Mạng máy tính CHƯƠNG I TỔNG QUAN VỀ MẠNG MÁY TÍNH A MỤC TIÊU CHƯƠNG Về kiến thức Nội dung chương trình bày vấn đề mạng máy tính khái niệm mạng máy tính, mục tiêu ứng dụng mạng máy tính, cấu trúc thành phần mạng máy tính Nội dung chương bao gồm phần sau: - Định nghĩa mạng máy tính - Mục tiêu mạng máy tính - Các dịch vụ mạng - Cấu trúc mạng (Topology) - Khái niệm giao thức mạng máy tính (Protocols) - Mạng LAN, MAN, WAN - Mạng chuyển mạch kênh (Circuit switched Networks) - Mạng chuyển mạch gói (Packet Switched Networks) - Chuyển mạch thông báo - Các mô hình ứng dụng mạng Về kỹ Sau học xong chương sinh viên vận dụng kiến thức để hiểu rõ vai trò hình dung khái niệm mạng máy tính, từ có nhìn bao quát môn học B NỘI DUNG CHƯƠNG 1.1 KHÁI NIỆM MẠNG MÁY TÍNH Mạng máy tính tập hợp máy tính đơn lẻ kết nối với phương tiện truyền vật lý (Transmission Medium) theo kiến trúc mạng xác định (Network Architecture) Mạng viễn thông mạng máy tính Các node chuyển mạch hệ thống máy tính kết nối với đường truyền dẫn hoạt động truyền thông tuân theo chuẩn mô hình tham chiếu OSI Trang Mạng máy tính Hình 1.1 Mô hình mạng máy tính Kiến trúc mạng gồm cấu trúc mạng (Topology) giao thức mạng (Protocols) Topology cấu trúc hình học thực thể mạng giao thức mạng tập quy tắc, qui ước mà tất đối tượng tham gia vào mạng phải tuân thủ 1.2 MỤC TIÊU MẠNG MÁY TÍNH 1.2.1 Mục tiêu kết nối mạng máy tính - Cùng chia sẻ tài nguyên chung, người sử dụng có quyền khai thác, sử dụng tài nguyên mạng mà không phụ thuộc vào vị trí địa lý - Nâng cao độ tin cậy hệ thống nhờ khả thay số thành phần mạng xẩy cố kỹ thuật trì hoạt động bình thường hệ thống - Tạo môi trường giao tiếp người với người Chinh phục khoảng cách, người trao đổi, thảo luận với cách xa hàng nghìn km 1.2.2 Lợi ích kết nối mạng - Có thể giảm số lượng máy in, đĩa cứng thiết bị khác Kinh tế việc đầu tư xây dựng cho hệ thống tin học quan, xí nghiêp, doanh nghiệp - Dùng chung tài nguyên đắt tiền máy in, phần mềm Tránh dư thừa liệu, tài nguyên mạng Có khả tổ chức triển khai đề án lớn thuận lợi dễ dàng - Bảo đảm tiêu chuẩn thống tính bảo mật, an toàn liệu nhiều người sử dụng thiết bị đầu cuối khác làm việc hệ sở liệu Tóm lại, mục tiêu kết nối máy tính thành mạng cung cấp dịch vụ mạng đa dạng, chia sẻ tài nguyên chung giảm bớt chi phí đầu tư trang thiết bị 1.3 CÁC DỊCH VỤ MẠNG 1.3.1 Các xu hướng phát triển dịch vụ mạng máy tính - Cung cấp dịch vụ truy nhập vào nguồn thông tin xa để khai thác xử lý thông tin Cung cấp dịch vụ mua bán, giao dịch qua mạng - Phát triển dịch vụ tương tác người với người phạm vi diện rộng Đáp ứng nhu cầu trao đổi thông tin đa dịch vụ, đa phương tiện Tạo khả làm việc theo nhóm dịch vụ thư điện tử, video hội nghị, chữa bệnh từ xa - Xu hướng phát triển dịch vụ giải trí trực tuyến (Online) đại Các hình thức dịch vụ truyền hình, nghe nhạc, chơi game trực tuyến qua mạng 1.3.2 Các dịch vụ phổ biến mạng máy tính - Dịch vụ tệp (File services) cho phép chia sẻ tài nguyên thông tin chung, chuyển giao tệp liệu từ máy sang máy khác Tìm kiếm thông tin điều khiển truy nhập Dịch vụ thư điện tử E_Mail (Electronic mail) cung cấp cho người sử dụng phương tiện trao đổi, tranh luận thư điện tử Dịch vụ thư điện tử giá thành hạ, chuyển phát nhanh, an toàn nội dung tích hợp loại liệu Trang Mạng máy tính Dịch vụ in ấn: Có thể dùng chung máy in đắt tiền mạng Cung cấp khả đa truy nhập đến máy in, phục vụ đồng thời cho nhiều nhu cầu in khác Cung cấp dịch vụ FAX quản lý trang thiết bị in chuyên dụng - Các dịch vụ ứng dụng hướng đối tượng: Sử dụng dịch vụ thông điệp (Message) làm trung gian tác động đến đối tượng truyền thông Đối tượng bàn giao liệu cho tác nhân (Agent) tác nhân bàn giao liệu cho đối tượng đích - Các dịch vụ ứng dụng quản trị luồng công việc nhóm làm việc: Định tuyến tài liệu điện tử người nhóm Khi chữ ký điện tử xác nhận phiên giao dịch thay nhiều tiến trình hiệu nhanh chóng - Dịch vụ sở liệu dịch vụ phổ biến dịch vụ ứng dụng, ứng dụng theo mô hình Client/Server Dịch vụ xử lý phân tán lưu trữ liệu phân tán mạng, người dùng suốt dễ sử dụng, đáp ứng nhu cầu truy nhập người sử dụng 1.4 HÌNH TRẠNG MẠNG (TOPOLOGY) Topology cấu trúc hình học không gian mạng thực chất cách bố trí vị trí vật lý node cách thức kết nối chúng lại với Có hai kiểu cấu trúc mạng: kiểu điểm - điểm (Point to Point) kiểu quảng bá (Multi Point) 1.4.1 Kiểu điểm - điểm (Point to Point) Đường truyền nối cặp node lại với theo mô hình hình học xác định Một kênh truyền vật lý thiết lập node có nhu cầu trao đổi thông tin Chức node trung gian: tiếp nhận, lưu trữ tạm thời gửi tiếp thông tin sang node đường truyền rỗi Cấu trúc điểm- điểm gọi mạng lưu gửi tiếp (Store - and - Forward) Ưu điểm khả đụng độ thông tin (Collision) Nhược điểm hiệu suất sử dụng đường truyền thấp Chiếm dụng nhiều tài nguyên, độ trễ lớn, tiêu tốn nhiều thời gian để thiết lập đường truyền xử lý node Vì tốc độ trao đổi thông tin thấp - Hình 1.2 Các mạng có cấu trúc điểm - điểm 1.4.2 Kiểu đa điểm hay quảng bá (Point to Multipoint, Broadcasting) Tất node truy nhập chung đường truyền vật lý Một Trang Mạng máy tính thông điệp truyền từ node tất node lại tiếp nhận kiểm tra địa đích thông điệp có phải hay không Cần thiết phải có chế để giải vấn đề đụng độ thông tin (Collision) hay tắc nghẽn thông tin đường truyền mạng hình BUS hình RING Các mạng có cấu trúc quảng bá phân chia thành hai loại: quảng bá tĩnh quảng bá động phụ thuộc vào việc cấp phát đường truyền cho node Trong quảng bá động có quảng bá động tập trung quảng bá động phân tán Quảng bá tĩnh: Chia thời gian thành nhiều khoảng rời rạc dùng chế quay vòng (Round Robin) để cấp phát đường truyền Các node có quyền truy nhập đến cửa thời gian Quảng bá động tập trung: Một thiết bị trung gian có chức tiếp nhận yêu cầu liên lạc cấp phát đường truyền cho node Kiểu cấp phát giảm tối đa thời gian chết đường truyền, hiệu suất kênh truyền cao, thiết kế phức tạp khó khăn Quảng bá động phân tán: Không có trung gian, node tự định có nên hay không nên truy nhập đường truyền, phụ thuộc vào trạng thái mạng Hình 1.3 Các mạng có cấu trúc quảng bá 1.5 KHÁI NIỆM GIAO THỨC MẠNG MÁY TÍNH (PROTOCOLS) 1.5.1 Khái niệm giao thức Các thực thể mạng muốn trao đổi thông tin với phải bắt tay, đàm phán số thủ tục, quy tắc Cùng phải “nói chung ngôn ngữ” Tập quy tắc hội thoại gọi giao thức mạng (Protocols) Các thành phần giao thức bao gồm: - Cú pháp: định dạng liệu, phương thức mã hoá mức tín hiệu - Ngữ nghĩa: thông tin điều khiển, điều khiển lưu lượng xử lý lỗi Trao đổi thông tin hai thực thể trực tiếp gián tiếp Trong hai hệ thống kết nối điểm - điểm, thực thể trao đổi thông tin trực tiếp can thiệp thực thể trung gian Trong cấu trúc quảng bá, hai thực thể trao đổi liệu với phải thông qua thực thể trung gian Phức tạp thực thể không chia sẻ mạng chuyển mạch, kết nối gián tiếp phải qua nhiều mạng 1.5.2 Chức giao thức Đóng gói: Trong trình trao đổi thông tin, gói liệu thêm vào số thông tin điều khiển, bao gồm địa nguồn địa đích, mã phát lỗi, điều khiển giao thức Việc thêm thông tin điều khiển vào gói Trang Mạng máy tính liệu gọi trình đóng gói (Encapsulation) Bên thu thực ngược lại, thông tin điều khiển gỡ bỏ gói tin chuyển từ tầng lên tầng Phân đoạn hợp lại: Mạng truyền thông chấp nhận kích thước gói liệu cố định Các giao thức tầng thấp cần phải cắt liệu thành gói có kích thước quy định Quá trình gọi trình phân đoạn Ngược với trình phân đoạn bên phát trình hợp lại bên thu Dữ liệu phân đoạn cần phải hợp lại thành thông điệp thích hợp tầng ứng dụng (Application) Vì vấn đề đảm bảo thứ tự gói đến đích quan trọng Gói liệu trao đổi hai thực thể qua giao thức gọi đơn vị giao thức liệu PDU (Protocol Data Unit) Điều khiển liên kết: Trao đổi thông tin thưc thể thực theo hai phương thức: hướng liên kết (Connection - Oriented) không liên kết (Connectionless) Truyền không liên kết không yêu cầu có độ tin cậy cao, không yêu cầu chất lượng dịch vụ không yêu cầu xác nhận Ngược lại, truyền theo phương thức hướng liên kết, yêu cầu có độ tin cậy cao, đảm bảo chất lượng dịch vụ có xác nhận Trước hai thực thể trao đổi thông tin với nhau, chúng kết nối thiết lập sau trao đổi xong, kết nối giải phóng Giám sát: Các gói tin PDU lưu chuyển độc lập theo đường khác nhau, đến đích không theo thứ tự phát Trong phương thức hướng liên kết, gói tin phải yêu cầu giám sát Mỗi PDU có mã tập hợp đăng ký theo Các thực thể nhận khôi phục thứ tự gói tin thứ tự bên phát Điều khiển lưu lượng liên quan đến khả tiếp nhận gói tin thực thể bên thu số lượng tốc độ liệu truyền thực thể bên phát cho bên thu không bị tràn ngập, đảm bảo tốc độ cao Một dạng đơn giản của điều khiển lưu lượng thủ tục dừng đợi (Stop-and Wait), PDU phát cần phải xác nhận trước truyền gói tin Có độ tin cậy cao truyền số lượng định liệu mà không cần xác nhận Kỹ thuật cửa sổ trượt thí dụ chế Điều khiển lưu lượng chức quan trọng cần phải thực số giao thức Điều khiển lỗi kỹ thuật cần thiết nhằm bảo vệ liệu không bị bị hỏng trình trao đổi thông tin Phát sửa lỗi bao gồm việc phát lỗi sở kiểm tra khung truyền lại PDU có lỗi Nếu thực thể nhận xác nhận PDU lỗi, thông thường gói tin phải phát lại Đồng hoá: Các thực thể giao thức có tham số biến trạng thái định nghĩa trạng thái, tham số kích thước cửa sổ, tham số liên kết giá trị thời gian Hai thực thể truyền thông giao thức cần phải đồng thời trạng thái xác định Ví dụ trạng thái khởi tạo, điểm kiểm tra huỷ bỏ, gọi đồng hoá Đồng hoá khó khăn thực thể xác định trạng thái thực thể khác nhận gói tin Các gói tin không đến mà phải khoảng thời gian để lưu chuyển từ nguồn đến đích gói tin PDU bị thất lạc trình truyền Địa hoá: Hai thực thể truyền thông với nhau, cần phải nhận dạng Trong mạng quảng bá, thực thể phải nhận dạng định danh gói tin Trong mạng chuyển mạch, mạng cần nhận biết Trang Mạng máy tính thực thể đích để định tuyến liệu trước thiết lập kết nối 1.6 CÁP MẠNG – PHƯƠNG TIỆN TRUYỀN (NETWORK MEDIUM) Phương tiện truyền vật lý vật truyền tải tín hiệu điện tử thành phần mạng với nhau, bao gồm loại cáp phương tiện vô tuyến 1.6.1 Đặc trưng đường truyền Băng thông (Bandwidth): Băng thông đường truyền miền tần số giới hạn thấp tần số giới hạn cao, tức miền tần số mà đường truyền đáp ứng Ví dụ băng thông cáp thoại từ 400 đến 4000 Hz, có nghĩa truyền tín hiệu với tần số từ 400 đến 4000 chu kỳ/giây Băng thông cáp phụ thuộc vào chiều dài cáp Cáp ngắn băng thông cao ngược lại Vì thiết kế lắp đặt cáp, chiều dài cáp cho không vượt qua giới hạn cho phép, xẩy lỗi trình truyền Thông lượng (Throughput) Thông lượng đường truyền số lượng bit (chuỗi bit) truyền giây Hay nói cách khác tốc độ đường truyền dẫn Ký hiệu bit/s bps Tốc độ đường truyền phụ thuộc vào băng thông độ dài Một mạng LAN Ethernet tốc độ truyền 10 Mbps có băng thông 10 Mbps Suy hao (Attenuation): Là độ đo suy yếu tín hiệu đường truyền Suy hao phụ thuộc vào độ dài cáp, cáp dài suy hao cao Khi thiết kế cáp cần quan tâm đến giới hạn chiều dài cho phép loại cáp 1.6.2 Các loại cáp mạng Cáp đồng trục (Coaxial cable): Là phương tiện truyền tín hiệu có phổ rộng tốc độ cao Băng thông cáp đồng trục từ 2,5 Mbps (ARCnet) đến 10 Mbps (Ethernet) Thường sử dụng để lắp đặt mạng hình BUS (các loại mạng LAN cục Thick Ethernet, Thin Ethernet) mạng hình (mạng ARCnet) Cáp đồng trục gồm: dây dẫn trung tâm, dây dẫn ngoài, tạo nên đường ống bao quanh trục, tầng cách điện dây dẫn cáp vỏ bọc Các loại cáp đồng trục - Cáp RC-8 RCA-11, 50 Ohm dùng cho mạng Thick Ethernet - Cáp RC-58 , 50 Ohm dùng cho mạng Thin Ethernet - Cáp RG-59 , 75 Ohm dùng cho truyền hình cáp - Cáp RC-62, 93 Ohm dùng cho mạng ARCnet Cáp xoắn đôi (Twisted Pair cable): Cáp xoắn đôi sử dụng mạng LAN cục Giá thành rẻ, dễ cài đặt, có vỏ bọc tránh nhiệt độ, độ ẩm có loại có khả chống nhiễu STP (Shield Twisted Pair) Cáp có dây đồng xoắn vào nhau, giảm độ nhạy cáp với EMI, giảm xạ âm nhiễu tần số radio gây nhiễu Các loại cáp xoắn: - Cáp có màng chắn (STP): Loại cáp STP thường có tốc độ truyền vào khoảng 16 Mbps loại mạng Token Ring Với chiều dài 100 m tốc độ đạt 155 Mbps (lý thuyết 500 Mbps) Suy hao cho phép khoảng 100 m, đặc tính EMI cao Giá thành cao cáp Thin Ethernet, cáp xoắn trần, lại rẻ giá thành loại cáp Thick Ethernet hay cáp sợi quang Cài đặt đòi hỏi tay nghề kỹ cao - Loại cáp vỏ bọc UTP (Unshield Twisted Pair): Cáp trần khả chống nhiễu, tốc độ truyền khoảng 100 Mbps Đặc tính suy hao cáp đồng, giới hạn độ dài tối đa 100m Do thiếu màng chắn nên Trang Mạng máy tính nhạy cảm với EMI, không phù hợp với môi trường nhà máy Được dùng phổ biến cho loại mạng, giá thành hạ, dễ lắp đặt Cáp sợi quang (Fiber Optic Cable) lý tưởng cho việc truyền liệu, băng thông đạt Gbps, tránh nhiễu tốt, tốc độ truyền 100 Mbps đoạn cáp dài vài km Cáp sợi quang gồm nhiều sợi quang trung tâm bao bọc lớp vỏ nhựa phản xạ tín hiệu trở lại, hạn chế suy hao, mát tín hiệu Cáp sợi quang truyền tín hiệu quang Các tín hiệu liệu biến đổi thành tín hiệu quang đường truyền nhận, tín hiệu quang chuyển thành tín hiệu liệu Cáp sợi quang hoạt động hai chế độ: chế độ đơn (Single Mode) đa chế độ (Multi Mode) Cài đặt cáp sợi quang đòi hỏi phải có kỹ cao, quy trình khó phức tạp 1.6.3 Các phương tiện vô tuyến Radio: Quang phổ điện từ nằm khoảng 10 KHz đến 1GHz Có nhiều giải tần: Sóng ngắn (Short Wave), VHF (VeryHightFrequency)Tivi&Radio FM UHF (Ultra Hight Frequency)-Tivi Đặc tính truyền: tần số đơn, công suất thấp không hỗ trợ tốc độ liệu mạng cục LAN yêu cầu Tần số đơn, công suất cao dễ cài đặt, băng thông cao từ - 10 Mbps, suy hao chậm Khả nhiễu từ thấp, bảo mật Giá thành cao trung bình Radio quang phổ trải (Spread spectrum) độ tin cậy cao, bảo mật liệu Băng thông cao, tốc độ truyền đạt theo yêu cầu mạng cục Viba: Truyền thông viba có hai dạng: Viba mặt đất vệ tinh Viba mặt đất sử dụng trạm thu phát Kỹ thuật truyền thông vệ tinh sử dụng trạm thu mặt đất (các đĩa vệ tinh) vệ tinh Tín hiệu đến vệ tinh từ vệ tinh đến trạm thu lượt 23.000 dặm Thời gian truyền tín hiệu độc lập với khoảng cách Thời gian truyền tín hiệu từ vệ tinh đến trạm nằm vòng tròn 1/3 chu vi đất nhau, gọi trễ lan truyền (Propagation Delay) Thông thường 0,5-5 giây Tia hồng ngoại (Infrared system): Có phương thức kết nối mạng Point to - Point Multi Point Point - to – Point tiếp sóng tín hiệu hồng ngoại từ thiết bị sang thiết bị khác.Giải tần từ 100 GHz đến 1000 THz, tốc độ truyền khoảng 100 Kbps-16 Mbps Multi Point truyền đồng thời tín hiệu hồng ngoại đến thiết bị Giải tần số từ 100 GHz đến 1000 THz, tốc độ truyền đạt tối đa Mbps 1.7 PHÂN LOẠI MẠNG MÁY TÍNH 1.7.1 Theo khoảng cách địa lý a Mạng cục LAN (Local Area Networks): Mạng cục LAN: kết nối máy tính đơn lẻ thành mạng nội bộ, tạo khả trao đổi thông tin chia sẻ tài nguyên quan, xí nhiệp Có hai loại mạng LAN khác nhau: LAN nối dây (sử dụng loại cáp) LAN không dây (sử dụng sóng cao tần hay tia hồng ngoại) Đặc trưng mạng cục bộ: Quy mô mạng nhỏ, phạm vi hoạt động vào khoảng vài km Các máy tòa nhà, quan hay xí nghiệp nối lại với Quản trị bảo dưỡng mạng đơn giản Công nghệ truyền dẫn sử dụng mạng LAN thường quảng bá (Broadcast), bao gồm cáp đơn nối tất máy Tốc độ truyền liệu cao, từ 10÷100 Mbps đến hàng trăm Gbps, thời gian trễ nhỏ (cỡ 10μs), độ tin cậy cao, Trang Mạng máy tính tỷ số lỗi bit từ 10-8 đến 10-11 Cấu trúc tôpô mạng đa dạng Ví dụ Mạng hình BUS, hình vòng (Ring), hình (Star) loại mạng kết hợp, lai ghép - - - - Hình 1.4 Cấu trúc mạng hình BUS Mạng hình BUS hoạt động theo kiểu quảng bá (Broadcast) Tất node truy nhập chung đường truyền vật lý có đầu cuối (BUS) Chuẩn IEEE 802.3 gọi Ethernet, mạng hình BUS quảng bá với chế điều khiển quảng bá động phân tán, trao đổi thông tin với tốc độ 10 Mbps 100 Mbps Phương thức truy nhập đường truyền sử dụng mạng hình BUS TOKEN BUS, đa truy nhập sử dụng sóng mang với việc phát xung đột thông tin đường truyền CSMA/CD (Carrier Sense Multiple Access with Collision Detection) Mạng hình vòng (RING) mạng quảng bá (Broadcast), tất node truy nhập chung đường truyền vật lý Tín hiệu lưu chuyển vòng theo chiều nhất, theo liên kết điểm - điểm Dữ liệu chuyển cách bit quanh vòng, qua chuyển tiếp Bộ chuyển tiếp có ba chức năng: chèn, nhận hủy bỏ thông tin Các chuyển tiếp kiểm tra địa đích gói liệu qua Hình 1.5 Cấu trúc mạng hình RING Mạng hình (Star) trạm kết nối với thiết bị trung tâm có chức điều khiển toàn hoạt động mạng Dữ liệu truyền theo liên kết điểm - điểm Thiết bị trung tâm chuyển mạch, Trang Mạng máy tính - chọn đường đơn giản HUB Mạng LAN hồng ngoại (Infrared) sử dụng sóng hồng ngoại để truyền liệu Phạm vi hoạt động mạng bị hạn chế phòng, tín hiệu hồng ngoại không xuyên qua t- ường Có hai phương pháp kết nối điểmđiểm kết nối quảng bá Các mạng điểm - điểm hoạt động cách chuyển tiếp tín hiệu hồng ngoại từ thiết bị tới thiết bị Tốc độ liệu đạt khoảng 100Kb/s đến 16Mb/s Các mạng quảng bá hồng ngoại có tốc độ truyền liệu thực tế đạt 1Mb/s Hình 1.6 Cấu trúc mạng hình Mạng LAN trải phổ (Spread spectrum) Sử dụng kỹ thuật trải phổ, thường dùng công nghiệp y tế - Mạng LAN vi ba băng hẹp: Hoạt động với tần số vi ba không trải phổ Có hai dạng truyền thống: vi ba mặt đất vệ tinh Các hệ thống vi ba mặt đất thường hoạt động băng tần 4-6 GHz 21- 23 GHz, tốc độ truyền liệu khoảng vài chục Mbps b Mạng đô thị MAN (Metropolitan Area Networks) Mạng đô thị MAN hoạt động theo kiểu quảng bá, LAN to LAN Mạng cung cấp dịch vụ thoại phi thoại truyền hình cáp Trong mạng MAN, sử dụng hai đường truyền vật lý không chứa thực thể chuyển mạch Dựa tiêu chuẩn DQDB (Distributed Queue Dual Bus - IEEE 802.6) quy định cáp đơn kết nối tất máy tính lại với nhau, máy bên trái liên lạc với máy bên phải thông tin vận chuyển đường BUS Các máy bên trái liên lạc với máy bên phải, thông tin theo đường BUS - Trang Mạng máy tính Hình 1.7: Cấu trúc mạng đô thị MAN c Mạng diện rộng WAN (Wide Area Networks) Đặc trưng mạng WAN: - Hoạt động phạm vi quốc gia toàn cầu - Tốc độ truyền liệu thấp so với mạng cục - Lỗi truyền cao Hình 1.8: Cấu trúc mạng diện rộng WAN Một số mạng diện rộng điển hình - Mạng tích số hợp đa dịch vụ ISDN (Integrated Services Digital Network) - Mạng X25 chuyển mạch khung Frame Relay - Phương thức truyền không đồng ATM (Asynchronous Transfer Mode) - Mạng hội tụ- mạng hệ sau NGN (Next Generation Network) d Kết nối liên mạng (Internet Connectivity) Nhu cầu trao đổi thông tin chia sẻ tài nguyên chung đòi hỏi hoạt động truyền thông cần thiết phải kết nối nhiều mạng thành mạng lớn, gọi liên mạng Liên mạng (internet) mạng mạng con, tập mạng LAN, WAN, MAN độc lập kết nối lại với Kết nối liên mạng có số lợi ích sau: Giảm lưu thông mạng: Các gói tin thường lưu chuyển mạng gói tin lưu thông liên mạng mạng liên lạc với Tối ưu hoá hiệu năng: Giảm lưu thông mạng tối ưu hiệu mạng, nhiên máy chủ (Server Load) phải tăng tải sử dụng Router Đơn giản hoá việc quản trị mạng: Có thể xác định cố kỹ thuật cô lập dễ dàng mạng có quy mô nhỏ, thường mạng cục chẳng hạn Hiệu so với mạng WAN có phạm vi hoạt động lớn, chi phí giảm, hiệu liên mạng tăng độ phức tạp việc quản lý nhỏ Một chức chủ yếu thiết bị kết nối liên mạng chức định tuyến (Routing) Có phương thức kết nối liên mạng bản: - Kết nối mạng LAN tầng vật lý tạo liên mạng có phạm vi hoạt động rộng tăng số lượng node mạng, giảm bớt lưu lượng mạng con, hạn chế tắc nghẽn đụng độ thông tin Các mạng hoạt động hiệu - Kết nối mạng LAN không tầng (Data Link) tạo Trang 10 Mạng máy tính 6.2 MỘT SỐ PHƯƠNG THỨC TẤN CÔNG MẠNG PHỔ BIẾN 6.2.1 Scanner Kẻ phá hoạt sử dụng chương trình Scanner tự động rà soát phát điểm yếu lỗ hổng bảo mật Server xa Scanner chương trình trạm làm việc cục trạm xa Các chương trình Scanner rà soát phát số hiệu cổng (Port) sử dụng giao thức TCP/UDP tầng vận chuyển phát dịch vụ sử dụng hệ thống đó, ghi lại đáp ứng (Response) hệ thống xa tương ứng với dịch vụ mà phát Dựa vào thông tin này, kẻ công tim điểm yếu hệ thống Chương trình Scanner hoạt động môi trường TCP/IP, hệ điều hành UNIX, máy tính tương thích IBM, dòng máy Macintosh Các chương trình Scanner cung cấp thông tin khả bảo mật yếu hệ thống mạng Những thông tin hữu ích cần thiết người quản trị mạng, nguy hiểm kẻ phá hoại có thông tin 6.2.2 Bẻ khoá (Password Cracker) Chương trinh bẻ khoá Password chương trình có khả giải mã mật mã hoá vô hiệu hoá chức bảo vệ mật hệ thống Hầu hết việc mã hoá mật tạo từ phương thức mã hoá Các chương trình mã hoá sử dụng thuật toán mã hoá để mã hoá mật khẩu.Có thể thay phá khoá hệ thống phần tán, đơn giản so với việc phá khoá Server cục Một danh sách từ tạo thực mã hoá từ Sau lần mã hoá, so sánh với mật (Password) mã hoá cần phá Nếu không trùng hợp, trình lại quay lại Phương thức bẻ khoá gọi Bruce-Force Phương pháp không chuẩn tắc thực nhanh dựa vào nguyên tắc đặt mật người sử dụng thương tuân theo số qui tắc để thuận tiện sử dụng Thông thường chương trình phá khoá thường kết hợp số thông tin khác trình dò mật như: thông tin tập tin /etc/passwd, từ điển sử dụng từ lặp từ liệt kê tuần tự, chuyển đổi cách phát âm từ Biện pháp khắc phục cần xây dựng sách bảo vệ mật đắn 6.2.3 Trojans Một chương trình Trojan chạy không hợp lệ hệ thống với vai trò chương trình hợp pháp Nó thực chức không hợp pháp Thông thường, Trojans chạy chương trình hợp pháp bị thay đổi mã mã bất hợp pháp Virus loại điển hình chương trình Trojans, chương trình virus che dấu đoạn mã chương trình sử dụng hợp pháp Khi chương trình hoạt động đoạn mã ẩn thực số chức mà người sử dụng Trojan có nhiều loại khác Có thể chương trình thực chức ẩn dấu, tiện ích tạo mục cho file thưc mục, đoạn mã phá khoá, cố thể chương trình xử lý văn tiện ích mạng Trang 90 Mạng máy tính Trojan lây lan nhiều môi trường hệ điều hành khác Đặc biệt thường lây lan qua số dịch vụ phổ biến Mail, FTP qua tiện ích, chương trình miễn phí mạng Internet Hầu hết chương trình FTP Server sử dụng phiên cũ, có nguy tiềm tàng lây lan Trojans Đánh giá mức độ phá hoại Trojans khó khăn Trong số trường hợp, làm ảnh hương đến truy nhập ngwời sử dụng Nghiêm trọng hơn, kẻ tán công lỗ hổng bảo mật mạng Khi kẻ công chiếm quyền Root hệ thống, phá huỷ toàn phần hệ thống Chúng sử dụng quyền Root để thay đổi logfile, cài đặt chương trình Trojans khác mà người quản trị phát người quản trị hệ thống cách cài đặt lại toàn hệ thống 6.2.4 Sniffer Sniffer theo nghĩa đen ”đánh hơi” ”ngửi” Là công cụ (có thể phần cứng phần mềm) "tóm bắt" thông tin lưu chuyển mạng để "đánh hơi" thông tin có giá trị trao đổi mạng Hoạt động Sniffer giống chương trình "tóm bắt" thông tin gõ từ bàn phím (Key Capture) Tuy nhiên tiện ích Key Capture thực trạm làm việc cụ thể, Sniffer bắt thông tin trao đổi nhiều trạm làm việc với Các chương trình Sniffer thiết bị Sniffer ”ngửi” giao thức TCP, UDP, IPX tầng mạng Vì tóm bắt gói tin IP Datagram Ethernet Packet Mặt khác, giao thức tầng IP định nghĩa tường minh cấu trúc trường Header rõ ràng, nên việc giải mã gói tin không khó khăn Mục đích chương trình Sniffer thiết lập chế độ dùng chung (Promiscuous) Card mạng Ethernet, nơi gói tin trao đổi "tóm bắt" gói tin 6.3 BIỆN PHÁP ĐẢM BẢO AN NINH MẠNG Thực tế biện pháp hữu hiệu đảm bảo an toàn tuyệt đối cho mạng Hệ thống bảo vệ dù có chắn đến đâu có lúc bị vô hiệu hoá kẻ phá hoại điêu luyện Có nhiều biện pháp đảm bảo an ninh mạng 6.3.1 Tổng quan bảo vệ thông tin mật mã (Cryptography) Mật mã trình chuyển đối thông tin gốc sang dạng mã hóa (Encryption) Có hai cách tiếp cận để bảo vệ thông tin mật mã: theo đường truyền (Link Oriented Security) từ mút- đến-mút (End-to-End) Trong cách thứ nhất, thông tin mã hoá để bảo vệ đường truyền nút không quan tâm đến nguồn đích thông tin Ưu điểm cách bí mật luồng thông tin nguồn đích ngăn chặn toàn vi phạm nhằm phân tích thông tin mạng Nhược điểm thông tin mã hoá đường truyền nên đòi hỏi nút phải bảo vệ tốt Ngược lại, cách thứ hai, thông tin bảo vệ toàn đường từ nguồn tới đích Thông tin mã hoá tạo giải mã đến đích Ưu điểm tiếp cận người sử dụng dùng mà không ảnh hưởng đến người sử dụng khác Nhược điểm phương pháp có liệu người sử dụng mã hoá, thông tin điều khiển phải giữ nguyên để xử lý node Giải thuật DES mã hoá khối 64 bits văn gốc thành 64 bits văn Trang 91 Mạng máy tính mật khoá Khoá gồm 64 bits 56 bits dùng mã hoá bits lại dùng để kiểm soát lỗi Một khối liệu cần mã hoá phải trải qua trình xử lý: Hoán vị khởi đầu, tính toán phụ thuộc khoá hoán vị đảo ngược hoán vị khởi đầu Hình 6.1 Mô hình mật mã đối xứng Phương pháp sử dụng khoá công khai (Public key): Các phương pháp mật mã dùng khoá cho mã hoá lẫn giải mã đòi hỏi người gửi người nhận phải biết khoá giữ bí mật Tồn phương pháp làm để phân phối khoá cách an toàn, đặc biệt môi trường nhiều người sử dụng Để khắc phục, người ta thường sử dụng phương pháp mã hoá khoá, khoá công khai để mã hoá mã bí mật để giải mã Mặc dù hai khoá thực thao tác ngược suy khoá bí mật từ khoá công khai ngược lại nhờ hàm toán học đặc biệt gọi hàm sập bẫy chiều (trap door one-way functions) Đặc điểm hàm phải biết cách xây dựng hàm suy nghịch đảo Giải thuật RSA dựa nhận xét sau: phân tích thừa số tích số nguyên tố lớn khó khăn Vì vậy, tích số nguyên tố công khai, số nguyên tố lớn dùng để tạo khoá giải mã mà không sợ bị an toàn Trong giải thuật RSA trạm lựa chọn ngẫu nhiên số nguyên tố lớn p q nhân chúng với để có tích n=pq (p q giữ bí mật) Hình 6.2 Mô hình mật mã không đối xứng 6.3.2 Firewall Firewall hệ thống dùng để tăng cường khống chế truy xuất, phòng ngừa đột nhập bên vào hệ thống sử dụng tài nguyên mạng cách phi pháp Tất thông tin đến thiết phải qua Firewall chịu kiểm tra tường lửa Nói chung Firewall có chức lớn sau: Lọc gói liệu vào/ra mạng lưới Quản lý hành vi khai thác vào/ra mạng lưới Ngăn chặn hành vi Ghi chép nội dung tin tức hoạt động thông qua tường lửa Tiến hành đo thử giám sát cảnh báo công mạng lưới Ưu điểm nhược điểm tường lửa: Trang 92 Mạng máy tính Ưu điểm chủ yếu việc sử dụng Firewall để bảo vệ mạng nội Cho phép người quản trị mạng xác định điểm khống chế ngăn chặn để phòng ngừa tin tặc, kẻ phá hoại, xâm nhập mạng nội Cấm không cho loại dịch vụ an toàn vào mạng, đồng thời chống trả công kích đến từ đường khác Tính an toàn mạng củng cố hệ thống Firewall mà phân bố tất máy chủ mạng Bảo vệ dịch vụ yếu mạng Firewall dễ dàng giám sát tính an toàn mạng phát cảnh bảo Tính an toàn tập trung Firewall giảm vấn đề không gian địa che dấu cấu trúc mạng nội Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu Firewall sử dụng để quản lý lưu lượng từ mạng ngoài, xây dựng phương án chống nghẽn Nhược điểm hạn chế dịch vụ có ích, để nâng cao tính an toàn mạng, người quản trị hạn chế đóng nhiều dịch vụ có ích mạng Không phòng hộ công kẻ phá hoại mạng nội bộ, ngăn chăn công thông qua đường khác tường lửa Firewall Internet hoàn toàn phòng ngừa phát tán phần mềm tệp nhiễm virus 6.3.3 Các loại Firewall Firewall lọc gói thường định tuyến có lọc Khi nhận gói liệu, định cho phép qua từ chối cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào thông tin Header để đảm bảo trình chuyển phát IP Firewall cổng mạng hai ngăn loại Firewall có hai cửa nối đến mạng khác Ví dụ cửa nối tới mạng bên không tín nhiệm cửa nối tới mạng nội tín nhiệm Đặc điểm lớn Firewall loại gói tin IP bị chặn lại Firewall che chắn (Screening) máy chủ bắt buộc có kết nối tới tất máy chủ bên với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội Firewall che chắn máy chủ định tuyến lọc gói máy chủ kiên cố hợp thành Hệ thống Firewall có cấp an toàn cao so với hệ thống Firewall lọc gói thông thường đảm bảo an toàn tầng mạng (lọc gói) tầng ứng dụng (dịch vụ đại lý) Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng dùng hai định tuyến lọc gói máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an toàn nhất, đảm bảo chức an toàn tầng mạng tầng ứng dụng 6.3.4 Kỹ thuật Firewall Lọc khung (Frame Filtering): Hoạt động tầng mô hình OSI, lọc, kiểm tra mức bit nội dung khung tin (Ethernet/802.3, Token Ring 802.5, FDDI, ) Trong tầng khung liệu không tin cậy bị từ chối trước vào mạng Lọc gói (Packet Filtering): Kiểu Firewall chung kiểu dựa tầng mạng mô hình OSI Lọc gói cho phép hay từ chối gói tin mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số quy định lọc Packet hay không Các quy tắc lọc Packet dựa vào thông tin Packet Header Nếu quy tắc lọc Packet thoả mãn gói tin chuyển qua Firewall Nếu không bị bỏ Như Firewall ngăn cản kết nối vào hệ thống, Trang 93 Mạng máy tính khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Một số Firewall hoạt động tầng mạng (tương tự Router) thường cho phép tốc độ xử lý nhanh kiểm tra địa IP nguồn mà không thực lệnh Router, không xác định địa sai hay bị cấm Nó sử dụng địa IP nguồn làm thị, gói tin mang địa nguồn địa giả chiếm quyền truy nhập vào hệ thống Tuy nhiên có nhiều biện pháp kỹ thuật áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, trường địa IP kiểm tra, có thông tin khác kiểm tra với quy tắc tạo Firewall, thông tin thời gian truy nhập, giao thức sử dụng, cổng Firewall kiểu Packet Filtering có loại: - Packet filtering Fire wall: Hoạt động tầng mạng mô hình OSI hay tầng IP mô hình TCP/IP Kiểu Firewall không quản lý giao dịch mạng - Circuit Level Gateway: Hoạt động tầng phiên (Session) mô hình OSI hay tầng TCP mô hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch hệ thống người dùng cuối (VD: kiểm tra ID, mật ) loại Firewall cho phép lưu vết trạng thái người truy nhập 6.3.5 Kỹ thuật Proxy Là hệ thống Firewall thực kết nối thay cho kết nối trực tiếp từ máy khách yêu cầu.Proxy hoạt động dựa phần mềm Khi kết nối từ người sử dụng đến mạng sử dụng Proxy kết nối bị chặn lại, sau Proxy kiểm tra trường có liên quan đến yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa trường thông tin đáp ứng quy tắc đặt ra, tạo cầu kết nối hai node với Ưu điểm kiểu Firewall loại chức chuyển tiếp gói tin IP, điểu khiển cách chi tiết kết nối thông qua Firewall Cung cấp nhiều công cụ cho phép ghi lại trình kết nối Các gói tin chuyển qua Firewall kiểm tra kỹ lưỡng với quy tắc Firewall, điều phải trả giá cho tốc độ xử lý Khi máy chủ nhận gói tin từ mạng chuyển chúng vào mạng trong, tạo lỗ hổng cho kẻ phá hoại (Hacker) xâm nhập từ mạng vào mạng Nhược điểm kiểu Firewall hoạt động dựa trình ứng dụng uỷ quyền (Proxy) 6.4 MẠNG RIÊNG ẢO VPN (VIRTUAL PRIVATE NETWORKS) 6.4.1 Khái niệm mạng riêng ảo Mạng máy tính ban đầu triển khai với kỹ thuật chính: đường thuê riêng (Leased Line) cho kết nối cố định đường quay số (Dial-up) cho kết nối không thường xuyên Các mạng có tính bảo mật cao, lưu lượng thay đổi đòi hỏi tốc độ cao nên thúc đẩy hình thành kiểu mạng liệu mới, mạng riêng ảo Mạng riêng ảo xây dựng kênh lôgích có tính “ảo” Xu hướng hội tụ mạng NGN tạo điều kiện cho xuất nhiều dịch vụ mới, có dịch vụ mạng riêng ảo Mạng riêng ảo mạng máy tính, điểm khách hàng kết nối với sở hạ tầng chia sẻ với sách truy nhập bảo mật mạng riêng Có dạng mạng riêng ảo VPN là: Remote Trang 94 Mạng máy tính Access VPN , Site - to - Site VPN (Intranet VPN Extranet VPN) Remote Access VPN (Client - to - LAN VPN) cho phép thực kết nối truy nhập từ xa người sử dụng di động (máy tính cá nhân Personal Digital Assistant) với mạng (LAN WAN) qua đường quay số, ISDN, đường thuê bao số DSL Site- to - Site VPN dùng để kết nối mạng vị trí khác thông qua kết nối VPN Có thể chia loại loại khác: Intranet VPN Extranet VPN Intranet VPN kết nối văn phòng xa với trụ sở thường mạng LAN với Extranet VPN Intranet VPN khách hàng mở rộng kết nối với Intranet VPN khác Bảo mật yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn hiệu Kết hợp với thủ tục xác thực ngưòi dùng, liệu bảo mật thông qua kết nối đường hầm (Tunnel) tạo trước truyền liệu Tunnel kết nối ảo điểm - điểm (Point to Point) làm cho mạng VPN hoạt động mạng riêng Dữ liệu truyền VPN mã hoá theo nhiều thuật toán khác với độ bảo mật khác Người quản trị mạng lựa chọn tuỳ theo yêu cầu bảo mật tốc độ truyền dẫn Giải pháp VPN thiết kế phù hợp cho tổ chức có xu hướng tăng khả thông tin từ xa, hoạt động phân bố phạm vi địa lý rộng có sở liệu, kho liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao Chất lượng dịch vụ QoS, thoả thuận (Service Level Agreement-SLA) với ISP liên quan đến độ trễ trung bình gói mạng, kèm theo định giới hạn băng thông Bảo đảm cho QoS việc cần thống phương diện quản lý ISP Tất giao thức sử dụng mạng VPN, gói liệu IP mã hoá (RSA RC-4 PPTP mã khóa công khai khác L2TP, IPSec) sau đóng gói (ESP), thêm tiêu đề IP để tạo đường hầm mạng IP công cộng Như vậy, gói tin MTU bị thất lạc mạng IP công cộng thông tin mã hoá nên kẻ phá hoại khó dò tìm thông tin thực chứa tin Trong giao thức PPTP L2TP, mã hoá gói tin thực từ người dùng máy chủ VPN Việc mát gói tin dẫn đến việc phải truyền lại toàn gói tin, điều gây nên độ trễ chung VPN ảnh hưởng đến QoS mạng VPN 6.4.2 Kiến trúc mạng riêng ảo Hai thành phần Internet tạo nên mạng riêng ảo VPN, là: - Đường hầm (Tunnelling) cho phép làm “ảo” mạng riêng - Các dịch vụ bảo mật đa dạng cho phép liệu mang tính riêng tư Trang 95 Mạng máy tính Hình 6.3 Cấu trúc đường hầm Đường hầm: kết nối điểm cuối cần thiết Khi kết nối giải phóng không truyền liệu dành băng thông cho kết nối khác Kết nối mang tính lôgích “ảo” không phụ thuộc vào cấu trúc vật lý mạng Nó che giấu các thiết bị định tuyến, chuyển mạch suốt người dùng Hình 6.4 Đường hầm cấu trúc LAN Client Đường hầm tạo cách đóng gói gói tin (Encapsulate) để truyền quaInternet Đóng gói mã hoá gói gốc thêm vào tiêu đề IP cho gói Tại điểm cuối, cổng Đường hầm có loại: Thường trực (Permanent) tạm thời (Temporary hay Dynamic) Thông thường mạng riêng ảo VPN sử dụng dạng đường hầm động Đường hầm động hiệu cho VPN, nhu cầu trao đổi thông tin huỷ bỏ Đường hầm kết nối điểm cuối theo kiểu LAN- to - LAN Trang 96 Mạng máy tính cổng bảo mật (Security Gateway), người dùng LAN dụng đường hầm Còn trường hợp Client- to - LAN, Client phải khởi tạo việc xây dựng đường hầm máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích 6.4.3 Những ưu điểm mạng VPN Chi phí: Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng gọi đường dài chi phí gọi nội hạt Hơn nữa, sử dụng kết nối đến ISP cho phép vừa sử dụng VPN vừa truy nhập Internet Công nghệ VPN cho phép sử dụng băng thông đạt hiệu cao Giảm nhiều chi phí quản lý, bảo trì hệ thống Tính bảo mật: Trong VPN sử dụng chế đường hầm (Tunnelling) giao thức tầng tầng 3, xác thực người dùng, kiểm soát truy nhập, bảo mật liệu mã hoá, VPN có tính bảo mật cao, giảm thiểu khả công, thất thoát liệu Truy nhập dễ dàng: Người sử dụng VPN, việc sử dụng tài nguyên VPN sử dụng dịch vụ khác Internet mà không cần quan tâm đến phần phức tạp tầng 6.4.4 Giao thức PPTP (Point to Point Tunnelling Protocol) PPP giao thức tầng 2-Data link, truy nhập mạng WAN HDLC, SDLC, X.25, Frame Relay, Dial on Demand PPP sử dụng cho nhiều giao thức lớp TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP - Network Control Protocol PPP sử dụng Link Control Protocol để thiết lập điều khiển kết nối PPP sử dụng giao thức xác thực PAP CHAP PPTP dựa PPP để thực thi chức sau: - Thiết lập kết thúc kết nối vât lý - Xác thực người dùng - Tạo gói liệu PPP 6.4.5 Giao thức L2F (Layer Two Forwarding Protocol) Giao thức L2FP hãng Cisco phát triển, dùng để truyền khung SLIP/PPP qua Internet L2F hoạt động tầng (Data Link) mô hình OSI Cũng PPTP, L2F thiết kế giao thức Tunnel, sử dụng định nghĩa đóng gói liệu riêng để truyền gói tin mức Một khác PPTP L2F tạo Tunnel giao thức L2F không phụ thuộc vào IP GRE, điều cho phép làm việc với môi trường vật lý khác Cũng PPTP, L2F sử dụng chức PPP để cung cấp kết nối truy cập từ xa kết nối qua tunnel thông qua Internet để tới đích Tuy nhiên L2TP định nghĩa giao thức tạo tunnel riêng nó, dựa cấu L2F Cơ cấu tiếp tục định nghĩa việc truyền L2TP qua mạng chuyển mạch gói X25, Frame Relay ATM Mặc dù nhiều cách thực L2TP tập trung vào việc sử dụng giao thức UDP mạng IP, ta có khả thiết lập hệ thống L2TP không sử dụng IP Một mạng sử dụng ATM Frame Relay triển khai cho tunnel L2TP 6.4.6 Giao thức L2TP (Layer Two Tunnelling Protocol) Giao thức L2TP sử dụng để xác thực người sử dụng Dial-up Tunnel kết nối SLIP/PPP qua Internet Vì L2TP giao thức lớp 2, nên hỗ trợ cho người Trang 97 Mạng máy tính sử dụng khả mềm dẻo PPTP việc truyền tải giao thức IP, ví dụ IPX NETBEUI Hình 6.5 Kiến trúc L2TP Hình 6.6 Quá trình chuyển gói tin qua Tunnel L2TP Bảo mật L2TP: Việc xác thực người dùng giai đoạn: Giai đoạn ISP, giai đoạn giai đoạn (tuỳ chọn) máy chủ mạng riêng Trong giai đoạn 1, ISP sử dụng số điện thoại người dùng tên người dùng để xác định dịch vụ L2TP khởi tạo kết nối đường hầm đến máy chủ VPN Khi đường hầm thiết lập, LAC ISP định số nhận dạng gọi (Call ID) để định dạnh cho kết nối đường hầm khởi tạo phiên làm việc cách chuyển thông tin xác thực cho máy chủ VPN Máy chủ VPN tiến hành tiếp bước định chấp nhận hay từ chối gọi dựa vào thông tin xác thực từ gọi Trang 98 Mạng máy tính ISP chuyển đến Thông tin mang CHAP, PAP, EAP hay thông tin xác thực Sau gọi chấp nhận, máy chủ VPN khởi động giai đoạn lớp PPP, bước náy tương tự máy chủ xác thực người dùng quay số truy nhập vào thăngr máy chủ Việc sử dụng giao thức xác thực đơn giản không bảo mật cho luồng liệu điều khiển thông báo liệu tạo kẽ hở cho việc chèn gói liệu để chiếm quyền điều khiển đường hầm, hay kết nối PPP, hoạc phá vỡ việc đàm phán PPP, lấy cắp mật người dùng Mã hoá PPP xác thực địa chỉ, toàn vẹn liệu, quản lý khoá nên bảo mật yếu không an toàn kênh L2TP Vì vậy, để có xác thực mong muốn, cần phải phân phối khoá có giao thức quản lý khoá Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức IP, tối thiểu phải thực cho L2TP IP Việc quản lý khoá thực thông qua liên kết bảo mật - Security Association( SA) SA giúp đối tượng truyền thông xác định phương thức mã hoá, việc chuyển giao khoá lại IKE thực Nội dung nói rõ giao thức IPSec 6.4.7 Giao thức IPSEC IPSec bảo đảm tính tin cậy, tính toàn vẹn tính xác thực truyền liệu qua mạng IP công cộng IPSec định nghĩa loại tiêu đề cho gói IP điều khiển trình xác thực mã hóa: xác thực tiêu đề Authentication Header (AH), hai đóng gói bảo mật tải Encapsulating Security Payload (ESP) Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói liệu Trong đóng gói bảo mật tải ESP thực mã hóa đảm bảo tính toàn vẹn cho gói liệu không bảo vệ tiêu đề cho gói IP AH IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa thuận liên kết bảo mật SA hai thực thể trao đổi thông tin khóa IKE cần sử dụng phần lớn ứng dụng thực tế để đem lại thông tin liên lạc an toàn diện rộng - Xác thực tiêu đề AH: AH giao thức bảo mật IPsec đảm bảo tính toàn vẹn cho tiêu đề gói liệu việc chứng thực người sử dụng Nó đảm bảo chống phát lại chống xâm nhập trái phép tùy chọn Trong phiên đầu IPsec đóng gói bảo mật tải ESP thực mã hóa mà chứng thực nên AH ESP dùng kết hợp phiên sau ESP có thêm khả chứng thực Tuy nhiên AH dùng đảm bảo việc chứng thực cho toàn tiêu đề liệu việc đơn giản truyền tải liệu mạng IP yêu cầu chứng thực AH có hai chế độ: Transport Tunnel Chế độ Tunnel AH tạo tiêu đề IP cho gói chế độ Transport AH không tạo tiêu đề IP Hai chế độ AH đảm bảo tính toàn vẹn (Integrity), chứng thực (Authentication) cho toàn gói - Xử lý đảm bảo tính toàn vẹn: IPsec dùng thuật toán mã chứng thực thông báo băm HMAC (Hash Message Authentication Code) thường HMAC-MD5 hay HMAC-SHA-1 Nơi phát giá trị băm đưa vào gói gửi cho nơi nhận Nơi nhận tái tạo giá trị băm khóa chia sẻ kiểm tra trùng khớp giá trị băm qua đảm bảo tính toàn vẹn gói liệu Tuy nhiên IPsec không bảo vệ tính toàn vẹn cho tất trường tiêu đề IP Một số trường Trang 99 Mạng máy tính tiêu đề IP TTL (Time to Live) trường kiểm tra tiêu đề IP thay đổi trình truyền Nếu thực tính giá trị băm cho tất trường tiêu đề IP trường nêu bị thay đổi chuyển tiếp nơi nhận giá trị băm bị sai khác Để giải vấn đề giá trị băm không tính đến trường tiêu đề IP thay đổi hợp pháp trình truyền - ESP có hai chế độ: Transport Tunnel Chế độ Tunnel ESP tạo tiêu đề IP cho gói Chế độ mã hóa đảm bảo tính toàn vẹn liệu hay thực mã hóa toàn gói IP gốc Việc mã hóa toàn gói IP (gồm tiêu đề IP tải IP) giúp che địa cho gói IP gốc Chế độ Transport ESP dùng lai tiêu đề gói IP gốc mã hóa đảm bảo tính toàn vẹn cho tải gói IP gốc Cả hai chế độ chứng thực để đảm bảo tính toàn vẹn lưu trường ESP Auth - Xử lý mã hóa: ESP dùng hệ mật đối xứng để mã hóa gói liệu, nghĩa thu phát dùng loại khóa để mã hóa giải mã liệu ESP thường dùng loại mã khối AES-CBC (AES-Cipher Block Chaining), AESCTR (AES Counter Mode) 3DES - Trao đổi khóa mã hóa IKE (Internet Key Exchange): Trong truyền thông sử dụng giao thức IPsec phải có trao đổi khóa hai điểm kết cuối, đòi hỏi phải có chế quản lý khóa Có hai phương thức chuyển giao khóa chuyển khóa tay chuyển khóa giao thức IKE Một hệ thống IPsec phụ thuộc phải hỗ trợ phương thức chuyển khóa băng tay Phương thức chìa khóa trao tay chẳng hạn khóa thương mại ghi giấy Phương thức phù hợp với số lượng nhỏ Site, mạng lớn phải thực phương thức quản lý khóa tự động Trong IPsec người ta dùng giao thức quản lý chuyển khóa IKE (Internet Key Exchange) IKE có khả sau : o Cung cấp phương tiện cho bên sử dụng giao thức, giải thuật khóa o Đảm bảo từ lúc bắt đầu chuyển khóa o Quản lý khóa sau chúng chấp nhận tiến trình thỏa thuận o Đảm bảo khóa chuyển cách bảo mật 6.4.8 Ứng dụng ESP AH cấu hình mạng ESP cấu hình Gateway-to-Gateway: Trong cấu hình thiết lập kết nối có IPsec để mã hoá đảm bảo tính toàn vẹn liệu hai điểm A B (điểm kết cuối A dùng Gateway A mạng A, điểm kết cuối B dùng Gateway B mạng B) Trang 100 Mạng máy tính Hinh 6.7 Cấu hình Gateway -to-Gateway ESP AH cấu hình Host-to-Host: Trong cấu hình thiết lập kết nối có IPsec để mã hoá đảm bảo tính toàn vẹn liệu hai điểm A B Tuỳ thuộc nhu cầu bảo mật dùng ESP hay AH Hình 6.8 Cấu hình Host-to-Host 6.4.9 So sánh giao thức VPN Giao thức Ưu điểm Nhược điểm Sử dụng mạng Chuẩn giao thức rãnh Không quản lý NSD Phần mềm tốt Không khả cho giải pháp độc Hoạt động độc lập cho tương tác quyền nhà cung cấp ứng dụng mức caohơn nhà cung cấp việc truy nhập từ Giấu địa mạng không sử xa quay số dụng dịch địa mạng Không hỗ trợ giao diện IPSec NAT ( Desktop support) Đáp ứng phát triển kỹ thuật mã hoá Trang 101 Mạng máy tính Chạy Wind NT, 95 ,98 Không cung cấp mã Được dùng Cung cấp End to End hoá liệu từ máy chủ truy nhập từ xa định hướng đường hầm kết máy chủ truy cập từ xa định đường hầm proxy nối node - to - node Mang tính độc quyền, Có thể dùng Các đặc điểm giá trị yêu cầu máy chủ chạy văn phòng xa thêm vào phổ biến cho Win NT để kết thúc có máy chủ Win NT để truy cập từ xa đường hầm chạy máy chủ truy cập từ Xác thực Windows Chỉ sử dụng mã hoá xa định tuyến RRAS Có khả đa giao thức RSA RC- Có thể dùng cho Sử dụng mã hoá RSA RC-4 máy để bàn Win9x hay máy trạm dùng Win NT Cho phép định đường hầm Không có mã hoá Xác Dùng cho truy cập từ xa PPTP đa giao thức thực NSD yếu Không POP Có nhiều nhà cung cấp điều khiển luồng cho đường hầm L2F Kết hợp PPTP L2TP Chưa cung Dùng cho truy nhập từ Chỉ cần gói dựa cấp nhiều sản xa POP mạng để chạy X.25 phẩm Frame Relay Không bảo mật L2TP Sử dụng IPSec việc mã hoá giai đoạn cuối C BÀI TẬP CHƯƠNG Câu hỏi tự luận Tổng quan an ninh mạng An toàn mạng Các đặc trưng kỹ thuật an toàn mạng Xác thực (Authentification), Tính khả dụng (Availability), Tính bảo mật (Confidentialy), Tính toàn vẹn (Integrity), Tính khống chế (Accountlability) Các lỗ hổng điểm yếu mạng: Lỗ hổng loại C, Lổ hổng loại B, Lỗ hổng loại A? Các phương thức tân công mạng Các biện pháp phát hệ thống bị công Một số phương thức công mạng phổ biến: Scanner, Bẻ khoá (Password Cracker), Trojans, Sniffer Tổng quan bảo vệ thông tin mật mã (Cryptography) 10 Firewall, ưu điểm nhược điểm Fire wall 11 Các loại Firewall 12 Kỹ thuật Fire wall 13 Kỹ thuật Proxy 14 Mạng riêng ảo VPN (Virtual Private Networks): khái niệm mạng riêng ảo kiến Trang 102 Mạng máy tính trúc mạng riêng áo 15 Các thành phần mạng riêng ảo VPN: 16 Những ưu điểm mạng VPN 17 Giao thức PPTP (Point to Point Tunnelling Protocol) 18 Quá trình kết nối PPTP: Tạo kết nối PPP, tạo kết nối điều khiển PPTP, Truyền liệu qua Tunnel PPTP 19 Bảo mật PPTP 20 Giao thức L2F (Layer Two Forwarding Protocol) 21 Giao thức L2TP (Layer Two Tunnelling Protocol) 22 Bảo mật L2TP 23 Giao thức IPSEC 24 Ứng dụng ESP AH cấu hình mạng 25 So sánh giao thức VPN Trang 103 Mạng máy tính TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] Nguyễn Thế Quế, Giáo trình Mạng máy tính, Học viện Công nghệ Bưu Viễn thông, 2009 [2] MK.PUB, Giáo trình hệ máy tính CCNA2, Nhà sách Minh Khai, 2008 [3] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, NXB GD, 1997 Tài liệu tiếng Anh [4] Hinden, R., Advanced Networking Lab (ANML) Internet Protocol, Version (IPv6) Resources, Pervasive Labs at Indiana University [5] Jason Halpern, Sean Convery, Roland Saville, Safe VPN IPSec Virtual Private Network in depth , White paper of Cisco Systems , 2004 [6] Guide to IPsec VPNs - Sheila Frankel, Karen Kent, Ryan Lewkowski,Angela D Orebaugh, Ronald W Ritchey, Steven R Sharma - 01/2005 [7] A Comprehensive Guide to Virtual Private Networks, Volume III: CrossPlatform Key and Policy Management, 2003 [8] Johan Zuidweg, ”Next Generation Intelligent Networks”, Artech House Telecommunication Library, Bolton London, 2002 [9] F.D.Ohrtman Jr, Softswitch architecture for VoIP, McGraw-Hill, 2003 [10] K.H.Lee, K.O.Lee, K.C.Park, Architecture to be deployed on strategies of Next Generation Networks”, IEEE Communication magazine, 2003 [11] Introduction to MPLS & Its IP VPN, Juniper Networks 2000 [10] MPLS VPN Fundamentals, Juniper Networks 2000 [12] Michael A.Gallo & William M.Hancock: Computer Communications and Networking Technologies, Thomson Learning, 2002 [13] Malone, D., Misbehaving Name Servers and What They're Missing, Internet Protocol Journal, Vol 8, Nr 1, March 2005 [14] Carpenter, B E.; Moore, K.; Fink, B., Connecting IPv6 Routing Domains Over the IPv4 Internet, Internet Protocol Journal, Vol 3, Nr 1, March 2000 [15] Andrew S Tanenbaum, Computer Networks, Prentice Hall, New Jersey, Fourth Edition, 2003 [16] Man Young Rhee, Wilay, Internet Security - Cryptographic Principles, Algorithms and Protocols, 2003 [17] CiscoPress CCNA ICND1 Official Exam Certification Guide [18] Cisco Press CCNA ICND2 Official Exam Certification Guide [19] Cisco Academy CCNA Explorer [20] CCNP BCMSN Student Guide Version 4.0(2007) [21] CCNP ROUTE 642-902 Official Certification Guide Website [22] http://www.vnpro.org/forum [23] http://www.tiemnangviet.com.vn Trang 104 ... dụng mạng máy tính Hãy phát biểu lợi ích nối máy tính thành mạng Hãy trình bày tổng quát xu hướng phát triển dịch vụ mạng Hiểu mạng máy tính Hãy trình bày tóm tắt chức thành phần chủ yếu mạng máy. .. lớn mạng máy tính thực tế thuộc mô hình Trang 13 Mạng máy tính Hình 1.11 Mô hình Client-Server nhiều lớp C BÀI TẬP CHƯƠNG I Câu hỏi trắc nghiệm Hãy chọn câu định nghĩa mạng máy tính: A Tập máy tính. . .Mạng máy tính Hình 1.1 Mô hình mạng máy tính Kiến trúc mạng gồm cấu trúc mạng (Topology) giao thức mạng (Protocols) Topology cấu trúc hình học thực thể mạng giao thức mạng tập quy