Wednesday , 28 January 2015

You can use WP menu builder to build menus

Search...

Tuyển sinh ĐH 2015
Ngành Kỹ thuật phần mềm ĐH FPT Hạn nộp 30/4/2015, đăng ký ngay

Home » Bài theo kỳ » Một số giải pháp bảo mật hệ thống mạng

About Nguyễn Thanh Sơn

Network Security, Web Design,
Computer Science

Recent

Popular

Comments

Tags

Tự học CCNA: bài 11 Địa chỉ IP V4
(phần 2)
27/01/2015

Tự học CCNA: Bài 11 Địa chỉ IP
version 4 (phần 1)

Một số giải pháp bảo mật hệ thống mạng
Like

27/01/2015

Malaysia Airlines bị tin tặc tấn cơng
26/01/2015

1

4

WordPress 0 day Exploiter
26/01/2015

Xem thêm:

Mơ hình mạng t ng thể c a T  ch c
Một số module chống DDOS cho IIS và Apache #01

[HƠM NAY] Tuyến cáp AAG đ ợc sửa
xong, khôi phục 100% đ ng truyền
quốc tế
23/01/2015

HONEYNET­  ng dụng và hiệu quả thực tế
Hệ thống l u trữ DAS, NAS, SAN, iSCSI SAN
Install Snort Inline on Centos
———————————————————————————–


M tăs ăgi iăphápăb oămậtăh ăth ngăm ng
I. ĐẶT V N Đ
Hiện nay, hầu hết các t ch c, đơn vị, tr ng học đều đã kết nối mạng nội bộ mạng đến các chi nhánh,
đối tác và đã thừa h ng nhiều lợi ích từ đó. Nh ng chính sự thuận lợi này lại ch a nhiều mối nguy hiểm
tiềm ẩn nh : virus, hacker, v.v công nghệ cao.
Trong th i gian qua, nhiều bạn sinh viên và học viên đã gửi câu hỏi “Thiết kế mạng nh thế nào là an
toàn, bảo mật” và cần tôi nêu ra một số giải pháp, hôm nay tranh th th i gian t ng hợp và nêu ra một số
giải pháp để từ đó cùng các bạn trao đổi thêm, phát triển nhiều bài viết hơn nữa trên chủ đề này.
Mong nhận được nhiều Comment trao đổi kinh nghiệm của các bạn.
II. M T S

TIÊU CHÍ ĐÁNH GIÁ AN TOÀN M NG

Theo Microsoft, Cisco, juniper… để đánh giá tính sẵn sàng và khả năng bảo mật mạng máy tính, các tiêu
chí đ ợc quan tâm hàng đầu là: (xem bảng 1)

English Post
WordPress 0 day Exploiter
26/01/2015

SQLi-DB – SQLi Dork Scanner
11/01/2015

Hide signal Wireless
11/01/2015

TT

CÁC TIÊU CHÍ ĐÁNH GIÁ


 1

Hệ thống mạng c a t  ch c đ ợc thiết kế đúng chuẩn và triển khai mơ hình mạng nào (Miền hay

Why occasionally Access Point has Limited
Access despite strong signal

僐


10/01/2015

nhóm)?
 2

Hệ thống  website và các  ng dụng có hệ thống cân bằng tải hay khơng?

 3

T  ch c bạn có triển khai hệ thống t

 4

Hệ điều hành, phần mềm có cập nhật vá lỗi ch a?

 5

T  ch c bạn có ghi nhật ký truy nhập và giám sát hệ thống ch a?

 6


T  ch c bạn bảo về dữ liệu và sao l u dự phịng nh  thế nào?

 7

T  ch c bạn có hệ thống phát hiện và ngăn chặn xâm nhập khơng?

 8

T  ch c c a bạn có hệ thống qt virus theo mơ hình ch ­ khách khơng?

 9

T  ch c bạn đư triển khai các ph ơng pháp bảo mật nào?

 10

Th

ng xun kiểm tra, đánh giá về khả năng bảo mật c a t  ch c hay khơng?

 11

Th

ng xun đào tạo ng

…

….Và một số tiêu chí khác


ng lửa ch a? Phần c ng hay phần mềm?

