Portfolio
My Blog
Scroll down to discover
Search
Categories

Hướng dẫn cài đặt cấu hình Data Loss Prevention – MyQLP Appliance

June 30, 2014Category : IT & Network

1. Giới thiệu

1

Theo ủy ban tình báo hạ viện Mỹ “Năm 2012 các doanh nghiệp Mỹ mất đi khoảng trên 300 tỷ USD từ trộm cắp bí mật thương mại”.

Data Loss Prevention (DLP) là một thuật ngữ an ninh máy tính đề cập đến hệ thống xác định, giám sát và bảo vệ dữ liệu sử dụng (ví dụ như: thiết bị đầu cuối), dữ liệu chuyển động (ví dụ như: các tác vụ mạng), và các dữ liệu ở phần còn lại (ví dụ: dữ liệu lưu trữ) thông qua kiểm tra nội dung, phân tích theo ngữ cảnh an ninh của giao dịch (thuộc tính khởi tạo, đối tượng dữ liệu, phương tiện truyền thông, thời gian, điểm nhận/đến vv), và với một khuôn khổ quản lý tập trung. Các hệ thống được thiết kế để phát hiện và ngăn chặn việc sử dụng trái phép và truyền tải thông tin bí mật.

2

Giải pháp bảo vệ dữ liệu với DLP – Data Loss Prevention cung cấp khả năng tìm kiếm, nhận biết và phân loại dữ liệu theo các mức độ quan trọng để có phương án bảo mật thích hợp. Các chế độ bảo mật tập trung vào mục đích không cho các dữ liệu quan trọng hoặc quan trọng tuyệt mật có thể thất thoát ra bên ngoài doanh nghiệp ở bất cứ hình thức nào, kể cả việc gửi dữ liệu qua Yahoo Messenger, Skype… hay lên các website, forum trên mạng internet. Ngoài ra, Giải pháp còn hỗ trợ chức năng xuất báo cáo mức độ truy cập và số lần xuất tài liệu ra bên ngoài xác thực tới từng cá nhân trong doanh nghiệp.

MyDLP Appliance. Đây là một giải pháp DLP (Data Loss Prevention) – phòng chống mất dữ liệu khá đơn giản, đầy đủ tính năng, và phổ biến, được cấp phép dưới dạng GPLv3. MyDLP Appliance là một dạng distribution dựa trên nền tảng Ubuntu Server, đồng thời đây cũng là 1 nhân tố chính của toàn bộ dự án.

2. Cài đặt

Các bước chuẩn bị để cài MyDLP:

  • Tải file image cài đặt phù hợp với cấu hình hệ thống của bạn tại đây Donload MyDLP
  • Đăng ký với MyDLP để nhận License key https://secure.mydlp.com
  • Tạo đĩa cài đặt MyDLP Appliance từ file ISO download về.
  • Khởi động hệ thống từ ổ đĩa CD/DVD để bắt đầu

Chọn ngôn ngữ hiển thị chính để bắt đầu quá trình cài đặt

3

Chọn phần Install MyDLP Appliance

4

Chọn ngôn ngữ hiển thị thích hợp cho hệ thống Ubuntu:

5

Chọn vị trí địa lý –> Chọn United States

6

Chọn Kiểu bàn phím –> chúng ta có thể chọn Yes để tự hệ điều hành detect hoặc No để chúng ta chọn

7

Chọn “Country of origin for the key board” là English (US) –> chọn “keyboard layout” cũng là English (US).

8

Quá trình cài đặt sẽ tự động cài các gói ứng dụng từ CD vào máy tính và cấu hình thích hợp với hệ thống hiện tại. Thiết lập mạng mặc định của MyDLP là DHCP cho card mạng eth0, chúng ta có thể thay đổi lại những tùy chỉnh cấu hình này sau khi kết thúc quá trình cài đặt:

9

Chúng ta cần tạo một tài khỏan mới ban đầu sử dụng đăng nhập vào hệ thống –> nhập tên đầy đủ của tài khoản người dùng.

10

Nhập tên của tài khoản cần tạo

11

Khai báo password cho tài khoản này, cần phải khai báo 2 lần để hoàn tất quá trình khai báo password dùng cho tài khoản được tạo.

12

Time zone được chương trình đề nghị là Asia/Phnom-Penh –> chúng ta chọn No để thay đổi chọn lựa time zone

13

Chúng ta kéo thanh trượt xuống và chọn Time zone là Ho Chi Minh

14

Chọn Yes để ghi những thay đổi vào đĩa cứng của máy tính.

15

Quá trình cài đặt vào máy tính đã hoàn tất, chúng ta chọn Continue để khởi động lại máy tính.

16

Sau khi máy tính khởi động lại xong, chúng ta login vào máy MyDLP với tài khoản và password được tạo ra ở quá trình cài đặt.

Do cấu hình ban đầu của MyDLP là nhận địa chỉ IP từ DHCP của hệ thống mạng của chúng ta, để biết được địa chỉ IP được cấp phát cho máy MyDLP trong cửa sổ giao diện console sử dụng lệnh ifconfig .

17

Từ trình duyệt một máy tính bất kì trong mạng, chúng ta truy cập https://MyDLP-IP đến trang web quản lý của MyDLP với tài khoản và password mặt định cũng là mydlp

18

Sau khi login vào trang web quản lý, MyDLP yêu cầu chúng ta nhập License code mà chúng ta đăng ký nhận được từ trênhttps://secure.mydlp.com

19

3. Cấu hình

Sau khi truy cập vào Giao diện web của MyDLP sẽ như hình bên dưới:

20

Chúng ta cần thay đổi thông tin và password mặt định của user ban đầu:

21

  1. Click chuột chọn biểu tượng để thay đổi thông tin tài khoản
  2. chúng ta có thể thay đổi các thông tin về tài khoản mydlp mặc định của chương trình –> bấm chọn save để lưu lại những thay đổi.

3.1. Cài đặt MyDLP Endpoint Agent

Download MyDLP Endpoint Agent

Sau khi download MyDLP Endpoint Agent chúng ta mở file mydlp_2_0_7.msi trên máy các máy trạm windows trong mạng để cài Endpoint Agent.

Ghi chú: Việc cài đặt Endpoint Agent trên từng máy trạm 1 cách thủ công rất tốn thời gian và công sức, do vậy chúng ta sẽ triển khai để cài Endpoint Agent tự động lên các máy trạm trong Microsoft Active Directory domain.

22

Trong cửa sổ giao diện Welcome to the MyDLP Setup Wizard –> bấm chọn Next để tiếp tục.

23

Trong cửa sổ giao diện Ready to Install –> nhập IP của máy chủ MyDLP –> bấm chọn Install để tiến hành cài đặt Endpoint Agent lên máy.

24

Trong cửa sổ giao diện Completed the MyDLP Setup Wizard –> bấm chọn Finish để hoàn tất quá trình cài đặt Endpoint Agent lên máy trạm.

25

3.2. Cấu hình một Removable Storage Rules ngăn chặn người sử dụng chép file có nội dung nhạy cảm vào USB

Thông tin trong doanh nghiệp được xác định tùy thuộc vào môi trường hoạt động kinh doanh ngành nghề của doanh nghiệp, mỗi doanh nghiệp sẽ có cách xác định mức độ và tầm quan trọng của dữ liệu đối với họ và từ đó họ đưa ra những yêu cầu bảo vệ các dữ liệu được xác định. Các bạn có thể tìm tham khảo thêm các bài viết về bảo mật phòng chống thất thoát dữ liệu, và đây là một bài viết của anh. Diêu (admin của diễn đàn HVA theo mình là hay và khá dễ hiểu để chúng ta có cái nhìn khái quát để lên một kết hoạch cho chính mình.

DLP là một lĩnh vực rộng, do đó mình chỉ đi qua một cách khái quát, với những tình huống giả định đơn giản và quen thuộc thường gặp.

Ở đây chúng ta đặt ra tình huống là:

  • Trong mạng lưu trữ cũa công ty, có rất nhiều file chứa các tài liệu nhạy cảm, các tài liệu nhạy cảm đều được đánh dấu bằng chữ ký trong file là Confidential.
  • Các dữ liệu đó hằng ngày có một số nhân viên cao cấp có thể truy cập để làm việc.
  • Các máy tính hay laptop của họ được phép sử dụng USB do yêu cầu công việc.
  • Nhưng doanh nghiệp muốn bảo đảm rằng những file dữ liệu quan trọng và nhạy cảm đó, họ chỉ được phép xem và làm việc, nhưng không được phép chép vào USB, hoặc có thể cho phép họ được chép vào usb nhưng hệ thống sẽ gửi thông báo cho người quản trị biết khi các thao tác này diễn ra.

Tạo một Policy có tên Removable Storage cho thiết bị lưu trữ di động

1. Chọn menu Policy trên giao diện web của MyDLP –> click chọn Add Rule

26

2. Click chọn Add a new rule here

27

3. Click chọn Removable Storage Rule

28

4. Trong hộp thoại Removable Storage Rule Edit Dialog –> nhập vào Name của rule “Removable Storage” và Description của rule “Removable Storage Rules”.

29

5. Trên giao diện web của chương trình xuất hiện một rule mới được tạo Removable Storage –> trong mục Action của rule mới mặc định đang chọn là Pass, chúng ta click vào để chọn lại là Log hay Block để phù hợp với yêu cầu của doanh nghiệp.

30

6. Trong phần bên trái của cửa sổ giao diện Policy mở rộng Predefined –> Source –> nhấn giữ chuột trái vào All Source và kéo thả vào phần Source của Removable Storage Policy.

Ghi chú: nếu khi kéo thả một đối tượng vào phần ứng dụng trong Policy rule nếu biểu tượng Hình ảnh xuất hiện có nghĩa đối tượng thỏa điều kiện với rule và ngược lại chúng ta sẽ thấy xuất hiện biểu tượng trên đối tượng Hình ảnh trong quá trình kéo rê chuột

31

7. Bấm chuột chọn Hình ảnh trong phần User Defined bên trái cửa sổ của Policy để tạo một New Item –> trong hộp thoại Creat New Item –> click chọn Information Type

32

8. Trong hộp thoại Edit Dialog:

+ Nhập tên của đối tượng là Keywork Confidential

+ Trong phần Data Formats chúng ta có thể chọn các định dạng loại dữ liệu sẽ là đối tượng được kiểm soát trong Policy rule của chúng ta, ở đây chọn All Format.

33

9. Click chọn Hình ảnh trong phần Feature Configuration

Các tham số trong hộp thoại Matcher Edit Dialog:

Type : chọn là Keyword

Threshold : 1

Keyword : Confidential

34

Trở lại giao diện hộp thoại Edit Dialog –> bấm chọn Save để lưu và hoàn tất việc tạo một Item cho User Defined.

35

10. Click chuột kéo biểu tượng Keyword Confidential vừa tạo trong User defined thả vào phần Information Types của Removable Storage Rule của chúng ta.

36

11. Như vậy là chúng ta đã tạo xong một Removable Storage Rule kiểm soát việc sao chép dữ liệu có thông tin nội dung liên chứa từ khóa Confidential vào các thiết bị lưu trữ di động.

Để Policy rule này hoạt động chúng ta bấm chọn nút Hình ảnh –> và bấm chọn Close trên hộp thoại Policy Install.

37

Sau khi thiết lập xong Removable Storage Rule với keywork là Confidential, trên máy tính có cài MyDLP Agent chúng ta thử copy các file có chứa nội dung có từ Confidential vào USB Storage.

Sau đó trên cửa sổ web của MyDLP chúng ta vào Menu Log để xem kết quả của rule này.

38

Do đây là chúng ta sử dụng Version Free, còn nhiều tính năng hạn chế hơn version Enterprise, nếu sử dụng version Enterprise chúng ta có thể cấu hình gửi email thông báo cho các trường hợp vi phạm rules, cũng như thiết lập những tính năng cấp cấp hơn phiên bản Free rất nhiều.

3.3. Cấu hình một Web Rule giám sát các việc gửi thông tin dữ liệu nhạy cảm lên internet.

Như chúng ta cũng biết việc kiểm soát được nhân viên chuyển thông tin dữ liệu nhạy cảm lên các trang web chia sẽ và các webmail là một thách thức đối với nhà quản trị và doanh nghiệp.

Rất nhiều công ty loay hoay với việc làm thế nào để ngăn chặn việc rò rỉ thông tin qua internet.

và với MyDLP chúng ta đã có một phương án hữu hiệu giúp kiểm soát và ngăn chặn việc rò rỉ thông tin nhạy cảm và quan trọng của doanh nghiệp. Phần này sẽ giúp chúng ta một phương án ngăn chân rò rỉ thông tin qua internet bằng công cụ Web Rule của MyDLP, nhưng thực sự hiệu quả thì với phiên bản Enterprise chúng ta mới thấy được nhiều, trong bản free chúng ta chỉ có Block và Log, mà bản Free không cho phép mở xem nội dung file đã thuộc phạm vi điều chỉnh của Rule. Hơn nữa bản Free không có gửi message thông báo đến cho nhà quản trị biết những section nào đã rơi vào phạm vi điều chỉnh, mà chúng ta phải mở xem trên Log.

Bạn vào Policy –> click chọn Add Rule để tạo một rule mới giống như trên phần 3.2

39

1. chọn Item Web Rule.

40

2. Đặt tên cho Name của Web Rule và mô tả trong Description, bạn chú ý đến Message to user cho phép bạn viết nội dung mà bạn muốn thông báo đến người sử dụng khi thông tin mà họ chuyển tải trên internet thuộc phạm vi điều chỉnh của Rule.

41

3. Chúng ta chọn Action phù hợp với mục tiêu dữ liệu cần bảo vệ, với phiên bản Free chúng ta chỉ có 3 lựa chọn là pass, log và block. trong bài lab này chúng ta chọn là ngăn chặn chuyển tải 1 thông tin nhạy cảm.

42

4. Tương tự như các bước của phần 3.2, ở đây bạn có thể sử dụng một mối quan tâm khác hơn là Keyword như ở 3.2 phần Information type, mỗi đối tượng cũng được chúng ta kéo thả vào các phần tương ứng trên rule:

Sources: Qui định này sẽ áp dụng lên những máy hay người dùng nào trên mạng, trong ví dụ trên hình chúng ta đang chọn là áp dụng cho tất cả các máy bất kì trong hệ thống, ở đây chúng ta có thể dùng khoanh vùng theo đối tượng là Username hay Group OU trong hệ thống người dùng Active Directory của hệ thống mạng Windows domain.

Destinations: Qui định này sẽ áp dụng cho những trang web hay tên miền hay địa chỉ mạng nào trên internet mà người sử dụng sẽ chuyển tải dữ liệu thông tin lên đó. Trong ví dụ ở bài viết chúng ta sẽ áp dụng cho tất cả các domain trên internet mà không có ngoại lệ. Trong trường hợp chúng ta có thể cho phép 1 ngoại lệ được phép chuyển tải lên đó là địa chỉ của doanh nghiệp hay đối tác tin cậy cho phép.

Information Types: Là thông tin kiểu dữ liệu hay nội dung thông tin làm căn cứ để rule xác định đó là thông tin dữ liệu cần bảo vệ của hệ thống.

Sau khi hoàn tất các thành phần đối tượng cho Rule chúng ta luôn nhớ là click chọn Hình ảnh để rule có hiệu lực.

43

5. Có một điều mà mình cho là khá không thuận lợi đó là bắt buột tất cả các đối tượng cần chịu tác động của Web Rule đều phải xử dụng Proxy của máy chủ MyDLP. Do vậy chúng ta phải cấu hình trình duyệt của tất cả các máy trong doanh nghiệp sử dụng proxy với địa chỉ IP của máy chủ MyDLP và Port mặc định là 3128.

Chúng ta có thể thay đổi các cấu hình Proxy, vì thực chất proxy ở đây đang sử dụng là Squid, và chúng ta cấu hình Squid Transparent Proxy để không phải cấu hình Proxy trên mỗi trình duyệt web của mỗi máy.

44

6. Sau khi hoàn tất việc tạo và active cho Web rule chúng ta sẽ kiểm tra thử với việc sử dụng web mail để chuyển tải thông tin có chứa nội dung nhạy cảm được qui định trong web rule. Kết quả là chúng ta không thể attach file có nội dung nhạy cảm này lên web mail dù webmail đó sử dụng http hay https.

45

7. Thông thường mọi người sẽ luôn chọn phương án nén file chứa nội dung nhạy cảm rồi sau đó mới chuyển tải lên internet, và MyDLP vẫn phát hiện ra nội dung nhạy cảm có trong file chuyển tải lên dù được nén thành file định dạng nén.

Chú ý: nếu các file nén là những file được nén với chế độ bảo vệ bằng password thì MyDLP sẽ không phát hiện được nội dung nhạy cảm trong file nén đó, đây không phải chỉ là 1 khó khăn cho MyDLP mà còn cho rất nhiều các phần mềm Scan khác. Do đó trong doanh nghiệp bạn hạn chế tối đa người sử dụng có các công cụ nén chuyên dụng như Winrar và winzip, mà chúng ta nên thiết lập 1 qui định chuẩn cho việc nén và bung nén thông qua ứng dụng chuẩn có sẳn của windows.

46

8. Theo dõi trên Log của MyDLP chúng ta sẽ có các thông tin của những ai rơi vào vùng kiểm soát của Web Rules.

Với phiên bản Enterprise có trả phí chúng ta có nhiều tính năng mạnh mẻ hơn : có thể mở file gửi lên internet mà vi phạm vào qui định kiểm soát của Web Rule.

01.
© Oliver / All rights reserved.
To top