1. Trang chủ
  2. » Luận Văn - Báo Cáo

Triển khai thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST

52 923 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 52
Dung lượng 2,03 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Triển khai thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông va Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG CHO DOANH NGHIỆP 1. Tổng quan về bảo mật mạng cho doanh nghiệp 1.1. Bảo mật mạng là gì ? Mục tiêu của việc kết nối mạng là đề tài nhiều người sử dụng từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách. Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm: dữ liệu, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng. Bảo mật mạng gồm: Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố, rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. Đánh giá nguy cơ tấn công của các Hacket đến mạng, sự phát tán virus... Phải nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng. Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, lỗi hổng khiến mạng có thể bị xâm nhập thông qua cách tiếp cận có cấu trúc. Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy cơ xóa, phá hoại CSFL, ăn cắp mật khẩu,… nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng.

Trang 1

MỤC LỤC

LỜI NÓI ĐẦU

Hiện nay, hầu hết các tổ chức, đơn vị, trường học đều đã kết nối mạng nội bộ mạng đến các chi nhánh, đối tác và đã thừa hưởng nhiều lợi ích từ đó Nhưng chính sự thuận lợi này lại chứcnhiều mối nguy hiểm tiềm ẩn như: virus, hacket, vv công nghệ cao

Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu của việcnối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, dẫn một điều hiển nhiên là chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện Bảo mật ra đời

Trang 2

Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….

Bảo mật hệ thống mạng cho doanh nghiệp với giải pháp nào là tốt nhất? Đây chính là nội dung chính trong đợt báo cáo thực tập tốt nghiệp này của em

Với đề tài “ Triển khai & tkiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST ”, báo cáo gồm 3

chương:

Chương 1 tổng quan về bảo mật mạng cho doanh nghiệp

Chương 2 tìm hiểu về giao thức Vlan Access List

Chương 3 xây dựng giải pháp bảo mật mạng cho Công ty Bigdigital dựa trên giao thứcVLAN ACCESS LIST

Do thời gian và kiến thức của em có hạn, bài báo cáo của em vẫn còn nhiều thiếu sót, rấtmong nhận được sự chỉ bảo, góp ý và cảm thông của các thầy cô Em hy vọng sau này có thể tiếptục nghiên cứu sâu hơn về vấn đề này

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cảm ơn sâu sắc tới Th.s Đỗ Đình Cường và Th.s Lê HoàngHiệp Hai thầy đã tận tình chỉ bảo em trong quá trình làm bài báo cáo này Em cũng xin chânthành cảm ơn các thầy cô giáo đã truyền đạt kiến thức giúp em có thêm vốn kiến thức để hoànthành tốt bài báo cáo

Bên cạnh đó, em cũng xin gửi lời cảm ơn tới gia đình, bạn bè Những người đã động viên

và giúp đỡ em về mặt tinh thần trong thời gian này

Cuối cùng, em xin gửi lời cảm ơn đến gia đình và bạn bè, những người đã động viên emrất nhiều trong suốt thời gian qua

Trang 3

Thái Nguyên, ngày tháng năm 2016

Nguyễn Văn Thái

CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG CHO DOANH NGHIỆP

1. Tổng quan về bảo mật mạng cho doanh nghiệp

Bảo mật mạng là gì ?

Mục tiêu của việc kết nối mạng là đề tài nhiều người sử dụng từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm: dữ liệu, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng

Bảo mật mạng gồm:

Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố, rủi ro đối với thiết

bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng

Trang 4

Đánh giá nguy cơ tấn công của các Hacket đến mạng, sự phát tán virus Phải nhận thấy antoàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng.

Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng Đánh giá các nguy cơ, lỗi hổng khiến mạng có thể bị xâm nhập thông qua cách tiếp cận có cấu trúc Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy cơ xóa, phá hoại CSFL, ăn cắp mật khẩu,… nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng

Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và những biện pháp, chính sách

cụ thể chặt chẽ

Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủ động Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội dung và luồng thông tin có bị trao đổi hay không Vi phạm thụ chỉ nhằm mục đích nắm bắt được thông tin Vi phạm chủ động làthực hiện sự biến đổi, xóa bỏ hoặc thêm thông tin ngoại lại để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường rất khó có thể phát hiện nhưng có thểngăn chặn hiệu quả Trái lại, vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn

Các đặc trưng kỹ thuật của bảo mật mạng

1 Tính xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp trên

mạng Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một thiết bị phần cứng Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau:

• Đối tương cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như password, mã số thôngtin cá nhân PIN

• Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng

• Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví dụ như thông qua giọng nói, dấu vân tay, chữ ký…

Có thể phân loại bảo mật bảo mật trên VPN theo các cách sau: mật khẩu truyền thống hay mật khẩu một lần, xác thực thông qua các giao thức (PAP, CHAP,…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc…)

Trang 5

2 Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên mạng được các

thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ lúc nào, trong hoàn cảnh nào Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá Tính khả dụng cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt được thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (khống chế tắc nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng)

3.Tính bảo mật (confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các

thực thể hay quá trình không được ủy quyền biết hoặc không để cho các đối tượng xấu lợi dụng Thông tin chỉ cho phép thực thể được ủy quyền sử dụng Kỹ thuật bảo mật thường là phòng ngừa

dò la thu thập, phòng ngừa bức xạ, tăng cường bảo mật thông tin (dưới sự khống chế của khóa mậtmã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết lộ)

4.Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được ủy quyền thì

không thể tiến hành được, tức là thông tin trên mạng khi đang lưu giữ hoặc trong quá trình truyền dẫn đảm bảo không bị xóa, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm :sự cố thiết bị, sai mã, bị tác động của con người, virus máy tính…

 Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng:

- Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép…Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hóa

- Phương pháp phát hiện sai và và sửa sai Phương pháp sửa sai mã hóa đơn giản nhất và thường dùng là phép kiểm tra tính chẵn lẻ

- Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin

- Chữ ký điện tử: bảo đảm tính xác thực của thông tin

5.Tính khống chế (Acountlability): Là đặc tính về năng lực khống chế truyền bá và nội

dung vốn có của tin tức trên mạng

6.Tính không thể chối cãi (Nonreputation): Trong quá trình giao lưu tin tức trên mạng, xác

nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia không thể chối bỏ được hoặc phủ nhận những thao tác và cam kết đã được thực hiện

Các nguy cơ đe dọa

1.3.1. Đánh giá về sự đe dọa

Về cơ bản có 4 mối đe dọa đến vấn đề bảo mật mạng như sau:

- Đe dọa không có cấu trúc (Unstructured threats)

- Đe dọa có cấu trúc (Structured threats)

- Đe dọa từ bên ngoài (External threats)

- Đe dọa từ bên trong (Internal threats)

1) Đe dọa không có cấu trúc

Trang 6

Những mối đa dọa thuộc dạng này được tạo ra bởi những hacker không lành nghề, họ thật

sự không có kinh nghiệm Những người này ham hiểu biết và muốn download dữ liệu từ mạng Internet về Họ thật sự bị thúc đẩy khi nhìn thấy những gì mà họ có thể tạo ra

2) Đe dọa có cấu trúc

Hacker tạo ra dạng này tinh tế hơn dạng có cấu trúc rất nhiều Họ có kỹ thuật và sự hiểu biết về cấu trúc của hệ thống mạng Họ thành thạo trong việc làm thế nào để khai thác những điểmyếu trong mạng Họ tạo ra một hệ thống có “cấu trúc” về phương thức xâm nhập sâu vào trong hệ thống mạng

Cả hai dạng có cấu trúc và không có cấu trúc đều thông qua Internet để thực hiện tấn công mạng

3) Đe dọa từ bên ngoài

Xuất phát từ Internet, những người này tìm thấy lỗ hổng trong hệ thống mạng từ bên ngoài Khi các công ty bắt đầu quảng bá sự có mặt của họ trên Internet thì cũng là lúc các hacker

rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệu và phá hủy hệ thống mạng

4) Đe dọa từ bên trong

Mối đe dọa này thật sự rất nguy hiểm bởi vì nó xuất phát từ ngay trong chính nội bộ, điển hình là nhân viên hoặc bản thân những người quản trị Họ có thể thực hiện việc tấn công một cách nhanh gọn và dễ dàng vì họ am hiểu cấu trúc cũng như biết rõ điểm yếu của hệ thống mạng

1.3.2. Các lỗ hổng và điểm yếu của mạng

1. Các lỗ hổng của mạng

Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp lệ vào hệ thống Các lỗ hổngtồn tại trong các dịch vụ như : Sendmail, Web,… và trong hệ điều hành mạng như trong

WindowsNT, Windows95, Unix hoặc trong các ứng dụng

Các lỗ hổng bảo mật trên một hệ thống được chia như sau:

- Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS DoS là hình

thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Một

số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới

Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này

Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống

Trang 7

Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu với hình thức tấn công này

là sử dụng dịch vụ Web Giả sử: trên một Web Server có những trang Web trong đó có chứa các đoạn mã Java hoặc JavaScripts, làm “treo” hệ thống của người sử dụng trình duyệt Web của Netscape bằng các bước sau:

Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape

Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số các cửa sổ, trong mỗi cửa sổ đó nối đến các Web Server khác nhau

Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống Đây cùng là một hình thức tấn công kiểu DoS Người sử dụng trong trường hợp này chỉ có thể khởi động lại hệ thống

Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không xây dựng các

cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu và chuyển tiếp; một số hệ thống mail không

có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của

hệ thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ không xác định, vì máy chủmail luôn phải tốn năng lực đi tìm những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch

vụ Số lượng các messages có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet

- Các lỗ hổng loại B: Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người

sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp

Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định

Sau đây sẽ phân tích một số lỗ hổng loại B thường xuất hiện trong ứng dụng Sendmail:Sendmail là một chương trình được sử dụng rất phổ biến trên hệ thống UNIX để thực hiện gửi thư điện tử cho những người sử dụng trong nội bộ mạng Thông thường, sendmail là một daemon chạy ở chế độ nền được kích hoạt khi khởi động hệ thống Trong trạng thái hoạt động, sendmail mở port 25 đợi một yêu cầu tới sẽ thực hiện gửi hoặc chuyển tiếp thư Sendmail khi được kích hoạt sẽ chạy dưới quyền root hoặc quyền tương ứng (vì liên quan đến các hành động tạo file và ghi log file) Lợi dụng đặc điểm này và một số lỗ hổng trong các đoạn mã của sendmail,

mà các đối tượng tấn công có thể dùng sendmail để đạt được quyền root trên hệ thống

Để khắc phục lỗi của sendmail cần tham gia các nhóm tin về bảo mật; vì sendmail là

chương trình có khá nhiều lỗi; nhưng cũng có nhiều người sử dụng nên các lỗ hổng bảo mật

Trang 8

thường được phát hiện và khắc phục nhanh chóng Khi phát hiện lỗ hổng trong sendmail cần nâng cấp, thay thế phiên bản sendmail đang sử dụng.

Một loạt các vấn đề khác về quyền sử dụng chương trình trên UNIX cũng thường gây nên các lỗ hổng loại B Vì trên hệ thống UNIX, một chương trình có thể được thực thi với 2 khả năng:

- Người chủ sở hữu chương trình đó kích hoạt chạy

- Người mang quyền của người chủ sở hữu chủ nhân của file đó

Các loại lỗ hổng loại B khác

Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn viết bằng

C Những chương trình viết bằng C thường sử dụng một vùng đệm – là một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý Những người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu Ví dụ, người sử dụng viếtchương trình nhập trường tên người sử dụng; qui định trường này dài 20 ký tự Do đó họ sẽ khai báo:

char first_name [20];

Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ nằm ở một vị trí không kiểm soát được trong

bộ nhớ Đối với những người tấn công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi một số lệnh đặc biệt trên hệ thống Thông thường, lỗ hổng này thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ

Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổngloại B

- Các lỗ hổng loại A: Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mật

của hệ thống Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặckhông kiểm soát được cấu hình mạng

Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy các scripts là cgi-bin; trong đó có một Scripts được viết sẵn để thử hoạt động của apache là test-cgi Đối với các phiên bản cũ của

Apache (trước version 1.1), có dòng sau trong file test-cgi:

echo QUERY_STRING = $QUERY_STRING

Trang 9

Biến môi trường QUERY_STRING do không được đặt trong có dấu ” (quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự

“*”, web server sẽ trả về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts cgi) Người sử dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống server

Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều hành Novell;Các web server này có một scripts là convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này

Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger…

2 Ảnh hưởng của các lỗ hổng bảo mật trên mạng Internet

Phần trình bày ở trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những người tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một chuỗi mắt xích những lỗ hổng Ví dụ, một người muốn xâm nhập vào hệ thống mà anh ta không

có tài khoản truy nhập hợp lệ trên hệ thống đó Trong trường hợp này, trước tiên anh ta sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò sét thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống Sau khi mục tiêu như nhất

đã đạt được, anh ta có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu

và thực hiện các hành động tấn công tinh vi hơn

Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không?

Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống

Trên mạng Internet có một số nhóm tin thường thảo luận về các chủ đề liên quan đến các lỗhổng bảo mật đó là:

CERT (Computer Emergency Reponse Team): Nhóm tin này hình thành sau khi có phươngthức tấn công Worm xuất hiện trên mạng Internet Nhóm tin này thường thông báo và đưa ra các trợ giúp liên quan đến các lỗ hổng bảo mật Ngoài ra nhóm tin còn có những báo cáo thường niên

Trang 10

để khuyến nghị người quản trị mạng về các vấn đề liên quan đến bảo mật hệ thống Địa chỉ Web site của nhóm tin: http://www.cert.org/

CIAC (Department of Energy Computer Incident Advisory Capability): tổ chức này xây dựng một cơ sở dữ liệu liên quan đến bảo mật cho bộ năng lượng của Mỹ Thông tin của CIAC được đánh giá là một kho dữ liệu đầy đủ nhất về các vấn đề liên quan đến bảo mật hệ thống Địa chỉ web site của CIAC : http://ciac.llnl.org/

FIRST (The Forum of Incident Response and Security Teams): Đây là một diễn đàn liên kết nhiều tổ chức xã hội và tư nhân, làm việc tình nguyện để giải quyết các vấn đề về an ninh của mạng Internet Địa chỉ Web site của FIRST: http://www.first.org./ Một số thành viên của FIRST gồm:

- CIAC

- NASA Automated Systems Incident Response Capability

- Purdue University Computer Emergency Response Team

- Stanford University Security Team

- IBM Emergency Response Team

1.3.3 Các kiểu tấn công

Tấn công trực tiếpNhững cuộc tấn công trực tiếp thường được sử dụng trong giai đoạn đầu để chiếm đượcquyền truy nhập bên trong Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mậtkhẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện nào đặc biệt đểbắt đầu Kẻ tấn công có thể dựa vào những thông tin mà chúng biết như tên người dùng, ngàysinh, địa chỉ, số nhà v.v… để đoán mật khẩu dựa trên một chương trình tự động hóa về việc dò tìmmật khẩu Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên đến30%

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được

sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập Trong một

số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống

Nghe trộm Việc nghe trộm thông tin trên mạng có thể đem lại những thông tin có ích như tên, mậtkhẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộm thường được tiến

Trang 11

hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chươngtrình cho phép Những thông tin này cũng có thể dễ dàng lấy được trên Internet.

Giả mạo địa chỉ

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đườngtrực tiếp Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ

IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đới với mạngbên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

Vô hiệu hóa các chức năng của hệ thống

Đây là kiểu tấn công nhầm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết

kế kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn côngcũng chính là các phương tiện để làm việc và truy cập thông tin trên mạng Ví dụ sử dụng lệnh

“ping” với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năngcủa mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có íchkhác

Lỗi của người quản trị hệ thống

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quảntrị hệ thống thường được tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vàomạng nội bộ

Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng đểyêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chíthay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác Với kiểu tấncông này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu và chỉ có một cách giáo dụcngười sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượngđáng nghi

Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ

có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàncủa hệ thống bảo vệ

1.3.4 Các biện pháp phát hiện hệ thống bị tấn công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều cónhững lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống không những nghiên cứu, xác định các

Trang 12

lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công haykhông Một số biện pháp cụ thể:

1 Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treo bằng những thông báo lỗikhông rõ ràng Khó xác định nguyên nhân do thiếu thông tin liên quan Trước tiên, xác định cácnguyên nhân có phải phần cứng hay không, nếu không phải nghĩ đến khả năng máy tính bị tấncông

2 Kiểm tra các tài khoản người dùng mới lạ, nhất là với các tài khoản có ID bằng không

3 Kiểm tra sự xuất hiện của các tập tin lạ Người quản trị hệ thống nên có thói quen đặt tên tập theomẫu nhất định để dễ dàng phát hiện tập tin lạ

4 Kiểm tra thời gian thay đổi trên hệ thống

5 Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đanghoạt động trên hệ thống

6 Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp

7 Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoảnnày bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soátđược

8 Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần thiết

9 Kiểm tra các phiên bản sendmail,/bin, /mail, ftp… tham gia các nhóm tin về bảo mật để có thôngtin về lỗ hổng của dịch vụ sử dụng

Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống

Một số giải pháp dùng cho doanh nghiệp vừa và nhỏ

Với các doanh nghiệp nhỏ việc trang bị một mạng tác nghiệp vừa phải đảm bảo an ninh antoàn, vừa phải phù hợp chi phí, dễ triển khai và bảo trì là điều rất cần thiết Ở đây chúng ta đưa ragiải pháp dùng một thiết bị PC đa chức năng làm tường lửa để bảo vệ vành đai, chạy IDS để cảnhbáo tấn công, chạy NAT để che cấu trúc logic của mạng, chạy VPN để hỗ trợ kết nối xa bảo mậtvới các cấu hình cơ bản sau:

- Intel x86 based hardware: CPU 1GHz, SDRAM 512MB, HDD/Flash 1GB

- Ethernet 10/100Mbps: 1xLAN, 2xWAN, 1xDMZ

Trang 13

- Firewall: Policy based, NAT/NATPT, SPI

- Kết nối mạng: PPPoE, Static Router, RIPv2

- Cân bằng tải: Policy-based routing, Round-Robin

- VPN: 1000 tunnels, PPTP/1Psec, DES/3DES/AES, SHA-11/MD5, Client –to-Site/Site-to-Site

- Quản lý băng thông: Policy-based

- Netwwork servers: DDNS, DHCP, SIP Proxy

- Quản trị, cấu hình hệ thống: Web-GUI, SNMP, Telnet/Console

Hình 1.1: Sơ đồ mạng cho doanh nghiệp cỡ nhỏ

Với các doanh nghiệp vừa thì sơ đồ trên phù hợp cho các chi nhánh của họ Còn tại trungtâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như:

Trang 14

Hình 1.2: Sơ đồ mạng cho doanh nghiệp cỡ vừa

2. Tổng quan về giao thức Vlan Access List

Giới thiệu về giao thức Vlan Access List

Vlan Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng Cho phép kiểm soát lưu lượng chạy trên Switch Khi cấu hình Vlan Access-list người dùng

có thể phân loại lưu lượng: IP, TCP,www… Tùy vào chính sách của nhà quản trị mạng có thể lọc

bỏ hoặc cho các loại thông tin đó lưu thông trong mạng

Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan)Vlan Access-list có các đặc tính như Router Access-list (RACLs) có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin

2.1.1. Truy cập Maps và Entries

VACLs dùng Access Maps để chứa danh sách tuần tự một hoặc nhiều mẩu tin (entry) về việc quản lý truy cập Mỗi mẩu tin trong bản đồ truy cập mô tả việc kiểm tra gói tin dựa vào IP hoặc MAC để áp dụng cho một hành động nào đó đối với những gói tin khác Các mẩu tin đều được đánh số thứ tụ nên ta có thể cấu hình ưu tiên cho các mẩu tin phù hợp với một yêu cầu nào

đó Khi các gói tin đi qua thiết bị sẽ được kểm tra thông qua VACL dựa vào bản đồ truy cập đã được cấu hình mà thiết bị sẽ quyết định có chuyển tiếp gói tin hay không Những mẫu tin trong VLAN Access Maps cung cấp các hành động đối với gói tin như sau:

- Forward: Hành động này sẽ cho phép gói tin được chuyển qua switch

- Redirect: Gói tin sẽ được chuyển hướng sang một hoặc nhiều giao diện được chỉ định

- Drop: Với một gói tin vi phạm thì hành động này cho phép hủy gói tin ngay lập tức và chúng ta cóthể lưu trạng thái (logs) về việc hủy gói tin này

2.1.2. Hoạt động của VACLs

Mỗi 1 VLAN Maps có thể xác định các hoạt động sau đây:

Trang 15

- Forward-gửi lưu lượng truy cập đến địa điểm được xác định bởi hoạt động bình thường của switch

- Redirect- chuyển hướng lưu lượng truy cập đến 1 hoặc nhiều giao diện được chỉ định

- Drop- giảm lưu lượng Nếu bạn thực hiện giảm lưu lượng, bạn cũng có thể ghi lại các gói tin nhờ các thiết bị

Trong chế độ cấu hình cho Maps, bạn sử dụng lệnh action để xác định hành động cho một mục bản đồ

Đối với mỗi Maps truy cập VLAN mà bạn cấu hình, bạn có thể xác định xem thiết bị duy trì thống kê cho VACL đó Tính năng này cho phép bạn bật các thống kê VACL hoặc tắt khi cần thiết để theo dõi lưu lượng truy cập được lọc bỏ bởi một VACL hay để giúp khắc phục sự cố VLAN cấu hình truy cập Maps

Cấu hình Vlan Access List

Bạn có thể tạo một VACL hoặc thêm các mục vào một VACL hiện có Trong cả hai trườnghợp, bạn tạo một mục VACL, đó là một mục truy cập Máp VLAN sẽ kết hợp một hoặc nhiều ACLs với một hành động được áp dụng cho lưu lượng phù hợp

 Các bước thực hiện tạo thêm 1 VACL:

1. Config t

2. Vlan access-map map-name[sequence-number]

3. Match{ip|ipv6} address ip-access-list

4. Action {drop|forward| redirect}

5. Statistics per-entry

6. Show running-config aclmgr

7. Copy running-config startup-config

 Thay đổi một Entry VACL

Bạn có thể thêm các mục VLAN truy cập Maps đến VACL hiện tại, thay đổi VLAN truy cập Maps, và có thể cấu hình các thiết bị duy trì thống kê cho VLAN

Các bước thực hiện:

1. Config t

2. Vlan access-map map-name[sequence-number]

3. [No] Match{ip|ipv6} address ip-access-list

[No] Match address mac-access-list

4. Action {drop| forward| redirect}

5. [no] Statistics per-entry

6. Show running-config aclmgr

7. Copy running-config startup-config

 Loại bỏ một VACL hoặc một Entry VACL

Thực hiện xóa bỏ 1 VACL, nghĩa là chúng ta đã loại bỏ các access-map VLAN Ngoài ra,

có thể gỡ bỏ 1 mục access-map Vlan duy nhất từ một VACL

Các bước thực hiện:

1. Config t

2. No vlan access-map map-name [sequence-number]

Trang 16

3. Show running-config aclmgr

4. Copy running-config startup-config

 Áp dụng một VACl tới một VLAN

Nếu bạn đang áp dụng một VACL, đảm bảo rằng các VACL tồn tại và được cấu hình để lọc lưu lượng theo cách mà bạn cần cho ứng dụng này Gồm các bước thực hiện như sau:

1. Config t

2. [No] vlan filter map-name vlan-list list

3. Show running-config aclmgr

4. Copy running-config startup-config

 Hiển thị thông tin cấu hình VACL, sử dụng một trong các lệnh sau:

1. Show running-config aclmgr : hiển thị cấu hình ACL, bao gồm cấu hình VACL liên quan

2. Show vlan filter : hiển thị thông tin về VACLs được áp dụng cho một VLAN

3. Show vlan access-map: hiển thị thông tin về VLAN access-map

 Hiển thị hoặc xóa cấu hình VACL :

- Show vlan access-list: hiển thị cấu hình VACL Nếu các access-map VLAN bao gồm các số liệu

thống kê mỗi lần thực hiện lệnh nhập, sau đó chương trình vlan hiển thị danh sách truy cập lệnh bao gồm số lượng các gói tin đã xuất hiện từng lệnh

- Clear vlan access-list counters: xóa tất cả các dữ liệu trong VACLs hoặc cho 1 VACL cụ thể nào

đó

Ví dụ cấu hình cho VACL

Ví dụ sau đây cho thấy làm thế nào để cấu hình một VACL để chuyển tiếp lưu lượng cho phép của một ACL MAC tên acl-mac-01 và làm thế nào để áp dụng các VACL các VLAN 50-82

Conf t

Vlan access-map acl-mac-map

Match mac address acl-mac-01

Action forward

Vlan filter acl-mac-map vlan-list 50-82

CHƯƠNG 2: KHẢO SÁT & PHÂN TÍCH THIẾT KẾ HỆ THỐNG MẠNG TẠI CÔNG TY TNHH TRUYỀN THÔNG VÀ CÔNG NGHỆ BIGDIGITAL VIỆT NAM 2.1 Giới thiệu về Công ty TNHH Truyền thông và Công nghệ Bigdigital

Công ty TNHH Truyền thông và Công nghệ Bigdigital với địa chỉ: Số 52 đội 2, Phường

Mỹ Đình 2, Quận Từ Liêm-Hà Nội, luôn tự hào với phương châm “khách hàng là tiêu chí hàngđầu, vì sự hài lòng của khách hàng quyết định sự tồn tại của chúng tôi” Big Digital Agency luôn

Trang 17

cố gắng mang lại sự hài lòng nhất cho khách hàng Công ty luôn đem lại cho khách hàng nhữngdịch vụ tốt nhất với sự hỗ trợ tận tình nhất.

Công ty Bigdigital thực hiện các chức năng, nhiệm vụ chính như sau:

- Thiết kế Website cho các cơ quan, doanh nghiệp, đặc biệt là các doanh nghiệp thuộc lĩnh vựcthương mại Với 3 dạng thiết kế Web đặc biệt:

+ Thiết kế website chuẩn Seo+ Thiết kế website chuẩn quốc tế + Thiết kế website giá rẻ

- Seo: nhằm mục đích đưa thương hiệu hay sản phẩm dịch vụ của mình tới khách hàng/ đối tượngmục tiêu trên công cụ tìm kiếm nhiều hơn đối thủ

- Google AdWords: là một dịch vụ thương mại của Google cho phép khách hàng mua những quảngcáo tại các kết quả tìm kiếm do các đối tác Google Adsense cung cấp

- Quảng cáo Facebook: đây là hình thức dễ dàng tiếp cận đối tượng khách hàng trẻ tuổi: học sinh,sinh viên và nhân viên văn phòng, công sở…

2.2 Khảo sát hiện trạng

- Mô hình tổ chức Công ty TNHH Truyền thông & Công nghệ Bigdigital Việt Nam

Mô hình công ty Bigdigital Việt Nam gồm 3 tầng:

 Tầng 1: Gồm 2 phòng: phòng kinh doanh (10pc +1 máy fax), phòng kế toán-tài vụ (5pc +1 máyin)

 Tầng 2: Gồm 3 phòng: phòng server(1pc), phòng kỹ thuật (15pc), phòng kinh doanh (10pc + 1máy in)

 Tầng 3: Gồm 3 phòng: phòng Giám đốc(1pc), phòng phó giám đốc (1pc), phòng kế hoạch (4pc)

Tổng quan hạ tầng của Công ty TNHH Công nghệ & Truyền thông Bigdigital Việt Nam

2.3.1 Cơ sở vật chất kỹ thuật

Công ty TNHH Công nghệ & Truyền thông có một cơ sở vật chất khá đầy đủ và hiện đại.Gồm 2 tòa nhà làm việc chính: Các phòng ban đều có một phòng riêng để làm việc được trang bị

Trang 18

điều hòa, máy vi tính, điện thoại và các thiết bị chuyên dùng khác, các phòng ban thông qua mạngLAN có thể trao đổi thông tin, liên lạc với nhau một cách nhanh chóng, dễ dàng và thường xuyên

có sự cập nhật thông tin với bên ngoài qua mạng Internet

Mạng LAN được xây dụng cần phải đáp ứng đầy đủ các yêu cầu sau:

- Nguời quản trị mạng làm chủ được toàn bộ hệ thống mạng trong phạm vi toàn Công ty

- Đảm bảo việc truyền dữ liệu có dung lượng lớn với tốc độ xử lý cao, đáp ứng yêu cầu quản lý vàđiều hành từ Tổng Công ty đến các Công ty có liên quan Việc trao đổi thông tin nhanh chóng, đápứng nhu cầu công việc với khối lượng cao, không xảy ra hiện tượng ách tắc đường truyền nhưdial_up, dung lượng truyền dữ liệu lớn giảm bớt thời gian và chi phí

- Đáp ứng được yêu cầu bảo mật cao

- Các hệ thống trong nội bộ có thể truy cập đến các Server để lưu trữ dữ liệu và sử dụng các dịch vụcho phép (tra cứu, cập nhật thông tin, theo dõi và chỉnh sửa thông tin…)

- Công ty Bigdigital xây dựng hệ thống mạng nội bộ LAN hoạt động độc lập

- Việc truyền files dữ liệu, file báo cáo giữa Công ty với các Công ty khác cùng hạng mục đượcthực hiện qua modem dial_up (kết nối bằng quay số điện thoại) Do đó chỉ xử lý một số công việcnhỏ, tốc độ xử lý chậm thường xuyên ách tắc đường truyền, khả năng đáp ứng được về điều hànhcòn hạn chế Nhằm xử lý được khối lượng công việc đồng thời giảm bớt được thời gian và chi phícần phải xây dựng một hệ thống mạng VLAN để đảm bảo tính chính xác, an toàn và thuận lợi chocông tác quản lý, điều hành

2.3.3 Tình hình tổ chức bộ máy quản lý của Công ty TNHH Truyền thông & Công nghệ Bigdigital Việt

Nam

Căn cứ vào chức năng, nhiệm vụ, Công ty Bigdigital cần một số nguồn lực mạnh, với trình

độ kỹ thuật cao để có thể tạo nên những trang Web thật đẹp, phong cách và độc đáo Bên cạnh đó

kỹ năng Seo cũng phải thật chuyên nghiệp, chuyên môn thật giỏi

Để đảm bảo sự tồn tại và phát triển tốt cho Công ty, mỗi phòng ban có nhiệm vụ riêng củamình:

- Giám đốc: Là người đứng đầu doanh nghiệp, người đại diện cho doanh nghiệp và giữ vaitrò lãnh đạo chung, chịu trách nhiệm về mọi kết quả

hoạt động kinh doanh của doanh nghiệp Giúp việc cho giám đốc có 03 Phó giám đốc phụtrách từng lĩnh vực công việc được phân công

Trang 19

- Phó giám đốc: Phụ trách công tác kinh doanh, quản lý, vận hành, kỹ thuật, an toàn trongquá trình thiết kế, lưu trữ dữ liệu và truyền tải dữ liệu, quản lý mua bán, cấp phát, sử dụng Web,quảng cáo Facebook, quảng cáo Google Adwords…

- Phòng tổ chức- hành chính: Xây dụng kế hoạch tuyển dụng lạo động: kế hoạch tiền lươnghàng năm Quản lý cán bộ, nhân sự lao động và tiền lương theo các quy định của Công ty Quản lýtoàn bộ tài sản, trang thiết bị văn phòng của Công ty Thực hiện công tác văn thư, lưu trữ hồ sơtheo quy định

- Phòng Kế toán- tài vụ: Tổ chức, quản lý toàn bộ các hoạt động kế toán, tài chính của công

ty theo phân cấp và các quy chế, quy định của Tổng Công ty và các quy định của nhà nước

Quản lý toàn bộ các loại quỹ của Công ty theo đúng quy định của Tổng Công ty và của Nhànước Thực hiện chế độ báo cáo tài chính và lưu trữ, bảo quản đầy đủ chứng từ kế toán ban đầutheo quy định hiện hành Xây dựng kế hoạch tài chính hàng năm

- Phòng kinh doanh: Chủ động tìm kiếm đối tác để phát triển, mạng lưới phân phối, từng bước mởrộng thị trường trong và ngoài nước Nghiên cứu và tham mưu cho Ban Giám đốc trong công tácđịnh hướng kinh doanh và xuất nhập khẩu Thực hiện công tác marketing, nhiên cứu thị trường,chọn lựa sản phẩm chủ lực và xây dựng chiến lược phát triển, thúc đẩy hoạt động xúc tiến thươngmại, tham gia hội thảo, hội chợ, tìm đối tác; thực hiện liên doanh, liên kết, mở rộng mạng lướikinh doanh trên thị trường nội địa và phát triển kinh doanh Chủ động giao dịch, đàm phán trong

và ngoài nước, ký các thư từ, đơn chào hàng, trao đổi thông tin với khách hàng trong nước vàngoài nước trong quá trình giao dịch khi đi đến ký kết hợp đồng kinh doanh của Công ty

- Phòng kỹ thuật: Tổ chức quản lý và điều hành hệ thống mạng, điện nước sinh hoạt, hệ thống xử lýnước thải Nghiên cứu xây dựng đề án đầu tư các công trình phục vụ cho hoạt động kinh doanhcủa Công ty Đề xuất những giải pháp kỹ thuật cải tiến trang thiết bị hiện có nhằm phục vụ hữuích công tác kinh doanh của Công ty Vận hành bảo trì, sửa chữa Phân tích đánh giá tình hình bảotrì, bảo dưỡng các thiết bị máy móc của Công ty Theo dõi và thực hiện các hợp đồng kinh tế tronglĩnh vực kỹ thuật- đầu tư

- Phòng Server: Điều khiển mọi hoạt động truy cập mạng trong công ty

- Phòng kế hoạch: Có nhiệm vụ đưa ra các mục tiêu phấn đấu của công ty, các kế hoạch quảng bá

để công ty có thể hoàn thành đạt chỉ tiêu và vượt chỉ tiêu đề ra

2.4 Quy trình thiết kế mạng LAN (chia các VLAN) cho Công ty Bigidigital Việt Nam

Khảo sát hiện trạng

Mục đích của giai đoạn này là nhằm xác định mong muốn của khách hàng trên mạng màchúng ta sắp xây dựng Những câu hỏi cần được trả lời trong giai đoạn này là:

- Bạn thiết lập mạng để làm gì? Sử dụng nó cho mục đích gì?

- Các máy tính nào sẽ được nối mạng?

- Những người nào sẽ được sử dụng mạng, mức độ khai thác sử dụng mạng của từng người/ nhómngười ra sao?

Phương pháp thực hiện của giai đoạn này là phải phỏng vấn khách hàng Cụ thể ở đây làCông ty Truyền thông & Công nghệ Bigdigital Việt Nam

Trang 20

Một công việc cũng hết sức quan trọng trong giai đoạn này là “Quan sát thực địa” để xácđịnh những nơi mạng sẽ đi qua, dự kiếm đường đi của mạng, quan sát hiện trạng công trình kiếntrúc nơi mạng sẽ đi qua Thực địa đóng vai trò quan trọng trong việc chọn công nghệ và ảnhhưởng lớn đến chi phí mạng Sau khi khảo sát thực địa, cần vẽ phác thảo lại thực địa của côngtrình kiến trúc mà mạng đi qua.

Trong quá trình phỏng vấn và khảo sát thực địa, đồng thời ta cũng cần tìm hiểu yêu cầutrao đổi thông tin giữa các phòng ban, bộ phận giữa Công ty TNHH Bigdigital với các Công tykhác, mức độ thường xuyên và lượng thông tin trao đổi Điều này giúp ta trong việc chọn băngthông cần thiết cho các nhánh mạng sau này

Phân tích

Mục tiêu của hệ thống: hệ thống LAN và truy cập từ xa, cho Công ty TNHH Bigdigital

được thiết kế nhằm đảm bảo các mục tiêu sau đây:

- Hệ thống này được xây dựng tại Công ty TNHH Bigdigital- thành phố Hà Nội

- Các hệ thống đều có độ ổn định, chính xác cao

- Phải bảo toàn được đầu tư ban đầu cho hệ thống của Khách hàng

Khi đã có được yêu cầu của khách hàng, bước kế tiếp là ta đi phân tích yêu cầu để xâydựng bảng “Đặc tả yêu cầu hệ thống mạng”, trong đó xác định rõ những vấn đề sau:

- Phân tích yêu cầu kỹ thuật:

+ Yêu cầu về hiệu năng mạng

Đánh giá thời gian đáp ứng giữa các trạm hay các thiết bị trên mạng,

Đánh giá độ trễ đối với các ứng dụng khi người dùng truy cập hay yêu cầu

+ Yêu cầu các đòi hỏi về băng thông của các ứng dụng trên mạng,

Đánh giá công suất mạng đáp ứng khi người sử dụng tăng đột biến tại các điểm cổ chai.+ Các yêu cầu về quản lý mạng

- Phân tích yêu cầu về ứng dụng:

Các ứng dụng cần triển khai nhanh trên mạngCác ứng dụng có khả năng triển khai trong tương lai,

Số người sử dụng trên từng ứng dụng,Giải thông cần thiết cho từng ứng dụng,Các giao thức mạng cần dùng, và sẽ dùng,Phân bố thời gian dùng mạng,…

+ Yêu cầu về quản lý mạng:

Xác định phương thức-kỹ thuật quản lý mạng, Phương thức quan sát hiệu năng mạng,

Trang 21

Phương thức phát hiện lỗi của mạng Phương thức quản lý cấu hình mạng.

+ Yêu cầu về an ninh-an toàn mạng:

Xác định các kiểu an ninh-an toàn, Xác định các yêu cầu cần bảo vệ khi kết nối với mạng ngoài và kết nối vớiinternet

Xác định các yêu cầu về ứng dụng và các ràng buộc về tài chính, thời gian thựchiện, yêu cầu về chính trị của dự án, xác định nguồn nhân lực, xác định các tài nguyên đã có và cóthể tái sử dụng

Lựa chọn mô hình, công nghệ kết nối Lựa chọn phần cứng (thiết bị, công nghệ kết nối,…), Lựa chọn router

Lựa chọn gateway Lựa chọn modem, NTU,…

Lựa chọn Access server Lựa chọn bộ chuyển mạch LAN Lựa chọn các server ứng dụng Lựa chọn phần mềm

Lựa chọn hệ điều hành mạng Lựa chọn các hệ quản trị cơ sở dữ liệu Lựa chọn các phương thức giao tác trên mạng

Thiết kế

Bước kế tiếp trong tiến trình xây dựng mạng là thiết kế giải pháp để thỏa mãn những yêucầu đặt ra trong bảng Đặc tả yêu cầu hệ thống mạng Việc chọn lựa giải pháp cho một hệ thốngmạng phụ thuộc vào nhiều yếu tố như:

- Kinh phí dành cho hệ thống mạng

- Công nghệ phổ biến trên thị trường

- Thói quen về công nghệ của khách hàng

- Yêu cầu về tính ổn định và băng thông của hệ thống mạng

Trang 22

Hiện nay Công ty TNHH Truyền thông & Công nghệ làm việc trong 1 khu nhà 3 tầng với

mô hình như sau:

Hình 2.1: Sơ đồ mặt bằng khu cần lắp đặt

Yêu cầu khách hàng: Cần chia sẻ tài nguyên, máy in dùng chung

Trao đổi thông tin tài liệu với nhauTruy cập internet, có website quảng cáo

Thiết kế sơ đồ mạng logic

Thiết kế sơ đồ mạng logic liên quan đến việc chọn lựa mô hình mạng, giao thức mạng,công nghệ kết nối Mô hình mạng được chọn phải hỗ trợ được tất cả các dịch vụ theo yêu cầu củaCông ty TNHH Bigdigital Đối với kích thước mạng và số lượng máy lớn thì giao thức sử dụngcho mạng là TCP/IP

Trang 23

Mỗi mô hình mạng có yêu cầu thiết đặt cấu hình riêng Những vấn đề chung nhất khithiết đặt cấu hình cho mô hình mạng là:

- Định vị các thành phần nhận dạng mạng, máy tính, định địa chỉ IP cho các máy định cổng chotừng dịch vụ

- Phân chia mạng con, thực hiện vạch đường đi cho thông tin trên mạng

Trang 24

Hình 2.3: Các thiết bị cho máy chủ

Trang 25

Hình 2.4: Các thiết bị cho máy trạm

Trang 26

Hình 2.5: Các thiết bị khác

Hình 2.6: Sơ đồ mạng logic của công ty

Xây dựng chiến lược khai thác và quản lý tài nguyên mạng

Chiến lược này nhằm xác định ai được quyền làm gì trên hệ thống mạng Thôngthường, người dùng trong mạng được nhóm lại thành từng nhóm và việc phân quyền được thựchiện trên các nhóm người dùng

Ngày đăng: 26/01/2016, 09:02

HÌNH ẢNH LIÊN QUAN

Hình 1.1: Sơ đồ mạng cho doanh nghiệp cỡ nhỏ - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 1.1 Sơ đồ mạng cho doanh nghiệp cỡ nhỏ (Trang 13)
Hình 1.2: Sơ đồ mạng cho doanh nghiệp cỡ vừa - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 1.2 Sơ đồ mạng cho doanh nghiệp cỡ vừa (Trang 14)
Hình 2.1: Sơ đồ mặt bằng khu cần lắp đặt - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.1 Sơ đồ mặt bằng khu cần lắp đặt (Trang 22)
Hình 2.2: Bảng phân hoạch - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.2 Bảng phân hoạch (Trang 23)
Hình 2.4: Các thiết bị cho máy trạm - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.4 Các thiết bị cho máy trạm (Trang 25)
Hình 2.5: Các thiết bị khác - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.5 Các thiết bị khác (Trang 26)
Hình 2.7: Sơ đồ mạng vật lý - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.7 Sơ đồ mạng vật lý (Trang 27)
Hình 2.9: Đặt địa chỉ Ip cho các Vlan tầng 1 - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.9 Đặt địa chỉ Ip cho các Vlan tầng 1 (Trang 31)
Hình 2.8 : Mô hình Vlan của công ty Bigdigital - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.8 Mô hình Vlan của công ty Bigdigital (Trang 31)
Hình 2.10: Đặt địa chỉ Ip cho các Vlan tầng 2 - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.10 Đặt địa chỉ Ip cho các Vlan tầng 2 (Trang 32)
Hình 2.11: Đặt địa chỉ Ip cho Vlan tầng 3 - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 2.11 Đặt địa chỉ Ip cho Vlan tầng 3 (Trang 33)
Hình 3.1: Sơ đồ hệ thống mạng của công ty Bigdigital - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 3.1 Sơ đồ hệ thống mạng của công ty Bigdigital (Trang 42)
Hình 3.6: Ping từ PC 15 tới các PC khác. - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 3.6 Ping từ PC 15 tới các PC khác (Trang 47)
Hình 3.9: Show access-list cho switch4 - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 3.9 Show access-list cho switch4 (Trang 49)
Hình 3.12: Telnet tới PC9 - Triển khai  thiết kế giải pháp bảo mật cho Công ty TNHH Truyền thông và Công nghệ Bigdigital Việt Nam sử dụng giao thức VLAN ACCESS LIST
Hình 3.12 Telnet tới PC9 (Trang 50)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w