XÂY DỰNG HỒ SƠ THIẾT KẾ MẠNG CHO CÔNG TY ABC Tên: Nguyễn Thị Phương Mai MSSV: 14110113 MỤC LỤC I.Khảo sát phân tích trạng: .2 Khảo sát yêu cầu khách hàng: 2 Phân tích trạng: 2.1 Cơ sở vật chất: 2.2 Mục tiêu : 2.3 Mặt triển khai: II Đề xuất giải pháp: Thiết bị sử dụng: .7 III Thiết kế mô hình mạng: .7 Mơ hình mạng Campus Enterprise: 1.1 Giới thiệu mạng Campus: 1.2 Sơ đồ logic cho trụ sở chính: 3.2 Sơ đồ vật lý cho trụ sở chính: .9 1.4 Mơ hình lớp: .11 1.5 Ưu điểm mơ hình Campus Enterprise: 13 I.Khảo sát phân tích trạng: Khảo sát yêu cầu khách hàng: Công ty ABC gồm trụ sở chi nhánh:  Trụ sở (HCM): bao gồm tầng: - Tầng nơi đặt datacenter lưu liệu, cung cấp dịch vụ, ứng dụng cho tồn cơng ty có phịng họp - Server, Web, Mail Application - Có wifi đảm bảo cho tất nhân viên truy cập mạng - phòng ban, 50 nhân viên/1 phòng ban - Lượng truy cập tối đa 10000 truy cập thời điểm  chi nhánh (Hà Nội, Đà Nẵng, Cần Thơ), chi nhánh có: - phòng ban, 20 nhân viên/phòng ban - Đảm bảo kết nối mạng tới trụ trở sử dụng ứng dụng cập nhật liệu Điều kiện địa lý: phòng ban làm việc nhân viên tầng datacenter trụ sở phải xây thành tồ nhà tầng diện tích 200 mxm, trụ sở lại trụ sở tòa nhà tầng với diện tích Phân tích trạng: 2.1 Cơ sở vật chất: - Các thiết bị chưa có (Server, Router, Switch, Firewall, dây mạng, đầu cáp mạng, PC,…) - Các phòng xây, chưa thiết kế hệ thống mạng có phịng vật lý - Hệ thống mạng công ty ABC hệ thống mạng WAN-LAN lớn có xu hướng mở rộng địi hỏi công nghệ cao, khả thay đổi cập nhật lớn 2.2 Mục tiêu : - Cung cấp dịch vụ internet (mạng khơng dây mạng có dây): chi nhánh kết nối mạng trụ sở để sử dụng ứng dụng, cập nhật liệu, tất nhân viên kết nối Wifi nội bộ, khách hàng truy cập wifi public tồn cơng ty, tất máy tính tồn cơng ty trao đổi thơng tin với - Cung cấp dịch vụ, ứng dụng, phần mềm văn phòng,… - Cung cấp dịch vụ máy Fax, máy in,… - Xây dựng chiến lược lưu, phục hồi cho hệ thống Đảm bảo tính mở rộng dễ dàng nâng cấp cần thiết - Đường truyền hợp lý, băng thông ổn định đáp ứng 10000 truy cập thời điểm - Đảm bảo tính bảo mật, ổn định tồn hệ thống, chống cơng bên ngồi bên mạng nội - Đảm bảo tính thẩm mỹ hệ thống bao gồm dây, vị trí lắp đặt thiết bị - Đảm bảo tính sẵn sàng dễ dàng việc quản trị hệ thống - Kinh phí phù hợp với điều kiện tiêu công ty ABC đặt 2.3 Mặt triển khai: - Tất trụ sở chi nhánh chưa triển khai mạng - Công ty thuê đường dây Lease Line để kết nối internet vào tầng - Có thể tùy ý thiết kế, lựa chọn thiết bị phù hợp đem lại hiệu cao - Tự lắp đặt vị trí thiết bị mong muốn Bộ máy tổ chức tên phòng ban: - Trụ sở chính: Tầng 2(C) 3(D) 4(E) 5(F) STT 4 10 11 12 13 14 15 16 17 18 19 Phòng ban Phòng họp A Phòng họp B Data center Phòng Intern server Phòng CA Phòng CB Phòng CC Phịng quản lí tầng C Phịng DA Phịng DB Phịng DC Phịng quản lí tầng D Phịng EA Phịng EB Phịng EC Phịng quản lí tầng E Phịng FA Phịng FB Phịng FC Phịng quản lí tầng F Trụ sở Hà Nội: Trụ sở Đà Nẵng: Trụ sở Cần Thơ: II Đề xuất giải pháp: Giải pháp hạ tầng: 1.1 Giải pháp hạ tầng máy chủ: Giải pháp hạ tầng cho công ty ABC máy chủ bao gồm: - Nhóm máy chủ quản lý giám sát hệ thống - Nhóm máy chủ cung cấp dịch vụ hạ tầng (xác thực/định danh, chia sẻ file in ấn, lưu dự phòng) - Nhóm máy chủ chạy ứng dụng quản lý nội - Nhóm máy chủ cung cấp dịch vụ trao đổi với bên (web, mail, proxy, tường lửa) Phân hoạch: Vùng Máy chủ: Bao gồm máy chủ phục vụ cho hoạt động Trong mơi trường đầy đủ, vùng phải bao gồm môi trường máy chủ khác Môi trường vận hành (production), Mơi trường dự phịng (backup), Mơi trường đào tạo / kiểm thử (training / testing) Vùng thiết kế bao gồm toàn tất máy chủ môi trường đặt VLAN Vùng Truy cập: thuộc phạm vi hoạt động phòng nghiệp vụ, chứa máy trạm làm việc Giải pháp: Để đảm bảo hoạt động liên tục an ninh hệ thống máy chủ chạy ứng dụng tập trung, cần thiết phải trì môi trường đặt máy chủ riêng tách rời khỏi môi trường làm việc trang bị số thiết bị hỗ trợ sau: - Bộ lưu điện: Cần bổ sung thêm lưu điện 3KVA cho hệ thống máy chủ - Máy phát điện: Cần trang bị 01 máy phát điện hỗ trợ cho môi trường máy chủ trường hợp điện cục - Báo cháy: Cần trang bị hệ thống báo cháy chỗ, lắp đặt cho môi trường máy chủ 1.2 Giải pháp hạ tầng mạng cục bộ: Mạng cục nhà phục vụ nhu cầu trao đổi / chia sẻ tài nguyên cục phòng hạ tầng chạy ứng dụng nghiệp vụ cho toàn đơn vị nhà trường Về vị trí phịng ban có thay đổi mở rộng khối nhà Do mạng cần đạt yêu cầu sau thiết kế - Có hiệu suất cao đoạn kết nối lõi Tiêu chuẩn đề xuất Gigabit Ethernet với cáp CAT5e trở lên, switch thuộc phân đoạn cần hỗ trợ cổng 1000Base-T Các phân đoạn khác trì chuẩn Fast Ethernet với ổn định chi phí tiết kiệm - Cho phép chia mạng thành phân đoạn mạng riêng biệt để đảm bảo an ninh giảm xung đột liệu, tăng hiệu suất mạng Các switch cần hỗ trợ VLAN để tạo mạng cục ảo nhóm người dùng phịng ban khác Có khả mở rộng nút mạng mà khơng ảnh hưởng tới kiến trúc thiết kế 1.2 Phân chia VLAN: VLAN1: Dùng cho vùng Internal server VLAN2: Dùng cho vùng DMZ server VLAN3 - VLANXX: Dùng cho phòng ban, phịng VLAN mở rộng có Các giải pháp dịch vụ: Ngày nay, với điều kiện kinh tế ngày phát triển, công ty lớn nhỏ ngày xuất nhiều Mỗi công ty muốn phát triển đứng vững kinh tế thị trường, điều quan trọng phải áp dụng tốt công nghệ thông tin vào việc xây dựng quản lí cơng ty Cơng ty ABC cơng ty lớn với trụ sở, chi nhánh tương lai mở rộng hơn, việc áp dụng giải pháp dịch vụ vào hệ thống mạng, hệ thống quản lý, kho liệu điều tất yếu Với dịch vụ đề xuất cho công ty ABC hệ điều hành, dịch vụ DHCP, dịch vụ DNS, giao thức định tuyến,… giúp việc quản trị dễ dàng nhiều: - Vận hành ổn định với hiệu cao, đảm bảo hệ thống hoạt động liên tục, ổn định 24/7 - Tiết kiệm thời gian, hạn chế rủi ro cố hệ thống mạng, giảm thiểu thời gian gián đoạn công việc trì hiệu suất làm việc - Thơng qua hoạt động dự báo ngăn ngừa cố, cơng ty hồn tồn n tâm để tập trung vào hoạt động nghiệp vụ chính, đồng thời chủ động việc lên kế hoạch sản xuất – kinh doanh - Giảm thiểu chi phí CNTT: Thực tế cho thấy, doanh nghiệp tiết kiệm nhiều chi phí chủ động áp dụng giải pháp phòng ngừa cố cho hệ thống mạng, hệ thống liệu thơng tin… doanh nghiệp, thay phải trả tiền để hồi phục hệ thống mạng gặp cố - Đa dạng gói dịch vụ II.1 Hệ điều hành: Chúng đề xuất sử dụng hệ điều hành Window Professional cho máy tính nhân viên Hệ điều hành Win hệ điều hành trực quan cho phép tùy biến giao diện, dễ sử dụng người làm việc văn phòng không chuyên công nghệ thông tin Win ổn định với khả tận dụng phần cứng tốt, tiện ích đủ đáp ứng với cơng việc văn phịng Win tương thích hỗ trợ kết nối với thiết bị cũ, thiết bị cập nhật thường xuyên (thiết bị y tế, …) không hệ điều hành phiên Win 8, win 8.1, win 10,… Các máy server sử dụng hệ điều hành Ubuntu Server 17.10 CentOS Linux hệ điều hành mã nguồn mở nên khơng cần chi phí cao cho việc cấp giấy phép hệ điều hành khác, nhóm máy chủ Linux đảm bảo bảo mật Window tốc độ khả xử lý cao 2.2 Dịch vụ DHCP: Chúng lựa chọn sử dụng dịch vụ DHCP để gán địa IP cấp phát liệu cấu hình TCP/IP cho máy tính nhân viên cách tự động Ưu điểm DHCP là: - Quản lý TCP/IP tập trung: Máy chủ DHCP quản lý địa IP tham số hình quản lý Như thuận tiện cho việc theo dõi thông số, quản lý máy nhân viên - Giảm gánh nặng quản lý hệ thống: IP đánh tự động nhờ máy chủ DHCP giúp quản lý IP khoa học khơng có nhầm lẫn sửa đổi IP - Giúp hệ thống mạng ổn định: Các địa IP nhất, không trùng lặp IP giảm bớt cố, giúp hệ thống mạng hoạt động ổn định - Khả mở rộng linh hoạt: Người quản trị dễ dàng thay đổi cấu hình, thơng số kỹ thuật địa IP giúp việc nâng cấp sở hạ tầng mạng thuân tiện, dễ dàng Sau cài đặt DHCP, người quản trị tạo DHCP Scope dễ dàng cho việc phân hoạch IP cho phòng ban 2.3 Dịch vụ DNS: DNS (Domain Name System) hệ thống chuyển đổi tên miền sang địa IP vật lý tương ứng tên miền DNS giúp liên kết với trang thiết bị mạng cho mục đích định vị địa hóa thiết bị Internet Q trình "dịch" tên miền thành địa IP để truy cập vào máy tính khác cơng việc DNS server Các DNS trợ giúp qua lại với để dịch địa "IP" thành "tên" ngược lại Người sử dụng cần nhớ "tên", không cần phải nhớ địa IP (địa IP số khó nhớ) Dùng DNS server dễ dàng cho q trình cập nhật quản lí máy tính domain, thay đổi không cần cập nhật lại tất máy tính, client muốn truy xuất với client khác cần thông qua DNS server Giải pháp cho Công ty ABC dùng Active Directory, DNS, DHCP server với hệ điều hành Ubuntu Server 17.10 để phân giải tên miền, cấp phát IP động Từ tiết kiệm chi phí giúp cho việc quản lý máy tính dễ dàng, tận dụng tối đa tài nguyên nhân lực 2.4 Các giao thức định tuyến: Để đưa cách tối ưu tốc độ hội tụ, ổn định đường truyền, đưa giải pháp kết hợp giao thức định tuyến OSPF EIGRP OSPF (Open Shortest Path First) giao thức định tuyến link – state điển hình Đây giao thức sử dụng rộng rãi mạng doanh nghiệp có kích thước lớn Mỗi router chạy giao thức gửi trạng thái đường link cho tất router vùng (area) Sau thời gian trao đổi, router đồng bảng sở liệu trạng thái đường link (Link State Database – LSDB) với nhau, router có đồ mạng vùng Từ router chạy giải thuật Dijkstra tính tốn đường ngắn (Shortest Path Tree) dựa vào để xây dựng nên bảng định tuyến EIGRP (Enhance Interio Gateway Routing Protocol) giao thức định tuyến mở rộng IGRP, IGRP giao thức dạng classfull, EIGRP giao thức dạng Classless, nghĩa có mang theo subnet mask lần cập nhật EIGRP giao thức định tuyến lai (Hybrid Routing), kết hợp Distance Vector Link States EIGRP giao thức định tuyến theo vector khoảng cách nâng cao cập nhật bảo trì thơng tin láng giềng thơng tin định tuyến làm việc giống giao thức định tuyến theo trạng thái đường liên kết Việc kết hợp giao thức giải vấn đề khó khăn nhược điểm hai áp dụng lên hệ thống mạng cơng ty ABC Thiết kế, OSPF địi hỏi có thiết kế phân cấp, cần phải cân nhắc backbone area gồm đoạn nào, sau khó thay đổi, OSPF thình thoảng kéo đường truyền lên thời điểm làm tươi SPF database Nếu mạng có thiết bị Cisco nên dùng EIGRP, có thiết bị hãng khác dùng OSPF - Ưu điểm OSPF EIGRP: + OSPF (Open Shortest Path First): • Là giao thức định tuyến theo trạng thái đường liên kết • Sử dụng thuật tốn SPF để tính tốn chọn đường tốt • Chỉ cập nhật cấu trúc mạng có thay đổi + EIGRP (Enhanced Interior Gateway Routing Protocol) • Là giao thức định tuyến nâng cao theo vectơ khoảng cách • Có chia tải • Có ưu điểm định tuyến theovectơ khoảng cách định tuyến theo trạng thái đường liên kết • Sử dụng thuật tốn DUAL (Diffused Update Algorithm) để tính tốn chọn đường tốt • Cập nhật theo định kì mặc định 90 giây cập nhật có thay đổi cấu trúc mạng 2.5 Giải pháp Wireless: Sử dụng phát wifi (access point)với SSID hỗ trợ VLAN 802.1q SSID- Guest: sử dụng cho khách hàng khơng thiết lập khóa key, lập với mạng LAN truy cập internet SSID- Member: sử dụng cho thành viên cơng ty ABC có thiết lập bảo mật khóa key, có quyền truy cập vào LAN nội tùy chọn cho phép SSID- Manager: sử dụng cho giám đốc ban quản trị cơng ty ABC, tồn quyền truy cập Để đảm bảo việc bảo mật Wireless, đề xuất sản phẩm có tích hợp chuẩn bảo mật WEP(mã hóa 64 bit 128 bit), WPA,WPA2, chứng thực 802.1X Cơng ty bảo mật liệu bên mạng LAN đảm bảo máy tính sử dung Wireless Internet, đồng thơi ngăn máy khách truy cập lẫn muốn 2.6 Giải pháp VoIP: Giải pháp VoIP đề xuất cho công ty ABC xây dựng hệ thống tổng đài IP cho tồn cơng ty Cuộc gọi IP máy tính phịng ban phịng ban hồn tồn miễn phí Tất máy tính tồn cơng ty gọi PSTN đến thuê bao di động cố định ngồi nước Có thể mở rộng tương lai: Các số máy tính chi nhánh khác đăng ký vào tổng đài để gọi VOIP, gọi PSTN (giảm cước phí gọi) Ưu điểm tổng đài IP: - Các tính sẵn có tổng đài Analog: Call, Call forward, DND,… - Cuộc gọi hội nghị: nhiều chi nhánh kết nối với thành bàn hội nghị - Quản lí chi tiết gọi: thông tin máy, thời gian,cuộc gọi đến, gọi đi, gọi nhỡ,… - Ghi âm gọi: có lợi cho thỏa thuận đặt hàng Invoice phịng kinh doanh - Gởi, nhận voicemail tính khác, Chúng đề xuất giải phái IP PBX ( Private Branch Exchange) sử dụng mã nguồn mở Asterisk Asterisk đem đến cho người sử dụng tất tính ứng dụng hệ thống tổng đài PBX cung cấp nhiều tính mà tổng đài PBX thơng thường khơng có được, kết hợp chuyển mạch chuyển mạch TDM, khả mở rộng đáp ứng nhu cầu cho ứng dụng - Tổng đài IP mã nguồn mở tổng đài IP-PBX sử dụng theo mơ hình Softswitch làm tảng Phần mềm mã nguồn mở Asterisk cài đặt Server kết hợp với thiết bị Voice Gateway giả lập tổng đài IP PBX - Thiết bị Voice Gateway đặt bên PC Server, hướng kết nối với nhà cung cấp dịch vụ PSTN theo kiểu CO, E1/T1/J1, Bri, SS7 hướng kết nối với hệ thống mạng Lan/wan thông qua port mạng RJ45 PC server cài đặt phần mềm Mã nguồn mở Asterisk kết nối với mạng Lan/Wan qua card mạng RJ45 Người dùng sử dụng IP Phone gắn trực tiếp vào mạng Lan sử dụng điện thoại analog gắn thông qua thiết bị Voice Gateway loại FXS Trong giải pháp chọn thiết bị kết nối cổng Voice Gateway thường dùng Hãng AudioCodes độ tương thích cao, có khả mở rộng kết nối đa chi nhánh, giải pháp dự phòng (SAS)- trì thơng tin liên lạc thơng suốt có cố mạng Mơ hình logic tổng đài IP-PBX Asterisk: 10 tận dụng thuật toán tự học phân tích tiên đốn thích ứng với mơi trường bạn + Ảo hóa Bigdata: Đơn giản hóa việc quản lý sở hạ tầng liệu lớn bạn đồng thời mang lại hiệu chi phí VMware tảng tốt cho liệu lớn ứng dụng truyền thống + Di chuyển Legacy Unix sang Virtual Linux: Di chuyển sở hạ tầng IT UNIX sang Linux ảo Có hiệu suất cao, tính sẵn sàng nâng cao, khả VM lớn khả khôi phục thảm họa + Hiệu suất tính khả dụng ứng dụng nâng cao: Nâng cao hiệu ứng dụng tính sẵn có để tăng suất kinh doanh bạn Kiểm soát việc quản lý tài nguyên; tải khối lượng công việc cân ưu tiên truy cập vào nguồn lực để đảm bảo hiệu suất hàng đầu cho ứng dụng quan trọng bạn Cung cấp nhanh chóng triển khai khối lượng cơng việc môi trường ảo công ty + Hỗ trợ Văn phòng Từ xa Văn phòng Chi nhánh: Quản lý văn phòng văn phòng chi nhánh từ xa bạn với khơng có nhân viên CNTT địa phương Cho phép cung cấp nhanh chóng máy chủ thơng qua ảo hóa, giảm thiểu trơi dạt cấu hình máy chủ tăng cường khả hiển thị tuân thủ quy định, nhiều trang web Đảm bảo khả recovery Symantec System Recovery 2013 R2 hỗ trợ phục hồi liệu máy tính giải pháp đơn giản hiệu nhất, giúp cho doanh nghiệp bạn phục hồi liệu sau trình bị vơ hiệu hóa bị chờ nhờ thao tác đơn giản tiết kiệm thời gian chi phí Cùng với đó, Symantec System Recovery 2013 R2 mang đến tính vượt trội cơng nghệ Restore Anyware, với công nghệ này, cho phép quản trị viên CNTT nhanh chóng khơi phục lại xác họ cần dù khoảng thời gian hay nơi đâu với tiêu chuẩn cho phép (bao gồm toàn máy vật lý, máy ảo dù có khác phần cứng) Hơn nữa, điểm vượt trội lợi cạnh tranh Symantec Systemso với phần mềm khác phần mềm đưa cung cấp nhiều tảng Physical-to-Virtual (P2V), Virtual-to-Virtual (V2V), Virtual-toPhysical (V2P), làm cho Symantec System trở nên hoàn hảo hết hệ thống máy chủ thực hay ảo Lợi ích phần mềm System Recovery khơng thể không phủ nhận Phần mềm cho phép nhiều đối tượng khách hàng sử dụng hỗ trợ cập nhật cho 24 Windows, Linux, Vmware, Microsoft Hyper-V, Citrix XenServer Với System Recovery có thể: - Giảm thiểu thời gian chờ, tránh thiệt hại doanh thu hiệu làm việc trường hợp hệ thống bị gián đọan - Đáp ứng nhiều mục tiêu, cách xử lý đơn giản thời gian tối ưu với bước dễ dàng - Tiết kiệm thời gian chi phí phần cứng - Chủ động thực làm phần cứng chuyển đổi hệ thống - Đơn giản hoá việc quản trị IT cách quản lý tập trung lưu phục hồi cho nhiều máy chủ toàn tổ chức bạn với SystemRecovery Management Solution System Recovery Monitor Solution Các tính chính: Giải pháp lưu phục hồi cho máy chủ, desktop laptop giúp cho doanh nghiệp phục hồi vài phút với bước đơn giản - Phục hồi nhanh, tự động linh họat: + Khơi phục nhanh tồn hệ thống máy chủ (máy chủ vật lý máy chủ ảo) từ xa vài phút + Cho phép khách hàng làm nhiều việc lúc, tiếp tục phục hồi tập tin thư mục với tìm kiếm phục hồi nhiều điểm lúc + Nhanh chóng phục hồi đối tượng quan trọng Microsoft® Exchange SharePoint® bao gồm hộp thư, thư mục, tin nhắn cá nhân file đính kèm vòng vài giây + Chức tự động chép ổ đĩa bên ngoài, mạng máy chủ FTP từ xa + Tuỳ biến Symantec Recovery Disk tự động phát phần cứng nạp trình duyệt thích hợp để khởi động hệ thống kết nhanh + Tạo lưu phục hồi USB, tất một,cho phép nhanh chóng phục hồi khơỉ động nhanh chóng hệ thống - Khả ảo hố phù hợp với cơng nghệ + Tích hợp với VMware® Application Programming Interfaces (APIs) Data Protection (VADP) Microsoft® Volume Shadow Copy Service (VSS) + Thúc đẩy sức mạnh ảo hoá cho liền mạch tự động P2V qua định hướng giao diện dễ dàng + Tự động cập nhật Vmware virtual disk files (VMDK) chuyển đổi từ điểm phục hồi trực tiếp đến VMware ESX® hosts 25 + Đơn giản hóa việc kiểm tra di chuyển, cài đặt ứng dụng, thay đổi cấu hình, cập nhật trình điều khiển mơi trường ảo trước áp dụng thay đổi cho hệ thống sản xuất + Bảo vệ tất máy ảo hệ thống Hypervisor an toàn tuyệt giấy phép SymantecTM System Recovery Virtual Edition - Tích hợp mã hóa AES để đảm bảo an toàn tuyệt đối liệu kinh doanh quan trọng Dễ dàng chuyển đổi lịch trình điểm phục hồi vật lý (sao lưu) đến hệ thống ảo (P2V) Lịch trình khơi phục tự động chạy, bao gồm việc kích hoạt lưu dựa thơng số quản trị quy định cụ thể mà không gây ảnh đến người sử dụng Cho phép tạo giữ lưu hệ thống trạng thái tiền khởi động, mà không cần phải cài đặt phần mềm hệ thống với cơng nghệ hình cold imaging + Khả lưu tập tin thư mục chọn lọc theo trình tự riêng biệt vô hiệu + Lưu giữ hồi phục hầu hết tất ổ, bao gồm trực tiếp lưu