1. Đặt vấn đề
Sự bùng nổ của Công nghệ Thông tin (CNTT) đã và đang ảnh hưởng sâu rộng tới mọi lĩnh vực của cuộc sống. Đối với các cá nhân và các doanh nghiệp, CNTT đã trở thành một trong những nhân tố, công cụ tăng năng lực cho cá nhân và tăng hiệu xuất làm việc của doanh nghiệp đồng thời mang lại hiệu quả kinh tế cao mà chi phí bỏ ra không đáng kể. Đặc biệt đối với các doanh nghiệp CNTT đóng vai trò nền tảng quan trọng trong việc khai thác các ứng dụng nghiệp vụ.
Ngày nay bên cạnh sự phát triển vượt bậc không ngừng của CNTT trên toàn thế giới và những lợi ích to lớn mà nó mang lại, thì cũng không ít phần tử lợi dụng những lỗ hổng trong hệ thống của các tổ chức, doanh nghiệp thâm nhập cài mã độc, virus vào để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho những mục đích không lành mạnh của mình.
Symantec đã chính thức công bố những kết quả của Nghiên cứu toàn cầu về hiện trạng bảo mật doanh nghiệp năm 2010 của hãng, theo đó 42% tổ chức coi vấn đề bảo mật là một trong những ưu tiên hàng đầu của họ. Đây không hẳn là một điều ngạc nhiên khi có tới 75% tổ chức được khảo sát đều ít nhiều hứng chịu các cuộc tấn công mạng trong vòng 12 tháng vừa qua. Theo thống kê những cuộc tấn công này gây ra mức tổn thất trung bình cho các doanh nghiệp là 2 triệu USD mỗi năm.
Có một thực trạng diễn ra hiện nay là các Hacker, Cracker những kẻ luôn tìm cách tấn công các hệ thống doanh nghiệp, các nhân người dùng luôn đi trước những người quản trị viên một bước. Chính vì lý do đó những nhà quản trị mạng (Security), những người dùng cá nhân phải tự bảo vệ hệ thống của mình “Phòng hơn là Chữa”. Hiện nay các chuyên gia bảo mật trên thế giới đã phát triển ra các hệ thống phần mềm có thể ngăn ngừa những sự tấn công từ bên ngoài Internet và bảo vệ hệ thống của chúng ta an toàn. Những hệ thống như vậy được gọi là Internet Firewall hay Firewall. Để cài đặt và cấu hình được Firewall theo nhu cầu người sử dụng thì người quản trị, cài đặt phải có những kiến thức nhất định về tin học và mạng máy tính đề tài “BẢO VỆ VÀ PHÒNG NGỪA TẤN CÔNG HỆ THỐNG MẠNG BẰNG FIREWALL” sẽ phần nào giúp người sử dụng làm được điều đó.
2. Mục tiêu
Đề tài là một tài liệu tham khảo cho người đọc, những người đang ứng dụng CNTT phục vụ cho công việc của mình, của tổ chức, doanh nghiệp có một cái nhìn tổng quát về Firewall. Nắm được những khái niệm cơ bản về các giao thức mạng, bảo mật có thể tự cài đặt và cấu hình cơ bản cho một hệ thống Firewall.
3. Ý nghĩa khoa học và thực tiễn
Đề tài có ý nghĩa thực tiễn hết sức quan trọng trong thời kỳ hiện nay. Giúp người đã và đang sử dụng tiếp xúc với môi trường Internet hiểu được những gì đang đe dọa mình và giải pháp để ngăn ngừa những đe dọa đó từ đó họ có thể tự bảo vệ mình, giảm thiểu tối đa thiệt hại về kinh tế. Giáo dục đạo đức nghề nghiệp đối với những người đang làm trong lĩnh vực CNTT không đem tài năng của mình ra để phá hoại người khác. Ngoài ra việc tìm hiểu chức năng và ứng dụng của Firewall còn có ý nghĩa rất quan trọng.
Đối với cá nhân người dùng giúp chúng ta tự bảo vệ những thông tin riêng tư, những tài liệu quan trong của cá nhân khỏi sự dòm ngó của những Hacker.
Đối với hộ gia đình, giúp con em chúng ta tránh tiếp xúc với những nội dung xấu từ các website không lành mạnh.
Đối với các công ty, doanh nghiệp giúp bảo mật tốt thông tin nội bộ, những số liệu mật của công ty đảm bảo sự cạnh tranh công bằng giữa các doanh nghiệp với nhau.
Đối với các Quốc gia đảm bảo tính tối mật về các thông tin quốc phòng an ninh.
4. Phạm vi nghiên cứu
Đề tài tìm hiểu và làm quen với các khái niệm cơ bản về mạng máy tính, Firewall cài đặt và cấu hình cơ bản phần mềm ISA 2006.
Cụ thể đề tài nêu tổng quan về mạng máy tính các mô hình mạng, giao thức mạng, hệ điều hành mạng và các dịch vụ hạ tầng trên Internet. Giới thiệu về an toàn mạng, Firewall, proxy sever đây là những khái niệm hết sức cơ bản nhưng là nền tảng cho việc nghiên cứu bảo mật sao cho phù hợp với hệ thống. Giới thiệu về phần mềm ISA 2006 của Microsoft một phần mềm Firewall nổi tiếng, nhu cầu người sử dụng hiện nay đặt ra cho hệ thống Firewall ISA 2006, các bước cơ bản cài đặt và cấu hình phần mềm ISA 2006 theo mô hình Dual-Homed Host.
5. Phương pháp nghiên cứu
5.1. Dựa trên tài liệu sách vở và Internet
Tìm hiểu các khải niệm cơ bản liên quan trực tiếp và gián tiếp đến đề tài để có được cái nhìn tổng quan về toàn bộ đề tài. Nhằm xác định đúng đắn được mục tiêu chính của đề tài. Tìm hiểu từ nhiều sách vở và nhiều nguồn trên Internet để từ đó so sánh và rút ra được những gì cơ bản cần thiết và dễ hiểu nhất sau đó chắt lọc thông tin, dữ liệu tìm được đưa vào đề tài theo từng chương, từng mục cụ thể rõ ràng.
5.2. Tham khảo sự hướng dẫn của Giáo Viên và những người có kinh nghiệm
Chủ động tìm hiểu từ Giáo Viên Hướng Dẫn (GVHD) xin ý kiến, tiếp thu những gì giáo viên và những người có kinh nghiệm hướng dẫn cộng với những kiến thức tìm được từ sách vở, Internet để làm tư liệu đưa vào đề tài.
47 trang |
Chia sẻ: tuandn | Lượt xem: 1797 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đồ án Bảo vệ và phòng ngừa tấn công hệ thống mạng bằng Firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Chương Mở Đầu
1. Đặt vấn đề
Sự bùng nổ của Công nghệ Thông tin (CNTT) đã và đang ảnh hưởng sâu rộng tới mọi lĩnh vực của cuộc sống. Đối với các cá nhân và các doanh nghiệp, CNTT đã trở thành một trong những nhân tố, công cụ tăng năng lực cho cá nhân và tăng hiệu xuất làm việc của doanh nghiệp đồng thời mang lại hiệu quả kinh tế cao mà chi phí bỏ ra không đáng kể. Đặc biệt đối với các doanh nghiệp CNTT đóng vai trò nền tảng quan trọng trong việc khai thác các ứng dụng nghiệp vụ.
Ngày nay bên cạnh sự phát triển vượt bậc không ngừng của CNTT trên toàn thế giới và những lợi ích to lớn mà nó mang lại, thì cũng không ít phần tử lợi dụng những lỗ hổng trong hệ thống của các tổ chức, doanh nghiệp thâm nhập cài mã độc, virus … vào để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho những mục đích không lành mạnh của mình.
Symantec đã chính thức công bố những kết quả của Nghiên cứu toàn cầu về hiện trạng bảo mật doanh nghiệp năm 2010 của hãng, theo đó 42% tổ chức coi vấn đề bảo mật là một trong những ưu tiên hàng đầu của họ. Đây không hẳn là một điều ngạc nhiên khi có tới 75% tổ chức được khảo sát đều ít nhiều hứng chịu các cuộc tấn công mạng trong vòng 12 tháng vừa qua. Theo thống kê những cuộc tấn công này gây ra mức tổn thất trung bình cho các doanh nghiệp là 2 triệu USD mỗi năm.
Có một thực trạng diễn ra hiện nay là các Hacker, Cracker những kẻ luôn tìm cách tấn công các hệ thống doanh nghiệp, các nhân người dùng … luôn đi trước những người quản trị viên một bước. Chính vì lý do đó những nhà quản trị mạng (Security), những người dùng cá nhân phải tự bảo vệ hệ thống của mình “Phòng hơn là Chữa”. Hiện nay các chuyên gia bảo mật trên thế giới đã phát triển ra các hệ thống phần mềm có thể ngăn ngừa những sự tấn công từ bên ngoài Internet và bảo vệ hệ thống của chúng ta an toàn. Những hệ thống như vậy được gọi là Internet Firewall hay Firewall. Để cài đặt và cấu hình được Firewall theo nhu cầu người sử dụng thì người quản trị, cài đặt phải có những kiến thức nhất định về tin học và mạng máy tính đề tài “BẢO VỆ VÀ PHÒNG NGỪA TẤN CÔNG HỆ THỐNG MẠNG BẰNG FIREWALL” sẽ phần nào giúp người sử dụng làm được điều đó.
2. Mục tiêu
Đề tài là một tài liệu tham khảo cho người đọc, những người đang ứng dụng CNTT phục vụ cho công việc của mình, của tổ chức, doanh nghiệp có một cái nhìn tổng quát về Firewall. Nắm được những khái niệm cơ bản về các giao thức mạng, bảo mật có thể tự cài đặt và cấu hình cơ bản cho một hệ thống Firewall.
3. Ý nghĩa khoa học và thực tiễn
Đề tài có ý nghĩa thực tiễn hết sức quan trọng trong thời kỳ hiện nay. Giúp người đã và đang sử dụng tiếp xúc với môi trường Internet hiểu được những gì đang đe dọa mình và giải pháp để ngăn ngừa những đe dọa đó từ đó họ có thể tự bảo vệ mình, giảm thiểu tối đa thiệt hại về kinh tế. Giáo dục đạo đức nghề nghiệp đối với những người đang làm trong lĩnh vực CNTT không đem tài năng của mình ra để phá hoại người khác. Ngoài ra việc tìm hiểu chức năng và ứng dụng của Firewall còn có ý nghĩa rất quan trọng.
Đối với cá nhân người dùng giúp chúng ta tự bảo vệ những thông tin riêng tư, những tài liệu quan trong của cá nhân khỏi sự dòm ngó của những Hacker.
Đối với hộ gia đình, giúp con em chúng ta tránh tiếp xúc với những nội dung xấu từ các website không lành mạnh.
Đối với các công ty, doanh nghiệp giúp bảo mật tốt thông tin nội bộ, những số liệu mật của công ty đảm bảo sự cạnh tranh công bằng giữa các doanh nghiệp với nhau.
Đối với các Quốc gia đảm bảo tính tối mật về các thông tin quốc phòng an ninh.
4. Phạm vi nghiên cứu
Đề tài tìm hiểu và làm quen với các khái niệm cơ bản về mạng máy tính, Firewall cài đặt và cấu hình cơ bản phần mềm ISA 2006.
Cụ thể đề tài nêu tổng quan về mạng máy tính các mô hình mạng, giao thức mạng, hệ điều hành mạng và các dịch vụ hạ tầng trên Internet. Giới thiệu về an toàn mạng, Firewall, proxy sever đây là những khái niệm hết sức cơ bản nhưng là nền tảng cho việc nghiên cứu bảo mật sao cho phù hợp với hệ thống. Giới thiệu về phần mềm ISA 2006 của Microsoft một phần mềm Firewall nổi tiếng, nhu cầu người sử dụng hiện nay đặt ra cho hệ thống Firewall ISA 2006, các bước cơ bản cài đặt và cấu hình phần mềm ISA 2006 theo mô hình Dual-Homed Host.
5. Phương pháp nghiên cứu
5.1. Dựa trên tài liệu sách vở và Internet
Tìm hiểu các khải niệm cơ bản liên quan trực tiếp và gián tiếp đến đề tài để có được cái nhìn tổng quan về toàn bộ đề tài. Nhằm xác định đúng đắn được mục tiêu chính của đề tài. Tìm hiểu từ nhiều sách vở và nhiều nguồn trên Internet để từ đó so sánh và rút ra được những gì cơ bản cần thiết và dễ hiểu nhất sau đó chắt lọc thông tin, dữ liệu tìm được đưa vào đề tài theo từng chương, từng mục cụ thể rõ ràng.
5.2. Tham khảo sự hướng dẫn của Giáo Viên và những người có kinh nghiệm
Chủ động tìm hiểu từ Giáo Viên Hướng Dẫn (GVHD) xin ý kiến, tiếp thu những gì giáo viên và những người có kinh nghiệm hướng dẫn cộng với những kiến thức tìm được từ sách vở, Internet để làm tư liệu đưa vào đề tài.
Chương 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH
1.1. Giới thiệu mạng máy tính và các mô hình mạng
1.1.1. Giới thiệu mạng máy tính
Mạng máy tính bao gồm nhiều thành phần, chúng được nối với nhau theo một cách thức nào đó và cùng sử dụng chung một ngôn ngữ .
Các thiết bị đầu cuối (End System) kết nối với nhau tạo thành mạng có thể là các máy tính (Computer) hoặc các thiết bị khác. Nói chung hiện nay ngày càng nhiều các loại thiết bị có khả năng kết nối vào mạng máy tính như điện thoại di động, PDA, Tivi, … .
Môi trường truyền (media) mà truyền thông được thực hiện qua đó. Môi trường truyền có thể là các loại dây dẫn (cáp), sóng (đối với các mạng không dây),…
Giao thức (protocol) là quy tắc quy định cách thức trao đổi dữ liệu giữa các thực thể.
Tóm lại, mạng máy tính là một tập hợp các máy tính và các thiết bị khác (các nút), chúng sử dụng một giao thức mạng chung để chia sẻ tài nguyên với nhau nhờ các phương tiện truyền thông mạng. [1]
1.1.2. Các mô hình mạng
Một máy tính có trên mạng có thể thuộc một trong 3 loại như sau:
Máy khách (client): không cung cấp tài nguyên mà chỉ sử dụng tài nguyên trên mạng.
Máy chủ (server): Cung cấp tài nguyên và dịch vụ cho máy trên mạng.
Peer: Sử dụng tài nguyên trên mạng đồng thời cung cấp tài nguyên trên mạng.
1.1.2.1. Mô hình khách chủ (client/server)
Các máy khách được nối với máy chủ nhận quyền truy cập mạng và tài nguyên mạng từ các máy chủ. Máy chủ quản lý tất cả tài nguyên và các quyền truy cập vào mạng.
Hình 1.1: Mô hình trạm chủ (Client/Sever)
Đặc điểm:
Độ an toàn và tính bảo mật thông tin: Có độ an toàn và bảo mật thông tin cao. Người quản trị mạng quyền truy nhập thông tin cho các máy.
Khả năng cài đặt: Khó cài đặt.
Đòi hỏi về phần cứng và phần mềm: Đòi hỏi có máy chủ, hệ điều hành mạng và các phần cứng bổ sung.
Quản trị mạng: Phải có quản trị mạng.
Xử lý và lưu trữ tập trung: Có
Chi phí cài đặt: cao
1.1.2.2. Mô hình mạng ngang hàng(Peer-to-Peer)
Mạng ngang hàng là mạng được tạo ra bởi hai hay nhiều máy tính được kết nối với nhau và chia sẻ tài nguyên mà không phải thông qua một máy chủ dành riêng.
Hình 1.2: Mô hình mạng ngang hàng (Peer to Peer)
Đặc điểm
Độ an toàn và tính bảo mật thông tin: Độ an toàn và bảo mật kém, phụ thuộc vào mức truy nhập được chia sẻ.
Khả năng cài đặt: Dễ cài đặt.
Đòi hỏi về phần cứng và phần mềm: Không cần máy chủ, hệ điều hành mạng.
Quản trị mạng: Không cần có quản trị mạng.
Xử lý và lưu trữ tập trung: Không.
Chi phí cài đặt: Thấp.
1.2. Giao thức mạng (Protocol)
Là các quy định về việc truyền thông trong mạng máy tính như cách đánh địa chỉ, cách đóng gói các thông tin, cách mã hóa và quản lý các gói tin. [1]
Hình 1.3: Mô phỏng cách thức truyền dữ liệu giữa hai hệ thống
Một tập hợp tiêu chuẩn để trao đổi thông tin giữa hai hệ thống máy tính hoặc hai thiết bị máy tính với nhau được gọi là giao thức. Các giao thức này còn được gọi là các nghi thức hoặc định ước của máy tính.
1.2.1. Giao thức không có khả năng tìm đường
1.2.1.1 NetBIOS ( Network BIOS)
NetBIOS là một giao diện ứng dụng cho phép các ứng dụng truy cập các dịch vụ trên mạng thông qua phương tiện truyền tải mạng như NetBEUI, TCP/IP, và SPX/IPX. Cung cấp giao diện lập trình cho các ứng dụng nằm ở lớp Phiên làm việc (mô hình mạng OSI ).
NetBIOS còn có thể được đóng gói theo các tiêu chuẩn truyền của các bộ giao thức TCP/IP và SPX/IPX (giao thức hỗ trợ định tuyến).
Hình 1.4: Mô hình Ipv4
1.2.1.2 NetBEUI (NetBIOS Extended User Interface)
Là giao thức nằm ở lớp Transport layer (mô hình OSI). NetBEUI có cùng nguồn gốc với NetBIOS, chúng cùng thuộc một bộ giao thức mạng chuẩn sau này được tách ra.
1.2.2. Giao thức có khả năng tìm đường
1.2.2.1. IPX/SPX
IPX (Internetwork Packet eXchange) là giao thức chính được sử dụng trong hệ điều hành mạng Netware của hãng Novell. Giao thức này thuộc lớp mạng (network layer) trong mô hình mạng 7 lớp OSI. Nó tương tự như giao thức IP (Internet Protocol) trong TCP/IP. IPX chứa địa chỉ mạng (netword Address) và cho phép các gói thông tin được chuyển qua các mạng hoặc phân mạng (subnet) khác nhau. IPX không bảo đảm việc chuyển giao một thông điệp hoặc gói thông tin hoàn chỉnh, cũng như IP, các gói tin được "đóng gói" theo giao thức IPX có thể bị "đánh rơi" (dropped). Do vậy, các ứng dụng có nhu cầu truyền tin "bảo đảm" thì phải sử dụng giao thức SPX thay vì IPX.
SPX là một giao thức mạng thuộc lớp vận chuyển (transport layer network protocol) trong mô hình mạng OSI gồm 7 lớp. Cũng như IPX, SPX là giao thức (native protocol) của các hệ điều mạng Netware của hãng Novell. Tương tự như giao thức TCP trong bộ TCP/IP, SPX là giao thức đảm bảo toàn bộ thông điệp truyền đi từ một máy tính trong mạng đến một máy tính khác một cách chính xác. SPX sử dụng giao thức IPX của Netware như là cơ chế vận chuyển (TCP sử dụng IP).
1.2.2.2. TCP/IP
Hình 1.5: Mô hình TCP/IP
TCP (Transmission Control Protocol )
Cung cấp các chức năng vận chuyển, nó bảo đảm việc toàn bộ lượng dữ liệu (dưới dạng bytes) được truyền và nhận một cách chính xác từ máy truyền cho tới máy nhận.
Đặc trưng công nghệ: TCP là một giao thức hướng nối, tin cậy:
Vận chuyển end-to-end, tin cậy, đúng thứ tự, thông qua các phương
Dùng cơ chế báo nhận (ACK).
Dùng số thứ tự các gói tin (Sequence number).
Dùng phương pháp kiểm soát lỗi mã dư vòng (CRC).
Điều khiển lưu lượng (flow control + congestion control) bằng cửa sổ trượt có kích thước thay đổi.
Do vậy TCP là một giao thức tương đối phức tạp.
UDP (User Datagram protocol) - là một phần của TCP/IP - là một giao thức truyền thông thay thế cho TCP nhưng không đảm bảo bằng TCP,UDP được sử dụng phổ biến cho các ứng dụng truyền âm thanh và phim thời gian thực (realtime voice and video transmissions) đó là các ứng dụng bị truyền lỗi không được truyền lại.
Hình 1.6: Cấu trúc gói tin TCP
IP (Internet Protocol)
IP chấp nhận các gói dữ liệu từ các giao thức TCP và UDP, cộng thêm các thông tin của riêng nó và "chuyển giao" thông tin cho bộ phần truyền dữ liệu.
Đặc trưng công nghệ:
Không phải thiết lập; giải phóng kết nối
Packets có thể đi theo các con đường khác nhau
Không có cơ chế phát hiện/khắc phục lỗi truyền
IP là giao thức đơn giản, độ tin cậy không cao.
Các chức năng chính:
Định nghĩa khuôn dạng gói dữ liệu (IP packet).
Định nghĩa phương thức đánh địa chỉ IP.
Chon đường (Routing).
Cắt/hợp dữ liệu (Fragmentation/ Reassembly).
Hình 1.7: Các lớp địa chỉ IP
Vì vậy, Giao thức TCP/IP được phát triển từ mạng ARPANET và Internet và được dùng như giao thức mạng và giao vận trên mạng Internet. TCP (Transmission Control Protocol) là giao thức thuộc tầng giao vận và IP (Internet Protocol) là giao thức thuộc tầng mạng của mô hình OSI.
Hiện nay các máy tính của hầu hết các mạng có thể sử dụng giao thức TCP/IP để liên kết với nhau thông qua nhiều hệ thống mạng với kỹ thuật khác nhau. Giao thức TCP/IP thực chất là một họ giao thức cho phép các hệ thống mạng cùng làm việc với nhau thông qua việc cung cấp phương tiện truyền thông liên mạng.
So sánh mô hình OSI và TCP/IP
Hình 1.8: So sánh hai mô hình OSI và TCP/IP
Hình ảnh bộ giao thức TCP/IP
Hình 1.9: Bộ giao thức TCP/IP
1.2.3. Giao thức định tuyến
Định tuyến là quá trình router sử dụng để chuyển tiếp các packet đến mạng đích. Router đưa ra quyết định dựa trên địa chỉ IP đích của packet. Để có thể đưa ra được quyết định chính xác, router phải học cách làm sao để đi đến các mạng ở xa. Khi router sử dụng quá trình định tuyến động, thông tin này sẽ được học từ những router khác. Khi quá trình định tuyến tĩnh được sử dụng, nhà quản trị mạng sẽ cấu hình thông tin về những mạng ở xa bằng tay cho router.
1.2.3.1. Routing Information Protocol (RIP)
Routing Information Protocol (RIP) là giao thức định tuyến vector khoảng cách (Distance Vector Protocol) xuất hiện sớm nhất. Nó suất hiện vào năm 1970 bởi Xerox như là một phần của bộ giao thức Xerox Networking Services (XNS).
Chu kỳ cập nhật của RIP là 30 giây.
Thông số định tuyến của RIP là số lượng hop, giá trị tối đa là 15 hop.
Một số giới hạn của RIP
Không mang thông tin subnet mask trong thông tin định tuyến
Gửi quảng bá thông tin định tuyến theo địa chỉ 255.255.255.255
Không hỗ trợ xác minh thông tin nhận được
Không hỗ trợ VLSM và CIDR (Classless Interdomain Routing)
Sử dụng cho mạng vừa và nhỏ
1.2.3.2. Interior Gateway Routing Protocol (IGRP)
Trước những nhược điểm vốn có của RIP như: metric là hop count, kích thước mạng tối đa là 15 hop. Cisco đã phát triển một giao thức độc quyền của riêng mình là IGRP để khắc phục những nhược điểm đó. Cụ thể là metric của IGRP là sự tổ hợp của 5 yếu tố, mặc định là bandwidth và delay:
Bandwidth
Delay
Load
Reliability
Maximum transfer uint(MTU)
IGRP không sử dụng hop count trong metric của mình, tuy nhiên nó vẫn theo dõi được hop count. Một mạng cài đặt IGRP thì kích thước mạng có thể nên tới 255 hop.Ưu điểm nữa của IGRP so với RIP là nó hỗ trợ được unequal-cost load sharing và thời gian update lâu hơn RIP gấp 3 lần.Tuy nhiên bên cạnh những ưu điểm của mình so với RIP, IGRP cũng có những nhược điểm đó là giao thức độc quyền của Cisco.
1.2.3.3. EGP (Exterior Gateway Protocol)
Là giao thức định tuyến ngoài, vì nó xảy ra giữa các hệ thống độc lập, và liên quan tới dịch vụ của nhà cung cấp mạng sử dụng giao thức định tuyến ngoài rộng và rất phức tạp. Phần tử cơ bản có thể được định tuyến là hệ thống độc lập .
1.3. Các dịch vụ hạ tầng trên Internet
1.3.1. DHCP service(Dynamic Host Config Protolcol)
DHCP (Dynamic Host Configuration Protocol) là giao thức Cấu hình Host động DHCP được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng. DHCP tập trung việc quản lý địa chỉ IP ở các máy tính trung tâm chạy chương trình DHCP. Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng, DHCP cho phép gán tự động. Để khách có thể nhận địa chỉ IP từ máy chủ DHCP, bạn khai báo cấu hình để khách “nhận địa chỉ tự động từ một máy chủ”.
1.3.1.1. Hoạt động của DHCP
DHCP tự động hóa mạng lưới giao thông số các thiết bị mạng từ lỗi chịu máy chủ DHCP. Ngay cả trong các mạng nhỏ là hữu ích vì nó có thể dể dàng gắn máy mới vào mạng.
Khi một DHCP cấu hình máy khách (một máy tính, hay một mạng nào đó, nhận thiết bị) kết nối đến mạng, DHCP client gởi 1 truy vấn đến phát sóng yêu cầu thông tin IP cần thiết từ DHCP server. Các DHCP server quản lí một database địa chỉ IP và thông tin về các tham số cấu hình máy khách như cổng mặc định, tên miền, các máy chủ DNS, các máy chủ khác như máy chủ thời gian và nhiều thiết bị khác. Khi DHCP server nhận được yêu cầu hợp lệ. DHCP server sẽ chọn 1 địa chỉ IP trong database của nó tới máy client, một hợp đồng thuê với thời gian định kì(mặc định là 8 ngày) .
1.3.1.2. Phương thức bốn bước
DHCP sử dụng cơ chế 4 bước để cung cấp IP cho client:
Bước 1 (IP Lease Request)
Xảy ra khi một client mới khởi động xin cấp phép IP lần đầu hay khi nó thuê bao lại. DHCPDISCOVER broadcast message.
Bước 2 (IP Lease Offer)
DHCP sẻ gởi lại danh sách IP đề nghị cho thuê(đảm bảo các IP này chưa được cấp cho ai).
DHCP đợi 1 giây để nhận lại gói tin Offer này, nếu không nhận được nó sẻ rebroadcast 4 lần vào nhịp 2, 4, 8, 16 giữa 0 đến 1000 mils. Nếu vẫn không nhận được IP sau 4 lần broadcast DHCP client sẽ nhận được IP nằm trong khoảng 169.254.0.1 đến 169.254.255.254(để đảm bảo được liên lạc trên mạng).
DHCP client vẫn tiếp tục tìm DHCP server cứ 5 phút một lần nếu tìm thấy DHCP server nó sẽ nhận một IP hợp lệ và có khả năng kết nối với toàn mạng.
Bước 3 (IP Lease Selection)
DHCP client sẽ gởi phản hồi lại server khi nó nhận được gói Offer bằng cách gởi broadcast, một thông điệp DHCPREQUEST.
Bước 4 (IP Lease Acknowledgement)
DHCP server sẽ xác nhận đến client việc thuê bao hoàn tất bằng gói thông tin DHCPPACK.
1.3.2. DNS service
DNS (Domain Name System) là Hệ thống tên miền được phát minh vào năm 1984 cho Internet, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền. Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là, nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới. [4]
Hình 1.10: Mô hình câyDNS (hierarchical)
Dịch vụ DNS hoạt động theo mô hình Client-Server
Server : có chức năng là phân giải tên thành IP và ngược lại IP thành tên, được gọi là Name Server, lưu trữ cơ sở dữ liệu của DNS.
Client : truy vấn phân giải tên đến DNS server được gọi là Resolver, chứa các hàm thư viện dùng để tạo các truy vấn (query) đến Name Server.
DNS được thi hành như 1 giao thức của tầng Application trong mô hình mạng TCP/IP.
DNS là 1 cơ sở dữ liệu dạng phân tán được tổ chức theo mô hình cây (hierarchical) :
Nguyên tắc làm việc
Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server riêng của mình, gồm các máy bên trong phần riêng của mỗi nhà cung cấp dịch vụ đó trong Internet. Tức là, nếu một trình duyệt tìm kiếm địa chỉ của một website thì DNS server phân giải tên website này phải là DNS server của chính tổ chức quản lý website đó chứ không phải là của một tổ chức (nhà cung cấp dịch vụ) nào khác.
INTERNIC (Internet Network Information Center) chịu trách nhiệm theo dõi các tên miền và các DNS server tương ứng. INTERNIC là một tổ chức được thành lập bởi NFS (National Science Foundation), AT&T và Network Solution, chịu trách nhiệm đăng ký các tên miền của Internet. INTERNIC chỉ có nhiệm vụ quản lý tất cả các DNS server trên Internet chứ không có nhiệm vụ phân giải tên cho từng địa chỉ.
DNS có khả năng tra vấn các DNS server khác để có được một cái tên đã được phân giải. DNS server của mỗi tên miền thường có hai việc khác biệt. Thứ nhất, chịu trách nhiệm phân giải tên từ các máy bên trong miền về các địa chỉ Internet, cả bên trong lẫn bên ngoài miền nó quản lý. Thứ hai, chúng trả lời các DNS server bên ngoài đang cố gắng phân giải những cái tên bên trong miền nó quản lý. - DNS server có khả năng ghi nhớ lại những tên vừa phân giải. Để dùng cho những yêu cầu phân giải lần sau. Số lượng những tên phân giải được lưu lại tùy thuộc vào quy mô của từng DNS.
Chương 2: TỔNG QUAN VỀ AN TOÀN MẠNG VÀ FIREWALL
2.1. An toàn mạng
2.1.1. Khái niệm an toàn mạng
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet. Nếu như máy tính, hệ thống mạng của bạn không được trang bị hệ thống bảo vệ vậy chẳng khác nào bạn đi khỏi căn phòng của mình mà quên khóa cửa, máy tính của bạn sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả hệ thống của bạn bất cứ lúc nào.
Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh