Giới thiệu về mạng tin cậy (1)


Đây là bài đầu tiên mà tôi viết nằm trong loạt bài có nội dung được xây dựng theo khóa học SCNA Enterprise Security Solutions. Theo dự tính thì mục lục của loạt bài sẽ như sau:

1- GIỚI THIỆU VỀ MẠNG TIN CẬY

2- HOẠCH ĐỊNH TRIỂN KHAI MỘT MẠNG TIN CẬY

3- MẠNG TIN CẬY TRÊN NỀN TẢNG MICROSOFT WINDOWS

4- TRIỂN KHAI CA TRÊN NỀN TẢNG LINUX

5- QUẢN LÝ CÁC CHỨNG THƯ SỐ

6- XÂY DỰNG MẠNG TIN CẬY

Sự cần thiết của mạng tin cậy

Nhiều năm trước đây và cả bây giờ, vẫn còn nhiều người có khái niệm chưa đầy đủ và chuẩn xác về an toàn mạng. Họ cho là chỉ cần mua về một sản phẩn tường lửa (firewall) nào đó, thay đổi một vài cấu hình cho nó và coi như mạng của họ đã trở nên an toàn. Nếu tổ chức của họ quan tâm nhiều hơn đến bảo mật mạng, một hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) cùng với hệ thống diệt virus sẽ được triển khai thêm.

Firewall sẽ làm việc để giữ ngăn chặn những kết nối, gói tin trái phép đi vào mạng hoặc không cho người dùng nội bộ truy cập tới các tài nguyên bị cấm. Còn IDS/IPS sẽ phát hiện các dấu hiệu, nhận dạng của kiểu tấn công mà nó đã biết để từ đó đưa ra những cảnh báo và ngăn chặn kịp thời. Hệ thống diệt virus sẽ rà quét email (và dữ liệu của các chương trình khác) để đảm bảo các loại mã độc hại (như virus, trojan, worm, spyware…) bị tiêu diệt hoặc vô hiệu hóa.

Các thành phần đó (IDS/IPS, firewall, antivirus) cùng nhau tạo nên một hệ thống bảo vệ ngoại vi (của mạng) hướng phòng thủ (defensive-oriented) vững chắc. Mặc dù vậy chúng vẫn là chưa đủ để đáp ứng các yêu cầu kết nối an toàn cho một thế giới mạng phức tạp như ngày nay.

 

Hình 1 – Các lớp phòng thủ để bảo vệ ngoại vi của mạng

An toàn mạng ngày nay có thể được định nghĩa như là việc đảm bảo an toàn (bao gồm sự bí mật, tính toàn vẹn và độ sẵn sàng) cho các phiên truyền thông trên mạng và bảo vệ ngoại vi của mạng. Khi mà các mạng bên ngoài thường không đáng tin cậy thì các công cụ và kỹ thuật trên vẫn rất quan trọng nhưng chúng chỉ có thể giúp kiểm soát, sàng lọc các lưu lượng mạng khi xảy ra truyền thông giữa mạng nội bộ của tổ chức và thế giới bên ngoài. Dưới đây, chúng ta sẽ xem xét những thách thức và mục tiêu mà thực tế một doanh nghiệp ngày nay thường gặp phải để từ đó thấy được việc phòng thủ ngoại vi cho mạng thôi là chưa đủ.

Doanh nghiệp có nhiều khách hàng ở các châu lục, đất nước, vùng miền khác nhau. Mỗi khách hàng cần có khả năng trao đổi thông tin với doanh nghiệp một cách nhanh nhất có thể. Một cách để đạt được điều này là cung cấp cho họ một kết nối trực tiếp vào mạng doanh nghiệp. Điều này có nghĩa rằng các khách hàng cũng như các nhà cung cấp, đối tác cần truy cập tới các thông tin không chỉ ở dạng công khai, như website, mà còn là các thông tin ở dạng bí mật của doanh nghiệp. Những thông tin bí mật này được lưu trữ bên trong hệ thống mạng của doanh nghiệp thay vì nằm trên các máy chủ công cộng như webserver.

 Hình 2 – Vị trí của các khách hàng và đối tác trong cấu trúc mạng của doanh nghiệp

Đến đây ta cần đặt ra các câu hỏi: những người dùng bên ngoài tổ chức đó cụ thể là những ai và làm sao để tin cậy được các kênh truyền thông của họ? Các kênh truyền thông tin cậy, an toàn luôn là một yêu cầu cần thiết. Vì vậy mà cần có cơ chế để đảm bảo không ai có thể đọc trộm được những thông tin bí mật trên kênh truyền. Và cũng cần có biện pháp để chắc rằng không ai có thể giả dạng là một người dùng có quyền truy cập hợp pháp vào mạng của tổ chức. Giải quyết được các câu hỏi trên chính là ta đã hình thành được cái gọi là mạng tin cậy rồi.

Nhìn chung, mạng tin cậy cần đạt được các mục tiêu sau:

  • Có khả năng thiết lập được các kênh truyền thông an toàn giữa 2 điểm đầu cuối bất kỳ, như giữa các nhân viên, khách hàng và đối tác.
  • Có khả năng nhận dạng được bất kỳ yêu cầu kết nối, truy cập nào là hợp lệ hay không hợp lệ.
  • Có khả năng xác thực người dùng, thiết bị.

Trong phần 2 của bài 1 này sẽ nói về yêu cầu và các thành phần cần có để tạo nên mạng tin cậy.

-manthang

One comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s