HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC TIỂU LUẬN MÔN HỌC AN NINH MẠNG Nội dung: MƠ HÌNH BẢO MẬT MẠNG Network Security Model (NSM) Giảng viên: Nhóm thực hiện: Lớp: HÀ NỘI 2012 PGS, TSKH Hoàng Đăng Hải Nguyễn Vũ Quang Nguyễn Quốc Chính Nguyễn Xuân Hùng M11CQDT01-B MỞ ĐẦU MƠ HÌNH BẢO MẬT MẠNG Mơ hình bảo mật mạng (Network Security Model - NSM) đề xuất mơ hình bảy lớp nhằm mục đích phân chia cơng việc khó khăn phức tạp bảo mật hạ tầng mạng thành phần quản lý Đây mơ hình chung ứng dụng cho giải pháp thực bảo mật thiết bị bảo mật Việc triển khai NSM quan trọng thống cần thiết mạng bảo mật, nhà thống cấu trúc mạng với việc triển khai mơ hình OSI Khi có cơng mạng xảy ra, việc định vị, khắc phục dễ dàng Bài tiểu luận dựa nghiên cứu Phòng đọc bảo mật mạng (SANS Information Security Reading Room) Học viện SANS (SysAdmin, Audit, Network, Security) học viện hàng đầu bảo mật mạng Nội dung nghiên cứu tham khảo tại: http://www.sans.org/reading_room/whitepapers/modeling/networksecurity-model_32843 MỤC LỤC Giới thiệu 1.1 Giới thiệu mơ hình An ninh Mạng (Network Security Model - NSM) 1.2 Tại cần mơ hình bảo mật mạng? Tìm hiểu mơ hình bảy lớp NMS: Lớp vật lý 2.1 Lớp vật lý gì? 2.2 Các phần tử lớp vật lý Tìm hiểu mơ hình bảy lớp NSM: Lớp VLAN 3.1 Lớp VLAN gì? .7 3.2 Thực an ninh VLAN 3.3 Tại lớp VLAN quan trọng bảo mật? .7 Tìm hiều mơ hình bảy lớp NSM: Lớp ACL 4.1 Lớp ACL gì? 4.2 Thực bảo mật lớp ACL 4.3 Tại lớp ACl quan trọng với công tác bảo mật? Tìm hiểu mơ hình lớp NSM: Lớp phần mềm 5.1 Lớp phần mềm gì? 5.2 Thực hiên bảo mật phần mềm 5.3 Tại lớp phần mềm lại quan trọng bảo mật mạng? .10 Tìm hiểu mơ hình bảy lớp NSM: Lớp người dùng 10 6.1 Thế lớp người dùng? .10 6.2 Thực bảo mật người dùng .10 6.3 Tại lớp người dùng lại quan trọng vấn đề bảo mật? .11 Tìm hiểu mơ hình bảy lớp NSM: Lớp quản trị .11 7.1 Lớp quản trị gì? 11 7.2 Thực an ninh quản trị 11 7.3 Tại lớp quản trị quan trọng an ninh thông tin? 12 Tìm hiểu mơ hình bảy lớp NSM: Lớp Phịng cơng nghệ thơng tin 12 8.1 Lớp phịng cơng nghệ thơng tin gì? 12 8.2 Thực an ninh phịng cơng nghệ thơng tin .12 8.3 Tại Lớp phịng cơng nghệ thông tin lại quan trọng an ninh? 12 Làm việc với mơ hình an ninh mạng 13 9.1 Kiến trúc mơ hình an ninh mạng điểm tương đồng với mơ hình OSI 13 9.2 Một số ví dụ mơ hình an ninh mạng công (mạng) 14 9.3 Làm để mơ hình an ninh mạng sử dụng để hạn chế công 16 9.4 Làm để thực mơ hình an ninh mạng 17 10 Chu kỳ tồn an ninh mạng 19 11 Kết luận 20 11.1 Hiện tượng lớp IDS/IPS? .20 Giới thiệu 1.1 Giới thiệu mơ hình An ninh Mạng (Network Security Model - NSM) Mơ hình tham chiếu hệ thống mở (OSI), phát triển vào năm 1983 Tổ chức tiêu chuẩn quốc tế (ISO), được sử dụng khuôn mẫu để dạy kiến thức kết nối mạng khắc phục cố vấn đề mạng 25 năm qua Nó có ảnh hưởng lớn đến phát triển mạng lưới kiến trúc chí hầu hết giao thức truyền thơng mạng sử dụng ngày có cấu trúc dựa Nhưng giống mơ hình OSI khơng đủ với chúng ta, nhận thấy thiếu tiêu chuẩn mà tất chuyên gia an ninh mạng tuân thủ, mơ hình an ninh mạng (NSM) Ngày mạng lưới tinh vi phức tạp cung cấp nội dung cho NSM Mơ hình an ninh mạng (NMS) đề xuất mơ hình bảy lớp thực việc chia nhiệm vụ khó khăn an ninh hạ Lớp mạng thành bảy phần quản lý Mơ hình tổng qt áp dụng tới tất thành phần thiết bị an ninh Sự phát triển NSM quan trọng thống cần thiết mạng bảo mật, có thống cần thiết kiến trúc mạng lưới với phát triển mơ hình OSI Khi cơng mạng có thành cơng, dễ dàng để xác định vị trí vấn đề sửa lỗi với việc sử dụng NSM NSM cung cấp cách để giảng dạy thực đo đạc biện pháp an ninh mạng thiết bị xác định vị trí vấn đề cho phép công thành công Theo truyền thống làm việc từ phía lên để xác định lớp bị lỗi mơ hình OSI, NSM, làm việc từ xuống để xác định lớp bị lỗi Xem NSM (Hình 1.1) Một lớp bị lỗi tìm thấy, xác định tất lớp lớp bị lỗi Một chuyên gia an ninh mạng có đầy đủ quyền để nhanh chóng xác định máy chủ khác bị xâm nhập với đến lớp biết làm để bảo vệ chống lại kiểu công tương lai Thông qua tiểu luận này, làm việc từ xuống để miêu tả lớp cách để lớp NMS làm việc với để hoàn toàn hoàn thành việc bảo mật mạng Hình 1.1 – Mơ hình an ninh mạng 1.2 Tại cần mơ hình bảo mật mạng? NSM có cấu trúc tốt đưa cộng đồng an ninh cách để nghiên cứu, thực trì an ninh mạng áp dụng cho mạng Trong nghiên cứu, sử dụng cơng cụ để phân tích an ninh mạng thành bảy lớp đơn giản với quy trình logic Các sách truyền thống luôn giới thiệu an ninh mạng theo hình thức khơng có tổ chức, nơi mà vài sách bao gồm vấn đề mà sách khác hồn tồn bỏ qua Khi thực hiện, sử dụng kiến trúc mạng để đảm bảo họ khơng bỏ sót chi tiết an ninh quan trọng thiết kế mạng Trong việc bảo dưỡng mạng có sẵn, sử dụng để phát triển lịch trình bảo dưỡng chu kỳ sống cho an ninh mạng có Nó sử dụng để phát hành vi vi phạm xảy cơng giảm nhẹ NMS mang lại lợi ích cho tất chuyên gia Chúng ta đừng quên chuyên gia, người chuyển đổi sang vào vị trí trước tổ chức tổ chức chuyên gia an ninh mạng khác Hiện nay, việc học kỹ thuật bảo mật thực mạng cịn nhiệm vụ khó khăn cấu trúc an ninh mạng không rõ ràng NSM cung cấp cấu trúc Nó cung cấp chuyên nghiệp với kiến thức để khám phá thực chưa thực từ quan điểm bảo mật Nếu khơng có NSM, cộng đồng an ninh mạng phải đối mặt với hỗn loạn tiềm tàng chuyên gia tiếp tục thực phiên riêng họ an ninh mạng lưới mà khơng có cấu trúc đầy đủ Tìm hiểu mơ hình bảy lớp NMS: Lớp vật lý 2.1 Lớp vật lý gì? Điều quan trọng lớp vật lý an ninh vật lý An ninh vật lý áp dụng để ngăn chặn kẻ cơng truy cập vào thiết bị để có liệu lưu trữ máy chủ, máy tính, phương tiện khác An ninh vật lý lớp lựa chọn điểm làm ngắt quãng cho mạng Trong kịch cung cấp thiết bị khác, chẳng hạn tường lửa, không giúp an ninh bạn lớp vật lý bị cơng Vì lý này, nói lớp bên lớp vật lý bị hỏng lớp vật lý bị hỏng kẻ cơng thao tác liệu thể họ xâm nhập thiết bị An ninh vật lý có nhiều hình thức bao gồm thiết kế trang web, thiết bị kiểm soát truy cập, báo động, máy ảnh Lớp vật lý lớp đơn giản để bảo mật khơng địi hỏi khái niệm kỹ thuật tiên tiến để làm Một công ty thuê để cài đặt hệ thống báo động, nhân viên thuê để đứng người bảo vệ an ninh Chúng tơi tìm hiểu thiết bị lớp vật lý chứa phần 2.2 Các phần tử lớp vật lý Hình thức an ninh vật lý bao gồm thiết kế vị trí Thiết kế vị trí bao gồm đặc điểm đặt đất xung quanh bên ngồi tịa nhà Một số thiết bị bao gồm hàng rào, dây thép gai, tín hiệu cảnh báo, hàng rào kim loại bê tông đèn chiếu sáng Những hình thức bảo mật khơng phải lúc thiết thực trừ phương tiện có chứa liệu nhạy cảm cao Hình thức thứ hai an ninh vật lý bao gồm thiết bị điều khiển truy nhập Các thiết bị điều khiển truy nhập bao gồm cửa, cửa vào, khóa khí khóa điện tử Khóa cổ xưa, chúng thực có hiệu chi phí để tăng cường an ninh Cửa khóa nên đặt trước tất khu vực mà chứa máy chủ có khả chứa máy chủ Các hình thức thứ ba an ninh vật lý chuông báo động Chuông báo động tính quan trọng an ninh mạng vật lý Nó cung cấp tín hiệu cảnh báo lãnh đạo CNTT người quản trị an ninh mạng quy định pháp luật địa phương thúc ép thực luật pháp địa phương có người vào khu vực mà họ khơng phép truy nhập Hình thức thứ tư cuối an ninh vật lý máy ghi hình Nếu người vi phạm mà nhìn thấy máy ghi hình , họ thơng thường nản chí hình ảnh ghi máy ghi hình dễ dàng để nhận diện truy tìm cảnh sát Nó cách tốt để xác định cách nào, nơi việc truy nhập vật lý thực Điều hữu ích việc xác định trình hành động thực để giảm thiểu công Làm nhiều máy ghi hình đặt khu vực xác định phận an ninh khu vực chi phí Một khu vực quan trọng khu vực phịng máy chủ ln ln cần phải có máy ghi hình Thuê nhân viên bảo vệ hình thức an ninh vật lý coi điều khiển truy cập biện pháp giám sát Nhân viên bảo vệ cảnh báo hoạt động đáng ngờ xung quanh nhà cấp giấy lao động thơng báo truy cập khách tới tồ nhà Mặc dù có người bảo vệ nơi làm việc cách tối biện pháp an ninh có chi phí đắt nhiều cho cơng ty nhỏ Tìm hiểu mơ hình bảy lớp NSM: Lớp VLAN 3.1 Lớp VLAN gì? Lớp VLAN liên quan đển việc tạo bảo dưỡng mạng riêng ảo Các VLAN sử dụng để chia phân hệ mạng nhiều lý Lý bạn tạo VLAN để nhóm máy trạm với mục đích an ninh Ví dụ, đặt phận kế tốn VLAN riêng biệt với phận tiếp thị định thơng minh họ khơng phải chia sẻ liệu Điều chia mạng lưới vào khu vực an toàn an toàn Trong phần thảo luận việc thực VLAN 3.2 Thực an ninh VLAN Bước việc thực VLAN xác định mạng công cộng mạng riêng tư Bất kỳ thiết bị phải giao tiếp với bên ngồi nên đặt VLAN cơng cộng Ví dụ bao gồm máy chủ web, máy chủ FTP bên ngoài, máy chủ DNS bên Bước đặt thiết bị nội VLAN riêng tư, mà chia thành VLAN người dùng nội VLAN máy chủ nội Bước cuối chia người sử dụng VLAN nội VLAN máy chủ nội phân nhóm liệu tương ứng 3.3 Tại lớp VLAN quan trọng bảo mật? Các VLAN lớp cho NSM mạng lưới mà khơng có phân đoạn chứa cụm máy chủ thiết bị khơng có rõ ràng tổ chức Các VLAN sử dụng để thực danh sách điều khiển truy nhập để bảo vệ liệu từ người dùng không cần truy cập vào Mặc dù VLAN thực độc lập ACL, điều quan trọng cần lưu ý chúng bắt tay với Người ta thường thêm ACL vào VLAN để hạn chế, cấp phép, truy cập đến/từ phân khúc Lý mà hai lớp tồn độc lập với VLAN thay đổi mà khơng thay đổi ACL với chúng Điều tương tự ngược lại VLAN cách tốt để tìm thấy máy chủ khai thác Bằng cách nhìn thấy lưu lượng truy nhập tăng đến từ VLAN cụ thể, chuyên gia an ninh mạng thu hẹp phạm vi VLAN để tìm cổng bị lây nhiễm đến từ cuối máy chủ lây nhiễm đến từ đâu Tìm hiều mơ hình bảy lớp NSM: Lớp ACL 4.1 Lớp ACL gì? Lớp ACL tập trung vào việc tạo trì danh sách điều khiển truy nhập (Access Control Lists) ACL viết định tuyến tường lửa Các lớp ACL cho phép từ chối truy nhập máy tính mạng khác nhau, thơng thường mạng riêng ảo Điều cho phép ACL trở thành bắt buộc lĩnh vực an ninh mạng Bằng cách cài đặt hệ thống danh sách điều khiển truy nhập vững chắc, chuyên gia an minh mạng ngăn chặn đợt cơng mạng trước chúng tiến hành Việc cài đặt ACL nhiệm vụ khó khăn Có nhiều vấn đề cần xem xét lưu lượng phản hồi, lưu lượng hàng ngày mang tính sóng cịn khai thác mạng ACL tác vụ quan trọng chuyên gian an minh mạng Nếu không khởi tạo đúng, lớp ACL cho phép luồng liệu khơng xác thực, lại từ chối luồng liệu xác thực 4.2 Thực bảo mật lớp ACL Vấn đề quan trọng để tạo ACL tốt tập trung vào luồng luồng đến Các cơng ty nhỏ thực ACL cách tạo lớp ACL chẳng hạn cho phép luồng đến cổng 80 443 cho máy chủ HTTP HTTPS Đồng thời cho phép dịch vụ cổng 80, 443 cổng 53 cho dịch vụ HTTP, HTTPS DNS tương ứng Nhiều công ty cỡ vừa lớn khác cần dịch vụ mạng riêng ảo để cấp cho đối tác nhà cung cấp, người dùng từ xa, điều thực khó khăn trì mức bảo mật Hầu tất chuyên gia bảo mật mạng tập trung vào viết ACL từ chối truy nhập vào bên mạng cơng ty nhìn từ phía internet phía ngồi mạng nội Vấn đề hai ví dụ luồng đến, nhiều chuyên gia không tập trung vào luồng đi, Các chuyên gia bảo mật nên tập trung vào luồng luồng đến Chẳng hạn như, điều khiển Domain nên cho phép cổng 445, 135 139 truy nhập vào mạng nội bộ, cấm internet, việc cho vào nên thực cấm luồng dự liệu Chuyên gia bảo mật nên biết cổng nên cho phép cổng không cho phép vào Cần biết cổng nguồn cổng đích Chẳng hạn, chuyên gia bảo mật nên biết cổng tạm thời thường lớn 1023, chúng cổng đến miền DMZ từ internet với cổng đích tương đương với dịch vụ đặt DMZ Ngược lại, hoạt động mà cổng nguồn tương đương với dịch vụ chạy DMZ hướng internet với cổng đích khoảng tạm thời kể cho phép 4.3 Tại lớp ACl quan trọng với công tác bảo mật? Các lớp ACL phần quan trọng NSM chúng có khả cho phép hay từ chối lưu lượng dịch vụ nhìn thấy hay khơng nhìn thấy mạng khác Các lớp ACL đồng thời bảo vệ lớp phần mềm cách khóa việc truy nhập vào dịch vụ mà đối tượng mạng nhìn thấy khơng truy nhập vào Điều nghĩa phân cấp truy nhập vào miền điều khiển nội Khi có cơng mạng xảy ra, lớp ACL sử dụng để tuân thủ hạn chế thiệt hại xảy với máy tính Tìm hiểu mơ hình lớp NSM: Lớp phần mềm 5.1 Lớp phần mềm gì? Lớp phần mềm tập trung vào giữ cho phần mềm cập nhật nâng cấp vá để làm giảm khả bị công phần mềm Các chuyên gia bảo mật phải biết phần mềm chạy máy tính họ mức vá lỗi họ chạy để đảm bảo rẳng có vấn đề xảy họ gỡ bỏ phần mềm không mong muốn biết tổn thương hệ thống Họ nên biết phần vá lỗi cài đặt vào 5.2 Thực hiên bảo mật phần mềm Thực bảo mật phần mềm bao bồm áp dụng vá nâng cấp Điều giảm lượng khám phá thiệt hại hệ thống ứng dụng chạy Các phần mềm máy chủ HTTP HTTPS quan trọng luôn cần cập nhật Các phần mềm người dùng cần cập nhật lien tục để chống lại công Chẳng hạn như, máy chủ web, chuyên gia bảo mật cần nâng cấp ứng dụng web để đảm bảo khả bị công bị chặn lại nhanh chóng phần mềm truy cập lúc Biết dịch vụ chạy máy trạm phần quan trọng lớp phần mềm Nếu chuyên gia bảo mật biết dịch vụ cho chạy máy trạm nhìn thấy lưu lượng khác thường, họ phải biết có thay đổi tiến hành xử lý 5.3 Tại lớp phần mềm lại quan trọng bảo mật mạng? Lớp phần mềm quan trọng NSM lớp phần mềm bị tổn thương kẻ cơng có hội truy nhập thông tin từ máy trạm Đây lớp mà kẻ cơng có tài khoản mạng Lớp phần mềm đồng thời giúp bảo vệ lớp người dùng Nếu máy trạm cập nhật vá cấu hình đúng, cơng phía người dùng malicious không đạt Phần mềm vá cấu hình phải vơ hiệu hóa malicious để bảo vệ lớp người dùng Tìm hiểu mơ hình bảy lớp NSM: Lớp người dùng 6.1 Thế lớp người dùng? Lớp người dùng tập trung vào đào tạo nâng cao hiểu biết người dùng bảo mật mạng Người dùng phải nắm khái niệm bảo mật mạng Họ đồng thời phải nắm ứng dụng nên không nên cài đặt hệ thống họ; vậy, họ phải hình dung hệ thống chạy bình thường Chúng ta tìm hiểu hiểu biết an ninh mạng hỗ trợ chuyên gia bảo mật việc xác định có vấn đề an minh mạng 6.2 Thực bảo mật người dùng Cách để thực bảo mật người dùng đào tạo người dùng ứng dụng cần tránh hệ thống chạy ổn định Các ứng dụng ngang hàng khác biệt máy máy bị nhiểm Vì chuyên gia biết nhiều loại malware chứa file hay ứng dụng tải thông qua máy khách Đào tạo người dùng dạng hiểu biết để tránh lây nhiểm có Đào tạo người dùng hệ thống họ làm việc quan trọng họ biết chức hệ thống họ dùng họ phát vấn đề Ví 10 dụ, ngày hệ thống họ chạy chậm người dùng phát hiện tượng báo cho chuyên gia bảo mật chuyên gia bảo mật phải kiểm tra với người dùng để tìm rat hay đổi hệ thống nhằm xác định hệ thống có bị ảnh hưởng khơng hay lỗi phần cứng 6.3 Tại lớp người dùng lại quan trọng vấn đề bảo mật? Lớp người dùng quan trọng NSM lớp người dùng bị ảnh hưởng tài khoản, thơng tin dễ bị đánh cắp Điều dẫn đến phá hoại kẻ cơng có để truy nhập vào tài khoản domain đăng nhập vào hệ thống thấy liệu mà họ cần Lớp người dùng liệt kê trước lớp quản trị bị đột nhập khơng chắn lớp người dùng bảo mật Tất công nhằm vào lớp người dùng trước cơng lớp quản trị người sử dụng có kiến thức bảo mật Tìm hiểu mơ hình bảy lớp NSM: Lớp quản trị 7.1 Lớp quản trị gì? Lớp quản trị tập chung vào việc đào tạo người sử dụng quản trị mạng Lớp bao gồm tất thành viên quản lý Nó giống với lớp người dùng ngoại trừ việc làm việc với liệu bảo mật mức cao mạng Giống lớp người sử dùng, nhà quản trị nên đào tạo ứng dụng nên cài đặt lên hệ thống họ có hiểu biết hệ thống họ hoạt động bình thường Họ nên đào tạo việc xác định vấn đề với Lớp người sử dụng, ví dụ nhận biết nhân viên cài đặt chương trình ngang hàng peer-to-peer khơng tn theo sách an ninh thơng tin 7.2 Thực an ninh quản trị Các nhà quản trị nên đào tạo người sử dụng, với kiến thức kỹ sâu cao Sẽ quan trọng nhà quản trị mạng dạy nhân viên thực hành an ninh Các nhà quản trị nên trao đổi hiệu với mong muốn người sử dụng vấn đề chuyên gia an ninh mạng Điều đảm bảo rằng, vấn đề giải nhanh chóng có thể, chuyên gia an ninh mạng khơng gặp q nhiều khó khăn làm việc với người sử dụng 11 7.3 Tại lớp quản trị quan trọng an ninh thông tin? Lớp quản trị quan trọng NMS Lớp quản trị bị tổn thương, tài khoản quản trị bị cơng Điều nguy hại cho phép kẻ công quyền để truy nhập sửa chữa liệu mật nhạy cảm Lớp quản trị đặt Lớp phịng IT, Lớp phịng IT bị xâm phạm, khơng quan trọng Lớp quản trị an toàn Đa số hacker nhắm đến Lớp quản trị trước nhắm đến tần phịng IT Lớp phịng IT bao gồm người sử dụng có khả nhận biết cơng Tìm hiểu mơ hình bảy lớp NSM: Lớp Phịng cơng nghệ thơng tin 8.1 Lớp phịng cơng nghệ thơng tin gì? Lớp phịng IT bao gồm tất chuyên gia an ninh mạng, kỹ thuật mạng, kiến trúc sư, chuyên gia hỗ trợ Tất người vận hành bảo trì mạng máy máy tính mạng Lớp phịng IT giống Lớp quản trị ngoại trừ Lớp IT có tài khoản để truy nhập tới thiết bị mạng Ví dụ, người sử dụng Lớp IT có quyền truy nhập, đọc, viết, chỉnh sửa cấu trúc bảng liệu, nhà quản trị mạng hay người sử dụng có truy nhập đọc, ghi, sửa ghi cấu trúc bảng 8.2 Thực an ninh phịng cơng nghệ thơng tin Mỗi người Lớp phịng IT nên có số kiến thức an ninh mạng Kiến trúc mạng sách an ninh phải xác định rõ cho người sử dụng Lớp phòng IT Các khóa đào tạo ngắn cần thiết nhân viên để học kiến trúc thiết kế mạng Phòng IT chịu trách nhiệm việc thực bảo trì tất Lớp mạng bao gồm Lớp vật lý, Lớp VLAN, Lớp ACL, Lớp phần mềm, Lớp người sử dụng Lớp quản trị Phòng IT nên biết nhiều tốt mong muốn yêu cầu người sử dụng 8.3 Tại Lớp phòng công nghệ thông tin lại quan trọng an ninh? Lớp phịng cơng nghệ thơng tin quan trọng NSM Lớp IT thất bại, kẻ cơng có xâm nhập mức hệ thống tất thiết bị mạng Các thiết bị định tuyến, tường lửa, proxy, thiết bị VPN trở lên có khả dễ bị tổn thương Điều nguy ngại, cho phép kẻ cơng khả làm tê liệt mạng Nó gây thiệt hại tài lớn cơng ty ảnh hưởng đến niềm tin 12 khách hàng Một ví dụ cơng Lớp phịng IT nguy hiểm sử dụng lệnh xóa bảng làm tất ghi thông tin Làm việc với mơ hình an ninh mạng Trong mục này, xem xét làm để làm việc hiệu với mơ hình an ninh mạng Điều bao gồm cấu trúc NSM làm để cơng vào mạng xác định với việc sử dụng mơ hình Chúng ta thảo luận mơ hình sử dụng để giảm thiểu hay hạn chế tác hại công mà xảy Cuối cùng, quan tâm làm để thực NSM mạng 9.1 Kiến trúc mơ hình an ninh mạng điểm tương đồng với mơ hình OSI Mỗi lớp NSM xây dựng lớp nó, giống với mơ hình OSI, lớp có vấn đề hay thất bại thực tác vụ đó, tất các lớp cịn khơng hoạt động Chúng ta quan sát NSM với mo hình OSI đảo trình bày Hình 9.1 để xem chúng có lien hệ khác Mức Lớp vật lý NSM Lớp vật lý mơ hình OSI Cả hai làm việc với vấn đề/khía cạnh vật lý mạng Lớp vật lý NSM giải an ninh vật lý Lớp vật lý mô hình OSI quan tâm đến kết nối mạng vật lý Mức thứ hai Lớp VLAN NSM Lớp kết nối số liệu mơ hình OSI Cả hai làm việc giống việc địa hóa MAC VLANs Lớp VLAN NSM giải phân vùng (segmentation) VLAN Nó chia switches segments dựa Lớp kết nối số liệu mơ hình OSI bao gồm đánh địa MAC 13 Mức thứ ba Lớp ACL NSM Lớp mạng mơ hình OSI Cả hai hoạt động giống với việc đánh địa IP LANs Lớp ACL NSM giải việc thực ACL phép hay từ chối truy nhập dựa Lớp mạng mơ hình OSI, Lớp mạng có bao gồm việc đánh địa IP Mức thứ tư Lớp phần mềm NSM Lớp giao vận mô hình OSI Cả hai giải vấn đề kết nối thực mạng từ host tới host Lớp phần mềm NSM xử lý phần mềm gói sửa chữa/vá lỗi, cho phép phần mềm không bị khai thác, Lớp giao vận mơ hình OSI mô tả kết nối đầu cuối kết nối phần mềm Mức thứ năm Lớp người sử dụng NSM Lớp phiên mơ hình OSI Cả hai làm việc với máy nội Lớp người sử dụng NSM làm việc với người sử dụng Lớp phiên mơ hình OSI làm việc trực tiếp với communication máy nội Mức thứ sáu Lớp quản trị NSM Lớp trình diễn mơ hình OSI Cả hai cung cấp chức quản trị Lớp quản trị làm việc với người sử dụng quản trị, người có kkhar định hướng người sử dụng , Lớp trình diễn định liệu định hướng Mức thứ bảy mức cuối Lớp IT department NSM Lớp ứng đụng mơ hình OSI Lớp IT department giải trực tiếp vấn đề bảo trì Lớp đảm bảo chắn toàn mạng làm việc bình thường xác Lớp ứng dụng mơ hình OSI xử lý liệu hiển thị 9.2 Một số ví dụ mơ hình an ninh mạng công (mạng) Chúng ta xem xét số công vào mạng Lớp làm việc thông qua ví dụ 9.2.1 Tấn cơng vật lý Đầu tiên xem đột nhập vật lý (a physical break-in) Trong ví dụ kẻ cơng đột nhập qua cửa bị khóa sau người nhà nghỉ tối Khơng có biện pháp an ninh vật lý khác sử dụng Kẻ công giành truy cập vật lý vào mạng việc sử dụng máy xách tay cắm vào cổng mạng Anh ta quét mạng nội để tìm máy chủ giành quyền truy nhập vào liệu Trong tình biện pháp an ninh khác phải sử dụng để ngăn chặn hacker truy nhập vật lý biện pháp máy quay, nhân viên bảo vệ hay hệ thống cảnh báo 9.2.2 Tấn công mạng riêng ảo 14 Thứ đến, quan tâm đến công mạng riêng ảo (VLAN attack) Chúng ta giả sử kẻ công khai thác Lớp vật lý có máy tính xách tay kết nối vào mạng để quét máy có khả bị tổn thương với lỗi MS03-026 http://www.microsoft.com/technet/security/bulletin/MS03026.mspx Bởi kẻ cơng có máy tính nằm mạng cục bộ, cố gắng khai thác thiết bị mạng mà Kẻ công cố gắng làm lây nhiễm mạng nội việc quét mạng khác làm cho trở lên dễ bị phát điều làm nhiều thời gian Nếu máy chủ không phân vùng từ mạng nội với việc sử dụng VLAN, kẻ cơng có cách trực tiếp để quét máy chủ Các VLANs bắt hacker phải quét nhiều mạng Một Lớp VLAN bị thất bại, biết Lớp vật lý thất bại 9.2.3 Tấn công danh sách điều khiển truy nhập ACL Thứ ba, xem xét công ACL (Access Control List) Một nhà quản trị mạng cấu hình ACLs thiết bị inbound từ mạng Internet tới máy chủ web, bao gồm cở sở liệu MS SQL người xem website Kẻ công biết rằng, máy chủ web tồn quét đại địa IP với cổng mở ACLs không thiết lập kẻ cơng thực tế qt tồn Các ACL đúng, cho phép cổng 80 họat động phịng tránh thất bại Lớp ACL Nó khơng vấn đề web server mạng khác ( thông qua việc sử dụng VLANs) kẻ cơng có tồn quyền truy nhập box 9.2.4 Tấn công phần mềm Thứ tư, xem xét công phần mềm Kẻ công cố gắng khai thác máy chủ server mà biết chạy Apache Anh ta thử chạy công để có /etc/passwd máy chủ Bởi phần mềm Apache chưa vá lỗi, thành công việc tải file mật Anh ta sử dụng file mật để đăng nhập vào máy chủ web Vá lỗi phần mềm liên tục xác phịng chống kiểu cơng ACLs khơng thể phịng chống kiểu cơng hacker thành cơng qua cổng 80 phép 9.2.5 Tấn công quản trị mạng người dùng 15 Thứ năm, xem xét công người sử dụng quản trị mạng Bởi giáo dục người sử dụng quản trị mạng tảng chính, đặt kiểu công Kẻ cơng tạo giả email tử IT department nói mật người sử dụng bị phải thay đổi hình thích tương tự để biết mật Bởi thiếu hiểu biết, người sử dụng tin vào e-mail thực u cầu Điều giúp cho kẻ cơng có tài khoản mạng để truy nhập từ xa Sửa lỗi phần mềm phịng chống kiểu cơng lỗi người sử dụng 9.2.6 Tấn cơng phịng công nghệ thông tin Thứ sáu kiểu công cuối công phận IT Một kẻ công gửi CD với sở liệu ghi cho từ khách hàng X Nhà quản trị mạng upload ghi vào csdl mà không để ý chương trình root kit tự động chạy Chương trình lấy thơng tin username mật nhà quản trị gửi cho kẻ cơng cách Thơng tin tài khoản cho phép kẻ cơng có nhiều quyền để khai thác, nguy hiểm 9.3 Làm để mơ hình an ninh mạng sử dụng để hạn chế công Trong mục xem xét làm để mơ hình an ninh mạng sử dụng để giảm thiểu tác hại công xảy Chúng ta nghiên cứu ví dụ cụ thể, nhiên, khái niệm giữ nguyên Lớp thay đổi Lỗi khai thác xem xét MS03-026 lỗi Lớp phần mềm Lỗi cho phép truy nhập từ xa tới thiết bị chạy Windows qua số lỗi cổng hay dịch vụ Windows Bời cơng Lớp phần mềm, nên Lớp Lớp bị khai thác Chúng ta cần phải qua Lớp từ đỉnh tới đáy để giảm thiểu tác hại công 9.3.1 Bước hạn chế Chúng ta bắt đầu với Lớp vật lý việc khoanh vùng cách ly máy bị nhiễm xác định kiểu phần mềm độc hại cơng chạy hệ thống việc chạy dị tìm (detector) phần mềm diệt virus Chúng ta xem xét có kẽ hở phần cứng khơng để từ kẻ cơng làm lây nhiễm máy khác thời điểm Một q trình hồn tất, xem xét mạng VLAN cáx c máy Ở tìm hosts khác bị lây nhiễm Chúng ta xử lý máy tương tự máy đầu 16 tiên Những máy bị lây nhiễm cách ly khỏi mạng quét để tìm phần mềm độc hại Tiếp đó, xem xét ACLs sử dụng định tuyến/hay tường lửa để xem xem host lây nhiễm mạng khác khơng Nếu ACL khơng khóa việc lây lan tới mạng riêng ảo khác, mạng riêng ảo bị xem xét để xem xem có host bị lây nhiễm khơng 9.3.2 Sự làm giảm ảnh hưởng mặt lâu dài Bây bắt đầu xem xét giảm tác động lâu dài, điều có nghĩa xem xét phần không hoạt động phần phải vá hay sửa chữa để lỗi không xảy Bời Lớp phần mềm Lớp bị lỗi, Lớp xem xét Bằng việc cập nhật xem có vá hay cập nhật cho Lớp phần mềm để phịng chống kiểu cơng này, có, chúng ta update hệ thống Phải đảm bảo tất máy phải cập nhật với vá Tiếp cân nhắc Lớp ACL để đảm bảo nỗ lực hosts mà chưa vá khơng xảy Tiếp xem xét Lớp VLAN để xem có nên thay đổi mạng riêng ảo VLANs để ngăn chặn bùng phát Điều bao gồm việc kiểm traneeus VLAN bảo vệ máy chủ khỏi công Tất VLAN nên kiểm tra, đánh giávà cấu hình lại Cuối cùng, an ninh vật lý nên đươc kiểm tra, liệu có lỗ hổng vật lý khơng khai thác? Nếu có, phòng tránh tương lai 9.4 Làm để thực mơ hình an ninh mạng 9.4.1 Giới thiệu việc thực thi NSM Thực NSM nên chiến lược quán phù hợp Điều có nghĩa tất Lớp nên thực thi nhanh tốt khơng có Lớp tâm điểm Lớp khác Ý tưởng mức an ninh phải thực thi Lớp NSM Sau mức bản, tất mức củng cố quán an ninh việc phát triển vòng đời an ninh mạng (Network Security Life-Cycle), điều thảo luận sau Các ACL nên mở rộng để bao gồm ACL An ninh vật lý nên tăng cường để đối phó cơng tương lai Ví dụ là, khóa sử dụng, bao gồm nâng cấp từ khóa thơng thường lên ID Badges có nhận dạng vô tuyến (RFID) bên để xác thực thâm nhập vào vùng khu vực cấm 9.4.2 Hiện thực NSM nhìn sâu chi tiết 17 Bước thực thi tất Lớp mức Bộ phận IT, phòng quản trị tất các users phải củng cố đào tạo thêm phần an ninh mạng Việc đào tạo phải tương đối dễ hiểu cho người ngồi phịng IT kỹ thuật sâu phịng IT Sau tất phần mềm phải kiểm tra cập nhật Ở Lớp ACL, chuyên gia an ninh mạng phải kiểm tra xem ACL sử dụng, chúng phải kiểm tra xác định để xem xét khác biệt Nếu khơng có ACL, chuyên gia an ninh mạng nên bắt đầu tạo ACL tổng quát Thứ đến, Lớp VLAN, VLANs phải kiểm tra xem chúng có sử dụng … Tại điểm này, khơng có VLAN sử dụng, VLAN khái quát nên tạo Cuối cùng, chuyên gia an ninh mạng nên kiểm tra xem có vấn đề an ninh vật lý, có, họ phải thực thi số biện pháp an ninh cần thiết Bước thứ hai bắt đầu làm việc với Lớp chi tiết Điều nghĩa phòng IT, nhà quản trị, người sử dụng nên bắt đầu tìm hiểu an ninh mạng, tác động hoạt động hàng ngày Điều đảm bảo rằng, lớp người dung (human layer) tốt người phịng IT đến người sử dụng đểu có kinh nghiệm làm việc an ninh mạng Mặc dù phòng thong tin nên đào tạo với kiến thức tảng kỹ thuật, Lớp người sử dụng (user layer) phải tương đối dễ hiệu không nặng mặt kỹ thuật để người sử dụng tốn nhiều thời gian hay công sức để hiểu sử dụng hệ thống Ở Lớp phần mềm, chuyên gia an ninh mạng nên xem xét phần mềm thời chạy hệ thống để bắt đầu đưa định phần mềm phải bị gỡ bỏ hay việc phân quyền cho người sử dụng Chúng ta kết hợp ACL Lớp VLAN thành Lớp mạng chúng làm việc thực hệ thống Các VLAN phải tạo để phân vùng mạng cần thiết ACL phải đưa vào hệ thống để điều khiển the flow of traffic Dĩ nhiên, trước VLAN them vào, ACL phải đặt cạnh (edge) để dừng traffic và, điều thực không mong muốn Khi VLAN tạo ra, ACL phải đặt hạn chế truy nhập tới chúng tới mức cần thiết Cũng vậy, camera phải đặt để dò kiểm tra sử dụng thiết bị Như đề cập trước đây, khơng Lớp bị dừng trình Lớp khác Các chuyên gia mạng không nên đợi để thực thi ACL VLAN họ tới tất cấu hình hệ thống hồn tất Sẽ khơng cần thiết để thực thi biện pháp an ninh mạng thứ tự Thay đó, đảm bảo tất Lớp làm việc mối lien hệ với Như trình bày, NSM giống với mơ hình OSI tất Lớp phải làm việc để có kết cần thiết, an ninh mạng hoàn chỉnh 18 10 Chu kỳ tồn an ninh mạng Khi mơ hình an ninh mạng thực thi, chuyên gia an ninh mạng bắt đầu chu kỳ tồn an ninh mạng Điều bao gồm kiểm tra cân để bảo đảm tất lớp bảo mật Chu kỳ tồn nên bắt đầu việc quan sát tất lớp từ điểm kỹ thuật (technical standpoint) Điều có nghĩa chuyên gia an ninh mạng nên quan sát mơ hình an ninh mạng thời để tìm kiếm vấn đề cải tiến cần thực Các sơ hở mà vừa giải phóng khỏi lần nâng cấp sau nên địa hóa Tại vị trí này, mơ hình an ninh mạng kiểm tra kiểm tra (test) thâm nhập để tìm mạo hiểm (exploit) lỗ hổng mà gây lỗi Nó thơng báo có kiểm tra thâm nhập ln thực chạy kiểu kiểm tra cần thiết cho việc tìm lỗ hổng Nếu mạo hiểm tìm thấy từ kiểm tra thâm nhập kết xử lý thể chúng break-in thật NSM bị chọc thủng Tóm lại, chuyên gia an ninh mạng quan sát lối để cập nhật lớp theo mở rộng công ty Việc nén giãn ACL VLAN theo yêu cầu, việc cải tiến bảo mật vật lý, việc tìm kiếm phiên phần mềm sẵn có việc chạy test đảm bảo khơng có phần mềm ứng dụng trái phép chạy hệ thống Việc huấn luyện cho tất phận IT, phận quản lý, phận người sử dụng nên trì để bảo đảm nhân viên biết an ninh mạng bồi dưỡng nhân viên cũ Chiến lược bảo đảm tất lớp luôn đặt quan sát kỹ lưỡng chúng trở nên an tồn Vì chu kỳ tồn tại, nên có điểm mà mơ hình an ninh mạng trở nên lỗi thời cần làm lại để theo kịp phát triển công ty địi hỏi cao kỹ thuật bảo mật Khơng có timeline đưa đến chu kỳ tồn tại; thời điểm diễn dựa vào cơng ty Một cơng ty nhỏ có chu kỳ tồn dài lại biến động dễ dàng có chi phí hiệu việc thay đổi cách đồng thời phần mơ hình an ninh mạng Một cơng ty lớn có chu kỳ tồn ngắn lại cố định dễ dàng việc thay đổi chi tiết nhỏ mơ hình an ninh mạng mà khơng gây phá vỡ dịch vụ Điều không áp dụng cho trường hợp có trường hợp mà cơng ty nhỏ lại muốn hướng tới chu kỳ tồn riêng biệt mà cơng ty lớn muốn dùng Ví dụ, cơng ty nhỏ có 24x7 hoạt động cần phải nhắm đến cơng ty lớn sở chu kỳ tồn để quản lý 24x7 hoạt động 19 11 Kết luận Hiện tại, khơng có mơ hình an ninh mạng cụ thể; viết đưa chứng minh tỏ mơ hình an ninh mạng khả dĩ, cho phép việc bảo mật mạng tổng quát thực thi quản lý mơ hình cơng ty Đây khung chung lớp thay đổi tính đến kết đặc điểm riêng công ty, mà đề cập 11.1 Hiện tượng lớp IDS/IPS? Có thứ khơng kèm với mơ hình, vùng IDS/IPS IDS’ nằm lớp vật lý IDS lệnh cho bạn sau công xảy việc cung cấp pháp lý “ở đâu” “khi nào” giống hệt camera Còn IPS’ khơng tính đến chúng nằm vùng ACL chúng thực kiểu hoạt động; Blocking dẫn đường từ mạng tới mạng khác Vấn đề quan trọng hệ thống IDS/IPS khơng xác 100% cung cấp đầy đủ vài dương lỗi Điều khiến chúng khơng đáng tin chúng tính đến mạng không Những người phát triển IDS/IPS hàng ngày đưa cải tiến để trở nên xác nữa, có nhiều cách để phá vỡ chúng chúng đơn độc 20 ... quan trọng an ninh? 12 Làm việc với mơ hình an ninh mạng 13 9.1 Kiến trúc mơ hình an ninh mạng điểm tương đồng với mơ hình OSI 13 9.2 Một số ví dụ mơ hình an ninh mạng. .. mơ hình OSI tất Lớp phải làm việc để có kết cần thiết, an ninh mạng hoàn chỉnh 18 10 Chu kỳ tồn an ninh mạng Khi mơ hình an ninh mạng thực thi, chuyên gia an ninh mạng bắt đầu chu kỳ tồn an ninh. .. chuẩn mà tất chuyên gia an ninh mạng tuân thủ, mơ hình an ninh mạng (NSM) Ngày mạng lưới tinh vi phức tạp cung cấp nội dung cho NSM Mơ hình an ninh mạng (NMS) đề xuất mơ hình bảy lớp thực việc