Một số giải pháp nhằm đảm bảo an toàn an ninh mạng và bảo mật dữ liệu
Trong hệ thống mạng, vấn đề an toàn và bảo mật thông tin đóng một vai trò hết sức quan trọng. An toàn thiết bị, an toàn dữ liệu, tính bí mật, tin cậy (Condifidentislity), tính xác thực (Authentication), tính toàn vẹn (Integrity), không thể phủ nhận (Non ...
Trong hệ thống mạng, vấn đề an toàn và bảo mật thông tin đóng một vai trò hết sức quan trọng. An toàn thiết bị, an toàn dữ liệu, tính bí mật, tin cậy (Condifidentislity), tính xác thực (Authentication), tính toàn vẹn (Integrity), không thể phủ nhận (Non repudiation), khả năng điều khiển truy nhập (Access Control), tính khả dụng, sẵn sàng (Availability)
2.2.1. Công nghệ tường lửa (FireWall)
- Firewall mềm
Đặc điểm: Là những Firewall dưới dạng phần mềm được cài đặt trên Server.
|
|---|
| Hình 2.2: Minh họa Firewall mềm |
Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
- Firewall cứng
Đặc điểm: Là những firewall được tích hợp vào thiết bị phần cứng.
|
|---|
| Hình 2.3: Minh họa Firewall cứng |
2.2.2. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS
Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS).
Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công.
Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).
Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
- Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy nhập.
- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.
- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng dụng và chữ kí.
- Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng.
-
Modul phân tích gói:
Nhiệm vụ phân tích cấu trúc thông tin trong các gói tin. Card giao tiếp mạng (NIC) của máy giám sát được đặt ở chế độ không phân loại, các gói tin qua chúng đều được sao chép và chuyển lên lớp trên.
- Modul phát hiện tấn công:
Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn công. Có 2 phương pháp phát hiện các cuộc tấn công xâm nhập:
- Dò tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện giống các mẫu tấn công đã biết.
Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình.
Nhược điểm: Không phát hiện được các tấn công không có trong mẫu, các tấn công mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.
Modul phản ứng:
Khi có dấu hiệu của sự tấn công hoặc xâm nhập thì modul phát hiện tấn công sẽ gửi tín hiệu thông báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.
Một số kĩ thuật ngăn chặn:
- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và cuộc tấn công bị ngừng lại.
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, ngăn chặn thành công và có chính sách quản lí mềm.
Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.
Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).
Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
- Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy nhập.
- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.
- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng dụng và chữ kí.
- Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng.
-
Modul phân tích gói:
Nhiệm vụ phân tích cấu trúc thông tin trong các gói tin. Card giao tiếp mạng (NIC) của máy giám sát được đặt ở chế độ không phân loại, các gói tin qua chúng đều được sao chép và chuyển lên lớp trên.
- Modul phát hiện tấn công:
Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn công. Có 2 phương pháp phát hiện các cuộc tấn công xâm nhập:
- Dò tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện giống các mẫu tấn công đã biết.
Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ thống của mình.
Nhược điểm: Không phát hiện được các tấn công không có trong mẫu, các tấn công mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.
Modul phản ứng:
Khi có dấu hiệu của sự tấn công hoặc xâm nhập thì modul phát hiện tấn công sẽ gửi tín hiệu thông báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.
Một số kĩ thuật ngăn chặn:
- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và cuộc tấn công bị ngừng lại.
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, ngăn chặn thành công và có chính sách quản lí mềm.
Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.
Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.
2.2.3. Công nghệ mạng LAN ảo (VLAN)
VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. VLAN là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá. VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng nhóm
- Khái niệm về VLAN
VLAN là một nhóm các thiết bị mạng không giới hạn theo vị trí vật lý hoặc theo LAN switch mà chúng tham gia kết nối vào.
VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng dụng của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng.
|
|---|
| Hình 2.5: Phân đoạn mạng theo kiểu VLAN |
Miền quảng bá với VLAN và router.
Một VLAN là một miềm quảng bá được tạo nên một hay nhiều switch. Hình trên cho thấy tạo 3 miền quảng bá riêng biệt trên 3 swich như thế nào. Định tuyến lớp 3 cho phép router chuyển gói giữa các miền quản bá với nhau.
Hoạt động của VLAN
Mỗi cổng trên switch có thể gán cho một VLAN khác nhau. Các cổng nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các cổng không nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động hiệu quả hơn.
Ưu điểm, Ứng dụng của VLAN
- Ưu điểm của VLAN
Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ không theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ dàng hơn:
Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.
Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hình VLAN khác nhau cho từng cổng, do đó dẽ dàng kết nối thêm các máy tính với các VLAN.
Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn (là một vùng quản bá). Khi một gói tin buảng bả, nó sẽ được truyền đi chỉ trong một LAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền.
