Đang tải... (xem toàn văn)
Giải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông MobifoneGiải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông Mobifone
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ VĂN TÚ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO DOANH NGHIỆP VÀ ỨNG DỤNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI - 2019 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ VĂN TÚ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO DOANH NGHIỆP VÀ ỨNG DỤNG TẠI TỔNG CÔNG TY VIỄN THƠNG MOBIFONE Chun ngành: Kỹ thuật Viễn Thơng Mã số: 8.52.02.08 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS.LÊ NGỌC THÚY HÀ NỘI - 2019 i LỜI CAM ĐOAN Tôi xin cam đoan luận văn cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tác giả luận văn ký ghi rõ họ tên Lê Văn Tú ii LỜI CẢM ƠN Tôi xin trân trọng cảm ơn thầy cô khoa Kỹ thuật viễn thông, khoa Đào tạo sau đại học tạo điều kiện cho môi trường học tập tốt, đồng thời truyền đạt cho vốn kiến thức quý báu, tư khoa học để phục vụ cho q trình học tập cơng tác tơi Tơi xin gửi lời cảm ơn đến bạn lớp Cao học Kỹ thuật viễn thơng M17CQTE01-B khóa 2017-2019 giúp đỡ suốt thời gian học tập vừa qua Đặc biệt, tơi xin bày tỏ lịng biết ơn sâu sắc đến TS Lê Ngọc Thúy tận tình bảo cho tơi suốt q trình học tập nghiên cứu, giúp tơi có nhận thức đắn kiến thức khoa học, tác phong học tập làm việc, tạo điều kiện thuận lợi để hồn thành luận văn Cuối cùng, tơi xin gửi lời cảm ơn tới gia đình, đồng nghiệp, người thân, bạn bè động viên, giúp đỡ q trình hồn thành luận văn Một lần tơi xin chân thành cảm ơn thầy cô giáo, chúc thầy cô mạnh khỏe, thành công, công tác tốt để tiếp tục thực sứ mệnh cao đẹp truyền đạt kiến thức cho hệ mai sau Hà Nội, tháng 11 năm 2018 Tác giả luận văn Lê Văn Tú iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT v DANH SÁCH BẢNG vii DANH SÁCH CÁC HÌNH viii MỞ ĐẦU CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC DOANH NGHIỆP 1.1 Thực trạng an ninh mạng doanh nghiệp giới 1.2 Thực trạng an ninh mạng doanh nghiệp Việt Nam 1.3 Các mối đe dọa tới an ninh mạng doanh nghiệp viễn thông 1.3.1 Tấn cơng từ bên ngồi mạng vào 1.3.2 Mã hóa liệu 1.3.3 Đánh cắp liệu 1.3.4 Tấn công phần mềm độc hại 1.3.5 Tấn công rà quét 10 1.3.6 Tấn công DoS, DDoS 11 1.3.7 Tấn công lừa đảo mật 13 1.4 Kết luận Chương 14 CHƯƠNG 2: MỘT SỐ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO CÁC DOANH NGHIỆP VIỄN THÔNG 15 2.1 Giải pháp an ninh cho lớp trung gian 15 2.2 Giải pháp phần mềm 16 2.3 Giải pháp bảo mật thông qua Firewall 18 2.4 Giải pháp bảo mật IDS/IPS 22 2.5 Giải pháp phi kỹ thuật 26 2.6 Kết luận Chương 26 iv CHƯƠNG 3: GIẢI PHÁP NÂNG CAO AN NINH MẠNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE 27 3.1 Nghiên cứu giải pháp nâng cao an ninh mạng áp dụng Tổng Công ty Viễn thông MobiFone 27 3.1.1 Nhóm giải pháp phần cứng 28 3.1.2 Nhóm giải pháp phần mềm 41 3.1.3 Nhóm giải pháp chống liệu 42 3.1.4 Nhóm giải pháp khác 43 3.2 Nghiên cứu đề xuất biện pháp tăng cường an ninh mạng cho Tổng công ty Viễn thông MobiFone 44 3.2.1 Triển khai hệ thống giám sát bảo vệ cho sở liệu Impreva 45 3.2.2 Triển khai tính bảo mật thiết bị mạng 52 3.2.3 Triển khai tính bảo mật hệ điều hành 59 3.2.4 Triển khai tính bảo mật sở liệu 61 3.3 Kết luận Chương 66 KẾT LUẬN VÀ KIẾN NGHỊ 67 DANH MỤC TÀI LIỆU THAM KHẢO 68 v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt ACL ARP CDN Tiếng Anh Access Control List Advanced Interactive eXecutive Address Resolution Protocol Content delivery network CMS Content Management System DAI DBA Dynamic ARP Inspection Database Administrator AIX DDOS Distributed Denial of Service DNS DOS DR DVD EU FTP Dynamic Host Configuration Protocol Domain Name System Denial of Service Disaster Recovery Digital Versatile Disc European Union File Transfer Protocol HIDS Host-based IDS HIPS Host-based Intrusion Prevention HTTP HyperText Transfer Protocol DHCP ICMP IDS ISP IPS IPV4 LAN NAS NAT NFS Internet Control Message Protocol Instrustion Detection System Internet Service Provider Intrusion Prevention Systems Internet Protocol version Local Area Network Network Attached Storage Network Address Translation Network File System Ý nghĩa Danh sách cấm truy cập Hệ điều hành hãng IBM Giao thức phân giải địa Mạng giao dịch nội dung Trung tâm điều khiển hoạt động đặc biệt phần nội dung hiển thị website Tính bảo mật Cisco Quản trị database Tấn công từ chối dịch vụ phân tán Giao thức cấp phát địa IP Hệ thống phân giải tên miền Tấn công từ chối dịch vụ Hệ thống khôi phục thảm họa Định dạng lưu trữ đĩa quang Liên minh châu âu Giao thức truyền tập tin Hệ thống phát xâm nhập host Hệ thống ngăn ngừa xâm nhập host Giao thức truyền tải siêu văn Giao thức gói Internet Hệ thống phát xâm nhập Nhà cung cấp dịch vụ Internet Hệ thống ngăn ngừa xâm nhập Giao thức Internet phiên Mạng cục Thiết bị lưu trữ gắn vào mạng Kĩ thuật biên dịch địa mạng Dịch vụ chia sẻ tài nguyên vi NIDS NIPS OSI POP3 PVLAN SAN SCB SFTP SMTP SNMP TCP UDP URL VLAN VNC VPN WAN Network-based IDS Network-based Intrusion Prevention) Open Systems Interconnection Post Office Protocol Private Virtual Local Area Network Hệ thống phát xâm nhập mạng Hệ thống ngăn ngừa xâm nhập mạng Mơ hình tham chiếu kết nối hệ thống mở Giao thức truyền nhận thư điện tử Mạng cục riêng ảo Mạng kết nối máy chủ tới hệ thống lưu trữ liệu Hệ thống giám sát bảo mật tập Shell Control Box trung Giao thức upload/download Secure File Transfer Protocol liệu máy chủ Simple Mail Transfer Giao thức truyền tải thư điện tử Protocol đơn giản Simple Network Management Giao thức quản lý mạng đơn Protocol giản Transmission Control Giao thức điều khiển truyền vận Protocol User Datagram Protocol Giao thức truyền tin Uniform Resource Locator Định vị tài nguyên hệ thống Virtual Local Area Network Mạng LAN ảo Công nghệ kỹ thuật chia sẻ Virtual Network Computing hình từ xa Virutual Private Networks Mạng riêng ảo Wide area network Mạng diện rộng Storage Area Network vii DANH SÁCH BẢNG Bảng Ví dụ số thứ tự dải mạng xác định port kết nối 36 Bảng Ví dụ số thứ tự giao thức tương ứng port kết nối .37 viii DANH SÁCH CÁC HÌNH VẼ Hình 1 Mơ hình cơng từ chối dịch vụ DoS 12 Hình Mơ hình cơng từ chối dịch vụ phân tán DDoS 13 Hình Mơ hình hệ thống VPN 17 Hình 2 Mơ hình kết nối Firewall mạng 19 Hình Mơ hình kết nối Firewall cứng 21 Hình Mơ hình kết nối Firewall mềm 21 Hình Thiết bị Firewall Palo Alto 28 Hình Thiết bị Firewall Check Point 12400 30 Hình 3 Mơ hình hoạt động hệ thống SCB 33 Hình Mơ hình kết nối tới hệ thống qua SCB theo IP port 34 Hình Luồng kết nối client hệ thống qua SCB 34 Hình Ví dụ thơng số kết nối tới máy chủ qua SCB map theo port 36 Hình Ví dụ thông tin kết nối tới máy chủ qua SCB map theo dải mạng 37 Hình Mơ hình giao diện mức cảnh báo hệ thống Polestar 39 Hình Mơ hình VPN Client to Site MobiFone 40 Hình 10 Mơ hình VPN Site to Site MobiFone 40 Hình 11 Mơ hình phân loại đánh giá loại liệu 48 Hình 12 Dữ liệu Impreva giám sát ghi lại 48 Hình 13 Dữ liệu quản lý người dùng CSDL 49 Hình 14 Hồ sơ số bảng CSDL 50 Hình 15 Dự kiến mơ hình triển khai hệ thống 51 Hình 16 Mơ hình VLAN chia nhỏ 57 Hình 17 Mơ hình giao tiếp Isolated Port Promiscuous Port 58 Hình 18 Màn hình khai báo tính ủy quyền hệ thống SCB 65 Hình 19 Mơ hình giám sát Policy SCB 65 54 ARP spoofing cho phép hacker chặn khung liệu mạng, sửa đổi lưu lượng dừng tất lưu lượng Thông thường công sử dụng mở đầu cho công khác Cuộc cơng dùng mạng mà dùng Address Resolution Protocol giới hạn mạng cục Một công ARP spoofing thành công cho phép xâm nhập thực công man-in-the-middle-attack DHCP Snooping, IP Source Guard Kẻ cơng gửi thông tin giả mạo để đánh lừa switch hay máy chủ nhằm chuyển tiếp luồng liệu đến người dùng đến gateway giả Mục đích hacker trở thành người máy tính máy chủ người dùng gửi liệu tới gateway để mạng bên ngồi máy tính hacker trở thành gateway trường hợp này, hacker phân tích nội dung gói liệu gửi đến trước chuyển thực chuyển tiếp thông thường Với tính Cisco Catalyst DHCP Snooping, IP Source guard dynamic ARP cho phép ngăn chặn hình thức công Một server DHCP thông thường cung cấp thơng tin cho máy tính hoạt động mạng, ví dụ máy tính người dùng nhận IP, gateway, DNS Giả sử hacker xây dựng DHCP giả mạng máy tính với người dùng máy tính gửi tin DHCP Request server DHCP giả gửi thơng tin trả lời máy tính người dùng dùng DHCP giả làm gateway, tồn luồng liệu gửi mạng bên qua gateway giả hacker phân tích nắm thông tin nội dung liệu, liệu sau chuyển tiếp bình thường Đây dạng công người (man-in-the-middle), hacker thay đổi đường gói liệu mà người dùng nhận biết Với DHCP Snoop giúp ngăn chặn loại cơng này, DHCP kích hoạt cổng Switch phân loại thành cổng tin cậy (trusted) không tin cậy (unstrusted) Cổng tin cậy cho phép nhận DHCP Relay hay cổng kết nối với server DHCP cổng không tin cậy cho phép nhận DHCP hay cổng kết 55 nối với máy tính người dùng, server DHCP giả gắn vào cổng không tin cậy gửi DHCP request hay cổng kết nối với máy tính người dùng Nếu DHCP giả gắn vào cổng không tin cậy gửi DHCP Relay gói Relay bị loại bỏ DHCP Snooping thực phân tích gói DHCP Reply xây dựng bảng CSDL địa IP cấp, địa MAC, thơng tin cổng mà máy tính thuộc Dynamic ARP Inspection PC thường dùng ARP để phân giải địa MAC địa IP biết Khi địa MAC cần để gói gửi PC gửi broadcast ARP request mà chứa địa IP PC cần tìm địa MAC Nếu có PC dùng địa IP đó, trả lời địa MAC tương ứng Tuy nhiên ARP reply tạo mà khơng cần ARP request hay cịn gọi (gratuituos ARP), PC khác mạng cập nhật bảng ARP có thay đổi xảy Lợi dụng điều kẻ tân cống thực gởi gratuituos ARP với thơng tin giả, thay thể địa MAC với địa IP gateway thay địa MAC gateway Điều buộc máy nạn nhân thay đổi lại bảng ARP với thông tin sai, dạng cơng “ARP