Xây Dựng Hệ Thống Mạng Cho Doanh Nghiệp Vừa Và Nhỏ (Windows Server 2008)

81 25 0
  • Loading ...
1/81 trang

Thông tin tài liệu

Ngày đăng: 25/11/2016, 08:55

LỜI NÓI ĐẦUCùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát triển của mạng internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin trên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó.Sự ra đời của công nghệ An Ninh Mạng bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet. Nếu không có An Ninh Mạng được triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp.Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, nhóm chúng em đã tìm hiểu về đề tài “Xây Dựng Hệ Thống Mạng Cho Doanh Nghiệp Vừa Và Nhỏ”.Với sự hướng dẫn tận tình của Th.S Phạm An Bình – nhóm em đã hoàn thành bản báo cáo này. Tuy đã cố gắng tìm hiểu và phân tích, nhưng chắc rằng không tránh khỏi những thiếu sót. Nhóm em rất mong nhận được sự thông cảm và góp ý của quý thầy cô. Nhóm em xin chân thành cảm ơn MỤC LỤCLỜI NÓI ĐẦU1MỤC LỤC2CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG41.1.Giới thiệu An Ninh Mạng41.1.1.Khái niệm về An Ninh Mạng41.1.2.Các yếu tố cần được bảo vệ trong hệ thống mạng41.1.3.Các yếu tố đảm bảo an toàn thông tin51.2.Các lỗ hổng bảo mật71.2.1.Lỗ hổng loại C71.2.2.Lỗ hổng loại B71.2.3.Lỗ hổng loại A81.3.Các kiểu tấn công của hacker91.3.1.Tấn công trực tiếp91.3.2.Kỹ thuật đánh lừa: Social Engineering91.3.3.Kỹ thuật tấn công vào vùng ẩn91.3.4.Tấn công vào các lỗ hổng bảo mật101.3.5.Khai thác tình trạng tràn bộ đệm101.3.6.Nghe trộm111.3.7.Kỹ thuật giả mạo địa chỉ111.3.8.Kỹ thuật chèn mã lệnh111.3.9.Tấn công vào hệ thống có cấu hình không an toàn121.3.10.Tấn công dùng Cookies121.3.11.Can thiệp vào tham số trên URL121.3.12.Vô hiệu hóa dịch vụ121.3.13.Một số kiểu tấn công khác131.4.Các biện pháp bảo mật mạng141.4.1.Mã hoá, nhận dạng, chứng thực người dùng và phần quyền sử dụng141.4.2.Bảo mật máy trạm201.4.3.Bảo mật truyền thông211.4.4.Các công nghệ và kỹ thuật bảo mật221.5.Những cách phát hiện bị hacker tấn công24CHƯƠNG 2: YÊU CẦU GIẢI PHÁP CHO DỰ ÁN262.1.Yêu cầu dự án262.2. Phân tích dự án262.2.1. Giải pháp cho hệ thống mạng của doanh nghiệp262.2.2. Quản lý hệ thống mạng tập trung (Client – Server)282.2.3. Cấp IP động cho các máỵ trạm, sử dung dịch vụ DHCP (Dynamic Host Confgaration Protocol)282.2.4. Quản lý dữ liệu tâng trang (File Server Database Server)282.2.5. In ấn (Print Server)29CHƯƠNG 3: THỰC NGHIỆM VÀ XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ303.1. Cài đặt Active Directory303.1.1. Nâng cấp lên Domain Controler303.1.2. Gia nhập máy trạm vào Domain để kiểm tra373.2. Tạo Group và User cho Domain393.2.1. Tạo tài khoản người dùng (User)413.2.2. Tạo tài khoản nhóm (Group):433.2.3. Phân quyền truy nhập Domain cho User443.3. Cài đặt và cấu hình DHCP (Dynamic Host Configuration Protocol )473.3.1. Cài đặt Windows Server 2008 DHCP Server483.3.2. Kiểm tra dịch vụ Windows Server 2008 DHCP Server533.4. Cấu hình File Server (Quản lý thư mục dùng chung)543.5. Cài đặt và chia sẽ máy in (Print Server)663.5.1. Cài đặt các công cụ dịch vụ in ấn663.5.2. Tạo máy in ấn67KẾT LUẬN72TÀI LIỆU THAM KHẢO73 CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG1.1.Giới thiệu An Ninh Mạng1.1.1.Khái niệm về An Ninh MạngMáy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet. Nếu như máy tính, hệ thống mạng của bạn không được trang bị hệ thống bảo vệ vậy chẳng khác nào bạn đi khỏi căn phòng của mình mà quên khóa cửa, máy tính của bạn sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả hệ thống của bạn bất cứ lúc nào.Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình. An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng của bạn.1.1.2.Các yếu tố cần được bảo vệ trong hệ thống mạng Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời. Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin không được giữ bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó.Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tím mật khẩu để tấn công vào hệ thống mạng.Yếu tố thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong công ty là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của công ty rất nhiều.1.1.3.Các yếu tố đảm bảo an toàn thông tinAn toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm.Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy các yêu cầu cần để đảm bảo an toàn thông tin như sau:Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng.Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn.Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách.Tính chính xác: Thông tin phải chính xác, tin cậy.Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin.Nguy cơ hệ thống (Risk) được hình thành bởi sự kết hợp giữa lỗ hổng hệ thống và các mối đe doạ đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong ba cấp độ thấp, trung bình và cao. Để xác định nguy cơ đối với hệ thống trước tiên ta phải đánh giá nguy cơ hệ thống theo sơ đồ sau. Hình 1: Quá trình đánh giá nguy cơ của hệ thốngXác định các lỗ hổng của hệ thốngViệc xác định các lỗ hổng được bắt đầu từ các điểm truy cập vào hệ thống:Kết nối mạng InternetCác điểm kết nối từ xaKết nối các tổ chức khácCác môi trường truy cập vật lý hệ thốngCác điểm truy cập người dùngCác điểm truy cập không dâyỞ mỗi điểm truy cập, ta phải xác định được các thông tin có thể truy cập và mức độ truy cập vào hệ thống.Xác định các mối đe dọaĐây là một công việc khó khăn vì các mối đe dọa thường không xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trước. Các hình thức và kỹ thuật tấn công đa dạng:DoSDDoS, BackDoor, Tràn bộ đệm, …Virus, Trojan Horse, WormSocial EngineeringCác biện pháp an toàn hệ thống Các biện pháp an toàn hệ thống gồm các biện pháp: Như firewall, phần mềm diệt virut, điều khiển truy cập, hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng), mã hoá dữ liệu, hệ thống xâm nhập IDS, các kỹ thuật khác, ý thức người dùng, hệ thống chính sách bảo mật và tự động vá lỗ hệ thống.1.2.Các lỗ hổng bảo mậtCó nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:Lỗ hổng loại CLỗ hổng loại BLỗ hổng loại A1.2.1.Lỗ hổng loại CCho phép thực hiện các hình thức tấn công theo DoS (Denial of Services Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp.DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCPIP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống.Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kế ở tầng Internet (IP) nói riêng và bộ giao thức TCPIP nói chung đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổng loại này.1.2.2.Lỗ hổng loại BCho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống. Có mức độ nguy hiểm trung bình.Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định.Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ khi viết chương trình nhập trường tên người sử dụng quy định trường này dài 20 ký tự bằng khai báo:Char first_name 20; Khai báo này cho phép người sử dụng nhập tối đa 20 ký tự. Khi nhập dữ liệu ban đầu dữ liệu được lưu ở vùng đệm. Khi người sử dụng nhập nhiều hơn 20 ký tự sẽ tràn vùng đệm. Những ký tự nhập thừa sẽ nằm ngoài vùng đệm khiến ta không thể kiểm soát được. Nhưng đối với những kẻ tấn công chúng có thể lợi dụng những lỗ hổng này để nhập vào những ký tự đặc biệt để thực thi một số lệnh đặc biệt trên hệ thống. Thông thường những lỗ hổng này được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ. Để hạn chế được các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và các chương trình.1.2.3.Lỗ hổng loại ACho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống. Có thể làm phá huỷ toàn bộ hệ thống. Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống.Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger...1.3.Các kiểu tấn công của hacker1.3.1.Tấn công trực tiếpSử dụng một máy tính để tấn công một máy tính khác với mục đích dò tìm mật mã, tên tài khoản tương ứng, …. Họ có thể sử dụng một số chương trình giải mã để giải mã các file chứa password trên hệ thống máy tính của nạn nhân. Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị phát hiện.Ngoài ra, hacker có thể tấn công trực tiếp thông qua các lỗi của chương trình hay hệ điều hành làm cho hệ thống đó tê liệt hoặc hư hỏng. Trong một số trường hợp, hacker đoạt được quyền của người quản trị hệ thống.1.3.2.Kỹ thuật đánh lừa: Social EngineeringĐây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó. Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống.Ví dụ: Kỹ thuật đánh lừa Fake Email Login.Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì bạn phải nhập thông tin tài khoản của mình bao gồm username và password rồi gởi thông tin đến Mail Server xử lý. Lợi dụng việc này, những người tấn công đã thiết kế một trng web giống hệt như trang đăng nhập mà bạn hay sử dụng. Tuy nhiên, đó là một trang web giả và tất cả thông tin mà bạn điền vào đều được gởi đến cho họ. Kết quả, bạn bị đánh cắp mật khẩuNếu là người quản trị mạng, bạn nên chú ý và dè chừng trước những email, những messengers, các cú điện thoại yêu cầu khai báo thông tin. Những mối quan hệ cá nhân hay những cuộc tiếp xúc đều là một mối nguy hiểm tiềm tàng.1.3.3.Kỹ thuật tấn công vào vùng ẩnNhững phần bị dấu đi trong các website thường chứa những thông tin về phiên làm việc của các client. Các phiên làm việc này thường được ghi lại ở máy khách chứ không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, người tấn công có thể sử dụng chiêu chức View Source của trình duyệt để đọc phần đầu đi này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn tấn công. Từ đó, có thể tấn công vào hệ thống máy chủ.1.3.4.Tấn công vào các lỗ hổng bảo mậtHiện nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm khác, ... Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước. Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ mà mình đang sử dụng nếu không các hacker sẽ lợi dụng điều này để tấn công vào hệ thống.Thông thường, các forum của các hãng nổi tiếng luôn cập nhật các lỗ hổng bảo mật và việc khai thác các lỗ hổng đó như thế nào thì tùy từng người.1.3.5.Khai thác tình trạng tràn bộ đệmTràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gởi quá nhiều so với khả năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống mất khả năng kiểm soát.Để khai thác được việc này, hacker cần biết kiến thức về tổ chức bộ nhớ, stack, các lệnh gọi hàm. Shellcode.Khi hacker khai thác lỗi tràn bộ đệm trên một hệ thống, họ có thể đoạt quyền root trên hệ thống đó. Đối với nhà quản trị, tránh việc tràn bộ đệm không mấy khó khăn, họ chỉ cần tạo các chương trình an toàn ngay từ khi thiết kế.1.3.6.Nghe trộmCác hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc đọc trộm luồng dữ liệu truyền qua.Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing hoặc snooping. Nó sẽ thu thập những thông tin quý giá về hệ thống như một packet chứa password và username của một ai đó. Các chương trình nghe trộm còn được gọi là các sniffing. Các sniffing này có nhiệm vụ lắng nghe các cổng của một hệ thống mà hacker muốn nghe trộm. Nó sẽ thu thập dữ liệu trên các cổng này và chuyển về cho hacker.1.3.7.Kỹ thuật giả mạo địa chỉThông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng bức tường lửa (Firewall). Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Bức tường lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tào nguyên chia sẻ trong mạng nội bộ.Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của mình là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công. Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống.1.3.8.Kỹ thuật chèn mã lệnhMột kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của người tấn công.Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào phiên làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ cho phép người tấn công thực hiện nhiều nhiều chuyện như giám sát phiên làm việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân. Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự linh hoạt của người tấn công.1.3.9.Tấn công vào hệ thống có cấu hình không an toànCấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ hổng này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình không an toàn. Chẳng hạn như cấu hình máy chủ web cho phép ai cũng có quyền duyệt qua hệ thống thư mục. Việc thiết lập như trên có thể làm lộ các thông tin nhạy cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng.Nếu quản trị hệ thống cấu hình hệ thống không an toàn sẽ rất nguy hiểm vì nếu người tấn công duyệt qua được các file pass thì họ có thể download và giải mã ra, khi đó họ có thể làm được nhiều thứ trên hệ thống.1.3.10. Tấn công dùng CookiesCookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website và trình duyệt của người dùng.Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới 4KB). Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và những vùng mà họ đi qua trong site. Những thông tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen…Cookies được Browser của người dùng chấp nhận lưu trên đĩa cứng của máy tính, không phải Browser nào cũng hổ trợ cookies.1.3.11. Can thiệp vào tham số trên URLĐây là cách tấn công đưa tham số trực tiếp vào URL. Việc tấn công có thể dùng các câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi. Điển hình cho kỹ thuật tấn công này là tấn công bằng lỗi “SQL INJECTION”.Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần một công cụ tấn công duy nhất là trình duyệt web và backdoor.1.3.12. Vô hiệu hóa dịch vụKiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là DOS (Denial of Service Tấn công từ chối dịch vụ).Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu không đâu vào đâu đến các máy tính, thường là các server trên mạng. Các yêu cầu này được gởi đến liên tục làm cho hệ thống nghẽn mạch và một số dịch vụ sẽ không đáp ứng được cho khách hàng.Đôi khi, những yêu cầu có trong tấn công từ chối dịch vụ là hợp lệ. Ví dụ một thông điệp có hành vi tấn công, nó hoàn toàn hợp lệ về mặt kỹ thuật. Những thông điệp hợp lệ này sẽ gởi cùng một lúc. Vì trong một thời điểm mà server nhận quá nhiều yêu cầu nên dẫn đến tình trạng là không tiếp nhận thêm các yêu cầu. Đó là biểu hiện của từ chối dịch vụ.1.3.13. Một số kiểu tấn công khác Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế chặt chẽ, không ràng buộc trình tự các bước khi duyệt ứng dụng thì đây là một lỗ hổng bảo mật mà các hacker có thể lợi dụng để truy cập thẳng đến các trang thông tin bên trong mà không cần phải qua bước đăng nhập. Thay đổi dữ liệu: Sau khi những người tấn công đọc được dữ liệu của một hệ thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm đến người gởi và người nhận nó. Những hacker có thể sửa đổi những thông tin trong packet dữ liệu một cách dễ dàng. Passwordbase Attact: Thông thường, hệ thống khi mới cấu hình có username và password mặc định. Sau khi cấu hình hệ thống, một số admin vẫn không đổi lại các thiết lập mặc định này. Đây là lỗ hổng giúp những người tấn công có thể thâm nhập vào hệ thống bằng con đường hợp pháp. Khi đã đăng nhập vào, hacker có thể tạo thêm user, cài backboor cho lần viến thăm sau.Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết sự tồn tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của những người tấn công. Khi họ hack vào bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng đó. Thông thường, những người tấn công giả mạo IP address để xâm nhập vào hệ thống và cấu hình lại hệ thống, sửa đổi thông tin, … Việc tạo ra một kiểu tấn công mới là mục đích của các hacker. Trên mạng Internet hiện nay, có thể sẽ xuất hiện những kiểu tấn công mới được khai sinh từ những hacker thích mày mò và sáng tạo. Bạn có thể tham gia các diễn đàn hacking và bảo mật để mở rộng kiến thức.1.4.Các biện pháp bảo mật mạng1.4.1.Mã hoá, nhận dạng, chứng thực người dùng và phần quyền sử dụngMã hóaMã hoá là cơ chế chính cho việc bảo mật thông tin. Nó bảo vệ chắc chắn thông tin trong quá trình truyền dữ liệu, mã hoá có thể bảo vệ thông tin trong quá trình lưu trữ bằng mã hoá tập tin. Tuy nhiên người sử dụng phải có quyền truy cập vào tập tin này, hệ thống mã hoá sẽ không phân biệt giữa người sử dụng hợp pháp và bất hợp pháp nếu cả hai cùng sử dụng một key giống nhau. Do đó mã hoá chính nó sẽ không cung cấp bảo mật, chúng phải được điều khiển bởi key mã hoá và toàn bộ hệ thống. Hình 2: Quá trình mã hóaMã hoá nhằm đảm bảo các yêu cầu sau:Tính bí mật (confidentiality): dữ liệu không bị xem bởi “bên thứ 3”.Tính toàn vẹn (Integrity): dữ liệu không bị thay đổi trong quá trình truyền.Tính không từ chối (Nonrepudiation): là cơ chế người thực hiện hành động không thể chối bỏ những gì mình đã làm, có thể kiểm chứng được nguồn gốc hoặc người đưa tin.Các