1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC
TIỂU LUẬN MÔN HỌC
AN NINH MẠNG
Nội dung:
MÔ HÌNH BẢO MẬT MẠNG
Network Security Model (NSM)
Giảng viên: PGS, TSKH. Hoàng Đăng Hải
Nhóm thực hiện: Nguyễn Vũ Quang
Nguyễn Quốc Chính
Nguyễn Xuân Hùng
Lớp:
M11CQDT01-B
HÀ NỘI 2012
MỞ ĐẦU
MÔ HÌNH BẢO MẬT MẠNG
Mô hình bảo mật mạng (Network Security Model - NSM) được đề xuất là
mô hình bảy lớp nhằm mục đích phân chia công việc khó khăn phức tạp của bảo
mật hạ tầng mạng thành 7 phần có thể quản lý được. Đây là mô hình chung và có
thể ứng dụng cho các giải pháp thực hiện bảo mật và các thiết bị bảo mật. Việc
triển khai NSM rất quan trọng bởi vì sự thống nhất là cần thiết trong mạng bảo
mật, cũng như nhà sự thống nhất trong cấu trúc mạng với việc triển khai mô hình
OSI. Khi có một tấn công mạng xảy ra, việc định vị, khắc phục sẽ dễ dàng hơn.
Bài tiểu luận này dựa trên một nghiên cứu của Phòng đọc về bảo mật mạng
(SANS Information Security Reading Room) của Học viện SANS (SysAdmin,
Audit, Network, Security) là học viện hàng đầu về bảo mật mạng. Nội dung nghiên
cứu có thể tham khảo tại:
/>security-model_32843
2
MỤC LỤC
1. Giới thiệu 4
1.1 Giới thiệu mô hình An ninh Mạng (Network Security Model - NSM) 4
1.2 Tại sao chúng ta cần một mô hình bảo mật mạng? 5
2. Tìm hiểu mô hình bảy lớp NMS: Lớp vật lý 6
2.1 Lớp vật lý là gì? 6
2.2 Các phần tử của lớp vật lý 6
3. Tìm hiểu mô hình bảy lớp NSM: Lớp VLAN 7
3.1 Lớp VLAN là gì? 7
3.2 Thực hiện an ninh VLAN 7
3.3 Tại sao lớp VLAN là quan trọng trong bảo mật? 7
4. Tìm hiều mô hình bảy lớp NSM: Lớp ACL 8
4.1 Lớp ACL là gì? 8
4.2 Thực hiện bảo mật lớp ACL 8
4.3 Tại sao lớp ACl quan trọng với công tác bảo mật? 9
5. Tìm hiểu mô hình lớp NSM: Lớp phần mềm 9
5.1 Lớp phần mềm là gì? 9
5.2 Thực hiên bảo mật phần mềm 9
5.3 Tại sao lớp phần mềm lại quan trọng đối với bảo mật mạng? 10
6. Tìm hiểu mô hình bảy lớp NSM: Lớp người dùng 10
6.1 Thế nào là lớp người dùng? 10
6.2 Thực hiện bảo mật người dùng 10
6.3 Tại sao lớp người dùng lại quan trọng trong vấn đề bảo mật? 11
7. Tìm hiểu mô hình bảy lớp NSM: Lớp quản trị 11
7.1 Lớp quản trị là gì? 11
7.2 Thực hiện an ninh quản trị 11
7.3 Tại sao lớp quản trị quan trọng đối với an ninh thông tin? 12
8. Tìm hiểu mô hình bảy lớp NSM: Lớp Phòng công nghệ thông tin 12
8.1 Lớp phòng công nghệ thông tin là gì? 12
8.2 Thực hiện an ninh phòng công nghệ thông tin 12
8.3 Tại sao Lớp phòng công nghệ thông tin lại quan trọng đối với an ninh? 12
9. Làm việc với mô hình an ninh mạng 13
9.1 Kiến trúc của mô hình an ninh mạng và những điểm tương đồng với mô hình OSI
13
9.2 Một số ví dụ về mô hình an ninh mạng và các tấn công (mạng) 14
9.3 Làm thế nào để mô hình an ninh mạng được sử dụng để hạn chế một cuộc tấn công
16
9.4 Làm thế nào để hiện thực mô hình an ninh mạng 17
10. Chu kỳ tồn tại của an ninh mạng 19
11. Kết luận 20
11.1 Hiện tượng mất lớp IDS/IPS? 20
3
1. Giới thiệu
1.1 Giới thiệu mô hình An ninh Mạng (Network Security Model - NSM)
Mô hình tham chiếu các hệ thống mở (OSI), được phát triển vào năm 1983
bởi Tổ chức tiêu chuẩn quốc tế (ISO), nó đã được được sử dụng như một khuôn
mẫu để dạy những kiến thức cơ bản kết nối mạng và khắc phục sự cố các vấn đề về
mạng trong 25 năm qua. Nó có ảnh hưởng lớn đến sự phát triển của mạng lưới và
kiến trúc đó thậm chí rằng hầu hết các giao thức truyền thông mạng được sử dụng
ngày nay đều có cấu trúc dựa trên nó. Nhưng cũng giống như mô hình OSI không
bao giờ đủ với chúng ta, chúng ta nhận thấy rằng chúng ta đang thiếu một tiêu
chuẩn mà tất cả các chuyên gia an ninh mạng có thể tuân thủ, một mô hình an ninh
mạng (NSM). Ngày nay mạng lưới tinh vi và phức tạp cung cấp các nội dung cơ
bản cho NSM.
Mô hình an ninh mạng (NMS) đề xuất ở đây là mô hình bảy lớp rằng thực
hiện việc chia các nhiệm vụ khó khăn của an ninh hạ Lớp mạng thành bảy phần có
thể quản lý. Mô hình là tổng quát và có thể áp dụng tới tất cả các thành phần và các
thiết bị an ninh. Sự phát triển của NSM là quan trọng bởi vì sự thống nhất là cần
thiết trong các mạng bảo mật, chỉ có sự thống nhất là cần thiết trong kiến trúc của
mạng lưới với sự phát triển của mô hình OSI. Khi một cuộc tấn công trên mạng có
đã thành công, nó sẽ dễ dàng hơn để xác định vị trí các vấn đề cơ bản và sửa lỗi
với việc sử dụng của NSM.
NSM sẽ cung cấp một cách để giảng dạy và thực hiện đo đạc các biện pháp
an ninh mạng cơ bản và các thiết bị cũng như xác định vị trí các vấn đề có thể cho
phép một cuộc tấn công thành công. Theo truyền thống chúng ta làm việc từ phía
dưới lên để xác định lớp nào bị lỗi trên mô hình OSI, nhưng trên NSM, chúng ta sẽ
làm việc từ trên xuống để xác định lớp nào bị lỗi. Xem NSM (Hình 1.1). Một khi
lớp bị lỗi được tìm thấy, chúng ta có thể xác định rằng tất cả các lớp ở trên này lớp
cũng bị lỗi. Một chuyên gia an ninh mạng sẽ có đầy đủ các quyền để nhanh chóng
xác định nếu máy chủ khác có thể đã bị xâm nhập với đến từng lớp và biết làm thế
nào để bảo vệ nó chống lại cùng một kiểu tấn công trong tương lai.
Thông qua bài tiểu luận này, chúng tôi sẽ làm việc từ trên xuống dưới để
miêu tả từng lớp là gì và cách để các lớp của NMS làm việc với nhau để hoàn toàn
hoàn thành việc bảo mật mạng.
4
Hình 1.1 – Mô hình an ninh mạng
1.2 Tại sao chúng ta cần một mô hình bảo mật mạng?
NSM có cấu trúc tốt sẽ đưa ra cộng đồng an ninh một cách để nghiên cứu,
thực hiện và duy trì an ninh mạng có thể được áp dụng cho bất kỳ mạng nào. Trong
nghiên cứu, nó có thể được sử dụng như một công cụ để phân tích an ninh mạng
thành bảy lớp đơn giản với một quy trình logic. Các sách truyền thống đã luôn luôn
giới thiệu an ninh mạng theo một hình thức không có tổ chức, nơi mà một vài
quyển sách bao gồm các vấn đề mà các cuốn sách khác hoàn toàn có thể bỏ qua.
Khi thực hiện, nó có thể được sử dụng bởi các kiến trúc mạng để đảm bảo rằng họ
không bỏ sót bất kỳ chi tiết an ninh quan trọng nào khi thiết kế một mạng. Trong
việc bảo dưỡng mạng có sẵn, nó có thể được sử dụng để phát triển lịch trình bảo
dưỡng và chu kỳ sống cho an ninh mạng hiện có. Nó cũng có thể được sử dụng để
phát hiện hành vi vi phạm đã xảy ra vì vậy một cuộc tấn công có thể được giảm
nhẹ.
NMS mang lại lợi ích cho tất cả các chuyên gia. Chúng ta đừng quên các
chuyên gia, những người đang chuyển đổi sang vào những vị trí trước đây được tổ
chức tổ chức bởi các chuyên gia an ninh mạng khác. Hiện nay, việc học những kỹ
thuật bảo mật được thực hiện trên mạng và nó sẽ còn là những nhiệm vụ khó khăn
khi cấu trúc an ninh cơ bản của một mạng là không rõ ràng. NSM cung cấp cấu
trúc cơ bản. Nó cung cấp sự chuyên nghiệp mới với kiến thức để khám phá những
gì đã được thực hiện và những gì chưa được thực hiện từ một quan điểm bảo mật.
Nếu không có NSM, cộng đồng an ninh mạng phải đối mặt với sự hỗn loạn tiềm
tàng như các chuyên gia tiếp tục thực hiện các phiên bản riêng của họ về an ninh
mạng lưới mà không có một cấu trúc đầy đủ.
5
2. Tìm hiểu mô hình bảy lớp NMS: Lớp vật lý
2.1 Lớp vật lý là gì?
Điều quan trọng nhất của lớp vật lý là an ninh vật lý. An ninh vật lý được áp
dụng để ngăn chặn kẻ tấn công truy cập vào thiết bị để có được các dữ liệu được
lưu trữ trên máy chủ, máy tính, hoặc các phương tiện khác. An ninh vật lý là lớp
đầu tiên được lựa chọn bởi vì nó là một điểm làm ngắt quãng cho bất kỳ mạng nào.
Trong bất kỳ kịch bản cung cấp các thiết bị khác, chẳng hạn như các tường lửa, sẽ
không giúp an ninh của bạn nếu lớp vật lý bị tấn công. Vì lý do này, chúng ta có
thể nói rằng nếu các lớp bên dưới lớp vật lý bị hỏng thì lớp vật lý đã bị hỏng bởi vì
những kẻ tấn công sẽ có thể thao tác dữ liệu như thể họ đã xâm nhập các thiết bị.
An ninh vật lý có nhiều hình thức bao gồm cả thiết kế trang web, các thiết bị kiểm
soát truy cập, báo động, hoặc máy ảnh.
Lớp vật lý là một trong những lớp đơn giản nhất để bảo mật bởi vì nó không
đòi hỏi khái niệm kỹ thuật tiên tiến để làm như vậy. Một công ty có thể được thuê
để cài đặt một hệ thống báo động, hoặc một nhân viên có thể được thuê để đứng
như một người bảo vệ an ninh. Chúng tôi sẽ tìm hiểu các thiết bị lớp vật lý có thể
chứa trong phần tiếp theo.
2.2 Các phần tử của lớp vật lý
Hình thức đầu tiên của an ninh vật lý bao gồm thiết kế vị trí. Thiết kế vị trí
bao gồm các đặc điểm được đặt trên nền đất xung quanh bên ngoài của tòa nhà.
Một số các thiết bị này bao gồm hàng rào, dây thép gai, tín hiệu cảnh báo, hàng rào
kim loại hoặc bê tông và đèn chiếu sáng. Những hình thức bảo mật không phải lúc
nào cũng thiết thực trừ khi phương tiện có chứa dữ liệu nhạy cảm cao.
Hình thức thứ hai của an ninh vật lý bao gồm các thiết bị điều khiển truy
nhập. Các thiết bị điều khiển truy nhập bao gồm cửa, cửa ra vào, và các khóa cơ
khí hoặc khóa điện tử. Khóa có thể có vẻ cổ xưa, nhưng chúng thực sự đang có
hiệu quả chi phí nhất để tăng cường an ninh. Cửa khóa nên được đặt trước tất cả
các khu vực mà có thể chứa các máy chủ hoặc có khả năng chứa máy chủ.
Các hình thức thứ ba của an ninh vật lý là chuông báo động. Chuông báo
động là một trong những tính năng quan trọng nhất trong an ninh mạng vật lý. Nó
sẽ cung cấp ngay lập tức một tín hiệu có thể cảnh báo các lãnh đạo CNTT hoặc
người quản trị an ninh mạng cũng như các quy định của pháp luật địa phương cũng
như thúc ép thực luật pháp địa phương rằng có người nào đó đã đi vào khu vực mà
họ không được phép truy nhập.
Hình thức thứ tư và cuối cùng của an ninh vật lý là một máy ghi hình. Nếu
một người nào đó đang vi phạm mà nhìn thấy máy ghi hình , họ thông thường sẽ
nản chí bởi vì các hình ảnh được ghi bởi máy ghi hình sẽ dễ dàng để nhận diện và
6
truy tìm bởi cảnh sát. Nó là cách tốt nhất để xác định bằng cách nào, ở nơi nào và
khi nào việc truy nhập vật lý đã được thực hiện. Điều này có thể hữu ích trong việc
xác định quá trình hành động được thực hiện để giảm thiểu một cuộc tấn công.
Làm thế nào nhiều máy ghi hình được đặt trong một khu vực được xác định bởi bộ
phận an ninh của khu vực đó và chi phí. Một khu vực quan trọng là khu vực phòng
máy chủ luôn luôn cần phải có một máy ghi hình.
