HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
PHẠM HẢI HƯNG
NGHIÊN CỨU GIẢI PHÁP NÂNG CAO ĐỘ AN TOÀN BẢO MẬT
CHO HỆ THỐNG THÔNG TIN ỨNG DỤNG TẠI TRƯỜNG CAO
ĐẲNG CỘNG ĐỒNG HÀ TÂY
Chuyên ngành: KHOA HỌC MÁY TÍNH
Mã số: 60.48.01.01
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2013
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: …TS.NGUYỄN KHẮC LỊCH………………
Phản biện 1: T.S Hồ Văn Hương
Phản biện 2: PGS. TS Trịnh Nhật Tiến
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu
chính Viễn thông
Vào lúc: 11 giờ 15 phút, ngày 15 tháng 02 năm 2014
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
1
MỞ ĐẦU
Ngày nay công nghệ thông tin có vai trò hết sức quan trọng trong sự tồn tại và phát
triển đối với bất kỳ một cá nhân, tổ chức, công ty hay rộng hơn là đối với toàn thể nhân loại.
Song bên cạnh những tác dụng tích cực mà công nghệ đem lại thì đã xuất hiện khía
cạnh tiêu cực rất lớn dựa trên nền tảng ứng dụng công nghệ thông tin đó là việc khai thác,
sử dụng, lấy cắp những thông tin nhạy cảm, các tài liệu mật…Do đó đối với bất kỳ một cá
nhân, tổ chức khi đưa công nghệ thông tin vào ứng dụng thì cũng sẽ phải đối mặt với những
vấn đề tiêu cực có thể xảy ra.
Chính vì những nhu cầu trên thực tiễn như trên của ngành Công nghệ thông tin nói
chung và của cơ quan nơi em công tác nói riêng nên em đã quyết định chọn đề tài “Nghiên
cứu giải pháp nâng cao độ an toàn bảo mật cho hệ thống thông tin ứng dụng tại
trường Cao đẳng Cộng đồng Hà Tây” làm luận văn tốt nghiệp với mong muốn tìm hiểu,
nghiên cứu và áp dụng được các giải pháp để đảm bảo nâng cao được an toàn bảo mật cho
hệ thống thông tin tại trường Cao đẳng Cộng đồng Hà Tây. Toàn bộ luận văn được chia làm
03 chương:
Chương 1: Tổng quan về an toàn bảo mật thông tin.
Trong chương sẽ đưa ra một số khái niệm liên quan tới an toàn bảo mật cho hệ thống
thông tin.
Chương 2: Biện pháp nâng cao đảm bảo an toàn bảo mật cho hệ thống thông
tin.
Trình bày về các nguy cơ gây mất an toàn hệ thống thông tin, đưa ra một số các giải
pháp đảm bảo an toàn và nghiên cứu sâu vào giải pháp sử dụng firewall.
Chương 3: Ứng dụng đảm bảo an ninh hệ thống mạng tại trường Cao đẳng
Cộng đồng Hà Tây.
Nội dung của chương là giới thiệu hiện trạng mạng thực tế tại trường Cao đẳng Cộng
đồng Hà Tây, đưa ra đánh giá về hệ thống hiện tại và đưa ra giải pháp để nâng cao độ bảo
mật và an ninh mạng ứng dụng cho trường.
Trong quá trình làm luận văn không thể tránh khỏi một số các thiếu sót rất mong
nhận được sự đóng góp ý kiến của các thầy cô và các bạn học viên.
2
Chương 1 - TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN
1.1 Khái niệm về an toàn bảo mật
An toàn bảo mật là đảm bảo an toàn cho cơ sở hạ tầng thông tin và các hoạt động
truyền thông, đảm bảo sự toàn vẹn của hệ thống thiết bị, mạng lưới, các dịch vụ truyền
thông, đảm bảo sự toàn vẹn, bí mật, khả dụng, nhất quán của thông tin dữ liệu trong hệ
thống thiết bị và trên mạng lưới.
1.2 Tấn công/ đột nhập là gì
Tấn công, đột nhập lên một hệ thống là một sự vi phạm chính sách an toàn bảo mật
của hệ thống đó.
1.3 Đặc trưng của một hệ thống thông tin bảo mật
Một hệ thống thông tin bảo mật là một hệ thống mà thông tin được xử lý trên nó phải
đảm bảo các đặc trưng bí mật, toàn vẹn và tính khả dụng.
1.3.1 Tính bí mật
Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất đến
thông tin.
1.3.2 Tính toàn vẹn
Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi
thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm.
1.3.3 Tính khả dụng
Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu truy xuất
hợp lệ. Tức là người quản lý phải đảm bảo cho các thông tin luôn luôn sẵn sàng được sử
dụng khi có các yêu cầu hợp lệ.
1.3.4 Tính xác thực
Đặc trưng này nhằm chứng thực sự đáng tin cậy của thông tin. Tính xác thực gồm có
xác thực thực thể và xác thực dữ liệu
3
1.4 Nguyên tắc xây dựng một hệ thống bảo mật
1.4.1 Chính sách và cơ chế
Chính sách bảo mật (Security policy) là hệ thống các quy định nhằm bảo đảm sự an
toàn của hệ thống.
