Mạng máy tính cục bộ LAN

LỜINÓIĐẦU Tin học và viễn thông là hai thành phần cốt lõi của công nghệ thông tin. Mạng máy tính không còn là thuật ngữ thuần túy khoa học mà đang trở thành một đối tượng nghiên cứu và ứng dụng cả nhiều phạm vi hoạt động khác nhau. Những năm gần đây,do sự phát triển vũ bão của công nghiệp máy tính,việc kết nối các mạng máy tính đã trở thành nhu cầu hiện thực cho người sử dụng. Những sản phẩm về mạng,đặc bệt là mạng cục bộ cho máy tính ngày càng xuất hiện nhiều trên thị trường tin học, kể cả ở việt nam. Một số cơ sở đã lắp đặt các mạng cục bộ để ứng dụng trong hoạt động trao đổi và xử lýthông tin của mình. Cuộc cách mạng công nghệ thông tin ở nước ta cũng và đang diễn ra sôi động. nhiều dự án phát triển công nghệ thông tin đã được triển khai theo các giải pháp tổng thể và đang trở thành đối tượng nghiên cứu ứng dụng của nhiều người và của mọi ngành nghề khác nhau. Trong đó, mạng cục bộ (LAN) là phổ biến nhất và tính tập trung, thống nhất dễ quản lý , đồng thời phản ánh nhu cầu thực tế của các cơ quan, trường học, doanh nghiệp cần kết nối các hệ thống đơn lẻ thành mạng nội bộ để tạo khả năng trao đổi thông tin, phân chia tài nguyên (phần cứng và phần mềm)đắt giá. Trong phạm vi của đồ án này, tôi nghiên cứu về mạng cục bộ(LAN) gồm các phần sau. Chương 1 : Tổng quan về mạng máy tính Chương 2 : Mô hình OSI Chương 3 : Mạng cục bộ Chương 4 : Quản lí an toàn thông tin trên mạng Bản đồ án này được hoàn thành là nhờ có sự hướng dẫn tận tình, chu đáo của cô giáo Trần Ngọc Lan. Mục Lục LỜINÓIĐẦU 1 Chương 1 2 TỔNG QUAN VỀ MẠNG MÁY TÍNH 2 1.1. KHÁI NIỆM CƠ BẢN VỀ MẠNG MÁY TÍNH 2 1.1.1. Sự hình thành và phát triển của mạng máy tính 2 1.1.2. Thế nào là mạng máy tính 3 1.1.3. Phân loại mạng máy tính 5 1.1.4. Kết nối mạng máy tính. 8 1.1.4.1 Cách tiếp cận 8 1.1.4.2 Giao diện kết nối 8 1.1.5 Các tổ chức thực hiện việc chuẩn hoá mạng máy tính 9 1.2. TỔNG QUAN VỀ MẠNG CỤC BỘ MÁY TÍNH (LAN) 12 1.2.1. Tại sao phải kết nối mạng 12 1.2.2. Đặc trưng của mạng LAN. 12 1.2.3. Các dịch vụ được cung cấp bởi các nút mạng 14 1.2.4. Các thiết bị dùng để kết nối mở rộng mạng cục bộ LAN 15 1.2.4.1. Card giao diện 15 1.2.4.2. Bộ tập trung HUB 15 1.2.4.3. Bộ lặp (Repeater) 16 1.2.4.4. Cầu (Bridge) 17 1.2.4.5. Bộ Dồn Kênh (Multiplexor) 18 1.2.4.6. Modem 18 1.2.4.7. Bộ Chọn Đường (Router) 19 1.2.4.8. Bộ Chọn Đường Cầu (Brouter) 20 1.2.4.9. CSU/DSU (Chanel Service Unit/ Digital Service Unit) 20 1.2.6. Hệ điều hành mạng 20 Chương II 22 KIẾN TRÚC PHÂN TẦNG VÀ MÔ HÌNH OSI 22 2.1 Kiến trúc phân tầng 22 2.2 Mô hình tham chiếu kết nối các hệ thống mở (OSI) 23 2.3 Mô tả tầng và chức năng của từng lớp 25 2.3.1 Tầng ứng dụng 25 2.3.2 Tầng biểu diễn 26 2.3.3 Tầng phiên 26 2.3.4 Tầng vận chuyển 27 2.3.5 Tầng mạng 27 2.3.6 Tầng liên kết dữ liệu 28 2.3.7 Tầng vật lý 29 2.4 Các giao thức chuẩn ISO 30 Chương III 33 MẠNG CỤC BỘ 33 3.1 Kỹ thuật mạng cục bộ 33 3.1.1 Các Topo mạng 33 3.1.2 Phương thức truyền đẫn và đường truyền vật lý . 35 3.1.3. Giao Thức Điều Khiển Truy Nhập Phương Tiện Truyền 45 3.1.4. Điều Khiển Luồng (Data Flow Contronl) 51 3.1.5 Kiểm soát Lỗi . 52 3.1.6 Đánh giá độ tin cậy 52 3.1.7 Những khuynh hướng mới trong kỹ thuật xây dụng mạng máy tính cục bộ 55 3.2. chuẩn hóa mạng cục bộ 57 3.2.1 Các Chuẩn IEEE 802.x và ISO 8802.x 58 3.2.2 Các Chuẩn Khác 65 Chương IV 71 QUẢN LÝ VÀ AN TOÀN THÔNG TIN TRÊN MẠNG 71 4.1 Quản lý mạng 71 4.1.1 Tầm quan trọng của quản lý mạng 71 4.1.2 Chức năng quản lý mạng 71 4.2 An toàn thông tin trên mạng 72 4.2.1 Đặc trưng kỹ thuật của an toàn thông tin trên mạng 72 4.2.2 Nguyên nhân xẩy ra vấn đề an toàn mạng 74 4.2.3 Khái quát giao thức an toàn 75 4.2.4 Những ẩn họa về kết cấu 76 4.2.5 Thiết kế và thực hiện hệ thống an toàn thông tin trên mạng. 80 4.2.6 An toàn trên mạng 84

docx89 trang | Chia sẻ: banmai | Lượt xem: 1957 | Lượt tải: 4download
Bạn đang xem trước 20 trang tài liệu Mạng máy tính cục bộ LAN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hục vụ của mạng. thậm chí đôi khi điều này vẫn sảy ra khi đã sử dụng thuật toán tạo tuyến tối ưu. Khi đó,nếu không sử dụng phương pháp nào để hạn chế lượng thông tin đưa vào thì trạm tràn dung lượng ở bộ nhớ đệm ở các nút mạng tương ứng. Các gói không có chỗ xếp hàng sẽ bị loại bỏ và tất nhiên sau đó bên thu sẽ yêu cầu truyền lại, dẫn đến việc lãng phí hiệu quả sử dụng mạng. bên cạnh đó,khi lượng tải áp đặt lớn quá mức sẽ làm giảm tính khả thông của mạng và trễ của các gói trở nên rất lớn. Cho nên đôi lúc vẫn phải hạn chế bớt một phần tin truy nhập vào mạng để tránh trường hợp mạng bị quá tải như trên. Đó chính là chức năng của thuật toán điều khiển luồng. 3.1.5 Kiểm soát Lỗi . - Khi truyền tin đi một byte trong hệ thống máy tính thì khả năng xảy ra một Lỗi do hỏng hóc ở phần nào đó hóặc do nhiễu gây nên là luôn có thể. Các kênh vào ra thường xảy ra lỗi, đặc biệt là ở truyền số liệu trong mạng máy tính. Để kiểm tra lỗi ta có thể: - Dùng timer, nếu quá thời gian quy định không trả lời là tin chưa nhận được, báo lỗi để phát lại gói tin hỏng. - Đánh số khung (frame ) gửi đi, nếu không nhận đúng thứ tự khung là lỗi, yêu cầu phát lại. - Để kiểm tra thu đúng gói tin gửi đi thường khi phát tin có kèm theo trường kiểm tra lỗi FCS. 3.1.6 Đánh giá độ tin cậy - Độ tin cậy Độ tin cậy của mạng là xác suất mà một mạng hay một thành phần của nó hoạt động đạt yêu cầu trong một khoảng thời gian cho trước giưới những điều kiện làm việc xác định. Trong định nghĩa này ta quan tâm đến bốn yếu tố chính là:xác suất, hoạt động đạt yêu cầu, thời gian và điều kiện làm việc. + Xác suất: Là công cụ toán học để đo hiệu suất hoạt động, khi một số thiết bị giống nhau làm việc dưới những điều kiện tương tự nhau thì chúng lại rất có thể gặp sự cố âtị những thời điểm khác nhau, bởi vậy có thể dùng lý thuyết xác suất để mô tả các sự cố. + Hoạt động đạt yêu cầu: Được thực hiện thông qua một tổ hợp các yếu tố định tính và định lượng liên quan đến chức năng mà hệ thống phải đảm nhiệm. thường đó là các tính năng kỹ thuật của hệ thống thư tỷ suất lỗi, thông lượng độ trễ… + Thời gian: Là một trong những yếu tố không thể thiếu được để đo độ tin cậy bởi vì ta cần biết trước được xác suất một hệ thống đang ở trạng thái hoạt độngtại những thời điểm nhất định khi ta muốn sử dụng hệ thống. + Điều kiện làm việc: Gồm các yếu tố như vị trí địa lý của hệ thống, các tác động của môi trường như thời tiết,độ rung ,độ xóc và khả năng bị gậm nhấm của cáp. - Các Kỹ Thuật Nâng Cao Độ Tin Cậy Có thể nâng cao độ tin cậy và độ sẵn sàng của mạng bằng cách duy trì ở mức tối thiểu số lượng các thiết bị điện tử đang hoạt động, bằng cách giảm số bộ chuyển tiếp (Repeater) hoặc các bộ khuếch đại đường truyền (Line Amplifier) giữa các trạm và phân các thiết bị