1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tổng quan về mạng máy tính

111 0 0
Tổng quan về mạng máy tính

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghip Phần I: Tổng quan mạng máy tính Chơng 1: Giíi thiƯu vỊ m¸y tÝnh 1.1 Lịch sử máy tính Trong thời đại khoa học kỹ thuật ngày nay, máy tính điện tử đóng vai trị quan trọng yếu tố thiếu hầu hết ngành nghề, dịch vụ đời sống sinh hoạt người Để trở thành cơng cụ hữu ích, cơng nghệ cao nay, máy tính điện tử trải qua nhiều thời kì phát triển, đáp ứng đòi hỏi ngày cao người Với đời thành công máy ENIAC, năm 1946 xem năm mở đầu cho kỷ nguyên máy tính điện tử, kết thúc nỗ lực nghiên cứu nhà khoa học kéo dài nhiểu năm trước đó, mở thời kỳ phát triển mạnh mẽ công nghệ phần cứng sở chế tạo máy tính điện tử với tính ngày cao, sử dụng rộng rãi nhiều lĩnh vực sống Lịch sử phát triển máy tính chia thành giai đoạn sau: 1.1.1 Giai đoạn 1: Từ 1945 đến 1958, với máy tính hệ thứ sử dụng cơng nghệ đèn chân khơng  Máy tính ENIAC (Electronic Numerical Integrator And Computer), John Mauchly John Presper Eckert (đại học Pensylvania, Mỹ) thiết kế chế tạo, máy số hoá điện tử đa giới - Nguồn gốc: Dự án chế tạo máy ENIAC bắt đầu vào năm 1943 Đây nỗ lực nhằm đáp ứng yêu cầu thời chiến BRL (Ballistics Research Laboratory – Phòng nghiên cứu đạn đạo qn đội Mỹ) việc tính tốn xác nhanh chóng bảng số liệu đạn đạo cho loại vũ khí - Số liệu kỹ thuật: ENIAC máy khổng lồ với 18000 bóng đèn chân khơng, nặng 30 tấn, tiêu thụ lượng điện vào khoảng 140kW chiếm diện tích xấp xỉ 1393 m2 Mặc dù vậy, làm việc nhanh nhiều so với loại máy tính điện thời với khả thực 5000 phép cộng giây đồng hồ Điểm khác biệt ENIAC & máy tính khác: ENIAC sử dụng hệ đếm thập phân nhị phân tất máy tính khác Với Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp ENIAC, số biểu diễn dạng thập phân việc tính tốn thực hệ thập phân Bộ nhớ máy gồm 20 “bộ tích lũy”, có khả lưu giữ số thập phân có 10 chữ số Mỗi chữ số thể vòng gồm 10 đèn chân khơng, thời điểm, có đèn trạng thái bật để thể mười chữ số từ đến hệ thập phân Việc lập trình ENIAC cơng việc vất vả phải thực nối dây tay qua việc đóng/mở cơng tắc cắm vào rút dây cáp điện - Hoạt động thực tế: Máy ENIAC bắt đầu hoạt động vào tháng 11/1945 với nhiệm vụ tính tốn đạn đạo (vì chiến tranh giới lần thứ hai kết thúc) mà để thực tính tốn phức tạp dùng việc xác định tính khả thi bom H Việc sử dụng máy vào mục đích khác với mục đích chế tạo ban đầu cho thấy tính đa ENIAC Máy tiếp tục hoạt động quản lý BRL tháo rời vào năm 1955  Máy tính Von Neumann Như đề cập trên, việc lập trình máy ENIAC cơng việc tẻ nhạt tốn nhiều thời gian Cơng việc có lẻ đơn giản chương trình biểu diễn dạng thích hợp cho việc lưu trữ nhớ với liệu cần xử lý Khi máy tính cần lấy thị cách đọc từ nhớ, ngồi chương trình thiết lập hay thay đổi thông qua chỉnh sửa giá trị lưu phần nhớ Ý tưởng này, biết đến với tên gọi “khái niệm chương trình lưu trữ”, nhà tốn học John von Neumann, cố vấn dự án ENIAC, đưa ngày 8/11/1945, đề xuất loại máy tính có tên gọi EDVAC (Electronic Discrete Variable Computer) Máy tính cho phép nhiều thuật tốn khác tiến hành máy tính mà không cần phải nối dây lại máy ENIAC  Máy IAS Tiếp tục với ý tưởng mình, vào năm 1946, von Neuman đồng nghiệp bắt tay vào thiết kế máy tính có chương trình lưu trữ với tên gọi IAS (Institute for Advanced Studies) học viện nghiên cứu cao cấp Princeton, Mỹ Mặc dù đến năm 1952 máy IAS hồn tất, mơ hình cho tất máy tính đa sau 1.1.2 Giai đoạn 2: Từ 1958 đến 1964, với máy tính hệ thứ hai sử dụng công nghệ chất bán dẫn Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Sự thay đổi lĩnh vực máy tính điện tử xuất có thay đèn chân không đèn bán dẫn Đèn bán dẫn nhỏ hơn, rẻ hơn, tỏa nhiệt sử dụng theo cách thức đèn chân khơng để tạo nên máy tính Khơng đèn chân khơng vốn địi hỏi phải có dây, có bảng kim loại, có bao thủy tinh chân không, đèn bán dẫn thiết bị trạng thái rắn chế tạo từ silicon có nhiều cát có tự nhiên Đèn bán dẫn phát minh lớn phịng thí nghiệm Bell Labs năm 1947 Nó tạo cách mạng điện tử năm 50 kỷ 20 Dù vậy, đến cuối năm 50, máy tính bán dẫn hóa hồn tồn bắt đầu xuất thị trường máy tính Việc sử dụng đèn bán dẫn chế tạo máy tính xác định hệ máy tính thứ hai, với đại diện tiêu biểu máy PDP–1 công ty DEC (Digital EquIPment Corporation) IBM 7094 IBM DEC thành lập vào năm 1957 năm cho đời sản phẩm máy PDP–1 đề cập Đây máy mở đầu cho dịng máy tính mini DEC, vốn phổ biến máy tính hệ thứ ba 1.1.3 Giai đoạn 3: Từ 1964 đến 1974, với máy tính hệ thứ ba sử dụng cơng nghệ mạch tích hợp Một đèn bán dẫn tự chứa, đơn lẻ thường gọi thành phần rời rạc Trong suốt năm 50 đầu năm 60 kỷ 20, thiết bị điện tử phần lớn kết hợp từ thành phần rời rạc – đèn bán dẫn, điện trở, tụ điện, v.v Các thành phần rời rạc sản xuất riêng biệt, đóng gói chứa riêng, sau dùng để nối lại với bảng mạch Các bảng lại gắn vào máy tính, máy kiểm tra dao động, thiết bị điện tử khác Bất thiết bị điện tử cần đến đèn bán dẫn, ống kim loại nhỏ chứa mẫu silicon phải hàn vào bảng mạch Tồn q trình sản xuất, từ đèn bán dẫn đến bảng mạch, q trình tốn khơng hiệu Những vấn đề làm tảng cho việc dẫn đến tốn cơng nghiệp máy tính Các máy tính hệ thứ hai ban đầu chứa khoảng 10000 đèn bán dẫn Con số sau tăng lên nhanh chóng đến hàng trăm ngàn, làm cho việc sản xuất máy mạnh hơn, gặp nhiều khó khăn Sự phát minh mạch tích hợp vào năm 1958 cách mạng hóa điện tử bắt đầu cho kỷ nguyên vi điện tử với nhiều thành tựu rực rỡ Mạch tích hợp yếu tố xác định hệ thứ ba máy tính Trong mục tiếp sau tìm hiểu cách ngắn gọn cơng nghệ mạch tích hợp Sau đó, Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp hai thành viên quan trọng máy tính hệ thứ ba, máy IBM System/360 máy DEC PDP–8, giới thiệu với tính bật chúng 1.1.4 Giai đoạn 4: Từ 1974 đến nay, với máy tính hệ thứ tư sử dụng cơng nghệ mạch tích hợp vô lớn/siêu lớn (VLSI/ULSI) Với tốc độ phát triển nhanh chóng cơng nghệ, mức độ cho đời sản phẩm mức cao, tầm quan trọng phần mềm, truyền thông phần cứng, việc phân loại máy tính theo hệ trở nên rõ ràng có ý nghĩa trước rong phần tiếp theo, hai thành tựu tiêu biểu cơng nghệ máy tính hệ thứ tư giới thiệu cách tóm lược  Bộ nhớ bán dẫn Vào khoảng năm 50 đến 60 kỷ này, hầu hết nhớ máy tính chế tạo từ vịng nhỏ làm vật liệu sắt từ, vịng có đường kính khoảng 1/16 inch Các vịng treo lưới nhỏ bên máy tính Khi từ hóa theo chiều, vịng (gọi lõi) biểu thị giá trị 1, từ hóa theo chiều ngược lại, lõi đại diện cho giá trị Bộ nhớ lõi từ kiểu làm việc nhanh Nó cần phần triệu giây để đọc bit lưu nhớ Nhưng đắt tiền, cồng kềnh, sử dụng chế hoạt động loại trừ: thao tác đơn giản đọc lõi xóa liệu lưu lõi Do cần phải cài đặt mạch phục hồi liệu lấy Năm 1970, Fairchild chế tạo nhớ bán dẫn có dung lượng tương đối ChIP có kích thước lõi đơn, lưu 256 bit nhớ, hoạt động không theo chế loại trừ nhanh nhớ lõi từ Nó cần 70 phần tỉ giây để đọc bit liệu nhớ Tuy nhiên giá thành cho bit cao so với lõi từ Kể từ năm 1970, nhớ bán dẫn qua tám hệ: 1K, 4K, 16K, 64K, 256K, 1M, 4M, 16M bit chIP đơn (1K = 210, 1M = 220) Mỗi hệ cung cấp khả lưu trữ nhiều gấp bốn lần so với hệ trước, với giảm thiểu giá thành bit thời gian truy cập  Bộ vi xử lý Vào năm 1971, hãng Intel cho đời chIP 4004, chIP có chứa tất thành phần CPU chIP đơn Kỷ nguyên vi xử lý khai sinh từ ChIP 4004 cộng hai số bit nhân cách lập lại phép cộng Theo tiêu chuẩn ngày nay, chIP 4004 rõ ràng đơn giản, Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp đánh dấu bắt đầu q trình tiến hóa liên tục dung lượng sức mạnh vi xử lý Bước chuyển biến trình tiến hóa nói giới thiệu chIP Intel 8008 vào năm 1972 Đây vi xử lý bit có độ phức tạp gấp đôi chIP 4004 Đến năm 1974, Intel đưa chIP 8080, vi xử lý đa dụng thiết kế để trở thành CPU máy vi tính đa dụng So với chIP 8008, chIP 8080 nhanh hơn, có tập thị phong phú có khả định địa lớn Cũng thời gian đó, vi xử lý 16 bit bắt đầu phát triển Mặc dù vậy, đến cuối năm 70, vi xử lý 16 bit đa dụng xuất thị trường Sau đến năm 1981, Bell Lab Hewlett– packard phát triển vi xử lý đơn chIP 32 bit Trong đó, Intel giới thiệu vi xử lý 32 bit riêng chIP 80386 vào năm 1985 1.2 Cấu trúc chức máy tính 1.2.1 Cấu trúc tổng quát máy tính Máy tính hệ thống phức tạp với hàng triệu thành phần điện tử sở Ở mức đơn giản nhất, máy tính xem thực thể tương tác theo cách thức với mơi trường bên ngồi Một cách tổng qt, mối quan hệ với mơi trường bên ngồi phân loại thành thiết bị ngoại vi hay đường liên lạc Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Hình 1: Cấu trúc tổng quát máy tính  Thành phần chính, quan trọng máy tính Đơn vị xử lý trung tâm (CPU – Central Processing Unit): Điều khiển hoạt động máy tính thực chức xử lý liệu Hình 2: Bộ xử lý trung tâm máy tính (CPU) CPU thường đề cập đến với tên gọi xử lý Máy tính có nhiều thành phần nói trên, Ví Dụ nhiều CPU Trước đa phần máy tính có CPU, gần có gia tăng sử dụng nhiều CPU hệ thống máy đơn CPU luôn đối tượng quan trọng thành phần phức tạp hệ thống Cấu trúc CPU gồm thành phần chính: - Đơn vị điều khiển: Điều khiển hoạt động CPU điều khiển hoạt động máy tính - Đơn vị luận lý số học (ALU – Arithmetic and Logic Unit): Thực chức xử lý liệu máy tính - Tập ghi: Cung cấp nơi lưu trữ bên CPU - Thành phần nối kết nội CPU: Cơ chế cung cấp khả liên lạc đơn vị điều khiển, ALU tập ghi Trong thành phần nói CPU, đơn vị điều khiển lại giữ vai trò quan trọng Sự cài đặt đơn vị dẫn đến khái niệm tảng Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp chế tạo vi xử lý máy tính Đó khái niệm vi lập trình Hình mô tả tổ chức bên đơn vị điều khiển với ba thành phần gồm: - Bộ lập dãy logic - Bộ giải mã tập ghi điều khiển - Bộ nhớ điều khiển Hình 3: Đơn vị điều khiển CPU Các thành phần khác máy tính:  Bộ nhớ chính: Dùng để lưu trữ liệu  Các thành phần nhập xuất: Dùng để di chuyển liệu máy tính mơi trường bên  Các thành phần nối kết hệ thống: Cung cấp chế liên lạc CPU, nhớ thành phần nhập xuất 1.2.2 Chức máy tính Một cách tổng quát, máy tính thực bốn chức sau: - Di chuyển liệu - Điều khiển Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp - Lưu trữ liệu - Xử lý liệu Hình 4: Các chức máy tính  Xử lý liệu: Máy tính phải có khả xử lý liệu Dữ liệu có nhiều dạng phạm vi yêu cầu xử lý rộng Tuy nhiên có số phương pháp xử lý liệu.   Lưu trữ liệu: Máy tính cần phải có khả lưu trữ liệu Ngay máy tính xử lý liệu, phải lưu trữ tạm thời thời điểm phần liệu xử lý Do cần thiết phải có chức lưu trữ ngắn hạn Tuy nhiên, chức lưu trữ dài hạn có tầm quan trọng tương đãng liệu cần lưu trữ máy cho lần cập nhật tìm kiếm kế tiếp.   Di chuyển liệu: Máy tính phải có khả di chuyển liệu giới bên ngồi Khả thể thơng qua việc di chuyển liệu máy tính với thiết bị nối kết trực tiếp hay từ xa đến Tùy thuộc vào kiểu kết nối cự ly di chuyển liệu, mà có tiến trình nhập xuất liệu hay truyền liệu: - Tiến trình nhập xuất liệu: Thực di chuyển liệu cự ly ngắn máy tính thiết bị nối kết trực tiếp - Tiến trình truyền liệu: Thực di chuyển liệu cự ly xa máy tính thiết bị nối kết từ xa - Điều khiển: Bên hệ thống máy tính, đơn vị điều khiển có nhiệm vụ quản lý tài nguyên máy tính điều phối vận hành thành phần chức phù hợp với yêu cầu nhận từ người sử dụng Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Tương ứng với chức tổng quát nói trên, có bốn loại hoạt động xảy gồm:  Máy tính dùng thiết bị di chuyển liệu, có nhiệm vụ đơn giản chuyển liệu từ phận ngoại vi hay đường liên lạc sang phận ngoại vi hay đường liên lạc khác L­u tr÷ liệu Di chuyển liệu Điều khiển Xử lý d÷ liƯu Hình 5: Máy tính – Thiết bị di chuyển liệu  Máy tính dùng để lưu trữ liệu, với liệu chuyển từ môi trường ngồi vào lưu trữ máy (q trình đọc liệu) ngược lại (quá trình ghi liệu) Hình mơ tả hoạt động làm thiết bị lưu trữ liệu máy tính Hình 6: Máy tính – Thiết bị lưu trữ liệu Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp  Máy tính dùng để xử lý liệu thơng qua thao tác liệu lưu trữ kết hợp việc lưu trữ liên lạc với môi trường bên ngồi Hình 7: Máy tính – Thiết bị xử lý liệu lưu trữ Hình 8: Máy tính – Thiết bị xử lý/ trao đổi liệu với mơi trường ngồi Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 10 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp thông thường làm không thấy rõ khác biệt Filtering Router Router thông thường Khả lọc dựa địa IP số port mà không dựa user/ application có số Packet Filtering system cho phép lọc dựa hostname không nên đặc tả qui tắc để lọc dựa hostname hệ thống bị công cách khác – Ví Dụ làm tê liệt DNS Server hoặt giả DNS Server để trả lời query tên máy thành địa IP  Hiện có nhiều Router cung cấp khả Packet Filtering: khả lọc gói nhiều nhà sản xuất phần cứng phần mềm hỗ trợ sản phẩm họ, sản phẩn thương mại miễn phí Internet  Mặc dù Packet Filtering có nhiều ưu điểm có số nhược điểm sau: Đối với Packet Filtering System bị cơng theo loại network denial of service attacks Khi người công biết hệ thống có Packet filter, họ cố gắng làm tê liệt hoạt động hệ thống nhờ kỹ thuật “message flooding”, “service overloading” Message flooding dạng công vào hệ thống làm tê liệt hoạt động hệ thống cách gây lũ liệu hệ thống bị công Người công thường gửi hàng loạt message vào hệ thống mà họ công Kết hệ thống bị cơng khơng cịn thời gian để xử lý u cầu khác, đơi lúc làm treo hệ thống bị cơng Dạng cơng điển hình kiểu người công cho thực việc gửi hành loạt mail–message vào hệ thống mà họ công dẫn đến kết mail– Server khơng cịn vùng nhớ để lưu mail hay thơng tin khác, tình trạng đĩa đầy  Những công cụ Packet Filtering hành khơng hồn thiện: Mặc dù khả Packet Filtering cung cấp nhiều nhà cung cấp phần cứng phần mềm sản phẩm chưa hồn thiện Những Packet Filtering thường có số hạn chế sau:  - Việc xác định qui tắc để lọc Packet thường khó thực khó cấu hình Vì phải thực việc chuyển sách bảo vệ thành tập qui tắc lọc thường khó - Khi cấu hình việc kiểm tra luật lệ (rules) khó khăn Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 97 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp - Khả nhiều sản phẩm Packet Filtering thường khơng hồn thiện, khả trợ giúp cho việc thực số dạng lọc gói mức cao thường khó thực hiện, nhiều lúc thực - Giống sản phẩm khác, Packet Filtering có số lỗi mà lỗi gây số kết không mong muốn Những lỗi gây cho hoạt động sai, cho phép số Packet qua thay cấm Một số giao thức (Protocol) khơng thích hợp với Packet Filtering, chí sản phẩm Packet Filtering hồn hảo, thấy có số nghi thức mà khả bảo vệ Packet Filtering bảo vệ mạng dịch vụ sử dụng Protocol loại phải bị cấm Những Protocol điển hình cho dạng Berkley “r” command (rcp, rlogin, rdist, rsh, .) RPC–based Protocol NFS, NIS/YP  Một số sách bảo vệ thực nhờ vào Packet Filtering: Qui tắc mà Packet Filtering cho đặc tả khơng phù hợp với u cầu thực Khơng có khả bảo vệ cấp application, thay đổi hoạt động dịch vụ, không giám sát chức dịch vụ cụ thể để cấm cho phép chức dịch vụ (nói tùy thuộc vào thực Packet Filtering System mà hầu hết khả làm trên) Packet Filtering không cho phép cấm cho phép user sử dụng dịch vụ mà user khác khơng phép  4.4 Nguyên tắc hoạt động hệ thống Packet Filtering Như giới thiệu phần trên, Packet filter lọc gói, cung cấp khả lọc IP Packet mức gửi Packet (Packet routing level) với kết định cho qua (pass) hay từ chối (drop) Packet Kết việc xử lý mức thấp tốc độ xử lý cao an toàn application–level gateway Filtering Router giữ chức Router thêm chức filter Nhiệm vụ Packet Filtering Router gửi (route) nhận cho vào (receive) Packet có chọn lựa internal host external host Packet Filtering có Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 98 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp thể thực nhiều cấp kết hợp cấp Dưới sơ sơ đồ luân chuyển liệu điển hình (hình 44) Hình 44: Sơ đồ luân chuyển liệu điển hình hệ thống Packet Filtering Các sản phẩm Packet Filtering lọc Packet dựa header Packet thông tin Packet từ interface card (mỗi Packet gồm phần: header data) Tóm lại việc lọc dựa thông tin điều khiển Với công nghệ nay, Packet filter chưa có khả lọc Packet dựa vào nội dung (not make content–based decisions) Do Packet filter lọc Packet dựa thông tin điều khiển header Protocol stack, nên IP Packet filter thơng tin header sử dụng thông tin IP header TCP header 4.4.1 Lọc Packet dựa địa (address) Dạng đơn giản mà Filtering Router thực việc lọc Packet dựa tên địa Lọc Packet theo dạng cho phép Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 99 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp điều khiển liệu dựa địa máy gửi địa máy nhận Packet mà không quan tâm đến nghi thức sử dụng Khả lọc gói theo dạng dùng phép số máy bên ngồi trao đổi liệu với số máy mạng cần bảo vệ, bảo vệ dạng đánh lừa thơng tin Packet (những Packet xuất phát từ Internet (bên ngồi) mà có địa máy gửi lại địa máy mạng mạng bảo vệ Những rủi ro việc lọc dựa địa máy gửi: Thơng tin Packet header có chứa địa nguồn máy gửi Packet (khơng nên tin tưởng hồn tồn vào thơng tin việc địa máy gửi bị giả mạo) Trừ sử dụng kỹ thuật chứng thực (cryptographic authentication) hai máy trao đổi liệu cho nhau, thực biết chắn máy mà trao đổi liệu với thực hay máy khác giả danh máy (giống lấy địa người khác để gửi thư đi) Qui tắc lọc loại trừ khả máy bên giả mạo thành máy bên trong, khơng phát việc máy bên giả mạo địa máy bên ngồi khác Do đó, người cơng có hai dạng cơng dựa việc giả mạo địa : giả mạo địa máy gửi “source address” “man in the middle” - Dạng công giả danh giả mạo địa máy gửi (source address), người công gửi liệu cho mà sử dụng địa máy gửi địa máy họ, thường họ đoán số địa mà hệ thống tin tưởng, sau họ sử dụng địa địa máy gửi với hy vọng cho Packet họ gửi vào mạng chúng ta, không mong chờ Packet kết trả lời từ máy hệ thống mạng Nếu người công không quan tâm đến việc nhận Packet trả từ hệ thống chúng ta, khơng cần thiết họ phải lộ trình hệ thống bị họ giả danh, họ nơi đâu Trong thực tế, Packet trả lời từ hệ thống gửi đến máy (những máy người công vào hệ thống sử dụng địa họ), mà Packet không gửi đến máy người cơng Tuy nhiên, người cơng đoán đáp ứng từ hệ thống họ khơng cần phải nhận Packet Có nhiều nghi thức (Protocol) mà người cơng hiểu biết sâu việc đốn đáp ứng từ hệ thống không khó khăn Có nhiều dạng cơng kiểu thực mà người cơng Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 100 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp không cần nhận Packet trả lời trực tiếp từ hệ thống Một Ví Dụ cho thấy điều người cơng gửi cho hệ thơng lệnh đó, mà kết hệ thống gửi cho người công password file hệ thống Bằng cách người cơng khơng cần nhận trực tiếp Packet trả lời từ hệ thống Trong số trường hợp, nghi thức có kết nối TCP, máy nguồn thực (máy mà người công lấy địa để giả danh) phản hồi lại Packet mà hệ thống gửi cho họ (những Packet mà hệ thống trả lời cho Packet người công) dẫn đến kết kết nối hành giữ máy với máy người cơng bị reset Dĩ nhiên người công không muốn điều xảy Người cơng muốn thực việc cơng hồn thành trước máy bị giả danh nhận Packet mà gửi trước nhận reset Packet từ máy bị giả danh Người cơng có nhiều cách để thực điều này: + Thực việc công máy bị giả danh tắt + Làm cho máy bị giả danh treo thực công + Gây lũ (flooding) liệu máy giả danh thực công + Làm sai lệch thông tin đường (routing) máy gửi máy nhận thực + Tấn công vào dịch vụ cần gửi Packet gây tác động mà vấn đề reset không bị ảnh hưởng - Dạng công thứ hai “man in the middle” kiểu công người cơng cần có khả thực đầy đủ trình trao đổi liệu giả danh địa máy khác Để thực điều người công, máy mà người công sử dụng gửi Packet cho hệ thống mà mong muốn nhận Packet trả lời từ hệ thống cuả Để thực điều người công phải thực hai việc sau: + Máy người công đường hệ thống hệ thống bị giả danh Trường hợp dễ thực gần máy hệ thống gần máy bị giả danh, trường hợp gần khó lộ trình đường mạng IP lộ trình đường Packet thay đổi đặc biệt máy lộ trình có lúc qua khơng Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 101 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp + Thay đổi đường máy gửi máy nhận thực để qua máy người cơng Điều thực dễ dàng khó khăn tùy theo topology mạng hệ thống routing mạng liên quan 4.4.2 Lọc Packet dựa số cổng (port) Nguyên tắc giống lọc gói dựa địa máy gửi, khác Packet filter lọc số cổng máy gửi (port nguồn) thay địa Những rủi ro việc lọc dựa số port máy gửi: Cũng giống trường hợp lọc theo địa nguồn (source address), việc lọc Packet dựa theo thông tin số port nguồn (source port) có rủi ro tương tự Đối với dịch vụ có cầu nối (connection – oriented) TCP, trước hai network application trao đổi liệu với chúng phải thiết lập kết nối (connection), chúng trao đổi liệu xong chúng đóng kết nối Quá trình từ lúc thiết lập kết nối đóng kết nối gọi session, dịch vụ dạng việc lọc Packet sử dụng thông tin thiết lập kết nối TCP flags field Nhưng dịch vụ khơng có kết nối (connectionless) UDP việc lọc Packet theo dạng thực sau: - Session filter: trường hợp đặt biệt Packet filters cịn giữ thêm thơng tin tất active session qua Firewall Bộ lọc (filter) Packet dùng thông tin để xác định Packet di chuyển theo hướng ngược lại thuộc vào connection chấp nhận hay khơng Đồng thời dùng thông tin session để thực việc theo dõi mức session (session –level auditing) - Dynamic Packet Filtering : Theo dõi outgoing UDP Packet vào/ra Chỉ cho phép incoming UDP Packet tương ứng với outgoing UDP Packet dựa vào thông tin host port, cho vào UDP có host port với outgoing UDP Packet Nhưng cho phép khoảng cách outgoing UDP Packet incoming UDP Packet giới hạn (tùy chọn cho thích hợp) (time – limited) Mặc dù dùng phương pháp lọc internal host hay external host người đưa yêu cầu (request) trả lời (reply) để lộ số lỗ hở dẫn đến người công (attacker) lợi dụng việc cho vào reply tương ứng để gửi vào request in tương ứng với host/port may mắn, thành cơng Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 102 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Những thông tin dùng cho việc đặc tả rule Packet filter là: IP source/destination address : địa IP máy gửi nhận Packet Protocol (TCP | UDP | ICMP ): nghi thức lớp IP sử dụng TCP or UDP source/destination port : dịch vụ cấp ứng dụng ICMP message type: loại ICMP message IP options Start –of– connection (ACK bit) information cho TCP packages Tất thông tin IP header TCP| UDP header Và thêm thơng tin quan trọng Packet từ interface (từ Internet hay từ internal network) Một số thông tin phụ khác thời gian truy nhập, lượng Packet dịch vụ, thời điểm truy cập Ch¬ng 5: hÖ thèng Proxy Proxy cung cấp cho người sử dụng truy xuất Internet với host đơn Những Proxy Server phục vụ nghi thức đặc biệt tập nghi thức thực thi dual–homed host Bastion Host Những chương trình Client người sử dụng qua trung gian Proxy Server thay Server thật mà người sử dụng cần giao tiếp Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 103 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Proxy Server xác định yêu cầu từ Client định đáp ứng hay không đáp ứng, yêu cầu đáp ứng, Proxy Server kết nối đến Server thật thay cho Client tiếp tục chuyển tiếp yêu cầu từ Client đến Server, chuyển tiếp đáp ứng Server trở lại Client Vì Proxy Server giống cầu nối trung gian Server thật Client 5.1 Tác dụng chức Proxy Để đáp ứng nhu cầu người sử dụng cần truy xuất đến ứng dụng cung cấp Internet đảm bảo an toàn cho hệ thống cục bộ, hầu hết phương pháp đưa để giải điều cung cấp host đơn truy xuất đến Internet cho tất người sử dụng Tuy nhiên, phương pháp phương pháp giải thỏa mãn tạo cho người sử dụng cảm thấy không thoải mái Khi truy xuất đến Internet họ khơng thể thực cơng việc cách trực tiếp, phải log in vào dual–homed host, thực tất công việc đây, sau phương pháp chuyển đổi kết đạt công việc trở lại workstation sở hữu Điều trở nên tồi tệ hệ thống với nhiều hệ điều hành khác (Ví dụ trường hợp hệ thống Macintosh riêng dual– homed host hệ thống Unix) Khi dual homed host thiết kế mơ hình khơng có Proxy, điều khiến cho người sử dụng thêm bực bội đáng ý làm giảm tiện ích mà Internet cung cấp, tồi tệ chúng thường không cung cấp an toàn cách đầy đủ, máy gồm nhiều người sử dụng tất nhiên độ an toàn giảm, đặc biệt họ cố gắng nắm bắt với vạn vật bên Proxy System giúp người sử dụng thoải mái an toàn cho dual– homed host, thay yêu cầu người sử dụng cách gián tiếp thông qua dual–homed host Hệ thống Proxy cho phép tất tương tác nằm hình thức Người sử dụng có cảm giác trực tiếp làm việc với Server Internet mà họ thật muốn truy xuất Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 104 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Hình 45 : Kết nối sử dụng Application–Level Gateway Proxy Application chương trình application–level gateway Firewall hành động hình thức chuyển đổi yêu cầu người sử dụng thơng qua Firewall, tiến trình thực trình tự sau: - Thành lập kết nối đến Proxy application Firewall - Proxy Application thu nhập thông tin việc kết nối yêu cầu người sử dụng - Sử dụng thông tin để xác định u cầu có chấp nhận khơng, chấp nhận, Proxy tạo kết nối khác từ Firewall đến máy đích - Sau thực giao tiếp trung gian, truyền liệu qua lại Client Server Proxy System giải rủi ro hệ thống tránh người sử dụng log in vào hệ thống ép buộc thông qua phần mềm điều khiển 5.1.1 Sự cần thiết Proxy Proxy cho phép người sử dụng truy xuất dịch vụ Internet theo nghĩa trực tiếp Với dual–homed host cần phải login vào host trước sử dụng dịch vụ Internet Điều thường không tiện lợi, số người trở nên thất vọng họ có cảm giác phải thơng qua Firewall, với Proxy, giải vấn đề Tất nhiên cịn có giao thức nói chung tiện lợi với người sử dụng Bởi Proxy Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 105 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp cho phép người sử dụng truy xuất dịch vụ Internet từ hệ thống cá nhân họ, khơng cho phép Packet trực tiếp hệ thống người sử dụng Internet Đường gián tiếp thông qua dual–homed host thông qua kết hợp Bastion Host screening Router Thực tế Proxy hiểu nghi thức dưới, nên trình truy cập (logging) thực theo hướng hiệu đặc biệt Ví Dụ: thay logging tất thông tin ngang qua đường truyền, Proxy FTP Server log lệnh phát Server đáp ứng mà nhận Kết đơn giản hữu dụng nhiều 5.1.2 Những nhược điểm Proxy - Mặc dù phần mềm Proxy có hiệu rộng rãi cho dịch vụ lâu đời đơn giản FTP Telnet, phần mềm sử dụng rộng rãi tìm thấy Thường chậm trễ thời gian xuất dịch vụ Proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phương pháp để thiết kế Proxy cho dịch vụ đó, điều cho thấy khó khăn đưa dịch vụ vào hệ thống Thường để đưa dịch vụ vào hệ thống chưa có Proxy cho nên đặt bên ngồi Firewall, đặt bên hệ thống yếu điểm - Đơi cần Proxy Server khác cho nghi thức, Proxy Server phải hiểu nghi thức để xác định phép khơng phép Để thực nhiệm vụ Client đến Server thật Server thật đến Proxy Client, kết hợp, cài đặt (install) cấu hình (config) tất Server khác khó khăn - Những dịch vụ Proxy thường sửa đổi chương trình Client, procedure hai Loại trừ vài dịch vụ thiết kế cho Proxying, Proxy Server yêu cầu sửa đổi với Client procedure, sửa đổi có bất tiện riêng nó, khơng thể ln ln sử dụng cơng cụ có sẵn với cấu trúc - Proxying dựa vào khả chèn vào Proxy Server Client Server thật mà yêu cầu tác động tương đối thẳn thắn hai - Những dịch vụ Proxy không bảo vệ cho hệ thống ứng với nghi thức chất lượng Như giải pháp an toàn, Proxying dựa vào khả xác định tác vụ nghi thức an tồn khơng phải tất Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 106 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp dịch vụ cấp theo khuynh hướng an toàn này, nghi thức Xwindows cung cấp nhiều tác vụ không an tồn 5.2 Sự kết nối thơng qua Proxy (Proxying) Những chi tiết việc Proxying thực khác từ dịch vụ đến dịch vụ khác, cài đặt (set up) Proxying, có vài dịch vụ thực dễ dàng tự động, vài dịch vụ có chuyển đổi khó khăn Tuy nhiên, hầu hết dịch vụ, yêu cầu phần mềm Proxy Server tương ứng, Client phải cần yêu cầu sau: Custom Client software: phần mềm loại phải biết để liên kết với Proxy Server thay Server thật người sử dụng yêu cầu yêu cầu Proxy Server Server thật kết nối đến Nhưng phần mềm custom Client thường có hiệu vài platform Ví Dụ: Package igateway từ Sun Proxy package cho FTP Telnet, sử dụng hệ thống Sun cung cấp recompiled Sun binaries Hình 46: Kết nối người dùng (Client) với Server qua Proxy Mặc dù phần mềm có hiệu cho platform tương ứng, điều mà người sử dụng mong muốn, Ví Dụ: Macintosh có Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 107 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp hàng chục chương trình FTP Client, vài số thật có giao diện ấn tượng với người sử dụng, phần khác có đặc điểm hữu dụng khác Anarchie chương trình mà kết hợp archie Client FTP Client bên chương trình đơn, người sử dụng tìm file với archie dùng FTP để lấy nó, tất với giao diện người sử dụng thích hợp, điều khơng may mắn cho muốn hỗ trợ Proxy Server Sử dụng chuyển đổi Client cho Proxying không dễ dàng thuyết phục người sử dụng Trong hầu hết hệ thống sử dụng Client không chuyển đổi kết nối bên số chuyển đổi với kết nối bên ngoài, lúc người sử dụng cần phải sử dụng thêm chương trình thêm vào để tạo kết nối bên Custom user procedure: người sử dụng dùng phần mềm Client chuẩn để giao tiếp với Proxy Server kết nối đến Server thật, thay trực tiếp Server thật Proxy Server thiết kế thực thi với phần mềm Client chuẩn Tuy nhiên, chúng yêu cầu người sử dụng theo custom procedure Người sử dụng trước tiên kết nối đến Proxy Server sau cung cấp cho Proxy Server tên host mà họ muốn kết nối đến Bởi vài nghi thức thiết kế để truyền thông tin này, người sử dụng phải nhớ tên Proxy Server phải nhớ host khác mà họ muốn giao tiếp Như để thực công việc này, cần phải nắm thủ tục đặc trưng theo sau nghi thức 5.3 Các dạng Proxy 5.3.1 Dạng kết nối trực tiếp Phương pháp sử dụng kỹ thuật Proxy cho người sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa Firewall số cổng Proxy, sau Proxy hỏi người sử dụng cho địa host hướng đến, phương pháp brute force sử dụng Firewall cách dễ dàng, vài nguyên nhân phương pháp thích hợp Trước tiên, yêu cầu người sử dụng biết địa Firewall, yêu cầu người sử dụng nhập vào hai địa cho kết nối: Địa Firewall địa đích hướng đến Cuối ngăn cản ứng dụng nguyên máy tính người sử dụng điều tạo Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 108 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp kết nối cho người sử dụng, chúng điều khiển yêu cầu đặc biệt cho truyền thông với Proxy 5.3.2 Dạng thay đổi Client Phương pháp sử dụng Proxy setup phải thêm vào ứng dụng máy tính người sử dụng Người sử dụng thực thi ứng dụng đặc biệt với việc tạo kết nối thông qua Firewall Người sử dụng với ứng dụng hành động ứng dụng khơng sửa đổi Người sử dụng cho địa host đích hướng tới Những ứng dụng thêm vào biết địa Firewall từ file config cục bộ, set up kết nối đến ứng dụng Proxy Firewall, truyền cho địa cung cấp người sử dụng Phương pháp có hiệu có khả che dấu người sử dụng, nhiên, cần có ứng dụng Client thêm vào cho dịch vụ mạng đặc tính trở ngại 5.4.3 Proxy vơ hình Một số phương pháp phát triển gần cho phép truy xuất đến Proxy, vài hệ thống Firewall biết Proxy vơ hình mơ hình này, khơng cần phải có ứng dụng thêm vào với người sử dụng kết nối trực tiếp đến Firewall biết Firewall có tồn Sử dụng điều khiển đường bản, tất kết nối đến mạng bên đường thông qua Firewall Như Packet nhập vào Firewall, tự động chúng đổi hướng đến ứng dụng Proxy chờ Theo hướng này, Firewall thực tốt việc host đích kết nối tạo Firewall Proxy, Client application nghĩ kết nối với Server thật, phép, Proxy application sau thực hàm Proxy chuẩn việc tạo kết nối thứ hai đến Server thật Proxy lớp ứng dụng đối nghịch với Proxy lớp circuit: application–level Proxy thực thi lớp ứng dụng Nó cung cấp cho dịch vụ riêng interpret dòng lệnh nghi thức Một circuit–level Proxy tạo nên circuit Client Server không cần phải interpret nghi thức Nói chung, application–level Proxy sử dụng modified procedure circuit–level Proxy sử dụng modified Client Để tạo kết nối Proxy, phải biết vị trí muốn kết nối đến Một hybrid gateway đơn giản chặn đứng kết nối, Proxy host nhận kết nối mà đề nghị với nó, phải vị trí muốn kết nối Một application–level Proxy thể nhận thơng tin nghi thức riêng Một circuit–level Proxy interpret theo nghi thức cần phải có thơng tin hồ trợ cho thơng qua Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 109 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp cách khác Ưu điểm circuit–level Proxy cung cấp cho hầu hết nghi thức khác nhau, circuit–level Proxy Server Proxy Server chung cho tất dạng nghi thức, nhiên nghi thức dễ dàng điều khiển circuit–level Proxy, khuyết điểm circuit–level Proxy Server điều khiển dựa vào xảy thơng qua Proxy Packet filter, điều khiển kết nối dựa vào địa nguồn địa địa đíchvà khơng xác định lệnh qua an tồn kiện mà nghi thức mong muốn, circuit–level Proxy dể dàng bị đánh lừa Server setup lại cổng gán đến Server khác Proxy chung đối nghịch với Proxy chuyên biệt: “application–level” “circuit–level” thường dùng, phân biệt “dedicated” “generic” Proxy Server Một dedicated Proxy Server Server phục vụ nghi thức đơn, generic Proxy Server Server phục vụ cho nhiều nghi thức Thật ra, dedicated Proxy Server application–level, generic Proxy Server circuit–level Intelligent Proxy Server: Proxy Server làm nhiều điều khơng phải chuyễn tiếp u cầu, intelligent Proxy Server, Ví Dụ: cern http Proxy Server caches data, nhiều u cầu data khơng khỏi hệ thống chưa có xử lý Proxy Server Proxy Server (đặc biệt application–level Server ) cung cấp logging dễ dàng điều khiển truy xuất tốt hơn, circuit–level Proxy thường bị giới hạn khả Using Proxying với dịch vụ Internet: Proxy chèn vào kết nối Client Server, phải thích ứng với dịch vụ riêng, số dịch vụ dễ với cách thực bình thường lại khó thêm vào Proxy TCP đối nghịch với nghi thức khác: TCP nghi thức connection_oriented, nên khó khăn khoảng thời gian ban đầu để tạo cầu nối sau tiếp tục sử dụng cầu nối để truyền thơng, cịn UDP ngược lại nên khó hơn, ICMP low Protocol nên dùng Proxy Unidirectional versus multidirectional connection: dễ dàng cho Proxy Server chặn đứng kết nối khởi đầu từ Client đến Server, khó cho việc ngăn chặn kết nối ngược lại, Server phải interpret sửa đổi thêm vào Protocol để tạo kết nối xác Ví Dụ: Normal mode FTP yêu cầu Proxy Server chặn port Client gửi đến Server, mở kết nối từ Proxy đến Client với cổng gửi cổng khác Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 110 Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp đến Server thật Nó khơng cung cấp cho Proxy Server đơn giản đọc port hướng đó, cổng sử dụng, kiện luôn nảy sinh nghi thức yêu cầu kết nối ngược lại Protocol sercurity: vài dịch vụ để thực Proxy cho đơn giản, loại trừ vấn đề security Nếu nghi thức vốn khơng an tồn, Proxy khơng thể làm điều khác để tăng độ an tồn cho Thường khó phân biệt tác vụ an tồn khơng an tồn nên đặt dịch vụ Victim host User specified data: vài dịch vụ, đặc biệt “store and forward” smtp, nntp, thường tự hổ trợ tính Proxying Những dịch vụ thiết kế truyền nhận message Server stored đến chúng gửi Server tương ứng, xem header nhận incoming Internet e_mail, message từ người gửi đến người nhận thông qua bước : Máy gửi – Outgoing mail gateway vị trí người gửi – Incoming mail gateway vị trí người nhận – Cuối đến máy nhận Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 111

Ngày đăng: 08/08/2023, 10:58

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan