HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ MÔN: MẠNG VÀ TRUYỀN THÔNG HÀ NỘI - 2014 NGÂN HÀNG NHÀ NƯỚC VIỆT NAM HỌC VIỆN NGÂN HÀNG ********************** Ề CƯ NG HỌC H N Mạng truyền thông Th i gi n p 1. r nh ộ h nh thứ ot o ng n m h i họ -2015 h nh quy 2. ố t n h t n h 3. h n ổ th i gi n  G n l t uy t tr n l p 70%  T n t  T t pt  T n m o t o lu n sở n ứu  T u lu n 4. n t pl n i u iện ti n quy t  p n  p n son ều hành, Tin h Ki n trúc máy tính h n To n rời r sở l p trìn n . sở l p trình 2, HTTTQL, HQTCSDL, Cấu trúc li u gi i thu t, An toàn li u. 5. Mục tiêu củ họ ph n  Tr n l t uy t H c ph n trang b cho sinh viên ki n thức tổng quát m ng máy tích, tổ chức ho t ộng h thống m ng, cách thức máy tính m n tr o ổi li u v i nhau. Các ki n thức mô hình tham chi u OSI, ki n trúc TCP/IP. Các giao thức t i t n k RARP, giao thứ n u n ARP nh n d ch vụ ch y tr n mô ìn T P IP n HTTP FTP SMTP N o r c ph n ũn un ấp khái ni m thi t b m ng, an ninh m n m y t n  Tr n vấn ề n n ứu k n n n dụng tin h c. n ứu n p vụ có ứng  Tr n k n n o Có ph n t h gói tin tr n m ng. o Có l m việ o Có lắp ặp thi t ị m ng. o Có o Hiểu ượ t m qu n trọng ủ hi t o ộ lập, l m việ theo nhóm. i ặt m ng hông d y ơn giản. v lắp ặt ượ m ng L n ơn giản Bi t ảo vệ v phòng ngừ o n ninh m ng máy t nh hỏi hiểm họ tr n m ng máy t nh. 6. Mô tả tóm tắt nội dung họ ph n ” M ng truy n thông ” cung cấp ki n thứ Môn h n về: + Khái ni m m ng máy tính + Mô hình k t nối computer thành m ng máy tính. + Các thi t b m n n. + Mô hình giao ti p tr o ổi thông tin qua m ng computer. + M ng toàn c u Internet. + An toàn m ng máy tính. + Các ứng dụn 7. u n n m ng máy tính Internet. u ối với họ vi n  Qu trìn n t p v t m k o mở rộn : Sinh viên ph i có m t l p ũn uổi th c hành, th o lu n. Ph ề xuất nghe gi ng. Chuẩn b tài li u, tham kh o, chuẩn b ý ki n hỏ sưu t m  T m tư l u ó l n qu n o t ộn phát tri n h thốn n n gi ng, th o lu n l p. t o quy thuy t, th c hành theo t p qu c nghiên cứu giáo trình, tài li u n ởp np n ổt nh làm ki m tr n hoá từ th c tiễn. n : H c lý nh kỳ, t p  t ứ tổ ứ k lu t ó thức tổ chức, k lu t t o quy nh trường, l p gi ng viên phụ trách. 8. h giáo ho v t i liệu th m hảo  G o trìn : Bài gi ng giáo viên cung cấp.  T l ut mk o : + Nguyễn Thúc H i, M ng máy tính h thống mở, NXB Giáo dục 1999. ường, Internetworking v i TCP/IP, Nxb Giáo dục, 2001 + Nguyễn Quố + Nguyễn Th Hùng, M ng truyền thông li u, Nxb Thống kê, 2002.  T l u uy n s u: + Jim Kurose Keith Ross, Computer Networking: A top down Approach Futuring the Internet + W.Stallings, Cryptography and Network Security Principles and Practice, 5th Edition  t l u nt w st : + http://nsgn.net/osi_reference_model/ + http://lntc500.vnweblogs.com/post/30687/362494 9. ánh giá họ ph n  T o lu n tr n l p  m tr t  t p  lu n  T 10. ữ kỳ t p n óm uố kỳ . hái quát nội dung  T ôn t n n p n T n nộ un n t lư n . T n hương Nội dung h nh ph n T 1.1. Các khái ni m máy tính. Tổng quan m ng h i lượng n m ng 1.2. L ch s phát tri n m ng máy tính nói chung. 12.5% 1.3. Phân lo i m ng máy tính. 1.4. Các ứng dụng m ng .1. Các mô hình truyền thông sở lý thuy t. 18.75% 2.2. Mô hình OSI 2.3. Mô hình TCP/IP 3.1. Khái ni m chung m ng cục 3.2. K thu t m ng cục M ng cục 3.3. Các p n p p truy truyền v t lý p ường 12.5% 3.4. M ng cục không dây. 3.5. Thi t k m ng cục bộ. 4.1. M ng chuy n m ch. Các m ng di n rộng 4.2. M ng thuê bao. 4.3. M ng chuy n gói tin. 14% ộ cao. 4.4. M ng tố 4.5. M ng NGN 5.1. Gi i thi u 5.2. Giao thức truy c p web HTTP 5.3. Giao thức truyền file (FTP) M ng Internet 5.4. T n t (Email) 5.5. G (Voip) n tho i Internet 5.6. D ch vụ tên miền (DNS) 5.7. Giao thức Internet(Internet 12.5% Protocol) 5.8. IPv4 IPv6 .9. Đ nh n Internet 6.1. Các hi m h a m ng máy tính. An ninh m ng máy tính 6.2. Các bi n pháp b o v phòng 12.5% ngừa 6.3 Một số giao thức an ninh Internet 11. Nhóm giảng viên:  ộ môn o n óm  T ôn t n l n N n n n v n n o HTTTQ tn p sở n t n t ng H c vi n ĐT 12. i n tr nh họ tập  n mụ  T nộ un o t ộn t o trìn t n p n ổt n ễn r i t t t n n o t ộn . Ho t ộng họ tập uổi n I- Tổng quan m ng 1.1. Các khái ni m n m ng máy tính. 1.1.1. Khái ni m m ng máy tính. 1.1. . Ưu mv n m m ng máy tính. 1.2. L ch s phát tri n m ng máy tính nói chung. 1.3. Phân lo i m ng máy tính. 1.3.1. Phân lo i m ng theo k thu t truyền tin. 1.3.2. Phân lo i m ng theo ph m v 1.3.3. Phân lo i m ng theo n n a lý. máy tính m ng. 1.3.4. Phân lo i theo k thu t chuy n m ch. 1.4. Các ứng dụng m ng 1.4.1. D ch vụ t nt . . 1.4.2. Các d ch vụ m ng. 1.4.3. Các ứng dụng kinh doanh m ng n .1. - Các mô hình truyền thông sở lý thuy t. 2.1.1. S c n thi t ph i có mô hình truyền thông. 2.1.2. Mô hình truyền t ôn n n t ng. 2.1.3. Các nhu c u chuẩn o ối v i m ng. 2.1.4. Một số mô hình chuẩn hoá. 2.2. Mô hình OSI 2.2.1. Nguyên tắc s dụn k n n ĩ t ng h thống mở. 2.2.2. Các giao thức mô hình OSI 2.2.3. Các n n ủ y u t ng mô hình OSI. 2.3. Mô hình TCP/IP 2.3.1. Gi i thi u chung giao thức. 2.3.2. Gi i thi u giao thức TCP/IP 2.3.3. Các giao thức khác n – M ng cục 3.1. Khái ni m chung m ng cục 3.2. K thu t m ng cục . . p n p p truy p ường truyền v t lý 3.4. M ng cục không dây. 3.5. Thi t k m ng cục bộ. Ti t buổi Ti t buổi Ki m tra n – Các d ch vụ m ng di n rộng 4.1. M ng chuy n m ch. 4.2. M ng thuê bao. 4.3. M ng chuy n gói tin. 10 4.4. M ng tố ộ cao. 4.5. M ng NGN 11 n – M ng Internet 5.1. Gi i thi u 5.2. Giao thức truy c p web HTTP 5.3. Giao thức truyền file (FTP) 5.4. T n t (Email) 5.5. G n tho i Internet (Voip) 5.6. D ch vụ tên miền (DNS) 12 5.7. Giao thức Internet(Internet Protocol) 5.8. IPv4 IPv6 .9. Đ nh n Internet 13 n – An ninh m ng máy tính 6.1. Các hi m h a m ng máy tính. 6.2. Các bi n pháp b o v phòng ngừa 6.2.1. Các chi n lư c an toàn thông tin. 6.2.2. Các mức b o v an toàn m ng. 14 6.3 Một số giao thức an ninh Internet 6.3.1. Giao thức SSL(Secure Socket Layer ) 6.3.2. Giao thức HTTPS 6.3.3. Giao thức SSH (Secure Shell) 6.3.4. Giao thức IPsec (IP Security Protocol) 15+16 Sinh viên báo cáo ti u lu n MỤC LỤC HƯƠNG 1. TỔNG QUAN VỀ MẠNG MÁY TÍNH Error! Bookmark not defined. 1.1 Khái ni m n m ng máy tính . Error! Bookmark not defined. 1.1.1 Khái ni m m ng máy tính. . Error! Bookmark not defined. 1.1.2 Ưu mv n m m ng máy tính. . Error! Bookmark not defined. 1.2 L ch s phát tri n m ng máy tính nói chung. Error! Bookmark not defined. 1.3 Phân lo i m ng máy tính . Error! Bookmark not defined. 1.3.1 Phân lo i m ng máy tính theo k thu t truyền tin Error! Bookmark not defined. 1.3.2 Phân lo i theo kho n a lý . Error! Bookmark not defined. 1.3.3 Phân lo i theo n n . Error! Bookmark not defined. 1.3.4 Phân lo i theo k thu t chuy n m ch Error! Bookmark not defined. 1.4 Các ứng dụng m ng máy tính Error! Bookmark not defined. 1.4.1 File Print . Error! Bookmark not defined. 1.4.2 Các d ch vụ truyền thông . Error! Bookmark not defined. 1.4.3 Các d ch vụ Internet Error! Bookmark not defined. 1.4.4 Các d ch vụ qu n lý . Error! Bookmark not defined. CHƯƠNG . MẠNG INTERNET . 11 5.1 Gi i thi u .102 5.2 Giao thức truy c p web HTTP .103 5.3 Giao thức truyền file FTP 104 5.4 T n t Internet (Email) .106 5.5. G n tho i Internet (Voip) .107 5.5.1. Thành ph n Voip .108 5.5.2. Chuẩn H323 .108 5.6 D ch vụ tên miền DNS .110 5.6.1. Các d ch vụ DNS 110 5.6.2. Ho t ộng DNS 111 5.7. Mô hình Internet (TCP/IP) .112 5.8. Giao thức Internet (Internet Protocol) .115 . .1. Đ a IP 115 5.8.2. Khuôn d ng gói li u IPv4 116 5.8.3. Khuôn d ng gói li u IPv6 118 5.8.4. Chuy n ổi từ IPv4 sang IPv6 120 .9. Đ nh n Internet .122 5.9.1. Phân lo i thu t toán 5.9.2. Giao thứ nh n 123 nh n vùng t tr Internet 124 .9. . Đ nh n vùng t tr 124 Tường lửa chương trình phần mềm hay thiết bị phần cứng dùng để điều khiển truy cập tài nguyên mạng. Tường lửa dùng để ngăn chặn xâm nhập trái phép lọc luồng dư liệu độc hại. Tường lửa thường cài mạng để bảo vệ mạng chống lại đe dọa từ bên ngoài, ví dụ đe dọa từ môi trường internet. Tường lửa dùng để bảo vệ thông lượng, dải băng mạng riêng để người có quyền làm việc. Nếu tường lửa tài nguyên mạng bị chiếm dụng đối tượng bên ngoài, thông tin bị lấy cắp . Chúng ta nên cài tường lửa máy trạm máy chủ. Cài tường lửa máy trạm giúp chống lại đe dọa từ internet, từ mạng nội thành phần khác mạng. 6.2 Các chi n lược bảo vệ m ng 6.2.1 Quyền hạn tối thiểu (Least Privilege) Mỗi chương trình người sử dụng hệ thống nên hoạt động cách sử dụng quyền hạn tối thiểu cần thiết để hoàn thành công việc. Về bản, nguyên tắc làm hạn chế thiệt hại mà kết tai nạn lỗi. Nó làm giảm số lượng tương tác tiềm quyền hạn chương trình mức tối thiểu cho hoạt động xác, sử dụng không chủ ý, không mong muốn, không quyền hạn có khả xảy ra. Do đó, câu hỏi đặt liên quan đến việc lạm dụng quyền hạn, số lượng chương trình mà phải kiểm toán giảm thiểu. Nói cách khác, chế cung cấp 'tường lửa, "nguyên tắc quyền hạn tối thiểu sở cho nơi cài đặt tường lửa. Các quy tắc bảo mật quân "cần-thì-biết" ví dụ nguyên tắc này. 6.2.2. Bảo vệ theo chi u sâu ( Defence in Depth ) Khái niệm bảo vệ theo chiều sâu dựa tiền đề phòng thủ nhiều lớp bao gồm chiến lược toàn diện mà vượt nhiều hệ thống nào. Các bảo vệ trải dài nhiều giải pháp công nghệ, quy trình vận hành giáo dục nhân viên. Bảo vệ hoàn chỉnh theo cách tiếp cận theo chiều sâu bao gồm hầu hết tất công cụ sau : • • DMZ • Lớp • Tường lửa cho lập, cô ứng dụng Phát lọc bên • với tường phải lửa xâm • • gói kiểm đối tra mặt với kiểm nhập / với tra tình trạng máy chủ gói tin sâu phòng chống Proxy Xác Antivirus thực bảo vệ cho server mã mạng, hóa máy 127 chủ mạng tập tin không khách dây hàng • Lọc • thư Giám Xác • rác nhận Hệ thống máy sát chủ nội tường lửa dựa cho sách kiểm soát Chính sách • Quy tắc Tính • Sử truy dụng khách lọc di máy chủ động khách lý • • máy bị Quản Các dung thiết • • thích cập dựa Patch quyền mật hạn mật hợp mã tối thiểu mạnh Workstation bảo hàng lockdown ứng hóa dụng liệu • Các sách người dùng đào tạo 6.2.3. Tính đơn giản Giữ thứ đơn giản phần quan trọng an toàn liệu. Nó làm cho chúng dễ hiều, dễ quản lý dễ khắc pục cố. Khi thứ phức tạp làm cho khó hiểu, khó quản lý phức tạp sử lý cố. Thêm khó xác định hệ thống phức tạp đủ an toàn hay chưa. Sự đơn giản luôn đạt đặc biệt hạ tầng mạng phần mềm. Khi lựa chọn giải pháp đơn giản giải pháp phức tạp giải pháp đơn giản dễ thực dễ kiểm định mức độ an toàn hơn. 6.2.4 Nút thắt Nút thắt buộc tất luồng, hoạt động phải qua đường đơn kênh. Đường dùng để điều khiển tiêu thụ băng thông, lọc nội dung cung cấp dịch vụ xác thực. Mục đích nút thắt để đảm bảo thiết bị an ninh vị trí điều khiển điều khiển thứ. Mọi luồng, người dùng, liệu kiểm tra. Một nút thắt có giá trị khó bị vượt qua. Nếu hacker tương tác với đích hệ thống mà không qua nút thắt nút thắt giá trị. 6.2.5. Liên kết yếu Độ an toàn chuỗi độ an toàn liên kết yếu nhất. Độ an toàn sở hạ tầng độ an toàn thành phần yếu nó. Mỗi lần làm cho an toàn liên kết yếu không liên kết yếu nữa. Do liên kết yếu xuất hiện. Lặp lại vòng để tìm liên kết yếu cải tiến nó. Liên kết yếu tránh khỏi liên kết yếu mạnh tốt liên kết yếu yếu. 6.2.6. Hỏng an toàn 128 Hỏng an toàn phương pháp phổ biến để đảm bảo an toàn cho hệ thống. Hỏng an toàn không áp dụng thiết bị an ninh mà toàn sở hạ tầng. Khi khía cạnh an ninh thất bại, kết tốt thất bại thất bại rơi vào trạng thái hỗ trợ trì bảo vệ an ninh thiết yếu. Điều có nghĩa trì tin cậy bảo vệ toàn vẹn. 6.2.7. Sự dạng bảo vệ Sự dạng bảo vệ tương tự bảo vệ theo chiều sâu không sử dụng lớp khác mà sử dụng loại bảo vệ khác nhau. Ví dụ sử dụng khóa cửa khóa đánh lửa xe độ sâu bảo vệ, thêm hệ thống báo động tạo không tăng độ sâu mà thêm đa dạng cách thêm loại hoàn toàn khác bảo vệ. Bây giờ, hệ thống bảo vệ không cố gắng để giữ cho người sử dụng xe mà cố gắng để thu hút ý cho người công nó. Thực đúng, đa dạng bảo vệ tạo nên khác biệt đáng kể an ninh hệ thống. Tuy nhiên, nhiều nỗ lực để tạo đa dạng bảo vệ không đặc biệt hiệu quả. Một lý thuyết phổ biến sử dụng loại khác hệ thống. Ví dụ, kiến trúc có hai hệ thống lọc gói, tăng tính đa dạng bảo vệ cách sử dụng hệ thống từ nhà cung cấp khác nhau. Nếu toàn hệ thống nhau, biết cách đột nhập vào số chúng biết cách đột nhập vào tất hệ thống. Sử dụng hệ thống bảo mật từ nhà cung cấp khác làm giảm nguy gây lỗi phổ biến lỗi cấu hình. Tuy nhiên, có đánh đổi độ phức tạp chi phí. Mua sắm lắp đặt nhiều hệ thống khác khó khăn hơn, nhiều thời gian hơn, đắt so với mua sắm lắp đặt hệ thống đơn. Nếu không cẩn thận, tạo đa dạng yếu thay đa dạng bảo vệ. Nếu có hai lọc gói khác nhau, số chúng sử dụng trước, sau sử dụng lại giúp bảo vệ điểm yếu. Nếu có hai lọc gói tin khác nhau, lọc riêng biệt cho phép lưu lượng vào, sau sử dụng sản phẩm khác làm cho dễ bị tổn thương hai lọc thay một. 6.3 Một số giao thức an ninh Internet 6.3.1 Giao thức SSL (Secure Socket Layer) SSL giao thức cung cấp truyền tin cậy thiết bị đầu cuối. SSL record cung cấp dịch vụ an ninh cho giao thức tầng có HTTP. HTTP giao thức cung cấp dịch vụ môi trường web client server. Các thành phần SSL gồm ba giao thức tầng cao hơn: Handshake Protocol, The Change Cipher Spec 129 Protocol Alert Protocol. Hai khái niệm SSL SSL session (phiên làm việc) SSL connection (SLL liên kết). - Liên kết : cung cấp dịch vụ thích hợp. Các liên kết SSL quan hệ ngang hàng. Các liên kết tạm thời kết hợp với phiên. - Phiên làm việc : Một phiên làm việc SSL kết hợp client server. Một phiên tạo giao thức Handshake Protocol. Các phiên xác định tập tham số an toàn bảo mật mà chia sẻ liên kết. Giữa cặp thành phần (ví dụ client server) có nhiều liên kết. Các phiên thực đồng thời thành phần. 6.3.1.1. SSL Record Giao thức SSL Record cung cấp hai dịch vụ cho SSL liên kết: - Tính bảo mật: Giao thức Handshake Protocol xác định khóa bí mật chia sẻ sử dụng cho mã hóa liệu. Tính toàn vẹn: Giao thức Handshake Protocol xác định khóa bí mật chia sẻ sử dụng để tạo mã xác thực thông tin. 130 Hình SSL Record - Hoạt động SSL Record: Truyền liệu: chia liệu thành phần nhỏ, nén liệu, tạo mã xác thực, mã hóa, đặt tiêu đề (header) truyền phần liệu. Nhận liệu: Giải mã, xác thực, giải nén, hợp liệu truyền liệu lên tầng trên. 6.3.1.2. The Change Cipher Spec Protocol The Change Cipher Spec Protocol giao thức đơn giản ba giao thức SSL. Giao thức gồm thông điệp chứa byte đơn với giá trị 1. Mục đích byte để thể trạng thái tại. 6.3.1.3. Alert Protocol Giao thức Alert Protocol sử dụng để chuyển cảnh báo đến thực thể ngang hàng. Mỗi thông điệp giao thức gồm byte. Byte chứa giá trị để thông báo mức độ nghiêm trọng. Nếu byte có giá trị SSL kết thúc liên kết lập tức. Các liên kết khác phiên tiếp tục không thiết lập thêm liên kết mới. Byte thứ hai chứa mã cảnh báo đặc biệt. 6.3.1.4. Handshake Protocol Phần phức tạp SSL giao thức Handshake Protocol. Giao thức cho phép server client xác thực lẫn thỏa thuận thuật toán khóa mã hóa để bảo vệ liệu. Giao thức Handshake Protocol sử dụng trước truyền liệu. 131 Giao thức Handshake protocol gồm bốn giai đoạn. Giai đoạn 1: Thiết lập - Giai đoạn thiết lập liên kết logic mức độ bảo mật server client. Giai đoạn 2: Xác thực server trao đổi khóa - Server xác thực giai đoạn tạo khóa công cộng gửi cho client. - Giai đoạn 3: Xác thực client trao đổi khóa Client kiểm tra thông tin nhận từ server. Client gửi cho server thông điệp xác nhận trạng thái thông tin mà nhận được. Sau client gửi tiếp thông điệp mà nội dung phụ thuộc vào kiểu khóa trao đổi. - Giai đoạn 4: Kết thúc Client gửi thông điệp kết thúc bao gồm thuật toán mới, khóa bí mật. Thông điệp kết thúc thông báo trình trao đổi khóa xác thực thành công. 6.4. Giao thức HTTPS Giao thức HTTPS kết hợp hai giao thức HTTP SSL TLS để đảm bảo an toàn truyền thông web server web browser. - Khởi tạo liên kết Client khởi tạo liên kết với server cổng thích hợp sau gửi thông điệp TSL ClientHello để bắt đầu thử tục “bắt tay”. Khi thủ tục “bắt tay” kết thúc, client khởi tạo yêu cầu HTTP đầu tiên. Một liên kết HTTPS có ba mức: Ở tầng HTTP, HTTP client yêu cầu liên kết với HTTP server việc gửi yêu cầu đến tầng thấp TCP SSL/TLS. Ở tầng TLS, phiên thiết lập TLS client TLS server. Một yêu cầu TLS thực cần liên kết thực thể TCP client TCP server. - Đóng liên kết HTTP client HTTP server yêu cầu đóng liên kết. Việc đóng kết nối HTTP yêu cầu đóng liên kết thực thể tầng TLS đóng liên kết tầng TCP. Quá trình đóng liên kết tầng TLS TCP thực cách gửi thông điệp yêu cầu “đóng liên kết” thực thể tầng. 6.5 Giao thức SSH (Secure Shell) 132 SSH giao thức truyền thông an toàn mạng. SSH thiết kế đơn giản không đắt cài đặt. Phiên SSH1 tập trung vào đăng nhập từ xa an toàn thay cho Telnet đăng nhập khác mà không an toàn. SSH sử dụng cho truyền file email. SSH phiên xem xét số lỗ hổng bảo mật. SSH client server ứng dụng rộng rãi hệ điều hành. Nó trở thành phương thức lựa chọn cho đăng nhập từ xa trở thành ứng dụng phổ biến cho công nghệ mã hóa bên hệ thống nhúng. SSH gồm ba giao thức SSH Transport layer protocol, SSH User authentication protocol SSH connection protocol. Các giao thức chạy phía giao thức TCP. 6.5.1. Giao thức SSH Transport Layer Protocol - Xác thực server xảy tầng giao vận trên sở server xử lý cặp khóa công khai/riêng. Một server có nhiều khóa sử dụng thuật toán mã hóa bất đối xứng khác nhau. Nhiều máy có chung khóa. Trong trường hợp bất kỳ, khóa server 133 sử dụng trao đổi khóa để xác thực danh tính client. Trong trường hợp này, client phải biết khóa công khai server. - - Trao đổi liệu client server thực tạo liên kết TCP client server. Quá trình trao đổi liệu bao gồm số bước. Đầu tiên trao đổi định danh (identification string exchange) client server. Client gửi cho server mã định danh. Nhận mã định danh này, server gửi trả lời client mã định danh nó. Tiếp theo, server client thỏa thuận thuật toán bao gồm trao đổi khóa, thuật toán mã hóa, thuật toán xác thực thuật toán nén. Bước tiếp đến trao đổi khóa. Sau bước client server chia sẻ với khóa server xác thực client. Bước kết thúc trao đồi khóa thực thông điệp client server. Cuối yêu cầu dịch vụ. Client gửi yêu cầu đến User Authentication Connnection Protocol. Dữ liệu mã hóa xác thực. Tạo khóa Các khóa dùng để mã hóa xác thực tạo từ khóa bí mật, giá trị hàm băm từ trao đổi khóa số hiệu phiên làm việc. 6.5.2. Giao thức xác thực người dùng (User authentication protocol ) Giao thức cung cấp xác thực người dùng server. Server yêu cầu số phương thức xác thực sau: - - Khóa công khai: Client gửi thông điệp chứa khóa công khai ký khóa riêng client tới server. Khi server nhận thông điệp kiểm tra xem khóa chấp nhận cho xác thực hay không. Nếu được, kiểm tra chữ ký hay không. Mật khẩu: client gửi mật mã hóa giao thức Transport layer protocol đến server. Xác nhận máy (Hostbased): Xác thực thực máy client. Do máy có nhiều client xác thực cho tất client máy. Client gửi ký tạo khóa riêng máy. Bởi vậy, thay xác nhận định danh user, SSH xác nhận định danh máy. 6.5.3. Giao thức liên kết (Connnection Protocol) SSH Connnection Protocol chạy phía SSH transport layer protocol đảm nhiệm xác thực liên kết. 134 - Cơ chế kênh truyền Các loại truyền sử dụng SSH hỗ trợ sử dụng kênh riêng biệt. Mỗi phía mở kênh. Với kênh, phía kết hợp với số hiệu nhất. Các kênh điều khiển chế cửa sổ. Dữ liệu truyền không gian cửa sổ sẵn sàng. Vòng đời kênh có ba giai đoạn: mở kênh, truyền liệu đóng kênh. - Các loại kênh Bốn loại sử dụng SSH connection protocol. - - Phiên (Phiên làm việc): cho phép thực chương trình xa. Chương trình ứng dụng truyền file, email, lệnh hệ thống hay hệ thống tích hợp. Khi phiên kênh mở bắt đầu thực chương trình xa. Cổng chuyển tiếp: Một đặc trưng sử dụng nhiều SSH cổng chuyển tiếp. Cổng chuyển tiếp có khả chuyển liên kết TCP không an toàn sang liên kết SSH an toàn. Một cổng định danh người dùng TCP. Bởi ứng dụng chạy TCP có số hiệu cổng. Dữ liệu đến TCP phân phát tới ứng dụng thích hợp dựa số hiệu cổng. SSH hỗ trợ hai loại cổng chuyển tiếp: công chuyển tiếp địa phương cổng chuyển tiếp xa. Cổng chuyển tiếp địa phương cho phép chuyển lưu lượng tầng ứng dụng từ liên kết TCP không an toàn sang dạng “đường ống” SSH an toàn. - Cổng chuyển tiếp xa: Client nhận luồng liệu với số hiệu cổng đích đặt luồng liệu vào cổng gửi đến đích. 135 6.6. Giao thức IPsec (IP Security Protocol) Vào năm 1994, ban kiến trúc Internet công bố báo cáo với nhan đề “An ninh kiến trúc Internet”. Báo cáo vùng cho chế an ninh Internet. Hai số an ninh cho sở hạ tầng mạng việc kiểm soát, điều khiển luồng liệu đảm bảo an toàn liệu thiết bị đầu cuối dựa chế xác thực mã hóa. Để đảm bảo an ninh, IP hệ bao gồm chế xác thực mã hóa. Điều có nghĩa nhà cung cấp đưa IPsec vào sản phẩm họ. 6.6.1. Ứng dụng IPsec IPsec đảm bảo an ninh truyền qua LAN, WAN, Internet bao gồm: - An toàn kết nối chi nhánh qua Internet 136 Một công ty xây dựng mạng riêng ảo an toàn qua Internet WAN. Điều cho phép hoạt động diễn Internet giúp tiết kiệm chi phí. - An toàn kết nối từ xa qua Internet Người dùng xa hệ thống trang bị IPsec truy cập mạng cách an toàn giảm chi phí lại nhân viên. - Thiết lập kết nối Extranet Intranet với đối tác IPsec sử dụng để đảm bảo an toàn truyền thông với tổ chức khác, đảm bảo tính xác thực, bảo mật cung cấp chế trao đổi khóa. - Nâng cao an ninh thương mại điện tử IPsec cho phép nâng cao độ an toàn thương mại điện tử. Nó đảm bảo luồng liệu thiết kế người quản trị xác thực mã hóa. 6.6.2. Lợi ích IPsec - Khi IPsec cài tường lửa (firewall) định tuyến(router) cung cấp mức độ an toàn cao - IPsec firewall để ngăn chặn luồng liệu bất hợp pháp từ Internet vào tổ chức. - IPsec nằm phía tầng giao vận (TCP, UDP) suốt với ứng dụng. Khi cài IPsec firewall định tuyến không cần phải thay đổi phần mềm server user. Thậm chí cài IPsec hệ thống user phần mềm tầng cao (gồm ứng dụng) không bị ảnh hưởng. - IPsec cung cấp an toàn cho người dùng độc lập. Điều có ích cho việc thiết lập an ninh cho mạng ảo tổ chức. - Các ứng dụng định tuyến IPsec có vai trò sống kiến trúc định tuyến yêu cầu cho kết nối liên mạng. IPsec đảm bảo rằng: + Quảng bá định tuyến từ định tuyến ủy quyền. + Quảng bá hàng xóm từ định tuyến ủy quyền. + Không bị giả mạo cập nhật định tuyến 6.6.3. Các dịch vụ IPsec IPsec cung cấp dịch vụ an ninh tầng IP cách cho phép hệ thống chọn giao thức an ninh theo yêu cầu, xem xét thuật toán sử dụng cho dịch vụ đặt khóa mã hóa vào nơi yêu cầu. Hai giao thức cung cấp dịch vụ an ninh là: giao thức xác thực định tiêu đề giao thức (Authentication Header-AH) giao thức kết hợp mã hóa/xác thực định khuôn dạng gói tin (Encapsulating Security Payload-ESP ). Chuẩn RFC 4301 liệt kê dịch vụ sau: 137 + Điều khiển truy cập + Tính toàn vẹn + Xác thực nguồn gốc liệu + Xóa gói tin bị lặp + Tính bảo mật 6.6.4 Chế độ giao vận(Transport) đường ống(Tunel) AH ESP hỗ trợ hai chế độ truyền thông đường ống. - Chế độ giao vận(Transport) Chế độ giao vận cung cấp bảo vệ cho giao thức tầng trên. Chế giao vận bảo vệ cho liệu trường Payload gói tin. Chế độ cung cấp bảo vệ truyền thông hai thiết bị đầu cuối. Khi máy dùng AH ESP IPv4 liệu gói tin IP payload theo sau tiêu đề (IP header). Với IPv6, liệu theo sau hai tiêu đề IP (IP header) tiêu đề mở rộng IPv6. ESP chế độ giao vận mã hóa xác thực liệu không mã hóa xác thực tiêu đề. AH chế độ giao vận xác thực liệu gói tin IP cổng chọn tiêu đề. - Chế độ đường ống(Tunnel) Chế độ đường ống bảo vệ toàn gói tin IP. Để thực điều này, sau trường ESP AH thêm vào gói tin IP toàn gói tin trường an ninh (security fields) xem trường payload gói tin IP có tiêu đề IP mới. Toàn gói tin gốc qua đường ống đầu đầu mạng. Bởi gói tin gốc đóng gói nên gói tin kích thước to có địa nguồn đích khác. Chế độ đường ống sử dụng hai đầu cuối hai đầu kết hợp an ninh (security association-SA) cổng an toàn tường lửa(firewall) router cài IPsec. Với chế độ đường ống, máy mạng phía sau tường lửa tham gia vào truyền thông an toàn mà không cần cài IPsec. Các gói tin không bảo vệ tạo máy truyền qua đường ống qua mạng bên theo chế đường ống. Các SA thiết lập phần mềm IPsec dạng tường tửa(firewall) định tuyến an toàn(security router) đường biên mạng cục bộ. ESP chế độ đường ống mã hóa xác thực toàn gói liệu IP bên bao gồm tiêu đề IP bên trong. AH chế đường ống xác thực liệu gói tin IP bên cổng chọn tiêu đề bên ngoài. 6.6.5. Chính sách an ninh IP Chính sách an ninh IPsec an toàn gói tin truyền từ nguồn đến đích. Chính sách IPsec tương tác sở liệu an ninh kết 138 hợp (Security Association Database-SAD) sở liệu sách an ninh (Security Policy Database). 6.6.6. An ninh kết hợp (Security Association-SA) An ninh kết hợp kết hợp hai chế xác thực mã hóa. Một kết hợp kết nối logic chiều nơi gửi nơi nhận mà đảm bảo an toàn cho luồng giữ liệu. Nếu mối quan hệ ngang hàng cần thiết cho trao đổi hai chiều an toàn hai an ninh kết hợp yêu cầu. An ninh kết hợp xác định ba tham số: - Chỉ số tham số an ninh (Security Parameter Index-SPI) Một bit dạng string gán cho SA có ý nghĩa địa phương. SPI đặt tiêu đề AH ESP cho phép hệ thống nhận chọn SA mà gói tin nhận xử lý. - Địa đích IP Đây địa đích SA mà hệ thống người dùng hệ thống tường lửa định tuyến. - Trường định danh giao thức an ninh (Security Protocol Identifier) Trường có hay không an ninh kết hơp AH hay ESP. 6.6.7 Cơ sở liệu an ninh kết hợp Trong cài đặt IPsec có sở liệu an ninh kết hợp mà định nghĩa tham số kết hợp với SA. Một an ninh kết hợp bao gồm tham số sau: - Chỉ số tham số an toàn(Security Parameter Index): Là giá trị 32 bit chọn phía nhận SA để xác định SA. Bộ đếm số thứ tự: Một giá trị 32 bit dùng để tạo trường số thứ tự tiêu đề AH ESP. Sự tràn đếm thứ tự: Một cờ có hay không tràn đếm số thứ tự tạo kiện kiểm tra ngăn chặn truyền thêm gói tin SA. 139 - Cửa sổ chống phát lại: Sử dụng để xem xét có hay không gói tin AH hay ESP bên phát lại. Thông tin AH: Thuật toán xác thực, khóa, vòng đời khóa tham số khác sử dụng với AH. Thông tin ESP: Các thuật toán mã hóa xác thực, khóa, giá trị khởi tạo, vòng đời khóa tham số khác sử dụng với ESP. Vòng đời an ninh kết hợp: Khoảng thời gian mà SA thay SA kết thúc. Chế độ giao thức IPsec: kiều đường ống, truyền(transport) hay wildcard. Kích thước gói tin lớn nhất: Là kích thước lớn gói tin mà phân mảnh truyền. 6.6.8 Cơ sở liệu sách an ninh (Security Policy Database-SPD) Một SPD gồm thực thể mà chúng xác định tập luồng liệu IP điểm đến SA cho luồng đó. Trong môi trường phức tạp hơn, có nhiều thực thể có quan hệ với SA đơn nhiều SA kết hợp với thực thể SPD đơn. Mỗi thực thể SPD xác định tập IP giá trị trường giao thức tầng trên. 140 - Xử lý gói tin IP Mỗi gói tin IP bên xử lý IPsec trước truyền. Mỗi gói tin IP bên xử lý sau nhận trước truyền nội dung lên tầng cao hơn. - Trao đổi khóa Quản lý khóa IPsec bao gồm xác định phân bố khóa bí mật. Yêu cầu điển hình bốn khóa cho truyền hai ứng dụng: tính bảo mật toàn vẹn truyền nhận. Kiến trúc IPsec hỗ trợ hai loại quản lý khóa: + Thủ công: Người quản lý hệ thống đặt cho hệ thống khóa riêng. Cách thực với môi trường tương đối nhỏ tĩnh. + Tự động: Hệ thống tự động cho phép tạo khóa cho SA làm cho sử dụng khóa thuận tiện hệ thống phân tán. Giao thức quản lý khóa tự động cho IPsec ISAKMP/Oakley. 141 Giao thức xác định khóa Oakley: giao thức trao đổi khóa sở thuật toán Diffie-Hellman an toàn cao hơn. Giao thức quản lý khóa an ninh kết hợp (SAKMP): SAKMP cung cấp tảng cho quản lý khóa hỗ trợ cho giao thức riêng biệt định dạng thuộc tính an toàn. - TÀI LIỆU THAM KHẢO Tài liệu tham khảo: + Nguyễn Thúc H i, Mạng máy tính hệ thống mở, NXB Giáo dục 1999. + Nguyễn Quố ường, Internetworking với TCP/IP, Nxb Giáo dục, 2001 + Nguyễn Th Hùng, Mạng truyền thông liệu, Nxb Thống kê, 2002.  i liệu huy n s u + Jim Kurose Keith Ross, Computer Networking: A top down Approach Futuring the Internet + W.Stallings, Cryptography and Network Security Principles and Practice, 5th Edition 142 [...]... được gọi là các giao thức (Protocols) 2 Mô hình truyền thông đơn giản 3 tầng Nói chung trong truyền thông có sự tham gia của các thành phần: các chương trình ứng dụng, các chương trình truyền thông, các máy tính và các mạng Các chương trình ứng dụng là các chương trình của người sử dụng được thực hiện trên máy tính và có thể tham gia vào quá trình trao đổi thông tin giữa hai máy tính Trên một máy tính... nhận cho mạng và qua đó mạng sẽ chuyển các thông tin tới đích Ngoài ra máy gửi có thể sử dụng một số phục vụ khác nhau mà mạng cung cấp như gửi ưu tiên, tốc độ cao Trong tầng này có thể có nhiều phần mềm khác nhau được sử dụng phụ thuộc vào các loại của mạng ví dụ như mạng chuyển mạch, mạng chuyển mạch gói, mạng cục bộ Tầng truyền dữ liệu thực hiện quá trình truyền thông không liên quan tới mạng và nằm... Chương trình truyền thông trên máy nhận sẽ tiếp nhận dữ liệu, kiểm tra nó trước khi chuyển giao cho ứng dụng đang chờ dữ liệu 34 Với mô hình truyền thông đơn giản người ta chia chương trình truyền thông thành ba tầng không phụ thuộc vào nhau là: tầng ứng dụng, tầng chuyển vận và tầng tiếp cận mạng    Tầng tiếp cận mạng liên quan tới việc trao đổi dữ liệu giữa máy tính và mạng mà nó được nối vào Để... liên quan đến mạng và các ứng dụng khác Các máy tính được nối với mạng và các dữ liệu được trao đổi thông qua mạng từ máy tính này đến máy tính khác Việc gửi dữ liệu được thực hiện giữa một ứng dụng với một ứng dụng khác trên hai máy tính khác nhau thông qua mạng được thực hiện như sau: Ứng dụng gửi chuyển dữ liệu cho chương trình truyền thông trên máy tính của nó, chương trình truyền thông sẽ gửi chúng... thu hút và lôi kéo các khách hàng truy nh p vào trang web của hãng nhằm t n ường tính c nh tranh và qu ng bá rộng rãi s n phẩm và d ch vụ của mình t i khách hàng 29 CHƯƠNG II – CÁC CHUẨN MẠNG VÀ MÔ HÌNH TRUYỀN THÔNG Mục tiêu ư n n y n ằm gi i thi u     o n ười h c những vấn ề sau: Các chuẩn mạng Kiến trúc phần mềm của một mạng m y tính, đặc biệt là kiến trúc có thứ bậc của các giao thức mạng Mô... trìn truyền n n f l ủ mỗ m y t n l Mo ul truyền v n n F l Mo ul truyền t ôn v Mo ul tư n ứn sẽ t n v tr o ổ v n u tron ó  ó t l m n m vụ ỉ ủ m yn n p o t ộn ở mứ ộ o un t ì ún t sẽ o t ộn một ộ l p ư t n mo ul t p n m n H mo ul Mo ule truyền và nhận file n ư t n tất n m vụ tron ứn ụn truyền n n f l V ụ truyền n n t ôn số về f l truyền n n mẫu t n ủ f l t n uy n ổ f l s n n k n u n u n Mo ul truyền. .. ứng dụng và các ứng dụng đó có thể thực hiện đồng thời việc truyền dữ liệu qua mạng) Một ứng dụng khi cần truyền dữ liệu qua mạng cho một ứng dụng khác cần phải gọi 1 module tầng ứng dụng của chương trình truyền thông trên máy của mình, đồng thời ứng dụng kia cũng sẽ gọi 1 module tầng ứng dụng trên máy của nó Hai module ứng dụng sẽ liên kết với nhau nhằm thực hiện các yêu cầu của các chương trình ứng... n trong công tác qu n lý và s n xuất kinh doanh Ngoài những ứng dụng to l n trong nội bộ doanh nghi p n ưn ứng dụng quan tr ng và to l n nhất cu m n ó l qu trìn i ti n kinh doanh của doanh nghi p thông qua ho t ộn t ư n m n t quá trình kinh doanh của doanh thông qua h thống m ng thông qua trang web của doanh nghi p liên k t v i bên ngoài Những ứng dụng của m ng thông qua h thông qua h thốn t ư n m... thốn ường truyền tố ộ o ư c xuất hi n các nhà cung cấp các d nh vụ truyền r 14 thông v i nhữn ường truyền có tố ộ o n n ều l n so v ườn y n tho i V i những chi phí thuê bao chấp nh n ư c, người ta có th s dụn ư ường truyền này liên k t máy tính l i v i nhau và bắt u hình thành các m ng một cách rộng khắp ở y các nhà cung cấp d ch vụ x y ng nhữn ường truyền dữ li u liên k t giữa các thành phố và khu v... dụng Việc xác lập một quy trình tín dụng và không ngừng hoàn thiện nó đặc biệt quan trọng đối với một ngân hàng thương mại Khi ngân hàng có quy trình tín dụng hợp lý sẽ giúp cho ngân hàng nâng cao chất lượng tín dụng và giảm thiểu rủi ro tín dụng Bạn thử tưởng tượng nếu ngân hàng hoạt động tín dụng mà không có quy trình tín dụng thì sẽ ra sao? Với mạng máy tính cũng vậy, để mạng hoạt động thì phải có . th  truy xut thông tin mt cách nhanh chóng và ti t, trong khi vic x lý thông tin trên mng quá nhi làm tc nghn trên mng và gây ra mt thông tin mc C VIT NAM HC VIN NGÂN HÀNG **********************  Mạng và truyền thông -2015 1. . ging do giáo viên cung cp.  : + Nguyn Thúc Hi, Mng máy tính và các h thng m, NXB Giáo dc 1999. + Nguyn Qung, Internetworking vi TCP/IP, Nxb Giáo