Thiết kế mạng nội bộ an toàn cho doanh nghiệp lớn Thiết kế mạng nội bộ an toàn cho doanh nghiệp lớn Thiết kế mạng nội bộ an toàn cho doanh nghiệp lớn luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Đỗ Xuân Đỉnh THIẾT KẾ MẠNG NỘI BỘ AN TOÀN CHO DOANH NGHIỆP LỚN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: KỸ THUẬT MÁY TÍNH Hà Nội – 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Đỗ Xuân Đỉnh THIẾT KẾ MẠNG NỘI BỘ AN TOÀN CHO DOANH NGHIỆP LỚN LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: KỸ THUẬT MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS NGÔ HỒNG SƠN Hà Nội - 2018 Thiết kế mạng nội an toàn cho doanh nghiệp lớn MỤC LỤC LỜI CAM ĐOAN Danh mục chữ viết tắt Danh mục bảng Danh mục hình vẽ ĐẶT VẤN ĐỀ CHƯƠNG GIỚI THIỆU CHUNG 10 1.1 1.2 1.2.1 1.2.2 1.2.3 1.2.4 1.3 1.4 Mơ hình hệ thống khung dịch vụ 10 Các thành phần khung dịch vụ 10 Hệ thống hạ tầng mạng (LAN/WAN) 10 Hệ thống an ninh thông tin 11 Hệ thống mạng cho thiết bị di động 12 Hệ thống dịch vụ truyền thông hợp 13 Các vùng mạng mạng nội doanh nghiệp 13 Kết luận 14 CHƯƠNG THIẾT KẾ MƠ HÌNH HỆ THỐNG MẠNG VÀ ĐẢM BẢO AN TOÀN TRONG HỆ THỐNG MẠNG NỘI BỘ CỦA DOANH NGHIỆP.15 2.1 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.3 Thiết kế mơ hình mạng nội 15 Mô hình tổng thể hệ thống mạng nội 15 Một số khuyến nghị thiết kế mạng nội 16 Các mơ hình thiết kế mạng nội 17 Vấn đề đảm bảo an toàn hệ thống mạng nội doanh nghiệp Các nguy công mạng nội 20 Các giải pháp bảo mật hệ thống mạng nội 28 Kết luận 36 CHƯƠNG TRIỂN KHAI THIẾT KẾ HỆ THỐNG MẠNG NỘI BỘ AN TOÀN 38 3.1 Yêu cầu hệ thống mạng nội cần thiết kế 38 3.1.1 Hạ tầng không gian người dùng 38 3.1.2 Yêu cầu cần đáp ứng mạng nội bộ: 39 3.2 Thiết kế mơ hình hệ thống mạng tính bảo mật 39 3.2.1 Cần thực theo bước: 39 3.2.2 Lựa chọn công nghệ thiết kế mô hình hệ thống mạng 41 3.2.3 Tổng hợp sơ đồ thiết kế hệ thống mạng nội bộ: 49 3.2.4 Triển khai tính bảo mật 51 3.2.5 Kết đạt mô hình thiết kế 55 3.3 Mô số kịch công điển hình giải pháp phịng chống mạng nội 56 3.3.1 Tấn công giả thông điệp ARP 56 3.3.2 Tấn công dịch vụ DHCP 59 Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn 3.3.3 3.3.4 3.4 Tấn công làm hết tài nguyên bảng MAC switch 63 Giả lập công mạng kiểm thử giải pháp 64 Kết luận 78 KẾT LUẬN 79 TÀI LIỆU THAM KHẢO 80 Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn LỜI CAM ĐOAN Tôi xin cam đoan luận văn cơng trình nghiên cứu khoa học độc lập Các số liệu, kết nêu luận văn trung thực có nguồn gốc rõ ràng TÁC GIẢ LUẬN VĂN Đỗ Xuân Đỉnh Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn Danh mục chữ viết tắt Mối đe dọa liên tục nâng cao, APT (Advanced Persistent Threat) cơng có chủ đích ARP (Address Resolution Protocol) Giao thức phân giải địa BPDU (Bridge Protocol Data Unit) Đơn vị liệu giao thức cầu nối DHCP (Dynamic Host Configuration Protocol) Giao thức cấu hình địa động EAP (Extensible Authentication Protocol) Giao thức xác thực mở rộng IDS (Intrucsion Detection System) Hệ thống phát xâm nhập IP (Internet Protocol) Giao thức internet IPS (Intrusion Prevention Systems) Hệ thống phòng chống xâm nhập Ipsec (Internet Protocol Security) Bảo mật giao thức internet LAN (local area network) Mạng cục MAC (Media Access Control) Điều khiển truy cập phương tiện MITM (Man in the Middle) Tấn công dạng người QoS (Quality of Service) Chất lượng dịch vụ SNMP (Simple Network Management Protocol) Giao thức quản lý mạng đơn giản STP (Spanning Tree Protocol) Giao thức mạng, giao thức ngăn chặn lặp vòng STP TCNs (STP topology change notifications) Các thông báo thay đổi cấu trúc mạng STP TLS (Transport Layer Security) Bảo mật tầng giao vận VLAN (Virtual Local Area Network) Mạng cục ảo VRRP (Virtual Router Redundancy Protocol) Giao thức dự phòng định tuyến ảo VTP (Virtual Trunking Protocol) Giao thức mạng trục ảo WAN (Wide Area Network) Mạng diện rộng Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn Danh mục bảng Bảng – Khảo sát số người sử dụng hệ thống mạng 39 Bảng – Khảo sát số nút mạng cho máy trung tâm liệu 39 Bảng 3 - Xác định đối tượng phục vụ kết nối .42 Bảng – Bảng tính số lượng Switch access mạng LAN tịa nhà 48 Bảng – Bảng tính số lượng module Switch Core mạng LAN tòa nhà 49 Bảng – Bảng triển khai tính bảo mật cho vùng mạng người dùng 53 Bảng – Bảng triển khai tính bảo mật cho vùng mạng trung tâm liệu 55 Bảng – Bảng đánh giá kết đạt 56 Bảng – Các bước công ARP .58 Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn Danh mục hình vẽ Hình 1 Thành phần Khung dịch vụ [5] 10 Hình Mơ hình hệ thống mạng nội điểm có quy mơ khác [5] 16 Hình 2 Mơ hình hệ thống mạng lớp lớp [5] 17 Hình Mơ hình hệ thống mạng lớp [5] .18 Hình Mơ hình hệ thống mạng lớp [5] .19 Hình Tấn cơng thẻ VLAN đơi [9] .22 Hình Bảng địa MAC [9] 23 Hình - Sơ đồ bố trí kết nối Core switch switch access .43 Hình – Sơ đồ bố trí kết nối Core switch 46 Hình 3 - Minh họa sơ đồ kết nối Stack kết hợp uplink switch access 47 Hình - Sơ đồ kết nối hệ thống mạng LAN 50 Hình - Sơ đồ logic hệ thống mạng LAN 50 Hình – Mô tả hoạt động yêu cầu MAC address 56 Hình – Hoạt động công ARP Spooling 57 Hình – Phịng chống công ARP 58 Hình – Hoạt động cấp phát động địa IP .60 Hình 10 – Hoạt động cơng DHCP 61 Hình 11 – Phịng chống cơng DHCP 62 Hình 12 – Hoạt động cập nhật MAC 63 Hình 13 - Mơ hình thử nghiệm công ARP 65 Hình 14 - Cấu hình nhận IP động cho PC .67 Hình 15 - Kiểm tra hoạt động web server .68 Hình 16 – Tìm thơng tin PC-Victim .69 Hình 17 – Chọn địa máy PC-Victim để công 70 Hình 18 – Kiểm tra bảng MAC máy Victim 70 Hình 19 – Sử dụng wireshark để bắt gói tin qua máy cơng .71 Hình 20 – Mẫu file bat để kích hoạt máy trạm .73 Hình 21 – Hiển thị tham số mạng ban đầu máy người dùng 73 Hình 22 – Sử dụng Ettercap để công cấp phát giả gói tin DHCP 74 Hình 23 – Hiển thị tham số mạng sau bị cơng DHCP 74 Hình 24 – Cấp phát gói tin giả DHCP cho máy người dùng 75 Hình 25 – Kiểm tra MAC table Switch .76 Hình 26 – Tấn cơng mập lụt MACtable Switch 76 Hình 27 – Bản MAC bị lấp đầy thực công bảng MAC 77 Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn ĐẶT VẤN ĐỀ Tổng quan Mạng nội sở hạ tầng mạng mà hầu hết cá nhân tổ chức sử dụng để kết nối vào mạng Nó sử dụng văn phịng, gia đình, trung tâm liệu hay mạng máy tính tổ chức Ban đầu, mạng nội có phạm vi nhỏ, thiết kế để trở thành mạng có tính linh hoạt chi phí thấp, có khả kết nối với tốc độ cao cho nhóm máy tính sử dụng cơng nghệ mạng cục (LAN) Sau này, quy mô hạ tầng mạng tăng lên, kết hợp với xu hướng sử dụng chuẩn giao thức IP phạm vi lớn tính ban đầu mạng cục - Ethernet sử dụng ngày Mạng nội trở nên phổ biến vào năm 1980 băng thơng mạng có giá trị khoảng 10 Mbps sử dụng cáp đồng trục Ngày nay, mạng nội phổ biến với băng thông Gbps, sử dụng chuyển mạch, full-duplex, dùng cáp xoắn đôi cáp sợi quang, kết hợp chuẩn mạng không dây WiFi Mạng nội coi giải pháp mạng với chi phí thấp cho kết nối máy trạm máy tính xách tay, mạng cho máy chủ (băng thông thường khoảng 1-10Gbps) Lý chọn đề tài Hoạt động doanh nghiệp gắn liền với hệ thống máy tính kết nối mạng nội Các doanh nghiệp lớn có nhiều văn phòng, nhu cầu kết nối mạng văn phòng kết nối văn phòng với cần thiết để trao đổi thông tin nội doanh nghiệp Mạng nội doanh nghiệp hiểu hệ thống mạng văn phòng doanh nghiệp hệ thống kết nối mạng văn phòng tạo lên hệ thống mạng trao đổi thông tin nội cho doanh nghiệp Việc xây dựng hệ thống mạng nội cho doanh nghiệp nhiệm vụ quan trọng để tạo khơng gian kết nối máy tính đáp ứng hoạt động doanh nghiệp Trong thiết kế mạng nội nhiệm vụ đầu tiên, cần thiết nhằm xây dựng hệ thống mạng đáp ứng nhu cầu sử dụng hệ thống mạng nội doanh nghiệp Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn Hệ thống mạng nội thiết kế cần có tính để đảm bảo sẵn sàng cao, trì hoạt động liên tục doanh nghiệp, đồng thời mạng nội phải đảm bảo tính bảo mật, bảo vệ tài nguyên doanh nghiệp môi trường mạng Từ lý trên, chọn đề tài “Thiết kế mạng nội an toàn cho doanh nghiệp lớn” làm luận văn thạc sỹ kỹ thuật Mục tiêu cụ thể - Mục tiêu: Thiết kế mạng nội doanh nghiệp lớn tìm hiểu vấn đề an tồn thơng tin cho mạng nội - Phạm vi: + Tìm hiểu thiết kế mơ hình mạng nội doanh nghiệp + Tìm hiểu vấn đề an tồn thơng tin mạng nội + Thực thiết kế mơ hình mạng nội cho chi nhánh doanh nghiệp tính thiết bị mạng để đảm bảo an tồn thơng tin mạng nội Nội dung thực - Thiết kế mơ hình hệ thống mạng nội phù hợp với nhu cầu phát triển doanh nghiệp phù hợp với cơng nghệ mạng Ngồi ra, hệ thống thiết kế cần có tính linh hoạt tính sẵn sàng cao - Nghiên cứu vấn đề bảo mật hệ thống mạng nội bộ: tìm hiểu nguy công mạng nội bộ, triển khai giải pháp bảo mật thiết bị mạng nội - Lựa chọn mơ hình doanh nghiệp để thực thiết kế mơ hình mạng nội chi nhánh giải pháp bảo mật thiết bị mạng, mô số kịch cơng mạng giải pháp phịng chống Bố cục luận văn Nội dung Luận văn gồm mục sau: Chương 1: Giới thiệu chung Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn Người công PC-Attacker: sử dụng công cụ Cain & Abel để công giả mạo ARP, làm cho gói tin trao đổi PC1-Victim Server phải qua PC2Attacker (man in the middle) Attacker sử dụng cơng cụ sẵn có Cain & Abel sử dụng cơng cụ khác (ví dụ wireshark) để khai thác gói tin lấy thơng tin cần thiết: user/password, nghe nén thông tin khác,… - Tấn công dịch vụ DHCP: Người công sử dụng công cụ Ettercap để công dịch vụ DHCP phát hành gói DHCP tin mạo làm tất gói tin mạng máy nhận DHCP giả mạo qua máy người công Attacker sử dụng công cụ sẵn có Ettercap sử dụng cơng cụ khác (ví dụ wireshark) để khai thác gói tin lấy thông tin cần thiết: user/password, nghe nén thông tin khác,… - Tấn công làm hết tài nguyên bảng MAC switch: Người công sử dụng công cụ Macof để công làm tràn bảng MAC switch, tất gói tin đến switch chuyển tiếp đến tất cổng switch Attacker sử dụng cơng cụ cơng cụ bắt gói tin (ví dụ wireshark) để khai thác gói tin lấy thông tin cần thiết: user/password, nghe nén thông tin khác,… 3.3.4.3 Cấu hình mơi trường: - Cấu hình Router 1: (1) Cấu hình cho Router : đặt IP Router(config)#interface f0/0 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config)#interface f0/1 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown (2) Bật dịch vụ DHCP Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 66 Thiết kế mạng nội an toàn cho doanh nghiệp lớn Router(config)#service dhcp Router#show ip dhcp binding (3) Tạo pool để cấp IP cho client Router(config)#ip dhcp pool R1DHCP2 < đặt tên cho pool cấp IP Router(dhcp-config)#network 192.168.2.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.2.1 Router(dhcp-config)#dns-server 8.8.8.8 8.8.4.4 - Cấu hình máy tính: nhận địa động từ DHCP server Hình 14 - Cấu hình nhận IP động cho PC - Cấu hình địa tĩnh máy Server-DHCP: 192.168.2.10 - Cài đặt WEB server: Sử dụng ứng dụng XAMPP để tạo máy chủ web php - Kiểm tra kết nối vùng: + Kiểm tra địa nhận máy thực thiện ping để kiểm tra kết nối + Kiểm tra truy cập web từ máy PC-Victim: Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 67 Thiết kế mạng nội an toàn cho doanh nghiệp lớn Hình 15 - Kiểm tra hoạt động web server - Cài đặt công cụ công máy PC 2-Attacker: tải công cụ Cain & Abel địa www.oxid.it/cain.html thực cài đặt 3.3.4.4 1) Thực cơng phịng cơng ARP Thực công ARP: Bước – Chọn card mạng để quét thông tin mạng với công cụ Sniffer: Tại máy Attacker, chạy chương trình Cain, vào mục Configure danh mục chính, chọn tab Sniffer, chọn cạc mạng với địa IP phù hợp với mạng dự định thực công, bấm OK - Bước 2: Qt mạng để tìm thơng tin máy Victim: Chọn tap Sniffer, click chuột phải vào hình để chọn Scan MAC Addresses, Click OK Bấm vào biểu tượng cạc mạng (thứ hai từ trái qua) để bắt đầu trình quét hệ thống, chọn tab Sniffer để hiển thị địa MAC máy hoạt động hệ thống mạng cục Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 68 Thiết kế mạng nội an tồn cho doanh nghiệp lớn Hình 16 – Tìm thơng tin PC-Victim Có thể bấm vào biểu tượng dấu “+” công cụ, chọn ARP Test (Broadcast 31-bit) phần Promiscuous-Mode Scanner để có thêm nhiều địa MAC - Bước 4: Tìm máy Victim để thực công: Quan sát danh sách xem hai máy dự định công xuất danh sách hay chưa? Nếu có, bấm vào tab ARP cơng cụ phía chương trình Cain, xuất hai cửa sổ: cửa sổ phía (I) hiển thị danh sách máy bị cơng, cửa sổ phía (II) thị nội dung trao đổi máy bị công - Bước 5: Chọn máy Victim để công: Bấm chuột vào cửa sổ (I), bấm vào nút có dấu “+” cơng cụ, để lựa chọn máy công Khung bên trái hiển thị tất máy mạng, chọn máy công, cửa sổ bên phải xuất tất máy mạng (trừ máy lựa chọn bên trái) Chọn máy thứ khung bên phải, bấm OK Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 69 Thiết kế mạng nội an tồn cho doanh nghiệp lớn Hình 17 – Chọn địa máy PC-Victim để công Bấm vào biểu tượng rada màu vàng – đen (thứ bên trái qua) để bắt đầu theo dõi hai máy Sau kích hoạt cơng, máy Victim, địa IP bị công đề địa MAC máy Attack: Hình 18 – Kiểm tra bảng MAC máy Victim - Bước 6: Khai thác thơng tin Tại máy Attacker, sử dụng tính ứng dụng Cain & Abel, wireshark để khai thác thông tin (password) sử dụng công cụ khác để theo dõi chi tiết q trình trao đổi thơng tin máy Victim, ví dụ chạy chương trình bắt gói wireshark, lọc gói thấy tên đăng nhập mật thông tin liệu khác Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 70 Thiết kế mạng nội an toàn cho doanh nghiệp lớn Hình 19 – Sử dụng wireshark để bắt gói tin qua máy cơng Khi kết thúc, nhấp vào biểu tượng xạ màu vàng đen lần để bỏ giả mạo ARP cache 2) Phòng chống cơng ARP: • Phương án 1: Sử dụng tính Dynamic ARP inspection kết hợp với cấu hình bảo mật “trust state” cổng switch: Dynamic ARP inspection tính bảo mật kiểm chứng gói ARP mạng Nó chặn, ghi loại bỏ gói tin ARP với ràng buộc địa IP-to-MAC không hợp lệ - Minh họa cấu hình DAI cho VLANs (ví dụ VLAN 10 – 12): RSwitchr# configure terminal RSwitch(config)# ip arp inspection vlan 10,11,12 Hiển thị lại cấu hình: RSwitch(config)# show ip arp inspection vlan 10-12,15 | begin Vlan Vlan Configuration - Operation ACL Match - - 10 Enabled Inactive 11 Enabled Inactive Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 71 Static ACL Thiết kế mạng nội an toàn cho doanh nghiệp lớn 12 Enabled Inactive - Minh họa cấu hình cho giao tiếp Fast Ethernet port 5/12: RSwitch# configure terminal RSwitch(config)# interface fastethernet 5/12 RSwitch(config-if)# ip arp inspection trust RSwitch(config-if)# show ip arp inspection interfaces | include Int| |5/12 Interface Trust State - Fa5/12 Rate (pps) Burst Interval Trusted None N/A • Phương án 2: Cấu hình máy trạm: giải pháp phù hợp với mạng nhỏ, phương án cấu hình thực tay máy sử dụng hệ thống AD để áp policy cho tất máy logon vào hệ thống + Bước 1: Lấy địa chỉ MAC thiết bị: sử dụng câu lệnh ipconfig /all MAC PC-Victim: 000c.29d2.3a6e MAC PC-Attacker: 000c.29c0.7a36 MAC HTTP: 000c.2968.bf08 MAC Router: c004.0e6c.0000 + Bước 2: Xác định địa chỉ IP cho máy: MAC PC-Victim: 000c.29d2.3a6e -> IP:192.168.2.4 MAC PC-Attacker: 000c.29c0.7a36 -> IP:192.168.2.2 MAC PC HTTP: 000c.2968.bf08 ->IP 192.168.2.10 MAC Router: c004.0e6c.0000 -> IP:192.168.2.1 + Bước 3: Xây dựng file policy AD để áp bảng địa MAC gắn với IP máy PC/hoặc xây dựng file bat để thực áp tay cho máy (hoặc tạo file bat để thực cho tất máy – chạy với quyền administrator) Show bảng MAC: Arp -a Arp –d * -> xóa bảng MAC cũ Arp –s 192.168.2.4 000c.29d2.3a6e -> add static entry Arp –s 192.168.2.2 000c.29c0.7a36 -> add static entry Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 72 Thiết kế mạng nội an toàn cho doanh nghiệp lớn Arp –s 192.168.2.10 000c.2968.bf08 -> add static entry Arp –s 192.168.2.1 c004.0e6c.0000 -> add static entry Mẫu file thực thi bat (cần chạy quyền “run as administrator”): Hình 20 – Mẫu file bat để kích hoạt máy trạm 3.3.4.5 1) Thực cơng phịng công dịch vụ DHCP Thực công: Sử dụng máy ảo Kali để thực công công cụ Ettercap: - Kiểm tra cấu hình địa máy PC-user lệnh: ipconfig – thị địa IP 192.168.2.3, Gateway 192.168.2.1, … Hình 21 – Hiển thị tham số mạng ban đầu máy người dùng - Trên máy công, sử dụng máy ảo Kali, sử dụng công cụ Ettercap để thực công Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 73 Thiết kế mạng nội an toàn cho doanh nghiệp lớn Hình 22 – Sử dụng Ettercap để cơng cấp phát giả gói tin DHCP - Trên máy PC-User, Disable card mạng enable để card mạng nhận địa IP (hoặc sử dụng lệnh release/renew DOS) Gateway PC bị thay đổi thành địa 192.168.2.2 Hình 23 – Hiển thị tham số mạng sau bị công DHCP - Trên công cụ Ettercap thấy yêu cầu cấp địa DHCP đáp ứng: Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 74 Thiết kế mạng nội an tồn cho doanh nghiệp lớn Hình 24 – Cấp phát gói tin giả DHCP cho máy người dùng 2) Phịng chống cơng: - Trên switch, cấu hình DHCP snooping để chặn gói tin giả mạo từ máy tính người cơng Minh họa cấu hình cho access switch: Switch#configure terminal Switch(config)#interface f0/0 -> F0/0 trusr nối đến DHCP server Switch(config-if)#ip dhcp snooping trust Switch(config-if)#exit Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 1-2 Switch(config)#end Switch#show ip dhcp snooping - Sau cấu hình, gói tin giải mạo cấp DHCP bị đánh rớt cơng giả mạo máy chủ DHCP khơng cịn hiệu lực - Cấu hình Port-Security để ngăn máy cơng gửi gói tin có địa MAC giả mạo Minh họa cấu hình: Switch#configure terminal Switch(config)#interface range f0/0-3 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport port-security //default MAC Switch(config-if-range)#switchport port-security maximum Switch(config-if-range)#end Switch#show port-security Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 75 Thiết kế mạng nội an tồn cho doanh nghiệp lớn Cấu hình IP Source Guard access switch để kiểm tra IP source, trường hợp không khớp với binding entry bị đánh rớt 3.3.4.6 1) Thực cơng phịng công làm hết tài nguyên bảng MAC Thực công: - Kiểm tra số lượng ghi tối đa switch: Hình 25 – Kiểm tra MAC table Switch - Trên máy công, sử dụng máy ảo Kali, sử dụng công cụ Macof để thực cơng: cấu hình số lượng ghi gửi đi, tân xuất gửi để công MAC Switch Hình 26 – Tấn cơng mập lụt MACtable Switch Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 76 Thiết kế mạng nội an toàn cho doanh nghiệp lớn - Kiểm tra switch sau số giây, bảng MAC switch bị làm tràn địa MAC giả mạo: Hình 27 – Bản MAC bị lấp đầy thực cơng bảng MAC Khi gói tin đến switch chuyển tiếp đến tất cổng switch Người cơng sử dụng cơng cụ bắt gói tin để nghe thơng tin mạng 2) Phịng chống cơng: - Cấu hình tính port-security: hạn chế số lượng địa MAC cổng, Tắt cổng vi phạm số địa MAC cổng Minh họa cấu hình: Switch#configure terminal Switch(config)#interface range f0/0-3 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport port-security //default MAC Switch(config-if-range)#switchport port-security maximum Switch(config-if-range)#end Switch#show port-security Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 77 Thiết kế mạng nội an toàn cho doanh nghiệp lớn - Khi tiếp tục sử dụng Macof để công, cổng mạng nối với máy công tự động tắt để cách ly bảo vệ mạng 3.4 Kết luận Từ tìm hiểu khuyến nghị thiết kế Mơ hình hệ thống mạng nội tài liệu kỹ thuật khuyến nghị hãng sản xuất thiết bị, giải pháp mạng, Chương Luận văn đưa mơ hình thiết kế mạng nội an toàn cho doanh nghiệp đáp ứng yêu cầu : - Thiết kế mơ hình mạng nội đáp ứng trạng nhu cầu sử dụng doanh nghiệp, đáp ứng phù hợp với công nghệ mạng - Thiết kế triển khai tính bảo mật hệ thống mạng nội đảm bảo an tồn thơng tin mạng nội Chương mô số kịch cơng phịng chống cơng mạng môi trường giả lập để khẳng định giải pháp triển khai phù hợp Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 78 Thiết kế mạng nội an toàn cho doanh nghiệp lớn KẾT LUẬN Luận văn tìm hiểu vấn đề thiết kế mạng nội an toàn cho doanh nghiệp lớn bao gồm nội dung sau: - Tìm hiểu vấn đề thiết kế mạng nội doanh nghiệp - Nghiên cứu vấn đề bảo mật hệ thống mạng nội bộ: tìm hiểu nguy công mạng nội bộ, giải pháp bảo mật thiết bị mạng nội Luận văn tìm hiểu - Thực thiết kế mơ hình mạng nội cho doanh nghiệp với yêu cầu cụ thể Mơ hình mạng đáp ứng phù hợp với nhu cầu phát triển doanh nghiệp phù hợp với công nghệ mạng Hệ thống mạng thiết kế đáp ứng tính linh hoạt tính sẵn sàng cao Tìm hiểu tính hệ thống mạng cần triển khai để đảm bảo an tồn thơng tin hệ thống mạng nội - Mô số kịch công cụ thể giải pháp phịng chống cơng hiệu Tuy nhiên, nội dung Luận văn số giới hạn sau: - Việc thiết kế mơ hình mạng cịn chưa tồn diện chưa nghiên cứu thành phần mạng khác cần thiết khác cho hoạt động doanh nghiệp, hệ thống bảo mật mạng, hệ thống di động, hệ thống quản lý mạng, - Việc tìm hiểu vấn đề an tồn thơng tin mạng nội cịn chưa đánh giá tranh toàn diện, thiếu cập nhật số nguy bảo mật phát sinh từ hệ thống chưa đánh giá ảnh hưởng kiểu cơng nay, ví dụ cơng APT, Do đó, vấn đề luận văn cần tiếp tục nghiên cứu hoàn thiện Về mơ hình mạng nộ cần tìm hiểu để tích hợp dịch vụ mạng khác để có tranh hoàn thiện triển khai cho doanh nghiệp Về bảo mật cần tìm hiểu đánh giá kiểu cơng mạng ảnh hưởng đến an tồn mạng nội doanh nghiệp Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 79 Thiết kế mạng nội an toàn cho doanh nghiệp lớn TÀI LIỆU THAM KHẢO [1] Bruschi, A Ornaghi, E Rosti (2003), S-ARP: a secure address resolution protocol, Dipartimento di Informatica e Comunicazione, Universita degli Studi di Milano, Italy [2] Cisco System (2015), Inplementing Cisco Network Security [3] IEEE standards association (2015), IEEE Standard for Ethernet, IEEE Computer Society [4] Lydia Parziale, David T.Britt, Chuck Davis, Jason Forrester, Wei Liu, Carolyn Matthews, Nicolas Rosselot (2006), TCP/IP tutorial and technical overview, IBM Redbooks [5] Martin Pueblas, Steve Gyurindak, John Strika, Rahul Kachalia, Dan Hamilton, Srinvas Tenneti (2010), Medium Enterprise Design Profile Reference Guide, Cisco System [6] OSAMA S YOUNES (2017), Securing ARP and DHCP for mitigating link layer attacks, Indian Academy of Sciences [7] Robert M.Metcalfe, David R.Boggs (1975), Ethernet: Distributed packet switching for local computer networks, Xerox Palo alto research center [8] Sean Whalen (2001), An Introduction to ARP Spoofing, https://Chocobospore.org/arpspoof [9] Timo Kiravuo, Mikko Sarela, and Jukka Manner (2013), A Survey of Ethernet LAN Security, IEEE communications surveys & tutorials [10] Wiley (2007), CCNA Stydy Guide, Wiley Publishing, Inc., Indianapolis, Indiana Đỗ Xuân Đỉnh - SHHV: CB150847 - Lớp : 15BMMT 80 ... 37 Thiết kế mạng nội an toàn cho doanh nghiệp lớn CHƯƠNG TRIỂN KHAI THIẾT KẾ HỆ THỐNG MẠNG NỘI BỘ AN TOÀN 3.1 Yêu cầu hệ thống mạng nội cần thiết kế Để thực thiết kế hệ thống mạng nội cho doanh. .. 15BMMT Thiết kế mạng nội an toàn cho doanh nghiệp lớn Chương giới thiệu vấn đề chung thiết kế hệ thống mạng nội cho doanh nghiệp Chương 2: Thiết kế mơ hình hệ thống mạng đảm bảo an toàn hệ thống mạng. .. nguyên doanh nghiệp môi trường mạng Từ lý trên, chọn đề tài ? ?Thiết kế mạng nội an toàn cho doanh nghiệp lớn? ?? làm luận văn thạc sỹ kỹ thuật Mục tiêu cụ thể - Mục tiêu: Thiết kế mạng nội doanh nghiệp