X
X
Â
Â
Y
Y
D
D
Ự
Ự
N
N
G
G
G
G
I
I
Ả
Ả
I
I
P
P
H
H
Á
Á
P
P
B
B
Ả
Ả
O
O
M
M
Ậ
Ậ
T
T
T
T
Ổ
Ổ
N
N
G
G
T
T
H
H
Ể
Ể
H
H
Ạ
Ạ
T
T
Ầ
Ầ
N
N
G
G
M
M
Ạ
Ạ
N
N
G
G
Cho BẢO VIỆT NHÂN THỌ
Version 1.0
ISP Inc. Trang 2/31
MỤC LỤC
1
GIỚI THIỆU 3
2 PHẠM VI NỘI DUNG TÀI LIỆU 4
3 HIỆN TRẠNG HỆ THỐNG MẠNG CỦA BẢO VIỆT NHÂN THỌ 4
4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO VIỆT NHÂN THỌ 4
4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG NGHỆ ACTIVE
DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI NHỮNG CHÍNH SÁCH BẢO
MẬT CHUNG (GROUP POLICY) CHO TÒAN BỘ HỆ THỐNG 4
4.1.1 Lên kế họach và thiết lập OUs 6
4.1.2 Hiệu chỉnh và tối ưu hóa Group Policy cho hệ thống của Bảo Việt Nhân Thọ 7
4.1.3 Cài đặt phần mềm thông qua chính sách (Group Policy) cho tòan bộ hệ
thống… 9
4.2 XÂY DỰNG GIẢI PHÁP BẢO MẬT DÀNH CHO VIỆC KẾT NỐI RA INTERNET 11
4.3 XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VIRUS, SPYWARE, TROJAN, VÀ
NHỮNG ĐỌAN MÃ PHÁT TÁN NGUY HIỂM. 15
4.3.1 Giới thiệu 15
4.3.2 Giải pháp thực hiện 15
Giải pháp phòng chống virus cho mạng doanh nghiệp 16
4.3.3 Sử dụng dịch vụ WSUS (Windows Software Update Services) dành cho việc
tự động cập nhật các bản vá lỗi mới nhất của hệ điều hành Microsoft kết hợp với bộ
sản phẩm GFI LANguard N.S.S. 16
4.4 SỬ DỤNG NHỮNG CÔNG CỤ HỖ TRỢ CHO VIỆC QUẢN TRỊ VÀ THU THẬP
THÔNG TIN HỆ THỐNG 22
4.4.1 Các công cụ và chính sách trong việc theo dõi thu thập sự kiện 22
4.4.1.1 Công cụ EventCombMT 22
4.4.1.2 Sản phẩm Microsoft Operations Manager 2005 23
4.4.1.3 Sản phẩm Microsoft Systems Management Server 2003 23
4.5 THU THẬP PHÂN TÍCH THÔNG TIN TỪ CÁC SỰ KIỆN CẢNH BÁO 24
4.5.1 Theo dõi vấn đề an ninh và phát hiện các cuộc tấn công 25
4.5.1.1 Truy cập vào những máy tính không được xác thực 25
4.5.1.2 Trojans, Rootkits, và Malware 26
4.5.1.3 Truy cập vào tài nguyên bằng cách thay đổi quyền hạn bảo mật 26
4.5.1.4 Truy cập vào tài nguyên bằng việc thay đổi thông tin mật khẩu 26
4.5.1.5 Sự thay đổi tài khỏan người dùng 27
4.5.1.6 Sự thay đổi thành viên trong nhóm tổ chức 27
4.5.1.7 Sự đăng nhập trái phép của những tài khỏan không được xác thực và tồn tại
trong hệ thống 27
4.5.1.8 Đăng nhập trái phép bằng những tài khỏan dịch vụ có quyền hạn 28
4.5.1.9 Thực thi những chương trình không được xác thực 28
4.5.1.10 Truy cập vào những nguồn tài nguyên không được phép 28
4.5.1.11 Sử dụng những hệ điều hành khác không được xác thực trong hệ thống 28
4.5.1.12 Tạo hoặc xóa các mối quan hệ tin tưởng trong việc truy cập tài nguyên hệ thống29
4.5.1.13 Thay đổi những chính sách bảo mật 29
4.5.1.14 Tấn công và dò quét bằng những tài khỏan hợp lệ 29
4.5.1.15 Thực thi những đọan mã nguy hiểm 30
4.5.1.16 Đánh lạc hướng các sự kiện theo dõi của hệ thống 30
5 LỢI ÍCH CỦA VIỆC XÂY DỰNG GIẢI PHÁP BẢO MẬT HỆ THỐNG MẠNG 31
ISP Inc. Trang 3/31
1 GIỚI THIỆU
Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan
tâm. Một khi Internet ra đời và phát triển thì nhu cầu trao đổi thông tin trở nên cần thiết.
Mục tiêu của việc nối mạng là để cho mọi người có thể dùng chung tài nguyên từ những
vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên sẽ rất dễ bị phân tán, dẫn
đến một điều hiển nhiên là chúng sẽ dễ bị xâm phạm gây mất mát dữ liệ
u cũng như các
thông tin có giá trị khác. Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật.
Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện, bảo mật ra đời.
Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin
mà còn nhiều phạm vi khác như kiểm duyệt Web, bảo mật Internet, bảo mật thư đi
ện tử,
các hệ thống thanh tóan điện tử và giao dịch trực tuyến khác, ngay cả trong hệ thống
mạng nội bộ của một doanh nghiệp v.v…
Mọi nguy cơ trên mạng đều là một mối nguy hiểm tiềm tàng. Từ một lỗ hổng bảo mật
nhỏ của các hệ thống, nhưng nếu được lợi dụng với tần suất cao và kỹ thuật tấn công
đ
iêu luyện thì cũng sẽ trở thành một tai họa.
Theo số liệu thống kê của tổ chức bảo mật nổi tiếng CERT (Computer Emegency
Response Team) thì số các vụ tấn công ngày càng tăng, cụ thể là:
• Năm 1989, có khỏang 200 vụ tấn công và truy cập trái phép trên mạng Internet
được báo cáo.
• Năm 1991 là 400 vụ.
• Năm 1993 là 1400 vụ.
• Năm 1994 là 1300 vụ.
