Đề tài Giải pháp kết nối mạng isp vào mạch trục internet Việt Nam

cấu này tạo ra đường truyền song công đồng bộ. Các modem AirLink có thể được dùng để nối rất nhiều thiết bị với nhau bằng sóng điện từ (ví dụ: nối máy tính với máy in...) hoặc làm cầu nối giữa các mạng cục bộ (trong một toà nhà hoặc giữa các toà nhà với nhau...) - Kết nối điểm-tới-nhiều điểm: Với mô hình liên kết này, một trạm chủ có thể được nối với 2 hoặc nhiều thiết bị đầu cuối (terminal) khác nhau. Các đầu cuối này được điều khiển bởi trạm chủ bằng thủ tục hỏi vòng (polling) mà trong trường hơpj này là tiến trình đánh địa chỉ các đầu cuối bởi một phần mềm chạy trên trạm chủ. Thực chất đây là tập hợp của nhiều liên kết điểm-tới-điểm giữa trạm chủ và từng đầu cuối với đường truyền song công đồng bộ. Xung đồng bộ được máy chủ phát đi và tất cả các máy tớ đều điều chỉnh nhịp đồng bộ theo xung này. Slave Terminal Host Master Slave Slave Terminal Terminal Hình 3.6 - Kết nối điểm – tới – nhiều điểm. - Chế độ lặp lại tín hiệu (repeater) Khi khoảng cách yêu cầu kết nối trở nên quá lớn hoặc trên đường truyền có các chướng ngại vật lớn, thì có một giải pháp là cấu hình cho modem chạy ở chế độ lặp lại tín hiệu. Ví dụ, một liên kết điểm-tới-điểm có thể được tiếp sức ở giữa quãng đường bằng cách nối máy tớ với một máy chủ chạy ở chế độ lặp lại tín hiệu và sử dụng kênh RF khác (hình 4.6). Số lượng các trạm lặp phụ thuộc vào số lượng kênh sóng cho phép, các anten và địa hình. Để thực hiện kết nối này ta phải thiết lập một vùng lặp (repeater site). Trong vùng lặp có 2 modem, 1 chủ và 1 tớ hoạt động ở 2 kênh sóng RF khác nhau. Dữ liệu được truyền giữa 2 modem này qua một sợi cáp xoắn. Mặc dù modem có thể hoạt động được cả ở 2 chế độ đồng bộ và không đồng bộ nhưng trong vùng lặp thì tín hiệu bắt buộc phải là đồng bộ. Thiết bị định tuyến (router): Trong hệ thống chuyển mạch gói routing là cụm từ chỉ việc chọn đường gửi các gói dữ liệu qua mạng, trạm định tuyến (router) - hay thiết bị định tuyến - là các trạm đặc biệt thực hiện chức năng này. Một Router có thể là một thiết bị cứng chuyên dụng hoặc có thể là một phần mềm chạy trên một máy PC (chạy hệ điều hành UNIX, MS-DOS, WINDOWS, MACINTOS...). Các gói dữ liệu lưu chuyển trong một liên mạng (INTERNET - mạng của các mạng), đi từ Router này đến Router khác cho tới khi chúng đến được đích. Router phải tiến hành tác vụ định tuyến cho mỗi gói nó nhận được, nó phải quyết định xem bằng cách nào có thể đưa gói đến đích. Thông thường các gói không hề chứa đựng bất kỳ một thông tin nào giúp cho Router ngoại trừ địa chỉ IP của đích, nó chỉ cho biết nơi nó muốn đến chứ không phải bằng cách nào. Router thông tin với nhau bằng cách sử dụng các “giao thức định tuyến” như RIP và OSPF để xây dựng các bảng định tuyến trong bộ nhớ và tìm đường để đưa gói đến đích. Trong một mạng lớn có rất nhiều các kết nối vật lý giữa các chuyển mạch gói, một mạng có thể tự nó có khả năng điều khiển một gói dữ liệu từ lúc nó được gửi đi cho đến khi nó được nhận. Những thuật toán chọn đường ở trong một mạng thì chỉ có tác dụng ở chính bên trong mạng, các máy ở ngoài không thể can thiệp vào các quyết định này. Các mạng ở ngoài chỉ có thể coi mạng này như một thực thể phân phát gói dữ liệu. Bộ giao thức TCP/IP cung cấp cho ta một mạng ảo cùng với dịch vụ cung cấp gói phân phát gói dữ liệu IP truyền qua mạng. Chọn đường cho các gói dữ liệu trong mạng INTERNET là một công việc khó khăn, đặc biệt là giữa các máy tính có nhiều mối liên kết ra ngoài. Mỗi khi gói dữ liệu được truyền đến, router xác định các thông tin về tình trạng của các kết nối với bên ngoài, cập nhập lại bảng chọn đường, đồng thời cũng xác định chiều dài các gói dữ liệu (datagram length), loại dịch vụ (type of service)... được xác định ở trong header của gói dữ liệu trước khi lựa chọn con đường tốt nhất. Khi định tuyến cho một gói, Router so sánh địa chỉ của gói với các chỉ mục (entry) trong bảng định tuyến và gửi gói dữ liệu đi theo hướng được chỉ ra bởi bảng định tuyến. Trên thực tế thường không có một tuyến xác định cho từng đích cụ thể và Router sẽ sử dụng tuyến mặc định, nói chung là các tuyến này thường chỉ đến một Router khác có kết nối mạng rộng rãi hơn (đa số các mạng cục bộ có tuyến mặc định chỉ ra INTERNET) Là một thiết bị không thể thiếu được trong kỹ thuật kết nối hệ thống Intranet/Internet và với mức độ phức tạp trong hoạt động nhằm đảm bảo cho quá trình truyền dữ liệu được an toàn thông suốt nên việc cài đặt và xây dựng cấu hình cho thiết bị định tuyến trở thành hết sức quan trọng. Công việc này đòi hỏi một quá trình nghiên cứu, thử nghiệm kỹ lưỡng để đạt được hiệu quả tối đa. Chương iv Xây dựng internet firewall Khái niệm về hệ thống mạng INTERNET ngày nay đã trở nên quá quen thuộc đối với mọi người đến mức các sách báo thông thường (không phải chuyên môn, kỹ thuật) khi đề cập đến INTERNET không còn cần phải đưa thêm các lời chú giả kèm theo. Trong khi các ấn bản phổ thông thường xuyên đưa tin xoay quanh chủ đề INTERNET thì các ấn bản kỹ thuật lại chuyển sang một đề tài mời, đó là vấn đề an ninh trên mạng. Xa lộ thông tin INTERNET là một tiến bộ phi thường của kỹ thuật hiện đại, nó cung cấp cho con người khả năng truy nhập thông tin một cách nhanh chóng, tiện lợi và khả năng quảng bá thông tin đến mọi nơi trên tế giới trong khoảng thời gian ngắn nhất. Tuy nhiên như người ta thường nói INTERNET giống như một xã hội thu nhỏ có đủ mặt tốt và những mặt xấu. Chúng ta không thể không đề cập đến mặt trái của INTERNET, đó là hiểm hoạ đáng sợ của việc đánh cắp và phá huỷ thông tin cũng như việc tuyên truyền, phổ biến những tin tức độc hại, sai lệch. Do đó, việc bảo vệ các thông tin mật trên mạng, cũng như chống người lạ thâm nhập vào trong hệ thống để lấy cắp thông tin trở thành một vấn đề cấp thiết thúc đẩy các nhà khoa học thiết kế các hệ thống an ninh cho mạng máy tính. Để thực hiện việc đảm bảo vấn đề an ninh trên mạng, từ trước đến nay đã có nhiều phương pháp khác nhau, chẳng hạn như việc sử dụng mật khẩu (password), phân quyền người dùng, cấm sửa đổi các file hệ thống... Trong đó hiện nay phương pháp phân quyền và điều khiển thâm nhập được dùng làm giải pháp chủ yếu. Để tăng cường an ninh trên mạng, nhất là khi phát triển các mô hình mạng Intranet với đầy đủ các dịch vụ như WWW (World Wide Web), tra cứu cơ sở dữ liệu, truy cập từ xa và khi nối vào INTERNET thì những biện pháp nêu trên là chưa đủ mà chúng ta còn cần đến các công nghệ mới như là cổng kiểm soát (guarded gate), hay còn được gọi là Firewall. Cổng chắn này thường được đặt giữa mạng cục bộ Intranet với thế giới INTERNET rộng lớn bên ngoài. Tất cả các biện pháp trên thuộc lĩnh vực quản trị mạng, một lĩnh vực khá mới mẻ đối với Việt Nam. i. khái niệm về internet firewall. Firewall theo ý nghĩa thông thường thì nó là một bức tường chống không cho lửa đi qua để bảo vệ không cho lửa lan tràn từ phần này sang phần khác. Các nhà quản lý hệ thống máy tính đã áp dụng cách thức này để bảo vệ hệ thống máy tính của họ. Mục đích của Firewall là tạo nên một lớp vỏ bọc bao quanh một mạng để bảo vệ các máy ở bên trong mạng tránh các mối đe dọa khác nhau ở bên ngoài. Cơ chế làm việc của Firewall là dựa trên việc kiểm tra các gói dữ liệu của IP lưu chuyển giữa Server và Client. Các mối đe doạ mà Firewall có thể chống lại bao gồm: - Chống lại các cuộc thâm nhập từ xa đến các Server nguồn khi không được cho phép. - Từ chối các dịch vụ bỏ bom logic vào một mạng (chẳng hạn như khi có một trạm ở bên ngoài mạng gởi hàng ngàn bức thư vào trong một mail server ở trong một mạng với âm mưu làm rối loạn hệ thống). - Không cho phép thâm nhập ra ngoài khi cần thiết. - Chống lại sự giả danh (các thư điện tử bắt nguồn từ một trạm bên ngoài có thể gây nên sự lúng túng cho người khác). Một phương án đơn giản nhất để chống lại các vấn đề này là không nối mạng của mình với bất kỳ một mạng nào khác. Tuy nhiên đây hoàn toàn không phải là một phương pháp hay bởi mục đích chính của chúng ta hiện nay là hoà mạng toàn cầu. Thay vào đó, hiện nay người ta thường dùng một kiểu Firewall điển hình như hình vẽ sau: Trong cấu hình này, mạng được bảo vệ được phân cách với bên ngoài bởi một Firewall Gateway. Một Gateway thường được dùng để thực hiện việc duy trì các dịch vụ giữa hai mạng với nhau. Trong trường hợp là một Fireway Gateway thì nó còn cung cấp 1 dịch vụ lọc cho phép giới hạn các thể thức thông tin được cho qua để vào hay ra từ các trạm trong mạng. II. một số kiểu firewall thông dụng Hiện nay ta có thể thực hiện việc đảm vảo an ninh trên mạng ngay bên trong mạng bằng cách xây dựng các công cụ dựa trên một số dịch vụ hiện có trên mạng, tuy nhiên phương pháp này không hiệu quả, nhất là đối với các hệ thống lớn. Để đảm bảo an ninh cho một hệ thống lớn, thông thường ta phải cấu tạo nên hệ thống Firewall để kiểm tra tất cả các dịch vụ có liên quan đến mạng của mình. ở đây em xin trình bày ba kiểu cấu hình thông dụng của Firewall như sau: 1. Packet Filtering Gateway (Cổng lọc gói): Phương pháp cổng lọc gói là một phương pháp đơn giản và rẻ nhất để trang bị một mức độ lọc cơ bản cho một mạng. Các thiết bị bao gồm một Router (thiết bị định tuyến) dùng để nối hai mạng lại với nhau. Thiết bị chọn đường này được dùng cùng với một phần mềm cho qua hay loại bỏ các gói (packet) dựa trên địa chỉ nguồn hay đích của cổng. Hoạt động lọc có thể áp dụng cho các gói vào, các gói ra, hoặc cả hai. Để thực hiện việc lọc các gói thì router cần phải biết rằng các gói nào được chấp nhận và các gói nào bị loại bỏ. Phần thông tin này được lưu giữ trong một file định nghĩa bộ các luật lọc của router. Hệ thống các luật lọc này thường bao gồm các thông tin về nguồn và đích để cho phép lọc các gói gửi đến hay gửi đi. Đôi khi để giải quyết vấn đề tốc độ, việc lọc chỉ xảy ra đối với các gói vào hay các gói ra chứ không cả hai. Điều này liên quan mật thiết đến tốc độ của bản thân Router và phải được tính toán kỹ lưỡng, làm sao cho cổng lọc gói này không trở thành cái nút cổ chai cho toàn bộ hệ thống mạng. Kết nối INTERNET trên thực tế thường có tốc độ trung bình cỡ 56 - Kb/s hoặc 1.544 - Mb/s (đường T1). Lọc gói là một tác vụ liên quan đến các gói, do đó các gói càng nhỏ thì càng có nhiều gói đi qua trong 1 giây và do đó hệ thống lọc càng phải tính toán, xử lý nhiều hơn. Một gói dữ liệu IP nhỏ nhất - chỉ chứa các header IP và không có dữ liệu khác đi kèm - dài 20 byte (160 bit). Vì vậy, một liên kết ở tốc độ 56 Kb/s có thể truyền được 350 gói một giây và ở tốc độ 1.544 Kb/s là 9650 gói một giây. Bảng tham số dưới đây cho thấy quan hệ giữa tốc độ và số lượng gói truyền trong một giây: Loại kết nối Tốc độ trung bình (bit/s) Số gói/giây (gói 40byte) Số gói/giây (gói 40byte) Modem V.32 bis 14.400 90 45 Đường 56 Kb/s 56.000 350 175 Đường T1 1.544.000 9.650 4.825 Mạng Ethernet (thực tế) 3.000.000 18.750 9.375 Mạng Ethernet (lý thuyết) 10.000.000 62.500 31.250 Đường T3 45.000.000 281.250 140.620 FDDI 100.000.000 625.000 312.500 Trên thực tế, các dịch vụ trên INTERNET thường dựa trên giao thức TCP/IP nên các gói dữ liệu lưu chuyển trong mạng sẽ là loại TCP/IP. Chiều dài tối thiểu của một gói TCP/IP (chỉ chứa phần header IP và header TCP, không có dữ liệu) là 40 byte, và do đó số lượng các gói trong 1 giây sẽ giảm xuống một nửa như trong bảng. Các gói có thêm dư liệu đi kèm sẽ còn dài hơn nữa nên số lượng gói mà bộ lọc phải xử lý sẽ thấp hơn trong bảng. Hiện nay việc thiết kế các Gateway mức cao đều dựa vào việc lọc các gói dữ liệu, và chúng hoạt động khá tốt. Tuy nhiên nó cũng có một số điểm bất tiện như: việc bảo trì cũng như thiết kế một cổng lọc gói đòi hỏi người thiết kết phải hiểu rất rõ về INTERNET, các bộ lọc gói là công cụ rất tiện lợi nhưng chúng không cho phép chúng ta hoàn toàn tuyệt đối tin tưởng vào sự đảm bảo an toàn của chúng. Mặt khác, việc phân mảnh các gói dữ liệu đã gây khó khăn rất nhiều cho việc thiết kế các bộ lọc gói. Ngoại trừ mảnh đầu tiên, các mảnh khác của gói là không chứa số hiệu của cổng đích, do đó phần thông tin dùng để trợ giúp cho việc lọc gói bị hạn chế. Nếu ta chỉ quan tâm đến các mối đe doạ từ bên ngoài thì có thể thiết kế bộ lọc mà không cần quan tâm nhiều đến việc lọc các mảnh. Mảnh đầu tiên có chứa thông tin về số hiệu cổng sẽ được kiểm tra, còn các mảnh khác sẽ được cho qua. Nếu như mảnh đầu tiên bị loại bỏ thì khi các mảnh còn lại đi qua cũng sẽ bị trạm đích loại bỏ. Tuy nhiên khi ta phải quan tâm đến việc lọc các thông tin ra ngoài thì đây là một vấn đề khó khăn bởi nếu không được cho phép thì chỉ có mảnh đầu tiên bị lọc bỏ, các mảnh khác bị rò rỉ ra ngoài và ta không thể đảm bảo được là liệu có một người nào đó ở bên ngoài tiến hành thu thập các mảnh này và xử lý, ghép nối chúng trở lại thành một gói chính xác. 2. Circuit-Level Gateways: Thực chất cổng lọc này chỉ là một mạng chuyển tiếp (relay) cho việc lưu chuyển giữa hai trạm được nối với nhau thông qua mạch kết nối thực tế của mạng. Circuit Gateway thực hiện việc chuyển tiếp ở mức kết nối TCP. Người gọi nối với một port ở trên gateway, và gateway này nối với một số các đích khác ở trên phía khác của gateway. Gateway đơn giản chỉ chuyển luồng dữ liệu từ một port này đến một port khác. Như vậy gateway có vai trò như thiết bị chuyển mạch (do vậy được gọi là Circuit-Level). Trong một số trường hợp, mạch kết nối được thiết lập một cách tự động đối với các chức năng đặc biệt của mạng. Các trường hợp khác gateway sẽ cần phải được nói địa chỉ cổng yêu cầu. Trong trường hợp này, có một giao thức nhỏ giữa người gọi và gateway. Giao thức này mô tả dải các đích và dịch vụ, còn gateway sẽ gởi trả thông tin báo lỗi nếu không được cho phép. Khi gateway được yêu cầu thực hiện cuộc nối, thì sẽ có sự quyết định liệu đây có phải là công việc được cho phép hay không. Nếu được cho phép thì giao thức sẽ kết thúc, mạch nối sẽ được thiết lập và dữ liệu bắt đầu được truyền thực sự. Trong các trường hợp khác, nếu yêu cầu kết nối là không thích hợp thì sự kết nối không được tạo và một thông điệp báo lỗi có thể được báo trở lại. Đây cũng là một dạng của proxy mà đích là tên trạm (hayđịa chỉ IP). Nếu như sự kết nối là thành công, giao thức sẽ kết thúc và các byte thực sự bắt đầu được truyền. Nói chung các dịch vụ chuyển tiếp không kiểm tra các byte khi cho chúng đi qua, các dịch vụ này chỉ ghi lại số lượng byte cho qua và đích TCP. Đây chính là một điểm khác nhau cơ bản giữa curcuit-level gateway với packet-filtering gateway. 3. Application-Level Gateways: Application-Level Gateways, còn được gọi là proxy gateway, thường làm việc ở tại lớp người dùng hơn là tại các lớp giao thức thấp hơn. Khác với packet-filter gateway, gateway loại này được thiết kế với một kỹ thuật kiểm tra hoàn toàn khác. Việc cho phép kiểm tra ở tại mức ứng dụng yêu cầu một sự thiết kết phức tạp hơn. Application gateway có một ưu điểm quan trọng là nó rất dễ dàng thâm nhập và điều khiển tất cả các lưu chuyển cả vào và ra. Sử dụng các gateway ở mức độ này chúng ta được đảm bảo cao hơn về mức độ an toàn. Chẳng hạn chúng ta có thể hạn chế cụ thể đối với từng người dùng cụ thể đối với mỗi dịch vụ, chứ không như kiểu lọc gói chỉ có thể lọc đối với từng địa chỉ trạm chứ không can thiệp đến từng người dùng cụ thể. Để thay thế cho chức năng chọn đường của router, các gateway mức ứng dụng được dùng để định hướng cho một số các dịch vụ cụ thể. Một ví dụ điển hình là việc sử dụng cổng truyền thư (mail gateway). Rõ ràng việc sử dụng cổng này là để hướng các thư điện tử theo các địa chỉ đích của nó. Việc sử dụng các gateway như thế không chỉ có tác dụng trong việc an ninh, bằng cách cách ly mạng bên trong, mà còn có công dụng trong việc trợ giúp cho công việc hàng ngày của dịch vụ này. Tuy nhiên các gateway lọc mức ứng dụng có một hạn chế là nó cần phải có một chương trình đặc biệt để điều khiển cho mỗi ứng dụng, chẳng hạn như đối với ftp cần phải có ftpd..., do đó hầu như chỉ có những dịch vụ đặc biệt quan trọng mới dùng mức độ an ninh này. Có thể nêu ra đây một số công cụ trợ giúp cho việc thiết kết một gateway mức ứng dụng: TCP wrapper TCP wrapper cung cấp phương pháp điều khiển thâm nhập dựa trên địa chỉ IP nguồn. Để sử dụng TCP wrapper ta cần đăng ký các dịch vụ trong file/etc/inetd.conf. Chẳng hạn như một wrapper dùng cho SMTP có thể có mẫu như sau: smtp stream tcp nowait uucp /etc/tcpd /etc/smtpd Trong đó wrapper (/etc/tcpd) kiểm tra file /etc/hosts.allow (hoặc là các file tương ứng như accept, deny) để quyết định liệu có chấp nhận sự kết nối này không. TCP wrapper sẽ quét từ trên xuống dưới cho đến khi tìm thấy dịch vụ tương ứng. Nếu không có dịch vụ nào được tìm thấy thì việc kết nối sẽ bị bãi bỏ. Thông thường việc cho phép hay bãi bỏ này là sử dụng hai file: /etc/hosts.deny và /etc/hosts.allow. TCP wrapper cung cấp việc điều khiển thâm nhập dựa trên địa chỉ IP nguồn, nhưng nó thực sự vẫn không đảm bảo an toàn, điều này là do nhiều lý do, chẳng hạn như: chúng ta chỉ dùng địa chỉ IP dạng số trong bảng hiển thị thâm nhập của chúng ta, chứ không dùng tên trạm. Điều này đã huỷ bỏ tính tin cậy vào tính toàn vẹn (integrity) của tên dịch vụ. Relay: Relay là một công cụ thuận tiện đối với một gateway mức độ ứng dụng. Nó là một chương trình nhỏ cho phép sao chép các byte giữa hai mạng kết nối với nhau. Ví dụ như hãy hình dung rằng chúng ta mong đợi để đề cập đến một máy ở bên ngoài dùng dịch vụ printing của chúng ta: cổng TCP mà nó được hiển thị ở trong /etc/service như là printer. Chúng ta muốn sắp đặt trước bất kỳ một sự kết nối nào vào cổng này vào cùng một cổng trong dịch vụ in của chúng ta ở bên trong. Trong file /etc/inetd.còn ta phải đăng ký như sau: printer stream tcp nowait daemon /etc/relay tcp! pserver!printer Relay sẽ mở một kết nối đến cổng máy in trên pserver, sau đấy copy các byte trực tiếp cả hai bên cho đến khi sự kết nối kết thúc. Các dịch vụ uỷ quyền: Để kiểm tra tất cả các thông tin đi ra, ta có thể xây dựng một proxy curcuit-level như sau: - ở trên INSIDE ta dùng cổng 402 đối với dịch vụ proxy. Ta phải thêm cổng 402 vào trong file /etc/services và thêm vào trong file /etc/inetd.conf như sau: proxy stream tcp nowait daemon /etc/relay relay tcp!outside!proxy - Cho phép kết nối ra ngoài qua router: Operation Source Port Destination Port allow INSIDE >1023 OUTSIDE 402 allow OUTSIDE 402 INSIDE >1023 - Thêm các dịch vụ vào OUTSIDE: proxy stream tcp nowait daemon /etc/tcpd /etc/proxy Thêm cổng 402 vào file/etc/services của OUTSIDE 4. Nhận xét Qua phần trình bày ở trên, ta có thể rút ra nhận xét sơ bộ như sau: Trong ba loại cổng lọc trên, loại lọc gói rẻ và thuận tiện trong việc thiết kế nhưng lại không can thiệp sâu được đến dữ liệu ở các lớp giao thức bên trên. Loại cổng lọc mức ứng dụng cho phép lọc với độ tin tưởng