Latest posts for the topic "Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu"

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

nucteiv — GMT

Chào các bác, Như ta đã biết, việc chống các hành vi trái phép gây thất thoát thông tin tư phía người nội bộ (trong doanh nghiệp) còn phức tạp và vất vả hơn nhiều so với các yếu tố tác nhân là kẻ xấu bên ngoài. Vậy em lập cái topic này để chúng ta cùng thảo luận tham khảo các ý kiến về giải pháp triệt để hạn chế được các nguy cơ đó. Em có case như sau: - Hệ thống mạng của doanh nghiệp tồn tại 2 dạng: 1 khu vực có máy tính truy cập được mạng Internet, 1 khu vực làm việc chí có các máy tính truy cập được mạng nội bộ. - Các giải pháp kỹ thuật đã áp dụng trong cả 2 hệ thống: Em xin phép mô tả theo các lớp của OSI + Lớp vật lý (Lớp 1): kiểm soát ra vào giữa 2 khu vực nói trên bằng hệ thống vân tay hoặc thẻ từ, đảm bảo chỉ có những người có thẩm quyền được phép mới vào được 2 vùng này. + Lớp Netwok Access (lớp 2): Triển khai lọc địa chỉ MAC theo từng máy tính, cấu hình port security tương ứng trên switch chỉ cho phép địa chỉ MAC cố định cụ thể được đi qua port để ra khỏi subnet của mình. Triển khai thêm giải pháp xác thực 802.1x để xác thực người dùng khi muốn truy cập mạng. + Lớp Network (Lớp 3): Triển khai các ACL trên hệ thống SwitchCore hoặc Router định tuyến giữa các VLAN. + Lớp Appliation (Lớp 7): Triển khai quản lý tập trung theo hệ thống Domain Controller và các chính sách theo Policy cấm quyền Admin để hạn chế người dùng cài đặt các phần mềm và thực hiện các hành vi trái phép vượt quyền Triển khai hệ thống kiểm soát chống thất thoát dữ liệu Data Lost Prevention để kiểm soát dữ liệu vào ra trên hệ thống email, copy ra thiết bị lưu trữ ngoài... Kiểm soát truy cập Web theo Proxy xác thực NTLM với account của Domain Vấn đề đặt ra: Một người dùng A là nhân viên trong nội bộ có ý đồ xấu muốn gửi dữ liệu ra ngoài, a ta lén lún mang được 1 máy tính nhỏ vào trong (máy này tất nhiên a ta có toàn quyền admin vì máy cá nhân, hoặc dùng windows hoặc dùng open soure) và thực hiện các việc sau: - Tiến hành đổi địa chỉ MAC (fake MAC) theo một máy nội bộ (một máy bất kỳ đang được vào mạng nội bộ) để truy cập mạng nội bộ. - Tiến hành xác thực 802.1x với account truy cập của mình (vì hiển nhiên a ta có account đúng thẩm quyền của mình để xác thực) - Truy cập vào các máy chủ chứa tài liệu và copy dữ liệu vào đây. => Lúc này tồn tại 2 nguy cơ: 1) Copy được dữ liệu vào máy cá nhân và tìm cách mang máy đó về, còn dữ liệu mang ra ngoài làm gì thì ....có anh ta mới biết :p 2) Tìm cách cho máy laptop cá nhân đó truy cập được mạng Internet và đẩy dữ liệu đó ra store host nào đó. - Truy cập vào vùng máy tính có mạng Internet - Đổi MAC cho laptop cá nhân theo máy bất kỳ để bypasss được bước lọc MAC - Xác thực 802.1x - Đặt proxy và truy cập vào website store host nào đó để upload dữ liệu lên. Ở đây vấn đề là bài toán có cách nào kiểm soát truy cập mạng đối với laptop bất hợp pháp này? Mời các bác cùng thảo luận :D

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

StarGhost — GMT

Không tồn tại giải pháp triệt để và thực tế khi chống lại insider attacks. Việc tốt nhất mà một hệ thống bảo mật bằng máy tính có thể làm là thiết lập access control policy. Một khi policy cho phép truy cập dữ liệu (dù là dưới dạng nào), thì khả năng rò rỉ luôn tồn tại. Trong trường hợp này, người ta cần một loạt các phương pháp cản trở thất thoát như: - trusted computing, - kiểm tra an ninh (thiết bị, thân nhiệt, nhịp tim, v.v...) lúc ra vào trụ sở và giữa các khu vực có cấp độ an ninh khác nhau, - camera giám sát hoạt động, - chặn sóng điện thoại. Tất cả các phương pháp này cần được thiết lập đồng thời và hợp lý. Riêng về việc hạn chế truy cập Internet, nếu attacker thuộc loại chuyên nghiệp, thì hầu như rất khó để có thể ngăn cản việc truyền dữ liệu ra ngoài qua Internet, vì attacker có thể sử dụng covert channel hoặc steganography. Các phương thức kiểm soát truy cập mạng (Wired, wireless) kể trên của bạn mặc dù quan trọng, nhưng chỉ nên coi là lớp phòng thủ cuối cùng và thứ yếu, vì chúng ít hiệu quả và attacker cũng không nhất thiết phải sử dụng Internet để truyền dữ liệu ra ngoài.

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

nucteiv — GMT

Đúng là muốn cấm và ngăn chặn inside attaker nhiều vấn đề nan giải thật. Còn các bác khác có ai có ý kiến gì về việc này không ạ? Thêm nữa có bác nào biết chia sẻ thêm cho anh em giải pháp kiểm soát truy cậm mạng trái phép hay bảo vệ chống rò rỉ dữ liệu mà các Tạp đoàn, công ty mạnh về công nghệ như Apple, Google, Microsoft, Facebook hay các hãng lớn như Samsung hay áp dụng không?

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

bino1810 — GMT

Hi anh @nucteiv. Em nghĩ mấu chốt vấn đề nằm ở cái "laptop" lạ kia. Cần đảm bảo chắc chắn không ai có thể mang laptop lạ vào chỗ làm việc ( Em nghĩ cái này có thể làm được, bằng nhiêu cách như kiểm tra bằng tay, thiết bị dò tìm,...). Còn khi họ đã mang vào được thì game over. Em thấy chính sách của anh còn thiếu việc cấm sử dụng usb. Nếu người dùng có thẻ cắm usb vào các máy local thì rất nguy hiểm. Khi đó việc nâng cấp quyền, cài đặt phần mềm lạ phục vụ mục đích xấu càng dễ dàng.

Kiểm soát truy cập Web theo Proxy xác thực NTLM với account của Domain

Phải chăng anh dùng ISA ạ?

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

myquartz — GMT

Phương pháp bảo mật chống người nội bộ bằng cách chỉ mỗi kiểm soát truy cập mạng và kiểm soát vật lý thôi không thể đủ. Vì có nhiều thứ khác. Cái mà bạn quan tâm, nó có 1 cái tên là Data Loss Prevention (DLP). Ngay cả có DLP thì nó cũng chỉ kiểm soát được đến 90% nguy cơ mà thôi, 10% còn lại phải là phương pháp bổ sung và lại là 10% cực kỳ quan trọng để bảo vệ thông tin mật. Muốn bảo mật thông tin nội bộ trong doanh nghiệp (nói đúng hơn là làm chậm quá trình rò rỉ ra ngoài, thường doanh nghiệp họ chỉ cần chậm đi vài tháng là ok), người ta thường tiến hành đồng bộ nhiều biện pháp, đơn cử: 1. Kiểm soát đối tượng và phạm vi truy cập/tiếp cận tới thông tin: kiểm soát tiếp xúc vật lý (ví dụ phòng có thể đọc thông tin mật khác với phòng có thể đọc thông tin công cộng), xác thực và kiểm soát truy cập mạng nội bộ (bạn đã làm, đây là phần coi là dễ), xác thực ứng dụng đọc/xử lý thông tin (tuỳ thuộc ứng dụng, ví dụ nếu laptop của công ty thì mở được trang web nội bộ, laptop không đúng thì không mở được dù có vào được mạng)... Tóm lại cái này chủ yếu là xác thực + ghi vết lại ai đọc gì, xem gì, làm gì... sau mà quy trách nhiệm. 2. Kiểm soát truyền tải thông tin: ngăn truy cập mạng Internet từ nội bộ hoặc mọi truy cập ra/vào đều được lọc nội dung/chặn nội dung/ghi vết (DLP chủ yếu là cái này), ngăn việc gửi thông tin ra ngoài, ngăn việc mang máy tính/thiết bị bên ngoài vào (tuỳ mức độ nhưng đơn giản nhất là dùng chính sách + kiểm tra bằng bảo vệ + nhân viên giám sát lẫn nhau). Thông tin có thể truyền tải qua mạng hoặc truyền đi bộ (người mang theo thiết bị lưu trữ). Mạng thì ok firewall nọ kia, nhưng đi bộ thì đơn giản là không thể gắn thiết bị lưu trữ khác ngoài những cái đã được xác định là xong. 3. Kiểm soát việc sao chép: kiểm soát việc in ấn/photocopy (không trang bị máy in hoặc để máy in ở 1 phòng có khoá), giữ điện thoại di động ở tiếp tân hoặc không cho phép thiết bị có camera (điện thoại/laptop không có camera - ở một số nơi có chính sách này đấy), không cho nhân viên chỗ ngồi quá riêng tư kín đáo (để mọi người giám sát lẫn nhau hoặc camera giám sát được), PC client không cho cắm thiết bị lưu trữ ngoài như USB để copy được. Cách hiện đại nhất hiện nay sử dụng ứng dụng hoặc công nghệ không cho tất cả data tải/lưu về client, mà chỉ xem/view/xử lý online (lưu server) tại chỗ làm việc (cho tài liệu lên cloud chẳng hạn. xem online trang nào tải trang đó => sẽ rất khó copy hàng ngàn trang tài liệu). 4. Nếu thông tin mật thì ngoài nguyên tắc lưu hành phạm vi hạn chế (đưa cho ai đọc trên giấy trước mặt rồi thu lại ngay). Hay làm như bên công an ấy, chỉ cho người đi tay không vào 1 phòng đã có sẵn máy tính truy cập nội bộ (không có máy in, máy tính chỉ là 1 cái hộp có khoá, chỉ thò mỗi màn hình + bàn phím + chuột ra), khi vào làm thì dùng máy tính trong phòng luôn, làm xong khi ra vào có người xét xem có mang gì ra vào (nếu to thì lộ, bé quá như máy chụp hình gián điệp thì chịu), và giám sát camera quá trình làm việc (bị camera giám sát thì rất khó để chụp ảnh lén). -------------------------------------------------------------------------- Trên là áp dụng với doanh nghiệp. Tớ còn có biết là có nhưng nơi cơ chế bảo mật họ còn kinh khủng hơn. Khi đến làm việc mọi người đều qua 1 phòng thay đồ, cởi bỏ hết ra (kể cả quần áo đang mặc của mình, trang sức, đồng hồ, điện thoại, tư trang, ... gửi lại ở hộc khoá cá nhân), rồi có người kiểm soát thân thể "trần truồng đó" xem có mang gì không, sau đó được phát quần áo đồng phục mới => rồi mới đi vào khu vực được cách li, trong đó có đủ mọi thứ để sống, làm việc: điện thoại cố định, máy tính, ăn uống, cafe... tóm lại là chả có gì thiếu nhưng mọi thứ sử dụng đều bị xem xét giám sát, ghi âm lưu vết hoặc ngăn chặn hết cả, thậm chí gọi điện về cho gia đình còn phải xin phép. Khi hết làm việc qua ra trả lại đồng phục, ra phòng thay đồ của mình rồi về... Làm sao để lấy thông tin ra? Chỉ còn cách ... học thuộc lòng! Cách bảo mật như hãng Apple, trên mạng có đầy, cũng cực đoan gần như thế đây :-D. Phải xác định, là khi làm việc đụng tới thông tin mật là không còn sự riêng tư của cá nhân nữa. Thiết kế việc bảo mật như thế là rất là đụng chạm.

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

nucteiv — GMT

bino1810 wrote:

Hi anh @nucteiv. Em nghĩ mấu chốt vấn đề nằm ở cái "laptop" lạ kia. Cần đảm bảo chắc chắn không ai có thể mang laptop lạ vào chỗ làm việc ( Em nghĩ cái này có thể làm được, bằng nhiêu cách như kiểm tra bằng tay, thiết bị dò tìm,...). Còn khi họ đã mang vào được thì game over. Em thấy chính sách của anh còn thiếu việc cấm sử dụng usb. Nếu người dùng có thẻ cắm usb vào các máy local thì rất nguy hiểm. Khi đó việc nâng cấp quyền, cài đặt phần mềm lạ phục vụ mục đích xấu càng dễ dàng.
Kiểm soát truy cập Web theo Proxy xác thực NTLM với account của Domain
Phải chăng anh dùng ISA ạ?

Hi, vụ cái "laptop" lạ kia đúng là 1 phần mấu chốt nhưng không phải tất cả vì theo case mình đưa ra, nhân viên có 2 máy để làm việc, 1 máy ở khu vực chỉ có mạng nội bộ, 1 máy ở khu vực có mang Internet => anh ta hoàn toàn có thể lấy máy thuộc mạng nội bộ và vác sang vùng có mạng Internet để "thi hành án" :p Về chính sách cấm usb thì ở trên mình có đề cập tới rồi đó: Triển khai hệ thống kiểm soát chống thất thoát dữ liệu Data Lost Prevent để kiểm soát dữ liệu vào ra trên hệ thống email, copy ra thiết bị lưu trữ ngoài... Đúng là trong case này mình đang nói tới kiểm soát proxy theo xác thực NTLM là với thằng ISA hoặc TMG

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

nucteiv — GMT

Muốn bảo mật thông tin nội bộ trong doanh nghiệp (nói đúng hơn là làm chậm quá trình rò rỉ ra ngoài, thường doanh nghiệp họ chỉ cần chậm đi vài tháng là ok), người ta thường tiến hành đồng bộ nhiều biện pháp, đơn cử: 1. Kiểm soát đối tượng và phạm vi truy cập/tiếp cận tới thông tin: ... xác thực ứng dụng đọc/xử lý thông tin (tuỳ thuộc ứng dụng, ví dụ nếu laptop của công ty thì mở được trang web nội bộ, laptop không đúng thì không mở được dù có vào được mạng)... Các giải pháp của bạn đưa ra khá tổng quát và đầy đủ, trong kế hoạch đề xuất mình cũng nghĩ tới hầu hêt các tình huống như vậy và từng đưa cả giải pháp cực đoan như bạn chia sẻ phía cuối bài là: cấm mang thiết bị cá nhân vào, qua kiểm soát bảo vệ + quẹt tia tìm thiết bị lạ thì vào làm việc và được sử dụng các thiết bị có sẵn bên trong. Nhưng có cái đoạn bôi đỏ phía trên mình chưa rõ lắm, bạn chia sẻ cụ thể hơn chút được không, ý tưởng là bạn dùng giải pháp gì và ứng dụng ra sao để xác định đâu là Laptop của Công ty, đâu là laptop ngoài. Phải chăng là xác định theo device code?

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

myquartz — GMT

nucteiv wrote:

Muốn bảo mật thông tin nội bộ trong doanh nghiệp (nói đúng hơn là làm chậm quá trình rò rỉ ra ngoài, thường doanh nghiệp họ chỉ cần chậm đi vài tháng là ok), người ta thường tiến hành đồng bộ nhiều biện pháp, đơn cử: 1. Kiểm soát đối tượng và phạm vi truy cập/tiếp cận tới thông tin: ... xác thực ứng dụng đọc/xử lý thông tin (tuỳ thuộc ứng dụng, ví dụ nếu laptop của công ty thì mở được trang web nội bộ, laptop không đúng thì không mở được dù có vào được mạng)... Các giải pháp của bạn đưa ra khá tổng quát và đầy đủ, trong kế hoạch đề xuất mình cũng nghĩ tới hầu hêt các tình huống như vậy và từng đưa cả giải pháp cực đoan như bạn chia sẻ phía cuối bài là: cấm mang thiết bị cá nhân vào, qua kiểm soát bảo vệ + quẹt tia tìm thiết bị lạ thì vào làm việc và được sử dụng các thiết bị có sẵn bên trong. Nhưng có cái đoạn bôi đỏ phía trên mình chưa rõ lắm, bạn chia sẻ cụ thể hơn chút được không, ý tưởng là bạn dùng giải pháp gì và ứng dụng ra sao để xác định đâu là Laptop của Công ty, đâu là laptop ngoài. Phải chăng là xác định theo device code?

Đó là Trusted Computing đấy. Mỗi máy tính mua có gắn sẵn một con chip có tên là Trusted Computing Module (TPM), con chip này chứa private key xác thực mỗi khi bạn sử dụng cái gì cần đến nó (ví dụ trình duyệt web vào một website xác thực bằng client-certificate, mà cái cert đó do private key trong TPM sinh ra và đã được khai báo với máy chủ trước đó rồi). Cái key này không thể lấy ra khỏi chip TPM được, chip TPM thì hàn luôn trên mailboard không tháo ra được, cố tình tháo ra sẽ mất thông tin trong TPM. Dùng TPM thì phải có mật khẩu logon nữa. Và một điểm nữa, nếu hệ điều hành khởi động máy đó không được "chứng thực" thì cũng không dùng được TPM. Do đó đúng cái laptop đó mới có thể vào được. Dĩ nhiên, máy có TPM đắt hơn khá nhiều, và giải pháp đi kèm nó cũng tốn $$$.

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

vd_ — GMT

một khía cạnh khác là cty phải làm cho anh A và mọi người biết anh ta sẽ bị trừng phạt thế nào khi lộ ( Snowden :) ). Toàn bộ quá trình của anh A lấy tài liệu như bạn mô tả đều lưu vết lại. Mọi giải pháp kỹ thuật chỉ có tác dụng tương đối .

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

Ikut3 — GMT

Nhưng có cái đoạn bôi đỏ phía trên mình chưa rõ lắm, bạn chia sẻ cụ thể hơn chút được không, ý tưởng là bạn dùng giải pháp gì và ứng dụng ra sao để xác định đâu là Laptop của Công ty, đâu là laptop ngoài. Phải chăng là xác định theo device code?

Đơn giản là ở đây khía cạnh kỹ thuật chỉ chiếm 70%. Còn Pháp luật sẽ làm nốt 30% còn lại. Ngoài những biện pháp như chip TPM, block theo MAC address, port security Switch v.v... thì chuyện áp dụng quy chế cty ở đây rất cần thiết (pháp luật) Mình thấy ở 1 số cty, việc nhân viên được phát máy tính cá nhân sử dụng được thông qua rất kỹ càng. Bình thường ngoài Desktop ra chỉ có những cấp độ chuyên biệt như Senior - Manager trở lên mới có laptop để sử dụng. => Việc thu hẹp phạm vi người sử dụng cũng là 1 cách. Tuy nhiên nếu người sử dụng (Senior - Manager) ở đây chính là người có dã tâm xấu thì sẽ giải quyết thế nào ? Cái này đã thoát ra hẳn vấn đề về kỹ thuật, những tài liệu công việc của người quản lí cũng sẽ có bản cứng và mềm. Đối với các bản mềm chuyện lưu trữ trong máy dù có bảo vệ cỡ nào thì việc thất thoát là điều không tránh khỏi. Vậy nên sẽ rất khó để nói chuyện nếu như người làm quản lí có dã tâm xấu . :-D Mình nghĩ vậy, còn chuyện xử trí thế nào với người có dã tâm xấu thì chắc là không nên bàn.

Kiểm soát truy cập mạng trái phép với người dùng nội bộ có ý đồ xấu

nucteiv — GMT

Cảm ơn các bác đã đóng góp ý kiến thảo luận. Em đang tính thêm 1 phương án nữa nhưng liên quan tới $$$ nhiều là triển khai VDI. Cụ thể: Triển khai giải pháp ảo hóa VDI, mỗi người dùng có 2 Node mạng (1 node thuộc mạng nội bộ + 1 node thuộc mạng Public có Internet) + 1 (hoặc 2 Thin Client tuỳ khả năng kinh phí) - Thin Client chỉ là thiết bị để Console, không có khả năng lưu trữ. - Khi người dùng cắm Thin Client vào node mạng nội bộ thì sẽ kết nối được máy tính thuộc mạng nội bộ để làm việc, hệ thống lưu trữ và các chương trình phục vụ công việc được chạy tại phía máy chủ ảo hóa. Thin Client chỉ đóng vai trò thiết bị giao diện cho phép người dùng console vào máy ở VDI. - Khi người dùng căm Thin Client vào Node mạng Public thì sẽ truy cập được tới máy chủ ảo hóa có ra Internet. - 2 Hệ thống máy chủ phục vụ nội bộ và phục vụ cho ra Internet là tách biệt nhau về vật lý. => Ưu điểm: Giải pháp này đáp ứng giải quyết triệt để vấn đề cắm máy tính mạng trong thông ra mạng ngoài. Đồng thời có thể triển khai các giải pháp, policy security khác một cách linh hoạt, mềm dẻo, và vẫn đáp ứng tốt nhu cầu làm việc nội bộ và tìm kiếm nghiên cứu của người dùng. Tất nhiên triển khai cái này thì sẽ có 1 số trường hợp làm việc khó khăn vì cần tương tác trực tiếp với thiết bị ngoại vi (đặc biệt là các bộ phận làm nghiên cứu, chế thử), trường hợp đó thì phải bố trí máy riêng để làm thôi :p