Tải bản đầy đủ (.doc) (107 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

HỆ điều HÀNH để SECURITY CHO MẠNG nội bộ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.3 MB, 107 trang )

Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Mục lục
Mục lục......................................................................................1
Lời cảm ơn................................................................................4
Lời nói đầu...............................................................................5
CHƯƠNG 1 : một số kiến thức cơ bản về MạNG MáY TíNH.......6
1. Giao thức mạng.....................................................................6
1.1. Giao thức IP........................................................................6
1.1.1. Tổng quan về giao thức IP............................................6
1.1.2. Địa chỉ IP.......................................................................7
1.1.3. Một số giao thức đợc sử dụng trong mạng IP..................9
1.1.4. Hoạt động của giao thức IP............................................9
1.2. Giao thức TCP....................................................................10
1.2.1. Tổng quan vỊ giao thøc TCP.........................................13
1.2.2. CÊu tróc gãi d÷ liƯu TCP................................................14
1.2.3. Ba bớc bắt tay tạo tập liên kết (The three- wayhandshake)...............................................................................14
1.2.4. Bốn bớc bắt tay giải phóng liên kết................................16
1.3. Dịch vụ DHCP....................................................................16
CHƯƠNG 2: Vấn đề an ninh, an toàn mạng máy tính và các giải
pháp xác thực ngời dùng............................................................17
2. Tổng quan về vấn đề an ninh an toàn mạng máy tính ....17
2.1. Các giải pháp cơ bản đảm bảo an ninh............................17
2.2. Vấn đề bảo mật hệ thống và mạng.................................18
2.2.1. Các vấn đề chung về bảo mật hệ thống ....................18
2.2.2. Một số khái niệm và lịch sử bảo mật hệ thống.............18
2.2.2.1. Đối tợng tấn công mạng (intruder)................................19
2.2.2.2. Các lỗ hổng bảo mật...................................................19


2.2.2.3. Chính sách bảo mật....................................................20
2.3. Các kiến thức cơ bản về xác thực ngời dùng.....................20
1


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

2.3.1. Khái niệm về xác thực ngời dùng....................................20
2.3.2. Các giải pháp xác thực ngời dùng phổ biến....................23
2.3.3.2. Giải pháp dùng thẻ thông minh.....................................25
2.3.3.3. Giải pháp xác thực sử dụng các kỹ thuật sinh trắc häc
..................................................................................................26
2.4. C¸c giao thøc x¸c thùc.......................................................27
3. Kh¸i niƯm chung vỊ hƯ thèng th ®iƯn tư..........................30
3.1. Giíi thiƯu th ®iƯn tư .........................................................30
3.1.1Th điện tử là gì ?............................................................30
3.1.2. Lợi ích của th điện tử....................................................30
3.2. Kiến trúc và hoạt động của hệ thống th điện tử.............32
3.2.1.Những nhân tố cơ bản của hệ thống th điện tử..........32
3.2.2. Giới thiệu về giao thức POP và IMAP...............................33
3.2.2.1. POP ( Post Office Protocol)...........................................34
3.2.2.2. IMAP(Internet Mail Access Protocol)............................35
3.2.2.3. So sánh POP3 và IMAP4...............................................37
3.2.3. Đờng đi của th................................................................37
3.3. Hệ thèng DNS (Domain Name System)............................40
3.3.1. Kh¸i niƯm vỊ hƯ thèng tên miền...................................40
3.3.2. Cấu tạo tên miền.............................................................40

3.3.3 Giới thiệu về hệ thống DNS.............................................41
3.3.4. Cấu trúc của hệ thống tên miền....................................42
3.3.5. Hoạt động của DNS........................................................43
3.3.6. Các bản ghi của DNS và liên quan giữa DNS và hệ thống
E-mail........................................................................................45
3.4. Active Directory.................................................................48
3.4.1 Giới thiệu Active Directory...............................................48
3.4.2. Các thành phần của Active Directory.............................48
2


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

3.4.3 Cấu trúc của E-Mail..........................................................49
3.5. Quản trị hệ thống Mail server..........................................51
3.5.1. Mục đích của quản trị hệ thống Mail server................51
3.5.2. Các công việc cần thiết để quản trị hệ thống th điện
tử..............................................................................................52
Chơng 4: Xây dựng mô hình mạng nội bộ và triển khai giảI
pháp security............................................................................54
4.1. Mô hình mạng doanh nghiệp...........................................54
4.2. Cài đặt POP3 SERVER......................................................55
4.2.1. Cài đặt E-mail server POP3..........................................56
4.2.2. Tạo các USER và sử dụng dịch vụ Mail Server...............56
4.3. ứng dụng Certification Authority bảo mËt Mail Server......60
4.4. Sư dơng Certification authority cho Web Server...............66
4.5. ThiÕt lËp IPSec cho viƯc trun d÷ liƯu gi÷a Server và các

máy trạm...................................................................................75
4.5.1. Cài đặt công cụ Network monitor.................................75
4.5.2. Bắt gói tin truyền thông giữa server và máy trạm khi
không m· hãa............................................................................75
4.5.3. ThiÕt lËp ipsec cho viƯc m· hãa trun dữ liệu cho
server........................................................................................77
4.5.3.1. Tạo bộ lọc mà hóa.........................................................77
4.5.3.2. Tạo hành ®éng m· hãa cho bé läc...............................78
4.5.4. ThiÕt lËp luËt m· hãa cho chÝnh s¸ch ipsec cho server. 79
4.5.5. ThiÕt lËp IPSec cho máy trạm.........................................82
Kết luận................................................................................... 88
Lời nhận xét của giáo viên hớng dẫn........................................ 89
Tài liệu tham khảo................................................................... 90

3


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Lời cám ơn
Để hoàn thành đồ án này, chúng em đà nhận đợc
rất nhiều sự giúp đỡ, chỉ bảo tận tình và động viên
của các thầy cô giáo khoa Công Nghệ Thông Tin nhất là
là thầy giáo THS Trần Xuân Hào. Xin chân thành cảm
ơn các thầy giáo, cô giáo, đặc biệt chúng em xin
chân thành cảm ơn sự quan tâm, giúp đỡ, chỉ bảo
nhiệt tình của Thạc sỹ Trần Xuân Hào Tổ bộ môn

Khoa Học Máy Tính khoa CNTT trờng Đại Học Vinh.

4


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Lời nói đầu
Trong thời đại công nghệ thông tin, việc ứng dụng mạng
máy tính càng trở nên cần thiết và mạng máy tính đóng một
vai trò quan trọng không thể thiếu trong truyền thông. Khi
mạng máy tính trở nên phổ biến và ứng dụng rộng rÃi, việc ứng
dụng công nghệ thông tin vào mọi mặt của đời sống đà mang
lại những kết quả to lớn cho xà hội, đặc biệt là trong thơng mại
điện tử của mạng máy tính trong nội bộ. Nhng cùng với sự phát
triển của mạng máy tính thì vấn đề an ninh an toàn mạng
máy tính cũng bị đe dọa từ nhiều nguyên nhân và góc độ
khác nhau. Những trò phá hoại không ngừng gia tăng. Sự phá
hoại ấy đà gây ra nhiều hậu quả nghiêm trọng, nó đà trở thành
một loại tội phạm.
Do vậy cần phải có những giải pháp góp phần đảm bảo an
toàn cho tài nguyên của hệ thống là một nhu cầu thiết thực và
cấp bách. Vấn đề an ninh an toàn mạng máy tính nói chung và
vấn đề Security mạng nội bộ nói riêng trở thành một trong
những vấn đề nóng bỏng.
Đợc sự hớng dẫn tận tình của thầy giáo THS Trần Xuân Hào
chúng em tìm hiểu, nghiên cứu, khai thác các tính năng của

hệ điều hành để xây dựng mô hình mạng nội bộ doanh
5


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

nghiệp, giám sát các vấn đề truy cập trên các nguồn tài nguyên
của hệ thống và dùng giải pháp Certification Authority, IP
Security để bảo mật nhằm góp phần đảm bảo an ninh, an
toàn cho mạng máy tính của doanh nghiệp.
Trong quá trình làm tốt nghiệp với thời gian không nhiều,
vốn kiến thức còn hạn chế nên không tránh khỏi những thiếu
sót, rất mong nhận đợc sự đánh giá nhận xét và góp ý của
thầy cô và các bạn để hoàn thiện và phát triển đề tài.
Đồ án gồm 4 chơng
Chơng 1: Một số kiến thức cơ bản về giao thức mạng.
Chơng 2: Vấn đề an ninh an toàn mạng máy tính và giải pháp
xác thùc ngêi dïng.
Ch¬ng 3: Tỉng quan vỊ hƯ thèng th điện tử.
Chơng 4: Xây dựng mô hình mạng nội bộ và triển khai giải
pháp Security
CHƯƠNG 1 : một số kiến thức cơ bản về MạNG MáY TíNH
1. Giao thức mạng
Việc trao đổi thông tin, cho dù là đơn giản nhất, cũng
đều phải tuân theo những quy tắc nhất định. Ngay c¶ hai
ngêi nãi chun víi nhau mn cho cc nãi chun cã kÕt qu¶
thÝ Ýt nhÊt c¶ hai cïng ph¶i ngầm tuân thủ quy tắc: khi ngời

này nói thì ngời kia phải nghe và ngợc lại. Việc truyền tín hiệu
trên mạng cũng vậy, cần phải có những quy tắc, quy ớc về
nhiều mặt, từ khuôn dạng (cú pháp, ngữ nghĩa) của dữ liệu
cho tới các thủ tục gửi, nhận dữ liệu kiểm soát hiệu quả và chất
lợng truyền tin và xử lý các lỗi và các sự cố. yêu cầu về quy tắc
càng nhiều và phức tạp hơn. Tập hợp tất cả những quy tắc,
quy ớc đó đợc gọi là giao thức (protocol) của mạng. Rõ ràng là
6


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

các mạng có thể sư dơng c¸c giao thøc kh¸c nhau t sù lùa
chän cđa ngêi thiÕt kÕ.
Trªn thùc tÕ, giao thøc phỉ biÕn hiện nay đợc sử dụng rộng rÃi
trong mạng Internet cũng nh các mạng nội bộ là bộ giao thức
TCP/IP.
1.1. Giao thøc IP
1.1.1. Tỉng quan vỊ giao thøc IP
Mơc ®Ých chÝnh của giao thức IP là kết nối các mạng con
thành liên mạng. Giao thức IP nằm trong tầng mạng(network)
của mô hình OSI. Giao thức IP là giao thức kiểu không liên
kết(connectionless), tức là không có giai đoạn thiết lập liên kết
trớc khi truyền dữ liệu.
Khi một máy tính tham gia vào trao đổi dữ liệu trong
mạng, nó sử dụng một bộ điều hợp mạng (network adapter). Mỗi
một bộ điều hợp mạng này đợc gắn với một địa chỉ vật lý cố

định và duy nhất, do nhà sản xuất quyết định.
Trong mạng cục bộ, những nơi chỉ chú trọng vào phần
cứng sẽ vận chuyển dữ liệu theo mạng vật lý nhờ sử dụng địa
chỉ vật lý của bộ điều hợp. Có nhiều loại mạng và mỗi mạng có
cách thức vận chuyển dữ liệu khác nhau.
Ví dụ: Một mạng Ethernet, một máy tÝnh gưi th«ng tin trùc
tiÕp tíi bé phËn trung gian. Bộ điều phối mạng của mỗi máy
tính sẽ lắng nghe tất cả các tín hiệu truyền qua lại trong mạng
cục bộ để xác định thông tin nào có địa chỉ nhận giống của
mình. Tất nhiên, với những mạng rộng hơn, các bộ điều hợp
không thể lắng nghe tất cả các thông tin. Khi các bộ phận
trung gian trở nên quá tải với số lợng máy tính đợc thêm mới,
hình thức hoạt động này không thể hoạt động hiệu quả.
7


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Các nhà quản trị mạng thờng phải chia vùng mạng bằng
cách sử dụng các thiết bị nh bộ định tuyến để giảm lợng giao
thông. Trên những mạng có định tuyến, ngời quản trị cần có
cách để chia nhỏ mạng thành những phần nhỏ (gọi là tiểu
mạng) và thiết lập các cấp độ để thông tin có thể di chuyển
tới đích một cách hiệu quả. TCP/IP cung cấp khả năng chia tiểu
mạng thông qua địa chỉ logic. Một địa chỉ logic là địa chỉ
đợc thiết lập bằng phần mềm của mạng. Trong TCP/IP, địa chỉ
logic của một máy tính đợc gọi là địa chỉ IP.

Sau đây chúng ta sẽ nghiên cứu kỹ lỡng hơn về địa chỉ IP.
1.1.2. Địa chỉ IP
Địa chỉ IP là một chuỗi 32bits, đợc sử dụng để định
danh các máy tính trong mạng. Mỗi giao diện trong một máy
tính có hỗ trợ giao thức IP đều phải đợc gán 1 địa chỉ IP (một
máy tính có thể gắn với nhiều mạng do vậy có thể có nhiều
địa chỉ IP). Địa chỉ IP gồm 2 phần: địa chỉ mạng (netid) và
địa chỉ máy (hostid). Mỗi địa chỉ IP có độ dài 32 bits đợc
tách thành 4 vùng (mỗi vùng 1 byte), có thể biểu thị dới dạng
thập phân, bát phân, thập lục phân hay nhị phân. Cách viết
phổ biến nhất là dùng ký pháp thập phân có dấu chấm (dotted
decimal notation) để tách các vùng.
Do tổ chức và độ lớn của các mạng con (subnet) của liên
mạng có thể khác nhau, ngời ta chia các địa chỉ IP thành 5 lớp,
ký hiệu lµ A, B, C, D vµ E. Trong líp A, B, C chứa địa chỉ có thể
gán đợc. Lớp D dành riêng cho lớp kỹ thuật multicasting. Lớp E đợc dành những ứng dụng trong tơng lai. Netid trong địa chỉ
mạng dùng để nhận dạng từng mạng riêng biệt. Các mạng liên
kết phải có địa chỉ mạng (netid) riêng cho mỗi mạng. ở đây
các bit đầu tiên của byte đầu tiên đợc dùng để định danh lớp
8


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

địa chỉ (0 - líp A, 10 - líp B, 110 - líp C, 1110 - lớp D và 11110 lớp E).
ở đây ta xét cấu trúc của các lớp địa chỉ có thể gán đợc
là lớp A, lớp B, lớp C. Cấu trúc của các địa chỉ IP nh sau:

Mạng lớp A: địa chỉ mạng (netid) là 1 Byte và địa chỉ host
(hostid) là 3 byte.
Mạng lớp B: địa chỉ mạng (netid) là 2 Byte và địa chỉ host
(hostid) là 2 byte.
Mạng lớp C: địa chỉ mạng (netid) là 3 Byte và địa chỉ host
(hostid) là 1 byte.
Lớp A cho phép định danh tới 126 mạng, với tối đa 16
triệu host trên mỗi mạng. Lớp này đợc dùng cho các mạng có số
trạm cực lớn.
Lớp B cho phép định danh tới 16384 mạng, với tối đa 65534
host trên mỗi mạng. Lớp C cho phép định danh tới 2 triệu mạng,
với tối đa 254 host trên mỗi mạng. Lớp này đợc dùng cho các
mạng có ít trạm.
NetId
Địa chỉ lớp

0xxxxxx

HostId
xxxxxx

xxxxxx

A
x
xx
Địa chỉ lớp
10xxxxx
xxxxxx


xx

B
x
xx
Địa chỉ lớp
110xxxx
xxxxxx

xx

C

xxxxxx
xx

xxxxxx

xxxxxx
xx

xxxxxx

x
xx
xx
Hình 1: Cấu trúc các lớp địa chỉ

xxxxxx
xx


Một số địa chỉ có tính chất đặc biệt: Một địa chỉ có
hostid = 0 đợc dùng để hớng tới mạng định danh bởi vùng netid.
Ngợc lại, một địa chỉ có vùng hostid gồm toàn số 1 đợc dùng
để hớng tới tất cả các host nối vào mạng netid, và nếu vùng
9


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

netid cũng gồm toàn số 1 thì nó hớng tới tất cả các host trong
liên mạng.
Cần lu ý rằng các địa chỉ IP đợc dùng để định danh các
host và mạng ở tầng mạng của mô hình OSI, và chúng không
phải là các địa chỉ vật lý (hay địa chỉ MAC) của các trạm
trên ®ã mét m¹ng cơc bé (Ethernet, Token Ring.).
Trong nhiỊu trêng hợp, một mạng có thể đợc chia thành nhiều
mạng con (subnet), lúc đó có thể đa thêm các vùng subnetid
để định danh các mạng con. Vùng subnetid đợc lấy từ vùng
hostid,

cụ

thể đối

với


lớp A, B,

C

nh ví dụ sau:
Hình 2: Ví dụ ®Þa chØ khi
bỉ sung vïng subnetid
1.1.3. Mét sè giao thøc đợc sử dụng trong mạng IP
Để mạng với giao thức IP hoạt động đợc tốt ngời ta cần một
số giao thức bổ sung, các giao thức này đều không phải lµ bé
phËn cđa giao thøc IP vµ giao thøc IP sẽ dùng đến chúng khi
cần.
Giao thức ARP (Address Resolution Protocol): ở đây cần lu
ý rằng các địa chỉ IP đợc dùng để định danh các host và
mạng ở tầng mạng của mô hình OSI, và chúng không phải là
các địa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đó
một mạng cục bộ (Ethernet, Token Ring). Trên một mạng cục bộ
hai trạm chỉ có thể liên lạc với nhau nếu chúng biết địa chỉ
vật lý của nhau. Nh vậy vấn đề đặt ra là phải tìm đợc ánh xạ
giữa địa chỉ IP (32 bits) và địa chỉ vật lý cđa mét tr¹m. Giao
10


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

thức ARP đà đợc xây dựng để tìm địa chỉ vật lý từ địa
chỉ IP khi cÇn thiÕt.

Giao thøc RARP (Reverse Address Resolution Protocol): Là
giao thức ngợc với giao thức ARP. Giao thức RARP đợc dùng để
tìm địa chỉ IP từ địa chỉ vật lý.
Giao thøc ICMP (Internet Control Message Protocol): Giao
thøc nµy thùc hiện truyền các thông báo điều khiển (báo cáo
về các tình trạng các lỗi trên mạng) giữa các gateway hoặc
một nút của liên mạng. Tình trạng lỗi có thể là: một gói tin IP
không thể tới đích của nó, hoặc một router không đủ bộ nhớ
đệm để lu và chuyển một gói tin IP. Một thông báo ICMP đợc
tạo và chuyển cho IP, IP sẽ "bọc" (encapsulate) thông báo đó với
một IP header và truyền đến cho router hoặc trạm ®Ých.
1.1.4. Ho¹t ®éng cđa giao thøc IP
Khi giao thøc IP đợc khởi động nó trở thành một thực thể
tồn tại trong máy tính và bắt đầu thực hiện những chức năng
của mình, lúc đó thực thể IP là cấu thành của tầng mạng,
nhận yêu cầu từ các tầng trên nó và gửi yêu cầu xuống các tầng
dới nó.
Đối với thực thể IP ở máy nguồn, khi nhận đợc một yêu cầu
gửi từ tầng trên, nó thực hiện các bớc sau đây:
Tạo một IP datagram dựa trên tham số nhận đợc.
Tính checksum và ghép vào header của gói tin.
Ra quyết định chọn đờng: hoặc là trạm đích nằm trên
cùng mạng hoặc một gateway sẽ đợc chọn cho chặng tiếp
theo.
Chuyển gói tin xuống tầng dới để truyền qua m¹ng.

11


Đồ án tốt nghiệp

Trần Xuân Hào

GVHD: Ths.

Đối với router, khi nhận đợc một gói tin đi qua, nó thực
hiện các động tác sau:
Tính checksum, nếu sai thì loại bỏ gói tin.
Giảm giá trị tham số Time - to Live, nếu thời gian đà hết
thì loại bỏ gói tin.
Ra quyết định chọn đờng.
Phân đoạn gói tin, nếu cần.
Kiến tạo lại IP header, bao gồm giá trị mới của các vùng
Time - to -Live, Fragmentation và Checksum.
Chuyển datagram xuống tầng dới để chuyển qua mạng.
Cuối cïng khi mét datagram nhËn bëi mét thùc thÓ IP ở
trạm đích, nó sẽ thực hiện bởi các công việc sau:
Tính checksum. Nếu sai thì loại bỏ gói tin.
Tập hợp các đoạn của gói tin (nếu có phân đoạn).
Chuyển dữ liệu và các tham số điều khiển lên tầng trên.
1.2. Giao thức TCP
1.2.1. Tổng quan về giao thức TCP
TCP là một giao thức "có liên kết" (connection - oriented),
nghĩa là cần phải thiết lập liên kết giữa hai thực thể TCP trớc
khi chúng trao đổi dữ liệu với nhau. Một tiến trình ứng dụng
trong một máy tính truy nhập vào các dịch vụ của giao thức
TCP thông qua mét cỉng (port) cđa TCP. Sè hiƯu cỉng TCP ®ỵc
thĨ hiƯn bëi 2 bytes.

12



Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Hình 3: Cổng truy cập dịch vụ TCP
Một cổng TCP đợc kết hợp với địa chỉ IP tạo thành một
đầu nối TCP/IP (socket) duy nhất trong liên mạng. Dịch vụ TCP
đợc cung cấp nhờ một liên kết logic giữa một cặp đầu nối
TCP/IP. Một đầu nối TCP/IP có thể tham gia nhiều liên kết với
các đầu nối TCP/IP ở xa khác nhau. Trớc khi truyền dữ liệu giữa
2 trạm cần phải thiết lập một liên kết TCP giữa chúng và khi
không còn nhu cầu truyền dữ liệu thì liên kết đó sẽ đợc giải
phóng.
1.2.2. CÊu tróc gãi d÷ liƯu TCP
16
32 bits
Source port
Destination port
Sequence number
Acknowledgement number
Offset Receiver U A P R S F Window
Checksum
Urgent Pointer
Option + Padding
Data
H×nh 4: CÊu tróc gãi tin TCP
 Source port(16 bits): Sè hiƯu cỉng TCP cđa tr¹m ngn.
 Destination port(16 bits): Số hiệu cổng TCP của trạm

đích.
Sequence number(32 bits): Số hiệu của byte đầu tiên của
segment trừ khi bit SYN đợc thiết lập. Nếu bit SYN đợc thiết
lập thì Sequence Number là số hiệu tuần tự khởi đầu
(ISN) và byte dữ liệu đầu tiên là ISN+1.
13


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Acknowledgement number(32 bits): Số hiệu của segment
tiếp theo mà trạm nguồn đang chờ để nhận. Ngầm ý báo
nhận tốt (các) segment mà trạm đích đà gửi cho trạm
nguồn.
Data Offset(4 bits): Số lợng béi cña 32 bit (32 bit words)
trong TCP header (tham số này chỉ ra vị trí bắt đầu của
nguồn dữ liệu).
Receiver(): Dành riêng.
U: Vùng con trỏ khẩn (Ucgent Poiter) cã hiƯu lùc.
 A: Vïng b¸o nhËn (ACK number) có hiệu lực.
P: Chức năng PUSH.
R: Khởi động lại (reset) liên kết.
S: Đồng bộ hóa số hiệu tuần tự (sequence number).
F: Không còn dữ liệu từ trạm nguồn.
Window(16 bits): Cấp phát credit để kiểm soát nguồn dữ
liệu (cơ chế cửa sổ). Đây chính là số lợng các byte dữ liệu,
bắt đầu từ byte đợc chỉ ra trong vùng ACK number, mà

trạm nguồn đà sẵn sàng để nhận.
Checksum(16 bits): MÃ kiểm soát lỗi cho toàn bé segment
(header + data).
 Urgent Pointer(16 bits): Con trá nµy trỏ tới số hiệu tuần tự
của byte đi theo sau dữ liệu khẩn. Vùng này chỉ có hiệu
lực khi bit URG đợc thiết lập.
Option(Độ dài thay đổi): Khai báo các option của TCP,
trong đó có độ dài tối đa cña vïng TCP data trong mét
segment.

14


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Padding(Độ dài thay đổi): Phần chèn thêm vào header để
đảm bảo phần header luôn kết thúc ở một mốc 32 bit.
Phần thêm này gồm toàn số 0.
Data(Độ dài thay đổi): Chứa dữ liệu của tầng trên, có độ
dài tối đa ngầm định là 536 byte. Giá trị này có thể điều
chỉnh bằng cách khai báo trong vùng options.

1.2.3. Ba bớc bắt tay tạo tập liên kết (The three- wayhandshake)
Trớc khi hai máy tÝnh cã thĨ trun th«ng víi nhau qua mét
kÕt nèi TCP thì kết nối đó phải đợc thiết lập. Quá trình xử lý
việc thiết lập kết nối TCP đợc chia thành ba bớc. Mô hình dới
đây minh họa ba bớc bắt tay tạo liên kết TCP:


SYN(INS A)
SYN(INS B) +ACK(INS
A+1)
ACK(INS B
+1)
Client

Server

Hình 5: Ba bớc bắt tay thiết lâp liên kết
Bớc 1: Client gưi tíi Server mét gãi tin, trong gãi tin này, cờ
SYN đợc xác lập, nó nói cho Server biÕt r»ng nã muèn më
mét kÕt nèi víi Server. Gãi tin này cũng gửi một giá trị khởi
tạo của Sequence Number(INS).
15


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Bớc 2: Server nhận yêu cầu kết nối này và gửi trả lại một
gói tin có cờ SYN và cờ ACK đợc thiết lập để thông báo
chấp nhận gói tin yêu cầu kết nối. Trong gói tin này, Server
đặt giá trị khởi tạo Sequence Number ở trạng thái
randomly, và đặt ACKnowledgement Number bằng INS+1.
Bớc 3: Khi Client nhận đợc gói tin chấp nhận kết nối của
Server, nó sẽ đáp trả lại một gói tin có cờ SYN và cờ ACK để

thông báo cho Server biết rằng nó đà nhận đợc gói tin chấp
nhận kết nối từ Server, và đặt giá trị ACKnowledgement
Number bằng INS +1.
Khi kết nối đà đợc xác lập, các máy tính có thể gửi dữ liệu
cho nhau, và tất cả các gói tin của hai máy tính gửi đi đều
phải có cờ ACK để xác nhận đà nhận gói tin trớc đó.
1.2.4. Bốn bớc bắt tay giải phóng liên kết
Để giải phóng một kết nối TCP đà đợc thiết lËp, hai m¸y sư
dơng bèn bíc nh sau:
 Bíc 1: Client(hoặc Server) gửi một gói tin có cờ FIN đợc
đặt, để nói rằng quá trình gửi dữ liệu đà kết thúc, với
một giá trị đúng của Sequence Number.
Bớc 2: Server sau đó sẽ gửi lại một gói tin có cờ ACK đợc
bật, xác nhận đà nhận đợc gói tin tõ Client, víi ACK number
b»ng Sequence number +1.
 Bíc 3: Server sẽ đợc xử lý để gửi đi một gói tin khác, với
một giá trị Sequence number và cờ FIN đợc bật.
Bớc 4: Để hoàn thành bốn bớc bắt tay kÕt thóc kÕt nèi,
Client sÏ gưi mét gãi tin có cờ ACK đợc bật, với ACK number
bằng giá trị cđa Sequence number +1.
1.3. DÞch vơ DHCP
16


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Trong một mạng máy tính, việc cấp các địa chỉ IP tĩnh

cố định cho các host sẽ dẫn đến tình trạng lÃng phí địa chỉ
IP, vì trong cùng một lúc không phải các host hoạt động đồng
thời với nhau, do vậy sẽ có một số địa chỉ IP bị thừa. Để khắc
phục tình trạng đó, dịch vụ DHCP đa ra để cấp phát các địa
chỉ IP động trong mạng.
Trong mạng máy tính khi một máy phát ra yêu cầu về các
thông tin của TCP/IP thì gọi là DHCP client, còn các máy cung
cấp thông tin của TCP/IP gọi là DHCP server. Các máy DHCP
server bắt buộc phải là Windows NT server.
Cách cấp phát địa chỉ IP trong DHCP: Một user khi log on vào
mạng, nó cần xin cấp 1 địa chỉ IP, theo 4 bớc sau :
Gửi thông báo đến tất cả các DHCP server để yêu cầu đợc cấp địa chỉ.
Tất cả các DHCP server gửi trả lời địa chỉ sẽ cấp đến cho
user đó.
User chọn 1 địa chỉ trong số các địa chỉ, gửi thông báo
đến server có địa chỉ đợc chọn.
Server đợc chọn gửi thông báo khẳng định đến user mà
nó cấp địa chỉ.
Quản trị các địa chỉ IP của DHCP server: Server quản trị
địa chỉ thông qua thời gian thuê bao địa chỉ (lease
duration). Có ba phơng pháp gán địa chỉ IP cho các
Workstation :
Gán thủ công.
Gán tự động.
Gán động .

17


Đồ án tốt nghiệp

Trần Xuân Hào

GVHD: Ths.

Trong phơng pháp gán địa chỉ IP thủ công thì địa chỉ IP
của DHCP client đợc gán thủ công bởi ngời quản lý mạng tại
DHCP server và DHCP đợc sử dụng để chuyển tới DHCP client
giá trị địa chỉ IP mà đợc định bởi ngời quản trị mạng.
Trong phơng pháp gán địa chỉ IP tự động DHCP client đợc
gán địa chỉ IP khi lần đầu tiên nó nối vào mạng. Địa chỉ IP
đợc gán bằng phơng pháp này sẽ đợc gán vĩnh viễn cho DHCP
client và địa chỉ này sẽ không bao giờ đuợc sử dụng bởi một
DHCP client khác.
Trong phơng pháp gán địa chỉ IP động thì DHCP server
gán địa chỉ IP cho DHCP client tạm thời. Sau đó địa chỉ IP
này sẽ đợc DHCP client sử dụng trong một thời gian đặc biệt.
Đến khi thời gian này hết hạn thì địa chỉ IP này sẽ bị xóa
mất. Sau đó nếu DHCP client cần nối kết vào mạng thì nó sẽ
đợc cấp một địa chủ IP khác.
Phơng pháp gán địa chỉ IP động này đặc biệt hữu hiệu
đối với những DHCP client chỉ cần địa chỉ IP tạm thời để kết
nối vào mạng. Ví dụ một tình huống trên mạng có 300 users và
sử dụng subnet là lớp C. Điều này cho phép trên mạng có 253
nodes trên mạng. Bởi vì mổi computer nối kết vào mạng sử
dụng TCP/IP cần có một địa chỉ IP duy nhất do đó tất cả 300
computer không thể đồng thời nối kết vào mạng. Vì vậy nếu
ta sử dụng phơng pháp này ta có thể sử dụng lại những IP mà
đà đợc giải phóng từ các DHCP client khác.
Cài đặt DHCP chỉ có thể cài trên Windows NT server mà
không thể cài trên Client.


18


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

CHƯƠNG 2: Vấn đề an ninh, an toàn mạng máy tính và
các giảI pháp xác thực ngời dùng
2. Tổng quan về vấn đề an ninh an toàn mạng máy tính
Ban đầu, những trò phá hoại chỉ mang tính chất là trò
chơi của những ngời có trí tuệ không nhằm mục đích vụ lợi,
xấu xa. Tuy nhiên, khi mạng máy tính trở nên phổ dụng, có sự
kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thông tin
bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng. Sự
phá hoại ấy đà gây ra nhiều hậu quả nghiêm trọng, nó đà trở
thành một loại tội phạm. Theo số liệu thống kê của CERT
(Computer Emegency Response Team) thì số lợng các vụ tấn
công trên Internet đợc thông báo cho tổ chức này là ít hơn 200
vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 và
2241 năm 1994. Những vụ tấn công này nhằm vào tất cả các
máy tính có mặt trên Internet, từ các máy tính của các công ty
lớn nh AT & T, IBM, các trờng đại học, các cơ quan nhà nớc, các
nhà băng... Những con số đa ra này, trên thực tế chỉ là phần
nổi của tảng băng. Một phần lớn các vụ tấn công không đợc
thông báo vì nhiều lý do khác nhau, nh sự mất uy tín, hoặc
chỉ đơn giản là họ không hề biết mình bị tấn công.
Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức,

mà bên trong tổ chức vấn đề cũng hết sức nghiêm trọng. Đe
dọa bên trong tổ chức xẩy ra lớn hơn bên ngoài, nguyên nhân
chính là do các nhân viên có quyền truy nhập hệ thống gây
ra. Vì họ có quyền truy nhập hệ thống nên họ có thể tìm đợc
các điểm yếu của hệ thống, hoặc vô tình họ cũng có thể phá
hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thèng. Vµ

19


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

nguy hiểm hơn, một khi họ là kẻ bất mÃn hay phản bội thì hậu
quả không thể lờng trớc đợc.
Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn
là vấn đề con ngời và không ngừng gia tăng, nó có thể bị đe
doạ từ bên ngoài hoặc bên trong tổ chức. Vấn đề này đà trở
thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vào mạng
máy tính toàn cầu. Và nh vậy, để đảm bảo việc trao đổi
thông tin an toàn và an ninh cho mạng máy tính, buộc các tổ
chức đó phải triển khai các biện pháp bảo vệ đảm bảo an
ninh, mà trớc hết là cho chính mình.
2.1. Các giải pháp cơ bản đảm bảo an ninh
Nh trên ta đà thấy, an ninh an toàn mạng máy tính có thể
bị đe doạ từ rất nhiều góc độ và nguyên nhân khác nhau. Đe
doạ an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc
cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc

đảm bảo an ninh an toàn cho mạng máy tính cần phải có
nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quan nhất
có ba giải pháp cơ bản sau:
Giải pháp về phần cứng.
Giải pháp về phần mềm.
Giải pháp về con ngời.
Đây là ba giải pháp tổng quát nhất mà bất kì một nhà
quản trị an ninh nào cũng phải tính đến trong công tác đảm
bảo an ninh an toàn mạng máy tính. Mỗi giải pháp có một u nhợc điểm riêng mà ngời quản trị an ninh cần phải biết phân
tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh
tèi u nhÊt cho tỉ chøc m×nh.

20


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn
đề lớn, nó yêu cầu cần phải có một giải pháp tổng thể, không
chỉ phần mềm, phần cứng máy tính mà nó đòi hỏi cả vấn đề
chính sách về con ngời. Và vấn đề này cần phải đợc thực
hiện một cách thờng xuyên liên tục, không bao giờ triệt để đợc
vì nó luôn nảy sinh theo thời gian. Tuy nhiên, bằng các giải
pháp tổng thể hợp lý, đặc biệt là giải quyết tốt vấn đề chính
sách về con ngời ta có thể tạo ra cho mình sự an toàn chắc
chắn hơn.
2.2. Vấn đề bảo mật hệ thống và mạng

2.2.1. Các vấn đề chung về bảo mật hệ thống và mạng
Đặc điểm chung của một hệ thống mạng là có nhiều ngời
sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài
nguyên phức tạp hơn nhiều so với việc môi trờng một máy tính
đơn lẻ, hoặc một ngời sử dụng.
Hoạt động của ngời quản trị hệ thống mạng phải đảm
bảo các thông tin trên mạng là tin cậy và sử dụng đúng mục
đích, đối tợng đồng thời đảm bảo mạng hoạt động ổn định
không bị tấn công bởi những kẻ phá hoại.
Nhng trên thực tế là không một mạng nào đảm bảo là an
toàn tuyệt đối, một hệ thống dù đợc bảo vệ chắc chắn đến
mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ
xấu.
2.2.2. Một số khái niệm và lịch sử bảo mật hệ thống
2.2.2.1. Đối tợng tấn công mạng (intruder)
Đối tợng là những cá nhân hoặc tổ chức sử dụng những
kiến thức về mạng và các công cụ phá hoại (gồm phần cứng
hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng
21


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và
chiếm đoạt tài nguyên trái phép.
Một số đối tợng tấn công mạng nh:
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng

cách sử dụng các công cụ phá mật khẩu hoặc khai thác các
điểm yếu của thành phần truy nhập trên hệ thống.
Masquerader: Là những kẻ giả mạo thông tin trên mạng nh
giả mạo địa chỉ IP, tên miền, định danh ngời dùng
Eavesdropping: Là những đối tợng nghe trộm thông tin
trên mạng, sử dụng các công cụ Sniffer, sau đó dùng các
công cụ phân tích và debug để lấy đợc các thông tin có
giá trị.
Những đối tợng tấn công mạng có thể nhằm nhiều mục
đích khác nhau nh ăn cắp các thông tin có giá trị về kinh tế,
phá hoại hệ thống mạng có chủ định, hoặc có thể đó là
những hành động vô ý thức
2.2.2.2. Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống
hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có
thể xâm nhập trái phép vào hệ thống để thực hiện những
hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật:
có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung
cấp hoặc ngời quản trị yếu kém không hiểu sâu về các dịch
vụ cung cấp.
Mức độ ảnh hởng của các lỗ hổng tới hệ thống là khác
nhau. Có lỗ hổng chỉ ảnh hởng tới chất lợng dịch vụ cung cấp,
có lỗ hổng ảnh hởng tới toàn bộ hệ thống hoặc ph¸ hđy hƯ
thèng.
22


Đồ án tốt nghiệp
Trần Xuân Hào


GVHD: Ths.

2.2.2.3. Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho
những ngời tham gia quản trị mạng, có sử dụng các tài nguyên
và các dịch vụ mạng.
Đối với từng trờng hợp phải có chính sách bảo mật khác nhau.
Chính sách bảo mật giúp ngời sử dụng biết trách nhiệm của
mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời
còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm
bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát
hoạt động của hệ thống và mạng.
2.3. Các kiến thức cơ bản về xác thùc ngêi dïng
Khi ngêi sư dơng mn truy nhËp vµo một hệ thống máy
tính, thông thờng, ngời sử dụng cần cung cấp các thông tin
nhận dạng cho máy tính. Khi nhận đợc các thông tin ấy, máy
tính kiểm tra xem ngời sử dụng có quyền truy nhập vào hệ
thống không. Đây cũng là một nguyên tắc cơ bản đợc áp dụng
cho một ngời khi muốn trao đổi thông tin với ngời khác: Trớc tiên
cần phải xác định ngời tham gia trao đổi thông tin có đúng
là ngời muốn trao đổi không. Do đó cần phải có một phơng
thức để cung cấp đặc điểm nhận dạng nhằm đảm bảo ngời
trao đổi thông tin là hợp lệ. Quá trình này đợc gọi là xác thực
ngời sử dụng.
Trên thế giới cũng nh ở Việt Nam, vấn đề xác thực ngời
dùng đang đợc quan tâm và đà có nhiều giải pháp đợc sử dụng
và nghiên cứu. Có rất nhiều cách để xác thực: ngời sử dụng có
thể cung cấp các thông tin mà chỉ cã ngêi ®ã míi biÕt: vÝ dơ
mËt khÈu, m· sè cá nhân, hoặc ngời đó có thể cung cấp các

thông tin riêng khác nh số chứng minh th, thẻ từ, thẻ thông minh.
23


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Trong đó, mỗi giải pháp lại có những u điểm và nhợc điểm
riêng khác nhau.
2.3.1. Kh¸i niƯm vỊ x¸c thùc ngêi dïng
X¸c thùc ngêi dùng là một quá trình qua đó hệ thống có
thể xác minh rằng một ai đó thực sự là họ. Quá trình xác thực
sẽ xác định xem một ngời có phải là ngời đợc sử dụng hệ thống
không. Nó thờng đi kèm với quá trình xác định quyền hạn của
ngời đó trong hệ thống.
2.3.2. Các giải pháp xác thực ngời dùng phổ biến
2.3.2.1. Giải pháp sử dụng tên và mật khẩu
Mô tả
Đây là giải pháp truyền thống hay đợc sử dụng nhất, là giải
pháp sử dụng tài khoản của hệ thống. Mỗi tài khoản bao gồm
tên truy nhập (username) và mật khẩu (password). Tên truy
nhập dùng để phân biệt các ngời dùng khác nhau (thờng là duy
nhất trong hệ thống), còn mật khẩu để xác thực lại ngời sử
dụng tên đó có đúng là ngời dùng thật sự không. Mật khẩu thờng do ngời sở hữu tên truy nhập tơng ứng đặt và đợc giữ bí
mật chỉ có ngời đó biết.
Khi ngời dùng muốn đăng nhập và sử dụng tài nguyên hệ
thống thì phải đăng nhập bằng cách nhập tên và mật khẩu
của mình. Trớc hết, hệ thống sẽ đối chiếu tên truy nhập của

ngời dùng đa vào với cơ sở dữ liệu tên ngời dùng, nếu tồn tại tên
ngời dùng nh vậy thì hệ thống tiếp tục đối chiếu mật khẩu đợc đa vào tơng ứng với tên truy nhập trong cơ sở dữ liệu. Qua 2
lần đối chiếu nếu thỏa mÃn thì ngời đăng nhập là ngời dùng
hợp lệ của hệ thống.
Ưu điểm
24


Đồ án tốt nghiệp
Trần Xuân Hào

GVHD: Ths.

Thiết kế và sử dụng đơn giản, tốn ít tài nguyên. Hệ thống
chỉ gồm một cơ sở dữ liệu ngời dùng với 2 thông tin chủ yếu là
tên truy nhập và mật khẩu. Tơng ứng với mỗi tên truy nhập là
quyền sử dụng của ngời đó trong hệ thống. Do đó các thông
tin này không chiếm nhiều tài nguyên. Ngời dùng dễ hiểu và
dễ sử dụng.
Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp
khác. Nó không phụ thuộc vào các thiết bị phần cứng mà chỉ
dựa trên phần mềm. Giải pháp này có khả năng làm việc trên
mọi hệ điều hành. Do đó, việc thực hiện giải pháp này khá dễ
dàng và không tốn kém.
Nhợc điểm
Giải pháp này có nhợc điểm lớn nhất là không có đợc sự bảo
mật cao. Vì ngời dùng thờng có tên đăng nhập nhiều ngời dùng
có. Mặt khác, ngời dùng thờng chọn mật khẩu dễ nhớ hoặc
không cẩn thận khi gõ mật khẩu, do vậy dễ bị tấn công. Kẻ tấn
công có nhiều phơng pháp để đạt đợc mật khẩu nh thâm

nhập vào hệ thống đọc file mật khẩu, dự đoán mật khẩu, vét
cạn các từ trong từ điển để tìm mật khẩu, hoặc có thể lừa
ngời dùng để lộ mật khẩu.
Một số biện pháp để tăng thêm tính bảo mật cho giải
pháp này:
Đặt mật khẩu phức tạp: Mật khẩu phải chứa tối thiểu 6 ký
tự, không trùng với tên đăng nhập, chứa các loại ký tự là chữ cái,
chữ số, ký tự đặc biệt. Nếu đặt nh vậy thì kẻ muốn tấn
công cũng sẽ rất khó đoán đợc mật khẩu.
Thay ®ỉi mËt khÈu: quy ®Þnh sau mét thêi gian nhÊt
®Þnh mật khẩu sẽ không còn tác dụng đối với hệ thèng vµ ngêi
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×