Hướng dẫn xây dựng hệ thống Intranet/Internet mã nguồn mở

Phần mềm Intranet mã nguồn mở mang lại nhiều lợi ích cho các tổ chức, bao gồm tính ổn định cao, tính bảo mật, chi phí đầu tư thấp và khả năng tùy chỉnh linh hoạt. Tính ổn định được đảm bảo bởi sự kiểm tra và đánh giá liên tục từ cộng đồng phát triển rộng lớn. Tính bảo mật Intranet cũng được tăng cường nhờ vào khả năng phát hiện và sửa lỗi nhanh chóng. Theo báo cáo của Netcraft, phần mềm Apache Web server được sử dụng trên hơn 64% máy chủ web. Báo cáo năm 2000 của Đại học Wiscosin Mỹ cũng chỉ ra tỷ lệ lỗi của Linux thấp hơn nhiều so với HP Unix và Windows 2000. Chi phí đầu tư thấp là một yếu tố quan trọng, giúp các tổ chức tiết kiệm đáng kể. Dự án FedStat của chính phủ Mỹ đã tiết kiệm được 311.000 USD khi sử dụng phần mềm Internet mã nguồn mở. Ngoài ra, phần mềm Intranet mã nguồn mở cho phép người dùng tùy chỉnh theo nhu cầu cụ thể.

Trên thế giới, Linux đang dần chiếm ưu thế trong thị trường máy chủ và máy tính để bàn. Tại Tây Âu, IDC dự đoán chi phí cho dịch vụ hỗ trợ hệ thống Linux sẽ tăng lên 228 triệu USD vào năm 2008. Các nước Châu Á như Nhật Bản, Hàn Quốc và Trung Quốc cũng đang hợp tác phát triển phần mềm nguồn mở để cạnh tranh với Microsoft Windows. Tuy nhiên, tại Việt Nam, việc phát triển phần mềm mã nguồn mở còn gặp nhiều khó khăn. Mặc dù Nhà nước chi kinh phí lớn, nhưng chưa hình thành một cộng đồng phần mềm nguồn mở mạnh mẽ. Một số đơn vị như Viện Tin học Pháp ngữ (IFI) và Đại học Quốc gia TP.HCM đã sử dụng Linux. Quyết định 235/QĐ-TTg của Thủ tướng Chính phủ đã phê duyệt dự án tổng thể “Ứng dụng và phát triển phần mềm nguồn mở ở Việt Nam giai đoạn 2004-2008”. Giải pháp sử dụng mã nguồn mở là cần thiết để giúp các tổ chức nhà nước, trường học, các doanh nghiệp… tiết kiệm chi phí đầu tư và triển khai nhanh chóng một hệ thống mạng.

Giải pháp Intranet mã nguồn mở cần đáp ứng nhiều yêu cầu về tính năng để đảm bảo hiệu quả và an toàn. Các dịch vụ mạng cần hỗ trợ các giao thức an ninh (secure protocol) dựa trên công nghệ chữ ký điện tử. Hệ thống cần có các thành phần bảo vệ mức hệ thống như tường lửa, hệ thống phát hiện xâm nhập (IDS) và các thành phần bảo vệ ở mức ứng dụng như hệ thống chống virus, chống thư rác. Hệ thống cần có khả năng phát hiện các tấn công. Hệ thống mạng cần sử dụng cơ sở dữ liệu trung tâm lưu trữ thông tin người dùng và hệ thống. Các thông tin xác thực (authentication) và phân quyền (authorization) cần được cung cấp cho các dịch vụ. Tất cả các trao đổi xác thực cần được mã hóa. Tài khỏan quản trị hệ thống cần được xác thực qua cơ sở dữ liệu trung tâm. Các dịch vụ hệ thống cần được quản trị bằng giao diện web từ xa.

