BÀI TẬP THIẾT KẾ MẠNG MÁY TÍNH AN TOÀN

Gv: Cao Minh Tuấn

Email: hoatuyetkma@gmail.com

I. PHẦN I – KHẢO SÁT, PHÂN TÍCH VÀ XÁC ĐỊNH HỆ THỐNG

MẠNG HIỆN CÓ
1.1 Mục tiêu và yêu cầu:

Mục tiêu: Thiết kế xây dựng hệ thống mạng máy tính an toàn dựa trên quy
trình đã học.

Yêu cầu: Xây dựng mạng máy tính cho Học viện Kỹ thuật mật mã theo quy
trình đã học. Việc xây dựng phải thể hiện được tất cả các bước trong quy trình.
Thông tin về Học viện như sau:

Học viện gồm: 2 cơ sở: Học viện tại đường Chiến Thắng - Hà Nội (cơ sở 1),
Trung tâm nghiên cứu tại Nguyễn Chí Thanh – Hà Nội (cơ sở 2), và cơ sở học viện
phía Nam tại TP Hồ Chí Minh (cơ sở 3)
Cơ sở 1: Gồm có các phòng ban tại học viện: hành chính, đào tạo, thư viện,
các khoa, có các phòng thực hành cho sinh viên, khu vực DMZ (hiện chưa triển
khai dịch vụ gì)
Cơ sở 2: gồm các phòng nghiên cứu, mạng văn phòng.
Cơ sở 3: gồm các phòng thực hành, mạng văn phòng của cơ sở.
Các cơ sở của Học viện chưa kết nối với nhau thành một mạng.

1
 Mô hình khảo sát mạng máy tính tại Học viện

1.2 Phân tích và xác định các yêu cầu an toàn.

1.2.1. Xác định các tài sản trên mạng

Tài sản trên mạng bao gồm:
 Các thiết bị phần cứng như switch, router, dây cáp, các máy chủ máy
trạm, hạ tầng mạng nói chung.
 Các phần mềm, các tệp tin, các dữ liệu của Học viện được lưu trữ trên
các máy chủ.
1.2.2. Các loại rủi ro:
Các rủi ro có thể ảnh hưởng tới hệ thống mạng

2
  Các tấn công vào khu vực DMZ khi mà các vùng đó chạy dịch vụ: web,
mail, DNS.
 Các tấn công tới người dùng (Social engineering) trong mạng.
 Tấn công vào mạng LAN của Học viện:
 Tấn công nghe trộm trên đường truyền
 Tấn công vào từ chối dịch vụ vào hệ thống mạng văn phòng của các
phòng, ban.
 Tấn công bằng mã độc vào hệ thống mạng thông qua người dung hoặc
các phương tiện khác
 Mạng chưa có hệ thống dự phòng, hệ thống cân bằng tải, vv.. do vậy tính
sẵn sàng của hệ thống còn nhiều điểm hạn chế.
 Xâm nhập vật lý tới các thiết bị cụ thể của hệ thống,
 Thiên tai, lũ lụt vv..
 Vv…
1.2.3. Xác định các yêu cầu
Tính sẵn sàng
 Hệ thống mạng văn phòng của Học viện yêu cầu sẵn sàng trong suốt
giờ hành chính từ 7h-19h hàng ngày. (Nối các phòng ban ở các cơ sở
với site trung tâm)
 Hệ thống DMZ cung cấp các dịch vụ cho sinh viên cần tính sẵn sàng
liên tục để sinh viên có thể truy câp, download, upload các tài liệu,
phục vụ cho việc học tập
 Các đường nối từ switch lớp Access lên switch lớp Distribute và
Core đều có đường dự phòng.
 Đối với đường Internet có thêm đường dự phòng
Tính bí mật:
 Tiến hành phân loại các loại tệp tin, thư mục bằng việc gắn nhãn cho
chúng, từ đó phân quyền truy cập và mã hóa các file dữ liệu tùy theo
nhãn của chúng

3
  Trong các phần mềm nếu như sử dụng mã hóa thì phải phải sử dụng
mã hóa AES chế độ CBC, dùng Diffie-hellman cho tra đổi khóa,
RSA cho việc ký số.
Tính toàn vẹn:
 Tiến hành việc ký số (và mã) tới các công văn, các file dữ liệu nhạy
cảm để đảm bảo tính toàn vẹn của chúng khi được lấy gửi đi trên
đường truyền.
 Sử dụng thuật toán SHA-1trong các chương trình cần đảm bảo tính
toàn vẹn của dữ liệu
Chính sách an toàn và các thành phần cần thiết khác:
 Sử dụng firewall: Thực thi các chính sách an toàn chung của toàn hệ
thống.
 Sử dụng hệ thống phòng chống phát hiện xâm nhập để phát hiện các
lưu thông bất thường trên mạng, từ đó cảnh báo tới người quản trị và
có những biện pháp ngăn chặn nhưng lưu thông bất thường này.
 Chia VLAN theo các phòng, để tiện lợi trong việc phân quyền, trao
đổi dữ liệu, tránh truy cập thông tin trái phép giữa các phòng ban.
 Ban hành các chính sách truy cập, chính sách quy định trách nhiệm,
tới các nhân viên, sinh viên, quản trị trong hệ thống học viện.
 Xây dựng chính sách đảm bảo an toàn cho các thành phần sau:
o Máy chủ dịch vụ: Web, mail, ftp
o Máy chủ nội bộ
o Máy tính cá nhân trong mạng nội bộ
o Chính sách chung về chia sẻ và truy cập dữ liệu cho nhân viên
các phòng ban học viện.
 Xây dựng hệ thống giám sát an ninh mạng để giám sát toàn bộ hoạt
động của hệ thống mạng Học viện.

4
 II. PHẦN II – CÁC NHIỆM VỤ CẦN THỰC HIỆN
Dựa trên các thông tin ở phần I, sinh viên thực hiện các nhiệm vụ thiết kế
và cài đặt sau đây:

TT NỘI DUNG THỰC HIỆN NHÓM SINH VIÊN Ngà

y
báo
cáo
1 Khảo sát các thông tin về mạng
 Đo và đánh giá lưu lượng dữ liệu trao đổi
trên máy chủ (trên windows sử dụng
Calasoft, trên linux sử dụng cacti,iftop,
vv..)
 Quét và đánh giá các điểm yếu trên các
máy chủ, máy tính của mạng sử dụng
Nmap và OpenVas)
 Sinh viên phải cài đặt các công cụ trên lên
và sử dụng trên máy tính khi báo cáo
2 Tìm hiểu về vấn đề lựa chọn giao thức cho hệ
thống mạng thiết kế
 Giao thức chuyển mạch trong thiết kế
mạng (Swiching Protocol)
 Giao thức định tuyến trong thiết kế
mạng (Routing Protocol)
 Đề xuất giao thức sử dụng cho hệ thống
mạng Học viện

3 Xây dựng chính sách an toàn cho máy chủ

web apache chạy trên Linux
 Cài đặt Apache trên linux
 Xây dựng các chính sách an toàn cho
máy chủ web và thực thi các chính sách đó
qua việc cấu hình, sử dụng tường lửa
(modsecurity).

4 Xây dựng chính sách an toàn cho máy chủ Lê Đình Hùng
mail chạy trên Linux Trần Hữu Long

5
  Cài đặt Postfix trên linux Nguyễn Trường Sơn
 Xây dựng các chính sách an toàn cho máy
chủ mail và thực thi các chính sách đó
qua việc cấu hình, sử dụng tường lửa.
 Demo chạy hệ thống (gửi và nhận thư),
chính sách an toàn áp dụng trên hệ thống.

5 Xây dựng chính sách an toàn cho máy chủ

web IIS chạy trên windows server
 Cài đặt IIS trên Windows
 Xây dựng các chính sách an toàn cho máy
chủ web và thực thi các chính sách đó qua
việc cấu hình, sử dụng tường lửa.

6 Xây dựng chính sách an toàn cho máy chủ

mail chạy trên Windows Server
 Cài đặt Microsoft Exchange trên
Windows Server
 Xây dựng các chính sách an toàn cho máy
chủ web và thực thi các chính sách đó qua
việc cấu hình, sử dụng tường lửa.
 Demo chạy hệ thống (gửi và nhận thư),
chính sách an toàn áp dụng trên hệ thống.
7 Xây dựng và thực thi chính sách an toàn trên
firewall (sử dụng Iptables trên Linux) của
phân vùng mạng cơ sở 1 theo yêu cầu như
sau:
 Cấm tất cả các truy cập trái phép vào
tường lửa.
 Cho phép những người sử dụng trong
mạng LAN và ngoài Internet được truy
cập tới WebServer qua giao thức HTTP
(TCP/80) và HTTPS (TCP/443).
 Các Email gửi đến hoặc gửi đi đều phải
qua MailServer qua giao thức SMTP
(TCP/25) và POP3 (TCP/110).
 Các máy trong vùng mạng LAN 1 muốn
truy cập ra ngoài Internet phải qua
ProxyServer qua giao thức (TCP/80) và
6
 (TCP/8080).
 Các truy cập khác đều bị cấm.
8 Xây dựng và thực thi chính sách an toàn trên
firewall (sử dụng ISA Firewall trên Windows)
của phân vùng mạng cơ sở 1 theo yêu cầu như
sau:
 Cấm tất cả các truy cập trái phép vào
tường lửa.
 Cho phép những người sử dụng trong
mạng LAN và ngoài Internet được truy
cập tới WebServer qua giao thức HTTP
(TCP/80) và HTTPS (TCP/443).
 Các Email gửi đến hoặc gửi đi đều phải
qua MailServer qua giao thức SMTP
(TCP/25) và POP3 (TCP/110).
 Các máy trong vùng mạng LAN 1 muốn
truy cập ra ngoài Internet phải qua
ProxyServer qua giao thức (TCP/80) và
(TCP/8080).
 Các truy cập khác đều bị cấm.

9 Xây dựng hệ thống phát hiện và chống xâm Nguyễn Văn Nhân
nhập trái phép cho mạng cơ sở 1, dựa trên Bùi Công Khánh
Suricata Nguyễn Văn Tâm
 Kiến trúc của Suricata Đỗ Văn Thành Đạt
 Mô hình cài đặt, triển khai
 Các luật sử dụng để phát hiện và chống
xâm nhập trái phép.

10 Xây dựng chính sách, giải pháp phòng chống

mã độc cho hệ thống mạng:
 Mô hình hệ thống phòng chống mã độc
 Các chính sách an toàn phải thực hiện để
phòng chống mã độc
 Các yếu tố về trang thiết bị phần mềm,
dịch vụ, con người trong phòng chống mã
độc
11 Chia các phân đoạn mạng trong LAN 1 thành Võ Xuân Khang
các VLAN Phan Văn Sự
7
  Người dùng của VLAN nào chỉ được Nguyễn An Trường Thịnh
truy cập và dữ liệu các máy tính trong Vũ Lộc Dương
VLAN đó
 Mỗi VLAN một phân đoạn địa chỉ IP
riêng
 Sử dụng Switch để phân mạng VLAN
12 Tìm hiểu các giải pháp đảm bảo an toàn cho Hà Ngọc Khuê
mạng không dây và ứng dụng vào đảm bảo an Đậu Tuấn Sanh
toàn cho mạng không dây thuộc cơ sở 1 Hoàng Quốc Cường
 Trình bày các giải pháp đảm bảo an toàn Diệp Nguyễn Minh Minh
cho mạng không dây
 Cách thức cài đặt áp dụng cho các giải
pháp được lựa chọn cho cơ sở 1
 Demo giải pháp lựa chọn

13 Xây dựng mạng VPN cho hệ thống mạng Hồ Thiên Kim,

 Mạng VPN xây dựng theo mô hình Client- Nguyễn Hải Cường,
to-site Nguyễn Huỳnh Yên Như
 Sử dụng phần mềm OpenVPN Lê Đức Nhớ
 Sử dụng mã hóa AES-CBC
 Xây dựng chính sách an toàn cho VPN và
được áp dụng cho hệ thống VPN đã xây
dựng

14 Nghiên cứu về cơ chế cân bằng tải, đề xuất Nguyễn Minh Khôi
mô hình cân bằng tải cho hệ thống mạng tại Trình Kim Chi
cơ sở 1 –HVKTMM Nguyễn Văn Hiếu
 Ứng dụng cân bằng tải Võ Văn Vân
 Các cơ chế cân bằng tải
 Các mô hình sử dụng
 Đề xuất cho hệ thống mạng tại cơ sở 1

15 Xây dựng hệ thống giám sát an ninh mạng Nguyễn Thành Công
cho hệ thống mạng trên dựa trên phần mềm Võ Văn Pho
mã nguồn mở OSSIM Lê Nguyễn Trúc Phương

8
  Tìm hiểu về OSSIM Hoàng Minh Bảo H
 Đề xuất xây dựng hệ thống giám sát an
ninh mạng cho toàn bộ hệ thống mạng
của Học viện
 Minh họa các kết quả đạt được

16 Tìm hiểu các phương pháp dự phòng, nhằm

nâng cao tính sẵn sàng của hệ thống
 Ý nghĩa của việc dự phòng
 Các phương pháp dự phòng
 Đề xuất phương pháp dự phòng nhằm
nâng cao tính sẵn sàng cho mạng cơ sở 1
17 Tìm hiểu về quy trình nâng cấp mạng
 Việc cần thiết phải nâng cấp mạng
 Quy trình thực hiện nâng cấp mạng
 Những vấn đề chú ý khi nâng cấp mạng
 Đề xuất quy trình nâng cấp cho hệ thống
mạng Học viện

18 Xây dựng quy trình ứng phó sự cố cho hệ Đỗ Thanh Phát

thống mạng Trần Thanh Thiện
 Tìm hiểu về quy trình phục hồi và khắc Nguyễn Thanh Thảo
phục sau sự cố Lương Thị Xuân
 Xây dựng quy trình ứng phó sự cố cho hệ
thống mạng Học viện

19 Tìm hiểu các nguy cơ gây mất an toàn khi Phạm Văn Đạt
người quản trị truy cập mạng từ xa. Triển khai Nguyễn Anh Huy
công nghệ bảo vệ an toàn truy cập từ xa. Nguyễn Thị Mai Huyên
 Kẻ tấn công chặn bắt, phân tích thông tin Trần Tấn Lực
 Triển khai SSH
 Triển khai VPN: IPsec, L2Tp, SSL
20 Tìm hiểu, triển khai công nghệ tự động cập Phạm Thị Thương Mến
nhật bản vá cho máy trạm và máy chủ chạy hệ Trần Võ Anh Thư
điều hành Microsoft Windows: Windows Thiều Thùy Trang Nữ
Server, Win 7, Win 8… Nguyễn Văn Minh Hoàng

9
 Triển khai máy chủ WSUS tự động cập
nhật các bản vá lấy về từ kho của
Microsoft.
 Xây dựng chính sách lập lịch cập nhật vản
vá từ máy chủ và máy trạm truy cập tới
WSUS

Chú ý:
 Chia nhóm 3 sinh viên/1 nhóm, làm một chủ đề.
 Mỗi chủ đề báo cáo trong 1tiết học (45 phút) bao gồm cả trình
bày và hỏi đáp.
 In báo cáo và nộp lại cho giáo viên.

10