a. Hoạch định hệ thống bảo vệ mạng
Trong môi trường mạng, phải có sự bảo đảm rằng những dữ liệu có tính bảo mật phải được cất giữ riêng, sao cho chỉ có người thẩm quyền mới được phép truy cập chúng. Bảo mật thông tin là việc làm quan trọng, và việc bảo vệ hoạt động mạng cũng có tầm quan trọng không kém
Mạng máy tính cần được bảo vệ an toàn, nhưng không nên thái quá. Mạng không nhất thiết phải được bảo vệ quá cẩn mật đến mức người dùng luôn gặp khó khăn khi truy cập mạng, thậm chí là file của chính mình.
bốn hiểm hoạ chính đối với sự an ninh của mạng là: • Truy cập mạng bất hợp pháp
• Sự can thiệp bằng phương tiện điện tử • Kẻ trộm
• Tai hoạ vô tình hoặc cố ý
Nhiệm vụ của các nhà quản trị mạng là đảm bảo mạng luôn là công cụ làm việc an toàn, đáng tin cậy, không bị đe doạ bởi bất kỳ hiểm hoạ nào trong số kể trên
a.1 Mức độ bảo mật
Phạm vi và mức độ của hệ thống bảo mật mạng sẽ tuỳ thuộc vào dạng môi trường trong đó mạng đang hoạt động. Ví dụ: Mạng máy tính lưu trữ dữ liệu cho một ngân hàng lớn dĩ nhiên sẽ đòi hỏi mức độ bảo mật cao hơn nhiều so với mạng cục bộ kết nối các máy tính trong một tổ chức tình nguyện có quy mô tương đối nhỏ
Định rõ chính sách
Hệ thống bảo mật mạng đòi hỏi một tập hợp các nguyên tắc, điều luật và chính sách nhằm loại trừ mọi may rủi
Chính sách bảo mật có thể là bước đầu tiên của công ty để bảo đảm an toàn cho dữ liệu. Chính sách giúp hướng dẫn nhà quản trị mạng và người dùng mạng vượt qua các thay đổi và những tình huống không dự kiến trong quá trình phát triển mạng của họ. Chính sách là một bước đi quan trọng nhằm duy trì sự thành công của mạng
Sự đề phòng
Chính sách bảo mật dữ liệu hiệu quả nhất chính là chính sách vận dụng phương pháp phòng ngừa. Bằng cách đề phòng việc truy cập bất hợp pháp, dữ liệu sẽ được đảm bảo an toàn.
Một hệ thống áp dụng chính sách phòng ngừa đòi hỏi nhà quản trị phải hiểu rõ những công cụ và phương pháp khả dụng để bảo đảm an toàn cho dữ liệu
Sự xác thực
Trước khi có thể truy cập mạng, người sử dụng mạng phải gõ tên đăng nhập và mật khẩu hợp lệ. Do mật khẩu đã được liên kết với tài khoản người dùng nên hệ thống xác nhận mật mã là biện pháp đảm bảo an toàn đầu tiên chống lại những người dùng không hợp pháp.
Đào tạo
Hình 2.5 Việc đào tạo giảm bớt những sai lầm đắt giá do người dùng gây ra
Người dùng mạng được đào tạo chu đáo sẽ ít khả năng vô ý phá huỷ tài nguyên. Nhà quản trị phải đảm bảo tất cả những người dùng mạng phải nắm vững các thủ tục vận hành và bảo mật mạng. Muốn thế, nhà quản trị có thể soạn thảo một cẩm nang hướng dẫn ngắn nhưng rõ ràng về những gì người dùng cần biết, nũng như yêu cầu người dùng mới tham dự các lớp đào tạo thích hợp
a.2 An toàn cho thiết bị
Mối quan tâm đầu tiên trong việc bảo mật dữ liệu là tình trạng an toàn của phần cứng mạng. Mức độ an toàn này tuỳ thuộc ở:
• Quy mô của công ty • Độ bí mật của dữ liệu • Các tài nguyên khả dụng
Trong môi trường mạng ngang hàng, có thể không có chính sách bảo vệ phần cứng có tổ chức nào, người dùng đảm bảo an toàn cho máy tính và dữ liệu của riêng mình.
Bảo vệ máy phục vụ
Trong hệ thống tập trung có quy mô lớn, nơi đa phần dữ liệu của công ty và dữ liệu của từng người dùng cá thể phải được giữ bí mật tuyệt đối, máy phục vụ rất cần được bảo vệ an toàn, tránh khỏi những hành động sửa đổi cũng như can thiệp cố ý hay vô ý về mặt vật lý
Bảo vệ cáp mạng
Cáp đồng, chẳng hạn cáp đồng trục hoạt động tương tự radio ở chỗ nó phát ra tín hiệu điện tử giống hệt thông tin mà nó truyền tải. Thông tin nàycó thể được theo dõi bằng thiết bị nghe thích hợp. Cáp đồng có thể bị phân nhánh để có thể nghe trộm thông tin trực tiếp từ cáp gốc.
Những đoạn cáp xử lý loại dữ liệu mật chỉ nên để những người có thẩm quyền truy nhập. Ví dụ, có thể đi dây cáp bên trong cấu trúc toà nhà, xuyên qua trần, tường, vào sàn nhà,…
b. Mô hình bảo mật
Sau khi thực thi chế độ bảo vệ các thành phần vật lý của mạng, nhà quản trị sẽ đảm bảo an toàn cho tài nguyên mạng. Có hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và tài nguyên phần cứng:
• Bảo vệ tài nguyên chia sẻ bằng mật mã (còn gọi là bảo mật cấp tài nguyên chia sẻ)
• Truy cập khi được quyền truy nhập (bảo mật cấp người dùng)
Bảo mật tài nguyên chia sẻ bằng mật mã
Đưa mô hình này vào sử dụng có nghĩa là gán mật mã cho từng tài nguyên chia sẻ. Quyền truy cập tài nguyên chia sẻ được ban hành khi người dùng gõ đúng mật mã thích hợp.
Ở nhiều hệ thống, tài nguyên có thể được chia sẻ với nhiều kiểu cho phép khác nhau. Ví dụ trong Windows 95, thư mục được chia sẻ theo 3 cách: Read Only (chỉ đọc), Full (truy nhập trọn vẹn), Depends On Password (tuỳ thuộc vào mật mã)
• Read Only • Full
• Depends On Password
Truy nhập khi được quyền truy nhập
Mô hìn bảo mật kiểu “truy cập khi được quyền truy nhập” có nghĩa là chỉ định một số quyền truy nhập nhất định trên cơ sở người dùng. Người dùng gõ mật mã khi anh ta đăng nhập mạng. Máy phục vụ chứng thực kết hợp giữa tên người dùng và mật mã này, rồi dùng nó để cấp hặc từ chối cấp quyền truy cập tài nguyên chia sẻ, bằng cách kiểm tra khả năng truy cập tài nguyên đó căn cứ vào cơ sở dữ liệu user-access trên máy phụcvụ. Mô hình bảo mật kiểu “truy cập khi được quyền truy nhập” kiểm soát quyền truy cập ở mức độ cao hơn, chặt chẽ hơn hệ thống, so với mô hình bảo mật thứ nhất.
Mô hình bảo mật cấp người dùng có phạm vi rộng hơn và có thể quyết định nhiều cấp độ bảo mật khác nhau, nên đây cũng là mô hình được ưa chuộng hơn cả trong các tổ chức lớn.
Bảo vệ tài nguyên
Sau khi người dùng đã được chứng thực và chấp nhận tài nguyên trên mạng, hệ thống bảo mật cho phép người dùng truy cập tài nguyên thích hợp.
Người dùng có mật mã, nhưng tài nguyên có sẹ cho phép. Theo một ý nghĩa nào đó, mỗi tài nguyên được canh giữ bởi một “hàng rào” bảo vệ. “Hàng rào” có nhiều cổng mà người dùng phải vượt qua mới có thể truy cập được tài nguyên. Có vài cổng cho phép người dùng có quyền hạn hơn đối với tài nguyên đó, so với cổng khác.
Nhà quản trị là người có quyền cho phép người dùng nào vượt qua cổng nào, có cổng cho phép người dùng truy cập trọn vẹn hoặc toàn quyền sử dụng tài nguyên. Lại có cổng cho người dùng có quyền chỉ đọc
Mỗi tài nguyên hoặc file chia sẻ được lưu với danh sách người dùng hoặc nhóm người dùng và quyền truy nhập tương ứng
Hình 2.6 Quyền truy nhập chi phối kiểu tài nguyên
Danh sách dươi đây liệt kê những sự cho ophép truy cập được gán cho thư mục hoặc file chia sẻ.
Quyền truy nhập Tính năng
Read Đọc và sao chép file trong thư mục chia sẻ Execute Điều hành file trong thư mục
Delete Huỷ bỏ file trong thư mục
No Access Ngăn không cho người dùng truy cập thư mục, file, tài nguyên
Cho phép truy cập theo nhóm
Nhiệm vụ của nhà quản trị là chỉ định quyền truy nhập thích hợp cho mỗi người dùng truy cập từng tài. Phương pháp hiệu quả nhất là thông qua nhóm, nhất là trong một tổ chức có quy mô lớn, với số lượng người dùng và tài nguyên đông đảo.
Quyền truy cập theo từng nhóm cũng tương tự như quyền truy cập theo từng cá nhân. Nhà quản trị xem xét lại mỗi tài khoản cần có quyền truy nhập dạng nào, rồi gán các tài khoản đó cho nhóm thích hợp. Đây là cách ấn định quyền truy nhập được ưa chuộng hơn cả, thay vì chỉ định quyền truy nhập cho từng tài khoản cá thể
c. Nâng cao mức độ bảo mật
Có nhiều cách khác nhau giúp nhà quản trị mạng tăng cường mức độ bảo mật trên mạng. Sau đây là một số cách:
a1. Kiểm toán
Việc kiểm toán ghi lại nhiều biến cố chọn lọc vào sổ nhật ký bảo mật của máy phục vụ. Tiến trình này theo dõi hoạt đông trên mạng thông qua tài khoản người dùng. Nên đưa quá trình kiẻm toán vào trong hệ thống bảo vệ mạng, vì các bản ghi kiểm toán chỉ rõ người dùng nào đã truy cập những tài nguyên cụ thể.
Kiểm toán giúp nhà quản trị nhận biết hoạt động nào là bất hợp lệ hoặc không chu định. Kiểm toán còn cung cấp thông tin về cách dùng trong tình huống có phòng ban nào đó thu phí sử dụng một số tài nguyên nhất định, và cần quyết định phí của những tài nguyên này theo cách thức nào đó.
Kiểm toán phát sinh những hoạt động dành cho các chức năng sau: • N ỗ lực đăng nhập/tách mạng
• Nối kết và ngắt nối kết từ các tài nguyên được chỉ định • Chấm dứt nối kết
• Vô hiệu hoá tài khoản • Mở hoặc đóng file • Sửa đổi file
• Tạo hoặc huỷ bỏ thư mục • Sửa đổi thư mục
• Thay đổi mật mã
Hình 2.7 File Manager của Windows NT Server được dùng để ấn định quyền truy cập tài nguyên
• Thay đổi tham số đăng nhập
Các bản ghi kiểm toán có thể cho thấy mạng đã được sử dụng như thế nào. Nhà quản trị dùng bản ghi kiểm toán để lập các báo cáo chỉ ra hoạt động nào với số lượng cụ thể, kể cả ngày tháng, giờ giấc hoạt động đó được thực hiện. Ví dụ, các nỗ lực đăng nhập mạng liên tiếp bị thất bại, hoặc nỗ lực đăng nhập vào những thời điểm bất thường là dấu hiệu cho biết có người dùng bất hợp pháp đang cố gắng đăng nhập mạng.
Máy tính không đĩa
Máy tính không đĩa (disklees computer), là một loại máy tính không có ổ đĩa mềm hay đĩa cứng. Chúng có thể thi hành mọi việc như một máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa cứng hay đĩa mềm cục bộ. Loại máy tính này rất lý tưởng với hệ thống bảo mật, bởi vì người dùng không thể tải dữ liệu về và đánh cắp nó đi. Ngoài ra một số công ty sử dụng máy tính không đĩa do giá thành của chúng thấp hơn so với máy tính được trang bị hoàn chỉnh.
Máy tính không đĩa không cần đến đĩa khởi động (boot disk). Chúng có khả năng giao tiếp với máy phục vụ đăng nhập nhờ vào một chip ROM khởi động đặc biệt được cài trên card mạng. Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho máy phục vụ biết rằng nó muốn khởi động. Máy phục vụ trả lời bằng cách tải phần mềm khởi động vào RAM cảu máy tính không đĩa và tự động hiển thị màn hình đăng nhập trước mắt người dùng như một phần của tiến trình đăng nhập. Một khi người dùng đã đăng nhập, máy tính sẽ được kết nối với mạng.
Mã hoá dữ liệu
Tiện ích mã hoá dữ liệu sẽ xáo trộn tín hiệu dữ liệu trước khi dữ liệu được truyền trên mạng. Việc làm này giúp cho dữ liệu không thể đọc được ngay cả khi có ai đó rẽ nhánh cáp nối và đọc trộm dữ liệu lúc đường truyền đi qua mạng. Khi dữ liệu truyền đến đúng máy tính, dữ liệu sẽ được giải mã thành thông tin có thể hiểu được. Những lược đồ giải mã dữ liệu thuộc loại tiên tiến tự động hóa cả tiến trình mã hóa lẫn tiến trình giải mã. Hệ thống mã hoá hiệu quả nhất được cài trên phần cứng và có thể rất đắt tiền.
Chống Virus
Những virus gây nguy hại nghiêm trọng tuy hiếm thấy, nhưng vẫn tồn tại và cần được lưu tâm xem xét khi đưa ra các thủ tục bảo vệ mạng. Các chương trình chống virus chỉ có thể làm được một trong 3 việc sau:
• Ngăn không cho virus hoạt động • Sửa chữa hư hại ở một mức độ nào đó • Chặn đứng virus sau khi nó bộc phát
Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải pháp hiệu nghiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa, nên nhà quản trị mạng phải đảm bảo sao cho mọi yếu tố cần thiết đã sẵn sàng. Chúng bao gồm:
• Mật mã để giảm khả năng truy cập bất hợp pháp • Chỉ định các đặc quyền thích hợp cho người dùng
• Các profile để tổ chức môi trường mạng cho người dùng có thể lập cấu hình và duy trì môi trường đăng nhập, bao gồm các kết nối mạng và những khản mục chương trình khi người dùng đăng nhập
• Một chính sách quyết định có thể tải phần mềm nào
2.2 Quy trình quản trị mạng 2.2.1 Các bước khởi đầu
Ngay khi mạng hoạt động ta cần thiết lập nên một phác thảo (base line), đơn giản là một tài liệu về các giá trị hoạt động thông thường của mạng. Phác thảo này cần cập nhật bất cứ khi nào người dùng, phần cứng hay phần mềm được thêm vào hay gỡ ra từ hệ thống. Tài liệu phác thảo về mạng sẽ giúp cho quá trình sửa chữa, nâng cấp dễ dàng. Tài liệu này cần được thành lập trong suốt thời gian trước khi mạng gặp lỗi.
Tài liệu phác thảo sẽ rất có ích trong việc thiết lập và nhận dạng: • Daily network-utilization patterns.
• Bottlenecks.
• Heavy-usage patterns.
• Different protocol traffic patterns.
Sau đây là các bước cần tuân theo để lập tài liệu phác thảo mạng:
• Ghi lại các mô hình, mã số và vị trí của server, trạm làm việc, bộ định tuyến. Ghi lại thông tin bảo hành cho mỗi thiết bị
• Chú ý tất cả những nơi thông tin bảo hành được lưu trữ, điều này rất có ích nếu sản phẩm cần sửa chữa hay thay thế
• Tạo một bản copy các file quan trọng của máy tính như AUTOEXEC.BAT và CONFIG.SYS, các thông tin về hệ thống.
• Tạo bản đồ mạng, chú ý khoảng cách tương đối giữa các trạm làmn việc và các server. Chú ý các vùng có cáp đi qua tường, sàn nhà hay trần nhà ở phía trên.
Điều này rất có ích khi xây dựng một kiến trúc mạng để xây dựng trong tương lai.
Hình 2.8 Không gian mạng
2.2.2 Vẽ sơ đồ, bản đồ mạng
Là một trong các bước cần tuân theo để lập tài liệu phác thảo mạng. Trước khi để nghị một thiết kết mạng cho một công ty, chúng ta cần thiết lập một bản đồ cho tất cả các yếu tố liên quan. Trong suốt quá trình này, cần xem xét 2 lĩnh vực của mạng: Hiển thị vật lý, bao gồm vị trí của từng bộ phận phần cứng và sự liên hệ với chúng. Thứ hai là cấu hình logic (logical topology) của mạng
Hình 2.9 minh hoạ kiến trúc mạng thiết kế cho công ty Bicycle, thể hiện vị trí của các thiết bị
Hình 2.9 Bản đồ mạng cho công ty Bicycle
Bước hai, tạo ra một mô hình của tôpô mạng. Chú ý liệt kê đầy đủ nhất có thể các tài nguyên thiết bị ngoại vi khác như máy quét và modem. Hình 2.10 đưa ra mô hình mạng của công ty như là một bus vật lý.
Hình 2.11 Mô hình mạng của Bicycle dạng sao
Hình 2.11 thể hiện mạng của công ty Bicycle dưới dạng Tôp hình sao
2.2.3 Kiểm định thiết bị, dịch vụ
Các thiết bị mạng liên quan đến toàn mạng, bao gồm:
• Servers.
• Network interface cards (NICs).
• Cable connections to the NICs.
• Hubs.
• Cable runs.
• Routers.