Đang tải... (xem toàn văn)
Triển khai thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông va Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG CHO DOANH NGHIỆP 1. Tổng quan về bảo mật mạng cho doanh nghiệp 1.1. Bảo mật mạng là gì ? Mục tiêu của việc kết nối mạng là đề tài nhiều người sử dụng từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách. Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm: dữ liệu, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng. Bảo mật mạng gồm: Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố, rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. Đánh giá nguy cơ tấn công của các Hacket đến mạng, sự phát tán virus... Phải nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng. Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, lỗi hổng khiến mạng có thể bị xâm nhập thông qua cách tiếp cận có cấu trúc. Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy cơ xóa, phá hoại CSFL, ăn cắp mật khẩu,… nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng.
MỤC LỤC LỜI NÓI ĐẦU Hiện nay, hầu hết tổ chức, đơn vị, trường học kết nối mạng nội mạng đến chi nhánh, đối tác thừa hưởng nhiều lợi ích từ Nhưng thuận lợi lại chức nhiều mối nguy hiểm tiềm ẩn như: virus, hacket, vv công nghệ cao Bảo mật lĩnh vực mà giới công nghệ thông tin quan tâm Một internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu việc nối mạng làm cho người sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài nguyên dễ dàng bị phân tán, dẫn điều hiển nhiên chúng bị xâm phạm, gây mát liệu thông tin có giá trị Càng giao thiệp rộng dễ bị công, quy luật Từ đó, vấn đề bảo vệ thông tin đồng thời xuất Bảo mật đời Tất nhiên, mục tiêu bảo mật không nằm gói gọn lĩnh vực bảo vệ thông tin mà nhiều phạm trù khác kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật hệ thống toán điện tử giao dịch trực tuyến… Bảo mật hệ thống mạng cho doanh nghiệp với giải pháp tốt nhất? Đây nội dung đợt báo cáo thực tập tốt nghiệp em Với đề tài “ Triển khai & tkiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST ”, báo cáo gồm chương: Chương tổng quan bảo mật mạng cho doanh nghiệp Chương tìm hiểu giao thức Vlan Access List Chương xây dựng giải pháp bảo mật mạng cho Công ty Bigdigital dựa giao thức VLAN ACCESS LIST Do thời gian kiến thức em có hạn, báo cáo em nhiều thiếu sót, mong nhận bảo, góp ý cảm thông thầy cô Em hy vọng sau tiếp tục nghiên cứu sâu vấn đề LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn sâu sắc tới Th.s Đỗ Đình Cường Th.s Lê Hoàng Hiệp Hai thầy tận tình bảo em trình làm báo cáo Em xin chân thành cảm ơn thầy cô giáo truyền đạt kiến thức giúp em có thêm vốn kiến thức để hoàn thành tốt báo cáo Bên cạnh đó, em xin gửi lời cảm ơn tới gia đình, bạn bè Những người động viên giúp đỡ em mặt tinh thần thời gian Cuối cùng, em xin gửi lời cảm ơn đến gia đình bạn bè, người động viên em nhiều suốt thời gian qua Thái Nguyên, ngày tháng năm 2016 Nguyễn Văn Thái CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG CHO DOANH NGHIỆP Tổng quan bảo mật mạng cho doanh nghiệp Bảo mật mạng ? Mục tiêu việc kết nối mạng đề tài nhiều người sử dụng từ vị trí địa lý khác sử dụng chung tài nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tài nguyên thông tin mạng tránh mát, xâm phạm cần thiết cấp bách Bảo mật mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm: liệu, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng Bảo mật mạng gồm: Xác định sách, khả nguy xâm phạm mạng, cố, rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an toàn mạng Đánh giá nguy công Hacket đến mạng, phát tán virus Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng Một thách thức an toàn mạng xác định xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗi hổng khiến mạng bị xâm nhập thông qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, bọ gián điệp, nguy xóa, phá hoại CSFL, ăn cắp mật khẩu,… nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Khi đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt để đảm bảo an ninh mạng Sử dụng hiệu công cụ bảo mật (ví dụ Firewall) biện pháp, sách cụ thể chặt chẽ Về chất phân loại vi phạm thành vi phạm thụ động vi phạm chủ động Thụ động chủ động hiểu theo nghĩa có can thiệp vào nội dung luồng thông tin có bị trao đổi hay không Vi phạm thụ nhằm mục đích nắm bắt thông tin Vi phạm chủ động thực biến đổi, xóa bỏ thêm thông tin ngoại lại để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường khó phát ngăn chặn hiệu Trái lại, vi phạm chủ động dễ phát lại khó ngăn chặn Các đặc trưng kỹ thuật bảo mật mạng Tính xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể người sử dụng, chương trình máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống thông thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phương thức bảo mật dựa vào mô hình sau: Đối tương cần kiểm tra cần phải cung cấp thông tin trước, ví dụ password, mã số thông tin cá nhân PIN Kiểm tra dựa vào mô hình thông tin có, đối tượng kiểm tra cần phải thể thông tin mà chúng sở hữu, ví dụ Private Key, số thẻ tín dụng Kiểm tra dựa vào mô hình thông tin xác định tính nhất, đối tượng kiểm tra cần phải có thông tin để định danh tính mình, ví dụ thông qua giọng nói, dấu vân tay, chữ ký… Có thể phân loại bảo mật bảo mật VPN theo cách sau: mật truyền thống hay mật lần, xác thực thông qua giao thức (PAP, CHAP,…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc…) Tính khả dụng (Availability): Tính khả dụng đặc tính mà thông tin mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu cần thiết lúc nào, hoàn cảnh Tính khả dụng nói chung dùng tỉ lệ thời gian hệ thống sử dụng bình thường với thời gian trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau: Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cưỡng bức), khống chế lưu lượng (khống chế tắc nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống lưu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tương ứng) 3.Tính bảo mật (confidentialy): Tính bảo mật đặc tính tin tức không bị tiết lộ cho thực thể hay trình không ủy quyền biết không đối tượng xấu lợi dụng Thông tin cho phép thực thể ủy quyền sử dụng Kỹ thuật bảo mật thường phòng ngừa dò la thu thập, phòng ngừa xạ, tăng cường bảo mật thông tin (dưới khống chế khóa mật mã), bảo mật vật lý (sử dụng phương pháp vật lý để đảm bảo tin tức không bị tiết lộ) 4.Tính toàn vẹn (Integrity): Là đặc tính thông tin mạng chưa ủy quyền tiến hành được, tức thông tin mạng lưu giữ trình truyền dẫn đảm bảo không bị xóa, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào cách ngẫu nhiên cố ý phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới toàn vẹn thông tin mạng gồm :sự cố thiết bị, sai mã, bị tác động người, virus máy tính… Một số phương pháp bảo đảm tính toàn vẹn thông tin mạng: Giao thức an toàn kiểm tra thông tin bị chép, sửa đổi hay chép…Nếu phát thông tin bị vô hiệu hóa Phương pháp phát sai và sửa sai Phương pháp sửa sai mã hóa đơn giản thường dùng phép kiểm tra tính chẵn lẻ Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc cản trở truyền tin Chữ ký điện tử: bảo đảm tính xác thực thông tin 5.Tính khống chế (Acountlability): Là đặc tính lực khống chế truyền bá nội dung vốn có tin tức mạng 6.Tính chối cãi (Nonreputation): Trong trình giao lưu tin tức mạng, xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ phủ nhận thao tác cam kết thực Các nguy đe dọa Đánh giá đe dọa Về có mối đe dọa đến vấn đề bảo mật mạng sau: Đe dọa cấu trúc (Unstructured threats) Đe dọa có cấu trúc (Structured threats) Đe dọa từ bên (External threats) Đe dọa từ bên (Internal threats) ) Đe dọa cấu trúc Những mối đa dọa thuộc dạng tạo hacker không lành nghề, họ thật kinh nghiệm Những người ham hiểu biết muốn download liệu từ mạng Internet Họ thật bị thúc đẩy nhìn thấy mà họ tạo ) Đe dọa có cấu trúc Hacker tạo dạng tinh tế dạng có cấu trúc nhiều Họ có kỹ thuật hiểu biết cấu trúc hệ thống mạng Họ thành thạo việc làm để khai thác điểm yếu mạng Họ tạo hệ thống có “cấu trúc” phương thức xâm nhập sâu vào hệ thống mạng Cả hai dạng có cấu trúc cấu trúc thông qua Internet để thực công mạng ) Đe dọa từ bên Xuất phát từ Internet, người tìm thấy lỗ hổng hệ thống mạng từ bên Khi công ty bắt đầu quảng bá có mặt họ Internet lúc hacker rà soát để tìm kiếm điểm yếu, đánh cắp liệu phá hủy hệ thống mạng ) Đe dọa từ bên Mối đe dọa thật nguy hiểm xuất phát từ nội bộ, điển hình nhân viên thân người quản trị Họ thực việc công cách nhanh gọn dễ dàng họ am hiểu cấu trúc biết rõ điểm yếu hệ thống mạng Các lỗ hổng điểm yếu mạng Các lỗ hổng mạng Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp lệ vào hệ thống Các lỗ hổng tồn dịch vụ : Sendmail, Web,… hệ điều hành mạng WindowsNT, Windows95, Unix ứng dụng Các lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: Các lỗ hổng loại cho phép thực công DoS DoS hình thức công sử dụng giao thức tầng Internet giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Một số lượng lớn gói tin gửi tới server khoảng thời gian liên tục làm cho hệ thống trở nên tải, kết server đáp ứng chậm đáp ứng yêu cầu từ client gửi tới Các dịch vụ có chứa đựng lỗ hổng cho phép thực công DoS nâng cấp sửa chữa phiên nhà cung cấp dịch vụ Hiện nay, chưa có giải pháp toàn diện để khắc phục lỗ hổng loại thân việc thiết kế giao thức tầng Internet (IP) nói riêng giao thức TCP/IP chứa đựng nguy tiềm tàng lỗ hổng Tuy nhiên, mức độ nguy hiểm lỗ hổng loại xếp loại C; nguy hiểm chúng làm gián đoạn cung cấp dịch vụ hệ thống thời gian mà không làm nguy hại đến liệu người công không đạt quyền truy nhập bất hợp pháp vào hệ thống Một lỗ hổng loại C khác thường thấy điểm yếu dịch vụ cho phép thực công làm ngưng trệ hệ thống người sử dụng cuối; Chủ yếu với hình thức công sử dụng dịch vụ Web Giả sử: Web Server có trang Web có chứa đoạn mã Java JavaScripts, làm “treo” hệ thống người sử dụng trình duyệt Web Netscape bước sau: Viết đoạn mã để nhận biết Web Browers sử dụng Netscape Nếu sử dụng Netscape, tạo vòng lặp vô thời hạn, sinh vô số cửa sổ, cửa sổ nối đến Web Server khác Với hình thức công đơn giản này, làm treo hệ thống Đây hình thức công kiểu DoS Người sử dụng trường hợp khởi động lại hệ thống Một lỗ hổng loại C khác thường gặp hệ thống mail không xây dựng chế anti-relay (chống relay) cho phép thực hành động spam mail Như biết, chế hoạt động dịch vụ thư điện tử lưu chuyển tiếp; số hệ thống mail xác thực người dùng gửi thư, dẫn đến tình trạng đối tượng công lợi dụng máy chủ mail để thực spam mail; Spam mail hành động nhằm tê liệt dịch vụ mail hệ thống cách gửi số lượng lớn messages tới địa không xác định, máy chủ mail phải tốn lực tìm địa thực dẫn đến tình trạng ngưng trệ dịch vụ Số lượng messages sinh từ chương trình làm bom thư phổ biến mạng Internet Các lỗ hổng loại B: Lỗ hổng loại có mức độ nguy hiểm lỗ hổng loại C, cho phép người sử dụng nội chiếm quyền cao truy nhập không hợp pháp Những lỗ hổng loại thường xuất dịch vụ hệ thống Người sử dụng local hiểu người có quyền truy nhập vào hệ thống với số quyền hạn định Sau phân tích số lỗ hổng loại B thường xuất ứng dụng Sendmail: Sendmail chương trình sử dụng phổ biến hệ thống UNIX để thực gửi thư điện tử cho người sử dụng nội mạng Thông thường, sendmail daemon chạy chế độ kích hoạt khởi động hệ thống Trong trạng thái hoạt động, sendmail mở port 25 đợi yêu cầu tới thực gửi chuyển tiếp thư Sendmail kích hoạt chạy quyền root quyền tương ứng (vì liên quan đến hành động tạo file ghi log file) Lợi dụng đặc điểm số lỗ hổng đoạn mã sendmail, mà đối tượng công dùng sendmail để đạt quyền root hệ thống Để khắc phục lỗi sendmail cần tham gia nhóm tin bảo mật; sendmail chương trình có nhiều lỗi; có nhiều người sử dụng nên lỗ hổng bảo mật thường phát khắc phục nhanh chóng Khi phát lỗ hổng sendmail cần nâng cấp, thay phiên sendmail sử dụng Một loạt vấn đề khác quyền sử dụng chương trình UNIX thường gây nên lỗ hổng loại B Vì hệ thống UNIX, chương trình thực thi với khả năng: - Người chủ sở hữu chương trình kích hoạt chạy - Người mang quyền người chủ sở hữu chủ nhân file Các loại lỗ hổng loại B khác Một dạng khác lỗ hổng loại B xảy chương trình có mã nguồn viết C Những chương trình viết C thường sử dụng vùng đệm – vùng nhớ sử dụng để lưu liệu trước xử lý Những người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng không gian nhớ cho khối liệu Ví dụ, người sử dụng viết chương trình nhập trường tên người sử dụng; qui định trường dài 20 ký tự Do họ khai báo: char first_name [20]; Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập liệu, trước tiên liệu lưu vùng đệm; người sử dụng nhập vào 35 ký tự; xảy tượng tràn vùng đệm kết 15 ký tự dư thừa nằm vị trí không kiểm soát nhớ Đối với người công, lợi dụng lỗ hổng để nhập vào ký tự đặc biệt, để thực thi số lệnh đặc biệt hệ thống Thông thường, lỗ hổng thường lợi dụng người sử dụng hệ thống để đạt quyền root không hợp lệ Việc kiểm soát chặt chẽ cấu hình hệ thống chương trình hạn chế lỗ hổng loại B Các lỗ hổng loại A: Các lỗ hổng loại A có mức độ nguy hiểm; đe dọa tính toàn vẹn bảo mật hệ thống Các lỗ hổng loại thường xuất hệ thống quản trị yếu không kiểm soát cấu hình mạng Một ví dụ thường thấy nhiều hệ thống sử dụng Web Server Apache, Đối với Web Server thường cấu hình thư mục mặc định để chạy scripts cgi-bin; có Scripts viết sẵn để thử hoạt động apache test-cgi Đối với phiên cũ Apache (trước version 1.1), có dòng sau file test-cgi: echo QUERY_STRING = $QUERY_STRING Biến môi trường QUERY_STRING không đặt có dấu ” (quote) nên phía client thưc yêu cầu chuỗi ký tự gửi đến gồm số ký tự đặc biệt; ví dụ ký tự “*”, web server trả nội dung toàn thư mục thời (là thư mục chứa scipts cgi) Người sử dụng nhìn thấy toàn nội dung file thư mục thời hệ thống server Một ví dụ khác xảy tương tự Web server chạy hệ điều hành Novell; Các web server có scripts convert.bas, chạy scripts cho phép đọc toàn nội dung files hệ thống Những lỗ hổng loại nguy hiểm tồn sẵn có phần mềm sử dụng; người quản trị không hiểu sâu dịch vụ phần mềm sử dụng bỏ qua điểm yếu Đối với hệ thống cũ, thường xuyên phải kiểm tra thông báo nhóm tin bảo mật mạng để phát lỗ hổng loại Một loạt chương trình phiên cũ thường sử dụng có lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger… Ảnh hưởng lỗ hổng bảo mật mạng Internet Phần trình bày phân tích số trường hợp có lỗ hổng bảo mật, người công lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi mắt xích lỗ hổng Ví dụ, người muốn xâm nhập vào hệ thống mà tài khoản truy nhập hợp lệ hệ thống Trong trường hợp này, trước tiên tìm điểm yếu hệ thống, từ sách bảo mật, sử dụng công cụ dò sét thông tin hệ thống để đạt quyền truy nhập vào hệ thống Sau mục tiêu đạt được, tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt điểm yếu thực hành động công tinh vi Tuy nhiên, có phải lỗ hổng bảo mật nguy hiểm đến hệ thống hay không? Có nhiều thông báo liên quan đến lỗ hổng bảo mật mạng Internet, hầu hết số lỗ hổng loại C, không đặc biệt nguy hiểm hệ thống Ví dụ, lỗ hổng sendmail thông báo mạng, ảnh hưởng toàn hệ thống Khi thông báo lỗ hổng khẳng định chắn, nhóm tin đưa số phương pháp để khắc phục hệ thống Trên mạng Internet có số nhóm tin thường thảo luận chủ đề liên quan đến lỗ hổng bảo mật là: CERT (Computer Emergency Reponse Team): Nhóm tin hình thành sau có phương thức công Worm xuất mạng Internet Nhóm tin thường thông báo đưa trợ giúp liên quan đến lỗ hổng bảo mật Ngoài nhóm tin có báo cáo thường niên để khuyến nghị người quản trị mạng vấn đề liên quan đến bảo mật hệ thống Địa Web site nhóm tin: http://www.cert.org/ CIAC (Department of Energy Computer Incident Advisory Capability): tổ chức xây dựng sở liệu liên quan đến bảo mật cho lượng Mỹ Thông tin CIAC đánh giá kho liệu đầy đủ vấn đề liên quan đến bảo mật hệ thống Địa web site CIAC : http://ciac.llnl.org/ FIRST (The Forum of Incident Response and Security Teams): Đây diễn đàn liên kết nhiều tổ chức xã hội tư nhân, làm việc tình nguyện để giải vấn đề an ninh mạng Internet Địa Web site FIRST: http://www.first.org./ Một số thành viên FIRST gồm: CIAC NASA Automated Systems Incident Response Capability Purdue University Computer Emergency Response Team Stanford University Security Team IBM Emergency Response Team Các kiểu công Tấn công trực tiếp Những công trực tiếp thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp công cổ điển dò tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực không đòi hỏi điều kiện đặc biệt để bắt đầu Kẻ công dựa vào thông tin mà chúng biết tên người dùng, ngày sinh, địa chỉ, số nhà v.v… để đoán mật dựa chương trình tự động hóa việc dò tìm mật Trong số trường hợp, khả thành công phương pháp lên đến 30% Phương pháp sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công tiếp tục để chiếm quyền truy nhập Trong số trường hợp phương pháp cho phép kẻ công có quyền người quản trị hệ thống Nghe trộm Việc nghe trộm thông tin mạng đem lại thông tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến 10 + Lưu cấu hình VLAN NVRAM + Gửi thông điệp VTP tất port trunk Nếu switch cấu hình mode client, tạo, chỉnh sửa xóa VLAN Nó làm công việc sau: + Đáp ứng sư thay đổi từ server + Gửi thông tin VTP port trunk Switch chế độ Transparent chuyển tiếp thông tin VTP mà nhận không quan tâm đến nội dung thông điệp Transparent switch nhận thông tin cập nhật VTP từ server không cập nhật vào sở liệu, đồng thời cấu hình VLAN thay đổi không gửi thông báo đến switch khác Ở mode transparent tạo, chỉnh sửa xóa VLAN mang tính chất địa phương, tức có tác dụng thân Khi cấu hình VLAN switch ta nên đưa vào tên miền lựa chọn switch ứng với mode cho thuận tiện cho công việc quản lý bảo mật Một số câu lệnh cấu hình VTP cho switch: Switch#vlan database Switch(vlan)# vtp domain bachkhoa Switch(vlan)#vtp server client transparent Swtich(vlan)#vtp password dientu Router Router thiết bị hoạt động tầng mô hình OSI Nhiệm vụ chủ yếu router định tuyến gói tin điều khiển liên kết VLAN Mỗi cổng router vùng broadcast domain, router chia nhỏ vùng broadcast domain Ngoài ra, tính quan trọng router có khả chọn đường tối ưu gói tin tới đích Router dùng nhiều loại hình mạng ISDN, Frame Relay… Đây thiết bị có độ mềm dẻo cao, router Cisco dùng firewall thực thụ, điều thuận tiện cho người sử dụng Password truy cập 38 Router có mode để truy cập vào nó, user mode privileged mode Mode user mode kết nối với router Truy cập vào mode user kiểm tra kết nối xem thông tin dạng bảng thống kê quyền thay đổi cấu hình thiết bị, xâm nhập trái phép mức không nguy hiểm Trong mức privileged thay đổi cấu hình, chí xóa bỏ cấu hình, đặt lại password Để đảm bảo an toàn, đặt password cho mức lệnh sau: + Lệnh đặt password cho mức privileged, password bachkhoa Router(config)#enable password bachkhoa Password có dạng clear text Để mã hóa password dùng lệnh Router(config)#enable secret bachkhoa +Lệnh đặt password cho cổng consol telnet Router(config)#line consol Router(config-line)#password bachkhoa Router(config-line)#line vty 15 Router(config-line)#password bachkhoa Router(config-line)#login Để đảm bảo tính an toàn cho thiết bị hệ thống, nên loại bỏ tất dịch vụ mà ta không sử dụng, hay dịch vụ tạo lỗ hổng cho kẻ công lợi dung xâm nhập vào thiết bị Trên router có số dịch vụ mặc định sử dụng Trên router Cisco chạy giao thức CDP (Cisco Discovery Protocol) Giao thức cho phép người sử dụng quan sát thông số thiết bị sử dụng, trạng thái hoạt động, quan hệ với thiết bị khác để đưa phương pháp quản lý thích hợp Đây giao thức giúp đỡ nhiều cho việc cấu sửa