II.    Phân tích những hạn chế của mô hình mạng này:

1.      Nhìn từ ngoài Internet vào: hệ thống ở mức độ bảo mật khá thấp nếu bị tấn công từ ngoài Internet vào, Hacker có thể vượt qua Modem ADSL để truy xuất thẳng vào lấy dữ liệu ở các Server và máy tính cá nhân trong công ty do không có tường lửa (Firewall) ở giữa.

2.      Nhìn từ trong ra Internet 1: Hệ thống chưa có cơ chế chặn luồng thông tin, chỉ cho phép những nhân viên đúng nhiệm vụ được truy xuất Internet (ví dụ nhân viên KD được phép, còn Kế toán viên thì không được phép). Không cho phép hoặc chặn được các dịch vụ cụ thể (ví dụ: cho ND1 toàn quyền sử dụng Internet, chỉ cho ND2 truy xuất Mail công ty, cho phép ND3 sử dụng web, nhưng cấm Chat…).  Dẫn đến nguy cơ bị virus trong mạng nội bộ do “Duyệt web tràn lan”. [1]

3.      Nhìn từ trong ra Internet 2 : Hệ thống không theo dõi được hiện tại ai đang chiếm tài nguyên Internet của công ty, không tổng kết được hằng tháng nhân viên nào sử dụng bao nhiêu dung lượng và vào những trang web nào.

4.      Nhìn từ trong ra Internet 3: Không nên để các Server chứa thông tin nội bộ được ra Internet ngoài việc Update Windows, Update antivirus.

5.      Nhìn luồng thông tin nội bộ giữa các phòng ban: Hệ thống chưa thể phân tách các phòng ban thành các mạng con riêng để giảm thiểu việc truy xuất dữ liệu trái phép trong nội bộ công ty. Dẫn đến việc dễ bị tình trạng “Tay trong”, một trong 10 nguy cơ hàng đầu của bảo mật mạng. [1]

6.      Nhìn từ phía người dùng đến server : Có thể cài đặt mức chứng thực bằng username/password trên các server cho mỗi người dùng để phân quyền truy cập thông tin, nhưng đây là chứng thực ở mức cao và có thể vượt qua do từ các máy tính người dùng (kể cả khách đến thăm công ty) đến server đều có khả năng tiếp cận các dịch vụ mạng của server ngang nhau.  Ví dụ một người khách đến công ty và họ xin vào mạng để được ra Internet, nhưng trên thực tế thì họ có toàn quyền truy cập dịch vụ đến các server như các nhân viên trong công ty.

7.      Nhìn từ góc độ kỹ thuật :

a.       Không phát hiện được máy tính lạ xin/nhận IP trong hệ thống mạng nội bộ và truy xuất tài nguyên của công ty, khá nguy hiểm với mạng không dây.

b.      Thông thường DHCP server được sử dụng ngay trên Modem ADSL, dễ dàng bị tấn công DoS (hình tấn công này đang rất phổ biến) và không kiểm tra được xuất phát từ đâu.

c.       Các switch hoạt động với hiệu suất thấp khi có broadcast tư máy client bị virus => LAN chậm.

d.      Dễ lan tràn virus trên diện rộng, và từ máy client lây máy trạm lên server.

B.     GIẢI PHÁP CỦA CHÚNG TÔI

I.             Giải pháp sử dụng Freebsd-Stable và phần mềm quản lý mạng :

1.      Server Freebsd làm trung tâm : Chúng tôi sẽ cài đặt thêm một server chạy hệ điều hành Freebsd (hoàn toàn miễn phí về bản quyền), cấu hình thêm các chức năng Router / Firewall  và đặt làm trung tâm để lọc các luồng thông tin từ các huớng như đã phân tích ở mục A. (Mô hình mạng ở mục B.II)

2.      Phần mềm quản lý mạng qua Web: Để đảm bảo cho cán bộ IT của quý công ty tiếp nhận và quản lý hệ thống mới nhanh chóng, chúng tôi đã có một phần mềm quản lý khá thông minh quản lý toàn bộ máy trạm và server trên hệ thống mạng hiện hành.

3.      Phân luồng thông tin và cấp quyền vừa đủ : Cán bộ IT có thể nhận yêu cầu từ BLĐ công ty và cho ai vào những dịch vụ gì (ví dụ chỉ vào fileserver và server nội bộ,  không ra Internet  hoặc chỉ ra Internet-web, nhưng không được phép chat). Việc quản lý này có thể thực hiện khá thuận lợi qua chương trình đã nêu ở mục II.2.

4.      Nhận biết máy lạ xâm nhập mạng : Để tránh trường hợp có máy tính lạ xâm nhập vào hệ thống mà không xin phép (đặc biệt với mạng không dây), Hệ thống sẽ cảnh báo khi có máy tính lạ truy xuất vào, chỉ khi xác định rõ đúng đối tượng và nhu cầu thì cán bộ IT mới cấp quyền vừa đủ cho người lạ này truy xuất tài nguyên của công ty.

5.      Theo dõi việc sử dụng Internet : Với mục đích chỉ cho phép những nhân viên sử dụng tài nguyên Internet  của công ty cho công việc của mình chúng tôi sẽ cài đặt thêm chức năng này, để thấy rõ được hiện tại ai đang truy xuất những trang nào, ai đang chiếm tài nguyên của công ty, hoặc cho ra Internet theo giờ quy định và xuất báo cáo hằng tháng chi tiết về từng thành viên đã sử dụng Internet cho mục đích gì.

II.          Mô hình mạng sử dụng Freebsd-Stable làm trung tâm

(Mô hình này phù hợp cho doanh nghiệp có khoảng 15-50 máy tính cá nhân)

III.       Phân tích những điểm lợi

1.      Freebsd :  Một hệ điều hành chuẩn Unix rất ổn đinh theo BSD-license hoàn toàn miễn phí và có thể tiếp tục chỉnh sửa để kinh doanh không hạn chế. Freebsd được các tập đoàn danh tiếng sử dụng như : Yahoo!, SonyJapan, Apple, Cisco… [2]

2.      Giải pháp của chúng tôi : Đã triển khai và sử dụng thành công trong hơn 3 năm qua ở các doanh nghiệp lớn  Vinpearl JSC, Vincom JSC, Technocom Corp., mỗi doanh nghiệp có khoảng 250-350 máy tính và mô hình mạng phức tạp hơn.

3.      Chuyển giao giải pháp : Sau khi cài đặt và cấu hình, chúng tôi sẽ hướng dẫn cán bộ IT của quý công ty sử dụng phần mềm quản lý mạng, hướng dẫn sử dụng những tiện tích trên Freebsd, diễn tập xử lý các tình huống có sự cố mạng, ngoài ra chúng tôi sẽ thiết lập kênh hỗ trợ từ xa cho cán bộ IT khi có yêu cầu.

4.      Khả năng quản lý lọc/chặn các hướng thông tin : Cán bộ IT có thể đáp ứng nhanh được các yêu cầu của Lãnh đạo công ty về việc cấp quyền đúng nhu cầu sử dụng cho công việc qua phần mềm quản lý. Như vậy sẽ giảm thiểu việc mất mát thông tin nội bộ.

5.      Khả năng theo dõi hệ thống mạng : Cán bộ IT có thể theo biết được trạng thái hệ thống khá dễ dàng để xử lý nhanh các tính huống như phát hiện sớm được máy tính nhiểm virus broadcast lên mạng, và ngăn chặn việc phát tán virus trên diện rộng.

6.      Khả năng khôi phục hệ thống : Hệ thống có tính năng tự động backup (sao lưu) hằng đêm để có thể trở lại cấu hình ngày hôm trước khi có sự cố về phần mềm. Hoặc có thể chuyển sang máy tính khác để chạy server nhanh chóng khi có hỏng hỏng phần cứng.

7.      Khả năng mở rộng hệ thống : Với yêu cầu phát triển của quý công ty, chúng tôi có thể bổ sung thêm các server khác của hệ thống dễ dàng, không làm ảnh hưởng lớn đến luồng thông tin nội bộ hiện có. Các server chạy hệ điều hành mở nên hoàn toàn có thể bổ sung các phần mềm tiện íchvà nâng cấp dễ dàng.

8.      Chi phí của giải pháp :

a.      Bản quyền:  hệ điều hành và phần mềm tiện ích:  không có.

b.      Phần cứng : Có thể chạy với máy tính thông thường loại gắn được nhiều card mạng, và nguồn ổn định, thậm chí có thể chạy trên USB.

c.       Triển khai và hỗ trợ : hợp lý (dựa trên thời gian thực hiện).

IV.        So sánh với giải pháp của Cisco

1.      Chi phí của giải pháp Cisco rất cao:

a.      Phần cứng: Khá đắt.  Firewall Cisco với 10-license giá khoảng 1000USD, và loại tốt giá không dưới 2900USD. [3]

b.      Triển khai : Cần thuê chu yên gia của Cisco thực hiện.

c.       Quản lý và theo dõi: Cần cán bộ đã qua các lớp về Cisco như CCNA,…

2.      Thông số kỷ thuật băng thông: Cisco là thiết bị chuyên dụng nên băng thông qua nó cao hơn nhiều so với giải pháp sử dụng router Freebsd, tuy nhiên với các doanh nghiệp nhỏ và vừa thì nhu cầu trao đổi thông tin trong mạng khó thể sử dụng hết băng thông đó.

3.      Thiết bị dự phòng và khả năng thay thế : Cần phải đặt hàng trước nhiều ngày mới có các thiết bị Cisco theo yêu cầu hoặc cần có thiết bị mua dự phòng sẵn cho trường hợp phần cứng hỏng hỏng, vì vậy chi phí tăng lên đáng kể.

C.   TÀI LIỆU THAM KHẢO

[1]Tuổi trẻ Online (dịch từ New4Hack) - 10 nguy cơ bảo mật về hệ thống mạng

     URL : http://www.tuoitre.com.vn/Tianyon/Index.aspx?ArticleID=278698&ChannelID=65

[2] Freebsd.org - Who Uses FreeBSD ?

     URL : http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/nutshell.html

[3] Megabuy.vn - Firewall Cisco

     URL : http://www.megabuy.vn/?a=PRO&pro=LIST&hdn_category_id=153