Cơ chế bảo mật (Security mechanism) là hệ thống các phương pháp, công cụ, thủ
tục…dùng để thực thi các quy định của chính sách bảo mật.
1.4.2 Các mục tiêu của bảo mật hệ thống
Các mục tiêu cơ bản được đặt ra cho một hệ thống bảo mật là:
- Ngăn chặn : mục tiêu thiết kế là ngăn chặn các vi phạm đối với chính sách.
- Phát hiện : mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách đã và
đang xảy ra trên hệ thống.
- Phục hồi : mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các vi phạm đang
diễn ra hoặc khắc phục hậu quả của vi phạm một cách nhanh chóng nhất với mức độ thiệt
hại thấp nhất.
1.5 Thực trạng an toàn bảo mật thông tin tại các tổ chức, cơ quan
Hiện nay trong một số các tổ chức và cơ quan có quy mô lớn, đã có những bộ phận
chuyên biệt, có những chính sách và cơ chế rõ ràng để đảm bảo an toàn bảo mật cho thông
tin. Nhưng tại các tổ chức, cơ quan vừa và nhỏ việc coi trọng và đầu tư cho việc đảm bảo an
toàn bảo mật cho hệ thống thông tin còn chưa được quan tâm tới. Việc bảo đảm an toàn
được thực hiện một cách thủ công, rời rạc tùy theo ý thức của từng cá nhân. Đa số người sử
dụng chỉ quan tâm tới việc sử dụng dịch vụ, các ứng dụng trên mạng nhanh, thuận tiện, dễ
sử dụng chứ chưa quan tâm tới tính an toàn của thông tin.
Như vậy có thể khẳng định hiện nay tình hình an toàn bảo mật thông tin tại các cơ
quan, tổ chức trong nước đang gặp rất nhiều thách thức, nhiều các mối nguy hiểm tiềm tàng.
Để đảm bảo an toàn bảo mật thông tin cho các tổ chức, cơ quan được cải thiện đòi hỏi cần
phải thay đổi được nhận thức về tầm quan trọng của an ninh bảo mật thông tin đặc biệt là
nhận thức của ban lãnh đạo, từ đó xây dựng các kế hoạc nâng cao trình độ nguồn nhân lực
và trang thiết bị cần thiết phục vụ công tác an toàn bảo mật thông tin trong tổ chức, cơ quan.
4
Chương 2 - BIỆN PHÁP NÂNG CAO ĐẢM BẢO AN TOÀN BẢO
MẬT CHO HỆ THỐNG THÔNG TIN
2.1 Các nguy cơ gây mất an toàn bảo mật hệ thống
Có thể chia các nguy cơ thành các nhóm sau:
- Truy xuất thông tin trái phép
- Phát thông tin sai
- Ngăn chặn hoạt động của hệ thống
- Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống
2.2 Các giải pháp đảm bảo an toàn bảo mật hệ thống
2.2.1 Giải pháp kiểm soát truy nhập
Kiểm soát truy nhập là quá trình trong đó người dùng được nhận dạng và trao quyền
truy nhập đến các thông tin, các hệ thống và tài nguyên.
2.2.1.1 Kiểm soát truy nhập tùy chọn
Kiểm soát truy nhập tùy chọn (Discretionary Access Control - DAC) được định
nghĩa là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên thông tin nhận dạng của
các chủ thể hoặc nhóm các chủ thể.
2.2.1.2 Kiểm soát truy nhập bắt buộc
Kiểm soát truy nhập bắt buộc (Mandatory Access Control – MAC) là một chính sách
truy nhập không do các nhân sở hữu tài nguyên quyết định mà do hệ thống quyết định.
MAC được dùng trong hệ thống có những loại dữ liệu nhạy cảm như các thông tin bảo mật
trong cơ quan chính phủ, quân đội.
2.2.1.3 Kiểm soát truy nhập dựa trên vai trò
Kiểm soát truy nhập dựa trên vai trò (Role based access control - RBAC) là một
phương pháp điều khiển và đảm bảo quyền sử dụng cho người sử dụng có thể thay thế kiểm
soát truy nhập tùy ý (DAC) và kiểm soát truy nhập bắt buộc (MAC).
2.2.1.4 Kiểm soát truy nhập dựa trên luật
Kiểm soát truy nhập dựa trên luật (Rule based access control) là hình thức kiểm soát
truy nhập của người dùng vào hệ thống, tài nguyên dựa trên các luật (rules) đã được định
5
nghĩa trước. Các luật có thể được thiết lập để hệ thống cho phép truy nhập đến các tài
nguyên của mình cho người dùng thuộc một tên miền, một dải địa chỉ IP…
2.2.2 Giải pháp phát hiện và phòng chống đột nhập
Giải pháp để phát hiện và phòng chống đột nhập thường được sử dụng trong thực tế
là sử dụng hệ thống IDS (Intrusion Detection System) và IPS (Intrusion Prevention System):
2.2.2.1 Hệ thống Intrusion Detection System - IDS
Phát hiện đột nhập (Intrusion Detection System – IDS) là hệ thống phát hiện các dấu
hiệu của tấn công đột nhập. Nhiệm vụ của IDS là theo dõi các hoạt động trên mạng để tìm
ra các dấu hiệu khả nghi và cảnh báo cho hệ thống, người quản trị biết được.
