Đang tải... (xem toàn văn)
Hà Nội, tháng 04 năm 2023 SINH VIÊN THỰC HIỆN LÊ THANH THẢO MÃ SỐ SINH VIÊN 20012030033 LỚP K20 IT03 01 GV PHỤ TRÁCH TRẦN THỊ NGHĨA MÔN HỌC THIẾT KẾ ĐỒ HỌA QUẢNG CÁO BÁO CÁO Môn họcMô đun Thực tập. Đề tài: Tìm hiểu triển khai giao thức cấu hình truy cập từ xa SSH I.Mục đích chọn đề tài : Ngày nay, sự phát triển công nghệ thông tin đang diễn ra mạnh mẽ, các máy tính càng cần thiết kết nối với nhau để thực hiện các công việc nội bộ, cũng như liên kết các cơ quan, xí nghiệp, cộng đồng người lại với nhau, phục vụ đời sống của con người hiệu quả cao.Trong một mạng các máy nhận ra nhau thông qua một giao thức là TCPIP hay nói cách khác chúng nhận ra nhau qua địa chỉ IP mà trước đó người quản trị mạng đã gán cho từng máy tính một. Mỗi thiết bị trên mạng cơ sở TCPIP phải có một địa chỉ IP duy nhất để truy cập mạng và sử dụng tài nguyên.Tuy nhiên trong một mạng lớn chúng ta không phải lúc nào cũng gần các thiết bị để cấu hình cho nó .Các thiết bị có ở khắp mọi nơi việc cấu hình tận nơi là rất tốn kém về cả thời gian , về chi phí di chuyển, về năng suất,…Vì vậy em đã thực hiện đề tài “ Tìm hiểu triển khai giao thức cấu hình truy cập từ xa SSH” để giới thiệu ,tìm hiểu cách sử dụng giao thức truy cập từ xa SSH . Do kiến thức còn hạn chế nên đề tài không thể tránh khỏi những sai sót ,.... Em hi vọng qua đề tài này em sẽ hiểu rõ về mạng máy tính nói chung và giao thức SSH nói riêng. II.Nội dung lý thuyết: 1. Khái niệm giao thức SSH ...
BÁO CÁO Môn học/Mô đun: Thực tập chuyên đề Tìm hiểu triển khai giao thức cấu hình truy cập từ xa SSH Ngành: CNTT SINH VIÊN THỰC HIỆN: LÊ THANH THẢO MÃ SỐ SINH VIÊN: 20012030033 LỚP: K20-IT03.01 GV PHỤ TRÁCH: TRẦN THỊ NGHĨA HÀ NỘI, THÁNG 04 NĂM 2023 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc Hà Nội, ngày 20 tháng 04 năm 2023 PHIẾU NHẬN XÉT THỰC TẬP Họ tên sinh viên (nhóm): Lê Thanh Thảo Lớp-khóa: K20-IT03.01 Cơ quan / Doanh nghiệp tiếp nhận: Công ty cổ phần Viện đào tạo CNTT Quốc tế ITech Địa : 290 Tây Sơn – Đống Đa – Hà Nội Ngày bắt đầu: 06/02/2023 Ngày kết thúc: 30/04/2023 Nội dung thực tập: Tìm hiểu triển khai giao thức cấu hình truy cập từ xa SSH Nhận xét quan / Đơn vị chất lượng công việc giao: Các cơng việc giao: Hồn thành xuất sắc Tốt Hồn tất cơng việc giao: Khá Trung bình Hồn thành Thỉnh thoảng Tính hữu ích đợt thực tập với quan Yếu Không thời hạn Giúp ích nhiều Giúp ích Khơng giúp ích cho quan Nhận xét quan / Đơn vị thân sinh viên: 2.1 Năng lực chuyên môn sử dụng vào công việc giao mức: Giỏi Khá Trung bình 2.2 Tinh thần, thái độ cơng việc giao: Yếu Tích cực Bình thường Thiếu tích cực 2.3 Đảm bảo kỷ luật lao động (giờ giấc lao động, nghỉ làm, ): Tốt Trung bình Kém 2.4 Thái độ đới với cán bộ, công nhân viên Cơ quan / Đơn vị: Hịa đồng Khơng có đáng nói 2.5 Khả sử dụng phần mềm văn phòng (office): Giỏi Khá 2.6 Khả sử dụng Tiếng Anh: Rụt rè Trung bình Yếu Giỏi Khá Trung bình Yếu Nhu cầu nhân lực quan (kiến thức, kỹ năng, số lượng): Các nhận xét khác (nếu có): Đánh giá: a Điểm chuyên cần, tác phong đạo đức (Đạt/Không đạt): b Điểm chuyên môn (Đạt/Không đạt): Trưởng Cơ quan/Đơn vị Người nhận xét (Ký tên, đóng dấu ghi rõ họ tên) (Ký ghi rõ họ tên) BẢN KẾ HOẠCH THỰC TẬP TỐT NGHIỆP CÁ NHÂN Họ tên SV: Lê Thanh Thảo Lớp-khóa: K20-IT03.01 Số ĐT:0339868690 Email : lethao8641@gmail.com Nội dung thực tập: Tìm hiểu triển khai giao thức cấu hình truy cập từ xa SSH u cầu: Hồn thành đề tài “Tìm hiểu triển khai giao thức cấu hình truy cập từ xa SSH.’’ Kế hoạch thực Ngày thực Công việc triển khai cụ thể Buổi - Chia nhóm Ngày : 09/02/2023 - Nhận đề tài Buổi Cấu hình Telnet ASA cho phép quản trị từ xa- P1 Xác thực Telnet Password Ngày : 17/02/2023 Kết đạt (theo tỷ lệ %) Ghi Cấu hình Telnet ASA cho phép quản trị từ xa- P2 Xác thực Telnet Username-Password Buổi Ngày : 24/02/2023 Cấu hình SSH ASA cho phép quản trị từ xa Cấu hình quản lý truy nhập Cisco ASA Console, TFTP, FTP Cấu hình điều khiển truy nhập Buổi Sử dụng Cisco ASA modular Ngày : 03/03/2023 Điều chỉnh tính Stateful Inspection Cấu hình sách lớp ứng dụng Buổi Ngày : 10/03/2023 Cấu hình điều khiển truy nhập nâng cao Cấu hình giới hạn tài ngun Cấu hình sách người dùng Buổi Tìm hiểu hosting , domain, DNS Ngày : 17/03/2023 Tìm hiểu cách trỏ ip host domain Tìm hiểu upload source code Frontend Backend lên server Tìm hiểu bảo mật website Buổi Ngày : 22/03/2023 Buổi Ngày : 31/03/2023 Buổi Ngày : 07/04/2023 Buổi 10 Ngày : 14/04/2023 - Giới thiệu Amazon Web Service ( AWS ) - Nghiên cứu tìm hiểu Amazon Elastic Compute Cloud ( EC2) - Tìm hiểu Amazon Virtual Private Cloud ( VPC ) - Tìm hiểu Amazon Simple Storage Service ( Amazon S3 ) Buổi 11 - Hướng dẫn viết báo cáo Ngày : 21/04/2023 - Báo cáo sản phẩm Buổi 12 - Nộp sản phẩm Ngày : 28/04/2023 - Báo cáo sản phẩm Nội dung chi tiết thực 4.1 Giới thiệu dịch vụ AWS a)Khái niệm AWS - - AWS viết tắt Amazon Web Services Dịch vụ AWS Amazon cung cấp, sử dụng sở hạ tầng CNTT phân tán để cung cấp tài nguyên CNTT khác có sẵn theo yêu cầu Nó cung cấp dịch vụ khác sở hạ tầng dịch vụ (IaaS), tảng dịch vụ (PaaS) phần mềm đóng gói dịch vụ (SaaS) Amazon mắt AWS, tảng điện toán đám mây phép tổ chức khác tận dụng sở hạ tầng CNTT đáng tin cậy b)Lịch sử AWS 2002 - Dịch vụ AWS mắt 2006 - Ra mắt sản phẩm đám mây 2012 - Tổ chức kiện khách hàng 2015 - Doanh thu đạt 4,6 tỷ USD 2016 - Vượt doanh thu mục tiêu 10 tỷ USD 2016 - Phát hành snowball snowmobile 2019 - Cung cấp gần 100 dịch vụ đám mây c)Tầm quan trọng dịch vụ AWS Amazon Web Services cung cấp loạt sản phẩm dựa đám mây tồn cầu cho mục đích kinh doanh khác Các sản phẩm bao gồm lưu trữ, sở liệu, phân tích, mạng, dịch vụ di động, công cụ phát triển, ứng dụng doanh nghiệp, với mơ hình định giá khoản tốn bạn sử dụng d)Các dịch vụ cần thiết AWS Dịch vụ điện tốn AWS (AWS Compute Services) Đây dịch vụ điện toán đám mây Amazon cung cấp: - EC2 (Elastic Compute Cloud) - EC2 máy ảo đám mây mà bạn có quyền kiểm sốt cấp độ hệ điều hành Bạn chạy máy chủ đám mây bạn muốn - LightSail - Cơng cụ điện tốn đám mây tự động triển khai quản lý máy tính, lưu trữ khả kết nối mạng cần thiết để chạy ứng dụng bạn - Elastic Beanstalk - Công cụ cung cấp triển khai tự động cung cấp tài nguyên trang web sản xuất có khả mở rộng cao - EKS (Elastic Container Service for Kubernetes) - Công cụ cho phép bạn truy cập Kubernetes môi trường đám mây Amazon mà không cần cài đặt - AWS Lambda - Dịch vụ cho phép chạy chức đám mây Cơng cụ trình tiết kiệm chi phí lớn với việc trả tiền chức thực thi Migration Dịch vụ di chuyển sử dụng để truyền liệu vật lý trung tâm liệu bạn AWS - DMS (Database Migration Service) -DMS sử dụng để di chuyển sở liệu chỗ sang AWS Nó giúp bạn di chuyển từ loại sở liệu sang loại khác - ví dụ: Oracle sang MySQL - SMS(Server Migration Service) - Dịch vụ di chuyển SMS cho phép bạn di chuyển máy chủ chỗ sang AWS cách dễ dàng nhanh chóng - Snowball - Snowball ứng dụng nhỏ cho phép bạn truyền terabyte liệu bên bên ngồi mơi trường AWS Lưu trữ (Storage) - Amazon Glacier- Đây dịch vụ lưu trữ chi phí thấp Nó cung cấp lưu trữ an tồn nhanh chóng để lưu trữ lưu liệu - Amazon Elastic Block Store (EBS) - Nó cung cấp lưu trữ cấp khối để sử dụng với phiên Amazon EC2 Khối lượng Amazon Store Block Store gắn mạng độc lập với vòng đời instance - AWS Storage Gateway - Dịch vụ AWS kết nối ứng dụng phần mềm chỗ với lưu trữ dựa đám mây Nó cung cấp tích hợp an tồn sở chỗ công ty sở hạ tầng lưu trữ AWS Dịch vụ an ninh (Security Services) - IAM (Identity and Access Management) - IAM dịch vụ bảo mật đám mây giúp bạn quản lý người dùng, gán sách, nhóm biểu mẫu để quản lý nhiều người dùng - Inspector - Đây tác nhân mà bạn cài đặt máy ảo mình, báo cáo lỗ hổng bảo mật - Certificate Manager - Dịch vụ cung cấp chứng SSL miễn phí cho tên miền bạn quản lý Route53 - WAF (Web Application Firewall) - Dịch vụ bảo mật WAF cung cấp bảo vệ cấp ứng dụng cho phép bạn chặn SQL injection giúp chặn công kịch cross-site - Cloud Directory - Dịch vụ cho phép bạn tạo thư mục gốc, quản lý linh hoạt để phân cấp liệu theo nhiều chiều - KMS (Key Management Service) - Đây dịch vụ quản lý Dịch vụ bảo mật giúp bạn tạo kiểm soát khóa mã hóa, mà cho phép bạn mã hóa liệu - Organizations - Bạn tạo nhóm tài khoản AWS dịch vụ để quản lý cài đặt bảo mật tự động hóa - Shield - Shield quản lý DDoS (Dịch vụ bảo vệ từ chối dịch vụ phân tán) Nó cung cấp biện pháp bảo vệ chống lại ứng dụng web chạy AWS - Macie - Nó cung cấp dịch vụ bảo mật khả hiển thị liệu giúp phân loại bảo vệ nội dung quan trọng nhạy cảm bạn - GuardDuty - Cung cấp phát mối đe dọa để bảo vệ tài khoản AWS khối lượng công việc bạn Dịch vụ sở liệu (Database Services) - Amazon RDS- Dịch vụ dễ dàng thiết lập, vận hành mở rộng sở liệu quan hệ đám mây - Amazon DynamoDB- Đây dịch vụ sở liệu NoQuery nhanh, quản lý đầy đủ Đây dịch vụ đơn giản cho phép lưu trữ truy xuất liệu hiệu Nó cho phép bạn phục vụ mức lưu lượng yêu cầu - Amazon ElastiCache- Đây dịch vụ web giúp dễ dàng triển khai, vận hành mở rộng đệm nhớ đám mây - Neptune- Đây dịch vụ sở liệu đồ thị nhanh, đáng tin cậy mở rộng - Amazon RedShift - Đây giải pháp lưu trữ liệu Amazon mà bạn sử dụng để thực truy vấn OLAP phức tạp Phân tích (Analytics) - Athena - Dịch vụ phân tích cho phép truy vấn SQL nhóm S3 để tìm tệp - CloudSearch - Bạn nên sử dụng dịch vụ AWS để tạo cơng cụ tìm kiếm quản lý hoàn toàn cho trang web - ElasticSearch - Nó tương tự CloudSearch Tuy nhiên, cung cấp nhiều tính giám sát ứng dụng - Kinesis - Dịch vụ phân tích AWS giúp bạn truyền phát phân tích liệu thời gian thực quy mô lớn - QuickSight - Nó cơng cụ phân tích kinh doanh Nó giúp bạn tạo trực quan hóa bảng điều khiển cho liệu Dịch vụ web Amazon Ví dụ: S3, DynamoDB, v.v - EMR (Elastic Map Reduce) Dịch vụ phân tích AWS chủ yếu sử dụng để xử lý liệu lớn Spark, Splunk, Hadoop, v.v - Data Pipeline - Cho phép bạn di chuyển liệu từ nơi sang nơi khác Ví dụ: từ DynamoDB đến S3 Dịch vụ quản lý (Management Services) - CloudWatch - Cloud watch giúp bạn giám sát môi trường AWS EC2, RDS sử dụng CPU Nó kích hoạt báo động phụ thuộc vào số liệu khác - CloudFormation - Đó cách biến sở hạ tầng đám mây Bạn sử dụng mẫu để cung cấp tồn mơi trường sản xuất vài phút - CloudTrail - Nó cung cấp phương pháp dễ dàng để kiểm tra tài nguyên AWS Nó giúp bạn đăng nhập tất thay đổi - OpsWorks - Dịch vụ cho phép bạn tự động triển khai Chef / Puppet môi trường AWS - Config - Dịch vụ AWS giám sát môi trường bạn Công cụ gửi thông báo thay đổi bạn phá vỡ số cấu hình xác định - Service Catalog - Dịch vụ giúp doanh nghiệp lớn cho phép người dùng sử dụng dịch vụ dịch vụ không sử dụng - AWS Auto Scaling - Dịch vụ cho phép bạn tự động mở rộng quy mô tài nguyên dựa số liệu CloudWatch cho - Systems Manager - Dịch vụ AWS cho phép bạn nhóm tài ngun Nó cho phép bạn xác định vấn đề hành động với chúng - Managed Services - Nó cung cấp khả quản lý sở hạ tầng AWS cho phép bạn tập trung vào ứng dụng Internet of Things - IoT Core - Theo Wiki Đây dịch vụ AWS tảng đám mây quản lý Dịch vụ cho phép thiết bị kết nối ô tơ, bóng đèn, lưới cảm biến, tương tác an tồn với ứng dụng đám mây thiết bị khác - IoT Device Management - Nó cho phép bạn quản lý thiết bị IoT quy mô - IoT Analytics - Dịch vụ AWS IOT hữu ích để thực phân tích liệu thu thập thiết bị IoT bạn - Amazon FreeRTOS - Hệ điều hành thời gian thực dành cho vi điều khiển giúp bạn kết nối thiết bị IoT máy chủ cục vào đám mây Application Services - Step Functions - Đây cách trực quan hóa bên ứng dụng dịch vụ siêu nhỏ khác mà sử dụng - SWF (Simple Workflow Service) - Dịch vụ giúp bạn phối hợp nhiệm vụ tự động nhiệm vụ người thực - SNS (Simple Notification Service) - Bạn sử dụng dịch vụ để gửi thông báo dạng email SMS dựa dịch vụ AWS cho - SQS (Simple Queue Service) - Sử dụng dịch vụ AWS để tách ứng dụng bạn Đây dịch vụ dựa dịch vụ pull-based - Elastic Transcoder- Dịch vụ giúp bạn thay đổi định dạng độ phân giải video để hỗ trợ thiết bị khác máy tính bảng, điện thoại thơng minh máy tính xách tay có độ phân giải khác Triển khai quản lý (Deployment and Management) - AWS CloudTrail: Các dịch vụ ghi lại gọi API AWS gửi tệp tồn đọng cho bạn - Amazon CloudWatch: Các công cụ giám sát tài nguyên AWS Amazon EC2 Amazon RDS DB Instances Nó cho phép bạn theo dõi số liệu tùy chỉnh tạo ứng dụng dịch vụ người dùng - AWS CloudHSM: Dịch vụ AWS giúp bạn đáp ứng yêu cầu tuân thủ công ty, theo quy định theo hợp đồng để trì bảo mật liệu cách sử dụng thiết bị Mô-đun bảo mật phần cứng (HSM) môi trường AWS Những công cụ phát triển (Developer Tools) - Codestar - Codestar dịch vụ dựa đám mây để tạo, quản lý làm việc với dự án phát triển phần mềm khác AWS - CodeCommit - Đây dịch vụ kiểm soát phiên AWS cho phép bạn lưu trữ mã tài sản khác cách riêng tư đám mây - CodeBuild - Dịch vụ nhà phát triển Amazon giúp bạn tự động hóa q trình xây dựng biên dịch mã bạn - CodeDeploy - Đây cách triển khai mã bạn phiên EC2 tự động - CodePipeline - Nó giúp bạn tạo đường dẫn triển khai thử nghiệm, xây dựng, thử nghiệm, xác thực, triển khai môi trường phát triển sản xuất - Cloud9 - Nó Mơi trường phát triển tích hợp để viết, chạy gỡ lỗi mã đám mây Dịch vụ di động (Mobile Services) - Mobile Hub - Cho phép bạn thêm, cấu hình thiết kế tính cho ứng dụng di động - Cognito - Cho phép người dùng đăng ký danh tính xã hội người - Device Farm - Giúp bạn cải thiện chất lượng ứng dụng cách nhanh chóng kiểm tra hàng trăm thiết bị di động - AWS AppSync - Là dịch vụ GraphQL quản lý hoàn toàn, cung cấp tính lập trình ngoại tuyến đồng hóa liệu theo thời gian thực Business Productivity - Alexa for Business - Nó trao quyền cho tổ chức bạn giọng nói Sử dụng Alexa, cho phép bạn xây dựng kỹ giọng nói tùy chỉnh cho tổ chức - Chime - Có thể sử dụng cho họp trực tuyến hội nghị video - WorkDocs - Giúp lưu trữ tài liệu đám mây - WorkMail - Cho phép bạn gửi nhận email doanh nghiệp 10 - Lưu trữ Trang web - Lưu trữ ứng dụng / lưu trữ SaaS - Chia sẻ đa phương tiện (Hình ảnh / Video) - Ứng dụng di động xã hội - Phân phối nội dung phân phối truyền thông - Lưu trữ, lưu khắc phục thảm họa - Môi trường phát triển thử nghiệm - Máy tính học thuật - Cơng cụ tìm kiếm - Mạng xã hội f) Các công ty sử dụng AWS - Instagram Pinterest Netflix Dropbox Etsy Talkbox … g) Ưu điểm nhược điểm AWS Ưu điểm - Tính linh hoạt + AWS cho phép tổ chức sử dụng mơ hình lập trình, hệ điều hành, sở liệu kiến trúc quen thuộc + Cung cấp triển khai nhanh + Cung cấp quản lý toán tập trung + Cung cấp khả hỗn hợp(Hybrid) -Hiệu chi phí + Dịch vụ hiệu chi phí, cho phép bạn trả tiền cho bạn sử dụng, mà khơng có cam kết dài hạn dài hạn Không cần tiền cho việc chạy trì trung tâm liệu + Tổng chi phí sở hữu thấp so với máy chủ riêng / chuyên dụng - Khả mở rộng / Độ co giãn + Có thể dễ dàng thêm loại bỏ dung lượng + Được phép truy cập đám mây cách nhanh chóng với khả vô hạn 12 - + Cho phép triển khai ứng dụng nhiều khu vực khắp giới vài cú nhấp chuột Bảo mật + AWS cung cấp bảo mật cho người dùng cuối quyền riêng tư cho khách hàng + AWS có sở hạ tầng ảo cung cấp tính khả dụng tối ưu quản lý tồn quyền riêng tư cách ly hoạt động họ + Khách hàng mong đợi mức độ bảo mật vật lý cao Amazon có nhiều năm kinh nghiệm việc thiết kế, phát triển trì trung tâm vận hành CNTT quy mơ lớn + AWS đảm bảo ba khía cạnh bảo mật, tức Tính bảo mật, tính tồn vẹn tính khả dụng liệu người dùng Nhược điểm - - Nếu bạn cần hỗ trợ chuyên sâu hơn, bạn phải chọn gói hỗ trợ trả phí Dịch vụ web Amazon có số vấn đề điện tốn đám mây phổ biến bạn chuyển sang đám mây Ví dụ, thời gian chết, kiểm soát hạn chế bảo vệ dự phòng AWS đặt giới hạn mặc định cho tài nguyên khác vùng Những tài nguyên bao gồm hình ảnh, khối lượng ảnh chụp nhanh Thay đổi phần cứng xảy với ứng dụng bạn, điều khơng mang lại hiệu suất mức độ sử dụng tốt cho ứng dụng bạn 4.2 Giới thiệu EC2 a)Khái niệm Amazon EC2 - Amazon Elastic Compute Cloud (Amazon EC2) sở hạ tầng điện toán đám mây cung cấp Amazon Web Services (AWS) giúp cung cấp tài ngun máy tính ảo hố theo yêu cầu - Amazon EC2 cung cấp ứng dụng máy tính ảo hố mở rộng khả xử lý thành phần phần cứng ảo nhớ máy tính (ram), vi xử lý, linh hoạt việc lựa chọn phân vùng lưu trữ liệu tảng khác an toàn quản lý dịch vụ kiến trúc ảo hoá đám mây mạnh mẽ AWS - Amazon EC2 cung cấp máy chủ ảo kết hợp với để dễ dàng triển khai ứng dụng nhanh đảm bảo tính sẵn sàng cao Thậm chí mặt tốn bạn dễ dàng biết mức chi phí cần tốn dựa thông tin tài nguyên bạn sử dụng b)Amazon EC2 Instance - Amazon EC2 Instanc cloud server Với tài khoản bạn tạo sử dụng nhiều Amazon EC2 Instance Các Amazon EC2 Instance chạy server vật lý chia sẻ memory, CPU, ổ cứng 13 - Tuy nhiên tính chất cloud service nên Instance hoạt động giống server riêng lẻ Các đặc tính Amazon EC2 Scaling: - Scaling Up/Down: Tăng/Giảm capacity(RAM, CPU, ) Instance Scaling In/Out: Tăng/Giảm số lượng Instance Security: - Có thể thiết lập rank IP Private dành riêng cho EC2 Sử dụng Security Group Network ACLS để control inbound/outbound - Có thể thiết lập IPsec VPN Data Center AWS Clound - Delicated Instance -> Tạo EC2 hardware physical dành riêng cho khách hàng Cost: - On-Demand Instance: Tính theo giờ, đáp ứng nhu cầu dùng thời gian ngắn Dùng bao nhiêu, trả nhiêu Reserved Instance: Cho phép trả trước lượng Server cho năm Chi phí 75% so với On-Demand 4.3 Giới thiệu VPC a) Khái niệm VPC - - Amazon Virtual Private Cloud (Amazon VPC) dịch vụ cho phép bạn khởi chạy tài nguyên AWS mạng ảo cô lập theo logic mà bạn xác định Bạn có tồn quyền kiểm sốt mơi trường mạng ảo mình, bao gồm lựa chọn dải địa IP, tạo mạng con, cấu hình bảng định tuyến cổng kết nối mạng Bạn dùng IPv4 IPv6 cho hầu hết tài nguyên đám mây riêng ảo, giúp bảo mật nghiêm ngặt truy cập dễ dàng tài nguyên ứng dụng Là dịch vụ tảng AWS, Amazon VPC giúp bạn dễ dàng tùy chỉnh cấu hình mạng VPC Bạn tạo mạng công khai cho máy chủ web có quyền truy cập internet Dịch vụ cho phép bạn đặt hệ thống backend, máy chủ ứng dụng sở liệu, mạng riêng tư khơng có quyền truy cập internet Với Amazon VPC, bạn sử dụng nhiều lớp bảo mật, bao gồm nhóm bảo mật danh sách kiểm soát truy cập mạng, để giúp kiểm soát quyền truy cập vào phiên Amazon EC2 mạng b) Các tính VPC - Kết nối trực tiếp Internet public từ lớp mạng public Có thể khởi tạo từ subnet public gửi nhận liệu trực tiếp qua Internet 14 - - - - Kết nối đến Internet Public thông qua NAT(private subnet) Nếu chạy Instance phía mạng nội có nhu cầu muốn truy xuất Internet public định tuyến lưu lượng qua NAT Gateway lớp mạng khác Kết nối an toàn đến trung tâm liệu Mọi lưu lượng vào máy chủ Instance VPC định tuyến tới Data Center, hỗ trợ VPN phần cứng IPSec Kết nối riêng( private connect) VPC peer VPC giúp chia sẻ tài nguyên qua lớp mạng ảo hóa sở hữu nhiều tài khoản AWS Kết nối riêng với dịch vụ AWS thông qua VPC Endpoint bao gồm dịch vụ: S3,DynamoDB,Kinisis Streams, Service Catalog,AWS Sytems Manager, Elastic Load Balancing(ELB)API,Amazon Elastic Compute Cloud(EC2)API SNS kết nối riêng(private connect) đến giải pháp SaaS AWS PrivateLink hỗ trợ kết nối riêng đến dịch vụ nội thơng qua tài khoản khác mơ hình VPC khác hệ thống tổ chức/ doanh nghiệp, nhằm giúp đơn giản hóa kiến trúc nội c) Các thành phần VPC IPv4 and IPv6 address blocks - VPC IP address ranges định nghĩa Classless interdomain routing (CIDR) blocks Bạn thêm primary secondary CIDR blocks vào VPC, secondary CIDR block có address range với primary block 15 - AWS khuyến nghị sử dụng CIDR blocks từ private address ranges định nghĩa RFC 1918: Subnet - - Subnet, hiểu sub network (mạng ảo) Sau tạo VPC, bạn thêm nhiều subnet (mạng con) Availability Zone Khi bạn tạo subnet, bạn cần định khối CIDR cho subnet Mỗi subnet phải nằm hồn tồn Availability Zone kéo dài tới zone khác Các Availability Zone vị trí riêng biệt thiết kế để cách ly để tránh bị ảnh hưởng zone khác gặp vấn đề Có loại subnet: + Public Subnet: subnet định tuyến tới internet gateway instance public subnet giao tiếp với internet thơng qua địa IPv4 (public IPv4 address Elastic IP address) + Private Subnet: Ngược với Public Subnet, Private Subnet subnet không định tuyến tới internet gateway Bạn truy cập vào instance Private Subnet từ internet Route tables: Là bảng định tuyến, bao gồm tập hợp rule (được gọi route), sử dụng để xác định đường đi, nơi đến gói tin từ mạng hay gateway Internet connectivity - Internet Gateway: thành phần cho phép giao tiếp VPC Internet Nói cách dễ hiểu server VPC muốn giao tiếp với Internet cần có Internet Gateway - NAT Gateway: thành phần cho phép server ảo mạng private kết nối tới Internet dịch vụ khác AWS lại ngăn không cho Internet kết nối đến server - NAT Instance: server ảo tạo quản lý có chức tương tự NAT Gateway Elastic IP addresses - Là địa public IPv4, kết nối từ Internet sử dụng cho: + EC2 instance + AWS elastic network interface (ENI) + Một số service khác cần public IP address 16 17 Network/subnet security - AWS cung cấp hai tính mà bạn sử dụng để tăng cường bảo mật VPC bạn: Security Group Network ACLs + Security Group kiểm soát lưu lượng vào cho instance + Network ACL giúp kiểm soát lưu lượng truy cập vào cho subnet Một số networking services khác - Virtual Private Networks (VPNs) Direct connectivity between VPCs (VPC peering) Gateways Mirror sessions Một số VPC scenarios thường sử dụng - VPC with a single public subnet - VPC with public and private subnets (NAT) - VPC with public and private subnets and AWS Site-to-Site VPN access - VPC with a private subnet only and AWS Site-to-Site VPN access 4.4 Giới thiệu S3 a)Khái niệm Amazon S3 - - Amazon Simple Storage Service (Amazon S3) dịch vụ lưu trữ đối tượng cung cấp khả mở rộng, tính sẵn có liệu, bảo mật hiệu suất hàng đầu ngành Khách hàng thuộc quy mơ ngành nghề sử dụng Amazon S3 để lưu trữ bảo vệ lượng liệu cho nhiều trường hợp sử dụng Chẳng hạn kho liệu, trang web, ứng dụng di động, lưu khôi phục, lưu trữ, ứng dụng doanh nghiệp, thiết bị IoT liệu lớn phân tích Amazon S3 cung cấp tính quản lý để bạn tối ưu hóa, xếp thiết lập cấu hình quyền truy cập vào liệu Nhằm đáp ứng yêu cầu tuân thủ, tổ chức kinh doanh cụ thể bạn b) Hoạt Động Amazon S3 - Amazon S3 lưu trữ liệu dạng objects buckets Một object tệp hay siêu liệu (metadata) tệp Một bucket vùng chứa cho đối tượng Để lưu trữ liệu bạn Amazon S3, bạn phải tạo bucket định tên vùng chứa AWS Region Sau đó, bạn tải liệu lên bucket dạng object Amazon S3 Mỗi object có key, mã định danh cho đối tượng nhóm Buckets - Buckets nơi chứa đối tượng lưu trữ Amazon S3 Bạn lưu trữ đối tượng nhóm có tối đa 100 nhóm tài 18 - - khoản Khi tạo bucket, bạn nhập tên chứa chọn AWS Region nơi chứa cư trú Sau bạn tạo bucket, bạn thay đổi tên Region (Vùng) Như thế, bucket giống vùng chứa cho object lưu trữ Amazon S3 Mỗi object chứa bucket Buckets sử dụng cho mục đích sau:: Sắp xếp, quản lý Amazon S3 namespace mức cao Xác định tài khoản chịu trách nhiệm phí lưu trữ truyền liệu Cung cấp tùy chọn kiểm sốt truy cập, chẳng hạn sách chứa, danh sách kiểm soát truy cập (ACL) Điểm truy cập S3 mà bạn sử dụng để quản lý quyền truy cập vào tài nguyên Amazon S3 Đóng vai trị đơn vị tổng hợp cho báo cáo sử dụng Objects - Objects thực thể lưu trữ Amazon S3 Nó bao gồm liệu đối tượng (object data) siêu liệu (metadata) Siêu liệu tập hợp cặp name-value mô tả đối tượng Các cặp bao gồm số siêu liệu mặc định, chẳng hạn ngày sửa đổi lần cuối siêu liệu HTTP tiêu chuẩn, Một object xác định bucket key (name) version ID Key - Key (hay key name) mã định danh cho object bucket Mỗi object bucket có xác key Mỗi object Amazon S3 xử lý thông qua kết hợp điểm cuối web service, bucket name, key version c)Ưu Điểm Của Amazon S3 - - - - Lưu trữ liệu Buckets: Bucket khái niệm Amazon S3 dành cho việc lưu trữ liệu Bạn chứa vơ hạn loại liệu khác bucket Mỗi liệu tương tự object object chứa tới 5TB liệu Tải liệu: Bên cạnh đó, Amazon S3 cho phép bạn tải liệu lúc Thậm chí người khác tải liệu bạn Bucket Amazon S3 Tuy nhiên, bạn khơng muốn người khác tải bạn phân quyền cho phép từ chối quyền upload/download liệu bạn Giao diện tương tác tiêu chuẩn: + Bạn sử dụng REST SOAP để thiết kế tương tác từ ứng dụng bạn đến Amazon S3 qua cơng cụ lập trình phát triển + Ngoài ra, Amazon S3 thiết kế tính tối giản nhằm đạt mục tiêu đơn giản nhanh gọn cho người dùng Tính ổn định cao: Amazon đảm bảo trì tính sẵn sàng cho hệ thống mức 99,99% Chịu hỏng hóc phục hồi hệ thống cực nhanh với thời gian tối thiểu 19 - Chi phí rẻ: Amazon S3 có giá cực rẻ, cạnh tranh với giải pháp cơng ty khác thị trường Từ cá nhân hay doanh nghiệp sử dụng dịch vụ lưu trữ với ngân sách tiết kiệm 4.5 Đề tài: Tìm hiểu triển khai giao thức cấu hình truy cập từ xa SSH I.Mục đích chọn đề tài : Ngày nay, phát triển công nghệ thông tin diễn mạnh mẽ, máy tính cần thiết kết nối với để thực công việc nội bộ, liên kết quan, xí nghiệp, cộng đồng người lại với nhau, phục vụ đời sống người hiệu cao.Trong mạng máy nhận thông qua giao thức TCP/IP hay nói cách khác chúng nhận qua địa IP mà trước người quản trị mạng gán cho máy tính Mỗi thiết bị mạng sở TCP/IP phải có địa IP để truy cập mạng sử dụng tài nguyên.Tuy nhiên mạng lớn lúc gần thiết bị để cấu hình cho Các thiết bị có khắp nơi việc cấu hình tận nơi tốn thời gian , chi phí di chuyển, suất,…Vì em thực đề tài “ Tìm hiểu triển khai giao thức cấu hình truy cập từ xa SSH” để giới thiệu ,tìm hiểu cách sử dụng giao thức truy cập từ xa SSH Do kiến thức hạn chế nên đề tài khơng thể tránh khỏi sai sót , Em hi vọng qua đề tài em hiểu rõ mạng máy tính nói chung giao thức SSH nói riêng II.Nội dung lý thuyết: Khái niệm giao thức SSH - SSH (Secure SHell) giao thức mạng sử dụng để truy cập vào thiết bị mạng máy chủ từ xa thông qua Internet SSH cho phép user đăng nhập vào máy tính khác thực lệnh từ xa di chuyển file, liệu thiết bị thơng qua định dạng mã hóa - SSH hoạt động tầng thứ mơ hình TCP/IP Nó sử dụng chế mã hố nhằm mục đích ngăn chặn hành vi nghe trộm, đánh cắp, tráo đổi liệu đường truyền Đây điều mà giao thức trước TELNET hay RLOGIN khơng đáp ứng - SSH đánh giá cao tính bảo mật tuyệt đối tuyệt vời Người dùng hồn tồn gửi thơng tin mật cách an toàn yên tâm Nguyên nhân tất liệu mã hóa khó để giải mã tin tặc cơng đọc Lịch sử phát triển SSH - Năm 1995, Tatu Ylõnen , trình bày SSH1 giao thức SSH1 - Năm 1998, SCS phát hành sản phẩm phần mềm “SSH Secure Shell”(SSH2), dựa giao thức SSH-2 - Năm 2000, SCS mở rộng SSH quyền cho phép dùng miễn phí Linux,NetBSD,FreeBSD hệ điều hành OpenBSD - Năm 2000, OpenSSH (http://www.openssh.com) sử dụng miễn phí có đăng kí OpenSSH hỗ trợ SSH-1 SSH-2 chương trinh 20 Các đặc điểm giao thức SSH - Tính bí mật (privacy) liệu: Tính bí mật có nghĩa bảo vệ liệu không bị phơi bày SSH cung cấp tính bí mật thơng qua việc mã hóa liệu mạng, SSH hỗ trợ nhiều thuật tốn mã hóa phiên trao đổi liệu, thuật tốn mã hóa chuẩn hóa AES, ARCFOUR, Blowfish, IDEA, DES, 3DES - Tính tồn vẹn (Integrity): Tính tồn vẹn có nghĩ bảo đảm liệu truyền từ đầu vào tới đầu không bị thay đổi SSH sử dụng phương pháp kiểm tra tồn vẹn mật mã, áp dụng thuật tốn MD5 SHA-1 - Tính xác thực (Authentication): SSH tiến hành xác thực thông qua việc kiểm tra định danh người dùng, kết nối SSH bao gồm hai việc xác thực: máy khách kiểm tra định danh máy chủ SSH máy chủ kiểm tra định dạng người dùng truy cập vào hệ thống SSH hỗ trợ xác thực mật mã hóa mạng hay xác thực khóa cơng khai kết hợp với kiểm tra định danh máy chủ Chức giao thức SSH - Truy cập từ xa an tồn vào hệ thống hay thiết bị mạng có hỗ trợ SSH cho người dùng trình tự động khác - Hỗ trợ phiên chuyển file an toàn - Tự động truyền file an toàn - Thực thi lệnh an toàn máy hay hệ thống từ xa - Quản lý an toàn thành phần sở hạ tầng mạng Ứng dụng SSH - SSH có mặt datacenter kèm mặc định server Unix, Linux Mac Các kết nối SSH ứng dụng để bảo mật nhiều loại giao tiếp khác máy cục host từ xa Trong bao gồm quyền truy cập an toàn từ xa vào tài nguyên, thực thi lệnh từ xa hay chuyển patch, cập nhật phần mềm,… Bên cạnh khả tạo kênh an toàn cho máy cục máy xa, SSH dùng để quản lý router, phần cứng server, tảng ảo hóa, hệ điều hành, có ứng dụng quản lý truyền file,… - Secure Shell dùng để kết nối đến server, thực thay đổi, upload,… công cụ hay thông qua terminal Bên cạnh đó, SSH key dùng để tự động truy cập vào server, chủ yếu ứng dụng script, hệ thống backup hay cơng cụ quản lý cấu hình,… - SSH thiết kế với mục đích đề cao thuận tiện khả làm việc xuyên ranh giới giữ tổ chức, SSH key cung cấp single sign-on (SSO – đăng nhập lần) để người dùng nhanh chóng chuyển qua lại tài khoản mà không cần tốn thời gian nhập password - Hơn nữa, SSH không xác thực qua kết nối mã hóa, mà SSH traffic mã hóa; cho dù người dùng truyền file, duyệt web hay chạy lệnh, tác vụ họ bảo mật tuyệt đối - Ta sử dụng SSH với user ID thông thường password làm thông tin xác thực, nhiên SSH chủ yếu dựa vào public key pair để xác thực host với Người dùng cá nhân phải sử dụng user ID password – phương pháp xác thực khác – để kết nối đến host từ xa, nhiên máy cục máy từ xa xác thực riêng biệt với Việc thực cách tạo public key pair cho host tình giao tiếp Mỗi 21 session yêu cầu có hai public key pair: key pair dùng để xác thực máy từ xa với máy cục bộ, key pair có nhiệm vụ ngược lại Khi nên sử dụng SSH - SSH hoạt động lớp mô hình phân lớp TCP/IP Các cơng cụ SSH (như OpenSSH, …) cung cấp cho người dùng cách thức để thiết lập kết nối mạng mã hoá để tạo kênh kết nối riêng tư Cho phép tương tác máy chủ máy khách, sử dụng chế mã hoá nhằm ngăn chặn tượng nghe trộm, đánh cắp thông tin đường truyền - Các chương trình trước đây: telnet, rlogin khơng sử dụng phương pháp mã hố Vì nghe trộm chí đọc tồn nội dung phiên làm việc cách sử dụng số công cụ đơn giản Sử dụng SSH biện pháp hữu hiệu bảo mật liệu đường truyền từ hệ thống đến hệ thống khác So sánh SSH Telnet - Telnet giao thức ứng dụng Internet lâu đời nhất, với FTP Telnet sử dụng để khởi tạo trì phiên giả lập terminal host xa - SSH Telnet có tương đồng định mặt chức năng, nhiên điểm khác biệt lớn SSH sử dụng mật mã public key để xác thực terminal session, đồng thời mã hóa lệnh đầu phiên - Mặt khác, Telnet chủ yếu dùng cho giả lập terminal, cịn SSH dùng để giả lập terminal – tương tự rlogin command – để gửi lệnh từ xa rsh, truyền file SFTP tunnel nhiều ứng dụng khác SSH Chạy port 22 Giao thức an tồn Mã hóa Public Key Phù hợp với Public Network Tất hệ điều hành Telnet Chạy port 23 Giao thức khơng an tồn Truyền văn túy Phù hợp với Private Network Linux/Windows III.Quy trình thực đề tài Mục tiêu : - Làm quen với việc triển khai cấu hình giao thức truy cập từ xa SSH - Có thể truy cập từ xa SSH Cisco Yêu cầu trinh độ kỹ năng: - Biết lệnh cấu hình đơn giản Router Cisco - Am hiểu SSH, cách thức hoạt động chế Cơng cụ : - Packet tracer 8.0 22 Mơ hình lab cấu hình SSH Router Cisco - Mơ hình lab cấu hình SSH Router Cisco gồm Router cấu hình SSH PC sử dụng để test kết nối SSH Router cấu hình 4.1 Chuẩn bị : - Sử dụng Packet Tracer làm theo sơ đồ hình trên: - Router nối Router cáp Serial(NM-W1T) - Còn lại Router nối Switch Switch nối máy tính ta dùng cáp thẳng 4.2 Triển Khai Lab cấu hình SSH Router Cisco Cấu hình IP Router 1: - Trên Router cổng Serial 2/0 Code: - Trên Router cổng Fast Ethernet f0/0 Code: 23 - Dùng PC ping kiểm tra Router Cấu hình IP Router R2 - Làm tương tự R1 - Trên Router cổng Serial 2/0 Code: - Trên Router cổng Fast Ethernet f0/0 Code: - Dùng PC1 ping kiểm tra Router R2 Cấu hình SSH Router R1 -Thực cấu hình SSH Router R1 Code: R1#sh ver R1# conf t R1(config)#ip domain-name itech.com R1(config)#username cisco password 123456 R1(config)#crypto key generate rsa 24 R1(config)#line vty - Dùng PC kết nối SSH đến Router R1 Cấu hình SSH R2: -Thực cấu hình SSH Router R2 tương tự cấu hình SSh Router R1 Code: R2#sh ver R2#conf t R2(config)#ip domain-name itech.com R2(config)#username cisco password 123456 R2(config)#crypto key generate rsa R2(config)#line vty R2(config-line)#login local R2(config-line)#transport input ssh -Dùng PC kết nối với Router Dùng Router R2 kết nối SSH với Router R1 -Trên Router đánh lệnh sau để kết nối SSH đến Router Code: R2#ssh -l cisco 172.16.1.1 -Câu lênh có nghĩa Login với user name: "cisco" tới địa 172.16.1.1 giao thức ssh 25 VI Kết Luận Ưu điểm SSH - Khả mã hoá truyền tải liệu an tồn host client - Có thể sử dụng vài cách để tiến hành mã hố SSH Ví dụ sử dụng symmetrical encryption, Asymmetrical encryption, hashing - Có tính an tồn cao truy cập máy từ xa, dễ dàng kết nối với thiết bị nào,bất kỳ lúc vị trí - Dữ liệu trao đổi client server dạng clear text nên dễ hình dung thao tác Nhược điểm SSH - Mật tạo dài nên phát thời gian lâu để nhớ - Nó chậm khơng kết nối với thiết bị kết nối băng thông thấp - Nếu cần truy cập vào thiết bị từ xa phải có người bật thiết bị cho phép truyy cập - Các phiên SSH sau độc quyền, có nghĩa chúng tiền sử dụng Mẹo để tận dụng tối đa cấu hình truy cập từ xa SSH - Lên kế hoạch trước Tối ưu hóa hiệu suất … Nhìn chung, có vài nhược điểm , SSH tăng suất, bảo mật tính linh hoạt triển khai cách đồng thời giảm chi phí cải thiện khả quản lý thiết bị từ xa Hà Nội, ngày 21 tháng 04 năm 2023 Xác nhận Cán hướng dẫn (Ký, ghi rõ họ tên) Sinh viên (Ký, ghi rõ họ tên) 26