• Những năm 200x là hàng chục nghìn vụ trên mỗi năm.
Nói chung, số vụ tấ
n công trên mạng ngày càng tăng lên với tốc độ chóng mặt. Cũng
thật dễ hiểu vì công nghệ phát triển ngày một nhanh và ý thức của người sử dụng cũng
hạn chế nên nạn đánh cắp thông tin và phá hoại cũng phát triển theo chiều hướng
chung.
Vậy chúng ta cần bảo vệ những tài nguyên nào? Câu trả lời đầu tiên đó chính là dữ liệu.
Liên quan đến dữ liệu thì chúng ta cần tâm đến những vấn đề
sau đây:
• Tính bảo mật
• Tính tòan vẹn dữ liệu
• Tính sẵn sàng
Tài nguyên thứ hai chính là các nguồn tài nguyên còn lại trong hệ thống như máy tính, ỗ
đĩa lưu trữ, máy in và hạ tầng của hệ thống mạng. Hacker có thể lợi dụng chính máy
tính của nạn nhân để tấn công vào hệ thống và kể cả lỗ hổng bảo mật của các máy chủ
cũng gây ra tình trạng tê liệt hạ tầng mạ
ng và thất thóat thông tin.
Yếu tố con người chính là tài nguyên thứ ba, cũng là vấn đề khá quan trọng trong lĩnh
vực bảo mật. Chúng ta cũng có thể trở thành thủ phạm bất đắc dĩ nếu như một hacker
nào đó lợi dụng uy tín của mình để khai thác và tấn công những mục tiêu khác.
Do đó, ngòai việc thiết lập hạ tầng cho vững chắc chúng ta còn phải lên kế hoạch và
đưa ra các chính sách chung cho tòan bộ hệ thống, nhằm t
ăng khả năng bảo vệ từ phía
ISP Inc. Trang 4/31
bên ngòai, mà còn tăng cường độ an tòan và tránh thất thóat thông tin từ phía bên trong
của người dùng đầu cuối, kể cả việc bảo vệ an tòan cho hệ thống mạng nội bộ.
2 PHẠM VI NỘI DUNG TÀI LIỆU
Trong tài liệu này chúng tôi sẽ trình bày những vấn đề liên quan sau:
• Xem xét, đánh giá lại toàn bộ hạ tầng truyền thông hiện tại quý công ty.
• Trình bày giải pháp bảo mật tổng thể bằng việc đưa ra các chính sách chung và
quản trị tập trung bằng các công cụ và sản phẩm nổi tiếng đã được áp dụng cho
rất nhiều doanh nghiệp và tập đòan lớn trên thế giới.
3 HIỆN TRẠNG HỆ THỐNG MẠNG CỦA BẢO VIỆT NHÂN THỌ
Qua khảo sát thực tế, chúng tôi nhận thấy những băn khoăn về việc bảo mật cho hạ
tầng mạng bên trong của công ty là có cơ sở. Với những hệ thống máy tính người dùng
hiện tại vẫn đang ở trạng thái không quản lý được. Việc cài đặt các phần mềm linh tinh
khác vẫn đang diễn ra và khó kiểm sóat. Khi gặp vẫn đề trục trặc thì người quản trị lại bị
quá tải trong việc xử lý máy tính của từng nhân viên. Và quan trọng nhất là tình trạng tấn
công từ phía bên ngòai và virus lây qua đường email tràn lan trong hệ thống.
Dựa theo sự việc trên, trong tài liệu này, chúng tôi cung cấp những giải pháp mà thiết
nghĩ Bảo Việt Nhân Thọ nên quan tâm, dò quét và thiết lập việc cài đặt lại hệ thống sao
cho có thể hạn chế tối đa việc thất thóat thông tin và tăng cường thêm tính năng bảo
mật phòng thủ cho hệ thống.
4 GIẢI PHÁP XÂY DỰNG CHÍNH SÁCH BẢO MẬT CHO BẢO
VIỆT NHÂN THỌ
4.1 XÂY DỰNG MÔ HÌNH QUẢN TRỊ TẬP TRUNG BẰNG CÔNG
NGHỆ ACTIVE DIRECTORY CỦA MICROSOFT, KẾT HỢP VỚI
NHỮNG CHÍNH SÁCH BẢO MẬT CHUNG (GROUP POLICY)
CHO TÒAN BỘ HỆ THỐNG
Dựa theo những yêu cầu và mục tiêu của Bảo Việt Nhân Thọ, cũng như những mô hình
quản trị tập trung khác, tòan bộ hệ thống của chúng ta phải là một thể thống nhất, qua
đó mới có thể đưa ra được những sách chung cho việc quản lý và phân phối tài nguyên,
kể cả việc “ép buộc” ngòai ý muốn, y như tổ chức của một mô hình doanh nghiệp bên
ngòai thực tế. Hãng phần mềm khổng lồ
của thế giới từ lâu nay vẫn tự hào kiến trúc
công nghệ Active Directory của họ là một sản phẩm không thể thiếu trong việc quản trị,
phân quyền trên tài nguyên cho người sử dụng và dễ dàng nâng cấp song song với sự
phát triển của doanh nghiệp, từ mô hình cỡ trung, vừa và kể cả vĩ mô.
Kiến trúc hạ tầng của dịch vụ Active Directory có thể sử dụng trong việc quản lý người
dùng và các máy tính, máy in, tài nguyên chia sẽ
v.v… Qua đó chúng ta có thể thấy thế
mạnh của dịch vụ này là sẽ tăng cường tính bảo mật cho hệ thống mạng bên trong. Mỗi
lần phát triển và cải tiến một hệ điều hành máy chủ, từ dòng Windows NT Server 4.0, rồi
Windows 2000 Server, Windows 2003 Server, dịch vụ Active Directory cũng phát triển
theo một cách nhanh chóng, tăng cường khả năng bảo mật hơn, dễ thích nghi với cấu
trúc phát triển của doanh nghiệp, và dễ dàng hơ
n trong việc cấu hình quản trị. Thế mạnh
của nó bao gồm những tính năng sau đây:
• Sử dụng đơn vị tổ chức (Organization Units): OUs cung cấp một cơ sở dữ liệu
tập trung cho tất cả các nguồn tài nguyên trong hệ thống, bao gồm tài khỏan
ISP Inc. Trang 5/31
người dùng, máy tính của người sử dụng, máy in, tài nguyên chia sẽ và những
đối tượng (Object) khác. Điều này cho phép người quản trị có thể tạo và nhóm
các đối tượng có cùng một tính chất chung về mặt luận lý, qua đó dễ dàng trong
việc phân chia và nhóm những đối tượng có cùng tính chất, phù hợp với mô hình
tổ chức của công ty.
• Chính sách nhóm (Group Policy): chính sách này có thể sử dụng trên một phạm
vi rất rộng. Nó giống như một luật lệ, chính sách mà khi s
ống tại một quốc gia
nào, chúng ta đều phải tuân theo và đồng thuận. Qua đó, nó có thể đưa ra việc
ép những đối tượng trong hệ thống phải tuân thủ những quy định do người quản
trị đặt ra. Nó được sử dụng trong việc ép buộc các chính sách về việc cấu hình,
cài đặt và giới hạn quyền sử dụng trên cấp độ tài khỏan (Users) và máy tính
người của người sử dụng (Computers) trong tòan bộ h
ệ thống.
• Roaming Profiles: đây là một tính năng khá hay, nó cho phép những người dùng
hay đi công tác xa, hoặc không ngồi cố định một vị trí, thì tài nguyên, hay những
cài đặt cá nhân của họ, sẽ được giữ y nguyên khi họ di chuyển sang sử dụng trên
bất kỳ một máy tính nào khác, giống như họ đang ngồi trên chính máy tính của
mình vậy. Việc này chúng ta cũng có thể làm thông qua Group Policy.
Mô hình tồng thể với dịch vụ Active Directory
ISP Inc. Trang 6/31
Do đó, để quản trị tập trung và nhằm tăng cường tính bảo mật cho hệ thống, dựa theo
mô hình trên, tòan bộ những hệ thống máy chủ và máy trạm sẽ tham gia vào một
domain với cùng một cơ sở dữ liệu AD chung. Chúng ta sẽ có hai máy chủ dùng để
chứa cơ sở dữ liệu Active Directory, trong đó sẽ có một máy sử dụng trong việc backup
một khi máy chủ chính bị ngưng họat động. Chúng ta cũ
ng sẽ có những máy chủ cung
cấp các dịch vụ khác cho hệ thống như dịch vụ cung cấp địa chỉ động DHCP, DNS, Web
Server, Mail Server, Proxy Server, dịch vụ chứng thực điện tử CA, RADIUS Server
v.v……
Ngoài ra, cũng nhằm tăng cường về an ninh, chúng tôi cũng khuyến cáo sử dụng thêm
vùng DMZ và hệ thống sẽ bao gồm hai tường lửa, như theo mô hình trên. Mục đích khi
cung cấp các sản phẩm về dịch vụ và thiết k
ế, chúng tôi thường theo quan điểm trong
hệ thống không nên sử dụng thuần sản phẩm của một hãng nào đó, mà nên là đa hãng
(Multi-Vendor), vì khi những kẻ tấn công xâm nhập vào hệ thống, nếu đã vượt qua được
một thiết bị hay máy chủ của một hãng, thì chúng sẽ gặp rắc rối với những thiết bị của
một hãng khác vì lỗi xảy ra ở một thiết bị của nhà cung cấ
p này, chưa chắc đã là lỗi của
một thiết bị của nhà cung cấp kia. Do đó, ngay tại đầu ngòai, chúng ta nên đặt một thiết
bị tường lửa sử dụng thiết bị phần cứng, ví dụ như PIX của Cisco, hay CheckPoint
Nokia v.v… Còn tường lửa phía bên trong, có thể sử dụng những sản phẩm mềm khá
hay và nổi tiếng như sản phẩm ISA của Microsoft, hay IPCOP, hoặc Linux Firewall
v.v……
Ngoài việc tập trung hệ th
ống vào cơ sở dữ liệu AD, sẽ có những trường hợp ngọai lệ
không cho phép một máy tính người dùng nào đó tham gia vào mô hình. Do đó chúng ta
sẽ phải đưa ra những luật lệ tối thiểu cho việc đưa ra những chính sách chung ngay từ
đầu, có như thế việc quản trị về sau sẽ đỡ phức tạp cho người Admin.
4.1.1 Lên kế họach và thiết lập OUs
Trước khi thông qua việc lên kế họach và thiết lập OUs, thì người quản trị đã phải có và
nắm rõ hệ thống sẽ bao gồm bao nhiêu Site, mỗi Site sẽ có bao nhiêu người dùng, bao
nhiêu máy tính, hệ thống domain hiện tại đã có chưa, với tên miền là gì? Phòng ban có
tổng cộng là bao nhiêu trực thuộc bộ phận nào? v.v…… Vì họat động của GP là nó sẽ
áp từ cấp độ domain xuống, và tuân theo quy luật áp sẽ là Site Æ Domain Æ OUs
.
Hệ thống của quý công ty sẽ có một hay nhiều máy chủ được cài đặt bộ cơ sở dữ liệu
Active Directory dùng để tập trung và quản lý tòan bộ đối tượng và tài nguyên trong hệ
thống. Trên đó chúng ta sẽ lên kế họach định hình và tổ chức các nhóm OU, tương ứng
với từng nơi, từng bộ phận, và từng phòng ban cùng với những người sử dụng máy tính
trong công ty.
Sau đây là một ví dụ đi
ển hình tổ chức OUs của một công ty có tên miền
BusinessName.com:
ISP Inc. Trang 7/31
Sau khi người quản trị nắm rõ cấu trúc và mô hình tòan thể của doanh nghiệp mình, lúc
đó mới có thể lên kế họach tạo ra cấu trúc OUs theo ví dụ như trên.
Như đã nói ở phần 4.1, thế mạnh khi tổ chức OUs của Microsoft là chúng ta sẽ hoàn
toàn có thể điều khiển và quản trị tập trung những đối tượng nằm trong nó, thông qua
các chính sách mà người quản trị đặt ra (Group Policy).
