Khóa luận tốt nghiệp Bảo mật cho hệ thống mạng doanh nghiệp

Quản lý hệ thống mạng tập trung tại công ty Hoàng Sơn: - Từ nhu cầu thực tế về hệ thống quản lý tập trung nên chúng tôi chủ trương xây dựng một mô hình hệ thống gồm 2 máy chủ quản trị m

TRƯỜNG CAO ĐẲNG NGUYỄN TẤT THÀNH

KHOA CÔNG NGHỆ THÔNG TIN

NGUYỄN THANH KHA - NGUYỄN TÚ TRUNG

BẢO MẬT CHO HỆ THỐNG MẠNG

DOANH NGHIỆP

KHÓA LUẬN TỐT NGHIỆP

TP.HCM, 2008

TRƯỜNG CAO ĐẲNG NGUYỄN TẤT THÀNH

TKHOA CÔNG NGHỆ THÔNG TIN

NGUYỄN THANH KHA - 205205022 NGUYỄN TÚ TRUNG - 205205044

BẢO MẬT VÀ AN NINH CHO HỆ THỐNG MẠNG DOANH NGHIỆP

KHÓA LUẬN TỐT NGHIỆP

GIÁO VIÊN HƯỚNG DẪN

NGUYỄN KIM QUỐC

KHÓA 2005-2008

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

TPHCM, Ngày tháng năm

Giáo viên hướng dẫn

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

TPHCM, Ngày….tháng năm

Giáo viên phản biện

LỜI CẢM ƠN

Chúng em xin chân thành cám ơn Khoa Công Nghệ Thông Tin, trường Cao Đẳng Nguyễn Tất Thành đã tạo điều kiện tốt cho chúng em thực hiện đề tài luận văn tốt nghiệp này

Chúng em xin chân thành cám ơn Thầy Nguyễn Kim Quốc đã tận tình hướng dẫn, chỉ bảo chúng em trong suốt thời gian thực hiện đề tài

Chúng em xin chân thành cám ơn Thầy Cô trong Khoa đã tận tình giảng dạy, trang bị cho chúng em những kiến thức quý báu trong những năm học vừa qua

Mặc dù chúng em đã cố gắng hoàn thành luận văn trong phạm vi và khả năng cho phép nhưng chắc chắn không thiếu sót Chúng em kính mong nhận được sự cảm thông và tận tình chỉ bảo của quý Thầy Cô

LỜI MỞ ĐẦU

Trong thời kỳ của Công Nghệ Thông Tin hiện nay việc trao đổi thông tin là vô cùng quan trọng nhu cầu trao đổi thông tin gia tăng khi nền kinh tế ngày càng phát triển

Ngày nay khi đất nước chúng ta đã gia nhập vào nền kinh tế thế giới nhu cầu của người dân từ đó cũng được nâng cao hơn, mức sống của con người cũng tốt hơn trước

Sự gia nhập vào nền kinh tế Việt Nam đã mở ra cho chúng ta một hướng đi hoàn toàn mới các doanh nghiệp cở vừa và lớn ngày càng chiếm lĩnh thị trường trong và ngoài nước

Doanh nghiệp Hoàng Sơn với quy mô lớn về hệ thống mạng và cơ sở hạ tầng cung cấp và trao đổi các linh kiện điện tử vi tính sẽ là nguồn cung cấp lớn các nhu cầu thông tin cần thiết cho moi người

ĐỀ CƯƠNG CHI TIẾT

Tên đề tài:

BẢO MẬT CHO HỆ THỐNG MẠNG DOANH NGHIỆP

Giáo viên hướng dẫn:

NGUYỄN KIM QUỐC Sinh viên thực hiện:

NGUYỄN THANH KHA 205205022 NGUYỄN TÚ TRUNG 205205044 Thời gian thực hiện:

Từ 09/04/2008 đến 08/08/2008

Loại đề tài:

Bảo mật mạng doanh nghiệp

I Nội dung tóm tắt:

Triển khai hệ thống mạng quản lý tập trung, quản trị hệ thống tài nguyên và dịch

vụ mạng theo chính sách hệ thống và chiến lược phân quyền, chứng thực và theo dõi Bảo mật cho hệ thống mạng và an ninh cho hệ thống

II Nội dung thực hiện:

§ Triển khai hệ thống mạng quản lý tập trung

§ Xây dựng chiến lược phân quyền, ủy quyền

§ Lập chính sách hệ thống mạng, hệ thống chứng thực

§ Tìm hiểu Hacker và cách phòng chống

III Kết Quả Đạt Được:

§ Xây dựng được hệ thống mạng trên Window

§ Xây dựng được hệ thống mạng quản lý tập trung trong doanh nghiệp

§ Bảo mật và an ninh tốt cho hệ thống mạng bằng các chiến lược bảo mật và

an ninh

§ Hiểu phương thức tấn công và cách phòng chống Hacker

IV Kế Hoạch Thực Hiện:

Tuần Kế Hoạch Thưc

Hiện

Kết Quả Đạt Được

Sinh Viên Thực Hiện Tuần 1(9/4-

14/4/2008)

Khảo sát, phân tích

hệ thống mạng

Hiểu Biết về hệ thống mạng

Nguyễn Thanh Kha Nguyễn Tú Trung Tuần 2(15/4-

21/4/2008)

Triển khai hệ thống mạng window

Hiểu Biết về hệ thống mạng

Nguyễn Thanh Kha Nguyễn Tú Trung

Tuần

3(22/4-28/4/2008)

Xây dựng máy Server, Client, Domain xây dựng miền

Có được một hệ thống mạng window cơ bản

Nguyễn Thanh Kha Nguyễn Tú Trung

Nguyễn Thanh Kha Nguyễn Tú Trung Tuần 5,6,7(5/5-

25/5/2008) THI HỌC KỲ

Tuần

8(26/5-1/6/2008)

Triển khai các dịch vụ mạng (DHCP, DFS, )

Cài đặt được các dịch vụ và cấu hình

Nguyễn Thanh Kha Nguyễn Tú Trung

Tuần

9(2/6-8/6/2008)

Triển khai các dịch vụ mạng (DHCP, DFS, )

Cài đặt được các dịch vụ và cấu hình

Nguyễn Thanh Kha Nguyễn Tú Trung Tuần 10(9/6- Bảo mật mạng Thiết lập được Nguyễn Thanh Kha

15/6/2008) doanh nghiệp các cơ chế bảo

Xây dựng được

hệ thống bảo mật cho hệ thống

Nguyễn Thanh Kha Nguyễn Tú Trung

Tuần

13(30/6-6/7/2008)

An ninh mạng doanh nghiệp

Tìm hiểu hệ thống Firewall

Nguyễn Thanh Kha Nguyễn Tú Trung Tuần 14(7/7-

13/7/2008)

An ninh mạng doanh nghiệp

Xây dựng hệ thống Proxy Server

Nguyễn Thanh Kha Nguyễn Tú Trung

Tuần 15

(19/7-25/7/2008)

Thiết Lập An Ninh Mạng

Thiết lập được các luật bảo vệ cho hệ thống mạng

Nguyễn Thanh Kha Nguyễn Tú Trung

Tuần 16

(26/7-1/8/2008)

Tìm hiểu Hacker

và cách phòng chống

Hiểu biết về hacker và các vấn đề bảo mật

Nguyễn Thanh Kha Nguyễn Tú Trung Tuần 17 (2/8-

/8/8/2008)

Tổng hợp báo cáo cuối kỳ

Báo cáo cuối cùng

Nguyễn Thanh Kha Nguyễn Tú Trung Sinh Viên Thực Hiện

Giáo Viên Hướng Dẫn

Sinh viên 1 Sinh viên 2

Nguyễn Kim Quốc

Nguyễn Tú Trung Nguyễn Thanh Kha

MỤC LỤC Chương 1 Đặc tả yêu cầu hệ thống mạng doanh nghiệp 14

2.1.2.2 Cấu hình và quản trị các máy Server 20 2.1.2.3 Cấu hình và quản trị các máy Client 20 2.1.3 Quản lý hệ thống mạng tập trung tại công ty Hoàng Sơn 20 2.1.3.1 Quản lý các đối tượng và thuộc tính 20

2.3.1 DHCP(Dynamic Host Configuration Protocol) 23

2.4.3 ISA (Internet Security and Acceleration) 28

4.1 Cài đặt Main Server 40

4.2.1.3 Nguyên tắc hoạt động của Web Server 46

4.3.2 Đặc điểm của ISA 84

4.4.2 Sử dụng các mẫu bảo mật (security template) 108

4.5.2 Cấu hình IPSec sử dụng giấy chứng nhận 114 4.5.3 Hiển thị các thông tin IPSec bằng dòng lệnh netsh 116 Chương 5 Hacker và cách bảo mật cho hệ thống mạng công ty 118 5.1 Tấn công Password của tài khoản người dùng trong Windows 119

5.1.2 Giải pháp chống tấn công sử dụng lệnh For 120

Chương 1 Đặc tả yêu cầu

hệ thống mạng doanh

nghiệp

1.1 Sơ lược về doanh nghiệp:

Sự ra đời của Doanh Nghiệp Tư Nhân Hoàng Sơn là một sự cần thiết Dựa trên sự thay đổi của thị trường cùng với sự ủng hộ của một số nhà đầu tư trong và ngoài nước Nhầm phục vụ lợi ích cho cộng đồng và toàn thể nhân viên trong công ty

• Doanh nghiệp tư nhân Hoàng Sơn Quận Gò Vấp là một tòa nhà có 5 tầng với:

• Tầng trệt: là nơi giao dịch khách hàng và phòng công quỹ

• Tầng 1: là phòng kỹ thuật, phòng kinh doanh và phòng kế hoạch

1.2 Mô hình hành chánh của công ty:

Hình 1.2.1: Mô hình hành chánh công ty

1.3 Đặc tả các yêu cầu phòng ban:

- Ban giám đốc: Quản lý công ty tiếp nhận các yêu cầu từ các trưởng phòng ban đề ra các yêu cầu phát triển công ty chính và các chi nhánh khác

- Phòng kinh doanh: Quản lý các công việc kinh doanh của công ty thông qua các nhân viên kinh doanh

- Phòng kỹ thuật: Triển khai hệ thống mạng trong công ty, nối kết thông tin với các chi nhánh Quản trị các vấn đề về mạng của doanh nghiệp

- Phòng kế hoạch: Lên các kế hoạch hoạt động của công ty theo từng tháng, từng quý, theo dõi tình hình hoạt động của công ty báo cáo với ban giám đốc

- Phòng kế toán: Thống kê doanh thu theo từng thời điểm báo cáo chính xác tình hình tài chính của công ty theo yêu cầu của ban giám đốc

- Phòng nhân sự: Quản lý tình hình nhân sự của công ty

Ban Giám đốc

Phòng Công Quỹ

Phòng Giao Dịch

Phòng Marketing

- Phòng giao dịch: Tiếp nhận các yêu cầu khách hàng, lưu trữ thông tin khách hàng trao đổi mua bán các sản phẩm

- Phòng Marketing: Tiếp thị thông tin mặc hàng công ty theo dõi thị trường quản bá thương hiệu sản phẩm

- Phòng công quỹ: Thiết lập các hoá đơn, quản lý các cước phí trao đổi mua bán

1.4 Yêu cầu của toàn công ty:

- Chức năng chính của công ty là mua bán trao đổi các linh kiện điện tử máy

vi tính trong và ngoài nước theo các yêu cầu của khách hàng tại cơ sở chính của công ty và các chi nhánh trong thành phố

- Các phòng ban: Công ty gồm có 9 phòng ban các phòng ban làm việc khác nhau nhưng nhu cầu chung về thông tin khách hàng và yêu cầu về hàng hóa

là cùng một dữ liệu trong toàn công ty

- Nhân viên: Công ty có khoảng 200 nhân viên làm việc tại các phòng ban, các trưởng phòng, 1 phó giám đốc và một giám đốc

- Giờ làm việc: Do là một công ty tư nhân nên các nhân viên làm việc theo giờ hành chính

- Yêu cầu chung: Các nhân viên làm việc chung trong các phòng ban do người trưởng phòng quản lý, đòi hỏi mỗi nhân viên phải có 1 tài khoản riêng trên từng máy làm việc Các phòng ban phải dùng chung được cơ sở dữ liệu trên toàn hệ thống mạng của công ty Bên cạnh đó, do công ty luôn phải giao dịch mua bán trực tiếp với khách hàng tại phòng giao dịch và trên mạng nên nhu cầu về Web, Mail, … cho các phòng ban và giám đốc cũng được đặt ra, yêu cầu về bảo mật và an ninh mạng cũng là yêu cầu cần thiết

Chương 2 Phân tích hệ

thống mạng doanh

nghiệp

2.1 Triển khai hệ thống mạng tập trung:

Từ các yêu cầu trên của công ty chúng tôi xây dựng hệ thống mạng tập trung tại

công ty Hoàng Sơn

2.1.1 Giới thiệu về mô hình miền:

- Mô hình miền là một kiến trúc thư mục có phân cấp của các tài nguyên (Active

Derectory) và được sử dụng bởi tất cả các hệ thống là thành viên của miền Các

hệ thống này có thể sử dụng các tài khoản người dùng, nhóm và máy tính trong

thư mục để bảo mật các tài nguyên của chúng Active Derectory do đó đóng vai

trò như một trung tâm lưu trữ nhận thực, cung cấp nhận thức tin cậy và chỉ ra

“Ai là Ai” trong miền

- Active Directory là một tài nguyên rất quan trọng của hệ thống nó phải luôn sẵn sàng với mọi người dùng trong mọi thời điểm Vì lý do này mà miền Active

Directory thông thường có ít nhất 2 máy chủ quản trị miền để nếu một máy có

sự cố thì máy kia vẫn có thể phục vụ người dùng Các máy chủ quản trị miền

luôn đồng bộ CSDL với nhau nên mỗi máy chủ này đều chứa các thông tin hiện tại của miền hệ thống Khi một người quản trị mạng thay đổi một bản ghi trong

CSDL của Active Directory trên bất kỳ một máy chủ quản trị miền nào thì sự

thay đổi này sẽ đồng bộ với tất cả các máy chủ quản trị miền trong miền đó điều

này gọi là đồng bộ đa chủ (Multiple Master)

2.1.2 Triển khai mạng Domain tại công ty:

- Hệ thống mạng tại công ty gồm máy DCs, các máy Servers, khoảng 200 máy Clients cho các phòng ban

- Các máy DCs dùng để chứa cơ sở dữ liệu

- Các máy Server Cung cấp tài nguyên, dịch vụ cho mạng và cho các phòng ban của mình

- Clients là những máy sử dụng tài nguyên và đăng nhập mạng

2.1.2.1 Cấu hình máy DCs:

- Máy DCs được nâng cấp lên miền trong hệ điều hành Windows Server 2003

- Cài đặt các dịch vụ Active Directory (tài khoản người dùng, nhóm, các chính sách, các đơn vị tổ chức OU,…)

- Cấu hình tối thiểu: Memory 128MB, CPU 133MHz

2.1.2.2 Cấu hình và quản trị các máy Server:

- Các máy Servers: Cài hệ điều hành Windows Server 2003

- Cài đặt và cấu hình cho phù hợp các dịch vụ cần thiết như (Mail, Http, DNS, RIS, RAS, Chat,…)

- Các dịch vụ phải đựơc đăng kí và chứng thực trong miền

2.1.2.3 Cấu hình và quản trị các máy Client:

- Cài hệ diều hành XP, Me, 2k, Pro, …, kết nối tới DCs và Server

- Cài đặt cấu hình các chương trình để sử dụng các tài nguyên, dịch vụ

- Cài đặt các phần mềm chuyên dùng cho các nhân viên trong công ty

2.1.3 Quản lý hệ thống mạng tập trung tại công ty Hoàng Sơn:

- Từ nhu cầu thực tế về hệ thống quản lý tập trung nên chúng tôi chủ trương xây dựng một mô hình hệ thống gồm 2 máy chủ quản trị miền tại công ty Hoàng Sơn

để cho công tác quản lý thông tin về dữ liệu cũng như về vấn đề bảo mật và an ninh cho hệ thống mạng được thuận lợi hơn

- Máy chủ quản trị miền tai công ty được xây dựng trên nền Windows Server 2003

với tên miền là ntt.com đóng vai trò là một miền cha quản lý trong hệ thống mạng

nội bộ và liên hệ với các hệ thống mạng chi nhánh

2.1.3.1 Quản lý các đối tượng và thuộc tính:

– Các phòng ban làm việc trên các đơn vị tổ chức (Organization Unit - OU) được quản lý trong mạng cục bộ của người quản trị

– Các nhân viên làm việc trong các phòng ban đều được cấp một tài khoản riêng

và có thể truy cập tài nguyên đến máy chủ và̀ ở các phòng ban khác

– Các đối tượng Active Directory được sử dụng trong hệ thống mạng nội bộ tại

công ty:

- Organizational Unit (OU-Đơn vị tổ chức) được áp dụng cho các phòng ban trong công ty được sử dụng để tạo ra các nhóm logic bao gồm các đối tượng như máy tính, người dùng và nhóm trong một phòng ban đó

- User (người dùng): được tạo ra cho từng nhân viên trong mạng theo tên của từng nhân viên và một mật khẩu theo từng phòng ban quy định

- Computer (Máy tính):Thể hiện một máy tính trong mạng và cung cấp tài khoản máy tính cần thiết cho hệ thống để đăng nhập vào miền

- Group (Nhóm): Được tạo ra trong cùng các đơn vị tổ chức của các phòng ban để quản lý nhân viên trong các phòng ban và cũng để chia sẽ các tài nguyên chung trong công ty

- Thư mục chia sẻ: Cung cấp các truy cập mạng dựa trên Active Directory đến

một thư mục chia sẻ trong mạng nội bộ

- Máy in: Cung cấp các truy cập mạng dựa trên Active Directory đến một máy in

trong một máy tính mạng nội bộ

Mỗi đối tượng Active Directory có chứa một tập hợp các thuộc tính là các thông tin

về đối tượng đó

Ví dụ: một đối tượng người dùng sẽ có các thuộc tính mô tả tên tài khoản người

dùng đó như mật khẩu, địa chỉ, điện thoại,…Chúng ta có thể sử dụng Active Directory

để chứa bất kỳ thông tin nào về các người dùng trong tổ chức và các tài nguyên khác

2.1.3.2 Sử dụng các chính sách nhóm:

- Do cách thức thừa hưởng các thiết lập từ đối tượng mức cha truyền xuống mức con, chúng ta có thể sử dụng các OU để gom các đối tượng có cấu hình tương tự nhau Các thiết lập cấu hình mà chúng ta áp dụng đến từng máy chạy Windows

cũng có thể quản trị một cách tập trung nhờ sử dụng một tính năng của Active

Directory gọi là chính sách nhóm (Group Policy)

- Các chính sách nhóm cho phép chúng ta xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thực hiện trực tiếp trên máy tính đó Chúng ta

có thể thiết lập các tùy chọn cấu hình trên một đối tượng đặc biệt của Active

Directory chứa các máy tính và các người dùng mà chúng ta muốn cấu hình

- GPO là một tập hợp của rất nhiều các thiết lập cấu hình, từ các quyền đăng nhập của người dùng đến các phần mềm cho phép hoạt động trong hệ thống Bạn có

thể gắn các GPO này với mọi đối tượng chứa trong Active Directory như miền,

site, hoặc OU và các máy tính và người dùng trong các đối tượng chứa đó sẽ nhận được các thiết lập cấu hình trong GPO Trong hầu hết các trường hợp, người quản trị mạng thiết kế cấu trúc phân cấp sao cho có thể áp dụng GPO một cách hiệu quả nhất Bằng cách đặt các máy có vai trò xác định vào trong cùng một OU chúng ta có thể gán một GPO có các thiết lập đặc biệt dựa trên vai trò của máy tính đó vào OU này như vậy chúng ta đã cấu hình một lúc nhiều máy

tính

2.2 Sơ đồ hệ thống mạng doanh nghiệp:

2.2.1 Sơ đồ mạng của công ty:

Hình 1: Sơ đồ tổng quát công ty

- Hệ thống mạng trong công ty khoảng 200 máy nên việc cấu hình về địa chi IP cho từng máy theo cách thủ công thì rất mất nhiều thời gian và không chính xác Nên chúng tôi chủ trương sử dụng dịch vụ DHCP để cấp phát địa chỉ IP một cách tự động

o Các tiện ích khi sử dụng dịch vụ DHCP:

§ DHCP có thể cấu hình tự động một máy khi nó khởi động trên một mạng TCP/IP cũng như có thể thay đổi các thiết lập trong khi các máy đang kết nối đến mạng

§ Thiết lập thông tin một cách tập trung, chúng ta có thể dễ dàng thêm hoặc thay đổi các thiết lập máy trạm

§ Tập trung quản trị thông tin về cấu hình IP: Thông tin cấu hình IP của DHCP có thể lưu trong một vị trí và cho phép người quản trị có thể quản

lý thông tin cấu hình IP Máy chủ DHCP sẽ theo dõi các địa chỉ IP đã cấp

và địa chỉ IP dành riêng và liệt kê chúng trong bảng điều khiển DHCP

§ Cấu hình động cho các máy: DHCP tự động thực hiện quá trình cấu hình

động các tham số cấu hình quan trọng trong các máy Điều này giảm thiểu nhu cầu cấu hình thủ công cho các máy riêng biệt khi TCP/IP lần đầu tiên được triển khai hoặc khi yêu cầu thay đổi cơ sở hạ tầng IP

§ Cấu hình IP cho các máy một cách liền mạch: DHCP đảm bảo rằng các máy trạm DHCP có thể nhận được các tham số cấu hình IP một cách chính xác và kịp thời mà không cần tác động của người dùng

- Sự linh hoạt và khả năng mở rộng: DHCP cho phép người quản trị mạng tăng sự linh hoạt và có thể thay đổi cấu hình IP một cách dễ dàng khi cơ sở hạ tầng thay

đổi DHCP phù hợp từ mạng nhỏ đến mạng lớn

2.3.2 DNS (Domain Name System):

- Hệ thống mạng tại công ty Hoàng Sơn là một hệ thống mạng tương đối lớn nên nhu cầu truy cập Internet lúc nào cũng cần thiết nhưng cũng găp không ít một số

khó khăn như:

o Lưu lượng mạng và máy chủ duy trì tập tin bị quá tải

o Xung đột tên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn việc tạo 2 tên trùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có nguy cơ bị xung đột tên

o Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn

- Từ những yêu cầu cần thiết đó chúng tôi đã xây dựng cho hệ thống mạng Hoàng

Sơn dịch vụ DNS để khắc phục các nhược điểm trên

2.3.3 E-Mail (Thư điện tử):

- Từ các nhu cầu thực tiễn của công ty giao dịch thường xuyên với khách hàng hay tiếp nhận các yêu cầu, nhận xét của khách hàng hay những nhu cầu đặt hàng của khách qua mạng thì nhu cầu về một hệ thống Mail cho công ty là một nhu cầu thực tế tại mỗi công ty Tại công ty Hoàng Sơn chúng tôi đã tiếp nhận các yêu cầu thực tế đó và đã xây dựng một hệ thống Mail cần thiết cho công ty hoạt động trong nội bộ cũng như qua mạng để phục vụ cho các yêu cầu của khách hàng được tốt hơn

2.3.4 Web-Site (Trang Web):

- Do công ty hoạt động giao dich thường xuyên với khách hàng và cũng do nhu cầu về vấn đề an ninh cho mạng doanh nghiệp tránh các vụ tấn công từ bên ngoài qua các trang Web Mặc khác, để tránh tình trạng nhân viên truy cập những trang Web không cần thiết trong giờ làm việc nên chúng tôi chủ trương xây dựng một hệ thống Web Server trong công ty để cho các nhân viên truy cập những trang Web cần thiết từ trên Web Server điều đó sẽ làm cho công ty ngày

càng an ninh và phát triển hơn các nhân viên tập trung vào công việc hơn

2.3.5 RAS (Remote Access Server):

- Để xây dựng một hệ thống mạng cho phép các người dùng di động hoặc các văn phòng chi nhánh ở xa kết nối về Để đáp ứng được nhu cầu trên chúng tôi phải thiết lập một Remote Access Server (RAS)

- Khi máy tính Client kết nối thành công vào RAS, máy tính này có thể truy xuất đến toàn bộ hệ thống mạng phía sau RAS, nếu được cho phép, và thực hiện các thao tác như thể máy đó đang kết nối trực tiếp vào hệ thống mạng

- Hệ thống được quản lý tập trung theo mạng LAN nội bộ công ty nên các máy in

được cấu hình sẽ in ấn được qua mạng nội bộ trong công ty

2.3.7 FTP(File Transfer Protocol):

- Dịch vụ tập tin trong hệ thống mạng cho phép các máy tính chia sẻ các tập tin, thao tác trên các tập tin chia sẻ này như: lưu trữ, tìm kiếm, di chuyển khi không có mạng, các khả năng truyền tải tập tin giữa các máy tính bị hạn chế

- Ví dụ như chúng ta muốn sao chép một tập tin từ máy tính cục bộ ở tại trụ sở chính công ty sang một máy tính server đặt tại khu vực các chi nhánh thành

phần thì chúng ta dùng dịch vụ FTP để sao chép

2.4 An ninh mạng:

- Từ những yêu cầu thực tiễn của công ty về một hệ thống quản lý mạng tập trung

sử dụng các chính sách và tài khoản và nhóm cho mỗi phòng ban, các dịch vụ được sử dụng trong hệ thống mạng như Web, Mail, … nên yêu cầu bảo mật và

an ninh cho hệ thống mạng là rất quan trọng để bảo vệ các tài nguyên hệ thống mạng và các dữ liệu cho công ty

2.4.1 Giới thiệu Firewall:

- Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào

hệ thống của một số thông tin khác không mong muốn

- Firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không tin tưởng mà thông thường là Internet Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết

nối với bộ định tuyến (Router) hoặc có chức năng Router

2.4.2 Chức năng của Firewall:

- Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện

thông qua firewall

- Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted

network) mới được quyền lưu thông qua firewall

Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm:

- Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái phép

vào hệ thống mạng nội bộ Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản (account) bao gồm một tên người dùng (username) và mật khẩu (password)

- Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài

nguyên cũng như các nguồn thông tin trên mạng theo từng người, từng nhóm người sử dụng

- Quản lý kiểm toán (Accounting Management): cho phép ghi nhận tất cả các sự

kiện xảy ra liên quan đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập đối với vùng tài nguyên nào

đã được sử dụng hoặc thay đổi bổ sung …

2.4.3 ISA (Internet Security and Acceleration):

Là phần mềm share internet của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2000 Server Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần

lấy thông tin trên các Webserver đó bằng mạng LAN)

2.4.4 Đặc điểm của ISA:

- Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy

cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con,…

- Unique per-network policies: Đặc điểm Multi-networking được cung cấp

trong ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại

vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ

- Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng

- NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến

dữ liệu cho mạng con

- Network templates: Cung cấp các mô hình mẫu (network templates) về một số

kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tương ứng

- Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho

từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác

- Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như Authentication, Publish Server, giới hạn một số traffic

- Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy chia sẻ truy xuất Web

- Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kỹ thuật gởi thông báo qua E-mail,

- Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA

Server 2004, không giống như packet filtering firewall truyền thống, ISA 2004

có thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng Một số đặc điểm nổi bậc của ALF:

- Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP

- Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như pif, com,…

- Có thể giới hạn HTTP download

- Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập

- Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature)

- Điều khiển một số phương thức truy xuất của HTTP

2.5 Bảo mật mạng:

Từ những yêu cầu thực tiễn của công ty về một hệ thống quản lý mạng tập trung sử dụng các chính sách và tài khoản và nhóm cho mỗi phòng ban, các dịch vụ được sử dụng trong hệ thống mạng như Web, Mail, … Mặc khác ngày nay trên các trang Web của các công ty vấn đề về Hacker cũng rất được quan tâm Vì thế, yêu cầu bảo mật là quan trọng nhất đối với mỗi doanh nghiệp

2.5.1 Bảo mật hệ thống mạng dùng IPSec:

IPSec là một khung kiến trúc cung cấp các dịch vụ bảo mật, mật mã dành cho các gói IP IPSec là một kỹ thuật bảo mật điểm tới điểm nghĩa là chỉ có những máy tạm biết rõ về sự hiện của IPSec đó chính là hai máy tính sử dụng IPSec

liên lạc với nhau là biết rõ cơ chế bảo mật của nhau

2.5.2 Các tính năng bảo mật của IPSec:

- Kết hợp bảo mật tự động: IPSec sử dụng Internet Security Association (Kết hợp bảo mật Internet) để thỏa thuận các yêu cầu cho hai máy tính với nhau, chúng cần các cấu hình đã được thỏa thuận để thiết lập một tập các yêu cầu bảo mật với máy tính kia

- Lọc gói IP: Quá trình lọc này cấm các liên lạc cần thiết bằng cách chỉ định các khoảng địa chỉ IP, các giao thức, hay thậm chí cả những cổng của giao thức

- Bảo mật lớp mạng: IPSec nằm tại lớp mạng, cung cấp cơ chế bảo mật một cách

tự động, trong suốt cho các ứng dụng

- Xác thực ngang hàng: IPSec xác nhận lại mả nhận dạng của máy tính đối tác trước khi có bất cứ một gói dữ liệu nào được chuyển

- Xác thực dữ lệu gốc: ngăn cản các người dùng không đúng chức năng khỏi việc can thiệp vào gói tin và khai báo họ là người gửi dữ liệu

- Tính nguyên vẹn của dữ liệu: Sử dụng số kiểm soát bằng mật mã, IPSec bảo vệ

dữ liệu đang vận chuyển không bị sửa đổi bởi các người dùng không được xác thực, đảm bảo rằng các dữ liệu mà người nhận có được là chính xác các thông tin mà người gửi đã gửi cho mình

- Tính riêng tư: Các gói dữ liệu khi được gửi là được mã hóa bằng các kỷ thuật

mã hóa khóa bí mật qui ước

- Tính khoảng lặp: sử dụng số thứ tự trên mõi gói tin đã được bảo vệ được gửi giữa các đối tác có sử dụng các đối tác có sử dụng IPSec Dữ liệu được trao đổi

giữa các đối tác không thể bị lập lại để thiết lập các quan hệ bảo mật khác

Chương 3 Thiết kế hệ

thống mạng

3.1 Cấu trúc mạng:

- Đây là một hệ thống mạng dành cho nội bộ doanh nghiệp và các chi nhánh trong thành phố phối hợp mua bán các linh kiện điện tử tin học trong và ngoài nước nên yêu cầu bảo mật cho hệ thống rất cao.Bên cạnh đó trong tòa nhà và các chi nhánh các phòng ban làm việc với các chức năng khác nhau :Phòng Giám Đốc,các phòng Phó Giám Đốc,các quầy Giao Dịch, phòng Kế Toán, phòng Kỹ Thuật nên việc bảo mật trong các phòng này cũng được đặt ra.Chính vì thế chúng tôi xây dựng mạng LAN tại tòa nhà chính công ty trong đó mỗi phòng ban là một mạng LAN tại mỗi phòng

o Phòng Kinh Doanh: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc

o Phòng kế hoạch: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc

o Phòng Marketing: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc

· Tầng 3:

o Phòng Giám Đốc: Nơi đặt một máy Laptop

o Phòng Phó Giám Đốc: Nơi đặt một máy Laptop

· Tầng 4:

o Phòng họp: nơi đặt 1 Switch

3.2 Địa chỉ IP:

- Với những gì nghiên cứu được ở trên chúng tôi sẽ sử dụng địa chỉ mạng ở lớp

C Lớp C cung cấp cho chúng ta 254 host/ Net, nên việc mở rộng mạng không gặp bất cứ vấn đề nào

- Chúng ta cần chia mạng con vì giúp chúng ta cải thiện được tốc độ đường truyền của mạng và việc quản trị mạng được dễ dàng hơn và tối ưu hơn

- Từ yêu cầu của hệ thống mạng và điều kiện kỹ thuật cho phép chúng ta sử dụng địa chỉ IP ảo: 192.168.0.0 /24

- Để làm cho hiệu suất của mạng được tốt hơn chúng tôi chia làm 9 mạng con

theo từng phòng ban có dãy địa chỉ lần lượt là:

· Phòng kỹ thuật: Gồm có trưởng phòng kỹ thuật các server, Firewall, Router có khả năng đáp ứng đến 30 địa chỉ:

Network: 192.168.0.0 /27 Subnet: 192.168.0.31 /27

· Phòng kế toán: Gồm có trưởng phòng kế toán và các máy Client cho nhân viên có khả năng đáp ứng đến 30 địa chỉ

Network: 192.168.0.32 /27 Subnet: 192.168.0.63 /27

· Phòng công quỹ: Gồm có trưởng phòng và các máy nhân viên nên có khả năng đáp ứng đến 30 địa chỉ

Network: 192.168.0.64 /27 Subnet: 192.168.0.95 /27

· Phòng tổ chức: Gồm có trưởng phòng và các máy nhân viên nên có khả năng đáp ứng đến 30 địa chỉ

Network: 192.168.0.96 /27 Subnet: 192.168.0.127 /27

· Phòng giám đốc và phó giám đốc: Gồm có giám đốc, phó giám đốc và các thư ký nên có thể đáp ứng 8 địa chỉ

Network: 192.168.0.128 /29 Subnet: 192.168.0.135 /29

· Phòng kế hoạch: Gồm trưởng phòng kế hoạch và các nhân viên nên có thể đáp ứng đến 30 địa chỉ

Network: 192.168.0.136 /27 Subnet: 192.168.0.165 /27

· Phòng giao dịch: Gồm các máy lưu trữ dữ liệu khách hàng, hóa đơn… có khả năng đáp ứng đến 4 địa chỉ

Network: 192.168.0.166 /30 Subnet: 192.168.0.169 /30

· Phòng Marketting: Gồm trưởng phòng và các nhân viên có thể đáp ứng đến 30 địa chỉ

Network: 192.168.0.170 /27 Subnet: 192.168.0.199 /27

· Phòng họp: Có khả năng đáp ứng đến 30 địa chỉ

Network: 192.168.0.200 /27 Subnet: 192.168.0.229 /27

3.3 Thiết kế hệ thống mức luận lý:

Do nhu cầu của công ty về một mô hình quản lý tập trung mỗi phòng ban được tổ chức theo một đơn vị tổ chức, các trưởng phòng và các nhân viên có một tài khoản riêng Cad trưởng phòng được ủy thác quản lý các nhân viên của mình trong hệ thống mạng như công việc bên ngoài Từ những lý do đó chúng tôi thiết kế sơ đồ mức luận lý như sau:

Hình 3.3: Sơ đồ hệ thống mức luận lý

3.4 Bảng dự toán chi phí các trang thiết bị mạng:

Từ các yêu cầu cần thiết của công ty, các mẫu phân tích và thiết kế cho hệ thống mạng cần phải có các loại trang thiết bị mạng để cấu hình nên hệ thống mạng thực

tế Chúng tôi đưa ra bảng dự toán về chi phí cần thiết để mua các thiết bị cần thiết cũng như các phần mềm được cài đặt trong hệ thống mạng như sau:

Đơn giá x

1000 vnd

Số lượ

ng

Tổng cộng(10 00đ)

CrossFire,Sound+Dual iran 1G,Ata100

02 CPU Intel P4 945-3.4Dhz Socket 775 2x2MBK,Bus

và nối kết DVD,VCD

5624

CrossFire,Sound+Dual iran 1G,Ata100

07 Case Case 500 W Crytal trong suốt có 5 quạt 916 1 916

1000 vnd

Số lượng

Tổng cộng(100

0 đ)

CLIENT CHO PHÒNG KINH DOANH+KẾ TOÁN+CÔNG QUỸ

Chip intel G965/ICH8, S/P 755 3.8 GHz,bus 1066, Sound+Lan1G

CÁC CLIENT CÒN LẠI VÀ CÁC CHI NHÁNH

Chip intel G965/ICH8, S/P 755 3.8 GHz,bus 1066, Sound+Lan1G

- Windows XP Professional SP2 Giá: 225.000 đ

- Windows Server Standard 2003 Giá 200.000 đ

- ISA2004 1.500.000đ

- Mdeamon 150.000đ

- Chi phí lắp đặt và cài đặt: 10.000.000 đ

- Tổng dự toán chi phí: 2.015.500.000đ

Chương 4 Triển khai hệ

thống mạng doanh

nghiệp

4.1 Cài đặt Main Server:

Nâng cấp máy chủ lên DC: Đăng nhập vào máy tính Windows Server 2003 bằng tài

khoản Administrator rồi thực hiện các thao tác sau:

Từ nút Start/Run ta nhập dòng lệnh dcpromo và nhấn Enter