Luân văn thạc sĩ thiết kế mạng nội bộ an toàn cho doanh nghiệp lớn
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.96 MB, 85 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ
NỘI
Đỗ Xuân Đỉnh
THIẾT KẾ MẠNG NỘI BỘ AN TOÀN
CHO DOANH NGHIỆP LỚN
LUẬN VĂN THẠC SĨ KỸ THUẬT
CHUYÊN NGÀNH: KỸ THUẬT MÁY
TÍNH
Hà Nội – 2018
Đỗ Xuân Đỉnh
THIẾT KẾ MẠNG NỘI BỘ AN TOÀN
CHO DOANH NGHIỆP LỚN
LUẬN VĂN THẠC SĨ KỸ THUẬT
CHUYÊN NGÀNH: KỸ THUẬT MÁY
TÍNH
NGƯỜI HƯỚNG DẪN KHOA
HỌC: PGS. TS. NGƠ HỒNG
SƠN
Hà Nội - 2018
Thiết kế mạng nội bộ an toàn cho doanh nghiệp lớn
MỤC LỤC
LỜI CAM ĐOAN.................................................................................................. 3
Danh mục các chữ viết tắt.................................................................................... 4
Danh mục các bảng............................................................................................... 5
Danh mục các hình vẽ...........................................................................................6
ĐẶT VẤN ĐỀ........................................................................................................ 7
CHƯƠNG 1. GIỚI THIỆU CHUNG................................................................10
1.1.
1.2.
1.2.1.
1.2.2.
1.2.3.
1.2.4.
1.3.
1.4.
Mơ hình hệ thống khung dịch vụ...........................................................10
Các thành phần cơ bản của khung dịch vụ............................................10
Hệ thống hạ tầng mạng (LAN/WAN)..................................................... 10
Hệ thống an ninh thông tin.....................................................................11
Hệ thống mạng cho các thiết bị di động................................................12
Hệ thống dịch vụ truyền thông hợp nhất............................................... 13
Các vùng mạng và mạng nội bộ của doanh nghiệp...............................13
Kết luận..................................................................................................14
CHƯƠNG 2. THIẾT KẾ MƠ HÌNH HỆ THỐNG MẠNG VÀ ĐẢM BẢO
AN TỒN TRONG HỆ THỐNG MẠNG NỘI BỘ CỦA DOANH NGHIỆP.15
2.1.
2.1.1.
2.1.2.
2.1.3.
2.2.
2.2.1.
2.2.2.
2.3.
Thiết kế mô hình mạng nội bộ...............................................................15
Mơ hình tổng thể hệ thống mạng nội bộ................................................15
Một số khuyến nghị khi thiết kế mạng nội bộ........................................ 16
Các mơ hình thiết kế mạng nội bộ......................................................... 17
Vấn đề đảm bảo an toàn trong hệ thống mạng nội bộ của doanh nghiệp.
Các nguy cơ tấn công trong mạng nội bộ..............................................20
Các giải pháp bảo mật hệ thống mạng nội bộ hiện nay........................28
Kết luận..................................................................................................36
CHƯƠNG 3. TRIỂN KHAI THIẾT KẾ HỆ THỐNG MẠNG NỘI BỘ AN
TOÀN 38
3.1.
Yêu cầu về hệ thống mạng nội bộ cần thiết kế......................................38
3.1.1.
Hạ tầng không gian và người dùng.......................................................38
3.1.2.
Yêu cầu cần đáp ứng đối với mạng nội bộ:...........................................39
3.2.
Thiết kế mơ hình hệ thống mạng và các tính năng bảo mật..................39
3.2.1.
Cần thực hiện lần lượt theo các bước....................................................39
3.2.2.
Lựa chọn cơng nghệ và thiết kế mơ hình hệ thống mạng......................41
3.2.3.
Tổng hợp sơ đồ thiết kế hệ thống mạng nội bộ:.................................... 49
3.2.4.
Triển khai các tính năng bảo mật.......................................................... 51
3.2.5.
Kết quả đạt được của mơ hình thiết kế..................................................55
3.3.
Mơ phỏng một số kịch bản tấn cơng điển hình và giải pháp phịng
chống trong mạng nội bộ.......................................................................................56
3.3.1.
Tấn công giả thông điệp ARP................................................................56
3.3.2.
Tấn công dịch vụ DHCP........................................................................59
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
Thiết kế mạng nội bộ an toàn cho doanh nghiệp lớn
1
3.3.3.
3.3.4.
3.4.
Tấn công làm hết tài nguyên bảng MAC trên switch.............................63
Giả lập tấn công mạng và kiểm thử giải pháp.......................................64
Kết luận..................................................................................................78
KẾT LUẬN..........................................................................................................79
TÀI LIỆU THAM KHẢO..................................................................................80
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
Thiết kế mạng nội bộ an toàn cho doanh nghiệp lớn
2
LỜI CAM ĐOAN
Tôi xin cam đoan bản luận văn này là cơng trình nghiên cứu khoa học độc
lập của tơi. Các số liệu, kết quả nêu trong luận văn là trung thực và có nguồn
gốc rõ ràng.
TÁC GIẢ LUẬN VĂN
Đỗ Xuân Đỉnh
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
3
Danh mục các chữ viết tắt
APT (Advanced Persistent Threat)
Mối đe dọa liên tục nâng cao, tấn
cơng có chủ đích
ARP (Address Resolution Protocol)
Giao thức phân giải địa chỉ
BPDU (Bridge Protocol Data Unit)
Đơn vị dữ liệu giao thức cầu
nối DHCP (Dynamic Host Configuration Protocol)
Giao thức cấu hình địa chỉ động.
EAP (Extensible Authentication Protocol)
Giao thức xác thực có thể mở
rộng IDS (Intrucsion Detection System)
Hệ thống phát hiện xâm nhập
IP (Internet Protocol)
Giao thức internet
IPS (Intrusion Prevention Systems)
Hệ thống phòng chống xâm
nhập. Ipsec (Internet Protocol Security)
Bảo mật giao thức internet
LAN (local area network)
Mạng cục bộ
MAC (Media Access Control)
Điều khiển truy cập phương tiện
MITM (Man in the Middle)
Tấn công dạng người ở giữa
QoS (Quality of Service)
Chất lượng dịch
vụ SNMP (Simple Network Management Protocol)
Giao thức quản lý mạng đơn giản
STP (Spanning Tree Protocol)
Giao thức cây mạng, giao thức
ngăn chặn sự lặp vòng
STP TCNs (STP topology change notifications)
Các thông báo thay đổi cấu trúc cây
mạng STP
TLS (Transport Layer Security)
Bảo mật tầng giao
vận VLAN (Virtual Local Area Network)
Mạng cục bộ ảo
VRRP (Virtual Router Redundancy Protocol) Giao thức dự phòng định tuyến
ảo VTP (Virtual Trunking Protocol)
Giao thức mạng trục ảo
WAN (Wide Area Network)
Mạng diện rộng
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
4
Danh mục các bảng
Bảng 3. 1 – Khảo sát số người sử dụng hệ thống mạng............................................39
Bảng 3. 2 – Khảo sát số nút mạng cho máy trung tâm dữ liệu.................................39
Bảng 3. 3 - Xác định đối tượng phục vụ kết nối.......................................................42
Bảng 3. 4 – Bảng tính số lượng Switch access mạng LAN tịa nhà.........................48
Bảng 3. 5 – Bảng tính số lượng module Switch Core mạng LAN tòa nhà...............49
Bảng 3. 6 – Bảng triển khai tính năng bảo mật cho vùng mạng người dùng...........53
Bảng 3. 7 – Bảng triển khai tính năng bảo mật cho vùng mạng trung tâm dữ liệu. .55
Bảng 3. 8 – Bảng đánh giá kết quả đạt được............................................................ 56
Bảng 3. 9 – Các bước tấn công ARP.........................................................................58
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
5
Danh mục các hình vẽ
Hình 1 1. Thành phần cơ bản của Khung dịch vụ [5]...............................................10
Hình 2. 1. Mơ hình hệ thống mạng nội bộ ở các điểm có quy mơ khác nhau [5].. . .16
Hình 2. 2. Mơ hình hệ thống mạng 3 lớp và 2 lớp [5]..............................................17
Hình 2. 3. Mơ hình hệ thống mạng 3 lớp [5]............................................................ 18
Hình 2. 4. Mơ hình hệ thống mạng 2 lớp [5]............................................................ 19
Hình 2. 5. Tấn cơng thẻ VLAN đơi [9].....................................................................22
Hình 2. 6. Bảng địa chỉ MAC [9]..............................................................................23
Hình 3. 1 - Sơ đồ bố trí và kết nối Core switch và switch access.............................43
Hình 3. 2 – Sơ đồ bố trí và kết nối Core switch........................................................46
Hình 3. 3 - Minh họa sơ đồ kết nối Stack kết hợp 2 uplink của switch access........47
Hình 3. 4 - Sơ đồ kết nối hệ thống mạng LAN.........................................................50
Hình 3. 5 - Sơ đồ logic hệ thống mạng LAN............................................................50
Hình 3. 6 – Mơ tả hoạt động u cầu MAC address.................................................56
Hình 3. 7 – Hoạt động tấn cơng ARP Spooling........................................................57
Hình 3. 8 – Phịng chống tấn cơng ARP....................................................................58
Hình 3. 9 – Hoạt động cấp phát động địa chỉ IP.......................................................60
Hình 3. 10 – Hoạt động tấn cơng DHCP...................................................................61
Hình 3. 11 – Phịng chống tấn cơng DHCP...............................................................62
Hình 3. 12 – Hoạt động cập nhật bản MAC..............................................................63
Hình 3. 13 - Mơ hình thử nghiệm tấn cơng ARP......................................................65
Hình 3. 14 - Cấu hình nhận IP động cho PC.............................................................67
Hình 3. 15 - Kiểm tra hoạt động web server.............................................................68
Hình 3. 16 – Tìm thơng tin PC-Victim......................................................................69
Hình 3. 17 – Chọn địa chỉ máy PC-Victim để tấn cơng............................................70
Hình 3. 18 – Kiểm tra bảng MAC trên máy Victim..................................................70
Hình 3. 19 – Sử dụng wireshark để bắt gói tin qua máy tấn cơng............................71
Hình 3. 20 – Mẫu file .bat để kích hoạt trên máy trạm.............................................73
Hình 3. 21 – Hiển thị tham số mạng ban đầu của máy người dùng..........................73
Hình 3. 22 – Sử dụng Ettercap để tấn cơng cấp phát giả gói tin DHCP...................74
Hình 3. 23 – Hiển thị tham số mạng sau khi bị tấn công DHCP..............................74
Hình 3. 24 – Cấp phát gói tin giả DHCP cho máy người dùng................................ 75
Hình 3. 25 – Kiểm tra MAC table của Switch..........................................................76
Hình 3. 26 – Tấn cơng mập lụt MACtable của Switch.............................................76
Hình 3. 27 – Bản MAC bị lấp đầy khi thực hiện tấn công bảng MAC....................77
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
6
ĐẶT VẤN ĐỀ
1. Tổng quan.
Mạng nội bộ là cơ sở hạ tầng mạng mà hầu hết cá nhân và tổ chức sử dụng
để kết nối vào mạng. Nó được sử dụng trong các văn phịng, gia đình, trung tâm dữ
liệu hay mạng máy tính của các tổ chức. Ban đầu, mạng nội bộ có phạm vi nhỏ,
được thiết kế để trở thành một mạng có tính linh hoạt và chi phí thấp, có khả năng
kết nối với tốc độ cao cho một nhóm các máy tính sử dụng cơng nghệ mạng cục bộ
(LAN). Sau này, quy mô hạ tầng mạng đã tăng lên, kết hợp với xu hướng sử dụng
chuẩn giao thức IP và phạm vi lớn hơn nhưng các tính năng ban đầu của mạng cục
bộ - Ethernet vẫn được sử dụng ngày nay. Mạng nội bộ đã trở nên phổ biến vào
những năm 1980 khi băng thông mạng có giá trị khoảng 10 Mbps sử dụng cáp đồng
trục. Ngày nay, mạng nội bộ phổ biến với băng thông 1 Gbps, sử dụng chuyển
mạch, full-duplex, dùng cáp xoắn đôi hoặc cáp sợi quang, kết hợp chuẩn mạng
không dây WiFi... Mạng nội bộ được coi là giải pháp mạng với chi phí thấp cho kết
nối máy trạm và máy tính xách tay, và mạng cho các máy chủ (băng thông thường
khoảng 1-10Gbps).
2. Lý do chọn đề tài.
Hoạt động của doanh nghiệp hiện nay luôn gắn liền với hệ thống các máy
tính được kết nối trong mạng nội bộ. Các doanh nghiệp lớn có thể có nhiều văn
phịng, nhu cầu kết nối mạng trong mỗi văn phòng và kết nối các văn phịng với
nhau là cần thiết để trao đổi thơng tin nội bộ của doanh nghiệp. Mạng nội bộ của
một doanh nghiệp được hiểu là hệ thống mạng tại các văn phòng doanh nghiệp và
hệ thống kết nối mạng của các văn phòng này tạo lên một hệ thống mạng trao đổi
thông tin nội bộ cho doanh nghiệp.
Việc xây dựng hệ thống mạng nội bộ cho doanh nghiệp là nhiệm vụ quan
trọng để tạo khơng gian kết nối máy tính đáp ứng hoạt động của doanh nghiệp.
Trong đó thiết kế mạng nội bộ là nhiệm vụ đầu tiên, cần thiết nhằm xây dựng hệ
thống mạng đáp ứng các nhu cầu sử dụng hệ thống mạng nội bộ của doanh nghiệp.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
7
Hệ thống mạng nội bộ được thiết kế cần có các tính năng để đảm bảo sự sẵn
sàng cao, duy trì hoạt động liên tục của doanh nghiệp, đồng thời mạng nội bộ phải
đảm bảo tính bảo mật, bảo vệ được tài nguyên của doanh nghiệp trên môi trường
mạng.
Từ lý do trên, tôi đã chọn đề tài “Thiết kế mạng nội bộ an toàn cho doanh
nghiệp lớn” làm luận văn thạc sỹ kỹ thuật này.
3. Mục tiêu cụ thể.
- Mục tiêu: Thiết kế mạng nội bộ của doanh nghiệp lớn và tìm hiểu các vấn
đề an tồn thơng tin cho mạng nội bộ.
- Phạm vi:
+ Tìm hiểu thiết kế mơ hình mạng nội bộ của doanh nghiệp.
+ Tìm hiểu các vấn đề an tồn thơng tin trong mạng nội bộ.
+ Thực hiện thiết kế mơ hình mạng nội bộ cho một chi nhánh của doanh
nghiệp và các tính năng trên thiết bị mạng để đảm bảo an tồn thơng tin trong mạng
nội bộ.
4. Nội dung thực hiện .
- Thiết kế mơ hình hệ thống mạng nội bộ phù hợp với nhu cầu phát triển của
doanh nghiệp và phù hợp với cơng nghệ mạng hiện tại. Ngồi ra, hệ thống được
thiết kế cần có tính linh hoạt và tính sẵn sàng cao.
- Nghiên cứu các vấn đề bảo mật hệ thống mạng nội bộ: tìm hiểu các nguy cơ
tấn cơng trong mạng nội bộ, các triển khai giải pháp bảo mật trên các thiết bị mạng
nội bộ.
- Lựa chọn một mô hình doanh nghiệp để thực hiện thiết kế mơ hình mạng
nội bộ tại một chi nhánh và các giải pháp bảo mật trên thiết bị mạng, mô phỏng một
số kịch bản tấn cơng mạng và giải pháp phịng chống.
5. Bố cục của luận văn
Nội dung tiếp theo của Luận văn gồm các mục chính như sau:
Chương 1: Giới thiệu chung.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
8
Chương này giới thiệu về các vấn đề chung về thiết kế hệ thống mạng nội bộ
cho doanh nghiệp.
Chương 2: Thiết kế mơ hình hệ thống mạng và đảm bảo an toàn trong hệ
thống mạng nội bộ của doanh nghiệp.
Chương này mô tả các vấn đề cần quan tâm khi thiết kế mơ hình mạng cho
doanh nghiệp. Các nguy cơ tấn công trên hệ thống mạng nội bộ và các giải pháp
bảo vệ thệ thống mạng nội bộ khỏi các nguy cơ tấn công này.
Chương 3: Triển khai thiết kế hệ thống mạng nội bộ an tồn.
Chương này trình bày việc triển khai thiết kế mạng nội bộ an toàn cho một
văn phịng chính của doanh nghiệp lớn với các giả thiết cụ thể về quy mơ. Triển
khai các tính năng đảm bảo sự an toàn trên hệ thống mạng. Chương này cũng trình
bày một số mơ phỏng các kịch bản tấn cơng và giải phịng chống tấn cơng mạng
như đã thiết kế.
Kết luận: Tóm tắt kết qủa đạt được và hướng phát triển của luận văn.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
9
CHƯƠNG 1. GIỚI THIỆU CHUNG
Chương này chúng tơi trình bày tổng quan về các dịch vụ trên hệ thống mạng
(mô hình khung dịch vụ mạng cho doanh nghiệp), từ đó tập trung trình bày về dịch
vụ hạ tầng mạng nội bộ cho doanh nghiệp.
1.1.
Mơ hình hệ thống khung dịch vụ.
Cấu trúc khung dịch vụ là mạng lưới dịch vụ cơ bản mà tất cả các dịch vụ,
ứng dụng và giải pháp của các doanh nghiệp cần sử dụng để tương tác và kết nối
với nhau. Đây là quan điểm mà nhiều hãng cơng nghệ mạng cùng mơ tả, trong đó
có Cisco system - hãng công nghệ hàng đầu trên thế giới hiện nay về cung cấp các
thiết bị, giải pháp hạ tầng mạng.
Khung dịch vụ được tạo thành từ bốn thành phần riêng biệt gồm hệ thống hạ
tầng mạng (LAN / WAN), hệ thống an ninh thông tin, hệ thống di động (không dây),
và hệ thống dịch vụ hợp nhất [5]. Mỗi thành phần cơ bản quan trọng này phải được
thiết kế và điều chỉnh cẩn thận để đảm bảo một mơi trường an tồn cung cấp tính
liên tục cho môi trường kinh doanh, nhận thức và sự khác biệt về dịch vụ cũng như
sự linh hoạt trong truy cập.
Hình 1 1. Thành phần cơ bản của Khung dịch vụ [5].
1.2.
1.2.1.
Các thành phần cơ bản của khung dịch vụ
Hệ thống hạ tầng mạng (LAN/WAN)
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
10
Khung dịch vụ mạng LAN/WAN được tạo thành từ các bộ định tuyến và
thiết bị chuyển mạch được triển khai trong mơ hình kiến trúc 3 lớp hoặc 2 lớp cung
cấp một hệ thống mạng có khả năng sẵn sàng cao với khả năng truy cập linh hoạt.
- Mạng LAN (Local Area Network):
Các thành phần của mơ hình thiết kế mạng phân cấp thành 3 lớp:
+ Lớp lõi (Core layer) – mạng trục chính bao gồm các thiết bị mạng lõi lớp 3
(Layer-3) để kết nối với một số mạng phân phối và khối để kết nối mạng nội bộ và
mạng bên ngoài.
+ Lớp phân phối (Distribution layer) - Lớp phân phối sử dụng kết hợp
chuyển mạch lớp 2 và lớp 3 (Layer-2 và Layer-3) để cung cấp chính sách cân bằng
và điều khiển truy cập, tính sẵn sàng, và tính linh hoạt trong phân bổ mạng con
(subnet) và mạng riêng ảo (VLAN).
+ Lớp truy cập (Access layer) - Điểm kết nối giữa cơ sở hạ tầng mạng và các
thiết bị đầu cuối.
Với nhiều bài toán cụ thể (được đề cập ở chương 2) chúng ta có thể gồm lớp
mạng lõi và lớp mạng phân phối thành 1 lớp và như vậy hệ thống mạng trở thành có
2 lớp: Lớp mạng lõi/phân phối và lớp mạng truy cập
- Mạng WAN (Wide area network)
Để các mạng (site) có thể giao tiếp với nhau hoặc truyền thơng với bên ngồi
mạng doanh nghiệp, cần có đường truyền mạng WAN. Luồng vận chuyển trong
mạng WAN rất khác với vận chuyển trong mạng LAN do các điểm khác nhau như:
loại kết nối được sử dụng, tốc độ kết nối, khoảng cách kết nối.
1.2.2.
Hệ thống an ninh thông tin
An ninh của khung dịch vụ mạng doanh nghiệp là cần thiết. Nếu khơng có
nó, các giải pháp, ứng dụng và dịch vụ doanh nghiệp có thể bị xâm nhập, thao túng,
hoặc ngừng dịch vụ. Khung dịch vụ được phát triển với các thiết kế bảo mật sau
đây:
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
11
+ Bảo vệ hạ tầng mạng (Network Foundation Protection - NFP) - Bảo đảm
sự sẵn sàng và tính tồn vẹn của cơ sở hạ tầng mạng, bảo vệ mạng khu vực điều
khiển và quản lý.
+ Bảo vệ vùng biên Internet (Internet perimeter protection) - Bảo đảm kết nối
an toàn với Internet, và mạng bên ngoài (mạng ngoài) và bảo vệ tài nguyên nội bộ
và người dùng khỏi phần mềm độc hại, vi rút và các phần mềm độc hại khác. Bảo
vệ người dùng khỏi nội dung có hại. Thực thi chính sách Duyệt web và E-mail.
+ Bảo vệ trung tâm dữ liệu (Data center protection) - Đảm bảo sự sẵn sàng
và tính tồn vẹn của các ứng dụng và hệ thống tập trung. Bảo vệ sự bảo mật và sự
riêng tư của người dùng.
+ An ninh và kiểm soát truy cập mạng (Network access security and control)
- Bảo vệ các vùng biên mạng truy cập. Thực thi xác thực và truy cập dựa trên vai
trò cho người dùng ở các mạng chính và từ xa. Hệ thống bảo đảm được cập nhật và
phù hợp với chính sách bảo mật mạng của các doanh nghiệp.
+ Bảo vệ điểm đầu cuối mạng (Network endpoint protection) - Bảo vệ máy
chủ và hệ thống kiểm sốt của doanh nghiệp (máy tính để bàn, máy tính xách tay,
v.v ...) khỏi vi-rút, phần mềm độc hại, botnet và các phần mềm độc hại khác. Thực
thi chính sách Duyệt web và E-mail cho người dùng doanh nghiệp.
1.2.3.
Hệ thống mạng cho các thiết bị di động
Tính di động là một phần thiết yếu của môi trường doanh nghiệp. Hầu hết
người dùng sẽ kết nối không dây với mạng lưới của doanh nghiệp. Ngoài ra, các
thiết bị khác cũng sẽ dựa vào mạng không dây. Trong việc thiết kế phần di động của
khung dịch vụ, các tiêu chuẩn thiết kế sau được sử dụng:
+ Khả năng truy cập (Accessibility) - Cho phép người dùng doanh nghiệp và
khách hàng có thể truy cập, bất kể họ đang họp trong phòng họp, ăn trưa với các
đồng nghiệp trong quán cà phê, hoặc chỉ đơn giản là thưởng thức khơng khí trong
lành bên ngồi tịa nhà.
+ Khả năng sử dụng (Usability) - Ngồi tốc độ truyền WLAN rất cao do
cơng nghệ IEEE 802.11n hiện tại hỗ trợ, các ứng dụng với độ trễ thấp (như điện
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
12
thoại IP và hội nghị truyền hình) được hỗ trợ qua mạng WLAN sử dụng QoS thích
hợp. Điều này cho phép xử lý ưu tiên đối với lưu lượng truy cập thời gian thực,
giúp đảm bảo rằng thông tin video và âm thanh sẽ đến đúng theo thời gian thực.
+ Khả năng an ninh (Security) – hệ thống mạng cho người dùng được phép
và chặn người dùng trái phép. Mở rộng các dịch vụ của mạng một cách an toàn đến
các thiết bị được cấp quyền. Thực thi tuân thủ chính sách an tồn trên tất cả các
thiết bị tìm cách truy cập tài nguyên máy tính mạng. Người dùng doanh nghiệp
được hưởng quyền xác thực nhanh chóng và đáng tin cậy thông qua IEEE 802.1x và
giao thức xác thực mở rộng (Extensible Authentication Protocol - EAP), với tất cả
các thông tin được gửi và nhận trên mạng WLAN đang được mã hóa.
+ Khả năng quản lý (Manageability) - Quản trị viên mạng doanh nghiệp phải
dễ dàng triển khai, vận hành và quản lý hàng trăm điểm truy cập trong nhiều triển
khai mạng doanh nghiệp.
+ Độ tin cậy (Reliability) - Cung cấp đầy đủ khả năng phục hồi từ lỗi đơn
tầng của một thành phần truy cập WLAN hoặc điều khiển kết nối có dây. Đảm bảo
rằng khả năng tiếp cận mạng LAN khơng dây được duy trì cho người dùng và
khách truy cập trong trường hợp xảy ra các lỗi phổ biến.
1.2.4.
Hệ thống dịch vụ truyền thông hợp nhất.
Giải pháp Truyền thông Hợp nhất thống nhất các ứng dụng thoại, video, dữ
liệu và di động trên các mạng cố định và di động, cung cấp không gian làm việc
cộng tác đa phương tiện. Các ứng dụng này sử dụng mạng làm nền tảng, tính an
tồn, khả năng phục hồi và khả năng mở rộng của mạng cho phép người dùng ở bất
kỳ vùng làm việc nào dễ dàng kết nối, ở mọi nơi, mọi lúc, mọi người.
Unified Communications là một phần của giải pháp toàn diện bao gồm các
ứng dụng quản lý hạ tầng, bảo mật, không dây và quản lý mạng, các dịch vụ vòng
đời, triển khai linh hoạt và các tùy chọn quản lý tài nguyên bên ngoài và các ứng
dụng của bên thứ ba.
1.3.
Các vùng mạng và mạng nội bộ của doanh nghiệp.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
13
Hệ thống hạ tầng mạng có thể được phân chia theo phạm vi triển khai, công
nghệ, theo khu vực triển khai, … Một số khách niệm có thể được hiểu như sau:
Mạng cục bộ (LAN – Local Area Network) là một mạng dữ liệu để kết nối
các máy tính trong một vùng phạm vi nhỏ (nhà ở, phòng làm việc, trường học, văn
phòng, …).
Mạng diện rộng (WAN - Wide area network) là mạng dữ liệu để kết nối giữa
các máy tính hoặc mạng máy tính ở các khu vực địa lý cách xa nhau. Ví dụ dùng để
nối các Mạng cục bộ (LAN) lại với nhau (thông qua router).
Ethernet là một họ các cơng nghệ mạng máy tính thường dùng trong các
mạng local area network (LAN), wide area network (WAN). Ethernet được tiêu
chuẩn hóa thành IEEE 802.3 năm 1983.
Mạng nội bộ (Intranet) là hệ thống mạng nội bộ của một tổ chức. Mạng nội
bộ của một doanh nghiệp được hiểu là hệ thống mạng tại các văn phòng doanh
nghiệp và hệ thống kết nối mạng của các văn phòng này tạo lên một hệ thống mạng
trao đổi thông tin nội bộ cho doanh nghiệp. Doanh nghiệp lớn tương ứng với quy
mơ tại các văn phịng và số lượng nhiều văn phòng cần kết nối vào hệ thống mạng
nội bộ của doanh nghiệp.
1.4.
Kết luận.
Hệ thống mạng của doanh nghiệp là sự kết hợp của nhiều thành phần cấu
thành, mỗi thành phần đảm bảo hoạt động theo một nhóm chức năng hoặc dịch vụ
xác định như: hệ thống hạ tầng mạng đáp ứng dịch vụ kết nối mạng; hệ thống an
ninh thông tin đảm bảo an ninh thông tin trên các khu vực, vùng mạng; hệ thống
mạng cho các thiết bị di động cung cấp dịch vụ mạng cho các thiết bị di động và các
hoạt động kết nối ngồi văn phịng; hệ thống dịch vụ truyền thông hợp nhất cung
cấp môi trường làm việc hợp nhất các dịch vụ cho người sử dụng.
Qua việc trình bày về các dịch vụ hạ tầng cần tirển khai cho doanh nghiệp ở
trên, ta có thể thấy việc thiết kế mạng nội bộ cho các doanh nghiệp là một nhiệm vụ
cần thiết nhằm thiết kế hạ tầng mạng đáp ứng hoạt động của doanh nghiệp, đảm bảo
tính bảo mật của hệ thống mạng, cung cấp khả năng triển khai các hệ thống, dịch vụ
khác của khung dịch vụ.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
14
CHƯƠNG 2. THIẾT KẾ MƠ HÌNH HỆ THỐNG MẠNG VÀ ĐẢM BẢO AN
TOÀN TRONG HỆ THỐNG MẠNG NỘI BỘ CỦA DOANH NGHIỆP.
Trong chương này, chúng tơi sẽ trình bày các tìm hiểu về thiết kế mơ hình
mạng nội bộ của doanh nghiệp và các vấn đề bảo mật trên hệ thống hạ tầng mạng
này. Trong khuôn khổ của luận văn này, chúng tơi chỉ tập trung tìm hiểu về thiết kế
mơ hình hạ tầng mạng nội bộ và các vấn đề triển khai các tính băng bảo mật trên
các thiết bị mạng để đảm bảo an tồn thơng tin trên hệ thống mạng của doanh
nghiệp.
2.1.
Thiết kế mơ hình mạng nội bộ.
Với giả thiết các tổ chức, doanh nghiệp lớn thường có nhiều văn phịng, chi
nhánh kết nối vào trụ sở chính. Tại mỗi văn phịng, chi nhánh hay trụ sở chính là
một hệ thống mạng nội bộ của văn phịng, chi nhánh, trụ sở đó, các mạng nội bộ
này được kết nối với nhau thành hệ thống mạng nội bộ của tổ chức, doanh nghiệp.
2.1.1. Mơ hình tổng thể hệ thống mạng nội bộ
Tham khảo khuyến nghị của Cisco [5], hệ thống hạ tầng mạng của doanh
nghiệp được thiết kế thành các module cho mỗi khu vực văn phòng, chi nhánh hay
trụ sở chính. Mơi khu vực văn phịng, chi nhánh là một mạng nội bộ được kết nối
với nhat và kết nối với mạng nội bộ của văn phòng chính. Mơ hình tổng thể của một
mạng cho doanh nghiệp như sau:
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
15
Hình 2. 1. Mơ hình hệ thống mạng nội bộ ở các điểm có quy mơ khác nhau [5].
Tại mỗi văn phịng, chi nhánh có thể gồm các khu vực người sử dụng (làm
việc trong các phòng hoặc tòa nhà liền kề nhau), khu vực cung cấp dịch vụ (các
dịch vụ phục người dùng, ví dụ các ứng dụng, dịch vụ hệ thống AD, DHCP,…) và
khu vực dữ liệu của doanh nghiệp.
2.1.2. Một số khuyến nghị khi thiết kế mạng nội bộ
Thiết kế mạng nội bộ được xây dựng dựa trên các nguyên tắc để cho phép
một doanh nghiệp với quy mô khác nhau xây dựng các hệ thống mạng phù hợp:
- Xây dựng theo phân lớp, thứ bậc: đơn giản hóa việc triển khai, vận hành
và quản lý; Giảm các khu vực lỗi ở mỗi lớp.
- Xây dựng theo module (Modularity): cho phép mạng phát triển theo yêu
cầu trong mỗi thời kỳ của doanh nghiệp.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
16
- Đảm bảo khả năng phục hồi: đáp ứng mong đợi của người dùng về việc giữ
mạng luôn khoạt động.
- Đảm bảo tính linh hoạt: cho phép chia sẻ lưu lượng mạng một cách thông
minh bằng cách sử dụng tất cả tài ngun mạng.
2.1.3. Các mơ hình thiết kế mạng nội bộ
Hai thiết kế mơ hình khung hệ thống mạng có tính phân cấp đã được kiểm
chứng cho mạng nội bộ là mơ hình hệ thống ba lớp và mơ hình hai lớp.
Hình 2. 2. Mơ hình hệ thống mạng 3 lớp và 2 lớp [5].
Các lớp chính là lớp mạng truy cập, lớp mạng phân phối và lớp mạng lõi.
Mỗi lớp có thể được xem như là một mơ-đun có cấu trúc được xác định rõ ràng với
các vai trò và chức năng cụ thể trong mạng LAN. Thiết kế theo mô đun và cấp lớp
mạng LAN đảm bảo được tính linh hoạt để cung cấp các dịch vụ mạng quan trọng
cũng như cho phép dễ dàng thay đổi khi tăng trưởng hệ thống, dễ dàng tích hợp để
triển khai hệ thống quản lý và các giải pháp dự phòng phục hồi hệ thống.
- Lớp truy cập (Access layer): là lớp mạng biên, chức năng chính của lớp
truy cập là cung cấp điểm truy cập mạng cho người dùng và các hệ thống đầu cuối.
Thiết bị chuyển mạch tầng truy cập kết nối với các bộ chuyển mạch tầng phân phối
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
17
để thực hiện các công nghệ nền tảng mạng như định tuyến, chất lượng dịch vụ
(QoS) và bảo mật.
- Lớp phân phối (Distribution layer): Lớp phân phối là lớp trung gian giữa
lớp truy cập và lớp lõi để cung cấp nhiều chức năng chính, chẳng hạn như sau:
+ Tổng hợp và chấm dứt quảng bá tên miền ở Lớp mạng 2.
+ Gộp các định tuyến biên ở Lớp mạng 3.
+ Cung cấp các chức năng chuyển mạch, định tuyến và truy cập mạng thơng
minh để truy cập vào phần cịn lại của mạng.
+ Cung cấp khả năng sẵn sàng cao thơng qua các chuyển mạch dự phịng
khác cho người dùng cuối và các đường dẫn tối ưu tới lớp lõi.
- Lớp lõi (Core Layer): Lớp lõi là mạng trục kết nối tất cả các lớp trong
mạng LAN, cung cấp kết nối giữa thiết bị đầu cuối, máy tính và các dịch vụ lưu trữ
dữ liệu nằm trong trung tâm dữ liệu và các khu vực khác và các dịch vụ trong
mạng. Lớp lõi phục vụ như là bộ tổng hợp cho tất cả các khối mạng khác nhau, và
gắn kết các khối này với phần cịn lại của mạng.
- Mơ hình mạng LAN 3 lớp
Hình 2. 3. Mơ hình hệ thống mạng 3 lớp [5].
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
18
Mục đích chính của lớp lõi là cung cấp sự cô lập lỗi và kết nối xương sống.
Cách ly lớp phân phối và lớp lõi thành các lớp riêng biệt tạo ra sự mơ tả rõ ràng để
kiểm sốt sự thay đổi giữa các hoạt động ảnh hưởng đến các trạm đầu cuối (máy
tính xách tay, điện thoại và máy in) và những ảnh hưởng đến trung tâm dữ liệu,
WAN hoặc các phần khác của mạng. Trường hợp cần thiết, một lớp lõi riêng có thể
sử dụng cơng nghệ truyền tải khác, các giao thức định tuyến, hoặc chuyển mạch
phần cứng khác so với các khối mạng còn lại, cung cấp cho các tùy chọn thiết kế
linh hoạt hơn khi cần thiết.
- Mơ hình mạng LAN 2 lớp
Trong một số trường hợp, do khả năng mở rộng vật lý hoặc mạng, khơng có
u cầu tách riêng lớp phân phối và lớp lõi. Ở các vị trí nhỏ hơn, nơi có ít người
dùng truy cập vào mạng hoặc trong các khối mạng bao gồm một tòa nhà đơn lẻ, các
lớp lõi và phân phối riêng biệt không cần thiết. Trong trường hợp này, có thể sử
dụng thiết kế mạng LAN hai lớp, còn được gọi là thiết kế mạng lõi bị gộp.
Hình 2. 4. Mơ hình hệ thống mạng 2 lớp [5].
2.2.
Vấn đề đảm bảo an toàn trong hệ thống mạng nội bộ của doanh nghiệp.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
19
Để tìm hiểu các vấn đề cần làm để đảm bảo an toàn trong hệ thống mạng nội
bộ của doanh nghiệm, chúng tơi đi phân tích các nguy cơ tấn cơng trong mạng nội
bộ và từ đó tìm hiểu các giải pháp bảo mật để đảm bảo an toàn hệ thống mạng.
2.2.1. Các nguy cơ tấn công trong mạng nội bộ.
Kiến trúc của một mạng nội bộ thông thường đều hướng đến mục tiêu rẻ và
dễ triển khai. Một lợi thế lớn của một mạng nội bộ là chỉ bằng cách kết nối thiết bị
chuyển mạch và máy tính cùng với cáp và để nó hoạt động tự động. Tuy nhiên, các
tính năng cho phép điều này, như học bảng địa chỉ MAC, STP và ARP là những lỗ
hổng cần lưu ý. Hơn nữa các VLAN không cung cấp đủ sự phân chia giữa các vùng
mạng, vì một switch khơng có cách nào tự động biết được nó được kết nối với một
switch khác hay đến một host được giả là một switch.
Kẻ tấn cơng có thể là người trong cuộc với quyền truy cập đầy đủ, có thể đã
tìm thấy kết nối Ethernet trong không gian công cộng hoặc có thể đã kiểm sốt một
trạm làm việc và sử dụng một ứng dụng phần mềm độc hại hoặc các phương pháp
tấn công khác.
Chúng tôi sẽ mô tả các phương pháp nổi bật nhất để tấn công các vùng mạng
nội bộ. Kẻ tấn cơng có thể sử dụng truy cập mạng nhằm mục đích để: (1) học về
topo mạng riêng và mạng lưới để sử dụng trong một cuộc tấn cơng sau này, (2)
chiếm quyền kiểm sốt các thiết bị chuyển mạch, bộ định tuyến hoặc máy chủ trong
mạng LAN, (3) nghe trộm, (4) thao túng thông tin, (5) làm gián đoạn mạng lưới.
Mặc dù nhiều công việc đã được thực hiện để đảm bảo các giao thức và ứng
dụng được sử dụng trên các lớp trên, nhưng nhiều hệ thống được thiết kế để sử
dụng nội bộ trong các tổ chức vẫn dựa vào giả thiết rằng mạng nội bộ được an toàn.
2.2.1.1.
Truy cập vào mạng và hệ thống.
Truy cập vào mạng là một điều kiện tiên quyết cho các cuộc tấn cơng. Truy
cập có thể đạt được bằng cách kết nối thiết bị với mạng hoặc bằng cách kiểm sốt
các tài ngun hiện có.
Đỗ Xn Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
20
1) Kết nối trái phép vào mạng: Ethernet đã được thiết kế để dễ triển khai và
yêu cầu sự quản trị tối thiểu. Do đó nguy cơ có thể bị kết nối trái phép với một phân
vùng mạng nội bộ bằng cách truy cập vào một cổng mạng còn trống trên switch
(truy cập vật lý vào cổng trên switch, truy cập vào ổ cắm mạng trên tường, tháo cáp
ra khỏi máy tính và cắm vào máy tính khác, hoặc cắm một switch khác giữa máy
tính hiện tại và ổ cắm mạng).
2) Sự mở rộng không được phép của Mạng: Kiến trúc của mạng nội bộ cho
phép người dùng mở rộng mạng bằng cách lắp đặt các thiết bị switch hoặc điểm
truy cập khơng dây của họ, từ đó cho phép những người khác tham gia vào mạng.
3) Truy cập vào VLAN: Nếu một switch lắng nghe các giao thức quản lý
VLAN trên các cổng host, một máy đầu cuối có thể hoạt động như một switch và
kết nối vào tất cả các VLAN.
4) Gắn thẻ và bước nhảy VLAN (VLAN Tagging and Hopping): Một kẻ tấn
cơng có thể tạo các khung Ethernet có một thẻ VLAN tagging và do đó tiêm nhiễm
các khung/bản tin vào VLAN mà chúng khơng có quyền truy cập. Trong cuộc tấn
công "gắn thẻ đôi" thể hiện trong Hình 2.5, máy tính của kẻ tấn cơng thuộc VLAN
1 và liên kết trunk từ switch cục bộ được cấu hình cũng thuộc VLAN 1. Người tấn
cơng tạo ra một khung địa chỉ MAC của máy tính đích như người nhận và chứa một
thẻ VLAN 1 và một thẻ VLAN 2. Switch nội bộ được thông báo thẻ đầu tiên, vì địa
chỉ MAC của khung hướng tới cây mạng mà nó thuộc về VLAN 1, nên switch sẽ gỡ
thẻ này và đẩy khung vào liên kết trunk của VLAN 1, nơi mà switch nhận nhận thấy
thẻ thứ hai và xử lý khung như là thuộc về VLAN 2 và do đó gói tin được truyền tới
máy mục tiêu.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
21
Hình 2. 5. Tấn cơng thẻ VLAN đơi [9]
VLAN hopping cũng có thể thực hiện khi một thiết bị lớp 3, chẳng hạn như
một bộ định tuyến IP, đang có một số VLAN và có thể truy cập tất cả chúng. Một
kẻ tấn cơng có thể gửi một khung với địa chỉ MAC của cổng router của router LAN
và địa chỉ IP của một máy tính trong một VLAN khác, do đó sử dụng lớp 3 để vượt
qua các giới hạn của lớp 2. Tùy thuộc vào cấu hình, router sẽ nhận được khung và
chuyển tiếp nó đến lớp IP, kiểm tra địa chỉ IP và gửi lại nó cho đúng người nhận
trên VLAN khác với kẻ tấn công.
5) Truy cập từ xa vào mạng LAN: Truy cập vào một vùng mạng nội bộ có
thể đạt được bằng cách truy cập vào một máy tính trên vùng mạng, ví dụ bằng cách
sử dụng mạng xã hội và để lấy được một account người dùng tại mạng đích để mở
một dịch vụ quản trị hệ thống từ xa, sau đó kết nối với máy tính trên Internet và cho
phép kẻ tấn công truy cập vào mạng nội bộ.
6) Khám phá bản đồ mạng (topology) và các điểm yếu mạng: Một kẻ tấn
cơng có thể thăm dị mạng để tìm các máy tính và các dịch vụ trong đó bằng cách
gửi bản tin và phân tích các hồi đáp.
7) Đột nhập (Break-Ins): Người tấn cơng có thể sử dụng mạng Ethernet làm
phương tiện để tấn cơng các máy tính và switch trên mạng. Các cuộc tấn công này
thường nhắm vào các mục tiêu lỗ hổng trên phần mềm mạng lớp cao hơn, như ngăn
xếp TCP/IP và các ứng dụng máy chủ đặc biệt. Chúng có thể dẫn đến việc bắt các
gói tin máy tính và switch, có thể được sử dụng cho các cuộc tấn công khác.
Đỗ Xuân Đỉnh - SHHV: CB150847 -
Lớp : 15BMMT
22
