Đồ án Quản trị Mạng Phần 3

Chia sẻ: Trần Thị Thanh Thủy | Ngày: | Loại File: PDF | Số trang:22

Thêm vào BST

Báo xấu

303
lượt xem 104
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Phần 5: Thiết kế mạng LAN I. Các vấn đề cần lưu ý: Khi thiết kế một hệ thống LAN ta cần chú ý những hạng mục cần thực sau đây, giúp cho việc định hướng đúng tác thiết kế xây dựng 1 hệ thống mạng LAN. Chi phí tổng thể cho việc đầu tư trang thiết bị cho toàn hệ thống; Những yêu cầu thật cần thiết cho hệ thống mạng tại thời điểm xây dựng và những kế hoạch mở rộng hệ thống trong tương lai; Khảo sát hiện trạng địa hình, địa lý, cách bố trí phòng ban; Cân...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Đồ án Quản trị Mạng Phần 3

Phần 5: Thiết kế mạng LAN Các vấn đề cần lưu ý: I. Khi thiết kế một hệ thống LAN ta cần chú ý nh ững hạng mục cần thực sau đây, giúp cho việc định hướng đúng tác thiết kế xâ y dựng 1 hệ thống mạng LAN. Chi phí tổng thể cho việc đầu tư trang thiết bị cho toàn hệ thống; Những yêu cầu thật cần thiết cho hệ thống mạng tại thời điểm xâ y dựng và những kế hoạch mở rộng hệ thống trong tương lai; Khảo sát hiện trạng địa hình, địa lý, cách bố trí phòng ban; Cân nhắc áp dụng kiểu kiến trú c, công nghệ mạng thực sự cần thiết trong thời gian hiện tại và tương lai; Khảo sát và lựa chọn ISP hội tụ những điều kiện tốt nhất cho mạng LAN của mình; Lên kế hoạch tiến độ thi công, thực hiện toàn bộ công trình; Lập kế hoạch sử dụng tài chính ; Lập kế hoạch chuẩn bị nhân lực; Lập bảng thống kê chi tiết cho việc triển khai đầu tư trang thiết bị; Mô hình hóa hệ thống mạng bằng phần mềm Visio; Triển khai công trình, qu yết tâm thực hiện cho bằng được kế hoạch đưa ra với thời gian sớm nhất. Những yêu cầu chung của việc thiết kế mạng: II. Nói chung một hệ thống mạng LAN sau khi thiết kế xong phải thỏa mãn các điều kiện sau đâ y: Phải đảm bảo các máy tính trong công ty trao đổi dữ liệu được với nhau. Chia sẻ được máy in , máy Fax, ổ CD-R OM… Tổ chức phân quyền tru y cập theo từng người dùng. Cho phép các nhân viên đi công tác có thể tru y cập vào công ty. Tổ chức hệ thống Mail nội bộ và Internet. Tổ chức W eb nội bộ và Internet. Cài đặt các chương trình ứng dụng phục vụ cho công việc của các nhân viên. Ngoài ra hệ thống mạng còn cung cấp các dịch vụ khác.
Khảo sát hiện trạng: III. Cấu trúc toà nhà của công ty gồm 1 tầng trệt và 1 tầng lầu.Trong đó tầng trệt được chia thành 3 phòng ban và tầng lầu chia thành 2 phòng ban. Sơ đồ cấu trúc các phòng của toà nhà: 1. Tầng trệt Cách phân phối các má y tí nh: 2. Hệ thống mạng của công ty gồm 32 má y Client và 1 máy Server được phân phối cho 5 phòng ban như sau: Phòng Tài Chính – Kế Toán 10 má y Client Phòng Kinh Doanh 10 má y Client Phong Kỹ Thuật 10 má y Client và 1 má y Server Phòng Giám Đốc 1 má y Client Phòng Phó Giám Đốc 1 má y Client
3. Mô hì nh Logic các phòng máy: Sơ đồ vật lý: 4. Lựa chọn mô hình mạng: 5. Do mô hình mạng được phân tích như trên , hệ thống mạng gồ m 1 Server và 32 má y Client nên ở đây chúng ta sử dụng mô hình xử lý mạng tập trung với kiến trú c mạng Bu s.
Ngoài ra yêu cầu của hệ thống mạng là sử dụng BootRom. Ưu điểm: Dữ liệu được bảo mật an toàn, dễ backup và diệt virus. Chi phí cho các thiết bị thấp. Dùng ít cáp (303 m), dễ lắp đặt. Khi mở rộng mạng tương đối đơn giản, nếu khoảng cách xa thì có thể dùng Repeater để khuếch đại tín hiệu. Việc quản trị dễ dàng (do mạng thiết kế theo mô hình xử lý tập trung). Sử dụng Switch (không sử dụng hub ) vì Switch có khả năng mở rộng mạng tối ưu hơn Hub ,tốc độ truyền d ữ liệu nhanh…Ngoài ra Switch còn hỗ trợ Trunking,VLAN… Dùng cáp STP không dùng UTP vì STP chống nhiễu, tốc độ tru yền tín hiệu nhanh , không bị nghe trộm. Tiết kiệm chi phí do ta sử dụng hệ thống mạng Bootrom. Không sợ xảy ra trụ c trặc về hệ điều hành. Khuyết điểm: Cấu hình má y Server phải mạnh (có thể là má y server chu yên dụng). Khó khăn trong việc cài đặt thêm các phần mềm cho client . Má y server phải cài nhiều dịch vụ cung cấp cho các má y client. Card mạng phải bắt buộc hỗ trợ BootRom theo chuẩn PXE với version 0.99 trở lên Phụ thuộ c nh iều vào Server. Mọi sự thay đổi trên ổ cứng ảo của Client đều không có giá trị. Ram của hệ thống sẽ bị giảm do được sử dụng làm cache. Khó đáp ứng được yêu cầu của nhiều ứng dụng khác nhau. Tốc độ tru y xuất không nhanh . Khi đoạn cáp ha y các đầu nối bị hở ra thì sẽ có hai đầu cáp không nối được với terminator nên tín hiệu sẽ bị dội ngược và làm toàn bộ hệ thống mạng phải ngưng hoạt động. Những lỗi như thế sẽ rất khó phát hiện ra là hỏng ở chỗ nào nên công tác quản trị rất khó khi mạng lớn
Thiết bị phần cứng: 6. Thiết bị mạng : Switch: 1 Switch 24 port và 1 Switch 16 port Cáp: Sử dụng cáp STP Đầu nối cáp: Sử dụng đầu nối RJ-45 Card mạng: Card mạng phải hỗ trợ BootRom theo chuẩn PXE Bảng chi tiết từng loại thiết bị : ( t ỷ giá : 1USD = 17,000VND) T h iế t b ị Đơn gía ($ ) Thành tiền STT SL 1 Cáp STP 303m 0.25 USD/m 1,287,750 Đầu nối RJ-45 2 68 cái 0.2USD/cái 231,200 3 Switch 24 port 1 cái 114USD/cái 1,938,000 3 Switch 16 port 1 cái 67USD/cái 1,139,000 Card mạng 4 33 cái 10 USD/cái 561,000 25000Đ/con 5 RomBoot 32 con 800,000 Tổng cộng 5,956,950 Máy tính: Máy Server: Vì hệ thống mạng sử dụng BootRoom nên cấu hình máy Server phải mạnh. Cấu hình đề xuất: Pentium 4 , R AM 1 GB, ổ cứng 120 GB chuẩn SATA hoặc SCSI, CPU tốc độ 3.0GHz, MainBoard hỗ trợ công nghệ siêu phân luồng. Bảng chi tiết cấu hình máy Server STT Linh Kiện Đặ c T ính ThànhSố Lượng Giá (USD) 1 MainBoard : C h ip Intel 865PE, S/p 478 P493 1 Intel Pentium 4 3.06Ghz, AGP8X, ATA100, 4xDDR AM- 400Mhz, Sound on Board, 5PC I, Bus 800, USB2.0, 2 SATA-150 , k ỹ thuật siêu phân luồng. 2 C PU : Soket 478 512 K 275 1 Intel Pentium 4 –3.0 GC Bus 800 3 RAM: Bu s 400 Mhz, 78 2 512 DDR AM PC3200 KINGMAX ATA/150 – 7 .200 rpm HDD : 108 1 160GB SEAGATE SATA 5 F DD: MITSUMI 6.5 1 1.44MB
6 VGA : Geforce FX5200 - 8 XOutTV DDR,90 1 S/p DVD 128MB ASUS V9520 MAGIC 7 CASE ATX 300W 24 1 Linh Kiện Đ ặ c T ín h Số S TT Giá Thành(USD) Lượng 15’’SAMSUNG 8 MON ITOR 93 1 S ynmaster 9 KEYBOARD: PS/2 8 1 MITSUMI 10 MOUSE: P S /2 3.5 1 MITSUMI 11 CDR OM: IDE 20 1 ASUS 52X Tổng cộng chi phí lắp ráp máy Server : 877USD =13,654,890.00 VND Máy Client: Má y tính thế hệ Pentium III , không ổ cứng, Ram 128M. Bảng chi tiết cấu hình má y và chi ph í S T T L i n h Kiệ n Đặ c Đơn gía Số Lượng Tính ($) 1 Main Board : Tổng cộng Các thiết bị khác: Mordem ADSL, máy in T h iế t b ị Đ ơ n gía S TT S Th à n h tiền L ($) 1 2 Tổng cộng Phần mềm: Máy Server: Chạy h ệ đ iều hành Microsoft W indows 2000 Server và cài các dịch vụ phục vụ cho các má y Client như: MS ISA Server, MS Exchange Server … Máy Client: Chạ y hệ điều hành Microsoft Windows XP professional. Chạy các ch ương trình ứng dụng như: phần mề m kế sự. Microsoft Office XP, cá c to á n , n h ân
