Thiết lập mạng LAN sử dụng hệ điều hành windows server 2003 và đánh giá, đề xuất phương án bảo đảm an toàn mạng

68 127 0
Thiết lập mạng LAN sử dụng hệ điều hành windows server 2003 và đánh giá, đề xuất phương án bảo đảm an toàn mạng

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp LỜI CẢM ƠN Trong thời gian qua, để xây dựng hồn thành đồ án thiếu hướng dẫn, dạy thầy cô môn khoa Công nghệ thông tin đặc biệt thầy giáo TS Nguyễn Hoài Thu trực tiếp hướng dẫn để em hồn thành tốt đồ án nhà trường khoa đưa Em xin trân trọng gửi lời cảm ơn tới: - Các thầy cô môn khoa Công Nghệ Thơng Tin trường Đại Học Dân Lập Hải Phòng - Cảm ơn thầy giáo TS Nguyễn Hoài Thu - Cảm ơn Gia đình, bạn bè giúp đỡ em hồn thành đồ án Mặc dù cố gắng xong với kinh nghiệm kiến thức hạn chế khơng tránh khỏi thiếu xót, em mong nhận nhận xét đạo thầy cô giáo để em có thêm kinh nghiệm phát triển tốt trng Kính chúc toàn thể thầy cô mạnh khoẻ, hạnh phúc! Hi phũng, ngy 05 thỏng 07 năm 2010 Sinh viên Trương Đức Phúc Sinh viên: Trương Đức Phúc_CT1001 -1- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp MỤC LỤC LỜI CẢM ƠN MỤC LỤC LỜI NÓI ĐẦU .5 CHƢƠNG I KIẾN THỨC CHUNG VỀ MẠNG MÁY TÍNH 1.1 Tổng quan mạng máy tính 1.1.1 Giới thiệu mạng máy tính mục đích việc kết nối mạng 1.1.2 Phân loại mạng 1.1.3 Các mơ hình quản lý mạng 1.1.4 Các mơ hình ứng dụng mạng 1.2 Network topology giao thức truy cập phương tiện truyền 1.2.1 Network topology 1.2.2 Các giao thức truy cập phương tiện truyền 11 1.3 Mơ hình mức OSI 13 1.3.1 Giới thiệu mơ hình mức OSI 13 1.3.2 Mơ hình chức 13 1.4 Bộ giao thức TCP/IP 16 1.4.1 Tổng quan giao thức TCP/IP 16 1.4.2 Các tầng giao thức TCP/IP 16 1.4.3 Giới thiệu địa IPv4 17 1.4.4 Địa hệ - IPv6 20 1.5 Môi trường truyền dẫn thiết bị mạng 21 1.5.1 Môi trường truyền dẫn 21 1.5.2 Thiết bị mạng 23 CHƢƠNG II BẢO MẬT MẠNG MÁY TÍNH 25 2.1 Các vấn đề chung bảo mật mạng 25 2.1.1 Đối tượng công mạng 25 2.1.2 Các lỗ hổng bảo mật 26 Sinh viên: Trương Đức Phúc_CT1001 -2- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp 2.1.3 Chính sách bảo mật 26 2.2 Các lỗ hổng phương thức công mạng chủ yếu 26 2.2.1 Các lỗ hổng 26 2.2.2 Một số phương thức công mạng phổ biến 27 2.2.3 Các mức độ bảo vệ an toàn mạng 28 2.3 Các biện pháp bảo vệ mạng máy tính 30 2.3.1 Kiểm soát hệ thống qua logfile 30 2.3.2 Thiết lập sách bảo mật hệ thống 31 2.3.3 Sử dụng hệ thống firewall 36 CHƢƠNG III TÌM HIỂU VỀ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003 37 3.1 Giới thiệu hệ điều hành Windows Server 2003 37 3.1.1 Giới thiệu hệ điều hành Windows Server 2003 37 3.1.2 Các phiên họ hệ điều hành Windows Server 2003 37 3.1.3 Những điểm họ hệ điều hành Windows Server 2003 .37 3.2 Các dịch vụ mạng hệ điều hành Windows Server 2003 38 3.2.1 Active Directory 38 3.2.2 Domain Name System (DNS) 44 3.2.3 Dịch vụ DHCP (Dynamic Host Configuration Protocol) 46 3.2.4 Internet information services (IIS) 47 3.2.5 FTP Server– File Transfer Protocol Server 47 3.2.6 Mail Server 47 3.2.7 Remote access services 47 CHƢƠNG IV TÌM HIỂU THIẾT KẾ MẠNG LAN 49 4.1 Các bước thiết kế mạng LAN 49 4.1.1 Phân tích yêu cầu 49 4.1.2 Lựa chọn phần cứng 49 4.1.3 Lựa chọn phần mềm 49 4.1.4 Đánh giá khả 50 Sinh viên: Trương Đức Phúc_CT1001 -3- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp 4.1.5 Tính tốn giá thành 50 4.1.6 Triển khai pilot 50 4.2 Các vấn đề cần lưu ý 50 4.3 Những yêu cầu chung việc thiết kế mạng 51 4.4 Mơ hình 51 4.4.1 Hierarchical models 51 4.4.2 Secure models 52 4.5 Mô thiết lập mang LAN 54 4.5.1 Yêu cầu công ty 54 4.5.2 Phân tích yêu cầu 55 4.5.3 Thiết kế sơ đồ mạng 55 4.5.4 Lựa chọn giải pháp 58 4.5.5 Đánh giá mơ hình 59 CHƢƠNG V ĐỀ XUẤT PHƢƠNG ÁN BẢO MẬT MẠNG 61 5.1 Đánh giá hệ điều hành windows server 2003 61 5.2 Chiến lược bảo mật 61 5.3 Bảo mật thông qua hạn chế thông tin 62 5.4 Bảo mật phân quyền tài khoản 62 5.5 Firewall 64 5.6 Hệ thống kiểm tra xâm nhập mạng (IDS) 65 5.7 Sử dụng thêm phần mềm 65 5.7.1 Phần mềm Anti-Virus (AV) 65 5.7.2 HP Openview 65 5.7.3 Cisco Secure ACS 66 5.7.4 ZoneAlarm.( Firewall mềm) 66 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 68 Sinh viên: Trương Đức Phúc_CT1001 -4- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp LỜI NÓI ĐẦU Ngày nay, với phát triển mạnh mẽ khoa học kỹ thuật Đặc biệt, lĩnh vực công nghệ thông tin tạo nên động lực thúc đẩy phát triển ngành công nghiệp khác nhằm phục vụ đáp ứng nhu cầu người sống Mạng máy tính lĩnh vực nghiên cứu, phát triển ứng dụng cốt lõi ngành công ngệ thông tin Nhờ có mạng máy tính , thơng tin truyền cách nhanh chóng làm cho người khắp nơi giới giao lưu hợp tác trao đổi thông tin với thuận tiện trước Hầu hết tổ chức hay công ty triển khai xây dựng mạng LAN để phục vụ cho việc quản lý liệu nội quan thuận lợi, đảm bảo tính an tồn liệu tính bảo mật liệu Mặt khác mạng Lan giúp nhân viên tổ chức hay công ty truy nhập liệu cách thuận tiện với tốc độ cao Đây lĩnh vực mà em quan tâm, hoc hỏi tìm hiểu suốt thời gian qua Và lý em chọn đề tài: Thiết lập mạng LAN sử dụng hệ điều hành Windows Server 2003 đánh giá, đề xuất phương án bảo đảm an toàn mạng Trong đồ án em xin trình bày vấn đề sau: - Tìm hiểu mạng máy tính - Tìm hiểu bảo mật, an tồn mạng - Tìm hiểu hệ điều hành Windows Server 2003 - Tìm hiểu thiết kế mạng - Đề xuất giải pháp bảo mật mạng Sinh viên: Trương Đức Phúc_CT1001 -5- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp CHƢƠNG I KIẾN THỨC CHUNG VỀ MẠNG MÁY TÍNH 1.1 Tổng quan mạng máy tính 1.1.1 Giới thiệu mạng máy tính mục đích việc kết nối mạng Mạng máy tính (Network) tập hợp máy tính kết nối với theo cách cho chúng trao đổi thơng tin qua lại với Các máy tính kết nối thành mạng cho phép khả năng: + Sử dụng chung cơng cụ tiện ích + Chia sẻ kho liệu dùng chung + Tăng độ tin cậy hệ thống + Trao đổi thơng điệp, hình ảnh + Dùng chung thiết bị ngoại vi(máy in, máy vẽ, Fax, modem ) + Giảm thiểu chi phí thời gian lại 1.1.2 Phân loại mạng 1.1.2.1 Mạng LAN Mạng LAN nhóm máy tính thiết bị truyền thông mạng kết nối với khơng gian hẹp tồ nhà, khu vực Đặc điểm mạng LAN: - Băng thơng lớn, có khả chạy ứng dụng trực tuyến xem phim, hội thảo qua mạng - Kích thước mạng bị giới hạn thiết bị - Chi phí thiết bị mạng LAN tương đối rẻ - Quản trị đơn giản 1.1.2 Mạng đô thị MAN Mạng MAN gần giống mạng LAN giới hạn thành phố hay quốc gia Mạng MAN nối kết mạng LAN lại với thông qua phương tiện truyền dẫn khác (cáp quang, cáp đồng, sóng ) phương thức truyền thông khác Đặc điểm mạng MAN: Sinh viên: Trương Đức Phúc_CT1001 -6- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp - Băng thơng mức trung bình, đủ để phục vụ ứng dụng cấp thành phố hay quốc gia phủ điện tử, thương mại điện tử, ứng dụng ngân hàng - Do MAN nối kết nhiều LAN với nên độ phức tạp tăng đồng thời cơng tác quản trị khó khăn - Chi phí thiết bị mạng MAN tương đối đắt tiền 1.1.2.3 Mạng WAN Mạng WAN bao phủ vùng địa lý rộng lớn mạng cơng ty đa quốc gia, lục địa hay toàn cầu Do phạm vi rộng lớn mạng WAN nên thông thường mạng WAN tập hợp mạng LAN, MAN nối lại với phương tiện như: vệ tinh (satellites), sóng viba (microwave), cáp quang,cáp điện thoại Đặc trưng mạng WAN: - Băng thông thấp, dễ kết nối, thường phù hợp với ứng dụng offline e-mail, web, ftp - Phạm vi hoạt động rộng lớn không giới hạn - Do kết nối nhiều LAN, MAN lại với nên mạng phức tạp có tính tồn cầu nên thường có tổ chức quốc tế đứng quản trị - Chi phí cho thiết bị cơng nghệ mạng WAN đắt tiền WAN chia thành nhiều loại như: - WAN cho doanh nghiệp (Enterprise WAN): kết nối LAN doanh nghiệp nằm vị trí khác - WAN toàn cầu (Global WAN): kết nối mạng nhiều tổ chức khác 1.1.2.4 Mạng INTERNET Mạng Internet trường hợp đặc biệt mạng WAN, cung cấp dịch vụ toàn cầu mail, web, chat, ftp phục vụ miễn phí cho người Mạng Internet sở hữu nhân loại, kết hợp nhiều mạng liệu khác chạy tảng giao thức TCP/IP Sinh viên: Trương Đức Phúc_CT1001 -7- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp 1.1.2.5 Mạng INTRANET Thực mạng INTERNET thu nhỏ vào quan, công ty, tổ chức hay bộ, nghành giới hạn phạm vi người sử dụng, có sử dụng cơng nghệ kiểm sốt truy cập bảo mật thơng tin Được phát triển từ mạng LAN, WAN dùng cơng nghệ INTERNET 1.1.3 Các mơ hình quản lý mạng 1.1.3.1 Workgroup Trong mơ hình máy tính có quyền hạn ngang khơng có máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ hay quản lý Các máy tính tự bảo mật quản lý tài nguyên riêng Đồng thời máy tính cục tự chứng thực cho người dùng cục 1.1.3.2 Domain Ngược lại với mô hình Workgroup, mơ hình Domain việc quản lý chứng thực người dùng mạng tập trung máy tính Primary Domain Controller Các tài nguyên mạng quản lý tập trung cấp quyền hạn cho người dùng Lúc hệ thống có máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ quản lý máy trạm 1.1.4 Các mô hình ứng dụng mạng 1.1.4.1 Peer-to-Peer Mạng Peer to Peer thiết lập thành viên hay trạm làm việc (Workstations) có vai trò ngang quyền nhau, máy gọi nút Các trạm làm việc vừa đóng vai trò máy chủ vừa đóng vai trò máy khách tức thành viên truy cập vào máy trạm mạng để sử dụng chung tài nguyên (các tập tin, máy in ) tài nguyên chia sẻ để dùng chung - Ưu điểm: Do mơ hình mạng ngang hàng đơn giản nên dễ cài đặt, tổ chức quản trị, chi phí thiết bị cho mơ hình thấp - Khuyết điểm: Khơng cho phép quản lý tập trung nên liệu phân tán, khả bảo mật thấp, dễ bị xâm nhập Các tài ngun khơng xếp nên khó định vị tìm kiếm Mạng ngang hàng thích hợp với mạng nhỏ tính bảo mật khơng cao Sinh viên: Trương Đức Phúc_CT1001 -8- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp 1.1.4.2 Client-Server Là mạng có máy đóng vai trò máy chủ (Server) máy lại gọi máy khách (Client), máy sinh yêu cầu dịch vụ máy chủ hay máy phục vụ - Ưu điểm: D o liệu lưu trữ tập trung nên dễ bảo mật, backup đồng với Tài nguyên dịch vụ tập trung nên dễ chia sẻ quản lý phục vụ cho nhiều người dùng - Khuyết điểm: Các server chuyên dụng đắt tiền, phải có nhà quản trị cho hệ thống 1.2 Network topology giao thức truy cập phƣơng tiện truyền 1.2.1 Network topology Topo (network topology) mạng LAN kiến trúc hình học thể cách bố trí đường dây cáp, xếp máy tính để kết nối thành mạng hồn chỉnh Có loại cấu trúc topo mạng điển hình sau: 1.2.1.1 Bus topology Tất trạm phân chia chung đường truyền Trên đường truyền giới hạn hai đầu loại đầu nối đặc biệt gọi terminator Mỗi trạm nối vào bus thông qua đầu nối chữ T (T- connector) thu phát (transceiver) Khi trạm truyền liệu, tín hiệu quảng bá chiều bus trạm nhận tín hiệu Hình : Mơ hình kiểu kết nối dạng Bus Ưu điểm: Loại hình mạng dùng dây cáp nhất, dễ lắp đặt Nhược điểm: Sẽ có ùn tắc giao thơng di chuyển liệu với lưu lượng lớn có hỏng hóc đoạn khó phát hiện, ngừng đường dây để sửa chữa ngừng toàn hệ thống Sinh viên: Trương Đức Phúc_CT1001 -9- Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp 1.2.1.2 Star topology Hình : Mơ hình kết nối dang Star với Hub trung tâm Trong mơ hình này, máy tính nối vào mạng thông qua cổng thiết bị trung tâm Thiết bị trung tâm có cổng hỗ trợ nhiêu máy Thiết bị trung tâm có đặc điểm cổng có tín hiệu tín hiệu lặp lại cổng lại Hub Như vậy, tín hiệu truyền từ máy tính gửi liệu đến tồn máy tính khác tồn mạng Tuỳ theo u cầu truyền thơng mạng thiết bị trung tâm chuyển mạch (switch), định tuyến (router), tập trung (hub) Ưu điểm: - Lắp đặt đơn giản, rễ cấu hình lại thêm, bớt trạm, dễ kiểm soát khắc phục cố tận dụng tối đa tốc độ đường truyền vật lý sử dụng liên kết điểm điểm - Hoạt động theo nguyên lý nối song song nên có thiết bị nút thơng tin bị hỏng mạng hoạt động bình thường - Cấu trúc mạng đơn giản thuật toán điều khiển ổn định - Mạng mở rộng thu hẹp tuỳ theo yêu cầu người sử dụng Nhược điểm: - Độ dài đường truyền nối trạm với thiết bị trung tâm bị hạn chế - Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng trung tâm Khi trung tâm có cố tồn mạng ngừng hoạt động - Mạng yêu cầu nối độc lập riêng rẽ thiết bị nút thông tin đến trung tâm Khoảng cách từ máy đến trung tâm hạn chế (100 m) Mạng dạng hình cho phép nối máy tính vào tập trung (HUB) cáp xoắn, giải pháp cho phép nối trực tiếp máy tính với HUB khơng cần Sinh viên: Trương Đức Phúc_CT1001 - 10 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Hinh 13: Mô hình tường lửa phần LAN lập làm vùng đệm mạng cơng tác với mạng bên ngồi (LAN cô lập gọi khu phi quân hay vùng DMZ) Thiết bị định tuyến có cài đặt lọc gói đặt DMZ mạng cơng tác Thiết bị định tuyến ngồi có cài đặt lọc gói đặt DMZ mạng ngồi 4.5 Mô thiết lập mạng LAN 4.5.1 Yêu cầu công ty Em giả sử thiết lập hệ thống mạng cơng ty có tầng vớ i phòng ban Cơng t y có gồm 32 máy Client phân phối cho phòng ban sau: Phòng Tài Chính – Kế Tốn 10 máy Client Phòng Kinh Doanh 10 máy Client Phòng Kỹ Thuật 10 máy Client Phòng Giám Đốc máy Client Phòng Phó Giám Đốc máy Client Cơng ty có u cầu sau: Hê thống mạng chia thành nhóm sử dụng tương ứng với phòng ban, có chia sẻ liệu dùng chung thiết bị máy photo, máy fax… Các user phân quyền phù hợp với công việc Sinh viên: Trương Đức Phúc_CT1001 - 54 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Mạng có kết nối với internet 4.5.2 Phân tích u cầu Vì cơng ty có nhu cầu chia sẻ liệu dung chung thiết bị có sách quản lý người dùng nên cần có máy server để quản lý Mạng máy tính LAN Campus Network (Mạng Campus mạng có nhiều LAN nhiều tòa nhà) Vì mạng Campus nên mạng xây dựng tảng công nghệ cao Ethernet / Fast Etherner / Gigabit Ethernet Mạng cần có độ ổn định khả dự phòng để đảm bảo chất lượng cho việc truy cập liệu quan trọng Mạng công ty chia thành nhóm sử dụng phân quyền sử dụng liệu chương trình mạng có kết nối interner nên hệ thống mạng cần có tường lửa để đảm bảo an ninh cho toàn thiết bị nội trước truy cập trái phép hạn chế sử dụng internet Như hạn chế quyền chat, hạn chế quyền sử dụng số trang web… Mạng cần cấu thành switch để hạn chế xung đột liệu truyền tải 4.5.3 Thiết kế sơ đồ mạng 4.5.3.1 Sơ đồ Logic phòng máy Sinh viên: Trương Đức Phúc_CT1001 - 55 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Hinh 14 : Sơ đồ Logic phòng máy 4.5.3.2 Sơ đồ vật lý Sinh viên: Trương Đức Phúc_CT1001 - 56 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Hinh 15 : Sơ đồ vật lý cá phòng máy 4.5.3.3 Giải thích mơ hình Trong cấu hình vẽ mạng máy tính cục tồ nhà điều hành có switch phân phối có chức định tuyến Switch có tác dụng chuyển lưu lượng qua lại switch truy cập nhiệm vụ quan trọng định tuyến LAN ảo Bất kỳ switch truy cập kết nối đến switch phân phối đảm bảo cung cấp băng thơng cho tồn máy tính kết nối đến switch truy cập Switch phân phối sử dụng thiết bị có nhiều cổng truy nhập 100Mbps Các switch truy cập cung cấp 24 cổng 10/100 Mbps đảm bảo băng thông cho máy trạm Sinh viên: Trương Đức Phúc_CT1001 - 57 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Nếu số lượng máy tính tồn tồn nhà phát triển lên, switch truy cập cắm xếp trồng để cung cấp số lượng cổng truy cập nhiều phòng ban cắm switch mở rộng để cung cấp thêm số cổng truy nhập Phòng kinh doanh phòng kế tốn ta sử dụng chung switch Phòng kỹ thuật phòng giám đốc ta sử dụng chung switch Switch từ phòng kỹ thuật ta kết nối với phân mạng truy cập Internet thông qua Firewall Firewall làm nhiệm vụ ngăn chặn bảo mật máy tính thuộc phân mạng nội với mạng Internet phía bên ngồi Như giao tiếp mạng firewall kết nối với phân mạng bên giao tiếp mạng kết nối với phân mạng Internet công cộng 4.5.4 Lựa chọn giải pháp Tùy thuộc vào nhu cầu sử dụng, tầm quan trọng liệu mà cơng ty có u cầu sách bảo mật khác Với mơ hình u cầu cơng ty em lựa chon giải pháp sau: 4.5.4.1 Lựa chọn mơ hình mạng Cơng ty doanh nghiệp thuộc loại vừa nhỏ, hệ thống mạng gồm server 32 máy Client nên em chọn giải pháp mạng LAN với mơ hình Start Nghĩa có phòng đặt thiết bị trung tâm từ dẫn dây đến phòng lại thuộc loại mơ hình Client/Server thường dùng doạnh nghiệp công ty 4.5.4.2 Lựa chọn hệ điều hành mạng Nhằm quản lý tốt tăng cường hệ thống bảo mật liệu cho cơng ty em lựa chọn hệ điều hành : Window Server 2003 Standar Edition, ban chuẩn dung cho doanh nghiệp vừa va nhỏ Nếu dùng hệ điều hành ngồi tính Window XP có có thêm tính bảo mật phân chia quền truy cập chia sẻ tài nguyên cho máy khác tốt 4.5.4.3 Lựa chọn thiết bị mạng Switch : Switch 24 port Switch 16 port Cáp: Em lựa chọn cáp STP CAT5 (thích hợp cho đường truyền 100 Mb/s) Vì loại cáp có lớp bọc kim loại tác dụng chống nhiễu điện từ Sinh viên: Trương Đức Phúc_CT1001 - 58 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Đầu nối cáp: sử dụng đầu nối RJ-45 Để kết nối với Internet cần phải có Firewall Firewall làm nhiệm vụ ngăn chặn bảo mật máy tính thuộc phân mạng nội với mạng Internet từ phía bên ngồi Máy tính: Máy Server: Chạy hệ điều hành Microsoft Windows 2003 Server cài dịch vụ phục vụ cho máy Client : MS ISA Server… Máy Client : Chạy hệ điều hành Microsoft Windows XP professional Chạy chương trình ứng dụng : Microsoft Office XP , phần mềm kế toán , nhân … 4.5.5 Đánh giá mơ hình Ưu điểm: Dữ liệu bảo mật an toàn sử dụng hệ điều hành Windows Server 2003 , dễ backup diệt virus Chi phí cho thiết bị thấp Trong mơ hình cơng ty lắp đặt mơ hình mạng Client/ Server nên có hệ thống máy chủ quản lý tất tài nguyên hệ thống chịu trách nhiệm phân chia quyền sử dụng tài nguyên hệ thống cho máy Mỗi máy sau hệ thống máy chủ phân quyền sử dụng tài ngun có : Username Passwword để đăng nhập hệ thống, việc phân quyền giúp tăng thêm tính bảo mật cho hệ thống sở liệu cho công ty Dùng cáp, dễ lắp đặt Việc quản trị dễ dàng (do mạng thiết kế theo mơ hình xử lý tập trung phân chia quyền sử dụng hệ thống) Sử dụng Switch (khơng sử dụng hub) Switch có khả mở rộng mạng tối ưu Hub ,tốc độ truyền liệu nhanh…Ngồi Switch hỗ trợ Trunking,VLAN… Dùng cáp STP khơng dùng UTP STP chống nhiễu, tốc độ truyền tín hiệu nhanh, khơng bị nghe trộm Hệ thống có phân tách phòng ban thành mạng riêng để giảm thiểu việc truy xuất liệu trái phép nội công ty Tồn tại: Sinh viên: Trương Đức Phúc_CT1001 - 59 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Khó khăn việc cài đặt thêm phần mềm cho client Máy server phải cài nhiều dịch vụ cung cấp cho máy client Phụ thuộc nhiều vào tốc độ Server Khả nǎng mở rộng mạng hoàn toàn phụ thuộc vào khả nǎng trung tâm Khi trung tâm có cố tồn mạng ngừng hoạt động Khó đáp ứng yêu cầu nhiều ứng dụng khác Tốc độ truy xuất không nhanh Sinh viên: Trương Đức Phúc_CT1001 - 60 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp CHƢƠNG V ĐỀ XUẤT PHƢƠNG ÁN BẢO MẬT MẠNG 5.1 Đánh giá hệ điều hành Windows Server 2003 Cũng hệ điều hành khác Windows Server 2003 có ưu, khuyết điểm nó, nhiên Windows Server 2003 chinh phục nhiều người dùng tính trội Hệ điều hành cho phép tổ chức quản lý cách chủ động theo nhiều mơ hình khác nhau: peer-to-peer, clien/server Nó thích hợp với tất kiến trúc mạng như: hình (start), đường thẳng (bus), vòng (ring) phức hợp Nó có số đặc tính ưu việt bảo đảm thực lúc nhiều chương trình mà khơng bị lỗi Bản thân Windows Server 2003 đáp ứng hầu hết giao thức phổ biến mạng hỗ trợ nhiều dịch vụ truyền thơng mạng Nó vừa đáp ứng cho mạng cục (LAN) cho mạng diện rộng (WAN) Windows Server 2003 cho phép dùng giao thức TCP/IP, vốn giao thức sử dụng phổ biến hầu hết mạng diện rộng Internet Windows Server 2003 hệ điều hành hướng đối tượng, hệ bảo mật xây dựng cấp thấp cấu trúc đối tượng Chính Window Server dễ bảo vệ an tồn so với hầu hết hệ điều hành khác Tuy nhiên hệ điều hành phức tạp chế bảo mật khơng thể cung cấp cho ta giải pháp bảo mật tuyệt đối Vì nhà quản trị mạng phải quan tâm thực công tác quản trị bảo trì hệ thống Bạn cần phải có cấp bảo mật phù hợp với nhu cầu tích hợp phần mềm bổ trợ vào mơ hình bạn Các kế hoạch bảo mật gồm biện pháp an ninh vật lý Để xây dựng hệ thống mạng vững khơng có ngăn ngừa kể cơng ngồi mạng mà nội bạn 5.2 Chiến lƣợc bảo mật Để đảm bảo an tồn thơng tin, tổ chức cần phải xây dựng sách thơng tin Q trình xây dựng sách thơng tin giống vòng tròn lần quay trở lại điểm khởi đầu lần làm tăng độ an toàn Việc việc phát triển sách thơng tin tạo danh sách nguồn Sinh viên: Trương Đức Phúc_CT1001 - 61 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp lực cần bảo vệ nghĩa khơng bao gồm máy tính, máy in, đường, tường lửa mà nơi cần đặt phần cứng thiết bị Backup khác Cần phải xác định rõ phép xâm nhập vào phần cứng cấu trúc lô gic phần mềm máy tính Sau lập danh sách thống kê nguồn lực ta cần thiết lập catalo mối nguy hiểm đe doạ tới nguồn lực Sau ta tiến hành việc phân tích điểm yếu để tìm phần hay bị đe doạ 5.3 Bảo mật thông qua hạn chế thông tin Rất nhiều nơi hạn chế việc đưa thông tin bảo mật hệ thống mạng Một số nơi cố gắng dấu thơng tin server họ cho phép số người có thẩm quyền truy cập Việc bảo mật thông qua hạn chế thông tin chiến lược nhiều nơi Bằng việc hạn chế thông tin nhà quản trị mạng hy vọng không phát điểm yếu họ khai thác chúng Các phần mềm bảo mật tốt sử dụng thuật toán sẵn có nên Hacker tìm cách làm việc thuật toán sử dụng phần mềm trung gian để xem mã cách thức bảo mật Điều buộc nhà phát triển phần mềm phải ln phát triển thuật tốn, cung cấp thuật tốn mã hoá mạnh 5.4 Bảo mật phân quyền tài khoản Để thực tác vụ thành công LAN cần số yếu tố bảo mật như: Cần xác định xem người có quyền truy xuất thơng tin , nhiều nơi khơng có danh sách rõ ràng người có quyền truy xuất thơng tin Danh sách thẩm quyền thường bao gồm thông tin quyền mà người cấp để thực tác vụ Để thiết lập danh sách cần phải xây dựng xác lập tập hợp quyền cấp cho người sử dụng Danh sách thẩm quyền giúp tránh cho việc truy xuất sử dụng dịch vụ mà không phân quyền Bằng cách sử dụng quy luật ràng buộc cho phép người sử dụng phép không phép sử dụng độ tin cậy họ Hầu trình ứng dụng có cách thức cấp quyền Do có ngày nhiều chương trình ứng dụng tải LAN, việc thực phân quyền hạn chế lỗ hổng bảo mật Sinh viên: Trương Đức Phúc_CT1001 - 62 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Danh sách quyền phải trì nguồn lực máy in, file liệu, CSDL hay trình ứng dụng nhóm người sử dụng dịch vụ, người có quyền truy xuất đối tượng đặc biệt Do vây người quản trị cần ý vấn đề sau: Cung cấp tài khoản cho người dùng với mưc phân quyền hợp lý Tài khoản người dùng chủ đề biến tấu trung tâm hệ điều hành windows server 2003 Những muốn truy cập vào máy tính phải gõ tên người dùng mật Không nên để lộ mật cho Không tạo mật (password) dễ dàng Không dùng hai password bạn đăng ký làm thành viên với nhiều địa (site) khác Không dùng từ dễ đoán ra, kết hợp chữ cái, biểu tượng số với nhau, nhớ phải tạo password dài ký tự Không nên dùng ngày sinh, tên người yêu, đơn giản ABCD1234 Hãy ghi nhớ password khơng nên lưu máy tính Khơng nên dùng chức nhớ password chịu khó nhập password lần đăng nhập Cần đặt quy định phải tránh khơng gây khó khăn cho nhân viên, phải tạo điều kiện cho họ thực công việc cách tốt Cho phép người dùng truy cập mở vào web, hạn chế truy cập vào trang mạng xã hội làm việc Nếu có truy cập khơng tiết lộ địa chỉ, mật khẩu, hay thông tin khách hàng cho nguồn không quen biết Đổi tên tài khoản Administrator dung mật hiệu khó đốn Vì kẻ cơng vào hệ thống thơng qua tài khoản Administrator Làm để kẻ cơng khó đốn tên tài khoản Admin Ẩn định khóa chặn tài khoản user Khi thay đổi tên tài khoản Administrator ta tạo tài khoản Administrator giả khơng có quyền Kẻ công nhiều thời gian vào tài khoản Các điều hành viên nên có tài khoản Một tài khoản thường để sử dụng không thực công việc điều hành Sinh viên: Trương Đức Phúc_CT1001 - 63 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Che giấu tên người dùng HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi on\Policies\System tìm đến khóa DontDisplayLockedUserId đổi giá trị Đặt lại đường dẫn cho AD Database Kiểm tra log file từ máy chủ ứng dụng Chúng cung cấp cho ta số thông tin tốt hệ thống, công bảo mật Trong nhiều trường hợp, cách để xác nhận quy mô công vào máy chủ 5.5 Firewall Mạng LAN có nhiều Server, khả bảo mật cần trọng, có nhiều cách bảo mật thông dụng tường lửa Tường lửa hệ thống giúp bảo vệ an toàn mạng cách thực điều khiển xử lý, nhằm kiểm soát khả người sử dụng việc truy xuất nguồn lực mạng với mạng khác Các nhà quản trị hệ thống người cần xác định mức bảo mật cần thiết cho nguồn lực mạng Tường lửa thiết kế nhằm tránh việc truy xuất tự nguồn lực mạng thông qua kết nối LAN việc điều khiển giúp bảo vệ an toàn liệu phần mềm Tường lửa giúp chống lại kẻ phá hoại Hacker Khi hệ thống đựơc kết nối LAN thực trao đổi dịch vụ, để bảo vệ dịch vụ tường lửa từ chối yêu cầu từ máy tính khác thiếu tin cậy Để bảo vệ dịch vụ có vài cách áp dụng sử dụng Proxy nhằm đảm bảo cho an tồn liệu truyền khơng kết nối trực tiếp đến mạng nội Đây cách bảo mật tốt liệu không cập nhật kịp thời Một cách sử dụng tường lửa đa tầng Tường lửa giữ vai trò trung tâm bảo mật hệ thống Nó giúp cho người sử dụng truy xuất nguồn lực qua LAN mà khơng cần phải lo ngại an tồn kết nối Khi kết nối với LAN mạng thành phần xử lý máy cá nhân thông qua sử dụng Proxy Các tường lửa phức tạp sử dụng cấu trúc đa tầng Tường lửa phía ngồi thiết lập danh giới vùng (DMZ-Demiliteried Zone) tường lửa phía dùng để bảo vệ mạng Trong vùng xác định Web Server, FTP Server Main Getway thiết lập Mọi liệu gửi mạng phải Sinh viên: Trương Đức Phúc_CT1001 - 64 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp xuyên qua tường lửa Xây dựng nhiều mức giải pháp tốt bổ xung thêm chức mà không làm giảm khả bảo mật 5.6 Hệ thống kiểm tra xâm nhập mạng (IDS) Một IDS, không liên quan tới công việc điều khiển hướng gói tin, mà có nhiệm vụ phân tích gói tin mà firewall cho phép qua, tìm kiếm chữ kí cơng biết (các chữ kí cơng đoạn mã biết mang tính nguy hiểm cho hệ thống) mà kiểm tra hay ngăn chặn firewall IDS tương ứng với việc bảo vệ đằng sau firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắn cho firewall hoạt động hiệu 5.7 Sử dụng thêm phần mềm 5.7.1 Phần mềm Anti-Virus (AV) Phần mềm AV nên cài toàn máy trạm (workstation), máy chủ (server), hệ thống hỗ trợ dịch vụ số, hầu hết nơi chứa liệu quan trọng vào Hai vấn đề quan trọng để xem xét đặt yêu cầu nhà sản xuất AV quản lý nhiều máy chủ máy trạm toàn phạm vi công ty khả nhà cung cấp có đối phó đe doạ từ virus hay không (nguyên nhân: không cho phầm mềm chạy, kiểm tả phiên virus file cập nhật cho virus mới) 5.7.2 HP Openview HP OpenView họ phần mềm quản trị tài nguyên công nghệ thông tin từ sở hạ tầng, dịch vụ, phần mềm ứng dụng khách hàng, thuê bao hệ thống Ưu điểm bật HP OpenView giải pháp quản trị tổng thể với đầy đủ tính cần thiết để quản trị hệ thống thông tin phức tạp bao gồm phần cứng, hệ điều hành trình ứng dụng, cho phép sản phẩm tích hợp chặt chẽ với nhau, tạo giải pháp thống toàn hệ thống Khả tích hợp khơng thể sản phẩm họ HP OpenView mà tích hợp với giải pháp quản trị chuyên biệt sản phẩm phần cứng/phần hãng khác CiscoWorks, Compaq Insight Manager, SUN Management Center, HP TopTools, Oracle Enterprise Manager Sinh viên: Trương Đức Phúc_CT1001 - 65 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp Khi mạng có cố HP Openview giúp bạn nhanh chóng biết lỗi xảy đâu cách cho bạn thấy tận gốc vấn đề chi tiết đến kiện, điều giúp bạn khắc phục lỗi khó nặng HP Openview giúp bạn chọn lọc lập báo cáo vấn đề mấu chốt mạng từ bạn vạch kế hoạch vận hành mạng cách trơn tru Tuy nhiên HP Openview có giá cao, thích hợp cho khách hàng có hệ thống lớn, phức tạp 5.7.3 Cisco Secure ACS Cisco Secure ACS phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy cập mạng, gọi vào, truy cập Internet Cisco Secure ACS chạy Windows hoạt động giống dịch vụ Windows NT/2000 điều khiển việc xác thực, cấp quyền, tính cước người dùng truy cập vào mạng 5.7.4 ZoneAlarm (Firewall mềm) Zone Alarm Antivirus phương thức tốt để loại trừ virus khỏi máy tính ngăn chặn khơng cho chúng xâm nhập từ lúc ban đầu Zone Alarm Antivirus với tường lửa hiệu giúp máy tính bạn trở nên mạnh mẽ trước xâm nhập hacker Zone Alarm Antivirus kết hợp công nghệ tường lửa với máy chống virus quét virus đột phá, tiêu diệt virus cứng đầu xóa bỏ hồn tồn mã độc khỏi máy tính cách an toàn Sinh viên: Trương Đức Phúc_CT1001 - 66 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp KẾT LUẬN Đồ án trình bày thiết lập mạng Windows 2003 Server, qua yếu tố cần quan tâm để tối ưu hóa bảo đảm an tồn cho mạng Để thực điều cần phải nắm kiến thức mạng, hệ điều hành mơ hình bảo mật hệ thống Tuy nhiên, để xây dựng phát triển hệ thống mạng hồn chỉnh cần phải có kiến thức thực tiễn Q trình làm đồ án giúp em hiểu thêm mạng máy tính, cung cấp thêm kiến thức xây dựng mơ hình, cách thiết kế triển khai hệ thống mạng, cách dây dẫn, kết nối thiết bị mạng lựa chọn mơ hình mạng phù hợp với thực tế triển khai Lựa chọn mơ hình mạng tối ưu sở khả thực tiễn giúp cho việc quản trị hệ thống mạng đơn giản hiệu Mặc dù cố gắng chắn đề tài em khơng tránh khỏi thiếu sót, em mong nhận nhận xét bảo thày, để có thêm kinh nghiệm trường Sinh viên: Trương Đức Phúc_CT1001 - 67 - Khoa công nghệ thông tin – Trường ĐHDLHP Đồ án tốt nghiệp TÀI LIỆU THAM KHẢO I Sách tham khảo Giáo trình thiết kế xây dựng mạng LAN WAN, Trung tâm khoa học tự nhiên công nghệ quốc gia – Viện công nghệ thông tin T háng 01 năm 2004 Hệ bảo mật Windows NT khai thác ứng, Nhóm Ngọc Anh Thư Press, NXB giáo dục 2004 Hỗ trợ kỹ thuật Windows NT, ban biên dich VN- GUIDE, NXB thống kê II Website www.quantrimang.com www.manguon.com www.nhatnghe.com http://www.khkt.net Sinh viên: Trương Đức Phúc_CT1001 - 68 - ... em quan tâm, hoc hỏi tìm hiểu suốt thời gian qua Và lý em chọn đề tài: Thiết lập mạng LAN sử dụng hệ điều hành Windows Server 2003 đánh giá, đề xuất phương án bảo đảm an toàn mạng Trong đồ án em... thiệu hệ điều hành Windows Server 2003 37 3.1.2 Các phiên họ hệ điều hành Windows Server 2003 37 3.1.3 Những điểm họ hệ điều hành Windows Server 2003 .37 3.2 Các dịch vụ mạng hệ điều hành. .. trình bày vấn đề sau: - Tìm hiểu mạng máy tính - Tìm hiểu bảo mật, an tồn mạng - Tìm hiểu hệ điều hành Windows Server 2003 - Tìm hiểu thiết kế mạng - Đề xuất giải pháp bảo mật mạng Sinh viên:

Ngày đăng: 16/03/2019, 19:41

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan