GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG DỰ ÁN GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Nhóm sinh viên thực hiện : Phạm Thế Thao – 507101065. Nguyễn Thị Hạnh Trang – 507104042. Chu Công Thái – 507104033. Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG 1) Các mục chính : - Mục đích yêu cầu , sơ đồ logic - Cái Nhìn Tổng Quan Về Bảo Mật - Một Số Loại Tấn Công Thường Gặp - Security Blueprint - Firewall và IDS - Antivirus System - Security Scanner System - Security Central Managament Sysment - Kết Luận 2) Yêu cầu và sơ đồ logic của ngân hàng - Bảo đảm an toàn cho toàn bộ thông tin trên mạng, chống lại mọi sự truy nhập bất hợp pháp vào mạng khi ngân hàng kết nối ra internet. - Kiểm soát được mọi hành động truy nhập vào mạng của người sử dụng. Đảm bảo an ninh từ những người sử dụng bên trong ngân hàng. - Có khả năng bảo đảm an toàn dữ liệu truyền, nhận qua các dịch vụ đường truyền do bưu điện cung cấp (PSTN). - Chi phí phù hợp với dự trù kinh phí của ngân hàng. - Đáp ứng được khả năng mở rộng của mạng trong tương lai: mở rộng về số lượng máy trạm, số lượng máy chủ, các mạng LAN và các ứng dụng. Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Sơ đồ logic mạng ngân hàng : Hình 1 : Sơ đồ logic của ngân hàng sau thiết kế Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Phân tích sơ đồ Năm phân vùng trong mô hình bảo mật tổng thể là: - Vùng mạng LAN bên trong toà nhà của ngân hàng , vùng này bao gồm: o Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp vụ tư vấn tài chính, môigiới mua bán ngân hàng. o Hệ thống tổng đài IP phục vụ liên lạc của công ty - Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như: E-Mail, Web site thông tin thị trường, Online Brokerage, Online OTC… - Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống quản lý các giao dịch ngân hàng. - Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của công ty, vùng này bao gồm: o Nhân viên của ngân hànghoạt động tại 2 trung tâm 1 và các nơi khác truy cập VPN (Client to Site) về mạng của công ty. o Các nhà đầu tư truy cập vào Web site và dịch vụ ngân hàng trực tuyến (Online Brokerage, Online OTC) của công ty. - Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng thông tin từ ngân hàngtới mạng của các Ngân hàng thanh toán, lưu kí trong tương lai. a) Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall Mạng trong phạm vi toà nhà của công ty sẽ được chia làm ba vùng chính: - Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email, các ứng dụng Online Brokerage, Online OTC… - Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL khách hàng, giao dịch, lưu kí… Đây là vùng các Servers chính vận hành toàn bộ hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán ngân hàng. - Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống tổng đài IP. b) Thiết lập và bảo vệ các kết nối VPN Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Hình 4 : Sơ đồ diễn tả cho Topology 3) Cái nhìn tổng quan về bảo mật - Là một tiến trình dần hoàn thiện chứ không phải một sản phần hoàn thiện 100% - An ninh mạng là một hệ thống tích hợp của nhiều yếu tố chứ không phải riếng 1 thiết bị - An ninh mạng bao gồm các yếu tố o Firewalls - router access control lists (ACLs) o Mạng – Hệ thống phát hiện xâm nhập trên máy chủ (NIDS and HIDS) o Trung tâm bảo mật và các chính sách quản lý o Chứng thực , ủy quyển , cấp phép (AAA) điều khiển truy cập o Mã hóa và các mạng riêng ảo (VPNs) Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG - Tất cả đều là mục tiêu tấn công o Routers , switches , hosts , networks , applications , information, management tools o Tất cả các tấn công không thể bị chặn bởi 1 thiết bị o An ninh mạng đòi hỏi hệ thống tích hợp o Yêu cầu bảo mật mạng theo nhiều lớp o Nhúng bảo mật trên toàn mạng o Bảo mật trên từng thiết bị o Mạng của quản lý và người dùng phải luôn được an toàn 4) Một số phương pháp tấn công thường gặp - Phương Pháp Listener o Khai thác lỗi và sửa hệ thống (Bugs SQL) o Làm tràn bộ nhớ (Buffer Overflow) o Đánh lừa khách hàng (Trojan) - Tấn công ngăn xếp vào các gói tin bị hỏng (Oversize, Fragmentation) - Lan tràn (DDoS , SYN) 5) Sercurity Blueprint (Đưa ra giải pháp dự kiến) Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Hình 2 : Vòng tròn an ninh mạng mà các doanh nghiệp gặp phải a) Đưa ra các vùng dữ liệu cần bảo vệ Vấn đề quan trọng là phải xác định được các tài nguyên của mạng ngân hàng có thể bị tác động bởi hệ thống bảo mật. Các tài nguyên cần được bảo vệ: - Phần cứng: Các máy chủ của mạng, các máy trạm, các thiết bị mạng (Routers, Access Servers). - Phần mềm: Do đặc thù của ngân hàng là phục vụ hoạt động kinh doanh tiền tệ trên toàn lãnh thổ Việt Nam và liên hệ chặt chẽ với các ngân hàng nước ngoài, các tổ chức tín dụng quốc tế nên các phần mềm cần được bảo vệ: Hệ điều hành của các máy chủ UNIX, Windows NT, Novell. Ngoài ra các chương trình ứng dụng: quản lý hệ thống tài khoản, tín dụng, các chương trình kế toán, tự động hoá văn phòng, truyền dữ liệu, ATM Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG - Dữ liệu: Đây là phần quan trọng cân được bảo vệ nhất của ngân hàng. Dữ liệu này sẽ gồm có các dữ liệu tài khoản liên quan đến khách hàng, dữ liệu kế toán, thẻ tín dụng, ATM. Các dữ liệu này rất quan trọng đối với ngân hàng nên sẽ phải được bảo vệ an toàn nhất. - Tài liệu: Các công văn, báo cáo, tài liệu, sách vở, tài liệu hướng dẫn sử dụng, b) Các nguy cơ tấn công hệ thống Sau khi xác định tất cả các tài nguyên phải được bảo vệ,cần phải xác định mối đe dọa đối với các tài nguyên đó. Các mối đe doạ đó gồm có: - Những truy nhập bất hợp pháp. Đặc thù của mối đe doạ này là sử dụng tên của người khác để truy nhập vào mạng và tài nguyên của nó. Có thể có một số kiểu truy nhập bất hợp pháp như: o Sử dụng những chương trình dò tìm mật khẩu. Những chương trình này nằm thường trú và bị che khuất trên mạng, nó ghi lại những lần người sử dụng vào mạng cùng với các mật khẩu. Các mật khẩu này sau đó được cất giữ trong một tệp tin bí mật, sau một tuần lễ, tệp này có thể chứa tới hàng trăm tên người dùng tin và các mật khẩu riêng để sau này có thể lấy cắp những thông tin bí mật. o Hút nạp dữ liệu (Spooling): Đây là kỹ thuật nhằm có được sự truy nhập mạng từ xa bằng cách bịa ra một địa chỉ của một máy đã có tín nhiệm hay "thân quen". Bằng cách này, việc khai thác những nhược điểm về an ninh từ bên trong của hệ thống trở nên dễ dàng hơn nhiều so với từ phía ngoài. ở trạng thái này, kẻ xâm nhập trái phép có thể cài đặt được một chương trình dò tìm mật khẩu hay một phần mềm giả, giống như một "ô cửa hậu" - là một đường dẫn ngược lại vào trong máy tính. o Sử dụng lỗ hổng trong phần mềm: Không có phần mềm nào là không có lỗi. Một lỗi trong phần mềm là mối đe doạ chung của việc truy nhập bất hợp pháp. Chính đây là lỗ hổng cho phép những kẻ thâm nhập trái phép làm được bất kể những gì mà người chủ máy tính đã làm. Cách này hay áp dụng với hệ điều hành UNIX vì mã nguồn của nó được phổ biến rộng rãi. Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG - Mối đe doạ bởi sự khai thác rộng rãi thông tin. Trước khi công bố hay cho phép mọi người khai thác rộng rãi vào một nguồn thông tin nào cần phải xác định giá trị của các thông tin đó.Việc công bố file chứa mật khẩu của người truy nhập vào mạng sẽ gây ra một mối đe doạ lớn cho mạng. Thông tin có thể bị xâm phạm khi: o Thông tin được lưu giữ trên máy tính. o Thông tin được truyền từ hệ thống này sang hệ thống khác. o Thông tin được lưu giữ trong tệp sao lưu (backup). - Mối đe doạ ảnh hưởng đến hoạt động bình thường của hệ thống (Denial of Service). Mạng thông tin ngân hàng Ngân hàng kết nối các tài nguyên có giá trị như máy tính, CSDL và cung cấp dịch vụ cho mọi thành viên của mạng. Tất cả người sử dụng của mạng đều tin rằng mọi hoạt động của mạng đều làm cho công việc của họ trở nên có hiệu quả. Nếu mạng không làm việc thì sẽ có những mất mát trong hoạt động kinh doanh. Do đó mối đe doạ ảnh hưởng đến hoạt động bình thường của mạng cũng cần được xem xét: o Mạng trở nên không hoạt động được bởi một khối dữ liệu lang thang. o Mạng trở nên kém hiệu quả bởi quá tải của dữ liệu. o Mạng có thể bị chia nhỏ do sự ngừng hoạt động của một thiết bị mạng. o Virus làm phá hoại dữ liệu hay hỏng một máy nào đó. o Thiết bị dùng để bảo vệ mạng có thể bị phá vỡ. - Mối đe doạ từ bên trong. Người sử dụng bên trong mạng có nhiều cơ hội hơn để truy nhập vào các tài nguyên của hệ thống. Đối với ngân hàng có đặc thù lớn là do nhiều mạng LAN của trung tâm, chi nhánh kết nối vào, do đó nếu người sử dụng trong mạng có ý muốn truy cập vào những tài nguyên của hệ thống thì họ sẽ gây nên một mối đe doạ cho mạng. Người sử dụng bên trong có thể được gán những quyền không cần thiết, có thể bị mất mật khẩu và đó sẽ là mối đe doạ lớn đối với hệ thống an toàn mạng. - Nguy cơ bị nghe trộm, thay đổi thông tin truyền đi trên mạng công cộng (PSTN). Đây là một nguy cơ tiềm ẩn và ảnh hưởng trực tiếp đến hoạt động kinh doanh của ngân hàng. Hacker có thể sử dụng các công cụ, thiết bị đặc biệt để móc nối vào hệ thống cáp truyền thông của ngân hàng để nghe trộm thông tin nguy hiểm hơn hacker có thể sửa chữa, thay đổi nội Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG dung thông tin đó - ví dụ nội dung của điện chuyển tiền, thanh toán gây ra những tổn thất, mất mát nghiêm trọng. 6) Giải pháp bảo mật. - Bảo mật mức mạng: Bảo mật đường truyền - bảo mật các thông tin lưu truyền trên mạng, việc này được thực hiện bằng các hình thức mã hoá thông tin trên đường truyền, các công cụ xác định tính toàn vẹn và xác thực của thông tin. - Bảo mật lớp truy cập bao gồm: o Bảo mật cho các đường truy nhập của người dùng quay số (dial-up): thường áp dụng các hình thức xác thực người dùng, tạo các kênh VPN cho các kết nối dial-up … o Firewall/IDS : Tại các khu vực cung cấp các máy chủ truy nhập cần bố trí các bức tường lửa (Firewall) kèm các bộ dò tìm tấn công (IDS) đảm bảo ngăn chặn các truy nhập trái phép hay các dạng tấn công ngay từ cổng vào mạng, điều này là rất cần thiết bởi việc sử dụng các thiết bị hỗ trợ cho các kết nối truy nhập đồng thời lại có kết nối đi Internet. - Bảo mật mức thiết bị: Các thiết bị mạng như Router và switch, firewall… là các điểm nút của mạng hết sức quan trọng và cần được bảo vệ, sử dụng các ACL để điều khiển truy nhập trên toàn bộ các thiết bị này, đồng thời sử dụng các thiết bị dò tìm lỗ hổng (IDS) để dò tìm xác định các dấu hiệu tấn công vào các thiết bị mạng và các nguồn tài nguyên khác và có các biện pháp ngăn chặn kịp thời - Bảo mật mức máy chủ: Hệ thống máy chủ thực hiện các công việc dịch vụ khác nhau trong mạng, có thể nói đây là nguồn tài nguyên chính hết sức quan trọng và là mục tiêu của nhiều cuộc tấn công từ bên trong cũng như bên ngoài cũng như ăn cắp hay phá huỷ các thông tin có giá trị được chứa trong các máy chủ này. Việc bảo mật hệ thống máy chủ liên quan tới các công việc như: o Bảo mật thông tin trên máy chủ : đảm bảo tính mã hoá, tính toàn vẹn và xác thực của thông tin o Quản trị truy nhập vào máy chủ: áp dụng các công nghệ tiên tiến như smart card, Token… Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông [...]... sách bảo mật thay vì mã hóa phức tạp - Hình ảnh hướng đối tượng tạo tư duy chiều sâu về mô hình mạng , dễ dàng tìm ra các phương hướng bảo mật - Quan sát cùng lúc nhiều phân cấp mạng để quản lý truy cập , tự chặn và khoanh vùng truy cập nếu có tấn công Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG 11) Kết luận a) Đánh giá dự án : - Dự án đã đưa ra được các giải pháp. .. 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Để đảm bảo an toàn cho hệ thống ,Ngân hàng nên trang bị thêm thiết bị ProventiaTM 201 của công ty hàng đầu về phần mềm và thiết bị giám sát, phát hiện và ngăn chặn xâm nhập: Internet Security System (ISS) Dựa trên kỹ thuật như phân tích protocol, đánh dấu mẫu, kỹ thuật phát hiện thông minh để đánh giá và kiểm soát các... Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG 3 Vùng mạng Lan :bao gồm các máy trạm đặt tại trung tâm và các truy cập từ các chi nhánh về Sơ đồ PIX Firewall (ver.525E) Hình 3 : PIX Firewall Topology Giao diện sử dụng Hình 5 : Giao diện sử dụng PIX Firewall PIX Firewall 525E gần 100% các giao thức và giải pháp có trên thị trường : Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP... ngừa việc user bỏ qua các qui định về an ninh - Giải pháp dò tìm điểm yếu cơ sở dữ liệu - Module phần mềm Database Scanner™ Thành phần này đảm bảo việc dò tìm lỗ hỗng bảo vệ Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG - Thiết lập và bắt buộc thực hiện chính sách an ninh đối với database - Xác định các điểm yếu bảo mật của hệ thống database - Kiểm tra trước các...GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG o Chống truy nhập trái phép: sử dụng các bộ dò tìm IDS để phát hiện và báo động kịp thời khi có tấn công hay truy nhập trái phép vào hệ thống máy chủ - Bảo mật mức Hệ Điều Hành(HĐH): Việc bảo mật cho HĐH máy chủ đảm bảo cho hệ thống làm việc ổn định,việc hoạch định xây dựng các chính sách cài đặt, cập nhật, backup dữ... hết sức cần thiết để đảm bảo cho các HĐH và các ứng dụng chạy trên nó được bảo vệ an ninh ngăn chặn các cuộc tấn công có thể xảy ra - Bảo mật ở mức ứng dụng: Đảm bảo việc truy nhập vào các dịch vụ và phần mềm (WEB, Email, CSDL), nên thực hiện các kênh bảo mật từ người dùng đầu cuối tới các máy chủ ứng dụng để đảm bảo các tính bảo mật, toàn vẹn và xác thực của thông tin - Bảo mật mức CSDL: Có thể nói... liệu lưu thông qua mạng của Ngân hàng nhằm phát hiện, phòng chống và đưa ra những cảnh báo đối người quản trị hệ thống thông qua phần mềm trực quan SiteProtectorTM Giải pháp IDS tích hợp có thể giới thiệu giải pháp chuẩn tích hợp phần mềm IDS Real-secure của ISS với phần cứng của hãng Nokia và Proventia Giải pháp tích hợp trên được đánh giá cao trong thực tế triển khai về mặt bảo mật và khả năng thực... Block các gói tin bị nghi là dùng để tấn công, trinh sát Giải pháp dò tìm bảo vệ cho máy truy cập từ xa và máy tính quan trọng trong mạng Module phần mềm RealSecure® Desktop đảm bảo dò tìm và bảo vệ máy truy cập từ xa hay máy có nguy cơ bị tấn công trong hệ thống mạng ngân hàng - Tường lửa cá nhân Ngăn chăn các tấn công phá họai Ngăn chặn đánh cắp mật khẩu Ngăn chặn việc kích hoạt các ứng dụng không được... an ninh trong môi trường mạng Scanner trợ giúp Người quản trị mạng xác định và thông báo các lỗ hổng trên các máy chủ như các dịch vụ, các patch của hệ điều hành, CSDL, … và chính nhờ những lỗ hổng này mà Hacker có thể tận dụng để thâm nhập trái phép Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Giải pháp Scanner của NetIQ (Security Analyzer) Các chức năng tiến... anti-virus Giải pháp dò tìm lỗ hỗng trong hệ thống mạng Module phần mềm Internet ScannerTM thành phần này đảm bảo việc phân tích dò tìm lỗ hỗng của hệ thống mạng trung tâm Ngân hàng - Dò quét và phân tích các nguy cơ bảo mật của các thiết bị trong hệ thống mạng - Internet Scanner thực hiện việc quét các dịch vụ truyền thông, hệ điều hành, routers, e-mail, Web servers, firewalls và các ứng dụng - Đảm bảo độ . GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG DỰ ÁN GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Nhóm sinh viên thực hiện : Phạm Thế Thao – 507101065. Nguyễn. Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG 11) Kết luận a) Đánh giá dự án : - Dự án đã đưa ra được các giải pháp phòng thủ các tấn công thường gặp vào các ngân hàng . - Ứng dụng các. Trị Mạng – CNTT Phương Đông GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG Sơ đồ logic mạng ngân hàng : Hình 1 : Sơ đồ logic của ngân hàng sau thiết kế Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông GIẢI