Đỗ Xuân Đỉnh THIẾT KẾ MẠNG NỘI BỘ AN TOÀN CHO DOANH NGHIỆP LỚN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH KỸ THUẬT MÁY TÍNH Hà Nội – 2018 ( BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ) Đỗ Xuân.
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Đỗ Xuân Đỉnh THIẾT KẾ MẠNG NỘI BỘ AN TOÀN CHO DOANH NGHIỆP LỚN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: KỸ THUẬT MÁY TÍNH Hà Nội – 2018 Đỗ Xuân Đỉnh THIẾT KẾ MẠNG NỘI BỘ AN TOÀN CHO DOANH NGHIỆP LỚN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: KỸ THUẬT MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS NGÔ HỒNG SƠN Hà Nội - 2018 Thiết kế mạng nội an toàn cho doanh nghiệp lớn MỤC LỤC LỜI CAM ĐOAN Danh mục chữ viết tắt Danh mục bảng Danh mục hình vẽ ĐẶT VẤN ĐỀ CHƯƠNG GIỚI THIỆU CHUNG 10 1.1 1.2 1.2.1 1.2.2 1.2.3 1.2.4 1.3 1.4 Mơ hình hệ thống khung dịch vụ 10 Các thành phần khung dịch vụ 10 Hệ thống hạ tầng mạng (LAN/WAN) 10 Hệ thống an ninh thông tin 11 Hệ thống mạng cho thiết bị di động 12 Hệ thống dịch vụ truyền thông hợp 13 Các vùng mạng mạng nội doanh nghiệp .13 Kết luận 14 CHƯƠNG THIẾT KẾ MƠ HÌNH HỆ THỐNG MẠNG VÀ ĐẢM BẢO AN TOÀN TRONG HỆ THỐNG MẠNG NỘI BỘ CỦA DOANH NGHIỆP.15 2.1 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.3 Thiết kế mơ hình mạng nội .15 Mơ hình tổng thể hệ thống mạng nội 15 Một số khuyến nghị thiết kế mạng nội 16 Các mơ hình thiết kế mạng nội 17 Vấn đề đảm bảo an toàn hệ thống mạng nội doanh nghiệp Các nguy công mạng nội 20 Các giải pháp bảo mật hệ thống mạng nội 28 Kết luận 36 CHƯƠNG TRIỂN KHAI THIẾT KẾ HỆ THỐNG MẠNG NỘI BỘ AN TOÀN 38 3.1 Yêu cầu hệ thống mạng nội cần thiết kế 38 3.1.1 Hạ tầng không gian người dùng .38 3.1.2 Yêu cầu cần đáp ứng mạng nội bộ: 39 3.2 Thiết kế mơ hình hệ thống mạng tính bảo mật 39 3.2.1 Cần thực theo bước 39 3.2.2 Lựa chọn cơng nghệ thiết kế mơ hình hệ thống mạng 41 3.2.3 Tổng hợp sơ đồ thiết kế hệ thống mạng nội bộ: 49 3.2.4 Triển khai tính bảo mật 51 3.2.5 Kết đạt mơ hình thiết kế 55 3.3 Mô số kịch cơng điển hình giải pháp phịng chống mạng nội .56 3.3.1 Tấn công giả thông điệp ARP 56 3.3.2 Tấn công dịch vụ DHCP 59 Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn 3.3.3 3.3.4 3.4 Tấn công làm hết tài nguyên bảng MAC switch 63 Giả lập công mạng kiểm thử giải pháp .64 Kết luận 78 KẾT LUẬN 79 TÀI LIỆU THAM KHẢO 80 Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn LỜI CAM ĐOAN Tôi xin cam đoan luận văn công trình nghiên cứu khoa học độc lập tơi Các số liệu, kết nêu luận văn trung thực có nguồn gốc rõ ràng TÁC GIẢ LUẬN VĂN Đỗ Xuân Đỉnh Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Danh mục chữ viết tắt APT (Advanced Persistent Threat) Mối đe dọa liên tục nâng cao, cơng có chủ đích ARP (Address Resolution Protocol) Giao thức phân giải địa BPDU (Bridge Protocol Data Unit) Đơn vị liệu giao thức cầu nối DHCP (Dynamic Host Configuration Protocol) Giao thức cấu hình địa động EAP (Extensible Authentication Protocol) Giao thức xác thực mở rộng IDS (Intrucsion Detection System) Hệ thống phát xâm nhập IP (Internet Protocol) Giao thức internet IPS (Intrusion Prevention Systems) Hệ thống phòng chống xâm nhập Ipsec (Internet Protocol Security) Bảo mật giao thức internet LAN (local area network) Mạng cục MAC (Media Access Control) Điều khiển truy cập phương tiện