Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở

Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở

TP.Hồ Chí Minh, Ngày … Tháng … Năm 2013

GIÁO VIÊN HƯỚNG DẪN

TP.Hồ Chí Minh, Ngày … Tháng … Năm 2013

GIÁO VIÊN PHẢN BIỆN

TP.Hồ Chí Minh, Ngày … Tháng … Năm 2013

Chúng em xin được gửi lời cảm ơn trân trọng và sâu sắc nhất tới giáo viên hướng

dẫn Thầy Nguyễn Đăng Quang – người đã tận tình chỉ bảo, hướng dẫn, truyền đạt kiến

thức chúng em trong suốt quá trình nghiên cứu thực hiện đề tài này

Trong quá trình học tập, triển khai nghiên cứu đề tài và những gì đạt được hôm nay, chúng em không thể quên được công lao giảng dạy và hướng dẫn của các Thầy, Cô trường Đại học Sư phạm kỹ thuật TPHCM, đặc biệt là các Thầy, Cô khoa Công nghệ thông tin trường Đại học Sư phạm kỹ thuật TPHCM

Xin được cảm ơn bạn bè đã luôn ở bên chúng em, giúp đỡ và tạo điều kiện thuận lợi cho chúng em được học tập, nghiên cứu, hoàn thành đề tài

TP Hồ Chí Minh, Ngày 18 tháng 06 năm 2013

Nhóm thực hiện đề tài Nguyễn Thế Đạt Nguyễn Quang Linh

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN 8

1.1 Lí do chọn đề tài 8

1.1.1 Lí do khách quan 8

1.1.2 Lí do chủ quan 8

1.2 Mục tiêu đề tài 8

1.3 Giới hạn đề tài 8

1.4 Mục đích nghiên cứu 9

1.4.1 Mục đích trước mắt 9

1.4.2 Mục đích cụ thể 9

1.4.3 Mục đích lâu dài 9

1.5 Thể thức nghiên cứu 9

1.5.1 Dàn ý chi tiết 9

1.5.2 Đối tượng nghiên cứu 10

1.5.3 Phương pháp nghiên cứu 10

1.5.4 Phương tiện nghiên cứu 10

CHƯƠNG 2: HỆ THỐNG MẠNG DOANH NGHIỆP 11

2.1 Kiến trúc Enterprise Cisco 11

2.1.1 Kiến trúc Campus 11

2.1.2 Kiến trúc Data Center 12

2.1.3 Kiến trúc Branch 13

2.1.4 Kiến trúc Teleworker 14

2.1.5 Kiến trúc WAN và MAN 14

2.2 Mô hình mạng LAN 15

2.2.1 Mô hình phân cấp (Hierarchical models) 15

2.2.2 Mô hình dự phòng (Redundant Models) 16

2.2.3 Mô hình an ninh-an toàn (Secure models) 16

2.3 Mô hình WAN 18

CHƯƠNG 3: MÔ HÌNH MẠNG ĐỀ XUẤT 20

3.1 Các yêu cầu về dịch vụ 20

3.2 Sơ đồ mạng thực tế 20

3.3 Sơ đồ mạng thực nghiệm 21

CHƯƠNG 4: CÁC DỊCH VỤ MẠNG 23

4.1 Dịch vụ DNS 23

4.1.1 Giới thiệu về DNS 23

4.1.2 Cài đặt và cấu hình 26

4.2 Dịch vụ DHCP 30

4.2.1 Giới thiệu DHCP 30

4.2.2 Cài đặt và cấu hình 31

4.3 Dịch vụ telnet 34

4.3.1 Giới thiệu telnet 34

4.3.2 Cấu hình và cài đặt 35

4.4 Dịch vụ ssh 36

4.4.1 Sơ lược về SSH 36

4.4.2 Cài đặt và cấu hình 37

4.5 LDAP 42

4.5.1 Giới thiệu 42

4.5.2 Cài đặt và cấu hình LDAP 48

4.6 Dịch vụ NFS 57

4.6.1 Giới thiệu NFS 57

4.6.2 Cài đặt và cấu hình 57

4.7 Dịch vụ Samba 60

4.7.1 Giới thiệu SAMBA 60

4.7.2 Cài đặt và cấu hình SAMBA 61

4.8 Dịch vụ firewall 68

4.8.1 Giới thiệu 68

4.8.2 Cài đặt và cấu hình 69

4.9 Dịch vụ proxy 74

4.9.1 Giới thiệu proxy 74

4.9.2 Cài đặt và cấu hình 76

4.10.Mail server 85

4.10.1.Giới Thiệu Về Mail Server: 85

4.10.2.Cài đặt 87

4.11.Web server 95

4.11.1 Giới thiệu 95

4.11.2 Cài đặt 97

4.12.FTP server 100

4.12.1.Giới thiệu FTP 100

4.12.2.Cài đặt 103

4.13.Virtual Private Network (VPN) 106

4.13.1.Giới thiệu 106

4.13.2.Cài đặt và cấu hình 108

4.14.IDS-IPS 116

4.14.1 Giới thiệu 116

4.14.2 Cài đặt và cấu hình snort 119

CHƯƠNG 5: KẾT LUẬN - HƯỚNG PHÁT TRIỂN 124

5.1 Tổng kết những công việc đã làm 124

5.2 Kết quả đạt được: 124

5.3 Hướng phát triển 124

TÀI LIỆU THAM KHẢO 125

DANH MỤC HÌNH ẢNH

Hình 2.1: Các kiến trúc Enterprise của Cisco 11

Hình 2.2: Kiến trúc Campus 12

Hình 2.3: Kiến trúc Data Center 13

Hình 2.4: Kiến trúc Branch 14

Hình 2.5: Mô hình phân cấp 15

Hình 2.6: Mô hình tường lửa 3 phần 17

Hình 2.7: Mô hình phân cấp để hỗ trợ thiết kế WAN 18

Hình 3.1: Mô hình thực nghiệm 21

Hình 4.1: Nội dung file cấu hình phân giải thuận 29

Hình 4.2: Nội dung file cấu hình phân giải ngược 29

Hình 4.3: DNS phân giải trong nslookup 30

Hình 4.4: Nội dung file cấu hình dhcp server 32

Hình 4.5: Mô hình thực nghiệm 33

Hình 4.6: Nội dung file cấu hình dhcp replay agent 34

Hình 4.7: Nội dung file cấu hình định tuyến 34

Hình 4.8: Nội dung file cấu hình telnet 35

Hình 4.9: Login telnet 35

Hình 4.10: Nội dung file cấu hình security cho telnet 36

Hình 4.11: Nội dung file cấu hình sshd.config 38

Hình 4.12: Giao diện phần mềm PuTTY 38

Hình 4.13: Lệnh xin khóa rsa 39

Hình 4.14: Đổi tên và chmod id_rsa.pub 39

Hình 4.15: Giao diện Winscp 40

Hình 4.16: Giao diện putty gen 40

Hình 4.17: Load private key 41

Hình 4.18: Chỉ đường dẫn đến private key 41

Hình 4.19: Kiểm thử ssh 42

Hình 4.10: Mô hình client server 42

Hình 4.21: Cấu trúc cây trong ldap 43

Hình 4.22:Luồng thông điệp giữa client server 44

Hình 4.23: Những thông điệp Client gửi cho server 44

Hình 4.24: Nhiều kết quả tìm kiếm được trả về 45

Hình 4.25: Giao diện web phpldapadmin 52

Hình 4.26: Màn hình join domain 56

Hình 4.27: Màn hình join domain thành công 56

Hình 4.28: Nội dung file cấu hình fstab 59

Hình 4.29: Nội dung thư mục data trên server 60

Hình 4.30: Nội dung thư mục data trên client 60

Hình 4.31: Mô hình samba 61

Hình 4.32: Kiểm tra cấu hình samba 62

Hình 4.33: Xem danh sách các folder share 65

Hình 4.34: Nội dung file cấu hình swat 66

Hình 4.35: Màn hình giao diện web swat 66

Hình 4.36: Giao diện cấu hình swat 68

Hình 4.37: Luồng sự kiện đi qua firewall 69

Hình 4.38: Nội dung file cấu hình iptables 71

Hình 4.39: Vị trí proxy với client và server 75

Hình 4.40: Cấu hình proxy cho web browser 79

Hình 4.41: Màn hình địa chỉ facebook bị chặn 80

Hình 4.42: Màn hình yêu cầu chứng thực 81

Hình 4.43: Màn hình chứng thực thành công 81

Hình 4.44: Màn hình chặn trang web có chƣa virus 85

Hình 4.45: Thành phần postfix 86

Hình 4.46: Gừi mail ESMTP 89

Hình 4.47: Kiểm tra mail 90

Hình 4.48: Khởi động thunderbird 91

Hình 4.49: Tạo tài khoản thunderbird 92

Hình 4.50: Giao diện làm việc Thunderbird 92

Hình 4.51 : Giao diện đăng nhập squirrel mail 95

Hình 4.52 : Giao diện squirrel mail 95

Hình 4.53: Mô hình dịch vụ FTP 101

Hình 4.54: File selinux 104

Hình4.55: Truy cập FTP server từ Windows 106

Hình 4.56: Tạo private key 110

Hình 4.57: Tạo certificate và private key cho server 111

Hình 4.58: Tạo certificate và private key cho client 112

Hình 4.59: OpenVPN Connection 116

Hình 4.60: Màn hình quét Nmap 123

Hình 4.61: Màn hình giao diện snort base 123

DANH MỤC CÁC TỪ VIẾT TẮT

DNS: Domain Name System

DHCP: Dynamic Host Configuration Protocol

SSH: Secure Shell

LDAP: Lightweight Directory Access Protocol

NFS: Network File System

UDP: User Datagram Protocol

TCP: Transmission Control Protocol

SMTP: Simple Mail Transfer Protocol

POP: Post Office Protocol

IMAP: Internet Message Access Protocol

FTP: File Transfer Protocol

VPN: Virtual Private Network

IDS: Intrusion detection system

IPS: Intrusion prevention systems

CHƯƠNG 1: TỔNG QUAN1.1 Lý do chọn đề tài

1.1.1 Lý do khách quan

- Hiện nay, công nghệ thông tin đang đóng vai trò cực kỳ quan trọng không thể thiếu trong quá trình quản lý, điều hành các hoạt động sản xuất kinh doanh của mỗi doanh nghiệp Do vậy, việc xây dựng được một hệ thống mạng với đầy đủ các dịch vụ cần thiết phục vụ kinh doanh là điều cực kỳ cấp thiết

- Ngoài các yếu tố phần cứng và nguồn nhân lực quản trị thì yếu tố phần mềm cũng đóng vai trò rất quan trọng khi xây dựng một hệ thống mạng Nói đến phần mềm, một vấn đề lớn ở nước ta đó là bản quyền, chi phí mua bản quyền các dịch vụ để hoàn tất một

hệ thống mạng là rất lớn Nên để tiết kiệm một khoản lớn chi phí, người ta dần chuyển sang các sản phẩm dịch vụ từ mã nguồn mở Ngoài việc chạy ổn định, ít bị tấn công, có một cộng đồng phát triển rất lớn thì ưu điểm lớn nhất và đáng quan tâm nhất của mã

nguồn mở đó là không tốn phí Vì những lý do trên, nhóm thực hiện đề tài: “Xây dựng

hệ thống mạng doanh nghiệp sử dụng mã nguồn mở”

1.1.2 Lý do chủ quan

- Nhóm chúng tôi thực hiện đề tài nhằm mục đích tìm hiểu thêm những kiến thức mới trong ngành Mạng máy tính Để từ đó có thêm kiến thức phục vụ cho quá trình học cũng như có ích cho công việc sau khi tốt nghiệp ra trường

1.2 Mục tiêu đề tài

- Tìm hiểu kiến trúc mạng doanh nghiệp

- Đề xuất một mô hình mạng doanh nghiệp

- Cài đặt và cấu hình các dịch vụ theo mô hình đã đề xuất

1.3 Giới hạn đề tài

- Đề tài “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở” được nhóm chúng tôi lựa chọn để thực hiện khóa luận

- Để xây dựng đƣợc mô hình mạng doanh nghiệp chạy ổn định và an toàn, kiểm soát hầu hết các lỗi và các tấn công trong mạng internet cần cài đặt và cấu hình rất nhiều dịch

vụ tịch hợp với nhau Do thời gian cũng nhƣ kiến thức và kinh nghiệm của nhóm chƣa

có, nên đề tài chỉ cài đặt và cấu hình các dịch vụ cơ bản nhất của một hệ thống mạng cần

Mục đích cụ thể nhóm nghiên cứu sẽ giải quyết các vấn đề sau:

- Giới thiệu nội dung

+ Mục đích nghiên cứu

+ Thể thức nghiên cứu

- Phần nội dung

+ Chương 1: Tổng quan

+ Chương 2: Mô hình mạng doanh nghiệp

+ Chương 3: Mô hình mạng đề xuất

+ Chương 4:Các dịch vụ mạng

- Phần kết luận – đề nghị

- Phụ lục

1.5.2 Đối tượng nghiên cứu

Đối tượng nghiên cứu: hệ thống Centos 6

1.5.3 Phương pháp nghiên cứu

- Phương pháp tham khảo tài liệu: thu thập các tài liệu liên quan, phục vụ cho quá trình nghiên cứu

- Phương pháp tổng kết kinh nghiệm: thu thập các ý kiến, các phương pháp của thầy (cô) giảng dạy bộ môn chuyên ngành, kết hợp với những kinh nghiệm của bản thân rồi đúc kết để đưa vào bài báo cáo này

1.5.4 Phương tiện nghiên cứu

- Máy tính

- Các tài liệu

- Các phần mềm hổ trợ

CHƯƠNG 2: HỆ THỐNG MẠNG DOANH NGHIỆP

Chương này trình bày kiến trúc mạng Cisco và các loại mô hình mạng trong doanh nghiệp, từ đó sẽ xây dựng một mô hình mạng thực nghiệm cho đề tải

2.1 Kiến trúc Enterprise Cisco

- Kiến trúc tích hợp đầy đủ và tối ưu hóa các cơ sở hạ tầng mạng, dịch vụ tương tác,

và các ứng dụng trên toàn bộ doanh nghiệp Các kiến trúc cụ thể: Campus, Data Center, Branch, Teleworker, MAN và WAN

Hình 2.1: Các kiến trúc Enterprise của Cisco

2.1.1 Kiến trúc Campus

- Là một mạng lưới gồm một tòa nhà hoặc một nhóm các tòa nhà được kết nối vào một mạng doanh nghiệp đó bao gồm nhiều mạng LAN Thường giới hạn trong một khu vực địa lý cố định

Hình 2.2: Kiến trúc Campus

- Ví dụ: Một khu liên hợp công nghiệp, môi trường công viên kinh doanh

- Kiến trúc khuôn viên cho các doanh nghiệp mô tả các phương pháp để tạo ra một mạng lưới khả năng mở rộng, giải quyết các nhu cầu của hoạt động kinh doanh

- Là mô hình mạng thông minh do Cisco đưa ra bao gồm 3 phần chính:

+ Access Layer

+ Distribution Layer

+ Core Layer

2.1.2 Kiến trúc Data Center

- Là trung tâm dữ liệu có trách nhiệm quản lý và duy trì hệ thống dữ liệu và quan trọng đối với hoạt động kinh doanh hiện đại

+ Nhân viên, đối tác và khách hàng dựa trên dữ liệu và các nguồn lực trong trung tâm dữ liệu để có hiệu quả cộng tác và tương tác

+ Trong thập kỷ qua, sự phát triển của Internet và công nghệ trên nền web dã làm cho trung tâm dữ liệu trở nên quan trọng hơn bao giờ hết, nâng cao năng suất, nâng cao quy trình kinh doanh và thay đổi tốc độ

Hình 2.3: Kiến trúc Data Center

2.1.3 Kiến trúc Branch

- Là kiến trúc hỗ trợ doanh nghiệp mở rộng ứng dụng văn phòng và tích hợp hàng loạt các dịch vụ trên router tại chi nhánh cho các doanh nghiệp khi triển khai dịch vụ mở

Hình 2.4: Kiến trúc Branch

- Cisco tích hợp bảo mật, chuyển mạch, mạng lưới phân tích, lưu trữ và hội tụ các dịch vụ thoại và video vào một loạt các dịch vụ tích hợp bộ định tuyến trong ngành để các doanh nghiệp có thể triển khai dịch vụ mới khi họ đã sẵn sàng mà không cần mua thiết bị mới

2.1.5 Kiến trúc WAN và MAN

- Kiến trúc Enterise của Cisco về WAN và MAN cung cấp sự hội tụ của thoại, video,

và các dịch vụ dữ liệu trên một mạng Truyền thông IP Cách tiếp cận này cho phép doanh nghiệp tiết kiệm chi phí làm việc trong một khu vực địa lý rộng lớn

+ Tầng phân tán (Distribution Layer): Lớp phân tán là ranh giới giữa tầng truy nhập và tầng Core của mạng Tầng phân tán thực hiện các chức năng như đảm bảo gửi dữ liệu đến từng phân đoạn mạng, bảo mật, phân đoạn mạng theo nhóm công tác, chia miền broadcast/multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môi trường truyền

dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo địa chỉ, theo số hiệu cổng, ), thực hiện các cơ chế đảm bảo chất lượng dịch vụ QoS

+ Tầng truy nhập (Access Layer): Tầng truy nhập cung cấp cho người dùng cục bộ hay từ xa truy nhập vào mạng Thường được thực hiện bằng các bộ chuyển mạch (switch) trong môi trường campus, hay các công nghệ WAN

2.2.2 Mô hình dự phòng (Redundant Models)

- Khi thiết kế một hệ thống mạng cho khách hàng, cần phải xác định khả năng thất bại của các thành phần trong hệ thống và thiết kế dự phòng khi cần thiết

- Hệ thống tường lửa 3 phần (Three-Part Firewall System), đặc biệt quan trọng trong thiết kế WAN Ở đây, chúng tôi chỉ nêu một số khía cạnh chung nhất cấu trúc của mô hình sử dụng trong thiết kế mạng LAN

Hình 2.6: Mô hình tường lửa 3 phần

- Một mạng LAN cô lập làm vùng đệm giữa mạng nội bộ của công ty với mạng bên ngoài (trong một số tài liệu mạng LAN này được gọi là vùng phi quân sự (DMZ))

- Một router hoạt động như một bộ lọc gói tin được đặt giữa DMZ và mạng nội bộ

- Một router khác hoạt động như một bộ lọc gói tin được đặt giữa DMZ và mạng ngoài

2.3 Mô hình WAN

- Khái niệm mô hình phân cấp: Mô hình phân cấp để hỗ trợ thiết kế WAN thường là

mô hình phân cấp ba tầng: tầng 1 là tầng lõi(xương sống của WAN – backbone), tầng 2 phân tán, tầng 3 là tầng truy nhập, gọi tắt là mô hình phân cấp phục vụ cho việc khảo sát

và thiết kế WAN

Hình 2.7: Mô hình phân cấp để hỗ trợ thiết kế WAN + Tầng lõi là phần kết nối mạng (WAN backbone): kết nối các trung tâm mạng (NOC) của từng vùng, thông thường khoảng cách giữa các NOC là xa hay rất xa, do vậy chi phí kết nối và độtin cậy cần phải được xem xét kỹ Hơn nưa vấn đề đảm bảo chất lượng dịch vụ QoS cũng được đặt ra, dẫn đến phân loại, phân cấp ưu tiên dịch vụ

+ Tầng phân tán là phần kết nối các điểm đại diện POP, hay các nhánh mạng vào NOC

- Tầng truy nhập từ xa là phần kết nối của người dùng di động, hay các chi nhánh nhỏ vào POP hay vào NOC

- Các ưu điểm của mô hình phân cấp: Nhờ mô hình phân cấp người thiết kết WAN

dễ tổ chức khảo sát, dễ lựa chọn các phương án và công nghệ kết nối, dễ tổ chức triển khai, cũng như đánh giá kết quả

CHƯƠNG 3: MÔ HÌNH MẠNG ĐỀ XUẤT 3.1 Các yêu cầu về dịch vụ

Để xây dựng được một hệ thống mạng cục bộ, phục vụ hầu hết các công việc kinh doanh, cần có:

- DNS primary server để phân giải tên miền nội bộ

- DNS seconday để dự phòng cho primary DNS server

- DHCP server để cấp địa chỉ IP cho các host

- DC server kết hợp samba để chứng thực tập trung cho các users

- Web server để phục vụ trang web giới thiệu, quảng bá về công ty

- Mail server để gởi nhận mail trong nội bộ và nếu muốn gởi mail ra ngoài thì phải đăng ký tên miền trên internet

- FTP server để trao đổi file

- Cài đặt dịch vụ SAMBA để chia sẻ file trong mạng cục bộ giữa client windows và linux

- Cài đặt dịch vụ NFS để chia sẻ file trong mạng cục bộ giữa các client linux với nhau

- Cài đặt firewall, proxy, IDS để lọc gói tin, ngăn chặn và phát hiện tấn công đến các server

- Cài đặt telnet, ssh để điều kiển server từ xa

- Cài đặt VPN server giúp remote client truy xuất mạng cục bộ

3.2 Sơ đồ mạng thực tế

Dựa vào những yêu cầu trên, nhóm đề xuất mô hình mạng và các dải địa chỉ IP như sau

 Web server, mail server, ftp server địa chỉ: 192.168.1.4/24

 DC server, DNS secondary server, samba, nfs địa chỉ: 192.168.1.2/24

 DHCP server, DNS primary server,VPN server địa chỉ: 192.168.1.3/24

 Mạng cục bộ chứa các client có dãi địa chỉ : 192.168.2.0/24

server2 eth0: 192.168.1.4 255.255.255.0 192.168.1.1 192.168.1.3

192.168.1.2 server3 eth0: 192.168.1.2 255.255.255.0 192.168.1.1 192.168.1.3

192.168.1.2 server4 eth0: 192.168.1.3 255.255.255.0 192.168.1.1 192.168.1.3

192.168.1.2 client DHCP

CHƯƠNG 4: CÁC DỊCH VỤ MẠNG 4.1 Dịch vụ DNS

và việc phải nhớ một dãy số hexa 32 số là việc không tưởng

- Do những khó khăn trên nên người ta nghĩ ra việc, làm sao để ánh xạ địa chỉ ip của mỗi máy thành hostname của nó và ngược lại Để khi trao đổi với nhau người ta chỉ cần nhớ tên hostname của máy tính bên kia

- Ban đầu do quy mô mạng ARPA NET( tiền thân của mạng internet) còn nhỏ, nên chỉ

có một tập tin HOST.TXT lưu thông tin và ánh xạ tên máy thành địa chỉ IP Trong đó, tên máy chỉ là chuỗi văn văn bản không phân cấp (plat name) Tập tin này được duy trì tại một máy chủ và các máy chủ khác lưu giữ bản sao của nó Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOST.TXT có các nhược điểm sau :

+ Lưu lượng mạng và máy chủ duy trì tập tin HOST.TXT bị quá tải

+ Xung đột tên: do tên máy không phân cấp và không có cơ quản lý tập tin nên có nguy cơ bị xung đột tên

+ Không đảm bảo sự toàn vẹn: việc duy trì tập tin trên một mạng lớn rất khó khăn

Ví dụ: khi tập tin HOST.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có

sự thay đổi địa chỉ trên mạng rồi

- Tóm lại: việcsử dụng tập tin HOST.TXT không phù hợp cho mạng lớn vì thiếu cơ chế phân tán và mở rộng Do đó dịch vụ DNS ra đời nhằm khắc phục các nhược điểm

này

4.1.1.1 Hệ thống tên miền – DNS

- DNS hoạt động theo mô hình client - server Máy chủ server chứa các thông tin CSDL Phía client là trình phân giải tên resolver, nó chỉ là các hàm thư viện dùng để tạo các query và gởi chúng đến máy chủ DNS server

- DNS hoạt động như một giao thức tầng application trong mạng TCP/IP

- DNS là một cơ sở dữ liệu phân tán Có nhiệm vụ chuyển đổi tên miền sang địa chỉ IP

và ngược lại Hệ thống DNS ra đời nhằm mục đích giúp người sử dụng một tên dễ nhớ,

dễ sử dụng

- Nguyên tắc làm việc của DNS:

+ Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server của riêng mình Khi

có yêu cầu tìm kiếm một website nào đó, thì DNS server phân giải tên website này phải

là DNS server của chính tổ chức quản lý website đó

+ INTERNIC - Internet Network Information Center chịu trách nhiệm quản lý các tên miền và DNS server tương ứng

+ DNS server có khả năng truy vấn các DNS server khác Ngoài việc phân giải tên miền cho các máy trong nội bộ thì nó cũng hỗ trợ các truy vấn từ các máy ngoài mạng internet vào bên trong

+ DNS server cũng có khả năng nhớ lại các tên vừa phân giải, để dùng cho những lần truy vấn lần sau Số lượng tên miền được lưu lại phụ thuộc vào quy mô của từng DNS server

4.1.1.2 Hoạt động của DNS server trong LINUX

- Phân loại DNS server

+ Primary name server: Nguồn xác thực thông tin chính thức cho các domain mà

nó được phép quản lý

+ Secondary name server: server dự phòng cho primary server

+ Caching name server: Lưu lại các lần truy vấn của client, giúp cho các lần truy vấn sau được nhanh chóng và giảm tải cho server

+ Hệ thống tên miền cho phép phân chia tên miền để quản lí và chia hệ thống tên miền thành Zone và trong Zone quản lí tên miền được phân chia đó

 Zone file lưu thông tin Zone ở dạng text hoặc trong Active Directorry

+ Zone thuận và Zone nghịch

 Zone thuận - Forward Lookup Zone để phân giải tên máy (Hostname) thành địa chỉ IP

 Zone nghịch - Reverse Lookup Zone để phân giải địa chỉ IP thành tên máy (Hostname)

- Các loại truy vấn

+ Truy vấn đệ quy (Recursive query) : Khi name server nhận được truy vấn dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được Nameserver không thể tham chiếu truy vấn đến một name server khác Namesserver có thể gửi truy vấn dạng đệ quy hoặc tương tác đến nameserver khác nhưng nó phải thực hiện cho đến khi nào có kết quả mới thôi

+ Truy vấn tương tác: khi nameserver nhận được truy vấn dạng này, nó trả lời cho resolver với thông tin tốt nhất mà nó có được vào thời điểm đó Bản thân nameserver

không thực hiện bất cứ một truy vấn nào thêm Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache) Trong trường hợp nameserver không tìm thấy trong dữ liệu cục

bộ nó sẽ trả về tên miền và địa chỉ IP của nameserver gần nhất mà nó biết

+ File named.conf: file cấu hình chính cùa DNS

+ Các tệp cơ sở dữ liệu DNS - các file phận giải thuận, phân giải nghịch Thành phần cơ bản là bản ghi nguồn RR( Resource Record) Mỗi bản ghi có một kiểu dữ liệu, bao gồm:

 SOA (Start of Authority): Trong mỗi tập tin cơ sở dữ liệu phải có một và chỉ một record SOA Record SOA chỉ ra rằng máy chủ name server là nơi cung cấp thông tin tin cậy từ dữ liệu có trong zone

 NS (Name Server): tên server

 MX (Mail Exchange): chuyểnmail trên mạng Internet

 A (Address): ánh xạ tên máy (hostname) vào địa chỉ IP

 CNAME (Canonical Name): tên bí danh của server

 PTR: dùng để ánh xạ địa chỉ IP thành Hostname

4.1.2 Cài đặt và cấu hình

4.1.2.1 Cài đặt

- Cần download và cài đặt gới BIND trên máy linux Thường thì tên file cài đặt BIND bắt đầu là bind, sau đó là version, ví dụ: bind-9.6.2-5.P2.fc12.i686

- Nếu không biết version nào, gõ: bind*

- Thông thường có 2 cách cài đặt BIND là cài từ source và từ gói compile sẵn (RPM - Redhat Package Manager)

 Liệt kê các gói bind: #cd Centos

 Cài đặt các gói phục vụ cho dịchvụ DNS: #rpm –ivh bind.*.rpm (* là phiên bản của gói cài đặt)

 Named.root chứa địa chỉ của DNS root server trên toàn cầu

 zone "localhost" là zone phân giải thuận của localhost

 zone "0.0.127.in-addr.arpa” là zone phân giải nghịch của localhost

 zone "spkt.com.vn" là zone phân giải thuận trong miền nội bộ của hệ thống

 zone "1.168.192.in-addr.arpa" là zone phân giải nghịch trong miền nội bộ Phân giải trong miền nội bộ phụ thuộc rất lớn vào 2 file này

+ Cấu hình file "spkt.db";trong /var/named/chroot/var/named/

Hình 4.1: Nội dung file cấu hình phân giải thuận + Cấu hình file phân giải nghịch "1.168.192.in-addr.arpa.db" trong /var/named/chroot/var/named/

Hình 4.2: Nội dung file cấu hình phân giải ngƣợc

Sau khi cấu hình xong file này và ping thành công 2 máy thì khi restart lại dịch

vụ, DNS slave tự động cập nhật các cấu hình bên máy Master qua file cấu hình

- Kiểm tra dịch vụ DNS phân giải trong nslookup

Hình 4.3: DNS phân giải trong nslookup

- Với mô hình mạng tương đối nhỏ việc cấp IP tương đối dễ dàng Nhưng với 1 mô hình mạng lớn thì việc cung cấp IP trở nên khó khăn

 Cần phải có một dịch vụ cung cấp IP tự động cho các máy client trong hệ thống mạng

- DHCP là một dịch vụ cung cấp IP động cho các Client

- Hoạt động theo mô hình Client – Server

- Ngoài ra DHCP còn có nhiều tính năng khác cho client như: cung cấp địa chỉ của máy tính dùng để giải quyết tên miền DNS, địa chỉ của một Gateway router, …

4.2.1.2 Cấu hình DHCP server bao gồm bốn thông số sau:

- Options: Dùng để cung cấp các yếu tố cho phía client như địa chỉ IP, địa chỉ subnet

mask, địa chỉ Gateway, địa chỉ DNS …

- Scope: Một đoạn địa chỉ được quy định trước trên DHCP server dùng để gán cho các

#rpm –ivhdhcp-*.rpm (với * là phiên bản của gói dịch vụ)

+ Cách 2: cài đặt bằng cách tải từ trên mạng

#yum –y install dhcp

- Kiểm tra gói cài đặt :# rpm –qa|grepdhcp

Hình 4.4: Nội dung file cấu hình dhcp server

Ý nghĩa của một số options:

 ddns-update-style interim

 ignore client-updates

 subnet … netmask … : địa chỉ subnet và netmask

 option router: Default gateway

 option subnet-mask: Netmask cấp cho client

 option nis-domain: NIS domain

 option domain-name: Domain name

 option domain-name-servers: IP DNS server

 range dynamic-bootp: vùng địa chỉ cấp cho các clients

 default-lease-time: thời gian mặc định cấp cho 1 client

 max-lease-time: thời gian tối đa cấp cho 1 client

 host ns: khai báo những máy luôn nhận IP cố định

+ Bước 3 Khởi động dịch vụ

Không cho phép DHCP cập nhật động DNS

- Cấu hình DHCP replay agent

+ Khi các client nẳm khác mạng với DHCP server, mọi gọi resquest từ DHCP client đều không thể vƣợt qua đƣợc router Do vậy ta phải cấu hình router làm DHCP replay agent làm nhiệm vụ trung gian giữa DHCP server và DHCP client

+ Mô hình mạng :

Hình 4.5: Mô hình thực nghiệm

+ Cấu hình trên máy DHCP replay agent:

DHCPSERVERS: khai báo địa chỉ IP của DHCP Server

+ Lưu file và khởi động dịch vụ DHCP Relay Agent bằng lệnh: service dhcrelay restart

+ Mở routing trên DHCP replay agent , thiết lập các dòng dưới bằng 1

Vi /etc/sysctl.conf

Hình 4.7: Nội dung file cấu hình định tuyến

4.3 Dịch vụ telnet

4.3.1 Giới thiệu telnet

- Telnet viết tắt của Terminal Network là một giao thức mạng

- Telnet là một giao thức khách – chủ cho phép người quản trị điều khiển máy chủ từ

xa

- Telnet sử dụng giao thức TCP để truy cập.Thường kết nối vào cổng 23 của máy chủ

- Ngày nay người ta càng ít dùng telnet vì 3 nguyên nhân sau:

+ Càng ngày càng phát hiện các điểm yếu trong các daemon của telnet

+ Telnet không mã hóa dữ liệu trên đường truyền, kể cả mật khẩu

+ Telnet không chứng thực người dùng

- Tuy nhiên telnet vẫn được dùng trong các trường hợp không cần mã hóa thông tin như gỡ lỗi, tìm các sai sót trong các dịch vụ mạng, tham gia cộng đồng online

4.3.2 Cấu hình và cài đặt

- Cài đặt : yum install –y telnet-server

- Cấu hình

+ Mở file cấu hình vi /etc/xinetd.d/telnet

Hình 4.8: Nội dung file cấu hình telnet + Sửa dòng disable = no để mở telnet Sau đó restart lại dịch vụ bằng dòng lệnh service xinetd restart và telnet vào server

Hình 4.9: Login telnet

Lưu ý: nếu có firewall thì phải tắt đi: service iptables stop hoặc vào vi

/etc/sysconfig/iptables và thêm dòng như sau: iptables -A INPUT -p tcp dport 23 -j ACCEPT

- Cấu hình security cho telnet

+ Only_from = 172.16.0.0 255.255.0.0 chỉ cho telnet từ một địa chỉ

Hình 4.10: Nội dung file cấu hình security cho telnet + Chỉnh sửa tại 2 file /etc/hosts.allow và /etc/hosts.deny để cho phép hoặc cấm các máy dùng dịch vụ telnet

 Chỉnh sửa 2 file: vi /etc/hosts.allow và vi /etc/hosts.deny

 Trong hosts.allow thêm dòng: in.telnetd : địa chỉ của host được truy cập

 Trong hosts.deny thêm dòng: in.telnetd: địa chỉ của host không cho phép

 telnet 23/udp thành telnet 2323/udp

+ Ngoài ra, cũng có thể cấu hình trong vi /etc/xinetd.conf Những cấu hình trong này sẽ áp dụng cho tất cả các dịch vụ mà xinetd cung cấp

4.4 Dịch vụ ssh

4.4.1 Sơ lược về SSH

- SSH (Secure Shell) là một giao thức mạng tương tác giữa máy server và máy client Cung cấp các cơ chế mã hóa, bảo mật dữ liệu chống lại sự đánh cắp trên đường truyền

- SSH làm việc thông qua 3 bước:

+ Định danh host – xác định định danh của hệ thống tham gia phiên làm việc ssh Bằng cách trao đổi khóa, mối khóa gồm khóa công khai và khóa bí mật

+ Mã hóa - thiết lập kênh làm việc mã hóa bằng 3DES, IDEA, Blowfish, MD5,