Việc cấu hình bảo mật cho một hệ thống mạng là một vấn đề phức tạp đòi hỏi nhà thiết kế phải có một sự hiểu biết sâu sắc về mạng và bảo mật mạng. Công việc cấu hình bảo mật cho một hệ thống bao gồm nhiều phần nhằm chống lại các nguy cơ chính sau:
– Các cuộc tấn công từ chối dịch vụ (DoS) từ bên ngoài vào mạng,.
– Các cuộc tấn công xâm nhập không được phép vào mạng thông qua việc khai thác các điểm yếu của hệđiều hành, lỗi của các chương trình ứng dụng. – Sự lây lan của Virus, Worm hay Trojan trong mạng.
Để chống lại nguy cơ bị tấn công từ chối dịch vụ từ bên ngoài cũng như những xâm nhập không được phép vào mạng, chúng ta cần triển khai Firewall hợp lý và cấu hình các chính sách truy nhập đúng đắn.
Để hạn chế sự lây lan của Worm và Virus từ bên ngoài vào mạng, chúng ta cần triển khai hệ thống các phần mềm chống Virus, cập nhật thường xuyên các mẩu Virus mới, các bản vá hệđiều hành...
Ngoài ra, trong mạng việc chứng thực, cấp phép và phân quyền cho từng đối tượng cụ thể cần được thực hiện nhằm tránh sự truy nhập trái phép vào các tài nguyên chia sẻ.
Bảng phân bốđịa chỉ cho các VLAN trên Switch Layer 3 Bảng 4-1: Phân bộ địa chỉ cho các VLAN
VLAN ID VLAN Name IP Address Subnet
1 System 172.20.0.17 255.255.255.224 2 Server Không dùng địa chỉ
3 ATM 172.20.0.65 255.255.255.224 4 PC 172.20.2.1 255.255.255.0 5 PGD-QUI 172.20.0.129 255.255.255.128
93
6 L3-ASA 172.20.0.98 255.255.255.224 7 ASA-ROUTER Không dùng địa chỉ
– Đặt tên cho các interfaces trên ASA firewall:
CTXXX(config)#interface Ethernet0vx CTXXX(config-if)# nameif outside CTXXX(config-if)#security-level 0
CTXXX(config-if)#ip address 10.0.0.3 255.255.255.0
Để tránh phơi bày kỹ thuật đánh địa chỉ trong mạng ra bên ngoài (từ phía trung tâm, các quỹ tiết kiệm, phòng giao dịch) cần cấu hình NAT giữa các Interfaces.
– Cấu hình NAT giữa Inside và Outsite:
Kết nối từ Inside và DMZ1, Inside và Outside là rất quan trọng vì nó sẽ đảm bảo được hệ thống hoạt động hay không.
CTXXX(config)# nat (inside) 1 172.20.2.0 255.255.255.0 CTXXX(config)#global (outside) 1 172.20.1.50-172.20.1.254 CTXXX(config)# static (inside, outside) 172.20.1.47 172.20.0.67
Ở đây cấu hình cho phép 204 kết nối đồng thời từ bên trong tới trung tâm tích hợp dữ liệu. Nếu số lượng kết nối tăng khi mạng chi nhánh phát triển mạng sẽ sử dụng thêm PAT với địa chỉ ra là 172.20.1.3 là địa chỉ của Interface kết nối ra mạng ngoài này.
CTXXX(config)#global (outside) 1 interface
– Cấu hình NAT giữa Inside và DMZ1(Server Farm)
Các máy client trong mạng Inside sẽ kết nối đến các Server ứng dụng, File và Web. Các server không có nhu cầu bắt đầu các kết nối đến mạng bên trong.
94
CTXXX(config)# global(dmz1) 2 172.20.0.45-172.20.0.60
– Cấu hình NAT giữa DMZ1 và Outside
Với yêu cầu các kết nối có thể được bắt đầu từ phía trung tâm tích hợp dữ
liệu hoặc từ các Server trong vùng DMZ1, nghĩa là cả hai phía có thể nhìn thấy nhau.
CTXXX(config)# static (dmz1,outside) 172.20.1.35 172.20.0.35 CTXXX(config)# static (dmz1,outside) 172.20.1.36 172.20.0.36 CTXXX(config)# static (dmz1,outside) 172.20.1.37 172.20.0.37
– Cấu hình NAT giữa DMZ2 và DMZ1
Các client trong vùng DMZ2 có nhu cầu truy cập các thông tin trên vùng DMZ1 như truyền file...ởđây ta sử dụng lại NAT ID 2
CTXXX(config)# nat (dmz2) 2 172.20.3.0 255.255.255.0
– Cấu hình NAT giữa DMZ2 và trung tâm tích hợp dữ liệu
CTXXX(config)# nat (dmz2) 1 172.20.3.0 255.255.255.0
– Các dịch vụ mà từ phía trung tâm tích hợp dữ liệu ITC cần giao tiếp với các Server, ta có thể nhóm lại :
object-group service TW-ServerCN tcp
description Nhung services server tu TW truy cap ve server chi nhanh group-object oracle port-object eq telnet port-object eq domain port-object eq ssh port-object eq smtp port-object eq ftp-data
95
port-object eq www port-object eq ftp port-object eq https
– Tương tự các dịch vụ mà các Server chi nhánh cần giao tiếp với ITC:
object-group service ServerCN-TW tcp
description Nhung service server chi nhanh duoc truy cập len TW group-object INCAS group-object PC-CN group-object oracle port-object eq domain port-object eq smtp port-object eq ftp-data port-object eq hostname port-object eq www port-object eq ftp port-object eq https port-object eq sqlnet
Như vậy, việc cấu hình danh sách điều khiển truy nhập sẽ như sau: – Từ outside vào DMZ1(Server chi nhánh):
CTXXX(config)#access-list outside_access_server permit tcp any 172.20.17.32 255.255.255.224 object-group TW-ServerCN
– Từ các Server chi nhánh(DMZ1) đi ra outside:
CTXXX(config)#access-list inside_out permit tcp 172.20.16.32 255.255.255.224 any object-group ServerCN-TW
96
…
Để hạn chế xâm nhập thông qua việc khai thác các lỗi hệđiều hành, hạn chế khả
năng phát tán Virus, Worm hay các đoạn mã độc hại, trong mạng sẽ có một Server (được cài đặt phần mềm SUS/WSUS và Trendmicro Server) có nhiệm vụ
download các bản vá lỗi từ nhà sản xuất hệ điều hành (như Microsoft) và các mẫu virus mới nhất và sau đó tự động cập nhật các bản vá này cho các Client trong mạng.
Ngoài việc triển khai hệ thống diệt Virus tựđộng, đối với cấu hình mạng của chi nhánh chúng ta sẽ tiến hành phân chia thành các VLAN riêng biệt. Việc phân chia mạng LAN chi nhánh thành các VLAN khác nhau còn nhằm hạn chế vùng broadcast mạng, dễ quản lý và có thể tránh được việc sử dụng các phần mềm hoạt động ở lớp 2 để nghe lén thông tin trên mạng.