intTypePromotion=1
ADSENSE

Luận văn Thạc sĩ Công nghệ thông tin: Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá Đại học Quốc gia Hà Nội

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:59

1
lượt xem
0
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Luận văn chỉ nghiên cứu về các cơ chế kết hợp, liên thông của các giao thức, dịch vụ, ứng dụng để đưa ra được hệ thống triển khai hoàn chỉnh. Để hiểu rõ hơn, mời các bạn tham khảo chi tiết nội dung luận văn này.

Chủ đề:
Lưu

Nội dung Text: Luận văn Thạc sĩ Công nghệ thông tin: Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá Đại học Quốc gia Hà Nội

  1. ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ĐỒNG QUANG VIỆT XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2016
  2. ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ĐỒNG QUANG VIỆT XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI Ngành: Công nghệ Thông tin Chuyên ngành: Quản lý Hệ thống Thông tin Mã số: Chuyên ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ DUY LINH NHẬN XÉT CỦA NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN CHỦ TICH HỘI ĐỒNG CHẤM LUẬN VĂN TS. VŨ DUY LINH PGS.TS. ĐỖ NĂNG TOÀN Hà Nội – 2016
  3. Lời cảm ơn Để hoàn thành luận văn này, trước tiên, tôi xin gửi lời cảm ơn sâu sắc nhất đến thầy giáo TS. Vũ Duy Linh, người đã khơi nguồn, định hướng chuyên môn, cũng như trực tiếp hướng dẫn và tạo mọi điều kiện thuận lợi nhất cho tôi trong quá trình thực hiện luận văn. Tôi xin chân thành gửi lời cảm ơn đến các thầy cô trong Viện CNTT – ĐH Quốc Gia Hà Nội đã góp ý kiến, nhận xét và quan tâm chỉ bảo, giúp đỡ tận tình trong quá trình tôi thực hiện đề tài. Tôi xin chân thành gửi lời cám ơn đến các bạn đồng nghiệp cũng trong Trung tâm Ứng dụng Công nghệ Thông tin – Viện CNTT – ĐH Quốc Gia Hà Nội đã tạo điều kiện giúp đỡ tôi trong quá trình thực hiện đề tài. Cuối cùng, tôi xin bày tỏ lòng kính trọng và sự biết ơn sâu sắc đến gia đình đã tạo động lực và mọi điều kiện tốt nhất để tôi có thể hoàn thành tốt mọi công việc trong quá trình thực hiện luận văn. Mặc dù đã rất cố gắng trong quá trình thực hiện luận văn không thể tránh khỏi những thiếu sót. Tôi rất mong nhận được sự góp ý của các thầy cô và bạn bè để tiếp tục hoàn thiện thêm việc xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá Đại học Quốc gia Hà Nội. Hà Nội, ngày tháng năm 2016 Tác giả luận văn Đồng Quang Việt
  4. Lời cam đoan Tôi xin cam đoan rằng đây là công trình nghiên cứu của tôi, có sự hỗ trợ từ Thầy hướng dẫn và những người tôi đã cảm ơn. Các nội dung nghiên cứu và kết quả trong đề tài này là trung thực và chưa từng được ai công bố trong bất cứ công trình nào. Hà Nội, ngày tháng năm 2016 Tác giả luận văn Đồng Quang Việt
  5. MỤC LỤC DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT ............................................................i DANH MỤC HÌNH ....................................................................................................... ii DANH MỤC BẢNG ..................................................................................................... iii MỞ ĐẦU .........................................................................................................................1 Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp ..3 1.1. Các ứng dụng dịch vụ mạng..................................................................................3 1.1.1. DHCP ..............................................................................................................3 1.1.2. LDAP ..............................................................................................................4 1.1.3. RADIUS..........................................................................................................7 1.1.4. DNS Forwarder ...............................................................................................8 1.1.5. Squid proxy .....................................................................................................8 1.1.6. Captive portal ..................................................................................................9 1.1.7. Firewall ...........................................................................................................9 1.1.8. Load Balancer ...............................................................................................11 1.2. Một số giải pháp quản lý tài nguyên và truy cập internet ...................................11 1.2.1. Giới thiệu các giải pháp ................................................................................11 1.2.2 So sánh các giải pháp:....................................................................................16 Chương 2: Thiết kế hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá trong ĐHQGHN ............................................................................................................19 2.1. Kiến trúc hệ thống: ..............................................................................................19 2.2. Nguyên lý hoạt động: ..........................................................................................24 2.2.1. DHCP cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN..24 2.2.2. Chứng thực người sử dụng cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN ...............................................................................................25 2.2.3. FireWall cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN ...26 2.2.4. Routing và Load balancing cho hệ thống quản lý tài nguyên và truy cập internet của KTXNN ...............................................................................................27 Kết luận Chương 2.........................................................................................................28 Chương 3: Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho ký túc xá ĐHNN trong ĐHQGHN ................................................................................................ 29
  6. 3.1 Thực nghiệm xây dựng hệ thống quản lý tài nguyên và truy cập internet cho KTXNN ......................................................................................................................29 3.2. Đánh giá hệ thống quản lý tài nguyên và truy cập internet KTXNN .................45 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ....................................................................49 TÀI LIỆU THAM KHẢO .............................................................................................50
  7. DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT DHCP Dynamic Host Configuration Protocol LDAP Lightweight Directory Access Protocol RADIUS Remote Authentication Dial-In User Service AAA Authentication, Authorization, Access Control NAC Network Admission Control NAP Network Access Protection TNC The Trusted Network Connect HA High Availability PVS Posture Validation Server ĐHQGHN Đại Học Quốc Gia Hà Nôi KTXNN Ký Túc Xá Đại học Ngoại Ngữ - Đại học Quốc gia Hà Nội ĐHNN Đại Học Ngoại Ngữ i
  8. DANH MỤC HÌNH Hình 1.1: Mô hình kết nối giữa client/server ..................................................................5 Hình 1.2: Thao tác tìm kiếm cơ bản ................................................................................6 Hình 1.3: Những thông điệp Client gửi cho server .........................................................6 Hình 1.4: Nhiều kết quả tìm kiếm được trả về ................................................................6 Hình 1.5: Tường lửa làm nhiệm vụ bảo vệ ....................................................................10 Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [9]) .............................................12 Hình 1.7: Mô hình xác thực sử dụng Captive Portal .....................................................13 Hình 1.8: Mô hình sử dụng PFSense .............................................................................14 Hình 2.1: Mô hình hệ thống mạng KTXNN .................................................................20 Hình 2.2: Mô hình hệ thống mạng KTXNN – PFSense ................................................22 Hình 2.3: Thông tin hệ thống Server PFSense ..............................................................23 Hình 2.4: Mô hình hệ thống mạng chia Vlan tại KTXNN ............................................24 Hình 2.5: Bật chức năng DHCP server cho VLAN......................................................25 Hình 2.6: Cấu hình cấp dải IP cho VLAN.....................................................................25 Hình 2.7: Rules của VLAN21NHAA ............................................................................26 Hình 2.8: Bảng thiết lập NAT (1:1)...............................................................................27 Hình 3.1: Cấu hình DHCP cho VLAN21NHAA ..........................................................29 Hình 3.2: Cấu hình DHCP cho VLAN31NHAB ..........................................................30 Hình 3.3: Cấu hình DHCP cho VLAN12 ......................................................................31 Hình 3.4: Cấu hình DHCP cho VLANWIFI16 .............................................................32 Hình 3.5: Kích hoạt DNS Forwarder .............................................................................33 Hình 3.6: kích hoạt captive portal cho các interface .....................................................33 Hình 3.7: Thiết lập Radius server trên Captive portal ...................................................34 Hình 3.8: Thiết lập IP qua Captive Portal .....................................................................34 Hình 3.9: Bảng thiết lập những Ip được đi qua Captive Portal .....................................35 Hình 3.10: Thiết lập kết nối LDAP cho FreeRADIUS .................................................36 Hình 3.11: Bảng Rules của Interface WANVNU112 ...................................................37 Hình 3.12: Giới hạn băng thông ....................................................................................37 Hình 3.13: Thiết lập các hàng cho các interface ...........................................................38 ii
  9. Hình 3.14: Thiết lập các hàng cho các interface ...........................................................38 Hình 3.15: Bảng Vlan của hệ thống ..............................................................................39 Hình 3.16: Chỉnh sửa 1 Vlan .........................................................................................39 Hình 3.17: Bảng các interface của hệ thống ..................................................................40 Hình 3.18: Interface VLAN21NHAA ...........................................................................41 Hình 3.19: Interface WANVNU112..............................................................................42 Hình 3.20: Interface WAN_SPT ...................................................................................43 Hình 3.21: Bảng routing ................................................................................................ 44 Hình 3.22: Cấu hình WAN_SPT gateway.....................................................................44 Hình 3.23: Default Gateway của hệ thống ....................................................................45 Hình 3.24: Băng thông đi qua interface WANVNU112 ...............................................46 Hình 3.25: Thông tin hệ thống ......................................................................................47 Hình 3.26: Bảng trạng thái các queue đang áp dụng tại các interface ..........................48 DANH MỤC BẢNG Bảng 1.1: So sánh 2 giải pháp quản lý tài nguyên và truy cập internet ........................17 iii
  10. MỞ ĐẦU Chúng ta đang sống trong thời đại mới, thời đại phát triển rực rỡ của công nghệ thông tin. Công nghệ thông tin đã ở một bước phát triển cao đó là số hóa tất cả các dữ liệu thông tin, luân chuyển mạnh mẽ và kết nối tất cả chúng ta lại với nhau. Mọi loại thông tin, số liệu âm thanh, hình ảnh có thể được đưa về dạng kỹ thuật số để bất kỳ máy tính nào cũng có thể lưu trữ và chuyển tiếp cho nhiều người. Từ dữ liệu được số hóa sẽ trở thành những tài nguyên được chia sẻ chung trong hệ thống mạng cũng như internet. Chính vì vậy quản lý tài nguyên và truy cập internet của người sử dụng là một bài toán tổng quan và phổ biến hiện nay. Quản lý tài nguyên và truy cập internet của người sử dụng cần đáp ứng được các nhu cầu quản lý khác nhau của các đơn vị, tổ chức hoặc các doanh nghiệp mà chọn các giải pháp khác nhau. Quản lý tài nguyên và truy cập internet của người sử dụng nhằm một mục đích là làm cho việc sử dụng tài nguyên và truy cập internet hiệu quả hơn và trong sáng hơn. Rõ ràng là như vậy khi bạn không muốn người sử dụng truy cập internet và tài nguyên không lành mạnh thì cần quản lý được nội dung truy cập của người sử dụng. Và như vậy sẽ tăng hiệu năng làm việc cũng như khả năng học tập của người sử dụng. Quản lý tài nguyên và truy cập internet cũng là phải quản lý được lưu lượng sử dụng cũng như dung lượng sử dụng của người sử dụng, tránh làm ảnh hưởng đến chất lượng của hệ thống cũng như việc sử dụng của các cá nhân khác. Quản lý tài nguyên và truy cập internet của người sử dụng cũng là việc làm sao phải bảo đảm an toàn và bảo mật thông tin của người sử dụng khi hoạt động trong hệ thống. Quản lý tài nguyên và truy cập internet của người sử dụng cũng là quản lý số người truy cập tài nguyên và internet. Muốn quản lý tài nguyên và truy cập internet của người sử dụng cần phải xây dựng một hệ thống quản lý tài nguyên và truy cập internet. Với nhiều kỹ thuật mới như hiện nay thì có rất nhiều giải pháp được đưa ra để quản lý tài nguyên và truy cập internet của người sử dụng. Khiến cho bài toán quản lý tài nguyên và truy cập internet càng trở nên thiết thực, phong phú hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến các giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted Network Connect) [12]. Nhưng để đáp ứng những nhu cầu mạnh mẽ và với chi phí thấp thì sử dụng hệ thống tích hợp mã nguồn mở PFSense [5][6], một hệ thống rất thiết thực với bài toán quản lý tài nguyên và truy cập internet vì nó cung cấp các dịch vụ độc lập, phong phú, cho phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập người dùng đa dạng, tập trung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với người sử dụng đầu cuối và quan trọng là hệ thống phần mềm hoàn toàn miễn phí và phí triển khai thấp. 1
  11. Từ đó ta có mục tiêu được đặt ra là Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá Đại học Quốc gia Hà Nội bằng hệ thống mã nguồn mở PFSense.  Nội dung và phương pháp nghiên cứu Để đạt được mục tiêu đã đề ra, trước tiên tôi tìm hiểu các ứng dụng dịch vụ cơ bản cần có trong quản lý tài nguyên và truy cập internet như DHCP, LDAP, RADIUS, SQUID PROXY, CAPTIVE PORTAL, FIREWALL, LOAD BALANCER. Tiếp theo tôi tiến hành nghiên cứu thêm về một số giải pháp quản lý tài nguyên và truy cập internet hiện nay. Trong đó tôi tìm hiểu kỹ hơn về giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense. Sau khi nghiên cứu kỹ lý thuyết và tham khảo một vài giải pháp tôi tiến hành Xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xa của Đại học Quốc gia Hà Nội. Cuối cùng tôi đánh giá hiệu quả của hệ thống và đề xuất các hướng nghiên cứu tiếp theo.  Phạm vi nghiên cứu Luận văn chỉ nghiên cứu về các cơ chế kết hợp, liên thông của các giao thức, dịch vụ, ứng dụng để đưa ra được hệ thống triển khai hoàn chỉnh. Tác giả chỉ sử dụng các công cụ nghiên cứu có sẵn chứ không cải tiến các nghiên cứu, thuật toán trong các lĩnh vực, công cụ này.  Kết quả đạt được Với mục tiêu đề ra, tôi đã đạt được một số kết quả như sau: Trình bày một số lý thuyết về các dịch vụ, ứng dụng mạng cơ bản cũng như một số giải pháp về quản lý tài nguyên và truy cập internet. Tìm hiểu kỹ hơn về giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense. Từ đó thấy được giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense là phù hợp với yêu cầu xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá của Đại học Quốc gia Hà Nội. Trình bày việc xây dựng hệ thống quản lý tài nguyên và truy cập internet cho các ký túc xá Đại học Quốc gia Hà Nội mà lấy điển hình là ký túc xá Đại học Ngoại Ngữ - Đại học Quốc gia Hà Nội. Cuối cùng trình bày được những cấu hình thực nghiệm của hệ thống quản lý tài nguyên và truy cập internet của ký túc xá Đại học Ngoại Ngữ, đưa ra được các đánh gia vá hướng đi tiếp theo. 2
  12. Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp Quản lý tài nguyên và truy cập internet là một bài toán tổng quát và phổ biến hiện nay. Tùy theo nhu cầu khác nhau của các tổ chức, doanh nghiệp mà họ lựa chọn các giải pháp khác nhau nhằm đáp ứng các yêu cầu quản lý gồm: Triển khai, thiết lập chính sách bảo mật và khắc phục sự cố. Lập kế hoạch và chọn giải pháp phù hợp cho việc hợp lý hóa băng thông. Phân đoạn mạng nhằm mục tiêu hợp lý hóa băng thông, giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng. Quản trị mạng trong một hệ thống tập trung, vân vân. Cùng với đó việc các công nghệ xác thực, bảo mật khác nhau ra đời khiến cho bài toán “Quản lý tài nguyên và truy cập internet” càng trở nên thiết thực, phong phú hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến các giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted Network Connect) [12], vân vân. Nội dung chương này đề cập đến một số giải pháp phổ biến hiện nay, các dịch vụ và ứng dụng mạng cơ bản cần có trong quản lý tài nguyên và truy cập internet. 1.1. Các ứng dụng dịch vụ mạng 1.1.1. DHCP DHCP (dynamic host configuration protocol): Giao thức cấu hình địa chỉ động được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho người sử dụng khi họ vào mạng. Dịch vụ DHCP là một thuận lợi rất lớn đối với người điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công. Nói một cách tổng quan hơn DHCP là dịch vụ mang đến cho chúng ta nhiều lợi điểm trong công tác quản trị và duy trì một mạng TCP/IP như: + Tập trung quản trị thông tin về cấu hình IP. + Cấu hình động các máy. + Cấu hình IP cho các máy một cách liền mạch + Sự linh hoạt + Khả năng mở rộng Chức năng: – Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng và các tài nguyên của nó. Không có DHCP, cấu hình IP phải được thực hiện một cách thủ công cho các máy tính mới, các máy tính di chuyển từ mạng con này sang mạng con khác, và các máy tính được loại bỏ khỏi mạng. – Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự động và tập trung. DHCP server bảo quản vùng của các địa chỉ IP và giải phóng một địa chỉ với bất cứ DHCP client có thể khi nó có thể ghi lên mạng. Bởi vì các địa chỉ IP là động 3
  13. hơn tĩnh, các địa chỉ không còn được trả lại một cách tự động trong sử dụng đối với các vùng cấp phát lại. Các thuật ngữ trong DHCP: – DHCP Server: máy quản lý việc cấu hình và cấp phát địa chỉ IP cho Client – DHCP Client: máy trạm nhận thông tin cấu hình IP từ DHCP Server – Scope: phạm vi liên tiếp của các địa chỉ IP có thể cho một mạng. – Exclusion Scope: là dải địa chỉ nằm trong Scope không được cấp phát động cho Clients. – Reservation: Địa chỉ đặt trước dành riêng cho máy tính hoặc thiết bị chạy các dịch vụ (tùy chọn này thường được thiết lập để cấp phát địa chỉ cho các Server, Printer,…..) – Scope Options: các thông số được cấu hình thêm khi cấp phát IP động cho Client như DNS Server(006), Router(003). Phương thức hoạt động của dịch vụ DHCP Dịch vụ DHCP hoạt động theo mô hình Client / Server. Theo đó quá trình tương tác giữa DHCP client và server sẽ diễn ra theo các bước sau. Bước 1: Khi máy Client khởi động, máy sẽ gửi broadcast gói tin DHCP DISCOVER, yêu cầu một Server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của client. Nếu client không liên lạc được với DHCP Server thì sau 4 lần truy vấn không thành công nó sẽ tự động phát sinh ra 1 địa chỉ IP riêng cho chính mình nằm trong dãy 169.254.0.0 đến 169.254.255.255 dùng để liên lạc tạm thời. Và client vẫn duy trì việc phát tín hiệu Broadcast sau mỗi 5 phút để xin cấp IP từ DHCP Server. Bước 2: Các máy Server trên mạng khi nhận được yêu cầu đó. Nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client một gói tin DHCP OFFER, đề nghị cho thuê một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo là một Subnet Mask và địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho client thuê trống suốt thời gian thương thuyết. Bước 3: Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCP OFFER) và gửi broadcast lại gói tin DHCP REQUEST và chấp nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng để cấp phát cho các Client khác. Bước 4: Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCP ACK như một lời xác nhận, cho biết địa chỉ IP đó, Subnet Mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra server còn gửi kèm những thông tin bổ sung như địa chỉ Gateway mặc định, địa chỉ DNS Server… 1.1.2. LDAP LDAP (Lightweight Directory Access Protocol) – là giao thức truy cập nhanh các dịch vụ thư mục - là một chuẩn mở rộng cho nghi thức truy cập thư mục. LDAP là một giao thức tìm, truy nhập các thông tin dạng thư mục trên server. Nó dùng giao thức dạng Client/Server để truy cập dịch vụ thư mục. LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác. Ngoài ra, LDAP được tạo ra đặc biệt cho hành động "đọc". Bởi thế, xác thực người 4
  14. dùng bằng phương tiện "lookup" LDAP nhanh, hiệu suất, ít tốn tài nguyên, đơn giản hơn là query 1 user account trên CSDL Có các LDAP Server như: OpenLDAP, OPENDS, Active Directory, … Phương thức hoạt động của LDAP Ldap dùng giao thức giao tiếp client/server Giao thức giao tiếp client/server là một mô hình giao thức giữa một chương trình client chạy trên một máy tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang chạy một chương trình server (phục vụ). Chương trình server này nhận lấy yêu cầu và thực hiện sau đó nó trả lại kết quả cho chương trình client. Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máy tính đã được tối ưu hóa để thực hiện công việc đó. Một máy server LDAP cần có rất nhiều RAM (bộ nhớ) dùng để lưu trữ nội dung các thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ vi xử lý ở tốc độ cao. Đây là một tiến trình hoạt động trao đổi LDAP client/server: Hình 1.1: Mô hình kết nối giữa client/server Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác bind. Thao tác bind bao gồm tên của một directory entry, và ủy nhiệm thư sẽ được sử dụng trong quá trình xác thực, ủy nhiệm thư thông thường là password nhưng cũng có thể là chứng chỉ điện tử dùng để xác thực client. Sau khi thư mục có được sự xác định của thao tác bind, kết quả của thao tác bind được trả về cho client. Client phát ra các yêu cầu tìm kiếm. Server thực hiện xử lý và trả về kết quả cho client. Server gởi thông điệp kết thúc việc tìm kiếm. Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn hủy bỏ kết nối. Server đóng kết nối. LDAP là một giao thức hướng thông điệp 5
  15. Do client và server giao tiếp thông qua các thông điệp, client tạo một thông điệp (LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận được thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP. Ví dụ: Khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong một thông điệp LDAP Hình 1.2: Thao tác tìm kiếm cơ bản Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết quả này được gởi đến client bằng nhiều thông điệp. Hình 1.3: Những thông điệp Client gửi cho server Do nghi thức LDAP là giao thức hướng thông điệp nên client được phép phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc. Trong LDAP, message ID dùng để phân biệt các yêu cầu của client và kết quả trả về của server. Hình 1.4: Nhiều kết quả tìm kiếm được trả về Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP linh động hơn các nghi thức khác. 6
  16. Ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file, LDAP thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối. 1.1.3. RADIUS RADIUS là giao thức Remote Authentication Dial-In User Service được định nghĩa trong RFC 2865. Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet. Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Serve, thông thường nó là một AAA Server (AAA - Authentication, Authorization, và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi đó có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NAS. Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator. Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như, NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không. Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ liệu. Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin Access-Request quyết định quá trình truy cập của user đó được chấp nhận. Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access – Challenge mang một số ngẫu nhiên. NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP). Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hóa password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request. Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept. Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối vớ user. Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi một gói tin ReRADIUS Accounting-Request (Start) tới máy chủ AAA. Máy chủ sẽ thêm các thông tin và file Log của nó, với việc NAS sẽ cho phép làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accounting làm nhiệm vụ ghi 7
  17. lại quá xác thực của user và hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting-Request (Stop). RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và kiểm soát truy cập cho mạng. Ban đầu được phát triển cho thiết lập kết nối từ xa. RADIUS bây giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạng khác. RADIUS được mô ta trong RFC 2865, “Remote Authentication Dial-in User Service” (RADIUS), (IETF Draft Standard) and RFC 2866, “RADIUS Accounting” (Informational). 1.1.4. DNS Forwarder DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS thay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ những tác vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder. Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp yêu cầu trong khi tương tác với những máy chủ DNS trên Internet. Đây là chức năng đặc biệt quan trọng vì khi đó máy chủ DNS chứa tài nguyên bên trong miền DNS. Thay vì cho phép những máy chủ DNS nội bộ tự thực hiện gọi lại lệnh và liên lạc với những máy chủ DNS khác, nó cấu hình cho máy chủ DNS nội bộ sử dụng một Forwader cho tất cả các miền không được phân quyền. 1.1.5. Squid proxy Squid proxy là một là một giải pháp proxy phần mềm mã nguồn mở tự do được sử dụng nhiều nhất trong giải pháp Proxy của cộng đồng mạng. Squid proxy làm nhiệm vụ chuyển tiếp các yêu cầu từ phía client và đồng thời đóng vai trò kiểm soát tạo sự an toàn cho việc truy cập Internet của các client. Chức năng Squid proxy Squid xác định những yêu cầu từ client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, nó sẽ kết nối với server thật thay cho client và tiếp tục chuyển tiếp đến những yêu cầu từ client đến server, cũng như đáp ứng những yêu cầu của server đến client. Vì vậy squid proxy giống cầu nối trung gian giữa server và client. Bên cạnh việc chuyển tiếp các yêu cầu từ phía client, nó cũng sẽ đồng thời lưu lại trên đĩa những dữ liệu được trả về từ Internet Server – gọi là caching (thường là nội dung các trang Web, các tập tin…). Nếu trong thời gian hiệu lực mà một hay nhiều client cùng yêu cầu một nội dung thì squid proxy sẽ ngay lập tức đáp ứng lại những yêu cầu từ phía client. Lợi ích của Squid proxy Hiệu năng rất cao khi tối ưu cấu hình Squid và chạy trên nền Linux Khả năng cân bằng tải nhiều máy chủ chạy Squid. Hỗ trợ khả năng xác thực người dùng theo nhiều CSDL khác nhau: LDAP, MySQL, PostgreSQL. Không mất chi phí bản quyền vì là phần mềm mã nguồn mở tự do. 8
  18. Được dùng nhiều trong các doanh nghiệp lớn, các trường đại học lớn ở trong và ngoài nước (các trường đại học có tới trên 50 ngàn sinh viên). Quản lý các chính sách QoS rất tốt (giới hạn download phim/ảnh theo giờ, hạn chế băng thông từng địa chỉ IP, giới hạn số phiên kết nối đồng thời …) Hỗ trợ rất tốt cho các dịch vụ đa phương tiện (video, audio) Khả năng Caching thông tin rất tốt. Có thể thiết lập và tích hợp các máy chủ Squid Proxy ở các chi nhánh công ty khác nhau qua mạng WAN. Cho phép thoải mái tùy biến và có khả năng tích hợp với các phần mềm hỗ trợ khác. Bảo mật bằng ứng dụng Iptables miễn phí tích hợp sẵn trên Linux nên rất gọn nhẹ, đối với các đơn vị không có khả năng tài chính thì không cần mua thêm firewall cứng hoặc firewall mềm. 1.1.6. Captive portal Chúng ta sẽ tìm hiểu khái niệm Captive Portal thông qua cách thức hoạt động của chúng. Công nghệ Captive Portal sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì trước tiên phải sử dụng trình duyệt để được chuyển tới một trang đặc biệt (thường dùng cho mục đích xác thực). Captive Portal sẽ chuyển hướng trình duyệt tới thiết bị xác thực an ninh. Điều này được thực hiện bằng cách bắt tất cả các gói tin, kể cả địa chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy cập Internet. Tại thời điểm đó, trình duyệt sẽ được chuyển hướng tới trang web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo về các quy định mà người dùng sẽ phải tuân theo và yêu cầu người dùng phải chấp nhận các quy định đó trước khi truy cập Internet. Captive Portal thường được triển khai ở hầu hết các điểm truy nhập WiFi và nó cũng có thể được dùng để điều khiển mạng có dây. Do trang web đăng nhập phải truy cập được từ trình duyệt của máy khách, do đó trang web này cần phải đặt ngay trên gateway hoặc trên một web server nằm trong “danh sách trắng” nghĩa là có thể truy cập mà không cần quá trình xác thực. Ngoài việc có danh sách trắng của các địa chỉ URL, một vài loại gateway còn có danh sách trắng đối với một vài cổng TCP. 1.1.7. Firewall Firewall là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng. Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển, cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng 9
  19. Hình 1.5: Tường lửa làm nhiệm vụ bảo vệ Cấu trúc của FireWall FireWall bao gồm: Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting). Các thành phần của FireWall Một FireWall bao gồm một hay nhiều thành phần sau: + Bộ lọc packet (packet- filtering router). + Cổng ứng dụng (Application-level gateway hay proxy server). + Cổng mạch (Circuit level gateway). FireWall bảo vệ cái gì? Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau: + Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu sau: - Bảo mật. - Tính toàn vẹn. - Tính kịp thời. + Tài nguyên hệ thống. + Danh tiếng của các đơn vị, doanh nghiệp sở hữu các thông tin cần bảo vệ. FireWall bảo vệ chống lại cái gì? FireWall bảo vệ chống lại những sự tấn công từ bên ngoài. + Tấn công trực tiếp: Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu của bạn. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack. 10
  20. Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống). + Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyển qua mạng thông qua các chương trình cho phép đưa vào giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng. + Giả mạo địa chỉ IP. + Vô hiệu hóa các chức năng của hệ thống (deny service). Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. + Lỗi người quản trị hệ thống. + Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker. 1.1.8. Load Balancer Load Balancer là một phương pháp phân phối khối lượng tải trên nhiều máy tính hoặc một cụm máy tính để có thể sử dụng tối ưu các nguồn lực, tối đa hóa thông lượng, giảm thời gian đáp ứng và tránh tình trạng quá tải trên máy chủ. Các lợi ích khi sử dụng phương pháp cân bằng tải: Tăng khả năng đáp ứng, tránh tình trạng quá tải trên máy chủ, đảm bảo tính linh hoạt và mở rộng cho hệ thống. Tăng độ tin cậy và khả năng dự phòng cho hệ thống: Sử dụng cân bằng tải giúp tăng tính HA (High Availability) cho hệ thống, đồng thời đảm bảo cho người dùng không bị gián đoạn dịch vụ khi xảy ra lỗi sự cố lỗi tại một điểm cung cấp dịch vụ. Tăng tính bảo mật cho hệ thống: Thông thường khi người dùng gửi yêu cầu dịch vụ đến hệ thống, yêu cầu đó sẽ được xử lý trên bộ cân bằng tải, sau đó thành phần cân bằng tải mới chuyển tiếp các yêu cầu cho các máy chủ bên trong. Quá trình trả lời cho khách hàng cũng thông qua thành phần cân bằng tải, vì vậy mà người dùng không thể biết được chính xác các máy chủ bên trong cũng như phương pháp phân tải được sử dụng. Bằng cách này có thể ngăn chặn người dùng giao tiếp trực tiếp với các máy chủ, ẩn các thông tin và cấu trúc mạng nội bộ, ngăn ngừa các cuộc tấn công trên mạng hoặc các dịch vụ không liên quan đang hoạt động trên các cổng khác. 1.2. Một số giải pháp quản lý tài nguyên và truy cập internet 1.2.1. Giới thiệu các giải pháp 1.2.1.1. Giải pháp quản lý tài nguyên và truy cập internet phân tán Giải pháp quản lý cấp phát địa chỉ phân tán được ứng dụng phổ biến trong các mạng cỡ nhỏ, việc triển khai tương đối dễ dàng, ít được xây dựng cho các mạng cỡ vừa và lớn, đòi hỏi chia tách thành nhiều mạng con và những yêu cầu về bảo mật, quản lý băng thông, quản lý truy cập tài nguyên, định tuyến, vân vân… Một số đặc điểm của chúng như: 11
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2