Giáo trình Mạng máy tính (Ngành/Nghề: Công nghệ thông tin – Trình độ: Cao đẳng) cung cấp cho sinh viên một tài liệu tham khảo chính về môn học Mạng máy tính, trong đó giới thiệu những khái niệm căn bản nhất về hệ thống mạng máy tính, đồng thời trang bị những kiến thức và một số kỹ năng chủ yếu cho việc bảo trì và quản trị một hệ thống mạng. Đây có thể coi là những kiến thức ban đầu và nền tảng cho các kỹ thuật viên, quản trị viên về hệ thống mạng.
TẬP ĐOÀN DỆT MAY VIỆT NAM TRƢỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT VINATEX TP.HCM Giáo Trình MẠNG MÁY TÍNH Nghề: Cơng nghệ thơng tin Trình độ: Cao Đẳng (Ban hành theo Quyết định số: ngày tháng năm trường Cao đẳng Kinh tế - Kỹ thuật Vinatex Tp.HCM) TP.HỒ CHÍ MINH, THÁNG 06 NĂM 2019 Tuyên bố quyền Giáo trình sử dụng làm tài liệu giảng dạy lưu hành nội trường Cao đẳng Kinh tế - Kỹ thuật Vinatex Tp.HCM Cao đẳng Kinh tế - Kỹ thuật Vinatex Tp.HCM không sử dụng không cho phép cá nhân hay tổ chức sử dụng giáo trình với mục đích kinh doanh Mọi trích dẫn, sử dụng giáo trình với mục đích khác hay nơi khác phải đồng ý văn Cao đẳng Kinh tế - Kỹ thuật Vinatex Tp.HCM LỜI NÓI ĐẦU Yêu cầu có tài liệu tham khảo cho sinh viên khoa Công nghệ Thông tin ngày trở nên cấp thiết Việc biên soạn tài liệu nằm kế hoạch xây dựng hệ thống giáo trình mơn học Mục tiêu giáo trình nhằm cung cấp cho sinh viên tài liệu tham khảo mơn học Mạng máy tính, giới thiệu khái niệm hệ thống mạng máy tính, đồng thời trang bị kiến thức số kỹ chủ yếu cho việc bảo trì quản trị hệ thống mạng Đây coi kiến thức ban đầu tảng cho kỹ thuật viên, quản trị viên hệ thống mạng Bao gồm khái niệm hệ thống mạng, nội dung mơ hình tham chiếu hệ thống mở - OSI, kiến thức đường truyền vật lý, khái niệm nội dung số giao thức mạng thường dùng cuối giới thiệu hình trạng mạng cục Trình bày hệ điều hành mạng thông thường dùng thực tế: hệ điều hành mạng Windows 2000 Server Ngoài phần giới thiệu chung, tài liệu hướng dẫn cách thức cài đặt số kiến thức liên quan đến việc quản trị tài khoản người dùng Mặc dù có cố gắng để hồn thành giáo trình theo kế hoạch, hạn chế thời gian kinh nghiệm soạn thảo giáo trình, nên tài liệu chắn cịn khiếm khuyết Rất mong nhận đóng góp ý kiến hội đồng thẩm định thầy cô Khoa bạn sinh viên sử dụng tài liệu MỤC LỤC LỜI NÓI ĐẦU Chương 1: GIỚI THIỆU CHUNG VỀ MẠNG Mạng thông tin ứng dụng 1.1.1 Sơ lược lịch sử phát triển: 1.1.2 Khái niệm chung 1.1.3 Ứng dụng 1.1.4 Mạng cục 1.2 Mơ hình điện tốn mạng 1.3 Các mạng cục bộ, đô thị diện rộng 10 1.3.1 Mạng cục 10 1.3.2 Mạng đô thị MAN (Metropolitan Area Networks) 10 1.3.3 Mạng diện rộng 10 1.4 Các dịch vụ mạng 10 1.4.1 Dịch vụ truy nhập từ xa Telnet 10 1.4.2 Dịch vụ truyền tệp (FTP) 11 1.4.3 Dịch vụ Gopher 11 1.4.4 Dịch vụ WAIS 11 1.4.5 Dịch vụ World Wide Web 11 1.4.6 Dịch vụ thư điện tử (E-Mail) 12 Chương 2: 13 MƠ HÌNH OSI 13 2.1 Các quy tắc tiến trình truyền thông 14 2.1.1 Sự cần thiết phải có mơ hình truyền thơng 14 2.1.2 Nguyên tắc phân tầng 15 2.2 Mơ hình tham khảo OSI (Open Systems Interconnect) 16 2.2.1 Kiến trúc mô hình OSI 16 2.2.2 Sự ghép nối mức 17 2.2.3 Phương thức hoạt động tầng mơ hình OSI 18 2.3 Khái niệm tầng vật lý OSI 18 2.3.1 Vai trò chức tầng vật lý 18 2.3.2 Các chuẩn cho giao diện tầng vật lý 19 2.4 Các khái niệm tầng kết nối liệu OSI 19 2.4.1 Vai trò chức tầng liên kết liệu 19 2.4.2 Các giao thức hướng ký tự 20 2.4.3 Các giao thức hướng bit 20 2.5 Khái niệm tầng mạng OSI 20 2.5.1 Vai trò chức tầng mạng 21 2.5.2 Các kỹ thuật chọn đường mạng máy tính 21 2.5.3 Giao thức X25 PLP 22 2.6 Lớp giao vận 22 2.6.1 Vai trò chức tầng giao vận 23 2.6.2 Giao thức chuẩn cho tầng giao vận 23 2.6.3 Dịch vụ OSI cho tầng giao vận 26 2.7 Khái niệm tầng phiên làm việc OSI 26 2.7.1 Vai trò chức tầng phiên 26 2.7.2 Giao thức chuẩn cho tầng phiên 27 2.7.3 Dịch vụ OSI cho tầng phiên 27 2.8 Khái niệm tầng trình bày OSI 28 2.8.1 Vai trò chức tầng trình diễn 28 2.8.2 Giao thức chuẩn cho tầng trình diễn 28 2.8.3 Dịch vụ OSI cho tầng trình diễn 28 2.9 Khái niệm tầng ứng dụng OSI 28 2.9.1 Vai trò chức tầng ứng dụng 29 2.9.2 Chuẩn hóa tầng ứng dụng 29 Chương 3: CÁP MẠNG VÀ VẬT TẢI TRUYỀN 30 3.1 Các tần số truyền 30 3.2 Vật tải cáp 31 3.2.1 Cáp xoắn đôi 31 3.2.3 Cáp đồng trục băng rộng (Broadband Coaxial Cable) 34 3.2.4 Cáp quang 34 3.3 Vật tải vô tuyến 35 3.3.1 Radio 35 3.3.2 Sóng cực ngắn 36 3.3.3 Tia hồng ngoại 36 3.4 Đấu phần cứng 37 3.4.1 Card giao tiếp mạng (Network Interface Card) 37 3.4.2 Bộ chuyển tiếp Repeater 37 3.4.3 Bộ tập trung Hub (Concentrator hay HUB) 38 3.4.4 Bộ tập trung Switch (hay gọi tắt switch) 38 3.4.5 Modem 39 3.4.6 Router 40 3.4.7 Một số kiểu nối mạng thông dụng chuẩn 40 Chương 4: TÔPÔ MẠNG 46 4.1 Các kiểu giao kết 46 4.1.1 Kiểu điểm - điểm (Point to Point) 46 4.1.2 Kiểu quảng bá (Point to Multipoint, Broadcasting) 46 4.2 Tôpô vật lý 47 4.2.1 Mạng dạng Bus 47 4.2.2 Mạng dạng (Star topology) 47 4.2.3 Mạng dạng vòng 48 3.2.4 Mạng dạng kết nối hỗn hợp 48 4.3 Truyền liệu 49 4.3.1 Phương pháp CSMA/CD (Carrier Sense Multiple Access with Collision Detection) 49 4.3.2 Phương pháp TOKEN BUS 50 4.3.3 Phương pháp TOKEN RING 52 Chương 5: CÁC BỘ GIAO THỨC 54 5.1 Các mơ hình giao thức 55 5.1.1 Giới thiệu chung 55 5.1.2 Các giao thức 56 5.3 Internet Protocols 59 5.3.1 Giao thức IP 59 5.3.2 Một số giao thức điều khiển 64 5.4 Apple Talk 64 5.5 Kiến trúc mạng số hóa 65 5.5.1 Khái niệm chung 65 5.5.2 Cơ ISDN 65 5.5.3 Các phần tử mạng ISDN - TE1 (Termination Equipment 1) 65 Chương KIẾN TRÚC MẠNG 71 6.1 Khảo sát định chuẩn ARCnet 71 6.2 Tìm hiểu định chuẩn Ethernet 71 6.2.1 Giới thiệu 71 6.2.2 Các đặc tính chung Ethernet 72 6.2.3 Các loại mạng Ethernet 75 6.3 Tìm hiểu định chuẩn Token Ring 76 6.3.1 Giới thiệu 76 6.3.2 Kiến trúc Token Ring 77 6.4 Tìm hiểu FDDI 77 6.4.1 Giới thiệu 77 6.5 Lựa chọn kiến trúc 79 6.5.1 Mục đích việc xây dựng hệ thống mạng 79 6.5.2 Lựa chọn kiến trúc 81 Chương KHẢ NĂNG TƢƠNG KẾT MẠNG 84 7.1 Các thiết bị tương kết mạng 84 7.2 Các thiết bị tương kết liên mạng 84 7.2.1 Lý thuyết định tuyến 84 7.2.2 Giới thiệu định tuyến Cisco 86 7.2.3 Cấu hình định tuyến 91 7.3 In mạng 92 7.3.1 Giới thiệu 92 7.3.2 Cơ chế in mạng 92 7.3.3 Bảo mật máy in 97 8.1 Các cố mạng 99 8.1.1 Giới thiệu 99 8.1.2 Các lỗ hổng phương thức cụng mạng chủ yếu 99 8.1.3 Một số điểm yếu hệ thống 101 8.1.4 Các mức bảo vệ an toàn mạng 101 8.2 Tiến trình khắc phục cố 102 8.2.1 Các biện pháp bảo vệ mạng máy tính 102 8.2.2 Tổng quan hệ thống Firewall 103 MÔN HỌC: MẠNG MÁY TÍNH Mã mơn học: MH 13 Vị trí, ý nghĩa, vài trị tính chất mơn học: - Vị trí: + Mơn học bố trí sau sinh viên học xong môn học chung, môn học sở chuyên ngành đào tạo chuyên môn nghề - Tính chất: + Là mơn học sở chun mơn nghề + Là môn học phục vụ cho ứng dụng cho môn học mạng - Ý nghĩa, vai trị mơn học: + Là mơn học khơng thể thiếu nghề Mục tiêu mơn học: Trình bày thành phần mơ hình OSI Trình bày topo mạng LAN Liệt kê thành phần mạng LAN Trình bày nguyên tắc hoạt động hệ thống mạng LAN Nhận dạng xác thành phần mạng Thiết lập hệ thống mạng LAN cho công ty Xử lý cố liên quan đến hệ thống mạng LAN Bình tĩnh, xác thao tác kết nối hệ thống mạng máy tính Nhanh nhạy vệc nhận biết lỗi hệ thống mạng Nôi dung môn học: Chương 1: GIỚI THIỆU CHUNG VỀ MẠNG Mục đích: Trình bày hình thành phát triển mạng máy tính Trình bày số dịch vụ mạng Phân loại đuợc kiểu thiết kế mạng máy tính thơng dụng Tn thủ quy định thực hành Rèn luyện tư logic để phân tích, tổng hợp Thao tác cẩn thận, tỉ mỉ Làm việc theo nhóm tăng tính chia sẻ làm việc cộng đồng Mạng thông tin ứng dụng Mục tiêu: - Trình bày hình thành phát triển mạng máy tính 1.1 Sơ lƣợc lịch sử phát triển: Vào năm 50, hệ thống máy tính đời sử dụng bóng đèn điện tử nên kích thước cồng kềnh tiêu tốn nhiều lượng Việc nhập liệu vào máy tính thực thơng qua bìa đục lỗ kết đưa máy in, điều làm nhiều thời gian bất tiện cho người sử dụng Đến năm 60, với phát triển ứng dụng máy tính nhu cầu trao đổi thơng tin với nhau, số nhà sản xuất máy tính nghiên cứa chế tạo thành công thiết bị truy cập từ xa tới máy tính họ, dạng sơ khai hệ thống mạng máy tính Đến đầu năm 70, hệ thống thiết bị đầu cuối 3270 IBM đời cho phép mở rộng khả tính tốn trung tâm máy tính đến vùng xa Đến hững năm 70, IBM giới thiệu loạt thiết bị đầu cuối thiết kế chế tạo cho lĩnh vực ngân hàng, thương mại Thông qua dây cáp mạng thiết bị đầu cuối truy cập lúc đến máy tính dùng chung Đến năm 1977, công ty Datapoint Corporation tung thị trường hệ điều hành mạng “Attache Resource Computer Network” (Arcnet) cho phép liên kết máy tính thiết bị đầu cuối lại dây cáp mạng, hệ điều hành mạng 1.2 Khái niệm chung Nói cách bản, mạng máy tính hai hay nhiều máy tính kết nối với theo cách cho chúng trao đổi thơng tin qua lại với Hình 1-1: Mơ hình mạng Mạng máy tính đời xuất phát từ nhu cầu muốn chia sẻ dùng chung liệu Khơng có hệ thống mạng liệu máy tính độc lập muốn chia sẻ với phải thông qua việc in ấn hay chép qua đĩa mềm, CD ROM, … điều gây nhiều bất tiện cho người dùng Các máy tính kết nối thành mạng cho phép khả năng: • Sử dụng chung cơng cụ tiện ích • Chia sẻ kho liệu dùng chung • Tăng độ tin cậy hệ thống • Trao đổi thơng điệp, hình ảnh, • Dùng chung thiết bị ngoại vi (máy in, máy vẽ, Fax, modem …) • Giảm thiểu chi phí thời gian lại 1.3 Ứng dụng Ngày nhu cầu xử lý thông tin ngày cao Mạng máy tính ngày trở nên quen thuộc người thuộc tầng lớp khác nhau, lĩnh vực như: khoa học, quân quốc phòng, thương mại, dịch vụ, giáo dục Hiện nhiều nơi mạng trở thành nhu cầu thiếu Người ta thấy việc kết nối máy tính thành mạng cho khả to lớn như: 1.4 Mạng cục Một mạng cục kết nối nhóm máy tính thiết bị kết nối mạng lắp đặt phạm vị địa lý giới hạn, thường nhà khu cơng sở Mạng có tốc độ cao a Mạng diện rộng với kết nối LAN to LAN Mạng diện rộng kết nối mạng LAN, mạng diện rộng trải phạm vi vùng, quốc gia lục địa chí phạm vi tồn cầu Mạng có tốc độ truyền liệu khơng cao, phạm vi địa lý không giới hạn b Liên mạng INTERNET Với phát triển nhanh chóng cơng nghệ đời liên mạng INTERNET Mạng Internet sở hữu nhân loại, kết hợp nhiều mạng liệu khác chạy tảng giao thức TCP/IP c Mạng INTRANET Thực mạng INTERNET thu nhỏ vào quan/công ty/tổ chức hay bộ/nghành , giới hạn phạm vi người sử dụng, có sử dụng cơng nghệ kiểm sốt truy cập bảo mật thơng tin Được phát triển từ mạng LAN, WAN dùng công nghệ INTERNET Mơ hình điện tốn mạng Mục tiêu: - Trình bày số dịch vụ mạng tùy thuộc vào nhu cầu sử dụng cụ thể, chức cần thiết phải có định tuyến thành phần phần cứng có định tuyến Các thành phần phần cứng yêu cầu có nâng cấp hệ điều hành Các tính đặc biệt cung cấp nâng cấp riêng hệ điều hành Các giao tiếp: định tuyến có nhiều giao tiếp chủ yếu bao gồm: - Giao tiếp WAN: đảm bảo cho kết nối diện rộng thông qua phương thức truyền thông khác leased-line, Frame Relay, X.25, ISDN, ATM, xDSL Các giao tiếp WAN cho phép định tuyến kết nối theo nhiều giao diện tốc độ khác nhau: V.35, X.21, G.703, E1, E3, cáp quang v.v - Giao tiếp LAN: đảm bảo cho kết nối mạng cục bộ, kết nối đến vùng cung cấp dịch vụ mạng Các giao tiếp LAN thông dụng: Ethernet, FastEthernet, GigaEthernet, cáp quang 7.3 In mạng 7.3.1 Giới thiệu Hiện máy in mạng tài nguyên việc chia sẻ mạng cho người sử dụng Tuy máy in ngày rẻ với nhu cầu chất lượng ngày cao việc chia sẻ máy in đắt tiền mạng cần thiết Windows NT hệ điều hành mạng mà máy tính Windows NT cung cấp dịch vụ in ấn cho người sử dụng mạng Khi chia sẻ máy in mạng (cho nhiều người sử dụng) cần phải giải vấn đề sau : Máy in không làm việc lúc, phải nhận lúc có va chạm, mạng phải có chế xếp cơng việc cho máy in thực cách công việc in Các công việc in thực người sử dụng khác cần mức độ ưu tiên khác hệ thống quan lý in cần có khả thực điều 7.3.2 Cơ chế in mạng Thông thường máy in mạng quản lý thông qua máy chủ mà thực nhiệm vụ quản lý cơng việc in, máy chủ thường gọi máy chủ in (Print server) chạy chương trình quản lý in Windows NT cho phép cài đặt máy in đâu mạng, máy có cài đặt Windows NT thực nhiệm vụ máy chủ in Nó quản lý máy in gắn trực tiếp vào hay máy in gắn vào máy khác mạng Để giải vấn đề đặt với công việc in mạng Windows NT sử dụng kỹ thuật gọi Spooling mà chủ yếu sau: - Khi người sử dụng định thực cơng việc in cơng việc in khơng trực tiếp gửi máy in mà đặt file máy chủ in Ở việc thực giống hàng đợi rạp hát, vùng lưu trữ công việc in có nhiệm vụ ngăn chặn xung đột user chi xuất đồng thời máy in - Máy chủ in trì hàng đợi để cất giữ công việc in đưa chúng tới máy in Trong người sử dụng làm tiếp công việc công việc in cất vào hàng đợi - Khi máy in rảnh máy chủ in chuyển công việc in đứng đợi hàng tới máy in Tại máy chủ in phải có khả lưu trữ liệu lớn để lưu trữ nhiều cơng việc in lúc cần phải có khả đáp ứng yêu cầu đa dạng công việc in Để giải vấn đề nẩy sinh với máy in mạng Windows NT tiến hành phân biệt máy in vật lý gọi Printing device thực thể logic máy in gọi logic printer Máy in logic sử dụng để kiểm sốt tác vụ sau : - Cơng việc in gởi đâu - Công việc in ấn gởi - Thứ tự ưu tiên tác vụ in Người sử dụng in spool thông qua việc in máy in logic, họ sử dụng máy in logic máy in gắn máy họ thực liệu in máy in logic chuyển cho mạng qua đến máy chủ in trước đưa máy in mạng Hình 7.11: Máy chủ in spool Máy chủ in liên kết máy in logic với máy in vật lý, phải đảm bảo công việc in phải đưa đến máy in vật lý Tại có trường hợp mối quan hệ máy in logic máy in vật lý - Một máy in logic liên kết với máy in vật lý - Nhiều máy in logic liên kết với máy in vật lý - Một máy in logic liên kết với nhiều máy in vật lý Hình 7-12: Liên kết máy in Logic máy in vật lý Nếu Server chưa cài đặt máy in logic, ta phải cài đặt máy in logic tương ứng với máy in thực tế cho Server Vào menu Start, chọn Settings, chọn Printers, chọn Add Printer như: Hộp sau hộp hội thoại Add printer winzar - Chọn My Computer máy in khơng có card mạng nối trực tiếp vào Server - Chọn Network printer server máy in nối trực tiếp vào mạng - Chọn Next, chọn cổng nối với máy in (thường LPT1) Chọn tên hãng sản xuất loại máy in ta dùng, chọn Next, ta phải trả lời thêm vài câu hỏi phụ ta có muốn in trang test khơng? Có muốn đặt máy in ngầm định không? Sau cài đặt, thấy xuất thêm biểu tượng máy in mà vừa cài đặt khung máy in Chúng ta phải cho phép dùng chung máy in nàybằng cách lựa chọn máy in Trong khung Printers - Ta nhắp chuột phải vào tên máy in đó, chọn Sharing hình sau: Khung Printer properties cho nhập thông số như: tên máy in logic (Share namem), tính chất khác an toàn mà muốn phục vụ mạng - Cuối chọn OK, lúc này, ta thấy biểu tượng máy in có bàn tay đỡ chứng tỏ máy in phép dùng chung Nếu Server cài đặt nhiều loại máy in với nhiều chế độ khác nhau, ta chọn máy in ngầm định cách đánh dấu vào mục Set As Default - Để máy trạm in qua Server, chưa cài đặt phải cài máy in sau: nhắp đúp vào tên Server có nối với máy in, khung Shared Printers danh sách máy in cài Server, chọn tên máy in cần nối bấm OK Quay trở lại khung hình Print Manager nhìn thấy thơng báo máy in phép sử dụng Thoát khỏi Print Manager in qua máy in mạng phần mềm Windows Winword, Excel, v.v Bất kỳ máy tính Windows NT cấu print server Tuy nhiên có người thành viên nhóm sau có quyền tạo máy in: - Administrator (NT Worstation and Server) - Server Operator (NT Server) - Print Operator (NT Server) - Power Users (NT Worstation) 7.3.3 Bảo mật máy in Windows NT có mức độ bảo mật in ấn nhƣ sau: - Quyền sở hửu máy in (Ownership) : người sử dụng tạo máy in người chủ sở hửu máy in có tồn quyền tất thuộc tính máy in logic Người chủ sở hửu máy in gán quyền cho người dùng khác quản lý tài liệu hay toàn quyền điều khiển việc in ấn Một người sử dụng có tồn quyền họ tồn quyền sở hửu máy in logic - Quản lý thuộc tính máy in (Permissions): quyền quản lý máy in bao gồm quyền sau: No access: không phép truy cập Print: in Manage document: quản lý văn bản, có khả thực thao tác: Điều khiển khởi đặt tài liệu, Ngừng, phục hồi, khởi động lại,và xóa tài liệu Full control: toàn quyền điều khiển, thực quyền quản lý tài liệu quyền sau đây: Thay đổi trật tự in ấn tài liệu Ngừng, tổng hợp lại,che dấu máy in logic Thay đổi thuộc tính máy in logic Hủy máy in logic Thay đổi quyền máy in logic Có thể xem tài liệu máy in logic quản lý chúng theo nhiều cách Người sử dụng quản lý tất tài liệu mà họ tạo Để quản lý tài liệu người sử dụng khác, phải người chủ sở hửu máy in logic thành viên nhóm: Administrator Server Operator Print operator Bất kỳ máy in làm việc mơi trường mạng điều quan trọng xem xét chu kỳ làm việc (duty cycle) máy in Nghĩa phải xem xét số lượng trang in tối đa mà máy in in khoảng thời gian định Các máy in thiết kế cho mạng thường có chu kỳ làm việc (duty cycle) cao Các máy in gắn vào nơi đâu mạng Công việc in không phù thuộc vào thiết bị phần cứng hay thiết bị kết nối mà quản lý print server liệu chuyển vận mạng Chương CÁC PHƢƠNG PHÁP KHẮC PHỤC SỰ CỐ Trình bày cố mạng thường gặp Trình bày tiến trình khắc phục cố Khắc phục cố mạng thường gặp Cài đặt cấu hình Firewall Tuân thủ quy định thực hành Rèn luyện tư logic để phân tích, tổng hợp Thao tác cẩn thận, tỉ mỉ Làm việc theo nhóm tăng tính chia sẻ làm việc cộng đồng 8.1 Các cố mạng 8.1.1 Giới thiệu Trước tỡm hiểu cỏc vấn đề liờn quan đến phương thức phỏ hoại cỏc biện phỏp bảo vệ thiết lập cỏc chớnh sỏch bảo mật, phần sau đõy trỡnh bày số khỏi niệm liờn quan đến bảo mật thông tin trờn mạng Internet 8.1.2 Các lỗ hổng phƣơng thức cụng mạng chủ yếu a Các lỗ hổng bảo mật: Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp, ng−ời quản trị yếu không hiểu sâu sắc dịch vụ cung cấp Mức độ ảnh hưởng lỗ hổng khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng nghiêm trọng tới toàn hệ thống Đối tượng công mạng (Intruder): Là cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (phần mềm phần cứng) để dị tìm điểm yếu, lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên mạng trái phép Một số đối tượng công mạng là: - Hacker: Là kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống - Masquerader: Là kẻ giả mạo thơng tin mạng Một số hình thức giả mạo giả mạo địa IP, tên miền, định danh người dùng - Eavesdropping: Là đối tượng nghe trộm thông tin mạng, sử dụng cơng cụ sniffer; sau dùng cơng cụ phân tích debug để lấy thơng tin có giá trị Những đối tượng cơng mạng nhằm nhiều mục đích khác nhau: ăn cắp thơng tin có giá trị kinh tế, phá hoại hệ thống mạng có chủ định, hành động vô ý thức, thử nghiệm chương trình khơng kiểm tra cẩn thận b Một số phương thức cơng mạng Có thể cơng mạng theo hình thức sau đây: - Dựa vào lỗ hổng bảo mật mạng: Những lỗ hổng điểm yếu dịch vụ mà hệ thống cung cấp; Ví dụ kẻ công lợi dụng điểm yếu dịch vụ mail, ftp, web để xâm nhập phá hoại Hình 8-1 - Các hình thức công mạng - Sử dụng công cụ để phá hoại: Ví dụ sử dụng chương trình phá khoá mật để truy nhập vào hệ thống bất hợp pháp; Lan truyền virus hệ thống; cài đặt đoạn mã bất hợp pháp vào số chương trình - Nhưng kẻ cơng mạng kết hợp hình thức với để đạt mục đích - Mức (Level 1): Tấn cụng vào số dịch vụ mạng: Web, Email, dẫn đến nguy lộ thông tin cấu hình mạng Các hình thức cơng mức cụ thể dựng DoS spam mail - Mức (Level 2): Kẻ phỏ hoại dựng tài khoảng người dựng hợp pháp để chiếm đoạt tài nguyên hệ thống; (Dựa vào phương thức công bẻ khóa, đánh cắp mật ); kẻ phá hoại cụ thể thay đổi quyền truy nhập hệ thống qua lỗ hổng bảo mật đọc thông tin tập tin liên quan đến truy nhập hệ thống /etc/passwd - Từ Mức đến mức 5: Kẻ phá hoại không sử dụng quyền người dựng thông thường; mà có thêm số quyền cao hệ thống; quyền kích hoạt số dịch vụ; xem xột thông tin khác hệ thống - Mức 6: Kẻ công chiếm quyền root hệ thống 8.1.3 Một số điểm yếu hệ thống Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn dịch vụ Sendmail, Web,Ftp hệ điều hành mạng Windows NT, Windows 95, UNIX; ứng dụng Các loại lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, ảnh hưởng chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, khơng phá hỏng liệu chiếm quyền truy nhập Lổ hổng loại B: cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thông tin yêu cầu bảo mật Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy toàn hệ thống 8.1.4 Các mức bảo vệ an tồn mạng Vì khơng có giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thông tin cất giữ máy tính, đặc biệt server mạng Hình sau mô tả lớp rào chắn thông dụng để bảo vệ thông tin trạm mạng Hình 8-2: Các mức độ bảo vệ mạng Như minh hoạ hình trên, lớp bảo vệ thơng tin mạng gồm: - Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên (ở thông tin) mạng quyền hạn (có thể thực thao tác gì) tài ngun Hiện việc kiểm sốt mức áp dụng sâu tệp - Lớp bảo vệ hạn chế theo tài khoản truy nhập gồm đăng ký tên/ mật tương ứng Đây phương pháp bảo vệ phổ biến đơn giản, tốn có hiệu Mỗi người sử dụng muốn truy nhập vào mạng sử dụng tài nguyên phải có đăng ký tên mật Người quản trị hệ thống có trách nhiệm quản lý, kiểm sốt hoạt động mạng xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian không gian - Lớp thứ ba sử dụng phương pháp mã hoá (encryption) Dữ liệu biến đổi từ dạng "đọc được" sang dạng không "đọc được" theo thuật tốn Chúng ta xem xét phương thức thuật toán mã hoá sử dụng phổ biến phần - Lớp thứ tư bảo vệ vật lý (physical protection) nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng biện pháp truyền thống ngăn cấm người khơng có nhiệm vụ vào phịng đặt máy, dùng hệ thống khố máy tính, cài đặt hệ thống báo động có truy nhập vào hệ thống - Lớp thứ năm: Cài đặt hệ thống tường lửa (firewall), nhằm ngăn chặn thâm nhập trái phép cho phép lọc gói tin mà ta khơng muốn gửi nhận vào lý 8.2 Tiến trình khắc phục cố 8.2.1 Các biện pháp bảo vệ mạng máy tính Thực tế khơng có biện pháp hữu hiệu đảm bảo an toàn tuyệt đối cho mạng Hệ thống bảo vệ dù có chắn đến đâu có lúc bị vơ hiệu hố kẻ phá hoại điêu luyện Có nhiều biện pháp đảm bảo an ninh mạng a Tổng quan bảo vệ thông tin mật mã (Cryptography) Mật mã q trình chuyển đối thơng tin gốc sang dạng mã hóa (Encryption) Có hai cách tiếp cận để bảo vệ thông tin mật mã: theo đường truyền (Link Oriented Security) từ mútđến-mút (End-to-End) Trong cách thứ nhất, thơng tin mã hố để bảo vệ đường truyền nút không quan tâm đến nguồn đích thơng tin Ưu điểm cách bí mật luồng thơng tin nguồn đích ngăn chặn tồn vi phạm nhằm phân tích thơng tin mạng Nhược điểm thơng tin mã hố đường truyền nên địi hỏi nút phải bảo vệ tốt Ngược lại, cách thứ hai, thơng tin bảo vệ tồn đường từ nguồn tới đích Thơng tin mã hố tạo giải mã đến đích Ưu điểm tiếp cận người sử dụng dùng mà khơng ảnh hưởng đến người sử dụng khác Nhược điểm phương pháp có liệu người sử dụng mã hố, cịn thơng tin điều khiển phải giữ ngun để xử lý node Giải thuật DES mã hoá khối 64 bits văn gốc thành 64 bits văn mật khoá Khố gồm 64 bits 56 bits dùng mã hố bits cịn lại dùng để kiểm soát lỗi Một khối liệu cần mã hoá phải trải qua q trình xử lý: Hốn vị khởi đầu, tính tốn phụ thuộc khố hốn vị đảo ngược hốn vị khởi đầu Khóa K Bản rõ Bản mã Mật mã Giải mã Bản rõ ban đầu Phương pháp sử dụng khố cơng khai (Public key): Các phương pháp mật mã dùng khoá cho mã hố lẫn giải mã địi hỏi người gửi người nhận phải biết khố giữ bí mật Tồn phương pháp làm để phân phối khố cách an tồn, đặc biệt môi trường nhiều người sử dụng Để khắc phục, người ta thường sử dụng phương pháp mã hố khố, khố cơng khai để mã hố mã bí mật để giải mã Mặc dù hai khoá thực thao tác ngược khơng thể suy khố bí mật từ khố cơng khai ngược lại nhờ hàm tốn học đặc biệt gọi hàm sập bẫy chiều (trap door one-way functions) Đặc điểm hàm phải biết cách xây dựng hàm suy nghịch đảo Giải thuật RSA dựa nhận xét sau: phân tích thừa số tích số nguyên tố lớn khó khăn Vì vậy, tích số ngun tố cơng khai, cịn số ngun tố lớn dùng để tạo khố giải mã mà khơng sợ bị an tồn Trong giải thuật RSA trạm lựa chọn ngẫu nhiên số nguyên tố lớn p q nhân chúng với để có tích n=pq (p q giữ bí mật) 8.2.2 Tổng quan hệ thống Firewall Firewall hệ thống dùng để tăng cường khống chế truy xuất, phịng ngừa đột nhập bên ngồi vào hệ thống sử dụng tài nguyên mạng cách phi pháp Tất thông tin đến thiết phải qua Firewall chịu kiểm tra tường lửa Nói chung Firewall có chức lớn sau: Lọc gói liệu vào/ra mạng lưới Quản lý hành vi khai thác vào/ra mạng lưới Ngăn chặn hành vi Ghi chép nội dung tin tức hoạt động thông qua tường lửa Tiến hành đo thử giám sát cảnh báo công mạng lưới Ưu điểm nhược điểm tường lửa: Ưu điểm chủ yếu việc sử dụng Firewall để bảo vệ mạng nội Cho phép người quản trị mạng xác định điểm khống chế ngăn chặn để phòng ngừa tin tặc, kẻ phá hoại, xâm nhập mạng nội Cấm không cho loại dịch vụ an toàn vào mạng, đồng thời chống trả cơng kích đến từ đường khác Tính an tồn mạng củng cố hệ thống Firewall mà phân bố tất máy chủ mạng Bảo vệ dịch vụ yếu mạng Firewall dễ dàng giám sát tính an tồn mạng phát cảnh bảo Tính an tồn tập trung Firewall giảm vấn đề không gian địa che dấu cấu trúc mạng nội Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu Firewall sử dụng để quản lý lưu lượng từ mạng ngoài, xây dựng phương án chống nghẽn Nhược điểm hạn chế dịch vụ có ích, để nâng cao tính an tồn mạng, người quản trị hạn chế đóng nhiều dịch vụ có ích mạng Khơng phịng hộ công kẻ phá hoại mạng nội bộ, ngăn chăn công thơng qua đường khác ngồi tường lửa Firewall Internet khơng thể hồn tồn phịng ngừa phát tán phần mềm tệp nhiễm virus Các loại Firewall Firewall lọc gói thường định tuyến có lọc Khi nhận gói liệu, định cho phép qua từ chối cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào thơng tin Header để đảm bảo trình chuyển phát IP Firewall cổng mạng hai ngăn loại Firewall có hai cửa nối đến mạng khác Ví dụ cửa nối tới mạng bên ngồi khơng tín nhiệm cịn cửa nối tới mạng nội tín nhiệm Đặc điểm lớn Firewall loại gói tin IP bị chặn lại Firewall che chắn (Screening) máy chủ bắt buộc có kết nối tới tất máy chủ bên với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội Firewall che chắn máy chủ định tuyến lọc gói máy chủ kiên cố hợp thành Hệ thống Firewall có cấp an toàn cao so với hệ thống Firewall lọc gói thơng thường đảm bảo an tồn tầng mạng (lọc gói) tầng ứng dụng (dịch vụ đại lý) Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng dùng hai định tuyến lọc gói máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an tồn nhất, đảm bảo chức an toàn tầng mạng tầng ứng dụng Kỹ thuật Fire wall Lọc khung (Frame Filtering): Hoạt động tầng mơ hình OSI, lọc, kiểm tra mức bit nội dung khung tin (Ethernet/802.3, Token Ring 802.5, FDDI, ) Trong tầng khung liệu không tin cậy bị từ chối trước vào mạng Lọc gói (Packet Filtering): Kiểu Firewall chung kiểu dựa tầng mạng mơ hình OSI Lọc gói cho phép hay từ chối gói tin mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số quy định lọc Packet hay không Các quy tắc lọc Packet dựa vào thông tin Packet Header Nếu quy tắc lọc Packet thoả mãn gói tin chuyển qua Firewall Nếu khơng bị bỏ Như Firewall ngăn cản kết nối vào hệ thống, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Một số Firewall hoạt động tầng mạng (tương tự Router) thường cho phép tốc độ xử lý nhanh kiểm tra địa IP nguồn mà không thực lệnh Router, khơng xác định địa sai hay bị cấm Nó sử dụng địa IP nguồn làm thị, gói tin mang địa nguồn địa giả chiếm quyền truy nhập vào hệ thống Tuy nhiên có nhiều biện pháp kỹ thuật áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, trường địa IP kiểm tra, cịn có thơng tin khác kiểm tra với quy tắc tạo Firewall, thơng tin thời gian truy nhập, giao thức sử dụng, cổng Firewall kiểu Packet Filtering có loại: Packet filtering Fire wall: Hoạt động tầng mạng mơ hình OSI hay tầng IP mơ hình TCP/IP Kiểu Firewall khơng quản lý giao dịch mạng Circuit Level Gateway: Hoạt động tầng phiên (Session) mơ hình OSI hay tầng TCP mơ hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch hệ thống người dùng cuối (VD: kiểm tra ID, mật ) loại Firewall cho phép lưu vết trạng thái người truy nhập Kỹ thuật Proxy Là hệ thống Firewall thực kết nối thay cho kết nối trực tiếp từ máy khách yêu cầu.Proxy hoạt động dựa phần mềm Khi kết nối từ người sử dụng đến mạng sử dụng Proxy kết nối bị chặn lại, sau Proxy kiểm tra trường có liên quan đến yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa trường thơng tin đáp ứng quy tắc đặt ra, tạo cầu kết nối hai node với Ưu điểm kiểu Firewall loại khơng có chức chuyển tiếp gói tin IP, điểu khiển cách chi tiết kết nối thông qua Firewall Cung cấp nhiều công cụ cho phép ghi lại q trình kết nối Các gói tin chuyển qua Firewall kiểm tra kỹ lưỡng với quy tắc Firewall, điều phải trả giá cho tốc độ xử lý Khi máy chủ nhận gói tin từ mạng ngồi chuyển chúng vào mạng trong, tạo lỗ hổng cho kẻ phá hoại (Hacker) xâm nhập từ mạng vào mạng Nhược điểm kiểu Firewall hoạt động dựa trình ứng dụng uỷ quyền (Proxy) TÀI LIỆU THAM KHẢO CHÍNH - Mạng máy tính – Trường đại học công nghệ - ĐHQG Hà Nội Thạc Mạnh Cường – Tin học văn phòng – 2005 Tài liệu tham khảo Internet Giáo trình Mạng máy tính tồn tập tiếng Việt ...Tuyên bố quyền Giáo trình sử dụng làm tài liệu giảng dạy lưu hành nội trường Cao đẳng Kinh tế - Kỹ thuật Vinatex Tp .HCM Cao đẳng Kinh tế - Kỹ thuật Vinatex Tp .HCM không sử dụng không... hay tổ chức sử dụng giáo trình với mục đích kinh doanh Mọi trích dẫn, sử dụng giáo trình với mục đích khác hay nơi khác phải đồng ý văn Cao đẳng Kinh tế - Kỹ thuật Vinatex Tp .HCM LỜI NÓI ĐẦU Yêu... sở Mạng có tốc độ cao Tên gọi ? ?mạng cục bộ” xem xét từ quy mơ mạng Tuy nhiên, khơng phải đặc tính mạng cục thực tế, quy mô mạng định nhiều đặc tính cơng nghệ mạng Sau số đặc điểm mạng cục bộ: -