Sacombank Security Solution 2.0

5/16/2018 Sacombank Security Solution 2.0 - slidepdf.com

http://slidepdf.com/reader/full/sacombank-security-solution-20-55ab5710c5bef 1/63

Sacombank ProjectD AN XÂY D NG Ư

H TH NG B O M TỐ Ả Ậ

C O N F I D E N T I A L T O F P T A N D S A C O M B A N K ,

04/17/12



Sacombank Network security

Security network solution for Sacombank

Saved: 17/04/2012Version: 2.0

I. M C L CỤ

I. M C L CỤ .................................................................................................................................................... ....... I

II. HI N TR NG VÀ M C TIÊU D ÁNẠ Ụ Ự .............................................................................................................. ......... 1

1 GI I THI U T NG THỆ Ổ Ể ........................................................................................................................................... 1

1.1 Xác đnh các k h và nguy c c a h th ng m ngị ẽ ở ơ ủ ệ ố ạ .......................................................................................................................................... 1

1.2 Mô t c u trúc t ng quát h th ngả ấ ổ ệ ố .................................................................................................................................................................... 2

1.3 Phân h máy ch ng d ngệ ủ ứ ụ ............................................................................................................................................................................... 2

2 MÔ T C U TRÚC M N G SA COM BA NKẤ Ạ ....................................................................................................................... 2

3 CÁC M I ĐE D A TI M NĂNG V I H TH NGỌ Ề Ớ Ệ Ố .......................................................................................................... 5

4 PHÂN TÍCH CHÍNH SÁCH B O M T CHO SACOMBANKẬ ............................................................................................... .. 6

4.1 Xác đnh trách nhi m c a m i ng i trong h th ng v i chính sách b o m tị ệ ủ ọ ườ ệ ố ớ ả ậ ................................................................................................... 6

4.2 Xác đnh các tài nguyên c n đ c b o vị ầ ượ ả ệ.......................................................................................................................................................... 7

4.3 Xác đ nh các m i đe do đ i v i h th ngị ố ạ ố ớ ệ ố ......................................................................................................................................................... 7

4.4 Xác đ n h trách nhi m và m c đ s d ng c a t ng ng i s d ng trong m ngị ệ ứ ộ ử ụ ủ ừ ườ ử ụ ạ ............................................................................................... 9

4.5 Xác đ nh các công c đ th c thi các chính sách b o m tị ụ ể ự ả ậ ............................................................................................................................... 10

4.6 Xác đ nh các hành đ ng khi chính sách b o m t b xâm ph mị ộ ả ậ ị ạ ........................................................................................................................ 10

5 Đ XU T GI I PHÁP B O M TẤ Ả Ả Ậ ............................................................................................................................... 10

6 CÔNG NGH VÀ THI T B B O M T Đ NGHẾ Ị Ả Ậ Ề Ị .......................................................................................................... 14

6.1 Công ngh và gi i pháp Firewall khuy n nghệ ả ế ị ................................................................................................................................................. 14

6.2 Gi i pháp Firewall đ ngh cho SACOMBANK ả ề ị .................................................................................................................................................... 19

6.3 Gi i pháp phát hi n và ch ng xâm nh p IDSả ệ ố ậ ................................................................................................................................................... 22

6.4 Gi i pháp phát hi n và phòng ch ng Virusả ệ ố ....................................................................................................................................................... 25

6.5 Gi i pháp s d ng InterScan VirusWall khuy n ngh cho Sacombank ả ử ụ ế ị ............................................................................................................... 27

6.6 H th ng dò t ìm l i b o m t khuy n ngh cho tòan h th ng (Scanner)ệ ố ỗ ả ậ ế ị ệ ố ......................................................................................................... 33

III. PHÂN CHIA QUÁ TRÌNH TRI N KHAI ........................................................................................................... ........ 36

1. TRI N KHAI H TH NG GIAI Đ AN IỆ Ố Ọ ..................................................................................................................... 36

2. TRI N KHAI H TH NG GIAI Đ AN IIỆ Ố Ọ .................................................................................................................... 36

3. TRI N KHAI H TH NG GIAI Đ AN IIIỆ Ố Ọ ................................................................................................................ .. 41

4. TRI N KHAI H TH NG GIAI Đ AN IVỆ Ố Ọ ................................................................................................................... 42

4.1 S d ng VPN cho các k t n i t ng i dùng và chi nhánh vào các máy ch d li uử ụ ế ố ừ ườ ủ ữ ệ ...................................................................................... 42

4.2 M t s ki u k t n i c a VPNộ ố ể ế ố ủ ............................................................................................................................................................................ 42

4.3 Đ xu t thi t k VPN cho m ng Sacombank ề ấ ế ế ạ .................................................................................................................................................... 45

4.4 T ng k t mô hình khuy n ngh tri n khai h th ng b o v m ng Sacombank ổ ế ế ị ể ệ ố ả ệ ạ ................................................................................................ 48

III. ĐÁNH GIÁ GI I PHÁP ........................................................................................................................................ 49

IV. PH L CỤ ......................................................................................................................................................... 50

Commercial in confidence to Sacombank and FPT HCM Branch.Not for distribution without express prior approval from FPT Corp Page I






1 CÁC PH NG TH C T N CÔNG D.O.S THÔNG TH NGƠ Ứ Ấ ƯỜ ............................................................................................ 50

2 PH NG TH C T N CÔNG IP SPOOFING D NG SMURFƠ Ứ Ấ Ạ ......... ......... ........ ......... ......... ......... ........ ......... ......... ......... ... 53

3 CÁC PH NG TH C KHÁC VÀ NGUYÊN T C PHÒNG CH NGƠ Ứ Ắ Ố ....................................................................................... 54

3.1 Các ph ng th c t n công thông d ngươ ứ ấ ụ ............................................................................................................................................................ 54

1.1.1 Phương thức ăn cắp thống tin bằng Packet Sniffers ......... ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... ....... .... .... 54

1.1.2 Phương thức tấn công mật khẩu Password attack ......... .......... ......... ......... .......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... .... .... 55

1.1.3 Phương thức tấn công bằng Mail Relay ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... ......... .......... ......... ........ .... .. 55

1.1.4 Phương thức tấn công hệ thống DNS ......... ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ..... ... 55

1.1.5 Phương thức tấn công Man-in-the-middle attack ......... .......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... ...... .... ..... ... 55

1.1.6 Phương thức tấn công để thăm dò mạng ........ .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... ......... .... . 55

1.1.7 Phương thức tấn công Trust exploitation ......... ......... ......... .......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... .... ..... ... 56

1.1.8 Phương thức tấn công Port redirection ........ .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ...... 56

1.1.9 Phương thức tấn công lớp ứng dụng ......... ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ....... ... 56

1.1.10 Phương thức tấn Virus và Trojan Horse ......... ......... .......... ......... .......... ......... ......... .......... ......... .......... ......... .......... ......... ......... .......... ......... ....... .... ..... ..... 56

1.2 Các ph ng th c b o m t ng d ng Cisco IOSươ ứ ả ậ ứ ụ ............................................................................................................................................... 57

1.2.1 Ví dụ 1: .............................................................................................................................................................................................................................. 57

1.2.2 Ví dụ 2: .............................................................................................................................................................................................................................. 58

Commercial in confidence to Sacombank and FPT HCM Branch.Not for distribution without express prior approval from FPT Corp Page II






II. HI N TR NG VÀ M C TIÊU D ÁNẠ Ụ Ự

1 GI I THI U T NG THỆ Ổ ỂCho đ n h t năm 2003, Ngân hàng Sacombank đã hình thành tri n khai k t n i m ng WAN t iế ế ể ế ố ạ ớ nhi u T nh và Thành ph g n 12 đ n v c p Qu n thu c 03 Thành Ph l n ( Hà n i, TP HCM và ề ỉ ố ầ ơ ị ấ ậ ộ ố ớ ộ Đà N ng), Sacombank đang t ng b c xây d ng h th ng m ng tr c chính k t n i 3 trung tâm –ẵ ừ ướ ự ệ ố ạ ụ ế ố 3 Thành ph l n Hà n i, Đà N ng, TP HCM, k t n i xu ng các chi nhánh c p d i theo mô hìnhố ớ ộ ẵ ế ố ố ấ ướ phân c p, do yêu c u phát tri n các d ch v ngân hàng m i, m ng WAN này c n ph i k t n i vàấ ầ ể ị ụ ớ ạ ầ ả ế ố trao đ i thông tin v i m ng Internet toàn c u và v i m ng c a các đ n v khác Vi t nam. Do v yổ ớ ạ ầ ớ ạ ủ ơ ị ở ệ ậ Sacombank đã quy t đ nh xây d ng 2 c ng k t n i ra Internet và các t ch c bên ngoài. Trong đóế ị ự ổ ế ố ổ ứ c ng chính l p đ t t i TP HCM là tr ng đi m phát tri n công ngh n n t ng cho toàn b côngổ ắ ặ ạ ọ ể ể ệ ề ả ộ đ an phát tri n m ng WAN trong t ng lai c a Sacombank .ọ ể ạ ươ ủ

Công tác chu n hoá và tăng c ng ANTH ch y u s g m có 3 nhóm nhi m v l n v i nh ng n iẩ ườ ủ ế ẽ ồ ệ ụ ớ ớ ữ ộ dung sau đây:

1.1 Xác đ nh các k h và nguy c c a h th ng m ngẽ ở ơ ủ ệ ố ạ

-Tìm ra v trí chính xác c a nh ng k h , n i có kh năng t phát sinh s c t bên trong ho c bị ủ ữ ẽ ở ơ ả ự ự ố ừ ặ ị l i d ng t n công t bên ngoàiợ ụ ấ ừ

-Ch ra c th nh ng m i đe d a ho c ti m tàng nguy hi m đ i v i s an toàn c a h th ngỉ ụ ể ư ố ọ ặ ề ể ố ớ ự ủ ệ ố thông tin

-Rà soát l i hàng rào pháp lý ANTHạ

Thi hành các bi n pháp k thu t và t ch cệ ỹ ậ ổ ứ

-Xây d ng và thi hành các lu t, chính sách, quy ch v thông tin và ANTHự ậ ế ề

-Tuyên truy n giáo d c ANTH, nâng cao nh n th c c a lãnh đ o và m i ng i ề ụ ậ ứ ủ ạ ọ ườ

-Trang b ki n th c và các thi t b , ph n m m an ninh tin h cị ế ứ ế ị ầ ề ọ

-Áp d ng các tiêu chu n ANTH tr c khi các nguy hi m có th bùng phátụ ẩ ướ ể ể

-Th ng xuyên ki m tra ho t đ ng m i khâu c a h th ng thông tinườ ể ạ ộ ở ọ ủ ệ ố

-Thành l p trung tâm c u h , s n sàng đ i phó các tai h aậ ứ ộ ẵ ố ọ

-Sao chép và l u tr d li u vài n i an toànư ữ ữ ệ ở ơ

Commercial in confidence to Sacombank and FPT HCM Branch.Not for distribution without express prior approval from FPT Corp Page 1






1.2 Mô t c u trúc t ng quát h th ngấ ổ ệ ố

C u trúc b o m t m ng d ki n xây d ng s d a trên c u trúc m ng bao g m các ph n sau:ấ ả ậ ạ ự ế ự ẽ ự ấ ạ ồ ầ

Phân h k t n i Internet và truy c p t xaế ố ậ ừ

Ph n này đ c trang b các thi t b k t n i Gateway Cisco Router riêng k t n i v i m ng Internet, ầ ượ ị ế ị ế ố ế ố ớ ạ cho phép m r ng và nâng c p t c đ c ng k t n i Internet tuỳ theo nhu c u phát tri n. Ng iở ộ ấ ố ộ ổ ế ố ầ ể ườ dùng truy nh p vào m ng đ c xác th c tuỳ theo quy n truy nh p đ vào m ng n i b ho cậ ạ ượ ự ề ậ ể ạ ộ ộ ặ Internet và CSDL dùng đ xác th c đ c qu n lý t p trung trên máy ch ACS đ t vùng qu n trể ự ượ ả ậ ủ ặ ở ả ị h th ng.ệ ố

Phân h m ng DMZạ

G m h th ng máy ch Web, E-mail, dành cho khách hàng, n i b truy nh p, trên máy ch Web ồ ệ ố ủ ộ ộ ậ ủ g m có các h th ng giao d ch trên WEB c a Ngân hàng, Internet Banking, home Banking, các ồ ệ ố ị ủ thông tin qu ng cáo, tra c u các s n ph m c a Sacombank, các h th ng đào t o, d y h c đi nả ứ ả ẩ ủ ệ ố ạ ạ ọ ệ t n i b . Máy ch Email c a các tài kho n n i b hay khách hàng, máy ch Web đ c cài các bử ộ ộ ủ ủ ả ộ ộ ủ ượ ộ l c theo các n i dung, các đ a ch trang WEB, ngoài ra t i khu v c này còn có các máy ch Virusọ ộ ị ỉ ạ ự ủ đ ki n tra Virus đ i v i các thông tin vào ra Internet.ể ể ố ớ

1.3 Phân h máy ch ng d ngủ ứ ụ

Các máy ch ng d ng ch a các CSDL dành cho các ng d ng , h t s c quan tr ng do v y khuủ ứ ụ ứ ứ ụ ế ứ ọ ậ v c này c n đ c đ m b o m c đ an ninh b o m t cao.ự ầ ượ ả ả ứ ộ ả ậ

Phân h qu n tr m ngả ị ạ

Bao g m các máy ch qu n tr an ninh, máy ch xác th c , máy ch quét các d ch v trên m ng ồ ủ ả ị ủ ự ủ ị ụ ạ (IDS)

Phân h k t n i ra bên ng oài (EXTRANET)ế ố

Dành cho các k t n i t các đ n v bên ngoài ho c bên ngòai truy c p vào m ng c a Ngân hàngế ố ừ ơ ị ặ ậ ạ ủ Sacombank

Phân h máy ch CSDLủ

Các máy ch ng d ng ch a các CSDL chính, h t s c quan tr ng do v y khu v c này c n đ củ ứ ụ ứ ế ứ ọ ậ ự ầ ượ đ m b o m c đ an ninh b o m t cao nh t.ả ả ứ ộ ả ậ ấ

Phân h k t n i WAN c a SACOMBANKế ố ủ

Ph n k t n i vào c ng Gateway Firewall, nh m b o v các giao d ch t bên ngoài vào ầ ế ố ổ ằ ả ệ ị ừ

2 MÔ T C U TRÚC M NG SACOMBANKẤ Ạ

H th ng m ng c a Sacombank là m t h th ng WAN l n, có khuynh h ng m r ng r t cao.ệ ố ạ ủ ộ ệ ố ớ ướ ở ộ ấ

Đây là m t h th ng m ng k t n i xuyên su t gi a h i s chính, 15 chi nhánh và phòng giao d chộ ệ ố ạ ế ố ố ữ ộ ở ị







v i nhau, đ ng th i k t n i ra Internet đ th c hi n các giao d ch v i khách hàng. C s d li uớ ồ ờ ế ố ể ự ệ ị ớ ơ ở ữ ệ ngày càng phát tri n l n h n cùng v i nhu c u ng d ng công ngh thông tin cao đòi h i nh tể ớ ơ ớ ầ ứ ụ ệ ỏ ấ thi t ph i có các gi i pháp đ b o đ m an toàn an ninh cho toàn b h th ng m ng.ế ả ả ể ả ả ộ ệ ố ạ

H i s chính hi n đã có 2 đ ng leased line 2048 Kbps đ n b u đi n. Các chi nhánh k t n i v iộ ở ệ ườ ế ư ệ ế ố ớ Data Center qua kênh riêng leased line 128 Kbps và theo 2 đ ng leased line 2048Kbps đ k t n iườ ề ế ố v h i s . Ngoài ra, còn có đ ng backup đ k t n i các chi nhánh v i h i s chính qua m ng ề ộ ở ườ ể ế ố ớ ộ ở ạ PSTN. Khi đ ng leased line x y ra s c , đ ng backup này đ c b t lên đ m b o liên l c traoườ ả ự ố ườ ượ ậ ả ả ạ đ i thông tin liên t c gi a chi nhánh và trung tâm c a Sacombank. Các phòng giao d ch k t n i v iổ ụ ữ ủ ị ế ố ớ chi nhánh qua m ng PSTN.ạ

S đ chi ti t k t n i m ng Sacombank:ơ ồ ế ế ố ạ

H th ng m ng trung tâm c a Sacombank là trung tâm tích h p d li u h th ng ,trung tâm l uệ ố ạ ủ ợ ữ ệ ệ ố ư tr cũng nh giao d ch c a toàn b h th ng c a Sacombank.ữ ư ị ủ ộ ệ ố ủ

C u trúc h th ng m ng Sacombank:ấ ệ ố ạ

H i s (trung tâm):ộ ở







Đây là trung tâm tin h c c a Sacombank., khu v c này t p trung toàn b c s d li u c aọ ủ ự ậ ộ ơ ở ữ ệ ủ Sacombank. Toàn b các server cũng đ c t p trung t i đây. Hi n có kho ng 5 Servers và 200ộ ượ ậ ạ ệ ả clients.

S đ nh sau:ơ ồ ư

Chi nhánh lo i I:ạ

Có kho ng 15 chi nhánh. M i chi nhánh là m t m ng LAN k t n i v i trung tâm. C s d li uả ỗ ộ ạ ế ố ớ ơ ở ữ ệ đ c t p trung v chi nhánh. Các giao d ch t i chi nhánh đ u ph i qua trung tâm. M i chi nhánhượ ậ ề ị ạ ề ả ỗ có kho ng 30-40 users (t i Thành Ph HCM) và kho ng 10-15 users đ i v i các chi nhánh ngo iả ạ ố ả ố ớ ạ t nh.ỉ

Chi nhánh lo i II (Phòng giao d ch):ạ ị







T i phòng giao d ch có m t s máy đ th c hi n công tác giao d ch v i khách hàngạ ị ộ ố ể ự ệ ị ớ

Đ c đi m c a h th ng m ng SacomBank:ể ủ ệ ố ạ

H đi u hành và các ng d ng chính:ệ ề ứ ụ

H đi u hành: Hi n t i các server đang ch y h đi u hành Windows 2000 Theo đ nh h ng c aệ ề ệ ạ ạ ệ ề ị ướ ủ C c tin h c ngân hàng t ng lai các h th ng máy ch Ngân hàng s xây d ng trên n n t ng Unixụ ọ ươ ệ ố ủ ẽ ự ề ả

C s d li u : Hi n t i đang s d ng MicroSoft SQL Server, t ng lai s chuy n sang s d ngơ ở ữ ệ ệ ạ ử ụ ươ ẽ ể ử ụ Oracle.

Các máy tính cá nhân: Ch y u ch y h đi u hành Windows9x, Windows2000, WindowsXP. Khôngủ ế ạ ệ ề có PC ch y h đi u hành cũ h n Windows9x.ạ ệ ề ơ

Th đi n t : S d ng mail n i b có c ng offline ra ngoài, thuê d ch v c a FPT, s d ng ph nư ệ ử ử ụ ộ ộ ổ ị ụ ủ ử ụ ầ m m Mail Daemon. S p t i, h th ng th đi n t cũng s đ c chuy n sang online. ề ắ ớ ệ ố ư ệ ử ẽ ượ ể

Các ng d ng an toàn thông tin: Hi n t i ch a tri n khai ng d ng hay thi t b nào đ đ m b oứ ụ ệ ạ ư ể ứ ụ ế ị ể ả ả an toàn an ninh m ng, ngo i tr ph n m m ch ng virus Norton Corporation. Ph n m m ch ngạ ạ ừ ầ ề ố ầ ề ố virus này có m t s h n ch v vi c update thông tin virus m i cũng nh là các d ch v h tr .ộ ố ạ ế ề ệ ớ ư ị ụ ỗ ợ Đây ch là gi i pháp t m th i trên các PC đ n l trong h th ng m ng.ỉ ả ạ ờ ơ ẻ ệ ố ạ

H th ng đ xu t c n xác đ nh các giai đ an xây d ng nh m đ m b o xây d ng h th ng ngàyệ ố ề ấ ầ ị ọ ự ằ ả ả ự ệ ố càng tòan di n đi đôi v i kh năng nâng cao kh năng qu n tr cho nhân viên qu n tr theo t ngệ ớ ả ả ả ị ả ị ừ quy trình đ ng b hi u qu cao. ồ ộ ệ ả

3 CÁC M I ĐE D A TI M NĂNG V I H TH NGỌ Ề Ớ Ệ Ố

Ho t đ ng c a ngân hàng SacomBank tr i dài kh p mi n đ t n c v i s l ng nhân viên l n.ạ ộ ủ ả ắ ề ấ ướ ớ ố ượ ớ Kh i l ng thông tin x lý trong ho t đ ng nghi p v r t l n. Tuy nhiên không ph i ai cũng cóố ượ ử ạ ộ ệ ụ ấ ớ ả quy n truy nh p nh ng kho thông tin này. Do đó ngân hàng SacomBank có nhu c u xây d ng m t ề ậ ữ ầ ự ộ h th ng b o m t cho m ng tin h c ph c v đi u hành, kinh doanh. H th ng b o m t này ph iệ ố ả ậ ạ ọ ụ ụ ề ệ ố ả ậ ả đ m b o các yêu c u sau:ả ả ầ

B o đ m an toàn cho toàn b thông tin trên m ng, ch ng l i m i s truy nh p b t h pả ả ộ ạ ố ạ ọ ự ậ ấ ợ

pháp vào m ng. S truy nh p đây s đ c ti n hành khi ngân hàng SacomBank k t n iạ ự ậ ở ẽ ượ ế ế ố

ra Internet.

Ki m soát đ c m i hành đ ng truy nh p vào m ng c a ng i s d ng. Đ m b o an ninhể ượ ọ ộ ậ ạ ủ ườ ử ụ ả ả

t nh ng ng i s d ng bên trong ngân hàng SacomBan.ừ ữ ườ ử ụ

Có kh năng b o đ m an toàn d li u truy n, nh n qua các d ch v đ ng truy n do b uả ả ả ữ ệ ề ậ ị ụ ườ ề ư

đi n cung c p (PSTN). Có gi i pháp h u hi u ngay khi m ng ngân hàng SacomBan bệ ấ ả ữ ệ ạ ị

thăm dò đ truy nh p.ể ậ

Chi phí phù h p v i d trù kinh phí c a ngân hàng SacomBank.ợ ớ ự ủ







Đáp ng đ c kh năng m r ng c a m ng ngân hàng SacomBank trong t ng lai: mứ ượ ả ở ộ ủ ạ ươ ở

r ng v s l ng máy tr m, s l ng máy ch , các m ng LAN và các ng d ng.ộ ề ố ượ ạ ố ượ ủ ạ ứ ụ

Tuy nhiên, hi n t i v n đ an ninh c a m ng ngân hàng SacomBank v n ch a đ t đ c nh ngệ ạ ấ ề ủ ạ ẫ ư ạ ượ ữ y u t đó:ế ố

Ngân hàng SacomBank ch a có m t chính sách an ninh m ng th c s nào đ c áp d ng.ư ộ ạ ự ự ượ ụ

Đi u này d n đ n vi c t ch c, qu n lý và s d ng m ng không đúng theo ý mu n c a ề ẫ ế ệ ổ ứ ả ử ụ ạ ố ủ

qu n tr m ng và d dàng gây nên các thi t h i không l ng tr c.ả ị ạ ễ ệ ạ ườ ướ

M ng tin h c ngân hàng SacomBank hi n t i có ki n trúc an ninh là ki n trúc ph ng m tạ ọ ệ ạ ế ế ẳ ộ

l p. Ki n trúc này hoàn toàn không có đ sâu b o v . N u m t đi m nh y c m b t nớ ế ộ ả ệ ế ộ ể ạ ả ị ấ

công thì toàn m ng s b đ t nh p ti p t c theo ph n ng dây chuy n m t cách nhanhạ ẽ ị ộ ậ ế ụ ả ứ ề ộ

chóng.

Trên toàn m ng không có m t c ch đ m b o an ninh m ng nào. Đi u này d n đ n vi cạ ộ ơ ế ả ả ạ ề ẫ ế ệ

m ng không có kh năng phân c p, đi u khi n truy nh p, không có kh năng xác th cạ ả ấ ề ể ậ ả ự

c p phép ng i dùng, không các kh năng ph n ng l i các t n công và không có khấ ườ ả ả ứ ạ ấ ả

năng theo dõi toàn b ho t đ ng c a m ng.ộ ạ ộ ủ ạ

Trên toàn m ng có r t nhi u các đi m có k t n i v i bên ngoài, nh k t n i chính điạ ấ ề ể ế ố ớ ư ế ố

Internet, k t n i v i các t ch c ngân hàng b n và các t ch c thanh toán khác, k t n iế ố ớ ổ ứ ạ ổ ứ ế ố

v i các chi nhánh n i b và k t n i quay s đi Internet t các máy tr m đ n l c a ng iớ ộ ộ ế ố ố ừ ạ ơ ẻ ủ ườ dùng. N u không có phân lo i, quy ho ch, t ch c l i các k t n i này thì hacker có th l iế ạ ạ ổ ứ ạ ế ố ể ợ

d ng các k t n i này đ thâm nh p vào m ng.ụ ế ố ể ậ ạ

Qu n tr m ng và ng i dùng ch a đ c đào t o đ qu n lý và khai thác m ng m t cáchả ị ạ ườ ư ượ ạ ể ả ạ ộ

hi u qu , an ninhệ ả

4 PHÂN TÍCH CHÍNH SÁCH B O M T CHO SACOMBANKẬ

Đ phân tích chính sách b o m t cho ngân hàng Sacombank, chúng ta ph i phân tích đ c cácể ả ậ ả ượ

v n đ sau trong h th ng thông tin c a ngân hàng Sacombank:ấ ề ệ ố ủ

4.1 Xác đ nh trách nhi m c a m i ng i trong h th ng v i chính sách b oệ ủ ọ ườ ệ ố ớ ả m t

Trách nhi m c a m i ng i ph i xác đ nh và phân tích c th . Đ i v i m ng ngân hàngệ ủ ỗ ườ ả ị ụ ể ố ớ ạ Sacombank, có th chia nhi u m c trách nhi m:ể ề ứ ệ

Ng i đ a ra chính sách đó ph i là cán b ph trách tin h c c a Trung tâm tin h c, cánườ ư ả ộ ụ ọ ủ ọ

b chuyên trách m ng b o m t c a trung tâm tin h c và các cán b ph trách tin h c t iộ ả ả ậ ủ ọ ộ ụ ọ ạ

các chi nhánh.







Tuy nhiên chính sách này còn ph i phù h p v i chính sách qu n lý c a ngân hàngả ợ ớ ả ủ

Sacombank. Do đó còn m t c p n a đó là nh ng ng i có trách nhi m ch p nh n cácộ ấ ữ ữ ườ ệ ấ ậ

chính sách b o m t: Đó là nh ng ng i lãnh đ o c a ngân hàng, các chi nhánh, cácả ậ ữ ườ ạ ủ

phòng ch c năng, nghi p v .ứ ệ ụ

Do đ c thù c a ngân hàng Sacombank nên v m t qu n tr m ng có th có ng i qu n trặ ủ ề ặ ả ị ạ ể ườ ả ị

chính có quy n cao nh t áp d ng cho toàn b h th ng và có quy n t i t t c các tài ề ấ ụ ộ ệ ố ề ạ ấ ả

nguyên c a h th ng, sau đó t i m i chi nhánh s có quy n qu n tr ít h n ph c v ho tủ ệ ố ạ ỗ ẽ ề ả ị ơ ụ ụ ạ

đ ng trong m ng LAN c a mình. Vi c phân tích quy n h n c a t ng c p qu n tr s đ cộ ạ ủ ệ ề ạ ủ ừ ấ ả ị ẽ ượ

th c hi n khi tri n khai d án này.ự ệ ể ự

Còn l i v i ng i s d ng thì ph i xác đ nh rõ trách nhi m c a ng i dùng. H ph i cóạ ớ ườ ử ụ ả ị ệ ủ ườ ọ ả

trách nhi m gi gìn m t kh u truy nh p vào m ng c a h cũng nh ý th c gi gìn các tàiệ ữ ậ ẩ ậ ạ ủ ọ ư ứ ữ nguyên thông tin khác.

4.2 Xác đ nh các tài nguyên c n đ c b o vầ ượ ả ệ

V n đ quan tr ng là ph i xác đ nh đ c các tài nguyên c a m ng ngân hàng Sacombank có thấ ề ọ ả ị ượ ủ ạ ể b tác đ ng b i h th ng b o m t. Các tài nguyên c n đ c b o v :ị ộ ở ệ ố ả ậ ầ ượ ả ệ

Ph n c ng: Các máy ch c a m ng, các máy tr m, các thi t b m ng (Routers, Access ầ ứ ủ ủ ạ ạ ế ị ạ

Servers).

Ph n m m: Do đ c thù c a ngân hàng Sacombank là ph c v ho t đ ng kinh doanh ti n ầ ề ặ ủ ụ ụ ạ ộ ề

t trên toàn lãnh th Vi t Nam và liên h ch t ch v i các ngân hàng n c ngoài, các tệ ổ ệ ệ ặ ẽ ớ ướ ổ

ch c tín d ng qu c t nên các ph n m m c n đ c b o v : H đi u hành c a các máyứ ụ ố ế ầ ề ầ ượ ả ệ ệ ề ủ

ch UNIX, Windows NT, Novell. Ngoài ra các ch ng trình ng d ng: qu n lý h th ng tàiủ ươ ứ ụ ả ệ ố

kho n, tín d ng, các ch ng trình k toán, t đ ng hoá văn phòng, truy n d li u, ATM ...ả ụ ươ ế ự ộ ề ữ ệ

D li u: Đây là ph n quan tr ng cân đ c b o v nh t c a ngân hàng Sacombank. Dữ ệ ầ ọ ượ ả ệ ấ ủ ữ

li u này s g m có các d li u tài kho n liên quan đ n khách hàng, d li u k toán, thệ ẽ ồ ữ ệ ả ế ữ ệ ế ẻ

tín d ng, ATM. Các d li u này r t quan tr ng đ i v i ngân hàng Sacombank nên s ph iụ ữ ệ ấ ọ ố ớ ẽ ả

đ c b o v an toàn nh t.ượ ả ệ ấ

Con ng i: Đó là ng i s d ng tham gia vào m ng.ườ ườ ử ụ ạ

Tài li u: Các công văn, báo cáo, tài li u, sách v , tài li u h ng d n s d ng,...ệ ệ ở ệ ướ ẫ ử ụ

4.3 Xác đ nh các m i đe do đ i v i h th ngố ạ ố ớ ệ ố

Sau khi xác đ nh t t c các tài nguyên ph i đ c b o v ,c n ph i xác đ nh m i đe d a đ i v i cácị ấ ả ả ượ ả ệ ầ ả ị ố ọ ố ớ tài nguyên đó. Các m i đe do đó g m có:ố ạ ồ







Nh ng truy nh p b t h p pháp. Vi c truy nh p vào các tài nguyên c a m ng ch nên đ cữ ậ ấ ợ ệ ậ ủ ạ ỉ ượ

th c hi n b i nh ng ng i đã xác đ nh. M i đe do chung mà m i ng i quan tâm là vi cự ệ ở ữ ườ ị ố ạ ọ ườ ệ

truy nh p b t h p pháp. Đ c thù c a m i đe do này là s d ng tên c a ng i khác đậ ấ ợ ặ ủ ố ạ ử ụ ủ ườ ể

truy nh p vào m ng và tài nguyên c a nó. Có th có m t s ki u truy nh p b t h p phápậ ạ ủ ể ộ ố ể ậ ấ ợ

nh :ư

S d ng nh ng ch ng trình dò tìm m t kh u. Nh ng ch ng trình này n mử ụ ữ ươ ậ ẩ ữ ươ ằ

th ng trú và b che khu t trên m ng, nó ghi l i nh ng l n ng i s d ng vàoườ ị ấ ạ ạ ữ ầ ườ ử ụ

m ng cùng v i các m t kh u. Các m t kh u này sau đó đ c c t gi trong m tạ ớ ậ ẩ ậ ẩ ượ ấ ữ ộ

t p tin bí m t, sau m t tu n l , t p này có th ch a t i hàng trăm tên ng i dùngệ ậ ộ ầ ễ ệ ể ứ ớ ườ

tin và các m t kh u riêng đ sau này có th l y c p nh ng thông tin bí m t.ậ ẩ ể ể ấ ắ ữ ậ

Hút n p d li u (Spooling): Đây là k thu t nh m có đ c s truy nh p m ng tạ ữ ệ ỹ ậ ằ ượ ự ậ ạ ừ xa b ng cách b a ra m t đ a ch c a m t máy đã có tín nhi m hay "thân quen".ằ ị ộ ị ỉ ủ ộ ệ

B ng cách này, vi c khai thác nh ng nh c đi m v an ninh t bên trong c a hằ ệ ữ ượ ể ề ừ ủ ệ

th ng tr nên d dàng h n nhi u so v i t phía ngoài. tr ng thái này, k xâmố ở ễ ơ ề ớ ừ ở ạ ẻ

nh p trái phép có th cài đ t đ c m t ch ng trình dò tìm m t kh u hay m tậ ể ặ ượ ộ ươ ậ ẩ ộ

ph n m m gi , gi ng nh m t "ô c a h u" - là m t đ ng d n ng c l i vào ầ ề ả ố ư ộ ử ậ ộ ườ ẫ ượ ạ

trong máy tính.

S d ng l h ng trong ph n m m: Không có ph n m m nào là không có l i. M tử ụ ỗ ổ ầ ề ầ ề ỗ ộ

l i trong ph n m m là m i đe do chung c a vi c truy nh p b t h p pháp. Chínhỗ ầ ề ố ạ ủ ệ ậ ấ ợ

đây là l h ng cho phép nh ng k thâm nh p trái phép làm đ c b t k nh ng gìỗ ổ ữ ẻ ậ ượ ấ ể ữ

mà ng i ch máy tính đã làm. Cách này hay áp d ng v i h đi u hành UNIX vìườ ủ ụ ớ ệ ề

mã ngu n c a nó đ c ph bi n r ng rãi. ồ ủ ượ ổ ế ộ

Đ i v i ngân hàng Sacombank c 3 cách này đ u có th x y ra. Và đây là m i quan tâmố ớ ả ề ể ả ố l n nh t c a lãnh đ o cũng nh cán b Tin h c ngân hàng Sacombank .ớ ấ ủ ạ ư ộ ọ

M i đe do b i s khai thác r ng rãi thông tin. Tr c khi công b hay cho phép m i ng iố ạ ở ự ộ ướ ố ọ ườ

khai thác r ng rãi vào m t ngu n thông tin nào c n ph i xác đ nh giá tr c a các thông tinộ ộ ồ ầ ả ị ị ủ

đó.Vi c công b file ch a m t kh u c a ng i truy nh p vào m ng s gây ra m t m i đeệ ố ứ ậ ẩ ủ ườ ậ ạ ẽ ộ ố

do l n cho m ng. Thông tin có th b xâm ph m khi:ạ ớ ạ ể ị ạ

Thông tin đ c l u gi trên máy tính.ượ ư ữ

Thông tin đ c truy n t h th ng này sang h th ng khác.ượ ề ừ ệ ố ệ ố

Thông tin đ c l u gi trong t p sao l u (backup).ượ ư ữ ệ ư

M i đe do nh h ng đ n ho t đ ng bình th ng c a h th ng (Denial of Service).ố ạ ả ưở ế ạ ộ ườ ủ ệ ố

M ng thông tin ngân hàng Sacombank k t n i các tài nguyên có giá tr nh máy tính, CSDLạ ế ố ị ư







và cung c p d ch v cho m i thành viên c a m ng. T t c ng i s d ng c a m ng đ uấ ị ụ ọ ủ ạ ấ ả ườ ử ụ ủ ạ ề

tin r ng m i ho t đ ng c a m ng đ u làm cho công vi c c a h tr nên có hi u qu . N uằ ọ ạ ộ ủ ạ ề ệ ủ ọ ở ệ ả ế

m ng không làm vi c thì s có nh ng m t mát trong ho t đ ng kinh doanh. Do đó m i đeạ ệ ẽ ữ ấ ạ ộ ố

do nh h ng đ n ho t đ ng bình th ng c a m ng cũng c n đ c xem xét:ạ ả ưở ế ạ ộ ườ ủ ạ ầ ượ

M ng tr nên không ho t đ ng đ c b i m t kh i d li u lang thang.ạ ở ạ ộ ượ ở ộ ố ữ ệ

M ng tr nên kém hi u qu b i quá t i c a d li u.ạ ở ệ ả ở ả ủ ữ ệ

M ng có th b chia nh do s ng ng ho t đ ng c a m t thi t b m ng.ạ ể ị ỏ ự ừ ạ ộ ủ ộ ế ị ạ

Virus làm phá ho i d li u hay h ng m t máy nào đó.ạ ữ ệ ỏ ộ

Thi t b dùng đ b o v m ng có th b phá v .ế ị ể ả ệ ạ ể ị ỡ

M i đe do t bên trong. Ng i s d ng bên trong m ng có nhi u c h i h n đ truyố ạ ừ ườ ử ụ ạ ề ơ ộ ơ ể

nh p vào các tài nguyên c a h th ng. Đ i v i ngân hàng Sacombank có đ c thù l n là doậ ủ ệ ố ố ớ ặ ớ

nhi u m ng LAN c a trung tâm, chi nhánh k t n i vào, do đó n u ng i s d ng trong ề ạ ủ ế ố ế ườ ử ụ

m ng có ý mu n truy c p vào nh ng tài nguyên c a h th ng thì h s gây nên m t m iạ ố ậ ữ ủ ệ ố ọ ẽ ộ ố

đe do cho m ng. Ng i s d ng bên trong có th đ c gán nh ng quy n không c nạ ạ ườ ử ụ ể ượ ữ ề ầ

thi t, có th b m t m t kh u... và đó s là m i đe do l n đ i v i h th ng an toànế ể ị ấ ậ ẩ ẽ ố ạ ớ ố ớ ệ ố

m ng.ạ

Nguy c b nghe tr m, thay đ i thông tin truy n đi trên m ng công c ng (PSTN). Đây làơ ị ộ ổ ề ạ ộ

m t nguy c ti m n và nh h ng tr c ti p đ n ho t đ ng kinh doanh c a ngân hàng.ộ ơ ề ẩ ả ưở ự ế ế ạ ộ ủ

Hacker có th s d ng các công c , thi t b đ c bi t đ móc n i vào h th ng cáp truy nể ử ụ ụ ế ị ặ ệ ể ố ệ ố ề

thông c a ngân hàng đ nghe tr m thông tin nguy hi m h n hacker có th s a ch a, thayủ ể ộ ể ơ ể ử ữ

đ i n i dung thông tin đó - ví d n i dung c a đi n chuy n ti n, thanh toán... gây raổ ộ ụ ộ ủ ệ ể ề

nh ng t n th t, m t mát nghiêm tr ng.ữ ổ ấ ấ ọ

4.4 Xác đ nh trách nhi m và m c đ s d ng c a t ng ng i s d ngệ ứ ộ ử ụ ủ ừ ườ ử ụ

trong m ngTrên c s phân tích trên chính sách b o m t c a ngân hàng Sacombank ph i ti p t c tr l i cácơ ở ở ả ậ ủ ả ế ụ ả ờ câu h i sau:ỏ

Ai đ c phép s d ng các tài nguyên c a h th ng? Ví d nh d li u liên quan t i tàiượ ử ụ ủ ệ ố ụ ư ữ ệ ớ

kho n khách hàng, d li u k toán ch có th do nhân viên k toán s d ng.ả ữ ệ ế ỉ ể ế ử ụ

M c đ s d ng thích h p c a t ng ng i s d ng? Cùng m t s truy nh p vào d li uứ ộ ử ụ ợ ủ ừ ườ ử ụ ộ ự ậ ữ ệ

tài kho n khách hàng thì có ng i ch đ c khai thác, có ng i ch đ c c p nh t, cóả ườ ỉ ượ ườ ỉ ượ ậ ấ







ng i ch đ c đ c m t ph n... t ng ng v i d li u k toán.ườ ỉ ượ ọ ộ ầ ươ ứ ớ ữ ệ ế Ai đ c s a, ai ki m soát,ượ ử ể

ai khai thác...

Ai có trách nhi m gán quy n và m c đ s d ng c a ng i dùng? Do ngân hàngệ ề ứ ộ ử ụ ủ ườ

Sacombank có nhi u m ng LAN và m t s ng d ng quan tr ng nên ng i có trách nhi m ề ạ ộ ố ứ ụ ọ ườ ệ

v m t gán quy n truy c p có th phân cho các phòng ban liên quan, nh ng đ i v i các ề ặ ề ậ ể ư ố ớ

d li u quan tr ng thì nên t p trung.ữ ệ ọ ậ

Ai có quy n qu n tr m ng? C m ng ngân hàng Sacombank nên có m t ng i qu n tr ề ả ị ạ ả ạ ộ ườ ả ị

m ng có quy n l n nh t. M i m ng LAN có m t ng i qu n tr ít quy n h n. Tuy nhiênạ ề ớ ấ ỗ ạ ộ ườ ả ị ề ơ

đ i v i các CSDL quan tr ng thì quy n qu n tr s là t p trung.ố ớ ọ ề ả ị ẽ ậ

Trách nhi m c a t ng ng i s d ng là gì? Trách nhi m này t ng ng v i trách nhi mệ ủ ừ ườ ử ụ ệ ươ ứ ớ ệ v m t công vi c. ề ặ ệ

Trách nhi m c a ng i qu n tr ? Trách nhi m ng i qu n tr c a m ng là gì Trách nhi mệ ủ ườ ả ị ệ ườ ả ị ủ ạ ệ

c a ng i qu n tr các m ng LAN c a các phòng ban nh th nào?ủ ườ ả ị ở ạ ủ ư ế

C n ph i làm gì v i các d li u quan tr ng? Ng i qu n tr ph i xác đ nh các công vi c ầ ả ớ ữ ệ ọ ườ ả ị ả ị ệ

ph i làm v i d li u quan tr ng (tài kho n khách hàng và k toán). Các công vi c có th làả ớ ữ ệ ọ ả ế ệ ể

sao l u, khôi ph c d li u, in n,...ư ụ ữ ệ ấ

4.5 Xác đ nh các công c đ th c thi các chính sách b o m tụ ể ự ả ậ

Ngân hàng Sacombank s ph i l a ch n các công c đ th c thi chính sách b o m t c a mình.ẽ ả ự ọ ụ ể ự ả ậ ủ Các công c này s đ c trình bày trong gi i pháp k thu t.ụ ẽ ượ ả ỹ ậ

4.6 Xác đ nh các hành đ ng khi chính sách b o m t b xâm ph mộ ả ậ ị ạ

M i l n chính sách b o m t b xâm ph m thì h th ng s có th b đe do . N u không có s thayỗ ầ ả ậ ị ạ ệ ố ẽ ể ị ạ ế ự đ i trong chính sách b o m t thì s có th gây ra nh ng thi t h i đáng ti c. Do đó chính sách b oổ ả ậ ẽ ể ữ ệ ạ ế ả

m t c a ngân hàng Sacombank cũng nên có thêm v n đ này.ậ ủ ấ ề

5 Đ XU T GI I PHÁP B O M TẤ Ả Ả Ậ

Vi c đ m b o an ninh b o m t h th ng là h t s c quan tr ng nh t là đ i v i các đ n v kinhệ ả ả ả ậ ệ ố ế ứ ọ ấ ố ớ ơ ị

doanh nh c a Ngân hàng Sacombank , đ ng th i kh năng b o v nhi u l p đ tăng c ng tínhư ủ ồ ờ ả ả ệ ề ớ ể ườ

b o m t các các khu v c bên trong, n i l u gi các ngu n tài nguyên m ng có giá tr nh t. Sauả ậ ự ơ ư ữ ồ ạ ị ấ

đây chúng tôi xin đ a ra thi t k mô hình b o m t nhi u l p bao g m:ư ế ế ả ậ ề ớ ồ







- B o m t m c m ng: B o m t đ ng truy n - b o m t các thông tin l u truy n trênả ậ ứ ạ ả ậ ườ ề ả ậ ư ề

m ng, vi c này đ c th c hi n b ng các hìng th c mã hoá thông tin trên đ ng truy n,ạ ệ ượ ự ệ ằ ứ ườ ề

các công c xác đ nh tính toàn v n và xác th c c a thông tin. Vi c này có th th c hi nụ ị ẹ ự ủ ệ ể ự ệ đ c b ng ph n m m hay ph n c ng, tuy nhiên vi c th c hi n trên ph n c ng (card mãượ ằ ầ ề ầ ứ ệ ự ệ ầ ứ

hoá trên router hay thi t b mã hoá c ng c m ngoài trên đ ng truy n) có u đi m h n làế ị ứ ắ ườ ề ư ể ơ

gi m đ tr c a các gói tin, s d ng băng thông trên đ ng truy n hi u qu h n (nh t làả ộ ễ ủ ử ụ ườ ề ệ ả ơ ấ

trên WAN).

- B o m t l p truy c p bao g m:ả ậ ớ ậ ồ

o B o m t cho các đ ng truy nh p c a ng i dùng quay s (dial-up): th ng ápả ậ ườ ậ ủ ườ ố ườ

d ng các hình th c xác th c ng i dùng, t o các kênh VPN cho các k t n i dial-upụ ứ ự ườ ạ ế ố

…

o Firewall/IDS : T i các khu v c cung c p các máy ch truy nh p c n b trí các b cạ ự ấ ủ ậ ầ ố ứ

t ng l a (Firewall) kèm các b dò tìm t n công (IDS) đ m b o ngăn ch n cácườ ử ộ ấ ả ả ặ

truy nh p trái phép hay các d ng t n công ngay t c ng vào m ng, đi u này là r tậ ạ ấ ừ ổ ạ ề ấ

c n thi t b i vi c s d ng các thi t b h tr cho các k t n i truy nh p đ ng th i ầ ế ở ệ ử ụ ế ị ỗ ợ ế ố ậ ồ ờ

l i có k t n i đi Internet.ạ ế ố

- B o m t m c thi t b : Các thi t b m ng nh Router và switch, firewall… là các đi m nútả ậ ứ ế ị ế ị ạ ư ể

c a m ng h t s c quan tr ng và c n đ c b o v , chúng tôi khuy n ngh s d ng cácủ ạ ế ứ ọ ầ ượ ả ệ ế ị ử ụ

ACL đ đi u khi n truy nh p trên toàn b các thi t b này, đ ng th i s d ng các thi t bể ề ể ậ ộ ế ị ồ ờ ử ụ ế ị

dò tìm l h ng (IDS) đ dò tìm xác đ nh các d u hi u t n công vào các thi t b m ng vàỗ ổ ể ị ấ ệ ấ ế ị ạ

các ngu n tài nguyên khác và có các bi n pháp ngăn ch n k p th i ồ ệ ặ ị ờ

- B o m t m c máy ch : H th ng máy ch th c hi n các công vi c d ch v khác nhauả ậ ứ ủ ệ ố ủ ự ệ ệ ị ụ

trong m ng, có th nói đây là ngu n tài nguyên chính h t s c quan tr ng và là m c tiêuạ ể ồ ế ứ ọ ụ

c a nhi u cu c t n công t bên trong cũng nh bên ngoài cũng nh ăn c p hay phá huủ ề ộ ấ ừ ư ư ắ ỷ

các thông tin có giá tr đ c ch a trong các máy ch này. Vi c b o m t h th ng máy chị ượ ứ ủ ệ ả ậ ệ ố ủ

liên quan t i các công vi c nh :ớ ệ ư

o B o m t thông tin trên máy ch : đ m b o tính mã hoá, tính toàn v n và xác th cả ậ ủ ả ả ẹ ự

c a thông tinủ

o Qu n tr truy nh p vào máy ch : áp d ng các công ngh tiên ti n nh smart card,ả ị ậ ủ ụ ệ ế ư

Token…







o Ch ng truy nh p trái phép: s d ng các b dò tìm IDS đ phát hi n và báo đ ngố ậ ử ụ ộ ể ệ ộ

k p th i khi có t n công hay truy nh p trái phép vào h th ng máy ch .ị ờ ấ ậ ệ ố ủ

- B o m t m c H Đi u Hành(HĐH): Vi c b o m t cho HĐH máy ch đ m b o cho hả ậ ứ ệ ề ệ ả ậ ủ ả ả ệ

th ng làm vi c n đ nh,vi c ho ch đ nh xây d ng các chính sách cài đ t, c p nh t, backupố ệ ổ ị ệ ạ ị ự ặ ậ ậ

d li u hay s d ng các ph n m m b sung (Patch) b t l h ng trên các HĐH là h t s cữ ệ ử ụ ầ ề ổ ị ỗ ổ ế ứ

c n thi t đ đ m b o cho các HĐH và các ng d ng ch y trên nó đ c b o v an ninh ầ ế ể ả ả ứ ụ ạ ượ ả ệ

ngăn ch n các cu c t n công có th x y ra.ặ ộ ấ ể ả

- B o m t m c ng d ng: Đ m b o vi c truy nh p vào các d ch v và ph n m m (WEB,ả ậ ở ứ ứ ụ ả ả ệ ậ ị ụ ầ ề

Email, CSDL), chúng tôi khuy n ngh th c hi n các kênh b o m t t ng i dùng đ u cu iế ị ự ệ ả ậ ừ ườ ầ ố

t i các máy ch ng d ng đ đ m b o các tính b o m t, toàn v n và xác th c c a thôngớ ủ ứ ụ ể ả ả ả ậ ẹ ự ủ

tin.

B o m t m c CSDL: Có th nói CSDL là lõi c a toàn b h th ng b o m t thông tin, toàn b thôngả ậ ứ ể ủ ộ ệ ố ả ậ ộ tin quan tr ng mang tính ch t s ng còn đ c t p trung trên các CSDL, trong thi t k c a chúngọ ấ ố ượ ậ ế ế ủ tôi CSDL đ c đ t m c u tiên cao nh tượ ặ ở ứ ư ấ

Theo d li u kh o sát h th ng m ng hi n t i c a Sacombank chúng tôi khuy n ngh h th ngữ ệ ả ệ ố ạ ệ ạ ủ ế ị ệ ố t ng th c a WAN Sacombank s b trí theo mô hình sau:ổ ể ủ ẽ ố







Sô ÑoàKeát Noái Maïng Chi Nhaùnh Loaïi I vaøLoai IINgaân Haøng SACOM-BANK

INTERNET

PIX515

Firewall

WAN

DataBase

Server

APP

Server

Intranet

Server

Report

Server

Admin Point

WEB

Server Mail

Server

Printer WorkstationWorkstation

Anti Virus

Server

SaiGon Branch

Cisco 2650XM

Modem

Hanoi BranchCisco 2620

Modem

Binh Duong BranchCisco 2650XM

Server Farm +HostIDS

DMZ +HostIDS

Intranet

CA Server

LDAP

Hoc Mon BranchCisco 1720

HungDao Branch

Cisco 2620

Modem

Go Vap Branch

Cisco 2620

Modem

Tan Binh Branch

Cisco 2620

Modem

PSTN

Cho Lon Branch

Cisco 2620

Modem

Central WAN RouterCisco3662 Internet Router

Cisco2650XM

Application Firewall

Hub/Switch Hub/Switch

Hub/Switch

: Leased line with Ipsec secure

: Dialup backup line

: Leased line Internet

: Antivirus Client Software

Anti Virus

Server

Network IDS

Network IDS Network IDS

T mô hình h ach đ nh trên chúng tôi khuy n ngh các ng d ng và công ngh b o m t tiên ti nừ ọ ị ế ị ứ ụ ệ ả ậ ế và ph bi n hi n nay nh m đáp ng các nhu c u xây d ng h th ng b o m t chuyên d ng choổ ế ệ ằ ứ ầ ự ệ ố ả ậ ụ Sacombank.







