Hòa chung với sự phát triển của thị trường di động thế giới, trong những năm gần đây thị trường di động Việt Nam đã có những bước phát triển vượt bậc. Hàng loạt các nhà mạng đã tham gia vào cuộc chạy đua nhằm cung cấp cho khách hàng các tiện ích di động hiện đại nhất với chất lượng dịch vụ cao nhất. Thị trường di động 3G hiện đang bước vào giai đoạn cạnh tranh căng thẳng nhất, tính đến thời điểm hiện tại đã có 3 nhà mạng chính thức cung cấp các tiện ích 3G cho khách hàng là Vinaphone, Mobifone, Viettel, ngoài ra một số nhà mạng khác cũng đang chuẩn bị những bước cuối cùng trước khi khai trương chính thức. Là một sinh viên, nắm bắt được tầm quan trọng của việc quy hoạch mạng tới sự phát triển tôi đã của thành phố quyết định chọn đề tài của mình là “Quy hoạch mạng vô tuyến thông tin thế hệ 3 cho thành phố Đà Nẵng ”.
Trang 1MỤC LỤC
MỤC LỤC 1
DANH MỤC HÌNH ẢNH 2
LỜI NÓI ĐẦU 3
THUẬT NGỮ VIẾT TẮT 4
CHƯƠNG 1 GIỚI THIỆU CHUNG 5
1.1 CƠ SỞ QUẢN LÝ MẠNG 5
1.1.1 Chi phí ngắt dịch vụ 5
1.1.2 Kích cỡ và độ phức tạp của mạng 5
1.1.3 Giám sát hiệu suất 6
1.1.4 Đối phó với các trang thiết bị tinh xảo 6
1.2 QUÁ TRÌNH QUẢN LÝ MẠNG 6
1.2.1 Tổ chức OSI trong quản lý mạng 7
1.2.2 Các chức năng quản lý mạng lưới 11
CHƯƠNG 2 AN NINH MẠNG TCP/IP 13
2.1 AN NINH ĐỊNH TUYẾN 13
2.1.1 Sự cần thiết an ninh truy cập 13
2.1.2 Truy cập định tuyến 14
2.1.3 Truy cập Telnet 14
2.1.4 Truy cập TFTP 16
2.1.5 Bảng điều khiển và đầu cuối ảo 17
2.1.6 Truyền file (tệp) 19
2.1.7 An ninh bên trong bộ định tuyến 19
2.1.8 Phạm vi phòng vệ bổ sung 21
2.3 SỬ DỤNG DỊCH VỤ BỨC TƯỜNG LỬA (PROXY) 21
2.3.1 Những giới hạn danh sách truy cập 22
2.3.2 Các dịch vụ proxy 23
2.3.3 Các dịch vụ proxy ICMP 25
2.3.4 Hạn chế 26
2.3.5 Ví dụ hoạt động 27
KẾT LUẬN 33
Trang 3DANH MỤC HÌNH ẢNH
Hình 2.1 17Hình 2.2 20Hình 2.3 24Hình 2.4 Sử dụng kỹ thuật cấu hình màn hình chặn bức tường lửa để khóa tất cả lệnh FTP PUT 27Hình 2.5 28Hình 2.6 Sử dụng kỹ thuật cấu hình màn hình Add Alert chặn bức tường lửa 29Hình 2.7 Sử dụng kỹ thuật cấu hình màn hình chặn bức tường lửa để biên tập dịch vụ mạng HTTP 30Hình 2.8 Sử dụng cấu hình hiển thị kỹ thuật biên tập dịch vụ chặn bức tường lửa để càiđặt một chuỗi qui tắt khống chế đến HTTP 31
Trang 4LỜI NÓI ĐẦU
Gần ba mươi năm qua bộ giao thức TCP/IP đã được đưa vào sử dụng và pháttriển, nó bắt đầu từ việc nghiên cứu của Bộ Quốc phòng Mỹ về thủ tục truyền dẫn củamạng máy tính trong học viện, các cơ quan chính phủ, các doanh nghiệp, và của ngườidùng ở Mỹ Mạng truyền dẫn sử dụng bộ giao thức TCP/IP trong phạm vi từ mạng nộihạt (nhỏ) văn phòng trong nhà đến một mạng rộng lớn đó là mạng Internet Vài nămgần đây việc sử dụng giao thức TCP/IP đã phát triển nhanh, nhờ đó nó hỗ trợ trongnhiều ứng dụng mới
Trong tiểu luận này em tập trung nghiên cứu 2 vấn đề cơ bản đó là:
● Nghiên cứu chung về quản lý mạng TCP/IP
● An ninh mạng TCP/IP (security)
Trang 5THUẬT NGỮ VIẾT TẮT
S-HTTP Secure Hypertext Transfer Protocol
Trang 6CHƯƠNG 1 GIỚI THIỆU CHUNG
1.1 CƠ SỞ QUẢN LÝ MẠNG
Như đã đề cập ở trên, hiện nay việc sử dụng bộ giao thức TCP/IP đã phát triểnđồng thời cả hai lĩnh vực dung lượng và ứng dụng truyền tải dữ liệu Ngày nay nhiềunhà kinh doanh phụ thuộc rất nhiều vào các trang Web của họ để bán hàng, nhà kinhdoanh có thể đạt được doanh thu lớn vài triệu đô la trên một ngày, một nhà kinh doanhdịch vụ khác cung cấp các dịch vụ truyền fax chi phí thấp cho hàng trăm ngàn kháchhàng ở nhiều nơi trên thế giới và hàng triệu doanh nghiệp và hàng chục triệu ngườitiêu dùng, trong lĩnh truyền thư do thư điện tử có nhiều ưu điểm như tốc độ truyền dẫnnhanh và không mất tin nên người dùng sử dụng thư điện tử nhiều hơn là sử dụng thưtruyền thống của dịch vụ bưu chính khi truyền tin ở nhiều quốc gia khác nhau
Tốc độ tăng trưởng trong việc sử dụng giao thức TCP/IP làm cho cả hai, người
sử dụng dịch vụ Internet và nhà quản lý mạng phụ thuộc rất nhiều vào bộ giao thứcTCP/IP để thực hiện những công việc bình thường hàng ngày của họ
1.1.1 Chi phí ngắt dịch vụ
Như đã đề cập ở trên ưu điểm mạng Internet mang lại cho người sử dụng rấtlớn, do vậy khi mạng bị lỗi nhỏ dẫn đến mạng sẽ bị gián đoạn điều này sẽ mang lại hậuquả nghiêm trọng cho người dùng Lấy ví dụ, khi kết nối Internet không thành côngđối với các nhà doanh nghiệp sẽ không gởi và nhận được các thư điện tử và không thểtruy cập mạng để mua hoặc đặt hàng trực tuyến trên mạng Mất một thông tin điều nàyđồng nghĩa với việc doanh thu của doanh nghiệp có thể thiệt hại hàng ngàn hoặc thậmchí hàng triệu đô trong thời gian mạng bị gián đoạn Do vậy các phương pháp pháthiện lỗi và chuẩn đoán lỗi một cách nhanh chóng của nhân viên điều hành mạng có thểlàm giảm bớt thiệt hại cho doanh nghiệp Trong môi trường truyền thông ngày nay cáclĩnh vực cần quan tâm đó là kích cỡ và độ phức tạp của mạng, các chi phí, hiệu quảvận hành và khả năng tìm hiểu đủ thông tin để tận dụng ưu điểm của giao thức
1.1.2 Kích cỡ và độ phức tạp của mạng
Do nhu cầu trao đổi thông tin của người dùng ngày càng tăng, để đáp ứng nhucầu sử dụng của người dùng đòi hỏi kích cỡ của mạng phải lớn hay độ phức tạp củamạng cao, đồng thời chi phí hoạt động của mạng ngày càng lớn Điều này tạo nênđộng lực thúc đẩy sự phát triển của mạng, tuy nhiên để mạng hoạt động tốt đòi hỏi khảnăng mạng truyền dẫn phải tốt, đồng thời phải có thiết bị giám sát tập trung trên mạng
Trang 7đổi cấu hình mạng cũng như tạo ra các cảnh báo khi phát hiện lỗi trên mạng Nhờ có
giao thức quản lý mạng SNMP (Simple Network Managerment Protocol) và giao thức giám sát từ xa RMON (Remote Moniter) của bộ giao thức TCP/IP làm cho việc
quản lý mạng đơn giản hơn và ít tốn kém nhân lực Tuy nhiên để hiệu quả sử dụngmạng cao đòi hỏi nhân viên quản trị mạng phải có sự hiểu biết nhất định về các kháiniệm và giao thức truyền thông
1.1.3 Giám sát hiệu suất
Thông qua việc sử dụng các giao thức quản lý của bộ giao thức TCP/IP có thểgiám sát được hiệu suất và năng lực của mạng Một vấn đề liên quan là làm thế nào đểhiệu suất sử dụng chi phí quản lý mạng tốt nhất, hiệu suất cao nhất khi chi phí choquản lý mạng thấp nhất mà vẫn đảm bảo được việc quản lý mạng Vì vậy việc quản lýmạng tốt sẽ mang lại năng lực và hiệu suất sử dụng mạng cao trong khi chi phí chomạng thấp
1.1.4 Đối phó với các trang thiết bị tinh xảo
Với việc sử dụng bộ giao thức TCP/IP mạng Internet ngày càng phát triểnnhanh chóng, các thiết bị sử dụng trên mạng được lắp đặt và truy cập càng nhiều Ví
dụ có rất nhiều bộ định tuyến có khả năng số hóa tín hiệu thoại Đối phó với các thiết
bị tinh xảo có khả lấy trộm thông tin trên mạng, đòi hỏi nhân viên quản trị mạng đượcđào tạo có trình độ cao, được coi là một khía cạnh quan trọng của quản lý mạng Hiệnnay có rất nhiều sản phẩm quản lý mạng ẩn bên trong các sản phẩm truyền thôngmạng, với 1 giao diện đồ họa người dùng có khả năng truy cập dễ dàng bằng lệnh điềukhiển do nhân viên quản trị viết ra để điều khiển sự hoạt động của thiết bị Như vậy,sản phẩm quản lý mạng hiện đại giúp đỡ chúng ta đối phó với các thiết bị tinh xảo
Bảng 1.1 tóm tắt các lý do chủ yếu tại sao mạng TCP/IP phải được quản lý
1.2 QUÁ TRÌNH QUẢN LÝ MẠNG
Quản lý mạng là một quá trình giống như nhiều hoạt động phổ biến khác trong
đó chắc chắn người quản lý mạng sẽ gặp nhiều khó khăn Dưới đây là những hạn chếtrong quá trình quản lý
Quản lý mạng là một quá trình (mà nhân viên quản trị mạng) sử dụng phầncứng và phần mềm theo dõi tình trạng của các thành phần và khả năng truyền dẫn
Sự tin cậy của mạng Hiệu ứng lỗi mạng Kích cỡ và độ phức tạp của mạng Đối phó với sự tinh vi của thiết bị mạng Cân bằng hiệu suất và năng lực mạng Chính sách chi phí hoạt động
Trang 8mạng, câu hỏi cuối cùng là làm thế nào để cải thiện hiệu suất sử dụng của mạng, đồngthời phải kết hợp việc quản trị mạng với việc hướng dẫn nhà cung cấp dịch vụ vàngười dùng trên mạng Điều này có nghĩa là nhân viên quản trị mạng phải có kiến thức
về bộ giao thức TCP/IP và hiểu được quá trình hình thành và thủ tục gởi và nhận cácgói tin
Vai trò, cách sử dụng, các thành phần cấu tạo của gói tin và các khái niệm đặctrưng của mạng Thứ nhất khi truyền tín hiệu thoại và tín hiệu fax bằng bộ giao thứcTCP/IP trên mạng bao giờ cũng có sai số nhất định Thứ hai nó liên quan đến việc sửdụng phần cứng và phần mềm để kiểm tra , thiết bị cầu nối và bộ định tuyến của mạng,thiết bị và khả năng truyền dẫn, dữ liệu và kênh dữ liệu của các thành phần mạng Chú
ý rằng nhân viên quản lý mạng có thể can thiệp và hổ trợ đến người sử dụng mạng,nhà cung cấp dịch vụ các yếu tố chuyên môn liên quan đến mạng Ngoài ra sau khi thuthập các yêu cầu, các ý kiến liên quan đến mạng từ người dùng và nhà cung cấp dịch
vụ nhân viên quản trị mạng sẽ nghiên cứu và cải tạo mạng theo hướng tốt hơn Đồngthời họ thường đưa ra các giải pháp để cải thiện hiệu suất sử dụng cũng như giảm bớthiện tượng rớt mạch Các phương pháp để cải thiện hiệu suất thông tin có thể là thayđổi cấu hình mạng hiện tại hoặc nghiên cứu cách thức tổ chức mạng theo các yêu cầu
mà họ đưa ra Cuối cùng hiệu suất của công việc quản lý mạng phải được nhân viênquản trị mạng nắm bắt tất cả như: giám sát và đưa ra tiến trình phát triển mạng, tínhtoán lại mạng để đảm bảo tính hợp lý giữa chi phí đầu tư để mạng phát triển với hiệusuất sử dụng mạng cao nhất Thực ra các vấn đề đưa ra trên có thể tùy chọn để đảmbảo rằng người dùng hợp lệ mới truy cập vào mạng và các nhân viên quản lý mạng cục
bộ (mạng LAN), các nhà quản lý mạng cần phải quan tâm đến vấn đề an ninh mạng
1.2.1 Tổ chức OSI trong quản lý mạng
Dựa trên cơ sở trước đó, chúng ta có thể chia nhỏ các công việc liên quan đếnquản lý và chức năng mạng Trong thực tế, điều này đã được thực hiện theo chuẩn
quốc tế IOS (International Organization for Standardization) của tổ chức OSI (Open System Interconnection) Trong đó mô hình tổ chức OSI đã định nghĩa 5
chức năng (hoặc các qui tắc) quản lý mạng được chỉ định trong bảng 1.2
Bảng 1.2 Tổ chức OSI trong quản lý mạng
Quản lý cấu hình / thay đổi
Quản lý lỗi / sự cố
Quản lý hiệu suất / tốc độ tăng trưởng
Quản lý an ninh / truy cập
Quản lý tài khoản / chi phí
Trang 9Quản lý cấu hình hoặc quản lý mạng bao gồm quá trình theo dõi khả năng thayđổi các tham số khác nhau của các thiết bị trên mạng Các tham số đó có thể được càiđặt, thiết lập lại hoặc đơn giản là để đọc và hiển thị Đối với mạng phức tạp có hàngtrăm hoặc hàng ngàn thiết bị và truyền dẫn, việc sử dụng các SNMP và RMON sẽ dễdàng hơn cho việc điều khiển mạng từ một điểm hoặc từ một vài vị trí quản lý mạng.Tuy nhiên, trên thực tế nền tảng SNMP và RMON có phạm vi từ một hệ thống quản lýmạng máy tính cơ sở đến máy tính nhỏ và hệ thống máy trạm Trong thực tế, hầu hếtcác hệ thống sẽ bao gồm thiết bị có khả năng tự động tìm ra và hiển thị vị trí củamạng, ngoài ra nó còn cung cấp cho người sử dụng khả năng đọc và có thể thay đổicác tham số thiết bị, cũng như hiển thị một loạt các thông số của đường truyền khônggiống như các thiết trên các tham số có thể được hiển thị và thiết lập lại, thiết bị truyềndẫn được kiểm soát bởi một hoặc nhiều hãng truyền thông và điều chỉnh các thông sốnày thường là điều khiển hoạt động người sử dụng mạng đầu cuối.
Mặc dù hệ thống quản lý mạng có nhiều ưu điểm, nhưng tổ chức hệ thống quản
lý mạng không phải ở đâu cũng có Điều này bởi vì là SNMP và RMON được pháttriển chủ yếu như là một thiết bị giám sát và cảnh báo, và cũng vì vài hạn chế là yếu tốbảo mật không được tích hợp cho phép thay đổi các tham số các bộ định tuyến, DSUs,CSUs và các thiết bị mạng khác Thay vào đó, nhiều tổ chức duy trì một số hệ thống,trong đó một số hệ thống nhà cung cấp có thể được sử dụng để kiểm soát các thiết bị.Ngoài ra, một số thiết bị có thể được kiểm soát đơn giản từ màn hình hiển thị
Trong kết luận ban đầu của chúng ta với việc thảo luận về cấu hình hoặc thayđổi quản lý, cần lưu ý rằng lĩnh vực quản lý mạng này phụ thuộc vào các tham số càiđặt cơ sở dữ liệu và hiểu biết ý nghĩa của chúng Cơ sở dữ liệu này bao gồm các thôngtin được ghi trên thẻ 3* 5 inch, trang đánh máy, hoặc files được lưu trữ trong máy tính.Bất kể phương tiện truyền thông được sử dụng để lưu trữ thông tin, cơ sở dữ liệu giốngnhư một kho thông tin có thể được sử dụng để xác định lựa chọn, thay thế, cũng nhưtriển khai thực hiện thay đổi cấu hình và cách thức hoạt động của mạng lưới
Quản lý lỗi/sự cố
Vấn đề quản lý lỗi là quá trình nhằm phát hiện, đăng nhập và thẻ, vấn đề táchbiệt, dấu vết và hoàn thành cho quyết định một kết quả không bình thường Vì bạnphải biết rằng một sự cố tồn tại, thứ nhất là một trong những bước quan trọng nhấttrong quản lý lỗi là phát hiện tình trạng không bình thường Điều này có thể hoànthành bằng một số phương pháp, bao gồm từ việc thiết lập các ngưỡng trên một hệthống quản lý mạng để phát ra các loại hình cảnh báo hoặc điều kiện báo động khivượt quá cho người sử dụng và khách hàng gọi một kỹ thuật kiểm soát trung tâm đểbáo cáo các vấn đề Sau khi một vấn đề đã được phát hiện, nhiều tổ chức sẽ có một
Trang 10giới hạn trước điều hành thủ tục mà tình trạng này được ghi chép trong một đăng nhập,nếu xác định đại diện cho một vấn đề chính đáng, được phân công một vé sự cố chophép theo dõi quá trình giải quyết sự cố
Điều quan trọng để hiểu rằng nhiều sự cố liên quan các cuộc gọi đến một trungtâm kiểm soát kỹ thuật được giải quyết ngay lập tức Các cuộc gọi có thể yêu cầunhân viên trung tâm kiểm soát kỹ thuật đến từ một vài phút đến vài giờ kiểm tra cài đặtthiết bị, xem hình ảnh hiển thị để kiểm tra tình trạng của các thiết bị từ xa và hỏi ngườidùng những cài đặt phần mềm và phần cứng liên quan hoặc thực hiện các chức năngkhác để giải quyết sự cố mà không hành động Các cuộc gọi hoặc báo động khác cóthể dẫn đến việc cấp của một thẻ sự cố đòi hỏi hành động trên một phần của nhà cungcấp dịch vụ thông tin hoặc sự giúp đỡ của nhà cung cấp dịch vụ Bất kể mức độ của sự
cố, đăng nhập ban đầu bao gồm một cố gắng để xác định nguyên nhân của tình huốngkhông bình thường và xác định hành động thích hợp cho các chỉnh sửa Vấn đề táchbiệt có thể bao gồm một thảo luận đơn giản với một người dùng đầu cuối, kiểm trachẩn đoán thiết bị và đường truyền hoặc mở rộng nghiên cứu Sau khi nguyên nhângây ra sự cố được cô lập có thể tổ chức với người dùng chỉnh sửa, chẳng hạn nhưkhông thể chấp nhận mức độ hiệu quả trên một mạch hoặc một lỗi thiết bị không kếtnối đến nhà cung cấp dịch vụ tổ chức mạng của bạn đang sử dụng Vì vậy, ngoài việctìm kiếm sự trợ giúp thích hợp, một bước quan trọng của các quá trình quản lý lỗi là đểdấu vết cả bên trong và bên ngoài nhân viên trong nổ lực của họ để hướng tới sửa đúnglỗi Rất nhiều lần, lỗi quản lý sẽ đòi hỏi vé tuổi sự cố để được chuyển cấp để nhậnđược Tại các lần, lặp đi lặp lại các cuộc gọi đến một nhà cung cấp hay nhà cung cấpdịch vụ thông tin để theo dõi sự tiến bộ của một sự cố thẻ có thể bộc lộ rằng các thẻ đãđược đóng lại Mặc dù chúng tôi hy vọng rằng các lý nhà cung cấp dịch vụ hoặc nhàcung cấp đóng sự cố và không có ý quên để thông báo cho chúng tôi những giảiquyết , chúng tôi sống trong một thế giới chưa hoàn hảo, trong đó một một thẻ sự cố
có thể không cố ý bị đóng cửa mà không giải quyết vấn đề Vì vậy, nó là rất quantrọng đối với các dấu sự cố, bao gồm cả thẻ sự có trạng thái
Trong khi việc giải quyết của một điều kiện không bình thường có thể xuất hiệnnhững công việc sau đó trong quá trình quản lý lỗi, trong thực té nó có thể yêu cầuhiệu suất của cấu hình hoặc thay đổi công việc quản lý Ví dụ, nếu trong một điều kiệnkhông bình thường do bởi việc thực hiện thay đổi định tuyến,việc giải quyết sự có thểthay đổi cấu hình định tuyến trở về trạng thái ban đầu với điều kiện bình thường của
nó Điều này giải thích bên trong quan hệ giữa các chức năng của các lĩnh vực quản lýmạng
Trang 11Quản lý hiệu suất/tăng trưởng
Quản lý hiệu suất hoặc độ tăng trưởng bao gồm những công việc đòi hỏi đánhgiá việc sử dụng thiết bị quản lý mạng và khả năng truyền dẫn và điều chỉnh chúngnhư yêu cầu Công việc thực hiện có thể phạm vi từ quan sát thiết bị hiển thị để thuthập các thông tin thống kê vào một cơ sở dữ liệu có thể được sử dụng đến các xuhướngdự án sử dụng Bất kể phương pháp được sử dụng, mục tiêu của quản lý hiệusuất và tăng trưởng là để đảm bảo đủ khả năng tồn tại để hỗ trợ thông tin người dùngcuối cùng yêu cầu Do đó, một thuật ngữ thường được sử dụng cho quản lý hiệu suấthay tăng trưởng là năng lực lập kế hoạch
Một trong những chi tiết thú vị bên ngoài của năng lực lập kế hoạch phối hợpphản ứng lại của sự cố người dùng cuối Nếu tổ chức mạng của bạn không đủ khảnăng, người dùng cuối khiếu nại sẽ thường xảy ra bất cứ khi nào thời gian phản hồi lâuhoặc người dùng nhận một tín hiệu bận khi cố gắng truy cập mạng từ xa Ngược lại,bạn sẽ không bao giờ nhận khiếu nại người dùng cuối mà họ luôn luôn nhận được mộtthời gian phản hồi tốt hoặc không bao giờ nhận một tín hiệu bận và rằng mạng có quánhiều năng lực Điều này có nghĩa là quá nhiều khả năng sẽ yêu cầu công nhận nhânviên quản lý mạng và nó là phận sự nhân viên để kiểm tra các tiềm năng cho cả hai thuhẹp hoặc mở rộng mạng
Một loạt các công cụ có thể được sử dụng cho quá trình quản lý hiệu suất hoặctăng trưởng, bao gồm các hoá đơn thanh toán của nhà cung cấp dịch vụ ,hệ thống quản
lý mạng, chẳng hạn như các ứng dụng tiện ích Ping và Traceroute.Hoá đơn thanh toánnhà cung cấp dịch vụ có thể hiển thị đường dây gọi vào hoặc đường dây cho thuê nốivào nhà cung cấp dịch vụ Internet Hệ thống quản lý mạng có thể cung cấp thông tin
về việc sử dụng nội hạt và mạng từ xa và mạng lưới hoạt động và sử dụng khác nhaucủa thiết bị quản lý mạng Việc sử dụng Ping, Tracerouter và các chương trình tiện íchkhác có thể chỉ thị một thiết bị hoạt động cũng như ngắt thiết bị
Quản lý an ninh /truy cập
Quản lý an ninh hoặc truy cập mô tả cài đặt các công việc mà đảm bảo rằng chỉcho phép nhân viên có thể sử dụng mạng Ngoài ra, một số tổ chức có thể yêu cầu ẩncác nội dung của dữ liệu, đặc biệt là khi sử dụng Internet như là một mạng riêng ảo Vìvậy, nhiệm vụ và chức năng liên quan đến quản lý an ninh có thể bao gồm xác nhậncác người dùng, mật mã của dữ liệu, quản lý và phân phối khóa mật mã, bảo trì vàkiểm tra an ninh của các bản ghi, cấu hình danh sách truy cập bộ định tuyến và việctriển khai thực hiện những tính năng frewall khác nhau bao gồm các dịch vụ proxy vàphát hiện xâm nhập và phát báo động
Trang 12Tương tự với quản lý an ninh truy cập các nhiệm vụ và chức năng biện phápphòng chống vi rút, các thủ tục hoạt động và lập kế hoạch triển khai thực hiện khi cầnthiết của phương pháp khôi phục thảm họa Mặc dù nhà quản lý mạng không thể thựchiện các nhiệm vụ trước sự tấn công để đảm bảo rằng nhân viên không được hoặc phátnhững fles đáng ngờ qua mạng, các nhà quản lý có thể công khai các phương phápkiểm tra phần mềm không biết cũng như các thủ tục đi theo liên quan đến việc phânphối phạm vi phần mềm chung thu được từ những trang web chia sẻ phần mềm
Quản lý thanh toán/chi phí
Ngoài ra để bảo đảm sự sinh, tử vong và thuế, bạn cũng có thể mong đợi câuchâm ngôn cũ 'không có bữa ăn trưa miễn phí' là cơ bản đúng sự thật Một trong nhữngquy trình quản lý mạng như vậy, bao gồm việc nhận đúng thông tin vào đúng thờiđiểm, trong đó cung cấp một cơ sở cho các thiết lập các chi phí chăm sóc của tàinguyên mạng Công việc liên quan tới quản lý thanh toán toán hoặc chi phí bao gồmviệc đưa ra các trang thiết bị, các loại truyền dẫn, việc hòa giải và các hoá đơn ghi ,các tính toán giảm giá và các chi phí khấu hao, các chứng từ chi phí cá nhân chi phínhân đến hoạt động mạng, sự thuyết minh các thuật toán để tính tỉ lệ cước đến ngườidùng và định kỳ xem xét các phương pháp thanh toán để bảo đảm công bằng và hợp lýcác chi phí hóa đơn trên cơ sở người sử dụng mạng
Quá trình quản lý thanh toán có thể yêu cầu những nỗ lực của một nhómchuyên gia tại các tổ chức lớn Đối với các tổ chức vừa và nhỏ ,các nỗ lực bao gốmquản lý kế toán có thể vẫn là đáng kể, đặc biệt khi so với các điều cần thiết để thựchiện chức năng quản lý mạng lưới Nhiều tổ chức tập trung vốn đầu tư chi phí cácthông tin hoặc thêm chi phí cho việc sử dụng xử lý dữ liệu của họ Trong khi điều nàychắc chắn sẽ giảm bớt các công việc liên quan tới quản lý thanh toán, các chức năngquản lý chi phí khác, bao gồm cả ngân sách, kiểm tra ảnh hưởng của thuế dựa trên sựthay đổi cấu trúc của mạng lưới, và thẩm tra sự đúng đắn của người bán và hóa đơncủa nhà cung cấp dịch vụ Những chức năng quản lý chi phí và thanh toán là một phầnquan trọng trong quản lý mạng dù có người dùng hoặc các tổ chức cơ quan hay không
1.2.2 Các chức năng quản lý mạng lưới
Mặc dù quản lý mạng theo khuôn OSI là thông minh, nó không phải là tất cả,bao gồm hai phím khu vực chức năng mà chỉ là một phần kín đáo trong khuôn OSI là
đủ quan trọng để điều chỉnh nhận dạng của họ như là thực thể riêng biệt là quản lý tàisản và hoạch định hoặc hỗ trợ quản lý
Trang 13Quản lý tài sản
Quản lý tài sản là tập hợp các công việc liên quan đến sự thuyết minh và thu hồicác hồ sơ của thiết bị, điều kiện thuận lợi và nhân sự Hồ sơ thiết bị có thể bao gồmmột hoặc nhiều cơ sở dữ liệu thông tin-bao gồm các thiết bị được sử dụng trong mạng,các thông số cài đặt, dữ liệu nhà sản xuất và số điện thoại để gọi cho bảo trì, và thôngtin tương tự Hồ sơ thiết bị có thể hệ thống quản lý mạng hiện có, có thể bổ sung thêmthông tin nhận được từ hệ thống quản lý mạng hoặc có thể là hệ thống quản lý mạnghoàn toàn độc lập Hồ sơ khả năng truyền dẫn có thể đơn giản bao gồm số các mạchđiện và điểm liên lạc của nhà cung cấp dịch vụ hoặc chúng có thể chứa các thông tin
bổ sung như mong đợi hoặc bảo đảm mức độ hiệu quả và kết quả theo dõi của thời kỳtrước đó Sau đó bao gồm người sử dụng cuối lưu ý xu hướng phát triển, trong đó cóthể bao gồm sự hư hỏng chất lượng mạch địện
Trang 14CHƯƠNG 2 AN NINH MẠNG TCP/IP
2.1 AN NINH ĐỊNH TUYẾN
Một bộ định tuyến mô tả một phần trong hầu hết các loại mạng cũng như thiết
bị truyền thông đầu tiên được sử dụng để truyền dữ liệu giữa các mạng Được hiểutheo cách thông thường, nó mô tả nhiều kế hoạch thiết bị mạng truyền thông Khi thayđổi cấu hình của bộ định tuyến (cố ý hoặc không cố ý) có thể đều ảnh hưởng đến trạngthái hoạt động của nó và ảnh hưởng đến tổ chức mạng Một điều nữa nếu bảng địnhtuyến hoặc các tham số khác nhau thay đổi, nó có thể làm thay đổi tổ chức dữ liệu đểgởi đến vị trí nơi mà thông tin có thể ghi và đọc bởi bộ phận thứ 3 Điều này rất quantrọng để hiểu rằng tại sao người ta có thể truy cập và điều khiển bộ định tuyến, và từngbước tạo ra độ an toàn cho thiết bị mạng truyền thông
Trong phần này chúng tôi sẽ xem xét và thảo luận các phương pháp truy cậpđịnh tuyến trong cả hai thuật ngữ chung và riêng Thảo luận truy cập định tuyến củachúng ta trong thuật ngữ chung sẽ áp dụng đến các sản phẩm được sản xuất bởi nhiềunhà cung cấp khác nhau Tuy nhiên, khi trở về sự chú ý đến phương pháp truy cập cụthể và các phương pháp chúng tôi có thể sử dụng an ninh truy cập đến bộ định tuyến,chúng tôi sẽ tổng hợp bổ sung cụ thể chi tiết ứng dụng đến các bộ định tuyến do hệthống Cisco sản xuất Mặc dù ví dụ các phương pháp cụ thể để bảo vệ truy cập đếncác bộ định tuyến trong phần này được định hướng theo định tuyến Cisco, nhưng trênthực tế các bộ định tuyến được sản xuất bởi nhiều nhà cung cấp khác nhau nhưng đều
có những khả năng tương tự nhau Nếu tổ chức mạng của bạn sử dụng các bộ địnhtuyến được sản xuất bởi nhiều hãng khác nhau, bạn có thể kiểm tra chức năng an ninhtruy cập của bộ định tuyến đó và các lệnh cụ thể được hổ trợ bởi bộ định tuyến đếnmột hoặc nhiều chức năng an ninh truy cập để cho phép, không cho phép và bảo vệtruy cập đến thiết bị dựa vào tài liệu hướng dẫn sử dụng cụ thể của nhà cung cấp bộđịnh tuyến
2.1.1 Sự cần thiết an ninh truy cập
Khi xem xét đến an ninh định tuyến, hầu hết người ta nghĩ đến những danh sáchtruy cập định tuyến Những danh sách truy cập định tuyến này được dùng để thiết lậpnhững giới hạn khi truyền dữ liệu thông qua các cổng của bộ định tuyến và được xemxét để mô tả phạm vi phòng thủ mạng đầu tiên Mặc dầu danh sách truy cập định tuyến
là vô cùng quan trọng về khía cạnh an ninh mạng, tác giả xem xét chúng để thực tế mô
tả phạm vi phòng thủ thứ hai của mạng Điều này bởi vì khả năng truy cập và cấu hình
Trang 15người được chỉ rõ đạt được khả năng truy cập và thay đổi cấu hình tổ chức định tuyến,điều này có nghĩa là bất kỳ danh sách truy cập đã trình bày trước đây có thể được thayđổi hoặc loại bỏ - trong hiệu ứng cắt bỏ cách bảo vệ mạng đã trình bày trước Tương tựnhư người nông dân xây dựng một chuồng gà hình ba chiều, khi ra về vô tình để cửađóng hờ, do thiếu sót trong bảo vệ nên để mất loại động vật quí giá cũng như trong tổchức định tuyến nếu bảo vệ không tốt có thể người khác truy cập đến tài nguyênmạng Điều này giải thích tại sao chúng tôi sẽ thảo luận an ninh truy cập định tuyếntrong phần này trước khi thảo luận lại danh sách truy cập định tuyến trong phần thứhai.
Khi khảo sát sâu hơn vào trong truy cập định tuyến, chúng tôi lưu ý đến vàiphương pháp tục ngữ chặn cửa vào ra đến thiết bị truyền thông này Trên thực tế, mộtphương pháp chúng ta trao đổi gồm việc sử dụng một danh sách truy cập định tuyếnbằng một kỹ thuật điều khiển đến bộ định tuyến để chắc chắn xác định trước địa chỉ
IP Tuy nhiên, trước khi làm điều đó, chúng ta phải khóa cổng ra vào ,điều này phảilàm xong trước khi sử dụng khả năng danh sách truy cập định tuyến Như vậy, sử dụngdanh sách truy cập được xem lại ở một phạm vi phòng thủ thứ hai
hệ điều hành một bộ định tuyến để cho phép cấu hình thiết bị, nhưng nó không phải làphương pháp truy cập duy nhất Cộng thêm các phương pháp được hổ trợ bởi nhiều bộ
định tuyến gồm truy cập Telnet và sử dụng giao thức HTTP (Trial File Transfer Protocol) để lưu trữ và truyền tải hình ảnh hệ thống, các tệp cấu hình giữa bộ định
Trang 16mạng khác không trực tiếp nối đến cổng bộ định tuyến cụ thể, trong khi thuật ngữ phía sau đề cập đến một một vị trí trạm trên một mạng kết nối trực tiếp đến cổng bộ định
tuyến mạng nội bộ (mạng LAN) Điều này nghĩa là truy cập Telnet đến một bộ địnhtuyến có thể xảy ra từ một thiết bị nội bộ trên tổ chức mạng nội bộ hoặc nếu bộ địnhtuyến được kết nối đến Internet, từ bất kỳ thiết bị đầu cuối trên thế giới có truy cậpInternet Điều này cũng có nghĩa là, bất kỳ vị trí máy khách hoạt động chương trìnhTelnet, nhà điều hành chương trình chỉ cần biết địa chỉ IP của giao tiếp mạng của bộđịnh tuyến để bắt đầu một phiên kết nối Telnet đến bộ định tuyến và truy cập đến thiết
bị Nếu nhân viên điều hành của máy khách Telnet thực hiện một kết nối đến bộ địnhtuyến nhân viên điều hành sẽ nhận được một nhắc nhở, chẳng hạn như:
Tên định tuyến> hay
Xác định người dùng truy cập
Mật khẩu:
Ở đây tên định tuyến mô tả tên một tổ chức được chỉ định bộ định tuyến, trongkhi mật khẩu mô tả nhắc nhở nhập mật khẩu thích hợp để truy cập vào bộ định tuyến.Hình 2.1 minh họa việc sử dụng một máy khách Telnet sẵn sàng dùng dưới Windows
95 và Windows 98 đến hàng triệu người để truy cập một bộ định tuyến có địa chỉ IP là205.131.176.1 Trong ví dụ minh hoạ của Hình 2.1 bộ định tuyến gián đoạn kết nối sau
ba lần thử đăng nhập không thành công Tuy nhiên, tin tặc có thể ngay lập tức thử lạinhiều hơn ba lần Với việc sử dụng một tập lệnh và một từ điển điện tử, điều đó trở
thành một công việc tương đối đơn giản cho người ta bẻ khóa mật khẩu (crack)
chương trình Telnet để truy cập vào khả năng cấu hình bộ định tuyến Vì vậy, điềuquan trọng để chọn mật khẩu đó là không những không có trong từ điển mà còn không
mô tả các điều nhỏ trong các từ của từ điển, chẳng hạn như dog7, từ một tin tặc có thểlập trình lặp đi lặp lại nhiều từ cho một tấn công thành công suốt thời gian
Cần lưu ý rằng nhiều tổ chức có một chính sách địa chỉ IP, ở đó chúng chỉ địnhchỉ thấp cho giao tiếp bộ định tuyến Ví dụ, nếu địa chỉ mạng IP thuộc lớp C là205.123.124.0, chúng có thể chỉ định 205.123.456.1 bằng một địa chỉ giao tiếp từmạng 205 đến bộ định tuyến Nhiều tổ chức đã sử dụng việc sắp xếp địa chỉ chungnày, thông thường sẽ rất là dễ dàng để xác định địa chỉ của bộ định tuyến cho Telnettiếp theo Ở điểm này trong lúc nhân viên điều hành máy khách cho phép truy cập trựctiếp tất cả cấu hình bộ định tuyến và kiểm soát bộ định tuyến Bằng việc mở rộng mộttập lệnh giả với việc sử dụng một từ điển điện tử, nhiều tin tặc biết cấu hình nhiều bộđịnh tuyến do các nhà sản xuất cài đặt mật khẩu mặc định truy cập Telnet Điều nàythật không may cho các tổ chức mạng, tốt hơn họ không bao giờ sử dụng mật khẩu
Trang 17bộ định tuyến của nhà cung cấp, những mật khẩu này có thể mua với giá 29,95 đô lahoặc cho truy cập miễn phí thông qua World Wide Web Điều này có nghĩa là hầu nhưkhông có giới hạn số người có khả năng để khám phá các mật khẩu mặc định cần thiết
để truy cập vào một bộ định tuyến thông qua một kết nối Telnet Nếu các bộ địnhtuyến mà quản trị viên không thể thay đổi mật khẩu mặc định truy cập Telnet haykhông đặt thêm bất kỳ hạn chế khi truy cậpTelnet thì bất kỳ người nào có kiến thức vềđịa chỉ IP của giao tiếp bộ định tuyến có thể được truy cập vào thiết bị
2.1.4 Truy cập TFTP
Hầu hết các bộ định tuyến có hai loại bộ nhớ: Bộ nhớ truy cập ngẫu nhiên(RAM) và bộ nhớ không bay hơi Không giống như bộ nhớ RAM, nội dung của nó bịxoá hoàn toàn khi mất nguồn, nội dung của bộ nhớ không bay hơi không bị xóa Khicấu hình, bộ nhớ định tuyến không bay hơi thường được sử dụng để lưu trữ hình ảnhcủa bộ nhớ bộ định tuyến cũng như sao lưu dự phòng hoặc thay thế cấu hình địnhtuyến Bởi vì bộ định tuyến không chứa đĩa mềm hoặc không có ổ đĩa cứng, khả năngcủa chúng lưu trữ nhiều hơn vài cấu hình thay đổi bị giới hạn Điều này có nghĩa là cácquản trị viên đòi hỏi khả năng lưu trữ dự phòng hoặc thay thế cấu hình bộ định tuyếnvượt ra ngoài khả năng giới hạn bộ nhớ không bay hơi tiêu biểu của bộ định tuyến làm
như vậy trên máy trạm và sử dụng chương trình TFTP (Trivial File Transfer Program) để tải và lưu các hình ảnh hệ thống bộ định tuyến và các tập tin cấu hình.
Điều này cũng có nghĩa là nếu được phép truy cập TFTP, tùy theo cách thức hỗ trợtruy cập TFTP của bộ định tuyến, nó có thể cho phép cá nhân không được quyền tạo racấu hình dữ liệu khi sử dụng bộ định tuyến, dẫn đến vi phạm bảo mật hoặc khôngđược định trước môi trường hoạt động
Bây giờ chúng ta đánh giá các phương pháp chính có thể được sử dụng để truycập vào bộ định tuyến, chúng ta quay về các phương pháp được sử dụng là bảo vệ truycập hoặc khóa cửa ra vào dựa trên phương pháp truy cập Điều này sẽ cung cấp chochúng ta khả năng làm nó khó khăn đối với những người được phép truy cập bộ địnhtuyến và giành được khả năng xem và thay đổi các cấu hình thiết bị Trong khi làmđiều đó, chúng ta sẽ thảo luận về một số lệnh định tuyến các hệ thống Cisco