Đang tải... (xem toàn văn)
Hòa chung với sự phát triển của thị trường di động thế giới, trong những năm gần đây thị trường di động Việt Nam đã có những bước phát triển vượt bậc. Hàng loạt các nhà mạng đã tham gia vào cuộc chạy đua nhằm cung cấp cho khách hàng các tiện ích di động hiện đại nhất với chất lượng dịch vụ cao nhất. Thị trường di động 3G hiện đang bước vào giai đoạn cạnh tranh căng thẳng nhất, tính đến thời điểm hiện tại đã có 3 nhà mạng chính thức cung cấp các tiện ích 3G cho khách hàng là Vinaphone, Mobifone, Viettel, ngoài ra một số nhà mạng khác cũng đang chuẩn bị những bước cuối cùng trước khi khai trương chính thức. Là một sinh viên, nắm bắt được tầm quan trọng của việc quy hoạch mạng tới sự phát triển tôi đã của thành phố quyết định chọn đề tài của mình là “Quy hoạch mạng vô tuyến thông tin thế hệ 3 cho thành phố Đà Nẵng ”.
Giải pháp an ninh mạng quản lý mạng truyền tải IP MỤC LỤC MỤC LỤC .1 DANH MỤC HÌNH ẢNH LỜI NÓI ĐẦU .3 THUẬT NGỮ VIẾT TẮT CHƯƠNG GIỚI THIỆU CHUNG 1.1 CƠ SỞ QUẢN LÝ MẠNG 1.1.1 Chi phí ngắt dịch vụ .5 1.1.2 Kích cỡ độ phức tạp mạng 1.1.3 Giám sát hiệu suất 1.1.4 Đối phó với trang thiết bị tinh xảo 1.2 QUÁ TRÌNH QUẢN LÝ MẠNG 1.2.1 Tổ chức OSI quản lý mạng 1.2.2 Các chức quản lý mạng lưới 11 CHƯƠNG AN NINH MẠNG TCP/IP 13 2.1 AN NINH ĐỊNH TUYẾN 13 2.1.1 Sự cần thiết an ninh truy cập 13 2.1.2 Truy cập định tuyến 14 2.1.3 Truy cập Telnet 14 2.1.4 Truy cập TFTP 16 2.1.5 Bảng điều khiển đầu cuối ảo 17 2.1.6 Truyền file (tệp) 19 2.1.7 An ninh bên định tuyến 19 2.1.8 Phạm vi phòng vệ bổ sung 21 2.3 SỬ DỤNG DỊCH VỤ BỨC TƯỜNG LỬA (PROXY) 21 2.3.1 Những giới hạn danh sách truy cập 22 2.3.2 Các dịch vụ proxy .23 2.3.3 Các dịch vụ proxy ICMP 25 2.3.4 Hạn chế .26 2.3.5 Ví dụ hoạt động 27 KẾT LUẬN 33 SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP DANH MỤC HÌNH ẢNH HÌNH 2.1 17 HÌNH 2.2 .20 HÌNH 2.3 .24 HÌNH 2.4 SỬ DỤNG KỸ THUẬT CẤU HÌNH MÀN HÌNH CHẶN BỨC TƯỜNG LỬA ĐỂ KHÓA TẤT CẢ LỆNH FTP PUT 27 HÌNH 2.5 .28 HÌNH 2.6 SỬ DỤNG KỸ THUẬT CẤU HÌNH MÀN HÌNH ADD ALERT CHẶN BỨC TƯỜNG LỬA 29 HÌNH 2.7 SỬ DỤNG KỸ THUẬT CẤU HÌNH MÀN HÌNH CHẶN BỨC TƯỜNG LỬA ĐỂ BIÊN TẬP DỊCH VỤ MẠNG HTTP .30 HÌNH 2.8 SỬ DỤNG CẤU HÌNH HIỂN THỊ KỸ THUẬT BIÊN TẬP DỊCH VỤ CHẶN BỨC TƯỜNG LỬA ĐỂ CÀI ĐẶT MỘT CHUỖI QUI TẮT KHỐNG CHẾ ĐẾN HTTP 31 SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP LỜI NÓI ĐẦU Gần ba mươi năm qua giao thức TCP/IP đưa vào sử dụng phát triển, việc nghiên cứu Bộ Quốc phòng Mỹ thủ tục truyền dẫn mạng máy tính học viện, quan phủ, doanh nghiệp, người dùng Mỹ Mạng truyền dẫn sử dụng giao thức TCP/IP phạm vi từ mạng nội hạt (nhỏ) văn phòng nhà đến mạng rộng lớn mạng Internet Vài năm gần việc sử dụng giao thức TCP/IP phát triển nhanh, nhờ hỗ trợ nhiều ứng dụng Trong tiểu luận em tập trung nghiên cứu vấn đề là: ● Nghiên cứu chung quản lý mạng TCP/IP ● An ninh mạng TCP/IP (security) SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP THUẬT NGỮ VIẾT TẮT SNMP Simple Network Managerment Protocol RMON Remote Moniter IOS International Organization for Standardization OSI Open System Interconnection DSUs Digital Service Units CSUs Channel Service Units MIB Managing Information Base HTTP Trial File Transfer Protocol TFTP Trivial File Transfer Program TCP Transmission Control Protocol UDP User Datagram Protocol IANA Internet Assigned Number Authority ICMP Internet Control Message Protocol OSPF Open shortest Patch First IGRP Interior Gateway Routing Protocol OSPF Open Shortest Path First SMTP Simple Mail Transport Protocol FTP S-HTTP File Transfer Protocol Secure Hypertext Transfer Protocol SSL Secure Sockets Layer NAT Network Address Translation PAT Port Address Translate SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP CHƯƠNG GIỚI THIỆU CHUNG 1.1 CƠ SỞ QUẢN LÝ MẠNG Như đề cập trên, việc sử dụng giao thức TCP/IP phát triển đồng thời hai lĩnh vực dung lượng ứng dụng truyền tải liệu Ngày nhiều nhà kinh doanh phụ thuộc nhiều vào trang Web họ để bán hàng, nhà kinh doanh đạt doanh thu lớn vài triệu đô la ngày, nhà kinh doanh dịch vụ khác cung cấp dịch vụ truyền fax chi phí thấp cho hàng trăm ngàn khách hàng nhiều nơi giới hàng triệu doanh nghiệp hàng chục triệu người tiêu dùng, lĩnh truyền thư thư điện tử có nhiều ưu điểm tốc độ truyền dẫn nhanh không tin nên người dùng sử dụng thư điện tử nhiều sử dụng thư truyền thống dịch vụ bưu truyền tin nhiều quốc gia khác Tốc độ tăng trưởng việc sử dụng giao thức TCP/IP làm cho hai, người sử dụng dịch vụ Internet nhà quản lý mạng phụ thuộc nhiều vào giao thức TCP/IP để thực công việc bình thường hàng ngày họ 1.1.1 Chi phí ngắt dịch vụ Như đề cập ưu điểm mạng Internet mang lại cho người sử dụng lớn, mạng bị lỗi nhỏ dẫn đến mạng bị gián đoạn điều mang lại hậu nghiêm trọng cho người dùng Lấy ví dụ, kết nối Internet không thành công nhà doanh nghiệp không gởi nhận thư điện tử truy cập mạng để mua đặt hàng trực tuyến mạng Mất thông tin điều đồng nghĩa với việc doanh thu doanh nghiệp thiệt hại hàng ngàn chí hàng triệu đô thời gian mạng bị gián đoạn Do phương pháp phát lỗi chuẩn đoán lỗi cách nhanh chóng nhân viên điều hành mạng làm giảm bớt thiệt hại cho doanh nghiệp Trong môi trường truyền thông ngày lĩnh vực cần quan tâm kích cỡ độ phức tạp mạng, chi phí, hiệu vận hành khả tìm hiểu đủ thông tin để tận dụng ưu điểm giao thức 1.1.2 Kích cỡ độ phức tạp mạng Do nhu cầu trao đổi thông tin người dùng ngày tăng, để đáp ứng nhu cầu sử dụng người dùng đòi hỏi kích cỡ mạng phải lớn hay độ phức tạp mạng cao, đồng thời chi phí hoạt động mạng ngày lớn Điều tạo nên động lực thúc đẩy phát triển mạng, nhiên để mạng hoạt động tốt đòi hỏi khả mạng truyền dẫn phải tốt, đồng thời phải có thiết bị giám sát tập trung mạng Trạm trung tâm cung cấp giải pháp kỹ thuật nhằm thực việc thay SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP đổi cấu hình mạng tạo cảnh báo phát lỗi mạng Nhờ có giao thức quản lý mạng SNMP (Simple Network Managerment Protocol) giao thức giám sát từ xa RMON (Remote Moniter) giao thức TCP/IP làm cho việc quản lý mạng đơn giản tốn nhân lực Tuy nhiên để hiệu sử dụng mạng cao đòi hỏi nhân viên quản trị mạng phải có hiểu biết định khái niệm giao thức truyền thông 1.1.3 Giám sát hiệu suất Thông qua việc sử dụng giao thức quản lý giao thức TCP/IP giám sát hiệu suất lực mạng Một vấn đề liên quan làm để hiệu suất sử dụng chi phí quản lý mạng tốt nhất, hiệu suất cao chi phí cho quản lý mạng thấp mà đảm bảo việc quản lý mạng Vì việc quản lý mạng tốt mang lại lực hiệu suất sử dụng mạng cao chi phí cho mạng thấp 1.1.4 Đối phó với trang thiết bị tinh xảo Với việc sử dụng giao thức TCP/IP mạng Internet ngày phát triển nhanh chóng, thiết bị sử dụng mạng lắp đặt truy cập nhiều Ví dụ có nhiều định tuyến có khả số hóa tín hiệu thoại Đối phó với thiết bị tinh xảo có khả lấy trộm thông tin mạng, đòi hỏi nhân viên quản trị mạng đào tạo có trình độ cao, coi khía cạnh quan trọng quản lý mạng Hiện có nhiều sản phẩm quản lý mạng ẩn bên sản phẩm truyền thông mạng, với giao diện đồ họa người dùng có khả truy cập dễ dàng lệnh điều khiển nhân viên quản trị viết để điều khiển hoạt động thiết bị Như vậy, sản phẩm quản lý mạng đại giúp đỡ đối phó với thiết bị tinh xảo Sự tin cậy mạng Hiệu ứng lỗi mạng Kích cỡ độ phức tạp mạng Đối phó với tinh vi thiết bị mạng Cân hiệu suất lực mạng Chính sách chi phí hoạt động Bảng 1.1 tóm tắt lý chủ yếu mạng TCP/IP phải quản lý 1.2 QUÁ TRÌNH QUẢN LÝ MẠNG Quản lý mạng trình giống nhiều hoạt động phổ biến khác chắn người quản lý mạng gặp nhiều khó khăn Dưới hạn chế trình quản lý Quản lý mạng trình (mà nhân viên quản trị mạng) sử dụng phần cứng phần mềm theo dõi tình trạng thành phần khả truyền dẫn SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP mạng, câu hỏi cuối làm để cải thiện hiệu suất sử dụng mạng, đồng thời phải kết hợp việc quản trị mạng với việc hướng dẫn nhà cung cấp dịch vụ người dùng mạng Điều có nghĩa nhân viên quản trị mạng phải có kiến thức giao thức TCP/IP hiểu trình hình thành thủ tục gởi nhận gói tin Vai trò, cách sử dụng, thành phần cấu tạo gói tin khái niệm đặc trưng mạng Thứ truyền tín hiệu thoại tín hiệu fax giao thức TCP/IP mạng có sai số định Thứ hai liên quan đến việc sử dụng phần cứng phần mềm để kiểm tra , thiết bị cầu nối định tuyến mạng, thiết bị khả truyền dẫn, liệu kênh liệu thành phần mạng Chú ý nhân viên quản lý mạng can thiệp hổ trợ đến người sử dụng mạng, nhà cung cấp dịch vụ yếu tố chuyên môn liên quan đến mạng Ngoài sau thu thập yêu cầu, ý kiến liên quan đến mạng từ người dùng nhà cung cấp dịch vụ nhân viên quản trị mạng nghiên cứu cải tạo mạng theo hướng tốt Đồng thời họ thường đưa giải pháp để cải thiện hiệu suất sử dụng giảm bớt tượng rớt mạch Các phương pháp để cải thiện hiệu suất thông tin thay đổi cấu hình mạng nghiên cứu cách thức tổ chức mạng theo yêu cầu mà họ đưa Cuối hiệu suất công việc quản lý mạng phải nhân viên quản trị mạng nắm bắt tất như: giám sát đưa tiến trình phát triển mạng, tính toán lại mạng để đảm bảo tính hợp lý chi phí đầu tư để mạng phát triển với hiệu suất sử dụng mạng cao Thực vấn đề đưa tùy chọn để đảm bảo người dùng hợp lệ truy cập vào mạng nhân viên quản lý mạng cục (mạng LAN), nhà quản lý mạng cần phải quan tâm đến vấn đề an ninh mạng 1.2.1 Tổ chức OSI quản lý mạng Dựa sở trước đó, chia nhỏ công việc liên quan đến quản lý chức mạng Trong thực tế, điều thực theo chuẩn quốc tế IOS (International Organization for Standardization) tổ chức OSI (Open System Interconnection) Trong mô hình tổ chức OSI định nghĩa chức (hoặc qui tắc) quản lý mạng định bảng 1.2 Quản lý cấu hình / thay đổi Quản lý lỗi / cố Quản lý hiệu suất / tốc độ tăng trưởng Quản lý an ninh / truy cập Quản lý tài khoản / chi phí Bảng 1.2 Tổ chức OSI quản lý mạng SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP Quản lý cấu hình quản lý mạng bao gồm trình theo dõi khả thay đổi tham số khác thiết bị mạng Các tham số cài đặt, thiết lập lại đơn giản để đọc hiển thị Đối với mạng phức tạp có hàng trăm hàng ngàn thiết bị truyền dẫn, việc sử dụng SNMP RMON dễ dàng cho việc điều khiển mạng từ điểm từ vài vị trí quản lý mạng Tuy nhiên, thực tế tảng SNMP RMON có phạm vi từ hệ thống quản lý mạng máy tính sở đến máy tính nhỏ hệ thống máy trạm Trong thực tế, hầu hết hệ thống bao gồm thiết bị có khả tự động tìm hiển thị vị trí mạng, cung cấp cho người sử dụng khả đọc thay đổi tham số thiết bị, hiển thị loạt thông số đường truyền không giống thiết tham số hiển thị thiết lập lại, thiết bị truyền dẫn kiểm soát nhiều hãng truyền thông điều chỉnh thông số thường điều khiển hoạt động người sử dụng mạng đầu cuối Mặc dù hệ thống quản lý mạng có nhiều ưu điểm, tổ chức hệ thống quản lý mạng đâu có Điều SNMP RMON phát triển chủ yếu thiết bị giám sát cảnh báo, vài hạn chế yếu tố bảo mật không tích hợp cho phép thay đổi tham số định tuyến, DSUs, CSUs thiết bị mạng khác Thay vào đó, nhiều tổ chức trì số hệ thống, số hệ thống nhà cung cấp sử dụng để kiểm soát thiết bị Ngoài ra, số thiết bị kiểm soát đơn giản từ hình hiển thị Trong kết luận ban đầu với việc thảo luận cấu hình thay đổi quản lý, cần lưu ý lĩnh vực quản lý mạng phụ thuộc vào tham số cài đặt sở liệu hiểu biết ý nghĩa chúng Cơ sở liệu bao gồm thông tin ghi thẻ 3* inch, trang đánh máy, files lưu trữ máy tính Bất kể phương tiện truyền thông sử dụng để lưu trữ thông tin, sở liệu giống kho thông tin sử dụng để xác định lựa chọn, thay thế, triển khai thực thay đổi cấu hình cách thức hoạt động mạng lưới Quản lý lỗi/sự cố Vấn đề quản lý lỗi trình nhằm phát hiện, đăng nhập thẻ, vấn đề tách biệt, dấu vết hoàn thành cho định kết không bình thường Vì bạn phải biết cố tồn tại, thứ bước quan trọng quản lý lỗi phát tình trạng không bình thường Điều hoàn thành số phương pháp, bao gồm từ việc thiết lập ngưỡng hệ thống quản lý mạng để phát loại hình cảnh báo điều kiện báo động vượt cho người sử dụng khách hàng gọi kỹ thuật kiểm soát trung tâm để báo cáo vấn đề Sau vấn đề phát hiện, nhiều tổ chức có SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP giới hạn trước điều hành thủ tục mà tình trạng ghi chép đăng nhập, xác định đại diện cho vấn đề đáng, phân công vé cố cho phép theo dõi trình giải cố Điều quan trọng để hiểu nhiều cố liên quan gọi đến trung tâm kiểm soát kỹ thuật giải Các gọi yêu cầu nhân viên trung tâm kiểm soát kỹ thuật đến từ vài phút đến vài kiểm tra cài đặt thiết bị, xem hình ảnh hiển thị để kiểm tra tình trạng thiết bị từ xa hỏi người dùng cài đặt phần mềm phần cứng liên quan thực chức khác để giải cố mà không hành động Các gọi báo động khác dẫn đến việc cấp thẻ cố đòi hỏi hành động phần nhà cung cấp dịch vụ thông tin giúp đỡ nhà cung cấp dịch vụ Bất kể mức độ cố, đăng nhập ban đầu bao gồm cố gắng để xác định nguyên nhân tình không bình thường xác định hành động thích hợp cho chỉnh sửa Vấn đề tách biệt bao gồm thảo luận đơn giản với người dùng đầu cuối, kiểm tra chẩn đoán thiết bị đường truyền mở rộng nghiên cứu Sau nguyên nhân gây cố cô lập tổ chức với người dùng chỉnh sửa, chẳng hạn chấp nhận mức độ hiệu mạch lỗi thiết bị không kết nối đến nhà cung cấp dịch vụ tổ chức mạng bạn sử dụng Vì vậy, việc tìm kiếm trợ giúp thích hợp, bước quan trọng trình quản lý lỗi để dấu vết bên bên nhân viên nổ lực họ để hướng tới sửa lỗi Rất nhiều lần, lỗi quản lý đòi hỏi vé tuổi cố để chuyển cấp để nhận Tại lần, lặp lặp lại gọi đến nhà cung cấp hay nhà cung cấp dịch vụ thông tin để theo dõi tiến cố thẻ bộc lộ thẻ đóng lại Mặc dù hy vọng lý nhà cung cấp dịch vụ nhà cung cấp đóng cố ý quên để thông báo cho giải , sống giới chưa hoàn hảo, một thẻ cố không cố ý bị đóng cửa mà không giải vấn đề Vì vậy, quan trọng dấu cố, bao gồm thẻ có trạng thái Trong việc giải điều kiện không bình thường xuất công việc sau trình quản lý lỗi, thực té yêu cầu hiệu suất cấu hình thay đổi công việc quản lý Ví dụ, điều kiện không bình thường việc thực thay đổi định tuyến,việc giải thay đổi cấu hình định tuyến trở trạng thái ban đầu với điều kiện bình thường Điều giải thích bên quan hệ chức lĩnh vực quản lý mạng SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng truyền tải IP Quản lý hiệu suất/tăng trưởng Quản lý hiệu suất độ tăng trưởng bao gồm công việc đòi hỏi đánh giá việc sử dụng thiết bị quản lý mạng khả truyền dẫn điều chỉnh chúng yêu cầu Công việc thực phạm vi từ quan sát thiết bị hiển thị để thu thập thông tin thống kê vào sở liệu sử dụng đến xu hướngdự án sử dụng Bất kể phương pháp sử dụng, mục tiêu quản lý hiệu suất tăng trưởng để đảm bảo đủ khả tồn để hỗ trợ thông tin người dùng cuối yêu cầu Do đó, thuật ngữ thường sử dụng cho quản lý hiệu suất hay tăng trưởng lực lập kế hoạch Một chi tiết thú vị bên lực lập kế hoạch phối hợp phản ứng lại cố người dùng cuối Nếu tổ chức mạng bạn không đủ khả năng, người dùng cuối khiếu nại thường xảy thời gian phản hồi lâu người dùng nhận tín hiệu bận cố gắng truy cập mạng từ xa Ngược lại, bạn không nhận khiếu nại người dùng cuối mà họ luôn nhận thời gian phản hồi tốt không nhận tín hiệu bận mạng có nhiều lực Điều có nghĩa nhiều khả yêu cầu công nhận nhân viên quản lý mạng phận nhân viên để kiểm tra tiềm cho hai thu hẹp mở rộng mạng Một loạt công cụ sử dụng cho trình quản lý hiệu suất tăng trưởng, bao gồm hoá đơn toán nhà cung cấp dịch vụ ,hệ thống quản lý mạng, chẳng hạn ứng dụng tiện ích Ping Traceroute.Hoá đơn toán nhà cung cấp dịch vụ hiển thị đường dây gọi vào đường dây cho thuê nối vào nhà cung cấp dịch vụ Internet Hệ thống quản lý mạng cung cấp thông tin việc sử dụng nội hạt mạng từ xa mạng lưới hoạt động sử dụng khác thiết bị quản lý mạng Việc sử dụng Ping, Tracerouter chương trình tiện ích khác thị thiết bị hoạt động ngắt thiết bị Quản lý an ninh /truy cập Quản lý an ninh truy cập mô tả cài đặt công việc mà đảm bảo cho phép nhân viên sử dụng mạng Ngoài ra, số tổ chức yêu cầu ẩn nội dung liệu, đặc biệt sử dụng Internet mạng riêng ảo Vì vậy, nhiệm vụ chức liên quan đến quản lý an ninh bao gồm xác nhận người dùng, mật mã liệu, quản lý phân phối khóa mật mã, bảo trì kiểm tra an ninh ghi, cấu hình danh sách truy cập định tuyến việc triển khai thực tính frewall khác bao gồm dịch vụ proxy phát xâm nhập phát báo động SVTH: Phạm Công Thắng_CCVT06B 10 Giải pháp an ninh mạng quản lý mạng truyền tải IP mật nhớ mở rộng độ dài mật làm tăng khả xảy lỗi nhập mật Nói chung, mật dài từ 10 đến 15 ký tự đủ mật cấu tạo từ liên kết chữ viết tắt chuỗi số 2.1.6 Truyền file (tệp) Chúng ta nhận thấy rằng, trước giao thức truyền tệp thường (Trivial File Transfer Protocol) thường hỗ trợ định tuyến kỹ thuật cho phép hình ảnh hệ thống file cấu hình lưu trữ trạm làm việc Trong môi trường định tuyến Cisco, cho phép tải file cấu hình mạng khởi động lại định tuyến, phải xác định lệnh dịch vụ cấu hình mặc định vô hiệu hoá khả Nếu khả kích hoạt, định tuyến phát tín hiệu qua TFTP đọc tin nhắn yêu cầu trạm đáp ứng có file với tên cụ thể dựa vào cấu hình định tuyến truyền qua mạng 2.1.7 An ninh bên định tuyến Một đạt quyền truy cập vào định tuyến, hệ điều hành thiết bị cung cấp thêm khả bảo vệ, bạn sử dụng thêm cho việc bảo mật truy cập định tuyến Trong định tuyến Cisco lệnh phiên dịch hệ điều hành gọi tắt Exec Exec có hai mức truy cập: người dùng đặc quyền Mức truy cập người dùng cho phép người dùng sử dụng số lệnh lệnh định tuyến, ví dụ lệnh cho phép mở danh sách kết nối định tuyến, lệnh cung cấp tên đến kết nối logic lệnh hiển thị số liệu thống kê liên quan đến hoạt động định tuyến Mức truy cập đặc quyền bao gồm tất lệnh truy cập người dùng lệnh ảnh hưởng đến hoạt động định tuyến, chẳng hạn lệnh cấu hình, lệnh cho phép nhân viên quản trị mạng đặt lại cấu hình định tuyến, tải lại lệnh, lệnh tạm dừng hoạt động thiết bị tải lại cấu hình thiết bị lệnh tương tự có liên quan thiết thực đến tình trạng làm việc thiết bị Quyền người truy cập vào chế độ hoạt động đặc quyền định tuyến Cisco nhận khả điều khiển trực tiếp hoạt động định tuyến, mức truy cập bảo vệ mật Vì vậy, cài đặt định tuyến Cisco, điều quan trọng sử dụng lệnh cấu hình định tuyến thường sử dụng mật Ví dụ, để định mật power4you với mức lệnh đặc quyền, bạn nên sử dụng mật lệnh cho phép sau: cho phép mật power4you Tương tự mật kết hợp với dãy nối tiếp thiết bị đầu cuối, mật định đến lệnh đặc quyền trường hợp nhạy cảm, mật chứa hỗn SVTH: Phạm Công Thắng_CCVT06B 19 Giải pháp an ninh mạng quản lý mạng truyền tải IP hợp ký tự chữ chữ số, mật tối đa đến 80 ký tự Do đó, cách đặt mật cổng nối tiếp, kết nối đầu cuối ảo lệnh đặc quyền định tuyến, bạn bảo vệ hai truy cập vào định tuyến giống việc sử dụng lệnh truy cập đặc quyền Hình 2.2 Hình 2.2 minh họa cấu hình xử lý ban đầu định tuyến định mật Lưu ý sau giao diện định tuyến hiển thị tên (BigMac) nhập vào định tuyến, bạn nhắc nhở để nhập ba mật Mật thứ gọi tắt cho phép bí mật, mật mã bí mật sử dụng thay mật cho phép Thứ hai mật cho phép mật sử dụng nơi không cần bảo mật sử dụng phần mềm cũ số hình ảnh khởi động Thứ ba, mật mật đầu cuối ảo Sau mật nhập vào, định tuyến nhắc bạn nhập liệu cấu hình đặc trưng phần số hiển thị hình 2.2 Việc nhập mật hiển thị hình 2.2 minh họa cho mục đích phạm vi mô tả cấu tạo mật đề cập phần SVTH: Phạm Công Thắng_CCVT06B 20 Giải pháp an ninh mạng quản lý mạng truyền tải IP 2.1.8 Phạm vi phòng vệ bổ sung Nếu bạn cần cung cấp cho nhiều người dùng mạng với cấu hình mạng gồm nhiều định tuyến, bạn bổ sung thêm lớp bảo vệ mật Để làm vậy, bạn lập trình nhiều danh sách truy cập định tuyến Mặc dù việc sử dụng danh sách truy cập vào định tuyến ẩn, tóm tắt số lưu ý mật đại diện cho chọn lựa cho phép từ chối để áp dụng cho địa Internet Điều có nghĩa bạn xác định địa IP trạm, điều cung cấp cấu hình hoạt động nhiều định tuyến thông qua việc nối mạng, bạn sử dụng danh sách truy cập định tuyến để hạn chế truy cập Telnet cho định tuyến đến nhiều địa cụ thể IP Điều có nghĩa nhà điều hành đầu cuối cần phải biết xác mật để truy cập vào định tuyến thích hợp mà họ biết thêm vị trí xác định trước định tuyến mạng Bằng cách kết hợp bảo vệ mật định tuyến với mật bảo vệ đặc quyền chế độ điều hành để hạn chế truy cập vào cấu hình định tuyến thông qua việc sử dụng nhiều danh sách truy cập để khóa quyền truy cập vào định tuyến 2.3 SỬ DỤNG DỊCH VỤ BỨC TƯỜNG LỬA (PROXY) Bằng việc sử dụng giao thức TCP/IP mở rộng năm 1990 với tăng trưởng sử dụng Internet, tổ chức bắt đầu nhận mối đe dọa an ninh mạng mạng họ kết nối vào Internet Khi hội viên học viện, phủ mạng lưới thương mại nối vào Internet, chúng trở thành chủ đề để công không giới hạn người dùng máy tính nằm khắp nơi giới Danh sách truy cập định tuyến cung cấp kỹ thuật cho phép không cho phép luồng gói thông qua cổng định tuyến dựa vào địa IP nguồn, IP đích loại liệu ứng dụng biểu diễn dạng số cổng.Tổ chức bắt đầu nhận thân danh sách truy cập định tuyến không đủ ngăn chặn để ngăn cản nhiều loại hoạt động không mong muốn đến máy chủ cư trú đằng sau định tuyến Một giải pháp trình bày cung cấp mức an ninh cao đến tổ chức mạng sử dụng tường lửa sử dụng lực dịch vụ proxy nằm đằng sau định tuyến, dịch vụ proxy tiêu điểm phần Trong phần xem ngắn gọn hoạt động danh sách truy cập định tuyến vài giới hạn nó.Sử dụng thông tin sở,rồi mô tả thảo luận nhiều loại hoạt động khác dịch vụ tường lửa proxy chúng sử dụng để thu mức bảo vệ mạng nâng cao SVTH: Phạm Công Thắng_CCVT06B 21 Giải pháp an ninh mạng quản lý mạng truyền tải IP 2.3.1 Những giới hạn danh sách truy cập Hầu hết định tuyến chứa khả lọc gói tạo thành cách mã hóa nhiều phát biểu vào vấn đề dựa vào danh sách truy cập, sau áp dụng danh sách truy cập đến giao diện định tuyến Các phát biểu danh sách truy cập gồm tham số định giá ngược lại giá trị trường gói định dạng lớp mô hình tham khảo kết nối hệ thống mở OSI tổ chức chuẩn quốc tế ISO Trong môi trường giao thức TCT/IP điều nghĩa danh sách truy cập hoạt động việc kiểm tra địa IP nguồn đích gói số cổng chứa gói mà định nghĩa ứng dụng vận chuyển gói định dạng lớp mô hình tham khảo ISO Một chìa khóa giới hạn kết hợp với việc sử dụng danh sách truy cập thật mà chúng hiệu ứng che với khía cạnh đến hoạt động cho phép Những kết từ danh sách truy cập định tuyến khả nhìn xa vào nội dung gói xác định hoạt động có hại có xảy hay không vậy, ngược lại dừng hoạt động phát tin nhắn báo động thích hợp đến nhiều người dạng tín hiệu âm , tin nhắn thư, trang báo động kết hợp kỹ thuật Minh họa tiềm giới hạn danh sách truy cập định tuyến xem xét ứng dụng giao thức vận chuyển tệp FTP (File Transfer Protocol) phổ biến dùng để truyền tệp máy chủ Khi sử dụng danh sách truy cập định tuyến ,bạn cho phép từ chối phiên ftp dựa địa IP nguồn địa IP đích chứa gói thông tin ftp vận chuyển Tin tổ chức bạn vận hành ftp server hổ trợ truy cập ẩn danh,cho phép nối đến Internet để truy cập lấy lại thông tin từ ftp server, kiện tương đối chung Internet Chúng ta cho thêm tổ chức bạn có số tệp lớn server có khả tải liệu Điều có nghĩa người ta cố ý không cố ý sử dụng lệnh ftp mget(multiple get) để lấy lại số tệp lớn với dòng lệnh vào ftp Trên thực tế người ta truy cập, ftp server tổ chức bạn đưa lệnh mget sử dụng dấu hoa thị (*) tên tệp(file) hoạt động wildcard vị trí tệp mở rộng tạo thành từ dòng lệnh mget *.* lệnh đưa đến ftp server tổ chức bạn tải xuống tệp thư mục, sau đến người dùng đầu xa Nếu tổ chức bạn có số tệp lớn, liệu lưu trữ tập hợp vài gigabytes tốc độ kết nối vào Internet thấp, chẳng hạn 56 kbps,64 kbps kết nối T1, sử dụng lệnh mget *.* liên kết dùng kết nối Internet nhiều nhiều ngày Nếu tổ chức bạn hoạt đông word wide web server ftp server cung cấp truy cập Internet đến nhân viên qua đường dây truy SVTH: Phạm Công Thắng_CCVT06B 22 Giải pháp an ninh mạng quản lý mạng truyền tải IP cập, sử dụng mget sở cố ý xem xét để mô tả đơn giản phương pháp từ chối dịch vụ công hiệu (DOS) Loại công hoàn toàn hợp pháp,như người ta thuê lệnh mget thực vận hành hoàn toàn hợp lệ,thậm chí thông qua kết vận hành liên kết kết nối tổ chức bạn đến Internet cho nhiều chí nhiều ngày Một cách tương tự, cho phép người ta có khả tải liệu đến ftp server tổ chức bạn nghĩa chúng xem xét sử dụng mget ngược lại.,đó lệnh mput Thông qua sử dụng mput với wildcard, chúng cài đặt thiết bị 286 cũ bơm nhiều gigabyte liệu đến ftp server bạn, cản trở phần chia đường dây truy cập Internet tổ chức bạn Thừa nhận cần nghiên cứu hoạt động lớp ứng dụng cung cấp tổ chức với khả điều khiển ứng dụng dẫn đến phát triển khả dịch vụ proxy với tường lửa 2.3.2 Các dịch vụ proxy Các dịch vụ proxy mô tả thuật ngữ có đặc điểm chung kết hợp với việc sử dụng proxy server Proxy server thông thường thực khối mã hóa phần mềm tường lửa hổ trợ hoăc nhiều ứng dụng cho hành động phục vụ vật trung gian proxy yêu cầu phục vụ mà cung cấp yêu cầu phục vụ Khi thực cách này,tất yêu cầu cho ứng dụng định rõ xem xét dịch vụ hoạt động proxy proxy server.Nếu dịch vụ proxy cấu hình trước cho phép không cho phép nhiều chức ứng dụng với ứng dụng TCP/IP định rõ dịch vụ proxy xem xét nội dung gói tin chuỗi gói tin so sánh nội dung đến cấu hình dịch vụ proxy Nếu nội dung gói tin chuỗi gói tin biểu thị hoạt động định rõ cho phép cấu hình dịch vụ proxy dịch vụ cho phép gói tin chảy đến server thích hợp Ngược lại gói tin gửi đến thùng lớn bầu trời phép Server tạo tin nhắn cảnh báo báo động tin nhắn cảnh báo đến quản trị tường lửa người có trách nhiệm khác Để minh họa việc sử dụng dịch vụ proxy, quay trở lại ví dụ truy cập ftp server Một dịch vụ ftp proxy chung cho phép quản trị tường lửa cho phép làm hiệu lực lệnh ftp khác Sử dụng chức này, quản trị tường lửa điều khiển khả người dùng ftp để đưa loại lệnh ftp khác nhau, chẳng hạn mget mput Trong môi trường Microsoft Window bạn sử dụng mget kiểu luồng hoăc kiểu tương tác lẫn nhau.Liên quan nữa, ftp nhắc nhở bạn thông qua việc sử dụng dấu hỏi(?) tệp truyền không truyền Một ví dụ sử dụng mget minh họa hình 2.5 Chú ý nhập vào đơn giản điều khiển trở lại nhắc nhở? bên cạnh tệp truyền Vì ,nó dễ dàng liên hệ SVTH: Phạm Công Thắng_CCVT06B 23 Giải pháp an ninh mạng quản lý mạng truyền tải IP cho tin tặc ghi mã đến luồng tệp sử dụng mget kiểu tương tác lẫn Window ano-brain kiểu luồng Nếu bạn quen với cách ftp server cấu hình,bạn chắn nhận quản trị ftp server giới hạn định đọc và/hoặc viết cho phép đến danh mục có thể, tùy theo hệ thống hoạt động dùng đến tệp danh mục cho người sử dụng ẩn danh không ẩn danh, sau thuật ngữ thường biểu thị người có tài khoảng server Tuy nhiên ,không có kỹ thuật mà tác giả có nhận thức cho phép quản trị ftp server quản trị định tuyến cho phép chọn lựa làm hiệu lực lệnh ftp riêng lẻ Vì vậy, dịch vụ ftp proxy cung cấp quản trị server ftp với khả nâng cao đáng kể sử dụng để cấu hình khả chức dịch vụ ftp mà người sử dụng khác truy cập Hình 2.3 Hình 2.5 Sử dụng mget windows NT đòi hỏi trả lời đến tệp nhắc nhở, điều khiển trở lại Khả thuê dịch vụ proxy dựa vào sử dụng vị trí tường lửa nằm định tuyến mạng server nối đến mạng LAN đằng sau định tuyến.Vì vậy,loại dịch vụ proxy cung cấp giới hạn nhu cầu tổ chức chương trình chương trình tường lửa.Vài loại dịch vụ proxy phổ biến gồm dịch vụ proxy đầu cuối xa Tenet , TN3720 ,Hypertext Transport Protocol(HTTP),dịch vụ proxy ftp thảo luận trước dịch vụ proxy ICMP.Sau mô tả loại dịch vụ proxy đặc biệt xứng đáng thảo luận kỹ lưỡng nâng cao khả an ninh, chắn cung cấp chống lại loại công tin tặc SVTH: Phạm Công Thắng_CCVT06B 24 Giải pháp an ninh mạng quản lý mạng truyền tải IP 2.3.3 Các dịch vụ proxy ICMP Giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message Protocol) mô tả mmột giao thức lớp giao thức TCP/IP ICMP quen với truyền tin nhắn lỗi câu hỏi trạng thái trả lời câu hỏi Những gói ICMP tạo thành việc sử dụng tiêu đề giao thức Internet IP chứa số thích hợp trường loại (Type) Mặc dầu sử dụng ICMP định hướng theo vận chuyển tin nhắn lỗi thiết bị hoạt động giao thức TCT/IP vận chuyển đến người sử dụng mạng,giao thức sử dụng phổ biến nhiều cá nhân mà chắn chúng sử dụng gói truyền dẫn ICMP Hai loại gói ICMP phổ biến yêu cầu phản hồi(Echo Request) yêu cầu trả lời ( Response Request), loại biết đến hầu hết người hoạt động Ping ứng dụng Ứng dụng Ping thực giao thức TCP/IP định rõ, người dùng tiêu biểu vào tên lệnh ứng dụng Ping tên máy chủ (host) địa IP máy chủ nhiều tham số tùy chọn mà tham số ảnh hưởng đến cách hoạt động Ping Sử dụng Ping với ý định ban đầu kỹ thuật cho phép người dùng xác định máy chủ từ xa hoạt động sử dụng giao thức TCP/IP Ping máy chủ xa gói yêu cầu phản hồi (Echo Request ) ICMP kết máy chủ xa gửi lại gói trả lời (Echo Response ) ICMP máy chủ xa nhận được, sẵn sàng hoạt động thực chức TCT/IP Lý sử dụng Ping lưu ý máy chủ xa nhận Ping timeout nghĩa máy chủ xa không hoạt động ,một nhiều thiết bị truyền thông đường dẫn đến máy chủ xa bị rớt mạch.Tuy nhiên ,hầu hết trường hợp Ping mô tả phương pháp xử lý cố dùng xuất mà máy chủ không trả lời câu hỏi Bổ sung thêm máy chủ sẵn sàng đón nhận sẵn sàng hoạt động ,sử dụng Ping cung cấp thông tin liên quan quanh độ ngắt vòng trễ đến máy chủ từ xa Kết thông tin từ ứng dụng Ping việc cài đặt đồng hồ khởi đầu ghi nhớ thời gian nhận câu trả lời thời gian không làm xảy thu câu không trả lời Thời gian truyền Ping nhận câu trả lời mô tả gói tin thời gian trễ trọn vòng cung cấp thông tin quí giá hoạt động phụ thuộc thời gian sản phẩm thoại IP (VoIP) Khi thời gian đầu bạn Ping đích sử dụng tên máy chủ,giao tức bạn phải thực hoạt động giả pháp địa để xác định địa IP cần cho định tuyến trực tiếp xác gói tin đến đích nó, ảnh hưởng thêm trễ Do đó, hầu hết thực Ping mặt định phát từ ba đến năm gói yêu cầu liên tục phản hồi Tuy nhiên, vài thực Ping cho phép người dùng đặt tùy SVTH: Phạm Công Thắng_CCVT06B 25 Giải pháp an ninh mạng quản lý mạng truyền tải IP chọn mà kết máy chủ liên tục phát Ping, người ta điều khiển máy tính tạo Ping đưa CTRL-BREAK để kết thúc ứng dụng Mặc dầu liên tục Ping xuất hại, thực tế mô tả phương pháp cho tin tặc để bắt đầu công từ chối dịch vụ Điều Ping máy chủ phải dừng điều làm, chí vài mili giây trả lời Ping với gói trả lời ICMP Nếu người ta cài đặt ứng dụng Ping để Ping liên tục cài đặt kích cỡ gói kích cỡ mặc định 32 64 bytes, tùy theo thực hiện,mà người ta bắt buộc đích đến trả lời với độ dài trả lời tăng, điều đòi hỏi dùng thêm tài nguyên mạng Vấn đề kết hợp không giới hạn sử dụng Ping dùng kỹ thuật để khám phá máy chủ làm việc xa mạng cách công máy chủ từ xa.Ví dụ, tin tặc ghi mã theo chu kỳ thông qua tất 254 địa lớp C mạng IP kỹ thuật khám phá địa hoạt động Dựa sở có trước, nhiều tổ chức ước muốn điều khiển hoạt động Ping loại tin nhắn ICMP khác Trong nhiều sanh sách truy cập định tuyến cung cấp người quản trị khả lọc gói ICMP dựa địa IP nguồn và/hoặc đích loại tin nhắn ICMP, lọc danh sách truy cập hoạt động toàn không Tức là,một danh sách truy cập định tuyến xem xét chọn lựa lưu ý chuỗi yêu cầu phản hồi ICMP từ địa nguồn xảy sau số yêu cầu xác định trước truyền qua định tuyến yêu cầu ngăn chặn So sánh chức dịch vụ proxy ICMP cấu hình khác chuỗi gói yêu cầu phản hồi đơn cố ý không cố ý cài đặt ứng dụng Ping để liên tục Ping host Tương tự, khả dịch vụ proxy ICMP thuê để phân biệt người có truy cập server khó khăn người khác sử dụng ứng dụng Ping nổ lực khám phá tất host mạng tổ chức bạn Vì vậy, dịch vụ proxy ICMP mô tả loại dịch vụ proxy quan trọng ,một dịch vụ nâng cao an ninh cho mạng 2.3.4 Hạn chế Mặc dầu dịch vụ proxy cung cấp nghiên cứu nâng cao an ninh mạng, nhiên cần thảo luận hạn chế chúng Trước tiên, dịch vụ proxy đòi hỏi xem xét nội dung chi tiết gói tin riêng lẻ chuỗi riêng lẻ liên quan đến gói tin, buộc ứng dụng cần phải tìm hiểu sâu cấu trúc gói tin Điều dẫn đến xử lý thêm xảy gói, mở đầu mức độ trễ Thứ hai, chuỗi gói có xem xét để định chấp nhận cho phép gói truyền đến đích chúng Điều nghĩa nhiều gói chuỗi phải làm vật đệm lưu trữ tạm thời dịch vụ proxy xác định gói tiếp tục đến đích chúng gửi đến lưu trữ Điều SVTH: Phạm Công Thắng_CCVT06B 26 Giải pháp an ninh mạng quản lý mạng truyền tải IP có nghĩa đòi hỏi thêm đệm lưu trữ dịch vụ proxy tường lửa lưu trữ tạm thời gói tin trước đưa đến server Trên thực tế, theo kiểm tra cho phép vài thí nghiệm kiểm tra truyền thông, sử dụng dịch vụ proxy từ nhà cung cấp tường lửa khác kết từ 20% đến 40% băng thông kết nối Internet server proxy Điều dẫn đến gói từ 20% đến 40% Vì vậy, bạn phải xem xét hiệu trễ dịch vụ proxy tiềm cần đến để nâng cấp đường dây truy cập Internet bạn phòng xa tiềm nâng cao an ninh mạng cho tổ chức mạng bạn 2.3.5 Ví dụ hoạt động Bây đánh giá khả tường lửa proxy,chúng ta kết luận phần việc xem xét vài cấu hình hình chặn tường lửa GA Atlanta (sản phẩm tường lửa cảu GA Atlanta) Hình 10.6 Minh họa hình Interceptor’s Advanced Policy Options (tùy chọn sách ngăn chặn trước) hình trỏ biểu diễn điểm bật tắt kiểm tra kết hợp với lệnh FTP PUT đến khối tải lên FTP.Trong xem xét hình 10.6 hình hiển thị chặn, ý chúng mô tả hình hiển thị HTML sử dụng Netscape browser Kỹ thuật chặn tường lửa phát dạng HTML cho phép người quản lý mạng xem sửa đổi cấu hình liệu tường lửa Để bảo vệ hoạt động, tường lửa sử dụng mật mã (encryption) cho phép hổ trợ giao thức SSL Netscape (Netscape’s Secure Socket Layer) với mật mã tất lưu thông tường lửa Web browser dùng cấu hình tường lửa mật mã sử dụng xác thực.Điều có nghĩa người quản lý mạng cấu hình an toàn tường lửa qua Word Wide Web Hình 2.4 Sử dụng kỹ thuật cấu hình hình chặn tường lửa để khóa tất lệnh FTP PUT SVTH: Phạm Công Thắng_CCVT06B 27 Giải pháp an ninh mạng quản lý mạng truyền tải IP Các lớp sử dụng Kỹ thuật chặn tường lửa gồm có lớp định nghĩa khả cung cấp người dùng với kỹ thuật để thay mẫu địa chỉ,thời gian ngày URLs tên biểu tượng.Các lớp bắt đầu chọn lựa lớp phím ấn trái phần chia cấu hình hình.Bằng cách sử dụng ký hiệu dấu làm tiền tố ,chúng phân biệt từ mẫu chữ Thông qua sử dụng lớp, xem xét khả cấu hình tường lửa.Ví dụ muốn điều khiển truy cập từ người dùng đằng sau tường lửa đến dịch vụ Internet Để làm điều đó, bạn vào địa IP máy tính, máy tính cho phép truy cập dịch vụ chung mà bạn mong ước sử dụng Rồi định nghĩa tên lớp mà kết hợp với nhóm địa IP tạo sách định nghĩa dịch vụ mà thành viên lớp cho phép dùng Hình 2.7 Minh họa sử dụng cấu hình hình kỹ thật biên tập sách ngăn chặn cho phép lưu thông vào với FTP, HTTP,Telnet SNMP Lưu ý sách sử dụng tên lớp ‘=ALL-Internal-Host’ hộp có nhãn ‘From’ Mặc dầu không biểu diễn, bạn có sử dụng cấu hình lớp để vào tên lớp địa IP mà bạn muốn kết hợp lớp đó.Rồi thì, sách biên tập cho phép địa IP lớp định trước = ALL-Internal-Host sử dụng FTP, HTTP, Telnet ứng dụng SMTP Hình 2.5 SVTH: Phạm Công Thắng_CCVT06B 28 Giải pháp an ninh mạng quản lý mạng truyền tải IP Hình 2.7 Sử dụng kỹ thật chặn tường lửa để tạo sách cho phép lưu thông lFTP, HTTP, Telnet SMTP từ tất người dùng lớp ‘AllInternal-Host’định rõ trước Phát báo động Khả tường lửa nâng cao đáng kể khả phát báo động,cho phép tường lửa báo động người quản lý mạng quản trị mạng để công vào mạng họ.Hình 2.8 minh họa hình hiển thị kỹ thuật chặn Add Alert, với mẫu biểu diễn chọn lựa IP-Spoof Trong ví dụ biểu diễn hình 2.8 báo động IP-Spoof sử dụng kỹ thuật biểu thị yêu cầu kết nối xảy từ máy chủ đòi hỏi có địa IP không thuộc Hình 2.6 Sử dụng kỹ thuật cấu hình hình Add Alert chặn tường lửa Trong thực tế,nó khó nhận thấy IP-Snoof xảy Điều vì, tường lửa thu nhận thông tin địa IP trước, chẳn hạn vị trí chúng đoạn truy cập giành qua cổng tường lửa khác ghi giới hạn địa IP, giả sử địa IP hợp lệ So sánh,các mẫu khác, chẳng hạn từ chối kết nối thất bại cho phép dễ nhận thấy Với báo động, bạn phải rõ tên cho định nghĩa báo động, chẳng hạn IP-Snoof cho mẩu Sau chọn lựa mẩu, bạn rõ ngày, tầng số xảy báo động, phù hợp tạo báo động Sự chặn hổ trợ hai phương pháp tạo báo động qua thư điện tử trang Web Nếu bạn chọn lựa sử dụng trang web SVTH: Phạm Công Thắng_CCVT06B 29 Giải pháp an ninh mạng quản lý mạng truyền tải IP để truyền báo động, gồm tin nhắn, chẳng hạn mã báo động số, nétchủ yếu loại báo động Gói lọc Trong toàn xem xét hoạt động tường lửa vắn tắt, xem xét lọc gói ban đầu Mặc dầu khả lọc gói chức tường lửa tương tự chức định tuyến, tường lửa thường cấu hình dễ cung cấp tính mềm dẻo cho phép không cho phép truy cập dựa cài đặt qui tắc Hình 2.7 Sử dụng kỹ thuật cấu hình hình chặn tường lửa để biên tập dịch vụ mạng HTTP Lưu ý giao thức HTTP chọn lựa biểu diễn ,cũng biên tập dịch vụ Chú ý cột dán nhãn ‘Max’ ‘rate’ Cột dán nhãn ‘Max’chỉ thị số lớn kết nối đồng thời cho phép dịch vụ cột dán nhãn ‘Rate’chỉ thị tốc độ lớn kết nối cho dịch vụ sở cho phép Bằng cách định rõ mục cho hai cột, bạn điều khiển truy cập đáng kể dịch vụ mạng mà bạn cung cấp cân tải dịch vụ sử vụ nặng SVTH: Phạm Công Thắng_CCVT06B 30 Giải pháp an ninh mạng quản lý mạng truyền tải IP Hình 2.8 Sử dụng cấu hình hiển thị kỹ thuật biên tập dịch vụ chặn tường lửa để cài đặt chuỗi qui tắt khống chế đến HTTP Trong ví dụ ,dịch vụ HTTP phép kết nối đến 256 xếp hàng đợi vào kích cỡ 64 , giá trị giới hạn chờ đợi kết nối TCP HTTP Tốc độ vào lớn 300 mô tả tốc độ lớn kết nối cho phép vào dịch vụ HTTP Chỉ lần tốc độ vượt quá, tường lửa không cho phép tạm thời truy cập đến dịch vụ khoảng thời gian phút Nếu bạn cho phép truy cập bên truy cập bên đến Web server, khả điều khiển tốc độ lớn kết nối vào đến dịch vụ liên quan vũ khí quan trọng chiến tranh chống lại công từ chối dịch vụ Với kỹ thuật này, người ta cố tình làm hại nhóm tin tặc lập trình nhiều máy tính để đưa dịch vụ giả ban đầu yêu cầu sử dụng địa IP ngẫu nhiên Từ kết yêu cầu truy cập dẫn đến server ban đầu trả lời bắt tay, trả lời trực tiếp đến địa giả mà không đáp ứng Server giữ kết nối 60 120 giây, điều mô tả khoảng thời gian người dùng hợp lệ không cho phép truy cập server khả kết nối lớn Trong hình thức giải pháp đến vấn đề này,bạn dùng tùy chọn kết nối Max để giới hạn kết nối HTTP bạn cho phép người dùng bên truy cập Web server bạn Thêm nữa, bạn định rõ tốc độ kết nối Max thấp, bạn phủ nhận vài úng lụt kết nối giả, cho phép vài người dùng hợp lệ với tới Web server tổ chức bạn SVTH: Phạm Công Thắng_CCVT06B 31 Giải pháp an ninh mạng quản lý mạng truyền tải IP Khoảng trống xem xét Trong định tuyến tường lửa sử dụng để ngăn cản không chứng thực truy cập đến mạng máy chủ, chúng không bảo đảm an ninh kết nối truyền thông máy khách server an ninh liệu vận chuyển Để giành an ninh này, bạn phải sử dụng vài loại chứng thực mã hóa Ví dụ, sử dụng Web browser,bạn nên xem xét sử dụng hai quan hệ giao thức Internet, SSL(Secure Sockets Layer) phát triển Netscape S-HTTP(Secure Hypertext Transfer Protocol) phát triển Enterprise Intergration Technologies, giấy chứng nhận số sử dụng từ vài tổ chức.Vài trợ kỹ thuật mật mã cũ sử dụng khóa mật mã công cộng cho chứng nhận số cho phép cung cấp chứng thực SVTH: Phạm Công Thắng_CCVT06B 32 Giải pháp an ninh mạng quản lý mạng truyền tải IP KẾT LUẬN Ngày truyền dẫn âm hình ảnh đòi hỏi thời gian thực, thoại fax số, truyền qua mạng Internet Intranets Khi tốc độ sử dụng giao thức TCP/IP tăng vai trò máy để vận chuyển loại liệu khác Trong thực tế giao thức TCP/IP giới thiệu nhiều vấn đề cho việc quản lý mạng người quản trị mạng xem xét chúng để quản lý mạng Internet tốt Vì việc sử dụng dịch vụ Internet tăng, việc vận chuyển liệu mạng nhiều đòi hỏi phải tăng thêm trạm chuyển tiếp để dễ dàng cho việc quản lý mạng SVTH: Phạm Công Thắng_CCVT06B 33 ... 12 Giải pháp an ninh mạng quản lý mạng truyền tải IP CHƯƠNG AN NINH MẠNG TCP /IP 2.1 AN NINH ĐỊNH TUYẾN Một định tuyến mô tả phần hầu hết loại mạng thiết bị truyền thông sử dụng để truyền liệu mạng. .. viên quản lý mạng cục (mạng LAN), nhà quản lý mạng cần phải quan tâm đến vấn đề an ninh mạng 1.2.1 Tổ chức OSI quản lý mạng Dựa sở trước đó, chia nhỏ công việc liên quan đến quản lý chức mạng Trong. .. cố Quản lý hiệu suất / tốc độ tăng trưởng Quản lý an ninh / truy cập Quản lý tài khoản / chi phí Bảng 1.2 Tổ chức OSI quản lý mạng SVTH: Phạm Công Thắng_CCVT06B Giải pháp an ninh mạng quản lý mạng