1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Bài giảng mạng thông tin

121 5 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 121
Dung lượng 1,81 MB

Nội dung

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN KHOA ĐIỆN-ĐIỆN TỬ BÀI GIẢNG MẠNG THÔNG TIN Hưng Yên 2015 (Tài liệu lưu hành nội bộ) KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Chƣơng CÁC KHÁI NIỆM CƠ BẢN VỀ MẠNG THÔNG TIN 1.1 TỔNG QUAN VỀ MẠNG THÔNG TIN Nội dung chƣơng đƣợc trình bày theo mục đƣợc xếp theo trình, cụ thể: Thông tin truyền thông vấn vấn đề đƣợc xã hội quan tâm kinh tế mới, kinh tế thông tin, kinh tế trí thức, kinh tế học hỏi kinh tế số; trang bị nhìn tổng quát mạng số liệu; tổ chức mạng truyền số liệu đại, kỹ thuật đƣợc dùng truyền số liệu vấn đề chuẩn hóa mơ hình tham chiếu mạng 1.1.1 Thông tin truyền thông Thông tin liên lạc đóng vai trị quang trọng sống, hầu hết gắn liền với vài dạng thơng tin Các dạng trao đổi tin nhƣ: đàm thoại ngƣời với ngƣời, đọc sách, gửi nhận thƣ, nói chuyện qua điện thoại, xem phim hay truyền hình, xem triển lãm tranh , tham dự diễn đàn Có hàng nghìn ví dụ khác thơng tin liên lạc, gia cơng chế biến để truyền thơng tin số liệu phần đặc biệt lĩnh vực thơng tin Máy tính A Máy tính B Thơng tin user đến user Thơng tin máy tính đến máy tính AP AP Hệ thống phục truyền tin Hệ thống phục vụ phục truyền tin Thơng tin máy tính đến mạng Mạng truyền số liệu Hình 1.1 Một hệ thống thông tin đây: AP- Applicayion process- Quá trình ứng dụng Từ ví dụ nhận thấy hệ thống truyền tin có đặc trƣng riêng nhƣng có số đặc tính chung cho tất hệ thống Đặc trƣng chung có tính ngun lý tất hệ thống truyền tin nhằm mục đích chuyển tải thơng tin từ điểm đến điểm khác Trong hệ thống truyền số liệu, thƣờng gọi thông tin liệu hay thơng điệp Thơng điệp có nhiều dạng khác nhau, để truyền thông điệp từ điểm đến điểm khác cần phải có tham gia thành phần hệ thống: nguồn TS NGUYỄN VĂN VINH -3- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN tin nơi phát sinh chuyển thông điệp lên môi trƣờng truyền; môi trƣờng truyền phƣơng tiện mang thơng điệp tới đích thu Các phần tử yêu cầu tối thiểu trình truyền tin Nếu thành phần không tồn tại, truyền tin xảy Một hệ thống truyền tin thơng thƣờng đƣợc miêu tả hình 1.1 Các thành phần xuất dƣới dạng khác tuỳ thuộc vào hệ thống Khi xây dựng thành phần hệ thống truyền tin, cần phải xác định số yếu tố liên quan đến phẩm chất hoạt động Để truyền tin hiệu chủ để phải hiểu đƣợc thơng điệp Nơi thu nhận thơng điệp phải có khả dịch thơng điệp cách xác Điều hiển nhiên giao tiếp hàng ngày dùng từ mà ngƣời ta hiểu hiệu thơng tin khơng đạt u cầu Tƣơng tự, máy tính mong muốn thơng tin đến với tốc độ định dạng mã nhƣng thơng tin lại đến với tốc độ khác với dạng mã khác rõ ràng đạt đƣợc hiệu truyền Các đặc trƣng toàn cục hệ thống truyền đƣợc xác định bị giới hạn thuộc tính riêng nguồn tin, mơi trƣờng truyền đích thu Nhìn chung, dạng thông tin cần truyền định kiểu nguồn tin, mơi trƣờng đích thu Trong hệ thống truyền, tƣợng nhiễu có thề xảy tiến trình truyền thơng điệp bị ngắt qng Bất kỳ xâm nhập không mong muốn vào tín hiệu bị gọi nhiễu Có nhiều nguồn nhiễu nhiều dạng nhiễu khác Hiểu biết đƣợc nguyên tắc truyền tin giúp dễ dàng tiếp cận lĩnh vực đặc biệt hấp dẫn thơng tin số liệu.Thơng tin số liệu liên quan đến tổ hợp nguồn tin, môi trƣờng máy thu kiểu mạng truyền số liệu khác 1.1.2 Các dạng thông tin xử lý thơng tin Tất mà ngƣời muốn trao đổi với đƣợc hiểu thông tin thông tin nguyên thuỷ đƣợc gia công chế biến để truyền không gian đƣợc hiểu tín hiệu Tuỳ theo việc sử dụng đƣờng truyền, tín hiệu tạm chia tín hiệu thành hai dạng: tín hiệu điện-từ tín hiệu khơng phải điện từ Việc gia cơng tín hiệu cho phù hợp với mục đích phù hợp với đƣờng truyền vật lý đƣợc gọi xử lý tín hiệu Ngày với phát triển công nghệ tin học tạo công nghệ truyền số liệu Máy tính với tính vơ to lớn trở thành hạt nhân việc xử lý thông tin, điều khiển trình truy nhập số liệu, máy tính hệ thống thơng tin tạo thành hệ thống truyền số liệu Có nguồn thơng tin thơng tin tƣơng tự thơng tin số Trong nguồn thơng tin tƣơng tự liên tục theo thay đổi giá trị vật lý thể thơng tin với đặc tính chất TS NGUYỄN VĂN VINH -4- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG N lƣợng nhƣ tiếng nói, tín hiệu hình ảnh , cịn nguồn thơng tin số tín hiệu gián đoạn thể thơng tin nhóm giá trị gián đoạn xác định đặc tính chất lƣợng quan hệ với thời gian nhƣ tín hiệu số liệu Thơng tin số có nhiều ƣu điểm so với thơng tin tƣơng tự nhƣ : thơng tin số có nhiều khả chống nhiễu tốt có lặp để tái tạo lại tín hiệu, cung cấp chất lƣợng truyền dẫn tốt với khoảng cách, kết hợp đƣợc nguồn dịch vụ có, tạo đƣợc tổ hợp truyền dẫn số tổng đài số Những phần tử bán dẫn dùng truyền dẫn số mạch tổ hợp đƣợc sản xuất hàng loạt, mạng liên lạc trở thành mạng thơng minh dễ chuyển đổi tốc độ cho loại dịch vụ khác thay đổi thủ tục, xử lý tín hiệu số (DSP) chuyển đổi phƣơng tiện truyền dẫn Hệ thống thông tin số cho phép thông tin điều khiển đƣợc cài đặt vào tách dịng thơng tin thực cách độc lập với với chất phƣơng tiện truyền tin ( cáp đồng trục, cáp sợi quang, vi ba, vệ tinh ), Vì thiết bị báo hiệu thiết kế riêng biệt với hệ thống truyền dẫn Chức điều khiển thay đổi mà khơng phụ thuộc vào hệ thống truyền dẫn, ngƣợc lại hệ thống nâng cấp không ảnh hƣởng tới chức điều khiển đầu đƣờng truyền 1.2 Khái quát mạng truyền số liệu Giao tiếp DTE-DCE DTE Giao tiếp DTE-DCE DCE Kênh truyền tin Hệ thống truyền (nhận) tin DCE DTE Hệ thống nhận (truyền) tin Hình 1.2 Mơ hình mạng truyền số liệu đại Ngày với phát triển kỹ thuật công nghệ tạo bƣớc tiến dài lĩnh vực truyền số liệu Sự kết hợp phần cứng, giao thức truyền thơng thuật tốn tạo hệ thống truyền số liệu đại, ký thuật sở đƣợc dùng nhƣng chúng đƣợc xử lý tinh vi Về hệ thống truyền số liệu đại mơ tả nhƣ hình 1.2 TS NGUYỄN VĂN VINH -5- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN a DTE (Data Terminal Equipment – Thiết bị đầu cuối liệu) Đây thiết bị lƣu trữ xử lý thông tin Trong hệ thống truyền số liệu đại thi DTE thƣờng máy tính máy Fax trạm cuối (terminal) Nhƣ tất ứng dụng ngƣời sử dụng (chƣơng trình, liệu) nằm DTE Chức DTE thƣờng lƣu trữ phần mềm ứng dụng , đóng gói liệu gửi DCE nhận gói liệu từ DCE theo giao thức (protocol) xác định DTE trao đổi với DCE thơng qua chuẩn giao tiếp Nhƣ mạng truyền số liệu để nối DTE lại cho phép phân chia tài nguyên, trao đổi liệu lƣu trữ thông tin dùng chung b DCE (Data Circuit terminal Equipment- Thiết bị cuối kênh liệu) Đây thuật ngữ dùng để thiết bị dùng để nối DTE với đƣờng (mạng) truyền thơng Modem, Multiplexer, Card mạng thiết bị số nhƣ máy tính trƣờng hợp máy tính nút mạng DTE đƣợc nối với mạng qua nút mạng DCE đƣợc cài đặt bên DTE đứng riêng nhƣ thiết bị độc lập Trong thiết bị DCE thƣờng có phần mềm đƣợc ghi vào nhớ ROM phần mềm phần cứng kết hợp với để thực nhiệm vụ chuyển đổi tín hiệu biểu diễn liệu ngƣời dùng thành dạng chấp nhận đƣợc đƣờng truyền Giữa thiết bị DTE việc trao đổi liệu phải tuân thủ theo chuẩn, liệu phải gửi theo Format xác định Thí dụ nhƣ chuẩn trao đổi liệu tầng mơ hình lớp HDLC (High level Data Link Control) Trong máy Fax giao tiếp DTE DCE thiết kế đƣợc tích hợp vào thiết bị, phần mềm điều khiển đƣợc cài đặt ROM c Kênh truyền tin Kênh truyền tin mơi trƣờng mà thiết bị DTE trao đổi liệu với phiên làm việc DTE C D Cáp đồng trục E Cáp sợi quang F DTE Hình 1.3 Kênh thơng tin đây: C, D-Modem; E, F- Transducer Trong môi trƣờng thực hệ thống đƣợc nối với đoạn cáp đồng trục đoạn cáp sợi quang, modem C để chuyển đổi tín hiệu số sang tín hiệu tƣơng tự để truyền cáp đồng trục modem D lại chuyển tín hiệu thành tín hiệu số qua Tranducer E để chuyển đổi từ tín hiệu điện sang tín hiệu quang để truyền cáp sợi TS NGUYỄN VĂN VINH -6- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN quang cuối Tranducer F lại chuyển tín hiệu quang thành tín hiệu điện để tới DTE 1.4 Mạng truyền số liệu Mạng truyền số liệu bao gồm hai hay nhiều hệ thống truyền (nhận) tin nhƣ hình 1.2 đƣợc ghép nối với theo nhiều hình thức nhƣ phân cấp phân chia thành trung tâm xử lý trao đổi tin với chức riêng Mạng truyền số liệu hệ thống nhằm kết nối máy tính lại với nhau, thơng tin chúng đƣợc thực giao thức đƣợc chuẩn hố, có nghĩa phần mềm máy tính khác nhau giải công việc trao đổi thông tin với Các ứng dụng tin học ngày rộng rãi đẩy hƣớng ứng dụng mạng xử lý số liệu, mạng đấu nối có cấu trúc tuyến tính cấu trúc vịng cấu trúc hình Cấu trúc mạng phải có khả tiếp nhận đặc thù khác đơn vị tức mạng phải có tính đa năng, tính tƣơng thích Mạng số liệu đƣợc thiết kế nhằm mục đích nối nhiều thiết bị đầu cuối với Để truyền số liệu ta dùng mạng điện thoại dùng đƣờng truyền riêng có tốc độ cao Dịch vụ truyền số lỉệu kênh thoại dịch vụ việc truyền số liệu Trên mạng có nhiều máy tính chủng loại khác loại đƣợc ghép nối lại với nhau, cần giải vấn đề phân chia tài nguyên Để máy tính đầu cuối làm việc đƣợc với cần phải có protocol định Dạng thức phƣơng tiện truyền số liệu đƣợc qui định chất tự nhiên ứng dụng, số lƣợng máy tính liên quan khoảng cách vật lý chúng Các dạng truyền số liệu có dạng sau: a Nếu có hai máy tính hai đặt văn phịng, phƣơng tiện truyền số liệu gồm liên kết điểm nối đơn giản, hình 1.4 Tuy nhiên, chúng liên kết vị trí khác thành phố hay quốc gia phải cần đến phƣơng tiện truyền tải công cộng Mạng điên thoại công cộng đƣợc dùng nhiều nhất, trƣờng hợp cần đến thích nghi gọi Modem Sắp xếp truyền theo dạng đƣợc trình bày hình1.4 TS NGUYỄN VĂN VINH -7- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN AP AP Hệ thống phục truyền tin Hệ thống phục vụ phục truyền tin PSTN Modem Modem Hình 1.4 Truyền số liệu nối qua mạng điện thoại cơng cộng dùng modem b Khi cần nhiều máy tính ứng dụng, mạng chuyển mạch đƣợc dùng cho phép tất máy tính liên lạc với vào thời điểm Nếu tất máy tính nằm tồ nhà , xây dựng mạng riêng Một mạng nhƣ đƣợc xem nhƣ mạng cục LAN (Local Area Network) Nhiều chuẩn mạng LAN thiết bị liên kết đƣợc tạo cho ứng dụng thực tế Hai hệ thống mạng Lan đƣợc trình bày hình 1.5 AP AP Hệ thống phục truyền tin Hệ thống phục vụ phục truyền tin Hình 1.5 Các hệ thống LAN (liên kết LAN qua backbone văn phòng) Khi máy tính đƣợc đặt nhiều nơi cách xa cần liên lạc với nhau, phải dùng đến phƣơng tiện cơng cộng Việc liên kết máy tính tạo nên mạng rộng lớn, đƣợc gọi mạng diện rộng WAN (Wide Area Network) Kiểu mạng WAN đƣợc dùng phụ thuộc vào tƣờng ứng dụng tự nhiên Ví dụ tất máy tính thuộc cơng ty có yêu cầu truyền số lƣợng liệu quan trọng điểm , giải pháp đơn giản cho vắn đề thuê TS NGUYỄN VĂN VINH -8- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN đƣờng truyền từ nhà cung cấp phƣơng tiện truyền dẫn xây dựng hệ thống chuyển mạch riêng đIểm để tạo thành mạng tƣ nhân Các giải pháp thuê kênh hiệu cơng ty lớn có tải hữu ích để cân giá thuê kênh Trong hầu hết trƣờng hợp khác cần đến mạng truyền dẫn công cộng Bên cạnh việc cung cấp dịch vụ điện thoại công cộng, ngày hầu hết nhà cung cấp dịch vụ truyền dẫn cung cấp dịch vụ chuyển mạch số liệu mang tính cơng cộng Thật mạng tƣơng tự nhƣ mạng PSTN đƣợc liên kết quốc tế, khác chỗ đƣợc thiết kế chuyên cho truyền số liệu Nhƣ ứng dụng liên quan đến máy tính đƣợc phục vụ mạng số liệu chuyển mạch công cộng PSDN Ngồi cịn chuyển đổi mạng PSTN có sẵn cho truyền đƣợc số liệu mà không cần dùng modem Các mạng hoạt động chế độ số (digital) hoàn toàn đƣợc gọi mạng số liên kết đa dịch vụ ISDN 1.4.1 Phân loại mạng truyền số liệu Mạng truyền số liệu đa dạng chủng loại nhƣ số lƣợng , có nhiều cách phân chia mạng số liệu, bao gồm: a Phân loại theo địa lý: Mạng nội bộ, Mạng diện rộng Mạng toàn cầu b Phân loại theo tính chất sử dụng mạng: Mạng truyền số liệu kí sinh Mạng truyền số liệu chuyên dụng c Phân loại theo topo mạng: Mạng tuyến tính, Mạng hình Mạng vòng d Phân loại theo kỹ thuật: Mạng chuyển mạch kênh, Mạng chuyển mạch gói Mạng chuyển mạch thông báo 1.4.2 Kỹ thuật chuyển mạch node mạng Để thực việc liên lạc giữ thuê bao ngƣời ta tạo mạng liên lạc với NODE Các thuê bao đƣợc nối đến node thuê bao đƣợc nối vào mạng thông qua Node Số lƣợng node phụ thuộc vào độ lớn mạng, nhƣ thuê bao chị cần cổng I/O Mỗi mạng bao gồm Node , node đƣợc nối với , số liệu truyền từ ngƣời gửi đến ngƣời nhận theo đƣờng thông qua mạng, Node đƣợc nối với theo hƣớng truyền, số liệu đƣợc định đƣờng từ Node sang node sang node khác a Kỹ thuật chuyển mạch kênh Liên lạc thông qua chuyển mạch kênh đặc trƣng việc cung cấp đƣờng nối cố định thuê bao Sự liên lạc qua mạng chuyển mạch kênh bao gồm giai đoạn : xác lập, truyền số liệu giải phóng mạch TS NGUYỄN VĂN VINH -9- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN * Xác lập mạch Trƣớc truyền số liệu , đƣờng truyền cần đƣợc thiết lập, Từ thuê bao truy nhập vào node, node cần phải tìm nhánh qua số node khác để đến đƣợc thuê bao bị gọi việc tìm kiếm dựa vào thơng tin tìm đƣờng thông số khác, cuối node thuộc thuê bao gọi bị gọi đƣợc nối với cần kiểm tra xem node thuộc thuê bao bị gọi có bận khơng Nhƣ đƣờng nối từ thuê bao gọi đến thuê bao bị gọi đƣợc thiết lập * Truyền số liệu Thông tin bắt đầu truyền từ điểm A đến điểm E dạng số tƣơng tự qua điểm nối mạch bên node, nối mạch cho phép truyền chiều tồn phần liệu truyền chiều * Giải phóng mạch Sau hồn thành truyền, có tín hiệu báo th bao gọi (A) bị gọi (E) báo cho node trung gian giải phóng nối mạch, đƣờng nối từ A đến E khơng cịn Đƣờng nối đƣợc thiết lập trƣớc truyền liệu nhƣ dung lƣợng kênh cần phải dự trữ cho cặp thuê bao node phải có lƣợng chuyển mạch tƣơng ứng bên để bảo đảm bảo đƣợc yêu cầu nối mạch Trong chuyển mạch số lƣợng kênh nối phải bảo đảm bảo suốt q trình u cầu nối cho dù có hay khơng có liệu truyền qua Tuy nhiên đƣờng nối thuê bao đƣợc nối liệu đƣợc truyền đƣờng cố định b Kỹ thuật chuyển mạch thơng báo Chuyển mạch kênh có nhƣợc điểm: - thuê bao cần phải hoạt động thời gian truyền - Những nguồn cung cấp phải ổn định cung cấp qua mạng thuê bao Hiện điện báo, thƣ điện tử, Files máy tính đƣợc gọi thơng báo đƣợc truyền qua mạng nhƣ trao đổi liệu số đƣợc trao đổi chiều thuê bao Một loại mạch để phục vụ trao đổi thơng tin đƣợc gọi chuyển mạch thông báo Với chuyển mạch thông báo không tồn thiết lập cung cấp lộ trình cố định thuê bao, thuê bao muốn truyền thơng báo, gán địa ngƣời nhận vào thông báo Thông báo đƣợc chuyển qua mạng từ node qua node khác.Tại node thông báo đƣợc nhận tạm giữ chuyển sang node khác Các node thông thƣờng TS NGUYỄN VĂN VINH -10- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG N máy tính giữ thơng báo đệm Thời gian trễ đệm bao gồm thời gian nhận thông báo vào node thời gian xếp hàng chờ để đến lƣợt đƣợc chuyển đến node sau Hệ thống chuyển mạch thông báo hệ thống giữ chuyển tiếp c Chuyển mạch gói Chuyển mạch gói gần giống chuyển mạch thơng báo Chỗ khác độ dài khối liệu đƣa vào mạng đƣợc chế thành gói đƣợc gửi thời điểm, gói bao gồm liệu với địa thơng số cần thiết, gói khơng phải file Trong mạng chuyển mạch gói có cách truyền gói đƣợc dùng: Datagram Virtual Circuit DATAGRAM: gói độc lập giống nhƣ chuyển mạch thơng báo, thông báo độc lập Cách truyền nhƣ vậy, gói độc lập đƣờng khơng giống gọi DATAGRAM (DG) MẠCH ẢO (Virtual Circuit): Trong mạch ảo nối logic mạch đƣợc thiết lập trƣớc truyền gói, gói gồm nhận dạng VC liệu Mỗi Node với đƣờng định biết đƣợc cần phải truyền gói trực tiếp đến đâu khơng cần phải tìm đƣờng Một trạm chấm dứt kết nối cách truyền gói CLEAR REQUEST Cùng thời gian trạm có nhiều VC đến trạm khác có nhiều VC đến nhiều trạm khác Nhƣ tính chất VC đƣờng nối logic trạm đƣợc thiết lập trƣớc truyền liệu , điều khơng có nghĩa có đƣờng cụ thể nhƣ chuyển mạch kênh Gói đƣợc giữ node hàng để đƣợc đƣa đƣờng nối Chỗ khác với DATAGRAM VC NODE khơng cần tìm đƣờng cho gói mà làm lần cho lần nối Chú ý: Nếu Node bị hƣ tất VC qua Node bỏ, với DG node bị hƣ gói tìm đƣờng khác Những điều yếu mạng chuyển mạch gói là: Routing: Chức PS nhận gói từ trạm nguồn cung cấp đến ngƣời nhận, để hồn thành việc đó, nhiều đƣờng thông qua mạng đƣợc chọn, thông thƣờng khả cho phép nhiều Điều có nghĩa đƣờng đƣợc chọn cần phải đảm bảo số yêu cầu cần thiết chức đƣờng truyền nhƣ xác , đơn giản, ổn định hợp lý tối ƣu Sự chọn đƣờng dựa vào tiêu chuẩn đơn giản chọn đƣờng ngắn ( đƣờng với TS NGUYỄN VĂN VINH -11- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN nhằm mục đích phá hoại Các hành động vi phạm thụ động thƣờng khó phát nhƣng ngăn chặn hiệu Trái lại vi phạm chủ động dễ phát nhƣng lại khó ngăn chặn 4.1.2 Các đặc trưng kỹ thuật an toàn mạng Xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể ngƣời sử dụng, chƣơng trình máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đƣợc đánh giá quan trọng hoạt động phƣơng thức bảo mật Một hệ thống thơng thƣờng phải thực kiểm tra tính xác thực thực thể trƣớc thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phƣơng thức bảo mật dựa vào mơ hình sau: • Đối tƣợng cần kiểm tra cần phải cung cấp thông tin trƣớc, ví dụ nhƣ Password, mã số thơng số cá nhân PIN (Personal Information Number) • Kiểm tra dựa vào mơ hình thơng tin có, đối tƣợng kiểm tra cần phải thể thông tin mà chúng sở hữu, ví dụ nhƣ Private Key, số thẻ tín dụng • Kiểm tra dựa vào mơ hình thơng tin xác định tính nhất, đối tƣợng kiểm tra cần phải có thơng tin để định danh tính ví dụ nhƣ thơng qua giọng nói, dấu vân tay, chữ ký Có thể phân loại bảo mật VPN theo cách sau: mật truyền thống hay mật lần; xác thực thông qua giao thức (PAP, CHAP, RADIUS…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, qt võng mạc ) Tính khả dụng (Availability): Tính khả dụng đặc tính mà thông tin mạng đƣợc thực thể hợp pháp tiếp cận sử dụng theo yêu cầu, cần thiết nào, hồn cảnh Tính khả dụng nói chung dùng tỷ lệ thời gian hệ thống đƣợc sử dụng bình thƣờng với thời gian q trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau: Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cƣỡng bức), khống chế lƣu lƣợng (chống tắc nghẽn ), khống chế chọn đƣờng (cho phép chọn đƣờng nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống đƣợc lƣu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tƣơng ứng) Tính bảo mật (Confidentialy): Tính bảo mật đặc tính tin tức không bị tiết lộ cho thực thể hay trình khơng đƣợc uỷ quyền biết khơng đối tƣợng lợi dụng Thơng tin cho phép thực thể đƣợc uỷ quyền sử dụng Kỹ thuật bảo mật thƣờng phòng ngừa dò la thu thập (làm cho đối thủ khơng thể dị la thu thập đƣợc thơng tin), phịng ngừa xạ (phịng ngừa tin tức bị xạ nhiều đƣờng khác nhau, tăng cƣờng bảo mật thông tin (dƣới khống chế khoá mật mã), bảo mật vật lý (sử dụng phƣơng pháp vật lý để đảm bảo tin tức khơng bị tiết lộ) Tính tồn vẹn (Integrity): Là đặc tính thơng tin mạng chƣa đƣợc uỷ quyền khơng thể tiến hành biến đổi đƣợc, tức thông tin mạng lƣu giữ q trình truyền dẫn đảm bảo khơng bị xoá bỏ, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào TS NGUYỄN VĂN VINH -108- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN cách ngẫu nhiên cố ý phá hoại khác Những nhân tố chủ yếu ảnh hƣởng tới tồn vẹn thơng tin mạng gồm: cố thiết bị, sai mã, bị tác động ngƣời, virus máy tính… Một số phƣơng pháp bảo đảm tính tồn vẹn thơng tin mạng: - Giao thức an tồn kiểm tra thơng tin bị chép, sửa đổi hay chép Nừu phát thơng tin bị vơ hiệu hố - Phƣơng pháp phát sai sửa sai Phƣơng pháp sửa sai mã hoá đơn giản thƣờng dùng phép kiểm tra chẵn - lẻ - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc cản trở truyền tin - Chữ ký điện tử: bảo đảm tính xác thực thơng tin - u cầu quan quản lý trung gian chứng minh tính chân thực thơng tin Tính khống chế (Accountlability): Là đặc tính lực khống chế truyền bá nội dung vốn có tin tức mạng Tính khơng thể chối cãi (Nonreputation): Trong q trình giao lƣu tin tức mạng, xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ phủ nhận thao tác cam kết đƣợc thực 4.1.3 Các lỗ hổng điểm yếu mạng Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngƣng trệ dịch vụ, thêm quyền ngƣời sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn dịch vụ nhƣ Sendmail, Web, Ftp hệ điều hành mạng nhƣ Windows NT, Windows 95, UNIX; ứng dụng Các loại lỗ hổng bảo mật hệ thống đƣợc chia nhƣ sau: - Lỗ hổng loại C: cho phép thực phƣơng thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, ảnh hƣởng chất lƣợng dịch vụ, làm ngƣng trệ, gián đoạn hệ thống, không phá hỏng liệu chiếm quyền truy nhập - Lổ hổng loại B: cho phép ngƣời sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng thƣờng có ứng dụng hệ thống, dẫn đến lộ thơng tin yêu cầu bảo mật - Lỗ hổng loại A: Các lỗ hổng cho phép ngƣời sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống Các phƣơng thức cơng mạng: Kẻ phá hoại lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi lỗ hổng Để xâm nhập vào hệ thống, kẻ phá hoại tìm lỗ hổng hệ thống, từ sách bảo mật, sử dụng cơng cụ dị xét (nhƣ SATAN, ISS) để đạt đƣợc quyền truy nhập Sau xâm nhập, kẻ phá hoại tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt đƣợc điểm yếu thực hành động phá hoại tinh vi TS NGUYỄN VĂN VINH -109- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN 4.1.4 Các biện pháp phát hệ thống bị cơng Khơng có hệ thống đảm bảo an toàn tuyệt đối, dịch vụ có lỗ hổng bảo mật tiềm tàng Ngƣời quản trị hệ thống nghiên cứu, xác định lỗ hổng bảo mật mà phải thực biện pháp kiểm tra hệ thống có dấu hiệu công hay không Một số biện cụ thể: Kiểm tra dấu hiệu hệ thống bị công: Hệ thống thƣờng bị treo bị Crash thông báo lỗi khơng rõ ràng Khó xác định ngun nhân thiếu thông tin liên quan Trƣớc tiên, xác định ngun nhân có phải phần cứng hay khơng, nghĩ đến khả máy bị công Kiểm tra tài khoản ngƣời dùng lạ, ID tài khoản khơng Kiểm tra xuất tập tin lạ Ngƣời quản trị hệ thống nên có thói quen đặt tên tập theo mẫu định để dễ dàng phát tập tin lạ Dùng lệnh Ls-l để kiểm tra thuộc tính Setuid Setgid tập tinh đáng ý, đặc biệt tập tin Scripts Kiểm tra thời gian thay đổi hệ thống, đặc biệt chƣơng trình Login, Sh Scripts khởi động Kiểm tra hiệu hệ thống: Sử dụng tiện ích theo dõi tài nguyên tiến trình hoạt động hệ thống nhƣ Ps Top Kiểm tra hoạt động dịch vụ hệ thống cung cấp: Một mục đích cơng làm cho tê liệt hệ thống (hình thức cơng DoS) Sử dụng lệnh nhƣ Ps, Pstat, tiện ích mạng để phát nguyên nhân hệ thống Kiểm tra truy nhập hệ thống Account thông thƣờng, đề phòng trƣờng hợp Account bị truy nhập trái phép thay đổi quyền hạn mà ngƣời sử dụng hợp pháp khơng kiểm sốt đƣợc Kiểm tra file liên quan đến cấu hình mạng dịch vụ nhƣ /etc/inetd.conf; bỏ dịch vụ không cần thiết; dịch vụ không cần thiết chạy dƣới quyền Root khơng chạy quyền yếu hơn; ví dụ Fingerd chạy với quyền Nobody Kiểm tra phiên Sendmail, /bin/mail, ftp, fingerd; tham gia nhóm tin bảo mật để có thông tin lỗ hổng dịch vụ sử dụng Các biện pháp kết hợp với tạo nên sách bảo mật hệ thống Chi tiết phƣơng thức kế hoạch xây dựng sách bảo mật đƣợc trình bày phần ba- xây dựng sách bảo mật 4.2 MỘT SỐ PHƢƠNG THỨC TẤN CÔNG MẠNG PHỔ BIẾN 4.2.1 Scanner Kẻ phá hoạt sử dụng chƣơng trình Scanner tự động rà sốt phát điểm yếu lỗ hổng bảo mật Server xa Scanner chƣơng trình trạm làm việc cục trạm xa Các chƣơng trình Scanner rà sốt phát số hiệu cổng (Port) sử dụng giao thức TCP/UDP tầng vận chuyển phát dịch vụ sử dụng hệ thống đó, ghi lại đáp ứng (Response) hệ thống xa tƣơng ứng với TS NGUYỄN VĂN VINH -110- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN dịch vụ mà phát Dựa vào thơng tin này, kẻ cơng tim điểm yếu hệ thống Chƣơng trình Scanner hoạt động đƣợc môi trƣờng TCP/IP, hệ điều hành UNIX, máy tính tƣơng thích IBM, dịng máy Macintosh Các chƣơng trình Scanner cung cấp thơng tin khả bảo mật yếu hệ thống mạng Những thông tin hữu ích cần thiết ngƣời quản trị mạng, nhƣng nguy hiểm kẻ phá hoại có thơng tin 4.2.2 Bẻ khố (Password Cracker) Chƣơng trình bẻ khố Password chƣơng trình có khả giải mã mật đƣợc mã hoá vơ hiệu hố chức bảo vệ mật hệ thống Hầu hết việc mã hoá mật đƣợc tạo từ phƣơng thức mã hố Các chƣơng trình mã hố sử dụng thuật tốn mã hố để mã hố mật khẩu.Có thể thay phá khoá hệ thống phần tán, đơn giản so với việc phá khoá Server cục Một danh sách từ đƣợc tạo thực mã hoá từ Sau lần mã hoá, so sánh với mật (Password) mã hố cần phá Nếu khơng trùng hợp, q trình lại quay lại Phƣơng thức bẻ khố gọi Bruce-Force Phƣơng pháp không chuẩn tắc nhƣng thực nhanh dựa vào nguyên tắc đặt mật ngƣời sử dụng thƣơng tuân theo số qui tắc để thuận tiện sử dụng Thơng thƣờng chƣơng trình phá khố thƣờng kết hợp số thơng tin khác q trình dị mật nhƣ: thông tin tập tin /etc/passwd, từ điển sử dụng từ lặp từ liệt kê tuần tự, chuyển đổi cách phát âm từ Biện pháp khắc phục cần xây dựng sách bảo vệ mật đắn 4.2.3 Trojans Một chƣơng trình Trojan chạy khơng hợp lệ hệ thống với vai trị nhƣ chƣơng trình hợp pháp Nó thực chức khơng hợp pháp Thơng thƣờng, Trojans chạy đƣợc chƣơng trình hợp pháp bị thay đổi mã mã bất hợp pháp Virus loại điển hình chƣơng trình Trojans, chƣơng trình virus che dấu đoạn mã chƣơng trình sử dụng hợp pháp Khi chƣơng trình hoạt động đoạn mã ẩn thực số chức mà ngƣời sử dụng khơng biết Trojan có nhiều loại khác Có thể chƣơng trình thực chức ẩn dấu, tiện ích tạo mục cho file thƣc mục, đoạn mã phá khoá, cố thể chƣơng trình xử lý văn tiện ích mạng Trojan lây lan nhiều mơi trƣờng hệ điều hành khác Đặc biệt thƣờng lây lan qua số dịch vụ phổ biến nhƣ Mail, FTP qua tiện ích, chƣơng trình miễn phí mạng Internet Hầu hết chƣơng trình FTP Server sử dụng phiên cũ, có nguy tiềm tàng lây lan Trojans Đánh giá mức độ phá hoại Trojans khó khăn Trong số trƣờng hợp, làm ảnh hƣơng đến truy nhập ngwời sử dụng Nghiêm trọng hơn, kẻ tán cơng lỗ hổng bảo mật mạng Khi kẻ công chiếm đƣợc quyền Root hệ thống, phá huỷ tồn phần hệ thống Chúng sử dụng quyền Root để thay đổi logfile, cài đặt chƣơng trình Trojans khác mà ngƣời quản trị TS NGUYỄN VĂN VINH -111- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN phát đƣợc ngƣời quản trị hệ thống cịn cách cài đặt lại toàn hệ thống 4.2.4 Sniffer Sniffer theo nghĩa đen “đánh hơi” “ngửi” Là cơng cụ (có thể phần cứng phần mềm) "tóm bắt" thông tin lƣu chuyển mạng để "đánh hơi" thơng tin có giá trị trao đổi mạng Hoạt động Sniffer giống nhƣ chƣơng trình "tóm bắt" thơng tin gõ từ bàn phím (Key Capture) Tuy nhiên tiện ích Key Capture thực trạm làm việc cụ thể, Sniffer bắt đƣợc thông tin trao đổi nhiều trạm làm việc với Các chƣơng trình Sniffer thiết bị Sniffer ”ngửi” giao thức TCP, UDP, IPX tầng mạng Vì tóm bắt gói tin IP Datagram Ethernet Packet Mặt khác, giao thức tầng IP đƣợc định nghĩa tƣờng minh cấu trúc trƣờng Header rõ ràng, nên việc giải mã gói tin khơng khó khăn Mục đích chƣơng trình Sniffer thiết lập chế độ dùng chung (Promiscuous) Card mạng Ethernet, nơi gói tin trao đổi "tóm bắt" gói tin 4.3 BIỆN PHÁP ĐẢM BẢO AN NINH MẠNG Thực tế khơng có biện pháp hữu hiệu đảm bảo an toàn tuyệt đối cho mạng Hệ thống bảo vệ dù có chắn đến đâu có lúc bị vơ hiệu hố kẻ phá hoại điêu luyện Có nhiều biện pháp đảm bảo an ninh mạng 4.3.1 Tổng quan bảo vệ thông tin mật mã (Cryptography) Mật mã trình chuyển đối thơng tin gốc sang dạng mã hóa (Encryption) Có hai cách tiếp cận để bảo vệ thơng tin mật mã: theo đƣờng truyền (Link Oriented Security) từ mútđếnmút (End-to-End) Trong cách thứ nhất, thông tin đƣợc mã hoá để bảo vệ đƣờng truyền nút khơng quan tâm đến nguồn đích thơng tin Ƣu điểm cách bí mật đƣợc luồng thơng tin nguồn đích ngăn chặn đƣợc tồn vi phạm nhằm phân tích thơng tin mạng Nhƣợc điểm thơng tin đƣợc mã hố đƣờng truyền nên đòi hỏi nút phải đƣợc bảo vệ tốt Ngƣợc lại, cách thứ hai, thông tin đƣợc bảo vệ toàn đƣờng từ nguồn tới đích Thơng tin đƣợc mã hố đƣợc tạo đƣợc giải mã đến đích Ƣu điểm tiếp cận ngƣời sử dụng dùng mà khơng ảnh hƣởng đến ngƣời sử dụng khác Nhƣợc điểm phƣơng pháp có liệu ngƣời sử dụng đƣợc mã hố, cịn thơng tin điều khiển phải giữ ngun để xử lý node Giải thuật DES mã hoá khối 64 bits văn gốc thành 64 bits văn mật khoá Khoá gồm 64 bits 56 bits đƣợc dùng mã hố bits cịn lại đƣợc dùng để kiểm sốt lỗi Một khối liệu cần mã hoá phải trải qua q trình xử lý: Hốn vị khởi đầu, tính tốn phụ thuộc khố hốn vị đảo ngƣợc hoán vị khởi đầu TS NGUYỄN VĂN VINH -112- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Khóa K Bản rõ Bản mã Mật mã Bản rõ Giải mã ban đầu Hình 4.1 Mơ hình mật mã đối xứng Phƣơng pháp sử dụng khố cơng khai (Public key): Các phƣơng pháp mật mã dùng khoá cho mã hố lẫn giải mã địi hỏi ngƣời gửi ngƣời nhận phải biết khố giữ bí mật Tồn phƣơng pháp làm để phân phối khoá cách an tồn, đặc biệt mơi trƣờng nhiều ngƣời sử dụng Để khắc phục, ngƣời ta thƣờng sử dụng phƣơng pháp mã hố khố, khố cơng khai để mã hố mã bí mật để giải mã Mặc dù hai khoá thực thao tác ngƣợc nhƣng khơng thể suy khố bí mật từ khố cơng khai ngƣợc lại nhờ hàm tốn học đặc biệt gọi hàm sập bẫy chiều (trap door one-way functions) Đặc điểm hàm phải biết đƣợc cách xây dựng hàm suy đƣợc nghịch đảo Giải thuật RSA dựa nhận xét sau: phân tích thừa số tích số nguyên tố lớn khó khăn Vì vậy, tích số ngun tố cơng khai, cịn số ngun tố lớn dùng để tạo khố giải mã mà khơng sợ bị an tồn Trong giải thuật RSA trạm lựa chọn ngẫu nhiên số nguyên tố lớn p q nhân chúng với để có tích n=pq (p q đƣợc giữ bí mật) Khóa K E Bản rõ Khóa K D Bản mã Mật mã Bản rõ Giải mã ban đầu Hình 4.2 Mơ hình mật mã khơng đối xứng 4.3.2 Firewall Firewall hệ thống dùng để tăng cƣờng khống chế truy xuất, phịng ngừa đột nhập bên ngồi vào hệ thống sử dụng tài nguyên mạng cách phi pháp Tất thông tin đến thiết phải qua Firewall chịu kiểm tra tƣờng lửa Nói chung Firewall có chức lớn sau: Lọc gói liệu vào/ra mạng lƣới Quản lý hành vi khai thác vào/ra mạng lƣới Ngăn chặn hành vi Ghi chép nội dung tin tức hoạt động thông qua tƣờng lửa TS NGUYỄN VĂN VINH -113- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Tiến hành đo thử giám sát cảnh báo công mạng lƣới Ƣu điểm nhƣợc điểm tƣờng lửa: Ƣu điểm chủ yếu việc sử dụng Firewall để bảo vệ mạng nội Cho phép ngƣời quản trị mạng xác định điểm khống chế ngăn chặn để phòng ngừa tin tặc, kẻ phá hoại, xâm nhập mạng nội Cấm khơng cho loại dịch vụ an tồn vào mạng, đồng thời chống trả cơng kích đến từ đƣờng khác Tính an tồn mạng đƣợc củng cố hệ thống Firewall mà phân bố tất máy chủ mạng Bảo vệ dịch vụ yếu mạng Firewall dễ dàng giám sát tính an tồn mạng phát cảnh bảo Tính an tồn tập trung Firewall giảm vấn đề không gian địa che dấu cấu trúc mạng nội Tăng cƣờng tính bảo mật, nhấn mạnh quyền sở hữu Firewall đƣợc sử dụng để quản lý lƣu lƣợng từ mạng ngoài, xây dựng phƣơng án chống nghẽn Nhƣợc điểm hạn chế dịch vụ có ích, để nâng cao tính an tồn mạng, ngƣời quản trị hạn chế đóng nhiều dịch vụ có ích mạng Khơng phịng hộ đƣợc công kẻ phá hoại mạng nội bộ, ngăn chăn công thông qua đƣờng khác tƣờng lửa Firewall Internet khơng thể hồn tồn phịng ngừa đƣợc phát tán phần mềm tệp nhiễm virus 4.3.3 Các loại Firewall Firewall lọc gói thƣờng định tuyến có lọc Khi nhận gói liệu, định cho phép qua từ chối cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào thông tin Header để đảm bảo trình chuyển phát IP Firewall cổng mạng hai ngăn loại Firewall có hai cửa nối đến mạng khác Ví dụ cửa nối tới mạng bên ngồi khơng tín nhiệm cịn cửa nối tới mạng nội tín nhiệm Đặc điểm lớn Firewall loại gói tin IP bị chặn lại Firewall che chắn (Screening) máy chủ bắt buộc có kết nối tới tất máy chủ bên với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội Firewall che chắn máy chủ định tuyến lọc gói máy chủ kiên cố hợp thành Hệ thống Firewall có cấp an toàn cao so với hệ thống Firewall lọc gói thơng thƣờng đảm bảo an tồn tầng mạng (lọc gói) tầng ứng dụng (dịch vụ đại lý) Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng dùng hai định tuyến lọc gói máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an tồn nhất, đảm bảo chức an toàn tầng mạng tầng ứng dụng 4.3.4 Kỹ thuật Fire wall Lọc khung (Frame Filtering): Hoạt động tầng mơ hình OSI, lọc, kiểm tra đƣợc mức bit nội dung khung tin (Ethernet/802.3, Token Ring 802.5, FDDI, ) Trong tầng khung liệu không tin cậy bị từ chối trƣớc vào mạng Lọc gói (Packet Filtering): Kiểu Firewall chung kiểu dựa tầng mạng mơ hình OSI Lọc gói cho phép hay từ chối gói tin mà nhận đƣợc Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số quy định lọc Packet hay không Các quy tắc lọc Packet dựa vào thông tin Packet Header Nếu quy tắc lọc Packet đƣợc thoả mãn gói tin đƣợc chuyển qua Firewall Nếu khơng bị bỏ Nhƣ Firewall ngăn cản TS NGUYỄN VĂN VINH -114- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN kết nối vào hệ thống, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Một số Firewall hoạt động tầng mạng (tƣơng tự nhƣ Router) thƣờng cho phép tốc độ xử lý nhanh kiểm tra địa IP nguồn mà khơng thực lệnh Router, không xác định địa sai hay bị cấm Nó sử dụng địa IP nguồn làm thị, gói tin mang địa nguồn địa giả chiếm đƣợc quyền truy nhập vào hệ thống Tuy nhiên có nhiều biện pháp kỹ thuật đƣợc áp dụng cho việc lọc gói tin nhằm khắc phục nhƣợc điểm trên, ngồi trƣờng địa IP đƣợc kiểm tra, cịn có thơng tin khác đƣợc kiểm tra với quy tắc đƣợc tạo Firewall, thông tin thời gian truy nhập, giao thức sử dụng, cổng Firewall kiểu Packet Filtering có loại: a Packet filtering Fire wall: Hoạt động tầng mạng mơ hình OSI hay tầng IP mơ hình TCP/IP Kiểu Firewall khơng quản lý đƣợc giao dịch mạng b Circuit Level Gateway: Hoạt động tầng phiên (Session) mơ hình OSI hay tầng TCP mơ hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch hệ thống ngƣời dùng cuối (VD: kiểm tra ID, mật ) loại Firewall cho phép lƣu vết trạng thái ngƣời truy nhập 4.3.5 Kỹ thuật Proxy Là hệ thống Firewall thực kết nối thay cho kết nối trực tiếp từ máy khách yêu cầu.Proxy hoạt động dựa phần mềm Khi kết nối từ ngƣời sử dụng đến mạng sử dụng Proxy kết nối bị chặn lại, sau Proxy kiểm tra trƣờng có liên quan đến yêu cầu kết nối Nếu việc kiểm tra thành cơng, có nghĩa trƣờng thông tin đáp ứng đƣợc quy tắc đặt ra, tạo cầu kết nối hai node với Ƣu điểm kiểu Firewall loại khơng có chức chuyển tiếp gói tin IP, điểu khiển cách chi tiết kết nối thông qua Firewall Cung cấp nhiều công cụ cho phép ghi lại trình kết nối Các gói tin chuyển qua Firewall đƣợc kiểm tra kỹ lƣỡng với quy tắc Firewall, điều phải trả giá cho tốc độ xử lý Khi máy chủ nhận gói tin từ mạng chuyển chúng vào mạng trong, tạo lỗ hổng cho kẻ phá hoại (Hacker) xâm nhập từ mạng vào mạng Nhƣợc điểm kiểu Firewall hoạt động dựa trình ứng dụng uỷ quyền (Proxy) 4.4 MẠNG RIÊNG ẢO VPN (Virtual Private Networks) 4.4.1 Khái niệm mạng riêng ảo Mạng máy tính ban đầu đƣợc triển khai với kỹ thuật chính: đƣờng thuê riêng (Leased Line) cho kết nối cố định đƣờng quay số (Dial-up) cho kết nối khơng thƣờng xun Các mạng có tính bảo mật cao, nhƣng lƣu lƣợng thay đổi địi hỏi tốc độ cao nên thúc đẩy hình thành kiểu mạng liệu mới, mạng riêng ảo Mạng riêng ảo đƣợc xây dựng kênh lơgích có tính “ảo” Xu hƣớng hội tụ mạng NGN tạo điều kiện cho xuất nhiều dịch vụ mới, có dịch vụ mạng riêng ảo TS NGUYỄN VĂN VINH -115- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN Mạng riêng ảo mạng máy tính, điểm khách hàng đƣợc kết nối với sở hạ tầng chia sẻ với sách truy nhập bảo mật nhƣ mạng riêng Có dạng mạng riêng ảo VPN là: Remote Access VPN, Site - to - Site VPN (Intranet VPN Extranet VPN) Remote Access VPN (Client - to - LAN VPN) cho phép thực kết nối truy nhập từ xa ngƣời sử dụng di động (máy tính cá nhân Personal Digital Assistant) với mạng (LAN WAN) qua đƣờng quay số, ISDN, đƣờng thuê bao số DSL Site- to - Site VPN dùng để kết nối mạng vị trí khác thơng qua kết nối VPN Có thể chia loại loại khác: Intranet VPN Extranet VPN Intranet VPN kết nối văn phòng xa với trụ sở thƣờng mạng LAN với Extranet VPN Intranet VPN khách hàng mở rộng kết nối với Intranet VPN khác Bảo mật yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn hiệu Kết hợp với thủ tục xác thực ngƣòi dùng, liệu đƣợc bảo mật thông qua kết nối đƣờng hầm (Tunnel) đƣợc tạo trƣớc truyền liệu Tunnel kết nối ảo điểm - điểm (Point to Point) làm cho mạng VPN hoạt động nhƣ mạng riêng Dữ liệu truyền VPN đƣợc mã hoá theo nhiều thuật toán khác với độ bảo mật khác Ngƣời quản trị mạng lựa chọn tuỳ theo yêu cầu bảo mật tốc độ truyền dẫn Giải pháp VPN đƣợc thiết kế phù hợp cho tổ chức có xu hƣớng tăng khả thông tin từ xa, hoạt động phân bố phạm vi địa lý rộng có sở liệu, kho liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao Chất lƣợng dịch vụ QoS, thoả thuận (Service Level Agreement-SLA) với ISP liên quan đến độ trễ trung bình gói mạng, kèm theo định giới hạn dƣới băng thông Bảo đảm cho QoS việc cần đƣợc thống phƣơng diện quản lý ISP Tất giao thức sử dụng mạng VPN, gói liệu IP đƣợc mã hoá (RSA RC-4 PPTP mã khóa cơng khai khác L2TP, IPSec) sau đóng gói (ESP), thêm tiêu đề IP để tạo đƣờng hầm mạng IP công cộng Nhƣ vậy, gói tin MTU bị thất lạc mạng IP cơng cộng thơng tin đƣợc mã hố nên kẻ phá hoại khó dị tìm thông tin thực chứa tin Trong giao thức PPTP L2TP, mã hố gói tin đƣợc thực từ ngƣời dùng máy chủ VPN Việc mát gói tin dẫn đến việc phải truyền lại tồn gói tin, điều gây nên độ trễ chung VPN ảnh hƣởng đến QoS mạng VPN 4.4.2 Kiến trúc mạng riêng ảo Hai thành phần Internet tạo nên mạng riêng ảo VPN, là: • Đƣờng hầm (Tunnelling) cho phép làm “ảo” mạng riêng • Các dịch vụ bảo mật đa dạng cho phép liệu mang tính riêng tƣ TS NGUYỄN VĂN VINH -116- MẠNG THƠNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG N Hình 4.3 Cấu trúc đường hầm Đƣờng hầm: kết nối điểm cuối cần thiết Khi kết nối đƣợc giải phóng khơng truyền liệu dành băng thông cho kết nối khác Kết nối mang tính lơgích “ảo” khơng phụ thuộc vào cấu trúc vật lý mạng Nó che giấu các thiết bị nhƣ định tuyến, chuyển mạch suốt ngƣời dùng Hình 4.4: Đường hầm cấu trúc LAN Client Đƣờng hầm đƣợc tạo cách đóng gói gói tin (Encapsulate) để truyền qua Internet Đóng gói mã hố gói gốc thêm vào tiêu đề IP cho gói Tại điểm cuối, cổng Định dạng gói tin tạo đƣờng hầm: IP Header, AH, ESP, Tiêu đề liệu Đƣờng hầm có loại: Thƣờng trực (Permanent) tạm thời (Temporary hay Dynamic) Thông thƣờng mạng riêng ảo VPN sử dụng dạng đƣờng hầm động Đƣờng hầm động hiệu cho VPN, khơng có TS NGUYỄN VĂN VINH -117- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN nhu cầu trao đổi thông tin đƣợc huỷ bỏ Đƣờng hầm kết nối điểm cuối theo kiểu LAN- to - LAN cổng bảo mật (Security Gateway), ngƣời dùng LAN dụng đƣờng hầm Còn trƣờng hợp Client- to - LAN, Client phải khởi tạo việc xây dựng đƣờng hầm máy ngƣời dùng để thông tin với cổng bảo mật để đến mạng LAN đích 4.4.3 Những ưu điểm mạng VPN Chi phí Cơng nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng gọi đƣờng dài chi phí gọi nội hạt Hơn nữa, sử dụng kết nối đến ISP cho phép vừa sử dụng VPN vừa truy nhập Internet Công nghệ VPN cho phép sử dụng băng thông đạt hiệu cao Giảm nhiều chi phí quản lý, bảo trì hệ thống Tính bảo mật: Trong VPN sử dụng chế đƣờng hầm (Tunnelling) giao thức tầng tầng 3, xác thực ngƣời dùng, kiểm soát truy nhập, bảo mật liệu mã hố, VPN có tính bảo mật cao, giảm thiểu khả cơng, thất liệu Truy nhập dễ dàng: Ngƣời sử dụng VPN, việc sử dụng tài nguyên VPN đƣợc sử dụng dịch vụ khác Internet mà không cần quan tâm đến phần phức tạp tầng dƣới 4.4.4 Giao thức PPTP (Point to Point Tunnelling Protocol) PPP giao thức tầng 2-Data link, truy nhập mạng WAN nhƣ HDLC, SDLC, X.25, Frame Relay, Dial on Demand PPP sử dụng cho nhiều giao thức lớp nhƣ TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP ( Network Control Protocol) PPP sử dụng Link Control Protocol để thiết lập điều khiển kết nối PPP sử dụng giao thức xác thực PAP CHAP PPTP dựa PPP để thực thi chức sau: - Thiết lập kết thúc kết nối vât lý - Xác thực ngƣời dùng - Tạo gói liệu PPP 4.4.5 Giao thức L2F (Layer Two Forwarding Protocol) Giao thức L2FP hãng Cisco phát triển, dùng để truyền khung SLIP/PPP qua Internet L2F hoạt động tầng (Data Link) mơ hình OSI Cũng nhƣ PPTP, L2F đƣợc thiết kế nhƣ giao thức Tunnel, sử dụng định nghĩa đóng gói liệu riêng để truyền gói tin mức Một khác PPTP L2F tạo Tunnel giao thức L2F không phụ thuộc vào IP GRE, điều cho phép làm việc với mơi trƣờng vật lý khác Cũng nhƣ PPTP, L2F sử dụng chức PPP để cung cấp kết nối truy cập từ xa kết nối đƣợc qua tunnel thông qua Internet để tới đích Tuy nhiên L2TP định nghĩa giao thức tạo tunnel riêng nó, dựa cấu L2F Cơ cấu tiếp tục định nghĩa việc truyền L2TP qua mạng chuyển mạch gói nhƣ X25, Frame Relay ATM Mặc dù nhiều cách thực L2TP tập trung vào việc sử dụng giao thức UDP mạng IP, ta có khả thiết lập TS NGUYỄN VĂN VINH -118- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN hệ thống L2TP không sử dụng IP Một mạng sử dụng ATM Frame Relay đƣợc triển khai cho tunnel L2TP 4.4.6 Giao thức L2TP (Layer Two Tunnelling Protocol) Giao thức L2TP đƣợc sử dụng để xác thực ngƣời sử dụng Dial-up Tunnel kết nối SLIP/PPP qua Internet Vì L2TP giao thức lớp 2, nên hỗ trợ cho ngƣời sử dụng khả mềm dẻo nhƣ PPTP việc truyền tải giao thức IP, ví dụ nhƣ IPX NETBEUI PPP L2TP Giao thức AH Giao thức ESP Giải thuật Mã hóa Giải thuật Xác thực Quản lý khóa Hình 4.5 Kiến trúc L2TP Hình 4.6 Q trình chuyển gói tin qua Tunnel L2TP Bảo mật L2TP: Việc xác thực ngƣời dùng giai đoạn: Giai đoạn ISP, giai đoạn giai đoạn (tuỳ chọn) máy chủ mạng riêng Trong giai đoạn 1, ISP sử dụng số TS NGUYỄN VĂN VINH -119- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN điện thoại ngƣời dùng tên ngƣời dùng để xác định dịch vụ L2TP khởi tạo kết nối đƣờng hầm đến máy chủ VPN Khi đƣờng hầm đƣợc thiết lập, LAC ISP định số nhận dạng gọi (Call ID) để định dạnh cho kết nối đƣờng hầm khởi tạo phiên làm việc cách chuyển thông tin xác thực cho máy chủ VPN Máy chủ VPN tiến hành tiếp bƣớc định chấp nhận hay từ chối gọi dựa vào thông tin xác thực từ gọi ISP chuyển đến Thơng tin mang CHAP, PAP, EAP hay thông tin xác thực Sau gọi đƣợc chấp nhận, máy chủ VPN khởi động giai đoạn lớp PPP, bƣớc náy tƣơng tự nhƣ máy chủ xác thực ngƣời dùng quay số truy nhập vào thăngr máy chủ Việc sử dụng giao thức xác thực đơn giản nhƣng không bảo mật cho luồng liệu điều khiển thông báo liệu tạo kẽ hở cho việc chèn gói liệu để chiếm quyền điều khiển đƣờng hầm, hay kết nối PPP, hoạc phá vỡ việc đàm phán PPP, lấy cắp mật ngƣời dùng Mã hố PPP khơng có xác thực địa chỉ, tồn vẹn liệu, quản lý khoá nên bảo mật yếu khơng an tồn kênh L2TP Vì vậy, để có đƣợc xác thực nhƣ mong muốn, cần phải phân phối khố có giao thức quản lý khố Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức IP, tối thiểu phải đƣợc thực cho L2TP IP Việc quản lý khố đƣợc thực thơng qua liên kết bảo mật - Security Association (SA) SA giúp đối tƣợng truyền thơng xác định phƣơng thức mã hố, nhƣng việc chuyển giao khoá lại IKE thực Nội dung đƣợc nói rõ giao thức IPSec 4.4.7 Giao thức IPSEC IPSec bảo đảm tính tin cậy, tính tồn vẹn tính xác thực truyền liệu qua mạng IP công cộng IPSec định nghĩa loại tiêu đề cho gói IP điều khiển q trình xác thực mã hóa: xác thực tiêu đề Authentication Header (AH), hai đóng gói bảo mật tải Encapsulating Security Payload (ESP) Xác thực tiêu đề AH đảm bảo tính tồn vẹn cho tiêu đề gói liệu Trong đóng gói bảo mật tải ESP thực mã hóa đảm bảo tính tồn vẹn cho gói liệu nhƣng khơng bảo vệ tiêu đề cho gói IP nhƣ AH IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa thuận liên kết bảo mật SA hai thực thể trao đổi thông tin khóa IKE cần đƣợc sử dụng phần lớn ứng dụng thực tế để đem lại thông tin liên lạc an toàn diện rộng * Xác thực tiêu đề AH: AH giao thức bảo mật IPsec đảm bảo tính tồn vẹn cho tiêu đề gói liệu nhƣ việc chứng thực ngƣời sử dụng Nó đảm bảo chống phát lại chống xâm nhập trái phép nhƣ tùy chọn Trong phiên đầu IPsec đóng gói bảo mật tải ESP thực mã hóa mà khơng có chứng thực nên AH ESP đƣợc dùng kết hợp phiên sau ESP có thêm khả chứng thực Tuy nhiên AH đƣợc dùng đảm bảo việc chứng thực cho toàn tiêu đề liệu nhƣ việc đơn giản truyền tải liệu mạng IP yêu cầu chứng thực AH có hai chế độ: Transport Tunnel Chế độ Tunnel AH tạo tiêu đề IP cho gói cịn chế độ Transport AH khơng tạo tiêu đề IP Hai chế độ AH đảm bảo tính tồn vẹn (Integrity), chứng thực (Authentication) cho tồn gói TS NGUYỄN VĂN VINH -120- MẠNG THƠNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG YÊN * Xử lý đảm bảo tính tồn vẹn: IPsec dùng thuật tốn mã chứng thực thông báo băm HMAC (Hash Message Authentication Code) thƣờng HMAC-MD5 hay HMAC-SHA-1 Nơi phát giá trị băm đƣợc đƣa vào gói gửi cho nơi nhận Nơi nhận tái tạo giá trị băm khóa chia sẻ kiểm tra trùng khớp giá trị băm qua đảm bảo tính tồn vẹn gói liệu Tuy nhiên IPsec khơng bảo vệ tính tồn vẹn cho tất trƣờng tiêu đề IP Một số trƣờng tiêu đề IP nhƣ TTL (Time to Live) trƣờng kiểm tra tiêu đề IP thay đổi q trình truyền Nếu thực tính giá trị băm cho tất trƣờng tiêu đề IP trƣờng nêu bị thay đổi chuyển tiếp nơi nhận giá trị băm bị sai khác Để giải vấn đề giá trị băm không tính đến trƣờng tiêu đề IP thay đổi hợp pháp trình truyền * ESP có hai chế độ: Transport Tunnel Chế độ Tunnel ESP tạo tiêu đề IP cho gói Chế độ mã hóa đảm bảo tính tồn vẹn liệu hay thực mã hóa tồn gói IP gốc Việc mã hóa tồn gói IP (gồm tiêu đề IP tải IP) giúp che đƣợc địa cho gói IP gốc Chế độ Transport ESP dùng lai tiêu đề gói IP gốc mã hóa đảm bảo tính tồn vẹn cho tải gói IP gốc Cả hai chế độ chứng thực để đảm bảo tính tồn vẹn đƣợc lƣu trƣờng ESP Auth * Xử lý mã hóa: ESP dùng hệ mật đối xứng để mã hóa gói liệu, nghĩa thu phát dùng loại khóa để mã hóa giải mã liệu ESP thƣờng dùng loại mã khối AES-CBC (AES-Cipher Block Chaining), AES-CTR (AES Counter Mode) 3DES * Trao đổi khóa mã hóa IKE (Internet Key Exchange): Trong truyền thơng sử dụng giao thức IPsec phải có trao đổi khóa hai điểm kết cuối, địi hỏi phải có chế quản lý khóa Có hai phƣơng thức chuyển giao khóa chuyển khóa tay chuyển khóa giao thức IKE Một hệ thống IPsec phụ thuộc phải hỗ trợ phƣơng thức chuyển khóa băng tay Phƣơng thức chìa khóa trao tay chẳng hạn khóa thƣơng mại ghi giấy Phƣơng thức phù hợp với số lƣợng nhỏ Site, mạng lớn phải thực phƣơng thức quản lý khóa tự động Trong IPsec ngƣời ta dùng giao thức quản lý chuyển khóa IKE (Internet Key Exchange) IKE có khả sau: - Cung cấp phƣơng tiện cho bên sử dụng giao thức, giải thuật khóa - Đảm bảo từ lúc bắt đầu chuyển khóa - Quản lý khóa sau chúng đƣợc chấp nhận tiến trình thỏa thuận - Đảm bảo khóa đƣợc chuyển cách bảo mật 4.4.8 Ứng dụng ESP AH cấu hình mạng * ESP cấu hình Gateway-to-Gateway: Trong cấu hình thiết lập kết nối có IPsec để mã hố đảm bảo tính tồn vẹn liệu hai điểm A B (điểm kết cuối A dùng Gateway A mạng A, điểm kết cuối B dùng Gateway B mạng B) TS NGUYỄN VĂN VINH -121- MẠNG THƠNG TIN KHOA ĐIỆN-ĐIỆN TỬ ĐHSP KT HƯNG N Hình 4.7 Cấu hình Gateway -to-Gateway * ESP AH cấu hình Host-to-Host: Trong cấu hình thiết lập kết nối có IPsec để mã hố đảm bảo tính tồn vẹn liệu hai điểm A B Tuỳ thuộc nhu cầu bảo mật dùng ESP hay AH Hình 4.8 Cấu hình Host-to-Host TS NGUYỄN VĂN VINH -122- MẠNG THÔNG TIN ... dụng mạng: Mạng truyền số liệu kí sinh Mạng truyền số liệu chuyên dụng c Phân loại theo topo mạng: Mạng tuyến tính, Mạng hình Mạng vịng d Phân loại theo kỹ thuật: Mạng chuyển mạch kênh, Mạng. .. tin giúp dễ dàng tiếp cận lĩnh vực đặc biệt hấp dẫn thơng tin số liệu .Thông tin số liệu liên quan đến tổ hợp nguồn tin, môi trƣờng máy thu kiểu mạng truyền số liệu khác 1.1.2 Các dạng thông tin. .. nguồn thơng tin thơng tin tƣơng tự thơng tin số Trong nguồn thơng tin tƣơng tự liên tục theo thay đổi giá trị vật lý thể thơng tin với đặc tính chất TS NGUYỄN VĂN VINH -4- MẠNG THÔNG TIN KHOA ĐIỆN-ĐIỆN

Ngày đăng: 22/05/2021, 09:51

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN