• Thứ Ba, 15/07/2008 11:02 (GMT+7)

    Hội thảo mạng: bảo mật và truyền thông hợp nhất

    Ngày 11/7/2008 tại TP.HCM, Cisco Việt Nam và công ty Công Nghệ Mạng Hoa Sen tổ chức hội thảo giải pháp bảo mật và truyền thông hợp nhất cho doanh nghiệp. 

    Bảo mật dựa trên hành vi “behavior”

    Ông Lê Ân đang thuyết trình các giải pháp của Cisco

    Theo ông Lê Ân, chuyên viên tư vấn về an ninh mạng của Cisco thì việc phá hoại và đánh cắp dữ liệu ngày càng tinh vi nên nếu chỉ bảo mật theo cách thông thường cho từng điểm (end point) thì sẽ không ngăn chặn được hết. Cisco đưa ra quan điểm bảo mật và an ninh mạng có một số điểm nổi bật so với các hãng khác.

    Ví dụ, ngoài cách nhận biết các mã phá hoại theo cách thông thường bằng chữ ký (signature), giải pháp bảo mật (Self-defending network - SDN) còn có cách nhận biết thông minh khác là dựa trên hành vi (behavior) hoặc lưu lượng dữ liệu thông thường trên mạng (network base line) để có thể thích ứng và ngăn chặn các cuộc tấn công mới hoặc các cuộc tấn công loại zero-day mà nếu dùng signature thì không thể ngăn được.

    SDN xây dựng hệ thống phòng thủ nhiều lớp, mỗi một điểm cuối trong hệ thống mạng đều được tích hợp tính năng bảo mật và có thể thông báo cho nhau mỗi khi có cuộc tấn công xảy ra. Ngoài ra, SDN có thể phân tích, tổng hợp nhiều sự kiện từ các thiết bị khác nhau trên mạng, hiểu được đường đi mà các cuộc tấn công có thể xảy ra, từ đó, đưa ra các phương án ngăn chặn hoặc giảm thiểu một cách hiệu quả.

    Quá dễ để tấn công mạng

    Theo ông Ân, các hình thức tấn công, truy cập trái phép làm sập mạng ngày càng tăng, và những kỹ thuật cũng thay đổi, mục đích cuộc tấn công cũng thay đổi. Nếu như những năm trước, các cuộc tấn công có tính chất như tạo tên tuổi, muốn cho mọi người biết đến thì hiện nay, mục đích các cuộc tấn công thay đổi hẳn và đã nhằm vào mục đích lợi nhuận. Vì vậy, các cuộc tấn công xảy ra rất tinh vi, xảy ra rất chậm và khó phát hiện.

    Thêm vào đó, trên mạng Internet hiện nay có rất nhiều công cụ tấn công như đĩa Boot CD (đĩa khởi động), chạy bằng hệ điều hành Linux, các website hướng dẫn tạo đĩa boot CD loại này. Sau khi có được đĩa boot như thế, gắm vào laptop. Điều đó, sẽ tạo ra một công cụ phá hoại tấn công rất nguy hiểm, mãnh liệt mà không cần đòi hỏi phải có kiến thức về mạng máy tính, về hệ điều hành mạng nguồn mở. Do đó, doanh nghiệp phải luôn nghĩ đến an ninh mạng.

    Hơn nữa, mô hình mạng doanh nghiệp thay đổi nhiều. Nếu như trước đây, doanh nghiệp chỉ gói gọn trong một tòa nhà, sau này do nhu cầu công việc đòi hỏi nhu cầu nâng cao hiệu suất, nâng cao hiệu quả làm việc của nhân viên của mình. Và công nghệ di động cho phép người ta có thể làm việc ở bất kỳ nơi đâu bằng cách truy cập vào mạng nội bộ của mình: ranh giới giữa mạng nội bộ và mạng bên ngoài mờ dần đi do tính năng di động.

    Phòng chống theo quan điểm “hàng rào xung quanh” mạng nội bộ (LAN) không còn hiệu quả nữa. Đặc biệt, do nhu cầu sử dụng thanh toán giao dịch trên mạng Internet ngày nay, hiệp hội Thẻ Thanh Toán PCI (Payment Card Industry) có rất nhiều yêu cầu về bảo mật khi giao dịch trên mạng. So với cách phòng chống hiện nay, nếu chúng ta chỉ quan tâm bảo mật ở mức sản phẩm, mua sản phẩm để ngăn chặn thì sẽ không đảm bảo được các yêu cầu của PCI.

