Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Lời cảm ơn Trong thời gian thực đồ án Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp, chúng em đà nhận đ-ợc h-ớng dẫn, bảo giúp đỡ tận tình thầy giáo, cô giáo khoa CNTT Vậy cho phép chúng em đ-ợc bày tỏ lòng biết ơn sâu sắc tới giúp đỡ Đặc biệt chúng em xin chân thành cảm ơn Ths.Nguyễn Thị Minh Tâm - Ng-ời đà h-ớng dẫn tạo điều kiện thuận lợi giúp đỡ chúng em hoàn thành đồ án cách xác kịp thời Qua chúng em xin cảm ơn gia đình, bạn bè đà giúp đỡ động viên chúng em hoàn thành đồ án Vinh, ngày 10 tháng năm 2010 Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật m¹ng doanh nghiƯp Mơc lơc Mơc lơc Lời nói đầu PhÇn I Cơ sở hạ tầng mạng mạng Doanh nghiệp Ch-ơng I: Cơ sở hạ tầng I Tæng Quan mạng máy tính II C¬ së lý thut vỊ Router 1.KiÕn thøc phÇn cøng cđa Router a) KiÕn tróc bªn cđa Router b) Kiến trúc bên Router Chức Router 10 Quá trình định tuyến 11 III Cë së lý thuyÕt vÒ Switch 13 KiÕn tróc phÇn cøng cđa Switch 13 a) KiÕn tróc bªn cđa Switch 14 b) Kiến trúc bên Switch 14 Các ph-ơng pháp quản trị Switch 15 a) Dïng bé Cisco cluster Management Suite 15 b) Dïng øng dông CiscoView 15 c) Dïng SNMP (Simple Network Management Protocol) 16 Cơ chế hoạt động Switch 16 b) C¬ chÕ chun tiÕp gãi d÷ liƯu 18 c) C¬ chÕ STP 19 Các ph-ơng thức chuyển tiếp 22 Các chức Switch 22 IV Các thiết bị khác 24 Ch-¬ng II 25 M¹ng Doanh nghiƯp 25 I Domain 25 Domain controller lựa chọn cho hợp với sở hạ tầng mạng 25 II DNS Server 28 III Mạng riêng ảo ( VPN ) 28 PhÇn II 30 TriĨn khai x©y dùng hƯ thèng an ninh m¹ng 30 Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp I Sơ đồ logic hệ thèng m¹ng 30 Server Domain Controller 30 M¸y chđ WebServer 30 M¸y chđ VPN Server 31 II X©y dùng hƯ thèng 31 Giíi thiƯu vỊ Server Core b-ớc thiết lập máy chủ Domain Controller 31 Cấu hình WebServer Remote Manager, IAS Server 40 ThiÕt lËp thông số cần thiết cấu hình bảo mật m¸y chđ VPN Server 47 CÊu hình VPN Client Remote Access vào mạng doanh nghiệp thông qua chế bảo mật L2TP/IPSec 52 III B¶o mËt hƯ thống dịch vụ cung cấp mạng 56 Cấu hình sách an ninh cho ng-ời dùng OU 56 Xây dựng chế ủy quyền quản trị cho tài khoản đ-ợc quyền quản lý 58 Cấu hình sách an ninh toàn hƯ thèng m¹ng doanh nghiƯp 60 Xây dựng sách an ninh việc sử dụng phần mềm toàn mạng 63 Hoạch định quyền truy cập vào Resource WebServer cđa doanh nghiƯp 66 KÕt luËn 70 tài liệu tham khảo 71 Đậu Văn Ch-ơng - Ngun Lª Vị C-êng - Líp: 46K1-CNTT ThiÕt kế xây dựng hệ thống bảo mật mạng doanh nghiệp Lời nói đầu Cách mạng máy tính với tốc độ phát triển nhanh chóng ứng dụng rộng rÃi công nghệ mạng đà làm thay đổi môi tr-ờng làm việc sinh hoạt ng-ời Trong quan, xí nghiệp nhờ có hỗ trợ hệ thống mạng máy tính đặc biệt internet toàn cầu, ng-ời lao động khai thác tối đa nguồn tài nguyên thông tin quan, xí nghiệp giới mà trực tiếp trao đổi với vị trí địa lý nào, từ đ-a định sản xuất kinh doanh, thúc đẩy trình sản xuất phát triển để đáp ứng cho xà hội Mặc dù quản trị mạng lĩnh vực quan trọng hầu hết doanh nghiệp Nh-ng hiƯn rÊt nhiỊu doanh nghiƯp ë ViƯt Nam ch-a có quan tâm mức đến sở hạ tầng mạng vấn đề an ninh mạng dẫn đến điều đáng tiếc nh- hacker công, virus phát tán, thông tin quan trọng doanh nghiệp bị đánh cắp Do việc thiết lập xây dựng hoàn chỉnh hệ thống an ninh cho mạng doanh nghiệp điều quan trọng thành phần thiếu phát triển doanh nghiệp Từ lý chúng em xây dựng đề tài với mong muốn đ-a đồ án có tính khái quát mang tÝnh thùc tiƠn cao cã thĨ ¸p dơng cho c¸c doanh nghiệp vừa nhỏ Trong khuôn khổ đồ án tốt nghiệp, thời gian có hạn vốn kiến thức nhiều hạn chế nên kết mà chúng em đạt đ-ợc chắn nhiều thiếu sót Chúng em mong nhận đ-ợc nhiều ý kiến đóng góp quý thầy cô bạn bè Vinh, tháng năm 2010 Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Phần I Cơ sở hạ tầng mạng mạng Doanh nghiệp Ch-ơng I: Cơ sở hạ tầng I Tổng Quan mạng máy tính Nhu cầu mạng máy tính nh- thứ khác, thời điểm có thiết bị mạng khác ứng với nhu cầu khác Tr-ớc nhu cầu mạng máy tính đơn giản ch-a phục vụ nhiều công việc hàng ngày, thiết bị mạng đơn sơ ch-a có gì, cần Hub nối máy tính lại với nh- sơ đồ d-ới đây: Hình 1.1: Sơ đồ nối Hub với máy tính Trong sơ đồ mạng máy tính truyền cho máy tính khác mạng tất máy khác mạng nhận đ-ợc, điều ảnh h-ởng lớn đến toàn mạng nh- tốn băng thông có nhiều máy tính truyền gây đụng độ lớn mạng từ gây tắc nghẽn mạng Bên cạnh máy tính mạng trao đổi thông tin, điều ảnh h-ởng đến tính riêng t- khả bảo mật thông tin Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Những mạng kiểu nh- không phù hợp với thực tế ngày mạng máy tính Vì yêu cầu khả thời gian truyền, miền đụng độ, miền quảng bá, bảo mật thông tin mạng quan trọng công ty Để đáp ứng nhu cầu ngày cao thiết bị mạng ngày phát triển để đáp ứng nhu cầu công ty Các thiết bị nh- Router, Switch khắc phục đ-ợc yêu cầu băng thông, miền đụng độ miền quảng bá bảo mật thông tin Ngoài có thiết bị khác có -u điểm cao nhiều nh- Pix 525,512,535 , VPN Trong sơ đồ mạng sau thể đ-ợc tính -u việt Hình 1.2: Sơ đồ VLAN Trong mạng việc quản lý đà đ-ợc nâng cấp tr-ớc, máy tính đà đ-ợc phân chia thành VLAN để tăng thêm tính -u việt mạng, thiết bị sử dụng mạng không đơn giản nh- tr-ớc có chức làm cầu nối thiết bị đầu cuối, mà ng-ời quản trị điều hành đuợc nhiều vấn đề bảo mật thông tin đảm bảo an toàn Các thiết bị mạng Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp chủ yếu hoạt động lớp 1, 2, mô hình OSI nh- hình d-ới đây: Hình 1.3: Mô hình OSI Router thiết bị hoạt động lớp (lớp Network) có chức định tuyến, Switch thiết bị lớp (lớp Data Link) có chức chuyển tiếp gói liệu cổng cần Đều hai thiết bị th-ờng thấy chủ yếu mạng máy tính Ngoài có thiết bị nh- Hub, Bridge, Repeater Nh-ng giới hạn đồ án em trình bày Router, Switch chủ yếu II Cơ sở lý thuyết Router 1.Kiến thức phần cứng Router a) Kiến trúc bên cđa Router Router vỊ b¶n chÊt nã cịng gièng nh- máy tính, có đầy đủ thành phần máy tính nh- Ram, Rom, Bộ vi xử lý Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp RAM / DRAM •bảng định tuyến •cache •queue gói tin •bộ nhớ thực thi nhớ tạm cho file cấu hình ROM NVRAM Flash - ROM •ch.trình khởi động •kiểm tra •IOS •cấu hình khởi động / dự phịng •ảnh IOS (n) ãvi lnh Console Interface Auxiliary Hình 1.4: Các thành phần cấu hình bên Router Trong đó: - Ram/Dram: L-u trữ bảng định tuyến, ARP cache, cache chuyển mạch nhanh (Fast -Switch cache), đệm gói liệu (Ram chia sẻ) hàng đợi (queue) chứa gãi Ram cịng cung cÊp bé nhí thùc thi vµ nhớ tạm cho tập tin cấu hình Router Router đ-ợc mở lên Nội dung Ram tắt nguồn hay khởi động lại Router - NVRam - Nonvolatile Ram: L-u trữ tập tin cấu hình khởi động dự phòng Router, nội dung NVRam l-u trữ tắt nguồn hay khởi động lại Router - Flash - Rom: Cã thĨ xãa, lËp tr×nh lại, chứa ảnh hệ điều hành (Operating System Image) vi mạch (Microcode), nhớ Flash cho phép bạn cập nhật phần mềm mà không loại bỏ thay thÕ c¸c chip vi xư lý, néi dung vÉn trì tắt nguồn điện hay khởi động lại Router, nhiều phiên phần mềm IOS đ-ợc l-u nhớ Flash - Rom: Chứa ch-ơng trình khởi động, chuẩn đoán máy bật, hệ điều hành Cập nhật phần mền Rom đòi hỏi thay mạch có khả gắn kết (Pluggable chip) CPU - Giao tiếp (Interface): Là kết nối bảng mạch hay card giao tiếp riêng mà qua gói vào khỏi Router Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp - Quá trình khởi động Router nh- sau: Khi khởi động Router, Rom thi hành ch-ơng trình khởi động, ch-ơng trình thực số kiểm tra nạp phần mỊm Cisco IOS vµo bé nhí Sù thùc thi lƯnh, hay EXEC, phần phần mềm Cisco IOS EXEC tiếp nhận thực thi lệnh bạn nhập cho Router Ram l-u trữ trình làm việc Chuyển đổi lệnh từ Console thành lệnh mà Router hiểu Bootrap Program Executes Command Executive Internet Operating System Active Tables Program Configuration (Routing) Buffers File (ARP) Hình 1.5: Quá trình khëi ®éng cđa router Nh- vËy Router sư dơng Ram l-u trữ tập tin cấu hình hoạt động, bảng ánh xạ mạng danh sách địa định tuyến Bạn hiển thị tập tin cấu hình thiết bị đầu cuối từ xa qua thiết bị đầu cuối Console Phiên tập tin cấu hình đ-ợc l-u trữ trong NVram Nó đ-ợc truy xuất nạp vào nhớ lần Router khởi động Tập tin cấu hình chứa thông tin giao tiếp, thông tin tiến trình thông tin toàn cục ảnh h-ởng trực tiếp tới hoạt động cổng giao tiếp Router, ảnh hệ điều hành đ-ợc hiển thị hình đầu cuối, ảnh th-ờng đ-ợc thực thi từ Ram đ-ợc nạp từ số nguồn nhập Hệ điều hành đ-ợc tổ chức thành ch-ơng trình (Routine) giải tác vụ liên quan với giao thức khác nhau, nh- di chuyển liệu, quản lý bảng đệm, cập nhật định tuyến, thi hành lệnh ng-ời dùng b) Kiến trúc bên Router Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Kiến trúc bên Router bao gåm c¸c cỉng dïng cho c¸c kÕt nèi khác Một Router có nhiều loại cổng khác nhau, cổng sau: + Cổng nối tiếp (Serial port): Các cổng dùng cho kết nối WAN + Cổng Ethernet FastEthernet: Các cổng dùng cho kết nèi Ethernet + Cỉng Console: Cỉng nµy dïng kÕt nèi ®Çu ci ®iỊu khiĨn + Cỉng AUX: Dïng ®Ĩ kÕt nèi víi Modem Sù kÕt nèi mét Router vµo mạng đ-ợc gọi giao tiếp, giao tiếp có đặc tính sau: + Mỗi giao tiếp nối với cổng + Mỗi giao tiếp phải có địa mạng + Mỗi cổng có MAC riêng Ngoài cổng Router có cổng cung cấp nguồn, bật tắt nguồn D-ới hình ảnh minh họa cổng cđa Router 2600 Cisco: Qua ®ã ta thÊy cã thĨ cấu hình Router từ nhiều vị trí bên khác nh- sau: + Từ thiết bị đầu cuối Console (máy tính nối đến Router qua cổng Console) trình cài đặt + Cấu hình qua Modem cách dùng cổng Auxiliary + Từ thiết bị đầu cuối ảo 0-4 đà đ-ợc lắp đặt mạng + Từ TFTP server mạng Chức Router Nh- đà biết mô hình OSI (một mô hình tiếng thông dụng nhất), mô hình thể phân cấp chức mạng máy tính từ diện Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 10 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Cấp phép từ chối cho tài khoản không thuộc phòng ban đó: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 57 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Ta có kết thu đ-ợc sau cấu hình nhân viên phòng ban khác thấy đ-ợc tài khoản nằm OU Giamdoc: Xây dựng chế ủy quyền quản trị cho tài khoản đ-ợc quyền quản lý Lựa chọn OU cần thiết lập ủy quyền: Đậu Văn Ch-ơng - Ngun Lª Vị C-êng - Líp: 46K1-CNTT 58 ThiÕt kÕ xây dựng hệ thống bảo mật mạng doanh nghiệp Chạy giao diện cửa sổ ủy quyền, bổ sung tài khoản Giamdoc vào: Cuối cấp phép cho ng-ời dùng đ-ợc ủy quyền thực thi quyền quản trị cần thiết: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 59 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Cấu hình sách an ninh toàn hệ thống mạng doanh nghiệp Chuột phải vào msviet.com chọn Properties Chọn thẻ Group Police -> chọn Edit Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 60 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp - Thiết lập cảnh báo an ninh mạng ng-ời dùng đăng nhập: Tiêu đề cảnh báo: Nội dung cảnh báo Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 61 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp - Thiết lập sách an ninh không cho phép thị user đăng nhập: - ThiÕt lËp chÝnh s¸ch an ninh vỊ viƯc sư dụng tài nguyên hệ thống nh- cấm truy cập ổ đĩa hệ thống nhân viên: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 62 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Xây dựng sách an ninh việc sử dụng phần mềm toàn mạng.Chỉ cấp phép cho ng-êi dïng sư dơng phÇn mỊm theo u cÇu công việc Tạo th- mục l-u trữ phân phối phần mềm từ xa Server Core: Thực chạy trình custom cho gói phần mềm cần cung cấp nh- phần mềm office: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 63 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Liệt kê gãi phÇn mỊm cÇn sư dơng cho tõng bé phËn nhân viên t-ơng ứng ví dụ nh-: Kinh doanh đ-ợc sử dụng Word Excel không đ-ợc sử dụng gói phần mềm khác: Thiết lập sách triển khai phần mềm cho nhân viên: Đậu Văn Ch-ơng - Ngun Lª Vị C-êng - Líp: 46K1-CNTT 64 ThiÕt kế xây dựng hệ thống bảo mật mạng doanh nghiệp Cấu hình thuộc tính hình thức triển khai gói phần mềm: Hoàn tất việc bổ sung file chứa thông tin custom gói phần mềm triển khai: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 65 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Hoạch định quyền truy cập vào Resource WebServer doanh nghiệp cho nhân viên ng-ời dùng công ty theo phận Kiểm tra xem WebServer đà hoạt động tốt với địa IP ch-a: Cấu hình cho Website hoạt động tên miền công ty thông qua việc tạo bí danh www cho tên miền msviet.com: Đậu Văn Ch-ơng - Ngun Lª Vị C-êng - Líp: 46K1-CNTT 66 ThiÕt kế xây dựng hệ thống bảo mật mạng doanh nghiệp Kiểm tra website chạy tên miền msviet.com sau cấu hinh Alias: Xây dựng Resource dành riêng cho công việc WebServer: Đậu Văn Ch-ơng - Ngun Lª Vị C-êng - Líp: 46K1-CNTT 67 ThiÕt kÕ xây dựng hệ thống bảo mật mạng doanh nghiệp Cấp phép truy cập cho Resource t-ơng ứng: Gán cấp phép cho nhân viên kinh doanh đ-ợc truy cập vào Resource KinhDoanh: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 68 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Kiểm tra kết sau cÊp phÐp cho thÊy truy cËp vµo Resource KinhDoanh website www.msviet.com có user thuộc phòng kinh doanh đ-ợc quyền truy cập: Kết sau nhập user pass nhân viên thuộc phòng kinh doanh ta có trang mục dành riêng cho phòng kinh doanh nh- sau: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 69 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Kết luận Trong thời gian nghiên cứu vận dụng kiến thức đà đ-ợc trang bị tr-ờng đại học lĩnh vực khác Chúng em đà thiết kế xây dựng hệ thống an ninh cho mạng doanh nghiệp Hệ thống an ninh thông qua chinh sách tổng thể toàn mạng đảm bảo an toàn cho kết nối mạng, ng-ời dùng đ-ợc kiểm soát chặt chẽ tài nguyên mà hệ thống cung cấp, hạn chế mức thấp mối đe dọa an ninh mạng xảy trình vận hành đáp ứng đ-ợc khả mở rộng t-ơng lai Trong đồ án này, chúng em đà đ-a mô hình chung việc xây dựng thiết kế hệ thống an ninh cho danh nghiệp vừa nhỏ chạy tảng hệ điều hành Microsoft Một hệ điều hành mạng phổ biến toàn cầu Chúng em hy vọng nội dung đề tài áp dụng cho lĩnh vực công nghệ thông tin nói chung ngành liên quan đến bảo mật mạng máy tính nói riêng Trong trình thực hiên đồ án, chúng em đà nhận đ-ợc giúp đỡ tận tình ThS.Nguyễn Thị Minh Tâm đà giúp chúng em hoàn thành tốt đồ án tốt nghiệp Vì thời gian làm đồ án hạn hẹp, kinh nghiệm thực tế ch-a nhiều nên đồ án không tránh khỏi sai sót, mong góp ý thầy cô giáo bạn Chúng em xin chân thành cảm Ơn! nhóm thực đồ án Đậu Văn Ch-ơng Nguyễn Lê Vũ C-ờng Đậu Văn Ch-ơng - Ngun Lª Vị C-êng - Líp: 46K1-CNTT 70 ThiÕt kế xây dựng hệ thống bảo mật mạng doanh nghiệp tài liệu tham khảo [1] Internetworking Design Basics, Copyright Cisco Press 2008 [2] Internetwork Design Guide, Copyright Cisco Press 2008 [3] Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference.Microsoft Press [4] Windows Server 2003 Security Bible Wiley Press [5] Hacking Exposed: Windows Server 2003 Osborne/McGraw-Hill [6] M¹ng máy tính hệ thống mở - Nguyễn Thúc Hải [7] Mạng máy tính Nguyễn Gia Hiểu [8] Giáo trình: Thiết kế xây dựng mạng LAN WAN [9] TCP/IP Network Administration Craig Hunt, O’Reilly & Associates §Ëu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 71 ... 33 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Nhập CD KEY Lựa chọn ấn cài đặt: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 34 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp. .. 37 Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Tạo OU Server Core: Thiết lập tài khoản ng-ời dùng mạng: Đậu Văn Ch-ơng - Nguyễn Lê Vũ C-ờng - Lớp: 46K1-CNTT 38 Thiết kế xây dựng hệ thống. .. C-ờng - Lớp: 46K1-CNTT Thiết kế xây dựng hệ thống bảo mật mạng doanh nghiệp Phần I Cơ sở hạ tầng mạng mạng Doanh nghiệp Ch-ơng I: Cơ sở hạ tầng I Tổng Quan mạng máy tính Nhu cầu mạng máy tính nh-