Chức năng hệ thống IDS: chức năng quan trọng nhất của một hệ thống IDS là giám
sát, cảnh báo và bảo vệ.
Kiến trúc của hệ thống IDS: một hệ thống IDS bao gồm các thành phần chính là
thành phần thu thập gói tin (information collection), thành phần phân tích gói tin
(detection), thành phần phản hồi (respontion).
Phân loại hệ thống IDS:
Mỗi hệ thống IDS có một phạm vi giám sát, một kỹ thuật thực hiện khác nhau. Do
vậy việc phân loại hệ thống IDS/IPS cũng được dựa trên 2 cơ sở là phạm vi giám sát và kỹ
thuật thực hiện.
2.2.2.2 Hệ thống Intrusion Prevention System - IPS
Phòng chống đột nhập (Intrusion Prevention System – IPS) là hệ thống có chức năng
phát hiện đột nhập, các cuộc tấn công vào hệ thống và tự động ngăn chặn các cuộc tấn công
đó. Hệ thống IPS thường được đặt ở vành đai mạng để bảo vệ tất cả các thiết bị trong mạng.
Kiến trúc hệ thống IPS: hệ thống IPS gồm 3 modul chính là phân tích gói tin, phát
hiện tấn công và phản ứng.
2.2.3 Giải pháp mã hóa thông tin
Mã hóa thông tin là kỹ thuật biến đổi thông tin gốc thành dạng thông tin bí mật mà
chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới có thể hiểu được.
6
2.2.3.1 Kỹ thuật mã hóa dùng khóa đối xứng
Kỹ thuật mã hóa dùng khóa đối xứng hay còn gọi là mã hóa khóa bí mật là kỹ thuật
sử dụng chung một khóa duy nhất cho cả hai khâu mã hóa và giải mã. Do vậy khóa cần
được giữ bí mật trong suốt thời gian sử dụng giữa cả bên gửi và bên nhận.
2.2.3.2 Kỹ thuật mã hóa dùng khóa bất đối xứng
Kỹ thuật mã hóa dùng khóa bất đối xứng hay còn gọi là mã hóa khóa công khai là kỹ
thuật sử dụng một cặp khóa, trong đó khóa công khai dùng để mã hóa và khóa bí mật (khóa
riêng) dùng để giải mã. Với kỹ thuật này chỉ có khóa bí mật cần được giữ bí mật, khóa công
khai không cần giữ bí mật.
2.2.4 Giải pháp phòng chống các phần mềm độc hại
Phần mềm độc hại là một thuật ngữ bao hàm tất cả các loại phần mềm được thiết kế
để tấn công làm hại tới hệ thống, máy tính, mạng hoặc các tài nguyên.
2.2.4.1 So sánh với mẫu biết trước
Kỹ thuật này sẽ phân tích các file có nghi ngờ là bị nhiễm độc, sau đó so sánh kết quả
với các mẫu của phần mềm độc hại đã biết trước, nếu phát hiện một đoạn mã độc hại thì file
đó có thể bị lây nhiễm các phần mềm độc hại và sau đó phần mềm bảo vệ sẽ cố gắng loại bỏ
đoạn mã độc hại khỏi file.
2.2.4.2 Nhận dạng hành vi đáng ngờ
Nhận dạng hành vi đáng ngờ là một chức năng thông minh không phải phần mềm
bảo vệ nào cũng có. Với kỹ thuật này phần mềm bảo vệ sẽ theo dõi sự hoạt động bất thường
của hệ thống để có thể phát hiện ra các các phần mềm độc hại chưa được biết đến (chưa có
trong cơ sở dữ liệu của phần mềm) từ đó đưa ra cảnh báo tới người dùng và đồng thời tiến
hành cô lập các phần mềm đáng ngờ để bảo đảm an toàn hệ thống.
2.2.4.3 Nhận dạng nhờ kiểm soát liên tục
Với kỹ thuật này phần mềm bảo vệ thường thực hiện kiểm soát liên tục theo thời gian
thực để bảo vệ hệ thống.
2.2.4.4 Kết hợp mọi phương thức
Kỹ thuật này sẽ kết hợp nhiều phương thức như kiểm soát truy nhập để ngăn chặn
các phần mềm độc hại xâm nhập và hạn chế việc truy xuất sửa đổi cơ sở dữ liệu, kỹ thuật so
sánh với mẫu biết trước, kỹ thuật nhận dạng hành vi đáng ngờ…
7
2.3 Giải pháp firewall ứng dụng nâng cao an toàn bảo mật hệ thống
2.3.1 Giới thiệu về firewall
2.3.1.1 Khái niệm
2.3.1.2 Các chức năng chính của firewall
- Quản lý và kiểm soát luồng dữ liệu trên mạng
- Xác thực quyền truy cập
- Hoạt động như một thiết bị trung gian
- Bảo vệ tài nguyên
- Ghi nhận và báo cáo các sự kiện
2.3.1.3 Các thành phần cơ bản của firewall
Một firewall bao gồm một hoặc nhiều thành phần sau đây:
- Bộ lọc gói tin (Packet Filtering): Bộ lọc gói tin cho phép hay từ chối gói tin mà nó
nhận được.
- Cổng ứng dụng (Application Gateway): cổng ứng dụng được thiết kế để tăng cường
chức năng kiểm soát các loại dịch vụ, giao thức truy cập vào hệ thống mạng. Cơ chế hoạt
động của nó dựa trên cách thức gọi là proxy service.
- Cổng vòng (Circuit level gateway): cổng vòng thực hiện chuyển tiếp các kết nối
TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào, nó thường được sử
dụng cho những kết nối ra ngoài, điều này giúp che giấu thông tin về mạng nội bộ.
2.3.1.4 Phân loại firewall
Firewall có thể được phân loại như sau:
- Software firewall (firewall mềm): là những firewall được cài đặt trên một hệ điều
hành thường có thể đảm nhiệm nhiều vai trò như một DNS server hay DHCP server.
- Applicance firewall (firewall cứng): là những firewall được tích hợp sẵn trên các
phần cứng chuyên dụng, thiết kế dành riêng cho firewall.
Ngoài cách phân loại như trên firewall còn có thể phân loại dựa vào các công nghệ
sử dụng trong firewall như sau:
8
- Personal firewalls: được thiết kế để bảo vệ một host duy nhất, thường được tích hợp
sẵn trong các hệ điều hành.
- Packet filters: là thiết bị được thiết kế để lọc gói tin dựa trên những đặc diểm đơn
giản của gói tin.
- Network Address Translations (NAT) firewalls
- Circuit-level firewall
- Proxy firewall
- Stateful firewall
- Transparent firewall: hoạt động ở lớp 2 của mô hình OSI nó hỗ trợ khả năng lọc các
gói tin IP.
2.3.1.5 Mô hình kiến trúc của firewall
Kiến trúc Dual homed host
Mô hình kiến trúc firewall kiểu Dual homed host được xây dựng dựa trên máy tính
dual homed host. Máy tính dual home host là một máy tính có it nhất hai card mạng giao
tiếp với hai mạng khác nhau, lúc này máy tính này đóng vai trò là router mềm.
Kiến trúc Screened host
Screened host là cấu trúc cung cấp các dịch vụ từ một host bên trong mạng nội bộ
(bastion host) và một router tách rời với mạng bên ngoài. Kiến trúc này kết hợp hai kỹ thuật
là packet filtering và proxy service.
Kiến trúc Screened subnet host
Kiến trúc screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm
vào phần an toàn: mạng ngoại vi nhằm cô lập cho mạng nội bộ ra khỏi mạng bên ngoài, tách
bastion host ra khỏi các host khác.
9
2.3.1.6 Một số các firewall thông dụng
2.3.2 Firewall Forefront TMG 2010
2.3.2.1 Khái niệm
Microsoft forefront Threat Management Gateway thường được gọi tắt là Forefront
TMG là một firewall của hãng Microsoft. Trước đây Microsoft đã đưa ra 2 phiên bản
firewall rất nổi tiếng đó là ISA (Internet security and acceletion) 2004 và ISA 2006 nhưng 2
phiên bản firewall này chỉ hỗ trợ trên các hệ điều hành Windows 2000, Windows XP,
Windows 2003 mà không hỗ trợ các hệ điều hành mới hiện nay của Microsoft như
Windows 7, Windows 8. Vì thế Microsoft đã đưa ra một phiên bản mới của firewall ISA đó
là Microsoft forefront Threat Management Gateway 2010.
2.3.2.2 Các tính năng chính
Internet access prortection (proxy): Firewall Forefront TMG sẽ hoạt động như một
proxy server giữa máy client trong mạng nội bộ và nguồn tài nguyên trên Internet.
Hoạt động như một VPN Server: Forefront TMG ngoài tính năng firewall còn
được tích hợp dịch vụ VPN bao gồm các chức năng đầy đủ của VPN
Windows Server 2008 R2 64 bit Support
Web antivirus and anti-Malware Support: có thể phát hiện và cô lập nội dung
độc hại trong lưu lượng HTTP truy cập trước khi nó được truyền tới máy client.
URL Filtering: Các tính năng lọc URL cho phép thực thi các chính sách an ninh và
nâng cao năng suất.
HTTPS Inspection: cho phép quan sát trong giao thức SSL bắt nguồn từ các máy
tính trong mạng nội bộ.
E-Mail anti-Malware and anti-Spam Support: Forefront TMG cung cấp một giao
diện để kiểm soát lưu lượng mail, chống thư rác và các tính năng chống phần mềm độc hại.
Network Intrusion prevention: Một hệ thống ngăn chặn xâm nhập (IPS) là một
công cụ rất phổ biến, chủ yếu bởi vì nó có thể được sử dụng như một biện pháp chủ động
để phát hiện sự xâm nhập.
10
The Session Initiation protocol Filter: Bộ lọc Session Initiation Protocol được tích
hợp trong Forefront TMG, hỗ trợ âm thanh, video thông qua tường lửa Forefront TMG .
ISP Sharing/Failover: Forefront TMG hỗ trợ kết nối nhiều IPS.
2.3.3.3 Các mô hình triển khai ứng dụng Forefront TMG 2010
Mô hình Edge firewall
Đây là mô hình mà firewall Forefront TMG sẽ được nối trực tiếp với mạng bên trong
và mạng bên ngoài.
Mô hình 3-leg Perimeter
Với mô hình này firewall Forefront TMG cần tới 3 card mạng:
+ Card mạng thứ nhất nối với mạng bên ngoài
+ Card thứ hai nối với vùng mạng DMZ.
+ Card thứ ba nối với mạng nội bộ.
Mô hình back firewall
Với mô hình này cần tới hai firewall Forefront TMG, mỗi firewall có hai card mạng
được bố trí như sau:
- Firewall thứ nhất được gọi là front-end firewall có một card mạng nối với mạng bên
ngoài và một card nối với mạng bên trong.
- Firewall thứ hai được gọi là back-end firewall có một card mạng nối với DMZ và
card còn lại nối với mạng nội bộ.
Mô hình Single Network Adapter
Mô hình này được triển khai khi firewall chỉ có một card mạng và lúc này firewall
được sử dụng làm Web proxy server.
11
Chương 3 - ỨNG DỤNG ĐẢM BẢO AN NINH HỆ THỐNG MẠNG
TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂY
3.1 Giới thiệu về trường Cao đẳng Cộng đồng Hà Tây
3.2 Yêu cầu của hệ thống
Đưa ra giải pháp đảm bảo được các yêu cầu:
- Tính ổn định và sẵn sàng cao của hệ thống.
- Quản lý được các lưu lượng đi vào và ra khỏi hệ thống mạng.
- Tăng cường bảo mật cho toàn hệ thống mạng.
- Có thể phát hiện và ngăn chặn các nguy cơ xâm nhập trái phép.
- Ngăn chặn, hạn chế các chương trình độc hại được tải về từ Internet.
- Đảm bảo cho hệ thống server an toàn và hoạt động ổn định.
- Chi phí phù hợp và có tính tương thích với hệ thống hiện tại, đáp ứng được khả
năng mở rộng trong tương lai.
3.3 Thực trạng mô hình mạng tại trường Cao đẳng Cộng đồng Hà Tây
3.3.1 Hiện trạng mạng tại trường
Hệ thống mạng nội bộ của trường có 07 khu nhà chính, được nối với nhau bằng hệ
thống cáp quang.
Hình 3.1 Sơ đồ hạ tầng mạng nội bộ
12
Đặc điểm của hệ thống mạng tại trường Cao đẳng Cộng đồng Hà Tây:
- Các máy server: sử dụng hệ điều hành Windows Server 2003 & 2008 và đa phần
chỉ phục vụ cho người dùng nội bộ.
- Cơ sở dữ liệu: hiện tại đang sử dụng Microsoft SQL Server.
- Các máy tính cá nhân: chủ yếu sử dụng hệ điều hành Windows XP & Windows 7.
- Toàn bộ các máy tính trong mạng đều sử dụng cùng một dải địa chỉ Ip là
172.16.0.0/16
- Các ứng dụng an toàn thông tin: hầu như chưa có ứng dụng hay thiết bị nào chuyên
dụng, ngoại trừ sử dụng chia tách VLAN tại các khu nhà, hệ thống Wifi khỏi mạng nội bộ
và sử dụng phầm mềm chống virus BKAV trên các máy tính.
3.3.2 Đánh giá hệ thống hiện tại
Dựa trên các đặc trưng của một hệ thống thông tin bảo mật em đưa ra đánh giá về hệ
thống hiện tại của trường như sau:
Xét về tính bí mật, tính toàn vẹn và tính xác thực:
- Người dùng có thể sử dụng các công cụ để dò tìm user, mật khẩu đăng nhập của hệ
thống, dò quét các lỗ hổng của hệ điều hành, của ứng dụng.
- Do chưa có chế độ bảo vệ và kiểm soát các lưu lượng ra vào hệ thống nên người
dùng có thể để lộ user và mật khẩu khi vô tình tải về và cài đặt các đoạn mã độc, các
chương trình gián điệp như keylogger từ Internet.
- Người dùng luôn có xu hướng làm việc và sử dụng dữ liệu trên hệ thống server
ngay cả khi không ở trong trường nên việc sử dụng các công cụ truy xuất từ xa để làm việc
mà không được mã hóa dễ dẫn tới tình trạng dữ liệu bị mất và bị nghe lén trên đường
truyền.
Xét về tính khả dụng:
- Người dùng có thể khai thác cạn kiệt băng thông mạng khi tải về các file có kích cỡ
lớn, khiến các nhu cầu truy xuất vào ra của toàn hệ thống bị ảnh hưởng.
13
- Một số người sử dụng có thể sử dụng chương trình tấn công làm cạn kiệt tài nguyên
trên các máy server, khi đó toàn bộ thông tin lưu trên server vẫn tồn tại nhưng người dùng
hợp lệ không thể truy xuất được do server không còn tài nguyên để phục vụ.
- Phần mềm diệt virus trên các máy tính được cài và sử dụng rải rác, không có sự
quản lý tập trung dễ dẫn tới tình trạng phần mềm có thể bị vô hiệu hóa, cấu hình sai hoặc
không được cập nhật.
Như vậy qua các phân tích trên em có thể khẳng định độ an toàn bảo mật của hệ
thống mạng tại trường Cao đẳng Cộng đồng Hà Tây là rất yếu.
3.4 Giải pháp đề xuất
Các tài nguyên cần được bảo vệ như sau:
- Phần cứng: các máy chủ, máy trạm và các thiết bị mạng.
- Phần mềm: hệ điều hành trên các máy tính client đặc biệt là các máy server, các
chương trình ứng dụng như chương trình kế toán, thi trắc nghiệm, quản lý đào tạo…
- Dữ liệu: đây là phần quan trọng nhất cần được bảo vệ của trường Cao đẳng Cộng
đồng Hà Tây.
Em đề xuất giải pháp nhằm tăng cường tính an toàn, bảo mật cho hệ thống mạng tại
trường Cao đẳng Cộng đồng Hà Tây như sau:
3.4.1 Bảo vệ ở mức thiết bị
Để bảo vệ các thiết bị này em sử dụng các ACL (Access Control List) dùng
để lọc các gói dữ liệu bằng cách cấu hình quy tắc chính sách phù hợp và quá trình các gói
tin để kiểm soát quyền truy cập của người sử dụng trái phép vào mạng.
3.4.2 Bảo vệ lớp truy cập
Chia lại dải địa chỉ Ip trong mạng thành 3 vùng riêng biệt như sau:
+ Vùng mạng nội bộ: chứa toàn bộ các máy của người dùng trong trường (vùng
internal).
+ Vùng máy server: chứa toàn bộ các máy chủ (vùng DMZ ).
+ Vùng mạng Internet: vùng này sẽ kết nối trực tiếp ra Internet (vùng external).
14
Hình 3.2 Mô hình DMZ
Bảo vệ lớp truy cập bao gồm:
- Bảo vệ cho các đường truy nhập của người dùng khi người dùng có nhu cầu truy
cập và sử dụng tài nguyên của hệ thống từ xa, giúp mã hóa thông tin khi đi trên đường
truyền và đảm bảo tính toàn vẹn, xác thực của thông tin. Giải pháp em hướng tới ở đây là
tạo các kênh VPN cho các kết nối của người dùng từ bên ngoài vào hệ thống kết hợp với
phương pháp mã hóa trong SSL, L2TP/Ipsec…
- Kiểm soát truy nhập vào hệ thống: có 2 vị trí cần phải kiểm soát đó là kiểm soát
ngay tại cổng vào của mạng và kiểm soát khi truy nhập vào hệ thống server. Để có thể kiểm
soát truy nhập giải pháp em hướng tới là sử dụng hệ thống firewall kèm theo các bộ dò tìm
tấn công (IDS) để đảm bảo ngăn chặn các truy nhập trái phép hay các dạng tấn công, phá
hoại.
Hình 3.4 Bảo vệ với firewall
15
Với việc kiểm soát tại 2 vị trí khác nhau như hình 3.4 tất cả các lưu lượng từ trong
mạng nội bộ đi ra và từ ngoài vào sẽ được kiểm soát bởi firewall 1, còn firewall 2 sẽ kiểm
soát các lưu lượng ra vào hệ thống server.
Như vậy việc bảo vệ ở lớp truy cập cần sử dụng VPN và firewall kết hợp hệ thống
IDS. Hiện nay trên thị trường có rất nhiều các sản phẩm của các hãng nổi tiếng như Cisco,
CheckPoint…có thể cung cấp đáp ứng được 2 yêu cầu này. Trong khuôn khổ luận văn em
xin hướng tới việc sử dụng sản phẩm firewall Forefront TMG của Microsoft vì ngoài chức
năng firewall, Forefront TMG còn cung cấp các chức năng khác là VPN và IDS. Ngoài ra
do toàn bộ hệ thống mạng tại trường đang sử dụng hệ điều hành của Microsoft nên khi ứng
dụng firewall của Microsoft sẽ dễ dàng có tính tương thích và đạt được các hiệu năng cao
nhất.
3.4.3 Bảo vệ hệ điều hành
Bảo vệ cho hệ điều hành sẽ bao gồm cả hệ điều hành trên máy server và máy client.
Bảo vệ sẽ bao gồm việc hoạch định và xây dựng các chính sách cài đặt, cập nhật và bịt các
lỗ hổng cho hệ điều hành và ứng dụng, sao lưu dữ liệu.
Ngoài việc hoạch định và sử dụng các chính sách như trên, một giải pháp rất quan
trọng phải sử dụng đó sử dụng phần mềm phòng chống virus. Việc phòng chống virus bao
gồm các giải pháp triển khai trên cả hệ thống server và các máy client.
Đối với server:
Triển khai ServerProtec sẽ tiến hành theo mô hình 3.5:
Hình 3.5 Mô hình chống virus trên server
16
Với mô hình này các máy cài Normal Server sẽ được tự động update mẫu virus và
engine từ Information Server. Hệ thống có thể đưa ra các cảnh báo khi phát hiện thấy đang
bị nhiễm virus, cấu hình bị thay đổi, một dịch vụ nào đó bị gỡ bỏ, mẫu virus không được
cập nhật kịp thời, hệ thống phòng chống đang bị sửa đổi. Các cảnh báo này được gửi cho
người quản trị theo email, nhắn tin hoặc windows event box.
Các máy client: Mô hình chống virus trên các máy client như sau:
Hình 3.6 Mô hình chống virus cho máy client
Với mô hình trên các máy client sẽ tiến hành tự động cập nhật các mẫu virus và
engine từ máy OfficeScan Server.
3.4.4 Thử nghiệm và đánh giá mô hình
3.4.4.1 Thử nghiệm
Để đảm bảo hệ thống server luôn vận hành ổn định, có khả năng chống lại tấn công
từ mạng nội bộ em tiến hành thử nghiệm hệ thống theo 2 bước:
- Bước 1: thử nghiệm tốc độ đáp ứng của server trước khi cài đặt mô hình và khi có
tấn công.
- Bước 2: thử nghiệm tốc độ đáp ứng của server khi đã cài đặt mô hình và khi xuất
hiện tấn công
Để thử nghiệm tấn công và đánh giá tốc độ đáp ứng em sử dụng ở đây là sử dụng hệ
điều hành Back Track và tấn công theo hình thức DoS.
Máy bị tấn công sử dụng hệ điều hành Windows Server 2008 có địa chỉ IP là
10.35.10.3. Máy sử dụng tấn công là máy client sử dụng BackTrack 5 R3 với địa chỉ IP là
10.35.10.14.
17
Tiến hành như sau:
Bước 1:
- Kiểm tra thời gian đáp ứng của server khi chưa bị tấn công bằng lệnh ping trên máy
client:
Hình 3.7 Tốc độ đáp ứng trước khi chưa bị tấn công
Ta thấy thời gian đáp ứng trung bình của 100 gói tin là 1.343ms
Trên máy server thực hiện kiểm tra tài nguyên của máy bằng cửa sổ Task Manager
của Windows:
Hình 3.8 Tài nguyên của server khi chưa bị tấn công
Khi chưa tấn công CPU sử dụng khoảng 24%, card mạng sử dụng 0.86%, bộ nhớ là
15%.
Thực hiện tấn công:
18
Trên máy client sử dụng công cụ hping3 để tấn công DoS server:
Hình 3.9 Thực hiện DoS từ máy client
Khi đó trên server kiểm tra tài nguyên trong Task Manager như sau:
Tài nguyên của card mạng
Hình 3.10 Tài nguyên server khi bắt đầu bị tấn công
Ta có thể thấy tài nguyên của CPU và card mạng trên server thay đổi rất nhanh khi
bắt đầu có tấn công: card mạng từ 0.86% 37.42%, CPU từ 24% 51%.
Lúc này thực hiện ping để kiểm tra tốc độ đáp ứng của server từ máy client để kiểm
tra tốc độ đáp ứng trên server:
19
Hình 3.12 Tốc độ đáp ứng của server khi bắt đầu tấn công
Tốc độ đáp ứng của server giảm rất nhiều với 100 gói tin truyền đi thì mất 49 gói
chiếm 49%, thời gian đáp ứng trung bình là 63.334ms.
Nhận thấy khi bị tấn công tài nguyên server tăng nhiều, khả năng đáp ứng các yêu
cầu từ máy client tuy nhiên rất chậm, số lượng gói tin mất là cao.
Sau khoảng 3 phút tài nguyên cpu trên server tăng vọt, máy có hiện tượng treo.
Hình 3.13 Tài nguyên của server khi bị tấn công 3 phút
Kết thúc bước 1 em nhận xét khi server bị tấn công thì khả năng đáp ứng các yêu cầu
là rất chậm, tỉ lệ các gói tin bị mất rất cao.
Bước 2: Thử nghiệm hệ thống khi có firewall.
Lúc này địa chỉ IP của máy server sẽ đổi sang vùng DMZ là 10.30.10.2. Thực hiện
ping để kiểm tra tốc độ đáp ứng của hệ thống khi có firewall:
20
Hình 3.14 Tốc độ đáp ứng khi có firewall
So sánh với tốc độ của hệ thống trước khi có firewall ta thấy thay đổi từ tốc độ đáp
ứng trung bình từ 1.343ms 1.607ms.
Thực hiện tấn công từ các máy client: Trên firewall Forefront TMG nhận thấy có
các cảnh báo từ chối kết nối và thực hiện xóa các gói tin:
Hình 3.16 Từ chối kết nối trên Forefront TMG
21
Trên máy client thực hiện ping để kiểm tra tốc độ đáp ứng của server khi có tấn công:
Hình 3.17 Tốc độ đáp ứng của server khi có tấn công
Khi có hệ thống firewall bảo vệ, tốc độ đáp ứng của server nhanh nhất là 1.341ms,
trung bình là 16.714ms, cao nhất là 417.098ms.
Như vậy sau quá trình thử nghiệm với 100 gói tin có thể biểu diễn dưới dạng đồ thị
như sau:
Hình 3.18 Đồ thị so sánh tốc độ đáp ứng của server
Nhận xét: So với khi chưa có firewall, thời gian đáp ứng của server rất cao, số gói tin
bị mất là lớn (chiếm 50%). Sau khi chia tách hệ thống server khỏi mạng nội bộ và cài đặt
firewall bảo vệ, khi bị tấn công thời gian đáp ứng của server giàm nhiều so với khi chưa có
firewall (từ 63.334ms 16.714ms) và tỉ lệ gói tin mất chiếm 10%. Như vậy theo đánh giá
0
10
20
30
40
50
60
70
Chưa có
firewall
Có firewall
Tốc độ đáp ứng trung bình
(millisecond)
Số gói tin bị mất
22
của em việc ứng dụng firewall vào bảo vệ hệ thống server tuy không thể giúp hệ thống
server hoàn toàn tránh khỏi bị tấn công, nhưng đã giảm được tỉ lệ mất gói tin và thời gian
đáp ứng xuống rất nhiều, giúp cho server có thể kéo dài thời gian phục vụ người dùng và
đưa ra các cảnh báo cho người quản trị biết khi hệ thống đang bị tấn công.
3.4.4.2 Đánh giá giải pháp
Với giải pháp thiết kế để nâng cao độ bảo mật và an toàn như trên, mô hình mạng của
trường Cao đẳng Cộng đồng Hà Tây đã đạt được các yếu tố an ninh như sau:
- Hệ thống mạng nội bộ của trường đã được tổ chức phân thành các tầng lớp với các
chiến lược và chính sách khác nhau tại mỗi lớp, giúp làm tăng mức độ an ninh cho hệ thống
mạng.
- Kết nối từ các người dùng ở xa đều được thực hiên qua Site-to-Site VPN và được
mã hóa an toàn trên đường truyền.
- Kiểm soát được toàn bộ các lưu lượng mạng ra vào hệ thống thông qua các firewall
đặt tại đầu mạng vào.
- Phát hiện và ngăn chặn sự thâm nhập bất hợp pháp vào hệ thống thông qua hệ thống
phát hiện và ngăn chặn xâm nhập trong Forefront TMG.
- Bảo vệ hệ thống server và client khỏi sự lan truyền và phá hoại của virus thông qua
mô hình diệt virus cho server và client.
23
KẾT LUẬN VÀ KIẾN NGHỊ
Đảm bảo an toàn, bảo mật cho hệ thống thông tin trong các tổ chức, cơ quan, doanh
nghiệp, ngay cả đối với mỗi cá nhân ngày nay luôn là một vấn đề rất quan trọng. Để có thể
đưa ra được một giải pháp đáp ứng được cho mọi tình huống là một điều rất khó khăn. Việc
nghiên cứu và đưa ra giải pháp trong từng trường hợp phải dựa trên cơ sở và yêu cầu thực tế
của hệ thống hiện tại mới có thể xây dựng nên một phương pháp tối ưu nhất.
Với hướng nghiên cứu của luận văn là “ Nghiên cứu giải pháp nâng cao độ an toàn
bào mật cho hệ thống thông tin ứng dụng tại trường Cao đẳng Cộng đồng Hà Tây” luận văn
đã đạt được các nội dung sau:
- Đã tìm hiểu, nghiên cứu về các đặc trưng của một hệ thống thông tin bảo mật, các
nguyên tắc xây dựng một hệ thống bảo mật.
- Nghiên cứu về một số các nguy cơ gây mất an toàn cho hệ thống và các giải pháp
để đảm bảo an toàn cho hệ thống.
- Đi sâu nghiên cứu giải pháp firewall, đặc biệt là firewall Frorefront TMG 2010
của Microsoft.
- Đưa ra giải pháp ứng dụng và cài đặt một phần mô hình tại trường Cao đẳng Cộng
đồng Hà Tây.
Bên cạnh các kết quả đạt được, luân văn vẫn còn một số các hạn chế như việc nghiên
cứu một số các phương pháp mới chỉ dừng lại ở mức phân tích, đánh giá, đưa ra nhận xét
đa phần là dựa trên góc nhìn chủ quan của tác giả do đó khi đưa ra quyết định lựa chọn giải
pháp cho hệ thống có điểm chưa thích hợp, thời gian vận hành thử nghiệm của mô hình
ngắn nên chưa thể đánh giá được một cách khách quan và chính xác nhất.
Hướng phát triển của luận văn:
Ngày nay ngoài các hình thức thăm dò, tấn công và xâm nhập mạng đã biết thì còn
rất nhiều các lỗ hổng, hình thức tấn công âm thầm khác mà vẫn chưa công khai hoặc phát
hiện ra, do vậy việc ứng dụng mô hình tường lửa để đảm bảo an toàn, bảo mật cho hệ thống
thôi sẽ là không đủ, cần phải luôn nghiên cứu và áp dụng nhiều phương pháp cải tiến mới để