Đồ án Thiết Kế Mạng Doanh Nghiệp Vừa và Nhỏ - HCMUTE 2022

Mạng LAN đóng vai trò huyết mạch trong hoạt động của các doanh nghiệp nhỏ. Một thiết kế mạng LAN tốt giúp tăng cường khả năng chia sẻ tài nguyên, cải thiện giao tiếp nội bộ và nâng cao hiệu quả làm việc. Doanh nghiệp có thể dễ dàng chia sẻ dữ liệu, ứng dụng và thiết bị ngoại vi như máy in, máy scan. Việc xây dựng và quản lý các hệ thống mạng là rất quan trọng để ngăn chặn các sự cố đã liệt kê. Tại Việt Nam, có đến 17 triệu người sử dụng Internet, thuộc top 20 quốc gia có tỷ lệ sử dụng Internet cao nhất trên thế giới. Con số này chiếm 70% tổng dân số của đất nước. Theo một cuộc khảo sát về an ninh mạng, Việt Nam là một trong những nhóm dễ bị tấn công nhất. Các cơ quan nhà nước, ngân hàng, công ty và doanh nghiệp đều có mức độ trách nhiệm cao và được bảo vệ đầy đủ, nhưng chúng cũng dễ bị xâm nhập, gián đoạn và đánh cắp dữ liệu vì nhiều lý do. Ngoài việc nâng cao năng suất và tính chuyên nghiệp của các tổ chức và doanh nghiệp, việc thiết lập và quản lý các hệ thống mạng là rất quan trọng để ngăn chặn các vấn đề đã liệt kê.

Một mạng doanh nghiệp nhỏ thường bao gồm các thành phần chính như router, switch, firewall, máy chủ (server) và các thiết bị đầu cuối (máy tính, điện thoại, máy in). Router đóng vai trò điều phối lưu lượng truy cập giữa mạng nội bộ và Internet. Switch kết nối các thiết bị trong mạng nội bộ, tạo thành mạng LAN. Firewall bảo vệ mạng khỏi các mối đe dọa an ninh mạng. Server cung cấp các dịch vụ như lưu trữ dữ liệu, email, và ứng dụng. Các phòng ban của công ty bao gồm: Phòng kinh doanh, Phòng nhân sự, Phòng IT. Mỗi phòng ban có tối đa 65 máy tính. Phòng IT có địa chỉ 192.168.10.0/24; Phòng kinh doanh có địa chỉ 192.168.20.0/24; Phòng nhân sự có địa chỉ 192.168.30.0/24. Router SITEA có: Interface fa0/0 với IP 192.168.1.1; Interface fa1/0 với IP 19.3.0.1; Interface fa0/1 với IP 3.19.0.1. Router SITEB có: Interface fa0/0 với IP 172.16.1.1; Interface fa0/1 với IP 30.4.0.1. Tường lửa ở trụ sở chính có: Port 4: 192.168.0.0/24 (vlans); Port 5: IP Address 192.168.1.222. Tường lửa ở chi nhánh có: Port 2: IP Address 172.16.1.2; Port 3: IP Address 172.16.1.254.

Quá trình đánh giá rủi ro an ninh mạng bao gồm việc xác định các tài sản quan trọng, các mối đe dọa tiềm ẩn và các lỗ hổng trong hệ thống. Tài sản quan trọng có thể là dữ liệu khách hàng, thông tin tài chính, bí mật kinh doanh và cơ sở hạ tầng công nghệ thông tin. Mối đe dọa tiềm ẩn có thể là virus, malware, tấn công từ chối dịch vụ (DoS), tấn công man-in-the-middle (MITM) và các hành vi xâm nhập trái phép. Lỗ hổng trong hệ thống có thể là các lỗi phần mềm, cấu hình bảo mật yếu và thiếu sót trong quy trình bảo mật.

Các doanh nghiệp nhỏ thường là mục tiêu hấp dẫn của tin tặc vì họ thường có nguồn lực hạn chế để đầu tư vào bảo mật. Các mối đe dọa an ninh mạng phổ biến nhất với doanh nghiệp nhỏ bao gồm: Phishing: Lừa đảo qua email hoặc tin nhắn để đánh cắp thông tin cá nhân hoặc tài khoản. Malware: Phần mềm độc hại xâm nhập vào hệ thống để gây hại hoặc đánh cắp dữ liệu. Ransomware: Mã độc mã hóa dữ liệu và yêu cầu tiền chuộc để giải mã. Tấn công DDoS: Làm quá tải hệ thống mạng, khiến nó không thể phục vụ người dùng hợp lệ. Tấn công vào ứng dụng web: Khai thác các lỗ hổng trong ứng dụng web để xâm nhập vào hệ thống.

Giải pháp bảo mật cho các mạng doanh nghiệp nhỏ thường bao gồm: tường lửa, phần mềm diệt virus, hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn chặn xâm nhập (IPS), và VPN. Tường lửa đóng vai trò kiểm soát lưu lượng truy cập vào và ra khỏi mạng, ngăn chặn các truy cập trái phép. Phần mềm diệt virus giúp phát hiện và loại bỏ các phần mềm độc hại. IDS và IPS giúp phát hiện và ngăn chặn các hành vi xâm nhập vào hệ thống. VPN cho phép người dùng truy cập mạng từ xa một cách an toàn.

Việc lựa chọn thiết bị mạng WiFi phù hợp là yếu tố then chốt để đảm bảo hiệu suất và độ tin cậy của hệ thống. Doanh nghiệp cần xem xét các yếu tố như chuẩn WiFi (802.11ac, 802.11ax), số lượng ăng-ten, khả năng hỗ trợ nhiều người dùng, và các tính năng bảo mật. Có thể dùng một số thiết bị thông dụng như: Cisco, Ubiquiti, DrayTek.

Vị trí đặt các điểm truy cập WiFi (Access Point) ảnh hưởng lớn đến diện tích phủ sóng và chất lượng tín hiệu. Nên đặt các Access Point ở vị trí trung tâm, tránh các vật cản như tường, kim loại và các thiết bị điện tử gây nhiễu sóng. Access Point phải được đặt ở vị trí dễ dàng tiếp cận và có thể quan sát được.

Để bảo vệ mạng WiFi khỏi các truy cập trái phép, doanh nghiệp cần cấu hình các biện pháp bảo mật như sử dụng mật khẩu mạnh, kích hoạt mã hóa WPA2/WPA3, và thiết lập mạng khách (guest network) để tách biệt truy cập của khách với mạng nội bộ. Bật tường lửa và kiểm tra phiên bản mới nhất. Phân quyền cho từng nhân viên trong công ty.

Giám sát hiệu suất mạng giúp doanh nghiệp phát hiện các vấn đề như tắc nghẽn, lỗi thiết bị và các dấu hiệu bất thường có thể chỉ ra tấn công mạng. Các công cụ giám sát mạng cung cấp thông tin về băng thông sử dụng, độ trễ, mất gói và các chỉ số quan trọng khác. Cần có các công cụ theo dõi mạng để xem thông tin chi tiết.

Bảo trì định kỳ hệ thống giúp đảm bảo hoạt động ổn định và kéo dài tuổi thọ của thiết bị. Các hoạt động bảo trì bao gồm cập nhật phần mềm, kiểm tra cấu hình, vệ sinh thiết bị và thay thế các thành phần đã cũ hoặc hỏng hóc. Đảm bảo kết nối Internet.

Khi xảy ra sự cố an ninh mạng, doanh nghiệp cần có quy trình ứng phó nhanh chóng để giảm thiểu thiệt hại. Quy trình này bao gồm xác định nguồn gốc của sự cố, cô lập các hệ thống bị ảnh hưởng, khôi phục dữ liệu và thông báo cho các bên liên quan. Điều tra sự cố để xác định nguyên nhân.

Với VPN site-to-site, chi phí sẽ thấp hơn so với các mạng LAN. Hệ thống cũng dễ dàng quản lý hơn. Khi cần mở rộng mạng, việc sử dụng VPN sẽ mang lại hiệu quả kinh tế cao. VPN cho phép khôi phục quyền riêng tư bằng cách mã hóa kết nối Internet. Nhờ đó không ai có thể theo dõi các trang web hoặc thông tin bạn truy cập.

Để triển khai VPN site-to-site, chúng ta sẽ sử dụng GRE Tunnel (Generic Routing Encapsulation), một giao thức của Cisco, cho phép đóng gói nhiều giao thức lớp mạng trong mạng điểm-điểm. Nó thường dùng khi cần truyền dữ liệu giữa các mạng khác nhau qua Internet. VPN sẽ giúp chúng ta đảm bảo quá trình kết nối an toàn.