nhỏ độc lập nhau với các chính sách an ninh khác nhau.

An ninh vành đai: Mạng được tổ chức thành nhiều vành đai an ninh có độ sâu khác nhau. Mỗi độ sâu an ninh sẽ thích hợp với các module khác nhau, tuỳ thuộc vào độ quan trọng của các module. Thực hiện chính sách an ninh giữa các vành đai là các Firewall với đầy đủ các tính năng và công nghệ tiên tiến, thông lượng cao.

An ninh kết nối: Các kết nối từ các chi nhánh lên trung ương đều được thực hiện qua Site-to-Site VPN và được mã hoá an toàn trên đường truyền Leased Line. Các kết nối từ người dùng của các chi nhánh tới Trung tâm sẽ thực hiện nhờ VPN client.

Kiểm soát được truy nhập vào hệ thống của người sử dụng thông qua hệ thống xác thực truy nhập RSA SecurID.

Phát hiện, ngăn chặn sự thâm nhập bất hợp pháp vào hệ thống mạng cũng như sự lan truyền của virus trên mạng thông qua hệ thống IDS và Virus Scan gateway.

Có khả năng giám sát hoạt động của toàn bộ hệ thống và có khả năng tự động thay đổi cấu hình, khắc phục các kẽ hở nhanh chóng.




IV. PHỤ LỤC Các phương thức mô tả sau đây dựa trên các kiểu tấn công thông dụng nhất thường xảy ra tại Gateway và các nguyên tác khắc chế đơn giản với tính năng sẳn có của Cisco IOS và Cisco IOS có Firewall/IDS.

1 CÁC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG

a. Phương pháp tấn công:

Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính trên mạng dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một khối lượng dữ liệu lớn truyền đến hệ thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ thống là nạn nhân bị tấn công.

Mô hình tổng quát cuộc tấn công D.o.S của Hacker

Các phương thức tấn công thường dựa trên việc phát sinh các gói dữ liệu từ hệ thống email , broadcast echo request …

Các công cụ thường dùng của tin tặc:

Công cụ Thời điểm xuất hiện tấn công

Phương thức sử dụng để tấn công

Trinoo Oct 21 1999 UDP

Tribe Flood Network Oct 21 1999 UDP, ICMP, SYN, Smurf


Agents

Victim

Attacker

Handlers

traffic flood



Stacheldracht Dec 31 1999 UDP, ICMP, SYN , Smurf

TFN 2K Feb 10 2000 UDP, ICMP, SYN, Smurf

Shaft March 13 2000 UDP, ICMP, SYN, combo

Mstream May 1 2000 Stream (ACK)

Trinity Sep 5 2000 UDP, Fragment, SYN, RST, RandomFlag, ACK, Establish, NULL

Khả năng tấn công có thể xảy ra từ các hướng cổng Internet, PSTN, WAN và nội bộ.

Đối với cổng PSTN và Internet đều đi qua Router do đó khả năng phát sinh các cuốc tấn công D.o.S vào địa điểm này là rất lớn.

b. Phương pháp phòng chống

Với giải pháp Cisco Access List thiết lập thêm có thể phân tích và ngăn chặn các cuộc tấn làm Overload trên các Interface như sau:

Explicitly permit flood traffic in access list:

access-list 110 permit icmp any any echo

access-list 110 permit icmp any any echo-reply

View access list "hit counts" to determine flood type:

permit icmp any any echo (2 matches)

permit icmp any any echo-reply (21374 matches)

Log information about flood packets:

access-list 110 permit icmp any any echo

access-list 110 permit icmp any any echo-reply log-input

Anti-Spoofing Packet Filters

Block inbound traffic sourced from your own address space:

access-list 110 deny ip 192.200.0.0 0.0.255.255 any

Block outbound traffic not sourced from your own address space:

access-list 111 permit ip 192.200.0.0 0.0.255.255 any

Block inbound traffic sourced from unroutable IP addresses:







... more ...




Nhận dạng các cuộc tấn công D.o.S thông qua log file giả lập như sau:




2 PHƯƠNG THỨC TẤN CÔNG IP SPOOFING DẠNG SMURF

Tấn công dạng này xảy ra khi một IP bên trong, hay nên ngoài mạng giả như là một máy được xác thực. Hacker có thể làm theo một trong hai cách sau: dùng một địa chỉ IP nằm trong pool địa chỉ cho phép, hoặc một địa chỉ IP được xác thực từ phía bên ngoài truy cập vào mạng.

Có thể làm giảm tấn công IP spoofing theo cách Smurf vào Router bằng cách sau:

Một giải pháp khác nhằm bảo vệ hệ thống là ứng dụng khả năng committed access rate(CAR). CAR là chức năng nằm trong hệ thống IOS còn gọi là Cisco Express Forwarding, có mặt trong các dòng 11.1CC, 11.1CE, và 12.0. Giải pháp này cho phép hạn chế traffic đến các nguồn hoặc đích khác nhau


Network sniffer filters:Monitor all broadcast traffic except specific expected types (for example, RIP)

will disable the translation of directed broadcaststo physical broadcasts

Cisco Configuration (interface command):no ip directed-broadcast

Cisco ACLs: access-list 110 deny ip any host 192.168.255.255access-list 110 deny ip any host 192.168.0.0

explicitly deniestraffic destined for broadcast addresses behind the router



Ví dụ sau mô tả ứng dụng CAR để giới hạn tốc độ ICMP echo và echo-reply traffic tại gateway ở mức 512 Kbps:

! traffic we want to limitaccess-list 102 permit icmp any any echoaccess-list 102 permit icmp any any echo-reply! interface configurations for bordersinterface Serial3/0/0 rate-limit input access-group 102 512000 8000 8000 conform-action transmit exceed-action drop

3 CÁC PHƯƠNG THỨC KHÁC VÀ NGUYÊN TẮC PHÒNG CHỐNG3.1 Các phương thức tấn công thông dụng

1.1.1 Phương thức ăn cắp thống tin bằng Packet Sniffers

Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành phần khác của mạng.

Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN.

Ta có thể cấm packet sniffer bằng một số cách như sau:

- Authentication

- Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.

- Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng.

- Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hoá dữ liệu.




1.1.2 Phương thức tấn công mật khẩu Password attack

Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute-force để lấy user account hơn.

Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork.

Phương pháp giảm thiểu tấn công password:

- Giới han số lần login sai

- Đặt password dài

- Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa.

1.1.3 Phương thức tấn công bằng Mail Relay

Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó.

Phương pháp giảm thiểu :

- Giới hạn dung lương Mail box

- Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP.

- Sử dụng gateway SMTP riêng1.1.4 Phương thức tấn công hệ thống DNS

DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ.

Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.

- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

- Cài đặt hệ thống IDS Host cho hệ thống DNS

- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.

1.1.5 Phương thức tấn công Man-in-the-middle attack

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.

Tấn công dạng này có thể hạng chế bằng cách mã hoá dữ liệu được gởi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.1.1.6 Phương thức tấn công để thăm dò mạng

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin




về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như DNS queries, ping sweep, hay port scan.

Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu.

NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.1.1.7 Phương thức tấn công Trust exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall.

Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng.1.1.8 Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở DMZ có thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside.

Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó.

1.1.9 Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail, HTTP, hay FTP.

Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25.

Một số phương cách để hạn chế tấn công lớp ứng dụng:

- Lưu lại log file, và thường xuên phân tích log file

- Luôn cập nhật các patch cho OS và các ứng dụng

- Dùng IDS, có 2 loại IDS:

o HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên server đó.

o NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát cảnh báo, hay cắt session đó.

Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một signature nào đó, nó sẽ phát cảnh báo.1.1.10 Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì




hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó.

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn cập nhật chương trình chống virus mới.

1.2 Các phương thức bảo mật ứng dụng Cisco IOS

Từ các phân tích các kiểu tấn công thông dụng trên chúng tôi khuyến nghị các cấu hình căn bản dựa trên các tính năng thông dụng Firewall Cisco IOS với hai mô hình mạng chính : Public và Private, Các khả năng nâng cao bảo mật với tính năng mới của Cisco IOS có Firewall/IDS cho các giải pháp phòng ngừa các kiểu tấn công nêu trên.

1.2.1 Ví dụ 1:

Ví dụ sau mô tả hệ thống cấu hình cho môi trường bảo mật Private, với ví dụ trên chỉ cho phép các luồng dữ liệu từ trong ra và các luồng về của dữ liệu yêu cầu, không sử dụng cho các hệ thống bao gồm Public server. Cấu hình sau được thiết kế cho Cisco IOS version 12 trở lên của Router

no ip source-routeno service tcp-small-serversno service udp-small-serversno service finger

interface serial 0ip access-group filterin inip access-group filterout outno cdp enablentp disableno snmpno ip direct-broadcastno ip redirectsno ip unreachables

ip access-list extended filterindeny ip 190.190.190.0 0.0.0.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 anydeny ip 172.16.0.0 0.15.255.255 anydeny ip 192.168.0.0 0.0.255.255 anydeny ip 224.0.0.0 15.255.255.255 anydeny ip host 0.0.0.0 anypermit icmp any any packet-too-bigevaluate packets

ip access-list extended filteroutpermit tcp any any eq 21 reflect packetspermit tcp any any eq 22 reflect packetspermit tcp any any eq 23 reflect packetspermit tcp any any eq 25 reflect packets




permit tcp any any eq 53 reflect packetspermit tcp any any eq 80 reflect packetspermit tcp any any eq 110 reflect packetspermit tcp any any eq 119 reflect packetspermit tcp any any eq 143 reflect packetspermit tcp any any eq 443 reflect packetspermit udp any any eq 53 reflect packetspermit icmp any any packet-too-big

interface ethernet 0ip access-group 12 in

access-list 12 permit 190.190.190.0 0.0.0.255

Mô tả :

1. Chúng tả giả lập trên hai interface của Router, serial 0 interface kết nối Internet , ethernet 0 interface kết nối private network.

2. Ví dụ về khả năng giới hạn outbound traffic (và return traffic) với các dịch vụ chọn lọc , phòng chống các kiểu tấn công D.o.S thông thường.

3. Phòng chống khả năng ngập mạng với ICMP, FTP traffic…

1.2.2 Ví dụ 2:Ví dụ sau mô tả khả năng thiết lập cấu hình bảo mật mạng cho các hệ thống mạng Public với các tính năng đáp ứng bảo mật bằng Firewall cho inbound access , vùng mạng dịch vụ web, mail và DNS servers.

no service fingerno ip source-routeno service tcp-small-serversno service udp-small-servers

interface serial 0ip access-group filterin inip access-group filterout outntp disableno snmpno ip direct-broadcastno ip redirectsno ip unreachablesno cdp enable

ip access-list extended filterindeny ip 190.190.190.0 0.0.0.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 anydeny ip 172.16.0.0 0.15.255.255 anydeny ip 192.168.0.0 0.0.255.255 anydeny ip 224.0.0.0 15.255.255.255 anydeny ip host 0.0.0.0 anypermit tcp any host 200.200.200.2 eq 80permit tcp any host 200.200.200.3 eq 25




permit udp any host 200.200.200.4 eq 53permit icmp any any packet-too-bigevaluate packets

ip access-list extended filteroutpermit tcp host 200.200.200.2 any gt 1023 estpermit tcp host 200.200.200.3 any gt 1023 estpermit udp host 200.200.200.4 any gt 1023 estpermit tcp any any eq 21 reflect packetspermit tcp any any eq 22 reflect packetspermit tcp any any eq 23 reflect packetspermit tcp any any eq 25 reflect packetspermit tcp any any eq 53 reflect packetspermit tcp any any eq 80 reflect packetspermit tcp any any eq 110 reflect packetspermit tcp any any eq 119 reflect packetspermit tcp any any eq 143 reflect packetspermit tcp any any eq 443 reflect packetspermit udp any any eq 53 reflect packetspermit icmp any any packet-too-big

interface ethernet 0ip access-group filterin1 in

ip access-list extended filterin1permit ip 190.190.190.0 0.0.0.255 anypermit icmp any any packet-too-big

interface ethernet 1ip access-group filterout2 outip access-group filterin2 in

ip access-list extended filterout2permit tcp any host 200.200.200.2 eq 80permit tcp any host 200.200.200.3 eq 25permit udp any host 200.200.200.4 eq 53permit icmp any 200.200.200.0 0.0.0.255 packet-too-big

ip access-list extended filterin2permit tcp host 200.200.200.2 any gt 1023 estpermit tcp host 200.200.200.3 any gt 1023 estpermit udp host 200.200.200.4 any gt 1023 estpermit icmp 200.200.200.2 0.0.0.255 any packet-too-bigdeny ip any 190.190.190.0 0.0.0.255 permit tcp host 200.200.200.4 any eq 53permit udp host 200.200.200.4 any eq 53permit tcp host 200.200.200.3 any eq 25

Mô tả :

Với các thiết kế ví dụ trên đáp ứng giảm thiểu khả năng làm ngập mạng với ICMP, FTP traffic, D.o.S request đến hệ thống DNS, Mail Bomb…




Đối với các hệ thống IOS hỗ trợ tính năng Firewall và IDS thì một ví dụ sau sẽ mô tả khả năng phòng chống và nhận diện các kiểu tấn công mới như: Instruder attack, Virus, Broute force attack…Với các chức năng tiên tiến dựa trên kiểm định Log và thời lượng truy cập. Khả năng này còn có khả năng khống chế các kiểu thăm dò mạng với các công cụ Scanner.

ip subnet-zero (enables networks on the 0 boundary)ip classless (allows for CIDR netmasks)

If you are using the IOS Firewall/IDS Feature Set...ip inspect max-incomplete low 100ip inspect max-incomplete high 300ip inspect dns-timeout 8ip inspect tcp idle-time 7200ip inspect tcp finwait-time 8ip inspect tcp max-incomplete host 100 block-time 1ip inspect name Internet tcp alert on audit-trail on timeout 7200ip inspect name Internet udp alert on audit-trail on timeout 60ip inspect name Internet http alert on audit-trail on timeout 120ip inspect name Internet smtp alert on audit-trail on timeout 30ip inspect name Internet ftp alert on audit-trail on timeout 120ip inspect name Internet fragment maximum 250 timeout 15ip audit attack action alarm dropip audit notify logip audit po max-events 50ip audit protected x.y.z.0 to x.y.z.255ip audit smtp spam 100ip audit name Internet attack action alarm dropinterface fastethernet 1/0ip access-group 101 outip access-group 102 inip inspect Internet inip audit Internet in

Phụ lục sau sẽ mô tả chi tiết các quy trình bảo mật hệ thống với các tính năng của IOS Cisco và ứng dụng bảo mật cho các dịch vụ mạng khác.

END.


sacombank security solution 2.0

Documents