0 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN KHÁNH TÙ NG XÂY DƢ̣NG PHƢƠNG PHÁP THU THẬP VÀ PHÂN TÍ CH SỐ LIỆU LỖI CẤU HÌNH MẠNG MÁ Y TÍ NH Ngành: Hê ̣ thống thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104 LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN Hà Nội - 2016 LỜI CAM ĐOAN Tôi cam đoan luâ ̣n văn này không chép của Nế u chép luâ ̣n văn của người khác, xin chiụ hoàn toàn mọi trách nhiệm Ngƣời cam đoan Nguyễn Khánh Tùng MỤC LỤC LỜI CAM ĐOAN MỤC LỤC DANH MỤC CÁC BẢNG DANH MỤC HÌ NH VẼ VÀ ĐỒ THI ̣ CHƢƠNG TỔNG QUAN VỀ AN NINH MẠNG 1.1 Tổ ng quan về an ninh ma ̣ng 1.1.1 Sự phát triể n của liñ h vực an ninh ma ̣ng 1.1.2 Mô ̣t số tổ chức an ninh ma ̣ng 1.1.3 Các lĩnh vực về an ninh ma ̣ng 1.1.4 Chính sách an ninh mạng 11 1.1.5 Khái niệm lỗi cấu hình an ninh 11 1.1.6 Khái niệm về đường sở an ninh (Security Baseline) 12 1.1.7 Khái niệm gia cố thiết bị (device hardening) 14 1.2 Lý lựa chọn đề tài 14 1.2.1 Phân tić h mô ̣t vài chỉ số về ATTT ta ̣i Viê ̣t Nam năm 2015 14 1.2.2 Tầ m quan tro ̣ng của viê ̣c quản lý cấ u hiǹ h ma ̣ng 16 1.2.3 Các hình thức tấn công mạng khai thác lỗi cấ u hình 17 1.2.4 Hâ ̣u quả của những vu ̣ tấ n công ma ̣ng lỗi cấ u hình 19 1.3 Phương pháp nghiên cứu và kế t quả đa ̣t đươ ̣c 20 1.3.1 Phương pháp nghiên cứu 20 1.3.2 Kế t quả đa ̣t đươ ̣c của luâ ̣n văn 23 CHƢƠNG KHẢO SÁT MỘT MẠNG MÁY TÍNH ĐIỂN HÌNH 24 2.1 Mô hiǹ h ̣ thố ng ma ̣ng doanh nghiê ̣p 24 2.2 Những lỗi quản tri ̣viên gă ̣p phải cấ u hình ̣ thố ng ma ̣ng 26 2.2.1 Các lỗi liên quan đế n cấ u hiǹ h quản lý thiết bị 26 2.2.2 Các lỗi cấu hình thiết bị tầng truy nhập 32 2.2.3 Các lỗi cấu hình thiết bị tầng phân phối và tầng lõi 39 CHƢƠNG PHƢƠNG PHÁP THU THẬP CẤU HÌ NH 43 3.1 Yêu cầ u của viê ̣c thu thâ ̣p số liê ̣u cấ u hiǹ h 43 3.2 Chuẩ n bi ̣về người, quy trình, phầ n cứng, phầ n mề m, dữ liê ̣u 43 3.3 Cách copy cấu hình về máy chủ 47 3.3.1 Quy đinh ̣ về đă ̣t tên file cấ u hiǹ h 48 3.3.2 Phương pháp lấ y mẫu nế u số lươ ̣ng thiế t bi ̣lớn 48 3.3.3 Kiể m tra các file cấ u hình thu thâ ̣p đươ ̣c 48 CHƢƠNG PHƢƠNG PHÁP ĐÁNH GIÁ CẤU HÌ NH AN NINH 50 4.1 Phương pháp chung để đánh giá cấu hình an ninh 50 4.2 Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 51 4.3 Đánh giá lỗi cấu hình quản lý 57 4.4 Đánh giá lỗi cấu hình thiết bị tầng truy nhập 59 4.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng core 61 4.6 Chương triǹ h đánh giá lỗi cấ u hiǹ h 63 4.6.1 Những tính chính của chương trình 63 4.6.2 So sánh với mô ̣t số chương trình đánh giá khác 67 CHƢƠNG KẾT LUẬN VÀ HƢỚNG PHÁ T TRIỂN 71 5.1 Tầ m quan tro ̣ng của đề tài 71 5.2 Những vấ n đề đa ̣t đươ ̣c: 72 5.3 Những vấ n đề còn tồ n ta ̣i 72 5.3 Hướng phát triể n 73 TÀI LIỆU THAM KHẢO 74 DANH MỤC CÁC BẢNG Bảng 1.1 Các kỹ thuật tấn công vào hệ thống mạng Việt Nam năm 2015 Bảng 2.1 Những lỗi cấ u hiǹ h an ninh quản lý Bảng 2.2 Cấ u hiǹ h quản lý có lỗi và cấ u hin ̀ h khuyế n nghi ̣ Bảng 2.3 Lỗi cấ u hình an ninh swich và khuyế n nghị Bảng 2.4 Mẫu cấ u hình an ninh khuyế n nghi ̣trên switch Bảng 2.5 Tóm tắt các lỗi cấu hình thiết bị định tuyến không dây Bảng 2.6 Bảng mô tả lỗi cấu hình và cách cấu hình khuyến nghị Bảng 2.7 Mẫu cấ u hiǹ h an ninh cho thiế t bi ̣tầ ng phân phố i và tầ ng lõi Bảng 3.1 Các bước copy file cấu hình từ thiết bị lên máy chủ Bảng 4.1 Các thuật ngữ mô hình đo kiểm ATTT Bảng 4.2 Bảng đo kiểm các lỗi cấu hình quản lý Bảng 4.3 Bảng đo kiểm các lỗi cấu hình tầng truy nhập Bảng 4.4 Đo kiể m các lỗi cấ u hình tầ ng phân phố i và tầ ng lõi DANH MỤC HÌNH VẼ VÀ ĐỒ THI ̣ CHƢƠNG TỔNG QUAN VỀ AN NINH MẠNG 1.1 Tổ ng quan về an ninh ma ̣ng Đảm bảo an ninh mạng hiện là yêu cầ u cấ p thiế t viê ̣c quản tri ̣mô ̣t ̣ thố ng ma ̣ng máy tiń h An ninh ma ̣ng liên quan đến các giao thức, công nghệ, thiết bị, công cụ và kỹ thuật để đảm bảo an toàn dữ liệu và giảm thiểu các mối đe dọa Ngay từ những năm 1960, vấ n đề an ninh mạng đã đươ ̣c đề câ ̣p đế n chưa phát triển thành tập các giải pháp toàn diện Cho đế n những năm 2000, các giải pháp toàn diê ̣n về an ninh ma ̣ng mới thực sự đươ ̣c công bố Các nỗ lực đảm bảo a n ninh mạng xuấ t phát từ việc cần trước tin tặc (hacker) có ý đồ xấu bước Các chuyên gia an ninh mạng phải liên tục tìm các dấu hiệu tấn công , các lỗ hổng , để ngăn chặn các tấn công tiềm giảm thiểu những ảnh hưởng của các tấn công Đảm bảo cho ̣ thố ng hoa ̣t đô ̣ng ổ n đinh , sẵn sàng đáp ứng với các nghiê ̣p vu ̣ ̣ kinh doanh cũng là mô ̣t những động lực chính dẫn đế n viê ̣c bảo đảm an ninh mạng Trên thế giới, các tổ chức an ninh mạng được thà nh lâ ̣p Các tổ chức này cung cấp môi trường hoa ̣t đô ̣ng cô ̣ng đồ ng cho các chuyên gia nhằ m trao đổ i thông tin , xây dựng những giải ý tưởng , giải pháp về an ninh Nguồ n tài nguyên đươ ̣c cung cấ p bởi các tổ chức này (các tài liê ̣u, khuyế n nghi ̣, giải pháp…) là rất hữu ích cho công việc hàng ngày của những người làm về an ninh mạng Chính sách an ninh mạng được tạo bởi các công ty và tổ chức chính phủ để cung cấp khuôn khổ mà các nhân viên cần phải t hực hiê ̣n công việc ngày của họ Các chuyên gia an ninh mạng ở cấp quản lý phải chịu trách nhiệm cho việc tạo và trì các chính sách an ninh mạng Tất cả các biện pháp an ninh mạng liên quan đến và được hướng dẫn bởi các chính sách an ninh mạng Các kỹ thuật tấn công mạng thường được phân loại để tìm hiểu và xử lý cách thích hợp Virus, sâu, và Trojan là loại hình cụ thể của các tấn công mạng Các tấn công mạng được phân loại thành các hin ̀ h thức : tấ n công thám, tấ n công truy cập, tấn công từ chối dịch vụ (DoS) Giảm nhẹ các tấn công mạng là công việc của chuyên gia an ninh mạng 1.1.1 Sƣ ̣ phát triể n của linh ̃ vƣc̣ an ninh ma ̣ng Năm 2011, sâu code red đã lây lan ̣ thố ng ma ̣ng toàn thế giới Ước tính có khoảng 350 nghìn máy tính bị lây nhiễm Sâu code red làm cho các máy chủ không thể truy câ ̣p đươ ̣c và đó làm ảnh hưởng đế n hàng triê ̣u người dùng Đây là mô ̣t ví du ̣ điể n hin ̀ h minh chứng cho thấ y nế u quản tri ̣viên không luôn sát với ̣ thố ng mình quản lý, đă ̣c biê ̣t là tìm hiể u nhũng lỗ hổng an ninh và cập nhật những bản vá lỗi , thì hậu quả xảy có thể là khôn lường Những hâ ̣u quả thường xảy các vu ̣ tấ n công ma ̣ng có thể gây ra: - Mấ t mát dữ liê ̣u - Lô ̣ lo ̣t thông tin - Thông tin bi ̣sửa đổ i - Không truy câ ̣p đươ ̣c dich ̣ vu ̣ Năm 1985 các loa ̣i sâu , virus phát triể n ma ̣nh , những người làm về ma ̣ng bắ t đầ u quan tâm đế n viê ̣c bảo vê ̣ ̣ thố ng ma ̣ng Lúc đó những tin tặc có kiến thức và kỹ rấ t tố t những công cu ̣ mà tin tă ̣c ta ̣o còn thô sơ Nhưng đế n nay, những công cu ̣ sử du ̣ng để tấ n công ma ̣ng thường rấ t phức ta ̣p Kẻ tấn công không cần n hiề u kiế n thức và kỹ cũng có thể gây những cuô ̣c tấ n công gây nhiề u thiê ̣t ̣i sử du ̣ng những công cu ̣ Có thể liệt kê số công cụ bảo vệ hệ thống mạng đươ ̣c xây dựng và phát triể n : - Năm 1990: DEC Packet Filter Firewall, AT&T Bell Labs Stateful Packet Firewall, DEC SEAL Application Firewall - Năm 1995: CheckPoint Firewall, NetRanger IDS, RealSecure IDS - Năm 2000: Snort IDS - Năm 2005: Cisco Zonebase Policy Firewall - Năm 2010: Cisco Security Intelligent Operation Những năm gầ n với sự phát triể n của công nghê ̣ điê ̣n toán đám mây , sự bùng nổ của các thiết bị di động, thiế t bi IoT,…co ̣ ́ thêm nhiề u giải pháp an ninh ma ̣ng toàn diê ̣n đươ ̣c phát triể n để đáp ứng các yêu cầ u bảo vê ̣ đa da ̣ng Các giải pháp không chỉ ngăn chă ̣n những mố i nguy từ bên ngoài , mà cả những nguy xuất phát từ bên hệ thố ng ma ̣ng nô ̣i bô ̣ Hình 1.1 Mố i nguy đế n từ bên ngoài và bên Nguồ n: CCNA Security Những nguy đế n từ bên có thể mô ̣t nhân viên có kỹ bấ t mañ và có ý đồ phá hoại Các nguy xuất phát từ bên có thể chia làm dạng: giả mạo (spoofing) hoă ̣c tấ n công DoS Giả mạo là hình thức tấn công đó mô ̣t máy tính thay đổi danh tính để trở thành máy tính khác Ví dụ: giả mạo địa chỉ MAC , giả mạo địa chỉ IP Tấ n công từ chố i dich ̣ vu ̣ làm cho mô ̣t máy tin ́ h (thường là máy chủ cung cấ p dich ̣ vu )̣ không thể phu ̣c vu ̣ đươ ̣c các yêu cầ u từ phía máy khách Những giải pháp về tường lửa (Firewall), phát hiện và phòng chống xâm nhập (IDS/IPS) có đặc điểm là ngăn chặn những luồng thông tin độc hại (malicious traffic) Bên ca ̣nh đó , việc đảm bảo an ninh mạng là phải bảo vệ được dữ liệu Mâ ̣t mã đươ ̣c sử dụng rất phổ biến việc bảo đảm an ninh mạng hiện Các dạng truyền tin khác đề u có những giao thức và kỹ thuâ ̣t để che dấ u các thông tin của dạng truyền tin đó Ví dụ mã hóa các gọi điện thoại Internet , mã hóa các file được truyền ma ̣ng v v Mâ ̣t mã đảm bảo tính bí mâ ̣t cho dữ liê ̣u Tính bí mật là ba tính chất của đảm bảo an toàn thông tin đó là : tính bí mật (Confidentiality), tính toàn vẹn (Intergrity) và tính sẵn sàng ( Availability) Để đảm bảo tin ́ h bí mâ ̣t của dữ liê ̣u thì phương pháp thường đươ ̣c sử du ̣ng là mã hóa Để đảm bảo tính toàn ve ̣n , tức là đảm bảo dữ liệu không bị thay đổi , phương pháp thường đươ ̣c sử du ̣ng là băm (hashing mechanism) Để đảm bảo tính sẵn sàng , tức là có thể truy câ ̣p đươ ̣c thông tin cầ n, phương pháp là gia cố ̣ thố ng và lưu dự phòng Mô ̣t vài giải pháp bảo vê ̣ cho dữ liê ̣u có thể kể đế n : - Năm 1997: giải pháp site-to-site IPSec VPN - Năm 2001: giải pháp remote access IPSec VPN - Năm 2005: giải pháp SSL VPN - Năm 2009: GET VPN 60 Số đo bản Đối với switch lớp acc-shutdown acc-dhcpsnooping acc-DAI acc-portsecurity acc-IPSouceGuard acc-IPv6 acc-BPDUGuard Đối với thiết bị định tuyến không dây wl-SSID wl-SimplePass wl-MAC wl-Default Phương pháp đo So sánh cấ u hin ̀ h mẫu (khuyế n nghi )̣ với cấ u hin ̀ h hiê ̣n ta ̣i xem có khớp hay không Loại phương pháp đo Khách quan: định lượng dựa các quy tắc số học Thang giá trị Có/Không Có: tức là có thực hiện cấu hình tham số quản lý thiết bị Không: là không thực hiện cấu hình tham số quản lý thiết bị Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả về báo Chỉ báo Có/Không Mô hình phân tích Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Kết bài đo Theo thang giá tri ̣là “Có” /”Không” 61 Giải thích chỉ báo Mô tả ý nghiã từng tham số cấ u hin ̀ h thiế t bi ̣tầ ng truy nhâ ̣p Định dạng hồ sơ đo Báo cáo dưới dạng văn bản Các bên liên quan Người trách nhiệm bài Nhân viên phòng ATTT đo Người xem xét kết quả Trưởng phòng ATTT; Người phu ̣ trách về CNTT đo doanh nghiê ̣p Người sở hữu thông tin Phòng ATTT Bộ phận thu thập thông Phòng vận hành tin Bộ phận trao đổi thông Phòng vận hành; Phòng ATTT tin Tần suất thực hiện Tần suất thu thập dữ Tùy theo chính sách an ninh của tổ chức liệu Tần suất phân tích dữ Tùy theo chính sách an ninh của tổ chức liệu Tần suất và hồ sơ đo Tần suất sửa đổi bài đo Tần suất thực hiện bài đo Bảng 4.3 Bảng đo kiểm các lỗi cấu hình tầng truy nhập 4.5 Đánh giá lỗi cấu hình thiết bị tầng phân phối và tầng core Đối với cấu hình thiết bị tầng phân phối/lõi, sẽ thực hiện kiểm tra những vấn đề lỗi sau: TÊN CÁC THÀNH GIẢI THÍCH PHẦN Thông tin chung bài đo Tên bài đo Đo các tham số về cấ u hin ̣ ̉ tầ ng ̀ h an ninh thiế t bi phân phố i/tầ ng lõi 62 Số hiệu Distribution-Core-Device-Check Mục đích Kiể m tra các cấ u hin ̀ h an ninh các thiế t bi ̣tầ ng truy nhâ ̣p xem có tuân thủ theo chính sách an ninh hay không Mục tiêu biện pháp Kiể m tra các cấ u hình an ninh các thiế t bi ̣tầ ng truy quản lý nhâ ̣p xem có tuân thủ theo chính sách an ninh hay không, để từ đó có biện pháp khắc phục Biện pháp quản lý (1) Có sự tham gia của Phòng ATTT và Phòng vận hành   Biện pháp quản lý (2) Phòng vận hành: thu thâ ̣p cấ u hin ̀ h Phòng ATTT: đánh giá cấ u hình an ninh Đối tƣợng bài đo và các thuộc tính Đối tượng Cấ u hiǹ h an ninh trên thiế t bi ̣ma ̣ng ở tầ ng phân phố i/tầ ng lõi (thiế t bi ̣đinh ̣ tuyế n , thiế t bi ̣chuyể n ma ̣ch lớp 3) Thuộc tính Các cấu hình quản lý đề cập mục 3.6.3 Bảng số Thông tin đặc tả về số đo cho mỗi số đo [từ đến n] Số đo bản Core-Passive-Int Core-Routing-Info Phương pháp đo So sánh cấ u hình mẫu (khuyế n nghi )̣ với cấ u hình hiê ̣n ta ̣i xem có khớp hay không Loại phương pháp đo Khách quan: định lượng dựa các quy tắc số học Thang giá trị Có/Không - Có: tức là có thực hiê ̣n cấ u hình tham số quản lý thiế t bi ̣ - Không: là không thực hiện cấu hình tham số quản lý thiết bị Loại thang giá trị Đơn vị đo Thông tin đặc tả về số đo dẫn xuất Số đo dẫn xuất Hàm đo lường Thông tin đặc tả về báo Chỉ báo Có/Không 63 Mô hình phân tích Thông tin đặc tả về tiêu chí quyết định Tiêu chí quyết định Theo thang giá tri ̣là “Có” /”Không” Kết bài đo Giải thích chỉ báo Mô tả ý nghiã từng tham số cấ u hin ̀ h thiế t bi ̣tầ ng phân phố i và tầ ng lỗi Định dạng hồ sơ đo Báo cáo dưới dạng văn bản Các bên liên quan Người trách nhiệm bài Nhân viên phòng ATTT đo Người xem xét kết quả Trưởng phòng ATTT; Người phu ̣ trách về CNTT đo doanh nghiê ̣p Người sở hữu thông tin Phòng ATTT Bộ phận thu thập thông Phòng vận hành tin Bộ phận trao đổi thông Phòng vận hành; Phòng ATTT tin Tần suất thực hiện Tần suất thu thập dữ Tùy theo chính sách an ninh của tổ chức liệu Tần suất phân tích dữ Tùy theo chính sách an ninh của tổ chức liệu Tần suất và hồ sơ đo Tần suất sửa đổi bài đo Tần suất thực hiện bài đo Bảng 4.4 Đo kiểm các lỗ i cấ u hình tầ ng phân phố i và tầ ng loĩ 4.6 Chƣơng trin ̀ h đánh giá lỗi cấ u hin ̀ h 4.6.1 Nhƣ̃ng tính chính của chƣơng trin ̀ h Để hỗ trơ ̣ cho viê ̣c đánh giá , luâ ̣n văn đề xuấ t xây dựng mô ̣t chương trình ứng du ̣ng phân tić h cấ u hiǹ h tự đô ̣ng 64 Đầu vào của chương trình là thư mục chứa các file cấu hình của các thiết bị mạng mô ̣t ̣ thố ng ma ̣ng Đầu là kết quả báo cáo tổng hợp về tình trạng cấu hình an ninh của ̣ thố ng ma ̣ng đó Ngoài chương trình còn xuất báo cáo chi tiết những lỗi cấu hình an ninh từng thiế t bi ̣ma ̣ng Hình 4.4 Đầu vào của chương trình là thư mục chứa các cấ u hình cầ n đánh giá 65 Hình 4.5 Đầu của chương trình là đánh giá cấu hình an ninh từng Router Hình 4.6 Báo cáo thống kê thiết bị nào có lỗi gì 66 Hình 4.7 Điều chỉnh các quy đinh ̣ về cấ u hình vào file XML Công cu ̣ phát triể n : Java Swing: là công cụ tiện ích, là phần của ngôn ngữ lập trình Java tổng thể Java Swing là phần của Java Foundation Classes (JFC) được sử dụng để tạo các ứng dụng Window-Based Lý lựa chọn công cụ này là Java Swing cung cấp các thành phần phát triển gọn nhẹ , đô ̣c lâ ̣p Do vâ ̣y chương trin ̣ nhỏ ̀ h biên dich gọn và chạy nhiề u nề n tảng (hê ̣ điề u hành) khác - Ưu điể m chương trình:  Cho phép thêm các quy đinh ̣ về an ninh cầ n  Gọn nhẹ, xử lý nhanh, dễ sử du ̣ng  Chạy đa nền tảng  Cho phép hiê ̣u chỉnh các quy đinh ̣ về cấ u hình - Nhược điể m:  Các báo cáo đưa cần cải thiện về giao diện để dễ quan sát  Chưa có giao diê ̣n quản lý các luâ ̣t (thêm, sửa, xóa) để điều chỉnh cho phù hơ ̣p với từng doanh nghiê ̣p 67  Mới chỉ thực hiê ̣n đánh giá đươ ̣c cấ u hình thiế t bi ̣hañ g Cisco 4.6.2 So sánh với một số chƣơng trình đánh giá khác Cisco Configuration Professional Hiê ̣n hañ g Cisco đưa chương trin ̀ h Cisco Configuration Professional Chương trình này mục tiêu chính là hỗ trơ ̣ quản tri ̣viên cấ u hình ̣ thố ng ma ̣ng bằ ng giao diê ̣n web Trong mu ̣c Security Audit cho phép quản tri viên so sánh cấ u hin ̣ ̀ h hoa ̣t đô ̣ng mô ̣t thiế t bi ̣ma ̣ng với cấ u hin ̀ h mẫu , từ đó đưa đánh giá Hình 4.8 Tính Security Audit ứng dụng CCP của Cisco 68 Hình 4.9 Báo cáo các lỗi cấu hình và cho phép tự động sửa lỗi - Ưu điể m:  Giao diê ̣n thiế t kế tố t, dễ sử du ̣ng;  Tính tự động tìm kiếm lỗi cấu hình và sửa lỗi cấu hình hoạt động tốt - Nhược điể m:  Chỉ cho phép đánh giá cấu hình và sửa lỗi cấu hình từng thiết bị  Không cho phép sửa đổ i quy đinh ̣ cấ u hin ̀ h Router Audit Tool Đây là mô ̣t chương trình miễn phí , cho phép kiể m tra cấ u hình các thiế t bi ̣ma ̣ng Chương triǹ h này có đầ u vào là các file cấ u hin ̀ h , đầ u là các báo cáo tổ ng hơ ̣p và các báo cáo chi tiết về các lỗi cấu hình 69 Hình 4.10 Giao diê ̣n báo cáo tổ ng hợp Hình 4.11 Báo cáo chi tiết lỗi cấu hình từng Router - Ưu điể m: 70  Gọn nhẹ, chạy chính xác  Các báo cáo đánh giá lỗi cấu hình rõ ràng và khoa học - Nhược điể m:  Chỉ đánh giá đươ ̣c cấ u hình thiế t bi ̣Cisco  Người dùng không thể tự thêm các quy đinh ̣ về cấ u hình Sau so sánh giữa cấu hình hoạt động và cấu hình mẫu, chúng ta sẽ biết được cấu hình các thiết bị có tuân thủ đúng với chính sách an ninh của doanh nghiệp/ tổ chức đặt hay không Kết quả báo cáo có trạng thái là “Đạt” “Không đạt” Mẫu báo cáo đường an ninh sở tùy thuô ̣c vào từng tổ chức Trong báo cáo này , cầ n có kết quả của bài đo kiểm tra cấu hình an ninh Cô ̣t “Lý do” để lưu lại những lý tại không đạt yêu cầu về việc cấu hình Đây là kế t quả của buổ i làm viê ̣c giữa Phòng vận hành và Phòng ATTT Phòng vận hành có trách nhiệm giải trình tại những thuô ̣c tính an ninh đó không đươ ̣c thực hiê ̣n; nào thì sẽ thực hiê ̣n Từ báo cáo trên, người quản trị mạng sẽ xem xét và thực hiện cấu hình lại những lỗi để đảm bảo cấu hình an ninh chạy tuân thủ theo chính sách an toàn bảo mâ ̣t thông tin mà công ty đã đề 71 CHƢƠNG KẾT LUẬN VÀ HƢỚNG PHÁ T TRIỂN 5.1 Tầ m quan tro ̣ng của đề tài Theo báo cáo Hiệp hội an toàn thông tin Việt Nam VNISA năm 2015, vấn đề quản lý lỗi cấ u hiǹ h ̣ thố ng ma ̣ng là mô ̣ t vấ n đề khó khăn quá trin ̀ h quản lý ma ̣ng máy tính của doanh nghiệp Trên thế giới, vấ n đề này đươ ̣c đánh giá là “bắt buộc phải làm” vì nếu không quản lý được cấu hình thì hệ thống mạng đó được coi là bỏ ngỏ đố i với kẻ tấ n công ma ̣ng 10 Những ̣ thố ng không đươ ̣c quản lý cấ u hình còn đươ ̣c go ̣i là ̣ thố ng quản lý tồ i (mismanagement network) Và đã phân tích thực trạng an ninh ma ̣ng Viê ̣t Nam năm 2015, các vụ khai thác lỗ hổng liên quan đến lỗi cấ u hin ̀ h mạng đã gây những vụ việc mấ t an toàn thông tin nghiêm tro ̣ng Từ nhu cầ u thực tiễn viê ̣c quản lý cấ u hin ̀ h đã nêu ở , luâ ̣n văn “ Xây dựng phương pháp thu thập và phân tích số liê ̣u lỗi cấ u hình của mạng máy tính” tâ ̣p trung vào việc phân tích và đánh giá xem cấu hình an ninh các thiết bị hạ tầng m ạng của mô ̣t tổ chức , doanh nghiê ̣p có tuân thủ theo chính sách an ninh của tổ chức đó hay không Để giải quyế t vấ n đề , luâ ̣n văn khảo sát mô ̣t mô hin ̀ h ma ̣ng máy tin ́ h điể n hin ̀ h , đươ ̣c sử du ̣ng phổ bi ến tại các doanh nghiệ p Tiế p đó luâ ̣n văn liê ̣t kê những lỗi cấ u hình an ninh mà người quản trị mạng thường mắc phải cấu hình các thiết bị mạng; những lỗi cấ u hiǹ h này sẽ ta ̣o những điể m yế u gì ; cách thức kẻ tấn công khai thác những điể m yế u này thế nào ; hâ ̣u quả xảy là gì Sau đã chỉ những điể m yế u nêu , luâ ̣n văn đề xuấ t phương pháp thu thâ ̣p số liê ̣u cấ u hiǹ h từ các thiế t bi ̣trên ̣ thố ng ma ̣ng , đảm bảo tin ́ h đơn giản , thuâ ̣n ti ện, chính xác Phương pháp thu thâ ̣p cấ u hình đươ ̣c đưa dựa giải pháp về quy trình , người, kỹ thuật Sau đã thu thâ ̣p đươ ̣c số liê ̣u cấ u hình luâ ̣n văn đề xuấ t phư ơng pháp đánh giá cấ u hình để xem cấu hình đó c ó tuân thủ theo các khuyến nghị an ninh hay không Luâ ̣n văn đề xuấ t cách tiế p câ ̣n đánh giá theo Tiêu chuẩ n đo lường an ninh TCVN 10542:2014 ISO/IEC 27004:2014 Tiêu chuẩn này cung cấp hướng dẫn về việc phát triển và sử dụng các số đo và bài đo để đánh giá hiệu lực của hệ thống quản lý an 10 https://forum.whitehat.vn/forum/thao-luan/tin-tuc/57141-hon-300-nghin-he-thong-mang-tai-viet-nam-dang- trong-tinh-trang bo-ngo - 72 toàn thông tin Phương pháp chung là so sánh cấ u hin ̀ h hoa ̣t đô ̣ng với mẫu cấ u hình an ninh khuyến nghị Nế u có sự khác biê ̣t thì đánh dấ u la ̣i và cầ n có giải trin ̀ h 5.2 Nhƣ̃ng vấ n đề đa ̣t đƣơ ̣c: - Phân tić h đươ ̣c tầ m quan tro ̣ng của viê ̣c quản lý cấ u hin ̀ h công tác đảm bảo an toàn cho hệ thống mạng máy tính của doanh nghiệp - Làm rõ được những lỗi cấu hìn h an ninh thiế t bi ̣ma ̣ng ; những nguy có thể xảy để tồn tại những lỗi này; cách cấu hình khắc phục lỗi - Đề xuấ t đươ ̣c phương pháp thu thâ ̣p cấ u hình tâ ̣p trung Phương pháp này đã đươ ̣c kiể m đinh ̣ thực tế làm viê ̣c của tác giả luâ ̣n văn Khi tuân thủ đúng phương pháp này thì việc thu thập cấu hình sẽ đạt được các yêu cầu ở Mục 3.1 - Đề xuấ t đươ ̣c phương pháp đánh giá lỗi cấ u hin ̀ h Phương pháp đánh giá là so sánh cấ u hin ̀ h hoa ̣t đô ̣ng với cấ u hin ̀ h khuyế n ng hị Đây cũng là phương pháp mà các hãng thiết bị, các hãng phần mềm ứng dụng thường sử dụng muốn đánh giá lỗi cấu hình thiết bị mạng - Xây dựng chương trình đánh giá cấ u lỗi cấ u hình Đầu vào của chương trình là thư mu ̣c chứa các file cấ u hiǹ h của các thiế t bi ̣ma ̣ng mô ̣t ̣ thố ng ma ̣ng Đầu là kết quả báo cáo tổng hợp và chi tiết về tin ̀ h tra ̣ng cấ u hin ̀ h an ninh của ̣ thố ng mạng đó Ưu điể m chính của chương trình so với các phầ n mề m khác là cho phép người đánh giá hiê ̣u chin̉ h các quy đinh ̣ về cấ u hin ̀ h an ninh , cho phù hơ ̣p với từng ̣ thố ng ma ̣ng 5.3 Nhƣ̃ng vấ n đề còn tồ n ta ̣i - Luâ ̣n văn mới chỉ đề câ ̣p đến mô hình mạng tại địa điểm , chưa mở rô ̣ng viê ̣c khảo sát hệ thống mạng có nhiều chi nhánh - Thiế t bi ̣đề câ ̣p đế n luâ ̣n văn là của hañ g Cisco Thực tế ở Viê ̣t Nam hiê ̣n các doanh nghiệp sử dụng thiết bị củ a nhiề u hañ g , ví dụ Juniper v v Vì vậy cần xem xét đến đặc điểm cấu hình an ninh các thiết bị của các hãng khác Luâ ̣n văn cũng mới đề cập đến các thiết bị bản (Switch, Router, wireless router ) Trong ̣ thố ng mạng còn những thiết bị Firewall , Server,…Vì vâ ̣y cầ n tiế p tu ̣c nghiên cứu những thiế t bi ̣này để đưa cấ u hin ̀ h an ninh phù hơ ̣p 73 - Những lỗi cấ u hiǹ h đươ ̣c chỉ luâ ̣n văn là những lỗi cấ u hin ̀ h bản , thường gă ̣p Còn nhiều các tham số cấu hình an ninh cần được bổ sung thêm để tăng cường tính an ninh cho thiết bị 5.3 Hƣớng phát triể n - Tiế p tu ̣c tham khảo thêm những lỗi cấ u hình an ninh đươ ̣c đề câ ̣p các tài liê ̣u của hãng thiết bị, các khuyến nghị từ các tổ chức an ninh mạng , các tiêu chuẩn Từ đó câ ̣p nhâ ̣t thêm vào sơ dữ liê ̣u lỗi cấ u hin ̀ h luâ ̣n văn - Mở rô ̣ng viê ̣c đánh giá lỗi cấ u hình các thiế t bi ̣ở biên của ma ̣ng (Firewall, VPN gateway…) Cầ n nghiên cứu những yêu cầ u về cấ u hin ̀ h an ninh cho những thiế t bi ̣ này, từ đó bổ sung thêm mô ̣t tầ ng kế t nố i ma ̣ng biên (Border network ) cho mô hình mạng đã đề cập ở Chương Đây là cách tiế p câ ̣n mô ̣t mô hin ̀ h ma ̣ng doanh nghiê ̣p hoàn chỉnh để đánh giá Mô hin ̉ h cầ n có thêm các kế t nố i với ̀ h ma ̣ng hoàn chin các chi nhánh, kế t nố i ngoài Internet Hướng tới xây dựng mô ̣t quy trình đánh giá lỗi cấ u hin ̀ h an ninh cho ̣ thố ng ma ̣ng hoàn chỉnh; từ đó áp du ̣ng vào các ̣ thố ng ma ̣ng thực tế - Nghiên cứu thêm về cấ u hiǹ h thiế t bi ̣hañ g Juniper , đươ ̣c sử du ̣ng khá phổ biế n các doanh nghiê ̣p vừa và lớn ở Viê ̣t Nam Từ đó tić h hơ ̣p vào chương trì nh ứng dụng để đánh giá các lỗi cấu hình an ninh các dòng thiết bị hãng này Để hoàn thiê ̣n luâ ̣n văn này , xin chân thành cám ơn sự chỉ bảo hướng dẫn nhiê ̣t tình của TS Lê Đức Phong – giảng viên hướng dẫn và sự quan tâm chỉ bảo giúp đỡ của các thầ y cô Trường ĐHCN-ĐHQGHN 74 TÀI LIỆU THAM KHẢO Tiế ng Viêṭ PGS.TS Trinh ̣ Nhâ ̣t Tiế n (2014), Giáo trình mật mã và an toàn dữ liệu, Đa ̣i ho ̣c công nghê ̣, ĐHQGHN TS Nguyễn Đa ̣i Tho ̣ (2013), Bài giảng an toàn mạng, Đa ̣i ho ̣c công nghê ̣, ĐHGHN Bô ̣ khoa ho ̣c công nghê ̣ (2014), Tiêu chuẩ n quố c gia TCVN 10542:2014, công nghệ thông tin - các kỹ thuật an toàn - quản lý an toàn thông tin - đo lường https://forum.whitehat.vn/forum/thao-luan/tin-tuc/57141-hon-300-nghin-hethong-mang-tai-viet-nam-dang-trong-tinh-trang bo-ngo http://antoanthongtin.vn/Detail.aspx?NewsID=29d680af-9286-4f19-9c404a32db7de523&CatID=e1999c9a-5eeb-418c-9ea8-ae4c5e850d0c http://www.vncert.gov.vn/baiviet.php?id=1 http://vnreview.vn/tin-tuc-an-ninh-mang/-/view_content/content/1861042/thitruong-cho-den-dang-rao-ban-hon-841-may-chu-viet-nam-bi-hack Tiế ng Anh Jing Zhang, Zakir Durumeric, Michael Bailey, Mingyan Liu, Manish Karir (2014), On the mismanagement and maliciousness of networks Rostyslav Barabanov (2011), Information Security Metrics - State of the Art 10 Cisco CCNA Security 2.0 (2016), Cisco certified Network Association Security 11 “Hackers focus on misconfigured networks,” http://forums.cnet.com/7726-6132 102-3366976.html 12 https://security.web.cern.ch/security/rules/en/baselines.shtml 13 https://en.wikipedia.org/wiki/Universal_Plug_and_Play#Problems_with_UPnP 14 https://tools.ietf.org/html/rfc2577 15 CompTIA Security+ 16 https://en.wikipedia.org/wiki/File_Transfer_Protocol 17 http://k12linux.mesd.k12.or.us/cascadelink/text7.htm 18 http://www.cisco.com/c/dam/en/us/td/docs/solutions/CRD/Sep2015/WPEnterprise-Security-Baseline-Sep15.pdf ... ̣c thu thâ ̣p diễn thành công, thỏa mãn các yêu cầu đề từ đầu 22 Hình 1.6 Phương pháp thu thập cấ u hình Sau đã thu thâ ̣p cấ u hiǹ h tâ ̣p trung , luâ ̣n văn đề xuấ t phương. .. kỹ thu ̣t tấn công năm 2015 vào hệ thống thông tin nước ta: TÊN KỸ THU T TẤN CÔNG SỐ LƢỢNG STT QUÝ I Tấn công dò quét điểm yếu dịch vụ UPNP 1165518 Tấn công gây từ chối dịch vụ phân. .. lừa đảo email, tấn công kỹ thu ̣t xã hội và adware Cũng theo kết quả kiểm tra, số 153 máy chủ này, có máy chủ thu c các quan nhà nước, 20 máy chủ thu c doanh nghiệp… Chúng