Tải bản đầy đủ (.pdf) (47 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kỹ thuật

TIỂU LUẬN AN NINH MẠNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (542.88 KB, 47 trang )

MỤC LỤC
LỜI NÓI ĐẦU

Gần ba mươi năm qua bộ giao thức TCP/IP đã được đưa vào sử dụng và phát triển,
nó bắt đầu từ việc nghiên cứu của Bộ Quốc phòng Mỹ về thủ tục truyền dẫn của mạng
máy tính trong học viện, các cơ quan chính phủ, các doanh nghiệp, và của người dùng ở
Mỹ. Mạng truyền dẫn sử dụng bộ giao thức TCP/IP trong phạm vi từ mạng nội hạt (nhỏ)
văn phòng trong nhà đến một mạng rộng lớn đó là mạng Internet. Vài năm gần đây việc
sử dụng giao thức TCP/IP đã phát triển nhanh, nhờ đó nó hỗ trợ trong nhiều ứng dụng
mới.
Ngày nay truyền dẫn âm thanh và hình ảnh đòi hỏi thời gian thực, cũng như thoại
và fax số, có thể được truyền qua mạng Internet và Intranets. Khi tốc độ sử dụng giao
thức TCP/IP tăng thì vai trò của nó như là một cái máy để vận chuyển những loại dữ liệu
khác nhau. Trong thực tế giao thức TCP/IP giới thiệu nhiều vấn đề mới cho việc quản lý
mạng và người quản trị mạng xem xét chúng để quản lý mạng Internet tốt hơn.
Vì vậy khi việc sử dụng dịch vụ Internet tăng, việc vận chuyển dữ liệu trên mạng
nhiều đòi hỏi phải tăng thêm các trạm chuyển tiếp để dễ dàng cho việc quản lý mạng.
Trong tiểu luận này chúng tôi chỉ tập trung nghiên cứu 2 vấn đề cơ bản đó là:
● Nghiên cứu chung về quản lý mạng TCP/IP
● An ninh mạng TCP/IP (security)
Tuy nhiên do thời gian và khả năng dịch tài liệu Tiếng Anh có hạn nên không khỏi
thiếu sót. Rất mong sự đóng góp của Thầy Cô giáo, của các độc giả và đặc biệt là sự đóng
của Giáo viên hướng dẫn tiểu luận môn học.
Chúng tôi xin chân thành cảm ơn!
1
THUẬT NGỮ VIẾT TẮT
SNMP Simple Network Managerment Protocol
RMON Remote Moniter
IOS International Organization for Standardization
OSI
Open


System Interconnection
DSUs Digital Service Units
CSUs Channel Service Units
MIB Managing Information Base
HTTP Trial File Transfer Protocol
TFTP Trivial File Transfer Program
TCP Transmission Control Protocol
UDP User Datagram Protocol
IANA Internet Assigned Number Authority
ICMP Internet Control Message Protocol
OSPF Open shortest Patch First
IGRP Interior Gateway Routing Protocol
OSPF Open Shortest Path First
SMTP Simple Mail Transport Protocol
FTP File Transfer Protocol
S-HTTP Secure Hypertext Transfer Protocol
SSL Secure Sockets Layer
2
NAT Network Address Translation
PAT Port Address Translate
Chương 1 GIỚI THIỆU CHUNG
1.1 CƠ SỞ QUẢN LÝ MẠNG
Như đã đề cập ở trên, hiện nay việc sử dụng bộ giao thức TCP/IP đã phát triển đồng
thời cả hai lĩnh vực dung lượng và ứng dụng truyền tải dữ liệu. Ngày nay nhiều nhà kinh
doanh phụ thuộc rất nhiều vào các trang Web của họ để bán hàng, nhà kinh doanh có thể
đạt được doanh thu lớn vài triệu đô la trên một ngày, một nhà kinh doanh dịch vụ khác
cung cấp các dịch vụ truyền fax chi phí thấp cho hàng trăm ngàn khách hàng ở nhiều nơi
trên thế giới và hàng triệu doanh nghiệp và hàng chục triệu người tiêu dùng, trong lĩnh
truyền thư do thư điện tử có nhiều ưu điểm như tốc độ truyền dẫn nhanh và không mất tin
nên người dùng sử dụng thư điện tử nhiều hơn là sử dụng thư truyền thống của dịch vụ

bưu chính khi truyền tin ở nhiều quốc gia khác nhau.
Tốc độ tăng trưởng trong việc sử dụng giao thức TCP/IP làm cho cả hai, người sử
dụng dịch vụ Internet và nhà quản lý mạng phụ thuộc rất nhiều vào bộ giao thức TCP/IP
để thực hiện những công việc bình thường hàng ngày của họ.
1.1.1 Chi phí ngắt dịch vụ
Như đã đề cập ở trên ưu điểm mạng Internet mang lại cho người sử dụng rất lớn,
do vậy khi mạng bị lỗi nhỏ dẫn đến mạng sẽ bị gián đoạn điều này sẽ mang lại hậu quả
nghiêm trọng cho người dùng. Lấy ví dụ, khi kết nối Internet không thành công đối với
các nhà doanh nghiệp sẽ không gởi và nhận được các thư điện tử và không thể truy cập
mạng để mua hoặc đặt hàng trực tuyến trên mạng. Mất một thông tin điều này đồng nghĩa
với việc doanh thu của doanh nghiệp có thể thiệt hại hàng ngàn hoặc thậm chí hàng triệu
đô trong thời gian mạng bị gián đoạn. Do vậy các phương pháp phát hiện lỗi và chuẩn
đoán lỗi một cách nhanh chóng của nhân viên điều hành mạng có thể làm giảm bớt thiệt
hại cho doanh nghiệp. Trong môi trường truyền thông ngày nay các lĩnh vực cần quan
tâm đó là kích cỡ và độ phức tạp của mạng, các chi phí, hiệu quả vận hành và khả năng
tìm hiểu đủ thông tin để tận dụng ưu điểm của giao thức .
3
1.1.2 Kích cỡ và độ phức tạp của mạng
Do nhu cầu trao đổi thông tin của người dùng ngày càng tăng, để đáp ứng nhu cầu
sử dụng của người dùng đòi hỏi kích cỡ của mạng phải lớn hay độ phức tạp của mạng
cao, đồng thời chi phí hoạt động của mạng ngày càng lớn. Điều này tạo nên động lực thúc
đẩy sự phát triển của mạng, tuy nhiên để mạng hoạt động tốt đòi hỏi khả năng mạng
truyền dẫn phải tốt, đồng thời phải có thiết bị giám sát tập trung trên mạng. Trạm trung
tâm cung cấp các giải pháp cũng như kỹ thuật nhằm thực hiện việc thay đổi cấu hình
mạng cũng như tạo ra các cảnh báo khi phát hiện lỗi trên mạng. Nhờ có giao thức quản lý
mạng SNMP (Simple Network Managerment Protocol) và giao thức giám sát từ xa
RMON (Remote Moniter) của bộ giao thức TCP/IP làm cho việc quản lý mạng đơn giản
hơn và ít tốn kém nhân lực. Tuy nhiên để hiệu quả sử dụng mạng cao đòi hỏi nhân viên
quản trị mạng phải có sự hiểu biết nhất định về các khái niệm và giao thức truyền thông.
1.1.3 Giám sát hiệu suất

Thông qua việc sử dụng các giao thức quản lý của bộ giao thức TCP/IP có thể
giám sát được hiệu suất và năng lực của mạng. Một vấn đề liên quan là làm thế nào để
hiệu suất sử dụng chi phí quản lý mạng tốt nhất, hiệu suất cao nhất khi chi phí cho quản lý
mạng thấp nhất mà vẫn đảm bảo được việc quản lý mạng. Vì vậy việc quản lý mạng tốt sẽ
mang lại năng lực và hiệu suất sử dụng mạng cao trong khi chi phí cho mạng thấp.
1.1.4 Đối phó với các trang thiết bị tinh xảo
Với việc sử dụng bộ giao thức TCP/IP mạng Internet ngày càng phát triển nhanh
chóng, các thiết bị sử dụng trên mạng được lắp đặt và truy cập càng nhiều. Ví dụ có rất
nhiều bộ định tuyến có khả năng số hóa tín hiệu thoại. Đối phó với các thiết bị tinh xảo có
khả lấy trộm thông tin trên mạng, đòi hỏi nhân viên quản trị mạng được đào tạo có trình
độ cao, được coi là một khía cạnh quan trọng của quản lý mạng. Hiện nay có rất nhiều sản
phẩm quản lý mạng ẩn bên trong các sản phẩm truyền thông mạng, với 1 giao diện đồ họa
người dùng có khả năng truy cập dễ dàng bằng lệnh điều khiển do nhân viên quản trị viết
ra để điều khiển sự hoạt động của thiết bị. Như vậy, sản phẩm quản lý mạng hiện đại giúp
đỡ chúng ta đối phó với các thiết bị tinh xảo.
4
Sự tin cậy của mạng
Hiệu ứng lỗi mạng
Kích cỡ và độ phức tạp của mạng
Đối phó với sự tinh vi của thiết bị mạng
Cân bằng hiệu suất và năng lực mạng
Chính sách chi phí hoạt động
Bảng 1.1 tóm tắt các lý do chủ yếu tại sao mạng TCP/IP phải được quản lý
1.2 QUÁ TRÌNH QUẢN LÝ MẠNG
Quản lý mạng là một quá trình giống như nhiều hoạt động phổ biến khác trong đó
chắc chắn người quản lý mạng sẽ gặp nhiều khó khăn. Dưới đây là những hạn chế trong
quá trình quản lý.
Quản lý mạng là một quá trình (mà nhân viên quản trị mạng) sử dụng phần cứng
và phần mềm theo dõi tình trạng của các thành phần và khả năng truyền dẫn mạng, câu
hỏi cuối cùng là làm thế nào để cải thiện hiệu suất sử dụng của mạng, đồng thời phải kết

hợp việc quản trị mạng với việc hướng dẫn nhà cung cấp dịch vụ và người dùng trên
mạng. Điều này có nghĩa là nhân viên quản trị mạng phải có kiến thức về bộ giao thức
TCP/IP và hiểu được quá trình hình thành và thủ tục gởi và nhận các gói tin.
Vai trò, cách sử dụng, các thành phần cấu tạo của gói tin và các khái niệm đặc
trưng của mạng. Thứ nhất khi truyền tín hiệu thoại và tín hiệu fax bằng bộ giao thức
TCP/IP trên mạng bao giờ cũng có sai số nhất định. Thứ hai nó liên quan đến việc sử
dụng phần cứng và phần mềm để kiểm tra , thiết bị cầu nối và bộ định tuyến của mạng,
thiết bị và khả năng truyền dẫn, dữ liệu và kênh dữ liệu của các thành phần mạng. Chú ý
rằng nhân viên quản lý mạng có thể can thiệp và hổ trợ đến người sử dụng mạng, nhà
cung cấp dịch vụ các yếu tố chuyên môn liên quan đến mạng. Ngoài ra sau khi thu thập
các yêu cầu, các ý kiến liên quan đến mạng từ người dùng và nhà cung cấp dịch vụ nhân
viên quản trị mạng sẽ nghiên cứu và cải tạo mạng theo hướng tốt hơn. Đồng thời họ
thường đưa ra các giải pháp để cải thiện hiệu suất sử dụng cũng như giảm bớt hiện tượng
rớt mạch. Các phương pháp để cải thiện hiệu suất thông tin có thể là thay đổi cấu hình
mạng hiện tại hoặc nghiên cứu cách thức tổ chức mạng theo các yêu cầu mà họ đưa ra.
Cuối cùng hiệu suất của công việc quản lý mạng phải được nhân viên quản trị mạng nắm
bắt tất cả như: giám sát và đưa ra tiến trình phát triển mạng, tính toán lại mạng để đảm
bảo tính hợp lý giữa chi phí đầu tư để mạng phát triển với hiệu suất sử dụng mạng cao
nhất. Thực ra các vấn đề đưa ra trên có thể tùy chọn để đảm bảo rằng người dùng hợp lệ
5
mới truy cập vào mạng và các nhân viên quản lý mạng cục bộ (mạng LAN), các nhà quản
lý mạng cần phải quan tâm đến vấn đề an ninh mạng.
1.2.1 Tổ chức OSI trong quản lý mạng
Dựa trên cơ sở trước đó, chúng ta có thể chia nhỏ các công việc liên quan đến quản
lý và chức năng mạng. Trong thực tế, điều này đã được thực hiện theo chuẩn quốc tế
IOS (International Organization for Standardization) của tổ chức OSI (
Open
System Interconnection). Trong đó mô hình tổ chức OSI đã định nghĩa 5 chức năng
(hoặc các qui tắc) quản lý mạng được chỉ định trong bảng 1.2.


Bảng 1.2 Tổ chức OSI trong quản lý mạng
Quản lý cấu hình hoặc quản lý mạng bao gồm quá trình theo dõi khả năng thay đổi
các tham số khác nhau của các thiết bị trên mạng. Các tham số đó có thể được cài đặt,
thiết lập lại hoặc đơn giản là để đọc và hiển thị. Đối với mạng phức tạp có hàng trăm hoặc
hàng ngàn thiết bị và truyền dẫn, việc sử dụng các SNMP và RMON sẽ dễ dàng hơn cho
việc điều khiển mạng từ một điểm hoặc từ một vài vị trí quản lý mạng. Tuy nhiên, trên
thực tế nền tảng SNMP và RMON có phạm vi từ một hệ thống quản lý mạng máy tính cơ
sở đến máy tính nhỏ và hệ thống máy trạm. Trong thực tế, hầu hết các hệ thống sẽ bao
gồm thiết bị có khả năng tự động tìm ra và hiển thị vị trí của mạng, ngoài ra nó còn cung
cấp cho người sử dụng khả năng đọc và có thể thay đổi các tham số thiết bị, cũng như
hiển thị một loạt các thông số của đường truyền. không giống như các thiết trên các tham
số có thể được hiển thị và thiết lập lại, thiết bị truyền dẫn được kiểm soát bởi một hoặc
nhiều hãng truyền thông và điều chỉnh các thông số này thường là điều khiển hoạt động
người sử dụng mạng đầu cuối.
Mặc dù hệ thống quản lý mạng có nhiều ưu điểm, nhưng tổ chức hệ thống quản lý
mạng không phải ở đâu cũng có. Điều này bởi vì là SNMP và RMON được phát triển chủ
yếu như là một thiết bị giám sát và cảnh báo, và cũng vì vài hạn chế là yếu tố bảo mật
không được tích hợp cho phép thay đổi các tham số các bộ định tuyến, DSUs, CSUs và
các thiết bị mạng khác. Thay vào đó, nhiều tổ chức duy trì một số hệ thống, trong đó một
6
Quản lý cấu hình / thay đổi
Quản lý lỗi / sự cố
Quản lý hiệu suất / tốc độ tăng trưởng
Quản lý an ninh / truy cập
Quản lý tài khoản / chi phí
số hệ thống nhà cung cấp có thể được sử dụng để kiểm soát các thiết bị. Ngoài ra, một số
thiết bị có thể được kiểm soát đơn giản từ màn hình hiển thị.
Trong kết luận ban đầu của chúng ta với việc thảo luận về cấu hình hoặc thay đổi
quản lý, cần lưu ý rằng lĩnh vực quản lý mạng này phụ thuộc vào các tham số cài đặt cơ
sở dữ liệu và hiểu biết ý nghĩa của chúng. Cơ sở dữ liệu này bao gồm các thông tin được

ghi trên thẻ 3* 5 inch, trang đánh máy, hoặc files được lưu trữ trong máy tính. Bất kể
phương tiện truyền thông được sử dụng để lưu trữ thông tin, cơ sở dữ liệu giống như một
kho thông tin có thể được sử dụng để xác định lựa chọn, thay thế, cũng như triển khai
thực hiện thay đổi cấu hình và cách thức hoạt động của mạng lưới.
Quản lý lỗi/sự cố
Vấn đề quản lý lỗi là quá trình nhằm phát hiện, đăng nhập và thẻ, vấn đề tách biệt,
dấu vết và hoàn thành cho quyết định một kết quả không bình thường. Vì bạn phải biết
rằng một sự cố tồn tại, thứ nhất là một trong những bước quan trọng nhất trong quản lý lỗi
là phát hiện tình trạng không bình thường. Điều này có thể hoàn thành bằng một số
phương pháp, bao gồm từ việc thiết lập các ngưỡng trên một hệ thống quản lý mạng để
phát ra các loại hình cảnh báo hoặc điều kiện báo động khi vượt quá cho người sử dụng
và khách hàng gọi một kỹ thuật kiểm soát trung tâm để báo cáo các vấn đề. Sau khi một
vấn đề đã được phát hiện, nhiều tổ chức sẽ có một giới hạn trước điều hành thủ tục mà
tình trạng này được ghi chép trong một đăng nhập, nếu xác định đại diện cho một vấn đề
chính đáng, được phân công một vé sự cố cho phép theo dõi quá trình giải quyết sự cố.
Điều quan trọng để hiểu rằng nhiều sự cố liên quan các cuộc gọi đến một trung
tâm kiểm soát kỹ thuật được giải quyết ngay lập tức . Các cuộc gọi có thể yêu cầu nhân
viên trung tâm kiểm soát kỹ thuật đến từ một vài phút đến vài giờ kiểm tra cài đặt thiết bị,
xem hình ảnh hiển thị để kiểm tra tình trạng của các thiết bị từ xa và hỏi người dùng
những cài đặt phần mềm và phần cứng liên quan hoặc thực hiện các chức năng khác để
giải quyết sự cố mà không hành động. Các cuộc gọi hoặc báo động khác có thể dẫn đến
việc cấp của một thẻ sự cố đòi hỏi hành động trên một phần của nhà cung cấp dịch vụ
thông tin hoặc sự giúp đỡ của nhà cung cấp dịch vụ. Bất kể mức độ của sự cố, đăng nhập
ban đầu bao gồm một cố gắng để xác định nguyên nhân của tình huống không bình
thường và xác định hành động thích hợp cho các chỉnh sửa. Vấn đề tách biệt có thể bao
gồm một thảo luận đơn giản với một người dùng đầu cuối, kiểm tra chẩn đoán thiết bị và
đường truyền hoặc mở rộng nghiên cứu. Sau khi nguyên nhân gây ra sự cố được cô lập có
thể tổ chức với người dùng chỉnh sửa, chẳng hạn như không thể chấp nhận mức độ hiệu
7
quả trên một mạch hoặc một lỗi thiết bị không kết nối đến nhà cung cấp dịch vụ tổ chức

mạng của bạn đang sử dụng. Vì vậy, ngoài việc tìm kiếm sự trợ giúp thích hợp, một bước
quan trọng của các quá trình quản lý lỗi là để dấu vết cả bên trong và bên ngoài nhân viên
trong nổ lực của họ để hướng tới sửa đúng lỗi . Rất nhiều lần, lỗi quản lý sẽ đòi hỏi vé
tuổi sự cố để được chuyển cấp để nhận được . Tại các lần, lặp đi lặp lại các cuộc gọi đến
một nhà cung cấp hay nhà cung cấp dịch vụ thông tin để theo dõi sự tiến bộ của một sự cố
thẻ có thể bộc lộ rằng các thẻ đã được đóng lại. Mặc dù chúng tôi hy vọng rằng các lý nhà
cung cấp dịch vụ hoặc nhà cung cấp đóng sự cố và không có ý quên để thông báo cho
chúng tôi những giải quyết , chúng tôi sống trong một thế giới chưa hoàn hảo, trong đó
một một thẻ sự cố có thể không cố ý bị đóng cửa mà không giải quyết vấn đề. Vì vậy, nó
là rất quan trọng đối với các dấu sự cố, bao gồm cả thẻ sự có trạng thái.
Trong khi việc giải quyết của một điều kiện không bình thường có thể xuất hiện
những công việc sau đó trong quá trình quản lý lỗi, trong thực té nó có thể yêu cầu hiệu
suất của cấu hình hoặc thay đổi công việc quản lý. Ví dụ, nếu trong một điều kiện không
bình thường do bởi việc thực hiện thay đổi định tuyến,việc giải quyết sự có thể thay đổi
cấu hình định tuyến trở về trạng thái ban đầu với điều kiện bình thường của nó . Điều này
giải thích bên trong quan hệ giữa các chức năng của các lĩnh vực quản lý mạng.
Quản lý hiệu suất/tăng trưởng
Quản lý hiệu suất hoặc độ tăng trưởng bao gồm những công việc đòi hỏi đánh giá
việc sử dụng thiết bị quản lý mạng và khả năng truyền dẫn và điều chỉnh chúng như yêu
cầu. Công việc thực hiện có thể phạm vi từ quan sát thiết bị hiển thị để thu thập các thông
tin thống kê vào một cơ sở dữ liệu có thể được sử dụng đến các xu hướngdự án sử dụng .
Bất kể phương pháp được sử dụng, mục tiêu của quản lý hiệu suất và tăng trưởng là để
đảm bảo đủ khả năng tồn tại để hỗ trợ thông tin người dùng cuối cùng yêu cầu. Do đó,
một thuật ngữ thường được sử dụng cho quản lý hiệu suất hay tăng trưởng là năng lực lập
kế hoạch.
Một trong những chi tiết thú vị bên ngoài của năng lực lập kế hoạch phối hợp phản
ứng lại của sự cố người dùng cuối. Nếu tổ chức mạng của bạn không đủ khả năng, người
dùng cuối khiếu nại sẽ thường xảy ra bất cứ khi nào thời gian phản hồi lâu hoặc người
dùng nhận một tín hiệu bận khi cố gắng truy cập mạng từ xa. Ngược lại, bạn sẽ không
bao giờ nhận khiếu nại người dùng cuối mà họ luôn luôn nhận được một thời gian phản

hồi tốt hoặc không bao giờ nhận một tín hiệu bận và rằng mạng có quá nhiều năng lực.
Điều này có nghĩa là quá nhiều khả năng sẽ yêu cầu công nhận nhân viên quản lý mạng
8
và nó là phận sự nhân viên để kiểm tra các tiềm năng cho cả hai thu hẹp hoặc mở rộng
mạng.
Một loạt các công cụ có thể được sử dụng cho quá trình quản lý hiệu suất hoặc
tăng trưởng, bao gồm các hoá đơn thanh toán của nhà cung cấp dịch vụ ,hệ thống quản lý
mạng, chẳng hạn như các ứng dụng tiện ích Ping và Traceroute.Hoá đơn thanh toán nhà
cung cấp dịch vụ có thể hiển thị đường dây gọi vào hoặc đường dây cho thuê nối vào nhà
cung cấp dịch vụ Internet .Hệ thống quản lý mạng có thể cung cấp thông tin về việc sử
dụng nội hạt và mạng từ xa và mạng lưới hoạt động và sử dụng khác nhau của thiết bị
quản lý mạng. Việc sử dụng Ping, Tracerouter và các chương trình tiện ích khác có thể
chỉ thị một thiết bị hoạt động cũng như ngắt thiết bị.
Quản lý an ninh /truy cập
Quản lý an ninh hoặc truy cập mô tả cài đặt các công việc mà đảm bảo rằng chỉ cho phép
nhân viên có thể sử dụng mạng. Ngoài ra, một số tổ chức có thể yêu cầu ẩn các nội dung
của dữ liệu, đặc biệt là khi sử dụng Internet như là một mạng riêng ảo. Vì vậy, nhiệm vụ
và chức năng liên quan đến quản lý an ninh có thể bao gồm xác nhận các người dùng, mật
mã của dữ liệu, quản lý và phân phối khóa mật mã, bảo trì và kiểm tra an ninh của các bản
ghi, cấu hình danh sách truy cập bộ định tuyến và việc triển khai thực hiện những tính
năng frewall khác nhau bao gồm các dịch vụ proxy và phát hiện xâm nhập và phát báo
động.
Tương tự với quản lý an ninh truy cập các nhiệm vụ và chức năng biện pháp phòng
chống vi rút, các thủ tục hoạt động và lập kế hoạch triển khai thực hiện khi cần thiết của
phương pháp khôi phục thảm họa. Mặc dù nhà quản lý mạng không thể thực hiện các
nhiệm vụ trước sự tấn công để đảm bảo rằng nhân viên không được hoặc phát những fles
đáng ngờ qua mạng, các nhà quản lý có thể công khai các phương pháp kiểm tra phần
mềm không biết cũng như các thủ tục đi theo liên quan đến việc phân phối phạm vi phần
mềm chung thu được từ những trang web chia sẻ phần mềm.
Quản lý thanh toán/chi phí

Ngoài ra để bảo đảm sự sinh, tử vong và thuế, bạn cũng có thể mong đợi câu châm
ngôn cũ 'không có bữa ăn trưa miễn phí' là cơ bản đúng sự thật. Một trong những quy
trình quản lý mạng như vậy, bao gồm việc nhận đúng thông tin vào đúng thời điểm, trong
đó cung cấp một cơ sở cho các thiết lập các chi phí chăm sóc của tài nguyên mạng. Công
việc liên quan tới quản lý thanh toán toán hoặc chi phí bao gồm việc đưa ra các trang thiết
bị, các loại truyền dẫn, việc hòa giải và các hoá đơn ghi , các tính toán giảm giá và các chi
9
phí khấu hao, các chứng từ chi phí cá nhân chi phí nhân đến hoạt động mạng, sự thuyết
minh các thuật toán để tính tỉ lệ cước đến người dùng và định kỳ xem xét các phương
pháp thanh toán để bảo đảm công bằng và hợp lý các chi phí hóa đơn trên cơ sở người sử
dụng mạng.
Quá trình quản lý thanh toán có thể yêu cầu những nỗ lực của một nhóm chuyên
gia tại các tổ chức lớn. Đối với các tổ chức vừa và nhỏ ,các nỗ lực bao gốm quản lý kế
toán có thể vẫn là đáng kể, đặc biệt khi so với các điều cần thiết để thực hiện chức năng
quản lý mạng lưới. Nhiều tổ chức tập trung vốn đầu tư chi phí các thông tin hoặc thêm chi
phí cho việc sử dụng xử lý dữ liệu của họ. Trong khi điều này chắc chắn sẽ giảm bớt các
công việc liên quan tới quản lý thanh toán, các chức năng quản lý chi phí khác, bao gồm
cả ngân sách, kiểm tra ảnh hưởng của thuế dựa trên sự thay đổi cấu trúc của mạng lưới, và
thẩm tra sự đúng đắn của người bán và hóa đơn của nhà cung cấp dịch vụ. Những chức
năng quản lý chi phí và thanh toán là một phần quan trọng trong quản lý mạng dù có
người dùng hoặc các tổ chức cơ quan hay không.
1.2.2 Các chức năng quản lý mạng lưới
Mặc dù quản lý mạng theo khuôn OSI là thông minh, nó không phải là tất cả, bao
gồm hai phím khu vực chức năng mà chỉ là một phần kín đáo trong khuôn OSI là đủ quan
trọng để điều chỉnh nhận dạng của họ như là thực thể riêng biệt là quản lý tài sản và
hoạch định hoặc hỗ trợ quản lý.
Quản lý tài sản
Quản lý tài sản là tập hợp các công việc liên quan đến sự thuyết minh và thu hồi
các hồ sơ của thiết bị, điều kiện thuận lợi và nhân sự. Hồ sơ thiết bị có thể bao gồm một
hoặc nhiều cơ sở dữ liệu thông tin-bao gồm các thiết bị được sử dụng trong mạng, các

thông số cài đặt, dữ liệu nhà sản xuất và số điện thoại để gọi cho bảo trì, và thông tin
tương tự. Hồ sơ thiết bị có thể hệ thống quản lý mạng hiện có, có thể bổ sung thêm thông
tin nhận được từ hệ thống quản lý mạng hoặc có thể là hệ thống quản lý mạng hoàn toàn
độc lập .Hồ sơ khả năng truyền dẫn có thể đơn giản bao gồm số các mạch điện và điểm
liên lạc của nhà cung cấp dịch vụ hoặc chúng có thể chứa các thông tin bổ sung như mong
đợi hoặc bảo đảm mức độ hiệu quả và kết quả theo dõi của thời kỳ trước đó .Sau đó bao
gồm người sử dụng cuối lưu ý xu hướng phát triển, trong đó có thể bao gồm sự hư hỏng
chất lượng mạch địện.
10
1.3 CÔNG CỤ VÀ HỆ THỐNG
Chưa kiểm tra kết quả thông tin thiếu. Sự phân tích của dữ liệu hồ sơ mạch điện
cho phép người sử dụng cuối cùng liên lạc với nhà cung cấp dịch vụ thông tin của họ yêu
cầu hỗ trợ trước khi kết quả lỗi xuống cấp của mạch có thể ngăn cản thông tin.
Thật không may, nhân viên thường loại trừ quá trình quản lý tài sản mặc dù tài sản là quý
giá nhất . Theo quá trình quản lý tài sản, bạn nên cân nhắc việc phát triển các hồ sơ vì nó
biểu thị kinh nghiệm công việc người lao động, giáo dục, đào tạo, và mức giấy chứng
nhận. Bạn có thể dùng thông tin này để thuận tiện nhiệm vụ người lao động đến những kế
hoạch mạng khác nhau.Tương tự thông tin liên quan đến giáo dục,đào tạo và chứng nhận
có thể được dùng kết với tổ chức yêu cầu thực hiện phân chia phát triển kế hoạch phân
phối đào tạo và phân bố ngan quỹ cho phép người lao động tiếp thu phù hợp trong đào
tạo. Các phân tích của mạch
Quản lý kế hoạch / hỗ trợ
Quản lý kế hoạch và hỗ trợ bao gồm những công việc cho phép các nhà quản lý
mạng và các quản trị viên cung cấp hỗ trợ cho người sử dụng hiện tại cũng như lên kế
hoạch cho tương lai. Hỗ trợ cho người sử dụng hiện tại có thể được xem như là một siêu
thiết lập trước đây mô tả chức năng quản lý mạng. Trong thực tế, hỗ trợ cũng như lập kế
hoạch phù hợp với chức năng quản lý mạng lưới khác. Ví dụ về các chức năng hỗ trợ
quản lý có thể bao gồm việc điều chỉnh khả năng mạng để cung cấp các thay đổi trong
việc sử dụng, sắp đặt thiết bị và phương tiện để hỗ trợ các ứng dụng mới hoặc ứng dụng
mở rộng, và họp với người sử dụng cuối cùng để xác định mức độ hài lòng hoặc không

hài lòng của họ với phương pháp truyền thông hiện tại.
Liên quan chặt chẽ để hỗ trợ quản lý là quá trình lập kế hoạch quản lý. Trong quá
trình lập kế hoạch bạn có thể đáp ứng với người sử dụng cuối cùng để xác định các yêu
cầu cũng như sự hài lòng hoặc không hài lòng với các thông tin liên lạc hiện có. Ngoài ra,
quá trình lập kế hoạch có thể liên quan đến việc thu thập dữ liệu từ các chức năng quản lý
mạng khác, trong đó cho phép bạn phát triển các mô hình để hỗ trợ trong việc thiết kế cấu
trúc mạng mới hoặc tối ưu hóa kiến trúc mạng hiện tại. Cuối cùng, nếu kết quả trong quá
trình lập kế hoạch được khuyến nghị thay đổi trong kiến trúc của mạng, sau khi phê duyệt
các thay đổi này phải được thực hiện. Do đó, quá trình lập kế hoạch phải bao gồm các
bước cần thiết để triển khai thực hiện việc cấu hình hoặc thay đổi những công việc quản
lý.
Hình 1.1 tóm tắt vùng chức năng quản lý mạng và những công việc liên quan đến
mỗi vùng. Bạn nên lưu ý rằng trường hợp hợp lệ có thể được thực hiện bao gồm nhiều
công việc dưới hai hoặc nhiều chức năng. Vì vậy, bạn có thể xem các công việc liên kết
11
với các chức năng trong hình1.1 như là một tài liệu hướng dẫn cho các lĩnh vực cơ bản
trong đó những công việc đã được thực hiện không phải như là tất cả các ví dụ của những
công việc đã thực hiện.
Hình 1.1 Mạng quản lý các khu vực chức năng và nhiệm vụ
Ngày nay có nhiều công cụ có thể sử dụng để cung cấp một mức hỗ trợ đáng kể trong việc
quản lý TCP / IP dựa trên mạng. Như vậy các công cụ trong phạm vi sử dụng các tiện ích
như các chương trình Ping, Traceroute và NSLOOKUP để phân tích các giao thức và các
chương trình báo cáo thống kê để cung cấp một sự hiểu biết liên quan đến việc sử dụng
mạng. Nói chung, công cụ quản lý mạng có thể được chia làm ba loại chính: công cụ giám
sát, công cụ chẩn đoán và hệ thống quản lý dựa trên máy vi tính.
1.3.1 Các công cụ giám sát
Các công cụ giám sát cung cấp cho bạn khả năng quan sát các hoạt động và thi
hành của các thiết bị và các khả năng truyền. Ví dụ về các công cụ giám sát gồm các ứng
dụng tiện như Ping có thể thông báo cho bạn nếu một thiết bị đang hoạt động và phát hiện
được cũng như các chương trình phần mềm giám sát lớp 2 và lớp 3 chẳng hạn như

EtherVision, EtherPeek, và các sản phẩm khác sẽ được mô tả và thảo luận trong các
chương sau của cuốn sách này.
1.3.2 Công cụ chẩn đoán
Một công cụ chẩn đoán thường sử dụng để phát hiện các sự cố trang thiết bị hoặc
phương tiện truyền. Ví dụ về các công cụ chẩn đoán cũng có thể bao gồm Ping nó sử
dụng để cung cấp thông tin về trạng thái hoạt động của thiết bị cũng như các bộ giải mã
gói có thể đưa ra ánh sang những lý do tại sao các thiết bị thông tin liên lạc đang không
hoạt động đúng.
1.3.3 Hệ thống quản lý dựa trên máy vi tính
12
Hệ thống quản lý dựa trên máy vi tính chạy chương trình đồ hoạ từ máy tính cá
nhân trên nền quản lý mạng SNMP tới toàn bộ các nền tảng của hệ thống máy tính có hỗ
trợ SNMP, cũng như các nhà cung cấp độc quyền phần cứng quản lý. Hình 1.2 minh họa
chung các thành phần của một hệ thống quản lý dựa trên máy vi tính. Công nghệ quản lý
cung cấp một điểm điều khiển cho truy cập vào các thiết bị. Điểm này hoặc đặt cùng một
mạng hoặc nằm trên một mạng xa. Trong môi trường TCP/IP trạm quản lý sử dụng giao
thức SNMP là giao thức truyền thông để truy cập vào các thiết bị khác để thực hiện chức
năng quản lý khác nhau.

Hình 1.2 Các thành phần chính của một hệ thống quản lý mạng
Trình ẩn là phần mềm mà có nhiệm vụ biên dịch và hoạt động theo yêu cầu từ các
nền tảng quản lý mạng. Thành phần chính thứ ba của một hệ thống quản lý là cơ sở thông
tin quản lý (MIB). MIB là cơ sở dữ liệu của các đối tượng diễn tả luật thi hành được duy
trì bởi một thiết bị hoặc các giá trị của các tham số lien quan với các thiết bị mà có thể
được đọc hoặc có khả năng reset. Trong môi trường TCP/IP các trình ẩn thực hiện giám
sát từ xa xảy ra thông qua việc sử dụng các thăm dò RMON, với thuật ngữ thăm dò được
sử dụng để diễn tả trình ẩn ở xa và MIB của nó. Lưu ý rằng các trình ẩn và các MIB của
nó có thể như là một mô-đun trong một thiết bị thông tin liên lạc, chẳng hạn như một bộ
định tuyến hoặc CSU, hoặc có thể hoạt động như là một trạm độc lập được kết nối với
mạng, chẳng hạn như là một máy thăm dò. Bây giờ chúng ta có đánh giá tổng hợp cho các

chức năng quản lý mạng, các công cụ, và các hệ thống, chúng ta sẽ kết thúc chương này
với tổng quan các nội dung của các chương trong cuốn sách này.
13
Chương 2 AN NINH MẠNG TCP/IP
2.1 AN NINH ĐỊNH TUYẾN
Một bộ định tuyến mô tả một phần trong hầu hết các loại mạng cũng như thiết bị
truyền thông đầu tiên được sử dụng để truyền dữ liệu giữa các mạng. Được hiểu theo cách
thông thường, nó mô tả nhiều kế hoạch thiết bị mạng truyền thông. Khi thay đổi cấu hình
của bộ định tuyến (cố ý hoặc không cố ý) có thể đều ảnh hưởng đến trạng thái hoạt động
của nó và ảnh hưởng đến tổ chức mạng. Một điều nữa nếu bảng định tuyến hoặc các tham
số khác nhau thay đổi, nó có thể làm thay đổi tổ chức dữ liệu để gởi đến vị trí nơi mà
thông tin có thể ghi và đọc bởi bộ phận thứ 3. Điều này rất quan trọng để hiểu rằng tại sao
người ta có thể truy cập và điều khiển bộ định tuyến, và từng bước tạo ra độ an toàn cho
thiết bị mạng truyền thông.
Trong phần này chúng tôi sẽ xem xét và thảo luận các phương pháp truy cập định
tuyến trong cả hai thuật ngữ chung và riêng. Thảo luận truy cập định tuyến của chúng ta
trong thuật ngữ chung sẽ áp dụng đến các sản phẩm được sản xuất bởi nhiều nhà cung cấp
khác nhau. Tuy nhiên, khi trở về sự chú ý đến phương pháp truy cập cụ thể và các
phương pháp chúng tôi có thể sử dụng an ninh truy cập đến bộ định tuyến, chúng tôi sẽ
tổng hợp bổ sung cụ thể chi tiết ứng dụng đến các bộ định tuyến do hệ thống Cisco sản
xuất . Mặc dù ví dụ các phương pháp cụ thể để bảo vệ truy cập đến các bộ định tuyến
trong phần này được định hướng theo định tuyến Cisco, nhưng trên thực tế các bộ định
tuyến được sản xuất bởi nhiều nhà cung cấp khác nhau nhưng đều có những khả năng
tương tự nhau. Nếu tổ chức mạng của bạn sử dụng các bộ định tuyến được sản xuất bởi
nhiều hãng khác nhau, bạn có thể kiểm tra chức năng an ninh truy cập của bộ định tuyến
đó và các lệnh cụ thể được hổ trợ bởi bộ định tuyến đến một hoặc nhiều chức năng an
ninh truy cập để cho phép, không cho phép và bảo vệ truy cập đến thiết bị dựa vào tài liệu
hướng dẫn sử dụng cụ thể của nhà cung cấp bộ định tuyến.
2.1.1 Sự cần thiết an ninh truy cập
14

Khi xem xét đến an ninh định tuyến, hầu hết người ta nghĩ đến những danh sách
truy cập định tuyến. Những danh sách truy cập định tuyến này được dùng để thiết lập
những giới hạn khi truyền dữ liệu thông qua các cổng của bộ định tuyến và được xem xét
để mô tả phạm vi phòng thủ mạng đầu tiên. Mặc dầu danh sách truy cập định tuyến là vô
cùng quan trọng về khía cạnh an ninh mạng, tác giả xem xét chúng để thực tế mô tả phạm
vi phòng thủ thứ hai của mạng. Điều này bởi vì khả năng truy cập và cấu hình bộ định
tuyến trình bày trong phạm vi phòng thủ đầu tiên của mạng. Nếu khác hơn là người được
chỉ rõ đạt được khả năng truy cập và thay đổi cấu hình tổ chức định tuyến, điều này có
nghĩa là bất kỳ danh sách truy cập đã trình bày trước đây có thể được thay đổi hoặc loại
bỏ - trong hiệu ứng cắt bỏ cách bảo vệ mạng đã trình bày trước. Tương tự như người nông
dân xây dựng một chuồng gà hình ba chiều, khi ra về vô tình để cửa đóng hờ, do thiếu sót
trong bảo vệ nên để mất loại động vật quí giá cũng như trong tổ chức định tuyến nếu bảo
vệ không tốt có thể người khác truy cập đến tài nguyên mạng . Điều này giải thích tại sao
chúng tôi sẽ thảo luận an ninh truy cập định tuyến trong phần này trước khi thảo luận lại
danh sách truy cập định tuyến trong phần thứ hai.
Khi khảo sát sâu hơn vào trong truy cập định tuyến, chúng tôi lưu ý đến vài
phương pháp tục ngữ chặn cửa vào ra đến thiết bị truyền thông này. Trên thực tế, một
phương pháp chúng ta trao đổi gồm việc sử dụng một danh sách truy cập định tuyến bằng
một kỹ thuật điều khiển đến bộ định tuyến để chắc chắn xác định trước địa chỉ IP. Tuy
nhiên, trước khi làm điều đó, chúng ta phải khóa cổng ra vào ,điều này phải làm xong
trước khi sử dụng khả năng danh sách truy cập định tuyến. Như vậy, sử dụng danh sách
truy cập được xem lại ở một phạm vi phòng thủ thứ hai.
2.1.2 Truy cập định tuyến
Mục đích của việc thảo luận này là, thuật ngữ truy cập định tuyến mô tả khả năng
của một người kết nối với một bộ định tuyến và truy cập vào hệ điều hành của nó. Hầu hết
các bộ định tuyến bao gồm một hoặc nhiều cổng nối tiếp được lắp vào các thiết bị cho
phép đầu cuối hay máy tính cá nhân, một loại đầu cuối cụ thể truy cập đến bộ định tuyến.
Đầu cuối truy cập này có thể kết nối trực tiếp bằng cáp hoặc đường dẫn thông tin từ xa.
Sau đó được hoàn thành thông qua người sử dụng modem hoặc DSU được kết nối đến
một cổng nối tiếp bộ định tuyến. Mặc dù sử dụng kết nối cổng nối tiếp là phương pháp

đầu tiên được sử dụng ở hầu hết các tổ chức cung cấp truy cập đến hệ điều hành một bộ
định tuyến để cho phép cấu hình thiết bị, nhưng nó không phải là phương pháp truy cập
duy nhất. Cộng thêm các phương pháp được hổ trợ bởi nhiều bộ định tuyến gồm truy cập
15
Telnet và sử dụng giao thức HTTP (Trial File Transfer Protocol) để lưu trữ và truyền
tải hình ảnh hệ thống, các tệp cấu hình giữa bộ định tuyến và máy trạm.
2.1.3 Truy cập Telnet
Telnet cung cấp khả năng truy cập một thiết bị từ xa bao gồm một bộ định tuyến
như thể thiết bị đầu cuối môt chương trình máy khách Telnet được kết nối trực tiếp đến
thiết bị từ xa. Telnet truy cập đến bộ định tuyến có thể xảy ra từ phía trước hay phía sau
bộ định tuyến, thuật ngữ phía trước được sử dụng dựa vào truy cập đến bộ định tuyến
thông qua mạng diện rộng (mạng WAN) kết nối từ một vị trí trạm trên mạng khác không
trực tiếp nối đến cổng bộ định tuyến cụ thể, trong khi thuật ngữ phía sau đề cập đến một
một vị trí trạm trên một mạng kết nối trực tiếp đến cổng bộ định tuyến mạng nội bộ (mạng
LAN). Điều này nghĩa là truy cập Telnet đến một bộ định tuyến có thể xảy ra từ một thiết
bị nội bộ trên tổ chức mạng nội bộ hoặc nếu bộ định tuyến được kết nối đến Internet, từ
bất kỳ thiết bị đầu cuối trên thế giới có truy cập Internet. Điều này cũng có nghĩa là, bất
kỳ vị trí máy khách hoạt động chương trình Telnet, nhà điều hành chương trình chỉ cần
biết địa chỉ IP của giao tiếp mạng của bộ định tuyến để bắt đầu một phiên kết nối Telnet
đến bộ định tuyến và truy cập đến thiết bị. Nếu nhân viên điều hành của máy khách
Telnet thực hiện một kết nối đến bộ định tuyến nhân viên điều hành sẽ nhận được một
nhắc nhở, chẳng hạn như:
Tên định tuyến> hay
Xác định người dùng truy cập
Mật khẩu:
Ở đây tên định tuyến mô tả tên một tổ chức được chỉ định bộ định tuyến, trong khi
mật khẩu mô tả nhắc nhở nhập mật khẩu thích hợp để truy cập vào bộ định tuyến. Hình
2.1 minh họa việc sử dụng một máy khách Telnet sẵn sàng dùng dưới Windows 95 và
Windows 98 đến hàng triệu người để truy cập một bộ định tuyến có địa chỉ IP là
205.131.176.1. Trong ví dụ minh hoạ của Hình 2.1 bộ định tuyến gián đoạn kết nối sau ba

lần thử đăng nhập không thành công. Tuy nhiên, tin tặc có thể ngay lập tức thử lại nhiều
hơn ba lần. Với việc sử dụng một tập lệnh và một từ điển điện tử, điều đó trở thành một
công việc tương đối đơn giản cho người ta bẻ khóa mật khẩu (crack) chương trình Telnet
để truy cập vào khả năng cấu hình bộ định tuyến. Vì vậy, điều quan trọng để chọn mật
khẩu đó là không những không có trong từ điển mà còn không mô tả các điều nhỏ trong
các từ của từ điển, chẳng hạn như dog7, từ một tin tặc có thể lập trình lặp đi lặp lại nhiều
từ cho một tấn công thành công suốt thời gian.
16
Cần lưu ý rằng nhiều tổ chức có một chính sách địa chỉ IP, ở đó chúng chỉ định chỉ
thấp cho giao tiếp bộ định tuyến. Ví dụ, nếu địa chỉ mạng IP thuộc lớp C là
205.123.124.0, chúng có thể chỉ định 205.123.456.1 bằng một địa chỉ giao tiếp từ mạng
205 đến bộ định tuyến. Nhiều tổ chức đã sử dụng việc sắp xếp địa chỉ chung này, thông
thường sẽ rất là dễ dàng để xác định địa chỉ của bộ định tuyến cho Telnet tiếp theo. Ở
điểm này trong lúc nhân viên điều hành máy khách cho phép truy cập trực tiếp tất cả cấu
hình bộ định tuyến và kiểm soát bộ định tuyến. Bằng việc mở rộng một tập lệnh giả với
việc sử dụng một từ điển điện tử, nhiều tin tặc biết cấu hình nhiều bộ định tuyến do các
nhà sản xuất cài đặt mật khẩu mặc định truy cập Telnet. Điều này thật không may cho các
tổ chức mạng, tốt hơn họ không bao giờ sử dụng mật khẩu mặc định. Điều này là do các
mật khẩu có trong danh sách trong hướng dẫn sử dụng bộ định tuyến của nhà cung cấp,
những mật khẩu này có thể mua với giá 29,95 đô la hoặc cho truy cập miễn phí thông qua
World Wide Web. Điều này có nghĩa là hầu như không có giới hạn số người có khả năng
để khám phá các mật khẩu mặc định cần thiết để truy cập vào một bộ định tuyến thông
qua một kết nối Telnet. Nếu các bộ định tuyến mà quản trị viên không thể thay đổi mật
khẩu mặc định truy cập Telnet hay không đặt thêm bất kỳ hạn chế khi truy cậpTelnet thì
bất kỳ người nào có kiến thức về địa chỉ IP của giao tiếp bộ định tuyến có thể được truy
cập vào thiết bị.
2.1.4 Truy cập TFTP
Hầu hết các bộ định tuyến có hai loại bộ nhớ: Bộ nhớ truy cập ngẫu nhiên (RAM)
và bộ nhớ không bay hơi. Không giống như bộ nhớ RAM, nội dung của nó bị xoá hoàn
toàn khi mất nguồn, nội dung của bộ nhớ không bay hơi không bị xóa. Khi cấu hình, bộ

nhớ định tuyến không bay hơi thường được sử dụng để lưu trữ hình ảnh của bộ nhớ bộ
định tuyến cũng như sao lưu dự phòng hoặc thay thế cấu hình định tuyến. Bởi vì bộ định
tuyến không chứa đĩa mềm hoặc không có ổ đĩa cứng, khả năng của chúng lưu trữ nhiều
hơn vài cấu hình thay đổi bị giới hạn. Điều này có nghĩa là các quản trị viên đòi hỏi khả
năng lưu trữ dự phòng hoặc thay thế cấu hình bộ định tuyến vượt ra ngoài khả năng giới
hạn bộ nhớ không bay hơi tiêu biểu của bộ định tuyến làm như vậy trên máy trạm và sử
dụng chương trình TFTP (Trivial File Transfer Program) để tải và lưu các hình ảnh hệ
thống bộ định tuyến và các tập tin cấu hình. Điều này cũng có nghĩa là nếu được phép
truy cập TFTP, tùy theo cách thức hỗ trợ truy cập TFTP của bộ định tuyến, nó có thể cho
phép cá nhân không được quyền tạo ra cấu hình dữ liệu khi sử dụng bộ định tuyến, dẫn
đến vi phạm bảo mật hoặc không được định trước môi trường hoạt động.
17
Bây giờ chúng ta đánh giá các phương pháp chính có thể được sử dụng để truy cập
vào bộ định tuyến, chúng ta quay về các phương pháp được sử dụng là bảo vệ truy cập
hoặc khóa cửa ra vào dựa trên phương pháp truy cập. Điều này sẽ cung cấp cho chúng ta
khả năng làm nó khó khăn đối với những người được phép truy cập bộ định tuyến và
giành được khả năng xem và thay đổi các cấu hình thiết bị. Trong khi làm điều đó, chúng
ta sẽ thảo luận về một số lệnh định tuyến các hệ thống Cisco.

Hình 2.1
Hình 2.1 Qua việc sử dụng máy khách Telnet bao gồm hàng triệu bản sao của
Windows 95 và Windows 98, tin tặc có thể truy cập vào khả năng cấu hình định tuyến kết
nối vào Internet.
2.1.5 Bảng điều khiển và đầu cuối ảo
Sau khi bạn mở gói bộ định tuyến và bắt đầu quá trình cài đặt của nó, điều này vô
cùng quan trọng là xem xét cách thức truy cập vào cấu hình thiết bị. Nếu bạn cho phép
thay đổi cấu hình từ một kết nối trực tiếp thiết bị đầu cuối, bạn cần đảm bảo Telnet và
TFTP được phép truy cập. Trong môi trường định tuyến của Cisco, bạn có thể truy cập
18
cấu hình từ bàn điều khiển và đầu cuối ảo thông qua việc sử dụng ‘dòng’ lệnh. Dòng lệnh

này theo định dạng sau:
dòng [loại từ khoá]dòng đầu tiên [dòng cuối]
Ở đây thông tin trong dấu ngoặc đơn mô tả tùy chọn. Các loại từ khóa nhập vào có
thể được nhập vào bảng điều khiển là 'aux' hoặc 'vty'. Bảng điều khiển nhập mô tả một
đường dây đầu cuối và thiết bị nối cáp trực tiếp đến một cổng trên bộ định tuyến. So sánh,
aux được sử dụng để chỉ thị đường dây phụ, cho phép bạn định rõ quyền truy cập thông
qua một cổng trên bộ định tuyến được kết nối với một CSU, DSU hoặc modem, cho phép
truyền thông nối tiếp từ xa. Tùy chọn thứ ba, vty, mô tả kết nối đầu cuối ảo với truy cập
bảng điều khiển từ xa. Lưu ý rằng khi nhập dòng lệnh, dòng lệnh đầu tiên và cuối cùng
mô tả một số áp dụng kề nhau đến thiết bị cụ thể và có thể được trình bà và liên kết với
một đường dây.
Khi cấu hình truy cập thông qua việc sử dụng dòng lệnh. Điều đó rất quan trọng để
xem xét liên kết một mật khẩu với thiết bị mà bạn cho phép truy cập. Thậm chí nếu bạn
có kế hoạch cho phép truy cập vào một bộ định tuyến thông qua thiết bị đầu cuối kết nối
cáp trực tiếp trong một trung tâm kiểm soát kỹ thuật an toàn, mỗi tình huống xảy ra sẽ
chứng minh mật khẩu bảo vệ. Trong trường hợp mà người dùng là quen thuộc, một trung
tâm kiểm soát kỹ thuật của mạng chính được một nhóm người theo dõi kết quả. phần còn
lại của nhóm của trung tâm kiểm soát kỹ thuật giám sát tình trạng của mạng lưới bằng
hình ảnh hiển thị, điều quan tâm bắt đầu với một cáp nối trực tiếp đầu cuối đến một bộ
định tuyến và các chức năng bằng hộp thoại của bộ định tuyến. Không biết nhập vào cái
gì, các nhóm theo dõi nhập vào một dấu hỏi (?), các kết quả đó được trong hiển thị các
lệnh bộ định tuyến. Trong khoảng thời gian ngắn, người theo dõi này quản lý cấu hình bộ
định tuyến, trong khi phần còn lại của nhóm nghe lời chỉ dẫn bởi người quản lý trung tâm.
Không cần thiết để nói, nếu một mật khẩu trước đó đã được liên kết với đầu cuối truy
cập, mất cấu hình bộ định tuyến trước và tàn phá kết quả nó tạo ra là không thể.
Trong môi trường bộ định tuyến của Cisco, bạn có thể kết hợp một mật khẩu với
một phương pháp truy cập từ xa. Để làm được như vậy, bạn nên sử dụng mật khẩu lệnh.
Ví dụ:
Dòng điều khiển
Mật khẩu Bugs4bny

19
Bảng điều khiển truy cập bị khóa cho đến khi người điều hành bảng điều khiển trả
lời mật khẩu bugs4bny tại dấu nhắc bởi bộ định tuyến.
Mật khẩu của hãng Cisco có thể lên tới 80 ký tự. Các mật khẩu này thường được
kết hợp bất kỳ của các chữ cái, chữ số và các khoảng trắng. Trong lúc này các quản trị
viên định tuyến được quyền điều khiển và thay đổi các mật khẩu đó, đồng thời mật khẩu
này giới hạn người sử dụng truy cập vào bộ định tuyến. Điều này bởi vì khi lựa chọn một
mật khẩu thường dựa vào một số lượng lớn con số và chữ cái khác nhau đồng thời trộn
lẫn chúng lại với nhau. Khi sử dụng mật khẩu loại này chắc chắn sẽ khó đoán và tránh
được sự tấn công, đồng thời mật khẩu này cũng gây khó khăn cho quản trị viên định tuyến
nhập mật khẩu vào không chính xác. Nếu nhập sai ba lần, bộ định tuyến của Cisco sẽ
khóa. Vì vậy, khi lựa chọn một mật khẩu, điều quan trọng là phải ghi nhớ một số nguyên
tắc mật khẩu. Trước tiên, mật khẩu phải sử dụng hỗn hợp các ký tự chữ và số để tránh bớt
các nguy cơ tấn công . Thứ hai, khi xây dựng cấu trúc một mật khẩu hãy nhớ rằng càng
mở rộng độ dài của mật khẩu thì càng làm tăng khả năng xảy ra lỗi khi nhập mật khẩu.
Nói chung, mật khẩu dài từ 10 đến 15 ký tự là đủ nếu mật khẩu được cấu tạo từ liên kết
giữa chữ viết tắt và một chuỗi các số.
2.1.6 Truyền file (tệp)
Chúng ta nhận thấy rằng, trước đây các giao thức truyền tệp thường (Trivial File
Transfer Protocol) thường được hỗ trợ bởi bộ định tuyến như là một kỹ thuật cho phép
hình ảnh hệ thống và các file cấu hình được lưu trữ trên trạm làm việc. Trong môi trường
bộ định tuyến của Cisco, cho phép tải các file cấu hình mạng khi khởi động lại bộ định
tuyến, chúng ta phải xác định lệnh dịch vụ cấu hình là mặc định và vô hiệu hoá khả năng
này. Nếu khả năng này được kích hoạt, bộ định tuyến sẽ phát tín hiệu qua TFTP đọc một
tin nhắn yêu cầu và trạm đầu tiên đáp ứng sẽ có file với một tên cụ thể dựa vào cấu hình
của bộ định tuyến được truyền qua mạng.
2.1.7 An ninh bên trong bộ định tuyến
Một khi đã đạt được quyền truy cập vào một bộ định tuyến, hệ điều hành của thiết
bị có thể cung cấp thêm khả năng bảo vệ, bạn có thể sử dụng thêm cho việc bảo mật truy
cập bộ định tuyến. Trong bộ định tuyến của Cisco lệnh phiên dịch trong hệ điều hành

được gọi tắt là Exec. Exec có hai mức truy cập: người dùng và đặc quyền.
Mức truy cập của người dùng cho phép người dùng sử dụng một số lệnh trong các
lệnh bộ định tuyến, ví dụ như lệnh cho phép mở danh sách các kết nối bộ định tuyến, lệnh
cung cấp tên đến một kết nối logic và lệnh hiển thị số liệu thống kê liên quan đến hoạt
20
động của bộ định tuyến. Mức truy cập đặc quyền bao gồm tất cả các lệnh truy cập của
người dùng cũng như các lệnh ảnh hưởng đến các hoạt động của bộ định tuyến, chẳng hạn
như lệnh về cấu hình, lệnh này cho phép nhân viên quản trị mạng đặt lại cấu hình của bộ
định tuyến, tải lại lệnh, lệnh tạm dừng hoạt động của thiết bị và tải lại cấu hình của thiết
bị và các lệnh tương tự có liên quan thiết thực đến tình trạng làm việc của thiết bị.
Quyền của người được truy cập vào chế độ hoạt động đặc quyền của bộ định tuyến
Cisco nhận được khả năng điều khiển trực tiếp các hoạt động bộ định tuyến, mức truy cập
này có thể được bảo vệ bằng mật khẩu. Vì vậy, khi cài đặt bộ định tuyến của Cisco, điều
quan trọng khi sử dụng lệnh về cấu hình của bộ định tuyến thường sử dụng mật khẩu. Ví
dụ, để chỉ định mật khẩu power4you với mức lệnh đặc quyền, bạn nên sử dụng mật khẩu
lệnh cho phép như sau:
cho phép mật khẩu power4you
Tương tự mật khẩu kết hợp với một dãy nối tiếp tại thiết bị đầu cuối, mật khẩu chỉ
định đến lệnh đặc quyền là trường hợp nhạy cảm, mật khẩu có thể chứa bất kỳ hỗn hợp
của ký tự chữ cái và chữ số, mật khẩu này tối đa đến 80 ký tự. Do đó, bằng cách đặt một
mật khẩu trên cổng nối tiếp, hoặc trên bất kỳ các kết nối đầu cuối ảo cũng như trên các
lệnh đặc quyền của bộ định tuyến, bạn bảo vệ cả hai truy cập vào các bộ định tuyến giống
như việc sử dụng các lệnh truy cập đặc quyền.
21
Hình 2.2
Hình 2.2 minh họa cấu hình xử lý ban đầu của bộ định tuyến và chỉ định mật khẩu.
Lưu ý rằng sau giao diện bộ định tuyến được hiển thị và một tên (BigMac) đã được nhập
vào bộ định tuyến, bạn sẽ được nhắc nhở để nhập ba mật khẩu. Mật khẩu thứ nhất gọi tắt
là cho phép bí mật, là một mật mã bí mật được sử dụng thay vì mật khẩu cho phép. Thứ
hai là mật khẩu cho phép là mật khẩu được sử dụng nơi không cần bảo mật và khi sử dụng

phần mềm cũ và một số hình ảnh khởi động. Thứ ba, mật khẩu là mật khẩu đầu cuối ảo.
Sau khi các mật khẩu đã được nhập vào, bộ định tuyến sẽ nhắc bạn nhập dữ liệu cấu hình
đặc trưng chỉ là một phần trong số đó được hiển thị trong hình 2.2. Việc nhập mật khẩu
được hiển thị trong hình 2.2 là minh họa cho mục đích và phạm vi mô tả cấu tạo mật khẩu
được đề cập trong phần này.
2.1.8 Phạm vi phòng vệ bổ sung
Nếu bạn cần cung cấp một hoặc cho nhiều người dùng trên một mạng với cấu hình
của mạng gồm một hoặc nhiều bộ định tuyến, bạn có thể bổ sung thêm một lớp bảo vệ
mật khẩu ngoài. Để làm như vậy, bạn có thể lập trình một hoặc nhiều danh sách truy cập
bộ định tuyến. Mặc dù việc sử dụng danh sách truy cập vào định tuyến là được ẩn, chúng
ta có thể tóm tắt một số lưu ý rằng mật khẩu ngoài đại diện cho các chọn lựa cho phép
hoặc từ chối để áp dụng cho các địa chỉ Internet. Điều này có nghĩa là nếu bạn có thể xác
định địa chỉ IP của các trạm, điều này sẽ cung cấp cấu hình hoạt động một hoặc nhiều bộ
định tuyến thông qua việc nối mạng, bạn có thể sử dụng danh sách truy cập của bộ định
tuyến để hạn chế truy cập Telnet cho mỗi bộ định tuyến đến một hoặc nhiều địa chỉ cụ thể
IP. Điều này có nghĩa là không những nhà điều hành đầu cuối cần phải biết chính xác mật
khẩu để truy cập vào bộ định tuyến thích hợp mà họ còn biết thêm vị trí xác định trước
của bộ định tuyến trên mạng. Bằng cách kết hợp bảo vệ mật khẩu bộ định tuyến với mật
khẩu bảo vệ đặc quyền của chế độ điều hành để hạn chế truy cập vào cấu hình của bộ định
tuyến thông qua việc sử dụng một hoặc nhiều danh sách truy cập để khóa quyền truy cập
vào bộ định tuyến.
2.2 DANH SÁCH TRUY CẬP BỘ ĐỊNH TUYẾN
22
Trong phần trước của chương này, chúng ta tập trung nghiên cứu đến khả năng
truy cập cấu hình của bộ định tuyến. Trong phần đó chúng ta chú ý rằng một phương pháp
truy cập đến bộ định tuyến thông qua việc sử dụng danh sách truy cập thích hợp. Tuy
nhiên, khi truy cập sâu danh sách truy cập nó sẽ bị thoát ra ngoài để thực hiện chức năng
bảo mật.
Trong phần này, chúng ta sẽ kiểm tra hoạt động, sử dụng, và hạn chế của danh
sách truy cập. Mặc dù chúng ta sẽ thảo luận về danh sách truy cập trong thuật ngữ ứng

dụng chung của nhiều sản phẩm được sản xuất bởi các nhà sản xuất khác nhau. Chúng ta
cũng sẽ thảo luận các loại danh sách truy cập cụ thể và đề cập tới những ví dụ minh họa
liên quan đến cách thức hoạt động của chúng. Đồng thời chúng ta sẽ đề cập đến danh sách
truy cập được hỗ trợ bởi các bộ định tuyến của hệ thống Cisco, hiện tại nhà sản xuất này
cung cấp trên khoảng 70% thiết bị trên thị trường. Mặc dù sử dụng danh sách truy cập
trong phần này được định hướng theo sản phẩm của hệ thống Cisco, tuy nhiên cần lưu ý
là bộ định tuyến của các hãng sản xuất khác cũng tính năng tương đương. Điều này có
nghĩa là các ví dụ được trình bày trong phần này đều có liên quan đến các nhà cung cấp
khác? Thông thường có sự thay đổi chút ít. Cũng lưu ý rằng vì có rất nhiều phiên bản bộ
định tuyến của hệ thống Cisco dựa vào IOS nên khả năng thực tế và mã hóa danh sách
truy cập tùy thuộc vào phiên bản IOS được sử dụng. Trong vấn đề này, chúng ta sẽ tập
trung đến danh sách truy cập chính của các phiên bản khác nhau phổ biến của hệ thống
Cisco đã qua vài năm sử dụng.
2.2.1 Tổng quan
Một danh sách truy cập mô tả một chuỗi chọn lựa cho phép và từ chối các điều kiện
mà được áp dụng đến trường giá trị trong các gói tin chảy qua một giao diện bộ định
tuyến.Chỉ một danh sách truy cập được cấu hình, nó được áp dụng đến một hoặc nhiều
giao diện định tuyến, dẫn đến việc thực hiện một chính sách an ninh. Vì các gói thông qua
một giao diện của bộ định tuyến, thiết bị so sánh dữ liệu trong một hoặc nhiều trường
trong gói với những phát biểu trong danh sách truy cập kết hợp với giao diện. Dữ liệu
trong trường lựa chọn của gói được so sánh từng phát biểu trong danh sách truy cập theo
thứ tự mà những phát biểu được nhập vào tạo thành danh sách. Đầu tiên kết hợp giữa các
nội dung hoặc điều kiện của phát biểu trong danh sách truy cập và một hoặc nhiều thành
phần dữ liệu của trường trong mỗi gói xác định dù cho bộ định tuyến có cho phép gói
ngang qua giao diện hay không. Nếu điều kiện gói chảy thông qua các bộ định tuyến
không cho phép thì bộ định tuyến gởi gói đến thùng trong bầu trời qua hoạt động lọc.
23
Tại một số nhỏ nhất, danh sách truy cập định tuyến điều khiển dữ liệu theo lớp
mạng. Bởi vì có rất nhiều loại giao thức lớp mạng, cũng có nhiều loại danh sách truy cập
chẳng hạn như danh sách truy cập Novell NetWare IPX, danh sách truy cập giao tức

Internet IP và danh sách truy cập Decnet. Bởi vì trọng tâm của cuốn sách này trên quản
lý giao thức điều khiển truyền/giao thức Internet ( TCP/IP) và qui tắc quan trọng của giao
thức Internet trong truy cập của chúng, chúng tôi sẽ thu hẹp xem xét danh sách truy cập
của chúng tôi đến những hỗ trợ giao thức TCP / IP.
2.2.2 Xem xét giao thức TCP/IP
Để thu được một đánh giá cách thức hoạt động trong danh sách truy cập IP, một
xem xét tóm tắt thứ tự một phần của giao thức TCP/IP. Tại lớp ứng dụng các nội dung
dòng dữ liệu mô tả một liên quan ứng dụng trong giao thức, chẳng hạn như tệp vận
chuyển phiên đầu cuối xa hoặc một thư điện tử được thông qua đến một trong hai lớp vận
chuyển giao thức đã hỗ trợ bởi giao thức TCP/IP: giao thức điều khiển truyền TCP
(Transmission Control Protocol) và giao thức chương trình dữ liệu người dùng UDP
(User Datagram Protocol). Cả TCP và UDP là giao thức lớp 4 hoạt động tại lớp vận
chuyển (theo tiêu chuẩn ISO) mô hình tham khảo hệ thống mở OSI. Bởi vì một máy tính
chủ điều hành giao thức TCP/IP được hỗ trợ hoạt động nhiều ứng dụng đồng thời, một kỹ
thuật được đòi hỏi để phân biệt một trong những ứng dụng khác nhau như ứng dụng dữ
liệu được tạo thành trong TCP hay chương trình dữ liệu UDP. Kỹ thuật sử dụng để phân
biệt một ứng dụng từ những ứng dụng khác là số cổng, với mỗi ứng dụng được hỗ trợ bởi
giao thức TCP/IP có kết hợp với số cổng. Ví dụ, một máy chủ có thể truyền tải một gói
có chứa một email theo bởi một gói có chứa một phần của một tệp vận chuyển, với số
cổng khác nhau trong mỗi gói, xác định loại dữ liệu chứa trong mỗi gói. Thông qua việc
sử dụng số cổng, các ứng dụng khác có thể được truyền đến một địa chỉ chung với địa chỉ
đến sử dụng số cổng trong mỗi gói như là một kỹ thuật phân kênh từ một trong những
ứng dụng khác nhau trong một dòng dữ liệu nhận được từ một địa chỉ nguồn. Số cổng
được chỉ định bởi quyền chỉ định của Internet IANA (Internet Assigned Number
Authority). IANA duy trì một danh sách chỉ định số cổng mà bất kỳ ai có quyền tuy cập
Internet cũng có thể truy cập vào. TCP là một giao thức kết nối liên kết, nó cung cấp một
kỹ thuật phân phối bảo đảm. Bởi vì khả năng trao đổi dữ liệu chỉ yêu cầu một khoảng thời
gian ngắn để thiết lập một kết nối TCP . Nó không những vô cùng hiệu quả của ứng dụng
24
truyền dẫn mà chỉ đòi hỏi nhỏ số lượng dữ liệu trao đổi, chẳng hạn một câu hỏi quản lý

rằng có thể đơn giản lấy lại một tham số được lưu trữ từ máy dò phía xa. Công nhận rằng
loại tình trạng mạng này đòi hỏi một phương thức truyền dẫn cao hơn kết quả là phát
triển của UDP. UDP được phát triển bằng một kết nối không dây, nỗ lực tốt nhất của kỹ
thuật phân phối. Điều này có nghĩa là khi một phiên UDP được bắt đầu, dữ liệu bắt đầu
truyền ngay lập tức thay vì phải đợi cho đến khi một phiên kết nối được thiết lập. Điều
này cũng có nghĩa là trên lớp ứng dụng trở thành trách nhiệm phải cài đặt một thời gian
để cho phép một khoảng thời gian để kết thúc mà không nhận được phản hồi để xác định
rằng một kết nối hoặc được thiết lập hoặc đã mất.
Mặc dù cả hai TCP và UDP khác nhau một trong những ứng dụng khác bằng việc
sử dụng các giá trị số cổng, thực tế địa chỉ thiết bị trách nhiệm của IP, một giao thức lớp
mạng hoạt động tại lớp 3 của tiêu chuẩn ISO, mô hình tham khảo của OSI. Một ứng dụng
dữ liệu dưới giao thức TCP/IP hoặc một tiêu đề TCP hoặc một tiêu đề UDP được thêm dữ
liệu, với kết quả đoạn dữ liệu chứa một số cổng thích hợp mà nhận dạng ứng dụng đang
được vận chuyển. Tiếp theo, dữ liệu phía dưới giao thức, hoạt động trong lớp 3 dẫn đến
một tiêu đề IP được thêm vào trước tiêu đề TCP hoặc UDP. Tiêu đề chứa địa chỉ IP đích
và địa chỉ IP nguồn bằng 32-bit dưới chuẩn IPv4. Chúng tôi thường xuyên mã hóa địa chỉ
IP khi cấu hình giao thức bằng bốn số thập phân tách rời nhau bởi dấu chấm. Dựa vào
trước, có ba địa chỉ được sử dụng trong một danh sách truy cập IP mà cho phép hoặc
không cho phép luồng gói tin thông qua giao diện bộ định tuyến: địa chỉ IP nguồn, địa chỉ
IP đích và số cổng nhận dạng dữ liệu ứng dụng trong gói. Thực tế hệ thống Cisco và bộ
định tuyến khác được sản xuất cũng hỗ trợ giao thức liên quan IP khác, chẳng hạn như
giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message Protocol) và
giao thức mảng mở ngắn nhất đầu tiên OSPF (Open shortest Patch First) bằng một kỹ
thuật cho phép hoặc không cho phép luồng của các loại tin nhắn lỗi xác định trước và
các chất vấn, với một ví dụ trễ là một gói yêu cầu phản hồi và trả lời ICMP.
2.2.3 Sử dụng danh sách truy cập
Trong môi trường định tuyến của Cisco, có hai loại danh sách truy cập IP mà bạn
có thể cấu hình: danh sách cấu hình chuẩn hoặc cơ sở và danh sách truy cập mở rộng. Một
danh sách truy cập chuẩn cho phép lọc chỉ bằng địa chỉ nguồn. Điều này có nghĩa bạn chỉ
có thể cho phép hoặc từ chối các gói tin thông qua một giao diện dựa vào địa chỉ nguồn

IP trong gói. Do đó danh sách truy cập loại này được giới hạn trong các chức năng của nó.
So sánh danh sách truy cập mở rộng cho phép lọc địa chỉ nguồn, địa chỉ đích và các tham
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×