Tự học bảo mật và quản trị mạng: Phần 1 trình bày các nội dung chính sau: Phân loại mạng máy tính, thiết lập và định cấu hình cho một mạng LAN, cài đặt mạng LAN với hệ thống sử dụng nhiều hệ điều hành, mạng cục bộ,... Mời các bạn cùng tham khảo để nắm nội dung chi tiết.
■ hị Thiết lập m ạng Lan, Wan,Wlan l| '' ★ Xây dự ng m ạng intranet kín đáo,các chuẩn khơng dây ★ Kiếm sốt m ạng chặt chẽ, bảp vệ m ạng, m ạng tự phòng vệ, phòng ngừa vlrôsTronam ạng Wlan, tường lưãdành cho doanh nghiệp V*? v t^ \ NHÀ XUẤT BẢf HĨA - THƠNG TIN Tự HỌC BẢO MẬT VÀ QUẢN TRỊ MẠNG PHẠM MAI HƯƠNG (Sưu tầm biên soạn) Tự HỌC BẢO MẬT VÀ QUẢN TRỊ MẠNG NHÀ XUẤT BẢN VĂN HỐ - THƠNG TIN LỜI NĨI ĐẦU T ^ h i nói đến quản trị, người ta nghĩ đến J [\.n g i quản lý Và tất nhiên đ ể trở thành người quản lý lĩnh vực thi người cần phải hiểu rõ mơ hình, cơng việc phải làm, đặc thù phương pháp quản lý lĩnh vực Quản trị mạng củng vậy, đ ể trở thành A dm in giỏi khơng phải dễ, nhiên nói tương đối, biết tất vấn đề mạng A dm in giỏi, mà phụ thuộc vào nhiều yếu tố như; Phạm vi quản trị, cơng việc có nhiều đặc thù hay không, yêu cầu đặt gi Quản trị mạng khái niệm rộng, đòi hỏi khơng thời gian, mà cịn phải kinh nghiệm thực tế đây, xin giới thiệu với bạn kinh nghiệm đúc kết từ người trước, vấn đề, cô mà họ gặp cách xử lý chúng Mong chúng giúp bạn tiết kiệm thời gian, nâng cao hiệu công việc ■ Sách trinh bày dạng đưa vấn đề giải pháp sưu tầm từ nhiều nguồn khác vấn đề đưa giải tận gốc, nhiên khơng tránh khỏi trùng lặp Nhưng quan điểm khác bạn chắt lọc chọn cho minh g i cần thiết, chúc bạn thành công NGƯỜI B IÊ N SOẠN CHỦ Đ Ể MẠNG MÁY TÍNH I GIỚI THIỆU CHUNG Mạng máy tính sơ" máy tính nối kết vối theo cách nhằm mục đích để trao đổi chia sẻ thơng tin cho vối ưu điểm Nhiều người dùng chung một thiết bị ngoại vi (máy in, Modem ), phần mềm Dữ liệu quản lý tập trung nên an tồn hơn, trao đổi thơng tin liệu người dùng nhanh chóng hơn, thuận lợi Người dùng trao đổi thư tín với cách dễ dàng nhanh chóng Có thể cài đặt Internet máy mạng, sau thiết lập, định cấu hình cho máy khác thơng qua máy cài đặt chương trình Share Internet để kết nốì Internet,II PHÂN LOẠI MẠNG MÁY TÍNH Mạng máy tính phân bơ" phạm vi khác nhau, người ta phân loại mạng sau; LAN (Local A rea Netvvork) mạng cục bộ, kết nối máy tính khu vực bán kính hẹp, thường khoảng vài trăm mét Mơi trưịng truyền thơng có tốc độ kết nối cao, cáp xoắn, cáp đồng trục, cáp quang Mạng LAN thường sử dụng nội quan, tổ chức Các LAN kết nôi lại vối thành mạng WAN WAN (Wide A rea Netvvork) mạng diện rộng, kết nốì máy tính nội quốc gia, hay quổc gia châu lục Thông thường kết nối thực thông qua mạng viễn thông Các WAN kết nối vối thành GAN GAN (G lobal A rea N etw ork) kết nối máy tính từ châu lục khác Thông thường kết nối thực thông qua mạng viễn thông vệ tinh MAN (M etropolitan A rea Netvvork) Kết nơi máy tính phạm vi thành phô", Kết nối thực thông qua môi trường truyền thông tôc độ cao (50/100 M bis/s) III BẠN NÊN CĨ MẠNG NÀO Tuỳ theo tổng sơ" máy tính, tổng sơ" thiết bị mà bạn dùng Khoảng cách tô"i đa thiết bị bàn mạng cục LAN dạng hình (S ta rt tơplogy) Đây kiểu mạng đưỢc sử dụng nhiều Mạng cục (LAN) mạng vối hệ truyền thông tôc độ cao, đưỢc thiết kê để nối kết máy tính lại với khu vực địa lý nhỏ nhà, trường học cho phép người sử dụng dùng chung tài nguyên như: máy in, ổ đĩa CD-ROM, phần mềm ứng dụng cần máy mạng cài chương trình S h a re In te rn e t, máy khác kêt nơi In te rn e t Điều đáp ứng nhu cầu văn phòng bạn máy tính nơl kết thành mạng LAN người sử dụng máy muốh truy cập I n te r n e t dịch vụ khác In te rn e t , bạn có Modem tài khoản truy cập In te rn e t Giải pháp lắp đặt cho máy M odem , kéo cho máy Line điện thoại tốn kém, muốh truy cập Internet lắp Modem vào máy nối dây điện thoại tới bất tiện loại Modem gắn trong, đường Line điện thoại qúa ngắn v.v Đe giải vấn đề trên, phần mềm giả lập P ro x y S e rv e r hình thành Các phần mềm hiệu việc chia sẻ In te rn e t W ingate, W in R o u ter, VVinProxy, IS a Server IV GIỚI THIỆU CHUNG VỀ MẠNG LAN DẠNG HÌNH SAO (STAR TOPLOGY) Mạng hình bao gồm điểm trung tâm nút thông tin kết nơi vào điểm trung tâm Các nút thơng tin thiết bị đầu cl máy tính, hay thiết bị khác mạng Tại điểm trung tâm mạng nơi điều phơi hoạt động mạng với chức năng: Chuyển tiếp liệu nút (các máy tính với nhau) Nhận biết tình trạng mạng, nút (các máy tính) nôl kết mạng Theo dõi xử lý q trình trao đổi thơng tin V ƯU VÀ NHƯỢC ĐIỂM CỦA MẠNG HÌNH SAO, u đ iểm m n g h ìn h Hoạt động theo nguyên lý kết nối song song nên có thiết bị ỏ nút bị hỏng mạng hoạt động bình thường, máy cịn lại hoạt động bình thưịng Là kiểu mạng có cấu trúc đơn giản, tính ổn định cao dễ lắp đặt Mạng mở rộng thu hẹp tuỳ theo yêu cầu người sử dụng NhưỢc điểm m ạn g h ìn h Sự mỏ rộng mạng phải phụ thuộc vào khả thiết bị trung tâm Nếu thiết bị trung tâm lỗi tồn mạng bị tê liệt Khoảng cách đa từ nú t tối trung tâm bị hạn chế (nhỏ lOOm) Các th iế t bi cần th iế t tro n g m n g h ìn h Thiết bị trung tâm: Có thể dùng HUS hay Svvitch Cáp kết nơi: Cáp xoắn Card giao tiếp mạng NIC (Netvvork Interíace Card) cho nút Hiện có nhiều loại Cark mạng khác bạn lựa chọn tuỳ theo tài bạn 10 CHỦ Đ Ể T H IẾ T LẬP VÀ ĐỊNH CẤU HÌNH CHO MỘT MẠNG LAN I THIẾT LẬP MẠNG Lắp C a rd mạng; Ban đầu bạn phải lắp C ard mạng vào máy tính cách: Tắt máy tính, tháo vỏ máy tính, sau bạn tìm khe (Slot) trổng để cắm Card mạng vào Văn ốc lại Sau đóng vỏ máy lại Cài D riv e r cho C a rd mạng; Sau bạn lắp C ard mạng vào máy, khởi động máy tính lên, tự nhận biết có thiết bị yêu cầu bạn cung cấp Driver, lúc bạn việc đưa đĩa D riv er vào đường dẫn nơi lưu chứa D riv e r (bạn làm theo tờ hướng dẫn cài đặt kèm theo bạn mua Card mạng) Sau cài đặt hồn tắ t bạn tiến hành thiết lập nốì dây cáp mạng Nối kết cáp mạng: Trong mơ hình bạn dùng cáp xoắn để nối kết Yêu cầu trước tiên bạn phải đo khoảng cách từ n ú t (từ máy tính) mn kết nơi vào mạng tới thiết bị trung tâm (có thể H ub hay Svvitch), sau bạn cắt đoạn cáp xoắn theo kích thước mối Rồi bạn bấm hai đầu cáp vối chuẩn RJ_45 Khi hoàn tấ t bạn việc cắm đầu cáp mạng vào Card mạng, đầu vào P o r t thiết bị trung tâm (Hub hay Svvitch) 11 Sau nôi kết cáp mạng bạn thấy đèn P o rt (Hub hay Sw itch) mối cắm sáng lên tức liên kết vật lý thiết bị trung tâm nút tô"t Nếu không bạn phải kiểm tra lại cáp mạng bấm tốt chưa, hay Card mạng cài tôt chưa II THIẾT LẬP CẤU HÌNH MẠNG Sau thiết lập mạng, hay nói cách khác thiết lập nối kết phần cứng thiết bị trung tâm nút nút chưa thể thơng tin với Để nút thơng tin với yêu cầu bạn phải thiết lập nút (các máy tính) LAN theo chuẩn định Chuẩn giao thức (Protocol) nhằm đ ể trao đổi thông tin hai hệ thống máy tính, hay hai thiết bị máy tính Giao thức (Protocol) gọi nghi thức hay định ước mạng máy tính Trong mạng ngang hàng (P e e r to P e e r) máy tính sử dụng hệ điều hành Microst thơng thường sử dụng giao thức TC P/IP (T n sm issio n c o n tro k P ro to c o l/ I n te r n e t Protocol) Cài đ ặ t T C P/IP Để cài đặt T C P/IP cho máy (đối vối Win 9x) bạn phải tiến hành: Vào My C om puter -> C o n tro l P a n e l -> N etw o rd —> bạn thấy có giao thức T C P/IP bạn khỏi cần Add thêm chưa có bạn Click chọn vào nút ADD > vào cửa sổ A dd C o m p o n en t > sau bạn chọn giống hình > chọn Ok 12 CHỦ Đ Ề 18 POINT TO POINT PROTOCOL P p p xây dựng dựa tảng giao thức điều khiển truyền liệu lóp cao (H igh-L evel D a ta L in k C o n tro l) (HDLC) định chuẩn cho việc truyền liệu giao diện DTE DCE mạng WAN v Ì3 ,T l,E l, H SSI EIA-232-D, EIA-449 p p p đời thay thê giao thức Serial L ine I n te r n e t P ro to c o l (SLIP), dạng đdn giản T C P/IP p p p cung cấp cđ chê chuyển tải liệu nhiều giao thức đường truyền, chế sửa lỗi nén h e a d e r, nén liệu M u ltilin k p p p có hai thành phần - L in k C o n tro l P ro to c o l (LCP): (được đề cập đến RFC 1570) thiết lập, điều chỉnh cấu hình, huỷ bỏ liên kết Hơn th ế LC P cịn có c h ế L ink Q u a lity M o n ito rin g (LQM) cấu hình kết hỢp với hai chê chứng thực Pasvvord A u th e n tic a tio n P ro to c o l (PA P) hay C hallenge H a n d s h a k e A u th e n tic a tio n P ro to c o l (CHAP) - N e tw o rk C o n tro l P ro to c o l (NCP): N CP làm nhiệm vụ thiết lập, điều chỉnh cấu hình huỷ bỏ việc truyền liệu giao thức lớp N e tw o rk như: IP , IPX, A p p leT alk a n d D E C net 145 LCP NCP hoạt động lớp Hiện có mở rộng p p p phục vụ cho việc truyền hệu sử dụng nhiều Links lúc, M ultilink p p p (MPPP) sử dụng Mu ilin k Protocol (MLP) để hên kết lốp LCP NCP I RFC 1661 Đề cập tổng quan giao thức p p p Đ ịn h d n g k h u n g d liệu Chi tiết định dạng khung p p p sau; Có pha trình thiết lập kết nối P P P ; - D ead: kết nối chưa hoạt động - E sta b lish : Khởi tạo LCP sau nhận tin C o n fíg u re ACK liên kết chuyển sang pha sau: authentication - A u th e n tic a te : Có thể lựa chọn hai chế PAP hay CHAP - N etw ork: Trong pha này, chế truyền liệu cho giao thức lớp Netvvork hổ trỢ thiết lập việc truyền liệu bắt đầu - T e rm in a te ; Hủy kết nối Có thể sử dụng chế PiggyBack routing để cache lại rác thông tin định tuyến truyền kết nơì thơng suốt Trong gói LCP (được chứa trường In P o rm a tio n gói tin PPP), trường Code định gói tin ConTigure R eq u est (1), C,onfigure Ack (2), ConTigure n a k (3) nghĩa không châp nhận C onfigure R eject (4) Mỗi giao thức lớp có NCP code xác định cho nó, 146 giá trị mã đặt trường Protocol gói tin NCP, sơ" giá trị ví dụ sau; C o d c P r o to c o l 8021 IP 8029 A T X N S , V in e s D E C net i B r iđ G E 8023 O SI r - - —b chế đóng khung cụ thể C h ứ n g th ự c a P asivivord A u th en tỉc a tio n P rotocol (PAP) Trong pha LCP, kết nôi p p p yêu cầu C lie n t PA P chọn dùng, A ccess S e rv e r lệnh cho Client sử dụng PA P Client say phải gửi s e r n a m e P a ss w o rd mình, thơng tin truyền duó'i dạng C lie n t te x t mà khơng mã hố gói gói liệu P P P S e rv e r sau định chấp nhận hay từ chối việc thiết lập kết nốì Đây chế PA P chiều C lien t S e rv e r Nừu hai Router nói chuyện với T w o-w ay PA P (PAP hai chiều) sử dụng Router gửi U se rn a m e Passvvord, R o u te r chứng thực lẫn ò C h allen ge H a n dsh ke P rotocol (CHAP) CHAP sử dụng phổ biến PAP, có khả mã hố m ật liệu 147 Hai đầu kết nối chia mã mật secret CHAP giốhg đầu gán L ocal n am e riêng - Giả sử User A quay sô"truy cập vào Access Server B - Access Server gửi qua đường truyền gói tin khởi tạo chứng thực T y p e l gọi gói tin C hallen g e Gói tin Challenge chứa số sinh ngẫu nhiên, sô" ID S e q u e n ee n u m b e r để xác định C h allen g e tên chứng thực C hallenge - Bên gọi lấy chỗi authentication name, tìm liệu chuỗi mã m ật CHAP, ứngvối U sern a m e nhận - C aller nhận mã m ật C hap, sô ID S eq u ece n u m b e r giá rị sơ" sinh ngẫu nhiên vào thuật tốn băm M essaG E DiGE st (MD5) - Giá trị kết sau tính tốn hàm băm gửi trả lời cho C hallenge (Access S e rv e r) gói C hap R esponse (Type2) chứa chuỗi băm, tên chứng thực Caller cuối ID (S eq u en ce Number) đưỢc lấy từ gói Challege - Khi nhận gói R esponse Type2, C hallege tự sử dụng ID để tìm gói C hallege nguyên thuỷ - U se rn a m e C aller (A) sử dụng để tìm kiếm mã mật CHAP từ L ocal D a ta b a se , hay RADIUS S e rv e r TACACS+Server - ID, giá trị C h a llan d e gốc sinh ngẫu nhiên giá trị Chap ngẫu nhiên ban đầu mã m ật đưa vào xử lý bỏi hàm băm MD5 - Chuỗi băm kết sau tính tốn sau so sánh vói giá trị nhận gói R esp o n se 148 - Nếu chuỗi giống trình chứng thực CHAP th àn h cơng gói T ype gửi đến Caller chứa ID Điều có nghĩa kết nối chứng thực hỢp lệ - Nếu chứng thực CHAP th ấ t bại, gói tin T ype gửi đến Caller chứa Original ID, xác nhân trìn h chứng thưc khơng thành cơng Việc băm (H ashing) hồn tồn khác với việc mã hố thơng tin hỏi thơng tin khơng thể khơi phục lại sau thực hàm băm Trong R o u te r N o rtel N e tw o rk s C ode C223 xcá định hoạt động CHAP RFC 1994 mô tả chi tiết CHAP RFC 1334 mô tả giao thức chứng thực khác II ppp CALLBACK C allback tính p p p có ích việc giảm thiểu chi phí truyền liệu đồng thịi cung cấp chế bảo m ật thơng tin Quá trình C allback diễn sau C lie n t khỏi tạo gọi Đồng thời Client re q e st dịch vụ Callback với lựa chọn thông số khác kết nốỉ pha LCP n e g o tia tio n (cấụ trúc trường C a llb ac k O p tio n MessaGE p p p định nghĩa chi tiết RFC 1570) C allback re q u e s t Acknovvledge ment S e rv e r S e rv e r sau kiểm tra thơng sơ cấu hình xem việc kích hoạt dịch vụ có phép hay khơng Việc chứng thực người dùng diễn C lien t U se rn a m e sử dụng D ia le r m ap để xác định Dial string sử dụng gọi ngược lại 149 Nếu chứng thực thành công lựa chọn dịch vụ C allb ack khơng phép gọi tiếp tục C lie n t người trả tiền cho gọi, chứng thực không thành công S e rv e r huỷ gọi Client gọi S e rv e r chuỗi Dial string cấu hình cho gọi đảo chiều Thực chứng thực lần Kết nối tiếp tục Trong trường hỢp lý tưởng, để đảm bảo chế bảo mật tối đa, tiến trình C allback nên thực M odem riêng phía S e rv e r độc lập với kết nốỉ Modem nhận liệu đến ISDN sử dụng kênh D độc lập cho việc thực C allback Việc cho phép bảo mật tốt mà tiết kiệm chi phí gọi Dial up, liệu chứng thực LCP negotiation truyền chung đường truyền liệu nên người dùng phải chịu phần chi phí để gửi thơng tin O v e rh ea d III LINK QUALYTI MONITORING (LQM) Tính thực liên kết S y n c h ro n o u s chuẩn Chất lượng đường truyền giám sát dựa phần trăm thông tin đitợc truyền nhận thành công khoảng thời gian định Các L in k Q u ality R e P o rts (LQN) chứa đếm cho phép xác định chất lượng In b o u n d O u tb o u n d E cho R e q u ests gửi định kỳ, nếu, sau sô" E cho R e q u ests định, không nhận E cho R eplies, phiên truyền NCP bị huỷ RFC 1333 mô tả Link Q u a lity M o n ito rin g 150 IV COMPRESSION Việc nén liệu nén mềm sử dụng sơ" tiện ích W ellfleet C o m p ressio n P ro to c o l (WCP) (giao thức sử dụng R o u te r N o rtel) cho hiểu tôt đường truyền tốc độ chậm (128kd/s or less) Thuật toán Lempel-Ziv (LZS) (RFC 1974) cung cấp chê nén giải nén nhanh liệu Thuật toán sử dụng ché nén STAC ppp, ISDN Prame Relay Các chế nén áp dụng cho liệu giao thức lớp (IPCP IPXCP), mà không ảnh hưởng đến TraTic giao thức LCP NCP lớp Cơ chế nén theo giao thức WCp chạy hai Nortel WCP ngá giá trị Protocol vào trường Protocol to Protocol Netxvorks Bộ đệm liệu History hoạt động đầu, chuỗi D ata truyền nhận lưu Khi thực lượt truyền mới, chuỗi so sánh với chuỗi truyền lưu đệm, trung khốp toàn phần liệu khơng gửi toàn m phần sai khác gửi Bên nhận đưỢc thực việc so khớp tương tự vói đệm History m ình để lấy liệu phiên trước để ghớp với liệu mối tạo th àn h thông tin hoàn chỉnh Nortel cung cấp hai chế độ nén: - Continuous Packet Comperssion: the History buffer spans M ultiple Packets, which means more Memory is used up, but produces greater compossion ratio - Packet-by-Packet Comperession: the History buffer is Reset w ith each Packet, which means less Memory is used but the compression ratio is not as great 151 Cisoc, có hai chê độ nén riêng; - Stacker - which examines the Data and only sends each Data type once and sendss in Pormation indicating to the other end where each type occurs within the Data stream The other end reassembles the Data into the various Data into the various Data types from the Data stream Stackes tends to be more CPU intensive and less Memory intensive - P re d ic to r - Phân tích liệu để kiểm tra xem nén chưa truyền thông tin nén, thời gian nén lại liệu nén P re d ic to r tô”n n h iề u M em ory tốn CPU Việc nén lại liệu nén thường thêm vào F m e O v e rh ea d thực tế, liệu chất lại nỏ chút (mặc dù thực việc nén) Hơn nữa, việc thực nén cách không hỢp lý chiếm CPU cách không cần thiết V MULTILINK ppp INTERLEAVING Cô" sô" lựa chọn cho LCP, sơ" M ultilink với In terleav in g Để M ultilink p p p hoạt động, p p p P ack ets chia cắt đánh sô" S erquence n u m b ers để P ack ets lơh chia sô đường p p p Links Các sô" liệu chế chuẩn hoá đưa vào RFC 1717 phục vụ cho việc truyền luồng D ata thời gian thực Voice p p p sử dụng để truyền liệu để truyền liệu Link Một Frame chia thành nhiều m ảnh nhỏ có trường H e a d e r thu gọn S e q u e n ce n u m b e rs cho riền 152 Các gói liệu R e al tim e nhỏ khơng chia để ỏ nguyên dạng p p p Bên nhận phải thiết lập hàng đdi đủ lớn để lưu, xử lý xếp m ảnh nhỏ để tái tạo lại F m e liệu lốn Một hàng đợi riêng thiết lập để dành riêng cho việc xử lý T fflc liệu R eal tim e Hàng đợi cần xử lý với tốc độ nhanh hàng đợi thông thường khác VI MULTILINK ppp (MPPP OR MP) M P P P cung cấp chế phân tải số giao diện thuộc loài khác S y n c h ro n o u rs, A sy c h ro n o u s ISDN M u ltilin k p p p sử dụng B andvvidth A llocation P ro to c o l (BAP & BACP) (RFC 2125) để thay đổi động sô kênh mang liệu (của loậi đường truyền khác nhau) tuỳ thuộc vào yêu cầu truyền Các kênh riêng biệt coi kênh logic hay bó PD U lớp cắt ghép để truyền đường logic Khung p p p có B yte h e a d e r S eq u e n ce cho p p p M u ltilin k đưỢc dùng cho việc chia đánh thứ tự cho D a ta g m s truyền nhiều Link Trong trìn h LC P n e g o tia tio n peer muốh thiết lập M u ltiỉin k R eceiv ed R e c o n s tru c te d U n it (MRRU) thực LC P n e g o tia tio n , định kích thước pip e hay B u n d le M u ltilin k U se rn a m e dùng để xác định Bundle để thêm vào Link vào M u ltic h a ssis M u ltilin k p p p mỏ rộng M u ltilin k p p p nhiều B e a re r c h a n n e ls đến từ nhiều thiết bị riêng biệt mà không cần thiết phải giao diện thiết bị M u ltilin k đơn giản 153 CHỦ Đ Ề 19 MƠ HÌNH GATEWAY CHO IP I CÁC KHÁI NIỆM G atew ay phần tử kết nối trung gian hai mạng khác nhau, mạng chuyển mạch điên thoại cơng cộng PSTN mạng Internet Gatevvay xây dựng máy tính mạch phần cứng có nhiều giao tiếp vối mạng khác Kết nỐì đưỢc tạo cách chuyển đổi giao thức thiết lập, trì giải phóng gọi, chuyển đổi dạng tín hiệu mã hố, đốiig gói truyền thơng tin hai mạng khác Bài viết giới thiệu mơ hình Gatevvay dùng mạng dịch vụ thoại IP