1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tổng quan về mạng máy tính và cơ chế bảo mật trong mạng

89 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 89
Dung lượng 877,19 KB

Nội dung

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC VINH KHOA ĐIỆN TỬ VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ CƠ CHẾ BẢO MẬT TRONG MẠNG Ngƣời hƣớng dẫn : ThS Nguyễn Anh Quỳnh Sinh viên thực : Nguyễn Xuân Hiếu Lớp : 47K- ĐTVT Vinh 05/2011 MỞ ĐẦU Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin, đặc biệt cơng nghệ máy vi tính mạng máy tính với bùng nổ hàng ngàn cách mạng lớn nhỏ Từ đời, máy vi tính ngày giữ vai trị quan trọng lĩnh vực khoa học kỹ thuật sống hàng ngày người Từ đời máy tính điện tử lớn ENIAC năm 1945, sau đời máy vi tính hãng IBM vào năm 1981 nay, sau 20 năm, với thay đổi tốc độ vi xử lý phần mềm ứng dụng, số hóa tất liệu thông tin, đồng thời kết nối chúng lại với luân chuyển mạnh mẽ Hiện nay, loại thơng tin, số liệu, hình ảnh, âm … đưa dạng kỹ thuật số để máy tính lưu trữ, xử lý chuyển tiếp với máy tính hay thiết bị kỹ thuật số khác Sự đời mạng máy tính dịch vụ mang lại cho người nhiều lợi ích to lớn, góp phần thúc đẩy kinh tế phát triển mạnh mẽ, đơn giản hóa thủ tục lưu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc kết nối vị trí, khoảng cách lớn cách nhanh chóng, hiệu … Và mạng máy tính trở thành yếu tố khơng thể thiếu phát triển kinh tế, trị văn hóa, tư tưởng quốc gia hay châu lục Con người khơng cịn bị giới hạn khoảng cách địa lý, có đầy đủ quyền để sáng tạo giá trị vô giá vật chất tinh thần, thỏa mãn khát vọng lớn lao họ tồn nhân loại Cũng vậy, khơng có mạng máy tính, mạng máy tính khơng thể hoạt động ý muốn hậu nghiêm trọng Và vấn đề an tồn cho mạng máy tính phải đặt lên hàng đầu thiết kế, lắp đặt đưa vào sử dụng hệ thống mạng máy tính dù đơn giản Trong trình thực tập làm đồ án tốt nghiệp, đồng ý hướng dẫn, bảo tận tình ThS.Nguyễn Anh Quỳnh, với giúp đỡ bạn bè cơng ty nơi thực tập, em có thêm nhiều điều kiện để tìm hiểu mạng máy tính, vấn đề an tồn mạng máy tính Đó đề tài mà em muốn nghiên cứu trình bày đồ án tốt nghiệp Nội dung đồ án gồm:  Chƣơng I Giới thiệu mạng máy tính  Chƣơng II Chuẩn hóa mạng máy tính mơ hình OSI, TCP/IP  Chƣơng III Vấn đề an tồn mạng máy tính Đồ án đề cập đến vấn đề lớn tương đối phức tạp, đòi hỏi nhiều thời gian kiến thức lý thuyết thực tế Do thời gian nghiên cứu chưa nhiều trình độ thân cịn hạn chế, nên đồ án khơng tránh khỏi khiếm khuyết Em mong nhận hướng dẫn, bảo thầy, giáo đóng góp nhiệt tình bạn để giúp em bổ sung vốn kiến thức tiếp tục nghiên cứu đề tài nêu cách tốt hơn, hoàn chỉnh Em xin chân thành cám ơn! Vinh ngày tháng 05năm 2011 Sinh viên thực Nguyễn Xuân Hiếu MỤC LỤC Mở đầu: Tóm tắt đồ án: Danh sách hình vẽ Danh sách bảng biểu…………………………………………………… Các từ viết tắt .10 Chƣơng I Giới thiệu máy tính 12 1.1 Lịch sử phát triển mạng máy tính 12 1.2 Nhu cầu mục đích việc kết nối máy tính thành mạng 14 1.3 Đặc trưng kỹ thuật mạng máy tính 15 1.3.1 Đường truyền 15 1.3.2 Kỹ thuật chuyển mạch 17 1.3.3 Kiến trúc mạng 17 1.3.3.1 Hình trạng mạng 18 1.3.3.2 Giao thức mạng 18 1.3.3.4 Hệ điều hành mạng 19 1.4 Phân loại mạng máy tính 19 1.4.1 Phân loại mạng theo khoảng cách địa lý 19 1.4.1.1 Mạng toàn cầu (GAN) 20 1.4.1.2 Mạng diện rộng (WAN) 20 1.4.1.3 Mạng đô thị (MAN) 20 1.4.1.4 Mạng cục (LAN) 20 1.4.2 Phân loại theo kỹ thuật chuyển mạch áp dụng mạng 20 1.4.2.1 Mạng chuyển mạch kênh 21 1.4.2.2 Mạng chuyển mạch thông báo 21 1.4.2.3 Mạng chuyển mạch gói 22 1.4.3 Phân loại theo hình trạng mạng 23 1.4.3.1 Mạng hình 23 1.4.3.2 Mạng hình vịng 24 1.4.3.3 Mạng trục tuyến tính 25 1.4.3.4 Mạng dạng 26 1.4.3.5 Mạng dạng vô tuyến Satellite - Vệ tinh Radio 26 1.4.3.6 Mạng kết nối hỗn hợp 27 1.4.4 Phân loại theo giao thức hệ điều hành mạng sử dụng 27 1.4.4.1 Mạng khách-chủ (client-server) 28 1.4.4.2 Mạng ngang hàng (peer to peer) 28 1.5 Một số mạng máy tính thông dụng 28 1.5.1 Mạng cục (LAN) 28 1.5.2 Mạng diện rộng với kết nối LAN to LAN 29 1.5.3 Liên mạng Internet 30 1.5.4 Mạng Intranet 30 Chƣơng II Chuẩn hóa mạng máy tính mơ hình OSI, TCP/IP 31 2.1 Vấn đề chuẩn hóa mạng máy tính tổ chức chuẩn hóa mạng 31 2.2 Mơ hình tham chiếu OSI lớp 32 2.2.1 Giới thiệu mơ hình OSI 32 2.2.2 Các lớp mô hình OSI chức chúng 32 2.2.2.1 Lớp vật lý 32 2.2.2.2 Lớp liên kết liệu 33 2.2.2.3 Lớp mạng 34 2.2.2.4 Lớp giao vận 34 2.2.2.5 Lớp phiên 34 2.2.2.6 Lớp trình diễn 35 2.2.2.7 Lớp ứng dụng 35 2.2.3 Phương thức hoạt động mơ hình OSI 35 2.2.4 Q trình truyền liệu mơ hình OSI 36 2.3 TCP/IP mạng Internet 38 2.3.1 Họ giao thức TCP/IP 38 2.3.1.1 Giới thiệu họ giao thức TCP/IP 38 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 2.3.1.2 Giao thức IP 42 2.3.1.3 Địa IP 42 2.3.1.4 Cấu trúc gói liệu IP 45 2.3.1.5 Phân mảnh hợp gói IP 48 2.3.1.6 Định tuyến IP 50 2.4 Giao thức TCP 52 2.4.1 Cấu trúc gói liệu TCP 53 2.4.2 Thiết lập kết thúc kết nối TCP 55 2.5 Internet 56 2.5.1 Lịch sử phát triển Internet 56 2.5.2 Kiến trúc Internet 59 2.5.3 Các dịch vụ thông tin Internet 61 2.5.3.1 Thư điện tử 61 2.5.3.2 Truyền file FTP 62 2.5.3.3 Truy cập từ xa (Telnet) 62 2.5.3.4 World Wide Web 62 Chƣơng III Vấn đề an toàn mạng máy tính 64 3.1 Các nguy đe dọa hệ thống mạng máy tính 64 3.1.1 Mô tả nguy 64 3.1.2 Các mức bảo vệ an toàn mạng 67 3.2 Phân tích mức an toàn mạng 67 3.2.1 Quyền truy nhập (Access Right) 67 3.2.2 Đăng nhập/Mật (Login/Password) 68 3.2.3 Mã hóa liệu (Data Encryption) 68 3.2.4 Bảo vệ vật lý (Physical Protect) 68 3.2.5 Bức tường lửa (Firewall) 69 3.3 Các biện pháp bảo vệ an toàn hệ thống 69 3.3.1 Quyền hạn tối thiểu (Least Privilege) 69 3.3.2 Bảo vệ theo chiều sâu (Defense in Depth) 70 Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 3.3.3 Nút thắt (Choke Point) 70 3.3.4 Điểm xung yếu (Weakest Link) 70 3.3.5 Hỏng an toàn (Fail-Safe Stance) 70 3.3.6 Sự tham gia toàn cầu 71 3.3.7 Kết hợp nhiều biện pháp bảo vệ 71 3.3.8 Đơn giản hóa 72 3.4 Thiết kế sách an ninh cho mạng máy tính 72 3.4.1 Phân tích nguy an ninh 72 3.4.2 Xác định tài nguyên cần bảo vệ 73 3.4.3 Xác định mối đe dọa an ninh mạng 73 3.4.4 Xác định trách nhiệm người sử dụng mạng 74 3.4.5Kế hoạch hành động sách bị vi phạm 77 3.5 Firewall……………………………………………………………… 78 3.5.1 Khái niệm…………………………………………………………… 78 3.5.2 Chức năng…………………………………………………………… 78 3.5.3 Các thành phần Firewall & chế hoạt động……………………79 3.5.4 Bộ lọc gói (Packet Filter)……………………………………… … 80 3.5.5 Cổng ứng dụng (Application–Level Gateway)………………… … 82 3.5.6 Cổng vòng (Circuit–Level Gateway)………………………… …… 85 Kết luận 86 Tài liệu tham khảo 87 Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an TĨM TẮT ĐỒ ÁN Với mục đích tìm hiểu mạng máy tính vấn đề bảo mật mạng, cách đảm bảo an ninh mạng Firewall Đồ án gồm ba chương: Chƣơng 1: Giới thiệu máy tính mạng máy tính Giới thiệu cấu trúc máy tính tổng quan mạng máy tính, đặc trưng, phân loại số mạng máy tính thơng dụng Chƣơng 2: Chuẩn hóa mạng máy tính Giới thiệu cần chuẩn hóa mạng, mơ hình tham chiếu lớp OSI, giao thức mạng TCP/IP giới thiệu tổng quan mạng Internet Chƣơng 3: Tổng quan bảo mật mạng Giới thiệu tổng quan bảo mật mạng, hình thức công, mức độ bảo mật, biện pháp bảo vệ kế hoạch thiết kế sách bảo mật mạng Giới thiệu tổng quan Firewall chức năng, phân loại firewall, kiểu kiến trúc thành phần firewall Summary of final year project For learning purpose about computer network and issue of network security, protections of netowrk security such as Firewall.This project is individed 3chapters Chapter 1: Introduction to computer and computer network Introduction computer architechture and computer network overview, characters, indivision and some common computer network now Chapter 2: Standard computer network Introduction to why standard network is needed, 7layer OSI reference model, TCP/IP protocols, like introduction tion Internet network overview Chapter 3: Network security overview Network security overview, method of attracks, security levels, method of security and plan design network security prolicies Introduction to characters of Firewall overview, division of Firewall, architectures mode and mebers of Firewall Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an DANH SÁCH CÁC HÌNH VẼ Hình 1.1 Mạng máy tính với tiền xử lý………………….………………12 Hình 1.2 Mạng máy tính nối trực tiếp tiền xử lý………………… 13 Hình 1.3 Mạng chuyển mạch kênh……………………………………… 21 Hình 1.4 Mạng chuyển mạch thơng báo………………………………… 21 Hình 1.5 Mạng chuyển mạch gói………………………………………… 22 Hình 1.6 Mạng hình (Star)……………………………… …………….23 Hình 1.7 Mạng hình vịng (Ring)…………………………… …………….24 Hình 1.8 Mạng chu trình (Loop)……………………………… ………… 25 Hình 1.9 Mạng trục tuyến tính (Bus)…………………………… ……… 25 Hình 1.10 Mạng dạng (Tree)………………………………… ……….26 Hình 1.11 Mạng vơ tuyến-Satelltie (Vệ tinh) Radio………… …… 26 Hình 1.12 Mạng kết nối hỗn hợp………………………………………….27 Hình 1.13 Mạng diện rộng với kết nối LAN to LAN…………………… 29 Hình 2.1 Mơ hình tham chiếu OSI Lớp…………………………………33 Hình 2.2 Q trình truyền liệu mơ hình OSI………………… 37 Hình 2.3 Mơ hình OSI mơ hình kiến trúc TCP/IP……………… 40 Hình 2.4 Cấu trúc liệu lớp TCP/IP……………………… 41 Hình 2.5 Dùng gateway để gửi gói liệu……………………….51 Hình 2.6 Cổng truy nhập dịch vụ TCP…………………………… …… 54 Hình 2.7 Quá trình kết nối theo bước………………………… ……….55 Hình 3.1 Sơ đồ tổng quan hệ thống tin học………………………… 66 Hình 3.2 Các mức an tồn mạng………………………………………….68 Hình 3.3 Sơ đồ làm việc Packet Filtering……………………….…….80 Hình 3.4 Kết nối người dùng Client với server qua Proxy……….….83 Hình 3.5 Kết nối qua cổng vòng (Circuit-Level Gateway)…………….….85 Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an DANH SÁCH CÁC BẢNG BIỂU Bảng 2.1 Cách đánh địa TCP/IP………………………………….…… 44 Bảng 2.2 Bổ sung vùng subnetID……………………………………….… 45 Bảng 2.3 Cấu trúc gói liệu TCP/IP………………………………… … 46 Bảng 2.4 Mô tả bits…………………………………………….……… 47 Bảng 2.5 Nguyên tắc phân mảnh gói liệu………………………….… 49 Bảng 2.6 Khuôn dạng TCP segment………………………………… 53 Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 10 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an nguyên ln sẵn sàng dùng lúc Tính tồn vẹn tầm quan trọng cho tài nguyên CSDL Tính cẩn mật áp dụng cho tài nguyên tệp liệu mà ta có hạn chế truy nhập tới chúng 3.4.2 Xác định tài nguyên cần bảo vệ Khi thực phân tích ta cần xác định tài nguyên có nguy bị xâm phạm Quan trọng phải liệt kê hết tài nguyên mạng bị ảnh hưởng gặp vấn đề an ninh - Phần cứng: Vi xử lý, mạch, bàn phím, Terminal, trạm làm việc, máy tính nhân, máy in, ổ đĩa, đường liên lạc, Server, Router - Phần mềm: Chương trình nguồn, chương trình đối tượng, tiện ích, chương trình khảo sát, hệ điều hành, chương trình truyền thơng - Dữ liệu: Trong thực hiện, lưu trữ trực tuyến, cất giữ off–line, backup, nhật ký kiểm tra, CSDL truyền phương tiện liên lạc - Con người: Người dùng, người cần để khởi động hệ thống - Tài liệu: Về chương trình , phần cứng, hệ thống, thủ tục quản trị cục - Nguồn cung cấp: giấy in, bảng biểu, băng mực, thiết bị từ 3.4.3 Xác định mối đe dọa an ninh mạng Sau xác định tài nguyên cần bảo vệ, cần xác định xem có mối đe doạ nhằm vào tài nguyên Có thể có mối đe doạ sau:  Truy nhập bất hợp pháp: Chỉ có người dùng hợp pháp có quyền truy nhập tài nguyên mạng, ta gọi truy nhập hợp pháp Có nhiều dạng truy nhập gọi bất hợp pháp chẳng hạn dùng tài khoản người khác không phép Mức độ trầm trọng việc truy nhập bất hợp pháp tuỳ thuộc vào chất mức độ thiệt hại truy nhập gây nên  Để lộ thông tin: Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 75 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Để lộ thơng tin vơ tình hay cố ý mối đe dọa khác Chúng ta nên định giá trị để phản ánh tầm quan trọng thơng tin Ví Dụ nhà sản xuất phần mềm là: mã nguồn, chi tiết thiết kế, biểu đồ, thông tin cạnh tranh sản phẩm Nếu để lộ thông tin quan trọng, tổ chức bị thiệt hại mặt uy tín, tính cạnh tranh, lợi ích khách hàng  Từ chối cung cấp dịch vụ: Mạng thường gồm tài nguyên quý báu máy tính, CSDL cung cấp dịch vụ cho tổ chức Đa phần người dùng mạng phụ thưộc vào dịch vụ để thực công việc hiệu Chúng ta khó biết trước dạng từ chối dịch vụ Có thể tạm thời liệt kê số dạng sau: - Mạng khơng dùng gói gây lỗi - Mạng không dùng tải giao thông - Mạng bị phân mảnh Router quan trọng bị vơ hiệu hố - Một virus làm chậm hệ thống dùng tài nguyên mạng - Thiết bị bảo vệ mạng bị vơ hiệu hố 3.4.4 Xác định trách nhiệm ngƣời sử dụng mạng  Ai quyền dùng tài nguyên mạng Ta phải liệt kê tất người dùng cần truy nhập tới tài ngun mạng Khơng thiết liệt kê tồn người dùng Nếu phân nhóm cho người dùng việc liệt kê đơn giản Đồng thời ta phải liệt kê nhóm đặc biệt gọi người dùng bên ngồi, người truy nhập từ trạm đơn lẻ từ mạng khác  Sử dụng tài nguyên cho Sau xác định người dùng phép truy nhập tài nguyên mạng, phải tiếp tục xác định xem tài nguyên dùng Như ta phải đề đường lối cho lớp người sử dụng như: Những nhà phát triển phần mềm, sinh viên, người sử dụng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 76 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Sau số điều khoản cần có cho đường lối đạo chung: - Sử dụng tài khoản người khác có phép khơng ? - Có phép dùng chương trình tìm mật khơng ? - Có phép ngắt dịch vụ khơng ? - Có sửa đổi tệp khơng thuộc sở hữu lại có quyền ghi khơng ? - Có phép cho người khác dùng tài khoản riêng khơng ?  Ai có quyền cấp phát truy nhập Chính sách an ninh mạng phải xác định rõ có quyền cấp phát dịch vụ cho người dùng Đồng thời phải xác định kiểu truy nhập mà người dùng cấp phát lại Nếu biết người có quyền cấp phát truy nhập ta biết kiểu truy nhập cấp phát, biết người dùng có cấp phát quyền hạn không Ta phải cân nhắc hai điều sau: - Truy nhập dịch vụ có cấp phát từ điểm trung tâm không? - Phương thức dùng để tạo tài khoản kết thúc truy nhập? Nếu tổ chức lớn mà khơng tập trung tất nhiên có nhiều điểm trung tâm để cấp phát truy nhập, điểm trung tâm phải chịu trách nhiệm cho tất phần mà cấp phát truy nhập  Người dùng có quyền hạn trách nhiệm Sau danh sách điều khoản áp dụng cho người dùng: - Phải tuân thủ đường lối liên quan đến việc sử dụng mạng - Phải chịu phạt vi phạm coi lạm dụng tài nguyên, ảnh hưởng đến hoạt động hệ thống - Người dùng có phép chia sẻ tài khoản khơng ? - Người dùng có phép tiết lộ mật để người khác làm việc hộ khơng ? - Tn theo sách mật bao gồm: thời hạn thay đổi mật khẩu, yêu cầu mật Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 77 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an - Người dùng có trách nhiệm lưu liệu khơng trách nhiệm người quản trị ? - Hậu việc người dùng tiết lộ thông tin độc quyền, người bị phạt ? - Đảm bảo điều khoản tính riêng tư thư tín điện tử  Người quản trị hệ thống có quyền hạn trách nhiệm Người quản trị hệ thống thường xuyên phải thu thập thông tin tệp thư mục riêng người dùng để tìm hiểu vấn đề hệ thống Ngược lại, người dùng phải giữ gìn bí mật riêng tư thơng tin họ Vì mà sách mạng phải xác định xem người quản trị có phép kiểm tra thư mục người dùng có vi phạm an ninh hay khơng Nếu an ninh có nguy người quản trị phải có khả linh hoạt để giải vấn đề Cịn điều khoản có liên quan khác sau: Người quản trị hệ thống có theo dõi hay đọc tệp người dùng với lý hay khơng ? Người quản trị mạng có quyền kiểm tra giao thơng mạng giao thông đến trạm hay không ? Người dùng, người quản trị hệ thống, tổ chức có trách nhiệm pháp lý việc truy nhập trái phép tới liệu riêng tư người khác, tổ chức khác?  Làm với thơng tin quan trọng Theo quan điểm an ninh, liệu quan trọng phải hạn chế, số máy người truy nhập Trước cấp phát truy nhập cho người dùng, phải cân nhắc xem có khả thu truy nhập khác khơng ? Ngồi phải báo cho người dùng biết dịch vụ tương ứng với việc lưu trữ thông tin quan trọng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 78 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 3.4.5 Kế hoạch hành động sách bị vi phạm Mỗi sách bị vi phạm có nghĩa hệ thống đứng trước nguy an ninh Khi phát vi phạm, phải phân loại lý vi phạm chẳng hạn người dùng cẩu thả, lỗi vơ ý, khơng tn thủ sách  Phản ứng có vi phạm Khi vi phạm xảy người dùng có trách nhiệm phải liên đới Ta phải định hành động tương ứng với kiểu vi phạm Đồng thời người phải biết quy định người tổ chức người đến sử dụng máy Chúng ta phải lường trước trường hợp vi phạm không cố ý để giải linh hoạt, lập sổ ghi chép định kỳ xem lại để phát khuynh hướng vi phạm để điều chỉnh sách cần  Phản ứng người dùng cục vi phạm Người dùng cục có vi phạm sau: - Vi phạm sách cục - Vi phạm sách tổ chức khác Trường hợp thứ chúng ta, quan điểm người quản trị hệ thống tiến hành việc xử lý Trong trường hợp thứ hai phức tạp xảy kết nối Internet, phải xử lý tổ chức có sách an ninh bị vi phạm  Chiến lược phản ứng Chúng ta sử dụng hai chiến lược sau: - Bảo vệ xử lý - Theo dõi truy tố Trong đó, chiến lược thứ nên áp dụng mạng dễ bị xâm phạm Mục đích bảo vệ mạng xử lý, phục hồi tình trạng bình thường để người dùng tiếp tục sử dụng được, ta phải can thiệp vào hành động người vi phạm ngăn cản không cho truy nhập Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 79 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Đôi khơi phục lại phải cách ly phân đoạn mạng đóng hệ thống để không cho truy nhập bất hợp pháp tiếp tục 3.5 Firewall 3.5.1 Khái niệm Firewall hiểu cách chung cấu để bảo vệ mạng máy tính chống lại truy nhập bất hợp pháp từ (mạng) máy tính khác Firewall bao gồm cấu nhằm: • Ngăn chặn truy nhập bất hợp pháp • Cho phép truy nhập sau kiểm tra tính xác thực thực thể yêu cầu truy nhập Trên thực tế, Firewall thể khác nhau: phần mềm phần cứng chuyên dùng, sử dụng máy tính mạng máy tính Theo William Cheswick Steven Beilovin tường lửa xác định tập hợp cấu kiện đặt hai mạng Nhìn chung tường lửa có thuộc tính sau : - Thơng tin giao lưu theo hai chiều - Chỉ thông tin thoả mãn nhu cầu bảo vệ cục qua - Bản thân tường lửa khơng địi hỏi trình thâm nhập 3.5.2 Chức Ƣu điểm - Firewall bảo vệ hệ thống máy tính chống lại kẻ đột nhập qua khả ngăn chặn phiên làm việc từ xa (remote login) - Ngăn chặn thơng tin từ bên ngồi (Internet) vào mạng bảo vệ, cho phép người sử dụng hợp pháp truy nhập tự mạng bên Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 80 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an - Firewall ngăn chặn dịch vụ tin cậy - Truy nhập có điều khiển đến host - Tập trung hóa sách bảo mật - Xác nhận người dùng lưu trữ thơng tin Hạn chế • Firewall khơng đủ thơng minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa • Firewall khơng thể ngăn chặn công công không “đi qua” Một cách cụ thể, Firewall khơng thể chống lại công từ đường dial–up, mát thông tin liệu bị chép bất hợp pháp lên đĩa mềm • Firewall khơng thể chống lại công liệu (data–drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động • Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm sốt Firewall (một ví dụ virus máy tính) 3.5.3 Các thành phần Firewall & chế hoạt động Một Firewall chuẩn bao gồm hay nhiều thành phần sau đây: • Bộ lọc gói (Packet–Filter) • Cổng ứng dụng (Application–level Gateway hay Proxy Server) • Cổng mạch (Circuite level Gateway) Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 81 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 3.5.4 Bộ lọc gói (Packet Filter) a Nguyên lý hoạt động Packet filtering Ethernet ` ` ` Hình 3.3 Sơ đồ làm việc Packet Filtering Firewall hoạt động chặt chẽ với giao thức TCI/IP làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data paket) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến Packet số địa chúng Bộ lọc gói cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc gói hay khơng Các luật lệ lọc gói dựa thơng tin đầu packet (packet header ), dùng phép truyền packet mạng Đó là: • Địa IP nơi xuất phát ( IP Source address) • Địa IP nơi nhận (IP Destination address) Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 82 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thơng báo ICMP (ICMP message type) • Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet (Outcomming interface of Packet) Nếu luật lệ lọc gói thoả mãn packet chuyển qua Firewall Nếu không, packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khố việc truy cập vào hệ thống mạng nội từ địa khơng cho phép Hơn nữa, việc kiểm sốt cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục b Ƣu điểm hạn chế hệ thống Firewall sử dụng lọc gói Ƣu điểm • Đa số hệ thống Firewall sử dụng lọc gói Một ưu điểm phương pháp dùng lọc gói chi phí thấp chế lọc gói bao gồm phần mềm router • Ngồi ra, lọc gói suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt Hạn chế • Việc định nghĩa chế độ lọc gói việc phức tạp; địi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ Internet, dạng packet header, giá trị cụ thể mà họ nhận trường Khi đòi hỏi vể lọc lớn, luật lệ lọc trở nên dài phức tạp, khó để quản lý điều khiển Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 83 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an • Do làm việc dựa header packet, rõ ràng lọc gói khơng kiểm sốt nội dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 3.5.5 Cổng ứng dụng (Application–Level Gateway) Proxy Server Bastion host Server Client Kết nối cảm giác Kết nối thật Người dùng Trạm Hình 3.4 Kết nối người dùng (Client) với Server qua Proxy a Nguyên lý hoạt động Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi proxy service (dịch vụ đại diện) proxy service code đặc biệt cài đặt cổng (gateway) cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng không cung cấp khơng thể chuyển thơng tin qua Firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 84 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại cơng từ bên ngồi Những biện pháp đảm bảo an ninh bastion host là:  Bastion host ln chạy version an tồn (secure version) phần mềm hệ thống (operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào hệ điều hành (operating system), đảm bảo tích hợp Firewall  Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị cơng Thơng thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host  Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card • Mỗi proxy đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ tồn hệ thống • Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại • Mỗi proxy độc lập với proxy khác bastion host Điều cho phép đơn giản trình cài đặt proxy mới, hay tháo gỡ proxy có vấn đề Ví dụ: Telnet Proxy Ví dụ người dùng bên ngồi (gọi outside client) muốn sử dụng dịch vụ telnet để kết nối vào hệ thống mạng qua mơt bastion host có telnet proxy Quá trình xảy sau: Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 85 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Outside client telnets đến bastion host Bastion host kiểm tra mật (password), hợp lệ outside client phép vào giao diện telnet proxy Telnet proxy cho phép tập nhỏ lệnh telnet, định máy chủ nội outside client phép truy nhập Outside client máy chủ đích telnet proxy tạo kết nối riêng tới máy chủ bên chuyển lệnh tới máy chủ uỷ quyền outside client Outside client tin telnet proxy máy chủ thật bên trong, máy chủ bên tin telnet proxy client thật b Ƣu điểm hạn chế Ƣu điểm • Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ • Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khố • Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thơng tin truy nhập hệ thống • Luật lệ filltering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc gói Hạn chế • Yêu cầu users biến đổi (modify) thao tác, modify phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 86 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 3.5.6 Cổng vòng (Circuit–Level Gateway) Hình 3.5 Kết nối qua cổng vịng (Circuit–Level Gateway Cổng vịng chức đặc biệt thực đươc cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc gói Hình 3.5 minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục telnet Cổng vòng làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên ngồi (outside connection) Tuy nhiên, kết nối xuất từ hệ thống Firewall, che dấu thơng tin mạng nội Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà nhà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức tường lửa để bảo vệ mạng nội từ công bên Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 87 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an KẾT LUẬN Qua việc nghiên cứu mạng máy tính an tồn mạng máy tính, vấn đề bảo mật mạng máy tính lửa - giải pháp hiệu bảo vệ mạng máy tính Qua suốt tháng tìm hiểu nghiên cứu thu nhiều kiến thức máy tính lịch sử phát triển máy tính cấu trúc chức máy tính, khả xử lý liệu, kiến thức mạng máy tính thiết bị mạng chế hoạt động mạng máy tính, mục đích nhu cầu kết nối mạng, đặc trưng thông số kỹ thuật trọng mạng So sánh mơ hình OSI mơ hình TCP/IP vấn đề chuẩn hố kết nối mơ hình nguy đe doạ hệ thống mạng máy tính, phân tích mức an toàn đưa giải pháp bảo vệ an tồn hệ thống Do vốn kiến thức thân cịn chưa rộng, thời gian, điều kiện tiếp xúc thực tiễn nghiên cứu hạn chế, nên em chưa thể tìm hiểu trình bày thật tốt kỹ lưỡng vấn đề liên quan đến mạng máy tính an tồn, bảo mật thơng tin mạng máy tính tường lửa Trên kiến thức em tìm hiểu nắm trình thực tập, nghiên cứu qua hướng dẫn ThS.Nguyễn Anh Quỳnh giúp em hoàn thành tốt đồ án tốt nghiệp Em cám ơn mong nhận giúp đỡ, bảo thầy Nguyễn Anh Quỳnh thầy, để trang bị thêm cho kiến thức cần thiết đề tài em nêu Những kiến thức kiến thức trang bị trình học tập, nghiên cứu trường gốc để từ em có sở nghiên cứu, phát huy tiếp đề tài này; mong đóng góp phần có ích cho ngành điện tử viễn thơng công nghệ thông tin nước nhà Em xin chân thành cám ơn! Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 88 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn

Ngày đăng: 22/08/2023, 00:36

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w