BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VINH KHOA ĐIỆN TỬ VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ CƠ CHẾ BẢO MẬT TRONG MẠNG Người hướng dẫn : ThS Nguyễn Anh Quỳnh Sinh viên thực : Nguyễn Xuân Hiếu Lớp : 47K- ĐTVT Vinh 05/2011 MỞ ĐẦU Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin, đặc biệt công nghệ máy vi tính mạng máy tính với bùng nổ hàng ngàn cách mạng lớn nhỏ Từ đời, máy vi tính ngày giữ vai trò quan trọng lĩnh vực khoa học kỹ thuật sống hàng ngày người Từ đời máy tính điện tử lớn ENIAC năm 1945, sau đời máy vi tính hãng IBM vào năm 1981 nay, sau 20 năm, với thay đổi tốc độ vi xử lý phần mềm ứng dụng, số hóa tất liệu thông tin, đồng thời kết nối chúng lại với luân chuyển mạnh mẽ Hiện nay, loại thông tin, số liệu, hình ảnh, âm … đưa dạng kỹ thuật số để máy tính lưu trữ, xử lý chuyển tiếp với máy tính hay thiết bị kỹ thuật số khác Sự đời mạng máy tính dịch vụ mang lại cho người nhiều lợi ích to lớn, góp phần thúc đẩy kinh tế phát triển mạnh mẽ, đơn giản hóa thủ tục lưu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc kết nối vị trí, khoảng cách lớn cách nhanh chóng, hiệu … Và mạng máy tính trở thành yếu tố thiếu phát triển kinh tế, trị văn hóa, tư tưởng quốc gia hay châu lục Con người không bị giới hạn khoảng cách địa lý, có đầy đủ quyền để sáng tạo giá trị vô giá vật chất tinh thần, thỏa mãn khát vọng lớn lao họ toàn nhân loại Cũng vậy, mạng máy tính, mạng máy tính hoạt động ý muốn hậu nghiêm trọng Và vấn đề an toàn cho mạng máy tính phải đặt lên hàng đầu thiết kế, lắp đặt đưa vào sử dụng hệ thống mạng máy tính dù đơn giản Trong trình thực tập làm đồ án tốt nghiệp, đồng ý hướng dẫn, bảo tận tình ThS.Nguyễn Anh Quỳnh, với giúp đỡ bạn bè công ty nơi thực tập, em có thêm nhiều điều kiện để tìm hiểu mạng máy tính, vấn đề an toàn mạng máy tính Đó đề tài mà em muốn nghiên cứu trình bày đồ án tốt nghiệp Nội dung đồ án gồm:  Chương I Giới thiệu mạng máy tính  Chương II Chuẩn hóa mạng máy tính mô hình OSI, TCP/IP  Chương III Vấn đề an toàn mạng máy tính Đồ án đề cập đến vấn đề lớn tương đối phức tạp, đòi hỏi nhiều thời gian kiến thức lý thuyết thực tế Do thời gian nghiên cứu chưa nhiều trình độ thân hạn chế, nên đồ án không tránh khỏi khiếm khuyết Em mong nhận hướng dẫn, bảo thầy, cô giáo đóng góp nhiệt tình bạn để giúp em bổ sung vốn kiến thức tiếp tục nghiên cứu đề tài nêu cách tốt hơn, hoàn chỉnh Em xin chân thành cám ơn! Vinh ngày tháng 05năm 2011 Sinh viên thực Nguyễn Xuân Hiếu MỤC LỤC Mở đầu: Tóm tắt đồ án: Danh sách hình vẽ Danh sách bảng biểu…………………………………………………… Các từ viết tắt .10 Chương I Giới thiệu máy tính 12 1.1 Lịch sử phát triển mạng máy tính 12 1.2 Nhu cầu mục đích việc kết nối máy tính thành mạng 14 1.3 Đặc trưng kỹ thuật mạng máy tính 15 1.3.1 Đường truyền .15 1.3.2 Kỹ thuật chuyển mạch .17 1.3.3 Kiến trúc mạng 17 1.3.3.1 Hình trạng mạng .18 1.3.3.2 Giao thức mạng 18 1.3.3.4 Hệ điều hành mạng 19 1.4 Phân loại mạng máy tính 19 1.4.1 Phân loại mạng theo khoảng cách địa lý 19 1.4.1.1 Mạng toàn cầu (GAN) 20 1.4.1.2 Mạng diện rộng (WAN) 20 1.4.1.3 Mạng đô thị (MAN) .20 1.4.1.4 Mạng cục (LAN) .20 1.4.2 Phân loại theo kỹ thuật chuyển mạch áp dụng mạng .20 1.4.2.1 Mạng chuyển mạch kênh 21 1.4.2.2 Mạng chuyển mạch thông báo 21 1.4.2.3 Mạng chuyển mạch gói 22 1.4.3 Phân loại theo hình trạng mạng 23 1.4.3.1 Mạng hình 23 1.4.3.2 Mạng hình vòng .24 1.4.3.3 Mạng trục tuyến tính 25 1.4.3.4 Mạng dạng .26 1.4.3.5 Mạng dạng vô tuyến Satellite - Vệ tinh Radio .26 1.4.3.6 Mạng kết nối hỗn hợp 27 1.4.4 Phân loại theo giao thức hệ điều hành mạng sử dụng 27 1.4.4.1 Mạng khách-chủ (client-server) .28 1.4.4.2 Mạng ngang hàng (peer to peer) .28 1.5 Một số mạng máy tính thông dụng .28 1.5.1 Mạng cục (LAN) 28 1.5.2 Mạng diện rộng với kết nối LAN to LAN 29 1.5.3 Liên mạng Internet 30 1.5.4 Mạng Intranet 30 Chương II Chuẩn hóa mạng máy tính mô hình OSI, TCP/IP 31 2.1 Vấn đề chuẩn hóa mạng máy tính tổ chức chuẩn hóa mạng .31 2.2 Mô hình tham chiếu OSI lớp .32 2.2.1 Giới thiệu mô hình OSI 32 2.2.2 Các lớp mô hình OSI chức chúng 32 2.2.2.1 Lớp vật lý .32 2.2.2.2 Lớp liên kết liệu 33 2.2.2.3 Lớp mạng .34 2.2.2.4 Lớp giao vận 34 2.2.2.5 Lớp phiên .34 2.2.2.6 Lớp trình diễn 35 2.2.2.7 Lớp ứng dụng 35 2.2.3 Phương thức hoạt động mô hình OSI 35 2.2.4 Quá trình truyền liệu mô hình OSI .36 2.3 TCP/IP mạng Internet .38 2.3.1 Họ giao thức TCP/IP 38 2.3.1.1 Giới thiệu họ giao thức TCP/IP 38 2.3.1.2 Giao thức IP 42 2.3.1.3 Địa IP 42 2.3.1.4 Cấu trúc gói liệu IP 45 2.3.1.5 Phân mảnh hợp gói IP 48 2.3.1.6 Định tuyến IP 50 2.4 Giao thức TCP 52 2.4.1 Cấu trúc gói liệu TCP 53 2.4.2 Thiết lập kết thúc kết nối TCP 55 2.5 Internet 56 2.5.1 Lịch sử phát triển Internet 56 2.5.2 Kiến trúc Internet 59 2.5.3 Các dịch vụ thông tin Internet 61 2.5.3.1 Thư điện tử .61 2.5.3.2 Truyền file FTP 62 2.5.3.3 Truy cập từ xa (Telnet) 62 2.5.3.4 World Wide Web 62 Chương III Vấn đề an toàn mạng máy tính 64 3.1 Các nguy đe dọa hệ thống mạng máy tính 64 3.1.1 Mô tả nguy .64 3.1.2 Các mức bảo vệ an toàn mạng 67 3.2 Phân tích mức an toàn mạng 67 3.2.1 Quyền truy nhập (Access Right) .67 3.2.2 Đăng nhập/Mật (Login/Password) 68 3.2.3 Mã hóa liệu (Data Encryption) .68 3.2.4 Bảo vệ vật lý (Physical Protect) 68 3.2.5 Bức tường lửa (Firewall) 69 3.3 Các biện pháp bảo vệ an toàn hệ thống 69 3.3.1 Quyền hạn tối thiểu (Least Privilege) .69 3.3.2 Bảo vệ theo chiều sâu (Defense in Depth) 70 3.3.3 Nút thắt (Choke Point) 70 3.3.4 Điểm xung yếu (Weakest Link) 70 3.3.5 Hỏng an toàn (Fail-Safe Stance) 70 3.3.6 Sự tham gia toàn cầu 71 3.3.7 Kết hợp nhiều biện pháp bảo vệ 71 3.3.8 Đơn giản hóa .72 3.4 Thiết kế sách an ninh cho mạng máy tính 72 3.4.1 Phân tích nguy an ninh 72 3.4.2 Xác định tài nguyên cần bảo vệ 73 3.4.3 Xác định mối đe dọa an ninh mạng 73 3.4.4 Xác định trách nhiệm người sử dụng mạng 74 3.4.5Kế hoạch hành động sách bị vi phạm 77 3.5 Firewall……………………………………………………………… 78 3.5.1 Khái niệm…………………………………………………………… 78 3.5.2 Chức năng…………………………………………………………… 78 3.5.3 Các thành phần Firewall & chế hoạt động……………………79 3.5.4 Bộ lọc gói (Packet Filter)……………………………………… … 80 3.5.5 Cổng ứng dụng (Application–Level Gateway)………………… … 82 3.5.6 Cổng vòng (Circuit–Level Gateway)………………………… …… 85 Kết luận 86 Tài liệu tham khảo 87 TÓM TẮT ĐỒ ÁN Với mục đích tìm hiểu mạng máy tính vấn đề bảo mật mạng, cách đảm bảo an ninh mạng Firewall Đồ án gồm ba chương: Chương 1: Giới thiệu máy tính mạng máy tính Giới thiệu cấu trúc máy tính tổng quan mạng máy tính, đặc trưng, phân loại số mạng máy tính thông dụng Chương 2: Chuẩn hóa mạng máy tính Giới thiệu cần chuẩn hóa mạng, mô hình tham chiếu lớp OSI, giao thức mạng TCP/IP giới thiệu tổng quan mạng Internet Chương 3: Tổng quan bảo mật mạng Giới thiệu tổng quan bảo mật mạng, hình thức công, mức độ bảo mật, biện pháp bảo vệ kế hoạch thiết kế sách bảo mật mạng Giới thiệu tổng quan Firewall chức năng, phân loại firewall, kiểu kiến trúc thành phần firewall Summary of final year project For learning purpose about computer network and issue of network security, protections of netowrk security such as Firewall.This project is individed 3chapters Chapter 1: Introduction to computer and computer network Introduction computer architechture and computer network overview, characters, indivision and some common computer network now Chapter 2: Standard computer network Introduction to why standard network is needed, 7layer OSI reference model, TCP/IP protocols, like introduction tion Internet network overview Chapter 3: Network security overview Network security overview, method of attracks, security levels, method of security and plan design network security prolicies Introduction to characters of Firewall overview, division of Firewall, architectures mode and mebers of Firewall DANH SÁCH CÁC HÌNH VẼ Hình 1.1 Mạng máy tính với tiền xử lý………………….………………12 Hình 1.2 Mạng máy tính nối trực tiếp tiền xử lý………………… 13 Hình 1.3 Mạng chuyển mạch kênh……………………………………… 21 Hình 1.4 Mạng chuyển mạch thông báo………………………………… 21 Hình 1.5 Mạng chuyển mạch gói………………………………………… 22 Hình 1.6 Mạng hình (Star)……………………………… …………….23 Hình 1.7 Mạng hình vòng (Ring)…………………………… …………….24 Hình 1.8 Mạng chu trình (Loop)……………………………… ………… 25 Hình 1.9 Mạng trục tuyến tính (Bus)…………………………… ……… 25 Hình 1.10 Mạng dạng (Tree)………………………………… ……….26 Hình 1.11 Mạng vô tuyến-Satelltie (Vệ tinh) Radio………… …… 26 Hình 1.12 Mạng kết nối hỗn hợp………………………………………….27 Hình 1.13 Mạng diện rộng với kết nối LAN to LAN…………………… 29 Hình 2.1 Mô hình tham chiếu OSI Lớp…………………………………33 Hình 2.2 Quá trình truyền liệu mô hình OSI………………… 37 Hình 2.3 Mô hình OSI mô hình kiến trúc TCP/IP……………… 40 Hình 2.4 Cấu trúc liệu lớp TCP/IP……………………… 41 Hình 2.5 Dùng gateway để gửi gói liệu……………………….51 Hình 2.6 Cổng truy nhập dịch vụ TCP…………………………… …… 54 Hình 2.7 Quá trình kết nối theo bước………………………… ……….55 Hình 3.1 Sơ đồ tổng quan hệ thống tin học………………………… 66 Hình 3.2 Các mức an toàn mạng………………………………………….68 Hình 3.3 Sơ đồ làm việc Packet Filtering……………………….…….80 Hình 3.4 Kết nối người dùng Client với server qua Proxy……….….83 Hình 3.5 Kết nối qua cổng vòng (Circuit-Level Gateway)…………….….85 DANH SÁCH CÁC BẢNG BIỂU Bảng 2.1 Cách đánh địa TCP/IP………………………………….…… 44 Bảng 2.2 Bổ sung vùng subnetID……………………………………….… 45 Bảng 2.3 Cấu trúc gói liệu TCP/IP………………………………… … 46 Bảng 2.4 Mô tả bits…………………………………………….……… 47 Bảng 2.5 Nguyên tắc phân mảnh gói liệu………………………….… 49 Bảng 2.6 Khuôn dạng TCP segment………………………………… 53 10 Để lộ thông tin vô tình hay cố ý mối đe dọa khác Chúng ta nên định giá trị để phản ánh tầm quan trọng thông tin Ví Dụ nhà sản xuất phần mềm là: mã nguồn, chi tiết thiết kế, biểu đồ, thông tin cạnh tranh sản phẩm Nếu để lộ thông tin quan trọng, tổ chức bị thiệt hại mặt uy tín, tính cạnh tranh, lợi ích khách hàng • Từ chối cung cấp dịch vụ: Mạng thường gồm tài nguyên quý báu máy tính, CSDL cung cấp dịch vụ cho tổ chức Đa phần người dùng mạng phụ thưộc vào dịch vụ để thực công việc hiệu Chúng ta khó biết trước dạng từ chối dịch vụ Có thể tạm thời liệt kê số dạng sau: - Mạng không dùng gói gây lỗi - Mạng không dùng tải giao thông - Mạng bị phân mảnh Router quan trọng bị vô hiệu hoá - Một virus làm chậm hệ thống dùng tài nguyên mạng - Thiết bị bảo vệ mạng bị vô hiệu hoá 3.4.4 Xác định trách nhiệm người sử dụng mạng • Ai quyền dùng tài nguyên mạng Ta phải liệt kê tất người dùng cần truy nhập tới tài nguyên mạng Không thiết liệt kê toàn người dùng Nếu phân nhóm cho người dùng việc liệt kê đơn giản Đồng thời ta phải liệt kê nhóm đặc biệt gọi người dùng bên ngoài, người truy nhập từ trạm đơn lẻ từ mạng khác • Sử dụng tài nguyên cho Sau xác định người dùng phép truy nhập tài nguyên mạng, phải tiếp tục xác định xem tài nguyên dùng Như ta phải đề đường lối cho lớp người sử dụng như: Những nhà phát triển phần mềm, sinh viên, người sử dụng 75 Sau số điều khoản cần có cho đường lối đạo chung: - Sử dụng tài khoản người khác có phép không ? - Có phép dùng chương trình tìm mật không ? - Có phép ngắt dịch vụ không ? - Có sửa đổi tệp không thuộc sở hữu lại có quyền ghi không ? - Có phép cho người khác dùng tài khoản riêng không ? • Ai có quyền cấp phát truy nhập Chính sách an ninh mạng phải xác định rõ có quyền cấp phát dịch vụ cho người dùng Đồng thời phải xác định kiểu truy nhập mà người dùng cấp phát lại Nếu biết người có quyền cấp phát truy nhập ta biết kiểu truy nhập cấp phát, biết người dùng có cấp phát quyền hạn không Ta phải cân nhắc hai điều sau: - Truy nhập dịch vụ có cấp phát từ điểm trung tâm không? - Phương thức dùng để tạo tài khoản kết thúc truy nhập? Nếu tổ chức lớn mà không tập trung tất nhiên có nhiều điểm trung tâm để cấp phát truy nhập, điểm trung tâm phải chịu trách nhiệm cho tất phần mà cấp phát truy nhập • Người dùng có quyền hạn trách nhiệm Sau danh sách điều khoản áp dụng cho người dùng: - Phải tuân thủ đường lối liên quan đến việc sử dụng mạng - Phải chịu phạt vi phạm coi lạm dụng tài nguyên, ảnh hưởng đến hoạt động hệ thống - Người dùng có phép chia sẻ tài khoản không ? - Người dùng có phép tiết lộ mật để người khác làm việc hộ không ? - Tuân theo sách mật bao gồm: thời hạn thay đổi mật khẩu, yêu cầu mật 76 - Người dùng có trách nhiệm lưu liệu nhiệm người quản trị ? - Hậu việc người dùng tiết lộ thông tin độc quyền, người bị phạt ? - Đảm bảo điều khoản tính riêng tư thư tín điện tử • Người quản trị hệ thống có quyền hạn trách nhiệm Người quản trị hệ thống thường xuyên phải thu thập thông tin tệp thư mục riêng người dùng để tìm hiểu vấn đề hệ thống Ngược lại, người dùng phải giữ gìn bí mật riêng tư thông tin họ Vì mà sách mạng phải xác định xem người quản trị có phép kiểm tra thư mục người dùng có vi phạm an ninh hay không Nếu an ninh có nguy người quản trị phải có khả linh hoạt để giải vấn đề Còn điều khoản có liên quan khác sau: Người quản trị hệ thống có theo dõi hay đọc tệp người dùng với lý hay không ? Người quản trị mạng có quyền kiểm tra giao thông mạng giao thông đến trạm hay không ? Người dùng, người quản trị hệ thống, tổ chức có trách nhiệm pháp lý việc truy nhập trái phép tới liệu riêng tư người khác, tổ chức khác? • Làm với thông tin quan trọng Theo quan điểm an ninh, liệu quan trọng phải hạn chế, số máy người truy nhập Trước cấp phát truy nhập cho người dùng, phải cân nhắc xem có khả thu truy nhập khác không ? Ngoài phải báo cho người dùng biết dịch vụ tương ứng với việc lưu trữ thông tin quan trọng 77 3.4.5 Kế hoạch hành động sách bị vi phạm Mỗi sách bị vi phạm có nghĩa hệ thống đứng trước nguy an ninh Khi phát vi phạm, phải phân loại lý vi phạm chẳng hạn người dùng cẩu thả, lỗi vô ý, không tuân thủ sách • Phản ứng có vi phạm Khi vi phạm xảy người dùng có trách nhiệm phải liên đới Ta phải định hành động tương ứng với kiểu vi phạm Đồng thời người phải biết quy định người tổ chức người đến sử dụng máy Chúng ta phải lường trước trường hợp vi phạm không cố ý để giải linh hoạt, lập sổ ghi chép định kỳ xem lại để phát khuynh hướng vi phạm để điều chỉnh sách cần • Phản ứng người dùng cục vi phạm Người dùng cục có vi phạm sau: - Vi phạm sách cục - Vi phạm sách tổ chức khác Trường hợp thứ chúng ta, quan điểm người quản trị hệ thống tiến hành việc xử lý Trong trường hợp thứ hai phức tạp xảy kết nối Internet, phải xử lý tổ chức có sách an ninh bị vi phạm • Chiến lược phản ứng Chúng ta sử dụng hai chiến lược sau: - Bảo vệ xử lý - Theo dõi truy tố Trong đó, chiến lược thứ nên áp dụng mạng dễ bị xâm phạm Mục đích bảo vệ mạng xử lý, phục hồi tình trạng bình thường để người dùng tiếp tục sử dụng được, ta phải can thiệp vào hành động người vi phạm ngăn cản không cho truy nhập 78 Đôi khôi phục lại phải cách ly phân đoạn mạng đóng hệ thống để không cho truy nhập bất hợp pháp tiếp tục 3.5 Firewall 3.5.1 Khái niệm Firewall hiểu cách chung cấu để bảo vệ mạng máy tính chống lại truy nhập bất hợp pháp từ (mạng) máy tính khác Firewall bao gồm cấu nhằm: • Ngăn chặn truy nhập bất hợp pháp • Cho phép truy nhập sau kiểm tra tính xác thực thực thể yêu cầu truy nhập Trên thực tế, Firewall thể khác nhau: phần mềm phần cứng chuyên dùng, sử dụng máy tính mạng máy tính Theo William Cheswick Steven Beilovin tường lửa xác định tập hợp cấu kiện đặt hai mạng Nhìn chung tường lửa có thuộc tính sau : - Thông tin giao lưu theo hai chiều - Chỉ thông tin thoả mãn nhu cầu bảo vệ cục qua - Bản thân tường lửa không đòi hỏi trình thâm nhập 3.5.2 Chức Ưu điểm - Firewall bảo vệ hệ thống máy tính chống lại kẻ đột nhập qua khả ngăn chặn phiên làm việc từ xa (remote login) - Ngăn chặn thông tin từ bên (Internet) vào mạng bảo vệ, cho phép người sử dụng hợp pháp truy nhập tự mạng bên 79 - Firewall ngăn chặn dịch vụ tin cậy - Truy nhập có điều khiển đến host - Tập trung hóa sách bảo mật - Xác nhận người dùng lưu trữ thông tin Hạn chế • Firewall không đủ thông minh người để đọc hiểu loại thông tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa • Firewall ngăn chặn công công không “đi qua” Một cách cụ thể, Firewall chống lại công từ đường dial–up, mát thông tin liệu bị chép bất hợp pháp lên đĩa mềm • Firewall chống lại công liệu (data–drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động • Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát Firewall (một ví dụ virus máy tính) 3.5.3 Các thành phần Firewall & chế hoạt động Một Firewall chuẩn bao gồm hay nhiều thành phần sau đây: • Bộ lọc gói (Packet–Filter) • Cổng ứng dụng (Application–level Gateway hay Proxy Server) • Cổng mạch (Circuite level Gateway) 80 3.5.4 Bộ lọc gói (Packet Filter) a Nguyên lý hoạt động Hình 3.3 Sơ đồ làm việc Packet Filtering Firewall hoạt động chặt chẽ với giao thức TCI/IP làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data paket) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến Packet số địa chúng Bộ lọc gói cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc gói hay không Các luật lệ lọc gói dựa thông tin đầu packet (packet header ), dùng phép truyền packet mạng Đó là: • Địa IP nơi xuất phát ( IP Source address) 81 • Địa IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thông báo ICMP (ICMP message type) • Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet (Outcomming interface of Packet) Nếu luật lệ lọc gói thoả mãn packet chuyển qua Firewall Nếu không, packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục b Ưu điểm hạn chế hệ thống Firewall sử dụng lọc gói Ưu điểm • Đa số hệ thống Firewall sử dụng lọc gói Một ưu điểm phương pháp dùng lọc gói chi phí thấp chế lọc gói bao gồm phần mềm router • Ngoài ra, lọc gói suốt người sử dụng ứng dụng, không yêu cầu huấn luyện đặc biệt Hạn chế • Việc định nghĩa chế độ lọc gói việc phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ Internet, dạng packet header, giá trị cụ thể mà họ nhận trường Khi 82 đòi hỏi vể lọc lớn, luật lệ lọc trở nên dài phức tạp, khó để quản lý điều khiển • Do làm việc dựa header packet, rõ ràng lọc gói không kiểm soát nội dung thông tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 3.5.5 Cổng ứng dụng (Application–Level Gateway) Hình 3.4 Kết nối người dùng (Client) với Server qua Proxy a Nguyên lý hoạt động Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi proxy service (dịch vụ đại diện) proxy service code đặc biệt cài đặt cổng (gateway) cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng không cung cấp chuyển thông tin qua Firewall Ngoài ra, proxy code định cấu 83 hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại công từ bên Những biện pháp đảm bảo an ninh bastion host là: − Bastion host chạy version an toàn (secure version) phần mềm hệ thống (operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào hệ điều hành (operating system), đảm bảo tích hợp Firewall − Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ không cài đặt, bị công Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host − Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card • Mỗi proxy đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống • Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thông qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại • Mỗi proxy độc lập với proxy khác bastion host Điều cho phép đơn giản trình cài đặt proxy mới, hay tháo gỡ proxy có vấn đề Ví dụ: Telnet Proxy 84 Ví dụ người dùng bên (gọi outside client) muốn sử dụng dịch vụ telnet để kết nối vào hệ thống mạng qua môt bastion host có telnet proxy Quá trình xảy sau: Outside client telnets đến bastion host Bastion host kiểm tra mật (password), hợp lệ outside client phép vào giao diện telnet proxy Telnet proxy cho phép tập nhỏ lệnh telnet, định máy chủ nội outside client phép truy nhập Outside client máy chủ đích telnet proxy tạo kết nối riêng tới máy chủ bên chuyển lệnh tới máy chủ uỷ quyền outside client Outside client tin telnet proxy máy chủ thật bên trong, máy chủ bên tin telnet proxy client thật b Ưu điểm hạn chế Ưu điểm • Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ • Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá • Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thông tin truy nhập hệ thống • Luật lệ filltering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc gói Hạn chế 85 • Yêu cầu users biến đổi (modify) thao tác, modify phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy 3.5.6 Cổng vòng (Circuit–Level Gateway) Hình 3.5 Kết nối qua cổng vòng (Circuit–Level Gateway Cổng vòng chức đặc biệt thực đươc cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc gói Hình 3.5 minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục telnet Cổng vòng làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống Firewall, che dấu thông tin mạng nội Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà nhà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức 86 tường lửa để bảo vệ mạng nội từ công bên 87 KẾT LUẬN Qua việc nghiên cứu mạng máy tính an toàn mạng máy tính, vấn đề bảo mật mạng máy tính lửa - giải pháp hiệu bảo vệ mạng máy tính Qua suốt tháng tìm hiểu nghiên cứu thu nhiều kiến thức máy tính lịch sử phát triển máy tính cấu trúc chức máy tính, khả xử lý liệu, kiến thức mạng máy tính thiết bị mạng chế hoạt động mạng máy tính, mục đích nhu cầu kết nối mạng, đặc trưng thông số kỹ thuật trọng mạng So sánh mô hình OSI mô hình TCP/IP vấn đề chuẩn hoá kết nối mô hình nguy đe doạ hệ thống mạng máy tính, phân tích mức an toàn đưa giải pháp bảo vệ an toàn hệ thống Do vốn kiến thức thân chưa rộng, thời gian, điều kiện tiếp xúc thực tiễn nghiên cứu hạn chế, nên em chưa thể tìm hiểu trình bày thật tốt kỹ lưỡng vấn đề liên quan đến mạng máy tính an toàn, bảo mật thông tin mạng máy tính tường lửa Trên kiến thức em tìm hiểu nắm trình thực tập, nghiên cứu qua hướng dẫn ThS.Nguyễn Anh Quỳnh giúp em hoàn thành tốt đồ án tốt nghiệp Em cám ơn mong nhận giúp đỡ, bảo thầy Nguyễn Anh Quỳnh thầy, cô để trang bị thêm cho kiến thức cần thiết đề tài em nêu Những kiến thức kiến thức trang bị trình học tập, nghiên cứu trường gốc để từ em có sở nghiên cứu, phát huy tiếp đề tài này; mong đóng góp phần có ích cho ngành điện tử viễn thông công nghệ thông tin nước nhà Em xin chân thành cám ơn! 88 TÀI LIỆU THAM KHẢO • Nguyễn Thị Nguyệt, Mạng máy tính không dây, NXB khoa học kỹ thuật, Hà nội 1999 • Đào Gia Hạnh, Nghiên cứu triển khai mạng không dây Việt Nam (LVTS-ĐTVT: / Hà nội 2004) • Tanenbaum A.S Structured Computer Organization Prentice Hll 1998 • Võ Văn Thành Thế giới bên máy vi tính tập NXB Thống kê 1996 • Trần Quang Vinh Cấu trúc máy vi tính NXB Giáo dục 1997 • Cisco - CCSP SND 642-551 Network Security Fundamentals(2005) • Cisco - Intrusion Prevention Fundamentals(2006) • Cisco - Cisco ASA and PIX Firewall Handbook(2005) • Cisco.Press.End.to.End.Network.Security.Aug.2007.eBook-BBL • Cisco.Press.Network.Security.Architectures.Apr.2004.INTERNAL 89 [...]... ngay cả khi máy tính của họ không có những phần cứng đó  Duy trì và bảo vệ dữ liệu: Một mạng máy tính có thể cho phép các dữ liệu được tự động lưu trữ dự phòng tới một trung tâm nào đó trong mạng Công việc này là hết sức khó khăn và tốn nhiều thời gian nếu phải làm trên từng máy độc lập Hơn nữa, mạng máy tính còn cung cấp một môi trường bảo mật an toàn cho mạng qua việc cung cấp cơ chế Bảo mật (Security)... triển mạng máy tính Từ những năm 60, đã xuất hiện những mạng nối các máy tính và các Terminal để sử dụng chung nguồn tài nguyên, giảm chi phí khi muốn thông tin trao dổi số liệu và sử dụng trong công tác văn phòng một cách tiện lợi 12 Hình 1.1 Mạng máy tính với bộ tiền xử lý Việc tăng nhanh các máy tính mini, các máy tính cá nhân làm tăng nhu cầu truyền số liệu giữa các máy tính, các Terminal và giữa... kết nối mạng máy tính đã bắt đầu được thực hiện rộng rãi nhờ tỷ lệ giữa giá thành máy tính và chi phí truyền tin đã giảm đi rõ rệt do sự bùng nổ của các thế hệ máy tính cá nhân 1.2 Nhu cầu và mục đích của việc kết nối các máy tính thành mạng Việc nối máy tính thành mạng từ lâu đã trở thành một nhu cầu khách quan bởi vì: 14 – Có rất nhiều công việc về bản chất là phân tán hoặc về thông tin, hoặc về xử... Terminal và giữa các Terminal với các máy tính là một trong những động lực thúc đẩy sự ra đời và phát triển ngày càng mạnh mẽ các mạng máy tính Quá trình hình thành mạng máy tính có thể tóm tắt qua một số thời điểm chính sau: Những năm 60: Để tận dụng công suất của máy tính, người ta ghép nối các Terminal vào một máy tính được gọi là Máy tính trung tâm (Main Frame) Máy tính trung tâm làm tất cả mọi việc... Server) - Máy phục vụ truyền thông (communication Server) Một trong những ưu điểm quan trọng của mạng dựa trên máy phục vụ đó là: có tính an toàn và bảo mật cao Hầu hết các mạng trong thực tế (nhất là những mạng lớn) đều dựa trên mô hình khách/chủ này 1.4.4.2 Mạng ngang hàng (Peer to Peer) Trong mạng ngang hàng không tồn tại một cấu trúc phân cấp nào, mọi máy tính đều bình đẳng Thông thường, mỗi máy tính. .. hai vai trò máy khách và máy phục vụ, vì vậy không máy nào được chỉ định chịu trách nhiệm quản lý mạng Người dùng ở từng máy tự quyết định phần dữ liệu nào trên máy của họ sẽ được dùng chung trên mạng Mô hình mạng ngang hàng thích hợp cho các mạng có quy mô nhỏ (như nhóm làm việc) và không yêu cầu phải có tính bảo mật cao 1.5 Một số mạng máy tính thông dụng nhất 1.5.1 Mạng cục bộ (LAN) Một mạng cục bộ... loại dữ liệu giữa các máy tính trên mạng 1.3 Đặc trưng kỹ thuật của mạng máy tính Một mạng máy tính có các đặc trưng kỹ thuật cơ bản là: đường truyền, kỹ thuật chuyển mạch, kiến trúc mạng và hệ điều hành mạng 1.3.1 Đường truyền Là thành tố quan trọng của một mạng máy tính, là phương tiện dùng để truyền các tín hiệu điện tử giữa các máy tính Các tín hiệu điệu tử đó chính là các thông tin, dữ liệu được... để đảm bảo cho mạng hoạt động tốt Cách nối các máy tính với nhau được gọi là hình trạng mạng (Network Topology); còn tập hợp các qui tắc, qui ước truyền thông thì được gọi là giao thức của mạng (Network Protocol) 1.3.3.1 Hình trạng mạng Hình trạng mạng là cách kết nối các máy tính với nhau về mặt hình học mà ta gọi là topo của mạng Có 2 kiểu nối mạng chủ yếu là điểm – điểm (point to point) và điểm... cập và bảo mật thông tin Intranet được phát triển từ các mạng LAN, WAN dùng công nghệ Internet 31 CHƯƠNG 2 CHUẨN HÓA MẠNG MÁY TÍNH VÀ MÔ HÌNH OSI, TCP/IP 2.1 Vấn đề chuẩn hóa mạng máy tính và các tổ chức chuẩn hóa mạng Sự phát triển sớm của LAN, MAN, WAN diễn ra rất hỗn loạn theo nhiều phương cách khác nhau Từ những năm đầu thập kỷ 80, người ta có thể nhìn thấy sự gia tăng kinh khủng về số lượng và. .. lý Mạng máy tính có thể phân bổ trên một vùng lãnh thổ nhất định và cũng có thể phân bổ trong phạm vi một quốc gia hay rộng hơn nữa là toàn thế giới Dựa vào phạm vi phân bổ của mạng, người ta có thể phân ra các loại mạng như sau: 1.4.1.1 Mạng toàn cầu (GAN – Global Area Network) Là mạng kết nối các máy tính từ các châu lục khác nhau Thông thường kết nối này được thực hiện thông qua mạng viễn thông và ... thiệu máy tính mạng máy tính Giới thiệu cấu trúc máy tính tổng quan mạng máy tính, đặc trưng, phân loại số mạng máy tính thông dụng Chương 2: Chuẩn hóa mạng máy tính Giới thiệu cần chuẩn hóa mạng, ... thức mạng TCP/IP giới thiệu tổng quan mạng Internet Chương 3: Tổng quan bảo mật mạng Giới thiệu tổng quan bảo mật mạng, hình thức công, mức độ bảo mật, biện pháp bảo vệ kế hoạch thiết kế sách bảo. .. mạng máy tính, mạng máy tính hoạt động ý muốn hậu nghiêm trọng Và vấn đề an toàn cho mạng máy tính phải đặt lên hàng đầu thiết kế, lắp đặt đưa vào sử dụng hệ thống mạng máy tính dù đơn giản Trong