3. 2. 2. 1. Phõn tớch so sỏnh cỏc phương phỏp định tuyến
Hiện nay đang cú 2 xu hƣớng sử dụng định tuyến trờn mạng nhƣ sau:
Định tuyến tĩnh (static routing): là việc nhà quản trị tự xỏc định cỏc mạng
đớch và điểm đến tiếp (next hop) để tới mạng đớch đú.
Vớ dụ nhƣ sau về một dũng lệnh định tuyến tĩnh: ip route 10. 192. 64. 0 255. 255. 255. 0 10. 65. 4. 1
Điều này tƣơng đƣơng với việc ra lệnh cho Router: Với gúi tin cần gửi tới mạng 10. 192. 64. 0 với 24 bit subnet mask thỡ chuyển gúi tin đú tới Router cú địa chỉ 10. 65. 4. 1 để xử lý tiếp.
Hỡnh 3.2: Minh hoạ cỏch bố trớ địa chỉ IP phõn lớp
Với phƣơng phỏp này nhà quản trị sẽ phải thao tỏc bằng tay (manual) nhập cỏc giỏ trị định tuyến vào cấu hỡnh Router do đú sử dụng định tuyến tĩnh cú một số bất cập sau:
Khú quản lý đƣờng đi trờn mạng (route): khi số lƣợng mạng đớch rất nhiều thỡ số lƣợng route trờn mạng sẽ tăng nhanh chúng. Nhƣ vớ dụ trờn ta thấy nếu khụng phải là 1 mạng đớch mà là 100 mạng đớch thỡ ta phải gừ bằng tay 100 dũng nhƣ vậy vào cấu hỡnh Router, việc này làm cho bảng định tuyến của Router trở nờn phức tạp khú quản lý.
lập, nếu cỏc giỏ trị trong route đú thay đổi (chẳng hạn nhƣ một đơn vị nào đú thay đổi IP) thỡ nhà quản trị phải xúa route cũ đi và gừ route mới vào với giỏ trị mới, điều này làm tiờu tốn thời gian và dễ gõy nhầm lẫn. Tuy nhiờn định tuyến tĩnh cũng cú ƣu điểm là khụng làm tiờu tốn băng thụng kờnh truyền bởi cỏc Router trờn mạng khụng cần phải thụng bỏo cho nhau bảng định tuyến của chỳng mà bảng này do nhà quản trị nhập vào từng Router một. Chớnh vỡ lý do này mà định tuyến tĩnh thƣờng đƣợc sử dụng cho những hệ thống mạng nhỏ, khụng phõn chia subnet phức tạp và hoạt động tƣơng đối ổn định
Định tuyến động (dynamic routing): là một giải phỏp tốt cho việc giải quyết
bài toỏn quản lý và cập nhật route khi hệ thống mạng trở nờn lớn về quy mụ và số lƣợng thiết bị.
Với định tuyến động, nhà quản trị chỉ cần quy định loại giao thức định tuyến mà Router sẽ sử dụng, việc cập nhật và thụng bỏo cỏc route sẽ đƣợc Router làm hoàn toàn tự động, khụng cần can thiệp của nhà quản trị. Nhƣ vậy cỏc thao tỏc quản trị sẽ đơn giản hơn và dễ dàng hơn rất nhiều.
Tuy nhiờn định tuyến động cũng yờu cầu một số nội dung sau:
Khả năng xử lý của Router phải tƣơng đối cao, bởi trong định tuyến động, Router phải tự cập nhật, phõn tớch, thụng bỏo về bảng định tuyến cho nhau để tỡm ra đƣờng đi hợp lý nhất và việc này là tiờu tốn khả năng xử lý của Router.
Nhà quản trị phải cú kiến thức tốt và nhiều kinh nghiệm về định tuyến: Với loại hỡnh này, việc cấu hỡnh trờn Router sẽ cần phải cõn nhắc hợp lý để hệ thống khụng bị những vũng lặp (routing loop) trờn mạng
Băng thụng đƣờng truyền cao: Việc thụng bỏo, cập nhật về route giữa cỏc Router sẽ sử dụng một phần băng thụng đƣờng truyền (khoảng 5%
đến 10%) do vậy yờu cầu về đƣờng truyền cũng cần cú tốc độ cao hơn.
3. 2. 2. 2. Đề xuất thiết kế định tuyến cho hệ thống
Dựa trờn những phõn tớch ở trờn, chỳng tụi đề xuất sử dụng định tuyến động cho hệ thống mạng đƣợc triển khai mới trong giai đoạn này vỡ những lý do sau:
Hệ thống mạng WAN của MB sẽ phỏt triển ra nhiều chi nhỏnh trong tƣơng lai theo cấu trỳc phõn cấp. Việc định hƣớng sử dụng định tuyến động trờn cơ sở chuẩn hoỏ hệ thống địa chỉ IP ngay từ ban đầu sẽ gúp phần xử lý tự động thụng tin về subnet và đơn giản hoỏ cho toàn bộ quỏ trỡnh nõng cấp và phỏt tiển hệ thống sau này đồng thời cũng gúp phần giảm bớt thao tỏc cho nhà quản trị và trỏnh đƣợc cỏc nhầm lẫn trong khi xử lý định tuyến.
Thiết bị mạng đƣợc trang bị cho MB đều là những thiết bị cao cấp, cú khả năng xử lý định tuyến thụng minh nờn hoàn toàn cú thể đảm nhận đƣợc việc xử lý đồng thời khi cú thay đổi về thụng tin định tuyến tại nhiều điểm kết nối.
Băng thụng đƣờng truyền WAN trong hệ thống của MB cũng thoả món yờu cầu cho phộp để cú thể sử dụng định tuyến động.
Chỳng tụi xin đề xuất lựa chọn loại giao thức OSPF (Open Shortest Path First). Đõy là loại giao thức chuẩn quốc tế đƣợc hỗ trợ bởi Router của tất cả cỏc hóng khỏc nhau. OSPF là loại giao thức đƣợc đề xuất sử dụng cho những hệ thống mạng lớn và rất lớn bởi khả năng chia mạng ra thành cỏc Area khỏc nhau do vậy tối ƣu đƣợc việc xử lý Routing update trờn Router. Cụ thể cỏc Area nhƣ sau:
Area 0 (Backbone Area): giữa cỏc Router kết nối 3 trung tõm miền (TpHN, TpHCM, TpĐN) cỏc Router trục này thực hiện chức năng ABR (Area Border Router).
Area 1: Gồm cú toàn bộ cỏc Router tại khu vực miền Bắc (Router cấp tỉnh/TP, quận/huyện... ) và ABR tại khu vực miền Bắc
Area 2: Gồm cú toàn bộ cỏc Router tại khu vực miền Nam (Router cấp tỉnh/TP, quận/huyện... ) và ABR tại khu vực miền Nam
Area 3: Gồm cú toàn bộ cỏc Router tại khu vực miền Trung (Router cấp tỉnh/TP, quận/huyện... ) và ABR tại khu vực miền Trung
Sơ đồ minh hoạ giao thức OSPF và cỏc Area nhƣ sau:
Hỡnh 3. 3: Phõn bố OSPF Area
3. 3. Quy hoạch kết nối mạng LAN tại Hội Sở - Hà Nội 3. 3. 1. Phõn chia VLAN tại Hội Sở (adsbygoogle = window.adsbygoogle || []).push({});
Tại Hội Sở chớnh của MB, bao gồm nhiều phũng ban cựng làm việc vỡ vậy cần phải chia hệ thống mạng LAN theo chức năng/nhiệm vụ để tối ƣu hoỏ mạng LAN và để tăng cƣờng bảo mật thụng tin giữa cỏc nhúm làm việc. Việc phõn chia VLAN
này sẽ do 02 thiết bị Cisco Catalyst 4500 mà MB đó trang bị tại Hội Sở đảm trỏch. Hệ thống địa chỉ IP trong hệ thống LAN tại Hội Sở sẽ lấy trong dải IP dành cho khu vực phớa Bắc, theo bảng qui hoạch IP đó qui định, dải IP dành cho VLAN sẽ là 10. 1. 0. 0 tới 10. 1. 200. 255, nhƣ vậy là cú 200 dải IP /24.
Hỡnh 3. 4: Bố trớ cỏc khối VLANs
3. 3. 2. Sử dụng DHCP để cấp phỏt địa chỉ IP tự động cho mỏy trạm
Chỳng tụi đề xuất sử dụng 02 mỏy chủ Intel Base để tạo ra cỏc Pool IP tƣơng ứng với cỏc VLAN trờn Switch 4500 đó thiết lập, để cấp phỏt địa chỉ IP tự động cho cỏc mỏy trạm làm việc.
3. 3. 3. Địa chỉ IP cho cỏc thiết bị mạng/mỏy chủ/mỏy in
IP tĩnh nằm ngoài khoảng DHCP.
3. 4. Giải phỏp an toàn bảo mật thụng tin trờn mạng LAN- Hội Sở 3. 4. 1. Hiện trạng hệ thống bảo mật 3. 4. 1. Hiện trạng hệ thống bảo mật
Mặc dự hệ thống mạng của MB đó cú và đúng vai trũ vụ cựng quan trong trong phỏt triển ứng dụng, giao dịch ngõn hang, tuy nhiờn tại trung tõm Liễu Giai núi riờng và cỏc chi nhỏnh giao dịch khỏc núi riờng lại chƣa cú giải phỏp an ninh mạng.
Hiện trạng cơ bản hệ thống mạng tại Hội sở Liễu Giai:
Hỡnh 3.5: Sơ đồ khối mạng chưa cú hệ thống bảo vệ
Mạng đƣợc chia 3 vựng: vựng ngoài, vựng bờn trong, vựng mỏy chủ. Việc truy cập từ bờn ngoài vào và việc truy cập vào vựng server chƣa hệ cú thiết bị bảo vệ nào. Nguy cơ tấn cụng rất cao và khả năng hệ thống mất kiểm soỏt, tài nguyờn bị chiếm đoạt hoặc bị mất. Trờn toàn mạng khụng cú một cơ chế đảm bảo an ninh mạng nào. Điều này dẫn đến việc mạng khụng cú khả năng phõn cấp, điều khiển
truy nhập, khụng cú khả năng xỏc thực cấp phộp ngƣời dựng, khụng cỏc khả năng phản ứng lại cỏc tấn cụng và khụng cú khả năng theo dừi toàn bộ hoạt động của mạng. Trờn toàn mạng cú rất nhiều cỏc điểm cú kết nối với bờn ngoài bao gồm cỏc kết nối với cỏc chi nhỏnh nội bộ và kết nối quay số đi Internet từ cỏc mỏy trạm đơn lẻ của ngƣời dựng. Nếu khụng cú phõn loại, quy hoạch, tổ chức lại cỏc kết nối này thỡ hacker cú thể lợi dụng cỏc kết nối này để chui vào mạng.
Cần thiết phải cú giải phỏp tớch hợp cỏc thiết bị an ninh mạng để phỏt hiện, ngăn chặn cuộc tấn cụng và truy cập trỏi phộp từ vựng ngoài và cỏc vựng trọng yếu mỏy chủ ở bờn trong
3. 4. 2. Nguyờn tắc thiết kế hệ thống bảo mật
Quan điểm xõy dựng chớnh sỏch bảo mật
Quan điểm của chỳng tụi trong vấn đề an ninh mạng là:
1. An ninh mạng là một tiến trỡnh lặp đi lặp lại, bao gồm cỏc bƣớc xoay vũng nhƣ sau:
2. Xỏc định cỏc đối tƣợng cần đƣợc bảo vệ (mỏy chủ, cỏc tài nguyờn, cỏc ứng dụng, cỏc thiết bị mạng, mỏy trạm, ngƣời dựng,. v. v. ).
3. Xỏc định cỏc hiểm họa cú thể gõy nờn cho mạng và hệ thống.
4. Thiết lập chớnh sỏch an ninh cho mạng, bao gồm cỏc nhà lónh đạo, quản lý và tin học, quản trị mạng và ngƣời dựng.
5. Thiết lập cỏc chớnh sỏch an ninh mạng bằng cỏc phƣơng phỏp điện tử và hành chớnh. Cỏc phƣơng phỏp điện tử bao gồm: thiết kế quy hoạch lại mạng, Firewall, VPN, IDS, ACS và quản trị an ninh mạng.
6. Theo dừi an ninh mạng và phản ứng lại cỏc biểu hiện bất thƣờng. 7. Kiểm tra lại chớnh sỏch an ninh và cỏc thiết bị an ninh mạng để đỏp ứng
lại cỏc thay đổi.
8. Tiếp tục theo dừi và quản lý an ninh mạng, thay đổi chớnh sỏch an ninh và cấu hỡnh cỏc thiết bị an ninh mạng để phự hợp với ngữ cảnh an ninh mới.
Nguyờn lý xõy dựng chớnh sỏch bảo mật
An ninh mạng phải đƣợc thiết lập dựa trờn nguyờn tắc
Bảo vệ cú chiều sõu (defense in depth): Hệ thống phải đƣợc bảo vệ theo chiều sõu, phõn thành nhiều tầng và tỏch thành nhiều lớp khỏc nhau. Mỗi tầng và lớp đú sẽ đƣợc thực hiện cỏc chớnh sỏch bảo mật hay ngăn chặn khỏc nhau. Mặt khỏc cũng là để phũng ngừa khi một tầng hay một lớp nào đú bị xõm nhập thỡ xõm nhập trỏi phộp đú chỉ bú hẹp trong tầng hoặc lớp đú thụi và khụng thể ảnh hƣởng sang cỏc tầng hay lớp khỏc. Sử dụng nhiều cụng nghệ khỏc nhau: Khụng nờn tin cậy vào chỉ một
cụng nghệ hay sản phẩm cụng nghệ bảo đảm an ninh cho mạng của một hóng nào đú. Bởi nếu nhƣ sản phẩm của hóng đú bị hacker tỡm ra lỗ hổng thỡ dễ dàng cỏc sản phẩm tƣơng tự của hóng đú trong mạng cũng sẽ bị xuyờn qua và việc phõn tầng, phõn lớp trong chớnh sỏch phũng vệ là vụ nghĩa. Vỡ vậy khi tiến hành phõn tầng, tỏch lớp, nờn sử dụng nhiều sản phẩm cụng nghệ của nhiều hóng khỏc nhau để hạn chế nhƣợc điểm trờn. Đồng thời sử dụng nhiều cộng nghệ và giải phỏp bảo mật kết hợp để tăng cƣờng sức mạnh hệ thống phũng vệ nhƣ phối hợp Firewall làm cụng cụ ngăn chặn trực tiếp, IDS/IPS làm cụng cụ "đỏnh hơi", phản ứng phũng vệ chủ động, Anti-virus để lọc virus...
3. 4. 3. Đề xuất phƣơng ỏn thiết kế hệ thống bảo mật tại Liễu Giai (adsbygoogle = window.adsbygoogle || []).push({});
Sau khi khảo sỏt và phõn tớch hiện trang hệ thống an ninh mạng của MB và căn cứ trờn nguyờn tắc thiết kế bảo mật, chỳng tụi đề xuất giải phỏp an ninh cho hệ
thống mạng của MB tại hội sở Liễu Giai – Hà Nội nhƣ sau:
Đặt một firewall tại lớp ngoài với chức năng ngăn chặn khả năng tấn cụng hoặc truy cập trỏi phộp từ bờn ngoài vào hệ thống.
Đặt một firewall tại lớp trong với mục đớch bảo vệ 2 vựng mỏy chủ ở bờn trong.
Đặt một thiết bị ngăn chặn sự xõm nhập (IPS), tấn cụng vào vựng server2 quan trọng bao gồm database server, application server... Ngoài ra với phần kết nối internet, chỳng tụi đề xuất sử dụng một
internet router chuyờn dụng, kiểm soỏt truy cập vào internet và phỏt hiện và chống lại những cuộc tấn cụng từ internet
3. 4. 3. 1 Bảo mật kết nối Internet- Sử dụng thiết bị Cisco 2811 Security Bundle
Về cơ bản, Internet Router cú vai trũ chớnh là cung cấp kết nối đến cỏc dịch vụ Internet cho ngƣời dựng bờn trong mạng của MB. Tuy nhiờn, nhằm tăng cƣờng khả năng bảo mật cho hệ thống ngay tại điểm ra Internet và giảm thiểu nguy cơ cỏc cuộc tấn cụng cơ bản nhất, chỳng tụi đề xuất triển khai một số biện phỏp bảo mật ngay tại Internet Router nhƣ:
1. Kiểm soỏt truy cập trỏi phộp thụng qua cơ chế lọc cơ bản (ACL) đối với cỏc địa chỉ và dịch vụ IP.
2. Chống giả mạo IP với cơ chế lọc RFC 2827 và RFC 1918.
Để đỏp ứng cỏc mục tiờu tăng cƣờng kiểm soỏt bảo mật ở trờn, đồng thời dựa trờn sự phỏt triển của hệ thống mạng MB trong giai đoạn này, Internet Router đƣợc đề xuất là Cisco 2811 Security Bundle hỗ trợ phần mềm Cisco IOS Advanced IP Services Image – bao gồm tập cỏc chức năng IP Base, và cỏc chức năng bảo mật cao cấp khỏc nhƣ Cisco IOS Firewall, Intrusion Detection System (IDS), Secure Shell (SSHv1), và cỏc cụng nghệ mó húa DES và 3DES.
Về mặt kết nối logic, Cisco router 2811 đƣợc đặt trƣớc thiết bị Firewall mà tỏch biệt toàn bộ mạng nội bộ MB với mạng ngoài – Internet, thuộc cựng một VLAN riờng đƣợc tạo bởi Cisco Catalyst 4500. Về mặt kết nối vật lý, Cisco router 2811 và Firewall đƣợc kết nối đến Cisco Catalyst 4500 thụng qua cỏc giao tiếp Fast Ethernet.
3. 4. 3. 2. Bảo mật vựng LAN lớp ngoài- Sử dụng thiết bị Cisco ASA 5520 Security Appliances
Nếu Internet Router – Cisco 2811 Security Bundle cung cấp truy cập Internet và ngăn chặn cỏc dạng tấn cụng cơ bản, thỡ Internet Firewall là thiết bị giữ vai trũ quan trọng trong việc bảo vệ an ninh tại phớa rỡa mạng MB. Internet Firewall chịu trỏch nhiệm:
1. Tạo và tỏch biệt cỏc vựng mạng (Zones) của MB theo cỏc cấp độ an ninh khỏc nhau.
2. Ngăn chặn lƣu thụng trỏi phộp, kiểm soỏt và giỏm sỏt cỏc luồng lƣu thụng theo đỳng mục đớch và ý muốn hƣớng vào và hƣớng ra giữa cỏc vựng mạng của MB theo một chớnh sỏch an ninh cụ thể.
Để cú khả năng kiểm soỏt và xử lý toàn bộ luồng lƣu thụng tại rỡa mạng MB, Internet Firewall đƣợc đề xuất là Cisco ASA 5520 Firewall cú hiệu năng cao, thụng lƣợng lờn tới 450 Mbps, 4 giao tiếp Gigabit Ethernet và 1 Fast Ethernet, hỗ trợ khả năng hoạt động ở mức sẵn sàng cao nhƣ Active/Active and Active/Standby và hỗ trợ mó húa 3DES/AES
Hỡnh 3.7: Firewall bảo vệ lớp ngoài
Về mặt kết nối logic, Cisco ASA 5520 Firewall tạo ra cỏc vựng mạng tại cỏc giao tiếp trờn Firewall, tạm đặt tờn là Inside, Inside1 (mạng WAN của MB), Outside, và DMZ. Cỏc giao tiếp thuộc mỗi vũng sẽ nằm trong một VLAN riờng biệt đƣợc tạo bởi Cisco Catalyst 4500. (Khuyến nghị MB sử dụng cỏc Switch độc lập thay vỡ tạo cỏc VLAN trờn cựng một Switch dựng chung). Về mặt kết nối vật lý, giao tiếp Fast Ethernet trờn Cisco ASA 5520 Firewall là giao tiếp Outside, nằm trong cựng VLAN với Cisco router 2811. Cỏc giao tiếp 4 Gigabit Ethernet cũn lại là cỏc giao tiếp Inside, Inside1 và DMZ, tƣơng ứng thuộc cỏc vựng MB campus, MB
WAN, và DMZ. Tất cả cỏc giao tiếp này đƣợc kết nối vật lý đến Cisco Catalyst 4500 thụng qua cỏc cổng Gigabit Ethernet hoặc Fast Ethernet sẵn cú.
3. 4. 3. 3. Bảo mật vựng LAN lớp trong- Sử dụng thiết bị Nokia IP560
Trong hệ thống mạng, vựng mỏy chủ vụ cựng quan trọng. Vựng mỏy chủ phục