Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
MỤC LỤC HÌNH
HÌNH 1.1.1: MỘT HỆ THỐNG MẠNG ĐƠN GIẢN 9
HÌNH 1.1.2: MỘT SỐ TOPOLOGY MẠNG THÔNG THƯỜNG 11
HÌNH 1.1.3: PEER TO PEER NETWORK 12
HÌNH 1.1.4: CLIENT/SERVER NETWORK 13
HÌNH 1.3.1: MÔ HÌNH OSI 7 TẦNG 19
HÌNH 1.3.2: QUAN HỆ GIỮA CÁC TẦNG TRONG MÔ HÌNH OSI 21
HÌNH 1.3.3: QUÁ TRÌNH ENCAPSULATION 22
HÌNH 1.3.4: SO SÁNH GIỮA OSI VÀ TCP/IP 24
HÌNH 1.3.5: CÁC LỚP ĐỊA CHỈ IP 28
HÌNH 2.1.1: MÔ HÌNH THIẾT KẾ MẠNG LAN 33
HÌNH 2.1.2: CÁC LỚP TRONG THIẾT KẾ MẠNG LAN 34
HÌNH 2.1.3: CÁC GÓI TIN CHẠY TRONG VLAN 36
HÌNH 2.2.1: MÔ HÌNH PHÂN LỚP TRONG THIẾT KẾ MẠNG LAN 38
HÌNH 2.3.1: MÔ HÌNH POINT TO POINT 41
HÌNH 2.3.2: MÔ HÌNH STAR 42
HÌNH 2.3.3: MÔ HÌNH MESH 42
HÌNH 2.3.4: MÔ HÌNH PHÂN LỚP TRONG THIẾT KẾ MẠNG WAN 43
HÌNH 3.1.1: QUÁ TRÌNH BẮT TAY 3 BƯỚC (3- WAY HANDSHAKE). 49
HIÌNH 3.1.2: SYN ATTACK 50
HÌNH 3.2.1: MÔ HÌNH TRIỂN KHAI VLAN 56
HÌNH 3.2.2: VLAN TRUNK 57
HÌNH 3.2.3: APPLICATION LAYER GATEWAY 65
HÌNH 3.2.4: MÔ HÌNH TRIỂN KHAI FIREWALL 66
HÌNH 3.2.5: MÔ HÌNH TRIỂN KHAI KẾT HỢP FIREWALL NHIỀU
TẦNG 67
HÌNH 3.2.6: VỊ TRÍ HOẠT ĐỘNG CỦA NIDSS 69
HÌNH 4.1.1: MÔ HÌNH MẠNG MÔ PHỎNG 71
5
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
LỜI NÓI ĐẦU
Ngày nay, tất cả các nước trên thế giới đều đang dành sự đầu tư rất to
lơn để phát triển công nghệ thông tin. Cùng với viễn thông, tin học là một
thành phần cốt lõi của công nghệ thông tin. Thuật ngữ “mạng máy tính” đã
trở nên quen thuộc và trở thành đối tượng nghiên cứu, ứng dụng của rất nhiều
người có nghề nghiệp và phạm vi hoạt động khác nhau.
Từ khi ra đời, mạng máy tính đã đáp ứng nhu cầu chia sẻ nguồn tài
nguyên, giảm chi phí khi muốn trao đổi dữ liệu và được sử dụng trong công
tác văn phòng một cách rất tiện lợi. Đến nay, do sự phát triển của xã hội, nhu
cầu trao đổi thông tin ngày một nhiều, vì vậy mạng máy tính không ngừng
phát triển, không ngừng tối ưu hoá các dịch vụ để đáp ứng yêu cầu đó. Trong
những năm gần đây, internet đã trở thành một công cụ rất thuận tiện và phổ
biến trong các hoạt động kinh doanh và giải trí.
Trong môi trường mạng, một lượng thông tin hay một khối dữ liệu đi từ
người gửi đến người nhận thường phải qua nhiều nút với sử dụng khác nhau,
không có ai có thể đảm bảo rằng thông tin không bị sao chép, đánh cắp hay
xuyên tạc. Do đó việc xây dựng và hoạch định ra một chính sách, triển khai
xây dựng hệ thống mạng một cách an toàn nhằm tạo ra một môi trường mạng
“trong sạch” đang là một vấn đề được rất nhiều tổ chức, doanh nghiệp, quốc
gia quan tâm. Để làm được điều này, các cơ quan tổ chức cần phải xây dựng
cho mình một chính sách bảo vệ môi trường mạng của mình một cách thiết
thực nhất. Dựa trên những yêu cầu đặt ra ban đầu, thông qua những hiểu biết
về việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy được
những điểm mạnh sẵn có và khắc phục được các điểm yếu cho nhau nhằm đạt
được mục tiêu chính là bảo vệ an toàn cho hệ thống mạng đó.
Với đồ án tốt nghiệp đề tài: ”Mạng LAN và các phương pháp bảo
mật”, em muốn nêu lên một số phương pháp giúp cho người quản trị mạng có
thể triển khai để bảo vệ mạng trước những tấn công và truy nhập trái phép.
6
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
Nội dung đồ án được chia thành các phần:
Phần 1: Tổng quan về mạng máy tính
Phần 2: Thiết kế mạng LAN và WAN
Phần 3: Một số phương pháp tấn công và các biện pháp bảo vệ
mạng
Phần 4: Xây dựng mô hình hệ thống mô phỏng
Kết luận
7
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
PHẦN 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH
CHƯƠNG 1: CÁC KHÁI NIỆM CƠ BẢN
1. Mạng và kết nối mạng
Ở mức độ cơ bản nhất, mạng (network) bao gồm hai máy tính nối với
nhau bằng cáp (cable) sao cho chúng có thể dùng chung dữ liệu. Mọi mạng
máy tính cho dù tinh vi phức tạp đến bao nhiêu đi nữa thì cũng đều bắt đầu từ
những hệ thống đơn giản như vậy. Đây chính là một thành tựu lớn lao trong
công nghệ truyền thông.
Mạng máy tính phát sinh từ nhu cầu chia sẻ (share) dữ liệu của người
dùng máy tính. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng
tính, hình ảnh và nhiều dạng thông tinh khác nhưng lại không cho phép nhanh
chóng chia sẻ dữ liệu bạn đã tạo cho mọi người cùng xem và thưởng thức.
Không có hệ thống mạng dữ liệu, muốn mang thông tin sang các máy
tính khác bạn chỉ có thể dùng tới sự giúp đỡ của đĩa mềm (floppy), hoặc là in
tài liệu cần chia sẻ ra giấy. Đó là sự hạn chế rất lớn của việc thiếu môi trường
mạng. Đây chính là sự làm việc trong môi trường độc lập, do đó hiệu quả
công việc không cao. Nếu một người trong môi trường độc lập nối máy tính
của mình với máy tính của nhiều người khác, anh ta sẽ có thể sử dụng dữ liệu
trên các máy tính khác, kể cả máy in.
Một nhóm máy tính và các thiết bị ngoại vi kết nối với nhau bởi các
đường truyền vật lý theo một kiến trúc nào đó được gọi là mạng (network),
còn khái niệm các máy tính nối với nhau dùng chung tài nguyên gọi là nối
mạng (networking).
8
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
`
`
`
`
Hình 1.1.1: Một hệ thống mạng đơn giản
Đường truyền vật lý dùng để truyền các tín hiệu điện tử giữa các máy
tính. Hiện nay cả hai loại đường truyền hữu tuyến (cable) và vô tuyến
(wireless) đều được sử dụng trong việc nối kết mạng máy tính.
Đường truyền hữu tuyến gồm có:
+Cáp đồng trục (coxial cable).
+Cáp đôi xoắn (twisted pair cable), gồm hai loại STP và UTP.
+Cáp quang (fiber optic cable).
Đường truyền vô tuyến gồm có:
+Radio.
+Sóng cực ngắn (micro wave).
+Hồng ngoại (infrared).
Kiến trúc mạng máy tính (network architecture) thể hiện cách nối các
máy tính với nhau ra sao và tập hợp các quy tắc, quy ước mà tất cả các thực
thể tham gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng
hoạt động tốt. Cách nối các máy tính gọi là topology của mạng, còn tập hợp
các quy tắc, quy ước truyền thông gọi là giao thức (protocol) của mạng.
*Topo mạng:
Một số topo thường được dùng là:
9
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
+Bus (xa lộ): Tất cả các trạm phân chia chung một đường truyền chính.
Đưòng truyền này được giới hạn 2 đầu bởi một loại đầu nối đặc biệt gọi là
terminator. Mỗi trạm được nối vào bus qua một đầu nối chữ T. Khi 1 trạm
truyền dữ liệu, tín hiệu được quảng bá trên 2 chiều của bus, nghĩa là tất cả các
trạm còn lại đều có thể nhận được.
+Ring (vòng): Tín hiệu được lưu chuyển trên vòng theo một chiều duy
nhất. Mỗi trạm được nối với vòng qua một bộ chuyển tiếp (repeater) có nhiệm
vụ nhận tín hiệu và chuyển đến trạm kế tiếp trên vòng. Cần thiết phải có giao
thức điều khiển việc cấp phát “quyền” được truyền dữ liệu trên vòng cho các
trạm có nhu cầu.
+Star (hình sao): Tất cả các trạm được nối vào 1 thiết bị trung tâm có
nhiệm vụ nhận tín hiệu từ các trạm và chuyển đến trạm đích của tín hiệu. Tuỳ
theo yêu cầu của truyền thông mạng thiết bị trung tâm có thể là một bộ
chuyển mạch (switch), bộ chọn đường (router) hoặc đơn giản là một bộ phân
kênh (hub). Star là topo lắp đặt đơn giản, dễ cấu hình, dễ kiểm soát và khắc
phục sự cố. Tuy nhiên độ dài đường truyền với thiết bị trung tâm bị hạn chế
(khoảng 100m).
+Extended star (hình sao mở rộng): Nó cũng tương tự dạng hình sao.
Các bộ tập trung của các mạng hình sao lại được được nối vào một bộ tập
trung khác.
+Hierarchical (phân lớp): Topo này cũng tương tự như dạng sao mở
rộng. Sự khác biệt ở đây là ở đây không sử dụng nút trung tâm như hình sao
mở rộng.
+Mesh (tổng hợp): Trong dạng này, tất cả các thiết bị đều có đường nối
trực tiếp đến thiết bị khác. Ưu điểm của dạng này là đảm bảo mạng vẫn hoạt
động bình thường trong trường hợp có một vài kết nối nào đó bị hỏng. Tuy
nhiên dạng này chi phí cao do mất nhiều dây nối giữa các trạm. Topo này
thường được dùng trong các mạng lõi (backbone).
10
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
Hình 1.1.2: Một số topology mạng thông thường
2. Các loại hình mạng
Theo cơ chế hoạt động thì mạng máy tính được chia làm hai loại, đó là
mạng ngang hàng và mạng dựa trên máy phục vụ.
*Mạng ngang hàng (peer to peer):
Mạng ngang hàng là sự lựa chọn lý tưởng cho các môi trường mạng:
+Có ít hơn 10 người dùng.
+Tất cả người dùng đều ở trong một khu vực.
+Tính bảo mật không phải là vấn đề quan trọng.
+Số người dùng và mạng sẽ hạn chế phát triển trong tương lai gần.
11
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
Hình 1.1.3: Peer to peer network
Trong mạng ngang hàng người dùng có thể quản lý tài nguyên của mình, có
thể chia sẻ cũng như không cho phép truy cập dữ liệu từ những người dùng
khác. Một ưu điểm rất lớn của mạng ngang hàng là rất dễ cài đặt và sử dụng.
Như vậy trong một số trường hợp sử dụng mạng ngang hàng là một giải pháp
tương đối tốt.
*Mạng dựa trên máy phục vụ (client/server):
Trong trường hợp có nhiều hơn 10 người dùng mạng ngang hàng sẽ
không đáp ứng được yêu cầu đặt ra. Vì thế hầu hết các mạng đều có máy phục
vụ chuyên dụng. Máy phục vụ chuyên dụng là máy chủ hoạt động như một
máy phục vụ chứ không kiêm luôn vai trò của máy khách hay máy trạm. Máy
phục vụ có tính chuyên dụng vì chúng được thiết kế tối ưu hoá để phục vụ
nhanh yêu cầu của khách trên mạng cũng như đảm bảo an toàn cho tập tin và
thư mục. Mạng dựa trên máy phục vụ đã trở thành mô hình chuẩn cho hệ
thống mạng ngày nay.
Mạng dựa trên máy phục vụ đã giải quyết được một số nhược điểm của mạng
ngang hàng, vấn đề an ninh và mở rộng mạng đã được đáp ứng tốt hơn. Tuy
nhiên nó cũng có một số nhược điểm nhất định. Các máy server yêu cầu cấu
hình cao và thông thường rất đắt. Ngoài ra nếu chỉ dùng một máy server thì
mạng sẽ ngừng làm việc nếu như server hỏng.
12
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
Hình 1.1.4: Client/server network
Một số máy phục vụ chuyên dụng:
+Máy phục vụ tập tin, in ấn (file/print server).
+Máy phục vụ thư tín (mail server).
+Máy phục vụ fax (fax server).
+Máy phục vụ web (web server).
…
Theo phân vùng địa lý thì mạng máy tính được chia thành các loại hình
sau:
*Mạng cục bộ LAN (local area network):
Đây là loại hình mạng được cài đặt trong môi trường tương đối nhỏ (ví
dụ trong 1 toà nhà, trong một trường học …). Một số công nghệ mạng LAN
thông dụng là Ethernet, Tocken Ring, FDDI (Fiber Distributed Data
Interface).
*Mạng đô thị MAN (Metropolitan Area Network):
Đây là mạng được cài đặt trong một đô thị hoặc trong một trung tâm
kinh tế - xã hội có bán kính nhỏ hơn 100km.
*Mạng diện rộng WAN (Wide Area Network):
Mạng WAN kết nối các mạng trong một vùng địa lý rộng, phạm vi có
thể là trong một quốc gia và thậm chí cả lục địa. Một số công nghệ thường
dùng trong mạng WAN là ISDN (Intergrated Services Digital Network, DSL
13
Đồ án tốt nghiệp Nguyễn Quốc Bảo ĐT12-
K46
(Digital Subscriber Line), Frame relay, SONET (Synchronous Optical
Network).
Theo kĩ thuật chuyển mạch thì ta sẽ có các loại mạng sau: mạng chuyển
mạch kênh, mạng chuyển mạch thông báo và mạng chuyển mạch gói.
*Mạng chuyển mạch kênh (circuit switched network):
Khi có hai thực thể muốn trao đổi thông tin thì giữa chúng thiết lập một
kênh cố định và được duy trì cho đến khi một trong hai bên ngắt liên lạc. Các
dữ liệu chỉ được truyền theo một đường cố định đó. Phương pháp này có hai
nhược điểm đó là phải mất thời gian thiết lập kênh cố định giữa hai thực thể
và hiệu suất sử dụng đường truyền không cao trong trường hợp cả hai bên đều
hết thông tin để truyền trong khi các thực thể khác không được sử dụng kênh
này.
*Mạng chuyển mạch thông báo (message switched network):
Thông báo (message) là một đơn vị thông tin của người sử dụng có
khuôn dạng được quy định trước. Mỗi thông báo đều có vùng thông tin điều
khiển trong đó chỉ định rõ đích của thông báo. Căn cứ vào thông tin này mà
mỗi nút có thể chuyển thông báo đến nút kế tiếp trong đường dẫn đến đích
của nó. Tuỳ thuộc vào điều kiện của mạng, các thông báo khác nhau có thể
được gửi đi trên các con đường khác nhau. Phương pháp này có hiệu suất sử
dụng đường truyền cao, mỗi nút mạng có thể lưu trữ thông báo cho đến khi
kênh truyền rỗi rồi mới gửi thông báo đi do đó giảm được tình trạng tắc
nghẽn.
*Mạng chuyển mạch gói (packet switched network):
Mỗi thông báo được chia thành nhiều phần nhỏ hơn gọi là các gói tin
(packet) có khuôn dạng quy định trước. Mỗi gói tin cũng chứa các thông tin
điều khiển trong đó có địa chỉ nguồn và địa chỉ đích. Các gói tin thuộc một
thông báo nào đó có thể đi theo các con đường khác nhau để đi đến đích.
Phương pháp này cũng tương tự như phương pháp chuyển mạch thông báo.
14
Không có nhận xét nào:
Đăng nhận xét