spoofing” xem man-in-the-middle, gói liệu đến gateway giả trước chuyến tiếp đến đích Tính DAI (Dynamic ARP Inspection) ngăn chặn loại công DAI làm việc tương tự với DHCP Snooping, tất cổng phân loại thành tin cậy không tin cậy Switch thực phân tích hợp lệ ARP request reply cổng không tin cậy nơi mà CSDL DHCP Snooping xây dựng trước Nếu nội dung gói ARP request hay reply bao gồm MAC IP mà khác so với giá trị CSDL xây dựng trước gói bị loại bỏ Cổng tin cậy khơng thực kiểm tra gói ARP request reply Hành động ngăn chặn không hợp lệ hay gói ARP giả mạo gửi Private VLAN Trước tìm hiểu khái niệm PVLAN, xem lại khái niệm VLAN Như biết VLAN miền quảng bá (broadcast) VLAN giao tiếp với mà cần có thiết bị layer để chuyển gói tin broadcast domain với PVLAN chia nhỏ domain thành nhiều subdomain riêng biệt giống VLAN VLAN 56 Do subdomain domain riêng biệt nên cần thiết bị layer để chuyển gói router, router ngăn chặn cho phép giao tiếp sub-VLAN dùng access-list VLAN PVLAN có khác biệt sau: Mỗi VLAN có subnet khác nhau, nên host thuộc VLAN khác có subnet khác Cịn ta chia nhỏ VLAN thành PVLAN host thuộc PVLAN khác thuộc subnet Mục đích PVLAN Mục đích việc phát triển sử dụng PVLAN nâng cao tính bảo mật, an toàn cho hệ thống mạng PVLAN cho phép tạo thêm hàng rào bảo vệ thiết bị bên VLAN cách quy định luồng liệu cho phép (permit) hay từ chối (deny) port VLAN với Việc chia host VLAN khác dẫn đến yêu cầu dùng routers multilayer switch subnets kiểu thiết bị thường có thêm nhiều chức bảo mật Với nhu cầu tăng tính bảo mật cách tách thiết bị bên VLAN nhỏ xung đột với mục đích thiết kế sử dụng địa IP sẵn có => Tính private VLAN Cisco giúp giải vấn đề Private VLAN cho phép switch layer tách biệt host thể host VLAN khác dùng IP subnet Private VLAN bao gồm primary VLAN nhiều secondary VLAN Các port primary VLAN gọi promicuous có nghĩa gửi nhận frame với port khác, kể với port gán vào secondary VLAN Các thiết bị truy cập chung, chẳng hạn routers hay server thường đặt vào primary VLAN 57 Hình 16 Mơ hình VLAN chia nhỏ (Nguồn: https://www.cisco.com/security) [9] Như ví dụ hình VLAN ta tách sub-vlan: Isolated VLAN Community VLAN Hai VLAN không trao đổi liệu với mà liên lạc với gateway để ra/vào mạng khác (Gateway nối vào port Promiscuous để liên lạc với tất port VLAN) Ví dụ máy Sever Isolated vlan bị nhiễm virus, trường hợp Virus phát tán sang Server khác VLAN Nếu khơng dùng PVLAN nguy tất Server VLAN bị lây nhiễm cao Chú ý PVLAN Isolated port có mức độ bảo mật cao nhất, port Isolated khơng thể liên lạc với Vì có port Isolated VLAN, nhiên có nhiều Isolated VLAN VLAN thường 58 Hình 17 Mơ hình giao tiếp Isolated Port Promiscuous Port (Nguồn: https://www.cisco.com/security) [5] • Isolated port: Port giao tiếp với Promiscuous port • Community port: Port giao tiếp với Promiscuous port • Promiscuous port: Port giao tiếp với loại port VLAN ACL VLAN ACL (VACL) dịch vụ cho phép tạo quản lý danh sách truy cấp dựa vào địa MAC, IP Bạn cấu hình VACL để kiểm tra gói tin lưu thơng nội VLAN, VLAN với VACL khơng quản lý truy cập theo hướng vào, VACL dùng Access Map để chứa danh sách nhiều mẫu tin việc quản lí truy cập Mỗi mẫu tin đồ truy cấp mơ tả việc kiểm tra gói tin dựa vào IP MAC để áp cho hành động gói tin Các mẫu tin đánh số thứ tự nên ta cấu hình ưu tiên cho mẫu tin phù hợp với yêu cầu Khi gói tin qua thiết bị kiểm tra thông qua VACL dựa vào đồ truy cấp cấu 59 hình mà thiết bị định có chuyển tiếp gói tin hay khơng Những mẫu tin VLAN Access Map cung cấp hành động đối với: + Forward: Hành động cho phép gói tin chuyển qua SW + Redirect: Gói tin chuyển hướng sang nhiều giao diện định + Drop: Với gói tin vi phạm hành động cho phép hủy gói tin lưu trạng thái việc hủy gói tin 3.2.3 Triển khai tính bảo mật hệ điều hành Đối với hệ điều hành cho máy chủ khai thác sử dụng tính TCP Wapper, IP Table hệ điều hành Sun solaris, linux, xác thực truy cập hệ điều hành qua OTP cho hệ điều hành Sun Solaris 10 trở lên Cụ thể sau: - TCP Wapper cho solaris Red Hat - IP Table cho centos, linux - Xác thực truy cập qua hệ điều hành Solaris qua OTP TCP Wapper TCP Wrapper hệ thống mạng ACL dựa máy chủ, sử dụng để lọc truy cập mạng tới máy chủ Giao thức Internet hệ điều hành giống Unix Linux Nó cho phép máy chủ lưu trữ danh sách IP kết nối tới máy chủ giao thức ssh, telnet, fpt, sftp nhằm mục đích kiểm sốt truy cập Khi so sánh với thị kiểm soát truy cập máy chủ thường thấy tập tin cấu hình trình nền, TCP Wrappers có lợi ích việc cấu hình lại ACL thời gian chạy (nghĩa dịch vụ nạp lại khởi động lại) cách tiếp cận chung cho quản trị mạng File cấu hình TCP Wapper Danh sách IP phép kết nối tới hệ thống sau: root@vaspbk # cat /etc/hosts.allow sshd : 10.50.9.94 #IP Windows GW sshd : 10.50.12.111 60 ftpd : 10.50.12.111 #IP SCB sshd : 10.3.5.111 #USSD090 sshd : 10.3.11.57 #Datacode sshd : 10.3.11.108 giá trị file hosts.deny root@vaspbk # cat /etc/hosts.deny sshd: ALL chặn toàn kết nối ssh tới máy chủ ftpd: ALL chặn toàn kết nối ftp tới máy chủ telnetd: ALL chặn toàn kế nối telnet tới máy chủ việc chặn toàn kết nối ssh trực tiếp vào server cho phép IP file hosts.allows phép ssh tới máy chủ IP Table IP Table Firewall cấu hình hoạt động điều khiển nhỏ tiện dụng IP Netfilter Organiztion viết để tăng tính bảo mật hệ thống Linux Iptables có tính sau: có khả phân tích gói tin hiệu quả, lọc gói tin dựa vào địa MAC số cờ hiệu TCP Header Cung cấp chi tiết tùy chọn để ghi nhận kiện hệ thống, cung cấp kỹ thuật NAT có khả ngăn chặn số chế công theo kiểu DoS IP Tables cài mặc định hệ thống Linux gói cài đặt IP Tables iptables-version.rpm iptables-version.tgz OTP Sun solaris Giới thiệu OTP Hệ điều hành Oracle Solaris OTP cung cấp nhận dạng thứ hai đăng nhập vào Hệ điều hành Oracle Sun Solaris Việc sử dụng chứng nhận dạng thứ hai gọi xác thực hai yếu tố Hệ thống nhắc bạn mật truy cập máy chủ, sau cho OTP từ ứng dụng xác thực di động bạn Sau hệ thống xác minh hai xác thực 61 kết nối tới máy chủ giao thức ssh, telnet được, hiểu cách đơn truy cập ssh, telnet vào máy chủ hệ thống gửi mã OTP xác thực tới quản trị hệ thống việc ngăn ngừa truy cập trái phép từ quản trị hệ thống Để sử dụng tính xác thực lớp cần cài đặt kho Repository server chạy hệ điều hành Sun Solaris, cần cài đặt OpenSSH set OpenSSH làm mặc định thay SunSSH mặc định sẵn có hệ điều hành, việc cấu hình xác thực file /etc/ssh/sshd_config, công việc cuối cần thực máy chủ cài đặt gói OTP Trên smartphone cần cài đặt phần mềm sinh OTP cấu hình user IP kết nối máy chủ phần mềm sử dụng có tên Google authenticator 3.2.4 Triển khai tính bảo mật sở liệu Đối với CSDL oracle áp dụng tính kiểm tra kết nối IP user kết nối database phiên CSDL oracle phiên 10g áp dụng tính kết xuất log tác động vào hệ thống FGA ghi log tác động user sys toàn quyền quản trị database Áp dụng tính kiểm tra kết nối IP user kết nối database Trên oracle sqlnet.ora tệp cấu hình văn có chứa thơng tin (như tùy chọn truy tìm, mã hóa, tuyến đường kết nối, tham số đặt tên bên ngoài) cách máy chủ Oracle máy khách Oracle phải sử dụng Oracle Net (trước Net8 SQL * Net) khả truy cập CSDL nối mạng Tham số cấu hình file sqlnet.ora # sqlnet.ora.evs2-db01 Network Configuration File: /data/11.2.0/grid/network/admin/sqlnet.ora.evs2-db01 # Generated by Oracle configuration tools NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT) ADR_BASE = /data/orabase TCP.VALIDNODE_CHECKING = YES 62 TCP.INVITED_NODES = (10.50.12.86,10.50.12.44,10.50.12.46,10.50.12.50,10.50.12.32,10.50.12.35) Trong tham số TCP.VALIDNODE_CHECKING đặt giá trị YES việc cấu hình có hiệu lực, TCP.INVITED_NODES list IP phép truy cập vào CSDL Việc thay đổi sửa, xóa, thay đổi cấu hình cần phải thực restart lại listener database việc thay đổi có hiệu lực Ngồi CSDL oracle cho phép phân quyền cho toàn user CSDL, có user sys phân quyền cao tương tự user root, adminstrator… hệ điều hành Việc thay đổi cấu hình từ disable sang enable check list IP cho phép truy cập vào CSDL oracle cần restart lại tồn database cần rà sốt mức độ ảnh hưởng tắt tồn ứng dụng kết nối vào CSDL trước thay đổi cấu hình Đối với CSDL MongoDB áp dụng Authentication Security Thực chất tính xác nhận tài khoản xác thực có sẵn MongoDB nhiên mặc định cài đặt ban đầu tính khơng bật Để kích hoạt tính bảo mật truy cập vào CSDL MongoDB với quyền administrator sau cần sửa file mongod.conf sudo vim /etc/mongod.conf sau chuyển đến dòng # sercurity, bỏ comment # thêm vào dịng cấu bên security: authorization:"enabled" dịng security khơng có khoảng trống phía trước, authorization indent spaces sau khởi động lại MongoDB lệnh sau để việc thay đổi cấu hình có hiệu lực sudo systemctl restart mongod Thiết lập tính ghi log tác động FGA bảng liệu sở liệu oracle 63 Việc thực ghi log tác động sử dụng trực tiếp proceduce database, đồng thời quản trị hệ thống cấu hình liệu cần ghi log tùy chọn tác động vào bảng liệu select, insert, update, drop, truncate Việc thực tính cần thêm Policcy giám sát cho bảng liệu begin dbms_fga.add.policy( object_schema tên schema chứa bảng liệu object_name tên bảng liệu cần giám sát tác động policy_name đặt theo quy tắc để dễ quản trị sau statement_type “insert,update, ’’ tác động cần giám sát vào bảng liệu audit_trail DBMS_FGA.DB+DBMS_FGA.EXTENDED end; Sau cấu hình tính việc xuất log tác động ghi trực tiếp vào database dạng bảng liệu bình thường Quản trị hệ thống thực xuất liệu dạng file text excel để import vào hệ thống báo cáo tập trung Thiết lập tính ghi log tác động user sys Tính ghi log tác động vào bảng liệu FGA có nhược điểm không ghi log giám sát từ user sys tác động, việc tác động từ user sys toàn quyền cần cấu hình độc lập với FGA sau: Mục đích: Ghi lại tồn log tác động vào hệ thống user sys với quyền quản trị DB cao nhất, sau cấu hình ta ghi