THIẾT KẾ MẠNG LAN
3.1 Mô hình mạng cơ bản
Hình 3.1: Mô hình phân cấp ỉ Cấu trỳc
ü Lớp lõi (Core Layer): Đây là trục xương sống của mạng (Backbone) thường dùng các bộ chuyển mạch có tốc độ cao (High - Speed Switching) thường có các đặc tính như độ tin cậy cao, công suất dư thừa, khả năng tự khắc phục lỗi, khả năng thích nghi cao, đáp ứng nhanh, dễ quản lý, khả năng lọc gói, hay lọc các tiến trình trong mạng.
ü Lớp phân tán (Distribution Layer): Là ranh giới giữa lớp truy nhập và lớp lõi của mạng. Lớp phân tán đảm bảo chức năng như đảm bảo gửi dữ liệu đến từng phân đoạn, đảm bảo an ninh an toàn, đoạn mạng theo từng nhóm công tác, chia miền Broadcast/multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môi trường truyền dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong định tuyến tĩnh và động, thực hiện các bộ lọc gói (Theo địa chỉ theo số hiệu cổng), thực hiện các cơ chế đảm bảo chất lượng dịch vụ QOS.
ü Lớp truy nhập (Access Layer): Cung cấp các khả năng truy nhập cho người dùng cục bộ hay từ xa truy nhập vào mạng.
Đánh giá mô hình:
ü Giá thành thấp.
ü Dễ cài đặt.
ü Dễ mở rộng.
ü Dễ cô lập lỗi.
3.1.2. Mô hình an ninh - an toàn
An toàn và bảo mật luôn là lý do khiến chúng ta chọn giải pháp lắp đặt kiểu mạng dựa trên máy phục vụ. Trong môi trường mạng dựa trên máy chủ phục vụ, chế độ bảo mật do người quản trị mạng quản lý, bằng cách đặt ra các chính sách và áp đặt các chính sách ấy cho từng người, từng nhóm người dùng trên mạng.
Theo nghĩa rộng thì an ninh – an toàn mạng dùng riêng, hay mạng nội bộ là giữ không cho ai làm cái mà mạng nội bộ đó không muốn cho làm.
Vậy khi kết nối LAN phải chú ý tới tài nguyên chúng ta muốn bảo vệ là cái gì ?
ü Là các dịch vụ mạng triển khai
ü Là các thông tin quan trọng mạng lưu giữ, hay cần lưu chuyển
ü Là các tài nguyên phần cứng và phần mềm hệ thống mạng cung ứng cho những người dùng mà nó cho phép
Vấn đề an ninh – an toàn cò thể hiện qua mối quan hệ giữa người dùng và hệ thống mạng và tài nguyên trên mạng. Các quan hệ này được xác định, được đảm bảo thông qua các phương thức xác thực (Authentication), xác định được cho phép (Authorization) và bị từ chối (Repudiation) để đảm bảo hệ thống mạng bảo mật, toàn vẹn, sẵn dùng các tài nguyên phần cứng,phần mềm, dữ liệu và các dịch vụ của hệ thống mạng
ü Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị sử dụng bởi người không có thêm quyền. Chẳng hạn dữ liệu truyền đi trên mạng
được đảm bảo không bị lấy trộm cần được mã hoá trước khi truyền. Các tài nguyên đó đều có chủ và đƣợc bảo vệ bằng các công cụ và các cơ chế an ninh – an toàn.
ü Tính toàn vẹn: Đảm bảo không có việc sử dụng, và sửa đổi nếu không được cho phép, ví dụ như lấy hay sửa đổi dữ liệu, cũng như thay đổi cấu hình hệ thống bởi những người không được phép hoặc không có quyền. Thông tin lưu hay truyền trên mạng và các tệp cấu hình hệ thống luôn được đảm bảo giữ toàn vẹn. Chúng chỉ được sử dụng và được sửa đổi bởi những người chủ của nó hay được cho phép.
ü Tính sẵn dùng: Tài nguyên trên mạng luôn được đảm bảo không thể bị chiếm giữ bởi người không có quyền. Các tài nguyên luôn sẵn sàng
thể được dùng bất cứ khi nào. Thuộc tính này rất quan trọng, nhất là trong các dịch vụ mạng phục vụ công cộng (ngân hàng, tư vấn, chính phủ điện tử,…).
ü Việc xác thực: Thực hiện xác định người dùng được quyền dùng một tài nguyên nào đó như thông tin hay tài nguyên phần mềm và phần cứng trên mạng. Việc xác thực thường kết hợp với sự cho phép, hay từ chối phục vụ. Xác thực thường được dùng là mật khẩu (Password). Sự cho phép xác định người dùng được quyền thực hiện một hành động nào trước khi được phép khai thác thông tin hay một tài nguyên nào đó trên mạng.
ỉ Xõy dựng an ninh – an toàn mạng khi kết nối LAN Các bước xây dựng:
ü Xác định cần bảo vệ cái gì?
ü Xác định bảo vệ khỏi những loại tấn công nào ? ü Xác định những mối đe doạ an ninh có thể ? ü Xác định các công cụ đẻ đảm bảo an ninh ? ü Xây dựng mô hình an ninh – an toàn.
Tiến hành:
ü Thường xuyên kiểm tra, nâng cấp, cập nhật hệ thống khi có một lỗ hổng an ninh – an toàn được cảnh báo
ü Đặt ra mục đích và yêu cầu về vấn đề an toàn – an ninh hệ thống mạng phải rõ ràng, chi tiết. Ví dụ mục tiêu và yêu cầu vấn đề an ninh – an toàn khi kết nối LAN cho các cơ quan hành chính nhà nước sẽ khác với kết nối LAN cho các trường đại học, hay doanh nghiệp thương mại …
ü Mô hình an ninh – an toàn phải phù hợp với các chính sách, nguyên tắc và luật lệ hiện hành, phải giải quyết và đảm bảo an ninh – an toàn mạng toàn diện (Gồm cả phương tiện kỹ thuật và con người triển khai).
ỉ Hệ thống tường lửa triển khai mụ hỡnh an ninh – an toàn
ü Hệ thống tường lửa: Tường lửa là một công cụ phục vụ cho việc thực hiện an ninh – an toàn mạng từ vong ngoài, nhiệm vụ của nó như là hệ thống hàn rào vòng ngoài của cơ sở cần bảo vệ. Khi kết nối hai hay nhiều phần tử của LAN nguy cơ mất an ninh tại các điểm kết nối là rất lớn, tường lửa là công cụ được chọn đặt tại các điểm kết nối đó.
ü Để đảm bảo mức độ an ninh – an toàn cao, tường lửa phải có khả năng truy nhập, phân tích và sử dụng các thông tin về truyền thông trong 7 tầng và các trạng thái của các phiên truyền
tác các dữ liệu bằng các phép toán logic, số học nhằm thực hiện các yêu cầu về an ninh – an toàn. Tường lửa bao gồm các thành phần: các bộ lọc hay sàng lọc.
Hình 3.2 : Mô hình logic của tường lửa
ü Tường lửa chính là cổng (Gateway) vào/ra của một mạng nội, trên đó có đặt hai bộ lọc vào/ra để kiểm tra dữ liệu vào/ra mạng nội bộ.
ü Theo truyền thống thì tường lửa được đặt tại vị trí vào/ra mạng nội bộ (Mạng đƣợc bảo vệ) với mạng công cộng (Mạng ngoài), hay mạng internet (Khi kết nối với internet). Ngày nay trong một tổ chức khi kết nối LAN có thể nối mạng khác nhau, và do yêu cầu an ninh – an toàn của đoạn mạng đó khác nhau. Khi đó tường lửa sẽ được đặt ở vị trí vào/ ra của đoạn mạng cần bảo vệ.
ü Dữ liệu vào/ra mạng nội bộ với mạng ngoài đều đi qua tường lửa, do đó tường lửa, do đó tường lửa có thể kiểm soát và đảm bảo dữ liệu nào đó là có thể được chấp nhận (Acceptable) cho phép vào/ra mạng nội bộ.
ü Hệ thống tường lửa ba phần (Three- Part Fire Wall System)
Hình 3.3: Mô hình tường lửa ba phần
§ LAN cô lập làm vùng đệm giữa mạng công tác với mạng bên ngoài (LAN cô lập được gọi là khu phi quân sự hay vùng DMZ).
§ Thiết bị định tuyến trong có cài đặt bộ lọc gói được đặt giữa DMZ và mạng công tác.
§ Thiết bị định tuyến ngoài có cài đặt bộ lọc gói được đặt giữa DMZ và mạng ngoài.