1.1.4.1 Cáp
Cáp xoắn đôi (Twisted pair cable) - Dùng phổ biến cho mạng LAN. - Có hai loại:
+ STP (Shield Twised Pair): cáp xoắn đôi bọc kim.
Hình 9 Cáp xoắn đôi STP
Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hai loại là cáp dày (Thick cable) và cáp mỏng (Thin cable). (Thick cable) và cáp mỏng (Thin cable).
Hình 11 Cáp đồng trục
Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễu tốt.
Hình 12 Cáp quang
1.1.4.2 Thiết bị không dây
Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps. Microwave: truyền dữ liệu với băng thông rộng hơn radio.
Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu.
1.1.5 Hệ điều hành mạng
Windows NT/2000: Windows NT là một hệ điều hành cấp cao của Windows cung cấp các thao tác hoàn toàn 32-bit trên các hệ thống đơn hay đa xử lý. Hệ nầy xây dựng sẵn các độ an toàn đáp ứng được các xếp loại của chính phủ và hỗ trợ mạng tối ưu để thi hành các ứng dụng back-end cho rất nhiều khách (client).
Đồng thời hệ điều hành Windows NT được thiết kế đặc biệt để phục vụ những nhu cầu của người sử dụng mạng và cung cấp hiệu năng làm việc và độ an toàn ở cấp cao.
LUNIX: Một hệ điều hành được dùng trong nhiều loại máy tính khác nhau, từ các máy tính lớn cho đến các máy tính cá nhân, nó có khả năng đa nhiệm phù hợp một cách lý tưỏng đối với các ứng dụng nhiều người dùng. UNIX được viết bằng ngôn ngữ lập trình rất linh động, ngôn ngữ C và cũng như C, đó là thành quả nghiên cứu của AT & T Bell Laboratories UNIX là một môi trường lập trình toàn diện, nó diễn đạt một triết lý lập trình duy nhất. Tuy nhiên với hơn 200 lệnh không kể các thông báo lỗi, và với những cú pháp lệnh khó hiểu UNIX là một gánh nặng cho những người không quen sử dụng và không giỏi kỹ thuật. Với sự phát triển các shell của UNIX, hệ điều hành này có thể đóng một vai trò phổ dụng hơn trong điện toán.
Linux: Linux là hệ điều hành “giống” Unix - 32 bit chạy được trên nhiều trạm bao gồm các bộ xử lý Intel, SPARC, PowerPC và DEC Alpha cũng như những hệ thống đa xử lý. Hệ điều hành nầy là miễn phí, bạn có thể tải nó xuống từ web hay bạn có thể mua một quyển sách có chứa một CD-ROM với toàn bộ hệ điều hành như: “Linux: The Complete Reference” của Richard Peterson (Berkeley, CA: Osborne/McGraw-Hill, 1996).
1.2 Các dịch vụ trên mạng INTERNET 1.2.1 Dịch vụ truy nhập từ xa
Telnet cho phép người sử dụng đăng nhập từ xa vào hệ thống từ một thiết bị đầu cuối nào đó trên mạng. Với Telnet người sử dụng hoàn toàn có thể làm việc với hệ thống từ xa như thể họ đang ngồi làm việc ngay trước màn hình của hệ thống. kết nối Telnet là một kết nối TCP dùng để truyền dữ liệu với các thông tin điều khiển.
1.2.2 Dịch vụ truyền tệp (FTP)
Là một dịch vụ cơ bản và phổ biến cho phép chuyển các tệp dữ liệu giữa các máy tính khác nhau trên mạng. FTP hỗ trợ tất cả các dạng tệp, trên thực tế nó không quan tâm tới dạng tệp cho dù là tệp văn bản mã ASCII hay các tệp dữ liệu dạng nhị phân. Với cấu hình của máy phục vụ FTP, có thể quy định quyền truy cập của người sử dụng với từng thư mục lưu trữ dữ liệu, tệp dữ liệu cũng như giới hạn số lượng người sử dụng có khả năng cùng một lúc có thể truy nhập vào cùng một nơi lưu trữ dữ liệu.
1.2.3 Dịch vụ Gopher
Trước khi Web ra đời Gopher là dịch vụ rất được ưa chuộng. Gopher là một dịch vụ chuyển tệp tương tự như FTP, nhưng nó hỗ trợ người dùng trong việc cung cấp thông tin về tài nguyên. Client Gopher hiển thị một thực đơn, người dùng chỉ việc lựa chọn cái mà mình cần. kết qủa của việc lựa chọn được thể hiện ở một thực đơn khác.
Gopher bị giới hạn trong kiểu các dữ liệu. Nó chỉ hiển thị dữ liệu dưới dạng mã ASCII mặc dù có thể chuyển dữ liệu dạng nhị phân và hiển thị nó bằng một phần mềm khác.
1.2.4 Dịch vụ WAIS
WAIS (Wide Area Information Serves) là một dịch vụ tìm kiếm dữ liệu. WAIS thường xuyên bắt đầu việc tìm kiếm dữ liệu tại thư mục của máy chủ, nơi chứa toàn bộ danh mục của các máy phục vụ khác. Sau đó, WAIS thực hiện tìm kiếm máy phục vụ thích hợp nhất. WAIS có thể thực hiện công việc của mình với nhiều loại dữ liệu khác nhau như văn bản ASCII, GIF, điện thư…
1.2.5 Dịch vụ World Wide Web
World Wide Web (WWW hay Web) là một dịch vụ tích hợp, sử dụng đơn giản và có hiệu qủa nhất trên Internet. Web tích hợp cả FTP, WAIS, Gopher. Trình duyệt Web có thể cho phép truy nhập vào tất cả các dịch vụ trên.
Tài liệu WWW được viết bằng ngôn ngữ HTML (HyperText Markup Language) hay còn gọi là ngôn ngữ đánh dấu siêu văn bản. Siêu văn bản là văn bản bình thường cộng thêm một số lệnh định dạng. HTML có nhiều cách liên kết với các tài nguyên FTP, Gopher server và Web server. Web server là máy phục vụ Web, đáp ứng các yêu cầu về truy nhập tài liệu HTML. Web server trao đổi các tài liệu HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay còn gọi là giao thức truyền siêu văn bản.
Trình duyệt Web (Web client) là chương trình để xem các tài liệu Web. Trình duyệt Web gửi các URL đến máy phục vụ Web sau đó nhận trang Web từ máy phục vụ Web dịch và hiển thị chúng. Khi giao tiếp với máy phục vụ Web thì trình duyệt Web sử dụng giao thức HTTP. Khi giao tiếp với một Gopher server thì trình duyệt Web hoạt động như một Gopher client và sử dụng giao thức gopher. Trình duyệt Web có thể thực hiện các công việc khác nhau như ghi trang Web vào đĩa, gửi Email, hiển thị tệp HTTP nguồn của trang Web,…Hiện nay có hai trình duyệt Web được sử dụng nhiều nhất là Internet Explorer và Netscape, ngoài ra còn một số trình duyệt khác như Opera, Mozila,…
1.2.6 Dịch vụ thư điện tử (E mail)
Dịch vụ thư điện tử (hay còn gọi là điện thư) là một dịch vụ thông dụng nhất trong mọi hệ thống mạng dù lớn hay nhỏ. Thư điện tử được sử dụng rộng rãi như một phương tiện giao tiếp hàng ngày trên mạng nhờ tính linh hoạt và phố biến của nó. Từ các trao đổi thư tín thông thường, thông tin quảng cáo, tiếp thị, đến những công văn, báo cáo hay kể cả những bản hợp đồng thương mại, chứng từ,…tất cả đều được trao đổi qua thư điện tử.
1.3 Cơ bản an toàn mạng 1.3.1 Các hiểm họa trên mạng
Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống.
1.3.1.1 Các lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
1.3.1.2 Các lỗ hổng loại B
Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
1.3.1.3 Các lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống.
Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.
1.3.2 Các phương pháp tấn công trên mạng 1.3.2.1 Virus
Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh) và có thể phá hoại dữ liệu. Tính lây lan của Virus là khả năng tự sao chép của Virus từ đối tượng bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng. Đối tượng bị nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản, macro…) và môi trường lan truyền bao gồm mạng, đường truyền và các loại bộ nhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại khác nhau. Virus máy tính có nhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan, Worm, Polymorphic, Hoaxes. Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biến hiện nay. Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và tác hại gây ra bởi virus là rất lớn và thật khó lường.
1.3.2.2 Treo cứng hệ thống
Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công qua những giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giao thức SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP. Trong đó, tấn công "ngập lụt" là kiểu tấn công phổ biến.
1.3.2.3 Từ chối dịch vụ
Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống máy chủ bị nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa. Kỹ thuật này còn được cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS) khi các cuộc tấn công đồng loạt xuất phát từ nhiều nơi trên mạng và được hứa hẹn trước vào cùng một thời điểm nên rất khó chống đỡ.
1.3.2.4 Lợi dụng chương trình
Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵn trong trong một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ. Phần lớn các phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợi dụng.
1.3.2.5 Giả mạo địa chỉ IP
Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IP spoofing) cho phép hacker gửi vào một máy tính những gói dữ liệu có vẻ đi đến từ một địa chỉ IP khác với địa chỉ của hacker nhằm che đậy dấu vết. Kỹ thuật này kết hợp với các kiểu tấn công chủ động khác như lặp lại hoặc thay đổi các thông điệp.
1.3.3 Các phương pháp bảo mật
1.3.3.1 Xác thực (Authentication) là quá trình xử lý và giám sát người sử dụng trong quá trình logon hay truy cập bất kỳ vào tài nguyên mạng. Ta có thể xác thực bằng các phương pháp như sử dụng mật mã (password), khóa (key), dấu vân tay (fingerprints),…
1.3.3.2 Điều khiển truy cập (Access Control) giới hạn quyền truy cập của người dùng vào tài nguyên hệ thống và cho phép những ai có quyền truy cập vào.
1.3.3.3 Mã hóa dữ liệu (Data Encryption) nhằm mục đích không cho người khác đánh cắp dữ liệu. Khi dữ liệu gửi đi thì có kèm theo một khóa (key), nếu ai có khác đánh cắp dữ liệu. Khi dữ liệu gửi đi thì có kèm theo một khóa (key), nếu ai có khóa trùng với khóa đó mới đọc được nội dung của dữ liệu gửi tới.
1.3.3.4 Chính sách (Auditing) nhằm mục đích quản lý người sử dụng trong hệ thống như giám sát quá trình đăng nhập vào hệ thống, chỉnh sửa dữ liệu và một số thống như giám sát quá trình đăng nhập vào hệ thống, chỉnh sửa dữ liệu và một số vấn đề khác.
1.4 FIREWALL và mạng VPN1.4.1 Firewall 1.4.1 Firewall
1.4.1.1 Khái niệm cơ bản
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng.
Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.
1.4.1.2 Các kiểu firewall
Firewall dựa trên Application level gateway
Hình 14 Application level gateway Cổng vòng (Circuit level gateway)
Hình 15 Circuit level gateway
1.4.2 Mạng VPN1.4.2.1 Định nghĩa 1.4.2.1 Định nghĩa
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
1.4.2.2 Thành phần: có 4 thành phần chính.
- VPN Server- VPN Client - VPN Client - Tunnel
- Public Network
1.4.2.3 Giao thức: VPN sử dụng các loại giao thức chủ yếu sau.- Point to Point Protocol (PPP) - Point to Point Protocol (PPP)
- Point to Point Tunneling Protocol (PPTP) - Layer 2 Forwarding (L2F) protocol - Layer 2 Tunneling Protocol (L2TP) - IP Security (IPSec)
1.4.2.4 Kiểu VPN: có 3 kiểu VPN.
- Remote Access VPN- Intranet VPN - Intranet VPN
CHƯƠNG 2: TỔNG QUAN VỀ CÔNG NGHỆ VPN 2.1 Khái quát chung
2.1.1 Lịch sử hình thành và phát triển
Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một cách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng WAN. PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực hiện nối thông.
Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụ được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các hộ khách thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết bị tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi số chuyên dụng cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên không thực sự linh hoạt. Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn có thể dùng cho nghiệp vụ dữ liệu.
Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng của