HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - PHÙNG THỊ HẢI YẾN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN VÀ ỨNG DỤNG TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM Chuyên ngành: HỆ THỐNG THƠNG TIN Mã số: 8480104 TĨM TẮT LUẬN VĂN THẠC SĨ ( Theo định hướng ứng dụng) HÀ NỘI - 2018 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG Ngƣời hƣớng dẫn khoa học: TS Vũ Văn Thỏa Phản biện 1: PGS.TS PHẠM VĂN CƢỜNG Phản biện 2: PGS.TS LƢƠNG THẾ DŨNG Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 10 10 phút, ngày 06 tháng 01 năm 2018 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng PHẦN MỞ ĐẦU Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xun có mạng bị cơng, có tổ chức bị đánh cắp thông tin,…gây nên hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính cơng ty lớn AT&T, IBM, trường đại học quan nhà nước, tổ chức quân sự, nhà băng,… Một số vụ cơng với quy mơ khổng lồ (có tới 100.000 máy tính bị cơng) Hơn số phần tảng băng chìm Một phần lớn vụ công không thơng báo nhiều lý do, kể lo uy tín đơn giản người quản trị mạng không hay biết vụ công nhằm vào hệ thống họ Khơng vụ cơng tăng lên nhanh chóng mà phương pháp công liên tục hoàn thiện Tại Việt Nam, hệ thống mạng Website bị công theo chiều hướng gia tăng: năm 2014 có nghìn Website bị cơng, năm 2015 2000 website bị công phát tán thư rác, năm 2016 website Vietnam Airlines bị hack lộ 400.000 liệu khách hàng Đặc biệt, theo thống kê Microsoft, nước đứng đầu toàn cầu nguy nhiễm mã độc có nước thuộc khu vực Đông Nam Á Việt Nam Indonesia Đây hai nước có tỷ lệ nhiễm mã độc 45% vào quý II/2016, gấp đôi so với mức trung bình kỳ (21%) giới Vì vậy, việc kết nối mạng nội quan tổ chức vào mạng Internet mà khơng có biện pháp đảm bảo an ninh xem tự sát Từ nhu cầu phát triển, đòi hỏi quan, tổ chức phải kết nối vào mạng Internet song phải đảm bảo an tồn thơng tin trình kết nối Bởi vậy, học viên định chọn đề tài: “NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN VÀ ỨNG DỤNG TẠI TRƯỜNG ĐẠI HỌC ĐẠI NAM” Luận văn trình bày chương: Chƣơng 1: Tổng quan mạng Lan yêu cầu bảo mật Chƣơng 2: Nghiên cứu giải pháp bảo mật mạng Lan Chƣơng 3: Đề xuất giải pháp bảo mật cho mạng nội Trƣờng Đại học Đại Nam Chƣơng TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO MẬT 1.1 Tổng quan công nghệ mạng LAN vấn đề liên quan 1.1.1 Giới thiệu chung Mạng LAN viết tắt Local Area Network, dịch nghĩa mạng máy tính nội bộ, cho phép máy tính khơng gian hẹp kết nối với để làm việc chia sẻ liệu Mạng kết nối thông qua LAN Wifi, sử dụng phạm vi giới hạn phòng làm việc, nhà, trường học,… Mạng LAN hữu ích cho phép người sử dụng dùng chung tài nguyên quan trọng máy in, ổ CDROM, phần mềm ứng dụng thông tin cần thiết khác Một mạng LAN tối thiểu cần phải có máy chủ (Server), thiết bị ghép nối ( Switch, Router,…), máy trạm (Client), card mạng dây cáp (hoặc Wifi) để kết nối máy tính lại với Các cơng nghệ mạng Lan bao gồm: cơng nghệ Ethernet, Fast-Ethernet, GigaEthernet Hình 1.1: Các đặc trƣng Fast Ethernet, kiểu truyền khoảng cách (Nguồn: Internet) 1.1.2 Các mơ hình mạng LAN LAN có nhiều mơ hình mạng, kể đến loại: Star, Bus, Token Ring, Mesh 1.2 Các mối đe dọa bảo mật phƣơng thức công mạng LAN 1.2.1 Các mối đe dọa bảo mật mạng LAN Mối đe dọa khơng có cấu trúc (Untructured threat) thường hành vi xâm nhập mạng trái phép cách đơn lẻ, khơng có tổ chức Mối đe dọa có cấu trúc (Structured threat) hành động xâm nhập mạng trái phép cố ý, có động kỹ thuật cao 3 Mối đe dọa từ bên (External threat) công tạo khơng có quyền hệ thống Mối đe dọa từ bên (Internal threat) sử dụng để mô tả kiểu công thực từ người tổ chức có vài quyền truy cập mạng LAN 1.2.2 Các phƣơng thức công mạng LAN Phƣơng thức ăn cắp thống tin Packet Sniffers Đây chương trình ứng dụng bắt giữ tất các gói lưu chuyển mạng (trên collision domain) Phƣơng thức công mật Password attack Các hacker công password số phương pháp như: brute-force attack, chương trình Trojan Horse, IP spoofing, packet sniffer Phƣơng thức công Mail Relay Đây phương pháp phổ biến Email server cấu hình khơng chuẩn Username/ password user sử dụng mail bị lộ Phƣơng thức công lớp ứng dụng Tấn công lớp ứng dụng thực nhiều cách khác Một cách thông dụng công vào điểm yếu phân mềm sendmail, HTTP, hay FTP Phƣơng thức công Virus Trojan Horse Các nguy hiểm cho workstation end user công virus ngựa thành Trojan (Trojan horse) 1.3 Các yêu cầu bảo mật chung cho mạng LAN Bảo mật an ninh mạng trở thành vấn đề ưu tiên hàng đầu thiết kế quản lý vận hành mạng nhằm đảm bảo các yêu cầu sau:  Yêu cầu tính sẵn sàng mạng: Mạng phải đảm bảo sẵn sàng cung cấp dịch vụ cho người dùng lúc, nơi  Yêu cầu tính bền vững mạng: Trong mơi trường đầy nguy an toàn mạng người dùng giao tiếp với nhiều mạng công cộng hệ thống khác nhau, mạng phải chống công mạng DoS, DDoS, …  Yêu cầu độ tin cậy mạng: Trong trình hoạt động, mạng phải đảm bảo truy cập người dùng hợp pháp, tránh rủi ro làm ảnh hưởng đến an toàn mạng 4 1.4 Kết luận Trong chương 1, luận văn nghiên cứu tổng quan công nghệ mạng LAN nguy đe dọa bảo mật mạng LAN Từ đó, luận văn đề xuất yêu cầu bảo mật cho mạng LAN, vấn đề liên quan đến bảo mật mạng LAN thực tế Trên sở nội dung trình bày chương 1, giải pháp bảo mật mạng LAN đáp ứng yêu cầu đề nghiên cứu chương luận văn Chƣơng II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN 2.1 Giải pháp sử dụng hệ thống tƣờng lửa 2.1.1 Giới thiệu chung Một giải pháp bảo mật mạng LAN nhằm tránh công từ bên hay ngăn chặn truy cập trang web từ bên sử dụng tường lửa (Firewall) Hình 2.1 mơ tả mạng LAN có sử dụng tường lửa Hình 2.1: Firewall bảo mật mạng LAN [13] Tường lửa (firewall) rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn truy cập thông tin không mong muốn từ vào hệ thống mạng nội ngăn chặn thông tin bảo mật nằm mạng nội xuất ngồi Internet mà khơng cho phép 2.1.2 Tường lửa Fortinet Sản phẩm FortiGate Fortinet thiết bị tường lửa Unified Thread Management hợp chế ngăn chặn phòng ngừa nguy hiểm họa mạng tổ chức, công ty, bao gồm chức năng: Bảo mật kết nối, Tích hợp bảo mật cho ứng dụng nội dung số, Bảo mật ứng dụng 2.2 Giải pháp hệ thống phát ngăn chặn xâm nhập mạng IDS/IPS IDS hệ thống phát dấu hiệu cơng xâm nhập, đồng thời khởi tạo hành động thiết bị khác để ngăn chặn công Khác với tường lửa, IDS không thực thao tác ngăn chặn truy xuất mà theo dõi hoạt động mạng để tìm dấu hiệu công cảnh báo cho người quản trị mạng Một điểm khác biệt khác hai liên quan đến bảo mật mạng, tường lửa theo dõi xâm nhập từ bên ngồi ngăn chặn chúng xảy ra, giới hạn truy nhập mạng để ngăn chặn xâm nhập không phát cơng từ bên mạng Bên cạnh IDS đánh giá xâm nhập đáng ngờ diễn đồng thời phát cảnh báo, theo dõi cơng có nguồn gốc từ bên hệ thống Hình 2.1: Sơ đồ hoạt động IPS 2.3 Giải pháp áp dụng công nghệ VLAN VLAN cụm từ viết tắt virtual local area network (virtual LAN) hay gọi mạng LAN ảo VLAN kỹ thuật cho phép tạo lập mạng LAN độc lập cách logic kiến trúc hạ tầng vật lý Việc tạo lập nhiều mạng LAN ảo mạng cục (giữa khoa trường học, cục công ty, ) giúp giảm thiểu miền quảng bá (broadcast domain) tạo thuận lợi cho việc quản lý mạng cục rộng lớn VLAN tương đương mạng (subnet) 2.4 Giải pháp áp dụng công nghệ mạng riêng ảo (VPN) VPN (Virtual Private Network) mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa.Virtual Private Network sử dụng kỹ thuật Tunneling Protocols Đây kỹ thuật đóng gói gói tin liệu bên gói tin khác để tạo kênh truyền an tồn Hình 2.2: Hình dung sơ hệ thống VPN 2.4.1 Các đặc tính VPN VPN có đặc tính hữu ích gồm: - Chi phí thiết lập mạng VPN thấp sử dụng chung hạ tầng Internet - Tính linh hoạt: VPN xóa bỏ rào cản mặt địa lý cho hệ thống mạng, sẵn sàng kết nối mạng riêng lại với cách dễ dàng thông qua môi trường Internet - Tăng tính bảo mật: liệu quan trọng che giấu người khơng có quyền truy cập cho phép truy cập người dùng có quyền truy cập Sử dụng giao thức đóng gói, thuật tốn mã hóa phương pháp chứng thực để bảo mật liệu trình truyền - Bảo mật địa IP: thông tin gửi VPN mã hóa điạ bên mạng riêng che giấu sử dụng địa bên ngồi Internet 2.4.2 Các loại VPN Có hai loại phổ biến VPN truy cập từ xa (Remote-Access) VPN điểmnối-điểm (site-to-site) - VPN truy cập từ xa (Remote): gọi mạng Dial-up riêng ảo (VPDN), kết nối người dùng-đến-LAN, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa - VPN điểm-nối-điểm (site-to-site): việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng cơng cộng Internet Loại dựa Intranet Extranet 2.5 Giải pháp phân quyền truy cập liệu Việc xây dựng tài khoản người dùng công ty, doanh nghiệp cho phép quản lý việc truy cập phân phối liệu tùy vào mục đích cá nhân người sử dụng, tránh trường hợp rị rỉ thơng tin quan trọng hay hoạt động phá hoại liệu khác Người dùng muốn truy cập vào hệ thống cần khai báo: Tên người dùng Password Dựa vào thông tin tài khoản mà hệ quản trị sở liệu xác minh phép hay từ chối quyền truy cập vào sở liệu Sau xây dựng danh sách tài khoản người dùng, cần phân tài khoản phòng ban khác tùy vào phòng ban Việc phân chia vào phịng ban giúp quản lý thơng tin mà nhân viên phịng ban phép truy cập hay không Chẳng hạn ta phân phịng ban IT Sale, sau máy chủ ta tạo thư mục IT Sale, ta phân quyền cho phép tài khoản phòng ban truy cập vào thư mục phịng ban khơng truy cập vào phịng ban cịn lại Đó cách hiệu để quản lý liệu, tránh việc thất thoát trường hợp không mong muốn 2.6 Các giải pháp phụ trợ quan trọng khác 2.6.1 Phần mềm phòng chống Virus Đầu tiên, phải hiểu Virus Virus máy tính đoạn chương trình đặc biệt "gắn lén" vào chương trình khác cho thực chương trình đoạn chương trình virus thực trước Thường chương trình chèn thêm vào phá hỏng liệu, ăn cắp liệu khóa liệu tống tiền, Ðoạn chương trình virus có khả lây lan sang chương trình khác hay từ dĩa sang dĩa khác gây tác hại máy tính Do tác hại Virus máy tính vơ to lớn, ngồi giải pháp chống xâm nhập Firewall, IDS/IPS, ta cần có giải pháp chống lại virus máy tính Đối với máy trạm, thị trường xuất nhiều phần mềm phòng chống virus, tiêu biểu BKAV, AVIRA, Kaspersky, Ta cài đặt chúng cách dễ dàng máy trạm nhằm phịng chống việc virus cơng người dùng vơ tình ấn nhầm link hay bị đối tượng bên tác động tới hệ thống 2.6.2 Giải pháp DLP (Data Loss Prevention) Hiện ngay, nguy an ninh mạng có xu hướng chuyển từ công vào hạ tầng mạng doanh nghiệp, công ty để phá hoại, làm uy tín , sang đánh cắp thông tin tài khoản cá nhân để trục lợi Trong doanh nghiệp, thơng tin nhạy cảm lưu trữ nằm rải rác nhiều phận vơ tình hay cố ý mà thơng tin bị rị rỉ, phát tán qua nhiều đường như: - Gửi nhầm nội dung upload file chứa thơng tin nhạy cảm ngồi qua hộp thư cá nhân Gmail, chia sẻ file, qua trang web cá nhân, trang xã hội, blog, - Các phần mềm gián điệp, virus, mã độc hại, tự động ăn cắp thông tin gửi ngồi mà người dùng khơng hay biết Do đó, ta cần giải pháp giúp giảm nguy bị thất thơng tin, tìm hiểu giải pháp DLP (Data Loss Prevention) 2.6.3 Giải pháp an ninh vật lý cho phòng máy chủ Khi nhắc đến tảng hệ thống thông tin không nhắc đến trung tâm liệu (Data Center), trái tim toàn hệ thống Việc xây dựng trung tâm liệu xu tất yếu, nhu cầu bắt buộc, thiếu doanh nghiệp hay tổ chức Do đó, ta nên đề giải pháp an ninh vật lý cho phòng máy chủ nhằm đảm bảo mục tiêu tối ưu cho hoạt động, đảm bảo tính sẵn sàng, tính thuận tiện vận hành phát triển hệ thống sau Các giải pháp gồm:  Sàn nâng cho phòng máy chủ  Nguồn cung cấp  Làm mát cho phòng máy chủ 2.6.4 Hệ thống giám sát quản trị hệ thống an ninh mạng Ngoài giải pháp vật lý giúp hệ thống chạy ổn định, để vận hành hệ thống cách trơn tru, ta cần hệ thống giám sát quản trị hệ thống mạng Hệ thống thực nhiệm vụ kiểm tra thành phần hệ thống, giúp người quản trị phát ngăn chặn xâm nhập trái phép kịp thời, đồng thời đưa giải pháp hỗ trợ Ngoài việc sử dụng phầm mềm giám sát phần hệ thống tùy theo chức năng, ta có số gói giám sát hệ thống cung cấp thị trường Chẳng hạn NetMD, UTM, 2.6.5 Xây dựng sách an ninh cho hệ thống Một sách an ninh cho hệ thống (hay cịn gọi sách người) phải gồm nhiều sách kết hợp với tuân thủ nghiêm ngặt để tạo hiệu cao 2.7 Kết luận chƣơng Trong chương 2, luận văn nghiên cứu giải pháp nhằm đảm bảo yêu cầu bảo mật mạng LAN Mỗi giải pháp có mục đích riêng làm tăng khả bảo mật cho mạng LAN Để đạt hiệu cao nhất, thực tế cần kết hợp tất giải pháp nhằm giúp cho mạng nội hoạt động an tồn, tránh cơng từ bên 10 hay lây nhiễm bên phát hiện, có biện pháp xử lý nhanh chóng xảy cố ý muốn Trong chương 3, luận văn ứng dụng giải pháp bảo mật cho mạng nội trường Đại học Đại Nam 11 Chƣơng III: ỨNG DỤNG TẠI TRƢỜNG ĐẠI HỌC ĐẠI NAM 3.1 Khảo sát mạng nội Đại Học Đại Nam 3.1.1 Mơ hình kiến trúc, chức trang thiết bị mạng có mạng LAN trường Đại học Đại Nam Mơ hình kiến trúc trường Đại học Đại Nam: Hình 3.1: Mơ hình hoạt động hệ thống mạng trƣờng Đại học Đại Nam Hệ thống sử dụng kiến trúc mơ hình mạng Client - Server nhằm chia sẻ liệu từ máy chủ tới máy Đồng thời với kiến trúc mạng hình tầng, ta đạt tốc độ nhanh có thể, kiểm sốt tốt xảy lỗi mở rộng tùy ý muốn Các chức năng: Tại khu vực mạng nội bộ, tầng trường Đại học Đại Nam có Switch kết nối thằng tới Switch tổng để mạng vào khu vực máy chủ nội Các máy chủ nội chạy ảo hóa Vmware, tạo khu vực chứa VPS khu vực KVM chứa dịch vụ nhà trường: Mail, Web, File Trong khu vực KVM có tường lửa Pfsense nhằm gia tăng tính bảo mật Hệ thống mạng chạy Switch kết nối tới Router để đường mạng riêng rẽ bên 3.1.2 Yêu cầu sử dụng - Hệ thống phải kết nối Internet - Xây dựng hệ thống Firewall để bảo vệ hệ thống - VPS, dịch vụ File, Mail, Server phải ổn định để học sinh cán trường sử dụng - Dữ liệu phòng ban phải tập trung, không phân tán, dễ quản lý, phân quyền phù hợp với chức trách 12 - Khả cung ứng cao, đáp ứng lượng lớn kết nối vào hay mạng mà giữ ổn định - Có khả mở rộng tương lai 3.1.3 Hiện trạng vấn đề liên quan đến bảo mật trình vận hành, khai thác mạng nội trường đại học Đại Nam - Do máy chủ đặt nơi nên phần mềm đặt sở, cần cập nhật liệu vào hệ thống máy chủ phải làm tới lần Hệ thống Web, Hệ thống Mail máy chủ đặt tách biệt - Dù có Pfsense bảo vệ Mail Web firewall mềm nên khả cung cấp phiên làm việc bị hạn chế, khơng có khả thơng báo xảy cơng, ngồi tồn hệ thống mạng cịn lại chưa có firewall bảo vệ - Các Switch tầng chưa quy hoạch, khó quản lý - Tại sở Phú Lãm sử dụng đường Internet riêng biệt chưa chun hóa mục đích sử dụng - Các nguy cơ: + Các nguy đến từ bên ngoài: công Dos, Ddos vào hệ thống nhà trường; virus, spam email gửi từ bên vào; công social engineering + Các nguy từ bên trong:do lỗ hổng từ hệ điều hành, phần mềm cài đặt máy chưa update; spam, virus lây lan bên mạng Ngoài cịn loop, bão broadcast; hành vi vơ tình hay cố tình nhằm đánh cắp, phá hủy liệ; cố gây ảnh hưởng đến liệu 3.2 Đề xuất giải pháp bảo mật cho mạng nội trƣờng Đại học Đại Nam Để quản lý tập trung liệu dịch vụ, đồng thời đảm bảo an tồn thơng tin cho hệ thống mạng em đề xuất giải pháp sau: 3.2.1 Giải pháp mạng Xây dựng phòng máy chủ tập trung sở Phú Lãm Sử dụng Firewall cứng Fortinet 140D để bảo vệ Đồng thời tách hệ thống thành khu vực: LAN, WAN, DMZ Khu vực DMZ đặt máy chủ: Web, Mail, File Phần mềm quản lý nhân sự, VPS cho sinh viên thực tập, cách ly hoàn toàn với khu vực người dùng Tránh lây nhiễm Virus lỗi phía máy Client người dùng gây 13 Khu vực LAN sử dụng Switch layer Cisco 3750 cấu hình VLAN, tách phịng ban, tầng riêng biệt Phía WAN dùng đường Internet: WAN dùng để nhập liệu từ sở về, WAN đường độc lập nên liệu đề thi văn an toàn nhập hệ thống máy chủ File tập trung Hai đường quang FTTH có tốc độ 80Mbps, đường dùng để phía người dùng bên ngồi Internet, đồng thời cho phép bên truy cập Website, Email Một số cán nhân viên làm việc tỉnh hay bên ngồi internet VPN vào bên để lấy liệu Đường dùng sinh viên truy cập VPS Đối với hệ thống DMZ em sử dụng thêm hệ thống IDS/IPS (Snot Pfsense): phát xâm nhập, công đưa cảnh báo sớm tới người quản trị Phía sở Vũ Trọng Phụng không đặt máy chủ phải bảo mật cho toàn nhân viên nên em chọn giải pháp dùng Fortinet 90D Phía bên dùng VLAN để tách phòng ban Sử dụng đường WAN để nhập liệu hệ thống máy chủ đường FTTH hệ thống truy cập bên ngồi internet Hình 3.2: Hệ thống trƣờng Đại học Đại Nam dự kiến sau áp dụng giải pháp bảo mật mạng 3.2.2 Giải pháp an toàn bảo mật liệu Đối với vấn đề an toàn bảo mật liệu em dùng phương pháp sau: - Phân quyền truy cập: Ta phân quyền truy cập cho phòng ban Tùy theo yêu cầu đối tượng sau khảo sát chi tiết phía người dùng đưa sách phân quyền 14 - Backup File Server: Ta sử dụng Service Backup File Server có sẵn tảng Window Server nhằm tạo lưu trữ liệu đề phòng trường hợp hỏng hóc làm mát liệu ý muốn - Đối với máy chủ Linux, để quản lý liệu ổ cứng ta sử dụng Disk Management, LVM - Đăt mật cho tài liệu phịng ban Sử dụng mã hóa thấy cần thiết - Ngoài ta up liệu lên Cloud dạng Backup liệu 3.2.3 Giải pháp người sử dụng Về người sử dụng, ta có số giải pháp sau: - Mỗi người sử dụng cần phải chịu hoàn toàn trách nhiệm với tài khoản đăng nhập vào hệ thống máy tính ( Domain Server ) - Cần phải tuân thủ nghiêm ngặt sách an ninh hệ thống, kết hợp với hình thức kỉ luật nhà trường xảy lỗi đến từ phía người dùng - Sử dụng cách thức: dị xóa file, dị cơng để tìm thủ phạm bên hệ thống 3.3 Thử nghiệm đánh giá số giải pháp bảo mật đề xuất 3.3.1 Nội dung thử nghiệm Thử nghiệm gồm nội dung: - Chia Vlan Switch - Sử dụng IDS/IPS: Snot Pfsense - Phân quyền truy cập liệu File Server, Domain - Backup File Server - Cài đặt Router - Triển khai Fortinet + Public Web Mục đích thử nghiệm thực số cài đặt phần mềm nhằm mô giải pháp bảo mật mạng LAN Từ có sở để đề xuất triển khai thực tê (1) Chia Vlan Switch Học viên thực cấu hình Switch (ở switch cisco) tầng, tạo Vlan (Tầng – Vlan 11, Tầng – Vlan 12, ) kết nối chúng tới Switch tổng Kết cần đạt được: Sau chia VLAN, đường truyền mạng hoạt động ổn định Các Vlan tách biệt giúp dễ dàng kiểm soát, chống loop hay bão broadcast 15 (2) Sử dụng IDS/IPS: Snot Pfsense Học viên tiến hành cài đặt Snot Pfsense thiết lập rules Snot nhằm giả lập hệ thống IDS/IPS giúp hệ thống phát ngăn chặn xâm nhập, công trái phép Kết cần đạt: Hệ thống với Snot giúp hệ thống phát xâm nhập, công trái phép, ngăn chặn chúng, đồng thời gửi báo cáo giúp nhận biết triển khai phương án phòng chống hiệu (3) Phân quyền truy cập liệu File Server, Domain Học viên thưc trình tạo folder chứa liệu phòng ban tài khoản phòng ban trường Đại học Đại Nam Kết cần đạt: Chỉ có tài khoản phịng ban cấp quyền có quyền truy cập vào folder chứa liệu họ, truy cập vào liệu phòng ban khác, nhằm chống ăn cắp liệu, hành vi phá hoại cố ý vô ý, khoanh vùng kịp thời để phát thủ phạm có vấn đề xảy (4) Backup File Server Học viên sử dụng công cụ Backup File Server Window Server để backup liệu Sau cài đặt Backup File Server thông qua giao diện để dễ dàng backup lại liệu cần thiết Kết cần đạt: Khi xảy cố mát hay hỏng hóc liệu, hệ thống dễ dàng khơi phục lại khả recovery công cụ cài đặt (5) Cài đặt Router Học viên thực thử nghiệm cấu hình cho Router gồm Router public web dịch vụ khác Router public VPS cho ùngngười d sử dụng Kết cần đạt: Cấu hình cần phải giúp bên mạng nội kết nối internet, bên phải truy cập VPS hay dịch vụ hệ thống public thông qua router (6) Triển khai Fortinet + Public Web Học viên thực cấu hình chia hệ thống làm khu vực: WAN (2 đường mạng), LAN DMZ thiết lập Rules cần thiết Kết cần đạt: Thông qua Rules cho phép khu vực kết nối với Nngồi ra, hệ thống cần public web từ khu vực DMZ ngồi WAN để bên ngồi mạng truy cập web Quá trình chia làm khu vực giúp hệ thống dễ 16 dàng quản lý, tránh lây lan mã độc chống lại cơng từ bên bên ngồi Chi tiết nội dung thử nghiệm, cách cài đặt bước tiến hành thử nghiệm trình bày phần phụ lục 3.3.2 Kết thử nghiệm đánh giá Chi tiết kết thử nghiệm trình bày phần phụ lục Tất thử nghiệm cho kết khả quan vận hành tốt, ổn định, đáp ứng yêu cầu bảo mật mạng LAN Các giải pháp thử nghiệm ứng dụng cho mạng nội trường Đại học Đại Nam đáp ứng nhu cầu trình đào tạo, quản lý nhà trường 3.4 Kết luận chƣơng Chương luận văn khảo sát mạng nội trường Đại học Đại Nam, vấn đề nảy sinh trình sử dung yêu cầu bảo mật mạng nhằm đáp ứng nhu cầu đào tạo nhà trường Luận văn đề xuất số giải pháp bảo mật cho mạng nội trường Đại học Đại Nam Các kết thử nghiệm cho thấy giải pháp bảo mật đề xuất triển khai thực tế phù hợp với yêu cầu đề 17 KẾT LUẬN Các kết đạt đƣợc luận văn: Với mục tiêu nghiên cứu giải pháp bảo mật cho mạng LAN ứng dụng Trường Đại học Đại nam, Luận văn đạt số kết sau đây: - Nghiên cứu tổng quan công nghệ mạng LAN vấn đề liên quan - Nghiên cứu yêu cầu bảo mật cho mạng LAN - Nghiên cứu giải pháp bảo mật cho mạng LAN - Đề xuất giải pháp bảo mật triển khai cho mạng nội Trường Đại học Đại Nam gồm: + Sử dụng tường lửa Fortinet, chia hệ thống làm khu vực để bảo vệ hệ thống + Sử dụng IDS Snort kết hợp tường lửa Pfsense khu vực DMZ + Chia VLAN Switch tầng + Phân quyền truy cập liệu File Server + Xây dựng hệ thống VPN + Backup liệu Server Hƣớng phát triển tiếp theo: Học viên tiếp tục nghiên cứu, hoàn thiện giải pháp bảo mật cho mạng LAN để triển khai cách hiệu thực tế TÀI LIỆU THAM KHẢO Tiếng Việt [1] Hoàng Xuân Dậu (2007) – “Bài giảng an toàn bảo mật hệ thống thơng tin” - Học viện Cơng nghệ Bưu Viễn thông [2] Trần Văn Khá (2008) – “Firewall Linux Iptables” [3] Phương Minh Nam (2010) - “Nguy an ninh, an tồn thơng tin, liệu số giải pháp khắc phục” – Bộ Công An Tiếng Anh [4] M Bishop (2005) – “Introduction to Computer Security” [5] Earl Carter (2002) - “Introduction to Network Security” - Cisco Secure Intrusion Detection System, Cisco Press [6] IEEE std 802 IQ (2005) – “Virtual Bridged Local Area Networks” 18 [7] K.R Karthikeyan, A Indra (2010) – “Intrusion Detection Tools and Techniques: A Survey” - International Journal of Computer Theory and Engineering, Vol.2, No.6 [8] Rinat Khoussainov, Ahmed Patel (2000) – “LAN security: Problems and Solutions” – Computer Standard & Interface, V 22, pp 191-202 [9] Timo Kiravuo, Mikko Sarela, Jukka Maner (2013) – “A Survey of Ethernet LAN Security” – IEEE, V 15, pp 1477-1491 Trang WEB [10] http://searchsecurity.com/ [11] http://www.cisco.com/go/vpn [12] http://www.snort.org [13] https://vi.wikipedia.org/wik ... LAN ứng dụng Trường Đại học Đại nam, Luận văn đạt số kết sau đây: - Nghiên cứu tổng quan công nghệ mạng LAN vấn đề liên quan - Nghiên cứu yêu cầu bảo mật cho mạng LAN - Nghiên cứu giải pháp bảo. .. quan mạng Lan yêu cầu bảo mật Chƣơng 2: Nghiên cứu giải pháp bảo mật mạng Lan Chƣơng 3: Đề xuất giải pháp bảo mật cho mạng nội Trƣờng Đại học Đại Nam Chƣơng TỔNG QUAN VỀ MẠNG LAN VÀ CÁC YÊU CẦU BẢO... ứng yêu cầu đề nghiên cứu chương luận văn Chƣơng II: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG LAN 2.1 Giải pháp sử dụng hệ thống tƣờng lửa 2.1.1 Giới thiệu chung Một giải pháp bảo mật mạng LAN nhằm tránh