Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng TRƯỜNG ĐẠI HỌC SƯ PHẠM TP HỒ CHÍ MINH KHOA TOÁN TIN GVHD: Thầy Trịnh Huy Hoàng Nhóm SVTH: Nhóm 6 1. Võ Thị Diễm Hương 2. Ngô Mạnh Hùng 3. Ngô Thị Huyền 4. Nguyễn Thị Ngọc Nhi Môn Mạng máy tính Lớp Tin4 CQ Khoá K30 Nhóm SVTH: Nhóm 6 Trang 1 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng MỤC LỤC PHẦN I: TỔNG QUAN VỀ BẢO MẬT 5 .I BẢO MẬT MẠNG VÀ NHỮNG ĐIỀU CẦN BIẾT 5 .II BẢO MẬT CÓ THỰC SỰ LÀ VẤN ĐỀ? 5 KHI NÓI VỀ VẤN ĐỀ BẢO MẬT, MỨC ĐỘ QUY MÔ VÀ TẦM QUAN TRỌNG CỦA NÓ LẠI LÀ SỰ KHÁC BIỆT GIỮA CÁC DN LỚN VÀ DN VỪA & NHỎ. CÁC CÔNG TY CON THƯỜNG ÍT CÓ NGUỒN LỰC IT NỘI BỘ; PHẦN LỚN KHÔNG CÓ GIÁM ĐỐC BẢO MẬT DO KINH PHÍ HẠN HẸP VÀ ÁP LỰC TIẾT KIỆM CHI PHÍ LUÔN LÀ BÓNG ĐEN BAO PHỦ TOÀN BỘ HOẠT ĐỘNG KINH DOANH. 5 .1 Sự hưởng ứng của tầng lớp lãnh đạo 6 .2 Tiếp cận cân xứng 6 .3 Bổ nhiệm chuyên gia bảo mật 6 .4 Vai trò của chuyên gia bảo mật 7 .5 Bảo mật là Đường đi chứ không phải Đích đến 7 .6 Kết luận 7 .III AN TOÀN THÔNG TIN NÊN BẮT ĐẦU TỪ ĐÂU? 8 Vậy an toàn thông tin là gì? 8 .1 Hai yếu tố trên được liên kết lại thông qua các chính sách về ATTT 8 .2 Phương pháp đánh giá chất lượng hệ thống ATTT 9 .3 Phương pháp đánh giá theo số lượng không được sử dụng 10 PHẦN II: TẠI SAO PHẢI BẢO MẬT 12 .I BẢO MẬT THÔNG TIN NGUY HIỂM KHÔNG CHỈ ĐẾN TỪ HACKES 12 .II HỌC CÁCH TỰ VỆ TRƯỚC NHỮNG MỐI ĐE DỌA TỪ INTERNET 14 .1 75% số cuộc tấn công thành công nhờ khai thác lỗi bảo mật web 15 .2 Giảm thiểu rủi ro từ các cuộc tấn công bảo mật 16 PHẦN III: CÁC BIỆN PHÁP BẢO MẬT WEB SERVER 2003 18 .I WINDOWS SERVER 2003 CÓ GÌ MỚI? 18 .1 Management services Windows Server 2003: 18 .2 Resultant Set of Policy (RSoP) 18 .3 Windows Update 18 .4 Systems Management Server 2.0 18 .5 Networking – Communications 18 .6 Network Load Balancing 19 .7 IP v6 19 .8 Connection Manager Administration Kit (CMAK) 19 .9 Security 19 .10 Internet Connection Firewall (ICF 20 .II SỬ DỤNG BẢO MẬT CÓ SẴN TRONG WINDOWS SERVER 2003 20 .1 Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003 20 .2 Sử dụng một mẫu bảo mật 23 .III BẢO MẬT TRUY CẬP TỪ XA TRONG WINDOWS SERVER 2003 23 .1 Cách cấu hình chính sách truy cập từ xa 23 .2 Để cấu hình một chính sách mới, bạn thực hiện theo các bước sau: 24 .IV KỸ NĂNG BẢO MẬT VÀ PHÂN TÍCH SỰCỐ TRÊN XP, WINDOWS SERVER 2003 27 .1 Giới thiệu tổng quan 27 .2 Các yêu cầu quản trị: 29 .3 Bảo mật hệ thống File 29 .4 Bảo mật tài khoản người dùng, mật khẩu, thiết lập tường lửa 36 37 .5 Sử dụng mật khẩu 37 .6 Sử dụng tường lửa: 38 .7 Cập nhật các bản vá lỗi 38 Nhóm SVTH: Nhóm 6 Trang 2 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng MỘT TRONG NHỮNG ĐIỀU TỐI QUAN TRỌNG LÀ "CẬP NHẬT ĐẦY ĐỦ CÁC BẢN VÁ LỖI CỦA WINDOWS" TRƯỚC CƠN ĐẠI HỒNG THUỶ: VIRUS (BLASTER,NETSKY, SASSER, LOVEGATE, ), HACKER, PHẦN MỀM GIÁN ĐIỆP. NẾU BẠN KHÔNG TUÂN THỦ QUY TẮC NÀY MÁY TÍNH CỦA BẠN SẼ BỊ HẠ GỤC CHỈ SAU TỪ 10 PHÚT ĐẾN 30 PHÚT. BẠN CÓ TIN KHÔNG? NẾU BẠN TIN TÔI THÌ HÃY TIẾP TỤC ĐỌC VÀ CẬP NHẬT WINDOWS CÒN NẾU KHÔNG TIN TỐT NHẤT BẠN HÃY CHUYỂN SANG CÁC BÀI ĐỌC KHÁC THÚ VỊ HƠN. NHƯNG NẾU CÓ ĐIỀU GÌ XẢY RA VỚI MÁY TÍNH CỦA BẠN THÌ ĐỪNG TRÁCH TÔI KHÔNG CẢNH BÁO NHÉ! CÁCH TỐT NHẤT GIÚP BẠN TÌM HIỂU VỀ CÁC BẢN VÁ LỖI BẢO MẬT VÀ CÁC BẢN THÔNG BÁO BẢO MẬT TỪ HÃNG MICROSOFT ĐƯỢC MÔ TẢ Ở TẠI HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=22339. TẠI ĐÂY BẠN SẼ ĐĂNG KÝ ĐỂ CÓ THỂ CẬP NHẬT CÁC THÔNG TIN VỀ BẢO MẬT, CÁC BẢN VÁ LỖI BẢO MẬT QUA EMAIL. THÊM NỮA NÓ CÒN CUNG CẤP CHO BẠN CÁC KIẾN THỨC VÀ CÔNG NGHỆ GIÚP BẠN TỰ ĐỘNG VÁ LỖI HỆ ĐIỀU HÀNH 39 Tự động cập nhật 39 Windows 2000 SP 4, XP, 2003 cung cấp cho bạn các tính năng tự động kiểm tra và download các bản vá lỗi bảo mật mới nhất từ Microsoft Automatic Update sẽ có thể cấu hình để giúp bạn download tự động các bản vá mà không ảnh hưởng đến công việc bạn đang làm trên máy tính sau đó nó sẽ nhắc nhở bạn cài đặt sau khi download được hoàn thành 39 .8 Kiểm tra bảo mật với công cụ Microsoft Baseline Security Analyzer 40 NẰM TRONG CHIẾN LƯỢC BẢO MẬT CỦA MICROSOFT, PHẦN MỀM MICROSOFT BASELINE SECURITY ANALYZER (MBSA), SẼ BÁO CÁO CHO BẠN CÁC CẤU HÌNH KHÔNG BẢO MẬT VÀ CÁC BẢN VÁ LỖI WINDOWS 2000, XP VÀ WINDOWS SERVER 2003. CHƯƠNG TRÌNH NÀY BẠN CÓ THỂ SỬ DỤNG TRÊN MÁY BẠN HOẶC TRÊN MỘT MÁY ĐIỀU KHIỂN TỪ XA. PHẦN MỀM NÀY KHÔNG THỂ THIẾU CHO NHỮNG NHÀ QUẢN TRỊ MẠNG CẦN PHÂN TÍCH HIỆN TRẠNG CỦA MÁY CHỦ. KỂ CẢ NHỮNG NGƯỜI DÙNG BÌNH THƯỜNG NÓ CŨNG ĐƯA RA ĐƯỢC LỜI KHUYÊN VÀ CÁC CHỈ DẪN CẦN THIẾT VỀ BẢO MẬT 40 ĐỂ CÀI ĐẶT MBSA BẠN CẦN PHẢI DOWNLOAD PHẦN MỀM NÀY (DUNG LƯỢNG KHOẢNG 1.56 MB): DOWNLOAD MBSA 40 41 42 SAU ĐÓ KÍCH VÀO START SCAN 42 ĐỂ QUÉT CÁC CẤU HÌNH BẢO MẬT BẠN LÀM NHƯ SAU: 42 LOẠI BỎ LỰA CHỌN CHECK FOR SECURITY UPDATES, VÀ CHẮC CHẮN RẰNG CÁC LỰA CHỌN SAU PHẢI ĐƯỢC ĐÁNH DẤU: (CÁCH LÀM NÀY NGƯỢC VỚI CÁCH LÀM TRÊN) 42 CHECK FOR WINDOWS VULNERABILITIES 42 CHECK FOR WEAK PASSWORDS 42 CHECK FOR IIS VULNERABILITIES 42 CHECK FOR SQL VULNERABILITIES 42 SAU ĐÓ KÍCH VÀO START SCAN 42 SAU KHI QUÉT XONG, BẢNG BÁO CÁO KẾT QUẢ SẼ XUẤT HIỆN GIỐNG NHƯ KHI BẠN QUÉT CÁC BẢN CẬP NHẬT CỦA WINDOWS UPDATE. NÓ CHỈ KHÁC Ở CHỖ LÀ TẠI KHÁC ĐƯỜNG LIÊN KẾT TRONG KẾT QUẢ ĐƯỢC TÌM THẤY. KHI BẠN KÍCH VÀO LIÊN KẾT, MỘT TRANG SẼ XUẤT HIỆN VỚI CHI TIẾT CÁC KẾT QUẢ TÌM THẤY, CÁC GIẢI PHÁP ĐƯỢC ĐƯA RA 42 VẬY THÌ BẠN PHẢI LÀM GÌ VÀ GIẢI PHÁP NHƯ THẾ NÀO?XIN VUI LÒNG KÍCH VÀO LIÊN KẾT “HOW TO CORRECT THIS” BẠN SẼ ĐƯỢC LIỆT KÊ CÁC NỘI DUNG CHI TIẾT, GIẢI PHÁP, CÁC GIẢI THÍCH VÀ BẠN PHẢI LÀM GÌ VÀ TỪNG BƯỚC GIẢI QUYẾT VẤN ĐỀ 42 VÍ DỤ SAU KHI KIỂM TRA MÁY TÍNH THỬ NGHIỆM TÔI CÓ KẾT QUẢ NHƯ SAU 42 43 45 .9 Rà soát & vá lỗi Bảo mật 45 STEP 1: CÀI ĐẶT MICROSOFT SUS SERVER 46 NHỮNG HẠN CHẾ CỦA MICROSOFT SUS SERVER 49 STEP 2: QUẢN LÝ PATCH VỚI GFI LANGUARD N.S.S 50 KIỂM TRA CÁC PATCHES VÀ SERVICE PACKS ĐÃ CÀI ĐẶT 50 STEP 3: BÁO CÁO 52 KẾT LUẬN 53 GFI 54 .V HỌC CÁCH TỰ VỆ TRƯỚC NHỮNG MỐI ĐE DỌA TỪ INTERNET 54 .1 Quảng cáo trong lốt cảnh báo bảo mật của hệ điều hành 54 Nhóm SVTH: Nhóm 6 Trang 3 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng .2 Những công cụ Windows sẽ nói lên tất cả 55 .3 Đăng kí tên miền cá nhân 55 .4 Cẩn thận với những món hời 56 .5 Back-up ‘System State’ trong Windows 2000 56 .6 Back-up Registry của hệ điều hành Windows 57 .7 Hãy cẩn thận với các điểm Wi-Fi hotspot công cộng 57 .8 Hãy cẩn thận khi đọc kho lưu trữ email trực tuyến (Mailing list) 58 .9 Cẩn thận với các phần mềm chống spyware và pop-up “giả mạo” 58 .10 Chặn những trang web chứa spyware 59 .11 “Bắt cóc” trình duyệt 60 .12 Mua các phần mềm bẻ khoá mật khẩu 60 .VI BẢO MẬT CÁC SERVER, WEBSITE KHỎI SỰ TẤN CÔNG CỦA GOOGLE 61 .1 Giới thiệu 61 .2 Những cú pháp tìm kiếm nâng cao với Google 61 .3 Truy vấn các site hoặc server dễ bị tấn công sử dụng các cú pháp nâng cao của Google 63 .4 Bảo mật các server hoặc site khỏi sự tấn công của Google 66 .5 Kết luận 66 .VII CÓ THỂ DÙNG IPSEC TRÊN WINDOWS 2000/ XP/2003 ĐỂ CHẶN PING PACKETS 67 .1 Chặn PING trên một computer 67 .2 10 quy tắc then chốt về an toàn và bảo mật 84 .VIII KINH NGHIỆM QUẢN LÝ AN TOÀN THÔNG TIN HIỆU QUẢ 88 .1 Giới thiệu 88 .2 Thu thập thông tin 88 .3 Chính sách bảo mật 88 .4 Đánh giá rủi ro/Phân tích lỗ hổng 89 .5 Nhận thức về bảo mật 89 .6 Proactive Measures 90 .7 Kế hoạch bảo mật 90 .8 Kết luận 91 .IX BẢO MẬT MÁY CHỦ IIS 92 .1 Chỉ kích hoạt những Web Service Extensions cần thiết 92 .2 Dưới đây là danh sách các Web Service Extensions, chi tiết tác dụng của từng thành phần 92 .3 Thiết lập NTFS Permissions 93 .4 Thiết lập IIS Web Site Permissions 94 .5 Thiết lập cấu hình IIS Logging 95 .6 Thực hiện bảo mật máy chủ IIS thật thiếu sót nếu không nhắc tới việc đưa ra những chính sách bảo mật cụ thể 96 Nhóm SVTH: Nhóm 6 Trang 4 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng PHẦN I: TỔNG QUAN VỀ BẢO MẬT .I BẢO MẬT MẠNG VÀ NHỮNG ĐIỀU CẦN BIẾT Trong khi công nghệ mạng và Internet mang lại nhiều cơ hội phát triển và cạnh tranh mới cho các doanh nghiệp vừa và nhỏ (SMB) thì cũng là lúc nó làm dấy lên nhu cầu cần phải bảo vệ hệ thống máy tính trước các đe doạ về bảo mật. Theo một cuộc khảo sát được Viện Bảo mật máy tính CSI tiến hành năm 2003, có tới 78% máy tính bị tấn công qua mạng Internet (năm 2000 là 59%). Ngày nay, thậm chí cả những doanh nghiệp nhỏ nhất cũng cảm thấy họ cần phải thực hiện các hoạt động kinh doanh trực tuyến, và kéo theo đó nhiều nhân tố cần phải đảm bảo cho mô hình này. Tuy nhiên, theo Jim Browning, phó chủ tịch kiêm giám đốc nghiên cứu SMB của Gartner, hầu hết các doanh nghiệp không nhìn nhận đúng mực tầm quan trọng của bảo mật, họ thường xem nhẹ chúng trong khi đáng ra đó phải là ưu tiên hàng đầu khi tiến hành các hoạt động trực tuyến. Nếu không được bảo vệ đúng mực, mỗi phần của hệ thống mạng đều trở thành mục tiêu tấn công của tin tặc, của đối thủ cạnh tranh, hay thậm chí là cả nhân viên trong công ty. Mặc dù trong năm 2005 có tới 40% SMB thực hiện quản lý mạng bảo mật và sử dụng Internet nhiều hơn nhưng theo thống kê của Gartner, hơn một nửa trong số họ thậm chí không biết là mình bị tin tặc tấn công. .II BẢO MẬT CÓ THỰC SỰ LÀ VẤN ĐỀ? Khi nói về vấn đề bảo mật, mức độ quy mô và tầm quan trọng của nó lại là sự khác biệt giữa các DN lớn và DN vừa & nhỏ. Các công ty con thường ít có nguồn lực IT nội bộ; phần lớn không có giám đốc bảo mật do kinh phí hạn hẹp và áp lực tiết kiệm chi phí luôn là bóng đen bao phủ toàn bộ hoạt động kinh doanh. Tuy nhiên, tất cả các công ty dù lớn dù nhỏ khi kết nối vào mạng Internet đều có chung những nhân tố cần bảo vệ: uy tín, tài sản trí thức, và thậm chí cả sự tồn tại của doanh nghiệp đó. Không có bàn tay chuyên gia, không có kinh phí dồi dào Nhóm SVTH: Nhóm 6 Trang 5 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng thì thử hỏi làm sao DN nhỏ có thể chống lại những cạm bẫy và nguy hiểm trong không gian mạng? Những nguyên tắc và hướng dẫn sau sẽ giúp tiếp cận và giải quyết các vấn đề bảo mật theo đúng hướng: .1 Sự hưởng ứng của tầng lớp lãnh đạo Nguyên tắc đầu tiên là người lãnh đạo công ty phải nhận thức được tầm quan trọng của vấn đề bảo mật. Lý do: Thứ nhất, chiến lược bảo mật phải là một chức năng của chiến lược kinh doanh. Hay nói một cách đơn giản, mục đích của chức năng bảo mật là đảm bảo độ an toàn cho các hoạt động kinh doanh. Điều này có nghĩa hiểu được chiến lược, tiếp cận và ưu tiêu hoá hoạt động kinh doanh là ưu cầu cần có để thiết lập chính sách và chi phí cho bảo mật. Lý do thứ hai là chính sách doanh nghiệp cần phải được đặt lên hàng đầu. Tuy nhiên, phần lớn các chính sách lại không coi trọng khía cạnh bảo mật hoặc khuyến khích phát triển đội ngũ quản lý IT. Không một phân tích nào của quản trị hệ thống có thể thay thế cho một lời nói của cấp lãnh đạo rằng: "Bảo mật rất quan trọng với chúng ta, và đó cũng là lý do tại sao chúng ta phải làm vậy". Sự tham gia và ủng hộ từ mức quản lý cao nhất đảm bảo sự tham gia và thi hành của tất cả nhân viên công ty trong nỗ lực xây dựng chính sách an toàn bảo mật. .2 Tiếp cận cân xứng Ngân sách dồi dào sẽ giúp doanh nghiệp chủ động hơn trong vấn đề bảo mật. Tuy nhiên, nhận thức được tầm quan trọng của chi phí bảo mật không phải công ty nào cũng làm được, kể cả các công ty lớn. Chính vì vậy, doanh nghiệp càng quy mô thì càng phải ưu tiên cho bảo mật. Thực tế cho thấy, mức chi phí bảo mật thường tương xứng với quy mô của doanh nghiệp. Chẳng hạn, một công ty trị giá 10 triệu USD có mức chi phí bảo mật bằng 1/10 so với công ty 100 triệu USD. Vấn đề cốt lõi là mức chi phí bỏ ra cần phải tương xứng với giá trị bảo vệ. Cũng giống bảo hiểm, cần có tỷ lệ % nhất định của tài sản để tương ứng với mức chi phí bỏ ra nhằm giảm rủi ro mất mát tài sản, hoặc bù trừ vào khấu hao hoạt động. Tỷ lệ % đó dao động tuỳ thuộc vào mức độ quan trọng của tài sản đối với doanh nghiệp. Hiểu được chiến lược kinh doanh, và rủi ro có thể xảy ra, một doanh nghiệp có thể định ra và áp dụng chính sách bảo mật một cách hiệu quả nhất. .3 Bổ nhiệm chuyên gia bảo mật Khi đã xem xét tới việc cải thiện mạng lưới và an toàn thông tin, một câu hỏi thường được đặt ra là: "Bao nhiêu % nhân viên sẽ nghiêm chỉnh thực hiện các quy định bảo mật?". Câu trả lời "Không" thường không phải là giải pháp tích cực nhưng có rất nhiều công ty đưa ra đáp án này. Với các doanh nghiệp nhỏ, việc có Nhóm SVTH: Nhóm 6 Trang 6 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng hẳn một nhóm bảo mật là điều xa xỉ và hầu như chẳng ai có đủ kinh phí để làm một việc như thế. Nhưng tại sao lại không có hẳn một người đảm nhận công việc này, hoặc thậm chí là kiêm nghiệm? Một người chẳng tốt hơn là không có người nào? Ai sẽ là người đảm nhận công việc đó, và nội dung công việc cần phải báo cáo với ai? Một số doanh nghiệp thường giao việc bảo mật cho phòng/ban IT; nhưng doanh nghiệp khác lại quy cho bộ phận tài chính. Một số khác có chuyên gia bảo mật thì chịu trách nhiệm báo cáo trực tiếp với CEO (giám đốc điều hành). Tuy nhiên, câu trả lời cho vấn đề này lại không quan trọng bằng việc hiểu được vai trò thực sự của chuyên gia bảo mật trong doanh nghiệp, đó là chuyên gia đó có vai trò gì và như thế nào. .4 Vai trò của chuyên gia bảo mật Chuyên gia bảo mật ít nhất phải dành một phần thời gian đáng kể cho việc nghiên cứu các vấn đề bảo mật. Nhận biết được tầm quan trọng của bảo mật và các nguyên tắc liên quan sẽ là bước đi quan trọng trong việc củng cố và nâng cao tính an toàn thông tin doanh nghiệp. Thứ hai, những chuyên gia bảo mật được bổ nhiệm cần phải có quyền hạn nhất định đối với các vấn đề bảo mật, và quyền hạn này cần phải được công nhận rộng rãi trong nội bộ công ty. Về trách nhiệm, dựa trên những bàn bạc và thảo luận với người quản lý hoặc qua hiểu biết về kinh doanh, chuyên gia bảo mật cần xác định được những rủi ro bảo mật hàng đầu đối với công ty. Chuyên gia này cần thảo ra các kế hoạch giảm thiểu rủi ro tới mức có thể chấp nhận được với khoản kinh phí và thời gian tương xứng. Một vấn đề phát sinh có thể cần tới 12 tháng mới giải quyết xong, nhưng cũng có thể chỉ mất 3 tháng với điều kiện kinh phí bỏ ra cao hơn. CEO sẽ là người cuối cùng đưa ra quyết định đối với các rủi ro theo kiểu phải chi phí tốn kém như thế nào sau khi xem xét kỹ lưỡng khả năng và nguồn lực của toàn bộ doanh nghiệp. .5 Bảo mật là Đường đi chứ không phải Đích đến Bảo mật là vấn đề thuộc về mức độ chứ không phải là trạng thái. Không có một sản phẩm đơn lẻ nào, nhân sự hoặc chính sách nào có thể cung cấp sự an toàn triệt để về bảo mật. Bất cứ công ty nào cũng có thể cải thiện được mức an toàn thông tin bằng cách tuân thủ quy trình 3 bước đơn giản sau: • Phát triển chính sách và những yêu cầu cần thiết • Thực thi giải pháp • Kiểm chứng kết quả Quy trình trên cần thực hiện lặp đi lặp lại, và kết quả của nó sẽ giúp cải thiện mức độ bảo mật của doanh nghiệp. .6 Kết luận Nhóm SVTH: Nhóm 6 Trang 7 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng Các doanh nghiệp dù lớn hay nhỏ đều có chung những nguy cơ khi kết nối với mạng Internet: nguy cơ về tài sản trí tuệ; uy tín; và khả năng hoạt động kinh doanh. Tuy nhiên, những công ty cỡ nhỏ thường đối mặt thêm với một vấn đề, đó là thử thách giải quyết các rủi ro bảo mật trong khi nguồn lực IT nội bộ không đủ hoặc không có. Hạn chế này có thể khắc phục bằng sự tham gia của đội ngũ quản lý cấp cao trong việc hoạch định kế hoạch bảo mật; liên kết chiến lược bảo mật với chiến lược kinh doanh; dành ra ít nhất một người đảm đương các công việc liên quan tới bảo mật; và chọn lựa khéo léo một nhà cung cấp giải pháp bảo mật tốt nhất. .III AN TOÀN THÔNG TIN NÊN BẮT ĐẦU TỪ ĐÂU? Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận như vậy không hoàn toàn đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát và khoa học hơn. Vậy an toàn thông tin là gì? Không thể đảm bảo an toàn 100%, nhưng ta có thể giảm bớt các rủi ro không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội . Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện pháp đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ thuật) đơn lẻ không thể cung cấp đủ sự an toàn. Những sản phẩm Anti-virus, Firewalls và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức. ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người. • Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy trạm. • Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình. .1 Hai yếu tố trên được liên kết lại thông qua các chính sách về ATTT. Theo ISO 17799, An Toàn Thông Tin là khả năng bảo vệ đối với môi trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia. Thông qua các chính sách về ATTT, lãnh đạo thể hiện ý chí và năng lực của mình trong việc quản lý hệ thống thông tin. ATTT được xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các đối tác, Nhóm SVTH: Nhóm 6 Trang 8 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng các khách hàng trong một môi trường thông tin toàn cầu. Như vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách trong đó con người là mắt xích quan trọng nhất. Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin. Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của hệ thống thông tin và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra. Việc nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã được quy định rất rõ trong các chính sách về ATTT song việc tuân thủ các quy định lại không được thực hiện chặt chẽ. Việc đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và tấn công. .2 Phương pháp đánh giá chất lượng hệ thống ATTT Có lẽ không một vị lãnh đạo nào dám khẳng định nội bộ công ty là thực sự an toàn và tin cậy. Trong bối cảnh nền kinh tế thị trường như hiện nay, sự canh tranh diễn ra gay gắt thậm chí giữa các nhân viên trong nội bộ công ty: tranh dành khách hàng , mục đích thăng tiến hoặc các mục đích không lành mạnh khác. Ở một số tổ chức, lợi dụng sự lỏng lẻo trong quản lý về ATTT, nhân viên đã có những hành vi bất lương như lấy cắp thông tin mật, chiếm đoạt tài khoản khách hàng , ăn cắp tiền thông qua hệ thống tín dụng… Theo thống kê, khoảng 70% các rủi ro về ATTT là xuất phát từ nội bộ trong tổ chức. Một trong những câu hỏi luôn được đặt ra trước các nhà lãnh đạo và các nhà quản trị thông tin là: “Hệ thống thông tin của tổ chức an toàn đến mức độ nào?” Câu hỏi này là mối quan tâm lớn nhất và cũng là vấn đề nhạy cảm nhất trong các khâu quản lý hệ thống thông tin. Trả lời câu hỏi này thật không đơn giản nhưng không phải là không có câu trả lời. Để giải đáp vấn đề trên, chủ yếu dựa vào hai phương pháp đánh giá ATTT như sau: + Phương pháp đánh giá theo chất lượng ATTT của hệ thống bằng cách cho điểm.Ví dụ: hệ thống đạt 60/100 điểm hoặc 60% + Phương pháp đánh giá theo số lượng thiết bị - công nghệ bảo mật. Trong thực tế , phương pháp đánh giá theo chất lượng là phương pháp duy nhất để đánh giá mức độ an toàn của các tài nguyên trong hệ thống thông tin. Ở Việt Nam, việc đánh giá ATTT theo chất lượng là hoàn toàn mới. Người ta dễ ngộ nhận việc trang bị một công cụ ATTT như (Firewall, Anti-virus…) là đảm bảo được ATTT cho hệ thống. Chất lượng ATTT phải được đánh giá trên toàn bộ các yếu tố đảm bảo tính an toàn cho hệ thống từ tổ chức, con người, an ninh vật lý, quản lý tài nguyên … đến việc sử dụng các công cụ kỹ thuật. Nói cách khác, chất lượng ATTT được đánh giá trên cơ sở thực thi các chính sách về ATTT trong hệ thống. Các chính sách này được chuẩn hoá và được công nhận là các tiêu chuẩn về ATTT áp dụng trên phạm vi toàn thế giới. Nhóm SVTH: Nhóm 6 Trang 9 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng .3 Phương pháp đánh giá theo số lượng không được sử dụng. .3.1. Tiêu chuẩn đánh giá về chất lượng ATTT. Việc đánh giá mức độ ATTT của các tổ chức thường được tiến hành theo kinh nghiệm và dựa trên các quy định mang tính cảm tính, cục bộ của tổ chức đó mà không tính đến các tiêu chuẩn đã được thế giới công nhận. Vài năm trước đây, Viện Tiêu chuẩn của Anh (BSI) cùng với một số tổ chức thương mại khác như Shell, National Westminster Bank, Midland Bank… đã nghiên cứu và đề xuất một tiêu chuẩn về ATTT. Đến năm 1995, tiêu chuẩn này được công nhận là tiêu chuẩn quốc gia về quản lý ATTT - BS7799. Tiêu chuẩn này độc lập với mô hình hoạt động của các công ty. Lãnh đạo công ty, các CSO/CIO… đã dựa trên cơ sở các tiêu chuẩn này để thiết lập các chính sách ATTT cho đơn vị mình. Ngay sau khi ra đời, BS7799 đã được sử dụng ở 27 nước bao gồm các nước thuộc khối liên hiệp Anh cũng như một số quốc gia khác như Thụy Sỹ, Hà Lan Đến năm 2000, Tổ chức tiêu chuẩn thế giới ISO trên cơ sở BS7799 đã xây dựng tiêu chuẩn ISO 17799 và tiêu chuẩn này trở thành tiêu chuẩn quốc tế về quản lý chất lượng ATTT (ISO/IEC 17799). Tính đến tháng 2/2005 đã có khoảng hơn 1000 tổ chức đã nhận chứng chỉ ISO 17799 trong đó có Hitachi, Nokia, Fujitsu, Siemen và rất nhiều hãng tên tuổi khác. .3.2. Những phần cơ bản của ISO 17799:  Chính sách chung  An ninh nhân sự (Personel Security)  Xác định, phân cấp và quản lý tài nguyên (Asset Identification, Classification & Control).  An ninh vật lý (Physical Security).  An ninh tổ chức (Security Organization).  Quản trị IT và mạng (IT operations and network management).  Quản lý truy cập và các phương pháp (Access control & methods).  Phát triển HT và bảo trì (System development & maintenance).  Tính liên tục trong kinh doanh và kế hoạch phục hồi sau sự cố (Bussiness Continuty & Disaster Recovery Planning)  Phù hợp hệ thống với các yếu tố về luật pháp, đạo đức (Low, Inestigation and Ethics). Nhóm SVTH: Nhóm 6 Trang 10 [...]... làm được là kiểm soát những gì đã được cài đặt và đang chạy trên các máy tính được quản lý Nhóm SVTH: Nhóm 6 Trang 17 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng PHẦN III: CÁC BIỆN PHÁP BẢO MẬT WEB SERVER 2003 I WINDOWS SERVER 2003 CÓ GÌ MỚI? 1 Management services.- Windows Server 2003: Phát triển thêm nhiều tính năng mới cho những công cụ quản lý như Windows Management Instrumentation (WMI), Group... dùng trong tương lai Sự tin cậy và bảo mật trên Windows Server 2003 đã được nâng lên rõ rệt qua những việc bảo mật bằng firewall (Internet Connection Firewall) và khả năng bảo mật trong việc truy xuất mạng sử dụng công nghệ IEEE 802.1X (Extensible Authentication Protocol over LAN) trên máy client Windows Server 2003 cũng đưa ra một cách mạng mới trong việc bảo vệ và bảo mật khi truy xuất cho cả mạng có... bảo mật định nghĩa sẵn) .1.4 Bảo mật cao (hisec*.inf) Nhóm SVTH: Nhóm 6 Trang 21 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng Highly Secure mô tả chi tiết các giới hạn bổ sung chưa được định nghĩa trong Secure, chẳng hạn như mức mã hoá và ký hiệu cần thiết cho việc thẩm định và trao đổi dữ liệu qua kênh bảo mật, giữa client và server Server Message Block (SMB) .1.5 Bảo mật thư mục gốc hệ thống (Rootsec.inf)... pháp bảo mật cho các doanh nghiệp vừa và nhỏ khi sử dụng mạng ngang hàng Trợ giúp các máy tính của bạn sử dụng hệ điều hành Microsoft Windows 2000 Pro được bảo mật hơn trước các Nhóm SVTH: Nhóm 6 Trang 28 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng mối đe dọa bảo mật nhằm đảm quá trình làm việc được hiệu quả an toàn trên máy tính Các vấn đề được hướng dẫn trong tài liệu này bao gồm:  Bảo mật. .. kiến thức cơ bản về bảo mật mạng ngang hàng .1 Giới thiệu tổng quan Ở đây chúng tôi muốn cung cấp cho bạn các kiến thức cơ bản bảo mật tốt nhất bao gồm: Nhóm SVTH: Nhóm 6 Trang 27 Bảo mật Web Server 2003 GVHD: Thầy Trịnh Huy Hoàng  Cập nhật các bản vá lỗi bảo mật của Windows mới nhất  Sử dụng các phần mềm diệt Virus  Sử dụng kết nối tường lửa khi truy cập Internet  Sử dụng mật khẩu an toàn  Không... của cuộc sống .1 75% số cuộc tấn công thành công nhờ khai thác lỗi bảo mật web Theo các chuyên gia bảo mật 75% các tấn công thành công của hacker trên Internet dựa vào việc khai thác các lỗ hổng, lỗi an toàn bảo mật trong các ứng dụng web Và để tìm cách chống lại những cuộc tấn công này ngày 29/3/2006, hội thảo đề Bảo mật ứng dụng Web, trận chiến mới chống lại 75% các cuộc tấn công của hacker” được... Microsoft Windows 2000 có hai mẫu bảo mật hỗn hợp cùng tồn tại: ocfiless (cho các server file) và ocfilesw (cho các workstation) Trong Windows Server 2003, cả hai file này được thay thế bởi file Setup security.inf .1.2 Bảo mật mặc định cho bộ điều khiển tên miền (DC security.inf) Mẫu này tạo ra khi server được tăng cấp lên bộ điều khiển tên miền Nó ánh xạ các thiết lập bảo mật mặc định file, thanh ghi và... lỗi an toàn bảo mật trong các ứng dụng web Vài năm trở lại đây, trong lĩnh vực an toàn bảo mật thông tin xuất hiện một khái niệm mới "Tường lửa ứng dụng Web - Web Application Firewall" nhằm nhấn mạnh sự cấp thiết của các giải pháp công nghệ để chống lại nguy cơ này Chúng tôi đã sớm nhận thức được nguy cơ và đi đầu trong việc nghiên cứu phát triển giải pháp công nghệ bảo mật cho các ứng dụng web Chúng... Kích vào mẫu bảo mật bạn muốn dùng, sau đó bấm lên Open để nhập thông tin nằm trong mẫu vào cơ sở dữ liệu Kích phải chuột lên Security Configuration and Analysis ở khung bên trái rồi chọn Configure Computer Now .III BẢO MẬT TRUY CẬP TỪ XA TRONG WINDOWS SERVER 2003 Hướng dẫn từng bước dưới đây sẽ giới thiệu cho bạn cách đặt chính sách bảo mật truy cập từ xa trong Microsoft Windows Server 2003 ở chế độ... khả năng bảo mật cho toàn hệ thống là: tăng khả năng thực thi 35% khi sử dụng Secure Sockets Layer (SSL) IIS mặc nhiên không được cài đặt II SỬ DỤNG BẢO MẬT CÓ SẴN TRONG WINDOWS SERVER 2003 Đây là một trong số các bài hướng dẫn từng bước đơn giản dễ hiểu của phần trợ giúp Microsoft cung cấp cho người dùng Bài này mô tả cách thức áp dụng các mẫu bảo mật được định nghĩa sẵn trong Windows Server 2003 như