Ngày nay với một lượng lớn về thông tin, nhu cầu xử lý thông tin ngày càng cao. Mạng máy tính hiện nay trở nên quá quen thuộc đối với chúng ta, trong mọi lĩnh vực như khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục... Hiện nay ở nhiều nơi mạng đã trở thành một nhu cầu không thể thiếu được. Người ta thấy được việc kết nối các máy tính thành mạng cho chúng ta những khả năng mới to lớn như:
TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA ĐIỆN – ĐIỆN TỬ BỘ MÔN ĐIỆN TỬ VIỄN THÔNG ĐỒ ÁN III QUẢN TRỊ MẠNG MÁY TÍNH SVTH : DMZ BMW TP.Hồ Chí Minh, ngày 30 tháng 11 năm 2021 Phần 1: Tổng quan mạng máy tính I Định nghĩa Mạng Máy Tính: Mạng máy tính nhóm máy tính, thiết bị ngoại vi kết nối với thông qua phương tiện truyền dẫn cáp, sóng điện từ, tia hồng ngoại…giúp cho thiết bị trao đổi liệu với cách dễ dàng II Tại cần có mạng? Ngày với lượng lớn thông tin, nhu cầu xử lý thông tin ngày cao Mạng máy tính trở nên quen thuộc chúng ta, lĩnh vực khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục Hiện nhiều nơi mạng trở thành nhu cầu thiếu Người ta thấy việc kết nối máy tính thành mạng cho khả to lớn như: Sử dụng chung tài nguyên: Những tài nguyên mạng (như thiết bị, chương trình, liệu) trở thành tài nguyên chung thành viên mạng tiếp cận mà khơng quan tâm tới tài nguyên đâu Tăng độ tin cậy hệ thống: Người ta dễ dàng bảo trì máy móc lưu trữ (backup) liệu chung có trục trặc hệ thống chúng khơi phục nhanh chóng Trong trường hợp có trục trặc trạm làm việc người ta sử dụng trạm khác thay Nâng cao chất lượng hiệu khai thác thơng tin: Khi thơng tin dùng chung mang lại cho người sử dụng khả tổ chức lại công việc với thay đổi chất như: • Đáp ứng nhu cầu hệ thống ứng dụng kinh doanh đại • Cung cấp thống liệu • Tăng cường lực xử lý nhờ kết hợp phận phân tán • Tăng cường truy nhập tới dịch vụ mạng khác cung cấp giới III Phân loại mạng máy tính: Mạng cục LAN (Local Area Network): Mạng LAN nhóm máy tính thiết bị truyền thông mạng nối kết với khu vực nhỏ tồ nhà cao ốc, khn viên trường đại học, khu giải trí… Các mạng LAN thường có đặc điểm sau đây: • Băng thơng lớn có khả chạy ứng dụng trực tuyến xem phim, hội thảo qua mạng • Kích thước mạng bị giới hạn thiết bị • Chi phí thiết bị mạng LAN tương đối rẻ • Quản trị đơn giản Hình 1.1 Mạng thị MAN (Metropolitan Area Network): Mạng MAN gần giống mạng LAN giới hạn thành phố hay quốc gia Mạng MAN nối kết mạng LAN lại với thông qua phương tiện truyền dẫn khác (cáp quang, cáp đồng, sóng…) phương thức truyền thông khác Đặc điểm mạng MAN : • Băng thơng mức trung bình, đủ để phục vụ ứng dụng cấp thành phố hay quốc gia phủ điện tử, thương mại điện tử, ứng dụng ngân hàng… • Do MAN nối kết nhiều LAN với nên độ phức tạp tăng đồng thời việc quản lý khó khăn • Chi phí thiết bị mạng MAN tương đối đắt tiền Mạng diện rộng WAN (Wide Area Network): Mạng WAN bao phủ vùng địa lý rộng lớn quốc gia, lục địa hay toàn cầu Mạng WAN thường mạng cơng ty đa quốc gia hay tồn cầu điển hình mạng Internet Do phạm vi rộng lớn mạng WAN nên thông thường mạng WAN tập hợp mạng LAN, MAN nối lại với phương tiện như: vệ tinh (satellites), sóng viba (microwave), cáp quang, cáp điện thoại Đặc điểm mạng WAN: • Băng thông thấp, dễ kết nối thường phù hợp với ứng dụng online e-mail, web, ftp… • Phạm vi hoạt động rộng lớn không giới hạn • Do kết nối nhiều LAN, MAN lại với nên mạng phức tạp có tính tồn cầu nên thường tổ chức quốc tế đứng qui định quản lý • Chi phí cho thiết bị công nghệ mạng WAN đắt tiền Hình 1.2 Mạng Internet: Mạng Internet trường hợp đặc biệt mạng WAN, chứa dịch vụ toàn cầu Mail, Web, Chat, FTP phục vụ miễn phí cho người IV Sự phân biệt mạng cục mạng diện rộng: Mạng cục mạng diện rộng phân biệt bởi: địa phương hoạt động, tốc độ đường truyền tỷ lệ lỗi đường truyền, chủ quản mạng, đường thông tin mạng, dạng chuyển giao thông tin Địa phương hoạt động: Liên quan đến khu vực địa lý mạng cục mạng liên kết máy tính nằm khu vực nhỏ Khu vực bao gồm tịa nhà khu nhà Điều hạn chế khoảng cách đường dây cáp dùng để liên kết máy tính mạng cục (hạn chế cịn hạn chế khả kỹ thuật đường truyền liệu) Ngược lại mạng diện rộng mạng có khả liên kết máy tính vùng rộng lớn thành phố, miền, đất nước, mạng diện rộng xây dựng để nối hai nhiều khu vực địa lý riêng biệt Tốc độ đường truyền tỷ lệ lỗi đường truyền : Do đường cáp mạng cục xây dựng khu vực nhỏ bị ảnh