cao, có thể cho phép can thiệp đến mức người dùng và đến các dịch vụ, nhưng việc cấu hình loại cổng lọc này đòi hỏi phải có một chương trình riêng cho mỗi dịch vụ và trở nên cồng kềnh đối với hệ thống lớn. Loại cổng lọc Curcuit-Level không lọc được với mức người dùng, tuy nhiên nó cho phép lọc theo các dịch vụ. iii. xây dựng một cổng lọc gói: Lọc gói là một cơ cấu an ninh trên mạng hoạt động bằng cách quyết định những gói dữ liệu nào có thể vào hoặc ra khỏi mạng. Việc này liên quan chặt chẽ đến các lớp liên mạng (Internet Layer) và lớp điều vận (Transport Layer) của bộ giao thức TCP/IP. Như đã trình bày trong chương trước, Router là một thiết bị cơ bản dùng để kết nối giữa các mạng với nhau. Với chức năng đó, Router thường được đặt ở giữa mạng địa phương và INTERNET. ở vị trí này, Router trở thành thiết bị lý tưởng để cấu hình nên một cổng lọc gói (Packet - Filtering Gateway). Khi xác lập phương thức đưa gói đến mạng đích, một Router bình thường chỉ để ý đến địa chỉ đích của gói và tự hỏi “Làm sao có thể chuyển gói này đi đúng hướng?”. Một Router lọc gói còn đặt ra thêm một câu hỏi khác là: “Có nên chuyển gói này đi không?”. Router sẽ trả lời câu hỏi này tuỳ thuộc vào chiến lược an ninh đã đặt vào Router thông qua các luật lọc gói. Lọc gói cho phép ta kiểm soát việc truyền dữ liệu dựa trên: Địa chỉ nguồn của dữ liệu. Địa chỉ đích dữ liệu muốn đến. Phiên và giao thức lớp ứng dụng dùng để truyền dữ liệu. Phần lớn các cơ chế lọc gói không hề dựa vào nội dung dữ liệu. Lọc gói cho phép ta làm như sau: - Không cho phép bất cứ người nào dùng Telnet (một dịch vụ lớp ứng dụng) để truy nhập vào mạng từ xa. Hoặc: - Cho tất cả mọi người gửi thư cho mình qua SMTP (một dịch vụ khác ở lớp ứng dụng). Hoặc thậm chí: - Máy này có thể dùng Network News (một dịch vụ khác ở lớp ứng dụng) còn các máy khác thì không. Tuy vậy ta không thể chặn như sau: - Người này có thể Telnet từ ngoài vào, còn người khác thì không. Bởi vì hệ thống lọc gói không thể định nghĩa khái niệm người dùng (user). Đồng thời ta cũng không thể cho phép: - Bạn có thể truyền những file này, còn các file khác thì không. Bởi vì hệ thống lọc gói cũng không thể xác định khái niệm về “file”. Sử dụng cơ chế lọc gói trong một Router đặt ở vị trí kết nối giữa mạng địa phương và mạng bên ngoài còn có thể ngăn chặn được các gói giả mạo địa chỉ. Ví dụ một gói được gia công sao cho có địa chỉ nguồn là của mạng địa phương nhưng lại đến từ Interface bên ngoài (nghĩa là đã giả danh là gói của mạng địa phương) sẽ bị phát hiện bởi Router lọc gói. 1. Ưu điểm của lọc gói: Một Router lọc gói có thể bảo vệ cho cả một hệ thống mạng: Một ưu điểm hàng đầu của lọc gói là cho phép một Router lọc gói độc lập, được cấu hình theo đúng chiến lược an ninh và đặt ở vị trí phù hợp sẽ bảo vệ được cho cả một hệ thống mạng. Một hệ thống mạng với số lượng trạm lớn thì việc cấu hình lọc cho tất cả các trạm đơn lẻ sẽ trở nên tốn kém và phức tạp hơn nhiều so với lọc gói bằng Router. Hơn nữa khi người dùng vô tình (hay hữu ý) nối thêm vào hệ thống một trạm có hỗ trợ cho truy nhập từ ngoài vào và không được lọc cẩn thận thì đó sẽ là một lỗ hổng trong cơ chế đảm bảo an ninh trên mạng. Nếu mạng địa phương chỉ có một Router để kết nối ra INTERNET thì ta hoàn toàn có thể đảm bảo an ninh cho mạng đó bằng cách cấu hình lọc gói cho Router, bất kể số lượng trạm trong mạng có lớn hơn bao nhiêu. Ngay cả khi mạng có nhiều đường kết nối ra ngoài qua nhiều Router thì số lượng Router cũng vẫn nhỏ hơn nhiều so với số lượng trạm và do đó việc cấu hình lọc gói trên Router vẫn đỡ tốn kém thời gian cũng như công sức hơn so với việc bảo vệ từng trạm riêng biệt. Lọc gói không đòi hỏi bất kỳ sự hợp tác hoặc kiến thức nào khác về phía người dùng. Không giống như cơ chế uỷ quyền (proxy), lọc gói không đòi hỏi bất cứ một phần mềm hay cấu hình đặc biệt nào khác cho các máy client cũng như không yêu cầu người dùng phải học thêm một điều gì mới để sử dụng. Người dùng thậm chí sẽ không biết rằng hệ thống lọc gói đang hoạt động nếu như họ không thử làm một việc gì đó bị cấm (vì lý do an ninh) bởi các luật lọc trong Router. Điều này có nghĩa là ta có thể xây dựng hệ thống lọc hoặc thay đổi chiến lược an ninh trong các luật lọc một cách độc lập và trong suốt đối với người dùng. Rất nhiều Router hỗ trợ chức năng lọc gói: Tính năng lọc gói có thể được sử dụng trong rất nhiều sản phẩm phần cứng hoặc phần mềm định tuyến. Nhờ sự hỗ trợ đầy đủ và rộng khắp của các nhà sản xuất mà ta có thể xây dựng một hệ thống lọc gói hoạt động an toàn và ổn định trong các thiết bị định tuyến chuyên dụng của Bay-Networks, Cisco... hoặc trong các phần mềm giả lập như DrawBridge, KarlBridge... 2. Nhược điểm của lọc gói: Bên cạnh những ưu điểm không thể chối cãi kể trên, lọc gói vẫn còn tồn tại một số hạn chế chưa khắc phục được. Các công cụ cấu hình chưa hoàn hảo Tính năng lọc gói trong một số sản phẩm còn chưa thật hoàn thiện dẫn đến việc xây dựng các hệ thống lọc chặt chẽ và đầy đủ cho các mạng lớn trở nên phức tạp mà đôi khi là không thực hiện nổi. Hơn nữa một khi đã hoàn thiện việc cấu hình một bộ lọc thì việc thêm bớt hay sửa đổi các luật lọc đơn lẻ sau này sao cho phù hợp với toàn hệ thống sẽ khó khăn và dễ gây ra nhầm lẫn. Cũng giống như tất cả các phần mềm khác, các công cụ lọc gói hoàn toàn có thể có lỗi và sẽ tạo ra những kẽ hở trong bức tường bảo vệ. Một khi có sai sót, hệ thống lọc gói sẽ ảnh hưởng đến vấn đề an ninh nhiều hơn là cơ chế uỷ quyền. Thông thường nếu cơ chế uỷ quyền bị lỗi thì nó sẽ dừng hoàn toànviệc truyền dữ liệu, trong khi một hệ thống lọc gói bị lỗi sẽ cho các gói đi qua tự do mà đáng lẽ nó phải chặn lại. Một số ứng dụng không tương thích với các phép lọc gói Ngay cả các phần mềm lọc gói phiên bản mới nhất hiện nay cũng chưa thể ngăn chặn có hiệu quả đối với một số ứng dụng trên mạng mà nguyên nhân là do sự không tương thích. Trong số các ứng dụng loại này ta có thể kể đến các lệnh “r” trong Bekele - Unix (rcp, rlogin, rdist, rsh...) hoặc các ứng dụng dựa trên RCP như NFS (Network File System) và NIS/YP (Network information Service/ Yellow Pages). 3. Cơ cấu hoạt động của hệ thống lọc gói: Để cấu hình lọc gói cho một Router, trước hết ta phải quyết định xem những dịch vụ nào được cho phép hoặc bị ngăn cấm, sau đó chuyển đổi các quyết định đó thành các luật lọc đối với gói dữ liệu. Một bộ các luật lọc liên kết chặt chẽ, hỗ trợ bổ xung cho nhau sẽ tạo thành một hệ thống lọc gói đảm bảo được mục tiêu an ninh đặt ra. Đối với mỗi gói dữ liệu, hệ thống lọc sẽ quét lần lượt qua các luật lọc đã sắp xếp theo thứ tự từ trước cho đến khi gặp một luật phù hợp với gói đó thì thi hành tác vụ chỉ định bởi luật đó. Nhưng nếu như trong quá trình truyền, có một hoặc nhiều gói dữ liệu không phù hợp với bất kỳ luật lọc nào thì Router sẽ xử lý ra sao? Chính vì lý do đó, ở cuối mỗi bộ luật lọc thường có một luật gọi là mặc định cấm, với tất cả các trường có giá trị bất kỳ trừ trường tác vụ có giá trị là cấm. Ví dụ về một bộ lọc gói điển hình như sau: Luật Chiều Đ/c nguồn Đ/c đích Cổng nguồn Cổng đích Tác vụ A Vào good.host our.net * * Cho phép B Ra our.net * 25 * Cho phép C * * * * * Cấm ở đây giá trị good.host là đại diện cho một số trạm bên ngoài mà ta tin tưởng, còn our.net là để chỉ tất cả các trạm trong mạng địa phương ta cần bảo vệ. Cổng 23 là cổng của Server cho dịch vụ Telnet, còn 25 là cổng Server của dịch vụ điện thư qua giao thức SMTP (Simple Mail Transfer Protocol). Như vậy nhìn vào bản trên ta có thể diễn giải bộ lọc này như sau: - Luật A cho phép các trạm good.host sử dụng dịch vụ Telnet để truy nhập vào các trạm ở mạng bên trong. - Luật B cho phép các trạm bên trong gửi thư điện tử (E-mail) ra bất cứ đích nào bên ngoài bằng SMTP. - Luật C sẽ loại bỏ tất cả các gói khác không thuộc loại nào ở trên. a. Lọc bằng địa chỉ: Lọc bằng địa chỉ là một phương pháp lọc đơn giản nhất, cho phép điều khiển luồng dữ liệu dựa trên địa chỉ nguồn và/hoặc địa chỉ đích của các gói mà không cần quan tâm đến loại giao thức nào đang được dùng. Phương pháp lọc này có thể dùng để cho phép một số trạm bên ngoài giao tiếp với các trạm nhất định bên trong hoặc ngăn chặn kẻ tấn công đưa các gói giả mạo địa chỉ vào mạng cục bộ của mình. Ví dụ: Luật Chiều Đ/c nguồn Đ/c đích Tác vụ A Vào our.net * Cấm Ta thấy rằng các gói đi từ ngoài vào thì không thể có địa chỉ nguồn nằm trong mạng cục bộ (our.net) nên chắc chắn các gói này đã bị giả mạo địa chỉ và luật lọc A sẽ loại bỏ chúng. Chú ý rằng chiều đi của dữ liệu là nhìn từ phía mạng cục bộ của ta. Trong Router nằm giữa mạng địa phương và INTERNET, ta có thể áp dụng lọc cho các gói đi bào ở Interface phía INTERNET hoặc với các gói đi ra ở Interface phía mạng bên trong. Cả hai phép lọc này đều đưa đến kết quả như nhau. Cái khác là ở chỗ nếu đặt lọc ở Interface phía mạng địa phương thì bản thân Router sẽ không được bảo vệ. Nhược điểm của phương pháp lọc theo địa chỉ là ta không thể xác định chắc chắn nguồn gốc các gói dữ liệu. Nếu như ta không được hỗ trợ một phương thức nào để xác thực liên kết thì ta không thể biêt được rằng trạm ở đầu bên kia liệu có đúng địa chỉ nguồn của các gói đến hay là một trạm nào khác giả danh. Ví dụ lọc trình bày ở trên chỉ giúp ta phát hiện các trạm bên ngoài giả làm một trạm nào đó bên trong mạng địa phương chứ không làm gì được với một trạm bên ngoài giả làm một trạm nào khác cũng ở bên ngoài (các trạm mà ta coi là có thể tin tưởng được). b. Lọc theo dịch vụ: Song song với phương pháp lọc bằng địa chỉ thì lọc gói còn có một hình thức khác phức tạp hơn là lọc theo dịch vụ. Để hiểu rõ bản chất của phép lọc này ta hãy tìm hiểu hai khái niệm trong TCP/IP là số hiệu giao thức (Protocol Number) và cổng (Port). Số hiệu giao thức là một byte nằm trong word thứ 3 của header khung dữ liệu. Giá trị này được IP (Internet Protocol) sử dụng để xác định các giao thức trong lớp vận chuyển (Transport Layer) nhằm đảm bảo truyền dữ liệu chính xác giữa 2 lớp. Trong các hệ thống Unix, các giao thức và số hiệu tương ứng được lưu giữ trong file /etc/protocol như sau: Giao thức Số liệu Chú thích ip 0 Internet Protocol icmp 1 Internet Control Message Protocol igmp 2 Internet Group Multicast Protocol ggp 3 Gateway - Gateway Protocol tcp 6 Transmission Control Protocol pup 12 PARC Universal Packet Protocol udp 17 User Datagram Protocol ... ... .... Các giao thức này đến lượt mình lại sử dụng các cổng để định nghĩa tiến trình (Process) của ứng dụng hay các dịch vụ ở lớp trên. Như vậy cổng nguồn xác định tiến trình đã gửi gói dữ liệu đi và cổng đích là tiến trình của ứng dụng sẽ nhận gói dữ liệu. Các giá trị này là số 16-bit nằm trong word đầu tiên của header các gói TCP hay UDP. Thông thường các cổng từ 0 đến 1023 được gán cho các dịch vụ server (Telnet Server, Mail Server...) còn các cổng trên 1023 được dùng bởi Client. Dịch vụ và cổng tương ứng được lưu trong file /etc/serviecs trong Unix có dạng như sau: Dịch vụ Cổng giao thức Echo 7/udp Echo 7/tcp Systat 11/tcp Netstat 15/tcp ftp-data 20/tcp ftp 21/tcp telnet 23/tcp Smtp 25/tcp Time 37/tcp Time 37/udp Name 42/udp Whois 43/tcp Domain 53/tcp Domain 53/tcp Hostnames 101/tcp .... .... Như vậy để lọc theo dịch vụ thì thực chất là ta lọc các gói dữ liệu dựa vào số hiệu cổng nguồn và cổng đích của chúng. Ta sẽ sử dụng dịch vụ Telnet làm ví dụ vì đây là dịch vụ được sử dụng rộng rãi, tương đối đơn giản và nhìn từ phía lọc gói thì Telnet này tiêu biểu cho một vài dịch vụ khác như SMTP (Simple Mail Transfer Protocol) hay NNTP (Network News Transfer Protocol)... Telnet cho phép người dùng truy nhập từ xa vào một hệ thống nào đó giống như người này có một thiết bị đầu cuối nối trực tiếp vào hệ thống. Chúng ta sẽ xem xét cả 2 chiều của dịch vụ này: Telnet ra ngoài và Telnet vào trong. Dịch vụ Telnet ra ngoài: Trong dịch vụ này, một Client (một người dùng) trong mạng nội bộ truy nhập vào một server ở xa. Các gói đi ra chứa đựng dòng lệnh người dùng gõ vào từ bàn phím và có những đặc điểm sau: - Địa chỉ IP nguồn là địa chỉ của trạm người dùng trong mạng địa phương. - Địa chỉ IP đích là địa chỉ của server trong mạng bên ngoài. - Telnet là dịch vụ dựa trên TCP nên gói dữ liệu là loại TCP. - Cổng TCP đích là 23, là cổng mà server Telnet sử dụng. - Cổng nguồn là 1 số bất kỳ lớn hơn 1023 (tạm gọi là “Y”). - Gói đầu tiên thiết lập liên kết có bit ACK = 0, các gói còn lại bằng 1. Các gói đi vào của dịch vụ này chứa dữ liệu sẽ hiển thị trên màn hình của người dùng (Ví dụ, dấu nhắc “Login: “) và có đặc