dịch vụ mạng
Chương 4
Hệ thống tên miền DNS
Chương 4 sẽ tập trung nghiên cứu về hệ thống tên miền là một hệ thống
định danh phổ biến trên mạng TCP/IP nói chung và đặc biệt là mạng Internet.
Hệ thống tên miền tối quan trọng cho sự phát triển của các ứng dụng phổ biến
như thư tín điện tử, web...Cấu trúc hệ thống tên miền, cấu trúc và ý nghĩa của
các trường tên miền cũng như các kỹ năng cơ bản được cung cấp sẽ giúp cho
người quản trị có thể hoạch định được các nhu cầu liên quan đến tên miền cho
mạng lưới, tiến hành thủ tục đăng ký chính xác (nếu đăng ký tên miền Internet)
và đảm nhận được các công tác tạo mới, sửa đổi ... hay nói chung là các công
việc quản trị hệ thống máy chủ tên miền DNS
Chương 4 đòi hỏi các học viên phải quen thuộc với địa chỉ IP, việc soạn
thảo quản trị các tiến trình trên các hệ thống linux, unix, windows.
1. Giới thiệu
1.1. Lịch sử hình thành của DNS
Vào những năm 1970 mạng ARPanet của bộ quốc phòng Mỹ rất nhỏ và dễ
dàng quản lý các liên kết vài trăm máy tính với nhau. Do đó mạng chỉ cần một
file HOSTS.TXT chứa tất cả thông tin cần thiết về máy tính trong mạng và
giúp các máy tính chuyển đổi được thông tin địa chỉ và tên mạng cho tất cả
máy tính trong mạng ARPanet một cách dễ dàng. Và đó chính là bước khởi đầu
của hệ thống tên miền gọi tắt là DNS ( Domain name system)
Như khi mạng máy tính ARPanet ngày càng phát triển thì việc quản lý
thông tin chỉ dựa vào một file HOSTS.TXT là rất khó khăn và không khả thi.
Vì thông tin bổ xung và sửa đổi vào file HOSTS.TXT ngày càng nhiều và nhất
là khi ARPanet phát triển hệ thống máy tính dựa trên giao thức TCP/IP dẫn đến
sự phát triển tăng vọt của mạng máy tính:
nLưu lượng và trao đổi trên mạng tăng lên
nnTên miền trên mạng và địa chỉ ngày càng nhiều
uMật độ máy tính ngày càng cao do đó đảm bảo phát triển ngày càng khó
khăn
Đến năm 1984 Paul Mockpetris thuộc viện USC's Information Sciences
Institute phảt triển một hệ thống quản lý tên miền mới (miêu tả trong chuẩn
RFC 882 - 883) gọi là DNS (Domain Name System) và ngày này nó ngày càng
được phát triển và hiệu chỉnh bổ xung tính năng đểđảm bảo yêu cầu ngày càng
cao của hệ thống (hiện nay DNS được tiêu chuẩn theo chuẩn RFC 1034 - 1035)
1.2. Mục đích của hệ thống DNS
96
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Máy tính khi kết nối vào mạng Internet thì được gán cho một địa chỉ IP
xác định. Địa chỉ IP của mỗi máy là duy nhất và có thể giúp máy tính có thể
xác định đường đi đến một máy tính khác một cách dễ dàng. Nhưđối với người
dùng thì địa chỉ IP là rất khó nhớ. Do vậy cần phải sử dụng một hệ thống để
giúp cho máy tính tính toán đường đi một cách dễ dàng và đồng thời cũng giúp
người dùng dễ nhớ. Do vậy hệ thống DNS ra đời nhằm giúp cho người dùng có
thể chuyển đổi từđịa chỉ IP khó nhớ mà máy tính sử dụng sang một tên dễ nhớ
cho người sử dụng và đồng thời nó giúp cho hệ thống Internet dễ dàng sử dụng
để liên lạc và ngày càng phát triển.
Hệ thống DNS sử dụng hệ thống cơ sở dữ liệu phân tán và phân cấp
hình cây do đó việc quản lý sẽ dễ dàng và cũng rất thuận tiện cho việc chuyển
đổi từ tên miền sang địa chỉ IP và ngược lại. Cũng giống như mô hình quản lý
cá nhân của một đất nước mỗi cá nhân sẽ có một tên xác định đồng thời cũng
có địa chỉ chứng minh thưđể giúp quản lý con người một cách dễ dàng hơn
(nhưng khác là tên miền không được trùng nhau còn tên người thì vẫn có thể
trùng nhau)
Mỗi cá nhấn đều có một số căn cước để quản lý
Mỗi một địa chỉ IP tương ứng với một tên miền
Vậy tóm lại tên miền là (domain name) gì ? những tên gợi nhớ như
home.vnn.vn hoặc www.cnn.com thì được gọi là tên miền (domain name hoặc
DNS name). Nó giúp cho người sử dụng dễ dàng nhớ vì nó ở dạng chữ mà
người bình thường có thể hiểu và sử dụng hàng ngày.
Hệ thống DNS đã giúp cho mạng Internet thân thiện hơn với người sử
dụng do đó mạng internet phát triển bùng nổ một vài năm lại đây. Theo thống
trên thế giới vào thời điểm tháng 7/2000 số lượng tên miền được đăng ký là
93.000.000
Tóm lại mục đích của hệ thống DNS là:
nĐịa chỉ IP khó nhớ cho người sử dụng nhưng dễ dàng với máy tính
iTên thì dễ nhớ với người sử dụng như không dùng được với máy tính
tHệ thống DNS giúp chuyển đổi từ tên miền sang địa chỉ IP và ngược lại
giúp người dùng dễ dàng sử dụng hệ thống máy tính
97
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
2. DNS server và cấu trúc cơ sở dữ liệu tên miền
2.1.Cấu trúc cơ sở dữ liệu
Cơ sở dữ liệu của hệ thống DNS là hệ thống cơ sở dữ liệu phân tán và
phân cấp hình cây. Với .Root server là đỉnh của cây và sau đó các domain được
phân nhánh dần xuống dưới và phần quyền quản lý. Khi một client truy vấn
một tên miền nó sẽ lần lượt đi từ root phân cấp lần lượt xuống dưới đểđến
DNS quản lý domain cần truy vấn.
Cấu trúc của dữ liệu được phân cấp hình cây root quản lý toàn bộ sơđồ
và phân quyền quản lý xuống dưới và tiếp đó các tên miền lại được tiếp tục
chuyển xuống cấp thấp hơn (delegate) xuống dưới.
Zone
Hệ thống DNS cho phép phân chia tên miền để quản lý và nó chia hệ
thống tên miền ra thành zone và trong zone quản lý tên miền được phân chia đó
và nó chứa thông tin về domain cấp thấp hơn và có khả năng chia thành các
zone cấp thấp hơn và phân quyền cho các DNS server khác quản lý.
Ví dụ: zone ".com" thì DNS server quản lý zone ".com" chưa thông tin về các
bản ghi có đuôi là ".com" và có khả năng chuyển quyền quản lý (delegate) các
zone cấp thấp hơn cho các DNS khác quản lý như".microsoft.com" là vùng
(zone) do microsoft quản lý.
Root Server
RLà server quản lý toàn bộ cấu trúc của hệ thống DNS
gRoot server không chứa dữ liệu thông tin về cấu trúc hệ thống DNS mà
nó chỉ chuyển quyền (delegate) quản lý xuống cho các server cấp thấp hơn và
do đó root server có khả năng xác định đường đến của một domain tại bất cứ
đâu trên mạng
nHiện nay trên thế giới có khoảng 13 root server quản lý toàn bộ hệ thống
Internet (vị trí của root server như trên hình vẽ dưới)
98
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Hệ thống cơ sở dữ liệu của DNS là hệ thống dữ liệu phân tán hình cây
như cấu trúc đó là cấu trúc logic trên mạng Internet
Về mặt vật lý hệ thống DNS nằm trên mạng Internet không có có cấu
trúc hình cây nhưng nó được cấu hình phân cấp logic phân cấp hình cây phân
quyền quản lý.
Một DNS server có thể nằm bất cứ vị trí nào trên mạng Internet nhưng được
cấu hình logic để phân cấp chuyển tên miền cấp thấp hơn xuống cho các DNS
server khác nằm bất cứ vị trí nào trên mạng Internet (về nguyên tắc ta có thể
đặt DNS tại bất cứ vị trí nào trên mạng Internet. Nhưng tốt nhất là đặt DNS tại
vị trí nào gần với các client để dễ dàng truy vấn đến đồng thời cũng gần với vị
trí của DNS server cấp cao hơn trực tiếp của nó).
Mỗi một tên miền đều được quản lý bởi ít nhất một DNS server và trên
đó ta khai các bản ghi của tên miền trên DNS server. Các bản ghi đó sẽ xác
định địa chỉ IP của tên miền hoặc các dịch vụ xác định trên Internet như web,
thưđiện tử ...
99
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Sau đây là các bản ghi trên DNS
Tên trường Tên đầy đủ Mục đích
SOA Start of Authority Xác định máy chủ DNS có thẩm
quyền cung cấp thông tin về tên
miền xác định trên DNS
NS Name Server Chuyển quyền quản lý tên miền
xuống một DNS cấp thấp hơn
A Host Ánh xạ xác định địa chỉ IP của một
host
MX Mail Exchanger Xác định host có quyền quản lý thư
điện tử cho một tên miền xác định
PTR Pointer Xác định chuyển từđịa chỉ IP sang
tên miền
CNAME Canonical NAME Thường sử dụng xác định dịch vụ
web hosting
Cấu trúc của một tên miền
nDomain sẽ có dạng : lable.lable.label...lable
lĐộ dài tối đa của một tên miền là 255 ký tự
ựMỗi một Lable tối đa là 63 ký tự
ựLable phải bắt đầu bằng chữ hoặc số và chỉđược phép chứa chữ, số, dấu
trừ(-), dấu chấm (.) mà không được chứa các ký tự khác.
Phân loại tên miền
Hầu hết tên miền được chia thành các loại sau:
aArpa : tên miền ngược (chuyển đổi từđịa chỉ IP sang tên miền reverse
domain)
dCom : các tổ chức thương mại
iEdu : các cơ quan giáo dục
cGov : các cơ quan chính phủ
ủMil : các tổ chức quân sự, quốc phòng
cNet : các trung tâm mạng lớn
nOrg : các tổ chức khác
cInt : các tổ chức đa chính phủ (ít được sử dụng)
Ngoài ra hiện nay trên thế giới sử dụng loại tên miền có hai ký tự cuối để
xác định tên miền thuộc quốc gia nào (được xác định trong chuẩn ISO3166)
100
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Loại tên Miêu tả Ví dụ
Gốc
(domain root)
Nó là đỉnh của nhánh cây
của tên miền. Nó xác định
kết thúc của domain (fully
qualified domain names
FQDNs).
Tên miền cấp
một
(Top-level
domain)
tổ chức.
".com", xác định tên sử dụng trong
xác định là tổ chức thương mại .
Tên miền cấp
hai
(Second-level
domain)
Tên miền cấp
nhỏ hơn
(Subdomain)
Nó rất đa dạng trên internet,
nó có thể là tên của một
công ty, một tổ chức hay
một cá nhân .v.v. đăng ký
trên internet.
Chia nhỏ thêm ra của tên
miên cấp hai xuống thường
được sử dụng như chi
nhánh, phong ban của một
cơ quan hay một chủđề nào
đó.
Một số chú ý khi đặt tên miền:
nTên miền nên đặt giới hạn từ từ cấp 3 đến cấp 4 hoặc cấp 5 vì nếu nhiều
hơn nữa việc quản trị là khó khăn.
nSử dụng tên miền là phải duy nhất trong mạng internet
nNên đặt tên đơn giản gợi nhớ và tránh đặt tên quá dài
2.2. Phân loại DNS server và đồng bộ dư liệu giữa các DNS server
Có ba loại DNS server sau:
101
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Primary server
Nguồn xác thực thông tin chính thức cho các domain mà nó được phép
quản lý quản lý
Thông tin về tên miền do nó được phân cấp quản lý thì được lưu trữ tại đây
và sau đó có thểđược chuyển sang cho các secondary server.
Các tên miền do primary server quản lý thì được tạo và sửa đổi tại primary
server và sau đó được cập nhập đến các secondary server.
nSecondary server
DNS được khuyến nghị nên sử dụng ít nhất là hai DNS server để lưu cho
mỗi một zone. Primary DNS server quản lý các zone và secondary server được
sử dụng để lưu trữ dự phòng cho zone cho primary server. Secondary DNS
server được khuyến nghị dùng nhưng không nhất thiết phải có. Secondary
server được phép quản lý domain nhưng dữ liệu về domain không phải tạo tại
secondary server mà nó được lấy về từ primary server.
Secondary server có thể cung cấp hoạt động ở chếđộ không có tải trên
mạng. Khi lượng truy vấn zone tăng cao tại primary server nó sẽ chuyển bớt tải
sang secondary server hoặc khi primary server bị sự cố thì secondary sẽ hoạt
động thay thế cho đến khi primary server hoạt động trở lại
Secondary server nên được sử dụng tại nới gần với client để có thể phục vụ
cho việc truy vấn tên miền một cách dễ dàng. Nhưng không nên cài đặt
secondary server trên cùng một subnet hoặc cùng một kết nối với primary
server. Vì điều đó sẽ là một giải pháp tốt để sử dụng secondary server để dự
phòng cho primary server vì có thể kết nối đến primary server bị hỏng thì cũng
không ảnh hưởng gì đến secondary server.
Primary server luôn luôn duy trì một lượng lớn dữ liệu và thường xuyên
thay đổi hoặc thêm vào các zone. Do đó DNS server sử dụng một cơ chế cho
phép chuyển các thông tin từ primary server sang secondary server và lưu giữ
nó trên đĩa. Các thông tin nhận dữ liệu về các zone có thể sử dụng giải pháp lấy
toàn bộ (full) hoặc lấy phần thay đổi (incremental)
Nhiều secondary DNS server sẽ tăng độổn định hoạt động của mạng và
việc lưu trữ thông tin của tên miền một cách đảm bảo như một điều cần quan
tâm là dữ liệu của zone được chuyển trên mạng từ primary server đến các
secondary server sẽ làm tăng lưu lượng đường truyền và yêu cầu thời gian để
đồng bộ dữ liệu trên các secondary server.
sCaching-only server
Mặc dù tất cả các DNS server đều có khả năng lưu trữ dữ liệu trên bộ nhớ
cache của máy để trả lời truy vấn một cách nhanh chóng. Caching-only server
là loại DNS server chỉ sử dụng cho việc truy vấn, lưu giữ câu trả lời dựa trên
thông tin trên cache của máy và cho kết quả truy vấn. Chúng không hề quản lý
một domain nào và thông tin mà nó chỉ giới hạn những gì được lưu trên cache
của server.
102
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Khi nào thì sử dụng caching-only server ?. Khi mà server bắt đầu chạy thì
nó không có thông tin lưu trong cache. Thông tin sẽđược cập nhập theo thời
gian khi các client server truy vấn dịch vụ DNS. Nếu bạn sử dụng kết nối mạng
WAN tốc độ thấp thì việc sử dụng caching-only DNS server là một giải pháp
tốt nó cho phép giảm lưu lượng thông tin truy vấn trên đường truyền.
Chú ý
•Caching-only DNS server không chưa zone nào và cũng không quyền
quản lý bất kỳ domain nào. Nó sử dụng bộ nhớ cache của mình để lưu các truy
vấn DNS của client. Thông tin sẽđược lưu trong cache để trả lời cho các truy
vấn đến của client
•Caching-only DNS có khả năng trả lời các truy vấn như không quản lý
hoặc tạo bất cứ zone hoặc domain nào
•DNS server nói trung được khuyến nghị là được cấu hình sử dụng
TCP/IP và dùng địa chỉ IP tĩnh.
Đồng bộ dữ liệu giữa các DNS server (zone transfer)
Truyền toàn bộ zone
Bởi vì tầm quan trọng của hệ thống DNS và việc quản lý các domain thuộc
zone phải được đảm bảo. Do đó thường một zone thì thường được đặt trên hơn
một DNS server để tránh lỗi khi truy vấn tên miền thuộc zone đó. Nói cách
khác nếu chỉ có một server quản lý zone và khi server không trả lời truy vấn thì
các tên miền trong zone đó sẽ không được trả lời và không còn tồn tại trên
Internet. Do đó ta cần có nhiều DNS server cùng quản lý một zone và có cơ chế
để chuyển dữ liệu của các zone và đồng bộ nó từ một DNS server này đến các
DNS server khác
Khi một DNS server mới được thêm vào mạng thì nó được cấu hình như
một secondary server mới cho một zone đã tồn tại. Nó sẽ tiến hành nhận toàn
bộ (full) zone từ DNS server khác. Như DNS server thế hệđầu tiên thường
dùng giải pháp lấy toàn bộ cơ sở dữ liệu về zone khi có các thay đổi trong zone.
Truyền phần thay đổi (Incremental zone)
Truyền chỉ những thay đổi (incremental zone transfer) của zone được miêu
tả chi tiết trong tiêu chuẩn RFC 1995. Nó là phần bổ xung cho chuẩn sao chép
DNS zone. Incremental transfer thì đươc hỗ trợ bởi cả DNS server là nguồn lấy
thông tin và DNS server nhận thông tin về zone, nó cung cấp giải pháp hiệu
quả cho việc đồng bộ nhưng thay đổi hoặc thêm bớt zone.
Giải pháp ban đầu cho DNS yêu cầu cho việc thay đổi dữ liệu về zone là
truyền toàn bộ dữ liệu của zone sử dụng truy vấn AXFR. Với việc chỉ truyển
các thay đổi (incremental transfer) sẽ sử dụng truy vấn (IXFR) được sử dụng
thay thế cho AXFR. Nó cho phép secondary server chỉ lấy về như zone thay
đổi đểđồng bộ dữ liệu.
Với trao đổi IXFR zone, thì sự khác nhau giữa versions của nguồn dữ liệu
và bản sao của nó. Nếu cả hai bản đều có cùng version ( xác định bởi số serial
103
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
trong khai báo tại phần đầu của zone SOA "start of authority") thì việc truyền
dữ liệu của zone sẽ không được thực hiện.
Nếu số serial cho dữ liệu nguồn lớn hơn số serial của secondary server thì
nó sẽ thực hiện chuyển những thay đổi với các bản ghi nguồn (Resource record
- RR) của zone. Để truy vấn IXFR thực hiện thành công và các thay đổi được
gửi thì tại DNS server nguồn của zone phải lưu gữi các phần thay đổi để sử
dụng truyền đến nơi yêu cầu của truy vấn IXFR. Incremental sẽ cho phép lưu
lượng truyền dữ liệu là ít và thực hiện nhanh hơn.
SOA vdc-hn01.vnn.vn. postmaster.vnn.vn. (
82802 ; serial number
; refresh every 30 mins
; retry every hour
; expire after 24 hours
; minimum TTL 2 hours
NS vdc-hn01.vnn.vn.
NS hcm-server1.vnn.vn.
Zone transfer sẽ xảy ra khi có nhưng hành động sau xảy ra:
•Khi quá trình làm mới của zone kết thúc (refresh expire)
•Khi secondary server được thông báo zone đã thay đổi tại server nguồn
quản lý zone
•Khi dịch vụ DNS bắt đầu chạy tại secondary server
•Tại secondary server yêu cầu chuyển zone
Sau đây là các bước yêu cầu từ secondary server đến DNS server chứa zone
để yêu cầu lấy dữ liệu về zone mà nó quản lý.
1.Trong khi cấu hình mới DNS server. Thì nó sẽ gửi truy vấn yêu cầu gửi
toàn bộ zone ("all zone" transfer (AXFR) request) đến DNS server quản lý
chính dữ liệu của zone
2.DNS server chính quản lý dữ liệu của zone sẽ trả lời và chuyển toàn bộ
dữ liệu về zone đến secondary (destination) server mới cấu hình.
zone thì được chuyển đến DNS server yêu cầu căn cứ vào version được xác
định bằng số Serial tại phần khai báo (start of authority SOA). Tại phần SOA
cũng có chứa các thông số xác định thời gian làm mới lại zone ...
3.Khi thời gian làm mới (refresh interval) của zone hết, thì DNS server
nhận dữ liệu sẽ truy vấn yêu cầu làm mới zone tới DNS server chính chứa dữ
liệu zone.
4.DNS server chính quản lý dữ liệu sẽ trả lời truy vấn và gửi lại dữ liệu.
Trả lời sẽ bao gồm cả số serial của zone hiện tại tại DNS server chính.
5.DNS server nhận dữ liệu về zone sẽ kiểm tra số serial trong trả lời và
quyết định sẽ làm thế nào với zone
104
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Nếu giá trị của số serial bằng với số hiện tại tại DNS server nhận trả lời thì
nó sẽ kết luận rằng sẽ không cần chuyển dữ liệu về zone đến. Và nó sẽ thiết lập
lại với các thông số cũ và thời gian để làm mới lại bắt đầu.
Nếu giá trị của số serial tại DNS server chính lớn hơn giá trị hiện tại tại dữ
liệu DNS nới nhận thì nó kết luận rằng zone cần phải được cập nhập và việc
chuyển zone là cần thiết.
6.Nếu DNS server nơi nhận kết luận rằng zone cần phải thay đổi và nó sẽ
gửi truy vấn IXFR tới DNS server chính để yêu cầu gửi zone
7.DNS server chính sẽ trả lời với việc gửi những thay đổi của zone hoặc
toàn bộ zone
Nếu DNS server chính có hỗ trợ việc gửi những thay đổi của zone thì nó sẽ
gửi những phần thay đổi (incremental zone transfer (IXFR) of the zone.). Nếu
nó không hỗ trợ thì nó sẽ gửi toàn bộ zone (full AXFR transfer of the zone)
3. Hoạt động của hệ thống DNS
Hệ thống DNS hoạt động động tại lớp 4 của mô hình OSI nó sử dụng
truy vấn bằng giao thức UDP và mặc định là sử dụng cổng 53 để trao đổi thông
tin về tên miền.
Họat động của hệ thống DNS là chuyển đổi tên miền sang địa chỉ IP và
ngược lại. Hệ thống cơ sở dữ liệu của DNS là hệ thống cơ sở dữ liệu phân tán,
các DNS server được phân quyền quản lý các tên miền xác định và chúng liên
kết với nhau để cho phép người dùng có thể truy vấn một tên miền bất kỳ (có
tồn tại) tại bất cứđiểm nào trên mạng một các nhanh nhất
-G ¹ T ¹ T
Nhưđã trình bầy các DNS server phải biết ít nhất một cách đểđến được
root server và ngược lại. Như trên hình vẽ muốn xác định được tên miền
mit.edu thì root server phải biết DNS server nào được phân quyền quản lý tên
miền mit.edu để chuyển truy vấn đến.
105
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Nói tóm lại tất cả các DNS server đều được kết nối một cách logic với nhau:
iTất cả các DNS server đều được cấu hình để biết ít nhất một cách đến
root server
rMột máy tính kết nối vào mạng phải biết làm thế nào để liên lạc với ít
nhất là một DNS server
Hoạt động của DNS
Khi DNS client cần xác định cho một tên miền nó sẽ truy vấn DNS.
Truy vấn DNS và trả lời của hệ thống DNS cho client sử dụng thủ tục UDP
cổng 53, UPD hoạt động ở mức thứ 3 (network) của mô hình OSI, UDP là thủ
tục phi kết nối (connectionless), tương tự như dịch vụ gửi thư bình thường bạn
cho thư vào thùng thư và hy vọng có thể chuyển đến nơi bạn cần gửi tới.
Mỗi một message truy vấn được gửi đi từ client bao gồm ba phần thông tin :
nTên của miền cần truy vấn (tên đầy đủ FQDN)
Xác định loại bản ghi là mail, web ...
nLớp tên miền (phần này thường được xác định là IN internet, ởđây
không đi sâu vào phần này)
Ví dụ : tên miền truy vấn đầy đủ như
"hostname.example.microsoft.com.", và loại truy vấn là địa chỉ A. Client truy
vấn DNS hỏi "Có bản ghi địa chỉ A cho máy tính có tên là
"hostname.example.microsoft.com" khi client nhận được câu trả lời của DNS
server nó sẽ xác định địa chỉ IP của bản ghi A.
Có một số giải pháp để trả lời các truy vấn DNS. Client có thể tự trả lời
bằng cách sử dụng các thông tin đã được lưu trữ trong bộ nhớ cache của nó từ
những truy vấn trước đó. DNS server có thể sử dụng các thông tin được lưu trữ
trong cache của nó để trả lời hoặc DNS server có thể hỏi một DNS server khác
lấy thông tin đó để trả lời lại client.
Nói chung các bước của một truy vấn gồm có hai phần như sau:
•Truy vấn sẽ bắt đầu ngay tại client computer để xác định câu trả lời
•Khi ngay tại client không có câu trả lời, câu hỏi sẽđược chuyển đến
DNS server để tìm câu trả lời.
Tự tìm câu trả lời truy vấn
Bước đầu tiên của quá trình sử lý một truy vấn. Tên miền sử dụng một
chương trình trên ngay máy tính truy vấn để tìm câu trả lời cho truy vấn. Nếu
truy vấn có câu trả lời thì quá trình truy vấn kết thúc
Ngay tại máy tính truy vấn thông tin được lấy từ hai nguồn sau:
•Trong file HOSTS được cấu hình ngay tại máy tính. Các thông tin ánh
xạ từ tên miền sang địa chỉđược thiết lập ở file này được sử dụng đầu tiên. Nó
được tải ngay lên bộ nhớ cache của máy khi bắt đầu chạy DNS client.
106
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
•Thông tin được lấy từ các câu trả lời của truy vấn trước đó. Theo thời
gian các câu trả lời truy vấn được lưu giữ trong bộ nhớ cache của máy tính và
nó được sử dụng khi có một truy vấn lặp lại một tên miền trước đó.
Truy vấn DNS server
Khi DNS server nhận được một truy vấn. Đầu tiên nó sẽ kiểm tra câu trả
lời liệu có phải là thông tin của bản ghi mà nó quản lý trong các zone của
server. Nếu truy vấn phù hợp với bản ghi mà nó quản lý thì nó sẽ sử dụng
thông tin đó để trả lời trả lời (authoritatively answer) và kết thúc truy vấn.
Nếu không có thông tin về zone của nó phù hợp với truy vấn. Nó sẽ
kiểm tra các thông tin được lưu trong cache liệu có các truy vấn tương tư nào
trước đó phù hợp không nếu có thông tin phù hợp nó sẽ sử dụng thông tin đó để
trả lời và kết thúc truy vấn.
Nếu truy vấn không tìm thấy thông tin phù hợp để trả lời từ cả cache và
zone mà DNS server quản lý thì truy vấn sẽ tiếp tục. Nó sẽ nhờ DNS server
khác để trả lời truy vấn đển khi tìm được câu trả lời.
Các cách để DNS server liên lạc với nhau xác định câu trả lời
Trường hợp Root server kết nối trực tiếp với server tên miền cần truy vấn
R o o t s e r v e r
5
2
V d c .c o m . v n
4
3
A b c .c o m
6
P C A
1
W w w .a b c .c o m
Hình 4.1: Root server kết nối trực tiếp với server tên miền cần truy vấn
Trong trường hợp root server biết được DNS server quản lý tên miền
cần truy vấn. Thì các bước của truy vấn sẽ như sau:
Bước 1 : PC A truy vấn DNS server tên miền vdc.com.vn. (là local name
server) tên miền www.abc.com.
Bước 2 : DNS server tên miền vdc.com.vn không quản lý tên miền
www.abc.com do vậy nó sẽ chuyển truy vấn lên root server.
Bước 3 : Root server sẽ xác định được rằng DNS server quản lý tên miền
www.abc.com là server DNS.abc.com và nó sẽ chuyển truy vấn đến DNS
server DNS.abc.com để trả lời
Bước 4 : DNS server DNS.abc.com sẽ xác định bản ghi www.abc.com và trả
lời lại root server
Bước 5 : Root server sẽ chuyển câu trả lời lại cho server vdc.com.vn
107
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Bước 6 : DNS server vdc.com.vn sẽ chuyển câu trả lời về cho PC A và từđó
PC A có thể kết nối đến PC B (quản lý www.abc.com)
Trường hợp root server không kết nối trực tiếp với server tên miền cần truy vấn
R o o t s e rv e r
7
2
6
3
D n s .c o m .s g
V d c .c o m .v n
8
4
1
5
P C A
D n s .a b c .c o m .s g
W w w .a b c .c o m .s g
Hình 4.2: Root server không kết nối trực tiếp với server tên miền cần truy vấn
Trong trường hợp không kết nối trực tiếp thì root server sẽ hỏi server
trung gian (phân lớp theo hình cây) để xác định được đến server tên miền quản
lý tên miền cần truy vấn
Bước 1 - PC A truy vấn DNS server vdc.com.vn (local name server) tên miền
www.acb.com.sg.
Bước 2 - DNS server vdc.com.vn không quản lý tên miền www.abc.com.sg vậy
nó sẽ chuyển lên root server.
Bước 3 - Root server sẽ không xác định được DNS server quản lý trực tiếp tên
miền www.abc.com.sg nó sẽ căn cứ vào cấu trúc của hệ thống tên miền để
chuyển đến DNS quản lý cấp cao hơn của tên miền abc.com.sg đó là com.sg và
nó xác định được rằng DNS server DNS.com.sg quản lý tên miền com.sg.
Bước 4 - DNS.com.sg sau đó sẽ xác định được rằng DNS server
DNS.abc.com.sg có quyền quản lý tên miền www.abc.com.sg.
Bước 5 - DNS.abc.com.sg sẽ lấy bản ghi xác định cho tên miền
www.abc.com.sg để trả lời DNS server DNS.com.sg.
Bước 6 - DNS.com.sg sẽ lại chuyển câu trả lời lên root server.
Bước 7 - Root server sẽ chuyển câu trả lời trở lại DNS server vdc.com.vn.
Bước 8 - Và DNS server vdc.com.vn sẽ trả lời về PC A câu trả lời và PC A đã
kết nối được đến host quản lý tên miền www.abc.com.sg.
Khi các truy vấn lặp đi lặp lại thì hệ thống DNS có khả năng thiết lập
chuyển quyền trả lời đến DNS trung gian mà không cần phải qua root server và
nó cho phép thời gian truy vấn được giảm đi.
108
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Root server
3
2
4
Dns.com.sg
Vdc.com.vn
7
8
5
1
6
PC A
Dns.abc.com.sg
W ww.abc.com.sg
Hoạt động của DNS cache
Khi DNS server sử lý các truy vấn của client và sử dụng các truy vấn lặp
lại. Nó sẽ xác định và lưu lại các thông tin quan trọng của tên miền mà client
truy vấn. Thông tin đó sẽđược ghi lại trong bộ nhớ cache của DNS server.
Cache lưu giữ thông tin là giải pháp hữu hiệu tăng tốc độ truy vấn thông
tin cho các truy vấn thường xuyên của các tên miền hay được sử dụng và làm
giảm lưu lượng thông tin truy vấn trên mạng.
DNS server khi thực hiện các truy vấn đệ quy cho client thì DNS server
sẽ tạm thời lưu trong cache bản ghi thông tin ( resource record - RR) lấy được
từ DNS server lưu trữ thông tin về truy vấn đó. Sau đó một client khác truy vấn
yêu cầu thông tin của đúng bản ghi đó thì nó sẽ lấy thông tin ban ghi (RR) lưu
trong cache để trả lời.
Khi thông tin được lưu trong cache. Thì các bản ghi RR được ghi trong
cache sẽđược cung cấp thời gian sống (TTL - Time-To-Live). Thời gian sống
của một bản ghi trong cache là thời gian mà nó tồn tại trong cache và được
dùng để trả lời cho các truy vấn của client khi truy vấn tên miền trong bản ghi
đó. Thời gian sống (TTL) được khai khi cấu hình cho các zone. Giá trị mặc
định nhỏ nhất của thời gian sống (Minimum TTL) là 3600 giây (1 giờ) như giá
trị này ta có thể thay đổi khi cấu hình zone. Hết thời gian sống bản ghi sẽđược
xóa khỏi bộ nhớ cache.
4. Bài tập thực hành
Bài 1: Cài đặt DNS Server cho Window 2000
Mở cửa sổ quản lý DNS
Bước 1: Mở của sổ quản lý DNS
109
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Bấm vào mune Start chọn Programs và sau đó là "Administrative tools" Chọn
"DNS Manager"
Bước 2: Cửa sổ quản lý DNS server sẽ xuất hiện
110
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Tại cửa số quản lý DNS server bạn có thể khai báo các tính năng của DNS
Thêm trường (zone)
zone là tên miền (domain name) mà server quản lý. Tại cửa sổ quản lý DNS tại
phần server quản lý bấm chuột phải để hiện menu và chọn "new zone" như
hình trên
Bấm và "new zone" sẽ hiện cửa sổ cho phép chọn kiểu dữ liệu mà zone quản lý.
Standard Primary là loại dữ liệu của zone được khai báo và quản lý ngay tại
server. Còn Stardard Secondary là loại zone mà dữ liệu được lấy về từ
Standard Primary và dữ liệu cũng nằm trên server . Standard Primary thường
sử dụng để dự phòng cho các zone đã tồn tại. Bấm Nextđể tiếp tục
111
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Sẽ xuất cửa sổ như trên. Forward lookup zone là loại zone quản lý việc chuyển
đổi từ domain name sang địa chỉ IP. Còn phần Reverse lookup zone quản lý
việc chuyển đổi từ IP sang Domain name. Bấm Next tiếp tục
Tại cửa sổ này điền zone (domain name) mà sẽ quản lý. Bấm Next tiếp tục
Điền tên của file để lưu trữ zone tại "Create a new file with this file name"
hoặc sử dụng file có sẵn tại "Use this existing file" Và bấm Next cho đến khi
xuất hiện nút finishđể kết thúc tạo zone
Thêm tên miên (domain name)
Tại của sổ quản lý domain chọn vào server và bấm chuột phải hiện lên
menu và chọn "New Domain..." đểđiền một domain mới.
112
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Sau khi bấm vào "New Domain" nó sẽ xuất hiện cửa sổ cho phép bạn
điền tên miền mà server được phép quản lý. Sau khi điền bấm "OK"để kết thúc
Thêm một host mới
Tại cửa sổ quản lý DNS chọn zone đã tạo và bấm chuột phải chọn "new
host"
113
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Xuất hiện cửa sổ cho phép ta khai báo host mới
Bạn điền tên của host mà muốn tạo. Tên của host sẽđược tựđộng điền
thêm phần domain để thành tên đầy đủ của host.
Ví dụ: như trên đây là vùng quản lý zone (location) là ktm.vnn.vn. Vậy
khi bạn điền Name là www và IP address là 203.162.0.100 thì sẽ tương ứng
với định nghĩa domain www.ktm.vnn.vn. trỏđến địa chỉ IP 203.162.0.100
www.ktm.vnn.vn. IN A 203.162.0.100
Tạo một bản ghi web (tạo bí danh)
Tại cửa sổ quản lý Domain và tên miền vừa tạo và bấm chuột phải và
chọn "New Alias" để tạo một CNAME đến một host.
Bấm và "New Alias..." sẽ xuất hiện cửa sổ cho phép khai báo Alias
114
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Tại phần "Alias name"điền tên tạo alias và tại phần "Fully qualified
name for target host"điền tên đầy đủ của một host mà muốn tạo bí danh (
thường được sử dụng cho webhosting)
Ví dụ : www.ktm.vnn.vn. IN CNAME ktm.vnn.vn.
Ta sẽ có trang web www.ktm.vnn.vn đặt trên server web có tên là ktm.vnn.vn.
Tạo một bản ghi thưđiện tử (MX)
Tại cửa sổ quản lý DNS tại tên miền muốn tạo bản ghi MX bấm chuột
phải
Sau khi bấm vào"New Mail Exchanger.." sẽ xuất hiện cửa sổ cho phép
tạo các thông số cho bản ghi mx
115
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Điền tại "Host or domain"điền tên hoặc để trống tên này kết hợp với
phần zone "Parent domain"để tạo thành domain đầy đủ của bản ghi thưđiện
tử. Tại "Mail server"điền tên của server thưđiện tử và tại "Mail server
priority"điền mức độưu tiên của server thưđiện tử (độ lớn càng nhỏ mức ưu
tiên càng cao)
Ví dụ trên hình ta có:
mail.ktm.vnn.vn IN MX 10 mr-hn.vnn.vn.
Ta có tên miền thưđiện tử mail.ktm.vnn.vn. ( ta có thể tạo được các
hộp thư [email protected] ) được chứa tại server thưđiện tử mr-
hn.vnn.vn với mức ưu tiên là 10
Chuyển quyền quản lý têm miền (delegate)
Tại cửa sổ quản lý DNS tại domain muốn chuyển quyền quản lý bấm
chuột phải.
116
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Bấm vào "New Delegation..." để hiện cửa sổ cho phép chuyển quyền
quản lý tên miền
Điền phần domain mà bạn muốn chuyển quyền quản lý vào "Delegated
domain"
Ví dụởđây điền là abc nghĩa là bạn muốn chuyển quyền quản lý
domain abc.ktm.vnn.vn. Bấm "Next"để tiếp tục
117
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Hiện cửa sổđiền vào "Server name" tên của DNS server sẽđược phép
quản lý tên miền abc.ktm.vnn.vn. Bấm "Resolve"để xác định địa chỉ IP của
DNS server. Sau đó bấm "Ok" để kết thúc.
Ví dụ abc.ktm.vnn.vn. IN NS vdc-hn01.vnn.vn.
Tương ứng tên miền abc.ktm.vnn.vn. sẽđược chuyển quyền về DNS
server vdc-hn01.vnn.vn để quản lý.
Bài 2: Cài đặt, cấu hình DNS cho Linux
Hiện tại trên Internet rất nhiều nhà cung cấp phần mềm miễn phí cho
DNS. Nhưng phần mền sử dụng DNS cho unix được sử dụng phổ biến hiện này
là gói phần mềm cho DNS là Bind
Bind được phát triển bởi một tổ chức phi lợi nhuận là Internet Software
Consortium (www.isc.org) và nó cung cấp phần mền bind miễn phí.
Hiện tại phần mềm bind có version là 9.2.2
Phần mền Bind còn cung cấp tiện ích nslookup là công cụ rất tiện lợi
cho việc kiểm tra tên miền
Khai báo DNS cho client/server
Với client sử dụng linux hoặc unix ta vào file /etc/resolv.conf
cClient chỉ lấy thông tin về các domain
nClient chỉ gửi query tới server và nhận trả lời
Cấu hình DNS server
Cấu bình resolver như của (DNS client)
tCấu hình Bind cho name server (named)
118
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Xây dự cơ sở dữ liệu cho DNS (cho các zone file)
Cấu hình cho DNS client /etc/resolv.conf
Các từ khóa Miêu tả
nameserver địa chỉ Địa chỉ IP của DNS server sẽ gửi truy vấn đến để
lấy thông tin về domain
domain name xác định domain mặc định của client
Với DNS client chỉ cần cấu hình file resolv.conf
Cài đặt DNS server.
Ta có thể lấy chương trình cài đặt bind cho DNS tại www.isc.org lấy về
server
cd /usr/src
mkdir bind-9.xx
cd bind-9.xx
Lấy chương trình cài đặt DNS vềđây bind-9.xx-src.tar.gz
gunzip bind-9.xx-src.tar.gz
tar xf bind-9.xx-src.tar
rm bind-9.xx-src.tar
cd src
make clean
make depend
make install
Vậy là ta đã cài xong phần mền named cho DNS và các zone file sẽđược chứa
trong /var/named còn file cấu hình nằm trong /usr/local/etc vậy ta phải tạo và
đặt file cấu hình và zone file vào các thư mục trên và chạy
#/usr/local/sbin/named
Vậy là server đã sẵn sàng cho truy vấn DNS
119
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Cấu trúc file cơ sở dữ liệu (zone file)
Các file cơ sở dữ liệu zone được chỉ làm hai loại cho domain (có dạng
db.domain hoặc domain.root) và các domain ngược ( db.address ) và nó nằm
trong thư mục /var/named của DNS server.
Các dữ liệu nằm trong file cơ dữ liệu được gọi là DNS resource record.
Các loại resource record trong file dữ liệu bao gồm:
SOA record
Chỉ rõ domain ở cột quản lý bởi name server ghi sau trường SOA. Trong
trường hợp file db.domain
@ IN SOA vdc-hn01.vnn.vn. postmaster.vnn.vn. (
1999082802 ; serial number
1800 ; refresh every 30 mins
3600 ; retry every hour
86400 ; expire after 24 hours
6400 ; minimum TTL 2 hours
)
IN NS vdc-hn01.vnn.vn.
IN NS hcm-server1.vnn.vn.
Khai báo zone ngược db.203.162.0
@ IN SOA vdc-hn01.vnn.vn. postmaster.vnn.vn. (
1999082301 ; Serial
10800 ; Refresh after 3 hours
3600 ; Retry after 1 hour
604800 ; Expire after 1 week
86400 ) ; Minimum TTL of 1 day
; name servers
IN NS vdc-hn01.vnn.vn.
IN NS hcm-server1.vnn.vn.
6 IN PTR ldap.vnn.vn.
7 IN PTR hanoi-server1.vnn.vn.
8 IN PTR hanoi-server2.vnn.vn.
9 IN PTR mail.vnn.vn.
Trong mỗi zone chỉ khai một trường SOA. Như ví dụ trên trong trường
hợp file db.com.vn, chữ @ biể thị các tất cả các domain trong file quản lý bởi
name server vdc-hn01.vnn.vn và địa chỉ mail của admin mạng là
postmaster.vnn.vn. Ngoài ra trong phần SOA có 5 thông số cần quản tâm sau:
Serial number : Thông số này có tác dụng với tất cả các dữ liệu trong file. Khi
secondary server yêu cầu primary server các thông tin về domain mà nó quản
lý thì đầu tiên nó sẽ so sánh serial number của secondary và primary server.
120
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Nếu serial number của secondary server nhỏ hơn của primary server thì dữ liệu
của domain sẽđược cập nhập lại cho secondary server từ secondary server.
Mỗi khi ta thay đổi nội dung của file db.domain thì ta cần phải thay đổi
serial number và thường ta đánh serial number theo nguyên tắc sau:
Serial number : yyyymmddtt
trong đó : yyyy là năm
mm là tháng
dd là ngày
tt là số lần sửa đổi trong ngày
Refresh: là chu kỳ thời gian mà secondary server sẽ sánh và cập nhập lại dữ
liệu của nó với primary server
Retry: nếu secondary server không kết nối được với primary server thì cứ sau
một khoảng thời gian thì nó sẽ kết nối lại
Expire : là khoảng thời gian mà domain sẽ hết hiệu lực nếu secondary không
kết nối được với primary server.
TTL (time to live) : khi một server bất kỳ yêu cầu thông tin về dữ liệu nào đó từ
primary server, và dữ liệu đó sẽđược lưu giữ tại server đó và có hiệu lực trong
khoảng thời gian của TTL. Hết khoảng thời gian đó nếu tiếp tục cần thì nó lại
phải truy vấn lại primary server.
Các bản ghi thường dùng trong DNS server
NS (name server) : Bản ghi NS để xác định DNS server nào sẽ quản lý tên
miền. Như ví dụở trên là DNS server vdc-hn01.vnn.vn. và hcm-
server1.vnn.vn.
A (address) : Bản ghi dạng A cho tương ứng một domain name với một địa chỉ
IP. Chỉ cho phép khai báo một bản ghi A cho một địa chỉ IP.
Ví dụ:
Tên miền Internet Loại bản ghi Địa chỉ
mr.vnn.vn. IN A 203.162.4.148
mr-hn.vnn.vn. IN A 203.162.0.24
mail.vnn.vn. IN A 203.162.0.9
fmail.vnn.vn. IN A 203.162.4.147
hot.vnn.vn. IN A 203.162.0.23
home.vnn.vn. IN A 203.162.0.12
121
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
www.vnn.vn. IN A 203.162.0.16
CNAME (canonical name) : là tên phụ cho một host có sẵn tên miền dạng A.
Nó thường được sử dụng cho các server web, ftp
Ví dụ : các domain có dạng CNAME được chỉ tới các máy chủ web
Tên miền Internet Loại bản ghi Server
www.gpc.com.vn. IN CNAME home.vnn.vn.
www.huonghai.com.vn. IN CNAME home.vnn.vn.
www.songmayip.com.vn. IN CNAME hot.vnn.vn.
www.covato2.com.vn. IN CNAME hot.vnn.vn.
MX (mail exchange): là tên phụ cho các dịch vụ mail trên các máy chủ
đã có tên miền dạng A. Bản ghi này cho phép máy chủ có thể cung cấp dịch vụ
mail cho các domain khác nhau. Có thể khai báo nhiều domain khác nhau cùng
chỉ tới một server hoặc một domain trỏ tới nhiều server khác nhau ( sử dụng
backup) trong trường hợp này giá trịưu tiên phải đặt khác nhau. Với sốưu tiên
càng nhỏ thì mức độưu tiên càng cao.
Ví dụ
Tên miền
Internet
Loại bản
ghi
mức ưu
tiên
Server
mrvn.vnn.vn. IN MX 10 mr.vnn.vn.
clipsalvn.vnn.vn. IN MX 10 mr-hn.vnn.vn.
dbqnam.vnn.vn. IN MX 10 mr-hn.vnn.vn.
thangloi.vnn.vn. IN MX 50 mail.netnam.vn.
IN MX 100 fallback.netnam.vn.
PTR (Pointer) : là bản ghi tương ứng địa chỉ IP với domain. Các file dạng
db.address. Ví dụ db.203.162.0 cho tương ứng với các địa chỉ IP tương ứng với
mạng 203.162.0.xxx
Chú ý :
Trước mỗi phần khai báo domain thường có dòng
$ORIGIN domain.
Để khai báo giá trị mặc định của domain. Cho phép trong phần khai báo giá trị
không phải khai báo lặp lại phần domain mặc định.
Ví dụ :
vdc.com.vn. IN A 203.162.0.49
hoặc
122
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
$ORIGIN com.vn.
vdc IN A 203.162.0.49
Dấu ";" được sử dụng làm ký hiệu dòng chú thích, các phần sau dấu ";" đều
không có tác dụng.
Định nghĩa cấu hình (name.conf)
Khi các file cơ sở dữ liệu (zone file) thì cần phải cấu hình để DNS
server đọc các zone file đó. Đối với hệ thống BIND cơ chế chỉ dẫn name server
đọc các zone file được khai trong file named.conf nó được nằm trong thư mục
/etc hoặc /usr/local/etc
Ví dụ : khai báo file db trong file named.conf:
; khai báo cho zone file domain.vn
zone "vn." in {
type master;
file "db.vn";
};
;khai báo cho zone file domain.gov.vn
zone "gov.vn." in {
type master;
file "db.gov.vn";
};
;khai báo cho zone ngược 203.162.0.xxx
zone "0.162.203.in-addr.arpa" in {
type master;
file "db.203.162.0";
};
;khai báo cho zone ngược 203.162.1.xxx
zone "1.162.203.in-addr.arpa" in {
type master;
file "db.203.162.1";
};
Chú ý: sau mỗi lần thay đổi dữ liệu để sửa đổi có tác dụng thì cần phải làm
động tác để DNS server cập nhập thay đổi
%su
%password:
# ps -ef | grep named
root 17413 1 5 Sep 07 ? 189:52 /usr/local/sbin/named
# kill -HUP 17413
Còn để chạy DNS server
123
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
#/usr/local/sbin/named
Hướng dẫn sử dụng nslookup
nslookup - là công cụ trên internet cho phép truy vấn tên miền và địa chỉ IP
một cách tương tác.
Cấu trúc câu lệnh
nslookup [ -option ... ] [ host-to-find | - [ server ]]
Miêu tả các lệnh của nslookup
server domain & lserver domain Change the default server to domain.
Lserver uses the initial server to look up information about domain while
server uses the current default server. If an authoritative answer can't be
found, the names of servers that might have the answer are returned.
root Thay đổi server mặc định sẽ làm root cho domain truy vấn.
ls [option] domain [>> filename]
Hiện danh sách thông tin của domain. Mặc định là hiện tên của host và địa chỉ
IP. Ta có thể sử dụng các lựa chọn để hiện nhiều thông tin hơn:
-t querytype hiện danh sách tất cả bản ghi xác định bởi loại querytype
-a hiện danh sách các bí danh (aliaes) của domain host (tương tự như -t
CNAME)
-d hiện danh sách các bản ghi của domain (tương tự như -t ANY)
-h hiện danh sách thông tin về CPU và thông tin về hệđiều hành của
domain. (tương tự như -t HINFO)
? hiện danh sách các câu lệnh.
exit thoát khỏi chương trình.
set keyword[=value] câu lệnh dùng để thay đổi trạng thái thông tin mà có ảnh
hưởng đến truy vấn. Các từ khoá:
all cho phép hiện tất cả các loại bản ghi
[no]debug bật chếđộ tìm lỗi. Cho hiện rất nhiều loại thông tin cho phép
xác định lỗi truy vấn đến domain. (mặc định=nodebug, viết tắt = [no]deb)
[no]d2 Bật chếđộ tìm lỗi mức cao hơn. Tất cả các gói tin truy vấn đều
được xuất hiện. (mặc định=nod2)
domain=name Thay đổi domain mặc định vào tên. Khi truy vấn một tên nó
sẽ tựđộng điền thêm domain vào sau.
port=value Chuyển cổng mặc định sử dụng cho TCP/UDP name server
thành cổng được thiết lập bởi giá trị này (mặc định= 53, viết tắt = po)
querytype=value
type=value Chọn loại truy vấn thông tin. Có các loại sau:
A truy vấn host ( khai báo địa chỉ IP).
124
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
CNAME (canonical name) tạo tên bí danh ( thường dùng cho web)
HINFO truy vấn loại CPU và hệđiều hành của server.
MINFO thông tin vê hộp thư hoặc mail list.
MX truy vấn về mail exchanger.
NS truy vấn về named zone.
PTR truy vấn chuyển từđịa chỉ IP sang domain.
SOA Thông tin về người quản lý về zone.
TXT Các thông tin khác.
UINFO Thông tin về người dùng.
WKS Hỗ trợ cho các dịch vụ khác.
Các loại khác (ANY, AXFR, MB, MD, MF, NULL) được miêu tả chi tiết
trong tiêu chuẩn RFC-1035 . (Mặc định = A, viết tắt = q, ty)
[no]recurse Yêu cầu name server truy vấn tới một server khác nếu nó
không có thông tin về domain cần tìm. (mặc định = recurse, viết tắt = [no]rec)
retry=number Thiết lập số lần truy vấn. Khi truy vấn mà không nhận được
trả lời trong khoảng thời gian nhất định (thiết lập bằng lệnh set timeout). Khi
thời gian hết thì yêu cầu truy vấn sẽđược gửi lại. Và thiết lập ởđây đểđiều
khiển số lần sẽ gửi lại trước khi từ bỏ truy vấn. (Mặc định = 4, viết tắt = ret)
root=host Đổi root server cho host
timeout=number Thiết lập thời gian timeout cho một quá trìn truy vấn tính
bằng giây. (mặc định = 5 giây, viết tắt = ti)
[no]vc sử dụng một virtual circuit để gửi yêu cầu truy vấn đến server.
(mặc định là = novc, viết tắt = [no]v)
Phân tích lỗi
Nếu truy vấn lookup không thành công thì một thông tin về lỗi sẽđược hiện ra.
Và các lỗi có thể là :
Timed out
Server không trả lời truy vấn sau một khoảng thời gian ( khoảng thời gian có
thể thay đổi bằng câu lệnh set timeout=value) và and a certain number of
retries (changed with set retry=value).
No response from server
Không có name server đang chạy tại server mà client chỉđến.
No records
Server không có bản ghi tương ứng loại mà truy vấn cho host đa tồn tại. Loại
truy vấn được thiết lập bằng câu lệnh "set querytype" .
Non-existent domain
Host hoặc domain name không tồn tại.
Connection refused
125
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
Network is unreachable
Kết nối tới name server hoặc finger server không thểđược tại thời điểm này.
Lệnh này thường xuất hiện với các yêu cầu của câu lệnh ls và finger.
Server failure
Name server tìm thấy lỗi trong dữ liệu về domain và không thểđưa ra câu trả
lời đúng.
Refused
Name server từ chối yêu cầu trả lời.
Format error
Name server thấy rằng các gói tin yêu cầu không đúng định dạng. Nó có thể là
lỗi của chương trình nslookup.
Ví dụ :
Truy vấn DNS sử
dụng bản ghi a cho
domain
home.vnn.vn có địa
chỉ IP là
203.162.0.12
Default Server: vdc-hn01.vnn.vn
Address: 203.162.0.11
Aliases: 11.0.162.203.in-addr.arpa
> set querytype=a
> home.vnn.vn
Server: vdc-hn01.vnn.vn
Address: 203.162.0.11
Aliases: 11.0.162.203.in-addr.arpa
Name: home.vnn.vn
Address: 203.162.0.12
>
Truy vấn bản ghi
mx (mail) cho
domain hn.vnn.vn
nó trỏđến các host
mu13.vnn.vn có địa
chỉ 203.162.0.55 và
mu14.vnn.vn có địa
chỉ 203.162.0.64
> set querytype=mx
> hn.vnn.vn
Server: vdc-hn01.vnn.vn
Address: 203.162.0.11
Aliases: 11.0.162.203.in-addr.arpa
hn.vnn.vn MX preference = 20, mail exchanger = mu13.vnn.vn
hn.vnn.vn MX preference = 10, mail exchanger = mu14.vnn.vn
vnn.vn nameserver = vdc-hn01.vnn.vn
vnn.vn nameserver = hcm-server1.vnn.vn
mu13.vnn.vn internet address = 203.162.0.55
mu14.vnn.vn internet address = 203.162.0.64
vdc-hn01.vnn.vn internet address = 203.162.0.11
hcm-server1.vnn.vn internet address = 203.162.4.1
>
Truy vấn loại ns > set querytype=ns
126
Ebook 4 U ebook.vinagrid.com
Chương 4 - Hệ thống tên miền DNS
(name server) cho
domain vn do các
server nào quản lý
sẽ cho ta một danh
sách các nameserver
quản ly các domain
có đuôi vn
> vn
Server: vdc-hn01.vnn.vn
Address: 203.162.0.11
Aliases: 11.0.162.203.in-addr.arpa
Non-authoritative answer:
vn nameserver = DNS-hcm01.vnnic.net.vn
vn nameserver = ns.ripe.net
vn nameserver = DNS1.vn
vn nameserver = ns1.gip.net
vn nameserver = ns2.gip.net
vn nameserver = ns3.rip.net
vn nameserver = DNS1.vnnic.net.vn
vn nameserver = cheops.anu.edu.au
DNS-hcm01.vnnic.net.vn internet address = 203.162.87.66
ns.ripe.net AAAA IPv6 address = 2001:610:240:0:53:0:0:193
ns.ripe.net internet address = 193.0.0.193
DNS1.vn internet address = 203.162.3.235
ns1.gip.net internet address = 204.59.144.222
ns2.gip.net internet address = 204.59.1.222
DNS1.vnnic.net.vn internet address = 203.162.57.105
cheops.anu.edu.au internet address = 150.203.224.24
>
127
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Chương 5
Dịch vụ truy cập từ xa và dịch vụ Proxy
Chương 5 cung cấp các kiến thức cơ bản của hai nội dung dịch vụ phổ
biến trên mạng máy tính: dịch vụ truy cập từ xa và dịch vụ proxy.
Việc truy cập từ xa là nhu cầu thiết yếu mở rộng phạm vi hoạt động
mạng của các tổ chức, công ty. Nội dung truy cập từ xa giới thiệu trong chương
này là truy cập qua mạng thoại PSTN. Đây là hình thức truy cập từ xa cho tốc
độ truy cập thấp vừa phải nhưng lại có tính phổ biến rộng rãi và dễ thiết lập
nhất.
Dịch vụ proxy trên mạng được phát triển cho các mục đích tăng cường
tốc độ truy nhập cho khách hàng trong mạng, tiết kiệm được tài nguyên mạng
(địa chỉ IP) và đảm bảo được an toàn cho mạng lưới khi bắt buộc phải cung cấp
truy nhập ra mạng ngoài hay ra mạng Internet. Thiết lập dịch vụ proxy là công
tác mọi quản trị hệ thống mạng cần biết vì các nhu cầu kết nối liên mạng và kết
nối Internet càng ngày càng trở nên không thể thiếu cho bất kỳ tổ chức, công ty
nào.
Chương 5 yêu cầu các học viên nên trang bị các kiến thức cơ bản về
mạng điện thoại PSTN, kiến thức về các giao thức mạng WAN PPP, SLIP...
các giao thức xác thực như RADIUS...Trong phần proxy, học viên cần làm
quen với khái niệm chuyển đổi địa chỉ NAT, hoạt động của các giao thức
TCP/IP.
Mục 1: Dịch vụ truy cập từ xa (Remote Access)
1. Các khái niệm và các giao thức
1.1. Tổng quan về dịch vụ truy cập từ xa.
Dịch vụ truy nhập từ xa (Remote Access Service) cho phép người dùng
từ xa có thể truy cập từ một máy tính qua một môi trường mạng truyền dẫn (ví
dụ mạng điện thoại công cộng) đến một mạng dùng riêng như thể máy tính đó
được kết nối trực tiếp trong mạng đó. Người dùng từ xa kết nối tới mạng đó
thông qua một máy chủ dịch vụ gọi là máy chủ truy cập (Access server). Khi
đó người dùng từ xa có thể sử dụng tài nguyên trên trên mạng như là một máy
tính kết nối trực tiếp trong mạng đó. Dịch vụ truy nhập từ xa cũng cung cấp
khả năng tạo lập một kết nối WAN thông qua các mạng phương tiện truyền dẫn
giá thành thấp như mạng thoại công cộng. Dịch vụ truy cập từ xa cũng là cầu
nối để một máy tính hay một mạng máy tính thông qua nó được nối đến
Internet theo cách được coi là hợp lý với chi phí không cao, phù hợp với các
doanh nghịêp, tổ chức qui mô vừa và nhỏ. Khi lựa chọn và thiết kế giải pháp
truy cập từ xa, chúng ta cần thiết phải quan tâm đến các yêu cầu sau:
uSố lượng kết nối tối đa có thểđể phục vụ người dùng từ xa.
.Các nguồn tài nguyên mà người dùng từ xa muốn muốn truy cập.
128
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Công nghệ, phương thức và thông lượng kết nối. Ví dụ, các kết nối có
thể sử dụng modem thông qua mạng điện thoại công cộng PSTN, mạng số hoá
tích hợp các dịch vụ ISDN...
Các phương thức an toàn cho truy cập từ xa, phương thức xác thực
người dùng, phương thức mã hoá dữ liệu
uCác giao thức mạng sử dụng để kết nối.
1.2.Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa
Kết nối truy cập từ xa
Tiến trình truy cập từ xa được mô tả như sau: người dùng từ xa khởi tạo
một kết nối tới máy chủ truy cập. Kết nối này được tạo lập bằng việc sử dụng
một giao thức truy cập từ xa (ví dụ giao thức PPP- Point to Point Protocol).
Máy chủ truy cập xác thực người dùng và chấp nhận kết nối cho tới khi kết
thúc bởi người dùng hoặc người quản trị hệ thống. Máy chủ truy cập đóng vai
trò như một gateway bằng việc trao đổi dữ liệu giữa người dùng từ xa và mạng
nội bộ. Bằng việc sử dụng kết nối này, người dùng từ xa gửi và nhận dữ liệu từ
máy chủ truy cập. Dữ liệu được truyền trong các khuôn dạng được định nghĩa
bởi các giao thức mạng (ví dụ giao thức TCP/IP) và sau đó được đóng gói bởi
các giao thức truy cập từ xa. Tất cả các dịch vụ và các nguồn tài nguyên trong
mạng người dùng từ xa đều có thể sử dụng thông qua kết nối truy cập từ xa này
(hình 5.1)
Hình 5.1: Kết nối truy cập từ xa
Giao thức truy cập từ xa
SLIP (Serial Line Interface Protocol), PPP và Microsoft RAS là các giao
thức truy cập để tạo lập kết nối được sử dụng trong truy cập từ xa. SLIP là giao
thức truy cập kết nối điểm-điểm và chỉ hỗ trợ sử dụng với giao thức IP, hiện
nay hầu như không còn được sử dụng. Microsoft RAS là giao thức riêng của
Microsoft hỗ trợ sử dụng cùng với các giao thức NetBIOS, NetBEUI và được
sử dụng trong các phiên bản cũ của Microsoft.
129
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
PPP giao thức truy cập kết nối điểm-điểm với khá nhiều tính năng ưu
việt, là một giao thức chuẩn được hầu hết các nhà cung cấp hỗ trợ. RFC 1661
định nghĩa về PPP. Chức năng cơ bản của PPP là đóng gói thông tin giao thức
lớp mạng thông qua các liên kết điểm - điểm.
Cơ chế làm việc và vận hành của PPP như sau: Để thiết lập truyền
thông, mỗi đầu cuối của liên kết PPP phải gửi các gói LCP (Link Control
Protocol) để thiết lập và kiểm tra liên kết dữ liệu. Sau khi liên kết được thiết lập
với các tính năng tùy chọn được sắp đặt và thỏa thuận giữa hai đầu liên kết,
PPP gửi các gói NCP (Network Control Protocol) để lựa chọn và cấu hình một
hoặc nhiều giao thức lớp mạng. Mỗi lần một giao thức lớp mạng lựa chọn đã
được cấu hình, lưu lượng từ mỗi giao thức lớp mạng có thể gửi qua liên kết
này. Liên kết tồn tại cho đến khi các gói LCP hoặc NCP đóng kết nối hoặc đến
khi một sự kiện bên ngoài xảy ra (chẳng hạn như một sự kiện hẹn giờ hay một
sự can thiệp của người quản trị). Nói cách khác PPP là một con đường mởđồng
thời cho nhiều giao thức.
PPP khởi đầu được phát triển trong môi trường mạng IP, tuy nhiên nó
thực hiện các chức năng độc lập với các giao thức lớp 3 và có thểđược sử dụng
cho các giao thức lớp mạng khác nhau. Nhưđã đề cập, PPP đóng gói các thủ
tục lớp mạng đã được cấu hình để chuyển qua một liên kết PPP. PPP có nhiều
các tính năng khiến nó rất mềm dẻo và linh hoạt, bao gồm:
-Ghép nối với các giao thức lớp mạng
-Lập cấu hình liên kết
-Kiểm tra chất lượng liên kết
-Nhận thực
-Nén các thông tin tiếp đầu
-Phát hiện lỗi
-Thỏa thuận các thông số liên kết
PPP hỗ trợ các tính năng này thông qua việc cung cấp LCP có khả năng
mở rộng và NCP để thỏa thuận các thông số và các chức năng tùy chọn giữa
các đầu cuối. Các giao thức, các tính năng tùy chọn, kiểu xác thực người dùng
tất cảđều được truyền thông trong khi khởi tạo liên kết giữa hai điểm.
PPP có thể hoạt động trong bất kỳ giao diện DTE/DCE nào, PPP có thể
hoạt động ở chếđộđồng bộ hoặc không đồng bộ. Ngoài những yêu cầu khác
của các giao diện DTE/DCE, PPP không có hạn chế nào về tốc độ truyền dẫn.
Trong hầu hết các công nghệ mạng WAN, mô hình lớp được đưa ra để
có những điểm liên hệ với mô hình OSI và để diễn tả vận hành của các công
nghệ cụ thể. PPP không khác nhiều so với các công nghệ khác. PPP cũng có
mô hình lớp đểđịnh nghĩa các cấu trúc và chức năng (hình 5.2)
130
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Hình 5.2: Mô hình lớpPPP
Cũng như hầu hết các công nghệ, PPP có cấu trúc khung, cấu trúc này
cho phép đóng gói bất cứ giao thức lớp 3 nào. Dưới đây là cấu trúc khung PPP
(hình 5.3)
Hình 5.3: Cấu trúc khung PPP
Các trường của khung PPP như sau:
Cờ:độ dài 1 byte sử dụng để chỉ ra rằng đây là điểm bắt đầu hay kết thúc một
khung, trường này là một dãy bit 01111110
Địa chỉ:độ dài 1 byte bao gồm dãy bit 11111111, là địa chỉ quảng bá chuẩn.
PPP không gán từng địa chỉ riêng.
Giao thức:độ dài 2 byte, nhận dạng giao thức đóng gói. Giá trị cập nhật của
trường này được chỉ ra trong RFC 1700
Dữ liệu: có độ dài thay đổi, có thể 0 hoặc nhiều byte là các dữ liệu cho kiểu
giao thức cụ thểđựoc chỉ ra trong trường giao thức. Phần cuối cùng của trường
dữ liệu được nhận biết bằng cách đặt cờ và tiếp sau nó là 2 byte FCS. Giá trị
ngầm định của trường này là 1500 byte. Tuy vậy giá trị lớn hơn có thểđược sử
dụng để tăng độ dài cho trường dữ lliệu.
FCS: thường là 2 byte, có thể sử dụng 4 byte FCS để tăng khả năng phát hiện
lỗi.
131
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
LCP có thể thỏa thuận để chấp nhận sự thay đổi cấu trúc khung PPP
chuẩn giữa hai đầu cuối của liên kết. Các khung đã thay đổi luôn luôn dễ nhận
biết hơn so với các khung chuẩn. LCP cung cấp phương pháp để thiết lập, cấu
hình, duy trì và kết thúc một kết nối điểm-điểm. LCP thực hiện các chức năng
này thông qua bốn giai đoạn. Đầu tiên, LCP thực hiện thiết lập và thỏa thuận
cấu hình giữa liên kết điểm điểm. Trước khi bất kỳđơn vị dữ liệu lớp mạng nào
được chuyển, LCP đầu tiên phải mở kết nối và thỏa thuận các thông số thiết
lập. Quá trình này được hoàn thành khi một khung nhận biết cấu hình đã được
gửi và nhận. Tiếp theo, LCP xác định chất lượng liên kết. Liên kết được kiểm
tra để xác định xem liệu chất lượng có đủđể khởi tạo các giao thức lớp mạng
không. Việc truyền dẫn của giao thức lớp mạng bịđình lại cho đến khi giai
đoạn này hoàn tất. LCP cho phép đây là một tùy chọn sau giai đoạn thiết lập và
thỏa thuận cấu hình của liên kết. Sau đó LCP thực hiện thỏa thuận cấu hình
giao thức lớp mạng. Các giao thức lớp mạng có thểđược cấu hình riêng rẽ bới
NCP thích hợp và được khởi tạo hay dỡ bỏ vào bất kỳ thời điểm nào. Cuối
cùng, LCP kết thúc liên kết khi xuất hiện yêu cầu từ người dùng hoặc theo các
bộđịnh thời gian, do lỗi truyền dẫn hay do các yếu tố vật lý khác.
Ba kiểu khung LCP được sử dụng để hoàn thành các công việc đối với
từng giai đoạn: khung thiết lập liên kết được sử dụng để thiết lập và cấu hình
một liên kết, khung kết thúc liên kết được sử dụng để kết thúc một liên kết,
khung duy trì liên kết được sử dụng để quản lý và gỡ rối liên kết.
Các giao thức mạng sử dụng trong truy cập từ xa.
Khi triển khai dịch vụ truy cập từ xa, các giao thức mạng thường được
sử dụng là giao thức TCP/IP, IPX, NETBEUI.
TCP/IP là một bộ giao thức gồm có giao thức TCP và giao thức IP cùng
làm việc với nhau để cung cấp phương tiện truyền thông trên mạng. TCP/IP là
một bộ giao thức cơ bản, làm nền tảng cho truyền thông liên mạng là bộ giao
thức mạng được sử dụng phổ biến nhất hiện nay. Với khả năng định tuyến và
mở rộng, TCP/IP hỗ trợ một cách linh hoạt và phù hợp cho các tất cả các mạng.
IPX (Internet Packet Exchange) là giao thức được sử dụng cho các mạng
Novell NetWare. IPX là một giao thức có khả năng định tuyến và thường được
sử dụng với các hệ thống mạng trước đây.
NetBEUI là giao thức dùng cho mạng cục bộ LAN của Microsoft.
NetBEUI cho ta nhiều tiện ích và hầu như không phải làm gì nhiều với
NetBEUI. Thông qua NetBEUI ta có thể truy cập tất cả các tài nguyên trên
mạng. NETBEUI là một giao thức không có khả năng định tuyến và chỉ thích
hợp với mô hình mạng nhỏ, đơn giản.
132
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
1.3. Modem và các phương thức kết nối vật lý.
1. Modem.
Máy tính làm việc với dữ liệu dạng số, khi truyền thông trên môi trường
truyền dẫn với các dạng tín hiệu khác (ví dụ như với mạng điện thoại công
cộng làm việc với các tín hiệu tương tự) ta cần một thiết bịđể chuyển đổi tín
hiệu số thành tín hiệu thích nghi với môi trường truyền dẫn, thiết bịđó gọi là
Modem (Modulator/demodulator). Như vậy Modem là một thiết bị chuyển đổi
tín hiệu số sang dạng tín hiệu phù hợp với môi trường truyền dẫn và ngược lại.
Hình dưới là một kết nối sử dụng modem qua mạng điện thoại điển hình (hình
5.4).
Hình 5.4: Kết nối sử dụng modem qua mạng điện thoại điển hình
Các modem sử dụng các phương pháp nén dữ liệu nhằm mục đích tăng
tốc độ truyền dữ liệu. Hiệu suất nén dữ liệu phụ thuộc vào dữ liệu, có hai giao
thức nén thường được sử dụng là V.42bis và MNP 5. hiệu suất nén của V.42bis
và MNP 5 có thể thay đổi từ 0 đến 400 % hay cao hơn phụ thuộc vào dữ liệu tự
nhiên
Chuẩn modem V.90 cho phép các modem nhận dữ liệu với tốc độ 56 Kbps qua
mạng điện thoại công cộng (PSTN). V.90 xem mạng PSTN như là một mạng
số và chúng sẽ mã hóa dòng dữ liệu xuống theo kỹ thuật số thay vì điều chếđể
gửi đi như các chuẩn điều chế trước đây. Trong khi đó theo hướng ngược lại từ
khách hàng đến nhà cung cấp dịch vụ dòng dữ liệu lên vẫn được điều chế theo
các nguyên tắc thông thường và tốc độ tối ta đạt được là 33.6 Kbps, giao thức
hướng lên này dựa trên chuẩn V.34
Sự khác nhau giữa tín hiệu số ban đầu với tín hiệu sốđược phục hồi tại
đầu nhận gọi là tạp âm lượng tử hóa (nhiễu lượng tử), chính tạp âm này đã hạn
chế tốc độ truyền dữ liệu. Giữa các modem đầu cuối có một cấu trúc hạ tầng
cho việc kết nối đó là mạng thoại công cộng. Các chuẩn modem trước đây đều
giả sử cả hai đầu của kết nối giống nhau là có một kết nối tương tự vào mạng
điện thoại công cộng, công nghệ V.90 đã lợi dụng ưu điểm của tổ chức mạng
mà một đầu kết nối giữa hệ thống truy cập từ xa và mạng thoại công cộng là
dạng số hoàn toàn còn đầu kia vẫn được kết nối vào mạng PSTN theo dạng
tương tự nhờđó tận dụng được các ưu điểm của liên kết số tốc độ cao, vì chỉ có
quá trình biến đổi A/D mới gây ra tạp âm với các kết nối số thì không có lượng
tử hóa do đó nhiễu lượng tử rất ít trong cấu trúc mạng này.
133
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Định luật shanon nói rằng đường dây điện thoại tương tự hạn chế tốc độ
truyền dữ liệu ở khoảng 35 kbps mà không xem xét đến một thực tế là một đầu
của truyền thông đã được số hóa nên giảm nhỏ lượng tạp âm gây ra sự chậm trễ
trong việc truyền dữ liệu. Nhiễu lượng tửđã giới hạn chuẩn truyền thông V.34
ở tốc độ 33.6 kbps, nhưng nhiễu lượng tử chỉ có ảnh hưởng khi chuyển đổi
tương tự - số mà không có ảnh hưởng khi chuyển đổi số-tương tự và đây chính
là chìa khóa cho công nghệ V.90 đồng thời cũng giải thích được vì sao tốc độ
download có thểđạt được 56 kbps còn khi upload tốc độ chỉđạt 33.6 kbps. Dữ
liệu chuyển đi từ modem số V.90 qua mạng PSTN là một dòng số với tốc độ 64
Kbps nhưng tại sao V.90 chỉ hỗ trợ tốc độđến 56 Kbps, vì các lí do sau: Thứ
nhất mặc dù nhiễu lượng tửđã được bỏ qua nhưng nhiễu mức thấp do bộ
chuyển đổi số - tương tự là không tuyến tính, do ảnh hưởng của vòng loop nội
hạt. Lý do thứ hai là các tổ chức quốc tế có qui định chặt chẽ về mức năng
lượng tín hiệu nhằm hạn chế nhiễu xuyên âm giữa các dây dẫn đặt gần kề nhau,
và qui định này tương ứng với mức năng lượng tối đa trên đường dây điện
thoại tương ứng là 56 kbps
Để xây dựng một hệ thống truy cập từ xa qua mạng thoại công cộng đạt
được tốc độ 56 kbps giữa hai đầu kết nối cần hội đủ ba điều kiện sau: thứ nhất,
một đầu của kết nối (thường là đầu trung tâm mạng) phải là kết nối số tới mạng
PSTN. Thứ hai, chuẩn modem V.90 hỗ trợ tại hai đầu cuối của nối kết. Thứ ba,
chỉ có một chuyển đổi duy nhất số-tương tự trên mạng thoại giữa hai đầu của
kết nối
Khi vận hành modem V.90 thăm dò đường thoại để quyết định xem nó
sẽ làm việc theo tiêu chuẩn nào, nếu phát hiện ra bất kỳ một chuyển đổi số-
tương tự nào thì nó đơn giản chỉ làm việc ở chuẩn V.34 và cũng cố gắng kết
nối ở chuẩn này nếu modem đầu xa không hỗ trợ chuẩn V.90.
2.Các phương thức kết nối vật lý cơ bản:
Một phương thức phổ biến và sẽđược dùng nhiều đó là kết nối qua
mạng điện thoại công cộng (PSTN). Máy tính được nối qua một modem lắp đặt
bên trong (Internal modem) hoặc qua cổng truyền số liệu nối tiếp COM port.
Tốc độ truyền tối đa hiện nay có thể có được bằng phương thức này có thể lên
đến 56 Kbps cho chiều lấy dữ liệu xuống và 33,6Kbps cho chiều truyền dữ liệu
hướng lên với các chuẩn điều chế tín hiệu phổ biến V90, K56Flex, X2. Ta cũng
có thể sử dụng modem có yêu cầu về hạ tầng cơ sở thấp hơn với chuẩn điều chế
V.24, V.32Bis, V.32...
Phương thức thứ hai là sử dụng mạng truyền số liệu sốđa dịch vụ ISDN.
Phương thức này đòi hỏi chi phí cao hơn và ngày càng được phổ biến rộng rãi.
Ta có được khá nhiều các lợi ích từ việc sử dụng mạng ISDN mà một trong số
đó là tốc độ. Ta có thể sử dụng các lựa chọn ISDN 2B+D BRI (2x64Kbps dữ
liệu + 16Kbps dùng cho điều khiển) hoặc 23B+D PRI (23x64Kbps + 64Kbps)
thông qua thiết bị TA (Terminal Adapter) hay các card ISDN.
Một phương thức khác nhưng ít được sử dụng là qua mạng truyền số
liệu X.25, tốc độ không cao nhưng an toàn và bảo mật cao hơn. Yêu cầu cho
134
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
người sử dụng trong trường hợp này là phải có sử dụng card truyền số liệu
X.25 hoặc một thiết bịđược gọi là PAD (Packet Asssembled Disassembled).
Ta cũng có thể sử dụng các kết nối trực tiếp qua cáp modem, phương thức này
cho ta các kết nối tốc độ cao nhưng phải thông qua các modem truyền số liệu
có giá thành cao.
2. An toàn trong truy cập từ xa
2.1. Các phương thức xác thực kết nối
1.Qúa trình nhận thực.
Tiến trình nhận thực với các giao thức xác thực được thực hiện khi
người dùng từ xa có các yêu cầu xác thực tới máy chủ truy cập, một thỏa thuận
giữa người dùng từ xa và máy chủ truy cập để xác định phương thức xác thực
sẽ sử dụng. Nếu không có phương thức xác thực nào được sử dụng, tiến trình
PPP sẽ khởi tạo kết nối giữa hai điểm ngay lập tức.
Phương thức xác thực có thểđược sử dụng với các hình thức kiểm tra cơ
sở dữ liệu địa phương (lưu trữ các thông tin về username và password ngay
trên máy chủ truy cập) xem các thông tin về username và password được gửi
đến có trùng với trong cơ sở dữ liệu hay không. Hoặc là gửi các yêu cầu xác
thực tới một server khác để xác thực thường sử dụng là các RADIUS server (sẽ
được trình bày ở phần sau)
Sau khi kiểm tra các thông tin gửi trả lại từ cơ sở dữ liệu địa phương
hoặc từ RADIUS server. Nếu hợp lệ, tiến trình PPP sẽ khởi tạo một kết nối, nếu
không yêu cầu kết nối của người dùng sẽ bị từ chối. (hình 5.5)
.
Hình 5.5: Xác thực kết nối
135
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
2.Giao thức xác thực PAP
PAP là một phương thức xác thực kết nối không an toàn, nếu sử dụng
một chương trình phân tích gói tin trên đường kết nối ta có thể nhìn thấy các
thông tin về username và password dưới dạng đọc được. Điều này có nghĩa là
các thông tin gửi đi từ người dùng từ xa tới máy chủ truy cập không được mã
hóa mà được gửi đi dưới dạng đọc được đó chính là lý do PAP không an toàn.
Hình dưới mô tả quá trình xác thực PAP, sau khi thỏa thuận giao thức xác thực
PAP trên liên kết PPP giữa các đầu cuối, nguời dùng từ xa gửi thông tin
(username:nntrong, password:ras123) tới máy chủ truy cập từ xa, sau khi kiểm
tra các thông tin này trong cơ sở dữ liệu của mình, máy chủ truy cập từ ra sẽ
quyết định xem liệu yêu cầu kết nối có được thực hiện hay không (hình 5.6)
Hình 5.6: Giao thức xác thực PAP
3.Giao thức xác thực CHAP
Sau khi thỏa thuận giao thức xác thực CHAP trên liên kết PPP giữa các
đầu cuối, máy chủ truy cập gửi một "challenge" tới người dùng từ xa. Người
dùng từ xa phúc đáp lại một giá trịđược tính toán sử dụng tiến trình xử lý một
chiều (hash). máy chủ truy cập kiểm tra và so sánh thông tin phúc đáp với giá
trị hash mà tự nó tính được. Nếu các giá trị này bằng nhau việc xác thực là
thành công, ngược lại kết nối sẽ bị hủy bỏ. Như vậy CHAP cung cấp cơ chế an
toàn thông qua việc sử dụng giá trị challenge thay đổi, duy nhất và không thể
đoán được. Các thông tin về username và password không được gửi đi dưới
dạng đọc được trên mạng và do đó chống lại các truy cập trái phép bằng hình
thức lấy trộm password trên đường kết nối (hình 5.7).
136
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Hình 5.7: Giao thức xác thực CHAP
4.Giao thức xác thực mở rộng EAP
Ngoài các giao thức kiểm tra tính xác thực cơ bản PAP, CHAP, trong
Microsoft Windows 2000 hỗ trợ thêm một số giao thức cho ta các khả năng
nâng cao độ an toàn, bảo mật và đa truy nhập đó là giao thức xác thực mở rộng
EAP (Extensible Authentication Protocol).
EAP cho phép có được một cơ cấu xác thực tuỳ ý để công nhận một kết nối
gọi vào. Người sử dụng và máy chủ truy nhập từ xa sẽ trao đổi để tìm ra giao
thức chính xác được sử dụng. EAP hỗ trợ các hình thức sau:
sSử dụng các card vật lý dùng để cung cấp mật khẩu. Các card này dùng
một số các phương thức xác thực khác nhau như sử dụng các đoạn mã thay đổi
theo mỗi lượt sử dụng.
nHỗ trợ MD5-CHAP, giao thức mã hoá tên người sử dụng, mật khẩu sử
dụng thuật toán mã hoá MD5 (Message Digest 5).
Hỗ trợ sử dụng cho các thẻ thông minh. Thẻ thông minh bao gồm thẻ và
thiết bịđọc thẻ. Các thông tin xác thực về cá nhân người dùng được ghi lại
trong các thẻ này.
yCác nhà phát triển phần mềm độc lập sử dụng giao diện chương trình
ứng dụng EAP có thể phát triển các module chương trình cho các công nghệ áp
dụng cho thẻ nhận dạng, thẻ thông minh, các phần cứng sinh học như nhận
dạng võng mạc, các hệ thống sử dụng mật khẩu một lần.
2.2. Các phương thức mã hóa dữ liệu
Dịch vụ truy cập từ xa cung cấp cơ chế an toàn bằng việc mã hóa và giải
mã dữ liệu truyền giữa người dùng truy cập từ xa và máy chủ truy cập.
137
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Có hai phương thức mã hóa dữ liệu thường được sử dụng đó là mã hóa
đối xứng và mã hóa phi đối xứng.
Phương thức mã hoá đối xứng, thông tin ở dạng đọc được, được mã hoá
sử dụng khóa bí mật (khoá mà chỉ có người mã hoá mới biết được) tạo thành
thông tin đã được mã hoá. ở phía nhận, thông tin mã hoá được giải mã cùng với
khóa bí mật thành dạng gốc ban đầu. Điểm chú ý của phương pháp mã hoá này
là việc sử dụng khoá bí mật cho cả quá trình mã hoá và quá trình giải mã. Do
đó, nhược điểm chính của phương thức này là cần có quá trình trao đổi khoá bí
mật, dẫn đến tình trạng dễ bị lộ khoá bí mật.
Phương pháp mã hoá phi đối xứng,để khắc phục điểm hạn chế của
phương pháp mã hoá đối xứng là quá trình trao đổi khoá bí mật, người ta đã sử
dụng phương pháp mã hoá phi đối xứng sử dụng một cặp khoá tương ứng với
nhau gọi là phương thức mã hoá phi đối xứng dùng khoá công khai. Phương
thức mã hóa này sử dụng hai khóa là khóa công khai và khóa bí mật có các
quan hệ toán học với nhau. Trong đó khóa bí mật được giữ bí mật và không có
khả năng bị lộ do không cần phải trao đổi trên mạng. Khóa công khai không
phải giữ bí mật và mọi người đều có thể nhận được khoá này. Do phương thức
mã hóa này sử dụng 2 khóa khác nhau, nên người ta gọi nó là phương thức mã
hóa phi đối xứng. Mặc dù khóa bí mật được giữ bí mật, nhưng không giống với
"secret Key" được sử dụng trong phương thức mã hóa đối xứng sử dụng khoá
bí mật do khóa bí mật không được trao đổi trên mạng. Khóa công khai và khóa
bí mật tương ứng của nó có quan hệ toán học với nhau và được sinh ra sau khi
thực hiện các hàm toàn học; nhưng các hàm toán học này luôn thoả mãn điều
kiện là sao cho không thể tìm được khóa bí mật từ khóa công cộng và ngược
lại. Do có mối quan hệ toán học với nhau, thông tin được mã hóa bằng khóa
công khai chỉ có thể giải mã được bằng khóa bí mật tương ứng.
Giao thức thường được sử dụng để mã hóa dữ liệu hiện nay là giao thức
IPsec. Hầu hết các máy chủ truy cập dựa trên phần cứng hay mềm hiện nay đều
hỗ trợ IPSec. IPSec là một giao thức bao gồm các chuẩn mở bảo đảm các vấn
đề bảo mật, an toàn và toàn vẹn dữ liệu cho các kết nối qua mạng sử dụng giao
thức IP bằng các biện pháp mã hoá. IPSec bảo vệ chống lại các hành động phá
hoại từ bên ngoài. Các client khởi tạo một mối liên quan bảo mật hoạt động
tương tự như khoá công khai để mã hoá dữ liệu.
Ta có thể sử dụng các chính sách áp dụng cho IPSec để cấu hình nó. Các
chính sách cung cấp nhiều mức độ và khả năng để bảo đảm an toàn cho từng
loại dữ liệu. Các chính sách cho IPSec sẽđược thiết lập cho phù hợp với từng
người dùng, từng nhóm người dùng, cho một ứng dụng, một nhóm miền hay
toàn bộ hệ thống mạng.
3. Triển khai dịch vụ truy cập từ xa
3.1. Kết nối gọi vào và kết nối gọi ra
Cấu hình máy chủ truy cập để tạo lập các kết nối gọi vào cho phép
người dùng từ xa truy cập vào mạng. Các thông số cơ bản thường được cấu
138
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
hình khi tạo lập các kết nối gọi vào bao gồm xác định các phương thức xác
thực người dùng, mã hóa hay không mã hóa dữ liệu, các phương thức mã hóa
dữ liệu nếu yêu cầu, các giao thức mạng sẽđược sử dụng cho truy nhập từ xa,
các thiết đặt về chính sách và các quyền truy nhập của người dùng từ xa, mức
độđược phép truy nhập như thế nào, xác định phương thức cấp phát địa chỉ IP
cho máy truy nhập từ xa, các yêu cầu cấu hình để tạo lập các kết nối VPN...
Kết nối gọi ra có thểđược thiết lập để gọi ra tới một mạng dùng riêng
hoặc tới một ISP. Trong windows 2000 hỗ trợ các hình thức kết nối sau:
Nối tới mạng dùng riêng, ta sẽ phải cung cấp sốđiện thoại nơi sẽ nối
đến. Có thể là sốđiện thoại của ISP, của mạng dùng riêng hay của máy tính
phía xa. Xác định quyền sử dụng kết nối này. .
Nối tới Internet, hai lựa chọn có thể là sử dụng truy cập qua đường thoại
và sử dụng truy cập qua mạng LAN. Sử dụng đường thoại, các vấn đề ta cần
quan tâm là sốđiện thoại truy nhập, tên và mật khẩu được cung cấp bởi ISP. Sử
dụng LAN, ta sẽ phải quan tâm đến proxy server và một số thiết đặt khác.
Tạo lập kết nối VPN,VPN là một mạng sử dụng các kết nối dùng giao
thức tạo đường hầm (PPTP, L2TP, IPSEC,...) để tạo được các kết nối an
toàn, bảo đảm thông tin không bị xâm phạm khi truyền tải qua các mạng
công cộng. Tương tự như khi tạo lập một kết nối gọi ra, Nếu cần thiết
phải thông qua một ISP trung gian trước khi nối tới mạng dùng riêng, lựa
chọn một kết nối gọi ra. Cung cấp địachỉ máy chủ, địa chỉ mạng nơi mà
ta đang muốn nối tới. Các thiết lập khác là thiết đặt các quyền sử dụng
kết nối.
Tạo lập kết nối trực tiếp với máy tính khác, lựa chọn này được sử dụng
để kết nối trực tiếp hai máy tính với nhau thông qua một cáp được thiết kế cho
nối trực tiếp hai máy tính. Một trong hai máy tính được lựa chọn là chủ và máy
tính kia được lựa chọn là tớ. Lựa chọn thiết bị cổng nơi hai máy tính nối với
nhau.
3.2. Kết nối sử dụng đa luồng (Multilink)
Multilink là sự kết hợp nhiều liên kết vật lý trong một liên kết logic duy
nhất nhằm gia tăng băng thông cho kết nối. Multilink cho phép sử dụng hai
hoặc nhiều hơn các cổng truyền thông như là một cổng duy nhất có tốc độ cao.
Điều này có nghĩa là ta có thể sử dụng hai modem để kết nối Internet với tốc độ
cao gấp đôi so với việc sử dụng một modem. Multilink gia tăng băng thông và
giảm độ trễ giữa các hệ thống bằng cơ chế chia các gói dữ liệu và gửi đi trên
các mạch song song. Multilink sử dụng giao thức MPPP cho việc quản lý các
kết nối của mình. Để sử dụng, MPPP cần phải được hỗ trợở cả hai phía của kết
nối (hình 5.8).
139
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Hình 5.8: Kết nối sử dụng đa luồng
Hình vẽ mô tả kết nối sử dụng Multilink, khi người dùng từ xa sử dụng
hai modem và hai đường thoại kết nối với máy chủ truy cập, mỗi kết nối là việc
theo chuẩn V.90 có tốc độ 56 kbps sử dụng kỹ thuật Multilink cho phép đạt tốc
độ 112 Kbps giữa máy truy cập từ xa và máy chủ truy cập.
3.3. Các chính sách thiết lập cho dịch vụ truy nhập từ xa
Chính sách truy nhập từ xa là tập hợp các điều kiện và các thiết đặt cho
phép người quản trị mạng gán cho mỗi người dùng từ xa các quyền truy cập và
mức độ sử dụng các nguồn tài nguyên trên mạng. Ta có thể dùng các chính
sách để có được nhiều các lựa chọn phù hợp với từng mức độ người dùng, tăng
tính mềm dẻo, tính năng động khi cấp quyền truy nhập cho người dùng.
Một chính sách truy nhập từ xa thông thường bao gồm ba thành phần
nhằm cung cấp các truy nhập an toàn có kiểm soát đến máy chủ truy cập.
Các điều kiện (Conditions): là một danh sách các tham số như ngày
tháng, nhóm người dùng, mã người gọi, địa chỉ IP phù hợp với máy trạm đang
nối đến máy chủ truy cập. Bộ chính sách điều kiện đầu tiên này tương ứng với
các thông số của yêu cầu kết nối gọi đến được xử lý đối với sự cho phép truy
cập và cấu hình.
Sự cho phép (Permission): Các kết nối truy nhập từ xa được cho phép và
gán trực tiếp tới mỗi người dùng bởi các thiết đặt trong các chính sách truy
nhập từ xa. Ví dụ một chính sách có thể gán tất cả người dùng trong một nhóm
nào đấy quyền truy cập chỉ trong giờ làm việc hành chính từ 8:00 A.M đến
5:00 P.M, hay đồng thời gán cho một nhóm người dùng khác quyền truy cập
liên tục 24/24.
Profile: Mỗi chính sách đều bao gồm một thiết đặt của profile áp dụng
cho kết nối như là các thủ tục xác thực hay mã hóa. Các thiết đặt trong profile
được thi hành ngay tới các kết nối. Ví dụ: nếu một profile thiết đặt cho một kết
nối mà người dùng chỉđược phép sử dụng trong 30 phút mỗi lần thì người
dùng sẽ bị ngắt kết nối tới máy chủ truy cập trong sau 30 phút.
Quá trình thực thi các chính sách truy cập từ xa được mô tả bằng hình
dưới (hình 5.9)
140
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
No
Conditions
Yes
Make
Connection
Deny Allow
Dial-in
permission
No connection
Use Remote
Access Policy
Contidion/
permition
Deny Allow
No
Profile
Yes
Connection
Hình 5.9: Quá trình thực thi các chính sách truy cập từ xa
Các điều kiện được gửi tới để tạo một kết nối, nếu các điều kiện gửi tới
này không thích hợp truy cập bị từ chối, nếu thích hợp các điều kiện này được
sử dụng để xác định sự truy cập. Tiếp theo máy chủ truy cập kiểm tra các cho
phép quay số vào người dùng sẽ bị từ chối nếu thiết đặt này là Deny và được
phép truy cập nếu là Allow, nếu thiết đặt là sử dụng các chính sách truy cập để
xác định quyền truy cập thì sự cho phép của các chính sách sẽ quyết định
quyền truy cập của người dùng. Nếu các chính sách này từ chối truy cập người
dùng sẽ bị ngắt kết nối, nếu là cho phép sẽ chuyển tới để kiểm tra các chính
sách trong profile là bước cuối cùng để xác định quyền truy cập của người
dùng.
3.4. Sử dụng dịch vụ gán địa chỉđộng DHCP cho truy cập từ xa
Khi thiết lập một máy chủ truy cập để cho phép người dùng từ xa truy
cập vào mạng, ta có thể lựa chọn phương thức mà các máy từ xa có thể nhận
được địa chỉ IP.
Với phương thức cấu hình địa chỉ IP tĩnh ngay trên các máy trạm, người
dùng phải cấu hình bằng tay địa chỉ IP trên mỗi máy truy cập. Sử dụng phương
thức này phải đảm bảo rằng các thông tin cấu hình địa chỉ IP là hợp lệ và chưa
được sử dụng trên mạng. Đồng thời các thông tin về default gateway,
DNS...cũng phải được cấu hình bằng tay một cách chính xác.Vì lí do này
141
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
khuyến nghị không nên sử dụng phương pháp này cho việc gán IP cho các máy
truy cập từ xa.
Máy chủ truy cập có thể gán động một địa chỉ IP cho các máy truy cập
từ xa. Địa chỉ IP này thuộc trong khoảng địa chỉ mà ta đã cấu hình trên máy
chủ truy cập. Sử dụng phương pháp này ta cần phải đảm bảo rằng khoảng địa
chỉ IP này được dành riêng để cấp phát cho các máy truy cập từ xa.
Phương thức sử dụng DHCP server, máy chủ truy cập nhận địa chỉ IP từ
DHCP server và gán cho các máy truy cập từ xa. Phương thức này rất linh hoạt,
không cần phải dành riêng một khoảng địa chỉ IP dự trữ cho máy truy cập từ xa
và thường được sử dụng trong một mạng có tổ chức và đa dạng trong các hình
thức kết nối. Địa chỉ IP được cấp phát cho các máy truy cập từ xa một cách tự
động, các thông tin cấu hình khác (Gateway, DNS server...) cũng được cung
cấp tập trung, chính xác tới từng máy truy cập đồng thời các máy truy cập cũng
không cần thiết phải cấu hình lại khi có các thay đổi về cấu trúc mạng.
Hoạt động của DHCP được mô tả như sau: Mỗi khi DHCP client khởi
động, nó yêu cầu một địa chỉ IP từ DHCP server. Khi DHCP server nhận yêu
cầu, nó chọn một địa chỉ IP trong khoảng IP đã được định nghĩa trong cơ sở dữ
liệu của nó. DHCP server cấp phát địa chỉ IP tới DHCP client Nếu DHCP
client chấp nhận địa chỉ IP này, DHCP server cho thuê địa chỉ IP này trong một
khoảng thời gian cụ thể (tùy theo thiết đặt). Các thông tin vềđịa chỉ IP được
gửi từ DHCP server tới DHCP client thường bao gồm các thành phần sau: địa
chỉ IP, subnet mask, các giá trị lựa chọn khác (default gateway, địa chỉ DNS
server).
3.5. Sử dụng RadiusServer để xác thực kết nối cho truy cập từ xa.
1. Hoạt động của Radius server
RADIUS là một giao thức làm việc theo mô hình client/server. RADIUS
cung cấp dịch vụ xác thực và tính cước cho mạng truy nhập gián tiếp. Radius
client là một máy chủ truy cập tiếp nhận các yêu cầu xác thực từ người dùng từ
xa và chuyển các yêu cầu này tới Radius server. Radius server nhận các yêu
cầu kết nối của người dùng xác thực và sau đó trả về các thông tin cấu hình cần
thiết cho Radius client để chuyển dịch vụ tới người sử dụng (hình 5.10).
Hình 5.10: Hoạt động của Radius server
Quá trình hoạt động được mô tả như sau:
142
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
1.Người sử dụng từ xa khởi tạo quá trình xác thực PPP tới máy chủ truy
cập
2.Máy chủ truy cập yêu cầu người dùng cung cấp thông tin về username
và password bằng các giao thức PAP hoặc CHAP.
3.Người dùng từ xa phúc đáp và gửi thông tin username và password tới
máy chủ truy cập.
4.Máy chủ truy cập (Radius client) gửi chuyển tiếp các thông tin username
và password đã được mã hóa tới Radius server
5.Radius server trả lời với các thông tin chấp nhận hay từ chối. Radius
client thực hiện theo các dịch vụ và các thông số dịch vụđi cùng với các phúc
đáp chấp nhận hay từ chối từ Radius server
2. Nhận thực và cấp quyền
Khi Radius server nhận yêu cầu truy cập từ Radius client, Radius server
tìm kiếm trong cơ sở dữ liệu các thông tin về yêu cầu này. Nếu username
không có trong cơ sở dữ liệu này thì hoặc một profile mặc định được chuyển
hoặc một thông báo từ chối truy cập được chuyển tới Radius client.
Trong RADIUS nhận thực và cấp quyền đi đôi với nhau, nếu username
có trong cơ sở dữ liệu và password được xác nhận là đúng thì Radius server gửi
trả về thông báo truy cập được chấp nhận, thông báo này bao gồm một danh
sách các cặp đặc tính- giá trị mô tả các thông sốđược sử dụng cho phiên làm
việc. Các thông sốđiển hình bao gồm: kiểu dịch vụ, kiểu giao thức, địa chỉ gán
cho người dùng (động hoặc tĩnh), danh sách truy cập được áp dụng hay một
định tuyến tĩnh được cài đặt trong bảng định tuyến của máy chủ truy cập.
Thông tin cấu hình trong Radius server sẽ xác định những gì sẽđược cài đặt
trên máy chủ truy cập. Hình vẽ dưới đây mô tả quá trình nhận thực và cấp
quyền của Radius server (hình 5.11)
Hình 5.11: Nhận thực và cấp quyền
3.Tính cước
Các vấn đề về xử lý cước của RADIUS hoạt động độc lập với nhận thực
và cấp quyền. Chức năng tính cước cho phép ghi lại dữ liệu được gửi tại thời
điểm bắt đầu và kết thúc của một phiên làm việc và đưa ra các con số về mặt sử
dụng tài nguyên như (thời gian, số gói, số byte...) được sử dụng trong phiên
làm việc đó.
143
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
3.6. Mạng riêng ảo và kết nối dùng dịch vụ truy cập từ xa
VPN (Virtual Private Network) là một mạng riêng được xây dựng trên
nền tảng hạ tầng mạng công cộng (ví dụ mạng Internet), sử dụng mạng công
cộng cho việc truyền thông riêng tư.
Giải pháp VPN cho phép người dùng làm việc tại nhà hoặc đang đi công
tác ở xa có thể thực hiện một kết nối tới trụ sở chính bằng việc sử dụng hạ tầng
mạng là một mạng công cộng như là Internet, Như vậy thay vì phải thực hiện
một kết nối đường dài tới trụ sở chính người sử dụng chỉ cần tạo lập một kết
nối nội hạt tới một ISP khi đó bằng công nghệ VPN một kết nối VPN sẽđược
thiết lập giữa người dùng với mạng trung tâm. Kết nối VPN cũng cho phép các
tổ chức kết nối liên mạng giữa các địa điểm ở xa khác nhau thông qua các kết
nối trực tiếp (leased line) từ các địa điểm đó tới một ISP. Như vậy kết nối VPN
cho phép một tổ chức giảm chi phí gọi đường dài qua Dialup hay chi phí thuê
đường leadline cho khoảng cách xa thay vì như vậy chỉ cần các kết nối nội hạt
và điều này là tiết kiệm được chi phí. VPN gửi dữ liệu giữa các đầu cuối, dữ
liệu được đóng gói, với các Header cung cấp thông tin định tuyến cho phép
chuyển dữ liệu qua một liên kết hoặc một liên mạng công cộng tới đích. Dữ
liệu chuyển đi được mã hoá đểđảm bảo an toàn, các gói dữ liệu truyền thông
trên mạng là không thểđọc mà không có khoá giải mã. Liên kết mà trong đó dữ
liệu được đóng gói và mã hoá là một kết nối VPN.
Các hình thức kết nối: Có hai kiểu kết nối VPN, kết nối VPN truy cập từ
xa và kết nối Site-to-site. Một kết nối VPN truy cập từ xa được thiết lập bởi
một máy tính PC tới một mạng dùng riêng. VPN gateway cung cấp truy cập tới
các tài nguyên của mạng dùng riêng. Các gói dữ liệu gửi qua kết nối VPN
được khởi tạo từ các client. VPN client thực hiện việc xác thực tới VPN
gateway. Kết nối site-to-site, được thiết lập bởi các VPN gateway và kết nối hai
phần của một mạng dùng riêng. (hình 5.12).
Hình 5.12: Kết nối site-to-site
Tunnel: là một phần quan trọng trong việc xây dựng một mạng VPN.
Các chuẩn truyền thông sử dụng để quản lý các tulnnel và đóng gói dữ liệu của
VPN bao gồm các giao thức làm việc ở lớp 2 như PPTP (Point-to-Point
Tunlling Protocol) được phát triển bởi Microsoft hỗ trợ trong môi trường mạng
144
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Windows, L2TP (Layer 2 Tunnelling Protocol) được phát triển bởi Cisco. IPsec
là một giao thức làm việc ở lớp 3, IPsec được phát triển bởi IETF và ngày càng
được sử dụng rộng rãi.
L2TP và PPTP có mục đích là cung cấp các đường hầm dữ liệu thông
qua mạng truyền dữ liệu công cộng. L2TP khác với PPTP ở chỗ nó tạo lập
đường hầm nhưng không mã hoá dữ liệu. L2TP cung cấp các đường hầm bảo
mật khi cùng hoạt động với các công nghệ mã hoá khác như IPSec. IPSec
không yêu cầu phải có L2TP nhưng các chức năng mã hoá của nó đưa đến cho
L2TP khả năng cung cấp các kênh thông tin bảo mật, cung cấp các giải pháp
VPN. L2TP và PPTP cùng sử dụng PPP đểđóng gói, thêm bớt thông tin tiếp
đầu và truyền tải dữ liệu qua mạng.
Các kết nối VPN có các đặc trưng sau: đóng gói (Encapsulation), xác
thực (Authentication) và mã hoá dữ liệu (Data encryption)
Đóng gói dữ liệu: Công nghệ VPN sử dụng một phương thức đóng gói
dữ liệu trong đó cho phép dữ liệu truyền được qua mạng công cộng qua các
giao thức tạo đường hầm.
Xác thực: Khi một kết nối VPN được thiết lập,VPN gateway sẽ xác thực
VPN client đang yêu cầu kết nối và nếu được được phép kết nối được thực
hiện. Nếu sự xác thực kết nối là qua lại được sử dụng, thì VPN client sẽ thực
hiện việc xác thực lại VPN gateway, đểđảm bảo rằng đấy chính là server mà
mình cần gọi. Xác thực dữ liệu và tính toàn vẹn của dữ liệu: để xác nhận rằng
dữ liệu đang được gửi từ một đầu của kết nối khác mà không bị thay đổi trong
quá trình truyền, dữ liệu phải bao gồm một trường kiểm tra bằng mật mã dự
trên một khoá mã hoá đã biết chỉ giữa người gửi và người nhận
Mã hóa dữ liệu:đểđảm bảo dữ liệu truyền trên mạng, dữ liệu phải được
mã hoá tại đầu gửi và giải mã tại đầu nhận. Việc mã hoá và giải mã dữ liệu phụ
thuộc và người gửi và người nhận đang sử dụng phương thức mã hoá và giải
mã nào.
3.7. Sử dụng Network and Dial-up Connection
Network and Dial-up Connection (NDC) là một công cụđược Microsoft
phát triển để hỗ trợ việc tạo lập các kết nối trong đó bao gồm các kết nối cho
truy cập từ xa. Với việc sử dụng NDC ta có thể truy cập tới các tài nguyên dù
đang ở trong mạng hay ở một địa điểm ở xa. Các kết nối được khởi tạo, thiết
lập cấu hình, lưu giữ và quản lý bởi NDC. Mỗi một kết nối bao gồm một bộ các
đặc tính được sử dụng để thiết lập liên kết giữa một máy tính tới máy tính hoặc
mạng khác. Các kết nối gọi ra được liên lạc với một máy chủ truy cập ở xa
bằng các hình thức truy cập gián tiếp thương là qua các mạng truyền dẫn mạng
thoại công cộng, mạng ISDN. NDC cũng hỗ trợ việc thiết lập các kết nối gọi
vào có nghĩa là đóng vai trò như một máy chủ truy cập.
Bởi vì tất cả các dịch vụ và các phương thức truyền thông đều được thiết
lập trong kết nối nên không cần phải sử dụng các công cụ khác để cấu hình cho
kết nối. Ví dụđể thiết lập cho một kết nối dial-up bao gồm các đặc tính được
145
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
sử dụng trước, trong và sau khi kết nối. Các thông số này bao gồm: modem sẽ
quay số, kiểu mã hóa password được sử dụng và các giao thức mạng sẽ sử dụng
sau kết nối. Trạng thái kết nối bao gồm thời gian và tốc độ cũng được chính kết
nối hiển thị mà không cần bất cứ một công cụ nào khác.
3.8. Một số vấn đề xử lý sự cố trong truy cập từ xa
Các vấn đề liên quan đến sự cố trong truy cập từ xa, thường bao gồm:
Giám sát truy cập từ xa: giám sát máy chủ truy cập là phương pháp tốt
nhất thường sử dụng để tìm ra nguồn gốc của các vấn đề xảy ra sự cố. Mỗi một
chương trình phần mềm hay thiết bị phần cứng máy chủ truy cập bao giờ cũng
có các công cụ sử dụng để giám sát và ghi lại các sự kiện xảy ra (trong các file
log) đối với mỗi phiên truy cập từ xa.
Theo dõi các kết nối truy cập từ xa: khả năng theo dõi các kết nối truy
cập từ xa của một Máy chủ truy cập cho ta xử lý các vấn đề phức tạp về sự cố
mạng. Các thông tin theo dõi một kết nối từ xa thường rất phức tạp và khá chi
tiết do đó để phân tích và xử lý cần thiết người quản trị mạng phải có kinh
nghiệm và trình độ về hệ thống mạng.
Xử lý các sự cố về phần cứng: bao gồm các thiết bị truyền thông tại
người dùng và tại máy chủ truy cập. Đối với các thiết bị tại người dùng (thường
là các modem, cạc mạng...), hãy xem tài liệu về sản phẩm đó hay hỏi nhà cung
cấp thiết bị về sản phẩm của họ về các cách kiểm tra và xác định lỗi của sản
phẩm này. Nếu kết nối sử dụng modem, hãy kiểm tra rằng modem đã được cài
đặt đúng chưa. Trong Windows 2000 các bước kiểm tra như sau:
oTrong Control Panel, kích Phone and Modem Options
oTrong trang modem, kích tên modem, sau đó kích Properties
oKích Diagnostics, sau đó kích Query Modem.
Nếu modem đã được cài đặt đúng, bộ các thông số về modem sẽđược hiển thị,
ngược lại hãy kiểm tra và cài đặt lại modem, trong trường hợp cuối cùng hãy
hỏi nhà sản xuất thiết bị này. Để nhận thêm các thông tin về modem trong khi
đang cố gắng tạo lập một kết nối, hãy xem thông tin trong log file để tìm ra
nguyên nhân gặp sự cố. Để ghi các thông tin vào log file thực hiện theo các
bước sau:
oTrong Control Panel, kích Phone and Modem Options
oTrong trang modem, kích tên modem, sau đó kích Properties
oKích Diagnostics, sau đó kích lựa chọn Record a log, sau đó kích
OK.
Đối với thiết bị truyền thông tại máy chủ truy cập: Kiểm tra các thiết bị
phần cứng tương tự như trong trường hợp thiết bị tại người dùng, đồng thời
kiểm tra log file về các sự kiện xảy ra với hệ thống để tìm ra nguyên nhân sự
cố. Một cách khác để kiểm tra modem tại máy chủ truy cập là sử dụng một
đường điện thoại và gọi tới modem đó sau đó nghe xem modem đó có trả lời và
cố gắng tạo một kết nối hay không. Nếu không có tín hiệu tạo kết nối từ
146
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
modem đó thì có thể kết luận rằng đang có một vấn đề lỗi về modem tại máy
chủ truy cập
Xử lý các sự cố vềđường truyền thông: Thường là do cáp được đấu sai
hay vì nguyên nhân từ nhà cung cấp dịch vụđiện thoại. Hãy kiểm tra đường
điện thoại từ người dùng tới máy chủ truy cập bằng cách gọi điện thoại thông
thường, thông qua chất lượng cuộc gọi ta cũng có thể phần nào dựđoán được
chất lượng của đường truyền.
Xử lý các thiết đặt về cấu hình: Sau khi xác định rằng các vấn đề về
phần cứng cũng nhưđường truyền thông đều tốt, bước tiếp theo ta kiểm tra các
thiết đặt về cấu hình, bao gồm:
Các thiết đặt về mạng: lỗi cấu hình về mạng xảy ra khi đã tạo kết nối
thành công nhưng vẫn không thể truy cập được các nguồn tài nguyên trên
mạng, các lỗi thường xảy ra như việc phân giải tên chưa hoạt động, các lỗi về
định tuyến...khi lỗi về cấu hình mạng xảy ra, trước tiên ta kiểm tra rằng các
máy kết nối trực tiếp (không thông qua dịch vụ truy cập từ xa) có thể truy cập
được vào các nguồn tài nguyên trên mạng. Sau đó kiểm tra các cấu hình về
TCP/IP bằng việc sử dụng lệnh ipconfig /all trên máy client. Kiểm tra rằng các
thông số như DNS, địa chỉ IP, các thông số vềđịnh tuyến đã được thiết đặt
đúng chưa. Sử dụng lệnh ping để kiểm tra kết nối mạng đã làm việc.
Các thiết đặt Máy chủ truy cập: Các thiết đặt trên máy chủ truy cập với
các thông số sai khi tạo lập kết nối có thể là nguyên nhân người dùng không thể
truy cập vào các nguồn tài nguyên trên mạng. Để hỗ trợ cho việc xác định
nguyên nhân gây lỗi, kiểm tra các sự kiện đã ghi log trên máy chủ truy cập và
client, trong một số trường hợp cần thiết phải theo dõi (tracing) các kết nối trên
máy chủ truy cập.
Các thiết đặt trên máy người dùng từ xa: kiểm tra các giao thức mạng
làm việc trên client, các giao thức mạng làm việc trên client phải được hỗ trợ
bởi máy chủ truy cập. Ví dụ, nếu người dùng từ xa thiết đặt trên client các giao
thức NWLink, IPX/SPX và máy chủ truy cập chỉ hỗ trợ sử dụng TCP/IP, thì
kết nối sẽ không thành công.
4. Bài tập thực hành
Yêu cầu về Phòng học lý thuyết: Số lượng máy tính theo số lượng học
viên trong lớp học đảm bảo mỗi học viên có một máy tính, cấu hình máy tối
thiểu như sau (PIII 800 MHZ, 256 MB RAM, HDD 1GB,FDD, CDROM 52 x).
Máy tính đã cài đặt Windows 2000 advance server. Các máy tính đã được nối
mạng chạy giao thức TCP/IP.
Thiết bị thực hành:Đĩa cài phần mềm Windows 2000 Advance Server.
Mỗi máy tính có 01 Modem V.90 và 01 đường điện thoại. 01 account truy cập
internet
Bài 1: Thiết lập dialup networking để tạo ra kết nối Internet. truy cập
Internet và giới thiệu các dịch vụ cơ bản
nĐăng nhập vào hệ thống với quyền Administrator.
147
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Kích Start, trỏ settings, sau đó kích Network and Dial-up Connections
CTrong Network and Dial-up Connections, kích đúp vào Make New
Connection.
CTrong Network Connection Wizard, kích Next, có hai lựa chọn có thể sử
dụng là Dial-up to private network hoặc Dial-up to the Internet.
INếu chọn Dial-up to private network, đưa vào sốđiện thoại truy cập của
nhà cung cấp.
pNếu chọn Dial-up to the Internet, lúc đó Internet Connection Wizard sẽ
bắt đầu, làm theo các bước chỉ dẫn.
nNếu muốn tất cả người dùng đều có thể sử dụng kết nối này thì lựa chọn,
For all users, sau đó kích Next. Nếu muốn chỉ người dùng hiện tại sử dụng thì
lựa chọn Only for myself, sau đó kích Next.
óNếu đã lựa chọn Only for myself thì chuyển đến bước cuối cùng, Nếu
lựa chọn For all users và muốn các máy tính khác trên mạng có thể chia sẻ kết
nối này hãy lựa chọn Enable Internet Connection Sharing for this connection.
cThiết đặt ngầm định là bất kỳ mày tính nào cũng có thể khởi tạo kết nối
này một cách tựđộng, nếu muốn bỏ ngầm định này hãy xóa lựa chọn Enable
on-demand dialing, sau đó kích next
xĐưa vào tên của kết nối và kích Finish.
Bài 2: Cài đặt và cấu hình dịch vụ truy cập từ xa cho phép người dùng từ
xa truy cập vào mạng trên hệđiều hành Windows 2000 server.
Bước 1:
Cài đặt máy chủ dịch vụ truy cập từ xa
Đăng nhập vào hệ thống với quyền Administrator
nMở Routing and Remote Access từ menu Administrator Tools
TKích chuột phải vào tên Server sau đó chọn Configure and Enable
Routing and remote Access.
RKịch bản Routing and Remote Access Server Setup xuất hiện, kích next
nTrong trang common Configuration, chọn Remote access server, sau đó
kích next
kTrong trang Remote Client Protocol, xác định các giao thức sẽ hỗ trợ
cho truy cập từ xa, sau đó kích next
óTrong trang Network Selection, lựa chọn kết nối mạng sẽ gán cho các
máy truy cập từ xa, sau đó kích next
óTrong trang IP Address Asignment, lựa chọn Automaticlly hoặc From
specified range of addresses cho việc gán các địa chỉ IP tới các máy truy cập từ
xa
148
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Trong trang Managing Multiple Remote Acccess Servers cho phép lựa
chọn cấu hình RADIUS, kích next
uKích Finish để kết thúc.
Bước 2:
Thiết đặt tài khoản cho người dùng từ xa. Thiết lập một tài khoản có tên
RemoteUser
RĐăng nhập với quyền Administrator
nMở Active Directory Users and Computers từ menu Administrator
Tools
TKích chuột phải vào Users, chọn new và kích vào User
nTrong hộp thoại New Object-User, điền RemoteUser vào First name
nTrong hộp User logon name, gõ RemoteUser
pThiết đặt Password cho tài khoản này, kích next sau đó kích Finish.
FKích chuột phải vào RemoteUser sau đó kích Properties
óTrong trang Dial-In tab, kích Allow access, sau đó click OK
Thiết lập một Global group tên là RemoteGroup, sau đó thêm tài khoản người
dùng vừa thiết lập vào nhóm này
pKích chuột phải vào Users, chọn new sau đó kích Group
óTrong hộp thoại New Object-Group, mục Group name gõ vào
RemoteGroup
RTrong mục Group scope kiểm tra Global đã được lựa chọn, trong mục
Group type kiểm tra rằng Security đã được lựa chọn, sau đó kích OK
óMở hộp thoại Properties của RemoteGroup
mTrong trang Member, kích Add
ATrong hộp thoại Select Users, Contacts, Computers, hoặc Group, Look
in box, kiểm tra domain đã được hiển thị
ịTrong danh sách các đối tượng, kích RemoteUser, kích Add sau đó kích
OK
OKích OK đểđóng hộp thoại RemoteGroup Properties
Bước 3:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser, kết nối được
thiết lập sau đó đóng kết nối lại.
Bước 4:
Cấu hình cho phép tài khoản RemoteUser truy cập vào mạng được điều khiển
truy cập bởi các chính sách truy cập từ xa (Remote access policy)
xMở lại Active Directory Users and Computers từ menu Administrator
Tools
149
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Mở hộp thoại Properties của tài khoản RemoteUser
nTrong trang Dial-in tab, kích Control access though Remote Policy sau
đó kích OK, lư u ý rằng điều khiển vùng (Domain Controler) phải chạy ở chế
độ Native.
Thu nhỏ cửa sổ Active Directory Users and Computers
Bước 5:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser. Thông báo
lỗi xuất hiện, kết nối không được thiết lập.
Bước 6:
Sử dụng RRAS để thiết lập một chính sách mới đối với người dùng từ xa, tên
chính sách này là Allow RemoteGroup Access cho phép người dùng trong
nhóm RemoteGroup truy cập.
pMở Routing and Remote Access từ menu Administrator Tools
TMở rộng tên máy chủđang cấu hình, kích chuột phải vào Remote
Access Policy sau đó chọn New Remote Access Policy
nTrong trang Policy Name, gõ vào Allow RemoteGroup Access sau đó
kích Next
kTrong trang Condition, kích Add trong hộp thoại Select Attribute kích
Windows-Groups sau đó kích Add
ATrong hộp thoại Groups kích Add
rTrong hộp thoại Select Groups, trong danh sách Look in, kích vào tên
domain
dTrong hộp thoại Select Groups,dưới Name kích RemoteGroups kích
Add sau đó kích OK
OTrong hộp thoại Groups kích OK
iTrong trang Condition kích Next
NTrong trang Permissions kích Grant remote access permission sau đó
kích Next
kTrong trang User Profile kích Finish
TTrong trang Routing and Remote Access kích Remote Access Policies
sau đó kích chuột phải Allow RemoteGroup access sau đó kích Move Up
Bước 7:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser, kết nối được
thiết lập sau đó đóng kết nối lại.
Bước 8:
Cấu hình để default policy được thi hành trước:
150
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Mở trang Routing and Remote Access, kích chuột phải RemoteGroup
sau đó kích Move Down.
óĐóng cửa sổ Routing and Remote Access
Bước 9:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser. Thông báo
lỗi xuất hiện, kết nối không được thiết lập.
Bước 10:
Cấu hình cho phép truy cập sử dụng Properties của RemoteUser
aMở lại Active Directory Users and Computers từ menu Administrator
Tools
TMở Properties của RemoteUser
aTrong trang Dial-in, kích Allow access sau đó kích OK
OĐóng Active Directory Users and Computers.
Bước 11:
Kiểm tra cấu hình đã thiết lập ở bước trên bằng việc thực hiện một kết nối quay
số tới máy chủ truy cập từ xa với tài khoản có tên là RemoteUser, kết nối được
thiết lập sau đó đóng kết nối lại
Bài 3: Cấu hình VPN server và thiết lập VPN Client, kiểm tra kết nối từ
VPN Client tới VPN server
Bước 1:
Cấu hình cho kết nối VPN gọi vào
oĐăng nhập vào hệ thống với quyền Administrator
nMở Routing and Remote Access từ menu Administrator Tools
TKích chuột phải vào tên Server (Server là tên máy chủđang cấu hình)
uKịch bản thiết lập Routing and Remote Access xuất hiện, kích next
nTrong trang Network Selection, mục Name kiểm tra tên đã lựa chọn sau
đó Click next
óTrong trang IP Address Assigment, kích From a specified range of
addresses
aTrong trang Address Range Assignment, kích New
wĐiền địa chỉ IP vào ô Start IP address và điền vào sốđịa chỉ vào ô
Number of Address
NKích OK, sau đó kích next
óTrong trang Managing Multiple Remote Access Servers, lựa chọn No, I
don't want to set up this server to use RADIUS now, kích next sau đó kích
Finish
151
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Kích OK đểđóng hộp thoại Routing and Remote Access.
Cấu hình cho phép tài khoản Administrator truy cập vào mạng
nMở Active Directory Users and Computers từ menu Administrator
Tools.
TMở rộng tên domain kích Users, kích đúp chuột vào Administrator
oTrong mục Dial-in, chọn Allow acces sau đó kích OK.
óĐóng của sổ Active Directory Users and Computers
Bước 2:
Cấu hình cho kết nối VPN gọi ra. Để kiểm tra dịch vụ truy cập từ xa đã làm
việc phục vụ cho những người dùng từ xa, ta thiết lập một nối kết tới VPN
server.
sKích chuột phải vào My Network Places, sau đó kích Properties
óTrong của sổ Network Dialup Connections, kích đúp chuột vào Make
new connection
cTrong trang Network Connection Type, kích Connect to a private
network through the Internet, sau đó kích next
óTrong trang Destination Address page, gõ vào địa chỉ IP của máy cài đặt
VPN server, sau đó kích next
óTrong trang Connection Availability, kích Only for my self, kích next
sau đó kích Finish
óKhởi tạo kết nối tới VPN server
iTrong hộp thoại Connect Virtual Private Connection, kiểm tra tài khoản
đăng nhập là Administrator và Password sau đó kích connect
óKích OK đểđóng thông báo Connnection Complete
nĐóng của sổ Network Dialup Connections.
Sử dụng tiện ích Ipconfig để xác nhận rằng bạn đã thiết lập được một kết nối
VPN và nhận được địa IP cho kết nối này lưu ý rằng đại chỉ IP cho kết nối
VPN này là dãy địa chỉ tĩnh mà VPN server cấp phát
Đóng kết nối
iKích đúp vào biểu tượng Connection trong khay hệ thống
nTrong hộp thoại Vitual Private Connection Status, kích disconnect
kĐóng tất cả các cửa sổ lại
Mục 2 : Dịch vụ Proxy - Giải pháp cho việc kết nối mạng
dùng riêng ra Internet
1. Các khái niệm
1.1. Mô hình client server và một số khả năng ứng dụng
152
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Mô hình chuẩn cho các ứng dụng trên mạng là mô hình client-server.
Trong mô hình này máy tính đóng vai trò là một client là máy tính có nhu cầu
cần phục vụ dịch vụ và máy tính đóng vai trò là một server là máy tính có thể
đáp ứng được các yêu cầu về dịch vụđó từ các client. Khái niệm client-server
chỉ mang tính tương đối, điều này có nghĩa là một máy có thể lúc này đóng vai
trò là client và lúc khác lại đóng vai trò là server. Nhìn chung, client là một
máy tính cá nhân, còn các Server là các máy tính có cấu hình mạnh có chứa các
cơ sở dữ liệu và các chương trình ứng dụng để phục vụ một dịch vụ nào đấy từ
các yêu cầu của client (hình 5.13).
Hình 5.13: Mô hình client server
Cách thức hoạt động của mô hình client-server như sau: một tiến trình
trên server khởi tạo luôn ở trạng thái chờ yêu cầu từ các tiến trình client, tiến
trình tại client được khởi tạo có thể trên cùng hệ thống hoặc trên các hệ thống
khác được kết nối thông qua mạng, tiến trình client thường được khởi tạo bởi
các lệnh từ người dùng. Tiến trình client ra yêu cầu và gửi chúng qua mạng tới
server để yêu cầu được phục vụ các dịch vụ. Tiến trình trên server thực hiện
việc xác định yêu cầu hợp lệ từ client sau đó phục vụ và trả kết quả tới client và
tiếp tục chờđợi các yêu cầu khác. Một số kiểu dịch vụ mà server có thể cung
cấp như: dịch vụ về thời gian (trả yêu cầu thông tin về thời gian tới client), dịch
vụ in ấn (phục vụ yêu cầu in tại client), dịch vụ file (gửi, nhận và các thao tác
về file cho client), thi hành các lệnh từ client trên server...
Dịch vụ web là một dịch vụ cơ bản trên mạng Internet hoạt động theo
mô hình client-server. Trình duyệt Web (Internet Explorer, Netscape...) trên
các máy client sử dụng giao thức TCP/IP đểđưa ra các yêu cầu HTTP tới máy
server. Trình duyệt có thểđưa ra các yêu cầu một trang web cụ thể hay yêu cầu
thông tin trong các cơ sở dữ liệu. Máy server sử dụng phần mềm của nó phân
tích các yêu cầu từ các gói tin nhận được kiểm tra tính hợp lệ của client và thực
hiện phục vụ các yêu cầu đó cụ thể là gửi trả lại client một trang web cụ thể hay
các thông tin trên cơ sở dữ liệu dưới dạng một trang web. Server là nơi lưu trữ
nội dung thông tin các website, phần mềm trên server cho phép server xác định
được trang cần yêu cầu và gửi tới client. Cơ sở dữ liệu và các ứng dụng tương
tự khác trên máy chủđược khai thác và kết nối qua các chương trình như CGI
(Common Gateway Interface), khi các máy server nhận được yêu cầu về tra
cứu trong cơ sở dữ liệu , nó chuyển yêu cầu tới server có chứa cơ sở dữ liệu
hoặc ứng dụng để xử lý qua CGI.
1.2. Socket
Một kết nối được định nghĩa như là một liên kết truyền thông giữa các
tiến trình, như vậy để xác định một kết nối cần phải xác định các thành phần
sau: {Protocol, local-addr, local-process, remote-addr, remote-process}
153
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Trong đó local-addr và remote-addr là địa chỉ của các máy địa phương và máy
từ xa. local-process, remote-process để xác định vị trí tiến trình trên mỗi hệ
thống. Chúng ta định nghĩa một nửa kết nối là {Protocol, local-addr, local-
process} và {Protocol, remote-addr, remote-process} hay còn gọi là một
socket.
Chúng ta đã biết để xác đinh một máy ta dựa vào địa chỉ IP của nó,
nhưng trên một máy có vô số các tiến trình ứng dụng đang chạy, để xác định vị
trí các tiến trình ứng dụng này người ta định danh cho mỗi tiến trình một số
hiệu cổng, giao thức TCP sử dụng 16 bit cho việc định danh các cổng tiến trình
và qui ước số hiệu cổng từ 1-1023 được sử dụng cho các tiến trình chuẩn (như
FTP qui ước sử dụng cổng 21, dịch vụ WEB qui ước cổng 80, dịch vụ gửi thư
SMTP cổng 25...) số hiệu cổng từ 1024- 65535 dành cho các ứng dụng của
người dùng. Như vậy một cổng kết hợp với một địa chỉ IP tạo thành một socket
duy nhất trong liên mạng. Một kết nối TCP được cung cấp nhờ một liên kết
logic giữa một cặp socket. Một socket có thể tham gia nhiều liên kết với các
socket ở xa khác nhau. Trước khi truyền dữ liệu giữa hai trạm cần phải thiết lập
một liên kết TCP giữa chúng và khi kết thúc phiên truyền dữ liệu thì liên kết đó
sẽđược giải phóng.
Hình 5.14: Socket
Quá trình thiết lập một socket với các lời gọi hệ thống được mô tả như
sau: server thiết lập một socket với các thông sốđặc tả các thủ tục truyền thông
như (TCP, UDP, XNS...) và các kiểu truyền thông (SOCK_STREAM,
154
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
SOCK_DGRAM...), sau đó liên kết tới socket này các thông số vềđịa chỉ như
IP và các cổng TCP/UDP sau đó server ở chếđộ chờ và chấp nhận kết nối đến
từ client.
1.3. Phương thức hoạt động và đặc điểm của dịch vụ Proxy
1. Phương thức hoạt động
Dịch vụ proxy được triển khai nhằm mục đích phục vụ các kết nối từ các
máy tính trong mạng dùng riêng ra Internet. Khi đăng ký sử dụng dịch vụ
internet tới nhà cung cấp dịch vụ, khách hàng sẽđược cấp hữu hạn số lượng địa
chỉ IP từ nhà cung cấp, số lượng IP nhận được không đủđể cấp cho các máy
tính trạm. Mặt khác với nhu cầu kết nối mạng dùng riêng ra Internet mà không
muốn thay đổi lại cấu trúc mạng hiện tại đồng thời muốn gia tăng khả năng thi
hành của mạng qua một kết nối Internet duy nhất và muốn kiểm soát tất cả các
thông tin vào ra, muốn cấp quyền và ghi lại các thông tin truy cập của người sử
dụng... Dịch vụ proxy đáp ứng được tất cả các yêu cầu trên. Hoạt động trên cơ
sở mô hình client-server. Quá trình hoạt động của dịch vụ proxy theo các bước
như sau:
Hình 5.15: Hoạt động của dịch vụ Proxy
1Client yêu cầu một đối tượng trên mạng Internet
1Proxy server tiếp nhận yêu cầu, kiểm tra tính hợp lệ cũng như thực hiện
việc xác thực client nếu thỏa mãn proxy server gửi yêu cầu đối tượng này tới
server trên Internet.
1Server trên Internet gửi đối tượng yêu cầu về cho proxy server.
1Proxy server gửi trảđối tượng về cho client
Ta có thể thiết lập proxy server để phục vụ cho nhiều dịch vụ như dịch
vụ truyền file, dịch vụ web, dịch vụ thưđiện tử...Mỗi một dịch vụ cần có một
proxy server cụ thểđể phục vụ các yêu cầu đặc thù của dịch vụđó từ các client.
Proxy server còn có thểđược cấu hình để cho phép quảng bá các server
thuộc mạng trong ra ngoài Internet với mức độ an toàn cao. Ví dụ ta có thể thiết
lập một web server thuộc mạng trong và thiết lập các qui tắc quảng bá web trên
proxy server để cho phép quảng bá web server này ra ngoài Internet. Tất cả các
yêu cầu truy cập web đến được chấp nhận bởi proxy server và proxy server sẽ
thực hiện việc chuyển tiếp yêu cầu tới web server thuộc mạng trong (hình 5.16)
155
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Hình 5.16: Hoạt động của dịch vụ Proxy
Các client được tổ chức trong một cấu trúc mạng gọi là mạng trong
(Inside network) hay còn gọi là mạng dùng riêng. IANA (Internet Assigned
Numbers Authority) đã dành riêng 3 khoảng địa chỉ IP tương ứng với 3 lớp
mạng tiêu chuẩn cho các mạng dùng riêng đó là:
10.0.0.0 - 10.255.255.255 (lớp A)
172.16.0.0 - 172.31.255.255 (lớp B)
192.168.0.0 - 192.168.255.255 (lớp C)
Các địa chỉ này sử dụng cho các client trong mạng dùng riêng mà không
được gán cho bất cứ máy chủ nào trên mạng Internet. Trong việc thiết kế và
cấu hình mạng dùng riêng khuyến nghị nên sử dụng các khoảng địa chỉ IP này.
Khái niệm mạng ngoài (Outside network) là để chỉ vùng mà các server
thuộc vào. Các địa chỉ sử dụng trên mạng này là các địa chỉ IP được đăng ký
hợp lệ của nhà cung cấp dịch vụ Internet.
Proxy server sử dụng hai giao tiếp, giao tiếp mạng trong và giao tiếp
ngoài. Giao tiếp trong điển hình là các cạc mạng sử dụng cho việc kết nối giữa
proxy server với mạng dùng riêng và có địa chỉđược gán là địa chỉ thuộc mạng
dùng riêng. Tất cả các thông tin giữa client thuộc mạng dùng riêng và proxy
server được thực hiện thông qua giao tiếp này. Giao tiếp ngoài thường bằng các
hình thức truy cập gián tiếp qua mạng điện thoại công cộng và qua cạc mạng
bằng kết nối trực tiếp tới mạng ngoài. Giao tiếp ngoài được gán địa chỉ IP
thuộc mạng ngoài được cung cấp hợp lệ bởi nhà cung cấp dịch vụ Internet.
2. Đặc điểm
Proxy Server kết nối mạng dùng riêng với mạng Internet toàn cầu và
cũng cho phép các máy tính trên mạng internet có thể truy cập các tài nguyên
trong mạng dùng riêng.
Proxy Server tăng cường khả năng kết nối ra Internet của các máy tính
trong mạng dùng riêng bằng cách tập hợp các yêu cầu truy cập Internet từ các
máy tính trong mạng và sau khi nhận được kết quả từ Internet sẽ trả lời lại cho
máy có yêu cầu ban đầu.
Ngoài ra proxy server còn có khả năng bảo mật và kiểm soát truy cập
Internet của các máy tính trong mạng dùng riêng. Cho phép thiết đặt các chính
sách truy cập tới từng người dùng.
156
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Proxy server lưu trữ tạm thời các kết quảđã được lấy từ Internet về
nhằm trả lời cho các yêu cầu truy cập Internet với cùng địa chỉ. Việc lưu trữ
này cho phép các yêu cầu truy cập Internet với cùng địa chỉ sẽ không cần phải
lấy lại kết quả từ Internet, làm giảm thời gian truy cập Internet, tăng cường hoạt
động của mạng và giảm tải trên đường kết nối Internet. Các công việc lưu trữ
này gọi là quá trình cache.
1.4. Cache và các phương thức cache
Nhằm tăng cường khả năng truy cập Internet từ các máy tính trạm trong
mạng sử dụng dịch vụ proxy ta sử dụng các phương thức cache. Dịch vụ proxy
sử dụng cache để lưu trữ bản sao của các đối tượng đã được truy cập trước đó.
Tất cả các đối tượng đều có thểđược lưu trữ (như hình ảnh và các tệp tin), tuy
nhiên một sốđối tượng như yêu cầu xác thực (Authenticate) và sử dụng SSL
(Secure Socket Layer) không được cache. Như vậy với các đối tượng đã được
cache, khi một yêu cầu từ một máy tính trạm tới proxy server, proxy server
thay vì kết nối tới địa chỉ mà máy tính trạm yêu cầu sẽ tìm kiếm trong cache
các đối tượng thoã mãn và gửi trả kết quả về máy tính trạm. Như vậy cache cho
phép cải thiện hiệu năng truy cập Internet của các máy trạm và làm giảm lưu
lượng trên đường kết nối Internet. Vấn đề gặp phải khi sử dụng cache là khi các
đối tượng được cache có sự thay đổi từ nguồn, các máy tính trạm yêu cầu một
đối tượng tới proxy server, proxy server lấy đối tượng trong cache để phục vụ
và như vậy thông tin chuyển tới các máy tính trạm là thông tin cũ so với nguồn,
để giải quyết vấn đề này cần phải có các chính sách để cache các đối tượng
đồng thời các đối tượng phải liên tục được cập nhật mới. Ví dụ: thông thường
một địa chỉ WEB thì các đối tượng về hình ảnh ít có sự thay đổi còn nội dung
text thường có sự thay đối do đó ta có thể thiết đặt chỉ cache những đối tượng
hình ảnh, những đối tượng có nội dung text thì không cache, điều này không
ảnh hưởng tới hiệu suất truy cập vì các tập tin về hình ảnh thường có kính
thước rất lớn so với các đối tượng có nội dung text, việc cập nhật các đối tượng
như thế nào phụ thuộc vào các phương thức cache mà ta sẽ trình bày dưới đây.
Proxy server thực thi cache cho các đối tượng được yêu cầu một cách có
chu kỳđể tăng hiệu suất của mạng. Ta có thể thiết lập cache đểđảm bảo rằng
nó bao gồm những dữ liệu thường hay các client sử dụng nhất. Proxy server có
thể sử dụng cho phép thông tin giữa mạng dùng riêng và Internet, việc thông
tin có thể là client trong mạng truy cập Internet-trong trường hợp này proxy
server thực hiện Forward caching, cũng có thể là client ngoài truy cập tới mạng
trong (tới các server được quảng bá)-trong trường hợp này proxy server thực
hiện reverse caching. Cả hai trường hợp đều có được từ khả năng của proxy
server là lưu trữ thông tin (tạm thời) làm cho việc truyền thông thông tin được
nhanh hơn, sau đây là các tính chất của cache proxy server:
-Phân cache: khi cài đặt một mảng các máy proxy server ta sẽ thiết lập được
việc phân phối nội dung cache. Proxy server cho phép ghép nhiều hệ thống
thành một cache logic duy nhất.
-Cache phân cấp: Khả năng phân phối cache còn có thể chuyên sâu hơn bằng
cách cài đặt chếđộ cache phân cấp liên kết một loạt các máy proxy server với
nhau để client có thể truy cập tới gần chúng nhất.
157
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
-Cache định kỳ: sử dụng cache định kỳ nội dung download đối với các yêu cầu
thường xuyên của các client
-Reverse cache: proxy server có thể cache các nội dung của các server quảng bá
do đó tăng hiệu suất và khả năng truy cập, mọi đặc tính cache của proxy server
đều có thể áp dụng cho nội dung trên các server quảng bá.
Proxy server có thểđược triển khai như một Forward cache nhằm cung
cấp tính năng cache cho các client mạng trong truy cập Internet. Proxy server
duy trì bộ cache tập trung của các đối tượng Internet thường được yêu cầu có
thể truy cập từ bất kỳ trình duyệt từ mày client. Các đối tượng phục vụ cho các
yêu cầu từ các đĩa cache yêu cầu tác vụ xử lý nhỏ hơn đáng kế so với các đối
tượng từ Internet, việc này tăng cường hiệu suất của trình duyệt trên client,
giảm thời gian hồi đáp và giảm việc chiếm băng thông cho kết nối Internet.
Hình vẽ sau mô tả proxy server xử lý các yêu cầu của người dùng ra sao (hình
6.17)
Hình 5.17: Hoạt động của dịch vụ Proxy
Hình trên mô tả quá trình các client trong mạng dùng riêng truy cập ra
ngoài Internet nhưng tiến trình này cũng tương tựđối với các cache reverse
(khi người dùng trên Internet truy cập vào các Server quảng bá) các bước bao
gồm;
1Client 1 yêu cầu một đối tượng trên mạng Internet
2Proxy server kiểm tra xem đối tượng có trong cache hay không. Nếu đối
tượng không có trong cache của proxy server thì proxy server gửi yêu cầu đối
tượng tới server trên Internet.
3Server trên Internet gửi đối tượng yêu cầu về cho proxy server .
4proxy server giữ bản copy của đối tượng trong cache của nó và trảđối
tượng về cho client1
5Client 2 gửi một yêu cầu vềđối tượng tương tự
6Proxy server gửicho client 2 đối tượng từ cache của nó chứ không phải
từ Internet nữa.
158
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Ta có thể triển khai dịch vụ proxy để quảng bá các server trong mạng
dùng riêng ra ngoài Internet. Với các yêu cầu đến, proxy server có thểđóng vai
trò như là một server bên ngoài, đáp ứng các yêu cầu của client từ các nội dung
web trong cache của nó. Proxy server chuyển tiếp các yêu cầu cho server chỉ
khi nào cache của nó không thể phục vụ yêu cầu đó (Reverse cache).
Lựa chọn các phương thức cache dựa trên các yếu tố: không gian ổ cứng
sử dụng, đối tượng nào được cache và khi nào các đối tượng này sẽđược cập
nhật. Về cơ bản ta có hai phương thức cache thụđộng và chủđộng.
Phương thức Cache thụđộng (passive cache): Cache thụđộng lưu trữ
các đối tượng chỉ khi các máy tính trạm yêu cầu tới đối tượng. Khi một đối
tượng được chuyển tới máy tính trạm, máy chủ Proxy xác định xem đối tượng
này có thể cache hay không nếu có thểđối tượng sẽđược cache. Các đối tượng
chỉđược cập nhật khi có nhu cầu. Đối tượng sẽ bị xoá khỏi cache dựa trên thời
điểm gần nhất mà các máy tính trạm truy cập tới đối tượng. Phương thức này
có lợi ích là sử dụng ít hơn bộ xử lý nhưng tốn nhiều không gian ổđĩa hơn
Phương thức Cache chủđộng (active cache): Cũng giống như phương
thức cache thụđộng, Cache chủđộng lưu trữ các đối tượng khi các máy tính
trạm ra yêu cầu tới một đối tượng máy chủ Proxy đáp ứng yêu cầu và lưu đối
tượng này vào Cache. Phương thức này tựđộng cập nhật các đối tượng từ
Internet dựa vào: số lượng yêu cầu đối với các đối tượng, đối tượng thường
xuyên thay đối như thế nào. Phương thức này sẽ tựđộng cập nhật các đối tượng
khi mà máy chủ Proxy đang phục vụở mức độ thấp và do đó không ảnh hưởng
đến hiệu suất phục vụ các máy tính trạm. Đối tượng trong cache sẽ bị xoá dựa
trên các thông tin header HTTP, URL.
2. Triển khai dịch vụ proxy
2.1. Các mô hình kết nối mạng
Đối tượng phục vụ của proxy server khá rộng, từ mạng văn phòng nhỏ,
mạng văn phòng vừa tới mạng của các tập đoàn lớn. Với mỗi quy mô tổ chức
sẽ có một cấu trúc mạng sử dụng proxy server cho phù hợp. Sau đây chúng ta
sẽ xem xét một số mô hình cơ bản đối với mạng cỡ nhỏ, mạng cỡ trung bình và
mạng tập đoàn lớn. Trong đó chúng ta sẽđi sâu vào mô hình thứ nhất dành cho
mạng văn phòng nhỏ bởi nó phù hợp quy mô tổ chức của các công ty vừa và
nhỏ tại Việt nam.
Mô hình mạng văn phòng nhỏ:
-Bao gồm một mạng LAN độc lập.
-Sử dụng giao thức IP.
-Kết nối Internet bằng đường thoại (qua mạng điện thoại công cộng bằng các
hình thức quay dial-up hay sử dụng công nghệ ADSL) hoặc đường trực tiếp
(Leased Line).
-Ít hơn 250 máy tính trạm.
Mô hình kết nối mạng như hình vẽ (hình 5.18)
159
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Hình 5.18: Mô hình kết nối mạng
Theo mô hình này, với mỗi phương thức kết nối Internet Proxy server sử dụng
02 giao tiếp như sau:
-Kết nối Internet bằng đường thoại qua mạng PSTN:
•01 giao tiếp với mạng nội bộ thông qua card mạng.
•01 giao tiếp với Internet thông qua Modem.
-Kết nối Internet bằng đường trực tiếp (Leased Line)
•01 giao tiếp với mạng nội bộ thông qua card mạng
•01 giao tiếp với Internet thông qua card mạng khác. Lúc này bảng địa chỉ nội
bộ (LAT-Local Address Table) được xây dựng dựa trên danh sách địa chỉ IP
mạng nội bộ.
Mô hình kết nối mạng cỡ trung bình
Đặc trưng của mạng văn phòng cỡ trung bình như sau:
-Văn phòng trung tâm với một vài mạng LAN
-Mỗi văn phòng chi nhánh có một mạng LAN.
-Sử dụng giao thức IP.
-Kết nối bằng đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm.
-Kết nối Internet từ văn phòng trung tâm tới ISP bằng đường thoại hoặc đường
trực tiếp (Leased Line).
-Ít hơn 2000 máy tính trạm
Mô hình mạng như hình 5.19. Theo mô hình này, văn phòng chi nhánh
sử dụng một máy chủ Proxy cung cấp khả năng lưu trữ thông tin nội bộ (local
caching), quản trị kết nối và kiểm soát truy cập tới văn phòng trung tâm. Tại
văn phòng trung tâm, một số máy chủ Proxy hoạt động theo kiến trúc mảng
(array) cung cấp khả năng bảo mật chung cho toàn mạng, cung cấp tính năng
lưu trữ thông tin phân tán (distributed caching) và cung cấp kết nối ra Internet.
160
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Hình 5.19: Mô hình kết nối mạng
Mô hình kết nối mạng tập đoàn lớn
Mạng của các tập đoàn lớn có đặc trưng như sau:
-Văn phòng trung tâm có nhiều mạng LAN và có mạng trục LAN.
-Có vài văn phòng chi nhánh, mỗi văn phòng chi nhánh có một mạng LAN.
-Sử dụng giao thức mạng IP.
-Kết nối bằng đường thoại từ các văn phòng chi nhánh tới văn phòng trung tâm.
-Kết nối Internet từ văn phòng trung tâm tới ISP bằng đường đường trực tiếp
(Leased Line).
-Có nhiều hơn 2000 máy tính trạm.
Mô hình mạng như hình 5.20. Theo mô hình này mạng tại các văn
phòng chi nhánh cũng cấu hình tương tự nhưđối với mô hình các văn phòng cỡ
trung bình. Các yêu cầu kết nối Internet không được đáp ứng bởi cache nội bộ
tại máy chủ Proxy của văn phòng chi nhánh sẽđược chuyển tới một loạt máy
chủ Proxy hoạt động theo kiến trúc mảng tại văn phòng trung tâm. Tại văn
phòng trung tâm các máy chủ Proxy sử dụng 02 giao tiếp mạng (card mạng)
trong đó 01 card mạng giao tiếp với mạng trục LAN và 01 card mạng giao tiếp
với mạng LAN thành viên.
161
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Hình 5.20: Mô hình kết nối mạng
2.2. Thiết lập chính sách truy cập và các qui tắc
1..Các qui tắc.
Ta có thể thiết lập proxy server đểđáp ứng các yêu cầu bảo mật và vận
hành bằng cách thiết lập các qui tắc để xác định xem liệu người dùng, máy tính
hoặc ứng dụng có được quyền truy cập và truy cập như thế nào tới máy tính
trong mạng hay trên Internet hay không. Thông thường một proxy server định
nghĩa các loại qui tắc sau: Qui tắc về chính sách truy nhập, qui tắc về băng
thông, qui tắc về chính sách quảng bá, các đặc tính lọc gói và qui tắc vềđịnh
tuyến và chuỗi (chaining).
Khi một client trong mạng yêu cầu một đối tượng proxy server sẽ xử lý
các qui tắc để xác định xem yêu cầu đó có được xác định chấp nhận hay không.
Tương tự khi một client bên ngoài (Internet) yêu cầu một đối tượng từ một
server trong mạng, proxy server cững xử lý các bộ qui tắc xem yêu cầu có được
cho phép không.
Các qui tắc của chính sách truy nhập:Ta có thể sử dụng proxy server để
thiết lập chính sách bao gồm các qui tắc về giao thức, qui tắc về nội dung. Các
qui tắc giao thức định nghĩa giao thức nào có thể sử dụng cho thông tin giữa
mạng trong và Internet. Qui tắc giao thức sẽđược xử lý ở mức ứng dụng. Ví dụ
một qui tắc giao thức có thể cho phép các Client sử dụng giao thức HTTP. Các
qui tắc về nội dung qui định những nội dung nào trên các site nào mà client có
thể truy nhập. Các qui tắc nội dung cùng được xử lý ở mức ứng dụng. Ví dụ
một qui tắc về nội dung có thể cho phép các client truy nhập tới bất kỳđịa chỉ
nào trên Internet.
162
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Qui tắc băng thông: Qui tắc băng thông xác định kết nối nào nhận được
quyền ưu tiên.Trong việc điều khiển băng thông thường thì proxy server không
giới hạn độ rộng băng thông. Hơn nữa nó cho biết chất lượng dịch vụ (QoS)
được cấp phát ưu tiên cho các kết nối mạng như thế nào. Thường thì bất kỳ kết
nối nào không có qui tắc về băng thông kèm theo sẽ nhận được quyền ưu tiên
ngầm định và bất kỳ kết nối nào có qui tắc băng thông đi kèm sẽđược sắp xếp
với quyền ưu tiên hơn quyền ưu tiên ngầm định.
Các qui tắc về chính sách quảng bá: Ta có thể sử dụng proxy server để
thiết lập chính sách quảng bá, bao gồm các qui tắc quảng bá server và qui tắc
quảng bá web. Các qui tắc quảng bá server và web lọc tất cả các yêu cầu đến từ
các yêu cầu của client ngoài mạng (internet) tới các server trong mạng. Các qui
tắc quảng bá server và web sẽđưa các yêu cầu đến cho các server thích hợp
phía sau proxy server.
Đặc tính lọc gói: Đặc tính lọc gói của proxy server cho phép điều khiển
luồng các gói IP đến và đi từ proxy server. Khi lọc gói hoạt động thì mọi gói
trên giao diện bên ngoài đều bị rớt lại, trừ khi chúng được hoàn toàn cho phép
hoặc là một cách cốđịnh bằng các bộ lọc gói IP, hoặc là một cách động bằng
các chính sách truy cập hay quảng bá. Thậm chí nếu bạn không để lọc gói hoạt
động thì truyền thông giữa mạng Internet và mạng cục bộđược cho phép khi
nào bạn thiết lập rõ ràng các qui tắc cho phép truy cập. Trong hầu hết các
trường hợp, việc mở các cổng động thường được sử dụng hơn. Do đó, người ta
thường khuyến nghị rằng bạn nên thiết lập các qui tắc truy cập cho phép client
trong mạng truy nhập vào Internet hoặc các qui tắc quảng bá cho phép client
bên ngoài truy nhập vào các server bên trong. Đó là do các bộ lọc gói IP mở
một cách cốđịnh những chính sách truy nhập và qui tắc quảng bá lại mở các
cổng kiểu động. Giả sử bạn muốn cấp quyền cho mọi người dùng trong mạng
truy cập tới các site HTTP. Bạn không nên thiết lập một bộ lọc gói IP để mở
cổng 80. Nên thiết lập qui tắc về site, nội dung và giao thức cần thiết để cho
phép việc truy nhập này. Trong một vài trường hợp ta sẽ phải sử dụng các lọc
gói IP, ví dụ nên thiết lập các lọc gói IP nếu ta muốn quảng bá các Server ra
bên ngoài.
Qui tắc định tuyến và cấu hình chuỗi proxy (chaining): thường là qui tắc
được áp dụng sau cùng đểđịnh tuyến các yêu cầu của client tới một server đã
được chỉđịnh để phục vụ các yêu cầu đó.
2. Xử lý các yêu cầu đi
Một trong các chức năng chính của proxy server là khả năng kết nối
mạng dùng riêng ra Internet trong khi bảo vệ mạng khỏi những nội dung có ác
ý. Để thuận tiện cho việc kiểm soát kết nối này, ta dùng proxy server để tạo ra
một chính sách truy cập cho phép các client truy cập tới các server trên Internet
cụ thể, chính sách truy cập cùng với các qui tắc định tuyến quyết định các
client truy cập Internet như thế nào.
Khi proxy server xử lý một yêu cầu đi, proxy server kiểm tra các qui tắc
định tuyến các qui tắc về nội dung và các qui tắc giao thức để xem xét việc truy
cập có được phép hay không. Yêu cầu chỉđược cho phép nếu cả quy tắc giao
163
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
thức, qui tắc nội dung và site cho phép và nếu không một qui tắc nào từ chối
yêu cầu.
Một vài qui tắc có thểđược thiết lập để áp dụng cho các client cụ thể.
Trong trường hợp này, các client có thểđược chỉđịnh hoặc là bằng địa chỉ IP
hoặc bằng user name. Proxy server xử lý các yêu cầu theo cách khác nhau phụ
thuộc vào kiểu yêu cầu của client và việc thiết lập proxy server.Với một yêu
cầu, các qui tắc được xử lý theo thứ tự như sau: qui tắc giao thức, qui tắc nội
dung, các lọc gói IP, qui tắc định tuyến hoặc cấu hình chuỗi proxy.
Hình dưới đưa ra quá trình xử lý đối với một yêu cầu đi (hình 5.21)
Hình 5.21: Quá trình xử lý đối với một yêu cầu đi
Trước tiên, proxy server kiểm tra các qui tắc giao thức, proxy server
chấp nhận yêu cầu chỉ khi một qui tắc giao thức chấp nhận một cách cụ thể yêu
cầu và không một qui tắc giao thức nào từ chối yêu cầu đó.
Sau đó, proxy server kiểm tra các qui tắc về nội dung. Proxy server chỉ
chấp nhận yêu cầu nếu một qui tắc về nội dung chấp nhận yêu cầu và không có
một qui tắc về nội dung nào từ chối nó.
Tiếp đến proxy server kiểm tra xem liệu có một bộ lọc gói IP nào được
thiết lập để loại bỏ yêu cầu không để quyết định xem liệu yêu cầu có bị từ chối.
Cuối cùng, proxy server kiểm tra qui tắc định tuyến để quyết định xem yêu cầu
được phục vụ như thế nào.
Giả sử cài đặt một proxy server trên một máy tính với hai giao tiếp kết
nối, một kết nối với Internet và một kết nối vào mạng dùng riêng. Ta sẽ cho các
chỉ dẫn để cho phép tất cả client truy cập vào tất cả các site. Trong trường hợp
này, chính sách truy nhập chỉ là các qui tắc như sau: một qui tắc về giao thức
164
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
cho phép tất cả các client sử dụng mọi giao thức tại tất cả các thời điểm .Một
qui tắc về nội dung cho phép tất cả mọi người truy cập tới mọi nội dung trên tất
cả các site ở tất cả các thời điểm nào. Lưu ý rằng qui tắc này cho phép các
client truy cập Internet nhưng không cho các client bên ngoài truy cập vào
mạng của bạn.
3. Xử lý các yêu cầu đến
Proxy server có thểđược thiết lập để các Server bên trong có thể truy
cập an toàn đến từ các client ngoài. Ta có thể sử dụng proxy server để thiết lập
một chính sách quảng bá an toàn cho các Server trong mạng. Chính sách quảng
bá (bao gồm các bộ lọc gói IP, các qui tắc quảng bá Web, hoặc qui tắc quảng
bá Server, cùng với các qui tắc định tuyến) sẽ quyết định các Server được
quảng bá như thế nào.
Khi proxy server xử lý một yêu cầu xuất phát từ một client bên ngoài,
nó sẽ kiểm tra các bộ lọc gói IP, các qui tắc quảng bá và các qui tắc định tuyến
để quyết định xem liệu yêu cầu có được thực hiện hay không và Server trong
nào sẽ thực hiện các yêu cầu đó.
Hình 5.22: Xử lý các yêu cầu đến
Giả sử rằng đã cài đặt proxy server với hai giao tiếp kết nối, một kết nối
tới Internet và một kết nối vào mạng dùng riêng. Nếu lọc gói hoạt động và sau
đó, bộ lọc gói IP từ chối yêu cầu thì yêu cầu sẽ bị từ chối. Nếu các qui tắc
quảng bá web từ chối yêu cầu thì yêu cầu cũng bị loại bỏ. Nếu một qui tắc định
tuyến được thiết lập yêu cầu được định tuyến tới một Server upstream hoặc một
site chủ kế phiên thì Server được xác định đó sẽ xử lý yêu cầu. Nếu một qui tắc
định tuyến chỉ ra rằng các yêu cầu được định tuyến tới một Server cụ thể thì
web Server trong sẽ trả vềđối tượng.
2.3. Proxy client và các phương thức nhận thực
165
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Chính sách truy nhập và các qui tắc quảng bá của Proxy server có thể
được thiết lập để cho phép hoặc từ chối một nhóm máy tính hay một nhóm các
người dùng truy nhập tới một server nào đó. Nếu qui tắc được áp dụng riêng
với các người dùng, Proxy server sẽ kiểm tra các đặc tính yêu cầu để quyết
định người dùng được nhận thực như thế nào.
Ta có thể thiết lập các thông số cho các yêu cầu thông tin đi và đến để
người dùng phải được proxy server nhận thực trước khi xử lý các qui tắc. Việc
này đảm bảo rằng các yêu cầu chỉđược phép nếu người dùng đưa ra các yêu
cầu đã được xác thực. Bạn cũng có thể thiết lập các phương pháp nhận thực
được sử dụng và có thể thiết lập các phương pháp nhận thực cho các yêu cầu đi
và yêu cầu đến khác nhau. Về cơ bản một Proxy server thường hỗ trợ các
phương pháp nhận thực sau đây: phương thức nhận thực cơ bản., nhận thực
Digest, nhận thực tích hợp Microsoft windows, chứng thực client và chứng
thực server.
Đảm bảo rằng các chương trình proxy client phải hỗ trợ một trong các
phương pháp nhận thực mà proxy server đã đưa ra. Trình duyệt IE 5 trở lên hỗ
trợ hầu hết các phương pháp nhận thực, một vài trình duyệt khác có thể chỉ hỗ
trợ phương pháp nhận thực cơ bản. Đảm bảo rằng các trình duyệt client có thể
hỗ trợ ít nhất một trong số các phương pháp nhận thực mà Proxy server hỗ trợ.
1. Phương pháp nhận thực cơ bản.
Phương pháp nhận thực này gửi và nhận các thông tin về người dùng là
các ký tự text dễ dàng đọc được. Thông thường thì các thông tin về user name
và password sẽđược mã hoá thì trong phương pháp này không có sự mã hoá
nào được sử dụng. Tiến trình nhận thực được mô tả như sau, proxy client nhắc
người dùng đưa vào username và password sau đó thông tin này được client
gửi cho proxy server. Cuối cùng username và password được kiểm tra như là
một tài khoản trên proxy server.
2. Phương pháp nhận thực Digest.
Phương pháp này có tính chất tương tự như phương pháp nhận thực cơ
bản nhưng khác ở việc chuyển các thông tin nhận thực. Các thông tin nhận thực
qua một tiến trình xử lý một chiều thường được biết với cái tên là "hashing".
Kết quả của tiến trình này gọi là hash hay message digest và không thể giải mã
chúng. Thông tin gốc không thể phục hồi từ hash. Các thông tin được bổ sung
vào password trước khi hash nên không ai có thể bắt được password và sử dụng
chúng để giả danh người dùng thực. Các giá trịđược thêm vào để giúp nhận
dạng người dùng. Một tem thời gian cũng được thêm vào để ngăn cản người
dùng sử dụng một password sau khi nó đã bị huỷ. Đây là một ưu điểm rõ ràng
so với phương pháp nhận thực cơ bản bởi vì người dùng bất hợp pháp không
thể chặn bắt được password.
3. Phương pháp nhận thực tích hợp.
Phương pháp này được sử dụng tích hợp trong các sản phẩm của
Microsoft. Đây cũng là phương pháp chuẩn của việc nhận thực bởi vì username
và password không được gửi qua mạng. Phương pháp này sử dụng hoặc giao
166
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
thức nhận thực V5 Kerberos hoặc giao thức nhận thực challenge/response của
nó.
4. Chứng thực client và chứng thực server
Ta có thể sử dụng các đặc tính của SSL để nhận thực. Chứng thực được
sử dụng theo hai cách khi một client yêu cầu một đối tượng từ server: server
nhận thực chính nó bằng cách gửi đi một chứng thực server cho client. Server
yêu cầu client nhận thực chính nó (Trong trường hợp này client phải đưa ra một
chứng thực client phù hợp tới server).
SSL nhận thực bằng cách kiểm tra nội dung của một chứng thực sốđược
mã hoá do proxy client đệ trình lên trong quá trình đăng nhập (Các người dùng
có thể có được các chứng thực số từ một tổ chức ngoài có độ tin tưởng cao).
Các chứng thực về server bao gồm các thông tin nhận biết về server. Các chứng
thực về client thường gồm các thông tin nhận biết về người dùng và tổ chức
đưa ra chứng thực đó
Chứng thực client: Nếu chứng thực client được lựa chọn là phương thức
xác thực thì proxy server yêu cầu client gửi chứng thực đến trước khi yêu cầu
một đối tượng. Proxy server nhận yêu cầu và gửi một chứng thực cho client.
Client nhận chứng thực này và kiểm tra xem có thực là thuộc về proxy server .
Client gửi yêu cầu của nó cho proxy server, tuy nhiên proxy server yêu cầu một
chứng thực từ client mà đã được đưa ra trước đó. Proxy server kiểm tra xem
chứng thực có thực sự thuộcc về client được phép truy cập không.
Chứng thực server: Khi một client yêu cầu một đối tượng SSL từ một
server, client yêu cầu server phải nhận thực chính nó. Nếu proxy server kết
thúc một kết nối SSL thì sau đó proxy server sẽ phải nhận thực chính nó cho
client. Ta phải thiết lập và chỉđịnh các chứng thực về phía server để sử dụng
khi nhận thực server cho client
5. Nhận thực pass-though
Nhận thực pass-though chỉđến khả năng của proxy server chuyển thông
tin nhận thực của client cho server đích. Proxy server hỗ trợ nhận thực cho cả
các yêu cầu đi và đến. Hình vẽ sau mô tả trường hợp nhận thực pass-though.
Hình 5.23: Nhận thực pass-though
Client gửi yêu cầu lấy một đối tượng trên một web server cho proxy
server. Proxy server chuyển yêu cầu này cho web server, bắt đầu từđây việc
nhận thực qua các bước sau:
167
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
1Webserver nhận được yêu cầu lấy đối tượng và đáp lại rằng client cần phải
nhận thực. Web server cũng chỉ ra các kiểu nhận thực được hỗ trợ.
2Proxy server chuyển yêu cầu nhận thực cho client
3Client tiếp nhận yêu cầu và trả các thông tin nhận thực cho proxy server
4Proxy server chuyển lại thông tin đó cho web server
5Từ lúc này client liên lạc trực tiếp với web server
6. SSL Tunneling.
Với đường hầm SSL, một client có thể thiết lập một đường hầm qua
proxy server trực tiếp tới server yeu cầu với các đối tượng yêu cầu là HTTPS.
Bất cứ khi nào client yêu cầu một đối tượng HTTPS qua proxy server nó sử
dụng đường hầm SSL. Đường hầm SSL làm việc bởi sự ngầm định các yêu cầu
đi tới các cổng 443 và 563.
Hình 5.24: SSL Tunneling.
Tiến trình tạo đường hầm SSL được mô tả như sau:
1Khi client yêu cầu một đối tượng HTTPS từ một web server trên
Internet, proxy server gửi một yêu cầu kết nối https://URL_name
2Yêu cầu tiếp theo được gửi tới cổng 8080 trên máy proxy server
CONNECT URL_name:443 HTTP/1.1
3Proxy server kết nối tới Web server trên cổng 443
4Khi một kết nối TCP được thiết lập, proxy server trả lại kết nối đã được
thiết lập HTTP/1.0 200
5Từđây, client thông tin trực tiếp với Web server bên ngoài
7. SSL bridging.
SSL bridging đề cập đến khả năng của proxy server trong việc mã hóa
hoặc giải mã các yêu cầu của client và chuyển các yêu cầu này tới server đích.
Ví dụ, trong trường hợp quảng bá (hoặc reverse proxy), proxy server có thể
phục vụ một yêu cầu SSL của client bằng cách chấm dứt kết nối SSL với client
và mở lại một kết nối mới với web server. SSL bridging được sử dụng khi
proxy server kết thúc hoặc khởi tạo một kết nối SSL.
168
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Khi một client yêu cầu một đối tượng HTTP. Proxy server mã hóa yêu
cầu và chuyển tiếp nó cho web server. Web server trả vềđối tượng đã mã hóa
cho proxy server. Sau đó proxy server giải mã đối tượng và gửi lại cho client.
Nói một cách khác các yêu cầu HTTP được chuyển tiếp như các yêu cầu SSL.
Khi client yêu cầu một đối tượng SSL. Proxy server giải mã yêu cầu, sau
đó mã hóa lại một lần nữa và chuyển tiếp nó tới Web server. Web server trả về
đối tượng mã hóa cho proxy server. Proxy server giải mã đối tượng và sau đó
gửi nó cho client. Nói một cách khác các yêu cầu SSL được chuyển tiếp như là
các yêu cầu SSL.
Khi client yêu cầu một đối tượng SSL. Proxy server giải mã yêu cầu và
chuyển tiếp nó cho web server. Web server trả vềđối tượng HTTP cho proxy
server. Proxy server mã hóa đối tượng và chuyển nó cho client. Nói cách khác
các yêu cầu SSL được chuyển tiếp như các yêu cầu HTTP.
SSL bridging có thểđược thiết lập cho các yêu cầu đi và đến. Tuy nhiên
với các yêu cầu đi client phải hỗ trợ truyền thông bảo mật với proxy server.
2.4. NAT và proxy server
Khái niệm NAT (Network Addresss Tranlation)
NAT là một giao thức cho ta khả năng bản đồ hóa một một vùng địa chỉ
IP sử dụng trong mạng dùng riêng ra mạng ngoài và ngược lại. NAT thường
được thiết lập trên các bộđịnh tuyến là ranh giới giữa mạng dùng riêng và
mạng ngoài (ví dụ như mạng công cộng Internet). NAT chuyển đổi các địa chỉ
IP trên mạng dùng riêng thành các địa chỉ IP được đăng ký hợp lệ trước khi
chuyển các gói từ mạng dùng riêng tới Internet hoặc tới mạng ngoài khác.
Trong phần này chúng ta sẽ chỉ tìm hiểu sự vận hành của NAT khi NAT được
thiết lập để cung cấp các chức năng chuyển đổi các địa chỉ mạng dùng riêng
trong việc phục vụ cho việc kết nối truy cập ra mạng ngoài như thế nào. Để làm
việc này, NAT dùng tiến trình các bước theo hình vẽ dưới đây.
Hình 5.25: NAT
1.Người dùng tại máy 10.1.1.25 muốn mở một kết nối ra ngoài tới server
203.162.0.12
169
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
2.Khi gói dữ liệu đầu tiên tới NAT router, NAT router thực hiện việc kiểm
tra trong bảng NAT. Nếu sự chuyển đổi địa chỉđã có trong bảng, NAT router
thực hiện bước thứ 3. Nếu không có sự chuyển đổi nào được tìm thấy, NAT
router xác định rằng địa chỉ 10.1.1.25 phải được chuyển đổi. NAT router xác
định một địa chỉ mới và cấu hình một chuyển đổi đối với địa chỉ 10.1.1.25 tới
địa chỉ hợp lệ ngoài mạng (Internet) từ dãy địa chỉđộng đã được định nghĩa từ
trước ví dụ 203.162.94.163.
3.NAT router thay thếđịa chỉ 10.1.1.25 bằng địa chỉ 203.162.94.163 sau
đó gói được chuyển tiếp tới đích.
4.Server 203.162.0.12 trên Internet nhận gói và phúc đáp trở lại NAT
router với địa chỉ 203.162.94.163.
5.Khi NAT router nhận được gói phúc đáp từ Server với địa chỉđích đến
là 203.162.94.163, nó thực hiện việc tìm kiếm trong bảng NAT. Bảng NAT chỉ
ra rằng địa chỉ mạng trong 10.1.1.25 (tương ứng được ánh xạ tới địa chỉ
203.162.94.163 ở mạng ngoài) sẽ nhận được gói tin này. NAT router thực hiện
việc chuyển đổi địa chỉđích trong gói tin là 10.1.1.25 và chuyển gói tin này tới
đích (10.1.1.25). Máy 10.1.1.25 nhận gói và tiếp tục thực hiện với các gói tiếp
theo với các bước tuần tự như trên.
Trong trường hợp muốn sử dụng một địa chỉ mạng ngoài cho nhiều địa
chỉ mạng trong. NAT router sẽ duy trì các thông tin thủ tục mức cao hơn trong
bảng NAT đối với các số hiệu cổng TCP và UDP để chuyển đổi địa chỉ mạng
ngoài trở lại chính xác tới các địa chỉ mạng trong.
Như vậy NAT cho phép các client trong mạng dùng riêng với việc sử
dụng các địa chỉ IP dùng riêng truy cập vào một mạng bên ngoài như mạng
Internet.Cung cấp kết nối ra ngoài Internet trong các mạng không được cung
cấp đủ các địa chỉ Internet có đăng ký. Thích hợp cho việc chuyển đổi địa chỉ
trong hai mạng Intranet ghép nối nhau. Chuyển đổi các địa chỉ IP nội tại được
ISP cũ phân bố thành các địa chỉđược phân bố bởi ISP mới mà không cần thiết
lập thủ công các giao diện mạng cục bộ.
NAT có thểđược sử dụng một cách cốđịnh hoặc động. Chuyển đổi cố
định xảy ra khi ta thiết lập thủ công một bảng địa chỉ cùng các địa chỉ IP. Một
địa chỉ cụ thểở bên trong mạng sử dụng một địa chỉ IP (được thiết lập thủ công
bởi người quản trị mạng) để truy cập ra mạng ngoài. Các thiết lập động cho
phép người quản trị thiết lập một hoặc nhiều các nhóm địa chỉ IP dùng chung
đã đăng ký. Những địa chỉ trong nhóm này có thểđược sử dụng bởi các client
trên mạng dùng riêng để truy cập ra mạng ngoài. Việc này cho phép nhiều
client trong mạng sử dụng cùng một địa chỉ IP.
NAT cũng có một số nhược điểm như làm tăng độ trễ của các gói tin
trên mạng. NAT phải xử lý mọi gói để quyết định xem liệu các header được
thay đổi như thế nào. Không phải bất kỳứng dụng nào cũng có thể chạy được
với NAT. NAT hỗ trợ nhiều giao thức truyền thông và cũng rất nhiều giao thức
không được hỗ trợ. Các giao thức được NAT hỗ trợ như:TCP,UDP, HTTP,
TFTP, FTP...Các thông tin không được hỗ trợ như: IP multicast, BOOTP,
DNS zone transfer, SNMP...
170
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Proxy và NAT
Nhưđã phân tích cả dịch vụ NAT và dịch vụ Proxy đều có thể là một
giải pháp để kết nối các mạng dùng riêng ra Internet, tuy nhiên mỗi dịch vụ lại
có các ưu điểm và nhược điểm riêng.
Dịch vụ proxy cho khả năng thi hành và tốc độ cao hơn nhờ tính năng
cache, tuy nhiên sử dụng cache có thểđưa ra các đối tượng đã quá hạn cần phải
có các chính sách cache hợp lý đềđảm bảo tính thời sự của các đối tượng.
Chính vì sử dụng cache nên giảm tải trên kết nối truy cập Internet. NAT không
có tính năng cache.
Dịch vụ proxy phải được triển khai đối với từng ứng dụng, trong khi
NAT là một tiến trình trong suốt hơn. Hầu hết các ứng dụng đều có thể làm
việc được với NAT. NAT dễ cài đặt và vận hành, dường như không phải làm gì
nhiều với NAT sau khi cài đặt.
Tại các client, đối với NAT không phải thiết đặt gì nhiều ngoài việc cấu
hình tham số default gateway tới Server NAT. Trong khi sử dụng dịch vụ
proxy, cần phải có các chương trình proxy client để làm việc với proxy server.
Dịch vụ proxy cho phép thiết đặt các chính sách tới người dùng, với
NAT việc sử dụng các tính năng này có hạn chế rất nhiều, có thể nói sử dụng
dịch vụ proxy là cách truy cập an toàn nhất để kết nối mạng dùng riêng ra
ngoài Internet.
3. Các tính năng của phần mềm Microsoft ISA server 2000
3.1. Các phiên bản
ISA server bao gồm hai phiên bản được thiết kếđể phù hợp với từng
nhu cầu của người sử dụng đó là ISA server Standard và ISA server Enterprise.
-ISA server Standard cung cấp khả năng an toàn firewall và khả năng
web cache cho một môi trường kinh doanh, các nhóm làm việc hay văn phòng
nhỏ. ISA server Standard cung cấp việc bảo mật chặt chẽ, truy cập web nhanh,
quản lý trực quan, giá cả hợplý và khả năng thi hành cao.
-ISA server Enterprise được thiết kếđẻđáp ứng các nhu cầu về hiệu
suất, quản trị và cân bằng trong các môi trường Internet tốc độ cao với sự quản
lý server tập trung, chính sách truy cập đa mức và các khả năng chống lỗi cao.
ISA server Enterprisecung cấp sự bảo mật, truy cập Internet nhanh cho các môi
trường có sựđòi hỏi khắt khe.
3.2. Lợi ích
ISA server là một trong các phần mềm máy chủ thuộc dòng .NET
Enterprise Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các
server ứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai, quản
lý, tích hợp, các giải pháp dựa trên web và các dịch vụ. ISA server mang lại
một số các lợi ích cho các tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản
lý.
171
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
1. Truy cập Web nhanh với cache hiệu suất cao.
-Người dùng có thể truy cập web nhanh hơn bằng các đối tượng tại chỗ
trong cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy
cơ tắc nghẽn.
-Giảm giá thành băng thông nhờ giảm lưu lượng từ Internet
-Phân tán nội dung của các Web server và các ứng dụng thương mại điện
tử một cách hiệu quả, đáp ứng được nhu cầu khách hàng trên toàn cầu (khả
năng phân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)
2. Kết nối Internet an toàn nhờ Firewall nhiều lớp.
-Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cách giám sát lưu
lượng mạng tại nhiều lớp
-Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công
từ bên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an
toàn các yêu cầu đến
-Lọc lưu lượng mạng đi và đến đểđảm bảo an toàn.
-Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạng
nội tại nhờ sử dụng mạng riêng ảo (VPN)
3. Quản lý thống nhất với sự quản trị tích hợp.
-Điều khiển truy cập tập trung đểđảm bảo tính an toàn và phát huy hiệu
lực của các chính sách vận hành.
-Tăng hiệu suất nhờ việc giới hạn truy cập sử dụng Internet đối với một
số các ứng dụng và đích đến.
-Cấp phát băng thông để phù hợp với các ưu tiên.
-Cung cấp các công cụ giám sát và các báo cáo để chỉ ra kết nối Internet
được sử dụng như thế nào.
-Tựđộng hóa các nhiệm vụ bằng việc sử dụng các script
4. Khả năng mở rộng.
-Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server Softwware
Development Kit (SDK) với sự phát triển các thành phần bổ sung.
-Chức năng quản lý và an toàn mở rộng cho các nhà sản xuất thứ ba
-Tựđộng các tác vụ quản trị với các đối tượng Script COM (Component
Object Model)
3.3. Các chếđộ cài đặt
ISA server có thểđược cài đặt ở ba chếđộ khác nhau: Cache, Firewall và
Integrated
1.Chếđộ cache: Trong chếđộ này ta có thể nâng cao hiệu suất truy cập và
tiết kiệm băng thông bằng cách lưu trữ các đối tượng web thường được truy
xuất từ người dùng. Ta cũng có thểđịnh tuyến các yêu cầu của người dùng tới
cache server khác đang lưu giữ các đối tượng đó.
172
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
2.Chếđộ firewall: Trong chếđộ này cho phép ta đảm bảo an toàn lưu
lượng mạng nhờ sự thiết lập các qui tắc điều khiển thông tin giữa mạng trong
và Internet. Ta cũng có thể quảng bá các server trong để chia sẻ dữ liệu trên
mạng với các đối tác và khách hàng.
3.Chếđộ tích hợp: Trong chếđộ này ta có thể tích hợp các dịch vụ cache
và firewall trên một server.
3.4. Các tính năng của mỗi chếđộ cài đặt
Các tính năng khác nhau tùy thuộc vào chếđộ mà ta cài đặt, bảng sau liệt kê
các tính năng có trong chếđộ firewall và cache, chếđộ tích hợp có tất cả các
tính năng đó
Tính năng Mô tả Chếđộ
firewall
Chếđộ
cache
Chính sách truy cập Định nghĩa các giao thức và nội
dung Internet mà người dùng có thể
sử dụng và truy cập
Có Chỉ có
HTTP
và FTP
Cache Lưu trữđịnh kỳ các đối tượng web
Không Có
vào RAM và đĩa cứng của ISA
server
VPN Mở rộng mạng riêng nhờ sử dụng
Có Không
các đường liên kết qua các mạng
được chia sẻ hay mạng công cộng
như Internet
Lọc gói Điều khiển dòng gói IP đi và đến Có Không
Lọc ứng dụng Thực thi các tác vụ của hệ thống
Có Không
hoặc của giao thức chỉđịnh, như là
nhận thực để cung cấp một lớp bảo
vệ bổ sung cho dịch vụ firewall
Quảng bá Web Quảng bá web trong mạng để người
Không Có
dùng trong mạng có thể truy cập
Quảng bá Server Cho phép các Server ứng dụng có
Có Không
thể phục vụ các client bên ngoài
Giám sát thời gian
Cho phép giám sát tập trung các hoạt
Có Có
thực
động của ISA server bao gồm các
cảnh báo, giám sát các phiên làm
việc và các dịch vụ
Cảnh báo Báo cho ta biết các sự kiện đặc biệt
Có Có
xuất hiện và thực thi các hoạt động
phù hợp
173
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Báo cáo Tổng hợp và phân tích hoạt động
Có Có
trên một hoặc nhiều máy ISA server
4. Bài tập thực hành.
Yêu cầu về Phòng học lý thuyết: Số lượng máy tính theo số lượng học
viên trong lớp học đảm bảo mỗi học viên có một máy tính, cấu hình máy tối
thiểu như sau (PIII 800 MHZ, 256 MB RAM, HDD 1GB,FDD, CDROM 52 x).
Máy tính đã cài đặt Windows 2000 advance server. Các máy tính đã được nối
mạng chạy giao thức TCP/IP.
Thiết bị thực hành:Đĩa cài phần mềm Windows 2000 Advance Server,
đĩa cài phần mềm ISA Server 2000. Mỗi máy tính có 01 Modem V.90 và 01
đường điện thoại. 01 account truy cập internet
Bài 1: Các bước cài đặt cơ bản phần mềm ISA server 2000.
Bước 1: Các bước cài đặt cơ bản.
nĐăng nhập vào hệ thống với quyền Administrator
nĐưa đĩa cài đặt Microsoft Internet Security and Acceleration Server
2000 Enterprise Edition vào ổ CD-ROM.
CCửa sổ Microsoft ISA Server Setup mở ra. Nếu cửa sổ này không tự
động xuất hiện, sử dụngWindows Explorer để chạy x:\ISAAutorun.exe (với x
là tên ổđĩa CD-ROM).
aTrong cửa sổ Microsoft ISA Server Setup, kích Install ISA Server.
MTrong hộp thoại Microsoft ISA Server (Enterprise Edition) Setup kích
Continue.
CVào CD Key sau đó kích OK hai lần.
nTrong hộp thoại Microsoft ISA Server Setup kích I Agree.
iTrong hộp thoại Microsoft ISA Server (Enterprise Edition) Setup kích
Custom Installation.
CTrong hộp thoại Microsoft ISA Server (Enterprise Edition) - Custom
Installation kích Add-in services sau đó kích Change Option.
óTrong hộp thoại Microsoft ISA Server (Enterprise Edition) - Add-in
services kiểm tra lựa chọn Install H.323 Gatekeeper Service đã được chọn,
chọn Message Screener sau đó kích OK.
OTrong hộp thoại Microsoft ISA Server (Enterprise Edition) -
CustomInstallation kích Administration tools sau đó kích Change Option.
óTrong hộp thoại Microsoft ISA Server (Enterprise Edition) -
Administration tools, kiểm tra lựa chọn ISA Management đã được chọn, chọn
H.323 Gatekeeper Administration Tools sau đó kíchOK.
174
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Trong hộp thoại Microsoft ISA Server (Enterprise Edition) - Custom
Installation kích Continue. Hộp thoại Microsoft Internet Security and
Acceleration Server Setup xuất hiện, lưu ý bạn rằng máy tính không thể tham
gia vào array. Bạn sẽ cấu hình máy tính này là một stand-alone server.
sKích Yes để cấu hình máy tính này là một stand-alone server.
sTrong hộp thoại Microsoft ISA Server Setup đọc mô tả các mode cài đặt
đảm bảo rằng mode Integrated đã được lựa chọn sau đó kích Continue.
óTrong hộp thoại Microsoft Internet Security and Acceleration Server
Setup đọc thông báo về IIS publishing sau đó kích OK để biết rằng ISA Server
Setup đang dừng dịch vụ IIS publishing.
Kích OK và đặt ngầm định các giá trị thiết đặt cho cache.
Bước 2: Cấu hình LAT để khai báo địa chỉ cho mạng riêng.
nTrong hộp thoại Microsoft Internet Security and Acceleration Server
2000 Setup kích Construct Table. Lưu ý rằng khi bạn thêm vào không đúng địa
chỉ IP vào LAT, ISA server sẽ chuyển tiếp sai các gói tin do đó các máy client
sẽ không thể truy cập Internet
pTrong hộp thoại Local Address Table, kích để xóa Add the following
private ranges: 10.x.x.x, 192.168.x.x and 172.16.x.x-172.31.x.x
1Chọn adapter ip_address (với tên cạc mạng và địa chỉ IP là địa chỉ mạng
riêng), sau đó kích OK.
óTrong thông báo Setup Message, kích OK.
MTrong Internal IP Ranges, kích 10.255.255.255-10.255.255.255, sau đó
kích Remove.
kKiểm tra rằng Internal IP Ranges chỉ chứa IP addresses trong mạng
trong của bạn sau đó kích OK.
óKết thúc việc cài đặt ISA Server và khởi tạo cấu hình ISA Server.
uTrong hộp thoại Launch ISA Management Tool, kích để xóa
Start ISA Server Getting Started Wizard check box, sau đó kích OK.
óTrong hộp thông báo Microsoft ISA Server (Enterprise Edition) Setup
kích OK.
kĐóng cửa sổ Microsoft ISA Server Setup.
Lấy đĩa Microsoft Internet Security and Acceleration Server Enterprise
Edition từổđĩa CD-ROM.
Bước 3: Cấu hình Default Web Site trong Internet Information Services sử
dụng cổng 8008, sau đó khởi động Default Web Site.
nMở Internet Services Manager từ Administrative Tools.
Trong Internet Information Services, mở rộng server(server là tên máy
tính của bạn), sau đó kích DefaultWeb Site (Stopped).
175
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Kích chuột phải Default Web Site (Stopped), sau đó kích Properties. Vì
ISA Server sử dụng các cổng 80 and 8080, bạn phải cấu hình IIS để phục vụ
các kết nối từ các client tới trên cổng khác. Bạn sẽ cấu hình IIS để phục cụ các
yêu cầu này trên cổng TCP 8008.
nTrong hộp thoại Default Web Site (Stopped) Properties, trong hộp TCP
Port, gõ 8008 sau đó kích OK.
OKích chuột phải Default Web Site (Stopped), sau đó kích Start.
Bài 2: Cấu hình ISA Server 2000 cho phép một mạng nội bộ có thể truy
cập, sử dụng các dịch vụ cơ bản trên Internet qua 01 modem kết nối qua
mạng PSTN.
Bước 1: Cấu hình và quản trị cấu hình cho ISA server sử dụng Getting Started
Với Getting Started Wizard, có các lựa chọn cấu hình sau:
Select Policy elements, cấu hình ngầm định chọn tất cả các thành phần để có
thể sử dụng khi tạo các qui tắc.
cConfigure Schedules, cấu hình ngầm định có hai lịch là Weekends và Work
Hours, ta có thể sửa các lịch này hoặc tạo các lịch mới.
iConfigure Client sets, các máy tính Client có thể tạo thành nhóm với nhau
bằng các địa chỉ IP sử dụng cho mục đích tạo các qui tắc ứng với từng nhóm
client
cConfigure Protocol Rule, đưa ra các qui tắc giao thức để các client sử dụng
truy nhập Internet
176
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Configure Destination Sets, cho phép thiết lập các máy tính trên mạng
Internet thành nhóm bởi tên hay địa chỉ IP, Destination Sets được sử dụng để
tạo ra các qui tắc, áp dụng các qui tắc cho một hay nhiều Destination Sets
uConfigure Site and Content Rules, cấu hình các qui tắc về nội dung.
iSecure Server cho phép bạn có thểđặt các mức độ bảo vệ thích hợp cho
mạng.
nConfigure Filewall Protection, Packet Fitering bảo đảm cho ISA server sẽ lọc
không có packet nào qua trừ khi được phép
cCofigure Dial-Up Entries, cho phép chọn giao diện để kết nối với Internet
nConfigure Routing for filewall and secureNat client.
CConfigure Routing for Web browser Appilications cho phép tạo các qui tắc
định tuyến, xác định rõ yêu cầu từ Web Proxy Client được gửi trực tiếp tới
Internet hay tới Upstream server
sConfigure Cache policy, cấu hình các chính sách về cache.
Bước 2: Cấu hình ISA server cho phép cácclient sử dụng được các dịch vụ của
Internet qua mạng thoại công cộng
nTạo một Dial-Up Entries, để kết nối với InternetBước 2: Tạo một qui tắc giao
thức.
cMở ISA Management, kích Servers and arrays, sau đó kích tên máy chủ ISA.
Kích Access Policy, kích chuột phải vào Protocol Rule, sau đó chọn New -->
Rule.
RĐặt tên của Protocol Rule, sau đó kích Next.
NKiểm tra rằng Allow đã được chọn, kích Next, sau đó chọn All IP traffic,
kích Next Chọn Always, kích Next sau đó chọn Any Request, kích Next, sau
đó kích Finish.
Bước 3: Cấu hình Web Proxy Client: cấu hình Internet Explorer để sử dụng
ISA server đối với các yêu cầu truy cập dịch vụ Web.
WWMở trình duyệt Internet Explorer.
ttTrong Internet Connection Wizard, kích Cancel.
kkTrong hộp thoại Internet Connection Wizard, chọn Do not show the Internet
Connection wizard in the future, sau đó kích Yes.
ssTrong Internet Explorer, trong ô Address , gõ http://vdc.com.vn sau đó chọn
ENTER. Internet Explorer không thể kết nối tới trang web này.
wwTrong menu Tools, kích Internet Options.
TTTrong hộp thoại Internet Options, trong Connections kích LAN Settings.
ttTrong hộp thoại Local Area Network (LAN) Settings , kích để bỏ lựa chọn
Automatically detect settings. Chọn Use a proxy server, trong ô Address gõ vào
địa chỉ IP của ISA Server .
aaTrong hộp Port, gõ 8080
177
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Kiểm tra rằng lựa chọn Bypass proxy server for local addresses đã bỏ, sau
đó kích OK hai lần.
Bài 3: Thiết đặt các chính sách cho các yêu cầu truy cập và sử dụng các
dịch vụ trên mạng internet.
I.Thiết lập các thành phần chính sách
Bước 1: Thiết lập lịch trình
ccĐăng nhập vào hệ thống với quyền administrator
nnMở ISA Management từ thực đơn Microsoft ISA Server.
SSTrong ISA Management, mở rộng Servers and Arrays, mở rộng server
(server là tên của ISA Server ), mở rộng Policy Elements, sau đó kích
Schedules.
..Kích Create a Schedule để thiết lập một lịch trình.
ccTrong hộp thoại New schedule trong mục Name đưa vào một tên lịch trình
ví dụ schedule1.
ssTrong mục Description gõ vào Daily period of most network utilization
eeKéo để lựa chọn toàn bộ lịch trình sau đó kích Inactive.
óóKéo để lựa chọn vùng từ thời điểm hiện tại tới 2 h tiếp theo đối với tất cả
các ngày trong tuần sau đó kích active ví dụ, nếu thời điểm hiện tại là 3:15
P.M., thì lựa chọn vùng từ 3:00 P.M. tới 5:00 P.M. cho tất cả các ngày trong
tuần.
nnKích OK.
Bước 2: Thiết lập destination set
ssTrong ISA Management, kích Destination Sets.
ccKích Create a Destination Set.
SSTrong hộp thoại New Destination Set trong mục Name cho vào một tên cho
thiết lập mới này ví dụ set1.
Trong mục Description box, gõ vào một nội dung mô tả cho thiết lập mới
này
nnKích Add.
AATrong hộp thoại Add/Edit Destination trong mục Destination gõ
home.vnn.vn
Bước 3: Thiết lập client address set
ssTrong ISA Management kích Client Address Sets.
SSKích Create a Client Set.
ííTrong hộp thoại Client Set trong mục Name gõ vào một tên cho thiết lập
mới, ví dụ Accounting Department.
Trong mục Description gõ nội dung mô tả cho thiết lập mới này sau đó kích
Add.
178
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Trong hộp thoại Add/Edit IP Addresses trong mục From gõ vào địa chỉ bắt
đầu thuộc nhóm địa chỉ thuộc mạng dùng riêng .
nnTrong mục To gõ vào địa chỉ kết thúc thuộc nhóm địa chỉ thuộc mạng dùng
riêng kích OK hai lần.
Bước 4: Thiết lập protocol definition (sử dụng cổng UDP 39000 cho kết nối
chính gọi ra và cổng TCP 39000 cho kết nối thứ hai)
hhTrong ISA Management kích Protocol Definitions.
iiKích Create a Protocol Definition.
KKTrong New Protocol Definition Wizard trong mục Protocol definition
ddname gõ vào một tên cho thiết đặt mới sau đó kích Next.
óóTrong trang Primary Connection Information trong mục Port number
ccgõ vào 39000
99Trong danh sách Protocol type kích UDP.
TTTrong danh sách Direction kích Send Receive sau đó kích Next.
óóTrong trang Secondary Connections kích Yes sau đó kích New.
óóTrong hộp thoại New/Edit Secondary Connection trong mục From và mục
To gõ 39000
00Trong danh sách Protocol type kiểm tra rằng TCP đã được lựa chọn, trong
mục Direction
cckích Outbound sau đó kích OK.
óóKích Next sau đó trong trang Completing the New Protocol Definition
DDWizard kích Finish.
II.Thiết lập các qui tắc giao thức
Bước 1: Thiết lập một qui tắc giao thức cho phép HTTP, HTTP-S và FTP đối
với mọi người dùng truy cập Internet tại mọi thời điểm bằng việc sử dụng các
giao thức HTTP, HTTP-S và FTP .
ccMở trình duyệt Internet Explorer tại một máy trạm, trong ô Address gõ
http://home.vnn.vn nhấn ENTER. Trình duyệt Internet Explorerkhông thể kết
nối tới Web site vì ISA Server từ chối yêu cầu.
uuĐóng Internet Explorer.
óóTrong ISA Management mở rộng Access Policy sau đó kích Protocol Rules.
óóKích Create a Protocol Rule for Internet Access.
llTrong New Protocol Rule Wizard, trong mục Protocol rule name gõ Allow
HTTP, HTTP-S, and FTP sau đó kích Next.
NNTrong trang Protocols kiểm tra rằng Selected protocols đã được chọn, kích
để xóa Gopher check box sau đó kích Next.
..Trong trang Schedule kiểm tra rằng Always đã được lựa chọn sau đó kích
Next.
179
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Trong trang Client Type kiểm tra rằng Any request đã được chọn, sau đó
kích Next.
ííTrong trang Completing the New Protocol Rule Wizard kích Finish.
kkMở Internet Explorer tại một máy tính trạm, trong mục Address gõ
http://home.vnn.vn sao đó ấn ENTER. Kiểm tra rằng trình duyệt kết nối thành
công nội dung trang web được hiển thị
ịịĐóng Internet Explorer.
Bước 2: Thiết lập một qui tắc giao thức cho phép người dùng trong nhóm
Domain Admins truy cập Internet sử dụng tất cả các giao thức.
ccTrong ISA Management kích Create a Protocol Rule.
RRTrong New Protocol Rule Wizard, trong mục Protocol rule name gõ Allow
All Access for Administrators sau đó kích Next.
óóTrong trang Rule Action kiểm tra rằng Allow đã được chọn sau đó kích
Next.
NNTrong trang Protocols, trong danh sách Apply this rule to kiểm tra rằng All
IP traffic đã được chọn sau đó kích Next.
óóTrong trang Schedule, kiểm tra rằng Always đã được chọn sau đó kích
Next.
NNTrong trang Client Type, kích Specific users and groups, sau đó kích Next.
NNTrong trang Users and Groups, kích Add.
GGTrong hộp thoại Select Users or Groups, kích Domain Admins, kích Add,
sau đó kích OK.
óóTrong trang Users and Groups, kích Next.
GGTrong trang Completing the New Protocol Rule Wizard kích Finish.
Bước 3: Thiết lập một qui tắc giao thức từ chối người dùng trong nhóm
Accounting Department đã định nghĩa trong client set truy cập Internet.
ppTrong ISA Management, kích Create a Protocol Rule.
RRTrong New Protocol Rule Wizard, trong mục Protocol rule name gõ vào
Deny Access from Accounting Department , sau đó kích Next.
óóTrong trang Rule Action, kích Deny, sau đó kích Next.
óóTrong trang Protocols, trong danh sách Apply this rule to, kiểm tra rằng All
IP traffic đã được lựa chọn, sau đó kích Next.
xxTrong trang Schedule, kiểm tra rằng Always đã được lựa chọn, sau đó kích
Next.
eeTrong trang Client Type, kích Specific computers (client address
TTsets), sau đó kích Next.
óóTrong trang Client Sets, kích Add.
180
Ebook 4 U ebook.vinagrid.com
Chương 5 - Dịch vụ truy nhập từ xa và dịch vụ Proxy
Trong hộp thoại Add Client Sets, kích Accounting Department, kích Add,
sau đó kíchOK.
óóTrong trang Client Sets, kích Next.
TTTrong trang Completing the New Protocol Rule Wizard, kích Finish.
ttKiểm tra để xác nhận việc truy cập không thành công từ nhóm nhóm
Accounting Department
Bước 4: Xóa qui tắc giao thức từ chối người dùng trong nhóm Accounting
Department
DDTrong In ISA Management, kích Deny Access from Accounting
Department
DDKích Delete a Protocol Rule.
KKTrong hộp thoại Confirm Delete, kích Yes.
III.Thiết lập các qui tắc nội dung
Bước 1:Thiết lập một qui tắc nội dung để từ chối truy cập tới nội dung đã được
định nghĩa trong destination set và với lịch trình đã thiết lập ở mục 1
ccTrong ISA Management, kích Site and Content Rules.
RRKích Create a Site and Content Rule.
eeTrong New Site and Content Rule Wizard, trong mục Site and content rule
ccname, gõ vào một tên ví dụ Deny Access Rule sau đó kích Next.
NNTrong trang Rule Action, kiểm tra rằng Deny đã được chọn, sau đó kích
Next.
NNTrong trang Destination Sets, trong danh sách Apply this rule to, kích
Specified destination set.
SSTrong danh sách Name, lựa chọn set1 (đã thiết lập ở phần trên), sau đó kích
Next.
NNTrong trang Schedule, chọn schedule1 (đã thiết lập ở phần trên), sau đó kích
Next.
ttTrong trang Client Type, kiểm tra rằng Any request đã được chọn, sau đó
kích Next.
kkTrong trangCompleting the New Site and Content Rule Wizard, kích
Finish.
Bước 2:
Kiểm tra qui tắc vừa thiết lập
ppMở trình duyệt Internet Explorer.
ttTrong ô Address, gõ http://home.vnn.vn sau đó ấn ENTER. kiểm tra rằng
trang web này không được hiển thị, vì qui tắc nội dung đã thiết lập ở trên đã có
hiệu lực
ccĐóng trình duyệt Internet Explorer.
181
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chương 6 - Bảo mật hệ thống và Firewall
Chương 6 tập trung vào các nội dung quan trọng về bảo mật hệ thống và
mạng lưới. Nội dung của phần thứ nhất chương 6 cung cấp cho các học viên
khái niệm về các hình thức tấn công mạng, các lỗ hổng, điểm yếu của mạng
lưới. Các kỹ năng cơ bản trong phần một của chương 6 giúp người quản trị
quản lý và xây dựng các chính sách bảo mật tương ứng cho các thành phần
mạng, hệ thống hay dịch vụ ngay từ lúc bắt đầu hoạt động.
Phần 2 của chương 6 tập trung giới thiệu về thiết bị bảo mật mạnh và
thông dụng trên mạng. Đó là thiết bị bức tường lửa (firewall). Học viên sẽ có
được các kiến thức về cấu trúc firewall, các chức năng cơ bản và cách phân loại
cũng nhưưu nhược điểm của các loại firewall hoạt động theo các nguyên lý
khác nhau. Những kỹ năng thiết lập cấu hình, luật, quản trị firewall với mô
hình firewall checkpoint sẽ giúp cho các học viên hiểu cụ thể và các công việc
quản trị và bảo mật hệ thống mạng
Chương 6 yêu cầu các học viên trang bị rất nhiều các kiến thức cơ bản
như nắm vững các kiến thức quản trị hệ thống OS windows, linux, unix. Học
viên cần hiểu sâu về giao thức TCP/IP, hoạt động của IP hay UDP, TCP. Học
viên cần có hiểu biết về các port, socket của các giao thức dịch vụ như SMTP,
POP3, WWW...Các kiến thức được trang bị trong các giáo trình quản trị hệ
thống hoặc các tài liệu, sách giáo khoa về nội dung trên học viên nên tham
khảo trước khi học chương 6 này.
1.Bảo mật hệ thống
1.1. Các vấn đề chung về bảo mật hệ thống và mạng
Do đặc điểm của một hệ thống mạng là có nhiều người sử dụng và phân
tán về mặt địa lý nên việc bảo vệ các tài nguyên (mất mát, hoặc sử dụng không
hợp lệ) trong môi trường mạng phức tạp hơn nhiều so với môi trường một máy
tính đơn lẻ, hoặc một người sử dụng.
Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin
trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo
mạng hoạt động ổn định, không bị tấn công bởi những kẻ phá hoại.
Có một thực tế là không một hệ thống mạng nào đảm bảo là an toàn
tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc
bị vô hiệu hoá bởi những kẻ có ý đồ xấu.
1.1.1. Một số khái niệm và lịch sử bảo mật hệ thống
Trước khi tìm hiểu các vấn đề liên quan đến phương thức phá hoại và
các biện pháp bảo vệ cũng như thiết lập các chính sách về bảo mật, ta sẽ tìm
hiểu một số khái niệm liên quan đến bảo mật thông tin trên mạng Internet.
182
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
1.1.1.1. Một số khái niệm
a) Đối tượng tấn công mạng (Intruder):
Là những cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và
các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, lỗ
hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt
tài nguyên mạng trái phép.
Một sốđối tượng tấn công mạng là:
- Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng
các công cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy
nhập trên hệ thống.
- Masquerader: Là những kẻ giả mạo thông tin trên mạng. Có một số
hình thức như giả mạo địa chỉ IP, tên miền, định danh người dùng ...
- Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử
dụng các công cụ sniffer; sau đó dùng các công cụ phân tích và debug để lấy
được các thông tin có giá trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau
như: ăn cắp những thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có
chủđịnh, hoặc cũng có thể chỉ là những hành động vô ý thức, thử nghiệm các
chương trình không kiểm tra cẩn thận ...
b) Các lỗ hổng bảo mật:
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa
trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để
thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp.
Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi
của bản thân hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu
kém không hiểu sâu sắc các dịch vụ cung cấp ...
Mức độảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ
ảnh hưởng tới chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng
nghiêm trọng tới toàn bộ hệ thống ...
c) Chính sách bảo mật:
Là tập hợp các qui tắc áp dụng cho mọi đối tượng có tham gia quản lý
và sử dụng các tài nguyên và dịch vụ mạng.
Mục tiêu của chính sách bảo mật giúp người sử dụng biết được trách
nhiệm của mình trong việc bảo vệ các tài nguyên thông tin trên mạng , đồng
thời giúp các nhà quản trị thiết lập các biện pháp bảo đảm hữu hiệu trong quá
trình trang bị, cấu hình, kiểm soát hoạt động của hệ thống và mạng
Một chính sách bảo mật được coi là hoàn hảo nếu nó xây dựng gồm các
văn bản pháp qui, kèm theo các công cụ bảo mật hữu hiệu và nhanh chóng giúp
người quản trị phát hiện, ngăn chặn các xâm nhập trái phép.
183
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
1.1.1.2. Lịch sử bảo mật hệ thống
Có một số sự kiện đánh dấu các hoạt động phá hoại trên mạng, từđó nảy
sinh các yêu cầu về bảo mật hệ thống như sau:
- Năm 1988: Trên mạng Internet xuất hiện một chương trình tự nhân
phiên bản của chính nó lên tất cả các máy trên mạng Internet. Các chương trình
này gọi là "sâu". Tuy mức độ nguy hại của nó không lớn, nhưng nó đặt ra các
vấn đềđối với nhà quản trị về quyền truy nhập hệ thống, cũng như các lỗi phần
mềm.
- Năm 1990: Các hình thức truyền Virus qua địa chỉ Email xuất hiện phổ
biến trên mạng Internet.
- Năm 1991: Phát hiện các chương trình trojans.
Cùng thời gian này sự phát triển của dịch vụ Web và các công nghệ liên
quan như Java, Javascipts đã có rất nhiều các thông báo lỗi về bảo mật liên
quan như: các lỗ hổng cho phép đọc nội dung các file dữ liệu của người dùng,
một số lỗ hổng cho phép tấn công bằng hình thức DoS, spam mail làm ngưng
trệ dịch vụ.
- Năm 1998: Virus Melisa lan truyền trên mạng Internet thông qua các
chương trình gửi mail của Microsoft, gây những thiết hại kinh tế không nhỏ.
- Năm 2000: Một loạt các Web Site lớn như yahoo.com và ebay.com bị
tê liệt, ngừng cung cấp dịch vụ trong nhiều giờ do bị tấn công bởi hình thức
DoS.
1.1.2. Các lỗ hổng và phương thức tấn công mạng chủ yếu
1.1.2.1. Các lỗ hổng
Như phần trên đã trình bày, các lỗ hổng bảo mật trên một hệ thống là
các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người
sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ
hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp ...
Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệđiều hành như trong
Windows NT, Windows 95, UNIX hoặc trong các ứng dụng mà người sử dụng
thường xuyên sử dụng như word processing, các hệ databases...
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc
biêt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên
một hệ thống được chia như sau:
- Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương
thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy
hiểm thấp, chỉảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián
đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất
hợp pháp.
- Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các
quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ nên có thể
dẫn đến mất mát hoặc lộ thông tin yêu cầu bảo mật. Mức độ nguy hiểm trung
bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống.
184
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
- Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài cho
thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể
làm phá hủy toàn bộ hệ thống.
Hình sau minh họa các mức độ nguy hiểm và loại lỗ hổng tương ứng:
Hình 6.1: Các loại lỗ hổng bảo mật và mức độ ngưy hiểm
Sau đây ta sẽ phân tích một số lỗ hổng bảo mật thường xuất hiện trên
mạng và hệ thống.
a) Các lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ
giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người
sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin
được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên
quá tải, kết quả là server đáp ứng chậm hoặc không thểđáp ứng các yêu cầu từ
client gửi tới.
Các dịch vụ có lỗ hổng cho phép thực hiện các cuộc tấn công DoS có
thểđược nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung
cấp dịch vụ. Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ
185
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng
và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng
này.
Ví dụđiển hình của phương thức tấn công DoS là các cuộc tấn công vào
một số Web Site lớn làm ngưng trệ hoạt động của web site này như:
www.ebay.com và www.yahoo.com.
Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C,
ít nguy hiểm vì chúng chỉ làm gián đoạn sự cung cấp dịch vụ của hệ thống
trong một thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công
cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống.
Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch
vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng
cuối. Chủ yếu hình thức tấn công này là sử dụng dịch vụ Web. Giả sử trên một
Web Server có những trang Web trong đó có chứa các đoạn mã Java hoặc
JavaScripts, làm "treo" hệ thống của người sử dụng trình duyệt Web của
Netscape bằng các bước sau:
- Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape.
- Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số
các cửa sổ, trong mỗi cửa sổđó nối đến các Web Server khác nhau.
Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống trong
khoảng thời gian 40 giây (đối với máy client có 64 MB RAM). Đây cùng là
một hình thức tấn công kiểu DoS. Người sử dụng trong trường hợp này chỉ có
thể khởi động lại hệ thống.
Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là
không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các
hành động spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư
điện tử là lưu và chuyển tiếp. Một số hệ thống mail không có các xác thực khi
người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các
máy chủ mail này để thực hiện spam mail. Spam mail là hành động nhằm làm
tê liệt dịch vụ mail của hệ thống bằng cách gửi một số lượng lớn các message
tới một địa chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm
những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch vụ. Các message
có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet.
b) Các lỗ hổng loại B:
Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép
người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không
hợp pháp.
Ví dụ trên hình 12, lỗ hổng loại B có thể có đối với một hệ thống UNIX
mà file /etc/passwd đểở dạng plaintext; không sử dụng cơ chế che mật khẩu
trong UNIX (sử dụng file /etc/shadow)
Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ
thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ
thống với một số quyền hạn nhất định.
186
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Một loại các vấn đề về quyền sử dụng chương trình trên UNIX cũng
thương gây nên các lỗ hổng loại B. Vì trên hệ thống UNIX một chương trình có
thểđược thực thi với 2 khả năng:
- Người chủ sở hữu chương trình đó kích hoạt chạy.
- Người mang quyền của người sở hữu file đó kích hoạt chạy.
Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã
nguồn viết bằng C. Những chương trình viết bằng C thường sử dụng một vùng
đệm - một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý. Những
người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một
khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ, người sử dụng viết
chương trình nhập trường tên người sử dụng, qui định trường này dài 20 ký tự.
Do đó họ sẽ khai báo:
char first_name [20];
Khai báo này sẽ cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi
nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập
vào 35 ký tự sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ
nằm ở một vị trí không kiểm soát được trong bộ nhớ. Đối với những kẻ tấn
công, có thể lợi dụng lỗ hổng này để nhập vào những ký tựđặc biệt, để thực thi
một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hổng này thường được lợi
dụng bởi những người sử dụng trên hệ thống đểđạt được quyền root không hợp
lệ.
Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn
chếđược các lỗ hổng loại B.
c) Các lỗ hổng loại A:
Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và
bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống
quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.
Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là
Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy
các script là cgi-bin; trong đó có một Scripts được viết sẵn để thử hoạt động
của apache là test-cgi. Đối với các phiên bản cũ của Apache (trước version
1.1), có dòng sau trong file test-cgi:
echo QUERY_STRING = $QUERY_STRING
Biến môi trường QUERY_STRING do không được đặt trong có dấu "
(quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến
gồm một số ký tựđặc biệt; ví dụ ký tự "*", web server sẽ trả về nội dung của
toàn bộ thư mục hiện thời (là các thư mục chứa các script cgi). Người sử dụng
có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống
server.
Một ví dụ khác cũng xảy ra tương tựđối với các Web server chạy trên
hệđiều hành Novell: các web server này có một scripts là convert.bas, chạy
scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống.
187
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên
phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm
sử dụng sẽ có thể bỏ qua những điểm yếu này.
Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo
của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này.
Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại
A như: FTP, Gopher, Telnet, Sendmail, ARP, finger...
1.1.2.2. Một số phương thức tấn công mạng phổ biến
a) Scanner
Scanner là một chương trình tựđộng rà soát và phát hiện những điểm
yếu về bảo mật trên một trạm làm việc cục bộ hoặc trên một trạm ở xa. Với
chức năng này, một kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện
ra những lỗ hổng về bảo mật trên một server ở xa.
Các chương trình scanner thường có một cơ chế chung là rà soát và phát
hiện những port TCP/UDP được sử dụng trên một hệ thống cần tấn công từđó
phát hiện những dịch vụ sử dụng trên hệ thống đó. Sau đó các chương trình
scanner ghi lại những đáp ứng trên hệ thống ở xa tương ứng với các dịch vụ mà
nó phát hiện ra. Dựa vào những thông tin này, những kẻ tấn công có thể tìm ra
những điểm yếu trên hệ thống.
Những yếu tốđể một chương trình Scanner có thể hoạt động như sau:
- Yêu cầu về thiết bị và hệ thống: Một chương trình Scanner có thể hoạt
động được nếu môi trường đó có hỗ trợ TCP/IP (bất kể hệ thống là UNIX, máy
tính tương thích với IBM, hoặc dòng máy Macintosh).
- Hệ thống đó phải kết nối vào mạng Internet.
Tuy nhiên không phải đơn giản để xây dựng một chương trình Scanner,
những kẻ phá hoại cần có kiến thức sâu về TCP/IP, những kiến thức về lập
trình C, PERL và một số ngôn ngữ lập trình shell. Ngoài ra người lập trình
(hoặc người sử dụng) cần có kiễn thức là lập trình socket, phương thức hoạt
động của các ứng dụng client/server.
Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo
mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống
mạng. Đối với người quản trị mạng những thông tin này là hết sức hữu ích và
cần thiết; đối với những kẻ phá hoại những thông tin này sẽ hết sức nguy hiểm.
b) Password Cracker
Password cracker là một chương trình có khả năng giải mã một mật
khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của
một hệ thống.
Để hiểu cách thức hoạt động của các chương trình bẻ khoá, chúng ta cần
hiểu cách thức mã hoá để tạo mật khẩu. Hầu hết việc mã hoá các mật khẩu
được tạo ra từ một phương thức mã hoá. Các chương trình mã hoá sử dụng các
thuật toán mã hoá để mã hoá mật khẩu.
188
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Quá trình hoạt động của các chương trình bẻ khoá được minh hoạ trong
hình sau:
Hình 6.2: Hoạt động của các chương trình bẻ khóa
Theo sơđồ trên, một danh sách các từđược tạo ra và được mã hoá đối
với từng từ. Sau mỗi lần mã hoá, chương trình sẽ so sánh với mật khẩu đã mã
hoá cần phá. Nếu không thấy trùng hợp, quá trình lại quay lại. Phương thức bẻ
khoá này gọi là bruce-force.
Yếu tố về thiết bị phần cứng: Trong hình trên máy tính thực hiện các
chương trình phá khoá là một máy PC 66MHz hoặc cấu hình cao hơn. Trong
thực tế yêu cầu các thiết bị phần cứng rất mạnh đối với những kẻ phá khoá
chuyên nghiệp. Một phương thức khác có thể thay thế là thực hiện việc phá
khoá trên một hệ thống phân tán; do vậy giảm bớt được các yêu cầu về thiết bị
so với phương pháp làm tại một máy.
Nguyên tắc của một số chương trình phá khoá có thể khác nhau. Một vài
chương trình tạo một một danh sách các từ giới hạn, áp dụng một số thuật toán
mã hoá, từ kết quả so sánh với password đã mã hoá cần bẻ khoá để tạo ra một
danh sách khác theo một lôgic của chương trình, cách này tuy không chuẩn tắc
nhưng khá nhanh vì dựa vào nguyên tắc khi đặt mật khẩu người sử dụng
thường tuân theo một số qui tắc để thuận tiện khi sử dụng.
189
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Đến giai đoạn cuối cùng, nếu thấy phù hợp với mật khẩu đã được mã
hoá, kẻ phá khoá sẽ có được mật khẩu dạng text thông thường. Trong hình trên,
mật khẩu dạng text thông thường được ghi vào một file.
Đểđánh giá khả năng thành công của các chương trình bẻ khoá ta có
công thức sau:
P = L x R /S
Trong đó:
P: Xác suất thành công
L: Thời gian sống của một mật khẩu
R: Tốc độ thử
S: Không gian mật khẩu = AM (M là chiều dài mật khẩu)
Ví dụ, trên hệ thống UNIX người ta đã chứng minh được rằng nếu mật
khẩu dài quá 8 ký tự thì xác suất phá khoá gần như = 0. Cụ thể như sau:
Nếu sử dụng khoảng 92 ký tự có thểđặt mật khẩu, không gian mật khẩu
có thể có là S = 928
Với tốc độ thử là 1000 mật khẩu trong một giây có R = 1000/s
Thời gian sống của một mật khẩu là 1 năm
Ta có xác suất thành công là :
P = 1x 365 x 86400 x 1000/928 = 1/1.000.000
Như vậy việc dò mật khẩu là không thể vì sẽ mất khoảng 100 năm mới
tìm ra mật khẩu chính xác.
Thông thường các chương trình phá khoá thường kết hợp một số thông
tin khác trong quá trình dò mật khẩu như:
- Các thông tin trong tập tin /etc/passwd
- Một số từđiển
- Từ lặp và các từ liệt kê tuần tự, chuyển đổi cách phát âm của một từ ...
Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng
một chính sách bảo vệ mật khẩu đúng đắn.
c) Trojans
Dựa theo truyền thuyết cổ Hy lạp "Ngựa thành Trojan", trojans là một
chương trình chạy không hợp lệ trên một hệ thống với vai trò như một chương
trình hợp pháp. Những chương trình này thực hiện những chức năng mà người
sử dụng hệ thống thường không mong muốn hoặc không hợp pháp. Thông
thường, trojans có thể chạy được là do các chương trình hợp pháp đã bị thay
đổi mã của nó bằng những mã bất hợp pháp.
Các chương trình virus là một loại điển hình của Trojans. Những
chương trình virus che dấu các đoạn mã trong các chương trình sử dụng hợp
190
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
pháp. Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu
sẽđược thực thi để thực hiện một số chức năng mà người sử dụng không biết.
Một định nghĩa chuẩn tắc về các chương trình Trojans như sau: chương
trình trojans là một chương trình thực hiện một công việc mà người sử dụng
không biết trước, giống nhưăn cấp mật khẩu hay copy file mà người sử dụng
không nhận thức được.
Những tác giả của các chương trình trojan xây dựng một kết hoạch. Xét
về khía cạnh bảo mật trên Internet, một chương trình trojan sẽ thực hiện một
trong những công việc sau:
- Thực hiện một vài chức năng hoặc giúp người lập trình phát hiện
những thông tin quan trọng hoặc thông tin cá nhân trên một hệ thống hoặc một
vài thành phần của hệ thống đó
- Che dấu một vài chức năng hoặc giúp người lập trình phát hiện những
thông tin quan trọng hoặc thông tin cá nhân trên một hệ thống hoặc một vài
thành phần của hệ thống đó
Một vài chương trình trojan có thể thực hiện cả 2 chức năng này. Ngoài
ra, một số chương trình trojans còn có thể phá huỷ hệ thống bằng cách phá hoại
các thông tin trên ổ cứng (ví dụ trưòng hợp của virus Melisa lây lan qua đường
thưđiện tử).
Hiện nay với nhiều kỹ thuật mới, các chương trình trojan kiểu này dễ
dàng bị phát hiện và không có khả năng phát huy tác dụng. Tuy nhiên trong
UNIX việc phát triển các chương trình trojan vẫn hết sức phổ biến.
Các chương trình trojan có thể lây lan qua nhiều phương thức, hoạt động
trên nhiều môi trường hệđiều hành khác nhau (từ Unix tới Windows, DOS).
Đặc biệt trojans thường lây lan qua một số dịch vụ phổ biến như Mail, FTP...
hoặc qua các tiện ích, chương trình miễn phí trên mạng Internet.
Việc đánh giá mức độảnh hưởng của các chương trình trojans hết sức
khó khăn. Trong một vài trường hợp, nó chỉđơn giản là ảnh hưởng đến các
truy nhập của khách hàng như các chương trình trojans lấy được nội dung của
file passwd và gửi mail tới kẻ phá hoại. Cách thức sửa đơn giản nhất là thay thế
toàn bộ nội dung của các chương trình đã bịảnh hưởng bởi các đoạn mã trojans
và thay thế các password của người sử dụng hệ thống.
Tuy nhiên với những trường hợp nghiêm trọng hơn, là những kẻ tán
công tạo ra những lỗ hổng bảo mật thông qua các chương trình trojans. Ví dụ
những kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng nó để phá huỷ
toàn bộ hoặc một phần của hệ thống. Chúng dùng quyền root để thay đổi
logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát
hiện. Trong trường hợp này, mức độảnh hưởng là nghiêm trọng và người quản
trị hệ thống đó chỉ còn cách là cài đặt lại toàn bộ hệ thống
d) Sniffer
Đối với bảo mật hệ thống sniffer được hiểu là các công cụ (có thể là
phần cứng hoặc phần mềm) "bắt" các thông tin lưu chuyển trên mạng và từ các
191
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
thông tin "bắt" được đó để lấy được những thông tin có giá trị trao đổi trên
mạng.
Hoạt động của sniffer cũng giống như các chương trình "bắt" các thông
tin gõ từ bàn phím (key capture). Tuy nhiên các tiện ích key capture chỉ thực
hiện trên một trạm làm việc cụ thể còn đối với sniffer có thể bắt được các thông
tin trao đổi giữa nhiều trạm làm việc với nhau.
Các chương trình sniffer (sniffer mềm) hoặc các thiết bị sniffer (sniffer
cứng) đều thực hiện bắt các gói tin ở tầng IP trở xuống (gồm IP datagram và
Ethernet Packet). Do đó, có thể thực hiện sniffer đối với các giao thức khác
nhau ở tầng mạng như TCP, UDP, IPX, ...
Mặt khác, giao thức ở tầng IP được định nghĩa công khai, và cấu trúc
các trường header rõ ràng, nên việc giải mã các gói tin này không khó khăn.
Mục đích của các chương trình sniffer đó là thiết lập chếđộ
promiscuous (mode dùng chung) trên các card mạng ethernet - nơi các gói tin
trao đổi trong mạng - từđó "bắt" được thông tin.
Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng
là dựa vào nguyên tắc broadcast (quảng bá) các gọi tin trong mạng Ethernet.
Trên hệ thống mạng không dùng hub, dữ liệu không chuyển đến một
hướng mà được lưu chuyển theo mọi hướng. Ví dụ khi một trạm làm việc cần
được gửi một thông báo đến một trạm làm việc khác trên cùng một segment
mạng, một yêu cầu từ trạm đích được gửi tới tất cả các trạm làm việc trên mạng
để xác định trạm nào là trạm cần nhận thông tin (trạm đích). Cho tới khi trạm
nguồn nhận được thông báo chấp nhận từ trạm đích thì luồng dữ liệu sẽđược
gửi đi. Theo đúng nguyên tắc, những trạm khác trên segment mạng sẽ bỏ qua
các thông tin trao đổi giữa hai trạm nguồn và trạm đích xác định. Tuy nhiên,
các trạm khác cũng không bị bắt buộc phải bỏ qua những thông tin này, do đó
chúng vẫn có thể "nghe" được bằng cách thiết lập chếđộ promiscous mode trên
các card mạng của trạm đó. Sniffer sẽ thực hiện công việc này.
Một hệ thống sniffer có thể kết hợp cả các thiết bị phần cứng và phần
mềm, trong đó hệ thống phần mềm với các chếđộ debug thực hiện phân tích
các gói tin "bắt" được trên mạng.
Hệ thống sniffer phải được đặt trong cùng một segment mạng (network
block) cần nghe lén.
Hình sau minh hoạ vị trí đặt sniffer:
192
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Hình 6.3: Các vị trí đặt sniffer trên 1 segment mạng
Phương thức tấn công mạng dựa vào các hệ thống sniffer là rất nguy
hiểm vì nó được thực hiện ở các tầng rất thấp trong hệ thống mạng. Với việc
thiết lập hệ thống sniffer cho phép lấy được toàn bộ các thông tin trao đổi trên
mạng. Các thông tin đó có thể là:
- Các tài khoản và mật khẩu truy nhập
- Các thông tin nội bộ hoặc có giá trị cao...
Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần
phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer.
Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu
về kiến trúc, các giao thức mạng.
Mặc khác, số lượng các thông tin trao đổi trên mạng rất lớn nên các dữ
liệu do các chương trình sniffer sinh ra khá lớn. Thông thường, các chương
trình sniffer có thể cấu hình để chỉ thu nhập từ 200 - 300 bytes trong một gói
tin, vi thường những thông tin quan trọng như tên người dùng, mật khẩu nằm ở
phần đầu gói tin.
Trong một số trường hợp quản trị mạng, để phân tích các thông tin lưu
chuyển trên mạng, người quản trị cũng cần chủđộng thiết lập các chương trình
sniffer, với vai trò này sniffer có tác dụng tốt.
Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt
động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch
vụ hệ thống đó cung cấp. Một số biện pháp sau chỉ có tác dụng kiểm tra hệ
thống như:
- Kiểm tra các tiến trình đang thực hiện trên hệ thống (bằng lệnh ps trên
Unix hoặc trình quản lý tài nguyên trong Windows NT). Qua đó kiểm tra các
tiến trình lạ trên hệ thống; tài nguyên sử dụng, thời gian khởi tạo tiến trình... để
phát hiện các chương trình sniffer.
193
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
- Sử dụng một vài tiện ích để phát hiện card mạng có chuyển sang chế
đố promiscous hay không. Những tiện ích này giúp phát hiện hệ thống của bạn
có đang chạy sniffer hay không.
Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá
khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:
- Không cho người lạ truy nhập vào các thiết bị trên hệ thống
- Quản lý cấu hình hệ thống chặt chẽ
- Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá.
1.1.3. Một sốđiểm yếu của hệ thống
1.1.3.1. Deamon fingerd
Một lỗ hổng của deamon fingerd là cơ hội để phương thức tấn công
worm "sâu" trên Internet phát triển: đó là lỗi tràn vùng đệm trong các tiến trình
fingerd (lỗi khi lập trình). Vùng đệm để lưu chuỗi ký tự nhập được giới hạn là
512 bytes. Tuy nhiên chương trình fingerd không thực hiện kiểm tra dữ liệu
đầu vào khi lớn hơn 512 bytes. Kết quả là xảy ra hiện tượng tràn dữ liệu ở vùng
đệm khi dữ liệu lớn hơn 512 bytes. Phần dữ liệu dư thừa chứa những đoạn mã
để kích một script khác hoạt động; scripts này tiếp tục thực hiện finger tới một
host khác. Kết quả là hình thành một mắt xích các "sâu" trên mạng Internet.
1.1.3.2. File hosts.equiv
Nếu một người sử dụng được xác định trong file host.equiv cũng với địa
chỉ máy của người đó, thì người sử dụng đó được phép truy nhập từ xa vào hệ
thống đã khai báo. Tuy nhiên có một lỗ hổng khi thực hiện chức năng này đó là
nó cho phép người truy nhập từ xa có được quyền của bất cứ người nào khác
trên hệ thống. Ví dụ, nếu trên máy A có một file /etc/host.equiv có dòng định
danh B julie, thì julie trên B có thể truy nhập vào hệ thống A và có bất được
quyền của bất cứ ngưới nào khác trên A. Đây là do lỗi của thủ tục ruserok()
trong thư viện libc khi lập trình.
1.1.3.3. Thư mục /var/mail
Nếu thư mục /var/mail được set là với quyền được viết (writeable) đối
với tất cả mọi người trên hệ thống, thì bất cứ ai có thể tạo file trong thư mục
này. Sau đó tạo một file với tên của một người đã có trên hệ thống rồi link tới
một file trên hệ thống, thì các thư tới người sử dụng có tên trùng với tên file
link sẽđược gán thêm vào trong file mà nó link tới.
Ví dụ, một người sử dụng tạo link từ /var/mail/root tới /etc/passwd, sau
đó gửi mail bằng tên một người mới tới root thì tên người sử dụng mới này sẽ
được gán thêm vào trong file /etc/passwd; Do vậy thư mục /var/mail không bao
giờđược set với quyền writeable.
194
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
1.1.3.4. Chức năng proxy của FTPd
Chức năng proxy server của FTPd cho phép một người sử dụng có thể
truyền file từ một ftpd này tới một ftpd server khác. Sử dụng chức năng này sẽ
có thể bỏ qua được các xác thực dựa trên địa chỉ IP.
Nguyên nhân là do người sử dụng có thể yêu cầu một file trên ftp server
gửi một file tới bất kỳđịa chỉ IP nào. Nên người sử dụng có thể yêu cầu ftp
server đó gửi một file gồm các lệnh là PORT và PASV tới các server đang
nghe trên các port TCP trên bất kỳ một host nào; kết quả là một trong các host
đó có ftp server chạy và tin cậy người sử dụng đó nên bỏ qua được xác thực địa
chỉ IP.
1.1.4. Các mức bảo vệ an toàn mạng
Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải sử
dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp "rào chắn" đối
với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo
vệ thông tin cất giữ trong các máy tính, đặc biệt là trong các server của mạng.
Hình sau mô tả các lớp rào chắn thông dụng hiện nay để bảo vệ thông tin tại
các trạm của mạng:
Information
Hình 6.4: Các mức độ bảo vệ mạng
Như minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:
- Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài
nguyên (ởđây là thông tin) của mạng và quyền hạn (có thể thực hiện những
thao tác gì) trên tài nguyên đó. Hiện nay việc kiểm soát ở mức này được áp
dụng sâu nhất đối với tệp.
- Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy nhập gồm đăng ký
tên và mật khẩu tương ứng. Đây là phương pháp bảo vệ phổ biến nhất vì nó
đơn giản, ít tốn kém và cũng rất có hiệu quả. Mỗi người sử dụng muốn truy
nhập được vào mạng sử dụng các tài nguyên đều phải có đăng ký tên và mật
khẩu. Người quản trị hệ thống có trách nhiệm quản lý, kiểm soát mọi hoạt động
195
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
của mạng và xác định quyền truy nhập của những người sử dụng khác tuỳ theo
thời gian và không gian.
- Lớp thứ ba là sử dụng các phương pháp mã hoá (encryption). Dữ liệu
được biến đổi từ dạng clear text sang dạng mã hoá theo một thuật toán nào đó.
- Lớp thứ tư là bảo vệ vật lý (physical protection) nhằm ngăn cản các
truy nhập vật lý bất hợp pháp vào hệ thống. Thường dùng các biện pháp truyền
thống như ngăn cấm người không có nhiệm vụ vào phòng đặt máy, dùng hệ
thống khoá trên máy tính, cài đặt các hệ thống báo động khi có truy nhập vào
hệ thống ...
- Lớp thứ năm: Cài đặt các hệ thống bức tường lửa (firewall), nhằm
ngăn chặn các thâm nhập trái phép và cho phép lọc các gói tin mà ta không
muốn gửi đi hoặc nhận vào vì một lý do nào đó.
1.2. Các biện pháp bảo vệ mạng máy tính
1.2.1. Kiểm soát hệ thống qua logfile
Một trong những biện pháp dò tìm các dấu vết hoạt động trên một hệ
thống là dựa vào các công cụ ghi logfile. Các công cụ này thực hiện ghi lại nhật
ký các phiên làm việc trên hệ thống. Nội dung chi tiết thông tin ghi lại phụ
thuộc vào cấu hình người quản trị hệ thống. Ngoài việc rà soát theo dõi hoạt
động, đối với nhiều hệ thống các thông tin trong logfile giúp người quản trị
đánh giá được chất lượng, hiệu năng của mạng lưới.
1.2.1.1. Hệ thống logfile trong Unix
Trong Unix, các công cụ ghi log tạo ra logfile là các file dưới dạng text
thông thường cho phép người sử dụng dùng những công cụ soạn thảo file text
bất kỳđể có thểđọc được nội dung. Tuy nhiên, một số trường hợp logfile được
ghi dưới dạng binary và chỉ có thể sử dụng một số tiện ích đặc biệt mới có thể
đọc được thông tin.
a) Logfile lastlog:
Tiện ích này ghi lại những lần truy nhập gần đây đối với hệ thống. Các
thông tin ghi lại gồm tên người truy nhập, thời điểm, địa chỉ truy nhập ... Các
chương trình login sẽđọc nội dung file lastlog, kiểm tra theo UID truy nhập
vào hệ thống và sẽ thông báo lần truy nhập vào hệ thống gần đây nhất. Ví dụ
như sau:
Last login: Fri Sep 15 2000 14:11:38
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
No mail.
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
/export/home/ptthanh
196
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
b) Logfile UTMP
Logfile này ghi lại thông tin về những người đang login vào hệ thống,
thường nằm ở thư mục /etc/utmp. Để xem thông tin trong logfile có thể sử dụng
các tiện ích như who, w, finger, rwho, users. Ví dụ nội dung của logfile dùng
lệnh who như sau:
/export/home/vhai% who
root console Aug 10 08:45 (:0)
ptthanh pts/4 Sep 15 15:27 (203.162.0.87)
ptthanh pts/6 Sep 15 15:28 (203.162.0.87)
root pts/12 Sep 7 16:35 (:0.0)
root pts/13 Sep 7 11:35 (:0.0)
root pts/14 Sep 7 11:39 (:0.0)
c) Logfile WTMP
Logfile này ghi lại các thông tin về các hoạt động login và logout vào hệ
thống. Nó có chức năng tương tự với logfile UTMP. Ngoài ra còn ghi lại các
thông tin về các lần shutdown, reboot hệ thống, các phiên truy nhập hoặc ftp và
thường nằm ở thư mục /var/adm/wtmp. Logfile này thường được xem bằng
lệnh "last". Ví dụ nội dung như sau:
/export/home/vhai% last | more
ptthanh pts/10 203.162.0.85 Mon Sep 18 08:44 still logged in
ptthanh pts/10 Sat Sep 16 16:52 - 16:52 (00:00)
vtoan pts/10 203.162.0.87 Fri Sep 15 15:30 - 16:52 (1+01:22)
vtoan pts/6 203.162.0.87 Fri Sep 15 15:28 still logged in
vtoan pts/4 Fri Sep 15 15:12 - 15:12 (00:00)
d) Tiện ích Syslog
Đây là một công cụ ghi logfile rất hữu ích, được sử dụng rất thông dụng
trên các hệ thống UNIX. Tiện ích syslog giúp người quản trị hệ thống dễ dàng
trong việc thực hiện ghi logfile đối với các dịch vụ khác nhau. Thông thường
tiện ích syslog thường được chạy dưới dạng một daemon và được kích hoạt khi
hệ thống khởi động. Daemon syslogd lấy thông tin từ một số nguồn sau:
- /dev/log: Nhận các messages từ các tiến trình hoạt động trên hệ thống
- /dev/klog: nhận messages từ kernel
- port 514: nhận các messages từ các máy khác qua port 514 UDP.
Khi syslogd nhận các messages từ các nguồn thông tin này nó sẽ thực
hiện kiểm tra file cấu hình của dịch vụ là syslog.conf để tạo log file tương ứng.
Có thể cấu hình file syslog.conf để tạo một message với nhiều dịch vụ khác
nhau.
197
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Ví dụ nội dung một file syslog.conf như sau:
# This file is processed by m4 so be careful to quote ('') names
# that match m4 reserved words. Also, within ifdef's, arguments
# containing commas must be quoted.
#
*.err;kern.notice;auth.notice /dev/console
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages
*.alert;kern.err;daemon.err operator
*.alert root
*.emerg *
# if a non-loghost machine chooses to have authentication messages
Trong nội dung file syslog.conf chỉ ra, đối với các message có dạng
*.emerg (message có tính khẩn cấp) sẽđược thông báo tới tất cả người sử dụng
trên hệ thống; Đối với các messages có dạng *.err, hoặc kern.debug và những
hoạt động truy cập không hợp pháp sẽđược ghi log trong file
/var/adm/messages.
Mặc định, các messages được ghi vào logfile /var/adm/messages.
e) Tiện ích sulog
Bất cứ khi nào người sử dụng dùng lệnh "su" để chuyển sang hoạt động
hệ thống dưới quyền một user khác đều được ghi log thông qua tiện ích sulog.
Những thông tin logfile này được ghi vào logfile /var/adm/sulog. Tiện ích này
cho phép phát hiện các trường hợp dùng quyền root để có được quyền của một
user nào khác trên hệ thống.
Ví dụ nội dung của logfile sulog như sau:
# more /var/adm/sulog
SU 01/04 13:34 + pts/1 ptthanh-root
SU 01/04 13:53 + pts/6 ptthanh-root
SU 01/04 14:19 + pts/6 ptthanh-root
SU 01/04 14:39 + pts/1 ptthanh-root
f) Tiện ích cron
Tiện ích cron sẽ ghi lại logfile của các hoạt động thực hiện bởi lệnh
crontabs. Thông thường, logfile của các hoạt động cron lưu trong file
/var/log/cron/log. Ngoài ra, có thể cấu hình syslog để ghi lại các logfile của
hoạt động cron.
Ví dụ nội dung của logfile cron như sau:
198
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
# more /var/log/cron/log
! *** cron started *** pid = 2367 Fri Aug 4 16:32:38 2000
> CMD: /export/home/mrtg/mrtg /export/home/mrtg/termcount.cfg
> ptthanh 2386 c Fri Aug 4 16:34:01 2000
> CMD: /export/home/mrtg/getcount.pl
> ptthanh 2400 c Fri Aug 4 16:35:00 2000
> CMD: /export/home/mrtg/mrtg /export/home/mrtg/termcount.cfg
g) Logfile của sendmail
Hoạt động ghi log của sendmail có thểđược ghi qua tiện ích syslog.
Ngoài ra chương trình sendmail còn có lựa chọn "-L + level security" với mức
độ bảo mật từ "debug" tới "crit" cho phép ghi lại logfile. Vì sendmail là một
chương trình có nhiều bug, với nhiều lỗ hổng bảo mật nền người quản trị hệ
thống thường xuyên nên ghi lại logfile đối với dịch vụ này.
h) Logfile của dịch vụ FTP
Hầu hết các daemon FTP hiện nay đều cho phép cấu hình để ghi lại
logfile sử dụng dịch vụ FTP trên hệ thống đó. Hoạt động ghi logfile của dịch vụ
FTP thường được sử dụng với lựa chọn "-l", cấu hình cụ thể trong file
/etc/inetd.conf như sau:
# more /etc/inetd.conf
ftp stream tcp nowait root /etc/ftpd/in.ftpd in.ftpd -l
Sau đó cấu hình syslog.conf tương ứng với dịch vụ FTP; cụ thể như sau:
# Logfile FTP
daemon.info ftplogfile
Với lựa chọn này sẽ ghi lại nhiều thông tin quan trọng trong một phiên
ftp như: thời điểm truy nhập, địa chỉ IP, dữ liệu get/put ... vào site FTP đó. Ví
dụ nội dung logfile của một phiên ftp như sau:
Sun Jul 16 21:55:06 2000 12 nms 8304640 /export/home/ptthanh/PHSS_17926.depot b _ o r
ptthanh ftp 0 * c
Sun Jul 16 21:56:45 2000 96 nms 64624640 /export/home/ptthanh/PHSS_19345.depot b _ o
r ptthanh ftp 0 * c
Sun Jul 16 21:57:41 2000 4 nms 3379200 /export/home/ptthanh/PHSS_19423.depot b _ o r
ptthanh ftp 0 * c
Sun Jul 16 22:00:38 2000 174 nms 130396160 /export/home/ptthanh/PHSS_19987.depot b _
o r ptthanh ftp 0 * c
199
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
i) Logfile của dịch vụ Web:
Tùy thuộc vào Web server sử dụng sẽ có các phương thức và cấu hình
ghi logfile của dịch vụ Web khác nhau. Hầu hết các web server thông dụng
hiện nay đều hỗ trợ cơ chế ghi log. Ví dụ nội dung logfile của dịch vụ Web sử
dụng Web server Netscape như sau:
202.167.123.170 - - [03/Aug/2000:10:59:43 +0700] "GET /support/cgi-bin/search.pl
HTTP/1.0" 401 223
203.162.46.67 - - [03/Sep/2000:22:50:52 +0700] "GET http://www.geocities.com/ HTTP/1.1"
401 223
203.162.0.85 - - [15/Sep/2000:07:43:17 +0700] "GET /support/cgi-bin/search.pl HTTP/1.0"
401 223
203.162.0.85 - ptthanh [15/Sep/2000:07:43:22 +0700] "GET /support/cgi-bin/search.pl
HTTP/1.0" 404 207
203.162.0.85 - - [15/Sep/2000:07:43:17 +0700] "GET /support/cgi-bin/search.pl HTTP/1.0"
401 223
1.2.1.2. Một số công cụ hữu ích hỗ trợ phân tích logfile:
Đối với người quản trị, việc phân tích logfile của các dịch vụ là hết sức
quan trọng. Một số công cụ trên mạng giúp người quản trị thực hiện công việc
này dễ dàng hơn, đó là:
- Tiện ích chklastlog và chkwtmp giúp phân tích các logfile lastlog và
WTMP theo yêu cầu người quản trị.
- Tiện ích netlog giúp phân tích các gói tin, gồm 3 thành phần:
+ TCPlogger: log lại tất cả các kết nối TCP trên một subnet
+ UDPlogger: log lại tất cả các kết nối UDP trên một subnet
+ Extract: Xử lý các logfile ghi lại bởi TCPlogger và UDBlogger.
- Tiện ích TCP wrapper: Tiện ích này cho phép người quản trị hệ thống
dễ dàng giám sát và lọc các gói tin TCP của các dịch vụ như systat, finger,
telnet, rlogin, rsh, talk ...
1.2.1.3. Các công cụ ghi log thường sử dụng trong Windows NT và 2000
Trong hệ thống Windows NT 4.0 và Windows 2000 hiện nay đều hỗ trợ
đầy đủ các cơ chế ghi log với các mức độ khác nhau. Người quản trị hệ thống
tùy thuộc vào mức độ an toàn của dịch vụ và các thông tin sử dụng có thể lựa
chọn các mức độ ghi log khác nhau. Ngoài ra, trên hệ thống Windows NT còn
hỗ trợ các cơ chế ghi logfile trực tiếp vào các database để tạo báo cáo giúp
người quản trị phân tích và kiểm tra hệ thống nhanh chóng và thuận tiện. Sử
dụng tiện ích event view để xem các thông tin logfile trên hệ thống với các mức
độ như Application log; Security log; System log. Các hình dưới đây sẽ minh
hoạ một số hoạt động ghi logfile trên hệ thống Windows:
200
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Ví dụ: Để ghi lại hoạt động đọc, viết, truy nhập.... đối với một file/thư
mục là thành công hay không thành công người quản trị có thể cấu hình như
sau:
Chọn File Manager - User Manager - Security - Auditing. Ví dụ hình
sau minh họa các hoạt động có thểđược ghi log trong Windows 2000:
Hình 6.5: Ghi log trong Windows 2000
- Sử dụng tiện ích Event View cho phép xem những thông tin logfile
như sau:
201
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Hình 6.6: Công cụ Event View của Windows 2000
Xem chi tiết nội dung một message:
202
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Hình 6.7: Chi tiết 1 thông báo lỗi trong Windows 2000
Thông báo này cho biết nguyên nhân, thời điểm xảy ra lỗi cũng như
nhiều thông tin quan trọng khác.
Có thể cấu hình Event Service để thực hiện một action khi có một thông
báo lỗi xảy ra như sau:
203
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Hình 6.8: Cấu hình dịchvụ ghi log trong Windows 2000
Ngoài ra, cũng giống như trên UNIX, trong Windows NT cũng có các
công cụ theo dõi logfile của một số dịch vụ thông dụng như FTP, Web. Tùy
thuộc vào loại server sử dụng có các phương pháp cấu hình khác nhau.
1.2.2. Thiết lập chính sách bảo mật hệ thống
Trong các bước xây dựng một chính sách bảo mật đối với một hệ thống,
nhiệm vụđầu tiên của người quản trị là xác định được đúng mục tiêu cần bảo
mật. Việc xác định những mục tiêu của chính sách bảo mật giúp người sử dụng
biết được trách nhiệm của mình trong việc bảo vệ các tài nguyên thông tin trên
mạng, đồng thời giúp các nhà quản trị thiết lập các biện pháp đảm bảo hữu
hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống.
Những mục tiêu bảo mật bao gồm:
1.2.2.1. Xác định đối tượng cần bảo vệ
Đây là mục tiêu đầu tiên và quan trọng nhất trong khi thiết lập một chính
sách bảo mật. Người quản trị hệ thống cần xác định rõ những đối tượng nào là
204
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
quan trọng nhất trong hệ thống cần bảo vệ và xác định rõ mức độưu tiên đối
với những đối tượng đó. Ví dụ các đối tượng cần bảo vệ trên một hệ thống có
thể là: các máy chủ dịch vụ, các router, các điểm truy nhập hệ thống, các
chương trình ứng dụng, hệ quản trị CSDL, các dịch vụ cung cấp ...
Trong bước này cần xác định rõ phạm vi và ranh giới giữa các thành
phần trong hệ thống để khi xảy ra sự cố trên hệ thống có thể cô lập các thành
phần này với nhau, dễ dàng dò tìm nguyên nhân và cách khắc phục. Có thể chia
các thành phần trên một hệ thống theo các cách sau:
- Phân tách các dịch vụ tùy theo mức độ truy cập và độ tin cậy.
- Phân tách hệ thống theo các thành phần vật lý như các máy chủ
(server), router, các máy trạm (workstation)...
- Phân tách theo phạm vi cung cấp của các dịch vụ như: các dịch vụ bên
trong mạng (NIS, NFS ...) và các dịch vụ bên ngoài như Web, FTP, Mail ...
1.2.2.2. Xác định nguy cơđối với hệ thống
Các nguy cơđối với hệ thống chính là các lỗ hổng bảo mật của các dịch
vụ hệ thống đó cung cấp. Việc xác định đúng đắn các nguy cơ này giúp người
quản trị có thể tránh được những cuộc tấn công mạng, hoặc có biện pháp bảo
vệđúng đắn. Thông thường, một số nguy cơ này nằm ở các thành phần sau trên
hệ thống:
a) Các điểm truy nhập:
Các điểm truy nhập của hệ thống bất kỳ (Access Points) thường đóng
vai trò quan trọng đối với mỗi hệ thống vì đây là điểm đầu tiên mà người sử
dụng cũng như những kẻ tấn công mạng quan tâm tới. Thông thường các điểm
truy nhập thường phục vụ hầu hết người dùng trên mạng, không phụ thuộc vào
quyền hạn cũng như dịch vụ mà người sử dụng dùng. Do đó, các điểm truy
nhập thường là thành phần có tính bảo mật lỏng lẻo. Mặt khác, đối với nhiều hệ
thống còn cho phép người sử dụng dùng các dịch vụ như Telnet, rlogin để truy
nhập vào hệ thống, đây là những dịch vụ có nhiều lỗ hổng bảo mật.
b) Không kiểm soát được cấu hình hệ thống
Không kiểm soát hoặc mất cấu hình hệ thống chiếm một tỷ lệ lớn trong
số các lỗ hổng bảo mật. Ngày nay, có một số lượng lớn các phần mềm sử dụng,
yêu cầu cấu hình phức tạp và đa dạng hơn, điều này cũng dẫn đến những khó
khăn để người quản trị nắm bắt được cấu hình hệ thống. Để khắc phục hiện
tượng này, nhiều hãng sản xuất phần mềm đã đưa ra những cấu hình khởi tạo
mặc định, trong khi đó những cấu hình này không được xem xét kỹ lưỡng trong
một môi trường bảo mật. Do đó, nhiệm vụ của người quản trị là phải nắm được
hoạt động của các phần mềm sử dụng, ý nghĩa của các file cấu hình quan trọng,
áp dụng các biện pháp bảo vệ cấu hình như sử dụng phương thức mã hóa
hashing code (MD5).
c) Những bug phần mềm sử dụng
Những bug phần mềm tạo nên những lỗ hổng của dịch vụ là cơ hội cho
các hình thức tấn công khác nhau xâm nhập vào mạng. Do đó, người quản trị
205
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
phải thường xuyên cập nhật tin tức trên các nhóm tin về bảo mật và từ nhà cung
cấp phần mềm để phát hiện những lỗi của phần mềm sử dụng. Khi phát hiện có
bug cần thay thế hoặc ngừng sử dụng phần mềm đó chờ nâng cấp lên phiên bản
tiếp theo.
d) Những nguy cơ trong nội bộ mạng
Một hệ thống không những chịu tấn công từ ngoài mạng, mà có thể bị
tấn công ngay từ bên trong. Có thể là vô tình hoặc cố ý, các hình thức phá hoại
bên trong mạng vẫn thường xảy ra trên một số hệ thống lớn. Chủ yếu với hình
thức tấn công ở bên trong mạng là kẻ tấn công có thể tiếp cận về mặt vật lý đối
với các thiết bị trên hệ thống, đạt được quyền truy nhập bất hợp pháp tại ngay
hệ thống đó. Ví dụ nhiều trạm làm việc có thể chiếm được quyền sử dụng nếu
kẻ tấn công ngồi ngay tại các trạm làm việc đó.
1.2.2.3. Xác định phương án thực thi chính sách bảo mật
Sau khi thiết lập được một chính sách bảo mật, một hoạt động tiếp theo
là lựa chọn các phương án thực thi một chính sách bảo mật. Một chính sách
bảo mật là hoàn hảo khi nó có tình thực thi cao. Đểđánh giá tính thực thi này,
có một số tiêu chí để lựa chọn đó là:
- Tính đúng đắn
- Tính thân thiện
- Tính hiệu quả
1.2.2.4. Thiết lập các qui tắc/thủ tục
a) Các thủ tục đối với hoạt động truy nhập bất hợp pháp
Sử dụng một vài công cụ có thể phát hiện ra các hành động truy nhập
bất hợp pháp vào một hệ thống. Các công cụ này có thểđi kèm theo hệđiều
hành, hoặc từ các hãng sản xuất phần mềm thứ ba. Đây là biện pháp phổ biến
nhất để theo dõi các hoạt động hệ thống.
- Các công cụ logging: hầu hết các hệđiều hành đều hỗ trợ một số lượng
lớn các công cụ ghi log với nhiều thông tin bổ ích. Để phát hiện những hoạt
động truy nhập bất hợp pháp, một số qui tắc khi phân tích logfile như sau:
+ So sánh các hoạt động trong logfile với các log trong quá khứ. Đối
với các hoạt động thông thường, các thông tin trong logfile thường có chu kỳ
giống nhau như thời điểm người sử dụng login hoặc log out, thời gian sử dụng
các dịch vụ trên hệ thống...
+ Nhiều hệ thống sử dụng các thông tin trong logfile để tạo hóa đơn cho
khách hàng. Có thể dựa vào các thông tin trong hóa đơn thanh toán để xem xét
các truy nhập bất hợp pháp nếu thấy trong hóa đơn đó có những điểm bất
thường như thời điểm truy nhập, sốđiện thoại lạ ...
+ Dựa vào các tiện ích như syslog để xem xét, đặc biệt là các thông báo
lỗi login không hợp lệ (bad login) trong nhiều lần.
206
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
+ Dựa vào các tiện ích kèm theo hệđiều hành để theo dõi các tiến trình
đang hoạt động trên hệ thống; để phát hiện những tiến trình lạ, hoặc những
chương trình khởi tạo không hợp lệ ...
- Sử dụng các công cụ giám sát khác: Ví dụ sử dụng các tiện ích về
mạng để theo dõi các lưu lượng, tài nguyên trên mạng để phát hiện những điểm
nghi ngờ.
b) Các thủ tục bảo vệ hệ thống
- Thủ tục quản lý tài khoản người sử dụng
- Thủ tục quản lý mật khẩu
- Thủ tục quản lý cấu hình hệ thống
- Thủ tục sao lưu và khôi phục dữ liệu
- Thủ tục báo cáo sự cố
1.2.2.5. Kiểm tra, đánh giá và hoàn thiện chính sách bảo mật
Một hệ thống luôn có những biến động về cấu hình, các dịch vụ sử
dụng, và ngay cả nền tảng hệđiều hành sử dụng, các thiết bị phần cứng .... do
vậy người thiết lập các chính sách bảo mật mà cụ thể là các nhà quản trị hệ
thống luôn luôn phải rà sóat, kiểm tra lại chính sách bảo mật đảm bảo luôn phù
hợp với thực tế. Mặt khác kiểm tra và đánh giá chính sách bảo mật còn giúp
cho các nhà quản lý có kế hoạch xây dựng mạng lưới hiệu quả hơn.
a) Kiểm tra, đánh giá
Công việc này được thực hiện thường xuyên và liên tục. Kết quả của
một chính sách bảo mật thể hiện rõ nét nhất trong chất lượng dịch vụ mà hệ
thống đó cung cấp. Dựa vào đó có thể kiểm tra, đánh giá được chính sách bảo
mật đó là hợp lý hay chưa. Ví dụ, một nhà cung cấp dịch vụ Internet có thể
kiểm tra được chính sách bảo mật của mình dựa vào khả năng phản ứng của hệ
thống khi bị tấn công từ bên ngoài như các hành động spam mail, DoS, truy
nhập hệ thống trái phép ...
Hoạt động đánh giá một chính sách bảo mật có thể dựa vào một số tiêu
chí sau:
- Tính thực thi.
- Khả năng phát hiện và ngăn ngừa các hoạt động phá hoại.
- Các công cụ hữu hiệu để hạn chế các hoạt động phá hoại hệ thống.
b) Hoàn thiện chính sách bảo mật:
Từ các hoạt động kiểm tra, đánh giá nêu trên, các nhà quản trị hệ thống
có thể rút ra được những kinh nghiệm để có thể cải thiện chính sách bảo mật
hữu hiệu hơn. Cải thiện chính sách có thể là những hành động nhằm đơn giản
công việc người sử dụng, giảm nhẹđộ phức tạp trên hệ thống ...
Những hoạt động cải thiện chính sách bảo mật có thể diễn ra trong suốt
thời gian tồn tại của hệ thống đó. Nó gắn liền với các công việc quản trị và duy
207
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
trì hệ thống. Đây cũng chính là một yêu cầu trong khi xây dựng một chính sách
bảo mật, cần phải luôn luôn mềm dẻo, có những thay đổi phù hợp tùy theo điều
kiện thực tế.
2.Tổng quan về hệ thống firewall
2.1. Giới thiệu về Firewall
2.1.1. Khái niệm Firewall
Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng
ngoài vào mạng trong. Hệ thống firewall thường bao gồm cả phần cứng và
phần mềm. Firewall thường được dùng theo phương thức ngăn chặn hay tạo
các luật đối với các địa chỉ khác nhau.
2.1.2. Các chức năng cơ bản của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng
cần bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập
đã được thiết lập.
- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài
vào trong.
- Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.
- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng.
- Kiểm soát nội dung thông tin truyền tải giữa 2 mạng.
- Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Xây dựng firewalls là một biện pháp khá hữu hiệu, nó cho phép bảo vệ
và kiểm soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các
biện pháp bảo vệ mạng. Thông thường, một hệ thống firewall là một cổng
(gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại
2.1.3. Mô hình mạng sử dụng Firewall
Kiến trúc của hệ thống có firewall như sau:
Hình 6.9: Kiến trúc hệ thống có firewall
208
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Nhìn chung, mỗi hệ thống firewall đều có các thành phần như sau:
Hình 6.10: Các thành phần của hệ thống firewall
Firewall có thể bao gồm phần cứng hoặc phần mềm nhưng thường là cả
hai. Về mặt phần cứng thì firewall có chức năng gần giống một router, nó cho
phép hiển thị các địa chỉ IP đang kết nối qua nó. Điều này cho phép bạn xác
định được các địa chỉ nào được phép và các địa chỉ IP nào không được phép kết
nối.
Tất cả các firewall đều có chung một thuộc tính là cho phép phân biệt
đối xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn.
Theo hình trên các thành phần của một hệ thống firewall bao gồm:
- Screening router: Là chặng kiểm soát đầu tiên cho LAN.
- DMZ: Khu "phi quân sự", là vùng có nguy cơ bị tấn công từ Internet.
- Gateway: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên
lạc, thực thi các cơ chế bảo mật.
- IF1: Interface 1: Là card giao tiếp với vùng DMZ.
- IF2: Interface 2: Là card giao tiếp với vùng mạng LAN.
209
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
- FTP gateway: Kiểm soát truy cập FTP giữa LAN và vùng DMZ. Các
truy cập ftp từ mạng LAN ra Internet là tự do. Các truy cập FTP vào LAN đòi
hỏi xác thực thông qua Authentication Server.
- Telnet Gateway: Kiểm soát truy cập telnet giữa mạng LAN và Internet.
Giống như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào
yêu cầu phải xác thực qua Authentication Server
- Authentication Server: được sử dụng bởi các cổng giao tiếp, nhận diện
các yêu cầu kết nối, dùng các kỹ thuật xác thực mạnh như one-time
password/token (mật khẩu sử dụng một lần). Các máy chủ dịch vụ trong mạng
LAN được bảo vệ an toàn, không có kết nối trực tiếp với Internet, tất cả các
thông tin trao đổi đều được kiểm soát qua gateway.
2.1.4. Phân loại Firewall
Có khá nhiều loại firewall, mỗi loại có những ưu và nhược điểm riêng.
Tuy nhiên để thuận tiện cho việc nghiên cứu người ta chia hệ thống làm 2 loại
chính:
- Packet filtering: là hệ thống firewall cho phép chuyển thông tin giữa hệ
thống trong và ngoài mạng có kiểm soát.
- Application-proxy firewall: là hệ thống firewall thực hiện các kết nối
thay cho các kết nối trực tiếp từ máy khách yêu cầu.
2.1.4.1. Packet Filtering
Kiểu firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI.
Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi
là router, có nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên
mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin (packet
filtering).
Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi
chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định thì nó được kiểm tra
với các luật đã được đặt ra trên router. Ví dụ người quản trị firewall quyết định
rằng không cho phép bất kỳ một gói tin nào xuất phát từ mạng microsoft.com
được kết nối với mạng trong thì các gói tin xuất phát từ mạng này sẽ không bao
giờđến được mạng trong.
Các firewall hoạt động ở lớp mạng (tương tự như một router) thường
cho phép tốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP nguồn mà không có
một lệnh thực sự nào trên router, nó không cần một khoảng thời gian nào để
xác định xem là địa chỉ sai hay bị cấm. Nhưng điều này bị trả giá bởi tính tin
cậy của nó. Kiểu firewall này sử dụng địa chỉ IP nguồn làm chỉ thị, điểu này tạo
ra một lỗ hổng là nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì như vậy
nó sẽ có được một số mức truy nhập vào mạng trong của bạn.
Tuy nhiên có nhiều biện pháp kỹ thuật có thểđược áp dụng cho việc lọc
gói tin nhằm khắc phục yếu điểm này. Ví dụ nhưđối với các công nghệ packet
filtering phức tạp thì không chỉ có trường địa chỉ IP được kiểm tra bởi router
mà còn có các trường khác nữa được kiểm tra với các luật được tạo ra trên
210
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
firewall, các thông tin khác này có thể là thời gian truy nhập, giao thức sử
dụng, port ...
Firewall kiểu Packet Filtering có thểđược phân thành 2 loại:
a) Packet filtering firewall: hoạt động tại lớp mạng của mô hình OSI
hay lớp IP trong mô hình giao thức TCP/IP.
Hình 6.11: Packet filtering firewall
b) Circuit level gateway: hoạt động tại lớp phiên (session) của mô hình
OSI hay lớp TCP trong mô hình giao thức TCP/IP.
Hình 6.12: Circuit level gateway
211
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
2.1.4.2. Application-proxy firewall
Kiểu firewall này hoạt động dựa trên phần mềm. Khi một kết nối từ một
người dùng nào đó đến mạng sử dụng firewall kiểu này thì kết nối đó sẽ bị
chặn lại, sau đó firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu
kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng
được các luật đã đặt ra trên firewall thì firewall sẽ tạo một cái cầu kết nối giữa
hai node với nhau.
Ưu điểm của kiểu firewall loại này là không có chức năng chuyển tiếp
các gói tin IP, hơn nữa ta có thểđiểu khiển một cách chi tiết hơn các kết nối
thông qua firewall. Đồng thời nó còn đưa ra nhiều công cụ cho phép ghi lại các
quá trình kết nối. Tất nhiên điều này phải trả giá bởi tốc độ xử lý, bởi vì tất cả
các kết nối cũng như các gói tin chuyển qua firewall đều được kiểm tra kỹ
lưỡng với các luật trên firewall và rồi nếu được chấp nhận sẽđược chuyển tiếp
tới node đích.
Sự chuyển tiếp các gói tin IP xảy ra khi một máy chủ nhận được một
yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong. Điều này tạo ra một
lỗ hổng cho các kẻ phá hoại (hacker) xâm nhập từ mạng ngoài vào mạng trong.
Nhược điểm của kiểu firewall hoạt động dựa trên ứng dụng là phải tạo
cho mỗi dịch vụ trên mạng một trình ứng dụng uỷ quyền (proxy) trên firewall
ví dụ như phải tạo một trình ftp proxy dịch vụ ftp, tạo trình http proxy cho dịch
vụ http... Như vậy ta có thể thấy rằng trong kiểu giao thức client-server như
dịch vụ telnet làm ví dụ thì cần phải thực hiện hai bước để cho hai máy ngoài
mạng và trong mạng có thể kết nối được với nhau. Khi sử dụng firewall kiểu
này các máy client (máy yêu cầu dịch vụ) có thể bị thay đổi. Ví dụ nhưđối với
dịch vụ telnet thì các máy client có thể thực hiện theo hai phương thức: một là
bạn telnet vào firewall trước sau đó mới thực hiện việc telnet vào máy ở mạng
khác; cách thứ hai là bạn có thể telnet thẳng tới đích tuỳ theo các luật trên
firewall có cho phép hay không mà việc telnet của bạn sẽđược thực hiện. Lúc
này firewall là hoàn toàn trong suốt, nó đóng vai trò như một cầu nối tới đích
của bạn.
Firewall kiểu Application-proxy có thểđược phân thành 2 loại:
a) Application level gateway: tính năng tương tự như loại circuit-level
gateway nhưng lại hoạt động ở lớp ứng dụng trong mô hình giao thức TCP/IP.
212
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Hình 6.13: Application level gateway
b) Stateful multilayer inspection firewall: đây là loại kết hợp được các
tính năng của các loại firewall trên: lọc các gói tại lớp mạng và kiểm tra nội
dung các gói tại lớp ứng dụng. Firewall loại này cho phép các kết nối trực tiếp
giữa các client và các host nên giảm được các lỗi xảy ra do tính chất "không
trong suốt" của firewall kiểu Application gateway. Stateful multilayer
inspection firewall cung cấp các tính năng bảo mật cao và lại trong suốt đối với
các end users.
213
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Hình 6.14: Stateful multilayer inspection firewall
2.2. Một số phần mềm Firewall thông dụng
2.2.1. Packet filtering
Kiểu lọc gói tin này có thểđựơc thực hiện mà không cần tạo một
firewall hoàn chỉnh, có rất nhiều các công cụ trợ giúp cho việc lọc gói tin trên
Internet (kể cả phải mua hay được miễn phí). Sau đây ta có thể liệt kê một số
tiện ích như vậy
2.2.1.1. TCP_Wrappers
TCP_Wrappers là một chương trình được viết bởi Wietse Venema.
Chương trình hoạt động bằng cách thay thế các chương trình thường trú của hệ
thống và ghi lại tất cả các yêu cầu kết nối, thời gian yêu cầu, và địa chỉ nguồn.
Chương trình này cũng có khả năng ngăn chặn các địa chỉ IP hay các mạng
không được phép kết nối.
2.2.1.2. NetGate
NetGate được đưa ra bởi Smallwork là một hệ thống dựa trên các luật về
lọc gói tin. Nó được viết ra để sử dụng trên các hệ thống Sun Sparc OS 4.1.x.
Tương tự như các kiểu packet filtering khác, NetGate kiểm tra tất cả các gói tin
nó nhận được và so sánh với các luật đã được tạo ra.
2.2.1.3. Internet Packet Filter
Phần mềm này hoàn toàn miễn phí, được viết bởi Darren Reed. Đây là
một chương trình khá tiện lợi, nó có khả năng ngăn chặn được việc tấn công
bằng địa chỉ IP giả. Một sốưu điểm của chương trình là nó không chỉ có khả
214
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
năng huỷ bỏ các gói tin TCP không đúng hoặc chưa hoàn thiện mà còn không
gửi lại bản tin ICMP lỗi. Chương trình này cho phép bạn có thể kiểm tra thử
các luật bạn ra trước khi sử dụng chúng.
2.2.2. Application-proxy firewall
2.2.2.1. TIS FWTK
TIS FWTK (Trusted information Systems Firewall Tool Kit) là một
phần mềm đầu tiên đầy đủ tính năng của firewall và đặc trưng cho kiểu firewall
hoạt động theo phương thức ứng dụng. Những phiên bản đầu tiên của phần
mềm này là miễn phí và bao gồm nhiều thành phần riêng rẽ. Mỗi thành phần
phục vụ cho một kiểu dịch vụ trên mạng. Các thành phần chủ yếu bao gồm:
Telnet, FTP, rlogin, sendmail và http.
Phần mềm này là một hệ thống toàn diện, tuy nhiên nó không có khả
năng bảo vệ mạng ngay sau khi cài đặt vì việc cài đặt và cấu hình không phải là
dễ dàng. Khi cấu hình phần mềm này bạn phải thực sự hiểu mình đang làm gì
bởi có thể với các luật bạn tạo ra thì mạng của bạn không thểđược kết nối với
bất kỳ mạng nào khác thậm chí ngay cả những mạng quen thuộc. Điểm đặc
trưng nhất của phần mềm này là nó có sẵn nhiều tiện ích giúp bạn điều khiển
được truy nhập đối với toàn mạng, một phần mạng hay thậm chí chỉ riêng một
địa chỉ.
2.2.2.2. Raptor
Raptor là phần mềm firewall cung cấp đầy đủ các tính năng của một
firewall chuyên nghiệp với hai giao diện quản lý, một trên hệđều hành Unix
(RCU) và một trên hệđiều hành Windows (RMC). Raptor có thểđược cấu hình
để bảo vệ mạng theo bốn phương thức: Standard Proxies, Generic Service
Passer, Virtual Private Network tunnels và Raptor Mobile. Tuy việc cấu hình
cho Raptor khá phức tạp với việc tạo các route, định nghĩa các entity, user và
group, thiết lập các authorization rule ... nhưng bù lại ta có thể sử dụng được rất
nhiều tính năng ưu việt do Raptor cung cấp đề tuỳ biến các mức bảo vệđối với
mạng của mình.
2.3. Thực hành cài đặt và cấu hình firewall Check Point v4.0 for Windows
2.3.1. Yêu cầu phần cứng:
- Cấu hình tối thiểu đối với máy cài GUI Client
Hệđiều hành Windows 95, Windows NT, X/Motif
Dung lượng đĩa trống 20 Mbytes
Bộ nhớ 16 Mbytes
Card mạng Các loại card được hệđiều hành hỗ trợ
Thiết bị khác CD-ROM
215
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
- Cấu hình tối thiểu đối với máy cài Management Server
Hệđiều hành Windows NT (Intel x86 và Pentium)
Dung lượng đĩa trống 20 Mbytes
Bộ nhớ tối thiểu 16MB, nên dùng 24MB
Card mạng Các loại card được hệđiều hành hỗ trợ
Thiết bị khác CD-ROM
- Cấu hình tối thiểu đối với máy cài Modul Firewall
Hệđiều hành Windows NT (Intel x86 và Pentium)
Dung lượng đĩa trống 20 Mbytes
Bộ nhớ 16 Mbytes
Card mạng
Tối thiểu phải có 3 card mạng thuộc các loại card được hệ
điều hành hỗ trợ.
Thiết bị khác CD-ROM
2.3.2. Các bước chuẩn bị trước khi cài đặt
- Thắt chặt an ninh cho máy chủ cài firewall và các module của firewall
như GUI Client và Management Server (tắt các dịch vụ không cần thiết, update
các patch sửa lỗi của hệđiều hành ...).
- Kiểm tra các kết nối mạng trên các giao diện mạng, đảm bảo từ máy
chủ cài Module Firewall có thể ping được các IP trên các giao diện mạng (sử
dụng lệnh ifconfig , ping ...).
- Kiểm tra bảng Routing (sử dụng lệnh netstat -rn ...).
- Kiểm tra dịch vụ DNS (sử dụng lệnh nslookup).
- Lập sơđồ mạng thử nghiệm, đối với máy chủ có 3 giao diện mạng có
thể lập sơđồ như sau:
216
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Hình 6.15: Sơđồ mạng thử nghiệm đối với máy chủ có 3 giao diện mạng
2.3.3. Tiến hành cài đặt
Login dưới quyền Administrator và cài đặt hệ thống Firewall
Checkpoint trên các máy theo trình tự sau:
- Cài đặt GUI Client và Management Server.
- Cài đặt Module Firewall.
2.3.3.1. Cài đặt GUI Client và Management Server
Đưa đĩa CD Checkpoint và chạy lệnh setup trong thư mục Windows,
chọn Account Management Client và FireWall-1 User Interface trong cửa sổ
Select Components:
217
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn Next, màn hình sẽ hiện ra như sau:
Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location:
218
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn Next rồi chọn các thành phần trong cửa sổ Select Components:
Chọn Next để bắt đầu quá trình cài đặt.
Sau khi cài xong GUI Client, màn hình sẽ tựđộng hiện ra phần cài đặt Account
Management Client With Encryption Installation:
219
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location:
Chọn Next rồi chọn Folder trong cửa sổ Select Program Folder:
220
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn Next để bắt đầu quá trình cài đặt
2.3.3.2. Cài đặt Module Firewall:
Chọn FireWall-1 trong cửa sổ Select Components ban đầu:
Chọn Next, màn hình sẽ hiện ra như sau:
221
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn Next rồi chọn thư mục cài đặt trong cửa sổ Choose Destination Location:
Chọn Next rồi chọn FireWall-1 FireWall Module trong cửa sổ Selecting
Product Type:
222
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn Next rồi tùy theo phiên bản Checkpoint đăng ký để chọn số license phù
hợp:
Chọn Next để bắt đầu quá trình cài đặt.
Sau khi cài xong, màn hình cài đặt license sẽ hiện lên như sau:
223
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn Add rồi nhập license vào cửa sổ sau :
Chọn hostname của Management Server:
224
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn chếđộ IP Forwarding:
225
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Đặt các tham số cho SMTP Security Server:
226
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
Chọn Finish để kết thúc quá trình cài đặt rồi Restart lại máy.
Sau khi restart lại máy, login vào màn hình console của CheckPoint với user và
password đã tạo để thiết lập cấu hình cho firewall:
227
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
2.3.4. Thiết lập cấu hình
Sau khi login vào màn hình điều khiển của CheckPoint, ta bắt đầu tiến hành
quá trình thiết lập cấu hình cho firewall theo các bước sau:
- Định nghĩa cho các giao tiếp (Interface) thuộc mạng trong (Inside network) và
mạng ngoài (Outside network) của máy chủ cài CheckPoint.
- Tạo các Network thuộc mạng trong: Theo mô hình thử nghiệm ởđây là mạng
192.168.7.0 và 192.168.1.0.
- Nhóm các Inside network thành một group để tiện quản lý.
- Thiết lập các luật để cho phép hoặc cấm các truy nhập từ trong ra ngoài và từ ngoài
vào trong. Các luật này gồm các thành phần cơ bản sau:
+ Số thứ tự: biểu thị mức độưu tiên của luật. Luật nào có số thứ tự càng nhỏ
thì mức độưu tiên càng lớn.
+ Nguồn (SOURCE)
+ Đích (DESTINATION)
+ Giao tiếp (IF VIA)
+ Dịch vụ (SERVICE): các dịch vụđược cho phép/cấm
+ Hành động (ACTION): cho phép/cấm
+ Ngoài ra còn có các tham số khác như TRACK, INSTALL ON, TIME ...
Sau đây là một ví dụ về thiết lập luật cho firewall CheckPoint:
228
Ebook 4 U ebook.vinagrid.com
Tài liệu tham khảo
TÀI LIỆU THAM KHẢO
1.Interconnecting Cisco Network Devices - Steve McQuerry, 03/2000
2.Building Scalable Cisco Internetworks - Catherine Paquet, 01/2003
3.Routing TCP/IP Volume I - Jeff Doyle, 09/1998
4.Cisco Internetworking Basic - Cisco Press, 07/2001
5.Cisco WEB sitehttp://www.cisco.com - Technologies
6.Microsoft Windows 2000 advanced server - Microsoft Press, 1985-
1999
7.DNS and BIND, 3trd Edition - Paul Albitz and Cricket Liu, 09/1998
8.Internet System Consortium WEB sitehttp://www.isc.org
9.Remote Access Study Guide - Robert Padjen, Todd Lammle, Wade
Edwards, 9/2002
10.Building Cisco Remote Access Networks - Catherine Paquet,
08/1999.
11.Complete Book of Remote Access:Connectivity and Security ,
Victor Kasacavage (Editor), Weikai Yan, 12/2002
12.Designing & Implementing Microsoft Proxy Server- David Wolfe,
Sams Net Publishing.
13.ISA Server 2000 Administration Study Guide- William Heldman
(Sybex-MCSE).
14.Configuring ISA server for an Enterprise-Microsoft Training and
Certification, 02/2001
15.Designing & Implementting Microsoft Windows2000 Network
Infrastructure, Microsoft Training and Certification, 05/2000
16.Firewalls and Internet Security: Repelling the Wily Hacker, Steven
M. Bellovin, 01/2003
17.Inside Network Perimeter Security, Karen Fredericks and Lenny
Zeltser and Scott Winters, 01/2002
18.CCSP Cisco Secure PIX Firewall Advanced Exam Certification
Guide, Greg Bastien and Christian Degu, 01/2003
19.Building Internet Firewalls, Elizabeth D. Zwicky & Simon Cooper,
01/2000
20.Firewalls: A Complete Guide, Marcus Goncalves, 01/1999
21. Configuring ISA server for an Enterprise-Microsoft Training and
Certification, 02/2001
Bạn đang đọc truyện trên: AzTruyen.Top