Đề tài Internet và các dịch vụ trên internet

chương I interneT và các dịch vụ trên internet Lịch sử ra đời của INTernet: Internet, mạng của các mạng, là một liên mạng toàn cầu ra đời từ những năm 70 và phát triển với một tốc độ rất nhanh. Tiền thân của nó là mạng ARPANet (viết tắt của từ Advanced Research Project Agency Network có nghĩa là mạng của trung tâm phát triển dự án nghiên cứu thuộc Bộ Quốc phòng Mỹ) được thành lập từ năm 1969. Mục đích ban đầu của mạng này là phát triển một mạng thông tin có khả năng hoạt động được ngay cả khi một bộ phận trong mạng bị “tấn công bởi bom nguyên tử”. Càng ngày mạng ARPAnet ngày càng mở rộng với rất nhiều tổ chức Quốc tế kết nối vào nó nhằm mục đích truy nhập thông tin hàng ngày. Đến năm 1975, mạng ARPANet được chuyển từ một mạng thí nghiệm sang một mạng hoạt động chính thức. Cùng với sự ra đời của bộ giao thức TCP/IP (viết tắt của từ Transmission Control Protocol/ Internet Protocol, có nghĩa là giao thức truyền dữ liệu và giao thức Internet) thì sự phát triển của ARPANet ngày càng lớn mạnh khắp thế giới. Cho đến khi các chuẩn TCP/IP được sử dụng rộng rãi thì thuật ngữ INTERNET đã được mọi người công nhận như là một từ chỉ tới mạng thông tin toàn cầu lớn nhất và bao trùm tất cả các mạng khác trên thế giới. Về cơ bản, INTERNET là một liên mạng máy tính giao tiếp dưới cùng một bộ giao thức TCP/IP. Giao thức này cho phép mọi máy tính trên mạng giao tiếp với nhau một cách thống nhất giống như một ngôn ngữ Quốc tế mà mọi người sử dụng để giao tiếp với nhau hàng ngày. Các mạng cấu thành nên INTERNET được kết nối với nhau thông qua nhiều hệ thống truyền tin khác nhau. Các dịch vụ trên internet Như ta đã biết, INTERNET là một liên mạng Quốc tế bao gồm rất nhiều các dịch vụ khác nhau, các nhà cung cấp dịch vụ INTERNET (ISP - viết tắt của từ Internet Server Provider) phải cung cấp cho các thuê bao INTERNET tất cả các dịch vụ trên mạng mà thuê bao yêu cầu. Tuy nhiên trong phần này chỉ giới thiệu sơ lược một số dịch vụ quan trọng trên INTERNET, đó là dịch vụ thư điện tử, FTP, Gopher, Wais, World Wide Web, NetNews và Veronica. Các dịch vụ thư điện tử: Thư điện tử (e-mail) là công cụ quan trọng nhất và đơn giản nhất để đưa thông tin tới mọi người dùng trên INTERNET. Ngoài ra dịch vụ thư điện tử không chỉ nối kết những người trên INTERNET mà còn cả với những người trên các mạng thương mại khác như: Compuserve, American Online, Prodigy .v.v.v... với số lượng tổng cộng tới gần 10 triệu người dùng trên thế giới. Kể từ khi thư điện tử trở thành một dịch vụ chiếm ưu thế trên INTERNET, thì dịch vụ “mailling-list” là một cách tốt nhất để cung cấp các thông tin “nóng hổi” tới tay nhiều người cùng một lúc. Có hai dạng dịch vụ mở rộng dựa trên thư điện tử, đó là dịch vụ mailling-list hay còn gọi là danh sách điện thư và dịch vụ Archive tức là dịch vụ tìm kiếm và chuyển file. Một mailling-list là một danh sách địa chỉ thư điện tử của một nhóm người nào đó, chỉ cần gửi một bức thư tới một địa chỉ thì tất cả những người còn lại trong danh sách đều nhận được thư. Một dịch vụ Archive làm nhiệm vụ truyền các file qua đường điện thư theo đòi hỏi của người sử dụng. Ta có thể dùng mailling-list cho nhiều mục đích đa dạng, từ những việc đơn giản cho đến những việc phức tạp. Người ta có thể dùng mailling-list để tạo ra các nhóm tranh luận về một đề tài nào đó trên INTERNET. Hiện nay có một số chương trình mailling-list thông dụng như: Majordomo, Listserv, Listproc .v.v... để tự động hoá công việc quản lý những danh sách mailling-list lớn. Dịch vụ Archive có thể tự động thực hiện yêu cầu của người dùng truyền các file qua đường điện thư. Mọi người có thể gửi thư điện tử tới máy phục vụ còn gọi là server, để yêu cầu một đề mục thông tin hoặc những file dữ liệu, server sẽ tìm kiếm trong tài nguyên của nó có đáp ứng được không, sau đó nó sẽ chuyển về cho chúng ta theo đường điện thư. Nếu một file quá lớn, thì server sẽ mã hoá file đó, phân nó thành các phần nhỏ rồi chuyển tới tay người dùng; ở phía người nhận sẽ phải ráp lại các phần nhỏ, giải mã lại các file rồi mới lấy được đúng tài liệu mình cần. Dịch vụ FTP (File Transfer Protocol) Đây là dịch vụ mà mọi người dùng trên INTERNET đều sử dụng để truyền các file, bởi vì đó là dịch vụ phổ biển nhất để truyền các file trên INTERNET. Dịch vụ này cho phép người sử dụng đăng nhập vào các máy từ xa nhưng chỉ giới hạn ở mức chuyển giao các file. Những máy FTP server được thiết lập cho các dịch vụ FTP công cộng thường được gọi là FTP nặc danh, bởi vì mọi người đều có thể đăng nhập vào mà không cần ghi rõ địa danh hoặc mật khẩu. Những FTP client thì có ở tất cả các máy tính từ máy tính cá nhân tới máy tính mainframer. Dịch vụ FTP là dịch vụ được sử dụng nhiều nhất sau thư điện tử. FTP cung cấp tất cả các dạng file, trên thực tế nó không quan tâm tới dạng file cho dù đó là dạng file ASCH, file nhị phân .v.v.. Chỉ cần một ít cấu hình và một máy FTP server, chúng ta có thể phân lớp người sử dụng nào có quyền được truy nhập từng phần trong kho tài nguyên của mình, giới hạn số người sử dụng dịch vụ cùng một thời điểm ... Tuy nhiên FTP cũng có nhược điểm. Điểm chính là việc truy nhập vào từng thư mục để tìm file là một quá trình chậm chạp. Kỹ thuật truyền thống mà một quản trị mạng dùng để giúp người sử dụng tìm file là cung cấp một danh sách đệ qui các file mà điều này không phải là không có rắc rối. Một vài người quản trị có thể tạo ra các file README ở mỗi thư mục để mô tả nội dung của nó, tuy nhiên điều này lại dẫn tới việc các file này luôn lạc hậu so với nội dung thực. Dịch vụ Telnet và Finger Đây là hai dịch vụ có ở hầu hết các hệ điều hành Unix, vì vậy nó được sử dụng rộng rãi dù nó có giao diện không mấy thân thiện. Telnet là dịch vụ cho phép ta đăng nhập vào các máy trên mạng như một thiết bị đầu cuối (terminal). Nó thường được dùng để cung cấp dịch vụ Internet tương tự như khi bạn nối vào hệ thống bằng modem. Dịch vụ Finger được thiết kế để cung cấp thông tin cho người sử dụng ở các hệ thống từ xa. Nó có thể cung cấp một số dạng thông tin như tin tức thời tiết .v.v... Dịch vụ Gopher Gopher là một dịch vụ cho phép ta định hướng qua các nguồn thông tin. Các phần mềm Gopher Client hiển thị một thực đơn theo dạng chọn lựa trên bảng, sau đó người dùng chọn một đề mục, đề mục này có thể hiện thị một số tư liệu hoặc đưa người sử dụng đến một thực đơn khác. Ngoài ra ta cũng có thể trở lại đề mục cũ một cách dễ dàng. Đi kèm với mỗi hệ thống thực đơn là các tài liệu, người dùng có thể xem hoặc lưu trữ nó, và một danh sách chỉ mục để tìm kiếm thông tin nữa. Một vài đề mục trong thực đơn có thể kết nối với các server khác và một số dịch vụ thông tin như FTP. Cấu trúc thực đơn đơn giản như vậy nhưng thực ra lại rất hữu ích và dễ dàng tổ chức cũng như bảo trì nó. Đồng thời nó cũng rất dễ dàng quản lý: việc cấu trúc thông tin trên một server chỉ đơn giản là tạo nên một thư mục để thiết lập server trên đó, các thư mục nhỏ hơn sẽ là các đề mục của thực đơn và các file trên thư mục sẽ là các tài liệu thông tin. Vấn đề đặt ra ở đây là phải làm sao cho thông tin dễ truy nhập và cập nhập thường xuyên với các server khác. Tuy nhiên, các hạn chế của dịch vụ Gopher chính là các dạng dự liệu mà nó hỗ trợ và số dịch vụ mà nó có thể truy nhập được. Hiện nay Gopher mới chỉ hiển thị dữ liệu dạng văn bản và chỉ truy nhập được một số dịch vụ như FTP, Telnet, Wais, .v.v... Mặc dù vậy, Gopher vẫn được ưa chuộng bởi nó là dịch vụ rẻ tiền và truy nhập thông tin nhanh chóng. Ngày nay, Gopher đã bị thay thế dần bởi một dịch vụ mạnh hơn, đó là dịch vụ World Wide Web. Dịch vụ WAIS (Wide Area Information Server) Trong khi Gopher và World Wide Web thường dùng giao diện người dùng để hiển thị thông tin và hỗ trợ rất ít khả năng tìm kiếm dữ liệu thì ngược lại ở Wais chức năng tìm kiếm dữ liệu lại quan trọng hơn cả. Đó là dịch vụ hỗ trợ tìm kiếm thông tin rất hữu hiệu nhưng lại hỗ trợ tối thiểu về giao diện người dùng. Về khía cạnh nào đó, người ta coi Wais như là một bổ sung rất tốt cho Gopher và World Wide Web. Dịch vụ này tìm kiếm thông tin trên một danh sách của server cho một hoặc nhiều từ khoá và đưa ra những báo cáo về kết quả tìm kiếm. Một cơ chế tìm kiếm cho phép ta tìm được những tài liệu theo một từ khoá nào đó và nếu không tìm được tài liệu này, nó sẽ cho ta những tài liệu gần với đòi hỏi nhất. Wais làm việc dựa trên một chỉ mục được tạo bởi một số tiêu chí nào đó. Các phần mềm đánh mục chỉ có thể xử lý được rất nhiều dạng dữ liệu khác nhau, bao gồm các file văn bản, Latex, Poscript .v.v..., danh sách thư điện tử. Có thể thêm vào một cách dễ dàng các kiểu dữ liệu mới để tìm kiếm. Ngoài ra phần đánh chỉ mục và cơ sở dữ liệu của Wais cho phép kết hợp nhiều dạng dữ liệu trong một chỉ mục để tìm kiếm. Một vấn đề nảy sinh là các chỉ mục dữ liệu thường rất lớn so với chính bản thân dữ liệu. Khi ta đánh chỉ mục các file tin văn bản thì có thể file chỉ mục sẽ rất lớn. Nếu Wais bao gồm nhiều loại thông tin để tìm kiếm thì ta phải trả giá về không gian đĩa để chạy. Vì vậy hiện nay người ta đang tìm biện pháp để giải quyết vấn đề này. Dịch vụ World Wide Web (W W W) Đây là dịch vụ mới phát triển mạnh trên INTERNET. Nó bao gồm nhiều chức năng, cộng thêm khả năng tích hợp được hầu hết các dịch vụ hiện có trên INTERNET. World Wide Web cho phép ta truy cập được Gopher, Wais, FTP, sử dụng Telnet, Finger. Các tài liệu World Wide Web được viết bằng ngôn ngứ HTML, hay còn gọi là: Hyper Text Markup Language. Nó cho phép ta mô tả các mối liên kết giữa các tài liệu với nhau và các mối liên kết tới các dịch vụ INTERNET khác. Web truyền các tài liệu HTML thông qua một giao thức gọi là HTTP (Hyper Text Transfer Protocol). Các tài liệu HTML bao gồm khả năng liên kết tới rất nhiều dạng thông tin khác nhau như văn bản, âm thanh .v.v... Tuy nhiên do khả năng hỗ trợ multimedia như vậy, chỉ những người có đường kết nối tốc độ cao vào mạng INTERNET mới có khả năng tận dụng hết các khía cạnh ưu việt của dịch vụ World Wide Web. Dịch vụ Netnews. Dịch vụ mailling-list là một cách khả dĩ để chuyển thư cho một nhóm nhỏ người nhưng tỏ ra không hiệu quả khi gửi cho nhiều người. Đơn giản là vì, việc duy trì danh sách lớn hàng ngàn người cũng đã mất rất nhiều công sức ngay cả khi tự động hoá gần hết danh sách bằng một chương trình như LISTSERV chẳng hạn. Một điều nữa là việc chuyển thư tới hàng ngàn địa chỉ là một gánh nặng cho hệ thống chuyển thư đi. Dịch vụ USENET News (hay còn gọi là Netnews hay ngắn gọn hơn là News) giải quyết được vấn đề đó, USENET có thể coi là một hệ thống bản tin điện tử (Bulltin Board System) rất lớn, được xây dựng như là một mạng logic ở phía trên các mạng và các kết nối khác. Các chương trình đọc tin (newsreader) cho phép người dùng có thể chọn các tin mà họ quan tâm, do đó tránh được hiện tượng lãng phí ổ đĩa khi phải lưu trữ những thông tin không cần thiết ở nhiều nơi. Ngoài ra còn có các chỉ mục, các liên kết chéo và việc loại bỏ các tin cũ. Các tin trên mạng được chia thành các nhóm tin theo các chủ đề khác nhau, chúng ta có thể nghĩ đến nhóm tin như một bảng thông báo điện tử hay một cuộc thảo luận dành cho một chủ đề. Tồn tại hàng trăm nhóm tin trên mạng phục vụ cho mọi nhu cầu trong cuộc sống: từ các nhóm tin về chủ đề kỹ thuật như trí tuệ nhân tạo, chuẩn ngôn ngữ lập trình hay các hệ thống máy tính đặc biệt cho tới các chủ đề về nhà vườn hay rượu vang .v.v... Hiện nay USENET có trên 30 nghìn địa điểm trên toàn thế giới. Rất nhiều địa điểm USENET dùng UUCP như là một giao thức mạng cơ bản. Tuy nhiên USENET được nối qua nhiều hệ thống gateway đến nhiều mạng máy tính lớn trên thế giới chẳng hạn như BITNET, và EASYnet dùng một số giao thức khác như NNTP hay Notes thay cho UUCP. Dịch vụ Veronica Đối với dịch vụ Gopher việc tìm kiếm nguồn thông tin tư liệu nhiều khi không kết quả (nghĩa là không tìm thấy nơi chứa thông tin cần tìm). Trong trường hợp đó người sử dụng có thể muốn tìm các Gopher server để nhằm tìm nguồn thông tin cần có, dịch vụ này gọi là dịch vụ Veronica. Để dùng dịch vụ này người sử dụg phải kết nối máy tính của mình với một Gopher server nào đó trên INTERNET (mà người sử dụng đã có đăng ký Account Gopher Server đó) và Gopher Server đó cho phép truy nhập tới một Veronica Server nào đó. Cơ sở dự liệu về Veronica được tạo nên bằng việc quét các thực đơn trên các Gopher Server trên mạng INTERNET, đồng thời cũng có tìm được thông qua các không gian Gopher có sử dụng Veronica. Chương II Bộ giao thức trên Internet Hiện nay có rất nhiều họ giao thức đang được thực hiện trên mạng truyền thông như: IEE802.X dùng cho mạng cục bộ; CCITT X25 dùng cho mạng tầm rộng và đặc biệt là họ giao thức chuẩn của ISO (viết tắt của từ International Standard Organization - Tổ chức chuẩn hoá Quốc tế), dựa trên mô hình tham chiếu bảy tầng cho việc kết nối các hệ thống mở. Gần đây do sự xâm nhập của mạng INTERNET vào Việt Nam chúng ta được làm quen với họ giao thức mới là: TCP/IP mặc dù chúng đã xuất hiện từ hơn 20 năm trước đây. Như đã đề cập ở trên đây, mạng INTERNET được xây dựng trên cơ sở giao thức TCP/IP. Thực chất đây là một bộ gồm nhiều giao thức làm những nhiệm vụ khác nhau; tên của bộ giao thức được đặt theo tên hai giao thức quan trọng nhất, đó là : TCP (Transmission Control Protocol) và (Internet Protocol). Bên cạnh hai giao thức này còn có rất nhiều giao thức khác như: - FTP (File Transfer Protocol): Giao thức truyền tập tin trên mạng. - SNMP (Simple Network Management Protocol): Giao thức quản lý mạng đơn giản. - SMTP (Simple Mail Transfer Protocol): Giao thức truyền thư đơn giản. - HTTP (Hyper Text Transport Protocol): Giao thức truyền các siêu văn bản. - Nhiều giao thức khác.... Đây là bộ giao thức được dùng rộng rãi vì tính mở của nó. Có nghĩa là bất cứ máy nào dùng bộ giao thức TCP/IP đều có khả năng nối được vào mạng INTERNET. Để hiểu về bộ giao thức TCP/IP chúng ta hãy tìm hiểu qua về mô hình OSI đã được coi là một chuẩn trên toàn thế giới. I. Mô hình bộ giao thức OSI (Open System Interconnection) Cấu trúc của mô hình OSI được biểu diễn trong hình sau: Lớp ứng dụng (application) Lớp THể HIệN (PRESENTATION) Lớp PHIÊN (SESSION) Lớp điều vận (Trans Post layer) Lớp MạNG (NETWORK) Lớp LIÊN KếT Dữ LIệU (DATA LINK) Lớp VậT Lý (PHYSICAL LINK) Các lớp trên thực hiện các chức năng sau: Lớp nối vật lý (Physical Link Leyer): Lớp này bảo đảm các công việc sau: - Lập, cắt cuộc nối. - Truyền tin dạng bit qua kênh vật lý. - Có thể có nhiều kênh. Lớp nối số liệu (Data Link Leyer): Lớp này đảm bảo việc biến đổi các tin dạng bit nhận được từ lớp dưới (vật lý) sang dạng khung số liệu, thông báo cho hệ phát kết quả thu được sao cho các thông tin truyền lên cho mức 3 không có lỗi. Các thông tin truyền ở mức 1 có thể làm hỏng các thông tin khung số liệu (Framer Error). Phần mềm mức hai sẽ thông báo cho mức một truyền lại các thông tin bị mất/lỗi. Đồng bộ hay các hệ số có tốc độ xử lý tính khác nhau, một trong những phương pháp hay sử dụng là dùng bộ đệm trung gian để lưu giữ số liệu nhận được. Độ lớn của bộ đệm này phụ thuộc vào tương quan xử lý của các hệ thu và phát. Trong trường hợp đường truyền song công toàn phần, lớp datalink phải đảm bảo việc quản lý các thông tin số liệu và các thông tin trạng thái. Lớp mạng (Network Leyer): Lớp mạng có thể gọi một cách khác là lớp liên lạc mạng (Comunication Subnet Layer) theo dõi toàn bộ hoạt động của Subnet, các thông tin số liệu ở lớp này được tổ chức thành gói dữ liệu (packets) chứa đầy đủ địa chỉ gốc (Source) và địa chỉ đích (Destination). Số lượng các gói dữ liệu truyền trên các kênh khác nhau của mạng thông tin máy tính phụ thuộc vào lưu lượng thông tin trên các đường truyền. Lớp mạng đảm bảo tìm đường tối ưu cho các gói dữ liệu bằng các giao thức chọn đường dựa trên các thiết bị chọn đường (Route). Lớp mạng kiểm soát thông tin trong mạng để quyết định số lượng gói vận chuyển, tránh trường hợp có quá nhiều gói dữ liệu trên Subnet gây ra tắc nghẽn. Lớp điều vận (Transpost Leyer): Lớp này thực hiện các chức năng sau: Nhận thông tin từ lớp phiên (Session) chia thành các gói nhỏ hơn và truyền xuống lớp dưới, hoặc nhận thông tin từ lớp dưới chuyển lên phục hồi theo cách chia của hệ phát. Yêu cầu nối xuất phát từ lớp 5 (Session), trong trường hợp hệ thống yêu cầu chuyển nhanh thông tin, lớp điều vận sẽ thiết lập nhiều cuộc nối để tăng lưu lượng thông tin trên mạng (phí thuê bao tăng). Hoặc hệ thống có thể dùng chung cuộc nối cho các thông tin khác nhau (giảm phí thuê bao). Có cơ chế để kiểm soát dòng thông tin để đồng bộ tốc độ xử lý giữa các hệ (giữa hệ nhanh và hệ chậm). Lớp phiên (Session) Cuộc nối giữa 2 người dùng gọi là phiên. Giao diện giữa mạng và người sử dụng, người sử duọng thiết lập, quản lý, đối thoại, kết thúc cuộc nối. Cho phép người sử dụng thâm nhập vào hệ xa, truyền file giữa các hệ. Trong trường hợp các đường truyền thông không hoặc chưa vận chuyển hết thông tin cho hệ ở xa được, lớp phiên sẽ đảm bảo không hoặc chưa chuyển giao các thông tin đó cho hệ xa (thí dụ trong khi truyền file dữ liệu lớp phiên sẽ đợi nhận đủ file mới chuyển cho người sử dụng dùng hệ xa). Lớp thể hiện (Presentation Lever): - Thư viện các yêu cầu của người dùng. - Chứa các thư viện tiện ích. - Thí dụ thay đổi dạng thể hiện của các tệp, nén file... Lớp ứng dụng (Application Leyer): Lớp ứng dụng cho phép người sử dụng khai thác các tài nguyên trong mạng tương tự như tài nguyên tại chỗ (hệ thống mạng thông suốt đối với người sử dụng - USER Transparent). * TCP/IP với mô hình OSI hình dung vị trí của TCP/IP trong một kiến trúc mạng ta so sánh chức năng của nó với mô hình mạng của CCITT và OSI qua hình dưới đây: ISO CCITT X400 Application FTP Telnet Presentation Session TCP Transport Netword IP ISDN Data Link X25 Physical Link Như vậy TCP tương ứng với 4 lớp cộng thêm 1 số chức năng của lớp thứ 5 trong họ giao thức chuẩn OSI. Còn IP tương ứng với 3 lớp của mô hình OSI. II. bộ giao thức tcp/ip: Khái niệm giao thức (Protocol) là một khái niệm cơ bản của mạng truyền thông. Có thể hiểu một cách khái quát rằng đó chính là tập hợp tất cả các qui tắc cần thiết (các thủ tục, các khuôn dạng dữ liệu, các cơ chế phụ trợ...) cho phép các thao tác trao đổi thông tin trên mạng được thực hiện một cách chính xác và an toàn. Có rất nhiều họ giao thức đang được thực hiện trên mạng truyền thông hiện nay như IEE802.X dùng trong mạng cục bộ, CCITT dùng cho mạng diện rộng và đặc biệt là họ giao thức chuẩn của ISO (các tổ chức tiêu chuẩn hoá quốc tế) dựa trên mô hình tham chiếu bảy tầng cho việc kết nối các hệ thống mở. Trên INTERNET họ giao thức được sử dụng là bộ giao thức TCP/IP. Gần đây do sự xâm nhập của mạng INTERNET vào Việt Nam chúng ta mới được làm quen với họ giao thức này mặc dù chúng đã xuất hiện từ hơn 20 năm trước đây. Sự ra đời của họ giao thức TCP/IP gắn liền với sự ra đời của mạng INTERNET mà tiền thân là mạng ARPANet do Bộ Quốc phòng Mỹ tạo ra. Hai giao thức được dùng chủ yếu ở đây là TCP (Transmission Control Protocol) và IP (Internet Protocol). TCP/IP có một số đặc tính quan trọng sau: - Là bộ giao thức mở chuẩn, sẵn có và phát triển độc lập với phần cứng nên nó được sử dụng rộng rãi trong việc kết nối trên INTERNET. - TCP/IP độc lập với phần cứng mạng vật lý, điều này cho phép TCP/IP thích ứng được với nhiều mạng khác nhau. Nó có thể được dùng trên Ethernet, Token-ring, X25... - TCP/Ip yêu cầu phải đánh địa chỉ cho các trạm (Host) trên mạng, mục đích của việc đánh địa chỉ là đảm bảo tính duy nhất cho các trạm hoà mạng. - Các giao thức bậc cao được tiêu chuẩn hoá để thích hợp và sẵn có với người dùng. Sau khi ra đời, TCP/IP đã nhanh chóng được đón nhận và phát triển bởi nhiều nhà nghiên cứu và các hãng công nghiệp máy tính với mục đích xây dựng và phát triển một mạng truyền thông mở rộng khắp thế giới mà ngày nay chúng ta gọi là INTERNET. Phạm vi phục vụ của INTERNET không còn dành riêng cho quân sự như ARPAnet nữa mà nó đã mở rộng lĩnh vực cho mọi loại đối tượng sử dụng, trong đó tỷ lệ quan trọng nhất vẫn thuộc về giới nghiên cứu khoa học, giáo dục và thương mại. 1. Cấu trúc phân lớp của họ giao thức TCP/IP: Bộ giao thức TCP/IP trong mô hình INTERNET bốn lớp được mô tả như hình vẽ sau đây: (4) Application Layer Bao gồm các ứng dụng và các tiến trình trên mạng (3) Host to Host Transport Layer Cung cấp các dịch vụ truyền dữ liệu liên tục (2) Internet Layer Định nghĩa đơn vị truyền và có nhiệm vụ tìm đường (1) Network Access Layer Bao gồm các công việc cần thiết để truy nhập tới mạng vật lý Trong cấu trúc bốn lớp của INTERNET khi dữ liệu truyền từ lớp ứng dụng (Application) cho đến lớp truy nhập mạng (Network Access) thì mỗi lớp đều cộng thêm vào dữ liệu phần điều khiển của mình để đảm bảo cho việc truyền được chính xác. Mỗi thông tin điều khiển này được gọi là một header và được đặt ở trước phần dữ liệu được truyền. Mỗi lớp xem tất cả các thông tin mà nó nhận được từ lớp trên là dữ liệu, và đặt phần thông tin điều khiển header của nó vào phần trước phần thông tin này. Việc cộng thêm vào các header ở mỗi lớp trong quá trình truyền tin được gọi là bao bọc (Encapsulation). Quá trình nhận dữ liệu diễn ra theo chiều ngược lại, mỗi lớp sẽ tách ra phần header trước khi truyền dữ liệu lên lớp trên. Hình vẽ sau mô tả qúa trình truyền dữ liệu trong mô hình INTERNET: Data Application Layer Data Header Transport Layer Data Header Header Intenet Layer Header Header Data Header Netwrk Access Layer Send Receive Mỗi lớp có một cấu trúc dữ liệu độc lập, và mỗi lớp không hẳn biết đến cấu trúc dữ liêu được dùng ở lớp trên hay lớp dưới của nó. Trong thực tế, cấu trúc dữ liệu ở các lớp ngay cạnh để cho việc truyền dữ liệu được hiệu quả hơn. Tuy nhiên ở mỗi lớp vẫn có một cấu trúc dữ liệu riêng và có một thuật toán riêng để mô tả cấu trúc đó. Các ứng dụng dùng TCP gọi dữ liệu được truyền là một dòng dữ liệu (Stream) trong khi các ứng dụng dùng UDP (User Datagram Protocol) gọi dữ liệu được truyền là các thông báo (Message). Lớp TCP gọi tên dữ liệu được truyền là Segment còn UDP định nghĩa cấu trúc dữ liệu của nó là Packet. Lớp INTERNET xem tất cả các dữ liệu như là các khối và gọi là Datagram. Bộ giao thức TCP/IP có thể dùng nhiều kiểu khác nhau của lớp mạng vật lý (Ethernet, Token-ring, FĐI, X25...), mỗi loại có thể có một phương thức khác nhau để truyền dữ liệu. Phần lớn các mạng kết cấu phần dữ liệu truyền đi dưới dạng các packets hay là các frames, ở đây ta thừa nhận mẫu dữ liệu mà lớp mạng vật lý dưới cùng truyền đi gọi là frames. Hình vẽ sau đây mô tả cấu trúc dữ liệu dùng trong bộ giao thức TCP/IP: (4) Application Stream (3) Transport Segment/Datagram (2) Internet Datagram (1) Network Access Frame a. Lớp truy nhập mạng (Network Access Layer): Network Access Layer là lớp thấp nhất trong cấu trúc phân bậc của TCP/IP. Những giao thức ở lớp này cung cấp cho hệ thống phương thức để truyền dữ liệu trên các tầng vật lý khác nhau của mạng. Nó định nghĩa cách thức truyền các khối dữ liệu (Datagram) IP. Các giao thức ở lớp này phải biết chi tiết các phần cấu trúc vật lý mạng ở dưới nó (bao gồm cấu trúc gói của nó, địa chỉ .v.v.v..) để định dạng được chính xác các dữ liệu sẽ được truyền tuỳ thuộc vào từng loại mạng cụ thể. So sánh với cấu trúc OSI thì lớp này của TCP/IP tương đương với ba lớp Network, Datalink, và Physical trong cấu trúc OSI. Chức năng định dạng dữ liệu sẽ được truyền ở lớp này bao gồm việc đóng gói các gói dữ liệu IP vào các frame sẽ được truyền trên mạng và việc ánh xạ các địa chỉ IP vào địa chỉ vật lý được dùng cho mạng trước khi truyền xuống kênh vật lý. b. Lớp liên mạng (Internet Layer): Internet Layer là lớp ở ngay trên lớp Network Access trong cấu trúc phân lớp của TCP/IP. Internet Protocol (IP) là giao thức trung tâm của TCP/IP và là phần quan trọng nhất của lớp liên mạng (Internet) này. IP cung cấp dịch vụ lưu truyền các gói IP trên mạng. Tất cả các giao thức ở lớp trên và lớp dưới của IP đều dùng IP để truyền dữ liệu, và tất cả các dữ liệu lưu truyền qua IP, vào và ra, đều không quan tâm đến đích cuối cùng của nó. * IP bao gồm một số chức năng sau: Nó định nghĩa các khối dữ liệu (Datagram), đây là khối cơ bản của việc truyền tin. Định nghĩa hệ thống địa chỉ INTERNET (IP Address). Truyền dữ liệu giữa lớp Transport và lớp Network Access. Định tuyến đường để gửi các gói dữ liệu đến các trạm ở xa. Thực hiện việc phân mảnh và hợp nhất (Fragmentation - reassembly) các khối dữ liệu. Cấu trúc dữ liệu được truyền ở lớp IP được định nghĩa là các Datagram. Mỗi Datagram có một header chứa các thông tin cần thiết để truyền dữ liệu đi. Trong phần header này có chứa địa chỉ đích, và IP sẽ truyền dữ liệu bằng cách kiểm tra địa chỉ đích này. Địa chỉ đích bao gồm 32 bit địa chỉ IP dùng để xác định mạng đích và trạm ở trên mạng đích đó. Nếu địa chỉ đích là địa chỉ của một trạm nằm trên cùng một mạng với máy nguồn thì các gói dữ liêụ sẽ được truyền thẳng tới đích, còn nếu địa chỉ đích không nằm trên cùng một mạng với máy nguồn thì các gói dữ liệu phải được gửi đến một cổng truyền (gateway) để truyền đi. (Trong đó gateway lưu truyền các gói dữ liệu nằm giữa hai mạng vật lý khác nhau). Hình vẽ sau đây minh hoạ khuôn dạng của một gói dữ liệu lưu truyền ở lớp IP: | 0 | 4 | 8 | 16 | 20 | 24 | 28 | 31 Version | IHL | Type of service | Total length Identification | Flags | Fragment Offset Time to live | Protocol | Header Checksum Source Address Destination Address Options | Padding Data begin here... - Trường Version dùng để chỉ Version của IP được dùng. - Trường IHL chỉ độ dài của header, độ dài của header được đánh giá bởi các từ 32 bit. Nếu không có trường này thì độ dài ngầm định của header là 5 từ. Trường này gồm có 8 bit. - Trường Total Length: trường Total Length chứa độ dài của các gói, được đo dưới dạng các octet, bao gồm cả phần header lẫn phần dữ liệu của mỗi gói dữ liệu. - Trường Identification dùng để xác định một fragment thuộc vào gói nào. Để tìm hiểu thêm về IP, ta hãy xem cấu trúc địa chỉ mà nó sử dụng (thường gọi là IP Address). Để đảm bảo cho tất cả các trạm trên mạng được định danh một cách duy nhất, IP sử dụng 32 bit cho mỗi địa chỉ. Để tiện cho việc quản lý người ta chia địa chỉ IP thành các lớp (Class), mỗi lớp địa chỉ tương ứng với một kích thước mạng khác nhau và số lượng các trạm làm việc nối vào. - Nếu như bit đầu tiên của địa chỉ là 0 thì nó là địa chỉ thuộc lớp A. Bit đầu tiên của địa chỉ lớp A xác định địa chỉ, bảy bit tiếp theo xác định địa chỉ mạng, và 24 bit cuối cùng xác định địa chỉ của các trạm. Như vậy với điạ chỉ ở lớp A thì chỉ đánh địa chỉ cho 128 mạng, nhưng mỗi mạng có thể bao gồm hàng triệu trạm. - Nếu hai bit đầu tiên của địa chỉ là 1 0, thì địa chỉ này là thuộc vào lớp B. Trong lớp B, hai bit đầu tiên được dùng để xác định lớp địa chỉ, 14 bit tiếp theo xác định địa chỉ mạng, và 16 bit cuối cùng xác định địa chỉ của trạm. Như vậy, nếu dùng địa chỉ lớp B thì có thể đánh địa chỉ được cho hàng ngàn mạng, mỗi mạng có hàng ngàn trạm. - Nếu ba bit đầu tiên của địa chỉ là 1 1 0. thì địa chỉ này thuộc vào lớp địa chỉ C. Trong địa chỉ lớp C thì ba bit đầu tiên được dùng để xác định lớp địa chỉ, 21 bit tiếp theo dùng để xác định địa chỉ mạng, và ba bit tiếp theo dùng để xác định địa chỉ mạng, và tám bit cuối cùng dùng để xác định địa chỉ cho các trạm. Dùng địa chỉ lớp C ta có thể đánh địa chỉ cho hàng triệu mạng, nhưng mỗi mạng chỉ có thể bao gồm ít hơn 254 trạm. - Nếu ba bit đầu của địa chỉ là 1 1 1, thì nó là một địa chỉ dự trữ đặc biệt. Các địa chỉ này đôi lúc còn được gọi là địa chỉ lớp D. Phần địa chỉ này được dùng để dự trữ cho một số mục đích đặc biệt, chẳng hạn như dùng để đánh địa chỉ cho một nhóm các máy tính, mà các máy tính này có phần giao thức dùng chung, do đó ta có thể không cần quan tâm nhiều tới lớp địa chỉ này. Hình sau sẽ cho thấy cấu trúc của ba lớp địa chỉ A B C được sử dụng trong IP: 19 0 104 26 8network bits 24 host bits 0 0 1 1 16 178 1 12 66 128 Class A Class B Class C 0 1 1 16 network bits 16 host bits 192 24 network bits 8 host bits Trong thực tế, địa chỉ IP thường được viết dưới dạng bốn chữ số ở dạng cơ số 10, các số này phân cách nhau bởi dấu “.”. Mỗi một số là nằm trong khoảng từ 0 cho đến 255. Vì vậy, dựa vào chữ số đầu tiên ta có thể nói rằng: - Nhỏ hơn 128 là địa chỉ lớp A. Byte đầu tiên là địa chỉ mạng, ba byte còn lại là địa chỉ của trạm. - Từ 128 cho đến 191 là địa chỉ lớp B. Hai byte đầu xác định địa chỉ mạng, hai byte tiếp theo xác định địa chỉ trạm. - Từ 192 cho đến 233 là địa chỉ thuộc lớp C. Ba byte đầu xác định địa chỉ mạng, một byte cuối cùng xác định địa chỉ của các trạm. - Lớn hơn 233 là các địa chỉ được dự trữ cho các mục đích đặc biệt và ta có thể không cần quan tâm đến. Ví dụ: 00001010000000000000000000001000 = 1.0.0.0.8 Địa chỉ này thuộc lớp A với : địa chỉ mạng = 10 địa chỉ trạm = 0.0.8 Để tiện cho việc thực hiện các phương cách tìm đường trên mạng và đánh địa chỉ cho các mạng nhỏ hơn nữa (đặc biệt là trong công nghệ Intranet), người ta đưa ra khái niệm Subnet Mask. Subnet Mask cũng giống như địa chỉ IP bao gồm 32 bit. Mục đích của địa chỉ Subnet Mask là để có thể chia nhỏ một địa chỉ IP thành các mạng nhỏ hơn và theo dõi vùng nào trên địa chỉ IP dùng để làm địa chỉ cho mạng con (còn được gọi là các Subnet) đó, vùng nào dùng làm địa chỉ cho các trạm làm việc. Nội dung của một Subnet Mask được quy định như sau: Các bit 1: dùng để chỉ định địa chỉ mạng trên địa chỉ IP. Các bit 0: dùng để chỉ định địa chỉ trạm làm việc trên địa chỉ IP. Từ địa chỉ IP ta thực hiện phép toán logic AND với địa chỉ Subnet Mask kết quả tạo ra sẽ được địa chỉ mạng nơi đến. Kết quả này được sử dụng để tìm bước tiếp theo trong thuật toán tìm đường trên mạng. Nếu kết quả này trùng với địa chỉ mạng tại trạm đang làm việc thì sẽ xét tiếp địa chỉ trạm làm việc để truyền đi. Theo cấu trúc của Subnet Mask ta nhận thấy rằng tất cả các trạm làm việc trong cùng một mạng con sẽ có cùng giá trị Subnet Mask. Với phương pháp này số bit dùng để đánh địa chỉ host có thể nhỏ hơn 8 bit (lớp C) tức là 1 địa chỉ lớp C có thể được phân nhỏ hơn nữa và khi đó các mạng con này thường được xác định bởi các địa chỉ có thêm phần chú thích số bit dành cho địa chỉ mạng, ví dụ 203.160.0.0/25 mô tả subnet 203.160.0.0 (thuộc lớp C) nhưng có 25 bit dùng cho địa chỉ mạng và 7 bit dùng cho địa chỉ host tức là subnet này chỉ có tối đa là 128 host chứ không phải là 256 nữa. Trong hệ thống địa chỉ Subnet này như sau: 11001011101000000000000000000000 tương ứng với 203 . 160 . 0 . 0 nhưng Subnet Mask của nó sẽ là 11111111111111111111111110000000 tương ứng với 255 . 255 . 255 . 128 Hình vẽ sau sẽ mô tả tổng quát việc chia nhỏ một địa chỉ thành các Subnet bằng cách sử dụng Subnet Mask. 203.160.0.0/24 203.160.0.0/24 203.160.0.0/24 0/26 64/26 32/27 0/27 0/28 16/28 32/28 48/27 64/27 96/27 64/26 ... ... ... ... 128/27 ... ... 160/28 128/27  Trong tất cả các lớp địa chỉ mạng cũng như các Subnet, các địa chỉ đầu và cuối của mạng được dùng vào mục đích riêng. Một địa chỉ IP cùng với tất cả các bit địa chỉ trạm có giá trị là 0 (địa chỉ đầu mạng) được dùng để chỉ chính mạng đó (hay địa chỉ xác định mạng). Ví dụ như địa chỉ 203.160.1.0 được dùng để chỉ mạng 203.160.1.0. Còn nếu tấtcả các bit địa chỉ trong phần địa chỉ của trạm đều có giá trị là 1 (địa chỉ cuối mạng) thì địa chỉ này được dùng làm địa chỉ quảng bá - broadcast (Một địa chỉ broadcast được dùng để đánh địa chỉ cùng một lúc cho tất cả các trạm trong một mạng, nó được dùng để cho phép thông báo cho nhiều trạm cùng một lúc). Ví dụ như địa chỉ broadcast của mạng 203.160.0.0 là 203.160.0.255. Một gói dữ liệu gửi đến địa chỉ này sẽ được truyền đến tất cả các trạm trên mạng này. IP là giao thức cung cấp dịch vụ truyền thông theo kiểu “không liên kết” (Connectionless) hay còn gọi là dịch vụ Datagram (tên gọi của đơn vị dữ liệu sử dụng giao thức IP). Phương thức không liên kết cho phép cặp đối tác không cần phải thực hiện việc thiết lập liên kết trước khi truyền dữ liệu và do vậy cũng không cần phải giải phóng liên kết khi không còn nhu cầu truyền dữ kiệu nữa. Điều đó làm giảm nhẹ công sức cài đặt hệ thống nhưng tăng độ phức tạp kiểm soát luồng dữ liệu và tiếp nhận sự đúng đắn dữ liệu trong trường hợp nhiều người sử dụng đồng thời trên mạng. Việc phân mảnh các gói dữ liệu: Trong qua trình truyền dữ liệu, một gói dữ liệu (datagram) có thể được truyền đi thông qua nhiều mạng khác nhau. Một gói dữ liệu nhận được từ một mạng nào đó có thể quá lớn để truyền đi trong gói đơn ở trên một mạng khác, bởi mỗi loại cấu trúc mạng là cho phép một đơn vị truyền cực đại (Maximum Transmission Unix), hay còn gọi là MTU, khác nhau. Đây chính là kích thước lớn nhất của một gói mà chúng có thể truyền. Nếu như một gói dữ liệu nhận được từ một mạng nào đó mà lớn hơn MTU của một mạng khác thì nó cần phân mảnh ra thành các gói nhỏ hơn, gọi là fragment, để truyền đi, quá trình này gọi là quá trình phân mảnh. Dạng của một fragment cũng giống như dạng của một gói dữ liệu thông thường. Từ thứ hai trong phần header chứa các thông tin để xác định mỗi fragment và cung cấp các thông tin để hợp nhất các fragment này lại thành các gói như ban đầu. Trường Identification dùng để xác định fragment này là thuộc vào gói dữ liệu nào. ICMP (Internet Control Message Protocol) Đây là một giao thức của lớp IP, nó dùng các gói dữ liệu IP để gửi đi các thông điệp của nó. ICMP gửi các thông điệp như điều khiển dòng truyền, báo lỗi... - Điều khiển dòng truyền (Flow Control): Khi các gói dữ liệu đến quá nhanh, trạm đích hoặc một gateway ở giữa sẽ gửi một thông điệp ICMP trở lại nơi gửi, thông điệp này nói với nơi gửi tạm thời ngừng việc gửi dữ liệu lại. - Thông báo lỗi: Trong trường hợp địa chỉ đích là không với tới được thì hệ thống sẽ gửi một thông báo lỗi “Destination Unreachable”. Nếu địa chỉ đích không thể với đến là một mạng hay một trạm thì thông điệp này sẽ được gửi bởi một gateway ở giữa. Nhưng nếu địa chỉ đích là một cổng không thể với đến thì chính trạm đích sẽ gửi thông điệp báo lỗi này. - Đổi hướng các tuiyến đường: một gateway sẽ gửi một thông điệp ICMP “Redirect Router” để nói với một trạm là nên dùng gateway khác bởi vì dùng gateway này là một lựa chọn tốt hơn. Thông điệp này có thể chỉ được dùg khi mà trạm nguồn là ở trên cùng một mạng với cả hai gateway. - Kiểm tra các trạm ở xa: một trạm có thể gửi một thông điệp ICMP “Echo” đi để biết được liệu một trạm ở xa có đang mở và hoạt động hay không. Khi một hệ thống nhận được một thông điệp “Echo”, nó gửi trả lại một gói tương tự quay trở lại trạm nguồn. c. Lớp vận chuyển (Transport Layer) Lớp giao thức nằm ngay trên lớp IP là Transport (lớp truyền tin). hai giao thức quan trọng nhất trong lớp này là TCP (Transmission Control Protocol) và UDP (User Datagram Protocol). TCP cung cấp dịch vụ truyền dữ liệu đwocj tin tưởng với khả năng phát hiện lỗi và sửa lỗi theo kiểu end-to-end. Còn UDP cung cấp các chương trình ứng dụng thâm nhập trực tiếp đến các dịch vụ lưu truyền datagram, điều này cho phép trao đổi các thông điệp ra ngoài mạng với một số lượng nhỏ các giao thức. Cả hai giao thức này đều truyền dữ liệu giữa lớp ứng dụng và lớp Internet. Dạng thông điệp của TCP: Các thông điệp của TCP đều có dạng như sau: 0 15 16 31 Source port Destination Sequence Acknowkedgement Number Offset Reserved U R G a c K p s h r s t s y n f i n Window Checksum Urgent Options Padding Data begins here... Trong đó: * Source port và Destination port: xác định các cổng nguồn và đích của các dịch vụ. * Sequence: là byte liên hệ bù đắp cho byte đầu tiên trong thông điệp hiện thời. Đây là một số 32-bit có thể thay đổi được dùng để thực hiện việc điều đình khi TCP mở một kết nối với một TCP ở xa. * Acknowledgement: đây là byte được dùng để TCP gửi thông điệp. TCP dùng trường này để báo cho biết liệu dữ liệu có được nhận thành công hay không. Trường này sẽ được kiểm tra khi cờ ACK được dựng. * Offset: trường này nói với người nhận nơi phần dữ liệu người dùng bắt đầu và gián tiếp nói độ dài của bất kỳ chọn lựa TCP nào ở vào cuối phần header. * Reserved: luôn luôn được đặt là 0. Trường này được dự trữ cho tương lai. Các cờ: - URG: cờ này được đặt sẽ nói cho bên nhận TCP rằng trường Urgent cho biết vị trí byte trong dòng dữ liệu của dữ liệu nên được giải quyết trước so với các dữ liệu khác trong thông điệp. - ACK: cờ này được thiết lập cho mục đích dùng trường Acknowledgement. - PSH: trường này nói rằng một thông điệp được nhận nên được gửi đến tiến trình kết hợp với một sự khết nối được thiết lập ngay lập tức. - RST: cờ này chỉ ra rằng việc kết nối nên được reset trở lại khi phần mềm hoặc phần cứng bị hỏng. - SYN: được dùng lúc ban đầu khi setup việc kết nối. - FIN: chỉ ra rằng người gửi không còn thêm dữ liệu để truyền tiếp. Khi cờ này được gửi đi thì việc kết nối đóng một nửa, trong trường hợp này người nhận FIN có thể tiếp tục gửi dữ liệu nhưng sẽ không nhận thêm bất kỳ gói dữ liệu nào từ người gửi. Chỉ đến khi người nhận gửi FIN thì sự kết nối mới thực sự đóng. * Window: chỉ ra số các byte dữ liệu được chấp nhận. TCP dùng trường này để điều khiển dòng truyền và quản lý buffer. * U rgent: đây là byte đăng ký dữ liệu nào trong thông điệp nên được xử lý trước tiên. * Options: biến các tuỳ chọn của TCP. * Data: phần data của người dùng. Dạng thông điệp của UDP: Các dạng thông điệp của UDP đều có dạng chung như sau: 0 15 16 31 Source port Destination port Length Checksum Data d. Lớp ứng dụng (Application Layer): Lớp ứng dụng là lớp giao thức cao nhất nằm trong cấu trúc phân lớp của INTERNET. Lớp này bao gồm tất cả các tiến trình dùng các giao thức của lớp transport để truyền dữ liệu. Có nhiều giao thức ứng dụng ở lớp này, phần lớn là nhằm cung cấp cho người dùg các dịch vụ ứng dụng. Các dịch vụ thông dụng trên lớp này đều đã được đề cập đến trong phần giới thiệu về INTERNET như: - Telnet: cung cấp khả năng truy cập từ xa thông qua mạng. - FTP: dùng để truyền file trên mạng. - SMTP (Simple Mail Transfer Protocol): truyền thư điện tử. - RIP (Routing Information Protocol): dùng để trao đổi thông tin chọn đường. 2. Một số các ứng dụng trên TCP/IP giúp cho việc kiểm tra, quản lý các dịch vụ trên Internet. Để kiểm tra và quản lý các dịch vụ trên INTERNET, TCP/IP đã đưa ra một số các ứng dụng để trợ giúp cho các nhà quản trị hệ thống như: - tcpd: tcpd là một chương trình ứng dụng củaTCP/IP giúp cho việc quản lý một số các dịch vụ trên INTERNET như : Telnet, FTP, Rlogin, Talk... Hoạt động củat tcpd là: khi có một yêu cầu đối với một dịch vụ INTERNET đến, tcpd trước tiên sẽ chạy thay thế cho các dịch vụ đó. tcpd tiếp nhận yêu cầu và thực hiện một số các công việc kiểm tra. Nếu tất cả là tốt thì khi đó tcpd sẽ gọi chạy chương trình dịch vụ tương ứng và rút lui khỏi dịch vụ này. - ethernetfind: ethernetfind là trình ứng dụng cho phép người quản trị hệ thống nhận biết tất cả các gói dữ liệu ddang lưu truyền trên ethernet. Ví dụ như để có thể biết tất cả các gói dữ liệu đang lưu truyền giữa hai trạm taydo và hanoi trên ethernet ta có dùng ethernètind với cấu trúc như sau: ethernet between taydo hanoi Lúc đó ta có thể kiểm tra các gói dữ liệu lưu truyền giữa hai trạm này với nhau. - ping: gửi một thông điệp ICMP echo đến một hệ thống ở xa. Khi dùng lệnh này, một chuỗi các thông điệp sẽ được gửi đi và nhận về do đó lệnh ping rất hay dùng để kiểm tra liệu kênh truyền hoặc host đó có hoạt động hay không. - rpcinfo: xem thông tin vào các chương trình đang hoạt động trên một trạm cục bộ hay một trạm ở xa. - traceroute: gửi một chuỗi các gói dữ liệu (datagram) cùng với các trường Time-to-live khác nhau. các thông điệp ICMP sẽ được trả vào từ mỗi router trên đường truyền đến đích. - finger: finger là một giao thức ứng dụng của TCP/IP. Nó được dùng để nhận các thông tin vào một người dùng độc lập hoặc một người dùng đang thâm nhập hệ thống của mình. - w: w là một ứng dụng cho phép hiển thị thông tin vào các người dùng đang thâm nhập vào máy, cùng với các tiến trình của họ. Trình ứng dụng w được viết bởi Larry Greenfield và Michael K.Johnson. - ps: ps là một chương trình ứng dụng quan trọng cho phép ta kiểm tra các tiến trình đang được thực hiện. Dựa vào ứng dụng này ta có thể quản lý được dễ dàng các tiến trình đang được tiến hành trên hệ thống của chúng ta. Tóm lại TCP/IP là một bộ giao thức mở chuẩn có khả năng tương thích với nhiều mạng vật lý, các tính năng của TCP/IP đã được hoàn thiện dần và trở thành một bộ gia thức được dùng rộng rãi như một ngôn ngữ chung để kết nối các máy tính trên khắp thế giới với nhau. Chương iii Mạng trục internet việt nam (VNN) Tháng 9 năm 1997, Việt Nam tham gia kết nối vào mạng INTERNET toàn cầu như một thành viên chính thức. Có nghĩa là chúng ta có địa chỉ riêng cung cấp và truy nhập thông tin trên mạng. Cho đến nay việc cung cấp ứng dụng INTERNET đã được cơ quan chủ quản là: VNPT (Tổng công ty Bưu chính viễn thông Việt Nam) tổ chức quản lý đến từng thuê bao trên mạng. Cụ thể VNPT giao cho Công ty Điện toán và Truyền số liệu (VDC) trực tiếp quản lý cấp phát địa chỉ và các dịch vụ vho người sử dụng thông qua các ISP, các mạng dùng riêng và các thuê bao tại bưu điện tỉnh, thành phố trực thuộc trung ương. Cùng với VNPT còn có Bộ Nội vụ, Bộ Văn hoá - Thông tin tham gia lập thành Ban điều phối Quốc gia. Trước khi trình bày một cách đầy đủ về tổ chức quản lý, cấu hình mạng VNN, xin được nêu ra một vài tư liệu cơ bản về mạng INTERNET trên thế giới. I. Mạng internet toàn cầu 1. Tổ chức của INTERNET. Tổ chức mạng INTERNET bao gồm các Uỷ ban, các nhóm đặc trách quản lý thống nhất trong toàn hiệp hội và theo từng khu vực. Cụ thể như sau: * Hiệp hội INTERNET (ISOC - Internet Society) * Uỷ ban kiến trúc mạng (IAP - Internet Architecture Broad) Nhóm nghiên cứu phát triển INTERNET (IRTF) Nhóm đặc trách kỹ thuật cho mạng (IETF) Trung tâm thông mạng (NIC - Net work information Center) Tại Châu á, Thái Bình Dương là APNIC NIC chịu trách nhiệm phân tên và địa chỉ cho các mạng máy tính. Sơ đồ dưới đây sẽ cho thấy rõ hơn về tổ chức của INTERNET: ISOC IAB NIC IRTF APNIC ...NIC IETF Sơ đồ 3.1 Tổ chức của INTERNET 2. Các đối tượng tham gia INTERNET. Các đối tượng tham gia vào mạng INTERNET rất đa dạng nhưng có thể tập trung thành các lĩnh vực chính dựa vào mục đích tham gia như: quân sự, thương mại quản lý nhà nước, giáo dục, và các thành phần khác. Tỉ lệ tham gia vào mạng INTERNET của các thành phần được biểu diễn trong hình dưới đây (Theo thống kê của viễn thông úc năm 1999). 3. Cấu trúc mạng INTERNET Cấu trúc mạng INTERNET bao gồm các nhà cung cấp cửa truy nhập INTERNET (IAP), các nhà cung cấp dịch vụ INTERNET (ISP) và những người sử dụng thông qua mạng truyền thông. Có thể biểu diễn cấu trúc mạng như sau: Nhà cung cấp dịch vụ INTERNET (ISP) Nhà cung cấp dịch vụ INTERNET (ISP) Mạng truyền số liệu công cộng Mạng điện thoại công cộng Modem Nhà cung cấp cửa truy nhập INTERNET (IAP) Người sử dụng Mạng dùng riêng Sơ đồ 3.2: Cấu trúc INTERNET 4. Các con số về mạng INTERNET trên thế giới. Sau đây là những con số được thống kê đến hết năm 1999 của mạng INTERNET (theo thống kê của Viễn thông úc): - Số máy chủ kết nối vào mạng : 8,9,triệu. - Số nuoc sử dụng : 123 nuoc - Số người sử dụng : hơn 130 triệu. - Số mạng máy tính trên INTERNET: 200.000 *Trung bình cứ 20 phút có một mạng máy tính tham gia INTERNET. * Mức tăng trưởng hàng năm : Hơn 120%. II. Mạng internet việt nam (Vnn) 1. Tổ chức mạng INTERNET Việt Nam. Như đã nói ở phần đầu, mạng INTERNET Việt Nam VNPT giao cho Công ty Điện toán và Truyền số liệu trực tiếp khai thác, quản lý và cung cấp cho khách hàng với sự tham gia của các bộ, ngành liên quan. Công ty Điện toán và Truyền số liệu là đầu nối chịu trách nhiệm trước khách hàng, có sự hỗ trợ của các Bưu điện địa phương. Sơ đồ dưới đây khái quát cách tổ chức của mạng INTERNET Việt Nam: Sơ đồ 3.3 – Tổ chức Intrnet Việt Nam Người sử dụng đơn vị có IAP mạng dùng riêng WWW đơn vị kinh IAP doanh cung ISP cấp dịch vụ ICP UBND Tỉnh, TP trực thuộc TƯ Bộ nội vụ Bộ văn hóa Thông tin Tổng cục Bưu điện Ban điều phối quốc gia 2. Cấu hình mạng INTERNET Việt Nam. Cấu hình mạng INTERNET Việt Nam (Backbone Network Configuration) được trình bày trong hình 3.2. Qua đó ta thấy mạng trục bao gồm: Hai cổng nối kết vào mạng INTERNET toàn cầu đặt tại Hà Nội và TP.Hồ Chí Minh cửa nối với quốc tế thông qua vệ tinh. Tốc độ đường truyền: - Tại Hà Nội : 256 Kbps - Tại TP. Hồ Chí Minh : 64Kbps Hai bộ định tuyến (Gateway) tại hai cửa ngõ này dùng loại gateway - CISCO 4700M. Ngoài ra còn một đường cáp tốc độ 2Mbps tại mỗi cửa. Trước khi thông tin vào bộ tập trung (HUB) chúng được kiểm tra bằng một bức tường lửa (Firewall). Bộ tập trung (HUB). - Tại Hà Nội: CISCO CATALYST 5.000 bao gồm: * Máy chủ quản lý tên (miền) địa chỉ: (DNS) SUN SPARC 4. * Máy chủ quản lý truy nhập : (TACAS SERVER) SUN SPARC 4. * Hệ thống quản lý mạng: (NMS) SUN ULTRA. * Hệ thống tính cước và quản lý ứng dụng (BILLING AND APPLICATION SERVER) SUN ULTRA. - Tại TP. Hồ Chí Minh: CISCO CATALYST 1900 gồm: * Máy chủ quản lý tên (miền) địa chỉ: SUN SPARC 20. * Hệ thống quản lý ứng dụng (WEB - MAIL TACAS SERVER) SUNSPARC 20. bộ tập trung có hai đường truyền. - Một vào bộ quan lý truy nhập gián tiếp (ACCESS SERVSER) AS 5100 - Một tới bộ định tuyến (Router). Tại Hà Nội : Router CISCO 7513. Tại TP. HCM : Router CISCO 4700M Hai Router này nối với nhau bằng trung kế (TRUNK) 2Mbps đồng thời cùng nối với mạng chuyển mạch goí (PSDN) bằng đường dự phòng 128Kbps. Hai ACCESS SERVER được nối vào mạng điện thoại công cộng qua trung kế thoại và nối vào mạng chuyển mạch gói bằng đường truyền 128Kbps. Người sử dụng kết nối vào mạng thông qua mạng điện thoại công cộng và mạng chuyền mạch gói. Khi người sử dụng đầu cuối muốn tham gia kết nối vào mạng điện thoại công cộng họ cần phải sử dụng một Modem tốc độ tối thiểu 9600Kbps. 3. Các thiết bị phụ trợ kết nối: NTU (Network Transfer Unit): NTU (Network Transfer Unit) là thiết bị đảm bảo sự nối kết trong suốt giữa thiết bị đầu cuối (DTE - Data Terminal Equipment) của người dùng và mạng dữ liệu số (DDN - Digital Data Network) thông qua đường thuê bao chuyên dụng số (Leased Line). Các kỹ thuật phân thời gian, phân tần số cho phép một đường cáp đơn cung cấp một số lượng kênh cho người sử dụng. Loại DS-0 (fractional T1) có tốc dộ 64 Mb/sec bằng một kênh điện thoại. DS - 1 (T1) có tốc độ 1.544 Mb/sec bao gồm 24 kênh DS-0 v.v... NTU có thể được kết nối với nhau qua đường Leased Line theo các mô hình: Modem vô tuyến: Modem vô tuyến AirLink S-Band cung cấp một kết nối không dây để truyền dữ liệu, sử dụng kỹ thuật dải rộng trong băng sóng 2400 - 2483.5. MHz. Modemm hỗ trợ đường truyền song công đồng bộ ở tốc độ từ 1.2 - 64 Kbps và từ 1.2 - 19.2 Kbps không đồng bộ. Các tính năng của thiết bị: - Khoảng cách giữa 2 đầu liên kết đạt được từ 35 - 50 km. - Tần số làm việc từ 2.4 - 2483.5 GHz. - Có thể hoạt động theo cá mô hình kết nối điểm tới điểm (point to point) hoặc điểm tới nhiều điểm (point to multipoint). - Các giao thức là trong suốt đối với trạm làm việc. - Sửa lỗi. - Nhiều kênh chuyển đổi được. - Nguồn nuôi thay đổi được. - Chức năng lặp lại tín hiệu phục vụ cho viẹc mở rộng hệ thống mạng. - Anten vô hướng hoặc có hướng. - Các đèn LED chỉ thị nguồn nuôi, đồng bộ và chất lượng tín hiệu. - Các cổng giao tiếp DTE loại RS-232, V.11/V.35 và EIA-530. - Tín hiệu đồng hồ nội bộ hoặc lấy từ mạng về. - Điều chỉnh được khoảng thời gian trễ RTS - CTS. Modem vô tuyến AirLink được chế tạo để hoạt động như một modem hữu tuyến đa điểm thông thường và có thể thay thế modem thường mà không hề ảnh hưởng gì đến các chương trình ứng dụng của người dùng. Modem song công có thể hoạt động trong cả môi trường điểm-tới-điểm (point to point) và điểm-tới -nhiều điểm (point to multipoint). Modem có thể được cấu hình thành máy chủ (master) hoặc máy tớ (slave). Trong cấu hình điểm-tới-nhiều điểm điển hình thì có một máy chủ và nhiều máy tớ dùng chung một kênh RF. Nếu chỉ có một máy tớ thì hệ thống trở thành điểm-tới-điểm. Khoảng cách giữa 2 modem vô tuyến phổ biến là dưới 15km. Khoảng cách xa nhất có thể đạt được là 50km với anten định hướng tầm xa (high-gain) đặt ở trên cao tại cả 2 phía thu và phát. Với cự ly trên dưới 15km có thể sử dụng anten vô hướng tầm xa tại trạm chủ và anten định hướng tại các trạm tớ. - Kết nối điểm-tới-điểm: Trong kết nối điểm-tới-điểm chỉ có một máy chủ nối với một máy tớ bằng sóng điện từ (hình 4.4) Máy chủ phát tín hiệu đồng bộ đồng hồ burst, máy tớ thu nhận, đồng bộ hoá theo xung nhịp này và phát tín hiệu xung đáp lại. Cơ cấu này tạo ra đường truyền song công đồng bộ. Các modem AirLink có thể được dùng để nối rất nhiều thiết bị với nhau bằng sóng điện từ (ví dụ: nối máy tính với máy in...) hoặc làm cầu nối giữa các mạng cục bộ (trong một toà nhà hoặc giữa các toà nhà với nhau...) - Kết nối điểm-tới-nhiều điểm: Với mô hình liên kết này, một trạm chủ có thể được nối với 2 hoặc nhiều thiết bị đầu cuối (terminal) khác nhau. Các đầu cuối này được điều khiển bởi trạm chủ bằng thủ tục hỏi vòng (polling) mà trong trường hơpj này là tiến trình đánh địa chỉ các đầu cuối bởi một phần mềm chạy trên trạm chủ. Thực chất đây là tập hợp của nhiều liên kết điểm-tới-điểm giữa trạm chủ và từng đầu cuối với đường truyền song công đồng bộ. Xung đồng bộ được máy chủ phát đi và tất cả các máy tớ đều điều chỉnh nhịp đồng bộ theo xung này. Slave Terminal Host Master Slave Slave Terminal Terminal Hình 3.6 - Kết nối điểm – tới – nhiều điểm. - Chế độ lặp lại tín hiệu (repeater) Khi khoảng cách yêu cầu kết nối trở nên quá lớn hoặc trên đường truyền có các chướng ngại vật lớn, thì có một giải pháp là cấu hình cho modem chạy ở chế độ lặp lại tín hiệu. Ví dụ, một liên kết điểm-tới-điểm có thể được tiếp sức ở giữa quãng đường bằng cách nối máy tớ với một máy chủ chạy ở chế độ lặp lại tín hiệu và sử dụng kênh RF khác (hình 4.6). Số lượng các trạm lặp phụ thuộc vào số lượng kênh sóng cho phép, các anten và địa hình. Để thực hiện kết nối này ta phải thiết lập một vùng lặp (repeater site). Trong vùng lặp có 2 modem, 1 chủ và 1 tớ hoạt động ở 2 kênh sóng RF khác nhau. Dữ liệu được truyền giữa 2 modem này qua một sợi cáp xoắn. Mặc dù modem có thể hoạt động được cả ở 2 chế độ đồng bộ và không đồng bộ nhưng trong vùng lặp thì tín hiệu bắt buộc phải là đồng bộ. Thiết bị định tuyến (router): Trong hệ thống chuyển mạch gói routing là cụm từ chỉ việc chọn đường gửi các gói dữ liệu qua mạng, trạm định tuyến (router) - hay thiết bị định tuyến - là các trạm đặc biệt thực hiện chức năng này. Một Router có thể là một thiết bị cứng chuyên dụng hoặc có thể là một phần mềm chạy trên một máy PC (chạy hệ điều hành UNIX, MS-DOS, WINDOWS, MACINTOS...). Các gói dữ liệu lưu chuyển trong một liên mạng (INTERNET - mạng của các mạng), đi từ Router này đến Router khác cho tới khi chúng đến được đích. Router phải tiến hành tác vụ định tuyến cho mỗi gói nó nhận được, nó phải quyết định xem bằng cách nào có thể đưa gói đến đích. Thông thường các gói không hề chứa đựng bất kỳ một thông tin nào giúp cho Router ngoại trừ địa chỉ IP của đích, nó chỉ cho biết nơi nó muốn đến chứ không phải bằng cách nào. Router thông tin với nhau bằng cách sử dụng các “giao thức định tuyến” như RIP và OSPF để xây dựng các bảng định tuyến trong bộ nhớ và tìm đường để đưa gói đến đích. Trong một mạng lớn có rất nhiều các kết nối vật lý giữa các chuyển mạch gói, một mạng có thể tự nó có khả năng điều khiển một gói dữ liệu từ lúc nó được gửi đi cho đến khi nó được nhận. Những thuật toán chọn đường ở trong một mạng thì chỉ có tác dụng ở chính bên trong mạng, các máy ở ngoài không thể can thiệp vào các quyết định này. Các mạng ở ngoài chỉ có thể coi mạng này như một thực thể phân phát gói dữ liệu. Bộ giao thức TCP/IP cung cấp cho ta một mạng ảo cùng với dịch vụ cung cấp gói phân phát gói dữ liệu IP truyền qua mạng. Chọn đường cho các gói dữ liệu trong mạng INTERNET là một công việc khó khăn, đặc biệt là giữa các máy tính có nhiều mối liên kết ra ngoài. Mỗi khi gói dữ liệu được truyền đến, router xác định các thông tin về tình trạng của các kết nối với bên ngoài, cập nhập lại bảng chọn đường, đồng thời cũng xác định chiều dài các gói dữ liệu (datagram length), loại dịch vụ (type of service)... được xác định ở trong header của gói dữ liệu trước khi lựa chọn con đường tốt nhất. Khi định tuyến cho một gói, Router so sánh địa chỉ của gói với các chỉ mục (entry) trong bảng định tuyến và gửi gói dữ liệu đi theo hướng được chỉ ra bởi bảng định tuyến. Trên thực tế thường không có một tuyến xác định cho từng đích cụ thể và Router sẽ sử dụng tuyến mặc định, nói chung là các tuyến này thường chỉ đến một Router khác có kết nối mạng rộng rãi hơn (đa số các mạng cục bộ có tuyến mặc định chỉ ra INTERNET) Là một thiết bị không thể thiếu được trong kỹ thuật kết nối hệ thống Intranet/Internet và với mức độ phức tạp trong hoạt động nhằm đảm bảo cho quá trình truyền dữ liệu được an toàn thông suốt nên việc cài đặt và xây dựng cấu hình cho thiết bị định tuyến trở thành hết sức quan trọng. Công việc này đòi hỏi một quá trình nghiên cứu, thử nghiệm kỹ lưỡng để đạt được hiệu quả tối đa. Chương iv Xây dựng internet firewall Khái niệm về hệ thống mạng INTERNET ngày nay đã trở nên quá quen thuộc đối với mọi người đến mức các sách báo thông thường (không phải chuyên môn, kỹ thuật) khi đề cập đến INTERNET không còn cần phải đưa thêm các lời chú giả kèm theo. Trong khi các ấn bản phổ thông thường xuyên đưa tin xoay quanh chủ đề INTERNET thì các ấn bản kỹ thuật lại chuyển sang một đề tài mời, đó là vấn đề an ninh trên mạng. Xa lộ thông tin INTERNET là một tiến bộ phi thường của kỹ thuật hiện đại, nó cung cấp cho con người khả năng truy nhập thông tin một cách nhanh chóng, tiện lợi và khả năng quảng bá thông tin đến mọi nơi trên tế giới trong khoảng thời gian ngắn nhất. Tuy nhiên như người ta thường nói INTERNET giống như một xã hội thu nhỏ có đủ mặt tốt và những mặt xấu. Chúng ta không thể không đề cập đến mặt trái của INTERNET, đó là hiểm hoạ đáng sợ của việc đánh cắp và phá huỷ thông tin cũng như việc tuyên truyền, phổ biến những tin tức độc hại, sai lệch. Do đó, việc bảo vệ các thông tin mật trên mạng, cũng như chống người lạ thâm nhập vào trong hệ thống để lấy cắp thông tin trở thành một vấn đề cấp thiết thúc đẩy các nhà khoa học thiết kế các hệ thống an ninh cho mạng máy tính. Để thực hiện việc đảm bảo vấn đề an ninh trên mạng, từ trước đến nay đã có nhiều phương pháp khác nhau, chẳng hạn như việc sử dụng mật khẩu (password), phân quyền người dùng, cấm sửa đổi các file hệ thống... Trong đó hiện nay phương pháp phân quyền và điều khiển thâm nhập được dùng làm giải pháp chủ yếu. Để tăng cường an ninh trên mạng, nhất là khi phát triển các mô hình mạng Intranet với đầy đủ các dịch vụ như WWW (World Wide Web), tra cứu cơ sở dữ liệu, truy cập từ xa và khi nối vào INTERNET thì những biện pháp nêu trên là chưa đủ mà chúng ta còn cần đến các công nghệ mới như là cổng kiểm soát (guarded gate), hay còn được gọi là Firewall. Cổng chắn này thường được đặt giữa mạng cục bộ Intranet với thế giới INTERNET rộng lớn bên ngoài. Tất cả các biện pháp trên thuộc lĩnh vực quản trị mạng, một lĩnh vực khá mới mẻ đối với Việt Nam. i. khái niệm về internet firewall. Firewall theo ý nghĩa thông thường thì nó là một bức tường chống không cho lửa đi qua để bảo vệ không cho lửa lan tràn từ phần này sang phần khác. Các nhà quản lý hệ thống máy tính đã áp dụng cách thức này để bảo vệ hệ thống máy tính của họ. Mục đích của Firewall là tạo nên một lớp vỏ bọc bao quanh một mạng để bảo vệ các máy ở bên trong mạng tránh các mối đe dọa khác nhau ở bên ngoài. Cơ chế làm việc của Firewall là dựa trên việc kiểm tra các gói dữ liệu của IP lưu chuyển giữa Server và Client. Các mối đe doạ mà Firewall có thể chống lại bao gồm: - Chống lại các cuộc thâm nhập từ xa đến các Server nguồn khi không được cho phép. - Từ chối các dịch vụ bỏ bom logic vào một mạng (chẳng hạn như khi có một trạm ở bên ngoài mạng gởi hàng ngàn bức thư vào trong một mail server ở trong một mạng với âm mưu làm rối loạn hệ thống). - Không cho phép thâm nhập ra ngoài khi cần thiết. - Chống lại sự giả danh (các thư điện tử bắt nguồn từ một trạm bên ngoài có thể gây nên sự lúng túng cho người khác). Một phương án đơn giản nhất để chống lại các vấn đề này là không nối mạng của mình với bất kỳ một mạng nào khác. Tuy nhiên đây hoàn toàn không phải là một phương pháp hay bởi mục đích chính của chúng ta hiện nay là hoà mạng toàn cầu. Thay vào đó, hiện nay người ta thường dùng một kiểu Firewall điển hình như hình vẽ sau: Trong cấu hình này, mạng được bảo vệ được phân cách với bên ngoài bởi một Firewall Gateway. Một Gateway thường được dùng để thực hiện việc duy trì các dịch vụ giữa hai mạng với nhau. Trong trường hợp là một Fireway Gateway thì nó còn cung cấp 1 dịch vụ lọc cho phép giới hạn các thể thức thông tin được cho qua để vào hay ra từ các trạm trong mạng. II. một số kiểu firewall thông dụng Hiện nay ta có thể thực hiện việc đảm vảo an ninh trên mạng ngay bên trong mạng bằng cách xây dựng các công cụ dựa trên một số dịch vụ hiện có trên mạng, tuy nhiên phương pháp này không hiệu quả, nhất là đối với các hệ thống lớn. Để đảm bảo an ninh cho một hệ thống lớn, thông thường ta phải cấu tạo nên hệ thống Firewall để kiểm tra tất cả các dịch vụ có liên quan đến mạng của mình. ở đây em xin trình bày ba kiểu cấu hình thông dụng của Firewall như sau: 1. Packet Filtering Gateway (Cổng lọc gói): Phương pháp cổng lọc gói là một phương pháp đơn giản và rẻ nhất để trang bị một mức độ lọc cơ bản cho một mạng. Các thiết bị bao gồm một Router (thiết bị định tuyến) dùng để nối hai mạng lại với nhau. Thiết bị chọn đường này được dùng cùng với một phần mềm cho qua hay loại bỏ các gói (packet) dựa trên địa chỉ nguồn hay đích của cổng. Hoạt động lọc có thể áp dụng cho các gói vào, các gói ra, hoặc cả hai. Để thực hiện việc lọc các gói thì router cần phải biết rằng các gói nào được chấp nhận và các gói nào bị loại bỏ. Phần thông tin này được lưu giữ trong một file định nghĩa bộ các luật lọc của router. Hệ thống các luật lọc này thường bao gồm các thông tin về nguồn và đích để cho phép lọc các gói gửi đến hay gửi đi. Đôi khi để giải quyết vấn đề tốc độ, việc lọc chỉ xảy ra đối với các gói vào hay các gói ra chứ không cả hai. Điều này liên quan mật thiết đến tốc độ của bản thân Router và phải được tính toán kỹ lưỡng, làm sao cho cổng lọc gói này không trở thành cái nút cổ chai cho toàn bộ hệ thống mạng. Kết nối INTERNET trên thực tế thường có tốc độ trung bình cỡ 56 - Kb/s hoặc 1.544 - Mb/s (đường T1). Lọc gói là một tác vụ liên quan đến các gói, do đó các gói càng nhỏ thì càng có nhiều gói đi qua trong 1 giây và do đó hệ thống lọc càng phải tính toán, xử lý nhiều hơn. Một gói dữ liệu IP nhỏ nhất - chỉ chứa các header IP và không có dữ liệu khác đi kèm - dài 20 byte (160 bit). Vì vậy, một liên kết ở tốc độ 56 Kb/s có thể truyền được 350 gói một giây và ở tốc độ 1.544 Kb/s là 9650 gói một giây. Bảng tham số dưới đây cho thấy quan hệ giữa tốc độ và số lượng gói truyền trong một giây: Loại kết nối Tốc độ trung bình (bit/s) Số gói/giây (gói 40byte) Số gói/giây (gói 40byte) Modem V.32 bis 14.400 90 45 Đường 56 Kb/s 56.000 350 175 Đường T1 1.544.000 9.650 4.825 Mạng Ethernet (thực tế) 3.000.000 18.750 9.375 Mạng Ethernet (lý thuyết) 10.000.000 62.500 31.250 Đường T3 45.000.000 281.250 140.620 FDDI 100.000.000 625.000 312.500 Trên thực tế, các dịch vụ trên INTERNET thường dựa trên giao thức TCP/IP nên các gói dữ liệu lưu chuyển trong mạng sẽ là loại TCP/IP. Chiều dài tối thiểu của một gói TCP/IP (chỉ chứa phần header IP và header TCP, không có dữ liệu) là 40 byte, và do đó số lượng các gói trong 1 giây sẽ giảm xuống một nửa như trong bảng. Các gói có thêm dư liệu đi kèm sẽ còn dài hơn nữa nên số lượng gói mà bộ lọc phải xử lý sẽ thấp hơn trong bảng. Hiện nay việc thiết kế các Gateway mức cao đều dựa vào việc lọc các gói dữ liệu, và chúng hoạt động khá tốt. Tuy nhiên nó cũng có một số điểm bất tiện như: việc bảo trì cũng như thiết kế một cổng lọc gói đòi hỏi người thiết kết phải hiểu rất rõ về INTERNET, các bộ lọc gói là công cụ rất tiện lợi nhưng chúng không cho phép chúng ta hoàn toàn tuyệt đối tin tưởng vào sự đảm bảo an toàn của chúng. Mặt khác, việc phân mảnh các gói dữ liệu đã gây khó khăn rất nhiều cho việc thiết kế các bộ lọc gói. Ngoại trừ mảnh đầu tiên, các mảnh khác của gói là không chứa số hiệu của cổng đích, do đó phần thông tin dùng để trợ giúp cho việc lọc gói bị hạn chế. Nếu ta chỉ quan tâm đến các mối đe doạ từ bên ngoài thì có thể thiết kế bộ lọc mà không cần quan tâm nhiều đến việc lọc các mảnh. Mảnh đầu tiên có chứa thông tin về số hiệu cổng sẽ được kiểm tra, còn các mảnh khác sẽ được cho qua. Nếu như mảnh đầu tiên bị loại bỏ thì khi các mảnh còn lại đi qua cũng sẽ bị trạm đích loại bỏ. Tuy nhiên khi ta phải quan tâm đến việc lọc các thông tin ra ngoài thì đây là một vấn đề khó khăn bởi nếu không được cho phép thì chỉ có mảnh đầu tiên bị lọc bỏ, các mảnh khác bị rò rỉ ra ngoài và ta không thể đảm bảo được là liệu có một người nào đó ở bên ngoài tiến hành thu thập các mảnh này và xử lý, ghép nối chúng trở lại thành một gói chính xác. 2. Circuit-Level Gateways: Thực chất cổng lọc này chỉ là một mạng chuyển tiếp (relay) cho việc lưu chuyển giữa hai trạm được nối với nhau thông qua mạch kết nối thực tế của mạng. Circuit Gateway thực hiện việc chuyển tiếp ở mức kết nối TCP. Người gọi nối với một port ở trên gateway, và gateway này nối với một số các đích khác ở trên phía khác của gateway. Gateway đơn giản chỉ chuyển luồng dữ liệu từ một port này đến một port khác. Như vậy gateway có vai trò như thiết bị chuyển mạch (do vậy được gọi là Circuit-Level). Trong một số trường hợp, mạch kết nối được thiết lập một cách tự động đối với các chức năng đặc biệt của mạng. Các trường hợp khác gateway sẽ cần phải được nói địa chỉ cổng yêu cầu. Trong trường hợp này, có một giao thức nhỏ giữa người gọi và gateway. Giao thức này mô tả dải các đích và dịch vụ, còn gateway sẽ gởi trả thông tin báo lỗi nếu không được cho phép. Khi gateway được yêu cầu thực hiện cuộc nối, thì sẽ có sự quyết định liệu đây có phải là công việc được cho phép hay không. Nếu được cho phép thì giao thức sẽ kết thúc, mạch nối sẽ được thiết lập và dữ liệu bắt đầu được truyền thực sự. Trong các trường hợp khác, nếu yêu cầu kết nối là không thích hợp thì sự kết nối không được tạo và một thông điệp báo lỗi có thể được báo trở lại. Đây cũng là một dạng của proxy mà đích là tên trạm (hayđịa chỉ IP). Nếu như sự kết nối là thành công, giao thức sẽ kết thúc và các byte thực sự bắt đầu được truyền. Nói chung các dịch vụ chuyển tiếp không kiểm tra các byte khi cho chúng đi qua, các dịch vụ này chỉ ghi lại số lượng byte cho qua và đích TCP. Đây chính là một điểm khác nhau cơ bản giữa curcuit-level gateway với packet-filtering gateway. 