KHÁI NIỆM CHUNG VỀ BẢO MẬT
Trình bày mô hình truyền thông tin trên mạng Internet theo các lớp và đi sâu tìm hiểu 3 giao thức cơ bản IP, UDP, TCP.
Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương pháp tấn công thường gặp.
Tìm hiểu các công nghệ bảo mật thường được sử dụng và các biện pháp kết hợp để bảo mật hệ thống.
Phần này trình bày bảo mật sử dụng công nghệ Bức tường lửa, với các nội dung chi tiết liên quan đến công nghệ này Nội dung đó nằm trong các chương sau:
Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng loại.
Chương 5: Ứng dụng Bức tường lửa trong các doanh nghiệp
Một số ứng dụng của bức tường lửa trong bảo mật thông tin cho các doanh nghiệp
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT
ĐỊNH NGHĨA FIREWALL
Firewall theo tiếng việt có nghĩa là Bức Tường lửa Dùng để ngặn chặn và bảo vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker Firewall là một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của công ty.
Hình 2.1 Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet
Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” của bất kì gói dữ liệu đi vào hoặc đi ra Nó chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ Vì vậy mà Firewall rất cần thiết cho việc đảm bảo an toàn trên hệ thống mạng
PHÂN LOẠI FIREWALL
Là các ứng dụng chạy trên các hệ điều hành như Microsoft Window hay Mac/OS , đối với window XP đã được tích hợp sẵn Firewall phần mềm thường không đắt tiền bằng phần cứng thậm chí còn được cho sử dụng miễn phí, so với Firewall phần cứng thì Firewall phần mềm linh động hơn nó có thể chạy tốt trên nhiều Hệ Điều Hành khác nhau Một trong những Firewall phần mềm phổ biến là Zonealarm, ISA, Checkpoint…
Là các thiết bị phần cứng chuyên dụng có chức năng và mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn do không chiếm dụng tài nguyên hệ thống như Firewall phần mềm Một trong những hãng chuyên cung cấp Firewall phần cứng làLinkksys và NetGar Các sản phẩm firewall cứng được sử dụng rộng rãi hiện nay là dòng ASA, PIX của Cisco System và Netscreen của Juniper
CHỨC NĂNG CỦA FIREWALL
Firewall thực hiện 3 chức năng điều khiển truy nhập (Access control), quản lý xác thực (Authentication) và ghi nhật ký truy nhập (activity logging)
1.4.1 Điều khiển truy nhập (Access Control)
Như ở trên đã giới thiệu có hai loại tường lửa với 2 cách điều khiển truy nhập khác nhau là quy chế bộ lọc gói (packet filter) và chính sách người đại diện ứng dụng (proxy server)
1.4.1.1 Vị trí xảy ra quá trình xử lý gói Để hiểu được firewall hoạt động như thế nào thì trước hết hãy quan tâm đến đường đi của các gói tin sẽ dẫn đến firewall đó Có 3 đường dẫn phổ biến mà một gói tin có thể đi qua tùy thuộc vào dạng tường lửa được cài đặt Một gói tin có thể vựợt qua một tường lửa ở mức tầng ứng dụng, ở mức nhân hệ điều hành hoặc là mức card giao tiếp mạng Hầu hết các tường lửa đều kiểm soát và cho phép các gói đi qua 3 mức này.
Hình 2.2 Các vị trí có thể kiểm soát gói tin trong tầng giao thức Để có được tốc độ xử lý cao hơn ở các router, bộ lọc gói được thiết lập trên phần mở rộng của thiết bị trên card giao tiếp mạng với một bộ xử lý đặc biệt tối ưu quá trình xử lý các gói Để lưu chứa ở đây với tốc độ cao bộ xử lý trên card giao tiếp mạng chỉ hỗ trợ những luật xử lý đơn giản như các phép so sánh nhị phân Những dịch vụ khác không được hỗ trợ ở đây.
Những router và những trạm luân chuyển gói khác thì quá trình lọc các gói tin thường diễn ra ở mức nhân hệ điều hành hơn là mức card giao tiếp mạng Thông thường quá trình lọc được thực thi trên các bộ xử lý chuyên dụng cho phép tường lửa có thể thực hiện quá trình lọc và kiểm định một cách chuẩn xác, tinh xảo hơn là trên các card giao tiếp mạng tích hợp tính lọc Hơn nữa quá trình xử lý các gói tại mức nhân hệ điều hành nhanh hơn ở mức tầng ứng dụng bởi vì quá trình lập lịch và tràn bộ nhớ được tránh Tuy nhiên quá trình xử lý nhân thường đòi hỏi tất cả các thông tin cần thiết cho việc lọc gói phải được chứa trong bộ nhớ thay vì trên đĩa Một gói phải được xử lý và được cho qua mà không cần phải đợi trên đĩa điều này sẽ làm hạn chế các dạng gói và số lượng các gói được xử lý ở mức này.
Quá trình xử lý ở mức tầng ứng dụng có thể cung cấp một chính sách an ninh tốt nhất Mức ứng dụng có thể truy cập đến tất cả các tài nguyên hệ thống bao gồm đĩa, card mạng, bộ nhớ, thư viện các chương trình và cả những tiến trình khác Tầng ứng dụng là tầng trên cùng trong cấu trúc phân tầng của giao thức mạng do đó nó không bị giới hạn bởi các tầng thấp hơn nó.
1.4.1.2 Hoạt động lọc gói (Packet Filtering)
Hoạt động lọc các gói có thể diễn ra ở một trong 3 mức xử lý gói như trên đã trình bày nhưng nó thường được hỗ trợ ở mức card giao tiếp mạng hoặc mức nhân hệ điều hành Một bộ lọc gói sẽ căn cứ vào phần địa chỉ IP chứa trong gói tin để quyết định xem gói đó có được cho phép vượt qua hay bị chặn lại Gói được cho qua sẽ được chuyển đến trạm đích hoặc router tiếp theo Gói bị chặn lại sẽ bị loại bỏ.
Bộ lọc sẽ kiểm tra 5 mảng thông tin trong khối IP ở phần đầu của gói tin các thông tin đó bao gồm :
Source IP address Địa chỉ IP của trạm nguồn gửi gói tin
Destination IP address Địa chỉ IP của trạm đích gói tin sẽ đi tới
Upper Level Protocol Đó là TCP hoặc UDP
TCP or UDP source port number Số hiệu cổng của trạm nguồn gửi gói ra
TCP or UDP destination port number
Số hiệu cổng của trạm đích sẽ nhận gói tin
Hình 2.3 Các thông tin được sử dụng trong luật lọc của gói tin IP
Khi có được các thông tin trên của các gói, bộ lọc sẽ so sánh chúng với một tập hợp các luật để đưa ra quyết định Một luật lọc là sự kết hợp một giá trị hoặc miền giá trị của mỗi trường thông tin trên và quyết định sẽ được đưa ra nếu tất cả các thông tin của gói được so khớp với các thông tin của các luật Một bộ lọc gói sẽ thực hiện việc kiểm tra sự hợp lệ của các gói rất đơn giản và rất nhanh chỉ bằng các phép so sánh nhị phân Quyết định (cho phép hoặc cấm) sẽ được đưa ra ngay sau khi bộ lọc tìm thấy một luật nào đó hoàn toàn so khớp với thông tin mà nó có được về gói tin, do đó trật tự sắp xếp các luật cũng rất quan trọng nó góp phần làm cho quá trình lọc được nhanh hơn.
Có một điều đáng quan tâm ở đây đó là danh sách luật là hữu hạn và ta không thể lường hết được các tình huống để đưa ra tất cả các luật được vì vậy phải có một luật mặc định ở đây để nếu như khi xem xét hết tất cả các luật trong danh sách luật rồi mà bộ lọc vẫn không thể đưa ra được quyết định thì luật mặc định này sẽ giúp bộ lọc đưa ra quyết định Có 2 ý tưởng chủ đạo trong việc tạo ra luật mặc định này đó là hoặc là từ chối tất cả hoặc chấp nhận tất cả, có nghĩa là tất cả các gói có thông tin không thoả mãn tập luật thì bị từ chối cho qua hoặc chấp nhận cho qua hết.
1.4.1.4 Hoạt động của tường lửa người đại diện ứng dụng ( Proxy Application )
Hình 2.4 Hoạt dộng của người đại diện ứng dụng
Người sử dụng trước hết phải thiết lập một kết nối đến người đại diện ứng dụng trên tường lửa (1) Đại diện ứng dụng này sẽ tập hợp các thông tin liên quan đến mối liên kết và yêu cầu của người sử dụng ( 2) Tường lửa sẽ sử dụng thông tin này để quyết định liệu yêu cầu có được cho phép thực thi hay không Nếu yêu cầu từ phía người dùng là thoả đáng thì người đại diện trên tường lửa sẽ tạo một kết nối khác từ tường lửa đến đích dự kiến (3) Sau đó người đại diện sẽ đóng vai trò như một con thoi để truyền tải dữ liệu giữa 2 mối kết nối (4 )
Có 2 điểm cần lưu ý ở đây là:
– Thứ nhất, kết nối đầu tiên phải được thiết lập đến người đại diện trên tường lửa thay vì nối trực tiếp đến trạm mong muôn kết nối.
– Thứ hai, người đại diên trên tường lửa phải có được địa chỉ IP của trạm đích. Trước khi người sử dụng hoặc một ứng dụng nào đó muốn kết nối đến người đại diên ứng dụng thì phải thiết lập kết nối đến tường lửa, kết nối này phải sử dụngphương pháp chuẩn để cung cấp tên hoặc địa chỉ IP của trạm trạm đích mong muốn Đây không phải là một công việc dễ dàng vì giao thức tầng ứng dụng luôn cố định và thường không hỗ trợ sự vượt qua của những thông tin được thêm vào Để khắc phục đặc điểm này có rất nhiều giải pháp bắt buộc người sử dụng và các ứng dụng phải tuân theo.
• Kết nối trực tiếp. Đây là giải pháp đầu tiên cho phép người sử dụng thiết lập kết nối trực tiếp đến tường lửa thông qua địa chỉ và số hiệu cổng người đại diện sau đó người đại diện sẽ hỏi người sử dụng để biết được địa chỉ của trạm mong muốn kết nối Đây là một phương pháp thô được sử dụng bởi nhưng tường lửa sơ khai vì thế không được ưa dùng.
• Sử dụng chương trình hỗ trợ máy khách.
Giải pháp tiếp theo sử dụng trong việc cài đặt người đại diện là phải có một chương trinh hỗ trợ đặt trên máy của người sử dụng Người sử dụng sẽ chạy ứng dụng đặc biệt để tạo kết nối đến tường lửa Người sử dụng chỉ việc cung cấp địa chỉ hoặc tên của trạm đích cho ứng dụng bổ trợ Địa chỉ tường lửa sẽ được ứng dụng bổ trợ này lấy ra từ file cấu hình cục bộ sau đó nó sẽ thiết lập kết nối đến người đại diện trên tường lửa Giải pháp này tỏ ra hữu hiệu và trong suốt đối với người sử dụng tuy nhiên hạn chế của nó là mỗi chương trình hỗ trợ máy khách chỉ thực hiện tương ứng với một dịch vụ nào đó của mạng mà thôi.
• Sử dụng người đại diện tàng hình.
Một phương pháp nữa được sử dụng hiện nay cho việc kết nối đến đại diện ứng dụng trên tường lửa là sử dụng đại diện tàng hình (ẩn) Với giải pháp này thì người sử dụng không cần đến chương trình hỗ trợ máy khách hoặc kết nối trực tiếp đến tường lửa. Ở đây người ta sử dụng phương pháp dò đường căn bản, mọi kết nối đến các mạng bên ngoài đều phải định hướng thông qua tường lửa Các gói khi vào trong tường lửa tự động sẽ đổi hướng đến một đại diện ứng dụng mong muốn Ứng dụng đại diện có được địa chỉ trạm đích một cách chính xác bằng cách lấy địa chỉ trạm đích của phiên Trong trường hợp này tường lửa giả mạo thành một trạm đích và chặn các phiên lại Khi một kết nối được thiết lập đến đại diện trên tường lửa thì trình ứng dụng máy khách sẽ nghĩ rằng nó đang kết nối đến một trạm đích thật sự Nếu được phân quyền thì đại diện ứng dụng trên tường lửa sẽ dùng một hàm đại diện để tạo ra liên kết thứ hai đến trạm đích thật.
1.4.2 Quản lý xác thực (User Authentication). Đây là chức năng ngăn cản việc truy cập trái phép vào hệ thống mạng nội bộ. Các hệ điều hành quản lý mạng chỉ kiểm soát một cách không chặt chẽ tên người sử dụng và password được đăng ký, và đôi lúc chính người sử dụng được ủy nhiệm lại vô ý để lộ password của mình Hậu quả của việc này có khi là rất nghiêm trọng Nó trở nên càng quan trọng hơn đối với những hệ thống mạng lớn có nhiều người sử dụng Có hai giao thức chuẩn thông dụng nhất hiện nay để kết hợp làm việc với LAN.
– RADIUS (Remote Authen-tication Dial-In User Service)
– TACAS+ (Terminal Access Controller Access Control System Extended)
Thông thường chức năng authentication được thực hiện với sự phối hợp của một thiết bị phần cứng hoặc phần mềm được tích hợp sẵn bên trong các phần mềm (giải mã theo thuật toán và tiêu chuẩn khóa mã định trước) Khi một thao tác truy cập vào mạng được thực hiện (kiểm tra đúng User Name và Password), hệ quản lý xác thực sẽ gửi đến máy tính của người dùng đang xin truy cập vào mạng một chuỗi các ký tự gọi làChallenge (câu thách đố), người dùng này sẽ nhập vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal Identification Number - số nhận dạng cá nhân) Nhờ PIN mà người dùng có thể truy cập vào hệ thống mạng Điều đặc biệt là Challenge và PIN thay đổi từng phút một, các Token có thể được định và thay đổi Cryptor Key (khóa mã) tùy người sử dụng nên việc bảo mật gần như là tuyệt đối.
1.4.3 Kiểm tra và Cảnh báo (Activity Logging and Alarms).
FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) 66 2.2 FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER)
Loại firewall này thực hiện việc kiểm các thông số điều khiển trong trường header của các gói tin IP để cho phép chúng có thể lưu thông qua lại hay không Các thông số có thể lọc được của một gói tin như sau:
– Địa chỉ IP nguồn (source IP address)
– Địa chỉ IP đích (destination IP address)
– Cổng TCP nguồn (TCP source port)
– Cổng TCP đích (TCP destination port)
Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào những máy chủ hoặc mạng nào đó đã được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ từ những địa chỉ nguồn không cho phép Hơn nữa việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP, ) được phép mới chạy được trên hệ thống mạng nội bộ.
Hình 2.5 Tưởng lửa lọc gói tin
2.2 FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER)
Firewall dịch vụ ủy thác là một thiết bị bình phong bảo mật dùng để phân tích các gói dữ liệu được chuyển vào Khi các gói dữ liệu từ bên ngoài đến proxy server, chúng được kiểm tra và đánh giá để xác định xem chính sách bảo mật có cho phép chúng vào mạng hay không Proxy server không chỉ định giá trị các địa chỉ IP mà còn xem xét dữ liệu trong các gói để tìm lỗi và sửa sai
Hình 2.6 Tường lửa dịch vụ ủy thác
Có 2 loại proxy server cơ bản đó là: cổng mức mạng và cổng mức ứng dụng như mô tả dưới đây.
2.2.1 Gateway mức mạng (Network Level Gateway)
Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống nội và ngoại Có một mạch ảo giữa người dùng nội và proxy server Các yêu cầu Internet đi qua mạch này đến proxy server, và proxy server chuyển giao yêu cầu này đến Internet sau khi thay đổi địa chỉ IP Người dùng ngoại chỉ thấy địa chỉ IP của proxy server Các phản hồi được proxy server nhận và gởi đến người dùng thông qua mạch ảo Mặc dù luồng lưu thông được phép đi qua, các hệ thống ngoại không bao giờ thấy được hệ thống nội Loại kết nối này thường được dùng để kết nối người dùng nội “được ủy thác” với Internet.
2.2.2 Gateway mức ứng dụng (Application level Gateway)
Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy server và còn phân tích các gói dữ liệu Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó.
Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lý các gói Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server Bạn cũng có thể bỏ các tên máy tính để che dấu hệ thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu vì mục đích hợp lý và an toàn Tính “hợp lý” là một tùy chọn thú vị Bạn có thể thiết lập bộ lọc để loại bỏ mọi bản tin điện tử chứa các nội dung không được phép.
Hình 2.7 Giao tiếp trên mạng thông qua proxy server
Một proxy server điển hình có thể cung cấp các dịch vụ ủy quyền cho các ứng dụng và giao thức như Telnet, FTP ( File Transfer Protool), HTTP ( Hypertext Transfer Protocol), và SMTP ( Simple Mail Transfer Protocol) Proxy server này không cho phép bất kỳ một gói tin nào đi thẳng trực tiếp giữa hai mạng, mà loại Firewall này được thiết kế để tăng cường khả năng kiểm soát thông qua dịch vụ người đại diện (Proxy Service) Khi một trạm bên ngoài muốn kết nối với các trạm bên trong tường lửa thông qua một dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Server Nếu dịch vụ và các trạm bên ngoài không thuộc diện cấm thông qua đối với Proxy thì Proxy
Server sẽ đi tìm trạm đích bên trong tường lửa để tạo kết nối với trạm bên ngoài và ngược lại các trạm bên trong muốn kết nối ra ngoài cũng vậy Với cách thức này thì sẽ đánh bại được một số loại tấn công cơ bản như gây tràn bộ đệm của tường lửa
Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây là loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail, FPT… Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản trị tường lửa phải xây dựng chính sách đại diện thích hợp với dịch vụ đó Có hai nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó là hoăc từ chối tất cả những thứ không được đại diện, hoặc là chấp nhận tất cả những dịch vụ không có dịch vụ đại diện trên tường lửa Nhưng cả hai cách này dều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thống mạng bên trong tường lửa.
KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering)
Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thông tin trong một lượng lớn các gói dữ liệu Ngoài ra, phải cài đặt từng proxy cho mỗi ứng dụng Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết.
Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích Cách “nhớ” này được gọi là lưu trạng thái Khi hệ thống bên ngoài phản hồi yêu cầu của bạn, firewall server so sánh các gói nhận được với trạng thái đã lưu để xác định chúng được phép vào hay không.
Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đi vào hay đi ra khỏi mạng thì thông tin được đưa vào 1 bảng gọi là bảng “stateful session flow table”.
Bảng này còn được gọi là bảng trạng thái , nó bao gồm những thông tin về địa chỉ nguồn, địa chỉ đích, địa chỉ cổng, thông tin về số hiệu gói tin TCP và cờ dấu thêm vào mỗi kết nối TCP hay UDP, các kết nối này đều liên kết với 1 phiên nào đó Thông tin này tạo ra các đối tượng kết nối và do đó các gói tin đi vào hoặc đi ra được so sánh với các phiên trong “bảng phiên có trạng thái” Dữ liệu chỉ được phép đi qua firewall nếu đã tồn tại một kết nối tương ứng xác nhận sự luân chuyển đó.
Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng loại.
Chương 5: Ứng dụng Bức tường lửa trong các doanh nghiệp
Một số ứng dụng của bức tường lửa trong bảo mật thông tin cho các doanh nghiệp
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT
MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP
Truyền thông tin trên mạng là một quá trình phức tạp đòi nhiều công nghệ hỗ trợ và phải trải qua nhiều giai đoạn khác nhau Công nghệ càng hiện đại cho phép thông tin được truyền đi càng nhanh chóng với độ tin cậy cao Tuy nhiên để có thể khai thác và quản lý mạng trên một phạm vi rộng lớn thì cần phải có sự tương thích và đồng bộ về công nghệ trong quá trình truyền tin Xuất phát từ các nhu cầu đó mô hình OSI và bộ giao thức TCP/IP ra đời để làm quy chuẩn cho việc xây dựng các hệ thống mạng hiện nay.
Trong chương này tôi giới thiệu mô hình OSI và bộ giao thức TCP/IP để đưa ra cái nhìn tổng quan về quá trình truyền tin trên các mạng truyền thông nói chung và mạng Internet nói riêng Và đó cũng là nền tảng để phân tích, xây dựng và triển khai các kế hoạch bảo mật phục vụ cho mục tiêu an ninh mạng.
Bộ giao thức điều khiển truyền dẫn / giao thức Internet (TCP/IP) là một trong những giao thức mạng được sử dụng rộng rãi nhất ngày nay Ra đời và phát triển từ những năm 1970 bởi APRA (Advance Research Projects Agency), TCP/IP cho phép các hệ thống không đồng nhất có thể giao tiếp được với nhau Ngày nay TCP/IP được áp dụng rộng rãi trong cả mạng cục bộ cũng như các mạng diện rộng và trên toàn Internet.
Trước khi xem xét giao thức TCP/IP chúng ta tìm hiểu 1 cách khái quát nhất mô hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open SystemInterconnection) OSI.
Như đã nói ở trên việc tồn tại nhiều kiến trúc mạng khác nhau và không tương thích với nhau gây ra trở ngại cho việc trao đổi thông tin giữa các mạng này Để tạo khả năng hội tụ cho các sản phẩm mạng, tổ chức tiêu chuẩn hóa quốc tế đã xây dựng một mô hình tiêu chuẩn cho các mạng gọi là mô hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System Interconnection) hay gọn hơn mô hình tham chiếu OSI (OSI Reference Model).
Mô hình OSI gồm 7 tầng thực hiện các chức năng sau:
Tầng vật lý (Physical Layer): Là tầng thấp nhất, thực hiện việc bốc xếp các chuỗi bit theo chỉ thị của tầng kết nối dữ liệu.
Tầng kết nối dữ liệu (Datalink Layer): Cung cấp phương tiện để truyền thông tin qua giao diện vật lý Có 2 chức năng cơ bản là điều khiển các liên kết logic và điều khiển truy nhập đường truyền.
Tầng mạng (Network Layer): Thực hiện chức năng đình tuyến để tìm đường đi tối ưu trên mạng ngoài ra còn chức năng chuyển mạch.
Tầng vận chuyển (Transport Layer): Vận chuyển dữ liệu giữa bên gửi và bên nhận, có cơ chế điều khiển luồng, phát hiện và sửa sai đảm bảo độ tin cậy.
Tầng phiên (Session Layer): Thiết lập duy trì đồng bộ hóa các phiên truyền thông. Tầng trình diễn (Presentation Layer): Chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng dụng qua môi trường truyền OSI.
Tầng ứng dụng (Application Layer): Đóng vai trò là giao diện giữa môi trường
OSI và người sử dụng, thu thập các yêu cầu của người sử dụng, xử lí và trao cho tầng dưới đồng thời nhận kết quả xử lí của tầng dưới trao cho người dùng.
Hình 1.1 Mô hình tham chiếu OSI
Thông thường các giao thức được phát triển trong các tầng mà mỗi tầng lại có chức năng riêng trong việc xử lý thông tin Bộ giao thức TCP/IP là tổ hợp của nhiều giao thức ở các tầng khác nhau nhưng thông thường mô hình phân lớp trong các hệ thống TCP/IP được xem là mô hình giản lược của mô hình OSI gồm 4 lớp như sau:
Hình 1.2 Kiến trúc TCP/IP
1.Tầng liên kết (Network Interface Layer) (được gọi là tầng liên kết dữ liệu hay còn gọi là tầng giao tiếp mạng): là tầng dưới cùng của mô hình TCP/IP bao gồm thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để nó có thể hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó.
2 Tầng Internet (Internet Layer): thực hiện việc chọn đường và chuyển tiếp các dữ liệu trên mạng Trong bộ giao thức TCP/IP tầng mạng có một số giao thức hỗ trợ cho việc vận chuyển các gói dữ liệu như IP (Internet Protocol), ICMP (Internet Control Message Protocol) và IGMP ( Internet Group Management Protocol).
3 Tầng giao vận (Transport Layer): bao gồm các dịch vụ phân phát dòng dữ liệu giữa 2 đầu cuối, phục vụ tầng ứng dụng ở bên trên Trong bộ giao thức TCP/IP tầng giao vận có 2 giao thức là TCP (Transmission Control Protocol) và UDP (User Datagram Protocol)
- TCP là giao thức cung cấp dịch vụ vận chuyển dữ liệu theo kiểu hướng liên kết (Connection Oriented) và tin cậy với việc phân chia dữ liệu thành các segment, thiết lập các kết nối logic, phúc đáp, thiết lập thời lượng kiểm tra lỗi …
- UDP cung cấp các dịch vụ vận chuyển dữ liệu (mỗi đơn vị dữ liệu gọi là một datagram) không hướng liên kết và thiếu tin cậy
Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được thêm bởi tầng ứng dụng
4 Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP bao gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng Có rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà phổ biến là:
Telnet sử dụng trong việc truy cập mạng từ xa.
FTP (File Transfer Protocol) dịch vụ truyền tệp
SMTP (Simple Mail Transfer Protocol ) dịch vụ thư tín điện tử