Một hệ thống mạng Internet/Intranet thường được thiết kế thành nhiều lớp để hạn chế các nguy cơ xâm nhập. Giải pháp này đề nghị một thiết kế mạng gồm 03 vùng (network zone) cho một hệ thống cung cấp dịch vụ: vùng mạng bên ngoài (DMZ), vùng mạng nội bộ và vùng mạng quản trị. Vùng DMZ cung cấp các dịch vụ mạng cho các truy xuất từ Internet và Intranet, được bảo vệ bằng tường lửa. Vùng mạng nội bộ phục vụ nhu cầu sử dụng các dịch vụ mạng và trao đổi dữ liệu bên trong. Tất cả các truy cập từ mạng nội bộ ra ngòai sẽ đi qua một máy chủ proxy. Vùng mạng quản trị được sử dụng để quản trị và kiểm sóat họat động của hệ thống. Dữ liệu trao đổi giữa các vùng mạng được kiểm sóat bằng tường lửa. Hệ thống dịch vụ được xây dựng gồm 3 thành phần: hệ thống dịch vụ mạng, hệ thống bảo vệ và hệ thống quản trị.

Một hệ thống xác thực trung tâm là nền tảng của một Intranet an toàn và dễ quản lý. Hệ thống này cho phép người dùng chỉ cần đăng nhập một lần để truy cập tất cả các dịch vụ của Intranet. Trong giải pháp này, các thông tin xác thực được lưu trong một cơ sở dữ liệu trung tâm dùng chung cho tòan hệ thống. Khi truy xuất các dịch vụ, hệ thống sẽ yêu cầu xác thực (authentication) người sử dụng và người sử dụng sẽ cung cấp tài khỏan và mật khẩu để hệ thống thực hiện việc xác thực. Giải pháp cũng sẽ phát triển một ứng dụng web cho phép thay đổi dữ liệu trong cơ sở dữ liêu trung tâm phục vụ cho mục đích quản lý các tài khỏan thuê bao và tài khỏan hệ thống. Để bảo vệ các dữ liệu quan trọng này, tòan bộ các trao đổi trong quá trình xác thực được mã hóa sử dụng công nghệ SSL/TLS. Cơ sở dữ liệu trung tâm được thiết kế phân tán và định kỳ sẽ đồng bộ dữ liệu để đảm bảo tính đơn nhất của dữ liệu.

Dịch vụ phân giải tên miền DNS (Domain Name System) là một dịch vụ quan trọng của hệ thống, giữ nhiệm vụ đổi tên miền (domain name) thành các địa chỉ IP và ngược lại. Trong giải pháp này, hệ thống DNS sẽ được chia thành hai phần phục vụ 2 đối tượng truy xuất Intranet/Internet và mạng nội bộ. DNS nội bộ sẽ phân giải các tên miền quản lý thành các địa chỉ cục bộ (local) và chuyển tiếp các yêu cầu phân giải khác đến các DNS Intranet/Internet nếu cần thiết. Để tăng tính an tòan của hệ thống, TSIG/TKEY được sử dụng để bảo vệ dữ liệu đồng bộ giữa 2 máy chủ DNS và phạm vi thực hiện đồng bộ sẽ được hạn chế bằng ACL(access control list). Trong tương lai, giải pháp này sẽ tích hợp dữ liệu DNS vào cơ sở dữ liệu trung tâm nhằm tạo điều kiện dễ dàng cho việc quản trị các dịch vụ cấp phát và cho thuê tên miền của các nhà cung cấp dịch vụ.

Dịch vụ gửi nhận thư điện tử (email) là một trong những dịch vụ quan trọng và được sử dụng nhiều nhất hiện nay. Trong giải pháp này, hệ thống cung cấp dịch vụ thư điện tử được thiết kế phân tán để đảm bảo khả năng mở rộng của hệ thống khi có dung lượng truy xuất lớn. Thiết kế của hệ thống thư điện tử được trình bày trong sơ đồ sau. Cơ chế xoay vòng (round robin) của DNS được sử dụng để phân phối thư điện tử vào các mail gateway của hệ thống.Thư điện tử sau khi được kiểm tra xong tại mail gateway sẽ được phân bổ về một trong các máy chủ chứa hộp thư (mailbox) theo thông tin chỉ dẫn của trong LDAP. Hệ thống thư điện tử hỗ trợ các giao thức an tòan (secure) dựa trên nền tảng công nghệ SSL/TLS. Hệ thống thư điện tử cũng cung cấp một tiện ích thư điện tử qua giao diện web (Webmail) sử dụng ngôn ngữ tiếng Việt (và nhiều ngôn ngữ khác) nhằm cung cấp một công cụ thuận tiện và dễ dàng cho người sử dụng ở bất kỳ nơi nào trên thế giới.

Tường lửa sẽ được thiết lập để kiểm sóat các lưu thông tại tầng mạng (network layer), những lưu thông không hợp lệ sẽ bị ngăn chặn lại tại firewall để giảm thiểu nguy cơ xâm nhập hệ thống.Hệ thống IDS giữ vai trò như một người giám sát các lưu thông trong hệ thống mạng và đưa ra các cảnh báo (attact alert) khi có các dấu hiệu xâm nhập từ bên ngòai hoặc ngay bên trong nội bộ mạmg. Hệ thống này thường không ngăn chặn các xâm nhập nhưng có nhiệm vụ phát hiện các bất thường dựa trên việc nhận dạng các dấu hiệu tấn công (attacking signature) đã được ghi nhận và công bố trên thế giới.

Kiểm tra tính tòan vẹn của hệ thống tệp là một giải pháp cho phép truy tìm các chương trình được cài đặt thêm vào hệ thống để thực thi các mục đích xâm nhập. Trong giải pháp này, chữ ký (signature) của tất cả các tệp quan trọng (phần mềm, dữ liệu…) sẽ được lưu trữ vào một nơi an tòan. Dữ liệu nhật ký (syslog) là những dữ liệu phát sinh trong quá trình họat động của hệ thống ghi nhận các họat động bên trong và các tác động từ bên ngòai vào hệ thống. Dữ liệu nhật ký được sử dụng trong việc kiểm tra các họat động của hệ thống và xác định nguyên nhân các sự cố. Trong giải pháp xây dựng, tất cả các dữ liệu nhật ký của hệ thống được lưu trữ tập trung vào một cơ sở dữ liệu trung tâm.

Nhóm chức năng quản trị hệ thống cung cấp cho người quản trị hệ thống (system administrator) các công cụ kiểm sóat sự vận hành và thay đổi cấu hình của hệ thống. Bộ các công cụ quản trị riêng cho từng dịch vụ hệ thống (DNS, HTTP, SMTP, POP/IMAP, FTP, Proxy…) được tích hợp trong một giao diện chung. Một ứng dụng web được xây dựng cung cấp các chức năng cần thiết cho việc quản trị tất cả các tài khỏan hệ thống (system-level account) được lưu trữ trên cơ sở dữ liệu LDAP.

Nhóm chức năng quản trị dịch vụ cung cấp cho người quản lý dịch vụ các công cụ cấp quyền sử dụng cho người sử dụng, quản lý thông tin người dùng và thiết lập các thông số liên quan đến các dịch vụ cung cấp được lưu trữ trên LDAP. Các chức năng chính gồm : Cấp tài khỏan truy cập dịch vụ thư điện tử, truyền tệp dữ liệu(FTP), kết nối từ xa. Thiết lập các thông số đặc thù cho các dịch vụ cung cấp như : định tuyến địa chỉ (mail routing), dung lượng (quota) hộp thư, các địa chỉ bí danh (mail alias), tạo lập nhóm địa chỉ, địa chỉ chuyển tiếp….Cấp hộp thư điện tử (mailbox).

Dữ liệu trong thư mục LDAP được tổ chức theo cấu trúc cây liên kết các mục dữ liệu (entry). Một mục dữ liệu có thể có nhiều thuộc tính (attribute) và mỗi thuộc tính có thể chứa một hay nhiều giá trị (đa trị) của một kiểu dữ liệu nhất định được định nghĩa khi thiết lập cơ sở dữ liệu. Mỗi mục dữ liệu (entry) được xác định bằng một tên duy nhất là gọi là tên phân biệt (Distinguished Name) hoặc đơn giản là DN.

Cấu trúc LDAP được thiết kế thành nhiều cấp (xem sơ đồ sau) với mục đích phân vùng quản lý dữ liệu và khả năng mở rộng hệ thống sau này. Cấp 1 trong cấu trúc này là một đối tượng biểu diễn tên tổ chức quản lý hệ thống mạng, ví dụ o=CESTI. Cấp 2 trong cấu trúc này là các đối tượng biểu diễn các miền (domain) được quản lý độc lập bởi tổ chức này.