1. THU THẬP YÊU CẦU KHÁCH HÀNG
Trong việc khảo sát thực địa cần lưu ý :
• Cấu trúc địa lý: Cần có bảng vẽ của địa điểm cần
thiết kế mạng có đầy đủ thông tin cần thiết: các kích
thước của phòng,
• Các yêu cầu:
– Số máy mỗi phòng
– Tốc độ truyền dữ liệu
– Truy cập internet
– Trao đổi thông tin trong mạng nội bộ: email,
truyền dữ liệu,
– Chia sẽ tài nguyên: máy in, file,
– Các yêu cầu khác:Access Point,
• Những thuận lợi, khó khăn trong khi triển khai
mạng theo yêu cầu:
– Về khoảng cách các máy
– Về việc chọn thiết bị và giá thành
– Bản quyền phần mềm và giá cả
– Về bảo mật
55 trang |
Chia sẻ: thanhle95 | Lượt xem: 887 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Bài giảng Thiết kế hệ thống mạng LAN - Chương 4: Quy trình thiết kế mạng LAN - Lương Minh Huấn, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Trường Cao Đẳng Kỹ Thuật Cao Thắng
CHƯƠNG 4: QUY TRÌNH THIẾT KẾ
MẠNG LAN
GV: LƯƠNG MINH HUẤN
NỘI DUNG
Thiết kế mạng LAN
Tổng quan an ninh mạng
I. THIẾT KẾ MẠNG LAN
Dẫn nhập
Thiết kế mạng LAN
I.1 DẪN NHẬP
Ngày nay mạng máy tính đã trở thành một nhu cầu đối với mọi
nhân, mọi tổ chức và các công ty. Do đó, việc xây dựng nên
thống mạng là một nhu cầu cấp thiết
Tuy nhiên, khai thác một hệ thống mạng một cách hiệu quả để
trợ cho công tác nghiệp vụ của các cơ quan xí nghiệp thì còn nhiều
vấn đề cần bàn luận
I.1 DẪN NHẬP
Có 2 vấn đề đặt ra là :
Lãng phí trong đầu tư
Mạng không đáp ứng đủ cho nhu cầu sử dụng.
I.1 DẪN NHẬP
Có thể tránh được điều này nếu ta có kế hoạch xây dựng và
thác mạng một cách rõ ràng. Thực tế, tiến trình xây dựng mạng
cũng trải qua các giai đoạn như việc xây dựng và phát triển
phần mềm. Nó cũng gồm các giai đoạn như: Thu thập yêu cầu
khách hàng (công ty, xí nghiệp có yêu cầu xây dựng mạng), Phân
tích yêu cầu, Thiết kế giải pháp mạng, Cài đặt mạng, Kiểm thử
cuối cùng là Bảo trì mạng.
I.2 THIẾT KẾ MẠNG
Bao gồm các bước sau :
Thu thập yêu cầu khách hàng
Phân tích yêu cầu khách hàng
Thiết kế giải pháp
Cài đặt mạng
Kiểm thử
Bảo trì mạng
1. THU THẬP YÊU CẦU KHÁCH HÀNG
Mục đích của giai đoạn này là nhằm xác định mong muốn của khách
hàng trên mạng mà chúng ta sắp xây dựng. Những câu hỏi cần được
lời trong giai đoạn này là:
1. THU THẬP YÊU CẦU KHÁCH HÀNG
Bạn thiết lập mạng để làm gì? sử dụng nó cho mục đích gì?
Các máy tính nào sẽ được nối mạng?
Những người nào sẽ được sử dụng mạng, mức độ khai thác
dụng mạng của từng người / nhóm người ra sao?
Trong vòng 3-5 năm tới bạn có nối thêm máy tính vào mạng
không, nếu có ở đâu, số lượng bao nhiêu ?
1. THU THẬP YÊU CẦU KHÁCH HÀNG
Phương pháp thực hiện của giai đoạn này là phải phỏng vấn khách
hàng, nhân viên các phòng mạng có máy tính sẽ nối mạng
Hạn chế đặt các câu hỏi thuần túy chuyên môn
Những câu trả lời thu được thường rất lộn xộn, không có cấu trúc.
Do đó, người đặt câu hỏi phải có kĩ năng đặt câu hỏi để thu được
thông tin mình cần
1. THU THẬP YÊU CẦU KHÁCH HÀNG
Một công việc cũng hết sức quan trọng trong giai đoạn này
“Quan sát thực địa” để xác định những nơi mạng sẽ đi qua, khoảng
cách xa nhất giữa hai máy tính trong mạng, dự kiến đường đi
dây mạng, quan sát hiện trạng công trình kiến trúc nơi mạng sẽ
qua
Thực địa đóng vai trò quan trọng trong việc chọn công nghệ
ảnh hưởng lớn đến chi phí mạng
1. THU THẬP YÊU CẦU KHÁCH HÀNG
Chú ý đến ràng buộc về mặt thẩm mỹ cho các công trình kiến
khi chúng ta triển khai đường dây mạng bên trong nó.
Giải pháp để nối kết mạng cho 2 tòa nhà tách rời nhau bằng
khoảng không phải đặc biệt lưu ý.
Sau khi khảo sát thực địa, cần vẽ lại thực địa hoặc yêu cầu khách
hàng cung cấp cho chúng ta sơ đồ thiết kế của công trình kiến
mà mạng đi qua.
1. THU THẬP YÊU CẦU KHÁCH HÀNG
Trong việc khảo sát thực địa cần lưu ý :
• Cấu trúc địa lý: Cần có bảng vẽ của địa điểm cần
thiết kế mạng có đầy đủ thông tin cần thiết: các kích
thước của phòng,
• Các yêu cầu:
– Số máy mỗi phòng
– Tốc độ truyền dữ liệu
– Truy cập internet
– Trao đổi thông tin trong mạng nội bộ: email,
truyền dữ liệu,
– Chia sẽ tài nguyên: máy in, file,
– Các yêu cầu khác:Access Point,
• Những thuận lợi, khó khăn trong khi triển khai
mạng theo yêu cầu:
– Về khoảng cách các máy
– Về việc chọn thiết bị và giá thành
– Bản quyền phần mềm và giá cả
– Về bảo mật
1. THU THẬP YÊU CẦU KHÁCH HÀNG
Trong quá trình phỏng vấn và khảo sát thực địa, đồng thời ta cũng
cần tìm hiểu yêu cầu trao đổi thông tin giữa các phòng ban,
phận trong cơ quan khách hàng, mức độ thường xuyên và lượng
thông tin trao đổi. Điều này giúp ích ta trong việc chọn băng thông
cần thiết cho các nhánh mạng sau này
2. PHÂN TÍCH YÊU CẦU
Khi đã có được yêu cầu của khách hàng, bước kế tiếp là ta đi phân
tích yêu cầu để xây dựng bảng “Đặc tả yêu cầu hệ thống mạng”,
trong đó xác định rõ những vấn đề sau:
2. PHÂN TÍCH YÊU CẦU
Những dịch vụ mạng nào cần phải có trên mạng ? (Dịch vụ chia sẻ
tập tin, chia sẻ máy in, Dịch vụ web, Dịch vụ thư điện tử, Truy cập
Internet hay không?, ...)
Mô hình mạng là gì? (Workgoup hay Client / Server? ...)
Mức độ yêu cầu an toàn mạng.
Ràng buộc về băng thông tối thiểu trên mạng.
3. THIẾT KẾ GIẢI PHÁP
Bước kế tiếp trong tiến trình xây dựng mạng là thiết kế giải pháp
thỏa mãn những yêu cầu đặt ra trong bảng Đặc tả yêu cầu hệ thống
mạng. Việc chọn lựa giải pháp cho một hệ thống mạng phụ thuộc
vào nhiều yếu tố, có thể liệt kê như sau:
3. THIẾT KẾ GIẢI PHÁP
Kinh phí dành cho hệ thống mạng.
Công nghệ phổ biến trên thị trường.
Thói quen về công nghệ của khách hàng.
Yêu cầu về tính ổn định và băng thông của hệ thống mạng.
Ràng buộc về pháp lý.
3. THIẾT KẾ GIẢI PHÁP
Tùy thuộc vào mỗi khách hàng cụ thể mà thứ tự ưu tiên, sự
phối của các yếu tố sẽ khác nhau dẫn đến giải pháp thiết kế sẽ
nhau. Tuy nhiên các công việc mà giai đoạn thiết kế phải làm
giống nhau. Chúng được mô tả như sau:
THIẾT KẾ SƠ ĐỒ MẠNG Ở MỨC LUẬN LÝ
Thiết kế sơ đồ mạng ở mức luận lý liên quan đến việc chọn lựa
hình mạng, giao thức mạng và thiết đặt các cấu hình cho các thành
phần nhận dạng mạng.
Mô hình mạng được chọn phải hỗ trợ được tất cả các dịch vụ
được mô tả trong bảng Đặc tả yêu cầu hệ thống mạng. Mô
mạng có thể chọn là Workgroup hay Domain (Client / Server)
kèm với giao thức TCP/IP, NETBEUI hay IPX/SPX.
THIẾT KẾ SƠ ĐỒ MẠNG Ở MỨC LUẬN LÝ
dụ:
Một hệ thống mạng chỉ cần có dịch vụ chia sẻ máy in và thư
giữa những người dùng trong mạng cục bộ và không đặt nặng
đề an toàn mạng thì ta có thể chọn Mô hình Workgroup.
Một hệ thống mạng chỉ cần có dịch vụ chia sẻ máy in và thư
giữa những người dùng trong mạng cục bộ nhưng có yêu cầu quản
lý người dùng trên mạng thì phải chọn Mô hình Domain.
THIẾT KẾ SƠ ĐỒ MẠNG Ở MỨC LUẬN LÝ
Mỗi mô hình mạng có yêu cầu thiết đặt cấu hình riêng. Những
chung nhất khi thiết đặt cấu hình cho mô hình mạng là:
Định vị các thành phần nhận dạng mạng, bao gồm việc đặt tên
Domain, Workgroup, máy tính, định địa chỉ IP cho các máy,
cổng cho từng dịch vụ.
Phân chia mạng con, thực hiện vạch đường đi cho thông tin
mạng.
THIẾT KẾ SƠ ĐỒ MẠNG Ở MỨC LUẬN LÝ
XÂY DỰNG CHIẾN LƯỢC KHAI THÁC VÀ
QUẢN LÝ TÀI NGUYÊN MẠNG
Chiến lược này nhằm xác định ai được quyền
làm gì trên hệ thống mạng. Thông thường,
người dùng trong mạng được nhóm lại thành
từng nhóm và việc phân quyền được thực hiện
trên các nhóm người dùng.
THIẾT KẾ SƠ ĐỒ MẠNG Ở MỨC VẬT LÝ
Căn cứ vào sơ đồ thiết kế mạng ở mức luận lý, kết hợp với kết
khảo sát thực địa bước kế tiếp ta tiến hành thiết kế mạng ở mức
lý. Sơ đồ mạng ở mức vật lý mô tả chi tiết về vị trí đi dây mạng
thực địa, vị trí của các thiết bị nối kết mạng như Hub, Switch,
Router, vị trí các máy chủ và các máy trạm. Từ đó đưa ra được
một bảng dự trù các thiết bị mạng cần mua. Trong đó mỗi thiết
cần nêu rõ: Tên thiết bị, thông số kỹ thuật, đơn vị tính, đơn giá,
THIẾT KẾ SƠ ĐỒ MẠNG Ở MỨC VẬT LÝ
CHỌN HỆ ĐIỀU HÀNH VÀ PHẦN MỀM ỨNG DỤNG
Một mô hình mạng có thể được cài đặt dưới nhiều hệ điều hành
nhau. Chẳng hạn với mô hình Domain, ta có nhiều lựa chọn
Windows NT, Windows 2000, Netware, Unix, Linux,... Tương
các giao thức thông dụng như TCP/IP, NETBEUI, IPX/SPX cũng
được hỗ trợ trong hầu hết các hệ điều hành. Chính vì thế ta có
phạm vi chọn lựa rất lớn. Quyết định chọn lựa hệ điều hành mạng
thông thường dựa vào các yếu tố như:
CHỌN HỆ ĐIỀU HÀNH VÀ PHẦN MỀM ỨNG DỤNG
Giá thành phần mềm của giải pháp.
Sự quen thuộc của khách hàng đối với phần mềm.
Sự quen thuộc của người xây dựng mạng đối với phần mềm.
CHỌN HỆ ĐIỀU HÀNH VÀ PHẦN MỀM ỨNG DỤNG
Hệ điều hành là nền tảng để cho các phần mềm sau đó vận hành
trên nó. Giá thành phần mềm của giải pháp không phải chỉ có
thành của hệ điều hành được chọn mà nó còn bao gồm cả giá thành
của các phầm mềm ứng dụng chạy trên nó. Hiện nay có 2
hướng chọn lựa hệ điều hành mạng: các hệ điều hành mạng
Microsoft Windows hoặc các phiên bản của Linux
CHỌN HỆ ĐIỀU HÀNH VÀ PHẦN MỀM ỨNG DỤNG
Sau khi đã chọn hệ điều hành mạng, bước kế tiếp là tiến hành chọn
các phần mềm ứng dụng cho từng dịch vụ. Các phần mềm
phải tương thích với hệ điều hành đã chọn.
4. CÀI ĐẶT MẠNG
Khi bản thiết kế đã được thẩm định, bước kế tiếp là tiến hành lắp
phần cứng và cài đặt phần mềm mạng theo thiết kế.
LẮP ĐẶT PHẦN CỨNG
Cài đặt phần cứng liên quan đến việc đi dây mạng và lắp đặt
thiết bị nối kết mạng (Hub, Switch, Router) vào đúng vị trí
trong thiết kế mạng ở mức vật lý đã mô tả.
CÀI ĐẶT PHẦN MỀM
Tiến trình cài đặt phần mềm bao gồm:
Cài đặt hệ điều hành mạng cho các server, các máy trạm
Cài đặt và cấu hình các dịch vụ mạng.
Tạo người dùng, phân quyền sử dụng mạng cho người dùng.
CÀI ĐẶT PHẦN MỀM
Tiến trình cài đặt và cấu hình phần mềm phải tuân thủ theo sơ
thiết kế mạng mức luận lý đã mô tả. Việc phân quyền cho người
dùng pheo theo đúng chiến lược khai thác và quản lý tài nguyên
mạng.
Nếu trong mạng có sử dụng router hay phân nhánh mạng con thì
thiết phải thực hiện bước xây dựng bảng chọn đường trên các router
trên các máy tính.
5. KIỂM THỬ MẠNG
Sau khi đã cài đặt xong phần cứng và các máy tính đã được
vào mạng. Bước kế tiếp là kiểm tra sự vận hành của mạng.
Trước tiên, kiểm tra sự nối kết giữa các máy tính với nhau. Sau
kiểm tra hoạt động của các dịch vụ, khả năng truy cập của người
dùng vào các dịch vụ và mức độ an toàn của hệ thống.
Nội dung kiểm thử dựa vào bảng đặc tả yêu cầu mạng đã được
định lúc đầu.
6. BẢO TRÌ HỆ THỐNG
Mạng sau khi đã cài đặt xong cần được bảo trì một khoảng
gian nhất định để khắc phục những vấn đề phát sinh xảy trong
trình thiết kế và cài đặt mạng.
MÔ HÌNH MẪU
MÔ HÌNH MẪU
II. TỔNG QUAN AN NINH MẠNG
Sự cấn thiết phải có an ninh mạng
Các yếu tố đảm bảo an toàn thông tin
Mối đe dọa an ninh mạng (Threat)
Lỗ hổng hệ thống (Vulnerable)
Nguy cơ hệ thống (Risk)
Đánh giá nguy cơ hệ thống
II.1 SỰ CẦN THIẾT PHẢI CÓ AN NINH MẠNG
Các yếu tố cần bảo vệ
Dữ liệu
Tài nguyên: con người, hệ thống, đường truyền
Danh tiếng
40
WAN
Group
NT Computer Printer
II.1 SỰ CẦN THIẾT PHẢI CÓ AN NINH MẠNG
Tác hại đến doanh nghiệp
Tốn kém chi phí
Tốn kém thời gian
Ảnh hưởng đến tài nguyên hệ thống
Ảnh hưởng danh dự, uy tín doanh nghiệp
Mất cơ hội kinh doanh
Cân nhắc
Khả năng truy cập và khả năng bảo mật hệ thống tỉ lệ nghịch với
nhau.
41
II.2 CÁC YẾU TỐ ĐẢM BẢO AN TOÀN THÔNG TIN
Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng.
Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không
mâu thuẫn
Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng
mục đích và đúng cách.
Tính chính xác: Thông tin phải chính xác, tin cậy
Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn
gốc hoặc người đưa tin
42
II.3 CÁC MỐI ĐE DỌA (THREAT)
Các mối đe dọa (threat) đến an toàn hệ thống là các hành động
hoặc các sự kiện/hành vi có khả năng xâm hại đến độ an toàn của
một hệ thống thông tin
Mục tiêu đe dọa tấn công.
Đối tượng đe dọa tấn công (chủ thể tấn công)
Hành vi đe dọa tấn công
43
II.3 CÁC MỐI ĐE DỌA (THREAT)-2
Mục tiêu đe dọa tấn công (Target): chủ yếu là các dịch vụ an ninh (dịch vụ
www, dns, )
Khả năng bảo mật thông tin: sẽ bị đe dọa nếu thông tin không được bảo mật
Tính toàn vẹn của thông tin: đe dọa thay đổi cấu trúc thông tin
Tính chính xác của thông tin: đe dọa thay đổi nội dung thông tin
Khả năng cung cấp dịch vụ của hệ thống: làm cho hệ thống không thể cung cấp được dịch vụ
(tính sẵn sàng)
Khả năng thống kê tài nguyên hệ thống
44
II.3 CÁC MỐI ĐE DỌA (THREAT)-3
Đối tượng đe dọa tấn công (Agent) là chủ thể gây hại đến hệ
thống
Khả năng đe dọa tấn công của đối tượng: khả năng truy cập để khai
thác các lỗ hổng hệ thống tạo ra mối đe dọa trực tiếp
Sự hiểu biết của đối tượng về mục tiêu đe dọa tấn công: user ID, file
mật khẩu, vị trí file, địa chỉ mạng,
Động cơ tấn công của đối tượng: chinh phục, lợi ích cá nhân, cố tình
45
II.3 CÁC MỐI ĐE DỌA (THREAT)-4
Hành vi đe dọa tấn công
Lợi dụng quyền truy nhập thông tin hệ thống
Cố tình hoặc vô tình thay đổi thông tin hệ thống
Truy cập thông tin bất hợp pháp
Cố tình hoặc vô tình phá hủy thông tin hoặc hệ thống
Nghe lén thông tin
Ăn cắp phần mềm hoặc phần cứng
..
46
II.3 CÁC MỐI ĐE DỌA (THREAT)-5
Phân loại các mối đe dọa
Có mục đích
Không có mục đích
Từ bên ngoài
Từ bên trong
47
II.4 LỖ HỔNG HỆ THỐNG (VULNERABLE)
Lỗ hổng hệ thống
là nơi mà đối tượng tấn công có thể khai thác để thực hiện các hành
vi tấn công hệ thống. Lỗ hổng hệ thống có thể tồn tại trong hệ thống
mạng hoặc trong thủ tục quản trị mạng.
• Lỗ hổng lập trình (back-door)
• Lỗ hổng Hệ điều hành
• Lỗ hổng ứng dụng
• Lỗ hổng vật lý
• Lỗ hổng trong thủ tục quản lý (mật khẩu, chia sẽ,)
48
II.5 NGUY CƠ HỆ THỐNG (RISK)
Nguy cơ hệ thống: được hình thành bởi sự kết hợp giữa lỗ hổng
hệ thống và các mối đe dọa đến hệ thống
Các cấp độ nguy cơ
Nguy cơ cao
Nguy cơ trung bình
Nguy cơ thấp
49
Nguy cơ = Mối đe dọa + Lỗ hổng hệ thống
II.6 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG
50
Xác định lỗ hổng
hệ thống
Xác định các mối đe
dọa đến hệ thống
Các biện pháp an toàn hệ
thống hiện có
II.6 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG (2)
Xác định các lỗ hổng hệ thống: việc xác định các lỗ hổng hệ
thống được bắt đầu từ các điểm truy cập vào hệ thống như:
Ở mỗi điểm truy cập, ta phải xác định được các thông tin có thể
truy cập và mức độ truy cập vào hệ thống
51
- Kết nối mạng Internet
- Các điểm kết nối từ xa
- Kết nối đến các tổ chức khác
- Các môi trường truy cập vật
lý đến hệ thống
- Các điểm truy cập người dùng
- Các điểm truy cập không dây
II.6 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG (3)
Xác định các mối đe dọa
Đây là một công việc khó khăn vì các mối đe dọa thường không xuất
hiện rõ ràng (ẩn)
• Các hình thức và kỹ thuật tấn công đa dạng:
– DoS/DDoS, BackDoor, Tràn bộ đệm,
– Virus, Trojan Horse, Worm
– Social Engineering
• Thời điểm tấn công không biết trước
• Qui mô tấn công không biết trước
52
II.6 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG (3)
Kiểm tra các biện pháp an ninh mạng
Các biện pháp an ninh gồm các loại sau:
53
- Bức tường lửa - Firewall
- Phần mềm diệt virus
- Điều khiển truy nhập
-Hệ thống chứng thực (mật khẩu,
sinh trắc học, thẻ nhận dạng,)
- Mã hóa dữ liệu
- Hệ thống dò xâm nhập IDS
-Các kỹ thuật khác: AD, VPN, NAT
- Ý thức người sử dụng
- Hệ thống chính sách bảo mật và
tự động vá lỗi hệ thống
II.6 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG (4)
Xác định mức độ nguy cơ
Sau khi xác định được các lỗ hổng hệ thống, các mối đe dọa và các
biện pháp an ninh hiện có, ta có thể xác định được mức độ nguy cơ
hệ thống như sau:
• Tại một điểm truy cập cho trước với các biện pháp an ninh hiện có, xác
định các tác động của các mối đe dọa đến hệ thống: khả năng bảo mật,
tính bảo toàn dữ liệu, khả năng đáp ứng dịch vụ, khả năng phục hồi dữ
liệu thông qua điểm truy cập đó.
54
II.6 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG (4)
Xác định mức độ nguy cơ (tt)
Căn cứ vào 5 tiêu chí đánh giá (Chi phí, Thời gian, Danh dự, Tài
nguyên hệ thống, Cơ hội kinh doanh) ta có thể phân nguy cơ an toàn
mạng ở một trong các mức: cao, trung bình, thấp.
Nếu hệ thống kết nối vật lý không an toàn thì hệ thống cũng ở mức
nguy cơ cao
55