PHẦN I: MỞ ĐẦU 1.1 Lý chọn đề tài Ngày nay, với phát triển mạnh xã hội mạng máy tính sử dụng rộng rãi không mang lại thông tin hữu ích cho người dùng mà phương tiện kinh doanh cho công ty Nhưng bên cạnh lợi ích mà mạng máy tính mang lại lại tiềm ẩn mối đe dọa xâm nhập trái phép vào hệ thống mạng Thử nghĩ xem, bạn tài liệu mật công ty mà bạn quản lý hay ý tưởng thiết kế, thông tin khách hàng … bị đánh cắp? Đó điều mà không muốn câu hỏi đặt để ngăn chặn xâm nhập trái phép đó? Từ yêu cầu đặt bảo mật mạng đời nhằm giải khó khăn Để giúp cho công ty đảm bảo an toàn thông tin tài nguyên, tài liệu quan trọng cách tốt việc sử dụng công nghệ bảo mật vào hệ thống mạng công ty điều cần thiết Nhưng vấn đề đặt việc lưa chọn công nghệ bảo mật phù hợp với công ty Vì vậy, nhóm thống định chọn đề tài “Tìm hiểu triển khai công nghệ bảo mật Microsoft hệ thống mạng cho công ty Media Post ” Qua trình tìm hiểu nghiên cứu, nhóm biết có nhiều công nghệ bảo mật mạng với tính khác nhau, phổ biến tối ưu ISA Server với phiên ISA Server 2000, ISA Server 2004, ISA Server 2006 Microsoft ISA Server có bề dạy lịch sử phiên Qua thời gian ngày nâng cấp để tối ưu Và phiên Microsoft mắt thị trường Forefront Threat Management Gateway (TMG) 2010 Phiên kế thừa toàn tính mà ISA Server 2006 có đồng thời tích hợp thêm số tính bảo mật vượt trội khác Từ ưu điểm mà TMG 2010 mang lại phù hợp với điều kiện công ty nên nhóm định chọn phần mềm TMG 2010 để triển khai cho công ty Media Post 1.2 Mục tiêu nghiên cứu - Tìm hiểu chức cách quản lý TMG 2010 - Ứng dụng chức vào tình yêu cầu đặt môi trường hệ thống mạng công ty Media Post 1.3 Nhiệm vụ nghiên cứu - Tìm hiểu số cách bảo vệ hệ thống mạng cho doanh nghiệp - Tìm hiểu tính kế thừa từ ISA Server 2006 tính vượt trội TMG - Cài đặt thành công TMG Windowns Server 2008 64 bit - Nghiên cứu chức cách quản lý TMG - Tìm hiểu hệ thống mạng công ty Media Post đưa hướng ứng dụng TMG vào hệ thống mạng 1.4 Phương pháp nghiên cứu - Phương pháp lý luận: Tham khảo tài liệu sách báo, trang web, đặc biệt diễn đàn công nghệ đọc dịch tài liệu tiếng anh - Phương pháp điều tra: Khảo sát hệ thống mạng công ty Media Post từ đưa hướng áp dụng TMG vào hệ thống để cải tiến việc quản lý hệ thống mạng - Phương pháp xử lý thông tin: Tiếp cận thông tin, phân loại phân tích thông tin đồng thời xếp thông tin cách logic để tạo điều kiện thuận lợi cho việc triển khai công nghệ bảo mật cho công ty cách tốt 1.5 Ý nghĩa đề tài - Về mặt lý luận: Đề tài kết nhóm nghiên cứu nhằm củng cố kiến thức học vào thực tế Đề tài tài liệu tham khảo cho tất người quan tâm đến công nghệ bảo mật TMG hứa hẹn công nghệ áp dụng rộng rãi tổ chức doanh nghiệp thời gian tới - Về mặt thực tiễn: Đề tài giúp cho nhóm nghiên cứu hoàn chỉnh kĩ nghề nghiệp sau thành viên Nhóm nghiên cứu tin tưởng đề tài nghiên cứu đóng góp phần để công ty Media Post nâng cấp hệ thống bảo mật doanh nghiệp PHẦN II: CƠ SỞ LÝ THUYẾT Chương 1: Tổng quan bảo mật hệ thống mạng 1.1 Khái niệm bảo mật mạng Bảo mật mạng khả ngăn chặn xử lý tất mối đe dọa gây ảnh hưởng xấu đến hệ thống mạng Đồng thời đảm bảo cho hệ thống mạng tính tin cậy, thông tin bị truy nhập người thẩm quyền 1.2 Phân loại mối đe dọa đến bảo mật hệ thống mạng Mối đe dọa bên Thuật ngữ “Mối đe dọa bên trong” sử dụng để mô tả kiểu công thực từ người tổ chức có vài quyền truy cập mạng bạn Các cách công từ bên thực từ khu vực tin cậy mạng Mối đe dọa khó phòng chống nhân viên truy cập mạng liệu bí mật công ty Hầu hết công ty có tường lửa đường biên mạng, họ tin tưởng hoàn toàn vào ACL (Access Control Lists) quyền truy cập server để quy định cho bảo mật bên Quyền truy cập server thường bảo vệ tài nguyên server không cung cấp bảo vệ cho mạng Mối đe dọa bên thường thực nhân viên bất bình, muốn “quay mặt” lại với công ty Nhiều phương pháp bảo mật liên quan đến vành đai mạng, bảo vệ mạng bên khỏi kết nối bên ngoài, Internet Khi vành đai mạng bảo mật, phần tin cậy bên có khuynh hướng bị bớt nghiêm ngặt Khi kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp mạng, chuyện lại thường đơn giản Để đảm bảo thông tin quan trọng không bị xâm phạm không cần chống lại xâm nhập từ bên mà cần phải bảo mật nội công ty Khi có thông tin hay tài liệu mà có số người hay số phận có liên quan sử dụng cần phải áp dụng biện pháp bảo mật để tránh tình trạng mật cắp liệu nhân viên có ý đồ xấu Một doanh nghiệp quan tâm vấn đề mua sắm trang thiết bị hạ tầng bảo mật mà quên yếu tố người, dù hệ thống bảo mật có nghiêm ngặt đến mức bị “xuyên thủng” Vì vậy, việc trang bị tường lửa, hạ tầng mạng bảo mật, doanh nghiệp nên trọng vào người sách bảo mật thông tin rõ ràng, chặt chẽ Sự đầu tư phù hợp giúp mang lại hiệu cho an toàn thông tin doanh nghiệp Mối đe dọa bên Mối đe dọa bên từ tổ chức, phủ, cá nhân cố gắng truy cập từ bên mạng công ty bao gồm tất người quyền truy cập vào mạng bên Thông thường, kẻ công từ bên cố gắng từ server quay số kết nối Internet Mối đe dọa bên mà công ty thường phải bỏ nhiều hầu hết thời gian tiền bạc để ngăn ngừa Việc đảm bảo an toàn thông tin điều cần thiết cho công ty tránh hay hạn chế xâm nhập hacker vào hệ thống mạng công ty đòi hỏi phải có công nghệ bảo mật tốt thích hợp Bạn hình dung công ty có tài liệu sử dụng nội hay tài liệu quan trọng công ty mà bảo vệ, ngăn chặn xâm nhập từ bên hacker dễ dàng xâm nhập lấy tài liệu Và tài liệu vào tay đối thủ cạnh tranh hậu sao? Tại Việt Nam, qua nhiều kiện trang web bị công, liệu bị đánh cắp,… doanh nghiệp ý việc bảo vệ thông tin, bí mật kinh doanh uy tín thương hiệu, nhờ thị trường sản phẩm bảo mật diễn sôi động Mối đe dọa cấu trúc Mối đe dọa cấu trúc mối đe dọa phổ biến hệ thống công ty Các hacker vào nghề, thường gọi script kiddies, sử dụng phần mềm để thu thập thông tin, truy cập thực kiểu công Dos vào hệ thống công ty Script kiddies tin tưởng vào phần mềm kinh nghiệm hacker trước Khi script kiddies nhiều kiến thức kinh nghiệm, họ tiến hành phá hoại lên công ty không chuẩn bị Trong trò chơi kiddie, công ty thường hàng triệu đô la tin tưởng cộng đồng Nếu web server công ty bị công, cộng đồng cho hacker phá vỡ bảo mật công ty đó, thật hacker công chỗ yếu server Các server Web, FTP, SMTP vài server khác chứa dịch vụ có nhiều lổ hổng để bị công, server quan trọng đặt sau nhiều lớp bảo mật Cộng đồng thường không hiểu phá vỡ trang web công ty dễ nhiều so với việc phá vỡ sở liệu thẻ tín dụng công ty Cộng đồng phải tin tưởng công ty giỏi việc bảo mật thông tin riêng tư Mối đe dọa có cấu trúc Mối đe dọa có cấu trúc khó ngăn ngừa phòng chống xuất phát từ tổ chức cá nhân sử dụng vài loại phương pháp luận thực công Các hacker với kiến thức, kinh nghiệm cao thiết bị tạo mối đe dọa Các hacker biết gói tin tạo thành phát triển mã để khai thác lỗ hổng cấu trúc giao thức Họ biết biện pháp sử dụng để ngăn ngừa truy cập trái phép, hệ thống IDS cách chúng phát hành vi xâm nhập Họ biết phương pháp để tránh cách bảo vệ Trong vài trường hợp, cách công có cấu trúc thực với trợ giúp từ vài người bên Đây gọi mối đe dọa có cấu trúc bên Cấu trúc không cấu trúc mối đe dọa bên bên 1.3 Một số phương thức công hệ thống mạng nguy hiểm phổ biến - Phương thức công Scanner Scanner chương trình tự động rà soát phát điểm yếu bảo mật trạm làm việc cục trạm xa Với chức này, kẻ phá hoại sử dụng chương trình Scanner phát lỗ hổng bảo mật server xa Các chương trình Scanner thường có chế chung rà soát phát triển port TCP/UDP sử dụng hệ thống cần công từ phát dịch vụ sử dụng hệ thống Sau chương trình Scanner ghi lại đáp ứng hệ thống xa tương ứng với dịch vụ mà phát Dựa vào thông tin này, kẻ công tìm điểm yếu hệ thống Những yếu tố để chương trình Scanner hoạt động sau: + Yêu cầu thiết bị hệ thống: Một chương trình Scanner hoạt động môi trường hỗ trợ TCP/IP (bất kể hệ thống UNIX, máy tính tương thích với IBM, dòng máy Macintosh) + Hệ thống phải kết nối vào Internet Tuy nhiên đơn giản để xây dựng chương trình Scanner, kẻ phá hoại cần có kiến thức sâu TCP/IP, kiến thức lập trình C, PERL số ngôn ngữ lập trình shell Ngoài ra, người lập trình (hoặc người sử dụng) cần có kiến thức lập trình socket, phương thức hoạt động ứng dụng client/server Các chương trình Scanner có vai trò quan trọng hệ thống bảo mật, chúng có khả phát điểm yếu hệ thống mạng Đối với người quản trị mạng thông tin hữu ích cần thiết; kẻ phá hoại thông tin nguy hiểm - Phương thức công Password Cracker Password Cracker chương trình có khả giải mã mật mã hóa vô hiệu hóa chức bảo vệ mật hệ thống Để hiểu cách thức hoạt động chương trình bẻ khóa cần hiểu cách thức mã hóa để tạo mật Hầu hết việc mã hóa mật tạo từ phương thức mã hóa Các chương trình mã hóa sử dụng thuật toán mã hóa để mã hóa mật Nguyên tắc hoạt động chương trình loại tạo danh sách từ mã hóa từ Sau lần mã hóa, chương trình so sánh với mật mã hóa cần phá Nếu thấy thông tin trùng hợp, trình quay lại Phương thức bẻ khóa gọi bruce-force Yếu tố thiết bị phần cứng thực tế máy tính dùng để bẻ khóa thường có cấu hình cao mạnh Có nhiều trường hợp kẻ bẻ khóa thực việc bẻ khóa hệ thống phân tán, để giảm bớt yêu cầu thiết bị so với làm máy Nguyên tắc số chương trình bẻ khóa khác Một vài chương trình tạo danh sách từ giới hạn, áp dụng số thuật toán mã hóa, từ kết so sánh với password mã hóa cần bẻ khóa để tạo danh sách khác theo logic chương trình, cách không chuẩn tắc nhanh dựa vào nguyên tắc đặt mật người sử dụng thường tuân theo số quy tắc để thuận tiện sử dụng Đến giai đoạn cuối cùng, thấy phù hợp với mật mã hóa, kẻ phá khóa có mật dạng text thông thường - Phương thức công Trojan Dựa theo truyền thuyết cổ Hy Lạp “Ngựa thành Trojan”, Trojan chương trình chạy không hợp lệ hệ thống với vai trò chương trình hợp pháp Những chương trình thực chức mà người sử dụng hệ thống thường không mong muốn không hợp pháp Thông thường, Trojan chạy chương trình hợp pháp bị thay đổi mã bất hợp pháp Các chương trình virus loại điển hình Trojan Những chương trình virus che giấu đoạn mã chương trình sử dụng hợp pháp Khi chương trình kích hoạt đoạn mã ẩn dấu thực thi để thực số chức mà người sử dụng Một định nghĩa chuẩn tắc chương trình Trojan sau: chương trình Trojan chương trình thực công việc mà người sử dụng trước, giống ăn cắp mật hay copy file mà người sử dụng không nhận thức Các tác giả chương trình Trojan tạo dựa kế hoạch Xét khía cạnh bảo mật Internet, chương trình Trojan thực công việc sau: + Thực vài chức giúp người lập trình phát thông tin quan trọng thông tin cá nhân hệ thống vài thành phần hệ thống + Che giấu vài chức giúp người lập trình phát thông tin quan trọng thông tin cá nhân hệ thống vài thành phần hệ thống Một vài chương trình Trojan thực hai chức Ngoài số chương trình Trojan phá hủy hệ thống cách phá hoại thông tin ổ đĩa cứng (ví dụ trường hợp virus Melisa lây qua đường thư điện tử) Các chương trình Trojan lây lan qua nhiều phương thức, hoạt động nhiều môi trường hệ điều hành khác Đặc biệt Trojan thường lây lan qua số dịch vụ phổ biến Mail, FTP… qua tiện ích, chương trình miễn phí mạng Internet Chương trình Trojan ảnh hưởng đến truy cập khách hàng tạo lỗ hổng bảo mật có mức độ ảnh hưởng nghiêm trọng - Phương thức công Sniffer Đây chương trình ứng dụng bắt giữ tất gói lưu chuyển mạng Sniffer thường dùng cho troubleshooting network để phân tích traffic Tuy nhiên, số ứng dụng gửi liệu qua mạng dạng clear text (telnet, FTP, SMTP, POP3…) nên Sniffer công cụ cho hacker để bắt thông tin nhạy cảm như: username, password, từ truy xuất vào thành phần khác mạng Khả thực Packet Sniffer xảy từ segment mạng nội bộ, kết nối RAS phát sinh WAN Ta cấm packet Sniffer số cách sau: + Authentication + Dùng Swich thay Bridge hay Hub: hạn chế gói tin broadcast mạng + Các công cụ Anti-Sniffer: công cụ phát packet Sniffer mạng + Mã hóa tất thông tin lưu chuyển mạng mã hóa Khi hacker dùng packet Sniffer bắt gói tin mã hóa - Phương thức công Mail Relay Đây phương pháp phổ biến Email Server cấu hình không chuẩn Username/ Password người sử dụng mail gây ngập mạng, phá hoại hệ thống email khác Ngoài ra, với hình thức gắn thêm đoạn script mail hacker gây công Spam lúc với khả công gián tiếp đến máy chủ Database nội công DoS vào mục tiêu Phương pháp giảm thiểu: + Giới hạn dung lương Mail box + Sử dụng phương thức chống Relay Spam công cụ bảo mật cho SMTP server, đặt password cho SMTP + Sử dụng gateway SMTP riêng - Phương thức công hệ thống DNS DNS Server điểm yếu toàn loại máy chủ ứng dụng hệ thống quan trọng hệ thống máy chủ Việc công chiếm quyền điều khiển máy chủ phục vụ DNS phá hoại nguy hiểm liên quan đến toàn hoạt động hệ thống truyền thông mạng + Hạn chế tối đa dịch vụ khác hệ thống máy chủ DNS + Cài đặt hệ thống IDS Host cho hệ thống DNS + Luôn cập nhật phiên có sửa lỗi hệ thống phần mềm DNS - Phương thức công Man- in- the- middle attack Dạng công đòi hỏi hacker phải truy nhập gói mạng mạng Một ví dụ công người làm việc ISP, bắt tất gói tin mạng công ty khác thuê đường Leased line đến ISP để ăn cắp thông tin tiếp tục session truy nhập vào mạng riêng công ty khách hàng Tấn công dạng thực hiên nhờ packet Sniffer Tấn công dạng hạn chế cách mã hóa liệu gửi Nếu hacker có bắt gói liệu liệu mã hóa - Phương thức công thăm dò mạng Thăm dò mạng tất hoạt động nhằm mục đích lấy thông tin hệ thống mạng Khi hacker cố gắng chọc thủng mạng, thường họ phải thu thập thông tin mạng nhiều tốt trước công Điều thực công cụ DNS queries, ping sweep, hay port scan Ta ngăn chặn hoàn toàn hoạt động thăm dò kiểu Ví dụ ta tắt ICMP echo echo- relay, chặn ping sweep, lại khó cho ta mạng có cố, cần phải chẩn đoán lỗi đâu NIDS HIDS giúp nhắc nhở (notify) có hoạt động thăm dò xảy mạng - Phương thức công Trust redirection Loại công kiểu thực cách tận dụng mối quan hệ tin cậy mạng Ví dụ bên firewall Khi bên hệ thống bị xâm hại, hacker lần theo quan hệ để công vào bên firewall Có thể giới hạn công kiểu cách tạo mức truy xuất khác vào mạng quy định chặt chẽ mức truy nhập truy nhập vào tài nguyên mạng - Phương thức công Port redirection Tấn công loại công Trust exploitation, lợi dụng host bị đột nhập qua firewall Ví dụ firewall có interface, host outside có truy cập host DMZ, vào host inside Host DMZ vào host inside, outside Nếu hacker chọc thủng host DMZ, họ cài phần mềm host DMZ để bẻ hướng traffic từ host outside đến host inside Ta ngăn chặn công loại cách sử dụng HIDS cài server HIDS giúp phát chương trình lạ hoạt động server - Phương thức công lớp ứng dụng Tấn công lớp ứng dụng thực nhiều cách khác Một cách thông dụng công vào điểm yếu phần mềm sendmail, HTTP, hay FTP Nguyên nhân chủ yếu công lớp ứng dụng chúng sử dụng port cho qua firewall Ví dụ hacker công web server cách sử dụng TCP port 80, mail server TCP port 25 Một số cách để hạn chế công lớp ứng dụng: + Lưu lại logfile, thường xuyên phân tích logfile + Luôn cập nhật patch cho hệ điều hành ứng dụng + Dùng IDS, có loại IDS: HIDS cài đặt server agent HIDS để phát công lên server NIDS xem xét tất gói tin mạng (collision domain) thấy có gói tin hay chuỗi gói tin giống bị công cảnh báo hay cắt session Các IDS phát công cách dùng signature Signature công profile loại công Khi IDS phát thấy traffic giống signature đó, phát cảnh báo Chương 2: Tìm hiểu công nghệ bảo mật Microsoft Để đáp ứng nhu cầu người sử dụng cần truy xuất đến ứng dụng cung cấp internet đảm bảo an toàn cho hệ thống cục Trong hầu hết phương pháp đưa để giải điều cung cấp host đơn để truy xuất đến internet cho tất người sử dụng Tuy nhiên, phương pháp phương pháp giải thỏa mản tạo cho người sử dung cảm thấy không thoải mái Khi truy xuất đến internet họ thực công việc cách trực tiếp, phải login vào hual_homed host, thực tất công việc đây, sau cách chuyển đổi kết đạt công việc trở lại workstation sử hửu Điều trở nên rấ tồi tệ hệ thống với nhiền hệ điều hành khác nhau, vd: hệ thống bastion_host riêng dual_host unix Khi dual_home host thiết kế mô hình proxy, điều khiến cho người sử dụng thêm bực bồi đáng ý giảm tiện ích mà intenet cung cấp, tồi tệ chúng thường không cung cấp cách không an toàn đầy đủ, máy gồm nhiều người sử dụng tất nhiên độ an toàn giảm, đặt biệt cố gắn bắt với vạn vật bên Proxy server gíup người sử dụng thoải mái an toàn cho dual homed host, thay yêu cầu người sử dụng cách gián tiến thông qua dual homed host Hệ thống proxy cho phép tất tương tác nằng hình thức User có cảm giác làm việc trực tiếp với server internetmà họ thật muốn truy xuất Proxy applycation chương trình applycation level getaway firewall hành động hình thức chuyển đổi yêu cầu người sử dụng thông qua firewall, tiến trình thực trình tự sau: * Thành lập kết nối applycation firewall * Proxy applycation thu nhận thông tin việc kết nối yêu cùa user * Sử dụng thông tin để xác nhận yêu cuầ xác nhận không, chấp nhận proxy tạo kết nối khác từ firewall đến máy đích * Sau thực giao tiếp trung gian, truyền liệu qua lại client server proxy system giải rủi ro hệ thống tránh user login vào hệ thống ép buộc thông qua phần mềm điều khiển 2.2.3 Ưu điểm Proxy Proxy cho user truy xuất dịch vụ internet theo nghĩa trực tiếp Với dual host homed cần phải login vào host trước sử dụng dịch vụ internet Điều thường không tiện lợi, số người trể nên thất vọng họ có cảm giác thông qua firewall, với proxy giải vấn đề Tất nhiên có giao thức nói chung tiện lợi cho user Bởi proxy cho phép user truy xuất dịch vụ internet từ hệ thống cá nhân họ, không cho phép packet trực tiếp hệ thống sử dụng internet đường giáng tiếp thông qua dual homed host thông qua kết hợp bastion host screening rounter Thực tế proxy hiểu nghi thức dưới, nên logging thực theo hướng hiệu đặc biệt, vd: thay logging tất thông tin thông qua đường truyền, proxy FPT server log lệnh phát server đáp ứng mà nhận Kết đơn giản hữu dụng nhiều 2.2.4 Nhược điểm Proxy Mặc dù phần mềm prory có hiệu rộng rải dịch vụ lâu đời đơn giàn FPT Telnet, phần mềm sử dụng rộng raãi thấy Thường chậm trễ thời gian xuất xuất dịch vụ proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phương pháp thiết kế proxy cho dịch vụ đó, điều cho thấy khó khăn đưa dịch vụ vào hệ thống chưa có proxy cho nên đặt bên fire wall, đặt bên hệ thống yếu điểm Đôi cần proxy khác cho nghi thức, proxy server phải hiểu nghi thức để xác định phép không phép Để thực nhiệm vụ client đến server thật server thật đến proxy client, kết hợp , install config tất server khác khó khăn Những dịch vụ proxy thường sửa đổi chương trình client, procedure hai Ngoại trừ số dịch vụ thiết kế cho proxying , proxy server yêu cầu sửa đổi với client procedure, sửa đổi có bất tiện riêng nó, luôn sử dụng công cụ có sẵn với cấu trúc Proxying dựa vào khà chèn vào proxy server server thật client mà yêu cầu tác động tương đối thẳn thắn hai Những dịch vụ proxy không bảo vệ cho hệ thống ứng với nghi thức chất lượng Như giải pháp an toàn, proxying dựa vào khả xác định tác vụ nghi thức an toàn Không phải tất dịch vụ cung cấp theo khuynh hướng an toàn này, nghi thức Xwindows cung cấp nhiều tác vụ không an toàn 2.3 Công nghệ VPN 2.3.1 Tổng quan VPN VPN định nghĩa dịch vụ mạng ảo triển khai sở hạ tầng hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho kết nối điểm-điểm Một điện thoại hai cá nhân ví dụ đơn giản mô tả kết nối riêng ảo mạng điện thoại công cộng Hai đặc điểm quan trọng công nghệ VPN ''riêng'' ''ảo" tương ứng với hai thuật ngữ tiếng anh (Virtual and Private) VPN xuất lớp mô hình OSI, VPN cải tiến sở hạ tầng mạng WAN, làm thay đổi làm tăng thêm tích chất mạng cục cho mạng WAN Về bản, VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa VPN=Đường hầm + Mã hoá 2.3.2 Lợi ích VPN đem lại VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền giảm chi phí phát sinh cho nhân viên xa nhờ vào việc họ truy cập vào hệ thống mạng nội thông qua điểm cung cấp dịch vụ địa phương POP(Point of Presence), hạn chế thuê đường truy cập nhà cung cấp dẫn đến giá thành cho việc kết nối Lan - to - Lan giảm đáng kể so với việc thuê đường Leased-Line Giảm chi phí quản lý hỗ trợ: Với việc sử dụng dịch vụ nhà cung cấp, phải quản lý kết nối đầu cuối chi nhánh mạng quản lý thiết bị chuyển mạch mạng Đồng thời tận dụng sở hạ tầng mạng Internet đội ngũ kỹ thuật nhà cung cấp dịch vụ từ công ty tập trung vào đối tượng kinh doanh VPN đảm bảo an toàn thông tin, tính toàn vẹn xác thực: Dữ liệu truyền mạng mã hoá thuật toán, đồng thời truyền đường hầm(Tunnle) nên thông tin có độ an toàn cao VPN dễ dàng kết nối chi nhánh thành mạng cục Với xu toàn cầu hoá, công ty có nhiều chi nhành nhiều quốc gia khác Việc tập trung quản lý thông tin tất chi nhánh cần thiết VPN dễ dàng kết nối hệ thống mạng chi nhành văn phòng trung tâm thành mạng LAN với chi phí thấp VPN hỗ trợ giao thức mạng thông dụng TCP/IP Bảo mật địa IP: thông tin gửi VPN mã hóa địa mạng riêng che giấu sử dụng địa bên internet 2.3.4 Phân loại VPN Có hai loại phổ biến là: - VPN truy cập từ xa (Remote-Access ): VPN truy cập từ xa gọi mạng Dialup riêng ảo (VPDN), kết nối người dùng-đến-LAN, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa Ví dụ công ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an toàn, có mật mã - VPN điểm-nối-điểm (site-to-site): VPN điểm-nối-điểm việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng công cộng Internet Loại dựa Intranet Extranet Loại dựa Intranet: Nếu công ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa Extranet: Khi công ty có mối quan hệ mật thiết với công ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung 2.3.5 Các giao thức sử dụng VPN VPN sử dụng loại giao thức: Giao thức truyền tải (Carrier Protocol) giao thức sử dụng mạng có thông tin qua, giao thức mã hóa liệu (Encapsulating Protocol) giao thức bọc quanh gói liệu gốc (như GRE, IPSec, L2F, PPTP, L2TP), giao thức gói tin (Passenger Protocol) giao thức liệu gốc truyền (như IPX, NetBeui, IP) Để hiểu rõ loại giao thức sử dụng sau tiểu sử số giao thức thuộc loại giao thức Giao thức L2F (Layer Forwarding) Là giao thức Cisco phát triển, giao thức chuẩn để tạo kết nối VPN, L2F dùng chế thẩm định quyền truy cập PPP hỗ trợ IPSec Được phát triển IETF (Internet Engineering Task Force), IPSec tiêu chuẩn mở mà đảm bảo tính bảo mật quyền lợi người sử dụng trình truyền thông qua mạng công cộng Không giống mạng kỹ thuật khác, IPSec hoạt động lớp mạng (Network layer) mô hình OSI Do vậy, hoạt động độc lập với ứng dụng khác hoạt động mạng Như vậy, mạng bảo mật mà không cần phải thiết lập hay xác định an ninh cho ứng dụng riêng Giao thức PPTP Được phát triển Microsoft, 3COM, Ascend Communication.PPTP đề xuất giao thức để thay IPSec Tuy nhiên, IPSec tiếp tục giao thức đường ngầm sử dụng nhiều PPTP hoạt động lớp liên kết liệu (Data Link Layer) mô hình OSI sử dụng bảo mật cho trình truyền dẫn giao thông Windows Giao thức hỗ trợ mã hóa 40 bit 28 bit, dùng thầm định quyền truy cập PPP hỗ trợ Giao thức L2TP Là sản phẩm hợp tác thành viên PPTP Forum, Cisco IETF L2TP kết hợp tính L2F, PPTP đồng thời L2TP hỗ trợ đầy đủ IPSec Trong thực tế, L2TP tạo tunnel máy khách vào Router, NAS Router, Router Router So với PPTP L2TP có nhiều đặc tính mạnh an toàn Giao thức SSTP Là giao thức hỗ trợ Windows Server 2008 SSTP sử dụng kết nối HTTP mã hóa SSL để thiết lập kết nối từ Client đến Gateway Đây giao thức an toàn thông tin quan trọng người dùng không gửi có đường hầm SSL an toàn thiết lậ với VPN gateway SSTP biết đến với tư cách PPP SSL Chính vậy, hoàn toàn sử dụng chế chứng thực PPP EAP để đảm bảo cho kết nối SSTP an toàn 2.3.6 Bảo mật VPN Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an toàn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật toán mã hóa tốt hơn, trình thẩm định quyền đăng nhập toàn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ AAA viết tắt ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) Accounting (kiểm soát) Các server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an toàn 2.3.7 Sản phẩm công nghệ dành cho VPN Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn cần phải cài đặt phận hợp thành để thiết lập mạng riêng ảo Đó là: - Phần mềm cho desktop máy khách dành cho người sử dụng từ xa - Phần cứng cao cấp xử lý trung tâm VPN firewall bảo mật PIX - Server VPN cao cấp dành cho dịch vụ Dial-up - NAS (máy chủ truy cập mạng) nhà cung cấp sử dụng để phục vụ người sử dụng từ xa - Mạng VPN trung tâm quản lý 2.3.8 Bộ xử lý trung tâm VPN Có nhiều loại máy xử lý VPN hãng khác nhau, sản phẩm Cisco tỏ vượt trội số tính Tích hợp kỹ thuật mã hóa thẩm định quyền truy cập cao cấp nay, máy xử lý VPN thiết kế chuyên biệt cho loại mạng Chúng chứa module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung lượng số lượng gói tin truyền tải Dòng sản phẩm có model thích hợp cho mô hình doanh nghiệp từ nhỏ đến lớn (từ100 10.000 điểm kết nối từ xa truy cập lúc) 2.3.9 Router dùng cho VPN Thiết bị cung cấp tính truyền dẫn, bảo mật Dựa hệ điều hành Internet IOS mình, hãng Cisco phát triển loại router thích hợp cho trường hợp, từ truy cập nhà-tới-văn phòng nhu cầu doanh nghiệp quy mô lớn 2.3.10 Cơ chế hoạt động VPN Thực ra, cách thức làm việc VPN đơn giản, không khác so với mô hình server – client thông thường Server chịu trách nhiệm việc lưu trữ chia sẻ liệu sau mã hóa, giám sát cung cấp hệ thống Gateway để giao tiếp xác nhận tài khoản client khâu kết nối, client VPN, tương tự client hệ thống LAN, tiến hành gửi yêu cầu – request tới server để nhận thông tin liệu chia sẻ, khởi tạo kết nối tới client khác hệ thống VPN xử lý trình bảo mật liệu qua ứng dụng cung cấp 2.4 Công nghệ IPS 2.4.1 Định nghĩa IPS IPS từ viết tắt ( Intrusion Prevention System ) Hệ thống ngăn chặn xâm nhập IPS định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung IDP- Intrusion Detection and Prevention Hai kiểu IPS biết thị trường “dựa vào máy chủ” “nội tuyến” (dựa vào mạng) Các hệ thống “dựa vào máy chủ” phần mềm ngăn ngừa xâm nhập viết để “móc” trực tiếp vào ứng dụng hay cài đặt trực tiếp máy chủ ứng dụng Bài viết tập trung vào bảo mật “nội tuyến” Bảo mật “nội tuyến” tương tự kiến trúc tường lửa di trú kép hay cổng chống vi rút đặt ngược chiều từ ứng dụng bảo vệ áp dụng dịch vụ ngăn ngừa xâm nhập cho nhiều ứng dụng xuôi chiều IPS Theo nghĩa khái niệm này, ta định nghĩa sau“Một Hệ thống Ngăn ngừa Xâm nhập “nội tuyến” (inline) thiết bị phần cứng hay phần mềm có khả phát ngăn ngừa công quen biết” Thậm chí đơn giản hơn, “Ngăn ngừa Xâm nhập” đề cập đến việc phát sau ngăn chặn công chuyên biệt ứng dụng biết Thuật ngữ “Hệ thống Ngăn ngừa Xâm nhập” (Intrusion Prevention System) thân sử dụng để hợp hai khái niệm “Hệ thống Phát hiện” (detection system) “Hệ thống Ngăn ngừa” (prevention system) cấu trúc Chú ý định nghĩa nhằm vào công quen biết 2.4.2 Hiện trạng công nghệ IPS Trạng thái công nghệ IPS chưa chín muồi xem xét góc độ sản phẩm nhà cung cấp đơn lẻ với tất tính phát hiện, giám sát, ngăn ngừa, cập nhật báo cáo truyền tải cho truy nhập vào qua điểm nghẽn (choke-point) mạng đặc biệt Gần đây, doanh nghiệp tiêu tốn hàng triệu đô la vào sản phẩm để giúp đỡ họ bảo vệ an toàn mạng họ Các sản phẩm IPS ngày tập trung chủ yếu dành riêng cho Port 80 chúng không thay hệ thống Thay vào chúng làm tăng thêm giá trị hệ thống Một giải pháp IPS đa giao thức bao hàm tất phải phát triển chứng tỏ trước hệ thống coi thay thực tế cho hệ thống triển khai 2.4.3 Ý nghĩa sử dụng IPS Trong tương lai, giải pháp cổng an ninh nội tuyến (inline) phải đạt mục tiêu : - Khả phát ngăn chặn công dựa sở sử dụng lôgic vật lý nhiều công nghệ ép buộc Rộng hơn, điều bao gồm khả ngăn ngừa hai dạng công biết chưa biết có sử dụng biện pháp phòng thủ ứng dụng (Application Defenses) - Khả hoạt động với sở hạ tầng an ninh triển khai cho mục đích hỗ trợ tập hợp liệu, chứng điện tử, giám sát theo dõi phục tùng điều chỉnh cần - Khả không phá vỡ hoạt động kinh doanh thiếu tính sẵn sàng, hiệu kém, khẳng định sai hay khả hoạt động với sở hạ tầng chứng thực quy định - Khả hỗ trợ chuyên gia an ninh CNTT việc chuyển giao kế hoạch quản lý rủi ro tổ chức họ bao gồm chi phí cho thực hiện, hoạt động kết làm việc từ cảnh báo báo cáo từ hệ thống Hiện thời nghiên cứu đối tác thứ ba chấp nhận tính hiệu IPS giải pháp Sự quảng cáo thổi phồng xung quanh “Ngăn ngừa Xâm nhập” làm lẫn lộn công nghệ cung cấp hứa hẹn - Cách tiếp cận nhiều lớp cho an ninh CNTT tiếp tục có giá trị công nghiệp phát triển Nó không di trú xa khỏi phòng thủ chiều sâu phân lớp tổ chức - Nhiều giải pháp IPS đòi hỏi yêu cầu giống IDS để điều chỉnh, giám sát báo cáo 2.4.4 Ứng dụng vào thực tế IPS Hiện sản phẩm thích hợp cho tất làm việc phù hợp với nhu cầu thị trường rộng lớn mức mà thay tường lửa tại, NIDS (Network Intrusion Detection System), chuyển mạch lớp thành phần khác hay trở thành cổng an ninh nội tuyến ngày mai Tuy vậy, sản phẩm xuất hiện, phải phù hợp với mục tiêu thảo luận trước tài liệu này, bao gồm khả “phòng thủ ứng dụng” (Application Defenses) Tiếp theo gì? Một cách mạng đoán trước nói chung gồm nhiều bước tương lai Những mối đe doạ tương lai mà ngày hôm chưa biết điều khiển phương hướng giải pháp tương lai Có thể có mối đe doạ tính dễ bị tổn thương phát tác động đến khái niệm an ninh “Ngăn ngừa Xâm nhập” ngày hôm theo cách Nhưng phát triển “Hệ thống Ngăn ngừa Xâm nhập” phần nhiều giống hoà trộn bước qua thời gian khái niệm an ninh khác vào mô hình phòng thủ ứng dụng đích thực “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hoàn hảo – báo động giả làm giảm suất người dùng cuối từ chối sai tạo rủi ro mức bên môi trường Có lẽ vai trò cốt yếu cần thiết để tin tưởng, để thực theo cách mong muốn điều kiện Điều có nghĩa giải pháp “Ngăn ngừa Xâm nhập” đặt vào vị trí để phục vụ với: - Những ứng dụng không mong muốn công “Trojan horse” nhằm vào mạng ứng dụng cá nhân, qua việc sử dụng nguyên tắc xác định danh sách điều khiển truy nhập (access control lists) - Các gói tin công giống gói tin từ LAND WinNuke qua việc sử dụng lọc gói tốc độ cao - Sự lạm dụng giao thức hành động lảng tránh – thao tác giao thức mạng giống Fragroute khảo sát lấn TCP (TCP overlap exploits) – thông qua ráp lại thông minh - Các công từ chối dịch vụ (DOS/DDOS) “lụt” gói tin SYN ICMP việc sử dụng thuật toán lọc dựa sở ngưỡng - Sự lạm dụng ứng dụng thao tác giao thức – công biết chưa biết chống lại HTTP, FTP, DNS, SMTP v.v – qua việc sử dụng quy tắc giao thức ứng dụng chữ ký - Những công tải hay lạm dụng ứng dụng việc sử dụng hữu hạn tiêu thụ tài nguyên dựa sở ngưỡng Tất công trạng thái dễ bị công cho phép chúng tình cờ xảy chứng minh tài liệu Ngoài ra, khác thường giao thức truyền thông từ mạng qua lớp ứng dụng chỗ cho loại lưu lượng hợp pháp nào, làm cho lỗi trở thành tự chọn lọc ngữ cảnh xác định 2.4.5 Vị trí đặt thiết bị cài phần mềm IPS Các thiết bị/phần mềm IPS đặt vị trí hình vẽ sau: Phân đoạn mạng Internet: Thiết bị IPS bảo vệ toàn hệ thống mạng bên trước xâm nhập từ bên Internet Thay kiểm tra giao thông mạng từ ngòai tường lửa, thiết bị IPS phải kiểm tra giao thông mạng tường lửa cho phép qua bảo vệ hệ thống mạng bên Phân đoạn mạng Extranet: Thiết bị IPS bảo vệ hệ thống mạng quan/tổ chức kết nối với hệ thống mạng đối tác Phân đoạn mạng Intranet: Thiết bị IPS bảo vệ đoạn mạng hệ thống Ví dụ IPS bảo vệ vùng máy chủ Finance trước công từ vùng mạng khác Các thiết bị IPS 4, ngăn chặn công đoạn mạng hệ thống mạng Phân đoạn mạng truy cập từ xa: thiết bị IPS ngăn chặn xâm nhập xuất phát từ kết nối dial-up vào hệ thống mạng cần bảo vệ Trên máy chủ máy trạm: phần mềm IPS 7-11 cài đặt lên máy chủ máy trạm, bảo vệ máy chủ máy trạm 2.4.6 Kết hợp IPS với hệ thống an ninh khác Đặt tường lửa vùng mạng có yêu cầu an ninh khác nhau, ví dụ vùng mạng internet- bên trong, vùng mạng LAN- vùng máy chủ, … Sử dụng công cụ dò quét điểm yếu để kiểm tra tìm kiếm lỗ hổng tồn hệ thống Sử dụng công cụ dò quét, đánh giá sách an ninh để đảm bảo hệ thống cập nhật Sử dụng hệ thống phát hiện, ngăn chặn xâm nhập mức mạng để theo dõi hoạt động hệ thống mạng Sử dụng hệ thống phát hiện, ngăn chặn xâm nhập mức host để bảo vệ máy chủ máy trạm Tạo sách an ninh giúp người quản trị, người sử dụng có khả phản ứng lại có xâm nhập [...]... toàn 2.3 Công nghệ VPN 2.3.1 Tổng quan về VPN VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm Một cuộc điện thoại giữa hai cá nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện thoại công cộng Hai đặc điểm quan trọng của công nghệ VPN là ''riêng'' và ''ảo"... tấn công, đó là quy luật Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiên Bảo mật ra đời Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực thông tin mà còn trong nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến Một nguy cơ trên mạng đều là những mối nguy hiểm tiềm tàng Từ một lỗ hổng bảo mật nhỏ của. .. cầu 2.2 Lịch sử phát triển công nghệ bảo mật Microsoft Công nghệ bảo mật được ra đời và ngày càng hoàn thiện hơn qua các phiên bản như : 2.2.1 Proxy Server 1.0 Ban đầu, Proxy 1.0 có tên là Catapult, nó được hình thành bởi các thành viên của nhóm IIS và sau đó được giao lại cho đội nghiên cứu và phát triển (R & D) ở Haifa – Israel để hoàn thành Nhóm R&D phát hành Proxy Server 1.0 vào tháng 10 năm 1996... cuộc tấn công chuyên biệt ứng dụng đã biết Thuật ngữ Hệ thống Ngăn ngừa Xâm nhập” (Intrusion Prevention System) bản thân được sử dụng để hợp nhất cả hai khái niệm Hệ thống Phát hiện” (detection system) và Hệ thống Ngăn ngừa” (prevention system) dưới một cấu trúc Chú ý rằng định nghĩa này chỉ nhằm vào các cuộc tấn công đã quen biết 2.4.2 Hiện trạng của công nghệ IPS Trạng thái của công nghệ IPS là... cùng hệ thống VPN và xử lý quá trình bảo mật dữ liệu qua ứng dụng được cung cấp 2.4 Công nghệ IPS 2.4.1 Định nghĩa IPS IPS là từ viết tắt của ( Intrusion Prevention System ) Hệ thống ngăn chặn xâm nhập IPS được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và. .. TMG MBE và TMG 2010: Hình1.6 Bảng so sánh các tính năng giữ ISA 2006, TMG MBE và TMG 2010 Chương 2: Công nghệ bảo mật TMG 2.1 Filewall 2.1.1 Tổng quan về Filewall Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ... ngày nay được tập trung chủ yếu dành riêng cho Port 80 và như vậy chúng hiện không thay thế các hệ thống hiện tại Thay vào đó chúng làm tăng thêm giá trị của những hệ thống này Một giải pháp IPS đa giao thức bao hàm tất cả sẽ phải được phát triển và chứng tỏ trước khi những hệ thống như vậy được coi như những thay thế thực tế cho các hệ thống đã triển khai 2.4.3 Ý nghĩa khi sử dụng IPS Trong tương lai,... tính của họ Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã - VPN điểm-nối-điểm (site-to-site): VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này có thể dựa trên. .. Intrusion Detection and Prevention Hai kiểu IPS được biết trên thị trường hiện nay là “dựa vào máy chủ” và “nội tuyến” (dựa vào mạng) Các hệ thống “dựa vào máy chủ” là các phần mềm ngăn ngừa xâm nhập được viết để “móc” trực tiếp vào trong các ứng dụng hay cài đặt trực tiếp trên các máy chủ ứng dụng Bài viết này chỉ tập trung vào bảo mật “nội tuyến” Bảo mật “nội tuyến” tương tự như trong kiến trúc tường lửa... hạ tầng mạng WAN, làm thay đổi và làm tăng thêm tích chất của mạng cục bộ cho mạng WAN Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