Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Lời cảm ơn Trong thời gian thực đồ án Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp, chúng em đà nhận đợc hớng dẫn, bảo giúp đỡ tận tình thầy giáo, cô giáo khoa CNTT Vậy cho phép chúng em đợc bày tỏ lòng biết ơn sâu sắc tới giúp đỡ Đặc biệt chúng em xin chân thành cảm ơn Ths.Nguyễn Thị Minh Tâm - Ngời đà hớng dẫn tạo điều kiện thuận lợi giúp đỡ chúng em hoàn thành đồ án cách xác kịp thời Qua chúng em xin cảm ơn gia đình, bạn bè đà giúp đỡ động viên chúng em hoàn thành đồ án Vinh, ngày 10 tháng năm 2010 Mục lục Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Lời cảm ơn Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Lời nói đầu Cách mạng máy tính với tốc độ phát triển nhanh chóng ứng dụng rộng rÃi công nghệ mạng đà làm thay đổi môi trờng làm việc sinh hoạt ngời Trong quan, xí nghiệp nhờ có hỗ trợ hệ thống mạng máy tính đặc biệt internet toàn cầu, ngời lao động khai thác tối đa nguồn tài nguyên thông tin quan, xí nghiệp giới mà trực tiếp trao đổi với vị trí địa lý nào, từ đa định sản xuất kinh doanh, thúc đẩy trình sản xuất phát triển để đáp ứng cho xà hội Mặc dù quản trị mạng lĩnh vực quan trọng hầu hÕt c¸c doanh nghiƯp Nhng hiƯn rÊt nhiỊu doanh nghiệp Việt Nam cha có quan tâm mức đến sở hạ tầng mạng vấn đề an ninh mạng dẫn đến điều đáng tiếc nh hacker công, virus phát tán, thông tin quan trọng doanh nghiệp bị đánh cắp Do việc thiết lập xây dựng hoàn chỉnh hệ thống an ninh cho mạng doanh nghiệp điều quan trọng thành phần thiếu phát triển doanh nghiệp Từ lý chúng em xây dựng đề tài với mong muốn đa đồ án có tính khái quát mang tính thực tiễn cao áp dụng cho doanh nghiệp vừa nhỏ Trong khuôn khổ đồ án tốt nghiệp, thời gian có hạn vốn kiến thức nhiều hạn chế nên kết mà chúng em đạt đợc chắn nhiều thiếu sót Chúng em mong nhận đợc nhiều ý kiến đóng góp quý thầy cô bạn bè Vinh, tháng năm 2010 Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Phần I Cơ sở hạ tầng mạng mạng Doanh nghiệp Chơng I: Cơ sở hạ tầng I Tổng Quan mạng máy tính Nhu cầu mạng máy tính nh thứ khác, thời điểm có thiết bị mạng khác ứng với nhu cầu khác Trớc nhu cầu mạng máy tính đơn giản cha phục vụ nhiều công việc hàng ngày, thiết bị mạng đơn sơ cha có gì, cần Hub nối máy tính lại với nh sơ đồ dới đây: Hình 1.1: Sơ đồ nối Hub với máy tính Trong sơ đồ mạng mét m¸y tÝnh trun cho mét m¸y tÝnh kh¸c mạng tất máy khác mạng nhận đợc, điều ảnh hởng lớn đến toàn mạng nh tốn băng thông có nhiều máy tính truyền gây đụng độ lớn mạng từ gây tắc nghẽn mạng Bên cạnh máy tính mạng trao đổi thông tin, điều ảnh hởng đến tính riêng t khả bảo mật thông tin Đậu Văn Chơng - Ngun Lª Vị Cêng - Líp: 46K1-CNTT ThiÕt kÕ xây dựng hệ thống bảo mật mạng doanh nghiệp Những mạng kiểu nh không phù hợp với thực tế ngày mạng máy tính Vì yêu cầu khả thời gian truyền, miền đụng độ, miền quảng bá, bảo mật thông tin mạng quan trọng công ty Để đáp ứng nhu cầu ngày cao thiết bị mạng ngày phát triển để đáp ứng nhu cầu công ty Các thiết bị nh Router, Switch khắc phục đợc yêu cầu băng thông, miền đụng độ miền quảng bá bảo mật thông tin Ngoài có thiết bị khác có u điểm cao nhiều nh Pix 525,512,535 , VPN Trong sơ đồ mạng sau thể đợc tính u việt Hình 1.2: Sơ đồ VLAN Trong mạng việc quản lý đà đợc nâng cấp trớc, máy tính đà đợc phân chia thành VLAN để tăng thêm tính u việt mạng, thiết bị sử dụng mạng không đơn giản nh trớc có chức làm cầu nối thiết bị đầu cuối, mà ngời quản trị điều hành đuợc nhiều Đậu Văn Chơng - Ngun Lª Vị Cêng - Líp: 46K1-CNTT ThiÕt kÕ xây dựng hệ thống bảo mật mạng doanh nghiệp vấn đề bảo mật thông tin đảm bảo an toàn Các thiết bị mạng chủ yếu hoạt động lớp 1, 2, mô hình OSI nh hình dới đây: Hình 1.3: Mô hình OSI Router thiết bị hoạt động lớp (lớp Network) có chức định tuyến, Switch thiết bị lớp (lớp Data Link) có chức chuyển tiếp gói liệu cổng cần Đều hai thiết bị thờng thấy chủ yếu mạng máy tính Ngoài có thiết bị nh Hub, Bridge, Repeater Nhng giới hạn đồ án em trình bày Router, Switch chủ yếu II Cơ së lý thut vỊ Router 1.KiÕn thøc phÇn cøng cđa Router a) KiÕn tróc bªn cđa Router Router vỊ chất giống nh máy tính, có đầy đủ thành phần máy tÝnh nh Ram, Rom, Bé vi xư lý §Ëu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Hình 1.4: Các thành phần cấu hình bên Router Trong đó: - Ram/Dram: Lu trữ bảng định tuyến, ARP cache, cache chuyển mạch nhanh (Fast -Switch cache), đệm gói liệu (Ram chia sẻ) hàng đợi (queue) chứa gói Ram cung cấp nhớ thực thi nhớ tạm cho tập tin cấu hình Router Router đợc mở lên Nội dung Ram tắt nguồn hay khởi động lại Router - NVRam - Nonvolatile Ram: Lu trữ tập tin cấu hình khởi động dự phòng Router, nội dung NVRam lu trữ tắt nguồn hay khởi động lại Router - Flash - Rom: Có thể xóa, lập trình lại, chứa ảnh hệ điều hành (Operating System Image) vi m¹ch (Microcode), bé nhí Flash cho phÐp b¹n cËp nhËt phần mềm mà không loại bỏ thay chip vi xư lý, néi dung vÉn tr× tắt nguồn điện hay khởi động lại Router, nhiều phiên phần mềm IOS đợc lu nhớ Flash - Rom: Chứa chơng trình khởi động, chuẩn đoán máy bật, hệ điều hành Cập nhật phần mền Rom đòi hỏi thay mạch có khả gắn kết (Pluggable chip) CPU - Giao tiếp (Interface): Là kết nối bảng mạch hay card giao tiếp riêng mà qua gói vào khỏi Router Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp - Quá trình khởi động cđa Router nh sau: Khi khëi ®éng Router, Rom thi hành chơng trình khởi động, chơng trình thực số kiểm tra nạp phần mềm Cisco IOS vµo bé nhí Sù thùc thi lƯnh, hay EXEC, lµ mét phÇn cđa phÇn mỊm Cisco IOS EXEC tiÕp nhËn thực thi lệnh bạn nhập cho Router Ram lu trữ trình làm việc Hình 1.5: Quá trình khởi động router Nh Router sử dụng Ram lu trữ tập tin cấu hình hoạt động, bảng ánh xạ mạng danh sách địa định tuyến Bạn hiển thị tập tin cấu hình thiết bị đầu cuối từ xa qua thiết bị đầu cuối Console Phiên tập tin cấu hình đợc lu trữ trong NVram Nó đợc truy xuất nạp vào nhớ lần Router khởi động Tập tin cấu hình chứa thông tin giao tiếp, thông tin tiến trình thông tin toàn cục ảnh hởng trực tiếp tới hoạt động cổng giao tiếp Router, ảnh hệ điều hành đợc hiển thị hình đầu cuối, ảnh thờng đợc thực thi từ Ram đợc nạp từ số nguồn nhập Hệ điều hành đợc tổ chức thành chơng trình (Routine) giải tác vụ liên quan với giao thức khác nhau, nh di chuyển liệu, quản lý bảng đệm, cập nhật định tuyến, thi hành lệnh ngời dùng b) Kiến trúc bên Router Kiến trúc bên Router bao gồm c¸c cỉng dïng cho c¸c kÕt nèi kh¸c Mét Router có nhiều loại cổng khác nhau, cổng sau: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp + Cổng nối tiếp (Serial port): Các cổng dùng cho kết nối WAN + Cổng Ethernet FastEthernet: Các cổng dùng cho kÕt nèi Ethernet + Cỉng Console: Cỉng nµy dïng kÕt nối đầu cuối điều khiển + Cổng AUX: Dùng để kÕt nèi víi Modem Sù kÕt nèi mét Router vµo mạng đợc gọi giao tiếp, giao tiếp có đặc tính sau: + Mỗi giao tiếp nối với cổng + Mỗi giao tiếp phải có địa mạng + Mỗi cổng có MAC riêng Ngoài cổng Router có cổng cung cấp nguồn, bật tắt nguồn Dới hình ảnh minh họa cỉng cđa Router 2600 Cisco: Qua ®ã ta thÊy cã thể cấu hình Router từ nhiều vị trí bên khác nh sau: + Từ thiết bị đầu cuối Console (máy tính nối đến Router qua cổng Console) trình cài đặt + Cấu hình qua Modem cách dùng cổng Auxiliary + Từ thiết bị đầu cuối ảo 0-4 đà đợc lắp đặt mạng + Từ TFTP server mạng Chức Router Nh đà biết mô hình OSI (một mô hình tiếng thông dụng nhất), mô hình thể phân cấp chức mạng máy tính từ diện hẹp, qui mô vừa nhỏ nh LAN mạng diện rộng nh MAN WAN Router thiết bị mạng với chức chủ yếu dùng tìm đờng, định tuyến cho gói tin truyền mạng dựa vào địa mạng Đối với TCP/IP Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Router dựa vào địa IP Nh ta thấy Router thiết bị thuộc lớp (lớp Network) Router thực định dựa vào nhóm địa mạng, ngợc với địa MAC ë líp Router cịng cã thĨ kÕt nèi c¸c kỹ thuật lớp khác nh Ethernet, TokenRing FDDI Tuy nhiên, khả định tuyến gói tin dựa vào thông tin lớp mà Router trở thành Backbone Internet, chạy giao thức IP Mục đích Router kiểm tra gói đến, chọn đờng dẫn tốt cho chúng xuyên qua mạng, sau chuyển chúng đến cổng thích hợp Các Router thiết bị điều khiển tải quan trọng mạng lớn, chúng cho phép hầu nh máy tính liên lạc đợc với máy tính khác, đâu giới Trong thực chức bản, Router thùc hiƯn c¸c t¸c vơ kh¸c nh Network Address Translation (NAT), Quá trình định tuyến Để hiểu hoạt động định tuyến đợc thực nh nào, ta cần biết cách thức hoạt động giao thức TCP/IP Mọi thiết bị kết nối tới mạng TCP/IP có địa IP giới hạn giao diện mạng Địa IP dÃy bốn số riêng phân tách dấu chấm Ví dụ địa IP điển hình có dạng: 192.168.0.1 VÝ dơ dƠ hiĨu nhÊt nãi vỊ IP lµ địa nhà Địa nhà thông thờng có số nhà tên phố Số nhà xác định cụ thể vị trí nhà phố Địa IP hoạt động tơng tự nh Nó gồm mà số địa mạng mà số thiết bị So sánh với địa nhà bạn thấy địa mạng giống nh tên phố mà số thiết bị giống nh số nhà Địa mạng mạng cụ thể thiết bị tham gia mà số thiết bị cung cấp cho thiết bị nhận dạng mạng Vậy kết thúc địa mạng khởi đầu mà số thiết bị đâu? Đây công việc Subnet mask Subnet mask nói với máy tính vị trí cuối địa mạng vị trí số thiết bị địa IP Hoạt ®éng m¹ng cã rÊt phøc t¹p nhng phạm vi Đồ án chúng em quan tâm đến thứ đơn giản nhất, xem xét Subnet mask Subnet Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 10 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Cấu hình thuéc tÝnh cho VPN Client: NhËp m· b¶o mËt Pre-shared key cho thiÕt lËp b¶o mËt dïng IPSec cđa kÕt nối VPN 123@abc: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 53 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Nhập user password phòng kinh doanh vào kết nối VPN client: Kết nối thực thành công, nhân viên kinh doanh truy cập vào máy chủ doanh nghiệp để lấy liệu: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 54 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp III Bảo mật hệ thống dịch vụ cung cấp mạng Cấu hình sách an ninh cho ngời dùng OU (đơn vị tổ chức) cho phép nhân viên phận thấy đợc users phòng Ngoài thấy đợc nhân viên phòng khác Lựa chọn thuộc tính OU cần cấu hình: Lựa chọn tài khoản ngời dùng cần cấp phép: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 55 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Cấp phép từ chối cho tài khoản không thuộc phòng ban đó: Đậu Văn Chơng - Ngun Lª Vị Cêng - Líp: 46K1-CNTT 56 ThiÕt kÕ xây dựng hệ thống bảo mật mạng doanh nghiệp Ta có kết thu đợc sau cấu hình nhân viên phòng ban khác thấy đợc tài khoản nằm OU Giamdoc: Xây dựng chế ủy quyền quản trị cho tài khoản đợc quyền quản lý Lựa chọn OU cần thiết lập ủy quyền: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 57 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Chạy giao diện cửa sổ ủy quyền, bổ sung tài khoản Giamdoc vào: Cuối cấp phép cho ngời dùng đợc ủy quyền thực thi quyền quản trị cần thiết: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 58 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Cấu hình sách an ninh toàn hệ thống mạng doanh nghiệp Chuột phải vào msviet.com chọn Properties Chọn thẻ Group Police -> chọn Edit Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 59 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp - Thiết lập cảnh báo an ninh mạng ngời dùng đăng nhập: Tiêu đề cảnh báo: Nội dung cảnh báo Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 60 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp - Thiết lập sách an ninh không cho phép thị user đăng nhập: - Thiết lập sách an ninh việc sử dụng tài nguyên hệ thống nh cấm truy cập ổ đĩa hệ thống nhân viên: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 61 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Xây dựng sách an ninh việc sử dụng phần mềm toàn mạng.Chỉ cấp phép cho ngời dùng sử dụng phần mềm theo yều cầu công việc Tạo th mục lu trữ phân phối phần mềm từ xa Server Core: Thực chạy trình custom cho gãi phÇn mỊm cÇn cung cÊp nh bé phÇn mỊm office: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 62 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Liệt kê gói phần mềm cần sử dụng cho phận nhân viên tơng ứng ví dụ nh: Kinh doanh đợc sử dụng Word Excel không đợc sử dụng gói phần mềm khác: Thiết lập sách triển khai phần mềm cho nhân viên: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 63 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Cấu hình thuộc tính hình thức triển khai gói phần mềm: Hoàn tất việc bổ sung file chứa thông tin custom gói phần mềm triển khai: Đậu Văn Chơng - Ngun Lª Vị Cêng - Líp: 46K1-CNTT 64 ThiÕt kÕ xây dựng hệ thống bảo mật mạng doanh nghiệp Hoạch định quyền truy cập vào Resource WebServer doanh nghiệp cho nhân viên ngời dïng c«ng ty theo tõng bé phËn KiĨm tra xem WebServer đà hoạt động tốt với địa IP cha: Cấu hình cho Website hoạt động tên miền công ty thông qua việc tạo bí danh www cho tên miền msviet.com: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 65 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Kiểm tra website chạy tên miền msviet.com sau cấu hinh Alias: Xây dựng Resource dành riêng cho công việc WebServer: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 66 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Cấp phép truy cập cho Resource tơng ứng: Gán cấp phép cho nhân viên kinh doanh đợc truy cập vào Resource KinhDoanh: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 67 .. .Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Lời cảm ơn §Ëu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Lời... 32 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Nhập CD KEY Lựa chọn ấn cài đặt: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 33 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp. .. Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Tạo OU Server Core: Thiết lập tài khoản ngời dùng mạng: Đậu Văn Chơng - Nguyễn Lê Vũ Cờng - Lớp: 46K1-CNTT 37 Thiết kế xây dựng hệ thống bảo