Tải bản đầy đủ (.docx) (52 trang)

Triển khai thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.09 MB, 52 trang )

MỤC LỤC

LỜI NÓI ĐẦU
Hiện nay, hầu hết các tổ chức, đơn vị, trường học đều đã kết nối mạng nội bộ mạng đến
các chi nhánh, đối tác và đã thừa hưởng nhiều lợi ích từ đó. Nhưng chính sự thuận lợi này lại chức
nhiều mối nguy hiểm tiềm ẩn như: virus, hacket, vv công nghệ cao.
Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm.
Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục tiêu của việc
nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau.
Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, dẫn một điều hiển nhiên là
chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị. Càng giao thiệp
rộng thì càng dễ bị tấn công, đó là một quy luật. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời
xuất hiện. Bảo mật ra đời.
1


Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà
còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ
thống thanh toán điện tử và giao dịch trực tuyến….
Bảo mật hệ thống mạng cho doanh nghiệp với giải pháp nào là tốt nhất? Đây chính là nội
dung chính trong đợt báo cáo thực tập tốt nghiệp này của em.
Với đề tài “ Triển khai & tkiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và
Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST ”, báo cáo gồm 3
chương:
Chương 1 tổng quan về bảo mật mạng cho doanh nghiệp
Chương 2 tìm hiểu về giao thức Vlan Access List
Chương 3 xây dựng giải pháp bảo mật mạng cho Công ty Bigdigital dựa trên giao thức
VLAN ACCESS LIST.
Do thời gian và kiến thức của em có hạn, bài báo cáo của em vẫn còn nhiều thiếu sót, rất
mong nhận được sự chỉ bảo, góp ý và cảm thông của các thầy cô. Em hy vọng sau này có thể tiếp
tục nghiên cứu sâu hơn về vấn đề này.



LỜI CẢM ƠN
Lời đầu tiên, em xin gửi lời cảm ơn sâu sắc tới Th.s Đỗ Đình Cường và Th.s Lê Hoàng
Hiệp. Hai thầy đã tận tình chỉ bảo em trong quá trình làm bài báo cáo này. Em cũng xin chân
thành cảm ơn các thầy cô giáo đã truyền đạt kiến thức giúp em có thêm vốn kiến thức để hoàn
thành tốt bài báo cáo.
Bên cạnh đó, em cũng xin gửi lời cảm ơn tới gia đình, bạn bè. Những người đã động viên
và giúp đỡ em về mặt tinh thần trong thời gian này.
Cuối cùng, em xin gửi lời cảm ơn đến gia đình và bạn bè, những người đã động viên em
rất nhiều trong suốt thời gian qua.

2


Thái Nguyên, ngày tháng năm 2016
Nguyễn Văn Thái

CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG CHO DOANH NGHIỆP
1. Tổng quan về bảo mật mạng cho doanh nghiệp
Bảo mật mạng là gì ?
Mục tiêu của việc kết nối mạng là đề tài nhiều người sử dụng từ những vị trí địa lý khác
nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc điểm nhiều người sử
dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất
mát, xâm phạm là cần thiết và cấp bách. Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an
toàn cho tất cả các thành phần mạng bao gồm: dữ liệu, cơ sở hạ tầng mạng và đảm bảo mọi tài
nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ
những người có thẩm quyền tương ứng.
Bảo mật mạng gồm:
Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố, rủi ro đối với thiết
bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng.

3


Đánh giá nguy cơ tấn công của các Hacket đến mạng, sự phát tán virus... Phải nhận thấy an
toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và
trong việc khai thác sử dụng các tài nguyên mạng.
Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho
việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, lỗi hổng khiến mạng có
thể bị xâm nhập thông qua cách tiếp cận có cấu trúc. Xác định những nguy cơ ăn cắp, phá hoại
máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy cơ xóa, phá hoại CSFL, ăn cắp mật khẩu,…
nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết
những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để
đảm bảo an ninh mạng.
Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và những biện pháp, chính sách
cụ thể chặt chẽ.
Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủ động.
Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội dung và luồng thông tin có bị
trao đổi hay không. Vi phạm thụ chỉ nhằm mục đích nắm bắt được thông tin. Vi phạm chủ động là
thực hiện sự biến đổi, xóa bỏ hoặc thêm thông tin ngoại lại để làm sai lệch thông tin gốc nhằm
mục đích phá hoại. Các hành động vi phạm thụ động thường rất khó có thể phát hiện nhưng có thể
ngăn chặn hiệu quả. Trái lại, vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn.

Các đặc trưng kỹ thuật của bảo mật mạng
1. Tính xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp trên
mạng. Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một thiết bị
phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt
động của một phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra tính xác
thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính
xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau:
Đối tương cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như password, mã số thông

tin cá nhân PIN.
Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những
thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng.
Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có
những thông tin để định danh tính duy nhất của mình, ví dụ như thông qua giọng nói, dấu vân tay,
chữ ký…
Có thể phân loại bảo mật bảo mật trên VPN theo các cách sau: mật khẩu truyền thống hay
mật khẩu một lần, xác thực thông qua các giao thức (PAP, CHAP,…) hay phần cứng (các loại thẻ
card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng
mạc…).

4


2. Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên mạng được các
thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ lúc nào, trong hoàn cảnh
nào. Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử dụng bình thường với
thời gian quá trình hoạt động để đánh giá. Tính khả dụng cần đáp ứng những yêu cầu sau: Nhận
biết và phân biệt được thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và
khống chế tiếp cận cưỡng bức), khống chế lưu lượng (khống chế tắc nghẽn), khống chế chọn
đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự
kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp
tương ứng).
3.Tính bảo mật (confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các
thực thể hay quá trình không được ủy quyền biết hoặc không để cho các đối tượng xấu lợi dụng.
Thông tin chỉ cho phép thực thể được ủy quyền sử dụng. Kỹ thuật bảo mật thường là phòng ngừa
dò la thu thập, phòng ngừa bức xạ, tăng cường bảo mật thông tin (dưới sự khống chế của khóa mật
mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết lộ).

4.Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được ủy quyền thì

không thể tiến hành được, tức là thông tin trên mạng khi đang lưu giữ hoặc trong quá trình truyền
dẫn đảm bảo không bị xóa, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào một cách ngẫu
nhiên hoặc cố ý và những sự phá hoại khác. Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn
thông tin trên mạng gồm :sự cố thiết bị, sai mã, bị tác động của con người, virus máy tính…
 Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng:
Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép…Nếu phát hiện thì
thông tin đó sẽ bị vô hiệu hóa.
Phương pháp phát hiện sai và và sửa sai. Phương pháp sửa sai mã hóa đơn giản nhất và thường
dùng là phép kiểm tra tính chẵn lẻ.
Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin.
Chữ ký điện tử: bảo đảm tính xác thực của thông tin.
5.Tính khống chế (Acountlability): Là đặc tính về năng lực khống chế truyền bá và nội
dung vốn có của tin tức trên mạng.
6.Tính không thể chối cãi (Nonreputation): Trong quá trình giao lưu tin tức trên mạng, xác
nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia
không thể chối bỏ được hoặc phủ nhận những thao tác và cam kết đã được thực hiện.
Các nguy cơ đe dọa
Đánh giá về sự đe dọa
Về cơ bản có 4 mối đe dọa đến vấn đề bảo mật mạng như sau:
Đe dọa không có cấu trúc (Unstructured threats)
Đe dọa có cấu trúc (Structured threats)
Đe dọa từ bên ngoài (External threats)
Đe dọa từ bên trong (Internal threats)
) Đe dọa không có cấu trúc

5


Những mối đa dọa thuộc dạng này được tạo ra bởi những hacker không lành nghề, họ thật
sự không có kinh nghiệm. Những người này ham hiểu biết và muốn download dữ liệu từ mạng

Internet về. Họ thật sự bị thúc đẩy khi nhìn thấy những gì mà họ có thể tạo ra.
) Đe dọa có cấu trúc
Hacker tạo ra dạng này tinh tế hơn dạng có cấu trúc rất nhiều. Họ có kỹ thuật và sự hiểu
biết về cấu trúc của hệ thống mạng. Họ thành thạo trong việc làm thế nào để khai thác những điểm
yếu trong mạng. Họ tạo ra một hệ thống có “cấu trúc” về phương thức xâm nhập sâu vào trong hệ
thống mạng.
Cả hai dạng có cấu trúc và không có cấu trúc đều thông qua Internet để thực hiện tấn công
mạng.
) Đe dọa từ bên ngoài
Xuất phát từ Internet, những người này tìm thấy lỗ hổng trong hệ thống mạng từ bên
ngoài. Khi các công ty bắt đầu quảng bá sự có mặt của họ trên Internet thì cũng là lúc các hacker
rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệu và phá hủy hệ thống mạng.
) Đe dọa từ bên trong
Mối đe dọa này thật sự rất nguy hiểm bởi vì nó xuất phát từ ngay trong chính nội bộ, điển
hình là nhân viên hoặc bản thân những người quản trị. Họ có thể thực hiện việc tấn công một cách
nhanh gọn và dễ dàng vì họ am hiểu cấu trúc cũng như biết rõ điểm yếu của hệ thống mạng.
Các lỗ hổng và điểm yếu của mạng
Các lỗ hổng của mạng
Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm
quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp lệ vào hệ thống. Các lỗ hổng
tồn tại trong các dịch vụ như : Sendmail, Web,… và trong hệ điều hành mạng như trong
WindowsNT, Windows95, Unix hoặc trong các ứng dụng.
Các lỗ hổng bảo mật trên một hệ thống được chia như sau:
Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS. DoS là hình
thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống
ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một
số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở
nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới.
Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể được
nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay,

chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế
giao thức ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm
tàng của các lỗ hổng này.
Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì
chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy
hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ
thống.
6


Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực
hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu với hình thức tấn công này
là sử dụng dịch vụ Web. Giả sử: trên một Web Server có những trang Web trong đó có chứa các
đoạn mã Java hoặc JavaScripts, làm “treo” hệ thống của người sử dụng trình duyệt Web của
Netscape bằng các bước sau:
Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape.
Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số các cửa sổ, trong mỗi
cửa sổ đó nối đến các Web Server khác nhau.
Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống. Đây cùng là một hình
thức tấn công kiểu DoS. Người sử dụng trong trường hợp này chỉ có thể khởi động lại hệ thống.
Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không xây dựng các
cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail. Như chúng ta đã
biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu và chuyển tiếp; một số hệ thống mail không
có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các
máy chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của
hệ thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ không xác định, vì máy chủ
mail luôn phải tốn năng lực đi tìm những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch
vụ. Số lượng các messages có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng
Internet.
Các lỗ hổng loại B: Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người

sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.
Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng
local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định.
Sau đây sẽ phân tích một số lỗ hổng loại B thường xuất hiện trong ứng dụng Sendmail:
Sendmail là một chương trình được sử dụng rất phổ biến trên hệ thống UNIX để thực hiện
gửi thư điện tử cho những người sử dụng trong nội bộ mạng. Thông thường, sendmail là một
daemon chạy ở chế độ nền được kích hoạt khi khởi động hệ thống. Trong trạng thái hoạt động,
sendmail mở port 25 đợi một yêu cầu tới sẽ thực hiện gửi hoặc chuyển tiếp thư. Sendmail khi
được kích hoạt sẽ chạy dưới quyền root hoặc quyền tương ứng (vì liên quan đến các hành động
tạo file và ghi log file). Lợi dụng đặc điểm này và một số lỗ hổng trong các đoạn mã của sendmail,
mà các đối tượng tấn công có thể dùng sendmail để đạt được quyền root trên hệ thống.
Để khắc phục lỗi của sendmail cần tham gia các nhóm tin về bảo mật; vì sendmail là
chương trình có khá nhiều lỗi; nhưng cũng có nhiều người sử dụng nên các lỗ hổng bảo mật
7


thường được phát hiện và khắc phục nhanh chóng. Khi phát hiện lỗ hổng trong sendmail cần nâng
cấp, thay thế phiên bản sendmail đang sử dụng.
Một loạt các vấn đề khác về quyền sử dụng chương trình trên UNIX cũng thường gây nên
các lỗ hổng loại B. Vì trên hệ thống UNIX, một chương trình có thể được thực thi với 2 khả năng:
- Người chủ sở hữu chương trình đó kích hoạt chạy.
- Người mang quyền của người chủ sở hữu chủ nhân của file đó

Các loại lỗ hổng loại B khác
Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn viết bằng
C. Những chương trình viết bằng C thường sử dụng một vùng đệm – là một vùng trong bộ nhớ sử
dụng để lưu dữ liệu trước khi xử lý. Những người lập trình thường sử dụng vùng đệm trong bộ
nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ, người sử dụng viết
chương trình nhập trường tên người sử dụng; qui định trường này dài 20 ký tự. Do đó họ sẽ khai
báo:

char first_name [20];
Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi nhập dữ liệu,
trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự; sẽ xảy ra hiện
tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ nằm ở một vị trí không kiểm soát được trong
bộ nhớ. Đối với những người tấn công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc
biệt, để thực thi một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hổng này thường được lợi
dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ.
Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng
loại B.
Các lỗ hổng loại A: Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mật
của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc
không kiểm soát được cấu hình mạng.
Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là Apache, Đối với Web
Server này thường cấu hình thư mục mặc định để chạy các scripts là cgi-bin; trong đó có một
Scripts được viết sẵn để thử hoạt động của apache là test-cgi. Đối với các phiên bản cũ của
Apache (trước version 1.1), có dòng sau trong file test-cgi:
echo QUERY_STRING = $QUERY_STRING

8


Biến môi trường QUERY_STRING do không được đặt trong có dấu ” (quote) nên khi phía
client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự
“*”, web server sẽ trả về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts
cgi). Người sử dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ
thống server.
Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều hành Novell;
Các web server này có một scripts là convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung
các files trên hệ thống.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng;

người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm
yếu này.
Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về
bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ
thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger…

. Ảnh hưởng của các lỗ hổng bảo mật trên mạng Internet

Phần trình bày ở trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những
người tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một
chuỗi mắt xích những lỗ hổng. Ví dụ, một người muốn xâm nhập vào hệ thống mà anh ta không
có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên anh ta sẽ tìm ra
các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò sét
thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu như nhất
đã đạt được, anh ta có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu
và thực hiện các hành động tấn công tinh vi hơn.
Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không?
Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là
các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về
sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống.
Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số
phương pháp để khắc phục hệ thống.
Trên mạng Internet có một số nhóm tin thường thảo luận về các chủ đề liên quan đến các lỗ
hổng bảo mật đó là:
CERT (Computer Emergency Reponse Team): Nhóm tin này hình thành sau khi có phương
thức tấn công Worm xuất hiện trên mạng Internet. Nhóm tin này thường thông báo và đưa ra các
trợ giúp liên quan đến các lỗ hổng bảo mật. Ngoài ra nhóm tin còn có những báo cáo thường niên
9



để khuyến nghị người quản trị mạng về các vấn đề liên quan đến bảo mật hệ thống. Địa chỉ Web
site của nhóm tin: />CIAC (Department of Energy Computer Incident Advisory Capability): tổ chức này xây
dựng một cơ sở dữ liệu liên quan đến bảo mật cho bộ năng lượng của Mỹ. Thông tin của CIAC
được đánh giá là một kho dữ liệu đầy đủ nhất về các vấn đề liên quan đến bảo mật hệ thống. Địa
chỉ web site của CIAC : />FIRST (The Forum of Incident Response and Security Teams): Đây là một diễn đàn liên
kết nhiều tổ chức xã hội và tư nhân, làm việc tình nguyện để giải quyết các vấn đề về an ninh của
mạng Internet. Địa chỉ Web site của FIRST: ./ Một số thành viên của FIRST
gồm:
CIAC
NASA Automated Systems Incident Response Capability.
Purdue University Computer Emergency Response Team
Stanford University Security Team
IBM Emergency Response Team

. Các kiểu tấn công

Tấn công trực tiếp
Những cuộc tấn công trực tiếp thường được sử dụng trong giai đoạn đầu để chiếm được
quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật
khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện nào đặc biệt để
bắt đầu. Kẻ tấn công có thể dựa vào những thông tin mà chúng biết như tên người dùng, ngày
sinh, địa chỉ, số nhà v.v… để đoán mật khẩu dựa trên một chương trình tự động hóa về việc dò tìm
mật khẩu. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên đến
30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được
sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một
số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống.
Nghe trộm
Việc nghe trộm thông tin trên mạng có thể đem lại những thông tin có ích như tên, mật
khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến

10


hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương
trình cho phép. Những thông tin này cũng có thể dễ dàng lấy được trên Internet.
Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường
trực tiếp. Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ
IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đới với mạng
bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.
Vô hiệu hóa các chức năng của hệ thống
Đây là kiểu tấn công nhầm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết
kế. kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công
cũng chính là các phương tiện để làm việc và truy cập thông tin trên mạng. Ví dụ sử dụng lệnh
“ping” với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng
của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích
khác.
Lỗi của người quản trị hệ thống
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản
trị hệ thống thường được tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào
mạng nội bộ.
Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để
yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí
thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn
công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu và chỉ có một cách giáo dục
người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng
đáng nghi.
Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ
có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn

của hệ thống bảo vệ.

. Các biện pháp phát hiện hệ thống bị tấn công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều có
những lỗ hổng bảo mật tiềm tàng. Người quản trị hệ thống không những nghiên cứu, xác định các
11


lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay
không. Một số biện pháp cụ thể:

. Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treo bằng những thông báo lỗi

không rõ ràng. Khó xác định nguyên nhân do thiếu thông tin liên quan. Trước tiên, xác định các
nguyên nhân có phải phần cứng hay không, nếu không phải nghĩ đến khả năng máy tính bị tấn
công.

. Kiểm tra các tài khoản người dùng mới lạ, nhất là với các tài khoản có ID bằng không.

. Kiểm tra sự xuất hiện của các tập tin lạ. Người quản trị hệ thống nên có thói quen đặt tên tập theo

mẫu nhất định để dễ dàng phát hiện tập tin lạ.

. Kiểm tra thời gian thay đổi trên hệ thống.

. Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang

hoạt động trên hệ thống.


. Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp.

. Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoản

này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát
được.

. Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần thiết.

. Kiểm tra các phiên bản sendmail,/bin, /mail, ftp… tham gia các nhóm tin về bảo mật để có thông

tin về lỗ hổng của dịch vụ sử dụng.
Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống.
Một số giải pháp dùng cho doanh nghiệp vừa và nhỏ
Với các doanh nghiệp nhỏ việc trang bị một mạng tác nghiệp vừa phải đảm bảo an ninh an
toàn, vừa phải phù hợp chi phí, dễ triển khai và bảo trì là điều rất cần thiết. Ở đây chúng ta đưa ra
giải pháp dùng một thiết bị PC đa chức năng làm tường lửa để bảo vệ vành đai, chạy IDS để cảnh
báo tấn công, chạy NAT để che cấu trúc logic của mạng, chạy VPN để hỗ trợ kết nối xa bảo mật
với các cấu hình cơ bản sau:
Intel x86 based hardware: CPU 1GHz, SDRAM 512MB, HDD/Flash 1GB.
Ethernet 10/100Mbps: 1xLAN, 2xWAN, 1xDMZ

12


Firewall: Policy based, NAT/NATPT, SPI
Kết nối mạng: PPPoE, Static Router, RIPv2
Cân bằng tải: Policy-based routing, Round-Robin
VPN: 1000 tunnels, PPTP/1Psec, DES/3DES/AES, SHA-11/MD5, Client –to-Site/Site-to-Site
Quản lý băng thông: Policy-based

Netwwork servers: DDNS, DHCP, SIP Proxy
Quản trị, cấu hình hệ thống: Web-GUI, SNMP, Telnet/Console.

Hình 1.1: Sơ đồ mạng cho doanh nghiệp cỡ nhỏ
Với các doanh nghiệp vừa thì sơ đồ trên phù hợp cho các chi nhánh của họ. Còn tại trung
tâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như:

13


Hình 1.2: Sơ đồ mạng cho doanh nghiệp cỡ vừa
Tổng quan về giao thức Vlan Access List
Giới thiệu về giao thức Vlan Access List
Vlan Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong
mạng. Cho phép kiểm soát lưu lượng chạy trên Switch. Khi cấu hình Vlan Access-list người dùng
có thể phân loại lưu lượng: IP, TCP,www… Tùy vào chính sách của nhà quản trị mạng có thể lọc
bỏ hoặc cho các loại thông tin đó lưu thông trong mạng.
Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan)
Vlan Access-list có các đặc tính như Router Access-list (RACLs) có thể loại bỏ, cho qua,
hay tái định hướng (redirection) các gói tin.
Truy cập Maps và Entries
VACLs dùng Access Maps để chứa danh sách tuần tự một hoặc nhiều mẩu tin (entry) về
việc quản lý truy cập. Mỗi mẩu tin trong bản đồ truy cập mô tả việc kiểm tra gói tin dựa vào IP
hoặc MAC để áp dụng cho một hành động nào đó đối với những gói tin khác. Các mẩu tin đều
được đánh số thứ tụ nên ta có thể cấu hình ưu tiên cho các mẩu tin phù hợp với một yêu cầu nào
đó. Khi các gói tin đi qua thiết bị sẽ được kểm tra thông qua VACL dựa vào bản đồ truy cập đã
được cấu hình mà thiết bị sẽ quyết định có chuyển tiếp gói tin hay không. Những mẫu tin trong
VLAN Access Maps cung cấp các hành động đối với gói tin như sau:
Forward: Hành động này sẽ cho phép gói tin được chuyển qua switch.
Redirect: Gói tin sẽ được chuyển hướng sang một hoặc nhiều giao diện được chỉ định.

Drop: Với một gói tin vi phạm thì hành động này cho phép hủy gói tin ngay lập tức và chúng ta có
thể lưu trạng thái (logs) về việc hủy gói tin này.
Hoạt động của VACLs
Mỗi 1 VLAN Maps có thể xác định các hoạt động sau đây:
14


Forward-gửi lưu lượng truy cập đến địa điểm được xác định bởi hoạt động bình thường của
switch.
Redirect- chuyển hướng lưu lượng truy cập đến 1 hoặc nhiều giao diện được chỉ định.
Drop- giảm lưu lượng. Nếu bạn thực hiện giảm lưu lượng, bạn cũng có thể ghi lại các gói tin nhờ
các thiết bị.
Trong chế độ cấu hình cho Maps, bạn sử dụng lệnh action để xác định hành động cho một
mục bản đồ.
Đối với mỗi Maps truy cập VLAN mà bạn cấu hình, bạn có thể xác định xem thiết bị duy
trì thống kê cho VACL đó. Tính năng này cho phép bạn bật các thống kê VACL hoặc tắt khi cần
thiết để theo dõi lưu lượng truy cập được lọc bỏ bởi một VACL hay để giúp khắc phục sự cố
VLAN cấu hình truy cập Maps.
Cấu hình Vlan Access List
Bạn có thể tạo một VACL hoặc thêm các mục vào một VACL hiện có. Trong cả hai trường
hợp, bạn tạo một mục VACL, đó là một mục truy cập Máp VLAN sẽ kết hợp một hoặc nhiều
ACLs với một hành động được áp dụng cho lưu lượng phù hợp.
Các bước thực hiện tạo thêm 1 VACL:
Config t
Vlan access-map map-name[sequence-number]
Match{ip|ipv6} address ip-access-list
Action {drop|forward| redirect}
Statistics per-entry
Show running-config aclmgr
Copy running-config startup-config

Thay đổi một Entry VACL
Bạn có thể thêm các mục VLAN truy cập Maps đến VACL hiện tại, thay đổi VLAN truy
cập Maps, và có thể cấu hình các thiết bị duy trì thống kê cho VLAN.
Các bước thực hiện:
Config t
Vlan access-map map-name[sequence-number]
[No] Match{ip|ipv6} address ip-access-list
[No] Match address mac-access-list
Action {drop| forward| redirect}
[no] Statistics per-entry
Show running-config aclmgr
Copy running-config startup-config
Loại bỏ một VACL hoặc một Entry VACL
Thực hiện xóa bỏ 1 VACL, nghĩa là chúng ta đã loại bỏ các access-map VLAN. Ngoài ra,
có thể gỡ bỏ 1 mục access-map Vlan duy nhất từ một VACL.
Các bước thực hiện:
Config t
No vlan access-map map-name [sequence-number]
15


Show running-config aclmgr
Copy running-config startup-config
Áp dụng một VACl tới một VLAN
Nếu bạn đang áp dụng một VACL, đảm bảo rằng các VACL tồn tại và được cấu hình để
lọc lưu lượng theo cách mà bạn cần cho ứng dụng này. Gồm các bước thực hiện như sau:
Config t
[No] vlan filter map-name vlan-list list
Show running-config aclmgr
Copy running-config startup-config

Hiển thị thông tin cấu hình VACL, sử dụng một trong các lệnh sau:
Show running-config aclmgr : hiển thị cấu hình ACL, bao gồm cấu hình VACL liên quan.
Show vlan filter : hiển thị thông tin về VACLs được áp dụng cho một VLAN.
Show vlan access-map: hiển thị thông tin về VLAN access-map.
Hiển thị hoặc xóa cấu hình VACL :
Show vlan access-list: hiển thị cấu hình VACL. Nếu các access-map VLAN bao gồm các số liệu
thống kê mỗi lần thực hiện lệnh nhập, sau đó chương trình vlan hiển thị danh sách truy cập lệnh
bao gồm số lượng các gói tin đã xuất hiện từng lệnh.
Clear vlan access-list counters: xóa tất cả các dữ liệu trong VACLs hoặc cho 1 VACL cụ thể nào
đó.
Ví dụ cấu hình cho VACL
Ví dụ sau đây cho thấy làm thế nào để cấu hình một VACL để chuyển tiếp lưu lượng cho
phép của một ACL MAC tên acl-mac-01 và làm thế nào để áp dụng các VACL các VLAN 50-82.
Conf t
Vlan access-map acl-mac-map
Match mac address acl-mac-01
Action forward
Vlan filter acl-mac-map vlan-list 50-82.

CHƯƠNG 2: KHẢO SÁT & PHÂN TÍCH THIẾT KẾ HỆ THỐNG MẠNG TẠI
CÔNG TY TNHH TRUYỀN THÔNG VÀ CÔNG NGHỆ BIGDIGITAL VIỆT NAM
2.1. Giới thiệu về Công ty TNHH Truyền thông và Công nghệ Bigdigital
Công ty TNHH Truyền thông và Công nghệ Bigdigital với địa chỉ: Số 52 đội 2, Phường
Mỹ Đình 2, Quận Từ Liêm-Hà Nội, luôn tự hào với phương châm “khách hàng là tiêu chí hàng
đầu, vì sự hài lòng của khách hàng quyết định sự tồn tại của chúng tôi”. Big Digital Agency luôn
16


cố gắng mang lại sự hài lòng nhất cho khách hàng. Công ty luôn đem lại cho khách hàng những
dịch vụ tốt nhất với sự hỗ trợ tận tình nhất.

Công ty Bigdigital thực hiện các chức năng, nhiệm vụ chính như sau:
Thiết kế Website cho các cơ quan, doanh nghiệp, đặc biệt là các doanh nghiệp thuộc lĩnh vực
thương mại. Với 3 dạng thiết kế Web đặc biệt:
+ Thiết kế website chuẩn Seo
+ Thiết kế website chuẩn quốc tế
+ Thiết kế website giá rẻ
Seo: nhằm mục đích đưa thương hiệu hay sản phẩm dịch vụ của mình tới khách hàng/ đối tượng
mục tiêu trên công cụ tìm kiếm nhiều hơn đối thủ.
Google AdWords: là một dịch vụ thương mại của Google cho phép khách hàng mua những quảng
cáo tại các kết quả tìm kiếm do các đối tác Google Adsense cung cấp
Quảng cáo Facebook: đây là hình thức dễ dàng tiếp cận đối tượng khách hàng trẻ tuổi: học sinh,
sinh viên và nhân viên văn phòng, công sở…
2.2. Khảo sát hiện trạng
Mô hình tổ chức Công ty TNHH Truyền thông & Công nghệ Bigdigital Việt Nam
Mô hình công ty Bigdigital Việt Nam gồm 3 tầng:

 Tầng 1: Gồm 2 phòng: phòng kinh doanh (10pc +1 máy fax), phòng kế toán-tài vụ (5pc +1 máy

in).

 Tầng 2: Gồm 3 phòng: phòng server(1pc), phòng kỹ thuật (15pc), phòng kinh doanh (10pc + 1

máy in).

 Tầng 3: Gồm 3 phòng: phòng Giám đốc(1pc), phòng phó giám đốc (1pc), phòng kế hoạch (4pc).

Tổng quan hạ tầng của Công ty TNHH Công nghệ & Truyền thông Bigdigital Việt Nam

. Cơ sở vật chất kỹ thuật


Công ty TNHH Công nghệ & Truyền thông có một cơ sở vật chất khá đầy đủ và hiện đại.
Gồm 2 tòa nhà làm việc chính: Các phòng ban đều có một phòng riêng để làm việc được trang bị
17


điều hòa, máy vi tính, điện thoại và các thiết bị chuyên dùng khác, các phòng ban thông qua mạng
LAN có thể trao đổi thông tin, liên lạc với nhau một cách nhanh chóng, dễ dàng và thường xuyên
có sự cập nhật thông tin với bên ngoài qua mạng Internet.
Đặt bài toán
Bài toán đặt ra: Xây dựng hệ thống mạng LAN cho Công ty TNHH Truyền thông & Công
nghệ Bigdigital Việt Nam.
Công ty Bigdigital có một cơ sở, vật chất khá đầy đủ và hiện đại. Các phòng ban thông qua
mạng LAN có thể trao đổi thông tin, liên lạc với nhau một cách dễ dàng, nhanh chóng và thường
xuyên có sự cập nhật thông tin với bên ngoài thông qua mạng Internet.
Mạng LAN được xây dụng cần phải đáp ứng đầy đủ các yêu cầu sau:
Nguời quản trị mạng làm chủ được toàn bộ hệ thống mạng trong phạm vi toàn Công ty.
Đảm bảo việc truyền dữ liệu có dung lượng lớn với tốc độ xử lý cao, đáp ứng yêu cầu quản lý và
điều hành từ Tổng Công ty đến các Công ty có liên quan. Việc trao đổi thông tin nhanh chóng, đáp
ứng nhu cầu công việc với khối lượng cao, không xảy ra hiện tượng ách tắc đường truyền như
dial_up, dung lượng truyền dữ liệu lớn giảm bớt thời gian và chi phí.
Đáp ứng được yêu cầu bảo mật cao.
Các hệ thống trong nội bộ có thể truy cập đến các Server để lưu trữ dữ liệu và sử dụng các dịch vụ
cho phép (tra cứu, cập nhật thông tin, theo dõi và chỉnh sửa thông tin…).
Công ty Bigdigital xây dựng hệ thống mạng nội bộ LAN hoạt động độc lập.
Việc truyền files dữ liệu, file báo cáo giữa Công ty với các Công ty khác cùng hạng mục được
thực hiện qua modem dial_up (kết nối bằng quay số điện thoại). Do đó chỉ xử lý một số công việc
nhỏ, tốc độ xử lý chậm thường xuyên ách tắc đường truyền, khả năng đáp ứng được về điều hành
còn hạn chế. Nhằm xử lý được khối lượng công việc đồng thời giảm bớt được thời gian và chi phí
cần phải xây dựng một hệ thống mạng VLAN để đảm bảo tính chính xác, an toàn và thuận lợi cho
công tác quản lý, điều hành


. Tình hình tổ chức bộ máy quản lý của Công ty TNHH Truyền thông & Công nghệ Bigdigital Việt

