Với nhà quản trị, Xây dựng nên một hệ thống mạng chỉ mới là bước khởi đầu. Đảm bảo cho hệ thống đó thông suốt phục vụ cho hoạt động kinh doanh được suông sẻ góp phần vào sự phát triển của doanh nghiệp đó mới là công việc quan trọng của nhà quản trị. Hệ thống mạng của doanh nghiệp luôn luôn đối mặt với rất nhiều nguy cơ như các kiểu tấn công mạng: dos, ddos, spyware, backdoor, virus…..và các hiểm họa như các lỗi, lỗ hổng mạng là “vùng đất” lý tưởng cho kẻ xấu thâm nhập và khai thác thác thông tin, thậm chí làm sập hệ thống mạng, tạo nên sự bất ổn cho hệ thống gián tiếp làm giảm tính cạnh tranh với các đối thủ. Để có thể ngăn chặn và phòng tránh nhà quản trị cần một “vệ sĩ” mạnh mẻ đủ khả năng và hoàn toàn có thể đáp ứng nhu cầu trên. O2Security SifoWorks UTM là thiết bị mà các nhà quản trị đang tìm.
Case study sau đây sẽ giới thiệu cách cấu hình trên SifoWorks U100 thực hiện 2 chức năng IDP và Anomaly Flow IP giúp hệ thống mạng của doanh nghiệp mạnh mẽ hơn trước các nguy cơ đến từ bên ngoài và bên trong tới các khu vực nhạy cảm có ảnh hưởng tới toàn bộ hoạt động của doanh nghiệp.
Mô hình của một hệ thống mạng doanh nghiệp.
Yêu cầu và thực trạng của hệ thống:
- Hệ thống mạng của doanh nghiệp như hình vẽ:
- Mạng LAN gồm 2 phòng Sale và Technical, hệ thống server farm cung cấp các dịch vụ mail, web, file, database….
- Hệ thống mạng có đường WAN kết nối ra internet.
- Hệ thống mạng đang bị tấn công từ các IP bên ngoài vào các server farm.
- Vài máy tính tại 2 phòng Technical và Sale gửi nhiều kết nối tới các server và ra ngoài bên chiếm băng thông đường truyền gây chậm hệ thống mạng.
Giải pháp:
- Triển khai SifoWorks UTM U100 có khả năng đáp ứng các nhu cầu của hệ thống mạng.
- Chức năng IDP giúp UTM U100 có khả năng phát hiện các xâm nhập từ bên ngoài cũng như bên trong, bảo vệ an toàn cho hệ thống. Đồng thời ngăn chặn các nguy cơ tấn công mới bằng cách cập nhật tự động và free các dấu hiệu từ server.
- Chức năng Anomaly Flow IP giúp phát hiện và khóa các IP nguồn từ bên trong hay bên ngoài tạo quá nhiều kết nối nguyên nhân bị nhiễm virus hay nguồn của các vụ tấn công.
Các bước cấu hình:
Bước 1: Cấu hình cơ bản (Basic Configuration) cho U100: Thiết lập các interface:
Interface LAN: vào System > Multiple Subnet: để chia interface LAN thành 2 subnet cho 2 mạng : 192.168.1.0/24 và 172.16.1.0/24 như sau:
Subnet 1:
Subnet 2:
Tấc cả các user bên trong mỗi subnet nếu muốn ra ngoài internet đều bị NAT qua interface WAN 1.
Interface WAN: tạo kết nối với ISP qua PPPoE line.
Chú ý: để UTM có thể kết nối với ISP thành công cần thiết lập policy cho phép tấc cả traffic tại 2 chiều incoming và outgoing
Interface DMZ:
DMZ interface đặt ở chế độ NAT mode nghĩa là các traffic từ server farm đi ra ngoài internet sẽ bị NAT tại interface WAN tương tự như interface LAN.
Bước 2 : Thiết lập IDP
IDP > Configure > Setting: thiết lập các thông số tổng quát cho chức năng IDP.
- Phần đầu là các thông tin về ngày, phiên bản cập nhật của Signature definitions trên server của O2Security. Các dấu hiệu sẽ được UTM tự động kết nối và cập nhật mỗi 120 phút hay người quản trị có thể cập nhật bằng tay ngay lập tức
- Enable Anti-Virus (for HTTP, FTP, P2P, IM, NetBIOS...): bật tính năng scan virus cho các dịch nhiều giao thức.
- Enable Wan Port Scan: bật chức năng cho phép scan tất cả các traffic đi qua line WAN để phát hiện các tấn công Port bên ngoài.
- Enable Syslog Message : bật chức năng cho phép gửi các log do IDP ghi nhận tới server log. Server log được thiết lập tại Monitor > Log >Log Backup.
- Syslog Host IP Address: ip của server nhận log từ UTM gửi đến.
- Syslog Host Port: port thõa thuận giữa server log và UTM- cả 2 phải chạy cùng port với nhau.
- Set default action of all signatures: thiết lập hành xử mặc định cho IDP khi phát hiện tấn công.
Bước 3: Thiết lập IDP Signatures: Thiết lập cho các dấu hiệu phát hiện tấn công.
IDP > Signature > Anomaly : Thiết lập các ngưỡng giá trị để xác định các kết nối bất thường được UTM phân loại như syn flood, udp flood…
Chọn Modify để thiết lập các tham số cho từng kiểu tấn công ví dụ: modify Syn Flood:
- Enable: bật/ tắt chế độ phát hiện hành động bất thường của tấn công syn flood.
- Max. Threshold: thiết lập số packet tối đa của cùng 1 nguồn qua UTM trong 1 giây. Nếu nguồn của packet vượt quá ngưỡng này, UTM sẽ đưa vào tấn công và có hành xử như đã thiết lập bên dưới.
- Blocking Time : Thời gian chặn các kết nối của IP nguồn tấn công.
- Action: Chọn hành xử đối với packet của tấn công: pass hay drop. Log nếu muốn UTM ghi lại log của tấn công.
IDP > Signature > Pre-defined :danh sách các dấu hiệu phát hiện nhiều kiểu tấn công khác nhau. Các dấu hiệu này được UTM định nghĩa trước bằng cách cập nhật từ server.
Chọn modify vào từng dấu hiệu để thiết đặt:
- Pass/Drop: cho phép các packet tiếp tục qua UTM hay bị loại bỏ.
- Log: có ghi nhận vào chức năng log hay không.
IDP > Signature > Custom : các dấu hiệu cho nhà quản trị định nghĩa dựa trên những ghi nhận tấn công từ thực tế của hệ thống mạng doanh nghiệp. Chọn New Entry để tạo mới 1 rule.
- Name: tên của rule.
- Protocol: giao thức mà tấn công đó đang dùng (TCP, UDP, ICMP, IP)
- Source/Destination Port: port nguồn của tấn công.
- Risk: mức nguy hiểm của tấn công, IDP sẽ ưu tiên dò tìm các rule có độ risk cao.
- Action: Lựa chọn cách hành xử khi tấn công phát hiện (pass/drop)
- Content: Dấu hiệu nhận biết tấn công đó- nội dung của packet tấn công, UTM sẽ phân tích phần payload của packet và so sánh với nội dung trong content.
Bước 4: Thiết lập Anomaly Flow IP: chức năng đơn giản để phát hiện tấn công hay do virus gây ra dựa vào số Session của IP nguồn.
Anomaly Flow IP > Setting:
- The threshold sessions of anomaly flow (per source IP): chỉ định ngưỡng giá trị số session của 1 IP kết nối qua UTM, vượt qua số này UTM sẽ cho rằng IP đó đang tấn công.
- Enable Anomaly Flow IP Blocking: Thời gian khóa IP nguồn của tấn công.
- Enable E-Mail Alert Notification: Bật/tắt chế độ cảnh báo email nếu có tấn công. Thiết lập trong System > Configure > Setting:
-
Thiết lập các thông số: người gửi, domain của server mail, 2 địa chỉ mail nhận cảnh báo.
- Enable SNMP Trap Alert Notification: Thiết lập cảnh báo thông qua SNMP Trap. Các tham số cấu hình trong System > Configure > SNMP:
-
Cấu hình các thống số gồm: ip của server nhận cảnh báo thông qua SNMP Trap, port thõa thuận giữa server nhận UTM.
- Enable NetBIOS Alert Notification: cảnh báo thông qua giao thức c, IP của server cùng chạy NetBIOS với UTM.
- Non-detected IP: vì một vài lý do đặc biệt, hệ thống mạng biết chắc chắn vài IP nguồn là tin cậy nhưng thường tạo nhiều session vượt quá ngưỡng của Anomaly Flow IP. Chỉ định các IP không bị scan.
- Interface: chọn interface kết nối tới IP đó
- IP/Netmask address: chỉ định IP hay range IP.
Bước 5: Apply IDP cho server farm.
Bước 5.1: Định nghĩa object cho các server trong vùng server farm
Bước 5.2: Tạo policy gắn IDP kiểm tra các traffic từ bên ngoài vào server farm.
Policy > WAN To DMZ:
- Source Address: Outside_Any tấc cả traffic từ WAN vào UTM.
- Destination Address: Server_Farm: tên object đã tao bước trên
- Chọn apply chức năng IDP cho policy này
Bước 6: Kiểm log
- IDP > IDP Reports > Log: Nếu UTM phát hiện dấu hiệu của tấn công, UTM sẽ tạo log cho cảnh báo và nhà quản trị dễ dành theo dõi tấn công.
- Anomaly Flow IP > Virus-infected IP: ghi nhận log cho chức năng Anomaly Flow IP nguyên nhân do virus hay tấn công.
Như vậy sau khi cấu hình xong, hệ thống mạng của doanh nghiệp hoàn toàn được bảo vệ trước các cuộc tấn công từ bên ngoài và ngăn ngừa các cuộc tấn công mới nhờ cơ chế tự động cập nhật các dấu hiệu tấn công. Đảm bảo “cách ly” các máy tính nhiễm virus hay các máy tính tạo ra các vụ tấn công làm chậm hệ thống mạng. Ghi nhận log, cảnh báo tới nhà quản trị kịp thời có những biện pháp xử lý thích hợp.