3. Application-Level Gateways: Application-Level Gateways, còn được gọi là proxy gateway, thường làm việc ở tại lớp người dùng hơn là tại các lớp giao thức thấp hơn. Khác với packet-filter gateway, gateway loại này được thiết kế với một kỹ thuật kiểm tra hoàn toàn khác. Việc cho phép kiểm tra ở tại mức ứng dụng yêu cầu một sự thiết kết phức tạp hơn. Application gateway có một ưu điểm quan trọng là nó rất dễ dàng thâm nhập và điều khiển tất cả các lưu chuyển cả vào và ra. Sử dụng các gateway ở mức độ này chúng ta được đảm bảo cao hơn về mức độ an toàn. Chẳng hạn chúng ta có thể hạn chế cụ thể đối với từng người dùng cụ thể đối với mỗi dịch vụ, chứ không như kiểu lọc gói chỉ có thể lọc đối với từng địa chỉ trạm chứ không can thiệp đến từng người dùng cụ thể. Để thay thế cho chức năng chọn đường của router, các gateway mức ứng dụng được dùng để định hướng cho một số các dịch vụ cụ thể. Một ví dụ điển hình là việc sử dụng cổng truyền thư (mail gateway). Rõ ràng việc sử dụng cổng này là để hướng các thư điện tử theo các địa chỉ đích của nó. Việc sử dụng các gateway như thế không chỉ có tác dụng trong việc an ninh, bằng cách cách ly mạng bên trong, mà còn có công dụng trong việc trợ giúp cho công việc hàng ngày của dịch vụ này. Tuy nhiên các gateway lọc mức ứng dụng có một hạn chế là nó cần phải có một chương trình đặc biệt để điều khiển cho mỗi ứng dụng, chẳng hạn như đối với ftp cần phải có ftpd..., do đó hầu như chỉ có những dịch vụ đặc biệt quan trọng mới dùng mức độ an ninh này. Có thể nêu ra đây một số công cụ trợ giúp cho việc thiết kết một gateway mức ứng dụng: TCP wrapper TCP wrapper cung cấp phương pháp điều khiển thâm nhập dựa trên địa chỉ IP nguồn. Để sử dụng TCP wrapper ta cần đăng ký các dịch vụ trong file/etc/inetd.conf. Chẳng hạn như một wrapper dùng cho SMTP có thể có mẫu như sau: smtp stream tcp nowait uucp /etc/tcpd /etc/smtpd Trong đó wrapper (/etc/tcpd) kiểm tra file /etc/hosts.allow (hoặc là các file tương ứng như accept, deny) để quyết định liệu có chấp nhận sự kết nối này không. TCP wrapper sẽ quét từ trên xuống dưới cho đến khi tìm thấy dịch vụ tương ứng. Nếu không có dịch vụ nào được tìm thấy thì việc kết nối sẽ bị bãi bỏ. Thông thường việc cho phép hay bãi bỏ này là sử dụng hai file: /etc/hosts.deny và /etc/hosts.allow. TCP wrapper cung cấp việc điều khiển thâm nhập dựa trên địa chỉ IP nguồn, nhưng nó thực sự vẫn không đảm bảo an toàn, điều này là do nhiều lý do, chẳng hạn như: chúng ta chỉ dùng địa chỉ IP dạng số trong bảng hiển thị thâm nhập của chúng ta, chứ không dùng tên trạm. Điều này đã huỷ bỏ tính tin cậy vào tính toàn vẹn (integrity) của tên dịch vụ. Relay: Relay là một công cụ thuận tiện đối với một gateway mức độ ứng dụng. Nó là một chương trình nhỏ cho phép sao chép các byte giữa hai mạng kết nối với nhau. Ví dụ như hãy hình dung rằng chúng ta mong đợi để đề cập đến một máy ở bên ngoài dùng dịch vụ printing của chúng ta: cổng TCP mà nó được hiển thị ở trong /etc/service như là printer. Chúng ta muốn sắp đặt trước bất kỳ một sự kết nối nào vào cổng này vào cùng một cổng trong dịch vụ in của chúng ta ở bên trong. Trong file /etc/inetd.còn ta phải đăng ký như sau: printer stream tcp nowait daemon /etc/relay tcp! pserver!printer Relay sẽ mở một kết nối đến cổng máy in trên pserver, sau đấy copy các byte trực tiếp cả hai bên cho đến khi sự kết nối kết thúc. Các dịch vụ uỷ quyền: Để kiểm tra tất cả các thông tin đi ra, ta có thể xây dựng một proxy curcuit-level như sau: - ở trên INSIDE ta dùng cổng 402 đối với dịch vụ proxy. Ta phải thêm cổng 402 vào trong file /etc/services và thêm vào trong file /etc/inetd.conf như sau: proxy stream tcp nowait daemon /etc/relay relay tcp!outside!proxy - Cho phép kết nối ra ngoài qua router: Operation Source Port Destination Port allow INSIDE >1023 OUTSIDE 402 allow OUTSIDE 402 INSIDE >1023 - Thêm các dịch vụ vào OUTSIDE: proxy stream tcp nowait daemon /etc/tcpd /etc/proxy Thêm cổng 402 vào file/etc/services của OUTSIDE 4. Nhận xét Qua phần trình bày ở trên, ta có thể rút ra nhận xét sơ bộ như sau: Trong ba loại cổng lọc trên, loại lọc gói rẻ và thuận tiện trong việc thiết kế nhưng lại không can thiệp sâu được đến dữ liệu ở các lớp giao thức bên trên. Loại cổng lọc mức ứng dụng cho phép lọc với độ tin tưởng cao, có thể cho phép can thiệp đến mức người dùng và đến các dịch vụ, nhưng việc cấu hình loại cổng lọc này đòi hỏi phải có một chương trình riêng cho mỗi dịch vụ và trở nên cồng kềnh đối với hệ thống lớn. Loại cổng lọc Curcuit-Level không lọc được với mức người dùng, tuy nhiên nó cho phép lọc theo các dịch vụ. iii. xây dựng một cổng lọc gói: Lọc gói là một cơ cấu an ninh trên mạng hoạt động bằng cách quyết định những gói dữ liệu nào có thể vào hoặc ra khỏi mạng. Việc này liên quan chặt chẽ đến các lớp liên mạng (Internet Layer) và lớp điều vận (Transport Layer) của bộ giao thức TCP/IP. Như đã trình bày trong chương trước, Router là một thiết bị cơ bản dùng để kết nối giữa các mạng với nhau. Với chức năng đó, Router thường được đặt ở giữa mạng địa phương và INTERNET. ở vị trí này, Router trở thành thiết bị lý tưởng để cấu hình nên một cổng lọc gói (Packet - Filtering Gateway). Khi xác lập phương thức đưa gói đến mạng đích, một Router bình thường chỉ để ý đến địa chỉ đích của gói và tự hỏi “Làm sao có thể chuyển gói này đi đúng hướng?”. Một Router lọc gói còn đặt ra thêm một câu hỏi khác là: “Có nên chuyển gói này đi không?”. Router sẽ trả lời câu hỏi này tuỳ thuộc vào chiến lược an ninh đã đặt vào Router thông qua các luật lọc gói. Lọc gói cho phép ta kiểm soát việc truyền dữ liệu dựa trên: Địa chỉ nguồn của dữ liệu. Địa chỉ đích dữ liệu muốn đến. Phiên và giao thức lớp ứng dụng dùng để truyền dữ liệu. Phần lớn các cơ chế lọc gói không hề dựa vào nội dung dữ liệu. Lọc gói cho phép ta làm như sau: - Không cho phép bất cứ người nào dùng Telnet (một dịch vụ lớp ứng dụng) để truy nhập vào mạng từ xa. Hoặc: - Cho tất cả mọi người gửi thư cho mình qua SMTP (một dịch vụ khác ở lớp ứng dụng). Hoặc thậm chí: - Máy này có thể dùng Network News (một dịch vụ khác ở lớp ứng dụng) còn các máy khác thì không. Tuy vậy ta không thể chặn như sau: - Người này có thể Telnet từ ngoài vào, còn người khác thì không. Bởi vì hệ thống lọc gói không thể định nghĩa khái niệm người dùng (user). Đồng thời ta cũng không thể cho phép: - Bạn có thể truyền những file này, còn các file khác thì không. Bởi vì hệ thống lọc gói cũng không thể xác định khái niệm về “file”. Sử dụng cơ chế lọc gói trong một Router đặt ở vị trí kết nối giữa mạng địa phương và mạng bên ngoài còn có thể ngăn chặn được các gói giả mạo địa chỉ. Ví dụ một gói được gia công sao cho có địa chỉ nguồn là của mạng địa phương nhưng lại đến từ Interface bên ngoài (nghĩa là đã giả danh là gói của mạng địa phương) sẽ bị phát hiện bởi Router lọc gói. 1. Ưu điểm của lọc gói: Một Router lọc gói có thể bảo vệ cho cả một hệ thống mạng: Một ưu điểm hàng đầu của lọc gói là cho phép một Router lọc gói độc lập, được cấu hình theo đúng chiến lược an ninh và đặt ở vị trí phù hợp sẽ bảo vệ được cho cả một hệ thống mạng. Một hệ thống mạng với số lượng trạm lớn thì việc cấu hình lọc cho tất cả các trạm đơn lẻ sẽ trở nên tốn kém và phức tạp hơn nhiều so với lọc gói bằng Router. Hơn nữa khi người dùng vô tình (hay hữu ý) nối thêm vào hệ thống một trạm có hỗ trợ cho truy nhập từ ngoài vào và không được lọc cẩn thận thì đó sẽ là một lỗ hổng trong cơ chế đảm bảo an ninh trên mạng. Nếu mạng địa phương chỉ có một Router để kết nối ra INTERNET thì ta hoàn toàn có thể đảm bảo an ninh cho mạng đó bằng cách cấu hình lọc gói cho Router, bất kể số lượng trạm trong mạng có lớn hơn bao nhiêu. Ngay cả khi mạng có nhiều đường kết nối ra ngoài qua nhiều Router thì số lượng Router cũng vẫn nhỏ hơn nhiều so với số lượng trạm và do đó việc cấu hình lọc gói trên Router vẫn đỡ tốn kém thời gian cũng như công sức hơn so với việc bảo vệ từng trạm riêng biệt. Lọc gói không đòi hỏi bất kỳ sự hợp tác hoặc kiến thức nào khác về phía người dùng. Không giống như cơ chế uỷ quyền (proxy), lọc gói không đòi hỏi bất cứ một phần mềm hay cấu hình đặc biệt nào khác cho các máy client cũng như không yêu cầu người dùng phải học thêm một điều gì mới để sử dụng. Người dùng thậm chí sẽ không biết rằng hệ thống lọc gói đang hoạt động nếu như họ không thử làm một việc gì đó bị cấm (vì lý do an ninh) bởi các luật lọc trong Router. Điều này có nghĩa là ta có thể xây dựng hệ thống lọc hoặc thay đổi chiến lược an ninh trong các luật lọc một cách độc lập và trong suốt đối với người dùng. Rất nhiều Router hỗ trợ chức năng lọc gói: Tính năng lọc gói có thể được sử dụng trong rất nhiều sản phẩm phần cứng hoặc phần mềm định tuyến. Nhờ sự hỗ trợ đầy đủ và rộng khắp của các nhà sản xuất mà ta có thể xây dựng một hệ thống lọc gói hoạt động an toàn và ổn định trong các thiết bị định tuyến chuyên dụng của Bay-Networks, Cisco... hoặc trong các phần mềm giả lập như DrawBridge, KarlBridge... 2. Nhược điểm của lọc gói: Bên cạnh những ưu điểm không thể chối cãi kể trên, lọc gói vẫn còn tồn tại một số hạn chế chưa khắc phục được. Các công cụ cấu hình chưa hoàn hảo Tính năng lọc gói trong một số sản phẩm còn chưa thật hoàn thiện dẫn đến việc xây dựng các hệ thống lọc chặt chẽ và đầy đủ cho các mạng lớn trở nên phức tạp mà đôi khi là không thực hiện nổi. Hơn nữa một khi đã hoàn thiện việc cấu hình một bộ lọc thì việc thêm bớt hay sửa đổi các luật lọc đơn lẻ sau này sao cho phù hợp với toàn hệ thống sẽ khó khăn và dễ gây ra nhầm lẫn. Cũng giống như tất cả các phần mềm khác, các công cụ lọc gói hoàn toàn có thể có lỗi và sẽ tạo ra những kẽ hở trong bức tường bảo vệ. Một khi có sai sót, hệ thống lọc gói sẽ ảnh hưởng đến vấn đề an ninh nhiều hơn là cơ chế uỷ quyền. Thông thường nếu cơ chế uỷ quyền bị lỗi thì nó sẽ dừng hoàn toànviệc truyền dữ liệu, trong khi một hệ thống lọc gói bị lỗi sẽ cho các gói đi qua tự do mà đáng lẽ nó phải chặn lại. Một số ứng dụng không tương thích với các phép lọc gói Ngay cả các phần mềm lọc gói phiên bản mới nhất hiện nay cũng chưa thể ngăn chặn có hiệu quả đối với một số ứng dụng trên mạng mà nguyên nhân là do sự không tương thích. Trong số các ứng dụng loại này ta có thể kể đến các lệnh “r” trong Bekele - Unix (rcp, rlogin, rdist, rsh...) hoặc các ứng dụng dựa trên RCP như NFS (Network File System) và NIS/YP (Network information Service/ Yellow Pages). 3. Cơ cấu hoạt động của hệ thống lọc gói: Để cấu hình lọc gói cho một Router, trước hết ta phải quyết định xem những dịch vụ nào được cho phép hoặc bị ngăn cấm, sau đó chuyển đổi các quyết định đó thành các luật lọc đối với gói dữ liệu. Một bộ các luật lọc liên kết chặt chẽ, hỗ trợ bổ xung cho nhau sẽ tạo thành một hệ thống lọc gói đảm bảo được mục tiêu an ninh đặt ra. Đối với mỗi gói dữ liệu, hệ thống lọc sẽ quét lần lượt qua các luật lọc đã sắp xếp theo thứ tự từ trước cho đến khi gặp một luật phù hợp với gói đó thì thi hành tác vụ chỉ định bởi luật đó. Nhưng nếu như trong quá trình truyền, có một hoặc nhiều gói dữ liệu không phù hợp với bất kỳ luật lọc nào thì Router sẽ xử lý ra sao? Chính vì lý do đó, ở cuối mỗi bộ luật lọc thường có một luật gọi là mặc định cấm, với tất cả các trường có giá trị bất kỳ trừ trường tác vụ có giá trị là cấm. Ví dụ về một bộ lọc gói điển hình như sau: Luật Chiều Đ/c nguồn Đ/c đích Cổng nguồn Cổng đích Tác vụ A Vào good.host our.net * * Cho phép B Ra our.net * 25 * Cho phép C * * * * * Cấm ở đây giá trị good.host là đại diện cho một số trạm bên ngoài mà ta tin tưởng, còn our.net là để chỉ tất cả các trạm trong mạng địa phương ta cần bảo vệ. Cổng 23 là cổng của Server cho dịch vụ Telnet, còn 25 là cổng Server của dịch vụ điện thư qua giao thức SMTP (Simple Mail Transfer Protocol). Như vậy nhìn vào bản trên ta có thể diễn giải bộ lọc này như sau: - Luật A cho phép các trạm good.host sử dụng dịch vụ Telnet để truy nhập vào các trạm ở mạng bên trong. - Luật B cho phép các trạm bên trong gửi thư điện tử (E-mail) ra bất cứ đích nào bên ngoài bằng SMTP. - Luật C sẽ loại bỏ tất cả các gói khác không thuộc loại nào ở trên. a. Lọc bằng địa chỉ: Lọc bằng địa chỉ là một phương pháp lọc đơn giản nhất, cho phép điều khiển luồng dữ liệu dựa trên địa chỉ nguồn và/hoặc địa chỉ đích của các gói mà không cần quan tâm đến loại giao thức nào đang được dùng. Phương pháp lọc này có thể dùng để cho phép một số trạm bên ngoài giao tiếp với các trạm nhất định bên trong hoặc ngăn chặn kẻ tấn công đưa các gói giả mạo địa chỉ vào mạng cục bộ của mình. Ví dụ: Luật Chiều Đ/c nguồn Đ/c đích Tác vụ A Vào our.net * Cấm Ta thấy rằng các gói đi từ ngoài vào thì không thể có địa chỉ nguồn nằm trong mạng cục bộ (our.net) nên chắc chắn các gói này đã bị giả mạo địa chỉ và luật lọc A sẽ loại bỏ chúng. Chú ý rằng chiều đi của dữ liệu là nhìn từ phía mạng cục bộ của ta. Trong Router nằm giữa mạng địa phương và INTERNET, ta có thể áp dụng lọc cho các gói đi bào ở Interface phía INTERNET hoặc với các gói đi ra ở Interface phía mạng bên trong. Cả hai phép lọc này đều đưa đến kết quả như nhau. Cái khác là ở chỗ nếu đặt lọc ở Interface phía mạng địa phương thì bản thân Router sẽ không được bảo vệ. Nhược điểm của phương pháp lọc theo địa chỉ là ta không thể xác định chắc chắn nguồn gốc các gói dữ liệu. Nếu như ta không được hỗ trợ một phương thức nào để xác thực liên kết thì ta không thể biêt được rằng trạm ở đầu bên kia liệu có đúng địa chỉ nguồn của các gói đến hay là một trạm nào khác giả danh. Ví dụ lọc trình bày ở trên chỉ giúp ta phát hiện các trạm bên ngoài giả làm một trạm nào đó bên trong mạng địa phương chứ không làm gì được với một trạm bên ngoài giả làm một trạm nào khác cũng ở bên ngoài (các trạm mà ta coi là có thể tin tưởng được). b. Lọc theo dịch vụ: Song song với phương pháp lọc bằng địa chỉ thì lọc gói còn có một hình thức khác phức tạp hơn là lọc theo dịch vụ. Để hiểu rõ bản chất của phép lọc này ta hãy tìm hiểu hai khái niệm trong TCP/IP là số hiệu giao thức (Protocol Number) và cổng (Port). Số hiệu giao thức là một byte nằm trong word thứ 3 của header khung dữ liệu. Giá trị này được IP (Internet Protocol) sử dụng để xác định các giao thức trong lớp vận chuyển (Transport Layer) nhằm đảm bảo truyền dữ liệu chính xác giữa 2 lớp. Trong các hệ thống Unix, các giao thức và số hiệu tương ứng được lưu giữ trong file /etc/protocol như sau: Giao thức Số liệu Chú thích ip 0 Internet Protocol icmp 1 Internet Control Message Protocol igmp 2 Internet Group Multicast Protocol ggp 3 Gateway - Gateway Protocol tcp 6 Transmission Control Protocol pup 12 PARC Universal Packet Protocol udp 17 User Datagram Protocol ... ... .... Các giao thức này đến lượt mình lại sử dụng các cổng để định nghĩa tiến trình (Process) của ứng dụng hay các dịch vụ ở lớp trên. Như vậy cổng nguồn xác định tiến trình đã gửi gói dữ liệu đi và cổng đích là tiến trình của ứng dụng sẽ nhận gói dữ liệu. Các giá trị này là số 16-bit nằm trong word đầu tiên của header các gói TCP hay UDP. Thông thường các cổng từ 0 đến 1023 được gán cho các dịch vụ server (Telnet Server, Mail Server...) còn các cổng trên 1023 được dùng bởi Client. Dịch vụ và cổng tương ứng được lưu trong file /etc/serviecs trong Unix có dạng như sau: Dịch vụ Cổng giao thức Echo 7/udp Echo 7/tcp Systat 11/tcp Netstat 15/tcp ftp-data 20/tcp ftp 21/tcp telnet 23/tcp Smtp 25/tcp Time 37/tcp Time 37/udp Name 42/udp Whois 43/tcp Domain 53/tcp Domain 53/tcp Hostnames 101/tcp .... .... Như vậy để lọc theo dịch vụ thì thực chất là ta lọc các gói dữ liệu dựa vào số hiệu cổng nguồn và cổng đích của chúng. Ta sẽ sử dụng dịch vụ Telnet làm ví dụ vì đây là dịch vụ được sử dụng rộng rãi, tương đối đơn giản và nhìn từ phía lọc gói thì Telnet này tiêu biểu cho một vài dịch vụ khác như SMTP (Simple Mail Transfer Protocol) hay NNTP (Network News Transfer Protocol)... Telnet cho phép người dùng truy nhập từ xa vào một hệ thống nào đó giống như người này có một thiết bị đầu cuối nối trực tiếp vào hệ thống. Chúng ta sẽ xem xét cả 2 chiều của dịch vụ này: Telnet ra ngoài và Telnet vào trong. Dịch vụ Telnet ra ngoài: Trong dịch vụ này, một Client (một người dùng) trong mạng nội bộ truy nhập vào một server ở xa. Các gói đi ra chứa đựng dòng lệnh người dùng gõ vào từ bàn phím và có những đặc điểm sau: - Địa chỉ IP nguồn là địa chỉ của trạm người dùng trong mạng địa phương. - Địa chỉ IP đích là địa chỉ của server trong mạng bên ngoài. - Telnet là dịch vụ dựa trên TCP nên gói dữ liệu là loại TCP. - Cổng TCP đích là 23, là cổng mà server Telnet sử dụng. - Cổng nguồn là 1 số bất kỳ lớn hơn 1023 (tạm gọi là “Y”). - Gói đầu tiên thiết lập liên kết có bit ACK = 0, các gói còn lại bằng 1. Các gói đi vào của dịch vụ này chứa dữ liệu sẽ hiển thị trên màn hình của người dùng (Ví dụ, dấu nhắc “Login: “) và có đặc điểm sau: - Địa chỉ IP đích là điạ chỉ của trạm người dùng trong mạng địa phương. - Địa chỉ IP nguồn là địa chỉ của server trong mạng bên ngoài. - Gói dữ liệu thuộc loại TCP. - Cổng TCP nguồn là 23, là cổng của Server Telnet. - Cổng đích chính là cổng nguồn của gói đi ra (“Y”). Mọi gói vào sẽ có bit ACK = 1 vì không có gói thiết lập liên kết. Trong phần header của các gói vào và ra ta sẽ thấy địa chỉ nguồn và đích cũng như cổng nguồn và đích hoán đổi cho nhau. Các phiên bản BSD của hệ điều hành Unix dành riêng cho các cổng từ 0 đến 1023 cho root dùng trong mạng nội bộ. Vì vậy các cổng này thường dùng bởi Server chứ không phải là Client. Các hệ điều hành khác kể cả Macintos và MS-DOS (là những hệ điều hành không phân quyền sử dụng) cũng tuân theo qui tắc này. Khi một chương trình Client cần dùng một cổng thì nó sẽ tự động được gán 1 cổng lớn hơn 1023. Như vậy để cấu hình cho phép người dùng sử dụng dịch vụ Telnet từ mạng địa phương ra một server ở ngoài ta sử dụng bộ lọc như sau: Luật Chiều Địa chỉ Cổng Bit ACK Loại gói Tác vụ Nguồn Đích Nguồn Đích A Vào Server Our.net 23 >1023 =1 TCP Cho B Ra Our.net Server >1023 23 * TCP Cho C * * * * * * * Cấm Bộ lọc này sẽ cho phép tất cả các trạm trong Our.net Telnet đến trạm ngoài có địa chỉ là Server. Dịch vụ Telnet vào trong: Dịch vụ Telnet vào trong đựoc sử dụng bởi một Client ở xa móc nối vào một Server Telnet trong mạng địa phương. Các gói đi vào chứa đựng dòng lện người dùng gõ vào từ bàn phím và có những đặc điểm sau: - Địa chỉ IP nguồn là địa chỉ của trạm người dùng ở xa. - Điạ chỉ IP đích là địa chỉ của server trong mạng địa phương. - Gói dữ liệu là loại TCP. - Cổng TCP đích là 23, là cổng mà Server Telnet sử dụng. - Cổng nguồn là 1 số lớn bất kỳ lớn hơn 1023 (tạm gọi là “Z”). - Gói đầu tiên thiết lập liên kết có bit ACK = 0, các gói còn lại bằng 1. Các gói đi ra của dịch vụ này chứa dữ liệu sẽ hiển thị trên màn hình của người dùng với các đặc điểm sau: - Địa chỉ IP đích là địa chỉ của trạm người dùng ở xa. - Địa chỉ IP nguồn là địa chỉ của server trong mạng địa phương. - Gói dữ liệu thuộc loại TCP. - Cổng TCP đích là 23, là cổng của Server Telnet - Cổng đích chính là chính là cổng nguồn của gói đi vào (“Z”). - Mọi gói vào sẽ có bit ACK = 1 vì không có gói thiết lập liên kết. Cũng giống như trong dịch vụ Telnet ra ngoài, các giá trị địa chỉ nguồn và đích, cổng nguồn và đích sẽ hoán đổi cho nhau trong các gói vào và ra. Bộ lọc cho phép sử dụng dịchvụ Telnet vào trong có dạng như sau: Luật Chiều Địa chỉ Cổng Bit ACK Loại gói Tác vụ Nguồn Đích Nguồn Đích A Ra Our.server Good.host 23 >1023 =1 TCP Cho B Vào Good.host Our.server >1023 23 * TCP Cho C * * * * * * * Cấm Với cấu hình này, tất cả các trạm Good.host ở bên ngoài sẽ được quyền Telnet vào trạm Our.server trong mạng địa phương. Những hạn chế: Cũng như lọc bằng địa chỉ, phép lọc theo dịch vụ cũng không tuyệt đối an toàn 100%. Như đã trình bày ở trên, các dịch vụ chạy ở lớp ứng dụng gắn liền với các cổng sử dụng để truyền dữ liệu. Chính vì vậy lọc theo dịch vụ thực chất là lọc các giá trị cổng đích và cổng nguồn của các gói dữ liệu. Vấn đề nảy sinh là một người dùg có quyền root trên một trạm ở xa hoàn toàn có thể thay đổi giá trị cổng sử dụng cho các ứng dụng không theo quy định chuẩn và có thể gây hại cho mạng địa phương ta muốn bảo vệ. Ví dụ, ta đã cấu hình cho phép Telnet ra ngoài và cho phép dữ liệu đi từ cổng 23 (là cổng chuẩn của Server Telnet) ở ngoài nhưng trên thực tế cổng 23 đã bị dùng bởi một tiến trình khác ở trạm ngoài, không phải là Server Telnet. Tiến trình này hoàn toàn có thể ra lệnh cho Client telnet ở mạng địa phương thi hành những tác vụ có hại như xoá các file hệ thống, gửi file /etc/password (là file lưu giữ các mật khẩu của hệ thống) ra ngoài... Mặt khác ta đã ngăn chặn được việc kẻ tấn công sử dụng cổng Server (vì các cổng Server được phép truyền dữ liệu vào mạng bên trong khi có Client yêu cầu) để truy nhập vào mạng địa phương bằng cách xét bit ACK. Trong cấu trúc Client/Server, bao giờ Client cũng là người thiết lập liên kết bằng cách yêu cầu Server trả lời và do đó tất cả các gói từ Server đến đều có bit ACK = 1. Vì vây mọi gói thiết lập liên kết từ cổng nguồng Server (có bit ACK = 0) sẽ bị loại bỏ nên kẻ tấn công không thể truy nhập vào mạng địa phương được. Tuy vậy chỉ có các gói dữ liệu trong giao thức TCP (Transmission Control Protocol) mới có bit ACK, với giao thức UDP (User Datagram Protocol) thì không có. May mắn thay, số lượng các dịch vụ trên INTERNET sử dụng giao thức UDP là rất ít. Chương V Giải pháp kết nối mạng isp vào mạch trục internet việt nam Việt Nam đã trở thành một phần của mạng INTERNET toàn cầu. Do vậy việc tổ chức, xây dựng một mạng cung cấp các dịch vụ INTERNET là rất cần thiết. Mới đây Công ty Điện toán và Truyền số liệu (VDC) đã được giao nhiệm vụ quản lý và khai thác mạng trục Quốc gia. Công việc đó bao gồm cả việc quản lý mạng và xây dựng mạng cung cấp cho các đơn vị, cá nhân có nhu cầu sử dụng mạng INTERNET. Như vậy Công ty Điện toán và truyền số liệu vừa là người quản lý mạng trục (Backbone) vừa là nhà cung cấp các dịch vụ INTERNET (ISP). Các dịch vụ INTERNET được VDC cung cấp tới tận thuê bao hoặc cung cấp cho mạng dùng riêng, đồng thời cung cấp cho các ISP. Bên cạnh đó Công ty Điện toán và truyền số liệu còn phải tham gia quản lý các ICP (các nhà cung cấp thông tin trên mạng). Nhưng đây là vấn đề thuộc lĩnh vực thông tin đã được sự hỗ trợ quản lý của Bộ Văn hóa - Thông tin nên chúng ta không đề cập tới. Trong trường hợp này em xin trình bàymột số suy nghĩ cơ sở về mạng cung cấp các dịch vụ INTERNET từ mạng trục INTERNET (VNN). Trước hết, xin được đề cập tới vấn đề địa chỉ: Việc địa chỉ hoá các trạm, các cổng đã được trình bày trong chương II (phần IP). Tuy nhiên đó là địa chỉ dạng bit. Ngày nay người ta đã xây dựng hệ thống đặt tên (name) để định danh cho các phần tử của INTERNET. Việt Nam cũng đã sử dụng hệ thống định danh bằng tên này. Cụ thể, tại Hà Nội và TP. Hồ Chí Minh đã có máy chủ quản lý tên (miền) địa chỉ được kết nối với bộ tập trung (HUB), đó là máy DNS (Domain Name System) SUN SPARC 4 tại Hà Nội và DNS SUN SPARC 20 tại TP. Hồ Chí Minh. Quản lý các tên được thực hiện bằng cách giao trách nhiệm phân cấp cho các nhóm tên. Mỗi cấp trong hệ thống được gọi là một miền (domain), các miền được cách nhau bởi dấu chấm. Số lượng domain trong một tên có thể thay đổi nhưng thường có nhiều nhất là 5 domain. Một domain có dạng tổng quát như sau: Local_part @ domain name. Trong đó: - Local_part thường là một tên của một người sử dụng hoặc một nhóm người sử dụng do người quản lý mạng nội bộ quy định. - Domain name được gán bởi các trung tâm thông tin mạng các cấp (NIC). Domain cấp cao nhất là cấp quốc gia. Mỗi quốc gia được gán một tên miền riêng gồm hai chữ cái. Ví dụ: Mỹ : US Pháp : FR Canada : CA Việt Nam : VN Trong từng quốc gia lại chia xuống các cấp thấp hơn. Chẳng hạn ở Việt Nam địa chỉ được phân thêm một cấp nữa là: VNN.VN. Cho đến nay, ở khu vực Châu á Thái Bình Dương mới chỉ có hai quốc gia quản lý, phân phối địa chỉ trực tiếp trên INTERNET cho nước mình là Nhật Bản và Hàn Quốc. Địa chỉ trên INTERNET của Việt Nam vẫn được APNIC cung cấp. Chúng ta chịu trách nhiệm gán tên và cung cấp địa chỉ trong phần local_part là chủ yếu. 1. Các phương thức truy nhập INTERNET có thể sử dụng tại Việt Nam hiện nay. ở Việt Nam hiện nay chúng ta có 5 phương thức để truy nhập vào mạng INTERNET. Đó là: Truy nhập trực tiếp: Thuê bao đấu nối trực tiếp vào mạng INTERNET (có thể là một thuê bao dịch vụ INTERNET trực tiếp mang địa chỉ IP) qua kênh thuê riêng. b. Truy nhập qua mạng điện thoại công cộng: Thuê bao truy nhập INTERNET từ mạng điện thoại công cộng vào các điểm truy nhập tại địa phương (NAP - Net Access Point). Thuê bao quay số truy nhập vào mạng do VNN định sẵn. c. Truy nhập vào mạng INTERNET từ mạng truyền số liệu chuyển mạch gói X25: Thuê bao quay số truy nhập do nhà cung cấp dịch vụ INTERNET mà mình thuê bao cung cấp. d. Thuê bao INTERNET có thể đồng thời là thuê bao truyền số liệu chuyển mạch gói: Trong trường hợp này thuê bao phải truy nhập theo hai bước: - Truy nhập mạng truyền số liệu chuyển mạch gói. Tiếp sau: - Quay số truy nhập INTERNET do nhà cung cấp dịch vụ mình thuê bao định sẵn. e. Thuê bao truy nhập qua mạng số đa dịch vụ (ISDN): Thuê bao này sẽ thực hiện truy nhập, sử dụng các dịch vụ đăng ký như truy nhập qua kênh điện thoại. Phạm vi có thể truy nhập vào mạng INTERNET phụ thuộc vào khả năng phục vụ của mạng mà thuê bao sử dụng để truy nhập. Ví dụ: Truy nhập trực tiếp phụ thuộc vào số lượng cổng truy nhập của VNN, phạm vi và khả năng phục vụ của mạng kênh thuê riêng (DDN - Digital Data Network). Như vậy khả năng truy nhập vào mạng INTERNET rất đa dạng. Tuy nhiên, chúng ta nên sử dụng những phương pháp truy nhập đơn giản. Điều này sẽ giúp chúng ta thực hiện phù hợp với khả năng thiết bị hiện có. Việc cung cấp khả năng truy nhập INTERNET có thể thực hiện chủ yếu theo 3 phương pháp sau: - Truy nhập trực tiếp. - Truy nhập qua mạng điện thoại công cộng (PSTN). - Truy nhập qua mạng truyền số liệu công cộng (PSDN). Dưới đây là sơ đồ kết nối mạng cung cấp các dịch vụ INTERNET. Sơ đồ này chỉ đưa ra một cách mô phỏng về mạng và tập trung vào 3 phương thức truy nhập vào mạng INTERNET đã nêu ở phần trên. INTERNET FIREWALL Cổng quốc tế IAP (VDC) Trục quốc gia (VDC) Hà Nội TP HCM Mạng TSL công cộng (VDC) Firewall ICP ISP Mạng điện thoại công cộng Mạng riêng Mạng riêng Firewall ICP ICP Người sử dụng Sơ đồ 5.1 – Kết nối mạng Internet 2. Các giải pháp kết nối mạng INTERNET. Với chức năng vừa là một nhà cung cấp các dịch vụ INTERNET vừa quản lý khai thác mạng trục Quốc gia, Công ty Điện toán và Truyền số liệu (VDC) sẽ phải phục vụ cho một số lượng lớn khách hàng. Các khách hàng lại rất đa dạng, họ có thể là một ISP khác (như Viện Công nghệ thông tin FPT,...), một đơn vị có mạng nội bộ (các cơ quan, trung tâm, trường Đại học...) hoặc là một thuê bao độc lập. Vì vậy cần phải tổ chức cung cấp quản lý các dịch vụ đối với từng đối tượng tham gia vào INTERNET. * Cung cấp cho các nhà cung cấp các dịch vụ INTERNET (ISP). Các ISP tham gia vào INTERNET với tư cách là nhà cung cấp cho khách hàng muốn sử dụng. VDC cung cấp cho ISP một cửa truy nhập vào mạng Quốc gia bằng cách: - Gán cho họ một địa chỉ INTERNET IP - Các địa chỉ mà ISP cung cấp cho khách hàng phải do VDC quản lý thống nhất. - Các ISP có thể cung cấp cho khách hàng tập trung thành mạng riêng, qua mạng điện thoại công cộng, qua mạng chuyển mạch gói X25, X28 của VDC hoặc cung cấp trực tiếp cho thuê bao bằng đường truyền dùng riêng. Sơ đồ khả năng cung cấp các dịch vụ INTERNET của ISP. Mạng trục Quốc gia (Backbase) Hệ thống an toàn ISP PSDN PSTN Mạng riêng Modem Người sử dụng Sơ đồ 5.2 Mạng cung cấp cho ISP ISP khi tham gia vào INTERNET phải đảm bảo các thiết bị mạng của mình phải đồng bộ với các thiết bị của VDC, mạng điện thoại công cộng... Cung cấp cho các mạng dùng riêng và các thuê bao dùng riêng. Các mạng riêng đấu nối trực tiếp vào mạng trục phải có các thiết bị an toàn, các thiết bị cần thiết theo yêu cầu như: HUB, Router... Router Trục Quốc gia ... ... ... ... Lan Sơ đồ sau đưa ra khả năng kết nối: Các thuê bao dùng riêng được truy nhập INTERNET bằng địa chỉ IP riêng. Cung cấp cho các thuê bao cho mạng điện thoại và mạng chuyển mạch gói X25: Các thuê bao mạng điện thoại công cộng bắt buộc phải có một MODEM chuyển đổi dạng tín hiệu. Các thuê bao theo cả hai đường truy nhập qua mạng công cộng đều phải quay số truy nhập mạng do VNN định sẵn. 3. Các thiết bị sử dụng trong mạng máy tính: a. Các loại cáp: * Cáp đồng trục (Coaxical Cable): Hiện nay thường sử dụng các loại cáp đồng trục sau đây cho mạng cục bộ thường có giải thông từ 2,5 Mb/s tới 10 Mb/s (Ethernet). - RG - 8 và RG -11.50 ohm (trở kháng) dùng cho mạng Thick Ethernet. - RG - 58 .50 ohm dùng cho mạng Thin Ethernet. - RG - 59 . 15 ohm dùng cho mạng truyền hình cáp. - RG - 62.93 ohm dùng cho mạng ARCnet. Cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác (ví dụ cáp xoắn đôi). * Cáp xoắn đôi (Twisted-Pair Cable): Có hai loại cáp xoắn đôi là cáp có bọt kim STP (Shield Twisted Pair). Tốc độ truyền thường giới hạn là: 16 Mb/s (với mạng Token-Ring cáp xoắn đôi không bọc kim UTP (Unshield Twisted Pair) có 5 loại từ UTP loại 1 đến UTP loại 5. Tốc độ truyền từ dưới 4 Mb/s đến 100 Mb/s. * Cáp sợi quang (Fiber - Optic Cable): Gồm hai loại cáp đơn Mode, đa Mode và nhiều loại với đường kính lõi sợi và đường kính lớp áo. Cáp sợi quang có giải thông đạt tới 2 Gb/s và đi khoảng cách khá xa. Ngoài ra còn có các đường truyền vô tuyến như Radio, Viba, các hệ thống hồng ngoại. b. Thiết bị mạng: * Bộ giao tiếp mạng NIC (Network Interface Card) Các bộ giao tiếp mạng có thể được thiết kế ngay trên Mainboard hoặc các tấm (card) dùng để cắm vào các khe 9 (Slot) của máy tính. Đối với Ethernet NIC có thể dùng các loại đầu nối sau: - K45 Connector cho UTP Ethernet. - BNC Connector cho Thin Ethernet. - AUI Connector cho Thick Ethernet. Đối với Token-Ring NIC có thể dùng các loại sau: - DB -15 Connector cho STP. - RJ - Connector cho UTP. * Bộ tập trung (HUB): Có thể dùng HUB để nối tất cả các máy trong mạng như sơ đồ 5.4 HUB Computer Có ba loại HUB là: - Bị động (Passive Hub). - Chủ động (Active Hub). - Thông minh (Interlligent Hub). * Bộ chuyển tiếp (repeater): Repeater có chức năng tiếp nhận và chuyển tiếp các tín hiệu dữ liệu. Thiết bị này thường được dùng để mở rộng mạng. Chẳng hạn nối hai đoạn cáp mạng Ethernet. Computer Repeater Computer Sơ đồ 5.5: Mở rộng Ethernet Lan bằng Repeater * Cầu (Bridge): - Cầu là một thiết bị mềm dẻo hơn nhiều so với Repeater chuyển đi tất cả tín hiệu mà nó nhận được (kể cả nhiễu, méo). Còn Bridge chọn lọc và chuyển đi các tín hiệu có đích. Bridge dùng để nối các mạng LAN với nhau. * Bộ dồn kênh (Multiplexor) Multiplexor là thiết bị tổ hợp một số tín hiệu rồi truyền đi cùng nhau. Sau đó, khi nhận lại được tách ra trả lại tín hiệu gốc (Demultiplexing - Phân kênh). MUX A MUX A Chanel A Chanel A Chanel B Chanel C Chanel B Chanel C Multiplexing Demultiplexing Sơ đồ 5.6 – Dồn kênh và phân kênh tín hiệu * Bộ điều chế (Modem) Modem là thiết bị có chức năng chuyển đổi tín hiệu số thành tín hiệu tương tự và ngược lại để kết nối các máy tính qua đường điện thoại. * Bộ chọn đường (Router): Router là thiết bị thông minh hơn Bridge vì nó có thể thực hiện các giải thuật chọn đường đi tối ưu. Hiện nay các Router của các hãng nổi tiếng như: CISCO, BAY NETWORK.... đều được thiết kế để có thể làm việc với nhiều giao thức phổ biến nhất. Router 1 Net 1 Net 3 Router 3 Router 2 Net 4 Net 2 Router 4 Sơ đồ 5.7 – Dùng Router trong liên mạng * Bộ chọn đường cầu (Brouter): Brouter là thiết bị đóng vai trò của cả Router lẫn Bridge. * CSU/DSU (Channel Service Unit/Digital Service Unit): Đây là loại thiết bị dùng để nối kết các mạng LAN thành mạng WAN thông qua mạng điện thoại công cộng. tài liệu tham khảo * mạng máy tính và các hệ thống mở Nguyễn Thúc Hải . NXB Giáo dục 1997. * Tạp chí BƯU Chính viễn thông 5,6/1996 Hồ Khánh Lâm. * INTERNET John R. Levine và Carol Baroudi . NXB Trẻ 1995. * các tài liệu của công ty điện toán và truyền số liệu (vdc). * mạng căn bản: NXB thống kê *mạng máy tính : Nguyễn Gia Hiển *INTERNET WORKING VớI TCP/IP Nguyễn Quốc Cường Một số thuật ngữ và viết tắt Client Chương trình dùng để giao tiếp và nhận dữ liệu từ chương trình server hoặc dịch vụ trên máy tính khác. Mỗi client được thiết kế để làm việc với một hay nhiều loại chương trình server chuyên biệt (ví dụ Web Browser là một loại client đặc biệt). Datagram Dữ liệu đồ, đơn vị gói dữ liệu được sử dụng tại lớp IP. Thuật ngữ này đồng thời cũng là đơn vị gói dữ liệu được sử dụng trong giao thức UDP. DNS (Domain Names Server) Hệ thống tên vùng, đâu là hệ thống chịu trách nhiệm ánh xạ các địa chỉ INTERNET dạng số sang dạng tên vùng như infor.moet.edu.vn, nhờ vậy tránh được các địa chỉ Internet dạng số rất bất tiện cho người sử dụng. Frame (or Packet) Gói dữ liệu của lớp liên kết dữ liệu, bao gồm cả dữ liệu lớp trên đưa xuống, phần đầu và phần cuối mà lớp liên kết dữ liệu thêm vào. FTP (File Transfer Protocol) Giao thức truyền tập tin trên mạng. Gateway (Cổng nối) Thiết bị kết nối các mạng trong một liên mạng. Gateway có thể là một máy tính được cấu hình đặc biệt (nhiều vỉ mạng) hoặc là một thiết bị chuyên dụng (Router, Access Server). Getway Cổng nối. Hyper Text Mark-up Language (HTML) Ngôn ngữ định nghĩa cấu trúc tài liệu trên Web. Nó giúp trình duyệt (như Netscape Navigator) biết cách thể hiện dữ liệu. Hyper Text Transfer Protocol (HTTP) Giao thức giúp truyền dữ liệu được sử dụng để hỗ trợ việc truyền các dạng thông tin dạng hình ảnh, âm thanh... được áp dụng chính trong công nghệ Web. International Organization for Standardization (ISO) Tổ chức tiêu chuẩn hoá Quốc tế: Công bố các tiêu chuẩn về các lĩnh vực, kể cả máy tính và truyền thông. Đóng góp nổi bật nhất của họ đối với công nghệ mạng là cấu trúc mạng 7 lớp OSI. IP Addres Địa chỉ IP, địa chỉ của nút trên mạng IP. Mỗi nút trên mạng có một địa chỉ duy nhất. Local Area Network (LAN) Mạng cục bộ. Network News Transfer Protocol (NNTP) Giao thức truyền tin trên mạng. Đây là giao thức quy định về việc truyền các bản tin giữa các trạm trong một hệ thống mạng sử dụng dịch vụ nhóm tin (newsgroup) (như mạng USERNET) Router Bộ định tuyến: Dùng để kết nối các mạng với nhau, quyết định lộ trình của dữ liệu. Segment Tên gọi của gói thông tin tại lớp giao vận, bao gồm cả dữ liệu lớp trên đưa xuống và phần header mà lớp giao vận thêm vào. Serial Line Internet Protocol (SLIP) Giao thức Internet tuyến nối tiếp (đây là một giao thứ cũ của TCP/IP nhằm tạo kết nối trên các đường dây điện thoại thông thường) Server Máy phục vụ Server Máy tính hay phần mềm cung cấp một loại dịch vụ đặc biệt cho các client chạy trên máy tính khác. Một máy tính có thể đóng vai trò nhiều loại server nếu nó chạy đồng thời nhiều chương trình server. Simple Mail Transfer Protocol (STMP) Nghi thức truyền thư tín đơn giản (thuộc nhóm giao thức TCP/IP), giao thức này cho phép truyền thư điện tử trên INTERNET. Transmission Control Protocol (TCP) Giao thức điều khiển truyền, đây là giao thức được sử dụng để cung cấp một kiểu liên kết dữ liệu theo mô hình dòng byte liên tục chính xác cho các ứng dụng mạng ở lớp ứng dụng. Đây cũng là tên một lớp trong mô hình mạng TCP/IP, tại lớp này, các gói dữ liệu truyền giữa hai trạm được truyền theo thứ tự, được kiểm tra lỗi, theo một cơ chế được quy định trước. Terminal Thiết bị đầu cuối. Wide Area Netword (WAN) Mạng diện rộng. World Wide Web (WWW hay W3) Hệ thống thông tin toàn cầu dựa trên cơ sở ngôn ngữ HTML.