lại toàn log tác động từ user sys sau: Thực cấu hình enable tính giám sát user sys sqlplus / as sysdba ALTER SYSTEM SET AUDIT_SYS_OPERATIONS=TRUE SCOPE=SPFILE; ALTER SYSTEM SET AUDIT_TRAIL=OS SCOPE=SPFILE sid='*'; alter system set audit_syslog_level='local1.debug' scope=spfile; sửa file cấu hình syslog : vi /etc/syslog.conf local1.debug ifdef('LOGHOST', /var/log/audit, @loghost) 64 touch /var/log/audit phân quyền cho file log chown root:sys /var/log/audit $ svcadm restart system/system-log Restart db sqlplus / as sysdba shutdown immediate startup ; 3.2.5 Triển khai áp dụng thêm tính hệ thống giám sát bảo mật tập trung SCB Hệ thống giám sát bảo mật tập trung ngồi tính giám sát học viên trình bày cịn có thêm số tính hữu ích cơng tác bảo mật xác thực với kết nối sử dụng tính ủy quyền, enable policy ngăn chặn tác động trái phép Để thực tính cần phải upgrade fireware hệ thống, việc cần downtime hệ thống khoảng 2h, cần cân nhắc rà soát ảnh hưởng hệ thống downtime Xác thực với kết nối sử dụng tính ủy quyền: Tính ủy quyền cho phép cán vận hành xác thực người dùng cần truy cập vào máy chủ làm việc Tính áp dụng để giám sát, tăng cường bảo mật với máy chủ quan trọng Để bật tính này, cán vận hành cần liên hệ với cán quản trị có quyền để thực khai báo hệ thống Cổng giám sát Khi người dùng thực kết nối vào máy chủ, hệ thống SCB chặn phiên kết nối người dùng Cán vận hành cần thực thao tác xác thực phép phiên kết nối thành công Các bước thực sau: Đăng nhập vào web quản trị Truy cập Main Menu Four Eyes Danh sách kết nối chờ xác thực 65 Hình 18 Màn hình khai báo tính ủy quyền hệ thống SCB (Nguồn: Tài liệu vận hành khai thác hệ thống SCB MobiFone) [1] Chọn Accept để chấp nhận kết nối, Reject để từ chối Ngồi khơng ghi lại log tác động mà tính SCB cịn ngăn chặn hành vi không phép policy, cụ thể sau: Chỉ mở cho list user, ip phép sử dụng câu lệnh nguy hiểm tắt, restart server, DB…, user không nằm list IP user phân quyền SCB reject lệnh nguy hiểm không chuyển tiếp tới server Hình 19 Mơ hình giám sát Policy SCB (Nguồn: Balabit, (2016), The Balabit Shell Control Box F3 Administrator Guide) [3] 66 3.3 Kết luận Chương Chương cuối luận văn nghiên cứu trình bày giải pháp bảo mật an ninh mạng MobiFone giải pháp phần cứng, giải pháp phần mềm, giải pháp chống liệu nhóm giải pháp khác Mỗi giải pháp có ưu điểm nhược điểm riêng, MobiFone linh hoạt sử dụng giải pháp cho sở hạ tầng phòng máy, thiết bị … để đạt hiệu tốt tối ưu nguồn lực phần cứng chi phí cho vấn đề bảo mật Học viên nghiên cứu tìm hiểu đưa số giải pháp bảo mật đưa vào triển khai áp dụng cho hệ thống MobiFone như: triển khai hệ thống giám sát bảo vệ cho sở liệu, triển khai thêm tính bảo mật thiết bị mạng, triển khai tính bảo mật hệ điều hành, triển khai tính bảo mật sở liệu Do đặc điểm đầu tư trang bị không đồng thời nâng cấp theo pha nên việc áp dụng toàn phương pháp hệ thống bảo mật nêu khó thực tất đồng thời, nguyên nhân tương thích phần cứng phần mềm sở hạ tầng khơng áp dụng được, việc áp dụng gây downtime hệ thống Vì vậy, việc áp dụng giải pháp mở rộng khai thác thêm tính hệ thống có sẵn cần rà sốt kỹ phạm vi ảnh hưởng, cần chạy thử nghiệm đồng thời việc thực cần tiến hành cho thời gian downtime hệ thống ngắn nhất, hạn chế tối đa việc gây ảnh hưởng tới dịch vụ khách hàng 67 KẾT LUẬN VÀ KIẾN NGHỊ Qua chương luận văn, học viên khái quát vấn đề an ninh mạng vấn đề quan trọng quốc gia doanh nghiệp nói chung doanh nghiệp viễn thơng nói riêng Thực trạng chung cho thấy vấn đề an toàn an ninh mạng cịn mức thấp cịn có nguy an tồn cao, học viên trình bày số hình thức cơng thường xảy doanh nghiệp Với phát triển khoa học công nghệ ngày xuất hình thức quy mơ cơng phức tạp tinh vi mà tảng bảo mật cũ trước khơng phịng chống Để đạt kết tốt việc tăng cường an ninh mạng cho doanh nghiệp với sở hạ tầng có tảng đặc điểm bảo mật khác nhau, cần áp dụng linh hoạt phù hợp giải pháp bảo mật tảng sẵn có đồng thời cần triển khai giải pháp bảo mật để đạt tính bảo mật tốt Các doanh nghiệp viễn thơng nói chung MobiFone nói riêng học viên trình bày giải pháp áp dụng để tăng cường bảo mật an ninh mạng cho doanh nghiệp hoạt động lĩnh vực viễn thơng, giải pháp có ưu nhược điểm riêng kết hợp triển khai giải pháp tăng cường bảo mật Với nghiên cứu tìm hiểu học viên, học viên xin đề xuất thêm số giải pháp để tăng cường bảo mật an ninh mạng cho MobiFone nói riêng áp dụng cho doanh nghiệp viễn thơng nói chung trang bị hệ thống bảo mật mới, bổ sung tính bảo mật hệ thống thiết bị sẵn có hoạt động, việc áp dụng mở rộng khai thác tính bảo mật đồng nghĩa với việc tốn chi phí đầu tư thiết bị, tốn nhân lực quản trị vận hành, ảnh hưởng trực tiếp tới hệ thống live tăng tải hệ thống, làm chậm hoạt động hệ thống… việc thực cần rà soát lên phương án chi tiết kỹ lưỡng đảm bảo việc áp dụng không gây downtime hệ thống không làm gián đoạn tới hoạt động hệ thống dịch vụ khách hàng 68 DANH MỤC TÀI LIỆU THAM KHẢO [1] MobiFone, (2018), Tài liệu vận hành khai thác hệ thống Firewall, IDS/IPS, SCB, Polestar, VPN [2] MobiFone, (2018), Báo cáo đầu tư sơ khởi hệ thống Impreva MobiFone [3] [4] Balabit, (2016), The Balabit Shell Control Box F3 Administrator Guide Tarmo Hassinen , (2017, April), Enhancing Cyber Security for SME organizations.docx [5] Impreva, (2015, August), Imperva-SecureSphere-v11.5-Administration- Guide.pdf [6] [7] [8] Impreva, (2015, August), Imperva-SecureSphere-v11.5-Database-Security-UserGuide.pdf Master’s Thesis, (2016), CYBER SECURITY CAPABILITY ASSESSMENT.pdf Hoàng Phước Thuận, http://security.org.vn/Docs/2017/K1 %20Mr.%20Hoang%20Phuoc%20Thuan_CANM.pdf [9] [10] https://cisco.com/security https://docs.oracle.com/ [11] [12] [13] [14] [15] https://securitydaily.net/ https://vi.wikipedia.org/wiki/Tấn_công_mạng https://www.microsoft.com/security https://www.vnpro.vn/ https://www.bmt-tech.vn/ ... luận văn nghiên cứu ? ?Giải pháp nâng cao an ninh mạng cho doanh nghiệp ứng dụng Tổng công ty Viễn thông MobiFone? ?? 2 CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC DOANH NGHIỆP 1.1 Thực trạng an ninh mạng. .. MOBIFONE 3.1 Nghiên cứu giải pháp nâng cao an ninh mạng áp dụng Tổng Công ty Viễn thông MobiFone Tại Tổng công ty Viễn thông MobiFone vấn đề bảo mật an ninh mạng Lãnh đạo Tổng công ty Lãnh đạo trung... NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ VĂN TÚ GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO DOANH NGHIỆP VÀ ỨNG DỤNG TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE Chuyên ngành: Kỹ thuật Viễn Thông Mã số: