Bộ định tuyến hoạt động dựa trên các gói thống tin đi qua nó. Trên các gói này có chứa địa chỉ IP nguồn, IP đích, các giao thức được dùng. Đ ể tăng cường tính nãng bảo m ật cho m ạng, trên các bộ định tuyến có chứa các quy tắc lọc các địa chỉ IP hoặc các giải địa chỉ IP cụ thể để ngăn chặn tấn công từ xa vào các m áy chủ nằm trên Internet.
Đ ê xây dựng danh sách truy cập IP, ta có thể đặt bộ định tuyến trên từng m ạng của khách hàng, hoặc đặt ngay tại nhà cung cấp dịch vụ Internet, tức là đạt ngay tại cổng kết nối của toàn bộ khách hàng. N hư vậy, có thể quản lý danh sách truy cập tập trung và an toàn hơn do bộ định tuyến của nhà cung cấp dịch vụ được đặt cùng với các bức tường lửa để chống truy cập trái phép.
V iệc này rất có ý nghĩa vì hầu hết người dùng không có kiến thức hoặc biết rất ít về các nguyên tắc bảo m ật m ạng, điều này dẫn đến việc nếu nhà cung cấp dịch vụ không xây dựng các nguyên tắc bảo m ật cho người dùng thì các m áy chủ của người dùng thường xuyên bị tấn công từ bên ngoài. [3] [6] [11]
36
Tuỳ vào m ục đich sử dụng m à người ta thiết lập các danh sách truy cập ở trên cổng Serial hay cổng E thernet của bộ định tuyến. Ở các bộ định tuyến chuẩn, có m ột sô' đặc điểm của việc quản lý danh sách truy cập như sau:
• Gói dữ liệu có thể được lọc khi chúng đi vào cổng, trước khi có thực hiện định tuyến
• G ói dữ liệu có thể được lọc trước khi chúng đi ra cổng, sau khi thực hiện định tuyến
• “ D eny” là thuật ngữ dùng để chỉ ra rằng gói dữ liệu sẽ bị lọc • “ Perm it” là thuật ngữ dùng để chỉ ra rằng gói dữ liệu không bị lọc
• N guyên tắc lọc và thứ tự lọc được thiết lập ở bên trong danh sách truy cập • Trước khi kết thúc danh sách truy cập, thường có câu lệnh “deny all traffic” .
Đ iều này có nghĩa là nếu gói dữ liệu đó không thoả m ãn các điều kiện đã được nêu, nó sẽ bị bộ định tuyến khoá lại hoặc loại bỏ.
N hư đã nói ở phần trên, quyết định lọc trên các cổng của bộ định tuyến dựa vào các địa chỉ IP nguồn và IP đích, chứ không phải là các địa chỉ IP của bộ định tuyến. Bộ định tuyến chỉ là lớp trung gian kiểm soát các địa chỉ IP đó.
Đ ối với danh sách truy cập, người ta định nghĩa thêm m ột thông số của địa chỉ IP, đó là “ w ildcard m ask” . Bộ định tuyến sử dụng thông số này để xác định chính xác địa chỉ IP hoặc m ột lớp địa chỉ IP cụ thể cần lọc trong danh sách truy cập. Dưới đây nêu ra địa chỉ thông dụng của các thông số này:
Wildcard Mask Cơ số 2 Mỏ tả
o.o.o.o 00000000.00000000.00000000.00000000 Kiểm tra toàn bộ địa chỉ IP
0.0.0.255 00000000.00000000.00000000.11111111 Kiểm tra 24 bít đầu tiên
0.0.255.255 00000000.00000000.11111111.11111111 Kiểm tra 16 bít đầu tiên
0.255.255.255 00000000.11111111.11111111.11111111 Kiểm tra 8 bít đầu tiên
37
dịnh thoả mãn điều kiện lọc)
0.0.15.255 00000000.00000000.00001111.11111111 Kiểm tra 20 bít đầu tiên
0.0.3.255 00000000.00000000.00000011.11111111 Kiểm tra 22 bít đầu tiên
32.48.0.255 00100000.00110000.00000000.11111111 Kiểm tra tất cả các bít trừ bít
thú 3, thứ 11, 12 và 8 bít cuối
Bộ định tuyến sẽ dựa vào các số 0 nằm trong w ildcard m ask để kiểm tra các bít tương ứng của địa chỉ IP trong gói dữ liệu cần lọc. V í dụ ta có lớp địa chỉ IP sau:
Lớp IP cần kiểm tra Thông số trong danh sách lọc
IP Address Subnet mask IP Address Wildcard mask
203.162.7.128 255.255.255.224 203.162.7.128 0.0.0.31
Trong bảng trên, ta có số địa chỉ IP của lớp IP là 32 địa chỉ IP (từ địa chỉ 203.162.7.128 đến 203.162.7.159), với thông số trong danh sách lọc như trên, 32 địa chỉ IP này điều bị kiểm tra.
N ói chung, nếu ta m uốn tất cả các IP trong m ột lớp đều phải kiểm tra, thì ta chỉ cần đảo ngược subnet m ask của lớp địa chỉ IP sẽ được w ildcard m ask
Subnet Mask 11111111.11111111.11111111.11100000 255.255.255.224
Wildcard Mask
(đảo ngược) 00000000.00000000.00000000.00011111 0.0.0.31
* D anh sách truy câp tiêu chuán
Danh sách truy cập tiêu chuẩn hoạt động giống như m ột ngôn ngữ lập trình đơn giản: N ếu câu lệnh 1 được kiểm tra và thoả m ãn, toàn bộ hành động trong câu lệnh đó được thực hiện. N ếu câu lệnh này sai, ch u y ển xuống kiểm tra câu lệnh tiếp theo. Cứ tiếp tục như vậy cho đến khi gập câu lệnh cuối cùng của danh sách truy cập không thoả m ãn. [6]
38
Lệnh Mỏ tả
access-list acces-list-number Ịdeny|permit}
source [.source-wildcard] Lệnh cùa danh sách truy cập tiêu chuẩn
ip access-group {number} [in|out] Cổng thực hiện danh sách truy cập tiêu chuẩn
access-class number [in|out] Lệnh con của danh sách ưuy cập tiêu chuẩn
* D anh sách truy câp m ở rống
Về nguyên tấc lọc, danh sách truy cập m ở rộng hoạt động giống hệt danh sách truy cập tiêu chuẩn, chỉ khác ở chỗ là đối với danh sách truy cập m ở rộng, bộ định tuyến sẽ kiểm tra nhiều trường ở trong gói dữ liệu hơn, chứ không phải chỉ kiểm tra địa chỉ IP và subnet m ask n ; = --- 9 1 ---- i r Iicci 2 It-I --- 4 4 — ---* V ariable M iscellaneous Protocol H eader Source IP D estination
O ptions TCP. UDP.
h ead er fields type C hecksum A ddress IP A ddress ICM P. IGRP...
V í dụ nếu gói dữ liệu cần lọc là gói TCP
~*r 9 1 ---- i r Ile a 2 JCI --- 4 4 --- — V ariable M iscellaneous Protocol H eader Source IP D estination
O ptions head er fields 6 (TCP) C hecksum A ddress IP A ddress
2 2 16+
Source Dest. Rest of
Port Port TCP
39
ơ trên gói dữ liệu TC P này, bộ định tuyến có thể định nghĩa danh sách truy cập có
thể lọc theo địa chỉ IP nguồn, địa chỉ IP đích, kiểu giao thức là TCP, cổng nguổn, cổng đích của TCP. [6]
N ếu so sánh các thông số cần lọc của danh sách truy cập tiêu chuẩn và danh sách truy cập m ở rộng, ta có bảng sau:
Kiểu danh sách truy cập Thông sô cần kiểm tra và lọc
IP tiêu chuẩn Địa chỉ IP nguồn
Vị trí cùa các bít trong IP nguồn dựa trên wildcard mask
IP mờ rộng Địa chỉ IP nguổn
Vị trí của các bít trong IP nguồn dựa trên wildcard mask Địa chỉ IP đích
Vị trí cùa các bít trong IP đích dựa trên wildcard mask
Kiểu giao thức (TCP, UDP, ICMP, IDRP, IGMP, DNS, HTTP...) Cổng nguổn
Cổng đích
Trong m ô hình L ong-R each E thernet, tất cả các m ạng của khách hàng được đấu nối chung vào m ột m ạng backbone chính. V í dụ với m ạng L ong-R each E thernet ở dưới, ta có thể thiết lập danh sách truy cập trên các bộ định tuyến với các thông số và yêu cầu như sau:
40
Customer's A
210.245.10,0 255.255.255 224
Internet Service p s j p?l| H I
Provider ILlr ILJP I f
M a il S B rve r W e b S erv e r D N S S erve r
R ou ter D
210.245.11.64 255.255.255.240
W orksta tion W orksta tion
Hình 23: Danh sách truy cập trên mạng Long-Reach Ethernet
1. M ạng của người dùng có các giải IP tương ứng là: • C u sto m er’s A: 210.245.10.0/255.255.255.224 • C u sto m er’s B: 210.245.11.64/255.255.255.240
2. M ạng trung gian giữa người dùng và nhà cung cấp dịch vụ • M ạng trung gian: 210.245.1.0/255.255.255.0
3. M ạng củ a nhà cung cấp dịch vụ:
• M ạng của ISP: 210.245.0.128/255.255.255.224 Các yêu cầu cơ bản:
1. N gười dùng từ xa có thể truy cập vào m áy chủ thư điện tử, các trang W eb của m ạng người dùng A
2. N gười dùng từ xa có thể truy cập được dịch vụ FTP, các trang W eb, truy vấn các bản ghi tên m iền của m ạng người dùng B
41
3. Người dùng ở m ạng A và B có thể truy cập được vào các m áy chủ M ail, W eb, FTP, DNS tương ứng của nhà cung cấp dịch vụ
4. Tất cả các m ạng có thể ping được đến nhau. 5. Tất cả các yêu cầu khác đều bị cấm
Vì đường kết nối m ạng giữa m ạng người dùng A, B và nhà cung cấp dịch vụ có nhiều bộ định tuyến, nên ta có thể có nhiều cách thiết lập danh sách truy cập. Ta có thể làm như sau:
Router A:
interface E th e rn e to / l ip a ccess-g ro u p 120 out
ư m m m m m L x
access-list 120 perm it tcp any 210.245.10.0 0.0.0.31 eq WWW access-list 120 perm it tcp any 210.245.10.0 0.0.0.31 eq pop3 access-list 120 perm it tcp any 210.245.10.0 0.0.0.31 eq smtp access-list 120 perm it tcp any 210.245.10.0 0.0.0.31 eq 23
access-list 120 perm it tcp any 210.245.11.64 0.0.0.15 eq WWW access-list 120 perm it tcp any 210.245.11.64 0.0.0.15 eq ftp access-list 120 perm it udp any 210.245.11.64 0.0.0.15 eq dns access-list 120 perm it tcp any 210.245.11.64 0.0.0.15 eq 23
42 Router B: in terface E th e rn e to / l ip a cce ss-g ro u p 121 in access-list 121 perm it access-list 121 perm it access-list 121 perm it access-list 121 perm it access-list 121 perm it access-list 121 perm it
//Thoa maij ýẹù.ca.u.3.
access-list 121 perm it access-list 121 perm it access-list 121 perm it access-list 121 perm it access-list 121 perm it access-list 121 perm it tdp 210.245.10.0 0.0.0.31 210.245.0.128 0 0.0.0.31 eq W W W tdp 210.245.10.0 0.0.0.31 210.245.0.128 0 0.0.0.31 eq smtp tdp 210.245.10.0 0.0.0.31 210.245.0.128 0 0.0.0.31 eq pop3 tdp 210.245.10.0 0.0.0.31 210.245.0.128 0 0.0.0.31 eq 23 tdp 210.245.10.0 0.0.0.31 210.245.0.128 0 0.0.0.31 eq ftp udp 210.245.10.0 0.0.0.31 210.245.0.128 0 0.0.0.31 eq dns tdp 210.245.11.64 0.0.0.15 210.245.0.128 0 0.0.0.31 eq WWW tdp 210.245.11.64 0.0.0.15 2 Ỉ0 .2 4 5 .0 .1 2 8 0 0.0.0.31 eq smtp tdp 210.245.11.64 0.0.0.15 210.245.0.128 0 0.0.0.31 eq pop3 tdp 210.245.11.64 0.0.0.15 210.245.0.128 0 0.0.0.31 eq 23 tdp 210.245.11.64 0.0.0.15 210.245.0.128 0 0.0.0.31 eq ftp udp 210.245.11.64 0.0.0.15 210.245.0.128 0 0.0.0.31 eq dns m M ã ỉn ắ ữ ỳ e ụ lcả u I
access-list 121 perm it icmp any any echo
N hư vậy, với việc thiết lập danh sách truy cập trên bộ định tuyến, ta có thể tăng cường tính nãng bảo m ật m ạng bằng cách chỉ chơ phép người dùng ở xa truy cập vào các cổng nhất định (tuỳ vào từng yêu cầu dịch vụ) trên m ạng của người dùng hoặc trên nhà cung cấp dịch vụ. [6] [11]
3.4. Chương trình quản lý băng thông
N hư đã nói ở phần II, với m ô hình dịch vụ Internet sử dụng hệ thống m ạng điện thoại công cộng, các cuộc kết nối từ người dùng đến nhà cung cấp dịch vụ Internet có các đặc điểm sau:
• Tất cả các cuộc kết nối chỉ có tốc độ tối đa là 56K bps (do tính chất của m ạng điện thoại cống cộng)
• Các cuộc kết nối này chỉ có thời gian nhất định, chứ không kết nối liên tục 24/24
43
• Đ ịa chỉ IP kết nối được nhà cung cấp dịch vụ cấp phát động, tức là khi người dùng kết nối bằng 2 lần kết nối khác nhau (tên truy cập và m ật khẩu giống nhau) thì IP được cấp phát là khác nhau
• Người dùng không có bất kỳ dịch vụ gì trên m áy của họ khi kết nối vào nhà cung cấp dịch vụ Internet
Với những lý do trên, ta có thể nhận xét rằng yêu cầu của bài toán quản lý băng thông với các cuộc kết nối như vậy là không cần thiết. Bản thân, các nhà cung cấp dịch vụ Internet hiện tại cũng không giải quyết bài toán quản lý bãng thông cho trường hợp người dùng kết nối vào m ạng của họ.
N gược với m ô hình cung cấp dịch vụ Internet qua m ạng điện thoại công cộng, đặc điểm của đường kết nối từ người dùng đến nhà cung cấp dịch vụ Internet trong mô hình L ong-R each Ethernet có các đặc điểm sau:
• Đường kết nối từ người dùng đến nhà cung cấp dịch vụ Internet tồn tại 24/24 • Tốc độ kết nối không phải là 56K bps m à là N *64K bps, tốc độ kết nối sẽ phụ
thuộc vào yêu cầu của người dùng
• Do đường kết nối là 24/24, vì vậy m ỗi người dùng sẽ được gán m ột địa chỉ IP hoặc m ột giải địa chỉ IP tĩnh. Đ ịa chỉ IP hoặc giải địa chỉ IP này được cấp phát cố định và vĩnh viễn cho người dùng
• Do có đường kết nối 24/24 tốc độ cao, đồng thời được cấp phát IP tĩnh, vì vậv người dùng có thể sử dụng rất nhiều dịch vụ trên các m áy chủ của họ.
N hư vậy, rõ ràng là với m ô hình L ong-R each Ethernet, đường kết nối của người dùng sẽ phải hoạt động liên tục. Vì vậy, yêu cầu đặt ra của nhà cung cấp dịch vụ Internet là phải có chương trình quản lý băng thông để có thể kiểm soát được lưu lượng sử dụng các dịch vụ Internet của người dùng. Dựa vào các đồ thị biểu diễn băng thông m à người dùng có thể biết được tình trạng sử dụng dịch vụ của họ.
44
Đ ể có thể quản lý được bãng thông của người dùng, nhà cung cấp dịch vụ Internet phải sử dụng giao thức SM NP để viết các chương trình đo tốc độ kết nối trên từng cổng svvtich nối đến người dùng. [5]
ứ n g dung giao thức SNM P dể quản lv m ỏ hình L ong-R each Ethernet
SN M P (Sim ple N etw ork M anagem ent Protocol) là giao thức thuộc tầng ứng dụng nhằm làm thuận tiện hơn cho việc trao đổi các thông tin quản trị giữa các thiết bị m ạng. SN M P là m ột phần của chổng giao thức TCP/IP (T ransm ission Control Protocol/Internet Protocol). SN M P cho phép các nhà quản trị hệ thống m ạng quản lý được hoạt động của m ạng, tìm và sửa các lỗi trên m ạng, và lên k ế hoạch cho sự phát triển c ủ a m ạng. H iện tại, các thiết bị m ạng đang hỗ trợ hai phiên bản của SNM P là: SNM P version 1 và SNM P version 2. Cả hai phiên bản này đều có có các đặc điểm chung, nhưng SNM P version 2 có các nhiều ưu điểm hơn, ví dụ như có thêm các m odule điều khiển giao thức phụ thêm . V í dụ ở dưới mô tả m ột m ạng cơ bản được quản lý bằng giao thức SNMP, ở đây m áy tính có thể quản lý các thiết bị m ạng (bộ định tuyến) và các m áy tính khác ở trong m ạng. [1]
45
Các thành phần cơ bản của SNM P bao gồm: thiết bị cần quản lý (m anaged device), các tác nhân (agents), và hộ thống quản lý m ạng (netw ork-m anagem ent systems NM Ss).
Các thiết bị cần quản lý là m ột node m ạng nào đó chứa các tác nhân SNMP. Các thiết bị này tập hợp các thông tin về quản lý và đưa ra m ột chuẩn dữ liệu cho NMSs dựa vào SNM P. Các thiết bị cần quản lý, đồi khi được gọi là các phần tử của m ạng. Tác nhân là m ột m odule phần m ềm trong quản lý m ạng nằm trong các thiết bị cần quản lý. Tác nhân này có nhiệm vụ thu thập thông tin quản lý và đưa về m ột chuẩn dữ liệu tương thích với SNMP.
Hệ thống quản lý m ạng thực hiện các ứng dụng giám sát và điều khiển các thiết bị. NM S cung cấp các tài nguyên bộ nhớ và quá trình cho quản lý m ạng. M ột hoặc nhiều N M S phải nằm ở bên trong các thiết bị cần quản lý. Dưới đây là mối quan hệ giữa 3 thành phần này:
Managed devices
40
N hìn vào m ô hình trên, ta có thể thấy rằng hệ thống quản lý m ạng nói chung được thiết k ế dựa trên m ô hình M anager/A gent. Hệ thống này bao gồm m ột vài NM S và Agent, đồng thời có thêm m ột cơ sở dữ liệu thông tin quản lý (M IB: M anagem ent Inform ation D atabase) và các giao thức quản lý mạng.
M ỗi thiết bị được quản lý tại các nút m ạng có thể là m áy trạm , m áy chủ truyền thông, m áy in, các thiết bị liên kết m ạng như là bộ định tuyến, bridge hoặc hub thông m inh. Do m ột số thiết bị bị hạn ch ế khả năng khi chạy các phần m ềm quản lý (như là tốc độ CPU chậm , dung lượng bộ nhớ thấp...) nên những phần m ềm quản lý cài đặt trên chúng phải được xây dựng sao cho gọn nhất. M ặt khác, các phần mềm quản lý cài đặt trên các thiết bị được quản lý phải được thiết k ế sao cho giảm thiểu các thao tác khi vận hành và trao đổi thông tin trên m ạng. Chính vì lý do này, hầu