hưởng tác động thiên nhiên (như sấm chớp, ánh sáng ) Điều cho phép mạng cục truyền liệu với tốc độ cao mà chịu tỷ lệ lỗi nhỏ Ngược lại với mạng diện rộng phải truyền khoảng cách xa với đường truyền dẫn dài có lên tới hàng ngàn km Do mạng diện rộng khơng thể truyền với tốc độ q cao tỷ lệ lỗi trở nên khó chấp nhận Mạng cục thường có tốc độ truyền liệu từ đến 16 Mbps đạt tới 100 Mbps dùng cáp quang Còn phần lớn mạng diện rộng cung cấp đường truyền có tốc độ thấp nhiều T1 với 1.544 Mbps hay E1 với 2.048 Mbps (Ở bps (Bit Per Second) đơn vị truyền thông tương đương với bit truyền giây, ví dụ tốc độ đường truyền Mbps tức truyền tối đa Megabit giây đường truyền đó) Thơng thường mạng cục tỷ lệ lỗi truyền liệu vào khoảng 1/107- 108 mạng diện rộng tỷ lệ vào khoảng 1/106 - 107 Chủ quản điều hành mạng: Do phức tạp việc xây dựng, quản lý, trì đường truyền dẫn nên xây dựng mạng diện rộng người ta thường sử dụng đường truyền thuê từ công ty viễn thông hay nhà cung cấp dịch vụ truyền số liệu Tùy theo cấu trúc mạng đường truyền thuộc quan quản lý khác nhà cung cấp đường truyền nội hạt, liên tỉnh, liên quốc gia Các đường truyền phải tuân thủ quy định phủ khu vực có đường dây qua như: tốc độ, việc mã hóa Cịn mạng cục cơng việc đơn giản nhiều, quan cài đặt mạng cục tồn mạng thuộc quyền quản lý quan Đường thơng tin mạng: Trong mạng cục thông tin theo đường xác định cấu trúc mạng Khi người ta xác định cấu trúc mạng thơng tin ln ln theo cấu trúc xác định Cịn với mạng diện rộng liệu cấu trúc phức tạp nhiều việc sử dụng dịch vụ truyền liệu Trong trình hoạt động điểm nút thay đổi đường thơng tin phát có trục trặc đường truyền hay phát có nhiều thong tin cần truyền hai điểm nút Trên mạng diện rộng thơng tin có đường khác nhau, điều cho phép sử dụng tối đa lực đường truyền hay nâng cao điều kiện an toàn truyền liệu Dạng chuyển giao thông tin: Phần lớn mạng diện rộng phát triển cho việc truyền đồng thời đường truyền nhiều dạng thông tin khác như: video, tiếng nói, liệu Trong mạng cục chủ yếu phát triển việc truyền liệu thơng thường Điều giải thích việc truyền dạng thơng tin video, tiếng nói khu vực nhỏ quan tâm truyền qua khoảng cách lớn Các hệ thống mạng ngày phức tạp chất lượng, đa dạng chủng loại phát triển nhanh chất Trong phát triển số lượng nhà sản xuất từ phần mềm, phần cứng máy tính, sản phẩm viễn thơng tăng nhanh với nhiều sản phẩm đa dạng Chính vai trị chuẩn hóa mang ý nghĩa quan trọng Tại nước quan chuẩn quốc gia đưa chuẩn phần cứng quy định giao tiếp nhằm giúp cho nhà sản xuất làm sản phẩm kết nối với sản phẩm hãng khác sản xuất V Các mơ hình xử lý mạng: Cơ có loại mơ hình xử lý mạng bao gồm: • Mơ hình xử lý mạng tập trung • Mơ hình xử lý mạng phân phối • Mơ hình xử lý mạng cộng tác Mơ hình xử lý mạng trung tâm: Tồn tiến trình xử lý diễn máy tính trung tâm Các máy trạm cuối (Terminals) nối mạng với máy tính trung tâm hoạt động thiết bị nhập xuất liệu cho phép người dùng xem hình nhập liệu bàn phím Các máy trạm đầu cuối không lưu trữ xử lý liệu Mơ hình xử lý mạng triển khai hệ thống phần cứng phần mềm cài đặt Server Ưu điểm: liệu bảo mật an toàn, dễ backup diệt virus Chi phí thiết bị thấp Khuyết điểm: khó đáp ứng yêu cầu nhiều ứng dụng khác nhau, tốc độ truy xuất chậm Hình 1.3 Mơ hình xử lý mạng phân phối: Các máy tính có khả hoạt động độc lập, công việc tách nhỏ giao cho nhiều máy tính khác thay tập trung xử lý máy trung tâm Tuy liệu xử lý lưu trữ máy cục máy tính nối mạng với nên chúng trao đổi liệu dịch vụ Ưu điểm: truy xuất nhanh, phần lớn không giới hạn ứng dụng Khuyết điểm: liệu lưu trữ rời rạc khó đồng bộ, backup dễ nhiễm virus Hình 1.4 Mơ hình xử ký mạng cơng tác: Mơ hình xử lý mạng cộng tác bao gồm nhiều máy tính hợp tác để thực cơng việc Một máy tính mượn lực xử lý cách chạy chương trình máy nằm mạng Ưu điểm: nhanh mạnh, dùng để chạy ứng dụng có phép tốn lớn Khuyết điểm: liệu lưu trữ vị trí khác nên khó đồng backup, khả nhiễm virus cao VI Các mơ hình quản lý mạng: Workgroup: Trong mơ hình máy tính có quyền hạng ngang khơng có máy tính chuyên dụng làm nghiệp vụ cung cấp dịch vụ hay quản lý Các máy tính tự bảo mật quản lý tài nguyên riêng Đồng thời máy tính cục tự chứng thực cho người dùng cục Domain: Ngược lại với mô hình Workgroup, mơ hình Domain việc quản lý chứng thực người dùng mạng tập trung máy tính Primary Domain Controller Các tài nguyên mạng quản lý tập trung cấp quyền hạn cho người dùng Lúc hệ thống có máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ quản lý máy trạm VII Các mơ hình ứng dụng mạng: Mạng ngang hang (Peer to Peer): Mạng ngang hàng cung cấp việc kết nối máy tính khơng có máy tính đóng vai trị phục vụ Một máy tính mạng vừa Client vừa Server Trong môi trường người dùng máy tính chịu trách nhiệm điều hành chia sẻ tài ngun máy tính Mơ hình phù hợp với tổ chức nhỏ, số người giới hạn (thông thường nhỏ 10 người) không quan tâm đến vấn đề bảo mật Mạng ngang hàng thường dùng hệ điều hành sau: Win95, Windows for Workgroup, WinNT Workstation, Win2000 Proffessional, OS/2… Ưu điểm: Do mơ hình mạng ngang hàng đơn giản nên dễ cài đặt, tổ chức quản trị, chi phí thiết bị cho mơ hình thấp Khuyết điểm: Không cho phép quản lý tập trung nên liệu phân tán, khả bảo mật thấp dễ bị xâm nhập Các tài nguyên không xếp nên khó định vị tìm kiếm Hình 1.5 Mạng khách chủ (Client-Server) Trong mơ hình mạng khách chủ có hệ thống máy tính cung cấp tài nguyên dịch vụ cho hệ thống mạng sử dụng gọi máy chủ (Server) Một hệ thống máy tính sử dụng tài nguyên dịch vụ gọi máy khách (Client) Các Server thường có cấu hình mạnh (tốc độ xử lý nhanh, kích thước lưu trữ lớn) máy chuyên dụng Hệ điều hành mạng dùng mơ hình Client - Server WinNT, Novell Netware, Unix,Win2K… Ưu điểm: Do liệu lưu trữ tập trung nên dễ bảo mật, backup đồng với Tài nguyên dịch vụ tập trung nên dễ chia sẻ quản lý phục vụ cho nhiều người dùng Khuyết điểm: Các Server chuyên dụng đắt tiền, phải có nhà quản trị cho hệ thống 10 thiết bị chuyển tín hiệu số từ máy tính cho tín hiệu truyền mạng điện thoại ngược lại Hình6.2: Mơ hình chuyển mạch tương tự Chuyển mạch số (Digital): Đường truyền chuyển mạch số lần AT&T thiệu vào cuối 1980 AT&T giới thiệu mạng chuyển mạch số Acnet với đường truyền 56 kbs Việc sử dụng đường chuyển mạch số đòi hỏi sử dụng thiết bị phục vụ truyền liệu số (Data Service Unit - DSU) vào vị trí modem chuyển mạch tương tự Thiết bị phục vụ truyền liệu số có nhiệm vụ chuyển tín hiệu số đơn chiều (unipolar) từ máy tính thành tín hiệu số hai chiều (bipolar) để truyền đường truyền Hình 6.3: Mơ hình chuyển mạch số Mạng chuyển mạch số cho phép người sử dụng nâng cao tốc độ truyền (ở khác biệt kỹ thuật truyền số kỹ thuật truyền tương tự nên hiệu truyền mạch số cao nhiều so với truyền tương tự cho dù tốc độ), độ an toàn Vào năm 1991 AT&T giới thiệu mạng chuyển mạch số có tốc độ 384 Kbps Người ta dùng mạng chuyển mạch số để tạo liên kết mạng LAN làm đường truyền dự phòng II Mạng thuê bao riêng (Leased line Network): Với kỹ thuật chuyển mạch nút mạng (tương tự số) có số lượng lớn đường dây truyền liệu, với đường dây thời điểm có nhiều phiên giao dịch, số lượng trạm sử dụng tăng cao người ta nhận thấy việc sử dụng mạng chuyển mạch trở nên không kinh tế Để giảm bớt số lượng đường dây kết nối nút mạng người ta đưa kỹ thuật gọi ghép kênh 70 Hình 6.4: Mơ hình ghép kênh Mơ hình mơ tả sau: nút người ta tập hợp tín hiệu nhiều người sử dụng ghép lại để truyền kênh nối đến nút khác, nút cuối người ta phân kênh ghép thành kênh riêng biệt truyền tới người nhận Có hai phương thức ghép kênh ghép kênh theo tần số ghép kênh theo thời gian, hai phương thức tương ứng với mạng thuê bao mạng thuê bao kỹ thuật số Trong thời gian mạng thuê bao kỹ thuật số sử dụng kỹ thuật ghép kênh theo thời gian với đường truyền T sử dụng ngày rộng rãi thay mạng thuê bao Phương thức ghép kênh theo tầng số: Để sử dụng phương thức ghép kênh theo tần số nút mạng liên kết đường truyền băng tần rộng Băng tần chia thành nhiều kênh phân biệt tần số khác Khi truyền liệu, kênh truyền từ người sử dụng đến nút chuyển thành kênh với tần số xác định truyền thông qua ghép kênh đến nút cuối tách thành kênh riêng biệt để truyền tới người nhận Theo chuẩn CCITT có phương thức ghép kênh cho phép ghép 12, 60, 300 kênh đơn Người ta dùng đường thuê bao (Analog) nối máy người sử dụng tới nút mạng thuê bao gần Khi máy người sử dụng gửi liệu kênh liệu ghép với kênh khác truyền đường truyền tới nút đích phân thành kênh riêng biệt trước gửi tới máy người sử dụng Đường nối máy trạm người sử dụng tới nút mạng thuê bao giống mạng chuyển mạch sử dụng đường dây điện thoại với kỹ thuật chuyển đổi tín hiệu V22, V22 bis, V32, V32 bis, kỹ thuật nén V42 bis, MNP class Phương thức ghép kênh theo thời