Xây dựng hệ thống bảo mật trên window server 2003

- Chống lại các cuộc tấn công Replay thông tin chuyển giao qua mạng sẽ bịattacker chặn, chỉnh sữa, và được gửi đi sau đó đến đúng địa chỉ người nhận,người nhận không hề hay biết và vẫn t

TẬP ĐOÀN ĐIỆN LỰC VIỆT NAM

TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

Khoa Công Nghệ Thông Tin

Bài tập: XÂY DỰNG HỆ THỐNG BẢO MẬT

TRÊN WINDOW SERVER 2003

Tìm hiểu về:

IP sec Router Quản trị người dùng

Giảng viên hướng dẫn: Lê Mạnh Hùng

Nhóm 4: Đào Công Thắng

Chử Xuân Trường

Vì Văn Thu

Vũ khánh ToànNguyễn Đình Toàn

Vũ Minh Sơn

Hà Nôi, ngày 6/5/2011 -›››››

L I M Đ U ỜI MỞ ĐẦU Ở ĐẦU ẦU

Như chúng ta đã biết khoa học máy vi tính ngày nay vô cùng pháttriển, do nhu cầu trao đổi thông tin tăng lên không ngừng Ngày nay máy vitính là một vật bất khả li thân của nhiều người, nó đi sâu vào đời sống vàgiúp lưu trữ, xử lý thông tin hết sức đơn giản Nhưng do yêu cầu công việc

và nhu cầu muốn trao đổi, chia sẻ thông tin với nhau thì người ta cần đếnmột giao thức hết sức quan trọng để giải quyết vấn đề trên đó là giao thứcmạng máy tính Mạng vi tính giúp rút ngắn khoảng cách về địa lí dù bạn ởnơi đâu Điều đó đã kéo theo sự phát triển đến chóng mặt của các mạng máy

vi tính như: mạng LAN, mạng WAN, mạng Internet Để đáp ứng yêu cầuthời đại, Microsoft-nhà cung cấp phần mềm hàng đầu trên thề giới đã tung ranhiều hệ điều hành như: window server 2000, window server 2003 để điềuhành, quản lý mạng máy vi tính Cùng với nhu cầu trao đổi thông tin thìcũng yêu cầu khả năng bảo mật thông tin đó ngày càng tốt hơn Windowserver 2003 (win2k3)là một sự lựa chọn đúng đắn Win2k3 là phiên bản kếthừa và phát triển các hệ điều hành trước đó Nó đã tích hợp rất nhiều công

cụ mạnh nhằm giúp người có thể thiết lập bảo mật , quản trị hệ thống tintrong mạng của mình trước các cuộc thâm nhập hệ thống trái phép.vì vậyviệc xây dựng một chính sách hay hệ thống bảo mật trong Window server

2003 là một nhu cầu tất yếu.Tuy hiện giờ Microsoft đã tung ra phiên bảnwindow server 2008 kế thừa và phát triển của Window server 2003 nhưngWindow server 2003 vẫn là sử dụng phổ biến nhất Đầu tiên để tìm hiểu vềchính sách bảo mật trong Window server 2003, chúng ta cần hiểu khái niệmbảo mật trong window server 2003 là gì? và tại sao chúng ta lại phải xâydựng chính sách bảo mật trong win window server 2003? Sau đó chúng ta sẽ

đi sâu vào tìm hiểu cách xây dựng một vài chính sách bảo mật cụ thể trongwindow server 2003 Trong bài “Xây đựng hệ thống bảo mật trên Windowserver 2003” này chúng ta sẽ tìm hiểu cụ thể các phần sau:

- IP Sec

- Router

- Quản trị người dùng (user)

LỜI MỞ ĐẦU 1

CHƯƠNG I: CÁC KHÁI NIỆM BẢO MẬT TRONG WINDOW SEVER 2003 3

I Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003 4

1 Bảo mật mặc định (Setup security.inf) 4

2 Bảo mật mặc định cho bộ điều khiển tên miền (DC security.inf) 4

3 Tương thích (Compatws.inf) 4

4 Bảo mật (Secure*.inf) 4

5 Bảo mật cao (hisec*.inf) 5

6 Bảo mật thư mục gốc hệ thống (Rootsec.inf) 5

7 Mẫu không có SID cho người dùng Server Terminal (Notssid.inf) 5

II Sử dụng một mẫu bảo mật 6

CHƯƠNG II: IPSec 7

(Internet Protocol Security) 7

I Tổng quan về IPSec 7

1 Khái niệm IP Sec: 7

2 Mục đích của IPSEC: 7

3 Những thuận lợi khi sử dụng IPSEC: 8

4 IPSEC có khả năng cung cấp: 8

5 Ví dụ sử dụng IPSEC: 8

6 IPSEC làm việc thế nào ? 9

6.3 Nếu như liên kết ảo mật được thiết lập giửa 2 computer IPSEC driver sẽ quan sát tất cả IP traffic, so sánh các traffic đã được định nghĩa trong các Filter, nếu có hướng đi tiếp các traffic này sẽ được mã hóa hoặc xác nhận số 7 Chính sách bảo mật IPSEC: 9

8 Cấu trúc bảo mật 10

9 Hiện trạng 11

10 Thiết kế theo yêu cầu 11

11 Technical details 13

12 Implementations - thực hiện 15

II Tìm hiểu về IPSec và phương thức hoạt động 16

I Tổng quan về Router 27

1 Router là gì ? : 27

2 Tại sao chúng ta buộc phải cần một Router? 27

3 Router cho gia đình và doanh nghiệp nhỏ 28

4 Thiết bị Router có đắt hay không? 29

I Cấu tạo của Router 34

III Quá trình định tuyến của Router 36

CHƯƠNG IV: QUẢN TRỊ NGƯỜI DÙNG (USER) 38

I ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG VÀ TÀI KHOẢN NHÓM 38

1 Tài khoản người dùng 38

2 Tài khoản nhóm 40

II CHỨNG THỰC VÀ KIỂM SOÁT TRUY CẬP 41

1 Các giao thức chứng thực 41

III QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM CỤC BỘ 43

1 Công cụ quản lý tài khoản người dùng cục bộ 43

2 Các thao tác cơ bản trên tài khoản người dùng cục bộ 45

IV QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM TRÊN ACTIVE DIRECTORY 48

1 Tạo mới tài khoản người dùng 48

2 Các thuộc tính của tài khoản người dùng 51

3 Tạo mới tài khoản nhóm 56

CHƯƠNG I: CÁC KHÁI NIỆM BẢO MẬT TRONG

WINDOW SEVER 2003

I Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003

1 B o m t m cảo mật mặc ật mặc ặc đ nhịnh (Setup security.inf)

Setup security.inf được tạo ra trong quá trình cài đặt và riêng biệt chotừng máy tính Mỗi máy tính có một kiểu Setup security.inf khác nhau tuỳthuộc chương trình cài đặt là hoàn toàn mới từ ban đầu hay là bản nâng cấp

Nó thể hiện các thiết lập bảo mật mặc định được ứng dụng trong quá trìnhcài đặt của hệ điều hành, gồm cả đặc quyền file cho thư mục gốc của ổ hệthống Mẫu bảo mật này có thể được dùng cho cả máy chủ và máy kháchnhưng không thể dùng áp dụng cho bộ điều khiển tên miền Bạn cũng có thểdùng các phần của mô hình mẫu này cho hoạt động phục hồi nếu có trườnghợp rủi ro xuất hiện

Không áp dụng Setup security.inf bằng cách sử dụng Group Policy vì điềunày có thể làm giảm tốc độ thực thi hệ thống

2 B o m t m c đ nh cho b đi u khi n tên mi n (ảo mật mặc ật mặc ặc ịnh ộ điều khiển tên miền ( ều khiển tên miền ( ển tên miền ( ều khiển tên miền ( DC security.inf)

Mẫu này tạo ra khi server được tăng cấp lên bộ điều khiển tên miền Nóánh xạ các thiết lập bảo mật mặc định file, thanh ghi và dịch vụ hệ thống.Nếu bạn áp dụng lại mô hình này, các thiết lập sẽ được đặt ở giá trị mặcđịnh Tuy nhiên kiểu mẫu này có thể ghi đè đặc quyền lên các file, khoáthanh ghi và dịch vụ hệ thống mới do chương trình khác tạo ra

3 Tương thíchng thích (Compatws.inf)

Mẫu này thay đổi các quyền của file và thanh ghi được cấp phát chothành viên của nhóm Users, nhất quán với yêu cầu của hầu hết chương trìnhkhông nằm trong Windows Logo Program for Software

Mẫu Compatible cũng loại bỏ tất cả thành viên của nhóm Power Users

Chú ý: Không được áp dụng mẫu Compatible cho bộ điều khiển tên miền

4 B o m t (ảo mật mặc ật mặc Secure*.inf)

Mẫu Secure định nghĩa các thiết lập bảo mật nâng cao ít nhất ảnh hưởngtới độ tương thích của chương trình Ví dụ như định nghĩa mật khẩu, chế độlockout và các thiết lập kiểm toán mạnh hơn Thêm vào đó, các khuôn mẫu

này còn giới hạn việc sử dụng chương trình quản lý mạng cục bộ LANManager và các giao thức thẩm định NTLM bằng cách cấu hình client chỉgửi phần trả lời NTLMv2 và cấu hình server từ chối trả lời LAN Manager

Có hai kiểu mô hình bảo mật dựng sẵn trong Windows Server2003: Securews.inf cho các trạm làm việc vàSecuredc.inf bộ điều khiển tênmiền Để biết thêm thông tin về cách dùng các mẫu mô hình này và một số

mẫu bảo mật khác, bạn có thể tìm kiếm trong phần trợ giúp Help and

Support Center của Microsoft với từ khoá "predefined security templates"

(các mẫu bảo mật định nghĩa sẵn)

5 B o m t cao (ảo mật mặc ật mặc hisec*.inf)

Highly Secure mô tả chi tiết các giới hạn bổ sung chưa được định nghĩa

trong Secure, chẳng hạn như mức mã hoá và ký hiệu cần thiết cho việc thẩmđịnh và trao đổi dữ liệu qua kênh bảo mật, giữa client và server ServerMessage Block (SMB)

6 B o m t th m c g c h th ng (ảo mật mặc ật mặc ư ục gốc hệ thống ( ốc hệ thống ( ệ thống ( ốc hệ thống ( Rootsec.inf)

Mẫu này đặc tả các quyền của thư mục gốc (root) Mặc định Rootsec.inf định nghĩa quyền hạn cho file gốc của ổ hệ thống Bạn có thểdùng mô hình này để áp dụng lại các đặc quyền thư mục gốc nếu chúng bịthay đổi ngẫu nhiên Hoặc bạn có thể chỉnh sửa mô hình mẫu này để áp dụngcác quyền hạn gốc giống nhau cho nhiều bộ khác Mẫu này không ghi đè cácquyền tường minh được định nghĩa ở các đối tượng con; nó chỉ sao chép cácquyền đã được thừa kế ở các đối tượng con đó

7 M u không có SID cho ngẫu không có SID cho người dùng Server Terminal ( ười dùng Server Terminal (i dùng Server Terminal (Notssid.inf)

Bạn có thể áp dụng mẫu này để loại bỏ bộ định dạng bảo mật (SID)Windows Terminal Server khỏi hệ thống file và các vị trí thanh ghi khi dịch

vụ đích (Terminal Services) không chạy Sau khi bạn thực hiện điều này,bảo mật hệ thống sẽ không được cải thiện đầy đủ một cách cần thiết

Để biết thêm thông tin chi tiết về tất cả mô hình mẫu định nghĩa sẵn trong

Windows Server 2003, bạn có thể tìm kiếm trong phần trợ giúp Help and

Support Center của Microsoft với từ khoá "predefined security templates".

Chú ý: Thực thi một mô hình mẫu bảo mật trên bộ điều khiển tên miền có

thể thay đổi các thiết lập của thành phần Default Domain Controller Policyhoặc Default Domain Policy Mô hình mẫu được sử dụng có thể ghi đèquyền hạn lên các file mới, các khoá thanh ghi và dịch vụ hệ thống dochương trình khác tạo ra Sau khi sử dụng mô hình bảo mật mẫu, có thể bạn

sẽ phải khôi phục lại "chính sách" cũ Trước khi thực hiện một số bước sautrên bộ điều khiển tên miền, hãy tạo bản sao lưu của file chia sẻ SYSVOL

II Sử dụng một mẫu bảo mật

1 Vào Start, chọn Run, gõ mmc lên ô lệnh và bấm OK

2 Trong menu File, kích lên Snap-in Add/Remove

3 Chọn Add

4 Trong danh sách Available Stand Alone Snap-ins, chọn Security

Configuration and Analysis, bấm Add > Close và cuối cùng là OK

5 Ở ô bên trái, kích vào Security Configuration and Analysis và xem

hướng dẫn ở khung bên phải

6 Kích phải chuột lên Security Configuration and Analysis, chọn Open

Database

7 Trong hộp tên File, gõ tên file dữ liệu rối kích vào Open

8 Kích vào mẫu bảo mật bạn muốn dùng, sau đó bấm lên Open để nhập

thông tin nằm trong mẫu vào cơ sở dữ liệu

9 Kích phải chuột lên Security Configuration and Analysis ở khung bên trái rồi chọn Configure Computer Now

CHƯƠNG II: IPSec

(Internet Protocol Security)

I T ng quan v IPSec ổng quan về IPSec ề IPSec

1 Khái ni m IP Sec: ệm IP Sec:

IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩnmật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa cácthiết bị tham gia trong mạng hoặc liên mạng

IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quátrình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet)trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung cấp

cho mã hoá và xác thực.

IPSEC là một chuẩn an toàn trong giao tiếp thông tin giữa các hệ thống,giữa các mạng Với IPSEC việc kiểm tra, xác thực, và mã hóa dữ liệu là nhữngchức năng chính Tất cả những việc này được tiến hành tại cấp độ IP Packet

2 M c đích c a IPSEC: ục đích của IPSEC: ủa IPSEC:

Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin quaMạng Admin có thể xác lập một hoặc nhiều chuỗi các Rules, gọilà IPSECPolicy, những rules này chứa các Filters, có trách nhiệm xác định những loạithông tin lưu chuyển nào yêu cầu được mã hóa (Encryption), xác nhận(digital signing), hoặc cả hai Sau đó, mỗi Packet, được Computer gửi đi, sẽđược xem xét có hay không gặp các điều kiện của chính sách Nếu gặpnhững điều kiện này, thì các Packet có thể được mã hóa, được xác nhận số,theo những quy định từ Policy Quy trình này hòa toàn vô hình với User vàApplication kích hoạt truyền thông tin trên Mạng

Do IPSEC được chứa bên trong mỗi gói IP chuẩn, cho nên có thể dùngIPSEC qua Network, mà không yêu cầu những cấu hình đặc biệt trên thiết bịhoặc giữa 2 Computer

Tuy nhiên, IPSEC không tiến hành mã hóa một vài loại giao tiếp Mạngnhư: Broadcast, MultiCast, các packet dùng giao thức xác thực Kerberos

3 Nh ng thu n l i khi s d ng IPSEC: ững thuận lợi khi sử dụng IPSEC: ận lợi khi sử dụng IPSEC: ợi khi sử dụng IPSEC: ử dụng IPSEC: ục đích của IPSEC:

Thuận lợi chính khi dùng IPSEC, là cung cấp được giải pháp mã hóacho tất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model),

và kể cả các giao thức lớp cao hơn

4 IPSEC có kh năng cung c p: ả năng cung cấp: ấp:

- Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp IPSEC quyđịnh cho cả 2 bên tham gia giao tiếp phải xác định chính mình trong suốtquy trình giao tiếp

- Tạo sự tin cậy qua việc mã hóa, và xác nhận số các Packet IPSEC có 2 chẽ

độ Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóa dùngnhiều thuật toán khác nhau, và Authentication Header (AH) xác nhận cácthông tin chuyển giao, nhưng không mã hóa

- Tich hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào bịchỉnh sửa Cả hai loại ESP và AH đều kiểm tra tính tích hợp của các thôngtin chuyển giao Nếu một gói tin đã chỉnh sửa, thì các xác nhận số sẽ khôngtrùng khớp, kết quả gói tin sẽ bị loại ESP cũng mã hóa địa chỉ nguồn và địachỉ đích như một phần của việc mã hóa thông tin chuyển giao

- Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ bịattacker chặn, chỉnh sữa, và được gửi đi sau đó đến đúng địa chỉ người nhận,người nhận không hề hay biết và vẫn tin rằng đấy là thông tin hợp pháp.IPSEC dùng kĩ thuật đánh số liên tiếp cho các Packet Data của mình(Sequence numbers), nhằm làm cho attacker không thể sử dụng lại các dữliệu đã chặn được, với ý đồ bất hợp pháp Dùng Sequence numbers còn giúpbảo vệ chống việc chặn và đánh cắp dữ liệu, sau đó dùng những thông tinlấy được để truy cập hợp pháp vào một ngày nào đó

5 Ví d s d ng IPSEC: ục đích của IPSEC: ử dụng IPSEC: ục đích của IPSEC:

Việc mất mát các thông tin khi cuyển giao qua mạng, có thể gây thiệthại cho hoạt động của tổ chức, điều này cảnh báo các tổ chức cần trang bị vàxây dựng những hệ thống mạng bảo mật chặt chẽ những thông tin quantrọng như dữ iệu về Product, báo có tài chính, kế hoạch Marketing Trongtrường hợp này các tổ chức có thể sử dụng IPSEC đảm bảo tính chất riêng tư

và an toàn của truyền thông Mạng (Intranet, Extranet) bao gốm giao tiếpgiữa Workstation với Server, Server với server

Ví dụ: Có thể tạo các IPSEC policies cho các Computer kết nối với Server(nắm giữ những dữ liệu quan trọng của tổ chức: tình hình tài chính, danhsách nhân sự, chiến lược phát triển) IPSEC policy sẽ bảo vệ dữ liệu của tổchức chống lại các cuộc tấn công từ bên ngoài, và đảm bảo tính tích hợpthông tin, cũng như an toàn cho Client.

6 IPSEC làm vi c th nào ? ệm IP Sec: ế nào ?

Có thể cấu hình IPSEC thông qua Local policy, hoặc triển khai trêndiện rộng thì dùng Active Directory Group Policy (GPO.)

6.1 Giả sử chúng ta có 2 Computer : Computer A và Computer B, IPSEC

policy đã được cấu hình trên 2 computer này Sau khi được cấu hìnhIPSEC policy sẽ báo cho IPSEC driver cách làm thế nào để vận hành và xácđịnh các liên kết bảo mật giữa 2 computer khi nối kết được thiết lập.Các liên kết bảo mật ảnh hưởng đến những giao thức mã hóa sẽ được sửdụng cho những loại thông tin giao tiếp nào và những phương thức xác thựcnào sẽ được đem ra thương lượng

6.2 Liên kết bảo mật mang tính chất thương lượng Internet Key Exchange

– IKE, sẽ có trách nhiệm thương lượng để tạo liên kết bảo mật IKE kết hợp

từ 2 giao thức: Internet Security Association and Key Management Protocol(ISAKMP) và Oakley Key Determination Protocol Nếu Computer A yêucầu xác thực thông qua Certificate và Computer B yêu cầu dùng giao thứcKerberos, thì IKE sẽ không thể thiết lập liên kết bảo mật giữa 2 Computer.Nếu dùng Network Monitor để theo dõi IPSEC hoạt động, sẽ không thấyđược bất cứ AH hoặc ESP packet nào, vì giao tiếp IPSEC chưa được thiếtlập, có lẽ chúng ta chỉ quan sát được các ISAKMP packets

6.3 N u nh liên k t o m t đ ế nào ? ư liên kết ảo mật được thiết lập giửa 2 computer IPSEC ế nào ? ả năng cung cấp: ận lợi khi sử dụng IPSEC: ư liên kết ảo mật được thiết lập giửa 2 computer IPSECợi khi sử dụng IPSEC: c thi t l p gi a 2 computer IPSEC ế nào ? ận lợi khi sử dụng IPSEC: ử dụng IPSEC: driver sẽ quan sát t t c IP traffic, so sánh các traffic đã đ ấp: ả năng cung cấp: ư liên kết ảo mật được thiết lập giửa 2 computer IPSECợi khi sử dụng IPSEC: c đ nh ịnh nghĩa trong các Filter, n u có h ế nào ? ư liên kết ảo mật được thiết lập giửa 2 computer IPSECớng đi tiếp các traffic này sẽ được ng đi ti p các traffic này sẽ đ ế nào ? ư liên kết ảo mật được thiết lập giửa 2 computer IPSECợi khi sử dụng IPSEC: c

mã hóa ho c xác nh n s ặc xác nhận số ận lợi khi sử dụng IPSEC: ố.

7 Chính sách b o m t IPSEC: ả năng cung cấp: ận lợi khi sử dụng IPSEC:

curity policy bao gồm một hoặc nhiều Rule xác định cách thức hoạt độngIPSEC Các Administrator có thể có thể cài đặt IPSEC thông qua mộtpolicy Mỗi Policy có thể chứa một hoặc nhiều Rule, nhưng chỉ có thể xácđịnh một Policy hoạt động tại Computer tại một thời điểm bất kì Các

Administrator phải kết hợp tất cả những Rule mong muốn vào một singlepolicy Mỗi Rule bao gồm:

- Filter: Filter báo cho Policy những thông tin lưu chuyển nào sẽ ápdụng với Filter action

Ví dụ: Administrator có thể tạo một filter chỉ xác định các lưu thông dạngHTTP hoặc FTP

- Filter Action: Báo cho Policy phải đưa ra hành động gì nếu thông tinlưu chuyển trùng với định dang đã xác định tại Filter Ví dụ: thông báocho IPSEC chặn tất cả những giao tiếp FTP, nhưng với những giao tiếpHTTP thì dữ liệu sẽ được mã hóa Filter action cũng có thể xác địnhnhững thuật toán mã hóa và hashing (băm) mà Policy nên sử dụng

- Authentication method: IPSEC cung cấp 3 phương thức xác thực:Certificates (thông thường các Computer triển khai dùng IPSEC nhậnCertificates từ một Certificate Authority – CA server), Kerberos (Giaothức chứng thực phổ biến trong Active directory Domain), Preshared Key(khóa ngầm hiểu, một phương thức xác thực đơn giản) Mỗi một Rulecủa IPSEC policy có thể bao gồm nhiều phưong thức xác thực vừa nêu

8 Cấu trúc bảo mật

Khi IPsec được triển khai, cấu trúc bảo mật của nó gồm:

(1) Sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằmbảo mật gói tin (packet) trong quá trình truyền

(2) Cung cấp phương thức xác thực

(3) Thiết lập các thông số mã hoá

Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kếthợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví nhưcác khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều.Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việcvới nhau và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mãhoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồmmột nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi góitin IP

Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp chomột gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số SecurityParameter Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu– Index ví như một cuốn danh bạ điện thoại) bao gồm Security AssociationDatabase (SADB), theo suốt chiều dài của địa chỉ đích trong header của góitin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ

- security association) cho mỗi gói tin Một quá trình tương tự cũng đượclàm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải

mã và kiểm tra các khoá từ SADB

Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, vàthực hiện cho toàn bộ các receiver trong group đó Có thể có hơn một thoảhiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuynhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group.Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trongkhi người nhận chỉ biết được các keys được gửi đi trong dữ liêu Chú ý cácchuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản

từ group tới các cá nhân

9 Hiện trạng.

IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng

IPv4 Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giốngnhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4

Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổbiến năm 1995 Năm 1998, được nâng cấp với các phiên bản RFC 2401 –

2412, nó không tương thích với chuẩn 1825 – 1929 Trong tháng 12 năm

2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309 Cũng không khácnhiều so với chuẩn RFC 2401 – 2412 nhưng thế hệ mới được cung cấpchuẩn IKE second Trong thế hệ mới này IP security cũng được viết tắt lại làIPsec

Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC

1825 – 1829 là ESP còn phiên bản mới là ESPbis

10 Thiết kế theo yêu cầu.

IPsec được cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữacác máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to-portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được sử dụngkhi kết nối VPN

IPsec có thể được sử dụng trong các giao tiếp VPN, sử dụng rất nhiềutrong giao tiếp Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhaugiữa hai mode này.

Giao tiếp end-to-end được bảo mật trong mạng Internet được phát triểnchậm và phải chờ đợi rất lâu Một phần bở lý do tính phổ thông của nokhông cao, hay không thiết thực, Public Key Infrastructure (PKI) được sửdụng trong phương thức này

IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:

1 Mã hoá quá trình truyền thông tin

2 Đảm bảo tính nguyên vẹn của dữ liệu

3 Phải được xác thực giữa các giao tiếp

4 Chống quá trình replay trong các phiên bảo mật

5 Modes – Các mode

Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode

Transport mode

Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được

mã hoá và/hoặc xác thực Trong quá trình routing, cả IP header đều không bịchỉnh sửa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địachỉ IP không thể biết được, bởi các thông tin đã bị hash (băm) Transport vàapplication layers thường được bảo mật bởi hàm băm (hash), và chúngkhông thể chỉnh sửa (ví dụ như port number) Transport mode sử dụng trongtình huống giao tiếp host-to-host

Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NATtraversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T

Tunnel mode

Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được

mã hoá và xác thực Nó phải được đóng gói lại trong một dạng IP packetkhác trong quá trình routing của router Tunnel mode được sử dụng tronggiao tiếp network-to-network (hay giữa các routers với nhau), hoặc host-to-network và host-to-host trên internet

11 Technical details.

Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cảhai phiên bản IPv4 và IPv6:

IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực

IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thểlựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữliệu

Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 chotính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC vàAES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin Toàn bộ thuậttoán này được thể hiện trong RFC 4305

a) Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Hơn nữa

nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụngcông nghệ tấn công sliding windows và discarding older packets AH bảo vệquá trình truyền dữ liệu khi sử dụng IP Trong IPv4, IP header có bao gồmTOS, Flags, Fragment Offset, TTL, và Header Checksum AH thực hiện trựctiếp trong phần đầu tiên của gói tin IP dưới đây là mô hình của AH header

Các modes thực hiện

Ý nghĩa của từng phần:

Next header: Nhận dạng giao thức trong sử dụng truyền thông tin.

Payload length: Độ lớn của gói tin AH.

RESERVED: Sử dụng trong tương lai (cho tới thời điểm này nó được biểu

diễn bằng các số 0)

Security parameters index (SPI): Nhận ra các thông số bảo mật, được tích

hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp vớigói tin

Sequence number: Một số tự động tăng lên mỗi gói tin, sử dụng nhằm

chống lại tấn công dạng replay attacks

Authentication data: Bao gồm thông số Integrity check value (ICV) cần

thiết trong gói tin xác thực

b Encapsulating Security Payload (ESP)

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật chogói tin ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cầnbảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà khôngyêu cầu xác thực không đảm bảo tính bảo mật Không như AH, header của

gói tin IP, bao gồm các option khác ESP thực hiện trên top IP sử dụng giaothức IP và mang số hiệu 50 và AH mang số hiệu 51.

Payload data: Cho dữ liệu truyền đi

Padding: Sử dụng vài block mã hoá

Pad length: Độ lớn của padding.

Next header: Nhận ra giao thức được sử dụng trong quá trình truyền thông

tin

Authentication data: Bao gồm dữ liệu để xác thực cho gói tin.

12 Implementations - thực hiện

IPsec được thực hiện trong nhân với các trình quản lý các key và quátrình thương lượng bảo mật ISAKMP/IKE từ người dùng Tuy nhiên mộtchuẩn giao diện cho quản lý key, nó có thể được điều khiển bởi nhân củaIPsec.

Bởi vì được cung cấp cho người dùng cuối, IPsec có thể được triển khai trênnhân của Linux Dự án FreeS/WAN là dự án đầu tiên hoàn thành việc thựchiện IPsec trong mã nguồn mở cụ thể là Linux Nó bao gồm một nhấn IPsecstack (KLIPS), kết hợp với trình quản lý key là deamon và rất nhiều shellscripts Dự án FreeS/WAN được bắt đầu vào tháng 3 năm 2004 Openswan

và strongSwan đã tiếp tục dự án FreeS/WAN Dự án KAME cũng hoànthành việc triển khai sử dụng IPsec cho NetBSB, FreeBSB Trình quản lýcác khoá được gọi là racoon OpenBSB được tạo ra ISAKMP/IKE, với tênđơn giản là isakmpd (nó cũng được triển khai trên nhiều hệ thống, bao gồm

cả hệ thống Linux)

II Tìm hi u v IPSec và ph ểu về IPSec và phương thức hoạt động ề IPSec ương thức hoạt động ng th c ho t đ ng ức hoạt động ạt động ộng.

1 IPSec

Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security Nó

có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩnkhác) được phát triển bởi Internet Engineering Task Force (IETF) Mục đíchchính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3(Network layer) của mô hình OSI, như hình:

Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP

Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ

mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3 (Đó là lý do taisao IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2).

Ngoài ra,với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của

mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đếnđích Bởi vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thểdùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thayđổi lớn lao nào Cũng giống IP, IPSec trong suốt với người dùng cuối, làngười mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng saumột chuổi các hoạt động

Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của môhình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH,được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hìnhOSI) Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạtđộng từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này.IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt độngtại các tầng trên của mô hình OSI Với một ứng dụng sử dụng IPsec mã(code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL vàcác giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứngdụng đó sẽ bị thay đổi lớn

Để sử dụng IPSec bạn phải tạora các qui tắc (rule), một qui tắc IPSec

là sự kết hợp giữa hai thành phần là các bộ lọc IPSec (filter) vàcác tác động

IPSec (action) Ví dụ nội dung của một qui tắc IPSec là “Hãy mã hóa tất cả

những dữliệu truyền Telnet từ máy có địa chỉ 192.168.0.10”, nó gồm hai

phần, phần bộ lọc là “qui tắc này chỉhoạt động khi có dữ liệu được truyền từmáy có địa chỉ 192.168.0.10 thông qua cổng 23”, phần hànhđộng là “mã hóa

dữ liệu

2 Các tác động bảo mật.

IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật, các tác

động bảo mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thôngtin giữa các máy được an toàn Danh sách các tác động bảo mật trong hệ

thống Windows Server 2003 như sau:

- Block transmissons: có chức năng ngăn chận những gói dữ liệu được truyền, ví dụ bạn muốn IPSec ngăn chận dữ liệu truyền từ máy A đến máy

B, thì đơn giản là chương trình IPSec trên máy B loại bỏ mọi dữ liệu truyềnđến từ máy A

- Encrypt transmissions: có chức năng mã hóa những gói dữ liệu được

truyền, ví dụ chúng ta muốn dữ liệu được truyền từ máy A đến máy B,nhưng chúng ta sợ rằng có người sẽ nghe trộm trên đường truyền nối kếtmạng giữa hai máy A và B Cho nên chúng ta cần cấu hình cho IPSec sử

dụng giao thức ESP (encapsulating security payload) để mã hóa dữ liệu

cần truyền trước khi đưa lên mạng Lúc này những người xem trộm sẽ thấy

những dòng byte ngẫu nhiên và không hiểu được dữ liệu thật Do IPSec hoạt động ở tầng Network nên hầu như việc mã hóa được trong suốt đối với người dùng, người dùng có thể gởi mail, truyền file hay telnet như bình

thường

- Sign transmissions: có chức năng ký tên vào các gói dữ liệu truyền, nhằm

tránh những kẻ tấn công trên mạng giả dạng những gói dữ liệu được truyền

từ những máy mà bạn đã thiết lập quan hệ tin cậy, kiểu tấn công này còn có

cái tên là main-in-the-middle IPSec cho phép bạn chống lại điều này bằng một giao thức authentication header Giao thức này là phương pháp ký tên

số hóa (digitally signing) vào các gói dữ liệu trước khi truyền, nó chỉ ngăn

ngừa được giả mạo và sai lệnh thông tin chứ không ngăn được sự nghe trộmthông tin Nguyên lý hoạt động của phương pháp này là hệ thống sẽ thêm

một bit vào cuối mỗi gói dữ liệu truyền qua mạng, từ đó chúng ta có thể

kiểm tra xem dữ liệu có bị thay đổi khi truyền hay không

- Permit transmissions: có chức năng là cho phép dữ liệu được truyền qua,

chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều và không hạn

chế một số điều khác Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cảnhững dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”

Chú ý: đối với hai tác động bảo mật theo phương pháp ký tên và mã

hóa thì hệ thống còn yêu cầu bạn chỉ ra IPSec dùng phương pháp chứng thực nào Microsoft hỗ trợ ba phương pháp chứng thực: Kerberos, chứng chỉ (certificate) hoặc một khóa dựa trên sự thỏa thuận (agreed-upon key) Phương pháp Kerberos chỉ áp dụng được giữa các máy trong cùng một miền Active Directory hoặc trong những miền Active Directory có ủy

quyền cho nhau Phương pháp dùng các chứng chỉ cho phép bạn sử dụng các

chứng chỉ PKI (public key infrastructure) để nhận diện một máy Phương

pháp dung chìa khóa chia sẻ trước thì cho phép bạn dùng một chuỗi ký tự

văn bản thông thường làm chìa khóa (key).

4 Các bộ lọc IPSec.

Để IPSec hoạt động linh hoạt hơn, Microsoft đưa thêm khái niệm bộ

lọc (filter) IPSec, bộ lọc có tác dụng thống kê các điều kiện để qui tắc hoạt

động Đồng thời chúng cũng giới hạn tầm tác dụng của các tác động bảo mậttrên một phạm vị máy tính nào đó hay một số dịch vụ nào đó Bộ lọc IPSecchủ yếu dự trên các yếu tố sau:

- Địa chỉ IP, subnet hoặc tên DNS của máy nguồn.

- Địa chỉ IP, subnet hoặc tên DNS của máy đích.

- Theo số hiệu cổng (port) và kiển cổng (TCP, UDP, ICMP…)

5 Triển khai IPSec trên Windows Server 2003.

Trong hệ thống Windows Server 2003 không hỗ trợ một công cụ riêngcấu hình IPSec, do đó để triển khai IPSec chúng ta dùng các công cụ thiếtlập chính sách dành cho máy cục bộ hoặc dùng cho miền.

Để mở công cụ cấu hình IPSec bạn nhấp chuột vào Start > Run rồi gõ

secpol.msc hoặc nhấp chuột vào Start > Programs > Administrative Tools

> Local Security Policy, trong công cụ đó bạn chọn IP Security Policies on Local Machine.

Tóm lại, các điều mà bạn cần nhớ khi triển khai IPSec:

- Bạn triển khai IPSec trên Windows Server 2003 thông qua các chính

sách, trên một máy tính bất kỳ nào đó vào tại một thời điểm thì chỉ có một

chính sách IPSec được hoạt động.

- Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phương

pháp chứng thực nào đó

Mặc dù các qui tắc permit và block không dùng đến chứng thực nhưng

Windows vẫn đòi bạn chỉ định phương pháp chứng thực.

- IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ

PKI hoặc một khóa được chia sẻ trước.

- Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động bảo mật (action).

- Có bốn tác động mà qui tắc có thể dùng là: block, encrypt, sign và

permit.

5.1 Các chính sách IPSec tạo sẵn.

Trong khung cửa sổ chính của công cụ cấu hình IPSec, bên phải chúng

ta thấy xuất hiện ba chính sách được tạo sẵn tên là: Client, Server và

Secure Cả ba chính sách này đều ở trạng thái chưa áp dụng (assigned).

Nhưng chú ý ngay cùng một thời điểm thì chỉ có thể có một chính sách được

áp dụng và hoạt động, có nghĩa là khi bạn áp dụng một chính sách mới thì

chính sách đang hoạt động hiện tại sẽ trở về trạng thái không hoạt động Sauđây chúng ta sẽ khảo sát chi tiết ba chính sách tạo sẵn này.

- Client (Respond Only): chính sách qui định máy tính của bạn không chủ

động dùng IPSec trừ khi nhận được yêu cầu dùng IPSec từ máy đối tác.Chính sách này cho phép bạn có thể kết nối được cả với các máy tính dùngIPSec hoặc không dùng IPSec

- Server (Request Security): chính sách này qui định máy server của bạn

chủ động cố gắng khởi tạo IPSec mỗi khi thiết lập kết nối với các máy tínhkhác, nhưng nếu máy client không thể dung IPSec thì Server vẫn chấp nhậnkết nối không dùng IPSec

- Secure Server (Require Security): chính sách này qui định không cho

phép bất kỳ cuộc trao đổi dữ liệu nào với Server hiện tại mà không dùng

IPSec

5.2 Ví dụ tạo chính sách IPSec đảm bảo một kết nối được mã hóa.

Trong phần này chúng ta bắt tay vào thiết lập một chính sách IPSecnhằm đảm bảo một kết nối được mã hóa giữa hai máy tính Chúng ta có haimáy tính, máy A có địa chỉ 203.162.100.1 và máy B có địa chỉ203.162.100.2 Chúng ta sẽ thiết lập chính sách IPSec trên mỗi máy thêmhai qui tắc (rule), trừ hai qui tắc của hệ thống gồm: một qui tắc áp dụng cho

dữ liệu truyền vào máy và một qui tắc áp dụng cho dữ liệu truyền ra khỏimáy

Ví dụ qui tắc đầu tiên trên máy A bao gồm:

- Bộ lọc (filter): kích hoạt qui tắc này khi có dữ liệu truyền đến địa chỉ

203.162.100.1, qua bất kỳ cổng nào

- Tác động bảo mật (action): mã hóa dữ liệu đó.