Phần 6: Mạng diện rộng và WIFI Mạng chuyển mạch (Circuit Swiching Network): I. Để thực hiện được việc liên kết giữa hai điểm nút, mộ t đ ường nối giữa điểm nút nà y và điểm nút kia được thiết lập trong mạng thể hiện dưới dạng cuộc gọi thông qua các thiết bị chu yển mạch. (Hình trang sau) Một ví dụ của mạng chu yển mạch là hoạt động của mạng điện thoại, các thuê bao kh i biết số của nhau có thể gọi cho nhau và có một đường nố i vật lý tạm thời được thiết lập giữa hai thuê bao. Với mô hình này mọi đường đều có thể mộ t đường bất kỳ kh ác, thông qua những đường nối và các thiết bị chuyên dùng người ta có thể liên kết một đường tạm thời từ nơi gửi tới nơi nhận mộ t đường nối vật lý, đường nối trên du y trì trong suốt phiên làm việc và chỉ giải phóng sau khi phiên làm việc kết thúc. Để th ực hiện một phiên làm việc cần có các thủ tục đầ y đủ cho việc thiết lập liên kết trong đó có việc thông báo cho mạng biết địa ch ỉ của nút nhận. Hình 6.1: Mô hình mạng chu yển mạch Hiện nay có 2 loại mạng chu yển mạch là chu yển mạch tương tự (analog) và chu yển mạch số (d igital). Chuyển mạch tương tự (Analog): Việc chuyển dữ liệu qua mạng chu yển mạch tương tự được thực hiện qua mạng điện thoại. Các trạm sử dụng một thiết bị có tên là modem, thiết
bị này sẽ chu yển các tín hiệu số từ máy tính sao cho tín hiệu tuần tự có thể tru yền đi trên mạng điện thoại và ngược lại. Hình6.2: Mô hình chu yển mạch tương tự Chuyển mạch số (Digital): Đường tru yền chu yển mạch số lần đầu tiên được AT&T thiệu vào cuối 1980 khi AT&T giới thiệu mạng chu yển mạch số Acnet với đường tru yền 56 kbs. Việc sử dụng đường chuyển mạch số cũng đòi hỏi sử dụng thiết bị phục vụ truyền dữ liệu số (Data Service Unit - DSU) vào vị trí modem trong chu yển mạch tương tự. Thiết bị phục vụ truyền d ữ liệu số có nhiệm vụ chu yển các tín hiệu số đ ơn chiều (unipolar) từ má y tính ra thành tín hiệu số hai chiều (bipolar) để tru yền trên đ ường tru yền. Hình 6.3: Mô hình chu yển mạch số Mạng chu yển mạch số cho phép người sử dụng nâng cao tốc độ tru yền (ở đây do khác biệt giữa kỹ thuật tru yền số và kỹ thuật truyền tương tự nên hiệu năng của tru yền mạch số cao hơn nhiều so với tru yền tương tự cho dù cùng tốc độ), độ an toàn. Vào năm 1991 AT&T giới thiệu mạng chu yển mạch số có tố c độ 384 Kbps. Người ta có thể dùng mạng chu yển mạch số để tạo các liên kết giữa các mạng LAN và làm các đường tru yền dự phòng. Mạng thuê bao riêng (Leased line Network): II. Với kỹ thuật chuyển mạch giữa các nút của mạng (tương tự hoặc số) có một số lượng lớn đường dây tru yền dữ liệu, với m ỗi đường dây trong một thời điểm chỉ có nh iều nhất một ph iên giao dịch, khi số lượng các trạm sử dụng tăng cao người ta nhận thấ y việc sử dụng mạng chu yển mạch trở nên không kinh tế. Để giảm bớt số lượng các đường dây kết nối giữa các nút mạng người ta đưa ra một kỹ thuật gọi là ghép kênh.
Hình 6.4: Mô hình ghép kênh Mô hình đó được mô tả như sau: tại một nút người ta tập hợp các tín h iệu trên của nh iều người sử dụng ghép lại để tru yền trên một kênh nối duy nhất đến các nút khác, tại nút cuối người ta phân kênh ghép ra thành các kênh riêng b iệt và tru yền tới các người nhận . Có hai phương thức ghép kênh ch ính là ghép kênh theo tần số và ghép kênh theo thời gian, hai phương thức này tương ứng với mạng thuê bao tuần tự và mạng thuê bao kỹ thuật số. Trong thời gian hiện nay mạng thuê bao kỹ thuật số sử dụng kỹ thuật ghép kênh theo thời gian với đ ường truyền T đang được sử dụng ngà y một rộng rãi và dần dần thay thế mạng thuê bao tuần tự. Phương thức ghép kênh theo tầng số: 1. Để sử dụng phương thức ghép kênh theo tần số giữa các nút của mạng được liên kết b ởi đường tru yền băng tần rộng. Băng tần này được chia thành nhiều kênh con được phân biệt bởi tần số khác nhau. Khi tru yền dữ liệu, mỗ i kênh tru yền từ người sử dụng đến nú t sẽ được chuyển thành một kênh con với tần số xác định và được tru yền thông qua bộ ghép kênh đến nút cuố i và tại đây nó được tách ra thành kênh riêng b iệt để tru yền tới người nhận. Theo các chuẩn của CC ITT có các phương thức ghép kênh cho phép ghép 12, 60, 300 kênh đơn. Người ta có thể dùng đường thuê bao tuần tự (Analog) nối giữa má y của người sử dụng tới nút mạng thuê bao gần nhất. Khi má y củ a người sử dụng gửi dữ liệu thì kênh dữ liệu được ghép với các kênh khác và tru yền trên đường tru yền