Professional Documents
Culture Documents
E50 E7 D 01
E50 E7 D 01
Asianux Vietnam
Head office: 8 Floor, 51 Le Dai Hanh Street, Hanoi, Vietnam
P.O. BOX 426 BOHO, HANOI 10000 VIETNAM
Phone: (84-4) 3974 5699; Fax: (84-4) 3974 5700
E-mail: contact@asianux.org.vn;
Website: www.asianuxvietnam.vn
MỤC LỤC
I. Giới thiệu chung................................................................................................................................3
I.1 Tổng quan giải pháp...................................................................................................................3
I.2 Những khó khăn mà hệ thống hiện thời gặp phải.......................................................................3
I.3 Sự cần thiết của giải pháp...........................................................................................................4
II. Giới thiệu giải pháp.........................................................................................................................5
II.1 Cấu trúc chung hệ thống...........................................................................................................5
II.2 Giới thiệu các thành phần..........................................................................................................5
II.2.1 Quản trị người dùng với OpenLDAP ...............................................................................5
II.2.2 Dịch vụ quản trị tên miền DNS (Bind)..............................................................................6
II.2.3 Web Server(Apache)..........................................................................................................6
II.2.4 Gửi nhận thư với PostFix (SMTP)....................................................................................7
II.2.5 Mailing list với Mailman...................................................................................................8
II.2.6 Thẩm định thư phòng chống giả mạo với SASL...............................................................8
II.2.7 Quản trị hộp thư với Dovecot (POP3/IMAP)....................................................................9
II.2.8 Ngăn chặn thư rác với SpamAssassin...............................................................................9
II.2.9 Giao diện Webmail với SquirrelMail..............................................................................10
II.2.10 Phát hiện và phòng chống xâm nhập với NDIS............................................................10
II.2.11 Phòng chống Virus với MailScanner.............................................................................10
II.2.12 NIDS - Network Instrusion Detection System là gì ?...................................................11
II.2.13 Sao lưu và phục hồi dữ liệu với Rsync..........................................................................12
II.2.14 Quản trị an ninh tập trung với RedCastle Secured OS..................................................12
III. Các mô hình triển khai.................................................................................................................13
III.1 Đối với tổ chức nhỏ dưới 100 người dùng.............................................................................13
III.1.1 Hệ thống thư hoạt động nội bộ (không kết nối bên ngoài):...........................................13
III.1.2 Hệ thống thư kết nối với ngoài mạng thông qua một dịch vụ Relay:............................13
III.1.3 Hệ thống kết nối trực tiếp với mạng Internet:................................................................14
III.2 Đối với tổ chức có từ 101 đến 1.000 người dùng..................................................................14
III.3 Đối với tổ chức có từ 1001 đến 5.000 người dùng................................................................15
IV. Hiệu quả triển khai hệ thống.........................................................................................................16
V. Dịch vụ triển khai của asianux vietnam.........................................................................................16
VI. Các đối tác triển khai....................................................................................................................17
Đối với các tổ chức, doanh nghiệp ngày nay, các hoạt động quản lý điều hành trên nền tảng
công nghệ thông tin không chỉ là một yêu cầu tối thiểu nhằm nâng cao năng suất, giảm thiểu phụ
thuộc giấy tờ mà còn là một công cụ liên lạc, điều hành không thể thiếu khi mở rộng hoạt động.
Asianux Server 3 là một hệ điều hành Linux được phát triển dưới sự hợp tác của bốn nước
thành viên bao gồm Trung Quốc, Nhật Bản, Hàn Quốc và Việt Nam ra đời từ năm 2003 đến nay đã
trở thành một nền tảng tiêu chuẩn dành cho máy chủ tại khu vực Châu Á. Asianux Server 3 bao
gồm đầy đủ các ứng dụng thành phần giúp các tổ chức, doanh nghiệp có thể nhanh chóng triển khai
một hệ thống thư điện tử an toàn, ổn định mà không cần phải bổ sung thêm bất cứ thành phần thứ
ba nào từ bên ngoài.
Asianux Server 3 được tối ưu hoá cho các ứng dụng truyền thông và giúp người quản trị hệ
thống có thể khoanh vùng quản lý chi tiết tới từng thành phần một cách riêng biệt nhằm đảm bảo
hiệu suất sử dụng hệ thống, đảm bảo mức độ an ninh, an toàn và bảo mật tối đa.
Giải pháp chúng tôi giới thiệu ở tài liệu này cùng với hệ điều hành Asianux có thể đảm bảo
đáp ứng một hệ thống thư điện tử đa dạng từ mức độ các nhóm nhỏ đến các hệ thống với mức độ
đáp ứng khoảng 50.000 người dùng. Các hệ thống có mức độ trên 50.000 người dùng đến mức độ
hàng triệu người sử dụng sẽ căn cứ trên cơ sở ráp nối các cụm giải pháp này với nhau thành một
mạng thư điện tử cỡ lớn.
Hiện nay, việc ứng dụng các giải pháp thư điện tử đã được nhiều tổ chức, doanh nghiệp triển
khai sử dụng dưới nhiều hình thức khác nhau tuy nhiên việc quản lý vận hành, các mức độ hoạt
động, tính ổn định, an toàn và quản lý rủi ro đang là một vấn đề lớn cần phải giải quyết khi mà mức
độ tăng trưởng người dùng ngày càng gia tăng cùng với các vấn đề thư rác, virus máy tính, tấn công
xâm nhập, giả mạo thư điều hành ... luôn luôn xẩy ra.
Các giải pháp hiện nay như Exchange Server, Mdeamon, LotusNote ... thường đưa ra cho
người quản trị một gói phần mềm với các thuộc tính đóng kín nhằm tăng khả năng dễ sử dụng của
bộ phần mềm tuy nhiên vô hình chung làm mất đi khả năng can thiệp cũng như làm chủ kết cấu của
một hệ thống thư điện tử điển hình. Những giải pháp này đối với những tổ chức cỡ nhỏ, không có
cán bộ công nghệ thông tin chuyên trách và có mức độ bảo mật, an toàn và tính ổn định thấp thì còn
có thể ứng dụng được. Tuy nhiên với những tổ chức mà email là công cụ chính trong hoạt động sản
xuất, kinh doanh thì những trục trặc xẩy ra là không thể chấp nhận được.
Đối với các giải pháp hiện thời, khi xẩy ra bất cứ điều gì trong hệ thống thì gần như người
quản trị không thể can thiệp cũng như phân tích, đánh giá và khôi phục hoặc triển khai một đợt
phòng vệ, khoanh vùng phát hiện xâm nhập ngoài việc duy nhất là tiếp tục nâng cấp phần mềm
hoặc tiến hành cài lại hệ thống.
Trong thực tế, cùng sử dụng một chung một giao thức IMAP, tuy nhiên đối với một hệ thống
thư điện tử sử dụng nền tảng MS-Exchange sẽ luôn gặp trục trặc khi số lượng các hòm thư lên đến
trên 1.000 hộp đồng thời cách quản lý sẽ trở nên rất khó khăn, hệ thống chạy chậm. Như ta biết
rằng, IMAP với một cấu hình chuẩn khoải đầu có thể cho phép con số tối thiểu từ 50.000 hộp thư
trở lên.
Trong trường hợp một mạng máy tính lớn, có yêu cầu sử dụng đa hệ điều hành thì việc quản
lý người dùng theo một đặc tả nhất định nhất định cũng như có thể kiểm soát xuyên suốt thông qua
các máy chủ khác nhau là một điều khó khăn, ảnh hướng lớn đến vấn đề bảo mật. Đây cũng là một
lỗ hổng cơ bản để kẻ xấu lợi dụng giả mạo thư từ điều hành trong hệ thống gây ra những tổn thất
khôn lường.
Việc kiểm soát/ngăn chặn virus, trojans và các loại scripts mang tính phá hoại trên một Mail
Gateway trước khi thông điệp được chuyển vào một Mail Server bên trong là rất quan trọng. Các
ứng dụng cho POP3 hoặc IMAP được thiết lập một cách độc lập trên internal mail servers và người
dùng có thể truy cập qua một cơ chế firewalling nào đó. Theo đánh giá của các chuyên gia về an
toàn thông tin, hiện nay đa số các tổ chức, doanh nghiệp đều chưa có ý thức và thói quen xem trọng
vấn đề an toàn thông tin. Chỉ khi nào xẩy ra sự cố thì mới bị đánh động và bắt đầu nhận thức được
tầm quan trọng của an toàn thông tin. Thông tin DN, đặc biệt là những thông tin quan trọng, nhạy
cảm là một phần trong sự sống còn của doanh nghiệp. Những năm vừa qua, nổi cộm lên vấn đề có
quá nhiều web site bị hacker tấn công, từ trang web của cá nhân, công ty đến các tổ chức đều không
tránh khỏi sự “hỏi thăm của hacker”. Về mặt pháp lý, những hacker phá hoại đó đã vi phạm pháp
luật. Tuy nhiên, nếu xét về góc độ kỹ thuật, an toàn thông tin thì các “chủ nhân” cần phải nhìn nhận
lại chính mình. Giá như đơn vị phỏng đoán được các vấn đề có thể xãy ra để xây dựng biện pháp
phòng thủ thì sẽ giảm được thiệt hại.
Các tổ chức, doanh nghiệp cần thiết nhìn nhận rõ vấn đề bảo mật, an toàn thông tin. Đại đa
số các doanh nghiệp đầu có sử dụng tường lửa, các giải pháp chống Spam, Dos, gateway antivirus
hoạt động không hiệu quả khi mà ý thức về an toàn thông tin người dùng còn nhiều hạn chế, các
chính sách về an toàn thông tin còn lỏng lẻo,… Trong khi đó trình độ của hacker ngày càng trở nên
chuyên nghiệp hơn, liều lĩnh hơn, đủ khả năng viết các chương trình tấn công mạng, website, mail
server trong vài giờ do thám.
Báo cáo của các diễn giả tại Hội thảo/Triển lãm Thế giới An ninh Bảo mật năm 2008 vừa
diễn ra tại Hà Nội đã mang đến bức tranh toàn cảnh an ninh mạng Việt Nam: Trong năm 2007, đã
có 342 website của Việt Nam bị hack bởi các hacker trong nước và nước ngoài, có những website
đã bị hack tới hai lần. Nhiều website của các cơ quan doanh nghiệp quan trọng tại Việt Nam cũng
tồn tại lỗ hổng nguy hiểm. Nghiêm trọng hơn, một số website tên miền .gov.vn đã bị hacker nước
ngoài kiểm soát và gắn mã độc phát tán virus. Vậy sử dụng các dịch vụ trên thế nào cho hiệu quả?
Đem lại khả năng làm chủ, điều khiển đến từng thành phần cấu thành trong hệ thống đó là
tiêu chí xuyên suốt mà chúng tôi mong muốn mang đến cho người dùng.
Qua đây, chúng tôi xin giới thiệu đến giải pháp MailServer an toàn và hiệu quả thông qua
các dịch vụ trên Hệ thống máy chủ Asianux Server 3 với các tính năng bảo mật nổi bật so với các hệ
điều hành cho máy chủ khác.
Mail Server: Là nhóm bao gồm các thành phần chịu trách nhiệm kiến tạo các dịch vụ cơ bản trên
máy chủ cùng các giao thức gửi nhận. Ở nhóm này cũng sẽ bao gồm các trình quản lý dữ liệu,
backup, và các bộ lọc phòng chống thư rác, virus ... Tuỳ thuộc vào độ lớn của hệ thống, nhóm này
có thể được quản lý bằng một hoặc nhiều máy chủ với cấu hình khác nhau.
Webmail: Là nhóm bao gồm các thành phần kiến tạo các dịch vụ cho phép người dùng giao tiếp
với hệ thống máy chủ thông qua các trang web.
Directory Server: Là nhóm quản lý người dùng tập trung đối với các hệ thống có lượng người
dùng lớn.
Các thành phần cấu thành giải pháp đều có sẵn trong hệ điều hành Asianux Server 3, vì vậy
tuỳ theo mục đích và chức năng được chỉ định trong phân nhóm, chúng ta chỉ cần kích hoạt cho nó
hoạt động mà không cần thiết phải cài đặt thêm bất cứ thành phần nào bên ngoài.
OpenLDAP hoạt động như một công cụ chính cho việc quản lý người dùng thống nhất và
xuyên suốt trong toàn bộ giải pháp bao gồm các thuộc tính như user id (uid), group id (gid), quyền
hạn sử dụng (level of access)...Trước đây NIS (Network Information Services) là một giải pháp
được nhiều người sử dụng NIS là một giao thức dựa trên RPC và tương tự như NFS. Tuy nhiên NIS
lại tỏ ra không thực sự ổn định và LDAP xuất hiện như một sự thay thế phù hợp. LDAP viết tắt
Lightweight Directory Access Protocol. Là giao thức tìm thông tin trên Server, nó là một giao thức
Client/Server dùng để truy cập dịch vụ thư mục, dựa trên dịch vụ thư mục X500. LDAP chạy trên
TCP/IP hoặc những dịch vụ hướng kết nối khác.
LDAP là một phương tiện chứa dữ liệu không phải là một công nghệ. Đúng ra, LDAP là một
protocol (Light Weight Access Protocol) nhưng có ứng dụng cho protocol nhằm mục đích lưu trữ
dữ liệu.
Các dịch vụ ứng dụng khả năng của LDAP rất rộng rãi nhất là trong khu vực xác thực người
dùng (authentication và authorisation). LDAP như một DNS có chứa thông tin.
Những điểm ở trên hình thành LDAP schema và có tiêu chuẩn thống nhất giữa các ứng dụng phát
triển LDAP. Đây là lý do LDAP được ưa chuộng cho công tác lưu trữ và tích hợp với các cơ phận
authentication / authorisation vì chúng có thể được dùng giữa các LDAP system miễn sao tuân thủ
đúng tiêu chuẩn chung.
DNS (Domain Name System) là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên
miền và các địa chỉ IP. DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này
trong một thể thống nhất. Trong phạm vi lớn hơn, các máy tính kết nối với internet sử dụng DNS để
tạo địa chỉ liên kết dạng URL (Universal Resource Locators). Dịch vụ cho phép người quản trị định
nghĩa các tên miền gắn với những IP cụ thể, đồng thời tại ra các bản ghi ngược trỏ các IP cụ thể trở
lại tên miền. Thay vì đăng nhập trang web bằng IP thì có thể đăng nhập bằng tên miền.
DNS có khả năng tra vấn các DNS server khác để có được một cái tên đã được phân giải.
DNS server của mỗi tên miền thường có hai việc khác biệt. Thứ nhất, chịu trách nhiệm phân giải
tên từ các máy bên trong miền về các địa chỉ Internet, cả bên trong lẫn bên ngoài miền nó quản lý.
Thứ hai, chúng trả lời các DNS server bên ngoài đang cố gắng phân giải những cái tên bên trong
miền nó quản lý. - DNS server có khả năng ghi nhớ lại những tên vừa phân giải. Để dùng cho
những yêu cầu phân giải lần sau. Số lượng những tên phân giải được lưu lại tùy thuộc vào quy mô
của từng DNS.
Khi phân giải tên miền, các địa chỉ thư điện tử sẽ trở nên dễ hiểu hơn dưới định dạng <tên
người dùng>@<tên miền>
Nằm trong khối giải pháp, Apache đảm nhận vai trò cung cấp giao tiếp http/https làm nền
tảng triển khai ứng dụng gửi nhận thư trên nền wweb.
World Wide Web (WWW) đã trở thành một dịch vụ thông tin hấp dẫn nhất trên các mạng
Internet/Intranet. Trong dịch vụ này, Web Server đóng vai trò phục vụ đối với các yêu cầu của người
sử dụng. Bản thân Web Server là một phần mềm. Khi làm việc, nó được nạp vào bộ nhớ và đợi các
yêu cầu (request) của các khách hàng (client). Khách hàng ở đây có thể là một người sử dụng dùng
trình duyệt Web (Web Browser) để gửi yêu cầu đến Web Server. Yêu cầu cũng có thể được gửi đến
từ một Web Server khác. Khi nhận được yêu cầu của khách hàng, Web Server phân tích và tìm kiếm
thông tin, tư liệu được yêu cầu để gửi cho khách hàng. Sự tương tác giữa cácWeb Server và
cácserver khác được thực hiện nhờ một chương trình đóng vai trò như một cổng. Do đó chương
trình này được gọi là một gateway. trong khi đó, Web Browser và Web Server giao tiếp với nhau
theo giao thức HTTP (Hyper Text Transfer Protocol). Tuy nhiên, chúng ta phải lưu ý rằng không
phải bất kỳ một nguồn thông tin nào cũng có thể tương hợp với Web Server, chẳng hạn như các loại
cơ sở dữ liệu khác nhau trên mạng. Bản thân cácWeb Server nguyên thủy không có khả năng truy
nhập các cơ sở dữ liệu. Muốn có điều đó, ta phải xây dựng các chương trình gateway cho phép nhận
yêu cầu từ Web Server và truy nhập được cơ sở dữ liệu để lấy thông tin theo yêu cầu người sử dụng.
Dữ liệu này sau đó được gửi về cho các Web Server dưới dạng tệp HTML. Tuy nhiên, phần lớn các
lỗ hổng kể trên được tạo ra do sơ xuất hoặc cấu hình sai của người quản trị. An toàn với Webserver
Apache - một trong những Webserver phổ biến nhất trên Internet, dịch vụ cho phép người quản trị
xây dựng một máy chủ Web cho phép tạo ra các VirtualHost.
Theo thống kê thực tế, 70% các cuộc tấn công xuất phát từ các máy tính trong mạng nội bộ,
30% số còn lại đến từ các máy mạng bên ngoài. Vì vậy, việc giới hạn được các máy tính trong mạng
'dòm ngó' những tài nguyên quan trọng và nhạy cảm trên máy chủ càng nhiều càng tốt. Một số
Module của Apache có khả năng xác định được địa chỉ IP của máy trạm có yêu cầu sử dụng dịch vụ
Web, dựa trên đó nó áp dụng các chính sách (policy) mà người quản trị đã khai báo để quyết định
máy tính có địa chỉ IP đó có được phép sử dụng dịch vụ hay không. Tính năng này đã được tích hợp
trong hệ thống máy chủ Asianux Server 3.
Postfix đóng vai trò như một bộ phần mềm đảm nhận việc giao nhận thư điện tử trong hệ
thống một cách độc lập, nó hoạt động độc lập mà không phụ thuộc vào trạng thái làm việc của các
thành phần khác trong hệ thống.
Trong giải pháp này các phần mềm thư điện tử như là Thunderbird, Evolution, OuLook,
OutLook Express hay sử dụng một hệ thống WebMail nào đó trên máy trạm sẽ thông qua một dịch
vụ giao nhận thư duy nhất để phân phối đến địa chỉ đích. Đây là một điểm mấu chốt rất quan trọng
đối với một hệ thống có độ xác thực cao nhằm chống lại việc giả mạo hoặc gửi thư nặc danh.
Dịch vụ Mailman cho phép duy trì các nhóm địa chỉ mà không cần thiết phải có một hộp thư
nhóm trên hệ thống. Mailman trao lại quyền riêng tư đến người sử dụng, đây là một điểm hoàn toàn
khác biệt so với những hệ thống dạng như Active Directory.
Với Mailman thì người sử dụng có quyền xin gia nhập một nhóm nào đó hoặc rời khỏi
nhóm đó mà không bị lệ thuộc vào các quyết định chủ quan của người quản trị hệ thống. Mỗi một
nhóm đều có nhóm trưởng, nhóm trưởng có quyền cho phép, gia hạn hoặc trục xuất các thành viên
nếu cần thiết.
Mailman sẽ tự động trợ giúp người sử dụng theo dõi các cuộc trao đổi hoặc lọc, ngăn chặn
những trao đổi không đáp ứng tiêu chí giữa người sử dụng. Người dùng có thể truy cập Mailman
thông qua giao diện web để thực hiện các tác vụ cho phép. Mailman hoạt động bổ sung cho Postfix
như một bộ chỉ dẫn trong việc phân phối thư đến từng người sử dụng trong hệ thống.
II.2.6 Thẩm định thư phòng chống giả mạo với SASL
Dùng LDAP xác thực một user đăng nhập vào một hệ thống qua chương trình thẩm tra,
chương trình thực hiện như sau đầu tiên chương trình thẩm tra tạo ra một đại diện để xác thực với
LDAP thông qua (1) sau đó so sánh mật khẩu của user A với thông tin chứa trong thư mục. Nếu so
sánh thành công thì user A đã xác thực thành công.
Thao tác bind là cách client xác thực với server, client đưa ra DN và uỷ nhiệm thư, server
kiểm tra DN và uỷ nhiệm thư nếu thành công thì client có quyền thực hiện các thao tác lên thư mục.
Có nhiều phương thức bind khác nhau, đơn giản là client đưa ra một DN và password các
thông tin này ở dạng hiểu được. Lúc này server chỉ cần tìm entry với tên DN và kiểm tra xem giá trị
thuộc tính userpassword có đúng với password truyền vào hay không. SASL bind đây là một nghi
thức độc lập với các mô hình xác thực, với SASL cho phép client chọn thao tác xác thực và nếu
thao tác này được server hổ trợ thì đây là thao tác dùng để xác thực client.
Khi kết thúc thẩm định, chỉ những thư xác thực mới được chuyển đến Postfix để phân phối
đến các hòm thư khác hoặc chuyển ra ngoài mạng.
Devecot đóng vai trò như một bộ lưu trữ và quản lý hộp thư một cách độc lập trên máy chủ.
Devecot chịu trách nhiệm giao tiếp với Postfix để nhận thư đồng thời cung cấp giao tiếp
POP3/IMAP cho phép các phần mềm máy trạm kết nối vào nhận thư.
Được nhận giải thưởng "Best Of Open Source Software" InfoWorld BOSSIE Award trong
phòng chống thư rác năm 2007, SpamAssassin, tương tự như Procmail được sử dụng để đánh dấu
spam mail cho Postfix server (postfix 2.x) bằng cách phân tích thông tin trong header và nội dung
mail. Phương pháp này có những đặc điểm như sau:
− Hoạt động độc lập, không can thiệp vào tiến trình hoạt động của Postfix (chỉ sửa một dòng trong
file main.cf, không thay đổi file master.cf)
− Cho phép mỗi user tự định nghĩa và xây dựng quy tắc kiểm tra spam riêng đặc thù theo nhu cầu
cá nhân.
− Ngăn chặn DNS được chỉ định trong danh sách black list.
Chú ý: Ở đây chỉ dùng SpamAssassin để đánh dấu mail. Việc xử lý những mail bị đánh dấu spam
(như xóa, phân loại vào hộp thư riêng) được thực hiện ở mail client.
Webmail là hệ thống cung cấp các dịch vụ E-mail (nhận mail, gửi mail, lọc mail) thông qua
1 Website nào đó trên mạng Internet. Để gửi và nhận e-mail, người sử dụng Internet chỉ có 1 cách
duy nhất là dùng trình duyệt Web truy cập vào địa chỉ Website của nhà cung cấp dịch vụ, sử dụng
account đã được cung cấp để kiểm tra e-mail và thực hiện các dịch vụ e-mail thông thường.
SquirrelMail là một giao diện web, được thiết kế cho phép truy cập email trên máy chủ từ bất cứ
đâu trên thế giới thông qua web. Giao thức IMAP đã giúp SquirrelMail thực hiện việc này.
SquirrelMail có đầy đủ chức năng giống như các ứng dụng trình duyệt thư khác như
Thunderbird, Outlook Exp hỗ trợ các file dính kèm theo thư, sổ địa chỉ, lịch và các thư mục. Giao
diện của SquirrelMail rất đễ dàng cho việc thay đổi theo ý của ngươi sử dụng. Người quản trị hệ
thống có thể thiết lập và chia sẻ “plugins” tại máy chủ nhằm mở rộng chức năng của dịch vụ hướng
đến nhu cầu của cơ quan, doanh nghiệp.
Phát hiện xâm nhập đơn giản là phát hiện những tín hiệu, biểu hiện của người xâm nhập
trước khi thiệt hại xảy ra như các services bị denied hay mất dữ liệu và chúng ta có thể ngăn chặn
thông qua các kĩ thuật khác nhau. Config những log của hệ thống mà lưu giữ những thông tin về
services, user hay data. Người quản trị có thể phát hiện những thông tin lý thú trong các log này, nó
thực sự quan trọng khi coi các log và là bước đầu tiên cơ bản nhất để phát hiện xâm nhập và system
log đã cho thấy giá trị thực sự của nó.
Kế tiếp của sự phát hiện xâm nhập là dùng các tools tự động thường được xem là 1 HIDS
(host-based intrusion detection).HIDS tools bao gồm các software antivirus, persional firewall,
NIDS đựơc cài đặt trên các host và nhiều software bảo vệ chống tràn bộ đệm hoặc sự cố gắng bẻ
gãy policy của attacker.
Dù rằng hệ điều hành Asianux Server 3 có khả năng tự phòng chống cũng như miễn dịch với
Virus máy tính, tuy nhiên việc các thư có thể Virus gây tổn hại đến người dùng cuối, nhất là đối với
các máy trạm sử dụng hệ điều hành Windows. Chính vì lý do này Asianux Server 3 được tích hợp
sẵn phần mềm ClamAV, để quét và tiêu diệt trực tiếp hệ thống thư trên máy chủ trước khi chúng có
thể gây tổn hại đến các máy trạm.
Các mẫu nhận dạng Virus sẽ được cập nhật trực tiếp thông qua dịch vụ update của hệ điều
hành trên hệ thống TSN.
Trên cấp độ căn bản, phát hiện xâm nhập được xem như là 1 tiến trình được quyết định khi 1
người không xác chứng thực đang cố gắng để bẻ gãy hệ thống của bạn. Phát hiện những kết nối
không hợp lệ là bước khởi đầu tốt nhưng không phải là tẩt cả câu chuyện. Những hệ thống như
Snort có thể phát hiện những sự cố gắng đang login vào hệ thống, truy cập vào những vùng share
không được bảo vệ và nhiều điều khác nữa, nhưng nhiều loại xâm nhập không rõ ràng để chúng ta
có thể phát hiện dễ dàng như là các các cuộc tấn công dùng phương pháp DoS tuy nó không thiệt
hại nhiều chỉ chiếm bandwidth và Cpu, dung lượng ổ cứng trên IDS nhưng nó cũng là tín hiệu để có
biện pháp phòng chống hữu hiệu.
NIDS như Snort có thể scan network traffic để phát hiện những tín hiệu nghi ngờ và các gói
dữ liệu xấu, và bạn cũng có thể dùng những tools khác như Tcpdump hay ethereal để để xem các
luồng thông tin trên các subnet khác nhau, từ những tools này chúng ta có thể sniff các packet để
phân tích và debug hệ thống.
Dữ liệu ở đây là các hộp thư của người sử dụng được lưu trữ trên máy chủ thư điện tử. Với
những dữ liệu quan trọng và những thông tin cá nhân đã được mã hóa trong hộp thư. Chúng được
lưu trữ trên máy chủ dưới dạng các tệp mã hóa.
Vấn đề đưa ra là cần có hệ thống sao lưu các dữ liệu đó và đảm bảo tính bảo mật thông tin.
Khi hệ thống có sự cố ngoài ý muốn thì có thể khôi phục lại nhanh chóng và không bị thiếu dữ liệu.
Sử dụng giải pháp sao lưu phục hồi dữ liệu thư bằng rsync.
Trường hợp 1: Sử dụng một máy chủ để làm công tác sao lưu dữ liệu thư, thì sẽ thực hiện theo
đường line 1. Dữ liệu từ máy mailserver sẽ được sao lưu sao máy backupserver
Trường hợp 2: Sử dụng một máy duy nhất vừa chạy thư điện tử vừa làm nơi lưu trữ , thì thực hiện
theo line 2. Khi đó máy chủ sẽ chia ra các phân vùng: một phân vùng để chạy thư điện tử và một
phân vùng để sao lưu thư.
Mô hình:
Đây là một điểm hoàn toàn khác biệt so với các hệ điều hành Linux khác, nằm trong phạm vi giải
pháp này, Asianux Server 3 cho phép duy trì một người quản trị an ninh có quyền lực trực tiếp đối
với những người quản trị hệ thống. Người quản trị an ninh này về bản chất không có quyền năng
trực tiếp đối với các máy tính tuy nhiên sẽ là người ra lệnh, điều khiển và theo dõi các admin để
đảm bảo rằng mọi hoạt động của họ đều phải tuân thủ quy trình và các quy định bắt buộc.
Mô hình:
III.1.1 Hệ thống thư hoạt động nội bộ (không kết nối bên ngoài):
Trường hợp này do không cần kết nối với mạng Internet nên toàn bộ các hoạt động xẩy ra
tại mạng LAN & cũng không mang tính thực tiễn cao. Về mặt kỹ thuật cũng không đáng quan tâm
lắm.
III.1.2 Hệ thống thư kết nối với ngoài mạng thông qua một dịch vụ Relay:
Đây là trường hợp phổ biến mà các doanh nghiệp, tổ chức nhỏ hay sử dụng. Máy chủ trong
mạng sẽ kết nối vào máy chủ Email Relay để tải thư về và phân phối đến các hộp thư trên máy chủ
nội bộ.
Trong trường hợp này chú ta cần phải bổ sung thêm dịch vụ Fetchmail để đảm nhận việc kết
nối và phân phối thư từ máy chủ online về máy chủ nội bộ.
Để duy trì tính nhất quán trong hệ thống, chúng tôi đề xuất quản trị mạng nên thiết lập các
kênh VPN hoặc cung cấp dịch vụ kết nối trực tiếp thông qua NAS để người dùng từ xa kết nối trực
tiếp đến máy chủ nội bộ thay vì truy cập trực tiếp đến các máy chủ online trên mạng internet.
Về mặt lựa chọn nhà cung cấp dịch vụ Email Relay, chúng tôi cũng khuyến cáo sử dụng
những nhà cung cấp dịch vụ có tên tuổi trong nước với các địa chỉ IP ổn định và xác thực để đảm
bảo tốc độ kết nối cũng như tránh tình trạng IP bị rơi vào trạng thái BLACK LIST sẽ khó khăn
trong việc gửi thư ra ngoài.
Trường hợp này tổ chức, doanh nghiệp có thể lựa chọn đặt máy chủ tại một trung tâm tích
hợp dữ liệu hoặc duy trì đường truyền riêng. Trường hợp này chúng tôi đề xuất nên sử dụng một
dịch vụ bảo vệ lớp ngoài như DMZ của firewall với hai lớp địa chỉ IP khác nhau trên máy chủ
email.
Khi đặt máy chủ online nhất thiết phải kích hoạt RedCastle trên hệ điều hành Asianux
Server 3 để đảm bảo việc lock quản trị trong thời gian hoạt động. Hoặc cấm thực thi quản trị vào
các thời điểm, IP không xác định.
Đề xuất cấu hình tối thiểu:
03 Re-new support Asianux Server 3 trong thời gian 5 năm 49,9$x5 10% giá niêm yết
04 Dịch vụ cài đặt & đào tạo quản trị 200$ Tuỳ thuộc vào
nhà cung cấp
dịch vụ.
Chú ý: Trong trường hợp mô hình hoạt động phân tán, cần khảo sát theo nhu cầu thực tế, tổ
chức/doanh nghiệp cần liên hệ với nhà tư vấn để xây dựng một cấu trúc phù hợp nhất với hoạt động
của mình.
dùng
02 Máy chủ quản lý Mail & các dịch vụ an toàn: 3.600$ Quản lý hộp thư,
CPU Pentium Xeon 3.06GHz; 2048MB-RAM ECC; 2 x truyền nhận, lọc
162GB HDD (1 hdd dùng để backup), RAD support. quét virus,
spam ...
03 Máy chủ quản lý Webmail: 1.800$ Đảm nhận các
CPU Pentium Xeon 1.8GHz; 1024MB-RAM ECC; 2 x dịch vụ giao tiếp
72GB HDD (1 hdd dùng để backup), RAD support. mail qua
webserver.
04 Hệ điều hành (3 bản): 799$x3 Giá niêm yết
Asianux Server 3 phiên bản advance Có thể đặt mua
(2 năm support) qua các công ty
phân phối hoặc
nhà cung cấp
dịch vụ.
05 Re-new support Asianux Server 3 trong thời gian 4 năm 79,9$x3x4 10% giá niêm
yết
06 Dịch vụ tư vấn thiết kế hệ thống, cài đặt & đào tạo quản 3.000$ Tuỳ thuộc vào
trị nhà cung cấp
dịch vụ.
Tổng cộng: 13.555,8$