Đề tài Mạng LAN và các phương pháp bảo mật

LỜI CẢM ƠN Đồ án được hoàn thành là nhờ sự giúp đỡ tận tình của các thầy cô, các bạn đồng niên và những người thân. Lời đầu tiên em xin bày tỏ lòng biết ơn đến tất cả những người đã giúp đỡ em trong quá trình học tập và hoàn thành đồ án tốt nghiệp này. Đặc biệt em xin bày tỏ lòng biết ơn chân thành nhất tới thầy Nguyễn Hoàng Dũng, người đã trực tiếp hướng dẫn và giúp đỡ em trong quá trình nghiên cứu thực hiện đề tài. Em xin chân thành cảm ơn những ý kiến đóng góp hết sức quý báu của thầy giáo phản biện. Nhân dịp này cho em bày tỏ lòng biết ơn sâu sắc đến các thầy cô trong khoa Điện Tử-Viễn Thông trường Đại Học Bách Khoa Hà Nội trong suốt những năm học qua đã cung cấp cho em rất nhiều những kiến thức phục vụ cho công tác sau này. Sinh viên Nguyễn Quốc Bảo MỤC LỤC MỤC LỤC HÌNH Hình 1.1.1: Một hệ thống mạng đơn giản 9 Hình 1.1.2: Một số topology mạng thông thường 11 Hình 1.1.3: Peer to peer network 12 Hình 1.1.4: Client/server network 13 Hình 1.3.1: Mô hình OSI 7 tầng 20 Hình 1.3.2: Quan hệ giữa các tầng trong mô hình OSI 22 Hình 1.3.3: Quá trình Encapsulation 23 Hình 1.3.4: So sánh giữa OSI và TCP/IP 25 Hình 1.3.5: Các lớp địa chỉ IP 29 Hình 2.1.1: Mô hình thiết kế mạng LAN 34 Hình 2.1.2: Các lớp trong thiết kế mạng LAN 35 Hình 2.1.3: Các gói tin chạy trong VLAN 37 Hình 2.2.1: Mô hình phân lớp trong thiết kế mạng LAN 39 Hình 2.3.1: Mô hình point to point 42 Hình 2.3.2: Mô hình star 43 Hình 2.3.3: Mô hình mesh 43 Hình 2.3.4: Mô hình phân lớp trong thiết kế mạng WAN 44 Hình 3.1.1: Quá trình bắt tay 3 bước (3- way handshake) 50 Hiình 3.1.2: SYN attack 51 Hình 3.2.1: Mô hình triển khai VLAN 57 Hình 3.2.2: VLAN trunk 58 Hình 3.2.3: Application Layer Gateway 66 Hình 3.2.4: Mô hình triển khai firewall 67 Hình 3.2.5: Mô hình triển khai kết hợp firewall nhiều tầng 68 Hình 3.2.6: Vị trí hoạt động của NIDSs 70 Hình 4.1.1: Mô hình mạng mô phỏng 72 LỜI NÓI ĐẦU Ngày nay, tất cả các nước trên thế giới đều đang dành sự đầu tư rất to lơn để phát triển công nghệ thông tin. Cùng với viễn thông, tin học là một thành phần cốt lõi của công nghệ thông tin. Thuật ngữ “mạng máy tính” đã trở nên quen thuộc và trở thành đối tượng nghiên cứu, ứng dụng của rất nhiều người có nghề nghiệp và phạm vi hoạt động khác nhau. Từ khi ra đời, mạng máy tính đã đáp ứng nhu cầu chia sẻ nguồn tài nguyên, giảm chi phí khi muốn trao đổi dữ liệu và được sử dụng trong công tác văn phòng một cách rất tiện lợi. Đến nay, do sự phát triển của xã hội, nhu cầu trao đổi thông tin ngày một nhiều, vì vậy mạng máy tính không ngừng phát triển, không ngừng tối ưu hoá các dịch vụ để đáp ứng yêu cầu đó. Trong những năm gần đây, internet đã trở thành một công cụ rất thuận tiện và phổ biến trong các hoạt động kinh doanh và giải trí. Trong môi trường mạng, một lượng thông tin hay một khối dữ liệu đi từ người gửi đến người nhận thường phải qua nhiều nút với sử dụng khác nhau, không có ai có thể đảm bảo rằng thông tin không bị sao chép, đánh cắp hay xuyên tạc. Do đó việc xây dựng và hoạch định ra một chính sách, triển khai xây dựng hệ thống mạng một cách an toàn nhằm tạo ra một môi trường mạng “trong sạch” đang là một vấn đề được rất nhiều tổ chức, doanh nghiệp, quốc gia quan tâm. Để làm được điều này, các cơ quan tổ chức cần phải xây dựng cho mình một chính sách bảo vệ môi trường mạng của mình một cách thiết thực nhất. Dựa trên những yêu cầu đặt ra ban đầu, thông qua những hiểu biết về việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy được những điểm mạnh sẵn có và khắc phục được các điểm yếu cho nhau nhằm đạt được mục tiêu chính là bảo vệ an toàn cho hệ thống mạng đó. Với đồ án tốt nghiệp đề tài: ”Mạng LAN và các phương pháp bảo mật”, em muốn nêu lên một số phương pháp giúp cho người quản trị mạng có thể triển khai để bảo vệ mạng trước những tấn công và truy nhập trái phép. Nội dung đồ án được chia thành các phần: Phần 1: Tổng quan về mạng máy tính Phần 2: Thiết kế mạng LAN và WAN Phần 3: Một số phương pháp tấn công và các biện pháp bảo vệ mạng Phần 4: Xây dựng mô hình hệ thống mô phỏng Kết luận PHẦN 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH Chương 1: CÁC KHÁI NIỆM CƠ BẢN 1. Mạng và kết nối mạng Ở mức độ cơ bản nhất, mạng (network) bao gồm hai máy tính nối với nhau bằng cáp (cable) sao cho chúng có thể dùng chung dữ liệu. Mọi mạng máy tính cho dù tinh vi phức tạp đến bao nhiêu đi nữa thì cũng đều bắt đầu từ những hệ thống đơn giản như vậy. Đây chính là một thành tựu lớn lao trong công nghệ truyền thông. Mạng máy tính phát sinh từ nhu cầu chia sẻ (share) dữ liệu của người dùng máy tính. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh và nhiều dạng thông tinh khác nhưng lại không cho phép nhanh chóng chia sẻ dữ liệu bạn đã tạo cho mọi người cùng xem và thưởng thức. Không có hệ thống mạng dữ liệu, muốn mang thông tin sang các máy tính khác bạn chỉ có thể dùng tới sự giúp đỡ của đĩa mềm (floppy), hoặc là in tài liệu cần chia sẻ ra giấy. Đó là sự hạn chế rất lớn của việc thiếu môi trường mạng. Đây chính là sự làm việc trong môi trường độc lập, do đó hiệu quả công việc không cao. Nếu một người trong môi trường độc lập nối máy tính của mình với máy tính của nhiều người khác, anh ta sẽ có thể sử dụng dữ liệu trên các máy tính khác, kể cả máy in. Một nhóm máy tính và các thiết bị ngoại vi kết nối với nhau bởi các đường truyền vật lý theo một kiến trúc nào đó được gọi là mạng (network), còn khái niệm các máy tính nối với nhau dùng chung tài nguyên gọi là nối mạng (networking). Hình 1.1.1: Một hệ thống mạng đơn giản Đường truyền vật lý dùng để truyền các tín hiệu điện tử giữa các máy tính. Hiện nay cả hai loại đường truyền hữu tuyến (cable) và vô tuyến (wireless) đều được sử dụng trong việc nối kết mạng máy tính. Đường truyền hữu tuyến gồm có: +Cáp đồng trục (coxial cable). +Cáp đôi xoắn (twisted pair cable), gồm hai loại STP và UTP. +Cáp quang (fiber optic cable). Đường truyền vô tuyến gồm có: +Radio. +Sóng cực ngắn (micro wave). +Hồng ngoại (infrared). Kiến trúc mạng máy tính (network architecture) thể hiện cách nối các máy tính với nhau ra sao và tập hợp các quy tắc, quy ước mà tất cả các thực thể tham gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt. Cách nối các máy tính gọi là topology của mạng, còn tập hợp các quy tắc, quy ước truyền thông gọi là giao thức (protocol) của mạng. *Topo mạng: Một số topo thường được dùng là: +Bus (xa lộ): Tất cả các trạm phân chia chung một đường truyền chính. Đưòng truyền này được giới hạn 2 đầu bởi một loại đầu nối đặc biệt gọi là terminator. Mỗi trạm được nối vào bus qua một đầu nối chữ T. Khi 1 trạm truyền dữ liệu, tín hiệu được quảng bá trên 2 chiều của bus, nghĩa là tất cả các trạm còn lại đều có thể nhận được. +Ring (vòng): Tín hiệu được lưu chuyển trên vòng theo một chiều duy nhất. Mỗi trạm được nối với vòng qua một bộ chuyển tiếp (repeater) có nhiệm vụ nhận tín hiệu và chuyển đến trạm kế tiếp trên vòng. Cần thiết phải có giao thức điều khiển việc cấp phát “quyền” được truyền dữ liệu trên vòng cho các trạm có nhu cầu. +Star (hình sao): Tất cả các trạm được nối vào 1 thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển đến trạm đích của tín hiệu. Tuỳ theo yêu cầu của truyền thông mạng thiết bị trung tâm có thể là một bộ chuyển mạch (switch), bộ chọn đường (router) hoặc đơn giản là một bộ phân kênh (hub). Star là topo lắp đặt đơn giản, dễ cấu hình, dễ kiểm soát và khắc phục sự cố. Tuy nhiên độ dài đường truyền với thiết bị trung tâm bị hạn chế (khoảng 100m). +Extended star (hình sao mở rộng): Nó cũng tương tự dạng hình sao. Các bộ tập trung của các mạng hình sao lại được được nối vào một bộ tập trung khác. +Hierarchical (phân lớp): Topo này cũng tương tự như dạng sao mở rộng. Sự khác biệt ở đây là ở đây không sử dụng nút trung tâm như hình sao mở rộng. +Mesh (tổng hợp): Trong dạng này, tất cả các thiết bị đều có đường nối trực tiếp đến thiết bị khác. Ưu điểm của dạng này là đảm bảo mạng vẫn hoạt động bình thường trong trường hợp có một vài kết nối nào đó bị hỏng. Tuy nhiên dạng này chi phí cao do mất nhiều dây nối giữa các trạm. Topo này thường được dùng trong các mạng lõi (backbone). Hình 1.1.2: Một số topology mạng thông thường 2. Các loại hình mạng Theo cơ chế hoạt động thì mạng máy tính được chia làm hai loại, đó là mạng ngang hàng và mạng dựa trên máy phục vụ. *Mạng ngang hàng (peer to peer): Mạng ngang hàng là sự lựa chọn lý tưởng cho các môi trường mạng: +Có ít hơn 10 người dùng. +Tất cả người dùng đều ở trong một khu vực. +Tính bảo mật không phải là vấn đề quan trọng. +Số người dùng và mạng sẽ hạn chế phát triển trong tương lai gần. Hình 1.1.3: Peer to peer network Trong mạng ngang hàng người dùng có thể quản lý tài nguyên của mình, có thể chia sẻ cũng như không cho phép truy cập dữ liệu từ những người dùng khác. Một ưu điểm rất lớn của mạng ngang hàng là rất dễ cài đặt và sử dụng. Như vậy trong một số trường hợp sử dụng mạng ngang hàng là một giải pháp tương đối tốt. *Mạng dựa trên máy phục vụ (client/server): Trong trường hợp có nhiều hơn 10 người dùng mạng ngang hàng sẽ không đáp ứng được yêu cầu đặt ra. Vì thế hầu hết các mạng đều có máy phục vụ chuyên dụng. Máy phục vụ chuyên dụng là máy chủ hoạt động như một máy phục vụ chứ không kiêm luôn vai trò của máy khách hay máy trạm. Máy phục vụ có tính chuyên dụng vì chúng được thiết kế tối ưu hoá để phục vụ nhanh yêu cầu của khách trên mạng cũng như đảm bảo an toàn cho tập tin và thư mục. Mạng dựa trên máy phục vụ đã trở thành mô hình chuẩn cho hệ thống mạng ngày nay. Mạng dựa trên máy phục vụ đã giải quyết được một số nhược điểm của mạng ngang hàng, vấn đề an ninh và mở rộng mạng đã được đáp ứng tốt hơn. Tuy nhiên nó cũng có một số nhược điểm nhất định. Các máy server yêu cầu cấu hình cao và thông thường rất đắt. Ngoài ra nếu chỉ dùng một máy server thì mạng sẽ ngừng làm việc nếu như server hỏng. Hình 1.1.4: Client/server network Một số máy phục vụ chuyên dụng: +Máy phục vụ tập tin, in ấn (file/print server). +Máy phục vụ thư tín (mail server). +Máy phục vụ fax (fax server). +Máy phục vụ web (web server). … Theo phân vùng địa lý thì mạng máy tính được chia thành các loại hình sau: *Mạng cục bộ LAN (local area network): Đây là loại hình mạng được cài đặt trong môi trường tương đối nhỏ (ví dụ trong 1 toà nhà, trong một trường học …). Một số công nghệ mạng LAN thông dụng là Ethernet, Tocken Ring, FDDI (Fiber Distributed Data Interface). *Mạng đô thị MAN (Metropolitan Area Network): Đây là mạng được cài đặt trong một đô thị hoặc trong một trung tâm kinh tế - xã hội có bán kính nhỏ hơn 100km. *Mạng diện rộng WAN (Wide Area Network): Mạng WAN kết nối các mạng trong một vùng địa lý rộng, phạm vi có thể là trong một quốc gia và thậm chí cả lục địa. Một số công nghệ thường dùng trong mạng WAN là ISDN (Intergrated Services Digital Network, DSL (Digital Subscriber Line), Frame relay, SONET (Synchronous Optical Network). Theo kĩ thuật chuyển mạch thì ta sẽ có các loại mạng sau: mạng chuyển mạch kênh, mạng chuyển mạch thông báo và mạng chuyển mạch gói. *Mạng chuyển mạch kênh (circuit switched network): Khi có hai thực thể muốn trao đổi thông tin thì giữa chúng thiết lập một kênh cố định và được duy trì cho đến khi một trong hai bên ngắt liên lạc. Các dữ liệu chỉ được truyền theo một đường cố định đó. Phương pháp này có hai nhược điểm đó là phải mất thời gian thiết lập kênh cố định giữa hai thực thể và hiệu suất sử dụng đường truyền không cao trong trường hợp cả hai bên đều hết thông tin để truyền trong khi các thực thể khác không được sử dụng kênh này. *Mạng chuyển mạch thông báo (message switched network): Thông báo (message) là một đơn vị thông tin của người sử dụng có khuôn dạng được quy định trước. Mỗi thông báo đều có vùng thông tin điều khiển trong đó chỉ định rõ đích của thông báo. Căn cứ vào thông tin này mà mỗi nút có thể chuyển thông báo đến nút kế tiếp trong đường dẫn đến đích của nó. Tuỳ thuộc vào điều kiện của mạng, các thông báo khác nhau có thể được gửi đi trên các con đường khác nhau. Phương pháp này có hiệu suất sử dụng đường truyền cao, mỗi nút mạng có thể lưu trữ thông báo cho đến khi kênh truyền rỗi rồi mới gửi thông báo đi do đó giảm được tình trạng tắc nghẽn. *Mạng chuyển mạch gói (packet switched network): Mỗi thông báo được chia thành nhiều phần nhỏ hơn gọi là các gói tin (packet) có khuôn dạng quy định trước. Mỗi gói tin cũng chứa các thông tin điều khiển trong đó có địa chỉ nguồn và địa chỉ đích. Các gói tin thuộc một thông báo nào đó có thể đi theo các con đường khác nhau để đi đến đích. Phương pháp này cũng tương tự như phương pháp chuyển mạch thông báo. Điểm khác biệt là ở chỗ gói tin được giới hạn kích thước sao cho các nút mạng có thể xử lý toàn bộ gói tin mà không phải lưu trữ tạm thời. Bởi vậy mạng chuyển mạch gói truyền các gói tin nhanh hơn và hiệu quả hơn so với chuyển mạch thông báo. Vấn đề cơ bản nhất của phương pháp này là tập hợp các gói tin và sắp xếp sao cho đúng thứ tự trong trường hợp các gói đi theo các đường khác nhau. Như vậy cần phải có các cơ chế đánh dấu gói tin và phục hồi các gói tin bị thất lạc hoặc bị lỗi trong quá trình truyền. Chương 2: MỘT SỐ THIẾT BỊ MẠNG THÔNG THƯỜNG 1. Cáp Cáp dùng làm phương tiện truyền dẫn kết nối giữa các thành phần của mạng với nhau. Có một số loại cáp thông thường là cáp đồng trục (coxial), cáp xoắn đôi (twisted pair) và cáp sợi quang (fiber optic).Trong mô hình OSI cáp được coi là thiết bị tầng 1. Bảng 1.2.1: Một số loại cáp thông dụng Cáp đồng trục mảnh 10Base2 Cáp đồng trục dầy 10Base5 Cáp xoắn đôi 10BaseT Cáp quang Chi phí Cao hơn cáp xoắn đôi Cao hơn cáp mảnh Thấp nhất Cao nhất Độ dài tối đa 185m 500m 100m Có thể rất xa Tốc độ truyền 10Mbps 10Mbps 10, 100Mbps Cao hơn 100Mbps Cài đặt Dễ Dễ Rất dễ Khó Chống nhiễu Tốt Tốt Dễ bị nhiễu Rất tốt Sử dụng Trong các địa điểm có yêu cầu bảo mật cao Sử dụng rất phổ biến Những môi trường đòi hỏi tốc độ, bảo mật cao 2. Card mạng Card mạng (Network Interface Card – NIC) dùng để kết nối giữa máy tính và phương tiện truyền dẫn. Mỗi card mạng được đại diện bởi một địa chỉ MAC (Media Access Control) dài 48bit quy định bởi nhà sản xuất. Trong mạng LAN thì địa chỉ MAC được dùng để quyết định điểm đến của gói tin. NIC được coi là thiết bị tầng 2 trong mô hình OSI. 3. Hub Được dùng trong mạng LAN, hoạt động ở tầng 1 (physical).Trên Hub có nhiều cổng để kết nối với máy tính. Các máy tính được nối vào Hub sẽ nằm trong 1 vùng xung đột (collision domain). Trong cùng 1 thời điểm chỉ có 1 máy được gửi dũ liệu đi. Các máy bị chia sẻ bandwidth nhưng bù lại giá thành lại rẻ. Ngày nay Hub ít được sử dùng và được thay thế bằng switch. 4. Bridge Hoạt động ở tầng 2 (Data link). Bridge dùng để kết nối 2 hoặc nhiều mạng Lan với nhau. Ở mỗi cổng của bridge là một vùng xung đột. Bridge dùng địa chỉ MAC để quyết định xem có cho gói tin đi qua không. Tốc độ hoạt động của bridge cao hơn của hub. 5. Switch Hoạt động ở tầng 2. Cũng giống như bridge, switch dùng để kết nối các mạng Lan với nhau. Thay vì dùng phần mềm như bridge, switch dùng phần cứng nên tốc độ hoạt động nhanh hơn rất nhiều 6. Router Hoạt động ở tầng 3 (Network). Mỗi cổng của router là một vùng quảng bá (broadcast domain). Router hoạt động dựa trên địa chỉ tầng 3, có nhiệm vụ xác định đường đi tới đích tối ưu cho các gói dữ liệu, định tuyến điều khiển luồng để đảm bảo tốc độ và tính toàn vẹn của dữ liệu. 7. Card mạng không dây và điểm truy cập Khi dùng mạng không dây mỗi máy tính cũng cần một thiết bị kết nối với đường truyền gọi là Wireless Nic. Các máy tính sẽ được kết nối thông qua một điểm truy cập chung gọi là Access Point (AP). Chúng ta có thể coi như Access Point giống như là hub trong mạng LAN thông thường. Chương 3: MÔ HÌNH OSI VÀ TCP/IP 1. Mô hình OSI Để giảm độ phức tạp khi thiết kế và cài đặt mạng, hầu hết các mạng máy tính đều được phân tích và thiết kế theo quan điểm phân tầng. Mỗi hệ thống thành phần của mạng được xem là một cấu trúc đa tầng trong đó mỗi tầng được xây trên tầng trước đó. Số lượng các tầng cũng như tên và chức năng của các tầng tuỳ thuộc vào nhà thiết kế. Khi thiết kế các nhà thiết kế tự lựa chọn kiến trúc mạng riêng của mình, từ đó dẫn đến tình trạng không tương thích giữa các mạng: phương pháp truy nhập đường truyền khác nhau, sử dụng các bộ giao thức khác nhau… Sự không tương thích này gây ra những khó khăn trong việc tương tác giữa những người sử dụng. Các nhà sản xuất và các nhà nghiên cứu, thông qua các tổ chức chuẩn hoá quốc gia và quốc tế, tích cực tìm ra sự hội tụ cho các sản phẩm mạng trên thị trường. Đê có được điều đó, trước hết cần xây dựng được một khung chuẩn về kiến trúc mạng để làm căn cứ cho các nhà thiết kế và chế tạo các sản phẩm về mạng. Vì lý do đó, Tổ chức tiêu chuẩn hoá quốc tế ISO (International Organization for Standardization) đã xây dựng Mô hình tham chiếu cho việc kết nối các hệ thống mở (Referrence Model for Open Systems Interconnection). Mô hình này được dùng làm cơ sở cho việc nối kết các hệ thống mở phục vụ cho các ứng dụng phân tán. “Mở” ở đây nói lên khả năng 2 hệ thống có thể nối kết để trao đổi thông tin với nhau nếu chúng tuân thủ mô hình tham chiếu và các chuẩn liên quan. 1.1. Kiến trúc phân tầng Mô hình OSI được chia làm 7 tầng. Mỗi tầng OSI có những chức năng mạng được định rõ, các chức năng của mỗi tầng giao tiếp với chức năng của tầng ngay bên trên và ngay bên dưới nó. Tầng thấp nhất định nghĩa phương tiện vật lý của mạng và các tác vụ liên quan như đưa bit dữ liệu lên card mạng và cáp. Tầng cao nhất định nghĩa cách thức chương trình ứng dụng truy cập các dịch vụ truyền thông. Tầng càng cao nhiệm vụ của tầng càng trở nên phức tạp. 7. Ứng dụng (Application Layer) 6. Trình diễn (Presentation Layer) 5. Phiên (Session Layer) 4. Giao vận (Transport Layer) 3. Mạng (Network Layer) 2. Liên kết dữ liệu (DataLink Layer) 1. Vật lý (Physical Layer) Hình 1.3.1: Mô hình OSI 7 tầng Mỗi tầng cung cấp dịch vụ hoặc hoạt động chuẩn bị dũ liệu để chuyển giao qua mạng đến các máy tính khác. Mỗi tầng được xây dựng dựa trên các tiêu chuẩn và hoạt động của tầng trước đó. 1.2. Chức năng của các tầng trong mô hình OSI *Tầng vật lý: Liên quan đến nhiệm vụ truyền dòng bit không có cấu trúc qua đường truyền vật lý, truy nhập đường truyền vật lý nhờ các phương tiện cơ, điện, hàm, thủ tục. Tầng vật lý định nghĩa cách kết nối giữa cáp và card mạng như thế nào. Chẳng hạn, nó định rõ bộ nối có bao nhiêu chân và chức năng của từng chân như thế nào. Tầng này cũng định rõ kĩ thuật truyền nào sẽ được dùng để gửi dữ liệu lên cáp mạng. Tầng vật lý chịu trách nhiệm truyền bit (bit 0 và bit 1) từ máy tính này sang máy tính khác. Bản thân bit không có ý nghĩa rõ rệt. Tầng vật lý định rõ sự mã hoá bit và sự đồng bộ, bảo đảm rằng khi truyền đi bit 1 thì sẽ nhận được bit 1 chứ không phải là bit 0. Tầng vật lý cũng định rõ mỗi bit kéo dài bao lâu và được diễn dịch thành xung điện hay xung ánh sáng thích hợp với cáp mạng như thế nào. *Tầng liên kết dữ liệu: Cung cấp phương tiện để truyền thông tin qua liên kết vật lý đảm bảo tin cậy, gửi các khung dữ liệu (frame) với các cơ chế đồng bộ hoá, kiểm soát lỗi và kiểm soát luồng dữ liệu cần thiết *Tầng mạng: Thực hiện việc chọn đường và chuyển tiếp thông tin với công nghệ chuyển mạch thích hợp, thực hiện việc kiểm soát luồng dữ liệu và cắt/hợp dữ liệu nếu cần. Tầng mạng cung cấp phương tiện để truyền các đơn vị dữ liệu qua mạng, bởi vậy nó cần phải đáp ứng với nhiều kiểu mạng và nhiều kiểu dịch vụ cung cấp bởi các mạng khác nhau. *Tầng giao vận: Thực hiện việc truyền dữ liệu giữa hai đầu mút (end to end), thực hiện việc kiểm soát lỗi và kiểm soát luồng giữa hai đầu mút. Cũng có thể thực hiện việc ghép kênh (multiplexing), cắt/hợp dữ liệu nếu cần. Tầng giao vận là ranh giới giữa các tầng thấp và các tầng cao trong mô hinh OSI, nó vừa phải biết về yêu cầu chất lượng dịch vụ (Quality of Service – QOS) của người sử dụng đồng thời cũng phải biết được khả năng cung cấp dịch vụ của mạng bên dưới. *Tầng phiên: Cung cấp phương tiện quản lý truyền thông giữa các ứng dụng: thiết lập, duy trì, đồng bộ hoá và huỷ bỏ các phiên truyền thông giữa các ứng dụng. *Tầng trình diễn: Chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng dụng trong môi trường OSI. *Tầng ứng dụng: Cung cấp các phương tiện để người sử dụng có thể truy nhập được vào môi trường OSI, đồng thời cung cấp các dịnh vụ thông tin phân tán. 1.3. Quan hệ giữa các tầng trong mô hình OSI Nhiệm vụ của mỗi tầng là cung cấp dịch vụ cho tầng ngay bên trên nó và đưa yêu cầu đối với tầng ngay bên dưới nó. Các tầng được thiết lập theo cách thức qua đó mỗi tầng hoạt động như thể nó đang giao tiếp với tầng đối tác của nó trong máy tính khác. Đây là dạng giao tiếp ảo hay giao tiếp logic giữa những tầng đồng mức. Thật sự là giao tiếp xảy ra giữa các tầng kề nhau trên cùng 1 máy tính. Hình 1.3.2: Quan hệ giữa các tầng trong mô hình OSI Thông tin truyền trên mạng giữa nguồn và đích được gọi là các gói dữ liệu (data packets). Một máy tính (host A) muốn gửi dữ liệu đến một máy tính khác (host B) thì dữ liệu phải tuân theo một quá trình gọi là quá trình đóng gói (Encapsulation). Khi dữ liệu chạy từ tầng trên xuống tầng dưới, mỗi tầng sẽ thêm một phần đầu (header) và có thể là phần cuối (trailer) vào dữ liệu trước khi chuyển xuống tầng dưới. Các phần header và trailer này chứa thông tin điều khiển cho các thiết bị mạng và đầu nhận để đảm bảo dữ liệu được chuyển đến đúng nơi nhận. Thông tin từ tầng ứng dụng qua tầng trình diễn sẽ được chuyển đổi sao cho nó có thể truyền qua mạng. Ở tầng giao vận, dữ liệu sẽ được đóng gói để thực hiện truyền giữa hai đầu mút (end to end). Qua tầng mạng, địa chỉ mạng sẽ được thêm vào phần header. Phần header thêm vào này chứa địa chỉ logic của nguồn và đích. Đến tầng liên kết dữ liệu các gói dữ liệu sẽ được chuyển thành các khung (frame). Phần header của khung sẽ chứa thông tin về địa chỉ vật lý của nguồn và đích. Ngoài ra có thể có thêm phần trailer chứa thông tin sửa lỗi. Đến tầng vật lý dữ liệu sẽ được chuyển thành dạng bit để truyền trên đường truyền đến nơi nhận. Hình 1.3.3: Quá trình Encapsulation Tại nơi nhận, quá trình xảy ra ngược lại (De-Encapsulation). Ở mỗi tầng sẽ nhận dữ liệu, loại bỏ thông tin của tầng mình rồi chuyển lên tầng tiếp theo. Khi thông tin chuyển đến tầng ứng dụng, mọi thông tin về địa chỉ đã được loại bỏ, dữ liệu trở về dạng ban đầu mà máy nhận có thể đọc được. Ngoại trừ tầng thấp nhất trong mô hình mạng, không tầng nào có thể truyền trực tiếp thông tin sang tầng tương ứng trên máy tính khác. Thông tin cần phải truyền xuống các tầng dưới và ở máy nhận lại truyền ngược lên tầng tương ứng. Ví dụ tầng mạng của máy gửi (host A) gửi thông tin thì nó sẽ qua tầng liên kết dữ liệu và tầng vật lý rồi qua cáp mạng đến tầng vật lý của máy nhận (host B), sau đó qua tầng liên kết dữ liệu và đến nơi nhận là tầng mạng. Mỗi tầng có một giao thức điều khiển riêng của nó. Giao thức này sẽ quyết định tầng dưới sẽ phải cung cấp những dịch vụ nào cho tầng trên và quy định rõ những dịch vụ này được truy cập như thế nào. 2. Mô hình TCP/IP 2.1. Kiến trúc phân tầng Cũng giống như mô hình OSI, mô hình TCP/IP (Transmission Control Protocol/Internet Protocol) cũng sử dụng kiến trúc phân tầng. TCP là một giao thức kiểu có kết nối (Connection Oriented), tức là cần phải có một giai đoạn thiết lập liên kết giữa 2 thực thể TCP trước khi chúng thực hiện trao đổi dữ liệu. IP là một giao thức kiểu không có kết nối (Connectionless), nghĩa là không cần phải thiết lập kết nối trước khi thực hiện trao đổi thông tin. Trong mô hình TCP/IP không chỉ sử dụng hai giao thức TCP và IP mà ngoài ra còn sử dụng rất nhiều các giao thức khác như UDP,FTP… Tuy nhiên trên môi trường Internet hiện nay chủ yếu sử dụng 2 giao thức là TCP và IP. Hình 1.3.4: So sánh giữa OSI và TCP/IP Mô hình TCP/IP gồm 4 tầng: Tầng ứng dụng (Application), tầng giao vận (Transport), tầng Internet, tầng truy cập mạng (Network Access). Tương quan giữa mô hình TCP/IP và mô hình OSI như trên hình. 2.2. Các tầng trong mô hình TCP/IP *Tầng ứng dụng: Tầng ứng dụng của TCP/IP tương đương với 3 tầng trên cùng của mô hình OSI do vậy nó mang chức năng tổng hợp của cả 3 tầng. Một số giao thức thường dùng của tầng ứng dụng : +HTTP (Hypertext Transfer Protocol): Giao thức này sử dụng bởi World Wide Web (www). HTTP quy định việc định dạng và truyền các bản tin như thế nào. +FTP (File Transfer Protocol): Đây là giao thức truyền tệp, được sử dụng để truyền từ máy này sang máy khác. Giao thức này đảm bảo sự tin cậy và sử dụng kiểu có kết nối. +TFTP (Trivial File Transfer Protocol): Cũng là giao thức truyền tệp như FTP nhưng là dạng không kết nối. Nó không đảm bảo sự tin cậy nhưng tốc độ lại nhanh hơn FTP rất nhiều. Nó được sử dụng chủ yếu trong môi trường mạng LAN vì môi trường này rất ít xảy ra lỗi. +SMTP (Simple Mail Transfer Protocol): Giao thức chuyển e-mail trong mạng máy tính. +Telnet (Terminal emulation): Giao thức cho phép điều khiển 1 thiết bị từ một thiết bị ở xa. +SNMP (Simple Network Management Protocol): Giao thức cho phép quan sát và điều khiển các thiết bị mạng trong việc cấu hình, bảo mật… +DNS (Domain Name System): Hệ thống chuyển từ tên miền sang địa chỉ IP của nó. *Tầng giao vận: Tầng giao vận cung cấp các dịch vụ chuyển dữ liệu từ máy gửi sang máy nhận. Nó thiết lập 1 kết nối logic giữa máy gửi và máy nhận (end to end). Ngoài ra nó cũng tham gia vào việc điều khiển luồng và cung cấp thông tin đảm bảo độ tin cậy của dữ liệu nhận được. Lớp giao vận dùng hai giao thức là TCP và UDP (User Datagram Protocol). UDP là một giao thức không có kết nối. *Tầng Internet: Tầng Internet có nhiệm vụ quan trọng nhất là định tuyến cho các gói tin đi đến đúng địa chỉ đích. Giao thức chủ yếu được sử dụng trong tầng Internet là IP (Internet Protocol). Đây là một giao thức kiểu không có kết nối. Nó không liên quan gì đến nội dung của gói tin mà chỉ có nhiệm vụ chuyển gói tin đến đích. Ngoài ra tầng này còn có một số giao thức khác: +ICMP (Internet Control Message Protocol). +ARP (Address Resolution Protocol): giao thức chuyển từ địa chỉ IP sang địa chỉ MAC tương ứng. +RARP (Reveser ARP): giao thức chuyển từ địa chỉ MAC sang địa chỉ IP. *Tầng truy cập mạng: Tầng này tương đương với 2 tầng dưới cùng của mô hình OSI. Nó có nhiệm vụ thiết lập kết nối vật lý giữa máy tính và đường truyền của mạng. Tầng này bao gồm kĩ thuật của mạng LAN và WAN. Như vậy các công nghệ được sử dụng trong tầng này là Ethernet, Fast Ethernet, FDDI, ATM, Frame Relay… Các giao thức thường dùng trong tầng này là ARP và RARP. 2.3. Giao thức IP Mục đích của IP (Internet Protocol) là cung cấp sự liên kết các mạng con tạo thành liên mạng để truyền dữ liệu. Vai trò của IP giống như vai trò của giao thức tầng mạng trong mô hình OSI. Mặc dù từ Internet xuất hiện trong tên của nó nhưng không nhất thiết phải sử dụng trên Internet. IP có thể sử dụng trong các mạng mà không có liên hệ gì với internet. *Địa chỉ IP: Để có thể truyền thông tin giữa các máy tính trong mạng, mỗi máy tính cần có một địa chỉ xác định gọi là địa chỉ IP. Hiện nay mỗi địa chỉ IP được tạo bởi một số 32 bit (Ipv4) và được chia thành 4 vùng. Giữa các vùng cách nhau bởi dấu chấm. Mỗi vùng gọi là một octet, gồm 1 byte có thể biểu diễn dưới dạng thập phân, nhị phân… nhưng phổ biến nhất là biểu diễn dưới dạng thập phân. Như vậy mỗi địa chỉ IP được biểu diễn bởi 4 số có giá trị từ 0 đến 255. Ví dụ: 192.168.1.0. Mỗi địa chỉ IP được đặt cho 1 host duy nhất trên mạng. Có 3 dạng địa chỉ IP phổ biến: +Unicast: Thể hiện 1 địa chỉ đơn hướng, là địa chỉ dùng để nhận dạng từng nút mạng một. +Multicast: Thể hiện 1 địa chỉ đa hướng, là địa chỉ nhận dạng một nhóm các nút mạng nào đó. Khi gói dữ liệu gửi đến địa chỉ multicast nó sẽ được chuyển đến tất cả các máy nằm trong nhóm multicast này. +Broadcast: Thể hiện tất cả các nút trên mạng, thông thường đó là tất cả các host trên một mạng con địa phương. Các địa chỉ IP được chia làm 2 phần, một phần để xác định mạng (Net ID), một phần để xác định địa chỉ host (Host ID). Hai mạng khác nhau thì cần có hai địa chỉ mạng khác nhau, hai máy tính khác nhau trong cùng một mạng cần có hai địa chỉ host khác nhau. Hai máy tính trong cùng một mạng sẽ chung địa chỉ mạng. *Các lớp địa chỉ IP: Có 5 lớp địa chỉ IP là các lớp A,B,C,D,E trong đó các lớp A,B,C được dùng để đánh địa chỉ thông thường, còn các lớp D,E dùng để dự phòng và nghiên cứu. Hình 1.3.5: Các lớp địa chỉ IP +Địa chỉ lớp A: Cung cấp cho các mạng có số lượng máy tính lớn. Byte đầu tiên xác định địa chỉ mạng, 3 byte tiếp theo xác định địa chỉ máy trạm. Octet đầu tiên của địa chỉ lớp A có giá trị từ 0 đến 127 và có bít đầu tiên là bit 0. +Địa chỉ lớp B: Cung cấp cho các mạng có số lượng máy tính trung bình. Hai byte đầu xác định địa chỉ mạng, 2 byte cuối xác định địa chỉ máy trạm. Octet đầu tiên có giá trị từ 128 đến 191 và có hai bit đầu tiên là 10. +Địa chỉ lớp C: Cung cấp cho các mạng nhỏ, có ít máy tính. Ba byte đầu tiên xác định địa chỉ mạng, byte cuối cùng xác định địa chỉ máy trạm. Octet đầu tiên có giá trị từ 192 đến 223 và có 3 bit đầu tiên là 110. +Địa chỉ lớp D: Dùng để dự phòng. Octet đầu tiên có giá trị từ 224 đến 239 và có 4 bit đầu tiên là 1110. +Địa chỉ lớp E: Dùng để nghiên cứu. Octet đầu tiên có giá trị từ 240 đến 254 và có 5 bit đầu tiên là 11110. Bảng 1.3.1: Phân lớp địa chỉ IP Network class Số mạng Số host trong mạng A 126 (27 – 2) 16777214 (224 – 2) B 16382 (214 – 2) 65534 (216 – 2) C 2091150 (221 – 2) 254 (28 – 2) Có một số trường hợp đặc biệt: +Tất cả các bit của phần host đều là 0: Địa chỉ mạng. +Tất cả các bit của phần host đều là 1: Địa chỉ broadcast. +Tất cả các bit của phần network đều là 0 hoặc đều là 1: Không được sử dụng. +Địa chỉ 127.x.x.x đùng trong các trường hợp đặc biệt. Ví dụ địa chỉ loopback 127.0.0.1 *Subnet Mask: Để tiện cho việc quản lý địa chỉ IP, mỗi mạng có thể chia thành các mạng con (subnets). Thực chất việc chia nhỏ này là dùng phương pháp mượn một số bit trong phần host bit để làm network bit. Việc này được thực hiện bằng địa chỉ subnet mask. Subnet mask cũng giống như địa chỉ IP, gồm 32 bit trong đó: +Các bit 1 dùng để xác định địa chỉ mạng trên địa chỉ IP. +Các bit 0 đùng để xác định địa chỉ host trên địa chỉ IP. Ví dụ địa chỉ lớp A là 10.0.0.5, nếu không mượn bit nào thì subnet mask có giá trị là 255.0.0.0, nếu mượn 8 bit phần host để làm địa chỉ mạng thì subnet mask sẽ có giá trị là 255.255.0.0 Từ địa chỉ IP ta thực hiện phép toán logic AND với địa chỉ subnet mask sẽ ra địa chỉ mạng nơi đến. Kết quả này được dùng cho thuật toán tìm đường trên mạng. Với địa chỉ subnet mask, số bit dùng để đánh địa chỉ cho host có thể nhỏ hơn bình thường. Các mạng con thường được xác định bằng địa chỉ có thêm phần chú thích số bit được dùng để đánh địa chỉ mạng. Ví dụ mạng 172.16.1.0/24 mô tả subnet 172.16.1.0 thuộc lớp B nhưng có 24 bit dùng cho địa chỉ mạng và 8 bit dùng cho địa chỉ host. Như vậy mạng này chỉ có tối đa 254 máy chứ không phải là 65534 máy. *Địa chỉ IP công cộng (Public IP) và địa chỉ IP cá nhân (Private IP): Địa chỉ IP trước đây được quản lý và phân phối bởi NIC (Network Information Center) và bây giờ là IANA (Internet Assigned Numbers Authority). Địa chỉ IP công cộng là duy nhất, hai máy tính kết nối với mạng công cộng thì phải có địa chỉ IP khác nhau. Địa chỉ IP công cộng chỉ được cung cấp bởi các nhà cung cấp dịch vụ internet (ISP) hoặc bỏ tiền ra mua. Hiện nay địa chỉ IP công cộng đang ngày một cạn kiệt. Việc sử dụng địa chỉ IP cá nhân là một cách rất tốt góp phần tiết kiệm địa chỉ IP. Private IP bao gồm 3 dải địa chỉ: +10.0.0.0 đến 10.255.255.255 +172.16.0.0 đến 172.31.255.255 +192.168.0.0 đến 192.168.255.255 Địa chỉ private được sử dụng trong các mạng nội bộ. Các router trên Internet sẽ bỏ qua địa chỉ private. Để kết nối giữa mạng sử dụng địa chỉ private và mạng internet cần có một bộ chuyển đổi từ địa chỉ private sang địa chỉ public. Việc chuyển đổi này được thực hiện bởi NAT (Network Address Translation). Ngoài ra để khắc phục tình trạng thiếu địa chỉ IP người ta còn sử dụng một số phương pháp khác như phương pháp cung cấp địa chỉ IP động BOOTP (Bootstrap Protocol) hay DHCP (Dynamic Host Configuration Protocol). Khi thực hiện phương pháp này thì mỗi máy trên mạng không nhất thiết phải có một địa chỉ IP cố định mà nó sẽ được server cung cấp cho một địa chỉ IP khi kết nối. Một cách khác nữa là việc nghiên cứu phát triển địa chỉ IP version 6 (Ipv6). Ipv6 dùng 128 bit, do đó số lượng địa chỉ là rất lớn, có thể đáp ứng được yêu cầu của sự phát triển như hiện nay. PHẦN 2: THIẾT KẾ MẠNG LAN VÀ WAN Chương 1: THIẾT KẾ MẠNG LAN 1.Yêu cầu chung Thiết kế một mạng máy tính có thể coi là một nhiệm vụ không dễ dàng, nó không đơn giản chỉ là việc kết nối các máy tính với nhau. Một mạng máy tính yêu cầu rất nhiều đặc điểm để đảm bảo tính tin cậy, khả năng quản lý và có thể dễ dàng mở rộng. Người thiết kế mạng phải biết được rằng mỗi phần của mạng có những yêu cầu thiết kế khác nhau. Thông thường, việc thiết kế một mạng cần thoả mãn các yêu cầu sau: +Đảm bảo chức năng (Functionality): Mạng được thiết kế cần phải làm việc. Mạng cần đáp ứng những yêu cầu của người dùng, có thể kết nối mọi người với nhau hoặc là giữa người dùng với các ứng dụng và phải đảm bảo tốc độ cũng như độ tin cậy nào đó. +Khả năng mở rộng (Scalability): Mạng có thể mở rộng được. Mạng thiết kế ban đầu có thể mở rộng mà không phải thay đổi các thành phần chính của mạng. Đây là một yêu cầu tương đối quan trọng bởi vì ngày nay sự phát triển về số lượng người dùng trong mạng là rất lớn. +Khả năng thích ứng (Adaptability): Mạng được thiết kế sao cho có khả năng thích ứng được với các công nghệ của tương lai, nó không có các yếu tố có thể làm giảm những ứng dụng của các công nghệ mới khi các công nghệ này được sử dụng. Ví dụ cáp UTP Cat5 mới chỉ sử dụng 2 đôi dây, nếu sử dụng thêm các đôi dây nữa có thể tăng tốc độ lên, trong khi đó cáp đồng trục sẽ không đáp ứng được điều này. +Khả năng quản lý (Manageability): Mạng được thiết kế sao cho người quản trị dễ dàng trong việc quản lý và giám sát hoạt động của mạng. Ngoài các yêu cầu trên, trong thiết kế mạng LAN cũng cần tính đến một số vấn đề khác như vai trò và vị trí của các server, kích thước của các vùng quảng bá và vùng xung đột… Hình 2.1.1: Mô hình thiết kế mạng LAN Các server cho phép người dùng giao tiếp với nhau, chia sẻ thông tin và các ứng dụng. Có 2 loại server là enterprise và workgroup. Enterprise server cung cấp ứng dụng cho tất cả các người dùng trong mạng, ví dụ như mail server hay là DNS server. Workgroup server cung cấp các ứng dụng riêng cho từng phần của mạng. Thông thường enterprise server được đặt trong MDF (Main Distribution Facility) còn workgroup server được đặt trong IDF (Intermediate Distribution Facility). MDF và IDF sẽ bao gồm cả các panel để kết nối giữa các thiết bị để tránh việc trực tiếp sử dụng các cổng của thiết bị có thể dẫn đến hỏng hóc. Có 2 dạng panel là HCC (horizontal cross-connect) và VCC (vertical cross-connect). HCC dùng để kết nối giữa cáp của thiết bị tầng 1 với các cổng của switch. VCC để kết nối giữa IDF và MDF. Việc phân tích và thiết kế một mạng LAN sẽ trở nên đơn giản và dễ dàng hơn nếu phân chia công việc tương ứng theo các tầng của mô hình OSI. 2. Lớp 1 Khi thiết kế một mạng máy tính, việc sử dụng cáp loại nào cũng là một phần rất quan trọng. Ngày nay hầu hết các mạng LAN đều sử dụng công nghệ Fast Ethernet với tốc độ 100 Mbps. Việc thiết kế bao gồm cả việc đưa ra loại cáp được dùng trong từng thành phần của mạng (có thể dùng cáp đồng, cáp quang hoặc cáp xoắn đôi). Tuỳ thuộc vào khoảng cách giữa các thiết bị và yêu cầu về tốc độ mà quyết định việc dùng loại cáp nào cho hợp lý. Thực tế việc sử dủng cáp UTP cat5 là phổ biến nhất hiện nay. Đối với mạng đường trục (backbone) thường dùng cáp quang do yêu cầu về lưu lượng và độ an toàn lớn. Hình 2.1.2: Các lớp trong thiết kế mạng LAN 3. Lớp 2 Thiết bị chủ yếu sử dụng trong tầng 2 là LAN switch. Kích thước của các vùng xung đột (collision domain) được quyết định bởi các thiết bị tầng 2. Mỗi cổng của một thiết bị tầng 2 sẽ là một vùng xung đột. Như vậy các thiết bị tầng 2 sẽ chia nhỏ các vùng xung đột. Trên 1 switch có thể có các cổng với các tốc độ khác nhau. Các cổng nối với các máy trạm có tốc độ là 10mbps, trong khi đó cổng nối với router có lưu lượng lớn hơn nên có tốc độ là 100mbps (hoặc là 100Mbps và 1000Mbps). Do mỗi cổng của thiết bị tầng 2 là một vùng xung đột nên các máy dùng chung 1 cổng sẽ bị chia sẻ băng thông. Do đó tuỳ vào yêu cầu tốc độ mà quyết định có bao nhiêu máy dùng chung 1 cổng của switch. 4. Lớp 3 Các thiết bị tầng 3 (như là router) sẽ chia nhỏ các vùng quảng bá (broadcast domain) hay là chia nhỏ các mạng LAN. Các mạng nhỏ sẽ giao tiếp với nhau thông qua địa chỉ tầng 3 (như là địa chỉ IP). Việc định tuyến giữa các mạng trong tầng 3 được dựa vào địa chỉ tầng 3, phổ biến nhất là địa chỉ IP và subnet. Ta đã biết router chuyển các gói tin dựa vào địa chỉ của đích, nó không cho các gói tin quảng bá của mạng LAN đi qua. Như vậy mỗi cổng của router là một vùng quảng bá và nó cũng chính là nơi ngăn chặn các thông tin quảng bá của một mạng LAN đi ra ngoài. Hình 2.1.3: Các gói tin chạy trong VLAN Khi có 1 tin quảng bá trong mạng thì tất cả các máy trong mạng đó đểu phải xử lý thông tin. Để tránh việc xử lý các gói tin không cần thiết chúng ta sử dụng VLAN để chia nhỏ các broadcast domain. Đây chính là việc chia 1 vùng xung đột thành các vùng xung đột nhỏ hơn (logical). Các gói tin quảng bá sẽ chỉ chạy trong 1 VLAN nào đó và chỉ có các máy thuộc VLAN đó mới xử lý các gói tin này. Chương 2: MÔ HÌNH PHÂN LỚP MẠNG LAN Việc thiết kế một mạng LAN sẽ dễ dàng đáp ứng được các yêu cầu nếu sử dụng mô hình phân lớp (Hierarchical Network Design). Mô hình phân lớp nhằm mục đích chia các thành phần của mạng ra làm nhiều phần nhỏ hơn. Việc phân chia này được thực hiện dựa trên vai trò của các thành phần. Sự phân lớp sẽ giúp cho việc quản lý và giải quyết các sự cố của mạng một cách đơn giản và hiệu quả hơn. Phổ biến nhất là mô hình 3 lớp: access layer, distribution layer và core layer. Access layer cung cấp sự kết nối giữa người dùng và mạng, distribution layer đảm bảo sự liên kết giữa các thành phần khác nhau trong mạng, core layer đảm bảo việc tối ưu hoá quá trình di chuyển các gói tin. 1. Lớp truy cập Lớp truy cập (Access layer) là điểm kết nối giữa máy trạm (workstations) hoặc máy chủ (server) với mạng. Thiết bị được sử dụng ở đây có thể là layer 2 switch (còn gọi là Lan switch) hoặc hub (hiện nay hub đã không còn được sử dụng rộng rãi). Trong lớp truy cập cũng bao gồm cả việc định tuyến tầng 2. Dựa vào bảng MAC address, các thiết bị tầng 2 có thể trực tiếp chuyển dữ liệu (frame) đến các cổng được kết nối với đích đến. Hình 2.2.1: Mô hình phân lớp trong thiết kế mạng LAN Nhiệm vụ chính của access layer là cung cấp kết nối giữa người dùng cuối (end user) với mạng, do đó các thiết bị của lớp này cần đảm bảo yêu cầu giá thành rẻ và có nhiều cổng. Tuỳ theo yêu cầu của mạng mà sử dụng các loại thiết bị phù hợp. Bảng 2.2.1: Một số dòng switch của Cisco sử dụng trong lớp truy cập Dòng switch Tầng hoạt động Số cổng Ethernet Số cổng Fast Ethernet Số cổng Gigabit 1900 2 12 hoặc 24 2 0 2950 2 0 12 hoặc 24 0 hoặc 2 4000 2 và 3 Tối đa 240 Tối đa 240 Tối đa 240 5000 2 và 3 Tối đa 528 Tối đa 266 Tối đa 38 2. Lớp phân bố Đây là lớp nằm giữa lớp core và lớp access. Nhiệm vụ chủ yếu của lớp này là việc bóc tách và xử lý các gói tin dựa trên địa chỉ tầng 3. Các thiết bị của lớp này có thể là router hoặc là switch tầng 3. Đối với mạng nhỏ thì có thể dùng router. Đối với các mạng lớn hơn thì dùng switch tầng 3 (hay là multilayer switch).Các loại switch này bao gồm chức năng định tuyến của cả router và lại có nhiều cổng như switch. Các thiết bị này sẽ chia mạng thành các cùng quảng bá (broadcast domain). Lớp này cũng thực hiện các nhiệm vụ như định tuyến cho VLAN, thực hiện các chính sách bảo mật (firewall, access control lists…). Một số dòng switch Cisco thường được dùng trong lớp này là dòng 5000 family và 6000 family. 3. Lớp lõi Nhiệm vụ chủ yếu của lớp này là chuyển các gói tin đến mạng đích với tốc độ càng nhanh càng tốt. Việc xử lý gói tin không diễn ra ở lớp này mà sẽ do lớp dưới đảm nhận. Như vậy các thiết bị của lớp này cần yêu cầu tốc độ hoạt động cao. Một số dòng switch Cisco được sử dụng trong lớp này là dòng 6500 và 8000. Chương 3: THIẾT KẾ MẠNG WAN Khác với mạng LAN chỉ hoạt động trong một phạm vị địa lý tương đối nhỏ, mạng WAN (Wide Area Network) hoạt động trong phạm vi lớn hơn nhiều. Chúng ta có thể coi WAN chính là mạng dùng để kết nối các mạng LAN với nhau. WAN dùng để kết nối giữa các chi nhánh của một tổ chức, giữa các tổ chức với nhau hoặc là với các dịch vụ bên ngoài. Trong mạng WAN có thể có rất nhiều dạng traffic khác nhau đi qua như voice, data, video… 1. Các bước thiết kế mạng WAN Thiết kế mạng WAN cũng được xem là một nhiệm vụ tương đối khó khăn. Để có được một mạng WAN hoạt động hiệu quả chúng ta có thể làm theo các bước sau: +Xác định các mạng LAN cần được kết nối. Vì mạng WAN có nhiệm vụ kết nối các mạng LAN với nhau nên việc xác định được các mạng cần kết nối là rất quan trọng. Dựa trên bước này chúng ta mới có thể tiến hành các bước tiếp theo. +Phân tích các traffic chạy trên mạng. Việc phân tích này sẽ giúp chúng ta xác định được các yêu cầu của mạng WAN. Ví dụ như mạng được thiết kế truyền nhiều voice và video thì yêu cầu bandwidth lớn. +Xác định topo mạng. Dựa trên việc xác định được các mạng LAN cần kết nối ta sẽ lựa chọn được topology phù hợp. +Lên kế hoạch về bandwidth. Thông qua phân tích traffic có thể xác định được bandwidth cần thiết của đường truyền và từ đây xác định công nghệ sẽ được sử dụng. Bảng 2.3.1: Bandwidth của một số công nghệ mạng WAN Công nghệ Bandwidth Leased Line Không giới hạn ISDN 64 hoặc 128 kbps, <2 Mbps PRI X.25 48 kbps Frame Relay 4 Mbps ATM 155 Mbps +Chọn công nghệ sử dụng. Hiện nay có rất nhiều công nghệ mạng WAN được sử dụng như ISDN (Integrated Services Digital Network), Leased Line, X.25, Frame Relay, ATM (Asynchronous Transfer Mode), DSL (Digital Subscriber Line)… Tuỳ theo yêu cầu về tốc độ và giá thành mà ta lựa chọn công nghệ phù hợp. +Đánh giá toàn bộ về khả năng cũng như chi phí cho việc xây dựng mạng WAN để từ đó quyết định có triển khai hay không. 2. Một số topology mạng WAN +Point to point topology Hình 2.3.1: Mô hình point to point Khi 2 mạng LAN kết nối với nhau bởi 1 link duy nhất, topo được gọi là point to point. Đây là một dạng topo đơn giản, dễ thiết lập nhưng có một điểm rất hạn chế đó là traffic muốn đi từ nút này đến nút kia cần phải qua tất cả các nút trung gian, như vậy sẽ gây ra độ trễ tương đối lớn. +Star topology Hình 2.3.2: Mô hình star Để giảm độ trễ có thể sử dụng topo này. Traffic từ 1 nút đi đến 1 nút khác chỉ phải qua nhiều nhất là 1 nút trung gian. Router ở vị trí trung tâm sẽ cần có nhiều cổng và cần có khả năngiáo dục tốt hơn các router khác bởi vì nó phải xử lý tất cả các traffic trên mạng. +Mesh topology Hình 2.3.3: Mô hình mesh Hai dạng topo giới thiệu ở trên thường ít được áp dụng. Ở hai dạng trên, khi một link nào đó bị hỏng sẽ dẫn tới việc mạng bị down, nhất là dạng point to point. Trên thực tế topo dạng mesh thường được sử dụng nhất. Mỗi router có ít nhất 2 đường link tới router khác. Như vậy khi có 1 đường link nào đó gặp vấn đề thì mạng vẫn hoạt động bình thường. 3. Mô hình phân lớp mạng WAN Cũng giống như trong mạng LAN, mô hình phân lớp cũng được áp dụng trong thiết kế mạng WAN. Hình 2.3.4: Mô hình phân lớp trong thiết kế mạng WAN Mô hình này bao gồm 3 lớp: +Core layer: Đây là lớp cung cấp các đường truyền tốc độ cao giữa các site khác nhau. Trong lớp này không nên có bất kì một quá trình xử lý gói tin nào ví dụ như dùng ACLs. Việc này có thể làm chậm quá trình chuyển các gói tin, tức là làm chậm quá trình xử lý của mạng. +Distribution layer: Giống như trong mô hình thiết kế LAN, mọi quá trình xử lý gói tin đều được tiến hành ở đây. Ngoài ra việc định tuyến cho các VLAN và áp dụng các phương thức bảo mật cũng có thể được tiến hành ở lớp này. +Access layer: Đây là nơi kết nối giữa người dùng (end users) với mạng, hay chính là nơi kết nối giữa các mạng LAN với WAN backbones. Ở lớp này cũng có thể áp dụng các phương pháp bảo mật như ACLs hay packetfiltering. PHẦN 3: MỘT SỐ PHƯƠNG THỨC TẤN CÔNG VÀ CÁC BIỆN PHÁP BẢO VỆ MẠNG Chương 1: MỘT SỐ PHƯƠNG THỨC TẤN CÔNG CHỦ YẾU 1. Các vấn đề chung Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin, các mô hình mạng cũng có xu hướng ngày càng được nâng cấp để có thể phát triển song hành cùng với những tiến bộ không ngừng của những công nghệ mới. Nhưng sự phát triển này cũng mang theo nó rất nhiều phiền toái, bởi cùng với sự phát triển về công nghệ bảo mật thì những kẻ phá hoại trên mạng cũng không ngừng nâng cao tay nghề phá hoại của mình, và kĩ thuật mà chúng sử dụng ngày càng tinh vi, xảo quyệt hơn. Công nghệ tấn công ngày càng phức tạp và vì thế cũng rất khó có biện pháp hữu hiệu nào có thể chống được hoàn toàn những vấn đề đó. Ngày nay có rất nhiều cách tấn công được những kẻ tấn công trên mạng sử dụng như những công cụ phá hoại phổ biến để phá hoại thông tin trên mạng. Nhưng dù có nhiều cách tấn công đến mấy thì các cách mà những hacker dùng để tấn công hệ thống đều dựa trên những yếu tố sau: +Tấn công vào những mục tiêu phổ biến (những ứng dụng hay những thành phần mạng). +Tấn công bằng hai phương pháp thông dụng active và passive. +Các cách thực hiện việc tấn công khác như ăn trộm password, phá mật mã, thuật toán giải mã… Dù cho các cách tấn công có tinh vi đến mấy thì nó cũng chỉ tập trung ở những loại cơ bản sau: +Chủ động tấn công (Active attacks) Bao gồm các cách tấn công như Denial of Service (DoS), Distributed Denial of Service (DdoS), buffer overflow, SYN attack, spoofing… +Tấn công bị động (Passive attacks) Bao gồm các cách tấn công như sniffing, vulnerability scanning… +Tấn công Password (Password attacks) Bao gồm các cách tấn công như password guessing, brute force, dictionary-based password attacks… Trên đây là tổng kết những phương pháp tấn công mạng phổ biến nhất hiện nay mà ta thường gặp. Để hiểu biết sâu hơn về vấn đề này ta đi nghiên cứu từng cách tấn công một. 2. Tấn công chủ động 2.1. Phương pháp tấn công DoS Những kiểu tấn công chủ động rất dễ nhận biết, bởi vì những nguy hiểm đối với hệ thống mạng được thể hiện rất rõ. Những kẻ tấn công theo cách này không lắng nghe thông tin trên đường dây mà thường tìm cách phá hoại đến môi trường mạng và những dịch vụ đang hoạt động. Phương pháp tấn công chủ động có khuynh hướng rất rõ ràng, bởi vì những nguyên nhân gây ra thiệt hại thường là nhận biết được. Một trong những kiểu tấn công tiêu biểu cho dạng tấn công này đó là kiểu tấn công DoS và DDoS. DoS (Denial of Service) là phương pháp tấn công trực diện vào trung tâm của mạng nhằm làm cho cơ sở hạ tầng của những dịch vụ mạng bị phân tán. Kiểu tấn công này thường không chú trọng đến việc đột nhập vào hệ thống mà nó định tấn công, nó thường tác động làm giảm chất lượng cung cấp dịch vụ của mạng, làm cho hệ thống không còn khả năng phân phối dịch vụ cho khách hàng nữa. Thông thường chúng ta đều nghĩ rằng mục tiêu tấn công chủ yếu của DoS chỉ là những máy chủ (server). Điều này không phải lúc nào cũng là đúng, bởi vì mục đích tấn công chủ yếu của phương pháp này chính là nó làm giảm chất lượng cung cấp dịch vụ ứng dụng tới tất cả những khách hàng của hệ thống mạng đó. Mà mọi khách hàng đều sử dụng môi trường vật lý hay những thực thể logic để liên kết với các hệ thống máy tính khác, những môi trường liên lạc này thường đều có giới hạn nhất định về traffic nào đó. Khi đó kẻ tấn công sẽ gửi tới mạng liên tiếp những gói tin khiến cho hệ thống, hay server không thể xử lý kịp những gói tin đó. Đây cũng chính là nguyên nhân mà ta không thể dự đoán trước được. Cách tấn công này có thể gây ra hiện tượng mạng bị treo, thậm chí nó còn làm cho mạng bị shutdown. Một số lượng lớn những vụ tấn công bởi DoS có thể sẽ gây khó khăn cho việc phát hiện và ngăn chặn hiện tượng này và nó còn có thể làm sai lệch thông tin cảnh báo mà bạn nhận được. Phần lớn các cuộc tấn công bằng phương pháp DoS đều bắt nguồn từ nguyên nhân xảy ra những lỗ hổng trên mạng mà hacker đã dò và phát hiện ra. Phương pháp tấn công DoS không chỉ được hình thành và thực hiện từ những hệ thống ở xa mà nó còn được xuất phát từ chính bên trong của những mạng đó. Những cuộc tấn công DoS xuất phát từ mạng cục bộ thường dễ xác định được vị trí tấn công để sửa chữa vì giới hạn không gian của vấn đề đã được xác định rõ ràng. Phương thức tấn công DoS có hai dạng cơ bản phổ biến, đó là : +Tấn công phá hoại tài nguyên. +Tấn công vào những gói tin dị tật. Tài nguyên của máy tính luôn là có hạn, các nhà quản trị trên toàn thế giới đều nhận thức được về vấn đề thiếu thốn này như sự khan hiếm về dải thông, sự hạn chế của CPU, RAM, và bộ nhớ phụ. Sự thiếu hụt này gây nên rất nhiều khó khăn cho việc phân phối một vài dạng dịch vụ tới những khách hàng (client). Một trong những dạng tấn công tiêu biểu cho hình thức này được gọi là network bandwidth. Một số các doanh nghiệp có vị trí thuận lợi và có dải thông dư thừa cũng nên đề phòng với loại hình tấn công này vì chính sự dư thừa đó lại tạo cơ hội nảy sinh những đợt tấn công kiểu này. Sự tàn phá nguồn tài nguyên mạng phần lớn là bắt nguồn từ bên ngoài mạng nhưng ta cũng không nên loại bỏ khả năng mình sẽ bị tấn công từ chính bên trong mạng đó. Dạng tấn công này thường được thực hiện bằng cách kẻ tấn công gửi một lượng lớn những gói tin tới máy tính bị hại. Hình thức tấn công này được gọi là hiện tượng làm “tràn” mạng (flooding). Mạng bị tấn công có thể bị tràn ngập bởi các gói tin gửi tới, dải thông của mạng sẽ bị chiếm hết và do đó các dịnh vụ khác muốn chạy trên hệ thống đều bị nhưng trệ, hệ thống mạng coi như trở thành tê liệt. Một cách phá huỷ hệ thống khác cũng hay được sử dụng là nhờ vào sự cấu hình mạng một cách lỏng lẻo, hacker sẽ tìm cách điều khiển traffic của kẻ bị hại, bằng cách này hacker có thể lừa bịp sự kiểm soát của mạng và dễ dàng làm cho mạng đó bị tràn ngập. Kiểu tấn công mạng như vậy được gọi là tấn công vào ứng dụng (Application attacks). Nhìn chung DoS là một dạng tấn công mạng hoạt động trong một phạm vi rất rộng, vì thế nó thường xuất hiện trong rất nhiều hoàn cảnh khác nhau. Đây là một dạng tấn công nhằm mục đích phá hoại những tài nguyên trên mạng, làm giảm khả năng kết nối của hệ thống để hợp pháp hoá tư cách sử dụng tài nguyên mạng của những kẻ phá hoại, từ đó làm tê liệt hệ thống hay hệ điều hành mạng. 2.2. Phương pháp tấn công DDoS DDoS (Distributed Denial of Service) là cách thức tấn công được phát triển dựa trên những gì mà DoS đã sẵn có. Đây là một trong những phương pháp tấn công phổ biến hiện nay, nó gắn liền với tất cả các mạng và phân phối trên rất nhiều mạng máy tính trên thế giới. Cách thức tấn công DDoS được chia làm hai pha khác biệt. +Trong suốt thời gian của pha một DDoS, kẻ làm hại mạng máy tính này sẽ hoạt động trên khắp mạng Internet và tiến hành cài đặt những phần mềm đặc biệt trên các host nhằm mục đích giúp đỡ cho sự tấn công sau này. +Trong pha thứ hai, những host đã bị hại (được gọi là zombies) sẽ cung cấp thông tin cho giai đoạn trung gian (master) để bắt đầu cho một cuộc tấn công. Hàng trăm, thậm chí có thể là hàng nghìn zombies có thể được kết nạp vào cuộc tấn công này bởi những kẻ hacker chuyên cần. Bằng cách sử dụng những phần mềm đã cài đặt từ trước để điều khiển, mỗi zombies sẽ được sử dụng sao cho chính bản thân nó sẽ có thể tấn công vào mục tiêu. Những kết quả tấn công bằng zombies sẽ được tích luỹ lại và nó làm cho một lượng lớn traffic trên mạng sẽ bị rỗng cạn tài nguyên và các liên lạc sẽ bị chồng chất lên nhau. 2.3. Tấn công SYN Bản chất của phương pháp tấn công SYN attacks là dựa vào những yếu điểm của giao thức TCP/IP. Phương pháp này lợi dụng quá trình bắt tay ba bước (3-way handshake) để làm cho thiết bị đích gửi ACK về cho địa chỉ nguồn và không kết thúc quá trình bắt tay được. Trước hết chúng ta tìm hiểu về quá trình bắt tay ba bước. Hình 3.1.1: Quá trình bắt tay 3 bước (3- way handshake) Quá trình này được bắt đầu khi một host gửi đi một gói SYN (synchronization). Trong gói syn này sẽ có địa chỉ IP của nguồn và đích, nó sẽ giúp máy đích gửi gói tin SYN/ACK cho máy nguồn. Khi máy nguồn nhận được gói tin này nó sẽ gửi gói tin ACK xác nhận thiết lập kết nối. Trong kiểu tấn công SYN, hacker sẽ gửi những gói tin SYN nhưng giả mạo địa chỉ IP nguồn. Khi đó máy nhận sẽ trả lời cho một địa chỉ IP không tồn tại, không đến được và chờ nhận ACK từ máy đó. Trong trạng thái chờ như vậy, yêu cầu thiết lập kết nối được lưu trong hàng đợi hoặc trong bộ nhớ. Trong suốt trạng thái chờ, hệ thống bị tấn công sẽ phải dành hẳn một phần tài nguyên cho đến khi thời gian chờ hết hạn. Hiình 3.1.2: SYN attack Với rất nhiều gói tin SYN gửi đi, hacker sẽ làm tràn ngập thiết bị khiến cho thiết bị này bị tràn ngập tài nguyên khi trả lời và chờ các kết nối giả tạo và nó không còn khả năng trả lời cho các yêu cầu kết nối thật khác. Để chống lại phương pháp này có thể dùng cách giảm thời gian chờ cho một kết nối và tăng kích thước hàng đợi lên. Tuy nhiên đây chỉ là cách bị động để giải quyết. Phương pháp tốt nhất là dùng các hệ thống cảnh báo và phát hiện dấu hiệu của các đợt tấn công này để ngăn chặn từ trước. 3. Tấn công bị động Phương pháp tấn công này trái ngược với kiểu tấn công chủ động. Trong suốt quá trình tấn công, kẻ tấn công không không trực tiếp làm ảnh hưởng đến mạng bị hại. 3.1. Sniffing Sniffing có nghĩa là sự nghe trộm thông tin trên mạng. Sniffer là một tool có khả năng giúp các thiết bị nhìn thấy tất cả các gói tin mà chúng đi qua. Đây là một công cụ rất mạnh để chuẩn đoán được những vấn đề của mạng, nhưng nó cũng có thể được dùng vào những mục đích xấu như dùng để tìm password email hay bất cứ một dạng dữ liệu nào được gửi đi dưới dạng text. 3.2. Vulnerability scanning Đây là phương pháp tấn công quét tìm điểm yếu của hệ thống. Nó chỉ dẫn và tìm chỗ yếu của hệ thống để kẻ tấn công tìm được cơ hội xâm nhập vào mạng. 4. Tấn công password Kiểu tấn công password rất phổ biến hiện nay. Đây cũng là kiểu tấn công rất dễ thực hiện và cho kết quả tương đối cao. Có hai dạng tấn công phổ biến là brute force và dictionary-based attack. 4.1. Brute force attacks Đây được hiểu một cách đơn giản là sự kết hợp của rất nhiều kiểu phá password. Thông thường chiều dài của password là từ 4 đến 16 kí tự, đồng thời cũng có khoảng 100 kí tự được dùng để đặt password, như vậy sẽ có khoảng 1004 đến 10016 tổ hợp password được tạo ra. Đây cũng là một nguyên nhân có thể dẫn tới việc password có thể bị tấn công bằng Brute force Aattacks. Đặc điểm tấn công của phương pháp này làm cho người ta quan tâm đến việc tăng tổ hợp mã hoá password. 4.2. Dictionary-based attacks Đây là phương pháp tấn công password đơn giản nhất. Nó dựa vào một danh sách tập hợp đầy đủ những khả năng thông thường người tạo ra password hay sử dụng như những câu nói, những địa danh, những từ ngữ mang tính riêng tư hay những biểu tượng đặc biệt. Bằng cách cho chạy list này để tìm kiếm sự trùng lặp, kẻ tấn công đôi khi cũng tìm được password để phục vụ cho mục đích của mình. Chương 2: MỘT SỐ BIỆN PHÁP BẢO VỆ MẠNG Ở phần trước ta đã đề cập đến một số phương pháp tấn công mạng chủ yếu hiện nay. Trong phần này ta sẽ xem xét các biện pháp chống lại sự tấn công đó thông qua việc phân tích những chức năng bảo vệ dữ liệu của một số thiết bị mạng thông dụng vẫn thường được sử dùng trong các mô hình mạng để đưa ra những phương hướng khắc phục cũng như biện pháp bảo vệ một cách thích hợp nhất. 1. Switch Switch là thiết bị hoạt động trên tầng 2 của mô hình OSI (Datalink layer), đây là một thiết bị được dùng rộng rãi trên hầu hết các mô hình hệ thống mạng. Mỗi cổng của switch là một vùng xung đột (collision domain) nên sẽ tránh được đụng dộ khi mỗi cổng gửi thông tin đi. Ở switch băng thông cũng không bị chia sẻ như ở Hub. Tất cả các cổng của switch nằm trong 1 vùng quảng bá (broadcast domain), tức là khi có 1 gói tin mang địa chỉ broadcast tầng 3 đến switch thì tất cả các máy tính nối vào các cổng của switch đều phải xử lý gói tin đó. Các gói tin gửi giữa các máy tính trong cùng mạng LAN sẽ được switch định tuyến dựa trên địa chỉ MAC (Media Access Control). Trên mỗi switch có một bảng địa chỉ MAC được gọi là bảng CAM (Content Addressable Memory), dựa vào bảng này mà switch chuyển các gói tin đến đúng cổng đích. Mỗi card mạng có một địa chỉ MAC duy nhất đo đó mỗi PC sẽ chỉ tương ứng với 1 địa chỉ MAC duy nhất trong bảng CAM. 1.1. Password truy cập và port sercurity Khi các cổng của switch không có biện pháp bảo vệ, bất kì người nào với 1 máy tính xách tay đều có thể kết nối vào mạng và có thể sử dụng tài nguyên của mạng. Một trong những cách ngăn chặn việc này đó là thiết lập Static MAC Address. Tức là gắn cho mỗi cổng của switch tương ứng với 1 địa chỉ MAC xác định. Khi đó chỉ có duy nhất máy tính có địa chỉ MAC như thế mới sử dụng được cổng này. Ta có thể cấu hình static MAC address theo các câu lệnh sau: Switch#config terminal Switch(config)#mac-address-table static 0010.7a60.1982 interface fa0/5 vlan VLAN1 Sau câu lệnh này địa chỉ MAC 0010.7a60.1982 sẽ được gắn vào cổng số 5 của switch. Việc đặt static MAC address đôi khi gây ra lỗi do địa chỉ MAC không chính xác và mất công xác định địa chỉ MAC của từng máy tính. Vấn đề này sẽ được giải quyết bằng việc cấu hình port sercurity trên switch. Địa chỉ MAC đầu tiên mà switch học được từ cổng được cấu hình sẽ được lấy. Ngoài ra chúng ta có thể cấu hình được số địa chỉ MAC tối đa sẽ được gắn cho 1 cổng. Switch(config)#interface fa0/5 Switch(config-if)#port sercurity Switch(config-if)#port sercurity max-mac-count 10 Switch(config-if)#port sercurity action shutdown|trap Ở đây đã cấu hình port sercurity cho cổng số 5 của switch. Số 10 có ý nghĩa là có tối đa 10 địa chỉ MAC được gán cho port này. Trong dòng lệnh cuối cùng, nếu sau action là trap thì khi có xâm nhập bất hợp pháp vào port sercurity thì switch sẽ báo cho người quản trị biết, còn nếu là shutdown thì port này sẽ tự động treo không hoạt động nữa. Khi có thay đổi trong mạng như là việc thêm, thay đổi hoặc bỏ các máy tính đi thì cần cấu hình lại và bỏ cấu hình cũ đi. Việc đặt các password truy cập cũng phần nào chống lại được sự truy cập bất hợp pháp để điều khiển switch. Chúng ta có thể đặt password cho cổng consol, cho các phiên telnet… Switch(config)#line configuration 0 Switch(config-line)#password bachkhoa Switch(config-line)#login Switch(config-line)#line vty 0 4 Switch(config-line)#password bachkhoa Switch(config-line)#login Các câu lệnh trên đã đặt password cho cổng consol và các phiên telnet là bachkhoa. Muốn sử dụng thì cần phải nhập đúng password này. 1.2. VLAN Các phương pháp vừa trình bày chỉ đảm bảo an toàn dữ liệu cho thông tin đi qua switch một cách rất đơn giản. Để nâng cao tính bảo mật khi dùng switch ta có thể cấu hình VLAN (Virtual LAN) trên switch. Thực chất đây là việc chia mạng LAN thành các mạng LAN nhỏ hơn trên cùng 1 switch. Điều này rất hữu ích cho công việc bảo mật nhất là đối với các doanh nghiệp có nhiều phòng ban hoạt động độc lập. Đối với mỗi phòng ban khác nhau ta sẽ lập thành các VLAN khác nhau. Việc chia nhỏ mạng LAN thành các VLAN sẽ làm tăng băng thông (do các vùng broadcast được chia nhỏ) do đó làm tăng tốc độ truyền dữ liệu. Hình 3.2.1: Mô hình triển khai VLAN Khi đã cấu hình VLAN cho mạng LAN thì nếu như một VLAN bị tấn công nó sẽ không gây ảnh hưởng tới VLAN khác vì mỗi VLAN là một vùng broadcast domain riêng biệt. Việc tạo ra các VLAN được thực hiện bởi các lệnh sau: Switch#vlan database Switch(vlan)#vlan 2 marketing Switch(vlan)#exit Sau các câu lệnh trên VLAN2 được tạo ra và nó có tên là marketing. Ở trạng thái default, tất cả các port của switch được gán vào VLAN1 và VLAN1 gọi là vlan quản lý, nó không thể xoá đi được. Sau khi tạo ra các VLAN thì các port lần lượt được gán vào các VLAN tương ứng: Switch(config)#interface fa0/5 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 Cổng số 5 được cấu hình là cổng truy cập và được gán vào VLAN2. Đường nối giữa các switch mang thông tin của tất cả các VLAN, do đó các cổng ở 2 đầu cần được cấu hình ở mode trunk. Switch1(config)#interface gigabit 0 Switch1(config-if)#switchport mode trunk Các port này tương đối quan trọng nên cần được chú ý bảo vệ. Ngoài ra VLAN1 cũng cần được bảo vệ vì đây được coi là VLAN quản lý, tất cả các thông tin của các giao thức hoạt động trong VLAN (như VTP-VLAN Trunking Protocol) đều được gửi trên VLAN1, điều quan trọng nữa là địa chỉ IP gán cho switch để quản lý cũng trên VLAN1. *VTP: Bình thường việc cấu hình VLAN chỉ được triển khai trên 1 switch, việc mở rộng ra là một công việc tương đối phức tạp. VLAN trunking được tạo ra để giải quyết vấn đề này. VLAN trunking cho phép tạo nhiều VLAN xuyên suốt hệ thống bằng cách dán nhãn đặc biệt cho frame để xác định xem frame đó thuộc VLAN nào. Hình 3.2.2: VLAN trunk Như hình trên, giả sử trên mỗi switch triển khai 2 VLAN, khi đó muốn kết nối các VLAN này với nhau ta cần 2 đường nỗi giữa các switch. Như vậy nếu có n VLAN thì ta sẽ cần n đường nối dẫn tới rất tốn tài nguyên đồng thời gây khó khăn cho việc cấu hình. Nếu đường nối giữa 2 switch được cấu hình trunk thì đường đó sẽ mang thông tin của tất cả các VLAN, đường đó sẽ tương đương với tất cả các đường trên. Giao thức VLAN Trunking (VTP) được đưa ra để giải quyết các vấn đề về hoạt động trong mạng chuyển mạch có VLAN. Với VTP cấu hình VLAN được thống nhất trong một miền quản trị. Hơn nữa VTP cũng giúp cho công việc quản lý và theo dõi mạng VLAN trở nên đơn giản hơn. Một miền VTP là tập hợp tất cả các thiết bị kết nối với nhau có cùng tên miền. Khi gửi thông điệp VTP cho các switch khác trong mạng, thông điệp VTP được đóng gói bằng giao thức trunking là ISL hoặc IEEE 802.1Q. Ở chế độ mặc định cứ 5 phút một lần các bản tin cập nhật VTP sẽ được gửi đi. Khi có sự thay đổi nào đó ngay lập tức server sẽ gửi thông tin thay đổi. VTP switch có thể hoạt động ở một trong ba chế độ sau: +Server +Client +Transparent Nếu switch được cấu hình ở mức server, ta có thể làm được các việc sau: +Tạo mới VLAN +Chỉnh sửa các VLAN +Xoá các VLAN theo ý muốn +Lưu cấu hình VLAN trong NVRAM của nó +Gửi các thông điệp VTP ra tất cả các port trunk của nó Nếu switch được cấu hình là mode client, nó không thể tạo, chỉnh sửa và xoá các VLAN. Nó chỉ có thể làm được các công việc sau: +Đáp ứng mọi sự thay đổi từ server +Gửi các thông tin VTP ra các port trunk Switch ở chế độ Transparent sẽ chuyển tiếp các thông tin VTP mà nó nhận được nhưng nó không quan tâm đến nội dung của các thông điệp này. Transparent switch nhận được thông tin cập nhật VTP từ server nó cũng không cập nhật vào cơ sở dữ liệu, đồng thời nếu cấu hình VLAN của nó thay đổi thì nó cũng không gửi thông báo đến các switch khác. Ở mode transparent có thể tạo, chỉnh sửa và xoá các VLAN nhưng nó chỉ mang tính chất địa phương, tức là chỉ có tác dụng trên chính bản thân nó. Khi cấu hình VLAN trên các switch ta nên đưa vào một tên miền và lựa chọn các switch ứng với từng mode sao cho thuận tiện cho công việc quản lý và bảo mật. Một số câu lệnh cấu hình VTP cho switch: Switch#vlan database Switch(vlan)#vtp domain bachkhoa Switch(vlan)#vtp server|client|transparent Switch(vlan)#vtp password dientu 2. Router Router là thiết bị hoạt động trên tầng 3 của mô hình OSI. Nhiệm vụ chủ yếu của router là định tuyến các gói tin và điều khiển sự liên kết giữa các VLAN. Mỗi cổng của router là 1 vùng broadcast domain, do đó router sẽ chia nhỏ các vùng broadcast domain. Ngoài ra tính năng quan trọng nhất của router là nó có khả năng chọn con đường tối ưu để cho gói tin đi tới đích. Router được dùng trong rất nhiều loại hình mạng như ISDN, Frame Relay… Đây là một thiết bị có độ mềm dẻo cao, như router của Cisco có thể được dùng như một firewall thực thụ, điều này rất thuận tiện cho người sử dụng. 2.1. Password truy cập Router có 2 mode để truy cập vào nó, đó là user mode và privileged mode. Mode user là mode đầu tiên khi kết nối với router. Truy cập vào mode user chỉ có thể kiểm tra các kết nối và xem thông tin dưới dạng các bảng thống kê chứ không có quyền thay đổi cấu hình thiết bị, vì thế sự xâm nhập trái phép ở mức này không mấy nguy hiểm. Trong mức privileged có thể thay đổi cấu hình, thậm chí còn có thể xoá bỏ cấu hình, đặt lại password mới. Đê đảm bảo an toàn, chúng ta có thể đặt password cho các mức này bằng các lệnh sau: +Lệnh đặt password cho mức privileged, ở đây password sẽ là bachkhoa Router(config)#enable password bachkhoa Password này sẽ có dạng clear text. Để mã hoá password chúng ta dùng lệnh Router(config)#enable secret bachkhoa +Lệnh đặt password cho cổng consol và telnet Router(config)#line consol 0 Router(config-line)#password bachkhoa Router(config-line)#login Router(config-line)#line vty 0 15 Router(config-line)#password bachkhoa Router(config-line)#login Để đảm bảo tính an toàn cho thiết bị cũng như hệ thống, nên loại bỏ tất cả các dịch vụ mà ta không sử dụng, hay những dịch vụ sẽ tạo lỗ hổng cho những kẻ tấn công lợi dụng xâm nhập vào thiết bị. Trên router có một số dịch vụ luôn mặc định được sử dụng. Trên router Cisco luôn chạy giao thức CDP (Cisco Discovery Protocol). Giao thức này cho phép người sử dụng có thể quan sát được thông số thiết bị đang sử dụng, trạng thái hoạt động, quan hệ với các thiết bị khác để đưa ra phương pháp quản lý thích hợp. Đây là giao thức giúp đỡ rất nhiều cho việc cấu hình cũng như sửa chữa lỗi xảy ra trên router, do đó nếu kẻ tấn công vào được thiết bị thì đây cũng là một công cụ rất hữu ích đối với chúng. Để ngừng hoạt động của CDP ta gõ lệnh no cdp trên mỗi cổng router mà ta không cho phép hoạt động. 2.2. Access Control Lists Một trong những phương pháp bảo vệ được áp dụng phổ biến trên router đó là ACLs. ACLs có thể cho phép hay ngăn chặn một hoặc một số địa chỉ IP đi qua router. Đây là các câu lệnh để định nghĩa một ACLs: Router(config)#access-list 1 permit 5.6.0.0 0.0.255.255 Router(config)#access-list 1 deny 7.8.0.0 0.0.255.255 Ở trạng thái mặc định bao giờ dòng cuối của một ACLs cũng là deny any. Sau khi tạo ra ACLs cần phải gán vào một cổng nào đó của router: Router(config)#interface fa0/0 Router(config-if)#ip access-group 1 in Sau câu lệnh này tất cả các địa chỉ trong dải 5.6.0.0/16 đều được đi vào cổng fa0/0, đồng thời tất cả các địa chỉ trong dải 7.8.0.0/16 đều không được đi vào cổng fa0/0 của router. Ngoài ra cũng có thể cấu hình ACLs để chấp nhận hay từ chối việc sử dụng một dịch vụ của một địa chỉ mạng nào đó (extended ACLs) Router(config)#access-list 101 permit tcp 172.16.4.0 0.0.0.255 any eq telnet Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 Router(config)#access-list 101 permit ip any any Ở dòng đầu tiên ACLs cho phép mạng 172.16.4.0 thực hiện telnet đến bất cứ mạng nào khác. Dòng thứ 2 và thứ 3 từ chối dịch vụ FTP từ mạng 172.16.4.0 đến mạng 172.16.3.0. Dòng cuối cùng la` cho phép tất cả các dịch vụ ip khác. ACLs này sẽ được gắn vào một cổng nào đó của router: Router(config)#interface fa0/0 Router(config-if)#ip access-group 101 out Tương tự như vậy ta có thể cho phép một dịch vụ nào đó được phép đi ra hay đi vào một mạng nào đó, bằng cách này ta có thể ngăn chặn được những truy cập không mong muốn vào mạng. Ở đây ACLs không sử dụng subnet mask mà sử dụng wildcard mask. Một cách đơn giản, chúng ta có thể hiểu wildcard ngược lại với subnet. Ví dụ subnet mask là 255.255.0.0 thì wildcard mask tương ứng với nó sẽ là 0.0.255.255. ACLs được cấu hình trên router làm cho nó có chức năng như là một firewall. Thông thường các router ở vị trí trung gian giữa mạng bên trong và mạng bên ngoài sẽ được cấu hình, nó sẽ cách ly toàn bộ hệ thống mạng bên trong tránh bị tấn công. Ngoài ra cũng có thể cấu hình ACLs trên các router trung gian kết nối hai phần của hệ thống mạng để kiểm soát lưu lượng qua lại giữa hai phần này. Thông qua cách cấu hình router ta có thể ngăn chặn được sự tấn công của phương pháp DoS hoặc DDoS bằng cách cấm không cho router sử dụng chức năng gửi broadcast của mình bằng lệnh no ip directed broadcastRouting. Ngoài những cách trên để đảm bảo việc định tuyến gói tin an toàn và chính xác đối với router ta có thể sử dụng các giao thức định tuyến động như RIP, IGRP, EIGRP, OSPF. Đây là các giao thức đảm bảo việc định tuyến các gói tin một cách nhanh nhất lại đảm bảo tính xác thực của thông tin gửi và nhận. 3. Tường lửa Tường lửa (Firewall) là một máy tính hay một thành phần của mạng nằm giữa người dùng và thế giới bên ngoài nhằm bảo vệ mạng bên trong tránh khỏi sự tấn công từ bên ngoài. Khi được cấu hình để hoạt động, firewall ngăn cản những cuộc truy cập bất hợp pháp từ bên ngoài vào mạng nội bộ, ngăn chặn những người sử dụng bên trong các mạng trước những nguy hiểm tiềm tàng từ những mạng bên ngoài và từ các cổng (port). Ở đây chúng ta đề cập đến 3 công nghệ firewall, đó là: +Packet filtering +Application layer Gateways +Stateful inspection Những công nghệ này có thể là hợp lý hoặc có mặt chưa thực sự phù hợp nhưng ở đây chúng ta chỉ tập trung nghiên cứu khả năng của chúng và cấu hình như thế nào. Packet filtering firewall làm việc ở tầng network của mô hình OSI. Nó được thiết kế để điều chỉnh nhanh chóng quá trình cho phép hoặc huỷ bỏ các gói tin đi qua. Application layer gateway được thiết kế hoạt động ở tầng Application. Nó được thiết kế để phân tích từng gói tin đi qua đồng thời xác định xem kiểu dữ liệu của gói tin đó có truyền có hợp lệ hay không hay đó là ứng dụng đặc biệt làm hại quá trình truyền tin. Stateful inspection firewall dùng để kiểm tra từng gói tin và xác minh xem đó có phải là những gói tin được trông đợi trong phiên truyền thông tin hiện tại hay không. Đây là kiểu firewall dùng trong tầng network, nhưng nó cũng có thể hoạt động tại các tầng transport, session, presentation và application. 3.1. Packet filtering firewall Packet filtering firewall được cấu hình để cho phép hay ngăn cấm quá trình truy cập của các port hay địa chỉ IP cụ thể nào đó. Có hai cách giải quyết khi thiết lập hoạt động của Packet filtering firewall, đó là “allow by default” và “deny by default”. “Allow by default” cho phép tất cả các traffic đi qua loại trừ những traffic đặc biệt đã bị ngăn cấm. “Deny by defaul” ngăn chặn tất cả các traffic đi qua trừ những traffic rõ ràng đã được cho phép. Trên thực tế, deny by default được sử dụng rộng rãi bởi vì chúng ta chỉ cần cho những traffic cần thiết đi qua, những port lạ cần được ngăn chặn để tránh việc xâm nhập của kẻ phá hoại. Packet filtering firewall có những mặt lợi nhưng cũng có nhiều mặt hạn chế. Cái lợi đầu tiên của nó là tốc độ xử lý. Khi các gói tin đi qua, chỉ có phần header là được kiểm tra và các quy tắc kiểm tra cũng rất đơn giản nên tốc độ xử lý là rất cao. Ngoài ra, Packet filtering firewall cũng rất dễ dàng sử dụng. Việc thiết lập cấu hình cho nó là tương đối dễ dàng và việc đóng hay mở các port cũng được thực hiện một cách nhanh chóng. Một ưu điểm của Packet filtering firewall là nó có tính trong suốt đối với các thiết bị mạng. Các gói tin có thể đi qua nó mà không phải gửi hay nhận thêm bất kì một phần thông tin nào cả. Ngày nay hầu hết các router đều có chức năng như là một Packet filtering firewall. Việc này có thể thực hiện nhờ cấu hình ACLs trên các cổng của router. Packet filtering firewall chỉ kiểm tra phần header chứ không kiểm tra nội dung của gói tin. Đây chính là ngòi nổ cho sự phá hoại từ bên trong, khi mà các gói tin có header hợp pháp đã được firewall cho đi qua một cách dễ dàng. 3.2. Application layer Gateways Đây còn được gọi là Apllication filtering. Nó có nhiều tính năng nổi trội hơn so với Packet filtering firewall. Application layer Gateways kiểm tra toàn bộ gói tin và việc lọc bỏ gói tin được dựa trên các quy luật đặc trưng, rành mạch hơn. Hình 3.2.3: Application Layer Gateway Ở đây, router kết nối ra Internet (hay còn gọi là exterior router-router ngoại vi) sẽ đưa tất cả các traffic nhận vào đến application gateway. Các router bên trong (interior router) sẽ chỉ nhận các gói tin được chuyển tủ application gateway. Như vậy là application gateway có khả năng kiểm soát việc phân phối của các dịch vụ mạng đi ra hay đi vào hệ thống mạng. Khi đó chỉ những user nào được cho phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có thể thiết lập kết nối với host bên trong. Application layer Gateways sử dụng các quy tắc phức tạp hơn Packet filtering để xác định tính hợp lệ của các gói tin muốn đi qua nó, do đó tăng tính an toàn cho hệ thống. Tuy nhiên chính điều này lại tạo ra sự hạn chế của công nghệ này. Tất cả các gói tin đi qua nó đều bị tháo rời ra, dựa trên các quy luật phức tạp để kiểm tra toàn bộ gói tin nhằm xác định tính xác thực của gói tin, do đó tốc độ xử lý là thấp hơn nhiều so với Packet filtering. 3.3. Stateful inspection Đây là công nghệ kết hợp giữa 2 công nghệ nói trên. Nó tìm cách khắc phục những nhược điểm còn lại của Packet filtering và Application layer Gateways. Stateful inspection cung cấp sư nhận biết ở lớp ứng dụng cho firewall nhưng lại không phải tháo rời gói tin. Như vậy Stateful inspection hoạt động nhanh hơn Application layer Gateways và có khả năng bảo mật cao hơn Packet filtering. 3.4. Một số mô hình mạng được triển khai bằng firewall Hình 3.2.4: Mô hình triển khai firewall Thông thường các firewall được đặt tại vị trí đường biên, giữa mạng bên trong và thế giới bên ngoài. Tại vị trí này, firewall có thể kiểm soát các traffic từ bên trong đi ra cũng như từ bên ngoài đi vào. Hình 3.2.5: Mô hình triển khai kết hợp firewall nhiều tầng Để tăng độ an toàn cho hệ thống, chúng ta có thể tăng tính chất bảo vệ của firewall bằng cách sử dụng mô hình firewall nhiều tầng để chúng bổ xung và phối kết hợp với nhau. Bằng cách này chúng ta vừa tăng tính bảo mật cho mạng vừa hạn chế được các yếu điểm của firewall. Thông qua việc cấu hình firewall phù hợp với từng dạng firewall sử dụng và tính chất các dịch vụ mà firewall đó bảo vệ mà ta có một hệ thống có chất lương tốt hơn. Những phần quan trọng và mang tính chất quyết định thì nên đặt ở phía trong của hệ thống vì khi đó muốn truy cập vào các phần này phải đi qua nhiều lớp firewall, như thế độ an toàn sẽ tăng lên. 4. Thiết bị phát hiện xâm nhập hệ thống Thiết bị phát hiện xâm nhập hệ thống là một dạng thiết bị công nghệ cao được cấu hình để giám sát các điểm truy cập mạng, những hành động phá hoại và các đợt xâm nhập bất hợp pháp. Firewall và một số thiết bị bảo vệ mạng khác không đủ những tính năng thông minh để có thể dự đoán được những mối nguy hiểm, nhận dạng những dấu hiệu tấn công, đọc và hiểu các thông báo của các thiết bị khác. Những hạn chế của các thiết bị này được giải quyết bằng thiết bị phát hiện xâm nhập hệ thống (Instrusion Direction System). Ngày nay IDS đã trở thành một thiết bị quan trọng trong việc triển khai bảo vệ hệ thống bởi những tính năng vượt trội của nó so với các thiết bị khác. IDS có thể hiểu được nội dung các thông báo (log files) được gửi đi từ các thiết bị trên mạng khác như router, switch, firewall, server để từ đó đưa ra phương hướng giải quyết nhắm đảm bảo an toàn thông tin cho mạng. Hơn thế nữa, IDS còn có một cơ sở dữ liệu lưu trữ thông tin về các dạng tấn công, vì thế nó có khả năng so sánh, đối chiếu tình hình traffic hiện tại của mạng để phát hiện ra những dấu hiệu xấu đối với mạng có thể xảy ra do đó có thể hạn chế đến mức tối đa sự ảnh hưởng của nó tới mạng đó. Ngoài những tính năng như giám sát và phát hiện, IDS còn có khả năng làm lệch hướng các đợt tấn công mà nó phát hiện, thậm chí còn có khả năng ngăn chặn các đợt tấn công đó. Cũng giống như firewall, IDS có thể hoạt động dưới dạng phần mềm hay là sự kết hợp giữa phần cứng và phần mềm. Có 3 loại IDS hoạt động chủ yếu: +Network-based IDSs +Host-based IDSs +Application-based IDSs 4.1. Network-based IDSs Đây là thiết bị giám sát backbone của mạng, có khả năng giám sát toàn bộ mạng. Khả năng của nó là có thể giám sát mạng trên một diện rộng, tại những vị trí quan trọng của mạng, hay là trước các thiết bị chủ chốt của mạng. Nó hoạt động một cách thụ động và đảm bảo sao cho không có sự cản trở traffic xảy ra trên mạng. Hình 3.2.6: Vị trí hoạt động của NIDSs NIDSs cũng có một số hạn chế. Nó không giám sát được các chuyển mạch tốc độ cao một cách có hiệu quả. Ngoài ra nó không phân tích được các gói tin đã bị mã hoá và gửi thông báo tường thuật tình trạng mạng đến người quản trị. 4.2. Host-based IDSs Host-based IDSs hoạt động trên các host nhằm bảo vệ, giám sát hoạt động của những file hệ thống nhằm phát hiện ra dấu hiệu của sự tấn công. Vì đặc điểm hoạt động nên HIDSs có khả năng giám sát, phát hiện tình trạng mạng ở mức chi tiết hơn rất nhiều so với NIDSs. Nó có thể xác định được những quá trình hay hoạt động của những người sử dụng mạng có dấu hiệu gây nguy hiểm cho mạng. Ngoài ra HIDSs còn có khả năng tập trung các thông báo tình trạng của mạng được gửi từ các thiết bị khác để tạo cho mình một cơ sở dữ liệu riêng để có thể cấu hình hay quản lý trên từng host một. HIDSs có khả năng phát hiện những tấn công mà NIDSs không phát hiện được và có độ chính xác khá cao. Ngoài ra, nó cũng hoạt động được đối với các gói tin bị mã hoá và hoạt động khá tốt trong các nơi sử dụng chuyển mạch tốc độ cao. 4.3. Application-based IDSs Đây là dạng IDS chỉ có chức năng quản lý giám sát các ứng dụng đặc biệt. Nó thường hoạt động để dự trữ ứng ứng dụng quan trọng như cơ sở dữ liệu về việc quản lý hệ thống mạng hay nội dung của công tác quản lý hệ thống, đặc biệt là các hệ thống tính cước. AIDSs có thể nhận dạng được các dạng dữ liệu đã bị mã hoá trên đường truyền, sử dụng trên các server làm chức năng mã hoá và giải mã. Nhìn chung để phát huy một cách tốt nhất những tính năng ưu việt của IDS trong công tác bảo vệ dữ liệu trên các hệ thống mạng nên kết hợp cả ba kiểu trên. Việc kết hợp này mang rất nhiều ý nghĩa trong công tác triển khai bảo đảm an toàn cho hệ thống. Bởi mỗi dạng IDS có những điểm mạnh và điểm yếu riêng của mình và chính sự kết hợp triển khai các IDS với nhau sẽ làm chúng phát huy những tính năng nổi bật và khắc phục cho nhau những điểm yếu còn tồn tại. Chính vì những yếu tố đó mà khi xây dựng một hệ thống ta luôn phải quan tâm đến việc sẽ sử dụng thiết bị gì cho mục đích gì để đảm bảo độ an toàn cao nhất. Tuỳ từng loại IDS khác nhau mà ta có thể phối kết hợp với các loại thiết bị khác nhau (firewall, server…). PHẦN 4: XÂY DỰNG HỆ THỐNG MÔ PHỎNG Chương 1: TỔNG QUAN MẠNG MÔ PHỎNG 1. Mô hình mạng mô phỏng Hình 4.1.1: Mô hình mạng mô phỏng 1.1 Yêu cầu thiết kế Thiết kế và triển khai mạng nội bộ cho một công ty có trụ sở tại Hà Nội và một chi nhánh trong TP Hồ Chí Minh đáp ứng được một số yêu cầu sau. Yêu cầu thiết kế: +Các máy trong mạng có khả năng trao đổi thông tin với nhau. +Tất cả các máy đều có thể truy cập Internet. +Áp dụng một số phương pháp để tăng khả năng an toàn thông tin. +Mạng có thể dễ dàng mở rộng thêm chi nhánh và mở rộng trong nội bộ một chi nhánh. 1.2 Mô tả hệ thống Ở mỗi chi nhánh bao gồm 2 switch, mỗi switch ứng với một tầng. Mỗi switch được chia thành 3 VLAN là VLAN2, VLAN3 và VLAN4, mỗi VLAN tương ứng với một phòng ban riêng biệt của công ty. Thực tế số switch và số VLAN có thể thay đổi tuỳ theo yêu cầu. Mô hình và cách cấu hình cho hệ thống hoàn toàn tương tự. Mạng sử dụng địa chỉ IP 172.16.0.0 với subnetmask là 255.255.0.0 Việc đánh địa chỉ IP được chia như sau: Đối với các switch ở Hà Nội +VLAN2 có dải địa chỉ IP là 172.16.2.0/24 +VLAN3 có dải địa chỉ IP là 172.16.3.0/24 +VLAN4 có dải địa chỉ IP là 172.16.4.0/24 Đối với các switch ở TP Hồ Chí Minh +VLAN2 có dải địa chỉ IP là 172.16.5.0/24 +VLAN3 có dải địa chỉ IP là 172.16.6.0/24 +VLAN4 có dải địa chỉ IP là 172.16.7.0/24 Mạng nối 2 router với nhau có địa chỉ 172.16.1.0/30 2. Các thiết bị triển khai trên hệ thống Như trên mô hình đã thấy, các thiết bị được sử dụng bao gồm: +Router Cisco 2650 +Switch Cisco 2950 +Đường nối giữa router ở Hà Nội và TP Hồ Chí Minh là kết nối serial (có thể là đường leased line thuê của nhà cung cấp dịch vụ). Chương 2: TRIỂN KHAI CẤU HÌNH TRÊN CÁC THIẾT BỊ 1. Router 1.1. Cấu hình địa chỉ IP Cổng Serial 0/0 của router HaNoi được kết nối với cổng Serial 0/1 của router SaiGon. Để cho đường kết nối hoạt động thì cần cấu hình địa chỉ IP cho các cổng này. Sau đây là lệnh cấu hình địa chỉ IP cho các cổng này: Router#config terminal Router(config)#hostname HaNoi HaNoi(config)#interface s0/0 HaNoi(config- if)#ip address 172.16.1.1 255.255.255.252 HaNoi(config- if)#clock rate 64000 HaNoi(config- if)#no shutdown HaNoi(config- if)#exit Ở đây router HaNoi được coi là đầu DCE trong kết nối serial nên cần phải đặt clock rate. Lệnh cấu hình địa chỉ cho router SaiGon: Router#config terminal Router(config)#hostname SaiGon SaiGon(config)#interface s0/1 SaiGon(config- if)#ip address 172.16.1.2 255.255.255.252 SaiGon(config- if)#no shutdown SaiGon(config- if)#exit 1.2. Cấu hình password truy nhập Để ngăn chặn những truy cập trái phép trực tiếp vào router bằng cách như qua telnet khi biết địa chỉ IP, hay là cắm trực tiếp thiết bị thông qua cổng console chúng ta tiến hành thiết lập và mã hoá password truy cập vào router. Lệnh cấu hình: HaNoi(config)#line consol 0 HaNoi(config-line)#password bachkhoa HaNoi(config-line)#login HaNoi(config-line)#exit Lệnh đặt enable password: HaNoi(config)#enable password bachkhoa Password này không được mã hoá, nó sẽ hiển thị dưới dạng clear text khi thực hiện lệnh show runningconfig, để mã hoá password có thể dùng lệnh: HaNoi(config)#enable secret bachkhoa Lệnh cấu hình password cho các phiên telnet: HaNoi(config)#line vty 0 4 HaNoi(config-line)#password bachkhoa HaNoi(config-line)#login HaNoi(config-line)#exit Ngoài ra, để tăng khả năng bảo mật chúng ta có thể cấu hình PAP (Password Authentication Protocol) hoặc CHAP (Challenge Handshake Authentication Protocol) trên kết nối giữa hai router. Việc cấu hình có thể thực hiện bằng lệnh sau: HaNoi(config)#username SaiGon password bachkhoa HaNoi(config)#interface s0/0 HaNoi(config- if)#encapsulation ppp HaNoi(config- if)#ppp authentication chap Trên router SaiGon các lệnh cấu hình hoàn toàn tương tự như đối với router HaNoi. 1.3. Cấu hình phương pháp định tuyến Việc áp dụng các phương pháp định tuyến sẽ làm tăng khả năng an toàn thông chạy trong mạng. Có hai phương pháp định tuyến là phương pháp định tuyến tĩnh (Static Routes) và định tuyến động (Dynamic Routes). Có nhiều phương pháp định tuyến động như RIP, IGRP, EIGRP, OSPF… Ở đây chúng ta sử dụng giao thức RIP (Routing Information Protocol). RIP là giao thức sử dụng cho các mạng tương đối nhỏ, có các đặc điểm sau: +Sau 30 giây nó cập nhật bảng định tuyến một lần và thông tin định tuyến được các router gửi quảng bá trên mạng. +Sử dụng hop count (số bước nhày) để xác lập bảng định tuyến. Nếu số bước nhảy lớn hơn 15, gói tin sẽ bị loại bỏ. Các lệnh cấu hình RIP trên các router: HaNoi(config)#router rip HaNoi(config-router)#network 172.16.0.0 SaiGon(config)#router rip SaiGon(config-router)#network 172.16.0.0 1.4. Cấu hình ACLs Việc cấu hình ACLs trên các router sẽ khiến các router hoạt động như một firewall thực thụ. Ở đây có thể cấu hình ACLs để ngăn chặn các gói tin của host 172.16.5.5 đi qua router HaNoi. HaNoi(config)#access-list 1 deny 172.16.5.5 0.0.0.0 HaNoi(config)#access-list 1 permit 0.0.0.0 255.255.255.255 HaNoi(config)#interface s0/0 HaNoi(config-if)#ip access-group 1 in Hai dòng lệnh trên cùng có thể được thay bằng lệnh sau: HaNoi(config)#access-list 1 deny host 172.16.5.5 HaNoi(config)#access-list 1 permit any Trên mô hình mô phỏng, để ngăn chặn hacker ở ngoài telnet vào router chúng ta có thể tạo ACLs ngăn chặn telnet: HaNoi(config)#access-list 101 deny tcp any any eq 23 HaNoi(config)#access-list 101 permit ip any any HaNoi(config)#interface s0/1 HaNoi(config-if)#ip access-group 101 in Với cấu trúc lệnh như trên, các phiên telnet từ ngoài vào router HaNoi sẽ bị ngăn chặn trong khi đó các gói tin IP khác vẫn hoạt động bình thường. Ngoài những phương pháp bảo hệ thống thông qua cấu hình trên router cũng có thể sử dụng phương pháp chuyển đổi địa chỉ mạng (Network Address Transtation) để ngăn chặn việc bị phát hiện địa chỉ IP của các máy trong nội bộ mạng. 2. Switch 2.1. Cấu hình password truy nhập Cũng giống như router, trên switch cũng có thể cấu hình password cho cổng consol cũng như các phiên telnet. Lệnh cấu hình như sau: Switch1(config)#line console 0 Switch1(config-line)#password bachkhoa Switch1(config-line)#login Switch1(config-line)#exit Lệnh đặt enable password: Switch1(config)#enable password bachkhoa Password này không được mã hoá, nó sẽ hiển thị dưới dạng clear text khi thực hiện lệnh show runningconfig, để mã hoá password có thể dùng lệnh: Switch1(config)#enable secret bachkhoa Lệnh cấu hình password cho các phiên telnet: Switch1(config)#line vty 0 15 Switch1(config-line)#password bachkhoa Switch1(config-line)#login Switch1(config-line)#exit 2.2. Cấu hình VLAN Trên mỗi switch được chia thành 3 VLAN là VLAN2, VLAN3 và VLAN4. Việc phân chia các port của switch vào các VLAN như sau: +Port 1 đến 8 thuộc VLAN2 +Port 9 đến 16 thuộc VLAN3 +Port 17 đến 24 thuộc VLAN4 Riêng VLAN1 được dùng làm VLAN quản lý và không có port nào của switch được gắn vào VLAN1. 2.2.1. Cấu hình cho chi nhánh Hà Nội +Các lệnh cấu hình cho switch1 như sau: Switch1#vlan database Switch1(vlan)#vlan 2 Switch1(vlan)#vlan 3 Switch1(vlan)#vlan 4 Switch1(vlan)#vtp domain hanoi Switch1(vlan)#vtp server Switch1(vlan)#exit Sau các câu lệnh này VLAN2, VLAN3 và VLAN4 được tạo ra trên switch1. Switch1 được đặt ở trạng thái VTP server và nằm trong domain hahoi. Như vậy switch1 sẽ có nhiệm vụ quảng bá thông tin về VLAN cho các switch còn lại. Để định tuyến cho các VLAN ta cần phải cấu hình các subinterface trên router. HaNoi(config)#interface fa0/0 HaNoi(config-if)#no shutdown HaNoi(config-if)#interface fa0/0.2 HaNoi(config-if)#encapsulation dot1q 2 HaNoi(config-if)#ip address 172.16.2.1 255.255.255.0 ---------------------------------------------------------------------------------------------- HaNoi(config-if)#interface fa0/0.3 HaNoi(config-if)#encapsulation dot1q 3 HaNoi(config-if)#ip address 172.16.3.1 255.255.255.0 ---------------------------------------------------------------------------------------------- HaNoi(config-if)#interface fa0/0.4 HaNoi(config-if)#encapsulation dot1q 4 HaNoi(config-if)#ip address 172.16.4.1 255.255.255.0 HaNoi(config-if)#exit Qua các câu lệnh trên, cổng fa0/0 của router HaNoi được chia thành 3 cổng logic tương ứng với 3 VLAN. Sau khi tạo ra các VLAN cần phải gán các cổng của switch vào các VLAN tương ứng. Switch1#config terminal Switch1(config)#interface fa0/x Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 2 Switch1(config-if)#exit Ở đây x là số port được gán vào VLAN2, x có giá trị từ 1 đến 8. ---------------------------------------------------------------------------------------------- Switch1#config terminal Switch1(config)#interface fa0/y Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 3 Switch1(config-if)#exit Ở đây y là số port được gán vào VLAN3, y có giá trị từ 9 đến 16. ---------------------------------------------------------------------------------------------- Switch1#config terminal Switch1(config)#interface fa0/z Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 4 Switch1(config-if)#exit Ở đây z là số port được gán vào VLAN4, z có giá trị từ 17 đến 24. ---------------------------------------------------------------------------------------------- Đường nối giữa hai switch cần phải được cấu hình ở mức trunk để mang thông tin giữa các VLAN. Switch1#config terminal Switch1(config)#interface gigabit1 Switch1(config-if)#switchport mode trunk Ngoài ra, để thuận tiện cho việc quản lý ta cũng có thể đặt địa chỉ IP cho switch. Switch1#config terminal Switch1(config)#interface vlan1 Switch1(config-if)#ip address 172.16.0.1 255.255.255.0 +Các lệnh cấu hình cho switch2 như sau: Switch2#vlan database Switch2(vlan)#vtp domain hanoi Switch2(vlan)#vtp client Switch2(vlan)#exit Switch2 được cấu hình VTP cùng domain với switch1 và ở mức client. Như vậy switch2 không có khả năng tạo cũng như xoá các VLAN. Nó sẽ nhận thông tin về VLAN từ switch1. Cả việc gán các cổng vào các VLAN cũng không cần cấu hình vì nó sẽ nhận từ switch1. Trên switch2 chỉ cần cấu hình mode trunk cho đường nối và đặt IP để tiện quản lý: Switch2#config terminal Switch2(config)#interface gigabit1 Switch2(config-if)#switchport mode trunk Switch2(config-if)#exit Switch1(config)#interface vlan1 Switch1(config-if)#ip address 172.16.0.2 255.255.255.0 2.2.2. Cấu hình cho chi nhánh Sài Gòn Việc cấu hình trên các switch ở chi nhánh Sài Gòn hoàn toàn tương tự. Ở đây vtp domain sẽ là saigon và địa chỉ IP cho các VLAN sẽ tương ứng như sau: +VLAN2 172.16.5.0/24 +VLAN3 172.16.6.0/24 +VLAN4 172.16.7.0/24 KẾT LUẬN Để đảm bảo sự an toàn thông tin trên mạng cần phải thực hiện nhiều lớp bảo vệ khác nhau, mỗi lớp có những mặt hạn chế và cũng có những ưu điểm riêng. Tuỳ vào yêu cầu cụ thể của công việc mà ta cần lựa chọn những biện pháp sao cho thích hợp để đáp ứng được nhu cầu đảm bảo an toàn thông tin cho hệ thống. Hiện nay để triển khai một hệ thống mạng an toàn có rất nhiều phương pháp có thể áp dụng, trong đó việc sử dụng các thiết bị mạng cũng là một phương pháp rất quan trọng. Những thiết bị được sử dụng là rất nhiều nhưng để phát huy hết những khả năng của chúng thì người quản trị cần phải có những hiểu biết tương đối sâu về những thiết bị đó. Trên thực tế hiện nay, tất cả các công ty hay tổ chức đều cần xây dựng một hệ thống mạng cho riêng mình, mỗi hệ thống mạng đều có những yêu cầu về an ninh mạng tuỳ theo mức độ quan trọng của thông tin. Việc thực hiện đề tài đã phần nào đáp ứng được các yêu cầu đó. Đề tài hoàn toàn có thể đem áp dụng để xây dựng một hệ thống mạng thực tế. Có thể quy mô mạng lớn hơn và có những yêu cầu an ninh cao hơn, khi đó sẽ kết hợp nhiều biện pháp khác để đảm bảo an toàn cho mạng. Đề tài có nhiều điểm tích cực nhưng cũng còn những hạn chế, các vấn đề được nêu ra mới chỉ dừng lại ở mức cơ bản, chưa thực sự đi sâu vào một vấn đề nào. Vì thời gian thực hiện đề tài không dài, thiết bị dùng để thực hiện là có hạn, việc thực hiện cấu hình trên các thiết bị không được nhiều do đó còn nhiều hạn chế để thực hiện được nhiều biện pháp đảm bảo an ninh mạng trên các thiết bị. Nếu có điều kiện về thiết bị cũng như thời gian thì đề tài chắc chắn sẽ mang tính thực tế nhiều hơn, giúp cho người đọc dễ dàng hiểu được một hệ thống mạng thực sự bao gồm những gì và chúng hoạt động thế nào. Thông qua quá trình thực hiện đề tài này em cũng đã may mắn được tiếp xúc với các thiết bị của một hệ thống mạng máy tính, biết được chúng hoạt động thế nào, điều đó giúp em mở mang thêm rất nhiều kiến thức. Việc kết hợp giữa lý thuyết học trên ghế nhà trường với những kiến thức thực tế sẽ tạo rất nhiều thuận lợi cho công tác của em sau này. NHỮNG THUẬT NGỮ VIẾT TẮT ACK Acknowledgement ACLs Access Control Lists ARP Address Resolution Protocol ATM Asynchronous Transfer Mode CAM Content Addressable Memory CHAP Challenge Handshake Authentication Protocol DCE Data Circuit-Terminating Equipment DDoS Distributed Denial of Service DNS Domain Name System DoS Denial of Service DTE Data Terminal Equipment FDDI Fiber Distributed Data Interface FTP File Transfer Protocol IDSs Instrution Direction Systems ICMP Internet Control Message Protocol IP Internet protocol ISDN Intergrated Services Digital Network LAN Local Area Network MAC Media Access Control NAT Network Address Transtation NIC Network Interface Card OSI Open Systems Interconnection OSPF Open Shortest Path Firth PAP Password Authentication Protocol PPP Point to point Protocol RIP Routing Information Protocol SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SONET Synchronous Optical Network STP Shield Twisted Pair TCP Transmission Control Protocol UDP User Datagram Protocol UTP Unshield Twisted Pair VLAN Virtual LAN VTP VLAN Trunking Protocol WAN Wide Area Network TÀI LIỆU THAM KHẢO [1]. Nguyễn Thúc Hải – “Mạng máy tính và các hệ thống mở” – NXB Giáo dục [2]. Khương Anh – “Giáo trình hệ thống mạng máy tính CCNA” – NXB Lao động – Xã hội [3]. Giáo trình CCNA 3.1 [4]. CCNA Lab Pro