tới nút đích và được phân ra thành kênh riêng biệt trước khi gửi tới máy của người sử dụng. Đường nối giữa má y trạm của người sử dụng tới nút mạng thuê bao cũng giống nh ư mạng chu yển mạch tuần tự sử dụng đường dâ y điện thoại với các kỹ thuật chu yển đổi tín hiệu như V22, V22 bis, V32, V3 2 bis, các kỹ thuật nén V42 bis, MNP class 5. Phương thức ghép kênh theo thời gian: 2. Khác với ph ương thức ghép kênh theo tần số, phương thức ghép kênh theo thời gian chia một chu kỳ thời gian hoạt động của đường tru yền trụ c thành nhiều khoảng nhỏ và mỗi kênh tru yền dữ liệu được một khoảng. Sau khi ghép kênh lại thành mộ t kênh chung dữ liệu được tru yền đi tương tự nh ư phương thức ghép kênh theo tần số. Người ta dùng đường
thuê bao là đường tru yền kỹ thuật số nối giữa máy của người sử dụng tới nú t mạng thuê bao gần nhất. Hiện na y người ta có các đường tru yền thuê bao T1 với tốc độ 1 .544 Mbps nó bao gồ m 24 kênh vớp tốc độ 64 kbps và 8000 b its điều khiển trong 1 giâ y. Tổng quan về Wi-fi: III. W i-Fi (W ireless Fidelity) là một chứng nhận (certification) về tính tương thích của loại mạng cụ c bộ không dây (wireless LAN) theo tiêu chuẩn 802.11. Chứng nhận W i-Fi được đưa ra bởi một tổ chức phi lợi nhuận có tên gọi là W i-Fi Alliance (www.wi- fi.org). Khi những sản phẩm cùng có được chứng nhận W i-Fi (W i-Fi certified) thì xem như chúng được đảm bảo sẽ tương thích với nhau. Điều nà y tạo ra sự thuận lợi cho các nhà sản xuất (đặc biệt là các nhà sản xuất nhỏ) và giới hạn khả năng độc qu yền của các nhà sản xuất lớn (do thường áp đặt việc sản xuất theo chuẩn của riêng mình). Mộ t ích lợi nữa là giá thành sản phẩm sẽ giảm do sự tương thích mang lại và cuối cùng, người hưởng lợi nhất vẫn là người sử dụng. Khi đầu tư (ví dụ như khi xâ y d ựng mạng wireless LAN), người dùng không phải tra cứu các tài liệu để xem rằng các thiết bị mình mua có tương thích với nhau không,mà trong trường hợp này, họ chỉ cần xác định là mình đã mua các thiết bị đ ược chứng nhận W i-Fi là đủ . Về công nghệ, h iện nay W i-Fi đã chứng nhận 3 chuẩn về mạng cục bộ không dâ y và 1 chuẩn về an ninh cho các loại mạng này, bao gồm: Chuẩn mạng 802.11a Chuần mạng 802.11b Chuẩn mạng 802.11g Chuẩn an ninh W i-Fi Protected Access (WPA) Chuẩn 802.11b là chuẩn đầu tiên được chứng nhận có tốc độ 11Mb ps trong dãy tần số 2.4GHz. Đâ y là chuẩn đang được sử dụng phổ biến nhất hiện na y nên nhiều người vẫn xem W i-Fi là 802.11b và ngược lại. Hiện nay, các thiết bị chuẩn nà y có giá thành thấp và được “build-in” vào sẵn trong các th iết bị như máy tính xách ta y, má y trợ giúp cá nhân hay cả điện thoại di động. Chuẩn kế tiếp là 802.11a cải thiện khuyết điểm về tốc độ và nâng lên đ ược 54 Mbp s. Tu y nhiên, chuẩn này dùng tần số 5 Ghz và không tương thích ngược với 802.11b (vốn đã rất phổ biến ) nên không được chấp nhận rộng rãi. Cải th iện vấn đề nà y, 802.11g ra đời với cả 2 ưu điểm về tố c độ cao (54Mbps) và tương thích ngược với chuẩn 802.11b. Chuần này chỉ thua 802.11a ở điểm là có ít kênh tần số hơn . Riêng chuẩn W PA sẽ đ ược trình bày
trong mục “Các phương pháp bảo vệ an toàn cho W i-Fi”. Mạng không dây (wireless) đang là một trong những xu hướng phát triển chung của nền công nghệ thông tin thế giới. Vì vậ y, nga y từ khi ra đời, Wi-Fi đã đ ược cả thế giới đón nhận và nhanh chóng được ứng dụng rộng rãi. Không dừng lại ở đó , W i-Fi nói riêng và mạng wireless LAN nói chung sẽ phải tiếp tục phát triển theo các xu hướng sau: Tăng tốc độ kết nối. Đâ y có thể nói là qu yế t tâm lớn nhất của các nhà phát triển chuẩn mạng. Hiện đã có 1 số sản phẩm nhân đôi tốc độ thật sự của chuẩn bằng cách thiết lập cùng một lú c 2 kênh kết nối. Tu y nhiên, cách làm này vẫn chưa đ ược chuẩn hóa cũng như chưa được W i-Fi chứng nhận. Tăng khoảng cách phủ sóng. Hiện tại, khoảng cách của W i-Fi vẫn còn hạn chế nhưng nếu xét trên phương diện mạng cục bộ thì khoảng cách nà y vẫn tạm chấp nhận được. Vì vậy xu hướng này vẫn tiếp tục được chú ý nh ưng không phải là ưu tiên hàng đầu. Tăng số kênh sử dụng. Hiện tại số lượng