CHƯƠNG 1-TỔNG QUAN VỀ AN TOÀN HỆ THỐNG MẠNG VÀ MẠNG VIETTEL TÂY NINH 1.1 Các công trình thế giới Trong tin học, xâm nhập có nghĩa là truy cập hoặc sử dụng trái phép hệ thống máy tính. Schell và Martin (2006, 180) định nghĩa hành động xâm nhập là “xâm nhập hệ thống máy tính bằng cách phá vỡ bảo mật hoặc khiến nó rơi vào trạng thái không an toàn”. Để giám sát và cảnh báo các quản trị viên hệ thống về việc sử dụng trái phép như vậy, cần có một công cụ. Rehman (2003, 5-6) mô tả IDS là hệ thống có các phương pháp và kỹ thuật để phát hiện hoạt động trái phép dựa trên các quy tắc và chữ ký.
Các hệ thống phát hiện xâm nhập này cung cấp cho người quản trị hệ thống một công cụ khả thi có thể được sử dụng để tự động giám sát hệ thống và cung cấp cảnh báo cho người quản trị hệ thống. Sử dụng các hệ thống này, quản trị viên có thể phát hiện ra việc sử dụng trái phép hệ thống của họ và theo dõi việc sử dụng đáng ngờ. Hệ thống phát hiện xâm nhập có lịch sử lâu đời hàng thập kỷ cùng với sự phát triển của hệ thống máy tính. Khan Pathan (2014, chương 2.) đã theo dõi sự khởi đầu của lịch sử IDS đến những năm 1980 khi nghiên cứu đầu tiên về các hệ thống như vậy được xuất bản.
Sự phát triển của hệ thống chỉ như một đối tượng nghiên cứu học thuật tiếp tục cho đến đầu những năm 1990 khi các sản phẩm IDS thương mại đầu tiên được tung ra thị trường. Hệ thống phát hiện xâm nhập có thể được phân loại bằng nhiều cách khác nhau dựa trên phương pháp phát hiện của chúng, tình hình trong kiến trúc hệ thống và các hành động sau phát hiện. Theo Khan Pathan (2014, chương 2) có các phương pháp phát hiện dựa trên chữ ký và điểm bất thường, hệ thống dựa trên máy chủ, dựa trên mạng hoặc kết hợp sử dụng vị trí cảm biến và hệ thống phát hiện xâm nhập và hệ thống ngăn chặn xâm nhập dựa trên các hành động sau phát hiện. Phương pháp phát hiện chữ ký và điểm bất thường khác nhau trong cách hệ thống đánh giá lưu lượng truy cập.
Các hệ thống dựa trên chữ ký phát hiện các cuộc 3 xâm nhập bằng cách lưu trữ các chữ ký của các cuộc tấn công và hành vi của các phương thức xâm nhập đã biết và so sánh các chữ ký này với các hành động, lệnh và lưu lượng mạng mà các phương thức xâm nhập đã biết này sử dụng. Khi một trận đấu được tìm thấy, sự kiện sẽ được báo cáo. Một ví dụ về phát hiện chữ ký sẽ là theo dõi lưu lượng mạng đến cổng dịch vụ hệ thống gửi các gói dữ liệu đang cố gắng khai thác một lỗi đã biết. Trong phát hiện dựa trên sự bất thường, hệ thống đang theo dõi các hành động, lệnh và lưu lượng mạng và nhận thức được hành vi bình thường có thể chấp nhận được.
Khi hành vi đủ khác với đường cơ sở bình thường, sự kiện sẽ được báo cáo. Một ví dụ về phát hiện bất thường sẽ là một máy chủ phụ trợ cố gắng thực hiện mộtSSH đi kết nốiđến máy chủ internet khi nó không được phép theo chính sách của công ty. IDS dựa trên máy chủ (HIDS) được cài đặt trên mọi máy chủ yêu cầu phát hiện xâm nhập và chúng báo cáo tất cả các sự kiện diễn ra trên máy chủ mà chúng được cài đặt, ví dụ thay đổi tệp hoặc lệnh đáng ngờ. IDS dựa trên mạng (NIDS) giám sát lưu lượng mạng và báo cáo tất cả các sự kiện liên quan đến lưu lượng mạng mà chúng giám sát, ví dụ: các kết nối đáng ngờ hoặc gói dữ liệu có chứa các kiểu tấn công đã biết.
Hybrid IDS là một hệ thống sử dụng kết hợp cả các phương pháp và kỹ thuật IDS dựa trên máy chủ và dựa trên mạng để phát hiện các hành vi xâm nhập. Các phương pháp phát hiện sau chia IDS thành hai loại khác nhau. Sự phát triển hợp lý của một hệ thống phát hiện xâm nhập là một hệ thống ngăn chặn xâm nhập (IPS). NIST-800-94 (2-1) mô tả IPS là “phần mềm có tất cả các khả năng của một hệ thống phát hiện xâm nhập và cũng có thể cố gắng ngăn chặn các sự cố có thể xảy ra”.
Bằng cách sử dụng các khả năng của IDS để phát hiện ra các xâm nhập có thể xảy ra, hệ thống IPS sẽ có hành động tích cực để ngăn chặn sự xâm nhập. Một ví dụ về sự kiện IPS sẽ là lưu lượng độc hại đến một cổng dịch vụ mạng; sau khi phát hiện, IPS sẽ cảnh báo việc quản lý sự kiện như vậy, nhưng cũng chặn lưu lượng mạng từ IP nguồn đến cổng dịch vụ mạng để ngăn chặn bất kỳ sự xâm nhập nào. Điều này cũng có nghĩa là IPS cần phải ở vị trí để thực hiện các hành động phòng ngừa này, ví dụ 4 như thực thể truyền qua mạng hoặc khi HIDS được cài đặt trên máy chủ là mục tiêu của sự xâm nhập.2 Các công trình trong nước Trong nước, công nghệ IDS/IPS được áp dụng chủ yếu kế thừa từ các công trình nghiên cứu ngoài nước. Nhiều giải pháp xây dựng một hệ thống IPS trên thực tế đã được triển khai rất hiệu quả và được đánh giá cao.
Hạn chế của những giải pháp này chỉ là triển khai hệ thống trên một phân đoạn mạng nhỏ, nên chưa đánh giá được hết hiệu suất của hệ thống và các vấn đề hệ thống IPS sẽ gặp phải khi triển khai thực tế. Ngoài ra, nhiều giải pháp phát hiện và ngăn chặn xâm nhập mạng máy tính được triển khai tuy nhiên chỉ lựa chọn một trong các loại IDS hiện có như Snort, Suricata, Zeek. Chưa có sự đánh giá so sánh ưu điểm, nhược điểm của từng loại để phân tích và áp dụng một cách cụ thể vào từng loại hình doanh nghiệp.3 Giới thiệu chung về Viettel Tây Ninh Viettel Tây Ninh là một trong những đơn vị kinh doanh lớn nhất tỉnh Tây Ninh, với doanh thu hằng năm lên đến 1200 tỷ đồng, có lượng khách hàng lớn lên đến 800.000 khách hàng. Viettel Tây Ninh có trên dưới 500 cán bộ, nhân viên đang hoạt động ở nhiều kênh, lớp bán hàng từ mức tỉnh đến mức huyện.1: Mô hình tổ chức tại Viettel Tây Ninh 5 1.4 Khảo sát hệ thống mạng tại Viettel Tây Ninh Viettel Tây Ninh gồm có: Trụ sở chính tại Trung tâm Thành phố Tây Ninh: + 08 phòng ban chức năng riêng biệt: Phòng kinh doanh, Phòng kỹ thuật, Phòng nhân sự, Phòng CSKH, Phòng hạ tầng, Phòng tài chính, Phòng quản lý bán hàng, Phòng Marketing.
+ 01 Data center lưu trữ dữ liệu tập trung, các phần mềm ERP, kế toán, quản trị khách hàng, web server, FPT Server. + 01 Trung tâm bán lẻ chính thuộc trụ sở Viettel Tây Ninh(có sử dụng wifi) 09 Chi nhánh Viettel huyện tại trung tâm hành chính của từng huyện: + 01 Trung tâm bán hàng tại Viettel huyện (Gồm trưởng, phó huyện và 30 nhân sự bán hàng) + 01 Cửa hàng giao dịch với khách hàng (có sử dụng wifi để cung cấp trải nghiệm cho KH) Tại trụ sở chính, hệ thống mạng LAN được kết nối và quản lý tập trung bằng Router chính. Hệ thống mạng LAN được quy hoạch mạng LAN nội bộ, chỉ có cán bộ nhân viên Viettel được phép sử dụng. Trụ sở chính là nơi đặt máy chủ dữ liệu, cho phép các chi nhánh kết nối đồng bộ dữ liệu.
Hệ thống mạng chi nhánh được trang bị server, hệ thống backup, lưu trữ và router cùng các phần mềm, ứng dụng, đường truyền WAN kết nối đến trụ sở chính. Phân hệ quản trị mạng Phân lớp mạng: Hệ thống mạng được thiết kế theo mô hình 3 lớp đảm bảo cho phát triển và bảo mật hệ thống. Các lớp mạng được ngăn cách bởi Firewall nhằm ngăn chặn các xâm nhập bất hợp pháp từ bên trong cũng như bên ngoài cơ quan vào hệ thống trung tâm. Máy chủ được phân theo chức năng phục vụ: Máy chủ Firewall, Máy chủ DNS, Web Server, Mail server, Application Server, Database Server, Backup Server.
Hệ thống mạng được thiết kế đảm bảo cho phát triển và bảo mật hệ thống. Phân hệ mạng DMZ Máy chủ web Reverse proxy (Ngix Reverse Proxy) làm cổng giao tiếp chính với môi trường internet. Sử dụng hai máy chủ Web Apache đặt website, nhiệm vụ cân bằng tải cho trang. Các máy chủ web server kết nối vào cụm MySQL Cluster, nhiệm vụ cân bằng tải cho dịch vụ Database.
Hai máy chủ web sẽ tự động đồng bộ dữ liệu của website theo thời gian thực. Phân hệ máy chủ CSDL Các máy chủ ứng dụng chứa các cơ sở dữ liệu chính (Data center), hết sức quan trọng do vậy khu vực này cần được đảm bảo an ninh bảo mật cao nhất. Nhận xét Hệ thống mạng của Viettel Tây Ninh hiện nay đã kết nối với nhau tuy nhiên khả năng về bảo mật chưa được cao nhất, kết nối chưa thực sự bảo đảm về an ninh khi dữ liệu tập trung. Khi có tấn công xảy ra, quản trị viên không biết được tức thời để ngăn chặn, có thể dẫn đến việc đóng băng hệ thống, ngưng hoạt động toàn bộ hệ thống.1 Các mối đe dọa tiềm năng đối với hệ thống Hoạt động của Viettel Tây Ninh với số lượng cán bộ nhân viên lớn Hơn 500 nhân viên và hiện có hệ thống nhiều mạng LAN phân tán (Distributed Local networks) bao gồm mạng LAN của 09 chi nhánh huyện và Lan các phòng ban, trung tâm bán hàng.
Khối lượng thông tin xử lý trong hoạt động khá lớn. Do đó trường cần xây dựng một hệ thống quản lý chung đảm bảo các yêu cầu về bảo mật. Hệ thống này phải đảm bảo các yêu cầu sau: Bảo đảm an toàn cho toàn bộ thông tin trên mạng, chống lại mọi sự truy nhập bất hợp pháp vào mạng. (Tấn công từ bên ngoài) Kiểm soát được mọi hành động truy nhập vào mạng của người sử dụng.
Đảm bảo an ninh từ những người sử dụng bên trong. Đáp ứng được khả năng mở rộng của mạng trong tương lai: mở rộng về số lượng máy tính, số lượng máy chủ, các mạng LAN và các ứng dụng.2 Phân tích chính sách bảo mật tại Viettel Tây Ninh Để phân tích chính sách bảo mật, chúng ta phải phân tích được các vấn đề sau trong hệ thống thông tin của trường: a. Xác định các tài nguyên cần được bảo vệ Vấn đề quan trọng là phải xác định được các tài nguyên của mạng nội bộ có thể bị tác động bởi hệ thống bảo mật.