Tải bản đầy đủ (.doc) (17 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Ngiên cứu, xây dựng hướng dẫn triển khai tiêu chuẩn quản lý rủi ro an toàn thông tin TCVN ISO 2700

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (112.18 KB, 17 trang )

Đề tài: Ngiên cứu, xây dựng hướng dẫn triển khai tiêu chuẩn quản lý rủi ro
an toàn thông tin TCVN ISO 27001:2009

STT
1

Tên

Tài liệu

Nội Dung

Cấu hình
ISSAF (46tr - Các loại Firewall
Firewall an toàn – tiếng anh) - Xác định vị trí
- Nhận dạng Firewall
và kiến trúc của
Firewall

Ghi chú
Tương đối
đầy đủ.
- Proxy
firewall

- IP tables
- Kiểm tra các dịch vụ fw
và phiên bản của dịch - Firewall
vụ chạy trên firewall. ứng dụng

Trị



- Kiểm tra các cổng
đang sử dụng
- Kiểm tra các chính
sách của Firewall

2

Cấu hình
Switch an toàn

ISSAF (34tr - Chống tràn bảng
– tiếng anh) CAM

A.Trọng

- Switch
layer 2

- Chống Vlan
Hopping

- Switch
layer 3

- Đảm bảo an toàn
cho SPT (Spanning
tree protocol)

- Hub,

bridge

- Đảm bảo an toàn
cho VTP (Vlan
trunking protocol)

3

Đảm bảo an

ISSAF(75tr

*Linux: - Cài đặt hệ

Tương đối


toàn cho máy
chủ
Window/linux

– tiếng anh)

điều hành

đầy đủ

- Tối ưu hệ điều hành
- Cấu hình dịch vụ
mạng


Trị

* Window: Đảm bảo
an toàn cho dịch vụ
- Đảm bảo an toàn
cho giao thức
- Đảm bảo an toàn
cho tài khoản
- Đảm bảo an toàn
cho tập tin và thư mục
- Đảm bảo an toàn
cho tài nguyên
- Đảm bảo an toàn
cho các cổng

4
T.A

Đảm bảo an
toàn thông tin
cho máy trạm

-Internet security
(Firewall và AV)

Tương đối
đầy đủ

-Cài đặt OS

- Cách sử dụng những
thiết bị di động an
toàn
- mail an toàn
- sử dụng các web
brower: Mozilla, ie.
- Backup dữ liệu

5
T.A

Đảm bảo an
toàn thông tin

SP800_92

- Sự cần thiết sử dụng
an toàn cho dữ liệu

Tương đối
đầy đủ


cho lưu trữ dự
liệu máy tính
(log)

- Cấu trúc của một log
trong mạng LAN
- Thiết lập và thiết kế

các chính sách bảo vệ
cho log
- Các quy trình xử lý
và quản lý log.
- Đánh giá một vài
phương pháp lưu trữ

6

Cấu hình Router ISSAF (46tr - Kiểm tra hostname Tương đối
– tiếng anh) của router.
đầy đủ.
A.Trọng An toàn
- Quét các cổng mở
mặc định trên router.
- Kiểm tra hệ điều
hành, phiên bản router
đang sử dụng.
- Kiểm tra các giao
thức đang chạy trên
router.
- Kiểm
tra các lỗi trong file
cấu hình router.
7

T.A

Thiết kế mạng
(lấy của Cisco)


- Băng thông và tốc
độ đường truyền.

Đảm bảo an
toàn mạng

- Vị trí đặt: Firewall,
model, switch, máy
chủ, máy trạm

Trị

- Hướng dẫn triển
khai VPN

A.Trọng

- Cấu hình VLAN
- Chính sách và quy

- Áp dụng
cho một vài
mô hình.
+ Mạng nội
bộ không
Internet
+ Mạng nội
bộ có
internet



định

+ Mạng nội
- Phương án dự phòng bộ có chia
VLAN
+ Mạng nội
bộ có dùng
VPN
+ Mạng nội
bộ có sử
dụng truy
cập không
dây.

BẢNG THUẬT NGỮ VIẾT TẮT VÀ CẦN TRAO ĐỔI

STT

TIẾNG ANH

TIẾNG VIỆT

1

Security

An toàn, Bảo mật, an ninh


GHI CHÚ


2

Explicitly

Rõ ràng, dứt khoát

3

Communications

Truyền thông, thông tin liên
lạc

Đánh giá Firewall an toàn

I. Mô tả:
Các đoạn dưới đây đưa ra cho sự hiểu biết hơn về các Firewall thông
thường như: Firewall là gì, tại sao sử dụng Firewall, các kiểu Firewall và lợi ích
của các loại Firewall.


