Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 121 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
121
Dung lượng
1,81 MB
Nội dung
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN KHOA ĐIỆN-ĐIỆN TỬ BÀI GIẢNG MẠNG THÔNG TIN Hưng Yên 2015 (Tài liệu lưu hành nội bộ) KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Chƣơng CÁC KHÁI NIỆM CƠ BẢN VỀ MẠNG THÔNG TIN 1.1 TỔNG QUAN VỀ MẠNG THÔNG TIN Nội dung chƣơng đƣợc trình bày theo mục đƣợc xếp theo trình, cụ thể: Thông tin truyền thông vấn vấn đề đƣợc xã hội quan tâm kinh tế mới, kinh tế thông tin, kinh tế trí thức, kinh tế học hỏi kinh tế số; trang bị nhìn tổng quát mạng số liệu; tổ chức mạng truyền số liệu đại, kỹ thuật đƣợc dùng truyền số liệu vấn đề chuẩn hóa mô hình tham chiếu mạng 1.1.1 Thông tin truyền thông Thông tin liên lạc đóng vai trò quang trọng sống, hầu hết gắn liền với vài dạng thông tin Các dạng trao đổi tin nhƣ: đàm thoại ngƣời với ngƣời, đọc sách, gửi nhận thƣ, nói chuyện qua điện thoại, xem phim hay truyền hình, xem triển lãm tranh , tham dự diễn đàn Có hàng nghìn ví dụ khác thông tin liên lạc, gia công chế biến để truyền thông tin số liệu phần đặc biệt lĩnh vực thông tin Máy tính A Máy tính B Thông tin user đến user Thông tin máy tính đến máy tính AP AP Hệ thống phục truyền tin Hệ thống phục vụ phục truyền tin Thông tin máy tính đến mạng Mạng truyền số liệu Hình 1.1 Một hệ thống thông tin đây: AP- Applicayion process- Quá trình ứng dụng Từ ví dụ nhận thấy hệ thống truyền tin có đặc trƣng riêng nhƣng có số đặc tính chung cho tất hệ thống Đặc trƣng chung có tính nguyên lý tất hệ thống truyền tin nhằm mục đích chuyển tải thông tin từ điểm đến điểm khác Trong hệ thống truyền số liệu, thƣờng gọi thông tin liệu hay thông điệp Thông điệp có nhiều dạng khác nhau, để truyền thông điệp từ điểm đến điểm khác cần phải có tham gia thành phần hệ thống: nguồn TS NGUYỄN VĂN VINH -3- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN tin nơi phát sinh chuyển thông điệp lên môi trƣờng truyền; môi trƣờng truyền phƣơng tiện mang thông điệp tới đích thu Các phần tử yêu cầu tối thiểu trình truyền tin Nếu thành phần không tồn tại, truyền tin xảy Một hệ thống truyền tin thông thƣờng đƣợc miêu tả hình 1.1 Các thành phần xuất dƣới dạng khác tuỳ thuộc vào hệ thống Khi xây dựng thành phần hệ thống truyền tin, cần phải xác định số yếu tố liên quan đến phẩm chất hoạt động Để truyền tin hiệu chủ để phải hiểu đƣợc thông điệp Nơi thu nhận thông điệp phải có khả dịch thông điệp cách xác Điều hiển nhiên giao tiếp hàng ngày dùng từ mà ngƣời ta hiểu hiệu thông tin không đạt yêu cầu Tƣơng tự, máy tính mong muốn thông tin đến với tốc độ định dạng mã nhƣng thông tin lại đến với tốc độ khác với dạng mã khác rõ ràng đạt đƣợc hiệu truyền Các đặc trƣng toàn cục hệ thống truyền đƣợc xác định bị giới hạn thuộc tính riêng nguồn tin, môi trƣờng truyền đích thu Nhìn chung, dạng thông tin cần truyền định kiểu nguồn tin, môi trƣờng đích thu Trong hệ thống truyền, tƣợng nhiễu có thề xảy tiến trình truyền thông điệp bị ngắt quãng Bất kỳ xâm nhập không mong muốn vào tín hiệu bị gọi nhiễu Có nhiều nguồn nhiễu nhiều dạng nhiễu khác Hiểu biết đƣợc nguyên tắc truyền tin giúp dễ dàng tiếp cận lĩnh vực đặc biệt hấp dẫn thông tin số liệu.Thông tin số liệu liên quan đến tổ hợp nguồn tin, môi trƣờng máy thu kiểu mạng truyền số liệu khác 1.1.2 Các dạng thông tin xử lý thông tin Tất mà ngƣời muốn trao đổi với đƣợc hiểu thông tin thông tin nguyên thuỷ đƣợc gia công chế biến để truyền không gian đƣợc hiểu tín hiệu Tuỳ theo việc sử dụng đƣờng truyền, tín hiệu tạm chia tín hiệu thành hai dạng: tín hiệu điện-từ tín hiệu điện từ Việc gia công tín hiệu cho phù hợp với mục đích phù hợp với đƣờng truyền vật lý đƣợc gọi xử lý tín hiệu Ngày với phát triển công nghệ tin học tạo công nghệ truyền số liệu Máy tính với tính vô to lớn trở thành hạt nhân việc xử lý thông tin, điều khiển trình truy nhập số liệu, máy tính hệ thống thông tin tạo thành hệ thống truyền số liệu Có nguồn thông tin thông tin tƣơng tự thông tin số Trong nguồn thông tin tƣơng tự liên tục theo thay đổi giá trị vật lý thể thông tin với đặc tính chất TS NGUYỄN VĂN VINH -4- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN lƣợng nhƣ tiếng nói, tín hiệu hình ảnh , nguồn thông tin số tín hiệu gián đoạn thể thông tin nhóm giá trị gián đoạn xác định đặc tính chất lƣợng quan hệ với thời gian nhƣ tín hiệu số liệu Thông tin số có nhiều ƣu điểm so với thông tin tƣơng tự nhƣ : thông tin số có nhiều khả chống nhiễu tốt có lặp để tái tạo lại tín hiệu, cung cấp chất lƣợng truyền dẫn tốt với khoảng cách, kết hợp đƣợc nguồn dịch vụ có, tạo đƣợc tổ hợp truyền dẫn số tổng đài số Những phần tử bán dẫn dùng truyền dẫn số mạch tổ hợp đƣợc sản xuất hàng loạt, mạng liên lạc trở thành mạng thông minh dễ chuyển đổi tốc độ cho loại dịch vụ khác thay đổi thủ tục, xử lý tín hiệu số (DSP) chuyển đổi phƣơng tiện truyền dẫn Hệ thống thông tin số cho phép thông tin điều khiển đƣợc cài đặt vào tách dòng thông tin thực cách độc lập với với chất phƣơng tiện truyền tin ( cáp đồng trục, cáp sợi quang, vi ba, vệ tinh ), Vì thiết bị báo hiệu thiết kế riêng biệt với hệ thống truyền dẫn Chức điều khiển thay đổi mà không phụ thuộc vào hệ thống truyền dẫn, ngƣợc lại hệ thống nâng cấp không ảnh hƣởng tới chức điều khiển đầu đƣờng truyền 1.2 Khái quát mạng truyền số liệu Giao tiếp DTE-DCE DTE Giao tiếp DTE-DCE DCE Kênh truyền tin Hệ thống truyền (nhận) tin DCE DTE Hệ thống nhận (truyền) tin Hình 1.2 Mô hình mạng truyền số liệu đại Ngày với phát triển kỹ thuật công nghệ tạo bƣớc tiến dài lĩnh vực truyền số liệu Sự kết hợp phần cứng, giao thức truyền thông thuật toán tạo hệ thống truyền số liệu đại, ký thuật sở đƣợc dùng nhƣng chúng đƣợc xử lý tinh vi Về hệ thống truyền số liệu đại mô tả nhƣ hình 1.2 TS NGUYỄN VĂN VINH -5- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN a DTE (Data Terminal Equipment – Thiết bị đầu cuối liệu) Đây thiết bị lƣu trữ xử lý thông tin Trong hệ thống truyền số liệu đại thi DTE thƣờng máy tính máy Fax trạm cuối (terminal) Nhƣ tất ứng dụng ngƣời sử dụng (chƣơng trình, liệu) nằm DTE Chức DTE thƣờng lƣu trữ phần mềm ứng dụng , đóng gói liệu gửi DCE nhận gói liệu từ DCE theo giao thức (protocol) xác định DTE trao đổi với DCE thông qua chuẩn giao tiếp Nhƣ mạng truyền số liệu để nối DTE lại cho phép phân chia tài nguyên, trao đổi liệu lƣu trữ thông tin dùng chung b DCE (Data Circuit terminal Equipment- Thiết bị cuối kênh liệu) Đây thuật ngữ dùng để thiết bị dùng để nối DTE với đƣờng (mạng) truyền thông Modem, Multiplexer, Card mạng thiết bị số nhƣ máy tính trƣờng hợp máy tính nút mạng DTE đƣợc nối với mạng qua nút mạng DCE đƣợc cài đặt bên DTE đứng riêng nhƣ thiết bị độc lập Trong thiết bị DCE thƣờng có phần mềm đƣợc ghi vào nhớ ROM phần mềm phần cứng kết hợp với để thực nhiệm vụ chuyển đổi tín hiệu biểu diễn liệu ngƣời dùng thành dạng chấp nhận đƣợc đƣờng truyền Giữa thiết bị DTE việc trao đổi liệu phải tuân thủ theo chuẩn, liệu phải gửi theo Format xác định Thí dụ nhƣ chuẩn trao đổi liệu tầng mô hình lớp HDLC (High level Data Link Control) Trong máy Fax giao tiếp DTE DCE thiết kế đƣợc tích hợp vào thiết bị, phần mềm điều khiển đƣợc cài đặt ROM c Kênh truyền tin Kênh truyền tin môi trƣờng mà thiết bị DTE trao đổi liệu với phiên làm việc DTE C D Cáp đồng trục E Cáp sợi quang F DTE Hình 1.3 Kênh thông tin đây: C, D-Modem; E, F- Transducer Trong môi trƣờng thực hệ thống đƣợc nối với đoạn cáp đồng trục đoạn cáp sợi quang, modem C để chuyển đổi tín hiệu số sang tín hiệu tƣơng tự để truyền cáp đồng trục modem D lại chuyển tín hiệu thành tín hiệu số qua Tranducer E để chuyển đổi từ tín hiệu điện sang tín hiệu quang để truyền cáp sợi TS NGUYỄN VĂN VINH -6- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN quang cuối Tranducer F lại chuyển tín hiệu quang thành tín hiệu điện để tới DTE 1.4 Mạng truyền số liệu Mạng truyền số liệu bao gồm hai hay nhiều hệ thống truyền (nhận) tin nhƣ hình 1.2 đƣợc ghép nối với theo nhiều hình thức nhƣ phân cấp phân chia thành trung tâm xử lý trao đổi tin với chức riêng Mạng truyền số liệu hệ thống nhằm kết nối máy tính lại với nhau, thông tin chúng đƣợc thực giao thức đƣợc chuẩn hoá, có nghĩa phần mềm máy tính khác nhau giải công việc trao đổi thông tin với Các ứng dụng tin học ngày rộng rãi đẩy hƣớng ứng dụng mạng xử lý số liệu, mạng đấu nối có cấu trúc tuyến tính cấu trúc vòng cấu trúc hình Cấu trúc mạng phải có khả tiếp nhận đặc thù khác đơn vị tức mạng phải có tính đa năng, tính tƣơng thích Mạng số liệu đƣợc thiết kế nhằm mục đích nối nhiều thiết bị đầu cuối với Để truyền số liệu ta dùng mạng điện thoại dùng đƣờng truyền riêng có tốc độ cao Dịch vụ truyền số lỉệu kênh thoại dịch vụ việc truyền số liệu Trên mạng có nhiều máy tính chủng loại khác loại đƣợc ghép nối lại với nhau, cần giải vấn đề phân chia tài nguyên Để máy tính đầu cuối làm việc đƣợc với cần phải có protocol định Dạng thức phƣơng tiện truyền số liệu đƣợc qui định chất tự nhiên ứng dụng, số lƣợng máy tính liên quan khoảng cách vật lý chúng Các dạng truyền số liệu có dạng sau: a Nếu có hai máy tính hai đặt văn phòng, phƣơng tiện truyền số liệu gồm liên kết điểm nối đơn giản, hình 1.4 Tuy nhiên, chúng liên kết vị trí khác thành phố hay quốc gia phải cần đến phƣơng tiện truyền tải công cộng Mạng điên thoại công cộng đƣợc dùng nhiều nhất, trƣờng hợp cần đến thích nghi gọi Modem Sắp xếp truyền theo dạng đƣợc trình bày hình1.4 TS NGUYỄN VĂN VINH -7- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN AP AP Hệ thống phục truyền tin Hệ thống phục vụ phục truyền tin PSTN Modem Modem Hình 1.4 Truyền số liệu nối qua mạng điện thoại công cộng dùng modem b Khi cần nhiều máy tính ứng dụng, mạng chuyển mạch đƣợc dùng cho phép tất máy tính liên lạc với vào thời điểm Nếu tất máy tính nằm nhà , xây dựng mạng riêng Một mạng nhƣ đƣợc xem nhƣ mạng cục LAN (Local Area Network) Nhiều chuẩn mạng LAN thiết bị liên kết đƣợc tạo cho ứng dụng thực tế Hai hệ thống mạng Lan đƣợc trình bày hình 1.5 AP AP Hệ thống phục truyền tin Hệ thống phục vụ phục truyền tin Hình 1.5 Các hệ thống LAN (liên kết LAN qua backbone văn phòng) Khi máy tính đƣợc đặt nhiều nơi cách xa cần liên lạc với nhau, phải dùng đến phƣơng tiện công cộng Việc liên kết máy tính tạo nên mạng rộng lớn, đƣợc gọi mạng diện rộng WAN (Wide Area Network) Kiểu mạng WAN đƣợc dùng phụ thuộc vào tƣờng ứng dụng tự nhiên Ví dụ tất máy tính thuộc công ty có yêu cầu truyền số lƣợng liệu quan trọng điểm , giải pháp đơn giản cho vắn đề thuê TS NGUYỄN VĂN VINH -8- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN đƣờng truyền từ nhà cung cấp phƣơng tiện truyền dẫn xây dựng hệ thống chuyển mạch riêng đIểm để tạo thành mạng tƣ nhân Các giải pháp thuê kênh hiệu công ty lớn có tải hữu ích để cân giá thuê kênh Trong hầu hết trƣờng hợp khác cần đến mạng truyền dẫn công cộng Bên cạnh việc cung cấp dịch vụ điện thoại công cộng, ngày hầu hết nhà cung cấp dịch vụ truyền dẫn cung cấp dịch vụ chuyển mạch số liệu mang tính công cộng Thật mạng tƣơng tự nhƣ mạng PSTN đƣợc liên kết quốc tế, khác chỗ đƣợc thiết kế chuyên cho truyền số liệu Nhƣ ứng dụng liên quan đến máy tính đƣợc phục vụ mạng số liệu chuyển mạch công cộng PSDN Ngoài chuyển đổi mạng PSTN có sẵn cho truyền đƣợc số liệu mà không cần dùng modem Các mạng hoạt động chế độ số (digital) hoàn toàn đƣợc gọi mạng số liên kết đa dịch vụ ISDN 1.4.1 Phân loại mạng truyền số liệu Mạng truyền số liệu đa dạng chủng loại nhƣ số lƣợng , có nhiều cách phân chia mạng số liệu, bao gồm: a Phân loại theo địa lý: Mạng nội bộ, Mạng diện rộng Mạng toàn cầu b Phân loại theo tính chất sử dụng mạng: Mạng truyền số liệu kí sinh Mạng truyền số liệu chuyên dụng c Phân loại theo topo mạng: Mạng tuyến tính, Mạng hình Mạng vòng d Phân loại theo kỹ thuật: Mạng chuyển mạch kênh, Mạng chuyển mạch gói Mạng chuyển mạch thông báo 1.4.2 Kỹ thuật chuyển mạch node mạng Để thực việc liên lạc giữ thuê bao ngƣời ta tạo mạng liên lạc với NODE Các thuê bao đƣợc nối đến node thuê bao đƣợc nối vào mạng thông qua Node Số lƣợng node phụ thuộc vào độ lớn mạng, nhƣ thuê bao chị cần cổng I/O Mỗi mạng bao gồm Node , node đƣợc nối với , số liệu truyền từ ngƣời gửi đến ngƣời nhận theo đƣờng thông qua mạng, Node đƣợc nối với theo hƣớng truyền, số liệu đƣợc định đƣờng từ Node sang node sang node khác a Kỹ thuật chuyển mạch kênh Liên lạc thông qua chuyển mạch kênh đặc trƣng việc cung cấp đƣờng nối cố định thuê bao Sự liên lạc qua mạng chuyển mạch kênh bao gồm giai đoạn : xác lập, truyền số liệu giải phóng mạch TS NGUYỄN VĂN VINH -9- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN * Xác lập mạch Trƣớc truyền số liệu , đƣờng truyền cần đƣợc thiết lập, Từ thuê bao truy nhập vào node, node cần phải tìm nhánh qua số node khác để đến đƣợc thuê bao bị gọi việc tìm kiếm dựa vào thông tin tìm đƣờng thông số khác, cuối node thuộc thuê bao gọi bị gọi đƣợc nối với cần kiểm tra xem node thuộc thuê bao bị gọi có bận không Nhƣ đƣờng nối từ thuê bao gọi đến thuê bao bị gọi đƣợc thiết lập * Truyền số liệu Thông tin bắt đầu truyền từ điểm A đến điểm E dạng số tƣơng tự qua điểm nối mạch bên node, nối mạch cho phép truyền chiều toàn phần liệu truyền chiều * Giải phóng mạch Sau hoàn thành truyền, có tín hiệu báo thuê bao gọi (A) bị gọi (E) báo cho node trung gian giải phóng nối mạch, đƣờng nối từ A đến E không Đƣờng nối đƣợc thiết lập trƣớc truyền liệu nhƣ dung lƣợng kênh cần phải dự trữ cho cặp thuê bao node phải có lƣợng chuyển mạch tƣơng ứng bên để bảo đảm bảo đƣợc yêu cầu nối mạch Trong chuyển mạch số lƣợng kênh nối phải bảo đảm bảo suốt trình yêu cầu nối cho dù có hay liệu truyền qua Tuy nhiên đƣờng nối thuê bao đƣợc nối liệu đƣợc truyền đƣờng cố định b Kỹ thuật chuyển mạch thông báo Chuyển mạch kênh có nhƣợc điểm: - thuê bao cần phải hoạt động thời gian truyền - Những nguồn cung cấp phải ổn định cung cấp qua mạng thuê bao Hiện điện báo, thƣ điện tử, Files máy tính đƣợc gọi thông báo đƣợc truyền qua mạng nhƣ trao đổi liệu số đƣợc trao đổi chiều thuê bao Một loại mạch để phục vụ trao đổi thông tin đƣợc gọi chuyển mạch thông báo Với chuyển mạch thông báo không tồn thiết lập cung cấp lộ trình cố định thuê bao, thuê bao muốn truyền thông báo, gán địa ngƣời nhận vào thông báo Thông báo đƣợc chuyển qua mạng từ node qua node khác.Tại node thông báo đƣợc nhận tạm giữ chuyển sang node khác Các node thông thƣờng TS NGUYỄN VĂN VINH -10- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN máy tính giữ thông báo đệm Thời gian trễ đệm bao gồm thời gian nhận thông báo vào node thời gian xếp hàng chờ để đến lƣợt đƣợc chuyển đến node sau Hệ thống chuyển mạch thông báo hệ thống giữ chuyển tiếp c Chuyển mạch gói Chuyển mạch gói gần giống chuyển mạch thông báo Chỗ khác độ dài khối liệu đƣa vào mạng đƣợc chế thành gói đƣợc gửi thời điểm, gói bao gồm liệu với địa thông số cần thiết, gói file Trong mạng chuyển mạch gói có cách truyền gói đƣợc dùng: Datagram Virtual Circuit DATAGRAM: gói độc lập giống nhƣ chuyển mạch thông báo, thông báo độc lập Cách truyền nhƣ vậy, gói độc lập đƣờng không giống gọi DATAGRAM (DG) MẠCH ẢO (Virtual Circuit): Trong mạch ảo nối logic mạch đƣợc thiết lập trƣớc truyền gói, gói gồm nhận dạng VC liệu Mỗi Node với đƣờng định biết đƣợc cần phải truyền gói trực tiếp đến đâu không cần phải tìm đƣờng Một trạm chấm dứt kết nối cách truyền gói CLEAR REQUEST Cùng thời gian trạm có nhiều VC đến trạm khác có nhiều VC đến nhiều trạm khác Nhƣ tính chất VC đƣờng nối logic trạm đƣợc thiết lập trƣớc truyền liệu , điều nghĩa có đƣờng cụ thể nhƣ chuyển mạch kênh Gói đƣợc giữ node hàng để đƣợc đƣa đƣờng nối Chỗ khác với DATAGRAM VC NODE không cần tìm đƣờng cho gói mà làm lần cho lần nối Chú ý: Nếu Node bị hƣ tất VC qua Node bỏ, với DG node bị hƣ gói tìm đƣờng khác Những điều yếu mạng chuyển mạch gói là: Routing: Chức PS nhận gói từ trạm nguồn cung cấp đến ngƣời nhận, để hoàn thành việc đó, nhiều đƣờng thông qua mạng đƣợc chọn, thông thƣờng khả cho phép nhiều Điều có nghĩa đƣờng đƣợc chọn cần phải đảm bảo số yêu cầu cần thiết chức đƣờng truyền nhƣ xác , đơn giản, ổn định hợp lý tối ƣu Sự chọn đƣờng dựa vào tiêu chuẩn đơn giản chọn đƣờng ngắn ( đƣờng với TS NGUYỄN VĂN VINH -11- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN nhằm mục đích phá hoại Các hành động vi phạm thụ động thƣờng khó phát nhƣng ngăn chặn hiệu Trái lại vi phạm chủ động dễ phát nhƣng lại khó ngăn chặn 4.1.2 Các đặc trưng kỹ thuật an toàn mạng Xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể ngƣời sử dụng, chƣơng trình máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đƣợc đánh giá quan trọng hoạt động phƣơng thức bảo mật Một hệ thống thông thƣờng phải thực kiểm tra tính xác thực thực thể trƣớc thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phƣơng thức bảo mật dựa vào mô hình sau: • Đối tƣợng cần kiểm tra cần phải cung cấp thông tin trƣớc, ví dụ nhƣ Password, mã số thông số cá nhân PIN (Personal Information Number) • Kiểm tra dựa vào mô hình thông tin có, đối tƣợng kiểm tra cần phải thể thông tin mà chúng sở hữu, ví dụ nhƣ Private Key, số thẻ tín dụng • Kiểm tra dựa vào mô hình thông tin xác định tính nhất, đối tƣợng kiểm tra cần phải có thông tin để định danh tính ví dụ nhƣ thông qua giọng nói, dấu vân tay, chữ ký Có thể phân loại bảo mật VPN theo cách sau: mật truyền thống hay mật lần; xác thực thông qua giao thức (PAP, CHAP, RADIUS…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc ) Tính khả dụng (Availability): Tính khả dụng đặc tính mà thông tin mạng đƣợc thực thể hợp pháp tiếp cận sử dụng theo yêu cầu, cần thiết nào, hoàn cảnh Tính khả dụng nói chung dùng tỷ lệ thời gian hệ thống đƣợc sử dụng bình thƣờng với thời gian trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau: Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cƣỡng bức), khống chế lƣu lƣợng (chống tắc nghẽn ), khống chế chọn đƣờng (cho phép chọn đƣờng nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống đƣợc lƣu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tƣơng ứng) Tính bảo mật (Confidentialy): Tính bảo mật đặc tính tin tức không bị tiết lộ cho thực thể hay trình không đƣợc uỷ quyền biết không đối tƣợng lợi dụng Thông tin cho phép thực thể đƣợc uỷ quyền sử dụng Kỹ thuật bảo mật thƣờng phòng ngừa dò la thu thập (làm cho đối thủ dò la thu thập đƣợc thông tin), phòng ngừa xạ (phòng ngừa tin tức bị xạ nhiều đƣờng khác nhau, tăng cƣờng bảo mật thông tin (dƣới khống chế khoá mật mã), bảo mật vật lý (sử dụng phƣơng pháp vật lý để đảm bảo tin tức không bị tiết lộ) Tính toàn vẹn (Integrity): Là đặc tính thông tin mạng chƣa đƣợc uỷ quyền tiến hành biến đổi đƣợc, tức thông tin mạng lƣu giữ trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào TS NGUYỄN VĂN VINH -108- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN cách ngẫu nhiên cố ý phá hoại khác Những nhân tố chủ yếu ảnh hƣởng tới toàn vẹn thông tin mạng gồm: cố thiết bị, sai mã, bị tác động ngƣời, virus máy tính… Một số phƣơng pháp bảo đảm tính toàn vẹn thông tin mạng: - Giao thức an toàn kiểm tra thông tin bị chép, sửa đổi hay chép Nừu phát thông tin bị vô hiệu hoá - Phƣơng pháp phát sai sửa sai Phƣơng pháp sửa sai mã hoá đơn giản thƣờng dùng phép kiểm tra chẵn - lẻ - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc cản trở truyền tin - Chữ ký điện tử: bảo đảm tính xác thực thông tin - Yêu cầu quan quản lý trung gian chứng minh tính chân thực thông tin Tính khống chế (Accountlability): Là đặc tính lực khống chế truyền bá nội dung vốn có tin tức mạng Tính chối cãi (Nonreputation): Trong trình giao lƣu tin tức mạng, xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ phủ nhận thao tác cam kết đƣợc thực 4.1.3 Các lỗ hổng điểm yếu mạng Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngƣng trệ dịch vụ, thêm quyền ngƣời sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn dịch vụ nhƣ Sendmail, Web, Ftp hệ điều hành mạng nhƣ Windows NT, Windows 95, UNIX; ứng dụng Các loại lỗ hổng bảo mật hệ thống đƣợc chia nhƣ sau: - Lỗ hổng loại C: cho phép thực phƣơng thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, ảnh hƣởng chất lƣợng dịch vụ, làm ngƣng trệ, gián đoạn hệ thống, không phá hỏng liệu chiếm quyền truy nhập - Lổ hổng loại B: cho phép ngƣời sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng thƣờng có ứng dụng hệ thống, dẫn đến lộ thông tin yêu cầu bảo mật - Lỗ hổng loại A: Các lỗ hổng cho phép ngƣời sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy toàn hệ thống Các phƣơng thức công mạng: Kẻ phá hoại lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi lỗ hổng Để xâm nhập vào hệ thống, kẻ phá hoại tìm lỗ hổng hệ thống, từ sách bảo mật, sử dụng công cụ dò xét (nhƣ SATAN, ISS) để đạt đƣợc quyền truy nhập Sau xâm nhập, kẻ phá hoại tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt đƣợc điểm yếu thực hành động phá hoại tinh vi TS NGUYỄN VĂN VINH -109- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 4.1.4 Các biện pháp phát hệ thống bị công Không có hệ thống đảm bảo an toàn tuyệt đối, dịch vụ có lỗ hổng bảo mật tiềm tàng Ngƣời quản trị hệ thống nghiên cứu, xác định lỗ hổng bảo mật mà phải thực biện pháp kiểm tra hệ thống có dấu hiệu công hay không Một số biện cụ thể: Kiểm tra dấu hiệu hệ thống bị công: Hệ thống thƣờng bị treo bị Crash thông báo lỗi không rõ ràng Khó xác định nguyên nhân thiếu thông tin liên quan Trƣớc tiên, xác định nguyên nhân có phải phần cứng hay không, nghĩ đến khả máy bị công Kiểm tra tài khoản ngƣời dùng lạ, ID tài khoản không Kiểm tra xuất tập tin lạ Ngƣời quản trị hệ thống nên có thói quen đặt tên tập theo mẫu định để dễ dàng phát tập tin lạ Dùng lệnh Ls-l để kiểm tra thuộc tính Setuid Setgid tập tinh đáng ý, đặc biệt tập tin Scripts Kiểm tra thời gian thay đổi hệ thống, đặc biệt chƣơng trình Login, Sh Scripts khởi động Kiểm tra hiệu hệ thống: Sử dụng tiện ích theo dõi tài nguyên tiến trình hoạt động hệ thống nhƣ Ps Top Kiểm tra hoạt động dịch vụ hệ thống cung cấp: Một mục đích công làm cho tê liệt hệ thống (hình thức công DoS) Sử dụng lệnh nhƣ Ps, Pstat, tiện ích mạng để phát nguyên nhân hệ thống Kiểm tra truy nhập hệ thống Account thông thƣờng, đề phòng trƣờng hợp Account bị truy nhập trái phép thay đổi quyền hạn mà ngƣời sử dụng hợp pháp không kiểm soát đƣợc Kiểm tra file liên quan đến cấu hình mạng dịch vụ nhƣ /etc/inetd.conf; bỏ dịch vụ không cần thiết; dịch vụ không cần thiết chạy dƣới quyền Root không chạy quyền yếu hơn; ví dụ Fingerd chạy với quyền Nobody Kiểm tra phiên Sendmail, /bin/mail, ftp, fingerd; tham gia nhóm tin bảo mật để có thông tin lỗ hổng dịch vụ sử dụng Các biện pháp kết hợp với tạo nên sách bảo mật hệ thống Chi tiết phƣơng thức kế hoạch xây dựng sách bảo mật đƣợc trình bày phần ba- xây dựng sách bảo mật 4.2 MỘT SỐ PHƢƠNG THỨC TẤN CÔNG MẠNG PHỔ BIẾN 4.2.1 Scanner Kẻ phá hoạt sử dụng chƣơng trình Scanner tự động rà soát phát điểm yếu lỗ hổng bảo mật Server xa Scanner chƣơng trình trạm làm việc cục trạm xa Các chƣơng trình Scanner rà soát phát số hiệu cổng (Port) sử dụng giao thức TCP/UDP tầng vận chuyển phát dịch vụ sử dụng hệ thống đó, ghi lại đáp ứng (Response) hệ thống xa tƣơng ứng với TS NGUYỄN VĂN VINH -110- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN dịch vụ mà phát Dựa vào thông tin này, kẻ công tim điểm yếu hệ thống Chƣơng trình Scanner hoạt động đƣợc môi trƣờng TCP/IP, hệ điều hành UNIX, máy tính tƣơng thích IBM, dòng máy Macintosh Các chƣơng trình Scanner cung cấp thông tin khả bảo mật yếu hệ thống mạng Những thông tin hữu ích cần thiết ngƣời quản trị mạng, nhƣng nguy hiểm kẻ phá hoại có thông tin 4.2.2 Bẻ khoá (Password Cracker) Chƣơng trình bẻ khoá Password chƣơng trình có khả giải mã mật đƣợc mã hoá vô hiệu hoá chức bảo vệ mật hệ thống Hầu hết việc mã hoá mật đƣợc tạo từ phƣơng thức mã hoá Các chƣơng trình mã hoá sử dụng thuật toán mã hoá để mã hoá mật khẩu.Có thể thay phá khoá hệ thống phần tán, đơn giản so với việc phá khoá Server cục Một danh sách từ đƣợc tạo thực mã hoá từ Sau lần mã hoá, so sánh với mật (Password) mã hoá cần phá Nếu không trùng hợp, trình lại quay lại Phƣơng thức bẻ khoá gọi Bruce-Force Phƣơng pháp không chuẩn tắc nhƣng thực nhanh dựa vào nguyên tắc đặt mật ngƣời sử dụng thƣơng tuân theo số qui tắc để thuận tiện sử dụng Thông thƣờng chƣơng trình phá khoá thƣờng kết hợp số thông tin khác trình dò mật nhƣ: thông tin tập tin /etc/passwd, từ điển sử dụng từ lặp từ liệt kê tuần tự, chuyển đổi cách phát âm từ Biện pháp khắc phục cần xây dựng sách bảo vệ mật đắn 4.2.3 Trojans Một chƣơng trình Trojan chạy không hợp lệ hệ thống với vai trò nhƣ chƣơng trình hợp pháp Nó thực chức không hợp pháp Thông thƣờng, Trojans chạy đƣợc chƣơng trình hợp pháp bị thay đổi mã mã bất hợp pháp Virus loại điển hình chƣơng trình Trojans, chƣơng trình virus che dấu đoạn mã chƣơng trình sử dụng hợp pháp Khi chƣơng trình hoạt động đoạn mã ẩn thực số chức mà ngƣời sử dụng Trojan có nhiều loại khác Có thể chƣơng trình thực chức ẩn dấu, tiện ích tạo mục cho file thƣc mục, đoạn mã phá khoá, cố thể chƣơng trình xử lý văn tiện ích mạng Trojan lây lan nhiều môi trƣờng hệ điều hành khác Đặc biệt thƣờng lây lan qua số dịch vụ phổ biến nhƣ Mail, FTP qua tiện ích, chƣơng trình miễn phí mạng Internet Hầu hết chƣơng trình FTP Server sử dụng phiên cũ, có nguy tiềm tàng lây lan Trojans Đánh giá mức độ phá hoại Trojans khó khăn Trong số trƣờng hợp, làm ảnh hƣơng đến truy nhập ngwời sử dụng Nghiêm trọng hơn, kẻ tán công lỗ hổng bảo mật mạng Khi kẻ công chiếm đƣợc quyền Root hệ thống, phá huỷ toàn phần hệ thống Chúng sử dụng quyền Root để thay đổi logfile, cài đặt chƣơng trình Trojans khác mà ngƣời quản trị TS NGUYỄN VĂN VINH -111- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN phát đƣợc ngƣời quản trị hệ thống cách cài đặt lại toàn hệ thống 4.2.4 Sniffer Sniffer theo nghĩa đen “đánh hơi” “ngửi” Là công cụ (có thể phần cứng phần mềm) "tóm bắt" thông tin lƣu chuyển mạng để "đánh hơi" thông tin có giá trị trao đổi mạng Hoạt động Sniffer giống nhƣ chƣơng trình "tóm bắt" thông tin gõ từ bàn phím (Key Capture) Tuy nhiên tiện ích Key Capture thực trạm làm việc cụ thể, Sniffer bắt đƣợc thông tin trao đổi nhiều trạm làm việc với Các chƣơng trình Sniffer thiết bị Sniffer ”ngửi” giao thức TCP, UDP, IPX tầng mạng Vì tóm bắt gói tin IP Datagram Ethernet Packet Mặt khác, giao thức tầng IP đƣợc định nghĩa tƣờng minh cấu trúc trƣờng Header rõ ràng, nên việc giải mã gói tin không khó khăn Mục đích chƣơng trình Sniffer thiết lập chế độ dùng chung (Promiscuous) Card mạng Ethernet, nơi gói tin trao đổi "tóm bắt" gói tin 4.3 BIỆN PHÁP ĐẢM BẢO AN NINH MẠNG Thực tế biện pháp hữu hiệu đảm bảo an toàn tuyệt đối cho mạng Hệ thống bảo vệ dù có chắn đến đâu có lúc bị vô hiệu hoá kẻ phá hoại điêu luyện Có nhiều biện pháp đảm bảo an ninh mạng 4.3.1 Tổng quan bảo vệ thông tin mật mã (Cryptography) Mật mã trình chuyển đối thông tin gốc sang dạng mã hóa (Encryption) Có hai cách tiếp cận để bảo vệ thông tin mật mã: theo đƣờng truyền (Link Oriented Security) từ mútđếnmút (End-to-End) Trong cách thứ nhất, thông tin đƣợc mã hoá để bảo vệ đƣờng truyền nút không quan tâm đến nguồn đích thông tin Ƣu điểm cách bí mật đƣợc luồng thông tin nguồn đích ngăn chặn đƣợc toàn vi phạm nhằm phân tích thông tin mạng Nhƣợc điểm thông tin đƣợc mã hoá đƣờng truyền nên đòi hỏi nút phải đƣợc bảo vệ tốt Ngƣợc lại, cách thứ hai, thông tin đƣợc bảo vệ toàn đƣờng từ nguồn tới đích Thông tin đƣợc mã hoá đƣợc tạo đƣợc giải mã đến đích Ƣu điểm tiếp cận ngƣời sử dụng dùng mà không ảnh hƣởng đến ngƣời sử dụng khác Nhƣợc điểm phƣơng pháp có liệu ngƣời sử dụng đƣợc mã hoá, thông tin điều khiển phải giữ nguyên để xử lý node Giải thuật DES mã hoá khối 64 bits văn gốc thành 64 bits văn mật khoá Khoá gồm 64 bits 56 bits đƣợc dùng mã hoá bits lại đƣợc dùng để kiểm soát lỗi Một khối liệu cần mã hoá phải trải qua trình xử lý: Hoán vị khởi đầu, tính toán phụ thuộc khoá hoán vị đảo ngƣợc hoán vị khởi đầu TS NGUYỄN VĂN VINH -112- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Khóa K Bản rõ Bản mã Mật mã Bản rõ Giải mã ban đầu Hình 4.1 Mô hình mật mã đối xứng Phƣơng pháp sử dụng khoá công khai (Public key): Các phƣơng pháp mật mã dùng khoá cho mã hoá lẫn giải mã đòi hỏi ngƣời gửi ngƣời nhận phải biết khoá giữ bí mật Tồn phƣơng pháp làm để phân phối khoá cách an toàn, đặc biệt môi trƣờng nhiều ngƣời sử dụng Để khắc phục, ngƣời ta thƣờng sử dụng phƣơng pháp mã hoá khoá, khoá công khai để mã hoá mã bí mật để giải mã Mặc dù hai khoá thực thao tác ngƣợc nhƣng suy khoá bí mật từ khoá công khai ngƣợc lại nhờ hàm toán học đặc biệt gọi hàm sập bẫy chiều (trap door one-way functions) Đặc điểm hàm phải biết đƣợc cách xây dựng hàm suy đƣợc nghịch đảo Giải thuật RSA dựa nhận xét sau: phân tích thừa số tích số nguyên tố lớn khó khăn Vì vậy, tích số nguyên tố công khai, số nguyên tố lớn dùng để tạo khoá giải mã mà không sợ bị an toàn Trong giải thuật RSA trạm lựa chọn ngẫu nhiên số nguyên tố lớn p q nhân chúng với để có tích n=pq (p q đƣợc giữ bí mật) Khóa K E Bản rõ Khóa K D Bản mã Mật mã Bản rõ Giải mã ban đầu Hình 4.2 Mô hình mật mã không đối xứng 4.3.2 Firewall Firewall hệ thống dùng để tăng cƣờng khống chế truy xuất, phòng ngừa đột nhập bên vào hệ thống sử dụng tài nguyên mạng cách phi pháp Tất thông tin đến thiết phải qua Firewall chịu kiểm tra tƣờng lửa Nói chung Firewall có chức lớn sau: Lọc gói liệu vào/ra mạng lƣới Quản lý hành vi khai thác vào/ra mạng lƣới Ngăn chặn hành vi Ghi chép nội dung tin tức hoạt động thông qua tƣờng lửa TS NGUYỄN VĂN VINH -113- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Tiến hành đo thử giám sát cảnh báo công mạng lƣới Ƣu điểm nhƣợc điểm tƣờng lửa: Ƣu điểm chủ yếu việc sử dụng Firewall để bảo vệ mạng nội Cho phép ngƣời quản trị mạng xác định điểm khống chế ngăn chặn để phòng ngừa tin tặc, kẻ phá hoại, xâm nhập mạng nội Cấm không cho loại dịch vụ an toàn vào mạng, đồng thời chống trả công kích đến từ đƣờng khác Tính an toàn mạng đƣợc củng cố hệ thống Firewall mà phân bố tất máy chủ mạng Bảo vệ dịch vụ yếu mạng Firewall dễ dàng giám sát tính an toàn mạng phát cảnh bảo Tính an toàn tập trung Firewall giảm vấn đề không gian địa che dấu cấu trúc mạng nội Tăng cƣờng tính bảo mật, nhấn mạnh quyền sở hữu Firewall đƣợc sử dụng để quản lý lƣu lƣợng từ mạng ngoài, xây dựng phƣơng án chống nghẽn Nhƣợc điểm hạn chế dịch vụ có ích, để nâng cao tính an toàn mạng, ngƣời quản trị hạn chế đóng nhiều dịch vụ có ích mạng Không phòng hộ đƣợc công kẻ phá hoại mạng nội bộ, ngăn chăn công thông qua đƣờng khác tƣờng lửa Firewall Internet hoàn toàn phòng ngừa đƣợc phát tán phần mềm tệp nhiễm virus 4.3.3 Các loại Firewall Firewall lọc gói thƣờng định tuyến có lọc Khi nhận gói liệu, định cho phép qua từ chối cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào thông tin Header để đảm bảo trình chuyển phát IP Firewall cổng mạng hai ngăn loại Firewall có hai cửa nối đến mạng khác Ví dụ cửa nối tới mạng bên không tín nhiệm cửa nối tới mạng nội tín nhiệm Đặc điểm lớn Firewall loại gói tin IP bị chặn lại Firewall che chắn (Screening) máy chủ bắt buộc có kết nối tới tất máy chủ bên với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội Firewall che chắn máy chủ định tuyến lọc gói máy chủ kiên cố hợp thành Hệ thống Firewall có cấp an toàn cao so với hệ thống Firewall lọc gói thông thƣờng đảm bảo an toàn tầng mạng (lọc gói) tầng ứng dụng (dịch vụ đại lý) Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng dùng hai định tuyến lọc gói máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an toàn nhất, đảm bảo chức an toàn tầng mạng tầng ứng dụng 4.3.4 Kỹ thuật Fire wall Lọc khung (Frame Filtering): Hoạt động tầng mô hình OSI, lọc, kiểm tra đƣợc mức bit nội dung khung tin (Ethernet/802.3, Token Ring 802.5, FDDI, ) Trong tầng khung liệu không tin cậy bị từ chối trƣớc vào mạng Lọc gói (Packet Filtering): Kiểu Firewall chung kiểu dựa tầng mạng mô hình OSI Lọc gói cho phép hay từ chối gói tin mà nhận đƣợc Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số quy định lọc Packet hay không Các quy tắc lọc Packet dựa vào thông tin Packet Header Nếu quy tắc lọc Packet đƣợc thoả mãn gói tin đƣợc chuyển qua Firewall Nếu không bị bỏ Nhƣ Firewall ngăn cản TS NGUYỄN VĂN VINH -114- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN kết nối vào hệ thống, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Một số Firewall hoạt động tầng mạng (tƣơng tự nhƣ Router) thƣờng cho phép tốc độ xử lý nhanh kiểm tra địa IP nguồn mà không thực lệnh Router, không xác định địa sai hay bị cấm Nó sử dụng địa IP nguồn làm thị, gói tin mang địa nguồn địa giả chiếm đƣợc quyền truy nhập vào hệ thống Tuy nhiên có nhiều biện pháp kỹ thuật đƣợc áp dụng cho việc lọc gói tin nhằm khắc phục nhƣợc điểm trên, trƣờng địa IP đƣợc kiểm tra, có thông tin khác đƣợc kiểm tra với quy tắc đƣợc tạo Firewall, thông tin thời gian truy nhập, giao thức sử dụng, cổng Firewall kiểu Packet Filtering có loại: a Packet filtering Fire wall: Hoạt động tầng mạng mô hình OSI hay tầng IP mô hình TCP/IP Kiểu Firewall không quản lý đƣợc giao dịch mạng b Circuit Level Gateway: Hoạt động tầng phiên (Session) mô hình OSI hay tầng TCP mô hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch hệ thống ngƣời dùng cuối (VD: kiểm tra ID, mật ) loại Firewall cho phép lƣu vết trạng thái ngƣời truy nhập 4.3.5 Kỹ thuật Proxy Là hệ thống Firewall thực kết nối thay cho kết nối trực tiếp từ máy khách yêu cầu.Proxy hoạt động dựa phần mềm Khi kết nối từ ngƣời sử dụng đến mạng sử dụng Proxy kết nối bị chặn lại, sau Proxy kiểm tra trƣờng có liên quan đến yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa trƣờng thông tin đáp ứng đƣợc quy tắc đặt ra, tạo cầu kết nối hai node với Ƣu điểm kiểu Firewall loại chức chuyển tiếp gói tin IP, điểu khiển cách chi tiết kết nối thông qua Firewall Cung cấp nhiều công cụ cho phép ghi lại trình kết nối Các gói tin chuyển qua Firewall đƣợc kiểm tra kỹ lƣỡng với quy tắc Firewall, điều phải trả giá cho tốc độ xử lý Khi máy chủ nhận gói tin từ mạng chuyển chúng vào mạng trong, tạo lỗ hổng cho kẻ phá hoại (Hacker) xâm nhập từ mạng vào mạng Nhƣợc điểm kiểu Firewall hoạt động dựa trình ứng dụng uỷ quyền (Proxy) 4.4 MẠNG RIÊNG ẢO VPN (Virtual Private Networks) 4.4.1 Khái niệm mạng riêng ảo Mạng máy tính ban đầu đƣợc triển khai với kỹ thuật chính: đƣờng thuê riêng (Leased Line) cho kết nối cố định đƣờng quay số (Dial-up) cho kết nối không thƣờng xuyên Các mạng có tính bảo mật cao, nhƣng lƣu lƣợng thay đổi đòi hỏi tốc độ cao nên thúc đẩy hình thành kiểu mạng liệu mới, mạng riêng ảo Mạng riêng ảo đƣợc xây dựng kênh lôgích có tính “ảo” Xu hƣớng hội tụ mạng NGN tạo điều kiện cho xuất nhiều dịch vụ mới, có dịch vụ mạng riêng ảo TS NGUYỄN VĂN VINH -115- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Mạng riêng ảo mạng máy tính, điểm khách hàng đƣợc kết nối với sở hạ tầng chia sẻ với sách truy nhập bảo mật nhƣ mạng riêng Có dạng mạng riêng ảo VPN là: Remote Access VPN, Site - to - Site VPN (Intranet VPN Extranet VPN) Remote Access VPN (Client - to - LAN VPN) cho phép thực kết nối truy nhập từ xa ngƣời sử dụng di động (máy tính cá nhân Personal Digital Assistant) với mạng (LAN WAN) qua đƣờng quay số, ISDN, đƣờng thuê bao số DSL Site- to - Site VPN dùng để kết nối mạng vị trí khác thông qua kết nối VPN Có thể chia loại loại khác: Intranet VPN Extranet VPN Intranet VPN kết nối văn phòng xa với trụ sở thƣờng mạng LAN với Extranet VPN Intranet VPN khách hàng mở rộng kết nối với Intranet VPN khác Bảo mật yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn hiệu Kết hợp với thủ tục xác thực ngƣòi dùng, liệu đƣợc bảo mật thông qua kết nối đƣờng hầm (Tunnel) đƣợc tạo trƣớc truyền liệu Tunnel kết nối ảo điểm - điểm (Point to Point) làm cho mạng VPN hoạt động nhƣ mạng riêng Dữ liệu truyền VPN đƣợc mã hoá theo nhiều thuật toán khác với độ bảo mật khác Ngƣời quản trị mạng lựa chọn tuỳ theo yêu cầu bảo mật tốc độ truyền dẫn Giải pháp VPN đƣợc thiết kế phù hợp cho tổ chức có xu hƣớng tăng khả thông tin từ xa, hoạt động phân bố phạm vi địa lý rộng có sở liệu, kho liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao Chất lƣợng dịch vụ QoS, thoả thuận (Service Level Agreement-SLA) với ISP liên quan đến độ trễ trung bình gói mạng, kèm theo định giới hạn dƣới băng thông Bảo đảm cho QoS việc cần đƣợc thống phƣơng diện quản lý ISP Tất giao thức sử dụng mạng VPN, gói liệu IP đƣợc mã hoá (RSA RC-4 PPTP mã khóa công khai khác L2TP, IPSec) sau đóng gói (ESP), thêm tiêu đề IP để tạo đƣờng hầm mạng IP công cộng Nhƣ vậy, gói tin MTU bị thất lạc mạng IP công cộng thông tin đƣợc mã hoá nên kẻ phá hoại khó dò tìm thông tin thực chứa tin Trong giao thức PPTP L2TP, mã hoá gói tin đƣợc thực từ ngƣời dùng máy chủ VPN Việc mát gói tin dẫn đến việc phải truyền lại toàn gói tin, điều gây nên độ trễ chung VPN ảnh hƣởng đến QoS mạng VPN 4.4.2 Kiến trúc mạng riêng ảo Hai thành phần Internet tạo nên mạng riêng ảo VPN, là: • Đƣờng hầm (Tunnelling) cho phép làm “ảo” mạng riêng • Các dịch vụ bảo mật đa dạng cho phép liệu mang tính riêng tƣ TS NGUYỄN VĂN VINH -116- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Hình 4.3 Cấu trúc đường hầm Đƣờng hầm: kết nối điểm cuối cần thiết Khi kết nối đƣợc giải phóng không truyền liệu dành băng thông cho kết nối khác Kết nối mang tính lôgích “ảo” không phụ thuộc vào cấu trúc vật lý mạng Nó che giấu các thiết bị nhƣ định tuyến, chuyển mạch suốt ngƣời dùng Hình 4.4: Đường hầm cấu trúc LAN Client Đƣờng hầm đƣợc tạo cách đóng gói gói tin (Encapsulate) để truyền qua Internet Đóng gói mã hoá gói gốc thêm vào tiêu đề IP cho gói Tại điểm cuối, cổng Định dạng gói tin tạo đƣờng hầm: IP Header, AH, ESP, Tiêu đề liệu Đƣờng hầm có loại: Thƣờng trực (Permanent) tạm thời (Temporary hay Dynamic) Thông thƣờng mạng riêng ảo VPN sử dụng dạng đƣờng hầm động Đƣờng hầm động hiệu cho VPN, TS NGUYỄN VĂN VINH -117- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN nhu cầu trao đổi thông tin đƣợc huỷ bỏ Đƣờng hầm kết nối điểm cuối theo kiểu LAN- to - LAN cổng bảo mật (Security Gateway), ngƣời dùng LAN dụng đƣờng hầm Còn trƣờng hợp Client- to - LAN, Client phải khởi tạo việc xây dựng đƣờng hầm máy ngƣời dùng để thông tin với cổng bảo mật để đến mạng LAN đích 4.4.3 Những ưu điểm mạng VPN Chi phí Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng gọi đƣờng dài chi phí gọi nội hạt Hơn nữa, sử dụng kết nối đến ISP cho phép vừa sử dụng VPN vừa truy nhập Internet Công nghệ VPN cho phép sử dụng băng thông đạt hiệu cao Giảm nhiều chi phí quản lý, bảo trì hệ thống Tính bảo mật: Trong VPN sử dụng chế đƣờng hầm (Tunnelling) giao thức tầng tầng 3, xác thực ngƣời dùng, kiểm soát truy nhập, bảo mật liệu mã hoá, VPN có tính bảo mật cao, giảm thiểu khả công, thất thoát liệu Truy nhập dễ dàng: Ngƣời sử dụng VPN, việc sử dụng tài nguyên VPN đƣợc sử dụng dịch vụ khác Internet mà không cần quan tâm đến phần phức tạp tầng dƣới 4.4.4 Giao thức PPTP (Point to Point Tunnelling Protocol) PPP giao thức tầng 2-Data link, truy nhập mạng WAN nhƣ HDLC, SDLC, X.25, Frame Relay, Dial on Demand PPP sử dụng cho nhiều giao thức lớp nhƣ TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP ( Network Control Protocol) PPP sử dụng Link Control Protocol để thiết lập điều khiển kết nối PPP sử dụng giao thức xác thực PAP CHAP PPTP dựa PPP để thực thi chức sau: - Thiết lập kết thúc kết nối vât lý - Xác thực ngƣời dùng - Tạo gói liệu PPP 4.4.5 Giao thức L2F (Layer Two Forwarding Protocol) Giao thức L2FP hãng Cisco phát triển, dùng để truyền khung SLIP/PPP qua Internet L2F hoạt động tầng (Data Link) mô hình OSI Cũng nhƣ PPTP, L2F đƣợc thiết kế nhƣ giao thức Tunnel, sử dụng định nghĩa đóng gói liệu riêng để truyền gói tin mức Một khác PPTP L2F tạo Tunnel giao thức L2F không phụ thuộc vào IP GRE, điều cho phép làm việc với môi trƣờng vật lý khác Cũng nhƣ PPTP, L2F sử dụng chức PPP để cung cấp kết nối truy cập từ xa kết nối đƣợc qua tunnel thông qua Internet để tới đích Tuy nhiên L2TP định nghĩa giao thức tạo tunnel riêng nó, dựa cấu L2F Cơ cấu tiếp tục định nghĩa việc truyền L2TP qua mạng chuyển mạch gói nhƣ X25, Frame Relay ATM Mặc dù nhiều cách thực L2TP tập trung vào việc sử dụng giao thức UDP mạng IP, ta có khả thiết lập TS NGUYỄN VĂN VINH -118- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN hệ thống L2TP không sử dụng IP Một mạng sử dụng ATM Frame Relay đƣợc triển khai cho tunnel L2TP 4.4.6 Giao thức L2TP (Layer Two Tunnelling Protocol) Giao thức L2TP đƣợc sử dụng để xác thực ngƣời sử dụng Dial-up Tunnel kết nối SLIP/PPP qua Internet Vì L2TP giao thức lớp 2, nên hỗ trợ cho ngƣời sử dụng khả mềm dẻo nhƣ PPTP việc truyền tải giao thức IP, ví dụ nhƣ IPX NETBEUI PPP L2TP Giao thức AH Giao thức ESP Giải thuật Mã hóa Giải thuật Xác thực Quản lý khóa Hình 4.5 Kiến trúc L2TP Hình 4.6 Quá trình chuyển gói tin qua Tunnel L2TP Bảo mật L2TP: Việc xác thực ngƣời dùng giai đoạn: Giai đoạn ISP, giai đoạn giai đoạn (tuỳ chọn) máy chủ mạng riêng Trong giai đoạn 1, ISP sử dụng số TS NGUYỄN VĂN VINH -119- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN điện thoại ngƣời dùng tên ngƣời dùng để xác định dịch vụ L2TP khởi tạo kết nối đƣờng hầm đến máy chủ VPN Khi đƣờng hầm đƣợc thiết lập, LAC ISP định số nhận dạng gọi (Call ID) để định dạnh cho kết nối đƣờng hầm khởi tạo phiên làm việc cách chuyển thông tin xác thực cho máy chủ VPN Máy chủ VPN tiến hành tiếp bƣớc định chấp nhận hay từ chối gọi dựa vào thông tin xác thực từ gọi ISP chuyển đến Thông tin mang CHAP, PAP, EAP hay thông tin xác thực Sau gọi đƣợc chấp nhận, máy chủ VPN khởi động giai đoạn lớp PPP, bƣớc náy tƣơng tự nhƣ máy chủ xác thực ngƣời dùng quay số truy nhập vào thăngr máy chủ Việc sử dụng giao thức xác thực đơn giản nhƣng không bảo mật cho luồng liệu điều khiển thông báo liệu tạo kẽ hở cho việc chèn gói liệu để chiếm quyền điều khiển đƣờng hầm, hay kết nối PPP, hoạc phá vỡ việc đàm phán PPP, lấy cắp mật ngƣời dùng Mã hoá PPP xác thực địa chỉ, toàn vẹn liệu, quản lý khoá nên bảo mật yếu không an toàn kênh L2TP Vì vậy, để có đƣợc xác thực nhƣ mong muốn, cần phải phân phối khoá có giao thức quản lý khoá Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức IP, tối thiểu phải đƣợc thực cho L2TP IP Việc quản lý khoá đƣợc thực thông qua liên kết bảo mật - Security Association (SA) SA giúp đối tƣợng truyền thông xác định phƣơng thức mã hoá, nhƣng việc chuyển giao khoá lại IKE thực Nội dung đƣợc nói rõ giao thức IPSec 4.4.7 Giao thức IPSEC IPSec bảo đảm tính tin cậy, tính toàn vẹn tính xác thực truyền liệu qua mạng IP công cộng IPSec định nghĩa loại tiêu đề cho gói IP điều khiển trình xác thực mã hóa: xác thực tiêu đề Authentication Header (AH), hai đóng gói bảo mật tải Encapsulating Security Payload (ESP) Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói liệu Trong đóng gói bảo mật tải ESP thực mã hóa đảm bảo tính toàn vẹn cho gói liệu nhƣng không bảo vệ tiêu đề cho gói IP nhƣ AH IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa thuận liên kết bảo mật SA hai thực thể trao đổi thông tin khóa IKE cần đƣợc sử dụng phần lớn ứng dụng thực tế để đem lại thông tin liên lạc an toàn diện rộng * Xác thực tiêu đề AH: AH giao thức bảo mật IPsec đảm bảo tính toàn vẹn cho tiêu đề gói liệu nhƣ việc chứng thực ngƣời sử dụng Nó đảm bảo chống phát lại chống xâm nhập trái phép nhƣ tùy chọn Trong phiên đầu IPsec đóng gói bảo mật tải ESP thực mã hóa mà chứng thực nên AH ESP đƣợc dùng kết hợp phiên sau ESP có thêm khả chứng thực Tuy nhiên AH đƣợc dùng đảm bảo việc chứng thực cho toàn tiêu đề liệu nhƣ việc đơn giản truyền tải liệu mạng IP yêu cầu chứng thực AH có hai chế độ: Transport Tunnel Chế độ Tunnel AH tạo tiêu đề IP cho gói chế độ Transport AH không tạo tiêu đề IP Hai chế độ AH đảm bảo tính toàn vẹn (Integrity), chứng thực (Authentication) cho toàn gói TS NGUYỄN VĂN VINH -120- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN * Xử lý đảm bảo tính toàn vẹn: IPsec dùng thuật toán mã chứng thực thông báo băm HMAC (Hash Message Authentication Code) thƣờng HMAC-MD5 hay HMAC-SHA-1 Nơi phát giá trị băm đƣợc đƣa vào gói gửi cho nơi nhận Nơi nhận tái tạo giá trị băm khóa chia sẻ kiểm tra trùng khớp giá trị băm qua đảm bảo tính toàn vẹn gói liệu Tuy nhiên IPsec không bảo vệ tính toàn vẹn cho tất trƣờng tiêu đề IP Một số trƣờng tiêu đề IP nhƣ TTL (Time to Live) trƣờng kiểm tra tiêu đề IP thay đổi trình truyền Nếu thực tính giá trị băm cho tất trƣờng tiêu đề IP trƣờng nêu bị thay đổi chuyển tiếp nơi nhận giá trị băm bị sai khác Để giải vấn đề giá trị băm không tính đến trƣờng tiêu đề IP thay đổi hợp pháp trình truyền * ESP có hai chế độ: Transport Tunnel Chế độ Tunnel ESP tạo tiêu đề IP cho gói Chế độ mã hóa đảm bảo tính toàn vẹn liệu hay thực mã hóa toàn gói IP gốc Việc mã hóa toàn gói IP (gồm tiêu đề IP tải IP) giúp che đƣợc địa cho gói IP gốc Chế độ Transport ESP dùng lai tiêu đề gói IP gốc mã hóa đảm bảo tính toàn vẹn cho tải gói IP gốc Cả hai chế độ chứng thực để đảm bảo tính toàn vẹn đƣợc lƣu trƣờng ESP Auth * Xử lý mã hóa: ESP dùng hệ mật đối xứng để mã hóa gói liệu, nghĩa thu phát dùng loại khóa để mã hóa giải mã liệu ESP thƣờng dùng loại mã khối AES-CBC (AES-Cipher Block Chaining), AES-CTR (AES Counter Mode) 3DES * Trao đổi khóa mã hóa IKE (Internet Key Exchange): Trong truyền thông sử dụng giao thức IPsec phải có trao đổi khóa hai điểm kết cuối, đòi hỏi phải có chế quản lý khóa Có hai phƣơng thức chuyển giao khóa chuyển khóa tay chuyển khóa giao thức IKE Một hệ thống IPsec phụ thuộc phải hỗ trợ phƣơng thức chuyển khóa băng tay Phƣơng thức chìa khóa trao tay chẳng hạn khóa thƣơng mại ghi giấy Phƣơng thức phù hợp với số lƣợng nhỏ Site, mạng lớn phải thực phƣơng thức quản lý khóa tự động Trong IPsec ngƣời ta dùng giao thức quản lý chuyển khóa IKE (Internet Key Exchange) IKE có khả sau: - Cung cấp phƣơng tiện cho bên sử dụng giao thức, giải thuật khóa - Đảm bảo từ lúc bắt đầu chuyển khóa - Quản lý khóa sau chúng đƣợc chấp nhận tiến trình thỏa thuận - Đảm bảo khóa đƣợc chuyển cách bảo mật 4.4.8 Ứng dụng ESP AH cấu hình mạng * ESP cấu hình Gateway-to-Gateway: Trong cấu hình thiết lập kết nối có IPsec để mã hoá đảm bảo tính toàn vẹn liệu hai điểm A B (điểm kết cuối A dùng Gateway A mạng A, điểm kết cuối B dùng Gateway B mạng B) TS NGUYỄN VĂN VINH -121- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Hình 4.7 Cấu hình Gateway -to-Gateway * ESP AH cấu hình Host-to-Host: Trong cấu hình thiết lập kết nối có IPsec để mã hoá đảm bảo tính toàn vẹn liệu hai điểm A B Tuỳ thuộc nhu cầu bảo mật dùng ESP hay AH Hình 4.8 Cấu hình Host-to-Host TS NGUYỄN VĂN VINH -122- MẠNG THÔNG TIN ... Có nguồn thông tin thông tin tƣơng tự thông tin số Trong nguồn thông tin tƣơng tự liên tục theo thay đổi giá trị vật lý thể thông tin với đặc tính chất TS NGUYỄN VĂN VINH -4- MẠNG THÔNG TIN KHOA... hàng nghìn ví dụ khác thông tin liên lạc, gia công chế biến để truyền thông tin số liệu phần đặc biệt lĩnh vực thông tin Máy tính A Máy tính B Thông tin user đến user Thông tin máy tính đến máy... Chƣơng CÁC KHÁI NIỆM CƠ BẢN VỀ MẠNG THÔNG TIN 1.1 TỔNG QUAN VỀ MẠNG THÔNG TIN Nội dung chƣơng đƣợc trình bày theo mục đƣợc xếp theo trình, cụ thể: Thông tin truyền thông vấn vấn đề đƣợc xã hội