kênh sử dụng thấp làm hạn chế đến số lượng mạng không dây cùng hoạt động trong một phạm vi đ ịa lý. Vấn đề này cũng có thể cải tiến được nếu tăng tần số sóng nhưng sẽ bị ảnh hưởng đến vấn đề xin cấp “giấy phép tần số”. Tăng cường an ninh. Khác với mạng có dây, mạng không dây dễ dàng bị tru y cập trái phép nên vấn đề an ninh luôn đặt lên hàng đầu khi phát triển. Hiện na y, việc kết hợp giữa W PA và 802.1x mang lại kết quả tốt. Tu y nhiên vấn đề an ninh vẫn cần tiếp tục được cải thiện tốt hơn n ữa. Giảm công suất tiêu thụ. Xu hướng này đặc biệt quan trọng đối với các thiết bị đầu cuối di động. Tiết giảm năng lượng sẽ giúp các thiết bị hoạt động lâu hơn khi làm việc trong môi trường di động. Giảm kích thước. Mới đây, công nghệ Centrino của Intel đã tích h ợp chip W i-Fi với các chip xử lý khác giúp kích thước và độ tiêu hao năng lượng của các thiết bị giảm xuống đáng kể. Không dừng lại ở đây, công nghệ chip sẽ giảm kích thước và trong 1 tương lai không xa, các thiết bị nhỏ nh ư điện thoại di động có thể tích hợp sẵn W i-Fi. Giảm giá thành. Là xu hướng luôn được quan tâm của tất cả mọi công nghệ. Chip W i-Fi 02.11b hiện đã giảm nhiều và có xu hướng tiếp tục giảm nữa. Giá thành của 802 .11g còn tương đối cao và trong một tương lai không xa, chuẩn này có thể sẽ thay thế 802.11b . Tó m lại, W i-Fi hiện đang được phát triển mạnh mẽ và sẽ tiếp tục phát triển trong thời gian tới. Có nhiều người cho rằng W i-Fi sẽ bị các loại mạng khác như broadband wireless, CDMA, GPRS… thay thế nhưng thực tế sẽ
không như vậ y, W i-Fi cũng sẽ được cải tiến và tồn tại song song với các loại mạng nà y. An ninh mạng luôn là mục tiêu hàng đầu của W i-Fi nói riêng và mạng không dâ y nói chung. Vì vậy nga y từ khi mới ra đời, các mạng W i-Fi đều có những cơ chế để bảo vệ mình. Mỗi sản phẩm có thể ứng dụng mộ t hay nh iều trong số các cơ chế này: Lọc địa chỉ MAC. Cơ chế này luôn có trong tất cả các thiết bị truy cập mạng không dâ y (AP – Access Point) để cho phép ha y cấm 1 số địa chỉ MAC. Đối với các mạng nhỏ nh ư mạng gia đình, việc ch ỉ cho phép địa chỉ MAC củ a các thiết bị trong gia đình tru y cập vào là rất tiện và an toàn. Tu y nh iên, trên th ực tế, vẫn có thể tìm cách giả đ ịa chỉ MAC được, nên cơ chế nà y chỉ an toàn ở mức tương đố i. Các phương pháp bảo vệ a n toàn cho Wi-Fi và xu hướng phát triển của Wi-Fi Không broadcast SSID. Service Set Identifier (SSID) là định danh cho thiết bị Access Point. Nếu người dùng không biết định danh nà y thì không thể tru y cập vào mạng wireless được. Bình thường định danh này được broad cast nên bất kỳ người dùng nào cũng có thể biết được và tru y cập vào. Nếu tắt chức năng broadcast thì chỉ có những người b iết được SSID mới có thể tru y cập vào mạng. Tuy nhiên , vì đâ y là tham số dùng chung nên việc “rò rỉ” ra bên ngoài là có thể xảy ra. Ngoài ra, một số phần mềm có thể phát hiện được tham số này nếu theo dõi trong một thời gian nhất định. Mã hóa các gói tin. Để tăng cường thêm mức độ an ninh, các mạng W i-Fi đầu tiên dùng cơ chế W EP (W ired Equivalent Privacy) bằng cách mã hóa RC4 qua 1 mã khóa - gọi là ke y. Cơ chế này vừa mã hóa vừa cung cấp khả năng xác thực người dùng (vì phải biết khóa mới vào được) nhưng chỉ tồn tại một thời gian và sau đó người ta phát hiện khá nhiều khu yết điểm của nó. Hiện tại, người ra đang cải tiến bằng cách tăng chiều dài khóa, tạo khóa động… qua các chuẩn mới như W PA, W PA2… Xác thực trước khi kết nối. Các loại Access Point đầu tiên chưa có cơ chế này và chủ yếu xác thực qua việc dùng SSID (bằng cách không broadcast) và khóa WEP. Hiện tại, người ta dùng 802.1x - một cơ chế xác thực lớp 2 cho mạng LAN có dây - để làm xác thực cho W i-Fi. Đây là cơ chế tốt và có thể dùng kết hợp với RADIUS server để xác thực một cách tập trung. Chia mạng L AN ả o (VL AN). Vì n gười dùng không dây có thể thuộc nhiều bộ phận khác nhau với những chính sách sử dụng tài ngu yên khác nhau, nên việc chia VLAN của những người này khi tru y cập vào mạng không dâ y là rất cần thiết và tăng cường thêm khả năng an ninh của hệ thống.
Tóm lại, h iện na y n gười ta đang kết hợp nhiều hình th ức an ninh khác nhau cho mạn g không dây. Tu y nhiên, một trong những chuẩn đang được quan tâm nhất là sử dụng W PA và 802.1x. Trong đó 802.1x dùng để xác thực với username/password và W PA tạo các khóa mã hóa động nên tránh được sự theo dõi và đánh cắp thông tin. Hiện na y cho dù W PA (W i-Fi Protected Access) vẫn chưa phải là chuẩn của IEEE nhưng lại đã có chứng nhận của W i-Fi. Chuẩn này sẽ là một phần (subset) trong chuẩn 802.11i - chuẩn an n inh mạng không dây của IEEE sắp ra đời trong năm na y. Chuẩn W PA không giống với 802.11i nhiều, nhưng chuẩn trung gian W PA2 có rất nhiều điểm tương đồng. Trước khi W i-Fi ra đời, có rất nhiều chuẩn về mạng cục bộ không dây nên việc chọn lựa sử dụng chuẩn nào là hết sức khó khăn. Các hãng sản xuất thiết bị đầu cuối như laptop, PDA… cũng khó khăn trong việc lựa chọn chuẩn để tích hợp vào thiết bị của mình. Sau khi ra đời và phổ biến trên khắp thế giới, W i-Fi nhanh chóng được các thiết bị đầu cuối và đặc biệt là các thiết bị di động hỗ trợ sử dụng. Dưới đâ y là các mức độ hỗ trợ W i-Fi: Tích hợp sẵn phần cứng và phần mề m. Đây là hình thức hỗ trợ đầ y đủ nhất. Người sử dụng chỉ việc cấu hình th iết bị theo đúng hướng dẫn là có thể dùng được. Hỗ trợ khe cắm mở rộng và phần mềm. Trường hợp nà y thiết bị có sẵn phần mềm và khe cắm mở rộng. Người dùng cần mua thêm một card W i-Fi tương thích, cắm vào, cấu hình rồi mới có thể sử dụng được. Hỗ trợ khe mở cắm rộng. Đây là hình thức thấp nhất, thiết bị chỉ có khe cắm mở rộng I/O. Người dùng mua thêm card W i-Fi và cài đặt thêm phần mềm để sử dụng. Wi-Fi và thế giới di động: Aironet 1100 là mộ t trong những sản phẩm W ireless Access Point của hãng C isco - một công t y hàng đầu trong việc cung cấp các thiết bị mạng nh ư switch, router, firewall, remote access... Sản phẩm này đáp ứng các giải pháp về mạng LAN không dâ y nh ư tốc độ cao, bảo mật, dễ sử dụng. Cisco 1100 sử dụng sóng đơn hoạt động ở tần số 2.4 GHz, với giao tiếp miniPCI - được sử dụng trong các loại máy tính xách tay có W i-Fi. Với tố c độ gửi nhận dữ liệu 11Mbps đối với 802.11b ha y 54Mbps đối với 802.11g (có thể xem như là ngang bằng với ADSL của mạng dùng dây cáp). Việc quản lý và cấu hình Aironet 1100 cũng dễ dàng và tiện lợi qua các giao thức nh ư: Telnet, HTTP, TFTP, SNMP. Đ ặc biệt với giao diện Cisco command-line interface (CLI) cho phép áp dụng nhanh chóng các khả năng có sẵn trong IOS của Cisco. Aironet 1100 hỗ trợ các khả năng về network rất cao như: Acquire IP address via DHCP server; Broadcast and multicast filters; High- la yer protocol filtering; Inline Po wer over Ethernet; VLAN tagging; Quality or Class of Service support; Radio tran smit power control; Mobile IP support. Đi kèm là sự hỗ trợ
về những cơ chế bảo mật như: 40-bit W EP, 128-b it W EP, AES, W i-Fi Protected Access (W PA), MAC - address access control lists, 802.1x, Integrated user authentication database. Có thể nói Cisco Aironet 1100 là 1 trong những sản phẩm W i-Fi Access Point có tích hợp cơ chế bảo mật cao ở thời điểm hiện nay – phù h ợp các yêu cầu cao cấp của mạng doanh nghiệp vừa và nhỏ. W indows XP là hệ điều hành phổ biến nhất hiện na y và đã hỗ trợ sẵn W i-Fi. Tu y nh iên, việc cấu hình các tham số còn hơi khó hiểu và gây trở ngại cho người dùng - đặc biệt là người dùng thông th ường (không phải chu yên gia má y tính). Thấy được khuyết điểm nà y, Microsoft nhanh chóng sửa ch ữa giao diện W i-Fi và đưa vào bộ cập nhật Service Pack 2 (SP2). Đâ y là bản cập nhật rất quan trọng của Microsoft đối với HĐH thông dụng nhất nà y để chuẩn bị tiến tới hệ điều hành của tương lai - hệ điều hành với tên mã Longhorn. Với sự bổ sung của SP2 , người dùng W indows XP sẽ sử dụng mạng W i-Fi dễ dàng hơn – đặc biệt là trong môi trường đa kết nối nh ư hiện nay.
Phần 7: Bảo mật mạng I. Virus: Nếu chỉ nghe nói qua đến virus má y tính, thì những người không biết có thể cho rằng nó cũng nôm na tựa nh ư mộ t loại virus bệnh dịch nào đó , và họ thường phân vân không hiểu virus sẽ lâ y vào chỗ nào trong máy tính của mình và mình có cần cho máy tính của mình uống kháng sinh không nhỉ ? Sự thật không phải vậ y, virus má y tính thực chất chỉ là một chương trình má y tính có khả năng tự sao chép chính nó từ đối tượng lâ y nhiễm nà y sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản , đĩa mềm...), và chương trình đó mang tính phá hoại. Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng chỉ cần bạn nhớ rằng đó là một đoạn chương trình và đoạn ch ương trình đó dùng để phụ c vụ những mục đích không tốt. Virus má y tính là do con người tạo ra, quả thực cho đến ngày nay có thể coi nó đã trở thành như những bệnh dịch cho những chiếc má y tính và chúng tôi, các bạn, chúng ta là những người bác sĩ, phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng. Cũng như mọi vấn đề ngoài xã hội, cũng khó tránh khỏ i việc có những loại bệnh mà phải dày công nghiên cứu mới trị được, hoặc cũng có những trường hợp gâ y ra những hậu quả khôn lường. Chính vì vậy, phương châm "Phòng hơn chống" vẫn luôn đúng đối với virus máy tính Các loại Virus: II. Nếu bạn là người muốn tìm h iểu sâu hơn về virus thì hã y đọ c phần nà y, nó sẽ giúp bạn có thêm một số kiến thức về các loại virus máy tính, để có thể tự tin trong việc phòng chống chúng. Tu y nhiên, nếu không cũng không sao, bạn chỉ cần nhớ câu nói trong phần trên là đủ: "Dường như tất cả mọi thứ đều có thể nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ thâm nhập vào tất cả những gì có thể ". 1. Virus Boot: Khi bạn bật máy tính, một đoạn chương trình nhỏ để trong ổ đĩa khởi động của bạn sẽ được thực thi. Đoạn chương trình nà y có nhiệm vụ nạp hệ điều hành mà bạn muốn (W indows, Linux ha y Unix...). Sau khi nạp xong hệ điều hành bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên th ường được để ở trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boo t sector". Những virus lây vào Boot sector thì được gọi là virus Boo t. Virus Boot thường lây lan qua đĩa mềm là chủ yếu. Ngà y na y ít khi chúng ta dùng đĩa
mềm làm đĩa khởi động má y, vì vậ y số lượng virus Boot không nhiều như trước. Tu y nh iên, một điều rất tệ hại là chúng ta lại thường xu yên để quên đĩa mềm trong ổ đĩa, và vô tình khi bật má y, đĩa mềm đó trở thành đĩa khởi động, điều gì xả y ra nếu chiếc đĩa đó có chứa virus Boot? 2. Virus File: Là những virus lây vào những file chương trình như file .com, .exe, .bat, .pif, .sys... Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File? ". Câu trả lời nằm ở lịch sử phát triển của viru s máy tính. Như bạn đã b iết qua phần trên, mãi tới năm 1995 viru s macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trước đó (những virus File) nên mặc dù cũng lây vào các File, nhưng không thể gọi chúng là viru s File. 3. Virus Macro: Là loại virus lâ y vào những file văn bản (Microsoft W ord) ha y bảng tính (Microsoft Excel) và cả (Microsoft PowerPoint) trong bộ Micro soft Office. Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là các phần cái sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công thao tác. Có thể h iểu nôm na việc dùng Macro giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh du y nhất. 4. Con ngựa Thành Troia - Trojan Horse: Thuật ngữ nà y dựa vào một điển tích cổ, đó là cuộ c chiến giữa người Hy Lạp và người thành Troia. Thành Troia là một thành trì kiên cố, quân Hy Lạp không sao có thể đột nhập vào được. Người ta đã nghĩ ra một kế, giả vờ giảng hoà, sau đó tặng thành Troia một con ngựa gỗ khổng lồ . Sau khi ngựa được đưa vào trong thành , đêm xuống những quân lính từ trong bụng ngựa xông ra và đánh chiếm thành từ bên trong. Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng. Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử dụng chương trình của mình, khi chương trình này chạy thì vẻ bề ngoài cũng nh ư những chương trình bình thường (một trò chơi, ha y là nh ững màn bắn pháo hoa đẹp mắt chẳng hạn). Tu y nhiên, song song với quá trình đó, mộ t phần của Tro jan sẽ b í mật cài đặt lên má y nạn nhân. Đến một th ời điểm định trước nào đó chương trình này có thể sẽ ra ta y xoá dữ liệu, hay gửi những thứ cần thiết cho chủ nhân của nó ở trên mạng (ở Việt Nam đã từng rất phổ biến việc lấy cắp mật khẩu truy nhập Internet của người sử dụng và gửi bí mật cho chủ nhân của các Tro jan). Khác với virus, Trojan là một đoạn mã chương trình “HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN”. Nó chỉ có thể được cài đặt bằng cách người tạo ra nó "lừa" nạn
nhân. Còn virus thì tự động tìm kiếm nạn nhân để lây lan. Thông thường các phần mềm có chứa Trojan được phân phối nh ư là các phần mềm tiện ích, phần mềm mới hấp dẫn, nhằm dễ thu hút người sử dụng. Vì vậy bạn hã y cẩn thận với những điều mới lạ, hấp dẫn nhưng không rõ nguồn gốc! Sâu Internet -W orm quả là một bước tiến đáng kể và đáng sợ nữa của virus. W orm kết hợp cả sức phá hoại của virus, sự bí mật của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó, cũng một phần. Một kẻ phá hoại với vũ khí tối tân. Tiêu biểu như Mellisa ha y Love Letter. Với sự lâ y lan đáng sợ chúng đã làm tê liệt hàng loạt các hệ thống má y ch ủ, làm ách tắc đường truyền. Worm thường phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address boo k) của máy mà nó đang lâ y nh iễm, ở đó thường là địa chỉ của bạn bè, người thân, khách hàng... của chủ máy. Tiếp đến, nó tự gửi chính nó cho những địa chỉ mà nó tìm thấ y, tất nhiên với địa chỉ người gửi là chính bạn, chủ sở hữu của chiếc máy. Điều ngu y h iểm là những việc này diễn ra mà bạn không hề ha y biết, chỉ khi bạn nhận được thông báo là bạn đã gửi virus cho bạn bè, người thân thì bạn mới vỡ lẽ rằng má y tính của mình bị nhiễm virus (mà chưa chắc bạn đã tin như thế!!?). Với cách hoàn toàn tương tự trên những má y nạn nhân, W orm có thể nhanh chóng lâ y lan trên toàn cầu theo cấp số nhân, điều đó lý giải tại sao chỉ trong vòng vài tiếng đồng hồ mà Mellisa và Love Letter lại có thể lâ y lan tới hàng chục triệu máy tính trên toàn cầu. Cái tên của nó Worm ha y "Sâu Internet" cho ta hình dung ra việc những con virus máy tính "bò" từ máy tín h này qua máy tính khác trên các "cành cây" Internet. Với sự lâ y lan nhanh và rộng lớn như vậ y, Worm thường được kẻ viết ra chúng cài thêm nhiều tính năng đặc biêt, chẳng hạn như chúng có thể định cùng một ngày giờ và đồng loạt từ các máy n ạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào đó, má y chủ có mạnh đến mấ y thì trước một cuộ c tấn công tổng lực như vậ y thì cũng phải bó ta y, W ebsite của nhà Trắng là một ví dụ. Ngoài ra, chúng còn có thể cho phép chủ nhân của chúng tru y nhập vào máy của nạn nhân và có thể làm đủ mọi thứ như ngồi trên máy dó mộ t cách bất hợp pháp. Ở đâ y chúng tôi chỉ có thể nói sơ qua về lịch sử, cũng như phân loại virus nhằm cung cấp cho các bạn một cách nhìn nhận đúng đắn về virus máy tính , để từ đó sẽ có những phương pháp hữu hiệu để ngăn chặn chúng. III. IP security: Tổng quan: 1. Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao
thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn. Cấu trúc bảo mật: 2. IPsec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xác thực và (3) thiết lập các thông số mã hoá. Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP. Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin. Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB. Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liêu. Chú ý các chu ẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân. Các chuẩn hóa: 3. IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.
Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương thích với chuẩn 1825 – 1929. Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309. Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ mới này IP security cũng được viết tắt lại là IPsec. Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC 1825 – 1829 là ESP còn phiên bản mới là ESPbis. Thiết kế: 4. IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (port al-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụng khi kết nối VPN. IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiều trong giao tiếp. Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa hai mode này. Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triển chậm và phải chờ đợi rất lâu. Một phần bở lý do tính phổ thông của no không cao, hay không thiết thực, Public Key Infrastructure (PKI) được sử dụng trong phương thức này. IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật: Mã hoá quá trình truyền thông tin Đảm bảo tính nguyên ven của dữ liệu Phải được xác thực giữa các giao tiếp Chống quá trình replay trong các phiên bảo mật. Các loại mode Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode. Transport mode Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và/hoặc xác thực. Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các thông tin đã bị hash (băm). Transport và application layers thường được bảo mật bởi hàm băm (hash), và chúng không thể chỉnh sửa (ví dụ như port number). Transport mode sử dụng trong tình huống giao tiếp host-to-host. Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NAT traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T. Tunnel mode Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hoá và xác thực . Nó phải được đóng gói lại trong một dạng IP packet khác trong quá trình routing của router.
Tunnel mode được sử dụng trong giao tiếp network-to-network (hay giữa các routers với nhau), hoặc host-to-network và host-to-host trên internet. Các giao thức: 5. Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6: IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực. IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu. Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin. Toàn bộ thuật toán này được thể hiện trong RFC 4305. a. Authentication Header (AH) AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công ngh ệ tấn công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP. dưới đây là mô hình của AH header. Các modes thực hiện 0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit Next header Payload length RESERVED Security parameters index (SPI) Sequence number Authentication data (variable) Ý nghĩa của từng phần: Next header: Nhận dạng giao thức trong sử dụng truyền thông tin. Payload length: Độ lớn của gói tin AH. RESERVED: Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các số 0).