Việc cài đặt và áp dụng Group Policy sẽ được áp từ
trên xuống theo mô hình cây phả
hệ. Lấy ví dụ nếu một nhân viên nằm trong OUs tên là Sales theo như mô hình trên, nếu
chúng ta tạo và áp chính sách (Group Policy) trên domain chính có tên
BusinessName.com với việc sẽ khóa tài khỏan khi người dùng đăng nhập quá ba lần với
việc điền sai mật khẩu, mà OU Sales lại nằm trong OU Internal, Internal lại nằm trong
Users, Users lại nằm trong BusinessName, như vậy những người dùng trong nhóm
Sales sẽ chịu một chính sách bị khóa mật khẩu giống như trên. Ngòai ra chúng ta còn có
thể tùy biến trong việc cấ
u hình Group Policy với những tính năng mà hầu như đáp ứng
được mọi nhu cầu khó khăn nhất mà người quản trị hệ thống cần.
4.1.2 Hiệu chỉnh và tối ưu hóa Group Policy cho hệ thống của Bảo Việt
Nhân Thọ
Như chúng tôi đã nêu ở phần trên, chính sách của người quản trị đặt ra cho các đối
tượng trong hệ thống, thì thứ tự áp của nó sẽ trôi từ trên xuống theo cấp độ Site Æ
Domain Æ OUs. Và tùy theo từng cấp độ , chúng ta có thể cấu hình các chính sách sao
cho phù hợp với yêu cầu và quy mô của công ty, và đây là những cấu hình Group Policy
thao khảo dành cho Bảo Việt Nhân Thọ:
• Cấp độ
Domain:
Cấu hình Giá trị cho cấu hình
• Remembered passwords • 24
ISP Inc. Trang 8/31
Cấu hình Giá trị cho cấu hình
• Maximum password age • 42 days
• Minimum password age • 2 days
• Minimum password length • 10 characters
• Passwords must meet complexity
requirements
• Enabled
• Account lockout threshold • 5 invalid logon attempts
• Account lockout duration • 30 minutes
• Reset account lockout counter after • 30 minutes
Bảng 1. Group Policy Settings dành cho cấp độ Domain
• Cấp độ những OU nhóm các hệ thống máy chủ (Servers OU):
Cấu hình Giá trị cho cấu hình
• Security auditing • Enabled
• Allow local logon • Administrators
• Guest account status • Disabled
• Interactive logon: Do not display last
user name
• Enabled
• Network access: Do not allow
anonymous enumeration of SAM
accounts and shares
• Enabled
• Shutdown: Allow system to be shut
down without having to log on
• Disabled
• Automatic Updates • Automatic download and
notification for install
• Automatically publish new printers in
Active Directory
• Enabled
• Password protect the screen saver • Enabled
Bảng 2. Group Policy Settings dành cho Servers OU
• Cấp độ OU dành cho việc nhóm các máy tính người dùng trong hệ thống:
Cấu hình Giá trị cho cấu hình
• Interactive logon: Do not display last
user name
• Enabled
• Interactive logon: Display logon
•
Enabled
ISP Inc. Trang 9/31
Cấu hình Giá trị cho cấu hình
message
• Network access: Do not allow
anonymous enumeration of SAM
accounts and shares
• Enabled
• FTP publishing service
•
Disabled
• Messenger service
•
Disabled
• World Wide Web publishing service
•
Disabled
• Automatic Updates • Automatically download
and install
• Windows Firewall • Disabled for Windows® XP
with Service Pack 1 (SP1)
and earlier.
• Enabled, with specific
exceptions, for Windows
XP with SP2 and later.
Bảng 3. Group Policy Settings dành cho Computers OU
• Khi lên kế họach triển khai OUs, Microsoft cung cấp rất nhiều tùy chọn cho việc
cài đặt các chính sách bảo mật này, tùy cấu trúc của doanh nghiệp, sẽ có nhiều
lọai OU dành cho các nhóm máy tính, nhưng đối với BVNT, chúng tôi đưa ra hai
lọai chính sau đây:
o Desktops OU: OU này sẽ có tất cả những cấu hình bảo mật chính
dành cho tất cả các máy tính trạm của văn phòng chính. Chính sách
GPOs sẽ áp đặt cho OU này theo những mục đích sau:
Cho phép người dùng cấu hình các việc cơ b
ản trên máy tính, nhưng
không cho phép hiệu chỉnh thiết lập thông số kết nối mạng, cài đặt cấu
hình phần cứng và những cấu hình quan trọng của hệ thống.
Cho phép người dùng có thể đăng nhập và lấy dữ liệu của chính mình
từ bất cứ máy tính nào trong mạng, nhưng không lưu lại những trạng
thái sử dụng đó khi người dùng thóat và rời khỏi chỗ ngồi của mình
ngay tại máy.
Ng
ăn chặn việc ghi dữ liệu của người dùng trên nội tại của một máy
tính để người dùng sẽ lưu vào chính thư mục của mình ngay trên
mạng, mang tính chất dễ dàng sao lưu về sau.
Các thiết lập độ bảo mật khác cũng phải ở mức cao.
o Mobiles OU: OU này mang tính chất dùng cho người hay sử dụng thiết
bị xách tay hoặc thiết bị di động khác. Qua đó chúng ta cũng sẽ thiết
l
ập các chính sách GPOs để áp việc bảo mật vào cho OUs này.
Ngòai ra chúng ta còn có thể tạo thêm và tùy biến để cấu hình Group Policy cho các đối
tượng OU khác trong hệ thống tùy theo nhu cầu và sự tổ chức hợp lý trong hệ thống của
quý công ty.
4.1.3 Cài đặt phần mềm thông qua chính sách (Group Policy) cho tòan bộ
hệ thống
Một trong những thế mạnh mà Group Policy của AD cung cấp đó là khả năng triển khai
cài đặt phần mềm tập trung đến các máy trạm mà người quản trị không phải đến từng
máy để thiết lập việc đưa đĩa chương trình vào ổ CD tại máy đó.
ISP Inc. Trang 10/31
Việc thực hiện cài đặt này cho chúng ta hai giải pháp. Thứ nhất là cài đặt theo cơ chế
Publish mà người sử dụng có thể tự cài đặt phần mềm theo ý thích bằng cách vào công
cụ Add/remove Programs trong Control Panel để tự thiết lập riêng cho mình. Cách thứ
hai được gọi là Assign, Group Policy sẽ tự động cài đặt phần mềm vào máy tính của
người dùng một cách tự động khi máy tính đó tham gia và người dùng đăng nhập vào
hệ thống.
Hiện nay đã và đang có rất nhiều những phần mềm dành cho phía máy trạm mà được
cài đặt thông qua Group Policy dùng để quản lý việc cập nhật các bản vá lỗi cho hệ điều
hành, hoặc cập nhật các nhận dạng virus mới, hay các chương trình dùng trong việc
bảo mật tập trung đối với hệ thống máy trạm khi những máy này đi đến Gateway để ra
ngòai Internet, v.v….
ISP Inc. Trang 11/31
4.2 XÂY DỰNG GIẢI PHÁP BẢO MẬT DÀNH CHO VIỆC KẾT NỐI RA
INTERNET
Ngòai việc thiết lập các chính sách quản trị tập trung bằng AD, phần lớn đã giải quyết
được việc bảo vệ tài nguyên bên trong hệ thống mạng, chúng ta còn phải xem xét việc
thiết lập những chính sách liên quan đến việc kết nối ra bên ngòai Internet cho công ty.
Vì vấn đề này là một vấn đề rất nhạy cảm khi hệ thống có kết nối ra môi trường công
cộng. Khi các rule của hạ tầng được siết chặt mộ
t cách thống nhất, ban quản trị có thể
yên tâm hơn vì đôi khi chỉ do một vấn đề nhỏ nào đó ngay tại vùng kết nối ra bên ngòai
bị bỏ qua, nó cũng là nguyên nhân gây nên tai họa khôn lường.
Các chính sách chúng tôi có thể đưa ra tổng thể sau đây:
• Cung cấp cho người dùng truy cập Internet bên trong với việc bảo mật thông qua
hệ thống Proxy, nó hành động như một bộ máy dò quét gói tin đi ra đi vào.
• Thiết lập hệ thống phòng thủ và c
ảnh báo IDS/IPS bên trong nhằm tránh việc dò
quét và xâm nhập từ bên ngòai Internet. Ngòai ra chúng còn có thể phát hiện và
ngăn chặn những dạng xâm nhập trái phép ở hệ thống bên trong một khi chúng
không biết xuất nguồn từ những gói tin đó và cảnh báo đến ban quản trị.
• Xây dựng những dịch vụ về tường lửa dùng để thực thi việc kiểm tra gói tin và sử
dụng công nghệ chuyển dịch địa chỉ (NAT) nhằm ẩn dấu các hệ
thống địa chỉ luận
lý nội bộ mạng LAN bên trong.
• Xây dựng những hệ thống lọc tín hiệu ra vào ở tầng ứng dụng (Application Layer)
như SMTP, HTTP và FTP nhằm phát hiện ra những đọan mã độc hại.
• Thiết lập hệ thống Web caching nhằm tăng cường độ ổn định và tốc độ truy cập
đến những site sử dụng giao thức HTTP và FTP cho người dùng theo hai lọai:
o Người dùng ở m
ạng nội bộ truy cập những site ngoài Internet
o Người dùng ngòai Internet truy cập vào hệ thống site nội bộ
• Xây dựng và đưa ra những dịch vụ cung cấp về việc quan sát và thu thập phân
tích thông tin dựa trên lưu lượng của tòan bộ hệ thống, như lưu lượng truy cập
Internet của người dùng trong ngày trong tháng trong năm là bao nhiêu, những
giao thức chính nào mà người dùng hay sử dụng trong việc giao tiếp, những cảnh
báo nào hay được đưa ra nhiều nhấ
t v.v…… Qua đó người quản trị có thể phân
tích để đưa ra các giải pháp thích hợp để giải quyết tình trạng đang gặp phải,
nhằm mang lại sự ổn định cho hệ thống và tăng thêm độ an tòan cho cả mạng.
ISP Inc. Trang 12/31
Sơ đồ cấu trúc mẫu về bảo mật hạ tầng bên trong
• Giải pháp được đưa ra dựa trên hạ tầng Bảo Việt Nhân Thọ:
Để bảo vệ cho hệ thống kết nối ra Internet, những dịch vụ tối thiểu cần phải có trong
hệ thống bao gồm những thành phần sau đây:
o Hệ thống tường lửa
o Hệ thống phát hiện chống xâm nhập IDS/IPS
o Hệ thống lọc gói tin ở tầng ứng dụng (Application filtering)
o Hệ thống lưu thông tin, quan sát và gửi cảnh báo đến người quản trị
o Và cu
ối cùng là dịch vụ ủy quyền Proxy và Caching Web
Những thành phần trên có thể được tích hợp thông qua hai loại :
o Thiết bị phần cứng trong việc tích hợp cho mục đích chuyên biệt
(Dedicated hardware devices). Các thiết bị này bao gồm tính năng tường
lửa, phát hiện chống xâm nhập, tính năng Proxy v.v… Ngòai ra nếu có sử
dụng mô hình kết nối VPN thì chúng ta cũng có thể đưa vào những thiết bị
quản lý và cung cấp các truy cập thông qua VPN.
o Máy chủ tường l
ửa tích hợp. Theo cách này, chúng ta cũng có thể cung
cấp những dịch vụ trên, và hiện tại đã và đang có nhiều tổ chức áp dụng
kiểu lọai này dựa trên sản phẩm của các hãng nổi tiếng như CheckPoint,
NetScreen, SonicWall, ISA của Microsoft v.v…
Nếu thiết lập chính sách chặt chẽ trên những thiết bị này, chúng ta có thể hạn chế
được phần lớn các lọai tấn công và truy cập trái phép vào hệ thống bên trong thông
qua đường HTTP, FTP và email. Trên đó, người qu
ản trị chỉ cung cấp và mở những
cổng cần thiết, tương ứng với từng mục đích và từng dịch vụ được cung cấp cho
người dùng. Những gì không cần thiết, chúng ta phải đóng và tắt hết các cổng.
ISP Inc. Trang 13/31
Sau đây là những chính sách khuyến cáo được thiết lập tại tường lửa mặt ngoài:
Application Ports Direction
Web Service TCP – 80 Both
Web Service (Secured) TCP – 443 Both
E-mail Service TCP
–
25 Both
VPN PPTP TCP – 1723, Protocol 47 Both
VPN L2TP UDP – 1701 Both
VPN IPSec 500, protocol 50 & 51 Both
NTP UDP - 123 Outgoing from internal network
DNS UDP - 53 Out
g
oin
g
from internal network
FTP TCP – 20, 21 Both
RDP TCP - 3389 Both
Tường lửa bên trong, chúng tôi có thể đưa ra những chính sách sau đây:
Protocol/Po
rt
From To Users Authentica
tion
Permissi
on
DNS
(UDP, 53)
Main and
branch
offices
Internet DNS
server
Internal DNS server
(used by internal main
office systems, VPN
clients, and branch
office systems
No Allow
HTTP
(TCP, 80)
Main and
branch
offices
Internet Internal users Yes Allow
HTTPS
(TCP, 443)
Internet Microsoft
Windows®
SharePoint
Services and
TSWeb
based
terminal
services in
the main
office
Home and mobile
users and business
partners
Yes Allow
HTTPS
(TCP, 443)
Main and
branch
offices
Internet Internal users in the
main office and branch
offices
No Allow
FTP
(TCP, 21)
Main and
branch
offices
Internet Employees No Allow
SMTP
(TCP, 25)
Internal
SMTP server
Internet
SMTP
servers
Internal and Internet
SMTP servers
No Allow
SMTP
(TCP, 25)
Internet
SMTP
servers
Internal
SMTP server
Internal and Internet
SMTP servers
No Allow
E-mail
access using
OWA and
HTTPS
Internet Internal e-
mail server in
the main
office
Home and mobile
users
Yes Allow
ISP Inc. Trang 14/31
Protocol/Po
rt
From To Users Authentica
tion
Permissi
on
(TCP, 445)
VPN clients
using PPTP
(TCP, 1723)
and IP
Protocol 47
Internet Main office Home and mobile
users and business
partners
Yes Allow
VPN clients
using PPTP
(TCP, 1723)
and IP
Protocol 47
Internal
network
Internet Home and mobile VPN
client users
No Allow
IPSec VPN
tunnel
(UDP, 500)
and IP
Protocol 50
& 51)
Branch
offices
Main office Users in branch offices No Allow
NTP
(UDP, 123)
Internal
domain
controllers
Internet
based time
servers
Internal domain
controllers
No Allow
RDP
Terminal
Services
(TCP, 3389)
Internet Internal
Terminal
Server
Employees Yes Allow
All other
traffic
Anywhere Anywhere Any Not
applicable
Deny
ISP Inc. Trang 15/31
4.3 XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VIRUS, SPYWARE,
TROJAN, VÀ NHỮNG ĐỌAN MÃ PHÁT TÁN NGUY HIỂM.
4.3.1 Giới thiệu
Trước khi lên giải pháp về phòng chống virus, người quản trị cần phải nắm rõ
những thành phần dịch vụ tồn tại trong hệ thống, có hỗ trợ cho việc này hay không,
kể cả hệ điều hành đang sử dụng trong hệ thống nội tại. Điển hình là:
• Dịch vụ Active Directory®
• Dịch vụ mạng, bao gồm DNS (Domain Name System), DHCP
(Dynamic Host Configuration Protocol), và WINS (Windows Internet Name
Service).
• Dịch vụ bảo mật trong việc kết nối ra Internet.
• Dịch vụ tập tin (File Services).
• Dịch vụ đa cộng tác(Collaboration services).
• Dịch vụ cung cấp email.
• Dịch vụ in ấn.
• Dịch vụ truy cập từ xa.
• Dịch vụ chứng thực (Certificate services.)
• Dịch vụ quản lý các bản vá lỗi hệ thống.
• D
ịch vụ bảo vệ và phục hồi dữ liệu.
4.3.2 Giải pháp thực hiện
Tùy theo nhu cầu và cách nắm bắt thông tin của người quản trị, hiện tại trên thế
giới có rất nhiều những hãng nổi tiếng chuyên cung cấp các giải pháp về phòng
chống Virus cho mạng doanh nghiệp như Symantec, Trend-Micro, ISS, Mc-Cafee
v.v…
Nhưng trình tự chung của việc cài đặt vẫn tuân theo một quy chuẩn sau đây:
1. Cài đặt hệ thống Antivirus và những thành phần liên quan trên máy chủ phụ của
hệ thống.
2. Cho phép máy chủ này cập nhật các bản vá lỗ
i và danh sách virus mới nhất từ
chính máy chủ của hãng cung cấp dịch vụ này để hệ thống có thể nhận dạng và
tiêu diệt những lọai virus hiện tại, cho đến thời điểm chúng được cập nhật.
3. Cài đặt chương trình antivirus dùng cho máy trạm lên tất cả những thành phần
còn lại trong hệ thống như các máy tính để bàn, máy chủ dịch vụ, kể cả những
thiết bị di động liên quan.
4. Cài
đặt những chương trình cung cấp việc nhận dạng các lọai Spyware và
Adware trên các máy trạm và máy chủ thích hợp trong hệ thống.
5. Cấu hình việc lọc các lọai Spam-mail trên các máy chủ mail.
6. Cài đặt thêm các thành phần ứng dụng trong việc lọc nội dung gói tin tại hệ thống
tường lửa hay những thiết bị liên quan, dùng để kiểm sóat toàn bộ lưu thông
trong mạng.
Sau đây là sơ đồ mô tả cụ thể các bước trên.
ISP Inc. Trang 16/31
Giải pháp phòng chống virus cho mạng doanh nghiệp
Phần mềm Antivirus và giải pháp được đưa ra ở trên họat động theo tuần tự như
sau:
1. Định kỳ việc cập nhật các bản virus mới nhất từ phía hãng cung cấp giải pháp
Antivirus sẽ được thực hiện ngay tại máy chủ Antivirus chính trong hệ thống
thông qua đường truyền kết nối ra Internet.
2. Cập nhật chúng đến tất cả các máy chủ thành viên trong hệ thống.
3. Cuối cùng là cập nhật đến các máy trạm còn l
ại.
Qua thiết kế và đưa ra các giải pháp cho những doanh nghiệp, chúng tôi thường cung
cấp giải pháp phòng chống Virus sử dụng sản phẩm của hãng Symantec, hoặc nếu hệ
thống sử dụng mail Exchange của Microsoft, chúng tôi đưa vào sản phẩm của hãng
Trend-Micro. Và thực tế đã chứng minh độ ổn định và an tòan của những sản phẩm này
cực kỳ tốt cho doanh nghiệp đó.
4.3.3 Sử dụng dịch vụ WSUS (Windows Software Update Services) dành
cho việc tự động cập nhật các bản vá lỗi mới nhất của hệ điều hành
Microsoft kết hợp với bộ sản phẩm GFI LANguard N.S.S.
Microsoft SUS server là giải pháp tốt và mang lại hiệu quả cao trong việc quản lý và tiên
hành vá các lỗ hổng bảo mật cho hệ điều hành. Không chỉ hỗ trợ những bản vá patches
cho hệ điều hành, mà còn bao gồm patches cho nhiều ứng dụng (applications) như: IIS
và trình duyệt Web IE. Tuy nhiên, Microsoft SUS lại thiếu một số tính năng mà GFI
LANguard N.S.S cung cấp cho người sử dụng:
• Triển khai service packs
• Triển khai các bản vá patches đến các máy đang chạy Windows NT
• Triển khai phần mềm 3
rd
cho các máy Clients và các 3
rd
patches
ISP Inc. Trang 17/31
• Triển khai patches và service packs cho các ứng dụng Microsoft như: Microsoft
Office, Microsoft SQL Server, Microsoft Exchange Server & Microsoft ISA server.
• Có khả năng kiểm tra lại tất cả các patches đã cài đặt đúng hay chưa.
Và do vậy, sự kết hợp giữa GFI LANguard N.S.S. và Microsoft SUS nhằm tăng cường
hơn nữa các khả năng quản lý và tiến hành vá lỗi cho Hệ điều hành và các ứng dụng
(Applications) trên các hệ thống Windows 2000/XP/.NET, giúp các hệ thống và ứng
dụng đang vận hành được cập nhật nhanh chóng tất cả các OS service packs, Microsoft
application patches và service packs, kể cà các software patches của các hãng phần
mềm th
ứ 3 (3
rd
party software).
Bởi vì Microsoft SUS server không thực sự là một ứng dụng quét trên desktop, mà hơi
thiên về một máy chủ tự động làm việc dưới dạng dịch vụ nền (background), như vậy
hơi khó khăn cho người quản trị một chút trong việc cài đặt so với các công cụ quản lý
vá lỗi khác. Tuy nhiên một khi đã cài đặt hoàn tất, thì quy trình quản lý vá lỗi sẽ được tự
động, và người quản trị sẽ dễ dàng hơn
đối với công việc của mình.
Việc quản lý Microsoft SUS server tất cả thông qua giao diện Web, và cho phép quản lý
từ xa. Microsoft SUS server tiến hành download tất cả các bản vá lỗi hoàn toàn tự động
và có thể thông báo cho người quản trị qua e-mail. Các bản vá mới này có thể được
chấp thuận cho triển khai hoặc loại bỏ, đảm bảo rằng người quản trị có đầy đủ quyền đối
với những gì sẽ được cài đặt trên hệ th
ống mạng. Giao diện quản lý của SUS cũng khá
đơn giản.
Giao diện quản lý của WSUS
Một khi đã tiến hành cài đặt cả hai Microsoft SUS server và Microsoft SUS client, thì tất
cả các bản vá lỗi cũng sẽ được cập nhật tự động. Với quyền administrator, cấu hình vấn
ISP Inc. Trang 18/31
đề này sẽ xảy ra như thế nào cho thuận tiện với hiện trạng mạng của doanh nghiệp.
Chúng ta có thể xác lập một lịch biểu cho việc cập nhật, thậm chí có thể cho phép người
dùng tương tác , hoặc điều khiển trong tiến trình này nếu người quản trị muốn. Chúng ta
có thể xem hình minh họa sau đây, và dĩ nhiên những lựa chọn này có thể bị các chính
sách (Group Policy) khóa (locked).
Sau khi đã cấu hình cho Microsoft SUS client, các bản vá lỗi (patches) sẽ được triển
khai tự động. Người dùng sẽ được thông báo qua thông điệp như hình sau:
Quản lý patch với GFI LANguard N.S.S.
Một khi máy chủ Microsoft SUS đang hoạt động trên mạng, người quản trị cần cài thêm
GFI LANguard N.S.S để tiến hành quản lý việc vá lỗi và cập nhật hoàn thiện hơn:
• Triển khai service packs.
• Triển khai patches đến các máy Windows NT.
• Triển khai patches cho các 3rd party software.
• Triển khai Microsoft application patches và service packs cho cả Microsoft Office,
Microsoft SQL Server, Microsoft Exchange Server và Microsoft ISA server (nếu
có).
• Kiểm tra lại các patches và service packs còn thiếu chưa được cài và tiến hành
báo cáo thông qua HTML report về các vấn đề này.
ISP Inc. Trang 19/31
Kiểm tra các patches và service packs đã được cài đặt
Một khi các chương trình quản lý các bản vá đã được cài đặt, thì người quản trị cũng
cần chú ý đến việc thường xuyên rà quét hệ thống để kiểm tra các patches và service
packs đã được triển khai bởi Microsoft SUS. GFI LANguard N.S.S. sẽ nhanh chóng rà
soát hệ thống và liệt kê ra tất cả patches và service packs chưa cập nhất thông qua các
biểu tượng cảnh báo- Alerts node.
Phân phát các bản vá patches với GFI LANguard N.S.S.
ISP Inc. Trang 20/31
Các bản vá Patches đã được download
Sau khi xác định các bản vá patches nào cần cập nhật, GFI LANguard N.S.S. sẽ cung
cấp một danh sách các service packs và patches cần được download và sẽ lưu vào thư
mục GFI LANguard N.S.S download.
Giao diện cản báo của GFI LANguard N.S.S. về các bản vá
Chúng ta có thể thấy Microsoft SUS Server khá hoàn hảo khi cập nhật bản vá patch cho
hệ điều hành. Một khi đã cài đặt, hệ thống sẽ cập nhật tự động. Thế nhưng, Microsoft
ISP Inc. Trang 21/31
SUS Server không thể là công cụ giúp quản lý và triển khai tất cả các loại patches. Và
do vậy cần sử dụng thêm các công cụ quản lý và cập nhật các bản vá lỗi hỗ trợ cho
Microsoft SUS Server, được cung cấp ngay trên site của hãng Microsoft.
ISP Inc. Trang 22/31
4.4 SỬ DỤNG NHỮNG CÔNG CỤ HỖ TRỢ CHO VIỆC QUẢN TRỊ VÀ
THU THẬP THÔNG TIN HỆ THỐNG
4.4.1 Các công cụ và chính sách trong việc theo dõi thu thập sự kiện
Khi hệ thống được thiết lập cho mục đích an ninh và tập trung như trên, việc quản trị và
theo dõi trạng thái cũng là việc tương đối quan trọng và phức tạp. Vì vậy MS cung cấp
cho người quản trị những công cụ cần thiết để kiểm tra và xử lý khi có việc gì bất
thường trong hệ thống. Điển hình chúng ta có thể xử dụng các cách sau đây.
4.4.1.1 Công cụ EventCombMT
Công cụ này có thể phân tích và chọn lọc những cảnh báo từ các tập tin lưu trữ sự kiện
(Event logs) trên nhiều máy tính khác nhau. Chương trình này họat động như một ứng
dụng đa luồng. cho phép người quản trị nhìn thấy được nhiều dạng thông tin về các sự
kiện khác nhau như:
• Tất cả các sự kiện (Event IDs)
• Một đọan sự kiện mong muốn (Event ID ranges)
• Những bắt nguồn củ
a sự kiện (Event sources)
• Những đọan mô tả về sự kiện
• Những sự kiện xảy ra theo phút, giờ, hoặc ngày
Giao diện chương trình EventCombMT
Thường khi tiềm kiếm trong chương trình này, người quản trị nên tìm trước những thông
số về sự kiện sau đây:
• 529. Logon failure (đằng nhập sai tài khỏan và mật khẩu)
• 644. A user account was auto locked
• 675. Pre-authentication failed on a domain controller (mật khẩu không đúng)
• 676. Authentication ticket request failed
• 681. Logon failure
ISP Inc. Trang 23/31
4.4.1.2 Sản phẩm Microsoft Operations Manager 2005
Microsoft Operations Manager (MOM) là một sản phẩm hiện nay đang được sử dụng rất
nhiều trong các doanh nghiệp lớn. MOM sẽ quan sát tòan bộ các hệ thống máy chủ từ
một nơi tập trung, sau đó thu thập các thông tin được lựa chọn từ các file lưu trữ các sự
kiện và chuyển chúng đến máy chủ quản lý dữ liệu của MOM. MOM 2005 và những bản
nâng cấp cao hơn còn có khả năng thu thập và chọn lọc các sự ki
ện từ những máy tính
không chạy phiên bản sử dụng dùng để cài đặt trên máy trạm là “MOM agents”.
MOM sử dụng chính các gói chính sách của nó để nhận dạng những thông tin và sự
kiện mà ảnh hưởng trực tiếp đến các hệ thống máy chủ, và nhiều lọai khác. Ngòai ra
người quản trị còn có thể tạo thêm cho mình những quy luật riêng (rules), qua đó theo
dõi đựợc những sự kiện xảy ra trong hệ thống và gửi các cảnh báo đó thông qua email,
thông đ
iệp pop-up, hoặc gửi trực tiếp đến hệ thống di động cho người quản trị.
Mặc dù MOM cung cấp rất nhiều những chức năng hữu ích mà có thể sử dụng trong
quá trình theo dõi an ninh và phát hiện ra các cuộc tấn công trong mạng, nhưng thường
thì chúng ta không dùng nó trong mục đích này.
4.4.1.3 Sản phẩm Microsoft Systems Management Server 2003
Microsoft Systems Management Server (SMS) 2003 là một sản phẩm thường đi kèm với
MOM trong những hệ thống lớn. Nó có thể quan sát, quản lý các hệ thống máy chủ và
máy trạm trong mạng từ bộ phận trung tâm. Không những có khả năng theo dõi và quản
lý đến từng máy tính trong mạng, nó còn có khả năng phát hiện ra những phần mềm đã
được cài đặt một cách trái phép, mà họ lại không khai báo với ban quản trị.
Vậy SMS là một sản phẩm có thể giúp đỡ r
ất nhiều cho người quản lý hệ thống, nó quản
lý các tiến trình, quan sát từng thành phần hệ thống từ xa với thời gian thực, qua đó cho
phép người quản trị theo dõi và phát hiện các thao tác trái phép, nhằm nâng cao mức độ
an ninh cho mạng.
ISP Inc. Trang 24/31
4.5 THU THẬP PHÂN TÍCH THÔNG TIN TỪ CÁC SỰ KIỆN CẢNH
BÁO
Trong phần này, chúng tôi xin cung cấp những thông tin về việc cảnh báo mà người
quản trị hệ thống cần phải nắm rõ, qua đó khi phát sinh những cảnh báo này, người
quản trị sẽ biết và tiến hành những thao tác cần thiết, giúp cho việc quản lý và nâng cao
mức độ an ninh của hệ thống được đảm bảo. Vì đa phần hệ điều hành trong hệ thống
mạng nội bộ, chúng ta thường sử d
ụng sản phẩm của MS, do đó các cảnh báo thường
cũng sẽ được xuất hiện trong thành phần Event Viewer, và ở dưới dạng các thông số
được gọi là ID, mỗi ID sẽ đại diện cho một cảnh báo và vấn đề riêng.
Hình minh họa chương trình Event Viewer
ISP Inc. Trang 25/31
Và sau đây là thông tin cảnh báo với các thông số ID:
4.5.1 Theo dõi vấn đề an ninh và phát hiện các cuộc tấn công
Để theo dõi về vấn đề an ninh và phát hiện các cuộc tấn công, cần phải lên kế họach cụ
thể theo từng cấp độ thích hợp, và điển hình là theo từng vùng sau đây:
• Việc can thiệp quản lý tài khỏan người dùng
• Truy nhập vào tài nguyên được bảo vệ
• Thay đổi các chính sách bảo mật
• Tạo và xóa các mối quan hệ tin tưởng trong hệ thống
• Sử dụng quyền hạn trái phép
• Khởi
động lại hệ thống và thay đổi thông tin thời gian
• Hiệu chỉnh thông tin Registry
• Thực thi các đọan chương trình nguy hiểm
4.5.1.1 Truy cập vào những máy tính không được xác thực
Event ID Sự kiện xảy ra
528 Successful Logon
529 Logon Failure – Unknown
User Name or Bad
Password
530 Logon Failure – Time