Thuê một nhân viên bảo vệ là hình thức duy nhất của an ninh vật lý có thể
được coi là cả một điều khiển truy cập và các biện pháp giám sát. Nhân viên bảo vệ
có thể cảnh báo của các hoạt động đáng ngờ xung quanh toà nhà hoặc cấp giấy lao
động và thông báo truy cập của khách tới toà nhà. Mặc dù có một người bảo vệ ở
tại nơi làm việc là cách tối nhất trong các biện pháp an ninh nhưng nó có chi phí
đắt hơn nhiều cho các công ty nhỏ.
3. Tìm hiểu mô hình bảy lớp NSM: Lớp VLAN
3.1 Lớp VLAN là gì?
Lớp VLAN liên quan đển việc tạo và bảo dưỡng các mạng riêng ảo. Các
VLAN được sử dụng để chia các phân hệ mạng vì nhiều lý do. Lý do cơ bản là bạn
tạo VLAN để nhóm các máy trạm cùng với nhau vì các mục đích an ninh. Ví dụ,
đặt một bộ phận kế toán trên một VLAN riêng biệt với bộ phận tiếp thị là một
quyết định thông minh bởi vì họ không phải chia sẻ cùng một dữ liệu. Điều này
chia các mạng lưới vào các khu vực kém an toàn hơn và an toàn hơn. Trong phần
tiếp theo chúng ta sẽ thảo luận về việc thực hiện của VLAN.
3.2 Thực hiện an ninh VLAN
Bước đầu tiên trong việc thực hiện VLAN là xác định các mạng công cộng
và mạng riêng tư. Bất kỳ thiết bị phải giao tiếp với bên ngoài nào nên được đặt trên
VLAN công cộng. Ví dụ này bao gồm các máy chủ web, máy chủ FTP bên ngoài,
và các máy chủ DNS bên ngoài. Bước tiếp theo là đặt các thiết bị nội bộ trên
VLAN riêng tư, mà nó có thể được chia thành các VLAN người dùng nội bộ và
VLAN máy chủ nội bộ. Bước cuối cùng là chia người sử dụng VLAN nội bộ và
các VLAN máy chủ nội bộ bởi bộ phân và nhóm các dữ liệu tương ứng.
3.3 Tại sao lớp VLAN là quan trọng trong bảo mật?
Các VLAN là một lớp cơ bản cho NSM vì một mạng lưới mà không có phân
đoạn chứa một cụm máy chủ và các thiết bị thì không có bất kỳ sự rõ ràng nào
trong tổ chức. Các VLAN được sử dụng để thực hiện các danh sách điều khiển truy
7
nhập để bảo vệ dữ liệu từ những người dùng không cần truy cập vào nó. Mặc dù
các VLAN có thể được thực hiện độc lập đối với ACL, điều quan trọng là cần lưu
ý rằng chúng cũng bắt tay với nhau. Người ta thường sẽ thêm các ACL vào một
VLAN để hạn chế, hoặc cấp phép, truy cập đến/từ phân khúc đó. Lý do chính mà
hai lớp này tồn tại độc lập với nhau là bởi vì VLAN có thể thay đổi mà không thay
đổi các ACL đi cùng với chúng. Điều này cũng tương tự ngược lại.
VLAN cũng là một cách tốt để tìm thấy một máy chủ khai thác. Bằng cách
nhìn thấy lưu lượng truy nhập tăng đến từ một VLAN cụ thể, một chuyên gia an
ninh mạng sẽ có thể thu hẹp phạm vi của VLAN đó để có thể tìm ra cổng bị lây
nhiễm là có thể đến từ và cuối cùng là máy chủ lây nhiễm đến từ đâu.
4. Tìm hiều mô hình bảy lớp NSM: Lớp ACL
4.1 Lớp ACL là gì?
Lớp ACL tập trung vào việc tạo và duy trì các danh sách điều khiển truy
nhập (Access Control Lists). ACL được viết trên cả các bộ định tuyến và bức
tường lửa. Các lớp ACL cho phép hoặc từ chối truy nhập giữa các máy tính ở các
mạng khác nhau, thông thường là giữa các mạng riêng ảo. Điều này cho phép ACL
trở thành bắt buộc đối với lĩnh vực an ninh mạng. Bằng cách cài đặt một hệ thống
danh sách điều khiển truy nhập vững chắc, các chuyên gia về an minh mạng có thể
ngăn chặn các đợt tấn công mạng trước khi chúng có thể tiến hành. Việc cài đặt
ACL là một nhiệm vụ rất khó khăn. Có rất nhiều vấn đề cần xem xét như lưu lượng
phản hồi, lưu lượng hàng ngày mang tính sóng còn của khai thác mạng. ACL là tác
vụ quan trọng nhất đối với các chuyên gian an minh mạng. Nếu không khởi tạo
đúng, các lớp ACL có thể cho phép các luồng dữ liệu không được xác thực, nhưng
lại từ chối luồng dữ liệu đã xác thực.
4.2 Thực hiện bảo mật lớp ACL
Vấn đề quan trọng nhất để tạo các ACL tốt là tập trung vào cả luồng đi và
luồng đến. Các công ty nhỏ có thể thực hiện ACL bằng cách tạo các lớp ACL rất
cơ bản chẳng hạn như cho phép luồng đến trên các cổng 80 và 443 cho các máy
chủ HTTP và HTTPS. Đồng thời có thể cho phép các dịch vụ ra cơ bản trên các
cổng 80, 443 và cổng 53 cho các dịch vụ HTTP, HTTPS và DNS tương ứng. Nhiều
công ty cỡ vừa và lớn khác cần các dịch vụ như mạng riêng ảo để cấp cho đối tác
hoặc các nhà cung cấp, người dùng từ xa, điều này thực hiện khó khăn hơn và vẫn
duy trì một mức bảo mật.
Hầu như tất cả các chuyên gia bảo mật mạng tập trung vào viết ACL từ chối
truy nhập vào bên trong mạng của công ty nhìn từ phía internet và phía ngoài mạng
8
nội bộ. Vấn đề là cả hai ví dụ trên đều là luồng đến, nhiều chuyên gia không tập
trung vào luồng đi, Các chuyên gia bảo mật nên tập trung vào luồng cả luồng đi và
đến. Chẳng hạn như, các bộ điều khiển Domain nên cho phép các cổng 445, 135 và
139 truy nhập vào mạng nội bộ, nhưng cấm đối với internet, việc cho vào nên thực
hiện nhưng cấm luồng dự liệu ra.
Chuyên gia bảo mật nên biết cổng nào nên cho phép và cổng nào không cho
phép ra và vào. Cần biết cả cổng nguồn và cổng đích. Chẳng hạn, chuyên gia bảo
mật nên biết các cổng tạm thời thường lớn hơn 1023, chúng là các cổng ra đến
miền DMZ từ internet với cổng đích tương đương với dịch vụ đặt tại DMZ. Ngược
lại, chỉ những hoạt động mà cổng nguồn tương đương với dịch vụ đang chạy trên
DMZ hướng ra internet với cổng đích trong khoảng tạm thời kể trên được cho
phép.
4.3 Tại sao lớp ACl quan trọng với công tác bảo mật?
Các lớp ACL là phần quan trọng đối với NSM bởi vì chúng có khả năng cho
phép hay từ chối lưu lượng đối với các dịch vụ có thể nhìn thấy hay không nhìn
thấy bởi các mạng khác. Các lớp ACL đồng thời bảo vệ lớp phần mềm bằng cách
khóa việc truy nhập vào dịch vụ mà các đối tượng trên mạng có thể nhìn thấy
nhưng không truy nhập được vào. Điều này nghĩa là phân cấp truy nhập vào miền
điều khiển nội tại. Khi có tấn công mạng xảy ra, các lớp ACL có thể sử dụng để
tuân thủ và hạn chế thiệt hại có thể xảy ra với các máy tính.
5. Tìm hiểu mô hình lớp NSM: Lớp phần mềm
5.1 Lớp phần mềm là gì?
Lớp phần mềm tập trung vào giữ cho phần mềm cập nhật mới nhất và nâng
cấp các bản vá để làm giảm khả năng bị tấn công bằng phần mềm. Các chuyên gia
bảo mật phải biết phần mềm gì đang chạy trên máy tính của họ và mức các bản vá
lỗi họ đang chạy để đảm bảo rẳng nếu có vấn đề gì xảy ra họ có thể gỡ bỏ bất cứ
phần mềm không mong muốn nào và biết các tổn thương hiện tại của hệ thống. Họ
nên biết mỗi phần vá lỗi mới sẽ được cài đặt vào.
5.2 Thực hiên bảo mật phần mềm
Thực hiện bảo mật phần mềm bao bồm áp dụng các bản vá và các bản nâng
cấp mới nhất. Điều này giảm lượng các khám phá và các thiệt hại trên hệ thống và
các ứng dụng chạy trên nó. Các phần mềm trên máy chủ như HTTP và HTTPS rất
quan trọng luôn luôn cần được cập nhật. Các phần mềm người dùng cũng cần được
9
cập nhật lien tục để chống lại tấn công. Chẳng hạn như, một máy chủ web, các
chuyên gia bảo mật cần nâng cấp các ứng dụng web để đảm bảo bất kỳ một khả
năng bị tấn công nào đều bị chặn lại nhanh chóng bởi vì phần mềm được truy cập
mọi lúc.
Biết được những dịch vụ đang chạy trên máy trạm là phần quan trọng nhất
của lớp phần mềm. Nếu chuyên gia bảo mật biết các dịch vụ đó được cho là chạy
trên máy trạm và nhìn thấy lưu lượng khác thường, họ phải biết đang có thay đổi
và tiến hành xử lý.
5.3 Tại sao lớp phần mềm lại quan trọng đối với bảo mật mạng?
Lớp phần mềm quan trọng đối với NSM bởi vì nếu lớp phần mềm bị tổn
thương thì những kẻ tấn công có thể có cơ hội truy nhập thông tin từ các máy trạm.
Đây là lớp đầu tiên mà các kẻ tấn công có thể có được tài khoản trên mạng. Lớp
phần mềm đồng thời cũng giúp bảo vệ lớp người dùng. Nếu một máy trạm được
cập nhật các bản vá và cấu hình đúng, thì các tấn công về phía người dùng như
malicious sẽ không đạt được. Phần mềm được vá và cấu hình phải vô hiệu hóa
malicious để bảo vệ lớp người dùng.
6. Tìm hiểu mô hình bảy lớp NSM: Lớp người dùng
6.1 Thế nào là lớp người dùng?
Lớp người dùng tập trung vào đào tạo và nâng cao hiểu biết của người dùng
về bảo mật trên mạng. Người dùng phải nắm các khái niệm cơ bản về bảo mật
mạng. Họ đồng thời phải nắm các ứng dụng nên hoặc không nên cài đặt trên hệ
thống của họ; cũng vậy, họ phải hình dung hệ thống chạy bình thường như thế nào.
Chúng ta sẽ tìm hiểu sự hiểu biết về an ninh mạng có thể hỗ trợ các chuyên gia bảo
mật trong việc xác định có vấn đề về an minh mạng như thế nào.
6.2 Thực hiện bảo mật người dùng
Cách cơ bản nhất để thực hiện bảo mật người dùng là đào tạo người dùng
những ứng dụng cần tránh và hệ thống chạy ổn định là như thế nào. Các ứng dụng
ngang hàng có thể là sự khác biệt giữa một máy sạch và một máy bị nhiểm. Vì các
chuyên gia biết được nhiều loại malware chứa trong file hay các ứng dụng đã được
tải về thông qua các máy khách. Đào tạo người dùng dạng hiểu biết này để tránh
các lây nhiểm có thể có.
Đào tạo người dùng hệ thống họ làm việc như thế nào rất quan trọng bởi vì
nếu họ biết chức năng của hệ thống họ đang dùng họ có thể phát hiện ra vấn đề. Ví
10
dụ, nếu một ngày hệ thống của họ chạy chậm hơn người dùng sẽ phát hiện hiện
tượng này và báo cho chuyên gia bảo mật. chuyên gia bảo mật phải kiểm tra với
người dùng này để tìm rat hay đổi trong hệ thống nhằm xác định hệ thống có bị
ảnh hưởng không hay tại lỗi phần cứng.
6.3 Tại sao lớp người dùng lại quan trọng trong vấn đề bảo mật?
Lớp người dùng quan trọng đối với NSM bởi vì lớp người dùng bị ảnh
hưởng bởi tài khoản, đó là thông tin dễ bị đánh cắp nhất. Điều này dẫn đến sự phá
hoại vì nếu kẻ tấn công có được để truy nhập vào tài khoản trên domain và đăng
nhập vào trong hệ thống sẽ thấy dữ liệu mà họ cần. Lớp người dùng được liệt kê
trước bởi vì một khi lớp quản trị bị đột nhập thì không chắc chắn rằng lớp người
dùng còn bảo mật. Tất cả các cuộc tấn công sẽ nhằm vào lớp người dùng trước khi
tấn công lớp quản trị bởi vì người sử dụng ít có kiến thức về bảo mật.
7. Tìm hiểu mô hình bảy lớp NSM: Lớp quản trị
7.1 Lớp quản trị là gì?
Lớp quản trị tập chung vào việc đào tạo của các người sử dụng quản trị
mạng. Lớp này bao gồm tất cả các thành viên quản lý. Nó rất giống với lớp người
dùng ngoại trừ việc làm việc với các dữ liệu bảo mật ở mức cao trong mạng. Giống
như lớp người sử dùng, các nhà quản trị nên được đào tạo những ứng dụng nào nên
được cài đặt lên các hệ thống của họ và có một sự hiểu biết các hệ thống của họ
đang hoạt động bình thường như thế nào. Họ cũng nên được đào tạo về việc xác
định các vấn đề với Lớp người sử dụng, ví dụ như là nhận biết một nhân viên cài
đặt một chương trình ngang hàng peer-to-peer không tuân theo các chính sách an
ninh thông tin.
7.2 Thực hiện an ninh quản trị
Các nhà quản trị nên được đào tạo như đối với những người sử dụng, nhưng
với kiến thức và kỹ năng hơn sâu hơn và cao hơn. Sẽ là quan trọng nếu các nhà
quản trị mạng có thể dạy các nhân viên về các thực hành an ninh. Các nhà quản trị
cũng nên trao đổi hiệu quả với các mong muốn của người sử dụng hoặc các vấn đề
đối với các chuyên gia an ninh mạng. Điều này đảm bảo rằng, các vấn đề được giải
quyết nhanh chóng nhất có thể, và rằng các chuyên gia an ninh mạng không gặp
quá nhiều khó khăn khi làm việc với người sử dụng.
11
7.3 Tại sao lớp quản trị quan trọng đối với an ninh thông tin?
Lớp quản trị quan trọng đối với NMS bởi vì nếu Lớp quản trị bị tổn thương,
một tài khoản quản trị sẽ rất có thể bị tấn công. Điều này là rất nguy hại bởi vì nó
sẽ cho phép kẻ tấn công quyền để truy nhập và sửa chữa các dữ liệu mật và nhạy
cảm. Lớp quản trị được đặt trên Lớp phòng IT, bởi vì một khi Lớp phòng IT bị
xâm phạm, thì sẽ là không quan trọng khi Lớp quản trị vẫn an toàn. Đa số các
hacker sẽ nhắm đến Lớp quản trị trước khi nhắm đến tần phòng IT bởi vì Lớp
phòng IT bao gồm các người sử dụng có khả năng nhận biết cuộc tấn công.
8. Tìm hiểu mô hình bảy lớp NSM: Lớp Phòng công nghệ thông tin
8.1 Lớp phòng công nghệ thông tin là gì?
Lớp phòng IT bao gồm tất cả các chuyên gia an ninh mạng, kỹ thuật mạng,
kiến trúc sư, và các chuyên gia hỗ trợ. Tất cả những người này sẽ vận hành và bảo
trì mạng và các máy máy tính trên mạng đó. Lớp phòng IT giống như Lớp quản trị
ngoại trừ Lớp IT có các tài khoản để truy nhập tới bất kỳ thiết bị nào trên mạng. Ví
dụ, một người sử dụng Lớp IT có thể có quyền truy nhập, đọc, viết, chỉnh sửa đối
với cấu trúc bảng dữ liệu, trong khi một nhà quản trị mạng hay người sử dụng chỉ
có truy nhập đọc, ghi, sửa đối với các bản ghi trong cấu trúc bảng.
8.2 Thực hiện an ninh phòng công nghệ thông tin
Mỗi người ở Lớp phòng IT nên có một số kiến thức nền về an ninh mạng.
Kiến trúc mạng và các chính sách an ninh phải được xác định rõ cho người sử dụng
ở Lớp phòng IT. Các khóa đào tạo ngắn có thể là cần thiết đối với một nhân viên
mới để học về kiến trúc và thiết kế của mạng. Phòng IT chịu trách nhiệm về việc
thực hiện và bảo trì của tất cả các Lớp mạng bao gồm cả Lớp vật lý, Lớp VLAN,
Lớp ACL, Lớp phần mềm, Lớp người sử dụng và Lớp quản trị. Phòng IT cũng nên
biết càng nhiều càng tốt về các mong muốn và yêu cầu của người sử dụng.
8.3 Tại sao Lớp phòng công nghệ thông tin lại quan trọng đối với an ninh?
Lớp phòng công nghệ thông tin là quan trọng đối với NSM bởi vì nếu Lớp
IT thất bại, kẻ tấn công sẽ có xâm nhập mức hệ thống đối với tất cả các thiết bị trên
mạng. Các thiết bị như là các bộ định tuyến, tường lửa, proxy, và các thiết bị VPN
sẽ trở lên có khả năng dễ bị tổn thương. Điều này sẽ rất là nguy ngại, bởi vì nó sẽ
cho phép kẻ tấn công khả năng làm tê liệt một mạng. Nó có thể cũng gây ra các
thiệt hại tài chính lớn đối với một công ty bởi vì đã ảnh hưởng đến niềm tin của
12
khách hàng. Một ví dụ của tấn công Lớp phòng IT nguy hiểm có thể là sử dụng
một lệnh xóa đi một bảng làm mất đi tất cả các bản ghi và thông tin.
9. Làm việc với mô hình an ninh mạng
Trong mục này, chúng ta sẽ xem xét làm thế nào để làm việc hiệu quả với
mô hình an ninh mạng. Điều này bao gồm cấu trúc của NSM cũng như là làm thế
nào để các cuộc tấn công vào một mạng có thể được xác định với việc sử dụng của
mô hình. Chúng ta cũng sẽ thảo luận làm sao mô hình có thể được sử dụng để giảm
thiểu hay hạn chế tác hại của các cuộc tấn công mà đã xảy ra. Cuối cùng, chúng ta
sẽ quan tâm làm thế nào để hiện thực NSM trên một mạng mới.
9.1 Kiến trúc của mô hình an ninh mạng và những điểm tương đồng với mô
hình OSI
Mỗi lớp của NSM được xây dựng trên lớp dưới nó, rất giống với mô hình
OSI, nếu một lớp có vấn đề hay thất bại trong thực hiện một tác vụ nào đó, tất các
các lớp trên cũng sẽ còn không hoạt động đúng nữa. Chúng ta sẽ quan sát NSM với
mo hình OSI đảo như được trình bày ở Hình 9.1 để xem chúng có lien hệ và khác
nhau thế nào.
Mức đầu tiên là Lớp vật lý của NSM và Lớp vật lý của mô hình OSI. Cả hai
đều làm việc với các vấn đề/khía cạnh vật lý của mạng. Lớp vật lý của NSM giải
quyết các an ninh vật lý trong khi Lớp vật lý của mô hình OSI quan tâm đến các
kết nối mạng vật lý.
Mức thứ hai là Lớp VLAN của NSM và Lớp kết nối số liệu của mô hình
OSI. Cả hai làm việc giống nhau bằng việc địa chỉ hóa MAC và VLANs. Lớp
VLAN của NSM giải quyết phân vùng (segmentation) VLAN. Nó chia các
switches và segments dựa trên Lớp kết nối số liệu của mô hình OSI bao gồm cả
đánh địa chỉ MAC.
13
Mức thứ ba là Lớp ACL của NSM và Lớp mạng của mô hình OSI. Cả hai
hoạt động giống nhau với việc đánh địa chỉ IP và LANs. Lớp ACL của NSM giải
quyết việc hiện thực ACL để cho phép hay từ chối truy nhập dựa trên Lớp mạng
của mô hình OSI, tại Lớp mạng này có bao gồm việc đánh địa chỉ IP.
Mức thứ tư là Lớp phần mềm của NSM và Lớp giao vận của mô hình OSI.
Cả hai giải quyết các vấn đề kết nối thực trên mạng từ host tới host. Lớp phần mềm
của NSM xử lý phần mềm và các gói sửa chữa/vá lỗi, cho phép phần mềm không
bị khai thác, trong khi Lớp giao vận của mô hình OSI mô tả kết nối đầu cuối của
kết nối phần mềm.
Mức thứ năm là Lớp người sử dụng của NSM và Lớp phiên của mô hình
OSI. Cả hai làm việc với máy nội bộ ở đó Lớp người sử dụng của NSM làm việc
với người sử dụng. Lớp phiên của mô hình OSI làm việc trực tiếp với
communication trên máy nội bộ đó.
Mức thứ sáu là Lớp quản trị của NSM và Lớp trình diễn của mô hình OSI.
Cả hai cung cấp các chức năng quản trị. Lớp quản trị làm việc với các người sử
dụng quản trị, những người có kkhar năng định hướng người sử dụng , trong khi
Lớp trình diễn quyết định dữ liệu được định hướng như thế nào.
Mức thứ bảy và cũng là mức cuối cùng là Lớp IT department của NSM và
Lớp ứng đụng của mô hình OSI. Lớp IT department giải quyết trực tiếp các vấn đề
bảo trì của các Lớp và đảm bảo chắc chắn rằng toàn bộ mạng làm việc bình thường
và chính xác. Lớp ứng dụng của mô hình OSI sẽ xử lý dữ liệu hiển thị.
9.2 Một số ví dụ về mô hình an ninh mạng và các tấn công (mạng)
Chúng ta bây giờ sẽ xem xét một số cuộc tấn công vào một mạng và các Lớp
sẽ làm việc như thế nào thông qua ví dụ.
9.2.1 Tấn công vật lý
Đầu tiên chúng ta sẽ xem một đột nhập vật lý (a physical break-in). Trong ví
dụ này một kẻ tấn công sẽ đột nhập qua một cửa bị khóa sau khi mọi người đã về
nhà nghỉ tối. Không có biện pháp an ninh vật lý nào khác được sử dụng. Kẻ tấn
công giành được truy cập vật lý vào trong mạng bằng việc sử dụng một máy xách
tay được cắm vào một cổng mạng. Anh ta có thể quét mạng nội bộ để tìm các máy
chủ và giành quyền truy nhập vào các dữ liệu. Trong tình huống này các biện pháp
an ninh khác phải được sử dụng để ngăn chặn hacker không thể truy nhập vật lý
được. các biện pháp này có thể là máy quay, nhân viên bảo vệ hay một hệ thống
cảnh báo.
9.2.2 Tấn công mạng riêng ảo
14
Thứ đến, chúng ta sẽ quan tâm đến tấn công mạng riêng ảo (VLAN attack).
Chúng ta sẽ giả sử rằng kẻ tấn công đã khai thác được Lớp vật lý và có một máy
tính xách tay kết nối vào trong mạng để quét các máy có khả năng bị tổn thương
với lỗi MS03-026. />026.mspx
Bởi vì kẻ tấn công có máy tính nằm trong mạng cục bộ, anh ta sẽ cố gắng
khai thác các thiết bị trên mạng con mà anh ta đang ở đó. Kẻ tấn công chỉ cố gắng
làm lây nhiễm mạng nội bộ bởi vì việc quét các mạng con khác sẽ làm cho anh ta
trở lên dễ bị phát hiện và điều này có thể cũng làm anh ta mất nhiều thời gian hơn.
Nếu các máy chủ không được phân vùng từ mạng nội bộ với việc sử dụng của
VLAN, kẻ tấn công có một cách trực tiếp để quét máy chủ. Các VLANs đúng sẽ
bắt hacker phải quét nhiều mạng. Một khi Lớp VLAN bị thất bại, chúng ta biết
rằng Lớp vật lý cũng đã thất bại.
9.2.3 Tấn công danh sách điều khiển truy nhập ACL
Thứ ba, chúng ta sẽ xem xét tấn công ACL (Access Control List). Một nhà
quản trị mạng cấu hình ACLs trên một thiết bị inbound từ mạng Internet tới một
máy chủ web, có thể bao gồm một cở sở dữ liệu MS SQL của những người xem
website. Kẻ tấn công biết rằng, máy chủ web tồn tại và quét đại chỉ địa chỉ IP với
các cổng mở. ACLs đã không được thiết lập đúng cho nên kẻ tấn công thực tế đã
quét toàn bộ. Các ACL đúng, như là chỉ cho phép cổng 80 họat động có thể phòng
tránh được thất bại Lớp ACL này. Nó sẽ không vấn đề gì nữa nếu web server ở
trên một mạng khác ( thông qua việc sử dụng của VLANs) bởi vì kẻ tấn công có
toàn quyền truy nhập đối với box.
9.2.4 Tấn công phần mềm
Thứ tư, chúng ta sẽ xem xét tấn công phần mềm. Kẻ tấn công cố gắng khai
thác một máy chủ server mà anh ta biết đang chạy Apache. Anh ta sẽ thử chạy một
tấn công để có /etc/passwd trên máy chủ. Bởi vì phần mềm Apache chưa được vá
lỗi, anh ta sẽ thành công trong việc tải về file mật khẩu. Anh ta sẽ sử dụng file mật
khẩu này để đăng nhập vào máy chủ web. Vá lỗi phần mềm liên tục và chính xác
sẽ có thể phòng chống được kiểu tấn công này. ACLs đã không thể phòng chống
được kiểu tấn công này bởi vì hacker đã thành công qua cổng 80 đã được phép.
9.2.5 Tấn công quản trị mạng và người dùng
15
Thứ năm, chúng ta sẽ xem xét tấn công người sử dụng và quản trị mạng. Bởi
vì giáo dục của người sử dụng và quản trị mạng là nền tảng chính, chúng ta có thể
đặt các kiểu tấn công này cùng nhau. Kẻ tấn công tạo giả một email tử IT
department nói rằng mật khẩu của người sử dụng đã bị mất và phải thay đổi hoặc
các hình thích tương tự để biết được mật khẩu. Bởi vì thiếu hiểu biết, người sử
dụng tin vào e-mail và thực hiện như yêu cầu. Điều này giúp cho kẻ tấn công có
được tài khoản trên mạng để có thể truy nhập từ xa. Sửa lỗi phần mềm đúng cũng
không thể phòng chống được kiểu tấn công này bởi vì đó là lỗi của người sử dụng.
9.2.6 Tấn công phòng công nghệ thông tin
Thứ sáu và là kiểu tấn công cuối cùng là tấn công bộ phận IT. Một kẻ tấn
công gửi một CD với cơ sở dữ liệu của các bản ghi cho rằng là từ một khách hàng
X. Nhà quản trị mạng upload các bản ghi này vào csdl mà không để ý rằng một
chương trình root kit đã tự động chạy ở nền. Chương trình này sẽ lấy thông tin về
username cũng như mật khẩu của nhà quản trị và gửi cho kẻ tấn công bằng một
cách nào đó. Thông tin tài khoản này sẽ cho phép kẻ tấn công có rất nhiều quyền
để khai thác, và sẽ rất nguy hiểm.
9.3 Làm thế nào để mô hình an ninh mạng được sử dụng để hạn chế một cuộc
tấn công
Trong mục này chúng ta sẽ xem xét làm thế nào để mô hình an ninh mạng có
thể được sử dụng để giảm thiểu tác hại của một cuộc tấn công đã xảy ra. Chúng ta
sẽ nghiên cứu một ví dụ cụ thể, tuy nhiên, khái niệm vẫn như giữ nguyên và chỉ
Lớp đầu tiên thay đổi. Lỗi khai thác chúng ta sẽ xem xét là MS03-026 lỗi tại Lớp
phần mềm. Lỗi này cho phép truy nhập từ xa tới một thiết bị chạy Windows qua
một số lỗi tại các cổng hay dịch vụ của Windows. Bời vì sự tấn công là ngay tại
Lớp phần mềm, nên Lớp này là Lớp bị khai thác. Chúng ta sẽ cần phải đi qua các
Lớp từ đỉnh tới đáy để giảm thiểu tác hại của cuộc tấn công.
9.3.1 Bước hạn chế đầu tiên
Chúng ta sẽ bắt đầu với Lớp vật lý bằng việc khoanh vùng và cách ly các
máy bị nhiễm và xác định kiểu phần mềm độc hại tấn công gì đang chạy trên hệ
thống bằng việc chạy các bộ dò tìm (detector) cũng như các phần mềm diệt virus.
Chúng ta cũng sẽ xem xét đã có kẽ hở phần cứng nào không để từ đó kẻ tấn công
làm lây nhiễm các máy khác tại cùng thời điểm. Một khi quá trình này hoàn tất,
chúng ta sẽ xem xét mạng VLAN và cáx c máy trong nó. Ở đây chúng ta sẽ tìm các
hosts khác có thể bị lây nhiễm. Chúng ta sẽ xử lý các máy này tương tự máy đầu
16
tiên. Những máy bị lây nhiễm này sẽ được cách ly ra khỏi mạng và quét để tìm các
phần mềm độc hại. Tiếp đó, chúng ta sẽ xem xét các ACLs được sử dụng ở các bộ
định tuyến/hay tường lửa để xem xem host này có thể lây nhiễm các mạng khác
không. Nếu các ACL không khóa việc lây lan này tới các mạng riêng ảo khác, các
mạng riêng ảo đó cũng sẽ bị xem xét để xem xem có host nào bị lây nhiễm không.
9.3.2 Sự làm giảm ảnh hưởng về mặt lâu dài
Bây giờ chúng ta sẽ bắt đầu xem xét các giảm tác động lâu dài, điều này có
nghĩa là chúng ta sẽ xem xét phần nào không hoạt động và phần nào phải được vá
hay sửa chữa để lỗi không xảy ra nữa. Bời vì Lớp phần mềm là Lớp bị lỗi, Lớp này
sẽ được xem xét đầu tiên. Bằng việc cập nhật xem có bản vá hay cập nhật cho Lớp
phần mềm để phòng chống kiểu tấn công này, nếu có, chúng ta chúng ta sẽ update
hệ thống. Phải đảm bảo tất cả các máy phải được cập nhật với các bản vá mới nhất.
Tiếp đó chúng ta sẽ cân nhắc Lớp ACL để đảm bảo rằng bất kỳ nỗ lực nào trên các
hosts mà chưa được vá không xảy ra. Tiếp đó chúng ta sẽ xem xét Lớp VLAN để
xem có gì nên thay đổi ở các mạng riêng ảo VLANs để ngăn chặn sự bùng phát.
Điều này bao gồm việc kiểm traneeus các VLAN bảo vệ các máy chủ khỏi cuộc
tấn công. Tất cả các VLAN nên được kiểm tra, đánh giávà cấu hình lại. Cuối cùng,
an ninh vật lý nên đươc kiểm tra, liệu có lỗ hổng vật lý nào không được khai thác?
Nếu có, làm sao phòng tránh được trong tương lai.
9.4 Làm thế nào để hiện thực mô hình an ninh mạng
9.4.1 Giới thiệu về việc thực thi NSM
Thực hiện NSM nên là một chiến lược nhất quán và phù hợp. Điều này có
nghĩa là tất cả các Lớp nên được thực thi càng nhanh càng tốt và không có Lớp nào
được là tâm điểm hơn các Lớp khác. Ý tưởng là một mức cơ bản của an ninh phải
được thực thi tại mỗi Lớp của NSM. Sau mức cơ bản, tất cả các mức sẽ được củng
cố dần dần và nhất quán về an ninh bằng việc phát triển một vòng đời an ninh
mạng (Network Security Life-Cycle), điều này sẽ được thảo luận sau. Các ACL cơ
bản nên được mở rộng để bao gồm các ACL mới hơn. An ninh vật lý cũng nên
được tăng cường để đối phó được các cuộc tấn công trong tương lai. Ví dụ là, các
khóa mới sẽ được sử dụng, bao gồm nâng cấp từ khóa cơ thông thường lên ID
Badges có các bộ nhận dạng vô tuyến (RFID) bên trong để xác thực những ai được
thâm nhập vào các vùng khu vực cấm.
9.4.2 Hiện thực NSM ở cái nhìn sâu và chi tiết hơn
17
Bước đầu tiên là thực thi tất cả các Lớp ở mức cơ bản. Bộ phận IT, phòng
quản trị và tất các các users phải được củng cố và đào tạo thêm về phần an ninh
mạng. Việc đào tạo này phải tương đối dễ hiểu cho người ngoài phòng IT và kỹ
thuật sâu hơn đối với phòng IT. Sau đó tất các phần mềm phải được kiểm tra và
cập nhật các bản mới nhất. Ở Lớp ACL, các chuyên gia an ninh mạng phải kiểm
tra xem nếu các ACL đang được sử dụng, chúng phải được kiểm tra và xác định để
xem xét các khác biệt. Nếu không có các ACL, các chuyên gia an ninh mạng nên
bắt đầu tạo các ACL tổng quát. Thứ đến, trong Lớp VLAN, các VLANs phải được
kiểm tra xem chúng có đang được sử dụng …. Tại điểm này, nếu không có VLAN
nào đang được sử dụng, các VLAN khái quát nên được tạo ra. Cuối cùng, các
chuyên gia an ninh mạng nên kiểm tra xem có các vấn đề an ninh vật lý, nếu có,
họ phải thực thi một số biện pháp an ninh cần thiết.
Bước thứ hai là bắt đầu làm việc với các Lớp chi tiết hơn. Điều này nghĩa là
phòng IT, các nhà quản trị, cũng như những người sử dụng nên bắt đầu tìm hiểu
hơn nữa về an ninh mạng, và các tác động của các hoạt động hàng ngày. Điều này
sẽ đảm bảo rằng, lớp người dung (human layer) sẽ tốt hơn vì mọi người ở phòng IT
đến các người sử dụng đểu có kinh nghiệm làm việc về an ninh mạng
Mặc dù phòng thong tin nên được đào tạo với các kiến thức nền tảng kỹ
thuật, Lớp người sử dụng (user layer) phải tương đối dễ hiệu và không nặng quá về
mặt kỹ thuật để người sử dụng không phải tốn quá nhiều thời gian hay công sức để
hiểu và sử dụng được hệ thống. Ở Lớp phần mềm, các chuyên gia an ninh mạng
nên xem xét các phần mềm hiện thời đang chạy trên hệ thống để bắt đầu đưa ra
quyết định như là phần mềm nào phải bị gỡ bỏ hay việc phân quyền cho người sử
dụng. Chúng ta có thể kết hợp ACL và Lớp VLAN thành một Lớp mạng vì chúng
làm việc cùng nhau trong hiện thực hệ thống. Các VLAN mới phải được tạo ra để
phân vùng mạng khi cần thiết và các ACL mới phải được đưa vào hệ thống để điều
khiển the flow of traffic. Dĩ nhiên, trước khi các VLAN được them vào, các ACL
phải được đặt tại các cạnh (edge) để dừng traffic đi và, điều đó là thực sự không
mong muốn. Khi các VLAN mới được tạo ra, các ACL mới phải đặt hạn chế truy
nhập tới chúng tới mức cần thiết. Cũng vậy, các camera phải được đặt để dò và
kiểm tra ai sử dụng những thiết bị này.
Như đã đề cập trước đây, không một Lớp nào có thể bị dừng trong quá trình
của một Lớp khác. Các chuyên gia mạng không nên đợi để thực thi các ACL và
VLAN của họ tới khi tất cả cấu hình hệ thống hoàn tất. Sẽ là không cần thiết để
thực thi các biện pháp an ninh mạng ở một thứ tự nào đó. Thay vì đó, đảm bảo
rằng tất cả các Lớp đang làm việc trong mối lien hệ với nhau. Như đã được trình
bày, NSM rất giống với mô hình OSI và tất cả các Lớp phải làm việc đúng để có
được kết quả cần thiết, an ninh mạng hoàn chỉnh.
18
10. Chu kỳ tồn tại của an ninh mạng
Khi mô hình an ninh mạng đã được thực thi, một chuyên gia an ninh mạng
có thể bắt đầu một chu kỳ tồn tại an ninh mạng. Điều này sẽ bao gồm các kiểm tra
và các cân bằng để bảo đảm rằng tất cả các lớp sẽ được bảo mật. Chu kỳ tồn tại
nên bắt đầu bằng việc quan sát tại tất cả các lớp từ một điểm kỹ thuật (technical
standpoint). Điều này có nghĩa là chuyên gia an ninh mạng đó nên quan sát tại mô
hình an ninh mạng hiện thời để tìm kiếm bất kỳ vấn đề hoặc cải tiến nào cần được
thực hiện. Các sơ hở mới mà vừa được giải phóng khỏi lần nâng cấp sau cùng nên
được địa chỉ hóa.
Tại vị trí này, mô hình an ninh mạng sẽ được kiểm tra bởi một kiểm tra (test)
thâm nhập để tìm bất kỳ các mạo hiểm (exploit) hoặc các lỗ hổng mà có thể đã
gây ra lỗi. Nó sẽ được thông báo rằng có một kiểm tra thâm nhập sẽ luôn được
thực hiện bởi vì nó sẽ chạy mọi kiểu kiểm tra cần thiết cho việc tìm ra các lỗ hổng.
Nếu bất cứ các mạo hiểm được tìm thấy từ kiểm tra thâm nhập thì các kết quả này
sẽ được xử lý như thể chúng là một break-in thật và NSM đã bị chọc thủng.
Tóm lại, chuyên gia an ninh mạng sẽ quan sát tại các lối đi để cập nhật các
lớp theo các mở rộng của công ty. Việc nén hoặc giãn các ACL hoặc VLAN theo
yêu cầu, việc cải tiến sự bảo mật vật lý, việc tìm kiếm các phiên bản phần mềm
mới sẵn có cũng như việc chạy các test sẽ đảm bảo rằng không có các phần mềm
ứng dụng trái phép nào đang chạy trong các hệ thống. Việc huấn luyện cho tất cả
các bộ phận IT, các bộ phận quản lý, và các bộ phận người sử dụng nên được duy
trì để bảo đảm rằng các nhân viên mới sẽ biết về an ninh mạng cũng như bồi dưỡng
các nhân viên cũ.
Chiến lược này sẽ bảo đảm rằng tất cả các lớp luôn luôn đặt trong sự quan
sát kỹ lưỡng và chúng trở nên an toàn. Vì nó là một chu kỳ tồn tại, nên ở đây sẽ có
một điểm mà ở đó bất kỳ một mô hình an ninh mạng nào trở nên lỗi thời và cần
được làm lại để theo kịp sự phát triển của một công ty cũng như các đòi hỏi cao
của kỹ thuật bảo mật. Không có bộ timeline nào sẽ được đưa đến chu kỳ tồn tại;
thời điểm nó diễn ra dựa vào chính công ty. Một công ty nhỏ hơn sẽ có chu kỳ tồn
tại dài hơn nhưng lại biến động hơn vì nó sẽ dễ dàng và có chi phí hiệu quả hơn
trong việc thay đổi một cách đồng thời các phần của mô hình an ninh mạng. Một
công ty lớn hơn sẽ có chu kỳ tồn tại ngắn hơn nhưng lại cố định hơn vì nó sẽ dễ
dàng hơn trong việc thay đổi các chi tiết nhỏ trong mô hình an ninh mạng mà
không gây phá vỡ dịch vụ. Điều này không áp dụng cho mọi trường hợp và cũng
có những trường hợp mà ở đó một công ty nhỏ hơn lại muốn hướng tới một chu kỳ
tồn tại riêng biệt hơn cả những gì mà một công ty lớn muốn dùng. Ví dụ, nếu một
công ty nhỏ có 24x7 hoạt động thì nó sẽ cần phải nhắm đến một công ty lớn hơn
trên cơ sở chu kỳ tồn tại để quản lý 24x7 hoạt động đó.
19
11. Kết luận
Hiện tại, không có mô hình an ninh mạng cụ thể; bài viết này đã đưa ra và
chứng minh tỏ một mô hình an ninh mạng khả dĩ, cho phép việc bảo mật mạng
tổng quát sẽ được thực thi và quản lý bởi bất kỳ mô hình công ty nào. Đây là một
khung chung và mỗi lớp có thể được thay đổi khi tính đến các kết quả và các đặc
điểm riêng của công ty, cái mà chúng ta không thể đề cập ở đây.
11.1 Hiện tượng mất lớp IDS/IPS?
Có một thứ không đi kèm với mô hình, đó là vùng IDS/IPS. IDS’ sẽ nằm
dưới lớp vật lý bởi vì IDS chỉ ra lệnh cho bạn sau khi một tấn công đã xảy ra bằng
việc cung cấp các pháp lý như “ở đâu” và “khi nào” giống hệt như một camera.
Còn IPS’ không được tính đến mặc dù chúng nằm dưới vùng ACL bởi vì chúng
thực hiện cùng một kiểu hoạt động; Blocking dẫn đường từ một mạng này tới
mạng khác.
Vấn đề quan trọng nhất ở đây là các hệ thống IDS/IPS thì vẫn không chính
xác 100% và cung cấp đầy đủ một vài dương bản lỗi. Điều này khiến chúng không
đáng tin nếu chúng được tính đến trong một mạng hoặc không. Những người phát
triển IDS/IPS đang hàng ngày đưa ra các cải tiến để trở nên chính xác hơn và hơn
nữa, nhưng vẫn có quá nhiều cách để phá vỡ chúng khi chúng đơn độc.
20