giải thuật mã hóaGiải thuật băm (Hashing Encryption)Là cách thức mã hoá một chiều tiến hành biến đổi văn bản nhận dạng (cleartext) trở thành hình thái mã hoá mà không bao giờ có thể giải mã. Kết quả của tiến trình hashing còn được gọi là một hash (xử lý băm), giá trị hash (hash value), hay thông điệp đã được mã hoá (message digest) và tất nhiên không thể tái tạo lại dạng ban đầu.Trong xử lý hàm băm dữ liệu đầu vào có thể khác nhau về độ dài, thế nhưng độ dài của xử lý Hash lại là cố định. Hashing được sử dụng trong một số mô hình xác thực password. Một giá trị hash có thể được gắn với một thông điệp điện tử (electronic message) nhằm hỗ trợ tính tích hợp của dữ liệu hoặc hỗ trợ xác định trách nhiệm không thể chối từ (nonrepudiation). Hình 3: Mô hình giải thuật băm•Một số giải thuật bămMD5 (Message Digest 5): giá trị băm 128 bit.SHA1 (Secure Hash Algorithm): giá trị băm 160 bit.Giải thuật mã hoá đồng bộđối xứng (Symmetric)Mã hoá đối xứng hay mã hoá chia sẻ khoá (sharedkey encryption) là mô hình mã hoá hai chiều có nghĩa là tiến trình mã hoá và giải mã đều dùng chung một khoá. Khoá này phải được chuyển giao bí mật giữa hai đối tượng tham gia giao tiếp. Có thể bẻ khoá bằng tấn công vét cạn (Brute Force). Hình 4: Giải thuật mã hóa đồng bộđối xứngCách thức mã hoá như sau:•Hai bên chia sẻ chung 1 khoá (được giữ bí mật).•Trước khi bắt đầu liên lạc hai bên phải trao đổi khoá bí mật cho nhau.•Mỗi phía của thành phần liên lạc yêu cầu một khoá chia sẻ duy nhất, khoá này không chia sẻ với các liên lạc khác.Bảng dưới đây cho thấy chi tiết các phương pháp mã hóa đối xứng thông dụng.Các loại mã hóaĐặc tínhData Encryption Standard (DES)Sử dụng một khối 64 bit hoặc một khóa 56 bit.Có thể dễ dàng bị bẻ khóa.Triple DES (3DES)Áp dụng DES 3 lần.Sử dụng một khóa 168bit.Bị thay thế bởi AES.Advanced Encryption Standard (AES)Sử dụng Rhine doll có khả năng đề kháng với tất cả tấn công đã biết.Dùng một khóa và khóa chiều dài có thể thay đổi (128192 hoặc 256 bit).Giải thuật mã hóa không đồng bộkhông đối xứng (Asymmetric)Mã hóa bất đối xứng, hay mã hóa khóa công khai (publickey encryption), là mô hình mã hóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) và khóa công (public keys). Thông thường, một thông điệp được mã hóa với private key, và chắc chắn rằng key này là của người gửi thông điệp (message sender). Nó sẽ được giải mã với public key, bất cứ người nhận nào cũng có thể truy cập nếu họ có key này. Chú ý, chỉ có public key trong cùng một cặp khóa mới có thể giải mã dữ liệu đã mã hóa với private key tương ứng. Và private key thì không bao giờ được chia sẻ với bất kỳ ai và do đó nó giữ được tính bảo mật, với dạng mã hóa này được ứng dụng trong chữ ký điện tử. Hình 5: Giải thuật mã hóa đồng bộkhông đối xứngCác giải thuật:RSA (Ron Rivest, Adi Shamir, and Leonard Adleman).DSA (Digital Signature Standard).DiffieHellman (W. Diffie and Dr. M.E. Hellman).Chứng thực người dùngLà quá trình thiết lập tính hợp lệ của người dùng trước khi truy cập thông tin trong hệ thống. Các loại chứng thực như:Usernamepassword: Là loại chứng thực phổ biến nhất và yếu nhất của chứng thực, usernamepassword được giữ nguyên dạng chuyển đến Server. Hình 6: Chứng thực bằng User và PasswordTuy nhiên phương pháp này xuất hiện những vấn đề như dễ bị đánh cắp trong quá trình đến server.Giải pháp•Đặt mật khẩu dài tối thiểu là tám kí tự, bao gồm chữ cái, số, biểu tượng.•Thay đổi password: 01 thánglần.•Không nên đặt cùng password ở nhiều nơi.•Xem xét việc cung cấp password cho ai.CHAP (Challenge Hanshake Authentication Protocol): Dùng để mã hóa mật khẩu khi đăng nhập, dùng phương pháp chứng thực thử tháchhồi đáp. Định kỳ kiểm tra lại các định danh của kết nối sử dụng cơ chế bắt tay 3 bước và thông tin bí mật được mã hóa sử dụng MD5. Hoạt động của CHAP như sau: Hình 7: Hoạt động của CHAPKerberosKerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủmáy khách (clientserver) và đảm bảo nhận thực cho cả hai chiều.Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là key distribution center – KDC (KDC bao gồm hai chức năng: máy chủ xác thực (authentication server AS) và máy chủ cung cấp vé (ticket granting server TGS). Vé trong hệ thống Kerberos chính là các chứng thực chứng minh nhận dạng của người sử dụng.). Mỗi người sử dụng trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh nhận dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch đó. Hình 8: Mã hóa KerberosChứng chỉ (Certificates)Một Server (Certificates Authority CA) tạo ra các certificates.Có thể là vật lý: smartcardCó thể là logic: chữ ký điện tửSử dụng publicprivate key (bất cứ dữ liệu nào được mã hóa bằng public key chỉ có thể giải mã bằng private key). Sử dụng “công ty thứ 3” để chứng thực. Được sử dụng phổ biến trong chứng thực web, smart cards, chữ ký điện tử cho email và mã hóa email.1.4.2.Bảo mật máy trạmSự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc.Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ hổng bảo mật. Trước khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định. Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống.Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng. Chúng sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật. Trong rất nhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một tấn công vào máy chủ.1.4.3.Bảo mật truyền thôngTiêu biểu như bảo mật trên FTP, SSH.. Bảo mật truyền thông FTP Hình 9: Bảo mật FPTFTP là giao thức lớp ứng dụng trong bộ giao thức TCPIP cho phép truyền dữ liệu chủ yếu qua port 20 và nhận dữ liệu tại port 21, dữ liệu được truyền dưới dạng cleartext, tuy nhiên nguy cơ bị nghe lén trong quá trình truyền file hay lấy mật khẩu trong quá trình chứng thực là rất cao, thêm vào đó user mặc định Anonymous không an toàn tạo điều kiện cho việc tấn công tràn bộ đệm.Biện pháp đặt ra là sử dụng giao thức SFTP (SFTP = FTP + SSLTSL) có tính bảo mật vì những lí do sau:Sử dụng chứng thực RSADSA.Sử dụng cổng TCP 990 cho điều khiển, cổng TCP 989 cho dữ liệu.Tắt chức năng Anonymous nếu không sử dụng.Sử dụng IDS để phát hiện tấn công tràn bộ đệm.Sử dụng IPSec để mã hóa dữ liệu. Bảo mật truyền thông SSHSSH là dạng mã hóa an toàn thay thế cho telnet, rlogin… Hoạt động theo mô hình clientserver và sử dụng kỹ thuật mã hóa public key để cung cấp phiên mã hóa, nó chỉ cung cấp khả năng chuyển tiếp port bất kỳ qua một kết nối đã được mã hóa. Với telnet hay rlogin quá trình truyền username và password dưới dạng cleartext nên rất dễ bị nghe lén, bằng cách bắt đầu một phiên mã hóa.Khi máy client muốn kết nối phiên an toàn với một host, client phải bắt đầu kết nối bằng cách thiết lập yêu cầu tới một phiên SSH. Một khi server nhận dược yêu cầu từ client, hai bên thực hiện cơ chế threeway handshake trong đó bao gồm việc xác minh các giao thức, khóa phiên sẽ được thay đổi giữa client và server, khi khóa phiên đã trao đổi và xác minh đối với bộ nhớ cache của host key, client lúc này có thể bắt đầu một phiên an toàn.1.4.4.Các công nghệ và kỹ thuật bảo mậtBảo mật bằng FirewallLà một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia, đối với những doang nghiệp cỡ vừa là lớn thì việc sử dụng firewall là rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và Internet thông qua các chính sách truy cập đã được thiết lập.Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có các tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống. Hình 10: Mô hình tổng quát FirewallDo đó việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng lọc địa chỉ, gói tin.Bảo mật bằng VPNVPN là một mạng riêng ảo được kết nối thông qua mạng công cộng cung cấp cơ chế bảo mật trong một môi trường mạng không an toàn. Đặc điểm của VPN là dữ liệu trong quá trình truyền được mã hóa, người sử dụng đầu xa được chứng thực, VPN sử dụng đa giao thức như IPSec, SSL nhằm tăng thêm tính bảo mật của hệ thống, bên cạnh đó tiết kiệm được chi phí trong việc triển khai. Hình 11: Bảo mật bằng VPNBảo mật bằng IDS (Phát hiện tấn công)IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống bảo mật bổ sung cho firewall với công nghệ cao tương đương với hệ thống chuông báo động được cấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự xâm nhập của các attacker. Có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được firewall. Có hai dạng chính đó là network based và host based Hình 12: Hệ thống chống xâm nhập IDS1.5.Những cách phát hiện bị hacker tấn côngKhông có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi dịch vụ đều có những lỗ hổng bảo mật tiềm tàng. Đứng trên góc độ người quản trị hệ thống, ngoài việc tìm hiểu phát hiện những lỗ hổng bảo mật còn luôn phải thực hiện các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay không. Các biện pháp đó là:Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo hoặc bị crash bằng những thông báo lỗi không rõ ràng. Khó xác định nguyên nhân do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân về phần cứng hay không, nếu không phải phần cứng hãy nghĩ đến khả năng máy bị tấn côngKiểm tra các tài khoản người dùng mới trên hệ thống: một số tài khoản lạ, nhất là uid của tài khoản đó có uid= 0Kiểm tra xuất hiện các tập tin lạ. Thường phát hiện thông qua cách đặt tên các tệp tin, mỗi người quản trị hệ thống nên có thói quen đặt tên tập tin theo một mẫu nhất định để dễ dàng phát hiện tập tin lạ. Dùng các lệnh ls l để kiểm tra thuộc tính setuid và setgid đối với những tập tinh đáng chú ý (đặc biệt là các tập tin scripts).Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình login, sh hoặc các scripts khởi động trong etcinit.d, etcrc.d …Kiểm tra hiệu năng của hệ thống. Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống như ps hoặc top …Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp. Chúng ta đã biết rằng một trong các mục đích tấn công là làm cho tê liệt hệ thống (Hình thức tấn công DoS). Sử dụng các lệnh như ps, pstat, các tiện ích về mạng để phát hiện nguyên nhân trên hệ thống.Kiểm tra truy nhập hệ thống bằng các account thông thường, đề phòng trường hợp các account này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm sóat được.Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ như etcinetd.conf; bỏ các dịch vụ không cần thiết; đối với những dịch vụ không cần thiết chạy dưới quyền root thì không chạy bằng các quyền yếu hơn.Kiểm tra các phiên bản của sendmail, binmail, ftp; tham gia các nhóm tin về bảo mật để có thông tin về lỗ hổng của dịch vụ sử dụng. CHƯƠNG 2: YÊU CẦU VÀ GIẢI PHÁP CHO DỰ ÁN2.1.Yêu cầu dự ánMột doanh nghiệp cần sử dụng một hệ thống mạng máy tính để phục vụ cho việc vận hành sản xuất và kinh doanh sản phẩm. Doanh nghiệp có Ban Giám đốc gồm 1 Giám đốc và 2 Phó Giám đốc, và có 4 phòng ban gồm Phòng vật tư, Phòng Hành chính, phòng kinh doanh và phòng kế toán. Các máy tính sử dụng hệ điều hành Windows XP để nhân viên làm việc. Một máy chủ sử dụng hệ điều hành Windows Server 2008 để quản lý các máy tính khác trong mạng. Doanh nghiệp cũng sử dụng một máy in để in ấn tài liệu và máy in được chia sẻ để cho các nhân viên đều có thể sử dụng. Hệ thống mạng kết nối Internet bằng một đường truyền ADSL.Đối với máy chủ, yêu cầu chi tiết như sau:Cài đặt dịch vụ Active Directory điều khiển vùng (domain controller),tạo tài khoản người dùng và phân quyền cho người dùng.Cài đặt DHCP cấp IP động cho các máy trạm trong mạng.Cấu hình File Server tạo các thư mục dùng chung và phân quyền truycập vào các thư mục. Cấu hình Printer Server, cài đặt và chia sẻ máy in trong mạng.2.2. Phân tích dự án2.2.1. Giải pháp cho hệ thống mạng của doanh nghiệpXây dựng hệ thống mạng Domain quản lý User và dữ liệu tập trung. Đảmbảo hệ thống mạng vận hành một cách trơn tru, đáp ứng tất cả yêu cầu củatrung tâm. Hệ thống mạng còn phải có tính linh hoạt cao, có thể bổ sung thêmmáy tính và các thành phần mang nhanh chóng mà không mất nhiều thời gianvà chi phí.Mô hình sử dụng máy tính của một doanh nghiệp nhỏ như sau:Theo yêu cầu bài toán thì có thể xác định mô hình mạng của doanh nghiệp làmô hình Client Server do đó, sử dụng một máy chủ Server do nhân viên quảntrị mạng quản lý, máy chủ sử dụng hệ điều hành Windows Server 2008, còn cácmáy trạm trong mạng thì sử dụng hệ điều hành Windows XP, các máy trạm làcác máy của ban Giám đốc và các phòng ban liên quan. Sử dụng máy chủ đểchia sẻ dữ liệu và máy in. Hệ thống mạng sử dụng đường truyền Internet thôngqua một đường truyền ADSL. Như vậy, có thể hình dung mô hình mạng củadoanh nghiệp như sau: Hình 14: Mô hình mạng trong doanh nghiệp2.2.2. Quản lý hệ thống mạng tập trung (Client – Server)Cấu trúc Active Directory: Được thiết kể bao gồm một Forest và một Domain, trong Domain có một Domain Controller hoạt động. Cài đặt dịch vụ Active Directory với hoạt động của Domain Controller nhằm quản lý dữ liệu trong mạng được tập trung. Dữ liệu chung của doanh nghiệp sẽ được lưu trữ ở máy chủ, các máy trạm nếu muốn lấy dữ liệu thì phải đăng nhập vào máy chủ bằng một tài khoản mà người Quản trị mạng cấp cho với một số quyền hạn nhất định, ứng với chức vụ, cấp bậc của cá nhân đó trong doanh nghiệp. Việc đăng nhập này được thực hiện gián tiếp từ các máy Client.Mô hình User Group: Các Group được xây dựng theo từng phòng ban hoặc bộ phận. Mỗi phòng ban hoặc bộ phận có một hoặc nhiều Global Group.2.2.3. Cấp IP động cho các máỵ trạm, sử dung dịch vụ DHCP (Dynamic Host Confgaration Protocol)DHCP tự động cung cấp địa chỉ IP đến các thiết bị mạng từ một hoặc nhiều DHCP Server. Dù trong một mạng nhỏ hoặc mạng lớn, DHCP thực sự hữu ích, giúp cho việc thêm một máy tính mới vào mạng một cách dễ dàng và hiệu quả.2.2.4. Quản lý dữ liệu tâng trang (File Server Database Server)Trong lĩnh vực máy tính, File Server là một máy tính liên kết với hệ thống mạng có mục đích chính là cung cấp nơi lưu trữ dữ liệu cho các máy tính khác trong hệ thống mạng. Vai trò này nổi bật nhất khi File Server vận hành trong hệ thống mạng Domain (Client Server). Các file server thường ít khi xử lý các tính toán, điều này giúp cho hệ thống hoạt động nhanh nhất có thể đảm bảo nhu cầu lưu trữ dữ liệu từ các client. Các dữ liệu lưu trên File Server có thể là tài liệu, hình ảnh, âm thanh, video, database.File Server là nơi chứa dữ liệu của tất cả các phòng ban trong trung tâm, giúp cho dữ liệu được quản lý tập trung, tránh phân tán, giúp cho việc backup và restore dễ dàng và nhanh chóng.2.2.5. In ấn (Print Server)Print Server là một máy tính hoặc một thiết bị kết nối một hoặc nhiều máy in và các Client thông qua hệ thống mạng, có thể chấp nhận các yêu cầu in ấn và chuyển đến máy in thích hợp. Các phòng ban có thể in ấn một cách dễ dàng các tài liệu thông qua PrintServer. Ngoài ra, nhân viên công ty từ Internet cũng có thể in ấn bằng máy in tạitrung tâm thông qua dịch vụ Internet Printing.CHƯƠNG 3: THỰC NGHIỆM VÀ XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ3.1. Cài đặt Active Directory3.1.1. Nâng cấp lên Domain ControlerĐể làm việc này chúng ta đi vào chi tiết, trước tiên bạn phải dùng một máy để làm DC cách nâng cấp lên DC như sau:Vào mục TCPIP của máy DC chỉnh Preferred DNS về chính là IP của máy DC Hình 15: Đặt Ip cho máy chủ Vào Start → Run gõ lệnh dcpromo → Enter Hình 16: Gõ lệnh dcpromo Màn hình “Welcome” → chọn Next. Màn hình “Operating System Compatibility” → Chọn Next. Màn hình Create New Domain → chọn Create a new domain in a new forest → Next Hình 17: Tạo Domain đầu tiênĐiền tên Domain “DHDTK18.COM” → Next Hình 18: Điền tên DNS đầy đủ của DomainĐiền tên Domain “DHDTK18” → Next Hình 19: Mặc định giá trịMàn hình “Set Forest Functional Level” → Windows Server 2008 → Next Hình 19: Lựa chọn giá trị thứ 3Màn hình “Additional Domain Controler Option” → Chọn “DNS server” → Next Hình 20: Cài đặt và cấu hình DNSMột hộp thoại sẽ xuất hiện nói rằng không thể tạo đại biểu cho máy chủ DNS này vì không thể tìm thấy vùng xác thực hoặc nó không chạy Windows DNS server. Lý do cho điều này là vì đây là DC đầu tiên trên mạng. Bạn không nên lo lắng về điều này và chỉ cần kích Yes để tiếp tục.Màn hình “Database and Log Folders” → Next Hình 21: Giá trị mặc định lưu trong FoderMàn hình “Shared System Volume” → Next Hình 22: Mặc định vị trí lưu SYSVOL Màn hình “Directory Service Restore Mode Administrator Pasword” → Chọn Next → Next → Sau khi Install xong → Restrat lại máy theo yêu cầu của chương trình. Hình 23: Chỉ định mật khẩu trong trường hợp server phải khởi động vào Restore Mode Hình 25: Quá trình cài đặt được tiến hànhSau khi khởi động lại máy thấy rằng từ nay về sau tại màn hình đăng nhập xuất hiện thêm dòng DHDTK18Administrator Hình 26: Màn hình Logged onĐể kiểm tra xem máy có Up lên DC hoàn tất hay chưa chúng vào System Properties xem sẽ thấy xuất hiện mục Domain: DHDTK18.COM Hình 27: Kiểm tra máy đã được Up lên DC hay chưa3.1.2. Gia nhập máy trạm vào Domain để kiểm traSau khi cấu hình Active Directory, để kiểm tra hoạt động của Domain Controller, ta tiến hành đăng nhập cục bộ vào máy trạm (có thể dùng trực tiếp tài khoản Administrator để đăng nhập). Các bước tiến hành như sau:Tại máy trạm, đặt IP cho máy, các bước đặt IP tương tự như đặt IP cho Server đã làm ở phần trên, ở đây ta sẽ đặt IP cho máy trạm kiểm tra là 192.168.1.2. IP cùng lớp A và Preferred DNS Server với máy Server. Hình 28: Đặt Ip cho máy trạmSau khi đã đặt địa chỉ IP cho máy trạm, thực hiện gia nhập vào Domain từ máy trạm. Chuột phải vào My Computer, chọn Properties, chọn tiếp tab Computer Name, click vào mục change để thay đổi miền gia nhập. Tại đây, tích chọn Member of Domain, nhập tên miên của mạng cân gia nhập vào ô. Hình 29: Đổi tên máy trạm và nhập tên DomainMáy trạm dựa trên miền đã khai báo để tìm đến Domain Controller gần nhất và gia nhập vào mạng, Server sẽ yêu cầu xác thực với một tài khoản người dùng cấp miền có quyền quản trị, nhập tên và mật khẩu của người quản trị để gia nhập. Các máy trạm khác khi muốn truy cập vào Domain cung phải làm tương tự. Hình 30: Đăng nhập bằng AdministratorSau khi xác thực chính xác và hệ thống chấp nhận máy trạm này gia nhập vào miền thì hệ thống xuất hiện thông báo thành công và yêu cầu Reboot lại để đăng nhập vào mạng.Khi máy trạm khởi động lại, hộp thoại Log on to Windows có thêm một mục là Log on to, cho phép chọn một trong hai phần là DHDTK18 và this computer, chon DHDTK18 để gia nhập vào Domain bằng tài khoản của Admin.3.2. Tạo Group và User cho DomainSau khi thăng cấp Active Directory, tiến hành tạo mới các Nhóm (Groups) và các tài khoản người dùng (Users). Theo kết quả phân tích ở phần trước, ta có thể chia hệ thống sử dụng máy tính của doanh nghiệp Văn Tuấn có thể chia làm 5 Group là các Group: Ban Giám Đốc, Phòng Vật tư, Phòng Hành Chính, Phòng Kinh doanh và Phòng Kế toán. Ban Giám đốc bao gồm 1 Giám đốc và 1 Phó Giám đốc, các phòng ban có Trưởng Phòng và các nhân viên trực thuộc các phòng.Việc phân quyền truy cập máy chủ của các nhân viên trong Doanh nghiệp như sau: Ban Giám đốc có thể truy cập vào hệ thống máy chủ bất cử thời gian nào và bất cử địa điểm nào, các trường phòng thì có thể truy cập vào giờ hành chính tất cả các ngày trong tuần, còn các nhân viên thì chỉ có thể truy cập vào hệ thống máy chủ trong giờ hành chính từ thử 2 đến thử 7, trừ ban giám đốc, còn lại các nhân viên khác chỉ có thể truy cập vào hệ thống máy chủ bằng máy tỉnh cục bộ của doanh nghiệp hoặc các máy tỉnh xác định sẵn, các User đều phải thay đối mật khấu ngay lần đăng nhập đầu tiên. Hình 31: Active Directory User and Computers3.2.1. Tạo tài khoản người dùng (User)Tại máy Server chọn StartAdministrative ToolAetive Directory Users and Computers, cửa số hiến thị tiếp theo chọn vào Domain của hệ thống là DHDTK18.COM, sau đó chọn mục Users. Đê tạo mới một User, chuột phải chọn NewUser. Hình 32: Tạo mới một UserCửa sổ New Object User hiện ra, nhập thông tin của User vào các ô, ba ô đầu tiên có thế bỏ trống, sau đó nhấn Next để tiếp tục. Hình 33: Nhập thông tin UserTiếp theo, nhập mật khẩu cho User, tích chọn ô User must change password at next logon, để thiết đặt cho User phải thay đổi mật khẩu khi đăng nháp lần đầu tiến, nếu như trước đó không chỉnh sửa thiết lập Password Policy thì bước này hệ thống có thế sẽ báo lỗi do đặt mật khẩu không đúng với mặc định thiết lập ở Password Policy. Hình 34: Nhập Password cho UserSau đó nhấn Finish, và tài khoản User đã được tạo mới, tương tư đối với các tài khoản khác cũng thực hiện các bước trên.3.2.2. Tạo tài khoản nhóm (Group):Cũng trong mục User chuột phải, chọn New Group.Hộp thoại tiếp theo nhập tên nhóm là “Ban Giam Doc” vào ô Group Name, ôpreWindows 2000 sẽ tự động phát sinh, chọn loại nhóm ở Group scope là Global, sau đó nhấn OK, việc tạo một nhóm đã hoàn thành. Thực hiện tương tư đối với các nhóm Phòng ban khác. Hình 35: Tạo mới GroupĐể thêm User vào Group ta chỉ việc double click vào Group đó rồi chọn TabMembers, click chọn Add, sau đó nhập tên của User vào ô trống, nhấn nútCheck Name để kiểm tra User có đúng hay không Nếu như chúng ta quên tênUser có thể chọn Advances, chọn Find Now, sau đó tìm và chọn User muốnthêm vào Group, nhấn OK và Apply sau khi đã hoàn thành. Việc thêm User vào Group Ban Giam Doc, các Group khác tiến hành tương tự. Hình 36: Thêm User vào GroupCũng có thẻ làm theo cách thứ hai bảng cách double click vào tên User và chọn Tab Member of, sau đó nhập tên Group, nhân Check Name đê kiêm tra hoặc chọn AdvancesFind Now sau đó tìm và chọn tên Group tương ứng.3.2.3. Phân quyền truy nhập Domain cho UserNhư đã phân tích ở trên, các thành viên Ban Giám đốc sẽ có quyền truy cập vào Domain tại mọi thời điểm, và mọi máy tính. Các Trưởng phòng thì có thể truy cập trong giờ hành chính vào tất cả các ngày trong tuần các nhân viên thì chỉ được đăng nhập trong giờ hành chính từ thứ 2 đến thứ 7, hai loại đối tượng này chỉ được đăng nhập bằng máy tính cục bộ của doanh nghiệp hoặc máy tính do người quản trị mạng xác định trước.Quá trình này thực hiện lần lượt từng User, người quản trị sẽ lần lượt cấp quyền truy cập vào hệ thống cho mỗi User. Dưới đây sẽ minh họa việc cáp quyền cho một nhân viên trong doanh nghiệp, các thành viên khác tiến hành tương tự.Chẳng hạn cấp quyền truy cập tên là PGD, chức vụ là Phó Giám Đốc, các bước tiến hành như sau: Cũng trong mục User của Domain DHDTK18.COM double click vào tên User PGDOC, hộp thoại PGDOC Properties xuất hiện, chọn tab Account, tại đây chọn tiếp mục Logon Hours để thiết lập thời gian truy cập cho nhân viên này. Hình 37: Thiết lập thời gian truy cậpTrong hộp thoại Logon Hours for PGD, tùy chính thời gian truy cập vào hệ thống bằng cách quét chon vùng thời gian ứng với đối tượng sau đó tích chon Logon Permitted để mặc định, sau đó nhấn OK. Đối với các đối tượng thuộc Ban Giám Đốc thì vùng Logon Permitted (vùng màu xanh) sẽ chọn tất cả các ô. Đối với các nhân viên thì vùng chọn sẽ không có ngày Chủ Nhật. Hình 38: Chọn vùng thời gian hoạt động cho User•Kiểm tra tại máy trạm:Bây giờ ta sẽ kiểm tra User PGDOC gia nhập vào hệ thống Domain từ máy trạm .Một điều cần chủ ý là máy tính đăng nhập vào phải là máy tính có tên là PGD hoặc TPKT (điều này bắt buộc bởi như đã phân tích ở phần trên, User PGDOC chỉ được đăng nhập vào Domain bằng máy tính có tên máy là một tên miền trên, nếu đăng nhập ở máy tính khác thì sẽ không được phép).Nhập tên User và mật khẩu của nhân viên PGD, ở mục Log on to chọn DHDTK18 để đăng nhập vào Domain DHDTK18.COM. Nhấn nút OK để đăng nhập.Nếu thời điểm đăng nhập là thời gian cho phép (từ 6 giờ sang đến 6 giờ tối) thì hệ thống sẽ cho phép User này đăng nhập vào Domain, ngược lại nếu như thời điểm đăng nhập không phải là thời gian cho phép thì hệ thống sẽ không cho phép User này đăng nhập. Hình 39: Đăng nhập không đúng thời gian quy địnhCác User khác khi truy cập vào hệ thống cũng phải làm tương tự như trên.3.3. Cài đặt và cấu hình DHCP (Dynamic Host Configuration Protocol )DHCP là một giao thức cấu hình tự động địa chỉ IP. Máy tỉnh được cấu hình một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mang. Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng.Mục đích quan trọng nhất là tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IPNếu không có DHCP, các máy chỉ có thể cấu hình IP bằng cách thủ công. Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, cụ thể như DNS. Hiện nay DHCP có 2 version: cho IPV4 và IPv6.Việc cài đặt DHCP là việc cài đặt Components cho máy Server công việc này ta đã làm ở phần đầu, cho nên dịch vụ DHCP đã được cài đặt.3.3.1. Cài đặt Windows Server 2008 DHCP ServerViệc cài đặt Windows Server 2008 DCHP Server hoàn toàn dễ dàng. DHCP Server hiện là một “role” của Windows Server 2008 – chứ không phải là một thành phần riêng biệt như trước kia.Để cài đặt Windows Server 2008 DCHP Server, bạn cần một hệ thống Windows Server 2008 đã được cài đặt và được cấu hình với địa chỉ IP tĩnh. Cần biết dải địa chỉ IP mạng của mình, dải địa chỉ IP mà bạn muốn sử dụng cho các máy khách, các địa chỉ IP của máy chủ DNS và cổng mặc định. Thêm vào đó, bạn cũng lập kế hoạch cho tất cả các subnet có liên quan, phạm vi mà bạn sẽ định nghĩa và những ngăn chặn nào cần tạo ra.