ĐỒ ÁN HỆ THỐNG MẠNG Đề tài: BẢO MẬT TRONG WLAN CHƯƠNG II BẢO MẬT MẠNG VÀ INTERNET 2.1 Tổng quan về các mô hình mạng 2.1.1 Mô hình TCP/IP Mạng Internet ngày nay là một mạng truyền thông không thể thiếu được trong xã hội hiện đại. Mạng Internet cho phép kết nối mọi máy tính trên toàn cầu Mạng Internet dựa trên bộ giao thức TCP/IP. TCP/IP là bộ giao thức cho phép máy tính và người dùng có thể liên lạc với nhau trên mạng. Ưu điểm của Internet là có thể kết nối mọi máy tính có kích cỡ và với mọi phương tiện khác nhau miễn máy tính đó cài đặt bộ giao thức TCP/IP. TCP/IP là một giao thức kết hợp giao thức TCP và giao thức IP nhằm quản lý và điều khiển việc trao đổi thông tin giữa các mạng đảm bảo thông tin từ hệ thống đầu cuối này đến hệ thống đầu cuối kia chính xác. Ta đã biết rằng Internet là liên kết các mạng máy tính lại với nhau, là mạng của tất cả các mạng. TCP/IP là một tiêu chuẩn sử dụng trên phạm vi toàn cầu cho Internet. Hình 2.1 : Giao thức TCP/IP nối hai máy tính với nhau qua hai Router TCP là giao thức end-to- end định ra nguyên tắc và thể lệ trao đổi thông tin giữa các đối tác ở các hệ thống đầu cuối, đảm bảo giao và nhận dữ liệu chính xác. IP là giao thức định ra nguyên tắc và thể lệ để đảm bảo cho dữ liệu di chuyển giữa các mạng được an toàn, nói cách khác là định tuyến giữa các mạng để dữ liệu chuyển đến chính xác địa chỉ theo một đường ngắn nhất. Nhiệm vụ định tuyến do các router (bộ định tuyến) thực hiện, vì vậy router thực hiện giao thức IP. Ngoài ra giao thức TCP/IP còn dùng để kết nối giữa LAN và WAN hay đóng vai trò là một giao thức cho mạng LAN. Kiến trúc phân lớp của TCP/IP TCP/IP có kiến trúc phân tầng, bao gồm 4 tầng sau: 1) Lớp liên kết dữ liệu (DataLink): Định nghĩa kết nối vật lý đến các phương tiện cụ thể và định dạng các khung thông tin gửi và nhận lại từ các phương tiện truyền dẫn. 2) Lớp giao thức Internet (Internet Protocol): Chuyển tiếp các gói tin từ nguồn tới đích. Mỗi gói tin có chứa địa chỉ đích và IP sử dụng thông tin này để hướng gói tin tới đích của nó. IP được chạy trên tất cả các máy chủ cũng như trong các thiết bị chuyển mạch chuyển tiếp gọi là các Router. Lớp IP là không có hướng kết nối (connectionless) nghĩa là không cần phải thiết lập một đường dẫn trước khi truyền dữ liệu. IP không đảm bảo rằng tất cả các gói tin được phát đi ở đích sẽ đến cùng một thứ tự như việc phát đi ở nguồn nên người ta bổ sung thêm vào các cơ chế kiểm soát lỗi và kiểm soát luồng. Việc đánh địa chỉ IP hiện nay theo kiểu IPv4 nhưng trong tương lai sẽ thay bằng kiểu IPv6. 3) Lớp TCP/IP: Tầng này chạy trên đỉnh của lớp IP và bao gồm hai giao thức là TCP và IP. TCP cung cấp phương thức hướng kết nối cung cấp các dịch vụ tin cậy còn UDP sử dụng phương thức hướng không kết nối cung cấp các dịch vụ kém tin cậy hơn. 4) Lớp ứng dụng (Applications): Là giao diện giữa người dùng và mạng Internet. Ví dụ như các dịch vụ Telnet, FTP, HTTP 2.1.2 Mô hình OSI Mô hình OSI bao gồm bảy lớp, mỗi lớp thực hiện một chức năng riêng, những chức năng này được định nghĩa bởi OSI đó là : 1. Lớp ứng dụng : Lớp ứng dụng cung cấp những dịch vụ mạng cho ứng dụng của user. 2. Lớp trình diễn : Lớp này cung cấp việc trình bày dữ liệu và định dạng mã. Nó đảm bảo dữ liệu đến từ mạng có thể sử dụng được bởi lớp ứng dụng, và đảm bảo rằng thông tin được gửi bởi lớp ứng dụng được truyền lên mạng. 3. Lớp phiên : Thiết lập, duy trỳ, quản lý, các phiên truyền thông giữa các ứng dụng. 4. Lớp vận chuyển : Lớp này phân đoạn và tái thiết dữ liệu thành dòng chảy dữ liệu. TCP là một trong các giao thức thuộc lớp vận chuyển được dùng với IP. 5. Lớp mạng : Xác định con đường tốt nhất để dịch chuyển dữ liệu từ nơi này sang nơi khác. Router hoạt động ở lớp này. 6. Lớp liên kết dữ liệu : Chuẩn bị gói dữ liệu cho hoạt động truyền mang tín hiệu vật lý xuyên môi trường. Nó xử lý các thông báo lỗi, topo mạng, điều khiển luồng dữ liệu. Lớp này sử dụng những địa chỉ truy xuất môi trường ( MAC addresses). 7. Lớp vật lý : Cung cấp các phương tiện điện, cơ, thủ tục, hàm để kích hoạt và duy trì mối liên kết vật lý giữa các hệ thống. Nó sử dụng môi trường truyền vật lý như cáp xoắn đôi, cáp đồng trục và cáp sợi quang. 2.1.3 Các thiết bị kết nối sử dụng trong mạng 2.1.3.1 Chuyển mạch Một mạng chuyển mạch bao gồm một dãy các trường chuyển mạch kết nối với nhau. Trường chuyển mạch bao gồm các thiết bị phần mềm/phần cứng có khả năng tạo các kết nối tạm thời giữa hai hay nhiều thiết bị tới chuyển mạch. Các chuyển mạch nói chung được phân loại thành phương thức : Chuyển mạch kênh, chuyển mạch gói, và chuyển mạch bản tin. Tầng ứng dụng Tầng trình diễn Tầng phiên Tầng giao vận Tầng mạng Tầng data link Tầng vật lý Gateway Router bridge repeater Hình 2-2 Các thiết bị kết nối mạng 2.3.1.2 Bộ lặp Một bộ lặp là một thiết bị điện tử chỉ hoạt động trên tầng vật lý của mô hình OSI. Bộ lặp thực hiện tăng thế cho tín hiệu truyền dẫn từ một phân đoạn và duy trì tín hiệu tới phân đoạn khác của mạng. Vì vậy bộ lặp cho phép mở rộng chiều dài vật lý của mạng. Các tín hiệu mang thông tin có thể đi qua một khoảng cách lớn trước khi giảm tính toàn vẹn dữ liệu do nhiễu. Một bộ lặp thu tín hiệu bị suy hao, thực hiện khôi phục lại tín hiệu ban đầu và tạo ra một bản sao tín hiệu đưa trở lại đường truyền. 2.3.1.3 Cầu nối Các cầu hoạt động trong cả tầng vật lý và tầng liên kết dữ liệu của mô hình OSI. Một cầu nối đơn kết nối các loại mạng khác nhau và làm tăng mức kết nối liên mạng. Các cầu nối chia một mạng lớn thành các phân đoạn nhỏ hơn. Các cầu có thể phân tách các lưu lượng cho mỗi phân đoạn. Cầu nối có thể truy nhập địa chỉ vật lý của tất cả các trạm kết nối với nó . Khi một khung được nhập vào cầu nối, nó thực hiện phục hồi dữ liệu và kiểm tra địa chỉ của nó và chuyển tiếp tới phân đoạn gần với địa chỉ dữ liệu hơn. 2.3.1.4 Router Router hoạt động trong các tầng vật lý, tầng liên kết dã liệu, và tầng mạng của mô hình OSI. Mạng Internet là một sự kết hợp các kết nối các mạng bằng các Router. Khi một Datagram đi từ một nguồn tới một đích, có thể nó sẽ đi qua nhiều Router cho đến khi nó tìm router thấy gắn với mạng đích. Các router quyết định đường dẫn cho gói tin, sắp xếp các gói tin vào một liên kết nối mạng. Router sử dụng địa chỉ đích trên một Datagram để lựa chọn một next-hop chuyển tiếp datagram. 2.3.1.5 Gateway Gateway hoạt động trên tất cả các tầng của mô hình OSI. Một gateway là một bộ chuyển đổi giao thức kết nối hai hay nhiều hệ thống khác nhau và thông dịch cho mỗi thành viên. Vì thế, gateway gắn với một thiết bị thực hiện việc thông dịch giao thức giữa các thiết bị. Một gateway có thể nhận một khuôn dạng gói tin từ một giao thức và chuyển đổi nó thành khuôn dạng gói tin giao thức khác trước khi chuyển tiếp. 2.2 Những nguy hiểm từ môi trường ngoài tới hoạt động của mạng Trong quá trình hoạt động, mạng luôn phải chịu sự tác động mạnh mẽ từ môi trường ngoài với những hành động truy nhập trái phép để can thiệp vào các tài nguyên trong mạng. Những đe dọa về an ninh mạng có thể do một cá nhân, đối tượng nào đó khi thực hiện có thể làm hỏng LAN, như cố ý sửa đổi thông tin, gây ra lỗi trong tính toán, hay có thể ngẫu nhiên xóa bỏ các tệp tin trong mạng…Những nguy hiểm có thể cũng xảy ra do các hoạt động trong tự nhiên… Những hành động can thiệp vào một mạng LAN có thể liệt kê như sau:  Truy nhập LAN trái phép : Được thực hiện do một cá nhân trái phép tìm được cách truy nhập LAN  Không thích hợp truy nhập tài nguyên LAN : Do cá nhân được phép hoặc không được phép truy nhập LAN gây ra. Cố tình truy nhập tài nguyên LAN trong các trường hợp không được phép.  Làm lộ dữ liệu : Do một các nhân đọc thông tin và có thể để lộ thông tin, do vô tình hoặc có chủ ý.  Thay đổi trái phép dữ liệu và phần mềm : Là hành động sửa đổi, xóa hay phá hủy dữ liệu LAN và phần mềm trong trường hợp trái phép hoặc do ngẫu nhiên.  Làm lộ lưu lượng LAN  Giả mạo lưu lượng : Xuất hiện một bản tin và được gửi một cách hợp phát, tên người gửi, trong đó thực tế bản tin đã không được thực hiện  Phá hỏng các chức năng LAN 2.3 Bảo mật mạng Trước những nguy cơ mà một mạng gặp phải, đã đặt ra yêu cầu bảo mật mạng. Bảo mật mạng là nhân tố vô cùng quan trọng trong hoạt động mạng. Yêu cầu cho các hoạt động bảo mật mạng là bất kỳ bản tin nào được gửi cũng phải đến đúng địa chỉ đích. Thực hiện điều khiển truy nhập trên toàn mạng, tất cả các thiết bị kết nối như các đầu cuối, chuyển mạch, modem, gateway, cầu nối, router… Bảo vệ thông tin được phát, cảnh báo hoặc loại bỏ các cá nhân hoặc thiết bị trái phép. Mọi vi phạm bảo mật xuất hiện trên mạng phải được phát hiện, báo cáo và nhận trả lời thích hợp. Có kế hoạch khôi phục lại kênh liên lạc ban đầu cho người sử dụng khi gặp phải sự cố an ninh mạng. Bảo mật mạng được xem xét theo các khía cạnh sau. 2.3.1 Chính sách bảo mật Một chính sách bảo mật là một thông báo rõ ràng các nguyên tắc mà theo nó người được truy nhập tới công nghệ của một tổ chức và các tài sản thông tin phải tuân theo. Mục đích chính của chính sách bảo mật là dành cho người sử dụng, các nhân viên, và các nhà quản lý với những nhu cầu bắt buộc cần bảo vệ công nghệ và các tài sản thông tin. Chính sách bảo mật chỉ rõ các cơ chế mà qua đó phù hợp với yêu cầu. Một mục đích khác là cung cấp một đường cơ sở từ đó định cấu hình và đánh giá các hệ thống máy tính và các mạng tuân thủ chính sách. Một chính sách sử dụng thích hợp (AUP) cũng có thể là một phần của chính sách bảo mật. Nó giải thích rõ ràng những gì mà người sử dụng sẽ và không được làm đối với các thành phần khác nhau của hệ thống, bao gồm loại lưu lượng đã cho phép trên mạng. AUP phải trình bày đơn giản, rõ ràng tránh sự tối nghĩa hay hiểu lầm. Đặc trưng của một chính sách bảo mật hiệu quả là: 1. Nó phải được thực hiện qua các thủ tục quản lý hệ thống, công bố sử dụng 2. Các nguyên tắc, hoặc các phương thức phù hợp khác. 3. Nó phải được thi hành với các công cụ bảo mật. 4. Nó phải định nghĩa rõ ràng trách nhiệm người sử dụng, nhà quản trị, và các nhà quản lý. Các thành phần của một chính sách bảo mật hiệu quả bao gồm : 1. Các nguyên tắc lựa chọn công nghệ máy tính : Chỉ rõ nhu cầu, ưu tiên, các đặc trưng bảo mật. Bổ sung các các chính sách lựa chọn hiện có và các nguyên tắc. 2. Một chính chính sách bảo mật xác định hợp lý những nhu cầu bảo mật như tạo ra cơ chế quản lý thư điện tử, đăng nhập nhấn phím, và truy nhập các tệp tin người sử dụng. 3. Một chính sách truy nhập định nghĩa các quyền truy nhập và các đặc quyền để bảo vệ khỏi mất hoặc bị lộ bằng việc chấp nhận sử dụng các nguyên tắc cho người sử dụng, các nhân viên vận hành và các nhà quản lý. Nó có thể cung cấp các nguyên tắc cho các [...]... truy nhập mạng Lợi ích của các mật khẩu :Các mật khẩu đã thành công trong việc cung cấp bảo mật cho các hệ thống máy tính trong một thời gian dài Chúng được tích hợp vào trong nhiều hệ điều hành, người sử dụng và các nhà quản lý mạng đã quen thuộc với chúng Những khó với các mật khẩu : An toàn của một hệ thống mật khẩu bị phụ thuộc vào việc bảo vệ các mật khẩu Đáng tiếc là nhiều phương pháp bảo mật đã... thực là sự sắp xếp theo hệ thống userID /mật khẩu Thật ra hệ thống mật khẩu chỉ hiệu quả nếu quản lý đúng đắn, nhưng thường ít được như vậy Nhận thực chỉ dựa trên mật khẩu thường gặp thất bại trong việc cung cấp bảo vệ thỏa đáng cho hệ thống vì một số lý do Những người sử dụng luôn nghĩ tới việc tạo một mật khẩu dễ nhớ và vì thế dễ đoán Mặt khác khi mà người sử dụng phải sử dụng các mật khẩu đã tạo ra từ... vì mật mã của một mật khẩu sẽ được sử dụng lại bởi vì mật mã mật khẩu giống nhau sẽ tạo ra văn bản mật mã giống nhau; văn bản đã được mật mã trở thành mật khẩu  Truy nhập tệp tin mật khẩu : nếu như tệp tin mật khẩu không được bảo vệ bởi các điều khiển truy nhập mạnh, tệp tin có thể bị download Các tệp tin mật khẩu thường được bảo vệ với một phương pháp mật mã không sẵn có cho các nhà quản lý hệ thống. .. thủ tục sử dụng trong bất kỳ môi trường LAN nào 2.3.2 Bảo mật môi trường vật lý Các điều khiển bảo mật vật lý và môi trường bao gồm ba phạm vi lớn như sau: 1 Môi trường vật lý thường là tòa nhà, cấu trúc khác hay nơi để xe cộ, hệ thống và các thành phần mạng Các hệ thống có thể được mô tả, dựa trên vị trí hoạt động, như là tĩnh, di động, hay linh động Các hệ thống tĩnh được lắp đặt trong các cấu trúc... động để bảo dưỡng Nó cũng bao gồm thông tin tương tác để báo cáo tình trạng xấu của mạng và hệ thống 7 Một chính sách bảo dưỡng mạng và hệ thống công nghệ thông tin mô tả cách bảo trì cho cả bên trong và bên ngoài cho những người được phép thao tác và truy nhập công nghệ Một chủ đề quan trọng là đánh địa chỉ ở đây là bảo trì từ xa được cho phép và truy nhập được điều khiển 8 Chính sách thông báo vi... nhớ ra mật khẩu  Cho các mật khẩu : Các người sử dụng có thể dùng chung các mật khẩu của họ Họ có thể cho mật khẩu của mình để dùng chung các tệp tin Thêm vào đó người ta có thể bị lừa gạt để lộ mất mật khẩu của mình  Kiểm tra điện tử : Khi các mật khẩu được phát tới một hệ thống máy tính, nó có thể chịu sự giám sát điện tử Điều này có thể xảy ra trên mạng đã phát mật khẩu hoặc trên bản thân hệ thống. .. người sử dụng kết hợp với một mật khẩu Kĩ thuật này chỉ đơn thuần dựa trên những gì biết về người sử dụng ngoài ra còn có các kĩ thuật khác, như nhận biết một khóa mật mã Mật khẩu Nói chung, phương thức làm việc của các hệ thống mật khẩu là yêu cầu người sử dụng nhập một ID người sử dụng và mật khẩu (hoặc cụmg từ hay số nhận dạng cá nhân) Hệ thống so sánh mật khẩu với mật khẩu lưu trữ trước đó Nếu... con người) củng cố hoạt động hệ thống Quá trình hoạt động của hệ thống thường phụ thuộc vào khả năng hỗ trợ từ các thành phần như nguồn điện, điều kiện không khí và nhiệt độ, và môi trường viễn thông Việc phải hoạt động trong điều kiện dưới mức bình thường có thể dẫn tới ngưng hoạt động của hệ thống và có thể dẫn tới phá hủy phần cứng hệ thống và cơ sở dữ liệu 5 Gián đoạn trong việc cung cấp các dịch... Do đó dữ liệu phải được lưu trữ dự phòng trong một hệ thống luôn sẵn sàng hoạt động khi hệ thống hoạt động bị phá hủy Dữ liệu sẽ được khôi phục từ các bản sao của nó 7 Làm lộ thông tin trái phép : Môi trường vật lý có thể phải chập nhận một kẻ đột nhập truy nhập cả từ phương tiện ngoài tới phần cứng hệ thống và tới các phương tiện bên trong các thành phần hệ thống, các đường truyền dẫn hay các màn hình... sự kiện dẫn tới nguy hiểm Nhận dạng và nhận thực : là dịch vụ bảo mật giúp đảm bảo rằng mạng LAN chỉ được truy nhập bởi những người được trao quyền Điều khiển truy nhập : là dịch vụ bảo mật giúp đảm bảo rằng cá tài nguyên LAN được sử dụng theo một loại ủy quyền Độ tin cậy bản tin thông điệp và dữ liệu : là một dịch vụ bảo mật giúp đảm bảo rằng dữ liệu LAN, phần mềm và các message không bị lộ cho các . ĐỒ ÁN HỆ THỐNG MẠNG Đề tài: BẢO MẬT TRONG WLAN CHƯƠNG II BẢO MẬT MẠNG VÀ INTERNET 2. 1 Tổng quan về các mô hình mạng 2. 1. 1 Mô hình TCP/IP Mạng Internet ngày nay là một mạng truyền. 2. 3 Bảo mật mạng Trước những nguy cơ mà một mạng gặp phải, đã đặt ra yêu cầu bảo mật mạng. Bảo mật mạng là nhân tố vô cùng quan trọng trong hoạt động mạng. Yêu cầu cho các hoạt động bảo mật. lý giữa các hệ thống. Nó sử dụng môi trường truyền vật lý như cáp xoắn đôi, cáp đồng trục và cáp sợi quang. 2. 1. 3 Các thiết bị kết nối sử dụng trong mạng 2. 1. 3 .1 Chuyển mạch Một mạng chuyển