6 CÔNG NGH VÀ THI T B B O M T Đ NGHẾ Ị Ả Ậ Ề Ị

6.1 Công ngh và gi i pháp Firewall khuy n nghả ế ịCông ngh F IREWALL

Có r t nhi u lo i Firewall khác nhau nh Firewall d a trên ph n m m cho các h đi u hànhấ ề ạ ư ự ầ ề ệ ề Windows NT, Unix, Firewall d a trên ph n m m tích h p trên các Router, Firewall d a trên thi t bự ầ ề ợ ự ế ị ph n c ng… Vì th vi c ch n l a m t Firewall thích h p cho h th ng v i yêu c u v kh năng ầ ứ ế ệ ọ ự ộ ợ ệ ố ớ ầ ề ả ho t đ ng m nh, b o đ m tính an ninh, đ tin c y cao, kh năng d m r ng trong t ng lai.ạ ộ ạ ả ả ộ ậ ả ễ ở ộ ươ

Chúng tôi khuy n ngh s d ng gi i pháp Firewall có t c đ và đ an tòan cao c a ba hãng cungế ị ử ụ ả ố ộ ộ ủ c p gi i phá Firewall m nh nh t hi n nay sau cho h th ng Firewall l p ngoài:ấ ả ạ ấ ệ ệ ố ớ

a. Gi i thi u công ngh Fir ewal l c a Ciscoệ ệ ủ

Đ đáp ng đ c yêu c u đ t ra đ i v i thi t b firewall l p ngòai và v i m c đích xây d ng m ngể ứ ượ ầ ặ ố ớ ế ị ớ ớ ụ ự ạ an toàn t c đ chuy n m ch t t nh t, chúng tôi gi i thi u các dòng s n ph m Firewall m nh nh tố ộ ể ạ ố ấ ớ ệ ả ẩ ạ ấ hi n nay c a Cisco là dòng PIX v i kh năng cung c p kh năng an ninh, b o m t cũng nh khệ ủ ớ ả ấ ả ả ậ ư ả năng ho t đ ng và đ n đ nh cao cho h th ng, h tr m ng riêng o - Ipsec VPN…ạ ộ ộ ổ ị ệ ố ỗ ợ ạ ả

Đ b o m t cao nh t : So v i các hình th c b o m t hi n nay nh Proxy-based firewall ch y l pộ ả ậ ấ ớ ứ ả ậ ệ ư ạ ở ớ ng d ng có, thì PIX là s n ph m có kh năng ho t đ ng r t m nh m , m c đ an toàn cao.ứ ụ ả ẩ ả ạ ộ ấ ạ ẽ ứ ộ

CiscoSecure PIX Firewall là m t thi t b ph n c ng đã đ c tích h p s n software bên trong vàộ ế ị ầ ứ ượ ợ ẵ ho t đ ng m t cách đ c l p không ph thu c vào các y u t v n n t ng ng d ng nh yêu c uạ ộ ộ ộ ậ ụ ộ ế ố ề ề ả ứ ụ ư ầ v c u hình ph n c ng, môi tr ng h đi u hành (Windows NT, Unix…) vì th làm đ n gi n hoá ề ấ ầ ứ ườ ệ ề ế ơ ả h th ng và qu n tr thi t b đ c d dàng h n, đ ng th i nâng cao kh năng b o m t so v i cácệ ố ả ị ế ị ượ ễ ơ ồ ờ ả ả ậ ớ h th ng b o m t ch y trên các h th ng b o m t khác (Check point, Gardian…)ệ ố ả ậ ạ ệ ố ả ậ

D dàng qu n tr và phân c p m c đ an ninh cho h th ng m ng bên trong nh y u t s d ngễ ả ị ấ ứ ộ ệ ố ạ ờ ế ố ử ụ các giao ti p v t lý (ports) đ n i đ n các m ng c p th p, cho phép m r ng thêm c ng giao ti pế ậ ể ố ế ạ ấ ấ ở ộ ổ ế v t lý b t kỳ lúc nào khi có nhu c u trong t ng lai. M t đi m n a cũng khá quan tr ng c n đ cậ ấ ầ ươ ộ ể ữ ọ ầ ượ đ c p đ n là kh năng m r ng cao và m c đ đ u t th p. ề ậ ế ả ở ộ ứ ộ ầ ư ấ

H tr các th t c DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2, Database, SIP, H323.ỗ ợ ủ ụ

H tr cho các ng d ng và các giao th c sau: Internet Protocol (IP), Transmission Controlỗ ợ ứ ụ ứ Protocol (TCP), User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP), GenericRoute Encapsulation (GRE), Address Resolution Protocol (ARP), Domain Name System (DNS),Simple Network Management Protocol 2(SNMP2), Boot Protocol, HyperText Transport Protocol(HTTP), Secure hypertext transport protocol (HTTPS), File Transfer protocol (FTP), Trivial FileTransfer protocol (TFTP), Archie, Gopher, Telnet,POP, NetBIOS over IP (Microsoft Networking),Point-to-Point Tunneling Protocol (PPTP), SQL*Net (Oracle client/server protocol), Sun RemoteProcedure Call (RPC) services, including Network File System (NFS), Berkeley Standard Distribution(BSD)-Rcmds,AAA Server Groups.

H tr cho các ng d ng Multimedia, bao g m: Microsoft NetShow, White Pine CU-SeeMe,ỗ ợ ứ ụ ồ RealNetworks RealAudio and RealVideo, Xing StreamWorks, VDOnet VDOLive, VXtreme

WebTheater, VocalTec Internet Phone theo chu n SIP và H.323.ẩ







H tr cho các ng d ng Videoconferencing (H.323): Microsoft NetMeeting, Intel Internet Videoỗ ợ ứ ụ Phone, White Pine Meeting Point .

Kh năng ch ng l i các d ng t n công thông th ng, kh năng t b t các l h ng an ninh.ả ố ạ ạ ấ ườ ả ự ị ỗ ổ

H tr phát hi n và ch ng t n công: Phát hi n các lo i t n công theo ki u Denial Of Service,ỗ ợ ệ ố ấ ệ ạ ấ ể ch ng l i các hình th c t n công nh sync flooding, port scans, làm h ng, thay đ i n i dung cácố ạ ứ ấ ư ỏ ổ ộ gói d li u.ữ ệ

H tr Intrusion Detection System (IDS): h th ng l u gi và xác đ nh các m u t n công t đóỗ ợ ệ ố ư ữ ị ẫ ấ ừ phát hi n và đ i phó v i các hình th c t n công này. T đ ng phát hi n và b t các l h ng an ninhệ ố ớ ứ ấ ự ộ ệ ị ỗ ổ

Đ tăng c ng b o m t, kh năng an ninh, PIX còn h tr các ph ng th c xác th c ph bi nể ườ ả ậ ả ỗ ợ ươ ứ ự ổ ế nh RADIUS và TACACS+ tích h p v i các h th ng ph n m m khác nh WebSENSE đ qu n lý,ư ợ ớ ệ ố ầ ề ư ể ả truy nh p các đ a ch Internet d a trên c s d li u URL, đ m b o các k t n i vào h th ng c nậ ị ỉ ự ơ ở ữ ệ ả ả ế ố ệ ố ầ

ph i đ c xác th c tr c, tăng c ng kh năng x lý đ i phó v i các t n công thông th ng nhả ượ ự ướ ườ ả ử ố ớ ấ ườ ư thăm dò, phát hi n l h ng và t n d ng các l h ng s n có đ phá hu h th ng.ệ ỗ ổ ậ ụ ỗ ổ ẵ ể ỷ ệ ố

H tr VPN s d ng IPSec: Ph i h p ho t đ ng v i VPN: Kh năng đi u khi n tr ng thái đ y đỗ ợ ử ụ ố ợ ạ ộ ớ ả ề ể ạ ầ ủ (stateful control), th c hi n ch c năng firewall cho các d ch v VPN, v i d ch v VPN các ng iự ệ ứ ị ụ ớ ị ụ ườ dùng truy nh p t xa ho c các văn phòng chi nhánh có th truy nh p vào m ng c a công ty quaậ ừ ặ ể ậ ạ ủ m ng công c ng (internet) nh ng v n đ m b o b o m t và gi m chi phí k t n i, gi m ti n đ u tạ ộ ư ẫ ả ả ả ậ ả ế ố ả ề ầ ư thi t b . Cisco PIX cho phép b o m t các k t n i qua internet b ng cách tích h p các tính năngế ị ả ậ ế ố ằ ợ chính c a VPN nh công ngh đ ng h m, mã hoá d li u, b o m t, và firewall – cung c p m tủ ư ệ ườ ầ ữ ệ ả ậ ấ ộ môi tr ng tích h p v a đ m b o an ninh thông tin v a đ m b o tính hi u qu cho các k t n i tườ ợ ừ ả ả ừ ả ả ệ ả ế ố ừ xa, các văn phòng xa, các k t n i ra m ng ngoài thông qua môi tr ng Internet. PIX h tr mãế ố ạ ườ ỗ ợ hoá cho IPSec – DES, 3DES. Chúng tôi khuy n ngh đ i v i đ i t ng khách hàng, ng i dùng truyế ị ố ớ ố ượ ườ

nh p vào m ng n i b qua đ ng k t n i quay s (đ ng Internet ho c Extranet) c n thi t ph iậ ạ ộ ộ ườ ế ố ố ườ ặ ầ ế ả s d ng công ngh kênh riêng o (VPN) đ đ m b o tính b o m t, toàn v n và xác th c c aử ụ ệ ả ể ả ả ả ậ ẹ ự ủ thông tin – các k t n i VPN này s k t thúc t i các firewall đ i v i truy nh p t Internet vào cũngế ố ẽ ế ạ ố ớ ậ ừ nh đ i v i nh ng k t n i t m ng Extranet vàoư ố ớ ữ ế ố ừ ạ

H tr NAT và PAT:ợ

Nguyên lý ho t đ ng c a PIX Firewall theo hai d ng NAT và PAT. NAT (Network Addressạ ộ ủ ạ Translation) dùng đ chuy n đ i m t đ a ch Internet thành m t đ a ch riêng (Private) theo d ngể ể ổ ộ ị ỉ ộ ị ỉ ạ đ a ch tĩnh (static) v i ánh x 1-1, ngoài ra cho phép đ i n đ a ch Internet thành m đ a ch Privateị ỉ ớ ạ ổ ị ỉ ị ỉ d i d ng đ a ch đ ng (dynamic) v i n<m. PAT (Port Address Translation) dùng đ chuy n đ iướ ạ ị ỉ ộ ớ ể ể ổ m t đ a ch Internet thành nhi u đ a ch Private (k t h p v i NAT – ánh x 1- n). nguyên lý ho tộ ị ỉ ề ị ỉ ế ợ ớ ạ ạ đ ng này r t thích h p cho vi c s d ng nhi u giao ti p k t n i trên PIX Firewall.ộ ấ ợ ệ ử ụ ề ế ế ố

V i kh năng cho phép chuy n đ i t đ ng đ a ch nh th r t h u ích cho nhi u ng i dùng màớ ả ể ổ ự ộ ị ỉ ư ế ấ ữ ề ườ không c n thi t ph i quan tâm đ n vi c c p đ a ch Internet. Đ i v i các host c a h th ng m ng ầ ế ả ế ệ ấ ị ỉ ố ớ ủ ệ ố ạ khu v c cũng không c n thi t đăng ký v i NIC (Network Information Center) v n có th dùngự ầ ế ớ ẫ ể TCP/IP đ truy c p tr c ti p vào Internet b ng cách m ch đ chuy n đ i bên trong PIX Firewall.ể ậ ự ế ằ ở ế ộ ể ổ Cách này cho phép h th ng m r ng d ch v cung c p truy c p t xa k t n i qua h th ng truyệ ố ở ộ ị ụ ấ ậ ừ ế ố ệ ố c p vào Internet trong t ng lai.ậ ươ

Ho t đ ng v i m c đ ho t đ ng s n sàng cao nh t:ạ ộ ớ ứ ộ ạ ộ ẵ ấ







M c đ n đ nh: kh năng làm vi c c c kỳ n đ nh v i mean time between failure (MTB) l n h nứ ộ ổ ị ả ệ ự ổ ị ớ ớ ơ 60000 gi .ờ

Ngoài ra CiscoSecure PIX Firewall software gi i h n m c đ ng i dùng cùng lúc thông qua cácớ ạ ứ ộ ườ c ng giao ti p v t lý c a nó, tránh đ c tình tr ng x lý quá t i làm t t ngh n h th ng truy c pổ ế ậ ủ ượ ạ ử ả ắ ẽ ệ ố ậ Internet chung cho toàn h th ng.ệ ố

Trong t ng lai khi có kh năng nâng c p lên ch y d phòng 2 thi t b PIX – có th s d ng ch cươ ả ấ ạ ự ế ị ể ử ụ ứ năng d phòng tiên ti n c a s n ph m PIX – Stateful failover cho phép cung c p kh năng dự ế ủ ả ẩ ấ ả ự phòng thay th nóng gi a 2 thi t b PIX - UR ho c gi a 1 thi t b PIX-UR và m t thi t b PIX-FO,ế ữ ế ị ặ ữ ế ị ộ ế ị khi m t thi t b g p s c thì thi t b còn l i s thay th thi t b đó đ ti p nh n và x lý các yêuộ ế ị ặ ự ố ế ị ạ ẽ ế ế ị ể ế ậ ử c u đang t n t i cũng nh các yêu c u m i, do v y vi c m t trong hai thi t b g p s c không ầ ồ ạ ư ầ ớ ậ ệ ộ ế ị ặ ự ố nh h ng gì đ n các d ch v đang ch y trên m ng.ả ưở ế ị ụ ạ ạ

H tr giao di n qu n lý qua WEB:ợ ệ ả

H tr b i tính năng Cisco PIX Device manager (PDM): H th ng qu n tr thi t b PIX riêng l , sỗ ợ ớ ệ ố ả ị ế ị ẻ ử d ng Java applet đ ch ng th c và Secure Hypertext Transfer Protocol đ b o m t thông tin gi aụ ể ứ ự ể ả ậ ữ PDM và PIX firewall. PDM cung c p các ch c năng sau:ấ ứ

+ H tr c u hình PIX firewall qua WEB, mà không c n s d ng các giao di n dòng l nh PIXỗ ợ ấ ầ ử ụ ệ ệ firewall Command-line Interface (CLI)

+ H tr các b c c u hình s d ng các wizard (start-up Wizard, VPN Wizard)ỗ ợ ướ ấ ử ụ

+ Cho phép qu n lý PIX v i các l u đ và d li u th i gian th c, bao g m các k t n i, IDS, thôngả ớ ư ồ ữ ệ ờ ự ồ ế ố

tin v băng thông. Cho phép theo dõi thông s trong vòng 5 ngày tr l i. ề ố ở ạ+ Qu n tr và c u hình PIX tách bi t , nh ng có th s d ng nhi u browser trên cùng m t tr mả ị ấ ệ ư ể ử ụ ề ộ ạ đ c u hình nhi u PIX khác nhau.ể ấ ề

b . G i i pháp Fi rewa ll c a Checkpointủ

Checkpoint hi n là m t trong nh ng công ty hàng đ u trong công ngh Firewall. Checkpoint chi mệ ộ ữ ầ ệ ế u th trong th tr ng firewall v i s n ph m cùng tên.ư ế ị ườ ớ ả ẩ

Ph n m m Checkpoint v i u th c nh tranh, là s n ph m đáng tín c y cho b t kỳ c quan nào. ầ ề ớ ư ế ạ ả ẩ ậ ấ ơ B s n ph m c a CheckPoint g m nhi u Module k t h p t o nên m t gi i pháp Firewall an ninhộ ả ẩ ủ ồ ề ế ợ ạ ộ ả

hi u qu cho các hình th c m ng khác nhauệ ả ứ ạ

FireWall:

S d ng công ngh “Stateful Inspection” b o v đ c t m c network đ n m c ng d ng trongử ụ ệ ả ệ ượ ừ ứ ế ứ ứ ụ mô hình OSI

K thu t phòng ch ng thông minh “SmartDefense” cho phép b o v t n công m c ng d ngỹ ậ ố ả ệ ấ ở ứ ứ ụ

SmartDefense cho phép d dàng c p nh t và c u hình các ph ng pháp t n công m iễ ậ ậ ấ ươ ấ ớ

H tr phân quy n theo nhi u y u t host, d ch v hay ng i truy c pỗ ợ ề ề ế ố ị ụ ườ ậ







H tr phân tích log :ỗ ợ

Qu n lý t p trung cho phép qu n lý nhi u firewall trên m t máy tínhả ậ ả ề ộ

Qu n lý thi t l p chính sách d dàng b ng các công c tr c quan GUIả ế ậ ễ ằ ụ ự

H tr vi c xác th c ng i s d ng b ng nhi u ph ng pháp S/key, SecurID, OS password,ỗ ợ ệ ự ườ ử ụ ằ ề ươ RADIUS, TACACS hay nh ng ph ng pháp ch ng th c khácữ ươ ứ ự

VPN:

VPN h tr thu t toán mã hóa 3DES, AES. VPN h tr site- to site đ m b o kênh truy n an toànỗ ợ ậ ỗ ợ ả ả ề gi a các m ng Lan và an toàn gi a các m ng Lan và client –to site t o kênh truy n an toàn gi aữ ạ ữ ạ ạ ề ữ các máy truy c p t xa và trung tâm. Module Secure Client cho phép b o v máy truy c p t xaậ ừ ả ệ ậ ừ tránh tr ng h p t o “backdoors” cho hacker xâm nh p vào h th ngườ ợ ạ ậ ệ ố

Chính sách VPN và Firewall tích h p đ nh h ng chính sách firewall và VPNợ ị ướ

H tr truy c p VPN qua SSL hay Microsoft Windows L2TP/ỗ ợ ậIPSec VPN Client

Tính năng qu n lý(SmartCenter và GUI Client):ả

Qu n lý t p trung v i ng i qu n tr b ng m t giao di n đ h a duy nh tả ậ ớ ườ ả ị ằ ộ ệ ồ ọ ấ

T t c d li u log s đ c qu n lý t p trung d dàng phân tích và theo dõi b i ng i qu n tr hấ ả ữ ệ ẽ ượ ả ậ ễ ở ườ ả ị ệ

th ngố

Kh năng qu n lý nhi u firewall trên m t giao di n đ h a duy nh tả ả ề ộ ệ ồ ọ ấ

Tính năng qu n lý log:ả

Log s đ c đ nh h ng đ n server chuyên d ng x lý logẽ ượ ị ướ ế ụ ử

Log đ c c nh báo khi đĩa c ng tr ng còn th p và s reset l i log theo nh ng thông s doượ ả ổ ứ ố ấ ẽ ạ ữ ố ng i qu n tr đ nh nghĩaườ ả ị ị

Đ t th i gian chuy n file log đ n server x lý log theo chu kỳặ ờ ể ế ử

Thông tin log bao g m ng i s d ng d ch v , th i gian k t n i, đích đ n, đ dài phiên k t n i, ồ ườ ử ụ ị ụ ờ ế ố ế ộ ế ố hành đ ng …ộ

Ng i qu n tr có th l c file log đ đ nh nh ng s ki n l u tâm đ n b o m t c a h th ngườ ả ị ể ọ ể ị ữ ự ệ ư ế ả ậ ủ ệ ố

Tính linh đ ng và liên tác:ộ

Ng i s d ng có th ch n l a gi i pháp c a Checkpoint linh đ ng d a trên h đi u hành nhườ ử ụ ể ọ ự ả ủ ộ ự ệ ề ư WinNT, Linux, Solaris hay nh ng thi t b ph n c ng chuyên d ng c a Celestix, Resilience, Nokia ..ữ ế ị ầ ứ ụ ủ







H tr c c u m ( OPSEC ) cho phép liên k t gi i pháp CheckPoint v i nh ng ng d ng an ninhỗ ợ ơ ấ ở ế ả ớ ữ ứ ụ khác nh ISS, TrendMicro. Raibow, RSA, Websense…ư

Gi i thi u ph n m m đ m b o tính s n sàng cao Rainfinity RainWall dành cho h th ngớ ệ ầ ề ả ả ẵ ệ ố Checkpoint

- Raiwall là ph n m m đ m b o tính s n sàng cao c a h th ng ng d ng b o m t trên ầ ề ả ả ẵ ủ ệ ố ứ ụ ả ậ Gateway đ c phát tri n d a trên chu n OPSEC c a CheckPoint.ượ ể ự ẩ ủ

- Tích h p v i ph n m m CheckPoint VPN-1/FireWall-1 và các ng d ng b o m t trênợ ớ ầ ề ứ ụ ả ậ Gateway nh Antivirus và các ph n m m b o m t n i dung khácư ầ ề ả ậ ộ

- Tích h p tính cân b ng t i cho h th ng b o m tợ ằ ả ệ ố ả ậ

- Tăng hi u su t th c thi c a FireWall và VPNệ ấ ự ủ

- Tích h p d dàng v i b t kỳ ki n trúc nào c a h th ng b o m tợ ễ ớ ấ ế ủ ệ ố ả ậ

- K thu t thông minh đ x lý l i x y ra cho firewall và VPN gateway đ m b o h th ngỹ ậ ể ử ỗ ả ả ả ệ ố ho t đ ng trong su tạ ộ ố

- Qu n lý t p trung cho h th ng b o m tả ậ ệ ố ả ậ

c . Gi i pháp f i rewa l l Sidewinder G2 c a SecureComputingủ

S n ph m Firewall Sidewinder c a công ty Secure Computing đ c bi t đ n là m t trong 4 s nả ẩ ủ ượ ế ế ộ ả

ph m Firewall ph bi n nh t hi n nay là : Pix firewall c a Cisco, Checkpoint, Sonicwall, Sidewinderẩ ổ ế ấ ệ ủ G2.

Khác v i h th ng firewall Pix và Sonicwall thông th ng s d ng cho các c ng k t n i m ng t cớ ệ ố ườ ử ụ ổ ế ố ạ ố đ cao, Checkpoint là dòng Firewall có th tác đ ng và ho t đ ng b o m t cho l p ng d ng thìộ ể ộ ạ ộ ả ậ ớ ứ ụ Sidewinder là s n ph m đ c thi t k có t t c các kh năng gi ng các s n ph m trên.ả ẩ ượ ế ế ấ ả ả ố ả ẩ

H th ng Firewall Sidewinder G2 là s n ph m đ c a chu ng nh t hi n nay khu v c Châu M v iệ ố ả ẩ ượ ư ộ ấ ệ ự ỹ ớ l ch s lâu đ i v thành tích b o v các h th ng m ng có đ tin c y cao c a các t ch c l n t iị ử ờ ề ả ệ ệ ố ạ ộ ậ ủ ổ ứ ớ ạ M nh :US Bank, Federal Reserve Bank, Goldman Sachs, Amgen, Southwestern Bell ,Bank of ỹ ư Missouri, Bank One Leasing, New York Stock Exchange, Securities Exchange Commission, Northwest

Airlines, United Airlines

CERT @ Carnegie Mellon University, Government: GAO, DFAS, CIA, NSA, FBI, USAF, US Army,SPAWAR

Các t ch c qu c t đang s d ng Sidewinder là :Credit-Suisse-First-Boston, Deutsche Bank,ổ ứ ố ế ử ụ Sanwa Bank, Safra Bank, Banamex,Redbank across South America, Mexican Government (the taxdivision) , Japan widely deployed in organizations/government

Schroders, Swedish Government , France Telecom,Alcatel, Cap Gemini E&Y, World HealthOrganization…







H th ng Frewall Sidewinder s d ng công ngh l c và ngăn ch n Hybrid khác v i công nghệ ố ử ụ ệ ọ ặ ớ ệ Stateful Inspection mà Checkpoint, Pix đang s d ng hi n nay. Công ngh Hybrid là tích h p c a 5ử ụ ệ ệ ợ ủ thành ph n : Packet Filter, Stateful inspection(Công ngh t ng t Checkpoint và Pix), Generic ầ ệ ươ ự

Proxy, application proxy (kh năng b o đ m an tòan cho l p ng d ng)và splitserver (Công nghả ả ả ớ ứ ụ ệ phân t i cho firewall).ả

Sidewinder G2 g m các phiên b n 25,100,250,1000,2000 và 4000. H th ng Sidewinder có th ồ ả ệ ố ể tri n khai d dàng v i s n ph m ph n m m cài lên các thi t b máy ch nh Checkpoint ho cể ễ ớ ả ẩ ầ ề ế ị ủ ư ặ cũng có th s d ng thi t b b o m t tích h p s n v i s n ph m SecureOS phát tri n t n n t ngể ử ụ ế ị ả ậ ợ ẳ ớ ả ầ ể ừ ề ả Unix. H th ng có kh năng cung c p d ch v cung lúc cho 1.000.000 k t n i cùng lúc v i băngệ ố ả ấ ị ụ ế ố ớ th ng t i đa là 1Gb.ố ố

Sidewinder h tr các giao th c (SNMP, OSPF, RIP, NTP, ICMP, PING, etc.).và d dàng qu n lý t pỗ ợ ứ ễ ả ậ trung v i các ph n m m qu n lý chuyên d ng nh Tivoli, Webtrend.ớ ầ ề ả ụ ư

H th ng Sidewinder G2 d dàng tri n khai so v i các h th ng Firewall khác v i công nghệ ố ễ ể ớ ệ ố ớ ệ Power-It-On đ n gi n. H th ng b o m t n i t i đ c thi t k gi m thi u t i đa chi phí qu n trơ ả ệ ố ả ậ ộ ạ ượ ế ế ả ể ố ả ị và c p nh t vá l i.ậ ậ ỗ

D dàng thi t l p các c ch t o VPN. Cung c p s n h th ng Strikeback® intrusion detectionễ ế ậ ơ ế ạ ấ ẳ ệ ố system bên trong s n ph m.Cung c p gi i pháp tích h p qu n tr truy c p SmartFilter t ng tả ẩ ấ ả ợ ả ị ậ ươ ư gi i pháp Websense.D dàng thi t l p ch đ d phòng nóng cho các thi t b ph n c ng cũng nhả ễ ế ậ ế ộ ự ế ị ầ ứ ư ph n m m lõi. Đ m b o gi i pháp qu n tr d dàng t xa v i giao di n đ h a trên n n Windows. ầ ề ả ả ả ả ị ễ ừ ớ ệ ồ ọ ề

Đ n th i di m hi n nay Sidewinder G2 đã đ c Hi p h i b o m t qu c t ICSAế ờ ể ệ ượ ệ ộ ả ậ ố ế (www.icsalabs.com) công nh n là s n ph m b o m t có nhi u tính năng và đ m b o nh t v iậ ả ẩ ả ậ ề ả ả ấ ớ ch ng ch m c đ : EAL 4+ m nh nh t hi n nay.ứ ỉ ứ ộ ạ ấ ệ

6.2 Gi i pháp Firewall đ ngh cho SACOMBANKề ị

Gi i pháp F ireWal l/VPN cho m ng máy t ính trung tâm và Internet Gateway (F irewal lạ l p ngòai):

Theo c u trúc m ng c a Sacombank đã thi t k ph n tr c . Đ đ m b o chính sách b o m tấ ạ ủ ế ế ở ầ ướ ể ả ả ả ậ d dàng và hi u qu cho FireWall cũng nh chi phí đ u t th p và đ t hi u qu cao v băngễ ệ ả ư ầ ư ấ ạ ệ ả ề thông. Gi i pháp chúng tôi ki n ngh v i Sacombank là s d ng h th ng Pix firewall phiên b nả ế ị ớ ử ụ ệ ố ả 515E cho phân h m ng l p ngoài và phân m ng c a trung tâm Sacombank làm 3 vùng m ngệ ạ ớ ạ ủ ạ riêng

1. Vùng m ng DMZ : Web server(Public), mail server

2. Vùng se r ve r f a rm ch a server quan tr ng c a h th ng nh Database server,ứ ọ ủ ệ ố ư Application server, Report server, Web Server (D ki n vùng này s s d ngự ế ẽ ữ ụ Firewall riêng )

3. Vùng m n g Lan :bao g m các máy tr m đ t t i trung tâm và các truy c p t ồ ạ ặ ạ ậ ừ các chi nhánh v ề

M i vùng m ng có tính ch t khác nhau nên chính sách b o m t khác nhau,vi c phân vùng b oỗ ạ ấ ả ậ ệ ả m t giúp ng i qu n tr đ nh h ng chính sách b o m t nhanh chóng thu n l i.Đ m b o hậ ườ ả ị ị ướ ả ậ ậ ợ ả ả ệ

th ng đ c b o v t t nh tố ượ ả ệ ố ấ







Ngoài ra do s l ng truy c p t n i b ra gateway Internet và t các chi nhánh n i VPN v đ uố ươ ậ ừ ộ ộ ừ ố ề ề thông qua Firewall này do đó s l ng Licence tính chung đ đ u t cho Firewall l p này là r t caoố ượ ể ầ ư ớ ấ n u ng d ng H th ng Checkpoint cũng nh Sidewinder G2 t i V trí này. Trong giai đ an đ u tế ứ ụ ệ ố ư ạ ị ọ ầ ư

th I vi c s d ng Pix cho Internetgateway và tòan h th ng s đáp ng các kh năng sau:ứ ệ ử ụ ệ ố ẽ ứ ả

- B o v v n đ u t ban đ uả ệ ố ầ ư ầ

- Kh năng cung c p b o m t cao và kh năng truy n thông cao do t ng thích v i n nả ấ ả ậ ả ề ươ ớ ề t ng m ng s d ng thi t b Cisco đã đ u t trong phân h k t n i m ng chúng tôi đãả ạ ử ụ ế ị ầ ư ệ ế ố ạ cung c p.ấ

- Kh năng qu n tr và thi t l p d dàng n m b t đ i v i nhân viên qu n tr cũng nh gi mả ả ị ế ậ ễ ắ ắ ố ớ ả ị ư ả chi phí chuy n giao công ngh trong giai đ an I.ể ệ ọ

Cisco PIX Firewall 515E là s l a ch n phù h p v i nhu c u c a Sacombank đ thi t l p h th ngự ự ọ ợ ớ ầ ủ ể ế ậ ệ ố

an ninh cho m ng n i b và cho h th ng các máy ch khi ti p c n v i môi tr ng bên ngoài quaạ ộ ộ ệ ố ủ ế ậ ớ ườ Internet. Cisco PIX Firewall 515E h tr 3 c ng giao ti p 10/100 đ kh năng đáp ng cho 3 phânổ ợ ổ ế ủ ả ứ vùng k t n i riêng bi t g m phân vùng bên ngoài k t n i v i Router, phân vùng bên trong m ngế ố ệ ồ ế ố ớ ạ n i b k t n i v i Switch trung tâm và phân vùng DMZ dành cho k t n i v i server cung c p cácộ ộ ế ố ớ ế ố ớ ấ d ch v công c ng nh web, hosting, và FTP.ị ụ ộ ư

Cisco PIX Firewall cho phép l c nh ng đ a ch inbound và outbound đ ngăn c n vi c gi m o IPọ ữ ị ỉ ể ả ệ ả ạ b ng vi c ki m tra đ a ch IP ngu n c a nh ng gói d li u (packet). Tính năng Flood Guard vàằ ệ ể ị ỉ ồ ủ ữ ữ ệ Flood Defender giúp ngăn c n nh ng t n công DoS (Denial of Service) vào d ch v AAA ho c thôngả ữ ấ ị ụ ặ qua giao th c TCP. Ngoài ra, PIX firewall ngăn ch n ActiveX đ c chèn vào nh ng trang web ho cứ ặ ượ ữ ặ

ng d ng khác và l c nh ng đo n code Java nguy hi m và Java applets b ng vi c không choứ ụ ọ ữ ạ ể ằ ệ

download v h th ng. Ngoài ra Cisco PIX Firewall h tr nhi u giao th c khác nhau và các ng ề ệ ố ổ ợ ề ứ ứ d ng c th giúp b o v nh ng truy c p SMTP t bên ngoài vào h th ng messaging server bênụ ụ ể ả ệ ữ ậ ừ ệ ố ở trong thông qua ch c năng Mail Guard. PIX cũng h tr nh ng ng d ng multimedia nhứ ỗ ợ ữ ứ ụ ư RealAudio, Streamworks, CU-SeeMe, VDO Live, Internet phone, IRC, Vxtreme và nh ng giao th cữ ứ Real Time Streaming Protocol (RTSP).

Đ đ m b o tính s n sàng cao (HA) cho h th ng m ng ho t đ ng trong su t t c là khi có m tể ả ả ẵ ệ ố ạ ạ ộ ố ứ ộ firewall l i thì ho t đ ng c a h th ng v n bình th ng. Chúng tôi ki n ngh gi i pháp v iỗ ạ ộ ủ ệ ố ẫ ườ ế ị ả ớ SaccomBank là đ u t hai thi t b Pix firewall 515E ch y song hành đ m b o h th ng ho t đ ng ầ ư ế ị ạ ả ả ệ ố ạ ộ trong su t, gia tăng hi u su t c a h th ng b o m t trên gateway.ố ệ ấ ủ ệ ố ả ậ

Ch i t i t h th ng ph n c ng th i t b đ ngh x in tham kh o danh m c p h n c ngệ ố ầ ứ ế ị ề ị ả ụ ầ ứ

k èm t heo

Gi i pháp Fi reWa ll cho h t h ng máy ch ( Serve r Fa rm Fi rewal l) :ệ ố ủ

Do tính ch t quan tr ng c a khu v c này cũng nh vi c ng d ng các ng d ng m ng, C s dấ ọ ủ ự ư ệ ứ ụ ứ ụ ạ ơ ở ữ li u quan tr ng c a H i s vi c thi t k h th ng Firewall cho khu v c này c n đáp ng các yêuệ ọ ủ ộ ở ệ ế ế ệ ố ự ầ ứ c u chính sau: ầ

- Kh năng qu n tr d dàng và kh năng v n hành thông su t hi u qu đ an tòan cao vả ả ị ễ ả ậ ố ệ ả ộ ề kh năng ho t đ ngả ạ ộ







- Đ m b o kh năng b o v t i l p Applicationả ả ả ả ệ ớ ớ

- Kh năng m r ng và thi t k tính năng d phòng nóng, phân t i trong t ng laiả ở ộ ế ế ự ả ươ

Hi n t i tòan b h th ng Server Farm (k c h th ng d ki n s m r ng trong t ng lai) sệ ạ ộ ệ ố ể ả ệ ố ự ế ẽ ở ộ ươ ẽ kh ang 25 thi t b do đó trong phân h này chúng tôi khuy n ngh hai giai pháp thích h p và đápỏ ế ị ệ ế ị ợ

ng cao v i các yêu c u nêu ra trên là :ứ ớ ầ

- Gi i pháp s d ng Checkpoint FW1/VPN1ả ử ụ

- Gi i pháp s d ng Sidewinder G2ả ử ụ

Gi i pháp s d ng Chec kpoi nt Fir ewal lử ụ

Đ đ m b o chính sách b o m t d dàng và hi u qu cho FireWall s d ng cho khu v c Serverể ả ả ả ậ ễ ệ ả ử ụ ự Farm cũng nh chi phí đ u t th p và đáp ng kh năng qu n tr chuyên sâu và chi ti t cho cácư ầ ư ấ ứ ả ả ị ế ng d ng. Gi i pháp th I chúng tôi ki n ngh v i Sacombank là s d ng h th ng Checkpointứ ụ ả ứ ế ị ớ ử ụ ệ ố

Firewall cho phân h m ng máy ch ng d ng và máy ch Database c a trung tâm Sacombank ệ ạ ủ ứ ụ ủ ủ làm 2 vùng m ng riêngạ

1. Vùng m ng DM Z : CA server (Cung c p ng d ng qu n tr ch ký s cho cácấ ứ ụ ả ị ử ố ng d ng Ngân hàng và thi t b m ng ), Intranet/DNS server bên trong…ứ ụ ế ị ạ

2. Vùng se r ve r f a rm ch a server quan tr ng c a h th ng nh Database server,ứ ọ ủ ệ ố ư Application server, Report server, Web Server

Đ đ m b o tính s n sàng cao (HA) cho h th ng m ng ho t đ ng trong su t t c là khi có m tể ả ả ẵ ệ ố ạ ạ ộ ố ứ ộ firewall l i thì ho t đ ng c a h th ng v n bình th ng. Chúng tôi ki n ngh gi i pháp v iỗ ạ ộ ủ ệ ố ẫ ườ ế ị ả ớ SaccomBank trong giai đ an II là s d ng hai thi t b ch y firewall CheckPoint song hành v iọ ử ụ ế ị ạ ớ ph n m m HA là Rainfinity Rainwall-E RainWall s dò tìm l i ph n c ng, ph n m m, m ng đ m ầ ề ẽ ỗ ầ ứ ầ ề ạ ả b o h th ng ho t đ ng trong su t, gia tăng hi u su t c a h th ng b o m t trên gateway.ả ệ ố ạ ộ ố ệ ấ ủ ệ ố ả ậ

Gi i pháp s d ng Si de winder G2 Fi rewallử ụ

Tính năng hoàn tòan t ng ng v i các tính năng c a h th ng Firewall checkpoint và còn nhi uươ ứ ớ ủ ệ ố ề kh năng v t tr i.ả ượ ộ

H th ng Firewall Sidewinder h tr cài đ t s n trên h th ng các thi t b chuyên d ng ho c càiệ ố ỗ ợ ặ ẳ ệ ố ế ị ụ ặ đ t trên các dòng Server Intel thông th ng v i tính năng cài đ t đ n gi n nh t trong các lo iặ ườ ớ ặ ơ ả ấ ạ Firewall v i công ngh Power-It-On..ớ ệ

H th ng Firewall Sidewinder h tr s n công ngh d phòng cao đáp ng kh năng m r ng sauệ ố ỗ ợ ẳ ệ ự ứ ả ở ộ này.

Trong gi i pháp này chúng tôi khuy n ngh gi i pháp s d ng thi t b Sidewinder Firewall dòng 25ả ế ị ả ử ụ ế ị v i kh năng ph c v cùng lúc cho 50.000 transaction cùng lúc.ớ ả ụ ụ

Danh m c thi t b tham kh o tài li u đính kèm ụ ế ị ả ệ







6.3 Gi i pháp phát hi n và ch ng xâm nh p IDSệ ố ậ

Gi i pháp IDS cho m ng trung t âmạ

H th ng ki m tra xâm nh p (Intrusion Detection System - IDS) ki m soát tài nguyên và ho tệ ố ể ậ ể ạ đ ng c a h th ng hay m ng, s d ng thông tin thu th p đ c t nh ng ngu n này, thông báoộ ủ ệ ố ạ ử ụ ậ ượ ừ ữ ồ cho nh ng ng i có trách nhi m khi nó xác đ nh đ c kh năng có s xâm nh p.ữ ườ ệ ị ượ ả ự ậN u coi Firewall là h th ng b o v c a c ng truy c p m ng chính thì IDS (Intruder Detectionế ệ ố ả ệ ủ ổ ậ ạ System) là các camera giám sát, theo dõi và phát hi n các hành đ ng t n công xâm nh p. Đ đ mệ ộ ấ ậ ể ả b o an toàn cho h th ng ,Sacombank nên trang b thêm thi t b Proventiaả ệ ố ị ế ị TM 201 c a công ty hàngủ đ u v ph n m m và thi t b giám sát, phát hi n và ngăn ch n xâm nh p: Internet Security ầ ề ầ ề ế ị ệ ặ ậ System (ISS). D a trên k thu t nh phân tích protocol, đánh d u m u, k thu t phát hi n thôngự ỹ ậ ư ấ ẫ ỹ ậ ệ minh đ đánh giá và ki m soát các gói d li u l u thông qua m ng c a Sacombank nh m phátể ể ữ ệ ư ạ ủ ằ

hi n, phòng ch ng và đ a ra nh ng c nh báo đ i ng i qu n tr h th ng thông qua ph n m mệ ố ư ữ ả ố ườ ả ị ệ ố ầ ề tr c quan SiteProtectorự TM.

Gi i pháp IDS tích h p có th gi i thi u gi i pháp chu n tích h p ph n m m IDS Real-secure c aả ợ ể ớ ệ ả ẩ ợ ầ ề ủ ISS v i ph n c ng c a hãng Nokia và Proventia.ớ ầ ứ ủ

Gi i pháp tích h p trên đ c đánh giá cao trong th c t tri n khai v m t b o m t và kh năngả ợ ượ ự ế ể ề ặ ả ậ ả th c thi.ự

- Thi t b Proventiaế ị A201 đ c t ch c NSS x p lo i 1 trong các dòng s n ph m Appliantượ ổ ứ ế ạ ả ẩ tích h p v i ph n m m IDS ho t đ ng trên đ ng truy n t c đ 100MB.ợ ớ ầ ề ạ ộ ườ ề ố ộ

- Thi t b Proventia A201 ho t đ ng th nghi m trên m ng 100Mbps do NSS Group th cế ị ạ ộ ử ệ ạ ự hi n, có th phát hi n 100% các ki u t n công.ệ ể ệ ể ấ

- T ng t khi s d ng ph n m m ISS Real-secure trên server s s d ng ph n m mươ ự ử ụ ầ ề ẽ ử ụ ầ ề SiteProtector đ qu n lý t p trung, thi t b Appliant cho ISS Real-secure d dàng qu n lýể ả ậ ế ị ễ ả b ng ph n m m SiteProtector.ằ ầ ề

- Có kh năng c p nh t th ng xuyên v i h th ng l u tr các đ c đi m b o m t m i nh tả ậ ậ ườ ớ ệ ố ư ữ ặ ể ả ậ ớ ấ X-Force c a t ch c ISSủ ổ ứ

- Các dòng s n ph m Proventia A có kh năng h tr t c t 100Mb/s đ n 2000Mb/s và ph cả ẩ ả ổ ợ ố ừ ế ụ

Gi i pháp phát hi n ch ng xâm nh p m ng s d ng Proventiaệ ố ậ ạ ử ụ TM A201

Đ t đi m c a thi t b Proventiaặ ể ủ ế ị TM A201

• Ho t đ ng trong môi tr ng t c đ cao Gbpsạ ộ ườ ố ộ

• Đ c phát tri n d a trên k thu t RealSecure nên có kh năng phát hi n kho ng 1700 d uượ ể ự ỹ ậ ả ệ ả ấ hi u t n công bi t đ c đ ng th i h tr phát hi n nh ng d u hi u t n công ch a đ c bi tệ ấ ế ượ ồ ờ ỗ ợ ệ ữ ấ ệ ấ ư ượ ế tr c đó.ướ

• Phát hi n và t đ ng đáp tr các hành đ ng t n côngệ ự ộ ả ộ ấ







• Phân tích gói tin m c applicationở ứ

• Đ m b o tính toàn v nả ả ẹ

• Nh n di n t n công m t cách chính xácậ ệ ấ ộ

• Không làm gi m thông lu ngả ợ

• D dàng tri n khai và qu n lýễ ể ả

• Phân tích và l c các gói đã đ c mã hóaọ ượ

• Đ c qu n lý t p trung và thi t l p policy d dàng b ng ph n m m SiteProtectorượ ả ậ ế ậ ễ ằ ầ ề TM

Gi i pháp b o v và phát hi n xâm nh p cho máy chả ệ ệ ậ ủ

Module ph n m m RealSecure ầ ề ® Server Sensor đ m b o phát hi n xâm nh p và b o v máy chả ả ệ ậ ả ệ ủ kh i xâm nh p trái phépỏ ậ

• Theo dõi file log đ phát hi n xâm nh pể ệ ậ

• Theo dõi ho t đ ng c a các ti n trình và các user trên h th ngạ ộ ủ ế ệ ố

• Ch ng l i các t n công vào h đi u hành c a serverố ạ ấ ệ ề ủ

• Phát hi n các dò tìm b t h p pháp, các thay đ i c u hình d n t i m t an toàn h th ng, cácệ ấ ợ ổ ấ ẫ ớ ấ ệ ố hành vi thay đ i n i dung trang Web, các cu c t n công DoS, các hành vi t o ra backdoor...ổ ộ ộ ấ ạ

• Không làm nh h ng đ n t c đ x lý c a CPUả ưở ế ố ộ ử ủ

Ho t đ ng c a RealSecureộ ủ ® Server Sensor

• Làm c ng h th ng đ ch ng l i các hành đ ng t n côngứ ệ ố ể ố ạ ộ ấ

•

Ch n các t n công không theo giao th c IPặ ấ ứ

• Ch ng các t n công d ng DoS, DDoSố ấ ạ

• Ch ng l i các hành vi trinh sát t n công, thu th p thông tin b t h p pháp.ố ạ ấ ậ ấ ợ

• Các hình th c đáp tr t n công:ứ ả ấ

• Ng t session gây ra t n côngắ ấ

• C m user ho t đ ngấ ạ ộ







• Th c hi n các ch ng trình đ c đ nh nghĩa tr c đ ch ng t n côngự ệ ươ ượ ị ướ ể ố ấ

• Block các gói tin b nghi là dùng đ t n công, trinh sátị ể ấ

Gi i pháp dò tìm b o v cho máy truy c p t xa và máy tính quan tr ng trong m ngả ệ ậ ừ ọ ạ

Module ph n m m RealSecure ầ ề ® Desktop đ m b o dò tìm và b o v máy truy c p t xa hay máy cóả ả ả ệ ậ ừ nguy c b t n công trong h th ng m ng SacomBank ơ ị ấ ệ ố ạ

• T ng l a cá nhânườ ử

• Ngăn chăn các t n công phá h ai.ấ ọ

• Ngăn ch n đánh c p m t kh u.ặ ắ ậ ẩ

• Ngăn ch n vi c kích ho t các ng d ng không đ c phépặ ệ ạ ứ ụ ượ

• Ng n ch n các phá ho i đã v t qua đ c h th ng FW và anti-virusặ ặ ạ ượ ượ ệ ố

Gi i pháp dò tìm l h ng trong h th ng m ngỗ ỗ ệ ố ạ

Module ph n m m Internet Scanner ầ ề TM thành ph n này đ m b o vi c phân tích dò tìm l h ng c a ầ ả ả ệ ỗ ỗ ủ h th ng m ng trung tâm Sacombank ệ ố ạ

• Dò quét và phân tích các nguy c b o m t c a các thi t b trong h th ng m ngơ ả ậ ủ ế ị ệ ố ạ

• Internet Scanner th c hi n vi c quét các d ch v truy n thông, h đi u hành, routers, e-mail,ự ệ ệ ị ụ ề ệ ề Web servers, firewalls và các ng d ng.ứ ụ

• Đ m b o đ chính xác c a c u hình an ninh, ngăn ng a vi c user b qua các qui đ nh v anả ả ộ ủ ấ ừ ệ ỏ ị ề ninh

Gi i pháp dò tìm đi m y u c s d l i u khuy n ngh thêmể ế ơ ở ữ ệ ế ị

Module ph n m m Database Scanner™ Thành ph n này đ m b o vi c dò tìm l h ng b o v ầ ề ầ ả ả ệ ỗ ỗ ả ệ

• Thi t l p và b t bu c th c hi n chính sách an ninh đ i v i databaseế ậ ắ ộ ự ệ ố ớ

• Xác đ nh các đi m y u b o m t c a h th ng databaseị ể ế ả ậ ủ ệ ố

• Ki m tra tr c các hành đ ng xâm nh p.ể ướ ộ ậ







6.4 Gi i pháp phát hi n và phòng ch ng Virusệ ố

Công nghệ Antivirus chuyên dụng:

H u h t nh ng ng i ph trách IT trong các công ty hàng đ u trên th gi i đ u nh n ra r ng ầ ế ữ ườ ụ ầ ế ớ ề ậ ằ

virus máy tính là m i đe do chính hi n nay trong lĩnh v c b o m t thông tin. Nhi u ng i trongố ạ ệ ự ả ậ ề ườ

s h tin r ng vi c lây nhi m virus có th d n đ n thi t h i n ng n v m t năng su t lao đ ngố ọ ằ ệ ễ ể ẫ ế ệ ạ ặ ề ề ặ ấ ộ

(productivity). Tuy nhiên, t t c trong s h đ u không bi t làm cách nào đ đ i phó h u hi u v iấ ả ố ọ ề ế ể ố ữ ệ ớ

virus. Tr c đây, đa s ng i dùng th ng ch quan tâm đ n vi c phòng tr virus trên desktop.ướ ố ườ ườ ỉ ế ệ ừ

Ngày nay, Internet là ngu n lây nhi m virus chính, đ c bi t là email. Theo ICSA (T ch c qu c t ồ ễ ặ ệ ổ ứ ố ế

v b o m t máy tính - International Computer Security Association), trong năm 2000, 87% tr ng ề ả ậ ườ

h p lây nhi m virus là thông qua emai. Do đó, các s n ph m anti-virus th h th hai dành choợ ễ ả ẩ ế ệ ứ

server s là th vũ khí tăng c ng đáng tin c y nh t đ b o v doanh nghi p ch ng l i m i đeẽ ứ ườ ậ ấ ể ả ệ ệ ố ạ ố

do v virus - m t gi i pháp t p trung và th ng nh t trong vi c phòng ch ng virus và phòngạ ề ộ ả ậ ố ấ ệ ố

ch ng virus trên desktop ch là m c cu i cùng c a h th ng anti-virus.ố ỉ ứ ố ủ ệ ố

Tr c đây, r t nhi u công ty ph i đ i m t v i các l h ng b o m t do không có các chính sáchướ ấ ề ả ố ặ ớ ỗ ổ ả ậ b o m t (security policy) thích h p. Chính vì v y, Trend Micro đã t p trung nghiên c u và đ a raả ậ ợ ậ ậ ứ ư gi i pháp qu n lý và b o v t p trung dành cho t t c các nút m ng t Internet gateway, emailả ả ả ệ ậ ấ ả ạ ừ server cho t i các LAN server và desktop thông qua trình duy t Web browser.ớ ệ

Tổng quan giải pháp công nghệ của Trend Micro

Trend Micro đ a ra dòng s n ph m anti-virus dành cho doanh nghi p. Nó b o v doanh nghi pư ả ẩ ệ ả ệ ệ t i t t c các đi m trong m ng. S d ng nhi u công ngh quét, bao g m c so m u, ki m soátạ ấ ả ể ạ ử ụ ề ệ ồ ả ẫ ể hành vi d a vào t p lu t (rules-based behavior monitoring), các s n ph m này có th b o vự ậ ậ ả ẩ ể ả ệ doanh nghi p kh i các lo i virus, các vi trình (applet) Java và ActiveX. Công c Trend Virusệ ỏ ạ ụ Control System đ c thi t k nh m qu n lý các s n ph m c a Trend Micro m t cách t p trung,ượ ế ế ằ ả ả ẩ ủ ộ ậ th m chí m t ch ng m c nào đó nó còn có th qu n lý đ c c các s n ph m di t virus c aậ ở ộ ừ ự ể ả ượ ả ả ẩ ệ ủ hãng th 3 có m t trong LAN. Các s n ph m c a Trend Micro có th đ c tri n khai trên nhi uứ ặ ả ẩ ủ ể ượ ể ề h đi u hành khác nhau nh Netware, HP-UX, Sun, AS/4000…ệ ề ư

- Trend Virus Control System (TVCS) - Ðây là h th ng qu n lý giúp ng i qu n tr thi tệ ố ả ườ ả ị ế l p c u hình, ki m soát, đi u khi n và duy trì t t c các s n ph m di t virus c a Trend Microậ ấ ể ề ể ấ ả ả ẩ ệ ủ đ c cài trên toàn b m ng c a doanh nghi p m t cách t p trung. Nh có VCS, công tác qu n trượ ộ ạ ủ ệ ộ ậ ờ ả ị đ a ra chính sách anti-virus có th đ c th c hi n m t cách t p trung t m t server. Hi n nayư ể ượ ự ệ ộ ậ ừ ộ ệ Trend Micro đã đ a ra m t phiên b n m i c a TVCS đ c g i là Control Manager. Đi m c i ti nư ộ ả ớ ủ ượ ọ ể ả ế n i b t c a Control Manager là đ c tích h p công ngh m i OPP (Outbreak Prevention Policies) -ổ ậ ủ ượ ợ ệ ớ công ngh này s đ c gi i thi u sau.ệ ẽ ượ ớ ệ

- InterScan VirusWall - Ðây là công c quét đ c thi t k nh m ngăn ch n virus và cácụ ượ ế ế ằ ặ đo n mã ch ng trình có kh năng phá ho i ngay t c ng Internet. Nó g m có 3 thành ph n:ạ ươ ả ạ ừ ổ ồ ầ FTP VirusWall, HTTP VirusWall và Email VirusWall. M i thành ph n t ng ng v i tên g i s quétỗ ầ ươ ứ ớ ọ ẽ d a trên m t s các giao th c Internet ph bi n nh t hi n nay nh File Transfer Protocol - FTP,ự ộ ố ứ ổ ế ấ ệ ư Hipertext Transfer Protocol - HTTP, Simple Mail Transfer Protocol - SMTP. Ph n m m này t đ ng ầ ề ự ộ quét các file, th đi n t , các k t n i Web nh m phát hi n, di t tr virus và các đo n mãư ệ ử ế ố ằ ệ ệ ừ ạ ch ng trình x u.ươ ấ







Ð tăng thêm tính năng ho t đ ng cho InterScan VirusWall, Trend đ a ra thêm m t module ph nể ạ ộ ư ộ ầ m m plug-in có tên là InterScan eManager. Module này cho phép l c email theo n i dung, lo i b ề ọ ộ ạ ỏ các spam mail không mong mu n. Nó bao g m 2 thành ph n:ố ồ ầ

• Content Management: l c spam và l c theo n i dungọ ọ ộ

• E-mail Management: qu n lý băng thông và báo cáo tr ng thái SMTP.ả ạ

- InterScan AppletTrap - Ðây là ph n m m dùng đ ch n các vi trình Java (Java applet), các ầ ề ể ặ HTML script cũng nh là các đi u khi n ActiveX không an toàn ho c có kh năng phá ho i trênư ề ể ặ ả ạ gateway Internet. InterScan AppletTrap có 2 phiên b n:ả

• Standard HTTP proxy version

• Check Point FireWall-1 version

- InterScan WebManager - M t ng d ng ho t đ ng t i các c ng Internet, qu n lý vi c truyộ ứ ụ ạ ộ ạ ổ ả ệ c p c a các máy tr m vào Internet, dò tìm và lo i b virus lây nhi m trong các File tr c khi điậ ủ ạ ạ ỏ ễ ướ vào h th ng LAN. InterScan WebManager còn giám sát l u thông HTTP.ệ ố ư

- InterScan WebProtect - InterScan WebProtect là m t t p h p các ch ng trình ho t đ ngộ ậ ợ ươ ạ ộ trên Internet gateway. H th ng này ho t đ ng gi ng nh 1 gateway đ ng gi a LAN và Internet.ệ ố ạ ộ ố ư ứ ữ InterScan WebProtect quét t t c các file đ c truy n theo giao th c HTTP…ấ ả ượ ề ứ

- InterScan Messaging Security Suite (IMSS): đ c dùng cho các SMTP server. Đây làượ phiên b n nâng c p c a thành ph n InterScan Email VirusWall do đó, ngoài tính năng quét emailả ấ ủ ầ

t ng t nh Email VirusWall, nó còn có thêm tính năng c a InterScan eManager và đ c tíchươ ự ư ủ ượ h p công ngh OPP.ợ ệ

- ScanMail - Ph n m m này đ c thi t k dành riêng cho các Mail Server. Nó dò tìm virus ầ ề ượ ế ế trong các mail box trên server và có th đ c s d ng cho các Mail Server nh MS Exchange, HPể ượ ử ụ ư OpenMail,…

Ð tăng thêm tính năng cho ScanMail, Trend đã đ a ra m t s n ph m tích h p có tên là ScanMailể ư ộ ả ẩ ợ eManager. Cũng gi ng nh InterScan eManager, ScanMail eManager đ c thi t k đ tăng tínhố ư ượ ế ế ể năng ch ng Spam cho các Mail Server.ố

- ServerProtect - Ph n m m này dò tìm, ngăn ch n virus cho các máy server Microsoft ầ ề ặ

Windows NT và Novell NetWare. Ki n trúc 3 l p c a nó cho phép qu n tr viên có th qu n lýế ớ ủ ả ị ể ả chính sách di t virus trong doanh nghi p m t cách t p trung, thu n ti n và h p lý, do đó khôngệ ệ ộ ậ ậ ệ ợ làm nh h ng nhi u đ n hi u su t ho t đ ng c a t ng server trong h th ng.ả ưở ề ế ệ ấ ạ ộ ủ ừ ệ ố

- OfficeScan Corporate Edition - Ðây là ph n m m đ c thi t k đ tri n khai gi i pháp ầ ề ượ ế ế ể ể ả anti-virus c a doanh nghi p đ n t ng nhân viên tr c thu c doanh nghi p. Ph n m m này choủ ệ ế ừ ự ộ ệ ầ ề phép qu n lý t p trung, r t linh ho t trong cách l a ch n c u hình, giao di n thân thi n và t pả ậ ấ ạ ự ọ ấ ệ ệ ậ trung cho phép qu n tr viên qu n lý h th ng di t virus ho t đ ng hi u qu và không t n kémả ị ả ệ ố ệ ạ ộ ệ ả ố v m t th i gian cũng nh v tính năng ho t đ ng c a t ng desktop trong môi tr ng m ng. ề ặ ờ ư ề ạ ộ ủ ừ ườ ạ

- PC-Cill in - M t công c di t virus cho các máy tính cá nhân s d ng các h đi u hànhộ ụ ệ ử ụ ệ ề Windows 95, 98, 2000 và XP. Phiên b n m i PC-Cillin 2003 có m t s tính năng m i r t đáng chúả ớ ộ ố ớ ấ

ý nh Personal Firewall, ScriptTrap Technology, …ư







Điểm mạnh và tính năng các giải pháp Anti virus của Trend

D n đ u v công nghầ ề ệ

V i h n 54% th ph n, InterScan VirusWall c a Trend Micro đ c IDC x p h ng nh t trong thớ ơ ị ầ ủ ượ ế ạ ấ ị tr ng s n ph m anti-virus cho các Internet gateway cũng nh trong công ngh b o m t d a vàoườ ả ẩ ư ệ ả ậ ự n i dung.ộ

Đ a ra nhi u gi i pháp cho doanh nghi pề ả ệ

Trend Micro đ a ra các gi i pháp cho phép b o m t t các máy ch gateway Internet, các máyư ả ả ậ ừ ủ ch mail, file server cho đ n các desktop.ủ ế

Các hãng li ên k t

Trend Micro h p tác v i r t nhi u các hãng hàng đ u trong lĩnh v c công ngh thông tin nhợ ớ ấ ề ầ ự ệ ư Openwave, SendMail, Sun, Microsoft, Cisco, Lucent, Stonebeat, Checkpoint, …

Ch ng chỉ

Trend Micro đ c nhi u t ch c có uy tín trên th gi i nh SunTone, OPSEC, iCAP, ICSA, … côngượ ề ổ ứ ế ớ ư nh nậ

Gi i th ngưở

Các gi i pháp c a Trend Micro đã và v n ti p t c nh n đ c nhi u gi i th ng trong các l n bìnhả ủ ẫ ế ụ ậ ượ ề ả ưở ầ ch n c a các t p chí l n nh PC Magazine, InfoWorld, Secure Computing, ...ọ ủ ạ ớ ư

T c đ ho t đ ng (Performance)ộ ạ ộ

Các đánh giá t nhi u hãng khác nhau đã ch ra r ng các s n ph m c a Trend Micro luôn ho từ ề ỉ ằ ả ẩ ủ ạ đ ng t c đ khá cao so v i các s n ph m cùng lo i c a nhi u hãng khác.ộ ở ố ộ ớ ả ẩ ạ ủ ề

Quy mô (Sca labi li ty ) và Đ t in c yậ

Các công ngh c a Trend Micro đ c thi t k đ có th x lý hàng tri u email m i ngàyệ ủ ượ ế ế ể ể ử ệ ỗ

Trend Micro đã đ c ch ng minh là hãng có các công ngh ho i n đ nh, li n m ch, không b tr cượ ứ ệ ạ ổ ị ề ạ ị ụ tr c - 24x7x365.ặ

6.5 Gi i pháp s d ng InterScan VirusWall khuy n ngh cho Sacombankử ụ ế ị

InterScan VirusWall (ISVW) là gi i pháp b o v doanh nghi p ch ng l i virus t c ng Internetả ả ệ ệ ố ạ ừ ổ gateway. ISVW có t c đ x lý cao và g m 3 thành ph n:ố ộ ử ồ ầ

- InterScan Email VirusWall

- InterScan FTP VirusWall







- InterScan HTTP VirusWall

Ngoài ra Trend Micro còn đ a ra thành ph n plug-inư ầ eManager nh m giúp doanh nghi p tránhằ ệ

kh i Spam và ki m soát n i dung mail m t cách ch t ch .ỏ ể ộ ộ ặ ẽ

• Ch đ b o v Real-time t m c Gatewayế ộ ả ệ ừ ứ

• Ch đ này cho phép phát hi n và lo i b virus trong dòng d li u ra vào theo th i gianế ộ ệ ạ ỏ ữ ệ ờ th cự

• SMTP VirusWall đi kèm v i Mail Server đ quét lu ng SMTP vào và ra.ớ ể ồ

• HTTP VirusWall không cho phép virus lây lan t các file do ng i s d ng download, đ ngừ ườ ử ụ ồ th i nó cho phép ng i qu n tr xác đ nh các chu n an toàn chung th ng nh t trong toànờ ườ ả ị ị ẩ ố ấ

h th ng m ng đ i v i Java và Authenticode, do đó nó có th ch ng l i các đo n mã Javaệ ố ạ ố ớ ể ố ạ ạ và ActiveX có m c đích x u.ụ ấ

• FTP VirusWall ho t đ ng m t cách trong su t đ đ m b o ng i dùng không load ph iạ ộ ộ ố ể ả ả ườ ả nh ng file b nhi m virus.ữ ị ễ

• Có kh năng t ng tác nhu n nhuy n v i h u h t các lo i t ng l a chính hi n nay, đ cả ươ ầ ễ ớ ầ ế ạ ườ ử ệ ặ bi t là v i Firewall-1 c a Check Pointệ ớ ủ

• T đ ng update các pattern file (ch a đ nh nghĩa v các virus m i)ự ộ ứ ị ề ớ

• S d ng thu n ti n nh có c giao di n Web và Windows-basedử ụ ậ ệ ờ ả ệ

M m d o khi đ t c u hình và có th qu n lý thông qua Browserẻ ặ ấ ể ả InterScan VirusWall cóth đ c c u hình đ khi phát hi n th y virus s :ể ượ ấ ể ệ ấ ẽ

• Thông báo cho qu n tr viên h th ng (thông qua Mail n i b …)ả ị ệ ố ộ ộ

• Cô l p file lây nhi mậ ễ

• Xoá file lây nhi mễ

• Ch cho phép ng i s d ng download file khi đã tho mãn m t s đi u ki n nào đó đ cỉ ườ ử ụ ả ộ ố ề ệ ượ

đ t ra tr c đó.ặ ướ

Ngoài ra, InterScan VirusWall có c giao di n Windows và giao di n Web-basedả ệ ệ

D dàng qu n lýả

InterScan VirusWall th ng xuyên ghi nh t ký m t cách rõ ràng v các file lây nhi m: tên file, v trí ườ ậ ộ ề ễ ị file, ngày nh n file, tên virus b lây nhi m và hành đ ng gì đ c th c thi khi phát hi n ra virus.ậ ị ễ ộ ượ ự ệ

• C ch quét (Sc an Eng in e)ếInterScan VirusWall s d ng c ch quét 32 bit đa tuy n do đó đ y nhanh đ c t c đử ụ ơ ế ế ẩ ượ ố ộ







• T ng tác t t v i t ng l aơ ố ớ ườ ửInterScan VirusWall s d ng các hàm API CVP (Content Vectoring Protocol) c a Check ử ụ ủ Point đ có th ho t đ ng thông su t v i FireWall-1. Đ quét virus, qu n tr viên ch c nể ể ạ ộ ố ớ ể ả ị ỉ ầ

thêm d ch v quét virus c a ISVW vào t p lu t c a Check Point, khi quét, dòng thông tinị ụ ủ ậ ậ ủ m ng không b nh h ng nhi u.ạ ị ả ưở ề

eManage r - thành ph n tăng c ng cho Vi ru sWa llườ

• Gi i pháp b o m t n i dung d a trên các chính sáchả ậ ộ ựTrend Micro InterScan eManager đ c tích h p v i InterScan VirusWall đ ch n Spam vàượ ợ ớ ể ặ các thông đi p có n i dung không mong mu n.ệ ộ ố

• Có t ính năng l c n i dung thông m inhộS d ng các toán t nh AND, OR, NOT, …, eManager l c n i dung d a vào danh sách cácử ụ ử ư ọ ộ ự t khoáừ

• Ch n Spam và các fi le đ ính kèm không mong mu nốInterScan eManager t đ ng update các t khoá đ ch n Spam…ự ộ ừ ể ặ

• B o m t n i dung đ c qu n lý d a trên các chính sáchậ ộ ượ ả ựeManager cho phép qu n tr viên đ t ra nhi u chính sách Email khác nhau trong m ng c aả ị ặ ề ạ ủ doanh nghi p.ệ

• B l c fi le đính kèmọeManager cho phép đ t l c đ i v i nhi u lo i file đính kèm khác nhauặ ọ ố ớ ề ạ

• Qu n lý truy n thề ưĐ c thi t k đ qu n lý ho t đ ng c a email server, eManager có kh năng ki m soátượ ế ế ể ả ạ ộ ủ ả ể dòng SMTP, nó có th b t t m ng ng thao tác truy n file có kích th c l n đ không làmể ắ ạ ừ ề ướ ớ ể nh h ng t i t c đ m ng.ả ưở ớ ố ộ ạ

• H th ng c nh báo và ghi nh t kýệ ố ả ậ

Server Protect for NT/Novell/Linux

Server Protect có th b o v các server m t cách hi u qu . Đây là th h th 2 c a dòng các s nể ả ệ ộ ệ ả ế ệ ứ ủ ả ph m di t virus.ẩ ệ

• Qu n l ý domai n t p trungậServerProtect cho phép qu n tr viên t m t đi m có th qu n lý đ c t t c các phiênả ị ừ ộ ể ể ả ượ ấ ả b n ServerProtect đ c cài trên các server trong m ng thông qua m t công c qu n trả ượ ạ ộ ụ ả ị riêng. Công c này cũng cho phép qu n tr viên cùng m t lúc c u hình các server trongụ ả ị ộ ấ cùng m t domain, cũng nh là đ a ra các báo cáo v tình tr ng c a chúng.ộ ư ư ề ạ ủ

• Qu n lý t xa theo mô hình 3 l pừ ớ

ServerProtect cho phép qu n tr t xa thông qua ki n trúc g m 3 thành ph n:ả ị ừ ế ồ ầ







• Information Server : Đ c cài trên 1 server v i m c đích qu n lý t p trung cácượ ớ ụ ả ậ ServerProtect. Information Server s d ng l i g i th t c t xa (Remote Procedure Call -ử ụ ờ ọ ủ ụ ừ RPC) đ connect t i các server Windows NT và s d ng Sequenced Packet Exchange (SPX)ể ớ ử ụ

đ connect t i các server Novell NetWare.ể ớ

• Normal Server: Đ c cài trên các server (có th coi đây là b n client c a ServerProtect) vàượ ể ả ủ đ c qu n lý b i Information Serverượ ả ở

• Management Console : Công c qu n tr s d ng giao th c TCP/IP, qu n tr viên có thụ ả ị ử ụ ứ ả ị ể logon vào Informtion Server thông qua hình th c xác th c d a trên username và password.ứ ự ự

Các ch c năng qu n tr t xa bao g m:ứ ả ị ừ ồ

• Update các t p pattern, scan engine, và các b n s a l iệ ả ử ỗ

• Quét virus trên các server

• Thi t l p c u hình di t virus c th trên t ng server t xaế ậ ấ ệ ụ ể ừ ừ

• C nh báoả

• Ghi nh t ký và báo cáoậ

• Ch đ quét Real-timeộServerProtect s d ng c 2 công ngh phát hi n virus: d a vào hành vi và d a vàoử ụ ả ệ ệ ự ự

pattern. D a vào nh ng công ngh m i c a mình, Trend Micro đã nâng đ c t c đ ho tự ữ ệ ớ ủ ượ ố ộ ạ đ ng c a ServerProtect lên h n 70% k t phiên b n ServerProtect 4.6ộ ủ ơ ể ừ ả

• Ch c năng updateServerProtect có th đ c đ t c u hình đ t đ ng c p nh t các b n pattern và scanể ượ ặ ấ ể ự ộ ậ ậ ả engine

• Ho t đ ng h ng tác v (Task-oriented Operation)ộ ướ ụServerProtect s d ng ph ng pháp h ng tác v đ l a ch n ch c năng nào th t c nử ụ ươ ướ ụ ể ự ọ ứ ậ ầ thi t đ thi hành. Qu n tr viên có th t o ra nh ng tác v riêng c a mình, do đó đ n gi nế ể ả ị ể ạ ữ ụ ủ ơ ả hoá đ c thao tác qu n lý và duy trì ho t đ ng th ng xuyên.ượ ả ạ ộ ườ

Office Scan Corporate Edition

OfficeScan là gi i pháp di t virus dành cho desktop trên môi tr ng m ng LAN, đ c thi t k theoả ệ ườ ạ ượ ế ế mô hình client/server.

• Qu n lý và c u hình t p trungấ ậOfficeScan Corporate Edition là gi i pháp di t virus trên desktop đ u tiên trong môi tr ngả ệ ầ ườ LAN cho phép qu n lý t p trung d a trên giao di n Web và b o v theo th i gian th c. Nóả ậ ự ệ ả ệ ờ ự cho phép gi m thi u các thao tác qu n tr nh đ t c u hình, update, …ả ể ả ị ư ặ ấ







• T đ ng cài đ t và tri n khaiộ ặ ểOfficeScan đ c cài đ t trên server và r t thu n ti n khi tri n khai thông qua Web và cácượ ặ ấ ậ ệ ể công c cũng nh công ngh m i.ụ ư ệ ớ

• T đ ng c p nh t virus patternộ ậ ậ- Qu n lý d a trên domainựOfficeScan có th g p nhóm các client vào m t domain chung đ d qu n lý. Trongể ộ ộ ể ễ ả domain này, qu n tr viên có th th c hi n vi c l p c u hình cho t ng client hay cho toànả ị ể ự ệ ệ ậ ấ ừ b domain.ộ

• C nh báo nguy c v virusơ ềOfficeScan có th ki m soát các hành vi t a virus (virus behaviour) trên các client và thôngể ể ự báo cho qu n tr viên qua email.ả ị

• M m d o trong quy mô tr i n khaiẻ ểOfficeScan Server có th đ c cài đ t trên nhi u server khác nhau đ có th ki m soátể ượ ặ ề ể ể ể đ c m t s l ng l n client. N u doanh nghi p có nhi u chi nhánh xa, m i OfficeScanượ ộ ố ượ ớ ế ệ ề ở ỗ Server có th đ c cài đ t trên m i server trong m ng đ a ph ng đ tăng hi u su t làmể ượ ặ ỗ ạ ị ươ ể ệ ấ vi c. Doanh nghi p có th tri n khai Trend Virus Control System (Trend VCS™) đ có thệ ệ ể ể ể ể qu n lý t p trung các OfficeScan server này trên duy nh t m t giao di n Web t p trung.ả ậ ấ ộ ệ ậ

ScanMail

• Quét lu ng vào và ra Mail Server đ ngăn ch n bùng n virus ồ ể ặ ổ

• Ti n trình quét đa lu ng do đó không nh h ng nhi u đ n t c đ c a Mail Serverế ồ ả ưở ề ế ố ộ ủ

• Quét email và các file đính kèm trong mailbox

• M m d o khi đ t c u hình ề ẻ ặ ấ

• Quét virus v i t c đ caoớ ố ộ

• Có th quét các lo i file đính kèm khác nhauể ạ

• Có b l c thông đi p dùng đ ch n và xoá b các mail dính virusộ ọ ệ ể ặ ỏ

Trend Micro Control Manager

Cho phép qu n tr viên đ t c u hình, ki m soát các ch ng trình di t virus ch t m t v trí v t lý.ả ị ặ ấ ể ươ ệ ỉ ừ ộ ị ậ

• Qu n lý t p trungả ậ- S d ng giao di n Web nên không ph thu c vào platformử ụ ệ ụ ộ- Thông tin hi n th chi ti t, thu n ti n cho vi c phân tíchể ị ế ậ ệ ệ

• C p nh t t p trungậ ậ ậ- D dàng cài đ tễ ặ- Hi u qu , ti t ki m đ c chi phí qu n trệ ả ế ệ ượ ả ị

- Đ a ra đ c chính sách t ng th trong toàn m ng doanh nghi pư ượ ổ ể ạ ệ







Mô hình giải pháp của Trend Micro


ThreatInformation

AttackPrevention

Notificationand

Assurance

PatternFile

Scan andEliminate

AssessAnd

cleanup

RestoreandPost-

mortem

Doanh nghiệp bị giảm hiệu suất làm việc

$$$$$

$$$$ $$ $$

“Khoảng 80% phí tổn mà doanh nghiệp phảichịu từ những virus như ILOVEYOU… là

trong công tác loại bỏ virus.” -- Computer Economics, 2001

SupportPrograms

Quản lý tập trung =

Triển khai các pattern file vàscan engineKiểm soát các phần mềm diệtvirus trong mạng

ContentSecurity

(eManager)






6.6 H th ng dò tìm l i b o m t khuy n ngh cho tòan h th ng (Scanner)ố ỗ ả ậ ế ị ệ ố

Yêu c u k thu t cho h th ng dò tìm l i b o m tỹ ậ ệ ố ỗ ả ậ

Các phân m m Secure scanner là ph n m m yêu c u s d ng cho h th ng m ng Trung tâm ề ầ ề ầ ử ụ ệ ố ạ Sacombank nh m đáp ng yêu c u ki m tra và kh o c u tính an toàn c a h th ng m ng .ằ ứ ầ ể ả ứ ủ ệ ố ạ

Là s n ph m có tính năng quét các l h ng trên m ng và s p x p l i h th ng. Scanner cho phépả ẩ ỗ ổ ạ ắ ế ạ ệ ố ch n đoán và x lý các v n đ an ninh trong môi tr ng m ng. Scanner tr giúp Ng i qu n trẩ ử ấ ề ườ ạ ợ ườ ả ị m ng xác đ nh và thông báo các l h ng trên các máy ch nh các d ch v , các patch c a h đi uạ ị ỗ ổ ủ ư ị ụ ủ ệ ề hành, CSDL,… và chính nh nh ng l h ng này mà Hacker có th t n d ng đ thâm nh p tráiờ ữ ỗ ổ ể ậ ụ ể ậ phép. Sáng ki n c a gi i pháp Scanner g m 2 ph n, ph n th nh t đ c chèn vào bên trong cế ủ ả ồ ầ ầ ứ ấ ượ ơ s d li u đ xác đ nh s xâm nh p và đánh giá các l h ng trên m ng theo th i gian th c. Ph nở ữ ệ ể ị ự ậ ỗ ổ ạ ờ ự ầ th 2 bao g m nh ng qui đ nh các lu t c b n đ phát hi n các l h ng an ninh theo th i gianứ ồ ữ ị ậ ơ ả ể ệ ỗ ổ ờ th c.ự Phân tích các gi i pháp ch n ph n m m Scannerọ ầ ề

Các lo i ph n m m Scanner là công c giúp các nhà qu n tr đo đ c tính an ninh, các rũi ro vàạ ầ ề ụ ả ị ượ làm tăng đ an toàn trong môi tr ng m ng. ph n m m Scanner là công c ph n m m quanộ ườ ạ ầ ề ụ ầ ề tr ng trong gi i pháp an toàn m ng.ọ ả ạ

Yêu c u đ t cho h th ng ph n m m Scanner cho h th ng ph i t ng thích hoàn toàn v i h ầ ặ ệ ố ầ ề ệ ố ả ươ ớ ệ th ng ph n c ng và c u trúc m ng, ph i có ch đ t update thông tin b o m t m i t bênố ầ ứ ấ ạ ả ế ộ ự ả ậ ớ ừ ngoài. Chúng tôi khuy n ngh s d ng h th ng ph n m m Security Analyzer c a hãng NetIQ. Đâyế ị ử ụ ệ ố ầ ề ủ là ph n m m t ng thích hoàn toàn v i các s n ph m c a Cisco và có h th ng nh n di n l i b o ầ ề ươ ớ ả ẩ ủ ệ ố ậ ệ ỗ ả m t chuyên nghi p đ c t đ ng c p nh t đ nh kỳ. Ngòai ra có th so sánh thêm v i h th ngậ ệ ượ ự ộ ậ ậ ị ể ớ ệ ố Scanner c a ISS.ủ

Gi i thi u gi i pháp Scanner c a NetIQệ ả ủ







H th ng ph n m m Security Analyzer yêu c u h th ng máy ch đi u khi n (Consoleệ ố ầ ề ầ ệ ố ủ ề ể computer)nh sau:ư

• Microsoft Windows NT 4.0, Windows 2000 or Windows XP

• Internet Explorer 4.0 or later

• Microsoft Office 2000 or Office XP to produce reports in Word and XML formats

• 64MB RAM or more. (256MB RAM recommended)

• 100MB available disk space

Security Analyzer có th tìm ki m và phát hi n các l i b o m t trên các h th ng ho t đ ng theoể ế ệ ỗ ả ậ ệ ố ạ ộ giao th c TCP/IP bao g m c các h th ng không thu c dòng Window:ứ ồ ả ệ ố ộ

• Windows 95, Windows 98 or Windows Me

• Windows NT, Windows 2000 or Windows XP

• Sun Solaris 2.6, Solaris 7 or Solaris 8• Red Hat Linux 6.x or 7.x

H th ng s t đ ng phân c p tình tr ng b o m t phát hi n đ c thông qua Security Analyzer’sệ ố ẽ ự ộ ấ ạ ả ậ ệ ượ Scan Viewer c nh báo nh ng l i, m c đ nguy hi m và đ a ra gi i pháp s a ch a ngay cho t ngả ữ ỗ ứ ộ ể ư ả ử ữ ừ tr ng h p.ườ ợ

Các ch c năng ti n ti n c a h th ng Security Analyzer:ế ế ủ ệ ố

N u h th ng có k t n i Internet, ch c năng AutoSync s t đ ng k t n i v i trung tâmế ệ ố ế ố ứ ẽ ự ộ ế ố ớ đ c p nh t th vi n Security test m i nh t cùng v i các ph n c p nh t c a h th ng.ể ậ ậ ư ệ ớ ấ ớ ầ ậ ậ ủ ệ ố

An toàn t i đa cho h th ng s d ng NetBIOSố ệ ố ử ụ

Scans Windows XP computers Ki m tra, phán đoán và b t các l h ng. B các d ch v không c n thi t trên h th ng, chể ị ỗ ổ ỏ ị ụ ầ ế ệ ố ỉ

cho phép ch y các d ch v c n thi t ho t đ ng.ạ ị ụ ầ ế ạ ộ

Exports data sang XML dùng cho database và reporting tools tuỳ ch nọ

Cross-references CVE, CERT®/CC, BugTraq và Microsoft Bulletin ID systems

Thi t k h th ng : Máy ch qu n tr cho Security Analyer s cài đ t trong vùng máy ch dành choế ế ệ ố ủ ả ị ẽ ặ ủ qu n tr m ng. Do h th ng đ c phân chia làm nhi u VLAN và PVLAN (private VLAN) do đóả ị ạ ệ ố ượ ề không c n thi t ph i dùng đ n h th ng Security Analyer l icense cho c m t subnet. Chúng tôi ầ ế ả ế ệ ố ả ộ khuy n ngh dùng phiên b n dành cho 100IP trong m t l n quyét. Chi ti t phân m m xin thamế ị ả ộ ầ ế ề kh o b n danh sách thi t b kèm theo.ả ả ế ị

Gi i pháp Scanner c a ISSủModule ph n m m Internet Scanner ầ ề TM là thành ph n trong h th ng gi i pháp b o m t c a ISS, ầ ệ ố ả ả ậ ủ đ m b o vi c phân tích dò tìm l h ng c a h th ng m ng trung tâm Sacombank:ả ả ệ ỗ ỗ ủ ệ ố ạ

Dò quét và phân tích các nguy c b o m t c a các thi t b trong h th ng m ngơ ả ậ ủ ế ị ệ ố ạ Internet Scanner th c hi n vi c quét các d ch v truy n thông, h đi u hành, routers, e-ự ệ ệ ị ụ ề ệ ề

mail, Web servers, firewalls và các ng d ng.ứ ụ Đ m b o đ chính xác c a c u hình an ninh, ngăn ng a vi c user b qua các qui đ nh vả ả ộ ủ ấ ừ ệ ỏ ị ề

an ninh

Gi i pháp khuy n ngh : Module ph n m m dò tìm đi m y u c s d l i uế ị ầ ề ể ế ơ ở ữ ệModule ph n m m ầ ề Database Scanner™

Thành ph n này đ m b o vi c dò tìm l h ng b o v h th ng c s d li u chính ầ ả ả ệ ỗ ỗ ả ệ ệ ố ơ ở ữ ệ







• Thi t l p và b t bu c th c hi n chính sách an ninh đ i v i databaseế ậ ắ ộ ự ệ ố ớ• Xác đ nh các đi m y u b o m t c a h th ng databaseị ể ế ả ậ ủ ệ ố • Ki m tra tr c các hành đ ng xâm nh p.ể ướ ộ ậ

So sánh các gi i phápCông ngh Scan c a ISS và NetIQ hi n nay r t n i ti ng trong lĩnh v c b o m t m ng. Trong m tệ ủ ệ ấ ổ ế ự ả ậ ạ ộ ch ng m c xét v ph ng di n tin c y các gi i pháp Scanner c a ISS v t tr i h n v kh năngừ ự ề ươ ệ ậ ả ủ ượ ộ ơ ề ả nh n bi t các y u t b o m t v i h th ng c p nh t tr c tuy n l n nh t hi n nay. Và h th ngậ ế ế ố ả ậ ớ ệ ố ậ ậ ự ế ớ ấ ệ ệ ố ISS Internet Scanner có kh năng tích h p t t v i h th ng qu n tr trung tâm.ả ợ ố ớ ệ ố ả ị

Đ xu t gi i pháp c a FPT cho Sacombankấ ả ủ

Nh m đáp ng t t nh t kh năng dò tìm l i b o m t c a h th ng cho c h th ng nói chung vàằ ứ ố ấ ả ỗ ả ậ ủ ệ ố ả ệ ố h th ng C s d li u nói riêng chúng tôi khuy n ngh Sacombank c n trang b và s d ng hệ ố ơ ở ữ ệ ế ị ầ ị ử ụ ệ th ng ISS Internet Scanner và Database scanner k t h p module System Scanner.ố ế ợ

H th ng ph n m m Scanner d ki n tri n khai trên n n Intel v i máy ch HP dòng DL t i thi uệ ố ầ ề ự ế ể ề ớ ủ ố ể 380 G2 v i 2 x 1.4 Ghz , 1G Ram. Khuy n ngh s d ng h đi u hành Window cho các Moduleớ ế ị ử ụ ệ ề Scanner chính nh m đáp ng kh năng theo dõi tr c quan h th ng, d cài đ t và v n hành.ằ ứ ả ự ệ ố ễ ặ ậ







III. PHÂN CHIA QUÁ TRÌNH TRI N KHAI Vi c tri n khai h th ng b o m t cho h th ng m ng c a Sacombank r t ph c t p và đòi h iệ ể ệ ố ả ậ ệ ố ạ ủ ấ ứ ạ ỏ nhi u th i gian m i có th xây d ng đ c các chính sách t i u, h n n a, b o m t là m t ti n ề ờ ớ ể ự ượ ố ư ơ ữ ả ậ ộ ế trình ch không ph i là m t s n ph m ph n m m hay ph n c ng c th .ứ ả ộ ả ẩ ầ ề ầ ứ ụ ể

Vì v y, chúng tôi đ ngh phân chia ti n trình b o m t thành các giai đo n nh sau.ậ ề ị ế ả ậ ạ ư

1. TRI N KHAI H TH NG GIAI Đ AN IỆ Ố Ọ

Trong giai đ an I là giai đ an b t đ u tri n khai h th ng Router cung c p k t n i ra Internet.ọ ọ ắ ầ ể ệ ố ấ ế ố Trong giai đo n này s tri n khai ngay h th ng b c t ng l a t i t ng 1 (nh đã đ c p trên),ạ ẽ ể ệ ố ứ ườ ử ạ ầ ư ề ậ ở s d ng thi t b ph n c ng Firewall đ đ m b o performance c a các lu ng giao d ch vào raử ụ ế ị ầ ứ ể ả ả ủ ồ ị internet

Firewall t i t ng 1ầ : S d ng thi t b PIX Firewall 515e theo công ngh Firewall c a hãng Ciscoử ụ ế ị ệ ủ dùng ngăn cách m ng n i b Sacombank v i internet.ạ ộ ộ ớT i t ng này ta cũng b trí s d ng thi t b dò tìm thâm nh p b t h p pháp ISS IDS đ giám sátạ ầ ố ử ụ ế ị ậ ấ ợ ể ho t đ ng c a firewall 515e và router k t n i v i Internet, nh m phát hi n, ngăn ch n các cu cạ ộ ủ ế ố ớ ằ ệ ặ ộ t n công và thâm nh p b t h p pháp vào h th ng.ấ ậ ấ ợ ệ ố T i t ng này, m ng DMZ s có m c đ u tiên th p h n so v i m ng n i b (internal Net) bênạ ầ ạ ẽ ứ ộ ư ấ ơ ớ ạ ộ ộ trong. T t c các k t n i t m ng n i b bên trong s đ c phép đi ra Public Net và internetấ ả ế ố ừ ạ ộ ộ ẽ ượ không h n ch và ch có m t s Host nh t đ nh m i đ c phép vào m ng Local trong khi khôngạ ế ỉ ộ ố ấ ị ớ ượ ạ có b t kỳ m t qui t c nào cho phép k t n i ng c t internet.ấ ộ ắ ế ố ượ ừ

2. TRI N KHAI H TH NG GIAI Đ AN IIỆ Ố Ọ

Internet gateway là đi m k t n i h th ng m ng c a Sacombank v i môi tr ng Internet. T i đâyể ế ố ệ ố ạ ủ ớ ườ ạ có th xem nh là m t cách c a r ng nh t đ virus và các mã d ng ý x u xâm nh p vào hể ư ộ ử ộ ấ ể ụ ấ ậ ệ th ng. Chính vì th vi c tri n khai gi i pháp ngăn ch n t c ng m ng này là thi t y u bao g m:ố ế ệ ể ả ặ ừ ổ ạ ế ế ồ

Interscan VirusWall

InterScanTM VirusWallTM là s n ph m có ch c năng phòng ch ng virus t i Gateway, s n ph mả ẩ ứ ố ạ ả ẩ này có ch c năng quét và di t virus trên t t c các lu ng Web, email, FTP trong th i gian th c.ứ ệ ấ ả ồ ờ ự

Các thành ph n chính: ầ

• SMTP VirusWall: thành ph n này quét toàn b lu ng SMTP vào cũng nh ra đ ầ ộ ồ ư ể di t virus theo th i gian th c. Thành ph n này ch h tr cho Microsoft Exchangeệ ờ ự ầ ỉ ỗ ợ và Lotus Notes.

• HTTP VirusWall: thành ph n này phát hi n các virus nhi m vào file và b o v ầ ệ ễ ả ệ ng i dùng Internet ch ng l i các đo n mã Java và ActiveX có h i.ườ ố ạ ạ ạ

• FTP VirusWall: Có nhi m v ngăn ch n vi c lây nhi m virus t vi c t i xu ng cácệ ụ ặ ệ ễ ừ ệ ả ố file t các site b nhi m virus. Thành ph n này cũng b o v , ch ng virus khiừ ị ễ ầ ả ệ ố download/upload t các FTP server trong m ng.ừ ạ







Các công c và ti n ích c a gi i pháp:ệ ủ ả

InterScan AppletTrap

Đây là công c qu n lý t p trung d a trên các chính sách đ qu n lý v n đ an toàn c a n i dungụ ả ậ ự ể ả ấ ề ủ ộ các trang Web t i Internet Gateway. Nó lo i tr các applet, ActiveX, JavaScript và VBScript có d ngạ ạ ừ ụ ý x u (g i chung là mobile code) thâm nh p vào m ng trên đ ng l u thông Internet v i 3 m cấ ọ ậ ạ ườ ư ớ ứ b o v : phân tích và ki m tra các ch ng th c s (digital certificate), l c các mã d ng ý x u đãả ệ ể ứ ự ố ọ ụ ấ đ c đ nh danh t i server, giám sát các hành đ ng c a các mobile code ch a đ c đ nh danh t iượ ị ạ ộ ủ ư ượ ị ạ browser c a client theo th i gian th c.ủ ờ ự Các đ c đi m n i b t c a InterScan AppletTrap:ặ ể ổ ậ ủ

• T c đ th c hi n nhanh h n và n đ nh h n: cung c p ch c năng caching làm tăngố ộ ự ệ ơ ổ ị ơ ấ ứ thông l ng.ượ

• Tính b o m t đ c nâng cao: Qu n lý ch ng th c t p trung t i Internet gatewayả ậ ượ ả ứ ự ậ ạ

t o nên m t môi tr ng kinh doanh đi n t an toàn h n.ạ ộ ườ ệ ử ơ

• Quy mô tri n khai c a s n ph m đ c nâng cao cho phép ph c v trên 500 usersể ủ ả ẩ ượ ụ ụ truy c p đ ng th i.ậ ồ ờ

• H tr Check Point FireWall-1, ho t đ ng t ng thích v i HTTP Proxy, có u đi mỗ ợ ạ ộ ươ ớ ư ể trong su t (transparent) v i ng i s d ng.ố ớ ườ ử ụ

• Ng i qu n tr có th đi u khi n quá trình ki m tra certificate đ i v i các Javaườ ả ị ể ề ể ể ố ớ Applet/ActiveX t i AppletTrap server.ạ

• D dàng tri n khai trên Proxy server và ch c n cài đ t trên 1 server.ễ ể ỉ ầ ặ

• C p nh t trên giao di n Web: h tr c p nh t th công ho c theo l ch qua Internet.ậ ậ ệ ỗ ợ ậ ậ ủ ặ ị Có th g i danh sách các Java, URL, và ActiveX c n ch n đ Trend Micro nghiênể ử ầ ặ ể c u đ a vào danh sách ngăn ch n c a Trend Micro.ứ ư ặ ủ

• Cân b ng t i: Phân tán t i gi a Proxy server ho c FireWall-1 server và các clientằ ả ả ữ ặ giúp gi m nh chi phí trên m i tr m.ả ẹ ỗ ạ

• Theo dõi real-time các đo n mã Java Applet trên các các máy tr m client. S d ngạ ạ ử ụ các công ngh đã đ c công nh n r ng rãi c a Trend Micro đ theo dõi các hành việ ượ ậ ộ ủ ể đ i v i các Java Applet trên các máy tr m client theo th i gian th c (real-time).ố ớ ạ ờ ự

• C p nh t danh sách ngăn ch n th ng xuyên. B t kỳ m t đo n mã ch a virus nàoậ ậ ặ ườ ấ ộ ạ ứ đ c tìm th y trong các Java Applet hay ActiveX đ u đ c báo cáo m t cách tượ ấ ề ượ ộ ự đ ng v proxy server.ộ ề

• Các chính sách có th tuỳ bi n đ đi u khi n hành vi c a các applet trên các máyể ế ể ề ể ủ tr m client. Các chính sách này có th đ c ánh x t i m t nhóm ng i dùng d aạ ể ượ ạ ớ ộ ườ ự trên các đ a ch IP ho c domain c a h .ị ỉ ặ ủ ọ

• H tr c ch c ng báo: G i các thông báo email cho ng i qu n tr m i khi có URLỗ ợ ơ ế ả ử ườ ả ị ỗ b ngăn ch n, tìm th y virus trong các applet ho c khi c s d li u certificate c aị ặ ấ ặ ơ ở ữ ệ ủ

h th ng đ c c p nh t.ệ ố ượ ậ ậ







• Cung c p các t p log đ y đ nh t mà nó ghi l i đ c t các s ki n x y ra.ấ ệ ầ ủ ấ ạ ượ ừ ự ệ ả

• Có th đ c qu n lý t p trung d a trên các chính sáchể ượ ả ậ ự

Gi i pháp cho h th ng th đi n tệ ố ư ệ ử

Đ ki m tra virus cho h th ng th đi n t , s d ng s n ph m InterScan Messagingể ể ệ ố ư ệ ử ử ụ ả ẩ Security Suite for SMTP (IMSS). Đây là gi i pháp ch ng virus và qu n lý n i dung m c gateway.ả ố ả ộ ở ứ S n ph m này đ c thi t k dành riêng cho các mail server. Ngoài tính năng di t virus b t bu cả ẩ ượ ế ế ệ ắ ộ ph i có, IMSS còn có th c m mail d a trên n i dung c a nó cũng nh là ch n spam. Có th k raả ể ấ ự ộ ủ ư ặ ể ể đây m t s đi m đáng l u ý c a IMSS nh sau:ộ ố ể ư ủ ư

• Di t virus : IMSS phát hi n virus d a trên c ch quét (scan engine) 32 bit c a Trendệ ệ ự ơ ế ủ Micro và m t ti n trình đ c g i là “t a m u” (pattern matching). Scan engine s d ng fileộ ế ượ ọ ự ẫ ử ụ đ nh nghĩa virus (definition hay pattern file) đ ki m tra các file đi qua gateway. N u trongị ể ể ế file có ch a các d u hi u t a m u virus đã đ c đ nh nghĩa trong file, nó s ti n hành m tứ ấ ệ ự ẫ ượ ị ẽ ế ộ s thao tác nh clean (xoá b đo n mã virus trong file), quarantine (cách ly cách file bố ư ỏ ạ ị nhi m), delete (xóa file b nhi m)… các thao tác này có th do qu n tr viên đ nh nghĩa.ễ ị ễ ể ả ị ị Ngoài ra, IMSS còn có kh năng phát hi n virus d a trên hành vi.ả ệ ự

• Qu n lý n i dung: InterScan MSS for SMTP phân tích n i dung các email cũng nh các fileả ộ ộ ư đính kèm, n u email (ho c file đính kèm) tho mãn m t s đi u ki n ch n nào đó đã đ cế ặ ả ộ ố ề ệ ặ ượ qu n tr viên đ nh nghĩa tr c, nó s b ch n l i.ả ị ị ướ ẽ ị ặ ạ

• B o v tránh b t n công (DoS): B ng vi c làm tràn ng p m t mail server v i nh ng fileả ệ ị ấ ằ ệ ậ ộ ớ ữ đính kèm có kích th c l n ho c g i kèm theo virus trong email, hacker có th làm ch tướ ớ ặ ử ể ế h th ng mail c a m t doanh nghi p. InterScan MSS for SMTP bao g m các tính năng choệ ố ủ ộ ệ ồ phép qu n tr viên đ nh nghĩa các đ c đi m c a nh ng mail không đ c phép vào m ngả ị ị ặ ể ủ ữ ượ ạ n i b , chúng s b ch n ngay m c gateway.ộ ộ ẽ ị ặ ở ứ

• Ngăn ch n email có ch a virus: File đính kèm theo email cũng là m t ngu n lây lan virusặ ứ ộ ồ ph bi n hi n nay. Chúng có th là các file thi hành ch a virus, các tài li u có ch a macro.ổ ế ệ ể ứ ệ ứ Ngoài ra, các file đính kèm d ng HTML script, HTML link, Java applet… cũng có th gây raạ ể nh ng th m ho không l ng. InterScan MSS for SMTP cho phép qu n tr viên thi t l pữ ả ạ ườ ả ị ế ậ chính sách ngăn ch n d a trên lo i email.ặ ự ạ

• Gi m thi u vi c s d ng h th ng mail c a công ty vào m c đích riêng: Các email khôngả ể ệ ử ụ ệ ố ủ ụ liên quan đ n công vi c cũng có th làm nh h ng đ n hi u qu ho t đ ng c a hế ệ ể ả ưở ế ệ ả ạ ộ ủ ệ

th ng mail khi chúng đ c g i đi nhi u làm ch m đ ng truy n. Cũng nh v y, v n đố ượ ử ề ậ ườ ề ư ậ ấ ề ngăn ch n spam cũng đang làm đau đ u các qu n tr viên h th ng. InterScan MSS forặ ầ ả ị ệ ố SMTP có kh năng ngăn ch n spam không cho thâm nh p vào m ng n i b làm nhả ặ ậ ạ ộ ộ ả h ng đ n công vi c c a các nhân viên, cũng nh không cho phép các nhân viên s d ngưở ế ệ ủ ư ử ụ h th ng mail c a công ty vào m c đích cá nhân.ệ ố ủ ụ

Ngoài ra InterScan™ MSS for SMTP còn h tr các tính năng chính đ c bi t nh :ỗ ợ ặ ệ ư

• Chính sách ngăn ch n bùng n virus (Outbreak Prevention Policy - OPP): D a trên cácặ ổ ự thông tin thu th p đ c v m t virus nào đó v a m i xu t hi n, Trend Micro s r t nhanhậ ượ ề ộ ừ ớ ấ ệ ẽ ấ chóng đ a ra m t chính sách ngăn ch n tr c khi đ a ra m t pattern file m i (thao tácư ộ ặ ướ ư ộ ớ này ch kho ng 15-20 phút sau khi virus xu t hi n). Chính sách này s đ c IMSS t i vỉ ả ấ ệ ẽ ượ ả ề







và tri n khai. Nh đó, nó có th ngăn ch n đ c virus ngay t m c gateway. Đây là m tể ờ ể ặ ượ ừ ứ ộ tính năng r t h p lý c a IMSS giúp gi m t i đa thi t h i cho doanh nghi p.ấ ợ ủ ả ố ệ ạ ệ

• Qu n tr d a trên m t t p các chính sáchả ị ự ộ ậ

• Hi u su t làm vi c caoệ ấ ệ

• Có th qu n tr d a trên giao di n Webể ả ị ự ệ

• Có b l c n i dung mail tích h pộ ọ ộ ợ

Gi i pháp cho Fi le Server:

Đ rà soát và lo i b virus trong các file h th ng, các th m c trên Server, chúng tôi để ạ ỏ ệ ố ư ụ ề

ngh s d ng s n ph m ServerProtectị ử ụ ả ẩ

ServerProtectTM là thành ph n b o v file và các ng d ng h th ng c a server kh i s ầ ả ệ ứ ụ ệ ố ủ ỏ ự t n công c a virus. Server Protect cho phép qu n tr t xa thông qua ki n trúc g m 3 thành ph n:ấ ủ ả ị ừ ế ồ ầ

Information Server: đ c cài trên 1 server v i m c đích qu n lýượ ớ ụ ả t p trung các Server Protect. Information Server s d ng l i g i th t c t xa (Remoteậ ử ụ ờ ọ ủ ụ ừ Procedure–RPC) đ connect t i các server Windows NT và s d ng Sequenced Packetể ớ ử ụ Exchange (SPX) đ connect t i các server Novell NetWare.ể ớ

Normal Server: đ c cài trên các server (có th coi đây là b nượ ể ả client c a Server Protect) và đ c qu n lý b i Information Server.ủ ượ ả ở

Management Console: Công c qu n tr s d ng giao th c TCP/IP,ụ ả ị ử ụ ứ qu n tr viên có th logon vào Information Server thông qua hình th c xác th c d aả ị ể ứ ự ự trên username và password.đ cài đ t ServerProtect cho các Server trong h th ngể ặ ệ ố (Normal Server) cũng nh theo dõi tình hình phòng ch ng virus trong h th ng.ư ố ệ ố

Information Server và t t c các Normal Server đ u có th cài đ t và c p nh t m u virusấ ả ề ể ặ ậ ậ ẫ m i m t cách đ ng th i qua m t giao di n c a Windows.ớ ộ ồ ờ ộ ệ ủ

H th ng có th đ a ra các c nh báo khi phát hi n th y: đang b nhi m virus, c u hình bệ ố ể ư ả ệ ấ ị ễ ấ ị thay đ i, m t d ch v nào đó b g b , m u virus không đ c c p nh t k p th i, h th ng phòngổ ộ ị ụ ị ỡ ỏ ẫ ượ ậ ậ ị ờ ệ ố ch ng đang b s a đ i. Các c nh báo này đ c đ a đ n cho qu n tr viên theo nhi u con đ ngố ị ử ổ ả ượ ư ế ả ị ề ườ khác nhau: qua email, nh n tin, in ra máy in, ho c vi t ra Windows Event Boxắ ặ ế

Giải pháp cho các Client: Dùng sản phẩm Trend Micro OfficeScan

OfficeScanTM là thành ph n ch ng virus cho các máy tr m. Thành ph n này ho t đ ng “trong ầ ố ạ ầ ạ ộ su t” đ i v i ng i s d ng . Các thao tác nh quét virus đ nh kỳ, c p nh t m u virus m i di n raố ố ớ ườ ử ụ ư ị ậ ậ ẫ ớ ễ hoàn toàn theo chính sách c a qu n tr viên h th ng. Ng i dùng s không ph i th c hi n cácủ ả ị ệ ố ườ ẽ ả ự ệ thao tác trên.

Vi c cài đ t OfficeScanTM cho t ng client hoàn toàn thông qua giao di n Web, k t n i vào m tệ ặ ừ ệ ế ố ộ server qu n tr t p trung, đi u này r t thu n ti n khi tri n khai h th ng trong m ng LAN.ả ị ậ ề ấ ậ ệ ể ệ ố ạ







Trong tr ng h p v trí tri n khai ch có đ ng k t n i có băng thông h p, TrendMicro có gi iườ ợ ị ể ỉ ườ ế ố ẹ ả pháp riêng đ đ m b o tri n khai và c p nh t cho các client này.ể ả ả ể ậ ậ

Ng i dùng không th t ý g b ch ng trình ch ng virus trên máy tính n u không có s đ ng ýườ ể ự ỡ ỏ ươ ố ế ự ồ c a qu n tr m ng, ch c năng này cho phép gi v ng chính sách phòng ch ng virus trong m ng.ủ ả ị ạ ứ ữ ữ ố ạ

Gi i pháp trên đ nh h ng s tri n khai trong giai đ an 4.ả ị ướ ẽ ể ọ

Thành phần quản lý tập trung: Sử dụng sản phẩm Trend Micro Control Manager

Ch c năng c a TMCM:ứ ủ

- Cung c p kh năng nh n di n và phân tích v tình hình nhi m virus trong m ng di nấ ả ậ ệ ề ễ ạ ệ

r ng.ộ- Cho phép c p nh t m u virus m t cách t đ ng và th ng nh t., cho phép ng i qu nậ ậ ẫ ộ ự ộ ố ấ ườ ả

tr h th ng có quy n b t bu c các thành ph n trong h th ng th c hi n m t chínhị ệ ố ề ắ ộ ầ ệ ố ự ệ ộ sách ch ng virus m t cách th ng nh t.ố ộ ố ấ

- Vi c cài đ t và tri n khai các agent xu ng các thành ph n khác trong h th ng th cệ ặ ể ố ầ ệ ố ự hi n m t cách t p trung trên m t máy ch Windows.ệ ộ ậ ộ ủ

- Ch ng l i vi c “bùng n ” virus trong m ng m t cách h u hi u h n.ố ạ ệ ổ ở ạ ộ ữ ệ ơ

H tr nhi u tính năng cho ng i qu n tr m ng đ gi m th i gian và chi phí trong vi cỗ ợ ề ườ ả ị ạ ể ả ờ ệ

v n hành và duy trì h th ngậ ệ ố

Mô hình triển khai giải pháp phòng chống virus cho hệ thống mạng của SacomBank

Mô hình tri n khai gi i pháp phòng ch ng virus t i toà nhà trung tâm nh sau:ể ả ố ạ ư

Mô tả:

Tại điểm kết nối hệ thống mạng Sacombank với Internet (gateway) :

Gi i pháp: Đ t m t server trong vùng DMZ đ cài các thành ph n sau:ả ặ ộ ể ầ

Cài đ t InterScan viruswall đ ki m tra và tr virus trên các giao th c HTTP, FTP và SMTPặ ể ể ừ ứ

Cài đ t InterScan AppletTrap đ ki m tra và lo i tr các ActiveX, JavaScript, VBScript .ặ ể ể ạ ừ

Giải pháp cho thư điện tử:

Cài đ t IMSS lên m t server trong vùng DMZ đ ki m tra và lo i tr virus trên các lu ng email vàoặ ộ ể ể ạ ừ ồ ra h th ng.ệ ố

IMSS s nh n các incoming mail t bên ngoài, sau đó s chuy n cho Mail serverẽ ậ ừ ẽ ể

Mailserver s nh n outgoing mail và chuy n cho IMSS server đ ra ngoài.ẽ ậ ể ể

Tại các Server:







Cài đ t thành ph n Server Protect – Information Server lên m t server.ặ ầ ộ

Các server khác trong h th ng m ng s đ c cài thành ph n ServerProtect – Nomal Server đệ ố ạ ẽ ượ ầ ể

ki m tra và lo i tr virus.ể ạ ừ

Information server là thành ph n qu n lý các Normal Server ầ ả

Tại các client:

Cài đ t thành ph n OfficeScan Server lên m t Server.ặ ầ ộ

Các máy tr m trong h th ng đ c cài đ t thành ph n OfficeScan Client.ạ ệ ố ượ ặ ầ

OfficeScan Server s qu n lý các OfficeScan Client.ẽ ả

Thành Phần Quản trị:

Cài đ t Trend Micro Control Manager lên m t server đ qu n lý t t c các thành ph n khácặ ộ ể ả ấ ả ầ (TMCM Agents) c a Trend Micro trên h th ng m ng Sacombank.ủ ệ ố ạ

Thao tác cập nhật:

M u virus và engine m i đ c c p nh t theo đ nh kỳ đ n máy ch TMCM. T máy ch TMCM,ẫ ớ ượ ậ ậ ị ế ủ ừ ủ m u virus m i s đ c t đ ng c p nh t cho máy ch có thành ph n TMCM Agent.ẫ ớ ẽ ượ ự ộ ậ ậ ủ ầ

Các NormalServer s t đ ng update m u virus và engine t Information Serverẽ ự ộ ẫ ừ

Các OfficeScan Client s t đ ng update m u virus và engine t OfficeScan Serverẽ ự ộ ẫ ừ

Quá trình c p nh t là hoàn toàn t đ ng, qu n tr viên h th ng ch c n qui đ nh l ch đ c p nh tậ ậ ự ộ ả ị ệ ố ỉ ầ ị ị ể ậ ậ m u virus m i.ẫ ớ

Ngoài ra ng i qu n tr cũng có th quy đ nh chính sách ngăn ch n, đ i phó v i các nguy c bùngườ ả ị ể ị ặ ố ớ ơ n virus (virus outbreak) v i TMCM ho c download chính sách này t TrendMicro website.ổ ớ ặ ừ

3. TRI N KHAI H TH NG GIAI Đ AN IIIỆ Ố ỌGiai đ an ba chúng tôi khuy n ngh các thi t b và ph n m m nh m tăng c ng kh năng b oọ ế ị ế ị ầ ề ằ ườ ả ả m t cho h th ng m ng riêng các ng d ng C s d li u trung tâm và các phân m ngậ ệ ố ạ ứ ụ ơ ở ữ ệ ạ ng d ngứ ụ

n i b , chúng tôi khuy n nghộ ộ ế ị trang b h th ng Proventia IDS và ph n m m ng d ng Scannerị ệ ố ầ ề ứ ụ đ m b o m c đ an tòan cao nh t cho các traffic trên m ng và gi a các phân nhánh.ả ả ứ ộ ấ ạ ữ

Gi i pháp khuy n ngh thêm, trong giai đ an này chúng tôi khuy n ngh trang b Firewall l p thả ế ị ọ ế ị ị ớ ứ hai cho h th ng Databaseệ ố

Firewall khuy n ngh t ng th 2:ị ầ ứ T ng này khuy n ngh s d ng thi t b (ph n c ng) Nokia Firewall k t h p Checkpoint ho c h ầ ế ị ử ụ ế ị ầ ứ ế ợ ặ ệ th ng Sidewinder G2 firewall. Đây là s n ph m tích h p công ngh c a hai hãng b o m t hàngố ả ẩ ợ ệ ủ ả ậ đ u th gi i: thi t b ph n c ng c a Nokia v i công ngh Firewall c a Checkpoint Firewall-1, ầ ế ớ ế ị ầ ứ ủ ớ ệ ủ SideWinder G2 v i các ch c năng b o m t chuyên d ng cao c p. S n ph m này v n đ m b o tínhớ ứ ả ậ ụ ấ ả ẩ ẫ ả ả năng performance cho m ng. Nokia Firewall/Sidewinder G2 s làm nhi m v phân tách m ng n iạ ẽ ệ ụ ạ ộ b c a Sacombank thành ba ph n có m c đ u tiên khác nhau. Ngoài ra h th ng IDS tích h pộ ủ ầ ứ ộ ư ệ ố ợ







v i firewall Nokia/SideWinder s cho phép giám sát ho t đ ng trên t ng phân vùng m ng, ngănớ ẽ ạ ộ ừ ạ ch n, phát hi n k p th i các cu c t n công, thâm nh p vào các vùng thông tin nh y c m.ặ ệ ị ờ ộ ấ ậ ạ ả

4. TRI N KHAI H TH NG GIAI Đ AN IVỆ Ố Ọ

B c ti p theo đ hoàn thi n gi i pháp b o m t là ti p t c nâng cao kh năng b o m t phía cácướ ế ể ệ ả ả ậ ế ụ ả ả ậ chi nhánh bao g m các gi i pháp antivirus và giai đ an này d ki n s đ t thi t b firewall tích h p ồ ả ọ ự ế ẽ ặ ế ị ợ thêm tính năng VPN. Chúng tôi cũng d ki n trong giai đo n này thi t l p các kênh VPN gi a chiự ế ạ ế ậ ữ nhánh và các VLAN t i văn phòng v i m ng Databasse đ tăng c ng m c đ an ninh d li uạ ớ ạ ể ườ ứ ộ ữ ệ trong tr ng h p Firewall b đánh th ng thì các máy ch d li u cũng không b đe do b i m iườ ợ ị ủ ủ ữ ệ ị ạ ở ọ truy nh p t i chúng đ u đ c ki m soát và đi u khi n b i công ngh VPN. Nh v y thì ti p theoậ ớ ề ượ ể ề ể ở ệ ư ậ ế gi i pháp Firewall, vi c s d ng công ngh VPN nh là b c t ng l a th 3 ngăn ch n các cu cả ệ ử ụ ệ ư ứ ườ ử ứ ặ ộ t n công xâm nh p b t h p pháp, b o v các máy ch d li u.ấ ậ ấ ợ ả ệ ủ ữ ệ

Đ ng th i trong giai đo n này, t t c các chi nhánh s đ c trang b ti p thi t b Firewall đ ch n ồ ờ ạ ấ ả ẽ ượ ị ế ế ị ể ặ các truy nh p b t h p pháp (có th ) xu t phát t d i chi nhánh lênậ ấ ợ ể ấ ừ ướNh v y sau khi hoàn thành hai giai đo n tri n khai, h th ng m ng Sacombank s đ c b o vư ậ ạ ể ệ ố ạ ẽ ượ ả ệ b i nhi u t ng, nhi u l p v i nh ng công ngh firewall khác nhau cho phép b o đ m an ninhở ề ầ ề ớ ớ ữ ệ ả ả tuy t đ i v i các ng i dùng cũng nh c s d li u.ệ ố ớ ườ ư ơ ở ữ ệ

Trong phân h giai đ an 4 là giai đ an hòan thi n h th ng b o m t cho tòan b WAN bao g mệ ọ ọ ệ ệ ố ả ậ ộ ồ các gi i pháp b o m t đ ng truy n bang VPN cho t t c các chi nhánh n i v , do đó trong phânả ả ậ ườ ề ấ ả ố ề h này chúng tôi khuy n ngh ti u gi i pháp cho công ngh VPN đáp ng cho k t n i WAN c aệ ế ị ể ả ệ ứ ế ố ủ Sacombank nh sau:ư

4.1 S d ng VPN cho các k t n i t ng i dùng và chi nhánh vào cácụ ế ố ừ ườ máy ch d li uữ ệ

Đ m b o m c đ an toàn t i u cho các k t n i t ng i dùng có th m quy n t i h i s cũngả ả ứ ộ ố ư ế ố ừ ườ ẩ ề ạ ộ ở nh t các chi nhánh lên, chúng tôi đ ngh các k t n i đó s d ng công ngh VPN cho c ngư ừ ề ị ế ố ử ụ ệ ổ Firewall 3 (FW3). Đây là vòng b o m t trong cùng, tr ng h p h th ng Firewall b đánh th ngả ậ ườ ợ ệ ố ị ủ thì nh ng xâm nh p b t h p pháp cũng không th thành công khi ti p c n máy ch d li u b iữ ậ ấ ợ ể ế ậ ủ ữ ệ ở các k t n i t i đ u đ c xác th c, đi u khi n lu ng truy nh p, mã hoá riêng theo công nghế ố ớ ề ượ ự ề ể ồ ậ ệ

VPN.

4.2 M t s ki u k t n i c a VPNố ể ế ố ủCó nhi u ki u tri n khai k t n i VPN, v i m i cách th c đ u yêu c u m t t p h p các công ngh ề ể ể ế ố ớ ỗ ứ ề ầ ộ ậ ợ ệ phù h p. Tuy nhiên có th phân thành 3 nhóm chính:ợ ể

• Intranet VPNs: k t n i n i b gi a các b ph n ho c chi nhánh c a m t công ty l n v iế ố ộ ộ ữ ộ ậ ặ ủ ộ ớ ớ

nhau

• Extranet VPNs k t n i gi a m t công ty l n và các đ i tác, khách hàng , nhà cung c pế ố ữ ộ ớ ố ấ

• Remote Access VPNs k t n i gi a các m ng liên k t v i nh ng ng i dùng xaế ố ữ ạ ế ớ ữ ườ ở

Trong m ng Intranet, công ngh chính yêu c u là mã hoá d li u th t t t đ b o v các thôngạ ệ ầ ữ ệ ậ ố ể ả ệ tin mang tính nh y c m nh các văn b n trao đ i, qu n lý d li u khách hàng ..v.vạ ả ư ả ổ ả ữ ệ







Remote Access VPNs gi a m t m ng liên k t và nh ng ng i x d ng xa có nh ng yêu c uữ ộ ạ ế ữ ườ ử ụ ở ữ ầ

khác: Công ngh xác th c th t m nh (strong Authentication) các k t n i vào m ngệ ự ậ ạ ế ố ạ

Cu i cùng, Extranet VPNs gi a công ty l n v i các đ i tác kinh doanh, khách hàng và nhà cung c pố ữ ớ ớ ố ấ

thì yêu c u m t gi i pháp chu n, có tính m đ đ m b o ch c ch n cho s liên k t ho t đ ng v i ầ ộ ả ẩ ở ể ả ả ắ ắ ự ế ạ ộ ớ

nhi u gi i pháp khác nhau c a các đ i tác có th đ c th c hi n. Chu n c b n chung là IPSec. ề ả ủ ố ể ượ ự ệ ẩ ơ ả

Đi u quan tr ng n a là đi u khi n lu ng giao d ch trên m ng đ tránh hi n t ng t c ngh n c ề ọ ữ ề ể ồ ị ạ ể ệ ượ ắ ẽ ổ

chai t i đi m truy nh p và đ m b o nhanh chóng các d li u c n thi tạ ể ậ ả ả ữ ệ ầ ế







Hi n nay, các công ty, xí nghi p không ch có m i liên h ch t ch v i nhau, v i khách hàng màệ ệ ỉ ố ệ ặ ẽ ớ ớ

luôn có s truy nh p t xa b i các nhân viên đi công tác, th c hi n văn phòng o, làm vi c t i nhàự ậ ừ ở ự ệ ả ệ ạ

ho c liên l c v i các chi nhánh kh p m i n i trên th gi i. Các nhà cung c p gi i pháp b o m tặ ạ ớ ở ắ ọ ơ ế ớ ấ ả ả ậ

không ch cung c p nh ng s n ph m VPN riêng r mà luôn tích h p v i nhi u chính sách, ki uỉ ấ ữ ả ẩ ẽ ợ ớ ề ể

th c hi n khác nhau đ đ m b o đ c m t gi i pháp hoàn ch nh đ t d c cái g i là “one size fitsự ệ ể ả ả ượ ộ ả ỉ ạ ượ ọ

all”







4.3 Đ xu t thi t k VPN cho m ng Sacombankấ ế ế ạ

Nh đã đ c p trên, h th ng m ng c a Sacombank r t l n và ph c t p, tr i r ng trên ph mư ề ậ ở ệ ố ạ ủ ấ ớ ứ ạ ả ộ ạ vi đ a lý l n v i nhi u ho t đ ng nghi p v ph c t p và ch ng chéo. Các máy tr m (nh ng khôngị ớ ớ ề ạ ộ ệ ụ ứ ạ ồ ạ ư

ph i t t c ) t i chi nhánh đ u ph i k t n i v máy ch d li u trên Trung tâm đ trao đ i dả ấ ả ạ ề ả ế ố ề ủ ữ ệ ể ổ ữ

li u và trong khi (cũng không ph i t t c ) cũng có nhi u máy tr m đ t t i văn phòng Trung tâmệ ả ấ ả ề ạ ặ ạ

c n ph i trao đ i d li u v i nh ng máy ch này. T t c các k t n i đó có th thông qua m ng ầ ả ổ ữ ệ ớ ữ ủ ấ ả ế ố ể ạ

LAN t i Văn phòng Trung tâm và thông qua đ ng đi n tho i công c ng và qua Firewall ngănạ ườ ệ ạ ộ

ch n. Hi n t i các gi i pháp th c hi n VPN đ c qui l i làm hai lo i chínhặ ệ ạ ả ự ệ ượ ạ ạ

+ Stand-alone gateway

+ Tích h p VPN gatewayợTrong hai l p này, ch có gi i pháp tích h p VPN/Firewall là đ c thi t k cho m t gi i pháp b oớ ỉ ả ợ ượ ế ế ộ ả ả

m t internet hoàn ch nh. Stand-alone VPN gateway không tích h p v i firewall s t o ra nhi uậ ỉ ợ ớ ẽ ạ ề

khoá khăn ph c t p không c n thi t trong công tác b o m t và qu n tr . Thêm n a, v i stand-ứ ạ ầ ế ả ậ ả ị ữ ớ

alone VPNs, vi c đ t VPN Gateway trong m i liên quan t i Firewall tr nên không th b i vì Firewallệ ặ ố ớ ở ể ở

không th đi u khi n lu ng truy nh p (access control) v i các d li u đã b mã hoá m t cách riêngể ề ể ồ ậ ớ ữ ệ ị ộ

rẽ







Vì v y chúng tôi đ ngh s d ng gi i pháp tích h p VPN/Firewall t i t ngậ ề ị ử ụ ả ợ ạ ầ th 2 c a h th ngứ ủ ệ ố

m ng Sacombank đ t o ra các k t n i VPN gi a t ng này t i các chi nhánh và t i các VLAN t iạ ể ạ ế ố ữ ầ ớ ớ ạ

văn phòng TW. Gi i pháp tích h p VPN/Firewall s đáp ng đ c t t c các yêu c u an ninh :ả ợ ẽ ứ ượ ấ ả ầ

• Ch ng l i các m i đe do xu t phát t m ng bên ngoài, ngay c các cu c t n công ki uố ạ ố ạ ấ ừ ạ ả ộ ấ ể

DoS có th làm t n th ng m t stand-alone gateway s b phát hi n và lo i tr nhể ổ ươ ộ ẽ ị ệ ạ ừ ờ

firewall

• Đi u khi n lu ng truy nh p v i t t c các lu ng d li u vào ra: Đ t VPN gateway v i thi t ề ể ồ ậ ớ ấ ả ồ ữ ệ ặ ớ ế

b đi u khi n truy nh p cho phép tăng c ng kh năng an ninh v i các lu ng d li u. Tị ề ể ậ ườ ả ớ ồ ữ ệ ừ

Firewall và VPN gateway chia s các thông tin ng i dùng, phân chia đ nh nghĩa các nhómẻ ườ ị

có th s d ng tài nguyên, d ch v mà h đ c phép và t t c các lu ng d li u trên VPNể ử ụ ị ụ ọ ượ ấ ả ồ ữ ệ

đ u đ c mã hoá ki m tra đ đ m b o ch c ch n r ng ch có nh ng n i dung (content) ề ượ ể ể ả ả ắ ắ ằ ỉ ữ ộ

phù h p m i đ c đi qua Firewallợ ớ ượ

• Qu n lý t p trung: Tích h p VPN làm đ n gi n đi khi th c hi n các chính sách an ninhả ậ ợ ơ ả ự ệ

m ng trong tr ng h p có yêu c u th c hi n c VPN và Firewall. Các d li u c p nh t vàạ ườ ợ ầ ự ệ ả ữ ệ ậ ậ

các thay đ i trong chính sách an ninh m ng có th đ ng th i áp d ng t i t t c cácổ ạ ể ồ ờ ụ ớ ấ ả

VPN/Firewall, t i thi u hoá kh năng x y ra l i do c u hình. Thêm vào đó, các thông tinố ể ả ả ỗ ấ

ng i dùng đ c chia s trong nhi u ng d ng m ng bao g m c VPN và Firewall. Theoườ ượ ẻ ề ứ ụ ạ ồ ả

cách này, qu n tr m ng không c n ph i duy trì các thông tin ng i dùng d phòngả ị ạ ầ ả ườ ự







• Consolidate Logging: theo đó t t c các thông tin ki m soát đ c h p nh t trong các fileấ ả ể ượ ợ ấ

log

• Scaleable Architecture: V i s tăng c ng, m r ng thêm chi nhánh, ho t đ ng c a m ngớ ự ườ ở ộ ạ ộ ủ ạ

v n không b ng t quãng. Đây là u đi m đ c bi t cho m ng Sacombank c n có tính s nẫ ị ắ ư ể ặ ệ ạ ầ ẵ

sàng cao (High Available)

• Simplified Routing: Khi d li u chuy n t i qua các thi t b m ng, m i đ ng d n đ cữ ệ ể ả ế ị ạ ỗ ườ ẫ ượ

ph n nh nh nh ng entry c a b ng đ nh tuy n. Khi các resources đ c đ a vào m ng,ả ả ư ữ ủ ả ị ế ượ ư ạ

b ng đ nh tuy n ph i h ng lu ng d li u th ng t i Firewall và gateway. Vi c tích h pả ị ế ả ướ ồ ữ ệ ẳ ớ ệ ợ

VPN/Firewall đ n gi n hoá vi c này b ng vi c tìm ra các đ ng đ nh tuy n t i các thi tơ ả ệ ằ ệ ườ ị ế ớ ế

b .ị

• Performance: gi i pháp tích h p VPN/Firewall có th Optimize performance m ng qua cácả ợ ể ạ

y u t nh tăng t c đ mã hoá (Cryptographic Acceleration), qu n lý thông l ngế ố ư ố ộ ả ượ

(bandwidth Management). B ng d i đây t ng k t nh ng u đi m c a gi i pháp tích h pả ướ ổ ế ữ ư ể ủ ả ợ VPN/Firewall







4.4 T ng k t mế ô hình khuy n ngh tri n khai h th ng b o v m ngị ể ệ ố ả ệ ạ Sacombank

• Chúng tôi khuy n ngh tách các máy ch ch a các d li u quan tr ng(Database server,ế ị ủ ứ ữ ệ ọ Web server ph c v khách hàng,…) ra m t m ng riêng - Server Farm và các máy ch truyụ ụ ộ ạ ủ c p public (Web server, mail server,…) ra m t m ng riêng-DMZ. Gi i pháp này cho phépậ ộ ạ ả t o chính sách b o m t ch t ch h n và tăng tính b o m t c a toàn b h th ngạ ả ậ ặ ẽ ơ ả ậ ủ ộ ệ ố

• Các máy ch quan tr ng đ c b o v b ng cách cài ph n m m phát hi n thâm nh pủ ọ ượ ả ệ ằ ầ ề ệ ậ Server Sensor. Ph n m m này ngăn ch n k t n công tìm cách l i d ng các đi m y u, l ầ ề ặ ẻ ấ ợ ụ ể ế ỗ h ng b o m t c a h đi u hành và các ng d ng ch y trên đó, phát hi n các t n công tổ ả ậ ủ ệ ề ứ ụ ạ ệ ấ ừ bên trong và bên ngoài nh t n công tràn b đ m, trojan, worm… Chúng tôi khuy n nghư ấ ộ ệ ế ị cài ph n m m này trên t t c các máy ch trong vùng Server Farm và trong vùng DMZ. ầ ề ấ ả ủ

• Các đi m m ng quan tr ng đ c b o v b ng appliance Proventia A201. Thành ph n phátể ạ ọ ượ ả ệ ằ ầ hi n xâm nh p này s phát hi n các t n công, thâm nh p trái phép tr c khi nó gây h uệ ậ ẽ ệ ấ ậ ướ ậ qu đ n các máy ch bên trong.ả ế ủ

• Khuy n ngh s d ng thêm h th ng dò quét và phát hi n các đi m y u c a máy chế ị ử ụ ệ ố ệ ể ế ủ ủ CSDL- Database Scanner n u có đi u ki n. Thành ph n này s phát hi n các l h ng b oế ề ệ ầ ẽ ệ ỗ ổ ả m t , l i đ t m t kh u tr ng ho c d đoán,… và đ c cài trên m t máy riêng. Chúng tôiậ ỗ ặ ậ ẩ ắ ặ ễ ượ ộ khuy n ngh cài Database Scanner trên Management Point.ế ị

• M t thành ph n dò quét và phát hi n các đi m y u c a các máy ch trên m ng Internetộ ầ ệ ể ế ủ ủ ạ Scanner. Thành ph n này s phát hi n các l h ng b o m t c a h đi u hành, các d ch v ầ ẽ ệ ỗ ổ ả ậ ủ ệ ề ị ụ trên máy đ c quét và đ c cài trên m t máy riêng. Chúng tôi khuy n ngh cài Internetượ ượ ộ ế ị

Scanner trên Management Point.

• M ng c a trung tâm đ c b o v b i thành ph n Firewall PIX đ t phía bên ngoài. Pix cóạ ủ ượ ả ệ ở ầ ặ nhi m v b o v m ng trung tâm kh i các t n công t bên ngoài, xác th c ng i dùng,ệ ụ ả ệ ạ ỏ ấ ừ ự ườ b o v các m ng khác nhau(Server Farm, DMZ, LAN) v i các chính sách b o m t m mả ệ ạ ớ ả ậ ề d o. Ch c năng VPN có nhi m v mã hoá d li u truy n gi a trung tâm v i các chi nhánhẻ ứ ệ ụ ữ ệ ề ữ ớ

Các client trong m ng LAN mu n truy c p vào h th ng máy ch quan tr ng trong cùng Serverạ ố ậ ệ ố ủ ọ Farm thì ph i thông qua l p Firewall Checkpoint th 2 và có th áp d ng h th ng VPNClient đả ớ ứ ể ụ ệ ố ể mã hoá d li u truy n gi a máy tr m đó v i máy chữ ệ ề ữ ạ ớ ủ







III. ĐÁNH GIÁ GI I PHÁP

V i thi t k này, m ng c a ngân hàng SacomBank đ t đ c các y u t an ninh sauớ ế ế ạ ủ ạ ượ ế ố :

Gi i pháp an ninh t ng th : M ng ngân hàng SacomBank đ c c u thành t thi t k ki n trúcả ổ ể ạ ượ ấ ừ ế ế ế phân t ng nhi u l p v i chi n l c, chính sách và các s n ph m b o m t c a nh ng nhà cung c p ầ ề ớ ớ ế ượ ả ẩ ả ậ ủ ữ ấ gi i pháp hàng đ u trên th gi i. H th ng đ c tích h p, ph i h p ch t ch h tr cho nhau:ả ầ ế ớ ệ ố ượ ợ ố ợ ặ ẽ ỗ ợ m ng và an ninh m ngạ ạ ; an ninh m ng và qu n tr m ng s làm tăng m c đ an ninh h th ng.ạ ả ị ạ ẽ ứ ộ ệ ố

Ki n trúc phân t ng, cho phép m ng đ c t ch c thành nhi u m ng nh đ c l p nhau v i cácế ầ ạ ượ ổ ứ ề ạ ỏ ộ ậ ớ chính sách an ninh khác nhau.

An ninh vành đai: M ng đ c t ch c thành nhi u vành đai an ninh có đ sâu khác nhau. M i đạ ượ ổ ứ ề ộ ỗ ộ sâu an ninh s thích h p v i các module khác nhau, tuỳ thu c vào đ quan tr ng c a các module.ẽ ợ ớ ộ ộ ọ ủ Th c hi n chính sách an ninh gi a các vành đai là các Firewall v i đ y đ các tính năng và côngự ệ ữ ớ ầ ủ ngh tiên ti n, thông l ng cao.ệ ế ượ

An ninh k t n i: Các k t n i t các chi nhánh lên trung ng đ u đ c th c hi n qua Site-to-Siteế ố ế ố ừ ươ ề ượ ự ệ VPN và đ c mã hoá an toàn trên đ ng truy n Leased Line. Các k t n i t ng i dùng c a cácượ ườ ề ế ố ừ ườ ủ chi nhánh t i Trung tâm s th c hi n nh VPN client.ớ ẽ ự ệ ờ

Ki m soát đ c truy nh p vào h th ng c a ng i s d ng thông qua h th ng xác th c truyể ượ ậ ệ ố ủ ườ ử ụ ệ ố ự nh p RSA SecurID.ậ

Phát hi n, ngăn ch n s thâm nh p b t h p pháp vào h th ng m ng cũng nh s lan truy n c aệ ặ ự ậ ấ ợ ệ ố ạ ư ự ề ủ

virus trên m ng thông qua h th ng IDS và Virus Scan gateway.ạ ệ ố

Có kh năng giám sát ho t đ ng c a toàn b h th ng và có kh năng t đ ng thay đ i c u hình,ả ạ ộ ủ ộ ệ ố ả ự ộ ổ ấ kh c ph c các k h nhanh chóng.ắ ụ ẽ ở







IV. PH L CỤCác ph ng th c mô t sau đây d a trên các ki u t n công thông d ng nh t th ng x y ra t i ươ ứ ả ự ể ấ ụ ấ ườ ả ạ Gateway và các nguyên tác kh c ch đ n gi n v i tính năng s n có c a Cisco IOS và Cisco IOS có ắ ế ơ ả ớ ẳ ủ Firewall/IDS.

1 CÁC PHƯ NG TH C T N CÔNG D.O.S THÔNG THƠ Ứ Ấ Ư NGỜ

a. Ph ng pháp t n công:ơ ấ

Tin t c s đi u khi n các máy đã chi m c và t các máy này đi u khi n các máy tính trên m ngặ ẽ ề ể ế ứ ừ ề ể ạ d a vào m t vài d ch v ho c các l i b o m t đ phát sinh m t kh i l ng d li u l n truy n đ nự ộ ị ụ ặ ỗ ả ậ ể ộ ố ượ ữ ệ ớ ề ế h th ng máy đích làm c n ki t tài nguyên và tê li t d ch v các h th ng là n n nhân b t n công.ệ ố ạ ệ ệ ị ụ ệ ố ạ ị ấ

Mô hình t ng quát cu c t n công D.o.S c a Hackerổ ộ ấ ủ

Các ph ng th c t n công th ng d a trên vi c phát sinh các gói d li u t h th ng email ,ươ ứ ấ ườ ự ệ ữ ệ ừ ệ ố broadcast echo request …

Các công c th ng dùng c a tin t c:ụ ườ ủ ặ

Công cụ Th i đi m xu t hi nể ấ ệ t n công

Ph ng th c s d ng đ t nơ ứ ử ụ ể ấ công

Trinoo Oct 21 1999 UDP

Tribe Flood Network Oct 21 1999 UDP, ICMP, SYN, Smurf


Agents

Victim

Attacker

Handlers

trafficflood






Stacheldracht Dec 31 1999 UDP, ICMP, SYN , Smurf

TFN 2K Feb 10 2000 UDP, ICMP, SYN, Smurf

Shaft March 13 2000 UDP, ICMP, SYN, combo

Mstream May 1 2000 Stream (ACK)

Trinity Sep 5 2000 UDP, Fragment, SYN, RST,RandomFlag, ACK, Establish, NULL

Kh năng t n công có th x y ra t các h ng c ng Internet, PSTN, WAN và n i b .ả ấ ể ả ừ ướ ổ ộ ộ

Đ i v i c ng PSTN và Internet đ u đi qua Router do đó kh năng phát sinh các cu c t n côngố ớ ổ ề ả ố ấ

D.o.S vào đ a đi m này là r t l n.ị ể ấ ớb. Ph ng pháp phòng ch ngơ ố

V i gi i pháp Cisco Access List thi t l p thêm có th phân tích và ngăn ch n các cu c t n làmớ ả ế ậ ể ặ ộ ấ Overload trên các Interface nh sau:ư

Explicitly permit flood traffic in access list:

access-list 110 permit icmp any any echo

access-list 110 permit icmp any any echo-reply

View access list "hit counts" to determine flood type :

permit icmp any any echo (2 matches)

permit icmp any any echo-reply (21374 matches)

Log information about flood packets:

access-list 110 permit icmp any any echo

access-list 110 permit icmp any any echo-reply log-input

Anti-Spoofing Packet Filters

Block inbound traffic sourced from your own address space:

access-list 110 deny ip 192.200.0.0 0.0.255.255 any

Block outbound traffic not sourced from your own address space:

access-list 111 permit ip 192.200.0.0 0.0.255.255 any

Block inbound traffic sourced from unroutable IP addresses:







... more ...







Nh n d ng các cu c t n công D.o.S thông qua log fi le gi l p nh sau:ạ ộ ấ ả ậ ư







2 PH NG TH C T N CÔNG IP SPOOFING D NG SMURFƯƠ Ứ Ấ Ạ

T n công d ng này x y ra khi m t IP bên trong, hay nên ngoài m ng gi nh là m t máy đ cấ ạ ả ộ ạ ả ư ộ ượ xác th c. Hacker có th làm theo m t trong hai cách sau: dùng m t đ a ch IP n m trong pool đ aự ể ộ ộ ị ỉ ằ ị ch cho phép, ho c m t đ a ch IP đ c xác th c t phía bên ngoài truy c p vào m ng.ỉ ặ ộ ị ỉ ượ ự ừ ậ ạ

Có th làm gi m t n công IP spoofing theo cách Smurf vào Router b ng cách sau:ể ả ấ ằ

M t gi i pháp khác nh m b o v h th ng là ng d ng kh năngộ ả ằ ả ệ ệ ố ứ ụ ảcommitted access rate(CAR). CAR là ch c năng n m trong h th ng IOS còn g i là Cisco Expressứ ằ ệ ố ọ Forwarding, có m t trong các dòng 11.1CC, 11.1CE, và 12.0. Gi i pháp này cho phép h n chặ ả ạ ế traffic đ n các ngu n ho c đích khác nhauế ồ ặ


Network sniffer filters:Monitor all broadcast traffic except specific expectedtypes (for example, RIP)

will disable thetranslation of directedbroadcaststo physicalbroadcasts

Cisco Configuration (interface command):no ip directed-broadcast

Cisco ACLs: access-list 110 deny ip any host 192.168.255.255

access-list 110 deny ip any host 192.168.0.0

explicitly deniestraffic destinedfor broadcastaddressesbehind therouter

Internet

Perpetrator

Victim

ICMP echo (spoofed source address of

victim)Sent to IP broadcast address

ICMP echo reply






Ví d sau mô t ng d ng CAR đ gi i h n t c đ ICMP echo và echo-reply traffic t i gatewayụ ả ứ ụ ể ớ ạ ố ộ ạ ở m c 512 Kbps:ứ

! traffic we want to limitaccess-list 102 permit icmp any any echoaccess-list 102 permit icmp any any echo-reply! interface configurations for bordersinterface Serial3/0/0

rate- l imit input access-group 102 512000 8000 8000 conform-action transmitexceed-action drop

3 CÁC PH NG TH C KHÁC VÀ NGUYÊN T C PHÒNG CH NGƯƠ Ứ Ắ Ố

3.1 Các ph ng th c t n công thông d ngơ ứ ấ ụ1.1.1 Ph ng th c ăn c p th ng tin b ng Packet Sniffersơ ứ ắ ố ằ

Đây là m t ch ng trình ng d ng b t gi đ c t t c các các gói l u chuy n trên m ng (trênộ ươ ứ ụ ắ ữ ượ ấ ả ư ể ạ m t collision domain). Sniffer th ng đ c dùng cho troubleshooting network ho c đ phân tíchộ ườ ượ ặ ể traffic. Tuy nhiên, do m t s ng d ng g i d li u qua m ng d i d ng clear text (telnet, FTP,ộ ố ứ ụ ở ữ ệ ạ ướ ạ SMTP, POP3,...) nên sniffer cũng là m t công c cho hacker đ b t các thông tin nh y c m nh làộ ụ ể ắ ạ ả ư username, password, và t đó có th truy xu t vào các thành ph n khác c a m ng.ừ ể ấ ầ ủ ạ

Kh năng th c hi n Packet Sniffers có th x y ra t trong các Segment c a m ng n i b , các k tả ự ệ ể ả ừ ủ ạ ộ ộ ế n i RAS ho c phát sinh trong WAN.ố ặ

Ta có th c m packet sniffer b ng m t s cách nh sau:ể ấ ằ ộ ố ư

- Authentication

- Dùng switch thay vì Bridge hay hub: h n ch đ c các gói broadcast trong m ng.ạ ế ượ ạ

- Các công c Anti-sniffer: công c này phát hi n s có m t c a packet siffer trên m ng.ụ ụ ệ ự ặ ủ ạ

- Mã hóa: T t c các thông tin l u chuy n trên m ng đ u đ c mã hóa. Khi đó, n u hackerấ ả ư ể ạ ề ượ ế dùng packet sniffer thì ch b t đ c các gói d li u đã đ c mã hóa. Cisco dùng giao th cỉ ắ ượ ữ ệ ượ ứ IPSec đ mã hoá d li u.ể ữ ệ







1.1.2 Ph ng th c t n công m t kh u Password attackơ ứ ấ ậ ẩ

Các hacker t n công password b ng m t s ph ng pháp nh : brute-force attack, ch ng trìnhấ ằ ộ ố ươ ư ươ Trojan Horse, IP spoofing, và packet sniffer. M c dù dùng packet sniffer và IP spoofing có th l yặ ể ấ

đ c user account và password, nh hacker l i th ng s d ng brute-force đ l y user accountượ ư ạ ườ ử ụ ể ấ h n.ơ

T n công brute-force đ c th c hi n b ng cách dùng m t ch ng trình ch y trên m ng, c g ngấ ượ ự ệ ằ ộ ươ ạ ạ ố ắ login vào các ph n share trên server băng ph ng pháp “th và sai” passwork. ầ ươ ử

Ph ng pháp gi m thi u t n công password:ươ ả ể ấ

- Gi i han s l n login saiớ ố ầ

- Đ t password dàiặ

- C m truy c p vào các thi t b , serever t xa thông qua các giao th c không an toàn nhấ ậ ế ị ừ ứ ư FTP, Telnet, rlogin, rtelnet… ng dung SSL,SSH vào qu n lý t xa.ứ ả ừ

1.1.3 Ph ng th c t n công b ng Mail Relayơ ứ ấ ằ

Đây là ph ng pháp ph bi n hi n nay. Email server n u c u hình không chu n ho c Username/ươ ổ ế ệ ế ấ ẩ ặ password c a user s d ng mail b l . Hacker có th l i d ng email server đ g i mail gây ng pủ ử ụ ị ộ ể ợ ụ ể ử ậ m ng , phá ho i h th ng email khác. Ngoài ra v i hình th c g n thêm các đo n script trong mailạ ạ ệ ố ớ ứ ắ ạ hacker có th gây ra các cu c t n công Spam cùng lúc v i kh năng t n công gián ti p đ n cácể ộ ấ ớ ả ấ ế ế máy ch Database n i b ho c các cu c t n công D.o.S vào m t m c tiêu nào đó.ủ ộ ộ ặ ộ ấ ộ ụ

Ph ng pháp gi m thi u :ươ ả ể

- Gi i h n dung l ng Mail boxớ ạ ươ

- S d ng các ph ng th c ch ng Relay Spam b ng các công c b o m t cho SMTP server,ử ụ ươ ứ ố ằ ụ ả ậ đ t password cho SMTP.ặ

- S d ng gateway SMTP riêngử ụ1.1.4 Ph ng th c t n công h th ng DNSơ ứ ấ ệ ố

DNS Server là đi m y u nh t trong toàn b các lo i máy ch ng d ng và cũng là h th ng quanể ế ấ ộ ạ ủ ứ ụ ệ ố tr ng nh t trong h th ng máy ch .ọ ấ ệ ố ủ

Vi c t n công và chi m quy n đi u khi n máy ch ph c v DNS là m t s phá ho i nguy hi mệ ấ ế ề ề ể ủ ụ ụ ộ ự ạ ể liên quan đ n toàn b ho t đ ng c a h th ng truy n thông trên m ng.ế ộ ạ ộ ủ ệ ố ề ạ

- H n ch t i đa các d ch v khác trên h th ng máy ch DNSạ ế ố ị ụ ệ ố ủ

- Cài đ t h th ng IDS Host cho h th ng DNSặ ệ ố ệ ố

- Luôn c p nh t phiên b n m i có s a l i c a h th ng ph n m m DNS.ậ ậ ả ớ ử ỗ ủ ệ ố ầ ề

1.1.5 Ph ng th c t n công Man-in-the-middle attackơ ứ ấD ng t n công này đòi h i hacker ph i truy nh p đ c các gói m ng c a m ng. M t ví d v t nạ ấ ỏ ả ậ ượ ạ ủ ạ ộ ụ ề ấ công này là m t ng i làm vi c t i ISP, có th b t đ c t c c các gói m ng c a công ty kháchộ ườ ệ ạ ể ắ ượ ấ ả ạ ủ hàng cũng nh t t c các gói m ng c a các công ty khác thuê Leased line đ n ISP đó đ ăn c pư ấ ả ạ ủ ế ể ắ thông tin ho c ti p t c session truy nh p vào m ng riên c a công ty khách hàng. T n công d ngặ ế ụ ậ ạ ủ ấ ạ này đ c th c hi n nh m t packet sniffer.ượ ự ệ ờ ộ

T n công d ng này có th h ng ch b ng cách mã hoá d li u đ c g i ra. N u các hacker có b tấ ạ ể ạ ế ằ ữ ệ ượ ở ế ắ đ c các gói d li u thì là các d li u đã đ c mã hóa.ượ ữ ệ ữ ệ ượ1.1.6 Ph ng th c t n công đ thăm dò m ngơ ứ ấ ể ạ

Thăm dò m ng là t t c các ho t đ ng nh m m c đích l y các thông tin v m ng. khi m t hackerạ ấ ả ạ ộ ằ ụ ấ ề ạ ộ c g ng ch c th ng m t m ng, th ng thì h ph i thu th p đ c thông tin v m ng càng nhi uố ắ ọ ủ ộ ạ ườ ọ ả ậ ượ ề ạ ề







càng t t tr c khi t n công. Đi u này có th th c hi n b i các công c nh DNS queries, pingố ướ ấ ề ể ự ệ ở ụ ư sweep, hay port scan.

Ta không th ngăn ch n đ c hoàn toàn các ho t đ thăm dò ki u nh v y. Ví d ta có th t t điể ặ ượ ạ ộ ể ư ậ ụ ể ắ

ICMP echo và echo-reply, khi đó có th chăn đ c ping sweep, nh ng l i khó cho ta khi m ng cóể ượ ư ạ ạ s c , c n ph i ch n đoan l i do đâu.ự ố ầ ả ẩ ỗ

NIDS và HIDS giúp nh c nh (notify) khi có các ho t đ ng thăm dò x y ra trong m ng.ắ ở ạ ộ ả ạ1.1.7 Ph ng th c t n công Trust exploitationơ ứ ấ

Lo i t n công ki u này đ c th c hi n b ng cách t n d ng m i quan h tin c y đ i v i m ng.ạ ấ ể ượ ự ệ ằ ậ ụ ố ệ ậ ố ớ ạ M t ví d cho t n công ki u này là bên ngoài firewall có m t quan h tin c y v i h th ng bênộ ụ ấ ể ộ ệ ậ ớ ệ ố trong firewall. Khi bên ngoài h th ng b xâm h i, các hacker có th l n theo quan h đó đ t nệ ố ị ạ ể ầ ệ ể ấ công vào bên trong firewall.

Có th gi i h n các t n công ki u này b ng cách t o ra các m c truy xu t khác nhau vào m ng vàể ớ ạ ấ ể ằ ạ ứ ấ ạ quy đ nh ch t ch m c truy xu t nào s đ c truy xu t vào các tài nguyên nào c a m ng.ị ặ ẽ ứ ấ ẽ ượ ấ ủ ạ1.1.8 Ph ng th c t n công Port redirectionơ ứ ấ

T n công này là m t lo i c a t n công trust exploitation, l i d ng m t host đã đã b đ t nh p điấ ộ ạ ủ ấ ợ ụ ộ ị ộ ậ qua firewall. Ví d , m t firewall có 3 inerface, m t host outside có th truy nh p đ c m t hostụ ộ ộ ở ể ậ ượ ộ trên DMZ, nh ng không th vào đ c host inside. Host DMZ có th vào đ c host inside,ư ể ượ ở ở ể ượ ở cũng nh outside. N u hacker ch c th ng đ c host trên DMZ, h có th cài ph n m m trêm hostư ế ọ ủ ượ ọ ể ầ ề c a DMZ đ b h ng traffic t host outside đ n host inside.ủ ể ẻ ướ ừ ế

Ta ngăn ch n t n công lo i này b ng cách s d ng HIDS cài trên m i server. HIDS có th giúpặ ấ ạ ằ ử ụ ỗ ể phát hi n đ c các ch ng trình l ho t đ ng trên server đó.ệ ượ ườ ạ ạ ộ

1.1.9 Ph ng th c t n công l p ng d ngơ ứ ấ ớ ứ ụ

T n công l p ng d ng đ c th c hi n b ng nhi u cách khác nhau. M t trong nh ng cách thôngấ ớ ứ ụ ượ ự ệ ằ ề ộ ữ

d ng nh t là t n công vào các đi m y u c a phân m m nh sendmail, HTTP, hay FTP.ụ ấ ấ ể ế ủ ề ư Nguyên nhân ch y u c a các t n công l p ng d ng này là chúng s d ng nh ng port cho quaủ ế ủ ấ ớ ứ ụ ử ụ ữ b i firewall. Ví d các hacker t n công Web server b ng cách s d ng TCP port 80, mail serverở ụ ấ ằ ử ụ b ng TCP port 25.ằ

M t s ph ng cách đ h n ch t n công l p ng d ng:ộ ố ươ ể ạ ế ấ ớ ứ ụ

- L u l i log file, và th ng xuên phân tích log fileư ạ ườ

- Luôn c p nh t các patch cho OS và các ng d ngậ ậ ứ ụ

- Dùng IDS, có 2 lo i IDS:ạ

o HIDS: cài đ t trên m i server m t agent c a HIDS đ phát hi n các t n công lênặ ỗ ộ ủ ể ệ ấ

server đó.o NISD: xem xét t t c các packet trên m ng (collision domain). Khi nó th y có m tấ ả ạ ấ ộ

packet hay m t chu i packet gi ng nh b t n công, nó có th phát c nh báo, hayộ ỗ ố ư ị ấ ể ả c t session đó.ắ

Các IDS phát hi n các t n công b ng cách dùng các signature. Signature c a m t t n công là m tệ ấ ằ ủ ộ ấ ộ profile v lo i t n công đó. Khi IDS phát hi n th y traffic gi ng nh m t signature nào đó, nó s ề ạ ấ ệ ấ ố ư ộ ẽ phát c nh báo.ả1.1.10 Ph ng th c t n Virus và Trojan Horseơ ứ ấ

Các nguy hi m chính cho các workstation và end user là các t n công virus và ng a thành Trojanể ấ ự (Trojan horse). Virus là m t ph n m m có h i, đ c đính kèm vào m t ch ng trình th c thi khácộ ầ ề ạ ượ ộ ươ ự đ th c hi n m t ch c năng phá h i nào đó. Trojan horse thì ho t đ ng khác h n. M t ví d vể ự ệ ộ ứ ạ ạ ộ ơ ộ ụ ề

Trojan horse là m t ph n m m ng d ng đ ch y m t game đ n gi n máy workstation. Trongộ ầ ề ứ ụ ể ạ ộ ơ ả ở







khi ng i dùng đang mãi mê ch i game, Trojan horse s g i m t b n copy đ n t t c các userườ ơ ẽ ở ộ ả ế ấ ả trong address book. Khi user khác nh n và ch i trò ch i, thì nó l i ti p t c làm nh v y, g i đ nậ ơ ơ ạ ế ụ ư ậ ở ế t t c các đ a ch mail có trong address book c a user đó.ấ ả ị ỉ ủ

Có th dùng các ph n m m ch ng virus đ di t các virus và Trojan horse và luôn luôn c p nh tể ầ ề ố ể ệ ậ ậ ch ng trình ch ng virus m i.ươ ố ớ

1.2 Các ph ng th c b o m t ng d ng Cisco IOSơ ứ ả ậ ứ ụ

T các phân tích các ki u t n công thông d ng trên chúng tôi khuy n ngh các c u hình căn b nừ ể ấ ụ ế ị ấ ả d a trên các tính năng thông d ng Firewall Cisco IOS v i hai mô hình m ng chính : Public vàự ụ ớ ạ Private, Các kh năng nâng cao b o m t v i tính năng m i c a Cisco IOS có Firewall/IDS cho cácả ả ậ ớ ớ ủ gi i pháp phòng ng a các ki u t n công nêu trên.ả ừ ể ấ

1.2.1 Ví d 1:

Ví d sau mô t h th ng c u hình cho môi tr ng b o m t Private, v i ví d trên ch cho phépụ ả ệ ố ấ ườ ả ậ ớ ụ ỉ các lu ng d li u t trong ra và các lu ng v c a d li u yêu c u, không s d ng cho các h ồ ữ ệ ừ ồ ề ủ ữ ệ ầ ử ụ ệ th ng bao g m Public server. C u hình sau đ c thi t k cho Cisco IOS version 12 tr lên c aố ồ ấ ượ ế ế ở ủ Router

no ip source-routeno service tcp-small-serversno service udp-small-serversno service finger

interface serial 0

ip access-group filterin inip access-group filterout outno cdp enablentp disableno snmpno ip direct-broadcastno ip redirectsno ip unreachables

ip access-list extended filterindeny ip 190.190.190.0 0.0.0.255 anydeny ip 10.0.0.0 0.255.255.255 any

deny ip 127.0.0.0 0.255.255.255 anydeny ip 172.16.0.0 0.15.255.255 anydeny ip 192.168.0.0 0.0.255.255 anydeny ip 224.0.0.0 15.255.255.255 anydeny ip host 0.0.0.0 anypermit icmp any any packet-too-bigevaluate packets

ip access-list extended filteroutpermit tcp any any eq 21 reflect packetspermit tcp any any eq 22 reflect packetspermit tcp any any eq 23 reflect packets

permit tcp any any eq 25 reflect packets







permit tcp any any eq 53 reflect packetspermit tcp any any eq 80 reflect packetspermit tcp any any eq 110 reflect packets

permit tcp any any eq 119 reflect packetspermit tcp any any eq 143 reflect packetspermit tcp any any eq 443 reflect packetspermit udp any any eq 53 reflect packetspermit icmp any any packet-too-big

interface ethernet 0ip access-group 12 in

access-list 12 permit 190.190.190.0 0.0.0.255

Mô t :

1. Chúng t gi l p trên hai interface c a Router, serial 0 interface k t n i Internet ,ả ả ậ ủ ế ố ethernet 0 interface k t n i private network.ế ố

2. Ví d v kh năng gi i h n outbound traffic (và return traffic) v i các d ch v ch nụ ề ả ớ ạ ớ ị ụ ọ l c , phòng ch ng các ki u t n công D.o.S thông th ng.ọ ố ể ấ ườ

3. Phòng ch ng kh năng ng p m ng v i ICMP, FTP traffic…ố ả ậ ạ ớ

1.2.2 Ví d 2: Ví d sau mô t kh năng thi t l p c u hình b o m tụ ả ả ế ậ ấ ả ậ m ng cho các h th ng m ng Public v i các tính năngạ ệ ố ạ ớ đáp ng b o m t b ng Firewall cho inbound access ,ứ ả ậ ằ vùng m ng d ch v web, mail và DNS servers.ạ ị ụ

no service fingerno ip source-routeno service tcp-small-serversno service udp-small-servers

interface serial 0ip access-group filterin inip access-group filterout outntp disableno snmpno ip direct-broadcast

no ip redirectsno ip unreachablesno cdp enable

ip access-list extended filterindeny ip 190.190.190.0 0.0.0.255 anydeny ip 10.0.0.0 0.255.255.255 anydeny ip 127.0.0.0 0.255.255.255 anydeny ip 172.16.0.0 0.15.255.255 anydeny ip 192.168.0.0 0.0.255.255 anydeny ip 224.0.0.0 15.255.255.255 anydeny ip host 0.0.0.0 any

permit tcp any host 200.200.200.2 eq 80







permit tcp any host 200.200.200.3 eq 25permit udp any host 200.200.200.4 eq 53permit icmp any any packet-too-big

evaluate packetsip access-list extended filteroutpermit tcp host 200.200.200.2 any gt 1023 estpermit tcp host 200.200.200.3 any gt 1023 estpermit udp host 200.200.200.4 any gt 1023 estpermit tcp any any eq 21 reflect packetspermit tcp any any eq 22 reflect packetspermit tcp any any eq 23 reflect packetspermit tcp any any eq 25 reflect packetspermit tcp any any eq 53 reflect packetspermit tcp any any eq 80 reflect packetspermit tcp any any eq 110 reflect packetspermit tcp any any eq 119 reflect packetspermit tcp any any eq 143 reflect packetspermit tcp any any eq 443 reflect packetspermit udp any any eq 53 reflect packetspermit icmp any any packet-too-big

interface ethernet 0ip access-group filterin1 in

ip access-list extended filterin1permit ip 190.190.190.0 0.0.0.255 anypermit icmp any any packet-too-big

interface ethernet 1ip access-group filterout2 outip access-group filterin2 in

ip access-list extended filterout2permit tcp any host 200.200.200.2 eq 80permit tcp any host 200.200.200.3 eq 25permit udp any host 200.200.200.4 eq 53permit icmp any 200.200.200.0 0.0.0.255 packet-too-big

ip access-list extended filterin2

permit tcp host 200.200.200.2 any gt 1023 estpermit tcp host 200.200.200.3 any gt 1023 estpermit udp host 200.200.200.4 any gt 1023 estpermit icmp 200.200.200.2 0.0.0.255 any packet-too-bigdeny ip any 190.190.190.0 0.0.0.255permit tcp host 200.200.200.4 any eq 53permit udp host 200.200.200.4 any eq 53permit tcp host 200.200.200.3 any eq 25

Mô t :







V i các thi t k ví d trên đáp ng gi m thi u kh năng làm ng p m ng v i ICMP, FTP traffic,ớ ế ế ụ ứ ả ể ả ậ ạ ớ D.o.S request đ n h th ng DNS, Mail Bomb…ế ệ ố

Đ i v i các h th ng IOS h tr tính năng Firewall và IDS thì m t ví d sau s mô t kh năngố ớ ệ ố ỗ ợ ộ ụ ẽ ả ả phòng ch ng và nh n di n các ki u t n công m i nh : Instruder attack, Virus, Broute forceố ậ ệ ể ấ ớ ư attack…

V i các ch c năng tiên ti n d a trên ki m đ nh Log và th i l ng truy c p. Kh năng này còn cóớ ứ ế ự ể ị ờ ượ ậ ả kh năng kh ng ch các ki u thăm dò m ng v i các công c Scanner.ả ố ế ể ạ ớ ụ

ip subnet-zero (enables networks on the 0 boundary)ip classless (allows for CIDR netmasks)

If you are using the IOS Firewall/IDS Feature Set...ip inspect max-incomplete low 100ip inspect max-incomplete high 300ip inspect dns-timeout 8ip inspect tcp idle-time 7200ip inspect tcp finwait-time 8ip inspect tcp max-incomplete host 100 block-time 1ip inspect name Internet tcp alert on audit-trail on timeout 7200ip inspect name Internet udp alert on audit-trail on timeout 60ip inspect name Internet http alert on audit-trail on timeout 120ip inspect name Internet smtp alert on audit-trail on timeout 30ip inspect name Internet ftp alert on audit-trail on timeout 120ip inspect name Internet fragment maximum 250 timeout 15ip audit attack action alarm dropip audit notify logip audit po max-events 50

ip audit protected x.y.z.0 to x.y.z.255ip audit smtp spam 100ip audit name Internet attack action alarm dropinterface fastethernet 1/0ip access-group 101 outip access-group 102 inip inspect Internet inip audit Internet in

Ph l c s au s m ô t c h i t i t c á c quy t r ình b o m t h th ng v i c á c t ính năng c aụ ẽ ả ế ả ậ ệ ố ớ ủ

IO S C is c o v à n g d n g b o m t c ho cá c d ch v m ng khá c .ụ ả ậ ị ụ ạ

END.


Documents

Sacombank Security Solution 2.0