Chính sách an toàn thông tin cung cấp

XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TINCHO DOANH NGHIỆPI. Hiện trạng của doang nghiệpPhân tích điểm yếu của mô hình mạng doang nghiệp như sau- Sử dụng mô hình workgroup. Không quản lý được người dùng- Không xây dựng chính sách riêng cho các phòng ban- Chưa xây dựng được mô hình quản lý các thiết bị - Hệ thống File Server không mang tính an toàn và bảo mật chưa cao- Rủi ro mất dữ liệu từ nhân viên- Không có phần mền antivirus làm hệ thống dễ bị xâm nhập bởi cácphần mền độc hại và virus xâm nhập đánh cắp dữ liệu và gây tê liệtmáy tính.- Chưa xây dựng hệ thống backup và restore tự động khii máy tính củacông ty gặp sự cố- Chưa xây dựng được hệ thống chạy song song để máy tính giảm thiểutối đa việc an toàn dữ liệu và thông tin cho doanh nghiệpMáy tính dễ bị xâm nhập bởi các phần mền gián điệp virut. Máy tính của bạnsẽ không an toàn, dễ mất dự liệu và máy tính không có tính bảo mật caoThông tin người dùng dễ bị xâm nhậpKhả năng chống attaker còn yếuDễ bị nhiễm các phần mền độc hạiKhông kiễm soát được hacker xâm nhậpTính bảo mật của mô hình chưa caoChưa phân mô hình Server – Client để quản lý tất cả các thiết bị, tập tin vàphân quyền truy cập cho từng máyChưa xây dựng được mô hình web Server và mail ServerRủi ro mất dữ liệu khá lớn từ nhân viênChưa xây dựng domain dự phòngChưa thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong[Intranet] và mạng Internet. • Cho phép hoặc cấm những dịch vụ truy cập ra ngoài. • Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập • Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng. Phân tích những rủi ro mất mát dữ liệuRủi ro mất mát dữ liệu từ AttackerPhân tích rủi ro mất dữ liệu của mô hình doanh nghiệpA: Actacker: gồm những người cần ăn cắp hoặc thay đổi nội dungcủa dữ liệu gồm có dữ liệu được mã hoá và dữ liệu thô [không mã hoá, dữliệu nguyên thuỷ], bằng tất cả mọi phương thức có thể [ gắn thêm thiết bịđầu cuối , sniffing data trên đường nó đi [The man in middle], lắng nghe ởngõ ra , tấn công vào 1 digital certificate ] Một dữ liệu thô khi duy chuyễn trên đường truyền sẽ không được mã hoá dođó việc The Man in middle "bắt" và thay thế dữ liệu đó bằng 1 dữ liệu khácnhằm thay đổi nội dung của packet là điều không thể tránh khỏi, và nếukhông xem kỹ thì sẽ rất khó nhận biết hoặc sẽ không thể nhận biết nếuactacker là một người có thể xem là một chuyên gia máy tính…+ Một dữ liệu được mã hoá sẽ truyền đi với 1 chuỗi dữ liệu mã hoá kèm vớimột key, key này sẽ được tạo ra dựa trên chuổi dữ liệu được mã hoá và códung lượng nhỏ hơn nhiều so với dữ liệu ban đầu.[ chữ ký điện tử - Digitalsignature]. Khi actacker bắt dữ liệu và tìm cách thay đổi nó thì dữ liệu mã hoá và key sẽkhông trùng nhau, khi chuyển đến người nhận họ sẽ dùng chính khoá đó đểso sánh với dữ liệu [dựa trên các thuật toán dùng chung ], nếu dữ liệu bị thayđổi thì khoá không trùng. Xác định những rủi ro và những mối đe dọa máy tính qua những giai đoạnsau: • Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành vàỨng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơtrực tiếp cho máy tính. Chú ý setup password cho tài khoản built-inADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt passwordcủa tổ chức. Thường thì Chúng ta có thói quen không tốt ở giai đoạn này làset password null [không đặt pssword].• Xác lập chính sách bảo mật chuẩn bảo mật cơ bản [baseline security] theoquy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi máytính. Bảo mật cho các máy tính có vai trò đặc biệt. Ví dụ Web server, Database Server. Căn cứ trên chính sách bảo mật chuẩn,các quản trị an ninh mạng cần tăng cường hơn nữa các xác lập bảo mật đốivới các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa cóthể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers. • Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer [thôngthường sẽ update các Service packs, securiry updates ] Đây là điều bắt buộcđể nâng cao hơn nữa bảo mật cơ bản [baseline security] đã được thiết lập. • Máy tính khi không còn sử dụng hoặc tặng cho người khác cũng cần phảisecurity, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc cácthiết bị Media khác để khai thác những thông tin còn sót lại này.B. Rủi ro mất mát dữ liệu từ Nhân Viên Những Tầm quan trọng của việc bảo mật cho máy tính . Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên mộtmáy tính mới, một Virus có thể lây nhiễm vào Computer trước khi Adminnày cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xácđịnh, và cài tiếp vào hệ thống một chú Trojan Horse [ví dụ như Bo 2k].Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biếtrằng máy tính có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệthống Mạng của tổ chức.Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các máy tính của tổchức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài,cách cài đặt này nhanh chóng và tỏ ra rất chuyên nghiệp. Trong suốt quátrình cài đặt Hệ Điều Hành qua Mạng này, tài khỏan Local administrator củacác máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text [khôngmã hóa]. Một nhân viên có chút trình độ về hệ thống và mạng, thúc đẩy bởinhững động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tómthông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password[nếu admin Mạng đang tiến hành cài đặt qua Mạng cho máy tính của sếp vàpassword chuyển qua Mạng dưới dạng cleart-text thì nguy to…vì dữ liệu củacác Manager rất quan trọng và hầu hết có giá trị kinh tế ]. Đây là một trongrất nhiều những nguy cơ attack từ bên trong Mạng nội bộ. Những mối đe dọa phổ biến: Mặc dù những kĩ thuật bảo mật được trang bịtrên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽhở trong quy trình làm việc với máy tính. Ví dụ như attacker có thể lấythông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng [khôngcài đặt các bản vá lỗi], mà nhân viên sử dụng, đặc biệt là những ứng dụngkết nối với Internet như Chat, Internet Browser, E -mail… Giải pháp giảm thiểu tối đa các nguy cơ dẫn đến mất mát dữ liệu của DoanhNghiệpVấn đề bảo mật đã và đang là một đề tài hết sức nóng bỏng. Vì tài liệu rấtquan trọng là cả một tài sản của một tổ chức, do đó bảo mật dữ liệu là vấn đềđược các tổ chức quan tâm hàng đầu. Nếu như một tổ chức yếu kém vể bảomật Attacker có thể trực tiếp tấn công thẳng vào hệ thống máy tính và lấy đinhững tài liệu quan trọng của mình. Sau đây là các giải pháp giúp doanhnghiệp hiểu biết sâu rộng hơn về vấn đề bảo mật hệ thống máy tính của mình.Hầu hết các loại máy tính nếu không có những kẽ hở thiếu an toàn về vật lý,thì bản thân hệ điều hành cũng có thể phơi bày những lỗ hổng, tiềm ẩn nhữngnguy cơ cho attacker xâm nhập tấn công và lấy cắp các tài liệu. SecurityAdmin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lậphệ thống phòng thủ trong suốt quá trình hệ thống mạng đang hoạt động. Xâydựng hệ thống mạng luôn đảm bảo cung cấp các giải pháp về an ninh hệthống theo những cấp độ [tổ chức, điều hành, thương mại, tài chính và về conngười] đúng theo tiêu chuẩn hiện đại [chính sách an ninh, tổ chức, phân loạivà kiểm soát tài nguyên, an ninh nhân sự, an ninh môi trường và vật lý, quảnlý tác nghiệp và truyền thông, kiểm soát truy cập, duy trì và cải tiến, quản lýliên tục, tính tuân thủ] có thể ảnh hưởng đến an ninh thông tin của doanhnghiệp nhằm đảm bảo tính : Tính tin cậy [Confidentiality]Tính toàn vẹn [Integrity]Tính sẵn sàng [Availability]GiảI pháp bảo vệ đa cấp về phần cứngLớp Firewall bên ngoàiLớp an ninh trung gian Firewall bảo vệ hệ thống máy chủ [serverfarm] - internal firewallPhần mềm phòng chống Virus cho máy trạm [end-user]Giải pháp ngăn chặn mất mát dữ liệu [data lost prevention]Giải pháp an ninh vật lý cho các phòng máy chủHệ thống giám sát và quản trị hệ thống an ninh thông tinXây dựng chính sách an ninh cho doanh nghiệp3. Xây dựng hệ thống cho công ty Vẽ lại hệ thống tổng thể1. Mô hình chi tiết An toàn bảo mật cho máy chủ Web Server[Web Security] Nhiệm vụ của Web SecurityBảo vệ các dịch vụ, bảo vệ Web Server, Database, Source CodeCác máy chủ Web [Webserver] luôn là những vùng đất màu mỡ cho cáchacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó.Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáocác website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hayphần mềm chứa mã nguy hiểm. Bài viết dưới đây được trình bày như nhữnglời khuyên cho việc đảm bảo an toàn cho các máy chủ Web.Đặt các Webserver của bạn trong vùng DMZ. Thiết lập firewall của bạnkhông cho các kết nối tới Webserver trên toàn bộ các cổng, ngoại trừ cổng 80[http], cổng 443 [https] và các cổng dịch vụ mà bạn sử dụng.Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi Webserver của bạn ngay cảdịch vụ truyền tệp FTP [chỉ giữ lại nếu thật cần thiết]. Mỗi dịch vụ không cầnthiết sẽ bị lợi dụng để tấn công hệ thống nếu không có chế độ bảo mật tốt.Không cho phép quản trị hệ thống từ xa, trừ khi nó được đăng nhập theo kiểumật khẩu chỉ sử dụng một lần hay đường kết nối đã được mã hoá.Giới hạn số người có quyền quản trị hay truy cập mức tối cao [root].Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log filenày trong môi trường được mã hoá.Hệ thống điều khiển log file thông thường được sử dụng cho bất kỳ hoạt độngnào. Cài đặt các bẫy macro để xem các tấn công vào máy chủ. Tạo các macrochạy liên tục hoặc ít ra có thể kiểm tra tính nguyên vẹn của file passwd và cácfile hệ thống khác. Khi các macro kiểm tra một sự thay đổi, chúng nên gửimột email tới nhà quản lý hệ thống.Loại bỏ toàn bộ các file không cần thiết khỏi thư mục chứa các file kịch bảnthi hành: /cgi-bin.Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từcác nhà cung cấp.Nếu hệ thống phải được quản trị từ xa, đòi hỏi một cơ chế bảo mật như bảomật shell, được sử dụng để tạo ra một kết nối bảo mật. Không sử dụng telnethay ftp với user là anynomous [đòi hỏi một usernam và password cho việctruy cập] từ bất cứ site không được chứng thực nào. Tốt hơn, hãy giới hạn sốkết nối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranetcủa bạn.Chạy webserver trong các thư mục đã được đặt quyền truy cập và quyền sửdụng, vì vậy chỉ có người quản trị mới có thể truy cập hệ thống thựcChạy server FTP theo chế độ anonymous [nếu hệ thống cần] trong một thưmục được đặt quyền truy cập, khác với thư mục được sử dụng bởi webserver.Thực hiện toàn bộ việc cập nhật từ mạng Intranet. Duy trì trang web ban đầutrên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ởđây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL. Nếuthực hiện điều này hàng giờ, có thể tránh khả năng server treo một thời giandài.Quét Webserver theo định kỳ với các công cụ như ISS hay nmap để tìm kiếmlỗ hổng bảo mật.Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phầnmềm này cảnh báo các hành động nguy hiểm và bắt các session của chúng lạiđể xem Thông tin này có thể giúp bạn lấy được thông tin về cách thức pháhoại mạng, cũng như mức độ bảo mật trong hệ thống của bạn.Tuân thủ các quy tắc nhất định nêu trên sẽ giúp cho Webserver được bảo vệtốt hơn và người quản trị mạng không còn chịu nỗi đau đầu, lo lắng về vấn đềan toàn máy chủ web và an toàn thông tin cho toàn bộ hệ thống.Mô hình chi tiết An toàn bảo mật cho máy chủ Mail Server[Mail Security] Cấu hình Máy chủ Mail nâng cao [Windows 2003 Server]Cấu hình Máy chủ Mail nâng cao [Windows 2003 Server]Cấu hình nhiều mail-server để sử dụng một nơi lưu giữ mail đơn hay một nơilưu giữ mail từ xa , bạn phải đang sử dụng một Active Directory integratedauthentication [chứng thực tích hợp Active Directory] hoặc encryptedpassword file authentication [chứng thực file mật khẩu được mã hóa]. Mail-server phải ở trong cùng một domain Active Directory như máy tính màtrên đó nơi lưu giữ mail được cấu hình. Để cấu hình nhiều mail-server có thểsử dụng một nơi lưu giữ mail đơn hay nơi lưu giữ mail từ xa: + Theo chỉ dẫn trợ giúp của Windows Server 2003 để cài đặt các dịch vụ E-mail trên mỗi máy tính mà bạn muốn sử dụng như là một mail-server. Nhữngchỉ dẫn này được cung cấp trong mục trợ giúp “To install e-mail services”. Đểxem mục này, nhấn Start, và sau đó nhấn Help and Support. Nhấn Internetand E-mail Services, nhấn E-mail services và sau đó nhấn POP3 service.Nhấn How To, Set Up the POP3 Service và sau đó nhấn Install e-mailservices. + Trên mỗi mail-server, chọn ‘Active Directory integrated authentication’hoặc ‘encrypted password file authentication’. Các chỉ dẫn cho thủ tục nàyđược cung cấp trong mục trợ giúp “Set the authentication method”. Để xemmục này, nhấn Start sau đó nhấn Help and Support. Nhấn Internet and E-mailServices, nhấn E-mail services và sau đó nhấn POP3 service. Nhấn How To,nhấn Set Up the POP3 Service và sau đó nhấn Set the authentication method.+ Làm bất cứ các thay đổi bổ sung nào cho cấu hình của các mail-server riênglẻ như thiết lập mức đăng ký [logging level] hay cổng [port], hay cấu hìnhSPA [secure password authentication]. + Làm theo những chỉ dẫn trong trợ giúp của Windows Server 2003 để cấuhình một thư mục hay ổ đĩa như một folder dùng chung để làm nơi lưu giữmail. Những chỉ dẫn này được cung cấp trong mục trợ giúp "Share a folder ordrive". Để xem mục này, nhấn Start và sau đó nhấn Help and Support. NhấnDisks and Data, nhấn Managing Files and Folders, Shared Folders, How To,Share a folder or drive. + Phụ thuộc vào việc bạn đang sử dụng ‘encryptedpassword file authentication’ [chứng thực tệp tin mật khẩu được mã hóa] hay‘Active Directory integrated authentication’ [chứng thực được tích hợp ActiveDirectory], làm một trong các bước sau: * Nếu bạn đang sử dụng ‘encryptedpassword file authentication’, bạn phải dùng cùng GUID [globally uniqueidentifier] trên mỗi mail-server. Để làm như vậy, chọn một mail-server, nhậndiện GUID của nó và sau đó cấu hình tất cả các mail-server khác để sử dụngchung GUID này. GUID được định vị tại: HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\pop3service\auth\authguid. GUID được hiển thị trongcột Data. Hoặc nếu bạn nhấn đúp vào khóa [key] authguid, GUID hiển thịtrong cột Value data. Để thay đổi GUID: - Nhấn Start, nhấn Run và sau đógõ: regedit -Vào HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\pop3service\auth\authguid - Nhấn đúp và khóa authguid và sau đó, trong Value data gõ : GUID- Sau việc sửa đổi đang ký [registry], bạn phải khởi động lại dịch vụ POP3.Nhấn Start, nhấn Run, gõ cmd và sau đó nhấn OK.- Tại dấu nhắc dòng lệnh, gõ: net stop pop3svc - Sau khi dịch vụ đã dừng, tạidấu nhắc dòng lệnh, gõ : net start pop3svc * Nếu bạn đang sử dụng ‘ActiveDirectory integrated authentication’, bạn phải chờ replication [bản sao] của‘Active Directory’ xuất hiện, như vậy tất cả các mail-server có thể truy nhậpvào nơi lưu giữ mail mới. Thời gian replication thay đổi, phụ thuộc vào sốlượng các ‘domain controller’ trong việc triển khai của bạn. Thông tin chi tiếtvề ‘Active Directory replication’, xem trong mục trợ giúp của WindowsServer 2003 “Replication overview”.Để xem mục này, nhấn Start và sau đó nhấn Help and Support. Nhấn ActiveDirectory, nhấn Concepts, nhấn Understanding Active Directory, nhấnUnderstanding Sites and Replication và sau đó nhấn Replication overview.+ Làm theo những chỉ dẫn trợ giúp trong Windows Server 2003 để cấu hìnhmỗi mail-server một nơi lưu giữ mail và sử dụng nơi lưu giữ mới mà bạn đãtạo. Nếu bạn đã tạo ra một thư mục chia xẻ từ xa như mail root, đường dẫn sẽlà như sau: \\path\share. Để xem mục trợ giúp cho thủ tục này, nhấn Start vàsau đó nhấn Help and Support, Internet and E-mail Services, E-mail services,POP3 service, How To, Set Up the POP3 Service, Set the mail store. + Saukhi thiết lập nơi lưu giữ mail, bạn phải khởi động lại dịch vụ POP3. NhấnStart, Run, gõ cmd và sau đó nhấn OK. + Tại dấu nhắc dòng lệnh, gõ: net stop pop3svc + Sau khi dịch vụ dừng, tại dấu nhắc dònglệnh, gõ: net start pop3svc Để đặt bảo mật [security] và và sự cho phép [permissions] chonơi lưu giữ mail : Trên máy tính mà tại đó nơi lưu giữ mail được cấu hình, chạyWindows Explorer. [item]Nhấn chuột phải trên thư mục hay ổ đĩa chia xẻ mà bạn muốnsử dụng như một nơi lưu giữ mail và sau đó nhấn Sharing and Security. Kiểm tra lại xemShare this folder đã được chọn. [item]Trên tab Sharing, nhấn Permissions, nhấn Everyonevà sau đó nhấn Remove. [item]Nhấn Add, nhấn Object Types, chọn Computers và sau đónhấn OK. [item]Trong Select Users, Computers, or Groups gõ: Domain Admins; NetworkService; System; và các tên của tất cả mail-server trong sự triển khai của bạn, mỗi tên cáchnhau bởi một dấu chấm phẩy và sau đó nhấn OK. [item]Nhấn Domain Admins và sau đónhấn Full Control. [item]Lặp lại bước trước đó cho Network Service, System và mỗi tàikhoản mail-server và sau đó nhấn OK. [item]Trên tab Security, thực hiện lại các bước từ 4-7. [item]Trên tab Security, nhấn Advanced. [item]Kiểm tra lại tùy chọn Allow inheritablepermissions from the parent to propagate to this object and all child objects. Include thesewith entries explicitly defined here được chọn. [item]Chọn Replace permission entries onall child objects with entries shown here that apply to child objects, OK, Yes khi có dấunhắc và sau đó nhấn OK. [item]Tạo các domain e-mail và các mailbox. Để xem mục trợgiúp của các thủ tục này, nhấn Start và sau đó nhấn Help and Support, Internet and E-mailServices, E-mail services, POP3 service, How To và thực hiện một trong các bước sau : *Để xem mục trợ giúp tạo ra các domain e-mail, nhấn Manage Domains và sau đó nhấnCreate a domain. * Để xem mục trợ giúp tạo ra các mailbox, nhấn Manage Mailboxes vàsau đó nhấn Create a mailbox.Mô hình chi tiết An toàn bảo mật cho máy chủ FTP Server[FTP Security]Các ứng dụng FTP Client như FileZilla, Cyberduck, WinSCP đang được sử dụng kháphổ biến và rộng rãi hiện nay để truy cập, upload và download dữ liệu tới web server củangười dùng bằng cách tạo kết nối qua FTP – giao thức File Transfer Protocol với nhiệm vụchính là tiếp nhận và xử lý yêu cầu về gửi hoặc nhận dữ liệu, tạo kết nối trực tiếp tới hostlưu trữ. Không giống như HTTP – được thiết kế để chuyển tiếp dữ liệu dạng hyper – textqua kết nối TCP, thì chuẩn FTP đảm bảo rằng server sẽ phản hồi lại các yêu cầu ngay khinhận được tín hiệu từ host. Không chỉ cung cấp khả năng truyền file chính xác và nhanhchóng, bên cạnh đó là việc bảo mật, cung cấp cho người dùng nhiều tùy chọn hơn trongquá trình download và upload dữ liệu, và 1 trong những tính năng tiện lợi nhất là Resume.Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một vài bước cơ bản để thiếtlập hệ thống server FTP cá nhân, qua đó người dùng có thể truy cập từ bất cứ đâu qua ứngdụng FTP client, cho phép nhiều tài khoản khác nhau upload và download dữ liệu trực tiếptới server.Quá trình thiết lập và cấu hình FTP Server khá phức tạp, nhưng nếu tự tạo được 1 hệ thốngFileZilla FTP Server chúng ta hoàn toàn có thể biến chiếc máy tính sử dụng Windowsthành FTP server, sau đó thiết lập kết nối với nhiều máy tính client khác. Về mặt bản chất,FileZilla FTP Server là 1 ứng dụng mã nguồn mở miễn phí dành cho hệ điều hànhWindows, hỗ trợ giao thức kết nối bảo mật FTP và FTP qua SSL/TLS tới server. Khi sửdụng giao thức SSL, chúng ta có thể mã hóa các kết nối giữa các host với nhau để đảm bảolượng dữ liệu được truyền tải an toàn, bên cạnh đó thì ứng dụng này còn cho phép ngườidùng tùy chọn nhiều địa chỉ và cổng server khác nhau.FileZilla Server Interface không chỉ cung cấp cho người dùng sự tiện lợi trong quá trìnhtạo và quản lý người dùng, mà còn thiết lập quyền đọc hoặc ghi đối với từng tài khoảnkhác nhau, do vậy người quản lý sẽ hạn chế được việc truy cập trái phép vào những phầntài liệu riêng tư. Bên cạnh đó, chúng ta còn có thể tạo Group – được dùng để kết hợp nhiềutài khoản người dùng có cùng mức phân quyền lại với nhau, và một số thiết lập khác như:giới hạn server, kích hoạt hoặc không sử dụng tính năng SSL khi người dùng đăng nhập,tốc độ truyền tải dữ liệu tối đa Để thực hiện, các bạn hãy tải và cài đặt phần mềm FileZilla tại đây, sau đó khởi động ứngdụng, nhập địa chỉ localhost [127.0.0.1] trong phần Server Address và mật khẩu trong tại ôAdministration Password, giá trị Port mặc định ở đây là 14147. Nhấn OK:Như đã đề cập tới ở trên, Group sẽ giúp chúng ta dễ dàng hơn trong việc quản lý nhiều tàikhoản người dùng tương tự nhau. Việc cần làm trước tiên tại đây là tạo mới Group, sau đógán từng tài khoản riêng biệt tới nhóm này. Các bạn chọn menu Edit > Groups như hìnhdưới:Bảng điều khiển Groups sẽ hiển thị, trước tiên chúng ta sẽ nhấn Add và nhập tên của nhómcần tạo, sau đó kích hoạt quyền truy cập cho các tài khoản bên trong nhóm từ phần GroupSettings.Tiếp theo là việc chỉ định thư mục sẽ được phép chia sẻ với các client, chuyển tớiphần Shared folders từ phía bên trái và chọn thư mục cần chia sẻ để gán tại đây. Sau đó,chúng ta sẽ chuyển tới bước tiếp theo là gán tài khoản người dùng tới Group:Từ menu Edit, các bạn chọn Users:Tương tự như Groups, chúng ta có thể tạo tài khoản người dùng – User và thiết lập mứcphân quyền đọc, ghi tương ứng. Nhấn nút Add, đặt tên cho tài khoản, chọn nhóm tươngứng từ menu drop – down, sau đó nhấn OK để hoàn tất:Ở chế độ mặc định, hệ thống sẽ tạo tài khoản người dùng với mật khẩu trống, nhưng nếumuốn đặt mật khẩu bảo vệ cho User thì các bạn hãy kích hoạt tùy chọn Password trongphần Account Settings. Tại đây, chúng ta còn có thể thay đổi Group membership, kích hoạttùy chọn Bypass userlimit of server và Force SSL for user login:Nếu không chỉ định bất kỳ thư mục chia sẻ nào trong khi tạo Groups thì có thể gán sau đó.Chỉ việc chọn Shared folders sau đó nhấn Add từ Shared folders:Phần Files và Directories cho phép chúng ta xác nhận mức phân quyền đối với các tàikhoản người dùng, bao gồm: đọc, ghi, xóa, liệt kê. Ở chế độ mặc định, chương trình sẽ tựđộng gán quyền tới tất cả các thành phần bên trong thư mục được chia sẻ đó. Tuy nhiên,các bạn có thể tắt bỏ tùy chọn +Subdirs để hạn chế việc truy cập, trong phần Shared Limitslà việc thiết lập tốc độ download và upload tối đa đối với từng tài khoản, tùy từng khoảngthời gian trong ngày, và trong phần IP Filter chúng ta có thể loại bỏ các địa chỉ IP cố định:Khi hoàn tất quá trình thiết lập của User, chúng ta sẽ chuyển sang hệ thống client để khởitạo kết nối tới server FTP. Nếu muốn truyền tải dữ liệu qua hệ thống mạng local, các bạncó thể dùng địa chỉ IP của máy server để tạo kết nối từ phía client. Dùng lệnh ipconfigtrong Command Prompt để tìm địa chỉ IP như hình dưới:Sau đó, mở FileZilla FTP và chọn File > Site Manager, nhập các thông tin cần thiết vàođây. Nếu máy client được kết nối tới cùng hệ thống mạng, hãy điền địa chỉ IP của máyserver trong phần Host để kết nối, sau đó chọn Normal từ phần Logon Type. Tiếp theo,nhập tên đăng nhập trong ô User, mật khẩu trong phần Password:Khi hoàn tất, nhấn nút Access:FileZilla FTP Server sẽ ghi lại toàn bộ thông tin về dữ liệu nhận được yêu cầu nhận và gửiđi, bao gồm các địa chỉ kết nối của client, tên đăng nhập, địa chỉ IP, tốc độ truyền tải file:Bên cạnh đó, các bạn còn có thể chia sẻ địa chỉ IP của server với những client không cùngtrong hệ thống mạng. Để xác định địa chỉ IP để tự động điều chuyển, mở FileZilla ServerOptions từ menu chính và chọn thẻ Passive mode settings, kích hoạt tùy chọn Use thefollowing IP và nhập địa chỉ IP cần chia sẻ. Có thể giữ nguyên tùy chọn nhận địa chỉ IP từip.filezilla-project.org/ip.php hoặc tự thiết lập:Khi hoàn tất, hệ thống client bên ngoài đã có thể kết nối tới server của bạn và truy cập vàothư mục chia sẻ. Nếu xảy ra lỗi tại đây thì có thể là do hệ thống Firewall của Windowshoặc router. Mô hình chi tiết An toàn bảo mật cho máy chủ IPS/IDSIPS [Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập] là hệthống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mongmuốn.Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ cácthông tin này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, vàcuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phéptrên.Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thứchoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khácnhau duy nhất là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn cóchức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống. Hệthống IPS sử dụng tập luật tương tự như hệ thống IDS.Phân loạiHệ thống ngăn ngừa xâm nhập mạng [NIPS – Network-based IntrusionPrevention] thường được triển khai trước hoặc sau firewall.Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bêntrong kể cả firewall, vùng DMZ. Có thể giảm thiểu nguy cơ bị tấn công từchối dịch vụ đồi với firewall.Khi triển khai IPS sau firewall có thể phòng tránh được một số kiểu tấn côngthông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kếtnối vào bên trong.Hệ thống ngăn ngừa xâm nhập host [HIPS – Host-based Intrusion Prevention]thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạtđộng thâm nhập trên các host.Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tựnhư các giải pháp antivirus.Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn cókhả năng phát hiện sự thay đổi các tập tin cấu hình.Lý do triển khai IPSMỗi thành phần tham gia trong kiến trúc mạng đều có chức năng, điểm mạnh,điểm yếu khác nhau. Sử dụng, khai thác đúng mục đích sẽ đem lại hiệu quảcao. IPS là một trong những thành phần quan trọng trong các giải pháp bảo vệhệ thống. Khi triển khai có thể giúp hệ thống:• Theo dõi các hoạt động bất thường đối với hệ thống.• Xác định ai đang tác động đến hệ thống và cách thức như thế nào, cáchoạt động xâm nhập xảy ra tại vị trí nào trong cấu trúc mạng.• Tương tác với hệ thống firewall để ngăn chặn kip thời các hoạt độngthâm nhập hệ thống.Ưu điểm, hạn chếƯu điểm:• Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ thống.• Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.Hạn chế:• Có thể gây ra tình trạng phát hiện nhầm [faulse positives], có thể khôngcho phép các truy cập hợp lệ tới hệ thống.Thiết kếĐặt trước firewall:Là một module trong giải pháp UTM:Một số tiêu chí triển khai• Xác định công nghệ IDS/IPS đã, đang hoặc dự định triển khai.• Xác định các thành phần của IDS/IPS.• Thiết đặt và cấu hình an toàn cho IDS/IPS.• Xác định vị trí hợp lý để đặt IDS/IPS.• Có cơ chế xây dựng, tổ chức, quản lý hệ thống luật [rule].• Hạn chế thấp nhất các tình huống cảnh báo nhầm [false positive] hoặckhông cảnh báo khi có xâm nhập [false negative].Xây dựng mô hình Server – ClientHiện trạng công ty. 1.1 Phòng Giám Đốc Có kích thước bao gồm 3 Client [1 cho Giám Đốc,1 cho PGĐ, 1 cho Trợ lý]. 1.2 Phòng Kinh Doanh Đặt 8 Client [1cho Trưởng phòng, 1 cho Phó phòng,1 cho trợ lý, 5 cho nhânviên]. 1.3 Phòng Hành Chánh-Nhân Sự Đặt 6 Client [1 Trưởng phòng,1 phó phòng, 4 nhân viên]1.4 Phòng Kế Toán Đặt 4 Client [gồm 1 Trưởng phòng,2 nhân viên, 1 thủ quỷ] 1.5 Phòng Kỹ Thuật Có kích thước 15x11 m2 đặt 5 Client [1 trưởng phòng,4 nhân viên]. 1.6 Phòng Server Kích thước 11x7 m2 đặt 3 máy tính [1 cho Admin, 2 cho IT] và Server.Sơ đồ phân quyền hệ thống