điều khiển trên toàn mạng. Tạo ra độ dư thừa về đường truyềnvà thiết bị nút cũng góp phần nâng cao độ tin cậy. Người ta đã nghiên cứu giái pháp nâng cao độ tin cậy cho các mạng khác nhau, đặc biệt quan tâm đến mạng dạng vòng vì chúng rễ gặp sự có, có độ tin cậy thấp. Zafiopulo đã đề suất hai kỹ thuật cơ bản để nâng cao độ tin cậy cho mạng vòng bằng cách sử dụng thêm một vòng dự phòng song song với vòng chính. Kỹ thuật thứ nhất gọi là vòng chánh sự cố (Failure – Bypass Technique) được minh họa ở hình 3.11. Ở đây cả hai vòng chính và vòng phụ đều truyền theo một chiều. Khi suất hiện một sự cố trầm trọng thì một thiết bị vòng chánh cài đặt sẵn sẽ thực hiện phòng chánh sự cố bằng cách chuyển dòng tín hiệu sang vòng phụ. Kỹ thuật thứ hai gọi là kỹ thuật tự khắc phục (Self – HealTechnique) được minh họa trong hình 3.12. ở đây vòng chính và vòng phụ có hướng truyền ngược nhau, mỗi khi xuất hiện sự cố trầm trọng thì một thiết bị chuyển mạch đặc biệt cài đặt sẵn sẽ thực hiện việc tự khắc phục bằng cách đổi ngược dòng tín hiệu đi theo vòng phụ. Bộ điều khiển mạng Vòng chánh sự cố Vòng phụ Vòng chính Điểm nối trạm Sự cố Hình 3.11 Minh họa vòng chánh sự cố Bộ điều khiển mạng Ngược vòng tự khắc phục Vòng phụ Vòng chính Điểm nối trạm Sự cố Hình 3.12 Minh họa tự khắc phục sự cố 3.1.7 Những khuynh hướng mới trong kỹ thuật xây dụng mạng máy tính cục bộ a/ Khuynh Hướng Dùng Cáp Dẫn Quang Trong LAN Kỹ thuật dẫn quang đang được sử dụng ngày càng rộng rãi trong kỹ thuật điện tử, kỹ thuật truyền tin… Trong tương lai gần đây nó thay thế hầu hết các đường truyền tin cổ điển trước đây như cáp đồng trục, cáp dây dẫn… Bởi vì truyền dẫn quang hơn hẳn ở truyền dẫn thông thường ở chỗ: - Tốc độ truyền tin lớn (Hàng trăm Mb/s trở lên) - Suy hao tín hiệu thấp, hiệu suất cao. Chẳng hạn trong mạng máy tính cục bộ LAN với khoảng cách vài trăm Km thì không cần có khuếch đại đệm. - Mật độ truyền tin cao. Do đó có thể tổ chức thành mạng với mật độ các Terminal lớn. ngoài ra các mạng máy tính dùng cáp quang học sẽ thích nghi với các loại máy tính có tốc độ xử lý thông tin cao. Nhưng nếu quang dẫn muốn được sử dụng rộng rãi trong tương lai ta cầnn phải hoàn thiện các thành phần biến đổi điện thành ánh sáng và ngược lại ở các đầu cuối của mỗi đường truyền, tăng tuổi thọ cho các Laser diots. b/ Tổ Chức Thành Mạng Hợp Nhất Sử Dụng Mạng truyền Thông Quốc Tế Các mang LAN thường đựợc tổ chức trên một địa bàn nhất định. Nếu các mạng cục bộ được nối với mạng thông tin quốc gia và quốc tế thì trao đổi thông tin giữa một máy tính của một mạng này với một máy tính của mạng khác sẽ không còn khó khăn nữa. ngoài ra việc khai thác các ngân hàng dữ liệu quốc tế sẽ thuận lợi hơn nhiều. mạng truyền thông quốc tế có thể là một mạng rất tổng quát: Mạng vệ tinh, Mạng đối lưu, Mạng cáp dẫn quang. Mạng quốc gia Mạng LAN Mạng quốc gia Mạng quốc gia Mạng quốc gia Mạng quốc tế Các hệ phối ghép Hình 3.13 Mô tả mạng cục bộ (LAN) nằm trong mối liên hệ với mạng quốc gia và quốc tế. c/ Cài Đặt Hệ Chuyên Gia Vào LAN Hệ chuyên gia này được cài đặt khá phổ biến trong lĩnh vực tin học và điện tử. các thiết bị có cài đặt các hệ chuyên gia tạo nhiều thuận lợi cho người sử dụng. - Bộ xử lý ngôn ngữ (Language Procesor): Cung cấp thông tin và ngôn ngữ giữa người sử dụng và hệ chuyên gia. - Bảng tin (hay còn gọi là “bảng đen”):Là các thông báo đưa ra ngay tức khắc từ hệ chuyên gia về các kết luận và giải quyết của hệ chuyên gia. - Thư mục: Là các bảng tin về các phỏng đoán và các kết luận tức thời của quá trình diễn ra trong mạng. thư mục làm nhiệm vụ xắp xếp, lưu trữ các bản tin theo mục tiêu của nhà sản suất hoặc của người sử dụng. - Bộ biên dịch: Nhằm tạo ra sự thông hiểu giữa hệ chuyên gia và các trạng thái của hệ thống. - Bộ chất vấn: Người sử dụng có thể hỏi hệ chuyên gia về các quyết định của hệ, còn hệ chuyên gia phải giải trình cho người sử dụng biết. d/ Sử Dụng Hệ Cở Sở Dữ Liệu Phân Tán Để tăng cường tính linh hoạt của các mạng máy tính và khai thác tối ưu các cơ sở dữ liệu cài đặt trong mạng, người ta xây dụng hệ cơ sở dữ liệu phân bố DDB (Distributed Data Bus). Bước xây dụng DDB được tiến hành sau bước xây dựng cấu trúc mạng. Để có thể thống nhất được theo quan điểm của người sử dụng, người ta xây dựng mô hình chuẩn chung cho DDB. Mô hình chuẩn này được xây dựng dựa trên cở sở các tiêu chuẩn mạng ISO và tiêu chuẩn về kết hợp hệ cơ sở dữ liệu phân tán của ANCI/ SPARC. 3.2. chuẩn hóa mạng cục bộ Chuẩn hóa mạng cục bộ đã được thực hiện từ hàng chục năm qua, để đáp ứng sự phát trển của mạng cục bộ. Do đặc trưng riêng, việc chuẩn hóa mạng máy tính cục bộ chỉ giành riêng cho hai tầng thấp nhất, tương ứng với tầng vật lý và tầng liên kết dữ liệu của mô hình OSI. Tầng liên kết dữ liệu được chia làm hai tầng con là: LLC (Logica Link Control) và MAC (Media Access Control). Application Prisentation Session Transport Data Link Network LLC MAC Physical Hình 3.14 Mô hình phân tầng của mạng cục bộ Tầng con MAC đảm nhận điều khiển việc truy nhập đường truyền, trong khi tầng con LLC đảm bảo tính độc lập của quản lý và các liên kết dữ liệu đối với đường truyền vật lý và phương pháp truy nhập MAC được sử dụng. Có hai loại chuẩn cho mạng cục bộ : - Các chuẩn chính thức do các tổ chức quốc tế và chuẩn quốc gia ban hành. - Các chuẩn thực tiễn do các hãng sản xuất, các tổ chức người sử dũng xây dựng và được dùng rộng rãi trong thực tế. Dưới đây ta xét các chuẩn tiêu biểu nhất thuộc hai loại chuẩn này 3.2.1 Các Chuẩn IEEE 802.x và ISO 8802.x IEEE (Intitute Electrical and Electronic Enginecrs) là tổ chức đi tiên phong trong lĩnh vực việc chuẩn hóa mạng cục bộ vơí đề án IEEE 802 nổi tiếng bắt đầu triển khai từ năm 1980 sau đó hàng loạt chuẩn thuộc họ 802.x ra đời, tạo nên sự hội tụ quan trọng cho việc thiết kế và cài đặt các mạng cục bộ trong thời gian qua. Vào cuối những năm 80 ISO đã xem xét và tiếp nhận chúng thành chuẩn quốc tế và ban hành dưới mã hiệu tương ứng là ISO 8802.x. đến ngày nay họ IEEE 802.x bao gồm các chuẩn sau. IEEE 802.1 Liên mạng High Level Interface. IEEE 802.2 Điều khiển Logic (Logical Link Control- LLC). IEEE 802.3 Mạng LAN (Ethenet) đa truy nhập cảm ứng sóng mạng có dò xung đột (Carrier- Sence Multiple Access With Collison Detection – CSMA/CD). IEEE 802.4 Mạng LAN Token Bus. IEEE 802.5 Mạng LAN Token Ring. IEEE 802.6 Mạng vùng thành phố (Metropolitan Area Network – MAN). IEEE 802.7 Nhóm tư vấn kỹ thuật giải rộng (Broadband Technical Advisory Group). IEEE 802.8 Nhóm tư vấn kỹ thuật sợi quang (Fiber Optic Technical Advisory Group). IEEE 802.9 Mạng tiếng nói /dữ liệu tích hợp (Integrated Data and Voice Network). IEEE 802.10 An toàn mạng (Standard For Interoperabl LAN Security) IEEE 802.11 Mạng không dây (Wireless Network). IEEE 802.12 Demand Priority Access LAN, 100VG- Any LAN. Sau đây ta so sánh các chuẩn này với mô hình tham chiếu OSI Applicatn Presentan Session 802.4 802.3 802.5 802.6 802.9 802.12 802.11 802101 802.1 802.2 Hình 3.15 quan hệ giữa các chuẩn IEEE 802 và mô hình OSI Transport Network Data Link Physical + IEEE 802.1: Là chuẩn đặc tả kiến trúc mạng, kết nối giữa các mạng và việc quản trị mang đối với mạng cục bộ . + IEEE 802.2: Là chuẩn đặc tả tầng LLC (ví dụ: giao thức ) của mạng cục bộ . Có ba kiểu giao thức LLC chính được định nghĩa: - Kiểu 1: Là giao thức kiểu không liên kết và không có cơ chế báo nhận. - Kiểu 2: Là giao thức kiểu có liên kết. - Kiểu 3: Là giao thức kiểu không liên kết và có cơ chế báo nhận. + IEEE 802.3: Là chuẩn đặc tả mạng cục bộ dựa trên mạng Ethernet nổi tiếng do Digital, Intel Vad Xerox hợp tác và phát triển từ những năm 1980. IEEE 802.3 bao gồm cả tầng vật lý và tầng con MAC với các đặc tả sau: - Đặc tả dịch vụ MAC (MAC Service Specifition) - Giao thức MAC (Mac Protcol) - Đặc tả vật lý độc lập với đường truyền (Medium – Depented Physical Specifition) Đặc tả dịch vụ MAC định nghĩa các dịch vụ mà IEEE 802.3 cung cấp cho tầng LLC hoặc sử dụng ở tầng cao hơn. Đặc biệt IEEE 802.3 là giao thức MAC dựa trên phương phapCSMA/CD. Đơn vị dữ liệu trong giao thức MAC còn gọi là MAC Frame có khuôn dạng tổng quát như sau: Preamble SFD Destination Address Source Address Length LLC Data PAD FCS Hình 3.16 khuôn dạng tổng quát của IEEE 802.3 Frame Trong đó: * Premble (7 byte): Là phần đầu dùng cho người nhận để thiết lập sự đồng bộ bit. Nó là một dãy các luân phiên các bit 1 và 0 với bit cuối cùng là 0. * SFD (Start Frame Delimiter): Là một dãy 10101011, để chỉ sự bắt đầu thực sự của khung (Frame), giúp cho người sử dụng định vị được bit đầu tiên của khung (Frame). * Destination Address (DA): Địa chỉ của các trạm đích của các Frame, nó có thể là một địa chỉ vật lý duy nhất một trạm hoặc một địa chỉ nhóm hoặc một địa chỉ tổng thể, khi cài đặt có thể lựa chọn thống nhất địa chỉ 10 bit hoặc 48 bit. * Source Address (SA): Địa chỉ trạm nguồn gửi Frame đi, độ dài của SA phải giống với độ dài của DA đã chọn. * Length: Chỉ độ dài byte của phần LLC data tiếp theo sau. * LLC Data: Đơn vị dữ liệu của LLC. * PAD: Các byte được thêm vào để đảm bảo rằng Frame là đủ dài để có thể phát hiện xung đột chính xác. * FSC (Frame Chek Sequence): Kiểm tra lỗi CRC 32 bit cho tất cả các vùng, trừ Preambl, SFD và bản thân FSD. Tầng vật lý của IEEE 802.3 được định nghĩa làm hai phần độc lập với đường truyền đặc tả giao diện giữa các tầng MAC và vật lý. Phần phụ lục đường truyền là bắt buộc phải có đặc tả giao diện với đường truyền LAN và các tín hiệu trao đổi với đường truyền. + IEEE 802.4 là chuẩn đặc tả mạng cục bộ với Topo dạng BUS sử dụng thẻ bài để điều khiển truy nhập đường truyền . IEEE 802.4 cũng bao gồm cả tầng vật lý và tầng con MAC với đặc tả như sau : - Đặc tả dịch vụ MAC. - Đặc tả giao thức MAC . - Đặc tả dịch vụ tầng vật lý . - Đặc tả thực thể tầng vật lý. - Đặc tả đường truyền . Đặc tả dịch vụ MAC được định nghĩa các dịch vụ mà IEEE 802.4 cung cấp cho tầng con LLC hoặc cho người sử dụng tầng cao hơn. Giao thức MAC là phần quan trọng nhất của IEEE 802.4, sử dụng phương pháp thẻ bài Token bus để điều khiển truy nhập đường truyền . Sau đây là khuôn dạng khung khuôn dạng tổng quát của giao thức MAC IEEE 802.4. Preamble SD FC DA SA Data Link FSC ED Byte >= 1 1 1 2/6 2/6 >= 0 4 1 Trong đó : * Preamble : phần đầu ( 1 byte hoặc nhiều hơn một byte ) dùng cho người sử dụng để thiết lập sự đồng bộ bit. * SD ( Start dilimiter ): bắt đầu của khung, có dạng NNONNOOO trong đó N la ký hiệu phi dữ liệu ( Mondata symbol ) được chọn tùy theo mã hóa tín hiệu trên đường truyền . * FC ( Frame Control ) : chỉ rằng Frame này có chứa LLC data hay không hoặc nó chỉ là một Frame điều khiển. IEEE 802.4 sử dụng tám loại Frame là : Claim-token, Solicit – Successor- 1, Solicit – Successor-2, who – Follows, Resolve – contention, Tonken, Set – Successor, LLC data. * DA ( Destination Address ):chỉ trạm đích của Frame nó có thể là một địa chỉ vật lý duy nhất, một địa chỉ nhóm hoặc một địa chỉ tổng thể. Có thể cài đặt địa chỉ 16 bit hoặc 48 bit thống nhất tất cả trạm của cả mạng. *SA ( Source Addreess ) : địa chỉ của trạm nguồn gửi Frame đi. Độ dài của SA phải bằng độ dài của DA. * Datalink : chứa LLC data hoặc thông tin điều khiển. *FCS ( Frame Check Sequence ): mã kiểm soát lỗi CRS 32 bits cho tất cả các vùng, trừ preamble, SD, ED và bản thân FCS. *ED ( End Delimiter ) : chỉ kết thúc của Frame có dạng : NN11NN1IE- trong đó I là Inter mediate bit, nếu I=1 chỉ rằng đây là Frame cuối cùng được truyền bởi trạm. E là Error bit, một Repeater sẽ cho E=1 khi nó phát hiện có một lỗi FCS. Đặc tả dịch vụ tầng vật lý của IEEE 802.4 định nghĩa các dịch vụ tầng vật lý cung cấp cho tầng MAC, nó độc lập với đường truyền. Đối với một đường truyền có hai đặc tả, đặc tả thực trể tầng vật lý bao gồm các đặc trưng cơ, điện, chức năng cần thiết để ntruyền và nhận tín hiệu trên một đường truyền cụ thể. Đặc tả đường truyền tương ứng chỉ ra các đặc trưng các đường truyền và các loại cáp để nối các trạm với đường truyền. IEEE 802.4 được thiết kế để ứng dụng không chỉ trong các văn phòng mà còn trong các môi trường quân sự. + IEEE 802.5: Là chuẩn đặc tả mạng cục bộ với Topo dạng vòng (Ring) sử dụng thẻ bài điều khiển để truy nhập đường truyền. IEEE 802.5 Cũng bao gồm cả tầng vật lý và tầng con MAC với các đặc trưng sau: - Đặc tả dịch vụ MAC - Giao thức MAC - Đặc tả thực thể tầng vật lý - Đặc tả nối trạm Đặc tả dịch vị MAC định nghĩa các dịch vụ mà IEEE 802.5 cung cấp cho tầng con LLC hoặc người sử dụng ở tầng cao hơn. Giao thức MAC là phần cốy lõi của IEEE 802.5 sử dụng phương pháp vòng với thẻ bài (TokenRing) để điều khiển truy nhập đường truyền. Sau đây là khuôn dạng của Frame dùng trong giao thức MAC của IEEE 802.5. SD FC DA SA INFO FSC ED FC AC phạm vi phủ của FCS SFS EFS Trong đó : * SFS: (Start of Frame Sequence) * SD: (Starting Delimter) 1 byte * AC: (Access Control) 1 byte * FC: (Frame Control) 1 byte * DA: (Destination Address) 2/6 byte * SA: (Suorce Address) 2/6 byte * INFO: (Information) 0 byte hoặc nhiều hơn * FCS: (Frame Check Sequence) 4 byte * EFS: (End – of – Frame Sequence) * ED: (Ending Delimiter) 1 byte * FS: (Frame Status) 1 byte + IEEE 802.6: Là chuẩn đặc tả tốc độ cao kết nối nhiều LAN thuộc các khu vực khác nhau. Mạng này sử dụng cáp quang với Topo dạng Bus kép (Dual – Bus) vì thế nó còn được gọi là DQDB (Distributed Queue Dual Bus). Lưu thông trên mỗi Bus là một chiều và khi cả cặp Bus cùng hoạt động sẽ tạo thành một cấu hình chịu lỗi (Fault Toleraut). Phương phát điều khiển truy nhập dựa trên một giải thuật xếp hàng phân tán có tên là QPDS (Queued Packet, Distrbuted- Switch). DQDB là Bus quảng bá đa truy nhập nhưng phải dùng một phương pháp truy nhập theo ngăn. Để quảng bá dữ liệu phải cài đặt dạng Bus dưới dạng cặp Bus một cchiều. vì hai Bus truyền dữ liệu ngược chiều nhau nên việc quảng bá dữ liệu đòi hỏi phải truyền cả hai tren Bus. Sau đây là sơ đồ Bus kép: BUS A BUS B Slot Generator Slot Generator Hình 3.17 sơ đồ nối Bus của DQDB Các mạng IEEE 802.6 cho phép truyền dữ liệu với tốc độ nhanh (từ vài chục đến vài trăm Mb/s) đáp ứng được các yêu cầu truyền dữ liệu đa phương tiện ( văn bản, tiếng nói, hỉnh ảnh). + IEEE 802.9: Là chuẩn đặc tả một mạng tích hợp dữ liệu và tiếng nói bao gồm một kênh di bộ 10Mb/s cùng với 90 kênh 64Mb/s. giải thông tổng cộng là 16 Mb/s, chuẩn này còn đuwocj gọi là Isochronous Ethenet (ISO Enet) và nó được thiết kế cho các môi trường có lưu lượng thông lớn. + IEEE 802.10: Là chuẩn đặc tả về an toàn thông tin trong mạng cục bộ có khả năng liên tác. + IEEE 802.11: Là chuẩn đặc tả mạng cục bộ không dây (Wireless LAN), hiện đang được phát triển. Xu hướng lựa chọn phương pháp đa truy nhập CSMA/CD được khẳng định. + IEEE 802.12:Là chuẩn đặc tả mạng cục bộ này sử dụng Topo hình sao và một phương pháp truy nhập đường truyền có điều khiển tranh chấp, chuẩn này nhằm cung cấp một mạng cục bộ tốc độ cao (100Mb/s và lớn hơn) có thể hoạt động trong môi trường hỗn hợp Ethernet và TokenRing. 3.2.2 Các Chuẩn Khác a- FDDI và CDDI + FDDI (Fiber Distributed Data Interface) là chuẩn cho các mang cáp quang được ủy ban X3T9 của ANSI (American National Standard Institute) phát triển và sau đó đã được ISO chấp nhận trở thành chuẩn quốc tế ISO 9314. FDDI ban đầu phát triển cho các mạng diện rộng nhưng sau đó đã được sử dụng cả cho các mạng LAN và MAN. FDDI bao gồm tầng vật lý và tầng con MAC. Kiến trúc được mô tả như sau: LLC (IEEE 802.2) MAC (Medium Access Control) LMT (Layer Management) PHY (Physical Protocol) PMD (Physical Medium Dependen) Hình 3.18 Kiến trúc FDDI Chuẩn FDDI bao gồm bốn đặc tả sau: - Đặc tả MAC - Đặc tả giao thức vật lý (PHY: Physical Protocol) - Đặc tả phụ thuộc đường truyền vật lý (Physical Medium Dependent – PMD) - Đặc tả quản trị tầng (Layer Management – LMT) Đặc tả MAC bao gồm các dịch vụ MAC và giao thức MAC. Dịch vụ MAC định nghĩa các dịch vụ mà FDDI mức cao hơn. Giao thức MAC là phần quan trọng của chuẩn. Nó định nghĩa khuôn dạng đơn vị (Frame) và tương tác sảy ra giữa các thực thể tầng con MAC. Giao diện vật lý là phần độc lập với đường truyền của tầng vật lý, nó gồm một đặc tả về giao diện dịch vụ với tầng con MAC. Giao thức vật lý cũng chỉ ra phương pháp mã hóa dữ liệu số để truyền đi. Đặc tả phụ thuộc đường truuyền của tầng vật lý. Giao diện của tầng vật lý là phàn phụ thuộc đường truyền của các tầng vật lý. Nó định nghĩa và mô tả tính năng của các bộ điều khiển và bộ tiếp nhận cáp quang và các đặc trưng phụ thuộc đường truyền khác cuả việc nối các trạm vào đường truuyền. đặc tả quản trị tầng cung cấp các chức năng điều khiển cần thiết ở mức trạm để quản trị các tiến trình trong các tầng FDDI khác nhau cho một trạm có thể làm việc một cách hợp tác trên mạng. Sau đây ta xét chi tiết về giao thúc MAC cảu FDDI dựa trên phương pháp truynhậpTokenRing. Dưới đây ta sẽ mô tả khuôn dạng tổng quát của FDDI Frame. Preamble SD FC DA SA INFO FSC ED FC SFS Phạm vi phủ FCS SFS Trong đó các vùng tham số có kích thước tính theo ký hiệu (Symbol), mỗi ký hiệu tương ứng với 4 bit: *Preamble (16 ký hiệu hoặc nhiều hơn ) : phần đầu dùng để đồng bộ hóa Prame với đồng bộ của mỗi trạm kích thước ùng này là 16 ký hiệu rỗng hoặc hơn tùy theo yêu cầu đồng bộ. * SD (Starting Delimiter ) ( hai ký hiệu ) : bắt đầu của Frame, bao gồm các mẫu tín hiệu luôn có thể phân biệt được dữ liệu. * SFS ( Start of Frame Sequence ) : Bao gồm hai vùng tham số Preamble và SD. * FC ( Frame control ) ( hai ký hiệu ) : Có khuôn dạng CLFFZZZ, trong đó C chỉ thị đây là Frame đồng bộ hay Frame dị bộ, L chỉ rõ địa chỉ 16 bit hay 48 bit. FF chỉ ra đây là LLC Frame hay MAC. * DA ( Destination Address ) ( 4 hoặc 12 ký tự ) : địa chỉ trạm gửi Frame đi. * INFO ( Inmation ) ( 0 hoặc nhiều cặp ký tự ) : chứa LLC Data hoặc thông tin điều khiển. * FCS ( Frame Check sequence ) ( 8 ký hiệu ) : Mã kiểm soát lỗi 32 bit cho các vùng FC, DA, SA và INFO. * FS ( Frame status ) ( 3 ký hiệu hoặc nhiều hơn ) : Chứa các địa chỉ E ( Error deleced ), A ( Address recognized ) và C ( Frame copied ). Mỗi chỉ thị được biễu diễn 1 ký hiệu. Vùng này còn chứa thêm các thông tin điều khiển cho người cài đặt và xác định. Sau đây là dạng của thẻ bài dùng trong FDDI. Preamble SD ED FC Trong đó ED có độ dài là hai ký hiệu . + CDDI ( Coper Distribeted Data Interface ) ; Đây là một phương án cải tiến của FDDI để dùng với cáp đồng thông thường. b- MAP và TOP + MAP ( Menu facturing Automation Protocol ) : Là công trình được thiết lập bởi hãng General Motors ( Mỹ ) từ năm 1962 sau đó chuyển giao cho hội các kỹ sư chể tạo. MAP được phát triển phù hợp với mô hình OSI. MAP sử dụng dịch vụ không liên kết ở các tầng dưới. Ở tầng 1 thì tính chất không liên kết không liên quan gì. Nhưng t6ầng hai và tầng ba thì lại là điều cần quan tâm. + TOP (Technical And Office Protocol): Là chuẩn thiết lập bởi hãng chế tạo máy bay Boing và sau đó cũng được chuyển giao cho SME. Nó được thiết kế như một mạng cục bộ phụ trợ cho MAP do đó nó tương thích với MAP. c- ACR Net ACR Net (Attached Resoure Computer Network): Là chuẩn được phát triển từ năm 1968 bởi hãng máy tính Data Pint của Mỹ. ACR Net sử dụng phương pháp truy nhập đường truyền “chuyển thẻ bài” với Topo hình sao phân tán (Distributed Star) với tốc độ có thể đạt tới 2,5Mb/s và số lượng nút có thể lên tới 225. Đường truyền vật lý thường dùng cáp đồng trục hoặc cáp xoắn đôi tần. Sau đây ta sẽ mô tả điển hình của ARC Net Active Hub Passive Hub Terminator Hình 3.19 Topo hình sao của ARC Net Với Active Hub khuếch đại tín hiệu và chia chúng về các cổng. còn Passtive Hub không khuếch đại tín hiệu và cổng không sử dụng của nó phải lắp kèm theo một Terminator. Passtive Hub không thể nối với một Passtive Hub khác. d- Mạng cục bộ ảo (Virtual – LAN- hay VLAN) VLAN thực chất là một phương thức mới để tổ chức các trạm của mạng thành các miền Logic hay miền ảo có thể được thay đổi một cách linh hoạt bằng phần mềm. Với các LAN truyền thống, trường hợp gồm nhiều giai đoạn phải đặt các cầu (Bridge) hoặc bộ chon đường (Router) để phân bố lưu thông trên toàn mạng. Nhược điểm của phương thức kết nối này là khi muốn thay đổi, tổ chức lại mạng sẽ rất khó khăn. Dứới đây là sơ đồ phưong thức sử dụng của Switching Hub trong mạng cục bộ ảo. VLAN 2 VLAN 3 Segmen – Switing Hub VLAN 1 Hình 3.20 VLAN dùng Segment Switching Hub VLAN 1 VLAN 2 Port – Switching Hub Hình 3.21 VLAN dùng Port- Switching Hub VLAN được xây dựng trên các thiết bị Switching Hub. Người quản trị mạng sử dụng phần mềm để giám sát các cổng của Switching Hub cho các phần mềm ảo khác nhau. Có hai loại Switching Hub đó là: Segment – Switching Hub và Port Switching Hub. Các dạng Segment – Switching Hub được nối với nhau theo dạng hình sao để phối hợp hoạt động. còn các Port Switching Hub thừong hoạt động đơn lẻ, khi cần nối kết chúng lại thì cần phải dùng các thiết bị như Cầu hoặc bộ chọn đường (Router). Ưu điẻm của VLAN cho phép phân hoạch mạng để sử dụng có hiệu quả giải thông, táchbiệt các miền có lượng lưu thông khác nhau. Cho phép tổ chức và cấu hình lại mạng rễ dàng, linh hoạt bằng công trình, độc lập với hạ tầng vật lý. Công nghệ VLAN đặc biệt hiệu quả trong các mạng CSMA/CD vì nó có thể hạn chể khả năng xung đột các trạm trên đường truyền. Chương IV QuẢn lý và an toàn thông tin trên mẠng 4.1 Quản lý mạng 4.1.1 Tầm quan trọng của quản lý mạng Với sự phát triển về quy mô, mạng đã trở thành trụ cột và nền tảng của các loại dịch vụ thông tin và ứng dụng, thông thường quản lý mạng cũng được nâng lên vị trí quan trọng. Quản lý mạng thực hiện việc giám sát, điều khiển, bảo dưỡng và quản lý đảm bảo cho thuê bao sử dụng dịch vụ mạng được an toàn, tin cậy, ổn định, đảm bảo vận hành mạng bình thường, hiệu xuất cao. Quản lý mạng phát huy tác dụng. 4.1.2 Chức năng quản lý mạng Hệ thống quản lý mạng giúp cho thiết bị và ứng dụng mạng trong công tác quy hoạch, giám sát điều khiển và quản lý đồng thời theo dõi, ghi chép, phân tích tình trạng bất thườngcủa mạng giúp người quản lý mạng có thể kịp thời xử lý. Nói tóm lại quản lý mạng có chức năng sau: + Quản lý cấu hình: Quản lý cấu hình là phản ánh trên mạng cần có hoặc thực tế có bao nhiêu thiết bị, chứa chức năng và quan hệ kết nối của từng thiết bị, tham số công tác.... Quản lý cấu hình của mạng cũng phản ánh quy mô, trạng thái vận hành của mạng. + Quản lý sự cố: Quản lý sự cố là đo kiểm sự cố thiết bị trong chức năng quản lý và đo kiểm, khôi phục thiết bị sự cố hoặc chức năng quản lý mạng liên quan đến biện pháp loại bỏ sự cố, mục đích là đảm bảo cho dịch vụ kết nối tin cậy mà mạng có thể cung cấp. + Quản lý tính năng: Quản lý tính năng bao gồm việc thu nhập số liệu liên quan đến tính năng mạng, trang thiết bị được quản lý, phan tích và thống kê số liệu quá khứ, xây dựng lưới trắc địa dựng mô hình phân tích tính năng dự báo xu hướng lâu dài của tính năng mạng, căn cứ và kết quả phân tích dự báo để điều chỉnh kết cấu Topo và tham số mạng. Quản lý tính năng đảm bảo cung cấp khả năng cung cấp thông tin tin cậy khi sử dụng tài nguyên mạng đạt được tối ưu. Tham số và tính năng thường đề cập đến phụ tải, độ lưu loát của mạng, thời gian đáp ứng của mạng. còn quá trình quản lý tính năng thông thường bao gồm giám sát điều khiển tính năng và phân tích tính năng. + Quản lý an toàn: Vấn đề quản lý an toàn đề cập đến bao gồm công tác an toàn để đảm bảo độ tin cậy của mạng vận hành và hỗ trợ thuê bao mạng cũng như đối tượng quản lý mạng. 4.2 An toàn thông tin trên mạng 4.2.1 Đặc trưng kỹ thuật của an toàn thông tin trên mạng Hiểu một cách đơn giản, an toàn tin tức trên mạng chủ yếu là bảo vệ, sao cho hệ thống trên mạng không bị nguuy hiểm, không bị uy hiếp, không sảy ra những sự cố nghiêm trọng. từ góc độ kỹ thuật mà nói, thì đặc trưng kỹ thuật của an toàn tin tức trên mạng chủ yếu được biểu hiện ở những vấn đề sau: + Tính tin cậy Tính tin cậy là đặc tính của hệ thống tin tức trên mạng có thể trong một điều kiện nhất định và trong một thời gian xác định, hoàn thành một chức năng quy định. Tính tin cậy là một trong những yêu cầu cơ bản nhất về an toàn của hệ thống, là mục tiêu xây dựng và vận hành của tất cả hệ thống tin tức trên mạng. + Tính khả dụng Tính khả dụng là đặc tính mà tin tức trên mạng được các thực thể có ủy quyền tiếp cận và sử dụng yêu cầu, tức là đặc tính mà dịch vụ tin tức của mạng khi cần thiết cho phép thuê bao hay thực hiện ủy quyền khác sử dụng, là đặc tính mà một bộ phận mạng bị hỏng hoặc cần hạ cấp sử dụng, vẫn có thể cung cấp cho thuê bao được ủy quyền sử dụng một cách hữu hiệu. Tính khả dụng là tính năng an toàn phục vụ thuê bao của hệ thống tin tức trên mạng. tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử dụng bình thường với thời gian suốt cả quá trình làm việc để đánh giá. + Tính bảo mật Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các thuê bao, thực thể hay quá trình không được ủy quyền biết hoặc để cho các đối tượng đó lợi dụng. Tính bảo mật là một giải pháp quan trọng đảm bảo an toàn tin tức trên mạng dựa trên cơ sở của tính tin cậy và tính khả dụng. + Tính hoàn chỉnh Tính hoàn chỉnh là đặc tính khi tin tức trên mạng chưa được ủy quyền không thể tiến hành biến đổi, tức là đặc tính tin tức trên mạng khi đang lưu trữ hoặc quá trình truyền dẫn không bị xóa bỏ, sửa đổi, làm giả mạo, làm dối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý những sự phá hoại hoặc mất mát khác. Tính hoàn chỉnh là một loại tính an toàn đối với tin tức, nó yêu cầu giữ nguyên dạng tin tức, tức là tái tạo, lưu trữ và truyền dẫn chính xác thông tin. Phương pháp chủ yếu đảm bảo tính hoàn chỉnh tin tức trên mạng gồm: Giao thức: Thông qua các giao thức an toàn, có thể kiểm tra một cách có hiệu quả tin tức bị sao chép, một đoạn chữ bị xóa, một đoạn chữ bị sửa chữa, đoạn chữ vô hiệu hóa. Phương pháp sửa chữ sai mã hóa: Nhờ vậy mà hoàn thành chứa chức năng phát hiện sai sót và sửa sai. Phương pháp sửa sai mã hóa đơn giản nhất và được thường dùng là phép kiểm nghiệm chẵn – lẻ. Kiểm nghiệm mật mã: Nó là một biẹn pháp quan trọng để ngăn ngừa hành vi xuyên tạc và cản trở truyền dẫn. Chữ ký số hóa: Đảm bảo tính trân thực của tin tức + Tính không thể chối cãi Tính không thể chối cãi cũng còn gọi là tính không thể phủ nhận . Trong quá trình giao lưu tin tức của hệ thống tin tức tren mạng, xác nhận tính trân thực đồng nhất của những người tham gia, tức là tất cả mọi người tham gia không thể phủ nhận hoặc chối bỏ những thao tác và cam kết đã được thực hiện hoàn thành, lợi dụng chứng cứ nguồn tin tức có thể phòng ngùa bên nhận tin sau khi xong việc, phủ nhận tin tức đã nhận được. + Tính có thể khống chế Tính có thể khống chế là tính nói về năng lực khống chế truyền bá và nội dung vốn có của tin tức trên mạng. 4.2.2 Nguyên nhân xẩy ra vấn đề an toàn mạng Sở dĩ mạng bị nhiều người xâm nhập, nguyên nhân từ nhiều phía, nhưng xét từ góc độ xảy ra vấn đề này mà nói, đều có liên quan mật thiết phương thức truyền dẫn thông tin và cơ chế điều hành mạng. Trước tiên, thông tin trong mạng truyền từ một hệ thống lưu trữ của một máy tính này đến hệ thống lưu trữ của một máy tính khác trong phần lớn các trường hợp,thông tin sau khi rời khỏi nguồn tin sẽ phải qua nút chuyển tiếp mới đến nguồn tin khác được. trong quá trình truyền dẫn, người phát tin và người thu tin chỉ có thể tăng cừong kiểm soát trong quá trình phát và thu, còn quá trình truyền dẫn ở giữa người thì không có quyền kiểm soát. Nếu trong tuyến truyền dẫn tồn tại thiết bị nút chuyển tiếp không tin cậy hoặc kẻ phá hoại, độ an toàn thông tin sẽ ảnh hưởng nghiêm trọng. thông tin có thể bị sửa đổi, phá hoại hoặc bị rò rỉ, do vậy cơ chế truyền dẫn thông tin của mạng máy tính tồn tại hiểm họa an toàn rất nghiêm trọng. Tiếp theo, cơ chế vận hành máy tính là cơ chế giao thức, việc trao đổi thông tin giữa các nút khác nhau căn cứ vào cơ chế đã được quy định trước, thông tin qua gói số liệu giao thức trao đổi để hoàn thành. Đối với mỗi một nút, thì thông tin có nghĩa là đáp ứng một loạt các gói dữ liệu giao thức đến từ mạng. căn cứ vào phân tích trên, độ trung thực của các gói số liệu giao thức đến từ mạng là không thể đảm bảo được. đồng thời, vì sự rò rỉ an toàn vốn có của giao thức hoặc rò rỉ an toàn sản sinh trong khi thực hiện giao thức cũng sẽ tạo nên nhiều vấn đề an toàn. Trong môi trường mạng hiện nay tồn tại các hệ thống khác nhau, nền tảng phần cứng của các nhà sản xuất khác nhau, cho nên tăng thêm tính phức tạp của vấn đề an toàn mạng, trong đó có nhiều nguyên nhan về kỹ thuật và quản lý. Một mạng có an toàn hay không phải do nhiều nhân tố như hệ thống máy chủ,ứng dụng và dịch vụ , định tuyến mạng, quản lý mạng và chế độ quản lý … quyết định. Khi tìm hiểu an toàn mạng, trên thực tế là chỉ an toàn mạng trên mọt mức độ nhất định. Cần độ an toàn đến đâu, phải dựa hoàn toàn vào nhu cầu thực tế và khả năng bản thân mà đề ra. Độ an toàn mạng càng cao, cũng có nghĩa là việc sử dụng mạng càng bất tiện. do đó, người quản lý mạng khi xem xét đến an toàn mạng, cần có sự xem xét cả hai phía. Độ an toàn mạng và mức độ sử dụng là hai vấn đề mâu thuẫn nhau. Có thể thấy trước. hệ thống các dịch vụ mà múc độ rò rỉ của phần mèm ứng dụng sẽ ngày càng bị phát hiện ra, rồi sẽ được khắc phục tùy theo sự nâng cấp của hệ thống , sự rò rỉ mới cũng xuất hiện nhiều hơn, rồi lại được khắc phục….đó là quá trình lặp đi lặp lại. 4.2.3 Khái quát giao thức an toàn Thiết lập và hoàn thiện giao thức an toàn là hệ thống bảo mật an toàn thực hiện các biện pháp cơ bản quy phạm, tiêu chuẩn hóa. Một mạng nội bộ và hệ thống bảo mật an toàn tương đối hoàn thiện phải thực hiện cơ chế bảo mật, cơ chế kiểm chứng và cơ chế bảo vệ. Hiện nay, những gioa thức đã nghiên cứu và ứng dụng là: + Giao thức bảo mật: Giao thức bảo mật có hai yếu tố, một là có thể chuyển đổi số liệu công khai thành số liệu bảo mật, tự do phát trong mạng công cộng, hai là có thể sử dụng và điều khiển giao quyền, nhân viên không có nhiên vụ không thể đọc được. Do vậy, số liệu phải phân lớp để thích ứng với phương pháp an toàn điều khiển nhiều lớp. + Giao thức kiểm tra tư cách: Kiểm tra tư cách là cửa khẩu thứ nhất để vào mạng và có liên quan đến thao tác sau đó. Do vậy, kiểm tra tư cách ít nhất phải bao gồm giao thức kiểm tra và giao thức ủy quyền. nhân viên thao tác phải được chia cấp bậc, ở các cấp khác nhau có các quyền khác nhau, để thích ứng với phương thức điều khiển nhiều lớp. + Giao thức quản lý khóa bảo mật: bao gồm các giao thức hình thành, phân phát, lưu trữ, bảo vệ công chứng…của khóa bảo mật, đảm bảo trong môi trường mở có thể cấu tạo nên các môi trường kín một cách linh hoạt. + Giao thức kiểm tra số liệu: Bao gồm số liệu trích yếu, số liẹu kiểm tra, chữ ký đồng thời phải có chức năng ký tên lớp cổng và ký tên cá nhân. + Giao thức thẩm định tính toán an toàn: Bao gồm những sự kiện có liên quan đến an toàn, bao gồm thăm dò thu thập, điều khiển sự kiện, có thể truy tìm trách nhiệm của sự kiện. + Giao thức bảo vệ: Ngoài các biện pháp bảo vệ mạng máy tính vật lý như thể phòng chống virut, thiết bị chống can nhiễu, chống thông điệp bức xạ… Còn phải thực hiện bảo vệ đối với số liệu và các loại tham số bí mật (mật khẩu, khóa bảo mật của thuê bao…) của việc bảo vệ của hệ thống thông tin, để tăng cường chức năng chống xâm nhập. 4.2.4 Những ẩn họa về kết cấu a- Khiếm khuyết an toàn của kết cấu mạng kiểu Topo kết cấu mạng kiểu Topo là hình thức Logic hình học nối liền các điểm liên kết nối phân tán trên phương diện địa lí. Logic Topo quyết định nguyên lý làm việc của mạng cũng như phương pháp truyền dẫn của mạng thông tin. Một khi Logic Topo của mạng đã được xác định, nhất định phải chọn một phương pháp làm việc và một phương thức truyền dẫn thông tin phù hợp với logic Topo đó. Nếu sự lựa chọn và bố trí thỏa đáng, thì sẽ như cài sẵn một ẩn họa an toàn đối với mạng. Trên thực tế, kết cấu Topo của mạng cũng có khả năng đem lại sự an toàn cho mạng. Kết cấu mạng theo kiểu Topo thường thấy có các loại kết cấu Bus, kết cấu hình sao, kết cấu vòng. Trong ứng dụng thực tế, thông thường là hình thức hỗn hợp mà không có kết cấu Topo đơn giản nhất. Dưới đây sẽ giới thiệu sơ lược ưu khuyết điểm về phương diện an toàn của các loại kết cấu Topo. + Kết cấu Topo Bus Kết cấu loại Bus của mạng là đem tất cả các trạm công tác mạng nối vào cùng một môi trường vật lý, mỗi một thiết bị được nối trực tiếp trên cùng một cáp đường trục thông thường đã chỉ định. Do kết cấu loại Bus có việc nối tiếp đơn giản, việc tăng thêm hoặc bỏ đi điểm kết nối nào đó tương đối linh hoạt. hệ thống mạng của các công ty phần lớn được dùng kết cấu Topo loại Bus. Nhưng kết cấu Topo loại Bus cũng tồn tại một số khuyết điểm an toàn dưới đây: - Tìm sự cố khó khăn. Tuy kết cấu loại Bus đơn giản, tính tin cậy của nó cao hơn nhưng khi tìm sự cố thì rất khó khăn. Bởi vì mạng có kết cấu loại Bus khong phải là loại khống chế tập trung khi đó thử tìm sự cố cần phải tiến hành ở các trạm trên mạng nhất thiết phải cắt rời rồi nối lại thiết bị nhằm xác định lại sự cố có phải do một sự ách tắc đặc biệt nào đó gây ra hay không, hơn nữa do một bó cáp nối tất cả các thiết bị cáp nên việc loại bỏ sự cố cũng tương đối khó khăn. - Cách ly sự cố khs khăn. Đối với loại Topo Bus, nếu như sự cố phát sinh ở điểm trạm, thì chỉ cần tách rời điểm trạm đó ra khỏi mạng, nếu sự cố xảy ra trên môi trường truyền dẫn thì cả đoạn dây dẫn này phải bị cắt bỏ. - Bố trí bộ trung kế. bộ trung kế có năng lực truyền dẫn đơn hướng, tức là sau khi nhận được giữ liệu từ một đường nối, không cần trì hoãn mà dùng tốc độ như thế truyền đi theo đường nối khác, làm cho số liệu trên mạng truyền dẫn theo một hướng nhất định trên đường nối mạng. bổ xung thêm trên cơ sở Bus đường trục có thể dùng bộ trung kế để bố trí lại, bao gồm cả việc cắt bớt chiều dài của cáp, điều chỉnh thiết bị đầu cuối. - Thiết bị đầu cuối nhất thiết phải