- Ứng dụng của VLAN
Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn phòng.
Sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network - VAN).
Các loại VLAN
Có 3 loại thành viên VLAN để xác định và kiểm soát việc xử lý các gói dữ liệu: VLAN dựa trên cổng (port based VLAN), VLAN theo địa chỉ MAC (MAC address based VLAN), VLAN theo giao thức (protocol based VLAN).
Bảo mật tối đa giữa các VLAN, gói dữ liệu không “rò rỉ” sang các miền khác, dễ dàng kiểm soát qua mạng.
Cấu hình VLAN
- Cấu hình VLAN cơ bản
Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối, đến đầu cuối hoặc theo giới hạn địa lý.
|
|---|
| Hình 2.6: VLAN từ đầu cuối – đến – đầu cuối |
Một VLAN từ đầu cuối – đến đầu cuối có các đặc điểm sau:
Người dùng được phân nhóm VLAN hoàn toàn không phụ thuộc vào vị trí vật lý, chỉ phụ thuộc vào chức năng công việc của nhóm.
Mọi users trong một VLAN đều có chung tỉ lệ giao thông là: 80% giao thông bên trong và 20% giao thông bên ngoài VLAN.
Khi người dùng đầu cuối di chuyển trong hệ thống mạng vẫn không thay đổi VLAN của người dùng đó.
Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN đó.
- Cấu hình VLAN theo vật lý
Xu hướng sử dụng và phân bố tài nguyên mạng khác đi nên hiện nay VLAN thường được tạo ra theo giới hạn của địa lý.
Phạm vi địa lý có thể lớn bằng toà nhà hoặc cũng có thể chỉ nhỏ với một switch. Trong cấu trúc này, tỉ lệ lưu lượng sẽ là 20% giao thông trong nội bộ VLAN và 80% giao thông đi rao ngoài mạng VLAN.
Điểm này có ý nghĩa là lưu lượng phải đi qua thiết bị lớp 3 mới đến được 80% nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên được thống nhất.
- Cấu hình VLAN cố định
VLAN cố định là VLAN được cấu hình theo port trên swich bằng các phần mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã được gán vào VLAN nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi thay đổi bằng lệnh.
- VLAN Trunking Protocol (VTP)
VTP là giao thức hoạt động ở lớp 2 trong mô hình OSI. VTP giúp cho việc cấu hình VLAN luôn hoạt động đồng nhất khi thêm, xoá, sửa thông tin về VLAN trong hệ thống mạng.
Trong khuôn khổ mô trường chuyển mạch VLAN. Một đường Trunk là một đường kết nối point-to-point để hỗ trợ các VLAN trên các switch liên kết với nhau. Một đường cấu hình Trunk sẽ gộp nhiều đường liên kết ảo trên một đường liên kết vật lý để chuyển tín hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý.
2.2.4. Nghiên cứu mạng riêng ảo(VPN)
2.2.3.1. Giới thiệu VPN
- Mạng VPN an toàn bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư, sự chứng thực và toàn vẹn dữ liệu thông qua các giải thuật mã hoá.
Site to site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau.
Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối Remote-Access VPN áp dụng cho các cơ quan mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.
Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.
2.2.3.2. Các giai đoạn của kết nối VPN
Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel.
Mã hoá kênh thông tin VPN
Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật.
SSL (Secure Socket Layer),- IPSec (IP Security Tunnel Mode, PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
2.2.3.5. Bảo đảm an toàn thông tin
Xác thực, xác nhận và quản lý tài khoản (AAA - Authentication, Authorization, Accounting): AAA được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN.
Mã hoá dữ liệu (Enencryption): Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được.
Hình 2.12: Hệ thống mã hoá máy tính
- Mã hoá sử dụng khoá riêng (Symmetric-key encryption): Nhược điểm chính của phương pháp này là khóa được truyền trên môi trường mạng nên tính bảo mật không cao. Ưu điểm là tốc độ mã hóa và giải mã rất nhanh.
- Mã hoá sử dụng khoá công khai(Public-key encryption): Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã.
Các tiêu chuẩn mã hóa dữ liệu: Đưa ra bởi NIST (National Institute of Standard and Technology, US). DES là một thuật toán khối với kích thước khối 64 bit và kích thước chìa 56 bit.
2.2.3.6. Nghiên cứu IPSec (IP Security Tunnel Mode) - Mật mã hóa giao thức IP.
IPsec được đề xuất như một khung về mật mã hoá và xác thực có thể ứng dụng được cả cho IPv4 (32bit) và IPv6 (128 bit).
Các giao thức an ninh của IPSec: Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo mật sau: AH (Authentication Header) và ESP (Encapsulating Security Payload).
