Thiết kế mạng an toàn cho trường

Chia sẻ: Hai Hoang | Ngày: | Loại File: PDF | Số trang:11

0
110
lượt xem
55
download

Thiết kế mạng an toàn cho trường

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Qua quá trình khảo sát hiện trạng hệ thống mạng của Trường Cao đẳng cơ khí luyện kim, cho thấy đây là một hệ thống còn hết sức đơn giản, có thể được mô hình hóa như sau:

Chủ đề:
Lưu

Nội dung Text: Thiết kế mạng an toàn cho trường

  1. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên CHƯƠNG 4 THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp. 1. Hiện trạng hệ thống Qua quá trình khảo sát hiện trạng hệ thống mạng của Trường Cao đẳng cơ khí luyện kim, cho thấy đây là một hệ thống còn hết sức đơn giản, có thể được mô hình hóa như sau: * Đường truyền của hệ thống + Đường truyền Internet: hệ thống hiện tại chỉ có duy nhất một đường truyền Internet ADSL tốc độ 2Mbps của VNPT + Mạng nội bộ: Hệ thống mạng LAN nối các tòa nhà, các phòng ban với nhau sử dụng cáp UTP 4 pair
  2. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên * Các dịch vụ cung cấp: Hiện tại hệ thống mạng của trường chỉ dùng để trao đổi thông tin giữa các máy trong LAN và truy cập khai thác Internet, chưa cung cấp bất kỳ dịch vụ nào khác. * Các thiết bị chính  Switch Catalyst 2950  Switch planet FNSW – 1601  Modem ADSL  Các máy trạm tại các văn phòng 2. Đánh giá hiệu năng và mức an toàn của hệ thống * Hiệu năng của hệ thống Hiện tại hệ thống chỉ sử dụng các Hub để phân chia lưu lượng mạng, các thiết bị này có nhược điểm là không phân chia các miền đụng độ. Do đó khi một máy gửi tín hiệu đi thì tất cả các máy khác trong cùng miền đụng độ sẽ nhận được lưu lượng đó. Vì vậy một lượng lớn lưu lượng chạy trong hệ thống mạng là lưu lượng vô ích. Nó làm giảm đáng kể hiệu năng của hệ thống mạng. Trong tương lai nếu mở rộng hệ thống mạng hơn nữa thì nguy cơ hệ thống bị tê liệt có thể xảy ra. Ngoài ra hệ thống mới chỉ dùng một modem ADSL cho việc truy cập mạng. Điều này chưa thực sự làm cho hệ thống mạng ổn định - không bị rớt mạng. * Độ an toàn của hệ thống  Nguy cơ bị mất mát dữ liệu Hiện nay, đối với hệ thống mạng hiện tại, nguy cơ bị mất mát dữ liệu là rất lớn. Nguy cơ này có thể đến từ hai hướng: bên ngoài Internet và ngay nội bộ hệ thống mạng của trường.  Nguy cơ mất mát thông tin từ ngoài Internet: Mạng của trường đã kết nối đến Internet, nhưng không có một thiết bị và chương trình bảo mật nào bảo vệ hệ thống khỏi các nguy cơ xâm nhập từ bên ngoài vào. Những attacker có thể sử dụng virus dưới dạng trojan để truy cập vào hệ thống ăn cắp hoặc phá hoại thông tin.
  3. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên  Nguy cơ mất mát thông tin từ bên trong hệ thống: Với các switch hiện tại, những người trong hệ thống mạng có thể dễ dàng dùng các chương trình nghe lén (sniffer như Cain & Able) để lấy cắp các thông tin được truyền đi trong mạng (user name và password).  Bị tấn công Các hệ thống có kết nối Internet thường hay bị tấn công bởi các tin tặc. Nguy cơ tấn công cũng có thể xảy ra từ chính bên trong mạng, nếu một máy tính trong mạng bị nhiễm virus có khả năng tấn công mạng hoặc chạy các chương trình tấn công mạng thì có thể làm cho hệ thống mạng hoàn toàn tê liệt, không thể truy cập được Internet. Hoặc việc tấn công do chính một thành viên nội bộ hệ thống. 3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường Qua phân tích cho thấy hệ thống mạng hiện tại của Trường Cao đẳng cơ khí luyện kim có hiệu năng thấp và có rất nhiều nguy cơ về an ninh mạng. Ngoài ra nhà trường muốn xây dựng thêm các server để cung cấp dịch vụ mail server và web server cho toàn bộ nhân viên của trường. Lãnh đạo nhà trường đã quyết định nâng cấp toàn bộ hệ thống mạng nhằm khắc phục các vấn đề về hiệu năng hệ thống, độ an toàn của hệ thống và đảm bảo cung cấp các dịch vụ đã được đề ra.
  4. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall. 1. Sơ đồ thiết kế hệ thống mới. Xây dựng các web server, mail server, sử dụng thêm 1 đường ADSL cho việc truy cập Internet, 1 đường lease line dành riêng cho các server, thay thế các hub bằng các Switch 2960 để nâng cao hiệu năng của hệ thống. Đặc biệt là sử dụng thiết bị PIX firewall để nâng cao mức độ an toàn cho hệ thống mạng. Mô hình mạng của trường sẽ được thiết kế như sau: Hệ thống mạng theo mô hình trên có các đặc điểm như sau: * Xây dựng các Server triển khai các dịch vụ web server và mail server đáp ứng yêu cầu đề ra ban đầu. * Sử dụng thêm một đường ADSL 2Mbps cho việc truy cập Internet của người dùng. Như vậy hệ thống bây giờ có 2 đường ADSL chạy qua một thiết bị cân bằng tải Draytek V2930. Điều này sẽ cải thiện lớn tốc độ truy cập Internet của người dùng, đặc biệt tăng tính ổn định của mạng Internet, không xảy ra tình trạng bị rớt mạng.
  5. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên * Sử dụng một đường lease line 384Kbps dành riêng cho các Server đảm bảo đường truyền cho các Server được ổn định. * Sử dụng switch Cisco để chia mạng LAN ảo - VLAN: Các Hub nối các phòng ban sẽ được thay thế bằng switch với khả năng chia VLAN, các phòng ban sẽ được chia vào các VLAN. Mục đích là hạn chế sự broadcast thông tin lên toàn mạng làm tắc nghẽn đường truyền, nâng cao hiệu suất mạng, mặt khác giúp dễ dàng quản lý, áp dụng được các chính sách khác nhau đối với từng phòng ban cũng như nhanh chóng khắc phục các sự cố khi xảy ra. * Sử dụng Firewall cứng (Cisco PIX Firewall) để bảo vệ hệ thống server và mạng nội bộ của Trường, Firewall sẽ chia hệ thống mạng ra làm 3 vùng có mức độ ưu tiên bảo mật khác nhau  Outside: đây là vùng Internet, có mức độ ưu tiên bảo mật thấp nhất  DMZ: vùng đặt các máy chủ, các máy chủ có khả năng truy cập ra vùng Outside  Inside: mạng nội bộ của khoa, đây là vùng có mức độ ưu tiên bảo vệ cao nhất, các máy trong vùng inside có khả năng truy cập ra outside và DMZ. Ước tính giá thành cho việc nâng cấp toàn bộ hệ thống: Hệ thống mạng sau khi xây dựng vẫn giữ lại các máy trạm, 1 switch 2960, hệ thống cáp UTP và một modem ADSL Hệ thống mới cần mua thêm các thiết bị mới với giá cả và chi phí cấu hình ước tính như sau:(giá cả chỉ mang tính chất tham khảo tại thời điểm khảo sát) + 2 CISCO1841 Modular Router w/2xFE, 2 WAN slots, 32 FL/128 DR giá 950 x 2 = 1900 USD + Thiết bị cân bằng tải Vigor 2910 giá 95 USD + Modem ADSL giá 20 USD + PIX 515 giá 980 USD + Modem lease line SGHDSL DATACRAFT 560 NTU giá 180 USD + 4 Switch 2960 giá 600 x 4 = 2400 USD + 3 máy IBM SERVER x3200 - M2 giá 850 USD x 3 = 2550 USD + Chi phí thiết kế website, cấu hình server giá 800 USD + Chi phí cấu hình các thiết bị cisco: pix, switch, router giá 750 USD
  6. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên Như vậy tổng chi phí ước tính nâng cấp toàn bộ hệ thống vào khoảng 9.675 USD Ngoài ra trường còn phải chi trả tiền thuê đường ADSL và lease line hàng tháng. 2. Cấp phát địa chỉ Sau khi chia mỗi văn phòng là một VLAN, có sơ đồ VLAN như sau: .3 .4 .5 192.168.128.0 /24 .2 118.71.120.10 Fa0/0 118.71.120.11 .1 Gán VLAN VLAN_ID Tên VLAN Mô tả 1 VLAN 1 Không dùng 2 VLAN 2 VLAN Tài chính - Kế toán 3 VLAN 3 VLAN Công đoàn 4 VLAN 4 VLAN Quản lý sinh viên 5 VLAN 5 VLAN Quan hệ QT 6 VLAN 6 VLAN Văn phòng khoa 7 VLAN 7 VLAN Đào tạo 99 VLAN 99 VLAN quản lý
  7. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên Gán địa chỉ IP * PIX firewall Interface Name Security IP Address Subnet Level Ethernet 0 Inside 100 192.168.128.1 255.255.255.248 Ethernet 1 DMZ 50 192.168.128.2 255.255.255.252 Ethernet 2 Outside 0 118.71.120.10 255.255.255.0 * Router Cisco 1841 Interface IP Address Subnet Mô tả Nối với PIX Fa0/0 118.71.120.11 255.255.255.0 Firewall Địa chỉ này do Nối với lease Fa0/1 ISP cấp line * Các server STT Dịch vụ Inside Local IP Email, 1 192.168.128.3 DNS 2 Web 192.168.128.4 ISA 192.168.128.5 và 3 Server 192.168.128.6 * Các host inside VLAN Tên Subnet Dải địa chỉ IP ID VLAN mask 2 VLAN2 192.168.2.1 – 192.168.2.254 /24 3 VLAN3 192.168.3.1 – 192.168.3.254 /24 4 VLAN4 192.168.4.1 – 192.168.4.254 /24 5 VLAN5 192.168.5.1 – 192.168.5.254 /24 6 VLAN6 192.168.6.1 – 192.168.6.254 /24 7 VLAN7 192.168.7.1 – 192.168.7.254 /24
  8. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên * Cấu hình địa chỉ IP các máy trạm  Địa chỉ IP: 192.168.x.y  Subnet mask: /24  Gateway: 192.168.x.1  DNS: 192.168.128.3 Với x là số VLAN tương ứng, y là số thứ tự máy trong VLAN đó (y chạy từ 1-254) 3. Cấu hình mô phỏng hệ thống 3.1. Các phần mềm được sử dụng cho cấu hình mô phỏng 3.1.1. GNS3 Phần mềm GNS3 – một phần mềm giả lập mạng có giao diện dạng đồ họa. GNS3 là một phần mềm giả lập mạng dạng đồ họa, nó cho phép mô phỏng với các mạng phức tạp, nó sử dụng hệ điều hành mạng Cisco. GNS3 cho phép chúng ta chạy một Cisco IOS trong một môi trường ảo trên máy tính cá nhân. GNS3 chạy các IOS thật của các thiết bị như PIX, router…trong đồ án này sử dụng các IOS pix722_2.bin và C2691-IS.BIN. Vì các phần mềm này hỗ trợ IOS thật nên rất tốn CPU của máy tính. Do đó sử dụng thêm phần mềm BES 1.2.2 để hạn chế CPU. 3.1.2. VMWare Workstation GNS3 không đưa ra thiết bị PC mà đưa ra một thành phần gọi là cloud dùng để kết nối đến PC của một hãng thứ 3 như vpcs, VMWare…Trong đồ án này sử
  9. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên dụng phần mềm VMWare để mô phỏng cho các máy tính cá nhân của mạng nội bộ, user bên ngoài Internet và Server thuộc vùng DMZ. * Chức năng các thành phần trong mô hình + Web server: Là một máy VMWare cài hệ điều hành Windows Server 2003. Trên máy vmware này được cấu hình dịch vụ web server để triển khai public website http://www.cdluyenkim.com. Các user thuộc mạng nội bộ của trường (inside zone) và các user bên ngoài Internet đều có thể truy cập được website này. Ngoài ra server này còn triển khai DNS để ánh xạ tên website sang địa chỉ IP của web server. + Host inside: Là một máy VMWare cài đặt hệ điều hành Windows XP được cấu hình địa chỉ gateway là địa chỉ e0 của PIX firewall, DNS trỏ đến địa chỉ IP của web server + Host outside: Là một máy VMWare cài đặt hệ điều hành Windows server 2003, dùng để kiểm tra kết nối đến web sever. + PIX Firewall: Được chạy IOS thật pix722_2.bin 3.1.3. Packet tracer 5.0 Các host thuộc vùng inside sử dụng phần mềm packet tracer để chia thành các VLAN khác nhau và cấu hình định tuyến giữa các VLAN đó.
  10. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên 4. Kiểm tra cấu hình Các host inside được chia thành các VLAN và có thể truyền thông được với nhau Một user bên ngoài Internet hoặc user bên trong mạng nội bộ của trường đều có thể truy cập được website đặt trên máy chủ thuộc vùng DMZ. Một user thuộc vùng inside hoặc vùng dmz có thể đi ra bên ngoài Internet
  11. Trân Giáo_Khoa CNTT_ĐH Thái Nguyên Một user thuộc vùng inside có thể truy cập vào vùng DMZ Một user bên ngoài Internet không thể truy cập vào được bên trong vùng inside hoặc DMZ Như vậy sau khi sử dụng PIX, các user bên trong mạng nội bộ có thể truy cập vào vùng DMZ và truy cập ra ngoài Internet. Ngược lại bên ngoài Internet không thể truy cập vào mạng nội bộ hoặc khu vực chứa server của trường.
Đồng bộ tài khoản