Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.44 MB, 67 trang )
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Lời cảm ơn
Trong thời gian thực hiện đồ án Thiết kế và xây dựng hệ thống bảo mật
mạng doanh nghiệp, chúng em đà nhận đợc sự hớng dẫn, chỉ bảo và giúp đỡ tận
tình của các thầy giáo, cô giáo tại khoa CNTT. Vậy cho phép chúng em đợc bày
tỏ lòng biết ơn sâu sắc tới sự giúp đỡ đó. Đặc biệt chúng em xin chân thành cảm
ơn Ths.Nguyễn Thị Minh Tâm - Ngời đà hớng dẫn và tạo mọi điều kiện thuận
lợi giúp đỡ chúng em hoàn thành đồ án này một cách chính xác và kịp thời.
Qua đây chúng em cũng xin cảm ơn gia đình, bạn bè đà giúp đỡ và động
viên chúng em hoàn thành đồ án này.
Vinh, ngày 10 tháng 5 năm 2010
Mục lục
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
1
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Lời cảm ơn................................................................................................................1
Đậu Văn Chơng - Nguyễn Lê Vũ Cêng - Líp: 46K1-CNTT
2
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Lời nói đầu
Cách mạng máy tính cùng với tốc độ phát triển nhanh chóng và ứng dụng
rộng rÃi các công nghệ mạng đà làm thay đổi môi trờng làm việc và sinh hoạt của
con ngời. Trong các cơ quan, xí nghiệp nhờ có sự hỗ trợ của các hệ thống mạng
máy tính và đặc biệt là internet toàn cầu, ngời lao động không những có thể khai
thác tối đa nguồn tài nguyên thông tin cơ quan, xí nghiệp và trên thế giới mà còn
trực tiếp trao đổi với nhau ở bất kì vị trí địa lý nào, từ đó đa ra quyết định trong
sản xuất kinh doanh, thúc đẩy quá trình sản xuất phát triển để đáp ứng cho xà hội.
Mặc dù quản trị mạng là một trong các lĩnh vực rất quan trọng trong hầu hết
các doanh nghiệp. Nhng hiƯn nay rÊt nhiỊu doanh nghiƯp ë ViƯt Nam cha có sự
quan tâm đúng mức đến cơ sở hạ tầng mạng và vấn đề về an ninh mạng dẫn đến
các điều đáng tiếc nh hacker tấn công, virus phát tán, thông tin quan trọng của
doanh nghiệp bị đánh cắp... Do đó việc thiết lập xây dựng hoàn chỉnh một hệ
thống an ninh cho mạng doanh nghiệp là điều hết sức quan trọng nó là một thành
phần không thể thiếu trong sự phát triển của doanh nghiệp. Từ những lý do trên
chúng em xây dựng đề tài này với mong muốn có thể đa ra một đồ án có tính khái
quát và mang tính thực tiễn cao có thể áp dụng cho các doanh nghiệp vừa và nhỏ.
Trong khuôn khổ đồ án tốt nghiệp, do thời gian có hạn và vốn kiến thức còn
nhiều hạn chế nên những kết quả mà chúng em đạt đợc ở đây chắc chắn còn nhiều
thiếu sót. Chúng em mong nhận đợc nhiều ý kiến đóng góp của quý thầy cô và bạn
bè.
Vinh, tháng 5 năm 2010
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Líp: 46K1-CNTT
3
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Phần I
Cơ sở hạ tầng mạng và mạng Doanh nghiệp
Chơng I: Cơ sở hạ tầng
I. Tổng Quan về mạng máy tính
Nhu cầu về mạng máy tính cũng nh mọi thứ khác, tại mỗi thời điểm sẽ có
các thiết bị mạng khác nhau ứng với các nhu cầu khác nhau. Trớc đây nhu cầu về
mạng máy tính đơn giản và cha phục vụ nhiều trong các công việc hàng ngày, bởi
vậy các thiết bị mạng cũng đơn sơ cha có gì, chỉ cần một Hub nối các máy tính lại
với nhau nh sơ đồ dới đây:
Hình 1.1: Sơ đồ nối Hub với máy tính
Trong sơ đồ mạng này khi một máy tính truyền cho một máy tính khác trên
mạng thì tất cả các máy khác trên mạng đều nhận đợc, điều này sẽ ảnh hởng rất
lớn đến toàn mạng vì nh thế sẽ tốn băng thông và khi có nhiều máy tính cùng
truyền sẽ gây ra đụng độ lớn trong mạng từ đó có thể gây tắc nghẽn mạng. Bên
cạnh đó bất kỳ máy tính nào trong mạng đều có thể trao đổi thông tin, điều này
ảnh hởng đến tính riêng t và khả năng bảo mật thông tin.
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
4
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Những mạng kiểu nh thế này sẽ không phù hợp với thực tế ngày nay của
mạng máy tính. Vì yêu cầu khả năng về thời gian truyền, về miền đụng độ, miền
quảng bá, về bảo mật thông tin trên mạng là rất quan trọng đối với các công ty. Để
đáp ứng nhu cầu ngày càng cao thì các thiết bị mạng ngày càng phát triển để đáp
ứng nhu cầu của các công ty. Các thiết bị nh Router, Switch sẽ khắc phục đợc các
yêu cầu về băng thông, về miền đụng độ miền quảng bá và về bảo mật thông tin.
Ngoài ra còn có các thiết bị khác có những u điểm cao hơn rất nhiều nh Pix
525,512,535..., VPN
Trong sơ đồ mạng sau sẽ thể hiện đợc các tính u việt này.
Hình 1.2: Sơ đồ VLAN
Trong mạng này việc quản lý đà đợc nâng cấp hơn trớc, các máy tính đà đợc phân chia thành các VLAN để tăng thêm tính u việt của mạng, các thiết bị sử
dụng trong mạng không còn đơn giản nh trớc chỉ có chức năng làm cầu nối giữa
các thiết bị đầu cuối, mà ở đây ngời quản trị còn có thể điều hành đuợc rất nhiều
Đậu Văn Chơng - Nguyễn Lê Vũ Cêng - Líp: 46K1-CNTT
5
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
vấn đề và bảo mật thông tin cũng đảm bảo an toàn hơn. Các thiết bị mạng chủ yếu
hoạt động ở lớp 1, 2, 3 trong mô hình OSI nh hình dới đây:
Hình 1.3: Mô hình OSI
Router là thiết bị hoạt động ở lớp 3 (lớp Network) có chức năng định tuyến,
còn Switch là thiết bị lớp 2 (lớp Data Link) có chức năng chuyển tiếp gói dữ liệu ra
cổng cần. Đều là hai thiết bị thờng thấy chủ yếu trong mạng máy tính hiện nay.
Ngoài ra còn có các thiết bị nh Hub, Bridge, Repeater Nhng trong giới hạn đồ
án em chỉ trình bày về Router, Switch là chủ yếu.
II. Cơ sở lý thuyết về Router
1.Kiến thức phần cøng cđa Router
a) KiÕn tróc bªn trong cđa Router
Router vỊ bản chất nó cũng giống nh một máy tính, nó có đầy đủ các thành
phần chính của một máy tính nh Ram, Rom, Bộ vi xử lý...
Đậu Văn Chơng - Ngun Lª Vị Cêng - Líp: 46K1-CNTT
6
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Hình 1.4: Các thành phần cấu hình bên trong của Router
Trong đó:
- Ram/Dram: Lu trữ các bảng định tuyến, ARP cache, cache chuyển mạch
nhanh (Fast -Switch cache), bộ đệm gói dữ liệu (Ram chia sẻ) và các hàng đợi
(queue) chøa gãi. Ram cịng cung cÊp bé nhí thùc thi và bộ nhớ tạm cho tập tin
cấu hình của Router khi Router đợc mở lên. Nội dung của Ram mất đi khi tắt
nguồn hay khởi động lại Router.
- NVRam - Nonvolatile Ram: Lu trữ tập tin cấu hình khởi động dự phòng
của Router, nội dung của NVRam vẫn lu trữ khi tắt nguồn hay khởi động lại
Router.
- Flash - Rom: Có thể xóa, lập trình lại, nó chứa ảnh của hệ điều hành
(Operating System Image) và vi mạch (Microcode), bộ nhớ Flash cho phép bạn
cập nhật phần mềm mà không loại bỏ và thay thế các chip vi xử lý, nội dung vẫn
duy trì khi tắt nguồn điện hay khởi động lại Router, nhiều phiên bản phần mềm
IOS có thể đợc lu trong bộ nhớ Flash.
- Rom: Chứa chơng trình khởi động, chuẩn đoán khi máy mới bật, và hệ
điều hành. Cập nhật phần mền trong Rom đòi hỏi thay thế các mạch có khả gắn
kết (Pluggable chip) trên CPU.
- Giao tiếp (Interface): Là các kết nối trên bảng mạch chính hay trên các
card giao tiếp riêng mà qua đó các gói đi vào và đi ra khỏi một Router.
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
7
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
- Quá trình khởi động của Router nh sau: Khi khởi động Router, Rom thi
hành chơng trình khởi động, chơng trình này thực hiện một số kiểm tra rồi nạp
phần mềm Cisco IOS vào bộ nhớ. Sự thực thi lệnh, hay EXEC, là một phần của
phần mềm Cisco IOS. EXEC tiếp nhận và thực thi các lệnh bạn nhập cho Router.
Ram lu trữ trong quá trình làm việc.
Hình 1.5: Quá trình khởi động của router
Nh vậy Router sử dụng Ram lu trữ tập tin cấu hình hoạt động, các bảng ánh
xạ mạng và danh sách địa chỉ định tuyến. Bạn có thể hiển thị tập tin cấu hình trên
thiết bị đầu cuối từ xa hoặc qua thiết bị đầu cuối Console. Phiên bản tập tin cấu
hình đợc lu trữ trong trong NVram. Nó đợc truy xuất và nạp vào bộ nhớ chính mỗi
lần Router khởi động. Tập tin cấu hình chứa thông tin giao tiếp, thông tin tiến
trình và thông tin toàn cục ảnh hởng trực tiếp tới hoạt động và các cổng giao tiếp
của Router, ảnh của hệ điều hành không thể đợc hiển thị trên màn hình đầu cuối,
ảnh thờng đợc thực thi từ Ram chính và đợc nạp từ một trong số các nguồn nhập.
Hệ điều hành đợc tổ chức thành các chơng trình con (Routine) giải quyết các tác
vụ liên quan với các giao thức khác nhau, nh di chuyển dữ liệu, quản lý bảng và bộ
đệm, các cập nhật định tuyến, và thi hành các lệnh ngời dùng.
b) Kiến trúc bên ngoài của Router
Kiến trúc chính bên ngoài của Router bao gồm các cổng dïng cho c¸c kÕt
nèi kh¸c nhau. Mét Router cã nhiỊu loại cổng khác nhau, đó là các cổng sau:
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
8
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
+ Cổng nối tiếp (Serial port): Các cổng này dùng cho kết nối WAN
+ Cổng Ethernet và FastEthernet: Các cỉng nµy dïng cho kÕt nèi Ethernet
+ Cỉng Console: Cỉng này dùng kết nối đầu cuối điều khiển
+ Cổng AUX: Dïng ®Ĩ kÕt nèi víi Modem
Sù kÕt nèi mét Router vào trong một mạng đợc gọi là giao tiếp, các giao
tiếp có các đặc tính sau:
+ Mỗi giao tiếp nối với một cổng
+ Mỗi giao tiếp phải có một địa chỉ mạng và là duy nhất
+ Mỗi cổng cũng có một MAC riêng
Ngoài các cổng chính trên Router còn có các cổng cung cấp nguồn, bật tắt
nguồn Dới đây là hình ảnh minh họa các cổng của Router 2600 Cisco:
Qua ®ã ta thÊy cã thĨ cÊu h×nh Router tõ nhiỊu vị trí bên ngoài khác nhau
nh sau:
+ Từ thiết bị đầu cuối Console (máy tính nối đến Router qua cổng Console)
trong quá trình cài đặt.
+ Cấu hình qua Modem bằng cách dùng cổng Auxiliary
+ Từ các thiết bị đầu cuối ảo 0-4 đà đợc lắp đặt trên mạng
+ Từ TFTP server trên mạng
2. Chức năng của Router
Nh chúng ta đà biết trong mô hình OSI (một mô hình nổi tiếng và thông
dụng nhất), mô hình thể hiện phân cấp chức năng của một mạng máy tính từ diện
hẹp, qui mô vừa và nhỏ nh LAN cho tới các mạng diện rộng nh MAN và WAN
Router là thiết bị mạng với chức năng chủ yếu là dùng tìm đờng, và định
tuyến cho các gói tin truyền trên mạng dựa vào địa chỉ mạng. Đối với TCP/IP thì
Đậu Văn Chơng - Nguyễn Lª Vị Cêng - Líp: 46K1-CNTT
9
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Router dựa vào địa chỉ IP. Nh vậy ta có thể thấy Router là thiết bị thuộc lớp 3 (lớp
Network). Router thực hiện các quyết định dựa vào các nhóm địa chỉ mạng, ngợc
với các địa chỉ MAC duy nhÊt ë líp 2. Router cịng cã thĨ kÕt nèi các kỹ thuật lớp
2 khác nhau nh Ethernet, TokenRing và FDDI. Tuy nhiên, vì khả năng định tuyến
các gói tin dựa vào thông tin trên lớp 3 mà Router trở thành Backbone của
Internet, chạy giao thức IP. Mục đích của Router là kiểm tra các gói đến, chọn đờng dẫn tốt nhất cho chúng xuyên qua mạng, và sau đó chuyển chúng đến các
cổng ra thích hợp. Các Router là các thiết bị điều khiển tải quan trọng nhất trên
một mạng lớn, chúng cho phép hầu nh bất kỳ một máy tính nào đều có thể liên lạc
đợc với bất cứ một máy tính khác, ở bất cứ đâu trên thế giới. Trong khi thực hiện
các chức năng cơ bản, Router cịng cã thĨ thùc hiƯn c¸c t¸c vơ kh¸c nh Network
Address Translation (NAT),
3. Quá trình định tuyến
Để hiểu hoạt động định tuyến đợc thực hiện nh thế nào, ta cần biết cách
thức hoạt động của giao thức TCP/IP. Mọi thiết bị kết nối tới mạng TCP/IP đều có
một địa chØ IP duy nhÊt giíi h¹n trong giao diƯn m¹ng của nó. Địa chỉ IP là một
dÃy bốn số riêng phân tách nhau bởi các dấu chấm. Ví dụ một địa chỉ IP điển hình
có dạng: 192.168.0.1. Ví dụ dễ hiểu nhất khi nói về IP là địa chỉ nhà. Địa chỉ nhà
thông thờng luôn có số nhà và tên phố. Số nhà xác định cụ thể vị trí ngôi nhà trên
phố đó. Địa chỉ IP cũng hoạt động tơng tự nh vậy. Nó gồm mà số địa chỉ mạng và
mà số thiết bị. So sánh với địa chỉ nhà bạn sẽ thấy địa chỉ mạng giống nh tên phố
còn mà số thiết bị giống nh số nhà vậy. Địa chỉ mạng chỉ mạng cụ thể thiết bị
đang tham gia trong nó còn mà số thiết bị thì cung cấp cho thiết bị một nhận dạng
trên mạng. Vậy kết thúc của địa chỉ mạng và khởi đầu của mà số thiết bị ở đâu?
Đây là công việc của một Subnet mask. Subnet mask sẽ nói với máy tính vị trí
cuối cùng của địa chỉ mạng và vị trí đầu tiên của số thiết bị trong địa chỉ IP. Hoạt
động mạng con cã khi rÊt phøc t¹p nhng trong ph¹m vi Đồ án chúng em chỉ quan
tâm đến những thứ đơn giản nhất, xem xét một Subnet mask rất cơ bản. Subnet
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
10
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
mask thoạt nhìn rất giống với địa chỉ IP vì nó cũng có 4 con số định dạng theo
kiểu phân tách nhau bởi các dấu chấm. Một Subnet mask điển hình có dạng:
255.255.255.0. Trong ví dụ cụ thể này, ba số dầu tiên (gọi là Octet) đều là 255,
con sè cuèi cïng lµ 0. Sè 255 chØ ra r»ng tất cả các bit trong vị trí tơng ứng của địa
chỉ IP là một phần của mà số mạng. Số 0 cuối cùng ám chỉ không có bit nào trong
vị trí tơng ứng của địa chỉ IP là một phần của địa chỉ mạng. Do đó chúng thuộc về
mà số thiết bị. Giả sử một máy tính với địa chỉ IP là 192.168.1.1 và mặt nạ mạng
con là: 255.255.255.0. Trong trờng hợp này ba Octet đầu tiên của subnet mask đều
là 255. Điều này có nghĩa là ba octet đầu tiên của địa chỉ IP đều thuộc vào mà số
mạng. Do đó vị trí mà số mạng của địa chỉ IP này là 192.168.1.x.
Điều này là rất quan trọng vì công việc của Router là chuyển các gói dữ liệu
từ một mạng sang mạng khác. Tất cả các thiết bị trong mạng (hoặc cụ thể là trên
phân đoạn mạng) đều chia sẻ một mà số mạng chung. Chẳng hạn, nếu 192.168.1.x
là số mạng gắn với các máy tính kết nối với Router thì địa chỉ IP cho bốn máy tính
viên có thể là:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.4
Nh vậy, mỗi máy tính trên mạng cục bộ đều chia sẻ cùng một địa chỉ mạng,
còn mà số thiết bị thì khác nhau. Khi một máy tính cần liên lạc với máy tính khác,
nó thực hiện bằng cách tham chiếu tới địa chỉ IP của máy tính đó. Chẳng hạn,
trong trờng hợp cụ thể này, máy tính có địa chỉ 192.168.1.1 có thể gửi dễ dàng các
gói dữ liệu tới máy tính có địa chỉ 192.168.1.3 vì cả hai máy này đều là một phần
trong cùng một mạng vật lý.
Nếu một máy cần truy cập vào máy nằm trên mạng khác thì mọi thứ sẽ
khác hơn một chút. Giả sử rằng một trong số ngời dùng trên mạng cục bộ muốn
ghé thăm website www.brienposey.com, một website nằm trên một Server. Giống
Đậu Văn Chơng - Nguyễn Lê Vũ Cêng - Líp: 46K1-CNTT
11
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
nh bất kỳ máy tính nào khác, mỗi Web Server có một địa chỉ IP duy nhất. Địa chỉ
IP cho website này là 24.235.10.4.Dễ nhận thấy địa chỉ IP của website không nằm
trên mạng 192.168.1.x. Trong trờng hợp này máy tính đang cố gắng tiếp cận với
website không thể gửi gói dữ liệu ra ngoài theo mạng cục bộ, vì Web Server không
phải là một phần của mạng cục bộ. Thay vào đó máy tính cần gửi gói dữ liệu sẽ
xem xét đến địa chỉ cổng vào mặc định. Cổng vào mặc định (Default Gateway) là
một phần của cấu hình TCP/IP trong một máy tính. Đó là cách cơ bản để nói với
máy tính rằng nếu không biết chỗ gửi gói dữ liệu ở đâu thì hÃy gửi nó tới địa chỉ
cổng vào mặc định đà đợc chỉ định. Địa chỉ của cổng vào mặc định là địa chỉ IP
của một Router. Trong trờng hợp này địa chỉ IP của Router đợc chọn là
192.168.1.0. Chú ý rằng địa chỉ IP của Router chia sẻ cùng một địa chỉ mạng nh
các máy khác trong mạng cục bộ. Sở dĩ phải nh vậy để nó có thể truy cập tới các
máy trong cùng mạng. Mỗi Router có ít nhất hai địa chỉ IP. Một dùng cùng địa chỉ
mạng của mạng cục bộ, còn một do ISP của bạn quy định. Địa chỉ IP này dùng
cùng một địa chỉ mạng của mạng ISP. Công việc của Router khi đó là chuyển các
gói dữ liệu từ mạng cục bộ sang mạng ISP. ISP của bạn có các Router riêng hoạt
động cũng giống nh mọi router khác, nhng định tuyến đờng đi cho gói dữ liệu tới
các phần khác của Internet.
III. Cở sở lý thuyết về Switch
1. Kiến trúc phần cứng của Switch
Trong mô hình OSI switch là thiết bị lớp hai, lớp Datalink ngoài nhiệm vụ
đóng vai trò kết nối nh một Hub trung tâm thì vai trò chuyển tiếp dữ liệu của nó
thông minh hơn. Hub chuyển tất cả các dữ liệu ra tất cả các cổng của nó không
cần quan tâm cổng đó có cần hay không. Còn Switch chỉ chuyển ra cổng đích duy
nhất cần nhận.
Đậu Văn Chơng - Nguyễn Lª Vị Cêng - Líp: 46K1-CNTT
12
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Hình 1.6:Vị trí cảu Switch trong mô hình OSI
a) Kiến trúc bên trong của Switch
Các thành phần bên trong của Switch cũng giống nh Router gồm có các
thành phần sau:
+ Processer.
+Bộ nhớ: Flash, Rom, Nvram, Ram.
+Các giao tiếp.
Chức năng của các thành phần này về cơ bản giống nh Router
b) Kiến trúc bên ngoài của Switch
Các thành phần bên ngoài của Switch gồm có các cổng dùng phục vụ cho
các chức năng của chúng. Các cổng này gồm:
+ Cổng console: Dùng để ngời quản trị cấu hình Switch.
+ Cổng AUX: Dùng để quản trị Switch từ xa.
+ Các cổng Ethernet và FastEthernet dùng để kết nối với các Host và các
ruoter.
Các cổng này thờng có 12 hoặc 24 cổng tuỳ theo loại Switch.
Đậu Văn Chơng - Nguyễn Lê Vũ Cêng - Líp: 46K1-CNTT
13
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Hình 1.7: Mặt sau của Switch
Hình 1.8: Mặt trớc của Switch
Ngoài ra còn có: ổ cắm nguồn, hệ thống đèn báo hiệu và các quạt.
2. Các phơng pháp quản trị Switch
a) Dùng bộ Cisco cluster Management Suite
Bộ phần mềm nµy gåm 4 øng dơng cã giao diƯn Web dïng để tạo, giám sát
và cấu hình 1 Switch cluster hoặc 1 Switch đơn. Để tạo nên 1 Switch cluster và cấu
hình cũng nh giám sát hoạt động của nó ta dïng c¸c øng dơng Cluster Builder,
Cluster Buider, Cluster View, Cluster Manager. Để quản lý hoạt động của một
switch đơn thì ta dïng øng dông Visual Switch Manager (VSM). Dïng giao diƯn
dßng lƯnh cđa IOS (Cisco IOS Command-Line Interface-CLI): Nèi 1PC hoặc 1
terminal trực tiếp vào cổng console ở mặt sau (Rear-panel của switch). Nếu Switch
đợc nối vào một mạng thì ta có thể dùng Telnet để quản lý nó từ mét vÞ trÝ ë xa.
b) Dïng øng dơng CiscoView
øng dơng CiscoView hiển thị trực quan hình ảnh của Switch, nhà quản trị
có thể cấu hình, xem các thông số và tình trạng và hiệu năng hiện tại của Switch
ngay trên những hình ảnh này. Ngời dùng có thể mua riêng phần mềm này do nó
có thể là 1 ứng dụng độc lập hoặc là một phần mềm Platform SNMP Network
Management.
c) Dùng SNMP (Simple Network Management Protocol)
Đậu Văn Chơng - Nguyễn Lª Vị Cêng - Líp: 46K1-CNTT
14
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Có thể quản lý Switch bởi một máy trạm tơng thích SNMP có chạy Platform
nh HP overview hoặc Sunnet manager.
3. Cơ chế hoạt động của Switch
Switch là thiết bị nằm ở lớp hai trong mô hình OSI, nó là thiết bị thông
minh, có các cơ chế để thực hiện chức năng nh lu trữ bảng địa chỉ và bảng này đợc
cập nhật một cách tự động, dựa vào đây nó quyết định chuyển tiếp hay loại bỏ gói
tin ngoài ra còn có các cách thức chuyển tiếp gói dữ liệu khác nhau.
a) Cơ chế học địa chỉ
Trong Switch có bảng lu địa chỉ (Address Table) bảng này sẽ lu địa chỉ
cổng của Switch và địa chỉ Mac của thiết bị nối tới nó qua cổng này. Khi mới khởi
động bảng này còn trống và đợc cập nhật dần dần một cách tự động. Sau đây là
bảng địa chỉ lúc ®Çu:
MAC address
Port
Khi Switch nhËn Frame data tõ mét cỉng K nào đó, nó sẽ đọc địa chỉ nguồn
(SA) của gói tin đó. Sau đó tìm xem giá trị này có xuất hiện trong bảng địa chỉ của
nó không có các trờng hợp sau: Nếu không thấy địa chỉ nguồn này nó sẽ tự động
cập nhật một dòng vào bảng địa chỉ. Gồm địa chỉ nguồn và số hiệu cổng (SA,K).
Nếu địa chỉ nguồn đà có trong bảng địa chỉ, nó sẽ xác định số hiệu cổng tơng ứng
với SA trong bảng địa chỉ (m). Sẽ xảy ra hai trờng hợp.
+ m = k: Switch sÏ bá qua kh«ng cËp nhËt.
+ m k: Switch lại tự động cập nhật một dòng vào bảng địa chỉ gồm có địa
chỉ nguồn và số hiệu công.
Cứ nh thế Switch hoàn thiện dần bảng địa chỉ của mình mỗi khi có gói tin
gửi tới. Ví dụ sau đây minh hoạ cơ chế học địa chỉ của Switch: Khi vừa khởi động
Đậu Văn Chơng - Ngun Lª Vị Cêng - Líp: 46K1-CNTT
15
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
bảng địa chỉ của Switch cha có gì. Và đợc xây dựng dần qua cơ chế trên nh sau (có
sơ đồ nh sau):
Hình 1.9: Cơ chế học dịa chỉ của Switch
Tiếp đó máy trạm A gửi một gói dữ liệu đến trạm B và muốn đến đợc B nó
phải gửi qua cổng 3 của Switch. Vì giá trị của địa chỉ nguồn A cha có trong bảng
địa chỉ nên Switch sẽ cập nhật một dòng gồm cổng 3 và địa chỉ Mac nguồn A vào
bảng (nh hình dới đây):
Hình 2.0: Switch cập nhật địa chỉ vào bảng
Lúc này trong bảng địa chỉ có địa chỉ Mac A và cổng X. Sau khi trạm B đÃ
nhận đợc dữ liệu từ nguồn A và tiến hành gửi trở lại trạm A. Gói dữ liệu sẽ đi qua
cổng 4 và Switch lại đối chiếu địa chỉ nguồn trạm B cha có trong bảng địa chỉ nên
nó cập nhật dòng địa chỉ Mac của trạm B và cổng 4 của Switch (nh hình dới đây):
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Líp: 46K1-CNTT
16
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Hình 2.1: Switch đối chiếu địa chỉ nguồn trong bảng
Quá trình này tiếp diễn một cách tự động mỗi khi cã gãi tin chun qua
cỉng cđa Switch.
b) C¬ chÕ chuyển tiếp gói dữ liệu
Switch thông minh hơn các thiết bị lớp 2 khác là cơ chế chuyển tiếp dữ liệu.
Nó quyết định chuyển tiếp hay lọc gói dữ liệu, và quyết định chuyển ra cổng nào.
Chuyển tiếp hay loại bỏ gói dữ liệu: Switch dựa vào bảng địa chỉ để quyết định
loại bỏ hay chuyển tiếp gói dữ liệu. Khi Switch nhận đợc một frame từ một cổng k
nó sẽ thực hiện nh sau: Đọc địa chỉ đích của gói tin từ frame ra (DA) sẽ đối chiếu
giá trị DA trong bảng địa chỉ có 2 tình huống xảy ra: DA không xuất hiện trong
bảng khi đó nó sẽ chun gãi tin ra mäi cỉng nh Hub. NÕu t×m thấy trong bảng thì
xác định giá trị cổng tơng ứng m, nếu m=k thì bỏ qua gói tin này, nếu mk gói tin
sẽ đợc chuyển tiếp sang cổng m của Switch và chỉ chuyển sang cổng m mà thôi.
Hình dới là một ví dụ: ở hình dới khi máy có địa chỉ Mac 0260.8c01.1111 gửi tới
máy có địa chỉ mac là 0260.8b01.2222 thì nhận đợc địa chỉ Mac đích đà có trong
bảng địa chỉ và cổng là E0 trùng với cổng E của địa chỉ Mac nguồn gửi tới nên
quyết định bỏ qua gói tin này.
Đậu Văn Chơng - Nguyễn Lª Vị Cêng - Líp: 46K1-CNTT
17
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Hình 2.2: Cơ chế chuyển tiếp gói dữ lệu
Khi gói tin gửi từ nguồn có địa chỉ Mac là 0260.8c01.1111 đến đích có địa
chỉ là 0260.8c01.4444 thì switch xử lý nh sau: Xét địa chỉ đích của gói tin và thấy
có trong bảng địa chỉ với cổng là E1 khác với cổng của địa chỉ nguồn nên quyết
định chuyển tiếp gói ra cổng E1 và chỉ E1 mà thôi. Khi gói tin gửi từ địa chỉ
0260.8c01.1111 đến địa chỉ đích là 0260.0253.5555 thì không thấy có địa chỉ này
trong bảng địa chỉ nên chuyển tiếp ra tất cả các cổng nh Hub.
c) Cơ chế STP
Khi mạng còn ở mức đơn giản, phân cấp, hoặc chỉ có một đờng kết nối duy
nhất thì không có vấn đề gì xảy ra. Nhng với mạng nh thế này trên thực tế sẽ
không có hiệu quả vì mạng trong thực tế không lý tởng nh lý thuyết, khi đờng link
bị đứt thì sẽ không có cách nào để tiếp tục truyền dữ liệu đợc. Vậy để sử dụng hiệu
quả và mạng vẫn hoạt động đợc khi có kết nối bị đứt thì ngời ta ph¶i thiÕt kÕ d
thõa vỊ kÕt nèi vËt lý. Nh vậy lại nảy sinh ra vấn đề là các gói tin rất dễ đi vào
vòng lặp vô hạn. Chính vì vậy cần phải có một cơ chế nào đó để ngắt những đờng
dẫn d thừa để tránh hiện tợng Lặp, nhng lại phải đảm bảo yêu cầu gọi lại đợc nó
khi cần thiết.
Switch có một cơ chế thực hiện chức năng này là STP (Spanning Tree
Protocal).
Đậu Văn Chơng - Ngun Lª Vị Cêng - Líp: 46K1-CNTT
18
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Hình 2.3: Cơ chế STP
Trong Topo mạng trên các đờng link đề là duy nhất nên không có hiện tợng
Lặp xảy ra.
Hình 2.4: Xử lý vòng lặp
Trong Topo này mạng có thiết kế d thừa về đờng truyền vật lý nên có cơ chế
xử lý vòng lặp.
Hoạt động của STP trong Switch: Switch dựa vào gói dữ liệu BPDU (Bridge
Protocol Data Unit) để thực hiện nhiệm vụ bằng cách xác định Root Bridge và
trạng thái của các cổng. Một cổng trong quá trình xử lý trải qua 5 trạng thái sau:
+ Blocking: Trạng thái cổng chỉ nhận frames từ cổng vào và không
gửi.
+ Listening: Trạng thái xây dựng Active topology.
+ Learning: Trạng thái xây dựng bảng bắc cầu.
+ Forwarding: Trạng thái truyền và nhận data.
+ Disabled: Trạng thái không hoạt động.
Một cổng sẽ trải qua năm giai đoạn nh sau:
+ Từ khởi động đến Blocking.
Đậu Văn Chơng - Nguyễn Lª Vị Cêng - Líp: 46K1-CNTT
19
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiƯp
+ Blocking ®Õn Listening hay Disabled.
+ Tõ Listening ®Õn Forwarding hay Disabled.
+ Từ Forwarding đến Disabled.
+ Khi đạt đến kết quả cuối cùng thì một cổng chỉ ở một trong hai
trạng thái đó là Blocking hoặc Forwording.
Xác định đâu là Root Bridge dựa vào các tiêu chí sau:
+ Thứ tự u tiên của Bridge (Bridges priority)
+ Địa chỉ MAC trên bridge
Quá trình xác định Root Bridge nh sau:
Khi khởi động Switch coi nó là gốc, nó sẽ tạo ra các gói BPDU với Bridge
ID và Root Bridge ID trùng nhau vµ b»ng chÝnh ID cđa nã Cost=0.
Khi SW nhËn đợc BPDU: Nếu RB của BPDU nhận đợc bé hơn RB hiện thời
thì sẽ cập nhật lại RB tơng ứng với giá trị mới, cứ nh thế cho tới khi SW cuối cùng
có ID nhỏ nhất sẽ đợc gọi là Root. Trong Switch thứ tự u tiên luôn để mặc định với
tất cảc các Switch là 32.768 và ngời quản trị có thể điều chỉnh giá trị nayf bằng
cách cấu hình để tăng độ u tiên cho Switch, thì mạng sẽ có hiệu quả hơn, vì nến để
chọn lọc tự nhiên thì sẽ không tối u nhất, vì Root Bridge càng ở vị trí trung tâm
càng tốt. Sau khi xác định Root Bridge thì những switch không phải là Root
Bridge phải xác định Root port là cổng nối đến Root Bridge với chi phí bé nhất.
Giá trị chi phí (Cost) đợc tính dựa vào tốc độ cổng ra theo bảng sau:
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
20
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Khi 1 SW nhận đợc BPDU nhiệm vụ của nó chuyển tiếp các BPDU đến các
cổng khác của nó với giá trị cost mới đợc tính nh sau:
New-Cost = Old-Cost +Cost(Interface)
Khi giá trị chi phí của hai port bằng nhau thì port nào có Id nhỏ hơn sẽ là root port
và cổng còn lại ở trạng thái Blocking.
4. Các phơng thức chuyển tiếp
Tuỳ thuộc vào tầm quan trọng của data mà Switch có các phơng thức
chuyển tiếp dữ liệu khác nhau. Có dữ liệu thì yêu cầu chuyển tiếp nhanh, nhng có
dữ liệu thì yêu cầu về độ chính xác cao, có dữ liệu yêu cầu cả hai. Nên có các cách
thức chuyển tiếp dữ liệu nh sau:
+ Thứ nhÊt Store and Forward Switch: NhËn toµn bé Frame sau đó mới thực
hiện hiện chuyển tiếp. Cách này thời gian trễ lớn vì phải nhận toàn bộ Frame rồi
mới chuyển tiếp, nhng có u điểm kiểm tra lỗi của Frame.
+ Thø hai lµ Cut-throngh: Switch nhËn xong Header cđa Frame, đọc đợc địa
chỉ MAC sẽ thực hiện chuyển tiếp gói dữ liệu ngay. Phơng thức này có u điểm là
thời gian trễ bé nhng có nhợc điểm là không kiểm tra gãi Frame.
+ Thø ba Free fragment: T¬ng tù Cut-throungh tìm cách loại bỏ Frame có
độ dài bé hơn 64 byte chØ chun khi nhËn lín h¬n 64 byte. Sau khi đọc 64 byte
đầu tiên Switch chuyển tiếp gói dữ liệu ngay.
5. Các chức năng của Switch
- Tự động điều chỉnh tốc độ truyền nhận 2 chiều (Full Duplex) trên các
cổng 10/100.
- Hỗ trợ cho các VLAN dới 250 cổng.
- Cung cấp khả năng liên kết liên switch ( Inter-Switch Link ISL ) và khả
năng trunking theo chuẩn IEEE 802.1 Q trên tất cả các cổng.
Hỗ trợ cho VLAN ID ( VLID ).
- Kết nối giữa các Switch và Server theo công nghệ EtherChannel cho
tốc độ cao.
Đậu Văn Chơng - Ngun Lª Vị Cêng - Líp: 46K1-CNTT
21
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
- Hỗ trợ đợc 8192 địa chỉ MAC.
- Hỗ trợ chuẩn IEEE 802.1p.
- Hỗ trợ giao thức Cisco Group Management Protocol (CGMP) để hạn chế
việc tràn ngập các lu thông kiểu Multicast.
- Điều khiển các lu thông kiểu quảng bá ( Broadcast storm ) để ngăn ngừa
việc giảm sút hiệu năng do Broadcast storm.
- Có thể cấu hình SPAN port ( Switch Port Analyzer ) để giám sát thông tin
vào ra từ những cổng khác.
- Hỗ trợ tập lệnh rút gọn.
- Hỗ trợ cho các module GBIC ( Cisco Gigabit Interface Converter ):
+ Module GigaStack GBIC
+ Module 1000BaseSX GBIC
+ Module 1000BaseLX/LH GBIC
+ Module 1000BaseZX (hỗ trợ đợc 4 module 1000BaseZX ).
Chức năng quan trọng của Switch là hỗ trợ các VLAN(Virtaul LAN). VLAN
là việc phân chia một mạng thành các mạng lan ảo nhằm mục đích nào đó. Các
VLAN thờng là một nhóm những ngời sử dụng cùng tài nguyên hoặc làm những
việc tơng tự nhau trong một công ty, một tổ chức. Việc phân chia này sẽ giúp bảo
mật thông tin, vì nếu không bất kỳ máy tính nào trong mạng đều có thể truy cập
vào các tài nguyên trong mạng, ngoài ra phân chia thành các VLAN làm giảm
miền đụng độ. VLAN đợc tạo ra và sử dụng một cách đơn giản, linh động, dễ sửa
chữa và bổ sung.
IV. Các thiết bị khác
Ngoài hai thiết bị trên trong mạng máy tính còn rất nhiều thiết bị khác nh:
PC, Hub, Bridge, Repeater, các dây kết nối để thực hiện các nhiệm vụ khác
nhau.
Đậu Văn Chơng - Nguyễn Lê Vị Cêng - Líp: 46K1-CNTT
22
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
- PC: Là thành phần không thể thiếu đợc trong một mạng máy tính, các PC
có thể hoạt động độc lập ngoài mạng. Ngày nay với các ứng dụng trên mạng ngày
càng nhiều thì PC cũng đang ngày càng gắn liền vào mạng hơn. PC là thiết bị đầu
cuối, là nơi giao tiếp giữa ngời dùng và mạng. PC kết nối vào mạng thông qua kết
nối Ethernet hoặc thông qua Modem. Ngoài ra PC còn dùng để cho ngời quản trị
mạng cấu hình các thiết bị mạng nh router và Switch.
- Repeater: Là thiết bị dùng để tăng cờng tín hiệu đợc truyền qua các cự ly
xa. Một Repeater tiếp thu một tín hiệu, tái sinh nó và chuyển đi. Nó có thể tái sinh
và định thời lại cho các tín hiệu mạng tại mức bit để cho phép các tín hiệu này di
chuyển đợc xa hơn trên đờng truyền.
- Hub: Thực sự là repeater đa port, repeater chuẩn chỉ có hai port còn hub
thờng có từ 4 đến 20 port.
- Bridges: Dùng để kết nối các segment mạng nhỏ lại với nhau, nó hoạt
động ở lớp 2 trong mô hình OSI. Chức năng của nó là đa ra các quyết định thông
minh liên quan đến việc có chuyển hay không các tín hiệu lên segment kế tiếp của
mạng.
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
23
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
Chơng II
Mạng Doanh nghiệp
I. Domain
1. Domain controller là gì và lựa chọn thế nào cho hợp với cơ sở hạ tầng mạng
của bạn?
Một trong những khái niệm quan trọng nhất của mạng Windows là Domain
(tức miền hay vùng). Một domain là tập hợp các tài khoản ngời dùng và tài khoản
máy tính đợc nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản
lý là dành cho domain controller (bộ điều khiển miền) nhằm giúp việc khai thác
tài nguyên trở nên dễ dàng hơn.
Điều thú vị khi tìm hiểu về Domain là mặc dù mỗi Domain có một giá trị
duy nhất, không bao giờ lặp nhau trong mạng Microsoft. Khi Windows 2000 đợc
phát hành, Microsoft tích hợp một thành phần vẫn còn đợc dùng tới nay là Active
Directory.
Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server
2003 hay Longhorn Server, c«ng viƯc cđa Domain Controller (bộ điều khiển miền)
là chạy dịch vụ Active Directory. Active Directory hoạt động nh một nơi lu trữ các
đối tợng th mục, trong đó có tài khoản ngời dùng (User Account). Và một trong
các công việc chính của bộ điều khiển tên miền là cung cấp dịch vụ thẩm định.
Nên hết sức lu ý là domain controller cung cấp dịch vụ thẩm định
(authentication) chứ không phải là dịch vụ cấp phép (authorization). Tức là, khi
một ngời dùng nào đó đăng nhập vào mạng, một bộ điều khiển miền sẽ kiểm tra
tính hợp lệ của Username và Password họ nhập vào có chính xác và khớp với dữ
liệu lu trong máy chủ hay không. Nhng Domain Controller không nói với ngời
dùng họ có quyền truy cập tài nguyên nào.
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
24
Thiết kế và xây dựng hệ thống bảo mật mạng doanh nghiệp
2. Workstation (máy trạm) và Server (máy chủ)
Chắc hẳn chúng ta đà từng nghe nói đến các thuật ngữ server và
workstation. Các thuật ngữ này thông thờng đợc dùng để nói tới vai trò của máy
tính trong mạng hơn là phần cứng máy tính. Chẳng hạn, một máy tính đang hoạt
động nh một server thì nó không cần thiết phải chạy cả phần cứng của server. Bạn
có thể cài đặt một hệ điều hành server lên máy tính của mình. Khi đó máy tính sẽ
hoạt động thực sự nh một server mạng. Trong thực tế, hầu hết tất cả các máy chủ
đếu sử dụng thiết bị phần cứng đặc biệt, giúp chúng có thể kiểm soát đợc khối lợng công việc nặng nề vốn có của mình.
Khái niệm máy chủ mạng (network server) thờng hay bị nhầm về mặt kỹ
thuật theo kiểu định nghĩa: Máy chủ là bất kỳ máy tính nào sở hữu hay lu trữ tài
nguyên chia sẻ trên mạng. Nói nh thế thì ngay cả một máy tính đang chạy
windows XP cũng có thể xem là máy chủ nếu nó đợc cấu hình chia sẻ một số tài
nguyên nh file và máy in.
Các máy tính trớc đây thờng đợc tìm thấy trên mạng là peer (kiểu máy ngang
hàng). Máy tính ngang hàng hoạt động trên cả máy trạm và máy chủ. Các máy
này thờng sử dụng hệ điều hành ở máy trạm (nh windows XP), nhng có thể truy
vập và sở hữu các tài nguyên mạng.
Các mạng ngang hàng thờng không sử dụng đợc trong các công ty lớn vì
thiếu khả năng bảo mật cao và không thể quản lý trung tâm hoá. Đó là lý do vì sao
các mạng ngang hàng thờng chỉ đợc tìm thấy trong các công ty cực kỳ nhỏ hoặc
ngời dùng gia đình sử dụng nhiều máy PC. Windows Vista (thế hệ kế tiếp của
windows XP) đang cố gắng thay đổi điều này. Windows Vista cho phép ngời dùng
mạng client/server tạo nhóm ngang hàng. Trong đó các thành viên của nhóm sẽ đợc chia sẻ tài nguyên với nhau trong chế độ bảo mật an toàn mà không cần ngắt
kết nối với server mạng. Thành phần mới này sẽ đợc tung ra thị trờng với vai trò
nh một công cụ hợp tác.
Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT
25
