Cơ sở lý thuyết về
BẢO MẬT MẠNG
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

2

MỤC LỤC

PHẦN 1: TỔNG QUAN AN NINH MẠNG 12
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH 13
1. Khái niệm 13
2. Phân loại mạng máy tính 13
2.1. Mạng quảng bá (broadcast network): 13
2.2. Mạng điểm nối điểm (point-to-point network): 13
2.3. LAN 14
2.4. MAN 15
2.5. WAN 15
2.6. Mạng không dây 17
2.7. Liên mạng 17
3. Mô hình tham chiếu OSI 17
4. Các thiết bị mạng cơ bản 21
5. Các dịch vụ mạng 23
5.1. Hệ thống tên miền DNS 23
5.2. Dịch vụ DHCP 27
5.3. Dịch vụ Web (HTTP) 29
5.4. Dịch vụ truyền tệp tin FTP 30
5.5. Dịch vụ thư điện tử 30

Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

3

CHƯƠNG 2: GIỚI THIỆU VỀ AAA 33
1. Khái niệm: 33
2. Kiểm soát truy cập (Access Control) 33
2.1. Khái niệm 33
2.2. Các phương pháp kiểm soát truy cập 33
3. Xác thực truy cập (Authentication) 35
3.1. Khái niệm 35
3.2. Kerberos 35
3.3. Xác thực dựa trên username/password 39
3.4. CHAP (Challenge Handshake Authentication Protocol) 39
3.5. TOKEN 40
3.6. Chứng chỉ số (Certificates) 40
3.7. Sinh trắc học (Biometrics) 43
3.8. Xác thực kết hợp nhiều nhân tố (Multi-Factor) 43
3.9. Xác thực lẫn nhau (Mutual Authentication) 44
4. Giám sát thống kê (Accounting) 44
PHẦN 2: AN NINH HẠ TẦNG 45
CHƯƠNG 1: MÔ HÌNH MẠNG BẢO MẬT 46
1. Lời mở đầu 46
2. Phân đoạn mạng (Segmentation) 46
3. Các điểm truy cập (Network Access Points) 47
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

4


4. Router và Switch 48
5. Tường lửa 48
6. Thiết bị phát hiện/ngăn chặn xâm nhập 49
7. Truy cập từ xa (Remote Access) 50
8. Security Event Management (Thiết bị quản lý sự kiện tập trung) 51
9. Hệ thống dò tìm điểm yếu (Vulnerability Management) 51
CHƯƠNG 2: TƯỜNG LỬA 53
1. Khái niệm 53
2. Các công nghệ tường lửa 53
2.1. Packet Filtering (lọc gói tin) 53
2.2. Application Filtering (lọc ứng dụng) 56
2.3. Stateful Inspection Firewall 57
CHƯƠNG 3: THIẾT BỊ PHÁT HIỆN/NGĂN CHẶN XÂM NHẬP 59
1. Khái niệm 59
2. Các loại IDS/IPS 60
2.1. Phân loại theo phạm vi hoạt động 60
2.2. Phân loại theo nguyên lý hoạt động của IDS/IPS 62
CHƯƠNG 4. MẠNG RIÊNG ẢO 64
1. Khái niệm 64
2. Các loại VPN 65
2.1. VPN truy cập từ xa 65
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

5

2.2. VPN điểm-nối-điểm 65
CHƯƠNG 5. VLAN 67
1. Khái niệm 67

2. Ứng dụng của VLAN 67
2.1. Tiết kiệm chi phí 67
2.2. Tiết kiệm băng thông của hệ thống mạng 68
2.3. Tăng khả năng bảo mật 68
2.4. Dễ dàng thêm hay bớt máy tính vào VLAN 68
2.5. Giúp mạng có tính linh động cao 68
CHƯƠNG 6. NETWORK ADDRESS TRANSLATION 69
1. Khái niệm 69
2. Phân loại NAT 69
2.1. Static NAT (NAT tĩnh) 69
2.2. Dynamic NAT hay Pooled NAT (NAT động) 70
2.3. Port Address Translation (PAT) 70
CHƯƠNG 7. AN NINH TRUYỀN DẪN VÀ LƯU TRỮ 72
1. Cáp đồng trục 72
2. Cáp UTP/STP 73
3. Cáp Quang 73
4. Các thiết bị lưu trữ 75
CHƯƠNG 8. CHÍNH SÁCH AN NINH MẠNG 76
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

6

1. Khái niệm 76
2. Các thành phần của một chính sách an ninh mạng 77
CHƯƠNG 9. CÁC NGUYÊN TẮC CƠ BẢN 80
PHẦN 3: MÃ HÓA 81
CHƯƠNG 1. CĂN BẢN VỀ MÃ HÓA 83
CHƯƠNG 2. CÁC THUẬT TOÁN MÃ HÓA 85
1. Khái niệm 85

2. Phân loại các thuật toán mã hoá 86
2.1. Mã hóa cổ điển 86
2.2. Mã hóa đối xứng 87
2.3. Mã hóa bất đối xứng 90
2.4. Mã hóa hàm băm (Hash Function) 92
2.5. Chữ ký điện tử 93
CHƯƠNG 3. HẠ TẦNG KHÓA CÔNG KHAI PKI 97
1. Tổng quan về PKI 97
2. Các thành phần và hoạt động của PKI 97
3. Một số hệ thống PKI 100
4. Kết luận 101
CHƯƠNG 4. TIÊU CHUẨN VÀ CÁC GIAO THỨC 102
1. Tiêu chuẩn mã hóa 102
2. Các giao thức mã hóa 102
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

7

2.1. Khái niệm 102
2.2. Các giao thức mã hóa phổ biến 103
PHẦN 4: AN NINH ỨNG DỤNG 109
CHƯƠNG 1: AN NINH TRONG TRUY CẬP TỪ XA 110
1. 802.1x 110
1.1. Những vấn đề an ninh của mạng không dây 111
1.2. Các biện pháp bảo mật cho WLAN 111
2. Virtual Private Network 111
3. RADIUS 112
3.1. Khái niệm 112
3.2. Quá trình chứng thực của RADIUS 113

4. PPTP/L2TP 114
4.1. PPTP 115
4.2. L2TP 115
4.3. Những điểm khác biệt chính giữa PPTP và L2TP 115
5. SSH 116
5.1. Khái niệm 116
5.2. Hoạt động của SSH 116
6. IPSEC 117
7. Tóm tắt nội dung chương 118
CHƯƠNG 2: AN NINH WEB 119
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

8

1. Khái niệm ứng dụng Web 119
2. Hoạt động của một ứng dụng Web 120
3. Tổng quan về các kỹ thuật tấn công ứng dụng Web 121
2.1. Kiểm soát truy cập Web (Web Access Control) 121
2.2. Chiếm hữu phiên làm việc (Session Management) 121
2.3. Lợi dụng những lỗ hổng trong việc kiểm tra dữ liệu hợp lệ (Input
Validation) 122
2.4. Để lộ thông tin (Informational) 123
2.5. Tấn công từ chối dịch vụ 124
4. Các kỹ thuật tấn công phổ biến 124
4.1. Thao tác trên tham số truyền 124
4.2. Cross Site Scripting 129
4.3. SQL Injection 131
5. Các biện pháp phòng chống chung 135
5.1. Đối với người quản trị hệ thống 135

5.2. Đối với người lập trình Web 136
5.3. Đối với người sử dụng 137
CHƯƠNG 3: THƯ ĐIỆN TỬ VÀ CÁC VẤN ĐỀ AN NINH 138
1. Khái niệm 138
2. Giao thức MIME 138
3. Giao thức bảo mật S/MIME 139
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

9

4. Phần mềm PGP 139
5. Những vấn đề an ninh với thư điện tử 139
5.1. SMTP Relay 140
5.2. Vấn đề đối với Virus 141
5.3. SPAM 141
CHƯƠNG 4: BUFFER OVERFLOWS 149
1. Khái niệm 149
2. Chống tràn bộ đệm 150
2.1. Lựa chọn ngôn ngữ lập trình 150
2.2. Sử dụng các thư viện an toàn 151
2.3. Chống tràn bộ nhớ đệm trên stack 152
2.4. Bảo vệ không gian thực thi 152
2.5. Ngẫu nhiên hóa sơ đồ không gian địa chỉ 153
2.6. Kiểm tra sâu đối với gói tin 153
2.7. Thường xuyên cập nhật, cài đặt các bản vá lỗi. 153
2.8. Đánh giá mức độ an toàn của chương trình phần mềm 153
CHƯƠNG 5: AN NINH ỨNG DỤNG – NHỮNG NGUYÊN TẮC CƠ BẢN 154
PHẦN 5: CÔNG CỤ BẢO MẬT MẠNG 156
Yêu cầu kiến thức 156

CHƯƠNG 1. KIỂM TRA KẾT NỐI TRÊN MÁY TÍNH 157
1. Công cụ NETSTAT 157
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

10

2. Phần mềm TCPView 158
CHƯƠNG 2. QUÉT CỔNG 161
1. Công cụ SuperScan 161
2. Network Mapper (NMAP) 164
CHƯƠNG 3. PHÂN TÍCH DỮ LIỆU MẠNG 171
1. Phần mềm Ethereal 171
2. Microsoft Network Monitor 178
CHƯƠNG 4. QUÉT LỖ HỔNG MÁY TÍNH 183
1. Microsoft Baseline Security Analyzer 183
2. GFI LanGuard Network Security Scanner 187
PHẦN 6: CASE-STUDY 195
Case-Study 1 196
Case-study 2 197
Case-Study 3 198
Case-Study 4 199
PHẦN 7: TÀI LIỆU THAM KHẢO 200




Cơ sở lý thuyết về BẢO MẬT MẠNG
2008


11



















Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

12

PHẦN 1
TỔNG QUAN AN NINH MẠNG


Cơ sở lý thuyết về BẢO MẬT MẠNG

2008

13

CHƯƠNG 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH
1. Khái niệm
Về cơ bản, một mạng máy tính là một nhóm máy tính nối nhau với nhau theo một
số cách sao cho người ta có thể chia s thông tin và thiết bị. Các máy tính có thể
kết nối trong cng một phòng, một tòa nhà, một thành phố, hay quanh thế giới.
Qui mô một mạng máy tính có tính mở, có thể chỉ bao gồm hai máy tính, nhưng
cũng có thể là hàng triệu chiếc.
Nếu nối hai máy tính ở nhà, ta đã tạo ra một mạng. Tất cả máy tính trong một
trường học hay thư viện hoặc công ty được nối với nhau tạo thành mạng lớn hơn.
Mạng máy tính lớn nhất thế giới là Internet, có hàng triệu máy tính trên khắp toàn
cầu được nối với nhau, và số máy tính kết nối vào mạng Internet ngày càng gia
tăng nhanh chóng theo tốc độ phát triển của các mạng viễn thông và kiến thức về
tin học của cộng đồng dân cư.
2. Phân loại mạng máy tính
Trong kỹ thuật mạng, việc quan trọng nhất là vận chuyển dữ liệu giữa các máy.
Nói chung sẽ có hai phương thức là:
2.1. Mạng quảng bá (broadcast network): bao gồm một kênh truyền thông
được chia s cho mọi máy trong mạng. Mẫu thông tin ngắn gọi là gói (packet)
được gửi ra bởi một máy bất kỳ thì sẽ tới được tất cả máy khác. Trong gói sẽ có
một phần ghi địa chỉ gói đó muốn gửi tới. Khi nhận các gói, mỗi máy sẽ kiểm tra
lại phần địa chỉ này. Nếu một gói là dành cho đúng máy đang kiểm tra thì sẽ đưọc
xử lý tiếp, bằng không thì bỏ qua.
2.2. Mạng điểm nối điểm (point-to-point network): bao gồm nhiều mối nối
giữa các cặp máy tính với nhau. Để chuyển từ nguồn tới đích, một gói có thể phải
đi qua các máy trung gian. Thường thì có thể có nhiều đường di chuyển có độ dài
khác nhau (từ máy nguồn tới máy đích với số lượng máy trung gian khác nhau).

Thuật toán để định tuyến đường truyền giữ vai trò quan trọng trong kỹ thuật này.
Dưới đây là đối tượng chính của phần cứng mạng:
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

14

2.3. LAN
LAN (local area network), hay còn gọi là "mạng cục bộ", là mạng tư nhân trong
một toà nhà, một khu vực (trường học hay cơ quan chẳng hạn) có cỡ chừng vài km.
Chúng nối các máy chủ và các máy trạm trong các văn phòng và nhà máy để chia
s tài nguyên và trao đổi thông tin. LAN có 3 đặc điểm:
Giới hạn về tầm cỡ phạm vi hoạt động từ vài mét cho đến 1 km.
Thường dng kỹ thuật đơn giản chỉ có một đường dây cáp (cable) nối tất cả máy.
Vận tốc truyền dữ liệu thông thường là 10 Mbps, 100 Mbps, 1 Gbps, và gần đây là
10 Gbps.
Các kiến trúc mạng kiểu LAN thông dụng bao gồm:
Mạng bus hay mạng tuyến tính. Các máy nối nhau một cách liên tục thành một
hàng từ máy này sang máy kia. Ví dụ của nó là Ethernet (chuẩn IEEE 802.3).
Mạng vòng. Các máy nối nhau như trên và máy cuối lại được nối ngược trở lại với
máy đầu tiên tạo thành vòng kín. Thí dụ mạng vòng th bài IBM (IBM token ring).
Mạng sao.









Mạng tuyến tính và mạng vòng trong LAN
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

15

2.4. MAN
MAN (từ Anh ngữ: metropolitan area network), hay còn gọi là "mạng đô thị", là
mạng có cỡ lớn hơn LAN, phạm vi vài km. Nó có thể bao gồm nhóm các văn
phòng gần nhau trong thành phố, nó có thể là công cộng hay tư nhân và có đặc
điểm:
Chỉ có tối đa hai dây cáp nối.
Không dng các kỹ thuật nối chuyển.
Có thể hỗ trợ chung vận chuyển dữ liệu và đàm thoại, hay ngay cả truyền hình.
Ngày nay người ta có thể dng kỹ thuật cáp quang (fiber optical) để truyền tín
hiệu. Vận tốc có hiện nay thể đạt đến 10 Gbps.




Ví dụ của kỹ thuật này là mạng DQDB (Distributed Queue Dual Bus) hay còn gọi
là bus kép theo hàng phân phối (tiêu chuẩn IEEE 802.6).
2.5. WAN
WAN (wide area network), còn gọi là "mạng diện rộng", dng trong vng địa lý
lớn thường cho quốc gia hay cả lục địa, phạm vi vài trăm cho đến vài ngàn km.
Chúng bao gồm tập họp các máy nhằm chạy các chương trình cho người dùng. Các
máy này thường gọi là máy lưu trữ(host) hay còn có tên là máy chủ, máy đầu cuối
(end system). Các máy chính được nối nhau bởi các mạng truyền thông con
(communication subnet) hay gọn hơn là mạng con (subnet). Nhiệm vụ của mạng
con là chuyển tải các thông điệp(message) từ máy chủ này sang máy chủ khác.



Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

16

Mạng con thường có hai thành phần chính:
Các đường dây vận chuyển còn gọi là mạch (circuit), kênh (channel), hay đường
trung chuyển (trunk).
Các thiết bị nối chuyển. Đây là loại máy tính chuyện biệt hoá dng để nối hai hay
nhiều đường trung chuyển nhằm di chuyển các dữ liệu giữa các máy. Khi dữ liệu
đến trong các đường vô, thiết bị nối chuyển này phải chọn (theo thuật toán đã định)
một đường dây ra để gửi dữ liệu đó đi. Tên gọi của thiết bị này là nút chuyển gói
(packet switching node) hay hệ thống trung chuyển (intermediate system). Máy
tính dng cho việc nối chuyển gọi là "bộ chọn đường" hay "bộ định tuyến"
(router).
Hầu hết các WAN bao gồm nhiều đường cáp hay là đường dây điện thoại, mỗi
đường dây như vậy nối với một cặp bộ định tuyến. Nếu hai bộ định tuyến không
nối chung đường dây thì chúng sẽ liên lạc nhau bằng cách gián tiếp qua nhiều bộ
định truyến trung gian khác. Khi bộ định tuyến nhận được một gói dữ liệu thì nó sẽ
chứa gói này cho đến khi đường dây ra cần cho gói đó được trống thì nó sẽ chuyển
gói đó đi. Trường hợp này ta gọi là nguyên lý mạng con điểm nối điểm, hay
nguyên lý mạng con lưu trữ và chuyển tiếp (store-and-forward), hay nguyên lý
mạng con nối chuyển gói.
Có nhiều kiểu cấu hình cho WAN dng nguyên lý điểm tới điểm như là dạng sao,
dạng vòng, dạng cây, dạng hoàn chỉnh, dạng giao vòng, hay bất định.







Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

17

2.6. Mạng không dây
Các thiết bị cầm tay hay bỏ túi thường có thể liên lạc với nhau bằng phương pháp
không dây và theo kiểu LAN. Một phương án khác được dng cho điện thoại cầm
tay dựa trên giao thức CDPD (Cellular Digital Packet Data) hay là dữ liệu gói kiểu
cellular số.
Các thiết bị không dây hoàn toàn có thể nối vào mạng thông thường (có dây) tạo
thành mạng hỗn hợp (trang bị trên một số máy bay chở khách chẳng hạn).
2.7. Liên mạng
Các mạng trên thế giới có thể khác biệt nhau về phần cứng và phần mềm, để chúng
liên lạc được với nhau cần phải có thiết bị gọi là cổng nối (gateway) làm nhiệm vụ
điều hợp. Một tập hợp các mạng nối kết nhau được gọi là liên mạng. Dạng thông
thường nhất của liên mạng là một tập hợp nhiều LAN nối nhau bởi một WAN.
3. Mô hình tham chiếu OSI
Vào giữa những năm 1970, các thiết bị đầu cuối sử dụng những phương pháp liên
kết qua đường cáp nằm trong một khu vực đã được ra đời, với những ưu điểm của
nó là nâng cao tốc độ truyền dữ liệu và qua đó kết hợp được khả năng tính toán của
các máy tính lại với nhau. Ðể thực hiện việc nâng cao khả năng tính toán với nhiều
máy tính các nhà sản xuất bắt đầu xây dựng các mạng phức tạp hơn. Vào những
năm 1980 các hệ thống đường truyền tốc độ cao đã được thiết lập ở Bắc Mỹ và
Châu Âu và từ đó cũng xuất hiện các nhà cung cấp các dịnh vụ truyền thông với
những đường truyền có tốc độ cao hơn nhiều lần so với đường dây điện thoại. Với
những chi phí thuê bao chấp nhận được, người ta có thể sử dụng được các đường

truyền này để liên kết máy tính lại với nhau và bắt đầu hình thành các mạng một
cách rộng khắp. Các mạng LAN, MAN, WAN ra đời và nhanh chóng phát triển cả
về số lượng, quy mô, chất lượng, cũng như về công nghệ.Tuy nhiên, cũng ngay
trong những năm 80, khi mà ưu thế của các loại mạng máy tính đang thể hiện rõ thì
nó cũng đặt ra những thách thức về tiêu chuẩn kết nối các thiết bị ngoại vi. Kết quả
là những hệ thống hiện có thời đó chỉ cho phép thiết bị (cả về phần cứng và phần
mềm) của một nhà sản xuất kết nối được với nhau và được gọi là hệ thống đóng.
Điều này là hết sức bất tiện cho việc triển khai mạng cũng như rất phiền toái cho
người sử dụng khi muốn lắp đặt mạng phục vụ cho công việc, cũng như hạn chế
ngăn cản việc mở rộng mạng một cách “thoải mái” cho những quy mô lớn hơn.
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

18

Chính vì những lý do đó mà các tổ chức quốc tế cần có những quy chuẩn chung
nào đó cho việc thiết kế và lắp đặt mạng. Trên thế giới hiện có một số cơ quan định
chuẩn, họ đưa ra hàng loạt chuẩn về mạng, tuy các chuẩn đó có tính chất khuyến
nghị chứ không bắt buộc nhưng chúng rất được các cơ quan chuẩn quốc gia coi
trọng. Hai trong số các cơ quan chuẩn quốc tế là:
ISO (The International Standards Organization) - Là tổ chức tiêu chuẩn quốc
tế hoạt động dưới sự bảo trợ của Liên hợp Quốc với thành viên là các cơ quan
chuẩn quốc gia với số lượng khoảng hơn 100 thành viên với mục đích hỗ trợ sự
phát triển các chuẩn trên phạm vi toàn thế giới.
CCITT (Commité Consultatif International pour le Telegraphe et la
Téléphone) - Tổ chức tư vấn quốc tế về điện tín và điện thoại làm việc dưới sự bảo
trợ của Liên Hiệp Quốc có trụ sở chính tại Geneva - Thụy sỹ. Các thành viên chủ
yếu là các cơ quan bưu chính viễn thông các quốc gia. Tổ chức này có vai trò phát
triển các khuyến nghị trong các lãnh vực viễn thông.
Mô hình OSI (Open system interconnection – Mô hình kết nối các hệ thống mở) là

một cơ sở dành cho việc chuẩn hoá các hệ thống truyền thông, nó được nghiên cứu
và xây dựng bởi ISO. Việc nghiên cứu về mô hình OSI được bắt đầu tại ISO vào
năm 1971 với mục tiêu nhằm tới việc nối kết các sản phẩm của các hãng sản xuất
khác nhau và phối hợp các hoạt động chuẩn hoá trong các lĩnh vực viễn thông và
hệ thống thông tin. Đến năm 1984, mô hình tham chiếu OSI chính thức được đưa
ra giới thiệu.
Trước hết cần chú ý rằng mô hình 7 lớp OSI chỉ là mô hình tham chiếu chứ không
phải là một mạng cụ thể nào.Các nhà thiết kế mạng sẽ nhìn vào đó để biết công
việc thiết kế của mình đang nằm ở đâu. Xuất phát từ ý tưởng “chia để trị’, khi một
công việc phức tạp được module hóa thành các phần nhỏ hơn thì sẽ tiện lợi cho
việc thực hiện và sửa sai, mô hình OSI chia chương trình truyền thông ra thành 7
tầng với những chức năng phân biệt cho từng tầng. Hai tầng đồng mức khi liên kết
với nhau phải sử dụng một giao thức chung. Giao thức ở đây có thể hiểu đơn giản
là phương tiện để các tầng có thể giao tiếp được với nhau, giống như hai người
muốn nói chuyện được thì cần có một ngôn ngữ chung vậy. Trong mô hình OSI có
hai loại giao thức chính được áp dụng là: giao thức có liên kết (connection -
oriented) và giao thức không liên kết (connectionless).
Giao thức có liên kết: là trước khi truyền, dữ liệu hai tầng đồng mức cần thiết lập
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

19

một liên kết logic và các gói tin được trao đổi thông qua liên kết náy, việc có liên
kết logic sẽ nâng cao độ an toàn trong truyền dữ liệu.
Giao thức không liên kết: trước khi truyền, dữ liệu không thiết lập liên kết logic
và mỗi gói tin được truyền độc lập với các gói tin trước hoặc sau nó.
Nhiệm vụ của các tầng trong mô hình OSI có thể được tóm tắt như sau:

















Mô hình OSI 7 tầng
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

20

Tầng ứng dụng (Application layer – lớp 7): tầng ứng dụng quy định giao diện
giữa người sử dụng và môi trường OSI, nó cung cấp các phương tiện cho người sử
dụng truy cập vả sử dụng các dịch vụ của mô hình OSI. Điều khác biệt ở tầng này
là nó không cung cấp dịch vụ cho bất kỳ một tầng OSI nào khác ngoại trừ tầng ứng
dụng bên ngoài mô hình OSI đang hoạt động. Các ứng dụng cung được cấp như
các chương trình xử lý kí tự, bảng biểu, thư tín … và lớp 7 đưa ra các giao thức
HTTP, FTP, SMTP, POP3, Telnet.
Tầng trình bày (Presentation layer – lớp 6): tầng trình bày chuyển đổi các thông
tin từ cú pháp người sử dụng sang cú pháp để truyền dữ liệu, ngoài ra nó có thể nén
dữ liệu truyền và mã hóa chúng trước khi truyền đễ bảo mật.Nói đơn giản thì tầng

này sẽ định dạng dữ liệu từ lớp 7 đưa xuống rồi gửi đi đảm bảo sao cho bên thu có
thể đọc được dữ liệu của bên phát. Các chuẩn định dạng dữ liệu của lớp 6 là GIF,
JPEG, PICT, MP3, MPEG …
Tầng giao dịch (Session layer – lớp 5): thực hiện thiết lập, duy trì và kết thúc các
phiên làm việc giữa hai hệ thống. Tầng giao dịch quy định một giao diện ứng dụng
cho tầng vận chuyển sử dụng. Nó xác lập ánh xạ giữa các tên đặt địa chỉ, tạo ra các
tiếp xúc ban đầu giữa các máy tính khác nhau trên cơ sở các giao dịch truyền
thông. Nó đặt tên nhất quán cho mọi thành phần muốn đối thoại riêng với
nhau.Các giao thức trong lớp 5 sử dụng là NFS, X- Window System, ASP.
Tầng vận chuyển (Transport layer – lớp 4): tầng vận chuyển xác định địa chỉ
trên mạng, cách thức chuyển giao gói tin trên cơ sở trực tiếp giữa hai đầu mút, đảm
bảo truyền dữ liệu tin cậy giữa hai đầu cuối (end-to-end). Để bảo đảm được việc
truyền ổn định trên mạng tầng vận chuyển thường đánh số các gói tin và đảm bảo
chúng chuyển theo thứ tự.Bên cạnh đó lớp 4 có thể thực hiện chức năng đièu khiển
luồng và điều khiển lỗi.Các giao thức phổ biến tại đây là TCP, UDP, SPX.
Tầng mạng (Network layer – lớp 3): tầng mạng có nhiệm vụ xác định việc
chuyển hướng, vạch đường các gói tin trong mạng(chức năng định tuyến), các gói
tin này có thể phải đi qua nhiều chặng trước khi đến được đích cuối cng. Lớp 3 là
lớp có liên quan đến các địa chỉ logic trong mạngCác giao thức hay sử dụng ở đây
là IP, RIP, IPX, OSPF, AppleTalk.
Tầng liên kết dữ liệu (Data link layer – lớp 2): tầng liên kết dữ liệu có nhiệm vụ
xác định cơ chế truy nhập thông tin trên mạng, các dạng thức chung trong các gói
tin, đóng gói và phân phát các gói tin. Lớp 2 có liên quan đến địa chỉ vật lý của các
thiết bị mạng, topo mạng, truy nhập mạng, các cơ chế sửa lỗi và điều khiển luồng.
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

21

Tầng vật lý (Phisical layer – lớp 1): tầng vật lý cung cấp phương thức truy cập

vào đường truyền vật lý để truyền các dòng Bit không cấu trúc, ngoài ra nó cung
cấp các chuẩn về điện, dây cáp, đầu nối, kỹ thuật nối mạch điện, điện áp, tốc độ
cáp truyền dẫn, giao diện nối kết và các mức nối kết.
4. Các thiết bị mạng cơ bản
Để hệ thống mạng làm việc trơn tru, hiệu quả và khả năng kết nối tới những hệ
thống mạng khác đòi hỏi phải sử dụng những thiết bị mạng chuyên dụng. Những
thiết bị mạng này rất đa dạng và phong phú về chủng loại nhưng đều dựa trên
những thiết bị cơ bản là Repeater, Hub, Switch, Router và Gateway.

Repeater

Trong một mạng LAN, giới hạn của cáp mạng là 100m (cho loại cáp mạng CAT 5
UTP – là cáp được dng phổ biến nhất), bởi tín hiệu bị suy hao trên đường truyền
nên không thể đi xa hơn. Vì vậy, để có thể kết nối các thiết bị ở xa hơn, mạng cần
các thiết bị để khuếch đại và định thời lại tín hiệu, giúp tín hiệu có thể truyền dẫn
đi xa hơn giới hạn này. Repeater là một thiết bị ở lớp 1 (Physical Layer) trong mô
hình OSI. Repeater có vai trò khuếch đại tín hiệu vật lý ở đầu vào và cung cấp
năng lượng cho tín hiệu ở đầu ra để có thể đến được những chặng đường tiếp theo
trong mạng. Điện tín, điện thoại, truyền thông tin qua sợi quang… và các nhu cầu
truyền tín hiệu đi xa đều cần sử dụng Repeater.

Hub

Hub được coi là một Repeater có nhiều cổng. Một Hub có từ 4 đến 24 cổng và có
thể còn nhiều hơn. Trong phần lớn các trường hợp, Hub được sử dụng trong các
mạng 10BASE-T hay 100BASE-T. Khi cấu hình mạng là hình sao (Star topology),
Hub đóng vai trò là trung tâm của mạng. Với một Hub, khi thông tin vào từ một
cổng và sẽ được đưa đến tất cả các cổng khác. Hub có 2 loại là Active Hub và
Smart Hub. Active Hub là loại Hub được dng phổ biến, cần được cấp nguồn khi
hoạt động, được sử dụng để khuếch đại tín hiệu đến và cho tín hiệu ra những cổng

còn lại, đảm bảo mức tín hiệu cần thiết. Smart Hub (Intelligent Hub) có chức năng
tương tự như Active Hub, nhưng có tích hợp thêm chip có khả năng tự động dò lỗi
- rất hữu ích trong trường hợp dò tìm và phát hiện lỗi trong mạng.
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

22

Bridge

Bridge là thiết bị mạng thuộc lớp 2 của mô hình OSI (Data Link Layer). Bridge
được sử dụng để ghép nối 2 mạng để tạo thành một mạng lớn duy nhất. Bridge
được sử dụng phổ biến để làm cầu nối giữa hai mạng Ethernet. Bridge quan sát các
gói tin (packet) trên mọi mạng. Khi thấy một gói tin từ một máy tính thuộc mạng
này chuyển tới một máy tính trên mạng khác, Bridge sẽ sao chép và gửi gói tin này
tới mạng đích. Ưu điểm của Bridge là hoạt động trong suốt, các máy tính thuộc các
mạng khác nhau vẫn có thể gửi các thông tin với nhau đơn giản mà không cần biết
có sự "can thiệp" của Bridge. Một Bridge có thể xử lý được nhiều lưu thông trên
mạng như Novell, Banyan cũng như là địa chỉ IP cng một lúc. Nhược điểm của
Bridge là chỉ kết nối những mạng cng loại và sử dụng Bridge cho những mạng
hoạt động nhanh sẽ khó khăn nếu chúng không nằm gần nhau về mặt vật lý.

Switch

Switch đôi khi được mô tả như là một Bridge có nhiều cổng. Trong khi một Bridge
chỉ có 2 cổng để liên kết được 2 segment mạng với nhau, thì Switch lại có khả
năng kết nối được nhiều segment lại với nhau tuỳ thuộc vào số cổng (port) trên
Switch. Cũng giống như Bridge, Switch cũng "học" thông tin của mạng thông qua
các gói tin (packet) mà nó nhận được từ các máy trong mạng. Switch sử dụng các
thông tin này để xây dựng lên bảng Switch, bảng này cung cấp thông tin giúp các

gói thông tin đến đúng địa chỉ. Ngày nay, trong các giao tiếp dữ liệu, Switch
thường có 2 chức năng chính là chuyển các khung dữ liệu từ nguồn đến đích, và
xây dựng các bảng Switch. Switch hoạt động ở tốc độ cao hơn nhiều so với
Repeater và có thể cung cấp nhiều chức năng hơn như khả năng tạo mạng LAN ảo
(VLAN).

Router

Router là thiết bị mạng lớp 3 của mô hình OSI (Network Layer). Router kết nối hai
hay nhiều mạng IP với nhau. Các máy tính trên mạng phải "nhận thức" được sự
tham gia của một router, nhưng đối với các mạng IP thì một trong những quy tắc
của IP là mọi máy tính kết nối mạng đều có thể giao tiếp được với router.

Ưu điểm của Router: Về mặt vật lý, Router có thể kết nối với các loại mạng khác
lại với nhau, từ những Ethernet cục bộ tốc độ cao cho đến đường dây điện thoại
đường dài có tốc độ chậm.
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

23

Nhược điểm của Router: Router chậm hơn Bridge vì chúng đòi hỏi nhiều tính toán
hơn để tìm ra cách dẫn đường cho các gói tin, đặc biệt khi các mạng kết nối với
nhau không cng tốc độ. Một mạng hoạt động nhanh có thể phát các gói tin nhanh
hơn nhiều so với một mạng chậm và có thể gây ra sự nghẽn mạng. Do đó, Router
có thể yêu cầu máy tính gửi các gói tin đến chậm hơn. Một vấn đề khác là các
Router có đặc điểm chuyên biệt theo giao thức - tức là, cách một máy tính kết nối
mạng giao tiếp với một router IP thì sẽ khác biệt với cách nó giao tiếp với một
router Novell hay DECnet. Hiện nay vấn đề này được giải quyết bởi một mạng biết
đường dẫn của mọi loại mạng được biết đến. Tất cả các router thương mại đều có

thể xử lý nhiều loại giao thức, thường với chi phí phụ thêm cho mỗi giao thức.

Gateway
Gateway cho phép nối ghép hai loại giao thức với nhau. Ví dụ: mạng của bạn sử
dụng giao thức IP và mạng của ai đó sử dụng giao thức IPX, Novell, DECnet,
SNA hoặc một giao thức nào đó thì Gateway sẽ chuyển đổi từ loại giao thức này
sang loại khác.

Qua Gateway, các máy tính trong các mạng sử dụng các giao thức khác nhau có
thể dễ dàng "nói chuyện" được với nhau. Gateway không chỉ phân biệt các giao
thức mà còn còn có thể phân biệt ứng dụng như cách bạn chuyển thư điện tử từ
mạng này sang mạng khác, chuyển đổi một phiên làm việc từ xa
5. Các dịch vụ mạng
5.1. Hệ thống tên miền DNS
5.1.1 Khái niệm:
DNS là từ viết tắt trong tiếng Anh của Domain Name System, là Hệ thống phân
giải tên được phát minh vào năm 1984 cho Internet, chỉ một hệ thống cho phép
thiết lập tương ứng giữa địa chỉ IP và tên miền.
Hệ thống tên miền bao gồm một loạt các cơ sở dữ liệu chứa địa chỉ IP và các tên
miền tương ứng cuả nó. Mỗi tên miền tương ứng với một địa chỉ bằng số cụ thể.
Hệ thống tên miền trên mạng Internet có nhiệm vụ chuyển đổi tên miền sang địa
chỉ IP và ngược lại từ địa chỉ IP sang tên miền. Trong những ngày đầu tiên của
mạng Internet, tất cả các tên máy và địa chỉ IP tương ứng của chúng được lưu giữ
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

24

trong file hosts.txt, file này được trung tâm thông tin mạng NIC ( Network
information Center ) ở Mỹ lưu giữ. Tuy nhiên khi hệ thống Internet phát triển, việc

lưu giữ thông tin trong một file không thể đáp ứng nhu cầu phân phối và cập nhật.
Do đó, hệ thống tên miền DNS đã phát triển dưới dạng các cơ sở dữ liệu phân bố,
mỗi cơ sở dữ liệu này sẽ quản lý một phần trong hệ thống tên miền.
5.1.2 Cấu trúc của hệ thống tên miền ( DNS )
Hệ thống tên miền được sắp xếp theo cấu trúc phân cấp. Mức trên cng được gọi là
root và ký hiệu là “.”, Tổ chức quản lý hệ thống tên miền trên thế giới là The
Internet Coroperation for Assigned Names and Numbers (ICANN). Tổ chức này
quản lý mức cao nhất của hệ thống tên miền (mức root) do đó nó có quyền cấp
phát các tên miền dưới mức cao nhất này. .

Tên miền ở dưới mức root được gọi là Top – Level- Domain, tên miền ở mức này
được chia thành các tên miền sau:
· Com : tên miền này được dng cho mục đích thương mại
· Edu : tên miền này được dng cho mục đích giáo dục.
· Gov : tên miền này được dng cho các tổ chức chính phủ.
· Mil : tên miền này dng cho các tổ chức quân sự.
· Org : tên miền này dng cho các tổ chức khác.
· Net : tên miền này dng cho các tổ chức liên quan tới mạng máy tính.
· Int : tên miền này dng cho các tổ chức quốc tế
· Mã của các nước trên thế gới tham gia vào mạng internet, các mã quốc gia này
được qui định bằng hai chữ cái theo tiêu chuẩn ISO-3166 ( ví dụ vn của Viêt Nam,
sg của Singapo, uk của Anh v v).
Đối với các quốc gia, tên miền mức hai trở xuống do quốc gia đó quản lý. Tại Việt
Nam, Trung tâm thông tin mạng Internet Việt Nam (VNNIC) có chức năng quản lý
tên miền dưới cấp .vn.Ở dưới tên miền .vn có 7 tên miền cấp 2 được phân thành
Cơ sở lý thuyết về BẢO MẬT MẠNG
2008

25


theo từng lĩnh vực kinh tế xã hội ( com.vn, net.vn, gov.vn, edu.vn, org.vn, ac.vn,
int.vn) và 4 tên miền của các ISP (vnn.vn, fpt.vn, saigonnet.vn, netnam.vn).









Cấu trúc không gian tên miền
5.1.3. Cách đọc tên miền
Ví dụ có tên miền : www.myexample.com.vn .
Tên miền sẽ được đọc từ trái qua phải, mục đầu tiên ( www) là tên của máy tính.
Tiếp theo là tên miền ở mức thứ 3 ( myexample), tên miền này được đăng ký với
cơ quan quản lý tên miền ở dưới cấp vn là trung tâm thông tin mạng Internet Việt
Nam (VNNIC). Tên miền đứng thứ 2 tính từ bên phải là tên miền ở mức 2 (com),
tên miền này miêu tả chức năng của tổ chức sở hữu tên miền ở mức thứ 3, trong ví
dụ này tổ chức lấy tên miền ở mức hai là “com” có nghĩa tổ chức này hoạt động
trong lĩnh vực thương mại. Cuối cng là tên miền “vn”, tên miền này chỉ ra toàn bộ
tên miền này thuộc quyền quản lý của mạng Internet Việt Nam.
5.1.4. Qui tắc đặt tên miền
· Tên miền nên được đặt đơn giản và có tính chất gợi nhớ với mục đich và phạm vi
hoạt động của tổ chức sỡ hữu tên miền.