1. Firewall là gì
Một thiết bị phần cứng hay một giải pháp phần mềm mà được đặt giữa 2 (hoặc
nhiều hơn) mạng, phân tách chúng thành 2 phần tách biệt và đảm bảo rằng truy cập
giữa chúng đã được kiểm soát

2. Tại sao là Firewall

- Giảm nguy cơ (rủi ro) bằng cách bảo vệ hệ thống từ việc cố gắng khai thác lỗ
hổng (điểm yếu)
- Tăng tính bảo mật - Tạo sự khó khăn khi thu thập thông tin về mạng của bạn
- Thực thi chính sách bảo mật trong tổ chức của bạn

3. Lợi ích của Firewall
- Hạn chế các kết nối đi vào và chỉ các kết nối rõ ràng mới được phép
- Hạn chế các kết nối ra ngoài mạng và chỉ các kết nối rõ ràng mới được phép
- Thực hiện lọc theo chiều vào và chiều ra
- Thực hiện phát hiện sự xâm nhập cơ bản
- Lưu log tất cả các lưu lượng đến và đi qua mạng

4. Các kiểu Firewall

4.1 Firewall lọc gói
- Kiểm tra lưu lượng dựa trên ACL (danh sách điều khiển truy cập)
- Các kiểu lọc lưu lượng dựa trên
+ Địa chỉ IP nguồn và địa chỉ IP đích
+ Cổng nguồn và cổng đích
- Mức độ bảo mật cơ bản
- Các nội dung dữ liệu thông qua các bộ lọc gói tin không được kiểm tra
- Nhanh nhất


- Các phân đoạn IP không được nối ghép lại trước khi kiểm tra các luật

4.2 Firewall Stateful – Firewall nhiều lớp
- Duy trì trạng thái của mỗi kết nối bằng cách giữ các chuỗi số
- Phù hợp với yêu cầu ra ngoài và lưu lượng vào bên trong mạng
- 2 thực thi chính

+ Trạng thái kiểm tra – Checkpoint FW1
+ Cắt thông qua Proxy – Cisco PIX
+ IP Tables
+ IPT
+ Netscreen
- Trạng thái kiểm tra – Checkpoint FW1
+ Các trạng thái có nguồn gốc Ứng dụng
. Trạng thái có nguồn gốc thông tin từ các ứng dụng khác
+ Các trạng thái có nguồn gốc từ thông tin liên lạc (truyền thông)
. Trạng thái có nguồn gốc từ thông tin trước đó
+ Thao tác thông tin
. Đánh giá độ linh hoạt của các biểu thức dựa trên tất cả các nhân tố phía
trên

4.2 Mức độ mạch Gateways/Proxies
- Proxy có nghĩa là kết nối bị bẻ gẫy và các header được viết lại
- Thông thường nó không kiểm tra trên mức độ Ứng dụng
- Định tuyến không được phép từ khi tất cả các kết nối trên
4.3 Mức độ vi mạch Gateways/Proxies
- Proxy nghĩa là kết nối bị bẻ gãy và các header đó được viết lại
- Thông thường nó không kiểm tra mức độ trên ứng dụng


- Định tuyến không kích hoạt kể từ khi tất cả các kết nối được kết thúc trên Proxy
và tất cả các kết nối được bắt đầu từ Proxy

4.4 Gateway ứng dụng
- Tương tự với các mức độ vi mạch Gateway/Proxies
- Mức độ ứng dụng kiểm tra được thực hiện
- Duy trì hoàn thành các trạng thái kết nối và chuỗi thông qua 2 kết nối

+ Client đến Proxy
+ Proxy đến Server
- Không cho phép Client kết nối trực tiếp đến Server
- Chậm nhất
- Ví dụ
+ Gauntlet
+ Symantec Enterprise Firewall
+ Watchguard fireboxes

4.5 Stealth/Bridge Firewall
- Ẩn
- Bridge trong suốt
- Không cần địa chỉ IP
- Giao diện ở chế độ pha tạp
- Chỉ truy cập từ khung điều khiển hoặc thông qua 1 giao diện được thiết kế để
quản lý

4.6 Các thiết bị Firewall phần cứng
- Tích hợp giải pháp phần cứng
- Tất cả các phần mềm bao gồm OS đến tải trọng đặt trên platform


- Mạng “Hộp đen” tiếp cận để bảo mật
- Đóng kín, giới hạn mở các cổng dịch vụ làm giảm lỗ hổng và tăng mức độ bảo
mật
- Nhanh hơn bởi vì tất cả mọi thứ bên được nhúng bên trong phần cứng (ví dụ
không có ổ cứng)
- Ví dụ
+ Netscreen (Mọi thứ bên trong ASICs)


4.7 Firewall mức ứng dụng
- Bảo vệ các ứng dụng đơn (giống như http)
- Các ví dụ
+ Sanctum Appshield
+ DMZ Shield (Ubizen)

5. Chống lại những gì có thể một tường lửa không bảo vệ
- Nguồn gốc tấn công từ mạng được bảo vệ (từ bên trong)
- Ủy quyền truy cập độc hại
- Tấn công và khai thác trên các cổng được mở thông qua Firewall (Nếu Firewall
không phải là một Firewall mức ứng dụng)
- Tấn công không cần đi qua Firewall
- Nguồn gốc tấn công từ các điểm truy cập backdoor (Điểm truy cập không dây,
môdem)
6. Làm việc với các Firewall như thế nào
- Các gói tin mà vượt qua các luật(quy định) được cho phép
- Các gói tin không phù hợp bị từ chối (tốt nhất là loại bỏ)
- Các cuộc tấn công nguy hiểm làm sai lệch thông tin đều nằm trong các gói tin bị
từ chối


- Hầu hết lọc gói tin và các Firewall nhiều lớp đều làm việc bên trong kiểu “top
-down” trong khi Proxy không dựa trên các Firewall
- Hầu hết các Firewall có 1 luật drop mặc định (Một cách rõ ràng từ chối tất cả
những gì không được cho phép)

7. Thực hành tốt nhất cho việc đăng nhập
- Đăng nhập tối thiểu cho lưu lượng thông thường
- Không đăng nhập cho lưu lượng ồn ào
- Đăng nhập tối đa cho phần còn lại


8. Dịch chuyển địa chỉ
Có 2 kiểu dịch chuyển địa chỉ: Dịch chuyển địa chỉ cổng (PAT) và dịch chuyển địa
chỉ mạng (NAT)
PAT cũng được biết như là “Hide NAT”. Mọi thứ được ẩn đằng sau địa chỉ IP
Firewall mở rộng
NAT cũng được biết như là “Static NAT”. Tất cả địa chỉ IP mà đã được dịch là ánh
xạ 1-1 trên bảng địa chỉ IP. Điều này đôi khi cần định tuyến tới công việc.
Checkpoint hiện nay có 1 cách mới làm việc với NAT tĩnh. Dịch chuyển địa chỉ
thực hiện trên máy khách bởi vậy các định tuyến tĩnh là không cần thiết nữa.

H.2 Mục đích
Mục đích của tài liệu này là thêm vào việc đánh giá sự an toàn của một Firewall

H.3 Yêu cầu
H.3.1 Hiểu về môi trường làm việc của tổ chức
Trước khi đánh giá có thể đưa ra địa điểm, một nghiên cứu về môi trường mạng
của tổ chức nên được thực hiện
H3.2 Yêu cầu công nghệ


Thực hiện kiểm tra sự xâm nhập trong phần đánh giá, liệt kê danh sách tất cả địa
chỉ IP kết nối với nhau với một sơ đồ mạng là điều phải làm
Thực hiện đánh giá an ninh hệ thống, truy cập tới Firewall và phải cấu hình chúng
(Thông qua giao diện điều khiên hoặc thông qua giải pháp quản lý)

H.4 Thuật ngữ
H.5 Lịch sử
H.6 Mục tiêu
H.6.1 Tiến độ 1

Đánh giá về an toàn/ kiểm tra tiến độ
H.6.2. Tiến độ 2
Quản trị hệ thống
H.7 Kết quả mong đợi
Một danh sách với tất cả pro’s and con’s của Firewall hiện thời được cài đặt
H.8 Phương thức / Quá trình
Xác định vị trí Firewall
Xác định lỗi cấu hình sai thông thường
Kiểm tra các tấn công phổ biến trên Firewall
Kiểm tra các vấn đề cụ thể của sản phẩm
Vị trí Firewall
- Thực hiện đảo nghịch DNS tra cứu theo dải IP đích (Đôi khi Firewall được đăng
kí lại trên DNS)
- Thực hiện traceroute thường xuyên về hướng dải IP đích
- Thực hiện tìm dấu vết TCP theo hướng một hệ thống đằng sau Firewall
- Thực hiện quét kiểu Hping tới 1 hệ thống Firewall (máy chủ web/mail chủ mail)
- Tìm kiếm thông điệp ICMP trả lại từ Firewall. Có thể dẫn tới phát hiện ra địa chỉ
IP trên Firewall
* Xác định các lỗi cấu hình sai thông thường


- Điều này được áp dung cho tất cả các kiểm tra mà được đề cập trong đoạn cầu
hình lỗi Router
+ Thiết lập bản đồ luật cho Firewall (Firewalk)
+ Quét cổng trên hệ thống đằng sau Firewall cũng có thể có ích
* Kiểm tra các tấn công phổ biến trên các Firewall
+ Đổi hướng cổng
+ Cổng sau Firewall
* Kiểm tra các vấn đề cụ thể của Sản phẩm
- CheckPoint Firewall-1

- CheckPoint NG
- Nokia IPSO
- Cisco PIX
- Microsoft ISA
- Microsoft Proxy
- Borderware
- Gauntlet
- IP Table/Chains
- Others

H.9 Vị trí của Firewall
H.9.1 Ngăn cản các gói tin mong đợi của người quản trị với nguồn của Firewall
Miêu tả: Bẳng cách sử dụng Hping hoặc bất kì công cụ thủ công khác để gửi
gói tin SYN đến firewall. Nếu hping báo cáo nhận một ICMP unreachable type 13
với một nguồn địa chỉ IP của thiết bị kiểm soát truy cập thì nguồn IP đó có thể là
firewall lọc gói tin. Một ICMP type 13 là một gói tin lọc bị ICMP admin ngăn
cấm.
Điều kiện tiên quyết
Ví dụ/Các kết quả


Hping www.target.com –c2 –S –p23 –n
HPING www.yourcompany.com (eth0 192.168.0.1): S set, 40 data
ICMP Unreachable type 13 from 192.168.100.100
Phân tích/ kết luận/ theo dõi
- Nó đưa ICMP type 13 từ 192.168.100.100
- Đấy là gói bị tin bị admin ngăn cấm.
- Đầy đủ quyền truy cập hệ thống quan trọng (Firewall/Router)
Biện pháp đối phó
Admin vô hiệu hóa các gói tin bị cấm (ICMP type 13 messages) ở router biên

Không đưa ra được địa chỉ IP đích
Đề cập tới sản phẩm thông thường
Lưu lượng gói (khối) theo chiều ra có nguồn gốc từ Firewall
Công cụ (Tools)
- Hping
- TCP Traceroute

H.9.2 Xác định dải mạng bằng Traceroute
Traceroute sẽ bảo cho bạn biết một số thông tin về mạng như:
- Đường đi dẫn tới mạng
- Các thiết bị định tuyến trung gian
- Thông tin tiềm năng về các thiết bị lọc có khả năng được các giao thức cho phép
- Xem xét một số sự kiện
+ Firewall thông thường sẽ không trả lại ICMP TTL của thông điệp hết hạn
+ Trong các mạng cỡ nhỏ và trung bình Firewall được xác định vị trí là 1 hop trước
đích
+ Trong các mạng có lớn bạn sẽ nhận dải mạng lớn và rất khó để xác định Firewall


Mặc định hệ thống Window sửa dụng gói ICMP và hệ Unix/Linux sử dụng gói
UDP trong khi thực hiện trace route
Các bước thực hiện:
- Traceroute trên ICMP, UDP và TCP hướng mục tiêu
- Phân tích kết quả
+ Xác định nơi gói ICMP bị dropper/rejected (loại bỏ)
+ Xác định nơi gói UDP bị dropper/rejected (loại bỏ)
+ Xác định nơi gói TCP bị dropper/rejected (loại bỏ)
- Có thể xác định dải mạng

Phân tích/kết luận/theo dõi

ICMP yêu cầu bị blocked ngoại trừ hop 18 có địa chỉ IP (xxx.xxx.90.9)
UDP yêu cầu bị Blocked ngoại trừ hop 19 có đị chỉ IP (xxx.xxx.100.10)
TCP yêu cầu sử dụng HTTP trên cổng 80 thông qua đích trên host 22 có địa chỉ IP
(xxx.xxx.110.11)
- Nó đã quan sát thấy các host trung gian (hop số 20 và 21) không tiết lộ địa chỉ
IP/tên thiết bị/tên miền.
Cố gắng đoán địa chỉ IP của thiết bị tại hop 20 và 21 nhưng không thành công
trong dải xxx.xxx.110.x to xxx.xxx.110.x
Các tool
Tiện ích tracerout (Traceroute trên *nix và tracert trên Window)


Biện pháp đối phó
Prevention Mechanism
Cơ chế ngăn chặn
- Hạn chế điều khiển truy cập trái phép (Router/Firewall) để phán ứng chống lại
gói TTL đã hết hạn
> acces-list 151 deny ip any any 110! Ttl-trả lời
Cơ chế phát hiện
Cơ chế cấu hình pháp hiện xâm nhập cho các gói ICMP, UDP và TCP với TTL =1

H.9.3 Thực hiện PortScan trên các cổng mặc định của Firewall và chiếm đoạt
các cổng này
- Quét cổng dễ dàng thực hiện nhưng nó rất ồn vẫn đưa ra kết quả tốt có thể đạt
được bởi một cấu trúctiếp cận
- Sử dụng thu thập thông tin từ các nguồn công cộng sẵn có trên firewall thực thi
bên trong mạng đích và chỉ quét trên các cổng firewall mặc định.
- Đưa mức ưu tiên tới thông tin màn bạn cảm thấy đáng tin cậy
- Gửi các kết nối rất nhỏ(2 kết nối trên 1 host hoặc xấp xỉ) để tránh phát hiện (Mặc
dầu các firewall tốt không nên có bất cứ một vấn đề nào việc mất kết nối ngày nay)

- Nếu bạn may mắn và tìm thấy cổng mở, xác định được dịch vụ bởi các thiết lập
kết nối trên các dịch vụ có liên quan đến cổng này
- Nếu bạn không tìn thấy các cổng mặc định, quét ngẫu nhiên (Sử dụng nhiều cổng
và host nguồn/đích) nhiều và thực hiện chúng trên tất các các cổng mặc định của
firewall đề cập ở mục lục của firewall danh sách các cổng mặc định và nếu bạn
biết bất cứ cái gì nhiều hơn.
- Cuối cùng nếu bạn không có bất cứ thành công nào từ các bước trên, các quét
trên toàn bộ dải mạng trên tất cả các cổng sử dụng công nghệ quét dưới đây.
9.4 Thực hiện quét cổng trên các cổng mặc định của firewall và chộp các biểu
ngữ- quét cổng
Miêu tả:


Hầu hết firewall thực thi các cổng mặc định sử dụng cho các mục đích kết nối từ
xa hoặc cho các mục đích khác (giống như xác thực người dùng, các giải pháp
VPN…)
Điều kiện tiên quyết
None
Các ví dụ/các kết quả
- nmap –n –vv –P0 –p256, 1080 www.target.com
Các phân tích/ kết luận/nhận xét
- PO không cho phép các gói tin ICMP đi qua
- vv đưa đầu ra rất dài. Nó giúp việc xác định kiến trúc/hệ thống firewall
Các biện pháp đối phó
- Ngăn chặn việc quét cổng chống lại Firewall, chặn quét trên gateway của bản
thân nó
- Trong trường hợp Cisco sử dụng chặn quét này để chống lại 1 hệ thống Firewall
CheckPoint
Access-list 101 deny tcp any any equal 256 log
Access-list 101 deny tcp any any equal 257 log

Access-list 101 deny tcp any any equal 258 log
Access-list 101 deny tcp any any equal 259 log
Sử dụng 1 “stealth” luật với chặn tất cả các traffic theo hướng về firewall
- Ngoài ra sử dụng cơ chế phát hiện để bắt giữ chống lại việc quét trộm. Điều
chỉnh mạng của bạn hệ thống phát hiện xâm nhập để phát hiện quét chậm hơn.
Điều chỉnh “kích hoạt”- số x của các cổng bên trong thời gian y và số các host bên
trong thời gian y để phát hiện quét host.
- Vô hiệu hóa tất cả các cổng mặc định trên firewall nếu không có yêu cầu làm việc
của Firewall
Các công cụ:
- Nmap
- Hping


Đọc thêm
- Bảng cổng mặc định của Firewall tham khảo phụ lục

9.5 Thực hiện quét cổng trên các cổng mặc định của firewall và chộp các biểu
ngữ - Banner Grabbling

9.5 H.9.5 Perform Port Scan On Default Firewall Ports and Grab Banners –
Banner Grabbing



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×