điểm sau: - Địa chỉ IP đích là điạ chỉ của trạm người dùng trong mạng địa phương. - Địa chỉ IP nguồn là địa chỉ của server trong mạng bên ngoài. - Gói dữ liệu thuộc loại TCP. - Cổng TCP nguồn là 23, là cổng của Server Telnet. - Cổng đích chính là cổng nguồn của gói đi ra (“Y”). Mọi gói vào sẽ có bit ACK = 1 vì không có gói thiết lập liên kết. Trong phần header của các gói vào và ra ta sẽ thấy địa chỉ nguồn và đích cũng như cổng nguồn và đích hoán đổi cho nhau. Các phiên bản BSD của hệ điều hành Unix dành riêng cho các cổng từ 0 đến 1023 cho root dùng trong mạng nội bộ. Vì vậy các cổng này thường dùng bởi Server chứ không phải là Client. Các hệ điều hành khác kể cả Macintos và MS-DOS (là những hệ điều hành không phân quyền sử dụng) cũng tuân theo qui tắc này. Khi một chương trình Client cần dùng một cổng thì nó sẽ tự động được gán 1 cổng lớn hơn 1023. Như vậy để cấu hình cho phép người dùng sử dụng dịch vụ Telnet từ mạng địa phương ra một server ở ngoài ta sử dụng bộ lọc như sau: Luật Chiều Địa chỉ Cổng Bit ACK Loại gói Tác vụ Nguồn Đích Nguồn Đích A Vào Server Our.net 23 >1023 =1 TCP Cho B Ra Our.net Server >1023 23 * TCP Cho C * * * * * * * Cấm Bộ lọc này sẽ cho phép tất cả các trạm trong Our.net Telnet đến trạm ngoài có địa chỉ là Server. Dịch vụ Telnet vào trong: Dịch vụ Telnet vào trong đựoc sử dụng bởi một Client ở xa móc nối vào một Server Telnet trong mạng địa phương. Các gói đi vào chứa đựng dòng lện người dùng gõ vào từ bàn phím và có những đặc điểm sau: - Địa chỉ IP nguồn là địa chỉ của trạm người dùng ở xa. - Điạ chỉ IP đích là địa chỉ của server trong mạng địa phương. - Gói dữ liệu là loại TCP. - Cổng TCP đích là 23, là cổng mà Server Telnet sử dụng. - Cổng nguồn là 1 số lớn bất kỳ lớn hơn 1023 (tạm gọi là “Z”). - Gói đầu tiên thiết lập liên kết có bit ACK = 0, các gói còn lại bằng 1. Các gói đi ra của dịch vụ này chứa dữ liệu sẽ hiển thị trên màn hình của người dùng với các đặc điểm sau: - Địa chỉ IP đích là địa chỉ của trạm người dùng ở xa. - Địa chỉ IP nguồn là địa chỉ của server trong mạng địa phương. - Gói dữ liệu thuộc loại TCP. - Cổng TCP đích là 23, là cổng của Server Telnet - Cổng đích chính là chính là cổng nguồn của gói đi vào (“Z”). - Mọi gói vào sẽ có bit ACK = 1 vì không có gói thiết lập liên kết. Cũng giống như trong dịch vụ Telnet ra ngoài, các giá trị địa chỉ nguồn và đích, cổng nguồn và đích sẽ hoán đổi cho nhau trong các gói vào và ra. Bộ lọc cho phép sử dụng dịchvụ Telnet vào trong có dạng như sau: Luật Chiều Địa chỉ Cổng Bit ACK Loại gói Tác vụ Nguồn Đích Nguồn Đích A Ra Our.server Good.host 23 >1023 =1 TCP Cho B Vào Good.host Our.server >1023 23 * TCP Cho C * * * * * * * Cấm Với cấu hình này, tất cả các trạm Good.host ở bên ngoài sẽ được quyền Telnet vào trạm Our.server trong mạng địa phương. Những hạn chế: Cũng như lọc bằng địa chỉ, phép lọc theo dịch vụ cũng không tuyệt đối an toàn 100%. Như đã trình bày ở trên, các dịch vụ chạy ở lớp ứng dụng gắn liền với các cổng sử dụng để truyền dữ liệu. Chính vì vậy lọc theo dịch vụ thực chất là lọc các giá trị cổng đích và cổng nguồn của các gói dữ liệu. Vấn đề nảy sinh là một người dùg có quyền root trên một trạm ở xa hoàn toàn có thể thay đổi giá trị cổng sử dụng cho các ứng dụng không theo quy định chuẩn và có thể gây hại cho mạng địa phương ta muốn bảo vệ. Ví dụ, ta đã cấu hình cho phép Telnet ra ngoài và cho phép dữ liệu đi từ cổng 23 (là cổng chuẩn của Server Telnet) ở ngoài nhưng trên thực tế cổng 23 đã bị dùng bởi một tiến trình khác ở trạm ngoài, không phải là Server Telnet. Tiến trình này hoàn toàn có thể ra lệnh cho Client telnet ở mạng địa phương thi hành những tác vụ có hại như xoá các file hệ thống, gửi file /etc/password (là file lưu giữ các mật khẩu của hệ thống) ra ngoài... Mặt khác ta đã ngăn chặn được việc kẻ tấn công sử dụng cổng Server (vì các cổng Server được phép truyền dữ liệu vào mạng bên trong khi có Client yêu cầu) để truy nhập vào mạng địa phương bằng cách xét bit ACK. Trong cấu trúc Client/Server, bao giờ Client cũng là người thiết lập liên kết bằng cách yêu cầu Server trả lời và do đó tất cả các gói từ Server đến đều có bit ACK = 1. Vì vây mọi gói thiết lập liên kết từ cổng nguồng Server (có bit ACK = 0) sẽ bị loại bỏ nên kẻ tấn công không thể truy nhập vào mạng địa phương được. Tuy vậy chỉ có các gói dữ liệu trong giao thức TCP (Transmission Control Protocol) mới có bit ACK, với giao thức UDP (User Datagram Protocol) thì không có. May mắn thay, số lượng các dịch vụ trên INTERNET sử dụng giao thức UDP là rất ít. Chương V Giải pháp kết nối mạng isp vào mạch trục internet việt nam Việt Nam đã trở thành một phần của mạng INTERNET toàn cầu. Do vậy việc tổ chức, xây dựng một mạng cung cấp các dịch vụ INTERNET là rất cần thiết. Mới đây Công ty Điện toán và Truyền số liệu (VDC) đã được giao nhiệm vụ quản lý và khai thác mạng trục Quốc gia. Công việc đó bao gồm cả việc quản lý mạng và xây dựng mạng cung cấp cho các đơn vị, cá nhân có nhu cầu sử dụng mạng INTERNET. Như vậy Công ty Điện toán và truyền số liệu vừa là người quản lý mạng trục (Backbone) vừa là nhà cung cấp các dịch vụ INTERNET (ISP). Các dịch vụ INTERNET được VDC cung cấp tới tận thuê bao hoặc cung cấp cho mạng dùng riêng, đồng thời cung cấp cho các ISP. Bên cạnh đó Công ty Điện toán và truyền số liệu còn phải tham gia quản lý các ICP (các nhà cung cấp thông tin trên mạng). Nhưng đây là vấn đề thuộc lĩnh vực thông tin đã được sự hỗ trợ quản lý của Bộ Văn hóa - Thông tin nên chúng ta không đề cập tới. Trong trường hợp này em xin trình bàymột số suy nghĩ cơ sở về mạng cung cấp các dịch vụ INTERNET từ mạng trục INTERNET (VNN). Trước hết, xin được đề cập tới vấn đề địa chỉ: Việc địa chỉ hoá các trạm, các cổng đã được trình bày trong chương II (phần IP). Tuy nhiên đó là địa chỉ dạng bit. Ngày nay người ta đã xây dựng hệ thống đặt tên (name) để định danh cho các phần tử của INTERNET. Việt Nam cũng đã sử dụng hệ thống định danh bằng tên này. Cụ thể, tại Hà Nội và TP. Hồ Chí Minh đã có máy chủ quản lý tên (miền) địa chỉ được kết nối với bộ tập trung (HUB), đó là máy DNS (Domain Name System) SUN SPARC 4 tại Hà Nội và DNS SUN SPARC 20 tại TP. Hồ Chí Minh. Quản lý các tên được thực hiện bằng cách giao trách nhiệm phân cấp cho các nhóm tên. Mỗi cấp trong hệ thống được gọi là một miền (domain), các miền được cách nhau bởi dấu chấm. Số lượng domain trong một tên có thể thay đổi nhưng thường có nhiều nhất là 5 domain. Một domain có dạng tổng quát như sau: Local_part @ domain name. Trong đó: - Local_part thường là một tên của một người sử dụng hoặc một nhóm người sử dụng do người quản lý mạng nội bộ quy định. - Domain name được gán bởi các trung tâm thông tin mạng các cấp (NIC). Domain cấp cao nhất là cấp quốc gia. Mỗi quốc gia được gán một tên miền riêng gồm hai chữ cái. Ví dụ: Mỹ : US Pháp : FR Canada : CA Việt Nam : VN Trong từng quốc gia lại chia xuống các cấp thấp hơn. Chẳng hạn ở Việt Nam địa chỉ được phân thêm một cấp nữa là: VNN.VN. Cho đến nay, ở khu vực Châu á Thái Bình Dương mới chỉ có hai quốc gia quản lý, phân phối địa chỉ trực tiếp trên INTERNET cho nước mình là Nhật Bản và Hàn Quốc. Địa chỉ trên INTERNET của Việt Nam vẫn được APNIC cung cấp. Chúng ta chịu trách nhiệm gán tên và cung cấp địa chỉ trong phần local_part là chủ yếu. 1. Các phương thức truy nhập INTERNET có thể sử dụng tại Việt Nam hiện nay. ở Việt Nam hiện nay chúng ta có 5 phương thức để truy nhập vào mạng INTERNET. Đó là: Truy nhập trực tiếp: Thuê bao đấu nối trực tiếp vào mạng INTERNET (có thể là một thuê bao dịch vụ INTERNET trực tiếp mang địa chỉ IP) qua kênh thuê riêng. b. Truy nhập qua mạng điện thoại công cộng: Thuê bao truy nhập INTERNET từ mạng điện thoại công cộng vào các điểm truy nhập tại địa phương (NAP - Net Access Point). Thuê bao quay số truy nhập vào mạng do VNN định sẵn. c. Truy nhập vào mạng INTERNET từ mạng truyền số liệu chuyển mạch gói X25: Thuê bao quay số truy nhập do nhà cung cấp dịch vụ INTERNET mà mình thuê bao cung cấp. d. Thuê bao INTERNET có thể đồng thời là thuê bao truyền số liệu chuyển mạch gói: Trong trường hợp này thuê bao phải truy nhập theo hai bước: - Truy nhập mạng truyền số liệu chuyển mạch gói. Tiếp sau: - Quay số truy nhập INTERNET do nhà cung cấp dịch vụ mình thuê bao định sẵn. e. Thuê bao truy nhập qua mạng số đa dịch vụ (ISDN): Thuê bao này sẽ thực hiện truy nhập, sử dụng các dịch vụ đăng ký như truy nhập qua kênh điện thoại. Phạm vi có thể truy nhập vào mạng INTERNET phụ thuộc vào khả năng phục vụ của mạng mà thuê bao sử dụng để truy nhập. Ví dụ: Truy nhập trực tiếp phụ thuộc vào số lượng cổng truy nhập của VNN, phạm vi và khả năng phục vụ của mạng kênh thuê riêng (DDN - Digital Data Network). Như vậy khả năng truy nhập vào mạng INTERNET rất đa dạng. Tuy nhiên, chúng ta nên sử dụng những phương pháp truy nhập đơn giản. Điều này sẽ giúp chúng ta thực hiện phù hợp với khả năng thiết bị hiện có. Việc cung cấp khả năng truy nhập INTERNET có thể thực hiện chủ yếu theo 3 phương pháp sau: - Truy nhập trực tiếp. - Truy nhập qua mạng điện thoại công cộng (PSTN). - Truy nhập qua mạng truyền số liệu công cộng (PSDN). Dưới đây là sơ đồ kết nối mạng cung cấp các dịch vụ INTERNET. Sơ đồ này chỉ đưa ra một cách mô phỏng về mạng và tập trung vào 3 phương thức truy nhập vào mạng INTERNET đã nêu ở phần trên. INTERNET FIREWALL Cổng quốc tế IAP (VDC) Trục quốc gia (VDC) Hà Nội TP HCM Mạng TSL công cộng (VDC) Firewall ICP ISP Mạng điện thoại công cộng Mạng riêng Mạng riêng Firewall ICP ICP Người sử dụng Sơ đồ 5.1 – Kết nối mạng Internet 2. Các giải pháp kết nối mạng INTERNET. Với chức năng vừa là một nhà cung cấp các dịch vụ INTERNET vừa quản lý khai thác mạng trục Quốc gia, Công ty Điện toán và Truyền số liệu (VDC) sẽ phải phục vụ cho một số lượng lớn khách hàng. Các khách hàng lại rất đa dạng, họ có thể là một ISP khác (như Viện Công nghệ thông tin FPT,...), một đơn vị có mạng nội bộ (các cơ quan, trung tâm, trường Đại học...) hoặc là một thuê bao độc lập. Vì vậy cần phải tổ chức cung cấp quản lý các dịch vụ đối với từng đối tượng tham gia vào INTERNET. * Cung cấp cho các nhà cung cấp các dịch vụ INTERNET (ISP). Các ISP tham gia vào INTERNET với tư cách là nhà cung cấp cho khách hàng muốn sử dụng. VDC cung cấp cho ISP một cửa truy nhập vào mạng Quốc gia bằng cách: - Gán cho họ một địa chỉ INTERNET IP - Các địa chỉ mà ISP cung cấp cho khách hàng phải do VDC quản lý thống nhất. - Các ISP có thể cung cấp cho khách hàng tập trung thành mạng riêng, qua mạng điện thoại công cộng, qua mạng chuyển mạch gói X25, X28 của VDC hoặc cung cấp trực tiếp cho thuê bao bằng đường truyền dùng riêng. Sơ đồ khả năng cung cấp các dịch vụ INTERNET của ISP. Mạng trục Quốc gia (Backbase) Hệ thống an toàn ISP PSDN PSTN Mạng riêng Modem Người sử dụng Sơ đồ 5.2 Mạng cung cấp cho ISP ISP khi tham gia vào INTERNET phải đảm bảo các thiết bị mạng của mình phải đồng bộ với các thiết bị của VDC, mạng điện thoại công cộng... Cung cấp cho các mạng dùng riêng và các thuê bao dùng riêng. Các mạng riêng đấu nối trực tiếp vào mạng trục phải có các thiết bị an toàn, các thiết bị cần thiết theo yêu cầu như: HUB, Router... Router Trục Quốc gia ... ... ... ... Lan Sơ đồ sau đưa ra khả năng kết nối: Các thuê bao dùng riêng được truy nhập INTERNET bằng địa chỉ IP riêng. Cung cấp cho các thuê bao cho mạng điện thoại và mạng chuyển mạch gói X25: Các thuê bao mạng điện thoại công cộng bắt buộc phải có một MODEM chuyển đổi dạng tín hiệu. Các thuê bao theo cả hai đường truy nhập qua mạng công cộng đều phải quay số truy nhập mạng do VNN định sẵn. 3. Các thiết bị sử dụng trong mạng máy tính: a. Các loại cáp: * Cáp đồng trục (Coaxical Cable): Hiện nay thường sử dụng các loại cáp đồng trục sau đây cho mạng cục bộ thường có giải thông từ 2,5 Mb/s tới 10 Mb/s (Ethernet). - RG - 8 và RG -11.50 ohm (trở kháng) dùng cho mạng Thick Ethernet. - RG - 58 .50 ohm dùng cho mạng Thin Ethernet. - RG - 59 . 15 ohm dùng cho mạng truyền hình cáp. - RG - 62.93 ohm dùng cho mạng ARCnet. Cáp đồng trục có độ suy hao ít hơn so với các loại cáp đồng khác (ví dụ cáp xoắn đôi). * Cáp xoắn đôi (Twisted-Pair Cable): Có hai loại cáp xoắn đôi là cáp có bọt kim STP (Shield Twisted Pair). Tốc độ truyền thường giới hạn là: 16 Mb/s (với mạng Token-Ring cáp xoắn đôi không bọc kim UTP (Unshield Twisted Pair) có 5 loại từ UTP loại 1 đến UTP loại 5. Tốc độ truyền từ dưới 4 Mb/s đến 100 Mb/s. * Cáp sợi quang (Fiber - Optic Cable): Gồm hai loại cáp đơn Mode, đa Mode và nhiều loại với đường kính lõi sợi và đường kính lớp áo. Cáp sợi quang có giải thông đạt tới 2 Gb/s và đi khoảng cách khá xa. Ngoài ra còn có các đường truyền vô tuyến như Radio, Viba, các hệ thống hồng ngoại. b. Thiết bị mạng: * Bộ giao tiếp mạng NIC (Network Interface Card) Các bộ giao tiếp mạng có thể được thiết kế ngay trên Mainboard hoặc các tấm (card) dùng để cắm vào các khe 9 (Slot) của máy tính. Đối với Ethernet NIC có thể dùng các loại đầu nối sau: - K45 Connector cho UTP Ethernet. - BNC Connector cho Thin Ethernet. - AUI Connector cho Thick Ethernet. Đối với Token-Ring NIC có thể dùng các loại sau: - DB -15 Connector cho STP. - RJ - Connector cho UTP. * Bộ tập trung (HUB): Có thể dùng HUB để nối tất cả các máy trong mạng như sơ đồ 5.4 HUB Computer Có ba loại HUB là: - Bị động (Passive Hub). - Chủ động (Active Hub). - Thông minh (Interlligent Hub). * Bộ chuyển tiếp (repeater): Repeater có chức năng tiếp nhận và chuyển tiếp các tín hiệu dữ liệu. Thiết bị này thường được dùng để mở rộng mạng. Chẳng hạn nối hai đoạn cáp mạng Ethernet. Computer Repeater Computer Sơ đồ 5.5: Mở rộng Ethernet Lan bằng Repeater * Cầu (Bridge): - Cầu là một thiết bị mềm dẻo hơn nhiều so với Repeater chuyển đi tất cả tín hiệu mà nó nhận được (kể cả nhiễu, méo). Còn Bridge chọn lọc và chuyển đi các tín hiệu có đích. Bridge dùng để nối các mạng LAN với nhau. * Bộ dồn kênh (Multiplexor) Multiplexor là thiết bị tổ hợp một số tín hiệu rồi truyền đi cùng nhau. Sau đó, khi nhận lại được tách ra trả lại tín hiệu gốc (Demultiplexing - Phân kênh). MUX A MUX A Chanel A Chanel A Chanel B Chanel C Chanel B Chanel C Multiplexing Demultiplexing Sơ đồ 5.6 – Dồn kênh và phân kênh tín hiệu * Bộ điều chế (Modem) Modem là thiết bị có chức năng chuyển đổi tín hiệu số thành tín hiệu tương tự và ngược lại để kết nối các máy tính qua đường điện thoại. * Bộ chọn đường (Router): Router là thiết bị thông minh hơn Bridge vì nó có thể thực hiện các giải thuật chọn đường đi tối ưu. Hiện nay các Router của các hãng nổi tiếng như: CISCO, BAY NETWORK.... đều được thiết kế để có thể làm việc với nhiều giao thức phổ biến nhất. Router 1 Net 1 Net 3 Router 3 Router 2 Net 4 Net 2 Router 4 Sơ đồ 5.7 – Dùng Router trong liên mạng * Bộ chọn đường cầu (Brouter): Brouter là thiết bị đóng vai trò của cả Router lẫn Bridge. * CSU/DSU (Channel Service Unit/Digital Service Unit): Đây là loại thiết bị dùng để nối kết các mạng LAN thành mạng WAN thông qua mạng điện thoại công cộng. tài liệu tham khảo * mạng máy tính và các hệ thống mở Nguyễn Thúc Hải . NXB Giáo dục 1997. * Tạp chí BƯU Chính viễn thông 5,6/1996 Hồ Khánh Lâm. * INTERNET John R. Levine và Carol Baroudi . NXB Trẻ 1995. * các tài liệu của công ty điện toán và truyền số liệu (vdc). * mạng căn bản: NXB thống kê *mạng máy tính : Nguyễn Gia Hiển *INTERNET WORKING VớI TCP/IP Nguyễn Quốc Cường Một số thuật ngữ và viết tắt Client Chương trình dùng để giao tiếp và nhận dữ liệu từ chương trình server hoặc dịch vụ trên máy tính khác. Mỗi client được thiết kế để làm việc với một hay nhiều loại chương trình server chuyên biệt (ví dụ Web Browser là một loại client đặc biệt). Datagram Dữ liệu đồ, đơn vị gói dữ liệu được sử dụng tại lớp IP. Thuật ngữ này đồng thời cũng là đơn vị gói dữ liệu được sử dụng trong giao thức UDP. DNS (Domain Names Server) Hệ thống tên vùng, đâu là hệ thống chịu trách nhiệm ánh xạ các địa chỉ INTERNET dạng số sang dạng tên vùng như infor.moet.edu.vn, nhờ vậy tránh được các địa chỉ Internet dạng số rất bất tiện cho người sử dụng. Frame (or Packet) Gói dữ liệu của lớp liên kết dữ liệu, bao gồm cả dữ liệu lớp trên đưa xuống, phần đầu và phần cuối mà lớp liên kết dữ liệu thêm vào. FTP (File Transfer Protocol) Giao thức truyền tập tin trên mạng. Gateway (Cổng nối) Thiết bị kết nối các mạng trong một liên mạng. Gateway có thể là một máy tính được cấu hình đặc biệt (nhiều vỉ mạng) hoặc là một thiết bị chuyên dụng (Router, Access Server). Getway Cổng nối. Hyper Text Mark-up Language (HTML) Ngôn ngữ định nghĩa cấu trúc tài liệu trên Web. Nó giúp trình duyệt (như Netscape Navigator) biết cách thể hiện dữ liệu. Hyper Text Transfer Protocol (HTTP) Giao thức giúp truyền dữ liệu được sử dụng để hỗ trợ việc truyền các dạng thông tin dạng hình ảnh, âm thanh... được áp dụng chính trong công nghệ Web. International Organization for Standardization (ISO) Tổ chức tiêu chuẩn hoá Quốc tế: Công bố các tiêu chuẩn về các lĩnh vực, kể cả máy tính và truyền thông. Đóng góp nổi bật nhất của họ đối với công nghệ mạng là cấu trúc mạng 7 lớp OSI. IP Addres Địa chỉ IP, địa chỉ của nút trên mạng IP. Mỗi nút trên mạng có một địa chỉ duy nhất. Local Area Network (LAN) Mạng cục bộ. Network News Transfer Protocol (NNTP) Giao thức truyền tin trên mạng. Đây là giao thức quy định về việc truyền các bản tin giữa các trạm trong một hệ thống mạng sử dụng dịch vụ nhóm tin (newsgroup) (như mạng USERNET) Router Bộ định tuyến: Dùng để kết nối các mạng với nhau, quyết định lộ trình của dữ liệu. Segment Tên gọi của gói thông tin tại lớp giao vận, bao gồm cả dữ liệu lớp trên đưa xuống và phần header mà lớp giao vận thêm vào. Serial Line Internet Protocol (SLIP) Giao thức Internet tuyến nối tiếp (đây là một giao thứ cũ của TCP/IP nhằm tạo kết nối trên các đường dây điện thoại thông thường) Server Máy phục vụ Server Máy tính hay phần mềm cung cấp một loại dịch vụ đặc biệt cho các client chạy trên máy tính khác. Một máy tính có thể đóng vai trò nhiều loại server nếu nó chạy đồng thời nhiều chương trình server. Simple Mail Transfer Protocol (STMP) Nghi thức truyền thư tín đơn giản (thuộc nhóm giao thức TCP/IP), giao thức này cho phép truyền thư điện tử trên INTERNET. Transmission Control Protocol (TCP) Giao thức điều khiển truyền, đây là giao thức được sử dụng để cung cấp một kiểu liên kết dữ liệu theo mô hình dòng byte liên tục chính xác cho các ứng dụng mạng ở lớp ứng dụng. Đây cũng là tên một lớp trong mô hình mạng TCP/IP, tại lớp này, các gói dữ liệu truyền giữa hai trạm được truyền theo thứ tự, được kiểm tra lỗi, theo một cơ chế được quy định trước. Terminal Thiết bị đầu cuối. Wide Area Netword (WAN) Mạng diện rộng. World Wide Web (WWW hay W3) Hệ thống thông tin toàn cầu dựa trên cơ sở ngôn ngữ HTML.