MITM (Man in the Middle) Tấn công dạng người QoS (Quality of Service) Chất lượng dịch vụ SNMP (Simple Network Management Protocol) Giao thức quản lý mạng đơn giản STP (Spanning Tree Protocol) Giao thức mạng, giao thức ngăn chặn lặp vịng STP TCNs (STP topology change notifications) Các thơng báo thay đổi cấu trúc mạng STP TLS (Transport Layer Security) Bảo mật tầng giao vận VLAN (Virtual Local Area Network) Mạng cục ảo VRRP (Virtual Router Redundancy Protocol) Giao thức dự phòng định tuyến ảo VTP (Virtual Trunking Protocol) Giao thức mạng trục ảo WAN (Wide Area Network) Mạng diện rộng Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Danh mục bảng Bảng – Khảo sát số người sử dụng hệ thống mạng 39 Bảng – Khảo sát số nút mạng cho máy trung tâm liệu .39 Bảng 3 - Xác định đối tượng phục vụ kết nối .42 Bảng – Bảng tính số lượng Switch access mạng LAN tịa nhà .48 Bảng – Bảng tính số lượng module Switch Core mạng LAN tòa nhà .49 Bảng – Bảng triển khai tính bảo mật cho vùng mạng người dùng 53 Bảng – Bảng triển khai tính bảo mật cho vùng mạng trung tâm liệu .55 Bảng – Bảng đánh giá kết đạt 56 Bảng – Các bước công ARP .58 Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Danh mục hình vẽ Hình 1 Thành phần Khung dịch vụ [5] .10 Hình Mơ hình hệ thống mạng nội điểm có quy mơ khác [5] 16 Hình 2 Mơ hình hệ thống mạng lớp lớp [5] 17 Hình Mơ hình hệ thống mạng lớp [5] 18 Hình Mơ hình hệ thống mạng lớp [5] 19 Hình Tấn công thẻ VLAN đôi [9] 22 Hình Bảng địa MAC [9] 23 Hình - Sơ đồ bố trí kết nối Core switch switch access 43 Hình – Sơ đồ bố trí kết nối Core switch 46 Hình 3 - Minh họa sơ đồ kết nối Stack kết hợp uplink switch access 47 Hình - Sơ đồ kết nối hệ thống mạng LAN .50 Hình - Sơ đồ logic hệ thống mạng LAN 50 Hình – Mơ tả hoạt động u cầu MAC address .56 Hình – Hoạt động công ARP Spooling 57 Hình – Phịng chống công ARP 58 Hình – Hoạt động cấp phát động địa IP .60 Hình 10 – Hoạt động cơng DHCP 61 Hình 11 – Phịng chống cơng DHCP .62 Hình 12 – Hoạt động cập nhật MAC 63 Hình 13 - Mơ hình thử nghiệm cơng ARP 65 Hình 14 - Cấu hình nhận IP động cho PC 67 Hình 15 - Kiểm tra hoạt động web server 68 Hình 16 – Tìm thơng tin PC-Victim 69 Hình 17 – Chọn địa máy PC-Victim để công 70 Hình 18 – Kiểm tra bảng MAC máy Victim 70 Hình 19 – Sử dụng wireshark để bắt gói tin qua máy cơng 71 Hình 20 – Mẫu file bat để kích hoạt máy trạm 73 Hình 21 – Hiển thị tham số mạng ban đầu máy người dùng 73 Hình 22 – Sử dụng Ettercap để cơng cấp phát giả gói tin DHCP 74 Hình 23 – Hiển thị tham số mạng sau bị cơng DHCP 74 Hình 24 – Cấp phát gói tin giả DHCP cho máy người dùng 75 Hình 25 – Kiểm tra MAC table Switch 76 Hình 26 – Tấn công mập lụt MACtable Switch 76 Hình 27 – Bản MAC bị lấp đầy thực công bảng MAC 77 Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT ĐẶT VẤN ĐỀ Tổng quan Mạng nội sở hạ tầng mạng mà hầu hết cá nhân tổ chức sử dụng để kết nối vào mạng Nó sử dụng văn phịng, gia đình, trung tâm liệu hay mạng máy tính tổ chức Ban đầu, mạng nội có phạm vi nhỏ, thiết kế để trở thành mạng có tính linh hoạt chi phí thấp, có khả kết nối với tốc độ cao cho nhóm máy tính sử dụng cơng nghệ mạng cục (LAN) Sau này, quy mô hạ tầng mạng tăng lên, kết hợp với xu hướng sử dụng chuẩn giao thức IP phạm vi lớn tính ban đầu mạng cục - Ethernet sử dụng ngày Mạng nội trở nên phổ biến vào năm 1980 băng thơng mạng có giá trị khoảng 10 Mbps sử dụng cáp đồng trục Ngày nay, mạng nội phổ biến với băng thông Gbps, sử dụng chuyển mạch, full-duplex, dùng cáp xoắn đôi cáp sợi quang, kết hợp chuẩn mạng không dây WiFi Mạng nội coi giải pháp mạng với chi phí thấp cho kết nối máy trạm máy tính xách tay, mạng cho máy chủ (băng thông thường khoảng 1-10Gbps) Lý chọn đề tài Hoạt động doanh nghiệp gắn liền với hệ thống máy tính kết nối mạng nội Các doanh nghiệp lớn có nhiều văn phịng, nhu cầu kết nối mạng văn phòng kết nối văn phòng với cần thiết để trao đổi thông tin nội doanh nghiệp Mạng nội doanh nghiệp hiểu hệ thống mạng văn phòng doanh nghiệp hệ thống kết nối mạng văn phòng tạo lên hệ thống mạng trao đổi thông tin nội cho doanh nghiệp Việc xây dựng hệ thống mạng nội cho doanh nghiệp nhiệm vụ quan trọng để tạo khơng gian kết nối máy tính đáp ứng hoạt động doanh nghiệp Trong thiết kế mạng nội nhiệm vụ đầu tiên, cần thiết nhằm xây dựng hệ thống mạng đáp ứng nhu cầu sử dụng hệ thống mạng nội doanh nghiệp Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Router(config)#service dhcp Router#show ip dhcp binding (3) Tạo pool để cấp IP cho client Router(config)#ip dhcp pool R1DHCP2 < đặt tên cho pool cấp IP Router(dhcp-config)#network 192.168.2.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.2.1 Router(dhcp-config)#dns-server 8.8.8.8 8.8.4.4 - Cấu hình máy tính: nhận địa động từ DHCP server Hình 14 - Cấu hình nhận IP động cho PC - Cấu hình địa tĩnh máy Server-DHCP: 192.168.2.10 - Cài đặt WEB server: Sử dụng ứng dụng XAMPP để tạo máy chủ web php - Kiểm tra kết nối vùng: + Kiểm tra địa nhận máy thực thiện ping để kiểm tra kết nối + Kiểm tra truy cập web từ máy PC-Victim: Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 67 Hình 15 - Kiểm tra hoạt động web server - Cài đặt công cụ công máy PC 2-Attacker: tải công cụ Cain & Abel địa www.oxid.it/cain.html thực cài đặt - Thực cơng phịng cơng ARP 1) Thực công ARP: Bước – Chọn card mạng để quét thông tin mạng với công cụ Sniffer: Tại máy Attacker, chạy chương trình Cain, vào mục Configure danh mục chính, chọn tab Sniffer, chọn cạc mạng với địa IP phù hợp với mạng dự định thực công, bấm OK - Bước 2: Qt mạng để tìm thơng tin máy Victim: Chọn tap Sniffer, click chuột phải vào hình để chọn Scan MAC Addresses, Click OK Bấm vào biểu tượng cạc mạng (thứ hai từ trái qua) để bắt đầu trình quét hệ thống, chọn tab Sniffer để hiển thị địa MAC máy hoạt động hệ thống mạng cục Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 68 Hình 16 – Tìm thơng tin PC-Victim Có thể bấm vào biểu tượng dấu “+” công cụ, chọn ARP Test (Broadcast 31-bit) phần Promiscuous-Mode Scanner để có thêm nhiều địa MAC - Bước 4: Tìm máy Victim để thực công: Quan sát danh sách xem hai máy dự định công xuất danh sách hay chưa? Nếu có, bấm vào tab ARP cơng cụ phía chương trình Cain, xuất hai cửa sổ: cửa sổ phía (I) hiển thị danh sách máy bị cơng, cửa sổ phía (II) thị nội dung trao đổi máy bị công - Bước 5: Chọn máy Victim để công: Bấm chuột vào cửa sổ (I), bấm vào nút có dấu “+” công cụ, để lựa chọn máy công Khung bên trái hiển thị tất máy mạng, chọn máy công, cửa sổ bên phải xuất tất máy mạng (trừ máy lựa chọn bên trái) Chọn máy thứ khung bên phải, bấm OK Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 69 Hình 17 – Chọn địa máy PC-Victim để công Bấm vào biểu tượng rada màu vàng – đen (thứ bên trái qua) để bắt đầu theo dõi hai máy Sau kích hoạt công, máy Victim, địa IP bị công đề địa MAC máy Attack: Hình 18 – Kiểm tra bảng MAC máy Victim - Bước 6: Khai thác thông tin Tại máy Attacker, sử dụng tính ứng dụng Cain & Abel, wireshark để khai thác thông tin (password) sử dụng công cụ khác để theo dõi chi tiết q trình trao đổi thơng tin máy Victim, ví dụ chạy chương trình bắt gói wireshark, lọc gói thấy tên đăng nhập mật thông tin liệu khác Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 70 Hình 19 – Sử dụng wireshark để bắt gói tin qua máy công Khi kết thúc, nhấp vào biểu tượng xạ màu vàng đen lần để bỏ giả mạo ARP cache 2) Phịng chống cơng ARP: Phương án 1: Sử dụng tính Dynamic ARP inspection kết hợp với cấu hình bảo mật “trust state” cổng switch: Dynamic ARP inspection tính bảo mật kiểm chứng gói ARP mạng Nó chặn, ghi loại bỏ gói tin ARP với ràng buộc địa IP-to-MAC khơng hợp lệ - Minh họa cấu hình DAI cho VLANs (ví dụ VLAN 10 – 12): RSwitchr# configure terminal RSwitch(config)# ip arp inspection vlan 10,11,12 Hiển thị lại cấu hình: RSwitch(config)# show ip arp inspection vlan 10-12,15 | begin Vlan Vlan Configuration ACL Match Static ACL Operation - 10 Enabled Inactive 11 Enabled Inactive Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 71 12 Enabled Inactive - Minh họa cấu hình cho giao tiếp Fast Ethernet port 5/12: RSwitch# configure terminal RSwitch(config)# interface fastethernet 5/12 RSwitch(config-if)# ip arp inspection trust RSwitch(config-if)# show ip arp inspection interfaces | include Int| | 5/12 Interface Fa5/12 Trust State Rate (pps) Burst Interval Trusted None N/A Phương án 2: Cấu hình máy trạm: giải pháp phù hợp với mạng nhỏ, phương án cấu hình thực tay máy sử dụng hệ thống AD để áp policy cho tất máy logon vào hệ thống + Bước 1: Lấy địa chỉ MAC thiết bị: sử dụng câu lệnh ipconfig /all MAC PC-Victim: 000c.29d2.3a6e MAC PC-Attacker: 000c.29c0.7a36 MAC HTTP: 000c.2968.bf08 MAC Router: c004.0e6c.0000 + Bước 2: Xác định địa chỉ IP cho máy: MAC PC-Victim: 000c.29d2.3a6e -> IP:192.168.2.4 MAC PC-Attacker: 000c.29c0.7a36 -> IP:192.168.2.2 MAC PC HTTP: 000c.2968.bf08 ->IP 192.168.2.10 MAC Router: c004.0e6c.0000 -> IP:192.168.2.1 + Bước 3: Xây dựng file policy AD để áp bảng địa MAC gắn với IP máy PC/hoặc xây dựng file bat để thực áp tay cho máy (hoặc tạo file bat để thực cho tất máy – chạy với quyền administrator) Show bảng MAC: Arp -a Arp –d * -> xóa bảng MAC cũ Arp –s 192.168.2.4 000c.29d2.3a6e -> add static entry Arp –s 192.168.2.2 000c.29c0.7a36 -> add static entry Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 72 Arp –s 192.168.2.10 000c.2968.bf08 -> add static entry Arp –s 192.168.2.1 c004.0e6c.0000 -> add static entry Mẫu file thực thi bat (cần chạy quyền “run as administrator”): Hình 20 – Mẫu file bat để kích hoạt máy trạm - Thực công phịng cơng dịch vụ DHCP 1) Thực công: Sử dụng máy ảo Kali để thực cơng cơng cụ Ettercap: - Kiểm tra cấu hình địa máy PC-user lệnh: ipconfig – thị địa IP 192.168.2.3, Gateway 192.168.2.1, … Hình 21 – Hiển thị tham số mạng ban đầu máy người dùng - Trên máy công, sử dụng máy ảo Kali, sử dụng công cụ Ettercap để thực công Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 73 Hình 22 – Sử dụng Ettercap để cơng cấp phát giả gói tin DHCP - Trên máy PC-User, Disable card mạng enable để card mạng nhận địa IP (hoặc sử dụng lệnh release/renew DOS) Gateway PC bị thay đổi thành địa 192.168.2.2 Hình 23 – Hiển thị tham số mạng sau bị công DHCP - Trên công cụ Ettercap thấy yêu cầu cấp địa DHCP đáp ứng: Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 74 Hình 24 – Cấp phát gói tin giả DHCP cho máy người dùng 2) Phịng chống cơng: - Trên switch, cấu hình DHCP snooping để chặn gói tin giả mạo từ máy tính người cơng Minh họa cấu hình cho access switch: Switch#configure terminal Switch(config)#interface f0/0 -> F0/0 trusr nối đến DHCP server Switch(config-if)#ip dhcp snooping trust Switch(config-if)#exit Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 1-2 Switch(config)#end Switch#show ip dhcp snooping - Sau cấu hình, gói tin giải mạo cấp DHCP bị đánh rớt cơng giả mạo máy chủ DHCP khơng cịn hiệu lực - Cấu hình Port-Security để ngăn máy cơng gửi gói tin có địa MAC giả mạo Minh họa cấu hình: Switch#configure terminal Switch(config)#interface range f0/0-3 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport port-security //default MAC Switch(config-if-range)#switchport port-security maximum Switch(config-if-range)#end Switch#show port-security Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 75 Cấu hình IP Source Guard access switch để kiểm tra IP source, trường hợp không khớp với binding entry bị đánh rớt - Thực cơng phịng cơng làm hết tài nguyên bảng MAC 1) Thực công: - Kiểm tra số lượng ghi tối đa switch: Hình 25 – Kiểm tra MAC table Switch - Trên máy công, sử dụng máy ảo Kali, sử dụng công cụ Macof để thực cơng: cấu hình số lượng ghi gửi đi, tân xuất gửi để công MAC Switch Hình 26 – Tấn cơng mập lụt MACtable Switch Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 76 - Kiểm tra switch sau số giây, bảng MAC switch bị làm tràn địa MAC giả mạo: Hình 27 – Bản MAC bị lấp đầy thực cơng bảng MAC Khi gói tin đến switch chuyển tiếp đến tất cổng switch Người cơng sử dụng cơng cụ bắt gói tin để nghe thơng tin mạng 2) Phịng chống cơng: - Cấu hình tính port-security: hạn chế số lượng địa MAC cổng, Tắt cổng vi phạm số địa MAC cổng Minh họa cấu hình: Switch#configure terminal Switch(config)#interface range f0/0-3 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport port-security //default MAC Switch(config-if-range)#switchport port-security maximum Switch(config-if-range)#end Switch#show port-security Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 77 - Khi tiếp tục sử dụng Macof để công, cổng mạng nối với máy công tự động tắt để cách ly bảo vệ mạng 3.4 Kết luận Từ tìm hiểu khuyến nghị thiết kế Mơ hình hệ thống mạng nội tài liệu kỹ thuật khuyến nghị hãng sản xuất thiết bị, giải pháp mạng, Chương Luận văn đưa mơ hình thiết kế mạng nội an toàn cho doanh nghiệp đáp ứng u cầu : - Thiết kế mơ hình mạng nội đáp ứng trạng nhu cầu sử dụng doanh nghiệp, đáp ứng phù hợp với công nghệ mạng - Thiết kế triển khai tính bảo mật hệ thống mạng nội đảm bảo an tồn thơng tin mạng nội Chương mô số kịch cơng phịng chống cơng mạng mơi trường giả lập để khẳng định giải pháp triển khai phù hợp Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 78 KẾT LUẬN Luận văn tìm hiểu vấn đề thiết kế mạng nội an toàn cho doanh nghiệp lớn bao gồm nội dung sau: - Tìm hiểu vấn đề thiết kế mạng nội doanh nghiệp - Nghiên cứu vấn đề bảo mật hệ thống mạng nội bộ: tìm hiểu nguy cơng mạng nội bộ, giải pháp bảo mật thiết bị mạng nội Luận văn tìm hiểu - Thực thiết kế mơ hình mạng nội cho doanh nghiệp với u cầu cụ thể Mơ hình mạng đáp ứng phù hợp với nhu cầu phát triển doanh nghiệp phù hợp với công nghệ mạng Hệ thống mạng thiết kế đáp ứng tính linh hoạt tính sẵn sàng cao Tìm hiểu tính hệ thống mạng cần triển khai để đảm bảo an tồn thơng tin hệ thống mạng nội - Mô số kịch cơng cụ thể giải pháp phịng chống cơng hiệu Tuy nhiên, nội dung Luận văn cịn số giới hạn sau: - Việc thiết kế mô hình mạng cịn chưa tồn diện chưa nghiên cứu thành phần mạng khác cần thiết khác cho hoạt động doanh nghiệp, hệ thống bảo mật mạng, hệ thống di động, hệ thống quản lý mạng, - Việc tìm hiểu vấn đề an tồn thơng tin mạng nội chưa đánh giá tranh toàn diện, thiếu cập nhật số nguy bảo mật phát sinh từ hệ thống chưa đánh giá ảnh hưởng kiểu công nay, ví dụ cơng APT, Do đó, vấn đề luận văn cần tiếp tục nghiên cứu hồn thiện Về mơ hình mạng nộ cần tìm hiểu để tích hợp dịch vụ mạng khác để có tranh hồn thiện triển khai cho doanh nghiệp Về bảo mật cần tìm hiểu đánh giá kiểu cơng mạng ảnh hưởng đến an toàn mạng nội doanh nghiệp Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 79 TÀI LIỆU THAM KHẢO [1] Bruschi, A Ornaghi, E Rosti (2003), S-ARP: a secure address resolution protocol, Dipartimento di Informatica e Comunicazione, Universita degli Studi di Milano, Italy [2] Cisco System (2015), Inplementing Cisco Network Security [3] IEEE standards association (2015), IEEE Standard for Ethernet, IEEE Computer Society [4] Lydia Parziale, David T.Britt, Chuck Davis, Jason Forrester, Wei Liu, Carolyn Matthews, Nicolas Rosselot (2006), TCP/IP tutorial and technical overview, IBM Redbooks [5] Martin Pueblas, Steve Gyurindak, John Strika, Rahul Kachalia, Dan Hamilton, Srinvas Tenneti (2010), Medium Enterprise Design Profile Reference Guide, Cisco System [6] OSAMA S YOUNES (2017), Securing ARP and DHCP for mitigating link layer attacks, Indian Academy of Sciences [7] Robert M.Metcalfe, David R.Boggs (1975), Ethernet: Distributed packet switching for local computer networks, Xerox Palo alto research center [8] Sean Whalen (2001), An Introduction to ARP Spoofing, https://Chocobospore.org/arpspoof [9] Timo Kiravuo, Mikko Sarela, and Jukka Manner (2013), A Survey of Ethernet LAN Security, IEEE communications surveys & tutorials [10] Wiley (2007), CCNA Stydy Guide, Wiley Publishing, Inc., Indianapolis, Indiana Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 80 ... nguyên doanh nghiệp môi trường mạng Từ lý trên, chọn đề tài ? ?Thiết kế mạng nội an toàn cho doanh nghiệp lớn? ?? làm luận văn thạc sỹ kỹ thuật Mục tiêu cụ thể - Mục tiêu: Thiết kế mạng nội doanh nghiệp. .. thiết kế hệ thống mạng nội cho doanh nghiệp Chương 2: Thiết kế mơ hình hệ thống mạng đảm bảo an tồn hệ thống mạng nội doanh nghiệp Chương mô tả vấn đề cần quan tâm thiết kế mơ hình mạng cho doanh. .. CHƯƠNG TRIỂN KHAI THIẾT KẾ HỆ THỐNG MẠNG NỘI BỘ AN TOÀN 3.1 Yêu cầu hệ thống mạng nội cần thiết kế Để thực thiết kế hệ thống mạng nội cho doanh nghiệp lớn, tham khảo thực tế doanh nghiệp cụ thể đưa