trữ; USB, ổ FireWire mạng lưới lưu trữ; Network Attached Storage (NAS) Storage Attached Network (SAN) CD, DVD, Blu-ray + Xây dựng phần mềm mã hoá AES lưu đảm bảo sựan toàn liệu quan trọng - Lưu trữ hiệu Nhanh chóng lưu giảm thiểu lưu liệu với tích hợp SmartSector cơng nghệ nén Cơng nghệ SmartSector tăng tốc q trình lưu cách chép phần cứng có chứa liệu cơng nghệ nén làm giảm kích thước tập tin lưu cách lưu trữ lượng liệu với dung lựơng - Linh hoạt chi tiết báo cáo: + Đơn giản hoá việc theo dõi báo cáo + Cho phép người dùng dễ dàng theo dõi lịch sử, lịch trình lưu phục hồi tất vị trí + Xuất báo cáo csv, html, Microsoft Excel, PDF, xml để linh họat dễ dàng phân phối 26 3.1.3.1 Sự đáng tin cậy Symantec System Recovery bảo vệ triệu hệ thống 40 đất nước hỗ trợ giải thưởng lớn nghành phục hồi thảm hoạ Đó chiến thắng làm cho Symantec System Recovery tiêu chuẩn vàng khôi phục thảm họa V Thiết kế đảm bảo tính bảo mật: Thơng tin liệu cần bảo vệ: Trong cơng ty có nhiều thông tin mật bao gồm liệu nhân viên, kế hoạch, phương thức hoạt động, mục tiêu tương lai, tiền tệ, thông tin bị lộ Nếu bị lộ giúp đối thử cạnh tranh phân tích hoạt động, bất lợi cạnh tranh sụp đổ, ngồi hacker dựa vào để tóng tiền số nguy nghiêm trọng khác Việc bảo vệ liệu, tài nguyên công ty cấp thiết ưu tiên số công việc quản lí giám sát hệ thống mạng, hệ thống liệu doanh nghiệp Các rủi ro hệ thống mạng cơng có: Rủi ro hệ thống mạng: lỗ hổng bảo mật bao gồm điểm yếu hệ thống ẩn chứa dịch vụ hệ thống cung cấp, dựa vào tin tặc xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Có nhiều nguyên nhân gây lỗ hổng bảo mật: - Thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống - Các lỗ hổng cịn tồn tại hệ điều hành Windows XP, Windows NT, UNIX, hệ điều hành thiết bị router, modem ứng dụng thường xuyên sử dụng word processing, hệ Databases 27 - Do lỗi thân hệ thống, người quản trị yếu không hiểu sâu sắc dịch vụ cung cấp, người sử dụng có ý thức bảo mật Điểm yếu yếu tố người xem lỗ hổng bảo mật Các loại lỗ hổng bảo mật: – Lỗ hổng loại C: cho phép thực công kiểu DoS (Denial of Services – từ chối dịch vụ) làm ảnh hướng tới chất lượng dịch vụ, ngưng trệ, gián đoạn hệ thống, không phá hỏng liệu đạt quyền truy cập hệ thống – Lỗ hổng loại B: lỗ hổng cho phép người sử dụng có thêm quyền truy cập hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thơng tin – Lỗ hổng loại A: cho phép người hệ thống truy cập bất hợp pháp vào hệ thống, phá hủy tồn hệ thống Đề xuất giải pháp bảo mật: 3.1 Firewall: Firewall rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn truy cập thông tin không mong muốn từ vào hệ thống mạng nội ngăn chặn thông tin bảo mật nằm mạng nội xuất ngồi internet mà khơng cho phép Firewall thiết bị phần cứng phần mềm Nhiệm vụ firewall kiểm soát giao thơng liệu hai vùng có độ tin cậy khác Các vùng tin cậy điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) mạng nội (một vùng có độ tin cậy cao) Mục đích cuối cung cấp kết nối có kiểm soát vùng với độ tin cậy khác thơng qua việc áp dụng sách an ninh mơ hình kết nối dựa ngun tắc quyền tối thiểu Có hai loại tường lửa thơng dụng tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá nhân hay mạng cục bộ, tránh xâm nhập, cơng từ bên ngồi tường lửa ngăn chặn thường nhà cung cấp dịch vụ Internet thiết lập có nhiệm vụ ngăn chặn khơng cho máy tính truy cập số trang web hay máy chủ định, thường dùng với mục đích kiểm duyệt Internet Đề xuất giải pháp Firewall cho công ty ABC sử dụng firewall CISCO ASA5520BUN-K9 giải pháp hợp lí, với ưu điểm an ninh: - Bảo vệ mạng nội với mạng bên internet - Lọc nội dung thông tin web users truy cập bên Internet để hạn chế kiểm soát users theo quy định sử dụng Internet doanh nghiệp 28 - Xây dựng hệ thống phịng chống virus cho tồn hệ thống mạng truy cập bên ngồi Internet - Ngăn chặn phịng chống thư rác (spam email) thông qua địa IP, dị tìm địa email cơng bên internet truy cập vào Server Farm DMZ - Kiểm soát nhận dạng thiết bị di động (Device Manager) dựa nên tảng di động phổ biến Android, IOS, Windowphone… với thiết bị Tablet hay Smartphone, cho phép thực thi sách cho loại thiết bị, đem lại khả bảo mật cao cho hệ thống - Ngăn chặn liệu nhạy cảm bị rò rỉ từ bên hệ thống mạng bên Internet (DLP) - Kiểm soát ngăn chặn số ứng dụng (như Instant Message, P2P, ứng dụng download, chương trình remote access …) users cục truy cập bên ngồi Internet - Có thể bảo vệ biến cố gây nguy hại cho hệ thống mạng cao Có thể đưa xác lập ưu tiên cho mối nguy hiểm cần xử lý - Ghi thông tin cho cảnh báo cách giải vấn đề từ trước, sau vấn đề giải xong 3.2 Hệ thống phát chống xâm nhập (IDS/IPS): Hệ thống phát xâm nhập IDS (intrusion detection system) hệ thống giám sát lưu lượng mạng nhằm phát hiện tượng bất thường, hoạt động trái xâm nhập phép hệ thống IDS phân biệt cơng từ bên hay cơng từ bên ngồi IDS phần mềm, phần cứng oặc kết hợp phần mềm phần cứng IDS phát dựa dấu hiệu đặc biệt nguy biết hay dựa so sánh lưu thơng mạng với baseline để tìm dấu hiệu khác thường Tính quan trọng IDS là: - Giám sát lưu lượng mạng hoạt động khả nghi - Cảnh báo tình trạng mạng cho hệ thống nhà quản trị - Kết hợp với hệ thống giám sát, tường lửa, diệt virus tạo thành hệ thống bảo mật hoàn chỉnh Có hai loại là: - NIDS: hệ thống phát xâm nhập mạng Hệ thống tập hợp gói tin để phân tích sâu bên mà khơng làm thay đổi cấu trúc gói tin NIDS phần mềm triển khai server dạng thiết bị tích hợp appliance 29 - HIDS: hệ thống phát xâm nhập host Theo dõi hoạt động bất thường host riêng biệt HIDS cài đặt trực tiếp máy (host) cần theo dõi IPS( Intrusion prevention system): hệ thống IDS có khả ngăn chặn nguy xâm nhập mà hệ thống phát gọi hệ thống phịng chống xâm nhập hay IPS Đề xuất giải pháp cho công ty ABC sử dụng hệ thống chống xâm nhập với mã nguồn mở Snort Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí, sử dụng để quét liệu di chuyển mạng Snort cung cấp khả phát xâm nhập theo thời gian thực Snort HIDS cài đặt host cụ thể để phát cơng nhắm đến host Snort lưu giữ tất gói tin cho phép thực nhiều tác vụ bắt gói tin, sử dụng Snort chương trình bắt gói tin, lưu giữ kiểm tra sau xếp gói tin để phát hiểm họa xâm nhập Snort sử dụng luật lưu trữ file text, quản trị viên sửa Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác File cấu hình Snort Snort.conf Snort đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu để cung cấp luật nhằm bắt giữ liệu Snort có tập hợp luật định nghĩa trước để phát hành động xâm nhập Các luật Snort tạo, sửa, xóa Snort có chế độ hoạt động khác nhau: - Sniffer mode: chế độ snort lắng nghe đọc gói tin mạng sau trình bày kết giao diện hiển thị - Packet Logger mode: lưu trữ gói tin tập tin log - Network instruction detect system (NIDS): chế hoạt động mạnh mẽ áp dụng nhiều nhất, hoạt động NIDS mode Snort phân tích gói tin ln chuyển mạng so sánh với thông tin định nghĩa người dùng để từ có hành động tương ứng thông báo cho quản trị mạng xảy tình quét lỗi hacker /attacker tiến hành hay cảnh báo virus - Inline mode: triển khai snort linux cấu hình snort để phân tích gói tin từ iptables thay Libpcap Iptable drop pass gói tin theo snort rule 30 3.3.Phần mềm Anti-Virus (AV): Với yêu cầu xây dựng hệ thống mạng cho công ty ABC với hệ thống bảo mật toàn diện, bảo vệ người dùng trước mối nguy hoại thường xuyên virus loại mã độc Chúng đề xuất sử dụng phần mềm Anti-Virus Kaspersky Kaspersky phần mềm diệt virus mang lại lợi ích thiết thực với tập hợp tính phong phú khả tương thích mềm dẻo với platform khác nhau: Windows, Linux Novell Kaspersky sử dụng hệ thống mạng công ty ABC cách cài trực tiếp lên máy tính nhân viên quản lý Các tính bật phần mềm Anti-Virus Kaspersky: - Quét diệt virus theo thời gian thực: phần mềm Kaspersky hoạt động chế độ có khả kiểm sốt bảo vệ liệu máy tính bao gồm ổ cứng, nhớ cà thiết bị cắm theo thời gian thực - Quét diệt virus thông minh: Phần mềm Kaspersky có khả diệt tất loại virus mã độc với bốn chế độ quét tiện dụng linh hoạt là: quét toàn bộ, quét nhanh, quét chọn lọc, quét thiết bị gắn - Cập nhật liệu tự động: Nhờ khả cập nhật liệu tự động từ máy chủ nên kaspersky có khả đối phó, ngắn chặn tiêu diệt tất loại virus nguy hiểm, virus xuất - Khả tự phịng vệ: Kaspersky có khả tự vệ không cho phép phần mềm khác thay đổi, truy cập hay công vào file quan trọng Nhờ mà Kaspersky cài vào máy tính ln hoạt động ổn định bền bỉ - Dễ sử dụng, hỗ trợ tiếng Việt: giao diện Kaspersky thân thiện dễ sử dụng Đặc biệt chương trình có hỗ trợ tiếng Việt giúp thao tác trở lên dễ dàng hết 3.4 Mạng riêng ảo (VPN): VPN (Virtual Private Network) mạng dành riêng để kết nối máy tính lại với thơng qua Internet cơng cộng, máy tính tham gia VPN thấy mạng cục LAN Internet môi trường công cộng, việc chia sẻ liệu có tính riêng tư qua Internet nguy hiểm dễ dàng bị rị rỉ, ăn cắp Vì lựa chọn sử dụng VPN phương án tốt, giúp 31 kết nối máy tính lại với thông qua kênh truyền dẫn liệu (tunel) riêng mã hóa theo cơng nghệ IPSec VPN, SSL VPN, máy tính khác khơng thể kết nối vào VPN VPN phù hợp với doanh nghiệp có nhiều chi nhánh xa, tiết kiệm chi phí việc phải kết nối mạng có dây chi nhánh Thông thường, chi nhánh công ty phải chia sẻ liệu, tài nguyên với mà không thông qua kênh chat, mạng xã hội gây khả quản lí tài nguyên gặp vấn đề bảo mật Sử dụng VPN suốt với người dùng với cấu hình dễ dàng, người quản trị thiết lập sách, điều khoản áp dụng dịch vụ thống toàn mạng VPN, tức áp dụng cho nhân viên tồn cơng ty, họ làm việc đâu Chẳng hạn hệ thống quản trị tài khoản tập trung Active Directory, NAP, Antivirus Đề xuất giải pháp VPN cho công ty ABC cần có đường VPN Site to site, đường kết nối chi nhánh trụ sở chính, chi nhánh thơng qua trụ sở để kết nối đến chi nhánh khác Chúng lựa chọn VPN Draytek hãng lớn, đáp ứng nhu cầu khả mở rộng doanh nghiệp, giảm thiểu chi phí đầu tư, sử dụng môi trường Internet truyền tải liệu, kết nối riêng Cơng ty ABC giảm chi phí đầu tư khả mở rộng chi nhánh hệ thống cửa hàng ngày dễ dàng 3.5 Hệ thống giám sát an toàn mạng (SIEM): Hệ thống giám sát an toàn mạng (Security information and event management – SIEM) hệ thống thiết kế nhằm thu thập thông tin nhật ký kiện an ninh từ thiết bị đầu cuối lưu trữ liệu cách tập trung Theo đó, sản phẩm SIEM cho phép phân tích tập trung báo cáo kiện an toàn mạng tổ chức Kết phân tích dùng để phát công mà phát theo phương pháp thông thường Một số sản phẩm SIEM cịn có khả ngăn chặn công phát Đối với công ty ABC công ty lớn với trụ sở chi nhánh, việc thu thập, phân tích lưu trữ kiện cần thiết Giải tình trạng số lượng thơng tin lớn với định dạng khác khó cho việc thu thập phân tích dự liệu, chúng tơi đề xuất sử dụng SIEM giúp việc thu thập liệu đầu cuối thiết bị dễ dàng lưu trữ liệu cách tập trung Hệ thống giám 32 sát mạng cho công ty ABC sử dụng công cụ Splunk Enterprise Splunk cơng cụ tồn cho chun gia giám sát an ninh mạng, giám sát mạng dựa sức mạnh việc phân tích Log Splunk thực cơng việc tìm kiếm, giám sát phân tích liệu logs lớn sinh từ ứng dụng, hệ thống thiết bị hạ tầng mạng Nó thao tác tốt với nhiều loại dịnh dạng liệu khác (Syslog, csv, apache-log, access_combine …) Splunk xây dựng dựa tảng Lucene and MongoDB với giao diện web trực quan Tính Splunk: - Định dạng Log: Splunk hỗ trợ tất loại log hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register máy trạm… Các hình thức thu thập liệu: Splunk thực việc thu thập log từ nhiều nguồn khác nhau: + Từ file thư mục (kể file nén) server + Qua kết nối UDP, TCP từ Splunk Server khác mơ hình Splunk phân tán + Từ Event Logs, Registry Windows… - Splunk kết hợp tốt với công cụ thu thập log khác để tăng hiệu hệ thống - Cập nhật liệu: Splunk cập nhật liệu liên tục có thay đổi thời gian thực Giúp cho việc phát cảnh báo xác thời gian thực - Đánh mục liệu: Splunk xây dựng Lucence, đánh mục liệu với khối lượng liệu lớn khoảng thời gian ngắn Giúp việc tìm kiếm diễn nhanh chóng thuận tiện - Tìm kiếm thông tin: Splunk làm việc tốt với liệu lớn cập nhật liên tục Nó cung cấp chế tìm kiếm với “Splunk Language” thơng minh bao gồm từ khóa, hàm cấu trúc tìm kiếm giúp người sử dụng truy xuất thứ, theo nhiều tiêu chí từ tập liệu lớn Những nhà quản trị mạng cao cấp chuyên nghiệp thường gọi Splunk với tên “Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên sức mạnh Splunk - Giám sát cảnh báo: Splunk cung cấp cho người dùng chế cảnh báo dựa việc tìm kiếm thơng tin người sử dụng đặt Khi có vấn đề liên quan tới hệ thống phù hợp với tiêu chí mà người dùng đặt hệ thống cảnh báo tới người dùng (cảnh bảo trực tiếp qua giao diện, giử Email) 33 - Khắc phục cố: Splunk cung cấp chế tự động khắc phục với vấn đề xảy việc cấu hình để tự động chạy file Script mà người dùng tự tạo (Ví dụ như: Chặn IP, địng Port …) có cảnh báo xảy - Hiển thị thông tin: Splunk cung cấp chế hiển thị trực quan giúp người sử dụng dễ dàng hình dung tình trạng hệ thống, đưa đánh giá hệ thống Splunk từ động kết xuất báo cáo với nhiều loại định dạng cách chuyên nghiệp - Phát triển: Cũng cung cấp API hỗ trợ việc tạo ứng dụng Splunk người dùng Một số API điển Splunk SDK (Cung cấp SDK tảng Python, Java, JS, PHP), Shep (Splunk Hadoop Intergration – Đây kết hợp Splunk Hadoop), Shuttl (Là sản phẩm hỗ trợ việc lưu liệu Splunk), Splunkgit (Giúp bạn hình dung liệu tốt hơn), Splunk power shell resource Kit (Bộ công cụ hỗ trợ việc mở rộng quản lý hệ thống) VI Thiết kế module quản trị mạng: Mục tiêu quản trị mạng: - Quản trị lỗi: đảm bảo phát lỗi kịp thời đưa cách sửa chữa nhanh nhất, ngăn ngừa hoạt động hệ thống tránh xảy lỗi - Quản trị cấu hình: Cấu hình mạng đảm bảo yêu cầu công ty ABC định tuyến, quản lý tài khoản, lưu trữ liệu,… - Quản trị tài khoản: Đảm bảo tài khoản user, admin, quản lý với yêu cầu công ty ABC Quản lý tài khoản yêu cầu tốc độ, có chia nhóm, trực quan dễ dàng cho quản trị - Quản trị hiệu suất: Hiệu suất cao mặt đường truyền, truy cập, tìm kiếm liệu, lưu,… - Quản trị bảo mật: Đảm bảo hệ thống mạng ln ln phịng bị an tồn, có hệ thống bảo mật cao, xảy cố phản ứng kịp thời Từ đó, đưa mục tiêu cho quản trị mạng cho hệ thống công ty ABC là: - Đơn giản hóa cơng cụ, tác vụ tiến trình - Linh hoạt bảo mật người dùng truy cập - Cung cấp khả quản lý thiết bị định tuyến, chuyển mạch máy chủ truy cập 34 Module chức quản lý mạng - Authentication Server: cung cấp dịch vụ chứng thực cho người dùng Các phương pháp xác thực: + Kerberos: Kerberos authentication dùng Server trung tâm để kiểm tra việc xác thực user cấp phát thẻ thông hành (service tickets) để User truy cập vào tài nguyên Kerberos phương thức an toàn authentication dùng cấp độ mã hóa mạnh Kerberos dựa độ xác thời gian xác thực Server Client Computer, cần đảm bảo có time server authenticating servers đồng time từ Internet time server Kerberos tảng xác thực nhiều OS Unix, Windows phù hợp với hệ thống server công ty ABC + Multi-Factor Authentication: Multi-factor authentication, xác thực dựa nhiều nhân tố kết hợp, mơ hình xác thực yêu cầu kiểm nhân tố xác thực Có thể kết hợp nhân tố ví dụ như: bạn ai, bạn có chứng minh, bạn biết gì? + Mutual Authentication: Mutual authentication, xác thực lẫn kỹ thuật bảo mật mà thành phần tham gia giao tiếp với kiểm tra lẫn Trước hết Server chứa tài nguyên kiểm tra “giấy phép truy cập” client sau client lại kiểm tra “giấy phép cấp tài nguyên” Server Điều giống bạn giao dịch với Server bank, bạn cần kiểm tra Server xem có bank khơng bẫy hacker giăng ra, ngược lại Server bank kiểm tra bạn… - Access control server: cung cấp lệnh điều khiển tập trung cho tất người dùng chứng thực ủy quyền - Network monitoring server: chịu trách nhiệm giám sát thiết bị mạng Network monitoring server môi trường Linux quan trọng để giữ cho sở hạ tầng mạng cơng ty cịn ngun vẹn hoạt động trơn tru Nagios Core phát triển thành hệ thống giám sát mạnh mẽ giúp xác định giải tất loại vấn đề trước trở thành vấn đề nghiêm trọng.Về cơng cụ cấu hình dựa văn bản, cấu hình lưu trữ tệp văn Chúng đề xuất sử dụng Nagios Core cho server Ubuntu 17.04: - Nagios Core : Đây thành phần chính, trung tâm xử lý Nagios ( Có thể gọi Coordinator, Orchestrator) 35 - Nagios Plugin : Cài remote host để gửi thông tin cho Nagios Core - NRPE (Nagios Remote Plugin Executor) : Là Nagios agent () cho phép chạy script đặt remote host Nagios gọi thực thi command host thông qua check_nrpe plugin - Nagiosgraph: nagiosgraph parses output performance data từ Nagios plugins lưu trữ chúng RRD files Từ giữ liệu nagiosgraph tạo đồ thị HTML page để trực quan liệu + cho phép người dùng theo dõi lịch sử liệu check (kết check) - IDS Director: cung cấp giải pháp phát công - Syslog: cung cấp điểm thu thập kiện bẫy mạng Syslog giao thức client/server giao thức dùng để chuyển log thông điệp đến máy nhận log Máy nhận log thường gọi syslogd, syslog daemon syslog server Syslog gửi qua UDP TCP Các liệu gửi dạng cleartext Syslog dùng cổng 514 Nguồn sinh log: 36 Mức độ cảnh báo: 37 - System administration server: quản lý cấu hình mạng thiết bị khác VII Thiết kế mạng WAN: 38 ... - Các thiết bị chưa có (Server, Router, Switch, Firewall, dây mạng, đầu cáp mạng, PC,…) - Các phòng xây, chưa thiết kế hệ thống mạng có phịng vật lý - Hệ thống mạng công ty ABC hệ thống mạng WAN-LAN... pháp thiết kế mạng cho công ty ABC sử dụng mơ hình Campus Enterprise giải pháp tối ưu 1.1 Giới thiệu mạng Campus: Liên mạng (internetworing) truyền thông hay nhiều mạng, gồm có nhiều máy tính kết... tuyến theo trạng thái đường liên kết Việc kết hợp giao thức giải vấn đề khó khăn nhược điểm hai áp dụng lên hệ thống mạng công ty ABC Thiết kế, OSPF địi hỏi có thiết kế phân cấp, cần phải cân nhắc