1 Bài MẠNG DOANH NGHIỆP VÀ THIẾT KẾ AN NINH TS Nguyễn Hồng Sơn NỘI DUNG • THIẾT KẾ MẠNG DOANH NGHIỆP • THIẾT KẾ AN NINH MẠNG THIẾT KẾ MẠNG DOANH NGHIỆP NỘI DUNG • THIẾT KẾ MẠNG PHÂN CẤP • TOPO MẠNG CĨ DỰ PHỊNG • THIẾT KẾ MẠNG MODULE • THIẾT KẾ TOPO MẠNG CAMPUS • THIẾT KẾ TOPO CHO ENTERPRISE EDGE THIẾT KÊ MẠNG PHÂN CẤP (Hierarchical Network) • Theo mơ hình thiết kế mạng phân cấp: phát triển topo dạng lớp rời rạc • Core layer • Dstribution layer • Access layer • Mỗi lớp tập trung vào chức đặc biệt, cho phép chọn hệ thống đặc tính phù hợp Flat network Topology • Phù hợp cho mạng nhỏ • Mỗi thiết bị liên mạng có nhiệm vụ • Khi có cố phải kiểm tra tồn mạng • Topo mạng Flat WAN • Gồm nhiều điểm kết nối thành vòng • Mỗi điểm router kết nối với hai router kế qua P2P link • Các giao thức định tuyến hội tụ nhanh • Thơng tin phục hồi link bị hỏng Các Flat LAN topology • Đầu thập niên 1990 thiết kế tiêu biểu cho LAN PC Server nối vào hay nhiều Hub theo flat topology • Ngày thay Hub Switch (lớp 2) • Mesh topology ~ nhu cầu khả dụng (availability) • Full-mesh topology • Partial-mesh topology 10 Các Flat LAN topoogy (2) • Số link full-mesh: n*(n-1)/2 • Chi phí cao, khó bảo trì sửa chữa hay nâng cấp • Lưu lượng quảng bá cho định tuyến tăng 97 WAN router • Cài đặt lọc vào/ra theo RFC 2827, RFC 1918, bogon filtering • Có thể bổ sung uRPF • Cài đặt lọc ICMP • Có thể sử dụng xác thực giao thức định tuyến • Cài đặt CAR để chống DDoS 98 Ethernet Switch • Tất switch nên thực theo thủ tục an toàn cho giao thức điều khiển lớp • Luôn dùng VLAN ID cho tất trunk ports • Tránh dùng VLAN • Cài đặt tất user ports thành nontrunking • Triển khai port security cho user ports • Chọn hay nhiều tùy chọn an ninh ARP • Mở tính giảm nhẹ cơng STP (BPDU Guard, Root Guard) • Dùng PVLAN chỗ thích hợp • Dùng MD5 authentication cho VTP cần dùng VTP • Với thiết bị Cisco cấm CDP khơng cần đến • Cấm tất port khơng dùng nhóm chúng VLAN khơng dùng • Ngăn chặn cơng DHCP • Cấu hình port security public server switch • Dùng VLAN để hỗ trợ quản lý an ninh thiết bị • Nếu ARP inspection có sẵn switch dùng mạng chứa public server nên cho phép tính • Cấu hình Private VLAN public server switch để tách biệt public server không cần thông tin trực tiếp với 99 Public server • Xác thực đăng nhập mật (dùng lại) • Dùng PKI/sessionapp crypto: Nếu public servers cung cấp kết nối HTTPS, cần có chứng nhận từ nguồn tin cậy Internet • Củng cố hệ điều hành ứng dụng • Kiểm tra tính tồn vẹn file system • Dùng host antivirus/host IDS 100 Kết nối Internet • Khi có nhu cầu kết nối từ xa qua mạng Internet, dùng VPN • Với mạng vành đai nhỏ kết nối site-to-site dùng preshared key đủ, không cần tạo hầm GRE (generic route encapsulation tunnel) • Với remote user dùng preshared key nhóm, muốn mở rộng dùng OTP • Direct access identity spoofing mối đe dọa VPN Có thể ngăn chặn hai mối đe dọa kết hợp network crypto cấu OTP 101 102 An ninh mạng campus • Mạng campus cỡ nhỏ • Thiết kế tiêu biểu • Phân tích nguy an ninh • Đề xuất áp dụng giải pháp an ninh cho phận 103 Thiết kế tiêu biểu 104 Các nguy an ninh • Identity spoofing • Virus/worm/Trojan horse • Rogue devices • Sniffer • Man-in-the-middle • War dialing/driving • Direct access • ARP redirection/spoofing • Remote control software • Buffer overflow 105 Đề xuất áp dụng giải pháp an ninh cho phận • Ethernet Switch • Internal Servers • User Hosts • WLAN AP • AAA Server 106 Ethernet Switch • Cài đặt STP BPDU Guard tất PC port để ngăn chặn cố spanning tree vơ tình hay cố ý • Hạn chế số địa MAC port switch Dùng port security • Dùng VLAN để hỗ trợ quản lý an ninh • Cho phép chức kiểm duyệt ARP hỗ trợ Có thể dùng cơng cụ ARPwatch • Có thể dùng private VLAN để tách biệt hệ thống • Nếu có thể, triển khai DHCP snooping hay VLAN ACL để ngăn chặn hầu hết cơng DHCP 107 Internal Servers • Xác thực với cặp username/password • Sử dụng mật mã cho phiên ứng dụng nhạy cảm • Củng cố thân OS/application • Sử dụng cơng cụ kiểm tra hệ thống file • Sử dụng host antivirus, triển khai hệ thống (server hay client) 108 User Hosts • Dùng xác thực đăng nhập với username/password • Củng cố thân OS/appplication, tận dụng chế tự động vá lỗ hổng OS ứng dụng • Sử dụng host antivirus 109 WLAN AP • Dùng VLAN để tách biệt lưu lượng khơng dây • Củng cố thiết bị 110 AAA server • Bất triển khai AAA server tuân theo đề nghị an ninh cho server internal server • Kỹ thuật an ninh bổ sung thêm AAA server RADIUS/TACACS+ 111 HẾT BÀI