    Vấn đề sai lầm trong bảo mật doanh nghiệp hiện nay là chưa quan tâm đúng mức, xem nhẹ. Trên mạng, hiện nay có rất nhiều những con Robot (Botnet) thường xuyên chạy trên mạng và chỉ cần một giây nếu máy của mình hoặc hệ thống của mình không có bảo mật hợp lý là sẽ bị tấn công ngay. Thục tế, đa phần các giao dịch với khách hàng qua mạng, nếu không bảo mật và thông tin khách hàng bị mất, các đối thủ của công ty sẽ dễ dàng đánh cắp và phá hoại.

    Ba quan niệm về SDN: Integrated + Collaborative + Adaptive

    Quan điểm thứ nhất theo Cisco là tính tích hợp (Integrated), tức là mỗi một thành phần trong hệ thống mạng phải được tích hợp các tính năng về bảo mật và an ninh mạng, chẳng hạn như router, switch, laptop. Quan niệm thứ 2, tính năng tương tác (collaborative), tức là các thành phần trên mạng phải có khả năng trao đổi thông tin với nhau. Khi một thiết bị trên mạng phát hiện ra nguy cơ tấn công thì nó có khả năng trao đổi thông tin đó với các thiết bị khác để các thiết bị khác biết được, phòng chống ngay lập tức. Như vậy, việc giao tiếp giữa các thiết bị góp phần hạn chế rất nhiều khả tấn công; Tính chất cuối cùng là khả năng thích ứng (Adaptive), ngăn chặn các cuộc tấn công mới. SDN sẽ giúp hệ thống được an toàn hơn như ("đối thủ") phải qua rất nhiều lớp và mỗi lớp sẽ có những chức năng bảo vệ mạng.

    Lớp thứ nhất là kết nối an toàn: các thông tin trao đổi trên mạng phải được bảo mật, được mã hóa và đảm bảo một người nào đó dù là tình cờ hay cố ý lấy cắp thông tin cũng không thể giải mã được. Một số công nghệ VPN như IPSec VPN, hoặc SSL VPN, MPLS đều được Cisco hỗ trợ.

    Giải pháp NAC của Cisco

    Lớp thứ 2: lớp xác thực các thiết bị (Trust and Identify), một khi bất kỳ một thiết bị nào được cắm vào mạng thì nó phải được xác thực, tức là cho biết thiết bị đó hợp lệ, được hợp pháp cắm vào mạng hay không? Nếu không được thì phải cấm ngay và giải pháp của Cisco đưa ra là Network Admission Control (NAC). Khi một máy tính truy cập vào mạng, nó sẽ sử dụng giao thức (protocol) EAP, gửi toàn bộ tính chất của máy đó, thiết bị đó đến các thiết bị truy cập như switch, router, firewall… Các thông tin được gửi như: sử dụng hệ điều hành, bản vá lỗi, version diệt virus (anti-virus: AV)…

    Sau đó, các thiết bị truy cập đó dùng giao thức là Radius gửi về ACS server (các server xác thực). Các server này sẽ xác thực username, password và sẽ gửi toàn bộ thông tin của máy đến policy server. Các policy server này sẽ kiểm tra xem nó có đúng với policy công ty không? Chẳng hạn như, policy quy định tất cả các tất cả các máy laptop dùng hệ điều hành Windows XP service pack 2, nếu mà máy nào dùng bản service pack 1 thì không đúng quy định của công ty lập tức nó cản ngay và không cho truy cập vào mạng hoặc có những hướng dẫn cụ thể như bản vá lỗi, version AV mới chưa có hoặc quá cũ, hệ thống sẽ gửi link cho cập nhật. Sau khi cập nhật xong, lại xác thực một lần nữa và dĩ nhiên chỉ có những thiết bị hợp lệ thì nó sẽ cho qua, còn không đúng thì nó sẽ ngăn cấm. Các giải pháp này như policy server, Cisco NAC Server, Cisco NAC Agent (Agent gắn trên các thiết bị đầu cuối, laptop để nó truyền thông tin các thiết bị đó về cho Agent Accessing Server để nó xác thực). 

    Lớp thứ 3: chống các cuộc tấn công hay chống lại cuộc xâm nhập trái phép, Cisco có những sản phẩm như wirewall IDS, Cisco security Agent trên laptop hoặc trên các router Cisco đều có tính năng tích hợp bảo mật. Nhân viên làm việc mọi lúc mọi nơi thì tất cả các kết nối đều được mã hóa, sử dụng công nghệ VPN, IPSec VPN và những Access Point phải có những tính năng mã hóa: đảm bảo mọi connection phải được mã hóa, xác nhận một người nào đó truy cập hệ thống access point, phát hiện ra, cho phép hoặc ngăn chặn.

    Hồng Vinh

    ID: O0807_1