Vấn đề bảo mật thụng tin luụn đƣợc quan tõm đối với những hệ thống mạng mà dữ liệu cú giỏ trị rất cao, đặc biệt là của những tổ chức liờn quan đến tài chớnh, ngõn hàng bởi dữ liệu của họ khụng đƣợc phộp lộ ra bờn ngoài.
3. 5. 1. Phõn tớch cỏc giải phỏp mó húa dữ liệu đƣờng truyền
Vấn đề mó húa đƣờng truyền luụn đƣợc quan tõm đối với những hệ thống mạng mà dữ liệu cú giỏ trị rất cao, đặc biệt là của những tổ chức liờn quan đến tài chớnh ngõn hàng bởi dữ liệu của họ khụng đƣợc phộp lộ ra bờn ngoài.
Hiện nay cú hai xu hƣớng sử dụng mó húa đƣờng truyền: Mó húa luồng lớp 2 sử dụng trờn đƣờng truyền và mó húa IPSec lớp 3. Hai phƣơng phỏp mó húa này đƣợc so sỏnh nhƣ sau:
Mó húa luồng lớp 2 (Link Encryption)
Khả năng linh hoạt thấp: Với việc mó húa lớp 2, cỏc thiết bị mó húa sẽ phụ thuộc vào loại đƣờng truyền và loại đúng gúi dữ liệu lớp 2 (Data-Link Encapsulation). Ngoài ra, cỏc thiết bị hai đầu phải cựng đƣợc sản xuất từ một hóng, nếu mỗi đầu kết nối là một thiết bị của một hóng khỏc nhau thỡ việc mó húa và giải mó khụng thực hiện đƣợc.
Khả năng mở rộng thấp: Do việc mó húa lớp 2 đƣợc thực hiện ở hai đầu kết nối nờn cứ mỗi khi thờm thiết bị vào mạng lại cần phải bổ sung thờm thiết bị mó húa.
Tăng thờm khả năng xảy ra sự cố: khi sử dụng mó húa lớp 2 chỳng ta phải thờm thiết bị vật lý vào mạng (2 thiết bị cho một kết nối), nhƣ vậy xỏc suất xảy ra sự cố trờn đƣờng truyền sẽ cao hơn bởi càng cú nhiều thiết bị trung gian trờn kết nối thỡ việc xảy ra sự cố sẽ nhiều hơn. Khi một đầu thiết bị gặp sự cố thỡ phải cấu hỡnh thiết bị cũn lại bằng tay để bỏ chế độ mó húa đi, khi đú kết nối mới hoạt động đƣợc. Việc này thƣờng mất thời gian và khụng hiệu quả lắm.
Khụng thực hiện đƣợc mó húa theo chớnh sỏch: Mó húa tất cả những gúi dữ liệu IP đƣợc gửi trờn đƣờng truyền.
Tốc độ mó húa và giải mó khỏ cao: Do chỉ hoạt động ở lớp 2 nờn tốc độ mó húa của thiết bị Link Encryptor núi chung là khỏ nhanh
Hỡnh 3.10: Mó hoỏ luồng lớp 2
Mó húa IPSec lớp 3
Khả năng bảo mật cực tốt: mó húa IPSec lớp 3 là việc mó húa theo tiờu chuẩn IP Security quốc tế, việc mó húa này đảm bảo đạt đƣợc những yờu cầu sau về an ninh mạng:
i. Khả năng xỏc thực (Authentication): xỏc định ngƣời gửi dữ liệu đỳng
là ngƣời đƣợc phộp gửi và ngƣời nhận dữ liệu đỳng là ngƣời đƣợc phộp nhận.
ii. Mó húa dữ liệu (Data Encryption): Đảm bảo dữ liệu đƣợc chuyển thành dạng khụng đọc đƣợc theo những thuật toỏn mó húa xỏc định nhƣ DES (56-bit), 3DES (168-bit), AES 128-bit / 192-bit / 256-bit
iii. Tớnh vẹn toàn dữ liệu (Data Integrity): Đảm bảo dữ liệu khụng bị sửa đổi trong quỏ trỡnh truyền qua mạng cụng cộng
iv. Ngăn chặn việc tỏi sử dụng dữ liệu bất hợp phỏp (Anti-replay)
Khả năng mở rộng lớn: Do IPSec là một chuẩn an ninh dữ liệu IP chung nờn đƣợc sử dụng bởi tất cả cỏc hóng cung cấp giải phỏp bảo mật, do đú việc ỏp dụng IPSec trờn những hệ thống mạng phức tạp, đa dạng về thiết bị là điều hoàn toàn khả thi.
Khả năng mó húa theo chớnh sỏch: Cho phộp thiết lập danh mục những loại traffic đƣợc mó húa và những loại traffic khụng cần mó húa. Điều này giỳp tiết kiệm năng lực xử lý của thiết bị và tăng tốc độ truyền dữ liệu.
Tốc độ mó húa: Tốc độ mó húa và giải mó tựy thuộc vào khả năng xử lý của thiết bị. Thụng thƣờng với những thiết bị cú bộ xử lý mạnh và nhiều bộ nhớ thỡ tốc độ mó húa sẽ rất nhanh. Ngoài ra ngƣời ta cú thể tăng thờm tốc độ mó húa nhờ cỏc module mó húa bằng phần cứng (Hardware-based Encryption Acceleration Module).
3. 5. 2. Đề xuất phƣơng ỏn
Sau khi phõn tớch ở trờn chỳng tụi xin đề xuất sử dụng phƣơng ỏn mó hoỏ luồng lớp 3 để bảo mật dữ liệu trờn cỏc đƣờng kết nối WAN, với cỏc lý do cơ bản nhƣ sau:
1. Kờnh thuờ riờng leased line/cable ngày càng giảm giỏ, vỡ vậy sẽ dễ dàng thuờ đƣợc đƣờng tốc độ cao hơn để đủ băng thụng khi cấu hỡnh VPN. 2. Cỏc thiết bị router mới của Cisco, đều hỗ trợ những tớnh năng cao nhất
để cấu hỡnh bảo mật VPN.
3. Cấu hỡnh VPN linh hoạt trong mọi mụi trƣờng kết nối: Leased line/ Frame-Relay/ MPLS/Internet…
3. 6. Giải phỏp chia tỏch mạng ATM sử dụng chung cỏc kết nối mạng WAN WAN
3. 6. 1. Mụ tả hệ thống kết nối ATM
Hệ thống cỏc mỏy mỏy rỳt tiền tự động ATM kết nối vào hệ thống mạng WAN thụng qua cỏc chi nhỏnh để cú thể trao đổi cỏc giao dịch với mỏy ATM của VCB. Dữ liệu của cỏc mỏy ATM sẽ sử dụng chung đƣờng kết nối WAN với cỏc loại dữ liệu giao dịch nội bộ khỏc của MB.
3. 6. 2. Đề xuất chia tỏch riờng mạng ATM
Để hệ thống cỏc mỏy mỏy rỳt tiền tự động ATM kết nối vào hệ thống mạng WAN thụng qua cỏc chi nhỏnh cú thể hoạt động ổn định, độc lập và bảo mật với cỏc loại dữ liệu giao dịch nội bộ khỏc của MB, chỳng tụi đề xuất phƣơng ỏn mạng LAN tại mỗi chi nhỏnh cũng chia thành cỏc VLANs. Hệ thống mỏy ATM sẽ là 1 VLAN riờng, hệ thống ngƣời sử dụng sẽ là 1 VLAN riờng nữa, và 2 hệ thống VLAN đú khụng đƣợc định tuyến sang nhau. Trờn cỏc thiết bị Router tại chi nhỏnh và trung tõm vựng sẽ sử dụng bảo mật Access-list để ngăn cỏch 2 VLAN đú.
Để thoả món yờu cầu này, cỏc thiết bị Router tại cỏc chi nhỏnh phải cú ớt nhất 02 cổng LAN 10/100Mbps. để chia VLAN, (cụ thể sẽ làm ở những giai đoạn nõng cấp tiếp theo)
3. 7. Giải phỏp dự phũng cho cỏc kết nối mạng WAN liờn mạng 3. 7. 1 Dự phũng kết nối WAN mạng trục backbone 3. 7. 1 Dự phũng kết nối WAN mạng trục backbone
Để việc truyền tải dữ liệu từ cỏc chi nhỏnh miền đi qua trục mạng WAN backbone đƣợc liờn tục, giảm thiểu sự gỏn đoạn, chỳng tụi xin đề xuất phƣơng ỏn kết nối vũng trong giữa 03 trung tõm miền lại với nhau, với kết nối vũng nhƣ vậy, thỡ hệ thống cú thể đƣợc chia tải trờn 02 đƣờng nếu tới cựng 1 đớch với điều kiện cỏc đƣờng tới đớch cựng chung tốc độ.
Hỡnh 3.14: Kết nối vũng giữa 03 trung tõm miền
3. 7. 2. Dự phũng kết nối WAN tới cỏc chi nhỏnh Tỉnh (hoặc chi nhỏnh cấp 1) cấp 1)
Để việc truyền tải dữ liệu từ cỏc chi nhỏnh Tỉnh hoặc chi nhỏnh cấp 1 quan trọng tới trung tõm miền đƣợc liờn tục, giảm thiểu sự gỏn đoạn, chỳng tụi xin đề xuất phƣơng ỏn kết nối sử dụng thờm 1 đƣờng dự phũng chạy xong hành với đƣờng chớnh, phƣơng ỏn sử dụng thờm 1 đƣờng leased line của 1 nhà cung cấp dịch vụ khỏc là cần thiết, nếu 2 kờnh truyền đú cựng tốc độ thỡ thiết bị cú thể cấu hỡnh chia tải kết nối lờn trung tõm vựng
3. 7. 3 Dự phũng kết nối WAN tới cỏc chi nhỏnh cấp 2
Với cỏc chi nhỏnh cấp 2, độ ƣu tiờn thấp hơn, chỳng ta cú thể sử dụng phƣơng ỏn quay số để làm dự phũng
3. 8. Xõy dựng AD cho toàn mạng 3. 8. 1. Thiết kế cấu trỳc Forests
Căn cứ vào yờu cầu và hiện trạng của MB, chỳng tụi đƣa vào 3 forest cho hệ thống MB 3 forest bao gồm:
1 forest cho hệ thống mạng nội bụ của MB: Quản lý tài nguyờn và hệ thống user, dịch vụ trong toàn mạng nội bộ từ hội sở đến cỏc chi nhỏnh của MB.
1 forest cho hệ thống public truy cập vào internet: Đõy là vựng cho phộp việc xỏc thực để truy cập ra ngoài hệ thống của MB, vựng quảng bỏ ra ngoài internet.
1 forest cho hệ thống ATM: Vựng quản lý hệ thống cỏc mỏy chủ ATM. Đõy là vựng nhạy cảm, sẽ đƣợc quản lý nghiờm ngắt với cỏc chớnh sỏch chặt chẽ.
Site Site
Site
MB private Forest MB public forest MB ATM forest
Hỡnh 3.15: Hệ thống forest của MB
Site Site
Site
MB private Forest
MB public forest MB ATM forest
trusting
Trƣớc mắt sẽ xõy dựng forest cho hệ thống mạng nội bộ của MB. Cỏc forest cho hệ thống truy cập vào internet và hệ thống ATM sẽ đƣợc xõy dựng sau và sẽ đƣợc trust với forest của mạng nội bộ.
3. 8. 2 Thiết kế hệ thống domain cho forest nội bộ của MB
3. 8. 2. 1 Kiến trỳc domain
Mạng nội bộ của MB bao gồm hệ thống mạng tại hội sở và chi nhỏnh. Nú là mạng quản lý tập trung do hệ thống thụng tin tại hội sở chớnh ở Nguyễn Chớ Thanh quản lý và đƣa ra cỏc chớnh sỏch.
Domain cho MB bao gồm 2 lớp:
1. Lớp 1 là domain gốc của MB- root domain
2. Lớp 2 bao gồm cỏc domain của hội sở và cỏc chi nhỏnh. Là cỏc domain con của root domain. Cỏc domain trong lớp này là ngang hàng với nhau.
MB root domain Domain hội sở chớnh Domain chi nhỏnh HCM Domain chi nhỏnh HP Domain chi nhỏnh HN
Hỡnh 3.17: Cấu trỳc domain của forest nội bộ MB
Nhƣ vậy với forest của mạng nội bộ MB, chỳng ta cú một root domain. Dƣới root domain sẽ là cỏc domain con, chớnh là cỏc domain của hội sở, cỏc chi nhỏnh. Số lƣợng domain của forest mạng nội bộ MB sẽ chớnh là tổng số hội sở và chi nhỏnh của MB.
Với MB, do vị trớ địa lý phõn tỏn toàn quốc nờn dung region domain để phõn chia domain.
Domain đƣợc phõn chia tại hội sở và chi nhỏnh căn cứ trờn số lƣợng user tại từng chi nhỏnh và tốc độ đƣờng truyền.
Domain controller nờn đƣợc đặt ngay tại chi nhỏnh và hội sở.
3. 8. 2. 2 Hệ thống tờn cho forest
Hệ thống tờn cho forest bao gồm tờn của:
Root domain: chớnh là tờn của forest, mb. com. vn
Sub domain: chớnh là tờn domain của hội sở và cỏc chi nhỏnh. (root domain) và tờn cho cỏc sub domain tại hội sở chớnh và cỏc chi nhỏnh
Mb.vn
HS.mb.vn Hcm.mb.vn Hp.mb.vn Hn.mb.vn
Hỡnh 3.18: Cấu trỳc tờn trong hệ thống domain
3. 8. 3 Thiết kế hệ thống DNS của MB
Lựa chọn sử dụng DNS tớch hợp với Active Directory. Khi đƣợc tớch hợp vào Active Directory thỡ AD sẽ lƣu trữ và tỏi tạo bản sao (replicate) cỏc cơ sở dữ liệu DNS của zone. Dữ liệu của zone đƣợc lƣu trữ trong AD nhƣ là một đối tƣợng (object) do đú đƣợc replicate nhƣ là một bộ phận của quỏ trỡnh tạo bản sao domain (khi cỏc domain thực hiờn replicate với nhau). Do đú cụng việc quản trị DNS rất đơn giản.
Hiện tại MB mới bao gồm một hội sở chớnh và cỏc chi nhỏnh ở một số thành phố, tỉnh nhƣ Hà Nội, HCM, HP, ĐNA... Trong tƣơng lai khi mạng phỏt triển lớn hơn cần phải cú cập nhật DNS giữa nhiều chi nhỏnh, hội sở và chi nhỏnh cú vị trớ địa lý rộng khắp trờn cả nƣớc thỡ chỉ với loại tớch hợp vào AD mới cú tớnh năng tự cập nhật an toàn (Secure Dynamic Update).
3. 8. 3. 1 DNS server
Tạo DNS domain của MB sẽ tƣơng ứng với hệ thống domain của AD.
DNS server sẽ đƣợc tớch hợp trờn tất cả cỏc domain controller của hội sở và cỏc chi nhỏnh của MB.
Phƣơng phỏp tỡm kiếm tờn: Root hints sẽ đƣợc cài đặt trờn cỏc domain controller ngoại trừ root domain controller.
Vị trớ của vựng zone DNS nằm trong cỏc domain controller
Nhƣ vậy khi tớch hợp DNS với AD, chỳng ta sẽ cú kiến trỳc DNS của MB:
Mb.vn HS.mb.vn Hcm.mb.vn Hn.mb.vn Regional Domain Forest root domain zone Delegation Hỡnh 3.19: Cấu trỳc DNS của MB
3. 8. 3. 2 DNS client
Tờn mỏy tớnh: Hệ điều hành window 2000 cho phộp đăng ký tờn trong DNS. Tờn trong DNS của mỏy tớnh chớnh là tờn của mỏy tớnh và thờm phần đuụi chớnh là DNS mà nú join vào. Vớ dụ tờn mỏy là computer1 khi là thành viờn của regional domain hs. mb. vn thỡ nú sẽ cú tờn là computer1. hs. mb. vn
Nếu sử dụng kết hợp với DHCP, cơ chế đỏnh tờn sẽ như sau: DHCP sẽ đăng ký tờn của mỏy tớnh với ip mà DHCP cấp cho. Sau đú, mỏy tớnh sẽ tự đăng ký tờn DNS của nú cho DNS server tớch hợp trong hệ thống AD (domain controller) MB Domain DNS server Computer MB DHCP server Đăng ký IP Đăng ký tờn DNS Client
Truy vấn tờn mỏy tớnh cần truy cập
Hỡnh 3.20: Cơ chế của DNS client
3. 8. 4 Thiết kế hệ thống OU
Tuỳ theo mục đớch, chức năng sơ đồ tổ chức của MB, chỳng ta sẽ chia đƣợc cỏc OUs, quản lý theo đỳng vai trũ của nú.
Tại hội sở bao gồm 16 phũng ban hoạt động theo chức năng riờng biệt, do đú cú thể chia ớt nhất là 16 OU. Ngoài ra cũn một số OUs quan trong trong một hệ thống thụng tin nhƣ: cỏc OU cho administration cú chức năng quản trị hệ thống, users.., cỏc OU cho group policy để đƣa ra cỏc chớnh sỏch nhƣ chớnh sỏch về
domain, user, OU cho quản lý tài nguyờn.. Servic e own er MB.vn Hs,mb.vn Hcm.mb.vn Hp.mb.vn Hn.mb.vn Users computers Domain Controller CNTT Sản g iao dịc h Hỡnh 3.21: Sơ đồ OU tại hội sở
3. 8. 5 Thiết kế sơ đồ site
3. 8. 5. 1 Sơ đồ thiết kế cỏc site
Khi đƣa ra giải phỏp thiết kế sơ đồ site tại MB, cỏc vấn đề đƣợc quan tõm: Dựa vào thiết kế domain, MB đó cú domain tại cỏc chi nhỏnh và hội sở,
vỡ vậy kiến trỳc site sẽ đƣợc tuõn theo kiến trỳc của domain.
Tại mỗi location của site: số lƣợng users và mỏy tớnh tại hội sở và cỏc chi nhỏnh của MB
Tốc độ đƣờng truyền giữa cỏc site: tốc độ đƣờng truyền của cỏc chi nhỏnh với hội sở.
Số lƣợng domain tại site: Mỗi chi nhỏnh sẽ là một domain với 2 domain controller (1 primary và 1 secondary)
Vị trớ cỏc site của MB: Chớnh là vị trớ của hội sở và cỏc chi nhỏnh tại cỏc tỉnh và thành phố
Site hội sở chớnh Liễu giai Hà Nội
Site chi nhỏnh Hồ Chớ Minh Site chi nhỏnh Đà Nẵng Site chi nhỏnh Hà Nội Site chi nhỏnh Hải Phũng Hỡnh 3.22: Vị trớ cỏc site
Domain và domain controller tại cỏc site:
Site tại Hội sở chớnh
Primary Secondary
Site tại chi nhỏnh HN
Primary Secondary
Site tại chi nhỏnh HN
Primary Secondary
Site tại chi nhỏnh HN
Primary Secondary
Site tại chi nhỏnh ĐNA
Primary Secondary
Hỡnh 3.23: Cỏc Domain và cỏc domain controller.
3. 8. 5. 2 Liờn kết site và replicate Liờn kết site Liờn kết site
Site tại cỏc chi nhỏnh khụng kết nối với nhau mà sẽ kết nối trực tiếp với root site tại hội sở chớnh ở Liễu giai Hà Nội
Site hội sở chớnh Liễu giai Hà Nội
Site chi nhỏnh Hồ Chớ Minh Site chi nhỏnh Đà Nẵng Site chi nhỏnh Hà Nội Site chi nhỏnh Hải Phũng Hỡnh 3.24: Kết nối cỏc Site Replicate cỏc site
Site tại cỏc chi nhỏnh replicate với hội sở chớnh
Root Site tại Hội sở chớnh
Primary Secondary
Site tại chi nhỏnh HN
Primary Secondary
Site tại chi nhỏnh HCM
Primary Secondary
Site tại chi nhỏnh HP
Primary Secondary
Site tại chi nhỏnh ĐNA
Primary Secondary Site r eplica tion Site repl icat ion S ite re plica tion Site rep lication Hỡnh 3.25: Replicate cỏc Site
3. 8. 6 Xõy dựng mụi trƣờng hệ thống quản lý tập trung cú tớnh tự động húa cao
Quản lý tập trung - Centralize Management
Quản lý tập trung đƣợc thiết lập qua việc triển khai hệ thống Active Directory trong tũan ngành. Trong đú kiến trỳc về Forest, domain, hệ thống user, group, quy tắc đạt tờn mỏy chủ, mỏy trạm, thiết bị mạng, mỏy in vv đƣợc thống nhất và ỏp dụng cho tất cả cỏc chi nhỏnh và Hội sở. Chi tiết về thiết kế Active Directory đó đƣợc