có trí năng. Trên Bus nói chung không đặt thiết bị khống chế mạng, mỗi điểm kết nối dựa vào phương thức cạnh tranh mà phát đi số liệu, nên khó tránh khỏi việc kéo theo sự xung đột tin tức trên mạng, do đó các điểm trạm đầu trạm đầu nối trên Bus cần có chức năng khống chế khai thác. +Kết cấu Topo sao kêt cấu Topo sao là giao điểm kết nối trung tâm và các điểm trạm thông qua các đường nối điểm - điểm nối tới điểm kết nối trung tâm hợp thành. Topo hình sao giống như mạng điện thoại ở chỗ tất cả các thiết bị nối trực tiếp với một điểm trung tâm, thiết bị điểm kết nối trung tâm thường được gọi là bộ chuyển tiếp, bộ tập trung hoặc bộ trung kế. Kết cấu Topo hình sao chủ yếu có những khuyết điểm sau: - Cáp dài khó lắp đặt. Vì mỗi điểm trạm nối trực tiếp với điểm kết nối trung tâm, nên cần số lượng cáp, ống dẫn cáp lớn, vấn đề bảo dưỡng, sửa chữa lắp đặt đều rất khó khăn. - Mở rộng khó khăn. Khi cần tăng điểm trạm mới, thì phải tăng sự nối tiếp. với điểm nối trung tâm, như thế thì trước đó thì phải bố chí một lượng lớn cáp dự trữ. - Tính ỷ lại đối với điểm kết nối trung tâm quá lớn. một khi điểm kết nối trung tâm sảy ra sự cố, thì sự cố đó sẽ trở thành sự cố toàn mạng, có thể dẫn đến mạng bị tê liệt trên diện rộng. - Ngoài những vấn đề đó ra, một ẩn họa khác của kết cấu Topo sao là: việc sử lý một lượng lớn số liệu phải dựa vào điểm kết nối trung ương để hoàn thành, do đó mà làm cho phụ tải của điểm kết nối trung tâm khá lớn, kết cấu tương đối phức tạp, rất rễ sảy ra hiện tượng “ tắc nghẽn” do đó tính an toàn của hệ thống tương đối kém. + Kết cấu Topo vòng Mạng có kết cấu Topo kiểu vòng là do một số bộ trung kế và đường nối điểm – điểm các bộ trung kế nối liền với hai đường nối, mỗi điểm trạm đều thông qua bộ trung kế nối với mạng. Kết cấu Topo vòng chủ yếu có những khuyết điểm sau đây: - Sự cố của điểm kết nối sẽ gây nên sự cố của toàn mạng. số liệu truyền dẫn thông qua một điểm kết nối được đấu trên mạch vòng, nếu như một điểm kết nối nào đó sảy ra sự cố, thì sẽ gây nên sự cố trên toàn mạng. - Tìm sự cố khó khăn. Bởi vì sự cố của một điểm kết nối nào đó sẽ làm cho toàn mạng không làm việc, nên tìm sự cố rất khó, cần phải tiến hành kiểm tra đo thử từng điểm kết nối một. - Không dễ khi bố chí lại mạng. Việc bố chí mở rộng mạng là tương đối khó khăn, cũng như vậy việc đấu nối một số bộ phận nào đó lên mạng cũng không dễ ràng. - kết cấu Topo vòng có ảnh hưởng đối với giao thức khai thác. Mỗi điểm kết nối trên vòng sau khi nhận đựoc số liệu có trách nhiệm phát lên mạng, điều này có nghĩa là cùng lúc đó phải xem xét giao thức khống chế khai thác. Trước khi điểm kết nối phát số liệu, nhất thiết phải biết môi trường truyền dẫn có thể dùng được đối với nó hay không. b/ Khiếm khuyết an toàn của phần cứng mạng Là trụ cột của hệ thống tin tức trên mạng, ẩn họa an toàn của phần cứng mạng cũng là mặt quan trọng của sự khiếm khuyết trong kết cấu mạng. dứoi đây sẽ giới thiệu sơ lược ẩn họa an toàn của thiết bị phần cứng mạng thường gặp. + Ẩn họa an toàn của cầu (Bridge) Cầu chỉ là thiết bị nối với nhau không liên quan gì với giao thức, nó làm việc ở tầng thứ hai của mô hình OSI. Cầu dựa vào địa chỉ gốc xuất phát và địa chỉ đích đến để phán đoán có cần phát hay không và chuyển phát đến trạm nào. Sự ứng dụng của cầu là tưong đối rộng rãi. Nhưng kỹ thuật dấu nối với nhau thông qua cầu còn tồn tại một số vấn đề. - Một là tin tức quảng bá. Do cầu không ngăn chặn được tin tức quảng bá trong mạng, nếu khi quy mô mạng lớn có khả năng gây khó khăn đối với mạng, dẫn đến cả mạng bị tin tức quảng bá tràn ngập, cho đến khi hoàn toàn bị tê liệt. - Hai là. Khi cầu nối với một mạng bên ngoài, thì cầu thường hợp hai mạng nội bộ và mạng bên ngoài thành một mạng, cả hai đều hoàn toàn mở nguồn dữ liệu của mình cho đối phương. - Ba là cẩu chuyển gói tin dữ liệu tren cơ sở “ hiệu quả tốt nhất” có thể sảy ra mất mát dữ liệu. + Ẩn họa của bộ định tuyến Bộ định tuyến làm việc ở tầng thứ 3 của mô hình OSI. Chức năng cơ bản của bộ có thể khái quát, định tuyến và trao đổi. Do bộ định tuyến phải xử lý một lượng tin lớn vì thế so với cầu thì nó chậm hơn, có khả năng ảnh hưởng tới lượng tin tức. Trong quá trình chọn đường đi bộ định tuyến chỉ có hai cách lựa chọn, đó là chọn đường trạng thái tĩnh và chọn đường trạng thái động. Tương ứng với nó là bảng đường đi cũng có bảng đường đi tĩnh và bảng đường đi động. Bảng đường đi động có thể sửa chữa nên có thể nguy hại đối với an toàn của mạng. 4.2.5 Thiết kế và thực hiện hệ thống an toàn thông tin trên mạng. Thiết kế và thực hiện hệ thống an toàn và bảo mật tin tức trên mạng có thể phân thành ba bộ phận là cơ chế an toàn, nối tiếp an toàn và truyền dãn an toàn mạng. a/ Cơ chế an toàn bao gồm kho phép tính toán an toàn, kho tin tức an toàn và giao diện cửa nối thuê bao : - Kho phép tính an toàn bao gồm kho phép tính khóa riêng, kho phép tính khóa chung, kho hàm số Hash, chương trình phát sinh khóa mật mã, chương trình phát sinh số ngẫu nhiên và các phép tính xử lý an toàn khác. - Kho tin tức an toàn bao gồm mật khẩu và khóa mã của thuê bao, tham số cũng như quyền quản lý an toàn, trạng thái vận hành truớc mắt của hệ thống và những tin tức an toàn khác. - Giao diện cửa nối thuê bao gồm: giao diện thao tác phục vụ an toàn và quản lý tin tức an toàn. b/ Nối tiếp an toàn mạng bao gồm iao thức an toàn và modul cửa nối mạng thông tin : - Giao thức an toàn bao gồm: Giao thức cửa nối an toàn, giao thức chứng thực nhận dạng, giao thức phân phối khóa mã. - Modul cửa nối mạng thông tin căn cứ vào giao thức an toàn để thực hiện nói tiếp an toàn. Thông thường có hai phương thức thực hiện: + Phục vụ an toàn và thể chế an toàn được thực hiện trên tầng ứng dụng, sau khi chải qua xử lý tăng cường bảo mật tin tức được đưa đến tầng mạng và tầng giao vận, tiến hành truyền dẫn mạng và trao đổi thông suốt, ưu điểm của phương thức này là thực hiện đơn giản, không cần phải tiến hành bất kỳ thay đổi nào với hệ thống hiện có, số tiền phải đầu tư của thuê bao là tưong đối nhỏ. + Tiến hành sửa đổi đối với dạng thông tin hiện có, ở giữa tầng ứng dụng và tầng mạng, tăng thêm một tầng con an toàn, thực hiện tính tự động và tính thông suốt thao tác và xử lý an toàn . c/ Truyền dẫn an toàn mạng bao gồm hệ thống quản lý an toàn mạng, hệ thống đảm bảo an toàn mạng và hệ thống truyền dẫn an toàn mạng. - Hệ thống quản lý an toàn mạng. Được lắp đặt ở tram đầu cuối thuê bao hoặc trên kết nối mạng, do một chương trình có thể thực hiện hợp thành, cung cấp giao diện “bộ quản lý an toàn “ mở cửa, tương tác do thuê bao hoặc nhân viên quản lý bố trí, khống chế và quản lý truyền dẫn tin tức số liệu, kết hợp tiêu chuẩn quản lý tin tức tren mạng hiện có, thực hiện chức năng an toàn. - Hệ thống bảo đảm an toàn mạng. Mặt có thể tin cậy của cả hệ thống an toàn tin tức là tổng hoàn của sự an toàn thiết bị với an toàn tin tức, của sự bảo trì bảo hộ quản lý của nhân viên quản lý an toàn mạng . nó bao gồm: + Trung tâm quản lý phân phối khóa mã, phụ trách nhận dạng khóa mã,khóa công khai, khóa bí mật và sự sản sinh, phân phát và quản lý tiêu hủy khóa mã. + Trung tâm chứng thực nhận biết và cắt giảm tin tức. An toàn vật lý và an toàn Logic của hệ thống đảm bảo an toàn tin tức đều là quan trọng, nhất thiết phải được bảo hộ một cách chặt chẽ và toàn diện. đồng thời cũng cần phòng ngừa về sự công kích và thao tác sai sót trong nhân viên quản lý, trong môi trường ứng dụng cần thiết, có thể đưa vào cơ chế chia sẻ bí mật để giải quyếtvấn đề này. - Hệ thống truyền dẫn an toàn mạng bao gồm: bức tường lửa, khống chế an toàn , khống chế lưu lượng chọn đường đi. - Để hoàn thành thiết kế và thực hiện hệ thống an toàn và bảo mật tin tức trong mạng thì sự tuân thủ những bước đi thích hợp là việc làm có ích. Dưới đây là những bước thực thi mang tính tham khảo và kiến nghi nên dùng đối với thiết kế và thực hiện hệ thống an toàn , bảo mật tin tức trên mạng. * Bước thứ nhất: Xác định sự đối mặt đối với các loại công kích và rủi do gặp phải. thiết kế, thực hiện hệ thống an toàn tin tức và nhất thiết phải căn cứ vào hệ thống , hoàn cảnh cụ thể để khảo sát, phân tích, đánh giá, đo đạc, xác định sự sơ hở an toàn và uy hiếp an toàn tồn tại trong hệ thống. * Bước thứ hai: Phải làm rõ chính sách an toàn. Chính sách an toàn là mục tiêu và nguyên tắc thiết kế hệ thống an toàn, là phương án giải quyết an toàn đối vớihệ thống ứng dụng hoàn chỉnh. Chính sách an toàn được tổng hợp dưới đây và ưu tiên xác định: - Tính an toàn tổng thể của hệ thống do môi trường ứng dụng và nhu cầu của thuê bao quyết định, bao gồm mục tiêu an toàn và chỉ tiêu tính năng của hệ thống con của cơ chế an toàn . - Phụ tải và ảnh hưởng việc vận hành đối với hệ thống gây nên như kéo dài thời gian của mạng thông tin, số liệu mở rộng…. - Tiện lợi cho việc tiến hành khống chế, quản lý và bố chí nhân viên quản lý mạng. - Cửa nối lập trình có thể mở rộng, để tiẹn lợi cho việc đổi mới và nâng cấp. - Tính dễ thích nghi và tiện lợi trong sử dụng của giao diện cửa nối thuê bao. - Tổng mức đầu tư và thời gian thực hiện công trình * Bước thứ ba: Tiết lập mô hình an toàn. Sự thiết lập mô hình có thể làm cho vấn đề phức tạp trở nên đơn giản hơn, giải quyết vấn đề có liên quan đến chính sách an toàn càng tốt hơn. Mô hình an toàn bao gồm các hệ thống con của hệ thống an toàn tin tức. * Bước thứ tư: Chọn lọc và thực hiện an toàn phục vụ. đây là sự ứng dụng cụ thể của kỹ thuật mật mã hiện đại, cũng là sự đảm bảo tính an toàn của hệ thống an toàn tin tức trên mạng. Phục vụ an toàn có thể thông qua lập trình phần mềm hoặc vi mạch phần cứng để thực hiện. Trong lập trình phần mềm cần chú ý giải quyết quản lý bộ nhớ trong, tối ưu hóa lưu trình, nhằm nâng cao tính ổn định của chương trình vận hành và giảm thiểu thời gian tính toán. * Bước thứ năm: Đưa vấn đề bố chí phục vụ an toàn vào trong giao thức. Cơ chế an toàn và bản thân kỹ thuật mật mã không thể giải quyết được vấn đề an toàn tin tức, nhất thiết phải được thực hiện trong một giao thức an toàn hoàn chỉnh, toàn diện. Giao thức an toàn là một hình thức thực hiện của chính sách an toàn, cấu thành cả môi trường an toàn của hệ thống. 4.2.6 An toàn trên mạng Trên mạng máy tính nhiều tài nguyên được sử dụng theo hình thức sở hữu công cộng. Tương tự như vậy, nhiều người sử dụng các dịch vụ sẵn, có thể xâm nhập các tài nguyên của cá nhân và công cộng. Việc trao đổi thông tin trên mạng suy cho cùng đó là việc trao đổi thông tin dưới các hình thức thư tín điện tử hoặc truy nhập các file dữ liệu. như vậy muốn xây dựng phương án an toàn thông tin trên mạng, trước hết chúng ta tìm hiểu kỹ hơn về các kỹ thuật quản trị mạng và một số dịch vụ trên mạng. a/ Quản trị mạng: Hệ thống quản trị mạng bao gồm một hệ thống quản trị, một hệ bị quản trị, một cơ sơ dữ liệu chứa thông tin cần quản trị và giao thức quản trị mạng. Hệ thống quản trị cung cấp giao diện giữa người quản trị và thiết bị, ngoài ra còn thực hiện một số các nhiệm vụ khác. Hệ bị quản trị thực hiện các thao tác quản trị mạng như đặt các tham số cấu hình và thống kê các hoạt động hiện hành của một Router trên một Sement cho trước. các đối tượng có thể quản trị là: các máy chủ, trạm làm việc, chuyển mạch kênh truyền…. Mỗi đối tượng nầyđọcgwns với một bộ các thuộc tính cơ sở dữ liệu trong mạng được tổ chức dưới dạng cây. Các giao thức quản trị cung cấp các phương thức liên lạc giữa các đối tượng. b/ Một số dịch vụ trên mạng: Bao gồm các dịch vụ đặt tên, dịch vụ thư mục mạng NDS, bảo mật hệ thống file, các thư mục nhân bản dữ liệu ,phân chia tài nguyên khôi phục và khoan dung lỗidịch vụ thư tín điện tử… Tất cả các dịch vụ này nhằm đáp ứng cho việc quản lý thông tin trên mạng, đảm bảo an toàn hạn chế, tránh mất mát dò rỉ thong tin trên mạng. Mặt khác tránh các xâm phạm bất hợp thức đến các cơ sở dữ liệu mạng, các vi phạm vô hình hay cố ý quyền quản trị thông tin trên các cơ sở dữ liệu đó. Kẻ vi phạm có thể thâm nhập thông tin vào bất cứ điểm nào. Điểm đó có thể ở trên đường truyền , ở máy chủ nhiều người dùng hoặc tại các giao diện liên kết mạng (Bridge Geteway…). Trong quan hệ tương tác người máy, các thiết bị ngoại vi, đặc biệt là Terminal chính là cửa ngõ thuận lợi nhất cho việc thâm nhập. Ngoài ra cũng cần kể đến khả năng phản xạ điện từ của máy tính làm cho nó chở thành vật chuyển giao thông tin. Bằng một thiết bị chuyên dụng người ta có thể đón bắt các tia phát xạ này và giải mã chúng. Người ta cũng có thể sử dụng các tia bức xạ được điều khiển từ bên ngoài để tác động lên máy tính gây lỗi và sự cố đối với thiết bị và dữ liệu. Tất cả những điều tệ hại đó cũng có thể sảy ra trên đường truyền . Nói chung hầu hết các trường hợp chúng ta đều có thể đánh giá được thiệt hại của các vụ vi phạm, nhưng công việc rất cần thiết đó lại thường hay bị bỏ qua. Trước khi quyết định đầu tư cho các giải pháp bảo vệ thông tin cần phải đánh giá chi phí khôi phục lại dữ liệu và các tổn thất khác nếu những kẻ vi phạm tìm được cách thâm nhập vào mạng. Lời cảm ơn Em xin được bày tỏ lòng biết ơn đến các thày cô trong khoa điện tử viễn thông trường Đại học bách Khoa Hà Nội đã dạy em trong suốt khoá học vừa qua. đến nay em đã hoàn thành đốan tốt nghiệp nhờ sự hướng dẫn nhiệt tình của cô giáo Trần Ngọc Lan. Đồ án tốt nghiệp hoàn thành còn nhờ sự động viên cổ vũ nhiệt tình từ phía bạn bè và gia đình. Cũng thông qua đồ án tốt nghiệp xin được biết ơn mọi sự động viên và cổ vũ của bạn bè và gia đình. SV: Phan Thị Thuý Mục Lục

Các file đính kèm theo tài liệu này:

  • docxDA4.docx