Để bắt đầu quá trình cài đặt DHCP, bạn có thể kích vào Add Roles từ cửa sổ Initial Configuration Tasks hoặc từ Server Manager → Roles → Add Roles. Hình 40: Bổ sung thêm Role mới trong Windows Server 2008Khi Add Roles Wizard xuất hiện, bạn hãy kích Next trên màn hình đó.Tiếp đến, chọn thành phần muốn bổ sung, DHCP Server Role, sau đó kích Next. Hình 41: Tích chọn DHCP Server RoleMàn hình “DHCP Server” → Next Hình 42: Thiết lập cấu hình DHCPNếu không có địa chỉ IP tĩnh được gán trên máy chủ thì bạn sẽ gặp một cảnh báo, cảnh báo này thông báo cho bạn biết rằng bạn không nên cài đặt DHCP với một địa chỉ IP động.Ở đây, bạn sẽ được nhắc nhở về các thông tin IP mạng, thông tin về phạm vi và các thông tin DNS. Nếu chỉ cài đặt DHCP server mà không cần cấu hình các phạm vi và các thiết lập, bạn chỉ cần kích Next xuyên suốt các chất vấn trong quá trình cài đặt.Mặt khác, bạn cũng có thể cấu hình tùy chọn DHCP Server trong suốt giao đoạn này của quá trình cài đặt.Trong trường hợp của chúng tôi, chúng tôi đã chọn để cấu hình một số thiết lập IP cơ bản và cấu hình DHCP Scope đầu tiên.Chúng tôi đã thể hiện sự giàng buộc kết nối mạng của mình và đã được yêu cầu thẩm định nó, giống như bên dưới: Hình 43: Giàng buộc kết nối mạngTiếp đến, nhập vào Parent Domain, Primary DNS Server, và Alternate DNS Server (xem hình bên dưới) và kích Next. Hình 44: Nhập vào các thông tin miền và DNSỞ cửa sổ Add Scope ta đặt IP như hình Hình 45: Nhập vào các thông tin miền và DNS Quay trở lại màn hình Add Scope, chúng ta kích Next để bổ sung thêm một phạm vi mới (khi DHCP Server được cài đặt).Chọn Disable DHCPv6 stateless mode cho máy chủ này và kích Next.Sau đó xác nhận DHCP Installation Selections của mình và kích Install. Sau đó một vài giây, DHCP Server sẽ được cài đặt.Kích Close để đóng cửa sổ cài đặt, sau đó chúng ta hãy chuyển sang cách quản lý DHCP Server.3.3.2. Kiểm tra dịch vụ Windows Server 2008 DHCP ServerĐể test th XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ LỜI NÓI ĐẦU Cùng với phát triển công nghệ thông tin, công nghệ mạng máy tính phát triển mạng internet ngày phát triển đa dạng phong phú Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin Internet đa dạng nội dung hình thức, có nhiều thông tin cần bảo mật cao tính kinh tế, tính xác tính tin cậy Sự đời công nghệ An Ninh Mạng bảo vệ mạng bạn trước việc đánh cắp sử dụng sai mục đích thông tin kinh doanh bí mật chống lại công mã độc từ vi rút sâu máy tính mạng Internet Nếu An Ninh Mạng triển khai, công ty bạn gặp rủi ro trước xâm nhập trái phép, ngừng trệ hoạt động mạng, gián đoạn dịch vụ, không tuân thủ quy định chí hành động phạm pháp Bên cạnh đó, hình thức phá hoại mạng trở nên tinh vi phức tạp Do hệ thống, nhiệm vụ bảo mật đặt cho người quản trị mạng quan trọng cần thiết Xuất phát từ thực tế đó, nhóm chúng em tìm hiểu đề tài “Xây Dựng Hệ Thống Mạng Cho Doanh Nghiệp Vừa Và Nhỏ” Với hướng dẫn tận tình Th.S Phạm An Bình – nhóm em hoàn thành báo cáo Tuy cố gắng tìm hiểu phân tích, không tránh khỏi thiếu sót Nhóm em mong nhận thông cảm góp ý quý thầy cô Nhóm em xin chân thành cảm ơn !!! Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ MỤC LỤC Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu An Ninh Mạng 1.1.1 Khái niệm An Ninh Mạng Máy tính có phần cứng chứa liệu hệ điều hành quản lý, đa số máy tính máy tính công ty, doanh nghiệp nối mạng Lan Internet Nếu máy tính, hệ thống mạng bạn không trang bị hệ thống bảo vệ chẳng khác bạn khỏi phòng mà quên khóa cửa, máy tính bạn mục tiêu virus, worms, unauthorized user … chúng công vào máy tính hệ thống bạn lúc Vậy an toàn mạng có nghĩa bảo vệ hệ thống mạng, máy tính khỏi phá hoại phần cứng hay chỉnh sửa liệu (phần mềm) mà không cho phép từ người cố ý hay vô tình An toàn mạng cung cấp giải pháp, sách, bảo vệ máy tính, hệ thống mạng để làm cho người dùng trái phép, phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng bạn 1.1.2 Các yếu tố cần bảo vệ hệ thống mạng Yếu tố phải nói đến liệu, thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu tính bảo mật, tính toàn vẹn hay tính kịp thời Thông thường yêu cầu bảo mật coi yêu cầu quan trọng thông tin lưu trữ mạng Tuy nhiên, thông tin không giữ bí mật, yêu cầu tính toàn vẹn quan trọng Không cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lưu trữ thông tin mà tính đắn thông tin Yếu tố thứ hai tài nguyên hệ thống, sau Attacker làm chủ hệ thống chúng sử dụng máy để chạy chương trình dò tím mật để công vào hệ thống mạng Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Yếu tố thứ ba danh tiếng liệu bị đánh cắp việc nghi ngờ công ty điều không tránh khỏi, ảnh hưởng đến danh tiếng công ty nhiều 1.1.3 Các yếu tố đảm bảo an toàn thông tin An toàn thông tin nghĩa thông tin bảo vệ, hệ thống dịch vụ có khả chống lại tai hoạ, lỗi tác động không mong đợi Mục tiêu an toàn bảo mật công nghệ thông tin đưa số tiêu chuẩn an toàn ứng dụng tiêu chuẩn an toàn để loại trừ giảm bớt nguy hiểm Hiện biện pháp công ngày tinh vi, đe doạ tới độ an toàn thông tin đến từ nhiều nơi khác theo nhiều cách khác nhau, yêu cầu cần để đảm bảo an toàn thông tin sau: - Tính bí mật: Thông tin phải đảm bảo tính bí mật sử dụng đối tượng - Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn cấu trúc, không mâu thuẫn - Tính sẵn sàng: Thông tin phải sẵn sàng để tiếp cận, để phục vụ theo mục đích cách - Tính xác: Thông tin phải xác, tin cậy - Tính không khước từ (chống chối bỏ): Thông tin kiểm chứng nguồn gốc người đưa tin Nguy hệ thống (Risk) hình thành kết hợp lỗ hổng hệ thống mối đe doạ đến hệ thống, nguy hệ thống định nghĩa ba cấp độ thấp, trung bình cao Để xác định nguy hệ thống trước tiên ta phải đánh giá nguy hệ thống theo sơ đồ sau Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 1: Quá trình đánh giá nguy hệ thống  Xác định lỗ hổng hệ thống Việc xác định lỗ hổng điểm truy cập vào hệ thống: - Kết nối mạng Internet Các điểm kết nối từ xa Kết nối tổ chức khác Các môi trường truy cập vật lý hệ thống Các điểm truy cập người dùng Các điểm truy cập không dây Ở điểm truy cập, ta phải xác định thông tin truy cập mức độ truy cập vào hệ thống  Xác định mối đe dọa Đây công việc khó khăn mối đe dọa thường không xuất rõ ràng (ẩn), thời điểm quy mô công trước Các hình thức kỹ thuật công đa dạng: - DoS/DDoS, BackDoor, Tràn đệm, … - Virus, Trojan Horse, Worm - Social Engineering  Các biện pháp an toàn hệ thống Các biện pháp an toàn hệ thống gồm biện pháp: Như firewall, phần mềm diệt virut, điều khiển truy cập, hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng), mã hoá liệu, hệ thống xâm nhập IDS, kỹ thuật khác, ý thức người dùng, hệ thống sách bảo mật tự động vá lỗ hệ thống 1.2 Các lỗ hổng bảo mật Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Có nhiều tổ chức tiến hành phân loại dạng lỗ hổng đặc biệt Theo quốc phòng Mỹ loại lỗ hổng phân làm ba loại sau: Lỗ hổng loại C Lỗ hổng loại B Lỗ hổng loại A 1.2.1 Lỗ hổng loại C - Cho phép thực hình thức công theo DoS (Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng liệu đạt quyền truy cập bất hợp pháp DoS hình thức công sử dụng giao thức tầng Internet giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Các dịch vụ có lỗ hổng cho phép công DoS nâng cấp sửa chữa phiên nhà cung cấp dịch vụ Hiện chưa có biện pháp hữu hiệu để khắc phục tình trạng công kiểu thân thiết kế tầng Internet (IP) nói riêng giao thức TCP/IP nói chung ẩn chứa nguy tiềm tang lỗ hổng loại 1.2.2 Lỗ hổng loại B Cho phép người sử dụng có thêm quyền hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mát thông tin yêu cầu cần bảo mật Lỗ hổng thường có ứng dụng hệ thống Có mức độ nguy hiểm trung bình Lỗ hổng loại B có mức độ nguy hiểm lỗ hổng loại C Cho phép người sử dụng nội chiếm quyền cao truy nhập không hợp pháp Những lỗ hổng loại thường xuất dịch vụ hệ thống Người sử dụng local hiểu người có quyền truy nhập vào hệ thống với số quyền hạn định Một dạng khác lỗ hổng loại B xảy với chương trình viết mã nguồn C Những chương trình viết mã nguồn C thường sử dụng vùng đệm, vùng Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ nhớ sử dụng để lưu trữ liệu trước xử lý Người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng không gian nhớ cho khối liệu Ví dụ viết chương trình nhập trường tên người sử dụng quy định trường dài 20 ký tự khai báo: Char first_name [20]; Khai báo cho phép người sử dụng nhập tối đa 20 ký tự Khi nhập liệu ban đầu liệu lưu vùng đệm Khi người sử dụng nhập nhiều 20 ký tự tràn vùng đệm Những ký tự nhập thừa nằm vùng đệm khiến ta kiểm soát Nhưng kẻ công chúng lợi dụng lỗ hổng để nhập vào ký tự đặc biệt để thực thi số lệnh đặc biệt hệ thống Thông thường lỗ hổng lợi dụng người sử dụng hệ thống để đạt quyền root không hợp lệ Để hạn chế lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống chương trình 1.2.3 Lỗ hổng loại A Cho phép người hệ thống truy cập bất hợp pháp vào hệ thống Có thể làm phá huỷ toàn hệ thống Loại lỗ hổng có mức độ nguy hiểm đe dọa tính toàn vẹn bảo mật hệ thống Các lỗ hổng thường xuất hệ thống quản trị yếu không kiểm soát cấu hình mạng Ví dụ với web server chạy hệ điều hành Novell server có scripst convert.bas chạy scripst cho phép đọc toàn nội dung file hệ thống Những lỗ hổng loại nguy hiểm tồn sẵn có phần mềm sử dụng, người quản trị không hiểu sâu dịch vụ phần mềm sử dụng bỏ qua điểm yếu Vì thường xuyên phải kiểm tra thông báo nhóm tin bảo mật mạng để phát lỗ hổng loại Một loạt chương trình phiên cũ thường sử dụng có lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger Các kiểu công hacker 1.3.1 Tấn công trực tiếp 1.3 Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Sử dụng máy tính để công máy tính khác với mục đích dò tìm mật mã, tên tài khoản tương ứng, … Họ sử dụng số chương trình giải mã để giải mã file chứa password hệ thống máy tính nạn nhân Do đó, mật ngắn đơn giản thường dễ bị phát Ngoài ra, hacker công trực tiếp thông qua lỗi chương trình hay hệ điều hành làm cho hệ thống tê liệt hư hỏng Trong số trường hợp, hacker đoạt quyền người quản trị hệ thống 1.3.2 Kỹ thuật đánh lừa: Social Engineering Đây thủ thuật nhiều hacker sử dụng cho công thâm nhập vào hệ thống mạng máy tính tính đơn giản mà hiệu Thường sử dụng để lấy cấp mật khẩu, thông tin, công vào phá hủy hệ thống Ví dụ: Kỹ thuật đánh lừa Fake Email Login Về nguyên tắc, đăng nhập vào hộp thư bạn phải nhập thông tin tài khoản bao gồm username password gởi thông tin đến Mail Server xử lý Lợi dụng việc này, người công thiết kế trng web giống hệt trang đăng nhập mà bạn hay sử dụng Tuy nhiên, trang web giả tất thông tin mà bạn điền vào gởi đến cho họ Kết quả, bạn bị đánh cắp mật khẩu! Nếu người quản trị mạng, bạn nên ý dè chừng trước email, messengers, cú điện thoại yêu cầu khai báo thông tin Những mối quan hệ cá nhân hay tiếp xúc mối nguy hiểm tiềm tàng 1.3.3 Kỹ thuật công vào vùng ẩn Những phần bị dấu website thường chứa thông tin phiên làm việc client Các phiên làm việc thường ghi lại máy khách không tổ chức sở liệu máy chủ Vì vậy, người công sử dụng chiêu chức View Source trình duyệt để đọc phần đầu từ tìm sơ hở trang Web mà họ muốn công Từ đó, công vào hệ thống máy chủ Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ 1.3.4 Tấn công vào lỗ hổng bảo mật Hiện lỗ hổng bảo mật phát nhiều hệ điều hành, web server hay phần mềm khác, Và hãng sản xuất cập nhật lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước Do đó, người sử dụng phải cập nhật thông tin nâng cấp phiên cũ mà sử dụng không hacker lợi dụng điều để công vào hệ thống Thông thường, forum hãng tiếng cập nhật lỗ hổng bảo mật việc khai thác lỗ hổng tùy người 1.3.5 Khai thác tình trạng tràn đệm Tràn đệm tình trạng xảy liệu gởi nhiều so với khả xử lý hệ thống hay CPU Nếu hacker khai thác tình trạng tràn đệm họ làm cho hệ thống bị tê liệt làm cho hệ thống khả kiểm soát Để khai thác việc này, hacker cần biết kiến thức tổ chức nhớ, stack, lệnh gọi hàm Shellcode Khi hacker khai thác lỗi tràn đệm hệ thống, họ đoạt quyền root hệ thống Đối với nhà quản trị, tránh việc tràn đệm không khó khăn, họ cần tạo chương trình an toàn từ thiết kế 1.3.6 Nghe trộm Các hệ thống truyền đạt thông tin qua mạng không chắn lợi dụng điều này, hacker truy cập vào data paths để nghe trộm đọc trộm luồng liệu truyền qua Hacker nghe trộm truyền đạt thông tin, liệu chuyển đến sniffing snooping Nó thu thập thông tin quý giá hệ thống packet chứa password username Các chương trình nghe trộm gọi Trang XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ sniffing Các sniffing có nhiệm vụ lắng nghe cổng hệ thống mà hacker muốn nghe trộm Nó thu thập liệu cổng chuyển cho hacker 1.3.7 Kỹ thuật giả mạo địa Thông thường, mạng máy tính nối với Internet bảo vệ tường lửa (Firewall) Bức tường lửa hiểu cổng mà người vào nhà hay phải qua bị “điểm mặt” Bức tường lửa hạn chế nhiều khả công từ bên gia tăng tin tưởng lẫn việc sử dụng tào nguyên chia sẻ mạng nội Sự giả mạo địa nghĩa người bên giả mạo địa máy tính máy tính hệ thống cần công Họ tự đặt địa IP máy tính trùng với địa IP máy tính mạng bị công Nếu làm điều này, hacker lấy liệu, phá hủy thông tin hay phá hoại hệ thống 1.3.8 Kỹ thuật chèn mã lệnh Một kỹ thuật công sử dụng cho số kỹ thuật công khác chèn mã lệnh vào trang web từ máy khách người công Kỹ thuật chèn mã lệnh cho phép người công đưa mã lệnh thực thi vào phiên làm việc web người dùng khác Khi mã lệnh chạy, cho phép người công thực nhiều nhiều chuyện giám sát phiên làm việc trang web toàn quyền điều khiển máy tính nạn nhân Kỹ thuật công thành công hay thất bại tùy thuộc vào khả linh hoạt người công 1.3.9 Tấn công vào hệ thống có cấu hình không an toàn Cấu hình không an toàn lỗ hổng bảo mật hệ thống Các lỗ hổng tạo ứng dụng có thiết lập không an toàn người quản trị hệ thống định cấu hình không an toàn Chẳng hạn cấu hình máy chủ web cho phép có quyền duyệt qua hệ thống thư mục Việc thiết lập làm lộ thông tin nhạy cảm mã nguồn, mật hay thông tin khách hàng Trang 10 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 55: Chọn Allow vào Write Tiếp theo chọn Advanced, sau bỏ dấu tích dòng Include inheritable Permissions… hộp thoại Advanced Security for CHUNG, sau bỏ dấu tích hộp thoại Security ra, nhân chọn Copy Trang 67 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 56: Chọn Coppy hộp thoại Security Sau thiết lập xong, nhấn Apply OK kết thúc trình Đối với thư mục phòng ban, ta tiến hành việc phân quyền sau: Thư mục PHONG HANH CHINH: chuột phải vào tên thư mục, chọn Sharing and Security, chọn Share this folder tab Sharing, sau nhấn chọn Permissions, hộp thoại Permissions for… Remove Group Everyone, Add Group Phong Hanh Chinh User trưởng phòng phòng ban khác, User, Group tích chọn Allow vào mục Full Control, nhấn Apply OK sau hoàn thành Tại tab Security nhấn Add để thêm User nhân viên thuộc Phòng Hành Chính User trưởng phòng phòng ban khác Do yêu cầu đặt nhân viên quyền xóa liệu mà tạo mà không xóa liệu người khác, phải thêm User Phòng Hành Chính tab Security để thiết lập Các thiết lập sau: - Đối với trưởng phòng phòng Hành phép xem thay đổi liệu thư mục phòng mình, User, ta nhấp chuột vào tên User tích - chọn Allow vào ô Full Control mục Permissions for Đối với nhân viên phòng Hành quyền xóa liệu mà tạo không phép xóa liệu người khác, nhấp chuột vào tên User nhân viên chọn Allow vào ô Write phép User thêm - liệu, chỉnh sửa liệu không xóa liệu người khác Đối với trưởng phòng phong ban khác để mặc định, cho phép User xem đọc liệu phòng Trang 68 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 57: Chọn Allow Full Cotroll cho Trường Phòng Trang 69 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 58: Nhân viên tích chọn Allow ô Write Thực tương tự thư mục phòng ban lại, riêng trưởng phòng quyền xem đọc liệu phòng ban khác, phân quyền, việc thêm User phòng ban tương ứng phải thêm User trưởng phòng phòng ban khác, thực phân quyền phân quyền cho thư mục PHONG HANH CHINH Kiểm tra hoạt động truy cập vào thư mục Domain User, tiến hành kiểm tra tài khoản NVHC Trang 70 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 59: Kiểm tra thư mục truy cập máy trạm Sau đăng nhập vào Domain, click chuột vào Start, chọn Run, gõ địa IP Domain vào, sau nhấn OK, địa IP Domain 192.168.1.1 Hình 60: Gõ địa IP Domain Trang 71 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hộp thoại Domain xuất với thư mục chia sẻ Hình 61: Các thư mục chia hiển thị Khi click vào thư mục phong ke toan thư mục phòng khác báo lỗi Trang 72 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 62: Hệ thống thông báo lỗi không vào thư mục phân quyền Click vào thư mục phong hanh chinh kêt cho phép Hình 63: Truy cập vào thư mục phân quyền Trong thư mục phong hanh chinh, nhân viên tạo liệu Mình xóa liệu tạo thư mục Hình 64: Nhân viên thêm liệu Trang 73 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ 3.5 Cài đặt chia máy in (Print Server) 3.5.1 Cài đặt công cụ dịch vụ in ấn Máy in đặt phòng văn thư gắn trực tiếp vào máy tính có tên PC1, trước cài đặt Print Server phải đảm bảo máy in cài đặt máy PC1 - Đăng nhập máy PC1 tài khoản admin domain, Server Manager - click chuột phải vào Roles chọn Add Roles Trên cửa sổ Before You Begin click Next Trên cửa sổ Select Server Roles tick chọn Print Services, click Next Trên cửa sổ Print Services click Next Tick chọn Print Server cửa sổ Select Role Services, click Next Trên cửa sổ Confirm Installation Selections click Install để cài đặt Print - Management Sau cài đặt xong, click Close để kết thúc 3.5.2 Tạo máy in ấn - Vào Administrative tool → Print Management Mở rộng mục Print Server → PC1 (local) Click chuột phải vào Printers chọn Add Printer Trang 74 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 65: Print Management - Tick chọn Add New Printer using an existing port, chọn LPT1 sau click Next Trang 75 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ - Hình 66: Thêm máy in port LTP1 Tick chọn Install a new driver, click Next - Hình 67: Khởi chạy Driver Trên cửa sổ Printer Installation chọn hãng máy in chọn loại máy in sau click Next Trang 76 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ - Trên cửa sổ Printer Name and Sharing Settings điền tên cho máy in, tick chọn Share this printer đặt tên share cho máy in, click Next Hình 68: Chọn loại máy in - Trên cửa sổ Printer Found click Next Trang 77 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ - Hình 69: Thông tin máy in chọn Sau tạo máy in xong click Finish để kết thúc Hình 70: Quá trình cài đặt hoàn tất Trang 78 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Sau hoàn tất công đoạn thêm máy in vào cho User/Group, ta tiến hành kiểm tra máy trạm kết nối với máy in hay chưa Nếu chưa ta tiến hành cài đặt lại cách kết nối máy in vào User thành công ta áp dụng để in ấn Hình 71: Máy trạm kết nối với máy in KẾT LUẬN Trang 79 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Việc thiết kế, xây dựng hệ thống mạng máy tính công đoạn khó khăn, để thiết kế nên hệ thống mạng hoàn đồng thời có khoa học, đòi hỏi người thiết kế phải có tư kiến thức Hệ thống mạng chạy tốt hay không, trì lâu hay không, thường xuyên gặp trục trặc ít, điều phần lớn bắt nguồn từ việc thiết kế hệ thống mạng có khoa học không Lắp đặt hệ thống mạng để quản lý, để nâng cấp hạn chế cố tới mức thấp nhất, đồng thời đảm bảo tính bảo mật cao, vấn để đòi hỏi người thiết kế phải ý Qua thời gian tìm hiểu, công với kiến thức học hướng dẫn Th.s Phạm An Bình, chúng em hoàn thành tập mình, đồng thời mở mang thêm kiến thức môn học Quản Trị Mạng, giúp ích cho thân sau Tuy nhiên, trình thực tập không tránh khỏi sai lầm định, thiếu sót trình thực đồ án mình, mong góp ý thầy giáo bạn đọc Chúng em xin cảm ơn !!! TÀI LIỆU THAM KHẢO TIẾNG VIỆT [1] Nguyễn Hoàng Cương, Giáo trình Mạng Máy Tính [2] Nguyễn Gia Hiểu, Mạng máy tính [3] Nhà Xuất Thống kê Mạng Trang 80 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ [4] Đại học Cần Thơ, Giáo trình thiết kế cài đặt mạng [5] Nguyễn Gia Như, Lê Trọng Vĩnh, Giáo trình Thiết kế mạng, Đại Học Duy Tân TIẾNG ANH [4] Ethernet Networks: Design, Implementation, Operation, Management Gilbert Held Copyright 2003 John Wiley & Sons, Ltd [5] Internetworking Technologies Handbook Copyright Cisco Press 2003 [6] TCP/IP Network Administration Craig Hunt, O'Reilly & Associates [7] LAN Design Manual BICSI WEBSITE [8] http://123doc.org/ [9] https://vi.wikipedia.org [10] http://blog.idconline.vn/2013/05/xay-dung-he-thong-mang-may-tinh-server.html [11] http://vntelecom.org/diendan/showthread.php?t=8323 [12] https://anninhmang.net/ [13] http://thonghoang.com/windows-server/ Trang 81 [...]... 23 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ CHƯƠNG 2: YÊU CẦU VÀ GIẢI PHÁP CHO DỰ ÁN 2.1 Yêu cầu dự án Một doanh nghiệp cần sử dụng một hệ thống mạng máy tính để phục vụ cho việc vận hành sản xuất và kinh doanh sản phẩm Doanh nghiệp có Ban Giám đốc gồm 1 Giám đốc và 2 Phó Giám đốc, và có 4 phòng ban gồm Phòng vật tư, Phòng Hành chính, phòng kinh doanh và phòng kế toán Các máy tính sử dụng hệ. .. Để làm việc này chúng ta đi vào chi tiết, trước tiên bạn phải dùng một máy để làm DC cách nâng cấp lên DC như sau: - Vào mục TCP/IP của máy DC chỉnh Preferred DNS về chính là IP của máy DC Trang 28 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 15: Đặt Ip cho máy chủ - Vào Start → Run gõ lệnh dcpromo → Enter Trang 29 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 16: Gõ lệnh dcpromo... nhận các yêu cầu in ấn và chuyển đến máy in thích hợp Các phòng ban có thể in ấn một cách dễ dàng các tài liệu thông qua Print Server Ngoài ra, nhân viên công ty từ Internet cũng có thể in ấn bằng máy in tại trung tâm thông qua dịch vụ Internet Printing Trang 27 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ CHƯƠNG 3: THỰC NGHIỆM VÀ XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ 3.1 Cài đặt Active... và phân quyền cho người dùng - Cài đặt DHCP cấp IP động cho các máy trạm trong mạng - Cấu hình File Server tạo các thư mục dùng chung và phân quyền truy cập vào các thư mục - Cấu hình Printer Server, cài đặt và chia sẻ máy in trong mạng 2.2 Phân tích dự án 2.2.1 Giải pháp cho hệ thống mạng của doanh nghiệp Xây dựng hệ thống mạng Domain quản lý User và dữ liệu tập trung Đảm bảo hệ thống mạng vận hành... forest → Next Hình 17: Tạo Domain đầu tiên Trang 30 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ - Điền tên Domain “DHDTK18.COM” → Next Hình 18: Điền tên DNS đầy đủ của Domain - Điền tên Domain “DHDTK18” → Next Trang 31 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 19: Mặc định giá trị - Màn hình “Set Forest Functional Level” → Windows Server 2008 → Next Hình 19: Lựa chọn giá trị thứ 3... động cho các máỵ trạm, sử dung dịch vụ DHCP (Dynamic Host Confgaration Protocol) DHCP tự động cung cấp địa chỉ IP đến các thiết bị mạng từ một hoặc nhiều DHCP Server Dù trong một mạng nhỏ hoặc mạng lớn, DHCP thực sự hữu ích, giúp cho việc thêm một máy tính mới vào mạng một cách dễ dàng và hiệu quả Trang 26 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ 2.2.4 Quản lý dữ liệu tâng trang (File Server. .. trong phần mềm hay các lỗ hổng bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu không đâu vào đâu đến các máy tính, thường là các server trên mạng Các yêu cầu này được gởi đến liên tục làm cho hệ thống nghẽn mạch và một số dịch vụ sẽ không đáp ứng được cho khách hàng Trang 11 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Đôi khi, những yêu cầu có trong tấn công... hệ thống mạng và có khả năng vượt qua được firewall Có hai dạng chính đó là network based và host based Trang 21 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 12: Hệ thống chống xâm nhập IDS 1.5 Những cách phát hiện bị hacker tấn công Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi dịch vụ đều có những lỗ hổng bảo mật tiềm tàng Đứng trên góc độ người quản trị hệ thống, ... Internet thông qua một đường truyền ADSL Như vậy, có thể hình dung mô hình mạng của doanh nghiệp như sau: INTERNET Trang 25 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 14: Mô hình mạng trong doanh nghiệp 2.2.2 Quản lý hệ thống mạng tập trung (Client – Server) Cấu trúc Active Directory: Được thiết kể bao gồm một Forest và một Domain, trong Domain có một Domain Controller hoạt động Cài đặt dịch... lo lắng về điều này và chỉ cần kích Yes để tiếp tục - Màn hình “Database and Log Folders” → Next Trang 33 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 21: Giá trị mặc định lưu trong Foder - Màn hình “Shared System Volume” → Next Trang 34 XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ Hình 22: Mặc định vị trí lưu SYSVOL - Màn hình “Directory Service Restore Mode Administrator Pasword”
- Xem thêm -

Xem thêm: Xây Dựng Hệ Thống Mạng Cho Doanh Nghiệp Vừa Và Nhỏ (Windows Server 2008), Xây Dựng Hệ Thống Mạng Cho Doanh Nghiệp Vừa Và Nhỏ (Windows Server 2008), Xây Dựng Hệ Thống Mạng Cho Doanh Nghiệp Vừa Và Nhỏ (Windows Server 2008)

Mục lục

Xem thêm

Gợi ý tài liệu liên quan cho bạn

Từ khóa liên quan

Nạp tiền Tải lên
Đăng ký
Đăng nhập