III. 1 Nghiên cứu, thiết kế phần cứng và môi trường truyền dẫn
1. Phương pháp nghiên cứu
Hệ thống mạng là không thể thiếu trong hệ thống thông tin, tuy nhiên lượng thông tin truyền tải trên hệ thống mạng phụ thuộc rất nhiều vào các thành phần, và thiết kế hệ thống mạng. Một thiết kế mạng phẳng sẽ khó khăn khi mở rộng, không tăng được hiệu suất của mạng hay một thiết bị mạng có thông lượng thấp sẽ làm điểm tắc nghẽn thông tin. Ngoài ra với một thiết kế
mạng không tốt dễ dẫn tới hiểu lầm là phải nâng cấp thiết bị xử lý thông tin, trong khi tắc nghẽn thông tin là do hệ thống mạng.
Các nhà thiết kế mạng có kinh nghiệm đã phát triển kiểu thiết kế mạng phân tầng để giúp chúng ta phát triển mô hình mạng với các tầng riêng biệt. Mỗi tầng tập trung vào mỗi chức năng cụ thể, giúp chúng ta chọn đúng phương thức và tính chất của mỗi tầng.
Mạng phân tầng
Một mô hình mạng phân tầng thông thường gồm
• Tầng lõi: gồm các bộ định tuyến tốc độ cao, các bộ chuyển mạch dùng
để tối ưu tính chất luôn sẵn sàng và tốc độ truyền tải.
• Tầng phân phối: gồm các bộ định tuyến, các bộ chuyển mạch thực hiện các chính sách truy cập mạng.
• Tầng truy cập: dùng kết nối từ người dùng tới hệ thống thông tin thông qua các bộ chuyển mạch cấp thấp hay các bộ truy cập không dây.
Hệ thống mạng phát triển ngoài dự kiến, thiếu kế hoạch khi có khuynh hướng phát triển một hệ thống mạng không có cấu trúc. Với mạng này, khi thiết bị mạng truyền thông với nhiều thiết bị khác trong mạng, tải cần thiết cho CPU sẽ rất nặng nề. Ví dụ một mạng lớn bằng phẳng thì các gói tin broadcast sẽ làm nặng nề.
Sử dụng một mạng có kiến trúc phân tầng sẽ giúp ta giảm thiểu chi phí. Ta chỉ đầu tư thiết bị kết nối mạng phù hợp với mỗi tầng trong kiến trúc, điều này tránh đầu tư chi phí cho những tình năng không cần thiết của tầng đó. Ngoài ra với bản chất của việc module hoá của mạng phân tầng cho phép ta lập kế hoạch chính xác dung lượng cho mỗi tầng, giúp giảm thiểu thông lượng thừa thãi. Trách nhiệm quản lý mạng hay các hệ thống quản trị mạng có thể phân phối cho mỗi tầng khác nhau, giúp kiểm soát được chi phí quản trị.
Những lợi ích của mạng phân tầng.
• Dễ dàng khi thêm vào hệ thống một toà nhà mới, thêm vào một kết nối với nhà cung cấp dịch vụ …
• Những cái mới thêm vào chỉ ảnh hưởng cục bộ tại một bộ phận hay một chi nhánh.
• Khi hệ thống mở rộng gấp hai, thậm chí gấp ba vẫn không ảnh hưởng tới thiết kế
• Việc xử lý lỗi cũng dễ dàng.
Mạng phân tầng ba lớp của Cisco
Mô hình mạng phân tầng của Cisco giúp ta thiết kế, triển khai và bảo trì hệ thống mạng có khả năng mở rộng, độ tin cậy cao và hiệu quả kinh tế. Mô hình gồm có ba lớp:
• Tầng lõi (Core layer hay Backbone)
• Tầng phân phối (Distribution layer)
• Tầng truy cập (Access layer)
Mỗi tầng có chức năng nhiệm vụ riêng biệt. Tuy nhiên, ba tầng này chỉ
là logic chứ không phải là phần cứng cụ thể nào, vì vậy khi thực hiện mạng phân tầng các thiết bị có thể là có nhiều thiết bị cho một tầng hoặc chỉ một thiết bịđơn lẻ thực hiện chức năng cho nhiều tầng.
Core layer là xương sống của internet. Ở trên đỉnh của cấu trúc phân tầng, tầng này có nhiệm vụ truyền một lượng lớn thông tin một cách nhanh chóng và chính xác. Mục đích duy nhất của tầng này là chuyển mạch hướng dữ liệu càng nhanh càng tốt. Lượng thông tin truyền tải ở tầng này chủ yếu là của người dùng. Tuy nhiên dữ liệu người dùng được xử lý ở tầng phân phối, tầng phân phối chỉ chuyển tiếp yêu cầu tới tầng lõi khi cần thiết. Nếu tầng này bị lỗi, tất cả người dùng có thể bị ảnh hưởng. Do đó tính chịu lỗi của tầng này là vấn đề cần đề cập. Tầng này tiếp xúc với một lượng lớn các luồng thông tin, vì vậy những tiềm tàng và tốc độ được quan tâm tại đây. Với chức năng
đưa ra, ta cần cân nhắc một vài điểm trong thiết kế. Hãy bắt đầu từ những cái không nên làm với tầng này.
• Không làm bất cứ việc gì làm chậm luồng thông tin như là “access list”, định tuyến giữa các mạng ảo, lọc gói thông tin.
• Không hỗ trợ những nhóm làm việc truy cập nơi này.
• Tránh mở rộng tầng lõi khi hệ thống mạng phát triển. Nếu có vấn đề
với tốc độở tầng này, nên nâng cấp hơn là mở rộng tầng này. • Cũng có một vài thứ cần làm khi thiết kế Core layer
• Thiết kế tầng lõi với độ tin cậy cao. Cân nhắc các công nghệ thuộc tầng data-link của OSI cho thuận tiên cho cả về tốc độ lẫn dự phòng như FDDI, Fast Ethernet hoặc ngay cả ATM
• Chú tâm thiết kế hướng về tốc độ. Tầng lõi nên giảm thiểu những lỗi tiềm ẩn.
• Lựa chọn những giao thức định tuyến với thời gian hội tụ thấp. Với
Distribution Layer
Tầng này là điểm kết nối thông tin giữa tầng truy cập với tầng lõi. Chức năng chính của tầng này là cung cấp thông tin định tuyến, lọc thông tin, truy cập WAN và xác định khi nào thì gói thông tin được chuyển tiếp lên tầng lõi.
Tầng này phải xác định được các dịch vụ mạng được xử lý một cách nhanh nhất, như là dịch vụ truy cập tập tin được chuyển tới máy chủ như thế
nào. Sau khi tầng phân phối xác định được hướng tốt nhất thì chuyển tiếp cho tầng lõi, tầng lõi nhanh chóng chuyển yêu cầu dịch vụ tới đúng điểm cung cấp dịch vụ.
Tầng này là nơi thực hiện các chính sách của mạng. Có một vài đề mục nên được thực hiện ở tầng này:
• Thực hiện những công cụ như “access list”, lọc gói thông tin và hàng
đợi.
• Thực hiện an ninh mạng, chính sách mạng như là những bức tường lửa.
• Phân phối lại thông tin giữa các giao thức định tuyến, và bảng định tuyến tĩnh.
• Định tuyến giữa các VLAN.
• Định nghĩa khu vực broadcast và multicast
Access Layer
Tầng này kiểm soát người dùng và nhóm làm việc truy cập vào tài nguyên mạng. Phần lớn các tài nguyên mạng mà nhiều người dùng cần đến được đặt tại nội bộ. Tầng phân phối sẽ xử lý những yêu cầu dịch vụ từ xa.
Một vài chức năng của tầng truy cập:
• Kiểm soát truy cập liên tục, và áp dụng chính sách mạng.
• Tạo ra những vùng xung đột (collision domain) tách biệt.
• Liên kết những nhóm làm việc với tầng phân phối thông qua những bộ
chuyển mạch lớp 2.
Những công nghệ như DDR và Ethernet thường xuyên gặp trong tầng truy cập. Bảng định tuyến tĩnh cũng thường gặp ở tầng này.
Chú ý rằng ba tầng riêng biệt không hàm ý thực hiện bởi ba thiết bị định tuyến khác nhau. Có thể là ít hơn, mà cũng có thể là nhiều hơn. Đây chỉ
là phương pháp tiếp cận mạng phân tầng. Tùy theo mức độ rộng lớn của mạng, lượng thông tin và tính chất hoạt động của doanh nghiệp, sự lựa chọn các thiết bị định tuyến và chuyển mạch cho các tầng dựa theo tốc độ của thiết bị
2. Các phương pháp và kỹ thuật kết nối hạ tầng mạng.
Trong phần này, chúng tôi xin giới thiệu sơ lược về một định hướng kiến trúc tiêu biểu được áp dụng trong việc xây dựng hạ tầng Công nghệ
Thông tin cho các tổ chức và doanh nghiệp lớn. Đó là Định hướng Kiến trúc Dịch vụ (Service-Oriented Architecture - SOA).
Đây là kiến trúc khung (architectural framework) mang tính định hướng sự phát triển, mở rộng có mục đích đối với các hệ thống mạng lớn và là một cuộc cách mạng trong nhận thức về nền tảng mạng truyền thông hướng tới môi trường mạng thông tin thông minh (Intelligent information network) giúp cho việc tăng nhanh các khả năng ứng dụng, dịch vụ, mở rộng tiến trình kinh doanh và tất nhiên, kèm theo đó là lợi nhuận.
Service-Oriented Architecture
Hình 15. Kiến trúc SOA
Kiến trúc SOA gồm có 3 lớp:
• Lớp cơ sở hạ tầng mạng (networked infrasstructure layer): là lớp mạng liên kết các khối chức năng theo kiến trúc phân tầng, có trật tự.
• Lớp dịch vụ tương tác (Interactive services layer): bao gồm sự kết
hợp một số kiến trúc mạng đầy đủ với nhau tạo thành các chức năng cho phép nhiều ứng dụng có thể sử dụng trên mạng.
• Lớp ứng dụng (Application layer): Bao gồm các loại ứng dụng cộng tác và nghiệp vụ. Các ứng dụng này kết hợp với các dịch vụ tương tác cung cấp ở lớp dưới sẽ giúp triển khai nhanh và hiệu quả
Các phương thức thiết kế
Phần này, giới thiệu sơ lược về các phương thức thiết kế mạng và bảo mật được sử dụng trong việc thiết kế các hệ thống mạng lớn và hiện đại của các tổ chức và doanh nghiệp lớn. Tương ứng với kiến trúc SOA là thuộc lớp Cơ sở hạ tầng mạng.
Phương thức thiết kế phân lớp - Hierarchical
Phương thức thiết kế phân lớp (Hierarchical) ra đời và trở thành một kiến trúc phổ biến trong gần chục năm gần đây, được áp dụng để thiết kế các hệ thống mạng với qui mô trung bình cho đến qui mô lớn. Phương thức thiết kế này sử dụng các lớp (layer) để đơn giản hóa các công việc trong thiết kế
mạng. Mỗi lớp có thể tập trung vào các chức năng cụ thể, cho phép người thiết kế lựa chọn đúng các hệ thống và các tính năng cho mỗi lớp.
Phương thức thiết kế Hierarchical gồm 3 lớp:
• Lớp Core: Có nhiệm vụ chuyển tiếp lưu thông với tốc độ cao nhất
• Lớp Distribution: Cung cấp các chính sách liên quan đến các hoạt
động kết nối
• Lớp Access: Cung cấp truy cập cho các User/Workgroup vào mạng
Ví dụ về một hệ thống mạng thiết kế theo phương thức thiết kế
Hierarchical:
Phương thức thiết kế theo mô đun - Modular
Phương thức thiết kế theo mô đun (Modular) được xem như là phương thức bổ xung cho phương thức thiết kế Hierarchical. Trong một hệ thống mạng qui mô lớn, nói chung sẽ bao gồm nhiều vùng mạng phục vụ các hoạt
đang là một phương pháp thiết kếđược sử dụng rộng rãi trong thiết kế hạ tầng mạng cho các doanh nghiệp, các công ty, và các tổ chức lớn (gọi tắt là Enterprise).
Phương thức thiết kế Modular có thểđược chia làm ba vùng chính, mỗi vùng được tạo bởi các mô đun mạng nhỏ hơn:
• Enterprise campus: Bao gồm các module được yêu cầu để xây dựng
một mạng campus đỏi hỏi tính sẵn sàng cao, tính mềm dẻo và linh hoạt.
• Enterprise edge: Hội tụ các kết nối từ các thành phần khác nhau tại
phía rìa mạng của Enterprise. Vùng chức năng này sẽ lọc lưu thông từ các module trong Enterprise edge và gửi chúng vào trong vùng Enterprise campus. Enterprise edge bao gồm tất cả các thành phần thiết bị để đảm bảo truyền thông hiệu quả và bảo mật giữa Enterprise campus với các hệ thống bên ngoài, các đối tác, mobile users, và mạng Internet.
• Service provider edge: Các module trong vùng này được triển khai bởi
các nhà cung cấp dịch vụ, chứ không thuộc về Enterprise. Các module trong Service provider edge cho phép truyền thông với các mạng khác sử dụng các công nghệ WAN và các ISPs khác nhau.
Ví dụ về một hệ thống mạng thiết kế theo phương thức thiết kế
Modular:
3. Phương thức thiết kế bảo mật cho hệ thống mạng
Phương thức thiết kế bảo mật cho hệ thống mạng được sử dụng là Kiến trúc an ninh cho các Doanh nghiệp – SAFE (Security Architecture for Enterprise Networks), được xây dựng dựa trên nền tảng các công nghệ an ninh mạng tiên tiến nhất để bảo vệ các cuộc tấn công từ bên ngoài và bên trong của hệ thống mạng các doanh nghiệp. SAFE đem lại sự linh hoạt và khả
có sự cố hay bị kẻ xấu tấn công vào hệ thống mạng. Khái niệm Module được sử dụng trong SAFE giúp cho việc tổ chức hệ thống an ninh được chặt chẽ và cho phép công việc thiết kế triển khai hệ thống an ninh mạng một cách linh hoạt theo từng Module một (Module by Module), trong khi vẫn đảm bảo được yêu cầu theo chính sách an ninh đặt ra cho từng giai đoạn.
Kiến trúc SAFE bao gồm các module sau:
Hình 16. Kiến trúc SAFE
• Corporate Internet Module: Corporate Internet Module tập trung chủ
yếu các kết nối của người dùng bên trong hệ thống mạng (Internal user) truy cập Internet và các kết nối từ người dùng bên ngoài (Internet user) truy cập vào hệ thống các máy chủ Public Servers của doanh nghiệp như HTTP, FTP, SMTP và DNS. Ngoài ra trong Module này còn cung cấp dịch vụ truy cập từ
xa bằng công nghệ VPN hay quay số truyền thống dial-up.
• Campus Module: Campus Module chủ yếu tập trung các máy trạm
làm việc, hệ thống máy chủ và kiến trúc chuyển mạch lớp 2 và lớp 3. Campus Module bao gồm nhiều thành phần hợp nhất thành một Module thống nhất được mô tả bằng mô hình kết nối tổng quát sau:
Hình 17. Kiến trúc Campus module
Campus Module có cấu trúc thiết kế tương tự mô hình mạng Campus truyền thống và cũng được chia theo 3 lớp là Core, Distribution và Access Layer. Tuy nhiên ở lớp Access thì Campus Module được phân làm 3 Module bảo vệ gồm Building Module (users), Management Module và Server Module. Với sự phân cấp bảo vệ trong Campus Module giúp cho việc thiết lập hệ thống an ninh mạng được linh động và độc lập giữa các Module, nhờ
vậy công việc tổ chức và quản trị trở nên dễ dàng hơn và giúp cho doanh nghiệp có thể mở rộng, gia cố và khắc phục các vấn đề an toàn cho hệ thống mạng khi có sự cố xảy ra.
• WAN Module: WAN Module chỉ có một kết nối duy nhất đến các
mạng khác cách xa nhau về mặt địa lý thông qua các đường truyền thuê bao riêng. Các khả năng có thể bảo vệ các cuộc tấn công vào WAN Module gồm:
o IP spoofing-IP spoofing có thể được ngăn chặn thông qua
Layer 3 filtering
o Unauthorized access—Tránh các truy cập trái phép bằng việc
giới hạn và kiểm soát các kiểu giao thức sử dụng từ chi nhánh kết nối về Trung tâm thông qua Router
Nguyên lý thiết kế hệ thống bảo mật: An ninh mạng phải được thiết
lập dựa trên các nguyên tắc sau:
• Bảo vệ có chiều sâu (defense in depth): Hệ thống phải được bảo vệ theo chiều sâu, phân thành nhiều tầng và tách thành nhiều lớp khác nhau. Mỗi tầng và lớp đó sẽđược thực hiện các chính sách bảo mật hay ngăn chặn khác nhau. Mặt khác cũng là để phòng ngừa khi một tầng hay một lớp nào đó bị
xâm nhập thì xâm nhập trái phép đó chỉ bó hẹp trong tầng hoặc lớp đó thôi và không thểảnh hưởng sang các tầng hay lớp khác.
• Sử dụng nhiều công nghệ khác nhau: Không nên tin cậy vào chỉ một công nghệ hay sản phẩm công nghệ bảo đảm an ninh cho mạng của một hãng nào đó. Bởi nếu như sản phẩm của hãng đó bị hacker tìm ra lỗ hổng thì dễ dàng các sản phẩm tương tự của hãng đó trong mạng cũng sẽ bị xuyên qua và việc phân tầng, phân lớp trong chính sách phòng vệ là vô nghĩa. Vì vậy khi tiến hành phân tầng, tách lớp, nên sử dụng nhiều sản phẩm công nghệ của nhiều hãng khác nhau để hạn chế nhược điểm trên. Đồng thời sử
dụng nhiều cộng nghệ và giải pháp bảo mật kết hợp để tăng cường sức mạnh hệ thống phòng vệ như phối hợp Firewall làm công cụ ngăn chặn trực tiếp, IDS làm công cụ "đánh hơi", phản ứng phòng vệ chủđộng, Anti-virus để lọc virus...v.v
Các tiêu chuẩn đáp ứng: Các sản phẩm bảo mật phải đáp ứng một số
chứng nhận tiêu chuẩn như Common Criteria, ISO/IEC 15408:2005 và ISO/IEC 18405:2005 EAL4, ICSA Firewall và VPN, FIPS-140
III.3. Nghiên cứu, thiết kế hệ thống an ninh và bảo mật mạng
Điều tuyệt vời nhất của Internet là kết nối mọi người lại với nhau và