Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 114 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
114
Dung lượng
2,35 MB
Nội dung
ỦY BAN NHÂN DÂN THÀNH PHỐ HÀ NỘI TRƢỜNG CAO ĐẲNG NGHỀ VIỆT NAM - HÀN QUỐC THÀNH PHỐ HÀ NỘI ĐẶNG MINH NGỌC (Chủ biên) LÊ TRỌNG HƢNG – NGUYỄN TUẤN HẢI GIÁO TRÌNH MẠNG MÁY TÍNH Nghề: Kỹ thuật sửa chữa, lắp ráp máy tính Trình độ: Trung cấp (Lưu hành nội bộ) Hà Nội - Năm 2021 LỜI NĨI ĐẦU u cầu có tài liệu tham khảo cho sinh viên khoa Công nghệ Thông tin ngày trở nên cấp thiết Việc biên soạn tài liệu nằm kế hoạch xây dựng hệ thống giáo trình mơn học Mục tiêu giáo trình nhằm cung cấp cho sinh viên tài liệu tham khảo mơn học Mạng máy tính, giới thiệu khái niệm hệ thống mạng máy tính, đồng thời trang bị kiến thức số kỹ chủ yếu cho việc bảo trì quản trị hệ thống mạng Đây coi kiến thức ban đầu tảng cho kỹ thuật viên, quản trị viên hệ thống mạng Tài liệu chia làm phần: Phần 1, bao gồm khái niệm hệ thống mạng, nội dung mơ hình tham chiếu hệ thống mở - OSI, kiến thức đường truyền vật lý, khái niệm nội dung số giao thức mạng thường dùng cuối giới thiệu hình trạng mạng cục Phần 2, trình bày hệ điều hành mạng thông thường dùng thực tế: hệ điều hành mạng Windows 2000 Server Ngồi phần giới thiệu chung, tài liệu cịn hướng dẫn cách thức cài đặt số kiến thức liên quan đến việc quản trị tài khoản người dùng Mặc dù có cố gắng để hồn thành giáo trình theo kế hoạch, hạn chế thời gian kinh nghiệm soạn thảo giáo trình, nên tài liệu chắn khiếm khuyết Rất mong nhận đóng góp ý kiến hội đồng thẩm định thầy cô Khoa bạn sinh viên sử dụng tài liệu Địa đóng góp khoa CNTT, Trường Cao Đẳng Nghề Việt Nam – Hàn Quốc, Đường Uy Nỗ – Đông Anh – Hà Nội Xin chân thành cảm ơn! Hà Nội, ngày … tháng … năm 2021 Chủ biên: Đặng Minh Ngọc MỤC LỤC LỜI NÓI ĐẦU MỤC LỤC Chƣơng Giới thiệu chung mạng 1.1 Mạng thông tin ứng dụng 1.2 Mơ hình điện tốn mạng 1.3 Các mạng cục bộ, đô thị diện rộng 1.4 Các dịch vụ mạng 10 Chƣơng Mơ hình OSI 13 2.1 Các quy tắc tiến trình truyền thơng 13 2.2 Mô hình tham khảo OSI (Open Systems Interconnect) 16 2.3 Khái niệm tầng vật lý OSI 17 2.4 Các khái niệm tầng kết nối liệu OSI 18 2.5 Khái niệm tầng mạng OSI 20 2.6 Lớp giao vận 22 2.7 Khái niệm tầng phiên làm việc OSI 27 2.8 Khái niệm tầng trình bày OSI 28 2.9 Khái niệm tầng ứng dụng OSI 29 Chƣơng Kỹ thuật mạng cục 32 3.1 Cơ truyền thông 32 3.2 Môi trường truyền 32 3.3 Thiết bị mạng 39 Chƣơng Tôpô mạng 49 4.1 Các kiểu giao kết 49 4.2 Tôpô vật lý 49 4.3 Truyền liệu 52 Chƣơng Các giao thức 57 5.1 Các mơ hình giao thức 57 5.2 Internet Protocols 62 5.3 Apple Talk 67 5.4 Kiến trúc mạng số hóa 67 Chƣơng Bộ giao thức TCP/IP 75 6.1 Giới thiệu TCP/IP 75 6.2 Mơ hình TCP/IP 75 6.3 Địa IP 78 6.4 SubNet Mask 81 6.5 Phân chia mạng 82 Chƣơng Công nghệ WLAN ADSL 86 7.1 Công nghệ WLAN 86 7.2 Công nghệ ADSL 88 7.3 Cấu hình Router ADSL WLAN 90 7.4 Kết hợp ADSL WLAN 99 Chƣơng Các phƣơng pháp khắc phục cố 102 8.1 Các cố mạng 102 8.2 Tiến trình khắc phục cố 109 TÀI LIỆU THAM KHẢO 113 CHƢƠNG TRÌNH MƠN HỌC Tên mơn học: Mạng máy tính Mã số mơn học: MH 18 Thời gian môn học: 75 (Lý thuyết: 25 giờ; Thực hành, thí nghiệm, thảo luận, tập: 45 giờ; Kiểm tra: giờ) I VỊ TRÍ, TÍNH CHẤT MƠN HỌC: - Vị trí: + Mơn học bố trí sau sinh viên học xong môn học chung, môn học sở chuyên ngành đào tạo chuyên mơn nghề - Tính chất + Là mơn học sở chuyên ngành bắt buộc II MỤC TIÊU MÔN HỌC: - Về kiến thức: + Trình bày thành phần mơ hình OSI; + Trình bày topo mạng LAN; + Liệt kê thành phần mạng LAN; + Trình bày nguyên tắc hoạt động hệ thống mạng LAN - Về kỹ năng: + Nhận dạng xác thành phần mạng; + Thiết lập hệ thống mạng LAN cho công ty; + Xử lý cố liên quan đến hệ thống mạng LAN - Về lực tự chủ trách nhiệm: + Bình tĩnh, xác thao tác kết nối hệ thống mạng máy tính; + Nhanh nhạy vệc nhận biết lỗi hệ thống mạng III NỘI DUNG MÔN HỌC: Nội dung tổng quát phân phối thời gian: Thời gian TT Tên chƣơng mục Thực hành, Tổng Lý số thuyết Giới thiệu chung mạng tập Kiểm tra 3 Mạng thơng tin ứng dụng mơ hình điện tốn mạng Mơ hình điện tốn mạng 1 Các dịch vụ mạng 1 Mơ hình OSI 2 Các qui tắc tiến trình truyền thơng Mơ hình tham khảo OSI Kỹ thuật mạng cục 11 Cơ truyền thông 1 Môi trường truyền 1 Thiết bị mạng Kỹ thuật mạng Ethernet 1 Tôpô mạng Các kiểu giao kết Các Tôpô vật lý 1 Các phương pháp truy cập đường truyền liệu Các giao thức 12 Các mơ hình giao thức Netware IPX/SPX 1 Internet Protocols Apple Talk 1 Kiến trúc mạng số hóa Bộ giao thức TCP/IP 13 Giới thiệu TCP/IP 1 Mơ hình TCP/IP 1 Địa IP Subnet Mask Phân chia mạng Công nghệ WLAN ADSL 11 Công nghệ WLAN 1 Công nghệ ADSL 1 Cấu hình Router ADSL WLAN Kết hợp ADSL WLAN Các phƣơng pháp khắc phục cố Các cố mạng Tiến trình khắc phục cố Cộng 75 25 45 1 *Ghi chú: Thời gian kiểm tra lý thuyết tính vào lý thuyết, kiểm tra thực hành tính thực hành Chƣơng Giới thiệu chung mạng 1.1 Mạng thông tin ứng dụng 1.1.1 Sơ lƣợc lịch sử phát triển: Vào năm 50, hệ thống máy tính đời sử dụng bóng đèn điện tử nên kích thước cồng kềnh tiêu tốn nhiều lượng Việc nhập liệu vào máy tính thực thơng qua bìa đục lỗ kết đưa máy in, điều làm nhiều thời gian bất tiện cho người sử dụng Đến năm 60, với phát triển ứng dụng máy tính nhu cầu trao đổi thơng tin với nhau, số nhà sản xuất máy tính nghiên cứa chế tạo thành công thiết bị truy cập từ xa tới máy tính họ, dạng sơ khai hệ thống mạng máy tính Đến đầu năm 70, hệ thống thiết bị đầu cuối 3270 IBM đời cho phép mở rộng khả tính tốn trung tâm máy tính đến vùng xa Đến hững năm 70, IBM giới thiệu loạt thiết bị đầu cuối thiết kế chế tạo cho lĩnh vực ngân hàng, thương mại Thông qua dây cáp mạng thiết bị đầu cuối truy cập lúc đến máy tính dùng chung Đến năm 1977, công ty Datapoint Corporation tung thị trường hệ điều hành mạng “Attache Resource Computer Network” (Arcnet) cho phép liên kết máy tính thiết bị đầu cuối lại dây cáp mạng, hệ điều hành mạng 1.1.2 Khái niệm chung Nói cách bản, mạng máy tính hai hay nhiều máy tính kết nối với theo cách cho chúng trao đổi thơng tin qua lại với Hình 1- 1M: hình mạng Mạng máy tính đời xuất phát từ nhu cầu muốn chia sẻ dùng chung liệu Không có hệ thống mạng liệu máy tính độc lập muốn chia sẻ với phải thơng qua việc in ấn hay chép qua đĩa mềm, CD ROM, … điều gây nhiều bất tiện cho người dùng Các máy tính kết nối thành mạng cho phép khả năng: • Sử dụng chung cơng cụ tiện ích • Chia sẻ kho liệu dùng chung • Tăng độ tin cậy hệ thống • Trao đổi thơng điệp, hình ảnh, • Dùng chung thiết bị ngoại vi (máy in, máy vẽ, Fax, modem …) • Giảm thiểu chi phí thời gian lại 1.1.3 Ứng dụng Ngày nhu cầu xử lý thông tin ngày cao Mạng máy tính ngày trở nên quen thuộc người thuộc tầng lớp khác nhau, lĩnh vực như: khoa học, quân quốc phòng, thương mại, dịch vụ, giáo dục Hiện nhiều nơi mạng trở thành nhu cầu thiếu Người ta thấy việc kết nối máy tính thành mạng cho khả to lớn như: 1.1.4 Mạng cục Một mạng cục kết nối nhóm máy tính thiết bị kết nối mạng lắp đặt phạm vị địa lý giới hạn, thường tồ nhà khu cơng sở Mạng có tốc độ cao a Mạng diện rộng với kết nối LAN to LAN Mạng diện rộng kết nối mạng LAN, mạng diện rộng trải phạm vi vùng, quốc gia lục địa chí phạm vi tồn cầu Mạng có tốc độ truyền liệu không cao, phạm vi địa lý không giới hạn b Liên mạng INTERNET Với phát triển nhanh chóng công nghệ đời liên mạng INTERNET Mạng Internet sở hữu nhân loại, kết hợp nhiều mạng liệu khác chạy tảng giao thức TCP/IP c Mạng INTRANET Thực mạng INTERNET thu nhỏ vào quan/công ty/tổ chức hay bộ/nghành , giới hạn phạm vi người sử dụng, có sử dụng cơng nghệ kiểm sốt truy cập bảo mật thông tin Được phát triển từ mạng LAN, WAN dùng cơng nghệ INTERNET 1.2 Mơ hình điện toán mạng Một kiến trúc điện toán kiểu mới, kết hợp hiệu số lượng lớn hệ thống máy chủ hệ thống lưu trữ vào tài nguyên điện toán linh hoạt dựa theo nhu cầu người sử dụng triển khai cho tất nhu cầu điện toán doanh nghiệp 1.3 Các mạng cục bộ, đô thị diện rộng 1.3.1 Mạng cục Một mạng cục kết nối nhóm máy tính thiết bị kết nối mạng lắp đặt phạm vị địa lý giới hạn, thường nhà khu cơng sở Mạng có tốc độ cao Tên gọi “mạng cục bộ” xem xét từ quy mơ mạng Tuy nhiên, khơng phải đặc tính mạng cục thực tế, quy mơ mạng định nhiều đặc tính công nghệ mạng Sau số đặc điểm mạng cục bộ: - Đặc điểm mạng cục + Mạng cục có quy mơ nhỏ, thường bán kính vài km + Mạng cục thường sở hữu tổ chức Thực tế điều quan trọng để việc quản lý mạng có hiệu + Mạng cục có tốc độ cao lỗi Trên mạng rộng tốc độ nói chung đạt vài trăm Kbit/s đến Mb/s Cịn tốc độ thơng thường mạng cục 10, 100 Mbit/s tới với Gigabit Ethernet 1.3.2 Mạng đô thị MAN (Metropolitan Area Networks) Mạng đô thị MAN hoạt động theo kiểu quảng bá, LAN to LAN Mạng cung cấp dịch vụ thoại phi thoại truyền hình cáp Trong mạng MAN, sử dụng hai đường truyền vật lý không chứa thực thể chuyển mạch Dựa tiêu chuẩn DQDB (Distributed Queue Dual Bus - IEEE 802.6) quy định cáp đơn kết nối tất máy tính lại với nhau, máy bên trái liên lạc với máy bên phải thông tin vận chuyển đường BUS Các máy bên trái liên lạc với máy bên phải, thông tin theo đường BUS Hướng truyền liệu bus A Bus A Head- End Bus B Hướng truyền liệu bus B 1.3.3 Mạng diện rộng Mạng diện rộng kết nối mạng LAN, mạng diện rộng trải phạm vi vùng, quốc gia lục địa chí phạm vi tồn cầu Mạng có tốc độ truyền liệu không cao, phạm vi địa lý không giới hạn Tai lieu Luan van Luan an Do an 7.4 Kết hợp ADSL WLAN Các bước cấu hình phát wifi TP Link WR841N Để tiến hành cài đặt thông số cho Wireless Router TP Link WR841N không khó chút hết Các bạn cần áp dụng theo bước hướng dẫn sau: Bước 1: Kết nối Router TP Link WR841N với máy tính thông qua cổng LAN Sử dụng đoạn dây mạng LAN bấm sẵn hai đầu để kết nối cổng Lan với phát wifi, máy tính Thực khởi động lại máy tính sau khởi động Router Bước 2: Đăng nhập vào Router TP Link WR841N Bạn gõ vào trình duyệt web dòng địa IP mặc định sau 192.168.0.1 tplinklogin.net Bạn sử dụng đến trình duyệt IE/Firefox hay Chrome hết Nhập vào báo thông báo username & password admin để tiến hành login vào router Bước 3: Thiết lập lại bảng thông số cho Router TP Link WR841N Chọn vào mục Basic Setting - > Network - > Lan Đổi địa IP từ 192.168.1.1 192.168.01 sau nhấn save để tiếp tục Bạn nên nhớ cài IP không phép trùng với IP thiết bị modem Router khác đường mạng Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 99 Tai lieu Luan van Luan an Do an Lúc Router TP Link WR841N tự động reset lại từ đầu Nếu muốn truy cập vào lại Router bạn vào web gõ 192.168.0.1 Sau bạn nhập username & password admin để tiếp tục Bước 4: Thiết lập thông số Wireless Router cho phát wifi TP Link WR841N Chọn vào mục Wireless - > Wireless Settings SSID: Lựa chọn tên mạng wifi nhà bạn Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 100 Tai lieu Luan van Luan an Do an Security Type sau chọn WPA- PSK/WPA2- PSK Khuyến nghị nên WPA2- PSK Phần PSK PassPhrase bạn nhập password mà bạn mong muốn nhập cho wifi nhà Nhấn Save để hồn tất trình cài đặt Wireless Router TP Link WR841N Vào lại System Tools - > Reboot sau thiết bị khởi động lại bạn kết nối vào mạng wifi tận hưởng Lưu ý sử dụng phát wifi TP Link WR841N thời gian dài Các bạn ý sau thời gian dài sử dụng phát wifi TP Link WR841N chắn kiểu xảy lỗi hết Có thể trường hợp mạng chậm, mạng lag gặp phải lỗi kết nối kiểu… Lúc bạn thử rút điện từ phát wifi ra, sau cắm lại vào Trong trường hợp xảy lỗi bạn thực cách giải cao cấp Reset lại phát wifi TP Link WR841N Cái tương tự với việc máy tính windows gặp phải lỗi lầm y tiến hành reset lại máy cài lại win sau chạy ngon lành Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 101 Tai lieu Luan van Luan an Do an Chƣơng Các phƣơng pháp khắc phục cố 8.1 Các cố mạng 8.1.1 Giới thiệu Trước tìm hiểu vấn đề liên quan đến phương thức phá hoại biện pháp bảo vệ thiết lập sách bảo mật, phần sau trình bày số khái niệm liên quan đến bảo mật thông tin mạng Internet 8.1.2 Các lỗ hổng phƣơng thức công mạng chủ yếu a Các lỗ hổng bảo mật: Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp, ng−ời quản trị yếu không hiểu sâu sắc dịch vụ cung cấp Mức độ ảnh hưởng lỗ hổng khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng nghiêm trọng tới toàn hệ thống Top 10 cố bảo mật phổ biến năm 2020 Truy cập trái phép vào hệ thống liệu Để ngăn tác nhân đe dọa truy cập vào hệ thống liệu tài khoản người dùng ủy quyền Hãy triển khai xác thực hai yếu tố Điều đòi hỏi người dùng phải cung cấp phần thứ hai thông tin nhận dạng bên cạnh mật Ngồi ra, mã hóa liệu nhạy cảm cơng ty nghỉ ngơi Hoặc di chuyển qua mạng phần mềm công nghệ phần cứng phù hợp Bằng cách đó, kẻ cơng khơng thể truy cập liệu bí mật Tấn công leo thang đặc quyền Kẻ công cố gắng giành quyền truy cập trái phép vào mạng tổ chức Sau cố gắng để có đặc quyền cấp cao cách sử dụng gọi khai thác leo thang đặc quyền Các công leo thang đặc quyền thành công mang lại đặc quyền cho tác nhân đe dọa mà người dùng bình thường khơng có Thơng thường, leo thang đặc quyền xảy tác nhân đe dọa lợi dụng lỗi, giám sát cấu hình lỗi lập trình lỗ hổng ứng dụng hệ thống để có quyền truy cập cao vào liệu bảo vệ Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 102 Tai lieu Luan van Luan an Do an Điều thường xảy sau tin tặc xâm phạm mạng cách truy cập vào tài khoản người dùng cấp thấp Và tìm kiếm đặc quyền cấp cao – tức truy cập đầy đủ vào hệ thống CNTT doanh nghiệp – để nghiên cứu thêm hệ thống thực công Để giảm nguy leo thang đặc quyền, tổ chức nên tìm kiếm Và khắc phục điểm yếu bảo mật môi trường CNTT họ cách thường xuyên Họ nên tuân theo nguyên tắc đặc quyền tối thiểu Nghĩa giới hạn quyền truy cập cho người dùng mức tối thiểu mà họ cần để thực cơng việc Và thực giám sát bảo mật Các tổ chức nên đánh giá rủi ro liệu nhạy cảm họ thực bước cần thiết để bảo mật liệu Mối đe dọa nội Đây mối đe dọa độc hại vơ tình bảo mật liệu tổ chức thường quy cho nhân viên, nhân viên cũ bên thứ ba, bao gồm nhà thầu, công nhân tạm thời khách hàng Để phát ngăn chặn mối đe dọa nội Hãy triển khai chương trình quét phần mềm gián điệp, chương trình chống vi- rút, tường lửa Và thói quen lưu trữ lưu liệu nghiêm ngặt Ngoài ra, đào tạo nhân viên nhà thầu nhận thức bảo mật trước cho phép họ truy cập mạng công ty Thực phần mềm giám sát nhân viên để giảm nguy vi phạm liệu Và đánh cắp tài sản trí tuệ cách xác định người bất cẩn, bất mãn độc hại Tấn công lừa đảo (Phishing Attack) Trong công lừa đảo, kẻ công giả mạo thực thể người có uy tín email kênh liên lạc khác Kẻ công sử dụng email lừa đảo để phân phối liên kết Hoặc tệp đính kèm độc hại thực nhiều chức khác Bao gồm trích xuất thơng tin đăng nhập thông tin tài khoản từ nạn nhân Một kiểu công lừa đảo nhắm mục tiêu nhiều gọi lừa đảo giáo xảy kẻ công đầu tư thời gian nghiên cứu nạn nhân để thực cơng chí thành công Bảo vệ hiệu chống lại công lừa đảo bắt đầu việc giáo dục người dùng xác định tin nhắn lừa đảo Ngoài ra, lọc email cổng bẫy nhiều email lừa đảo nhắm mục tiêu hàng loạt giảm số lượng email lừa đảo tiếp cận hộp thư đến người dùng Tấn công mã độc Đây thuật ngữ rộng cho loại phần mềm độc hại (phần mềm độc hại) khác Được cài đặt hệ thống doanh nghiệp Phần mềm độc hại bao gồm Trojans, sâu, ransomware, phần mềm quảng cáo, phần mềm gián điệp Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 103 Tai lieu Luan van Luan an Do an Và loại vi- rút khác Một số phần mềm độc hại vơ tình cài đặt nhân viên nhấp vào quảng cáo, truy cập trang web bị nhiễm Hoặc cài đặt phần mềm miễn phí phần mềm khác Dấu hiệu phần mềm độc hại bao gồm hoạt động hệ thống bất thường, chẳng hạn không gian đĩa đột ngột; tốc độ chậm bất thường; tai nạn lặp lại đóng băng; gia tăng hoạt động internet không mong muốn; quảng cáo bật lên Cài đặt công cụ chống vi- rút phát loại bỏ phần mềm độc hại Các cơng cụ cung cấp bảo vệ thời gian thực phát Và loại bỏ phần mềm độc hại cách thực quét hệ thống thông thường Tấn công từ chối dịch vụ(DoS) Một tác nhân đe dọa khởi động cơng DoS để tắt máy riêng lẻ Hoặc tồn mạng để khơng thể đáp ứng u cầu dịch vụ Các công DoS thực điều cách làm ngập mục tiêu với lưu lượng truy cập Hoặc gửi cho số thơng tin gây cố Một tổ chức thường đối phó với cơng DoS làm sập máy chủ cách khởi động lại hệ thống Ngồi ra, cấu hình lại tường lửa, định tuyến máy chủ chặn lưu lượng khơng có thật Giữ định tuyến tường lửa cập nhật với vá bảo mật Ngoài ra, phần cứng mặt trước ứng dụng tích hợp vào mạng giúp phân tích sàng lọc gói liệu Tức là, phân loại liệu ưu tiên, thường xuyên nguy hiểm – chúng xâm nhập vào hệ thống Phần cứng giúp chặn liệu đe dọa Tấn công Man- in- the- middle (MitM) Một công chừng công mà kẻ cơng bí mật chặn Và thay đổi tin nhắn hai bên tin họ liên lạc trực tiếp với Trong công này, kẻ cơng thao túng hai nạn nhân để có quyền truy cập liệu Ví dụ công MitM bao gồm chiếm quyền điều khiển phiên, chiếm quyền điều khiển email nghe Wi- Fi Mặc dù khó để phát cơng MitM, có nhiều cách để ngăn chặn chúng Một cách thực giao thức mã hóa, chẳng hạn TLS (Transport Layer Security) Cung cấp xác thực, quyền riêng tư tính tồn vẹn liệu hai ứng dụng máy tính giao tiếp Một giao thức mã hóa khác SSH, giao thức mạng cung cấp cho người dùng Đặc biệt quản trị viên hệ thống, cách an toàn để truy cập vào máy tính qua mạng khơng bảo mật Các doanh nghiệp nên giáo dục nhân viên nguy hiểm việc sử dụng Wi- Fi cơng cộng mở Vì tin tặc dễ dàng hack kết nối Các tổ chức nên nói với cơng nhân viên họ không ý đến cảnh Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 104 Tai lieu Luan van Luan an Do an báo từ trình duyệt trang web Hoặc kết nối khơng hợp pháp Các cơng ty nên sử dụng VPN để giúp đảm bảo kết nối an tồn Tấn cơng mật Kiểu cơng nhằm mục đích cụ thể lấy mật người dùng Hoặc mật tài khoản Để làm điều này, tin tặc sử dụng nhiều phương pháp khác Bao gồm chương trình bẻ khóa mật khẩu, cơng từ điển, đánh mật đốn mật thơng qua vũ lực (thử sai) Trình phá mật chương trình ứng dụng sử dụng để xác định mật không xác định Hoặc bị quên tài nguyên mạng máy tính Điều giúp kẻ cơng có quyền truy cập trái phép vào tài nguyên Tấn công từ điển phương pháp xâm nhập vào máy tính Hoặc máy chủ bảo vệ mật cách nhập cách có hệ thống từ từ điển dạng mật Để xử lý công mật Các tổ chức nên áp dụng xác thực đa yếu tố để xác thực người dùng Ngoài ra, người dùng nên sử dụng mật mạnh bao gồm bảy ký tự kết hợp chữ cái, chữ số chữ thường Người dùng nên thay đổi mật thường xuyên Và sử dụng mật khác cho tài khoản khác Ngoài ra, tổ chức nên sử dụng mã hóa mật lưu trữ kho lưu trữ an tồn Tấn cơng ứng dụng web Đây cố ứng dụng web véc tơ công Bao gồm khai thác lỗ hổng cấp mã ứng dụng ngăn chặn chế xác thực Một ví dụ cơng ứng dụng web công kịch chéo trang Đây kiểu công bảo mật tiêm kẻ cơng tiêm liệu Chẳng hạn tập lệnh độc hại, vào nội dung từ trang web đáng tin cậy khác Doanh nghiệp nên xem lại mã sớm giai đoạn phát triển để phát lỗ hổng; máy quét mã tĩnh động tự động kiểm tra Ngồi ra, thực chức phát bot để ngăn bot truy cập liệu ứng dụng Và tường lửa ứng dụng web giám sát mạng chặn công tiềm Mối đe dọa liên tục nâng cao – Advanced persistent threat (APT) APT công mạng kéo dài nhắm mục tiêu Thường thực tội phạm mạng quốc gia Trong công này, kẻ xâm nhập có quyền truy cập vào mạng Và không bị phát khoảng thời gian dài Mục tiêu APT thường giám sát hoạt động mạng đánh cắp liệu thay gây thiệt hại cho mạng tổ chức Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 105 Tai lieu Luan van Luan an Do an Giám sát lưu lượng đến Có thể giúp tổ chức ngăn chặn tin tặc cài đặt backdoor trích xuất liệu nhạy cảm Các doanh nghiệp nên cài đặt tường lửa ứng dụng web rìa mạng Để lọc lưu lượng truy cập vào máy chủ ứng dụng web họ Điều giúp lọc công lớp ứng dụng Chẳng hạn công tiêm nhiễm SQL, thường sử dụng giai đoạn xâm nhập APT Ngoài ra, tường lửa mạng giám sát lưu lượng truy cập nội b Một số phương thức cơng mạng Có thể cơng mạng theo hình thức sau đây: - Dựa vào lỗ hổng bảo mật mạng: Những lỗ hổng điểm yếu dịch vụ mà hệ thống cung cấp; Ví dụ kẻ cơng lợi dụng điểm yếu dịch vụ mail, ftp, web để xâm nhập phá hoại Hình 8- - Các hình thức cơng mạng Sử dụng cơng cụ để phá hoại: Ví dụ sử dụng chương trình phá khố mật để truy nhập vào hệ thống bất hợp pháp; Lan truyền virus hệ thống; cài đặt đoạn mã bất hợp pháp vào số chương trình Nhưng kẻ cơng mạng kết hợp hình thức với đểđạt mục đích Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 106 Tai lieu Luan van Luan an Do an - Mức (Level 1): Tấn cụng vào số dịch vụ mạng: Web, Email, dẫn đến nguy lộ thông tin cấu hình mạng Các hình thức cơng mức cụ thể dựng DoS spam mail - Mức (Level 2): Kẻ phá hoại dựng tài khoản người dựng hợp pháp để chiếm đoạt tài nguyên hệ thống; (Dựa vào phương thức công bẻ khóa, đánh cắp mật ); kẻ phá hoại cụ thể thay đổi quyền truy nhập hệ thống qua lỗ hổng bảo mật đọc thông tin tập tin liên quan đến truy nhập hệ thống /etc/passwd - Từ Mức đến mức 5: Kẻ phá hoại không sử dụng quyền người dựng thông thường; mà có thêm số quyền cao hệ thống; quyền kích hoạt số dịch vụ; xem xột thông tin khác hệ thống - Mức 6: Kẻ công chiếm quyền root hệ thống 8.1.3 Một số điểm yếu hệ thống Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn dịch vụ Sendmail, Web,Ftp hệ điều hành mạng Windows NT, Windows 95, UNIX; ứng dụng Các loại lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, ảnh hưởng chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không phá hỏng liệu chiếm quyền truy nhập Lổ hổng loại B: cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thơng tin yêu cầu bảo mật Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy toàn hệ thống 8.1.4 Các mức bảo vệ an tồn mạng Vì khơng có giải pháp an tồn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thơng tin cất giữ máy tính, đặc biệt server mạng Hình Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 107 Tai lieu Luan van Luan an Do an sau mô tả lớp rào chắn thông dụng để bảo vệ thông tin trạm mạng Hình 8- 2: Các mức độ bảo vệ mạng Như minh hoạ hình trên, lớp bảo vệ thơng tin mạng gồm: - Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên (ở thông tin) mạng quyền hạn (có thể thực thao tác gì) tài ngun Hiện việc kiểm sốt mức áp dụng sâu tệp - Lớp bảo vệ hạn chế theo tài khoản truy nhập gồm đăng ký tên/ mật tương ứng Đây phương pháp bảo vệ phổ biến đơn giản, tốn có hiệu Mỗi người sử dụng muốn truy nhập vào mạng sử dụng tài nguyên phải có đăng ký tên mật Người quản trị hệ thống có trách nhiệm quản lý, kiểm sốt hoạt động mạng xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian không gian - Lớp thứ ba sử dụng phương pháp mã hoá (encryption) Dữ liệu biến đổi từ dạng "đọc được" sang dạng không "đọc được" theo thuật tốn Chúng ta xem xét phương thức thuật toán mã hoá sử dụng phổ biến phần - Lớp thứ tư bảo vệ vật lý (physical protection) nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng biện pháp truyền thống ngăn cấm người khơng có nhiệm vụ vào phịng đặt máy, dùng hệ thống khố máy tính, cài đặt hệ thống báo động có truy nhập vào hệ thống - Lớp thứ năm: Cài đặt hệ thống tường lửa (firewall), nhằm ngăn chặn thâm nhập trái phép cho phép lọc gói tin mà ta khơng muốn gửi nhận vào lý Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 108 Tai lieu Luan van Luan an Do an 8.2 Tiến trình khắc phục cố 8.2.1 Các biện pháp bảo vệ mạng máy tính Thực tế khơng có biện pháp hữu hiệu đảm bảo an toàn tuyệt đối cho mạng Hệ thống bảo vệ dù có chắn đến đâu có lúc bị vơ hiệu hố kẻ phá hoại điêu luyện Có nhiều biện pháp đảm bảo an ninh mạng Tổng quan bảo vệ thông tin mật mã (Cryptography) Mật mã q trình chuyển đối thơng tin gốc sang dạng mã hóa (Encryption) Có hai cách tiếp cận để bảo vệ thông tin mật mã: theo đường truyền (Link Oriented Security) từ mútđến- mút (End- to- End) Trong cách thứ nhất, thơng tin mã hố để bảo vệ đường truyền nút không quan tâm đến nguồn đích thơng tin Ưu điểm cách bí mật luồng thơng tin nguồn đích ngăn chặn tồn vi phạm nhằm phân tích thơng tin mạng Nhược điểm thơng tin mã hố đường truyền nên địi hỏi nút phải bảo vệ tốt Ngược lại, cách thứ hai, thơng tin bảo vệ tồn đường từ nguồn tới đích Thơng tin mã hố tạo giải mã đến đích Ưu điểm tiếp cận người sử dụng dùng mà khơng ảnh hưởng đến người sử dụng khác Nhược điểm phương pháp có liệu người sử dụng mã hố, cịn thơng tin điều khiển phải giữ nguyên để xử lý node Giải thuật DES mã hoá khối 64 bits văn gốc thành 64 bits văn mật khố Khố gồm 64 bits 56 bits dùng mã hố bits cịn lại dùng để kiểm soát lỗi Một khối liệu cần mã hố phải trải qua q trình xử lý: Hốn vị khởi đầu, tính tốn phụ thuộc khố hốn vị đảo ngược hốn vị khởi đầu Khóa K Bản rõ Bản mã Mật mã Giải mã Bản rõ ban đầu Phương pháp sử dụng khố cơng khai (Public key): Các phương pháp mật mã dùng khố cho mã hố lẫn giải mã địi hỏi người gửi người nhận phải biết khoá giữ bí mật Tồn phương pháp làm để phân phối khoá cách an tồn, đặc biệt mơi trường nhiều người sử dụng Để khắc phục, người ta thường sử dụng phương pháp mã hố khố, khố cơng khai để mã hố mã bí mật để giải mã Mặc dù hai khoá thực thao tác ngược khơng thể suy khố bí mật từ khố cơng khai ngược lại nhờ hàm toán học đặc biệt gọi hàm sập bẫy chiều (trap door one- way functions) Đặc điểm hàm phải biết cách xây dựng hàm suy nghịch đảo Giải thuật RSA dựa nhận xét sau: phân tích thừa số tích số nguyên tố lớn khó khăn Vì vậy, tích số ngun tố cơng khai, cịn Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 109 Tai lieu Luan van Luan an Do an số nguyên tố lớn dùng để tạo khố giải mã mà khơng sợ bị an tồn Trong giải thuật RSA trạm lựa chọn ngẫu nhiên số nguyên tố lớn p q nhân chúng với để có tích n=pq (p q giữ bí mật) 8.2.2 Tổng quan hệ thống Firewall Firewall hệ thống dùng để tăng cường khống chế truy xuất, phịng ngừa đột nhập bên ngồi vào hệ thống sử dụng tài nguyên mạng cách phi pháp Tất thông tin đến thiết phải qua Firewall chịu kiểm tra tường lửa Nói chung Firewall có chức lớn sau: Lọc gói liệu vào/ra mạng lưới Quản lý hành vi khai thác vào/ra mạng lưới Ngăn chặn hành vi Ghi chép nội dung tin tức hoạt động thông qua tường lửa Tiến hành đo thử giám sát cảnh báo công mạng lưới Ưu điểm nhược điểm tường lửa: Ưu điểm chủ yếu việc sử dụng Firewall để bảo vệ mạng nội Cho phép người quản trị mạng xác định điểm khống chế ngăn chặn để phòng ngừa tin tặc, kẻ phá hoại, xâm nhập mạng nội Cấm không cho loại dịch vụ an toàn vào mạng, đồng thời chống trả cơng kích đến từ đường khác Tính an tồn mạng củng cố hệ thống Firewall mà phân bố tất máy chủ mạng Bảo vệ dịch vụ yếu mạng Firewall dễ dàng giám sát tính an tồn mạng phát cảnh bảo Tính an tồn tập trung Firewall giảm vấn đề khơng gian địa che dấu cấu trúc mạng nội Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu Firewall sử dụng để quản lý lưu lượng từ mạng ngoài, xây dựng phương án chống nghẽn Nhược điểm hạn chế dịch vụ có ích, để nâng cao tính an tồn mạng, người quản trị hạn chế đóng nhiều dịch vụ có ích mạng Khơng phịng hộ cơng kẻ phá hoại mạng nội bộ, ngăn chăn cơng thơng qua đường khác ngồi tường lửa Firewall Internet khơng thể hồn tồn phịng ngừa phát tán phần mềm tệp nhiễm virus Các loại Firewall Firewall lọc gói thường định tuyến có lọc Khi nhận gói liệu, định cho phép qua từ chối cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào thơng tin Header để đảm bảo trình chuyển phát IP Firewall cổng mạng hai ngăn loại Firewall có hai cửa nối đến Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 110 Tai lieu Luan van Luan an Do an mạng khác Ví dụ cửa nối tới mạng bên ngồi khơng tín nhiệm cịn cửa nối tới mạng nội tín nhiệm Đặc điểm lớn Firewall loại gói tin IP bị chặn lại Firewall che chắn (Screening) máy chủ bắt buộc có kết nối tới tất máy chủ bên ngồi với máy chủ kiên cố, khơng cho phép kết nối trực tiếp với máy chủ nội Firewall che chắn máy chủ định tuyến lọc gói máy chủ kiên cố hợp thành Hệ thống Firewall có cấp an tồn cao so với hệ thống Firewall lọc gói thơng thường đảm bảo an tồn tầng mạng (lọc gói) tầng ứng dụng (dịch vụ đại lý) Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng dùng hai định tuyến lọc gói máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an toàn nhất, đảm bảo chức an tồn tầng mạng tầng ứng dụng Kỹ thuật Fire wall Lọc khung (Frame Filtering): Hoạt động tầng mơ hình OSI, lọc, kiểm tra mức bit nội dung khung tin (Ethernet/802.3, Token Ring 802.5, FDDI, ) Trong tầng khung liệu không tin cậy bị từ chối trước vào mạng Lọc gói (Packet Filtering): Kiểu Firewall chung kiểu dựa tầng mạng mơ hình OSI Lọc gói cho phép hay từ chối gói tin mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thoả mãn số quy định lọc Packet hay không Các quy tắc lọc Packet dựa vào thông tin Packet Header Nếu quy tắc lọc Packet thoả mãn gói tin chuyển qua Firewall Nếu khơng bị bỏ Như Firewall ngăn cản kết nối vào hệ thống, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Một số Firewall hoạt động tầng mạng (tương tự Router) thường cho phép tốc độ xử lý nhanh kiểm tra địa IP nguồn mà không thực lệnh Router, không xác định địa sai hay bị cấm Nó sử dụng địa IP nguồn làm thị, gói tin mang địa nguồn địa giả chiếm quyền truy nhập vào hệ thống Tuy nhiên có nhiều biện pháp kỹ thuật áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngồi trường địa IP kiểm tra, cịn có thông tin khác kiểm tra với quy tắc tạo Firewall, thơng tin thời gian truy nhập, giao thức sử dụng, cổng Firewall kiểu Packet Filtering có loại: Packet filtering Fire wall: Hoạt động tầng mạng mô hình OSI hay tầng IP mơ hình TCP/IP Kiểu Firewall không quản lý giao dịch mạng Circuit Level Gateway: Hoạt động tầng phiên (Session) mơ hình OSI hay tầng TCP mơ hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch hệ thống người dùng cuối (VD: kiểm tra ID, mật ) loại Firewall cho phép lưu vết trạng thái người truy nhập Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 111 Tai lieu Luan van Luan an Do an Kỹ thuật Proxy Là hệ thống Firewall thực kết nối thay cho kết nối trực tiếp từ máy khách yêu cầu.Proxy hoạt động dựa phần mềm Khi kết nối từ người sử dụng đến mạng sử dụng Proxy kết nối bị chặn lại, sau Proxy kiểm tra trường có liên quan đến yêu cầu kết nối Nếu việc kiểm tra thành cơng, có nghĩa trường thơng tin đáp ứng quy tắc đặt ra, tạo cầu kết nối hai node với Ưu điểm kiểu Firewall loại khơng có chức chuyển tiếp gói tin IP, điểu khiển cách chi tiết kết nối thông qua Firewall Cung cấp nhiều công cụ cho phép ghi lại q trình kết nối Các gói tin chuyển qua Firewall kiểm tra kỹ lưỡng với quy tắc Firewall, điều phải trả giá cho tốc độ xử lý Khi máy chủ nhận gói tin từ mạng ngồi chuyển chúng vào mạng trong, tạo lỗ hổng cho kẻ phá hoại (Hacker) xâm nhập từ mạng vào mạng Nhược điểm kiểu Firewall hoạt động dựa trình ứng dụng uỷ quyền (Proxy) Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn 112 Tai lieu Luan van Luan an Do an Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn