Luc Nguyen - Hiem họa an toan tu cac modem internet cua cac ISP tại Viet Nam
Securitybox
1. Giải pháp giám sát
Quy trình làm việc
GIÁM SÁT, CẢNH BÁO NGUY CƠ
TẤN CÔNG TRONG HỆ THỐNG MẠNG
ĐỐI VỚI CÁC DOANH NGHIỆP VỪA VÀ NHỎ
TỐNG VĂN TOÀN - SECURITYBOX
3. Tống Văn Toàn - SecurityBox
• Trên 8 năm kinh nghiệm nghiên cứu về lỗ
hổng phần mềm.
• Nghiên cứu lỗ hổng về iPhone và Viber.
• Trên 4 năm kinh nghiệm tham gia đánh giá an
ninh cho hạ tầng mạng nội bộ, ứng dụng
website, máy chủ, mạng nội bộ.
• Tham gia xây dựng hệ thống giám sát nguy cơ
an ninh mạng SecurityBox 4Network,
SecurityBox 4Website.
3
Mobile: (+84)97 397 1139
Email : tongtoan.85@gmail.com
toantv@securitybox.vn
Skype: toantv90
4. NỘI DUNG
1. ĐẶT VẤN ĐỀ?
2. THIẾT KẾ HẠ TẦNG MẠNG VÀ XÂY DỰNG CÁC CHÍNH
SÁCH AN NINH
3. GIÁM SÁT NGUY CƠ AN NINH TRONG MẠNG NỘI BỘ.
4. KẾT LUẬN
4
6. TỈ LỆ DOANH NGHIỆP TẠI VIỆT NAM
6
96%
2%
2%
Doanh nghiệp nhỏ và siêu
nhỏ
Doanh nghiệp vừa
Doanh nghiệp lớn
> 500000
98%
7. SO SÁNH ĐẦU TƯ VỀ HẠ TẦNG MẠNG
DOANH NGHIỆP LỚN
• Được đầu tư lớn về hạ tầng
mạng: firewall, switch core
chuyên dụng.
• Antivirus Bussiness
• IDS, IPS
• Web Proxy
• SIEM
DOANH NGHIỆP VỪA VÀ NHỎ
• Hạ tầng mạng có kiến trúc đơn
giản.
• Không có hoặc có 1-2 firewall
chuyên dụng.
7
CÁC DOANH NGHIỆP VỪA VÀ NHỎ CÓ KINH PHÍ ĐẦU TƯ
CHO HẠ TẦNG MẠNG NHỎ HƠN RÕ RỆT SO VỚI DN LỚN
8. SO SÁNH NHÂN SỰ AN TOÀN THÔNG TIN
DOANH NGHIỆP LỚN
• Một phòng hoặc ban chuyên
trách về CNTT hoặc Security.
• Có đơn vị cho tập đoàn và cơ sở.
• Trình độ cao.
DOANH NGHIỆP VỪA VÀ NHỎ
• Thường không có nhân sự
chuyên trách về Security.
• Nhân sự quản trị mạng kiêm
luôn nhiệm vụ quản lý, cấu hình
hệ thống.
8
CÁC DOANH NGHIỆP VỪA VÀ NHỎ CÓ ĐỘI NGŨ NHÂN LỰC
VỀ BẢO MẬT KÉM HƠN RẤT NHIỀU SO VỚI DN LỚN
9. VẤN ĐỀ TRONG CÁC DOANH NGHIỆP VỪA VÀ NHỎ
9
• Hiện trạng hạ tầng công nghệ thông tin?
• Yêu cầu về hệ thống?
• Các chính sách CNTT đối với Doanh nghiệp?
MỘT HỆ THỐNG MẠNG NHƯ THẾ NÀO ĐỂ ĐẢM BẢO AN TOÀN?
10. THIẾT KẾ HẠ TẦNG MẠNG
VÀ XÂY DỰNG CÁC CHÍNH SÁCH AN NINH
10
11. NGUY CƠ AN NINH TRONG HẠ TẦNG MẠNG
11Ví dụ về một hệ thống mạng của doanh nghiệp
Netnam
Incom
FTTH
Mikrotik
Firewall
ASA 5505
INTERNET
Pfsense
2960
2960
DATACENTER
2960
2960
2960
2960
Cisco 3750X
2960
2960
2960
2960
2960
2960G
12. KIẾN TRÚC HẠ TẦNG MẠNG
Vấn đề gặp phải:
• Chỉ có 1 firewall duy
nhất, chịu tải lớn về
băng thông Internet.
• Các chính sách kiểm
soát giữa vùng LAN và
server chưa được chặt
chẽ.
• Áp dụng luật trên SW
Core khó khăn.
12
Kiến trúc mạng của một doanh nghiệp
Netnam
Incom
FTTH
Mikrotik
Firewall
ASA 5505
INTERNET
Pfsense
2960
2960
DATACENTER
2960
2960
2960
2960
Cisco 3750X
2960
2960
2960
2960
2960
2960G
13. NGUY CƠ AN NINH TRONG HẠ TẦNG MẠNG
13Mô hình mạng sau khi cải tiến
16. CHÍNH SÁCH HẠ TẦNG MẠNG
• Case study 1:
Vùng DMZ được phép SSH vào vùng mạng LAN.
• Case study 2:
Máy chủ kế toán được cài đặt chung với máy chủ website.
16
HẦU HẾT CÁC DOANH NGHIỆP CHƯA CÓ CHÍNH SÁCH VỀ CNTT
HOẶC CÓ CHÍNH SÁCH CHƯA ĐÚNG ĐẮN.
17. KIẾN TRÚC HẠ TẦNG MẠNG
• Doanh nghiệp cần có những Quy hoạch, thiết kế hệ thống
mạng hợp lý.
• Đảm bảo việc phân phối, sử dụng các tài nguyên sử dụng
hợp lý.
• Đảm bảo các chính sách rõ ràng về vấn đề truy cập giữa các
vùng mạng.
17
19. NỘI DUNG
1. RÀ QUÉT, ĐÁNH GIÁ LỖ HỔNG BẢO MẬT TRONG MẠNG
2. GIÁM SÁT, PHÁT HIỆN BẤT THƯỜNG TRONG MẠNG
19
20. LỖ HỔNG BẢO MẬT
20
Các lỗ hổng bảo mật luôn xuất
hiện mới thường xuyên và được
hacker tận dụng khai thác.
HẦU HẾT CÁC DOANH NGHIỆP
VỪA VÀ NHỎ KHÔNG THỰC
HIỆN CẬP NHẬT BẢN VÁ CÁC
LỖ HỔNG BẢO MẬT ĐỊNH KÌ.
Lỗ hổng bảo mật được hiểu là những điểm yếu trên hệ
thống hoặc ẩn chứa trong một dịch vụ nào đó của hệ thống.
21. PHƯƠNG PHÁP PHÁT HIỆN VÀ KHẮC PHỤC
21
Thường xuyên rà quét, phát hiện
các lỗ hổng bảo mật mới xuất
hiện trong hệ thống mạng.
• Nessus, OpenVAS
• Microsoft Baseline
Security Analyzer
• Nexpose
22. PHƯƠNG PHÁP PHÁT HIỆN VÀ KHẮC PHỤC
22
Khắc phục hoặc vá
ngay các lỗ hổng bảo
mật theo tư vấn của
nhà cung cấp.
THỰC HIỆN THƯỜNG XUYÊN
23. NỘI DUNG
1. RÀ QUÉT, ĐÁNH GIÁ LỖ HỔNG BẢO MẬT TRONG MẠNG
2. GIÁM SÁT, PHÁT HIỆN BẤT THƯỜNG TRONG MẠNG
23
24. THỰC TRẠNG HỆ THỐNG MẠNG
24
Không có cái nhìn tổng thể về tình trạng an ninh hệ thống
25. THỰC TRẠNG HỆ THỐNG MẠNG
25
● Con người
● Thiết bị
● Phần mềm
● Dịch vụ
BIẾN ĐỘNG
HÀNG NGÀY
Các nguy cơ an ninh luôn xuất hiện và cần phải liên tục giám sát.
26. GIÁM SÁT NGUY CƠ AN NINH TRONG MẠNG
• GIÁM SÁT NHỮNG GÌ?
26
THIẾT BỊ
DỊCH VỤ MỞ
BĂNG THÔNG
NGUY CƠ TẤN CÔNG
27. • GIÁM SÁT NHỮNG GÌ?
27
THIẾT BỊ
DỊCH VỤ MỞ
BĂNG THÔNG
NGUY CƠ TẤN CÔNG
GIÁM SÁT NGUY CƠ AN NINH TRONG MẠNG
28. GIÁM SÁT THIẾT BỊ THAM GIA VÀO MẠNG
• Quản trị thực sự biết rõ về số thiết bị của công ty không?
• Khi một nhân viên cắm thêm một máy tính mới, bộ phát
wifi?
• Tất cả các thiết bị tham gia vào mạng đều an toàn?
28
29. GIÁM SÁT THIẾT BỊ THAM GIA VÀO MẠNG
Việc thêm một thiết bị mới vào hệ thống mạng là lỗ hổng tiềm
tàng. Chúng có thể chứa malware, trojan,...
29
30. GIÁM SÁT THIẾT BỊ THAM GIA VÀO MẠNG
PHƯƠNG PHÁP GIÁM SÁT
Giám sát thông qua địa chỉ IP
hoặc địa chỉ MAC hoặc tên máy.
Công cụ: Nmap hoặc script tự
viết.
30
31. • GIÁM SÁT NHỮNG GÌ?
31
THIẾT BỊ
DỊCH VỤ MỞ
BĂNG THÔNG
NGUY CƠ TẤN CÔNG
GIÁM SÁT NGUY CƠ AN NINH TRONG MẠNG
32. GIÁM SÁT CÁC CỔNG, DỊCH VỤ MỞ
Bất kì cổng, dịch vụ nào được mở mới mà không phải
do quản trị mở thì đều được coi là bất thường.
32
33. GIÁM SÁT CÁC CỔNG, DỊCH VỤ MỞ
Quản trị cần nắm rõ danh sách các cổng, dịch vụ được phép
mở trên từng thiết bị, nhất là đối với các thiết bị máy chủ.
Đóng các cổng không cần thiết.
Thường xuyên rà quét, so sánh, phát hiện các cổng mới
được mở trong hệ thống mạng.
Nếu phát hiện bất thường cần kiểm tra ngay với thiết bị đó.
Công cụ: nmap, nessus, metasploit, …
33
34. • GIÁM SÁT NHỮNG GÌ?
34
THIẾT BỊ
DỊCH VỤ MỞ
BĂNG THÔNG
NGUY CƠ TẤN CÔNG
GIÁM SÁT NGUY CƠ AN NINH TRONG MẠNG
35. GIÁM SÁT LƯU LƯỢNG MẠNG
Việc gia tăng đột biến lưu lượng mạng đặc biệt ở vùng DMZ
có thể là mở đầu của 1 cuộc tấn công.
DDOS.
Malware.
35
36. GIÁM SÁT LƯU LƯỢNG MẠNG
Thực hiện giám sát
thường xuyên lưu
lượng mạng của
các thiết bị trong
hệ thống mạng.
Open source:
Bandwidth
Monitoring, PRTG
Network Monitor
36
37. • GIÁM SÁT NHỮNG GÌ?
37
THIẾT BỊ
DỊCH VỤ MỞ
BĂNG THÔNG
NGUY CƠ TẤN CÔNG
GIÁM SÁT NGUY CƠ AN NINH TRONG MẠNG
38. GIÁM SÁT, PHÁT HIỆN NGĂN CHẶN TẤN CÔNG
Một cuộc tấn công an ninh mạng có thể diễn ra bất cứ khi
nào, lúc nào mà quản trị không thể lường trước hết được.
Việc giám sát, phát hiện ngăn chặn sớm các cuộc tấn công
là việc làm cần thiết.
38
39. GIÁM SÁT, PHÁT HIỆN NGĂN CHẶN TẤN CÔNG
MỘT SỐ GIẢI PHÁP GIÁM SÁT
Honeypot - Bẫy thu thập thông tin tấn công trên mạng.
Snort IDS - Phát hiện dấu hiệu xâm nhập trái phép, đột nhập mạng.
Spampot - Bẫy thư rác.
LogESP – Open source SIEM.
39
41. KẾT LUẬN
• Vấn đề Security đối với hạ tầng mạng cần phải được làm
thường xuyên, định kì.
• Có các hiểu biết đúng đắn ngay từ việc thiết kế, xây dựng hệ
thống mạng.
• Quản trị cần phải liên tục giám sát, phát hiện các dấu hiệu
bất thường trong hệ thống mạng mạng.
• Thường xuyên cập nhật các bản vá an ninh cho hệ điều
hành và phần mềm.
41