LỜI CẢM ƠN Em xin chân thành cảm ơn Thầy Cô khoa Công Nghệ Thông Tin – Đại học Kinh doanh Công nghệ Hà Nội tận tình giảng dạy, trang bị cho em kiến thức quý báu suốt trình thực đề tài tạo điều kiện cho em thực đề tài Em xin chân thành cảm ơn! -1- MỤC LỤC LỜICẢMƠN MỤCLỤC LỜINÓI ĐẦU CHƯƠNG I KIẾN THỨC CHUNG VỀ MẠNGMÁYTÍNH .6 1.1 Tổng quan mạng máytính 1.1.1 Giới thiệu mạng máy tính mục đích việc kếtnối mạng .6 1.1.2 Phânloại mạng 1.1.3 Các mơ hình quảnlý mạng 1.1.4 Các mô hình ứng dụng mạng 1.2 Network topology giao thức truy cập phươngtiệntruyền .9 1.2.1 Networktopology 1.2.2 Các giao thức truy cập phươngtiệntruyền 11 1.3 Mơ hình mứcOSI 13 1.3.1 Giới thiệu mơ hình mứcOSI 13 1.3.2 Mơ hình chứcnăng 13 1.4 Bộ giaothứcTCP/IP 16 1.4.1 Tổng quan giaothứcTCP/IP 16 1.4.2 Các tầng giaothứcTCP/IP 16 1.4.3 Giới thiệu địachỉIPv4 17 1.4.4 Địa hệ mới-IPv6 20 1.5 Môi trường truyền dẫn thiếtbị mạng 21 1.5.1 Môi trườngtruyềndẫn 21 1.5.2 Thiết bị mạng .23 CHƯƠNG II BẢO MẬT MẠNGMÁYTÍNH 25 2.1 Các vấn đề chung bảomật mạng 25 2.1.1 Đối tượng tấncôngmạng 25 2.1.2 Các lỗ hổngbảomật 26 2.1.3 Chính sáchbảomật 26 2.2 Các lỗ hổng phương thức công mạngchủyếu .26 2.2.1 Cáclỗhổng 26 2.2.2 Một số phương thức công mạngphổbiến 27 2.2.3 Các mức độ bảo vệ antoànmạng 28 2.3 Các biện pháp bảo vệ mạngmáytính 30 2.3.1 Kiểm soát hệ thốngqualogfile 30 2.3.2 Thiết lập sách bảo mậthệthống 31 2.3.3 Sử dụng hệthốngfirewall 36 CHƯƠNG III TÌM HIỂU VỀ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003 37 3.1 Giới thiệu hệ điều hành WindowsServer2003 37 3.1.1 Giới thiệu hệ điều hành Windows Server2003 37 3.1.2 Các phiên họ hệ điều hành WindowsServer 2003 37 3.1.3 Những điểm họ hệ điều hành WindowsServer2003 .37 3.2 Các dịch vụ mạng hệ điều hành WindowsServer2003 38 3.2.1 ActiveDirectory 38 3.2.2 Domain NameSystem(DNS) 44 3.2.3 Dịch vụ DHCP (Dynamic HostConfigurationProtocol) 46 3.2.4 Internet informationservices(IIS) 47 3.2.5 FTP Server– File TransferProtocolServer 47 3.2.6 MailServer 47 3.2.7 Remoteaccessservices 47 CHƯƠNG IV TÌM HIỂU THIẾT KẾMẠNGLAN 49 4.1 Các bước thiết kếmạngLAN 49 4.1.1 Phân tíchyêucầu 49 4.1.2 Lựa chọnphầncứng 49 4.1.3 Lựa chọnphần mềm 49 4.1.4 Đánh giákhảnăng 50 4.1.5 Tính tốn giáthành 50 4.1.6 Triểnkhaipilot 50 4.2 Các vấn đề cầnlưuý 50 4.3 Những yêu cầu chung việc thiếtkếmạng 51 4.4 Mô hìnhcơ 51 4.4.1 Hierarchicalmodels 51 4.4.2 Securemodels 52 4.5 Mô thiết lậpmangLAN 54 4.5.1 Yêu cầucông ty 54 4.5.2 Phân tíchyêucầu 55 4.5.3 Thiết kế sơđồ mạng 55 4.5.4 Lựa chọngiảipháp 58 4.5.5 Đánh giámơ hình 59 CHƯƠNG V ĐỀ XUẤT PHƯƠNG ÁN BẢOMẬTMẠNG 61 5.1 Đánh giá hệ điều hành windowsserver 2003 61 5.2 Chiến lượcbảo mật .61 5.3 Bảo mật thông qua hạn chếthôngtin 62 5.4 Bảo mật phân quyền tàikhoản 62 5.5 Firewall 64 5.6 Hệ thống kiểm tra xâm nhậpmạng(IDS) 65 5.7 Sử dụng thêmphần mềm 65 5.7.1 Phần mềmAnti-Virus(AV) 65 5.7.2 HP Openview 65 5.7.3 CiscoSecureACS 66 5.7.4 ZoneAlarm.(Firewallmềm) 66 KẾTLUẬN 67 TÀI LIỆUTHAMKHẢO 68 LỜI NÓI ĐẦU Ngày nay, với phát triển mạnh mẽ khoa học kỹ thuật Đặc biệt, lĩnh vực công nghệ thông tin tạo nên động lực thúc đẩy phát triển ngành công nghiệp khác nhằm phục vụ đáp ứng nhu cầu người sống Mạng máy tính lĩnh vực nghiên cứu, phát triển ứng dụng cốt lõi ngành cơng ngệ thơng tin Nhờ có mạng máy tính , thơng tin truyền cách nhanh chóng làm cho người khắp nơi giới giao lưu hợp tác trao đổi thơng tin với thuận tiện trướcđây Hầu hết tổ chức hay công ty triển khai xây dựng mạng LAN để phục vụ cho việc quản lý liệu nội quan thuận lợi, đảm bảo tính an tồn liệu tính bảo mật liệu Mặt khác mạng Lan giúp nhân viên tổ chức hay công ty truy nhập liệu cách thuận tiện với tốc độ cao Đây lĩnh vực mà em quan tâm, hoc hỏi tìm hiểu suốt thời gian qua Và lý em chọn đề tài: Thiết lập mạng LAN sử dụng hệ điều hành Windows Server 2003 đánh giá, đề xuất phương án bảo đảm an toàn mạng Trong đồ án em xin trình bày vấn đề sau: - Tìm hiểu mạng máytính - Tìm hiểu bảo mật, an tồnmạng - Tìm hiểu hệ điều hành Windows Server2003 - Tìm hiểu thiết kếmạng - Đề xuất giải pháp bảo mậtmạng CHƯƠNG KIẾN THỨC CHUNG VỀ MẠNG MÁY TÍNH 1.1 Tổng quan mạng máytính 1.1.1 Giới thiệu mạng máy tính mục đích việc kết nốimạng Mạng máy tính (Network) tập hợp máy tính kết nối với theo cách cho chúng trao đổi thơng tin qua lại với Các máy tính kết nối thành mạng cho phép khả năng: + Sử dụng chung cơng cụ tiện ích + Chia sẻ kho liệu dùng chung + Tăng độ tin cậy hệ thống + Trao đổi thơng điệp, hình ảnh + Dùng chung thiết bị ngoại vi(máy in, máy vẽ, Fax, modem ) + Giảm thiểu chi phí thời gian lại 1.1.2 Phân loại mạng 1.1.2.1 Mạng LAN Mạng LAN nhóm máy tính thiết bị truyền thông mạng kết nối với khơng gian hẹp tồ nhà, khu vực Đặc điểm mạng LAN: - Băng thơng lớn, có khả chạy ứng dụng trực tuyến xem phim, hội thảo qua mạng - Kích thước mạng bị giới hạn thiết bị - Chi phí thiết bị mạng LAN tương đối rẻ - Quản trị đơngiản 1.1.2 Mạng đô thị MAN Mạng MAN gần giống mạng LAN giới hạn thành phố hay quốc gia Mạng MAN nối kết mạng LAN lại với thông qua phương tiện truyền dẫn khác (cáp quang, cáp đồng, sóng ) phương thức truyền thông khác Đặc điểm mạngMAN: - Băng thông mức trung bình, đủ để phục vụ ứng dụng cấp thành phố hay quốc gia phủ điện tử, thương mại điện tử, ứng dụng ngânhàng - Do MAN nối kết nhiều LAN với nên độ phức tạp tăng đồng thời công tác quản trị khó khăn - Chi phí thiết bị mạng MAN tương đối đắt tiền 1.1.2.3 MạngWAN Mạng WAN bao phủ vùng địa lý rộng lớn mạng cơng ty đa quốc gia, lục địa hay toàn cầu Do phạm vi rộng lớn mạng WAN nên thông thường mạng WAN tập hợp mạng LAN, MAN nối lại với phương tiện như: vệ tinh (satellites), sóng viba (microwave), cáp quang,cáp điệnthoại Đặc trưng mạng WAN: - Băng thông thấp, dễ kết nối, thường phù hợp với ứng dụng offline e-mail, web, ftp - Phạm vi hoạt động rộng lớn không giới hạn - Do kết nối nhiều LAN, MAN lại với nên mạng phức tạp có tính tồn cầu nên thường có tổ chức quốc tế đứng quản trị - Chi phí cho thiết bị công nghệ mạng WAN đắt tiền WAN chia thành nhiều loại như: - WAN cho doanh nghiệp (Enterprise WAN): kết nối LAN doanh nghiệp nằm vị trí khácnhau - WAN tồn cầu (Global WAN): kết nối mạng nhiều tổ chức khácnhau 1.1.2.4 MạngINTERNET Mạng Internet trường hợp đặc biệt mạng WAN, cung cấp dịch vụ toàn cầu mail, web, chat, ftp phục vụ miễn phí cho người Mạng Internet sở hữu nhân loại, kết hợp nhiều mạng liệu khác chạy tảng giao thứcTCP/IP 1.1.2.5 MạngINTRANET Thực mạng INTERNET thu nhỏ vào quan, công ty, tổ chức hay bộ, nghành giới hạn phạm vi người sử dụng, có sử dụng cơng nghệ kiểm sốt truy cập bảo mật thông tin Được phát triển từ mạng LAN, WAN dùng công nghệ INTERNET 1.1.3 Các mô hình quản lýmạng 1.1.3.1 Workgroup Trong mơ hình máy tính có quyền hạn ngang khơng có máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ hay quản lý Các máy tính tự bảo mật quản lý tài nguyên riêng Đồng thời máy tính cục tự chứng thực cho người dùng cục 1.1.3.2 Domain Ngược lại với mơ hình Workgroup, mơ hình Domain việc quản lý chứng thực người dùng mạng tập trung máy tính Primary Domain Controller Các tài nguyên mạng quản lý tập trung cấp quyền hạn cho người dùng Lúc hệ thống có máy tính chun dụng làm nhiệm vụ cung cấp dịch vụ quản lý máy trạm 1.1.4 Các mơ hình ứng dụngmạng 1.1.4.1 Peer-to-Peer Mạng Peer to Peer thiết lập thành viên hay trạm làm việc (Workstations) có vai trò ngang quyền nhau, máy gọi nút Các trạm làm việc vừa đóng vai trò máy chủ vừa đóng vai trò máy khách tức thành viên truy cập vào máy trạm mạng để sử dụng chung tài nguyên (các tập tin, máy in ) tài nguyên chia sẻ để dùngchung - Ưu điểm: Do mô hình mạng ngang hàng đơn giản nên dễ cài đặt, tổ chức quản trị, chi phí thiết bị cho mơ hình thấp - Khuyết điểm: Khơng cho phép quản lý tập trung nên liệu phân tán, khả bảo mật thấp, dễ bị xâm nhập Các tài ngun khơng xếp nên khó định vị tìm kiếm Mạng ngang hàng thích hợp với mạng nhỏ tính bảo mật khơng cao 1.1.4.2 Client-Server Là mạng có máy đóng vai trò máy chủ (Server) máy lại gọi máy khách (Client), máy sinh yêu cầu dịch vụ máy chủ hay máy phục vụ - Ưu điểm: Do liệu lưu trữ tập trung nên dễ bảo mật, backup đồng với Tài nguyên dịch vụ tập trung nên dễ chia sẻ quản lý phục vụ cho nhiều người dùng - Khuyết điểm: Các server chuyên dụng đắt tiền, phải có nhà quản trị cho hệthống 1.2 NetworktopologyvàcácgiaothứctruycậpphƯơngtiệntruyền 1.2.1 Networktopology Topo (network topology) mạng LAN kiến trúc hình học thể cách bố trí đường dây cáp, xếp máy tính để kết nối thành mạng hồn chỉnh Có loại cấu trúc topo mạng điển hìnhsau: 1.2.1.1 Bustopology Tất trạm phân chia chung đường truyền Trên đường truyền giới hạn hai đầu loại đầu nối đặc biệt gọi terminator Mỗi trạm nối vào bus thông qua đầu nối chữ T (T- connector) thu phát (transceiver) Khi trạm truyền liệu, tín hiệu quảng bá chiều bus trạm nhận tínhiệu Hình : Mơ hình kiểu kết nối dạng Bus Ưu điểm: Loại hình mạng dùng dây cáp nhất, dễ lắp đặt Nhược điểm: Sẽ có ùn tắc giao thông di chuyển liệu với lưu lượng lớn có hỏng hóc đoạn khó phát hiện, ngừng đường dây để sửa chữa ngừng toàn hệ thống 1.2.1.2 Startopology Hình : Mơ hình kết nối dang Star với Hub trung tâm Trong mơ hình này, máy tính nối vào mạng thông qua cổng thiết bị trung tâm Thiết bị trung tâm có cổng hỗ trợ nhiêu máy Thiết bị trung tâm có đặc điểm cổng có tín hiệu tín hiệu lặp lại cổng lại Hub Như vậy, tín hiệu truyền từ máy tính gửi liệu đến tồn máy tính khác tồn mạng Tuỳ theo u cầu truyền thơng mạng thiết bị trung tâm chuyển mạch (switch), định tuyến (router), tập trung (hub) Ưu điểm: - Lắp đặt đơn giản, rễ cấu hình lại thêm, bớt trạm, dễ kiểm soát khắc phục cố tận dụng tối đa tốc độ đường truyền vật lý sử dụng liên kết điểm - điểm - Hoạt động theo nguyên lý nối song song nên có thiết bị nút thơng tin bị hỏng mạng hoạt động bìnhthường - Cấu trúc mạng đơn giản thuật tốn điều khiển ổnđịnh - Mạng mở rộng thu hẹp tuỳ theo yêu cầu người sử dụng Nhược điểm: - Độ dài đường truyền nối trạm với thiết bị trung tâm bị hạnchế - Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng trung tâm Khi trung tâm có cố tồn mạng ngừng hoạtđộng - Mạng yêu cầu nối độc lập riêng rẽ thiết bị nút thông tin đến trung tâm Khoảng cách từ máy đến trung tâm hạn chế (100m) Mạng dạng hình cho phép nối máy tính vào tập trung (HUB) cáp xoắn, giải pháp cho phép nối trực tiếp máy tính với HUB khơng cần Hinh 13: Mơ hình tường lửa phần LAN cô lập làm vùng đệm mạng công tác với mạng bên ngồi (LAN lập gọi khu phi quân hay vùngDMZ) Thiết bị định tuyến có cài đặt lọc gói đặt DMZ mạng cơngtác Thiết bị định tuyến ngồi có cài đặt lọc gói đặt DMZ mạngngồi 4.5 Mơ thiết lập mạngLAN 4.5.1 u cầu côngty Em giả sử thiết lập hệ thống mạng cơng ty có tầng với phòng ban Cơng ty có gồm 32 máy Client phân phối cho phòng ban sau: Phòng Tài Chính – Kế Tốn 10 máy Client Phòng Kinh Doanh 10 máy Client Phòng Kỹ Thuật 10 máy Client Phòng Giám Đốc máy Client Phòng Phó Giám Đốc máy Client Cơng ty có u cầu sau: Hê thống mạng chia thành nhóm sử dụng tương ứng với phòng ban, có chia sẻ liệu dùng chung thiết bị máy photo, máy fax… Các user phân quyền phù hợp với cơng việc Mạng có kết nối với internet 4.5.2 Phân tích ucầu Vì cơng ty có nhu cầu chia sẻ liệu dung chung thiết bị có sách quản lý người dùng nên cần có máy server để quản lý Mạng máy tính LAN Campus Network (Mạng Campus mạng có nhiều LAN nhiều tòanhà) Vì mạng Campus nên mạng xây dựng tảng công nghệ cao Ethernet / Fast Etherner / Gigabit Ethernet Mạng cần có độ ổn định khả dự phòng để đảm bảo chất lượng cho việc truy cập liệu quan trọng Mạng công ty chia thành nhóm sử dụng phân quyền sử dụng liệu chương trình mạng có kết nối interner nên hệ thống mạng cần có tường lửa để đảm bảo an ninh cho toàn thiết bị nội trước truy cập trái phép hạn chế sử dụng internet Như hạn chế quyền chat, hạn chế quyền sử dụng số trangweb… Mạng cần cấu thành switch để hạn chế xung đột liệu truyền tải 4.5.3 Thiết kế sơ đồmạng 4.5.3.1 Sơ đồ Logic phòngmáy Hinh 14 : Sơ đồ Logic phòngmáy 4.5.3.2 Sơ đồ vậtlý Hinh 15 : Sơ đồ vật lý cá phòng máy 4.5.3.3 Giải thích mơhình Trong cấu hình vẽ mạng máy tính cục tồ nhà điều hành có switch phân phối có chức định tuyến Switch có tác dụng chuyển lưu lượng qua lại switch truy cập nhiệm vụ quan trọng định tuyến LAN ảo Bất kỳ switch truy cập kết nối đến switch phân phối đảm bảo cung cấp băng thơng cho tồn máy tính kết nối đến switch truy cập Switch phân phối sử dụng thiết bị có nhiều cổng truy nhập 100Mbps Các switch truy cập cung cấp 24 cổng 10/100 Mbps đảm bảo băng thông cho máytrạm Nếu số lượng máy tính tồn tồn nhà phát triển lên, switch truy cập cắm xếp trồng để cung cấp số lượng cổng truy cập nhiều phòng ban cắm switch mở rộng để cung cấp thêm số cổng truy nhập Phòng kinh doanh phòng kế tốn ta sử dụng chung switch Phòng kỹ thuật phòng giám đốc ta sử dụng chung switch Switch từ phòng kỹ thuật ta kết nối với phân mạng truy cập Internet thông qua Firewall Firewall làm nhiệm vụ ngăn chặn bảo mật máy tính thuộc phân mạng nội với mạng Internet phía bên ngồi Như giao tiếp mạng firewall kết nối với phân mạng bên giao tiếp mạng kết nối với phân mạng Internet côngcộng 4.5.4 Lựa chọn giảipháp Tùy thuộc vào nhu cầu sử dụng, tầm quan trọng liệu mà cơng ty có u cầu sách bảo mật khác Với mơ hình u cầu cơng ty em lựa chon giải pháp sau: 4.5.4.1 Lựa chọn mô hình mạng Cơng ty doanh nghiệp thuộc loại vừa nhỏ, hệ thống mạng gồm server 32 máy Client nên em chọn giải pháp mạng LAN với mơ hình Start Nghĩa có phòng đặt thiết bị trung tâm từ dẫn dây đến phòng lại thuộc loại mơ hình Client/Server thường dùng doạnh nghiệp cơngty 4.5.4.2 Lựa chọn hệ điều hànhmạng Nhằm quản lý tốt tăng cường hệ thống bảo mật liệu cho cơng ty em lựa chọn hệ điều hành : Window Server 2003 Standar Edition, ban chuẩn dung cho doanh nghiệp vừa va nhỏ Nếu dùng hệ điều hành ngồi tính Window XP có có thêm tính bảo mật phân chia quền truy cập chia sẻ tài nguyên cho máy khác tốthơn 4.5.4.3 Lựa chọn thiết bịmạng Switch : Switch 24 port Switch 16 port Cáp: Em lựa chọn cáp STP CAT5 (thích hợp cho đường truyền 100 Mb/s) Vì loại cáp có lớp bọc kim loại tác dụng chống nhiễu điện từ Đầu nối cáp: sử dụng đầu nối RJ-45 Để kết nối với Internet cần phải có Firewall Firewall làm nhiệm vụ ngăn chặn bảo mật máy tính thuộc phân mạng nội với mạng Internet từ phía bênngồi Máy tính: Máy Server: Chạy hệ điều hành Microsoft Windows 2003 Server cài dịch vụ phục vụ cho máy Client : MS ISA Server… Máy Client : Chạy hệ điều hành Microsoft Windows XP professional Chạy chương trình ứng dụng : Microsoft Office XP , phần mềm kế toán , nhân sự… 4.5.5 Đánh giá mơ hình Ưu điểm: Dữ liệu bảo mật an toàn sử dụng hệ điều hành Windows Server 2003 , dễ backup diệt virus Chi phí cho thiết bị thấp Trong mơ hình cơng ty lắp đặt mơ hình mạng Client/ Server nên có hệ thống máy chủ quản lý tất tài nguyên hệ thống chịu trách nhiệm phân chia quyền sử dụng tài nguyên hệ thống cho máy Mỗi máy sau hệ thống máy chủ phân quyền sử dụng tài ngun có : Username Passwword để đăng nhập hệ thống, việc phân quyền giúp tăng thêm tính bảo mật cho hệ thống sở liệu cho cơng ty Dùng cáp, dễ lắp đặt Việc quản trị dễ dàng (do mạng thiết kế theo mơ hình xử lý tập trung phân chia quyền sử dụng hệthống) Sử dụng Switch (không sử dụng hub) Switch có khả mở rộng mạng tối ưu Hub ,tốc độ truyền liệu nhanh…Ngoài Switch hỗ trợ Trunking,VLAN… Dùng cáp STP khơng dùng UTP STP chống nhiễu, tốc độ truyền tín hiệu nhanh, khơng bị nghetrộm Hệ thống có phân tách phòng ban thành mạng riêng để giảm thiểu việc truy xuất liệu trái phép nội cơng ty Tồn tại: Khó khăn việc cài đặt thêm phần mềm cho client Máy server phải cài nhiều dịch vụ cung cấp cho máy client Phụ thuộc nhiều vào tốc độ Server Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng trung tâm Khi trung tâm có cố tồn mạng ngừng hoạt động Khó đáp ứng yêu cầu nhiều ứng dụng khác Tốc độ truy xuất không nhanh CHƯƠNG ĐỀ XUẤT PHƯƠNG ÁN BẢO MẬT MẠNG 5.1 Đánh giá hệ điều hành Windows Server2003 Cũng hệ điều hành khác Windows Server 2003 có ưu, khuyết điểm nó, nhiên Windows Server 2003 chinh phục nhiều người dùng tính trội Hệ điều hành cho phép tổ chức quản lý cách chủ động theo nhiều mơ hình khác nhau: peer-to-peer, clien/server Nó thích hợp với tất kiến trúc mạng như: hình (start), đường thẳng (bus), vòng (ring) phức hợp Nó có số đặc tính ưu việt bảo đảm thực lúc nhiều chương trình mà không bị lỗi Bản thân Windows Server 2003 đáp ứng hầu hết giao thức phổ biến mạng hỗ trợ nhiều dịch vụ truyền thơng mạng Nó vừa đáp ứng cho mạng cục (LAN) cho mạng diện rộng (WAN) Windows Server 2003 cho phép dùng giao thức TCP/IP, vốn giao thức sử dụng phổ biến hầu hết mạng diện rộng Internet Windows Server 2003 hệ điều hành hướng đối tượng, hệ bảo mật xây dựng cấp thấp cấu trúc đối tượng Chính Window Server dễ bảo vệ an toàn so với hầu hết hệ điều hành khác Tuy nhiên hệ điều hành phức tạp chế bảo mật khơng thể cung cấp cho ta giải pháp bảo mật tuyệt đối Vì nhà quản trị mạng phải quan tâm thực công tác quản trị bảo trì hệ thống Bạn cần phải có cấp bảo mật phù hợp với nhu cầu tích hợp phần mềm bổ trợ vào mơ hình bạn Các kế hoạch bảo mật gồm biện pháp an ninh vật lý Để xây dựng hệ thống mạng vững khơng có ngăn ngừa kể cơng ngồi mạng mà nội bạnnữa 5.2 Chiến lƯợc bảomật Để đảm bảo an tồn thơng tin, tổ chức cần phải xây dựng sách thơng tin Q trình xây dựng sách thơng tin giống vòng tròn lần quay trở lại điểm khởi đầu lần làm tăng độ an tồn Việc đầutiêntrongviệcpháttriểnchínhsáchthơngtinlàtạomộtdanhsáchcácnguồn lực cần bảo vệ nghĩa không bao gồm máy tính, máy in, đường, tường lửa mà nơi cần đặt phần cứng thiết bị Backup khác Cần phải xác định rõ phép xâm nhập vào phần cứng cấu trúc lơ gic phần mềm máy tính Sau lập danh sách thống kê nguồn lực ta cần thiết lập catalo mối nguy hiểm đe doạ tới nguồn lực Sau ta tiến hành việc phân tích điểm yếu để tìm phần hay bị đe doạ 5.3 Bảo mật thông qua hạn chế thôngtin Rất nhiều nơi hạn chế việc đưa thông tin bảo mật hệ thống mạng Một số nơi cố gắng dấu thông tin server họ cho phép số người có thẩm quyền truy cập Việc bảo mật thông qua hạn chế thông tin chiến lược nhiều nơi Bằng việc hạn chế thơng tin nhà quản trị mạng hy vọng không phát điểm yếu họ khai thácchúng Các phần mềm bảo mật tốt sử dụng thuật tốn sẵn có nên Hacker tìm cách làm việc thuật toán sử dụng phần mềm trung gian để xem mã cách thức bảo mật Điều buộc nhà phát triển phần mềm phải ln phát triển thuật tốn, cung cấp thuật toán mã hoá mạnh 5.4 Bảo mật phân quyền tàikhoản Để thực tác vụ thành công LAN cần số yếu tố bảo mật như: Cần xác định xem người có quyền truy xuất thơng tin , nhiều nơikhơng có danh sách rõ ràng người có quyền truy xuất thơng tin Danh sách thẩm quyền thường bao gồm thông tin quyền mà người cấp để thực tác vụ Để thiết lập danh sách cần phải xây dựng xác lập tập hợp quyền cấp cho người sử dụng Danh sách thẩm quyền giúp tránh cho việc truy xuất sử dụng dịch vụ mà không phân quyền Bằng cách sử dụng quy luật ràng buộc cho phép người sử dụng phép không phép sử dụng độ tin cậy họ Hầu trình ứng dụng có cách thức cấp quyền Do có ngày nhiều chương trình ứng dụng tải LAN, việc thực phân quyền hạn chế lỗ hổng bảo mật Danh sách quyền phải trì nguồn lực máy in, file liệu, CSDL hay trình ứng dụng nhóm người sử dụng dịch vụ, người có quyền truy xuất đối tượng đặc biệt Do vây người quản trị cần ý vấn đề sau: Cung cấp tài khoản cho người dùng với mưc phân quyền hợplý Tài khoản người dùng chủ đề biến tấu trung tâm hệ điều hành windows server 2003 Những muốn truy cập vào máy tính phải gõ tên người dùng mật Không nên để lộ mật cho Không tạo mật (password) dễ dàng Không dùng hai password bạn đăng ký làm thành viên với nhiều địa (site) khác Không dùng từ dễ đoán ra, kết hợp chữ cái, biểu tượng số với nhau, nhớ phải tạo password dài ký tự Không nên dùng ngày sinh, tên người yêu, đơn giản ABCD1234 Hãy ghi nhớ password khơng nên lưu máy tính Khơng nên dùng chức nhớ password chịu khó nhập password lần đăng nhập Cần đặt quy định phải tránh khơng gây khó khăn cho nhân viên, phải tạo điều kiện cho họ thực công việc cách tốt Cho phép người dùng truy cập mở vào web, hạn chế truy cập vào trang mạng xã hội làm việc Nếu có truy cập khơng tiết lộ địa chỉ, mật khẩu, hay thông tin khách hàng cho nguồn không quen biết Đổi tên tài khoản Administrator dung mật hiệu khó đốn Vì kẻ cơng vào hệ thống thơng qua tài khoản Administrator Làm để kẻ cơng khó đốn tên tài khoản Admin Ẩn định khóa chặn tài khoản user Khi thay đổi tên tài khoản Administrator ta tạo tài khoản Administrator giả khơng có quyền Kẻ công nhiều thời gian vào tài khoảnđó Các điều hành viên nên có tài khoản Một tài khoản thường để sử dụng không thực công việc điều hành Che giấu tên người dùng HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi on\Policies\System tìm đến khóa DontDisplayLockedUserId đổi giá trị Đặt lại đường dẫn cho ADDatabase Kiểm tra log file từ máy chủ ứng dụng Chúng cung cấp cho ta số thông tin tốt hệ thống, công bảo mật Trong nhiều trường hợp, cách để xác nhận quy mô cơng vào máychủ 5.5 Firewall Mạng LAN có nhiều Server, khả bảo mật cần trọng, có nhiều cách bảo mật thơng dụng tường lửa Tường lửa hệ thống giúp bảo vệ an toàn mạng cách thực điều khiển xử lý, nhằm kiểm soát khả người sử dụng việc truy xuất nguồn lực mạng với mạng khác Các nhà quản trị hệ thống người cần xác định mức bảo mật cần thiết cho nguồn lực mạng Tường lửa thiết kế nhằm tránh việc truy xuất tự nguồn lực mạng thông qua kết nối LAN việc điều khiển giúp bảo vệ an toàn liệu phần mềm Tường lửa giúp chống lại kẻ phá hoại vàHacker Khi hệ thống đựơc kết nối LAN thực trao đổi dịch vụ, để bảo vệ dịch vụ tường lửa từ chối yêu cầu từ máy tính khác thiếu tin cậy Để bảo vệ dịch vụ có vài cách áp dụng sử dụng Proxy nhằm đảm bảo cho an tồn liệu truyền khơng kết nối trực tiếp đến mạng nội Đây cách bảo mật tốt liệu không cập nhật kịp thời Một cách sử dụng tường lửa đa tầng Tường lửa giữ vai trò trung tâm bảo mật hệ thống Nó giúp cho người sử dụng truy xuất nguồn lực qua LAN mà không cần phải lo ngại an toàn kết nối Khi kết nối với LAN mạng thành phần xử lý máy cá nhân thông qua sử dụngProxy Các tường lửa phức tạp sử dụng cấu trúc đa tầng Tường lửa phía ngồi thiết lập danh giới vùng (DMZ-Demiliteried Zone) tường lửa phía dùng để bảo vệ mạng Trong vùng xác định Web Server, FTP Server Main Getway thiết lập Mọi liệu gửi mạng phải xuyên qua tường lửa Xây dựng nhiều mức giải pháp tốt bổ xung thêm chức mà không làm giảm khả bảo mật 5.6 Hệ thống kiểm tra xâm nhập mạng(IDS) Một IDS, không liên quan tới công việc điều khiển hướng gói tin, mà có nhiệm vụ phân tích gói tin mà firewall cho phép qua, tìm kiếm chữ kí cơng biết (các chữ kí cơng đoạn mã biết mang tính nguy hiểm cho hệ thống) mà kiểm tra hay ngăn chặn firewall IDS tương ứng với việc bảo vệ đằng sau firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắn cho firewall hoạt động hiệuquả 5.7 Sử dụng thêm phầnmềm 5.7.1 Phần mềm Anti-Virus(AV) Phần mềm AV nên cài toàn máy trạm (workstation), máy chủ (server), hệ thống hỗ trợ dịch vụ số, hầu hết nơi chứa liệu quan trọng vào Hai vấn đề quan trọng để xem xét đặt yêu cầu nhà sản xuất AV quản lý nhiều máy chủ máy trạm toàn phạm vi công ty khả nhà cung cấp có đối phó đe doạ từ virus hay không (nguyên nhân: không cho phầm mềm chạy, kiểm tả phiên virus file cập nhật cho virus mới) 5.7.2 HPOpenview HP OpenView họ phần mềm quản trị tài nguyên công nghệ thông tin từ sở hạ tầng, dịch vụ, phần mềm ứng dụng khách hàng, thuê bao hệ thống Ưu điểm bật HP OpenView giải pháp quản trị tổng thể với đầy đủ tính cần thiết để quản trị hệ thống thông tin phức tạp bao gồm phần cứng, hệ điều hành trình ứng dụng, cho phép sản phẩm tích hợp chặt chẽ với nhau, tạo giải pháp thống toàn hệ thống Khả tích hợp khơng thể sản phẩm họ HP OpenView mà tích hợp với giải pháp quản trị chuyên biệt sản phẩm phần cứng/phần hãng khác CiscoWorks, Compaq Insight Manager, SUN Management Center, HP TopTools, Oracle EnterpriseManager Khi mạng có cố HP Openview giúp bạn nhanh chóng biết lỗi xảy đâu cách cho bạn thấy tận gốc vấn đề chi tiết đến kiện, điều giúp bạn khắc phục lỗi khó nặng HP Openview giúp bạn chọn lọc lập báo cáo vấn đề mấu chốt mạng từ bạn vạch kế hoạch vận hành mạng cách trơn trunhất Tuy nhiên HP Openview có giá cao, thích hợp cho khách hàng có hệ thống lớn, phứctạp 5.7.3 Cisco SecureACS Cisco Secure ACS phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy cập mạng, gọi vào, truy cập Internet Cisco Secure ACS chạy Windows hoạt động giống dịch vụ Windows NT/2000 điều khiển việc xác thực, cấp quyền, tính cước người dùng truy cập vào mạng 5.7.4 ZoneAlarm (Firewallmềm) Zone Alarm Antivirus phương thức tốt để loại trừ virus khỏi máy tính ngăn chặn không cho chúng xâm nhập từ lúc ban đầu Zone Alarm Antivirus với tường lửa hiệu giúp máy tính bạn trở nên mạnh mẽ trước xâm nhập hacker Zone Alarm Antivirus kết hợp công nghệ tường lửa với máy chống virus quét virus đột phá, tiêu diệt virus cứng đầu xóa bỏ hồn tồn mã độc khỏi máy tính cách an tồn KẾT LUẬN Đồ án trình bày thiết lập mạng Windows 2003 Server, qua yếu tố cần quan tâm để tối ưu hóa bảo đảm an toàn cho mạng Để thực điều cần phải nắm kiến thức mạng, hệ điều hành mơ hình bảo mật hệ thống Tuy nhiên, để xây dựng phát triển hệ thống mạng hồn chỉnh cần phải có kiến thức thực tiễn Quá trình làm đồ án giúp em hiểu thêm mạng máy tính, cung cấp thêm kiến thức xây dựng mơ hình, cách thiết kế triển khai hệ thống mạng, cách dây dẫn, kết nối thiết bị mạng lựa chọn mơ hình mạng phù hợp với thực tế triểnkhai Lựa chọn mơ hình mạng tối ưu sở khả thực tiễn giúp cho việc quản trị hệ thống mạng đơn giản hiệu Mặc dù cố gắng chắn đề tài em khơng tránh khỏi thiếu sót, em mong nhận nhận xét bảo thầy, để có thêm kinh nghiệm trường TÀI LIỆU THAM KHẢO I Sách thamkhảo Giáo trình thiết kế xây dựng mạng LAN WAN, Trung tâm khoa học tự nhiên công nghệ quốc gia – Viện công nghệ thông tin Tháng 01 năm2004 Hệ bảo mật Windows NT khai thác ứng, Nhóm Ngọc Anh Thư Press, NXB giáo dục2004 Hỗ trợ kỹ thuật Windows NT, ban biên dich VN- GUIDE, NXB thống kê II Website www.quantrimang.com www.manguon.com www.nhatnghe.com http://www.khkt.net ... qua mạng - Kích thước mạng bị giới hạn thiết bị - Chi phí thiết bị mạng LAN tương đối rẻ - Quản trị đơngiản 1.1.2 Mạng đô thị MAN Mạng MAN gần giống mạng LAN giới hạn thành phố hay quốc gia Mạng. .. Tìm hiểu bảo mật, an tồnmạng - Tìm hiểu hệ điều hành Windows Server2003 - Tìm hiểu thiết k mạng - Đề xuất giải pháp bảo mậtmạng CHƯƠNG KIẾN THỨC CHUNG VỀ MẠNG MÁY TÍNH 1.1 Tổng quan mạng máytính... trường truyền dẫn thiếtbị mạng 21 1.5.1 Môi trườngtruyềndẫn 21 1.5.2 Thiết bị mạng .23 CHƯƠNG II BẢO MẬT MẠNGMÁYTÍNH 25 2.1 Các vấn đề chung bảomật mạng