Process routing on a Router
09/01/2015

Cơng
Nghệ
Kim Dotcom ra mắt dịch vụ gọi điện
đ ợc mã hóa MegaChat
22/01/2015

i dùng về mạng máy tính trong t  ch c hay khơng?

Microsoft vào thế giới thực tế ảo với
Hololens: quá tuyệt v i

Bảng 1: Một số tiêu chí đánh giá bảo mật c a hệ thống mạng

22/01/2015

1.1.Nguyên lý thi t k h th ng b o mật

Windows 10: Miễn phí trong năm
đầu tiên cho các máy chạy: Win 7,
Win 8.1, Wp 8.1

An ninh mạng phải đ ợc thiết lập dựa trên các nguyên tắc sau:

22/01/2015


+ Bảo vệ có chiều sâu (defense in depth): Hệ thống phải đ ợc bảo vệ theo chiều sâu, phân thành nhiều
tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽ đ ợc thực hiện các chính sách bảo mật
hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị xâm nhập
thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thơi và khơng thể ảnh h ng sang các tầng
hay lớp khác.
+ Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ hay sản phẩm công
nghệ bảo đảm an ninh cho mạng c a một hãng nào đó. B i nếu nh sản phẩm c a hãng đó bị hacker tìm
ra lỗ h ng thì dễ dàng các sản phẩm t ơng tự c a hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân
tầng, phân lớp trong chính sách phịng vệ là vơ nghĩa. Vì vậy khi tiến hành phân tầng, tách lớp, nên sử
dụng nhiều sản phẩm công nghệ c a nhiều hãng khác nhau để hạn chế nh ợc điểm trên. Đ ng th i sử
dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng c ng s c mạnh hệ thống phịng vệ nh
phối hợp Firewall làm cơng cụ ngăn chặn trực tiếp, IDS làm công cụ “đánh hơi”, phản ng phòng vệ ch
động, Anti-virus để lọc virus…v.v
+ Các tiêu chuẩn đáp ng: Các sản phẩm bảo mật phải đáp ng một số ch ng nhận tiêu chuẩn nh
Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140…

Những tác hại khi dùng màn hình
cảm ng.
31/12/2014

Lập
Trình
Tự học Java Bài 5 : Lập trình h ớng
đối t ợng trong Java (Phần 1)

Tự học Java Bài 4 : Các cấu trúc điều
khiển và kiểu dữ liệu
09/01/2015


III. CÁC NHÓM GI I PHÁP

Tự học Java Bài 3 : Java căn bản

3.1. NHÓM GI I PHÁP V QUY HO CH, THI T K

3.1.1. Thi t k cơ sở h tầng theo mơ hình SOA

02/01/2015

15/01/2015

Từ các tiêu chí và ngun tắc trên tơi xin đưa ra m t s nhóm gi i pháp sau:

Thiết kế, quy hoạch một hệ thống mạng lớn không đơn thuần là phát triển thêm các thiết bị hỗ trợ ng
dùng mà phải dựa trên mơ hình chuẩn đã và đang áp dụng cho các hệ thống mạng tiên tiến tại các cơ
quan, doanh nghiệp phát triển trên thế giới, đó chính là mơ hình mạng Định h ớng Kiến trúc Dịch vụ
(Service-Oriented Architecture – SOA).

Lộ diện kiểu dáng tuyệt đẹp c a siêu
phẩm HTC mới nhất

08/01/2015

i

Tự học Java Bài 2 : Làm quen với
NetBeans IDE Java
07/01/2015


Tự học Java Bài 1 : H ớng dẫn cài
đặt phần mền lập trình Java
07/01/2015

Học Quản Trị
Mạng
Tự học CCNA: bài 11 Địa chỉ IP V4
(phần 2)
27/01/2015

Tự học CCNA: Bài 11 Địa chỉ IP
version 4 (phần 1)
27/01/2015

Tự học CCNA bài 10: Một số lệnh cơ
bản nh ng quan trọng
19/01/2015

Tự học CCNA bài 9: Cách xóa mật khẩu trên thiết


bị Router Cisco
19/01/2015

Tự học CCNA bài 8: Upload IOS
Router Cisco trong chế độ ROMMON
19/01/2015

Phần
C ng

Bộ ngu n ATX và các lỗi th
13/01/2015

ng gặp

Cấu trúc phần c ng máy tính
06/01/2015

Phân vùng “System Reserved” trên
window 7 và 8, 8.1
03/01/2015

Usb Lỗi device not Recognized

Kiến trúc SOA g m có 3 lớp:

03/01/2015

Lớp cơ sở h tầng m ng (networked infrasstructure layer): là lớp mạng liên kết các khối ch c năng
theo kiến trúc phân tầng, có trật tự.

NTLite – Tạo Ra Phiên Bản Windows
Cho Riêng Mình
29/12/2014

Lớp dịch vụ tương tác (Interactive services layer): bao g m sự kết hợp một số kiến trúc mạng đầy đ
với nhau tạo thành các ch c năng cho phép nhiều ng dụng có thể sử dụng trên mạng.
Lớp ứng dụng (Application layer): Bao g m các loại ng dụng cộng tác và nghiệp vụ. Các ng dụng này
kết hợp với các dịch vụ t ơng tác cung cấp lớp d ới sẽ giúp triển khai nhanh và hiệu quả
Trong phần này, tôi xin giới thiệu sơ l ợc về các ph ơng th c thiết kế mạng và bảo mật đ ợc sử dụng

trong việc thiết kế các hệ thống mạng lớn và hiện đại c a các t ch c và doanh nghiệp lớn. T ơng ng
với kiến trúc SOA là thuộc lớp Cơ s hạ tầng mạng.

Bảo
Mật
WordPress 0 day Exploiter
26/01/2015

Cấu hình t

ng lửa cho VPS (phần 2)

Cấu hình t

ng lửa cho Server VPS

20/01/2015

3.1.2. Phương thức thi t k phân lớp – Hierarchical
Hierarchical là Một mạng là g m nhiều mạng LAN trong một hoặc nhiều toà nhà, tất cả các kết nối
th ng nằm trong một khu vực địa lý. Thông th ng các Campus g m có Ethernet, Wireless LAN, Gigabit
Ethernet, FDDI (Fiber Distributed Data Interface). Đ ợc thiết kế theo các tầng, khu vực khác nhau; trên
mỗi tầng, mỗi khu vực đ ợc triển khai các thiết bị, các chính sách mạng t ơng ng.

20/01/2015

SQLi-DB – SQLi Dork Scanner
11/01/2015

PC không nối mạng Internet vẫn có

thể bị hacker tấn cơng
31/12/2014

Th
Thuật
Chia Phân Vùng C ng Đơn Giản
Bằng MiniTool Partition Wizard
Server Edition 9
22/01/2015

Cách kh i động máy tính nhanh hơn
20/01/2015

Hình 1: Sơ đ thiết kế hệ thống mạng SOA theo các khu vực, tầng.
a) Khu vực LAN

Cách cài đặt Windows nhanh mà chỉ
dùng code
18/01/2015


Đóng và phục h i tất cả các ng
dụng đang chạy với SmartClose

Từ mơ hình trên ta cũng thấy đ ợc rằng khu vực này đ ợc thiết kế theo tầng. Tầng lõi, tầng phân tán,
tầng truy xuất vừa đảm bảo tính dự phịng đ ng truyền, l u l ợng mạng đ ợc phân bố đều, toàn mạng
đ ợc chia thành nhiều phân đoạn để dễ dàng kiểm soát và bảo mật.

18/01/2015


Cách lấy lại facebook bị khóa đơn
giản và nhanh nhất

b) Khu vực k t n i WAN
An cung
ninh cấp các kết Kiến
c An
Tự học
Quảnthành
trị viên, đối tác.
Tự học
Đây làTin
vùng
nối raThmơi
tr Ninh
ng Internet và các
cơ quan
Tại Lập
đâyTrình
phải
đảm bảo tính sẵn sàng cao và tính dự phịng đ ng truyền. Vì vậy hệ thống cân bằng tải và dự phịng
đ ng truyền WAN cần đ ợc triển khai.
mạng
Mạng
mạng
a) Khu vực các máy chủ public
Khu vực này th ng đ ợc biết đến với tên là vùng phi quân sự (DMZ-demilitarized zone) có nghĩa rằng tại
khu vực này đ ợc hệ thống t ng lửa kiểm soát vào ra các máy ch rất chặt chẽ nhằm ngăn chặn các
cuộc tấn công c a Hacker, ng i dùng trong LAN…
+ u điểm: dự phòng, dễ phát triển, hiệu năng cao, dễ khắc phục sự cố, thích hợp với mơi tr

tạo và nghiên c u các tr ng đại học và cao đẳng, doanh nghiệp lớn.

3.1.3 Mơ hình triển khai dịch vụ và qu n lý người dùng

Thực tế một số cơ quan, doanh nghiệp hiện nay đang triển khai hệ thống mạng theo mơ hình mạng
ngang hàng. Mơ hình này chỉ triển khai cho các t ch c có quy mơ nhỏ hẹp. Khi quy mơ hệ thống có trên
hàng trăm máy tính, nhiều phịng ban, ch c năng thì việc quản lý theo mơ hình ngang hàng khơng cịn
phù hợp nữa. Giải pháp triển khai dịch vụ và quản lý ng i dùng theo mơ hình ch -khách là giải pháp tối
u, hiệu quả nhất. Hệ thống này có nhiều thuận lợi và tính năng tối u nh :

-

Triển khai cấu hình các phần mềm, dịch vụ tự động cho các máy khách, ng

English

ngành

Find us on Facebook
AnăNinhăM ng
Thích
610 ng

i thích An Ninh Mạng.

Plugin xư hội c a Facebook

Advertisement

Mơ hình này đ ợc triển khai trên cơ s hạ tầng đã thiết kế là yếu tố quyết định đến hiệu năng hoạt động

và cách th c quản lý hệ thống.

Phần quyền truy nhập vào các tài nguyên dùng chung trên mạng.

14/01/2015

ng đào

+ Khó khăn khi xây dựng mạng theo phân lớp là chi phí khá cao, cần đội ngũ quản trị hệ thống chuyên
nghiệp

-

Tin học nhóm

i dùng nhanh chóng.

- Triển khai một chính sách bảo mật cho tồn đơn vị một cách dễ dàng, thống nhất, tập trung, ví dụ: Khi
ng i dùng không sử dụng trong th i gian nhất định, hệ thống sẽ tự lock, luôn yêu cầu ng i dùng đặt
mật khẩu cho hệ điều hành chế độ ph c tạp, th ng xuyên thay đ i mật khẩu…nhằm tránh các hacker
dùng các phần mềm giải mã mật khẩu.
- Dễ dàng giám sát an ninh, bảo mật, logging v.v

3.1.4. Phân ho ch VLAN (LAN o)



Thực trạng hệ thống mạng một số doanh nghiệp hiện nay đ ợc phân chia thành các khu vực, ch a
kiểm soát đ ợc l u l ợng download và upload cũng nh băng thơng truy xuất Internet c a ng i dùng.
Mơ hình mạng nh vậy là một miền quảng bá, mỗi gói tin kiểu quảng bá thì bất kỳ máy nào cũng có thể

tới đ ợc tất cả các máy tính khác trong mạng nên có những vấn đề sau:
Về băng thơng: Toàn doanh nghiệp là một vùng quảng bá rất lớn, số máy tính, số ng i dùng sẽ tăng
lên khi đơn vị phát triển thêm các khu vực khác. Do vậy băng thơng, hiệu năng c a tồn mạng sẽ giảm,
thậm chí th ng gây tắc nghẽn.
Về bảo mật: Việc kiểm sốt bảo mật gặp rất nhiều khó khăn khi hệ thống trải rộng khắp toàn cơ
quan, doanh nghiệp.
Để giải quyết các vấn đề trên, chúng ta đ a ra giải pháp chia mạng thành nhiều mạng LAN ảo. VLAN đ ợc
định nghĩa là một nhóm logic các thiết bị mạng, và đ ợc thiết lập dựa trên các yếu tố ch c năng, bộ phận,
ng dụng c a t ch c. Việc chia VLAN thành các phân hệ khác nhau giúp khả năng bảo mật, quản lý và
hiệu năng đạt kết quả cao nhất.


Hình 2: Minh họa về nhiều VLAN khác nhau

một tr

ng học

Ví dụ: Tất cả các máy tính thuộc các phịng thực hành, thí nghiệm trong tồn tr ng thì thuộc vlan01; các
phòng ban thuộc vlan02, các wireless thuộc vlan03 v.v. Các VLAN đó mặc định sẽ khơng liên lạc đ ợc với
nhau. Khi muốn có sự liên lạc giữa các VLAN với nhau ta tiến hành cấu hình trên thiết bị định tuyến
router và kiểm sốt băng thơng giữa các Vlan. (hình 2)

3.2. NHĨM GI I PHÁP V H TH NG NGĔN CHẶN, PHÁT HI N T N CÔNG
3.2.1 H th ng tường lửa đa tầng
Hệ thống t ng lửa là hệ thống kiểm soát truy nhập giữa mạng Internet và mạng nội bộ. T ng lửa có 2
loại: phần c ng và phần mềm. Mỗi loại có các u điểm khác nhau. Phần c ng có hiệu năng n định,
không phụ thuộc vào hệ điều hành, virus, mã độc, ngăn chặn tốt giao th c tầng mạng trong mô hình
tham chiếu TCP/IP. Phần mềm rất linh hoạt trong những cấu hình giao th c tầng ng dụng trong mơ
hình TCP/IP.

Ví dụ, t ng lửa tầng th nhất (th ng là phần c ng) đã loại bỏ hầu hết các kiểu tấn công trực diện vào
hệ thống máy ch web, máy ch mail nh kiểu tấn công phân tán (DDOS), t c hacker dùng các công cụ
tạo các yêu cầu truy xuất tới máy ch từ nhiều máy tính khác trên mạng với tần suất cao để nhằm làm
cho máy ch quá tải và dẫn tới ngừng phục vụ.
Nh ng hacker cũng khơng dừng tại đó, chúng có thể v ợt qua hệ thống t ng lửal tầng th nhất với
những gói tin hợp lệ để vào hệ thống mạng LAN. Bằng các giao th c tầng ng dụng chúng có thể lại đạt
đ ợc mục đích. Chính vì thế triển khai hệ thống t ng lửa phần mềm sẽ hỗ trợ và làm gia tăng tính bảo
mật cho tồn mạng. Trong tr ng hợp, một hệ thống t ng lửa gặp sự cố thì hệ thống cịn lại vẫn kiểm
soát đ ợc.
Sau đây là giải pháp thiết kế hệ thống t ng lửa th
t ng lửa tr ớc và t ng lửa sau (hình 3)

Hình 3: Hệ thống t

ng đa tầng, nó bao g m ít nhất 2 tầng chính sau:

ng lửa với 2 tầng tr ớc và sau

3.2.2. H th ng phát hi n và ch ng xâm nhập IDS/IPS
Hiện nay các hình th c tấn cơng c a ng i có ý đ xấu ngày càng nhiều và tinh vi. Ví dụ: Trong đơn vị có
thể tự cài đặt các công cụ (Ethereal, Cain & abel…) trên máy tính làm việc hoặc máy tính xách tay để tiến
hành nghe lén hay quét trực tiếp lên các máy ch , từ đó có thể lấy các tài khoản email, Web, FTP, SQL
server nhằm thay đ i điểm thi, tiền học phí đã nộp, thay đ i lịch cơng tác…các hình th c tấn cơng kiểu
này, hệ thống t ng lửa không thể phát hiện [3].


Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống IDS/IPS (Intrusion Detection
System/Intrusion prevention system). IDS/IPS là hệ thống bảo mật vơ cùng quan trọng, nó có khả năng
phát hiện ra các cuộc tấn công dựa vào các dấu hiệu thiết lập sẵn hoặc các đoạn mã độc hại, bất th ng
trên giao thông mạng; đ ng th i có thể loại bỏ chúng tr ớc khi có thể gây hại cho hệ thống.

3.2.3. Danh sách đi u khiển truy xu t, an toàn cổng thi t bị, lọc địa chỉ m ng
a) Danh sách đi u khiển truy xu t
Tình trạng các phịng ban, …đang tự triển khai mạng wireless và m rộng mạng LAN, nhất là tại các
phịng có nhiều thiết bị di động, laptop dẫn tới số kết nối vào mạng nội bộ tăng, băng thơng tồn mạng
giảm và khó kiểm sốt bảo mật.
Danh sách truy nhập là g m các luật cho phép hay ngăn chặn các gói tin sau khi tham chiếu vào thơng tin
trong tiêu đề c a gói tin để giới hạn các ng i dùng có thể truy xuất vào các hệ thống máy ch nội bộ v.v.
b) B o mật cổng của thi t bị, lọc địa chỉ vật lý của thi t bị m ng
các điểm truy nhập mạng công cộng, việc m rộng LAN c a ng
nội bộ cần đ ợc kiểm soát.

i dùng; việc truy xuất vào các máy ch

Các giải pháp nh cấu hình b o mật cổng của thi t bị, quản lý địa chỉ vật lý là giải pháp cực kỳ an ninh
và hiệu quả trong tr ng hợp này.
- Cấu hình b o mật cổng của thi t bị trên các switch nhằm đảm bảo không thể m rộng LAN khi ch a có
sự đ ng ý c a ng i quản trị hệ thống, nếu vi phạm điều đó, port trên switch đó sẽ chuyển về trạng thái
cấm hoặc trạng thái ngừng hoạt động.
- Địa chỉ vật lý là địa chỉ đ ợc cài đặt sẵn từ nhà sản xuất. Về nguyên tắc tất cả các máy tính trên mạng sẽ
khơng trùng nhau về địa chỉ này. Sự kiểm sốt theo địa chỉ này là rất cụ thể tới từng máy tính trong mạng,
trừ khi ng i dùng có quyền cài đặt phần mềm và làm giả địa chỉ này máy tính đó, hoặc là m máy tính
r i thay thế card giao tiếp mạng mới.
- Các thiết bị mạng hiện nay đều đ ợc trang bị ch c năng ngăn theo địa chỉ vật lý này giúp quản trị mạng
kiểm soát đ ợc ng i dùng sử dụng mạng, nhất là muốn triển khai trên hệ thống wireless.
3.3. NHÓM GI I PHÁP KHÁC
3.3.1 Xây dựng h th ng cập nhật, sửa l i tập trung
Công đoạn đầu tiên c a hacker khi tiến hành tấn công là khảo sát hệ thống đích để tìm ra các lỗi c a hệ
điều hành, c a các dịch vụ, c a các ng dụng khi chúng ch a đ ợc cập nhật trên website c a nhà cung
cấp.
Thực trạng các cơ quan, doanh nghiệp cho thấy việc sử dụng các sản phẩm phần mềm hầu nh ít cập

nhật các bản vá lỗi, có chăng cũng đang riêng lẻ trên các máy tính cá nhân, đó chính là cơ hội cho hacker
dùng các công để khai thác lỗ h ng bảo mật. Để cập nhật bản vá lỗi cho tất cả các máy khách trong toàn
bộ hệ thống qua Internet mất th i gian và tốn nhiều băng thông đ ng truyền và không thống nhất.
Giải pháp xây dựng hệ thống tự động cập nhật từ nhà cung cấp trên Internet về máy ch r i từ máy ch
này, triển khai cho tất cả các máy khách trong toàn mạng.
Hệ thống WSUS (Windows Server Update Services) c a Microsoft không những cập nhập bản vá lỗi cho hệ
điều hành Windows mà còn cập nhật bản vá lỗi cho tất cả các sản phẩm khác c a hãng bao g m Internet
Explorer, SQL server, Office, Mail, máy ch Web v.v
3.3.2. Ghi nhật ký, theo dõi, giám sát h th ng
a) Ghi nhật ký
Giải pháp ghi lại các phiên kết nối, các phiên đăng nhập c a ng i dùng, các tiến trình hoạt động sẽ giúp
quản trị mạng có thể tìm lại dấu vết c a ng i dùng, hacker và các lỗi có thể gây ra cho hệ thống tr ớc
đó. Các máy ch Web , máy ch Email và máy ch ng dụng khác cần đ ợc kích hoạt tính năng ghi nhật
ký, việc quản lý l u trữ các thông tin này là rất cần thiết. Hacker chuyên nghiệp khi đã xâm nhập thành
công vào hệ thống, việc không thể bỏ qua chính là việc xóa dấu vết đã đ ợc ghi. Chính vì thế triển khai hệ
thống ghi nhật ký tập trung tại một máy ch chuyên dụng khác là rất hiệu quả.
Các phần mềm mã ngu n m nh : Syslog-ng: ();
SyslogAgent:
() là giải pháp tốt. Hệ thống sẽ giúp chúng ta ghi các cảnh báo, thông báo từ các
thiết bị phần c ng nh : t ng lửa, router, switch, từ các máy ch Web, Database, và các hệ thống khác.


b) Theo dõi, giám sát
Theo dõi, giám sát là công việc th ng xuyên và quan trọng c a nhà quản trị mạng chun nghiệp, đó
chính là cơng việc phịng chống hiệu quả tr ớc khi sự cố xuất hiện. Theo dõi, giám sát có thể:
- Phát hiện trên hệ thống mạng có nhiều virus phát tán.
- Giám sát các máy tính trong mạng LAN và trên mơi tr

ng Internet.


- Theo dõi hiệu năng hoạt động các phần c ng c a máy ch để tiến hành nâng cấp, bảo trì, bảo d ỡng.
- Phát hiện hacker đang dùng các công cụ nghe lén mật khẩu, quét các lỗi c a hệ thống và các ng dụng.
- Thống kê số l ợng các kết nối, các session cũng nh những l u l ợng bất th
v.v

ng trên hệ thống mạng

3.3.3. Gi i pháp mã hóa dữ li u và đường truy n
Dữ liệu trên máy ch , máy tính cá nhân c a các cơ quan, doanh nghiệp hiện ch a an tồn vì khơng đ ợc
mã hóa nội dung và kể cả khi đi trên đ ng truyền. Dữ liệu ấy có thể đ ợc đọc b i:
- Ng

i dùng đăng nhập thành cơng vào máy tính

- Hacker dùng các phần mềm capture (bắt) thông tin trên đ

ng truyền

- Tại các máy ch và máy tính có l u trữ dữ liệu nhạy cảm, có dữ liệu cần chia sẽ; tại các thiết bị l u trữ
cần thiết phải tiến hành mã hóa nội dung, điều đó đảm bảo rằng nếu có mất thiết bị l u trữ, máy tính,
ng i tấn cơng cũng khơng thể giải mã đ ợc dữ liệu.
Giải pháp Ipsec sẽ đ ợc triển khai tại các hệ thống máy ch và máy ng
mạng phải đ ợc cấu hình.

i dùng cũng nh các thiết bị

3.3.4. Đào t o người dùng
Theo các thống kê về an ninh mạng c a CERT (Computer Emergency Response Team cho thấy, có khoảng 70% số tr ng hợp bị thất thốt thơng tin có liên quan tới yếu
tố con ng i bên trong các hệ thống còn 30% là xuất phát từ bên ngoài mạng nội bộ c a các t ch c
thông qua các hành vi truy nhập trái phép hệ thống c a hacker.

Theo chuẩn quản lý an ninh thơng tin (Information Security Management) ISO 17799/BS-7799, trong đó
có tiêu chí về “An ninh về nhân sự (Personnel Security)” mơ tả trách nhiệm c a nhân viên, vai trị c a các
cá nhân trong an ninh thông tin, nhằm giảm thiểu các sai sót do lỗi c a con ng i, do ăn cắp hoặc lạm
dụng tài sản công.
Do vậy việc đào tạo ng i dùng để họ tự bảo vệ các tài nguyên cho máy tính họ và cho cả t ch c là
nhiệm vụ hết s c quan trọng.
Đào tạo ng i dùng biết cách phòng chống các th đoạn c a hacker nh lừa đảo qua email. Ví dụ: hacker
th ng lợi dụng tính tị mị c a ng i dùng khi tham gia Internet để lấy thông tin khi yêu cầu ng i dùng
nhập vào.
Đào tạo ng i dùng sử dụng các công cụ, phần mềm đúng trình tự, khi cần thiết phải kịp th i báo cáo với
ng i quản trị hệ thống.v.v.
Đào tạo ng i dùng phải tuân th nguyên tắc bảo mật và an tồn thơng tin c a t ch c, kể cả khi họ
không tham gia làm việc tại cơ quan.

3.3.5. H th ng ch ng virus
Để cải thiện tốc độ xử lý c a t ng lửa, thông th ng quản trị mạng khơng cấu hình kích hoạt tính năng
lọc cao cấp c a t ng lửa (t ng lửa các vị trí phải xử lý l u l ợng lớn). Khi đó các ch ơng trình qt
virus đ ợc cài đặt nhằm phát hiện và ngăn chặn các đoạn mã độc, các ch ơng trình gián điệp, các email
có tệp tin virus đính kèm.v.v. Nh ng trên thực tế để đầu t một khối l ợng lớn các ch ơng trình virus
cho tất cả các máy tính tồn cơ quan thì kinh phí đầu t khá cao.
Để giảm chi phí bản quyền, giải pháp là triển khai mơ hình chống virus ch –khách. Hiện nay có nhiều
hãng nỗi tiếng nh Norton, Kaspersky, Trend micro .v.v có thể triển khai theo mơ hình này. Lợi ích khi


triển khai hệ thống là:
-

Chi phí giảm hơn nhiều so với cài đặt trên từng máy khách

-


Việc cập nhật phiên bản mới c a các máy khách dễ dàng, nhanh chóng và hiệu quả cao.

IV.TÀI LI U THAM KH O
[1] Andrew R. Baker,Brian Caswell, Mike Poor. Snort Intrusion Detection. 2004.
[2] Matthew J. Castelli, Cisco Press, LAN Switching first-step, July 08, 2004
[3] Jazib Frahim, Cisco ASA: All-in-One Tường lửa, IPS, and VPN Adaptive Security Appliance, CCIE No.
5459, Omar Santos, Cisco Press, October 21, 2005.
[4] Sean Convery, Cisco Press, Network Security Architectures, April 19, 2004
[5] Diane Teare, Catherine Paquet, Campus Network Design Fundamentals, Cisco Press,December 08,
2005
[6] Security Criteria for Service Delivery Network, Cable Television Laboratories, 2009
Website:
[7] />
Trong những bài vi t tới s giới thi u chi ti t các gi i pháp trên. L ợt xem (823)

BàiăVi tăLiênăQuan:

2014, triển khai
đồng b các gi i
pháp tĕng an ninh
m ng

Thi t k h th ng
m ng thực t

Công cụ giám sát h
th ng m ng PRTG

Tài li u an ninh

m ng, mã hóa
thơng tin

H th ng ch ng
xâm nhập

Các giai đo n t n
cơng của Hacker

H th ng Logs

Ngành “HOT” – An
tồn thông tin
(Information
Security)

Share !

Like

1

4

Ezcast M2 HDMI không dây
Hỗ trợ Mirror cho cả Android và iOS Ezcast M2 kết nối không dây với TV

Để lại bình luận:
Facebook


Google+

Wordpress

Add a comment...
Also post on Facebook  
Facebook social plugin

Posting as NhamăTh chăNóngăCh y  ▾

Comment


Privacy & Terms

Recent Posts

Ngoài những bài viết thuộc phần Tin t c, th thuật và công cụ:

Tự học CCNA: bài 11 Địa chỉ IP V4
(phần 2)

1. Giữ bản quyền nội dung c a bài viết.
2. Bạn không đ ợc phép sử dụng nội dung trên trên An ninh mạng vào mục đích th ơng mại nh in ấn, l u
hành cho nhân viên/khách hàng.
3. Bạn đ ợc phép sử dụng lại nh ng không đ ợc tự ý chỉnh sửa nội dung để tránh gây hiểu lầm cho ng
đọc.
4. Mọi hành động sử dụng lại đều phải đ ợc ghi rõ ràng Ngu n bài viết từ anninhmang.net.

AnNinhMang.NET © 2015, All Rights Reserved


i

27/01/2015

Tự học CCNA: Bài 11 Địa chỉ IP
version 4 (phần 1)
27/01/2015

Malaysia Airlines bị tin tặc tấn
công
26/01/2015

   

Develop by AnNinhMang Group