Nam
Căn cứ vào chức năng, nhiệm vụ, Công ty Bigdigital cần một số nguồn lực mạnh, với trình
độ kỹ thuật cao để có thể tạo nên những trang Web thật đẹp, phong cách và độc đáo. Bên cạnh đó
kỹ năng Seo cũng phải thật chuyên nghiệp, chuyên môn thật giỏi.
Để đảm bảo sự tồn tại và phát triển tốt cho Công ty, mỗi phòng ban có nhiệm vụ riêng của
mình:
- Giám đốc: Là người đứng đầu doanh nghiệp, người đại diện cho doanh nghiệp và giữ vai
trò lãnh đạo chung, chịu trách nhiệm về mọi kết quả
hoạt động kinh doanh của doanh nghiệp. Giúp việc cho giám đốc có 03 Phó giám đốc phụ
trách từng lĩnh vực công việc được phân công.
18


- Phó giám đốc: Phụ trách công tác kinh doanh, quản lý, vận hành, kỹ thuật, an toàn trong
quá trình thiết kế, lưu trữ dữ liệu và truyền tải dữ liệu, quản lý mua bán, cấp phát, sử dụng Web,
quảng cáo Facebook, quảng cáo Google Adwords…
- Phòng tổ chức- hành chính: Xây dụng kế hoạch tuyển dụng lạo động: kế hoạch tiền lương
hàng năm. Quản lý cán bộ, nhân sự lao động và tiền lương theo các quy định của Công ty. Quản lý
toàn bộ tài sản, trang thiết bị văn phòng của Công ty. Thực hiện công tác văn thư, lưu trữ hồ sơ
theo quy định.
- Phòng Kế toán- tài vụ: Tổ chức, quản lý toàn bộ các hoạt động kế toán, tài chính của công
ty theo phân cấp và các quy chế, quy định của Tổng Công ty và các quy định của nhà nước.
Quản lý toàn bộ các loại quỹ của Công ty theo đúng quy định của Tổng Công ty và của Nhà
nước. Thực hiện chế độ báo cáo tài chính và lưu trữ, bảo quản đầy đủ chứng từ kế toán ban đầu
theo quy định hiện hành. Xây dựng kế hoạch tài chính hàng năm.
Phòng kinh doanh: Chủ động tìm kiếm đối tác để phát triển, mạng lưới phân phối, từng bước mở
rộng thị trường trong và ngoài nước. Nghiên cứu và tham mưu cho Ban Giám đốc trong công tác

định hướng kinh doanh và xuất nhập khẩu. Thực hiện công tác marketing, nhiên cứu thị trường,
chọn lựa sản phẩm chủ lực và xây dựng chiến lược phát triển, thúc đẩy hoạt động xúc tiến thương
mại, tham gia hội thảo, hội chợ, tìm đối tác; thực hiện liên doanh, liên kết, mở rộng mạng lưới
kinh doanh trên thị trường nội địa và phát triển kinh doanh. Chủ động giao dịch, đàm phán trong
và ngoài nước, ký các thư từ, đơn chào hàng, trao đổi thông tin với khách hàng trong nước và
ngoài nước trong quá trình giao dịch khi đi đến ký kết hợp đồng kinh doanh của Công ty.
Phòng kỹ thuật: Tổ chức quản lý và điều hành hệ thống mạng, điện nước sinh hoạt, hệ thống xử lý
nước thải. Nghiên cứu xây dựng đề án đầu tư các công trình phục vụ cho hoạt động kinh doanh
của Công ty. Đề xuất những giải pháp kỹ thuật cải tiến trang thiết bị hiện có nhằm phục vụ hữu
ích công tác kinh doanh của Công ty. Vận hành bảo trì, sửa chữa. Phân tích đánh giá tình hình bảo
trì, bảo dưỡng các thiết bị máy móc của Công ty. Theo dõi và thực hiện các hợp đồng kinh tế trong
lĩnh vực kỹ thuật- đầu tư..
Phòng Server: Điều khiển mọi hoạt động truy cập mạng trong công ty.
Phòng kế hoạch: Có nhiệm vụ đưa ra các mục tiêu phấn đấu của công ty, các kế hoạch quảng bá
để công ty có thể hoàn thành đạt chỉ tiêu và vượt chỉ tiêu đề ra.
2.4. Quy trình thiết kế mạng LAN (chia các VLAN) cho Công ty Bigidigital Việt Nam
Khảo sát hiện trạng
Mục đích của giai đoạn này là nhằm xác định mong muốn của khách hàng trên mạng mà
chúng ta sắp xây dựng. Những câu hỏi cần được trả lời trong giai đoạn này là:
Bạn thiết lập mạng để làm gì? Sử dụng nó cho mục đích gì?
Các máy tính nào sẽ được nối mạng?
Những người nào sẽ được sử dụng mạng, mức độ khai thác sử dụng mạng của từng người/ nhóm
người ra sao?
Phương pháp thực hiện của giai đoạn này là phải phỏng vấn khách hàng. Cụ thể ở đây là
Công ty Truyền thông & Công nghệ Bigdigital Việt Nam.

19


Một công việc cũng hết sức quan trọng trong giai đoạn này là “Quan sát thực địa” để xác

định những nơi mạng sẽ đi qua, dự kiếm đường đi của mạng, quan sát hiện trạng công trình kiến
trúc nơi mạng sẽ đi qua. Thực địa đóng vai trò quan trọng trong việc chọn công nghệ và ảnh
hưởng lớn đến chi phí mạng. Sau khi khảo sát thực địa, cần vẽ phác thảo lại thực địa của công
trình kiến trúc mà mạng đi qua.
Trong quá trình phỏng vấn và khảo sát thực địa, đồng thời ta cũng cần tìm hiểu yêu cầu
trao đổi thông tin giữa các phòng ban, bộ phận giữa Công ty TNHH Bigdigital với các Công ty
khác, mức độ thường xuyên và lượng thông tin trao đổi. Điều này giúp ta trong việc chọn băng
thông cần thiết cho các nhánh mạng sau này.
Phân tích
Mục tiêu của hệ thống: hệ thống LAN và truy cập từ xa, cho Công ty TNHH Bigdigital
được thiết kế nhằm đảm bảo các mục tiêu sau đây:
Hệ thống này được xây dựng tại Công ty TNHH Bigdigital- thành phố Hà Nội.
Các hệ thống đều có độ ổn định, chính xác cao
Phải bảo toàn được đầu tư ban đầu cho hệ thống của Khách hàng.
Khi đã có được yêu cầu của khách hàng, bước kế tiếp là ta đi phân tích yêu cầu để xây
dựng bảng “Đặc tả yêu cầu hệ thống mạng”, trong đó xác định rõ những vấn đề sau:
Phân tích yêu cầu kỹ thuật:
+ Yêu cầu về hiệu năng mạng
Đánh giá thời gian đáp ứng giữa các trạm hay các thiết bị trên mạng,
Đánh giá độ trễ đối với các ứng dụng khi người dùng truy cập hay yêu cầu.
+ Yêu cầu các đòi hỏi về băng thông của các ứng dụng trên mạng,
Đánh giá công suất mạng đáp ứng khi người sử dụng tăng đột biến tại các điểm cổ chai.
+ Các yêu cầu về quản lý mạng.
Phân tích yêu cầu về ứng dụng:
Các ứng dụng cần triển khai nhanh trên mạng
Các ứng dụng có khả năng triển khai trong tương lai,
Số người sử dụng trên từng ứng dụng,
Giải thông cần thiết cho từng ứng dụng,
Các giao thức mạng cần dùng, và sẽ dùng,
Phân bố thời gian dùng mạng,…

+ Yêu cầu về quản lý mạng:
Xác định phương thức-kỹ thuật quản lý mạng,
Phương thức quan sát hiệu năng mạng,
20


Phương thức phát hiện lỗi của mạng
Phương thức quản lý cấu hình mạng.
+ Yêu cầu về an ninh-an toàn mạng:
Xác định các kiểu an ninh-an toàn,
Xác định các yêu cầu cần bảo vệ khi kết nối với mạng ngoài và kết nối với
internet.
Xác định các yêu cầu về ứng dụng và các ràng buộc về tài chính, thời gian thực
hiện, yêu cầu về chính trị của dự án, xác định nguồn nhân lực, xác định các tài nguyên đã có và có
thể tái sử dụng.
Lựa chọn mô hình, công nghệ kết nối
Lựa chọn phần cứng (thiết bị, công nghệ kết nối,…),
Lựa chọn router
Lựa chọn gateway
Lựa chọn modem, NTU,…
Lựa chọn Access server
Lựa chọn bộ chuyển mạch LAN
Lựa chọn các server ứng dụng
Lựa chọn phần mềm
Lựa chọn hệ điều hành mạng
Lựa chọn các hệ quản trị cơ sở dữ liệu
Lựa chọn các phương thức giao tác trên mạng
Thiết kế
Bước kế tiếp trong tiến trình xây dựng mạng là thiết kế giải pháp để thỏa mãn những yêu
cầu đặt ra trong bảng Đặc tả yêu cầu hệ thống mạng. Việc chọn lựa giải pháp cho một hệ thống

mạng phụ thuộc vào nhiều yếu tố như:
Kinh phí dành cho hệ thống mạng.
Công nghệ phổ biến trên thị trường.
Thói quen về công nghệ của khách hàng.
Yêu cầu về tính ổn định và băng thông của hệ thống mạng.
Ràng buộc về pháp lý.
Giải pháp thiết kế mạng sẽ tuân theo yêu cầu thiết kế mạng Công ty TNHH Bigdigital theo
hướng tiếp cận Top – Down.
Thực trạng cơ sở hạ tầng về CNTT tại Công ty Bigdigital
21


Hiện nay Công ty TNHH Truyền thông & Công nghệ làm việc trong 1 khu nhà 3 tầng với
mô hình như sau:

Hình 2.1: Sơ đồ mặt bằng khu cần lắp đặt

Yêu cầu khách hàng: Cần chia sẻ tài nguyên, máy in dùng chung
Trao đổi thông tin tài liệu với nhau
Truy cập internet, có website quảng cáo.

Thiết kế sơ đồ mạng logic
Thiết kế sơ đồ mạng logic liên quan đến việc chọn lựa mô hình mạng, giao thức mạng,
công nghệ kết nối. Mô hình mạng được chọn phải hỗ trợ được tất cả các dịch vụ theo yêu cầu của
Công ty TNHH Bigdigital. Đối với kích thước mạng và số lượng máy lớn thì giao thức sử dụng
cho mạng là TCP/IP.
22


Mỗi mô hình mạng có yêu cầu thiết đặt cấu hình riêng. Những vấn đề chung nhất khi

thiết đặt cấu hình cho mô hình mạng là:
Định vị các thành phần nhận dạng mạng, máy tính, định địa chỉ IP cho các máy định cổng cho
từng dịch vụ.
Phân chia mạng con, thực hiện vạch đường đi cho thông tin trên mạng.
Bảng dữ liệu xây dựng hệ thống mạng:

Hình 2.2: Bảng phân hoạch
Danh sách thiết bị, bảng giá:

23


Hình 2.3: Các thiết bị cho máy chủ

24


Hình 2.4: Các thiết bị cho máy trạm

25


×