Untitled TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN TIỂU LUẬN MẠNG MÁY TÍNH Sinh viên thực hiện NGUYỄN ĐĂNG PHÚ Giảng viên hướng dẫn DOÃN THANH BÌNH Ngành CÔNG NGHỆ THÔNG TIN Chuyên ngành HỆ THỐ[.]
lOMoARcPSD|17343589 TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN TIỂU LUẬN MẠNG MÁY TÍNH Sinh viên thực : NGUYỄN ĐĂNG PHÚ Giảng viên hướng dẫn : DOÃN THANH BÌNH Ngành : CƠNG NGHỆ THƠNG TIN Chun ngành : HỆ THỐNG THƯƠNG MẠI ĐIỆN TỬ Lớp : HTTMDT2 Khóa : 2020 – 2025 Hà Nội, tháng năm 2022 lOMoARcPSD|17343589 PHẦN I: TÌM HIỂU VỀ CƠNG NGHỆ MẠNG VPN Mạng riêng ảo VPN gì? VPN mạng riêng ảo, Virtual Private Network, công nghệ mạng giúp tạo kết nối mạng an toàn tham gia vào mạng công cộng Internet mạng riêng nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, sở giáo dục quan phủ sử dụng cơng nghệ VPN phép người dùng từ xa kết nối an toàn đến mạng riêng quan hệ thống VPN kết nối nhiều site khác nhau, dựa khu vực, diện tích địa lý tượng tự chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN dùng để "khuếch tán", mở rộng mơ hình Intranet nhằm truyền tải thơng tin, liệu tốt Ví dụ, trường học phải dùng VPN để nối khuôn viên trường (hoặc chi nhánh với trụ sở chính) lại với Nếu muốn kết nối vào hệ thống VPN, tài khoản phải xác thực (phải có Username Password) Những thơng tin xác thực tài khoản dùng để cấp quyền truy cập thông qua liệu - Personal Identification Number (PIN), mã PIN thường có tác dụng khoảng thời gian định (30s phút) lOMoARcPSD|17343589 Khi kết nối máy tính thiết bị khác chẳng hạn điện thoại, máy tính bảng với VPN, máy tính hoạt động giống nằm mạng nội với VPN Tất traffic mạng gửi qua kết nối an toàn đến VPN Nhờ đó, ta truy cập an tồn đến tài nguyên mạng nội xa Ta sử dụng Internet giống vị trí của VPN, điều mang lại số lợi ích sử dụng WiFi public truy cập trang web bị chặn, giới hạn địa lý Khi duyệt web với VPN, máy tính liên hệ với trang web thông qua kết nối VPN mã hóa Mọi u cầu, thơng tin, liệu trao đổi người dùng website truyền kết nối an toàn Nếu sử dụng VPN Hoa Kỳ để truy cập vào Netflix, Netflix thấy kết nối ta đến từ Hoa Kỳ Dù nghe đơn giản, thực tế VPN lại ứng dụng để làm nhiều thứ: Truy cập vào mạng doanh nghiệp xa: VPN thường sử dụng người kinh doanh để truy cập vào mạng lưới kinh doanh họ, bao gồm tất tài nguyên mạng cục bộ, đường, du lịch, Các nguồn lực mạng nội không cần phải tiếp xúc trực tiếp với Internet, nhờ làm tăng tính bảo mật Truy cập mạng gia đình, dù khơng nhà: Ta thiết lập VPN riêng để truy cập không nhà Thao tác cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin chia sẻ mạng nội bộ, chơi game máy tính qua Internet giống mạng LAN Duyệt web ẩn danh: Nếu sử dụng WiFi công cộng, duyệt web trang web https, tính an tồn liệu trao đổi mạng dễ bị lộ Nếu muốn ẩn hoạt động duyệt web để liệu bảo mật ta nên kết nối VPN Mọi thơng tin truyền qua mạng lúc mã hóa lOMoARcPSD|17343589 Truy cập đến website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa, Tải tập tin: Tải BitTorrent VPN giúp tăng tốc độ tải file Điều có ích với traffic mà ISP bạn gây trở ngại Các giao thức thường dùng VPN Các sản phẩm VPN thường co tiện lợi, tính hiệu bảo mật đa dạng Nếu bảo mật mối quan tâm hàng đầu, tổ chức cần phải ý đến giao thức mà dịch vụ VPN hỗ trợ Một số giao thức sử dụng rộng rãi có điểm yếu đáng quan ngại, giao thức khác lại cung cấp khả bảo mật tiên tiến Những giao thức tốt OpenVPN IKEv2 *Tìm hiểu giao thức VPN: Bản chất giao thức VPN tập hợp giao thức Có số chức mà VPN phải giải được: - Tunnelling (kỹ thuật truyền liệu qua nhiều mạng có giao thức khác nhau) Chức VPN phân phối gói (packet) từ điểm đến điểm khác mà không để lộ chúng cho đường truyền Để làm điều này, VPN lOMoARcPSD|17343589 đóng gói tất liệu theo định dạng mà máy khách máy chủ hiểu Bên gửi liệu đặt vào định dạng tunnelling bên nhận trích xuất để có thơng tin - Mã hóa: Tunnelling khơng cung cấp tính bảo vệ Bất trích xuất liệu Dữ liệu cần phải mã hóa đường truyền Bên nhận biết cách giải mã liệu từ người gửi định - Xác thực Để bảo mật, VPN phải xác nhận danh tính client cố gắng “giao tiếp” với Client cần xác nhận đến máy chủ dự định - Quản lý phiên: Một người dùng xác thực, VPN cần trì phiên để client tiếp tục “giao tiếp” với khoảng thời gian Nói chung giao thức VPN coi việc tạo tunnel, xác thực quản lý phiên gói Điểm yếu chức lỗ hổng bảo mật tiềm ẩn giao thức Mã hóa chuyên ngành, khó, nên thay cố gắng tạo mới, VPN thường sử dụng kết hợp nhiều giao thức mã hóa đáng tin cậy Dưới giao thức VPN phổ biến độ mạnh yếu chúng *Những giao thức yếu: Point-To-Point Tunneling Protocol (PPTP) Giao thức cũ sử dụng PPTP (Point-to-Point Tunneling Protocol) PPTP lần sử dụng vào năm 1995 PPTP không định giao thức mã hóa sử dụng số giao thức MPPE-128 mạnh mẽ Việc thiếu tiêu chuẩn hóa giao thức mạnh rủi ro, sử dụng tiêu chuẩn mã hóa mạnh mà phía hỗ trợ Nếu phía hỗ trợ tiêu chuẩn yếu kết nối phải sử dụng mã hóa yếu người dùng mong đợi lOMoARcPSD|17343589 Tuy nhiên, vấn đề thực với PPTP trình xác thực PPTP sử dụng giao thức MS-CHAP, dễ dàng bị crack giai đoạn Kẻ cơng đăng nhập mạo danh người dùng ủy quyền IP security (IPSec) Được dùng để bảo mật giao tiếp, luồng liệu môi trường Internet (mơi trường bên ngồi VPN) Đây điểm mấu chốt, lượng traffic qua IPSec dùng chủ yếu Transport mode, tunnel (hay gọi hầm - khái niệm hay dùng Proxy, SOCKS) để MÃ HÓA liệu VPN Sự khác biệt mode là: Transport mode có nhiệm vụ mã hóa liệu bên gói (data package - biết từ payload) Trong Tunnel mã hóa tồn data package lOMoARcPSD|17343589 Do vậy, IPSec thường coi Security Overlay, IPSec dùng lớp bảo mật so với Protocol khác L2TP lOMoARcPSD|17343589 Giao thức L2TP thường hoạt động với thuật tốn mã hóa IPSec Nó mạnh đáng kể so với PPTP khiến người dùng lo ngại Lỗ hổng L2TP/IPSec phương thức trao đổi khóa cơng khai (public key) Trao đổi khóa cơng khai Diffie-Hellman cách để hai bên thỏa thuận khóa mã hóa khơng biết khóa Có phương pháp “bẻ khóa” q trình này, địi hỏi sức mạnh điện tốn lớn, sau cho phép truy cập vào tất giao tiếp VPN định Secure Sockets Layer (SSL) Transport Layer Security (TLS) Có phần tương tự IPSec, giao thức dùng mật để đảm bảo an toàn kết nối mơi trường Internet Mơ hình SSL VPN Bên cạnh đó, giao thức cịn sử dụng chế độ Handshake - có liên quan đến trình xác thực tài khoản client server Để kết nối coi thành công, trình xác thực dùng đến Certificate - khóa xác thực tài khoản lưu trữ server client lOMoARcPSD|17343589 *Những giao thức có bảo mật tốt hơn: IKEv2 (Internet Key Exchange) IKEv2 (Internet Key Exchange) xếp hạng bảo mật cao số giao thức IKEv2 sử dụng IPSec tunnelling có nhiều lựa chọn giao thức mã hóa IKEv2 sử dụng với mã hóa AES-256 nên khó bị bẻ khóa IKEv2 sử dụng tính xác thực dựa chứng mạnh mẽ sử dụng thuật tốn HMAC để xác minh tính tồn vẹn liệu truyền IKEv2 hỗ trợ giao tiếp nhanh đặc biệt mạnh mẽ việc trì phiên, kết nối Internet bị gián đoạn Windows, MacOS, iOS Android hỗ trợ IKEv2 Một số triển khai mã nguồn mở có sẵn Phiên giao thức giới thiệu vào năm 1998 phiên vào năm 2005 IKEv2 giao thức nhất, trì tốt SSTP (Secure Socket Tunneling Protocol) lOMoARcPSD|17343589 SSTP (Secure Socket Tunneling Protocol) sản phẩm Microsoft, hỗ trợ chủ yếu Windows Khi sử dụng với mã hóa AES SSL, SSTP cung cấp tính bảo mật tốt, xét mặt lý thuyết Hiện chưa tìm thấy lỗ hổng SSTP điểm yếu tồn Một vấn đề thực tế với SSTP hỗ trợ hạn chế hệ thống Windows OpenVPN OpenVPN giao thức mở, cung cấp tính bảo mật mạnh mẽ trở nên phổ biến OpenVPN phát hành lần vào năm 2001 theo giấy phép GPL OpenVPN có mã nguồn mở, nên việc kiểm tra lỗ hổng bảo đảm Chức mã hóa OpenVPN thường sử dụng thư viện OpenSSL OpenSSL hỗ trợ nhiều thuật tốn mã hóa, bao gồm AES Khơng có hỗ trợ cho OpenVPN cấp hệ điều hành, nhiều gói bao gồm OpenVPN client riêng chúng Việc có bảo mật với giao thức đòi hỏi quản trị viên phải xử lý cách xác Cộng đồng OpenVPN cung cấp khuyến nghị để tăng cường bảo mật cho OpenVPN lOMoARcPSD|17343589 SoftEther (Software Ethernet) SoftEther (Software Ethernet) tên mới, lần mắt vào năm 2014 Giống OpenVPN, SoftEther có mã nguồn mở SoftEther hỗ trợ giao thức mã hóa mạnh nhất, bao gồm AES-256 RSA 4096-bit SoftEther cung cấp tốc độ giao tiếp lớn so với hầu hết giao thức, bao gồm OpenVPN, tốc độ liệu định Nó khơng hỗ trợ hệ điều hành riêng cài đặt nhiều hệ điều hành, bao gồm Windows, Mac, Android, iOS, Linux Unix Là giao thức mới, SoftEther không hỗ trợ nhiều số giao thức khác SoftEther khơng tồn đủ lâu OpenVPN, người dùng chưa có nhiều thời gian để kiểm tra điểm yếu xuất giao thức Tuy nhiên, SoftEther ứng cử viên nặng ký cho cần chất lượng bảo mật hàng đầu *Vậy nên chọn giao thức nào? Câu hỏi “Giao thức an tồn nhất?” khó để đưa câu trả lời IKEv2, OpenVPN SoftEther ứng cử viên mạnh OpenVPN SoftEther có lợi mã nguồn mở IKEv2 có triển khai mã nguồn mở có lOMoARcPSD|17343589 triển khai độc quyền Ưu điểm bảo mật IKEv2 dễ cài đặt, giảm nguy lỗi cấu hình SoftEther cung cấp bảo mật tốt, người dùng chưa có nhiều thời gian trải nghiệm với SoftEther với hai giao thức cịn lại, nên SoftEther tồn vấn đề mà người dùng chưa phát Code OpenVPN xuất nhiều năm để chuyên gia bảo mật kiểm tra OpenVPN sử dụng rộng rãi hỗ trợ giao thức mã hóa mạnh Việc đưa định cuối cần xem xét yếu tố khác, chẳng hạn thuận tiện tốc độ, hay vấn đề bảo mật có phải điều quan tâm lớn hay không Ưu điểm, nhược điểm VPN Để xây dựng hệ thống mạng riêng, mạng cá nhân ảo dùng VPN giải pháp khơng tốn Chúng ta tưởng tượng này, môi trường Internet cầu nối, giao tiếp để truyền tải liệu, xét mặt chi phí hồn tồn hợp lý so với việc trả tiền để thiết lập đường kết nối riêng với giá thành cao Bên cạnh đó, việc phải sử dụng hệ thống phần mềm phần cứng nhằm hỗ trợ cho trình xác thực tài khoản rẻ Việc so sánh tiện lợi mà VPN mang lại với chi phí bỏ để bạn tự thiết lập hệ thống ý muốn, rõ ràng VPN chiếm ưu hẳn Nhưng bên cạnh đó, có nhược điểm dễ nhận thấy như: VPN khơng có khả quản lý Quality of Service (QoS) qua môi trường Internet, gói liệu - Data package có nguy bị thất lạc, rủi ro Khả quản lý đơn vị cung cấp VPN có hạn, khơng ngờ trước xảy với khách hàng họ, hay nói ngắn gọn bị hack lOMoARcPSD|17343589 PHẦN II: Thiết kế mạng Lan cho nhà máy với yêu cầu sau: + Nhà máy có khu vực A,B,C,D, khu vực subnet riêng Khu vực A,B,C tòa nhà Khu D tòa nhà riêng cách 200m - Khu A: Có 192 máy tính - Khu B: Có 95 máy tính - Khu C: Có 49 máy tính - Khu D: Có 293 máy tính u cầu máy tính Nhà máy kết nối với kết nối Internet Trước Internet liệu qua Firewall Internet đường truyền Dải mạng công ty là: 99.99.99.0/8 Các thiết bị mạng cần có – Switch (Hub): hay gọi chia mạng, thiết bị dùng để kết nối đoạn mạng với theo mơ hình mạng hình Theo mơ hình này, switch đóng vai trị thiết bị trung tâm, tất máy tính nối tập trung – Access point: hay gọi thiết bị phát wifi có chức chuyển đổi từ kết nối dây sang dạng wireless để sử dụng cho máy tính khu D(cách 200m so với khu A,B,C) có gắn card wireless kết nối – Router: hay gọi Moder thiết bị cho phép gửi gói liệu dọc theo mạng Thơng thường thiết bị cung cấp sẵn nhà cung cấp dịch vụ mạng – Server: máy chủ chứa liệu cho phép máy trạm kết nối đến qua cổng định để đọc lấy liệu – Dây nhảy cáp quang: dây thiết kế với đường kính siêu nhỏ từ: 0.9, 2.0, 2.4, 3.0mm Ngồi cịn cần có dây nối cáp quang vật tư phụ để thực việc đấu nối Mơ hình mạng lựa chọn: Mạng dạng hình sao(Star topology) mở rộng Mạng dạng hình bao gồm trung tâm nút thông tin Các nút thông tin trạm đầu cuối, máy tính thiết bị khác mạng Trung tâm lOMoARcPSD|17343589 mạng điều phối hoạt động mạng với chức là: Xác định cặp địa gửi nhận phép chiếm tuyến thông tin liên lạc với nhau; Cho phép theo dõi xử lý sai trình trao đổi thơng tin; Thơng báo trạng thái mạng… Chia Subnet cấp địa IP cho máy tính, thiết bị Sơ đồ mạng Các bước triển khai mạng Lan Bước 1: Khảo sát thiết kế hệ thống mạng - Sau tiếp nhận thông tin kỹ thuật đến khảo sát theo tiêu chí: mục đích sử dụng khách hàng yêu cầu sử dụng thiết bị, khảo sát mặt bằng, kết cấu tồ nhà vị trí lắp đặt thiết bị, điều kiện thi công chất lượng vật liệu thi công (cable, ống, nẹp….) Các điều kiện ảnh hưởng đến hệ thống (điện, mơi trường…) lOMoARcPSD|17343589 - Thiết kế chi tiết: Vẽ kỹ thuật chi tiết hệ thống loại thiết bị dùng (biểu giá, tính kỹ thuật, thời hạn bảo hành) bao gồm: Sơ đồ logic, sơ đồ lắp đặt… số lượng vật tư linh kiện kèm; thống hời gian thi công Bước 2: Lắp đặt hệ thống - Thi công hệ thống cáp mạng - Triển khai thiết bị dẫn (ống nhựa, nẹp, dây dẫn …) - Triển khai hệ thống cáp mạng theo sơ đồ thiết kế - Đánh dấu dây cáp kết nối vào tập trung (Swich, Router, Firewall…) - Gắn máy tính vào hệ thống mạng - Gắn thiết bị ngoại vi vào hệ thống mạng - Cài đặt hệ thống mạng - Phân chia nhóm người dùng theo VLAN (chia hệ thống thành mạng con) - Cấu hình Router, giao thức định tuyến, load-balancing… - Cấu hình tường lửa, tạo DMZ cho Server - Cài đặt hệ điều hành cho server - Cài đặt giao thức dịch vụ mạng - Tạo nhóm người dùng - Thiết lập tài khoản người dùng - Phân quyền người dùng - Cài đặt chương trình ứng dụng mạng - Cài đăt giao thức máy Client - Tạo tài khoản máy Client - Chia sẻ tài nguyên máy Client Bước 3: Chuyển giao hệ thống - Nghiệm thu hệ thống chuyển giao - Kiểm tra tương thích tính ổn định hệ thống - Nghiệm thu hệ thống chuyển giao hồ sơ thiết bị (phiếu bảo hành, hoá đơn toán…) - Chuyển giao hợp đồng thiết kế lắp đặt, sơ đồ mạng Downloaded by v? ngoc (vuchinhhp10@gmail.com) lOMoARcPSD|17343589 - Hướng dẫn sử dụng hệ thống đào tạo nhân Cách kiểm tra mạng Lan * Dùng lệnh Ipconfig: Đây lệnh xem cấu hình thơng số IP máy tính bạn Để chạy lệnh này, bạn vào CMD nhập vào Ipconfig, máy tính xổ thơng số card mạng có, bao gồm : địa IP, Subnet Mask, Default Gateway, DNS Server Sau có thông số này, tiến hành so sánh chúng với máy tính khác hệ thống mạng, so sánh với Router, có sai lệch tiến hành chỉnh sửa lại Bên cạnh lệnh Ipconfig, có số lệnh phụ bổ sung : Ipconfig /all : show toàn đầy đủ thơng số Card mạng mà lệnh Ipconfig cịn thiếu : địa Mac, DHCP Server, tên Card mạng… Ipconfig /release : xóa bỏ tất thơng số IP nhận từ DHCP Server Ipconfig /renew : gửi gói tin xin địa IP đến DHCP Server * Dùng lệnh Ping : Sau kiểm tra máy tính bạn có địa IP phù hợp, cấu hình thơng số ( lớp mạng, khai DNS, Default Gateway… ) mà máy không vào mạng được, lúc tiến hành kiểm tra kết nối máy với lệnh Ping Vì phải kiểm tra lệnh Ping ? Có trường hợp máy tính nhận cấu hình từ DHCP Server, sau lí mà dây mạng bị đứt, khiến cho máy kết nối đến Default Gateway, lệnh Ping giúp tabiết máy tính liệu có thơng suốt với hệ thống mạng hay không Downloaded by v? ngoc (vuchinhhp10@gmail.com) lOMoARcPSD|17343589 Khi sử dụng lệnh Ping, có trường hợp xảy : Lệnh trả Reply from : lệnh báo thiết bị bên có kết nối với máy tính bạn có tín hiệu trả Tuy nhiên cần xem thời gian trả có cao hay khơng, tín hiệu trả có điều hay không để chắn mạng không bị chập chờn Lệnh trả Request timed out : chứng tỏ đầu bên thiết bị khơng có tín hiệu trả lời Lệnh trả Destination host unreachable : khơng tìm địa để Ping, phản hồi thường xảy thực lệnh Ping khác lớp mạng Default Gateway chưa route đến địa Ping Downloaded by v? ngoc (vuchinhhp10@gmail.com) lOMoARcPSD|17343589 Để kiểm tra kết nối mạng máy tính, người ta thường Ping thiết bị Default Gateway, thông suốt lại tiếp tục Ping đến địa Internet để kiểm tra kết nối mạng Wan Nếu ta Ping Default Gateway lại không Ping Internet ( VD : Ping DNS Google với địa 8.8.8.8 ) Sử dụng lệnh Ping-t để kiểm tra kết nối liên tục ( lệnh Ping thường kiểm tra lần ) * Sử dụng Lệnh Tracert : Có thể xem lệnh Ping tự động Lệnh Tracert thể bước gói tin phải qua điểm mạng Lệnh hữu ích hệ thống mạng nội có độ phức tạp cao, giúp người quản trị mạng dị gói tin bị chặn điểm mạng ( báo lệnh Request timed out ), từ xác định điểm có vấn đề Downloaded by v? ngoc (vuchinhhp10@gmail.com) lOMoARcPSD|17343589 * Sử dụng lệnh Nslookup : Lệnh dùng để phân giải tên miền domain thành địa IP Đôi có vài trường hợp bạn ping tracert đến Router, lại truy cập Website được, DNS Server sử dụng phân giải tên domain sang địa IP Lệnh Nslookup giúp người dùng kiểm tra xem liệu DNS Server phân giải tên miền muốn truy cập sang địa IP hay không Cách thực : Bật Cmd -> gõ lệnh Nslookup -> nhập vào tên miền muốn kiểm tra ( VD : nongthonmoi.vn) Lúc có trường hợp xảy DNS Server phân giải tên miền trả địa IP cho bạn Nếu không phân giải được, hệ thống trả UnKnown can’t find nongthonmoi.vn: Query refused Đây số lỗi, từ phía người dùng lẫn Server Downloaded by v? ngoc (vuchinhhp10@gmail.com) lOMoARcPSD|17343589 Phía người dùng nên kiểm tra lại nhập xác tên miền chưa, đơi thiếu kí tự dẫn đến phân giải tên miền sai không phân giải Xem Website có nằm list bị giới hạn DNS Server không Một số Website quy định từ ISP mà DNS Server mặc định ISP sử dụng Lúc ta cần tiến hành đổi DNS để truy cập, sử dụng số DNS Server quốc tế ( VD : Google có DNS 8.8.8.8 8.8.4.4 ) * Sử dụng WHATISMYIP : Đây Website dùng để kiểm tra địa IP Public Bình thường hệ thống mạng Lan có nhiều địa IP Private cho máy con, nhiên Internet, tất địa IP chuyển thành địa IP Public Kiểm tra địa IP để biết địa có vơ tình nằm Black List website dẫn đến không truy cập hay khơng ( VD : số Website nước ngồi cấm địa IP đến từ Việt Nam ) Downloaded by v? ngoc (vuchinhhp10@gmail.com) ... 49 máy tính - Khu D: Có 293 máy tính u cầu máy tính Nhà máy kết nối với kết nối Internet Trước Internet liệu qua Firewall Internet đường truyền Dải mạng công ty là: 99.99.99.0/8 Các thiết bị mạng. .. lOMoARcPSD|17343589 Khi kết nối máy tính thiết bị khác chẳng hạn điện thoại, máy tính bảng với VPN, máy tính hoạt động giống nằm mạng nội với VPN Tất traffic mạng gửi qua kết nối an tồn đến VPN... kế mạng Lan cho nhà máy với yêu cầu sau: + Nhà máy có khu vực A,B,C,D, khu vực subnet riêng Khu vực A,B,C tòa nhà Khu D tòa nhà riêng cách 200m - Khu A: Có 192 máy tính - Khu B: Có 95 máy tính