Đồ án Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng công thương Hà Nội

LỜI CẢM ƠN Sau khoảng thời gian học tập và rèn luyện tại khoa Công Nghệ Thông Tin - Đại học Thái Nguyên, đến nay em đã kết thúc khóa học. Em xin bày tỏ lòng cám ơn sâu sắc tới Ban Chủ Nhiệm Khoa, các thầy cô giáo đã tận tình giảng dạy, trang bị cho chúng em những vốn kiến thức và kinh nghiệm quý báu, cung cấp cho chúng em những điều kiện và môi trường học tập tốt nhất. Để hoàn thành được tốt đồ án này, em xin gửi lời cảm ơn chân thành đến thầy giáo Nguyễn Tiến Thành - giảng viên khoa Công Nghệ Thông Tin Đại học Thái Nguyên, và Phòng An Ninh Hệ Thống- Trung Tâm Công Nghệ Thông Tin- Ngân Hàng Công Thương Việt Nam đã trực tiếp hướng dẫn và tạo điều kiện giúp đỡ em trong thời gian thực hiện đồ án. Cảm ơn gia đình, bạn bè đã tạo điều kiện tốt nhất để em có thể hoàn thành đồ án này. Thái Nguyên ngày 5, tháng 6 năm 2009. Sinh viên Vương Thị Dung MỤC LỤC LỜI CÁM ƠN .................................................................................................................1 LỜI CAM ĐOAN ...........................................................Error! Bookmark not defined. MỤC LỤC ......................................................................................................................2 MỞ ĐẦU .......................................................................................................................4 CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG ..............................................6 I. Kế hoạch bảo mật.....................................................................................................6 II. Những nền tảng khác nhau ......................................................................................7 III. Mục tiêu bảo mật ...................................................................................................7 IV. Xác định chính sách bảo mật .................................................................................9 IV.1. Chính sách kinh doanh và bảo mật................................................................10 IV.2. Con người.....................................................................................................10 IV.3. Luật lệ ..........................................................................................................10 IV.4. Thay đổi chính sách quản lý..........................................................................11 IV.5. Khôi phục sau thảm họa...............................................................................11 V.Những yếu kém trong bảo mật mạng......................................................................12 V.1. Yếu kém trong giao thức mạng.......................................................................12 V.2. Yếu kém về hệ điều hành ...............................................................................13 V.3. Yếu kém của thiết bị mạng .............................................................................13 V.4. Yếu kém trong việc cấu hình thiết bị ..............................................................14 VI. Những kiểu đe dọa bảo mật .................................................................................14 VI.1. Đe dọa đến từ bên ngoài và bên trong ...........................................................14 VI.2. Đe dọa có cấu trúc và không cấu trúc ...........................................................15 VI.3. Những kiểu tấn công bảo mật mạng ..............................................................16 VI.3.1 Tấn công thăm dò:...........................................................................16 VI.3.2. Tấn công truy xuất..........................................................................17 VI.3.3. Tấn công kiểu DoS ........................................................................19 VII. Giải pháp bảo mật ..............................................................................................22 VII.1 Thiết kế giải pháp bảo mật............................................................................22 VII.2 Bánh lái bảo mật của Cisco...........................................................................22 VII.3. Danh sách kiểm tra bảo mật.........................................................................24 CHƯƠNG II GIỚI THIỆU FIREWALL .........................................................26 I. Tổng quan firewall .................................................................................................26 I.1 Định nghĩa firewall...........................................................................................26 I.2. Chức năng bảo vệ của firewall.........................................................................27 I.3 Điều khiển luồng và mô hình tham chiếu OSI...................................................29 I.3.1 Tổng quan về mô hình tham chiếu OSI...............................................30 I.3.2 Firewall và mô hình tham chiếu OSI .................................................31 I.4 Những kiểu firewall..........................................................................................32 I.4.1 Firewall lọc gói .................................................................................32 I.4.2 Firewall stateful ...............................................................................37 I.4.3 Application gateway firewall.............................................................48 I.4.4 Firewall dịch địa chỉ..........................................................................51 I.4.5 Firewall host-based ...........................................................................56 I.4.6. Firewall lai ghép ...............................................................................59 I.5 Firewall và những dịch vụ khác ........................................................................60 II Thiết kế bảo mật ....................................................................................................61 II.1 Hướng dẫn thiết kế ..........................................................................................61 II.2 Miền DMZ .....................................................................................................64 II.3. Những thành phần bổ sung cho hệ thống firewall ...........................................66 II.4. Sắp xếp các thành phần ..................................................................................68 II.4.1. Thiết kế hệ thống firewall ................................................................68 II.4.2. Những điểm cần chú ý khi thiết kế ...................................................69 II.4.3. Sự thực hiện firewall........................................................................70 II.4.4.Quản lý và quản trị firewall...............................................................70 CHƯƠNG III THIẾT BỊ BẢO MẬT PIX FIREWALL ....................................71 I.Tổng quan về thiết bị bảo mật PIX firewall .............................................................71 I.1. Đảm bảo thời gian thực cho hệ thống gắn vào..................................................72 I.2. Phương thức bảo mật linh hoạt ASA................................................................72 I.3. Cut-through proxy ...........................................................................................74 I.4. Redundancy.....................................................................................................75 II. Mô hình và đặc điểm pix firewall .........................................................................75 III. Chức năng của PIX .............................................................................................76 IV. Truy xuất PIX......................................................................................................78 V. PIX với kết nối .....................................................................................................79 V.1. Cấp độ bảo mật của cổng và chính sách bảo mật mặc định .............................79 V.2. Giao thức truyền ............................................................................................80 V.3. Chế độ truy xuất.............................................................................................84 VI. Cấu hình PIX Firewall ........................................................................................84 CHƯƠNG IV ................................................................................................................89 XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI NHÁNH NGÂN HÀNG VIETINBANK. ......................................................................89 I. Môi trường mạng hiện có: ......................................................................................89 II. Yêu cầu.................................................................................................................89 III. Thiết kế mô hình mạng ........................................................................................90 IV. Cấu hình bảo mật cho hệ thống ............................................................................90 KẾT LUẬN...................................................................................................................99 Tài liệu tham khảo .......................................................................................................100 MỞ ĐẦU Với sự phát triển nhanh của mạng Internet, bảo mật thông tin trở lên vô cùng cấp bách để có được những thông tin giá trị và tin cậy. Người quản lý nhận thấy việc đầu tư cho an ninh không chỉ là lợi lớn mà còn là rất cần thiết. Các công ty nhận ra sự cần thiết của việc tạo ra và tuân theo chính sách bảo mật thông tin, bởi vậy, người IT chuyên nghiệp luôn luôn bị thách thức để bảo vệ mạng của họ với firewall và tạo mạng riêng ảo VPN để cung cấp sự an toàn cho các giao dịch được mã hóa qua hạ tầng Internet công cộng dễ bị tấn công. Firewall đã trở thành một trong những công nghệ đầu tiên bảo vệ mạng và chống lại truy nhập trái phép. Kế hoạch bảo mật yêu cầu sự kết hợp hài hòa của con người, xử lý, và công nghệ để giảm rủi ro. Và firewall cũng là một công cụ bảo mật giá trị để thực hiện nhiệm vụ này. Ngày nay, khi thiết kế và xây dựng mạng sử dụng firewall là tất yếu cho nhiều mô hình ở giai đoạn cuối. Nhận ra điều này, Cisco System đã phát triển và tiếp tục cải thiện với PIX firewall. Hệ thống này đã đạt được thị trường lớn bởi đã chứng minh được chức năng pha trộn hoàn hảo của hiệu suất và sự mềm dẻo. Cũng như bao công ty khác trên thế giới sử dụng Internet để giao dịch. Ngân hàng, mỗi phút có hàng nghìn giao dịch trị giá tiền tỉ được thực hiện. Chính vì vậy, nhiều hacker luôn tìm những lỗ hổng bảo mật trong ngân hàng để tấn công, truy nhập trái phép lấy đi của ngân hàng hàng tỉ đồng. Nhiều ngân hàng ở Việt Nam sau nhiều lần bị tấn công đã chú trọng tới đầu tư cho bảo mật. Nhận ra yêu cầu cấp bách đó, trong thời gian làm đồ án tốt nghiệp, em đã tìm hiểu và nghiên cứu về an ninh mạng và các giải pháp đảm bảo an toàn cho mạng, đặc biệt quan tâm tới các giải pháp an toàn của Cisco là thiết bị PIX firewall. Đồ án “ Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội ” bao gồm các nội dung sau: Chương 1: Các vấn đề về an ninh mạng. Chương 2: Tổng quan về Firewall. Chương 3: Thiết bị an ninh PIX Firewall. Chương 4: Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội. CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG Càng ngày càng có nhiều vụ tấn công từ worms, virus, và các hiểm họa khác từ mạng, vì vậy bảo mật là vấn đề chính trong mạng ngày nay. Trong khoảng 10 tới 15 năm trước, bảo mật là vấn đề đơn giản dựa trên các giải pháp đơn giản. Lúc đó, chỉ có ít trường học và chính phủ kết nối Internet. Password sử dụng để bảo vệ account, và firewall lọc gói đơn giản được dùng để giới hạn luồng lưu lượng. Tuy nhiên, thế giới ngày nay thì khác biệt hơn rất nhiều so với thập kỷ trước. Sự bùng nổ của Internet, sự tăng nhanh của phần mềm ứng dụng và sự khéo léo của hacker, bảo mật trở thành vấn đề phức tạp mà phải có yêu cầu giải pháp bảo mật cấp cao để đối phó với nó. Giải pháp bảo mật phải có khả năng đối phó với các hiểm họa bảo mật đến từ mạng. Nhưng nó cũng phải cho phép công ty tiếp tục đạt được những mục tiêu kinh doanh và phải đủ mềm dẻo để thích nghi với những công nghệ và mô hình mạng thay đổi I. Kế hoạch bảo mật Hầu hết những nhiệm vụ khó khăn liên quan tới bảo mật là giai đoạn lập kế hoạch. Là khi cần phát triển những giải pháp cho việc kinh doanh và bảo mật của công ty. Khi nghiên cứu mạng và xác định những vùng ít đảm bảo và vùng then chốt hợp thành, cần phải tiến tới một kế hoạch bảo mật từ viễn cảnh khác nhau:  Mục tiêu kinh doanh và những yêu cầu của người dùng.  Con người và chính trị.  Kỹ thuật đưa ra Đầu tiên, phải phác thảo mục tiêu kinh doanh của công ty trong kế hoạch kinh doanh. Được sử dụng như bản đồ chỉ đường để tăng thành công của công ty. Giải pháp bảo mật tốt nên trợ giúp, không gây trở ngại, một công ty hướng tới mục đích kinh doanh của nó. Đồng thời phải đối mặt với tất cả các kiểu người dùng từ những lĩnh vực khác nhau khi định rõ tài nguyên và tài sản nào công ty sử dụng để đạt được mục tiêu kinh doanh. Điều này có nghĩa là phải có kinh nghiệm lâu năm với tổ chức và có hiểu biết về chính trị khi đối mặt với người sử dụng khác nhau. Khi hiểu về tài nguyên nào cần sử dụng, cần tìm giải pháp bảo mật gì để thực hiện mà vẫn bảo vệ được công ty và cho phép nó đạt được những mục đích ban đầu. II. Những nền tảng khác nhau Một trong những thứ khó nhất khi đối mặt với việc thiết kế giải pháp bảo mật là cố tìm ra giải pháp phù hợp mọi mặt. Mặt khác, thử tìm tất cả sản phẩm bảo mật từ các nhà cung cấp dịch vụ với hệ thống quản lý mà có khả năng dễ dàng thực hiện chính sách bảo mật cho tất cả sản phẩm bảo mật. Ví dụ, giải pháp bảo mật phải bao gồm nhiều loại thiết bị phần cứng và phần mềm ứng dụng. Là danh sách nhỏ của một số loại thiết bị mà giải pháp bảo mật nên đối mặt với.  PC và laptop chạy window 95, 98, Me, 2000, cũng như desktop UNIX và Macintoshes.  Server chạy NT, 2000,2003, Linux, và các hệ điều hành khác.  Mainframe chạy Mutiple virtual storage và virtual Machine.  Routers từ Cisco, Juniper, Nortel, …  Swiches từ Cisco, Foundry, Extreme,… Danh sách này không chứa tất cả, mà chỉ có ý là có nhiều loại thiết bị phần cứng, không chỉ là hàng trăm phần mềm ứng dụng. Trong nhiều trường hợp, phải mua những sản phẩm bảo mật từ nhiều nhà cung cấp khác nhau để thực hiện giải pháp bảo mật cho chính sách và mục tiêu của công ty. III. Mục tiêu bảo mật Bảo mật mạng để nhằm đạt được các mục tiêu sau:  Sự tin cậy Giúp người nhận hiểu nội dung thông điệp. - Người gửi mã hóa thông điệp. - Người nhận giải mã thông điệp. - Sự bí mật : ẩn “ai đang làm gì với ai với nội dung gì”.  Sự xác thực Để người gửi và người nhận chứng thực nhau.  Sự toàn vẹn Người nhận và người gửi, muốn đảm bảo thông điệp không bị thay đổi trong quá trình truyền, hay sau quá trình truyền mà không được phát hiện.  Sự sẵn sàng cho truy cập Đảm bảo dịch vụ luôn sẵn sàng cho người dùng có thể truy xuất, hay sử dụng dịch vụ. Giải pháp bảo mật ngày càng trở nên phức tạp, đặc biệt trong mạng doanh nghiệp lớn. Để trợ giúp làm đơn giản hóa những tiến trình, giải pháp bảo mật tốt nên có những mục tiêu sau:  Tạo những chính sách bảo mật riêng rẽ, dựa trên kế hoạch và mục đích kinh doanh của công ty  Chính sách bảo mật nên đưa ra lựa chọn sản phẩm và giải pháp bảo mật.  Quản lý bảo mật nên tập trung dưới một tổ chức riêng biệt. Đầu tiên, việc tạo chính sách bảo mật gắn liền với quy mô của công ty. Chính sách nên dựa trên kế hoạch và mục tiêu kinh doanh. Nó nên đảm bảo đủ linh hoạt để cho phép công ty đạt được mục đích kinh doanh, trong khi vẫn bảo vệ tài nguyên của công ty ở giá hiệu quả. Thứ 2, Sản phẩm bảo mật phải phù hợp với kế hoạch bảo mật. Phát triển giải pháp bảo mật chung, và sau đó tìm sản phẩm đặc biệt mà có hướng dẫn thiết kế cho phần đó. Ba là, việc quản lý và hỗ trợ sản phẩm rất quan trọng, đặc biệt khi chúng có liên quan để tìm ra và đối phó với hiểm họa bảo mật kiểu thời gian thực. Một số công ty mua tất cả sản phẩm bảo mật của họ từ một nhà cung cấp dịch vụ, làm cho việc quản lý tích hợp của sản phẩm dễ dàng hơn: Nó dễ triển khai, quản lý và hỗ trợ nền tảng từ nhà cung cấp dịch vụ đơn lẻ so với nhiều nhà dịch vụ. Nếu cần mua thiết bị và phần mềm từ những nhà cung cấp dịch vụ khác nhau để phát triển liên quan tới giải pháp bảo mật, phải quản lý sản phẩm sau khi bổ sung chúng. Bởi vậy, nên chọn sản phẩm phần mềm quản lý bảo mật mà dễ quản lý và theo dõi thiết bị bảo mật. Lựa chọn giải pháp quản lý tốt sẽ cho phép làm cho giải pháp bảo mật áp dụng cho mô hình lớn. Tại sao phải bảo mật Hàng nghìn hiểm họa từ bên ngoài đe dọa bảo mật mạng công ty, cũng như từ bên trong công ty:  Người ngoài và hacker.  Người làm việc trong công ty.  Ứng dụng người dùng thực hiện cho nhiệm vụ kinh doanh.  Hệ điều hành chạy trên máy tính để bàn và server, các thiết bị.  Hạ tầng mạng được sử dụng để di chuyển dữ liệu, bao gồm thiết bị như routers, switches, hubs, firewalls, gateway, và những thiết bị khác. Trong mạng lớn, những nhân tố này có thể bao gồm hàng nghìn thiết bị và hàng trăm ứng dụng. Phức tạp để giải quyết. Tuy nhiên, nếu sử dụng cách tiếp cận chia và trị, có thể chia chia mạng thành những phần, miền, làm cho phát triển giải pháp trở nên dễ hơn. Trợ giúp tiến trình bảo mật, vấn đề bảo mật được chia thành 3 loại: - Sự yếu kém trong xác định chính sách: Những yếu kém này bao gồm yếu kém trong cả chính sách kinh doanh và bảo mật. Ví dụ của yếu kém này là không viết chính sách bảo mật. Nếu không có chính sách, thì ép buộc thực hiện bằng cách nào? - Yếu kém trong công nghệ máy tính: Những yếu kém này bao gồm yếu kém bảo mật trong giao thức, như TCP/IP và IPX, cũng như hệ điều hành, như UNIX, Novell NetWare, và Windows. - Yếu kém trong cấu hình thiết bị: Những yếu kém này bao gồm cài đặt, cấu hình, và quản lý thiết bị mạng. Ví dụ không gán password cho cổng console của router Cisco. IV. Xác định chính sách bảo mật Yếu kém đầu tiên liên quan tới xác định chính sách kinh doanh và bảo mật. Nhiều công ty thiếu chính sách bảo mật hay kinh doanh có trường hợp thiếu cả hai. Công ty để phát triển với mục tiêu kinh doanh, cần có kế hoạch kinh doanh tốt rõ ràng bao gồm mục tiêu kinh doanh và chính sách. Mặt khác, để thực hiện và duy trì giải pháp bảo mật tốt để trợ giúp công ty phác thảo mục tiêu trong kế hoạch kinh doanh của nó. Cần phát triển chính sách bảo mật tốt. Chính sách bảo mật nên dựa trên kế hoạch kinh doanh. Điều này đảm bảo rằng kế hoạch bảo mật luôn giới hạn cách công ty thực hiện kinh doanh hằng ngày, và kế hoạch bảo mật đó cho phép công ty đạt được mục tiêu kinh doanh. IV.1. Chính sách kinh doanh và bảo mật Ở mức nhỏ nhất, chính sách bảo mật nên đặt ra các câu hỏi như: - Bảo mật cái gì? - Bảo mật bằng cách nào? - Mức độ bảo vệ được sử dụng là bao nhiêu ? Thậm chí nghĩ 3 câu hỏi này là đơn giản, mạng doanh nghiệp, có rất nhiều thiết bị như hàng nghìn PC, và 400 server…..Tuy nhiên, khi trả lời nên lập chính sách và kế hoạch kinh doanh của công ty, để đảm bảo rằng giải pháp bảo mật đề xuất không cản trở công ty đạt được những mục tiêu đề ra. Ví dụ, công ty có 30 văn phòng ở xa mà kết nối văn phòng trung tâm. Công ty này bán widget như kinh doanh chính của nó. Văn phòng ở xa gồm những nhân viên bán hàng, người mà truy xuất tới phần mềm cơ sở dữ liệu của văn phòng công ty để sắp theo thứ tự kiểm tra trạng thái thứ tự cho khách hàng địa phương. Nếu thực hiện giải pháp bảo