viện đại học mở hà nội Khoa công nghệ điện tử - thông tin đồ án tốt nghiệp Khoá 2009-2011 Hệ hoàn chỉnh kiến thức đề tài: mạng máy tính vấn đề bảo mật Thầy hớng dẫn : TS Đặng Khánh Hoà Sinh viên thực : Phạm Văn Phơng Lớp : HCKT5A Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Hà Nội, tháng năm 2011 Phạm Văn Phơng Khoa: CNĐT TT Trang Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp mục lục LờI NóI ĐầU PHầN I MạNG MáY TíNH .3 Chơng I: giới thiệu mạng máy tính Lịch sử máy tính Cấu trúc chức máy tính 2.1 Cấu trúc tổng quát máy tính 2.2 Chức máy tính .9 CHƯƠNG II: NHữNG KHáI NIệM CƠ BảN Về mạng MáY TíNH 11 I Phân loại mạng máy tính: .13 II Sự phân biệt mạng cục mạng diện rộng 14 CHƯƠNG III: MÔ HìNH TRUYềN THÔNG .17 I Sự cần thiết phải có mô hình truyền thông: 17 II Mô hình truyền thông đơn giản tầng .18 III Các nhu cầu chuẩn hóa mạng .21 IV Một số mô hình chuẩn hóa 21 Mô hình OSI (Open Systems Interconnection) .21 Mô hình SNA (Systems Netword Architecture) 23 CHƯƠNG IV: MÔ HìNH KếT NốI CáC Hệ THốNG Mở 26 I Nguyên tắc sử dụng định nghĩa tầng hệ thống mở: .26 II Các giao thức mô hình OSI 27 III Các chức chủ yếu tầng mô hình OSI 28 CHƯƠNG V: GIAO THứC 32 I Giao thức TCP / IP 32 Giao thức IP 32 1.1 Tổng quát 32 1.2 Các giao thức mạng IP 39 1.3 Các bớc hoạt động giao thức IP 39 II Giao thức truyền liệu TCP 41 Cấu trúc gói liệu TCP 41 thiết lập kết thúc kết nối TCP 44 III GIAO THứC UDP (USER DATAGRAM PROTOCOL) 45 IV BIÊN DịCH ĐịA CHỉ MạNG (NAT) 47 V NETBEUI: .48 VI Internet 49 Lịch sử phát triển Internet 49 Kiến trúc Internet 51 Các dịch vụ thông tin Internet .54 phần II : vấn đề an toàn mạng máy tính chơng I : khái quát an toàn mạng 57 Các nguy đe doạ hệ thống mạng máy tính 57 Phân tích mức an toàn mạng 60 Các lỗ hổng phơng pháp công chủ yếu 62 3.1 Các lỗ hổng 62 Phạm Văn Phơng Khoa: CNĐT TT i Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp 3.2 Một số phơng thức công mạng chủ yếu 64 Chơng II: biện pháp bảo vệ an toàn hệ thống .68 chơngIII : thiết lập sách an ninh cho mạng máy tính 71 Chính sách an ninh cho mạng 71 Phơng thức thiết kế 73 Thiết lập sách an ninh mạng .73 Phần III: Bức tờng lửa ( FIREWall) chơng I: Khái niệm thiết kế firewall .82 Khái niệm FIREWALL 82 Các thiết kế Firewall 84 Chơng II : thành phần Firewwall chế hoạt động 94 Bộ lọc gói (Packet Filter) 94 1.1 Nguyên lý hoạt động .94 Ưu điểm hạn chế hệ thống Firewall cử dụng lọc gói 95 Cổng ứng dụng (Application level gateway) .95 2.1 Nguyên lý hoạt động: 95 2.2 Ưu nhợc điểm .97 Cổng vòng (Circuit level gateway) .98 Chơng III : hệ thống Packet Filtering 100 Giới thiệu Packet Filtering : 100 Những chức Packet Filtering Router 102 2.1 u điểm hệ thống sử dụng Packet Filtering Router 103 2.2 Nhợc điểm hệ thống sử dụng Packet Filtering Router .104 Nguyên tắc hoạt động hệ thống Packet Filtering 106 3.1 Lọc Packet dựa địa (address) .107 3.2 Lọc Packet dựa số cổng (port) 109 Chơng IV: Hệ thống Proxy .112 Phơng thức hoạt động đặc điểm dịch vụ Proxy 112 1.1 Phơng thức hoạt động .112 1.2 Đặc điểm 114 1.3 Những nhợc điểm Proxy 114 Các dạng Proxy .115 2.1 Dạng kết nối trực tiếp .115 2.2 Dạng thay đổi Client 116 2.3 Proxy vô hình 116 Kết luận 120 Tài liệu tham khảo 121 Phạm Văn Phơng Khoa: CNĐT TT ii Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp LờI NóI ĐầU Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin, đặc biệt công nghệ máy vi tính mạng máy tính với bùng nổ hàng ngàn cách mạng lớn nhỏ Từ đời, máy vi tính ngày giữu vai trò quan lĩnh vực khoa học kỹ thuật sống ngày ngời Từ đời máy tính điện tử lớn ENIAC năm 1945, sau đời máy vi tính hãng IBM vào năm 1981cho đến nay, sau 30 năm với thay dổi tốc dộ vi sử lý phần mềm ứng dụng công nghệ thông tin bớc phát triển cao, số hoá tất nhng liệu thông tin, đồng thời kết nối chúng lại với và- luân chuyển mạnh mẽ Hiện nay, loại thông tin số liệu hình ảnh, âm đợc đa dạng kỹ thuật số để máy tính lu trữ, xử lý nh chuyển tiếp với máy tính hay thiết bị kỹ thuật số khác Sự đời mạng máy tínhvà dịch vụ mang lại cho ngời nhiều lợi ích to lớn, góp phần thúc dẩy kinh tế kinh tế phát triển mạnh mẽ, đơn giản hoá nhng thủ tục lu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc kết nối vị trí, khoảng cách lớn cách nhanh chóng hiệu quảVà mạng máy tính trở thành yếu tố thiếu phát triển kinh tế, trị nh văn hoá, t tởng quốc gia hay châu lục Con ngời không bị giới hạn khoảng cách địa lý, có dầy đủ quyền để sáng tạo nhng gia trị vô giá vật chất tinh thần, thoả mãn khát vọng lớn lao họ toàn nhân loại Cũng vậy, máy tính mạng máy tính hoạt dộng nh ý muốn hậu nghiêm trọng Và vấn đề an toàn cho mạng máy tính phải dợc đặt lên hàng đầu thiết kế lắp dặt đa vào sử dụng hệ thống mạng máy tính dù đơn giản Phạm Văn Phơng Khoa: CNĐT TT Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Bên cạnh đó, thông tin giữ vai trò quan trọng nh thiếu thông tin, ngời trở lên lạc hậu dẫn tới hậu nghiêm trọng, kinh tế chậm phát triển Vì lý đó, việc lu giử, trao đổi quản lý tốt nguồn tài nguyên thông tin dể sử dụng mục đích, không bị thất thoát mục tiêu hớng rới không ngành, quốc gia mà toàn giới Trong trình thực tập làm đồ án tốt nghiệp, đợc đồng ý hớng dẫn, bảo tận tình thầy giáo hớng dẫn Đặng Khánh Hoà , với giúp dỡ bạn bè, em có thêm điều kiện để tìm hiểu mạng máy tính, vấn dề an toàn mạng máy tính tờng lửa Dó đề tài mà em muốn nghiên cứu trình bày dồ án tốt nghiệp Nội dung đồ án gồm: Phần I: Mạng máy tính PhầnII: Vấn đề an toàn mạng máy tính Phần III: Bức tờng lửa ( Firewall ) Đồ án đề cập đến vấn đề lớn tơng đối phức tạp, đòi hỏi nhiều thời gian kiến thức lý thuyết nh thực tế Do thời gian nghiên cứu cha đợc nhiều trình độ thân hạn chế nên đồ án không tránh khỏi khiếm khuyết Em mong nhận đợc hóng dẫn, đạo thầy, cô giáo đóng góp nhiệt tình bạn để giúp em bổ xung vốn kiến thức tiếp tục nghiên cứu đề tài nêu cách tốt hơn, hoàn chỉnh Em xin chân thành cảm ơn ! Hà Nội, Tháng Năm 2011 Sinh viên thực Phạm Văn Phơng Phạm Văn Phơng Khoa: CNĐT TT Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp PHầN I MạNG MáY TíNH Chơng I: giới thiệu mạng máy tính Lịch sử máy tính Vào năm 50 hệ máy tính đợc đời hoạt động theo kiểu liệu đợc đa vào bìa đục lỗ sẵn Giữa năm 60 nhà khoa học phát minh modem thiết bị đầu cuối giúp cho việc thông tin liên lạc máy tính qua đờng dây điện thoại Hình : Mô hình truyền liệu từ xa Bởi phát triển nhanh chóng máy tính nên nhu cầu liên kết máy tính với để truyền tải thông tin bắt đầu xuất Hình vẽ dới miêu tả bớc hệ thống Phạm Văn Phơng Khoa: CNĐT TT Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Mô hình trao đổi mạng hệ thống 3270 Giữa năm 1970, thiết bị đầu cuối sử dụng phơng pháp liên kết qua đờng cáp nằm khu vực đợc đời Vào năm 1974 công ty IBM giới thiệu thiết bị đầu cuối đợc chế tạo cho lĩnh vực ngân hàng thơng mại, thông qua dây cáp mạng thiết bị truy cập lúc vào máy tính dùng chung Năm 1977, công ty Datapoint Corporation bắt đầu bán hệ điều hành mạng Attached Resource Computer Network (hay gọi tắt Arcnet) thị trờng Vào năm 1980 hệ thống đờng truyền tốc độ cao đợc thiết lập Bắc Mỹ Châu Âu Từ đến máy tính phát triển nhanh phần cứng lẫn phần mềm, nhu cầu liên kết máy tính mạng máy tính trở nên ngày cần thiết Có thể nhận thấy việc kết nối máy tính thành mạng cho khả to lớn nh: Sử dụng chung tài nguyên: Những tài nguyên mạng (nh thiết bị, chơng trình, liệu) đợc trở thành tài nguyên chung thành viên mạng tiếp cận đợc mà không quan tâm tới tài nguyên đâu Phạm Văn Phơng Khoa: CNĐT TT Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Tăng độ tin cậy hệ thống: dễ dàng bảo trì máy móc lu trữ (backup) liệu chung có trục trặc hệ thống chúng đợc khôi phục nhanh chóng Trong trờng hợp có trục trặc trạm làm việc ngời ta sử dụng trạm khác thay Nâng cao chất lợng hiệu khai thác thông tin Đáp ứng nhu cầu hệ thống ứng dụng kinh doanh đại Cung cấp thống liệu Tăng cờng lực xử lý nhờ kết hợp phận phân tán Tăng cờng truy nhập tới dịch vụ mạng khác đợc cung cấp trê giới Cấu trúc chức máy tính 2.1 Cấu trúc tổng quát máy tính Máy tính hệ thông phức tạp với hàng triệu thành phần điện tử cở sở Mức đơn giản nhất, máy tính đợc xem nh thực thể tơng tác theo cách thức với môi tròng bền Một cách tổng quát mối quan hệ với môi trờng bên phân loại thành thiết bị ngoại vi hay đòng liên lạc Phạm Văn Phơng Khoa: CNĐT TT Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Mỏy tớnh Thnh phn nhp xut Thnh phn ni kt h thng B nh chớnh (RAM) n v x lýtrungtõ m ( CPU ) Hình : Cấu trúc tổng quát máy tính Thành phần chính, quan trọng máy tính đơn vị xử lý trung tâm (CPU Central Processing Unit): Điều khiển hoạt động máy tính thực chức xử lý liệu Phạm Văn Phơng Khoa: CNĐT TT Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Do Packet filter lọc Packet dựa thông tin điểu khiển header Protocol stack, nên IP Packet filter thông tin header đợc sử dụng thông tin IP header TCP header 3.1 Lọc Packet dựa địa (address) Dạng đơn giản mà Filtering Router thực việc lọc Packet dựa tên địa Lọc Packet theo dạng cho phép điều khiển liệu dựa địa máy gửi địa máy nhận Packet mà không quan tâm đến nghi thức đợc sử dụng Khẳnng lọc gói theo dạng đợc dùng phép số máy bên trao đổi liệu với số máy mạng cần bào vệ, bảo vệ đợc dạng đánh lừa thông tin Packet (những Packet xuất phát từ Internet (bên ngoài) mà có địa máy gửi lại địa máy mạng mạng bảo vệ Những rủi ro việc lọc dựa địa máy gửi: Thông tin Packet header có chứa địa nguồn máy gửi Packet (không nên tin tởng hoàn toàn vào thông tin việc địa máy gửi bị giả mạo) Trừ sử dụng kỹ thuật chứng thực nh (cryptographic authentication) hai máy trao đổi liệu cho nhau, thực biết chắn mày mà trao đổi liệu với thực hay máy khác giả danh máy (giống nh lấy địa ngời khác để gửi th đi) Qui tắc lọc loại trừ khả máy bên giả mạo địa máy bên khác Do đó, ngời công có hai dạng công dựa việc giả mạo địa là: giả mạo địa máy gửi source address man in the middle - Dạng công giả danh giả mạo địa máy gửi (source address), ngời công gửi liệu cho mà sử dụng địa máy gửi đại máy họ, thờng họ đoán số địa màhệ thống tin tởng, sau họ sử dụng địa nh vào mạng chúng ta, không mong chờ Packet họ gửi vào Phạm Văn Phơng Khoa: CNĐT TT 107 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp mạng chúng ta, không mong chờ Packet kết trả lời từ máy hệ thống mạng Nếu ngời công không quan tâm đến việc nhận Packet trả từ hệ thống chúng ta, không cần thiết họ phải lộ trình hệ thống bị họ giả danh, họ nơi đâu Trong thực tế, Packet trả lời từ hệ thống gửi đến máy (những máy ngời công vào hệ thống sử dụng địa họ), mà Packet không gửi đến máy ngời công Tuy nhiên, ngời công đoán đợc đáp ứng từ hệ thống họ không cần phải nhận đợc Packet Có nhiều nghi thức( Protocol) mà ngời công hiểu biết sâu việc đóan đáp ứng từ hệ thống không khó khăn Có nhiều dạng công kiểu đợc thực mà ngời công không cần nhận đợc Packet trả lời trực tiếp từ hệ thống Một Ví Dụ cho thấy ngời công gửi cho hệ thống lệnh đó, mà kết hệ thống gửi cho ngời công Password fìel hệ thống Bằng cách ngời công không cần nhận đợc trực tiếp Packet trả lời từ hệ thống Trong số trờng hợp, nghi thức có kết nối nh TCP , máy nguồn thực ( máy mà ngời công lấy địa để giả danh) phản hồi lại Packet mà hệ thống gửi cho họ ( Packet mà hệ thống trả lời cho Packet công) dẫn đến kết kết nối hành máy với máy ng ời công bị reset Dĩ nhiên ngời công không muốn điều sảy Ngời công muốn thực việc công hoàn thành tr ớc máy bị giả danh nhận đợc Packet mà gửi trớc nhận reset Packet từ máy bị giả danh Ngời công có nhiều cách để thực đợc điều này: + Thực việc công máy đợc giả danh tắt Phạm Văn Phơng Khoa: CNĐT TT 108 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp + Làm cho máy bị giả danh treo thực công + Gây lũ( flooding) giữ liệu máy giả danh thực công + Làm sai lệch thông tin đờng đi( routing) máy gửi máy nhận thực +Tấn công vào dịch vụ cần gửi Packet gây tác động mà vấn đề reset không bị ảnh hởng - Dạng công thứ hai man in the middle kiểu công ngời công cần có khả thực đầy đủ trình trao đổi giữ liệu giả danh địa máy khác Để thực đợc điều ngời công , máy mà ngời công sử dụng gửi Packet cho hệ thống mà mong muốn nhận đợc Packet trả lời từ hệ thống Để thực đựoc điều ngời công cần phải thực hai điều sau: + Máy ngời công đờng hệ thống hệ thống giả danh Trờng hợp dễ thực gần máy hệ thống gần máy bị giả danh, trờng hợp gần nh khó lộ trình đờng mạng IP lộ trình đờng Packet thay đổi đặc biệt máy lộ trình lúc qua, không + Thay đổi đờng máy gửi máy nhận thực để qua máy ngời công Điều thực đợc dễ dàng khó khăn tuỳ theo topology mạng hệ thống routing mạng liên quan 3.2 Lọc Packet dựa số cổng (port) Nguyên tắc giống nh lọc gói dựa địa máy gửi , khác Packet filter lọc số cổng máy gửi ( Port nguồn) thay địa Những rủi việc lọc dựa số port máy gửi: Cũng giống nh trờng hợp lọc theo địa nguồn ( source address) , việc lọc Packet dựa theo thông tin số Port nguồn ( source port) có nhứng rủi tơng tự Phạm Văn Phơng Khoa: CNĐT TT 109 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Đối với dịch vụ có cầu nối ( conection- oriented ) nh TCP, trớc hai network application trao đổi giữ liệu với phải thiết lập kết nối (connection ) , trao đổi giữ liệu xong, đóng kết nối Quá trình từ lúc thiết lập kết nối đóng kết nối gọi session, dịch vụ dạng việc lọc Packet sử dụng thông tin thiết lập kết nối TCP flags field Nhng dịch vụ kết nối ( connectionless) nh UDP việc lọc Packet theo dạng thực đợc nh sau: - Session filter : trờng hợp đặc biệt Packet filters nhng giữ thêm thông tin tất active session qua FireWall Bộ lọc ( filter) Packet dùng thông tin để xác định Packet di chuyển theo hớng ngợc lại thuộc vào connection đợc chấp nhận hay không Đông thời sử dụng thông tin session để thực việc theo dõi mức session ( session level auditing) - Dynamic Packet Filtering : Theo dõi outgoing UDP Packet vào/ Chỉ cho phép incoming UDP Packet tơng ứng với outgoing UDP Packet dựa vào thông tin host port, cho vào UDP có host port với outgoing UDP Packet incoming UDP Packet giới hạn (tuỳ chọn cho thích hợp) (time limited) Mặc dù dùng phơng pháp lọc đợc internal host hay external host ngời đa yêu cầu (request) trả lời (reply) nhng để lộ số lỗ hở dẫn đến ngời công (attacker) lợi dụng việc cho vào reply tơng ứng để gửi vào request in tơng ứng với host/port may mắn, thành công Những thông tin dùng cho việc đặc tả rule Packet filter là: IP source/destination address: địa IP máy gửi nhận Packet Protocol (TCP | UDP | ICMP): nghi thức lơp IP đợc sử dụng TCP or UDP source/destination port: dịch vụ cấp ứng dụng ICMP message type: loại ICMP message Phạm Văn Phơng Khoa: CNĐT TT 110 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp IP options Start of connection (ACK bit) information cho TVP packages Tất thông tin IP header TCP | UDP header Và thêm thông tin quan trọng Packet từ interface (từ Internet hay từ internal network) Một số thông tin phụ khác nh thời gian truy nhập, lợng Packet dịch vụ, thời điểm truy cập Phạm Văn Phơng Khoa: CNĐT TT 111 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Chơng IV: Hệ thống Proxy Proxy cung cấp cho ngời sử dụng truy xuất Internet với host đơn Những Proxy Server phục vụ nghi thức đặc biệt tập nghi thức thực thi dualb homed host Bastion Host Những chơng trình Client ngời sử dụng qua trung gian Proxy Server thay Server thật mà ngời sử dụng cần giao tiếp Proxy Server xác định yêu cầu từ Client định đáp ứng hay không đáp ứng, yêu cầu đợc đáp ứng, Proxy Server kết nối đến Server thật thay cho Client tiếp tục chuyển tiếp yêu cầu từ Client đến Server thật thay cho Client tiếp tục chuyển đáp ứng Server trở lại Client Vì Proxy Server giống nh cầu nối trung gian Server thật Client Phơng thức hoạt động đặc điểm dịch vụ Proxy 1.1 Phơng thức hoạt động Dịch vụ Proxy đợc triển khai nhằm mục đích phục vụ kết nối từ máy tính mạng dùng riêng ta Internet Khi đăng ký sử dụng dịch vụ internet tới nhà cung cấp dịch vụ, khách hành đợc cấp hữu hạn số lợng địa IP từ nhà cung cấp, số lợng IP nhận đợc không đủ để cấp cho máy tính trạm Mặt khác với nhu cầu kết nối mạng dùng riêng Internet mà không muốn thay đổi lại cấu trúc mạng đồng thời muốn gia tăng khả thi hành mạng qua kết nối Internet muốn kiểm soát tất thông tin vào ra, muốn cấp quyền ghi lại thông tin truy cập ngời sử dụng Dịch vụ Proxy đáp ứng đợc tất yêu cầu Hoạt động sở mô hình client server Quá trình hoạt động dịch vụ Proxy theo bớc sau: Phạm Văn Phơng Khoa: CNĐT TT 112 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Client yêu cầu đối tợng mạng Internet Proxy server tiếp nhận yêu cầu, kiểm tra tính hợp lệ nh thực việc xác thực client thoả mãn Proxy server gửi yêu cầu đối tợng tới server Internet Server Internet gửi đối tợng yêu cầu cho Proxy server Proxy Server gửi trả đối tợng cho clinet Ta thiết lập proxy Server để phục vụ cho nhiều dịch vụ nh dịch vụ truyền file, dịch vụ web, dịch vụ th điện tử Mỗi dịch vụ cần có proxy Server cụ thể để phục vụ yêu cầu đặc thù dịch vụ từ client Proxy server đợc cấu hình phép quảng bá server thuộc mạng Intrnet với mức độ an toàn cao Ví dụ ta thiết lập trang web server phép quảng bá web server Internet Tất yêu cầu truy cập web đến đợc chấp nhận proxy server proxy server thực việc chuyển tiếp yêu cầu tới web server thuộc mạng Các client đợc tổ chức cấu trúc mạng gọi mạng (Inside network) hay gọi mạng dùng riêng IANA (Internet Assigned Numbers Authority) dành riêng khoảng địa IP tơng ứng với lớp mạng tiêu chuẩn cho mạng dùng riêng là: 10.0.0.0 - 10.255.255.255 (lớp A) 172.16.0.0 - 172.31.255.255 (lớp B) 192.168.0.0 - 192.168.255.255 (lớp C) Các địa sử dụng cho clinet mạng dùng riêng mà không đợc gán cho máy chủ mạng Internet Trong việc thiết kế cấy hình mạng dùng riêng khuyến nghị nên sử dụng khoảng địa IP Phạm Văn Phơng Khoa: CNĐT TT 113 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Khái niệm mạng (Outside network) để vùng mà server thuộc vào Các địa sử dụng mạng mạng sử dụng cho việc kết nối proxy server với mạng dùng riêng có địa đợc gán địa thuộc mạng dùng riêng Tất thông tin client thuộc mạng dùng riêng proxy server đợc thực thông qua giao tiếp Giao tiếp thờng hình thức truy cập gián tiếp qua mạng điện thoại công cộng qua mạng kết nối trực tiếp tới mạng Giao tiếp đợc gán vào địa IP thuộc mạng đợc cung cấp hợp lệ nhà cung cấp dịch vụ Internet 1.2 Đặc điểm Proxy Server kết nối mạng dùng riêng với mạng Internet toàn cầu cho phép máy tính mạng internet truy cập tài nguyên trọng mạng dùng riêng Proxy server tăng cờng khả kết nối Internet máy tính mạng dùng riêng cách tập hợp yêu cầu truy cập Internet từ máy tính mạng sau nhận đợc kết từ Internet trả lời lại cho máy có yêu cầu ban đầu Ngoài proxy server có khả bảo mật kiểm soát truy cập Internet máy tính mạng dùng riêng Cho phép thiết đặt sách truy cập tời ngời dùng Proxy server lu trữ tạm thời kết đợc lấy từ Internet nhằm trả lời cho yêu cầu truy cập Internet với địa Việc lu trữ cho phép yêu cầu truy cập Internet với địa không cần phải lấy lại kết từ Internet, làm giảm thời gian truy cập Internet, tăng cờng hoạt động mạng giảm tải đờng kết nối Internet Các cộng việc lu trữ gọi trình cache 1.3 Những nhợc điểm Proxy - Mặc dù phần mềm Proxy có hiệu rộng rãi cho dịch vụ lâu đời đơn giản nh FPT Telnet, nhng phần mềm đợc Phạm Văn Phơng Khoa: CNĐT TT 114 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp sử dụng rộng rãi tìm they Thờng chậm trễ thời gian xuất dịch vụ Proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phơng pháp để thiết kế Proxy cho dịch vụ đó, điều cho thấy khó khăn đa dịch vào hệ thống Thờng để đa dịch vụ vào hệ thống cha có Proxy cho nên đặt bên Firewall, đặt bên hệ thống yếu điểm - Đôi cần Proxy server khác cho nghi thức, Proxy server phải hiểu nghi thức để xác định đợc phép không đợc phép Để thực nhiệm vụ nh Client đến Server thật Server thật đến Proxy Client, kết hợp, cài đặt (install) cấu hình (config) tất Server khác khó khăn - Những dịch vụ Proxy thờng sửa đổi chơng trình Client, procedure hai Loại trừ vài dịch vụ đợc thiết kế cho Proxying, Proxy server yêu cầu sửa đổi với Client procedure, sửa đổi có bất tiện riêng nó, luôn sử dụng công cụ có sẵn với cấu trúc - Proxying dựa vào khả chin vào Proxy server Client Server thật mà yêu cầu tác động tơng đối thẳng thắn hai - Những dịch vụ Proxy không bảo vệ cho hệ thống ứng với nghi thức chất lợng Nh giải pháp an toàn, Proxying dựa vào khả xác định tác vụ nghi thức an toàn Không phải tất dịch vụ cung cấp theo khuynh hớng an toàn này, nh nghi thức Xwindows cung cấp nhiều tác vị không an toàn Các dạng Proxy 2.1 Dạng kết nối trực tiếp Phơng pháp đợc sử dụng kỹ thuật Proxy cho ngời sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa host h ớng đến, phơng pháp brute force sử dụng Firewall cách Phạm Văn Phơng Khoa: CNĐT TT 115 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp dễ dàng, vài nguyên nhân ph ơng pháp thích hợp Trớc tiên, yêu cầu ngời sử dụng biết địa Firewall, kết tiếp yêu cầu ngời sử dụng nhập vào hai địa cho kết nối: Địa Firewall địa đích hớng đến Cuối ngăn cản ứng dụng nguyên máy tính ngời sử dụng điều tạo kết nối cho ngời sử dụng, chúng nh điều khiển yêu cầu đặc biệt cho truyền thông với Proxy 2.2 Dạng thay đổi Client Phơng pháp sử dụng Proxy setup phải thêm vào ứng dụng máy tính ngời sử dụng Ngời sử dụng thực thi ứng đặc biệt với việc tạo kết nối thông qua Firewall Ngời sử dụng với ứng dụng hành động nh ứng dụng không sửa đổi Ngời sử dụng cho địa host đích hớng tới Những ứng dụng thêm vào biết đợc địa Firewall từ file config cục bộ, set up kết nối đến ứng dụng Proxy Firewall, truyền cho địa cung cấp ngời sử dụng Phơng pháp có hiệu có khả che dấu ngời sử dụng, nhiên, cần có ứng dụng Client thêm vào cho dịch vụ mạng đặc tính trở ngại 2.3 Proxy vô hình Một số phơng pháp phát triển gần cho phép truy xuất đến Proxy, vài hệ thống Firewall đợc biết nh Proxy vô hình Trong mô hình này, không cần phải có ứng dụng thêm vào với ngời sử dụng kết nối trực tiếp đến Firewall biết Firewall có tồn Sử dụng điều khiển đờng bản, tất kết đến mạng bên đợc đờng thông qua Firewall Nh Packet nhập vào Firewall, tự động chúng đợc đổi hớng đến ứng dụng Proxy chờ Theo hớng này, Firewall thực tốt việc giả nh host đích Khi kết nối đợc tạo Firewall Proxy, Client application nghĩ đợc kết nối với Servrev thật, đợc phép, Proxy Phạm Văn Phơng Khoa: CNĐT TT 116 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp application sau thực hàm Proxy chuẩn việc tạo kết nối thứ hai đến Server thật Proxy lớp ứng dụng tì đối nghịch với Proxy lớp circuit: application level Proxy đợc thực thi lớp ứng dụng Nó cung cấp cho dịch vụ riêng interpret dòng lệch nghi thức Một circuit level Proxy tạo nên circuit Client Server không cần phải interpret nghi thức Nói chung, application level Proxy sử dụng modified procedure circuit level Proxy sử dụng modified Client Để tạo kết nối Proxy, phải viết vị trí muốn kết nối đến Một hybrid gateway đơn giản chặn đứng kết nối, nhng Proxy host nhận kết nối mà đề nghị với nó, phải vị trí muốn kết nối Một application level Proxy nhận thông tin tong nghi thức riêng Một circuit level Proxy interpret theo nghi thức cần phải có thông tin hỗ trợ cho thông qua cách khác Ưu điểm circuit level Proxy cung cấp cho hầu hết nghi thức khác nhau, hầu nh circuit level Proxy Server Proxy Server chung cho tất dạng nghi thức, nhiên nghi thức dễ dàng đợc điều khiển circuit level Proxy, khuyết điểm circuit level Proxy Server điều khiển kết nối dựa vào địa nguồn địa đích không xác định lệnh qua an toàn kiện mà nghi thức mong muốn, circuit level Proxy dễ dàng bị đánh lừa Server setup lại cổng gán đến Server khác Proxy chung đối nghịch với Proxy chuyên biệt: application level :circuit level thờng đợc dùng, nhng phân biệt dedicated generic Proxy Server Một dedicated Proxy Server Server phục vụ nghi thức đơn, generic Proxy Server Server phục vụ cho nhiều nghi thức Thật ra, dedicated Proxy Server application level, generic Proxy Server circuit level Phạm Văn Phơng Khoa: CNĐT TT 117 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Intelligent Proxy server: Một Proxy Server làm nhiều điều chuyển tiếp yêu cầu, intelligent Proxy server, Ví Dụ: Cern http Proxy Server caches data, nhiều yêu cầu data không khỏi hệ thống cha có xử lý Proxy server Proxy server (đặc biệt application level Server) cung câp logging dễ dàng điều khiển truy xuất tốt hơn, circuit level Proxy thờng bị giứoi hạn khả Using Proxying với nhứng dịch vụ Internet: Vì Proxy chèn vào kết nối Client Server, phải đợc thích ứng với tong dịch vụ riêng, số dịch vụ dễ với cách thức bình thờng nhng lại khó thêm vào Proxy TCP đối nghịch với nghi thức khác: TCP nghi thức connection oriented, nên khó khăn khoảng thời gian ban đầu để tạo cầu nối sau tiếp tục sử dụng cầu nối để truyền thông, UDP ngời lại nên khó hơn, ICMP low Protocol nên dùng Proxy Unidirectional versus multidirectional connection: dễ dàng cho Proxy server chặn đứng kết nối khởi đầu từ Client đến Server, khí cho việc ngăn chặn kết nối ngợc lại, Server phải interpret sửa đổi thêm vào Protocol để tạo kết nối xác Ví Dụ: Normal mode FTP yêu cầu Proxy server chặn port Client gửi đến Server thật Nó không cung cấp cho Proxy server đơn giản đọc port hớng đó, cổng đãc đợc sử dụng, kiện luôn nảy sinh nghi thức yêu cầu kết nối ngợc lại Protocol sercurity: Một vài dịch vụ để thực Proxy cho đơn giản, nhng loại trừ vấn đề security Nếu nghi thức vốn không an toàn cho Thờng kho phân biệt tác vụ an toàn không an toàn nên đặt dịch vụ Victim host User specified data: Vài dịch vụ, đặc biệt store and forward nh smtp, nntp, thờng tự hỗ trợ tính Proxying Những dịch vụ đợc Phạm Văn Phơng Khoa: CNĐT TT 118 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp thiết kế truyền nhận message Server stored đến chúng gửi đợc Server tơng ứng, xem header nhận incoming Internet e mail, message từ ngời gửi đến ngời nhận thông qua bớc: Máy gửi - ôutging mail gateway vị trí ngời gửi Incoming mail gateway vị trí ngời nhận Cuối đến đợc máy nhận Phạm Văn Phơng Khoa: CNĐT TT 119 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Kết luận Với bùng nổ ngày mạnh mẽ mạng máy tính Internet, quốc gia, tổ choc, công ty tất ngời dờng nh xích lại gần Từ máy tính cá nhân PC, mạng cục LAN, mạng diện rộng WAN, kết nối vào Internet để khai thác truyền bá thông tin Việt Nam ta nay, với gia nhập Internet, việc ứng dụng tin học vào quản lý công tác nghiên cứu, học tập ngày phổ biến ; đặc biệt việc tra cứu, tìm kiếm trao đổi thông tin Chính thông tin có tầm quan trọng lớn nh nên việc bảo vệ, làm nguồn tài nguyên thông tin mạng đã, vấn đề cần thiết chuyên gia an ninh mạng mà với tất ngời tham gia vào mạng máy tính Internet Trong trình tìm hiểu tài liệu làm đồ án em biết thêm đợc nhiều kiến thức quý báu Do vốn khiến thức thân cha rộng, thời gian, điều kiện tiếp xúc thực tiễn nghiên cứu hạn chế, nên em cha thể tìm hiểu trình bày thật tốt kỹ lỡng vấn đề liên quan đến mạng máy tính nh an toàn, bảo mật thông tin mạng máy tính tờng lửa, em mong đợc bảo thấy cô Em xin chân thành cảm ơn hớng dẫn nhiệt tình TS Đặng Khánh Hoà, cô giáo chủ nhiệm khoá thầy cô giáo Khoa CN Điện tử Thông tin tạo điều kiện giúp em hoàn thành đồ án Sinh viên thực Phạm Văn Phơng Phạm Văn Phơng Khoa: CNĐT TT 120 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Tài liệu tham khảo Hớng dẫn thiết lập quản trị mạng Nguyễn Thành Cơng Mai Nh Thành (NXB Thống kê 2002) Bức tờng lửa Internet an ninh mạng NXB Bu Điện Bách khoa toàn th mạng (NXB Thống kê 2001) Giáo trình quản trị mạng ebool4you.org.pdf Giáo trình thiết kế xây dung mạng LAN WAN (Trung tâm khoa học tự nhiên công nghệ quốc gia Viện công nghệ thông tin) An toàn bảo mật tin tức mạng Học viện công nghệ bu viễn thông (NXB Bu Điện) Giáo trình mạng máy tính Th.s Ngô Bá Hùng Ks Phạm Thế Phi (Đại học Cần Thơ - Khoa Công nghệ thông tin 2005) Các tài liệu mạng máy tính bảo mật mạng máy tính mạng Phạm Văn Phơng Khoa: CNĐT TT 121 [...]... cấu trúc là những đặc trng cơ bản của mạng máy tính Phạm Văn Phơng Khoa: CNĐT TT 12 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp Hình: Một mô hình liên kết các máy tính trong mạng I Phân loại mạng máy tính: Việc phân loại mạng máy tính là một việc rất phức tạp Ngời ta có thể chia các mạng máy tính theo khoảng cách địa lý, kỹ thuật chuyển mạch hay dựa vào kiến trúc mạng Nhng trên thực tế, việc phân loại... file giữa một máy tính với một máy tính khác cùng đợc gắn trên một mạng các công việc sau đây phải đợc thực hiện: - Máy tính truyền cần biết địa chỉ của máy nhận - Máy tính truyền phải xác định đợc máy tính nhận đã sẵn sàng nhận thông tin Chơng trình gửi file trên máy truyền cần xác định đợc rằng chơng trình nhận file trên máy nhận đã sẵn sàng tiếp nhận file Nếu cấu trúc file trên hai máy không giống... phát triển từ mạng ARPANET và Internet và đợc dùng nh giao thức mạng và vận chuyển trên mạng Internet TCP (Transmission Control Protocol) là giao thức thuộc tầng vận chuyển và IP (Internet Protocol) là giao thức thuộc tầng mạng của mô hình OSI Họ giao thức TCP/IP hiện nay là giao thức đợc sử dụng rộng rãi nhất để liên kết các máy tính và các mạng Hiện nay các máy tính của hầu hết các mạng có thể sử... để phân loại gồm có: Mạng diện rộng, mạng cục bộ, mạng đô thị và mạng toàn cầu - Mạng cục bộ (Local Area Networks LAN ) là mạng đợc thiết lập để liên kết các máy tính trong một khu vực nh trong một toà nhà, một khu nhà - Mạng diện rộng (Wide Area Networks WAN) là mạng đợc thiết lập để liên kết các máy tính của hai hay nhiều khu vực khác nhau nh giữa các thành phố hay các tỉnh - Mạng đô thị (Metropolican... THÔNG I Sự cần thiết phải có mô hình truyền thông: Để một mạng máy tính trở thành một môi trờng truyền dữ liệu thì nó cần phải có những yếu tố sau: Mỗi máy tính cần phải có một địa chỉ phân biệt trên mạng Việc chuyển dữ liệu từ máy tính này đến máy tính khác do mạng thực hiện thông qua những quy định thống nhất gọi là giao thức của mạng Khi các máy tính trao đổi dữ liệu với nhau thì một quá trình truyền... thể có nhiều ứng dụng cùng hoạt động và để việc truyền thông đợc chính xác thì các ứng dụng trên một máy cần phải có một địa chỉ riêng biệt Rõ ràng cần có hai lớp địa chỉ: - Mỗi máy tính trên mạng cần có một địa chỉ mạng của mình, hai máy tính rong cùng một mạng không thể có cùng địa chỉ - Mỗi một ứng dụng trên một máy tính cần phải có địa chỉ phân biệt trong máy tính đó Nó cho phép tầng truyền dữ liệu... trao đổi dữ liệu giữa máy tính và mạng mà nó đợc nối vào Để dữ liệu đến đợc đích máy tính gửi cần phải chuyển địa chỉ của máy tính nhận cho mạng và qua đó mạng sẽ chuyển các thông tin tới đích Phạm Văn Phơng Khoa: CNĐT TT 18 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp - Tầng truyền dữ liệu: Thực hiện quá trình truyền thông không liên quan tới mạng và nằm ở trên tầng tiếp cận mạng Tầng truyền dữ liệu không... Ngày nay do các máy tính đều sử dụng Windows 32 bit nên địa chỉ Ip cũng đợc sử dụng dới dạng 32 bit Địa chỉ IP gồm 2 phần: địa chỉ mạng (netid) và địa chỉ máy (hostid) Mỗi địa chỉ IP có độ dài 32 bits đợc tách thành 4 vùng (mỗi vùng 1 byte) Mục đích của địa chỉ IP là để định danh duy nhất cho một máy tính bất kỳ trên liên mạng Do tổ chức và độ lớn của các mạng con (subnet) của liên mạng có thể khác... 3: Mạng (Network): Tầng mạng cung các các phơng tiện để truyền các gói tin qua mạng, thậm chí qua một mạng của mạng (Network of Network) Bởi vậy nó cần phải đáp ứng với nhiều kiểu mạng và nhiều kiểu dịch vụ cung cấp bởi các mạng khác nhau Hai chức năng chủ yếu của tầng mạng là chọn đờng (Routing) và Phạm Văn Phơng Khoa: CNĐT TT 28 Viện Đại Học Mở Hà Nội Đồ án tốt nghiệp chuyển tiếp (Relaying) Tầng mạng. .. trình nhập xuất dữ liệu: Thực hiện di chuyển dữ liệu trong cự ly ngắn giữa máy tính và thiết bị kết nối trực tiếp - Tiến trình truyền dữ liệu: Thực hiện di chuyển dữ liệu trong cự ly xa giữa máy tính và thiết bị kết nối từ xa - Điều khiển : Bên trong hệ thống máy tính, đơn vị điều khiển có nhiệm vụ quản lý các tài nguyền máy tính và diều phối sự vận hành của các thành phần chức phù hợp với yêu cầu nhận ... Chia lp a ch IP Addres s Defaul t Subne t Mask 8-bit Subne t Mask Networ k 172 Hos t 16 Networ k 255 Hos t 255 Networ k 255 255 0 Subne t Hos t 255 Use host bits, starting at the high order bit... lớp địa chi B IP Host Address:172.16.2.120 Subnet Mask: 255. 255. 255. 0 Network Subnet 00000010 Host 172.16.2.120: 10101100 00010000 255. 255. 255. 0: 11111111 11111111 11111111 00000000 Subnet: 10101100... chức sau: - Thiết lập Duy trì, kết thúc liên kết hai trình - Phan phát gói tin cách tin cậy - Đánh số thứ tự (sequencing ) gói liệu nhằm truyền liệu cách tin cậy - Cho phép diều khiển lỗi - Cung