gian: Khác với phương thức ghép kênh theo tần số, phương thức ghép kênh theo thời gian chia chu kỳ thời gian hoạt động đường truyền trục thành nhiều khoảng nhỏ kênh truyền liệu khoảng Sau ghép kênh lại thành kênh chung liệu 71 truyền tương tự phương thức ghép kênh theo tần số Người ta dùng đường thuê bao đường truyền kỹ thuật số nối máy người sử dụng tới nút mạng thuê bao gần Hiện người ta có đường truyền thuê bao T1 với tốc độ 1.544 Mbps bao gồm 24 kênh vớp tốc độ 64 kbps 8000 bits điều khiển giây III Tổng quan Wi-fi: Wi-Fi (Wireless Fidelity) chứng nhận (certification) tính tương thích loại mạng cục khơng dây (wireless LAN) theo tiêu chuẩn 802.11 Chứng nhận Wi-Fi đưa tổ chức phi lợi nhuận có tên gọi Wi-Fi Alliance (www.wifi.org) Khi sản phẩm có chứng nhận Wi-Fi (Wi-Fi certified) xem chúng đảm bảo tương thích với Điều tạo thuận lợi cho nhà sản xuất (đặc biệt nhà sản xuất nhỏ) giới hạn khả độc quyền nhà sản xuất lớn (do thường áp đặt việc sản xuất theo chuẩn riêng mình) Một ích lợi giá thành sản phẩm giảm tương thích mang lại cuối cùng, người hưởng lợi người sử dụng Khi đầu tư (ví dụ xây dựng mạng wireless LAN), người dùng tra cứu tài liệu để xem thiết bị mua có tương thích với khơng,mà trường hợp này, họ cần xác định mua thiết bị chứng nhận Wi-Fi đủ Về công nghệ, Wi-Fi chứng nhận chuẩn mạng cục không dây chuẩn an ninh cho loại mạng này, bao gồm: • Chuẩn mạng 802.11a • Chuần mạng 802.11b • Chuẩn mạng 802.11g • Chuẩn an ninh Wi-Fi Protected Access (WPA) Chuẩn 802.11b chuẩn chứng nhận có tốc độ 11Mbps dãy tần số 2.4GHz Đây chuẩn sử dụng phổ biến nên nhiều người xem Wi-Fi 802.11b ngược lại Hiện nay, thiết bị chuẩn có giá thành thấp “build-in” vào sẵn thiết bị máy tính xách tay, máy trợ giúp cá nhân hay điện thoại di động Chuẩn 802.11a cải thiện khuyết điểm tốc độ nâng lên 54Mbps Tuy nhiên, chuẩn dùng tần số 5Ghz khơng tương thích ngược với 802.11b (vốn phổ biến) nên không chấp nhận rộng rãi Cải thiện vấn đề này, 802.11g đời với ưu điểm tốc độ cao (54Mbps) tương thích ngược với chuẩn 802.11b Chuần 72 thua 802.11a điểm có kênh tần số Riêng chuẩn WPA trình bày mục “Các phương pháp bảo vệ an toàn cho Wi-Fi” Mạng không dây (wireless) xu hướng phát triển chung công nghệ thông tin giới Vì vậy, từ đời, Wi-Fi giới đón nhận nhanh chóng ứng dụng rộng rãi Khơng dừng lại đó, Wi-Fi nói riêng mạng wireless LAN nói chung phải tiếp tục phát triển theo xu hướng sau: • Tăng tốc độ kết nối Đây nói tâm lớn nhà phát triển chuẩn mạng Hiện có số sản phẩm nhân đôi tốc độ thật chuẩn cách thiết lập lúc kênh kết nối Tuy nhiên, cách làm chưa chuẩn hóa chưa Wi-Fi chứng nhận • Tăng khoảng cách phủ sóng Hiện tại, khoảng cách Wi-Fi cịn hạn chế xét phương diện mạng cục khoảng cách tạm chấp nhận Vì xu hướng tiếp tục ý khơng phải ưu tiên hàng đầu • Tăng số kênh sử dụng Hiện số lượng kênh sử dụng thấp làm hạn chế đến số lượng mạng không dây hoạt động phạm vi địa lý Vấn đề cải tiến tăng tần số sóng bị ảnh hưởng đến vấn đề xin cấp “giấy phép tần số” • Tăng cường an ninh Khác với mạng có dây, mạng không dây dễ dàng bị truy cập trái phép nên vấn đề an ninh đặt lên hàng đầu phát triển Hiện nay, việc kết hợp WPA 802.1x mang lại kết tốt Tuy nhiên vấn đề an ninh cần tiếp tục cải thiện tốt • Giảm cơng suất tiêu thụ Xu hướng đặc biệt quan trọng thiết bị đầu cuối di động Tiết giảm lượng giúp thiết bị hoạt động lâu làm việc mơi trường di động • Giảm kích thước Mới đây, cơng nghệ Centrino Intel tích hợp chip Wi-Fi với chip xử lý khác giúp kích thước độ tiêu hao lượng thiết bị giảm xuống đáng kể Không dừng lại đây, công nghệ chip giảm kích thước tương lai không xa, thiết bị nhỏ điện thoại di động tích hợp sẵn Wi-Fi • Giảm giá thành Là xu hướng quan tâm tất công nghệ Chip Wi-Fi 02.11b giảm nhiều có xu hướng tiếp tục giảm Giá thành 802.11g tương đối cao tương lai khơng xa, chuẩn thay 802.11b Tóm lại, Wi-Fi phát triển mạnh mẽ 73 tiếp tục phát triển thời gian tới Có nhiều người cho Wi-Fi bị loại mạng khác broadband wireless, CDMA, GPRS… thay thực tế không vậy, Wi-Fi cải tiến tồn song song với loại mạng An ninh mạng mục tiêu hàng đầu Wi-Fi nói riêng mạng khơng dây nói chung Vì từ đời, mạng Wi-Fi có chế để bảo vệ Mỗi sản phẩm ứng dụng hay nhiều số chế này: Lọc địa MAC Cơ chế ln có tất thiết bị truy cập mạng không dây (AP – Access Point) phép hay cấm số địa MAC Đối với mạng nhỏ mạng gia đình, việc cho phép địa MAC thiết bị gia đình truy cập vào tiện an toàn Tuy nhiên, thực tế, tìm cách giả địa MAC được, nên chế an toàn mức tương đối Các phương pháp bảo vệ an toàn cho Wi-Fi xu hướng phát triển Wi-Fi • Không broadcast SSID Service Set Identifier (SSID) định danh cho thiết bị Access Point Nếu người dùng định danh khơng thể truy cập vào mạng wireless Bình thường định danh broadcast nên người dùng biết truy cập vào Nếu tắt chức broadcast có người biết SSID truy cập vào mạng Tuy nhiên, tham số dùng chung nên việc “rị rỉ” bên ngồi xảy Ngồi ra, số phần mềm phát tham số theo dõi thời gian định • Mã hóa gói tin Để tăng cường thêm mức độ an ninh, mạng Wi-Fi dùng chế WEP (Wired Equivalent Privacy) cách mã hóa RC4 qua mã khóa - gọi key Cơ chế vừa mã hóa vừa cung cấp khả xác thực người dùng (vì phải biết khóa vào được) tồn thời gian sau người ta phát nhiều khuyết điểm Hiện tại, người cải tiến cách tăngchiều dài khóa, tạo khóa động… qua chuẩn WPA, WPA2… • Xác thực trước kết nối Các loại Access Point chưa có chế chủ yếu xác thực qua việc dùng SSID (bằng cách khơng broadcast) khóa WEP Hiện tại, người ta dùng 802.1x - chế xác thực lớp cho mạng LAN có dây - để làm xác thực cho Wi-Fi Đây chế tốt dùng kết hợp với RADIUS server để xác thực cách tập trung • Chia mạng LAN ảo (VLAN) Vì người dùng khơng dây thuộc nhiều phận khác với sách sử dụng tài nguyên khác nhau, nên việc chia 74 VLAN người truy cập vào mạng không dây cần thiết tăng cường thêm khả an ninh hệ thống Tóm lại, người ta kết hợp nhiều hình thức an ninh khác cho mạng không dây Tuy nhiên, chuẩn quan tâm sử dụng WPA 802.1x Trong 802.1x dùng để xác thực với username/password WPA tạo khóa mã hóa động nên tránh theo dõi đánh cắp thông tin Hiện cho dù WPA (Wi-Fi Protected Access) chưa phải chuẩn IEEE lại có chứng nhận Wi-Fi Chuẩn phần (subset) chuẩn 802.11i - chuẩn an ninh mạng không dây IEEE đời năm Chuẩn WPA không giống với 802.11i nhiều, chuẩn trung gian WPA2 có nhiều điểm tương đồng Trước Wi-Fi đời, có nhiều chuẩn mạng cục không dây nên việc chọn lựa sử dụng chuẩn khó khăn Các hãng sản xuất thiết bị đầu cuối laptop, PDA… khó khăn việc lựa chọn chuẩn để tích hợp vào thiết bị Sau đời phổ biến khắp giới, Wi-Fi nhanh chóng thiết bị đầu cuối đặc biệt thiết bị di động hỗ trợ sử dụng Dưới mức độ hỗ trợ Wi-Fi: • Tích hợp sẵn phần cứng phần mềm Đây hình thức hỗ trợ đầy đủ Người sử dụng việc cấu hình thiết bị theo hướng dẫn dùng • Hỗ trợ khe cắm mở rộng phần mềm Trường hợp thiết bị có sẵn phần mềm khe cắm mở rộng Người dùng cần mua thêm card Wi-Fi tương thích, cắm vào, cấu hình sử dụng • Hỗ trợ khe mở cắm rộng Đây hình thức thấp nhất, thiết bị có khe cắm mở rộng I/O Người dùng mua thêm card Wi-Fi cài đặt thêm phần mềm để sử dụng Wi-Fi giới di động: Aironet 1100 sản phẩm Wireless Access Point hãng Cisco - công ty hàng đầu việc cung cấp thiết bị mạng switch, router, firewall, remote access Sản phẩm đáp ứng giải pháp mạng LAN không dây tốc độ cao, bảo mật, dễ sử dụng Cisco 1100 sử dụng sóng đơn hoạt động tần số 2.4GHz, với giao tiếp miniPCI - sử dụng loại máy tính xách tay có Wi-Fi Với tốc độ gửi nhận liệu 11Mbps 802.11b hay 54Mbps 802.11g (có thể xem ngang với ADSL mạng dùng dây cáp) Việc quản lý cấu hình Aironet 1100 dễ dàng tiện lợi qua giao thức như: Telnet, HTTP, TFTP, SNMP Đặc biệt với giao diện Cisco command-line interface (CLI) cho phép áp dụng nhanh chóng khả có sẵn IOS Cisco Aironet 1100 hỗ trợ khả network cao như: Acquire IP address via DHCP server; Broadcast and multicast 75 filters; High-layer protocol filtering; Inline Power over Ethernet; VLAN tagging; Quality or Class of Service support; Radio transmit power control; Mobile IP support Đi kèm hỗ trợ chế bảo mật như: 40-bit WEP, 128-bit WEP, AES, Wi-Fi Protected Access (WPA), MAC- address access control lists, 802.1x, Integrated user authentication database Có thể nói Cisco Aironet 1100 sản phẩm Wi-Fi Access Point có tích hợp chế bảo mật cao thời điểm – phù hợp yêu cầu cao cấp mạng doanh nghiệp vừa nhỏ Windows XP hệ điều hành phổ biến hỗ trợ sẵn Wi-Fi Tuy nhiên, việc cấu hình tham số cịn khó hiểu gây trở ngại cho người dùng - đặc biệt người dùng thông thường (khơng phải chun gia máy tính) Thấy khuyết điểm này, Microsoft nhanh chóng sửa chữa giao diện Wi-Fi đưa vào cập nhật Service Pack (SP2) Đây cập nhật quan trọng Microsoft HĐH thông dụng để chuẩn bị tiến tới hệ điều hành tương lai - hệ điều hành với tên mã Longhorn Với bổ sung SP2, người dùng Windows XP sử dụng mạng Wi-Fi dễ dàng – đặc biệt môi trường đa kết nối 76 Phần 7: Bảo mật mạng I Virus: Nếu nghe nói qua đến virus máy tính, người khơng biết cho nơm na tựa loại virus bệnh dịch đó, họ thường phân vân không hiểu virus lây vào chỗ máy tính có cần cho máy tính uống kháng sinh khơng ? Sự thật khơng phải vậy, virus máy tính thực chất chương trình máy tính có khả tự chép từ đối tượng lây nhiễm sang đối tượng khác (đối tượng file chương trình, văn bản, đĩa mềm ), chương trình mang tính phá hoại Virus có nhiều cách lây lan tất nhiên có nhiều cách phá hoại, cần bạn nhớ đoạn chương trình đoạn chương trình dùng để phục vụ mục đích khơng tốt Virus máy tính người tạo ra, thực ngày coi trở thành bệnh dịch cho máy tính chúng tôi, bạn, người bác sĩ, phải ln chiến đấu với bệnh dịch tìm phương pháp để hạn chế tiêu diệt chúng Cũng vấn đề xã hội, khó tránh khỏi việc có loại bệnh mà phải dày cơng nghiên cứu trị được, có trường hợp gây hậu khôn lường Chính vậy, phương châm "Phịng chống" ln virus máy tính II Các loại Virus: Nếu bạn người muốn tìm hiểu sâu virus đọc phần này, giúp bạn có thêm số kiến thức loại virus máy tính, để tự tin việc phịng chống chúng Tuy nhiên, không không sao, bạn cần nhớ câu nói phần đủ: "Dường tất thứ nhiễm virus, chúng khơng tha chúng thâm nhập vào tất " Virus Boot: Khi bạn bật máy tính, đoạn chương trình nhỏ để ổ đĩa khởi động bạn thực thi Đoạn chương trình có nhiệm vụ nạp hệ điều hành mà bạn muốn (Windows, Linux hay Unix ) Sau nạp xong hệ điều hành bạn bắt đầu sử dụng máy Đoạn mã nói thường để ổ đĩa khởi động, chúng gọi "Boot sector" Những virus lây vào Boot sector gọi virus Boot Virus Boot thường lây lan qua đĩa mềm chủ yếu Ngày dùng đĩa 77 mềm làm đĩa khởi động máy, số lượng virus Boot khơng nhiều trước Tuy nhiên, điều tệ hại lại thường xuyên để quên đĩa mềm ổ đĩa, vơ tình bật máy, đĩa mềm trở thành đĩa khởi động, điều xảy đĩa có chứa virus Boot? Virus File: Là virus lây vào file chương trình file com, exe, bat, pif, sys Có lẽ đọc phần bạn tự hỏi "virus Macro lây vào file, lại không gọi virus File?" Câu trả lời nằm lịch sử phát triển virus máy tính Như bạn biết qua phần trên, tới năm 1995 virus macro xuất rõ ràng nguyên lý chúng khác xa so với virus trước (những virus File) nên lây vào File, gọi chúng virus File Virus Macro: Là loại virus lây vào file văn (Microsoft Word) hay bảng tính (Microsoft Excel) (Microsoft PowerPoint) Microsoft Office Macro đoạn mã giúp cho file Ofice tăng thêm số tính năng, định số cơng việc sẵn có vào macro ấy, lần gọi macro phần sẵn thực hiện, giúp người sử dụng giảm bớt cơng thao tác Có thể hiểu nôm na việc dùng Macro giống việc ta ghi lại thao tác, để sau cho tự động lặp lại thao tác với lệnh Con ngựa Thành Troia - Trojan Horse: Thuật ngữ dựa vào điển tích cổ, chiến người Hy Lạp người thành Troia Thành Troia thành trì kiên cố, qn Hy Lạp khơng đột nhập vào Người ta nghĩ kế, giả vờ giảng hồ, sau tặng thành Troia ngựa gỗ khổng lồ Sau ngựa đưa vào thành, đêm xuống quân lính từ bụng ngựa xông đánh chiếm thành từ bên Phương pháp cách mà Trojan máy tính áp dụng Đầu tiên kẻ viết Trojan cách lừa cho đối phương sử dụng chương trình mình, chương trình chạy vẻ bề ngồi chương trình bình thường (một trò chơi, bắn pháo hoa đẹp mắt chẳng hạn) Tuy nhiên, song song với trình đó, phần Trojan bí mật cài đặt lên máy nạn nhân Đến thời điểm định trước chương trình tay xoá liệu, hay gửi thứ cần thiết cho chủ nhân mạng (ở Việt Nam phổ biến việc lấy cắp mật truy nhập Internet người sử dụng gửi bí mật cho chủ nhân Trojan) Khác với virus, Trojan đoạn mã chương trình “HỒN TỒN KHƠNG CĨ 78 TÍNH CHẤT LÂY LAN” Nó cài đặt cách người tạo "lừa" nạn nhân Cịn virus tự động tìm kiếm nạn nhân để lây lan Thơng thường phần mềm có chứa Trojan phân phối phần mềm tiện ích, phần mềm hấp dẫn, nhằm dễ thu hút người sử dụng Vì bạn cẩn thận với điều lạ, hấp dẫn không rõ nguồn gốc! Sâu Internet -Worm bước tiến đáng kể đáng sợ virus Worm kết hợp sức phá hoại virus, bí mật Trojan hết lây lan đáng sợ mà kẻ viết virus trang bị cho nó, phần Một kẻ phá hoại với vũ khí tối tân Tiêu biểu Mellisa hay Love Letter Với lây lan đáng sợ chúng làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền Worm thường phát tán cách tìm địa sổ địa (Address book) máy mà lây nhiễm, thường địa bạn bè, người thân, khách hàng chủ máy Tiếp đến, tự gửi cho địa mà tìm thấy, tất nhiên với địa người gửi bạn, chủ sở hữu máy Điều nguy hiểm việc diễn mà bạn không hay biết, bạn nhận thông báo bạn gửi virus cho bạn bè, người thân bạn vỡ lẽ máy tính bị nhiễm virus (mà chưa bạn tin thế!!?) Với cách hoàn toàn tương tự máy nạn nhân, Worm nhanh chóng lây lan tồn cầu theo cấp số nhân, điều lý giải vịng vài tiếng đồng hồ mà Mellisa Love Letter lại lây lan tới hàng chục triệu máy tính tồn cầu Cái tên Worm hay "Sâu Internet" cho ta hình dung việc virus máy tính "bị" từ máy tính qua máy tính khác "cành cây" Internet Với lây lan nhanh rộng lớn vậy, Worm thường kẻ viết chúng cài thêm nhiều tính đặc biêt, chẳng hạn chúng định ngày đồng loạt từ máy nạn nhân (hàng triệu máy) cơng vào địa đó, máy chủ có mạnh đến trước cơng tổng lực phải bó tay, Website nhà Trắng ví dụ Ngồi ra, chúng cịn cho phép chủ nhân chúng truy nhập vào máy nạn nhân làm đủ thứ ngồi máy dó cách bất hợp pháp Ở nói sơ qua lịch sử, phân loại virus nhằm cung cấp cho bạn cách nhìn nhận đắn virus máy tính, để từ có phương pháp hữu hiệu để ngăn chặn chúng III IP security: Tổng quan: 79 Giao thức IPsec làm việc tầng Network Layer – layer mơ hình OSI Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng tới tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPsec, giao thức hoạt động từ tầng với TCP, UDP, hầu hết giao thức sử dụng tầng IPsec có tính cao cấp SSL phương thức khác hoạt động tầng mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mơ hình OSI đoạn mã ứng dụng bị thay đổi lớn Cấu trúc bảo mật: IPsec triển khai (1) sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trình truyền, (2) phương thức xác thực (3) thiết lập thơng số mã hố Xây dựng IPsec sử dụng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kết hợp thuật tốn thơng số (ví khố – keys) tảng việc mã hoá xác thực chiều Tuy nhiên giao tiếp hai chiều, giao thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật toán mã hoá xác thực lại phụ thuộc vào người quản trị IPsec IPsec bao gồm nhóm giao thức bảo mật đáp ứng mã hoá xác thực cho gói tin IP Trong bước thực phải định cần bảo vệ cung cấp cho gói tin outgoing (đi ngồi), IPsec sử dụng thơng số Security Parameter Index (SPI), trình Index (đánh thứ tự lưu liệu – Index ví danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài địa đích header gói tin, với nhận dạng thoả hiệp bảo mật (tạm dịch từ - security association) cho gói tin Một q trình tương tự làm với gói tin vào (incoming packet), nơi IPsec thực trình giải mã kiểm tra khố từ SADB Cho gói multicast, thoả hiệp bảo mật cung cấp cho group, thực cho toàn receiver group Có thể có thoả hiệp bảo mật cho group, cách sử dụng SPI khác nhau, nhiên cho phép thực nhiều mức độ bảo mật cho group Mỗi người gửi có nhiều thoả hiệp bảo mật, cho phép xác thực, người nhận biết keys gửi liêu Chú ý chuẩn không miêu tả làm để thoả hiệp lựa chọn việc nhân từ group tới cá nhân Các chuẩn hóa: IPsec phần bắt bược IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 80 Các giao thức IPsec định nghĩa từ RFCs 1825 – 1829, phổ biến năm 1995 Năm 1998, nâng cấp với phiên RFC 2401 – 2412, khơng tương thích với chuẩn 1825 – 1929 Trong tháng 12 năm 2005, hệ thứ chuẩn IPSec, RFC 4301 – 4309 Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 hệ cung cấp chuẩn IKE second Trong hệ IP security viết tắt lại IPsec Sự khác quy định viết tắt hệ quy chuẩn RFC 1825 – 1829 ESP phiên ESPbis Thiết kế: IPsec cung cấp Transport mode (end-to-end) đáp ứng bảo mật máy tính giao tiếp trực tiếp với sử dụng Tunnel mode (portal-to-portal) cho giao tiếp hai mạng với chủ yếu sử dụng kết nối VPN IPsec sử dụng giao tiếp VPN, sử dụng nhiều giao tiếp Tuy nhiên việc triển khai thực có khác hai mode Giao tiếp end-to-end bảo mật mạng Internet phát triển chậm phải chờ đợi lâu Một phần bở lý tính phổ thơng no khơng cao, hay khơng thiết thực, Public Key Infrastructure (PKI) sử dụng phương thức IPsec giới thiệu cung cấp dịch vụ bảo mật: • Mã hố q trình truyền thơng tin • Đảm bảo tính ngun ven liệu • Phải xác thực giao tiếp • Chống q trình replay phiên bảo mật • Các loại mode Có hai mode thực IPsec là: Transport mode tunnel mode • Transport mode Trong Transport mode, liệu bạn giao tiếp gói tin mã hố và/hoặc xác thực Trong trình routing, IP header khơng bị chỉnh sửa hay mã hố; nhiên authentication header sử dụng, địa IP biết được, thông tin bị hash (băm) Transport application layers thường bảo mật hàm băm (hash), chúng khơng thể chỉnh sửa (ví dụ port number) Transport mode sử dụng tình giao tiếp host-to-host Điều có nghĩa đóng gói thông tin IPsec cho NAT traversal định nghĩa thông tin tài liệu RFC NAT-T • Tunnel mode 81 Trong tunnel mode, tồn gói IP (bao gồm data header) mã hố xác thực Nó phải đóng gói lại dạng IP packet khác trình routing router Tunnel mode sử dụng giao tiếp network-to-network (hay routers với nhau), host-to-network host-to-host internet Các giao thức: Có hai giao thức phát triển cung cấp bảo mật cho gói tin hai phiên IPv4 IPv6: • IP Authentication Header giúp đảm bảo tính tồn vẹn cung cấp xác thực • IP Encapsulating Security Payload cung cấp bảo mật, option bạn lựa chọn tính authentication Integrity đảm bảo tính tồn vẹn liệu Thuật tốn mã hoá sử dụng IPsec bao gồm HMAC-SHA1 cho tính tồn vẹn liệu (integrity protection), thuật toán TripleDES-CBC AES-CBC cho mã mã hoá đảm bảo độ an tồn gói tin Tồn thuật toán thể RFC 4305 a Authentication Header (AH) AH sử dụng kết nối khơng có tính đảm bảo liệu Hơn lựa chọn nhằm chống lại công replay attack cách sử dụng công nghệ công sliding windows discarding older packets AH bảo vệ trình truyền liệu sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, Header Checksum AH thực trực tiếp phần gói tin IP mơ hình AH header Các modes thực - bit - 15 bit 16 - 23 bit Next header Payload length RESERVED 24 - 31 bit Security parameters index (SPI) Sequence number Authentication data (variable) Ý nghĩa phần: • Next header: Nhận dạng giao thức sử dụng truyền thơng tin • Payload length: Độ lớn gói tin AH • RESERVED: Sử dụng tương lai (cho tới thời điểm biểu diễn số 0) 82 • Security parameters index (SPI): Nhận thơng số bảo mật, tích hợp với địa IP, nhận dạng thương lượng bảo mật kết hợp với gói tin • Sequence number: Một số tự động tăng lên gói tin, sử dụng nhằm chống lại công dạng replay attacks • Authentication data: Bao gồm thông số Integrity check value (ICV) cần thiết gói tin xác thực b Encapsulating Security Payload (ESP) Giao thức ESP cung cấp xác thực, độ tồn vẹn, đảm bảo tính bảo mật cho gói tin ESP hỗ trợ tính cấu hình sử dụng tính cần bảo mã hố cần cho authentication, sử dụng mã hoá mà khơng u cầu xác thực khơng đảm bảo tính bảo mật Khơng AH, header gói tin IP, bao gồm option khác ESP thực top IP sử dụng giao thức IP mang số hiệu 50 AH mang số hiệu 51 - bit - 15 bit 16 - 23 bit 24 - 31 bit Security parameters index (SPI) Sequence number Payload data (variable) Padding (0-255 bytes) Pad Length Next Header Authentication Data (variable) Ý nghĩa phần: • Security parameters index (SPI): Nhận thơng số tích hợp với địa IP • Sequence number: Tự động tăng có tác dụng chống cơng kiểu replay attacks • Payload data: Cho liệu truyền • Padding: Sử dụng vài block mã hố • Pad length: Độ lớn padding • Next header: Nhận giao thức sử dụng q trình truyền thơng tin • Authentication data: Bao gồm liệu để xác thực cho gói tin Sự thi hành: 83 IPsec thực nhân với trình quản lý key trình thương lượng bảo mật ISAKMP/IKE từ người dùng Tuy nhiên chuẩn giao diện cho quản lý key, điều khiển nhân IPsec Bởi cung cấp cho người dùng cuối, IPsec triển khai nhân Linux Dự án FreeS/WAN dự án hoàn thành việc thực IPsec mã nguồn mở cụ thể Linux Nó bao gồm nhấn IPsec stack (KLIPS), kết hợp với trình quản lý key deamon nhiều shell scripts Dự án FreeS/WAN bắt đầu vào tháng năm 2004 Openswan strongSwan tiếp tục dự án FreeS/WAN Dự án KAME hoàn thành việc triển khai sử dụng IPsec cho NetBSB, FreeBSB Trình quản lý khoá gọi racoon OpenBSB tạo ISAKMP/IKE, với tên đơn giản isakmpd (nó triển khai nhiều hệ thống, bao gồm hệ thống Linux) 84 ... dịch vụ quản lý máy trạm VII Các mô hình ứng dụng mạng: Mạng ngang hang (Peer to Peer): Mạng ngang hàng cung cấp việc kết nối máy tính khơng có máy tính đóng vai trị phục vụ Một máy tính mạng vừa... Trong mơ hình máy tính có quyền hạng ngang khơng có máy tính chuyên dụng làm nghiệp vụ cung cấp dịch vụ hay quản lý Các máy tính tự bảo mật quản lý tài nguyên riêng Đồng thời máy tính cục tự chứng...2 Phần 1: Tổng quan mạng máy tính I Định nghĩa Mạng Máy Tính: Mạng máy tính nhóm máy tính, thiết bị ngoại vi kết nối với thông qua phương tiện truyền