Khóa luận Bảo mật cho hệ thống mạng doanh nghiệp

pdf 127 trang yendo 4551
Download
Bạn đang xem 20 trang mẫu của tài liệu "Khóa luận Bảo mật cho hệ thống mạng doanh nghiệp", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfkhoa_luan_bao_mat_cho_he_thong_mang_doanh_nghiep.pdf

Nội dung text: Khóa luận Bảo mật cho hệ thống mạng doanh nghiệp

  1. TRƯỜNG CAO ĐẲNG NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN NGUYỄN THANH KHA - NGUYỄN TÚ TRUNG BẢO MẬT CHO HỆ THỐNG MẠNG DOANH NGHIỆP KHÓA LUẬN TỐT NGHIỆP TP.HCM, 2008
  2. TRƯỜNG CAO ĐẲNG NGUYỄN TẤT THÀNH TKHOA CÔNG NGHỆ THÔNG TIN NGUYỄN THANH KHA - 205205022 NGUYỄN TÚ TRUNG - 205205044 BẢO MẬT VÀ AN NINH CHO HỆ THỐNG MẠNG DOANH NGHIỆP KHÓA LUẬN TỐT NGHIỆP GIÁO VIÊN HƯỚNG DẪN NGUYỄN KIM QUỐC KHÓA 2005-2008 2
  3. NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN TPHCM, Ngày tháng năm Giáo viên hướng dẫn 3
  4. NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN TPHCM, Ngày .tháng năm Giáo viên phản biện 4
  5. LỜI CẢM ƠN Chúng em xin chân thành cám ơn Khoa Công Nghệ Thông Tin, trường Cao Đẳng Nguyễn Tất Thành đã tạo điều kiện tốt cho chúng em thực hiện đề tài luận văn tốt nghiệp này. Chúng em xin chân thành cám ơn Thầy Nguyễn Kim Quốc đã tận tình hướng dẫn, chỉ bảo chúng em trong suốt thời gian thực hiện đề tài. Chúng em xin chân thành cám ơn Thầy Cô trong Khoa đã tận tình giảng dạy, trang bị cho chúng em những kiến thức quý báu trong những năm học vừa qua. Mặc dù chúng em đã cố gắng hoàn thành luận văn trong phạm vi và khả năng cho phép nhưng chắc chắn không thiếu sót. Chúng em kính mong nhận được sự cảm thông và tận tình chỉ bảo của quý Thầy Cô. 5
  6. LỜI MỞ ĐẦU Trong thời kỳ của Công Nghệ Thông Tin hiện nay việc trao đổi thông tin là vô cùng quan trọng nhu cầu trao đổi thông tin gia tăng khi nền kinh tế ngày càng phát triển. Ngày nay khi đất nước chúng ta đã gia nhập vào nền kinh tế thế giới nhu cầu của người dân từ đó cũng được nâng cao hơn, mức sống của con người cũng tốt hơn trước. Sự gia nhập vào nền kinh tế Việt Nam đã mở ra cho chúng ta một hướng đi hoàn toàn mới các doanh nghiệp cở vừa và lớn ngày càng chiếm lĩnh thị trường trong và ngoài nước. Doanh nghiệp Hoàng Sơn với quy mô lớn về hệ thống mạng và cơ sở hạ tầng cung cấp và trao đổi các linh kiện điện tử vi tính sẽ là nguồn cung cấp lớn các nhu cầu thông tin cần thiết cho moi người. 6
  7. ĐỀ CƯƠNG CHI TIẾT Tên đề tài: BẢO MẬT CHO HỆ THỐNG MẠNG DOANH NGHIỆP. Giáo viên hướng dẫn: NGUYỄN KIM QUỐC Sinh viên thực hiện: NGUYỄN THANH KHA 205205022 NGUYỄN TÚ TRUNG 205205044 Thời gian thực hiện: Từ 09/04/2008 đến 08/08/2008 Loại đề tài: Bảo mật mạng doanh nghiệp. I. Nội dung tóm tắt: Triển khai hệ thống mạng quản lý tập trung, quản trị hệ thống tài nguyên và dịch vụ mạng theo chính sách hệ thống và chiến lược phân quyền, chứng thực và theo dõi. Bảo mật cho hệ thống mạng và an ninh cho hệ thống. II. Nội dung thực hiện: § Triển khai hệ thống mạng quản lý tập trung. § Xây dựng chiến lược phân quyền, ủy quyền. § Lập chính sách hệ thống mạng, hệ thống chứng thực. § Tìm hiểu Hacker và cách phòng chống. III. Kết Quả Đạt Được: § Xây dựng được hệ thống mạng trên Window. § Xây dựng được hệ thống mạng quản lý tập trung trong doanh nghiệp. 7
  8. § Bảo mật và an ninh tốt cho hệ thống mạng bằng các chiến lược bảo mật và an ninh. § Hiểu phương thức tấn công và cách phòng chống Hacker. IV. Kế Hoạch Thực Hiện: Kế Hoạch Thưc Kết Quả Đạt Sinh Viên Thực Tuần Hiện Được Hiện Tuần 1(9/4- Khảo sát, phân tích Hiểu Biết về hệ Nguyễn Thanh Kha 14/4/2008) hệ thống mạng. thống mạng. Nguyễn Tú Trung Tuần 2(15/4- Triển khai hệ thống Hiểu Biết về hệ Nguyễn Thanh Kha 21/4/2008) mạng window thống mạng Nguyễn Tú Trung Xây dựng máy Có được một hệ Tuần 3(22/4- Server, Client, Nguyễn Thanh Kha thống mạng 28/4/2008) Domain xây dựng Nguyễn Tú Trung window cơ bản. miền. Triển khai các user, Xây dựng các Tuần 4(29/4- Nguyễn Thanh Kha group mạng phòng ban, hạn 4/5/2008) Nguyễn Tú Trung window. nghạch. Tuần 5,6,7(5/5- THI HỌC KỲ 25/5/2008) Triển khai các Cài đặt được Tuần 8(26/5- Nguyễn Thanh Kha dịch vụ mạng các dịch vụ và 1/6/2008) Nguyễn Tú Trung (DHCP, DFS, ). cấu hình. Triển khai các Cài đặt được Tuần 9(2/6- Nguyễn Thanh Kha dịch vụ mạng các dịch vụ và 8/6/2008) Nguyễn Tú Trung (DHCP, DFS, ). cấu hình. Tuần 10(9/6- Bảo mật mạng Thiết lập được Nguyễn Thanh Kha 8
  9. 15/6/2008) doanh nghiệp các cơ chế bảo Nguyễn Tú Trung mật. Tiếp tục bảo mật Tuần 11(16/6- Hiểu được các Nguyễn Thanh Kha mạng doanh 22/6/2008) cơ chế bảo mật. Nguyễn Tú Trung nghiệp. Xây dựng hệ Xây dựng được Tuần 12(23/6- thống bảo mật hệ thống bảo Nguyễn Thanh Kha 29/6/2008) mạng doanh mật cho hệ Nguyễn Tú Trung nghiệp. thống. Tuần 13(30/6- An ninh mạng Tìm hiểu hệ Nguyễn Thanh Kha 6/7/2008) doanh nghiệp. thống Firewall. Nguyễn Tú Trung Xây dựng hệ Tuần 14(7/7- An ninh mạng Nguyễn Thanh Kha thống Proxy 13/7/2008) doanh nghiệp. Nguyễn Tú Trung Server. Thiết lập được Tuần 15 (19/7- Thiết Lập An các luật bảo vệ Nguyễn Thanh Kha 25/7/2008) Ninh Mạng cho hệ thống Nguyễn Tú Trung mạng. Tìm hiểu Hacker Hiểu biết về Tuần 16 (26/7- Nguyễn Thanh Kha và cách phòng hacker và các 1/8/2008) Nguyễn Tú Trung chống. vấn đề bảo mật. Tuần 17 (2/8- Tổng hợp báo cáo Báo cáo cuối Nguyễn Thanh Kha /8/8/2008) cuối kỳ. cùng. Nguyễn Tú Trung Sinh Viên Thực Hiện Giáo Viên Hướng Dẫn Sinh viên 1 Sinh viên 2 9
  10. Nguyễn Kim Quốc Nguyễn Tú Trung Nguyễn Thanh Kha 10
  11. MỤC LỤC Chương 1. Đặc tả yêu cầu hệ thống mạng doanh nghiệp 14 1.1. Sơ lược về doanh nghiệp: 15 1.2. Mô hình hành chánh của công ty: 16 1.3. Đặc tả các yêu cầu phòng ban: 16 1.4. Yêu cầu của toàn công ty 17 Chương 2. Phân tích hệ thống mạng doanh nghiệp 18 2.1. Triển khai hệ thống mạng tập trung 19 2.1.2. Triển khai mạng Domain tại công ty 19 2.1.2.1. Cấu hình máy DCs 19 2.1.2.2. Cấu hình và quản trị các máy Server 20 2.1.2.3. Cấu hình và quản trị các máy Client 20 2.1.3. Quản lý hệ thống mạng tập trung tại công ty Hoàng Sơn 20 2.1.3.1. Quản lý các đối tượng và thuộc tính 20 2.1.3.2. Sử dụng các chính sách nhóm 21 2.2. Sơ đồ hệ thống mạng doanh nghiệp 22 2.2.1. Sơ đồ mạng của công ty 22 2.3. Các dịch vụ được sử dụng trong hệ thống 23 2.3.1. DHCP(Dynamic Host Configuration Protocol) 23 2.3.2. DNS (Domain Name System) 24 2.3.3. E-Mail (Thư điện tử) 25 2.3.4. Web-Site (Trang Web) 25 2.3.5. RAS (Remote Access Server) 26 2.3.6. PRINT(Quãn lí in ấn) 26 2.3.7. FTP(File Transfer Protocol) 26 2.4. An ninh mạng 26 2.4.1. Giới thiệu Firewall 27 2.4.2. Chức năng của Firewall 27 2.4.3. ISA (Internet Security and Acceleration) 28 2.4.4. Đặc điểm của ISA 28 2.5. Bảo mật mạng 29 2.5.1. Bảo mật hệ thống mạng dùng IPSec 30 2.5.2. Các tính năng bảo mật của IPSec 30 Chương 3. Thiết kế hệ thống mạng 31 3.1. Cấu trúc mạng 32 3.2. Địa chỉ IP 33 3.3. Thiết kế hệ thống mức luận lý 35 3.4. Bảng dự toán chi phí các trang thiết bị mạng 35 3.5. Chi phí phần mềm 38 Chương 4. Triển khai hệ thống mạng doanh nghiệp 39 11
  12. 4.1. Cài đặt Main Server 40 4.2. Các dịch vụ được cài trong các Server 45 4.2.1. Web Server 45 4.2.1.1. Sơ đồ hoạt động của Web tĩnh 45 4.2.1.2. Sơ đồ hoạt động của Web động 45 4.2.1.3. Nguyên tắc hoạt động của Web Server 46 4.2.1.4. Web client 47 4.2.1.5. Cài đặt IIS Web Service 47 4.2.1.6. Cấu hình IIS 6.0 Web service 47 4.2.2. Mail Server 52 4.2.2.1. Hệ thống Mail cục bộ 52 4.2.2.2. Hệ thống Mail cục bộ kết nối ra ngoài 53 4.2.3. Backup Server 53 4.2.4. DNS 54 4.2.4.1. Giới thiệu 54 4.2.4.2. Hoạt động của DNS 54 4.2.4.3. Cài đặt và cấu hình DNS 55 4.2.4.4. Cấu Hình DNS Server 57 4.2.5. FTP 62 4.2.5.1. Cài đặt dịch vụ FTP 63 4.2.5.2. Cấu hình dịch vụ FTP 63 4.2.6. DHCP 65 4.2.6.1. Hoạt động của DHCP 65 4.2.6.2. Cấu hình một phạm vi DHCP 65 4.2.6.3. Cấp phát địa chỉ IP cho các máy khách 71 4.2.7. ADSL 71 4.2.7.1. Dịch vụ ADSL(Asymmetric Digital Subscriber Line) 71 4.2.7.2. Công nghệ ADSL 71 4.2.7.3. Kỹ thuật Dial- up 71 4.2.7.4. Kỹ thuật ADSL 72 4.2.7.5. Kết nối và cấu hình ADSL Router 72 4.2.7.6. Mô hình Modem Router 72 4.2.8. RAS 73 4.2.8.1. Cấu hình RAS server 73 4.2.8.2. Cấu hình RAS client 79 4.2.9. PRINT 80 4.2.9.1. Cài đặt máy in 80 4.2.9.2. Cấu hình máy in trên mạng nội bộ 81 4.3. Thiết lập an ninh mạng 84 4.3.1. ISA 84 12
  13. 4.3.2. Đặc điểm của ISA 84 4.3.3. Cài đặt ISA 86 4.3.3.1. Yêu cầu cài đặt 86 4.3.3.2. Cài đặt ISA 86 4.3.3.3. Cấu hình Web Proxy cho ISA 91 4.3.3.4. Tạo một Access Rule 92 4.3.3.5. Các dịch vụ công bố mạng 95 4.3.3.6. Publish Web server 96 4.3.3.8. Publish Mail Server 100 4.4. Bảo mật hệ thống mạng 102 4.4.1. Quản Trị Tài khoản và Nhóm 102 4.4.1.1. Quản trị Tài Khoản 102 4.4.1.2. Quản trị nhóm 106 4.4.2. Sử dụng các mẫu bảo mật (security template) 108 4.4.3. Sử dụng Snap-in Security Template 108 4.4.4. Quản lý hệ thống file mã hóa (EFS) 110 4.4.5. Mã hóa một file 110 4.4.6. Giải mã file 111 4.5. Bảo mật mạng doanh nghiệp dùng IP Sec 112 4.5.1. Thêm chính sách bảo mật IP Sec 112 4.5.2. Cấu hình IPSec sử dụng giấy chứng nhận 114 4.5.3. Hiển thị các thông tin IPSec bằng dòng lệnh netsh 116 Chương 5. Hacker và cách bảo mật cho hệ thống mạng công ty 118 5.1. Tấn công Password của tài khoản người dùng trong Windows 119 5.1.1. Sử dụng lệnh For trong Windows 119 5.1.2. Giải pháp chống tấn công sử dụng lệnh For 120 5.2. Giải mã mật khẩu được mã hoá 121 5.2.1. Trên máy Local 121 5.2.2. Cách phòng chống 124 Chương 6. Tổng kết 125 6.1. Kiểm tra hệ thống mạng 126 6.2. Vận hành hệ thống mạng. 126 6.3. Kết luận: 126 6.4. Danh sách tài liệu và trang Web tham khảo: 126 13
  14. Chương 1. Đặc tả yêu cầu hệ thống mạng doanh nghiệp 14
  15. 1.1. Sơ lược về doanh nghiệp: Sự ra đời của Doanh Nghiệp Tư Nhân Hoàng Sơn là một sự cần thiết. Dựa trên sự thay đổi của thị trường cùng với sự ủng hộ của một số nhà đầu tư trong và ngoài nước. Nhầm phục vụ lợi ích cho cộng đồng và toàn thể nhân viên trong công ty. • Doanh nghiệp tư nhân Hoàng Sơn Quận Gò Vấp là một tòa nhà có 5 tầng với: • Tầng trệt: là nơi giao dịch khách hàng và phòng công quỹ. • Tầng 1: là phòng kỹ thuật, phòng kinh doanh và phòng kế hoạch. • Tầng 2: là phòng Kế Toán và phòng tổ chức và phòng marketting. • Tầng 3: là phòng giám đốc, phòng phó giám đốc. • Tầng 4: là phòng họp. • Tên đầy đủ của công ty là: CÔNG TY TNHH – TM DỊCH VỤ HOÀNG SƠN. • Trụ sở chính tại: TP HỒ CHÍ MINH. 15
  16. 1.2. Mô hình hành chánh của công ty: Phòng Phòng Kinh Doanh Kỹ Thuật Phòng Phòng Kế Toán Marketing Ban Giám đốc Phòng Phòng Nhân Sự Giao Dịch Phòng Phòng Kế Hoạch Công Quỹ Hình 1.2.1: Mô hình hành chánh công ty 1.3. Đặc tả các yêu cầu phòng ban: - Ban giám đốc: Quản lý công ty tiếp nhận các yêu cầu từ các trưởng phòng ban đề ra các yêu cầu phát triển công ty chính và các chi nhánh khác. - Phòng kinh doanh: Quản lý các công việc kinh doanh của công ty thông qua các nhân viên kinh doanh. - Phòng kỹ thuật: Triển khai hệ thống mạng trong công ty, nối kết thông tin với các chi nhánh. Quản trị các vấn đề về mạng của doanh nghiệp. - Phòng kế hoạch: Lên các kế hoạch hoạt động của công ty theo từng tháng, từng quý, theo dõi tình hình hoạt động của công ty báo cáo với ban giám đốc. - Phòng kế toán: Thống kê doanh thu theo từng thời điểm báo cáo chính xác tình hình tài chính của công ty theo yêu cầu của ban giám đốc. - Phòng nhân sự: Quản lý tình hình nhân sự của công ty. 16
  17. - Phòng giao dịch: Tiếp nhận các yêu cầu khách hàng, lưu trữ thông tin khách hàng trao đổi mua bán các sản phẩm. - Phòng Marketing: Tiếp thị thông tin mặc hàng công ty theo dõi thị trường quản bá thương hiệu sản phẩm. - Phòng công quỹ: Thiết lập các hoá đơn, quản lý các cước phí trao đổi mua bán. 1.4. Yêu cầu của toàn công ty: - Chức năng chính của công ty là mua bán trao đổi các linh kiện điện tử máy vi tính trong và ngoài nước theo các yêu cầu của khách hàng tại cơ sở chính của công ty và các chi nhánh trong thành phố. - Các phòng ban: Công ty gồm có 9 phòng ban các phòng ban làm việc khác nhau nhưng nhu cầu chung về thông tin khách hàng và yêu cầu về hàng hóa là cùng một dữ liệu trong toàn công ty. - Nhân viên: Công ty có khoảng 200 nhân viên làm việc tại các phòng ban, các trưởng phòng, 1 phó giám đốc và một giám đốc. - Giờ làm việc: Do là một công ty tư nhân nên các nhân viên làm việc theo giờ hành chính. - Yêu cầu chung: Các nhân viên làm việc chung trong các phòng ban do người trưởng phòng quản lý, đòi hỏi mỗi nhân viên phải có 1 tài khoản riêng trên từng máy làm việc. Các phòng ban phải dùng chung được cơ sở dữ liệu trên toàn hệ thống mạng của công ty. Bên cạnh đó, do công ty luôn phải giao dịch mua bán trực tiếp với khách hàng tại phòng giao dịch và trên mạng nên nhu cầu về Web, Mail, cho các phòng ban và giám đốc cũng được đặt ra, yêu cầu về bảo mật và an ninh mạng cũng là yêu cầu cần thiết. 17
  18. Chương 2. Phân tích hệ thống mạng doanh nghiệp 18
  19. 2.1. Triển khai hệ thống mạng tập trung: Từ các yêu cầu trên của công ty chúng tôi xây dựng hệ thống mạng tập trung tại công ty Hoàng Sơn. 2.1.1. Giới thiệu về mô hình miền: - Mô hình miền là một kiến trúc thư mục có phân cấp của các tài nguyên (Active Derectory) và được sử dụng bởi tất cả các hệ thống là thành viên của miền. Các hệ thống này có thể sử dụng các tài khoản người dùng, nhóm và máy tính trong thư mục để bảo mật các tài nguyên của chúng. Active Derectory do đó đóng vai trò như một trung tâm lưu trữ nhận thực, cung cấp nhận thức tin cậy và chỉ ra “Ai là Ai” trong miền. - Active Directory là một tài nguyên rất quan trọng của hệ thống nó phải luôn sẵn sàng với mọi người dùng trong mọi thời điểm. Vì lý do này mà miền Active Directory thông thường có ít nhất 2 máy chủ quản trị miền để nếu một máy có sự cố thì máy kia vẫn có thể phục vụ người dùng. Các máy chủ quản trị miền luôn đồng bộ CSDL với nhau nên mỗi máy chủ này đều chứa các thông tin hiện tại của miền hệ thống. Khi một người quản trị mạng thay đổi một bản ghi trong CSDL của Active Directory trên bất kỳ một máy chủ quản trị miền nào thì sự thay đổi này sẽ đồng bộ với tất cả các máy chủ quản trị miền trong miền đó điều này gọi là đồng bộ đa chủ (Multiple Master). 2.1.2. Triển khai mạng Domain tại công ty: - Hệ thống mạng tại công ty gồm máy DCs, các máy Servers, khoảng 200 máy Clients cho các phòng ban. - Các máy DCs dùng để chứa cơ sở dữ liệu. - Các máy Server Cung cấp tài nguyên, dịch vụ cho mạng và cho các phòng ban của mình. - Clients là những máy sử dụng tài nguyên và đăng nhập mạng. 2.1.2.1. Cấu hình máy DCs: 19
  20. - Máy DCs được nâng cấp lên miền trong hệ điều hành Windows Server 2003. - Cài đặt các dịch vụ Active Directory (tài khoản người dùng, nhóm, các chính sách, các đơn vị tổ chức OU, ). - Cấu hình tối thiểu: Memory 128MB, CPU 133MHz. 2.1.2.2. Cấu hình và quản trị các máy Server: - Các máy Servers: Cài hệ điều hành Windows Server 2003. - Cài đặt và cấu hình cho phù hợp các dịch vụ cần thiết như (Mail, Http, DNS, RIS, RAS, Chat, ). - Các dịch vụ phải đựơc đăng kí và chứng thực trong miền 2.1.2.3. Cấu hình và quản trị các máy Client: - Cài hệ diều hành XP, Me, 2k, Pro, , kết nối tới DCs và Server - Cài đặt cấu hình các chương trình để sử dụng các tài nguyên, dịch vụ. - Cài đặt các phần mềm chuyên dùng cho các nhân viên trong công ty 2.1.3. Quản lý hệ thống mạng tập trung tại công ty Hoàng Sơn: - Từ nhu cầu thực tế về hệ thống quản lý tập trung nên chúng tôi chủ trương xây dựng một mô hình hệ thống gồm 2 máy chủ quản trị miền tại công ty Hoàng Sơn để cho công tác quản lý thông tin về dữ liệu cũng như về vấn đề bảo mật và an ninh cho hệ thống mạng được thuận lợi hơn. - Máy chủ quản trị miền tai công ty được xây dựng trên nền Windows Server 2003 với tên miền là ntt.com đóng vai trò là một miền cha quản lý trong hệ thống mạng nội bộ và liên hệ với các hệ thống mạng chi nhánh. 2.1.3.1. Quản lý các đối tượng và thuộc tính: – Các phòng ban làm việc trên các đơn vị tổ chức (Organization Unit - OU) được quản lý trong mạng cục bộ của người quản trị. – Các nhân viên làm việc trong các phòng ban đều được cấp một tài khoản riêng và có thể truy cập tài nguyên đến máy chủ và̀ ở các phòng ban khác. 20
  21. – Các đối tượng Active Directory được sử dụng trong hệ thống mạng nội bộ tại công ty: - Organizational Unit (OU-Đơn vị tổ chức) được áp dụng cho các phòng ban trong công ty được sử dụng để tạo ra các nhóm logic bao gồm các đối tượng như máy tính, người dùng và nhóm trong một phòng ban đó. - User (người dùng): được tạo ra cho từng nhân viên trong mạng theo tên của từng nhân viên và một mật khẩu theo từng phòng ban quy định. - Computer (Máy tính):Thể hiện một máy tính trong mạng và cung cấp tài khoản máy tính cần thiết cho hệ thống để đăng nhập vào miền. - Group (Nhóm): Được tạo ra trong cùng các đơn vị tổ chức của các phòng ban để quản lý nhân viên trong các phòng ban và cũng để chia sẽ các tài nguyên chung trong công ty. - Thư mục chia sẻ: Cung cấp các truy cập mạng dựa trên Active Directory đến một thư mục chia sẻ trong mạng nội bộ. - Máy in: Cung cấp các truy cập mạng dựa trên Active Directory đến một máy in trong một máy tính mạng nội bộ. Mỗi đối tượng Active Directory có chứa một tập hợp các thuộc tính là các thông tin về đối tượng đó. Ví dụ: một đối tượng người dùng sẽ có các thuộc tính mô tả tên tài khoản người dùng đó như mật khẩu, địa chỉ, điện thoại, Chúng ta có thể sử dụng Active Directory để chứa bất kỳ thông tin nào về các người dùng trong tổ chức và các tài nguyên khác. 2.1.3.2. Sử dụng các chính sách nhóm: - Do cách thức thừa hưởng các thiết lập từ đối tượng mức cha truyền xuống mức con, chúng ta có thể sử dụng các OU để gom các đối tượng có cấu hình tương tự nhau. Các thiết lập cấu hình mà chúng ta áp dụng đến từng máy chạy Windows cũng có thể quản trị một cách tập trung nhờ sử dụng một tính năng của Active Directory gọi là chính sách nhóm (Group Policy). 21
  22. - Các chính sách nhóm cho phép chúng ta xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thực hiện trực tiếp trên máy tính đó. Chúng ta có thể thiết lập các tùy chọn cấu hình trên một đối tượng đặc biệt của Active Directory chứa các máy tính và các người dùng mà chúng ta muốn cấu hình. - GPO là một tập hợp của rất nhiều các thiết lập cấu hình, từ các quyền đăng nhập của người dùng đến các phần mềm cho phép hoạt động trong hệ thống. Bạn có thể gắn các GPO này với mọi đối tượng chứa trong Active Directory như miền, site, hoặc OU và các máy tính và người dùng trong các đối tượng chứa đó sẽ nhận được các thiết lập cấu hình trong GPO. Trong hầu hết các trường hợp, người quản trị mạng thiết kế cấu trúc phân cấp sao cho có thể áp dụng GPO một cách hiệu quả nhất. Bằng cách đặt các máy có vai trò xác định vào trong cùng một OU chúng ta có thể gán một GPO có các thiết lập đặc biệt dựa trên vai trò của máy tính đó vào OU này như vậy chúng ta đã cấu hình một lúc nhiều máy tính. 2.2. Sơ đồ hệ thống mạng doanh nghiệp: 2.2.1. Sơ đồ mạng của công ty: 22
  23. Hình 1: Sơ đồ tổng quát công ty. 2.2.2. Sơ đồ mạng WAN: Hình 2: Sơ đồ các chi nhánh. 2.3. Các dịch vụ được sử dụng trong hệ thống: 2.3.1. DHCP(Dynamic Host Configuration Protocol): 23
  24. - Hệ thống mạng trong công ty khoảng 200 máy nên việc cấu hình về địa chi IP cho từng máy theo cách thủ công thì rất mất nhiều thời gian và không chính xác. Nên chúng tôi chủ trương sử dụng dịch vụ DHCP để cấp phát địa chỉ IP một cách tự động. o Các tiện ích khi sử dụng dịch vụ DHCP: § DHCP có thể cấu hình tự động một máy khi nó khởi động trên một mạng TCP/IP cũng như có thể thay đổi các thiết lập trong khi các máy đang kết nối đến mạng. § Thiết lập thông tin một cách tập trung, chúng ta có thể dễ dàng thêm hoặc thay đổi các thiết lập máy trạm. § Tập trung quản trị thông tin về cấu hình IP: Thông tin cấu hình IP của DHCP có thể lưu trong một vị trí và cho phép người quản trị có thể quản lý thông tin cấu hình IP. Máy chủ DHCP sẽ theo dõi các địa chỉ IP đã cấp và địa chỉ IP dành riêng và liệt kê chúng trong bảng điều khiển DHCP. § Cấu hình động cho các máy: DHCP tự động thực hiện quá trình cấu hình động các tham số cấu hình quan trọng trong các máy. Điều này giảm thiểu nhu cầu cấu hình thủ công cho các máy riêng biệt khi TCP/IP lần đầu tiên được triển khai hoặc khi yêu cầu thay đổi cơ sở hạ tầng IP. § Cấu hình IP cho các máy một cách liền mạch: DHCP đảm bảo rằng các máy trạm DHCP có thể nhận được các tham số cấu hình IP một cách chính xác và kịp thời mà không cần tác động của người dùng. - Sự linh hoạt và khả năng mở rộng: DHCP cho phép người quản trị mạng tăng sự linh hoạt và có thể thay đổi cấu hình IP một cách dễ dàng khi cơ sở hạ tầng thay đổi. DHCP phù hợp từ mạng nhỏ đến mạng lớn 2.3.2. DNS (Domain Name System): 24
  25. - Hệ thống mạng tại công ty Hoàng Sơn là một hệ thống mạng tương đối lớn nên nhu cầu truy cập Internet lúc nào cũng cần thiết nhưng cũng găp không ít một số khó khăn như: o Lưu lượng mạng và máy chủ duy trì tập tin bị quá tải. o Xung đột tên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn việc tạo 2 tên trùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có nguy cơ bị xung đột tên. o Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn. - Từ những yêu cầu cần thiết đó chúng tôi đã xây dựng cho hệ thống mạng Hoàng Sơn dịch vụ DNS để khắc phục các nhược điểm trên. 2.3.3. E-Mail (Thư điện tử): - Từ các nhu cầu thực tiễn của công ty giao dịch thường xuyên với khách hàng hay tiếp nhận các yêu cầu, nhận xét của khách hàng hay những nhu cầu đặt hàng của khách qua mạng thì nhu cầu về một hệ thống Mail cho công ty là một nhu cầu thực tế tại mỗi công ty. Tại công ty Hoàng Sơn chúng tôi đã tiếp nhận các yêu cầu thực tế đó và đã xây dựng một hệ thống Mail cần thiết cho công ty hoạt động trong nội bộ cũng như qua mạng để phục vụ cho các yêu cầu của khách hàng được tốt hơn. 2.3.4. Web-Site (Trang Web): - Do công ty hoạt động giao dich thường xuyên với khách hàng và cũng do nhu cầu về vấn đề an ninh cho mạng doanh nghiệp tránh các vụ tấn công từ bên ngoài qua các trang Web. Mặc khác, để tránh tình trạng nhân viên truy cập những trang Web không cần thiết trong giờ làm việc nên chúng tôi chủ trương xây dựng một hệ thống Web Server trong công ty để cho các nhân viên truy cập những trang Web cần thiết từ trên Web Server điều đó sẽ làm cho công ty ngày càng an ninh và phát triển hơn các nhân viên tập trung vào công việc hơn. 25
  26. 2.3.5. RAS (Remote Access Server): - Để xây dựng một hệ thống mạng cho phép các người dùng di động hoặc các văn phòng chi nhánh ở xa kết nối về. Để đáp ứng được nhu cầu trên chúng tôi phải thiết lập một Remote Access Server (RAS). - Khi máy tính Client kết nối thành công vào RAS, máy tính này có thể truy xuất đến toàn bộ hệ thống mạng phía sau RAS, nếu được cho phép, và thực hiện các thao tác như thể máy đó đang kết nối trực tiếp vào hệ thống mạng. 2.3.6. PRINT(Quãn lí in ấn): - Công ty chúng tôi với chức năng là mua bán trao đổi các linh kiện điện tử nên nhu cầu mua bán trao đổi khách hàng về các hóa đơn, chi tiết mặt hàng hay một số các dữ liệu cần thiết cho cấp trên khi cần nên nhu cầu in ấn cũng được đặt ra cho người quản trị mạng. - Tại công ty chúng tôi xây dựng được 3 máy in đặt tại phòng giao dịch, phòng giám đốc, phòng kế toán. - Hệ thống được quản lý tập trung theo mạng LAN nội bộ công ty nên các máy in được cấu hình sẽ in ấn được qua mạng nội bộ trong công ty. 2.3.7. FTP(File Transfer Protocol): - Dịch vụ tập tin trong hệ thống mạng cho phép các máy tính chia sẻ các tập tin, thao tác trên các tập tin chia sẻ này như: lưu trữ, tìm kiếm, di chuyển khi không có mạng, các khả năng truyền tải tập tin giữa các máy tính bị hạn chế. - Ví dụ như chúng ta muốn sao chép một tập tin từ máy tính cục bộ ở tại trụ sở chính công ty sang một máy tính server đặt tại khu vực các chi nhánh thành phần thì chúng ta dùng dịch vụ FTP để sao chép. 2.4. An ninh mạng: - Từ những yêu cầu thực tiễn của công ty về một hệ thống quản lý mạng tập trung sử dụng các chính sách và tài khoản và nhóm cho mỗi phòng ban, các dịch vụ được sử dụng trong hệ thống mạng như Web, Mail, nên yêu cầu bảo mật và 26
  27. an ninh cho hệ thống mạng là rất quan trọng để bảo vệ các tài nguyên hệ thống mạng và các dữ liệu cho công ty. 2.4.1. Giới thiệu Firewall: - Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. - Firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không tin tưởng mà thông thường là Internet. Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với bộ định tuyến (Router) hoặc có chức năng Router. 2.4.2. Chức năng của Firewall: - Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall. - Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted network) mới được quyền lưu thông qua firewall. Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm: - Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái phép vào hệ thống mạng nội bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản (account) bao gồm một tên người dùng (username) và mật khẩu (password). - Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài nguyên cũng như các nguồn thông tin trên mạng theo từng người, từng nhóm người sử dụng. - Quản lý kiểm toán (Accounting Management): cho phép ghi nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập đối với vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung 27
  28. 2.4.3. ISA (Internet Security and Acceleration): Là phần mềm share internet của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2000 Server. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). 2.4.4. Đặc điểm của ISA: - Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con, - Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ. - Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng. - NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con. - Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tương ứng. - Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho 28
  29. từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác. - Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như Authentication, Publish Server, giới hạn một số traffic. - Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy chia sẻ truy xuất Web. - Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kỹ thuật gởi thông báo qua E-mail, - Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA Server 2004, không giống như packet filtering firewall truyền thống, ISA 2004 có thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số đặc điểm nổi bậc của ALF: - Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP. - Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như .pif, .com, - Có thể giới hạn HTTP download. - Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập. - Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature). - Điều khiển một số phương thức truy xuất của HTTP 2.5. Bảo mật mạng: Từ những yêu cầu thực tiễn của công ty về một hệ thống quản lý mạng tập trung sử dụng các chính sách và tài khoản và nhóm cho mỗi phòng ban, các dịch vụ được sử dụng trong hệ thống mạng như Web, Mail, Mặc khác ngày nay trên các trang Web của các công ty vấn đề về Hacker cũng rất được quan tâm. Vì thế, yêu cầu bảo mật là quan trọng nhất đối với mỗi doanh nghiệp 29
  30. 2.5.1. Bảo mật hệ thống mạng dùng IPSec: IPSec là một khung kiến trúc cung cấp các dịch vụ bảo mật, mật mã dành cho các gói IP. IPSec là một kỹ thuật bảo mật điểm tới điểm nghĩa là chỉ có những máy tạm biết rõ về sự hiện của IPSec đó chính là hai máy tính sử dụng IPSec liên lạc với nhau là biết rõ cơ chế bảo mật của nhau. 2.5.2. Các tính năng bảo mật của IPSec: - Kết hợp bảo mật tự động: IPSec sử dụng Internet Security Association (Kết hợp bảo mật Internet) để thỏa thuận các yêu cầu cho hai máy tính với nhau, chúng cần các cấu hình đã được thỏa thuận để thiết lập một tập các yêu cầu bảo mật với máy tính kia. - Lọc gói IP: Quá trình lọc này cấm các liên lạc cần thiết bằng cách chỉ định các khoảng địa chỉ IP, các giao thức, hay thậm chí cả những cổng của giao thức. - Bảo mật lớp mạng: IPSec nằm tại lớp mạng, cung cấp cơ chế bảo mật một cách tự động, trong suốt cho các ứng dụng. - Xác thực ngang hàng: IPSec xác nhận lại mả nhận dạng của máy tính đối tác trước khi có bất cứ một gói dữ liệu nào được chuyển. - Xác thực dữ lệu gốc: ngăn cản các người dùng không đúng chức năng khỏi việc can thiệp vào gói tin và khai báo họ là người gửi dữ liệu. - Tính nguyên vẹn của dữ liệu: Sử dụng số kiểm soát bằng mật mã, IPSec bảo vệ dữ liệu đang vận chuyển không bị sửa đổi bởi các người dùng không được xác thực, đảm bảo rằng các dữ liệu mà người nhận có được là chính xác các thông tin mà người gửi đã gửi cho mình. - Tính riêng tư: Các gói dữ liệu khi được gửi là được mã hóa bằng các kỷ thuật mã hóa khóa bí mật qui ước. - Tính khoảng lặp: sử dụng số thứ tự trên mõi gói tin đã được bảo vệ được gửi giữa các đối tác có sử dụng các đối tác có sử dụng IPSec. Dữ liệu được trao đổi giữa các đối tác không thể bị lập lại để thiết lập các quan hệ bảo mật khác 30
  31. Chương 3. Thiết kế hệ thống mạng 31
  32. 3.1. Cấu trúc mạng: - Đây là một hệ thống mạng dành cho nội bộ doanh nghiệp và các chi nhánh trong thành phố phối hợp mua bán các linh kiện điện tử tin học trong và ngoài nước nên yêu cầu bảo mật cho hệ thống rất cao.Bên cạnh đó trong tòa nhà và các chi nhánh các phòng ban làm việc với các chức năng khác nhau :Phòng Giám Đốc,các phòng Phó Giám Đốc,các quầy Giao Dịch, phòng Kế Toán, phòng Kỹ Thuật nên việc bảo mật trong các phòng này cũng được đặt ra.Chính vì thế chúng tôi xây dựng mạng LAN tại tòa nhà chính công ty trong đó mỗi phòng ban là một mạng LAN tại mỗi phòng. · Tầng Trệt: o Phòng Giao Dịch: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc. o Phòng Công Quỹ: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc. · Tầng 1: o Phòng kỹ thuật: Nơi đặt các Router, Main Switch, Main Server, Firewall, Backup Server, Web Server, Mail Server và các Server cho các phòng khác. o Phòng Kinh Doanh: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc. o Phòng kế hoạch: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc. · Tầng 2: o Phòng Kế Toán: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc. o Phòng Tổ Chức: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc. 32
  33. o Phòng Marketing: Nơi đặt 1 Switch và các máy Client các nhân viên làm việc. · Tầng 3: o Phòng Giám Đốc: Nơi đặt một máy Laptop. o Phòng Phó Giám Đốc: Nơi đặt một máy Laptop. · Tầng 4: o Phòng họp: nơi đặt 1 Switch. 3.2. Địa chỉ IP: - Với những gì nghiên cứu được ở trên chúng tôi sẽ sử dụng địa chỉ mạng ở lớp C. Lớp C cung cấp cho chúng ta 254 host/ Net, nên việc mở rộng mạng không gặp bất cứ vấn đề nào. - Chúng ta cần chia mạng con vì giúp chúng ta cải thiện được tốc độ đường truyền của mạng và việc quản trị mạng được dễ dàng hơn và tối ưu hơn. - Từ yêu cầu của hệ thống mạng và điều kiện kỹ thuật cho phép chúng ta sử dụng địa chỉ IP ảo: 192.168.0.0 /24. - Để làm cho hiệu suất của mạng được tốt hơn chúng tôi chia làm 9 mạng con theo từng phòng ban có dãy địa chỉ lần lượt là: · Phòng kỹ thuật: Gồm có trưởng phòng kỹ thuật các server, Firewall, Router có khả năng đáp ứng đến 30 địa chỉ: Network: 192.168.0.0 /27 Subnet: 192.168.0.31 /27 · Phòng kế toán: Gồm có trưởng phòng kế toán và các máy Client cho nhân viên có khả năng đáp ứng đến 30 địa chỉ. Network: 192.168.0.32 /27 Subnet: 192.168.0.63 /27 · Phòng công quỹ: Gồm có trưởng phòng và các máy nhân viên nên có khả năng đáp ứng đến 30 địa chỉ. 33
  34. Network: 192.168.0.64 /27 Subnet: 192.168.0.95 /27 · Phòng tổ chức: Gồm có trưởng phòng và các máy nhân viên nên có khả năng đáp ứng đến 30 địa chỉ. Network: 192.168.0.96 /27 Subnet: 192.168.0.127 /27 · Phòng giám đốc và phó giám đốc: Gồm có giám đốc, phó giám đốc và các thư ký nên có thể đáp ứng 8 địa chỉ. Network: 192.168.0.128 /29 Subnet: 192.168.0.135 /29 · Phòng kế hoạch: Gồm trưởng phòng kế hoạch và các nhân viên nên có thể đáp ứng đến 30 địa chỉ. Network: 192.168.0.136 /27 Subnet: 192.168.0.165 /27 · Phòng giao dịch: Gồm các máy lưu trữ dữ liệu khách hàng, hóa đơn có khả năng đáp ứng đến 4 địa chỉ. Network: 192.168.0.166 /30 Subnet: 192.168.0.169 /30 · Phòng Marketting: Gồm trưởng phòng và các nhân viên có thể đáp ứng đến 30 địa chỉ. Network: 192.168.0.170 /27 Subnet: 192.168.0.199 /27 · Phòng họp: Có khả năng đáp ứng đến 30 địa chỉ. Network: 192.168.0.200 /27 Subnet: 192.168.0.229 /27 34
  35. 3.3. Thiết kế hệ thống mức luận lý: Do nhu cầu của công ty về một mô hình quản lý tập trung mỗi phòng ban được tổ chức theo một đơn vị tổ chức, các trưởng phòng và các nhân viên có một tài khoản riêng. Cad trưởng phòng được ủy thác quản lý các nhân viên của mình trong hệ thống mạng như công việc bên ngoài. Từ những lý do đó chúng tôi thiết kế sơ đồ mức luận lý như sau: Hình 3.3: Sơ đồ hệ thống mức luận lý. 3.4. Bảng dự toán chi phí các trang thiết bị mạng: Từ các yêu cầu cần thiết của công ty, các mẫu phân tích và thiết kế cho hệ thống mạng cần phải có các loại trang thiết bị mạng để cấu hình nên hệ thống mạng thực tế. Chúng tôi đưa ra bảng dự toán về chi phí cần thiết để mua các thiết bị cần thiết cũng như các phần mềm được cài đặt trong hệ thống mạng như sau: Đơn Số Tổng giá x Stt Tên gọi Linh kiện Đặc tính lượ cộng(10 1000 ng 00đ) vnd SERVER Chip Intel 975X/1CH7R,S/p 775 3.8 Ghz,bus1066,2 PCI Mainboar 01 Asus P5WDG2-WS PRO ex16X 4789 1 4789 d CrossFire,Sound+Dual iran 1G,Ata100 35
  36. Socket 775 2x2MBK,Bus 02 CPU Intel P4 945-3.4Dhz 3134 1 3134 800 Bus 667 MHz PC400 King 2108 03 RAM 1GB DDRAm2 1 2089 Max 9 04 HDD 80GB Samsung Sata 2 Ata/300 7200 rpm 852 1 852 VGA 05 256MBASUS 9250GE/TD Radeon 9250 8X 128 bit 916 1 916 Card Monitor 1280x768 ,Có thể treo tường 5624 06 30” LG LCD 1 56245 và nối kết DVD,VCD 5 07 Case Case 500 W Crytal trong suốt có 5 quạt 916 1 916 08 Keyboard Robo Logitech PS/2 Mutimedia 161 1 161 09 Mouse Ginius 320 USB Optical 241 1 241 56K,V92// V90 Chip intel, 10 Modem D-Link exit 402 1 402 Voice 11 Router Compex 4Port 4RJ45,Router 1350 1 1350 Hub- 12 16 Port LinkPro 100 Switch hub 10/100 base T 1366 10 13660 Switch DC SERVSER Chip Intel 975X/1CH7R,S/p Mainboar 775 3.8 Ghz,bus1066,2 PCI 01 d Asus P5WDG2-WS PRO ex16X 4789 1 4789 CrossFire,Sound+Dual iran 1G,Ata100 Socket 775 2x2MBK,Bus 02 CPU Intel P4 945-3.4Dhz 3134 1 3134 800 Bus 667 MHz PC400 King 03 RAM 1GB DDRAm2 2089 1 2089 Max 04 HDD 500GB Hitachi Sata 2 Ata/300 4660 2 9320 VGA 05 256 MB ASUS 9250GE/TD Radeon 9250 8X 128 bit 916 1 916 Card Monitor 06 17 “ TCL 7005 1280x1024, Speaker 3519 1 3519 36
  37. 07 Case Case 500 W Crytal trong suốt có 5 quạt 916 1 916 08 Keyboard Robo Logitech PS/2 Mutimedia 161 1 161 09 Mouse Ginius 320 USB Optical 241 1 241 Tổng Cộng: 109840 Tổng Đơn giá x Số Stt Tên gọi Linh kiện Đặc tính cộng(100 1000 vnd lượng 0 đ) CLIENT CHO PHÒNG KINH DOANH+KẾ TOÁN+CÔNG QUỸ Chip intel Mainboard G965/ICH8, S/P 755 01 Asus P5B-VM 2443 30 73290 3.8 GHz,bus 1066, Sound+Lan1G Intel P4 511-2.8 02 CPU Socket 775 1MBk 1550 30 46500 GHz Bus 400 Mhz 03 RAM 512 DDRAM 1000 30 30000 PC3200 CORSAIR 40 GB Samsung 04 HDD Ata/300-7200 rpm 750 30 2250 Sata2 Radeon 512 MB Asus RX1600PRO 16X 05 VGA Card 2200 30 66000 Eax1600pro/td 128 bit DDR2 Out TV, DVI Monitor 06 17 “ TCL 7005 1280x1024, Speaker 3519 30 45570 07 Case Case 400W 288,848 280 30 8400 08 Keyboard A4 TECH slim PS/2 90 30 2700 09 Mouse Elephant PS/2 optical 80 30 2400 CÁC CLIENT CÒN LẠI VÀ CÁC CHI NHÁNH Chip intel Mainboard G965/ICH8, S/P 755 01 Asus P5B-VM 2443 170 415310 3.8 GHz,bus 1066, Sound+Lan1G 37
  38. Intel P4 511-2.8 02 CPU Socket 775 1MBk 1550 170 263500 GHz Bus 400 Mhz 03 RAM 256 DDRAM 450 170 76500 PC3200 NCP 40GB Samsung 04 HDD Ata/300-7200 rpm 750 170 127500 Sata2 Radeon 9250 128 MB Asus 05 VGA Card 8x64bit Out TV, 675 170 114750 A9250/TD DVI Monitor 06 15“ TCL 5005 1024x768Speaker 3050 170 518500 07 Case Case 400W 288,848 280 170 47600 08 Keyboard A4 TECH slim PS/2 90 170 15300 09 Mouse Elephant PS/2 optical 80 170 13600 Tổng Cộng 1869670 Các thiết bị mạng khác: Stt Tên Giá Số lượng Tổng cộng(đ) 01 Cable 3000 đ/m 1500m 4500000 02 Đầu RJ45 1000 đ/cái 300 cái 300000 03 Hộp đi dây 2000 đ/m 200 m 400000 04 Đinh Vít 20000 đ/100 con 200 con 40000 05 Printer(CannonPixma iP4200) in 2100 000 đ/cái 10 máy 21000000 2 mặt Tổng cộng: 23240000 3.5. Chi phí phần mềm: - Windows XP Professional SP2 Giá: 225.000 đ - Windows Server Standard 2003 Giá 200.000 đ - ISA2004 1.500.000đ - Mdeamon 150.000đ - Chi phí lắp đặt và cài đặt: 10.000.000 đ - Tổng dự toán chi phí: 2.015.500.000đ 38
  39. Chương 4. Triển khai hệ thống mạng doanh nghiệp 39
  40. 4.1. Cài đặt Main Server: Nâng cấp máy chủ lên DC: Đăng nhập vào máy tính Windows Server 2003 bằng tài khoản Administrator rồi thực hiện các thao tác sau: Từ nút Start/Run ta nhập dòng lệnh dcpromo và nhấn Enter. Hình 1: Gõ dcpromo từ màn hình Comand. Trình hướng dẫn cài đặt “Active Directory Intallation Wizard” được nạp. Nhấn Next tiếp tục. Hình 2: Nhấn Next cho trình cài đặt. 40
  41. Nhấn Next bỏ qua trang Welcome trang Operation System Compatibility (Tính tương thích hệ thống xuất hiện. Chúng ta đọc thông tin trong trang này và nhấn Next để tiếp tục.Trang Domain Controller Type (Kiểu máy chủ quản trị miền) xuất hiện: Hình 3: Tạo một Domain mới. Giữ nguyên giá trị mặc định “Domain Controller For A New Domain” (Máy chủ quản trị miền cho một miền mới) được lựa chọn và nhấn Next để tiếp tục. Trang “Create New Domain” (Tạo Miền Mới) xuất hiện. Hình 4: Tạo miền cha mới. 41
  42. Giữ nguyên giá trị mặc định “Domain In A New Forest” (miền trong một rừng mới) được lựa chọn và nhấn Next.Trang New Domain Name (Tên Miền Mới) xuất hiện. Hình 5: Đặt tên miền. Trong hộp thoại “Full DNS Name For New Domain” (Tên DNS đầy đủ của miền mới) chúng ta nhập vào tên miền ntt.com sau đó nhấn Next.Trang NetBIOS Domain Name (Tên miền NetBIOS) xuất hiện. Hình 6: Hiển thị tên miền chấp nhận. 42
  43. Xác nhận lại trong hộp thoại Domain NetBIOS Name là “NTT” và nhấn Next. Trang Database And Log Folder (Thư mục chứa CSDL và nhật ký) xuất hiện. Ta nhấn Next để chấp nhận vị trí mặc định của các thư mục chứa Log và CSDL.Trang “Share System Volume” (Thư mục hệ thống được chia sẻ) xuất hiện. Hình 7: Danh mục tài liệu chia sẻ. Nhấn Next để chấp nhận vị trí mặc định của thư mục hệ thống chia sẻ.Trang DNS Registration Diagnostics (Chẩn đoán đăng ký DNS) xuất hiện. Hình 8: Đăng kí DNS. 43
  44. Tại thời điểm này trình hướng dẫn sẽ thử kết nối đến các máy chủ DNS được chỉ định trong phần cấu hình TCP/IP để xác định liệu các máy chủ DNS đó có chứa các bản ghi cần thiết cho quá trình cài đặc miền sử dụng Active Directory hay không. Ta lựa chọn Radio button thứ hai (cài đặt và cấu hình máy chủ DNS trên máy tính này) sau đó nhấn Next. Trang cấp phép(Permission) xuất hiện. Ta cũng mặc định chọn Radio button thứ hai nhấn Next .Trang “Directory Services Restore Mode Administrator Password” (Mật khẩu tài khoản quản trị trong chế độ khôi phục dịch vụ thư mục ) xuất hiện. Hình 9: Thiết lập mật khẩu cho miền. Ta nhập vào Password tương ứng vào các hộp thoại Restore Mode Password và Confirm Password và sau đó nhấn Next. Trang Summary (Tổng kết) xuất hiện.Chúng ta đọc lại các tin tức đã cấu hình rồi nhấn Next.Trình cài đặt sẽ bắt đầu cài đặt các dịch vụ Active Directory và DNS Server. 44
  45. Hình 10: Trình cài đặt miền. Khi cấu hình hoàn thành xong, trang “Complete The Active Directory Installation Wizard” (hoàn thành việc cài đặt Active Directory). Ta nhấn Finish để hoàn thành. Restart lại máy. Sau khi khởi động lại bằng tài khoản Administrator.Ta Right-Click vào My Computer vào Computer Name và kiểm tra lai tên máy lúc này đã lên miền. 4.2. Các dịch vụ được cài trong các Server: 4.2.1. Web Server: 4.2.1.1. Sơ đồ hoạt động của Web tĩnh: Hình 1: Sơ đồ hoạt động Web tĩnh. 4.2.1.2. Sơ đồ hoạt động của Web động: 45
  46. Hình 2: Sơ đồ hoạt động của Web động 4.2.1.3. Nguyên tắc hoạt động của Web Server Ban đầu Web Server chỉ phục vụ các tài liệu HTML và hình ảnh đơn giản.Tuy nhiên, đến thời điểm hiện tại nó có thể làm nhiều hơn thế. Đầu tiên xét Web Server ở mức độ cơ bản, nó chỉ phục vụ các nội dung tĩnh. Nghĩa là khi Web Server nhận 1 yêu cầu từ Web Browser, nó sẽ ánh xạ đường dẫn này URL (ví dụ: thành một tập tin cục bộ trên máy Web Server. Máy chủ sau đó sẽ nạp tập tin này từ đĩa và gởi tập tin đó qua mạng đến Web Browser của người dùng. Web Browser và Web Server sử dụng giao thức HTTP trong quá trình trao đổi dữ liệu. Hình 3: Sơ đồ hoạt động của Web Server 46
  47. 4.2.1.4. Web client: Là những chương trình duyệt Web ở phía người dùng, như Internet Explorer, Netscape Communicator , để hiển thị những thông tin trang Web cho người dùng. Web Client sẽ gửi yêu cầu đến Web Server. Sau đó, đợi Web Server xử lý trả kết quả về cho Web Client hiển thị cho người. 4.2.1.5. Cài đặt IIS Web Service: Start/Control Panel/Add Remove Program/ Add Remove Program Component/ Netword Services/IIS/Next. Hình 5: Chọn Finish để hoàn tất quá trình. 4.2.1.6. Cấu hình IIS 6.0 Web service: - Sau khi ta cài đặt hoàn tất, ta chọn Administrative Tools | Information Service (IIS) Manager, sau đó chọn tên Server (local computer) - Trong hộp thoại IIS Manager có xuất hiện 3 thư mục: - Application Pools: Chứa các ứng dụng sử dụng worker process xử lý các yêu cầu của HTTP request. - Web Sites: Chứa danh sách các Web Site đã được tạo trên IIS. - Web Service Extensions: Chứa danh sách các Web Services để cho phép hay không cho phép Web Server có thể thực thi được một số ứng dụng Web như: ASP, ASP.NET, CGI, WebDAV, 47
  48. Hình 6: Danh sách các Web site. - Trong thư mục Web Sites ta có ba Web Site thành viên bao gồm: - Default Web Site: Web Site mặc định được hệ thống tạo sẳn. - Microsoft SharePoint Administration: Đây là Web Site được tạo cho FrontPage Server Extensions 2002 Server Administration - Administration: Web Site hỗ trợ một số thao tác quản trị hệ thống qua Web. - Khi ta cấu hình Web Site thì ta không nên sử dụng Default Web Site để tổ chức mà chỉ dựa Web Site này để tham khảo một số thuộc tính cần thiết do hệ thống cung cấp để cấu hình Web Site mới của mình. Một số thuộc tính cơ bản. - Trước khi cấu hình Web Site mới trên Web Server ta cần tham khảo một số thông tin cấu hình do hệ thống gán sẳn cho Default Web Site. Để tham khảo thông tin cấu hình này ta nhấp chuột phải vào Default Web Site chọn Properties 48
  49. Hình 7: Các thẻ cấu hình site. - Tab Web Site: mô tả một số thông tin chung về dịch vụ Web như: - TCP port: chỉ định cổng hoạt động cho dịch vụ Web, mặc định giá trị này là 80. - SSL Port: Chỉ định port cho https, mặc định https hoạt động trên port 443. https cung cấp một số tính năng bảo mật cho ứng dụng Web cao hơn http. - Connection timeout: Chỉ định thời gian duy trì một http session. - Cho phép sử dụng HTTP Keep-Alives. - Cho phép ghi nhận nhật ký (Enable logging) - Performance Tab: cho phép đặt giới hạn băng thông, giới hạn connection cho Web site. - Home Directory Tab: Cho phép ta thay đổi Home Directory cho Web Site, giới hạn quyền truy xuất, đặt một số quyền hạn thực thi script cho ứng dụng Web ( như ta đặt các thông số: Application name, Execute permission, Application pool) 49
  50. Hình 8: Cấu hình site trong thẻ Home Directory. - Ta chọn nút Configuration để có thể cấu hình các extensions về .asp, .aspx,.asa, cho Web Application Hình 9: Cấu hình Extensions cho Web Application. - Documents Tab: Để thêm hoặc thay đổi trang Web mặc định cho Web Site. 50
  51. Hình 10: Thay đổi trang mặc định cho site. - Directory Security Tab: Đặt một số phương thức bảo mật cho IIS. Tạo mới một Web site Nhấp chuột phải vào thư mục Web Sites | New | Web Site | Next. - Ta cung cấp tên Web Site trong hộp thoại Description | Next. “Enter the IP address to use for this Web site”: Chỉ định địa chỉ sử dụng cho Web Site, nếu ta chỉ định “All Unassigned” có nghĩa là HTTP được hoạt động trên tất cả các địa chỉ của Server. “TCP port this Web site should use”: Chỉ định cổng hoạt động cho dịch vụ. - “Host Header for this Web site (Default: None)”: Thông số này để nhận diện tên Web Site khi ta muốn tạo nhiều Web Site cùng sử dụng chung một địa chỉ IP thì ta thường dùng thông số này để mô tả tên các Web Site đó, do đó khi ta chỉ tổ chức một Web Site tương ứng với 1 địa chỉ IP thì ta có thể không cần sử dụng thông số này. 51
  52. Hình 11: Nhận diện site. - Trong hộp thoại “Web Site Home Directory” để chỉ định thư mục home của Web Site (thư mục lưu trữ nội dung của Web Site) và chỉ định Anonymous có được quyền truy xuất Web Site hay không Hình 12: Chỉ định thư mục Home của site. 4.2.2. Mail Server: 4.2.2.1. Hệ thống Mail cục bộ: - Cấu hình hệ thống Mail đơn giản gồm một hoặc nhiều trạm làm việc kết nối vào một Mail Server. Tất cả Mail đều chuyển cục bộ. 52
  53. Hình 1: Hệ thống Mail cục bộ. 4.2.2.2. Hệ thống Mail cục bộ kết nối ra ngoài: Hệ thống Mail trong một mạng nhỏ gồm một Mail Server, một Mail Host và một Mail Gateway kết nối với hệ thống bên ngoài. Không cần DNS Server. Hình 2: Hệ thống Mail có kết nối ra ngoài. 4.2.3. Backup Server: - Cấu hình: Sử dụng các khả năng của chương trình Microsoft Windows Server 2003. Có thể sử dụng mạng để truy cập đến các máy chủ cần sao lưu. - Chức năng: - Sao lưu các ổ cứng tại chổ, các ổ chia sẻ trên cùng mạng. 53
  54. - Sao lưu các file sang một ổ băng từ hoặc sang một file trên một ổ địa nội bộ khác chúng ta có thể chuyển sang một CD-ROM, hoặc các phương tiện lưu trữ khác. - Khôi phục các file đã sao lưu vào vị trí nguyên gốc của nó hoặc đến một vị trí thay thế khác. 4.2.4. DNS: 4.2.4.1. Giới thiệu: Dịch vụ DNS dùng để phân giải tên miền thành địa chỉ IP và ngược lại. Hệ thống miền: Root Net Edu Vn Com Edu . Pc Pc Hệ thống tên miền sử dụng. 4.2.4.2. Hoạt động của DNS: - Mỗi miền sẽ có DNS Server 54
  55. - Hoạt động phân giải tên miền Interactive Query là truy vấn được gởi tới DNS server trong đó DNS Client yêu cầu DNS server cung cấp thông tin tốt nhất mà nó có mà nó không tìm sự trợ giúp từ Name Server khác . - Cient gởi tên miền cần phân giải tới DNS Server theo địa chỉ cấu hình trong ICP/IP properties hoặc(DHCP) cấp Nếu DNS phân giải được thì nó gởi địa chỉ IPcủa máy có tên miến cần phân giải .Nếu không phân giải được thì nó gởi ten miền tới DNSserver của miền cao nhất. - Các DNS server ở các miền nếu phân giải được thjì nó sẽ gởi địa chỉ IP.Ngược lại gởi tín hiệu yeu cầu phân giải ở miền thấp hơn. 4.2.4.3. Cài đặt và cấu hình DNS: Chúng ta vào Star / Setting / Control Panel / Add Remove Program Component. Hình 1: Chọn Netword Services và nhấn nút chọn Details. Chúng ta đánh dấu chọn DNS (Domain Name System) để tiến hành cài đặt DNS 55
  56. Hình 2: Chọn Domain Name System (DNS). Trình cài đặt được tiến hành (Yêu cầu source I386 Để không mất các dịch vụ đã cài mở dịch vụ đó). Hình 3: Chọn nhấn Finish để hoàn tất trình cài đặt. 56
  57. 4.2.4.4. Cấu Hình DNS Server: Vào Administrative Tools / DNS Tạo Forword / Reverse DNS Forward : từ tên miền sang ip Revese: từ ip sang tên miền Tạo Forward Lookup Zones: - Từ tên miền DNS R_Click chọn New Zones. Hình 1: Tạo một Zone mới. - Trong hộp thoại Welcom to the New Zone Winzard nhấn Next để tiếp tục. 57
  58. Hình 2: Chọn loại Zone. - Chúng ta chọn Primary zone và nhấn Next tiếp tục. Hình 3: Đặt tên cho Zone. - Trong hộp thoại Zone Name chúng ta gõ tên của Zone vào và nhấn Next tiếp tục. 58
  59. Hình 4: Tạo một file mới. - Trong hộp thoại Zone File ta đánh dấu vào Checkbox Create a new file .gõ vào tên file rồi nhấn Next tiếp tục. Hình 5: Chọn mục tự động Update. - Trong hộp thoại Dynamic Update ta chọn Do not allow để không cho phép tự động Update rồi nhấn Next tiếp tục. 59
  60. Hình 6: Nhấn Finish để hoàn thành việc cài đặt. Tạo một Host Name cho DNS Server: - R_click vào tên Zone mới tạo chọn New Host / Đặt tên cho Host và địa chỉ cho host mới. Hình 7: Tạo một Host mới. - Tiếp tục R_click vào tên Zone và chọn Properties / vào thẻ SOA để xác định lại các thông số thuộc tính tên miền được chứng thực. 60
  61. Hình 8: Xác định lại thông số tên miền. - Trong tên Zone Properties vào thẻ Name Server thêm vào tên Host và địa chỉ đã đặt trước đó rồi nhấn Add và nhấn OK để hoàn thành cấu hình Host name. Hình 9: Thêm vào tên Host đã có. Tạo Reverse Lookup Zone: 61
  62. - Khi chúng ta tạo Forward Lookup Zones thì nó đã mặc định tạo luôn Reverse Lookup cho chúng ta rồi. Kiểm tra dịch vụ DNS Server: - Trong màn hình Comander gõ dòng lệnh nslookup Hình 10: Kiểm tra bằng lệnh nslookup. - Sau đó chúng ta gõ tiếp dòng lệnh “tênmay IP” để kiểm tra sự phân giải tên miền của DNS. Hình 11: Sự phân giải IP thành tên miền. - Để kiểm tra sự phân giải ngược lại của tên miền thành địa chỉ IP trong màn hình Comander tiếp tục gõ lệnh “set type=any”. Sau đó gõ vào tên miền rồi nhấn Enter rồi kiểm tra kết quả. 4.2.5. FTP: 62
  63. 4.2.5.1. Cài đặt dịch vụ FTP - Chọn Start | Control Panel. - Bấm đôi vào Add or Remove Programs. - Từ ô vuông bên trái (pane) của cửa sổ “Add or Remove Programs” chọn Add/Remove Windows Components. - Từ danh sách Components, chọn Application Server và chọn nút Details. - Từ danh sách các Application Server chọn Internet Information Services và chọn nút Details. - Chọn mục File Transfer Protocol (FTP) Service. Hình 1: Cài đặt FTP Services. - Bấm nút OK. - Click vào nút Next để hệ thống cài đặt dịch vụ FTP (đôi khi hệ thống yêu cầu chỉ bộ nguồn I386 hoặc đường dẫn có chứa thư mục này để hệ thống chép một số file cần thiết khi cài đặt). - Bấm vào nút Finish để hoàn tất quá trình cài đặt. 4.2.5.2. Cấu hình dịch vụ FTP: - Sau khi ta cài đặt hoàn tất dịch vụ FTP, để quản lý dịch vụ này ta chọn Start | Programs | Administrative Tools | Internet Information Services (IIS) Manager | Computer name | FTP sites. 63
  64. Hình 2: Quản trị IIS. Tạo mới FTP site. Tạo mới một FTP site ta thực hiện các bước sau: · IIS Manager ta bấm chuột phải vào vào thư mục FTP Sites | New | FTP Site | Next. Mô tả tên FTP site trong hộp thoại “FTP Site Desciption” | Next. · Chỉ định IP Address và Port sử dụng cho FTP Site, trong phần này ta để mặc định, tiếp theo chọn Next. · Trong hộp thoại “FTP User Isolation”, chọn tùy chọn Do not isolate users để cho phép mọi người dùng được sử dụng FTP server, chọn Next , ta cần tham khảo một số mục chọn sau Do not isolate users: Không giới hạn truy xuất tài nguyên cho từng người dùng. · Isolate users: Giới hạn truy xuất tài nguyên FTP cho từng người dùng (tham khảo trong cấu hình FTP User Isolation) Isolate users using Active Directory: Dùng AD để giới hạn việc sử dụng tài nguyên cho từng người (tham khảo trong mục cấu hình FTP User Isolation). 64
  65. Hình 3: Giới hạn việc sử dụng tài nguyên. · Chọn đường dẫn chỉ định Home Directory cho FTP Site, chọn Next. · Chọn quyền hạn truy xuất cho FTP site, mặc định hệ thống chọn quyền Read, chọn Next. · Chọn Finish để hoàn tất quá trình tạo FTP Site. Ta có thể kiểm tra bằng cách vào Internet Explorer đánh địa chỉ URL sau ftp:// 4.2.6. DHCP: 4.2.6.1. Hoạt động của DHCP: Chức năng cốt lõi của DHCP là cung cấp các địa chỉ IP. - Máy chủ DHCP phân phát các địa chỉ này được thực hiện bằng cách máy khách DHCP gởi các thông điệp lớp ứng dụng đến các máy chủ DHCP và nhận các thông điệp lớp ứng dụng này từ máy chủ DHCP 4.2.6.2. Cấu hình một phạm vi DHCP: - Mở bảng điều khiển DHCP từ thực đơn Administrative Tools. - Nhấn phải chuột vào DHCP chọn New Scope. 65
  66. Hình 1: Tạo một phạm vi mới. - Trong New Scope Wizard nhấn Next, nhập tên một mô tả của một phạm vi rồi chọn Next. Hình 2: Nhập tên của Scope. - Trong trang “IP Address Range” nhập vào khoảng địa chỉ. Dãy địa chỉ này sẽ gán cho máy khách. Giá trị mặc nạ con mặc định và nhấn Next. 66
  67. Hình 3: Nhập phạm vi của dãy IP. - Trong trang “Add Exclusions” nhập vào các đia chỉ loại trừ chọn Add sau đó nhấn Next (các địa chỉ này chỉ dành riêng cho các trường hợp đặc biệt). Hình 4: Nhập dãy địa chỉ loại trừ. - Trong trang “Lease Duration” (Thời hạn thuê) nhập vào số ngày, giờ và phút trước khi một địa chỉ IP đã gán từ phạm vi này hết hạn.Nhấn Next để tiếp tục. 67
  68. Hình 5: Tùy chọn giới hạn thời gian cấp IP. - Trong trang “Configure DHCP Option” (Cấu hình các tùy chọn DHCP) nhấn vào “Yes, I Want To Configure These Options Now” để sử dụng trình hướng dẫn này cấu hình DHCP thông dụng nhất.Nhấn Next. Hình 6: Cấu hình tùy chọn DHCP. 68
  69. - Trong trang “Router (Defaul Gateway)” nhập vào địa chỉ Ip cho cổng ra mặc định sẽ được sử dụng cho các máy khách mà nhận được địa chỉ IP từ phạm vi này. Nhấn Add / Next. Hình 7: Xác định địa chỉ cổng ra mặc định. - Trong trang “Domain Name And DNS Servers” nhập vào tên miền của hệ thống sau đó nhấn Resolve để đảm bảo máy chủ DHCP có thể liên lạc với máy chủ DNS và xác định địa chỉ IP của nó. Tiếp tục nhấn Add để thêm máy chủ đó vào danh sách của máy chủ DNS mà gán cho các máy khách DHCP. Nhấn Next. 69
  70. Hình 8: Xác định tên miền chính. - Trong trang WINS nhạp địa chỉ IP của máy chủ DNS sau đó nhấn Add.Nếu bạn không biết địa chỉ IP trong hộp thoại Server Name nhập tên của máy chủ WINS và nhấn Reosolve. Nhấn Next. - Trong trang “Activate Scope” Nhấn “Yes, I Want To Ativate This Scope Now”. Nhấn Next. 70
  71. - Trong trang “Completing The New Scope Wizard” nhấn Finish để hoàn thành các cấu hình.Kiểm tra lại các phạm vi đã đặt trong bảng DHCP. 4.2.6.3. Cấp phát địa chỉ IP cho các máy khách: - Từ máy client có địa chỉ IP động,trong màn hình Comand ta gõ dòng lệnh “ipconfig/release” hay Repair trong Network Services để xóa toàn bộ các địa chỉ đã cấp phát trước đó. - Sau đó trong màn hình Comand ta gõ dòng lệnh “ipconfig/renew” để cấp lại một địa chỉ mới do DHCP cung cấp. - Từ màn hình Comand ta gõ “ipconfig/all” để xem lại các loại địa chỉ đã cấp 4.2.7. ADSL: 4.2.7.1. Dịch vụ ADSL(Asymmetric Digital Subscriber Line): - ADSL là từ viết tắt của Asymmetric Digital Subscriber Line dịch sang tiếng Việt là đường dây thuê bao số bất đối xứng, là một dạng của DSL. - ADSL cung cấp một phương thức truyền dữ liệu với băng thông rộng, tốc độ cao hơn nhiều so với phương thức truy cập qua đường dây điện thoại truyền thống theo phương thức quay số (Dial up). Khi truyền băng thông trên đường dây điện thoại được tách ra làm 2 phần, 1 phần nhỏ dùng cho các tín hiệu nhu Phone,Fax. phần lớn còn lại dùng cho truyền tải tín hiệu ADSL. Ý nghĩa của cụm từ "bất đối xứng" trong ADSL là do lượng dữ liệu tải xuống và tải lên là không bằng nhau, với dữ liệu chủ yếu là tải xuống. 4.2.7.2. Công nghệ ADSL: Hình 1: Công nghệ ADSL. 4.2.7.3. Kỹ thuật Dial- up: 71
  72. - Kỹ thuật quay số. - Modem: Internal, External. - Tốc độ tối đa 56 KBps: sử dụng từ 1996 đến 2001. 4.2.7.4. Kỹ thuật ADSL: - Là kỹ thuật dùng cáp điện thoại tạo đường truyền kỹ thuật số bậc đối xứng chia băng tần của cáp điện thoại thành ba đường: Đường Voice dùng băng tầng từ 0 đến 20 KHz để đàm thoại: tín hiệu tương tự. Phần còn lại băng tầng từ 25 KHz đến 1 MHz dùng cho đường truyền ADSL dùng tín hiệu số Digital trong băng tầng này chia thành 2 đường: Đường Down tốc độ 8 MBps, đường Up tốc độ 0,7 MBps. Vì chênh lệch tốc độ giữa hai đường Download và Upload nên gọi ADSl là đường truyền bất đối xứng. - Tại Modem ADSL có gắn các thiết bị Sliter để tách tín hiệu đầu vào đúng đường truyền của nó và ngược lại. 4.2.7.5. Kết nối và cấu hình ADSL Router: Hình 2: Cấu hình ADSL Router. 4.2.7.6. Mô hình Modem Router: - Chuẩn bị : Từ ISP (internet service provider) cho account username,password - Cho thông số VPI/VCI (theo bưu điện). Địa chỉ máy DNS server. Từ nhà sản xuất cho IP của ADSL router. - Account có quyến Administrator - Cấu hình: 72
  73. - Nối máy tính với ADSL Router và cấu hình địa chỉ IP của máy tính cùng mạng với ADSL router. VD: Nếu ADSL địa chỉ là 192.168.0.1 thì địa chỉ máy tính là 192.168.0.2 mở trình duyệt IE nhập http//địa chỉ IP của router thì máy tính lấy trang Web của Router về, nhập tài khoản của nhà sản xuất cung cấp để cấu hình. - Click vào mục Setup(or Quit Setup) bỏ các mục DSL Auto_connect và nhập các thong số: VPI: 8(72), VCI: 35 Next. - Chọn giao thức kết nối :chọn PPP over Ethernet(PPPOE) Trong mục chọn LLL Next Nhập Username Password mà ISP cung cấp - Cấu hình cấp Ip dộng cho các máy trong mạng. - Click vào địa chỉ Enable DHCP Server nhập địa chỉ bắt dầu và địa chỉ kết thúc.Có thể thay đổi IP của Router để phù hợp với đỉa chỉ của mạng LAN đang sử dụng .Next - Nhập địa chỉ của cổng vào mục Defaul gateway(thường lấy địa chỉ Router) - Nhập địa chỉ của DNS server,bấm vào WAN kiểm tra kết nối bên ngoài .Kiểm tra giao thức sử dụng(PPOE)và VCI,VPI.Bấm vào LAN kiểm tra DHCP Server cấp IP cho các máy có Gateway(Router)&DNS. Save lại và Reset Modem. 4.2.8. RAS: 4.2.8.1. Cấu hình RAS server: - Đầu tiên, chúng ta phải đảm bảo đã cài driver cho các modem định dùng để nhận các cuộc gọi vào. Để kiểm tra, bạn vào Start / Settings / Control Panel / Phone and Modem Options, trong hộp thoại Phone and Modem Options, bạn chọn Modem cần kiểm tra và nhấp chuột vào nút Properties. Tại hộp thoại 73
  74. Properties, bạn chọn Tab Diagnostics và nhấp chuột vào nút Query Modem để hệ thống kiểm tra Modem hiện tại, nếu có lỗi thì hệ thống sẽ thông báo. Hình 1: Hệ thống kiểm tra Modem. - Tiếp theo bạn cần kích hoạt dịch vụ Routing and Remote Access trên Windows Server 2003. Bạn nhấp chuột vào Start / Programs / Administrative Tools / Routing and Remote Access, hộp thoại mở ra bạn nhấp phải chuột lên biểu tượng server của bạn, chọn Configure and Enable Routing and Remote Access. Chương trình sẽ xuất hiện hộp thoại Welcome to the Routing and Remote Access Server Setup Wizard. Nhấn Next để tiếp tục. Trong hộp thoại tiếp theo, Configuration, bạn chọn Custom configuration và chọn Next. Hình 2: Kích hoạt RAS. 74
  75. - Tiếp theo hộp thoại Custom Configuration xuất hiện, bạn chọn mục Dial-up access vì chúng ta cần xây dựng một Server cho phép các máy tính ở xa truy cập vào. Sau đó bạn nhấp chuột vào nút Next để tiếp tục. Hộp thoại Completing the Routing and Remote Access Server Setup Wizard xuất hiện, chọn Finish để kết thúc. Hình 3: Chọn xử lý theo quay số. - Một hộp thoại cảnh báo xuất hiện, yêu cầu bạn cho biết có khởi động dịch vụ này lên hay không? Bạn chọn Yes để khởi động dịch vụ. Hình 4: Khởi động dịch vụ. 75
  76. - Trong cửa sổ chính của chương trình, Nhấp phải chuột lên mục Ports, chọn Properties. Hộp thoại Ports Properties xuất hiện. Trong hộp thoại này, chọn một thiết bị Modem và nhấn Configure để cấu hình. Hình 5: Chọn Modem cấu hình. - Xuất hiện hộp thoại Configure Device. Trong hộp thoại này, chọn vào mục Remote access connections (inbound only), chỉ chấp nhận các cuộc gọi hướng vào. Sau đó nhấn nút OK. Hình 6: Cấu hình cho dịch vụ. - Lặp lại cho các thiết bị modem khác. Sau khi đã thực hiện xong, nhấn nút OK để đóng hộp thoại Ports Properties lại. Tiếp theo, bạn sẽ cấu hình để Server thực hiện chức năng RAS. Nhấn phải 76
  77. Hình 7 : Cấu hình Server nhận dịch vụ. - Hộp thoại Server Properties xuất hiện. Trong Tab General, bạn chọn các mục Router, LAN and dialdemand routing và mục Remote access server. Hình 8: Tùy chon thích hợp cho hệ thống. - Tiếp theo, bạn chọn Tab IP. Tab này chỉ xuất hiện khi hệ thống mạng của bạn có sử dụng bộ giao thức TCP/IP. Phần IP address assignment chỉ định cách cấp phát địa chỉ IP cho các RAS Client khi quay số vào. Nếu hệ thống mạng đã thiết lập một DHCP Server thì bạn có thể nhờ DHCP Server này cấp phát địa chỉ cho các RAS Client (chọn mục Dynamic Host Configuration Protocol). Nếu không có, bạn phải chỉ định danh sách các địa chỉ sẽ cấp phát (chọn mục Static address pool). Trong ví dụ này, bạn sẽ nhập vào danh sách địa chỉ IP. 77
  78. Hình 9: Nhập địa chỉ cần thiết. - Các Tab khác chúng ta để mặc định, sau khi đã cấu hình xong, nhấn OK để đóng hộp thoại Server Properties lại. - Bước tiếp theo là cấu hình các tài khoản dùng để quay số. Bạn có thể tạo trong local security database nếu RAS Server nằm trong workgroup hoặc tạo trên Active Directory database nếu là thành viên của một domain. Kích hoạt chương trình Local User and Group (hoặc Active Directory Users and Computers tuỳ theo ví trị tạo tài khoản), nhấp phải chuột lên tài khoản định cấu hình và chọn Properties. - Hộp thoại User Properties xuất hiện. Bạn chọn Tab Dial-in và chọn mục Allow Access để cho phép người dùng này được phép truy cập từ xa thông qua quay số. Ngoài ra trong hộp thoại này cũng cho phép bạn chọn chế độ quay số, nếu chọn mặc định (No Callback) thì phía máy trạm sẽ trả phí điện thoại, nhưng nếu bạn chọn chế độ Callback thì phía Server sẽ trả chi phí điện thoại trong quá trình quay số để truyền dữ liệu. Sau đó nhấn OK để đóng hộp thoại lại. 78
  79. Hình 10: Chọn chế độ quay số. - Như vậy là bạn đã cấu hình xong một RAS Server. Người dùng có thể bắt đầu dùng tài khoản đã cấp thực hiện kết nối từ xa qua đường quay số, truy xuất vào hệ thống mạng ở cơ quan 4.2.8.2. Cấu hình RAS client – Mở menu Start /Settings / Network and Dial-up Connections. Trong cửa sổ Network and Dialup Connections, nhấp đôi chuột vào Make New Connection. Xuất hiện hộp thoại Welcome to the Network Connection Wizard, bạn nhấn Next để tiếp tục. – Trong hộp thoại Network Connection Type, bạn chọn mục Connect to the network at my workplace vì ở đây chúng ta kết nối với RAS Server nội bộ của công ty, không kết nối Internet. Sau đó nhấn nút Next để tiếp tục. – Tiếp theo bạn chọn loại kết nối là Dial-up hay VPN, ở đây chúng ta chọn kết nối kiểu quay số dung Modem. 79
  80. Hình 11: Cấu hình trong nội bộ. – Theo hướng dẫn của chương trình, bạn sẽ nhập tên của kết nối này, số điện thoại cần gọi đến của RAS Server, kết nối này chỉ dùng cho người dùng hiện tại hay cho mọi người. Cuối cùng, hộp thoại Completing the Network Connection Wizard xuất hiện bạn nhấn nút Finish để hoàn thành quá trình tạo kết nối. 4.2.9. PRINT: 4.2.9.1. Cài đặt máy in : - Nhấp chuột chọn Start, rồi chọn Printers And Faxes. - Nhấp chuột vào biểu tượng Add Printer, tiện ích Add Printer Wizard sẽ được khởi động. Nhấp chuột vào nút Next để tiếp tục. - Hộp thoại Local Or Network Printer xuất hiện. Bạn nhấp vào tùy chọn Local Printer Attached To This Computer trong trường hợp bạn có một máy in vật lý gắn trực tiếp vào máy tính của mình. Nếu trường hợp ta đang tạo ra một máy in logic ứng với một máy in mạng thì ta nhấp vào tùy chọn A Printer Attached To Another Computer. - Nếu máy in được gắn trực tiếp vào máy tính, bạn có thể chọn thêm tính năng Automatically Detect And Install My Plug And Play Printer. Tùy chọn này cho phép hệ thống tự động quét máy tính của bạn để phát hiện ra các máy in Plug 80
  81. and Play, và tự động cài đặt các máy in đó cho bạn. Khi đã hoàn tất việc chọn lựa, nhấp chuột vào nút Next để sang bước kế tiếp. - Hộp thoại Print Test Page xuất hiện. Nếu thiết bị máy in được gắn trực tiếp vào máy tính của bạn, bạn nên in thử một trang kiểm tra để xác nhận rằng mọi thứ đều được cấu hình chính xác. Ngược lại, nếu máy in là máy in mạng thì bạn nên bỏ qua bước này. Nhấp chuột vào nút Next để sang bước kế tiếp. - Hộp thoại Completing The Add Printer Wizard hiện ra. Hộp thoại này đem đến cho chúng ta một cơ hội để xác nhận rằng tất cả các thuộc tính máy in đã được xác lập chính xác. Nếu bạn phát hiện có thông tin nào không chính xác, hãy nhấp chuột vào nút Back để quay lại sửa chữa thông tin cho đúng. - Còn nếu nhận thấy mọi thứ đều ổn cả thì bạn nhấp chuột vào nút Finish. Một biểu tượng máy in mới sẽ hiện ra trong cửa sổ Printer And Faxes. Theo mặc định, máy in sẽ được chia sẻ 4.2.9.2. Cấu hình máy in trên mạng nội bộ - Nhấp phải chuột lên máy in, chọn Properties. Hộp thoại Properties xuất hiện, bạn chọn Tab Sharing.Để chia sẻ máy in này cho nhiều người dùng, bạn nhấp chuột chọn Share this printer. Trong mục Share name, bạn nhập vào tên chia sẻ của máy in, tên này sẽ được nhìn thấy trên mạng. Bạn cũng có thể nhấp chọn mục List In The Directory để cho phép người dùng có thể tìm kiếm máy in thông qua Active Directory theo một vài thuộc tính đặc trưng nào đó. 81
  82. Hình 1: Tìm kiếm máy in qua miền. - Ngoài ra, trong Tab Sharing, ta có thể cấu hình driver hỗ trợ cho các máy trạm sử dụng máy in trong trường hợp máy trạm không phải là Windows Server 2003. Đây là một tính năng cần thiết vì nó cho phép chỉ định các driver hỗ trợ in để các máy trạm có thể tải về một cách tự động. Mặc định, driver duy nhất được nạp vào là driver của hãng Intel cho các máy trạm là Windows 2000, Windows Server 2003, và Windows XP. Để cung cấp thêm các driver cho máy trạm khác, bạn nhấp chuột vào nút Additional Drivers nằm phía dưới Tab Sharing. Hộp thoại Additional Drivers xuất hiện. Windows Server 2003 hỗ trợ các driver thêm vào cho các Client là một trong những hệ điều hành sau: · Itanium Windows XP hay Windows Server 2003. · X86 Windows 2000, Windows XP, hay Windows Server 2003 (mặc định). · X86 Windows 95, Windows 98, hay Windows Millennium Edition. · X86 Windows NT 4. 82
  83. Hình 2: Cấu hình các thông số trong Tab Port. - Trong hộp thoại Properties, bạn chọn Tab Port để cấu hình tất cả các port đã được định nghĩa cho máy in sử dụng. Một port được định nghĩa như một interface sẽ cho phép máy tính giao tiếp với thiết bị máy in. Windows Server 2003 hỗ trợ các port vật lý (local port) và các port TCP/IP chuẩn (port logic). - Port vật lý chỉ được sử dụng khi ta gắn trực tiếp máy in vào máy tính. Trong trường hợp Windows Server 2003 đang được triển khai trong một nhóm làm việc nhỏ, hầu như bạn phải gắn máy in vào Port LPT1. - Port TCP/IP chuẩn được sử dụng khi máy in có thể kết nối trực tiếp vào mạng (trên máy in có hỗ trợ port RJ45) và máy in này có một địa chỉ IP để nhận dạng. Ưu điểm của máy in mạng là tốc độ in nhanh hơn máy in cục bộ và máy in có thể đặt bất kì nơi nào trong hệ thống mạng. Khi đó bạn cần chỉ định một port TCP/IP và khai báo địa chỉ IP của máy in mạng. Cùng với việc xoá và cấu hình lại một port đã tồn tại, bạn cũng có thể thiết lập printer pooling và điều hướng các công việc in ấn đến một máy in khác. 83
  84. Hình 3: Điều hướng máy in đến một máy khác. 4.3. Thiết lập an ninh mạng: 4.3.1. ISA : - Là phần mềm share internet của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2000 Server. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). 4.3.2. Đặc điểm của ISA : - Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con, - Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened 84
  85. subnet), chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ. - Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng. - NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con. - Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tương ứng. - Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác. - Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như Authentication, Publish Server, giới hạn một số traffic. - Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy chia sẻ truy xuất Web. - Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kỹ thuật gởi thông báo qua E-mail, - Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA Server 2004, không giống như packet filtering firewall truyền thống, ISA 2004 có thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số đặc điểm nổi bậc của ALF: - Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP. - Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như .pif,com - Có thể giới hạn HTTP download. - Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập. 85
  86. - Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature). - Điều khiển một số phương thức truy xuất của HTTP. 4.3.3. Cài đặt ISA: 4.3.3.1. Yêu cầu cài đặt : Thành phần Yêu cầu đề nghị Bộ xử lý CPU Intel hoặc AMD 500Mhz trở lên. Windows 2003 hoặc Windows 2000 (Service Hệ điều hành OS pack 4) Ổ đĩa cài đặt ISA thuộc loại NTFS file system, Không gian đĩa (Disk Space) ít nhất còn 150 MB dành cho ISA. Ít nhất phải có một card mạng (khuyến cáo phải NIC có 2 NIC) 256 (MB) hoặc 512 MB cho hệ thống không sử Bộ nhớ (Memory) dụng Web caching, 1GB cho Web-caching ISA firewalls 4.3.3.2. Cài đặt ISA : - ISA Firewall thường được triển khai trên dual-homed host (máy chủ có hai Ethernet cards) hoặc multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA server có thể thực thi đầy đủ các tính năng của nó như ISA Firewall, SecureNAT, Server Publishing Rule, VPN, - Các bước cài đặt: - Chạy tập tin isaautorun.exe từ CDROM ISA 2004 hoặc từ ISA 2004 source. 86
  87. Hình 1: Chạy Setup từ đĩa. - Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại “Microsoft Internet Security and Acceleration Server 2004”. Nhấp Next. Hình 2: Chọn trình cài đặt ISA 2004. - Chọn tùy chọn Select “I accept” trong hộp thoại “License Agreement”, chọn Next. 87
  88. - Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để tiếp tục . Hình 3: Nhập tên và số CD key. - Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Custom, chọn Next. Trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn Firewall Services, Advanced Logging, và ISA Server Management. Ta chọn tùy chọn Firewall client Installation share. Chọn Next để tiếp tục. Hình 4: Tùy chọn Firewall client Installation share. 88
  89. - Ta có hai cách Định nghĩa internet network addresses trong hộp thoại Internal Network setup. Cách thứ nhất ta mô tả dãy địa chỉ nội bộ (Internal Network range) từ From và To text boxes. Cách thứ hai ta cấu hình default Internal Network bằng cách chọn nút “Select Network Adapter” Sau đó ta nhấp chuột vào dấu chọn “Select Network Adapter” kết nối vào mạng nội bộ. - Trong hộp thoại Configure Internal Network, loại bỏ dấu check trong tùy chọn tên Add the following private ranges. Sau đó check vào mục chọn Network Adapter, chọn OK. Hình 5: Check vào mục chọn Network Adapter. - Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vào Windows routing table. - Chọn OK trong hộp thoại Internal network address ranges 89
  90. Hình 6: Tùy chọn phạm vi dãy địa chỉ. - Chọn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt. - Chọn dấu check “Allow computers running earlier versions of Firewall Client software to connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next. Hình 7: Chọn Alow để Client được hổ trợ các phiên bản Firewall. - Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số dịch vụ SNMP và IIS Admin Service trong quá cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service) services. - Tiếp tục ta nhấn Next cho trình cài đặt ISA được bắt đầu. 90
  91. Hình 8: Quá trình cài đặt ISA. - Sau khi trình cài đặt hoàn thành nhấn Finish để kết thúc quá trình cài đặt. 4.3.3.3. Cấu hình Web Proxy cho ISA: - Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả dưới tên là “system policy allow sites” - Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ truy xuất theo cú pháp *.domain_name. - Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable luật 18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity verifiers”, sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt sự thay đổi vào hệ thống. 91
  92. Hình 9: Mô tả System Policy Sites. - Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client Share trên từng client để client đóng vai trò là Client ISA Firewall. - Chỉ định địa chỉ của Web Proxy trong textbox Address. - Chỉ Web Proxy Port trong Textbox Port là 8080. Hình 10: Chỉ định Client sử dụng Proxy Server. 4.3.3.4. Tạo một Access Rule: 92
  93. - Kích hoạt ISA 2004 mở rộng server name, nhấp chuột vào Firewall Policy panel, chọn Tasks tab trong Task Pane, nhấp chuột vào liên kết Create New Access Rule. - Hiển thị hộp thoại “Welcome to the New Access Rule Wizard”. Điền vào tên Access Rule name, nhấp chuột vào nút Next để tiếp tục. - Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny được đặt mặc định, tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho phù hợp, chọn Next để tiếp tục. - Hiển thị hộp thoại “Protocols”. Ta sẽ chọn giao thức (protocol) để cho - Phép / cấm outbound traffic từ source đến destination. Ta có thể chọn ba tùy chọn trong danh sách This rule applies to. - All outbound traffic: Để cho phép tất cả các protocols outbound. Tầm ảnh hưởng của tùy chọn này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật. đối với Firewall clients, thì tùy chọn này cho phép tất cả các Protocol ra ngoài (outbound), bao gồm cả secondary protocols đã được định nghĩa hoặc chưa được định trong ISA firewall. Tuy nhiên đối với SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã được định nghĩa trong Protocols list của ISA firewall, nếu SecureNAT client không thể truy xuất tài nguyên nào đó bên ngoài bằng một protocol nào đó thì ta phải mô tả protocol vào Protocol Panel được cung cấp trên ISA firewall để nó có thể hỗ trợ kết nối cho SecureNAT client. - Selected protocols: Tùy chọn này cho phép ta có thể lựa chọn từng protocols để áp đặt vào luật (rule). Ta có thể lựa chọn một số protocol có sẵn trong hộp thoại hoặc có thể tạo mới một Protocol Definition. - All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật mà không được định nghĩa trong hộp thoại. 93
  94. Hình 11: Lựa chọn protocol để mô tả cho Rule. - Nếu ta chọn tùy chọn Selected Protocols ta sẽ chọn danh sách các protocol cần mô tả cho luật. Hình 12: Lựa chọn protocol để mô tả cho Rule. - Hiển thị hộp thoại Access Rule Sources, chọn địa chỉ nguồn (source location) để áp đặt vào luật bằng cách chọn nút Add, hiển thị hộp thoại Add Network Entities, sau đó ta có thể chọn địa chỉ nguồn từ hộp thoại này (tham khảo hình), chọn Next để thực hiện bước tiếp theo. 94
  95. Hình 12: Lựa chọn protocol để mô tả cho Rule. - Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa chỉ đích (destination) cho luật bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add Network Entities, trong hộp thoại này cho phép ta chọn địa chỉ đích (Destination) được mô tả sẳn trong hộp thoại hoặc có thể định nghĩa một destination mới, thông thường ta chọn External network cho destination rule, sau khi hoàn tất quá trình ta chọn nút Next để tiếp tục. - Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule. Mặc định luật sẽ áp đặt cho tất cả user (All Users), ta có thể hiệu chỉnh thông số này bằng cách chọn Edit hoặc thêm user mới vào rule thông qua nút Add, chọn Next để tiếp tục. - Chọn Finish để hoàn tất. 4.3.3.5. Các dịch vụ công bố mạng : - Publishing services: là một kỹ thuật dùng để công bố (publishing) dịch vụ nội bộ ra ngoài mạng Internet thông qua ISA Firewall. Thông qua ISA Firewall ta có thể publish các dịch vụ SMTP, NNTP, POP3, IMAP4, Web, OWA, NNTP, Terminal Services - Web publishing: Dùng để publish các Web Site và dịch vụ Web. Web Publishing đôi khi được gọi là 'reverse proxy' trong đó ISA Firewall đóng vai 95
  96. trò là Web Proxy nhận các Web request từ bên ngoài sau đó nó sẽ chuyển yêu cầu đó vào Web Site hoặc Web Services nội bộ xử lý. Hình 13: Mô hình Web Publishing. 4.3.3.6. Publish Web server: - Để publish một Web Services ta thực hiện các bước sau: - Kích hoạt màn hình “Microsoft Internet Security and Acceleration Server 2004 management console”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab. - Trên Tasks tab, chọn liên kết “Publish a Web Server”, hiển thị hộp thoại “Welcome to the New Web Publishing Rule Wizard” yêu cầu nhập tên Web publishing rule, chọn Next để tiếp tục. - Chọn tùy chọn Allow trong hộp thoại “Select Rule Action”, chọn Next. - Cung cấp một số thông tin về Web Site cần được publish trong hộp thoại “Define Website to Publish”: - “Computer name or IP address”: chỉ định địa chỉ của Web Server nội bộ. - “Forward the original host header instead of the actual one (specified above)”: Chỉ định cơ chế chuyển yêu cầu vào Web Server nội bộ theo dạng host header 96
  97. name, tùy chọn này được sử dụng trong trường hợp ta muốn publish Web hosting cho một Web Server. - “Path”: Chỉ định tên tập tin hoặc thư mục ta muốn truy xuất vào Web Server nội bộ. - “Site”: Chỉ định tên Web Site được publish. Hình 14: Chỉ định Web Site cần Publish. - Chọn Web Listener cho Web Publishing Rule (là một Network Object được sử dụng cho Web Publishing Rule để listen các kết nối đi vào interface (incoming connection) theo port được định nghĩa trước), ở bước này ta có thể lựa chọn Web Listener đã tạo trước đó hoặc ta có thể tạo mới Web Listener. Sau đây là một số bước tạo mới Web Listener. - Từ hộp thoại “Seclect Web Listener“ bằng cách nhấp chuột vào nút New cung cấp tên Web Listener trong hộp thoại Welcome to the new Listener Wizard chọn Next. - Chọn tên Interface cho phép chấp nhận kết nối Incoming Web, sau đó ta có thể chọn nút Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn, Chọn nút Add, cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới Web Listener, chọn Next để tiếp tục. 97
  98. Hình 15: Chọn địa chỉ chấp nhận incoming web request. - Chỉ định HTTP port và SSL port trong hộp thoại Port Specification cho phép ISA Server sử dụng để chấp nhận incoming web requests, chọn Next. - Click Finish để hoàn thành quá trình 4.3.3.7. Publish Server : Hình 16: Mô hình tạo luật để Publish Server. - . Kích hoạt màn hình “Microsoft Internet Security and Acceleration Server 2004 management console”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab. - Trên Tasks tab, chọn liên kết “Create New Server Publishing Rule”, hiển thị hộp thoại “Welcome to the New Server Publishing Rule Wizard” yêu cầu nhập tên Server Publishing Rule, chọn Next để tiếp tục. - Chỉ định địa chỉ của server nội bộ cần để publish, chọn Next để tiếp tục. 98
  99. Hình 17: Chỉ định địa chỉ của Server để publish. - Chọn Protocol cần để Publish, chọn Next. Hình 18: Chọn protocol - Chọn tên Interface cho phép chấp nhận kết nối Incoming Web, sau đó ta có thể chọn nút Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn, Chọn nút Add, cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới Web Listener, chọn Next để tiếp tục. - Chọn Finish để hoàn tất quá trình. 99
  100. 4.3.3.8. Publish Mail Server: - . Kích hoạt màn hình “Microsoft Internet Security and Acceleration Server 2004 management console”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab. - Trên Tasks tab, chọn liên kết “Publish a Mail Server”, hiển thị hộp thoại “Welcome to the New Mail Server Publishing Rule Wizard” yêu cầu nhập tên Mail Server Publishing Rule, chọn Next để tiếp tục. - Chọn các tùy chọn về loại truy xuất cho Client trong hộp thoại “Select Client Type”: - Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server - ActiveSync: Publish Web Mail Server để cho phép client có thể truy xuất E- Mail qua Web thông qua OWA, OMA, ESA, - Client access: RPC, IMAP, POP3, SMTP: Publish các giao thức IMAP, POP3, SMTP cho Mail Server. - Server-to-server communication: SMTP, NNTP: Cho phép Server Mail bên ngoài có thể giao tiếp với Server Mail nội bộ thông qua giao thức SMTP, NNTP. Hình 19: Chọn Client Type. 100
  101. - Ta chọn tùy chọn Web Client Access, chọn Next, sau đó xuất hiện hộp thoại “Select Services” cho phép ta chọn các dịch vụ Exchange Web Services bao gồm: Outlook Web Access, Outlook Mobile Access, Exchange ActiveAsync , chọn Next để tiếp tục. Hình 20: Chọn Exchange Web Services. - Chỉ định địa chỉ Web Mail Server trong hộp thoại “Specify the Web Mail Server”, chọn Next. Hình 21: Chỉ định địa chỉ Web Mail Server. - Chỉ định Publish Name được Web Listener chấp nhận trong hộp thoại “Public Name Details”, chọn Next. 101
  102. Hình 22: Chỉ định Publish Name. - Chọn Finish để hoàn tất quá trình. 4.4. Bảo mật hệ thống mạng: 4.4.1. Quản Trị Tài khoản và Nhóm: 4.4.1.1. Quản trị Tài Khoản : Tài khoản trong Active Derectory gọi là Domain User, trong SAM gọi là local user. AD trong DC: Domain Controller.Quản trị tài khoản trong AD cần: o Tài khoản phải nằm trong Administrators Account operators o Có công cụ Active Derectory User and Computer -Mỗi Domain User có các đặc tính thông tin Account, profile, dialup, Remote * Quản trị: - Tạo tài khoản mới: R_Click ở Domain / chọn New / User / Nhập User logon name. 102
  103. Hình 1: Nhập thông tin User. - Bấm Next nhập password / Confirm password. - User must change password next logon: dùng cho hệ thống mạng mới cài đặt & cấp cho mỗi thành viên một tài khoản. - User cannot change password: không được thay đổi mật khi người dùng sử dụng chung tài khoản. - Password never expries: password không bao giờ hết hạng. - Account is disable: dùng khóa tài khoản. 103
  104. Hình 2: Nhập Password và yêu cầu Password. - Thay đổi tên truy cập: R_Click user chọn rename dùng trong trừơng hợp thay đổi thành viên. - Đổi mật khẩu R_Click ResetPassword. - Đổi vị trí R.Click chọn Move chuyển đơn vị tổ chức. - Xóa R.Click rồi Delete khi vị trí đó không tồn tại - Sao chép tài khoản R.Click Coppy. - Tạo tài khoản mẫu chép ra nhiều tài khoản. - Đặc tính (properties) Double Click tài khoản R.C chọn properties: Trong thẻ User Property: o Tab Account: § Loghour: quy định gời đăng nhập. Hình 3: Quy định thời gian log của máy. § Logon:quy định máy log 104
  105. Hình 4: Quy định máy log. - Profile :quy định môi trường làm việc § User profile nơi môi trường làm việc của user. Hình 5: Môi trường làm việc. § Đường dẫn mạng : \\tên máy|địa chỉ IP\share\folder VD: profile path:\\server\profile\minh § Home folder connect § Member of quy định tài khoản là thành viên của nhóm nào,ban đầu tài khoản nằm trong nhóm Domain Users(trong SAM ban đầu tài khoản nằm trong User) 105
  106. - Bấm Add chọn nhóm - Dial in cho phép tài khoản đăng nhập vào mạng từ xa. § Allow : cho phép § Deny: không cho phép 4.4.1.2. Quản trị nhóm: § Tạo nhóm: R.C Domain/OU, New/Group § Group Name: tên nhóm.Group scope :phạm vi nhóm . Group Type lọai nhóm. § Domain Local security : an ninh § Global Universal(toàn thể)l; Distribution:phân tán § Di chuyển nhóm tới OU: R.C/Move; Đổi tên|xóa R.CRename. o Đặc tính Double váo nhóm: Hình 6: Các đặc tính của nhóm. - Members: các thành viên của nó. - Member of: là thành viên của ai. - Các nhóm trong Domain: Các nhóm được tạo ra trên Domain Controllers và được lưu trong dịch vụ (AD). 106
  107. - Nhóm bảo mật (Security Group): các nhóm này được sử dụng khi đưa ra các hệ bảo mật liên quan bao gồm việc cấp phát truy xuất các tài nguyên. - Nhóm phân phối (Distribution Group): Các nhóm này có thể được sử dụng cho các chức năng không có quan hệ bảo mật. - Phạm vi nhóm: - Global Group Scope: các miền trong 1 cây. - Domain Lobal Group Scope: Trong các miền chứa nó. - Univeral Group Scope: phạm vi trong 1 rừng, nhưng chỉ được sử dụng cho hệ thống phân tán không dùng cho bảo mật. - Nhóm có 2 loại: Có sẵn và tạo ra. - Lưu ý: Khi xóa nhóm sẽ không xóa các tài khoản, thành viên của nhóm, thay đổi nhóm sẽ thay dổi Global. - Các nhóm có sẵn: - Tài khoản nhóm Domain local tạo sẵn: - Administrators: quản trị Domain. - Account Operators: Quản trị tài khoản. - Domain Controllers: Quản trị các máy DC. - Backup Operators: Sao lưu cơ sở dữ liệu. - Guests: khách. - Print Operator: Quản trị in ấn. - Server Operators: Quản trị các máy Servser cung cấp các dịch vụ trong Domain. - Domain Users: Chứa tất cả các tài khoản trong miền. - Replicator: Sao lưu dữ liễu giữa các máy DC. - Incoming Forest Trust Builders: Chứng thực trong 1 rừng. - Network Configuration Operators: Nhóm cấu hình mạng. 107
  108. - Pre-windows 2000 Compatible Access: Có quyền truy cập tới các máy trứơc 2000. - Remote Desktop users: Điều khiển từ xa thông qua Desktop. - Performance Log Users: Cho phép người dùng Log. - Performance Monitor Users: Theo dõi hoạt động các User - Nhóm Global tạo sẵn: - Domain Admins: Chứa các Domain Admin. - Domain users: Chúa các Domain Users. - Group Policy Create Owners: Tạo ra chính sách hệ thống. 4.4.2. Sử dụng các mẫu bảo mật (security template): - Các mẫu bảo mật (Security Template) là các file cấu hình bao gồm tất cả các thuộc tính bảo mật của hệ thống.Người quản trị tạo ra một mẫu bảo mật với từng máy tính cụ thể hoặc tập hợp các máy tính và sau đó áp dụng cho máy tính cục bộ hoặc nạp vào các đối tượng chính sách nhóm (GPO) tất cả các máy tính ảnh hưởng này sẽ nhận các thiết lập từ mẫu bảo mật này. 4.4.3. Sử dụng Snap-in Security Template: - Nhấn Star /Run/gõ vào mmc rồi nhấn OK. Hình 1: Thêm một Snap-In mới. 108
  109. - Trên thực đơn File, nhấn Add/Remove Snap-In nhấn Add. Hình 2: Chọn Snap-In cần thêm vào. - Chúng ta nhấn chọn Security Template nhấn Add vào rồi nhấn Close. Hình 3: Các mục trong Snap-In Security Template. - Trong cây điều khiển mở Security Template để hiển thị hiển thị mẫu danh sách. Chọn bất kỳ một trong các chính sách có sẵn chúng ta có thể thấy các chính sách liệt kê chúng ta có thể thiết lập cấu hình bảo mật. - Snap-In Security Template cho phép chúng ta thực hiện được một số tác vụ: · Thay đổi các mẫu bảo mật đã có từ trước. 109
  110. · Tạo ra các mẫu bảo mật mới. · Xóa các mẫu bảo mật. · Làm mới lại danh sách các mẫu bảo mật. · Đặt các mô tả về mẫu bảo mật. 4.4.4. Quản lý hệ thống file mã hóa (EFS): Kỹ thuật mà hóa file cốt lõi cho việc lưu trữ file trên các phân vùng NTFS. Kỹ thuật mã hóa file EFS sử dụng cơ sở khóa công khai và chạy như một dịch vụ tích hợp trong hệ thống sẽ giúp cho chúng ta quản lý dễ dàng hơn, khó bị tấn công hơn và trong suốt với người sử dụng file. - Đặc điểm của EFS: · Mã hóa trong suốt: các file mã hóa sẽ không yêu cầu người sử người sở hữu file phải giải mã hóa hay giải mã mỗi lần sử dụng mã hóa được thực hiện trong suốt khi người sử dụng đọc hoặc ghi file. · Bảo vệ tốt các khóa mã hóa: Do EFS sử dụng khóa công khai. Để giải mã các khóa của file người sở hữu cung cấp khóa riêng mà chỉ người sở hữu mới có. · Tích hợp khôi phục dữ liệu trên hệ thống. · Bảo mật các file tạm thời và các file hoán chuyển. 4.4.5. Mã hóa một file: Để mã hóa một file chúng ta thực hiện các bước sau: · Tạo một thư mục có tên C:/thuchanh.txt rồi cập nhật dữ liệu vào file rồi đóng lại. · Sau đó chúng ta R_click vào thư mục vừa tạo chon Properties. · Trong thẻ Properties chon Tab Generral rồi nhấn Advance, trên cửa sổ Advance Attributes chon Encrypt Contens To Secure Data rồi nhấn OK. 110
  111. Hình 1: Chọn Encrypt Contens To Secure Data. · Thư mục ngoc đã có màu khác chứng tỏ nó đã được mã hóa. Hình 2: Thư mục đã được mã hóa. · Chúng ta kéo file thuchanh.txt vào thư mục Ngoc. Lưu ý màu của file thuchanh.txt sẽ thay đổi vì nó đã được mã hóa. Lưu ý: Mã hóa và nén không thể lựa chọn đồng thời. Chúng ta không thể mã hóa file trên phân vùng đã được nén. 4.4.6. Giải mã file: § Để giải mã một file mã hóa chúng ta làm như sau: § Chúng ta chon vào thư mục Ngoc rồi sau đó nhấn vào Properties. § Trong thẻ General nhấn Advance. § Trong cửa sổ Advance Attribute chúng ta xóa dấu chọn tại hộp kiểm tra Encrypt Contents To Secure Data rồi nhấn OK. 111
  112. Hình 3: Hủy bỏ tùy chọn Encrypt. § Trong hộp thoại Custom Attribute Changes chúng ta đẩm bảo rằng mục Apply Changes To This Folder, Subfolders, And Files đã được chọn và sau đó nhấn OK. Hình 4: Chọn mục Apply changes to this folder, subfolders, and files. - Thư mục Ngoc không còn có màu nữa chứng tỏ nó đã được giải mã. 4.5. Bảo mật mạng doanh nghiệp dùng IP Sec: 4.5.1. Thêm chính sách bảo mật IP Sec : - Nhấn Start / Administrative Tools / nhấn vào Domain Controller Security Policy. 112
  113. Hình 1: Mở IPSec từ Domain Controller. - Trên thanh thực đơn chọn Action chon Create IP Security Policy. Trên trang Winzard nhấn Next. - Trên trang IP Security Policy Name chúng ta gõ tên vào rồi nhấn Next. Hình 2: Nhập tên bảo mật. - Trên trang Requests For Secure Communication, kiểm tra để chắc rằng hộp thoại Active The Defaul Respone Rule đã được đánh dấu rồi nhấn Next. 113
  114. Hình 3: Đánh dấu chọn Active The Defaul Respone Rule. - Trên trang Default Respone Rule Authentication Mothod chúng ta kiểm tra hộp lựa chọn Active Directory Default (Keberos V5 Protocol) đã được đánh dấu và nhấn Next. Hình 4: Đánh dấu chọn Active Directory Default. - Nhấn Finish để hoàn thành việc cài đặt. 4.5.2. Cấu hình IPSec sử dụng giấy chứng nhận - Trong cửa sổ quản trị chúng ta Add vào Snap-In IP Security Policies On Local Computer. 114
  115. Hình 1: Tùy chọn vào Snap-In IP Security Policies On Local Computer. - Trong khung chi tiết nhấp đúp chuột vào IP Sec moi tạo, trong hộp thoại kế tiếp nhấn đúp vào Default Respone Rule. Hình 2: Chọn Default Respone Rule. - Trong hộp thoại Edit Rule Properties tai thẻ Authentication Method nhấn Add. 115
  116. Hình 3: Chứng thực bằng CA. - Chúng ta chọn Use A .authority (CA), nhấn Browse.Trong hộp thoại Select Cirtificate chon Microsoft Root Cirtificate Authority rồi nhấn OK. Hình 4: Chọn mục thích hợp để chứng thực. - Trong các cửa sổ nhấn OK để hoàn thành việc cài đặt. 4.5.3. Hiển thị các thông tin IPSec bằng dòng lệnh netsh - Mở cửa sổ Command nhấn Enter. Tại dấu nhắc lệnh gõ netsh. 116
  117. Hình 1: Gõ lệnh netsh từ màn hình Command. - Dấu nhắc lệnh được đổi thành netsh>. Hình 2: Dấu nhắc lệnh được đổi thành netsh>. - Để chuyển sang ngữ cảnh IPSec tĩnh chúng ta gõ “ipsec static” - Để xem thông tin của về chính sách IP Sec moi chúng ta gõ vào tại dấu nhắc lệnh show policy “IP Sec moi” và nhấn Enter. 117
  118. Chương 5. Hacker và cách bảo mật cho hệ thống mạng công ty 118
  119. 5.1. Tấn công Password của tài khoản người dùng trong Windows: Hình 1: Sơ đồ tấn công của Hacker. 5.1.1. Sử dụng lệnh For trong Windows: - Máy bị tấn công địa chỉ IP: 192.168.1.18, máy sử dụng để tấn công cùng nằm trong mạng 192.168.1.0/24. - Hầu hết tất cả các máy đều chia sẻ tài nguyên trong hệ thống mạng, và có một thư mục được Share ẩn mặc định là thư mục \\computer\IPC$ - Khi ta biết được User trên máy đó là Administrator ta chỉ quan tâm làm thế nào để biết được mật khẩu của tài khoản đó. - Tạo một file từ điển chứa hầu hết các mật khẩu thông dụng – dùng tools Dictionary Generator để tạo ra bộ từ điển này. - Cấu tạo của lệnh for: For /f "tokens=1" %a in (vnedic.txt) do net use * \\computer\IPC$ /user:"administrator" %a - Trong đó vnedic.txt là file từ điển đã được tạo, sử dụng Net User để Map ổ 119
  120. Hình 2: Quá trình dò tìm IP. - File từ điển tôi để ở ổ E: với tên vnedic.txt. Sau khi hệ thống tìm password ở trong file vnedict.txt đã tìm được password của tài khoản Administrator của máy 192.168.1.8 là "123". - Có rất nhiều phương pháp tạo ra bộ từ điển để sử dụng lệnh for tấn công vào hệ thống Windows. - Nhược điểm của phương pháp này là rất chậm để có thể tấn công được một hệ thống máy tính có mật khẩu phức tạp. 5.1.2. Giải pháp chống tấn công sử dụng lệnh For: - Thiết lập trong Group Policy khi gõ Password sai 5 lần sẽ bị lock 30 phút. 120
  121. Hình 3: Tiết lập Group Policy. 5.2. Giải mã mật khẩu được mã hoá: 5.2.1. Trên máy Local : - Giả sử chúng ta không biết mật khẩu của một máy tính trong hệ thống, nhưng chúng ta lại nhờ người đó gõ mật khẩu của họ và cho bạn mượn máy tính dùng tạm. Và bạn giờ đây là làm thế nào để biết được Password trên máy bạn đang logon. - Rất nhiều phần mềm có thể Exports đoạn mã hoá của Password ra thành một File điển hình là PasswordDump, WinPasswordPro, ở đây tôi trình bày với các bạn sử dụng WinPasswordPro. - Bật chương trình WinPasswordPro lên Import Password từ máy Local Hình 1: Import Password từ máy Local. - Sau Khi Import Password từ file SAM vào sẽ được: Hình 2: Các Password đã được Import vào. 121
  122. - Sau đó ta Export danh sách User và Password đã được mã hoá ra một file .txt và gửi vào Mail của chúng ta, sang máy chúng ta cũng dung phần mềm này để giải mã ngược lại. Hình 3: Export các password vào Mail. - Mở file TXT đã exports ra ta có dữ liệu password đã được mã hoá Hình 4: Các Password đã được mã hóa. - Sau khi lấy được dữ liệu User – Password đã mã hoá ta Uninstall chương trình này trên máy nạn nhân để khỏi lộ - rồi gửi file đó vào Mail để về máy của ta Giải mã – đây là công đoạn tốn thời gian. Đối với mật khẩu dài 10 ký tự mất khoảng 1 tiếng. - Bật chương trình WinPasswordPro trên máy của chúng ta chọn File, Import PWDUMP file rồi chọn đường dẫn tới file password được mã hoá. - Sau khi Import từ file PWDUMP ta được - Nhấn vào Start ta sẽ có 3 phương thức tấn công Password: Brute Force 122
  123. Dictionary Smart Table Hình 5: Phương pháp tấn công Brute Force. - Chúng tôi chọn phương thức tấn công Brute Force. Hình 6: Quá trình crack Password. - Đợi khoảng 15 phút (đây là password do tôi không đặt ký tự đặc biệt, không số, không hoa và 9 ký tự). 123
  124. - Kết thúc quá trình tôi đã giải mã được file Password đã được mã hoá với: user administrator và Password là vnexperts Hình 7: Password đã được Crack. 5.2.2. Cách phòng chống: - Đề phòng những người truy cập vào máy tính của chúng ta. - Đặt Password dài trên 14 ký tự và có đầy đủ các ký tự: Đặc biệt, hoa, số, thường - Enable Firewall lên để chống PasswordDUMP, Cài đặt và cập nhật các bản vá lỗi mới nhất từ nhà sản xuất - Cài đặt tối thiểu một chương trình diệt Virus mạnh. 124
  125. Chương 6. Tổng kết 125
  126. 6.1. Kiểm tra hệ thống mạng: - Hệ thống mạng sau khi lắp đặt xong thì các máy thông với nhau trong nội bộ công ty và nối kết được với các chi nhánh của công ty qua đường mạng WAN. - Các Server: Web Server, Firewall hoạt động tốt. - Các thiết bị đúng yêu cầu, các thiết bị còn dư được bảo quản nếu có hư hỏng. 6.2. Vận hành hệ thống mạng: - Nhân viên đăng nhập thành công bằng tài khoản của mình và có thể chia sẻ tài nguyên với các máy khác. - Các phần mềm hoạt động tốt theo từng chức năng của nhân viên trực thuộc. - Các trưởng phòng có thể kiểm soát được tài khoản và đưa ra các quy định cho nhân viên mình. - Phòng kỹ thuật quản lý các máy Server quy định các hạn ngạch cho trưởng phòng và các nhân viên trong từng phòng ban. 6.3. Kết luận: - Sau khi hoàn thành khóa luận chúng tôi đã quản lý được một hệ thống mạng và cũng có thể đem mô hình mạng này áp dụng vào thực tiễn theo đúng yêu cầu của các công ty đã đề ra. - Kinh nghiệm học hỏi: Kết thúc khóa luận chúng tôi đã học được rất nhiều điều để quản trị một mạng, học được cách tìm hiểu và tiếp cận nhu cầu thực tế theo đúng nhu cầu của thị trường hiện nay, học cách quản lý hệ thống mạng một cách tập trung theo mô hình của công ty. 6.4. Danh sách tài liệu và trang Web tham khảo: Trang Web: - quantrimang.com. - hutonline.net - bookilook.com 126