Thiết kế mạng nội bộ an toàn cho doanh nghiệp lớn =

Ban đầu, mạng nội bộ có phạm vi nhỏ, được thiết kế để trở thành một mạng có tính linh hoạt và chi phí thấp, có khả năng kết nối với tốc độ cao cho một nhóm các máy tính sử dụng công nghệ

-

Đỗ Xuân Đỉnh

THIẾT KẾ MẠNG NỘI BỘ AN TOÀN

CHO DOANH NGHIỆP LỚN

LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: KỸ THUẬT MÁY TÍNH

Hà Nội – 2018

-

Đỗ Xuân Đỉnh

THIẾT KẾ MẠNG NỘI BỘ AN TOÀN

CHO DOANH NGHIỆP LỚN

LUẬN VĂN THẠC SĨ KỸ THUẬT CHUYÊN NGÀNH: KỸ THUẬT MÁY TÍNH

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS NGÔ HỒNG SƠN

MỤC LỤC

LỜI CAM ĐOAN 3

Danh mục các chữ viết tắt 4

Danh mục các bảng 5

Danh mục các hình vẽ 6

ĐẶT VẤN ĐỀ 7

CHƯƠNG 1 GIỚI THIỆU CHUNG 10

1.1 Mô hình hệ thống khung dịch vụ 10

1.2 Các thành phần cơ bản của khung dịch vụ 10

1.2.1 Hệ thống hạ tầng mạng (LAN/WAN) 10

1.2.2 Hệ thống an ninh thông tin 11

1.2.3 Hệ thống mạng cho các thiết bị di động 12

1.2.4 Hệ thống dịch vụ truyền thông hợp nhất 13

1.3 Các vùng mạng và mạng nội bộ của doanh nghiệp 13

1.4 Kết luận 14

CHƯƠNG 2 THIẾT KẾ MÔ HÌNH HỆ THỐNG MẠNG VÀ ĐẢM BẢO AN TOÀN TRONG HỆ THỐNG MẠNG NỘI BỘ CỦA DOANH NGHIỆP.15 2.1 Thiết kế mô hình mạng nội bộ 15

2.1.1 Mô hình tổng thể hệ thống mạng nội bộ 15

2.1.2 Một số khuyến nghị khi thiết kế mạng nội bộ 16

2.1.3 Các mô hình thiết kế mạng nội bộ 17

2.2 Vấn đề đảm bảo an toàn trong hệ thống mạng nội bộ của doanh nghiệp 19

2.2.1 Các nguy cơ tấn công trong mạng nội bộ 20

2.2.2 Các giải pháp bảo mật hệ thống mạng nội bộ hiện nay 28

2.3 Kết luận 36

CHƯƠNG 3 TRIỂN KHAI THIẾT KẾ HỆ THỐNG MẠNG NỘI BỘ AN TOÀN 38 3.1 Yêu cầu về hệ thống mạng nội bộ cần thiết kế 38

3.1.1 Hạ tầng không gian và người dùng 38

3.1.2 Yêu cầu cần đáp ứng đối với mạng nội bộ: 39

3.2 Thiết kế mô hình hệ thống mạng và các tính năng bảo mật 39

3.2.1 Cần thực hiện lần lượt theo các bước: 39

3.2.2 Lựa chọn công nghệ và thiết kế mô hình hệ thống mạng 41

3.2.3 Tổng hợp sơ đồ thiết kế hệ thống mạng nội bộ: 49

3.2.4 Triển khai các tính năng bảo mật 51

3.2.5 Kết quả đạt được của mô hình thiết kế 55

3.3 Mô phỏng một số kịch bản tấn công điển hình và giải pháp phòng chống trong mạng nội bộ 56

3.3.1 Tấn công giả thông điệp ARP 56

3.3.2 Tấn công dịch vụ DHCP 59

3.3.3 Tấn công làm hết tài nguyên bảng MAC trên switch 63

3.3.4 Giả lập tấn công mạng và kiểm thử giải pháp 64

3.4 Kết luận 78

KẾT LUẬN 79

TÀI LIỆU THAM KHẢO 80

LỜI CAM ĐOAN

Tôi xin cam đoan bản luận văn này là công trình nghiên cứu khoa học độc lập

của tôi Các số liệu, kết quả nêu trong luận văn là trung thực và có nguồn gốc rõ

Danh mục các chữ viết tắt

APT (Advanced Persistent Threat) Mối đe dọa liên tục nâng cao, tấn

công có chủ đích ARP (Address Resolution Protocol) Giao thức phân giải địa chỉ

BPDU (Bridge Protocol Data Unit) Đơn vị dữ liệu giao thức cầu nối DHCP (Dynamic Host Configuration Protocol)

Giao thức cấu hình địa chỉ động EAP (Extensible Authentication Protocol) Giao thức xác thực có thể mở rộng IDS (Intrucsion Detection System) Hệ thống phát hiện xâm nhập

IPS (Intrusion Prevention Systems) Hệ thống phòng chống xâm nhập Ipsec (Internet Protocol Security) Bảo mật giao thức internet

MAC (Media Access Control) Điều khiển truy cập phương tiện

SNMP (Simple Network Management Protocol)

Giao thức quản lý mạng đơn giản STP (Spanning Tree Protocol) Giao thức cây mạng, giao thức

ngăn chặn sự lặp vòng STP TCNs (STP topology change notifications)

Các thông báo thay đổi cấu trúc cây mạng STP

TLS (Transport Layer Security) Bảo mật tầng giao vận

VLAN (Virtual Local Area Network) Mạng cục bộ ảo

VRRP (Virtual Router Redundancy Protocol) Giao thức dự phòng định tuyến ảo VTP (Virtual Trunking Protocol) Giao thức mạng trục ảo

Danh mục các bảng

Bảng 3 1 – Khảo sát số người sử dụng hệ thống mạng 39

Bảng 3 2 – Khảo sát số nút mạng cho máy trung tâm dữ liệu 39

Bảng 3 3 - Xác định đối tượng phục vụ kết nối 42

Bảng 3 4 – Bảng tính số lượng Switch access mạng LAN tòa nhà 48

Bảng 3 5 – Bảng tính số lượng module Switch Core mạng LAN tòa nhà 49

Bảng 3 6 – Bảng triển khai tính năng bảo mật cho vùng mạng người dùng 53

Bảng 3 7 – Bảng triển khai tính năng bảo mật cho vùng mạng trung tâm dữ liệu 55

Bảng 3 8 – Bảng đánh giá kết quả đạt được 56

Bảng 3 9 – Các bước tấn công ARP 58

Danh mục các hình vẽ

Hình 1 1 Thành phần cơ bản của Khung dịch vụ [5]. 10

Hình 2 1 Mô hình hệ thống mạng nội bộ ở các điểm có quy mô khác nhau [5] 16

Hình 2 2 Mô hình hệ thống mạng 3 lớp và 2 lớp [5] 17

Hình 2 3 Mô hình hệ thống mạng 3 lớp [5] 18

Hình 2 4 Mô hình hệ thống mạng 2 lớp [5] 19

Hình 2 5 Tấn công thẻ VLAN đôi [9] 22

Hình 2 6 Bảng địa chỉ MAC [9] 23

Hình 3 1 - Sơ đồ bố trí và kết nối Core switch và switch access 43

Hình 3 2 – Sơ đồ bố trí và kết nối Core switch 46

Hình 3 3 - Minh họa sơ đồ kết nối Stack kết hợp 2 uplink của switch access 47

Hình 3 4 - Sơ đồ kết nối hệ thống mạng LAN 50

Hình 3 5 - Sơ đồ logic hệ thống mạng LAN 50

Hình 3 6 – Mô tả hoạt động yêu cầu MAC address 56

Hình 3 7 – Hoạt động tấn công ARP Spooling 57

Hình 3 8 – Phòng chống tấn công ARP 58

Hình 3 9 – Hoạt động cấp phát động địa chỉ IP 60

Hình 3 10 – Hoạt động tấn công DHCP 61

Hình 3 11 – Phòng chống tấn công DHCP 62

Hình 3 12 – Hoạt động cập nhật bản MAC 63

Hình 3 13 - Mô hình thử nghiệm tấn công ARP 65

Hình 3 14 - Cấu hình nhận IP động cho PC 67

Hình 3 15 - Kiểm tra hoạt động web server 68

Hình 3 16 – Tìm thông tin PC-Victim 69

Hình 3 17 – Chọn địa chỉ máy PC-Victim để tấn công 70

Hình 3 18 – Kiểm tra bảng MAC trên máy Victim 70

Hình 3 19 – Sử dụng wireshark để bắt gói tin qua máy tấn công 71

Hình 3 20 – Mẫu file bat để kích hoạt trên máy trạm 73

Hình 3 21 – Hiển thị tham số mạng ban đầu của máy người dùng 73

Hình 3 22 – Sử dụng Ettercap để tấn công cấp phát giả gói tin DHCP 74

Hình 3 23 – Hiển thị tham số mạng sau khi bị tấn công DHCP 74

Hình 3 24 – Cấp phát gói tin giả DHCP cho máy người dùng 75

Hình 3 25 – Kiểm tra MAC table của Switch 76

Hình 3 26 – Tấn công mập lụt MACtable của Switch 76

Hình 3 27 – Bản MAC bị lấp đầy khi thực hiện tấn công bảng MAC 77

ĐẶT VẤN ĐỀ

1 Tổng quan

Mạng nội bộ là cơ sở hạ tầng mạng mà hầu hết cá nhân và tổ chức sử dụng

để kết nối vào mạng Nó được sử dụng trong các văn phòng, gia đình, trung tâm dữ liệu hay mạng máy tính của các tổ chức Ban đầu, mạng nội bộ có phạm vi nhỏ, được thiết kế để trở thành một mạng có tính linh hoạt và chi phí thấp, có khả năng kết nối với tốc độ cao cho một nhóm các máy tính sử dụng công nghệ mạng cục bộ (LAN) Sau này, quy mô hạ tầng mạng đã tăng lên, kết hợp với xu hướng sử dụng chuẩn giao thức IP và phạm vi lớn hơn nhưng các tính năng ban đầu của mạng cục

bộ - Ethernet vẫn được sử dụng ngày nay Mạng nội bộ đã trở nên phổ biến vào những năm 1980 khi băng thông mạng có giá trị khoảng 10 Mbps sử dụng cáp đồng trục Ngày nay, mạng nội bộ phổ biến với băng thông 1 Gbps, sử dụng chuyển mạch, full-duplex, dùng cáp xoắn đôi hoặc cáp sợi quang, kết hợp chuẩn mạng không dây WiFi Mạng nội bộ được coi là giải pháp mạng với chi phí thấp cho kết nối máy trạm và máy tính xách tay, và mạng cho các máy chủ (băng thông thường khoảng 1-10Gbps)

2 Lý do chọn đề tài

Hoạt động của doanh nghiệp hiện nay luôn gắn liền với hệ thống các máy tính được kết nối trong mạng nội bộ Các doanh nghiệp lớn có thể có nhiều văn phòng, nhu cầu kết nối mạng trong mỗi văn phòng và kết nối các văn phòng với nhau là cần thiết để trao đổi thông tin nội bộ của doanh nghiệp Mạng nội bộ của một doanh nghiệp được hiểu là hệ thống mạng tại các văn phòng doanh nghiệp và

hệ thống kết nối mạng của các văn phòng này tạo lên một hệ thống mạng trao đổi thông tin nội bộ cho doanh nghiệp

Việc xây dựng hệ thống mạng nội bộ cho doanh nghiệp là nhiệm vụ quan trọng để tạo không gian kết nối máy tính đáp ứng hoạt động của doanh nghiệp Trong đó thiết kế mạng nội bộ là nhiệm vụ đầu tiên, cần thiết nhằm xây dựng hệ thống mạng đáp ứng các nhu cầu sử dụng hệ thống mạng nội bộ của doanh nghiệp

Hệ thống mạng nội bộ được thiết kế cần có các tính năng để đảm bảo sự sẵn sàng cao, duy trì hoạt động liên tục của doanh nghiệp, đồng thời mạng nội bộ phải đảm bảo tính bảo mật, bảo vệ được tài nguyên của doanh nghiệp trên môi trường mạng

Từ lý do trên, tôi đã chọn đề tài “Thiết kế mạng nội bộ an toàn cho doanh

nghiệp lớn” làm luận văn thạc sỹ kỹ thuật này

3 Mục tiêu cụ thể

- Mục tiêu: Thiết kế mạng nội bộ của doanh nghiệp lớn và tìm hiểu các vấn

đề an toàn thông tin cho mạng nội bộ

- Phạm vi:

+ Tìm hiểu thiết kế mô hình mạng nội bộ của doanh nghiệp

+ Tìm hiểu các vấn đề an toàn thông tin trong mạng nội bộ

+ Thực hiện thiết kế mô hình mạng nội bộ cho một chi nhánh của doanh nghiệp và các tính năng trên thiết bị mạng để đảm bảo an toàn thông tin trong mạng nội bộ

4 Nội dung thực hiện

- Thiết kế mô hình hệ thống mạng nội bộ phù hợp với nhu cầu phát triển của doanh nghiệp và phù hợp với công nghệ mạng hiện tại Ngoài ra, hệ thống được thiết kế cần có tính linh hoạt và tính sẵn sàng cao

- Nghiên cứu các vấn đề bảo mật hệ thống mạng nội bộ: tìm hiểu các nguy cơ tấn công trong mạng nội bộ, các triển khai giải pháp bảo mật trên các thiết bị mạng nội bộ

- Lựa chọn một mô hình doanh nghiệp để thực hiện thiết kế mô hình mạng nội bộ tại một chi nhánh và các giải pháp bảo mật trên thiết bị mạng, mô phỏng một

số kịch bản tấn công mạng và giải pháp phòng chống

5 Bố cục của luận văn

Nội dung tiếp theo của Luận văn gồm các mục chính như sau:

Chương này giới thiệu về các vấn đề chung về thiết kế hệ thống mạng nội bộ cho doanh nghiệp

Chương 2: Thiết kế mô hình hệ thống mạng và đảm bảo an toàn trong hệ

thống mạng nội bộ của doanh nghiệp

Chương này mô tả các vấn đề cần quan tâm khi thiết kế mô hình mạng cho doanh nghiệp Các nguy cơ tấn công trên hệ thống mạng nội bộ và các giải pháp bảo

vệ thệ thống mạng nội bộ khỏi các nguy cơ tấn công này

Chương 3: Triển khai thiết kế hệ thống mạng nội bộ an toàn

Chương này trình bày việc triển khai thiết kế mạng nội bộ an toàn cho một văn phòng chính của doanh nghiệp lớn với các giả thiết cụ thể về quy mô Triển khai các tính năng đảm bảo sự an toàn trên hệ thống mạng Chương này cũng trình bày một số mô phỏng các kịch bản tấn công và giải phòng chống tấn công mạng như đã thiết kế

Kết luận: Tóm tắt kết qủa đạt được và hướng phát triển của luận văn

CHƯƠNG 1 GIỚI THIỆU CHUNG

Chương này chúng tôi trình bày tổng quan về các dịch vụ trên hệ thống mạng (mô hình khung dịch vụ mạng cho doanh nghiệp), từ đó tập trung trình bày về dịch

vụ hạ tầng mạng nội bộ cho doanh nghiệp

Cấu trúc khung dịch vụ là mạng lưới dịch vụ cơ bản mà tất cả các dịch vụ, ứng dụng và giải pháp của các doanh nghiệp cần sử dụng để tương tác và kết nối với nhau Đây là quan điểm mà nhiều hãng công nghệ mạng cùng mô tả, trong đó

có Cisco system - hãng công nghệ hàng đầu trên thế giới hiện nay về cung cấp các thiết bị, giải pháp hạ tầng mạng

Khung dịch vụ được tạo thành từ bốn thành phần riêng biệt gồm hệ thống hạ

tầng mạng (LAN / WAN), hệ thống an ninh thông tin, hệ thống di động (không dây),

và hệ thống dịch vụ hợp nhất [5] Mỗi thành phần cơ bản quan trọng này phải được

thiết kế và điều chỉnh cẩn thận để đảm bảo một môi trường an toàn cung cấp tính liên tục cho môi trường kinh doanh, nhận thức và sự khác biệt về dịch vụ cũng như

sự linh hoạt trong truy cập

Hình 1 1 Thành phần cơ bản của Khung dịch vụ [5]

1.2.1 Hệ thống hạ tầng mạng (LAN/WAN)

Khung dịch vụ mạng LAN/WAN được tạo thành từ các bộ định tuyến và thiết bị chuyển mạch được triển khai trong mô hình kiến trúc 3 lớp hoặc 2 lớp cung cấp một hệ thống mạng có khả năng sẵn sàng cao với khả năng truy cập linh hoạt

- Mạng LAN (Local Area Network):

Các thành phần của mô hình thiết kế mạng phân cấp thành 3 lớp:

+ Lớp lõi (Core layer) – mạng trục chính bao gồm các thiết bị mạng lõi lớp 3 (Layer-3) để kết nối với một số mạng phân phối và khối để kết nối mạng nội bộ và mạng bên ngoài

+ Lớp phân phối (Distribution layer) - Lớp phân phối sử dụng kết hợp chuyển mạch lớp 2 và lớp 3 (Layer-2 và Layer-3) để cung cấp chính sách cân bằng

và điều khiển truy cập, tính sẵn sàng, và tính linh hoạt trong phân bổ mạng con (subnet) và mạng riêng ảo (VLAN)

+ Lớp truy cập (Access layer) - Điểm kết nối giữa cơ sở hạ tầng mạng và các thiết bị đầu cuối

Với nhiều bài toán cụ thể (được đề cập ở chương 2) chúng ta có thể gồm lớp mạng lõi và lớp mạng phân phối thành 1 lớp và như vậy hệ thống mạng trở thành có

2 lớp: Lớp mạng lõi/phân phối và lớp mạng truy cập

- Mạng WAN (Wide area network)

Để các mạng (site) có thể giao tiếp với nhau hoặc truyền thông với bên ngoài mạng doanh nghiệp, cần có đường truyền mạng WAN Luồng vận chuyển trong mạng WAN rất khác với vận chuyển trong mạng LAN do các điểm khác nhau như: loại kết nối được sử dụng, tốc độ kết nối, khoảng cách kết nối

1.2.2 Hệ thống an ninh thông tin

An ninh của khung dịch vụ mạng doanh nghiệp là cần thiết Nếu không có

nó, các giải pháp, ứng dụng và dịch vụ doanh nghiệp có thể bị xâm nhập, thao túng, hoặc ngừng dịch vụ Khung dịch vụ được phát triển với các thiết kế bảo mật sau đây:

+ Bảo vệ hạ tầng mạng (Network Foundation Protection - NFP) - Bảo đảm

sự sẵn sàng và tính toàn vẹn của cơ sở hạ tầng mạng, bảo vệ mạng khu vực điều khiển và quản lý

+ Bảo vệ vùng biên Internet (Internet perimeter protection) - Bảo đảm kết nối

an toàn với Internet, và mạng bên ngoài (mạng ngoài) và bảo vệ tài nguyên nội bộ

và người dùng khỏi phần mềm độc hại, vi rút và các phần mềm độc hại khác Bảo

vệ người dùng khỏi nội dung có hại Thực thi chính sách Duyệt web và E-mail

+ Bảo vệ trung tâm dữ liệu (Data center protection) - Đảm bảo sự sẵn sàng

và tính toàn vẹn của các ứng dụng và hệ thống tập trung Bảo vệ sự bảo mật và sự riêng tư của người dùng

+ An ninh và kiểm soát truy cập mạng (Network access security and control)

- Bảo vệ các vùng biên mạng truy cập Thực thi xác thực và truy cập dựa trên vai trò cho người dùng ở các mạng chính và từ xa Hệ thống bảo đảm được cập nhật và phù hợp với chính sách bảo mật mạng của các doanh nghiệp

+ Bảo vệ điểm đầu cuối mạng (Network endpoint protection) - Bảo vệ máy chủ và hệ thống kiểm soát của doanh nghiệp (máy tính để bàn, máy tính xách tay, v.v ) khỏi vi-rút, phần mềm độc hại, botnet và các phần mềm độc hại khác Thực thi chính sách Duyệt web và E-mail cho người dùng doanh nghiệp

1.2.3 Hệ thống mạng cho các thiết bị di động

Tính di động là một phần thiết yếu của môi trường doanh nghiệp Hầu hết người dùng sẽ kết nối không dây với mạng lưới của doanh nghiệp Ngoài ra, các thiết bị khác cũng sẽ dựa vào mạng không dây Trong việc thiết kế phần di động của khung dịch vụ, các tiêu chuẩn thiết kế sau được sử dụng:

+ Khả năng truy cập (Accessibility) - Cho phép người dùng doanh nghiệp và khách hàng có thể truy cập, bất kể họ đang họp trong phòng họp, ăn trưa với các đồng nghiệp trong quán cà phê, hoặc chỉ đơn giản là thưởng thức không khí trong lành bên ngoài tòa nhà

+ Khả năng sử dụng (Usability) - Ngoài tốc độ truyền WLAN rất cao do công nghệ IEEE 802.11n hiện tại hỗ trợ, các ứng dụng với độ trễ thấp (như điện

thoại IP và hội nghị truyền hình) được hỗ trợ qua mạng WLAN sử dụng QoS thích hợp Điều này cho phép xử lý ưu tiên đối với lưu lượng truy cập thời gian thực, giúp đảm bảo rằng thông tin video và âm thanh sẽ đến đúng theo thời gian thực

+ Khả năng an ninh (Security) – hệ thống mạng cho người dùng được phép

và chặn người dùng trái phép Mở rộng các dịch vụ của mạng một cách an toàn đến các thiết bị được cấp quyền Thực thi tuân thủ chính sách an toàn trên tất cả các thiết bị tìm cách truy cập tài nguyên máy tính mạng Người dùng doanh nghiệp được hưởng quyền xác thực nhanh chóng và đáng tin cậy thông qua IEEE 802.1x và giao thức xác thực mở rộng (Extensible Authentication Protocol - EAP), với tất cả các thông tin được gửi và nhận trên mạng WLAN đang được mã hóa

+ Khả năng quản lý (Manageability) - Quản trị viên mạng doanh nghiệp phải

dễ dàng triển khai, vận hành và quản lý hàng trăm điểm truy cập trong nhiều triển khai mạng doanh nghiệp

+ Độ tin cậy (Reliability) - Cung cấp đầy đủ khả năng phục hồi từ lỗi đơn tầng của một thành phần truy cập WLAN hoặc điều khiển kết nối có dây Đảm bảo rằng khả năng tiếp cận mạng LAN không dây được duy trì cho người dùng và khách truy cập trong trường hợp xảy ra các lỗi phổ biến

1.2.4 Hệ thống dịch vụ truyền thông hợp nhất

Giải pháp Truyền thông Hợp nhất thống nhất các ứng dụng thoại, video, dữ liệu và di động trên các mạng cố định và di động, cung cấp không gian làm việc cộng tác đa phương tiện Các ứng dụng này sử dụng mạng làm nền tảng, tính an toàn, khả năng phục hồi và khả năng mở rộng của mạng cho phép người dùng ở bất

kỳ vùng làm việc nào dễ dàng kết nối, ở mọi nơi, mọi lúc, mọi người

Unified Communications là một phần của giải pháp toàn diện bao gồm các ứng dụng quản lý hạ tầng, bảo mật, không dây và quản lý mạng, các dịch vụ vòng đời, triển khai linh hoạt và các tùy chọn quản lý tài nguyên bên ngoài và các ứng dụng của bên thứ ba

Hệ thống hạ tầng mạng có thể được phân chia theo phạm vi triển khai, công nghệ, theo khu vực triển khai, … Một số khách niệm có thể được hiểu như sau:

Mạng cục bộ (LAN – Local Area Network) là một mạng dữ liệu để kết nối các máy tính trong một vùng phạm vi nhỏ (nhà ở, phòng làm việc, trường học, văn phòng, …)

Mạng diện rộng (WAN - Wide area network) là mạng dữ liệu để kết nối giữa các máy tính hoặc mạng máy tính ở các khu vực địa lý cách xa nhau Ví dụ dùng để nối các Mạng cục bộ (LAN) lại với nhau (thông qua router)

Ethernet là một họ các công nghệ mạng máy tính thường dùng trong các mạng local area network (LAN), wide area network (WAN) Ethernet được tiêu chuẩn hóa thành IEEE 802.3 năm 1983

Mạng nội bộ (Intranet) là hệ thống mạng nội bộ của một tổ chức Mạng nội

bộ của một doanh nghiệp được hiểu là hệ thống mạng tại các văn phòng doanh nghiệp và hệ thống kết nối mạng của các văn phòng này tạo lên một hệ thống mạng trao đổi thông tin nội bộ cho doanh nghiệp Doanh nghiệp lớn tương ứng với quy

mô tại các văn phòng và số lượng nhiều văn phòng cần kết nối vào hệ thống mạng nội bộ của doanh nghiệp

Hệ thống mạng của doanh nghiệp là sự kết hợp của nhiều thành phần cấu thành, mỗi thành phần đảm bảo hoạt động theo một nhóm chức năng hoặc dịch vụ xác định như: hệ thống hạ tầng mạng đáp ứng dịch vụ kết nối mạng; hệ thống an ninh thông tin đảm bảo an ninh thông tin trên các khu vực, vùng mạng; hệ thống mạng cho các thiết bị di động cung cấp dịch vụ mạng cho các thiết bị di động và các hoạt động kết nối ngoài văn phòng; hệ thống dịch vụ truyền thông hợp nhất cung cấp môi trường làm việc hợp nhất các dịch vụ cho người sử dụng

Qua việc trình bày về các dịch vụ hạ tầng cần tirển khai cho doanh nghiệp ở trên, ta có thể thấy việc thiết kế mạng nội bộ cho các doanh nghiệp là một nhiệm vụ cần thiết nhằm thiết kế hạ tầng mạng đáp ứng hoạt động của doanh nghiệp, đảm bảo tính bảo mật của hệ thống mạng, cung cấp khả năng triển khai các hệ thống, dịch vụ

CHƯƠNG 2 THIẾT KẾ MÔ HÌNH HỆ THỐNG MẠNG VÀ ĐẢM BẢO AN TOÀN TRONG HỆ THỐNG MẠNG NỘI BỘ CỦA DOANH NGHIỆP

Trong chương này, chúng tôi sẽ trình bày các tìm hiểu về thiết kế mô hình mạng nội bộ của doanh nghiệp và các vấn đề bảo mật trên hệ thống hạ tầng mạng này Trong khuôn khổ của luận văn này, chúng tôi chỉ tập trung tìm hiểu về thiết kế

mô hình hạ tầng mạng nội bộ và các vấn đề triển khai các tính băng bảo mật trên các thiết bị mạng để đảm bảo an toàn thông tin trên hệ thống mạng của doanh nghiệp

Với giả thiết các tổ chức, doanh nghiệp lớn thường có nhiều văn phòng, chi nhánh kết nối vào trụ sở chính Tại mỗi văn phòng, chi nhánh hay trụ sở chính là một hệ thống mạng nội bộ của văn phòng, chi nhánh, trụ sở đó, các mạng nội bộ này được kết nối với nhau thành hệ thống mạng nội bộ của tổ chức, doanh nghiệp

2.1.1 Mô hình tổng thể hệ thống mạng nội bộ

Tham khảo khuyến nghị của Cisco [5], hệ thống hạ tầng mạng của doanh nghiệp được thiết kế thành các module cho mỗi khu vực văn phòng, chi nhánh hay trụ sở chính Môi khu vực văn phòng, chi nhánh là một mạng nội bộ được kết nối với nhat và kết nối với mạng nội bộ của văn phòng chính Mô hình tổng thể của một mạng cho doanh nghiệp như sau:

Hình 2 1 Mô hình hệ thống mạng nội bộ ở các điểm có quy mô khác nhau [5] Tại mỗi văn phòng, chi nhánh có thể gồm các khu vực người sử dụng (làm việc trong các phòng hoặc tòa nhà liền kề nhau), khu vực cung cấp dịch vụ (các dịch vụ phục người dùng, ví dụ các ứng dụng, dịch vụ hệ thống AD, DHCP,…) và khu vực dữ liệu của doanh nghiệp

2.1.2 Một số khuyến nghị khi thiết kế mạng nội bộ

Thiết kế mạng nội bộ được xây dựng dựa trên các nguyên tắc để cho phép một doanh nghiệp với quy mô khác nhau xây dựng các hệ thống mạng phù hợp:

- Xây dựng theo phân lớp, thứ bậc: đơn giản hóa việc triển khai, vận hành và quản lý; Giảm các khu vực lỗi ở mỗi lớp

- Xây dựng theo module (Modularity): cho phép mạng phát triển theo yêu cầu trong mỗi thời kỳ của doanh nghiệp

- Đảm bảo khả năng phục hồi: đáp ứng mong đợi của người dùng về việc giữ mạng luôn khoạt động

- Đảm bảo tính linh hoạt: cho phép chia sẻ lưu lượng mạng một cách thông minh bằng cách sử dụng tất cả tài nguyên mạng

2.1.3 Các mô hình thiết kế mạng nội bộ

Hai thiết kế mô hình khung hệ thống mạng có tính phân cấp đã được kiểm chứng cho mạng nội bộ là mô hình hệ thống ba lớp và mô hình hai lớp

Hình 2 2 Mô hình hệ thống mạng 3 lớp và 2 lớp [5]

Các lớp chính là lớp mạng truy cập, lớp mạng phân phối và lớp mạng lõi Mỗi lớp có thể được xem như là một mô-đun có cấu trúc được xác định rõ ràng với các vai trò và chức năng cụ thể trong mạng LAN Thiết kế theo mô đun và cấp lớp mạng LAN đảm bảo được tính linh hoạt để cung cấp các dịch vụ mạng quan trọng cũng như cho phép dễ dàng thay đổi khi tăng trưởng hệ thống, dễ dàng tích hợp để triển khai hệ thống quản lý và các giải pháp dự phòng phục hồi hệ thống

- Lớp truy cập (Access layer): là lớp mạng biên, chức năng chính của lớp

truy cập là cung cấp điểm truy cập mạng cho người dùng và các hệ thống đầu cuối Thiết bị chuyển mạch tầng truy cập kết nối với các bộ chuyển mạch tầng phân phối

để thực hiện các công nghệ nền tảng mạng như định tuyến, chất lượng dịch vụ (QoS) và bảo mật

- Lớp phân phối (Distribution layer): Lớp phân phối là lớp trung gian giữa

lớp truy cập và lớp lõi để cung cấp nhiều chức năng chính, chẳng hạn như sau:

+ Tổng hợp và chấm dứt quảng bá tên miền ở Lớp mạng 2

- Lớp lõi (Core Layer): Lớp lõi là mạng trục kết nối tất cả các lớp trong

mạng LAN, cung cấp kết nối giữa thiết bị đầu cuối, máy tính và các dịch vụ lưu trữ

dữ liệu nằm trong trung tâm dữ liệu và các khu vực khác và các dịch vụ trong mạng Lớp lõi phục vụ như là bộ tổng hợp cho tất cả các khối mạng khác nhau, và gắn kết các khối này với phần còn lại của mạng

- Mô hình mạng LAN 3 lớp

Hình 2 3 Mô hình hệ thống mạng 3 lớp [5]

Mục đích chính của lớp lõi là cung cấp sự cô lập lỗi và kết nối xương sống Cách ly lớp phân phối và lớp lõi thành các lớp riêng biệt tạo ra sự mô tả rõ ràng để kiểm soát sự thay đổi giữa các hoạt động ảnh hưởng đến các trạm đầu cuối (máy tính xách tay, điện thoại và máy in) và những ảnh hưởng đến trung tâm dữ liệu, WAN hoặc các phần khác của mạng Trường hợp cần thiết, một lớp lõi riêng có thể

sử dụng công nghệ truyền tải khác, các giao thức định tuyến, hoặc chuyển mạch phần cứng khác so với các khối mạng còn lại, cung cấp cho các tùy chọn thiết kế linh hoạt hơn khi cần thiết

- Mô hình mạng LAN 2 lớp

Trong một số trường hợp, do khả năng mở rộng vật lý hoặc mạng, không có yêu cầu tách riêng lớp phân phối và lớp lõi Ở các vị trí nhỏ hơn, nơi có ít người dùng truy cập vào mạng hoặc trong các khối mạng bao gồm một tòa nhà đơn lẻ, các lớp lõi và phân phối riêng biệt không cần thiết Trong trường hợp này, có thể sử dụng thiết kế mạng LAN hai lớp, còn được gọi là thiết kế mạng lõi bị gộp

Hình 2 4 Mô hình hệ thống mạng 2 lớp [5]

Để tìm hiểu các vấn đề cần làm để đảm bảo an toàn trong hệ thống mạng nội

bộ của doanh nghiệm, chúng tôi đi phân tích các nguy cơ tấn công trong mạng nội

bộ và từ đó tìm hiểu các giải pháp bảo mật để đảm bảo an toàn hệ thống mạng

2.2.1 Các nguy cơ tấn công trong mạng nội bộ

Kiến trúc của một mạng nội bộ thông thường đều hướng đến mục tiêu rẻ và

dễ triển khai Một lợi thế lớn của một mạng nội bộ là chỉ bằng cách kết nối thiết bị chuyển mạch và máy tính cùng với cáp và để nó hoạt động tự động Tuy nhiên, các tính năng cho phép điều này, như học bảng địa chỉ MAC, STP và ARP là những lỗ hổng cần lưu ý Hơn nữa các VLAN không cung cấp đủ sự phân chia giữa các vùng mạng, vì một switch không có cách nào tự động biết được nó được kết nối với một switch khác hay đến một host được giả là một switch

Kẻ tấn công có thể là người trong cuộc với quyền truy cập đầy đủ, có thể đã tìm thấy kết nối Ethernet trong không gian công cộng hoặc có thể đã kiểm soát một trạm làm việc và sử dụng một ứng dụng phần mềm độc hại hoặc các phương pháp tấn công khác

Chúng tôi sẽ mô tả các phương pháp nổi bật nhất để tấn công các vùng mạng nội bộ Kẻ tấn công có thể sử dụng truy cập mạng nhằm mục đích để: (1) học về topo mạng riêng và mạng lưới để sử dụng trong một cuộc tấn công sau này, (2) chiếm quyền kiểm soát các thiết bị chuyển mạch, bộ định tuyến hoặc máy chủ trong mạng LAN, (3) nghe trộm, (4) thao túng thông tin, (5) làm gián đoạn mạng lưới

Mặc dù nhiều công việc đã được thực hiện để đảm bảo các giao thức và ứng dụng được sử dụng trên các lớp trên, nhưng nhiều hệ thống được thiết kế để sử dụng nội bộ trong các tổ chức vẫn dựa vào giả thiết rằng mạng nội bộ được an toàn

2.2.1.1 Truy cập vào mạng và hệ thống

Truy cập vào mạng là một điều kiện tiên quyết cho các cuộc tấn công Truy cập có thể đạt được bằng cách kết nối thiết bị với mạng hoặc bằng cách kiểm soát các tài nguyên hiện có

1) Kết nối trái phép vào mạng: Ethernet đã được thiết kế để dễ triển khai và

yêu cầu sự quản trị tối thiểu Do đó nguy cơ có thể bị kết nối trái phép với một phân vùng mạng nội bộ bằng cách truy cập vào một cổng mạng còn trống trên switch (truy cập vật lý vào cổng trên switch, truy cập vào ổ cắm mạng trên tường, tháo cáp

ra khỏi máy tính và cắm vào máy tính khác, hoặc cắm một switch khác giữa máy tính hiện tại và ổ cắm mạng)

2) Sự mở rộng không được phép của Mạng: Kiến trúc của mạng nội bộ cho

phép người dùng mở rộng mạng bằng cách lắp đặt các thiết bị switch hoặc điểm truy cập không dây của họ, từ đó cho phép những người khác tham gia vào mạng

3) Truy cập vào VLAN: Nếu một switch lắng nghe các giao thức quản lý

VLAN trên các cổng host, một máy đầu cuối có thể hoạt động như một switch và kết nối vào tất cả các VLAN

4) Gắn thẻ và bước nhảy VLAN (VLAN Tagging and Hopping): Một kẻ tấn

công có thể tạo các khung Ethernet có một thẻ VLAN tagging và do đó tiêm nhiễm các khung/bản tin vào VLAN mà chúng không có quyền truy cập Trong cuộc tấn

công "gắn thẻ đôi" thể hiện trong Hình 2.5, máy tính của kẻ tấn công thuộc VLAN

1 và liên kết trunk từ switch cục bộ được cấu hình cũng thuộc VLAN 1 Người tấn công tạo ra một khung địa chỉ MAC của máy tính đích như người nhận và chứa một thẻ VLAN 1 và một thẻ VLAN 2 Switch nội bộ được thông báo thẻ đầu tiên, vì địa chỉ MAC của khung hướng tới cây mạng mà nó thuộc về VLAN 1, nên switch sẽ gỡ thẻ này và đẩy khung vào liên kết trunk của VLAN 1, nơi mà switch nhận nhận thấy thẻ thứ hai và xử lý khung như là thuộc về VLAN 2 và do đó gói tin được truyền tới máy mục tiêu

Hình 2 5 Tấn công thẻ VLAN đôi [9]

VLAN hopping cũng có thể thực hiện khi một thiết bị lớp 3, chẳng hạn như một bộ định tuyến IP, đang có một số VLAN và có thể truy cập tất cả chúng Một

kẻ tấn công có thể gửi một khung với địa chỉ MAC của cổng router của router LAN

và địa chỉ IP của một máy tính trong một VLAN khác, do đó sử dụng lớp 3 để vượt qua các giới hạn của lớp 2 Tùy thuộc vào cấu hình, router sẽ nhận được khung và chuyển tiếp nó đến lớp IP, kiểm tra địa chỉ IP và gửi lại nó cho đúng người nhận trên VLAN khác với kẻ tấn công

5) Truy cập từ xa vào mạng LAN: Truy cập vào một vùng mạng nội bộ có

thể đạt được bằng cách truy cập vào một máy tính trên vùng mạng, ví dụ bằng cách

sử dụng mạng xã hội và để lấy được một account người dùng tại mạng đích để mở một dịch vụ quản trị hệ thống từ xa, sau đó kết nối với máy tính trên Internet và cho phép kẻ tấn công truy cập vào mạng nội bộ

6) Khám phá bản đồ mạng (topology) và các điểm yếu mạng: Một kẻ tấn

công có thể thăm dò mạng để tìm các máy tính và các dịch vụ trong đó bằng cách gửi bản tin và phân tích các hồi đáp

7) Đột nhập (Break-Ins): Người tấn công có thể sử dụng mạng Ethernet làm

phương tiện để tấn công các máy tính và switch trên mạng Các cuộc tấn công này thường nhắm vào các mục tiêu lỗ hổng trên phần mềm mạng lớp cao hơn, như ngăn xếp TCP/IP và các ứng dụng máy chủ đặc biệt Chúng có thể dẫn đến việc bắt các gói tin máy tính và switch, có thể được sử dụng cho các cuộc tấn công khác

8) Điều khiển Switch: thiết bị chuyển mạch được cung cấp với mật khẩu

mặc định hoặc không có mật khẩu và mật khẩu thường có thể được thiết lập lại Nếu

kẻ tấn công đoạt được quyền kiểm soát switch, lưu lượng truy cập có thể được định tuyến lại bằng cách ngắt các đường chuyển mạch, đoạt quyền root STP bằng tấn công leo thang mức độ ưu tiên của switch hoặc tấn công DoS các liên kết Trong trường hợp kết hợp với một máy tính, switch có thể được sử dụng để bật tính năng nhân bản gói tin để nghe trộm

2.2.1.2 Tính tin cậy của kênh truyền

Nguyên lý hoạt động của Ethernet là một kênh truyền chung dễ dàng bị nghe trộm, ở bất cứ nơi nào cũng có thể nhận được rất nhiều khung bản tin

Việc nghe trộm thụ động có thể xảy ra nếu kẻ tấn công có thể gắn một thiết

bị nghe vào cáp kết nối máy máy tính đến một bộ chuyển mạch hoặc giữa hai thiết

bị chuyển mạch Kênh truyền giữa các máy tính có thể được sao chép theo cách này Có thể sử dụng thiết bị cho việc gắn thụ động vào cáp điện hoặc cáp quang hoặc chuyển mạch hoặc máy tính Việc nghe trộm thụ động là khá khó để phát hiện

Nếu một switch không biết địa chỉ chuyển tiếp frame ở đâu thì nó sẽ chuyển

nó ra khỏi tất cả các cổng của nó Với phần mềm, một kẻ tấn công có thể dễ dàng tạo ra đủ các khung với các địa chỉ ngẫu nhiên để ghi đè lên và làm tràn toàn bộ bảng MAC và làm cho switch truyền tất cả các khung dữ liệu sang tất cả các cổng

để kẻ tấn công nghe trộm Trên hầu hết các thiết bị chuyển mạch, cuộc tấn công ngập lụt bảng MAC này sẽ ảnh hưởng đến tất cả các VLAN, ngay cả khi cuộc tấn công bắt nguồn từ một VLAN

Hình 2 6 Bảng địa chỉ MAC [9]

Hình 2.6 cho thấy làm thế nào để gửi một khung với một địa chỉ người gửi

giả mạo ghi đè lên các bản tin đúng trong bảng MAC và chuyển hướng lưu lượng truy cập đến kẻ tấn công

Nhiều thiết bị chuyển mạch có tính năng nhân bản cổng để hỗ trợ chẩn đoán hoặc hệ thống phát hiện xâm nhập Nếu kẻ tấn công có quyền kiểm soát một chuyển mạch Thông thường Switch được cung cấp với mật khẩu mặc định hoặc không có mật khẩu, và ngay cả khi một mật khẩu đã được thiết lập, thường có thể đặt lại mật khẩu nếu switch có thể được truy cập vật lý

2.2.1.3 Tính toàn vẹn của kênh truyền

Kẻ tấn công có thể thay đổi kênh truyền truy cập trên mạng Ví dụ, kẻ tấn công có thể làm giả máy chủ web của ngân hàng cho người dùng và làm giả người dùng đến máy chủ của ngân hàng và giành quyền kiểm soát tạm thời tài khoản ngân hàng của người dùng

1) Làm đầu độc ARP và DHCP: ARP là một giao thức không trạng thái và

hầu hết các hệ điều hành sẽ chấp nhận trả lời ARP ngay cả khi không được yêu cầu,

vì các máy chủ có xu hướng gửi chúng bất cứ khi nào liên kết tạm dừng Điều này cho phép một máy tính nắm bắt được lưu lượng truy cập dành cho máy tính khác chỉ bằng cách gửi một thông báo ARP tới người gửi với địa chỉ IP của người nhận

và địa chỉ MAC của kẻ tấn công

Trong một cách tương tự, một máy tính có thể phát hiện ra một yêu cầu quảng bá của máy chủ DHCP và dành lượt trả lời chúng đầu tiên; Khi thành công kẻ tấn công có thể định nghĩa lại một gateway (router) giả mạo và máy chủ DNS giả mạo cho máy chủ đích, cùng với địa chỉ IP của nó, và kiểm soát lưu lượng truy cập của máy tính theo ý muốn

2) Tấn công Man in the Middle (người ở giữa): Nếu kẻ tấn công có thể chỉ

đường đi qua nút của mình và lưu lượng truy cập không được bảo vệ bởi cơ chế xác minh toàn vẹn dữ liệu, kẻ tấn công có thể dễ dàng điều chỉnh lưu thông Những

cuộc tấn công Man in the Middle (MITM) chống lại các giao thức lớp cao hơn

được thực hiện tương đối dễ dàng trên một phân đoạn Ethernet Các cuộc tấn công đầu độc ARP và DHCP (poisoning) đã được đề cập trước đó có thể được triển khai

để chuyển hướng lưu lượng truy cập thông qua các máy tính của kẻ tấn công để sửa đổi gói tin truyền hoặc chỉ là để nghe trộm

3) Session Hijacking (chiếm session đạng hoạt động): Khi một khi một

phiên được thiết lập, nó thường được giả định là đáng tin cậy và không có xác minh truy cập nào nữa được thực hiện Nếu kẻ tấn công có thể nghe lén, hoặc nếu thu thập được đủ thông tin về một phiên (địa chỉ IP, cổng TCP và số thứ tự và dữ liệu ứng dụng, như một cookie xác thực HTTP), kẻ tấn công có thể tạo lại phiên làm việc và hoạt động như một điểm cuối

Nếu một điểm cuối của phiên không thể chuyển hướng, nó có thể tham gia vào việc truyền thông và phá vỡ các phiên ARP có thể được sử dụng để hướng lưu lượng truy cập điểm cuối của mạng nội bộ tới một địa chỉ MAC giả mạo và lưu lượng truy cập từ router gateway tới máy chủ của kẻ tấn công Một điểm cuối có thể

bị nhấn chìm bằng một cuộc tấn công DoS

4) Phát lại (replay): Một bản tin được nghe trộm và có thể được gửi lại Vì

thông điệp không bị sửa đổi, nên nó có thể được chứng thực hoặc mã hóa bởi người gửi ban đầu không ảnh hưởng bởi người tấn công

2.2.1.4 Từ chối dịch vụ (Denial of Service)

Động lực của kẻ tấn công đối với các cuộc tấn công DoS là không được truy cập vào dữ liệu nhưng để ngăn chặn việc sử dụng nó Một cuộc tấn công DoS đúng thời điểm có thể có ý nghĩa quan trọng, ví dụ như ngăn chặn sự chỉ huy và kiểm soát của đối phương

Một cuộc tấn công DoS có thể được thực hiện bằng nhiều cách Một cuộc tấn công có thể được thực hiện trên lớp 1 bằng cách cắt liên kết vật lý hoặc bằng cách làm hỏng mạch bằng điện Tuy nhiên, các cuộc tấn công lớp 2 có thể gây ra nhiều thiệt hại hơn

1) Các cuộc tấn công làm hết tài nguyên: Các cuộc tấn công làm hết tài

nguyên có thể nhắm mục tiêu các kế hoạch kiểm soát và quản lý của một switch bằng cách gửi liên tiếp các yêu cầu xử lý và xử lý bổ sung Ví dụ, làm tràn switch với các gói tin làm quá tải các chức năng ghi log Yêu cầu trạng thái hoặc thay đổi cấu hình VLAN sẽ làm tăng xử lý, quá tải CPU của một switch Quá tải có thể làm chậm lưu lượng truy cập, chặn hoàn toàn hoặc dừng một số chức năng, như cập nhật bảng MAC Nhiều thiết bị chuyển mạch có thể bị ảnh hưởng bởi STP bằng cách gửi

và giữ lại các thông báo gốc STP và do đó làm cho cây mở rộng bị dao động

Ngập lụt bản tin riêng không rõ là một phương pháp để gửi khung với một địa chỉ nhận không tồn tại trong mạng Vì các bảng CAM (Content Addressable Memory) không có địa chỉ này, khung được quảng bá trên tất cả các liên kết (trong VLAN) Điều này có hiệu lực tương tự như ngập lụt bảng MAC nhưng mục đích là

để tắc nghẽn mạng và thành công phụ thuộc vào khả năng gây ra đủ nhiều lưu lượng truy cập - trong khi mục tiêu trong MAC flooding là để cho phép truyền thông bình thường nhưng làm cho switch quang bá bản tin của nó

2) DoS dựa trên giao thức (Protocol Based DoS): STP tạo ra một cây ngoài

mạng lưới mạng được thiết kế để tự cấu hình Một kẻ tấn công điều khiển một nút trên mạng và có thể gửi thông điệp STP và giả vờ là một switch Toàn bộ mạng chuyển mạch có thể được ngăn chặn bằng cách làm ngập lụt nó với STP TCNs (STP topology change notifications) hoặc các thông báo điều khiển STP khác

việc sử dụng đúng công nghệ và mức độ của kỹ năng quản trị và sự chú ý cần thiết

để thực hiện đúng giải pháp an toàn

Sai lầm, thiếu hoặc cấu hình không chính xác của các thiết bị chuyển mạch mạng có thể cho phép kẻ tấn công để có được truy cập vào nhiều tài nguyên mạng hơn Các nhà cung cấp thường cung cấp các sản phẩm của mình với các thiết lập mặc định, giả sử rằng mọi cổng đều có khả năng được kết nối với một switch khác (trunk), do đó lắng nghe STP và những thông điệp khác nhau và xử lý các thẻ VLAN

Trên các mạng đa đường phức tạp, sự quá phức tạp có thể làm quá tải vấn đề quản trị và tạo ra những hậu quả không lường trước được Ngay cả khi sử dụng các công cụ để quản lý mạng, các lỗ hổng thường không nhìn thấy được theo bản chất của chúng và do đó khó nhận ra

2) Các vấn đề thực hiện và mở rộng của nhà cung cấp: Các tiêu chuẩn

mạng, tiêu chuẩn của nhà sản xuất thiết bị đưa ra đòi hỏi có các công việc quản trị cần thiết phải thực hiện Cụ thể, việc điều khiển và quản trị không được xác định cụ thể Một kẻ tấn công có thể nghiên cứu một triển khai cụ thể và có khả năng tìm thấy các tính năng không lường trước được của thiết bị chưa được quản trị cần thiết, đặc biệt là ở các switch cấp cao Tương tự, các mở rộng cho kiến trúc hiện tại, chẳng hạn như chức năng danh sách điều khiển truy cập tại các cổng switch hoặc các giao thức khám phá dịch vụ, có thể làm tăng hoặc làm suy yếu bảo mật

3) Các vấn đề với công nghệ trong thiết bị kế thừa: Khi Ethernet được thiết

kế bằng cách cung cấp bổ sung gia tăng cho các công nghệ hiện có, nhiều thiết bị Ethernet có thiết bị và phần mềm từ các thời kỳ khác nhau Điều này có thể làm cho việc triển khai các giải pháp hiện đại khó khăn Một số giải pháp bảo mật, như IEEE 802.1X và 802.1AE yêu cầu hỗ trợ từ cả máy chủ và thiết bị chuyển mạch trong mạng có thể không có sẵn trong môi trường kế thừa Hoạt động với thiết bị cũ có thể để lại các lỗ trong phạm vi cần bảo mật

4) Các vấn đề kiến trúc: Ethernet thường được coi là lớp 2, nhưng nó liên

quan mật thiết với các cơ chế như ARP và DHCP và liên quan đến bảo mật Các dịch vụ cơ sở lớp 3 giả định rằng lớp 2 chúng đang hoạt động không có các nguy

cơ, nghĩa là toàn bộ vùng mạng Ethernet nằm trong miền bảo vệ

Mô hình kiến trúc là "không mở" Điều này được giới thiệu bởi thiết kế chuyển mạch cơ bản nơi một khung đến một địa chỉ không rõ được gửi ra cho tất cả các cổng

5) Phần mềm miễn phí sẵn có cho tấn công và khai thác: Nhiều trong số

các cuộc tấn công được trình bày ở đây là phần mềm dễ sử dụng, sẵn có và miễn phí Danh sách dưới đây minh hoạ số lượng các công cụ sẵn có:

• Network sniffers: Wireshark, Ngrep, Tcpdump, Snoop

• Máy quét cổng: Nessus, Nmap, Saint, Satan

• Packet crafting: packETH, Bit-Twist, Mausezahn, Hping, Nemesis, Scapy, Yersinia, THC Parasite, Ettercap, Macof

• Ettercap cũng có thể được sử dụng cho các cuộc tấn công của MITM

• Thu thập, chỉnh sửa và phát lại: Packetsquare

2.2.2 Các giải pháp bảo mật hệ thống mạng nội bộ hiện nay

Sự an toàn của mạng nội bộ đã được cải tiến bởi các tổ chức tiêu chuẩn hoá, các nhà cung cấp thiết bị và cộng đồng nghiên cứu Theo truyền thống, sự thiếu an toàn của mạng nội bộ đã được giải quyết bằng cách xác định bất kỳ phân đoạn mạng nội bộ nào là không an toàn và yêu cầu nó được đặt trong một miền được bảo vệ: ví dụ như phía sau một tường lửa trong một tòa nhà an toàn với đội ngũ nhân viên đáng tin cậy Các giải pháp mật mã lớp cao như IPsec và TLS được sử dụng để giải quyết các vấn đề còn lại

2.2.2.1 Bảo mật dựa trên Router

Bộ định tuyến IP phân chia phần còn lại của mạng nội bộ thành nhiều phân đoạn Mỗi phân đoạn mới là một tên miền phát quảng bá riêng biệt ARP, STP, VLAN và các cuộc tấn công dựa trên bảng địa chỉ MAC không còn có thể giữa các phân đoạn

Các tiêu đề MAC của Ethernet bị loại bỏ tại router và lưu lượng truy cập được hướng dẫn bởi các địa chỉ IP và bảng IP của router Router chặn giao thức

điều khiển của Ethernet (ARP và STP) khỏi quá trình chuyển giữa các phân đoạn Tuy nhiên, thay thế một switch với một router sẽ phải chịu một số chi phí

Router cũng ngăn cản sự dễ dàng di động Một máy chủ có thể di chuyển trong mạng Ethernet và giữ địa chỉ IP và MAC, các bảng địa chỉ MAC trong các thiết bị chuyển mạch được cập nhật tự động Router IP có thể hỗ trợ tính di động, tuy nhiên điều này thường đòi hỏi các giao thức bổ sung để quản lý vị trí của máy chủ Một Router cũng chia tách miền phát quảng bá Các giao thức khám phá tự động bị chặn (trừ khi router bao gồm hỗ trợ lớp ứng dụng) và vì vậy các dịch vụ như chia sẻ file hoặc máy in trong các phân đoạn khác không còn có thể truy cập nữa

So với một switch Ethernet, một Router IP cung cấp một lượng đáng kể bảo

vệ chống lại những người dùng khác kết nối với cùng một bộ định tuyến Người tấn công có thể nhắm mục tiêu các giao thức và triển khai trên các lớp cao hơn (IP, vận chuyển và ứng dụng), DoS cũng có thể Tuy nhiên, nói chung, hầu hết các cuộc tấn công được mô tả trong phần trên trở nên không khả thi

2.2.2.2 Kiểm soát truy cập

Người tấn công cần quyền truy cập trước khi có thể thực hiện bất kỳ cuộc tấn công nào Các thực thể không đáng tin cậy có thể được ngăn chặn bằng cách giới hạn truy cập vào mạng hoặc yêu cầu xác thực Giới hạn khả năng truy cập của các đối tượng đáng tin cậy làm giảm tiềm năng của mối đe dọa

1) Bảo vệ vật lý của mạng: Thiết bị mạng có thể được đặt trong tủ khóa và

kệ và dây điện được cài đặt bên trên Tuy nhiên, truy cập là cần thiết cho mạng để được hữu ích và bảo vệ vật lý có giá trị giới hạn

2) Phân chia vùng mạng và VLAN: Giới hạn kích thước của một phân đoạn

Ethernet hạn chế vùng dễ bị tấn công Phương pháp phân chia vùng mạng bên ngoài tới mạng nội bộ sẽ sử dụng thiết bị lớp cao hơn, chẳng hạn như bộ định tuyến hoặc

tường lửa Bên trong mạng nội bộ sử dụng cơ chế LAN ảo IEEE 802.1Q cung cấp

một cách để hạn chế quảng bá và các lưu lượng truy cập khác đến các phân đoạn cụ

thể Các VLAN tách riêng về logic cùng với một cài đặt vật lý và các miền bảo mật xác định bên trong một mạng

Các nhà cung cấp khuyên bạn sử dụng VLAN để bảo mật Tuy nhiên, bảo mật dựa trên VLAN phụ thuộc vào việc cấu hình chuyển mạch đúng cách và các tài liệu của nhà cung cấp cũng lưu ý rằng các thiết lập mặc định của các thiết bị chuyển mạch không an toàn, do đó cho phép, ví dụ, VLAN hopping

3) Các VLAN riêng biệt: Mỗi máy tính trên Ethernet cũng có thể được đặt

trong VLAN riêng của mình, sử dụng việc gắn thẻ đôi Q-in-Q IEEE 802.1ad hoặc

cấu hình switch Private VLAN (PVLAN) Điều này rất hữu ích trong các mạng mà các máy tính giao tiếp chỉ với một hoặc một số nút khác, vốn là mạng ethernet cơ bản

4) Kiểm soát truy cập dựa trên xác thực (Authentication Based Access Control): Có thể xác thực người dùng hoặc máy tính kết nối với một cổng tại

switch là một bước tiến từ kiểm soát truy cập vật lý đơn giản

Xác thực cổng IEEE 802.1X hỗ trợ một số loại chứng chỉ xác thực, chẳng

hạn như cặp tên người dùng và mật khẩu, hoặc chứng chỉ và khóa cá nhân tương ứng 802.1X yêu cầu hỗ trợ phần mềm máy khách trong máy đầu cuối, phần mềm trong switch và một máy chủ cơ sở dữ liệu xác thực tập trung

802.1X chứng thực một máy chủ ở đầu phiên, gắn địa chỉ MAC vào một cổng cụ thể trong switch Nếu cổng cảm nhận được sự ngắt kết nối (điện), sự liên kết phải được giải phóng và yêu cầu xác thực mới Khi máy chủ được kết nối trực tiếp với một switch có 802.1X, nó cung cấp khả năng bảo vệ từ các cuộc tấn công MAC spoofing và flooding

Kẻ tấn công có thể đặt một hub hoặc switch giữa máy tính được chứng thực

và switch xác thực Sau khi xác thực, máy tính đã được chứng thực có thể bị ngắt kết nối mà không làm mất kết nối điện với switch xác thực và một máy tính khác, được cấu hình với cùng một địa chỉ MAC, được sử dụng trong mạng

Xác thực cũng có thể được sử dụng giữa các thiết bị chuyển mạch để tạo thành mạng nội bộ đáng tin cậy Điều này có thể được sử dụng để ngăn chặn các cuộc tấn công mà một máy chủ hoạt động như một switch

Bên cạnh 802.1X, các kỹ thuật mạng LAN riêng Q-in-Q và PVLAN có thể được sử dụng để ngăn chặn bất kỳ lưu lượng truy cập từ máy tính ngoài việc cấu hình ban đầu (DHCP) và lưu lượng truy cập đến một máy chủ xác thực, cho đến khi máy chủ đã xác thực chính nó bằng cách sử dụng một số dịch vụ lớp cao hơn, chẳng hạn như Web sử dụng Giao thức Truyền HyperText (HTTP) Switch cũng có thể chứa chức năng xác thực lớp cao hơn (ví dụ: HTTP) thực hiện các chức năng tương

tự như 802.1X nhưng không yêu cầu máy tính có phần mềm máy khách 802.1X Các loại dịch vụ này có thể có cơ sở dữ liệu xác thực riêng của họ hoặc sử dụng cấu trúc 802.1X hiện có

5) Danh sách điều khiển truy cập (Access Control Lists): Danh sách kiểm

soát truy cập (ACLs) không phải là một phần của thông số Ethernet; các nhà cung cấp switch đã tự thêm các loại khả năng khác nhau Khung Ethernet không có nhiều tính năng: cho một khung Ethernet đơn giản ACL các thuộc tính có thể sử dụng là địa chỉ MAC của người gửi hoặc người nhận hoặc trường Ethertype Truy cập có thể bị hạn chế dựa trên địa chỉ MAC, nhưng một số dịch vụ ACL cụ thể thường được triển khai

Port security - Bảo mật cổng cho phép quản trị viên giới hạn truy cập vào

một cổng trong một switch, dựa trên số địa chỉ MAC Điều này ngăn chặn MAC flooding và có thể làm cho nó khó khăn hơn để mở rộng mạng bằng cách thêm các thiết bị chuyển mạch mà không có sự cho phép Thông thường chức năng này có các tính năng kiểm soát chi tiết Bên cạnh việc chỉ đơn giản là chặn các địa chỉ MAC mới khi số lượng chúng vượt quá giới hạn, bảo mật cổng cũng có thể được thiết lập để chặn một cổng từ các địa chỉ MAC hiện có Địa chỉ MAC cũ có thể hết hạn sau một khoảng thời gian, hoặc là ổn định cho đến khi cổng được đặt lại bằng tay Địa chỉ MAC cũng có thể được gắn vào cổng nơi chúng được kết nối đầu tiên

và cùng một địa chỉ sẽ bị chặn tại các cổng khác, tránh sự di chuyển và địa chỉ MAC spoofing

Packet storm protection - Bảo vệ bão gói tin, giới hạn số lượng khung trên

mỗi đơn vị thời gian mà một chuyển mạch sẽ cho phép từ một cổng Điều này sẽ ngăn chặn MAC tấn công flooding nếu giới hạn là đủ thấp nhưng thường được sử dụng để bảo vệ chống lại các cơn bão gói tin, nơi một máy chủ gửi một số lượng lớn các khung, cố ý hoặc do một sự cố

BPDU guard (Bridge Protocol Data Unit ) - Một bộ bảo vệ BPDU chặn tất

cả các gói tin STP từ một cổng và có thể được sử dụng để một cổng được lựa chọn không tạo thành một phần của mạng STP root guard - Một STP root guard chỉ ra một cổng là một phần của mạng STP, nhưng không thể trở thành STP root Các tính năng này cũng được sử dụng vì các lý do hiệu suất, ví dụ để đảm bảo rằng chỉ các liên kết nhanh nhất được sử dụng để tạo thành cấu trúc cây của mạng

6) Bảo vệ quá tải bảng mạch Kiểm soát và quản lý (Control and Management Plane Overload Protection): Các bảng mạch kiểm soát và quản lý có

thể được bảo vệ khỏi quá tải bằng cách hạn chế lượng truy cập trên các bảng mạch

đó Kiểm soát bảng mạch điều khiển (CoPP hoặc CPP) đạt được điều này bằng cách cung cấp một bộ các bộ lọc, dựa trên các phương pháp hạn chế tốc độ và địa chỉ để ngăn chặn sự quá tải của các chức năng bảng mạch điều khiển Các bộ lọc được tạo

ra để cho phép chỉ một số lượng nhất định các gói dữ liệu điều khiển và quản lý đến được CPU - mọi thứ khác bị chặn trước khi đến được CPU Điều này bảo vệ chống lại các cuộc tấn công cạn kiệt CPU cố ý, với nhược điểm là trong một cuộc tấn công các thông điệp hợp pháp cũng bị mất Các bộ lọc thường có thể được thiết lập riêng cho các loại khung điều khiển khác nhau

7) Trung tâm quản lý bảo mật mạng LAN (Centrally Managed LAN Security): Một số cách thu thập thông tin từ mạng LAN tới một điểm trung tâm và

sử dụng để quản lý an ninh đã được cộng đồng nghiên cứu trình bày trong những năm gần đây

Kiểm soát truy cập hạn chế tính sẵn có của các mục tiêu đối với kẻ tấn công Các mục tiêu cũng có thể được thực hiện khó hơn để đạt được bằng cách thêm tính năng bảo mật cho các giao thức và triển khai thực hiện giao thức

1) Mã hóa và xác định Tính toàn vẹn (Encryption and Integrity Verification): Mật mã hóa có thể giải quyết các yêu cầu về tính toàn vẹn và tính xác

thực IEEE 802.1AE MACsec tạo các kết nối mật mã giữa máy chủ và switch, bảo

vệ tính xác thực và toàn vẹn của nội dung trong các khung Triển khai yêu cầu cài đặt phần mềm và xác thực chứng thực cho từng thực thể mạng tham gia MACsec

sử dụng thông tin xác thực 802.1X làm cơ sở của nó, nhưng bỏ qua một số vấn đề như quản lý khóa bên ngoài quy định của nó, để lại nó cho các nhà cung cấp để thực hiện chúng

2) Bảo vệ giao thức phân giải địa chỉ ARP (Securing Address Resolution Protocol): ARP tạo ra một lỗ hổng lớn trong kiến trúc Ethernet Thông tin thu được

bằng DHCP snooping có thể được sử dụng để ngăn chặn các cuộc tấn công giả mạo của giao dịch bằng cách gắn địa chỉ MAC vào các địa chỉ IP tương ứng và các cổng dựa trên thông tin thu được từ các tin nhắn DHCP DHCP snooping bị thiếu về phạm vi, vì một switch không thể nhìn thấy các phân bổ được thực hiện cho các máy chủ có đường dẫn đến máy chủ DHCP không đi qua switch này

Cộng đồng nghiên cứu đã tập trung chủ yếu vào các giải pháp dựa trên mật

mã, như S-ARP, bổ sung thêm một lớp chứng thực cho các thông điệp ARP và cung cấp một cấu trúc quản lý then chốt tương ứng, sử dụng mật mã không gian tên, hoặc

mở rộng phạm vi tiếp cận của MACsec đến điểm cuối để bảo vệ tới thiết bị đầu cuối

Việc bảo vệ đơn giản nhất là giảm các chức năng phía quản lý sang mạng vật

lý riêng biệt hoặc quản lý ảo Ngoài ra, các kết nối được mã hóa được sử dụng để bảo vệ dữ liệu quản lý (thường là SSH cho dòng lệnh và TLS hoặc SSL cho các giao diện WWW) Xác thực có thể dựa trên mật khẩu hoặc các chứng chỉ mật mã Giao thức quản lý mạng đơn giản (SNMP) thường được sử dụng để theo dõi các thiết bị chuyển mạch và có thể hoặc không thể sử dụng bảo vệ mật khẩu Phiên bản

1 của SNMP không hỗ trợ mã hóa, và khi có sẵn cho phiên bản 3 và một số phiên bản nhất định của phiên bản 2, nó không thể được sử dụng miễn là SNMP chỉ được

sử dụng để theo dõi

4) Bảo vệ tấn công phát lại (Replay Protection): Khung Ethernet cơ bản

không có sự bảo vệ chống lại các cuộc tấn công phát lại (replay), để nó lên các lớp cao hơn MACsec và nhiều giao thức lớp cao hơn bao gồm timestamps hoặc nonces (các giá trị không lặp lại) để ngăn chặn sự phát lại

2.2.2.4 Giám sát an ninh

Các phần trước mô tả các kỹ thuật an toàn chủ yếu là chủ động và một khi đã thiết lập, không đòi hỏi sự tham gia tích cực từ các hệ thống bên ngoài hoặc tương tác của con người Công nghệ tích cực tăng cường bảo vệ mạng

1) Kiểm tra sâu gói tin và tường lửa Ethernet (Ethernet Firewall and Deep Packet Inspection): Tường lửa được sử dụng để hạn chế lưu thông giữa các phân

đoạn mạng và có thể được coi là các trường hợp phức tạp hơn trong danh sách điều khiển truy cập, bao gồm cả các tính năng trạng thái Tường lửa cũng có thể sử dụng kiểm tra gói sâu (DPI- deep packet inspection) và tạo lại phiên lớp ứng dụng cho mục đích kiểm tra Các sản phẩm tường lửa hiện tại có thể hoạt động trên tất cả các lớp mạng và do đó khái niệm "tường lửa Ethernet" không có ý nghĩa riêng Các ACL của bộ chuyển mạch có thể được sử dụng để hạn chế lưu lượng truy cập trên lớp Ethernet và các sản phẩm tường lửa tiêu chuẩn có thể kiểm soát các lớp cao hơn

DPI có nghĩa là phân tích nội dung của gói tin ở cấp ứng dụng, vượt quá các

ngoài phạm vi của bài luận này, ngoại trừ các giao thức có liên quan đến Ethernet, như ARP và DHCP, nơi mà DPI có thể được sử dụng để bảo vệ bộ phận điều khiển

và quản lý (điều này ảnh hưởng một loại ACL)

2) Hệ thống phát hiện và ngăn chặn xâm nhập (Intrusion Detection and Prevention Systems): Các hệ thống Phát hiện xâm phạm (IDS) và Hệ thống Ngăn

chặn xâm nhập (IPS) sử dụng DPI để xác định các cuộc tấn công mạng, thường là

từ một thư viện dấu hiệu của các cuộc tấn công đã biết Chúng yêu cầu truy cập vào đường truyền mạng có thể thu được bằng cách đặt thiết bị IDS / IPS trực tiếp giữa hai thiết bị đầu cuối (điển hình khi được sử dụng như là tường lửa hoặc tăng cường tường lửa) hoặc có thể theo dõi lưu lượng truy cập từ switch thông qua tính năng nhân bản cổng (Port mirroring) Port mirroring sẽ sao chép lưu lượng truy cập đến

và đi từ các cổng đã chọn tới một cổng lắng nghe, nơi thiết bị giám sát được định vị Nếu cần thiết, một mạng riêng biệt có thể được sử dụng để giữ cho các thiết bị giám sát tách khỏi mạng được bảo vệ

Một số tính năng khác trong bộ chuyển mạch có thể giúp phát hiện hành vi nguy hiểm, như nhận dạng địa chỉ MAC có thể gửi thông báo SNMP trap khi máy tính di chuyển trong mạng Một số thông tin về MIB (Management Information Base) có thể hữu ích cho các mục đích của IDS, như MIB giám sát mạng (RMON)

và các phần mở rộng chuyển mạch củ nó (SMON)

Bên cạnh giám sát thụ động, các biện pháp tích cực có thể được sử dụng để phát hiện hành vi nguy hiểm Khung với các hành vi ảnh hưởng đã biết được đưa vào mạng và các kết quả giám sát để phát hiện các cuộc tấn công ARP spoofing

3) Quy hoạch, Quản lý và Quản trị (Planning, Configuration and Administration): Thực tiễn một quản trị mạng làm việc tốt có thể ảnh hưởng đáng

kể tới mạng Ethernet Một số các giải pháp kỹ thuật được đề cập trước đây đòi hỏi phải điều chỉnh và điều chỉnh liên tục khi topo mạng thay đổi Vì không có cơ chế đáng tin cậy để tự động tách một mạng trunk từ các kết nối đến các nút lá, nên các quản trị viên phải xác định thông tin này trong các thiết bị chuyển mạch Tách thông tin quản lý sang một VLAN dành riêng và hạn chế các chức năng điều khiển và

luồng dữ liệu tăng cường bảo mật cho một mạng đến một mức có thể gần với một mạng IP dựa trên router

Các nhà cung cấp thiết bị đã ban hành các tính năng bảo mật liên quan đến Ethernet và đã cung cấp các hướng dẫn cấu hình cho mạng Ethernet Có nhiều hệ thống phần mềm quản lý mạng để giảm bớt khối lượng công việc của việc cấu hình các thiết bị chuyển mạch trên mạng Các nhà quản lý duy trì hình ảnh tôpô của mạng và giảm bớt những sai lầm bằng cách tự động hoá các nhiệm vụ Tuy nhiên, chúng yêu cầu các thiết bị chuyển mạch phải tương thích với phần mềm quản lý và được cấu hình để làm việc cùng nhau Nhiệm vụ quản trị mạng cũng có thể bao gồm quét mạng tích cực, thăm dò, và thử nghiệm để phát hiện các lỗ hổng

Từ các phân tích nêu trên, vấn đề về thiết kế mô hình hệ thống mạng nội bộ

và đảm bảo an toàn trên mạng nội bộ có thể tóm lược như sau:

Mô hình hệ thống mạng LAN đã được các tài liệu kỹ thuật, các hãng sản xuất thiết bị mạng đưa ra các tổng kết và các khuyến nghị mô hình khác nhau và các hướng dẫn triển khai Tùy thuộc vào hiện trạng nhu cầu của mỗi đơn vị như: hiện trạng hệ thống hạ tầng, hệ thống mạng, nguồn vốn cho công nghệ thông tin, nhu cầu triển khai các dịch vụ của doanh nghiệp gắn với hệ thống công nghệ thông tin, …

mà thực hiện thiết kế mô hình hệ thống mạng nội bộ cho phù hợp

Các thế mạnh chính của mạng nội bộ là tính đơn giản và không cần cấu hình, đây cũng là nguyên nhân cho những điểm yếu của nó Ethernet có thể được bảo mật

ở mức cao hợp lý bằng cách quản lý tất cả các thiết bị chuyển mạch, máy tính và người dùng một cách tập trung và áp dụng các phương pháp mật mã Tuy nhiên, điều này có nghĩa là mất tính đơn giản và không cần cấu hình

Một mức độ bảo vệ hợp lý có thể đạt được bằng cách quản lý các thiết bị chuyển mạch và duy trì sự tách biệt của chuyển mạch lõi và các nút lá Điều này có thể được coi là gần như tương đương với bảo vệ được cung cấp bằng cách thay thế các thiết bị chuyển mạch với bộ định tuyến IP, ngoại trừ tin quảng bá ARP

Một giải pháp tiềm năng khác là chọn một nguồn tin cậy và sử dụng để xác thực và xác nhận các đối tượng đã biết Điều này có thể yêu cầu thay đổi đến nút cuối và các giao thức nhưng có thể được thực hiện mà không cần sự can thiệp của con người và sẽ tiết kiệm được khía cạnh về không xác thực, đồng thời mất đi một

- Thiết kế mô hình hệ thống mạng: đảm bảo chức năng mạng, kết nối tất cả các thiết bị phục vụ người sử dụng; phù hợp với công nghệ hiện tại và phù hợp với

hạ tầng của doanh nhiệp Hệ thống mạng cần được thiết kế theo mô đun, có phân lớp, đảm bảo tính dự phòng, đảm bảo hoạt động liên tục của hệ thống

- Thiết kế triển khai các tính băng bảo mật trên hệ thống mạng: thiết kế triển khai các tính năng bảo mật trên các thiết bị mạng đảm bảo an toàn khỏi các tấn công trên hệ thống mạng nội bộ

CHƯƠNG 3 TRIỂN KHAI THIẾT KẾ HỆ THỐNG MẠNG NỘI BỘ AN

TOÀN

Để thực hiện thiết kế một hệ thống mạng nội bộ cho doanh nghiệp lớn, chúng tôi tham khảo thực tế một doanh nghiệp cụ thể và đưa ra các giả định về các yêu cầu cần đáp ứng đối hạ tầng mạng nội bộ, làm cơ sở cho việc thiết kế các giải pháp an toàn mạng ở sau

3.1.1 Hạ tầng không gian và người dùng

- Hệ thống cơ sở hạ tầng: văn phòng chính (trụ sở) của doanh nghiệp là một

tòa nhà gồm 11 tầng nổi và 02 tầng hầm, diện tích mặt bằng mỗi tầng khoảng 3000 m2 Tòa nhà gồm 02 hệ thống trục kỹ thuật dọc theo tòa nhà (hai trục kỹ thuật gần thang máy ở 2 phía của tòa nhà)