- IDS Instrusion Detection System Hệ thống phát hiện đột nhập 2. - NIDS Network based Instrusion Detection System Hệ thống phát hiện đột nhập mạng 3. - DNS Domain Name System Hệ thống tên miền 5. - Các hệ thống Thương Mại Điện Tử non trẻ, các doanh mới bắt đầu sử dụng công cụ hạ tầng mạng sẽ phải gánh chịu các hậu quả nghiêm trọng nếu không được chuẩn bị các vấn đề về an ninh - an toàn thông tin. - Thiết kế hệ thống mạng an toàn và bảo mật. - Các công cụ giám sát hoạt động hệ thống mạng và phát hiện bất thường. - Các công cụ kiểm tra lỗ hổng của hệ thống mạng. - Trong luận văn này chúng tôi trình bày về một số công nghệ an ninh, bảo mật trong mạng TCP/IP hiện nay đang sử dụng và đề xuất giải pháp xây dựng một hệ thống an 10ninh toàn diện, đồng thời sử dụng các công cụ mã nguồn mở trong các khâu thực hiện chính sách an ninh của hệ thống. - Vì vậy chúng tôi cố gắng trình bày những vấn đề cơ bản nhất trong việc xây dựng chính sách an ninh và quy trình đánh giá mức độ an toàn của hệ thống mạng. - Nhìn từ một phía khác thì vấn đề an ninh - an toàn mạng còn được thể hiện qua tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn dùng (availability) của các tài nguyên về phần cứng, phần mềm, dữ liệu và các dịch vụ của hệ thống mạng. - Vấn đề an ninh - an toàn còn thể hiên qua mối quan hệ giữa người dùng với hệ thống mạng và tài nguyên trên mạng. - Thông tin lưu hay truyền trên mạng và các tệp cấu hình hệ thống luôn được đảm bảo giữ toàn vẹn. - Hacker mũ trắng: Là những nhà bảo mật và bảo vệ hệ thống. - Họ đột nhập vào hệ thống tìm ra những lỗ hổng an ninh trong hệ thống sau đó tìm cách thông báo cho quản trị mạng. - Trong một thời điểm, họ có thể đột nhập vào hệ thống để phá phách. - Nhưng trong một lúc khác, họ có thể gửi thông báo đến quản trị hệ thống về những lỗ hổng an ninh mà họ phát hiện được. - Chúng thường gây ra những tác hại lớn cho hệ thống bị tấn công. - 1.2.2 Lỗ hổng an ninh Lỗ hổng an ninh là gì? Các lỗ hổng an ninh trên một hệ thống là các điểm yếu để hệ thống có thể bị tấn công làm dừng dịch vụ, hoặc thay đổi quyền đối với người sử dụng hoặc tạo khả năng cho phép truy cập bất hợp pháp vào hệ thống. - Nó có khả năng cho phép người sử dụng bên ngoài truy cập bất hợp pháp vào hệ thống, gây ra việc phá hỏng toàn bộ hệ thống. - Lỗ hổng loại này thường gặp ở các hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. - Khi người tấn công chạy file này, có thể đọc được toàn bộ nội dung các file trên hệ thống. - Nó tạo khả năng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện bước kiểm tra tính 15hợp lệ. - Loại này thường gặp trong các ứng dụng, dịch vụ trên hệ thống. - Người ta sẽ làm treo hệ thống của người sử dụng trình duyệt Web của Nescape bằng những bước sau. - 16Tóm lại, lỗ hổng an ninh khá nguy hiểm, là cơ sở để tin tặc tấn công hệ thống mạng. - Hành động quét (Scan) Hành động quét là việc dùng một công cụ tự động để thực hiện thăm dò tìm lỗ hổng an ninh của hệ thống với một số lượng lớn. - Quản trị hệ thống cũng có thể dùng phương pháp quét để phát hiện các điểm yếu về an ninh - an toàn trong hệ thống mạng của mình. - Dựa vào các thông tin thu lượm được tin tặc có thể thực hiện tấn công hệ thống. - Các hệ thống phát hiện đột nhập giúp người quản trị hệ thống thực hiện được yêu cầu an ninh – an toàn hệ thống mạng theo chiều sâu. - Mục tiêu của việc này là bảo vệ sự bí mật, tính nguyên vẹn, sự có giá trị của hệ thống và xác minh những người sử dụng. - c) Thành phần quét virus tại gateway (lớp 3) Công cụ quét virus ngay tại các gateway sẽ giúp hệ thống được an toàn hơn. - Xử lý các lỗ hổng an ninh: phân tích các thiếu sót, sai lầm trong các hệ thống Internet. - Xây dựng hệ thống truyền thông: tham gia liên tục vào các cuộc phỏng vấn, cung cấp các thông tin kỹ thuật chính xác không thổi phồng sự thật. - Phân tích các hệ thống bị tổn hại và hỗ trợ. - Một hệ thống an ninh cung cấp các thông tin về công nghệ nhằm phân tích, phản 27ứng và xử lý các sự cố đồng thời thiết lập kênh giao tiếp 24 giờ của các công ty an ninh và các cơ quan chính phủ trong trường hợp khẩn cấp. - Đồng thời đưa ra thủ tục về quản lý an ninh an toàn cho một hệ thống mạng như: xây dựng nhận thức về bảo mật cho người sử dụng. - phương cách xác định và đánh giá rủi ro hệ thống. - đánh giá và nâng cao khả năng chịu lỗi và tính sẵn sàng của hệ thống. - thủ tục và công cụ thường xuyên thu thập chứng cứ xâm nhập hệ thống. - an ninh cá nhân. - bảo trì và phát triển hệ thống. - Đồng thời chúng ta cũng phải đánh giá trong môi trường đang hoạt động và thực tế công việc đang diễn ra, để đảm bảo khi thực hiện các yêu cầu về an ninh an toàn hệ thống mà không ảnh hưởng gì đến các hoạt động và công việc của công ty hay tổ chức đó. - Hệ thống/ An ninh thông tin 8.2.2 Thanh toán và nghiệm thu Thực hiện thủ tục thanh toán nghiệm thu hệ thống mới sau khi đã kiểm tra đánh giá. - Hệ thống 8.5.1 Kiểm soát mạng Thực hiện theo chuẩn để đảm bảo an ninh an toàn về dữ liệu, và bảo vệ các dịch vụ kết nối khỏi những truy cập bất hợp pháp. - Vận hành & mạng 8.7.5 Điện văn phòng Thực hiện theo chuẩn kiểm soát các hoạt động có thể gây ra mất an ninh an toàn từ hệ thống điện của văn phòng. - Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall. - Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. - Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ. - được phép mới chạy được trên hệ thống mạng cục bộ. - 45 Ưu điểm − Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. - Ví dụ một người (gọi là outside client) muốn sử dụng dịch vụ TELNET để kết nối vào hệ thống mạng qua một bastion host có Telnet proxy. - Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. - Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ. - Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công. - Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network( packet-filtering ) và ở tầng ứng dụng (application level). - Quy luật filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host. - Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá. - Thăm dò hệ thống. - Truy cập thông tin trong hệ thống. - Sử dụng tài nguyên của hệ thống. - Phá hoại hệ thống. - Các tính năng chính của hệ thống phát hiện xâm nhập. - Quản lý, phân tích hoạt động của người sử dụng và hệ thống. - Kiểm tra và phát hiện các điểm yếu dễ bị tấn công trong hệ thống mạng. - Với các hệ thống dạng host-based thì vị trí lấy dữ liệu là ở trên các trạm. - Các hệ thống network-based IDS hoạt động dựa trên việc kiểm tra các gói tin trong hệ thống mạng. - Hệ thống phát hiện dấu hiệu khả nghi thường phân tích những thông tin hệ thống và sử dụng thông tin đó để thống kê và tìm dấu hiệu khả nghi. - Đối với hệ thống phát hiện tấn công thường sử dụng kỹ thuật so sánh mẫu để tìm kiếm những mẫu trùng khớp với một 54trong các mẫu của cơ sở dữ liệu xâm nhập (mẫu của các cuộc xâm nhập đã phát hiện được từ trước rồi lưu thành cơ sở dữ liệu). - Cũng như các phần mềm diệt virus các hệ thống loại này cần được cập nhật những dấu hiệu của các cuộc tấn công mới. - Bộ phận thu thập dữ liệu có thể coi là một cơ quan cảm ứng của toàn bộ hệ thống IDS. - Bộ phận phân tích: đây là thành phần quan trọng nhất trong hệ thống IDS. - Chúng nhận thông tin từ các thành phần khác của hệ thống (ví dụ từ bộ thu thập dữ liệu) phân tích các thông tin thu thập được và tạo thông tin đầu ra (đầu ra có thể là một thông báo cho bộ phận cảnh báo kết quả phân tích cho thấy có sự tấn công hay lạm dụng hệ thống xảy ra). - Việc bắt gói tin trong hệ thống mạng dựa trên 2 nguyên tắc hoạt động của card mạng. - Giám sát hoạt động tại những điểm nhất định trong hệ thống mạng (thường là các nguồn tài nguyên hệ thống có yêu cầu bảo mật cao). - Host-wrapper: giám sát các kết nối tới trạm và cố gắng xác định các kết nối đó có thể hiện sự tấn công hay xâm nhập hệ thống không. - Xây dựng các hệ thống ngăn chặn và phát hiện sự đột nhập trái phép vào mạng. - 3.3.3 Mô hình Manager/ Agent Một hệ thống quản trị mạng (còn gọi là mô hình Manager/Agent) bao gồm một hệ quản trị (manager system), một hệ bị quản trị (managed system), một cơ sở chứa thông tin quản lý (MIB – Management Information Base) và giao thức quản lý mạng. - Hình 1.1 đưa ra mô hình và các thành phần của một hệ thống quản lý mạng. - Quản lý khoá và phân phối khoá là rất đơn giản trong hệ thống mã hoá khoá công khai. - Sử dụng khoá có độ dài thay đổi giúp tăng độ an toàn của hệ thống phải trả giá về thời gian. - Việc quản lý khoá và phân phối khoá là rất đơn giản trong hệ thống mã khoá công khai. - Một cơ sở hạ tầng khoá công khai cung cấp khả năng nhận dạng mạnh hơn, nó là kiến trúc tin cậy mà tổ chức có thể xây dựng bên trong hệ thống mạng của họ (Internet, intranet, extranet) và các chính sách bảo mật. - Chương này giới thiệu một số phần mềm an ninh, giám sát hệ thống mạng mã nguồn mở miễn phí có sẵn hiện nay. - Mã nguồn mở đưa ra nhiều công cụ cho các nhu cầu công nghệ thông tin khác nhau bao gồm giám sát hệ thống mạng, giám sát băng thông, khám phá hệ thống mạng. - Kết quả của hệ thống giám sát tài nguyên mạng bằng Cacti được trình bày trong chương 5 của luận văn này. - giám sát các thông tin liên quan đến hệ thống như tải cpu, lượng sử dụng đĩa, bộ nhớ, các tiến trình, các log file. - 98− Nessus: Công cụ quét lỗ hổng an ninh mạng và đưa ra các báo cáo về tình trạng an ninh của hệ thống. - Các cổng Open thường được quan tâm trong quá trình quét vì bên cạnh đó chúng còn cung cấp các dịch vụ khác được sử dụng trên hệ thống mạng đó. - Quá trình lọc này có thể được thực hiện bởi công cụ tường lửa, các luật của router hay một hệ thống phần mềm host-based Firewall. - Snort cũng có thể dùng như một hệ thống bắt gói IP (sniffer), dùng để phân tích gỡ rối các lỗi trên mạng. - Hệ thống Packet Decode. - Hệ thống Detection Engine. - Hệ thống Logging & Alert. - Hệ thống Detection Engine: Snort dùng các Rules để phát hiện ra các xâm nhập trên mạng. - Hiện nay, phần lớn các cơ quan, doanh nghiệp đều đã có hệ thống mạng máy tính. - Phải đặt các hệ thống giám sát hoạt động lưu lượng và cảnh báo sớm để thực hiện nguyên tắc thích nghi. - o Xây dựng chính sách truy cập hệ thống o Giám sát hoạt động của mạng o Bảo dưỡng, bảo trì hệ thống. - 5.4.2 Sơ đồ thiết kế kỹ thuật Hình 5-4 dưới đây là sơ đồ thiết kế hệ thống mạng với chính sách an ninh nhiều tầng. - Hệ thống này cũng được chúng tôi tích hợp thêm một số công cụ khác như: vẽ bản đồ mạng (weathermaps), kiểm tra độ trễ và độ mất gói (smokeping)… Hình dưới đây minh họa một số kết quả thực hiện bởi Cacti. - Hệ thống web chạy trên IIS (Internet Information Services
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt