BÀI GIẢNG MƠ ĐUN: MẠNG MÁY TÍNH GIỚI THIỆU MƠ ĐUN • Mục đích mơn học – Kiến thức mạng máy tính – Mơ hình tham khảo OSI – Mơ hình TCP/IP GIỚI THIỆU MƠ ĐUN Bài 1: Giới thiệu hệ thống máy tính Bài 2: Chuẩn mạng máy tính Bài 3: Các thiết bị kết nối Bài 4: Giao thức TCP/IP Bài 5: Cài đặt khai thóc mạng Bài 6: Trình duyệt Web Bài 7: Quản lý gửi nhận liệu Bài 8: Sử dụng phần mềm hỗ trợ tải đẩy liệu lên mạng Bài 9: Sử dụng công cụ tìm kiếm chuyên dụng Bài 1: GiỚI THIỆU HỆ THỐNG MẠNG MÁY TÍNH Phân loại mạng Các thành phần mạng máy tính Các mơ hình ứng dụng mạng Mơ hình quản lý mạng Khái niệm mạng máy tính • Một tập hợp máy tính độc lập kết nối cấu trúc • Hai máy tính gọi kết nối chúng trao đổi thơng tin • Kết nối dây đồng, cáp quang, sóng ngắn, sóng hồng ngoại, truyền vệ tinh… Ứng dụng mạng máy tính • Chia sẻ thơng tin • Chia sẻ phần cứng phần mềm • Quản lý tập trung Phân loại mạng • Cách phân loại mạng máy tính sử dụng phổ biến dựa theo khoảng cách địa lý mạng: Lan, Man, Wan • Theo cấu trúc mạng: hình sao, hình tròn, tuyến tính… 1.1 Theo khoảng cách *) Mạng LAN (Local Area Networks) • Mạng cục bộ, kết nối máy tính khu vực bán kính hẹp thơng thường khoảng vài trǎm mét • Kết nối thực thông qua môi trường truyền thơng tốc độ cao ví dụ cáp đồng trục thay cáp quang • LAN thường sử dụng nội quan/tổ chức… Mạng LAN (Local Area Networks) • • • • • • Có giới hạn địa lý Tốc độ truyền liệu cao Tỷ lệ lỗi truyền thấp Do tổ chức quản lý Sử dụng kỹ thuật Ethernet Token Ring Các thiết bị thường dùng mạng Repeater, Brigde, Hub, Switch, Router 802.3 Ethernet 802.5 Token Ring MẠNG LAN 10 Bảo mật e-mail  Alice muốn gửi e-mail bí mật, m, đến Bob KS m KS K (.) S + KB ( ) K+ B KS(m ) KS(m ) + Internet + - KS + KB ( ) KB(KS ) KB(KS ) KS( ) - m K-B Alice: Bob: nhiên, KS  mã hóa thơng điệp với KS  mã hóa KS với khóa cơng cộng Bob  gửi KS(m) KB(KS) cho Bob mã phục hồi KS  dùng KS để giải mã KS(m) phục hồi m  sinh khóa riêng đối xứng ngẫu  dùng khóa riêng anh để giải 267 Bảo mật e-mail  Alice muốn cung cấp tồn vẹn thơng điệp chứng thực người gửi K-A m H( ) - KA( ) - - KA(H(m)) KA(H(m)) + K+ A Internet m - + KA ( ) H(m ) compare m H( ) H(m )  Alice ký số thông điệp  gửi thông điệp (dạng rõ ràng) chữ ký số 268 Bảo mật e-mail • Alice muốn cung cấp tồn vẹn thơng điệp chứng thực người gửi  bí mật K-A m H( ) - KA ( ) - KA(H(m)) + KS ( ) m KS KS + KB( ) K+ B + Internet + KB(KS ) Alice dùng khóa: khóa riêng ấy, khóa cơng cộng Bob, khóa đối xứng vừa tạo 269 Pretty good privacy (PGP) • • • • Chuẩn thực tế để mã hóa email Internet Dùng mã hóa khóa đối xứng, khóa cơng cộng, hàm băm chữ ký số trình bày trước Hỗ trợ đồng nhất, chứng thực người gửi, bí mật Người phát minh: Phil Zimmerman Một thông điệp ký PGP -BEGIN PGP SIGNED MESSAGE Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, A -BEGIN PGP SIGNATURE Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ hFEvZP9t6n7G6m5Gw2 -END PGP SIGNATURE - 270 Secure sockets layer (SSL) • Bảo mật lớp transport với ứng dụng dựa TCP dùng dịch vụ SSL • Dùng trình duyệt Web, server thương mại điện tử • Các dịch vụ bảo mật: – Chứng thực server – Mã hóa liệu – Chứng thực client (tùy chọn) • Chứng thực server: – Trình duyệt cho phép SSL chứa khóa cơng cộng cho CA tin cậy – Trình duyệt yêu cầu chứng server, phát CA tin cậy – Trình duyệt dùng khóa cơng cộng CA để trích khóa cơng cộng server từ chứng • Kiểm tra trình duyệt bạn để thấy CA tin cậy 271 SSL (tt) Mã hóa phiên làm việc SSL : • SSL: sở IETF Transport Layer Security • Trình duyệt sinh khóa (TLS) phiên đối xứng, mã hóa với khóa cơng cộng • SSL dùng cho server, gửi khóa (đã mã hóa) ứng dụng khơng Web, cho server IMAP • Dùng khóa riêng, server giải • Chứng thực client mã khóa phiên hồn thành với chứng client • Trình duyệt, server biết khóa phiên – Tất liệu gửi vào TCP socket (do client server) mã hóa khóa phiên 272 IPSec: bảo mật lớp Network • • • • Bảo mật lớp Network: – host gửi mã hóa liệu IP datagram – đoạn TCP & UDP; thơng điệp ICMP & SNMP • Chứng thực lớp Network: – host đích chứng thực • địa IP nguồn giao thức bản: – authentication header (AH) – encapsulation security payload (ESP) Với AH ESP, nguồn – đích bắt tay nhau: – tạo kênh logic lớp network gọi security association (SA) Mỗi SA theo chiều nhất xác định bởi: – giao thức bảo mật (AH ESP) – địa IP nguồn – ID kết nối 32-bit 273 Giao thức AH • Hỗ trợ chứng thực nguồn, tồn vẹn liệu, khơng tin cậy • AH header chèn vào IP header, trường liệu • Trường giao thức: 51 • Trung gian xử lý datagram bình thường IP header AH header AH header chứa: • Nhân dạng kết nối • Dữ liệu chứng thực: thông điệp ký từ nguồn tnh tốn dựa IP datagram gốc • Trường header kế tiếp: xác định kiểu liệu (vd: TCP, UDP, ICMP) liệu (vd: TCP, UDP, ICMP) 274 Giao thức ESP • Hỗ trợ tồn vẹn liệu, chứng thực host, tnh bí mật • Mã hóa liệu, ESP trailer • Trường header nằm ESP trailer • Trường chứng thực ESP tương tự AH • Protocol = 50 chứng thực mã hóa IP header ESP ESP ESP TCP/UDP segment header trailer authent 275 Bảo mật IEEE 802.11 • Khảo sát: – 85% việc sử dụng mà khơng có mã hóa/chứng thực – Dễ dàng bị phát hiện/nghe ngóng nhiều loại cơng khác! • Bảo mật 802.11 – Mã hóa, chứng thực – Thử nghiệm bảo mật 802.11 Wired Equivalent Privacy (WEP): có thiếu sót – Thử nghiệm tại: 802.11i 276 Wired Equivalent Privacy (WEP): • Chứng thực giao thức ap4.0 – host yêu cầu chứng thực từ access point – access point gửi 128 bit – host mã hóa dùng khóa đối xứng chia sẻ – access point giải mã, chứng thực host • Khơng có chế phân bố khóa • Chứng thực: cần biết khóa chia sẻ 277 Wi-Fi Protected Access (WPA) • Hai cải tiến so với WEP: – Mã hóa liệu cải tiến thơng qua giao thức Temporal Key Integrity Protocol (TKIP) TKIP scrambles key sử dụng thuật tốn hashing đặc tính kiểm tra số nguyên, đảm bảo Key không bị giả mạo – Chứng thực người dùng, thông qua EAP • WPA tiêu chuẩn tạm thời mà thay với chuẩn IEEE 802.11i 278 802.11i: cải tiến bảo mật • Rất nhiều (và chắn hơn) dạng mã hóa • Hỗ trợ phân bố khóa • Dùng chứng thực server tách riêng khỏi AP 279 EAP: Extensible Authentication Protocol • EAP gửi “link” riêng biệt – mobile-đến-AP (EAP LAN) – AP đến server chứng thực (RADIUS UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE 802.11 RADIUS UDP/IP 280 TÀI LIỆU THAM KHẢO, ĐỊA CHỈ LIÊN LẠC • Giáo trình Mạng máy tnh, KS Nguyễn Bình Dương, TS Đàm Quang Hồng Hải • Giáo trình hệ thống Mạng máy tnh CCNA, Nguyễn Hồng Sơn • CCNA: Cisco Certifed Network Associate – Study Guide, Todde Lammle - 2007 • Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition Jim Kurose, Keith Ross 2004 • Computer Networks, 4th edition Andrew S. Tanenbaum 2003 • Địa liên lạc: Trần Bá Nhiệm – Khoa Mạng máy tnh & Truyền thông – ĐH CNTT – 34 Trương Định, Q3, Tp.HCM Email: tranbanhiem@yahoo.com 281