- Chứng thực: chìa khóa chia sẻ trước là chuỗi “quantri”

Qui tắc thứ hai áp dụng cho máy A cũng tương tự nhưng bộ lọc có nộidung ngược lại là “dữ liệu truyền đi từ địa chỉ 203.162.100.1” Chú ý: cách

dễ nhất để tạo ra một qui tắc là trước tiên bạn phải qui định các bộ lọc và tácđộng bảo mật, rồi sau đó mới tạo ra qui tắc từ các bộ lọc và tác động bảo mậtnày Các bước để thực hiện một chính sách IPSec theo yêu cầu như trên:

Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi chọn Manage

IP filter lists and filter actions

Hộp thoại xuất hiện, bạn nhấp chuột vào nút add để thêm một bộ lọc

mới Bạn nhập tên cho bộ lọc này, trong ví dụ này chúng ta đặt tên là

“Connect to 203.162.100.1” Bạn nhấp chuột tiếp vào nút Add để hệ thống

hướng dẫn bạn khai báo các thông tin cho bộ lọc

Bạn theo hướng dẫn của hệ thống để khai báo các thông tin, chú ý nên

đánh dấu vào mục Mirrored để qui tắc này có ý nghĩa hai chiều bạn không phải tốn công để tạo ra hai qui tắc Mục Source address chọn My IP

Address, mục Destination address chọn A specific IP Address và nhập

địa chỉ “203.162.100.1” vào, mục IP Protocol Type bạn để mặc định Cuối cùng bạn chọn Finish để hoàn thành phần khai báo, bạn nhấp chuột tiếp vào nút OK để trở lại hộp thoại đầu tiên

Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo mật Bạn nhấp chuột vào nút Add hệ thống sẽ hướng dẫn bạn

khai báo các thông tin về tác động Trước tiên bạn đặt tên cho tác động này,

ví dụ như là Encrypt.Tiếp tục trong mục Filter Action bạn chọn Negotiate

security, trong mục IP Traffic Security bạn chọn Integrity and encryption Đến đây bạn đã hoàn thành việc tạo một tác động bảo mật.

Công việc tiếp theo là bạn một chính sách IPSec trong đó có chứa mộtqui tắc kết hợp giữa bộ lọc và tác động vừa tạo ở phía trên Trong công cụ

Domain Controller Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi chọn Create IP Security Policy,

theo hướng dẫn bạn nhập tên của chính vào, ví dụ là First IPSec, tiếp theo bạn phải bỏ đánh dấu trong mục Active the default response rule Các giá trị còn lại bạn để mặc định vì qui tắc Dynamic này chúng ta không dùng và

sẽ tạo ra một qui tắc mới.

Trong hộp thoại chính sách IPSec, bạn nhấp chuột vào nút Add để tạo ra qui

tắc mới Hệ thống sẽ hướng dẫn bạn từng bước thực hiện, đến mục chọn bộ

lọc bạn chọn bộ lọc vừa tạo phía trên tên “Connect to 203.162.100.1”, mục

chọn tác động bạn chọn tác động vừa tạo tên Encypt Đến mục chọn phươngpháp chứng thực bạn chọn mục Use this string to protect the key exchange

và nhập chuỗi làm khóa để mã hóa dữ liệu vào, trong ví dụ này là “quantri”

Đến bước này thì công việc thiết lập chính sách IPSec theo yêu cầu trên của

bạn đã hoàn thành, trong khung của sổ chính của công cụ Domain

Controller Security Policy, bạn nhấp phải chuột lên chính sách First IPSec

và chọn Assign để chính sách này được hoạt động trên hệ thống Server.

CHƯƠNG III: ROUTER

I T ng quan v Router ổng quan về Router ề Router

1 Router là gì ? :

Router là một thiết bị cho phép gửi các gói dữ liệu dọc theo mạng Một Router được kết nối tới ít nhất là hai mạng, thông thường hai mạng

đó là LAN, WAN hoặc là một LAN và mạng ISP của nó.

Router được định vị ở cổng vào, nơi mà có hai hoặc nhiều hơn các mạng kếtnối và là thiết bị quyết định duy trì các luồng thông tin giữa các mạng và duytrì kết nối mạng trên internet Khi dữ liệu được gửi đi giữa các điểm trên mộtmạng hoặc từ một mạng tới mạng thứ hai thì dữ liệu đó luôn luôn được thấy

và gửi trực tiếp tới điểm đích bởi Router Chúng hoàn thành nó bằng cách sửdụng các trường mào đầu (header) và các bảng định tuyến để chi ra đườngtốt nhất cho việc gửi các gói dữ liệu, và chúng sử dụng các giao thức như làICMP dể liên lạc với nhau và cấu hình định tuyến tốt nhất giữa bất kỳ haimáy trạm

Bản thân mạng internet là một mạng toàn cầu kết nối hàng tỉ máy tính vàcác mạng nhỏ hơn – vì thế bạn có thể thấy vai trò chủ yếu của một Router làcách mà chúng ta liên lạc và sử dụng máy tính

2 T i sao chúng ta bu c ph i c n m t Router? ại sao chúng ta buộc phải cần một Router? ộc phải cần một Router? ả năng cung cấp: ần một Router? ộc phải cần một Router?

Đối với hầu hết những người sử dụng tại nhà, họ có thể muốn cài đặtmột mạng LAN hoặc WLAN (Mạng LAN không dây) và kết nối tất cả cácmáy tính lên mạng internet mà không phải trả đầy đủ một dịch vụ thuê baobăng tần rộng cho nhà cung cấp dịch vụ (ISP) của họ từ mỗi máy tính trongmạng Trong nhiều trường hợp, một ISP sẽ cho phép bạn sử dụng mộtRouter và kết nối nhiều máy tính tới một đường kết nối internet và trả mộtcước phí rât nhỏ cho mỗi máy tính thêm vào khi cùng chia sẻ kết nối đó.Đấy là khi người sử dụng tại nhà muốn tìm kiếm các Router nhỏ hơn,thường được gọi là các Router băng tần rộng nó có thể cho phép hai hoặcnhiều máy tính cùng chia sẻ một đường kết nối internet

Trong các doanh nghiệp và các tổ chức, bạn có thể cần kết nối nhiều máytính tới mạng internet Nhưng cũng muốn kết nối nhiều mạng riêng với nhau– và chúng là các kiểu chức năng mà một Router được thiết kế để thực hiện

3 Router cho gia đình và doanh nghi p nh ệm IP Sec: ỏ.

Không phải tất cả các router được tạo ra giống nhau khi công việc củachúng sẽ là khác nhau không đáng kể từ mạng này tới mạng kia Thêm vào

đó, bạn có thể thấy được một phần của phần cứng và ngay cả khi khôngnhận ra nó là một Router Cái gì định nghĩa một router mà không phải hìnhdáng, màu sắc, kích thước hay là hãng sản xuất nó, nhưng nó làm chức năngđịnh tuyến các gói dữ liệu giữa các máy tính Một Cable Modem định tuyến

dữ liệu giữa máy tính của bạn với nhà cung cấp dịch vụ của bạn có thể đượcxem như là một Router Trong cấu trúc cơ bản của nó, một router có thể đợngiản là một trong hai máy tính chạy hệ điều hành Window 98 hoặc là caohơn kết nối với nhau sử dụng ICS (chia sẻ kết nối mạng internet) Trong ví

dụ này, máy tính mà được kết nối với internet hoạt động như một router chomáy tính thứ hai cũng được kết nối internet của nó

Tiến lên một bước từ ICS, chúng ta có một danh mục của phần cứngRouter nó được sử dụng để thực hiện nhiệm vụ cơ bản tương tự như là ICS,mặc dù nó có thêm nhiều tính năng và chức năng hơn Thường thường gọi

là Router chia sẻ kết nối băng tần rộng hay là router chia sẻ kết nối internet,những router này cho phép bạn chia sẻ một kết nói internet giữa nhiều máytính với nhau

Các router ICS và băng tần rộng sẽ xem xét một bit khác biệt tuỳ thuộcvào hãng sản xuất hoặc nhãn hiệu, nhưng nhìn chung vỏ bọc của router làmột hình khối nhỏ thiết bị phần cứng với các cổng ở mặt trước hoặc saurouter, từ mỗi cổng này bạn cắm vào mỗi máy tính, tuỳ theo mỗi cổng nócắm vào modem băng tần rộng của bạn Những cổng kết nối này cho phéprouter có thể làm công việc của nó là định tuyến các gói dữ liệu giữa cácmáy tính trong mạng với nhau và các luồng dữ liệu vào và ra mạng internet.Tuỳ thuộc vào loại modem và kết nối internet mà bạn có Bạn cũng cóthể chọn một router với các cổng điện thoại hoặc là máy Fax Một RouterEthernet băng thông rộng điển hình sẽ có một Chuyển mạch Ethernet đượcxây dựng bên trong cho phép mở rộng Những Router này cũng hỗ trợ NAT(Dịch địa chỉ mạng), nó cho phép tất cả máy tính của bạn chia sẻ một địa chỉ

IP trên mạng internet Các router chia sẻ kết nối mạng internet cũng chophép cung cấp những người sử dụng với nhiều tính năng yêu cầu như làtường lửa SPI hoặc là các dịch vụ như là một dịch vụ DHCP

Router không dây băng tần rộng trong cũng tương tự như một Router

có dây, với một anten đặc biệt ở trên định, và một ít cable chạy từ các máytính đến router khi nó được cài đặt tất cả Tạo ra một mạng không dây thêmvào một chút quan tâm tới bảo mật không như là để tương phản với mạng códây, nhưng các router băng tần rộng không có các mức bảo mật nhúng mở

rộng Dọc theo các tính năng tìm thấy trong router có dây, router không dâycũng cung cấp các tính năng phù hợp để bảo mật không dây như là chốngtruy cập WiFi (WPA) và lọc địa chỉ MAC không dây, thêm vào đó, hầu hếtcác router không dây có thể cấu hình cho mức không hiển thị vì thế mạngkhông dây của bạn không thể bị quét bởi những khách hàng không dây bênngoài Các Router không thường sẽ thêm cổng Ethernet rất tốt Cho những

gì xa lạ với WiFi và nó hoạt động như thế nào Nó rất quan trọng để chú ýrằng lựa chọn một router không dây có thể có nghĩa là bạn cần tăng cườngvốn hiểu biết về WiFi của bạn lên Sau khi một mạng không dây được thiếtlập, bạn có thể cần giành nhiều thời gian vào điều khiển và bảo vệ hơn là khilàm với một mạng LAN có dây

Các router Có dây và không dây và kết quả cảu mạng có thể dòi hỏitính chuyên nghiệp và nghiên cứu trên mỗi loại, nhưng ở một mức độ nào đóchúng là toàn bộ các chức năng và hình dáng bên ngoài Cả router khôngdây và có dâu có độ tin cậy cao và đáp ứng bảo mật tốt ( không thêm vào cácsản phẩm phụ) Tuy nhiên – và điều này chịu đựng sự lặp lại – như là chúng

ta quan tâm bạn có cần để đầu tư thời gian học nhiều hơn về bảo mật khôngdây

Nhìn chung, Với thiết bị có dây sẽ là rẻ hơn tất cả, nhưng thiết lậprouter và đi cáp đến các máy tính sẽ có một chút khó khăn hơn là thiết lậpmột mạng không dây Tất nhiện, tính di động trên hệ thống có dây bị giớihạn rất nhiều trong khi mạng không dây đưa ra tính năng di động nổi bật

4 Thi t b Router có đ t hay không ế nào ? ịnh ắt hay không ?

Ngày nay bạn có thể mua một router băng tần rộng 70$ nó sẽ giúp bạnchia sẻ kết nối internet băng tần rộng với nhiều máy tính trong nhà bạn Tuynhiên, trước khi mua một router, bạn cần đặt mối quan tâm vào loại kết nốiinternet nào mà bạn có, và bao nhiêu cổng bạn sẽ cần cho các máy tính cánhân và tát nhiên phải có sự lựa chọn giữa không dây hoặc có dây Nó luônluôn là một ý tưởng không tồi khi đầu tư mua một router với những cổngphụ trong tình huống bạn cần kết nối thêm các máy tính ở thời gian sau đó.Bạn cũng có thể quyết định nếu router băng tần rộng sẽ được máy tính củabạn cung cấp bảo mật hoặc là nếu bạn sẽ mua một phần cứng tường lửa choviệc bảo vệ Nếu bạn đang suy nhĩa việc đầu tư mua một tường lửa để thêmvào router băng tần rộng, bạn có thể muốn xem một số bài viết gần đây củachúng tôi về tương lửa phần cứng và phần mềm

Cho dù là người mới bắt đầu làm quen với mạng nhưng chắc hẳn bạn

đã từng nghe nói đến router Các kết nối Internet băng thông rộng, sử dụngmodem cáp hay modem DSL luôn đòi hỏi cần phải có router Nhưng công