Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ A.LỜI NÓI ĐẦU 1 Lý do chọn đề tài: Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hoà mình vào mng toàn cầu !nt"rn"t# $n toàn và bảo m%t thông tin &à một trong nh'ng v(n đ) quan tr*ng hàng đầu, +hi thc hi-n +.t n/i mng nội bộ c0a các cơ quan, 1oanh nghi-p, tổ chức với !nt"rn"t# 2gà3 na3, các bi-n pháp an toàn thông tin cho má3 t4nh cá nh5n c6ng nh7 các mng nội bộ đ8 đ79c nghi:n cứu và tri;n +hai# <u3 nhi:n, v=n th7>ng ?u3:n c@ các mng bA t(n công, c@ các t ổ chức bA đánh cắp thông tin,Bg53 n:n nh'ng h%u quả vô cCng nghi:m tr*ng# <D nhu cầu phát tri;n, đEi hFi các cơ quan, tổ chức phải hEa mình vào mng toàn cầu, mng !nt"rn"t Gong v=n phải đảm bảo an toàn thông tin trong quá trình +.t n/i# HIi v%3, "m đ8 qu3.t đAnh ch*n đ) tàiJ “Nghiên cứu và ti!n "h#i c$c gi%i &h$& '%o ()t (*ng n+i '+,-&àm đ) tài c0a mình# /0c đch c2# đề tài : Với đ) tài “Nghiên cứu và ti!n "h#i c$c gi%i &h$& '%o ()t (*ng n+i '+,thông qua đ@ nhKm đi)u +hi;n &uLng thông tin ra, vào và bảo v- các mng nội bộ +hFi Gt(n công tD !nt"rn"t# 3 Đ4i t56ng nghiên cứu: MNng nội bộ OP$2Q M Firewall 7 8h59ng &h$& nghiên cứu: Nguyễn Văn TânRDT1!TT"#Trang1
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
qu3.t t/t v(n đ) ch4nh Gách v) con ng7>i ta c@ th; to ra cho mình G an toàn chắc
chắn hơn#
1. DPn đề '%o ()t hV th4ng và (*ng
1..1 @$c vPn dề chung về '%o ()t hV th4ng và (*ng
s^c đi;m chung c0a một h- th/ng mng &à c@ nhi)u ng7>i G 1Sng chung và
ph5n tán v) m^t đAa &T n:n vi-c bảo v- tài ngu3:n Om(t mát ho^c G 1Sng +hông
h9p &-Q phức tp hơn nhi)u Go với vi-c môi tr7>ng một má3 t4nh đơn &, ho^c một
ng7>i G 1Sng# |ot động c0a ng7>i quản trA h- th/ng mng phải đảm bảo các
thông tin tr:n mng &à tin c%3 và G 1Sng đ_ng mSc đ4ch, đ/i t79ng đLng th>i đảm
bảo mng hot động ổn đAnh +hông bA t(n công bIi nh'ng + phá hoi# 2h7ng tr:n
thc t. &à +hông một mng nào đảm bảo &à an toàn tu3-t đ/i, một h- th/ng 1C đ79c
bảo v- chắc chắn đ.n mức nào thì c6ng c@ &_c bA vô hi-u h@a bIi nh'ng + c@ T đL
?(u# <rong nội 1ung đ) tài c0a "m &à tW( hi!u về c$c &h59ng &h$& '%o ()t cho
(*ng LAN. <rong nội 1ung v) &T thu3.t c0a đ) tài "m ?in trình bà3 v) một G/+hái ni-m GauJ
1.. /+t X4 "h$i niV( và YZch X[ '%o ()t hV th4ng
#\ Đ4i t56ngtPn c]ng (*ng ^intudR\
s/i t79ng &à nh'ng cá nh5n ho^c tổ chức G 1Sng nh'ng +i.n thức v) mng
và các công cS phá hoi OgLm phần cứng ho^c phần m)mQ đ; 1E tìm các đi;m 3.uvà các &j hổng bảo m%t tr:n h- th/ng, thc hi-n các hot động ?5m nh%p và chi.m
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
bản th5n thi.t +. I tầng !nt"rn"t O!}Q n@i ri:ng và bộ giao thức <U}€!} n@ichung đ8
n chứa nh'ng ngu3 cơ ti)m tang c0a các &j hổng &oi nà3#
$ %& h'ng (oại ) J Uho php ng7>i G 1Sng c@ th:m các qu3)n tr:n h- th/ng
mà +hông cần +i;m tra t4nh h9p &- 1=n đ.n m(t mát thông tin 3:u cầu cần bảo m%t#
Pj hổng &oi H nà3 th7>ng c@ trong các ứng 1Sng tr:n h- th/ng # U@ mức độ
ngu3 hi;m trung bình# Pj hổng &oi H nà3 c@ mức độ ngu3 hi;m hơn &j hổng &oi
U# Uho php ng7>i G 1Sng nội bộ c@ th; chi.m đ79c qu3)n cao hơn ho^c tru3
nh%p +hông h9p pháp#2h'ng &j hổng &oi nà3 th7>ng ?u(t hi-n trong các 1Ach vStr:n h- th/ng#2g7>i G 1Sng &oca& đ79c hi;u &à ng7>i đ8 c@ qu3)n tru3 nh%p vào
h- th/ng với một G/ qu3)n hn nh(t đAnh#
Nột 1ng +hác c0a &j hổng &oi H ?ả3 ra với các ch7ơng trình vi.t bKng m8
nguLn U# 2h'ng ch7ơng trình vi.t bKng m8 nguLn U th7>ng G 1Sng một vCng
đ-m, một vCng trong bộ nhớ G 1Sng đ; &7u tr' 1' &i-u tr7ớc +hi ? &T# 2g7>i &%p
trình th7>ng G 1Sng vCng đ-m trong bộ nhớ tr7ớc +hi gán một +hoảng +hông gian bộ nhớ cho tDng +h/i 1' &i-u# V4 1S +hi vi.t ch7ơng trình nh%p tr7>ng t:n ng7>iG
1Sng qu3 đAnh tr7>ng nà3 1ài W +Tt bKng +hai báoJ
Uhar ~irGtnam" ‚Wƒ„ xhai báo nà3 cho php ng7>i G 1Sng nh%p t/i đa W +T
t# xhi nh%p 1' &i-u ban đầu 1' &i-u đ79c &7u I vCng đ-m# xhi ng7>i G 1Sng
nh%p nhi)u hơn W +T t G tràn vCng đ-m# 2h'ng +T t nh%p thDa G nKm ngoài
vCng đ-m +hi.n ta +hông th; +i;m Goát đ79c# 2h7ng đ/i với nh'ng + t(n côngch_ng c@ th; &9i 1Sng nh'ng &j hổng nà3 đ; nh%p vào nh'ng +T t đ^c bi-t đ; thc
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
● Go#nX
<ro‹anG &à một ch7ơng trình ch3 +hông h9p &- tr:n một h- th/ng# Với vai trEnh7 một ch7ơng trình h9p pháp# <ro‹anG nà3 c@ th; ch3 đ79c &à 1o các ch7ơng
trình h9p pháp đ8 bA tha3 đổi m8 c0a n@ thành m8 b(t h9p pháp#
V4 1S nh7 các ch7ơng trình viruG &à &oi đi;n hình c0a <ro‹anG# 2h'ng
ch7ơng trình viruG th7>ng ch" 1(u các đon m8 trong các ch7ơng trình G 1Sng
h9p pháp# xhi nh'ng ch7ơng trình nà3 đ79c +4ch hot thì nh'ng đon m8 n 1(u
G thc thi và ch_ng thc hi-n một G/ chức ndng mà ng7>i G 1Sng +hông bi.t nh7Jdn cắp m%t +hu ho^c cop3 ~i&" mà ng7>i G 1Sng nh7 ta th7>ng +hông ha3 bi.t#
Nột ch7ơng trình <ro‹anG G thc hi-n một trong nh'ng công vi-c GauJ
Œ <hc hi-n một vài chức ndng ho^c gi_p ng7>i &%p trình &:n n@ phát hi-n
nh'ng thông tin quan tr*ng ho^c nh'ng thông tin cá nh5n tr:n một h- th/ng ho^c
chl tr:n một vài thành phần c0a h- th/ng đ@#
Œ Uh" 1(u một vài chức ndng ho^c &à gi_p ng7>i &%p trình phát hi-n nh'ng
thông tin quan tr*ng ho^c nh'ng thông tin cá nh5n tr:n một h- th/ng ho^c chl tr:n
một vài thành phần c0a h- th/ng#
2goài ra cEn c@ các ch7ơng trình <ro‹an c@ th; thc hi-n đ9c cả hai chức
ndng nà3#U@ ch7ơng trình <ro‹an cEn c@ th; phá h03 h- th/ng bKng cách phá hoi
các thông tin tr:n ổ cứng# 2h7ng ngà3 na3 các <ro‹anG +i;u nà3 1k 1àng bA pháthi-n và +h@ phát hu3 đ79c tác 1Sng# <u3 nhi:n c@ nh'ng tr7>ng h9p nghi:m tr*ng
hơn nh'ng + t(n công to ra nh'ng &j hổng bảo m%t thông qua <ro‹anG và + t(n
công &(3 đ79c qu3)n root tr:n h- th/ng và &9i 1Sng qu3)n đ@ đ; phá h03 một phần
ho^c toàn bộ h- th/ng ho^c 1Cng qu3)n root đ; tha3 đổi &og~i&", cài đ^t các ch7ơng
m%t t/t cho v(n đ) bảo v- an ninh mng hi-n na3# <rong +huôn +hổ bài báo cáo
nà3 "m ?in trình bà3 v) ph7ơng pháp bảo m%t mng P$2 bKng Xir"Ya&&#
@BCN? :
GN? UAN DF IHjkALL
s; bảo v- mng nội bộ Xir"Ya&& &à một trong nh'ng giải pháp bảo v- mng
h'u hi-u và phổ bi.n hi-n na3# 2@ gi_p cho các mng nội bộ tránh +hFi nh'ng tru3nh%p trái php tD b:n ngoài bKng cách đi)u +hi;n thông tin ra vào gi'a các mng
nội bộ# 2ội 1ung ch4nh c0a ch7ơng nà3 "m G đi giới thi-u tổng quan v) Xir"Ya&&,
+hái ni-m, các chức ndng c0a Xir"Ya&&, ph5n &oi Xir"Ya&&, 7u nh79c đi;m c0a
Pà một thi.t bA phần cứng đ79c t4ch h9p bộ đAnh tu3.n, các qu3 tắc cho vi-c
&*c g@i tin đ79c thi.t &%p nga3 tr:n bộ đAnh tu3.n đ@# Xir"Ya&& phần cứng nà3 nh7
một chi.c má3 t4nh chl thc hi-n chức ndng 1u3 nh(t &à &*c g@i tin bKng cách ch3
một phần m)m đ8 đ79c cứng h@a trong đ@ và chl c@ th; thi.t &%p các t%p &u%t cEn
+hông th; tha3 đổi bộ đAnh tu3.n đ79c cứng h@a và t4ch h9p b:n trong# <C3 vào
tDng &oi ~ir"Ya&& phần cứng c0a các h8ng +hác nhau mà cho php ng7>i quản trA
c@ +hả ndng c%p nh%t nh'ng qu3 tắc &*c g@i tin +hác nhau# xhi hot động, t7>ng&a G 1a tr:n các qu3 tắc đ79c thi.t &%p trong bộ đAnh tu3.n mà +i;m tra thông tin
O}ortQ ### đ79c ch(p nh%n thì n@ G đ79c chu3;n ti.p vào mng b:n trong ha3
chu3;n ra mng int"rn"t b:n ngoài# |i-n na3 tr:n th. giới c@ một G/ h8ng Gản ?u(t
~ir"Ya&& phần cứng r(t nổi ti.ng nh7 U!UŽ, MP!2x, }P$2<###
'\ iRb#YY &hn (ề(
Poi ~ir"Ya&& nà3 &à một ch7ơng trình ứng 1Sng ngu3:n tắc hot động 1a
tr:n tr:n ứng 1Sng pro?3 M &à một phần m)m cho php chu3;n các g@i tin mà má3
ch0 nh%n đ79c đ.n nh'ng đAa đi;m nh(t đAnh th"o 3:u cầu# Và các qu3 tắc &*c g@i
tin đ79c ng7>i G 1Sng t thi.t &%p# 2g7>i ta th7>ng G 1Sng ~ir"Ya&& &oi nà3 +himột mng má3 t4nh c@ má3 ch0 và m*i thông tin đ)u thông qua má3 ch0 nà3 rLi
mới chu3;n đ.n má3 con trong mng ho^c 1Cng cho má3 t4nh cá nh5n +hi tham gia
mng ### Xir"Ya&& phần m)m nà3 r(t ti-n &9i I chj phần m)m c@ th; 1k 1àng tha3
đổi c%p nh%t các phi:n bản mới# Uách thức hot động c0a ~ir"Ya&& 1ng nà3 c6ng
cá nh5n# Ná3 t4nh nà3 c@ th; đảm đ7ơng nhi)u nhi-m vS ngoài công vi-c &àXir"Ya&&# Nji +hi c@ các g@i tin đ79c chu3;n đ.n ha3 chu3;n đi n@ đ)u đ79c phần
m)m ~ir"Ya&& nà3 +i;m tra phần h"a1"r c0a g@i tin bao gLm các thông tin v) đAa
chl đ.n, đAa chl đi, giao thức, cổng 1Ach vS ####Xir"Ya&& phần m)m mới hi-n na3 cEn
c@ th; +i;m tra đ79c nội 1ung c0a g@i tin# Uác thông tin mà ~ir"Ya&& +i;m tra đ79c
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
~ir"Ya&& phần m)m hot động ch%m hơn Go với ~ir"Ya&& phần cứng n:n ảnh h7Ing
&ớn đ.n t/c độ c0a toàn h- th/ng mng# N t̂ +hác h- th/ng t7>ng &a phần m)m
th7>ng đ79c G 1Sng đ; đảm bảo an ninh cho các má3 t4nh cá nh5n ho^c một
mng nhF# Vi-c G 1Sng h- th/ng ~ir"Ya&& phần m)m G gi_p giảm chi ph4 vì giá cả
thi.t bA ~ir"Ya&& phần cứng đắt g(p nhi)u &ần Go với h- th/ng ~ir"Ya&& phần m)m#
|ơn n'a, +hi ta G 1Sng h- th/ng ~ir"Ya&& phần m)m trong vi-c đảm bảo an ninh
cho má3 t4nh cá nh5n ha3 mng với qu3 mô nhF thì vi-c ảnh h7Ing đ.n t/c độ
chu3;n các g@i tin trong mng &à +hông đáng +;# si;m 3.u +hác c0a ~ir"Ya&& phần
m)m đ@ &à với mji ~ir"Ya&& phần m)m đ79c ch3 tr:n tDng h- đi)u hành nh(t đAnh#V4 1S ]on"$&arm }ro &à môt h- th/ng ~ir"Ya&& phần m)m chl ch3 tr:n h- đi)u
hành [in1oYG# |a3 với phần m)m mooth[a&& thì &i chl c@ th; ch3 tr:n h- đi)u
hành Pinu?# 2h7ng với ~ir"Ya&& phần cứng thì c@ th; ch3 một các hoàn toàn độc
&%p +hông bA phS thuộc vào h- đi)u hành nh7 ~ir"Ya&& phần m)m# Xir"Ya&& phần
m)m hi-n gi> đ8 c@ th; &*c đ79c nội 1ung g@i tin cEn ~ir"Ya&& phần cứng chl c@ th;
&*c thông tin trong phần h"a1"r c0a g@i tin cEn phần nội 1ung ch4nh c0a g@i tin thì~ir"Ya&& phần cứng +hông th; +i;m Goát đ79c# HIi v%3 mà Xir"Ya&& phần cứng
+hông th; gi_p ngdn ch^n các &oi viruG h- th/ng nh7ng ~ir"Ya&& phần m)m thì c@
th;#
.1.7 /+t X4 hV th4ng iRb#YY "h$c
aQ }ac+"tMXi&t"ring out"r OHộ trung chu3;n c@ &*c g@iQ
|- th/ng !nt"rn"t ~ir"Ya&& phổ bi.n nh(t chl bao gLm một pac+"tM~i&t"ring
rout"r đ^t gi'a mng nội bộ và !nt"rn"t# Nột pac+"tM~i&t"ring rout"r c@ hai chức
ndngJ chu3;n ti.p tru3)n thông gi'a hai mng và G 1Sng các qu3 &u%t v) &*c g@i
đ; cho php ha3 tD ch/i tru3)n thông# Udn bản, các qu3 &u%t &*c đơc đAnh nghˆa
Gao cho t(t cả các h- th/ng I b:n ngoài chl c@ th; tru3 nh%p baGtion hoGt# Vi-c
tru3)n thông tới t(t cả các h- th/ng b:n trong đ)u bA +hoá# HIi vì các h- th/ng nội
bộ và baGtion hoGt I tr:n cCng một mng, ch4nh Gách bảo m%t c0a một tổ chức G
qu3.t đAnh ?"m các h- th/ng nội bộ đ79c php tru3 nh%p trc ti.p vào baGtion
!nt"rn"t ha3 &à ch_ng phải G 1Sng 1Ach vS pro?3 tr:n baGtion hoGt# Vi-c bắt buộcnh'ng uG"r nội bộ đ79c thc hi-n bKng cách đ^t c(u hình bộ &*c c0a rout"r Gao cho
chl ch(p nh%n nh'ng tru3)n thông nội bộ ?u(t phát tD baGtion hoGt#
u đi;m
Œ Ná3 ch0 cung c(p các thông tin công cộng qua 1Ach vS ["b và X<} c@ th;
đ^t tr:n pac+"tM~i&t"ring rout"r và baGtion# <rong tr7>ng h9p 3:u cầu độ an toàn cao
nh(t, baGtion hoGt c@ th; ch3 các 1Ach vS pro?3 3:u cầu t(t cả các uG"r cả trong và
ngoài tru3 nh%p qua baGtion hoGt tr7ớc +hi n/i với má3 ch0# <r7>ng h9p +hông 3:u
cầu độ an toàncao thìcác má3 nộibộ c@ th; n/ith‘ng với má3 ch0#
Œ 2.u cần độ bảo m%t cao hơn n'a thì c@ th; 1Cng h- th/ng ~ir"Ya&& 1ua&M
|- th/ng nà3 bao gLm hai pac+"tM~i&t"ring rout"r và một baGtion hoGt# |-
th/ng ~ir"Ya&& nà3 c@ độ an toàn cao nh(t vì n@ cung c(p cả mức bảo m%t n"tYor+ và app&ication trong +hi đAnh nghˆa một mng yphi qu5n Gz# Nng N] đ@ng vai
trE nh7 một mng nhF, cô &%p đ^t gi'a !nt"rn"t và mng nội bộ# Uơ bản, một N]
đ79c c(u hình Gao cho các h- th/ng tr:n !nt"rn"t và mng nội bộ chl c@ th; tru3
nh%p đ79c một G/ giới hn các h- th/ng tr:n mng N], và G tru3)n trc ti.p
qua mng N] &à +hông th; đ79c# Với nh'ng thông tin đ.n, rout"r ngoài ch/ng
&i nh'ng G t(n công chun Onh7 giả mo đAa chl !}Q, và đi)u +hi;n tru3 nh%p tới
N]# 2@ cho php h- th/ng b:n ngoài tru3 nh%p chl baGtion hoGt, và c@ th; cả
in~ormation G"rv"r# out"r trong cung c(p G bảo v- thứ hai bKng cách đi)u +hi;n
N] tru3 nh%p mng nội bộ chl với nh'ng tru3)n thông bắt đầu tD baGtion hoGt#
Với nh'ng thông tin đi, rout"r trong đi)u +hi;n mng nội bộ tru3 nh%p tới N]#
2@ chl cho php các h- th/ng b:n trong tru3 nh%p baGtion hoGt và c@ th; cả
in~ormation G"rv"r# Šu3 &u%t ~i&t"ring tr:n rout"r ngoài 3:u cầu G 1ung 1ich vS
pro?3 bKng cách chl cho php thông tin ra bắt nguLn tD baGtion hoGt#
u đi;m
Œ x t(n công cần phá v ba tầng bảo v-J rout"r ngoài, baGtion hoGt và rout"r
Nột n_t thắt bắt buộc nh'ng + đột nh%p phải đi qua một yca +huz h`p mà
ch_ng ta c@ th; +i;m Goát và đi)u +hi;n đ79c gi/ng nh7 vi-c mu/n vào rp ?"m
hát,ta phải đi qua cổng +i;m Goát v# <rong cơ ch. an toàn mng, Xir"Ya&& nKm
gi'a h- th/ng c0a ta và mng !nt"rn"t,n@ ch4nh &à một n_t thắt# H(t +“ ai c@ T đAnh
đột nh%p h- th/ng tD !nt"rn"t G phải qua ca +hu nà3, và ta c@ th; th"o 1ei, quản&T đ79c#
..7. Đi!( pung Q`u nhPt ^kR#"RXt Lin"\
xhi mu/n ?5m nh%p vào h- th/ng, + đột nh%p tinh ranh th7>ng tìm các đi;m
3.u nh(t đ t(n công vào đ@# o v%3, đ/i với tDng h- th/ng cần phải bi.t đi;m 3.u
nh(t đ; c@ ph7ơng án bảo v- an toàn h- th/ng# <h7>ng ta ha3 quan t5m đ.n nh'ng
+ đột nh%p tr:n mng hơn &à nh'ng + ti.p nh%n h- th/ng, cho n:n an toàn v) m^t
v%t &Tđ79c coi &à đi;m 3.u nh(t trong m*i h- th/ng#
... ng tong #n toàn ^#iYea#R at#ncR\
Nột ngu3:n tắc n)n tảng +hác c0a an toàn &à yhFng trong an toànz„ si)u nà3
c@ nghˆa &à n.u h- th/ng đang hFng thì n@ phải đ79c hFng th"o một cách nào đ@ đ;
ngdn ch^n G tru3 nh%p b(t h9p pháp t/t hơn &à đ; cho + đột nh%p &*t vào phá h-th/ng# s7ơng nhi:n vi-c hFng trong an toàn c6ng huf bF G tru3 nh%p h9p pháp
c0a ng7>i G 1Sng cho đ.n +hi h- th/ng đ79c +hôi phSc &i# a tr:n ngu3:n tắc
nà3 ng7>i ta đ7a ra hai qu3 tắc cơ bản áp 1Sng cho các qu3 đAnh và bi-n pháp an
toànJ Nột &à, "~au&t 1"n3 tanc"J Uh_ tr*ng vào nh'ng cái đ79c php và ngdn
thì t/t hơn” <h"o quan đi;m v) an toàn thì n:n 1Cng qu3 tắc y"~au&t 1"n3 Gtanc"z#UEn th"o quan đi;m c0a các nhà quản &T thì &i &à qu3 tắc y"~au&t p"rnmit
tanc"z#
..;. aq th#( gi# toàn cu
s; đt hi-u quả an toàn cao, t(t cả các h- th/ng tr:n mng phải tham gia vào
giải pháp an toàn# 2.u tLn ti một h- th/ng c@ cơ ch. an toàn +m, ng7>i tru3
nh%p b(t h9p pháp c@ th; tru3 nh%p vào h- th/ng nà3 Gau đ@ tru3 nh%p các h- th/ng
+hác tD b:n trong#
... Gnh đ# d*ng c2# viVc '%o vV
o G 1Sng nhi)u h- th/ng +hác nhau, ta phải c@ nhi)u bi-n pháp bảo v- đ;
đảm bảo chi.n &79c bảo v- th"o chi)u G5u# HIi vì, n.u t(t cả các h- th/ng c0a ta
đ)u nh7 nhau và một ng7>i nào đ@ bi.t cách đột nh%p vào một trong G/ các h-th/ng thì anh ta c6ng c@ th; đột nh%p vào t(t các h- th/ng cEn &i# 1Sng nhi)u
h- th/ng +hác nhau c@ th; hn ch. các các cơ hội phát Ginh &ji và an toàn hơn#ong
đổi &i, ta phải đ/i m^t với các v(n đ) v) giá cả và t4nh ch(t phức tp# Vi-c mua
bán, &ắp đ^t nhi)u h- th/ng +hác nhau G +h@ hơn, t/n +m th>i gian hơn các h-
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
th/ng cCng ch0ng &oi# 2goài ra , c6ng cần nhi)u G hj tr9 và th>i gian đ; đào to
cán bộ v%n hành, quản trAh- th/ng tD ph4a các nhà cung c(p#
... Đ9n gi%n ho$
N*i thứ đơn giản G trI n:n 1k hi;u# 2.u ta +hông hi;u re một cái gì đ@, ta
c6ng +hông th; bi.t đ79c &i-u n@ c@ an toàn ha3 +hông#
.3 @$ch thức pTQdqng iRb#YY
<rong quá trình ?53 1ng một t7>ng &a đEi hFi b7ớc ti.n hành đ)u phải đ79c
n:n +. hoch tr7ớc và ph/i h9p ch^t ch với nhau# Và đ; giải qu3.t v(n đ) &ớn
nh(t &à ?53 1ng thành công một t7>ng &a hot động th"o hi-u quả thì ta phải ?53
1ng tDng b7ớc th%t v'ng chắc,hn ch. t/i đa nh'ng Gai G@t đáng ti.c c@ th; ?ả3 ra
trong quá trình ?53 1ng#
.3.1 wTQ dqng c$c nguQên tsc cn '%n ^HuYR <#XR\
Nu/n ?53 1ng đ79c một Xir"Ya&& thành công thì n@ phải thc hi-n th"o một
G/ qu3 tắc cdn bản nh(t đAnh Ou&" baG"Q# xhi c@ một g@i tin !} đi qua t7>ng &a thì
n@ G phải 1a các qu3 tắc cdn bản nà3 đ; ph5n t4ch và &*c g@i tin# Vì th. ch_ng ta
phải đ7a ra các qu3 tắc th%t đơn giản, ngắn g*n và 1k hi;u nhầm tdng t/c độ G &Tg@i tin trong t7>ng &a và G tránh đ79c tắc nghn, đLng th>i n@ cEn gi_p cho vi-c
tha3 đổi và bảo trì h- th/ng đ79c 1k 1àng hơn r(t nhi)u# <hông th7>ng thì ta n:n
1Cng +hông quá Z qu3 tắc cdn bản và t/i đa +hông đoc quá qu3 tắc vì n.u
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
1Cng quá nhi)u G &àm cho vi-c &*c g@i G ch%m hơn và c6ng G 1k g53 ra &ji vì các
qu3 tắc c@ th; bAchLng cho &:n nhau#
.3. wTQ dqng chnh X$ch #n toàn ^aRcuitQ 8oYicQ\
Nột t7>ng &a phải c@ các ch4nh Gách an toàn OG"curit3 po&ic3Q vì thc ch(t
t7>ng &a chl &à một công cS thc thi các ch4nh Gách an toàn# Vi-c quản &T và ?53
1ng ch4nh Gách an toàn một cách ch^t ch G to ra đ79c Gức mnh cho t7>ng &a#
Vì v%3 tr7ớc +hi ch_ng ta ?53 1ng các qu3 tắc cdn bản thì ch_ng ta phải hi;u
đ79c ch4nh Gách an toàn c0a t7>ng &a cần ?53 1ng &à gì ”
Và đLng th>i c6ng phải ?53 1ng các ch4nh Gách an toàn Gao cho 1k hi;u và
đơn giản một cách t7ơng đ/i và +hông n:n ?53 1ng một cách quá phức tp 1=n
đ.n chLng cho 1k g53 nhầm &=n và 1k +i;m tra, bảo trì# Uh_ng ta c@ th; đ7a ra
một G/ ch4nh Gách an toàn r(t đơn giản nh7 GauJ 2h'ng má3trong mng nội bộ
đ79c tru3nh%p ra !nt"rn"t +hông giới hn#Uho php G tru3c%p vào ["b và Nai&
"rv"r c0a mng nội bộ tD !nt"rn"t <(t cả các thông tin đi vào trong mch nội bộđ)u phải đ79c ?ác thc và m8 hoá# <D nh'ng ch4nh Gách r(t đơn giản nh7 v4 1S
tr:n đ53 ch_ng ta c@ th; phát tri;n đ; thành nh'ng ch4nh Gách hot động một cách
hi-u quả và phức tp hơn r(t nhi)u# v4 1S giới hn mng nội bộ chl đ79c G 1Sng
int"rn"t một cách hn ch. với một vài 1Ach vS cơ bản nh7 Nai&, |<<} B mà thôi,
cEn &i ngdn c(m hoàn toàn 1Ach vS tru3)n t-p X<} v#vB
.3.3 wTQ dqng "i`n trc #n toàn
Uác b7ớc cần &àm+hi ?53 1ng một +i.n tr_c an toànJ sầu ti:n thì ta cho php
t(t cả các má3 trong mng nội bộ c@ th; tru3 c%p ra !nt"rn"t# au đ@ ta thc hi-n
cài đ^t các phần thLng tin +hông cần bảo v- Ov4 1SJ["b "rv"r và Nai& "rv"rQ vào
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
một vCng c@ t:n +• thu%t &à vCng yphi qu5n Gz O"mi&itari’"1 ]on" M N]Q#
N] &à một mng tách bi-t nơi mà ta G đ^t các h- th/ng mà ch_ng ta +hông hoàn
toàn tin t7Ing Ovì một +hi tD !nt"rn"t c@ th; tru3 c%p vào đ79c trong N] c0a
ch_ng ta n:n +hông th; tin t7Ing ch_ngQ# HIi v%3 nh'ng h- th/ng trong N] G
+hông bao gi> +.t n/i trc ti.p với mng b:n trong một +hi ch_ng ch7a đ79c tin
c%3# U@ hai &oi N] &àJ N] đ79c bảo v- và N] +hông đ79c bảo v-# N]
đ79c bảo v- &à một phần tách r>i ra b:n ngoài c0a t7>ng &a# N] +hông đ79c
bảo v- &à phần mng nKm gi'a out"r và t7>ng &a# Uh_ng ta n:n 1Cng &oi N]
đ79c bảo v-, vì nơi đ@ &à nơi ch_ng ta th7>ng đ^t cả ["b"rv"r và Nai& "rv"r Uon đ7>ng 1u3 nh(t c@ th; đi vào mng nội bộ &à phải đi qua G +i;m Goát c0a nhà
quản trA mng Oc6ng c@ th; cho php thc hi-n mng tD ?aQ Uái mà ch_ng ta c@ th;
n@i đ.n n'a &à 2 Oomain 2am" "rv"rQ# Uh_ng ta G phải thc hi-n chia 2
ra &àm nhi)u phần# Uhia 2 thành nhi)u phần c@ nghˆa &à chia các thao tác c0a
2 G thuộc hai má3 ch0 2 +hác nhau#Uh_ng ta &àm đi)u nà3 vì ta G đ; một
má3 ch0 2 G &o cho ch_ng ta vi-c giải qu3.t thông tin t:n mi)n c0a công t3 vớimng b:n ngoài# Và một má3 ch0 2 I b:n trong đ; giải qu3.t v(n đ) c0a mng
b:n trong# Ná3 ch0 2 ngoài G nKm trong N c@ đ79c bảo v- cCng với ["b
và Nai& "rv"r# Ná3 2 b:n trong G nKm I mng b:n trong với vi-c nà3 G gi_p
cho ch_ng ta +hông cho bi.t thông tin v) t:n mi)n trong màng nội bộ# Vì má3 ch0
2 chứa thông tin v) Gơ đL c0a mng b:n trong n:n c_ng ta cầnphải đ^t 17ớiG
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
trong ra ngoài mà +hông c@ hn ch. nào# Và t(t cả các 1Ach vS cơ bản nh7 ["b,
Nai&, X<} v#vB đ)u cho php Poc+1oYn OQJ |n ch. t(t cả +hông cho php một G
G5m nh%p nào vào t7>ng &a c0a ch_ng ta# s53 &à qu3 tắc chun mà qu3 tắc cdn
bản cần phải c@# xhông c@ b(t +“ G ?5m nh%p nào vào t7>ng &a nh7ng ch_ng ta
&i cần c@ ng7>i quản trA t7>ng &a OXir"Ya&& $1minGQ# $1min $cc"GG OQJ xhông ai
c@ th; +.t n/i với t7>ng &a, bao gLm cả $1min#Uh_ng ta c6ng phải to ra một qu3
tắc đ; cho php $1min tru3 nh%p vào đ79c t7>ng &a rop $&& OQJ <hông th7>ng
thì ta G &oi bF t(t cả các g@i tin mà +hông phC h9p với qu3 tắc nào# 2h7ng ta n:n
đ7a g@i tin nà3 vào một bản ghi và ta G th:m vào đ@ cu/i 1anh Gách các qu3 tắc#s53 &à một qu3 tắc chun mà ta n:n c@# 2o Pogging OQJ <hông th7>ng G c@ r(t
nhi)u g@i tin đ79c gi đ.n t(t cả các đAa chl Ov1J nh7 tin quảng cáoQ tr:n mng# xhi
đ.n t7>ng &a thì n@ G bA &oi bF và Gau đ@ đ79c ghi vào bản ghi, nh7ng vi-c nà3
G &àm cho bản ghi nhanh ch@ng bA đầ3# Uh4nh vì v%3 ta phải to một qu3 tắc Gao
cho +hi ta bF g@i tin (3 đi mà &i +hông ghi &i vào bản ghi# s53 c6ng &à một
ngu3:n tắc cdn bản mà đôi +hi ta c6ng phải1Cng đ.n# 2 $cc"GG OQJ Nô hình vàcác thành phần c0a t7>ng &a#
.7 Lọc gyi và c9 ch` ho*t đ+ng
xhi n@i đ.n vi-c chu3;n thông tin 1' &i-u gi'a các mng với nhau thông tin
qua t7>ng &a thì đi)u đ@ c@ nghˆa rKng bức t7>ng &a hot động +.t h9p ch^t ch
với giao thức <U}€!} vì giao thức nà3 &àm vi-c th"o thu%t toán chia nhF các 1' &i-u
nh%n đ79c tD các ứng 1Sng tr:n mng# <ức &àJ ' &i-u nh%n đ79c tD các 1Ach vS
ch3 tr:n các giao thức phổ c%p tr:n mng Ov4 1S nh7J t"&n"t, N<}, 2,B##Q
đ79c ph5n thành các g@i gi' &i-u O1ata pac+"tQ# Uác g@i tin nà3 đ79c gán nh'ng đAa
chl và thông tin đ; c@ th; nh%n và tái h9p &i thành 1' &i-u ban đầu# Uh4nh vì v%3
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
tìm +i.m và ti:u 1i-t các ch7ơng trình độc hi virut tr:n ổ cứng má3 t4nh một cách
1k 1àng và nhanh ch@ng nh(t# s^c bi-t ch7ơng trình c6ng to một &á chắn bảo v-
ng7>i 1Cng +hi on&in"#
3. Nh•ng đi!( ni ')t tong iRb#YY c2# kindobX
]on"$&arm bao gLm nhi)u t4nh ndng gi_p bảo v- các 1' &i-u, thông tin cá
nh5n quan tr*ng đ79c &7u tr' trong má3 t4nh tránh +hFi G ?5m nh%p c0a các phần
m)m gián đi-p đ79c cài đ^t bIi các |ac+"r chu3:n nghi-p# Uh7ơng trình c@ +hả
ndng phát hi-n ViruG, <ro‹an, [orm và các phần m)m gián đi-pB
Hổ Gung thanh công cS Žn"MU&ic+ với tác 1SngJ bF cài đ^t
a ch'a &ji trong +hi cài đ^t, ch7ơng trình +hông ?u(t hi-n tr:n thanh công
cS c0a trình 1u3-t !nt"rn"t ?p&or"r
<r7ớc +hi thc hi-n công vi-c c0a mình tr:n b(t +ì vA tr4 nào tr:n h- th/ng
má3 t4nh, ]on"$&arm Xr"" Xir"Ya&& G t động Gao &7u nh'ng 1' &i-u đ79c &7u tr'tr:n nh'ng vA tr4 nà3, đ) phEng tr7>ng h9p c@ &ji ?ả3 ra trong quá trình thc hi-n
công vi-c nh7 m(t đi-n đột ngột, tr"o má3 ho^c thao tác ng7>i 1Cng#
]on"$&arm Xr"" Xir"Ya&& G t động hi;n thA cảnh báo mji +hi phát hi-n c@ phần
m)m g53 ngu3 hi đ.n h- th/ng má3 t4nh, thc hi-n công vi-c qut nhanh ch@ng#
2goài ra, ch7ơng trình cEn bổ Gung th:m t4nh ndng t động c%p nh%t phi:n bản
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
7. Đ$nh gi$ &hn (ề(
]on"$&arm $ntiviruG +hông chl bảo v- h- th/ng c0a bn +hFi G ?5m nh%ptrái php, các &oi viruG và ma&Yar" mà n@ cEn bao gLm cả nh'ng t4nh ndng ti:nti.n nh7 ch/ng &Da đảo, chứng thc trang Y"b, bảo v- 1' &i-u cá nh5n và quản &T1oYn&oa1# <u3 v%3, công cS mikn ph4 nà3 G +hông c@ các t4nh ndng c0a phi:n bảnđầ3 đ0 nh7 +i;m Goát tr "m, 1u3-t Y"b ảo, đi)u chlnh má3 t4nh và hj tr9#
Uông cS ~ir"Ya&& và !1"ntit3 ata }rot"ction đ8 đ79c +4ch hot trong ca Gổ+hIi động c0a ch7ơng trình, m^c 1C công cS ch4nh &à ch/ng &i viruG, đ8 bA vô hi-u1o ?ung đột với giải pháp ch/ng viruG hi-n th>i# Vì v%3, ]on"$&arm t động hi;nthA trng thái c0a "a&M<im" }rot"ction, $ntiviruG can, và $ntiviruG †p1at"# si)uđầu ti:n bn cần &àm +hi cài đ^t ch7ơng trình ch/ng viruG mới &à c%p nh%t các đAnhnghˆa c0a n@ và thc hi-n qut má3 t4nh c0a bn# Hn c@ th; &%p &Ach trình qutmá3 t4nh thông qua phần "ttingG c0a ]on"$&arm c6ng nh7 thi.t &%p ngoi &-, ?"mcác t%p tin đ8 +i;m 1u3-t, +4ch hot qut Žn $cc"GG OG qut +hi bn tru3 c%p cáct%p tinQ và nhi)u tC3 ch*n +hác# <4nh ndng +hác c0a ]on"$&arm &à H"haviora&canning bao gLm 1anh Gách các tC3 ch*n mà ch7ơng trình c@ th; th"o 1ei hànhđộng đáng ng>#
]on"$&arm Xir"Ya&& gLm c@ $pp&ication Uontro& với chức ndng +h@a các tru3c%p trái php bIi các ch7ơng trình# <ab !1"ntit3 ata bao gLm W t4nh ndng bảo
v-, ["b và !1"ntit3 cCng với H +hông gian &7u tr' trc tu3.n#]on"$&arm Xr"" $ntiviruG — Xir"Ya&& c@ cả các tC3 ch*n hj tr9 trc tu3.n vàngoi tu3.n, hj tr9 cơ bản và một G/ thông tin phS nh7 <op c5u hFi th7>ng g^p#
2@ c@ th; đ79c G 1Sng 1k 1àng nh7 công cS Xir"Ya&& độc &%p, và 1k hơn nhi)u Govới G 1Sng ]on"$&arm G̃ Xir"Ya&& với một ch7ơng trình ch/ng viruG +hác#
Nghiên cứu và triển khai các giải pháp bảo mật mạng nội bộ
@. m€G LUN
s) tài v) Xir"Ya&& &uôn &à m/i quan t5m hàng đầu c0a các nhà quản trA mng
n@i ri:ng và c0a nh'ng nhà tin h*c n@i chung# s; c@ th; ?53 1ng đ79c một mng
ri:ng mà c@ th; tránh +hFi m*i G t(n công &à +hông th;, nh7ng ch_ng ta c@ th;
?53 1ng đ79c nh'ng mng c@ t4nh an toàn cao th"o nh'ng 3:u cầu cS th;# s; c@
th; ?53 1ng đ79c nh'ng mng nh7 v%3, ng7>i quản trA mng phải nắm re đ79c
nh'ng +i.n thức cơ bản v) Xir"Ya&&# s) tài đ8 trình bà3 +há chi ti.t v) Xir"Ya&&, và
nh'ng v(n đ) &i:n quan đ.nbảo v- thông tin cho các mng nội bộ# s) tài c6ng đ8
thi.t &%p đ79c mô hình Xir"Ya&& bảo v- mng nội bộ trong h- đi)u hành [in1oYG#
Với h- th/ng Xir"Ya&& đt đ79c G ổn đAnh cao c0a h- đi)u hành [in1oYG với
nhi)u chức ndng đáp ứng đ79c cho nhu cầu c0a các đơn vA c@ nhu cầu ?53 1ng h-th/ng Xir"Ya&& +hi c@ mng nội bộ +.t n/i !nt"rn"t# |- th/ng Xir"Ya&& nà3 mang
t4nh ứng 1Sng thc t. cao vì phần cứng G 1Sng cho h- th/ng nà3+hông cần c@ c(u
hình mnh# <(t cả các phần m)m G 1Sng cho h- th/ng nà3đ)u &à phần m)m m8
nguLn mI# <ài &i-u hj tr9 cho các phần m)m nà3c@ đầ3đ0 tr:n !nt"rn"t và mikn