chữa lỗi xảy router, dó kẻ công vào thiết bị công cụ hữu ích chúng Để ngừng hoạt động CDP ta gõ lệnh no cdp cổng router mà ta không cho phép hoạt động Access Control Lists Một phương pháp bảo vệ áp dụng phổ biến router ACLs ACLs cho phép hay ngăn chặn moojt số địa IP qua router Đây câu lệnh để định nghĩa ACLs: 39 Router(config)#access-list permit 5.6.0.0.0.0.255.255 Router(config)#access-list deny 7.8.0.0.0.0.255.255 Ở trạng thái mặc định dòng cuối ACLs deny any Sau tạo ACLs cần phải gán vào cổng router: Router(config)#interface fa0/0 Router(config-if)#ip access-group in Sau câu lệnh tất địa dải 5.6.0.0/16 vào cổng fa0/0, đồng thời tất địa dải 7.8.0.0/16 không vào cổng fa0/0 router Ngoài cấu hình ACLs để chấp nhận hay từ chối việc sử dụng dịch vụ địa mạng (extended ACLs) Router(config)#access-list 101 permit tcp 172.16.4.0.0.0.255 any eq telnet Router(config)#access-list 101 permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 Router(config)#access-list 101 permit ip any any Ở dòng ACLs cho phép mạng 172.16.4.0 thực telnet đến mạng khác Dòng thứ thứ từ chối dịch vụ FTP từ mạng 172.16.4.0 đến mạng 172.16.3.0 Dòng cuối cho phép tất dịch vụ ip khác ACLs gắn vào cổng router: Router(config)#interface fa0/0 Router(config-if)#ip access-group 101 out Tương tự vậy, ta cho phép dịch vụ phép hay vào mạng đó, cách ta ngăn chặn truy cập không mong muốn vào mạng Ở ACLs không sử dụng subnet mask mà sử dụng wildcard mask Một cách đơn giản, hiểu wildcard ngược lại với subnet Ví dụ subnet mask 255.255.0.0 wildcard tương ứng với 0.0.255.255 40 ACLs cấu hình router làm cho có chức firewall Thông thường router vị trí trung gian mạng bên mạng bên cấu hình, cách ly toàn hệ thống mạng bên tránh bị công Ngoài cấu hình ACLs router trung gian kết nối hai phần hệ thống mạng để kiểm soát lưu lượng qua lại hai phần Thông qua cách cấu hình router ta ngăn chặn công phương pháp DoS DdoS cách cấm không cho router sử dụng chức gửi broadcast băng lệnh no ip directed broadcasstRouting Ngoài cách để đảm bảo việc định tuyến gói tin an toàn xác router ta sử dụng giao thức định tuyến động RIP, IGRP, EIGRP, OSPF Đây giao thức đảm bảo việc định tuyến gói tin cách nhanh lại đảm bảo tính xác thực thông tin gửi nhận CHƯƠNG 3: XÂY DỰNG CHƯƠNG TRÌNH DEMO GIẢI PHÁP BẢO MẬT CHO CÔNG TY TNHH TRUYỀN THÔNG VÀ CÔNG NGHỆ BIGDIGITAL VIỆT NAM SỬ DỤNG GIAO THỨC VLAN ACCESS LIST 3.1 Sơ đồ demo 41 Hình 3.1: Sơ đồ hệ thống mạng công ty Bigdigital 3.2 Cấu hình hệ thống Cấu hình cho hệ thống + Trước hết, cấu hình cho Switch: - Vào chế độ đặc quyền: Switch> enable - Vào chế độ cấu hình tổng thể: Switch# configure - Đặt tên cho Switch: Switch(config)# hostname SW - Thiết lập bảo mật mật enable: SW(config)# enable password nguyenhang SW(config)# enable secret 290490 - Thiết lập mật cổng console: SW(config)# line console SW(config-line)# password nguyen SW(config-line)# login SW(config-line)# exit 42 - Thiết lập mật truy nhập từ xa (Telnet) SW(config)# line vty 15 SW(config-line)# password cisco SW(config-line)# login SW(config-line)# exit Sử dụng lệnh : SW# show run kết sau: Hình 3.2: Cấu hình đặt mật cho switch + Thiết lập Vlan cho tầng: Tầng 1: - Thiết lập Vlan 10 SW1(config)# interface vlan 10 SW1(config-if)# ip address 192.168.1.1 255.255.255.0 SW1(config-if)# no shut SW1(config-if)# exit - Thiết lập Vlan 11 SW1(config)# interface vlan 11 43 SW1(config-if)# ip address 192.168.4.1 255.255.255.0 SW1(config-if)# no shut SW1(config-if)# exit Hình 3.3: Tạo Vlan10 Vlan11 cho Switch1 - Cài đặt giao diện Fastethernet Interfaces SW1(config)# interface fastethernet 0/1 SW1(config-if)# description SW1-SW5 SW1(config-if)# no shut SW1(config-if)# exit SW1(config)# interface range fastethenet 1/1 -4 SW1(config-if-range)#switchport access vlan 10 SW1(config-if-range)# exit 44 Hình 3.4: Đặt cổng tương ứng cho Vlan10 SW1(config)# interface range fastethenet 1/5 -8 SW1(config-if-range)#switchport access vlan 11 SW1(config-if-range)# exit Hình 3.5: Đặt cổng tương ứng cho Vlan11 Tầng 2: +Thiết lập Vlan 10 SW3(config)# interface vlan 10 45 SW3(config-if)# ip address 192.168.1.4 255.255.255.0 SW3(config-if)# no shut SW3(config-if)# exit +Thiết lập Vlan 20 SW2(config)# interface vlan 20 SW2(config-if)# ip address 192.168.2.1 255.255.255.0 SW2(config-if)# no shut SW2(config-if)# exit +Thiết lập Vlan SW5(config)# interface vlan SW5(config-if)# ip address 192.168.0.1 255.255.255.0 SW5(config-if)# no shut SW5(config-if)# exit Tầng 3: +Thiết lập Vlan 30 SW4(config)# interface vlan 30 SW4(config-if)# ip address 192.168.3.1 255.255.255.0 SW4(config-if)# no shut SW4(config-if)# exit - Cài đặt giao diện Fastethernet Interfaces 46 SW4(config)# interface fastethernet 0/1 SW4(config)# description SW4-SW5 SW4(config-if)# no shut SW4(config-if)# exit Ping PC 15(vlan 10) với PC PC (vlan10) Ping PC 15 với PC 20 (vlan 30) : Hình 3.6: Ping từ PC 15 tới PC khác Cấu hình bảo mật cho hệ thống mạng Cấu hình Vlan Accest-list - Cấu hình access-list SW4(config)# ip access-list extended SWAllow1 SW4(config-ext-nacl)# permit tcp host 192.168.3.6 host 192.168.3.7 eq telnet SW4(config-ext-nacl)# exit 47 SW4(config)# ip access-list extended SWBlock1 SW4(config-ext-nacl)#deny tcp host 192.168.3.4 0.0.0.254 host 192.168.3.6 0.0.0.254 eq telnet SW4(config-ext-nacl)# exit SW4(config)# ip access-list extended SWDefault1 SW4(config-ext-nacl)# permit tcp any any SW4(config-ext-nacl)# exit - Kiểm tra thông tin Access-list SW4# show ip access-list Hình 3.7: Kết tạo access-list switch4 Tiếp theo thực lệnh cho phép host có địa 192.168.3.6 truy cập web vào host 192.168.3.7 Và cấm gửi gói tin smtp qua host 192.168.3.7 48 Hình 3.8: Tạo access-list cho switch4 kết đồ hình: Hình 3.9: Show access-list cho switch4 Với lệnh ta tạo ACL, ACL cho phép pc phòng phó giám đốc truy cập World Wide Web pc phòng giám đốc ACL cấm gói tin Simple Mail Transport Protocol (25) từ phòng phó giám đốc truyền tới phòng giám đốc Tại phòng kỹ thuật, thực lệnh cấm ip lẻ truy cập Web: Hình 3.10: Lệnh cấm ip lẻ truy cập web Kết đạt thực lệnh: show ip access-list switch2: 49 Hình 3.11: Show kết switch Trên switch thực telnet tới địa 192.168.2.10: Hình 3.12: Telnet tới PC9 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết luận Qua thời gian tìm hiểu học hỏi, với giúp đỡ tận tình thầy cô giáo trường đại học Công nghệ thông tin Truyền thông em hoàn thành đề tài “Triển khai & tkiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST” Đề tài đáp ứng kiến thức cho việc tìm hiểu hệ thống mạng VLAN , việc thiết kế, xây dựng, bảo mật hệ thống mạng Với đề tài này, hiểu rõ địa IP cách phân chia chúng cho đáp ứng với nhu cầu phát triển mạng nay, có nhìn sâu giao thức bảo mật Vlan Access-List Nắm bắt kỹ thuật bảo mật 50 hệ thống mạng để từ có cách bảo mật hệ thống mạng phù hợp với thực trạng công ty Hướng phát triển Đề tài “Triển khai & tkiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST”, phần đưa nhìn tổng quan hệ thống mạng Vlan giao thức bảo mật Vlan-Access-List Với cách chia mạng Lan ảo hợp lý Từ đây, tìm giải pháp xây dựng hệ thống bảo mật từ giao thức VACLs với cách bảo mật an toàn TÀI LIỆU THAM KHẢO Website [1] http://networking.ringofsaturn.com/Cisco/accesslists.php [2] https://trongky.files.wordpress.com/2007/11/clarofgw.pdf [3] http://vnpro.org/forum/showthread.php/17655-access-list-tren-vlan.html [4] https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/4_1/nxos/security/configuration/guide/sec_nx-os-cfg/sec_vlanacls.pdf 51 [5] http://vnpro.org/forum/showthread.php/5888-lab-20-2-vlan-access-list.html 52 [...]... Vlan access- map acl-mac-map Match mac address acl-mac-01 Action forward Vlan filter acl-mac-map vlan- list 50-82 CHƯƠNG 2: KHẢO SÁT & PHÂN TÍCH THIẾT KẾ HỆ THỐNG MẠNG TẠI CÔNG TY TNHH TRUYỀN THÔNG VÀ CÔNG NGHỆ BIGDIGITAL VIỆT NAM 2.1 Giới thiệu về Công ty TNHH Truyền thông và Công nghệ Bigdigital Công ty TNHH Truyền thông và Công nghệ Bigdigital với địa chỉ: Số 52 đội 2, Phường Mỹ Đình 2, Quận Từ Liêm-Hà... tiến trình thiết kế và cài đặt mạng 29 2.5 Bảo mật hệ thống mạng cho Công ty Bigdigital bằng giao thức VACLs Trước hết chia hệ thống mạng thành các Vlan như đồ hình: 30 Hình 2.8 : Mô hình Vlan của công ty Bigdigital Chúng ta đi cấu hình cụ thể cho từng Vlan Các bước cấu hình: - Thiết lập các Vlan cho các tầng: Tầng 1: Thiết lập Vlan 10 và Vlan 11 Hình 2.9: Đặt địa chỉ Ip cho các Vlan tầng 1 31 Tầng... hỏi về băng thông của các ứng dụng trên mạng, Đánh giá công suất mạng đáp ứng khi người sử dụng tăng đột biến tại các điểm cổ chai + Các yêu cầu về quản lý mạng Phân tích yêu cầu về ứng dụng: Các ứng dụng cần triển khai nhanh trên mạng Các ứng dụng có khả năng triển khai trong tương lai, Số người sử dụng trên từng ứng dụng, Giải thông cần thiết cho từng ứng dụng, Các giao thức mạng cần dùng, và sẽ dùng,... phù hợp cho các chi nhánh của họ Còn tại trung tâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như: 13 Hình 1.2: Sơ đồ mạng cho doanh nghiệp cỡ vừa Tổng quan về giao thức Vlan Access List Giới thiệu về giao thức Vlan Access List Vlan Access- list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng Cho phép kiểm soát lưu lượng chạy trên Switch Khi cấu hình Vlan Access- list người... là thiết kế giải pháp để thỏa mãn những yêu cầu đặt ra trong bảng Đặc tả yêu cầu hệ thống mạng Việc chọn lựa giải pháp cho một hệ thống mạng phụ thuộc vào nhiều yếu tố như: Kinh phí dành cho hệ thống mạng Công nghệ phổ biến trên thị trường Thói quen về công nghệ của khách hàng Yêu cầu về tính ổn định và băng thông của hệ thống mạng Ràng buộc về pháp lý Giải pháp thiết kế mạng sẽ tuân theo yêu cầu thiết. .. cáo Thiết kế sơ đồ mạng logic Thiết kế sơ đồ mạng logic liên quan đến việc chọn lựa mô hình mạng, giao thức mạng, công nghệ kết nối Mô hình mạng được chọn phải hỗ trợ được tất cả các dịch vụ theo yêu cầu của Công ty TNHH Bigdigital Đối với kích thước mạng và số lượng máy lớn thì giao thức sử dụng cho mạng là TCP/IP 22 Mỗi mô hình mạng có yêu cầu thiết đặt cấu hình riêng Những vấn đề chung nhất khi thiết. .. dàng và thường xuyên có sự cập nhật thông tin với bên ngoài qua mạng Internet Đặt bài toán Bài toán đặt ra: Xây dựng hệ thống mạng LAN cho Công ty TNHH Truyền thông & Công nghệ Bigdigital Việt Nam Công ty Bigdigital có một cơ sở, vật chất khá đầy đủ và hiện đại Các phòng ban thông qua mạng LAN có thể trao đổi thông tin, liên lạc với nhau một cách dễ dàng, nhanh chóng và thường xuyên có sự cập nhật thông. .. lời trong giai đoạn này là: Bạn thiết lập mạng để làm gì? Sử dụng nó cho mục đích gì? Các máy tính nào sẽ được nối mạng? Những người nào sẽ được sử dụng mạng, mức độ khai thác sử dụng mạng của từng người/ nhóm người ra sao? Phương pháp thực hiện của giai đoạn này là phải phỏng vấn khách hàng Cụ thể ở đây là Công ty Truyền thông & Công nghệ Bigdigital Việt Nam 19 Một công việc cũng hết sức quan trọng... giữa Công ty TNHH Bigdigital với các Công ty khác, mức độ thường xuyên và lượng thông tin trao đổi Điều này giúp ta trong việc chọn băng thông cần thiết cho các nhánh mạng sau này Phân tích Mục tiêu của hệ thống: hệ thống LAN và truy cập từ xa, cho Công ty TNHH Bigdigital được thiết kế nhằm đảm bảo các mục tiêu sau đây: Hệ thống này được xây dựng tại Công ty TNHH Bigdigital- thành phố Hà Nội Các hệ... lượng: IP, TCP,www… Tùy vào chính sách của nhà quản trị mạng có thể lọc bỏ hoặc cho các loại thông tin đó lưu thông trong mạng Vlan Access- list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan) Vlan Access- list có các đặc tính như Router Access- list (RACLs) có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin Truy cập Maps và Entries VACLs dùng Access Maps để chứa danh